用於提供QoS優先化數據業務的方法

2023-12-07 21:50:16

用於提供QoS優先化數據業務的方法
【專利摘要】提供一種用於使用數據分組的安全封裝、通過網絡經由VPN客戶端(200)和VPN伺服器(500)在發送裝置(10，80)和接收裝置(80，10)之間傳送數據業務的數據分組的方法，該方法包括下列步驟：確定所述數據業務的數據分組的服務質量QoS參數；基於所確定服務質量為數據分組選擇連接VPN客戶端(200)和VPN伺服器(500)的第一隧道(91)或者連接VPN客戶端)200)和VPN伺服器(500)的第二隧道(92)。
【專利說明】用於提供QoS優先化數據業務的方法

【背景技術】
[0001]移動頻譜是共享和稀有資源。這導致擁塞狀況，其以較高等待時間使最終用戶業務受損。對於一些服務，這不是可接受的，並且甚至存在從例如服務提供商或企業為所選服務業務的優先化付費、以便避免擁塞的不利影響的意願。
[0002]在移動通信網絡中，已知的是將與特定服務相關的網絡業務定向到具有某個服務質量(Q0S)的承載。在這點上，承載被認為是例如容量、延遲和/或誤碼率等的所定義特性的信息傳輸上下文或通路。通常，多個承載將在移動通信網絡的網關與例如行動電話或者其它類型的移動終端等的用戶設備之間來建立。承載可攜帶沿從網絡到用戶設備的方向的下行鏈路(DL)數據業務，並且可攜帶沿從用戶設備到網絡的上行鏈路(UL)方向的數據業務。在網關中以及在用戶設備中，包括多個IP分組(IP: 「網際網路協議」)的數據業務能夠使用IP 5元組分組濾波器來濾波，由此將IP數據分組定向到預期承載。
[0003]具體來說，期望將與特定服務、例如移動TV相關的數據業務定向到提供某個QoS的承載。為此，DL數據業務可經過分組檢查，以便識別與特定服務相關的數據分組。當檢測到預定義服務的數據分組時，這可向策略控制器發信號通知。策略控制器則可生成對應分組濾波器，並且向網關發信號通知關於這些分組濾波器。網關則使用所接收分組濾波器將數據分組路由到預期承載。承載通常具有由網絡運營商對特定服務來選擇的QoS類。在這個過程中，還可存在送往用戶設備的信令，例如以用於建立承載，並且指示送往用戶設備的UL分組濾波器，其應當用來將UL數據業務路由到承載上。
[0004]因此，為了實現這個優先化，採用分組檢查技術，或者淺/報頭檢查和/或深層分組檢查。這是完全合理的方式，只要有可能執行必要的分組檢查。
[0005]但是，當業務經過VPN封裝(例如使用IPSec或SSL)時，如企業業務通常的那樣，這個分組檢查不是可能的，因為服務相關數據採用封裝、常常加密的分組來隱藏。這通過圖1示出，其示出VPN業務能夠在一個承載上傳輸，因為VPN分組按照使分組檢查是不可能的方式來封裝。
[0006]圖1中，也可能是應用或網頁10的客戶端10願意與公共Web伺服器80或企業伺服器60交換數據。對於VPN封裝，提供VPN客戶端20，其經由業務檢測器映射器30將數據傳送給VPN伺服器50。提供網絡域中的業務檢測器/映射器40。在VPN伺服器側，還提供防火牆70。隧道在VPN客戶端與VPN伺服器之間生成。業務映射器30或業務映射器40都不能檢查封裝分組。
[0007]這是對隧穿業務的所有種類的QoS存在的一種類型的問題。因此，許多路由器具有處理它的特徵(在有限程度上)，例如Cisco將它稱作預分類。通過這種方式，分組在封裝之前經過檢查，以及結果被「記住」，使得能夠對出局隧穿分組應用例如QoS策略。
[0008]但是，這類方案的問題在於，它們是完全局部的(在路由器之內)，並且例如對組織邊界不起作用。另外，它們不是具體針對客戶端VPN，而是通常在VPN用作網絡建立(站點對站點)的部分時應用。


【發明內容】

[0009]為了通過傳輸數據分組實現使用封裝來提供網絡、例如VPN(虛擬專用網絡)中的數據分組的優先化數據業務，指定一種機制，以用於在進行安全封裝之前選擇和區分屬於優先化服務的數據業務。
[0010]按照第一方面，提供一種用於通過VPN客戶端和VPN伺服器在發送裝置與接收器裝置之間傳送數據業務的數據分組的方法，其中數據使用數據分組的安全封裝通過網絡來傳送。按照一個步驟，確定數據業務的數據分組的服務質量(QoS)參數，以及基於所確定服務質量，或者對數據分組選擇第一隧道以連接VPN客戶端和VPN伺服器或者選擇第二隧道以連接VPN客戶端和VPN伺服器。根據所需服務質量，數據業務的數據分組能夠經過第一隧道或第二隧道來發送，兩個隧道均連接VPN客戶端和VPN伺服器。
[0011]有可能的是，第一和第二隧道的選擇由VPN或VPN伺服器來執行。在這個實施例中，服務質量的確定以及根據所確定服務質量的第一或第二隧道的選擇在VPN客戶端或VPN伺服器中進行。
[0012]第一隧道可提供與第二隧道不同的服務質量，作為舉例，一個隧道可提供比另一隧道更好的服務類、例如更高的吞吐量。
[0013]還有可能的是，將單個IP位址指配給虛擬接口，其中數據業務的數據分組在VPN客戶端從發送裝置來接收。單個IP位址是在VPN客戶端的隧道端點。這能夠意味著，單個IP位址對於經過第一或第二隧道所傳送的數據業務的數據分組是相同的，並且它對應於隧穿數據分組的內IP報頭的源地址。在這個實施例中，數據沿上行鏈路方向從客戶端傳送給伺服器。對於下行鏈路方向，單個IP位址對於經過第一或第二隧道所傳送的數據業務的數據分組也是相同的，並且對應於隧穿數據分組的內IP報頭的目標地址。在隧穿數據分組中，內IP位址包含通常源和目標地址，而在隧道入口，添加外IP報頭，其包含隧道端點的IP位址。在上述實施例中，連接VPN客戶端和VPN伺服器的兩個隧道在VPN客戶端側具有單個IP位址。在VPN伺服器側，兩個隧道也可具有單個IP位址。為了區分不同的隧道，兩個隧道可在VPN伺服器側具有不同埠號。但是，它們也可具有相同埠號，並且隧道可以僅在使用包含到隧道報頭中的標識符方面有所不同。除了外和內報頭之外，隧道報頭也包含在隧穿分組中。
[0014]兩個隧道能夠由VPN客戶端來請求，並且單個IP位址由VPN伺服器指配給VPN客戶端的兩個隧道。
[0015]在另一個實施例中，連接VPN伺服器和VPN客戶端的第一或第二隧道的選擇能夠在業務映射單元中執行，業務映射單元然後向VPN客戶端或VPN伺服器傳送與所選第一或第二隧道有關的信息。這個業務映射單元是高級業務映射單元，其能夠在VPN客戶端或VPN伺服器處的封裝之前檢查數據分組。
[0016]在這個實施例中，有可能的是，將兩個IP位址指配給VPN客戶端。根據所確定的QoS參數，將數據分組發送給VPN客戶端的第一虛擬接口，或者將它們發送給VPN客戶端的第二虛擬接口。一個IP位址則與VPN客戶端的隧道的每個關聯。
[0017]數據業務包含源和目標IP位址。有可能的是，當確定QoS參數時，源IP位址在映射單元中根據所確定QoS參數來轉化成第一 IP位址或第二 IP位址，其中數據分組然後發送給VPN伺服器。在將數據分組傳送給VPN客戶端時並且在確定QoS參數時，目標IP位址能夠根據所確定QoS參數來轉化成第一 IP位址或第二 IP位址。在這個實施例中，業務映射單元在確定了 QoS參數之後，選擇在VPN客戶端或VPN伺服器的第一隧道或第二隧道來傳送數據業務的數據分組。在這個實施例中，兩個隧道在VPN客戶端側和在VPN伺服器側可具有兩個不同IP位址。
[0018]在隧道出口，所傳送IP位址可在VPN伺服器的業務映射單元又轉化成源地址，或者在VPN客戶端的業務映射單元又轉化成目標地址。
[0019]優選地，QoS參數在第一層來確定，其中將具有所確定QoS參數的數據業務提供給位於協議棧的第一層下面的第二層。在第二層中，數據分組映射到第一或第二隧道，以及數據然後在第三層中傳送。第三層能夠處於協議棧的第二層下面。
[0020]本發明還涉及虛擬專用網絡節點，其配置成通過網絡、經由另一個虛擬專用網絡節點在發送裝置與接收裝置之間傳送數據業務的數據分組，其中數據分組在通過網絡發送時使用兩個VPN節點之間的安全封裝。虛擬專用網絡節點包括質量確定模塊，其配置成確定數據業務的數據分組的QoS參數。此外，提供一種隧道模塊，其配置成建立將虛擬專用網絡節點與另一虛擬專用網絡節點連接的第一隧道，並且配置成建立將虛擬專用網絡節點與另一虛擬專用網絡節點連接的第二隧道。此外，提供一種控制模塊，其配置成基於所確定服務質量、在數據業務之前選擇第一隧道或第二隧道。在這個實施例中，QoS參數在作為VPN客戶端或VPN伺服器的虛擬專用網絡節點中確定。
[0021 ] 本發明還涉及一種包括VPN客戶端和VPN伺服器的系統，其中VPN客戶端和VPN伺服器配置成使用VPN客戶端與VPN伺服器之間的數據分組的安裝封裝，通過網絡、經由VPN客戶端和VPN伺服器在發送裝置與接收裝置之間傳送數據業務的數據分組。該系統包括質量確定模塊，其配置成確定數據業務的數據分組的QoS參數。此外，提供一種隧道模塊，其配置成建立將VPN客戶端與VPN伺服器連接的第一隧道，以及建立將VPN客戶端與VPN伺服器連接的第二隧道。控制模塊配置成基於所確定服務質量來選擇數據業務的第一隧道或第二隧道。隧道模塊能夠按照如下方式來配置:使得它按照使得兩個隧道在VPN客戶端具有單個IP位址的方式來建立第一隧道和第二隧道。系統的上述組件、即質量確定模塊、隧道模塊和控制模塊可設置在VPN客戶端、VPN伺服器或者VPN客戶端和VPN伺服器。
[0022]另外，隧道模塊能夠按照使得第一隧道和第二隧道在VPN伺服器也具有單個IP位址的方式來配置。在這個實施例中，兩個隧道可在VPN伺服器具有不同埠號。但是，它們也可具有相同埠號。在這個示例中，它們使用附加標識符(其能夠在隧道報頭中提供)來區分。
[0023]按照本發明的另一方面，提供包括質量確定模塊的業務映射單元，其中質量確定模塊配置成確定使用VPN客戶端與VPN伺服器之間的數據分組的安全封裝、經由VPN客戶端和VPN伺服器在發送裝置與接收裝置之間所傳送的數據業務的數據分組的QoS參數。業務映射單元的控制模塊配置成基於所確定服務質量來為數據業務選擇VPN客戶端的、關聯將VPN客戶端與VPN伺服器連接的第一隧道的第一 IP位址或者與VPN客戶端的第一 IP位址不同的、關聯將VPN客戶端與VPN伺服器連接的第二隧道的第二 IP位址。業務映射單元的發射器則配置成基於控制模塊的選擇將數據業務傳送給VPN客戶端或伺服器的第一或第二 IP位址。在這個實施例中，業務映射單元負責服務質量的確定，並且業務映射單元通過將業務傳送給VPN伺服器或VPN客戶端的第一或第二 IP位址，來選擇VPN客戶端或VPN伺服器的第一或第二隧道。
[0024]業務映射單元還可包括地址轉化單元，其配置成轉化數據業務的報頭中的源和/或目標IP位址。地址轉化單元能夠配置成在數據分組被發送給VPN伺服器時，根據所確定QoS參數將源IP位址轉化成第一 IP位址或第二 IP位址。當數據分組被發送給VPN客戶端時，地址轉化單元能夠根據所確定QoS參數將目標IP位址轉化成第一 IP位址或第二 IP位址。
[0025]業務映射單元能夠按照如下方式來配置:使得它在VPN客戶端或VPN伺服器處執行數據分組的安全封裝之前確定QoS參數。
[0026]本發明還提供如上所述的業務映射單元以及VPN客戶端。
[0027]大體上，本公開提出一種用於在傳輸所述數據業務的數據分組的同時使用安全封裝、通過網絡在發送裝置(例如上行鏈路方向的客戶端裝置和下行鏈路方向的應用伺服器)與接收裝置(例如上行鏈路方向的應用伺服器和下行鏈路方向的客戶端裝置)之間提供QoS優先化數據業務的方法。所接收的數據業務在第一層通過對QoS類進行判定來區分和分類。隨後所述的分類數據業務被提供給位於協議棧中的第一層下面的第二層，其方式使得產生於分類數據業務的單獨數據分組適合映射到對應數據分組隧道部件，其中數據分組隧道部件適合區分所識別的QoS類。隨後，執行數據分組的安全封裝，以及將數據分組提供給第三層，以用於將所述數據分組發送到網絡中。(圖6)
數據分組隧道部件可按照任何適當和優選方式來實現。在一個實施例中，提出建立用於數據分組的傳輸的至少兩個隧道。要指出，隧道通常在通信點之間來建立並且唯一地識另O。在一個實施例中，提出建立至少兩個IP隧道，其中IP隧道通過唯一 IP位址來指定。通常，隧道由客戶端主動地或者由於來自網絡側的請求而建立。
[0028]在另一實施例中，提出將不同標記方案用於標記屬於優先化數據業務的數據分組並且通過經由一個隧道發送數據分組。
[0029]第一協議層可以是接收數據業務的任何協議層。數據業務可組織為IP數據分組。第二協議層可以是提供作為數據分組的數據業務並且執行安全封裝的任何協議層，因此示例是SSL或IPSec中的封裝。
[0030]在一實施例中，電信系統的發送裝置能夠適合該方法。在這種情況下，裝置包括:接收器，用於從第一協議層接收數據業務；高級業務映射器(分組檢查器)，用於區分數據業務，並且用於通過對於對應QoS類進行判定來分類數據業務；在位於協議棧中的第一層下面的第二層的處理單元，配置成將產生於分類數據業務的單獨數據分組映射到對應數據分組隧道部件，其中數據分組隧道部件適合區分QoS類；封裝單元，用於數據分組的安全封裝；以及發送器，用於將數據分組提供給第三方，以用於將所述數據分組發送到網絡中。(圖7)
在一個實施例中，提出在提供上行鏈路時，發送裝置是移動裝置。在另一實施例中，提出在將要實現下行鏈路時，該裝置是伺服器。
[0031]在一個實施例中，在位於協議棧中的第一層下面的第二協議層、設置成將產生於優先化數據業務的單獨數據分組映射到對應數據分組傳輸部件的處理單元是VPN客戶端/伺服器。
[0032]在另一實施例中，提供一種用於在傳輸所述數據業務的數據分組的同時使用安全封裝、通過網絡在發送裝置與接收裝置之間提供QoS優先化數據業務的方法。所述方法具有下列步驟:從網絡接收在第三層的數據分組隧道部件所接收的數據分組，將數據分組提供給第二層以用於去除封裝；將數據分組提供給第一層；對第一層執行不同QoS類的區分；通過將不同QoS類映射到應用目的地來將數據業務提供給應用目的地。
[0033]在另一實施例中，提供一種接收裝置，其適合在傳輸所述數據業務的數據分組的同時使用安全封裝、通過網絡在客戶端裝置與應用伺服器之間提供QoS優先化數據業務。所述裝置包括:在第三層的接收器，適合從網絡接收在數據分組隧道部件所接收的數據分組；第一處理器，適合去除第二層中的數據分組的封裝；第二處理器，適合區分不同QoS類，並且將不同QoS類映射到應用目的地。
[0034]在一個實施例中，提出在提供上行鏈路時，接收裝置是移動裝置。在另一實施例中，提出在將要實現下行鏈路時，該裝置是伺服器。
[0035]此外，提出一種具有與接收裝置進行通信的發送裝置的系統，其中通信可在上行鏈路或者在下行鏈路方向執行。發送裝置適合執行如上所述的方法，以及發送裝置執行如上所述的相應方法。
[0036]上述發送和接收裝置(以及電信系統的其它組件)能夠由耦合到非暫時計算機可讀介質的至少一個微處理器來實現。非暫時計算機可讀介質包括計算機可讀指令，其在由至少一個微處理器運行時實現本文所述的方法。

【專利附圖】

【附圖說明】
[0037]將參照附圖更詳細地描述本發明。這些附圖包括
圖1示出如本領域已知的示意圖，其中數據分組經由VPN客戶端和VPN伺服器、使用安全封裝來傳送，
圖2是結合本發明的特徵的系統的示意圖，其中數據業務的數據分組根據所確定QoS參數通過第一隧道或第二隧道來傳送，
圖3示出一實施例，其中VPN客戶端或VPN伺服器確定服務質量並且選擇第一隧道或第二隧道，
圖4示出另一個實施例，其中QoS參數在業務映射單元來確定，然後業務映射單元選擇VPN客戶端或VPN伺服器的第一隧道或第二隧道，
圖5示出當業務映射單元確定哪一個隧道將要在VPN伺服器使用時送往VPN客戶端的下行鏈路業務的一實施例，
圖6示出按照本發明的一實施例的流程圖，
圖7示出按照本發明的一實施例的流程圖，
圖8是本發明的VPN節點的示意圖，
圖9是本發明的業務映射單元的示意圖，
圖10是包括在VPN節點中執行與服務質量有關的選擇時、在VPN節點中執行的主要步驟的流程圖，
圖11示出包括在業務映射單元確定服務質量中執行的主要步驟的流程圖，
圖12是一實施例中的數據業務的示意圖，其中VPN確定將要使用哪一個隧道，以及圖13示出一實施例，其中業務映射單元確定將要使用哪一個隧道。

【具體實施方式】
[0038]解決此問題的簡單化方式是令客戶端為優先級與非優先級業務發起兩個單獨VPN隧道。但是，這引起一種狀況，其中將兩個單獨IP位址指配給客戶端，並且應用必須配備有根據是否應用優先級來判定要使用哪一個地址的智能。這是非常不合需要的，因為這應當保持為儘可能對應用是透明的(並且從企業角度來看不是合乎需要的)。
[0039]在下文中，根據VPN系統來描述實施例的詳細示例。但是，要理解，這個描述能夠一般化到符合如基本概念下所述的一般特徵的其它系統。在下文中示出這類一般化的一些示例。因此，可考慮使用特定封裝的任何網絡。
[0040]基本概念通過圖2示出，並且由兩個關鍵組件組成:
(至少)兩個單獨隧道、備選地對分組的不同標記方案的使用使得有可能令低級業務映射(分組檢查器)為不同隧道指配不同的QoS處理。這要求專用VPN客戶端和伺服器。
[0041]基於服務知識的高級業務映射器(分組檢查器)將業務映射到不同類，並且將這個分類傳遞給VPN客戶端/伺服器，其方式使得單獨分組能夠映射到不同隧道/標記方案。
[0042]如圖2所示，提出App/web客戶端10將數據業務發送給高級業務映射器300，以用於基於服務的知識將數據業務分類到對應優先化類。高級映射器300可按照符合分類業務的公認方法的不同方式來實現。它例如可實現為應用級代理，其中具有應用的內建知識。備選地，它可能是深層分組檢查實體，其編程有檢測被判定為將要優先化的某些應用流程的規則。這個分組檢查甚至可能簡單到依靠分組報頭檢查(眾所周知的IP目的地、埠號等)。在下一個步驟，將數據業務提供給VPN客戶端200，其適合將產生於所接收的優先化數據業務的數據分組映射到對應傳輸部件。在下一個步驟，單獨傳輸部件的數據分組在低級業務映射器300中映射到對應優先級承載。這例如可能是在3GPP中所定義的、例如由GGSN/PDN Gff和PCRF實體所實現的機制。要獲得更多信息，參見例如3GPP規範23.207、29.211和 29.212。
[0043]從VPN客戶端200，分組經由第一隧道91或者第二隧道92來傳送給VPN伺服器500，其中將數據傳送給高級業務映射器600。例如伺服器60、防火牆70和公共伺服器80等的其它組件對應於圖1所示的組件。
[0044]對不同VPN技術的適用性
存在不同的VPN技術，包括IPSec和SSL VPN0這裡所提供的思路能夠適用於兩者，即使技術細節可能有所不同。
[0045]隧穿/標記
應用VPN客戶端/伺服器的一種方式是例如建立從客戶端到VPN伺服器的(至少)兩個獨立隧道，並且這些然後有選擇地用於優先化與非優先化業務。這兩個隧道的差別在於例如通過使用不同IP位址和/或埠號來識別隧道的端點。
[0046]示例實現1:客戶端建立到伺服器的SSL連接。它能夠例如使用dns (例如「gow.somedomain.com」的查找)來尋找(伺服器的)IP埠。這個SSL連接能夠用來認證客戶端(例如當前用於SSL VPN的任何機制)，以向用戶提供入口以及其它交換(例如應用網關)。這個用戶(或客戶端)判定將這個SSL連接用於VPN隧穿，並且發起促進隧穿的某些過程，以交換IP位址等(通過SSL的隧穿當今專有地實現)。一旦建立這個(第一)隧道，客戶端發起(主動地或者如HL映射器所觸發)將要用於(例如優先化數據的)隧穿的第二 SSL連接。優選地無需最終用戶交互(應當對最終用戶是透明的)而建立到第二 IP位址(例如使用「gw2.somedomain.com」的DNS查找來尋找)的這個SSL連接。通過這個SSL連接的隧穿的建立可與第一個相似，但是新IP位址的分配可能省略。
[0047]示例實現2:第一 SSL VPN和隧道按照與前一示例相似的方式來建立。但是，在這種情況下，客戶端和伺服器協商使第二隧道通過埠號而不是IP位址來識別。它可能通過使用伺服器側的不同埠(與用於SSL的標準埠 443不同)進行，或者通過使用客戶端側的不同埠進行。
[0048]另一個變化使用單個隧道繼續進行，但是改為例如使用DiffServCondePoin(DSCP)(其由低級業務映射器使用)來標記出局分組。
[0049]示例實現3:第一 SSL VPN隧道按照與對於I相似的方式來建立。客戶端和伺服器協調使用DifTServ標記來標記應該優先化的分組。備選地，這通過實現(沒有協商)來預先確定。
[0050]能夠對例如IPSec情況設計類似解決方案。
[0051]功能分布的不同模型基於具有與專用VPN客戶端/伺服器進行交互的高級映射器的這個模型，有可能按照不同方式來劃分功能性，如以下所述。這些只是具有相應優點的本發明的兩種不同變體。
[0052]VPN客戶端和伺服器中心模型
在一個實施例中，提出分別在VPN客戶端或者在VPN伺服器中提供更大智能。
[0053]在現有技術中，VPN客戶端僅建立單個隧道。客戶端對伺服器交互的正常行為將一個IP位址關聯到並且指配給請求隧道的客戶端(使客戶端在邏輯上成為伺服器內裡的子網的一部分)。因此，使具有至少兩個IP位址的至少兩個隧道指配給客戶端並且是客戶端IP棧可見的在實際上不是合乎需要的。
[0054]避免這個困境的一種方式是採用客戶端和伺服器行為，使得只有單IP位址提供給上層(IP棧)，即使實際上建立和使用兩個單獨隧道。
[0055]因此，按照一個實施例，提出將所接收的數據業務分類到對應QoS類。在通過使用應用的知識或者通過進行分組檢查來區分數據業務之後，進行分類。為了分類數據業務，在這個模型中提出按照QoS類的HL分組映射器中標記數據分組。因此，在這個實施例中，分類包括按照QoS類來標記數據分組。為了標記數據分組，可使用任何適當和優選方法。例如，數據分組可在數據分組的報頭中標記。在另一步驟中，所分類和標記的業務將映射到對應隧道。因此，所標記的數據分組分別提供給第二層、VPN客戶端200或者VPN伺服器500。哪一個隧道要在VPN客戶端/伺服器中用於出局分組基於入局分組的標記。這通過圖3示出。圖3示出VPN客戶端，其從高級映射器接收所標記數據分組，選擇數據分組，並且將其發送給對應隧道。在另一個實施例中，提出將不同標記的數據分組發送給一個隧道。在這個示例中，數據分組隧道部件是一個隧道，其按照所選標記來區分所識別QoS類。在一個示例中，提出通過發送數據分組來保持標記，或者在另一個示例中，數據分組的標記可在封裝數據分組之前執行。
[0056]在接收側，在伺服器側的上行鏈路通信的情況下，VPN伺服器接收數據分組，對它進行拆封(去除任何附加標記)，以及將分組轉發到HL映射器(若需要的話)並且向前轉發到目標應用。
[0057]數據分組可在一個隧道或者在至少兩個隧道上接收，這取決於數據分組隧道部件的實現。此外，提出將數據分組提供給HL映射器，其是在第一層提供用於區分不同QoS類並且用於通過將不同QoS類映射到應用目的地來將數據業務提供給應用目的地的一實施例。在這個模型中，提出接收側具有關於所使用標記到映射到如接收器側所使用的IP位址的知識。
[0058]此外，要指出，在伺服器側執行優先化數據的提供並且接收裝置是客戶端裝置是地，所述模型也起作用。
[0059]這個模型的優點在於，高級映射器對代理能力具有小許多的相關性，並且可(可能)實現為深層分組檢查實體。
[0060]在圖3所示的實施例中，由VPN伺服器為客戶端指配單個IP位址。單個IP位址從VPN客戶端向上指配給單個虛擬接口。在圖3的實施例中，如上所述，VPN客戶端或VPN伺服器必須確定哪一個隧道要發送分組。圖12中，示出圖3所公開實施例的更詳細視圖。把來自客戶端裝置10的數據分組傳送給圖12所示的應用伺服器16。如上所述，數據分組來自業務映射單元300，其中引入與業務的優先化有關的標記，分組經過客戶端裝置的IP棧11來傳送。虛擬接口 210是分組到達VPN客戶端的接口。到達分組是在VPN客戶端200添加外報頭之前的原始分組。客戶端的內報頭具有源地址，其是虛擬接口的IP位址，在這裡為編號17.17.17.17。數據分組的目的地是具有IP位址21.21.21.21的應用伺服器。因此，如圖12所示，內報頭包括這兩個IP位址。在VPN客戶端200，添加外報頭，在這裡是作為源的物理接口的IP位址以及在VPN伺服器的物理接口 IP位址。對於沿從應用伺服器到客戶端的另一方面的傳輸，交換IP位址，如在圖12的下部能夠看到，其中示出從伺服器60到客戶端裝置的傳輸。客戶端裝置10包含物理接口 12，以及伺服器包含物理接口 25與IP棧15的物理接口 25，上層映射器600在伺服器側示出。
[0061]在圖12所示的實施例中，僅示出將VPN伺服器連接到VPN客戶端的單個隧道。但是，這只是為了清楚起見，當提供兩個隧道時，另一隧道、即未選擇隧道在圖12中未示出。在VPN客戶端中進行關於要使用哪一個隧道的判定的實施例中，單個IP位址用於VPN客戶端側的兩個隧道。在伺服器側，也有可能使用單個IP位址。在這個實施例中，兩個隧道則可使用埠號或者使用圖9中未示出、但是還存在於各隧穿分組的附加隧道報頭中的標識符來區分。在圖3和12所示的實施例中，隧道的報頭在IP 5元組中有所不同。在伺服器側的兩個隧道具有不同IP位址或者不同埠號或者隧道報頭中包含的不同標記。
[0062]高級映射器中心模型
一備選方式/實施例能夠允許使用兩個單獨隧道，其中兩者均獲得對其指配的IP位址。它可能是優選的，以便使對VPN客戶端的影響為最小。在這種情況下，更大智能提升到高級映射器功能。
[0063]在這種情況下，高級映射器(客戶端)能夠指示VPN客戶端請求具有所指配的兩個單獨IP位址的兩個隧道。高級映射器則能夠確保這對應用是充分透明的，但是兩者均用於基礎通信。
[0064]首先，HL通過使用應用的知識或者通過進行分組檢查，來區分數據業務。在下一個步驟，將執行所區分數據分組的分類。按照高級映射器中心模式方式，分類基於向數據分組指配與對應隧道相關的對應IP位址。提出執行地址轉化。因此，HL映射器將確保分組使用不同源IP位址(在從客戶端朝伺服器發送時)或目標地址(在從伺服器發送給客戶端時)來向下發送。這些地址由VPN層(客戶端或伺服器，取決於方向)用來將分組映射到正確隧道(各隧道具有與其關聯的IP位址)，其然後在LL映射器中使分組經過優先化或者沒有優先化。
[0065]因此，提出HL高映射器在客戶端和伺服器兩端執行地址轉化，使得地址從端對端角度來看似乎未改變。
[0066]圖4示出VPN客戶端，其從具有新IP位址的高級映射器300接收數據分組，並且將其發送給具有對應IP位址的對應隧道。在伺服器側，VPN伺服器接收數據分組，對其進行解封，以及將分組轉發到HL映射器(若需要的話)並且向前轉發到目標應用。本文中進行對於將指配給隧道的IP位址轉化成指配給客戶端的IP位址，使得僅向目的地顯示一個IP位址。
[0067]另一個備選方案是簡單地將兩個地址用於網絡綁定連接，S卩，作為代理進行操作。如果應用具有這種性質以使得通信的網絡側端點無需看到實際客戶端IP位址(作為入局分組的源IP)，則如果在HL映射器功能在與網絡側端點進行通信時使用這些地址作為源IP，它在實際上是個問題。(由網絡側端點所接收的優先化和非優先化流具有不同的源IP。)存在關於可如何實現代理的任何數量的方法。在一個實施例中，它可以是HTTP代理，其中HL映射器(充當代理)通過TCP從應用客戶端接收HTTP請求，並且發出相同HTTP請求，但是在另一側使用不同TCP連接和不同源IP (朝HTTP伺服器)。
[0068]下面按照圖4和圖5更詳細地提供HL映射器中心解決方案。
[0069]圖4示出用於從客戶端200向伺服器500發送數據業務的上行鏈路方向。因此，客戶端側的應用僅知道用於執行VPN網絡中的通信的一個地址，即，地址A。將數據業務提供給HL映射器300，其通過對QoS類進行判定來分類數據業務。HL映射器先驗地向VPN客戶端200請求建立不同QoS類的至少兩個隧道。VPN客戶端在建立隧道時向HL映射器300提供對應IP位址。因此，在這個實施例中，分類步驟包括HL映射器在對QoS類進行判定時可改變源IP位址，同時將所分類數據業務指配給對應隧道。因此，所分類數據分組攜帶新IP位址，並且轉發到VPN客戶端200，其例如在VPN中執行數據分組的安全封裝，並且按照其優先級、通過所建立隧道來發送數據。按照圖4，數據使用A地址通過隧道或者使用B地址使用隧道B來發送。因此，在這個實施例中，數據分組隧道部件是兩個不同隧道A和B，其適合區分所識別QoS類A和B。
[0070]在接收器側、因而在伺服器接收安全封裝數據分組時，首先在下一個步驟去除安全封裝，通過檢查所使用IP位址來執行不同Q0S類的區分。此外，通過在HL映射器300中將所接收數據分組轉化為一個IP位址，來執行不同QoS類映射到應用目的地，或者在HL映射器作為代理進行操控的情況下，將兩個地址提供給應用。
[0071]圖5示出用於從伺服器500向客戶端200發送數據業務的下行鏈路方向。因此，伺服器側的應用可在HL映射器300為代理的情況下向一個地址A或者向兩個地址A和B進行發送。將數據業務提供給HL映射器，其通過對QoS類進行判定來檢查和分類數據業務。
[0072]因此，HL映射器在對QoS類進行判定時可改變目標IP位址，同時將所分類QoS數據業務指配給對應隧道。
[0073]如果來自應用伺服器的分組直接使用B地址來發送，則HL映射器將數據映射到具有B地址的隧道。因此，將所分類數據分組轉發到VPN伺服器，其例如在VPN中執行數據分組的安全封裝，並且按照其優先級、通過所建立隧道將數據發送到客戶端。按照圖5，數據使用A地址通過隧道或者使用B地址使用隧道B來發送。在客戶端側接收數據分組時，所接收數據分組中的地址在HL映射器中轉化成一個IP位址，並且轉發到應用客戶端。
[0074]圖13中，示出圖4和圖5所示的實施例的更詳細視圖。在這個實施例中，上層映射器300必須確保分組經過正確的虛擬接口、即接口 220或者230發送給VPN客戶端200。如圖13所示，以兩個不同IP位址來展示兩個虛擬接口。業務映射單元300通知基礎IP棧關於要採取哪一個IP位址，或者IP棧可對其進行確定。但是，一般來說，上層映射器能夠控制兩個IP位址的哪一個用作隧穿分組的源，因此業務映射單元300控制選擇兩個隧道的哪一個。如同圖12的實施例中一樣,僅不出所選隧道,未選擇隧道在圖13中未不出。IP位址的每個與隧道關聯。但是，如圖13所示，客戶端裝置將具有一個IP位址，在本例中為與物理接口(其用於外報頭中)關聯的IP位址12.13.14.15，並且它將具有與各隧道接口關聯的一個地址。如能夠看到，它們是內報頭的源地址。在VPN伺服器，可使用端接兩個隧道但使用不同埠的一個IP位址，或者有可能也在VPN伺服器使用兩個IP位址，各隧道一個。VPN伺服器還充當客戶端的路由器/網關。將要路由到客戶端的任何分組、即虛擬隧道接口的地址將首先路由到伺服器，其然後將封裝分組，並且將目標地址設置為客戶端的物理地址。
[0075]又參照圖13中的客戶端，上層映射器300將必須向IP棧指示哪一個IP位址應當用作源。
[0076]映射的控制
高級映射器是實際上控制如何映射業務的映射器。因此，可需要某種策略控制。在網絡側，它可能連接到策略控制器等。對於客戶端側，策略需要使用某個協議向HL映射器發信號通知。這可能與對於LL映射器(其中例如可使用正常3GPP機制)是不同的。這不(可能)是完全適合此目的的任何標準化協議，因此它可能是某種專有解決方案、例如使用S0AP/XML的某種交換。
[0077]實現備選方案。
[0078]低級映射器基本上是處理承載映射、策略控制、承載觸發等的現有機制的再使用。在移動情形中，核心低級映射器能力由例如GGSN/TON GW連同PCRF來實現。在本發明的上下文中，例如建立PCRF和GGSN/TON網關，以映射在專用承載上的優先化隧道以及通過預設承載的非優先化隧道所發送的業務(例如使用2ry PDP上下文過程來建立)。
[0079]PCRF和GGSN/TON GW可採用執行分組檢查的外部實體(例如智能管道控制器)來補充，其在檢測優先化隧道觸發PCRF (使用Rx)來建立專用承載。備選地，它能夠觸發PCRF來修改預設承載。外部分組檢查器和GGSN均基於預先配置知識、或者眾所周知的IP位址、埠或者DiffServ CodePoint來識別通過優先化隧道所發送的分組。
[0080]高級映射器功能可內建到應用(客戶端或伺服器)中，或者它可作為代理功能來部署。這適用於網絡側和客戶端側。對於客戶端側，它例如可與作業系統進行交互，以提供虛擬網絡接口，以便確保所有網絡定向業務由HL映射器來截取和處理。在網絡側，它可能作為透明裝置/代理來部署(例如使用基於策略的路由選擇)，或者它可由HL映射器客戶端直接尋址，例如，客戶端將分組發送給伺服器(其然後自動接收它們)的IP位址，其作為代理進行操作，並且進行DNS查找(基於應用級信息，例如HTTP請求報頭)，以尋找最終IP端點。
[0081]高級映射器也可與VPN客戶端和伺服器集成，從而使必要交互是內部的。備選地，可分離它們，並且必要API和分組標記使用組網技術來實現。
[0082]低級映射器不需要與VPN伺服器/客戶端或高級映射器並存，只要必要信息在分組中是可用的，從而允許到QoS級的映射(S卩，IP位址、埠、DSCP欄位)。
[0083]圖6中，示出在VPN客戶端或VPN伺服器中執行關於要使用哪一個隧道的判定時的主要步驟。在步驟S61，接收數據業務，以及在步驟S62，區分數據業務。在下一個步驟S63，通過確定QoS參數，即通過對QoS類進行判定，來分類數據業務。在下一個步驟S64，所分類數據分組映射到隧道部件，其能夠區分所識別QoS類。在步驟S65，所分類數據分組基於所確定服務質量來映射到兩個隧道之一。在步驟S66，封裝數據供傳輸。
[0084]圖7中，示出對應接收側。在VPN客戶端或者VPN伺服器，在步驟S71從網絡接收數據分組。在步驟S72，去除封裝，以及在步驟S73，區分不同QoS類。在步驟S74，不同QoS類映射到應用目的地，以及在步驟S75，將數據提供給應用目的地。
[0085]圖10中，示出流程圖，概述在VPN伺服器或VPN客戶端中執行隧道的選擇時，在VPN客戶端或VPN伺服器中執行的步驟。該方法開始於步驟S110。在步驟S11，確定QoS參數。QoS參數可例如使用區分服務端點(DSCP)中包含的信息來確定。VPN節點然後選擇對所需QoS參數或服務類所確定的第一或第二隧道，並且在S113經過第一或第二隧道來傳送數據。該方法在步驟S114結束。
[0086]圖11中，示出流程圖，其包括由業務映射單元所執行的主要步驟，其中業務映射單元確定所需服務質量，並且將分組傳送給VPN節點中的對應IP位址。該方法開始於步驟S120。在下一個步驟S121，確定QoS參數，尤其如以上更詳細描述。在下一個步驟，將數據分組傳送給VPN節點的對應IP位址，因為每個IP地理與隧道關聯(步驟S122)。該方法在步驟S123結束。
[0087]圖8中，示出VPN節點的示意圖，其中VPN節點確定所需服務質量，並且選擇對應隧道。在所示示例中，它是VPN客戶端200。但是，應當理解，相同組件也可包含在VPN伺服器中。VPN客戶端包括QoS確定模塊210，其確定數據業務的數據分組的QoS參數或類。提供隧道模塊220或隧道部件，其配置成建立到另一 VPN節點的兩個不同隧道。提供控制模塊230以操作VPN節點。示意示出輸入/輸出單元240，其用於與圖2、圖5和圖12-13所示的其它組件的數據交換。
[0088]圖9中，示出業務映射單元300。業務映射單元包括質量確定模塊310，提供控制模塊320以操作業務映射單元。可提供地址轉化單元340，以執行地址轉化，如結合圖4和圖5或圖13所述。提供輸入/輸出單元330，以用於與上述其它組件的通信。
[0089]應當理解，業務映射單元和VPN節點均能夠包括附加功能和組件。僅為了清楚起見，示出功能組件，其是了解本發明所必需的。所示的組件可通過軟體或硬體或者通過軟體或硬體的組合來結合。
[0090]發明的優點
-一般優點在於，它使優先化對於VPN業務是可能的。
[0091]-與例如基於路由器的預分類相比的優點在於，它在功能布置方面更為靈活，並且它對普通客戶端VPN連接起作用。
[0092]-高級映射器控制方式的優點在於，它使VPN客戶端/伺服器影響為最小，從而使它更易於在例如正常SSL或IPSec客戶端上構建。
[0093]-VPN客戶端和伺服器中心解決方案的優點在於，HL映射器可實現為DPI功能，與代理功能相反。
【權利要求】
1.一種用於使用數據分組的安全封裝、通過網絡經由VPN客戶端(200)和VPN伺服器(500)在發送裝置(10，80)與接收裝置(80，10)之間傳送數據業務的所述數據分組的方法，所述方法包括下列步驟: -確定所述數據業務的所述數據分組的服務質量QoS參數， -基於所確定服務質量為所述數據分組選擇連接所述VPN客戶端(200)和所述VPN伺服器(500)的第一隧道(91)或者連接所述VPN客戶端(200)和所述VPN伺服器(500)的第二隧道(92)。
2.如權利要求1所述的方法，其中，所述第一或第二隧道的選擇由所述VPN客戶端(200)或伺服器(500)來執行。
3.如權利要求1或2所述的方法，其中，將單個IP位址指配給虛擬接口，其中數據業務的所述數據分組在所述VPN客戶端從所述發送裝置來接收。
4.如權利要求3所述的方法，其中，所述單個IP位址對於經過所述第一或第二隧道所傳送的數據業務的所有數據分組是相同的，並且對應於所述隧穿數據分組的內IP報頭的源地址。
5.如權利要求3所述的方法，其中，所述單個IP位址對於經過所述第一或第二隧道所傳送的數據業務的所有數據分組是相同的，並且對應於所述隧穿數據分組的內IP報頭的目標地址。
6.如以上權利要求中的任一項所述的方法，其中，所述兩個隧道由所述VPN客戶端來請求，所述單個IP位址由所述VPN伺服器指配給所述VPN客戶端的所述隧道。
7.如權利要求1所述的方法，其中，所述第一或第二隧道的選擇在業務映射單元(300，600)中執行，業務映射單元(300，600)向所述VPN客戶端(200)或VPN伺服器(500)傳送與所述所選第一或第二隧道有關的信息。
8.如權利要求7所述的方法，其中，所述數據分組根據所述所確定QoS參數來發送給所述VPN的第一虛擬接口的第一 IP位址或者發送給所述VPN客戶端的第二虛擬接口的第二IP位址，一個IP位址與所述隧道的每個關聯。
9.如權利要求8所述的方法，其中，所述數據業務包含源和目標IP位址，其中當確定所述QoS參數時，所述源IP位址根據在向所述VPN伺服器發送所述數據分組時的所確定QoS參數來轉化成所述第一 IP位址或者所述第二 IP位址。
10.如權利要求8所述的方法，其中，所述數據業務包含源和目標IP位址，其中當確定所述QoS參數時，所述目標IP位址根據在向所述VPN客戶端發送所述數據分組時的所確定QoS參數來轉化成所述第一 IP位址或者所述第二 IP位址。
11.如權利要求9或10所述的方法，其中，當所述數據業務根據所述所確定QoS參數經過了所述第一或第二隧道時，所轉化IP位址在所述VPN伺服器的業務映射單元又轉化成所述源地址，或者在所述VPN客戶端的所述業務映射單元又轉化成所述目標地址。
12.如以上權利要求中的任一項所述的方法，其中，所述QoS參數在第一層中確定，其中將具有所述所確定QoS參數的所述數據業務提供給位於協議棧中的所述第一層下面的第二層，其中所述數據分組映射到所述第一或第二隧道，其中所述數據分組在第三層中傳送。
13.—種配置成使用數據分組的安全封裝、通過網絡經由另一個虛擬專用網絡節點(500)在發送裝置(10，80)與接收裝置(80，10)之間傳送數據業務的所述數據分組的虛擬專用網絡節點(200)，所述虛擬專用網絡節點(200)包括: -質量確定模塊(210)，配置成確定所述數據業務的所述數據分組的服務質量(QoS)參數， -隧道模塊(220)，配置成建立將所述虛擬專用網絡節點(200)與所述另一虛擬專用網絡節點(500)連接的第一隧道(91)，並且配置成建立將所述虛擬專用網絡節點(200)與所述另一虛擬專用網絡節點(500)連接的第二隧道(92)， -控制模塊(230)，配置成基於所確定服務質量來選擇所述數據業務的所述第一隧道或者所述第二隧道。
14.一種包括VPN客戶端200和VPN伺服器500的系統，配置成使用數據分組的安全封裝、通過網絡經由所述VPN客戶端和所述VPN伺服器(500)在發送裝置(10，80)與接收裝置(80，10)之間傳送數據業務的所述數據分組，所述系統包括: -質量確定模塊(210)，配置成確定所述數據業務的所述數據分組的服務質量(QoS)參數， -隧道模塊(220)，配置成建立將所述VPN客戶端(200)與所述VPN伺服器(500)連接的第一隧道(91)，並且配置成建立將所述VPN客戶端(200)與所述VPN伺服器(500)連接的第二隧道(92)， -控制模塊(230)，配置成基於所確定服務質量來選擇所述數據業務的所述第一隧道或者所述第二隧道， 其中所述隧道模塊配置成按照使得所述兩個隧道在所述VPN客戶端具有單個IP位址的方式來建立所述第一隧道和所述第二隧道。
15.如權利要求14所述的系統，其中，其中所述隧道模塊配置成按照使得所述兩個隧道在所述VPN伺服器具有單個IP位址的方式來建立所述第一隧道和所述第二隧道。
16.一種業務映射單元(300，600)，包括: -質量確定模塊(310)，配置成確定使用數據分組的安全封裝、經由VPN客戶端(200)和VPN伺服器(500)在發送裝置(10，80)與接收裝置(80，10)之間所傳送的數據業務的所述數據分組的服務質量參數； -控制模塊(320)，配置成基於所確定QoS參數為所述數據業務選擇所述PVN客戶端的、關聯將所述VPN客戶端(200)與所述VPN伺服器(500)連接的第一隧道的第一 IP位址或者VPN客戶端的、關聯將所述VPN客戶端與所述VPN伺服器連接的第二隧道的第二 IP位址； -發射器(330)，配置成基於所述控制模塊的選擇將數據業務傳送給所述第一或第二IP位址。
17.如權利要求16所述的業務映射單元(300)，還包括地址轉化單元(340)，其配置成轉化所述數據業務的報頭中的源和/或目標IP位址，其中所述地址轉化單元(340)配置成根據向所述VPN伺服器發送所述數據分組時的所確定QoS參數將所述源IP位址轉化成所述第一 IP位址或者所述第二 IP位址。
18.如權利要求16或17所述的業務映射單元,還包括地址轉化單元(340),其配置成轉化所述數據業務的報頭中的源和/或目標IP位址，其中所述地址轉化單元配置成根據向所述VPN客戶端發送所述數據分組時的所確定QoS參數將所述目標IP位址轉化成所述第一 IP位址或者所述第二 IP位址。
19.如權利要求16至18中的任一項所述的業務映射單元，其中，所述質量確定模塊(310)配置成在所述VPN客戶端或VPN伺服器執行所述數據分組的安全封裝之前確定所述QoS參數。
20.—種包括業務映射單元(300)和VPN客戶端(200)的系統，所述業務映射單元包括: -質量確定模塊(310)，配置成確定使用數據分組的安全封裝、經由VPN客戶端(200)和VPN伺服器(500)在發送裝置(10，80)與接收裝置(80，10)之間所傳送的數據業務的所述數據分組的服務質量參數； -控制模塊(320)，配置成基於所確定QoS參數為所述數據業務選擇所述PVN客戶端的、關聯將所述VPN客戶端(200)與所述VPN伺服器(500)連接的第一隧道的第一 IP位址或者VPN客戶端的、關聯將所述VPN客戶端與所述VPN伺服器連接的第二隧道的第二 IP位址； -發射器(330)，配置成基於所述控制模塊的選擇將數據業務傳送給所述VPN客戶端的所述第一或第二 IP位址，其中所述VPN客戶端包含第一虛擬接口，其中所述業務映射單元所傳送的所述數據分組在對其指配所述第一 IP位址的所述VPN客戶端來接收，所述VPN客戶端包含第二虛擬接口，其中所述數據分組在對其指配所述第二 IP位址的所述VPN客戶端來接收。
【文檔編號】H04L12/46GK104170329SQ201380014424
【公開日】2014年11月26日 申請日期:2013年3月13日 優先權日:2012年3月14日
【發明者】H.巴西利爾 申請人:瑞典愛立信有限公司