安全數據連接請求的重定向的製作方法

2023-08-09 12:15:11 2

專利名稱：安全數據連接請求的重定向的製作方法
安全數據連接請求的重定向
背景技術：
如今客戶機設備與安全網絡之間的遠程連接是常見的。例如，身處公司辦公室外部的攜帶客戶機設備(如，膝上型計算機)的員工可與公司網絡建立遠程連接以訪問受保護的文件與數據。大的系統一般具有多於一個的進入安全網絡的入口點。對於特定客戶機，取決於諸如該客戶機的位置等不同的參數，一個入口點可能相對於另一個入口點更為合適。例如， 當一個安全網絡具有多個入口點時，特定的入口點可能相對於另一個入口點更適合於特定的客戶機。在這樣的情況下，如果客戶機被配置成經由不合適的入口點連接到該安全網絡， 可能需要手動地將該客戶機配置為經由更合適的入口點連接到該安全網絡。當該客戶機接著移動到另一個位置的時候，不同的入口點可能變得更合適，則需要再次手動地配置該客戶機。

發明內容
公開了標識安全數據網絡中的目標組的安全數據連接請求的處理方法。該目標組可能是目標伺服器、客戶機計算機或者其他計算設備。按照該方法，客戶機經由第一網關試圖啟動與目標伺服器的安全數據連接。該第一網關應用邏輯以確定是否有客戶機應該使用來連接到目標伺服器的備選網關(如，第二網關)。該第二網關可以是相比第一網關，對客戶機更合適的入口點。當確定了該第二網關是更合適的或者優選的入口點時，第一網關將客戶機重定向以啟動向第二網關的連接請求。每一次客戶機試圖連接到目標伺服器時，可自動地發生對於客戶機連接請求是否應該從第一網關重定向到第二網關的判定。一旦被重定向，客戶機可經由第二網關建立到目標伺服器的連接。提供本概述以便以簡化形式介紹在以下詳細描述中進一步描述的一些概念。本發明內容並不旨在標識所要求保護主題的關鍵特徵或必要特徵，也不旨在用於限制所要求保護主題的範圍。


圖1是系統的特定實施例的圖，該系統支持具有經由網關的客戶機連接重定向的安全數據連接；圖2是系統的另一個特定實施例的框圖，該系統支持具有使用重定向判定服務的客戶機重定向的安全數據連接；圖3是目標伺服器的特定實施例的框圖，其中客戶機可經由圖1或圖2系統中的網關訪問該目標伺服器；圖4是系統的特定實施例的圖，該系統支持具有經由VPN入口點的客戶機重定向的安全數據連接；圖5是處理安全數據連接請求的方法的特定實施例的流程圖；圖6是處理安全數據連接請求的方法的另一個特定實施例的流程圖7是處理安全數據連接請求的方法的另一個特定實施例的流程圖；圖8是處理安全數據連接請求的方法的另一個特定實施例的流程圖；和圖9是可操作地支持如圖1-8中所示的計算機實現的方法、電腦程式產品以及計算機系統組件的各實施例的計算環境的框圖。
具體實施例方式在特定實施例中，公開了一種方法，其包括從第一網關處接收來自客戶機設備的第一安全數據連接請求。該第一安全數據連接請求標識了目標伺服器。該方法包括從第一網關發送重定向消息給客戶機設備，指示該客戶機設備發送第二安全數據連接請求給備選網關(如，第二網關)，從而該客戶機設備經由該第二網關啟動向目標伺服器的安全數據連接。在另一個特定實施例，公開了含有伺服器的系統，其中使用安全數據連接的客戶機經由網關可訪問該伺服器。該系統包括多個網關。每個網關能從客戶機設備處接收安全數據連接請求。每個網關還能與至少一個其他網關通信。每個網關能發送重定向消息給客戶機設備，指示該客戶機設備向不同的網關發送安全數據連接請求。每個網關還能促進客戶機設備與目標伺服器之間或直接或經由不同網關進行的安全數據連接。在另一個特定實施例中，公開了一種計算可讀介質。該計算機可讀介質包括指令， 當由計算機執行該指令時，導致該計算機從第一網關處接收來自客戶機設備的第一超文本傳輸協議安全(HTTPQ連接請求。該第一 HTTPS連接請求標識了目標伺服器。該計算機可讀介質還包括指令，當由計算機執行該指令時，導致該計算機從第一網關發送HTTP重定向消息給客戶機設備，指示該客戶機設備發送第二 HTTPS連接請求給第二網關。該HTTP重定向消息指定了第二網關的地址，從而經由該第二網關啟動該客戶機設備與目標伺服器之間的連接。在特定實施例中，該第一網關是虛擬專用網絡(VPN)網關，且第二網關是VPN網關。 還可使用其他使用HTTPS傳輸機制的連接技術。圖1是系統100的特定實施例的圖，該系統支持具有經由網關的客戶機連接重定向的安全數據連接。該系統100包括駐留在諸如防火牆保護的數據網絡之內的安全數據網絡104中的目標伺服器102。該系統包括多個網關。在圖示實施例中，多個網關包括第一網關120和第二網關130。第一網關120和第二網關130是為說明目的而示出的代表性網關。客戶機設備，諸如客戶機計算機110、客戶機行動裝置111和客戶機自助服務終端 (kisok) 112可向多個網關中的任何一個發送標識目標伺服器102的安全數據連接請求。例如，為請求到目標伺服器102的安全數據連接，客戶機計算機110向第一網關 120發送第一安全數據連接請求140。該第一安全數據連接請求140標識了目標伺服器102。 例如，該第一安全數據連接請求140可通過指定與目標伺服器102相關的IP位址來標識目標伺服器102。第一網關120含有處理邏輯122，其含有重定向判定邏輯124。一旦在第一網關120處接收到第一安全數據連接請求140，該重定向判定邏輯IM確定要指示第一客戶機計算機110嘗試經由第二網關130的安全數據連接。例如，可確定第二網關130相比第一網關120對客戶機計算機110而言更優選，因為第二網關130位於距客戶機計算機110更近之處，或者因為該第二網關130不如第一網關120那樣忙碌。因此，第一網關130向客戶機計算機110發送重定向消息142。該重定向消息142含有引導客戶機計算機110向第二網關130發送第二安全數據連接請求144的指令。一旦接收到該重定向消息142，客戶機計算機110向第二網關130發送第二安全數據連接請求144。該第二網關130含有處理邏輯 132，其建立客戶機計算機110和目標伺服器102之間經由第二網關130的安全數據連接。 應該注意的是圖1的實施例，其中客戶機計算機110在一次重定向之後連接到目標伺服器 102，這是說明性的而不是限制性的。在特定實施例中，在連接到目標伺服器102之前，客戶機計算機110可被引導多於一次。可使用安全協議傳送安全數據連接請求，諸如第一安全數據連接請求140和第二安全數據連接請求144。安全協議的示例包括超文本傳輸協議安全(HTTPS)和安全套接字隧道協議(SSTP)。還可使用另一個傳輸機制，諸如網際網路協議第6版(IPv6-HTTPS)。不需要使用同樣的安全協議傳送第一安全數據連接請求140和第二安全數據連接請求144。例如，可在HTTPS上傳送第一安全數據連接請求140，在SSTP上傳送第二安全數據連接請求 144。可在諸如超文本傳輸協議(HTTP)之類的未加密協議上傳輸重定向消息，諸如來自第一網關120的重定向消息142。可使用安全網絡框架來建立客戶機設備與目標伺服器102之間的安全數據連接。 說明性的安全網絡框架實現是虛擬專用網絡(VPN)。可使用VPN的各種實現，諸如基於安全套接字層的VPN(SSL-VPN)、基於網際網路協議安全(IPkc)的VPN、開放的VPN(OpenVPN)和基於點對點隧道協議的VPN(PPTP-VPN)。重定向消息142和第二安全數據連接請求144 二者均可被自動地發送或接收，也就是說，不需要客戶機計算機110處的任何用戶動作。這樣，不需要客戶機計算設備110的手動重新配置去將安全數據連接請求發送給第二網關130，而不是第一網關120。因此可以理解的是圖1的系統提供了客戶機設備安全數據連接請求從一個網關到另一網關的自動重定向，無需客戶機設備手動重新配置，藉此減少了客戶機設備用於建立安全數據連接的所需要的時間與精力。還要注意的是儘管圖1的系統示出了與安全數據網絡中的目標伺服器的安全數據連接，圖1的系統還可支持在安全數據網絡之外的客戶機計算機和安全數據網絡內的客戶機計算機之間的安全對等數據連接。進一步，應該注意的是儘管圖1的系統示出與位於安全數據網絡中的一個位置， 也就是與安全數據網絡104中的目標伺服器102的安全數據連接，但還可使用圖1的系統來建立與安全數據網絡中多於一個的目標計算設備的安全數據連接。例如，如上所述的，在客戶機計算機110已經經由第二網關130建立了與目標伺服器102的第一安全數據連接之後，在保持第一安全數據連接的情況下，客戶機計算機110可試圖建立與安全數據網絡104 中的第二目標伺服器(未示出)建立第二安全數據連接。在這個示例中，客戶機計算機110 可試圖經由第二網關130建立第二安全數據連接，該第二網關130可將客戶機計算機110 重定向到第一網關120，則客戶機計算機110可經由該第一網關120建立到第二目標伺服器的第二安全數據連接。在特定實施例中，第二網關130可將客戶機計算機110重定向到第一網關120以實現負載平衡或為了其它目的。因此可以理解的是圖1的系統支持在同一個客戶機計算機與在同一個安全數據網絡中的一個或多個目標設備之間建立多個安全數據連接。圖2是系統200的另一個特定實施例的框圖，該系統支持具有使用重定向判定服務的客戶機重定向的安全數據連接。在特定實施例中，圖2的系統可包括很多與參照圖1所述的相同或類似的特徵。相應地，為簡化關於圖2的描述，在圖1所示系統與圖2所示系統中可能是相同或類似的特徵被給予了相同的參考標號。圖2的系統200包括能向多個網關發送安全數據連接請求的客戶機設備210。 例如，在圖2所示實施例中，多個網關包括第一網關120和第二網關130。每個網關能與至少一個其他網關通信。例如，在圖2中，第一網關120和第二網關130能進行網關間 (inter-gateway)通信M0。每個網關還能與重定向判定服務270通信。客戶機設備210包括客戶機連接屬性220和HTTP連接指令230。在特定實施例中， 該客戶機連接屬性220和HTTP連接指令230可位於客戶機設備的存儲器上。在另一個特定實施例中，客戶機設備210可以是諸如圖1中的客戶機計算機110的計算機，諸如圖1中的行動裝置111的行動裝置或者諸如圖1中的客戶機自助終端設備112的自助終端設備。 客戶機連接屬性可包括客戶機210的客戶機標識符(ID) 221、客戶機設備210的位置222、 客戶機設備210的優先級別223、與該客戶機設備210相關的一個或多個服務質量指示符 224以及與該客戶機210相關的一個或多個動態評估的屬性225，以及其他可選的。客戶機連接屬性220還可包括最後使用以建立安全數據連接的網關的地址226、隨機網關地址227 和分配給客戶機設備210的默認網關地址228。在特定實施例中，客戶機連接屬性220可包括為客戶機設備210所連接過的每一個本地網絡而最後使用的網關226。也就是，客戶機連接屬性220可包括為客戶機已訪問的每一個網絡而最後使用的網關226。例如，當客戶機設備210是已經從家庭網絡、咖啡店網絡和機場網絡連接至安全數據網絡的行動裝置，客戶機連接屬性220可包括為家庭網絡、咖啡店網絡和機場網絡中的每一個最後使用的網關 226。可使用客戶機連接屬性220來確定向何處發送安全數據連接請求，諸如圖1的第一安全數據連接請求140和圖1的第二安全數據連接請求144。例如，客戶機設備210可向包括在客戶機連接屬性220中的網關地址中的一個發送安全數據請求。還可在安全數據連接請求中包括有一個或多個客戶機連接屬性220，諸如圖1的第一安全數據連接請求140和圖1 的安全數據連接請求144。還可在重定向消息中包括有一個或多個客戶機連接屬性220，諸如圖1的重定向消息142。客戶機ID221可包括與客戶機設備210相關的唯一標識符或設備暱稱。客戶機 ID221還可包括與關聯於客戶機設備210的一個或多個用戶相關的標識信息。位置信息222 可包括客戶機設備210的IP位址、有關客戶機設備210的地理位置的信息和其他關於客戶機設備210的路由信息。與客戶機設備210相關的服務質量指示符2M可包括與客戶機設備210的性能相關的一個或多個性能度量，諸如處理等待時間和數據吞吐量。與客戶機設備210相關的動態評估的屬性225可包括與客戶機相關的一個或多個屬性，該一個或多個屬性可隨時間變化並可在它們每次被客戶機設備210使用時被重新評估。動態評估的屬性 225包括在安全數據網絡中客戶機設備可連接到的可用的網關的列表和不可用的網關的列表。重定向判定服務270可能位於特定網關上、位於目標伺服器上，諸如圖1的目標伺服器102、位於可經由安全連接訪問網關的網絡伺服器上、或者位於安全數據網絡104內的任何伺服器上。重定向判定服務270可包括用於一個或多個伺服器的伺服器連接屬性250， 可包括用於多個網關中的每一個的網關連接屬性260。伺服器連接屬性250可包括目標伺服器位置信息251、有關目標伺服器102上所提供的服務252的信息、有關目標伺服器102的一個或多個服務質量指示符253，和有關目標伺服器102的一個或多個動態評估的屬性 254。目標伺服器位置信息251可包括目標伺服器102的IP位址、有關目標伺服器102 的地理位置的信息，和其他關於目標伺服器102的路由信息。與目標伺服器102相關的服務質量指示符253可包括與目標伺服器102的性能相關的一個或多個性能度量，諸如處理等待時間和數據吞吐量。與目標伺服器102相關的動態評估的屬性2M可包括與目標伺服器102相關的一個或多個屬性，該一個或多個屬性可隨時間變化並可在它們每次被重定向判定服務270使用時被重新評估。動態評估的屬性254的示例包括安全數據網絡內可用於促進與目標伺服器102的連接的網關，和不可用於促進與目標伺服器102的連接的網關。對於特定的網關，諸如第一網關120或第二網關130，用於特定網關的網關連接屬性260可包括特定網關的網關位置信息沈1、特定網關的連接計數沈2、與該特定網關相關的一個或多個服務質量指示符263，和與該特定網關相關的一個或多個動態評估的屬性 264。特定網關的網關位置信息261可包括網關的IP位址、與網關的地理位置相關的信息，和與網關相關的其他路由信息。特定網關的連接計數262可包括該網關所支持的並發連接的全部數量或該網關所支持的唯一客戶機設備的全部數量。例如，如果在特定時間該特定網關促進五個安全數據連接，那麼該特定網關此時的連接計數262是五。與特定網關相關的服務質量指示符263可包括與特定網關的性能相關的一個或多個性能度量，諸如處理等待時間和數據吞吐量。與特定網關相關的動態評估的屬性264可包括與特定網關相關的一個或多個屬性，該一個或多個屬性可隨時間變化並可在它們每次被重定向判定服務 270使用時被重新評估。動態評估的屬性264的一個示例是特定網關的狀態，諸如該網關是否暫時地掉線。在操作中，客戶機設備210向第一網關120發送第一安全數據連接請求140。該第一安全數據連接請求140可標識目標伺服器102。可在客戶機設備210處基於客戶機連接屬性220來選擇接收該第一安全數據連接請求140的網關，客戶機連接屬性220諸如最後使用的網關地址226、隨機網關地址227或默認網關地址228。如上所述，第一網關120能與第二網關130進行網關間通信M0，並能與重定向判定服務270通信。第一網關120使用這些通信選項中的一個或全部來確定是否重定向客戶機設備210。在圖2的實施例中，一旦接收到第一安全數據連接請求140，第一網關120與重定向判定服務270通信。第一網關120向重定向判定服務270發送重定向請求對2。然後重定向判定服務270向第一網關120送回重定向應答M4。重定向判定服務270可基於伺服器連接屬性250、網關連結屬性沈0或其組合中的至少一個而確定客戶機設備210應該被重定向到備選網關(如，第二網關130)。在特定實施例中，當第一安全數據連接請求140 中包括有一個或多個客戶機連接屬性220時，重定向判定服務270也可使用所包括的一個或多個客戶機連接屬性220來選擇將客戶機設備210重定向到哪一個網關。在圖2的示例中，重定向判定服務270將指定客戶機設備210應該被重定向的重定向應答244發送給第二網關130。可選地，如果重定向判定服務270確定客戶機設備210不應該被重定向，則重定向應答可指定不需要客戶機設備210的重定向。一旦接收到重定向應答對4，第一網關120向客戶機設備210發送重定向消息142。該重定向消息142含有引導客戶機設備210向第二網關130發送第二安全數據連接請求144的指令。響應於接收該重定向消息142，客戶機設備210向第二網關130發送標識目標伺服器102的第二安全數據連接請求144。該第二網關130建立客戶機設備210和目標伺服器102之間經由第二網關130的安全數據連接。一旦經由第二網關130建立了連接，客戶機設備210可任選地在客戶機連接屬性中將第二網關130的地址存儲為最後使用的網關地址226。然後客戶機設備210可向由最後使用的網關地址2 指定的網關發送後續的安全數據連接請求。將理解的是在圖2的系統的特定實施例中，確定客戶機設備210應該被重定向到哪裡的責任並不被限制於特定位置。而是，重定向判定服務270可位於不同位置。可理解的是，通過在決定將客戶機連接請求重定向到哪裡的時候使用伺服器連接屬性250和網關連接屬性沈0，重定向判定服務270可實行從網關到安全網絡的連接負載平衡。還可理解的是，在圖2的系統的特定實施例中，可不使用重定向判定服務270，如，基於網關間通信270 而做出重定向判定。例如，如果在網關間通信240過程中，由第二網關130通知第一網關 120 第二網關130是對客戶機設備210而言更為合適的網關，則第一網關120可在不與重定向判定服務270通信的情況下發送重定向消息142引導客戶機設備210向第二網關130 發送安全數據連接請求。例如，第一網關120在網關間通信MO的過程中可確定當前比第二網關130支持了更多數量的連接，則第一網關120可基於這個確定而引導客戶機設備210 向第二網關130發送安全數據連接請求。因此可以理解的是圖2的系統提供客戶機設備數據連接請求從一個網關到另一網關的自動重定向，無需客戶機設備手動重新配置，藉此減少了客戶機設備的用戶用於建立安全數據連接所需的時間與精力。圖3是目標系統的特定實施例的框圖300，目標系統諸如是伺服器、客戶機、或客戶機可經由圖1或圖2系統中的網關訪問的另一個計算設備。在圖示實施例中目標系統是伺服器，目標伺服器102容許對在目標伺服器102上運行的應用310和服務320的訪問。在特定實施例中，在目標伺服器102上運行的服務320之一是重定向判定服務270。重定向判定服務270包括與目標伺服器102相關的伺服器連接屬性250以及每個能在客戶機設備和目標伺服器102之間連接安全數據連接的網關的一個或多個網關連接屬性。伺服器連接屬性250可包括目標伺服器102的位置251、在目標伺服器102上所提供的服務252、有關目標伺服器102的一個或多個服務質量指示符253，和有關目標伺服器 102的一個或多個動態評估的屬性254。可在目標伺服器102上測得一個或多個伺服器連接屬性250。例如，目標伺服器102可包括處理邏輯以周期性地評估並更新一個或多個伺服器連接屬性250。重定向判定服務270還包括能在客戶機設備和目標伺服器102之間連接安全數據連接的每個網關的網關連接屬性260。對每一個特定網關，網關連接參數260可包括特定網關的位置沈1、網關與目標伺服器102之間的連接的數量沈5、特定網關與目標伺服器之間的往返處理時間沈6，以及與特定網關相關的一個或多個動態評估的屬性264。可在目標伺服器102上測得一個或多個網關連接屬性260。從網關到目標伺服器102的連接沈5的數量可包括由該網關支持的連接到該目標伺服器102的並發連接的全部數量或由該網關支持的連接到該目標伺服器102的唯一客戶機設備的全部數量。例如，如果在特定時間該特定網關促進與該目標伺服器102的五個安全數據連接，那麼該網關與目標伺服器102之間此時的連接數量265是五。特定網關與該目標伺服器102之間的往返處理時間266可包括消息從目標伺服器102行進到該網關然後返回到目標伺服器102所使用的時間。重定向判定服務270可基於以下中至少一個來標識重定向客戶機設備到哪個網關伺服器連接屬性250、網關連接屬性沈0、或者其組合。重定向判定服務270還可基於對兩個不同網關的網關連接屬性260的比較而標識出重定向客戶機設備到哪個網關。以舉例的方式，而非限制，這樣的比較包括比較兩個網關與目標伺服器102之間的連接數量沈5， 以及比較兩個網關的往返處理時間沈6，該兩個網關諸如是圖1和圖2中的第一網關120和第二網關130。可理解的是圖3的目標伺服器102提供使所有必要的重定向信息，諸如伺服器連接屬性250和網關連接屬性沈0，定位在一個地方的能力。相應地，與圖3的目標伺服器102 相連的網關並不需要每一個都含有其自己的重定向判定邏輯。這簡化了位於每個網關上的處理邏輯，並避免了在每個網關上複製必要的重定向信息。如之前所述，然而，在另一個實施例中重定向判定服務270可位於目標伺服器102之外。例如，重定向判定服務可位於每個網關上。還可理解的是，在客戶機需要特定應用或服務(諸如由目標伺服器102所提供的應用310或服務320中的一個)的時候，目標伺服器102可為客戶機提供供其連接至的單個位置。例如，目標伺服器102可提供諸如文檔共享應用和資料庫應用這樣的應用和諸如e-mail服務和列印服務這樣的服務。圖4是系統400的特定實施例的圖，該系統支持具有經由VPN入口點的客戶機重定向的安全數據連接。該系統400包括駐留在諸如防火牆保護的公司網之類的安全數據網絡404中的目標伺服器102。多個虛擬專用網絡(VPN)入口點，包括第一 VPN入口點420和第二 VPN入口點430，也位於安全數據網絡404內。客戶機設備，諸如客戶機計算機110，可發送標識目標伺服器102的HTTPS連接請求到多個VPN入口點中的任何一個。VPN入口點，諸如第一 VPN入口點420和第二 VPN入口點430，能向所連接的客戶機設備提供多個支持服務和功能。以舉例的方式，而非限制，這樣的支持服務和功能包括支持對數據網絡中的特定伺服器的多個連接、單點登錄(single sign-on)功能、為每一個連接到VPN入口點的客戶機設備或用戶定製的門戶頁面、文件上傳及下載限制、文件修改限制和應用訪問限制。應該注意的是儘管圖4的實施例示出VPN入口點，這不應該被認為是限制。而是，可將圖4的系統400用於將HTTPS作為傳輸機制的任何網絡情形中。為請求安全連接，客戶機計算機110向第一 VPN入口點420發送標識目標伺服器 102的第一 HTTPS連接請求440。第一 VPN入口點420包括邏輯處理422，包括重定向判定邏輯424。一旦接收到第一 HTTPS連接請求440，重定向判定邏輯似4確定應該指示客戶機計算機110嘗試經由第二 VPN入口點430進行安全連接。第一 VPN入口點420向客戶機計算機110發送HTTP重定向消息442。該HTTP重定向消息442含有引導客戶機計算機110 向第二 VPN入口點430發送第二 HTTPS連接請求444的指令。一旦接收到HTTP重定向消息442，客戶機計算機110向第二 VPN入口點430發送第二 HTTPS連接請求444。該第二 VPN入口點430含有處理邏輯432，其建立客戶機計算機110和目標伺服器102之間經由第二 VPN入口點430的安全數據連接。
在特定實施例中，客戶機計算機110可不在第一 HTTPS連接請求440中標識目標伺服器402，而是選擇僅指示客戶機計算機110期望與安全數據網絡404之間的連接。在這個實施例中，儘管在第一 HTTPS連接請求440中沒有標識目標伺服器，第一 VPN入口點420 可發出指定第二網關430的HTTP重定向消息442。隨後，作為HTTP重定向消息442的結果，當客戶機計算機110嘗試與目標伺服器402通信時，客戶機計算機110將知道經由第二網關130來嘗試進行這樣的通信。可理解的時，圖4的特定實施例提供從公司網絡的一個VPN入口點到另一個的自動重定向，而不需要手動地重新配置客戶機設備，藉此減少了建立VPN連接所需的時間與精力。這樣，公司可使用圖4中示出的特定實施例來向其員工提供經由合適的VPN入口點建立與其公司網絡之間的VPN連接的能力，而不需要其員工在其每一個獨立的客戶機設備上手動地重新配置VPN軟體。進一步，可理解的是，可使用圖4中示出的特定實施例來幫助確保公司網絡外的每個所連接的客戶機設備與公司網絡內每一個伺服器之間的有效連接， 得到網絡延遲的減少和與網絡應用與服務有關的等待時間的減少。在特定實施例中，客戶機設備具有可從中選擇的多個預先配置好的VPN連接選項，可使用圖4的系統經由HTTP重定向消息來通知客戶機設備，哪一個所預先配置好的VPN連接選項將提供與公司網絡的有效連接。圖5是處理安全數據連接請求的方法的特定實施例的流程圖。該方法包括，在 510，在第一網關處接收到來自第一客戶機設備的第一安全數據連接請求。例如，可在圖1 的第一網關120處接收來自圖1的客戶機計算機110的第一安全數據連接請求140。該安全數據連接請求標識了目標伺服器。例如，該安全數據連接請求可標識圖1的目標伺服器 102。該方法還包括，在520，從第一網關向客戶機設備發送重定向消息，指示客戶機設備向第二網關發送第二安全數據連接請求。例如，可從圖1的第一網關120將圖1的重定向消息142發送給圖1的客戶機計算機110，指示圖1的客戶機計算機110將圖1的第二安全數據連接請求144發送給圖1的第二網關130。客戶機設備啟動經由第二網關的與目標伺服器的安全數據連接。例如，圖1的客戶機計算機110可經由圖1的第二網關130啟動與圖 1的目標伺服器102的安全數據連接。圖6是處理安全數據連接請求的方法600的另一個特定實施例的流程圖。該方法包括，在610，在第一網關處接收來自客戶機設備的安全數據連接請求。該安全數據連接請求在安全協議上執行，諸如安全套接字隧道協議(SSTP)。例如，來自圖1的客戶機計算機 110到圖1的目標伺服器102的安全數據連接請求，在SSTP上執行，可在圖1的第一網關 120處被接收到。該方法還包括，在620，在第一網關和第二網關之間通信，以確定是否應該將重定向消息發送給客戶機設備。例如，第二網關可包括圖1的第二網關130。該方法還包括，在630，確定是否重定向該客戶機設備。在640，如果客戶機設備不需要重定向，促進 (facilitate)經由第一網關的在客戶機設備與目標伺服器之間的安全數據連接。在650， 如果要重定向客戶機設備，將指定第二網關的重定向消息發送給客戶機設備。接著，在660， 在第二網關660接收到從客戶機設備到目標伺服器的在SSTP上執行的第二安全數據連接請求。例如，來自圖1的客戶機計算機110到圖1的目標伺服器102的第二安全數據連接請求，可在圖1的第二網關130處被接收到。在670，然後促進經由第二網關的客戶機設備與目標伺服器之間的連接。例如，可促進經由圖1的第二網關130的圖1的客戶機計算機110與圖1的目標伺服器102之間的安全數據連接。可理解的是，圖6的方法提供了客戶機設備從安全數據網絡的一個網關到安全數據網絡的另一個網關的自動重定向，不需要對客戶機設備的手動重定向，藉此減少了建立安全數據連接所需要的客戶機設備用戶的時間與精力。圖7是處理安全數據連接請求的方法700的另一個特定實施例的流程圖。該方法包括，在710，在第一網關處接收來自客戶機設備的安全數據連接請求。該安全數據連接請求在安全協議上執行，諸如安全套接字隧道協議(SSTP)。例如，在SSTP上執行的，從圖1的客戶機計算機110到圖1的目標伺服器102的安全數據連接請求，可在圖1的第一網關120 處被接收到。該方法還包括，在720，從第一網關發送請求到重定向判定服務，和在730，在第一網關處接收來自重定向判定服務的應答。例如，該重定向判定服務可包括圖2的重定向判定服務270。該方法還包括，在740，確定是否重定向該客戶機設備。在750，如果客戶機設備不需要重定向，促進(facilitate)經由第一網關的在客戶機設備與目標伺服器之間的安全數據連接。在760，如果應該重定向客戶機設備，將指定第二網關的重定向消息發送給客戶機設備。接著，在770，在第二網關接收到從客戶機設備到目標伺服器的第二安全數據連接請求。例如，在SSTP上執行的，從圖1的客戶機計算機到圖1的目標伺服器102 的第二安全數據連接請求，可在圖1的第二網關130處被接收到。在780，然後促進經由第二網關的客戶機設備與目標伺服器之間的連接。例如，可促進經由圖1的第二網關130的圖1的客戶機計算機110與圖1的目標伺服器102之間的安全數據連接。圖8是處理安全數據連接請求的方法800的另一個特定實施例的流程圖。該方法 800包括，在810，在第一 VPN網關接收到在HTTPS上的對目標伺服器的連接請求。該HTTPS 可以是IPV6-HTTPS或者IPV4-HTTPS。例如，可在第一 VPN入口點420處接收到對圖4的目標伺服器102的連接請求。進行到820，從第一 VPN入口點發送HTTP重定向消息給客戶機設備。該重定向消息指定第二 VPN網關(諸如圖4的第二 VPN入口點430)的地址。前進至830，在第二 VPN入口點接收到對目標伺服器的第二連接請求。該第二連接請求還是在HTTPS上執行，其可以是IPv6-HTTPS或IPv4_HTTPS。在840，建立經由第二 VPN網關的與目標伺服器的VPN連接。圖8的方法通過將HTTPS連接請求發送給VPN網關，提供了試圖連接到網關伺服器的客戶機設備的自動HTTP重定向。如此，重定向消息可方便地在HTTP上發送，而仍保持在HTTPS上發送的安全數據連接請求的安全性。可在HTTP上傳輸重定向消息是由於重定向消息包括VPN網關的地址或其他公開消息。反之，安全數據連接請求可需要增強的安全性，因為它們可能包括隱私數據，諸如客戶機位置及密碼信息。圖9示出了包括可用於支持根據本發明的計算機實現的方法、電腦程式產品以及系統組件的各實施例的計算系統910的計算環境900的框圖。計算系統910能經由網絡 902與客戶機計算機通信，諸如圖1的客戶機計算機110。計算設備910 —般包括至少一個處理器920和系統存儲器930。取決於計算系統的配置和類型，系統存儲器930可以是易失性的(諸如隨機存取存儲器，即「RAM」)、非易失性的(諸如只讀存儲器(即「ROM)、快閃記憶體以及即使在未被提供電源時也保持存儲的數據的類似存儲器設備)，或兩者的某種組合。系統存儲器930通常包括作業系統932、一個或多個應用程式平臺934、一個或多個應用程式936和程序數據938。在特定實施例中，將圖2的重定向判定服務270實現為處理器可執行指令，該處理器可執行指令被存儲為應用936之一，並還可包括對程序數據938的訪問。該計算系統910還可具有附加特徵或功能。例如，計算系統910還可包括可移動和/或不可移動的附加數據存儲設備，諸如磁碟、光碟、磁帶，以及標準大小或小型快閃記憶體卡。 在圖9中通過可移動存儲器940和不可移動存儲器950示出這樣的附加存儲。計算機存儲介質可包括以用於存儲諸如計算機可讀指令、數據結構、程序組件或其他數據之類的信息的任何方法或技術實現的易失性和/或非易失性存儲以及可移動和/或不可移動介質。系統存儲器930，可移動存儲940和不可移動存儲950都是計算機存儲介質的示例。計算機存儲介質包括，但不限於，RAM、R0M、電可擦除可編程只讀存儲器(EEPROM)、快閃記憶體或其他存儲器技術、緊緻盤(CD)、數字多功能盤(DVD)或其它光存儲、磁帶盒、磁帶、磁碟存儲或其他磁性存儲設備、或可用於存儲信息且可由計算系統910訪問的任何其它介質。任何這樣的計算機存儲介質都可以是該計算系統910的一部分。計算系統910還含有容許該計算系統與其他計算設備970通信的一個或多個通信連接960，諸如一個或多個計算系統或伺服器。例如，該計算系統910可在安全數據網絡上與其他計算設備970進行通信。在特定實施例中，安全數據網絡可包括圖1的安全數據網絡104。該計算系統910可包括圖1的第一網關120，其他計算設備970可包括圖1的目標伺服器102、圖1的第二網關130或者其他網關。參考圖1-4描述的其他組件可作為計算系統910而實現，諸如圖1和圖2的目標伺服器102。該一個或多個通信連接960是通信介質的示例。作為示例而非限制，通信介質可包括有線介質，諸如有線網絡或直接線連接，以及無線介質，諸如聲學、射頻、紅外線和其他無線介質。然而，可以理解，並非所有圖9所示的或以其他方式在先前段落中描述的組件或設備都必須支持如此處所描述的每一個特定實施例或各實施例。對此處描述的實施例的說明旨在提供對各種實施例的結構的大致理解。這些說明並非旨在用作對使用此處描述的結構或方法的裝置和系統的所有元件和特徵的完整描述。 許多其他實施例對本領域的技術人員在審閱本公開之後是顯而易見的。可從本公開中使用和導出其他實施例，以使可作出結構和邏輯替換和改變而不背離本公開的範圍。因此，本公開和各附圖被認為是說明性的而非限制性的。本領域的技術人員將進一步理解，結合此處公開的實施例所描述的各種說明性邏輯塊、配置、模塊、電路、以及算法步驟，可作為電子硬體、計算機軟體或兩者的組合來實現。 為清楚地示出硬體和軟體的該互換性，已按照功能一般地描述了各種說明性組件、塊、配置、模塊、電路、或步驟。這種功能被實現為硬體或軟體取決於在總體系統上所施加的具體應用和設計限制。技術人員可針對每種具體應用以不同方式來實現所描述的功能集，但這種設計決策不應被解釋為致使脫離本公開的範圍。結合此處公開的各實施例所描述的方法的各個步驟可直接用硬體、由處理器執行的軟體模塊、或兩者的組合來實現。軟體模塊可駐留在諸如隨機存取存儲器(RAM)、快閃記憶體、只讀存儲器(ROM)、寄存器、硬碟、可移動盤、⑶-ROM、或本領域內已知的任何其他形式的存儲介質等計算機可讀介質中。示例性的存儲介質耦合到處理器，使得處理器可從存儲介質上讀取信息，並向存儲介質寫入信息。在替換方案中，存儲介質可集成到處理器或處理器並且存儲介質可作為分立組件駐留在計算設備或計算機系統中。
儘管已在此示出和描述了具體實施例，但應當理解，可為所示的具體實施例替換被設計成實現相同或相似目的的任何後續安排。本公開旨在覆蓋各種實施例的任何和所有後續改變和變體。提供本公開的摘要的同時要明白，將不用它來解釋或限制權利要求的範圍或含義。另外，在前面的詳細描述中，可出於將本公開連成一個整體的目的而將各種特徵組合在一起或描述在單個實施例中。本公開將不被解釋為反映所要求保護的實施例要求比每個權利要求中明確陳述的更多特徵的意圖。相反，如以下權利要求反映的，發明性主題可涉及少於所公開的實施例的的任何一個的所有特徵。提供所公開的實施例的先前描述，以使本領域的技術人員能夠作出或使用所公開的實施例。對這些實施例的各種修改對於本領域的技術人員將是顯而易見的，並且此處定義的普適原理可被應用於其他實施例而不會脫離本公開的範圍。因而，本公開不是旨在限於此處示出的各種實施例，而是按照與如由所附權利要求書定義的原理和新穎特徵相一致的儘可能最寬範圍。
權利要求
1.一種方法，包括在第一網關(120)處接收(510)來自客戶機設備(110)的第一安全數據連接請求 (140)，所述第一安全數據連接請求(140)標識了目標伺服器(10 ；和從第一網關(120)發送(520)重定向消息(14 給所述客戶機設備(110)，指示所述客戶機設備(110)發送第二安全數據連接請求(144)給第二網關(130)，從而所述客戶機設備 (110)經由所述第二網關(130)啟動到所述目標伺服器(102)的安全數據連接。
2.如權利要求1所述的方法，其特徵在於，所述第一安全數據連接請求和第二安全數據連接請求中的至少一個在超文本傳輸協議安全(HTTPS)連接上執行。
3.如權利要求2所述的方法，其特徵在於，所述HTTPS連接是IPv6-HTTPS連接和 IPv4-HTTPS連接中的一個。
4.如權利要求1所述的方法，其特徵在於，所述安全數據連接是基於安全套接字層的 VPN(SSL-VPN)連接。
5.如權利要求1所述的方法，其特徵在於，所述第一安全數據連接請求和第二安全數據連接請求中的至少一個在安全套接字隧道協議(SSTP)連接上執行。
6.如權利要求1所述的方法，其特徵在於，所述客戶機設備是以下各項之一計算機、 自助終端設備、行動裝置，其中所述客戶機設備存儲了第二網關的地址。
7.如權利要求1所述的方法，其特徵在於，所述重定向消息是HTTP重定向消息。
8.如權利要求1所述的方法，其特徵在於，所述第二網關是基於至少一個連接屬性從多個網關中選出的，其中所述至少一個連接屬性包括以下各項中的至少一項所述客戶機設備的位置、所述目標伺服器的位置、所述客戶機設備的唯一標識符、所述客戶機設備所請求的服務類型、所述客戶機設備的優先權等級、服務質量指示符和動態評估的屬性。
9.如權利要求1所述的方法，其特徵在於，所述第一網關向重定向判定服務發送請求， 並在發送所述重定向消息之前從所述重定向判定服務處接收應答，其中該應答指定了第二網關。
10.如權利要求9所述的方法，其特徵在於，所述重定向判定服務在目標伺服器上運行，並基於在目標伺服器處測得的連接屬性標識所述第二網關。
11.如權利要求10所述的方法，其特徵在於，所述連接屬性與以下至少一項相關在第一網關和目標伺服器之間的第一當前連接計數、在第二網關和目標伺服器之間的第二當前連接計數、在目標伺服器和第一網關之間的第一往返處理時間、和在目標伺服器和第二網關之間的第二往返處理時間。
12.如權利要求1所述的方法，其特徵在於，所述第一網關是以下各項之一隨機選出的網關、所述客戶機設備最後使用過的網關，和分配給所述客戶機設備的默認網關。
13.一種系統，包括可由客戶機設備(Iio)使用經由網關的安全數據連接而訪問到的伺服器(102)；多個網關(120，130)，其中所述多個網關中的每一個網關能接收來自所述客戶機設備(110)的安全數據連接請求(140)；與所述多個網關(120，130)中的至少一個其他網關進行通信；向所述客戶機設備(110)發送重定向消息(142)，指示所述客戶機設備(110)向不同的網關發送第二安全數據連接請求(144)；和促進所述客戶機設備(110)和目標伺服器(10 之間經由所述不同的網關的安全數據連接。
14.如權利要求13所述的系統，其特徵在於，所述多個網關中的每一個是到所述伺服器位於其中的防火牆保護的數據網絡的虛擬專用網絡入口點。
15.如權利要求14所述的系統，其特徵在於，每一個所述虛擬專用網絡入口點還能提供以下至少一項對到所述伺服器的多個連接的支持、單點登錄功能、所述客戶機設備的定製門戶界面、文件上傳限制、文件下載限制、文件修改限制、和應用訪問限制。
全文摘要
公開了處理安全數據連接請求的方法、系統和計算機可讀介質。特定方法在第一網關處接收來自客戶機的標識所要連接至的伺服器的安全數據連接請求。第一網關發送重定向消息給客戶機，指示客戶機嘗試經由第二網關的備選連接。客戶機發送安全數據連接請求給第二網關，且第二網關促進客戶機與伺服器之間的安全數據連接。
文檔編號H04L12/28GK102334311SQ201080009747
公開日2012年1月25日 申請日期2010年2月5日 優先權日2009年2月26日
發明者B·M·舒爾茨, N·A·文卡塔拉瑪亞, N·奈斯 申請人:微軟公司