CN101755418B - 优化加密广域网络通信 - Google Patents
优化加密广域网络通信 Download PDFInfo
- Publication number
- CN101755418B CN101755418B CN200880025106XA CN200880025106A CN101755418B CN 101755418 B CN101755418 B CN 101755418B CN 200880025106X A CN200880025106X A CN 200880025106XA CN 200880025106 A CN200880025106 A CN 200880025106A CN 101755418 B CN101755418 B CN 101755418B
- Authority
- CN
- China
- Prior art keywords
- data
- communication
- end points
- subnet
- wan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H03—ELECTRONIC CIRCUITRY
- H03M—CODING; DECODING; CODE CONVERSION IN GENERAL
- H03M7/00—Conversion of a code where information is represented by a given sequence or number of digits to a code where the same, similar or subset of information is represented by a different sequence or number of digits
- H03M7/30—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction
- H03M7/3084—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction using adaptive string matching, e.g. the Lempel-Ziv method
- H03M7/3088—Compression; Expansion; Suppression of unnecessary data, e.g. redundancy reduction using adaptive string matching, e.g. the Lempel-Ziv method employing the use of a dictionary, e.g. LZ78
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/04—Protocols for data compression, e.g. ROHC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
- H04L67/5651—Reducing the amount or size of exchanged application data
Abstract
在WAN(316)上流动的加密通信的优化由其中WAN(316)压缩分布在中枢和分支网络(300)的子网(305)中的端点(318)(即,客户机器或服务器)与该子网中的WAN压缩服务器(326)之间的安排提供。在一个或多个端点(318)中的每一个上运行的WAN压缩(306)的客户端部分与由子网(305)中的端点(318)见到的数据的可随意处置本地高速缓存(505)接口,其用于使用基于库的压缩技术来压缩和解压缩通信。子网(305)中的本地WAN压缩服务器(326)存储子网(305)中所有WAN通信的共享中央数据库(405),它用于填充端点(318)中的本地可随意处置高速缓存(505)。
Description
背景
经营分公司的组织中的信息技术(“IT”)管理必须适应类局部型应用性能和可管理性与部署成本之间经常冲突的需求。为减少所有权的总成本(“TCO”),存在其中将分公司服务器合并,且将服务和应用程序从LAN(局域网)推送到被主存在来自一般位于企业的总部位置的中枢的WAN(广域网)之间的趋势。虽然此类分支和中枢体系结构可以提供巨大的成本效益,但是对WAN资源的依赖可能通常导致耗尽的带宽和增加的最终用户等待时间。这通常导致在分公司的用户体验的质量与总公司的用户体验的质量相比之下的减少,以及分公司中的生产力的总体损失。
对该问题的一个解决方案是增加更多广域带宽,且历史上数据服务一般消耗企业IT预算的大部分。然而,带宽的增量式增加可带来不成比例的价格增加以及诸如网络延迟等限制因素,且应用程序行为可能限制性能和带宽投资的回报两者。
WAN加速度解决方案显示了设法通过最大化WAN利用(这通常可以延迟或消除购买额外WAN带宽的需要)来利用由集中式服务器提供的成本优势而不损失性能。尽管WAN加速解决方案可提供显著的效益并通常提供良好的投资回报,但是当前WAN加速解决方案与诸如IPsec(网际协议安全)和SMB(服务器消息块)等签署启用分支客户机与中枢处的服务器之间的安全通信的端对端数据完整性协议不兼容。虽然某些当前解决方案使用SSL(安全套接字层)加密来提供端对端的安全性,但是这些解决方案依赖于将私钥部署在中间设备,这可增加网络对被称为“中间人”攻击的攻击的易受攻击性。
提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题或缺点中的任一个或全部的实现。
概述
在WAN上流动的加密通信的优化由其中WAN压缩分布在中枢(hub)和分支网络的子网中的端点(即,客户机器或服务器)与该子网中的WAN压缩服务器之间的安排提供。在一个或多个端点中的每一个上运行的WAN压缩的客户端部分与由子网中的端点见到的数据的可随意处置本地高速缓存接口,其用于使用基于库(dictionary)的压缩技术来压缩和解压缩通信。子网中的本地WAN压缩服务器存储在子网中所见到的所有WAN通信的共享中央数据库,它用于填充端点中的可随意处置本地数据高速缓存。
在说明性示例中,在出站通信被加密之前端点截取出站通信。使用依赖于在子网中的端点处本地高速缓存的库的基于库的压缩,或通过使用从存储在本地WAN压缩服务器上的中央数据库下载的库来执行WAN优化。一旦被优化,通信被向下传给TCP/IP(传输控制协议/网际协议)栈,并在通过WAN链接将该通信发送到中枢和分支网络的远程子网之前使用IPsec来加密该通信。远程子网处的端点解密该通信,并随后使用本地高速缓存的库,或通过使用从远程子网上的中央WAN压缩服务器下载的库来解压缩该通信。
有利地,用于优化加密WAN通信的本安排增加了WAN利用率以显著地改善分支子网处的用户体验的质量,同时通过IPsec加密来维护端对端的安全性并降低成本。此外,此类性能、安全性、以及成本减少是在不使用额外中间设备以及私钥的情况下达成的,以避免中间人易受攻击性。
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图描述
图1示出在每一子网中使用WAN压缩服务器的说明性中枢和分支网络;
图2示出其中使用位于网络中的每一端点处的软件来实现WAN压缩的说明性中枢和分支网络;
图3示出其中使用分布式体系结构来实现WAN压缩的说明性中枢和分支网络;
图4示出在WAN压缩服务器中实现的一组说明性组件;
图5示出在中枢和分支网络中的端点处实现的一组说明性组件;
图6示出用于截取端点处的通信的第一说明性体系结构;
图7示出用于截取端点处的通信的第二说明性体系结构;以及
图8是用于在中枢和分支网络中实现WAN压缩的说明性方法的流程图。
各附图中的相同的附图标记指示相同的元素。
详细描述
图1示出其中分支105通过WAN链接116耦合到中枢112的说明性中枢和分支网络100。使用术语“分支”来描述任何大小的组织的远程位置,该远程位置连接到由例如作为总公司或总部的一部分的“中枢”提供的资源的集合。分支105包括耦合到路由器1201的多个客户机器1181、2……N,它们将通信置于WAN链接116上并从分支105与中枢112之间的双向链接中取得通信。客户机器118一般运行诸如文字处理、电子邮件、电子表格等商业和生产应用程序。
在中枢112处配置多个服务器1241、2……N以向分支105中的客户机器118提供服务。此类服务一般包括由文件服务器1241、邮件服务器1242以及web服务器124N提供的那些服务。然而,要强调的是,这些服务器仅为说明性的,且服务器的实际数量和配置可与所示的不同且一般将依赖于具体分支-中枢部署的需求。将服务器基础结构合并到中枢112中通常允许所有维护、故障诊断、安全策略执行、备份以及审计被中央地执行,这可显著地降低大多数企业的TOC。
WAN链接116可在私有网络和/或诸如因特网等公共网络的部分上操作。WAN 116是一般用于支持远程分支操作的许多当前WAN的代表。典型的WAN问题包括高网络延迟、带宽上的限制、以及分组丢失。此类限制可约束分支生产力。此外,在网络100中操作的许多商业或生产应用程序是为LAN环境而开发的且未被特别地进行WAN优化。结果,认识到,优化有限的可用WAN带宽的利用率可显著地对分支105中更好的用户体验作出贡献。优化WAN通信向用户提供快速和响应网络的观感以及更透明、更无缝、且类LAN的分支的总体验。此外,许多企业将从因减少通过WAN链接116的通信而导致的降低的操作成本中获益。
WAN压缩服务器1261和1262按对称配置位于网络100的相应子网(即,分支105和中枢112)中。WAN压缩服务器126位于WAN链接116的相对端的直接通信路径中,且耦合到路由器120。
在此说明性示例中,WAN压缩服务器126用于通过优化在链接上流动的通信来克服WAN链接116中的某些限制。此类优化通常使用诸如无状态与有状态数据压缩、高速缓存、协议专用优化、数据预取、基于策略的路由、服务质量(“QoS”)技术等各种技术来实现。
数据压缩算法通常标识随时间频繁重复的相对较短的字节序列。这些序列被较短的代码段替换以减少在WAN链接上被传输的数据的大小。数据压缩可使用包括诸如公知的LZW(Lempel-Ziv-Welch)技术等无状态压缩以及诸如基于库的压缩等有状态压缩的各种方法或算法来实现。库压缩依赖于在外部库中存储经过压缩引擎的所有数据。除了存储数据之外,压缩引擎标识已经见过的数据并使用一小得多的对库中的索引的引用来替换该数据,从而允许了该数据的后续解压缩。
高速缓存需要WAN压缩服务器126通过观察所有请求并保存响应的副本来模拟应用服务器。如果从客户机器118作出对同一文件的另一请求,则WAN压缩服务器126用作代理,且在向该服务器确认文件未被更改后,可从其高速缓存提供文件。
基于策略的路由一般用于实现按应用程序、按用户、或根据通信的特征(例如,来源和/或目的地地址)来分类通信并对通信区分优先级的服务质量技术。与排队结合,基于策略的路由可分配可用WAN带宽以确保与某些应用程序相关联的通信不中断企业重要的通信。优化可使用例如使用基于策略的QoS以用特定的区分服务代码点(Differentiated Services Code Point,“DSCP”)值来标记出站通信而实现。具有DSCP能力的路由器读取DSCP值并将通信转发到到基于优先级被服务的特定队列(例如,高优先级队列、最大努力、次于最大努力等)中。
所利用的具体技术可随着部署变化,但大多数类型的压缩服务器一般利用各种形式的数据压缩。然而,被加密的数据通常被压缩算法视作随机数据,这使得加密的数据基本上不可能被压缩。
因为加密通信不适于压缩,所以可在没有加速加密通信情况下安排图1所示的中枢和分支安排,这将导致重大的性能损失。或者,可加速但不加密通信,这可能引起重大的安全易受攻击性。
另一替换是在分支和中枢两者处利用中间设备或服务器,这些中间设备或服务器终止SSL(安全套接字层)通信并随后解密、存储数据的分段以供将来引用,并对其重新加密。将之后通过这些设备的通信与这些分段相比较。当正在发送的数据与分段匹配时,这些设备发送紧凑引用而不是较长的完整分段,从而减少了必须跨越WAN链接的通信量。在某些情况下,设备使用服务器的私钥来解密在WAN链接上使用的会话密钥。
虽然SSL的使用可为分支与中枢之间的通信提供合乎需要的端对端安全性,但是中间设备有所不足。通常以不加密的形式来存储被存储的分段,这可能带来某些安全易受攻击性。此外,通过将私钥置于中间设备上,存在安全漏洞可能被打开并以中间人攻击通过设备来访问安全漏洞的增加的风险。
图2示出其中使用位于网络中的客户机器218和服务器224(被称为“端点”)中的每一个处的软件2061、2…N来实现WAN压缩的说明性中枢和分支网络。在此说明性安排中,从WAN链接216上的通信路径中移除WAN压缩服务器。代替地,每一端点处的通信在被移交给TCP/IP栈之前被压缩、加密(例如,使用IPsec)、且由路由器220放置到WAN链接216上。在接收端点处,该通信被解密、解压并递送到合适的进程或应用程序。因此,受IPsec保护的通信如参考标号230所示地遍历各端点之间的WAN链接216(虽然说明性地在端点218N与224之间示出安全通信,但是应该注意,此类通信通常可在分支205中的任何端点与中枢212中的任何端点之间流动)。
虽然将WAN压缩移动到端点为通信提供了端对端的安全性,但是丢失了由如图1所示的WAN压缩服务器提供的一个主要优势。具体而言,数据减少和高速缓存不能在子网基础上来执行且相反限于在特定端点处见到的通信。此外,被高速缓存的数据的大小即使在单个机器的范围内时也可对可用资源造成显著的影响,尤其当客户机器218可能在处理器功率、存储器、以及存储方面受限。
分别在图1和图2中示出的并在相关文本中描述的WAN压缩服务器和在端点处执行的WAN压缩的限制被图3-8中示出并在相关文本中描述的用于优化加密WAN通信的本安排克服。
图3示出其中使用分布式体系结构来实现WAN压缩的说明性中枢和分支网络300。在分支305和中枢312中分别使用WAN压缩服务器3261和3262。如图4所示,每一WAN压缩服务器326被安排成将之前见到的通信的共享中央数据库405存储在子网中作为对其进行索引以支持基于库的压缩的库。要强调的是,虽然在此示例中使用基于库的压缩,但是用于优化加密WAN通信的本安排不限于基于库的压缩,且可使用可能是满足具体实现的要求所需的其它压缩技术。如参考标号416所示,还安排WAN压缩服务器326执行用于经由路由器3201和3202(图3)的穿过WAN链接316的非加密通信的常规WAN优化。
再次参考图3,WAN压缩的客户端部分(如参考标号3061、2…N)也被包括在网络300中的端点(即,客户机器3181、2…N和服务器3241、2…N)中的一个或多个上,以使得通信在被加密并通过WAN链接316发送之前被截取并压缩。在此说明性示例中,使用如参考标号330所示的IPsec来加密通信。
图5示出在网络中的端点处实现的一组说明性组件。图5所示的端点是客户机器318,然而要强调的是,类似的组件通常以对称的形式在网络300中的相对子网中的端点处实现。如图所示,客户端部分3161与数据库高速缓存505和通信截取功能513进行接口。
根据被制定来限制客户机器的资源不被过量使用的可能性的高速缓存策略将由端点见到的通信存储在可随意处置本地高速缓存505中。如下文所述,高速缓存505在执行基于库的压缩和解压缩时由端点使用,且可在必要时使用来自中央数据库405(图4)的库对高速缓存505进行补充和更新。
利用通信截取功能513来截取穿过WAN链接316往来于中枢312的通信,以使得客户端部分3061可压缩出站通信并解压缩到端点的入站通信。从而安排通信截取功能513与端点上的TCP/IP栈520进行接口。TCP/IP栈520进而与IPsec驱动器526进行接口,该IPsec驱动器526经由路由器320通过WAN链接316发送并接收受IPsec保护的IP分组532。
可依赖于由特定端点利用的操作系统(“OS”)来不同地实现通信截取功能513。例如,如图6所示,对在各个客户机器318和服务器324上使用微软
和
2003的端点而言,这些端点利用传输驱动器接口605(“TDI”),该传输驱动器接口是用于与TCP/IP栈520中的网络传输协议通信的通用接口。TCP/IP栈520包括传输层612,该传输层包含TCP和UDP(用户数据报协议)的实现以及发送不需要TCP或UDP头部的原始IP分组的机制。TCP/IP栈520还包括包含诸如IPv4或IPv6等网际协议的实现的网络层616。成帧(framing)层619包含构成IPv4或IPv6分组的模块。
图7示出例如被使用微软Windows VistaTM或微软
2008(之前以其代号“Longhorn”为人所知)操作系统的端点利用的通信截取功能的替换说明性实现。此处,安排TCP/IP栈520展示允许WAN压缩的客户端部分306访问传输层612和网络层616两者处的分组处理路径的窗口过滤平台(“WFP”)调出API 710(应用程序编程接口)。然而,注意,此TDI也由Windows Vista和Windows Server 2008支持以维护对基于TDI的客户机和进程的向后兼容性。
图8是用于在图3所示的中枢和分支网络300中实现本分布式WAN压缩的说明性方法800的流程图。该方法在框805处开始。在框810,启动端点(即,客户机器318或服务器324)上的WAN压缩的客户端部分306。客户端部分306通过在子网(即,分支305或中枢312)内广播或通过在端点中预先配置WAN压缩服务器的名称来执行该子网中的本地WAN压缩服务器326的发现。
在框815,一旦与本地WAN压缩服务器326的连接成功建立,端点即下载已知对等体(即,网络中也运行WAN压缩的客户端部分306的实例的其它端点)的列表。该端点还下载最近在每一对等体见到的数据的签名。
在框820,该端点随后确定源自该端点的通信是否将被加密。在此说明性示例中,利用了IPsec。因此,可通过检查IPsec策略来完成判定。或者,可检查并分析网络数据。在两种情况下,判定步骤的目标都是标识通过WAN链接316从本地子网出发的一个或多个加密流。
在框825,如果流的目的地是一未知远程端点,则例如使用保留的TCP/UDP端口或通过用于方便端点发现的其它方法的使用来启动自动发现例程。如果发现远程端点包括WAN压缩的客户端部分306,则向本地WAN压缩服务器326回报远程端点的地址。以一种对称的方式,向远程WAN压缩服务器326报告启动自动发现例程的端点的地址。
在框830,使用各种替换技术之一来将压缩应用到通信。此类技术包括例如应用于一分组或一组分组的LZW压缩、或基于库的压缩等。还可使用例如常规代理方法或使用诸如搜集/分散等集体操作来将压缩应用到相同TCP流上的分组。
如框830A-F所示,压缩步骤包括考虑到多个考量的子步骤。在框830A,端点被配置成记住当前被其以及子网中的其它对等体见到的数据。将该数据本地高速缓存在通信数据库高速缓存505(图5)中并周期性地将其连同伴随框815的文本所述的签名一起上传到本地WAN压缩服务器326处的中央通信数据库(例如,图4中的数据库405)。
在框830B,使用现有的本地高速缓存的库(例如,在端点对等体中的每一个处的图5中的高速缓存505中的那些)来压缩正从该端点发送的通信。使用从子网中的本地WAN压缩服务器326下载的当前签名来确定执行压缩的最佳库集合。将立即使用被本地高速缓存的库来执行压缩。如果在子网中没有足够的本地高速缓存的库,则端点可下载中央库的合适部分(例如,从图4中的中央数据库405)。每一端点还可被配置成处置来自其高速缓存中的那些库,例如在等于某预先确定的阈值的一段时间中不被使用的库,或使用其它处置准则或方法。
在框830C,使用子网中的端点对等体中的现有高速缓存库来解压缩从远程端点接收到的通信。从WAN压缩服务器326下载在接收端点中的本地高速缓存505(图5)中不可用的、由远程端点使用来压缩通信的库。将这些被下载的库高速缓存在端点库高速缓存505中以供可能的将来使用。执行该压缩的端点可被进一步配置成向执行解压缩的端点提供提示以允许此端点预取执行该解压缩所需的合适库。
在框830D,子网中的端点中的一个或多个将根据本地WAN压缩服务器326周期性地刷新签名和已知对等体的当前列表。这通常通过下载使用所存储的签名和对等体列表与被刷新的列表之间的增量的形式的改变来达成。在框830E,端点中的一个或多个将周期性地将其库从本地高速缓存505(图5)上传到本地WAN压缩服务器326中的中央数据库405(图4)。
在框830F,每一子网中的WAN压缩服务器326通过WAN链接316彼此通信,以在来自其相应的中央通信数据库的数据变得过时同步这些数据的清除。此外,如上所述,WAN压缩服务器326可使用例如常规IP隧道(tunneling)技术来执行WAN压缩和非加密通信的优化。该说明性方法800在框835处结束。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述特定特征或动作。相反,上述具体特征和动作是作为实现权利要求的示例形式公开的。
Claims (18)
1.一种由分支和中枢网络(300)的子网(305)中的网络端点(318)执行的用于优化WAN链接(316)上的通信的方法,所述方法包括以下步骤:
在预定被加密为安全流的出站通信被加密之前截取所述出站通信;
在所述端点(318)中的本地高速缓存(505)中保留所截取的通信;
将所保留的通信的签名上传到位于所述子网(305)上的中央服务器(326);
使用在所述网络端点处高速缓存的数据来压缩所述被截取的通信,所述数据包括库数据或是代表之前在所述子网中观察到的通信的通信数据中的至少一个;以及
与所述中央服务器(326)通信以接收对所述数据的更新。
2.如权利要求1所述的方法,其特征在于,其中所述中央服务器(126)是WAN压缩服务器,而所述端点(318)是分支和中枢网络(300)的分支(305)子网中的客户机计算机,或是分支和中枢网络(300)的中枢(312)子网中的服务器(324)。
3.如权利要求1所述的方法,其特征在于,其中使用无状态压缩或有状态压缩之一来执行所述压缩。
4.如权利要求1所述的方法,其特征在于,还包括在所述通信通过所述WAN链接(316)被传输之前加密所述压缩通信的步骤。
5.如权利要求1所述的方法,其特征在于,其中通过TCP/IP栈(520)来执行所述截取。
6.如权利要求4所述的方法,其特征在于,其中使用IPsec来执行所述加密。
7.如权利要求1所述的方法,其特征在于,其中所述更新包括指示由所述子网(305)中的所述端点(318)的一个或多个对等体观察到的通信的签名。
8.如权利要求1所述的方法,其特征在于,其中所述更新包括存储在所述中央服务器(326)处的库数据或数据签名。
9.如权利要求1所述的方法,其特征在于,其中之前在所述子网(305)中被观察到的所述通信是由所述端点(318)的对等体或由所述中央服务器(318)观察到的。
10.如权利要求1所述的方法,其特征在于,还包括使用在所述网络端点(318)处高速缓存的数据来解压缩入站通信的步骤,所述数据包括库数据或是表示之前在所述子网(305)中观察到的通信的通信数据中的至少一个。
11.如权利要求10所述的方法,其特征在于,其中远程子网中的远程端点(306)向所述网络端点(318)发送提示,所述提示被安排成指示要预取的库数据,所述库数据能够用于解压缩所述入站通信。
12.一种用于在服务器(3261)与端点(318)之间实现WAN优化的方法,所述服务器(3261)和端点(318)位于中枢和分支网络(300)的子网(305)中,所述方法包括以下步骤:
在所述服务器(3261)上的通信数据库(405)中存储指示观察到的流入和流出所述子网(305)的通信的数据;
在所述服务器(3261)上的中央库存储中存储能够由所述端点(318)用来相应地压缩并解压缩流出和流入所述子网(305)的通信的库;以及
从所述通信数据库(405)或中央库存储中的一个向所述端点(318)发送数据,所述端点(318)被安排成在出站通信被加密之前根据从所述通信数据库(405)或中央库存储中的一个所发送的所述数据压缩所述出站通信并进一步在入站通信被解密之后根据从所述通信数据库(405)或中央库存储中的一个所发送的所述数据解压缩所述入站通信。
13.如权利要求12所述的方法,其特征在于,还包括创建用于非加密通信的到远程服务器(3262)的隧道的步骤。
14.如权利要求12所述的方法,其特征在于,其中所述发送响应于来自所述端点(318)的请求执行,或作为从所述服务器(3261)到所述端点(318)的更新而被执行。
15.一种由包括中枢和分支网络(300)的子网(305)中的端点(318)和中央服务器(326)的设备执行的、优化所述中枢(312)与分支(305)之间的WAN链接(316)的性能的方法,所述方法包括以下步骤:
在所述中央服务器(326)上的数据库(405)中存储表示流入和流出所述子网(305)的通信数据;
在所述端点(318)处的高速缓存(505)中高速缓存通信数据,所述被高速缓存的通信数据是存储在所述数据库(405)中的通信数据的子集;
周期性地使用来自所述数据库(405)的通信数据来刷新所述高速缓存(505)中的所述通信数据;以及
使用所述被高速缓存的通信数据(505)来分别优化所述端点(318)处的出站和入站通信的压缩和解压缩。
16.如权利要求15所述的方法,其特征在于,还包括将能够用于分别压缩和解压缩所述端点(318)处的出站和入站通信的一个或多个库存储在中央服务器(326)上的库存储中,将所述库的子集高速缓存在所述端点(318)中的库高速缓存中,以及使用所述被高速缓存的库的子集来分别优化所述端点(318)处的出站与入站通信的压缩和解压缩的步骤。
17.如权利要求16所述的方法,其特征在于,还包括周期性地使用来自所述中央服务器上的库存储的库来刷新所述被高速缓存的库的子集的步骤。
18.如权利要求16所述的方法,其特征在于,还包括周期性地扫除所述被高速缓存的库的子集中的库的步骤,所述被扫除的库在满足预先确定的阈值的一段时间内未被使用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/879,253 | 2007-07-17 | ||
| US11/879,253 US7809820B2 (en) | 2007-07-17 | 2007-07-17 | Optimizing encrypted wide area network traffic |
| PCT/US2008/070358 WO2009012402A2 (en) | 2007-07-17 | 2008-07-17 | Optimizing encrypted wide area network traffic |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101755418A CN101755418A (zh) | 2010-06-23 |
| CN101755418B true CN101755418B (zh) | 2013-02-13 |
Family
ID=40260383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880025106XA Active CN101755418B (zh) | 2007-07-17 | 2008-07-17 | 优化加密广域网络通信 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7809820B2 (zh) |
| EP (1) | EP2183880B1 (zh) |
| JP (1) | JP5426545B2 (zh) |
| CN (1) | CN101755418B (zh) |
| WO (1) | WO2009012402A2 (zh) |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8171238B1 (en) | 2007-07-05 | 2012-05-01 | Silver Peak Systems, Inc. | Identification of data stored in memory |
| US8095774B1 (en) | 2007-07-05 | 2012-01-10 | Silver Peak Systems, Inc. | Pre-fetching data into a memory |
| US8392684B2 (en) | 2005-08-12 | 2013-03-05 | Silver Peak Systems, Inc. | Data encryption in a network memory architecture for providing data based on local accessibility |
| US8489562B1 (en) | 2007-11-30 | 2013-07-16 | Silver Peak Systems, Inc. | Deferred data storage |
| US8929402B1 (en) | 2005-09-29 | 2015-01-06 | Silver Peak Systems, Inc. | Systems and methods for compressing packet data by predicting subsequent data |
| US8811431B2 (en) | 2008-11-20 | 2014-08-19 | Silver Peak Systems, Inc. | Systems and methods for compressing packet data |
| US8885632B2 (en) | 2006-08-02 | 2014-11-11 | Silver Peak Systems, Inc. | Communications scheduler |
| US8755381B2 (en) | 2006-08-02 | 2014-06-17 | Silver Peak Systems, Inc. | Data matching using flow based packet data storage |
| US8908700B2 (en) | 2007-09-07 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for bridging a WAN accelerator with a security gateway |
| US8307115B1 (en) | 2007-11-30 | 2012-11-06 | Silver Peak Systems, Inc. | Network memory mirroring |
| US7953881B1 (en) * | 2008-06-12 | 2011-05-31 | Juniper Networks, Inc. | Network characteristic-based compression of network traffic |
| US8743683B1 (en) | 2008-07-03 | 2014-06-03 | Silver Peak Systems, Inc. | Quality of service using multiple flows |
| US10805840B2 (en) | 2008-07-03 | 2020-10-13 | Silver Peak Systems, Inc. | Data transmission via a virtual wide area network overlay |
| US9717021B2 (en) | 2008-07-03 | 2017-07-25 | Silver Peak Systems, Inc. | Virtual network overlay |
| US10164861B2 (en) | 2015-12-28 | 2018-12-25 | Silver Peak Systems, Inc. | Dynamic monitoring and visualization for network health characteristics |
| US8955107B2 (en) | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
| US8040808B1 (en) * | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
| US8761520B2 (en) * | 2009-12-11 | 2014-06-24 | Microsoft Corporation | Accelerating bitmap remoting by identifying and extracting 2D patterns from source bitmaps |
| US8396954B2 (en) * | 2010-06-24 | 2013-03-12 | Aryaka Networks, Inc. | Routing and service performance management in an application acceleration environment |
| US8739244B1 (en) | 2011-06-07 | 2014-05-27 | Riverbed Technology, Inc. | Configuring and authenticating WAN optimization devices for accessing content delivery networks |
| US8914502B2 (en) | 2011-09-27 | 2014-12-16 | Oracle International Corporation | System and method for dynamic discovery of origin servers in a traffic director environment |
| US8782395B1 (en) | 2011-09-29 | 2014-07-15 | Riverbed Technology, Inc. | Monitoring usage of WAN optimization devices integrated with content delivery networks |
| US9130991B2 (en) | 2011-10-14 | 2015-09-08 | Silver Peak Systems, Inc. | Processing data packets in performance enhancing proxy (PEP) environment |
| US9626224B2 (en) | 2011-11-03 | 2017-04-18 | Silver Peak Systems, Inc. | Optimizing available computing resources within a virtual environment |
| US9356645B2 (en) * | 2012-11-16 | 2016-05-31 | International Business Machines Corporation | Saving bandwidth in transmission of compressed data |
| CN103152327B (zh) * | 2013-02-01 | 2015-08-05 | 北京奇虎科技有限公司 | 一种配置压缩/解压缩插件的方法、客户端及系统 |
| US11038922B2 (en) * | 2013-12-06 | 2021-06-15 | Fastly, Inc. | Secure traffic optimization in an edge network |
| US9948496B1 (en) | 2014-07-30 | 2018-04-17 | Silver Peak Systems, Inc. | Determining a transit appliance for data traffic to a software service |
| US9875344B1 (en) | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
| US10063665B2 (en) | 2015-02-18 | 2018-08-28 | Actmobile Networks, Inc. | System and method to eliminate duplicate byte patterns in network streams |
| US10158735B2 (en) * | 2015-08-07 | 2018-12-18 | Sonicwall Inc. | Read-ahead on signed connections with unsigning, inline, transparent proxies |
| US10362069B2 (en) | 2015-12-03 | 2019-07-23 | Microsoft Technology Licensing, Llc | Protocol fallback |
| US10193934B2 (en) * | 2015-12-03 | 2019-01-29 | Microsoft Technology Licensing, Llc | Data compression for communications signalling |
| US20170163607A1 (en) * | 2015-12-03 | 2017-06-08 | Microsoft Technology Licensing, Llc | Establishing a Communication Event Using Secure Signalling |
| US10432484B2 (en) | 2016-06-13 | 2019-10-01 | Silver Peak Systems, Inc. | Aggregating select network traffic statistics |
| US9967056B1 (en) | 2016-08-19 | 2018-05-08 | Silver Peak Systems, Inc. | Forward packet recovery with constrained overhead |
| US11044202B2 (en) | 2017-02-06 | 2021-06-22 | Silver Peak Systems, Inc. | Multi-level learning for predicting and classifying traffic flows from first packet data |
| US10771394B2 (en) | 2017-02-06 | 2020-09-08 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows on a first packet from DNS data |
| US10257082B2 (en) | 2017-02-06 | 2019-04-09 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows |
| US10892978B2 (en) | 2017-02-06 | 2021-01-12 | Silver Peak Systems, Inc. | Multi-level learning for classifying traffic flows from first packet data |
| US11212210B2 (en) | 2017-09-21 | 2021-12-28 | Silver Peak Systems, Inc. | Selective route exporting using source type |
| US10637721B2 (en) | 2018-03-12 | 2020-04-28 | Silver Peak Systems, Inc. | Detecting path break conditions while minimizing network overhead |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6122379A (en) * | 1996-05-30 | 2000-09-19 | Deloitte & Touche Inc. | Method and apparatus for performing simultaneous data compression and encryption |
| CN1475047A (zh) * | 2000-11-16 | 2004-02-11 | 艾利森电话股份有限公司 | 使用请求-应答通信模式用于数据压缩的通信系统和方法 |
| US7020160B1 (en) * | 2001-12-17 | 2006-03-28 | Supergate Technology Usa, Inc. | Interface circuits for modularized data optimization engines and methods therefor |
| US7126955B2 (en) * | 2003-01-29 | 2006-10-24 | F5 Networks, Inc. | Architecture for efficient utilization and optimum performance of a network |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5479512A (en) * | 1991-06-07 | 1995-12-26 | Security Dynamics Technologies, Inc. | Method and apparatus for performing concryption |
| US5307413A (en) | 1991-07-19 | 1994-04-26 | Process Software Corporation | Method and apparatus for adding data compression and other services in a computer network |
| JP3196618B2 (ja) * | 1995-11-24 | 2001-08-06 | 株式会社日立製作所 | パーソナルコンピュータおよびそれを用いた通信システム |
| US6226748B1 (en) * | 1997-06-12 | 2001-05-01 | Vpnet Technologies, Inc. | Architecture for virtual private networks |
| US6704866B1 (en) | 1997-07-11 | 2004-03-09 | Cisco Technology, Inc. | Compression and encryption protocol for controlling data flow in a network |
| US6275588B1 (en) | 1998-11-12 | 2001-08-14 | I-Data International A/S | Apparatus and method for performing and controlling encryption/decryption for data to be transmitted on local area network |
| FI106417B (fi) | 1998-12-08 | 2001-01-31 | Nokia Mobile Phones Ltd | Menetelmä tiedonsiirron optimoimiseksi |
| US6985589B2 (en) * | 1999-12-02 | 2006-01-10 | Qualcomm Incorporated | Apparatus and method for encoding and storage of digital image and audio signals |
| US8095508B2 (en) | 2000-04-07 | 2012-01-10 | Washington University | Intelligent data storage and processing using FPGA devices |
| US6883035B2 (en) * | 2000-11-16 | 2005-04-19 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for communicating with temporary compression tables |
| US20020196793A1 (en) * | 2000-11-29 | 2002-12-26 | Quikcat.Com, Inc. | End-user communication systems access network |
| DE10147979A1 (de) | 2001-09-28 | 2003-04-10 | Siemens Ag | Übertragungsverfahren und Netzübergangseinrichtung zur Echtzeitkommunikation zwischen paketorientierten Kommunikationsnetzen |
| US7274684B2 (en) | 2001-10-10 | 2007-09-25 | Bruce Fitzgerald Young | Method and system for implementing and managing a multimedia access network device |
| US7305464B2 (en) | 2002-09-03 | 2007-12-04 | End Ii End Communications, Inc. | Systems and methods for broadband network optimization |
| JP2004198760A (ja) * | 2002-12-19 | 2004-07-15 | Fuji Xerox Co Ltd | 圧縮暗号化装置及び伸長復号化装置 |
| US7496676B2 (en) * | 2003-02-19 | 2009-02-24 | Maui X-Stream, Inc. | Methods, data structures, and systems for processing media data streams |
| DE10318853B4 (de) * | 2003-04-25 | 2007-07-12 | Dornier Medtech Systems Gmbh | Stoßwellenquelle mit einem piezoelektrischen Ultraschalltransducer |
| US20050027731A1 (en) * | 2003-07-30 | 2005-02-03 | Daniel Revel | Compression dictionaries |
| US7308101B2 (en) | 2004-01-22 | 2007-12-11 | Cisco Technology, Inc. | Method and apparatus for transporting encrypted media streams over a wide area network |
| GB2415335B (en) * | 2004-06-15 | 2007-09-26 | Toshiba Res Europ Ltd | Wireless terminal dynamically programmable proxies |
| US7417943B2 (en) * | 2004-08-11 | 2008-08-26 | Sonim Technologies, Inc. | Dynamic compression training method and apparatus |
| US7630394B2 (en) * | 2005-04-14 | 2009-12-08 | Ramot At Tel-Aviv University Ltd. | Method, apparatus and computer-readable code for data compression of network packets |
-
2007
- 2007-07-17 US US11/879,253 patent/US7809820B2/en active Active
-
2008
- 2008-07-17 JP JP2010517165A patent/JP5426545B2/ja active Active
- 2008-07-17 WO PCT/US2008/070358 patent/WO2009012402A2/en active Application Filing
- 2008-07-17 CN CN200880025106XA patent/CN101755418B/zh active Active
- 2008-07-17 EP EP08796258.5A patent/EP2183880B1/en active Active
-
2010
- 2010-09-20 US US12/885,697 patent/US20110010536A1/en not_active Abandoned
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6122379A (en) * | 1996-05-30 | 2000-09-19 | Deloitte & Touche Inc. | Method and apparatus for performing simultaneous data compression and encryption |
| CN1475047A (zh) * | 2000-11-16 | 2004-02-11 | 艾利森电话股份有限公司 | 使用请求-应答通信模式用于数据压缩的通信系统和方法 |
| US7020160B1 (en) * | 2001-12-17 | 2006-03-28 | Supergate Technology Usa, Inc. | Interface circuits for modularized data optimization engines and methods therefor |
| US7126955B2 (en) * | 2003-01-29 | 2006-10-24 | F5 Networks, Inc. | Architecture for efficient utilization and optimum performance of a network |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009012402A2 (en) | 2009-01-22 |
| CN101755418A (zh) | 2010-06-23 |
| WO2009012402A3 (en) | 2009-03-19 |
| JP5426545B2 (ja) | 2014-02-26 |
| EP2183880B1 (en) | 2018-07-11 |
| US7809820B2 (en) | 2010-10-05 |
| EP2183880A2 (en) | 2010-05-12 |
| JP2010534042A (ja) | 2010-10-28 |
| US20110010536A1 (en) | 2011-01-13 |
| EP2183880A4 (en) | 2015-03-11 |
| US20090024763A1 (en) | 2009-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101755418B (zh) | 优化加密广域网络通信 | |
| US10885156B2 (en) | Dynamic monitoring and authorization of an optimization device | |
| EP3646213B1 (en) | System and method for using a distributed ledger gateway | |
| CN111034150B (zh) | 选择性地解密ssl/tls通信的方法和装置 | |
| US8813189B2 (en) | System and method for capturing network traffic | |
| US10073971B2 (en) | Traffic processing for network performance and security | |
| CN109756501B (zh) | 一种基于http协议的高隐匿网络代理方法及系统 | |
| US9626522B1 (en) | Method and apparatus for the network steganographic assessment of a test subject | |
| US20210271776A1 (en) | System and method for privacy policy enforcement | |
| CN111756751A (zh) | 报文传输方法、装置及电子设备 | |
| CN110717149A (zh) | 一种安全架构及其运行方法、设备及可读存储介质 | |
| US10158610B2 (en) | Secure application communication system | |
| US20030110377A1 (en) | Method of and apparatus for data transmission | |
| WO2006002237A1 (en) | Method, apparatuses and program storage device for efficient policy change management in virtual private networks | |
| US20130339727A1 (en) | WAN Optimization Without Required User Configuration for WAN Secured VDI Traffic | |
| CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
| US11063921B2 (en) | Extracting data from passively captured web traffic that is encrypted in accordance with an anonymous key agreement protocol | |
| CN113810397B (zh) | 协议数据的处理方法及装置 | |
| US11954184B2 (en) | Dynamic monitoring and authorization of an optimization device | |
| Maatkamp et al. | Unidirectional Secure Information Transfer via RabbitMQ | |
| CN115550322A (zh) | 基于网络安全协议的用户注册方法、装置、电子设备及介质 | |
| Güvensan et al. | Protocol Independent Lightweight Secure Communication. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150507 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150507 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |