用于移动平台的隧穿的方法、设备和计算机可读存储媒体技术

提供用于以每移动应用为基础提供虚拟专用网络服务的方法和系统。在一些实施例中，连接到专用网络的移动装置可确定其移动应用中的一个正请求与专用网络通信。所述移动装置可拦截由所述移动应用发布的与所述专用网络通信的一个或多个系统调用。所述移动装置可在所述移动装置的端口上产生到虚拟专用网络VPN服务器的通信链路，经由所述通信链路将来自所述移动应用的通信发射到所述专用网络。所述移动装置可指示所述VPN服务器将来自所述移动应用的一个或多个消息发射到接入网关以供转发到所述专用网络。

Micro VPN tunneling for mobile platform

Provides methods and systems for providing virtual private network services on the basis of each mobile application. In some embodiments, a mobile device connected to a dedicated network can determine a positive request and a dedicated network communication in its mobile application. The mobile device can intercept one or more system calls that are published by the mobile application and communication with the dedicated network. The mobile device can generate a communication link to the virtual private network VPN server on the port of the mobile device, and transmit the communication from the mobile application to the private network through the communication link. The mobile device can instruct the VPN server to transmit one or more messages from the mobile application to the access gateway for forwarding to the private network.

【技术实现步骤摘要】
【国外来华专利技术】用于移动平台的微VPN隧穿相关申请的交叉参考本申请主张2015年5月11日提交的标题为“用于移动平台的微VPN隧穿(MICROVPNTUNNELINGFORMOBILEPLATFORMS)”的第14/708,464号美国非临时专利申请的优先权。先前申请以全文引用的方式并入本文中。
本文中所描述的方面大体涉及移动计算装置的移动应用。更确切地说，本文中所描述的方面涉及用于以每应用为基础提供到移动装置的安全隧穿的技术。
技术介绍
越来越多的人正在个人和商业环境中出于多种目的使用移动装置。这些装置常常由雇员使用以有时从远程或不寻常的位置访问公司资源。逐渐地，公司和其它组织正向其雇员和其他伙伴提供和/或以其它方式使其有机会使用智能电话、平板计算机和其它移动计算装置等移动装置。因为这些装置的普及性持续增长且提供增加数目的商业应用，所以企业移动应用正向雇员提供从其移动装置访问联网的企业应用的手段。许多移动用户经由虚拟专用网络(VPN)从其移动装置连接到在专用网络上执行的企业服务器。常规VPN系统使用装置层级VPN连接使得由来自移动装置的移动应用发布的所有网络业务投送到所述专用网络。在此类常规装置层级VPN系统中，还自动拦截从移动装置上执行的不需要与专用网络的任何部分通信的应用指定到公用网络地址的应用业务。并不指定到专用网络的应用业务的此拦截不必要地增加了VPN连接和装置电池的负担，且常常对终端用户造成隐私风险。在常规装置层级VPN系统中，拦截来自安装在移动装置上的所有应用的包，包含不需要拦截包的非企业应用。由企业VPN系统对移动装置上的个人应用的此拦截导致隐私问题，因为个别移动用户的私密应用数据正被企业装置层级VPN拦截。此外，在常规装置层级VPN系统中，每一移动应用依赖于移动装置的操作系统来进行包拦截和隧穿网络接口的创建，且在此类系统中可能仅存在在给定时间运行的必须经由其拦截和隧穿所有网络业务的一个装置层级VPN。
技术实现思路
以下提出本文中所描述的各种方面的简化概述。此概述并非广泛综述，且并不希望指出关键或重要要素或划定权利要求书的范围。以下概述仅按简化形式提出一些概念，作为对以下提供的更详细描述的介绍性序言。为了克服上文描述的现有技术的局限性，且为了克服在阅读和理解本说明书后将显而易见的其它局限性，本文中所描述的方面针对以每应用为基础向移动装置提供安全隧穿。本文中所描述的第一方面提供一种确定移动装置上执行的移动应用请求与专用网络通信的方法。可拦截由移动装置上执行的移动应用发布的用以与专用网络通信的一个或多个系统调用。可在移动装置的端口上产生到虚拟专用网络(VPN)服务器的通信链路，经由其将来自移动应用的通信发射到专用网络。可指示VPN服务器将来自移动应用的一个或多个消息发射到接入网关以转发到专用网络。在一些实施例中，可识别与所述一个或多个系统调用相关联的至少一个消息的目的地网络地址。可通过使用目的地网络地址到移动装置的端口的映射来识别待用于将来自移动应用的通信投送到专用网络的端口，使得经识别的端口对应于所述映射中所述至少一个消息的目的地网络地址。在一些实施例中，所述端口可以是移动装置的动态端口。动态端口可经分配以用于通过将不同动态端口指派到请求与专用网络通信的多个移动应用中的每一个来投送来自移动应用的通信。VPN服务器可以是发射控制协议(TCP)服务器。为产生到VPN服务器的通信链路，可在动态端口上产生TCP服务器，且可在动态端口和TCP服务器之间产生TCP连接。在一些实施例中，可确定所述一个或多个消息指定到多个不同网络地址。可产生多个TCP服务器使得所述多个TCP服务器的每一TCP服务器在移动装置的不同动态端口上产生，且使得多个动态端口的每一动态端口经产生以针对所述多个不同网络地址中的每一个将来自移动应用的通信发射到专用网络。可产生多个TCP连接使得每一TCP连接对应于一通信链路，经由所述通信链路将来自来自于所述多个动态端口中的每一个的移动应用的通信发射到专用网络。在一些实施例中，所述端口可以是移动装置的固定端口，且所述VPN服务器可以是用户数据报协议(UDP)服务器。为产生到VPN服务器的通信链路，可在固定端口上产生UDP服务器，且可在固定端口和UDP服务器之间产生UDP连接。在一些实施例中，可确定来自移动应用的所述一个或多个消息指定给专用网络。所述一个或多个消息的有效负载可发射到移动装置的端口处的VPN服务器。在一些实施例中，为指示VPN服务器将来自移动应用的所述一个或多个消息发射到接入网关，可指示VPN服务器根据用于将所述一个或多个消息发射到专用网络的通信链路的隧道协议从所述一个或多个消息产生一个或多个包。可指示VPN服务器经由通信链路将根据隧道协议处理的所述一个或多个包发射到专用网络。本文中所描述的另一方面提供一种将域名系统(DNS)消息隧穿到专用网络的方法。可确定移动装置上执行的移动应用请求与专用网络通信。可拦截由移动装置上执行的移动应用发布的用以与专用网络通信的一个或多个系统调用。响应于确定所述一个或多个系统调用寻址到域套接字路径，所述一个或多个系统调用中的域套接字路径可用对应于移动应用的沙盒路径替换。可产生到沙盒路径处的VPN服务器的通信链路，经由其将来自移动应用的通信发射到专用网络。可指示VPN服务器将来自移动应用的一个或多个消息发射到接入网关以转发到专用网络。在一些实施例中，可确定所述一个或多个系统调用包括寻址到系统层级DNS过程的至少一个DNS询问。为了用沙盒路径替换所述一个或多个系统调用中的域套接字路径，可在本地域套接字处产生沙盒路径，经由所述本地域套接字将来自移动应用的通信发射到专用网络。可针对所述移动应用产生VPN服务器使得VPN服务器以通信方式耦合到本地域套接字。在一些实施例中，可在以通信方式耦合到本地域套接字的VPN服务器处产生应用特定DNS过程。可识别与所述一个或多个系统调用相关联的至少一个消息的目的地网络地址。所述至少一个消息可发射到以通信方式耦合到本地域套接字的VPN服务器以用于DNS解析。可指示VPN服务器处的应用特定DNS过程将所述一个或多个消息发射到接入网关以供转发到专用网络。响应于确定所述至少一个DNS询问需要由系统层级DNS过程解析，与所述一个或多个系统调用相关联的所述至少一个消息可发射到系统层级DNS过程以用于DNS解析。在一些实施例中，为指示VPN服务器将来自移动应用的所述一个或多个消息发射到接入网关，可指示沙盒路径处的VPN服务器根据用于将所述一个或多个消息发射到专用网络的通信链路的DNS协议从所述一个或多个消息产生一个或多个包。可指示VPN服务器经由通信链路将根据DNS协议处理的所述一个或多个包发射到专用网络。在一些实施例中，可确定来自移动装置上执行的多个不同移动应用的多个不同消息指定给专用网络。可产生多个沙盒路径使得所述多个沙盒路径的每一沙盒路径在多个本地域套接字的不同本地域套接字处产生以将来自所述多个不同移动应用的对应移动应用的通信发射到专用网络。可针对移动应用产生多个VPN服务器使得所述多个VPN服务器中的每一个以通信方式耦合到所述多个本地域套接字的对应本地域套接字。可产生多个应用特定DNS过程使得每一应用特定DNS过程在所述多个VPN本文档来自技高网...

【技术保护点】
一种方法，包括：由移动装置的处理器确定所述移动装置上执行的移动应用请求与专用网络通信；由所述处理器拦截所述移动装置上执行的所述移动应用发布的与所述专用网络通信的一个或多个系统调用；由所述处理器且在所述移动装置的端口上产生到虚拟专用网络VPN服务器的通信链路，经由所述通信链路将来自所述移动应用的通信发射到所述专用网络；以及由所述处理器指示所述VPN服务器将来自所述移动应用的一个或多个消息发射到接入网关以供转发到所述专用网络。

【技术特征摘要】
【国外来华专利技术】2015.05.11 US 14/708,4641.一种方法，包括：由移动装置的处理器确定所述移动装置上执行的移动应用请求与专用网络通信；由所述处理器拦截所述移动装置上执行的所述移动应用发布的与所述专用网络通信的一个或多个系统调用；由所述处理器且在所述移动装置的端口上产生到虚拟专用网络VPN服务器的通信链路，经由所述通信链路将来自所述移动应用的通信发射到所述专用网络；以及由所述处理器指示所述VPN服务器将来自所述移动应用的一个或多个消息发射到接入网关以供转发到所述专用网络。2.根据权利要求1所述的方法，其中所述端口是所述移动装置的动态端口，所述方法进一步包括：由所述处理器通过将不同动态端口指派到请求与所述专用网络通信的多个移动应用中的每一个而分配所述动态端口以用于投送来自所述移动应用的通信。3.根据权利要求1所述的方法，进一步包括：由所述处理器识别与所述一个或多个系统调用相关联的至少一个消息的目的地网络地址；以及由所述处理器使用目的地网络地址到所述移动装置的端口的映射来识别待用于将来自所述移动应用的通信投送到所述专用网络的所述端口，其中所述经识别的端口对应于所述映射中所述至少一个消息的所述目的地网络地址。4.根据权利要求1所述的方法，其中所述端口是所述移动装置的动态端口，其中所述VPN服务器是发射控制协议TCP服务器，且其中产生到所述VPN服务器的所述通信链路进一步包括：由所述处理器在所述动态端口上产生所述TCP服务器；以及由所述处理器产生所述动态端口和所述TCP服务器之间的TCP连接。5.根据权利要求1所述的方法，进一步包括：由所述处理器确定所述一个或多个消息指定到多个不同网络地址；由所述处理器产生多个TCP服务器，其中所述多个TCP服务器的每一TCP服务器在所述移动装置的不同动态端口上产生，且其中多个动态端口的每一动态端口经产生以针对所述多个不同网络地址中的每一个将来自所述移动应用的通信发射到所述专用网络；以及由所述处理器产生多个TCP连接，其中每一TCP连接对应于经由其将来自所述移动应用的通信从所述多个动态端口中的每一个发射到所述专用网络的通信链路。6.根据权利要求1所述的方法，其中所述端口是所述移动装置的固定端口，其中所述VPN服务器是用户数据报协议UDP服务器，且其中产生到所述VPN服务器的所述通信链路进一步包括：由所述处理器在所述固定端口上产生所述UDP服务器；以及由所述处理器产生所述固定端口和所述UDP服务器之间的UDP连接。7.根据权利要求1所述的方法，进一步包括：由所述处理器确定来自所述移动应用的所述一个或多个消息指定给所述专用网络；以及由所述处理器将所述一个或多个消息的有效负载发射到所述移动装置的所述端口处的所述VPN服务器。8.根据权利要求1所述的方法，其中指示所述VPN服务器将来自所述移动应用的所述一个或多个消息发射到所述接入网关进一步包括：由所述处理器指示所述端口处的所述VPN服务器根据用于将所述一个或多个消息发射到所述专用网络的所述通信链路的隧道协议从所述一个或多个消息产生一个或多个包；以及由所述处理器指示所述VPN服务器经由所述通信链路将根据所述隧道协议处理的所述一个或多个包发射到所述专用网络。9.一种方法，包括：由移动装置的处理器确定所述移动装置上执行的移动应用请求与专用网络通信；由处理器拦截所述移动装置上执行的所述移动应用发布的与所述专用网络通信的一个或多个系统调用；响应于确定所述一个或多个系统调用寻址到域套接字路径，用对应于所述移动应用的沙盒路径替换所述一个或多个系统调用中的所述域套接字路径；由所述处理器产生到所述沙盒路径处的虚拟专用网络VPN服务器的通信链路，经由所述通信链路将来自所述移动应用的通信发射到所述专用网络；以及由所述处理器指示所述VPN服务器将来自所述移动应用的一个或多个消息发射到接入网关以供转发到所述专用网络。10.根据权利要求9所述的方法，进一步包括：由所述处理器确定所述一个或多个系统调用包括寻址到系统层级DNS过程的至少一个域名系统DNS询问；以及其中用所述沙盒路径更换所述一个或多个系统调用中的所述域套接字路径进一步包括：由所述处理器在本地域套接字处产生所述沙盒路径，经由其将来自所述移动应用的通信发射到所述专用网络；以及由所述处理器且针对所述移动应用产生以通信方式耦合到所述本地域套接字的所述VPN服务器。11.根据权利要求10所述的方法，进一步包括：由所述处理器在以通信方式耦...

【专利技术属性】
技术研发人员：瓦吉什·卡利古德，
申请(专利权)人：思杰系统有限公司，
类型：发明
国别省市：美国,US