CN103154895A - 用于在多核***中的核上管理cookie代理的***和方法 - Google Patents
用于在多核***中的核上管理cookie代理的***和方法 Download PDFInfo
- Publication number
- CN103154895A CN103154895A CN2011800481275A CN201180048127A CN103154895A CN 103154895 A CN103154895 A CN 103154895A CN 2011800481275 A CN2011800481275 A CN 2011800481275A CN 201180048127 A CN201180048127 A CN 201180048127A CN 103154895 A CN103154895 A CN 103154895A
- Authority
- CN
- China
- Prior art keywords
- cookie
- core
- server
- client computer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/561—Adding application-functional data or data for application control, e.g. adding metadata
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/50—Indexing scheme relating to G06F9/50
- G06F2209/5016—Session
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Library & Information Science (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本解决方案涉及通过多核装置来管理cookie的***和方法。所述装置在客户机和一个或多个服务器中间。多核装置的第一核通过用户会话接收来自服务器的、对客户机的请求的响应。该响应包括cookie。第一核从响应中移除该cookie并且将该cookie存储在会话的相应存储中。第一核将没有cookie的响应转发到客户机。接着,第二核经由会话接收来自客户机的第二请求。第二核根据第二请求确定作为会话的所有者的第一核的标识。第二核接着向第一核传递对会话的cookie信息的第三请求。
Description
相关申请
本申请要求在2010年8月5日提交的,名称为“SYSTEMS ANDMETHODS FOR COOKIE PROXY MANAGEMENT ACROSS CORES IN AMULTI-CORE SYSTEM”的美国专利申请No.12/851449的优先权,该申请通过引用被全部包含于此。
技术领域
本申请总地涉及数据通信网络。本申请尤其涉及用于在多核***中进行cookie代理的***和方法。
背景技术
cookie是由客户计算机的web浏览器存储的字符串或文本。cookie可用于认证或者用于存储特定信息,例如站点首选项(site preference)和购物车内容。cookie(又称为web cookie、浏览器cookie或HTTP cookie)通常由包含多位信息的一个或多个名值(name-value)对组成。通常,每当浏览器访问服务器时,服务器将cookie发送到在客户机上执行的web浏览器并且接着由浏览器无改变地发送回来。
在一些实例中,客户机使用安全网络连接连接到服务器,而其他客户机可利用较不安全的网络连接。此外,在多个网络架构中,客户机和服务器通过中间装置进行连接,该中间装置例如是代理、设备、防火墙、网关和其他类似的装置。使用这种中间装置可能对cookie的效率和效力带来负面影响。网络配置和网络连接的这种变化可能给客户机制造挑战并且影响服务器提供的服务。
发明内容
本申请涉及用于在多核***中改善cookie操作的方法和***。本申请描述了在具有多核处理器的装置中改善性能和cookie管理的方法和***,其中所述多核处理器并行执行,并且常常同时拦截来自各个客户机和服务器的HTTP事务。
在一个方面,本发明涉及用于通过多核装置来管理cookie的方法。所述方法包括在客户机和一个或多个服务器中间的装置。多核装置的第一核经由会话接收来自服务器的、对客户机的请求的响应。所述响应包括cookie。所述第一核将cookie从所述响应中移除并且将该cookie存储到所述会话的相应存储中。所述第一核接着将没有cookie的响应转发给所述客户机。多核装置的第二核经由会话接收来自所述客户机的第二请求。所述第二核根据第二请求确定所述第一核是会话的所有者的标识。所述第二核将对所述会话的cookie信息的第三请求传递给所述第一核。
在一些实施例中,所述第一核响应于关于会话或所述响应的内容的策略来确定移除所述cookie。在一些实施例中,所述第一核响应于在所述响应中标识预定URL来确定移除所述cookie。在一些实施例中,所述第二核接收来自所述客户机的会话cookie。在一些实施例中,所述第二核根据所述会话cookie确定所述会话的所有者。在其他实施例中,所述第二核关于会话标识符确定所述会话的所有者。在一些实施例中,所述第二核将对基于域、路径和协议的所述会话的cookie信息的第三请求传递给所述第一核。在一些实施例中,所述第二核从所述第一核接收关于域、路径和协议的cookie信息。在一些实施例中,所述第二核基于从所述第一核接收的cookie信息,在第三请求中***第二cookie。在其他实施例中,装置向所述一个或多个服务器中的服务器转发具有第二cookie的第三请求。
在另一个方面,本发明涉及通过多核装置来管理cookie的***。所述***包括在客户机和一个或多个服务器的中间的多核装置。该多核装置的每个核执行分组引擎。多核装置的第一核经由会话接收来自服务器的、对客户机的第一请求的响应。所述响应包括cookie。第一核的第一分组引擎从所述响应中移除所述cookie、将所述cookie存储在所述会话的相应存储中,并且将没有cookie的响应转发给所述客户机。多核装置的第二核经由会话接收来自所述客户机的第二请求。第二核的第二分组引擎根据第二请求,确定作为会话的所有者的所述第一核的身份,并且将对所述会话的cookie信息的第三请求传递给所述第一核。
在一些实施例中,所述第一分组引擎响应于关于会话或所述响应的内容的策略,来移除所述cookie。在一些实施例中,所述第一分组引擎基于在所述响应中标识预定URL,来确定移除所述cookie。在一些实施例中,所述第二核接收来自所述客户机的会话cookie。在一些进一步的实施例中,第二分组引擎根据所述会话cookie来确定所述会话的所有者。在一些进一步的实施例中,所述第二分组引擎根据会话标识符来确定所述会话的所有者。在一些实施例中,所述第二分组引擎将对基于域、路径和协议的所述会话的cookie信息的第三请求传递给所述第一核。在一些实施例中,所述第二分组引擎从所述第一核接收关于域、路径和协议的cookie信息。在一些实施例中,所述第二分组引擎基于从所述第一核接收到的cookie信息,在第三请求中***第二cookie。在一些实施例中,所述第二分组引擎向所述一个或多个服务器中的服务器转发具有第二cookie的第三请求。
在附图和下面的描述中将详细阐述本发明的各种实施例。
附图说明
通过参考下述结合附图的描述,本发明的前述和其它目的、方面、特征和优点将会更加明显并更易于理解,其中:
图1A是客户机经由设备访问服务器的网络环境的实施例的框图;
图1B是经由设备从服务器传送计算环境到客户机的环境的实施例的框图;
图1C是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1D是经由设备从服务器传送计算环境到客户机的环境的又一个实施例的框图;
图1E到1H是计算装置的实施例的框图;
图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图;
图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信的设备的又一个实施例的框图;
图3是用于经由设备与服务器通信的客户机的实施例的框图;
图4A是虚拟化环境的实施例的框图;
图4B是虚拟化环境的又一个实施例的框图;
图4C是虚拟设备的实施例的框图;
图5A是在多核***中实现并行机制的方式的实施例的框图;
图5B是使用多核***的***实施例的框图;
图5C是多核***方面的另一实施例的框图;
图6A是经由中间装置访问服务器的无客户端虚拟专用网络的实施例的框图;
图6B是经由中间装置访问服务器的无客户端虚拟专用网络的另一个实施例的框图;
图7A是涉及cookie管理的多个实施例的框图;
图7B是描述用于cookie管理的多个管理序列图的框图;
图7C是描述cookie代理数据流的多个实施例的框图,包括涉及cookie代理的方法;
图8A是描述用于在多核***中进行cookie代理的***的框图;以及
图8B是用于在多核***中进行cookie代理的方法的实施例的流程图。
从下面结合附图所阐述的详细描述,本发明的特征和优点将更明显,其中,同样的参考标记在全文中标识相应的元素。在附图中,同样的附图标记通常表示相同的、功能上相似的和/或结构上相似的元素。
具体实施方式
为了阅读下文各种实施例的描述,下述对于说明书的部分以及它们各自内容的描述是有用的:
-A部分描述可用于实施此处描述的实施例的网络环境和计算环境;
-B部分描述用于将计算环境传送到远程用户的***和方法的实施例;
-C部分描述用于加速客户机和服务器之间的通信的***和方法的实施例;
-D部分描述用于对应用传送控制器进行虚拟化的***和方法的实施例。
-E部分描述用于提供多核架构和环境的***和方法的实施例;
-F部分描述用于由中间装置提供cookie代理和管理的***和方法的实施例;以及
-G部分描述用于经由多核***提供cookie代理和管理的***和方法的实施例。
A.网络和计算环境
在讨论设备和/或客户机的***和方法的实施例的细节之前,讨论可在其中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A,描述了网络环境的实施例。概括来讲,网络环境包括经由一个或多个网络104、104’(总的称为网络104)与一个或多个服务器106a-106n(同样总的称为服务器106,或远程机器106)通信的一个或多个客户机102a-102n(同样总的称为本地机器102,或客户机102)。在一些实施例中,客户机102通过设备200与服务器106通信。
虽然图1A示出了在客户机102和服务器106之间的网络104和网络104’,客户机102和服务器106可以位于同一个的网络104上。网络104和104’可以是相同类型的网络或不同类型的网络。网络104和/或104’可为局域网(LAN)例如公司内网,城域网(MAN),或者广域网(WAN)例如因特网或万维网。在一个实施例中,网络104可为专用网络并且网络104’可为公网。在一些实施例中,网络104可为专用网并且网络104’可为公网。在又一个实施例中,网络104和104’可都为专用网。在一些实施例中,客户机102可位于公司企业的分支机构中,通过网络104上的WAN连接与位于公司数据中心的服务器106通信。
网络104和/或104’可以是任何类型和/或形式的网络,并且可包括任何下述网络:点对点网络,广播网络,广域网,局域网,电信网络,数据通信网络,计算机网络,ATM(异步传输模式)网络,SONET(同步光纤网络)网络,SDH(同步数字体系)网络,无线网络和有线网络。在一些实施例中,网络104可以包括无线链路,诸如红外信道或者卫星频带。网络104和/或104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的任何这样的网络或网络拓扑。
如图1A所示,设备200被显示在网络104和104’之间,设备200也可被称为接口单元200或者网关200。在一些实施例中,设备200可位于网络104上。例如,公司的分支机构可在分支机构中部署设备200。在其他实施例中,设备200可以位于网络104’上。例如,设备200可位于公司的数据中心。在又一个实施例中,多个设备200可在网络104上部署。在一些实施例中,多个设备200可部署在网络104’上。在一个实施例中,第一设备200与第二设备200’通信。在其他实施例中,设备200可为位于与客户机102同一或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的任一点。
在一些实施例中,设备200包括由位于佛罗里达州Ft.Lauderdale的CitrixSystems公司制造的被称为Citrix NetScaler设备的任何网络设备。在其他实施例中,设备200包括由位于华盛顿州西雅图的F5Networks公司制造的被称为WebAccelerator和BigIP的任何一个产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper Networks公司制造的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSLVPN系列设备中的任何一个。在又一个实施例中,设备200包括由位于加利福尼亚州San Jose的Cisco Systems公司制造的任何应用加速和/或安全相关的设备和/或软件,例如Cisco ACE应用控制引擎模块服务(ApplicationControl Engine Module service)软件和网络模块以及Cisco AVS系列应用速度***(Application Velocity System)。
在一个实施例中,***可包括多个逻辑分组的服务器106。在这些实施例中,服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中,服务器106可为地理上分散的。在一些情况中,群38可以作为单个实体被管理。在其他实施例中,服务器群38包括多个服务器群38。在一个实施例中,服务器群代表一个或多个客户机102执行一个或多个应用程序。
在每个群38中的服务器106可为不同种类。一个或多个服务器106可根据一种类型的操作***平台(例如,由华盛顿州Redmond的Microsoft公司制造的WINDOWS NT)操作,而一个或多个其它服务器106可根据另一类型的操作***平台(例如,Unix或Linux)操作。每个群38的服务器106不需要与同一群38内的另一个服务器106物理上接近。因此,被逻辑分组为群38的服务器106组可使用广域网(WAN)连接或城域网(MAN)连接互联。例如,群38可包括物理上位于不同大陆或大陆的不同区域、国家、州、城市、校园或房间的服务器106。如果使用局域网(LAN)连接或一些直连形式来连接服务器106,则可增加群38中的服务器106间的数据传送速度。
服务器106可指文件服务器、应用服务器、web服务器、代理服务器或者网关服务器。在一些实施例中,服务器106可以有作为应用服务器或者作为主应用服务器工作的能力。在一个实施例中,服务器106可包括活动目录。客户机102也可称为客户端节点或端点。在一些实施例中,客户机102可以有作为客户机节点寻求访问服务器上的应用的能力,也可以有作为应用服务器为其它客户机102a-102n提供对寄载的应用的访问的能力。
在一些实施例中,客户机102与服务器106通信。在一个实施例中,客户机102与群38中的服务器106的其中一个直接通信。在又一个实施例中,客户机102执行程序邻近应用(program neighborhood application)以与群38内的服务器106通信。在又一个实施例中,服务器106提供主节点的功能。在一些实施例中,客户机102通过网络104与群38中的服务器106通信。通过网络104,客户机102例如可以请求执行群38中的服务器106a-106n寄载的各种应用,并接收应用执行结果的输出进行显示。在一些实施例中,只有主节点提供识别和提供与寄载所请求的应用的服务器106’相关的地址信息所需的功能。
在一个实施例中,服务器106提供web服务器的功能。在又一个实施例中,服务器106a接收来自客户机102的请求,将该请求转发到第二服务器106b,并使用来自服务器106b对该请求的响应来对客户机102的请求进行响应。在又一个实施例中,服务器106获得客户机102可用的应用的列举以及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个实施例中,服务器106使用web接口将对请求的响应提供给客户机102。在一个实施例中,客户机102直接与服务器106通信以访问所识别的应用。在又一个实施例中,客户机102接收由执行服务器106上所识别的应用而产生的诸如显示数据的应用输出数据。
现参考图1B,描述了部署多个设备200的网络环境的实施例。第一设备200可以部署在第一网络104上,而第二设备200’部署在第二网络104’上。例如,公司可以在分支机构部署第一设备200,而在数据中心部署第二设备200’。在又一个实施例中,第一设备200和第二设备200’被部署在同一个网络104或网络104上。例如,第一设备200可以被部署用于第一服务器群38,而第二设备200可以被部署用于第二服务器群38’。在另一个实例中,第一设备200可以被部署在第一分支机构,而第二设备200’被部署在第二分支机构’。在一些实施例中,第一设备200和第二设备200’彼此协同或联合工作,以加速客户机和服务器之间的网络流量或应用和数据的传送。
现参考图1C,描述了网络环境的又一个实施例,在该网络环境中,将设备200和一个或多个其它类型的设备部署在一起,例如,部署在一个或多个WAN优化设备205,205’之间。例如,第一WAN优化设备205显示在网络104和104’之间,而第二WAN优化设备205’可以部署在设备200和一个或多个服务器106之间。例如,公司可以在分支机构部署第一WAN优化设备205,而在数据中心部署第二WAN优化设备205’。在一些实施例中,设备205可以位于网络104’上。在其他实施例中,设备205’可以位于网络104上。在一些实施例中,设备205’可以位于网络104’或网络104"上。在一个实施例中,设备205和205’在同一个网络上。在又一个实施例中,设备205和205’在不同的网络上。在另一个实例中,第一WAN优化设备205可以被部署用于第一服务器群38,而第二WAN优化设备205’可以被部署用于第二服务器群38’。
在一个实施例中,设备205是用于加速、优化或者以其他方式改善任何类型和形式的网络流量(例如去往和/或来自WAN连接的流量)的性能、操作或服务质量的装置。在一些实施例中,设备205是一个性能增强代理。在其他实施例中,设备205是任何类型和形式的WAN优化或加速装置,有时也被称为WAN优化控制器。在一个实施例中,设备205是由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为WANScaler的产品实施例中的任何一种。在其他实施例中,设备205包括由位于华盛顿州Seattle的F5Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施例中的任何一种。在又一个实施例中,设备205包括由位于加利福尼亚州Sunnyvale的Juniper NetWorks公司出品的WX和WXC WAN加速装置平台中的任何一种。在一些实施例中,设备205包括由加利福尼亚州San Francisco的Riverbed Technology公司出品的虹鳟(steelhead)系列WAN优化设备中的任何一种。在其他实施例中,设备205包括由位于新泽西州Roseland的Expand Networks公司出品的WAN相关装置中的任何一种。在一个实施例中,设备205包括由位于加利福尼亚州Cupertino的Packeteer公司出品的任何一种WAN相关设备,例如由Packeteer提供的PacketShaper、iShared和SkyX产品实施例。在又一个实施例中,设备205包括由位于加利福尼亚州San Jose的Cisco Systems公司出品的任何WAN相关设备和/或软件,例如Cisco广域网应用服务软件和网络模块以及广域网引擎设备。
在一个实施例中,设备205为分支机构或远程办公室提供应用和数据加速服务。在一个实施例中,设备205包括广域文件服务(WAFS)的优化。在又一个实施例中,设备205加速文件的传送,例如经由通用互联网文件***(CIFS)协议。在其他实施例中,设备205在存储器和/或存储装置中提供高速缓存来加速应用和数据的传送。在一个实施例中,设备205在任何级别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实施例中,设备205提供传输层协议优化、流量控制、性能增强或修改和/或管理,以加速WAN连接上的应用和数据的传送。例如,在一个实施例中,设备205提供传输控制协议(TCP)优化。在其他实施例中,设备205提供对于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。
在又一个实施例中,设备205将任何类型和形式的数据或信息编码成网络分组的定制的或标准的TCP和/或IP的报头字段或可选字段,以将其存在、功能或能力通告给另一个设备205’。在又一个实施例中,设备205’可以使用在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205’进行通信。例如,设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如WAN加速的功能时或者为了彼此联合工作而由设备205,205’所使用的一个或多个参数。
在一些实施例中,设备200保存在设备205和205’之间传达的TCP和/或IP报头和/或可选字段中编码的任何信息。例如,设备200可以终止经过设备200的传输层连接,例如经过设备205和205’的在客户机和服务器之间的一个传输层连接。在一个实施例中,设备200识别并保存由第一设备205通过第一传输层连接发送的传输层分组中的任何编码信息,并经由第二传输层连接来将具有编码信息的传输层分组传达到第二设备205’。
现参考图1D,描述了用于传送和/或操作客户机102上的计算环境的网络环境。在一些实施例中,服务器106包括用于向一个或多个客户机102传送计算环境或应用和/或数据文件的应用传送***190。总的来说,客户机10通过网络104、104’和设备200与服务器106通信。例如,客户机102可驻留在公司的远程办公室里,例如分支机构,并且服务器106可驻留在公司数据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服务器106传送计算环境15、应用和/或数据文件。
在一些实施例中,设备200加速计算环境15或者其任何部分到客户机102的传送。在一个实施例中,设备200通过应用传送***190加速计算环境15的传送。例如,可使用此处描述的实施例来加速从公司中央数据中心到远程用户位置(例如公司的分支机构)的流应用(streaming application)及该应用可处理的数据文件的传送。在又一个实施例中,设备200加速客户机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务器106到客户机102的任何传输层有效载荷的加速技术,例如:1)传输层连接池,2)传输层连接多路复用,3)传输控制协议缓冲,4)压缩和5)高速缓存。在一些实施例中,设备200响应于来自客户机102的请求提供服务器106的负载平衡。在其他实施例中,设备200充当代理或者访问服务器来提供对一个或者多个服务器106的访问。在又一个实施例中,设备200提供从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用网络连接,诸如SSL VPN连接。在又一些实施例中,设备200提供客户机102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。
在一些实施例中,基于多个执行方法并且基于通过策略引擎195所应用的任一验证和授权策略,应用传送管理***190提供将计算环境传送到远程的或者另外的用户的桌面的应用传送技术。使用这些技术,远程用户可以从任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文件。在一个实施例中,应用传送***190可驻留在服务器106上或在其上执行。在又一个实施例中,应用传送***190可驻留在多个服务器106a-106n上或在其上执行。在一些实施例中,应用传送***190可在服务器群38内执行。在一个实施例中,执行应用传送***190的服务器106也可存储或提供应用和数据文件。在又一个实施例中,一个或多个服务器106的第一组可执行应用传送***190,而不同的服务器106n可存储或提供应用和数据文件。在一些实施例中,应用传送***190、应用和数据文件中的每一个可驻留或位于不同的服务器。在又一个实施例中,应用传送***190的任何部分可驻留、执行、或被存储于或分发到设备200或多个设备。
客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。客户机102可通过网络104、104’和设备200请求来自服务器106的应用和数据文件。在一个实施例中,设备200可以将来自客户机102的请求转发到服务器106。例如,客户机102可能不具有本地存储或者本地可访问的应用和数据文件。响应于请求,应用传送***190和/或服务器106可以传送应用和数据文件到客户机102。例如,在一个实施例中,服务器106可以把应用作为应用流来传输,以在客户机102上的计算环境15中操作。
在一些实施例中,应用传送***190包括Citrix Systems有限公司的Citrix Access SuiteTM的任一部分(例如MetaFrame或Citrix PresentationServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,应用传送***190可以通过远程显示协议或者以其它方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客户机102或者用户。在又一个实施例中,应用传送***190可以通过应用流来传送一个或者多个应用到客户机或者用户。
在一个实施例中,应用传送***190包括策略引擎195,其用于控制和管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中,策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又一个实施例中,策略引擎195确定应用应该如何被传送到用户或者客户机102,例如执行方法。在一些实施例中,应用传送***190提供多个传送技术,从中选择应用执行的方法,例如基于服务器的计算、本地流式传输或传送应用给客户机120以用于本地执行。
在一个实施例中,客户机102请求应用程序的执行并且包括服务器106的应用传送***190选择执行应用程序的方法。在一些实施例中,服务器106从客户机102接收证书。在又一个实施例中,服务器106从客户机102接收对于可用应用的列举的请求。在一个实施例中,响应该请求或者证书的接收,应用传送***190列举对于客户机102可用的多个应用程序。应用传送***190接收执行所列举的应用的请求。应用传送***190选择预定数量的方法之一来执行所列举的应用,例如响应策略引擎的策略。应用传送***190可以选择执行应用的方法,使得客户机102接收通过执行服务器106上的应用程序所产生的应用输出数据。应用传送***190可以选择执行应用的方法,使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。在又一个实施例中,应用传送***190可以选择执行应用的方法,以通过网络104流式传输应用到客户机102。
客户机102可以执行、操作或者以其它方式提供应用,所述应用可为任何类型和/或形式的软件、程序或者可执行指令,例如任何类型和/或形式的web浏览器、基于web的客户机、客户机-服务器应用、瘦客户端计算客户机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任何其它类型和/或形式的可执行指令。在一些实施例中,应用可以是代表客户机102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例中,服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户机102,所述瘦-客户端或远程显示协议例如由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的独立计算架构(ICA)协议或由位于华盛顿州Redmond的微软公司出品的远程桌面协议(RDP)。应用可使用任何类型的协议,并且它可为,例如,HTTP客户机、FTP客户机、Oscar客户机或Telnet客户机。在其他实施例中,应用包括和VoIP通信相关的任何类型的软件,例如软IP电话。在进一步的实施例中,应用包括涉及到实时数据通信的任一应用,例如用于流式传输视频和/或音频的应用。
在一些实施例中,服务器106或服务器群38可运行一个或多个应用,例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中,服务器106或服务器群38作为一个应用来执行Citrix Systems有限公司的CitrixAccess SuiteTM的任一部分(例如MetaFrame或Citrix Presentation ServerTM),和/或微软公司开发的Windows终端服务中的任何一个。在一个实施例中,该应用是位于佛罗里达州Fort Lauderdale的Citrix Systems有限公司开发的ICA客户机。在其他实施例中,该应用包括由位于华盛顿州Redmond的Microsoft公司开发的远程桌面(RDP)客户机。另外,服务器106可以运行一个应用,例如,其可以是提供电子邮件服务的应用服务器,例如由位于华盛顿州Redmond的Microsoft公司制造的Microsoft Exchange,web或Internet服务器,或者桌面共享服务器,或者协作服务器。在一些实施例中,任一应用可以包括任一类型的所寄载的服务或产品,例如位于加利福尼亚州SantaBarbara的Citrix Online Division公司提供的GoToMeetingTM,位于加利福尼亚州Santa Clara的WebEx有限公司提供的WebExTM,或者位于华盛顿州Redmond的Microsoft公司提供的Microsoft Office Live Meeting。
仍参考图1D,网络环境的一个实施例可以包括监控服务器106A。监控服务器106A可以包括任何类型和形式的性能监控服务198。性能监控服务198可以包括监控、测量和/或管理软件和/或硬件,包括数据收集、集合、分析、管理和报告。在一个实施例中,性能监控服务198包括一个或多个监控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其组合。在一些实施例中,监控代理197包括诸如Visual Basic脚本或Javascript任何类型和形式的脚本。在一个实施例中,监控代理197相对于装置的任何应用和/或用户透明地执行。在一些实施例中,监控代理197相对于应用或客户机不显眼地被安装和操作。在又一个实施例中,监控代理197的安装和操作不需要用于该应用或装置的任何设备。
在一些实施例中,监控代理197以预定频率监控、测量和收集数据。在其他实施例中,监控代理197基于检测到任何类型和形式的事件来监控、测量和收集数据。例如,监控代理197可以在检测到对web页面的请求或收到HTTP响应时收集数据。在另一个实例中,监控代理197可以在检测到诸如鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任何所监控、测量或收集的数据给监控服务198。在一个实施例中,监控代理197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例中,监控代理197在检测到事件时发送信息给监控服务198。
在一些实施例中,监控服务198和/或监控代理197对诸如客户机、服务器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础结构元件的进行监控和性能测量。在一个实施例中,监控服务198和/或监控代理197执行诸如TCP或UDP连接的任何传输层连接的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197监控和测量网络等待时间。在又一个实施例中,监控服务198和/或监控代理197监控和测量带宽利用。
在其他实施例中,监控服务198和/或监控代理197监控和测量终端用户响应时间。在一些实施例中,监控服务198执行应用的监控和性能测量。在又一个实施例中,监控服务198和/或监控代理197执行到应用的任何会话或连接的监控和性能测量。在一个实施例中,监控服务198和/或监控代理197监控和测量浏览器的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量基于HTTP的事务的性能。在一些实施例中,监控服务198和/或监控代理197监控和测量IP电话(VoIP)应用或会话的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量诸如ICA客户机或RDP客户机的远程显示协议应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的实施例中,监控服务198和/或监控代理197监控和测量所寄载的应用或软件即服务(Software-As-A-Service,SaaS)传送模型的性能。
在一些实施例中,监控服务198和/或监控代理197执行与应用相关的一个或多个事务、请求或响应的监控和性能测量。在其他实施例中,监控服务198和/或监控代理197监控和测量应用层堆栈的任何部分,例如任何.NET或J2EE调用。在一个实施例中,监控服务198和/或监控代理197监控和测量数据库或SQL事务。在又一个实施例中,监控服务198和/或监控代理197监控和测量任何方法、函数或应用编程接口(API)调用。
在一个实施例中,监控服务198和/或监控代理197对经由诸如设备200和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送进行监控和性能测量。在一些实施例中,监控服务198和/或监控代理197监控和测量虚拟化应用的传送的性能。在其他实施例中,监控服务198和/或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客户机上执行桌面应用的性能。在又一个实施例中,监控服务198和/或监控代理197监控和测量客户机/服务器应用的性能。
在一个实施例中,监控服务198和/或监控代理197被设计和构建成为应用传送***190提供应用性能管理。例如,监控服务198和/或监控代理197可以监控、测量和管理经由Citrix表示服务器(Citrix Presentation Server)传送应用的性能。在该实例中,监控服务198和/或监控代理197监控单独的ICA会话。监控服务198和/或监控代理197可以测量总的以及每次的会话***资源使用,以及应用和连网性能。监控服务198和/或监控代理197可以对于给定用户和/或用户会话来标识有效服务器(active server)。在一些实施例中,监控服务198和/或监控代理197监控在应用传送***190和应用和/或数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每个用户会话或ICA会话的网络等待时间、延迟和容量。
在一些实施例中,监控服务198和/或监控代理197测量和监控对于应用传送***190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器使用。在其他实施例中,监控服务198和/或监控代理197测量和监控诸如总的CPU使用、每个用户会话和/或每个进程的应用传送***190的CPU使用。在又一个实施例中,监控服务198和/或监控代理197测量和监控登录到诸如Citrix表示服务器的应用、服务器或应用传送***所需的时间。在一个实施例中,监控服务198和/或监控代理197测量和监控用户登录应用、服务器或应用传送***190的持续时间。在一些实施例中,监控服务198和/或监控代理197测量和监控应用、服务器或应用传送***会话的有效和无效的会话计数。在又一个实施例中,监控服务198和/或监控代理197测量和监控用户会话等待时间。
在另外的实施例中,监控服务198和/或监控代理197测量和监控任何类型和形式的服务器指标。在一个实施例中,监控服务198和/或监控代理197测量和监控与***内存、CPU使用和盘存储器有关的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控和页错误有关的指标,诸如每秒页错误。在其他实施例中,监控服务198和/或监控代理197测量和监控往返时间的指标。在又一个实施例中,监控服务198和/或监控代理197测量和监控与应用崩溃、错误和/或中止相关的指标。
在一些实施例中,监控服务198和监控代理198包括由位于佛罗里达州Ft.Lauderdale的Citrix Systems公司出品的被称为EdgeSight的任何一种产品实施例。在又一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州Palo Alto的Symphoniq公司出品的被称为TrueView产品套件的产品实施例的任一部分。在一个实施例中,性能监控服务198和/或监控代理198包括由位于加利福尼亚州San Francisco的TeaLeaf技术公司出品的被称为TeaLeafCX产品套件的产品实施例的任何部分。在其他实施例中,性能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC软件公司出品的诸如BMC性能管理器和巡逻产品(BMC PerformanceManager and Patrol products)的商业服务管理产品的任何部分。
客户机102、服务器106和设备200可以被部署为和/或执行在任何类型和形式的计算装置上,诸如能够在任何类型和形式的网络上通信并执行此处描述的操作的计算机、网络装置或者设备。图1E和1F描述了可用于实施客户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E和1F所示,每个计算装置100包括中央处理单元101和主存储器单元122。如图1E所示,计算装置100可以包括可视显示装置124、键盘126和/或诸如鼠标的指示装置127。每个计算装置100也可包括其它可选元件,例如一个或多个输入/输出装置130a-130b(总的使用附图标记130表示),以及与中央处理单元101通信的高速缓存存储器140。
中央处理单元101是响应并处理从主存储器单元122取出的指令的任何逻辑电路。在许多实施例中,中央处理单元由微处理器单元提供,例如:由加利福尼亚州Mountain View的Intel公司制造的微处理器单元;由伊利诺伊州Schaumburg的Motorola公司制造的微处理器单元;由加利福尼亚州SantaClara的Transmeta公司制造的微处理器单元;由纽约州White Plains的International Business Machines公司制造的RS/6000处理器;或者由加利福尼亚州Sunnyvale的Advanced Micro Devices公司制造的微处理器单元。计算装置100可以基于这些处理器中的任何一种,或者能够如此处所述方式运行的任何其它处理器。
主存储器单元122可以是能够存储数据并允许微处理器101直接访问任何存储位置的一个或多个存储器芯片,例如静态随机存取存储器(SRAM)、突发SRAM或同步突发SRAM(BSRAM)、动态随机存取存储器DRAM、快速页模式DRAM(FPM DRAM)、增强型DRAM(EDRAM)、扩展数据输出RAM(EDO RAM)、扩展数据输出DRAM(EDO DRAM)、突发式扩展数据输出DRAM(BEDO DRAM)、增强型DRAM(EDRAM)、同步DRAM(SDRAM)、JEDEC SRAM、PC100SDRAM、双数据速率SDRAM(DDRSDRAM)、增强型SRAM(ESDRAM)、同步链路DRAM(SLDRAM)、直接内存总线DRAM(DRDRAM)或铁电RAM(FRAM)。主存储器122可以基于上述存储芯片的任何一种,或者能够如此处所述方式运行的任何其它可用存储芯片。在图1E中所示的实施例中,处理器101通过***总线150(在下面进行更详细的描述)与主存储器122进行通信。图1E描述了在其中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实施例。例如,在图1F中,主存储器122可以是DRDRAM。
图1F描述了在其中主处理器101通过第二总线与高速缓存存储器140直接通信的实施例,第二总线有时也称为后端总线。其他实施例中,主处理器101使用***总线150和高速缓存存储器140通信。高速缓存存储器140通常有比主存储器122更快的响应时间,并且通常由SRAM、BSRAM或EDRAM提供。在图1F中所示的实施例中,处理器101通过本地***总线150与多个I/O装置130进行通信。可以使用各种不同的总线将中央处理单元101连接到任何I/O装置130,所述总线包括VESA VL总线、ISA总线、EISA总线、微通道体系结构(MCA)总线、PCI总线、PCI-X总线、PCI-Express总线或NuBus。对于I/O装置是视频显示器124的实施例,处理器101可以使用高级图形端口(AGP)与显示器124通信。图1F说明了主处理器101通过超传输(HyperTransport)、快速I/O或者InfiniBand直接与I/O装置130通信的计算机100的一个实施例。图1F还描述了在其中混合本地总线和直接通信的实施例:处理器101使用本地互连总线与I/O装置130b进行通信,同时直接与I/O装置130a进行通信。
计算装置100可以支持任何适当的安装装置116,例如用于接纳诸如3.5英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、硬盘驱动器或适于安装像任何客户机代理120或其部分的软件和程序的任何其它装置。计算装置100还可以包括存储装置128,诸如一个或者多个硬盘驱动器或者独立磁盘冗余阵列,用于存储操作***和其它相关软件,以及用于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者,可以使用安装装置116的任何一种作为存储装置128。此外,操作***和软件可从例如可引导CD的可引导介质运行,诸如一种用于GNU/Linux的可引导CD,该可引导CD可自knoppix.net作为GNU/Linux一个分发版获得。
此外,计算装置100可以包括通过多种连接接口到局域网(LAN)、广域网(WAN)或因特网的网络接口118,所述多种连接包括但不限于标准电话线路、LAN或WAN链路(例如802.11,T1,T3、56kb、X.25)、宽带连接(如ISDN、帧中继、ATM)、无线连接、或上述任何或所有连接的一些组合。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算装置100接口到能够通信并执行这里所说明的操作的任何类型的网络的任何其它设备。计算装置100中可以包括各种I/O装置130a-130n。输入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1E所示,I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或多个I/O装置,例如键盘126和指示装置127(如鼠标或光笔)。此外,I/O装置还可以为计算装置100提供存储装置128和/或安装介质116。在其他实施例中,计算装置100可以提供USB连接以接纳手持USB存储装置,例如由位于美国加利福尼亚州Los Alamitos的Twintech Industry有限公司生产的USB闪存驱动驱动系列装置。
在一些实施例中,计算装置100可以包括多个显示装置124a-124n或与其相连,这些显示装置各自可以是相同或不同的类型和/或形式。因而,任何一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的适当的硬件、软件或硬件和软件的组合,以支持、允许或提供通过计算装置100连接和使用多个显示装置124a-124n。例如,计算装置100可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与显示装置124a-124n接口、通信、连接或以其他方式使用显示装置。在一个实施例中,视频适配器可以包括多个连接器以与多个显示装置124a-124n接口。在其他实施例中,计算装置100可以包括多个视频适配器,每个视频适配器与显示装置124a-124n中的一个或多个连接。在一些实施例中,计算装置100的操作***的任一部分都可以被配置用于使用多个显示器124a-124n。在其他实施例中,显示装置124a-124n中的一个或多个可以由一个或多个其它计算装置提供,诸如例如通过网络与计算装置100连接的计算装置100a和100b。这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算装置100的第二显示装置124a的任一类型的软件。本领域的普通技术人员应认识和理解可以将计算装置100配置成具有多个显示装置124a-124n的各种方法和实施例。
在另外的实施例中,I/O装置130可以是***总线150和外部通信总线之间的桥170,所述外部通信总线例如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI总线。
图1E和1F中描述的那类计算装置100通常在控制任务的调度和对***资源的访问的操作***的控制下操作。计算装置100可以运行任何操作***,如Windows操作***,不同发行版本的Unix和Linux操作***,用于Macintosh计算机的任何版本的MAC任何嵌入式操作***,任何实时操作***,任何开源操作***,任何专有操作***,任何用于移动计算装置的操作***,或者任何其它能够在计算装置上运行并完成这里所述操作的操作***。典型的操作***包括:WINDOWS3.x、WINDOWS95、WINDOWS98、WINDOWS2000、WINDOWS NT3.51、WINDOWS NT4.0、WINDOWS CE和WINDOWS XP,所有这些均由位于华盛顿州Redmond的微软公司出品;由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS;由位于纽约州Armonk的国际商业机器公司出品的OS/2;以及由位于犹他州Salt Lake City的Caldera公司发布的可***的Linux操作***或者任何类型和/或形式的Unix操作***,以及其它。
在其他的实施例中,计算装置100可以有符合该装置的不同的处理器、操作***和输入设备。例如,在一个实施例中,计算机100是由Palm公司出品的Treo180、270、1060、600或650智能电话。在该实施例中,Treo智能电话在PalmOS操作***的控制下操作,并包括指示笔输入装置以及五向导航装置。此外,计算装置100可以是任何工作站、桌面计算机、膝上型或笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式的计算或者电信装置。
如图1G所示,计算装置100可以包括多个处理器,可以提供用于对不只一个数据片同时执行多个指令或者同时执行一个指令的功能。在一些实施例中,计算装置100可包括具有一个或多个核的并行处理器。在这些实施例的一个中,计算装置100是共享内存并行设备,具有多个处理器和/或多个处理器核,将所有可用内存作为一个全局地址空间进行访问。在这些实施例的又一个中,计算装置100是分布式存储器并行设备,具有多个处理器,每个处理器访问本地存储器。在这些实施例的又一个中,计算装置100既有共享的存储器又有仅由特定处理器或处理器子集访问的存储器。在这些实施例的又一个中,如多核微处理器的计算装置100将两个或多个独立处理器组合在一个封装中,通常在一个集成电路(IC)中。在这些实施例的又一个中,计算装置100包括具有单元宽带引擎(CELL BROADBAND ENGINE)架构的芯片,并包括高能处理器单元以及多个协同处理单元,高能处理器单元和多个协同处理单元通过内部高速总线连接在一起,可以将内部高速总线称为单元互连总线。
在一些实施例中,处理器提供用于对多个数据片同时执行单个指令(SIMD)的功能。其他实施例中,处理器提供用于对多个数据片同时执行多个指令(MIMD)的功能。又一个实施例中,处理器可以在单个装置中使用SIMD和MIMD核的任意组合。
在一些实施例中,计算装置100可包括图像处理单元。图1H所示的在这些实施例的一个中,计算装置100包括至少一个中央处理单元101和至少一个图像处理单元。在这些实施例的又一个中,计算装置100包括至少一个并行处理单元和至少一个图像处理单元。在这些实施例的又一个中,计算装置100包括任意类型的多个处理单元,多个处理单元中的一个包括图像处理单元。
一些实施例中,第一计算装置100a代表客户计算装置100b的用户执行应用。又一个实施例中,计算装置100执行虚拟机,其提供执行会话,在该会话中,代表客户计算装置100b的用户执行应用。在这些实施例的一个中,执行会话是寄载的桌面会话。在这些实施例的又一个中,计算装置100执行终端服务会话。终端服务会话可以提供寄载的桌面环境。在这些实施例的又一个中,执行会话提供对计算环境的访问,该计算环境可包括以下的一个或多个:应用、多个应用、桌面应用以及可执行一个或多个应用的桌面会话。
B.设备架构
图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅用于示例,并不意于作为限制性的架构。如图2所示,设备200包括硬件层206和被分为用户空间202和内核空间204的软件层。
硬件层206提供硬件元件,在内核空间204和用户空间202中的程序和服务在该硬件元件上被执行。硬件层206也提供结构和元件,就设备200而言,这些结构和元件允许在内核空间204和用户空间202内的程序和服务既在内部进行数据通信又与外部进行数据通信。如图2所示,硬件层206包括用于执行软件程序和服务的处理单元262,用于存储软件和数据的存储器264,用于通过网络传输和接收数据的网络端口266,以及用于执行与安全套接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。在一些实施例中,中央处理单元262可在单独的处理器中执行加密处理器260的功能。另外,硬件层206可包括用于每个处理单元262和加密处理器260的多处理器。处理器262可以包括以上结合图1E和1F所述的任一处理器101。例如,在一个实施例中,设备200包括第一处理器262和第二处理器262’。在其他实施例中,处理器262或者262’包括多核处理器。
虽然示出的设备200的硬件层206通常带有加密处理器260,但是处理器260可为执行涉及任何加密协议的功能的处理器,例如安全套接字协议层(SSL)或者传输层安全(TLS)协议。在一些实施例中,处理器260可为通用处理器(GPP),并且在进一步的实施例中,可为用于执行任何安全相关协议处理的可执行指令。
虽然图2中设备200的硬件层206包括了某些元件,但是设备200的硬件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件,例如此处结合图1E和1F示出和讨论的计算装置100。在一些实施例中,设备200可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备,并且拥有与此相关的任何硬件和/或软件元件。
设备200的操作***分配、管理或另外分离可用的***存储器到内核空间204和用户空间204。在示例的软件架构200中,操作***可以是任何类型和/或形式的Unix操作***,尽管本发明并未这样限制。这样,设备200可以运行任何操作***,如任何版本的Windows操作***、不同版本的Unix和Linux操作***、用于Macintosh计算机的任何版本的Mac任何的嵌入式操作***、任何的网络操作***、任何的实时操作***、任何的开放源操作***、任何的专用操作***、用于移动计算装置或网络装置的任何操作***、或者能够运行在设备200上并执行此处所描述的操作的任何其它操作***。
保留内核空间204用于运行内核230,内核230包括任何设备驱动器,内核扩展或其他内核相关软件。就像本领域技术人员所知的,内核230是操作***的核心,并提供对资源以及设备104的相关硬件元件的访问、控制和管理。根据设备200的实施例,内核空间204也包括与高速缓存管理器232协同工作的多个网络服务或进程,高速缓存管理器232有时也称为集成的高速缓存,其益处此处将进一步详细描述。另外,内核230的实施例将依赖于通过设备200安装、配置或其他使用的操作***的实施例。
在一个实施例中,设备200包括一个网络堆栈267,例如基于TCP/IP的堆栈,用于与客户机102和/或服务器106通信。在一个实施例中,使用网络堆栈267与第一网络(例如网络108)以及第二网络110通信。在一些实施例中,设备200终止第一传输层连接,例如客户机102的TCP连接,并建立客户机102使用的到服务器106的第二传输层连接,例如,终止在设备200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一和第二传输层连接。在其他实施例中,设备200可包括多个网络堆栈,例如267或267’,并且在一个网络堆栈267可建立或终止第一传输层连接,在第二网络堆栈267’上可建立或者终止第二传输层连接。例如,一个网络堆栈可用于在第一网络上接收和传输网络分组,并且另一个网络堆栈用于在第二网络上接收和传输网络分组。在一个实施例中,网络堆栈267包括用于为一个或多个网络分组进行排队的缓冲器243,其中网络分组由设备200传输。
如图2A所示,内核空间204包括高速缓存管理器232、高速层2-7集成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操作意味着这些组件或进程232、240、234、236和238在设备200的操作***的核地址空间中运行。例如,在内核模式中运行加密引擎234通过移动加密和解密操作到内核可改进加密性能,从而可减少在内核模式中的存储空间或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如,在内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线程,例如从内核级数据结构到用户级数据结构。在另一个方面,也可减少内核模式和用户模式之间的上下文切换的数量。另外,在任何组件或进程232、240、235、236和238间的同步和通信在内核空间204中可被执行的更有效率。
在一些实施例中,组件232、240、234、236和238的任何部分可在内核空间204中运行或操作,而这些组件232、240、234、236和238的其它部分可在用户空间202中运行或操作。在一个实施例中,设备200使用内核级数据结构来提供对一个或多个网络分组的任何部分的访问,例如,包括来自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例中,可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络流量或分组。在其他实施例中,任何组件或进程232、240、234、236和238可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中,当使用内核级数据结构时,组件232、240、234、236和238在内核模式204中运行,而在又一个实施例中,当使用内核级数据结构时,组件232、240、234、236和238在用户模式中运行。在一些实施例中,内核级数据结构可被拷贝或传递到第二内核级数据结构,或任何期望的用户级数据结构。
高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合,以提供对任何类型和形式的内容的高速缓存访问、控制和管理,例如对象或由源服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储的数据、对象或内容可包括任何格式(例如标记语言)的数据,或者通过任何协议的通信的任何类型的数据。在一些实施例中,高速缓存管理器232复制存储在其他地方的原始数据或先前计算、产生或传输的数据,其中相对于读高速缓存存储器元件,需要更长的访问时间以取得、计算或以其他方式得到原始数据。一旦数据被存储在高速缓存存储元件中,通过访问高速缓存的副本而不是重新获得或重新计算原始数据即可进行后续操作,因此而减少了访问时间。在一些实施例中,高速缓存元件可以包括设备200的存储器264中的数据对象。在其他实施例中,高速缓存存储元件可包括有比存储器264更快的存取时间的存储器。在又一个实施例中,高速缓存元件可以包括设备200的任一类型和形式的存储元件,诸如硬盘的一部分。在一些实施例中,处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一个实施例中,高速缓存管理器232可使用存储器、存储区或处理单元的任何部分和组合来高速缓存数据、对象或其它内容。
另外,高速缓存管理器232包括用于执行此处描述的设备200的技术的任一实施例的任何逻辑、功能、规则或操作。例如,高速缓存管理器232包括基于无效时间周期的终止,或者从客户机102或服务器106接收无效命令使对象无效的逻辑或功能。在一些实施例中,高速缓存管理器232可作为在内核空间204中执行的程序、服务、进程或任务而操作,并且在其他实施例中,在用户空间202中执行。在一个实施例中,高速缓存管理器232的第一部分在用户空间202中执行,而第二部分在内核空间204中执行。在一些实施例中,高速缓存管理器232可包括任何类型的通用处理器(GPP),或任何其他类型的集成电路,例如现场可编程门阵列(FPGA),可编程逻辑设备(PLD),或者专用集成电路(ASIC)。
策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施例中,策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速缓存策略。策略引擎236,在一些实施例中,也访问存储器以支持数据结构,例如备份表或hash表,以启用用户选择的高速缓存策略决定。在其他实施例中,除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行的功能或操作的访问、控制和管理之外,策略引擎236可包括任何逻辑、规则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容的访问、控制和管理。特定高速缓存策略的其他实施例此处进一步描述。
加密引擎234包括用于操控诸如SSL或TLS的任何安全相关协议或其中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如,加密引擎234加密并解密通过设备200传输的网络分组,或其任何部分。加密引擎234也可代表客户机102a-102n、服务器106a-106n或设备200来设置或建立SSL或TLS连接。因此,加密引擎234提供SSL处理的卸载和加速。在一个实施例中,加密引擎234使用隧道协议来提供在客户机102a-102n和服务器106a-106n间的虚拟专用网络。在一些实施例中,加密引擎234与加密处理器260通信。在其他实施例中,加密引擎234包括运行在加密处理器260上的可执行指令。
多协议压缩引擎238包括用于压缩一个或多个网络分组协议(例如被设备200的网络堆栈267使用的任何协议)的任何逻辑、商业规则、功能或操作。在一个实施例中,多协议压缩引擎238双向压缩在客户机102a-102n和服务器106a-106n间任一基于TCP/IP的协议,包括消息应用编程接口(MAPI)(电子邮件)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用互联网文件***(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议以及互联网协议电话(VoIP)协议。在其他实施例中,多协议压缩引擎238提供基于超文本标记语言(HTML)的协议的压缩,并且在一些实施例中,提供任何标记语言的压缩,例如可扩展标记语言(XML)。在一个实施例中,多协议压缩引擎238提供任何高性能协议的压缩,例如设计用于设备200到设备200通信的任何协议。在又一个实施例中,多协议压缩引擎238使用修改的传输控制协议来压缩任何通信的任何载荷或任何通信,例如事务TCP(T/TCP)、带有选择确认的TCP(TCP-SACK)、带有大窗口的TCP(TCP-LW)、例如TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议(TCP spoofing protocol)。
同样的,多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户机访问应用的性能,所述桌面客户机例如Micosoft Outlook和非web瘦客户机,诸如由像Oracle、SAP和Siebel的通用企业应用所启动的任何客户机,所述移动客户机例如掌上电脑。在一些实施例中,通过在内核模式204内部执行并与访问网络堆栈267的分组处理引擎240集成,多协议压缩引擎238可以压缩TCP/IP协议携带的任何协议,例如任何应用层协议。
高速层2-7集成分组引擎240,通常也称为分组处理引擎,或分组引擎,负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高速层2-7集成分组引擎240可包括用于在例如接收网络分组和传输网络分组的处理期间排队一个或多个网络分组的缓冲器。另外,高速层2-7集成分组引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、策略引擎236和多协议压缩逻辑238协同工作。更具体地,配置加密引擎234以执行分组的SSL处理,配置策略引擎236以执行涉及流量管理的功能,例如请求级内容切换以及请求级高速缓存重定向,并配置多协议压缩逻辑238以执行涉及数据压缩和解压缩的功能。
高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例中,分组处理定时器242提供一个或多个时间间隔以触发输入处理,例如,接收或者输出(即传输)网络分组。在一些实施例中,高速层2-7集成分组引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔或发生。在许多实施例中,分组处理定时器242以毫秒级操作,例如100ms、50ms、或25ms。例如,在一些实例中,分组处理定时器242提供时间间隔或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理网络分组,而在其他实施例中,使高速层2-7集成分组引擎240以5ms时间间隔处理网络分组,并且在进一步的实施例中,短到3、2或1ms时间间隔。高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此,响应于分组处理定时器242和/或分组引擎240,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作。因此,在由分组处理定时器242提供的时间间隔粒度,可执行加密引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能或操作,例如,时间间隔少于或等于10ms。例如,在一个实施例中,高速缓存管理器232可响应于高速层2-7集成分组引擎240和/或分组处理定时器242来执行任何高速缓存的对象的终止。在又一个实施例中,高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时间间隔相同的粒度级,例如每10ms。
与内核空间204不同,用户空间202是被用户模式应用或在用户模式运行的程序所使用的操作***的存储区域或部分。用户模式应用不能直接访问内核空间204而使用服务调用以访问内核服务。如图2所示,设备200的用户空间202包括图形用户接口(GUI)210、命令行接口(CLI)212、壳服务(shell service)214、健康监控程序216以及守护(daemon)服务218。GUI210和CLI212提供***管理员或其他用户可与之交互并控制设备200操作的装置,例如通过设备200的操作***。GUI210和CLI212可包括运行在用户空间202或内核框架204中的代码。GUI210可以是任何类型或形式的图形用户接口,可以通过文本、图形或其他形式由任何类型的程序或应用(如浏览器)来呈现。CLI212可为任何类型和形式的命令行或基于文本的接口,例如通过操作***提供的命令行。例如,CLI212可包括壳,该壳是使用户与操作***相互作用的工具。在一些实施例中,可通过bash、csh、tcsh或者ksh类型的壳提供CLI212。壳服务214包括程序、服务、任务、进程或可执行指令以支持由用户通过GUI210和/或CLI212的与设备200或者操作***的交互
健康监控程序216用于监控、检查、报告并确保网络***正常运行,以及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、服务、任务、进程或可执行指令,为监控设备200的任何行为提供逻辑、规则、功能或操作。在一些实施例中,健康监控程序216拦截并检查通过设备200传递的任何网络流量。在其他实施例中,健康监控程序216通过任何合适的方法和/或机制与一个或多个下述设备连接:加密引擎234,高速缓存管理器232,策略引擎236,多协议压缩逻辑238,分组引擎240,守护服务218以及壳服务214。因此,健康监控程序216可调用任何应用编程接口(API)以确定设备200的任何部分的状态、情况或健康。例如,健康监控程序216可周期性地查验(ping)或发送状态查询以检查程序、进程、服务或任务是否活动并当前正在运行。在又一个实施例中,健康监控程序216可检查由任何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200任何部分的任何状况、状态或错误。
守护服务218是连续运行或在背景中运行的程序,并且处理设备200接收的周期***请求。在一些实施例中,守护服务可向其他程序或进程(例如合适的另一个守护服务218)转发请求。如本领域技术人员所公知的,守护服务218可无人监护的运行,以执行连续的或周期性的***范围功能,例如网络控制,或者执行任何需要的任务。在一些实施例中,一个或多个守护服务218运行在用户空间202中,而在其他实施例中,一个或多个守护服务218运行在内核空间。
现参考图2B,描述了设备200的又一个实施例。总的来说,设备200提供下列服务、功能或操作中的一个或多个:用于一个或多个客户机102以及一个或多个服务器106之间的通信的SSL VPN连通280、交换/负载平衡284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个可以提供一个或者多个网络相关服务270a-270n(称为服务270)。例如,服务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或者虚拟互联网协议服务器,称为vServer275、vS275、VIP服务器或者仅是VIP275a-275n(此处也称为vServer275)。vServer275根据设备200的配置和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通信。
vServer275可以包括软件、硬件或者软件和硬件的任何组合。vServer275可包括在设备200中的用户模式202、内核模式204或者其任何组合中运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vServer275包括任何逻辑、功能、规则或者操作,以执行此处所述技术的任何实施例,诸如SSL VPN280、转换/负载平衡284、域名服务解析286、加速288和应用防火墙290。在一些实施例中,vServer275建立到服务器106的服务270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如,服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务器。在一些实施例中,服务270是守护进程或者网络驱动器,用于监听、接收和/或发送应用的通信,诸如电子邮件、数据库或者企业应用。在一些实施例中,服务270可以在特定的IP地址、或者IP地址和端口上通信。
在一些实施例中,vServer275应用策略引擎236的一个或者多个策略到客户机102和服务器106之间的网络通信。在一个实施例中,该策略与vServer275相关。在又一个实施例中,该策略基于用户或者用户组。在又一个实施例中,策略为通用的并且应用到一个或者多个vServer275a-275n,和通过设备200通信的任何用户或者用户组。在一些实施例中,策略引擎的策略具有基于通信的任何内容应用该策略的条件,通信的内容诸如互联网协议地址、端口、协议类型、分组中的头部或者字段、或者通信的上下文,诸如用户、用户组、vServer275、传输层连接、和/或客户机102或者服务器106的标识或者属性。
在其他实施例中,设备200与策略引擎236通信或接口,以便确定远程用户或远程客户机102的验证和/或授权,以访问来自服务器106的计算环境15、应用和/或数据文件。在又一个实施例中,设备200与策略引擎236通信或交互,以便确定远程用户或远程客户机102的验证和/或授权,使得应用传送***190传送一个或多个计算环境15、应用和/或数据文件。在又一个实施例中,设备200基于策略引擎236对远程用户或远程客户机102的验证和/或授权建立VPN或SSL VPN连接。一个实施例中,设备200基于策略引擎236的策略控制网络流量以及通信会话。例如,基于策略引擎236,设备200可控制对计算环境15、应用或数据文件的访问。
在一些实施例中,vServer275与客户机102经客户机代理120建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275监听和接收来自客户机102的通信。在其他实施例中,vServer275与客户机服务器106建立传输层连接,诸如TCP或者UDP连接。在一个实施例中,vServer275建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层连接。在又一个实施例中,vServer275将到客户机102的第一传输层连接与到服务器106的第二传输层连接相关联。在一些实施例中,vServer275建立到服务器106的传输层连接池并经由所述池化(pooled)的传输层连接多路复用客户机的请求。
在一些实施例中,设备200提供客户机102和服务器106之间的SSL VPN连接280。例如,第一网络102上的客户机102请求建立到第二网络104’上的服务器106的连接。在一些实施例中,第二网络104’是不能从第一网络104路由的。在其他实施例中,客户机102位于公用网络104上,并且服务器106位于专用网络104’上,例如企业网。在一个实施例中,客户机代理120拦截第一网络104上的客户机102的通信,加密该通信,并且经第一传输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200接收来自客户机代理102的所拦截的通信,解密该通信,并且经第二传输层连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池化的传输层连接。同样的,设备200为两个网络104、104’之间的客户机102提供端到端安全传输层连接。
在一个实施例中,设备200寄载虚拟专用网络104上的客户机102的内部网互联网协议或者IntranetIP282地址。客户机102具有本地网络标识符,诸如第一网络104上的互联网协议(IP)地址和/或主机名称。当经设备200连接到第二网络104’时,设备200在第二网络104’上为客户机102建立、分配或者以其它方式提供IntranetIP,其是诸如IP地址和/或主机名称的网络标识符。使用为客户机的所建立的IntranetIP282,设备200在第二或专用网104’上监听并接收指向该客户机102的任何通信。在一个实施例中,设备200在第二专用网络104上用作或者代表客户机102。例如,在又一个实施例中,vServer275监听和响应到客户机102的IntranetIP282的通信。在一些实施例中,如果第二网络104’上的计算装置100发送请求,设备200如同客户机102一样来处理该请求。例如,设备200可以响应对客户机IntranetIP282的查验。在又一个实施例中,设备可以与请求和客户机IntranetIP282连接的第二网络104上的计算装置100建立连接,诸如TCP或者UDP连接。
在一些实施例中,设备200为客户机102和服务器106之间的通信提供下列一个或多个加速技术288:1)压缩;2)解压缩;3)传输控制协议池;4)传输控制协议多路复用;5)传输控制协议缓冲;以及6)高速缓存。在一个实施例中,设备200通过开启与每一服务器106的一个或者多个传输层连接并且维持这些连接以允许由客户机经因特网的重复数据访问,来为服务器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理负载。该技术此处称为“连接池”。
在一些实施例中,为了经池化的传输层连接无缝拼接从客户机102到服务器106的通信,设备200通过在传输层协议级修改序列号和确认号来转换或多路复用通信。这被称为“连接多路复用”。在一些实施例中,不需要应用层协议相互作用。例如,在到来分组(即,自客户机102接收的分组)的情况中,所述分组的源网络地址被改变为设备200的输出端口的网络地址,而目的网络地址被改为目的服务器的网络地址。在发出分组(即,自服务器106接收的一个分组)的情况中,源网络地址被从服务器106的网络地址改变为设备200的输出端口的网络地址,而目的地址被从设备200的网络地址改变为请求的客户机102的网络地址。分组的序列号和确认号也被转换为到客户机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在一些实施例中,传输层协议的分组校验和被重新计算以计及这些转换。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供交换或负载平衡功能284。在一些实施例中,设备200根据层4或应用层请求数据来分布流量并将客户机请求定向到服务器106。在一个实施例中,尽管网络分组的网络层或者层2识别目的服务器106,但设备200通过承载为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络分组。在一个实施例中,设备200的健康监控程序216监控服务器的健康来确定分发客户机请求到哪个服务器106。在一些实施例中,如果设备200探测到某个服务器106不可用或者具有超过预定阈值的负载,设备200可以将客户机请求指向或者分发到另一个服务器106。
在一些实施例中,设备200用作域名服务(DNS)解析器或者以其它方式为来自客户机102的DNS请求提供解析。在一些实施例中,设备拦截由客户机102发送的DNS请求。在一个实施例中,设备200以设备200的IP地址或其所寄载的IP地址来响应客户机的DNS请求。在此实施例中,客户机102把用于域名的网络通信发送到设备200。在又一个实施例中,设备200以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些实施例中,设备200使用由设备200确定的服务器106的IP地址来响应客户机的DNS请求。
在又一个实施例中,设备200为客户机102和服务器106之间的通信提供应用防火墙功能290。在一个实施例中,策略引擎236提供用于探测和阻断非法请求的规则。在一些实施例中,应用防火墙290防御拒绝服务(DoS)攻击。在其他实施例中,设备检查所拦截的请求的内容,以识别和阻断基于应用的攻击。在一些实施例中,规则/策略引擎236包括用于提供对多个种类和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安全控制策略,例如下列的一个或多个脆弱点:1)缓冲区泄出,2)CGI-BIN参数操纵,3)表单/隐藏字段操纵,4)强制浏览,5)cookie或会话中毒,6)被破坏的访问控制列表(ACLs)或弱密码,7)跨站脚本处理(XSS),8)命令注入,9)SQL注入,10)错误触发敏感信息泄露,11)对加密的不安全使用,12)服务器错误配置,13)后门和调试选项,14)网站涂改,15)平台或操作***弱点,和16)零天攻击。在一个实施例中,对下列情况的一种或多种,应用防火墙290以检查或分析网络通信的形式来提供HTML格式字段的保护:1)返回所需的字段,2)不允许附加字段,3)只读和隐藏字段强制(enforcement),4)下拉列表和单选按钮字段的一致,以及5)格式字段最大长度强制。在一些实施例中,应用防火墙290确保cookie不被修改。在其他实施例中,应用防火墙290通过执行合法的URL来防御强制浏览。
在其他实施例中,应用防火墙290保护在网络通信中包含的任何机密信息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中,应用防火墙290在网络通信中识别信用***、口令、社会保险号、姓名、病人代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这些出现或机密信息。基于这些出现,在一个实施例中,应用防火墙290可以对网络通信采取策略行动,诸如阻止发送网络通信。在又一个实施例中,应用防火墙290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密信息。
仍参考图2B,设备200可以包括如上面结合图1D所讨论的性能监控代理197。在一个实施例中,设备200从如图1D中所描述的监控服务198或监控服务器106中接收监控代理197。在一些实施例中,设备200在诸如磁盘的存储装置中保存监控代理197,以用于传送给与设备200通信的任何客户机或服务器。例如,在一个实施例中,设备200在接收到建立传输层连接的请求时发送监控代理197给客户机。在其他实施例中,设备200在建立与客户机102的传输层连接时发送监控代理197。在又一个实施例中,设备200在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实施例中,设备200响应于监控服务器198的请求来发送监控代理197到客户机或服务器。在一个实施例中,设备200发送监控代理197到第二设备200’或设备205。
在其他实施例中,设备200执行监控代理197。在一个实施例中,监控代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任务或线程的性能。例如,监控代理197可以监控和测量vServers275A-275N的性能与操作。在又一个实施例中,监控代理197测量和监控设备200的任何传输层连接的性能。在一些实施例中,监控代理197测量和监控通过设备200的任何用户会话的性能。在一个实施例中,监控代理197测量和监控通过设备200的诸如SSL VPN会话的任何虚拟专用网连接和/或会话的性能。在进一步的实施例中,监控代理197测量和监控设备200的内存、CPU和磁盘使用以及性能。在又一个实施例中,监控代理197测量和监控诸如SSL卸载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技术288的性能。在一些实施例中,监控代理197测量和监控由设备200执行的任一负载平衡和/或内容交换284的性能。在其他实施例中,监控代理197测量和监控由设备200执行的应用防火墙290保护和处理的性能。
C.客户机代理
现参考图3,描述客户机代理120的实施例。客户机102包括客户机代理120,用于经由网络104与设备200和/或服务器106来建立和交换通信。总的来说,客户机102在计算装置100上操作,该计算装置100拥有带有内核模式302以及用户模式303的操作***,以及带有一个或多个层310a-310b的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一些实施例中,一个或多个应用可通过网络堆栈310与网络104通信。所述应用之一,诸如web浏览器,也可包括第一程序322。例如,可在一些实施例中使用第一程序322来安装和/或执行客户机代理120,或其中任何部分。客户机代理120包括拦截机制或者***350,用于从网络堆栈310拦截来自一个或者多个应用的网络通信。
客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其组合,用于提供与网络的连接和通信。在一个实施例中,网络堆栈310包括用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层,例如为本领域技术人员所公认和了解的开放式***互联(OSI)通信模型的任何网络层。这样,网络堆栈310可包括用于任何以下OSI模型层的任何类型和形式的协议:1)物理链路层;2)数据链路层;3)网络层;4)传输层;5)会话层);6)表示层,以及7)应用层。在一个实施例中,网络堆栈310可包括在因特网协议(IP)的网络层协议上的传输控制协议(TCP),通常称为TCP/IP。在一些实施例中,可在以太网协议上承载TCP/IP协议,以太网协议可包括IEEE广域网(WAN)或局域网(LAN)协议的任何族,例如被IEEE802.3覆盖的这些协议。在一些实施例中,网络堆栈310包括任何类型和形式的无线协议,例如IEEE802.11和/或移动因特网协议。
考虑基于TCP/IP的网络,可使用任何基于TCP/IP的协议,包括消息应用编程接口(MAPI)(email)、文件传输协议(FTP)、超文本传输协议(HTTP)、通用因特网文件***(CIFS)协议(文件传输)、独立计算架构(ICA)协议、远程桌面协议(RDP)、无线应用协议(WAP)、移动IP协议,以及互联网协议电话(VoIP)协议。在又一个实施例中,网络堆栈310包括任何类型和形式的传输控制协议,诸如修改的传输控制协议,例如事务TCP(T/TCP),带有选择确认的TCP(TCP-SACK),带有大窗口的TCP(TCP-LW),例如TCP-Vegas协议的拥塞预测协议,以及TCP欺骗协议。在其他实施例中,网络堆栈310可使用诸如基于IP的UDP的任何类型和形式的用户数据报协议(UDP),例如用于语音通信或实时数据通信。
另外,网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器,例如TCP驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操作***的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组件的一部分被包括。在一些实施例中,网络堆栈310的任何网络驱动器可被定制、修改或调整以提供网络堆栈310的定制或修改部分,用来支持此处描述的任何技术。在其他实施例中,设计并构建加速程序302以与网络堆栈310协同操作或工作,上述网络堆栈310由客户机102的操作***安装或以其它方式提供。
网络堆栈310包括任何类型和形式的接口,用于接收、获得、提供或以其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例中,与网络堆栈310的接口包括应用编程接口(API)。接口也可包括任何函数调用、钩子或过滤机制,事件或回调机制、或任何类型的接口技术。网络堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类型和形式的数据结构,例如对象。例如,数据结构可以包括与网络分组相关的信息和数据或者一个或多个网络分组。在一些实施例中,数据结构包括在网络堆栈310的协议层处理的网络分组的一部分,例如传输层的网络分组。在一些实施例中,数据结构325包括内核级别数据结构,而在其他实施例中,数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作***的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任何数据结构。
此外,网络堆栈310的一些部分可在内核模式302执行或操作,例如,数据链路或网络层,而其他部分在用户模式303执行或操作,例如网络堆栈310的应用层。例如,网络堆栈的第一部分310a可以给应用提供对网络堆栈310的用户模式访问,而网络堆栈310的第二部分310a提供对网络的访问。在一些实施例中,网络堆栈的第一部分310a可包括网络堆栈310的一个或多个更上层,例如层5-7的任何层。在其他实施例中,网络堆栈310的第二部分310b包括一个或多个较低的层,例如层1-4的任何层。网络堆栈310的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分,位于任何一个或多个网络层,处于用户模式203、内核模式202,或其组合,或在网络层的任何部分或者到网络层的接口点,或用户模式203和内核模式202的任何部分或到用户模式203和内核模式202的接口点。
***350可以包括软件、硬件、或者软件和硬件的任何组合。在一个实施例中,***350在网络堆栈310的任一点拦截网络通信,并且重定向或者发送网络通信到由***350或者客户机代理120所期望的、管理的或者控制的目的地。例如,***350可以拦截第一网络的网络堆栈310的网络通信并且发送该网络通信到设备200,用于在第二网络104上发送。在一些实施例中,***350包括含有诸如被构建和设计来与网络堆栈310对接并一同工作的网络驱动器的驱动器的任一类型的***350。在一些实施例中,客户机代理120和/或***350操作在网络堆栈310的一个或者多个层,诸如在传输层。在一个实施例中,***350包括过滤器驱动器、钩子机制、或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口,诸如通过传输驱动器接口(TDI)。在一些实施例中,***350连接到诸如传输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层,例如,应用协议层。在一个实施例中,***350可以包括遵守网络驱动器接口规范(NDIS)的驱动器,或者NDIS驱动器。在又一个实施例中,***350可以包括微型过滤器或者微端口驱动器。在一个实施例中,***350或其部分在内核模式202中操作。在又一个实施例中,***350或其部分在用户模式203中操作。在一些实施例中,***350的一部分在内核模式202中操作,而***350的另一部分在用户模式203中操作。在其他实施例中,客户机代理120在用户模式203操作,但通过***350连接到内核模式驱动器、进程、服务、任务或者操作***的部分,诸如以获取内核级数据结构225。在其他实施例中,***350为用户模式应用或者程序,诸如应用。
在一个实施例中,***350拦截任何的传输层连接请求。在这些实施例中,***350执行传输层应用编程接口(API)调用以设置目的地信息,诸如到期望位置的目的地IP地址和/或端口用于定位。以此方式,***350拦截并重定向传输层连接到由***350或客户机代理120控制或管理的IP地址和端口。在一个实施例中,***350把连接的目的地信息设置为客户机代理120监听的客户机102的本地IP地址和端口。例如,客户机代理120可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一些实施例中,客户机代理120随后将重定向的传输层通信传送到设备200。
在一些实施例中,***350拦截域名服务(DNS)请求。在一个实施例中,客户机代理120和/或***350解析DNS请求。在又一个实施例中,***发送所拦截的DNS请求到设备200以进行DNS解析。在一个实施例中,设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一些实施例中,设备200经另一个设备200’或者DNS服务器106来解析DNS请求。
在又一个实施例中,客户机代理120可以包括两个代理120和120’。在一个实施例中,第一代理120可以包括在网络堆栈310的网络层操作的***350。在一些实施例中,第一代理120拦截网络层请求,诸如因特网控制消息协议(ICMP)请求(例如,查验和跟踪路由)。在其他实施例中,第二代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中,第一代理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦截的通信传送到第二代理120’。
客户机代理120和/或***350可以以对网络堆栈310的任何其它协议层透明的方式在协议层操作或与之对接。例如,在一个实施例中,***350可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修改以使用***350。这样,客户机代理120和/或***350可以与传输层连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提供的任一通信,诸如TCP/IP上的任一应用层协议。
此外,客户机代理120和/或***可以以对任何应用、客户机102的用户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络堆栈310上操作或与之对接。客户机代理120和/或***350可以以无需修改应用的方式被安装和/或执行在客户机102上。在一些实施例中,客户机102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/或***350的存在、执行或者操作。同样,在一些实施例中,相对于应用、客户机102的用户、诸如服务器的另一个计算装置、或者在由***350连接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户机代理120和/或***350。
客户机代理120包括加速程序302、流客户机306、收集代理304和/或监控代理197。在一个实施例中,客户机代理120包括由佛罗里达州FortLauderdale的Citrix Systems Inc.开发的独立计算架构(ICA)客户机或其任一部分,并且也指ICA客户机。在一些实施例中,客户机代理120包括应用流客户机306,用于从服务器106流式传输应用到客户机102。在一些实施例中,客户机代理120包括加速程序302,用于加速客户机102和服务器106之间的通信。在又一个实施例中,客户机代理120包括收集代理304,用于执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。
在一些实施例中,加速程序302包括用于执行一个或多个加速技术的客户机侧加速程序,以加速、增强或者以其他方式改善客户机与服务器106的通信和/或对服务器106的访问,诸如访问由服务器106提供的应用。加速程序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技术:1)多协议压缩,2)传输控制协议池,3)传输控制协议多路复用,4)传输控制协议缓冲,以及5)通过高速缓存管理器的高速缓存。另外,加速程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。在一些实施例中,加速程序302以集成的方式或者格式执行一个或者多个加速技术。另外,加速程序302可以对作为传输层协议的网络分组的有效载荷所承载的任一协议或者多协议执行压缩。
流客户机306包括应用、程序、进程、服务、任务或者可执行指令,所述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文件到流客户机306,用于播放、执行或者以其它方式引起客户机102上的应用被执行。在一些实施例中,服务器106发送一组压缩或者打包的应用数据文件到流客户机306。在一些实施例中,多个应用文件被压缩并存储在文件服务器上档案文件中,例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。在一个实施例中,服务器106解压缩、解包或者解档应用文件并且将该文件发送到客户机102。在又一个实施例中,客户机102解压缩、解包或者解档应用文件。流客户机306动态安装应用或其部分,并且执行该应用。在一个实施例中,流客户机306可以为可执行程序。在一些实施例中,流客户机306可以能够启动另一个可执行程序。
收集代理304包括应用、程序、进程、服务、任务或者可执行指令,用于识别、获取和/或收集关于客户机102的信息。在一些实施例中,设备200发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略引擎236的一个或多个策略来配置收集代理304。在其他实施例中,收集代理304发送在客户机102上收集的信息到设备200。在一个实施例中,设备200的策略引擎236使用所收集的信息来确定和提供到网络104的客户机连接的访问、验证和授权控制。
在一个实施例中,收集代理304包括端点检测和扫描机制,其识别并且确定客户机的一个或者多个属性或者特征。例如,收集代理304可以识别和确定任何一个或多个以下的客户机侧属性:1)操作***和/或操作***的版本,2)操作***的服务包,3)运行的服务,4)运行的进程,和5)文件。收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或版本:1)防病毒软件;2)个人防火墙软件;3)防垃圾邮件软件,和4)互联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一个或多个属性或特性的一个或多个策略。
在一些实施例中,客户机代理120包括如结合图1D和2B所讨论的监控代理197。监控代理197可以是诸如Visual Basic或Java脚本的任何类型和形式的脚本。在一个实施例中,监控代理197监控和测量客户机代理120的任何部分的性能。例如,在一些实施例中,监控代理197监控和测量加速程序302的性能。在又一个实施例中,监控代理197监控和测量流客户机306的性能。在其他实施例中,监控代理197监控和测量收集代理304的性能。在又一个实施例中,监控代理197监控和测量***350的性能。在一些实施例中,监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的任何资源。
监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例中,监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例中,监控代理197监控和测量经由客户机代理120传送的任何应用的性能。在其他实施例中,监控代理197测量和监控应用的最终用户响应时间,例如基于web的响应时间或HTTP响应时间。监控代理197可以监控和测量ICA或RDP客户机的性能。在又一个实施例中,监控代理197测量和监控用户会话或应用会话的指标。在一些实施例中,监控代理197测量和监控ICA或RDP会话。在一个实施例中,监控代理197测量和监控设备200在加速传送应用和/或数据到客户机102的过程中的性能。
在一些实施例中,仍参考图3,第一程序322可以用于自动地、静默地、透明地或者以其它方式安装和/或执行客户机代理120或其部分,诸如***350。在一个实施例中,第一程序322包括插件组件,例如ActiveX控件或Java控件或脚本,其加载到应用并由应用执行。例如,第一程序包括由web浏览器应用载入和运行的ActiveX控件,例如在存储器空间或应用的上下文中。在又一个实施例中,第一程序322包括可执行指令组,该可执行指令组被例如浏览器的应用载入并执行。在一个实施例中,第一程序322包括被设计和构造的程序以安装客户机代理120。在一些实施例中,第一程序322通过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实施例中,第一程序322是用于在客户机102的操作***上安装如网络驱动的程序的安装程序或即插即用管理器。
D.用于提供虚拟化应用传送控制器的***和方法
现参考图4A,该框图描述虚拟化环境400的一个实施例。总体而言,计算装置100包括管理程序层、虚拟化层和硬件层。管理程序层包括管理程序401(也称为虚拟化管理器),其通过在虚拟化层中执行的至少一个虚拟机来分配和管理对硬件层中的多个物理资源(例如处理器421和盘428)的访问。虚拟化层包括至少一个操作***410和分配给至少一个操作***410的多个虚拟资源。虚拟资源可包括而不限于多个虚拟处理器432a、432b、432c(总称为432)和虚拟盘442a、442b、442c(总称为442),以及如虚拟存储器和虚拟网络接口的虚拟资源。可将多个虚拟资源和操作***称为虚拟机406。虚拟机406可包括控制操作***405,该控制操作***405与管理程序401通信,并用于执行应用以管理并配置计算装置100上的其他虚拟机。
具体而言,管理程序401可以以模拟可访问物理设备的操作***的任何方式向操作***提供虚拟资源。管理程序401可以向任何数量的客户操作***410a、410b(总称为410)提供虚拟资源。一些实施例中,计算装置100执行一种或多种管理程序。这些实施例中,管理程序可用于模拟虚拟硬件、划分物理硬件、虚拟化物理硬件并执行提供对计算环境的访问的虚拟机。管理程序可包括由位于美国加州的Palo Alto的VMWare制造的这些程序;XEN管理程序(一种开源产品,其开发由开源Xen.org协会监管);由微软公司提供的HyperV、VirtualServer或虚拟PC管理程序,或其他。一些实施例中,计算装置100执行创建客户操作***可在其上执行虚拟机平台的管理程序,该计算装置100被称为宿主服务器。在这些实施例的一个中,例如,计算装置100是由位于美国佛罗里达州Fort Lauderdale的Citrix Systems有限公司提供的XEN SERVER。
一些实施例中,管理程序401在计算装置上执行的操作***之内执行。在这些实施例的一个中,执行操作***和管理程序401的计算装置可被视为具有宿主操作***(执行在计算装置上的操作***),和客户操作***(在由管理程序401提供的计算资源分区内执行的操作***)。其他实施例中,管理程序401和计算装置上的硬件直接交互而不是在宿主操作***上执行。在这些实施例的一个中,管理程序401可被视为在“裸金属(bare metal)”上执行,所述“裸金属”指包括计算装置的硬件。
一些实施例中,管理程序401可以产生操作***410在其中执行的虚拟机406a-c(总称为406)。在这些实施例的一个中,管理程序401加载虚拟机映像以创建虚拟机406。在这些实施例的又一个中,管理程序401在虚拟机406内执行操作***410。仍在这些实施例的又一个中,虚拟机406执行操作***410。
一些实施例中,管理程序401控制在计算装置100上执行的虚拟机406的处理器调度和内存划分。在这些实施例的一个中,管理程序401控制至少一个虚拟机406的执行。在这些实施例的又一个中,管理程序401向至少一个虚拟机406呈现由计算装置100提供的至少一个硬件资源的抽象。其他实施例中,管理程序401控制是否以及如何将物理处理器能力呈现给虚拟机406。
控制操作***405可以执行用于管理和配置客户操作***的至少一个应用。一个实施例中,控制操作***405可以执行管理应用,如包括如下用户接口的应用,该用户接口为管理员提供对用于管理虚拟机执行的功能的访问,这些功能包括用于执行虚拟机、中止虚拟机执行或者识别要分配给虚拟机的物理资源类型的功能。又一个实施例中,管理程序401在由管理程序401创建的虚拟机406内执行控制操作***405。又一个实施例中,控制操作***405在被授权直接访问计算装置100上的物理资源的虚拟机406上执行。一些实施例中,计算装置100a上的控制操作***405a可以通过管理程序401a和管理程序401b之间的通信与计算装置100b上的控制操作***405b交换数据。这样,一个或多个计算装置100可以和一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据。在这些实施例的一个中,这种功能允许管理程序管理分布在多个物理计算装置上的资源池。在这些实施例的又一个中,多个管理程序管理在一个计算装置100上执行的一个或多个客户操作***。
一个实施例中,控制操作***405在被授权与至少一个客户操作***410交互的虚拟机406上执行。又一个实施例中,客户操作***410通过管理程序401和控制操作***405通信,以请求访问盘或网络。仍在又一个实施例中,客户操作***410和控制操作***405可通过由管理程序401建立的通信信道通信,例如,通过由管理程序401提供的多个共享存储器页面。
一些实施例中,控制操作***405包括用于直接与由计算装置100提供的网络硬件通信的网络后端驱动器。在这些实施例的一个中,网络后端驱动器处理来自至少一个客户操作***110的至少一个虚拟机请求。其他实施例中,控制操作***405包括用于与计算装置100上的存储元件通信的块后端驱动器。在这些实施例的一个中,块后端驱动器基于从客户操作***410接收的至少一个请求从存储元件读写数据。
一个实施例,控制操作***405包括工具堆栈404。其他实施例中,工具堆栈404提供如下功能:和管理程序401交互、和其他控制操作***405(例如位于第二计算装置100b上)通信,或者管理计算装置100上的虚拟机406b、406c。又一个实施例中,工具堆栈404包括自定义应用,其用于向虚拟机群的管理员提供改进的管理功能。一些实施例中,工具堆栈404和控制操作***405中的至少一个包括管理API,其提供用于远程配置并控制计算装置100上运行的虚拟机406的接口。其他实施例中,控制操作***405通过工具堆栈404和管理程序401通信。
一个实施例中,管理程序401在由管理程序401创建的虚拟机406内执行客户操作***410。又一个实施例中,客户操作***410为计算装置100的用户提供对计算环境中的资源的访问。又一个实施例中,资源包括程序、应用、文档、文件、多个应用、多个文件、可执行程序文件、桌面环境、计算环境或对计算装置100的用户可用的其他资源。又一个实施例中,可通过多个访问方法将资源传送给计算装置100,这些方法包括但不限于:常规的直接在计算装置100上安装、通过应用流的方法传送给计算装置100、将由在第二计算装置100’上执行资源产生的并通过表示层协议传送给计算装置100的输出数据传送给计算装置100、将通过在第二计算装置100’上执行的虚拟机执行资源所产生的输出数据传送给计算装置100、或者从连接到计算装置100的移动存储装置(例如USB设备)执行或者通过在计算装置100上执行的虚拟机执行并且产生输出数据。一些实施例中,计算装置100将执行资源所产生的输出数据传输给另一个计算装置100’。
一个实施例中,客户操作***410和该客户操作***410在其上执行的虚拟机结合形成完全虚拟化虚拟机,该完全虚拟化虚拟机并不知道自己是虚拟机,这样的机器可称为“Domain U HVM(硬件虚拟机)虚拟机”。又一个实施例中,完全虚拟化机包括模拟基本输入/输出***(BIOS)的软件以便在完全虚拟化机中执行操作***。在又一个实施例中,完全虚拟化机可包括驱动器,其通过和管理程序401通信提供功能。这样的实施例中,驱动器可意识到自己在虚拟化环境中执行。又一个实施例中,客户操作***410和该客户操作***410在其上执行的虚拟机结合形成超虚拟化(paravirtualized)虚拟机,该超虚拟化虚拟机意识到自己是虚拟机,这样的机器可称为“DomainU PV虚拟机”。又一个实施例中,超虚拟化机包括完全虚拟化机不包括的额外驱动器。又一个实施例中,超虚拟化机包括如上所述的被包含在控制操作***405中的网络后端驱动器和块后端驱动器。
现参考图4B,框图描述了***中的多个联网计算装置的一个实施例,其中,至少一个物理主机执行虚拟机。总体而言,***包括管理组件404和管理程序401。***包括多个计算装置100、多个虚拟机406、多个管理程序401、多个管理组件(又称为工具堆栈404或者管理组件404)以及物理资源421、428。多个物理机器100的每一个可被提供为如上结合图1E-1H和图4A描述的计算装置100。
具体而言,物理盘428由计算装置100提供,存储至少一部分虚拟盘442。一些实施例中,虚拟盘442和多个物理盘428相关联。在这些实施例的一个中,一个或多个计算装置100可以与一个或多个其他计算装置100交换有关处理器或资源池中可用的其他物理资源的数据,允许管理程序管理分布在多个物理计算装置上的资源池。一些实施例中,将虚拟机406在其上执行的计算装置100称为物理主机100或主机100。
管理程序在计算装置100上的处理器上执行。管理程序将对物理盘的访问量分配给虚拟盘。一个实施例中,管理程序401分配物理盘上的空间量。又一个实施例中,管理程序401分配物理盘上的多个页面。一些实施例中,管理程序提供虚拟盘442作为初始化和执行虚拟机450进程的一部分。
一个实施例中,将管理组件404a称为池管理组件404a。又一个实施例中,可以称为控制管理***405a的管理操作***405a包括管理组件。一些实施例中,将管理组件称为工具堆栈。在这些实施例的一个中,管理组件是上文结合图4A描述的工具堆栈404。其他实施例中,管理组件404提供用户接口,用于从如管理员的用户接收要供应和/或执行的虚拟机406的标识。仍在其他实施例中,管理组件404提供用户接口,用于从如管理员的用户接收将虚拟机406b从一个物理机器100迁移到另一物理机器的请求。在进一步的实施例中,管理组件404a识别在其上执行所请求的虚拟机406d的计算装置100b并指示所识别的计算装置100b上的管理程序401b执行所识别的虚拟机,这样,可将管理组件称为池管理组件。
现参考图4C,描述了虚拟应用传送控制器或虚拟设备450的实施例。总体而言,上文结合图2A和2B描述的设备200的任何功能和/或实施例(例如应用传送控制器)可以部署在上文结合图4A和4B描述的虚拟化环境的任何实施例中。应用传送控制器的功能不是以设备200的形式部署,而是将该功能部署在诸如客户机102、服务器106或设备200的任何计算装置100上的虚拟化环境400中。
现在参考图4C,描述了在服务器106的管理程序401上操作的虚拟设备450的实施例的框图。如图2A和2B的设备200一样,虚拟机450可以提供可用性、性能、卸载和安全的功能。对于可用性,虚拟设备可以执行网络第4层和第7层之间的负载平衡并执行智能服务健康监控。对于通过网络流量加速实现的性能增加,虚拟设备可以执行缓存和压缩。对于任何服务器的卸载处理,虚拟设备可以执行连接复用和连接池和/或SSL处理。对于安全,虚拟设备可以执行设备200的任何应用防火墙功能和SSL VPN功能。
结合附图2A描述的设备200的任何模块可以虚拟化设备传送控制器450的形式被打包、组合、设计或构造,虚拟化设备传送控制器450可部署成在诸如流行的服务器这样的任何服务器上的虚拟化环境300或非虚拟化环境中执行的软件模块或组件。例如,可以安装在计算装置上的安装包的形式提供虚拟设备。参考图2A,可以将高速缓存管理器232、策略引擎236、压缩238、加密引擎234、分组引擎240、GUI210、CLI212、壳服务214中的任一个设计和构成在计算装置和/或虚拟化环境300的任何操作***上运行的组件或模块。虚拟化设备400不使用设备200的加密处理器260、处理器262、存储器264和网络堆栈267,而是可使用虚拟化环境400提供的任何这些资源或者服务器106上以其他方式可用的这些资源。
仍参考图4C,简言之,任何一个或多个vServer275A-275N可以操作或执行在任意类型的计算装置100(如服务器106)的虚拟化环境400中。结合附图2B描述的设备200的任何模块和功能可以设计和构造成在服务器的虚拟化或非虚拟化环境中操作。可以将vServer275、SSL VPN280、内网UP282、交换装置284、DNS286、加速装置288、APP FW280和监控代理中的任一个打包、组合、设计或构造成应用传送控制器450的形式,应用传送控制器450可部署成在装置和/或虚拟化环境400中执行的一个或多个软件模块或组件。
一些实施例中,服务器可以在虚拟化环境中执行多个虚拟机406a-406b,每个虚拟机运行虚拟应用传送控制器450的相同或不同实施例。一些实施例中,服务器可以在多核处理***的一个核上执行一个或多个虚拟机上的一个或多个虚拟设备450。一些实施例中,服务器可以在多处理器装置的每个处理器上执行一个或多个虚拟机上的一个或多个虚拟设备450。
E.提供多核架构的***和方法
根据摩尔定律,每两年集成电路上可安装的晶体管的数量会基本翻倍。然而,CPU速度增加会达到一个稳定的水平(plateaus),例如,2005年以来,CPU速度在约3.5-4GHz的范围内。一些情况下,CPU制造商可能不依靠CPU速度增加来获得额外的性能。一些CPU制造商会给处理器增加附加核以提供额外的性能。依靠CPU获得性能改善的如软件和网络供应商的产品可以通过利用这些多核CPU来改进他们的性能。可以重新设计和/或编写为单CPU设计和构造的软件以利用多线程、并行架构或多核架构。
一些实施例中,称为nCore或多核技术的设备200的多核架构允许设备打破单核性能障碍并利用多核CPU的能力。前文结合图2A描述的架构中,运行单个网络或分组引擎。nCore技术和架构的多核允许同时和/或并行地运行多个分组引擎。通过在每个核上运行分组引擎,设备架构利用附加核的处理能力。一些实施例中,这提供了高达七倍的性能改善和扩展性。
图5A示出根据一类并行机制或并行计算方案(如功能并行机制、数据并行机制或基于流的数据并行机制)在一个或多个处理器核上分布的工作、任务、负载或网络流量的一些实施例。总体而言,图5A示出如具有n个核的设备200'的多核***的实施例,n个核编号为1到N。一个实施例中,工作、负载或网络流量可以分布在第一核505A、第二核505B、第三核505C、第四核505D、第五核505E、第六核505F、第七核505G等上,这样,分布位于所有n个核505N(此后统称为核505)或n个核中的两个或多个上。可以有多个VIP275,每个运行在多个核中的相应的核上。可以有多个分组引擎240,每个运行在多个核的相应的核。所使用任何方法可产生多个核中任一核上的不同的、变化的或类似的工作负载或性能级别515。对于功能并行方法,每个核运行由分组引擎、VIP275或设备200提供的多个功能的不同功能。在数据并行方法中,数据可基于接收数据的网络接口卡(NIC)或VIP275并行或分布在核上。又一个数据并行方法中,可通过将数据流分布在每个核上而将处理分布在核上。
图5A的进一步的细节中,一些实施例中,可以根据功能并行机制500将负载、工作或网络流量在多个核505间分布。功能并行机制可基于执行一个或多个相应功能的每个核。一些实施例中,第一核可执行第一功能,同时第二核执行第二功能。功能并行方法中,根据功能性将多核***要执行的功能划分并分布到每个核。一些实施例中,可将功能并行机制称为任务并行机制,并且可在每个处理器或核对同一数据或不同数据执行不同进程或功能时实现。核或处理器可执行相同或不同的代码。一些情况下,不同的执行线程或代码可在工作时相互通信。可以进行通信以将数据作为工作流的一部分从一个线程传递给下一线程。
一些实施例中,根据功能并行机制500将工作分布在核505上,可以包括根据特定功能分布网络流量,所述特定功能例如为网络输入/输出管理(NW I/O)510A、安全套接层(SSL)加密和解密510B和传输控制协议(TCP)功能510C。这会产生基于所使用的功能量或功能级别的工作、性能或者计算负载515。一些实施例中,根据数据并行机制540将工作分布在核505上可包括基于与特定的硬件或软件组件相关联的分布数据来分布工作量515。一些实施例中,根据基于流的数据并行机制520将工作分布在核505上可包括基于上下文或流来分布数据,从而使得每个核上的工作量515A-N可以类似、基本相等或者相对平均分布。
在功能并行方法的情况下,可以配置每个核来运行由设备的分组引擎或VIP提供的多个功能中的一个或多个功能。例如,核1可执行设备200’的网络I/O处理,同时核2执行设备的TCP连接管理。类似地,核3可执行SSL卸载,同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任一核可运行结合附图2A和2B识别和/或描述的功能或其一部分。该方法中,核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下,如图5A所示,按功能划分会使得不同核运行在不同的性能或负载级别515。
在功能并行方法的情况下,可以配置每个核来运行由设备的分组引擎提供的多个功能中的一个或多个功能。例如,核1可执行设备200’的网络I/O处理,同时核2执行设备的TCP连接管理。类似地,核3可执行SSL卸载,同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同的功能。每个核可执行不只一个功能。任何核可运行结合附图2A和2B识别和/或描述的功能或其一部分。该方法中,核上的工作可以粗粒度或细粒度方式按功能划分。一些情况下,如图5A所示,按功能划分会使得不同核运行在不同的性能或负载级别。
可以用任何结构或方案来分布功能或任务。例如,图5B示出用于处理与网络I/O功能510A相关联的应用和进程的第一核Core1505A。一些实施例中,与网络I/O相关联的网络流量可以和特定的端口号相关联。因而,将具有与NW I/O510A相关联的端口目的地的发出和到来的分组导引给Core1505A,该Core1505A专用于处理与NW I/O端口相关联的所有网络流量。类似的,Core2505B专用于处理与SSL处理相关联的功能,Core4505D可专用于处理所有TCP级处理和功能。
虽然图5A示出如网络I/O、SSL和TCP的功能,也可将其他功能分配给核。这些其他功能可包括此处描述的任一或多个功能或操作。例如,结合图2A和2B描述的任何功能可基于功能基础分布在核上。一些情况下,第一VIP275A可运行在第一核上,同时,具有不同配置的第二VIP275B可运行在第二核上。一些实施例中,每个核505可处理特定功能,这样每个核505可处理与该特定功能相关联的处理。例如,Core2505B可处理SSL卸载,同时Core4505D可处理应用层处理和流量管理。
其他实施例中,可根据任何类型或形式的数据并行机制540将工作、负载或网络流量分布在核505上。一些实施例中,可由每个核对分布式数据的不同片执行相同任务或功能来实现多核***中的数据并行机制。一些实施例中,单个执行线程或代码控制对所有数据片的操作。其他实施例中,不同线程或指令控制操作,但是可执行相同代码。一些实施例中,从分组引擎、vServer(VIP)275A-C、网络接口卡(NIC)542D-E和/或设备200上包括的或者与设备200相关联的任何其他网络硬件或软件的角度实现数据并行机制。例如,每个核可运行同样的分组引擎或VIP代码或配置但是在不同的分布式数据集上进行操作。每个网络硬件或软件结构可接收不同的、变化的或者基本相同量的数据,因而可以具有变化的、不同的或相对相同量的负载515。
在数据并行方法的情况下,可以基于VIP、NIC和/或VIP或NIC的数据流来划分和分布工作。在这些的方法的一个中,可通过使每个VIP在分布的数据集上工作来将多核***的工作划分或者分布在VIP中。例如,可配置每个核运行一个或多个VIP。网络流量可分布在处理流量的每个VIP的核上。在这些方法的又一个中,可基于哪个NIC接收网络流量来将设备的工作划分或分布在核上。例如,第一NIC的网络流量可被分布到第一核,同时第二NIC的网络流量可被分布给第二核。一些情况下,核可处理来自多个NIC的数据。
虽然图5A示出了与单个核505相关联的单个vServer,正如VIP1275A、VIP2275B和VIP3275C的情况。但是,一些实施例中,单个vServer可以与一个或者多个核505相关联。相反,一个或多个vServer可以与单个核505相关联。将vServer与核505关联可包括该核505处理与该特定vServer关联的所有功能。一些实施例中,每个核执行具有相同代码和配置的VIP。其他实施例中,每个核执行具有相同代码但配置不同的VIP。一些实施例中,每个核执行具有不同代码和相同或不同配置的VIP。
和vServer类似,NIC也可以和特定的核505关联。许多实施例中,NIC可以连接到一个或多个核505,这样,当NIC接收或传输数据分组时,特定的核505处理涉及接收和传输数据分组的处理。一个实施例中,单个NIC可以与单个核505相关联,正如NIC1542D和NIC2542E的情况。其他实施例中,一个或多个NIC可以与单个核505相关联。但其他实施例中,单个NIC可以与一个或者多个核505相关联。这些实施例中,负载可以分布在一个或多个核505上,使得每个核505基本上处理类似的负载量。与NIC关联的核505可以处理与该特定NIC关联的所有功能和/或数据。
虽然根据VIP或NIC的数据将工作分布在核上具有某种程度的独立性,但是,一些实施例中,这会造成如图5A的变化负载515所示的核的不平衡的使用。
一些实施例中,可根据任何类型或形式的数据流将负载、工作或网络流量分布在核505上。在这些方法的又一个中,可基于数据流将工作划分或分布在多个核上。例如,客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下,最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。一些实施例中,数据流基于网络流量的任何单元或部分,如事务、请求/响应通信或来自客户机上的应用的流量。这样,一些实施例中,客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。
在基于流的数据并行机制520中,数据分布和任何类型的数据流相关,例如请求/响应对、事务、会话、连接或应用通信。例如,客户机或服务器之间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一些情况下,最初建立会话或连接的核可以是该会话或连接的网络流量所分布的核。数据流的分布可以使得每个核505运行基本相等或相对均匀分布的负载量、数据量或网络流量。
一些实施例中,数据流基于网络流量的任何单元或部分,如事务、请求/响应通信或源自客户机上的应用的流量。这样,一些实施例中,客户机和服务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。一个实施例中,可以基于事务或一系列事务分布数据量。一些实施例中,该事务可以是客户机和服务器之间的,其特征可以是IP地址或其他分组标识符。例如,核1505A可专用于特定客户机和特定服务器之间的事务,因此,核1505A上的负载515A可包括与特定客户机和服务器之间的事务相关联的网络流量。可通过将源自特定客户机或服务器的所有数据分组路由到核1505A来将网络流量分配给核1505A。
虽然可部分地基于事务将工作或负载分布到核,但是,其他实施例中,可基于每个分组的基础分配负载或工作。这些实施例中,设备200可拦截数据分组并将数据分组分配给负载量最小的核505。例如,由于核1上的负载515A小于其他核505B-N上的负载515B-N,所以设备200可将第一到来的数据分组分配给核1505A。将第一数据分组分配给核1505A后,核1505A上的负载量515A与处理第一数据分组所需的处理资源量成比例增加。设备200拦截到第二数据分组时,设备200会将负载分配给核4505D,这是由于核4505D具有第二少的负载量。一些实施例中,将数据分组分配给负载量最小的核可确保分布到每个核505的负载515A-N保持基本相等。
其他实施例中,将一部分网络流量分配给特定核505的情况下,可以每单元为基础分配负载。上述示例说明以每分组为基础进行负载平衡。其他实施例中,可以基于分组数目分配负载,例如,将每10个、100个或1000个分组分配给流量最少的核505。分配给核505的分组数量可以是由应用、用户或管理员确定的数目,而且可以为大于零的任何数。仍在其他实施例中,基于时间指标分配负载,使得在预定时间段将分组分布到特定核505。这些实施例中,可以在5毫秒内或者由用户、程序、***、管理器或其他方式确定的任何时间段将分组分布到特定核505。预定时间段过去后,在预定时间段内将时间分组传输给不同的核505。
用于将工作、负载或网络流量分布在一个或多个核505上的基于流的数据并行方法可包括上述实施例的任意组合。这些方法可以由设备200的任何部分执行,由在核505上执行的应用或者一组可执行指令执行,例如分组引擎,或者由在与设备200通信的计算装置上执行的任何应用、程序或代理执行。
图5A所示的功能和数据并行机制计算方案可以任何方式组合,以产生混合并行机制或分布式处理方案,其包括功能并行机制500、数据并行机制540、基于流的数据并行机制520或者其任何部分。一些情况下,多核***可使用任何类型或形式的负载平衡方案来将负载分布在一个或多个核505上。负载平衡方案可以和任何功能和数据平行方案或其组合结合使用。
图5B示出多核***545的实施例,该***可以是任何类型或形式的一个或多个***、设备、装置或组件。一些实施例中,该***545可被包括在具有一个或多个处理核505A-N的设备200内。***545还可包括与存储器总线556通信的一个或多个分组引擎(PE)或分组处理引擎(PPE)548A-N。存储器总线可用于与一个或多个处理核505A-N通信。***545还可包括一个或多个网络接口卡(NIC)552和流分布器550,流分布器还可与一个或多个处理核505A-N通信。流分布器550可包括接收侧调整器(Receiver SideScaler-RSS)或接收侧调整(Receiver Side Scaling-RSS)模块560。
进一步参考图5B,具体而言,一个实施例中,分组引擎548A-N可包括此处所述的设备200的任何部分,例如图2A和2B所述设备的任何部分。一些实施例中,分组引擎548A-N可包括任何下列的元件:分组引擎240、网络堆栈267、高速缓存管理器232、策略引擎236、压缩引擎238、加密引擎234、GUI210、CLI212、壳服务214、监控程序216以及能够从数据总线556或一个或多个核505A-N中的任一个接收数据分组的其他任何软件和硬件元件。一些实施例中,分组引擎548A-N可包括一个或多个vServer275A-N或其任何部分。其他实施例中,分组引擎548A-N可提供以下功能的任意组合:SSL VPN280、内部网IP282、交换284、DNS286、分组加速288、APPFW280、如由监控代理197提供的监控、和作为TCP堆栈关联的功能、负载平衡、SSL卸载和处理、内容交换、策略评估、高速缓存、压缩、编码、解压缩、解码、应用防火墙功能、XML处理和加速以及SSL VPN连接。
一些实施例中,分组引擎548A-N可以与特定服务器、用户、客户或网络关联。分组引擎548与特定实体关联时,分组引擎548可处理与该实体关联的数据分组。例如,如果分组引擎548与第一用户关联,那么该分组引擎548将对由第一用户产生的分组或者目的地址与第一用户关联的分组进行处理和操作。类似地,分组引擎548可选择不与特定实体关联,使得分组引擎548可对不是由该实体产生的或目的是该实体的任何数据分组进行处理和以其他方式进行操作。
一些实例中,可将分组引擎548A-N配置为执行图5A所示的任何功能和/或数据并行方案。这些实例中,分组引擎548A-N可将功能或数据分布在多个核505A-N上,从而使得分布是根据并行机制或分布方案的。一些实施例中,单个分组引擎548A-N执行负载平衡方案,其他实施例中,一个或多个分组引擎548A-N执行负载平衡方案。一个实施例中,每个核505A-N可以与特定分组引擎548关联,使得可以由分组引擎执行负载平衡。在该实施例中,负载平衡可要求与核505关联的每个分组引擎548A-N和与核关联的其他分组引擎通信,使得分组引擎548A-N可共同决定将负载分布在何处。该过程的一个实施例可包括从每个分组引擎接收对于负载的投票的仲裁器。仲裁器可部分地基于引擎投票的持续时间将负载分配给每个分组引擎548A-N,一些情况下,还可基于与在引擎关联的核505上的当前负载量相关联的优先级值来将负载分配给每个分组引擎548A-N。
核上运行的任何分组引擎可以运行于用户模式、内核模式或其任意组合。一些实施例中,分组引擎作为在用户空间或应用空间中运行的应用或程序来操作。这些实施例中,分组引擎可使用任何类型或形式的接口来访问内核提供的任何功能。一些实施例中,分组引擎操作于内核模式中或作为内核的一部分来操作。一些实施例中,分组引擎的第一部分操作于用户模式中,分组引擎的第二部分操作于内核模式中。一些实施例中,第一核上的第一分组引擎执行于内核模式中,同时,第二核上的第二分组引擎执行于用户模式中。一些实施例中,分组引擎或其任何部分对NIC或其任何驱动器进行操作或者与其联合操作。
一些实施例中,存储器总线556可以是任何类型或形式的存储器或计算机总线。虽然在图5B中描述了单个存储器总线556,但是***545可包括任意数量的存储器总线556。一个实施例中,每个分组引擎548可以和一个或者多个单独的存储器总线556相关联。
一些实施例中,NIC552可以是此处所述的任何网络接口卡或机制。NIC552可具有任意数量的端口。NIC可设计并构造成连接到任何类型和形式的网络104。虽然示出单个NIC552,但是,***545可包括任意数量的NIC552。一些实施例中,每个核505A-N可以与一个或多个单个NIC552关联。因而,每个核505可以与专用于特定核505的单个NIC552关联。核505A-N可包括此处所述的任何处理器。此外,可根据此处所述的任何核505配置来配置核505A-N。另外,核505A-N可具有此处所述的任何核505功能。虽然图5B示出七个核505A-G,但是***545可包括任意数量的核505。具体而言,***545可包括N个核,其中N是大于零的整数。
核可具有或使用被分配或指派用于该核的存储器。可将存储器视为该核的专有或本地存储器并且仅有该核可访问该存储器。核可具有或使用共享的或指派给多个核的存储器。该存储器可被视为由不只一个核可访问的公共或共享存储器。核可使用专有或公共存储器的任何组合。通过每个核的单独的地址空间,消除了使用同一地址空间的情况下的一些协调级别。利用单独的地址空间,核可以对核自己的地址空间中的信息和数据进行工作,而不用担心与其他核冲突。每个分组引擎可以具有用于TCP和/或SSL连接的单独存储器池。
仍参考图5B,上文结合图5A描述的核505的任何功能和/或实施例可以部署在上文结合图4A和4B描述的虚拟化环境的任何实施例中。不是以物理处理器505的形式部署核505的功能,而是将这些功能部署在诸如客户机102、服务器106或设备200的任何计算装置100的虚拟化环境400内。其他实施例中,不是以设备或一个装置的形式部署核505的功能,而是将该功能部署在任何布置的多个装置上。例如,一个装置可包括两个或多个核,另一个装置可包括两个或多个核。例如,多核***可包括计算装置的集群、服务器群或计算装置的网络。一些实施例中,不是以核的形式部署核505的功能,而是将该功能部署在多个处理器上,例如部署多个单核处理器上。
一个实施例中,核505可以为任何形式或类型的处理器。一些实施例中,核的功能可以基本类似此处所述的任何处理器或中央处理单元。一些实施例中,核505可包括此处所述的任何处理器的任何部分。虽然图5A示出7个核,但是,设备200内可以有任意N个核,其中N是大于1的整数。一些实施例中,核505可以安装在公用设备200内,其他实施例中,核505可以安装在彼此通信连接的一个或多个设备200内。一些实施例中,核505包括图形处理软件,而其他实施例中,核505提供通用处理能力。核505可彼此物理靠近地安装和/或可彼此通信连接。可以用以物理方式和/或通信方式耦合到核的任何类型和形式的总线或子***连接核,用于向核、从核和/或在核之间传输数据。
尽管每个核505可包括用于与其他核通信的软件,一些实施例中,核管理器(未示出)可有助于每个核505之间的通信。一些实施例中,内核可提供核管理。核可以使用各种接口机制彼此接口或通信。一些实施例中,可以使用核到核的消息传送来在核之间通信,比如,第一核通过连接到核的总线或子***向第二核发送消息或数据。一些实施例中,核可通过任何种类或形式的共享存储器接口通信。一个实施例中,可以存在在所有核中共享的一个或多个存储器单元。一些实施例中,每个核可以具有和每个其他核共享的单独存储器单元。例如,第一核可具有与第二核的第一共享存储器,以及与第三核的第二共享存储器。一些实施例中,核可通过任何类型的编程或API(如通过内核的函数调用)来通信。一些实施例中,操作***可识别并支持多核装置,并提供用于核间通信的接口和API。
流分布器550可以是任何应用、程序、库、脚本、任务、服务、进程或在任何类型或形式的硬件上执行的任何类型和形式的可执行指令。一些实施例中,流分布器550可以是用于执行此处所述任何操作和功能的任何电路设计或结构。一些实施例中,流分布器分布、转发、路由、控制和/或管理多个核505上的数据和/或在核上运行的分组引擎或VIP的分布。一些实施例中,可将流分布器550称为接口主装置(interface master)。一个实施例中,流分布器550包括在设备200的核或处理器上执行的一组可执行指令。又一个实施例中,流分布器550包括在与设备200通信的计算机器上执行的一组可执行指令。一些实施例中,流分布器550包括在如固件的NIC上执行的一组可执行指令。其他实施例,流分布器550包括用于将数据分组分布在核或处理器上的软件和硬件的任何组合。一个实施例中,流分布器550在至少一个核505A-N上执行,而在其他实施例中,分配给每个核505A-N的单独的流分布器550在相关联的核505A-N上执行。流分布器可使用任何类型和形式的统计或概率算法或决策来平衡多个核上的流。可以将如NIC的设备硬件或内核设计或构造成支持NIC和/或核上的顺序操作。
***545包括一个或多个流分布器550的实施例中,每个流分布器550可以与处理器505或分组引擎548关联。流分布器550可包括允许每个流分布器550和在***545内执行的其他流分布器550通信的接口机制。一个实例中,一个或多个流分布器550可通过彼此通信确定如何平衡负载。该过程的操作可以基本与上述过程类似,即将投票提交给仲裁器,然后仲裁器确定哪个流分布器550应该接收负载。其他实施例中,第一流分布器550’可识别所关联的核上的负载并基于任何下列标准确定是否将第一数据分组转发到所关联的核:所关联的核上的负载大于预定阈值;所关联的核上的负载小于预定阈值;所关联的核上的负载小于其他核上的负载;或者可以用于部分基于处理器上的负载量来确定将数据分组转发到何处的任何其他指标。
流分布器550可以根据如此处所述的分布、计算或负载平衡方法而将网络流量分布在核505上。一个实施例中,流分布器可基于功能并行机制分布方案550、数据并行机制负载分布方案540、基于流的数据并行机制分布方案520或这些分布方案的任意组合或用于将负载分布在多个处理器上的任何负载平衡方案来分布网络流量。因而,流分布器550可通过接收数据分组并根据操作的负载平衡或分布方案将数据分组分布在处理器上而充当负载分布器。一个实施例中,流分布器550可包括用于确定如何相应地分布分组、工作或负载的一个或多个操作、函数或逻辑。又一个实施例中,流分布器550可包括可识别与数据分组关联的源地址和目的地址并相应地分布分组的一个或多个子操作、函数或逻辑。
一些实施例中,流分布器550可包括接收侧调整(RSS)网络驱动器模块560或将数据分组分布在一个或多个核505上的任何类型和形式的可执行指令。RSS模块560可以包括硬件和软件的任意组合。一些实施例中,RSS模块560和流分布器550协同工作以将数据分组分布在核505A-N或多处理器网络中的多个处理器上。一些实施例中,RSS模块560可在NIC552中执行,其他实施例中,可在核505的任何一个上执行。
一些实施例中,RSS模块560使用微软接收侧调整(RSS)方法。一个实施例中,RSS是微软可扩展网络主动技术(Microsoft Scalable Networkinginitiative technology),其使得***中的多个处理器上的接收处理是平衡的,同时保持数据的顺序传送。RSS可使用任何类型或形式的哈希方案来确定用于处理网络分组的核或处理器。
RSS模块560可应用任何类型或形式的哈希函数,如Toeplitz哈希函数。哈希函数可应用到哈希类型值或者任何值序列。哈希函数可以是任意安全级别的安全哈希或者是以其他方式加密。哈希函数可使用哈希关键字(hashkey)。关键字的大小取决于哈希函数。对于Toeplitz哈希,用于IPv6的哈希关键字大小为40字节,用于IPv4的哈希关键字大小为16字节。
可以基于任何一个或多个标准或设计目标设计或构造哈希函数。一些实施例中,可使用为不同的哈希输入和不同哈希类型提供均匀分布的哈希结果的哈希函数,所述不同哈希输入和不同哈希类型包括TCP/IPv4、TCP/IPv6、IPv4和IPv6头部。一些实施例中,可使用存在少量桶时(例如2个或4个)提供均匀分布的哈希结果的哈希函数。一些实施例中,可使用存在大量桶时(例如64个桶)提供随机分布的哈希结果的哈希函数。在一些实施例中,基于计算或资源使用水平来确定哈希函数。在一些实施例中,基于在硬件中实现哈希的难易度来确定哈希函数。在一些实施例中,基于用恶意的远程主机发送将全部哈希到同一桶中的分组的难易度来确定哈希函数。
RSS可从任意类型和形式的输入来产生哈希,例如值序列。该值序列可包括网络分组的任何部分,如网络分组的任何头部、域或载荷或其一部分。一些实施例中,可将哈希输入称为哈希类型,哈希输入可包括与网络分组或数据流关联的任何信息元组,例如下面的类型:包括至少两个IP地址和两个端口的四元组、包括任意四组值的四元组、六元组、二元组和/或任何其他数字或值序列。以下是可由RSS使用的哈希类型示例:
-源TCP端口、源IP版本4(IPv4)地址、目的TCP端口和目的IPv4地址的四元组。
-源TCP端口、源IP版本6(IPv6)地址、目的TCP端口和目的IPv6地址的四元组。
-源IPv4地址和目的IPv4地址的二元组。
-源IPv6地址和目的IPv6地址的二元组。
-源IPv6地址和目的IPv6地址的二元组,包括对解析IPv6扩展头部的支持。
哈希结果或其任何部分可用于识别用于分布网络分组的核或实体,如分组引擎或VIP。一些实施例中,可向哈希结果应用一个或者多个哈希位或掩码。哈希位或掩码可以是任何位数或字节数。NIC可支持任意位,例如7位。网络堆栈可在初始化时设定要使用的实际位数。位数介于1和7之间,包括端值。
可通过任意类型和形式的表用哈希结果来识别核或实体,例如通过桶表(bucket table)或间接表(indirection table)。一些实施例中,用哈希结果的位数来索引表。哈希掩码的范围可有效地限定间接表的大小。哈希结果的任何部分或哈希结果自身可用于索引间接表。表中的值可标识任何核或处理器,例如通过核或处理器标识符来标识。一些实施例中,表中标识多核***的所有核。其他实施例中,表中标识多核***的一部分核。间接表可包括任意多个桶,例如2到128个桶,可以用哈希掩码索引这些桶。每个桶可包括标识核或处理器的索引值范围。一些实施例中,流控制器和/或RSS模块可通过改变间接表来重新平衡网络负载。
一些实施例中,多核***575不包括RSS驱动器或RSS模块560。在这些实施例的一些中,软件操控模块(未示出)或***内RSS模块的软件实施例可以和流分布器550共同操作或者作为流分布器550的一部分操作,以将分组引导到多核***575中的核505。
一些实施例中,流分布器550在设备200上的任何模块或程序中执行,或者在多核***575中包括的任何一个核505和任一装置或组件上执行。一些实施例中,流分布器550’可在第一核505A上执行,而在其他实施例中,流分布器550”可在NIC552上执行。其他实施例中,流分布器550’的实例可在多核***575中包括的每个核505上执行。该实施例中,流分布器550’的每个实例可和流分布器550’的其他实例通信以在核505之间来回转发分组。存在这样的状况,其中,对请求分组的响应不是由同一核处理的,即第一核处理请求,而第二核处理响应。这些情况下,流分布器550’的实例可以拦截分组并将分组转发到期望的或正确的核505,即流分布器550’可将响应转发到第一核。流分布器550’的多个实例可以在任意数量的核505或核505的任何组合上执行。
流分布器可以响应于任一个或多个规则或策略而操作。规则可识别接收网络分组、数据或数据流的核或分组处理引擎。规则可识别和网络分组有关的任何类型和形式的元组信息,例如源和目的IP地址以及源和目的端口的四元组。基于所接收的匹配规则所指定的元组的分组,流分布器可将分组转发到核或分组引擎。一些实施例中,通过共享存储器和/或核到核的消息传输将分组转发到核。
虽然图5B示出了在多核***575中执行的流分布器550,但是,一些实施例中,流分布器550可执行在位于远离多核***575的计算装置或设备上。这样的实施例中,流分布器550可以和多核***575通信以接收数据分组并将分组分布在一个或多个核505上。一个实施例中,流分布器550接收以设备200为目的地的数据分组,向所接收的数据分组应用分布方案并将数据分组分布到多核***575的一个或多个核505。一个实施例中,流分布器550可以被包括在路由器或其他设备中,这样路由器可以通过改变与每个分组关联的元数据而以特定核505为目的地,从而每个分组以多核***575的子节点为目的地。这样的实施例中,可用CISCO的vn-tag机制来改变或标记具有适当元数据的每个分组。
图5C示出包括一个或多个处理核505A-N的多核***575的实施例。简言之,核505中的一个可被指定为控制核505A并可用作其他核505的控制平面570。其他核可以是次级核,其工作于数据平面,而控制核提供控制平面。核505A-N共享全局高速缓存580。控制核提供控制平面,多核***中的其他核形成或提供数据平面。这些核对网络流量执行数据处理功能,而控制核提供对多核***的初始化、配置和控制。
仍参考图5C,具体而言,核505A-N以及控制核505A可以是此处所述的任何处理器。此外,核505A-N和控制核505A可以是能在图5C所述***中工作的任何处理器。另外,核505A-N可以是此处所述的任何核或核组。控制核可以是与其他核不同类型的核或处理器。一些实施例中,控制核可操作不同的分组引擎或者具有与其他核的分组引擎配置不同的分组引擎。
每个核的存储器的任何部分可以被分配给或者用作核共享的全局高速缓存。简而言之,每个核的每个存储器的预定百分比或预定量可用作全局高速缓存。例如,每个核的每个存储器的50%可用作或分配给共享全局高速缓存。也就是说,所示实施例中,除了控制平面核或核1以外的每个核的2GB可用于形成28GB的共享全局高速缓存。例如通过配置服务而配置控制平面可确定用于共享全局高速缓存的存储量(the amount of memory)。一些实施例中,每个核可提供不同的存储量供全局高速缓存使用。其他实施例中,任一核可以不提供任何存储器或不使用全局高速缓存。一些实施例中,任何核也可具有未分配给全局共享存储器的存储器中的本地高速缓存。每个核可将网络流量的任意部分存储在全局共享高速缓存中。每个核可检查高速缓存来查找要在请求或响应中使用的任何内容。任何核可从全局共享高速缓存获得内容以在数据流、请求或响应中使用。
全局高速缓存580可以是任意类型或形式的存储器或存储元件,例如此处所述的任何存储器或存储元件。一些实施例中,核505可访问预定的存储量(即32GB或者与***575相当的任何其他存储量)。全局高速缓存580可以从预定的存储量分配而来,同时,其余的可用存储器可在核505之间分配。其他实施例中,每个核505可具有预定的存储量。全局高速缓存580可包括分配给每个核505的存储量。该存储量可以字节为单位来测量,或者可用分配给每个核505的存储器百分比来测量。因而,全局高速缓存580可包括来自与每个核505关联的存储器的1GB存储器,或者可包括和每个核505关联的存储器的20%或一半。一些实施例,只有一部分核505提供存储器给全局高速缓存580,而在其他实施例,全局高速缓存580可包括未分配给核505的存储器。
每个核505可使用全局高速缓存580来存储网络流量或缓存数据。一些实施例中,核的分组引擎使用全局高速缓存来缓存并使用由多个分组引擎所存储的数据。例如,图2A的高速缓存管理器和图2B的高速缓存功能可使用全局高速缓存来共享数据以用于加速。例如,每个分组引擎可在全局高速缓存中存储例如HTML数据的响应。操作于核上的任何高速缓存管理器可访问全局高速缓存来将高速缓存响应提供给客户请求。
一些实施例中,核505可使用全局高速缓存580来存储端口分配表,其可用于部分基于端口确定数据流。其他实施例中,核505可使用全局高速缓存580来存储地址查询表或任何其他表或列表,流分布器可使用这些表来确定将到来的数据分组和发出的数据分组导向何处。一些实施例中,核505可以读写高速缓存580,而其他实施例中,核505仅从高速缓存读或者仅向高速缓存写。核可使用全局高速缓存来执行核到核通信。
可以将全局高速缓存580划分成各个存储器部分,其中每个部分可专用于特定核505。一个实施例中,控制核505A可接收大量的可用高速缓存,而其他核505可接收对全局高速缓存580的变化的访问量。
一些实施例中,***575可包括控制核505A。虽然图5C将核1505A示为控制核,但是,控制核可以是设备200或多核***中的任何一个核。此外,虽然仅描述了单个控制核,但是,***575可包括一个或多个控制核,每个控制核对***有某种程度的控制。一些实施例中,一个或多个控制核可以各自控制***575的特定方面。例如,一个核可控制决定使用哪种分布方案,而另一个核可确定全局高速缓存580的大小。
多核***的控制平面可以是将一个核指定并配置成专用的管理核或者作为主核。控制平面核可对多核***中的多个核的操作和功能提供控制、管理和协调。控制平面核可对多核***中的多个核上存储器***的分配和使用提供控制、管理和协调,这包括初始化和配置存储器***。一些实施例中,控制平面包括流分布器,用于基于数据流控制数据流到核的分配以及网络分组到核的分配。一些实施例中,控制平面核运行分组引擎,其他实施例中,控制平面核专用于***的其他核的控制和管理。
控制核505A可对其他核505进行某种级别的控制,例如,确定将多少存储器分配给每个核505,或者确定应该指派哪个核来处理特定功能或硬件/软件实体。一些实施例中,控制核505A可以对控制平面570中的这些核505进行控制。因而,控制平面570之外可存在不受控制核505A控制的处理器。确定控制平面570的边界可包括由控制核505A或***575中执行的代理维护由控制核505A控制的核的列表。控制核505A可控制以下的任一个:核初始化、确定核何时不可用、一个核出故障时将负载重新分配给其他核505、决定实现哪个分布方案、决定哪个核应该接收网络流量、决定应该给每个核分配多少高速缓存、确定是否将特定功能或元件分布到特定核、确定是否允许核彼此通信、确定全局高速缓存580的大小以及对***575内的核的功能、配置或操作的任何其他确定。
F.用于由中间装置进行cookie代理的***和方法
cookie可用于维护***的状态或者网络上两个实体之间的先前的事件、事务或通信的存储。在一些情况下,cookie可用于各种类型的会话跟踪。cookie管理可称作网络装置(例如中间装置200)的特性,并且可以在创建、使用或控制服务器106和客户机102之间传输的cookie时提供管理服务器102或客户机106的一种方式。本文描述的中间装置的实施例提供管理客户机和服务器的cookie的方法。在一些实施例中,中间装置管理在服务器侧的服务器消耗的cookie(server consumed cookie)而不向客户机浏览器发送cookie。
现参考图6A,描述了用于经由设备200或代理访问服务器的无客户端虚拟专用网络(VPN)环境的实施例。简要而言,客户机102在计算装置100上运行并且执行由用户操作的浏览器。客户机102可以在诸如公用网络的第一网络104上。客户机102上的用户可经由浏览器请求访问第二网络104’上的资源,该第二网络104’例如是企业的专用网络。设备200为该用户提供对所请求的资源的无客户端VPN访问。客户机可以不安装或执行被构造和/或设计为提供到网络104’的VPN连通(称为基于客户机的VPN)的任何代理、组件、程序、驱动程序或应用。相反,设备或代理可重写来自服务器的响应和来自客户机的请求以提供VPN功能,而不需要使用在客户机上运行VPN代理。例如,设备可重写客户机和服务器之间的统一资源定位符(URL),例如由服务器提供的任何内容或客户机发送的请求中的URL。设备200可以采用对客户机和服务器其中之一或两者透明和无缝的方式来重写客户机和服务器之间的URL。这样,客户机、浏览器或者服务器和服务器应用不需要知道或了解无客户端SSL VPN访问场景。
如之前在上文中描述的,设备200可提供经由SSL VPN280模块访问资源的设施。在一个实施例中,设备200通过在客户机102上提供、安装或执行SSL VPN代理以便与设备200通信,来提供对网络的基于客户机的访问。在一些实施例中,设备200提供对资源的无客户端SSL VPN访问(该资源例如http/https/文件共享),而不用向客户机102下载SSL VPN客户端或代理。例如,用户可能想要从诸如自助服务终端(kiosk)的外部机器访问公司内的资源,在该自助服务终端上该用户没有安装客户端的权限或者该用户不想经历客户端安装过程。当装置(例如市场中的新PDA)不支持SSL VPN客户端但该装置运行启用SSL的浏览器时,无客户端SSLVPN特性也很有用。在其他实施例中,设备200基于策略和任何策略规则、动作和/或条件,为用户在基于客户机访问资源和无客户端SSL VPN访问资源之间进行选择。
客户机可包括任何类型和形式的用户代理,该用户代理可以是浏览器、编辑器、网络蜘蛛(spider)(web穿行机器人)或者任何其他终端用户工具或程序。客户机102可包括任何类型和形式的浏览器。在一个实施例中,浏览器是由位于美国华盛顿州Redmond的微软公司出品的任何版本的Internet浏览器。在另一个实施例中,浏览器是由网景通信公司出品的任何版本的网景浏览器。在其他实施例中,浏览器是由位于美国加利福尼亚州的Mozilla基金会提供的、并且可以在www.mozilla.com找到的任何版本的称作Firefox的开源浏览器。在又一个实施例中,浏览器是由位于挪威奥斯陆的Opera软件公司出品的任何版本的称作Opera的浏览器。在一些实施例中,客户机102执行或包括任何类型和形式的应用或程序,用于显示web页面、Web内容、HTML、XML、CSS(层叠样式表单)、JavaScript或HTTP内容。
在运行图6A描述的实施例时,用户在由设备200提供的SSL VPN站点登入,如在由设备200寄载的域名和IP地址登入。例如,用户经由客户机102的浏览器,可选择或输入到SSL VPN站点的URL。设备200可认证该用户并且可进一步确定授权该用户访问设备200或SSL VPN站点。在成功认证后,设备向客户机提供门户网页以便经由浏览器显示给用户。门户网页可包括导航框,诸如用户选择来操作或运行应用的一个或多个用户接口组件的集合。门户网页可包括到其他页面的链接或用户可访问的URL。门户网页上的URL或链接可引用或标识由设备200提供的SSL VPN站点的主机名称或IP地址。
用户可经由门户网页,例如通过点击活动超链接或URL来选择一个或多个URL。作为响应,浏览器或客户机发送请求到由设备200寄载的域。例如,如图6A所示,用户可经由设备请求服务器106的应用“https://sslvpn.x.com/cvpn/http/server.x.com/app.cgi”。在一些实施例中,用户发送另一请求,例如“https://proxy.x.com/cvpn/http/server.x.com/app.cgi”。设备200接收来自客户机102的该请求并且重写该请求以发送到服务器。例如,如图6A中所示,设备可移除或剥离由设备寄载的域名(如“sslvpn.x.com”或“proxy.x.com”),并且将请求中的剩余部分转发到服务器106。
响应于该请求,服务器向客户机提供内容。响应的内容或主体可包括到服务器的其他页面或到网络104’上的其他服务器的内嵌链接或URL,如到“http://server.x.com/app.cgi”的内嵌链接。设备重写头部和主体以将任何URL修改为引用SSL VPN站点的域名或IP地址,使得经由客户机浏览器选择的任何另外的URL或链接将请求传递给设备200。设备将修改的内容传递给客户机102。例如经由AppFw290(有时称作AppSecure模块290),可将设备200设计和构造为基于策略引擎的策略来重写请求和响应的URL。在该SSL VPN会话期间,设备修改随后从服务器接收的页面和其他页面中的链接(URL),使得指向该SSL VPN站点(VPN VIP275)的链接和原始请求URL(绝对或相对)被编码在请求URL中。
现参考图6B,描述用于提供VPN访问以及cookie管理的VPN环境的另一个实施例。简要而言,设备200可包括VPN模块280,用于处理如本文描述的基于无客户端和/或客户机的任何SSL VPN功能。设备和/或VPN模块280可具有AAA模块来执行任何类型和形式的认证、授权和审计(AAA)和/或跟踪和管理VPN会话信息。该AAA模块还可以执行任何类型和形式的VPN会话查找来确定关于任何客户机请求的VPN会话。VPN模块还可以执行URL解码并且将(例如要提交到专用网络上的服务器的)URL转换为服务器格式。VPN模块280还包括经由VPN处理器功能、逻辑或操作的DNS查找功能和授权。
设备可包括用于存储、跟踪和管理客户机与服务器之间的cookie的cookie代理或cookie管理器。cookie可包括用于添加或***cookie以及移除cookie的cookie存储器,称作cookie罐(cookie jar)。cookie管理器或代理可包括功能、逻辑或操作,用于按URL、域名或者请求和/或响应的其他信息在cookie罐中存储和查找cookie信息。在一些实施例中,设备200代表不支持cookie、关闭cookie的客户机,或者在希望或宁愿不向客户机发送cookie的情况下,来管理cookie。
在设备是由Citrix Systems股份有限公司出品的情况下,该设备还可以包括AppFW280,也称作AppSecure。AppSecure280模块可包括用于执行任何类型和形式的内容重写(如URL重写)的逻辑、功能或操作。在一些实施例中,AppSecure280模块向客户机和服务器之间的请求和/或响应执行任何类型和形式的内容注入。在一个实施例中,AppSecure模块280在对客户机的响应中注入脚本(如JavaScript),从而执行任何类型和形式的所需的功能。
用于无客户端SSL VPN访问的设备200的任何组件可响应于配置或由配置驱动,例如经由策略引擎的任何一个或多个策略。策略可指示和确定由VPN模块执行的URL编码和解码的类型和形式。在一些实施例中,策略可指示和确定cookie代理如何以及何时管理和代理cookie。在其他实施例中,策略可指示和确定AppSecure模块如何以及何时执行URL重写和/或内容注入。策略可指示用户访问专用网络和专用网络上的应用的方式。可基于访问场景配置策略,该访问场景可包括基于以下内容的任意组合的访问:用户、客户机的类型和形式、网络的类型和形式、访问的资源的类型、使用的应用的类型、时间信息以及设备可经由穿过该设备的网络流量所确定的任何信息。
根据图6B,讨论了关于无客户端SSL VPN访问的、经由设备200的分组流。响应于成功的登录请求,VPN设备可向该登录请求的发送者发送门户网页。如同结合图6A所描述的,该门户网页可具有采用“vpn编码形式”的一个或多个链接。门户网页流过将在下文中描述的响应代码路径。当用户点击门户网页中的任何URL时,可以用多种方式并且使用多个步骤来实施该分组流。在一些实施例中,对于请求路径,在步骤Q1,设备200可接收URL请求并且在AAA模块中查找VPN会话。在步骤Q2,设备可将VPN编码的URL解码为用于服务器或网络104’的期望URL。设备还可以将请求的头部(如头部的值)修改为服务器格式,或者修改为用来由服务器106(例如,HTTP服务器)发送和使用的格式。设备可重新解析头部使得该设备的任何其他模块看见采用服务器格式的该请求。在请求路径中的步骤Q3,设备经由cookie管理器或代理,基于URL的域和路径查找请求的cookie。在一些情况下,如果请求应该包括cookie,则设备可***来自cookie罐的cookie。在步骤Q4,设备可经由该设备的DNS查找功能/模块将存在于URL中的服务器域名解析为服务器的IP地址。设备可基于AAA模块中的DNS查找来创建服务器信息。此外,可评估认证策略来判断是否可以将请求发送给服务器。在步骤Q5,设备可将请求发送给服务器。在一些实施例中,如果认证成功,则设备将请求发送给服务器。
在经由设备从服务器到客户机的响应路径中,在步骤S1,设备可接收来自服务器的响应。VPN模块280可处理该响应。VPN模块可将响应头部传送给cookie代理模块,以及将响应主体传送给AppSecure模块。在步骤S2,cookie代理可以从响应的头部移除cookie并且将它们存储在用于当前会话的cookie罐中,其中该cookie没有被配置为或标识为客户机消耗的cookie。在步骤S3,AppSecure模块可以依照重写策略以“vpn编码的形式”重写任何URL。AppSecure模块还可以在响应主体中***要在客户机侧执行的任何脚本,如JavaScript。在步骤S4,设备可将修改的响应发送给客户机。在许多实施例中,以任意顺序执行Q或S的任何步骤,或者与本文描述的任何其他步骤或实施例任意结合来执行Q或S的任何步骤。
Cookie可用于维护***状态或者维护网络上两个实体之间的先前事件、事务或通信的存储。在一些情况下,可将cookie用于各种类型的会话追踪。Cookie管理可被称为网络装置(如中间装置200)的特性,且可在创建、利用或控制服务器106和客户机102之间传输的cookie时提供管理服务器102或客户机106的方法。本文描述的中间装置的实施例提供管理客户机和服务器的cookie的方法。在一些实施例中,中间装置管理在服务器侧的服务器消耗的cookie而不将cookie发送给客户机浏览器。
图7A、图7B和图7C示出了用于cookie代理的***和方法。图7A描述了用于在无客户端SSL VPN环境的实施例中管理cookie的***和方法的实施例。图7B示出用于包括SSL VPN无客户端访问场景的cookie管理的方法的实施例的序列图和步骤。步骤7C描述用于由使用唯一标识符(如唯一客户机ID)的中间装置进行cookie代理的实施例。这些附图可能涉及用于实施cookie管理(如无客户端cookie管理)的***和方法的多个实施例
无客户端cookie管理能够使驻留在不安全的网络中的web客户机访问在安全网络后面寄载的web应用而不会危及安全网络的安全性。例如,无客户端cookie管理可通过移除服务器消耗的cookie数据来改善所发送的信息的安全性。无客户端cookie管理能够让服务器消耗的cookie数据不会被发送到客户机并且防止访问可能包含在该cookie中的任何敏感信息。此外,无客户端cookie管理能够使不支持cookie的web浏览器(如PDA和WAP浏览器)与需要cookie的服务器上的web应用一起工作。而且,当使用的web应用与cookie路径重写不兼容时,无客户端cookie管理可提供通过重写cookie路径允许该应用运行的服务。
现参考图7A,示出了用于经由中间装置200实施SSL VPN无客户端cookie管理的***和方法的实施例。图7A描述了客户机102经由中间装置200与服务器106通信。中间装置200包括策略引擎236和cookie管理器720。客户机102向中间装置200发送目的为服务器106的请求,例如HTTP(超文本传输协议)请求。该请求包括URL(统一资源定位符),该URL可以标识存储在服务器106上或者可通过其他方式从服务器106获得的服务或资源。Cookie管理器720接收该请求并使用策略引擎236生成与客户机102关联的cookie。生成的cookie可满足服务器106的任何偏好(preference)或配置,因此使最初的无cookie请求能够被服务器106接受且处理。Cookie管理器720修改该请求以使该请求包括cookie,并且将修改后的请求转发到服务器106。服务器106使用由cookie管理器720生成的cookie发出对该请求的响应并且将响应发送到中间装置200。Cookie管理器720通过移除cookie来修改该响应。接着将修改的响应发送到客户机102。服务器106和客户机102可使用该cookie进一步传输送额外的请求和响应,因而允许无cookie客户机102访问cookie配置的服务器106上的资源。
Cookie管理器720可以是生成、终止、修改或管理cookie的任何装置、组件、单元、功能或设备。Cookie管理器720还可以修改客户机102的请求和服务器106的响应。Cookie管理器720可包括硬件、软件或者硬件和软件组件的组合来管理和控制cookie。Cookie管理器720可包括逻辑、控制功能、处理电路、软件程序、算法和脚本来用于控制、管理或修改客户机102与服务器106之间的传输。在多个实施例中,cookie管理器720包括在管理cookie以及提供客户机102与服务器106之间的通信控制的过程中使用的策略。
在一些实施例中,cookie管理器720可以通过使用配置的策略(如策略引擎236的策略)提供唯一标识符来唯一地标识网络上的用户。唯一标识符可以是唯一标识网络上的客户机102、服务器106或设备200的任何数字、值或者数据、数字或字符的集合。在一些实施例中,cookie管理器720可使用唯一标识符将从服务器106接收的响应和该响应所针对的特定客户机102相关联。Cookie管理器720可包括使用cookie和客户机标识符修改响应的任何功能,使得客户机102以所需的格式接收该响应。类似地,cookie管理器720可包括将特定客户机102的请求修改为包括特定cookie的任何功能,以便使用客户机唯一标识符和为该客户机生成的cookie来访问服务器106上的资源。
Cookie管理器720可修改或改变服务器106或客户机102发送的任何传输信息。在一些实施例中,cookie管理器720使用用于处理cookie的策略引擎236的一个或多个策略来修改客户机102和服务器106之间的传输信息。Cookie管理器720可将传输信息修改为包括或排除cookie和唯一客户机标识符。在一些实施例中,cookie管理器720为请求访问任何服务器106的任何客户机102生成cookie。Cookie管理器720可响应于策略为客户机102生成cookie。在一些实施例中,Cookie管理器可响应于策略确定不应该允许特定客户机具有cookie。在其他实施例中,cookie管理器720响应于策略确定特定的唯一客户机标识符应该与客户机102相关联。在进一步的实施例中,cookie管理器720响应于策略确定为请求生成的cookie的类型和形式。在进一步的实施例中,cookie管理器响应于策略来判断是否为客户机将来的请求存储该cookie及如何存储该cookie。
在一些实施例中,cookie管理器从请求或响应中移除或剥离cookie。Cookie管理器可为客户机102或服务器106分配或者重新分配cookie。在进一步的实施例中,cookie管理器720改变、修改或重写来自客户机102的请求或者来自服务器106的响应的cookie。Cookie管理器720可将唯一标识客户机的值、名称或唯一客户机标识符与跟客户机、服务器或中间装置200关联的cookie或cookie的一部分相匹配。在一些实施例中,cookie管理器720可在URL添加与唯一客户机标识符关联的cookie。在进一步的实施例中,cookie管理器720可移除唯一客户机标识符并且添加与唯一客户机标识符关联的cookie作为替代。在多个实施例中,cookie管理器720可用唯一标识客户机102或服务器106的唯一标识符来代替cookie,该唯一标识符有时也称作唯一ID。
Cookie管理器720可使用解析传输消息的解析器。Cookie管理器720还可以使用内部映射,以用于将关联多个客户机、服务器或设备200的多个唯一标识符与关联所述客户机、服务器或设备的多个cookie进行匹配。例如,cookie管理器720可使用包括与一个或多个cookie关联的一个唯一标识符的映射来匹配由唯一标识符唯一标识的客户机102与一个或多个cookie。在这种情况下,cookie管理器720可使用匹配到唯一客户机标识符的一个或多个cookie来修改、改变或编辑来自客户机的请求或去往客户机的响应。Cookie管理器720可利用策略,根据需要通过管理cookie和唯一客户机标识符、向客户机102和服务器106的传输信息添加cookie和唯一客户机标识符或者从客户机102和服务器106的传输信息移除cookie和唯一客户机标识符来管理客户机102和服务器106之间的传输,以满足接收装置(即接收传输信息的客户机102和服务器106)的配置或偏好。
分号客户机分隔的列表可以是包括cookie列表以及与经由中间装置200与一个或多个服务器106通信的客户机102关联的信息的任何映射、列表、数据库或文件。本文中的分号客户机分隔的列表还可以可替换地称作内部映射或cookie列表或映射。在一些实施例中,分号客户机分隔的列表包括cookie名值对以及可以代替cookie用于上游通信(即朝向服务器106的通信)或下游通信(即朝向客户机102的通信)的值或者唯一标识符。有时,cookie管理器720可使用客户机消耗的cookie和/或客户机和服务器消耗的cookie的分号分隔的列表,将一个或多个客户机102的值或唯一标识符链接、匹配或关联到与该客户机关联的每个cookie。通过使用分号分隔的列表,cookie管理器720可确定将哪个cookie重新注入、添加或包括到上游或下游传输中。Cookie管理器720可使用映射或cookie列表将由中间装置200接收的传输信息中的cookie与该传输信息指定的客户机102进行匹配。cookie管理器720可接着将该传输信息编辑或修改为排除cookie且修改为包括与客户机102关联的任何其他信息来代替。类似地,cookie管理器720可使用映射或cookie列表将唯一客户机标识符与要包含到该传输信息中的cookie进行匹配。
在一些实例中,通过打开服务器侧cookie管理并且不指定分号分隔的列表,网络应用可能错误运行。当cookie管理器720过滤在服务器106处的客户机消耗的cookie时可能出错,使用分号分隔的列表可以禁止该出错。使用分号分隔的列表还可以禁止当web应用尝试访问客户机102上的cookie值时可能发生的导致不期望行为的错误。在多个实施例中,分隔的客户机cookie列表或列表可包括用于服务器侧或客户机侧cookie管理的各种开/关设置。在一些实施例中,可将分隔的客户机cookie列表存储在任何数量的数据层或者包括在方法或处理的每个步骤中任何变量的设置或配置的各种表中。
可以通过类型或特征对cookie进行分类。Cookie管理器720可通过与cookie关联的唯一标识符来对cookie进行分类。服务器消耗的cookie可以是由发出关于响应的Set-Cookie的资源(例如服务器106)所设置的cookie。可由任何客户机侧代码来检查服务器消耗的cookie的值或者可能不由任何客户机侧代码来检查。在某些实施例中,cookie管理器720可将服务器消耗的cookie标识或分类为服务器消耗的cookie。在多个实施例中,cookie管理器720可从请求或响应的下游传输中移除服务器消耗的cookie并且将它们重新注入与该请求或响应相关的上游传输中。在其他实施例中,服务器消耗的cookie可与关于会话的机密或敏感数据相关联。在一些实施例中,可通过cookie管理器720来管理服务器消耗的cookie并且该服务器消耗的cookie不会发送给web浏览器。在某些实施例中,可从发送到web浏览器的消息中剥离出服务器消耗的cookie并且可将其存储在cookie管理器720中或与cookie管理器720相关的任何存储装置中。
客户机消耗的cookie可以是例如由客户机102的web浏览器经由诸如JavaScript的脚本在上游传输上设置的cookie。在一些实施例中,客户机消耗的cookie是在来自来源的下游传输上设置的cookie,其中该来源可以是客户机102、服务器106或设备200。在多个实施例中,可由客户机102或中间装置200检查或修改客户机消耗的cookie。在一些实施例中,不通过服务器106检查或修改客户机消耗的cookie。服务器106可以仅按原样接受请求并且可以依赖中间装置200来提供对请求的修改。类似地,客户机102也可以不修改响应,而是可以依赖中间装置200来修改响应。在一些实施例中,由服务器106检查、编辑和修改客户机消耗的cookie。在进一步的实施例中,客户机消耗的cookie不由cookie管理器720管理,而是被发送到客户机102的web浏览器的下游。有时,由客户机102和服务器106共同读取、修改和生成客户机消耗的cookie以及服务器消耗的cookie。在一些实施例中,cookie管理器720可以不管理客户机或服务器消耗的cookie,并且客户机或服务器消耗的cookie可被发送到朝向客户机102的web浏览器的下游。在一些实施例中,客户机102可执行服务器106的功能,反之亦然。在其他实施例中,客户机102可用于可交换地替代服务器106,并且服务器106可用于可交换地替代客户机102。在一些实施例中,可以使用、修改、读取、写入发送到或来自客户机102、服务器106或中间装置200中任何一个的客户机或服务器消耗的cookie。在多个实施例中,服务器消耗的cookie包括客户机消耗的cookie的全部功能,并且可以与任何客户机消耗的cookie采用相同的方式并且通过相同的组件来处理、修改、控制或使用服务器消耗的cookie。有时,所有的cookie可以是服务器消耗的cookie。可由服务器使用、读取或编辑服务器消耗的cookie。在进一步的实施例中,一些服务器消耗的cookie也是客户机消耗的cookie。除了由服务器使用、读取或编辑以外,也可以由客户机使用、读取或编辑该客户机消耗的cookie。在一些实施例中,由中间装置200使用、编辑、读取、写入或修改服务器和客户机消耗的cookie。有时在一些实施例中,一些cookie由客户机使用而不由服务器使用。
可使用上游或下游通信来指示通行的方向。例如,有时上游请求通信或上游方向可与从客户机102朝向服务器106的通信或事务相关。在一些实施例中,上游请求通信或上游方向可与从服务器106到客户机102的通信或事务相关。在多个实施例中,下游请求通信或下游方向在一些实施例中可与从客户机102朝向服务器106的通信、事务或方向相关。在多个实施例中,下游请求通信或下游方向可与从服务器106到客户机102的通信或事务相关。有时,可将去往服务器的事务或通信称作上游事务或上游通信,并且可将朝向客户机的事务或通信称作下游事务或下游通信。
仍参考图7A,示出用于实施无客户端cookie管理的实施例的方法的步骤。在步骤一,客户机102经由中间装置200将请求发送到服务器106。该请求包括诸如由中间装置200提供的URL的URL请求,例如http://abc.com/dir/index.asp。在步骤二,中间装置200与cookie管理器720通信,该cookie管理器720根据可用于由URL提供的域名和路径的cookie内部映射来检查到来的请求URL。如果cookie管理器检测到在到来的请求URL和内部映射中的可用的cookie之间存在任何匹配,则从该cookie管理器向中间装置返回名值对的数组。在步骤三,中间装置将修改后的请求转发到服务器106。在一些实施例中,还可以将请求称作HTTP请求,并且可将修改后的请求称作修改后的HTTP请求。可将请求修改为包括来自cookie管理器720的一个或多个cookie。如图7A所示,在步骤三中发送的消息包括分配给cookie的值25。在步骤四,服务器用包括头部和主体(如HTTP头部和内容主体)的响应来响应该请求。该响应可包括由Set-Cookie HTTP头部限定的数个cookie限定。关于该示例,来自服务器的响应包括设置为25的Set-Cookie值。中间装置可在步骤五访问cookie管理器720,同时将来自响应的cookie值传送给cookie管理器。Cookie管理器720针对给定的URL检查所接收的值是否是新的或者是更新的并且在引入的映射上执行任何必要的更新。Cookie管理器720还检查是否应该将客户机消耗的cookie返回到中间装置以用于web浏览器消耗。在步骤六,中间装置将来自服务器的响应发送给客户机102的web浏览器,其中从头部移除服务器消耗的cookie并且为该头部添加了客户机消耗的cookie。
在进一步的细节中,图7A描述了客户机102通过发送第一请求给中间装置200,用去往服务器106的第一请求发起通信。图7A中的箭头1表示将第一请求http://abc.com/dir/index.asp发送给中间装置200。在一些实施例中,由服务器106、中间装置200或网络104上的任何其他装置发送第一请求。该第一请求可能包括或者不包括cookie。在一些实施例中,第一请求包括URL或HTTP请求。在进一步的实施例中,第一请求包括到存储在服务器106上的资源的路径。在进一步的实施例中,第一请求包括从在网络上通信的所有装置中唯一标识客户机102的唯一标识符。在进一步的实施例中,第一请求包括在客户机102上唯一标识会话的唯一标识符。在进一步的实施例中,第一请求包括在客户机102上唯一标识用户的唯一标识符。在一些实施例中,发送第一请求的客户机102不是cookie配置的且不发送cookie。在其他实施例中,发送第一请求的客户机使用网络或连接,该网络或连接是不安全的且不适于发送敏感信息。
如图7A的箭头2所示,中间装置200接收第一请求并将其转发到cookie管理器720。在一些实施例中,中间装置200响应于所接收的第一请求来启动或调用cookie管理器720。在其他实施例中,中间装置200响应于识别到客户机102满足调用cookie管理器720的前置条件集合,来启动或调用cookie管理器。前置条件集合可包括与客户机102、客户机102上的会话或客户机102上的用户相关的任何确定。可由中间装置200、客户机102、服务器106或网络104上的任何其他组件或装置做出确定。在一些实施例中,由策略引擎236做出确定。在一些实施例中,前置条件集合包括确定请求来自不支持cookie的客户机102。在进一步的实施例中,前置条件集合包括确定客户机102使用不安全的会话或连接。在进一步的实施例中,前置条件集合包括确定客户机使用不安全的网络。在进一步的实施例中,前置条件的集合包括确定客户机102可访问由第一请求所请求的、服务器106上的被请求的资源或服务。
中间装置200可激活或启动cookie管理器720以便根据cookie的内部映射来检查或匹配所接收的请求URL。还可以将cookie的内部映射称作映射、列表或分号分隔的cookie列表。在一些实施例中,策略引擎236的策略根据cookie的内部映射来匹配第一请求的一部分。该映射可包括任何数量的cookie,每个cookie可与多个客户机102、服务器106或设备200关联、链接或配对。在一些实施例中,cookie管理器720针对在映射中存储的域或消息的路径检查或匹配所接收的请求URL。在一些实施例中,策略引擎236的策略将与客户机102相关的信息与映射中存储的域或消息的路径进行匹配。域或消息的路径可将第一请求的URL或任何部分与用于客户机102的一个或多个cookie进行匹配。在一些实施例中,cookie管理器720或策略检测或确定第一请求的部分与关联客户机102或服务器106的一个或多个cookie或者唯一标识符匹配。在一些实施例中,cookie管理器720或策略引擎236的策略检测或确定第一请求的一部分与一个或多个名值对或者值名对之间的匹配。
Cookie管理器720可响应于所接收的请求的一部分与来自cookie的内部映射的cookie或者一个或多个cookie之间的匹配,来生成、提供或返回一个或多个名值对。可由策略引擎236的策略在所接收的请求的一部分和来自cookie的内部映射中的cookie或者一个或多个cookie之间进行匹配。在一些实例中,cookie管理器720响应于确定来自客户机102的请求或来自服务器106的对该请求的响应匹配来自映射的任何cookie或唯一标识符,来返回一个或多个名值对。在一些实施例中,cookie管理器720可将cookie的一部分与所接收的请求或对该所接收的请求的响应中的URL的一部分进行匹配。Cookie管理器720可将匹配的cookie分配给第一请求。在一些实施例中,cookie管理器720可修改第一请求使其包括匹配的cookie。在一些实施例中,如果没有做出匹配,cookie管理器720为客户机102或服务器106生成cookie。在一些实施例中,cookie管理器为第一请求的客户机102生成cookie并且将该cookie分配给该客户机102。所生成的cookie可包括该cookie的值。该cookie的值可以是在cookie的内部映射中将该cookie与客户机102唯一关联的唯一值。Cookie管理器可使用该cookie的值来关联从服务器106到客户机102的、对第一请求的到来响应。Cookie管理器可将该cookie分配给客户机102以用于第一请求以及从客户机102到服务器106的将来的任何其他请求。Cookie管理器720或中间装置200的任何其他部分可重写、修改、格式化或改变所接收的请求,例如使得第一请求包括匹配或生成的cookie或者满足由服务器106接收的请求的任何格式或内容要求。
仍参考图7A,箭头3表示设备200将由cookie管理器720处理的第一请求发送到服务器106的步骤。可修改所发送的第一请求。在一些实施例中,由cookie管理器720或设备200修改该请求。中间装置200发送的请求可包括来自cookie管理器720的一个或多个cookie。在一些实施例中,修改的请求包括cookie的值,cookie管理器720可使用该值将请求与客户机102相关联。可将已经被设备200或cookie管理器720修改或改变的请求称作修改的请求。服务器106可以接收修改的请求,该修改的请求采用与要由服务器106处理的请求的偏好或配置一致的格式。服务器106可接收修改的请求并且确定所接收的修改的请求是有效请求。
箭头4示出服务器106发送或发出对修改的请求的响应的步骤。发出的响应可包括客户机102请求的任何信息、服务或资源。在一些实施例中,发出的响应包括网页。在其他实施例中,发出的响应包括文件。在进一步的实施例中,发出的响应包括应用或计算机软件程序。在进一步的实施例中,发出的响应包括认证或授权消息或者用于建立与客户机102的会话的消息。来自服务器106的响应可包括cookie的值,该cookie的值可用于唯一标识该响应去往的客户机102。来自服务器的响应可包括头部和内容主体,其中任何一个可包括:一个或多个cookie、一个或多个cookie限定、一个或多个cookie的组件或部分、以及与cookie相关或关联的值或信息。在一些实施例中,由“Set-Cookie”或“Set-Cookie2”HTTP头部来设置cookie限定。“Set-Cookie”或“Set-Cookie2”HTTP头部在本文中可称作Set-Cookie。
箭头5示出中间装置200与cookie管理器720通信并且修改对第一请求的响应的步骤。在多个实施例中,中间装置200向cookie管理器720发送来自服务器106的响应中的一个或多个cookie值或者唯一客户机标识符。在多个实施例中,中间装置200向cookie管理器720发送来自服务器的响应中的一个或多个cookie。中间装置200可激活或启动cookie管理器720以便根据映射或cookie列表来检查或匹配来自响应的URL。中间装置200可修改或编辑服务器的响应使其包括与该响应的一部分相匹配的cookie。在一些实施例中,cookie管理器720可检查或匹配响应的URL、头部或任何其他部分与映射中存储的域、消息路径、cookie或cookie的一部分。在该实例中,如果来自响应的一部分的任何cookie或唯一标识符与关联于客户机102的所存储的信息相匹配,则中间装置200可按要求修改或编辑该响应使得该响应包括客户机102的cookie或与客户机102关联的任何其他信息。在cookie管理器720检测到请求或响应中的URL与来自内部映射或cookie列表的一个或多个cookie之间存在匹配的情况下,可向中间装置200返回一个或多个名值对或者值名对。在一些实施例中,策略引擎236的策略将响应的一部分与一个或多个cookie或唯一标识符进行匹配。有时,cookie管理器720响应于在响应的一部分和cookie或唯一标识符之间做出的匹配来返回名值对数组。在一些实施例中,cookie管理器720可将cookie的一部分匹配到来自所接收的请求的URL的一部分。在多个实施例中,cookie管理器720将cookie的一部分匹配到所接收的请求的任何部分,如请求的URL、主体或头部。在一些实施例中,如果cookie管理器720没有将所接收的、对请求的响应的一部分匹配到任何cookie或任何唯一标识符,则cookie管理器720生成新的cookie或新的唯一标识符或者生成这两者,并且将它/它们分配给客户机102或服务器106。Cookie管理器720可使用新生成的cookie修改服务器106对第一请求的响应。客户机或服务器的这种新的cookie和唯一标识符可用于同一客户机或服务器106的任何将来的请求或响应。在一些实施例中,cookie管理器720确定客户机102的请求或服务器106的响应存在新的或更新的cookie值,并且相应地,进一步更新映射或数据库。此外,cookie管理器720还可以判断客户机102消耗的cookie是否应该返回给中间装置200以用于web浏览器消耗。
仍参考图7A,箭头6示出中间装置200经由下游响应向客户机102发送或转发修改的响应的步骤。在一些实例中,可将下游响应称作经由中间装置200从服务器106向客户机102的传输。类似地,上游通信可以是经由中间装置200从客户机102向服务器106的任何通信。在一些实施例中,修改的响应不包括任何cookie。在进一步实施例中,修改的响应包括唯一客户机标识符,cookie管理器720使用该唯一客户机标识符来将客户机102关联的一个或多个cookie关联到客户机102。在进一步的实施例中,修改的响应包括客户机102期望或接受的任何格式。从中间装置200到客户机102的修改的响应可包括从响应中移除的服务器消耗的cookie。在一些实施例中,所转发的修改的响应可包括重新添加到响应的头部或任何其他部分的客户机消耗的cookie。在多个实施例中,从中间装置200到客户机102的修改的响应包括来自服务器106的响应,该响应在cookie管理器720中被修改为排除与客户机102关联的cookie。
Cookie管理,诸如通过cookie管理器720的cookie管理,可使由客户机102使用且由服务器106提供的服务、资源或应用,在相同的cookie域命名空间中运行或提供。中间装置200可提供客户机侧cookie管理或服务器侧cookie管理来提高客户机102和服务器106之间传输的cookie的安全性。Cookie管理(例如客户机侧cookie管理)可消除HTTP协议限制的约束,例如所允许的来自每个客户机的单个来源的最大cookie数量。例如,在一个对于一个客户机仅允许每个会话20个cookie的***中,中间装置200的cookie管理器720的cookie管理能够通过重复使用与客户机关联的且存储在cookie管理器720中的cookie来使客户机消除这样的限制。在该示例中,即使在每会话20个cookie的限制会影响提供给客户机的服务的情况下,使用客户机侧cookie管理也可使客户机102能够与服务器106持续通信。在这种情况下,在客户机与服务器之间拦截和转发通信的中间装置200可管理、修改、重写或编辑请求或响应的一部分,并且使用与客户机或服务器关联的cookie,因而即使在发送多于20个cookie后通信也能进行。
Cookie管理器720或中间装置200执行的无客户端cookie管理可涉及在下游cookie头部上重写cookie路径,该下游cookie头部前往客户机102或服务器106。在一些实施例中,cookie管理器720或中间装置200转发来自客户机102或服务器106的响应或请求到预定的目的地,而不用改变或修改它们。在其他实施例中,cookie管理器720执行的无客户端cookie管理可涉及中间装置200的状态管理。中间装置可调用Cookie管理器720关于服务器cookie检查上游请求,该服务器cookie应被注入指向服务器106的流或通信。来自下游通信、要被修改为剥离cookie的响应可保留在cookie管理器中。
现参考图7B,描述用于无客户端cookie管理的方法的步骤的实施例的序列图。简要而言,图7B示出了客户机102的浏览器经由设备200和cookie管理器720与服务器106的web应用通信。客户机102发送HTTP请求到设备200(这里也称作中间装置200)。中间装置200处理该请求并且使用cookie管理器720来检查该cookie。Cookie管理器720向中间装置200返回与该请求关联的cookie。中间装置200修改HTTP请求的头部以使其包括该cookie并且将修改的HTTP请求发送到服务器106。服务器106返回对该HTTP请求的HTTP响应。中间装置200发送来自HTTP响应中的任何cookie到cookie管理器720,该任何cookie被添加到映射,该映射用于将客户机102的所有cookie与客户机102相关联。中间装置200将该响应修改为从HTTP响应中移除cookie,并且使用cookie管理器720向该HTTP响应进一步添加与客户机102相关的任何cookie。中间装置200将修改的HTTP响应发送给客户机102。
进一步概括,图7B示出了客户机102发送请求到中间装置200(这里也称作代理)。请求可以是访问由服务器106提供的任何资源或任何服务的任何请求。在一些实施例中,请求是访问网页或网站相关的服务的HTTP请求。在其他实施例中,请求是建立与服务器106的连接的请求。在进一步的实施例中,请求是建立与服务器106的会话的请求。在进一步的实施例中,请求是使用由服务器106提供的应用的请求。在进一步的实施例中,请求是访问流文件(如音频或视频文件)的请求。在进一步的实施例中,访问是对安全文档的访问。请求可包括多个请求。
中间装置200可处理所接收的请求并且使用cookie管理器720来检查cookie。中间装置可处理请求并且建立客户机102包括的cookie(如果有的话)。处理请求还可以包括建立唯一客户机标识符来标识与客户机102的任何进一步的通信。中间装置200可处理该请求并将该请求转发到cookie管理器720。在一些实施例中,中间装置200将请求的一部分转发到cookie管理器器720。在一些实施例中,cookie管理器720使用一个或多个映射来将诸如客户机唯一标识符的有关客户机102的信息与用于由客户机102传递到服务器106的cookie进行联系或关联。类似地,cookie管理器720的映射可用于关联任何客户机102侧cookie与服务器106侧cookie,其中客户机102使用该服务器106侧cookie来与服务器106通信。在一些实施例中,将来自请求的唯一标识符与映射中的名值对或cookie相匹配。Cookie可经由cookie管理器720的映射与客户机102相关联。如果cookie管理器720的映射中还不存在这样的cookie,Cookie管理器720可以为客户机102创建新的cookie。
在一些实施例中,当中间装置200处理每个请求或响应时,中间装置200检查正处理的传输的URL是否是服务器侧cookie管理可行的。中间装置200可调用与cookie管理器相关的函数,如ProcessRequest()来进行请求的处理。Cookie管理器720可以进一步检查内部映射以用于帮助判断是否存在需添加到上游请求的任何到来的cookie,该内部映射可以是cookie管理器映射或cookie管理器列表。Cookie管理器720还可以将在会话中第一次遇到的所有cookie记录到映射中用于将来的请求。Cookie管理器还可以确保***没有向寄载的web应用(例如,NSC_AAAC)发送某些cookie(例如与设备200相关的cookie)。在一些实施例中,诸如ProcessRequest()函数的函数可以内部调用另一函数,例如FilterCookies()。在一些实施例中,FilterCookies()可调用ProcessRequest()。在一些实施例中,可将值的两个集合称作Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies。cookie管理器720可使用Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies来创建分号分隔的列表或内部cookie管理器映射(本文中也称作cookie管理器列表或映射)。可在cookie管理的决策作出过程期间使用该映射。Cookie管理器720可将cookie管理器720中的cookie管理器映射的条目序列化到两个会话值,即Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies中。cookie管理器720还可以使用这两个值来持续该会话或将客户机120或服务器106关联到该会话以用于将来的任何传输。如果cookie管理器720将客户机102的请求匹配到映射中的cookie或多个cookie,则cookie管理器720可将该cookie或多个cookie发送给设备200。
中间装置200可修改HTTP请求的头部并且将修改的HTTP请求发送到服务器106。在一些实施例中,cookie管理器720将该请求修改为包括与客户机102关联的cookie或多个cookie。在一些实施例中,cookie管理器720修改请求的一部分,例如URL或头部,以使其包括标识cookie的值或一组值或字符。在一些实施例中,cookie管理器720将请求修改为包括或添加与客户机102关联的cookie的一部分。在其他实施例中,cookie管理器720将请求修改为包括或添加与客户机102关联的唯一标识符。在进一步的实施例中,cookie管理器720修改请求,使得从客户机的请求中排除或者移除cookie或唯一标识符。在一些实施例中,中间装置200的任何组件将请求修改为包括由cookie管理器720提供的一个或多个cookie。
中间装置200可对请求执行任何次数的修改。在一些实施例中,中间装置200用一个或多个cookie的一个或多个部分重写请求的一部分。在其他实施例中,中间装置200向请求添加一个或多个cookie的一部分、或者一个或多个cookie的多个部分。在进一步的实施例中,中间装置修改请求中的cookie。中间装置200可改变cookie中一个或多个值或字符,或者以其他方式将cookie修改为服务器106可接受。在进一步的实施例中,中间装置200加密请求的一部分。在进一步的实施例中,中间装置200将请求修改为适于服务器106的任何配置相关的偏好或请求。可改变修改的请求使其能由服务器106处理。中间装置200可将修改的请求发送到服务器106。
服务器106可处理修改的请求,并且作为响应向中间装置200发送对该请求的响应。在一些实施例中,对该请求的响应包括HTTP传输。在进一步的实施例中,该响应包括网页。在进一步的实施例中,该响应包括客户机102请求的文件。在进一步的实施例中,该响应包括认证消息以在服务器106上认证客户机102。在进一步的实施例中,该响应包括用于开始或打开客户机102和服务器106之间的会话或连接的传输信息。在进一步的实施例中,响应包括可执行文件、程序、功能、数据、流文件或服务器106提供的任何其他资源或服务。在一些实施例中,服务器106向中间装置200发送对请求的多个响应。
中间装置200可将来自HTTP响应中的任何cookie发送到cookie管理器720,以将其添加到cookie管理器720的映射。添加到cookie管理器的映射的任何新的cookie可用于客户机102和服务器106之间的将来的传输。在一些实施例中,中间装置将该回复修改为从该回复中排除cookie。在其他实施例中,中间装置从该回复中取出cookie并且将该cookie发送给cookie管理器720。Cookie管理器720可比较所接收的cookie和已经存储在映射中的cookie。在一些实施例中,cookie管理器720响应于确定所接收的cookie之前没有被存储在与客户机102或服务器106相关的映射中,而存储该所接收的cookie。存储的cookie可随后用于同一客户机102的通信。在一些实施例中,到cookie管理器720的传输包括与客户机102、服务器106或这两者相关的任意数量的cookie或cookie的一部分或者唯一客户机标识符。
中间装置200修改该响应以便从HTTP响应中移除cookie。如果这样的cookie存在或者是必需的,则中间装置可进一步使用cookie管理器720将任何与客户机102相关的cookie添加到该HTTP响应。在一些实施例中,中间装置修改、编辑或改变响应从而排除任何服务器106的cookie。在进一步的实施例中,中间装置200修改响应从而将服务器106的cookie替换为客户机102的cookie。在进一步的实施例中,中间装置200修改响应以满足客户机102的格式、配置或偏好,使得客户机102可接受或使用修改的响应。在处理每个响应或请求时,中间装置200可判断是否启用服务器侧cookie管理或客户机侧cookie管理。在一些实施例中,当启用服务器侧cookie管理时,中间装置200可访问函数,诸如cookie管理器720的函数ProcessResponse()。在多个实施例中,当启用客户机侧cookie管理时,中间装置200可访问cookie管理器720的函数ProcessResponse()或另一个函数,该另一个函数执行cookie或唯一标识符管理或者内部cookie映射管理。Cookie管理器720可针对服务器或客户机消耗的cookie检查所接收的响应或请求中的cookie。在一些实施例中,cookie管理器将从请求或响应接收的cookie与在映射中存储或列出的cookie进行匹配。Cookie管理器720还可以添加名值对,用于在之前没有将新的cookie或客户机标识符登记、列出或分配到映射中的情况下,将该新的cookie或新的客户机标识符登记或分配到映射中。Cookie管理器720可因此用新的客户机标识符或新的cookie填充映射,该新的客户机标识符或新的cookie可用于与关联该cookie或唯一标识符的客户机和服务器的将来的通信中。在多个实施例中,cookie或Set-Cookie头部当返回中间装置200时可从响应中移除。通过阻止将服务器消耗的cookie发送给客户机,***可为给定域将cookie数量扩展到超过预定限制的数量。在将cookie数量限制为最多20个的***中,该特征可有助于使客户机102能够一直使用服务器106上的服务而不会达到最多20个cookie的限制。该实施还可以防止重要的cookie数据在公司防火墙外的网络空间中被访问或读取以及防止向外发送敏感信息。
中间装置200将修改的HTTP响应发送到客户机102。在一些实施例中,修改的响应包括客户机102的cookie。在其他实施例中,修改的响应包括如从服务器106发送到中间装置200的原始请求。在进一步的实施例中,修改的响应包括响应的一部分,该部分被重新格式化为与客户机102或者与用于处理修改的响应的客户机120的应用或功能的配置或标准一致。中间装置200可响应于所接收的修改的响应向中间装置200发送去往服务器106的另一个请求。
中间装置200可向穿过中间装置200的任何粒度级别的网络流量的部分或子集应用任何访问配置文件、策略、规则和动作。基于配置,粒度级别的范围可以从精细到粗糙。可将本文描述的访问配置文件、规则和策略的逻辑、标准或条件限定或指定为应用于经由中间装置200发送的网络流量或传输的任何期望子集或部分。在一个方面,粒度级别关系到可应用配置的网络流量的一部分的程度、尺寸、细度或粗度。在宽的或粗粒度的配置中,访问配置文件、规则或策略可适于所有网络流量。在细粒度配置中,访问配置文件或策略可适于特定用户的网络流量的指定子集,例如特定用户的特定应用的流量或流量的一部分。
在一些粒度配置中,访问配置文件、策略或规则适于发送请求到服务器的任何客户机102。可将该策略、规则或访问配置文件限定为处理或应用于任何客户机102,并且该策略、规则或访问配置文件可基于客户机102的任何配置或与客户机102相关的信息(例如客户机102的请求的一部分)。类似地,可将策略、规则或访问配置文件限定为处理或应用于任何服务器106,并且该策略、规则或访问配置文件可基于客户机106的任何配置或与服务器106相关的信息,例如服务器106的响应的一部分。在一些粒度配置中,将访问配置文件、策略或规则限定为适于客户机102正用来经由设备200连接到服务器106的特定会话或连接。在进一步的实施例中,可将访问配置文件、策略或规则限定为适于经由SSL VPN会话或连接而连接的任何客户机102。
在进一步的实施例中,可将访问配置文件、策略或规则限定为适于经由无客户端SSL VPN会话或连接而连接的任何客户机102。在进一步的实施例中,可将访问配置文件、策略或规则限定为适于经由基于客户机的SSLVPN会话或连接而连接的任何客户机102。在进一步的实施例中,可将访问配置文件、策略或规则限定为适于将请求发送到特定服务器106的任何客户机102或客户机会话。在进一步的实施例中,可将访问配置文件、策略或规则限定为适于请求服务器上的特定应用或资源的任何客户机102或客户机会话。在进一步的实施例中,基于cookie配置(例如是否启用或禁用cookie)将访问配置文件、策略或规则限定为适于任何客户机102或客户机会话。在进一步的实施例中,将访问配置文件、策略或规则限定为适于发送包括特定URL或特定URL的一部分的请求的任何客户机102或客户机会话。在进一步的实施例中,基于由客户机102发送的请求的一部分与访问配置文件、策略或规则的语句或键之间的匹配,将访问配置文件、策略或规则限定为适于任何客户机102或客户机会话。在一些实施例中,基于与访问服务器106的客户机102相关的信息,将访问配置文件、策略或规则限定为适于任何服务器106或服务器会话。该信息可包括客户机102的请求的一部分或特征、客户机102的设置或配置、或者与客户机102相关的任何其他信息。在一些实施例中,基于服务器106的配置或服务器106正发送给客户机102的内容的特性,将访问配置文件、策略或规则限定为适于任何服务器106或服务器会话。
现参考图7C,示出了cookie代理数据流控制的实施例。简要而言,图7C描述了客户机102经由中间装置200与服务器106通信,其中中间装置200管理客户机102和服务器106之间的cookie流。客户机102经由设备(也称作中间装置200)将请求发送到服务器106。该请求包括URL,如“GET/index.html HTTP/1.1”。中间装置200拦截由客户机102发送的请求并且将请求转发到服务器106。服务器106响应于该请求,发出包含cookie的响应,例如“HTTP/1.1200OK\nSet-Cookie:name=value”。中间装置200剥离且存储该cookie,并且将该cookie用唯一标识客户机102的客户机ID代替。唯一客户机ID可以是合并的cookie并且可与中间装置200中的cookie关联以用于将来的传输。中间装置200向客户机102转发修改的响应,该修改的响应包括唯一客户机ID。修改的服务器的响应可包括信息,例如“HTTP/1.1200OK\nSet-cookie:NSC_AAAC=Unique clientID”。客户机102发送使用唯一客户机ID的第二请求,例如“GET/foo.htmlHTTP/1.1\nCookie:NSC_AAAC=Unique client ID”。中间装置200接收该第二请求并且使用唯一客户机ID检索基于唯一客户机ID存储的cookie。中间装置200修改该请求并且将先前存储的cookie***该请求。可将修改的第二请求格式化为包括用于先前传输的相同或类似的cookie,例如“GET/foo.html HTTP/1.1\nSet-Cookie:name=value”。中间装置200将修改的第二请求发送给服务器106。
进一步参考图7C,客户机102可通过向中间装置200发送请求来发起与服务器106的通信。在一些实施例中,请求可以是HTTP请求,例如“GET/index.html HTTP/1.1”。在一些实施例中,客户机102尝试与服务器106的第一次通信。在进一步的实施例中,客户机102将去往服务器106的任何HTTP请求发送到中间装置200。客户机102可将访问服务器106上的资源或服务的任何请求发送到中间装置200。
中间装置200可将请求转发给服务器106。在一些实施例中,中间装置200修改该请求并且将修改的请求转发给服务器106。在其他实施例中,中间装置200不修改请求。在进一步的实施例中,中间装置200将请求转发到服务器106而不修改请求的任何部分。在一些实施例中,中间装置将例如“GET/index.html HTTP/1.1”的HTTP请求转发到中间装置200。
服务器106可发出对于该请求的、可能包括cookie的响应。在一些实施例中,响应可以是例如“HTTP/1.1200OK\nSet-Cookie:name=value”。Cookie可以在响应的头部中或在响应的任何其他部分中。在一些实施例中,cookie可包括在响应的URL中。Cookie可以是任何类型和形式的cookie并且可包括在响应中的任何位置。
中间装置200可从响应中剥离cookie且存储该cookie,并且将该cookie用唯一标识客户机102的客户机ID来代替。一旦中间装置200接收到服务器106的响应,中间装置可为客户机创建给定域的cookie罐。该cookie罐可包括或存储关于给定域和客户机(如客户机102)的cookie的任何集合。在一些实施例中,cookie罐可以是包含任意数量的cookie或包含任意数量的由cookie组成的信息的文件、列表、数据库、数组、数据结构或文件夹。在一些实施例中,中间装置200可从由服务器106发出的响应的头部中剥离“Set-Cookie”头部,并且可将该Set-Cookie头部存储到cookie罐中。中间装置200还可以生成唯一cookie代理会话cookie。该cookie代理会话cookie可包括客户机102可从服务器106所发送的cookie中接收的任何相关信息,而不用实际上接收该cookie。因此,该cookie代理会话cookie可以以客户机102或客户机102的web浏览器可接受的方式来将来自服务器106所发送的cookie中的所有相关信息传输给客户机102。中间装置200可在cookie罐中***cookie代理会话cookie或将cookie代理会话cookie与服务器106所发送的相关和对应cookie相关联。在多个实施例中,中间装置200可将cookie代理响应cookie***要从中间装置200发送到客户机102的消息的响应头部中。在一些实施例中,中间装置200可使域和路径保持不变,而在其他实施例中,中间装置可改变域或路径或者改变这两者。在一些实施例中,中间装置200将唯一客户机ID***从中间装置发送到客户机102的通信的任何部分中。
中间装置200可将修改的响应转发到客户机102。修改的响应可包括唯一客户机标识符,例如唯一客户机ID。在一些实施例中,修改的响应包括客户机102的cookie。在进一步的实施例中,修改的响应被修改为与客户机102的配置一致。在一些实施例中,修改的响应包括没有任何修改的、服务器106的原始响应。修改的服务器响应可包括采用任何HTTP格式的信息,例如,“HTTP/1.1200OK\nSet-Cookie:NSC_AAAC=Unique clientID”。
客户机102发送使用唯一客户机ID的第二请求。该第二请求可与第一请求相同、类似或者大体类似。在一些实施例中,第二请求包括与第一请求相同的形式。在进一步的实施例中,由用于发送第一请求的相同应用发送第二请求。在一些实施例中,第二请求是HTTP请求,例如“GET/foo.html HTTP/1.1\nCookie:NSC_AAAC=Unique client ID”。第二请求可包括中间装置200发布的唯一客户机ID或唯一客户机ID的一部分。
中间装置200可将第二请求修改为包括与服务器106关联的cookie。中间装置200可使用与服务器106的cookie相关联地存储的唯一客户机ID搜索服务器106的cookie。中间装置200可修改第二请求并且将先前存储的cookie***该第二请求中。中间装置200可修改请求并且将先前存储的cookie***该请求中。在一些实施例中,中间装置200将该请求修改为在第二请求中包括先前存储的cookie。中间装置可检查cookie代理会话cookie是否存在。在cookie代理会话cookie存在的情况下,中间装置200基于该cookie代理会话cookie搜索cookie罐。中间装置200可使用通过使用cookie代理会话cookie检索的cookie,来寻找目的域和路径。中间装置200还可以在请求代码路径中***一个或多个cookie和/或剥离cookie代理会话cookie。
在一些实施例中,代理200可保留从服务器侧PCB到cookie罐的参考指针以标记响应路径。在进一步的实施例中,代理200保留从会话信息到cookie的参考指针以标记响应路径。在一些实施例中,如果已经为涉及特定客户机102和服务器106的特定会话创建了cookie罐,则中间装置200可以不在同一会话中的第二组通信期间创建cookie罐。相反,中间装置200可对同一会话使用先前使用的相同的cookie罐。在一些实施例中,中间装置200可能已经具有针对为客户机102和服务器106创建的cookie罐的引用。在多个实施例中,可通过协议控制块或PCB、控制器、以及软件、数据库、数组或包括值的任何集合的结构的任何片段来实施对cookie罐的引用。在某些实施例中,如果客户机禁用cookie,那么来自客户机的随后的请求都不会包含任何cookie代理会话cookie。在一些实施例中,如果客户机禁用cookie,则来自该客户机的随后的请求可能包含cookie代理会话cookie。在一些实施例中,从服务器106到客户机102的随后的响应可不再参考使用该cookie罐的客户机102或服务器106来创建cookie罐。在进一步的实施例中,从服务器106到客户机102的随后的响应可参考使用该cookie罐的客户机102或服务器106来创建cookie罐。
在给定会话中客户机102与服务器106通信多于一次的多个实施例中,中间装置200在第一次通信后可能不再发送cookie代理会话cookie。中间装置可使用唯一客户机标识方法来唯一地标识客户机102或服务器106。在一些实施例中,唯一客户机标识方法(也称作唯一客户机ID)可用于唯一地标识与服务器106通信的客户机102或与客户机102通信的服务器106。在多个实施例中,唯一客户机ID可用于唯一地标识经由中间装置200向服务器106传递或者发送消息或请求的客户机102。在多个实施例中,唯一客户机ID可用于唯一地标识经由中间装置200向服务器106传递或者发送消息或请求的服务器106。在一些实施例中,中间装置200使用唯一客户机ID检测和判断是否代理由客户机102发送的通信。
在多个实施例中,中间装置200可执行cookie的清理、确定不必要的cookie或终止不必要的cookie。在多个实施例中,中间装置200可使用从客户及102的PCB到为客户机102创建的cookie罐的参考指针。可将修改的第二请求格式化为包括与在先前的传输使用的cookie相同或类似的cookie。在一些实施例中,修改的第二请求是HTTP请求,例如修改的第二HTTP请求,如“GET/foo.html HTTP/1.1\nSet-Cookie:name=value”。
中间装置200可将修改的第二请求发送到服务器106。在一些实施例中,中间装置200将任意数量的修改的请求发送到服务器106。修改的请求可以是任何类型、形式和格式。因此,中间装置200可利用cookie罐来回发送任意数量的来自客户机102的请求和来自服务器106的响应。
Cookie代理可以是使用配置设置来控制、管理或重组cookie或者cookie的传输的任何模块。在一些实施例中,cookie代理可以是cookie管理器720。在多个实施例中,cookie代理可以是cookie管理器720的一部分或子组件。在多个实施例中,cookie代理可包括cookie管理器720。在某些实施例中,cookie代理可与cookie管理器720交换使用并且可包括执行cookie管理器720的任何或者全部功能和手段。在一些实施例中,可将cookie管理器720称作cookie代理。在多个实施例中,cookie代理可独立于中间装置200或cookie管理器720。在某些实施例中,cookie代理可以是能够独立于中间装置200或cookie管理器720工作的或者与中间装置200或cookie管理器720一起工作的软件程序或应用。
Cookie代理可包括基于策略或策略的动作的配置设置。在多个实施例中,用户或管理员可配置cookie代理以确定将哪些cookie存储到cookie罐中,以及哪些cookie不存储到cookie罐中。在多个实施例中,由于cookie1、cookie2和cookie3中的任何一个可能是或可能不是客户机消耗的cookie,用户或管理员可为任何特定域(例如“www.foo.com”)决定中间装置200是否应该代理cookie1且允许cookie2、cookie3流过。
在一些实施例中,cookie代理配置可利用命令行接口(CLI)语法,例如:
add/delete/set/unset/show cookieproxy action<action-name>
<ALL[-EXCEPT<cookie-name>,[<cookie-name>,...]]|
<cookie-name>,[<cookie-name>,...]>
此外,cookie代理配置还可以包括其他语法,例如:
add/delete/set/unset/show cookieproxy policy<name><rule><jarname>
[-CookieProxyAction<action-name>][<undefAction>]
在多个实施例中,如果用户或管理员没有指定动作,则cookie代理的默认行为可以是代理所有cookie,或不代理cookie,或者代理由与cookie代理相关的策略集合确定的cookie的一部分。
绑定操作可将配置(如策略)绑定、分组、配合或关联到实体(如用户或资源)。绑定动作可将配置放入要应用于所分配的实体的活动状态中。在一些实施例中,绑定操作可将一个实体与另一个实体相关联或者对实体应用模块的功能。绑定操作可以是由cookie代理或由cookie代理的策略执行的操作。在一些实施例中,通过配置命令可将cookie代理绑定到虚拟服务器275。在多个实施例中,可将cookie代理策略绑定到负载平衡服务器、GSLB服务器或VPN服务器。Cookie代理或中间装置200使用的策略规则可以基于任何策略架构规则语言(PIRL)。在一些实施例中,可在响应期间或者在中间装置或cookie代理响应请求时或在这两个期间,评估cookie代理或中间装置200使用的策略。在多个实施例中,可以在响应期间评估或实施cookie代理或中间装置200使用的策略。
在一些实施例中,cookie代理方法可使用分配给每个客户机的唯一客户机ID。中间装置200可使用该唯一客户机id,将与特定客户机102关联的cookie罐映射到客户机102。在多个实施例中,客户机(又称作客户机102)可以不随事务(又称作通信或请求)发送任何唯一客户机ID。在多个实施例中,可将cookie代理会话cookie用作默认客户机标识机制或唯一客户机ID。在一些实施例中,客户机标识可基于客户机的互联网协议地址、请求或HTTP通信的片段、客户机102或服务器106发送的通信的唯一组件、会话相关的唯一特性、SSL VPN会话cookie或SSL VPN会话主体。在多个实施例中,客户机标识可以是可配置的。在多个实施例中,可使用客户机102的互联网协议地址(也称作IP地址)来实施客户机标识。
可在等待确定各种参数(诸如cookie罐的大小、或例如cookie罐的空闲计时的与cookie罐相关的计时)期间完成Cookie罐清理或cookie罐清除。在一些实施例中,cookie罐清理方法可使用空闲时间超时或存储阈值。在多个实施例中,可基于与cookie自身相关的配置或会话超时来实施cookie罐清理,其中会话超时可导致属于该会话的所有cookie在超时后被清理。在一些实施例中,cookie罐清理方法可基于自从最后一次使用或访问特定cookie或cookie罐以来过去的时间量来确定清理哪些cookie。
在一些实施例中,CLI语法可用于罐和客户机标识,例如:
add/delete/set/unset/show cookieproxy jar<jar-name>
-clientidentification<default|request based PIXL expression>
-maxMem<Memory limit>
在多个实施例中,如果不支持cookie,则默认可使用由cookie代理模块***头部或URL中的会话cookie。在多个实施例中,可使用策略的规则来寻找任何唯一头部域,例如用于SSL VPN的cookie或用于LB负载平衡的会话cookie。
在多个实施例中,当任何cookie罐达到最大存储限制时,最长时间段不活跃的会话可能超时且可能需要清理属于那个会话的cookie。在多个实施例中,时间戳可与每个客户机102、服务器106、客户机/域组合或者每个客户机-服务器会话或任何会话关联以实现基于URL的清理。
可由cookie代理或中间装置200利用不同策略或动作的运行时间聚合。在多个实施例中,中间装置200或cookie代理可使用策略或动作的运行时间聚合以减少配置费用或者简化配置修改。在多个实施例中,可将中间装置200或cookie代理配置为在第一个匹配的策略处停止(stop)。在一些实施例中,管理员或用户需要在配置期间进行聚合并且创建合适的策略和动作。在某些实施例中,通过在策略中或策略列表中搜索匹配并且一旦遇到匹配就在该策略处停止,部分控制cookie代理动作的运行时行为。在一些实施例中,cookie代理可在第一策略处停止,以减少运行时聚合,该第一策略限定或包含要代理的一组cookie或与要代理的一组cookie相关的信息。
可将cookie罐架构用于cookie库,然而在一些实施例中,可基于域或路径使用额外的API检索cookie。在一些实施例中,可使用基于哈希的搜索机制来检索cookie代理会话。这种方法可以与用于与中间装置200相关的其他应用中的SSL VPN会话哈希机制类似。在多个实施例中,哈希函数的键可以取决于客户机标识机制或客户机标识协议。在多个实施例中,可使用用于不同客户机标识机制的不同哈希函数。
Cookie库管理可取决于性能或资源。在一些实施例中,通过将每个域每个客户机关联cookie罐来管理cookie库。在多个实施例中,cookie名称的集合包括在每个cookie罐中重复存储的cookie名称。在多个实施例中,所使用的cookie名称的集合随着cookie罐的不同而不同,而在其他实施例中,在多个cookie罐之间使用的cookie名称的集合包括一些相同或类似的名称。在一些实施例中,组织cookie罐以使得cookie罐可与特定客户机以及与处理传输的特定虚拟服务器相关联。在多个实施例中,组织cookie罐以使得cookie罐与客户机、虚拟服务器以及域相关联。
在一些实施例中,cookie罐可以不存储与罐中另一cookie名称相同的cookie。在某些实施例中,cookie罐可包括具有与方法中的cookie名称关联的值的cookie名称,其中该方法与用于头部(例如HTTP头部)的方法类似。
Cookie代理可包括多个功能。在一些实施例中,cookie代理可使用cookie代理或本文描述的任意数量的实施例来判断浏览器是否可以处理或接受cookie。在多个实施例中,cookie代理可判断由客户机102或服务器106发送的请求是否匹配某个标准,从而判断来自客户机或服务器的浏览器是否接受或处理cookie。在一些实施例中,如果客户机102或服务器106发送的请求匹配能够接受或处理cookie的标准,则中间装置200可将重定向消息发送给客户机,例如:
http://incoming_host/incoming_url?new_param_added=secure_client_idalong with a secure_client_id set-cookie.
在一些实施例中,如果客户机返回请求URL,如“http://incoming_host/incoming_url?new_param_added=secure_client_id”,则中间装置可验证唯一客户机ID是否与cookie值关联。如果中间装置检测到匹配,则该中间装置可剥离其已经添加的参数并且可处理原始请求。此外,中间装置还可以标记cookie代理会话以使用“cookie代理会话cookie”。在唯一客户机ID不与cookie值匹配的情况下,中间装置可利用例如主体重写的不同方法来用于进行会话跟踪。在该方法中,响应主体可被重写为在每个HTTP链接中包括会话信息。
在一些实施例中,cookie代理或中间装置200还可以包括cookie代理cookie罐(也称作cookie代理会话cookie罐)。cookie代理cookie罐可包括任何数量的cookie代理cookie(也称作cookie代理会话cookie)。在多个实施例中,可以采用与cookie罐类似的方式来组织或实施cookie代理cookie罐,该cookie代理cookie罐包括cookie罐的所有功能。
在某些实施例中,cookie代理cookie罐能够与高可用性应用和技术(也称作HA技术)一起工作。在一些实施例中,中间装置包括cookie和唯一客户机ID的集合,并且可将cookie和客户机ID传递到网络上的其他设备。在多个实施例中,包括与客户机102或服务器106关联的cookie和唯一客户机ID的第一中间装置200可与第二中间装置200或多个设备200共享与该cookie或唯一客户机ID相关的信息。在第一中间装置与第二设备共享与cookie或唯一客户机ID相关的信息的情况下,第二中间装置还能够使用该cookie和唯一客户机ID来实施客户机和服务器之间的通信。
Cookie代理、cookie管理器720或中间装置200可包括在脚本或软件中实施的任何数量的软件应用或功能,以便建立和管理cookie。在一些实施例中,cookie代理、cookie管理器720或中间装置200可包括用于管理cookie罐的软件代码,例如:
cookie管理器或代理可响应于策略引擎的一个或多个策略(包括该策略的任何规则、条件或动作)来确定何时、如何管理cookie和/或存储cookie到cookie罐且确定管理和/或存储哪些cookie,以及确定这里描述的任何操作。任何策略和对应的cookie操作可基于会话。在多个实施例中,策略引擎236提供策略或规则,通过该策略或规则可确定关于cookie管理的动作。在一些实施例中,策略引擎236可包括策略或规则的列表,提供用于中间装置200或cookie管理器720来确定要实施的、关于cookie或唯一客户机ID的动作的方法。这样,通过配置和策略,中间装置可提供对cookie管理(包括对无客户端SSL VPN访问)的细粒度的控制。
在一个示例中,服务器可向多个客户机提供经由设备200访问不同应用的访问权限。这样的两个应用可以是应用1和应用2。两个应用都可以使用ASP.NETSESSIONID,该ASP.NETSESSIONID可以是不在客户机侧使用的或不写入客户机侧的服务器消耗的cookie。除了ASP.NETSESSIONID以外,应用1还可以使用cookie AppClientInfo,其中可由访问或使用应用1的第一客户机读取和写入AppClientInfo,但访问同一个应用的第二客户机不能读取和写入AppClientInfo。
在该实施例中,处理这种情况或类似情况的设备200的配置可以是:
由项:/app1标识在访问web应用1和应用2时生成的URL。当存在其URL路径以“/app1/”开始的所接收的HTTP请求时,上述示例中描述的策略可将实例或情况评估为真(true)。该HTTP请求的一个示例是“GET/app1/display.asp”。因而,将代理关于该请求(应用1、或app1)的、除了名称为AppClientInfocookie的cookie的所有cookie。
在进一步的示例中,应用2使用可用于客户机侧或由客户机使用的App2ClientCookie1和App2ClientCookie2,其使用的剩余的其他cookie不需要出现。该配置可以是:
在该配置中,应用2(称作App2)可寄载在主机名称为app2的web服务器上,且因此为应用2(App2)代理除了App2ClientCookie1和App2ClientCookie2以外的所有cookie。在这些以及类似的示例中,管理员可将具有名称AppClientInfo的相同的cookie配置为被代理用于应用2而不是用于应用1。类似地,管理员可基于该策略配置和类似的策略配置,将具有任何名称或者与任何服务或资源或者与任何客户机102或服务器106关联的cookie配置为被代理或不被代理。
在其他示例中,配置可将所有站点的所有cookie设置为在无客户端VPN模式下被代理。可通过在patclass命令或指令中指定cookie的名称来配置不应该被代理的客户机消耗的cookie。例如,如果某一应用需要在客户机侧具有两个cookie(cookie1和cookie2),则可将配置标识为:
用于配置文件的该代码可随后在clientlessAccessPolicy指令中使用,例如:
add vpn clientlessAccessPolicy<policyName><rule>
<vpnclientlessAccessProfile>
上面提供的策略可以使用无客户端访问选择无客户端访问配置文件,使得除了具有名称Cookie1和Cookie2的cookie以外的所有cookie将被代理。因此,对于由策略规则标识的流量的子集,给定cookie集合可以不被代理。可使用策略规则来选择特定web应用或特定服务器或者服务器上的目录。通过使用与上面提供的配置相类似的配置,可为不同的用户集合或用户组或者vpn vsrever代理不同的cookie集合,其中,不同的用户集合或用户组或者vpn vsrever中的任何一个可取决于策略的配置限定或处理哪个实体。
G.用于在多核***中进行cookie代理的***和方法
现讨论用于在多核***中的服务器和客户机之间管理cookie的***和方法的实施例。如上文所述,具有多个核的设备200可在任何核上接收关于特定数据流(例如会话)的数据。在一些实施例中,各自具有分组引擎的多个核中的每个核可接收属于同一会话的请求和响应。在一些实施例中,可依次接收请求810和响应820。在其他实施例中,可并行接收请求和响应。本文的方法和***可在多个并行响应820试图修改相同cookie或多个请求需要查询相同的cookie以及提供最新设置的cookie值的情况下,维护有序性和一致性。本文的***和方法可使用序列化在多核中间装置的多个核之间维持cookie的完整性。
对于启用cookie代理的会话来说,可在响应时间由在中间装置200上执行的cookie代理820剥离服务器106所设置的cookie并且将该cookie存储到关于相应会话的cookie存储825的数据结构中。Cookie罐825存储与所有事务的cookie相关的信息,例如cookie名称、值、有效期。可为给定的完全合格的域名或域(例如,mycompany.com或www.mycompany.com)以及为给定的路径(例如,/或/docs/等)设置cookie。例如,如果对于请求:
GET/docs/index.htm HTTP/1.1
Host:www.mycompany.com
....
服务器可发送以下类型的响应:-
可移除Set-Cookie头部并且可将关于“Test”cookie的信息存储在cookie罐825中。在一些实施例中,客户机102可能看不到由服务器106发送的Set-Cookie头部,除非存在配置的除外规则。在一些实施例中,该操作被称作“cookie存储和移除”操作。
当客户机102在同一个会话中发送请求106时,在与该会话关联的cookie罐825中查询关于给定域/子域和路径的cookie,并且可通过cookie代理模块820将所有有效匹配的cookie***去往服务器102的请求820中。在一些实施例中,这称作“cookie查找和***”操作。例如,下面是离开中间装置200的请求的一个示例,其中由cookie代理模块***cookie:
此外,可由客户机侧活动组件(像JavaScripts)来生成或修改或删除一些cookie。中间装置200允许cookie名称列表的策略驱动配置,其中允许客户机102修改该cookie名称。如果需要,不移除那些cookie的Set-Cookie头部,而修改其路径或域组件。在所有输出的响应中***JavaScript,其监控客户机侧的cookie并且通知中间装置200关于该cookie中的任何修改。cookie变化通知伴随会话cookie一起到来,并且可在cookie罐825A中完成那些改变。在一些实施例中,这又称作“Cookie更新”操作。
现参考图8A,描述在多核***中用于cookie代理的***的实施例的框图。简要而言,多核***包括多个核,其中每个核或处理器具有分组引擎848A-848N(统称为848)。每个处理器还可具有cookie代理820A-820N(统称为820)。如同在非多核***中,用户会话数据与最初创建该会话的处理器或协同处理器(称为“基(home)处理器”或“所有者核”或“会话所有者”)相关联。在多核***中,用户会话中的后续请求可到达与创建该用户会话的处理器或核不同的处理器或核。将接收请求但不是home处理器的处理器称作“接收处理器”或“非所有者核”。接收处理器不能访问用户的会话的数据因为该数据仅存在于home处理器的地址空间中。为促进cookie管理,接收处理器从所有者核获得会话信息。
简要而言,***包括客户机102和服务器106之间的中间装置200。中间装置200包括多核***。在一些实施例中,可由多核***中的多个核中的一个核(例如第一核805A)建立和维护会话。该核805A有时称作会话的所有者805A。非所有者核805B-805N可与第一核805A通信并且接收信息以用于管理cookie。考虑到结合图6A-7C描述的cookie管理通信和场景,可在与控制、拥有或建立会话的核不同的核上接收任何服务器通信或客户机通信。
可为核分配核标识符。核标识符可以是任何类型或形式的字母数字标识符或代码串。此外,在多核***的多个核之间,该核标识符可以是唯一的。核标识符可以是核的CPU编号或包含核的CPU编号。可基于核的CPU编号将核标识符顺序地分配给每个核。核标识符可以是任意大小。在一个实施例中,核标识符的大小为一个字节。例如,一个字节可给出256(0-255)个唯一核标识符。
在进一步的细节中,多核***可以是结合图5A描述的***545的实施例和本文其他地方描述的实施例中的任何一个。这样,多核***可以是多个客户机和多个服务之间的多核装置。该多核装置可为多个客户机提供对多个服务器的VPN访问,例如SSL VPN访问。客户机可以在不同于多个服务器的专用或内部网络的一个或多个网络上,例如公用网络。在相应核上的每个分组引擎可提供SSL VPN280功能。对于基于流的数据并行机制场景520,每个分组引擎/核可接收分配给另一个核的数据流的分组。这样,分组引擎/核可接收管理或分配给另一个核的服务器发起的连接的分组。
多核***的每个核805A-805N可包括cookie代理820和cookie存储825。cookie代理可包括硬件或软件和硬件的任何组合。cookie代理可包括应用、程序、库、脚本、进程、任务、线程或任何类型或形式的可执行代码。尽管将cookie代理描述为分组引擎848的一部分,但在一些实施例中,cookie代理820可以是多核***的单独组件或模块。cookie代理可包括在上文中结合图6A-7C描述的cookie代理或cookie管理器的任何实施例。
多核***的每个核805A-805N可包括cookie存储825。cookie存储可包括多核***的用于存储cookie的任何存储器或存储元件。cookie存储可包括结合图6A-7C描述的cookie存储的任何实施例。在一些实施例中,每个核或分组引擎可建立或使用cookie存储。在一些实施例中,一个或多个核或分组引擎可共享cookie存储。在一些实施例中,cookie存储可以在多个核和分组引擎之间分布。
所有者核805可建立客户机102和服务器106之间的会话。可向该会话分配会话标识符,该会话标识符可以是任何类型或形式的字母数字标识符或代码串。核805、后端服务器106或客户机102可发布会话标识符。会话标识符可在与多核***关联的多个会话中唯一地标识会话。会话标识符可以是随机的16或32字节的值。在一个实施例中,会话标识符的字节[0]位置与字节[1]位置的X-OR可得到随机值。例如在***启动时,通过随机选择会话标识符中的一个字节位置来编码核标识符,可以增加关于该会话标识符的额外安全性和随机性。在一个实施例中,SSLv2会话标识符具有16字节的大小并且最后4个字节可包含时间戳。在该实施例中,该核标识符的一个字节的位置最好在字节0到字节11之间。在另一个实施例中,用于SSLv3和TLSv1的会话标识符是32字节。在SSLv3/TLSv1协议中,可由时间戳占去较低的4个字节,允许28个字节用于编码核标识符。除了为时间戳保留的字节位置以外,可通过任何手段选择用于编码核标识符的字节位置。
通过举例说明而不以任何方式进行限制的方式,编码核标识符的伪代码的一个实施例可以是:
sessionid[0]=coreid;
sessionid[0]^=sessionid[1];
并且用于检索核标识符的伪代码的一个实施例可以是:
coreid=sessionid[0]^sessionid[1];
在一些实施例中,用核标识符编码有效会话标识符。有效会话标识符有时称作有效性标识符。有效会话标识符可以是标识有效会话的字符串。中间装置200或多核***可判断会话是否有效。在一个实施例中,使用有效会话标识符有助于过滤掉重复使用会话的随机或恶意请求。
所有者核805或所有者核的分组引擎848可在第一核805A的会话存储中存储会话标识符。在一个实施例中,在核805启动期间和/或在维护会话期间,该会话存储是持续存在的。在另一个实施例中,即使当核关闭或当会话结束时,该会话存储仍是持续存在的。会话存储可以是分配给核805和/或会话的存储器。可由一个或多个核访问会话存储。在一些实施例中,第一核维护和/或更新会话存储。存储器模块可包括会话存储。
对于多核装置上的会话的多个实施例来说,存在指定的“会话所有者”分组引擎或核,该分组引擎或核具有给定会话的授权控制。通常由会话cookie来标识会话,并且该cookie具有哪个分组引擎是会话所有者的信息。由于cookie罐与会话关联,所以可将会话所有者分组引擎选为cookie罐所有者。在移除会话或者在会话上更新cookie罐信息的情况下,这样做很有用。
运行中,在收到HTTP响应时执行的cookie操作可分解为如下操作:
1.“Cookie罐中的cookie存储/更新”,可由cookie罐所有者分组引擎执行;以及
2.“从响应中移除Set-Cookie头部”,可由接收HTTP流量的分组引擎执行。
可在收到HTTP请求时执行的cookie操作可分解为如下操作:
3.“从Cookie罐中查找cookie”,可由cookie罐所有者分组引擎执行;
4.“在请求中***cookie头部”,可由接收HTTP流量的分组引擎执行。
在实际HTTP请求/响应流时间范围外完成的cookie操作:
5.“Cookie罐中的cookie更新”,可由cookie罐所有者分组引擎执行;
6.“Cookie罐分配和释放”操作,可在会话创建/移除期间由cookie罐所有者分组引擎执行。
尽管任何分组引擎可接收HTTP流量,分组引擎进行HTTP请求/响应修改,即,从HTTP响应中“移除Set-Cookie头部”以及向HTTP请求中“***cookie头部”。然而,如果接收分组引擎不是cookie罐所有者,则接收HTTP流量的分组引擎使用消息传送机制(例如核到核通信)来与“cookie罐所有者”分组引擎通信,并且传送关于HTTP响应的“cookie罐中的cookie存储/更新”和“从cookie罐中查找cookie”的所有信息以完成那些操作。如果接收HTTP流量的分组引擎自身就是cookie罐所有者,则该分组引擎可自己执行与cookie罐相关的操作而不需要发送任何消息。
图8A还示出了流经多核***的HTTP请求。HTTP请求810到达多核***中的任何分组引擎。举例说明,假设请求到达非cookie罐所有者核。接收分组引擎从会话cookie中找出会话所有者引擎/核id,并且将关于该请求的cookie查找的消息发送到cookie罐所有者分组引擎。所有者分组引擎关于给定域、路径和协议(其中,该给定域、路径和协议可能存在于请求消息中)执行“cookie查找”操作,并且将cookie发送到请求分组引擎作为响应。请求分组在请求头部执行“cookie***”操作并且将具有查找的cookie的请求810’转发到服务器。
类似地,当cookie更新请求到达任何分组引擎时,接收分组引擎确定cookie罐所有者分组引擎。如果cookie罐所有者分组引擎不同,则接收分组引擎将消息传递给所有者核以用于“cookie罐中的cookie更新”操作。当所有者核从其他核接收到消息时或当所有者核直接接收到HTTP流量时,所有者核在本地执行cookie罐操作。
现参考图8B,描述了用于在多核***中进行cookie代理的方法800的步骤的实施例的流程图。简要而言,在步骤852,客户机102经由中间装置200将请求810发送到服务器106。在步骤854,中间装置200拦截由服务器106发送到客户机102的包括cookie的响应820。在步骤856,非所有者核805B拦截来自服务器106的响应。在步骤858,非所有者核805B将消息发送到所有者核805A以完成cookie操作。在一些实施例中,在步骤860,所有者核805A拦截来自服务器106的响应820。在步骤862,所有者核805A与cookie代理820A通信。在步骤864,cookie代理820A完成cookie操作并且与所有者核805A通信。
仍参考图8B,具体而言,在一些实施例中,在步骤852,客户机102经由中间装置200将请求810发送给服务器106。本文中描述的任何客户机102可生成请求810。该请求可以是任何类型的请求。该请求可以是任何类型的HTTP请求。在一些实施例中,客户机102可发起或生成请求810来访问服务器106上的应用、服务、资源、网页或其他内容。可使用应用来创建用户会话。客户机102和服务器106可通过建立的连接通信,例如通过TCP/IP通信。可经由VPN连接或者SSL VPN连接或会话传递该请求。
在一些实施例中,多核***的任何核可拦截客户机102和服务器106之间的通信。可将拦截来自客户机102的最初请求810的处理核505称作home处理器。在一些实施例中,可将拦截来自客户机102的最初请求810的处理核505称作所有者核。在其他实施例中,处理核505可称作会话所有者。当所有者核拦截最初的请求810时,所有者核建立用户会话。在一些实施例中,所有者核创建会话标识符。在进一步的实施例中,所有者核将会话标识符嵌入会话或用会话标识符关联该会话,并且将会话和会话标识符存储到中间装置200上。
在分组引擎848A具有给定会话的授权控制的情况下,可将核805A指定为“会话所有者”。通常由会话cookie标识会话并且该cookie具有哪个分组引擎848A是会话所有者805A的信息。cookie存储825A机制总是与会话关联并且也可将会话所有者分组引擎848A选作cookie存储825A,因为在移除会话或者在会话上更新cookie存储信息的情况下,这样做是有用的。在一些实施例中,cookie存储825A可称作cookie罐。
在步骤854,中间装置200拦截由服务器106发送到客户机102的包含cookie的响应。响应于接收到客户机请求810或810’,服务器106将响应820发送回客户机102。响应820可包含响应于请求810由服务器106发送的资源。响应820可包括所请求的资源或内容。在其他实施例中,响应820可包含出错消息或其它类型的响应指示。响应可包括任何一个或多个cookie。
在步骤856,中间装置200的非所有者核805B拦截由服务器106发送到客户机102的响应820。在一些实施例中,非所有者核805B可向所有者核805A发送核到核消息,从而向所有者核805A通知来自服务器106的响应820。在步骤858,非所有者核805B可将来自服务器106的响应820转发到所有者核805A。
在一些实施例中,非所有者核805B-805N接收来自客户机102的请求810,该请求包含来自客户机的会话cookie。在一些实施例中,非所有者核805B-805N根据从客户机102接收到的会话cookie来确定所有者核的身份。在一些实施例中,非所有者核可拦截请求810或响应820并且使用会话标识符来标识所有者核805A。在一些实施例中,非所有者核可向标识的所有者核发送消息,提供请求810的通知。在一些实施例中,非所有者核通过基于域、路径和协议发送关于会话的cookie信息的第三请求来与所有者核805A通信。
在一些实施例中,非所有者核805B可向标识的所有者核805A发送消息并且所有者核805A可向非所有者核805B返回消息,即处理事务(请求810或响应820)的指令。在一些实施例中,所有者核805A可响应于从非所有者核接收的消息,向非所有者核发送关于域、路径和协议的cookie信息。在一些实施例中,非所有者核获得从所有者核接收的cookie信息并且基于从所有者核805A接收的cookie信息***第二cookie。在其他实施例中,中间装置200将具有第二cookie的第三请求转发到服务器106。
在一些实施例中,接收HTTP响应的核或分组引擎从该响应移除set-cookie头部。接收核或分组引擎可与所有者核通信以在所有者的cookie罐中存储移除的cookie。在一些实施例中,cookie罐所有者分组引擎将移除的cookie存储到cookie罐。
在步骤860,所有者核805A接收从服务器106到客户机102的响应820。由于所有者核805A响应于来自客户机102的最初请求810建立了用户会话,因此可能不需要向中间装置的其他核发送消息。在一些实施例中,所有者核805A向其他核发送消息以确保另一核还没有拦截来自服务器106的另一响应820。
在一些实施例中,接收请求的核或分组引擎将cookie头部***请求中。接收核或分组引擎与所有者核通信以便从cookie罐所有者分组引擎执行cookie查找。
在步骤862,所有者核805A与cookie代理820A通信。在一些实施例中,所有者核805A在接收到来自中间装置200的另一核的消息后,与cookie代理820A通信。在其他实施例中,所有者核805A在拦截来自服务器106的响应820后,与cookie代理通信。在一些实施例中,所有者核805A在拦截来自服务器的响应820后并且在预定时间量后与cookie代理820A通信。在一些实施例中,通过策略来设置预定时延。在其他实施例中,手动设置预定时延。在其他实施例中,在制造中间装置200时设置预定时延。
在步骤864,cookie代理820A完成cookie操作并且传递给所有者核805A。在一些实施例中,在响应时间完成的cookie操作可以是由所有者核分组引擎848A完成的cookie存储或cookie存储中的cookie更新。在一些实施例中,所有者核805A响应于已有的关于会话的策略来确定从拦截的HTTP事务(响应820或请求810)中移除cookie。在其他实施例中,所有者核805A响应于关于响应820的内容的预定已有策略从拦截的HTTP事务(响应820或请求810)中移除cookie。在一些实施例中,所有者核响应于在响应中标识预定URL的策略从HTTP事务(响应820或请求810)中移除cookie。在一些实施例中,策略指定完整的URL。在其他实施例中,策略指定部分URL。
在一些实施例中,手动设置已有的策略。在其他实施例中,在制造时设置已有的策略。分组引擎848A从响应中剥离cookie并且将来自响应820的cookie存储在cookie存储825A或cookie罐中。如果cookie已存在,则分组引擎848A用在最近拦截的cookie中接收的信息来更新cookie罐中存储的信息。在一些实施例中,在接收到响应820时完成的cookie操作是“从响应中移除set-cookie头部”,其中由接收到响应820的分组引擎从该响应中剥离cookie。在一些实施例中,由所有者会话cookie分组引擎848A完成cookie操作。在其他实施例中,所有者核805A向拦截响应820的非所有者核发送消息以完成从响应中移除cookie的操作。
在一些实施例中,当来自客户机102的请求810被拦截时完成cookie操作。在一些实施例中,由会话所有者805A完成“从cookie罐查找cookie”。分组引擎848A使用来自客户机102的请求810的信息来标识cookie存储825A中的cookie。在一些实施例中,会话所有者的分组引擎848A在请求810中***cookie。在其他实施例中,会话所有者向拦截请求810的核805B-805N发送消息并且指示该核完成“在请求中***cookie头部”的操作。
在一些实施例中,在请求810或响应820的范围外完成cookie操作。在一些实施例中,cookie操作是由会话所有者分组引擎848A完成的“cookie罐中的cookie更新”。在一些实施例中,策略指示所有者核在已有cookie上运行检查以确保所有cookie采用有效形式。在其他实施例中,策略指示所有者核分组引擎848A确保所有核不超过预定大小。
在其他实施例中,cookie操作是由会话所有者分组引擎848A在会话创建或移除期间的“cookie罐分配和释放”。在一些实施例中,cookie操作分配中间装置200的空闲存储器以确保有足够的存储来存储所接收的和更新的关于会话的cookie。在其他实施例中,一旦会话终止,则cookie操作删除所有已有的cookie。在一些实施例中,策略指定在预定时间量内不应删除cookie罐。在其他实施例中,策略指定应该仅部分地删除cookie罐。在其他实施例中,策略指示将所有cookie复制到中心cookie罐。在其他实施例中,策略指示为所有cookie操作创建日志,如时间戳、来自发送或请求cookie的装置的ip地址、任何cookie更新、删除或创建。
在一些实施例中,cookie操作可为给定域或子域设置cookie。在其他实施例中,cookie操作可在将由服务器106发送的响应820发送到客户机102之前从响应820中剥离cookie。可将从响应820中剥离的cookie存储在cookie存储825A中。cookie存储可在中间装置200上。在其他实施例中,cookie存储可在不同的装置上。在其他实施例中,cookie存储可以在存储在所有者核中的数据库、表或数据结构中。在其他实施例中,cookie存储可存储在中间装置200上并且由装置200的任意核访问。在其他实施例中,cookie存储可称作cookie罐。
在一些实施例中,由接收分组引擎在中间装置200的每个核上本地完成cookie存储和更新操作,无需向所有者分组引擎848A发送消息。如果非所有者核还没有本地存储的副本,则接收请求810或响应820的非所有者核848B-848N从所有者核805A获得cookie存储825A的本地副本。所有者核分组引擎848A继续向具有cookie存储825A的副本的所有分组引擎848B-848N广播对cookie存储825A的所有更新或修改。由所有者核分组引擎848A广播的对cookie存储825A的修改可利用Lamport时间戳、向量时钟、版本向量、矩阵时钟或本文描述的序列化机制的任何组合。
在一些实施例中,可向中间装置200的所有分组引擎848B-848N复制所有者核805A的会话。当拦截来自客户机102的请求时,接着可在接收非所有者分组引擎848B-848N上本地完成cookie查找或cookie更新操作。一旦在本地完成了cookie查找或cookie更新操作,则向装置200的其他核(包括所有者核805A)广播该变化。在一些实施例中,对cookie的更新或改变的广播是序列化的。在一些实施例中,可以通过Lamport时间戳实现序列化机制。在其他实施例中,可通过向量时钟实现序列化机制。在其他实施例中,序列化的广播机制可利用版本向量、矩阵时钟或序列化机制的任何组合。
本领域的技术人员可以在不偏离本发明的精神和范围的前提下进行很多变化和修改。因此,必须清楚理解所示实施例仅是出于示例目的,而不应被看作是限制本发明,本发明由下面的权利要求限定。这些权利要求将被视作包括不仅它们在字面上所阐述的,还包括非实质区别的那些等价元素,尽管它们在其它方面与上面的说明中所显示和描述的不完全相同。
Claims (20)
1.一种用于通过在客户机和一个或多个服务器中间的多核装置来管理cookie的方法,所述方法包括:
(a)由在客户机和一个或多个服务器中间的多核装置的第一核,经由会话接收来自服务器的、对所述客户机的第一请求的响应,所述响应包括cookie;
(b)由所述第一核将所述cookie从所述响应中移除;
(c)由所述第一核将所述cookie存储到所述会话的相应存储中;
(d)由所述第一核将没有所述cookie的响应转发给所述客户机;
(e)由所述多核装置的第二核经由所述会话接收来自所述客户机的第二请求;
(f)由所述第二核根据所述第二请求确定作为所述会话的所有者的所述第一核的标识;以及
(g)由所述第二核将对所述会话的cookie信息的第三请求传递给所述第一核。
2.根据权利要求1所述的方法,其中步骤(b)还包括由所述第一核响应于关于所述会话或所述响应的内容之一的策略,来确定移除所述cookie。
3.根据权利要求1所述的方法,其中步骤(b)还包括由所述第一核响应于标识所述响应中的预定URL,来确定移除所述cookie。
4.根据权利要求1所述的方法,其中步骤(e)还包括由所述第二核接收来自所述客户机的会话cookie。
5.根据权利要求4所述的方法,其中步骤(f)还包括由所述第二核根据所述会话cookie来确定所述会话的所有者。
6.根据权利要求5所述的方法,其中步骤(f)还包括由所述第二核根据会话标识符来确定所述会话的所有者。
7.根据权利要求1所述的方法,其中步骤(g)还包括由所述第二核将对基于域、路径和协议的所述会话的cookie信息的第三请求传递给所述第一核。
8.根据权利要求1所述的方法,还包括由所述第二核从所述第一核接收关于域、路径和协议的cookie信息。
9.根据权利要求1所述的方法,还包括由所述第二核基于从所述第一核接收到的cookie信息,在所述第三请求中***第二cookie。
10.根据权利要求9所述的方法,由所述装置向所述一个或多个服务器中的服务器转发具有所述第二cookie的第三请求。
11.一种用于通过在客户机和一个或多个服务器中间的多核装置来管理cookie的***,所述***包括:
多核装置,在客户机和一个或多个服务器的中间,该多核装置的每个核执行分组引擎;
所述多核装置的第一核,经由会话接收来自服务器的、对所述客户机的第一请求的响应,所述响应包括cookie;
所述第一核的第一分组引擎,该第一分组引擎从所述响应中移除所述cookie,将所述cookie存储在所述会话的相应存储中,并且将没有所述cookie的响应转发给所述客户机;
所述多核装置的第二核,经由所述会话接收来自所述客户机的第二请求;以及
所述第二核的第二分组引擎,所述第二分组引擎根据所述第二请求来确定作为所述会话的所有者的所述第一核的标识,并且将对所述会话的cookie信息的第三请求传递给所述第一核。
12.根据权利要求11所述的***,其中所述第一分组引擎响应于关于所述会话或所述响应的内容之一的策略,来移除所述cookie。
13.根据权利要求11所述的***,其中所述第一分组引擎基于标识所述响应中的预定URL,来确定移除所述cookie。
14.根据权利要求11所述的***,其中所述第二核接收来自所述客户机的会话cookie。
15.根据权利要求14所述的***,其中所述第二分组引擎根据所述会话cookie来确定所述会话的所有者。
16.根据权利要求15所述的***,其中所述第二分组引擎根据会话标识符来确定所述会话的所有者。
17.根据权利要求11所述的***,其中所述第二分组引擎将对基于域、路径和协议的所述会话的cookie信息的第三请求传递给所述第一核。
18.根据权利要求11所述的***,其中所述第二分组引擎从所述第一核接收关于域、路径和协议的cookie信息。
19.根据权利要求11所述的***,其中所述第二分组引擎基于从所述第一核接收到的cookie信息,在所述第三请求中***第二cookie。
20.根据权利要求11所述的***,其中所述第二分组引擎向所述一个或多个服务器中的服务器转发具有第二cookie的第三请求。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/851,449 | 2010-08-05 | ||
US12/851449 | 2010-08-05 | ||
US12/851,449 US8484287B2 (en) | 2010-08-05 | 2010-08-05 | Systems and methods for cookie proxy jar management across cores in a multi-core system |
PCT/US2011/046172 WO2012018748A1 (en) | 2010-08-05 | 2011-08-02 | Systems and methods for cookie proxy management across cores in a multi-core system |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103154895A true CN103154895A (zh) | 2013-06-12 |
CN103154895B CN103154895B (zh) | 2017-06-16 |
Family
ID=44630328
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201180048127.5A Active CN103154895B (zh) | 2010-08-05 | 2011-08-02 | 用于在多核***中的核上管理cookie代理的***和方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8484287B2 (zh) |
EP (1) | EP2601578B1 (zh) |
CN (1) | CN103154895B (zh) |
HK (1) | HK1186539A1 (zh) |
WO (1) | WO2012018748A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105933324A (zh) * | 2016-06-03 | 2016-09-07 | 中国科学院信息工程研究所 | 一种基于网络流在线实时分析跳转链和溯源的方法和*** |
CN109947633A (zh) * | 2018-12-29 | 2019-06-28 | 精硕科技(北京)股份有限公司 | 数据处理的方法、装置、存储介质及处理器 |
CN110619071A (zh) * | 2019-08-06 | 2019-12-27 | 微梦创科网络科技(中国)有限公司 | 一种帐号的访问安全监测和处理方法及装置 |
CN112910793A (zh) * | 2019-12-04 | 2021-06-04 | 中国电信股份有限公司 | 用于七层负载均衡中连接复用的方法和负载均衡器 |
WO2022036833A1 (zh) * | 2020-08-18 | 2022-02-24 | 厦门网宿有限公司 | cookie管理方法、中间节点及WebVPN*** |
Families Citing this family (87)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7062515B1 (en) | 2001-12-28 | 2006-06-13 | Vignette Corporation | System and method for the synchronization of a file in a cache |
US8943304B2 (en) * | 2006-08-03 | 2015-01-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
US9621666B2 (en) | 2005-05-26 | 2017-04-11 | Citrix Systems, Inc. | Systems and methods for enhanced delta compression |
US9692725B2 (en) | 2005-05-26 | 2017-06-27 | Citrix Systems, Inc. | Systems and methods for using an HTTP-aware client agent |
US9407608B2 (en) | 2005-05-26 | 2016-08-02 | Citrix Systems, Inc. | Systems and methods for enhanced client side policy |
US9489680B2 (en) | 2011-02-04 | 2016-11-08 | American Express Travel Related Services Company, Inc. | Systems and methods for providing location based coupon-less offers to registered card members |
US20110264490A1 (en) | 2006-07-18 | 2011-10-27 | American Express Travel Related Services Company, Inc. | System and method for administering marketing programs |
US9934537B2 (en) | 2006-07-18 | 2018-04-03 | American Express Travel Related Services Company, Inc. | System and method for providing offers through a social media channel |
US9542690B2 (en) | 2006-07-18 | 2017-01-10 | American Express Travel Related Services Company, Inc. | System and method for providing international coupon-less discounts |
US9558505B2 (en) | 2006-07-18 | 2017-01-31 | American Express Travel Related Services Company, Inc. | System and method for prepaid rewards |
US9613361B2 (en) | 2006-07-18 | 2017-04-04 | American Express Travel Related Services Company, Inc. | System and method for E-mail based rewards |
US9430773B2 (en) | 2006-07-18 | 2016-08-30 | American Express Travel Related Services Company, Inc. | Loyalty incentive program using transaction cards |
US9767467B2 (en) | 2006-07-18 | 2017-09-19 | American Express Travel Related Services Company, Inc. | System and method for providing coupon-less discounts based on a user broadcasted message |
EP2550783B1 (en) * | 2010-03-23 | 2016-05-25 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for media access |
US8984164B2 (en) * | 2010-11-09 | 2015-03-17 | Usablenet Inc. | Methods for reducing latency in network connections and systems thereof |
US8868638B2 (en) | 2010-11-09 | 2014-10-21 | Usablenet Inc. | Methods for reducing latency in network connections using automatic redirects and systems thereof |
EP2495670B1 (en) | 2010-11-29 | 2019-08-07 | Hughes Network Systems, LLC | Computer networking system and method with javascript execution for pre-fetching content from dynamically-generated url and javascript injection to modify date or random number calculation |
US9589029B2 (en) * | 2010-12-28 | 2017-03-07 | Citrix Systems, Inc. | Systems and methods for database proxy request switching |
CN103403707B (zh) | 2010-12-28 | 2017-11-14 | 思杰***有限公司 | 用于数据库代理请求交换的***和方法 |
US8789065B2 (en) | 2012-06-08 | 2014-07-22 | Throughputer, Inc. | System and method for input data load adaptive parallel processing |
US9461878B1 (en) * | 2011-02-01 | 2016-10-04 | Palo Alto Networks, Inc. | Blocking download of content |
US9021005B2 (en) * | 2011-03-04 | 2015-04-28 | Mformation Software Technologies Llc | System and method to provide remote device management for mobile virtualized platforms |
US8713088B2 (en) * | 2011-03-27 | 2014-04-29 | Hewlett-Packard Development Company, L.P. | Identifying users of remote sessions |
JP5397419B2 (ja) * | 2011-06-16 | 2014-01-22 | コニカミノルタ株式会社 | 端末装置、ウェブページ表示方法、およびコンピュータプログラム |
US9448847B2 (en) | 2011-07-15 | 2016-09-20 | Throughputer, Inc. | Concurrent program execution optimization |
JP5729209B2 (ja) * | 2011-08-12 | 2015-06-03 | 富士通株式会社 | 情報処理装置、情報処理システムのテスト方法およびプログラム |
US20130060842A1 (en) * | 2011-08-21 | 2013-03-07 | World Software Corporation | Remote desktop and data management system |
US8849699B2 (en) * | 2011-09-26 | 2014-09-30 | American Express Travel Related Services Company, Inc. | Systems and methods for targeting ad impressions |
US8918452B2 (en) * | 2011-09-28 | 2014-12-23 | Microsoft Corporation | Web API framework |
US9697297B2 (en) * | 2011-12-16 | 2017-07-04 | Microsoft Technology Licensing, Llc. | Representation/invocation of actions/functions in a hypermedia-driven environment |
US9195988B2 (en) | 2012-03-13 | 2015-11-24 | American Express Travel Related Services Company, Inc. | Systems and methods for an analysis cycle to determine interest merchants |
US9665874B2 (en) | 2012-03-13 | 2017-05-30 | American Express Travel Related Services Company, Inc. | Systems and methods for tailoring marketing |
US9152820B1 (en) * | 2012-03-30 | 2015-10-06 | Emc Corporation | Method and apparatus for cookie anonymization and rejection |
US9628438B2 (en) * | 2012-04-06 | 2017-04-18 | Exablox | Consistent ring namespaces facilitating data storage and organization in network infrastructures |
US9514484B2 (en) | 2012-09-07 | 2016-12-06 | American Express Travel Related Services Company, Inc. | Marketing campaign application for multiple electronic distribution channels |
US10664883B2 (en) | 2012-09-16 | 2020-05-26 | American Express Travel Related Services Company, Inc. | System and method for monitoring activities in a digital channel |
US10846734B2 (en) | 2012-09-16 | 2020-11-24 | American Express Travel Related Services Company, Inc. | System and method for purchasing in digital channels |
US20140136597A1 (en) * | 2012-11-15 | 2014-05-15 | Kaseya International Limited | Relay enabled dynamic virtual private network |
US10504132B2 (en) | 2012-11-27 | 2019-12-10 | American Express Travel Related Services Company, Inc. | Dynamic rewards program |
US8930576B1 (en) | 2013-07-25 | 2015-01-06 | KE2 Therm Solutions, Inc. | Secure communication network |
WO2015014189A1 (zh) * | 2013-08-02 | 2015-02-05 | 优视科技有限公司 | 一种访问网站的方法及装置 |
US9386104B2 (en) * | 2013-08-22 | 2016-07-05 | Juniper Networks Inc. | Preventing extraction of secret information over a compromised encrypted connection |
US20150215277A1 (en) * | 2014-01-28 | 2015-07-30 | Electronics And Telecommunications Research Institute | Network address translation apparatus with cookie proxy function and method for nat supporting cookie proxy function |
US9898520B2 (en) | 2014-03-25 | 2018-02-20 | Open Text Sa Ulc | Systems and methods for seamless access to remotely managed documents using synchronization of locally stored documents |
KR20160122807A (ko) | 2014-04-14 | 2016-10-24 | 맥아피 인코퍼레이티드 | 세션 공유를 통한 세션 자동 로그인 및 로그아웃 |
US10395237B2 (en) | 2014-05-22 | 2019-08-27 | American Express Travel Related Services Company, Inc. | Systems and methods for dynamic proximity based E-commerce transactions |
US9537851B2 (en) * | 2014-08-06 | 2017-01-03 | Microsoft Technology Licensing, Llc | Revoking sessions using signaling |
JP2016071422A (ja) * | 2014-09-26 | 2016-05-09 | ブラザー工業株式会社 | ソフトウエア提供システム及びインストールプログラム |
US20160191645A1 (en) * | 2014-12-30 | 2016-06-30 | Citrix Systems, Inc. | Containerizing Web Applications for Managed Execution |
WO2016119826A1 (en) * | 2015-01-27 | 2016-08-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Correlated personalization of multiple communication services |
US10516743B1 (en) * | 2015-03-24 | 2019-12-24 | Quest Software Inc. | Systems and methods for facilitating portable user sessions |
CN105159667B (zh) * | 2015-08-07 | 2018-05-01 | 北京思特奇信息技术股份有限公司 | 一种web service接口调用参数转换方法及*** |
US10243957B1 (en) * | 2015-08-27 | 2019-03-26 | Amazon Technologies, Inc. | Preventing leakage of cookie data |
CN106936739B (zh) * | 2015-12-30 | 2020-02-11 | 新华三技术有限公司 | 一种报文转发方法及装置 |
US10581823B2 (en) * | 2016-03-21 | 2020-03-03 | Vmware, Inc. | Web client plugin manager in vCenter managed object browser |
US10678605B2 (en) | 2016-04-12 | 2020-06-09 | Google Llc | Reducing latency in downloading electronic resources using multiple threads |
US10142440B2 (en) * | 2016-07-29 | 2018-11-27 | International Business Machines Corporation | Enforced registry of cookies in a tiered delivery network |
US11003632B2 (en) | 2016-11-28 | 2021-05-11 | Open Text Sa Ulc | System and method for content synchronization |
WO2018183526A1 (en) | 2017-03-29 | 2018-10-04 | Fungible, Inc. | Non-blocking, full-mesh data center network having optical permutors |
WO2018183553A1 (en) | 2017-03-29 | 2018-10-04 | Fungible, Inc. | Non-blocking any-to-any data center network having multiplexed packet spraying within access node groups |
WO2018183542A1 (en) | 2017-03-29 | 2018-10-04 | Fungible, Inc. | Non-blocking any-to-any data center network with packet spraying over multiple alternate data paths |
CN117971715A (zh) | 2017-04-10 | 2024-05-03 | 微软技术许可有限责任公司 | 多处理器***中的中继一致存储器管理 |
US11301431B2 (en) | 2017-06-02 | 2022-04-12 | Open Text Sa Ulc | System and method for selective synchronization |
US10404810B2 (en) * | 2017-06-20 | 2019-09-03 | Futurewei Technologies, Inc. | Session layer communications using an ID-oriented network |
EP3625940A1 (en) | 2017-07-10 | 2020-03-25 | Fungible, Inc. | Data processing unit for compute nodes and storage nodes |
EP3625679A1 (en) | 2017-07-10 | 2020-03-25 | Fungible, Inc. | Data processing unit for stream processing |
US11025724B2 (en) * | 2017-07-24 | 2021-06-01 | Facebook, Inc. | Transport of control data in proxy-based network communications |
EP3435629B1 (en) * | 2017-07-24 | 2020-08-19 | Facebook, Inc. | Transport of control data in proxy-based network communications |
US10904367B2 (en) | 2017-09-29 | 2021-01-26 | Fungible, Inc. | Network access node virtual fabrics configured dynamically over an underlay network |
CN111164938A (zh) | 2017-09-29 | 2020-05-15 | 芬基波尔有限责任公司 | 使用选择性多路径分组流喷射的弹性网络通信 |
US10841245B2 (en) | 2017-11-21 | 2020-11-17 | Fungible, Inc. | Work unit stack data structures in multiple core processor system for stream data processing |
US10708379B1 (en) * | 2017-11-22 | 2020-07-07 | Amazon Technologies, Inc. | Dynamic proxy for databases |
US11106631B2 (en) * | 2017-12-12 | 2021-08-31 | International Business Machines Corporation | Cookie exclusion protocols |
US10540288B2 (en) | 2018-02-02 | 2020-01-21 | Fungible, Inc. | Efficient work unit processing in a multicore system |
CN108600333B (zh) * | 2018-04-03 | 2021-03-12 | 广东阿里影业云智软件有限公司 | 一种基于代理服务器的数据传输方法、设备以及*** |
US10831836B2 (en) * | 2018-07-26 | 2020-11-10 | Palo Alto Networks, Inc. | Browser storage for clientless VPN |
US11093574B2 (en) * | 2018-07-26 | 2021-08-17 | Palo Alto Networks, Inc. | Encoding-free javascript stringify for clientless VPN |
US10951588B2 (en) | 2018-07-26 | 2021-03-16 | Palo Alto Networks, Inc. | Object property getter and setter for clientless VPN |
US10965659B2 (en) | 2018-11-09 | 2021-03-30 | International Business Machines Corporation | Real-time cookie format validation and notification |
US10929175B2 (en) * | 2018-11-21 | 2021-02-23 | Fungible, Inc. | Service chaining hardware accelerators within a data stream processing integrated circuit |
US11405487B2 (en) * | 2019-03-20 | 2022-08-02 | Vado Security Technologies Ltd. | System and method for unidirectional communication management system |
CN110138662B (zh) * | 2019-05-08 | 2021-09-14 | 东软集团股份有限公司 | 多核***中的会话表项处理方法、装置及多核*** |
US11122086B2 (en) | 2019-05-30 | 2021-09-14 | International Business Machines Corporation | Cookie compliance management |
US11108763B2 (en) * | 2020-01-09 | 2021-08-31 | Cisco Technology, Inc. | Intelligent identity-aware application proxy |
US11551251B2 (en) | 2020-11-12 | 2023-01-10 | Rodney Yates | System and method for transactional data acquisition, aggregation, processing, and dissemination in coordination with a preference matching algorithm |
US11956219B2 (en) * | 2021-06-24 | 2024-04-09 | Citrix Systems, Inc. | Systems and methods to detect and prevent bots from random access by randomized HTTP URLs in real time in distributed systems |
US20230004668A1 (en) * | 2021-07-01 | 2023-01-05 | Citrix Systems, Inc. | Systems and methods for enforcing forceful browsing in distributed systems in real time |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040073629A1 (en) * | 2002-10-10 | 2004-04-15 | International Business Machines Corporation | Method of accessing internet resources through a proxy with improved security |
US20060251856A1 (en) * | 2002-11-13 | 2006-11-09 | Surface Logix, Inc. | Thermal interface composit structure and method of making same |
CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
US20110153822A1 (en) * | 2009-12-23 | 2011-06-23 | Roy Rajan | Systems and methods for managing preferred client connectivity to servers via multi-core system |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2841416B1 (fr) | 2002-06-20 | 2005-01-28 | Cegetel Groupe | Procede de gestion d'informations de contexte par serveur intermediaire |
CN100463469C (zh) * | 2002-10-25 | 2009-02-18 | 国际商业机器公司 | 在多通道上共享应用程序会话信息的方法、装置和*** |
US20080028440A1 (en) * | 2004-01-02 | 2008-01-31 | Moshe Basol | System and a Method for Authorizing Processes Operations on Internet and Intranet Servers |
US20050262357A1 (en) | 2004-03-11 | 2005-11-24 | Aep Networks | Network access using reverse proxy |
US20050251856A1 (en) * | 2004-03-11 | 2005-11-10 | Aep Networks | Network access using multiple authentication realms |
US7610400B2 (en) | 2004-11-23 | 2009-10-27 | Juniper Networks, Inc. | Rule-based networking device |
US7925694B2 (en) * | 2007-10-19 | 2011-04-12 | Citrix Systems, Inc. | Systems and methods for managing cookies via HTTP content layer |
EP2241081B1 (en) | 2008-01-26 | 2018-05-02 | Citrix Systems, Inc. | Systems and methods for fine grain policy driven cookie proxying |
US20100153568A1 (en) * | 2008-12-16 | 2010-06-17 | Nokia Corporation | Methods, apparatuses, and computer program products for providing a local proxy for accessing web services |
-
2010
- 2010-08-05 US US12/851,449 patent/US8484287B2/en active Active
-
2011
- 2011-08-02 EP EP11743917.4A patent/EP2601578B1/en active Active
- 2011-08-02 WO PCT/US2011/046172 patent/WO2012018748A1/en active Application Filing
- 2011-08-02 CN CN201180048127.5A patent/CN103154895B/zh active Active
-
2013
- 2013-12-11 HK HK13113771.3A patent/HK1186539A1/zh not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040073629A1 (en) * | 2002-10-10 | 2004-04-15 | International Business Machines Corporation | Method of accessing internet resources through a proxy with improved security |
US20060251856A1 (en) * | 2002-11-13 | 2006-11-09 | Surface Logix, Inc. | Thermal interface composit structure and method of making same |
CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
US20110153822A1 (en) * | 2009-12-23 | 2011-06-23 | Roy Rajan | Systems and methods for managing preferred client connectivity to servers via multi-core system |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105933324A (zh) * | 2016-06-03 | 2016-09-07 | 中国科学院信息工程研究所 | 一种基于网络流在线实时分析跳转链和溯源的方法和*** |
CN109947633A (zh) * | 2018-12-29 | 2019-06-28 | 精硕科技(北京)股份有限公司 | 数据处理的方法、装置、存储介质及处理器 |
CN109947633B (zh) * | 2018-12-29 | 2023-04-07 | 北京明略昭辉科技有限公司 | 数据处理的方法、装置、存储介质及处理器 |
CN110619071A (zh) * | 2019-08-06 | 2019-12-27 | 微梦创科网络科技(中国)有限公司 | 一种帐号的访问安全监测和处理方法及装置 |
CN110619071B (zh) * | 2019-08-06 | 2022-08-05 | 微梦创科网络科技(中国)有限公司 | 一种帐号的访问安全监测和处理方法及装置 |
CN112910793A (zh) * | 2019-12-04 | 2021-06-04 | 中国电信股份有限公司 | 用于七层负载均衡中连接复用的方法和负载均衡器 |
WO2022036833A1 (zh) * | 2020-08-18 | 2022-02-24 | 厦门网宿有限公司 | cookie管理方法、中间节点及WebVPN*** |
Also Published As
Publication number | Publication date |
---|---|
EP2601578B1 (en) | 2016-03-23 |
HK1186539A1 (zh) | 2014-03-14 |
US8484287B2 (en) | 2013-07-09 |
WO2012018748A1 (en) | 2012-02-09 |
US20120036178A1 (en) | 2012-02-09 |
CN103154895B (zh) | 2017-06-16 |
EP2601578A1 (en) | 2013-06-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103154895A (zh) | 用于在多核***中的核上管理cookie代理的***和方法 | |
CN102783090B (zh) | 用于多核***中的对象速率限制的***和方法 | |
CN102217273B (zh) | 用于应用流畅性策略的***和方法 | |
CN102714657B (zh) | 用于经由tcp选项***客户机ip地址的***和方法 | |
CN102771089B (zh) | 用于通过虚拟服务器混合模式处理IPv6和IPv4流量的***和方法 | |
CN102763368B (zh) | 用于跨站点伪造保护的方法和*** | |
CN102771084B (zh) | 用于在多核gslb设备中管理静态邻近性的***和方法 | |
CN102763374B (zh) | 用于基于策略地集成到水平地部署的wan优化设备的***和方法 | |
CN102771085B (zh) | 用于保持透明的端到端高速缓存重定向的***和方法 | |
CN102483707B (zh) | 在负载平衡的多核环境中保持源ip的***和方法 | |
CN103392321B (zh) | 用于基于策略集成横向部署的wan优化设备的***和方法 | |
CN102771083B (zh) | 用于全局服务器负载平衡的IPv6和IPv4 DNS的混合模式的***和方法 | |
CN102460394B (zh) | 用于多核***中的分布式哈希表的***和方法 | |
CN103155496B (zh) | 用于在多核***中管理服务器发起的连接的***和方法 | |
CN102246489B (zh) | 对通过http的异步消息通信进行连接管理的***和方法 | |
CN102549985B (zh) | 用于为互联网协议加速设备提供多核结构的***和方法 | |
CN103765851A (zh) | 用于到任何服务的透明的层2重定向的***和方法 | |
CN103477611A (zh) | 用于n层高速缓存重定向的***和方法 | |
CN103503424A (zh) | 用于实现多核***中的连接镜像的***和方法 | |
CN103202002A (zh) | 用于自负载平衡访问网关的***和方法 | |
CN103392320A (zh) | 对加密项目进行多层标记以提供额外的安全和有效的加密项目确定的***和方法 | |
CN104012041A (zh) | 用于分析网络指标的***和方法 | |
CN103155524A (zh) | 用于在多核***中的多个核之间共享iip地址的***和方法 | |
CN103155520A (zh) | 用于多核虚拟分组引擎装置中的半虚拟化驱动程序的***和方法 | |
CN103650426A (zh) | 用于在公共云与私有云之间进行云桥接的***和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |