識別SSLVPN數據流的服務質量QoS業務類型的方法及設備的製作方法

2023-07-07 05:48:06

專利名稱：識別SSL VPN數據流的服務質量QoS業務類型的方法及設備的製作方法
技術領域：
本申請涉及網絡安全技術領域，特別涉及一種識別SSL VPN數據流的服務質量QoS業務類型的方法及設備。
背景技術：
SSL (Secure Socket Layer,安全套接層)VPN (Virtual Private Network,虛擬私有網)是一種採用SSL協議來實現遠程接入的新型VPN技術，它以HTTPS (Secure HTTP,安全的HTTP，即支持SSL的HTTP協議)為基礎。SSL VPN採用標準的SSL協議對傳輸中的數據包進行加密，從而在應用層保護了數據的安全性，廣泛應用於基於Web (網頁)的遠程 安全接入，為用戶遠程訪問公司內部網絡提供了安全保證。典型的SSL VPN網絡的組網架構如圖I所示。SSL VPN網關位於企業網的邊緣，介於企業網內的伺服器與遠程接入用戶之間，控制二者的通信。管理員在SSL VPN網關上創建企業網內伺服器對應的資源；之後，遠程接入用戶訪問企業網內的伺服器時，首先與SSLVPN網關建立HTTPS連接，選擇需要訪問的資源，由SSL VPN網關將訪問請求轉發給企業網內的伺服器，從而達到保護企業網內的伺服器的目的。目前，隨著SSL VPN應用的逐漸加溫，越來越多的企業開始採納SSLVPN的網絡架構，來解決企業的遠程訪問需求。如圖2所示，企業在總部部署SSL VPN網關，各個分支機構的區域網中的SSL客戶端通過接入網關與總部的SSL VPN網關建立SSL VPN安全連接，然後通過SSL VPN網關的代理訪問總部的內部伺服器。具體的，SSL客戶端首先對訪問內部伺服器的報文進行加密，然後發送給SSL VPN網關，SSL VPN網關對加密報文進行解密後發送給內部伺服器；內部伺服器發送給SSL客戶端的報文的處理流程同上。但是在上述組網中，接入網關只能夠對SSL客戶端與SSL VPN網關之間的SSL VPN數據流進行轉發，由於SSL VPN數據流是加密的，從而接入網關無法識別出SSL VPN數據流的QoS (Quality of Service,服務質量)業務類型,並根據其QoS業務類型進行相應的QoS處理。

發明內容
有鑑於此，本申請提供了一種識別SSL VPN數據流的服務質量QoS業務類型的方法及設備，以使得接入網關能夠識別出接收到的SSL VPN數據流的QoS業務類型。本申請的技術方案包括一方面，提供了一種識別SSL VPN數據流的QoS業務類型的方法，該方法用於包括接入網關和SSL VPN網關的SSL VPN網絡中，該方法包括在監測到接收的數據流為SSLVPN數據流之後，接入網關判斷SSL VPN數據流是否滿足預設的QoS業務類型請求條件；若滿足QoS業務類型請求條件，則接入網關向SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，其中，請求消息用於請求SSL VPN數據流的QoS業務類型；接入網關從接收到的SSL VPN網關針對請求消息返回的響應消息中，獲取SSL VPN數據流的QoS業務類型。另一方面，還提供了一種識別SSL VPN數據流的QoS業務類型的方法，該方法用於包括接入網關和SSL VPN網關的SSL VPN網絡中，該方法包括SSL VPN網關接收接入網關發來的請求消息，其中，請求消息用於請求SSLVPN數據流的QoS業務類型；SSL VPN網關確定與SSL VPN數據流對應的解密後數據流；SSL VPN網關識別解密後數據流的QoS業務類型，並向接入網關返迴響應消息，以便接入網關從響應消息中獲取該識別出的QoS業務類型，作為SSL VPN數據流的QoS業務類型。又一方面，還提供了一種路由轉發設備，該設備用於包括接入網關和SSLVPN網關的SSL VPN網絡中的接入網關，該設備包括監測模塊，用於監測接收到的數據流是否為SSL VPN數據流；判斷模塊，用於在監測模塊監測到接收的數據流為SSL VPN數據流時，判斷SSL VPN數據流是否滿足預設的QoS業務類型請求條件；收發模塊，用於在判斷模塊判斷出SSL VPN數據流滿足QoS業務類型請求條件時，向SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，以及，接收SSL VPN網關針對請求消息返回的響應消息，其中，請求消息 用於請求SSL VPN數據流的QoS業務類型；獲取模塊，用於從響應消息中獲取SSL VPN數據流的QoS業務類型。又一方面，還提供了一種路由轉發設備，該設備用於包括接入網關和SSLVPN網關的SSL VPN網絡中的SSL VPN網關，該設備包括收發模塊，用於接收接入網關發來的請求消息，其中，請求消息用於請求SSL VPN數據流的QoS業務類型，以及，向接入網關返迴響應消息，以便接入網關從響應消息中獲取識別模塊識別出的QoS業務類型，作為SSL VPN數據流的QoS業務類型；確定模塊，用於確定與SSL VPN數據流對應的解密後數據流；識別模塊，用於識別確定模塊確定出的解密後數據流的QoS業務類型。本申請中，接入網關在接收到SSL VPN數據流之後，可以向該SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，以請求該SSL VPN數據流的QoS業務類型，該SSL VPN網關在接收到該請求消息之後，會將QoS業務類型攜帶在響應消息中返回給接入網關，從而，接入網關能夠識別得到該SSL VPN數據流的QoS業務類型，進而可以根據該QoS業務類型對該SSLVPN數據流進行相應的QoS處理。


圖I是現有技術中SSL VPN網絡的組網架構示意圖；圖2是現有技術中企業總部和分支機構採用SSL VPN組網的網絡架構示意圖；圖3是本申請實施例一 SSL VPN網絡中接入網關識別SSL VPN數據流的QoS業務類型方法的流程圖；圖4是本申請實施例二 SSL VPN網絡中SSL VPN網關識別SSL VPN數據流的QoS業務類型方法的流程圖；圖5是本申請實施例三接入網關的具體操作流程圖；圖6是本申請實施例三SSL VPN網關的具體操作流程圖；圖7是本申請實施例二請求消息和響應消息的報文格式不意圖；圖8是如圖7所示的報文格式中Data部分的格式示意圖；圖9是本申請實施例四應用於接入網關的路由轉發設備的結構示意圖10是本申請實施例四應用於SSL VPN網關的路由轉發設備的結構示意圖。
具體實施例方式為使本申請的目的、技術方案及優點更加清楚明白，以下參照附圖並舉實施例，對本申請進一步詳細說明。現有技術中，接入網關只能夠對SSL客戶端與SSL VPN網關之間的SSLVPN數據流進行轉發，由於SSL VPN數據流是加密的，從而接入網關無法識別出SSL VPN數據流的QoS業務類型，並根據其QoS業務類型進行相應的QoS處理。針對現有技術存在的上述問題，本申請以下實施例中，接入網關在判斷出接收到的SSL VPN數據流滿足預先設置的QoS業務類型請求條件之後，會向該SSL VPN數據流要轉發到的SSL VPN網關請求該SSL VPN數據流的QoS業務類型，並進而獲得該SSL VPN數據流的QoS業務類型，這樣，接入網關能夠識別出接收到的SSL VPN數據流的QoS業務類型，從而能夠根據其QoS業務類型對SSL VPN數據流進行相應的QoS處理，本申請中，SSL VPN數據流的QoS業務類型是指依據SSL VPN數據流所承載的加密數據流類型所確定的QoS業務類型。
實施例一在如圖2所示的SSL VPN組網中，為了使得各分支機構的接入網關能夠識別SSLVPN數據流的QoS業務類型，接入網關側的處理流程如圖3所示，包括以下步驟步驟S302，接入網關監測到接收的數據流為SSL VPN數據流；接入網關設備監控自身轉發的數據流的信息，通過數據流的信息來判斷該數據流是否為SSL VPN數據流。步驟S304，接入網關判斷該SSL VPN數據流是否滿足預設的QoS業務類型請求條件，若滿足，則進入步驟S306，若不滿足，則進入步驟S308 ；QoS業務類型請求條件在實際應用中可以根據實際需求進行預先設置，例如，QoS業務類型請求條件可以為SSL VPN數據流的持續時間超過預設的時間閾值，或者SSL VPN數據流的數量超過預設的數量閾值(或者為SSL數據流中的報文的總數量超過預設的報文數量閾值)，或者這兩個條件的結合，還可以為其他的判定條件，本申請對此不做限定。步驟S306，接入網關向該SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，用於請求該SSL VPN數據流的QoS業務類型；具體的，向該SSL VPN數據流的目的地址所指示的SSL VPN網關設備發送請求消息，以請求該SSL VPN數據流的QoS業務類型。QoS業務類型包括視頻、語音、HTTP(HyperText Transfer Protocol,超文本傳輸協議)、和 FTP (File Transfer Protocol,文件傳輸協議)等。步驟S308，按照現有技術的流程對該SSL VPN數據流進行轉發處理，跳出本流程；現有技術的流程一般是將SSL VPN數據流做轉發處理，如果在轉發過程中需要對SSL VPN數據流進行QoS處理時，由於未獲得SSL VPN數據流所承載的加密數據流類型故不能獲得對應的QoS業務類型,所以只能根據報文的IP (Internet Protocol,網際網路協議)頭或者TCP (Transmission Control Protocol,傳輸控制協議)頭中的非加密欄位對SSL VPN數據流做QoS分類識別和隊列調度，不進行深層次的QoS識別處理。步驟S310，接入網關從接收到的SSL VPN網關針對請求消息返回的響應消息中，獲取該SSL VPN數據流的QoS業務類型，以便根據該QoS業務類型對該SSL VPN數據流進行相應的QoS處理。本申請實施例中，接入網關在判斷出接收到的SSL VPN數據流滿足預先設置的QoS業務類型請求條件之後，會向該SSL VPN數據流要轉發到的SSL VPN網關請求該SSLVPN數據流的QoS業務類型，並進而獲得該SSLVPN數據流的QoS業務類型，這樣，接入網關能夠識別出接收到的SSL VPN數據流的QoS業務類型，從而能夠根據其QoS業務類型對SSLVPN數據流進行相應的QoS處理。實施例二在如圖2所示的SSL VPN組網中，為了使得各分支機構的接入網關能夠識別SSLVPN數據流的QoS業務類型，總部的SSL VPN網關的處理流程如圖4所示，包括以下步驟步驟S402，SSL VPN網關接收接入網關發來的請求消息(即實施例一中描述的用於請求SSL VPN數據流的QoS業務類型的請求消息)； 該請求消息中可以攜帶有所請求的SSL VPN數據流的信息。步驟S404，SSL VPN網關確定與該請求消息所請求的SSL VPN數據流對應的解密後數據流；為了確定與所請求的SSL VPN數據流相對應的解密後數據流(解密後數據流即為所請求的SSL VPN數據流經解密後的數據流)，SSL VPN網關可以在本地維護一張數據流信息對應表，該表可以採用已經建立好的其他信息表，也可以新建立一張表。該數據流信息對應表中記錄了 SSL VPN數據流與解密後數據流的信息之間的對應關係。這樣，通過在該數據流信息對應表中，查找與請求消息中攜帶的SSL VPN數據流的信息相對應的解密後數據流信息，即可確定出與該SSL VPN數據流對應的解密後數據流。步驟S406，SSL VPN網關識別在步驟S404中確定出的解密後數據流的QoS業務類型，並將識別出的QoS業務類型攜帶在響應消息中，發送給接入網關，以便接入網關從該響應消息中獲取到所要請求的SSL VPN數據流的QoS業務類型，並根據該QoS業務類型對該SSL VPN數據流進行相應的QoS處理。SSL VPN網關可以通過自身中的業務模塊對解密後數據流進行分析得出該解密後數據流的QoS業務類型，然後將該QoS業務類型攜帶在響應消息中回復給接入網關，接入網關就可以根據SSL VPN網關返回的QoS業務類型對該SSL VPN數據流進行相應的QoS處理。實施例三在實際應用中，如圖5所示，接入網關可以按照以下流程進行操作步驟S502，接收數據流；步驟S504，實時地監測接收到的數據流的信息，可以根據報文的五元組信息(源IP、目的IP、源埠、目的埠、和協議號)定義一條數據流，根據接收到的數據流的協議類型和目的埠，判斷該數據流是否為SSL VPN數據流，如果判斷出該數據流不是SSL VPN數據流，則進入步驟S506，如果判斷出該數據流是SSL VPN數據流，則進入步驟S508 ；上述步驟S502 S504對應於實施例一中的步驟S302。步驟S506，按照現有技術的流程對數據流進行轉發處理，跳出本流程；該步驟S506對應於實施例一中的步驟S308。
步驟S508，由於只需要對要轉發到SSL VPN網關的SSL VPN數據流進行QoS業務類型的識別，因此，可以在接入網關本地預先定義SSL VPN網關的地址，通過判斷SSL VPN數據流的目的地址是否在本地預先定義的SSL VPN網關地址的範圍內，來判斷該SSL VPN數據流是否需要識別QoS業務類型，若不在SSL VPN網關地址的範圍內，則確定該SSL VPN數據流不需要 識別QoS業務類型，則進入步驟S506，若該SSL VPN數據流的目的地址在SSLVPN網關地址的範圍內，則確定該SSL VPN數據流需要識別QoS業務類型，進入步驟S510 ；步驟S510，統計該SSL VPN數據流持續的時間或者統計該SSL VPN數據流的總量；步驟S512，判斷該SSL VPN數據流持續的時間或者總量是否超過預設的閥值，若未超過，則進入步驟S506，若超過了，則進入步驟S514 ；該步驟S508 S512對應於實施例一中的步驟S304。步驟S514，將用於請求該SSL VPN數據流的QoS業務類型的請求消息發送給該數據流要轉發到的SSL VPN網關，該請求消息中攜帶有該SSL VPN數據流的原始的五元組信息A和經過NAT (Network Address Translation,網絡地址轉換)處理後的五元組信息B(如果接入網關沒有開啟NAT功能，則A=B)，該數據流要轉發到的SSL VPN網關的地址可以從該數據流的目的地址獲得；本實施例中，五元組信息A和五元組信息B即為該SSL VPN數據流的信息。該步驟S514對應於實施例一中的步驟S306。那麼，接入網關在接收到SSL VPN網關回復的響應消息之後，會先判斷該響應消息中是否包含有QoS業務類型，如果包含，則從該響應消息中獲取到QoS業務類型，並根據該QoS業務類型對該SSL VPN數據流進行相應的QoS處理(對應於實施例一中的步驟S310)；如果不包含，則仍然按照普通的SSL VPN數據流的處理流程處理該數據流，具體的，當接入網關最終沒有識別獲取到SSL VPN數據流對應的QoS業務類型，或者已經向SSL VPN網關發送了請求消息，但還沒有得到回覆(即沒有接收到對應的響應消息)時，接入網關可以將該SSL VPN數據流放入默認隊列或者預先為普通SSL VPN數據流定義的隊列，之後會按照現有技術的流程對隊列中的SSL VPN數據流進行轉發處理。此處，現有技術的流程可以參見實施例一中的步驟S308，這裡不再贅述。相應地，如圖6所示，SSL VPN網關為了配合接入網關識別出SSL VPN數據流的QoS業務類型，可以按照以下流程進行操作步驟S602，SSL VPN網關接收接入網關發來的請求消息；該步驟對應於實施例二中的步驟S402 ；步驟S604，根據請求消息中包含的五元組信息B，從本地的數據流信息對應表中查找與五元組信息B對應的經過SSL VPN網關解密後的數據流的信息；步驟S606，判斷是否查找到解密後數據流的信息，若查找到了，則進入步驟S608，若數據流信息對應表中沒有記錄與五元組信息B對應的解密後數據流的信息，從而沒有查找到與五元組信息B對應的解密後數據流的信息，則進入步驟S614 ；步驟S608，假設查找到的解密後數據流的信息指示為解密後數據流C，從而，確定了與該SSL VPN數據流對應的解密後數據流為數據流C，SSL VPN網關通過現有的數據流識別技術，如根據ACL定義的報文信息，報文中包含的特徵碼信息，報文長度信息等，識別解密後數據流C的QoS業務類型；
步驟S610，判斷是否識別出了解密後數據流C的QoS業務類型，若識別出了，則進入步驟S612，若無法識別出，則進入步驟S614 ；步驟S612，將識別出的QoS業務類型的標識填入響應消息中，並進入步驟S616 ；QoS業務類型可以通過數字來標識，以避免SSL VPN數據流的信息洩露。這樣，就需要預先在接入網關和SSL VPN網關中約定好各種QoS業務類型及其對應的數字標識，使接入網關可以正確解析SSL VPN網關填入的QoS業務類型。步驟S614，將響應消息中QoS業務類型填為空值或者特定值，用於指示無法識別該SSL VPN數據流的QoS業務類型；步驟S616，向接入網關回復響應消息。步驟S604 S612對應於實施例二中的步驟S404 S406。
在實際應用中，請求消息和響應消息的報文格式可以採用如圖7所示的格式，顯然，也可以根據具體實現情況進行調整。圖7中，各個字符表示的含義解釋如下OP :表示操作的類型，OP=I表示請求消息，0P=2表示響應消息；長度為I字節(octet)；ID :表示報文標識，用來匹配請求和響應消息的對應關係；請求消息中的ID為隨機生成，而響應消息中的ID必須與其對應的請求消息中的ID —致；長度為2位元組；Count :表示請求或者響應消息中數據的個數；長度為I字節；Data :表示負荷數據，其數據格式如圖8所示。圖8中，各個字符表示的含義解釋如下Index :表示SSL VPN數據流的索引，每個SSL VPN數據流的索引唯一；長度為4位元組;A :表示SSL VPN數據流經NAT轉換前的五元組信息，由源IP、目的IP、協議號、源埠、和目的埠串接而成；長度為13個字節；B :表示SSL VPN數據流經NAT轉換後的五元組信息，由源IP、目的IP、協議號、源埠、和目的埠串接而成；長度為13個字節；QoS :表示SSL VPN數據流的QoS業務類型的標識，請求消息中此值為全0，響應消息中由SSL VPN網關填入該SSL VPN數據流的QoS業務類型，如果無法識別出該SSL VPN數據流的QoS業務類型，則填全0或特定值；長度為2位元組；請求消息和響應消息在傳輸時，可以通過已有的IPSec (IP安全)/SSL VPN技術進行保護傳輸，在不洩露保密信息的情況下，上述消息也可以直接通過TCP/UDP (UserDatagram Protocol,用戶數據報協議)協議傳輸,本申請對此不做限定。實施例四對應於實施例一中的方法，本申請實施例提供了一種應用於SSL VPN網絡中的接入網關的路由轉發設備，SSL VPN網絡中包含有接入網關和SSLVPN網關，該接入網關能夠在SSL VPN網關的配合下，識別得到SSL VPN數據流的QoS業務類型。如圖9所示，該用於接入網關的路由轉發設備10包括監測模塊102、判斷模塊104、收發模塊106和獲取模塊108，其中監測模塊102，用於監測收發模塊106接收到的數據流是否為SSL VPN數據流；具體的監測方式可以參見實施例三，這裡不再贅述。判斷模塊104，用於在監測模塊102監測到接收的數據流為SSL VPN數據流時，判斷該SSL VPN數據流是否滿足預設的QoS業務類型請求條件，其中，該QoS業務類型請求條件可以為SSL VPN數據流的持續時間超過預設的時間閾值、或者SSL VPN數據流的數量超過預設的數量閾值、或兩者的結合，也可以是其他的條件。
收發模塊106，用於在判斷模塊104判斷出該SSL VPN數據流滿足QoS業務類型請求條件時，向該SSL VPN數據流要轉發到的SSL VPN網關(即該數據流的目的地址所指示的SSL VPN數據流)發送請求消息，以及，接收該SSL VPN網關針對該請求消息返回的響應消息，其中，請求消息用於請求SSL VPN數據流的QoS業務類型；獲取模塊108，用於從收發模塊106接收到的該響應消息中獲取該SSLVPN數據流的QoS業務類型，以便該路由轉發設備10能夠根據該QoS業務類型對該SSL VPN數據流進行相應的QoS處理。在實際應用中，判斷模塊104還可以在監測模塊102監測到收發模塊106接收的數據流為SSL VPN數據流之後，在判斷該SSL VPN數據流是否滿足預設的QoS業務類型請求條件之前，先判斷該SSL VPN數據流的目的地址是否在預設的SSL VPN網關地址範圍內，以確定該SSL VPN數據流是否需要識別QoS業務類型，若在範圍內，則確定該SSL VPN數據流需要識別QoS業務類型，然後執行判斷該SSL VPN數據流是否滿足QoS業務類型請求條件的步驟；若不在範圍內，則確定該SSL VPN數據流不需要識別QoS業務類型，該路由轉發設備會按照現有處理流程處理該數據流。本實施例還提供了一種應用於SSL VPN網絡中的SSL VPN網關的路由轉發設備，該SSL VPN網絡中包含有接入網關和SSL VPN網關，該SSL VPN網關可以配合接入網關，使得接入網關能夠識別出SSL VPN數據流的QoS業務類型。如圖10所示，該用於SSL VPN網關的路由轉發設備20包括收發模塊202、確定模塊204和識別模塊206，其中收發模塊202，用於接收接入網關(如圖9所示)發來的請求消息，其中，請求消息用於請求SSL VPN數據流的QoS業務類型，以及，向接入網關返迴響應消息，以便接入網關從該響應消息中獲取識別模塊206識別出的QoS業務類型，作為該SSL VPN數據流的QoS業務類型；確定模塊204，用於確定與該SSL VPN數據流對應的解密後數據流；識別模塊206，用於識別確定模塊204確定出的解密後數據流的QoS業務類型。在實際應用中，接入網關發來的請求消息中會攜帶有所請求的SSL VPN數據流的信息，則，確定模塊204通過在數據流信息對應表中，查找與SSLVPN數據流的信息對應的解密後數據流信息，來確定與該SSL VPN數據流對應的解密後數據流，其中，數據流信息對應表中記錄了 SSL VPN數據流與解密後數據流的信息之間的對應關係。綜上，本申請以上實施例可以達到以下技術效果本申請上述實施例中，接入網關在接收到SSL VPN數據流(為加密的數據流)之後，可以向該SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，以請求該SSL VPN數據流的QoS業務類型，SSL VPN網關在接收到該請求消息之後，會查找與該SSL VPN數據流相對應的解密後數據流，並識別該解密後數據流的QoS業務類型，然後將該QoS業務類型攜帶在響應消息中返回給接入網關，從而，接入網關能夠識別得到該SSL VPN數據流的QoS業務類型，進而可以根據該QoS業務類型對該SSL VPN數據流進行相應的QoS處理。
以上所述僅為本申請的較佳實施例而已，並不用以限制本申請，凡在本申請的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本申請保護的範圍之內。
權利要求
1.一種識別安全套接層SSL虛擬私有網VPN數據流的服務質量QoS業務類型的方法，用於包括接入網關和SSL VPN網關的SSL VPN網絡中，其特徵在於，包括 在監測到接收的數據流為SSL VPN數據流之後，所述接入網關判斷所述SSLVPN數據流是否滿足預設的QoS業務類型請求條件； 若滿足所述QoS業務類型請求條件，則所述接入網關向所述SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，其中，所述請求消息用於請求所述SSL VPN數據流的QoS業務類型； 所述接入網關從接收到的所述SSL VPN網關針對所述請求消息返回的響應消息中，獲取所述SSL VPN數據流的QoS業務類型。
2.根據權利要求I所述的方法，其特徵在於，所述QoS業務類型請求條件包括以下至少之一SSL VPN數據流的持續時間超過預設的時間閾值，SSL VPN數據流的總量超過預設的數量閾值。
3.根據權利要求I或2所述的方法，其特徵在於，在監測到接收的數據流為SSLVPN數據流之後，在判斷所述SSL VPN數據流是否滿足預設的QoS業務類型請求條件之前，還包括 所述接入網關判斷出所述SSL VPN數據流的目的地址在預設的SSL VPN網關地址範圍內，以確定所述SSLVPN數據流需要識別QoS業務類型。
4.根據權利要求I所述的方法，其特徵在於，所述接入網關開啟了網絡地址轉換NAT，所述請求消息中包含有所述SSLVPN數據流的原始的五元組信息和經過NAT後的五元組信肩、O
5.一種識別安全套接層SSL虛擬私有網VPN數據流的服務質量QoS業務類型的方法，用於包括接入網關和SSL VPN網關的SSL VPN網絡中，其特徵在於，包括 所述SSL VPN網關接收所述接入網關發來的請求消息，其中，所述請求消息用於請求SSL VPN數據流的QoS業務類型； 所述SSL VPN網關確定與所述SSL VPN數據流對應的解密後數據流； 所述SSL VPN網關識別所述解密後數據流的QoS業務類型，並向所述接入網關返迴響應消息，以便所述接入網關從所述響應消息中獲取識別出的QoS業務類型，作為所述SSLVPN數據流的QoS業務類型。
6.根據權利要求5所述的方法，其特徵在於，所述請求消息中攜帶有所述SSLVPN數據流的信息，則，所述SSL VPN網關確定與所述SSL VPN數據流對應的解密後數據流包括 所述SSL VPN網關在數據流信息對應表中，查找與所述SSL VPN數據流的信息對應的解密後數據流信息，其中，所述數據流信息對應表中記錄了 SSL VPN數據流與解密後數據流的信息之間的對應關係。
7.—種路由轉發設備，用於包括接入網關和安全套接層SSL虛擬私有網VPN網關的SSLVPN網絡中的接入網關，其特徵在於，包括 監測模塊，用於監測接收到的數據流是否為SSL VPN數據流； 判斷模塊，用於在所述監測模塊監測到接收的數據流為SSL VPN數據流時，判斷所述SSL VPN數據流是否滿足預設的服務質量QoS業務類型請求條件； 收發模塊，用於在所述判斷模塊判斷出所述SSL VPN數據流滿足所述QoS業務類型請求條件時，向所述SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，以及，接收所述SSL VPN網關針對所述請求消息返回的響應消息，其中，所述請求消息用於請求所述SSLVPN數據流的QoS業務類型； 獲取模塊，用於從所述響應消息中獲取所述SSL VPN數據流的QoS業務類型。
8.根據權利要求7所述的路由轉發設備，其特徵在於，所述QoS業務類型請求條件包括以下至少之一 SSL VPN數據流的持續時間超過預設的時間閾值，SSLVPN數據流的總量超過預設的數量閾值。
9.根據權利要求7或8所述的路由轉發設備，其特徵在於，所述判斷模塊還用於在所述監測模塊監測到接收的數據流為SSL VPN數據流時，在判斷所述SSL VPN數據流是否滿足預設的QoS業務類型請求條件之前，先判斷出所述SSLVPN數據流的目的地址在預設的SSLVPN網關地址範圍內，以確定所述SSLVPN數據流需要識別QoS業務類型。
10.一種路由轉發設備，用於包括接入網關和安全套接層SSL虛擬私有網VPN網關的SSL VPN網絡中的SSL VPN網關，其特徵在於，包括 收發模塊，用於接收所述接入網關發來的請求消息，其中，所述請求消息用於請求SSLVPN數據流的服務質量QoS業務類型，以及，向所述接入網關返迴響應消息，以便所述接入網關從所述響應消息中獲取識別模塊識別出的QoS業務類型，作為所述SSL VPN數據流的QoS業務類型； 確定模塊，用於確定與所述SSL VPN數據流對應的解密後數據流； 所述識別模塊，用於識別所述確定模塊確定出的所述解密後數據流的QoS業務類型。
11.根據權利要求10所述的路由轉發設備，其特徵在於，所述請求消息中攜帶有所述SSL VPN數據流的信息，則，所述確定模塊用於通過在數據流信息對應表中，查找與所述SSLVPN數據流的信息對應的解密後數據流信息，來確定與所述SSL VPN數據流對應的解密後數據流，其中，所述數據流信息對應表中記錄了 SSL VPN數據流與解密後數據流的信息之間的對應關係。
全文摘要
本申請公開了一種識別SSL VPN數據流的服務質量QoS業務類型的方法及設備，其中，該方法包括在監測到接收的數據流為SSL VPN數據流之後，接入網關判斷SSL VPN數據流是否滿足預設的QoS業務類型請求條件；若滿足QoS業務類型請求條件，則接入網關向SSL VPN數據流要轉發到的SSL VPN網關發送請求消息，其中，請求消息用於請求SSL VPN數據流的QoS業務類型；接入網關從接收到的SSL VPN網關針對請求消息返回的響應消息中，獲取SSL VPN數據流的QoS業務類型。本申請可以使得接入網關能夠識別出接收到的SSL VPN數據流的QoS業務類型。
文檔編號H04L29/06GK102752220SQ20121025026
公開日2012年10月24日 申請日期2012年7月19日 優先權日2012年7月19日
發明者劉雄威 申請人:杭州華三通信技術有限公司