System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 使用QUIC连接标识符的策略表达制造技术_技高网

使用QUIC连接标识符的策略表达制造技术

技术编号:41915966 阅读:14 留言:0更新日期:2024-07-05 14:17
本文描述了用于将表示策略的元数据编码到QUIC连接ID中的技术。可以利用包括一个或多个实施节点、策略引擎、和/或连接数据存储的元数据感知网络来实施策略并且在QUIC连接上路由通信。策略引擎可以被配置为将表示一个或多个网络策略的元数据编码到QUIC源连接ID(SCID)中和/或可以在连接数据存储中存储SCID和对应的目的地连接ID(DCID)之间的映射。策略引擎可以与QUIC应用服务器和/或一个或多个QUIC代理节点通信,以将SCID编码到QUIC分组中。实施节点可以经由QUIC分组的QUIC报头中所包括的连接ID或者通过使用连接ID在连接数据存储中执行查找,来访问元数据并实施策略。

【技术实现步骤摘要】
【国外来华专利技术】

本公开总体涉及使用quic和基于quic加密的多路复用应用基底(masque)协议来表达网络策略和建立连接隧道,以向远程用户提供对(一个或多个)专用应用的访问、处理(一个或多个)连接迁移、并且实施网络流策略。


技术介绍

1、基于云的服务提供商网络(通常被描述为“超大规模服务商(hyperscaler)”)提供基于云的服务以满足用户的计算服务需求,而无需用户投资并且维护实现服务所需要的计算基础设施。例如,云服务提供商可以操作容纳大量互连计算系统的数据中心的网络(例如公共数据中心),这些数据中心被服务提供商配置为向用户(或“客户”)提供基于云的服务。这些服务提供商网络可以根据需要提供基于网络的计算资源。例如,服务提供商网络可以允许用户购买并且利用计算资源,例如虚拟机(“vm”)实例、计算资源、数据存储资源、数据库资源、联网资源、网络服务和其它类型的计算资源。用户可以配置由服务提供商网络提供的计算资源以实现期望的功能,例如向用户企业提供基于网络的应用或另一类型的功能。虽然基于超大规模服务商的数据中心日益普及,但是传统的企业管理的数据中心仍然被广泛使用。这些部署的组合通常被描述为“混合”数据中心。一般,远程用户能够使用虚拟专用网络(vpn)或基于代理的解决方案连接到这些基于网络的应用和/或企业功能。

2、虽然可能存在用于远程用户连接到专用企业应用的附加方法,但是传统上,vpn隧道和反向代理技术是最常见的。然而,这两种方法都有局限性。虽然vpn隧道可以与任何应用和协议一起工作,但是可能在网络内打开大的攻击表面。另外,虽然基于代理的解决方案允许较好的边缘控制,导致较小的攻击表面,但是它们一般不能很好地与不是基于传输控制协议(tcp)的协议一起工作,并且需要附加的解决方案以从非tcp协议转换到tcp协议或将非tcp协议封装在tcp中,这可能会影响代理本身的性能,等等。

3、此外,执行代理解决方案的代理节点用作到连接(例如,tcp或udp连接)中的中间盒,并且允许客户端连接到公共互联网协议(ip)地址,同时可以对未连接到公共ip地址的节点执行后端处理。代理通常通过取得传入连接、终止它们并且在后端打开新的连接来实现这一点。虽然传统上对tcp和(用户数据报协议)udp协议执行这些代理技术,但是也可以对quic协议执行这些相同的代理技术。然而,因为quic协议利用udp作为底层传输,所以可能难以处理quic代理节点的故障转移或替换,并且提供tcp或udp代理所提供的无缝用户体验。此外,quic协议被设计为不与版本未知的中间盒互相操作。另外,quic可以以只有端点和quic服务器可能知道这种改变的方式来迁移会话。然而,期望中间盒以可靠和可预测的方式彼此不同地处理quic流。

4、另外,基于quic加密的多路复用应用基底(masque)协议提供了一种使用单个代理解决方案代理不同类型的协议(例如,http代理、基于https的dns、quic代理、udp代理和ip代理)的机制。然而,masque协议不提供用于通过masque隧道代理l2以太网分组(例如基于ip的隧道协议以太网(eoip))的机制。

5、因此,现有解决方案往往具有许多缺点,并且可能难以表达网络策略以及建立安全连接隧道,以向远程用户提供对(一个或多个)专用应用的访问并且实施网络流策略。


技术实现思路

0、概述

1、在独立权利要求中陈述了本专利技术的各方面,并且在从属权利要求中陈述了优选特征。一方面的特征可以单独应用于每个方面或与其他方面结合应用于每个方面。

2、本公开描述了使用和扩展quic和masque协议以向远程用户提供对专用企业/应用资源的完全应用访问以及经由(一个或多个)masque隧道来通过隧道传输层2(l2)以太网帧,同时处理quic连接迁移并且对网络组织的中间盒实施网络策略而无需解密和/或代理quic连接的方法。该方法包括:在执行基于quic加密的多路复用应用基底(masque)代理服务的一个或多个节点处从客户端设备接收超文本传输协议(http)请求。附加地或替代地,该方法包括:由masque代理服务识别在http请求的报头字段中的端点标识符。附加地或替代地,该方法包括:由masque代理服务向域名服务(dns)服务器发送包括端点标识符的dns解析请求。附加地或替代地,该方法包括:由masque代理服务从dns服务器接收与应用节点相关联的地址,该应用节点与远离客户端设备的企业网络相关联。附加地或替代地,该方法包括:至少部分地由masque代理服务在一个或多个节点和应用节点之间建立隧道连接,其中,隧道连接被配置为在客户端设备和应用节点之间传输数据流。

3、附加地或替代地,该方法包括:在与quic相关联的一个或多个节点处接收第一quic分组,该第一quic分组指示客户端设备对于与应用节点建立quic连接的请求。附加地或替代地,该方法包括:至少部分地基于第一quic分组的源连接标识符(scid)字段中的第一标识符来识别与客户端设备或应用节点中的至少一个相关联的策略。附加地或替代地,该方法包括:至少部分地基于策略来确定指示要在quic连接上实施的策略的元数据。附加地或替代地,该方法包括:向连接一个或多个节点和应用节点的元数据感知网络的实施节点提供对元数据的访问。

4、附加地或替代地,该方法包括:在与quic服务器相关联的应用节点处接收第一quic分组,该第一quic分组指示客户端设备对于与应用节点建立quic连接的请求。附加地或替代地,该方法包括:至少部分地基于第一quic分组的目的地连接标识符(dcid)字段中的第一标识符来识别与客户端设备或应用节点中的至少一个相关联的策略。附加地或替代地,该方法包括:至少部分地基于策略来确定指示要在quic连接上实施的策略的元数据。附加地或替代地,该方法包括:向元数据感知网络的实施节点提供对元数据的访问。

5、附加地或替代地,该方法包括:由quic代理服务与客户端设备建立第一quic连接。附加地或替代地,该方法包括:由quic代理服务与第一应用节点建立第二quic连接,其中,可以经由第一quic连接和第二quic连接在客户端设备和第一应用节点之间流传输数据。附加地或替代地,该方法包括:由quic代理服务在数据存储中存储与客户端设备相关联的第一连接信息和与在第一应用节点上执行的应用相关联的第二连接信息之间的映射。附加地或替代地,该方法包括:检测指示客户端设备将与第二应用节点通信的事件。附加地或替代地,该方法包括:由quic代理服务至少部分地基于第一连接信息和第二连接信息之间的映射与第二应用节点建立第三quic连接,其中,可以经由第一quic连接和第三quic连接在客户端设备和第二应用节点之间流传输数据。

6、附加地或替代地,该方法包括:由在第一代理节点上执行的quic代理服务的第一实例在第一代理节点和客户端设备之间建立第一quic连接。附加地或替代地,该方法包括:由quic代理服务的第一实例在第一代理节点和第一应用节点本文档来自技高网...

【技术保护点】

1.一种方法,包括:

2.根据权利要求1所述的方法,其中,所述一个或多个节点包括:

3.根据权利要求1或2所述的方法,其中,所述一个或多个节点包括:

4.根据权利要求1至3中任一项所述的方法,其中,所述一个或多个节点包括:

5.根据权利要求1至4中任一项所述的方法,其中,所述一个或多个节点包括:

6.根据权利要求5所述的方法,还包括:

7.根据权利要求1至6中任一项所述的方法,还包括:在执行QUIC代理服务的代理节点处从策略节点接收用所述元数据编码的第二标识符,所述策略节点与所述元数据感知网络相关联并且执行策略服务,其中,所述第二标识符包括以下项中的至少一项:

8.根据权利要求1至7中任一项所述的方法,其中,所述元数据包括以下项中的至少一项:

9.一种系统,包括:

10.根据权利要求9的系统,其中,所述一个或多个节点包括:

11.根据权利要求9或10所述的系统,其中,所述一个或多个节点包括:

12.根据权利要求9至11中任一项所述的系统,其中,所述一个或多个节点包括:

13.根据权利要求9至12中任一项所述的系统,其中,所述一个或多个节点包括:

14.根据权利要求13的系统,还包括:

15.根据权利要求9至14中任一项所述的系统,其中,所述元数据包括以下项中的至少一项:

16.一种方法,包括:

17.根据权利要求16所述的方法,还包括:

18.根据权利要求17所述的方法,还包括:

19.根据权利要求16至18中任一项所述的方法,还包括:

20.根据权利要求16至19中任一项所述的方法,其中,所述元数据包括以下项中的至少一项:

21.一种装置,包括:

22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至8中任一项所述的方法的模块。

23.一种装置,包括:

24.根据权利要求23所述的装置,还包括用于实现根据权利要求17至20中任一项所述的方法的模块。

25.一种包括指令的计算机程序、计算机程序产品或计算机可读介质,所述指令在由计算机执行时使所述计算机执行根据权利要求1至8或16至20中任一项所述的方法的步骤。

...

【技术特征摘要】
【国外来华专利技术】

1.一种方法,包括:

2.根据权利要求1所述的方法,其中,所述一个或多个节点包括:

3.根据权利要求1或2所述的方法,其中,所述一个或多个节点包括:

4.根据权利要求1至3中任一项所述的方法,其中,所述一个或多个节点包括:

5.根据权利要求1至4中任一项所述的方法,其中,所述一个或多个节点包括:

6.根据权利要求5所述的方法,还包括:

7.根据权利要求1至6中任一项所述的方法,还包括:在执行quic代理服务的代理节点处从策略节点接收用所述元数据编码的第二标识符,所述策略节点与所述元数据感知网络相关联并且执行策略服务,其中,所述第二标识符包括以下项中的至少一项:

8.根据权利要求1至7中任一项所述的方法,其中,所述元数据包括以下项中的至少一项:

9.一种系统,包括:

10.根据权利要求9的系统,其中,所述一个或多个节点包括:

11.根据权利要求9或10所述的系统,其中,所述一个或多个节点包括:

12.根据权利要求9至11中任一项所述的系统,其中,所述一个或多个节点包括:

【专利技术属性】
技术研发人员:文森特·E·帕拉凯尔·安德鲁·唐纳德·梅斯特里拉杰瓦尔丹·索姆拉吉·德希穆克南茜·帕特里夏·卡姆温格特
申请(专利权)人:思科技术公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1