用于在多核系统中的核上管理cookie代理的系统和方法

摘要

本解决方案涉及通过多核装置来管理cookie的系统和方法。所述装置在客户机和一个或多个服务器中间。多核装置的第一核通过用户会话接收来自服务器的、对客户机的请求的响应。该响应包括cookie。第一核从响应中移除该cookie并且将该cookie存储在会话的相应存储中。第一核将没有cookie的响应转发到客户机。接着，第二核经由会话接收来自客户机的第二请求。第二核根据第二请求确定作为会话的所有者的第一核的标识。第二核接着向第一核传递对会话的cookie信息的第三请求。

说明书

相关申请

本申请要求在2010年8月5日提交的，名称为“SYSTEMS AND  METHODS FOR COOKIE PROXY MANAGEMENT ACROSS CORES IN A  MULTI-CORE SYSTEM”的美国专利申请No.12/851449的优先权，该申请 通过引用被全部包含于此。

技术领域

本申请总地涉及数据通信网络。本申请尤其涉及用于在多核系统中进 行cookie代理的系统和方法。

背景技术

cookie是由客户计算机的web浏览器存储的字符串或文本。cookie可 用于认证或者用于存储特定信息，例如站点首选项（site preference）和购 物车内容。cookie（又称为web cookie、浏览器cookie或HTTP cookie）通 常由包含多位信息的一个或多个名值（name-value）对组成。通常，每当 浏览器访问服务器时，服务器将cookie发送到在客户机上执行的web浏览 器并且接着由浏览器无改变地发送回来。

在一些实例中，客户机使用安全网络连接连接到服务器，而其他客户 机可利用较不安全的网络连接。此外，在多个网络架构中，客户机和服务 器通过中间装置进行连接，该中间装置例如是代理、设备、防火墙、网关 和其他类似的装置。使用这种中间装置可能对cookie的效率和效力带来负 面影响。网络配置和网络连接的这种变化可能给客户机制造挑战并且影响 服务器提供的服务。

发明内容

本申请涉及用于在多核系统中改善cookie操作的方法和系统。本申请 描述了在具有多核处理器的装置中改善性能和cookie管理的方法和系统， 其中所述多核处理器并行执行，并且常常同时拦截来自各个客户机和服务 器的HTTP事务。

在一个方面，本发明涉及用于通过多核装置来管理cookie的方法。所 述方法包括在客户机和一个或多个服务器中间的装置。多核装置的第一核 经由会话接收来自服务器的、对客户机的请求的响应。所述响应包括 cookie。所述第一核将cookie从所述响应中移除并且将该cookie存储到所 述会话的相应存储中。所述第一核接着将没有cookie的响应转发给所述客 户机。多核装置的第二核经由会话接收来自所述客户机的第二请求。所述 第二核根据第二请求确定所述第一核是会话的所有者的标识。所述第二核 将对所述会话的cookie信息的第三请求传递给所述第一核。

在一些实施例中，所述第一核响应于关于会话或所述响应的内容的策 略来确定移除所述cookie。在一些实施例中，所述第一核响应于在所述响 应中标识预定URL来确定移除所述cookie。在一些实施例中，所述第二 核接收来自所述客户机的会话cookie。在一些实施例中，所述第二核根据 所述会话cookie确定所述会话的所有者。在其他实施例中，所述第二核关 于会话标识符确定所述会话的所有者。在一些实施例中，所述第二核将对 基于域、路径和协议的所述会话的cookie信息的第三请求传递给所述第一 核。在一些实施例中，所述第二核从所述第一核接收关于域、路径和协议 的cookie信息。在一些实施例中，所述第二核基于从所述第一核接收的 cookie信息，在第三请求中插入第二cookie。在其他实施例中，装置向所 述一个或多个服务器中的服务器转发具有第二cookie的第三请求。

在另一个方面，本发明涉及通过多核装置来管理cookie的系统。所述 系统包括在客户机和一个或多个服务器的中间的多核装置。该多核装置的 每个核执行分组引擎。多核装置的第一核经由会话接收来自服务器的、对 客户机的第一请求的响应。所述响应包括cookie。第一核的第一分组引擎 从所述响应中移除所述cookie、将所述cookie存储在所述会话的相应存储 中，并且将没有cookie的响应转发给所述客户机。多核装置的第二核经由 会话接收来自所述客户机的第二请求。第二核的第二分组引擎根据第二请 求，确定作为会话的所有者的所述第一核的身份，并且将对所述会话的 cookie信息的第三请求传递给所述第一核。

在一些实施例中，所述第一分组引擎响应于关于会话或所述响应的内 容的策略，来移除所述cookie。在一些实施例中，所述第一分组引擎基于 在所述响应中标识预定URL，来确定移除所述cookie。在一些实施例中， 所述第二核接收来自所述客户机的会话cookie。在一些进一步的实施例中， 第二分组引擎根据所述会话cookie来确定所述会话的所有者。在一些进一 步的实施例中，所述第二分组引擎根据会话标识符来确定所述会话的所有 者。在一些实施例中，所述第二分组引擎将对基于域、路径和协议的所述 会话的cookie信息的第三请求传递给所述第一核。在一些实施例中，所述 第二分组引擎从所述第一核接收关于域、路径和协议的cookie信息。在一 些实施例中，所述第二分组引擎基于从所述第一核接收到的cookie信息， 在第三请求中插入第二cookie。在一些实施例中，所述第二分组引擎向所 述一个或多个服务器中的服务器转发具有第二cookie的第三请求。

在附图和下面的描述中将详细阐述本发明的各种实施例。

附图说明

通过参考下述结合附图的描述，本发明的前述和其它目的、方面、特征 和优点将会更加明显并更易于理解，其中：

图1A是客户机经由设备访问服务器的网络环境的实施例的框图；

图1B是经由设备从服务器传送计算环境到客户机的环境的实施例的框 图；

图1C是经由设备从服务器传送计算环境到客户机的环境的又一个实施 例的框图；

图1D是经由设备从服务器传送计算环境到客户机的环境的又一个实施 例的框图；

图1E到1H是计算装置的实施例的框图；

图2A是用于处理客户机和服务器之间的通信的设备的实施例的框图；

图2B是用于优化、加速、负载平衡和路由客户机和服务器之间的通信 的设备的又一个实施例的框图；

图3是用于经由设备与服务器通信的客户机的实施例的框图；

图4A是虚拟化环境的实施例的框图；

图4B是虚拟化环境的又一个实施例的框图；

图4C是虚拟设备的实施例的框图；

图5A是在多核系统中实现并行机制的方式的实施例的框图；

图5B是使用多核系统的系统实施例的框图；

图5C是多核系统方面的另一实施例的框图；

图6A是经由中间装置访问服务器的无客户端虚拟专用网络的实施例 的框图；

图6B是经由中间装置访问服务器的无客户端虚拟专用网络的另一个 实施例的框图；

图7A是涉及cookie管理的多个实施例的框图；

图7B是描述用于cookie管理的多个管理序列图的框图；

图7C是描述cookie代理数据流的多个实施例的框图，包括涉及cookie 代理的方法；

图8A是描述用于在多核系统中进行cookie代理的系统的框图；以及

图8B是用于在多核系统中进行cookie代理的方法的实施例的流程图。

从下面结合附图所阐述的详细描述，本发明的特征和优点将更明显， 其中，同样的参考标记在全文中标识相应的元素。在附图中，同样的附图 标记通常表示相同的、功能上相似的和/或结构上相似的元素。

具体实施方式

为了阅读下文各种实施例的描述，下述对于说明书的部分以及它们各自 内容的描述是有用的：

－A部分描述可用于实施此处描述的实施例的网络环境和计算环境；

－B部分描述用于将计算环境传送到远程用户的系统和方法的实施例；

－C部分描述用于加速客户机和服务器之间的通信的系统和方法的实施 例；

－D部分描述用于对应用传送控制器进行虚拟化的系统和方法的实施 例。

－E部分描述用于提供多核架构和环境的系统和方法的实施例；

－F部分描述用于由中间装置提供cookie代理和管理的系统和方法的 实施例；以及

－G部分描述用于经由多核系统提供cookie代理和管理的系统和方法 的实施例。

A.网络和计算环境

在讨论设备和/或客户机的系统和方法的实施例的细节之前，讨论可在其 中部署这些实施例的网络和计算环境是有帮助的。现在参见图1A，描述了 网络环境的实施例。概括来讲，网络环境包括经由一个或多个网络104、104’ （总的称为网络104）与一个或多个服务器106a－106n（同样总的称为服务 器106，或远程机器106）通信的一个或多个客户机102a－102n（同样总的 称为本地机器102，或客户机102）。在一些实施例中，客户机102通过设备 200与服务器106通信。

虽然图1A示出了在客户机102和服务器106之间的网络104和网络 104’，客户机102和服务器106可以位于同一个的网络104上。网络104和 104’可以是相同类型的网络或不同类型的网络。网络104和/或104’可为局域 网（LAN）例如公司内网，城域网（MAN），或者广域网（WAN）例如因特 网或万维网。在一个实施例中，网络104可为专用网络并且网络104’可为公 网。在一些实施例中，网络104可为专用网并且网络104’可为公网。在又一 个实施例中，网络104和104’可都为专用网。在一些实施例中，客户机102 可位于公司企业的分支机构中，通过网络104上的WAN连接与位于公司数 据中心的服务器106通信。

网络104和/或104’可以是任何类型和/或形式的网络，并且可包括任何 下述网络：点对点网络，广播网络，广域网，局域网，电信网络，数据通信 网络，计算机网络，ATM（异步传输模式）网络，SONET（同步光纤网络） 网络，SDH（同步数字体系）网络，无线网络和有线网络。在一些实施例中， 网络104可以包括无线链路，诸如红外信道或者卫星频带。网络104和/或 104’的拓扑可为总线型、星型或环型网络拓扑。网络104和/或104’以及网络 拓扑可以是对于本领域普通技术人员所熟知的、可以支持此处描述的操作的 任何这样的网络或网络拓扑。

如图1A所示，设备200被显示在网络104和104’之间，设备200也可 被称为接口单元200或者网关200。在一些实施例中，设备200可位于网络 104上。例如，公司的分支机构可在分支机构中部署设备200。在其他实施 例中，设备200可以位于网络104’上。例如，设备200可位于公司的数据中 心。在又一个实施例中，多个设备200可在网络104上部署。在一些实施例 中，多个设备200可部署在网络104’上。在一个实施例中，第一设备200与 第二设备200’通信。在其他实施例中，设备200可为位于与客户机102同一 或不同网络104、104’的任一客户机102或服务器106的一部分。一个或多 个设备200可位于客户机102和服务器106之间的网络或网络通信路径中的 任一点。

在一些实施例中，设备200包括由位于佛罗里达州Ft.Lauderdale的Citrix  Systems公司制造的被称为Citrix NetScaler设备的任何网络设备。在其他实 施例中，设备200包括由位于华盛顿州西雅图的F5Networks公司制造的被 称为WebAccelerator和BigIP的任何一个产品实施例。在又一个实施例中， 设备205包括由位于加利福尼亚州Sunnyvale的Juniper Networks公司制造 的DX加速设备平台和/或诸如SA700、SA2000、SA4000和SA6000的SSL VPN系列设备中的任何一个。在又一个实施例中，设备200包括由位于加利 福尼亚州San Jose的Cisco Systems公司制造的任何应用加速和/或安全相关 的设备和/或软件，例如Cisco ACE应用控制引擎模块服务（Application  Control Engine Module service）软件和网络模块以及Cisco AVS系列应用速 度系统（Application Velocity System）。

在一个实施例中，系统可包括多个逻辑分组的服务器106。在这些实施 例中，服务器的逻辑分组可以被称为服务器群38。在其中一些实施例中，服 务器106可为地理上分散的。在一些情况中，群38可以作为单个实体被管 理。在其他实施例中，服务器群38包括多个服务器群38。在一个实施例中， 服务器群代表一个或多个客户机102执行一个或多个应用程序。

在每个群38中的服务器106可为不同种类。一个或多个服务器106可 根据一种类型的操作系统平台（例如，由华盛顿州Redmond的Microsoft公 司制造的WINDOWS NT）操作，而一个或多个其它服务器106可根据另一 类型的操作系统平台（例如，Unix或Linux）操作。每个群38的服务器106 不需要与同一群38内的另一个服务器106物理上接近。因此，被逻辑分组 为群38的服务器106组可使用广域网（WAN）连接或城域网（MAN）连接 互联。例如，群38可包括物理上位于不同大陆或大陆的不同区域、国家、 州、城市、校园或房间的服务器106。如果使用局域网（LAN）连接或一些 直连形式来连接服务器106，则可增加群38中的服务器106间的数据传送速 度。

服务器106可指文件服务器、应用服务器、web服务器、代理服务器或 者网关服务器。在一些实施例中，服务器106可以有作为应用服务器或者作 为主应用服务器工作的能力。在一个实施例中，服务器106可包括活动目录。 客户机102也可称为客户端节点或端点。在一些实施例中，客户机102可以 有作为客户机节点寻求访问服务器上的应用的能力，也可以有作为应用服务 器为其它客户机102a-102n提供对寄载的应用的访问的能力。

在一些实施例中，客户机102与服务器106通信。在一个实施例中，客 户机102与群38中的服务器106的其中一个直接通信。在又一个实施例中， 客户机102执行程序邻近应用（program neighborhood application）以与群38 内的服务器106通信。在又一个实施例中，服务器106提供主节点的功能。 在一些实施例中，客户机102通过网络104与群38中的服务器106通信。 通过网络104，客户机102例如可以请求执行群38中的服务器106a-106n寄 载的各种应用，并接收应用执行结果的输出进行显示。在一些实施例中，只 有主节点提供识别和提供与寄载所请求的应用的服务器106’相关的地址信 息所需的功能。

在一个实施例中，服务器106提供web服务器的功能。在又一个实施例 中，服务器106a接收来自客户机102的请求，将该请求转发到第二服务器 106b，并使用来自服务器106b对该请求的响应来对客户机102的请求进行 响应。在又一个实施例中，服务器106获得客户机102可用的应用的列举以 及与由该应用的列举所识别的应用的服务器106相关的地址信息。在又一个 实施例中，服务器106使用web接口将对请求的响应提供给客户机102。在 一个实施例中，客户机102直接与服务器106通信以访问所识别的应用。在 又一个实施例中，客户机102接收由执行服务器106上所识别的应用而产生 的诸如显示数据的应用输出数据。

现参考图1B，描述了部署多个设备200的网络环境的实施例。第一设 备200可以部署在第一网络104上，而第二设备200’部署在第二网络104’ 上。例如，公司可以在分支机构部署第一设备200，而在数据中心部署第二 设备200’。在又一个实施例中，第一设备200和第二设备200’被部署在同一 个网络104或网络104上。例如，第一设备200可以被部署用于第一服务器 群38，而第二设备200可以被部署用于第二服务器群38’。在另一个实例中， 第一设备200可以被部署在第一分支机构，而第二设备200’被部署在第二分 支机构’。在一些实施例中，第一设备200和第二设备200’彼此协同或联合 工作，以加速客户机和服务器之间的网络流量或应用和数据的传送。

现参考图1C，描述了网络环境的又一个实施例，在该网络环境中，将 设备200和一个或多个其它类型的设备部署在一起，例如，部署在一个或多 个WAN优化设备205,205’之间。例如，第一WAN优化设备205显示在网 络104和104’之间，而第二WAN优化设备205’可以部署在设备200和一个 或多个服务器106之间。例如，公司可以在分支机构部署第一WAN优化设 备205，而在数据中心部署第二WAN优化设备205’。在一些实施例中，设 备205可以位于网络104’上。在其他实施例中，设备205’可以位于网络104 上。在一些实施例中，设备205’可以位于网络104’或网络104"上。在一个 实施例中，设备205和205’在同一个网络上。在又一个实施例中，设备205 和205’在不同的网络上。在另一个实例中，第一WAN优化设备205可以被 部署用于第一服务器群38，而第二WAN优化设备205’可以被部署用于第二 服务器群38’。

在一个实施例中，设备205是用于加速、优化或者以其他方式改善任何 类型和形式的网络流量（例如去往和/或来自WAN连接的流量）的性能、操 作或服务质量的装置。在一些实施例中，设备205是一个性能增强代理。在 其他实施例中，设备205是任何类型和形式的WAN优化或加速装置，有时 也被称为WAN优化控制器。在一个实施例中，设备205是由位于佛罗里达 州Ft.Lauderdale的Citrix Systems公司出品的被称为WANScaler的产品实施 例中的任何一种。在其他实施例中，设备205包括由位于华盛顿州Seattle 的F5Networks公司出品的被称为BIG-IP链路控制器和WANjet的产品实施 例中的任何一种。在又一个实施例中，设备205包括由位于加利福尼亚州 Sunnyvale的Juniper NetWorks公司出品的WX和WXC WAN加速装置平台 中的任何一种。在一些实施例中，设备205包括由加利福尼亚州San Francisco 的Riverbed Technology公司出品的虹鳟（steelhead）系列WAN优化设备中 的任何一种。在其他实施例中，设备205包括由位于新泽西州Roseland的 Expand Networks公司出品的WAN相关装置中的任何一种。在一个实施例 中，设备205包括由位于加利福尼亚州Cupertino的Packeteer公司出品的任 何一种WAN相关设备，例如由Packeteer提供的PacketShaper、iShared和 SkyX产品实施例。在又一个实施例中，设备205包括由位于加利福尼亚州 San Jose的Cisco Systems公司出品的任何WAN相关设备和/或软件，例如 Cisco广域网应用服务软件和网络模块以及广域网引擎设备。

在一个实施例中，设备205为分支机构或远程办公室提供应用和数据加 速服务。在一个实施例中，设备205包括广域文件服务（WAFS）的优化。 在又一个实施例中，设备205加速文件的传送，例如经由通用互联网文件系 统（CIFS）协议。在其他实施例中，设备205在存储器和/或存储装置中提 供高速缓存来加速应用和数据的传送。在一个实施例中，设备205在任何级 别的网络堆栈或在任何的协议或网络层中提供网络流量的压缩。在又一个实 施例中，设备205提供传输层协议优化、流量控制、性能增强或修改和/或管 理，以加速WAN连接上的应用和数据的传送。例如，在一个实施例中，设 备205提供传输控制协议（TCP）优化。在其他实施例中，设备205提供对 于任何会话或应用层协议的优化、流量控制、性能增强或修改和/或管理。

在又一个实施例中，设备205将任何类型和形式的数据或信息编码成网 络分组的定制的或标准的TCP和/或IP的报头字段或可选字段，以将其存在、 功能或能力通告给另一个设备205’。在又一个实施例中，设备205’可以使用 在TCP和/或IP报头字段或选项中编码的数据来与另一个设备205’进行通 信。例如，设备可以使用TCP选项或IP报头字段或选项来传达在执行诸如 WAN加速的功能时或者为了彼此联合工作而由设备205，205’所使用的一个 或多个参数。

在一些实施例中，设备200保存在设备205和205’之间传达的TCP和/ 或IP报头和/或可选字段中编码的任何信息。例如，设备200可以终止经过 设备200的传输层连接，例如经过设备205和205’的在客户机和服务器之间 的一个传输层连接。在一个实施例中，设备200识别并保存由第一设备205 通过第一传输层连接发送的传输层分组中的任何编码信息，并经由第二传输 层连接来将具有编码信息的传输层分组传达到第二设备205’。

现参考图1D，描述了用于传送和/或操作客户机102上的计算环境的网 络环境。在一些实施例中，服务器106包括用于向一个或多个客户机102传 送计算环境或应用和/或数据文件的应用传送系统190。总的来说，客户机10 通过网络104、104’和设备200与服务器106通信。例如，客户机102可驻 留在公司的远程办公室里，例如分支机构，并且服务器106可驻留在公司数 据中心。客户机102包括客户机代理120以及计算环境15。计算环境15可 执行或操作用于访问、处理或使用数据文件的应用。可经由设备200和/或服 务器106传送计算环境15、应用和/或数据文件。

在一些实施例中，设备200加速计算环境15或者其任何部分到客户机 102的传送。在一个实施例中，设备200通过应用传送系统190加速计算环 境15的传送。例如，可使用此处描述的实施例来加速从公司中央数据中心 到远程用户位置（例如公司的分支机构）的流应用（streaming application） 及该应用可处理的数据文件的传送。在又一个实施例中，设备200加速客户 机102和服务器106之间的传输层流量。设备200可以提供用于加速从服务 器106到客户机102的任何传输层有效载荷的加速技术，例如：1）传输层 连接池，2）传输层连接多路复用，3）传输控制协议缓冲，4）压缩和5）高 速缓存。在一些实施例中，设备200响应于来自客户机102的请求提供服务 器106的负载平衡。在其他实施例中，设备200充当代理或者访问服务器来 提供对一个或者多个服务器106的访问。在又一个实施例中，设备200提供 从客户机102的第一网络104到服务器106的第二网络104’的安全虚拟专用 网络连接，诸如SSL VPN连接。在又一些实施例中，设备200提供客户机 102和服务器106之间的连接和通信的应用防火墙安全、控制和管理。

在一些实施例中，基于多个执行方法并且基于通过策略引擎195所应用 的任一验证和授权策略，应用传送管理系统190提供将计算环境传送到远程 的或者另外的用户的桌面的应用传送技术。使用这些技术，远程用户可以从 任何网络连接装置100获取计算环境并且访问服务器所存储的应用和数据文 件。在一个实施例中，应用传送系统190可驻留在服务器106上或在其上执 行。在又一个实施例中，应用传送系统190可驻留在多个服务器106a-106n 上或在其上执行。在一些实施例中，应用传送系统190可在服务器群38内 执行。在一个实施例中，执行应用传送系统190的服务器106也可存储或提 供应用和数据文件。在又一个实施例中，一个或多个服务器106的第一组可 执行应用传送系统190，而不同的服务器106n可存储或提供应用和数据文 件。在一些实施例中，应用传送系统190、应用和数据文件中的每一个可驻 留或位于不同的服务器。在又一个实施例中，应用传送系统190的任何部分 可驻留、执行、或被存储于或分发到设备200或多个设备。

客户机102可包括用于执行使用或处理数据文件的应用的计算环境15。 客户机102可通过网络104、104’和设备200请求来自服务器106的应用和 数据文件。在一个实施例中，设备200可以将来自客户机102的请求转发到 服务器106。例如，客户机102可能不具有本地存储或者本地可访问的应用 和数据文件。响应于请求，应用传送系统190和/或服务器106可以传送应用 和数据文件到客户机102。例如，在一个实施例中，服务器106可以把应用 作为应用流来传输，以在客户机102上的计算环境15中操作。

在一些实施例中，应用传送系统190包括Citrix Systems有限公司的 Citrix Access Suite^TM的任一部分（例如MetaFrame或Citrix Presentation  Server^TM），和/或微软公司开发的Windows终端服务中的任何一 个。在一个实施例中，应用传送系统190可以通过远程显示协议或者以其它 方式通过基于远程计算或者基于服务器计算来传送一个或者多个应用到客 户机102或者用户。在又一个实施例中，应用传送系统190可以通过应用流 来传送一个或者多个应用到客户机或者用户。

在一个实施例中，应用传送系统190包括策略引擎195，其用于控制和 管理对应用的访问、应用执行方法的选择以及应用的传送。在一些实施例中， 策略引擎195确定用户或者客户机102可以访问的一个或者多个应用。在又 一个实施例中，策略引擎195确定应用应该如何被传送到用户或者客户机 102，例如执行方法。在一些实施例中，应用传送系统190提供多个传送技 术，从中选择应用执行的方法，例如基于服务器的计算、本地流式传输或传 送应用给客户机120以用于本地执行。

在一个实施例中，客户机102请求应用程序的执行并且包括服务器106 的应用传送系统190选择执行应用程序的方法。在一些实施例中，服务器106 从客户机102接收证书。在又一个实施例中，服务器106从客户机102接收 对于可用应用的列举的请求。在一个实施例中，响应该请求或者证书的接收， 应用传送系统190列举对于客户机102可用的多个应用程序。应用传送系统 190接收执行所列举的应用的请求。应用传送系统190选择预定数量的方法 之一来执行所列举的应用，例如响应策略引擎的策略。应用传送系统190可 以选择执行应用的方法，使得客户机102接收通过执行服务器106上的应用 程序所产生的应用输出数据。应用传送系统190可以选择执行应用的方法， 使得本地机器10在检索包括应用的多个应用文件之后本地执行应用程序。 在又一个实施例中，应用传送系统190可以选择执行应用的方法，以通过网 络104流式传输应用到客户机102。

客户机102可以执行、操作或者以其它方式提供应用，所述应用可为任 何类型和/或形式的软件、程序或者可执行指令，例如任何类型和/或形式的 web浏览器、基于web的客户机、客户机－服务器应用、瘦客户端计算客户 机、ActiveX控件、或者Java程序、或者可以在客户机102上执行的任何其 它类型和/或形式的可执行指令。在一些实施例中，应用可以是代表客户机 102在服务器106上执行的基于服务器或者基于远程的应用。在一个实施例 中，服务器106可以使用任何瘦-客户端或远程显示协议来显示输出到客户 机102，所述瘦-客户端或远程显示协议例如由位于佛罗里达州Ft.Lauderdale 的Citrix Systems公司出品的独立计算架构（ICA）协议或由位于华盛顿州 Redmond的微软公司出品的远程桌面协议（RDP）。应用可使用任何类型的 协议，并且它可为，例如，HTTP客户机、FTP客户机、Oscar客户机或Telnet 客户机。在其他实施例中，应用包括和VoIP通信相关的任何类型的软件， 例如软IP电话。在进一步的实施例中，应用包括涉及到实时数据通信的任 一应用，例如用于流式传输视频和/或音频的应用。

在一些实施例中，服务器106或服务器群38可运行一个或多个应用， 例如提供瘦客户端计算或远程显示表示应用的应用。在一个实施例中，服务 器106或服务器群38作为一个应用来执行Citrix Systems有限公司的Citrix  Access Suite^TM的任一部分（例如MetaFrame或Citrix Presentation Server^TM）， 和/或微软公司开发的Windows终端服务中的任何一个。在一个实 施例中，该应用是位于佛罗里达州Fort Lauderdale的Citrix Systems有限公司 开发的ICA客户机。在其他实施例中，该应用包括由位于华盛顿州Redmond 的Microsoft公司开发的远程桌面（RDP）客户机。另外，服务器106可以运 行一个应用，例如，其可以是提供电子邮件服务的应用服务器，例如由位于 华盛顿州Redmond的Microsoft公司制造的Microsoft Exchange，web或Internet 服务器，或者桌面共享服务器，或者协作服务器。在一些实施例中，任一应 用可以包括任一类型的所寄载的服务或产品，例如位于加利福尼亚州Santa  Barbara的Citrix Online Division公司提供的GoToMeeting^TM，位于加利福尼亚 州Santa Clara的WebEx有限公司提供的WebEx^TM，或者位于华盛顿州 Redmond的Microsoft公司提供的Microsoft Office Live Meeting。

仍参考图1D，网络环境的一个实施例可以包括监控服务器106A。监控 服务器106A可以包括任何类型和形式的性能监控服务198。性能监控服务 198可以包括监控、测量和/或管理软件和/或硬件，包括数据收集、集合、 分析、管理和报告。在一个实施例中，性能监控服务198包括一个或多个监 控代理197。监控代理197包括用于在诸如客户机102、服务器106或设备 200和205的装置上执行监控、测量和数据收集活动的任何软件、硬件或其 组合。在一些实施例中，监控代理197包括诸如Visual Basic脚本或Javascript 任何类型和形式的脚本。在一个实施例中，监控代理197相对于装置的任何 应用和/或用户透明地执行。在一些实施例中，监控代理197相对于应用或客 户机不显眼地被安装和操作。在又一个实施例中，监控代理197的安装和操 作不需要用于该应用或装置的任何设备。

在一些实施例中，监控代理197以预定频率监控、测量和收集数据。在 其他实施例中，监控代理197基于检测到任何类型和形式的事件来监控、测 量和收集数据。例如，监控代理197可以在检测到对web页面的请求或收到 HTTP响应时收集数据。在另一个实例中，监控代理197可以在检测到诸如 鼠标点击的任一用户输入事件时收集数据。监控代理197可以报告或提供任 何所监控、测量或收集的数据给监控服务198。在一个实施例中，监控代理 197根据时间安排或预定频率来发送信息给监控服务198。在又一个实施例 中，监控代理197在检测到事件时发送信息给监控服务198。

在一些实施例中，监控服务198和/或监控代理197对诸如客户机、服务 器、服务器群、设备200、设备205或网络连接的任何网络资源或网络基础 结构元件的进行监控和性能测量。在一个实施例中，监控服务198和/或监控 代理197执行诸如TCP或UDP连接的任何传输层连接的监控和性能测量。 在又一个实施例中，监控服务198和/或监控代理197监控和测量网络等待时 间。在又一个实施例中，监控服务198和/或监控代理197监控和测量带宽利 用。

在其他实施例中，监控服务198和/或监控代理197监控和测量终端用户 响应时间。在一些实施例中，监控服务198执行应用的监控和性能测量。在 又一个实施例中，监控服务198和/或监控代理197执行到应用的任何会话或 连接的监控和性能测量。在一个实施例中，监控服务198和/或监控代理197 监控和测量浏览器的性能。在又一个实施例中，监控服务198和/或监控代理 197监控和测量基于HTTP的事务的性能。在一些实施例中，监控服务198 和/或监控代理197监控和测量IP电话（VoIP）应用或会话的性能。在其他 实施例中，监控服务198和/或监控代理197监控和测量诸如ICA客户机或 RDP客户机的远程显示协议应用的性能。在又一个实施例中，监控服务198 和/或监控代理197监控和测量任何类型和形式的流媒体的性能。在进一步的 实施例中，监控服务198和/或监控代理197监控和测量所寄载的应用或软件 即服务（Software-As-A-Service，SaaS）传送模型的性能。

在一些实施例中，监控服务198和/或监控代理197执行与应用相关的一 个或多个事务、请求或响应的监控和性能测量。在其他实施例中，监控服务 198和/或监控代理197监控和测量应用层堆栈的任何部分，例如任何.NET 或J2EE调用。在一个实施例中，监控服务198和/或监控代理197监控和测 量数据库或SQL事务。在又一个实施例中，监控服务198和/或监控代理197 监控和测量任何方法、函数或应用编程接口（API）调用。

在一个实施例中，监控服务198和/或监控代理197对经由诸如设备200 和/或设备205的一个或多个设备从服务器到客户机的应用和/或数据的传送 进行监控和性能测量。在一些实施例中，监控服务198和/或监控代理197 监控和测量虚拟化应用的传送的性能。在其他实施例中，监控服务198和/ 或监控代理197监控和测量流式应用的传送的性能。在又一个实施例中，监 控服务198和/或监控代理197监控和测量传送桌面应用到客户机和/或在客 户机上执行桌面应用的性能。在又一个实施例中，监控服务198和/或监控代 理197监控和测量客户机/服务器应用的性能。

在一个实施例中，监控服务198和/或监控代理197被设计和构建成为应 用传送系统190提供应用性能管理。例如，监控服务198和/或监控代理197 可以监控、测量和管理经由Citrix表示服务器（Citrix Presentation Server）传 送应用的性能。在该实例中，监控服务198和/或监控代理197监控单独的 ICA会话。监控服务198和/或监控代理197可以测量总的以及每次的会话系 统资源使用，以及应用和连网性能。监控服务198和/或监控代理197可以对 于给定用户和/或用户会话来标识有效服务器（active server）。在一些实施例 中，监控服务198和/或监控代理197监控在应用传送系统190和应用和/或 数据库服务器之间的后端连接。监控服务198和/或监控代理197可以测量每 个用户会话或ICA会话的网络等待时间、延迟和容量。

在一些实施例中，监控服务198和/或监控代理197测量和监控对于应用 传送系统190的诸如总的存储器使用、每个用户会话和/或每个进程的存储器 使用。在其他实施例中，监控服务198和/或监控代理197测量和监控诸如总 的CPU使用、每个用户会话和/或每个进程的应用传送系统190的CPU使用。 在又一个实施例中，监控服务198和/或监控代理197测量和监控登录到诸如 Citrix表示服务器的应用、服务器或应用传送系统所需的时间。在一个实施 例中，监控服务198和/或监控代理197测量和监控用户登录应用、服务器或 应用传送系统190的持续时间。在一些实施例中，监控服务198和/或监控代 理197测量和监控应用、服务器或应用传送系统会话的有效和无效的会话计 数。在又一个实施例中，监控服务198和/或监控代理197测量和监控用户会 话等待时间。

在另外的实施例中，监控服务198和/或监控代理197测量和监控任何类 型和形式的服务器指标。在一个实施例中，监控服务198和/或监控代理197 测量和监控与系统内存、CPU使用和盘存储器有关的指标。在又一个实施例 中，监控服务198和/或监控代理197测量和监控和页错误有关的指标，诸如 每秒页错误。在其他实施例中，监控服务198和/或监控代理197测量和监控 往返时间的指标。在又一个实施例中，监控服务198和/或监控代理197测量 和监控与应用崩溃、错误和/或中止相关的指标。

在一些实施例中，监控服务198和监控代理198包括由位于佛罗里达州 Ft.Lauderdale的Citrix Systems公司出品的被称为EdgeSight的任何一种产品 实施例。在又一个实施例中，性能监控服务198和/或监控代理198包括由位 于加利福尼亚州Palo Alto的Symphoniq公司出品的被称为TrueView产品套 件的产品实施例的任一部分。在一个实施例中，性能监控服务198和/或监控 代理198包括由位于加利福尼亚州San Francisco的TeaLeaf技术公司出品的 被称为TeaLeafCX产品套件的产品实施例的任何部分。在其他实施例中，性 能监控服务198和/或监控代理198包括由位于德克萨斯州Houston的BMC 软件公司出品的诸如BMC性能管理器和巡逻产品（BMC Performance  Manager and Patrol products）的商业服务管理产品的任何部分。

客户机102、服务器106和设备200可以被部署为和/或执行在任何类型 和形式的计算装置上，诸如能够在任何类型和形式的网络上通信并执行此处 描述的操作的计算机、网络装置或者设备。图1E和1F描述了可用于实施客 户机102、服务器106或设备200的实施例的计算装置100的框图。如图1E 和1F所示，每个计算装置100包括中央处理单元101和主存储器单元122。 如图1E所示，计算装置100可以包括可视显示装置124、键盘126和/或诸 如鼠标的指示装置127。每个计算装置100也可包括其它可选元件，例如一 个或多个输入/输出装置130a－130b（总的使用附图标记130表示），以及与 中央处理单元101通信的高速缓存存储器140。

中央处理单元101是响应并处理从主存储器单元122取出的指令的任何 逻辑电路。在许多实施例中，中央处理单元由微处理器单元提供，例如：由 加利福尼亚州Mountain View的Intel公司制造的微处理器单元；由伊利诺伊 州Schaumburg的Motorola公司制造的微处理器单元；由加利福尼亚州Santa  Clara的Transmeta公司制造的微处理器单元；由纽约州White Plains的 International Business Machines公司制造的RS/6000处理器;或者由加利福尼 亚州Sunnyvale的Advanced Micro Devices公司制造的微处理器单元。计算 装置100可以基于这些处理器中的任何一种，或者能够如此处所述方式运行 的任何其它处理器。

主存储器单元122可以是能够存储数据并允许微处理器101直接访问任 何存储位置的一个或多个存储器芯片，例如静态随机存取存储器(SRAM)、 突发SRAM或同步突发SRAM（BSRAM）、动态随机存取存储器DRAM、 快速页模式DRAM（FPM DRAM）、增强型DRAM（EDRAM）、扩展数据 输出RAM（EDO RAM）、扩展数据输出DRAM（EDO DRAM）、突发式扩 展数据输出DRAM（BEDO DRAM）、增强型DRAM（EDRAM）、同步DRAM （SDRAM）、JEDEC SRAM、PC100SDRAM、双数据速率SDRAM（DDR SDRAM）、增强型SRAM（ESDRAM）、同步链路DRAM（SLDRAM）、直 接内存总线DRAM（DRDRAM）或铁电RAM（FRAM）。主存储器122可 以基于上述存储芯片的任何一种，或者能够如此处所述方式运行的任何其它 可用存储芯片。在图1E中所示的实施例中，处理器101通过系统总线150 （在下面进行更详细的描述）与主存储器122进行通信。图1E描述了在其 中处理器通过存储器端口103直接与主存储器122通信的计算装置100的实 施例。例如，在图1F中，主存储器122可以是DRDRAM。

图1F描述了在其中主处理器101通过第二总线与高速缓存存储器140 直接通信的实施例，第二总线有时也称为后端总线。其他实施例中，主处理 器101使用系统总线150和高速缓存存储器140通信。高速缓存存储器140 通常有比主存储器122更快的响应时间，并且通常由SRAM、BSRAM或 EDRAM提供。在图1F中所示的实施例中，处理器101通过本地系统总线 150与多个I/O装置130进行通信。可以使用各种不同的总线将中央处理单 元101连接到任何I/O装置130，所述总线包括VESA VL总线、ISA总线、 EISA总线、微通道体系结构（MCA）总线、PCI总线、PCI-X总线、PCI-Express 总线或NuBus。对于I/O装置是视频显示器124的实施例，处理器101可以 使用高级图形端口（AGP）与显示器124通信。图1F说明了主处理器101 通过超传输（HyperTransport）、快速I/O或者InfiniBand直接与I/O装置130 通信的计算机100的一个实施例。图1F还描述了在其中混合本地总线和直 接通信的实施例：处理器101使用本地互连总线与I/O装置130b进行通信， 同时直接与I/O装置130a进行通信。

计算装置100可以支持任何适当的安装装置116，例如用于接纳诸如3.5 英寸、5.25英寸磁盘或ZIP磁盘这样的软盘的软盘驱动器、CD-ROM驱动器、 CD-R/RW驱动器、DVD-ROM驱动器、各种格式的磁带驱动器、USB装置、 硬盘驱动器或适于安装像任何客户机代理120或其部分的软件和程序的任何 其它装置。计算装置100还可以包括存储装置128，诸如一个或者多个硬盘 驱动器或者独立磁盘冗余阵列，用于存储操作系统和其它相关软件，以及用 于存储诸如涉及客户机代理120的任何程序的应用软件程序。或者，可以使 用安装装置116的任何一种作为存储装置128。此外，操作系统和软件可从 例如可引导CD的可引导介质运行，诸如一种用于GNU/Linux 的可引导CD，该可引导CD可自knoppix.net作为GNU/Linux一个分发版获 得。

此外，计算装置100可以包括通过多种连接接口到局域网（LAN）、广 域网（WAN）或因特网的网络接口118，所述多种连接包括但不限于标准电 话线路、LAN或WAN链路（例如802.11，T1，T3、56kb、X.25）、宽带连 接（如ISDN、帧中继、ATM）、无线连接、或上述任何或所有连接的一些组 合。网络接口118可以包括内置网络适配器、网络接口卡、PCMCIA网络卡、 卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用 于将计算装置100接口到能够通信并执行这里所说明的操作的任何类型的网 络的任何其它设备。计算装置100中可以包括各种I/O装置130a-130n。输 入装置包括键盘、鼠标、触控板、轨迹球、麦克风和绘图板。输出装置包括 视频显示器、扬声器、喷墨打印机、激光打印机和热升华打印机。如图1E 所示，I/O装置130可以由I/O控制器123控制。I/O控制器可以控制一个或 多个I/O装置，例如键盘126和指示装置127（如鼠标或光笔）。此外，I/O 装置还可以为计算装置100提供存储装置128和/或安装介质116。在其他实 施例中，计算装置100可以提供USB连接以接纳手持USB存储装置，例如 由位于美国加利福尼亚州Los Alamitos的Twintech Industry有限公司生产的 USB闪存驱动驱动系列装置。

在一些实施例中，计算装置100可以包括多个显示装置124a-124n或与 其相连，这些显示装置各自可以是相同或不同的类型和/或形式。因而，任何 一种I/O装置130a-130n和/或I/O控制器123可以包括任一类型和/或形式的 适当的硬件、软件或硬件和软件的组合，以支持、允许或提供通过计算装置 100连接和使用多个显示装置124a-124n。例如，计算装置100可以包括任何 类型和/或形式的视频适配器、视频卡、驱动器和/或库，以与显示装置 124a-124n接口、通信、连接或以其他方式使用显示装置。在一个实施例中， 视频适配器可以包括多个连接器以与多个显示装置124a-124n接口。在其他 实施例中，计算装置100可以包括多个视频适配器，每个视频适配器与显示 装置124a-124n中的一个或多个连接。在一些实施例中，计算装置100的操 作系统的任一部分都可以被配置用于使用多个显示器124a-124n。在其他实 施例中，显示装置124a-124n中的一个或多个可以由一个或多个其它计算装 置提供，诸如例如通过网络与计算装置100连接的计算装置100a和100b。 这些实施例可以包括被设计和构造为将另一个计算机的显示装置用作计算 装置100的第二显示装置124a的任一类型的软件。本领域的普通技术人员 应认识和理解可以将计算装置100配置成具有多个显示装置124a-124n的各 种方法和实施例。

在另外的实施例中，I/O装置130可以是系统总线150和外部通信总线 之间的桥170，所述外部通信总线例如USB总线、Apple桌面总线、RS-232 串行连接、SCSI总线、FireWire总线、FireWire800总线、以太网总线、 AppleTalk总线、千兆位以太网总线、异步传输模式总线、HIPPI总线、超级 HIPPI总线、SerialPlus总线、SCI/LAMP总线、光纤信道总线或串行SCSI 总线。

图1E和1F中描述的那类计算装置100通常在控制任务的调度和对系统 资源的访问的操作系统的控制下操作。计算装置100可以运行任何操作系统， 如Windows操作系统，不同发行版本的Unix和Linux操作系统， 用于Macintosh计算机的任何版本的MAC任何嵌入式操作系统，任 何实时操作系统，任何开源操作系统，任何专有操作系统，任何用于移动计 算装置的操作系统，或者任何其它能够在计算装置上运行并完成这里所述操 作的操作系统。典型的操作系统包括：WINDOWS3.x、WINDOWS95、 WINDOWS98、WINDOWS2000、WINDOWS NT3.51、WINDOWS NT4.0、 WINDOWS CE和WINDOWS XP，所有这些均由位于华盛顿州Redmond的 微软公司出品；由位于加利福尼亚州Cupertino的苹果计算机出品的MacOS； 由位于纽约州Armonk的国际商业机器公司出品的OS/2；以及由位于犹他州 Salt Lake City的Caldera公司发布的可免费使用的Linux操作系统或者任何 类型和/或形式的Unix操作系统，以及其它。

在其他的实施例中，计算装置100可以有符合该装置的不同的处理器、 操作系统和输入设备。例如，在一个实施例中，计算机100是由Palm公司 出品的Treo180、270、1060、600或650智能电话。在该实施例中，Treo智 能电话在PalmOS操作系统的控制下操作，并包括指示笔输入装置以及五向 导航装置。此外，计算装置100可以是任何工作站、桌面计算机、膝上型或 笔记本计算机、服务器、手持计算机、移动电话、任何其它计算机、或能够 通信并有足够的处理器能力和存储容量以执行此处所述的操作的其它形式 的计算或者电信装置。

如图1G所示，计算装置100可以包括多个处理器，可以提供用于对不 只一个数据片同时执行多个指令或者同时执行一个指令的功能。在一些实施 例中，计算装置100可包括具有一个或多个核的并行处理器。在这些实施例 的一个中，计算装置100是共享内存并行设备，具有多个处理器和/或多个处 理器核，将所有可用内存作为一个全局地址空间进行访问。在这些实施例的 又一个中，计算装置100是分布式存储器并行设备，具有多个处理器，每个 处理器访问本地存储器。在这些实施例的又一个中，计算装置100既有共享 的存储器又有仅由特定处理器或处理器子集访问的存储器。在这些实施例的 又一个中，如多核微处理器的计算装置100将两个或多个独立处理器组合在 一个封装中，通常在一个集成电路（IC）中。在这些实施例的又一个中，计 算装置100包括具有单元宽带引擎（CELL BROADBAND ENGINE）架构的 芯片，并包括高能处理器单元以及多个协同处理单元，高能处理器单元和多 个协同处理单元通过内部高速总线连接在一起，可以将内部高速总线称为单 元互连总线。

在一些实施例中，处理器提供用于对多个数据片同时执行单个指令 （SIMD）的功能。其他实施例中，处理器提供用于对多个数据片同时执行 多个指令（MIMD）的功能。又一个实施例中，处理器可以在单个装置中使 用SIMD和MIMD核的任意组合。

在一些实施例中，计算装置100可包括图像处理单元。图1H所示的在 这些实施例的一个中，计算装置100包括至少一个中央处理单元101和至 少一个图像处理单元。在这些实施例的又一个中，计算装置100包括至少 一个并行处理单元和至少一个图像处理单元。在这些实施例的又一个中，计 算装置100包括任意类型的多个处理单元，多个处理单元中的一个包括图像 处理单元。

一些实施例中，第一计算装置100a代表客户计算装置100b的用户执行 应用。又一个实施例中，计算装置100执行虚拟机，其提供执行会话，在该 会话中，代表客户计算装置100b的用户执行应用。在这些实施例的一个中， 执行会话是寄载的桌面会话。在这些实施例的又一个中，计算装置100执行 终端服务会话。终端服务会话可以提供寄载的桌面环境。在这些实施例的又 一个中，执行会话提供对计算环境的访问，该计算环境可包括以下的一个或 多个：应用、多个应用、桌面应用以及可执行一个或多个应用的桌面会话。

B.设备架构

图2A示出设备200的一个示例实施例。提供图2A的设备200架构仅 用于示例，并不意于作为限制性的架构。如图2所示，设备200包括硬件层 206和被分为用户空间202和内核空间204的软件层。

硬件层206提供硬件元件，在内核空间204和用户空间202中的程序和 服务在该硬件元件上被执行。硬件层206也提供结构和元件，就设备200而 言，这些结构和元件允许在内核空间204和用户空间202内的程序和服务既 在内部进行数据通信又与外部进行数据通信。如图2所示，硬件层206包括 用于执行软件程序和服务的处理单元262，用于存储软件和数据的存储器 264，用于通过网络传输和接收数据的网络端口266，以及用于执行与安全套 接字协议层相关的功能处理通过网络传输和接收的数据的加密处理器260。 在一些实施例中，中央处理单元262可在单独的处理器中执行加密处理器 260的功能。另外，硬件层206可包括用于每个处理单元262和加密处理器 260的多处理器。处理器262可以包括以上结合图1E和1F所述的任一处理 器101。例如，在一个实施例中，设备200包括第一处理器262和第二处理 器262’。在其他实施例中，处理器262或者262’包括多核处理器。

虽然示出的设备200的硬件层206通常带有加密处理器260，但是处理 器260可为执行涉及任何加密协议的功能的处理器，例如安全套接字协议层 （SSL）或者传输层安全（TLS）协议。在一些实施例中，处理器260可为 通用处理器（GPP），并且在进一步的实施例中，可为用于执行任何安全相 关协议处理的可执行指令。

虽然图2中设备200的硬件层206包括了某些元件，但是设备200的硬 件部分或组件可包括计算装置的任何类型和形式的元件、硬件或软件，例如 此处结合图1E和1F示出和讨论的计算装置100。在一些实施例中，设备200 可包括服务器、网关、路由器、开关、桥接器或其它类型的计算或网络设备， 并且拥有与此相关的任何硬件和/或软件元件。

设备200的操作系统分配、管理或另外分离可用的系统存储器到内核空 间204和用户空间204。在示例的软件架构200中，操作系统可以是任何类 型和/或形式的Unix操作系统，尽管本发明并未这样限制。这样，设备200 可以运行任何操作系统，如任何版本的Windows操作系统、不同 版本的Unix和Linux操作系统、用于Macintosh计算机的任何版本的Mac 任何的嵌入式操作系统、任何的网络操作系统、任何的实时操作系统、 任何的开放源操作系统、任何的专用操作系统、用于移动计算装置或网络装 置的任何操作系统、或者能够运行在设备200上并执行此处所描述的操作的 任何其它操作系统。

保留内核空间204用于运行内核230，内核230包括任何设备驱动器， 内核扩展或其他内核相关软件。就像本领域技术人员所知的，内核230是操 作系统的核心，并提供对资源以及设备104的相关硬件元件的访问、控制和 管理。根据设备200的实施例，内核空间204也包括与高速缓存管理器232 协同工作的多个网络服务或进程，高速缓存管理器232有时也称为集成的高 速缓存，其益处此处将进一步详细描述。另外，内核230的实施例将依赖于 通过设备200安装、配置或其他使用的操作系统的实施例。

在一个实施例中，设备200包括一个网络堆栈267，例如基于TCP/IP 的堆栈，用于与客户机102和/或服务器106通信。在一个实施例中，使用网 络堆栈267与第一网络（例如网络108）以及第二网络110通信。在一些实 施例中，设备200终止第一传输层连接，例如客户机102的TCP连接，并 建立客户机102使用的到服务器106的第二传输层连接，例如，终止在设备 200和服务器106的第二传输层连接。可通过单独的网络堆栈267建立第一 和第二传输层连接。在其他实施例中，设备200可包括多个网络堆栈，例如 267或267’，并且在一个网络堆栈267可建立或终止第一传输层连接，在第 二网络堆栈267’上可建立或者终止第二传输层连接。例如，一个网络堆栈可 用于在第一网络上接收和传输网络分组，并且另一个网络堆栈用于在第二网 络上接收和传输网络分组。在一个实施例中，网络堆栈267包括用于为一个 或多个网络分组进行排队的缓冲器243，其中网络分组由设备200传输。

如图2A所示，内核空间204包括高速缓存管理器232、高速层2-7集 成分组引擎240、加密引擎234、策略引擎236以及多协议压缩逻辑238。在 内核空间204或内核模式而不是用户空间202中运行这些组件或进程232、 240、234、236和238提高这些组件中的每个单独的和结合的性能。内核操 作意味着这些组件或进程232、240、234、236和238在设备200的操作系 统的核地址空间中运行。例如，在内核模式中运行加密引擎234通过移动加 密和解密操作到内核可改进加密性能，从而可减少在内核模式中的存储空间 或内核线程与在用户模式中的存储空间或线程之间的传输的数量。例如，在 内核模式获得的数据可能不需要传输或拷贝到运行在用户模式的进程或线 程，例如从内核级数据结构到用户级数据结构。在另一个方面，也可减少内 核模式和用户模式之间的上下文切换的数量。另外，在任何组件或进程232、 240、235、236和238间的同步和通信在内核空间204中可被执行的更有效 率。

在一些实施例中，组件232、240、234、236和238的任何部分可在内 核空间204中运行或操作，而这些组件232、240、234、236和238的其它 部分可在用户空间202中运行或操作。在一个实施例中，设备200使用内核 级数据结构来提供对一个或多个网络分组的任何部分的访问，例如，包括来 自客户机102的请求或者来自服务器106的响应的网络分组。在一些实施例 中，可以由分组引擎240通过到网络堆栈267的传输层驱动器接口或过滤器 获得内核级数据结构。内核级数据结构可包括通过与网络堆栈267相关的内 核空间204可访问的任何接口和/或数据、由网络堆栈267接收或发送的网络 流量或分组。在其他实施例中，任何组件或进程232、240、234、236和238 可使用内核级数据结构来执行组件或进程的需要的操作。在一个实例中，当 使用内核级数据结构时，组件232、240、234、236和238在内核模式204 中运行，而在又一个实施例中，当使用内核级数据结构时，组件232、240、 234、236和238在用户模式中运行。在一些实施例中，内核级数据结构可被 拷贝或传递到第二内核级数据结构，或任何期望的用户级数据结构。

高速缓存管理器232可包括软件、硬件或软件和硬件的任何组合，以提 供对任何类型和形式的内容的高速缓存访问、控制和管理，例如对象或由源 服务器106提供服务的动态产生的对象。由高速缓存管理器232处理和存储 的数据、对象或内容可包括任何格式（例如标记语言）的数据，或者通过任 何协议的通信的任何类型的数据。在一些实施例中，高速缓存管理器232复 制存储在其他地方的原始数据或先前计算、产生或传输的数据，其中相对于 读高速缓存存储器元件，需要更长的访问时间以取得、计算或以其他方式得 到原始数据。一旦数据被存储在高速缓存存储元件中，通过访问高速缓存的 副本而不是重新获得或重新计算原始数据即可进行后续操作，因此而减少了 访问时间。在一些实施例中，高速缓存元件可以包括设备200的存储器264 中的数据对象。在其他实施例中，高速缓存存储元件可包括有比存储器264 更快的存取时间的存储器。在又一个实施例中，高速缓存元件可以包括设备 200的任一类型和形式的存储元件，诸如硬盘的一部分。在一些实施例中， 处理单元262可提供被高速缓存管理器232使用的高速缓存存储器。在又一 个实施例中，高速缓存管理器232可使用存储器、存储区或处理单元的任何 部分和组合来高速缓存数据、对象或其它内容。

另外，高速缓存管理器232包括用于执行此处描述的设备200的技术的 任一实施例的任何逻辑、功能、规则或操作。例如，高速缓存管理器232包 括基于无效时间周期的终止，或者从客户机102或服务器106接收无效命令 使对象无效的逻辑或功能。在一些实施例中，高速缓存管理器232可作为在 内核空间204中执行的程序、服务、进程或任务而操作，并且在其他实施例 中，在用户空间202中执行。在一个实施例中，高速缓存管理器232的第一 部分在用户空间202中执行，而第二部分在内核空间204中执行。在一些实 施例中，高速缓存管理器232可包括任何类型的通用处理器（GPP），或任 何其他类型的集成电路，例如现场可编程门阵列（FPGA），可编程逻辑设备 （PLD），或者专用集成电路（ASIC）。

策略引擎236可包括例如智能统计引擎或其它可编程应用。在一个实施 例中，策略引擎236提供配置机制以允许用户识别、指定、定义或配置高速 缓存策略。策略引擎236，在一些实施例中，也访问存储器以支持数据结构， 例如备份表或hash表，以启用用户选择的高速缓存策略决定。在其他实施 例中，除了对安全、网络流量、网络访问、压缩或其它任何由设备200执行 的功能或操作的访问、控制和管理之外，策略引擎236可包括任何逻辑、规 则、功能或操作以确定和提供对设备200所高速缓存的对象、数据、或内容 的访问、控制和管理。特定高速缓存策略的其他实施例此处进一步描述。

加密引擎234包括用于操控诸如SSL或TLS的任何安全相关协议或其 中涉及的任何功能的处理的任何逻辑、商业规则、功能或操作。例如，加密 引擎234加密并解密通过设备200传输的网络分组，或其任何部分。加密引 擎234也可代表客户机102a-102n、服务器106a-106n或设备200来设置或 建立SSL或TLS连接。因此，加密引擎234提供SSL处理的卸载和加速。 在一个实施例中，加密引擎234使用隧道协议来提供在客户机102a-102n和 服务器106a-106n间的虚拟专用网络。在一些实施例中，加密引擎234与加 密处理器260通信。在其他实施例中，加密引擎234包括运行在加密处理器 260上的可执行指令。

多协议压缩引擎238包括用于压缩一个或多个网络分组协议（例如被设 备200的网络堆栈267使用的任何协议）的任何逻辑、商业规则、功能或操 作。在一个实施例中，多协议压缩引擎238双向压缩在客户机102a-102n和 服务器106a-106n间任一基于TCP/IP的协议，包括消息应用编程接口（MAPI） （电子邮件）、文件传输协议（FTP）、超文本传输协议（HTTP）、通用互联 网文件系统（CIFS）协议（文件传输）、独立计算架构（ICA）协议、远程 桌面协议（RDP）、无线应用协议（WAP）、移动IP协议以及互联网协议电 话（VoIP）协议。在其他实施例中，多协议压缩引擎238提供基于超文本标 记语言（HTML）的协议的压缩，并且在一些实施例中，提供任何标记语言 的压缩，例如可扩展标记语言（XML）。在一个实施例中，多协议压缩引擎 238提供任何高性能协议的压缩，例如设计用于设备200到设备200通信的 任何协议。在又一个实施例中，多协议压缩引擎238使用修改的传输控制协 议来压缩任何通信的任何载荷或任何通信，例如事务TCP（T/TCP）、带有 选择确认的TCP（TCP-SACK）、带有大窗口的TCP（TCP-LW）、例如 TCP-Vegas协议的拥塞预报协议以及TCP欺骗协议（TCP spoofing protocol）。

同样的，多协议压缩引擎238为用户加速经由桌面客户机乃至移动客户 机访问应用的性能，所述桌面客户机例如Micosoft Outlook和非web瘦客户 机，诸如由像Oracle、SAP和Siebel的通用企业应用所启动的任何客户机， 所述移动客户机例如掌上电脑。在一些实施例中，通过在内核模式204内部 执行并与访问网络堆栈267的分组处理引擎240集成，多协议压缩引擎238 可以压缩TCP/IP协议携带的任何协议，例如任何应用层协议。

高速层2-7集成分组引擎240，通常也称为分组处理引擎，或分组引擎， 负责设备200通过网络端口266接收和发送的分组的内核级处理的管理。高 速层2-7集成分组引擎240可包括用于在例如接收网络分组和传输网络分组 的处理期间排队一个或多个网络分组的缓冲器。另外，高速层2-7集成分组 引擎240与一个或多个网络堆栈267通信以通过网络端口266发送和接收网 络分组。高速层2-7集成分组引擎240与加密引擎234、高速缓存管理器232、 策略引擎236和多协议压缩逻辑238协同工作。更具体地，配置加密引擎234 以执行分组的SSL处理，配置策略引擎236以执行涉及流量管理的功能，例 如请求级内容切换以及请求级高速缓存重定向，并配置多协议压缩逻辑238 以执行涉及数据压缩和解压缩的功能。

高速层2-7集成分组引擎240包括分组处理定时器242。在一个实施例 中，分组处理定时器242提供一个或多个时间间隔以触发输入处理，例如， 接收或者输出（即传输）网络分组。在一些实施例中，高速层2-7集成分组 引擎240响应于定时器242处理网络分组。分组处理定时器242向分组引擎 240提供任何类型和形式的信号以通知、触发或传输时间相关的事件、间隔 或发生。在许多实施例中，分组处理定时器242以毫秒级操作，例如100ms、 50ms、或25ms。例如，在一些实例中，分组处理定时器242提供时间间隔 或者以其它方式使得由高速层2-7集成分组引擎240以10ms时间间隔处理 网络分组，而在其他实施例中，使高速层2-7集成分组引擎240以5ms时间 间隔处理网络分组，并且在进一步的实施例中，短到3、2或1ms时间间隔。 高速层2-7集成分组引擎240在操作期间可与加密引擎234、高速缓存管理 器232、策略引擎236以及多协议压缩引擎238连接、集成或通信。因此， 响应于分组处理定时器242和/或分组引擎240，可执行加密引擎234、高速 缓存管理器232、策略引擎236以及多协议压缩引擎238的任何逻辑、功能 或操作。因此，在由分组处理定时器242提供的时间间隔粒度，可执行加密 引擎234、高速缓存管理器232、策略引擎236以及多协议压缩引擎238的 任何逻辑、功能或操作，例如，时间间隔少于或等于10ms。例如，在一个 实施例中，高速缓存管理器232可响应于高速层2-7集成分组引擎240和/ 或分组处理定时器242来执行任何高速缓存的对象的终止。在又一个实施例 中，高速缓存的对象的终止或无效时间被设定为与分组处理定时器242的时 间间隔相同的粒度级，例如每10ms。

与内核空间204不同，用户空间202是被用户模式应用或在用户模式运 行的程序所使用的操作系统的存储区域或部分。用户模式应用不能直接访问 内核空间204而使用服务调用以访问内核服务。如图2所示，设备200的用 户空间202包括图形用户接口（GUI）210、命令行接口（CLI）212、壳服 务（shell service）214、健康监控程序216以及守护（daemon）服务218。 GUI210和CLI212提供系统管理员或其他用户可与之交互并控制设备200 操作的装置，例如通过设备200的操作系统。GUI210和CLI212可包括运 行在用户空间202或内核框架204中的代码。GUI210可以是任何类型或形 式的图形用户接口，可以通过文本、图形或其他形式由任何类型的程序或应 用（如浏览器）来呈现。CLI212可为任何类型和形式的命令行或基于文本 的接口，例如通过操作系统提供的命令行。例如，CLI212可包括壳，该壳 是使用户与操作系统相互作用的工具。在一些实施例中，可通过bash、csh、 tcsh或者ksh类型的壳提供CLI212。壳服务214包括程序、服务、任务、 进程或可执行指令以支持由用户通过GUI210和/或CLI212的与设备200或 者操作系统的交互

健康监控程序216用于监控、检查、报告并确保网络系统正常运行，以 及用户正通过网络接收请求的内容。健康监控程序216包括一个或多个程序、 服务、任务、进程或可执行指令，为监控设备200的任何行为提供逻辑、规 则、功能或操作。在一些实施例中，健康监控程序216拦截并检查通过设备 200传递的任何网络流量。在其他实施例中，健康监控程序216通过任何合 适的方法和/或机制与一个或多个下述设备连接：加密引擎234，高速缓存管 理器232，策略引擎236，多协议压缩逻辑238，分组引擎240，守护服务218 以及壳服务214。因此，健康监控程序216可调用任何应用编程接口（API） 以确定设备200的任何部分的状态、情况或健康。例如，健康监控程序216 可周期性地查验（ping）或发送状态查询以检查程序、进程、服务或任务是 否活动并当前正在运行。在又一个实施例中，健康监控程序216可检查由任 何程序、进程、服务或任务提供的任何状态、错误或历史日志以确定设备200 任何部分的任何状况、状态或错误。

守护服务218是连续运行或在背景中运行的程序，并且处理设备200接 收的周期性服务请求。在一些实施例中，守护服务可向其他程序或进程（例 如合适的另一个守护服务218）转发请求。如本领域技术人员所公知的，守 护服务218可无人监护的运行，以执行连续的或周期性的系统范围功能，例 如网络控制，或者执行任何需要的任务。在一些实施例中，一个或多个守护 服务218运行在用户空间202中，而在其他实施例中，一个或多个守护服务 218运行在内核空间。

现参考图2B，描述了设备200的又一个实施例。总的来说，设备200 提供下列服务、功能或操作中的一个或多个：用于一个或多个客户机102以 及一个或多个服务器106之间的通信的SSL VPN连通280、交换/负载平衡 284、域名服务解析286、加速288和应用防火墙290。服务器106的每一个 可以提供一个或者多个网络相关服务270a-270n（称为服务270）。例如，服 务器106可以提供http服务270。设备200包括一个或者多个虚拟服务器或 者虚拟互联网协议服务器，称为vServer275、vS275、VIP服务器或者仅是 VIP275a-275n（此处也称为vServer275）。vServer275根据设备200的配置 和操作来接收、拦截或者以其它方式处理客户机102和服务器106之间的通 信。

vServer275可以包括软件、硬件或者软件和硬件的任何组合。vServer 275可包括在设备200中的用户模式202、内核模式204或者其任何组合中 运行的任何类型和形式的程序、服务、任务、进程或者可执行指令。vServer 275包括任何逻辑、功能、规则或者操作，以执行此处所述技术的任何实施 例，诸如SSL VPN280、转换/负载平衡284、域名服务解析286、加速288 和应用防火墙290。在一些实施例中，vServer275建立到服务器106的服务 270的连接。服务275可以包括能够连接到设备200、客户机102或者vServer 275并与之通信的任何程序、应用、进程、任务或者可执行指令集。例如， 服务275可以包括web服务器、http服务器、ftp、电子邮件或者数据库服务 器。在一些实施例中，服务270是守护进程或者网络驱动器，用于监听、接 收和/或发送应用的通信，诸如电子邮件、数据库或者企业应用。在一些实施 例中，服务270可以在特定的IP地址、或者IP地址和端口上通信。

在一些实施例中，vServer275应用策略引擎236的一个或者多个策略到 客户机102和服务器106之间的网络通信。在一个实施例中，该策略与vServer 275相关。在又一个实施例中，该策略基于用户或者用户组。在又一个实施 例中，策略为通用的并且应用到一个或者多个vServer275a-275n，和通过设 备200通信的任何用户或者用户组。在一些实施例中，策略引擎的策略具有 基于通信的任何内容应用该策略的条件，通信的内容诸如互联网协议地址、 端口、协议类型、分组中的头部或者字段、或者通信的上下文，诸如用户、 用户组、vServer275、传输层连接、和/或客户机102或者服务器106的标识 或者属性。

在其他实施例中，设备200与策略引擎236通信或接口，以便确定远程 用户或远程客户机102的验证和/或授权，以访问来自服务器106的计算环境 15、应用和/或数据文件。在又一个实施例中，设备200与策略引擎236通信 或交互，以便确定远程用户或远程客户机102的验证和/或授权，使得应用传 送系统190传送一个或多个计算环境15、应用和/或数据文件。在又一个实 施例中，设备200基于策略引擎236对远程用户或远程客户机102的验证和 /或授权建立VPN或SSL VPN连接。一个实施例中，设备200基于策略引擎 236的策略控制网络流量以及通信会话。例如，基于策略引擎236，设备200 可控制对计算环境15、应用或数据文件的访问。

在一些实施例中，vServer275与客户机102经客户机代理120建立传输 层连接，诸如TCP或者UDP连接。在一个实施例中，vServer275监听和接 收来自客户机102的通信。在其他实施例中，vServer275与客户机服务器 106建立传输层连接，诸如TCP或者UDP连接。在一个实施例中，vServer275 建立到运行在服务器106上的服务器270的互联网协议地址和端口的传输层 连接。在又一个实施例中，vServer275将到客户机102的第一传输层连接与 到服务器106的第二传输层连接相关联。在一些实施例中，vServer275建立 到服务器106的传输层连接池并经由所述池化（pooled）的传输层连接多路 复用客户机的请求。

在一些实施例中，设备200提供客户机102和服务器106之间的SSL VPN 连接280。例如，第一网络102上的客户机102请求建立到第二网络104’上 的服务器106的连接。在一些实施例中，第二网络104’是不能从第一网络 104路由的。在其他实施例中，客户机102位于公用网络104上，并且服务 器106位于专用网络104’上，例如企业网。在一个实施例中，客户机代理 120拦截第一网络104上的客户机102的通信，加密该通信，并且经第一传 输层连接发送该通信到设备200。设备200将第一网络104上的第一传输层 连接与到第二网络104上的服务器106的第二传输层连接相关联。设备200 接收来自客户机代理102的所拦截的通信，解密该通信，并且经第二传输层 连接发送该通信到第二网络104上的服务器106。第二传输层连接可以是池 化的传输层连接。同样的，设备200为两个网络104、104’之间的客户机102 提供端到端安全传输层连接。

在一个实施例中，设备200寄载虚拟专用网络104上的客户机102的内 部网互联网协议或者IntranetIP282地址。客户机102具有本地网络标识符， 诸如第一网络104上的互联网协议（IP）地址和/或主机名称。当经设备200 连接到第二网络104’时，设备200在第二网络104’上为客户机102建立、分 配或者以其它方式提供IntranetIP，其是诸如IP地址和/或主机名称的网络标 识符。使用为客户机的所建立的IntranetIP282，设备200在第二或专用网104’ 上监听并接收指向该客户机102的任何通信。在一个实施例中，设备200在 第二专用网络104上用作或者代表客户机102。例如，在又一个实施例中， vServer275监听和响应到客户机102的IntranetIP282的通信。在一些实施 例中，如果第二网络104’上的计算装置100发送请求，设备200如同客户机 102一样来处理该请求。例如，设备200可以响应对客户机IntranetIP282的 查验。在又一个实施例中，设备可以与请求和客户机IntranetIP282连接的第 二网络104上的计算装置100建立连接，诸如TCP或者UDP连接。

在一些实施例中，设备200为客户机102和服务器106之间的通信提供 下列一个或多个加速技术288：1）压缩；2）解压缩；3）传输控制协议池； 4）传输控制协议多路复用；5）传输控制协议缓冲；以及6）高速缓存。在 一个实施例中，设备200通过开启与每一服务器106的一个或者多个传输层 连接并且维持这些连接以允许由客户机经因特网的重复数据访问，来为服务 器106缓解由重复开启和关闭到客户机102的传输层连接所造成的大量处理 负载。该技术此处称为“连接池”。

在一些实施例中，为了经池化的传输层连接无缝拼接从客户机102到服 务器106的通信，设备200通过在传输层协议级修改序列号和确认号来转换 或多路复用通信。这被称为“连接多路复用”。在一些实施例中，不需要应用 层协议相互作用。例如，在到来分组（即，自客户机102接收的分组）的情 况中，所述分组的源网络地址被改变为设备200的输出端口的网络地址，而 目的网络地址被改为目的服务器的网络地址。在发出分组（即，自服务器106 接收的一个分组）的情况中，源网络地址被从服务器106的网络地址改变为 设备200的输出端口的网络地址，而目的地址被从设备200的网络地址改变 为请求的客户机102的网络地址。分组的序列号和确认号也被转换为到客户 机102的设备200的传输层连接上的客户机102所期待的序列号和确认。在 一些实施例中，传输层协议的分组校验和被重新计算以计及这些转换。

在又一个实施例中，设备200为客户机102和服务器106之间的通信提 供交换或负载平衡功能284。在一些实施例中，设备200根据层4或应用层 请求数据来分布流量并将客户机请求定向到服务器106。在一个实施例中， 尽管网络分组的网络层或者层2识别目的服务器106，但设备200通过承载 为传输层分组的有效载荷的数据和应用信息来确定服务器106以便分发网络 分组。在一个实施例中，设备200的健康监控程序216监控服务器的健康来 确定分发客户机请求到哪个服务器106。在一些实施例中，如果设备200探 测到某个服务器106不可用或者具有超过预定阈值的负载，设备200可以将 客户机请求指向或者分发到另一个服务器106。

在一些实施例中，设备200用作域名服务（DNS）解析器或者以其它方 式为来自客户机102的DNS请求提供解析。在一些实施例中，设备拦截由 客户机102发送的DNS请求。在一个实施例中，设备200以设备200的IP 地址或其所寄载的IP地址来响应客户机的DNS请求。在此实施例中，客户 机102把用于域名的网络通信发送到设备200。在又一个实施例中，设备200 以第二设备200’的或其所寄载的IP地址来响应客户机的DNS请求。在一些 实施例中，设备200使用由设备200确定的服务器106的IP地址来响应客 户机的DNS请求。

在又一个实施例中，设备200为客户机102和服务器106之间的通信提 供应用防火墙功能290。在一个实施例中，策略引擎236提供用于探测和阻 断非法请求的规则。在一些实施例中，应用防火墙290防御拒绝服务（DoS） 攻击。在其他实施例中，设备检查所拦截的请求的内容，以识别和阻断基于 应用的攻击。在一些实施例中，规则/策略引擎236包括用于提供对多个种类 和类型的基于web或因特网的脆弱点的保护的一个或多个应用防火墙或安 全控制策略，例如下列的一个或多个脆弱点：1）缓冲区泄出，2）CGI-BIN 参数操纵，3）表单/隐藏字段操纵，4）强制浏览，5）cookie或会话中毒，6） 被破坏的访问控制列表（ACLs）或弱密码，7）跨站脚本处理（XSS），8） 命令注入，9）SQL注入，10）错误触发敏感信息泄露，11）对加密的不安 全使用，12）服务器错误配置，13）后门和调试选项，14）网站涂改，15） 平台或操作系统弱点，和16）零天攻击。在一个实施例中，对下列情况的一 种或多种，应用防火墙290以检查或分析网络通信的形式来提供HTML格 式字段的保护：1）返回所需的字段，2）不允许附加字段，3）只读和隐藏 字段强制（enforcement），4）下拉列表和单选按钮字段的一致，以及5）格 式字段最大长度强制。在一些实施例中，应用防火墙290确保cookie不被修 改。在其他实施例中，应用防火墙290通过执行合法的URL来防御强制浏 览。

在其他实施例中，应用防火墙290保护在网络通信中包含的任何机密信 息。应用防火墙290可以根据引擎236的规则或策略来检查或分析任一网络 通信以识别在网络分组的任一字段中的任一机密信息。在一些实施例中，应 用防火墙290在网络通信中识别信用卡号、口令、社会保险号、姓名、病人 代码、联系信息和年龄的一次或多次出现。网络通信的编码部分可以包括这 些出现或机密信息。基于这些出现，在一个实施例中，应用防火墙290可以 对网络通信采取策略行动，诸如阻止发送网络通信。在又一个实施例中，应 用防火墙290可以重写、移动或者以其它方式掩盖该所识别的出现或者机密 信息。

仍参考图2B，设备200可以包括如上面结合图1D所讨论的性能监控代 理197。在一个实施例中，设备200从如图1D中所描述的监控服务198或 监控服务器106中接收监控代理197。在一些实施例中，设备200在诸如磁 盘的存储装置中保存监控代理197，以用于传送给与设备200通信的任何客 户机或服务器。例如，在一个实施例中，设备200在接收到建立传输层连接 的请求时发送监控代理197给客户机。在其他实施例中，设备200在建立与 客户机102的传输层连接时发送监控代理197。在又一个实施例中，设备200 在拦截或检测对web页面的请求时发送监控代理197给客户机。在又一个实 施例中，设备200响应于监控服务器198的请求来发送监控代理197到客户 机或服务器。在一个实施例中，设备200发送监控代理197到第二设备200’ 或设备205。

在其他实施例中，设备200执行监控代理197。在一个实施例中，监控 代理197测量和监控在设备200上执行的任何应用、程序、进程、服务、任 务或线程的性能。例如，监控代理197可以监控和测量vServers275A-275N 的性能与操作。在又一个实施例中，监控代理197测量和监控设备200的任 何传输层连接的性能。在一些实施例中，监控代理197测量和监控通过设备 200的任何用户会话的性能。在一个实施例中，监控代理197测量和监控通 过设备200的诸如SSL VPN会话的任何虚拟专用网连接和/或会话的性能。 在进一步的实施例中，监控代理197测量和监控设备200的内存、CPU和磁 盘使用以及性能。在又一个实施例中，监控代理197测量和监控诸如SSL卸 载、连接池和多路复用、高速缓存以及压缩的由设备200执行的任何加速技 术288的性能。在一些实施例中，监控代理197测量和监控由设备200执行 的任一负载平衡和/或内容交换284的性能。在其他实施例中，监控代理197 测量和监控由设备200执行的应用防火墙290保护和处理的性能。

C.客户机代理

现参考图3，描述客户机代理120的实施例。客户机102包括客户机代 理120，用于经由网络104与设备200和/或服务器106来建立和交换通信。 总的来说，客户机102在计算装置100上操作，该计算装置100拥有带有内 核模式302以及用户模式303的操作系统，以及带有一个或多个层310a-310b 的网络堆栈310。客户机102可以已经安装和/或执行一个或多个应用。在一 些实施例中，一个或多个应用可通过网络堆栈310与网络104通信。所述应 用之一，诸如web浏览器，也可包括第一程序322。例如，可在一些实施例 中使用第一程序322来安装和/或执行客户机代理120，或其中任何部分。客 户机代理120包括拦截机制或者拦截器350，用于从网络堆栈310拦截来自 一个或者多个应用的网络通信。

客户机102的网络堆栈310可包括任何类型和形式的软件、或硬件或其 组合，用于提供与网络的连接和通信。在一个实施例中，网络堆栈310包括 用于网络协议组的软件实现。网络堆栈310可包括一个或多个网络层，例如 为本领域技术人员所公认和了解的开放式系统互联（OSI）通信模型的任何 网络层。这样，网络堆栈310可包括用于任何以下OSI模型层的任何类型和 形式的协议：1）物理链路层；2）数据链路层；3）网络层；4）传输层；5） 会话层）；6）表示层，以及7）应用层。在一个实施例中，网络堆栈310可 包括在因特网协议（IP）的网络层协议上的传输控制协议（TCP），通常称为 TCP/IP。在一些实施例中，可在以太网协议上承载TCP/IP协议，以太网协 议可包括IEEE广域网（WAN）或局域网（LAN）协议的任何族，例如被 IEEE802.3覆盖的这些协议。在一些实施例中，网络堆栈310包括任何类型 和形式的无线协议，例如IEEE802.11和/或移动因特网协议。

考虑基于TCP/IP的网络，可使用任何基于TCP/IP的协议，包括消息应 用编程接口（MAPI）（email）、文件传输协议（FTP）、超文本传输协议（HTTP）、 通用因特网文件系统（CIFS）协议（文件传输）、独立计算架构（ICA）协 议、远程桌面协议（RDP）、无线应用协议（WAP）、移动IP协议，以及互 联网协议电话（VoIP）协议。在又一个实施例中，网络堆栈310包括任何类 型和形式的传输控制协议，诸如修改的传输控制协议，例如事务TCP （T/TCP），带有选择确认的TCP（TCP-SACK），带有大窗口的TCP （TCP-LW），例如TCP-Vegas协议的拥塞预测协议，以及TCP欺骗协议。 在其他实施例中，网络堆栈310可使用诸如基于IP的UDP的任何类型和形 式的用户数据报协议（UDP），例如用于语音通信或实时数据通信。

另外，网络堆栈310可包括支持一个或多个层的一个或多个网络驱动器， 例如TCP驱动器或网络层驱动器。网络层驱动器可作为计算装置100的操 作系统的一部分或者作为计算装置100的任何网络接口卡或其它网络访问组 件的一部分被包括。在一些实施例中，网络堆栈310的任何网络驱动器可被 定制、修改或调整以提供网络堆栈310的定制或修改部分，用来支持此处描 述的任何技术。在其他实施例中，设计并构建加速程序302以与网络堆栈310 协同操作或工作，上述网络堆栈310由客户机102的操作系统安装或以其它 方式提供。

网络堆栈310包括任何类型和形式的接口，用于接收、获得、提供或以 其它方式访问涉及客户机102的网络通信的任何信息和数据。在一个实施例 中，与网络堆栈310的接口包括应用编程接口（API）。接口也可包括任何函 数调用、钩子或过滤机制，事件或回调机制、或任何类型的接口技术。网络 堆栈310通过接口可接收或提供与网络堆栈310的功能或操作相关的任何类 型和形式的数据结构，例如对象。例如，数据结构可以包括与网络分组相关 的信息和数据或者一个或多个网络分组。在一些实施例中，数据结构包括在 网络堆栈310的协议层处理的网络分组的一部分，例如传输层的网络分组。 在一些实施例中，数据结构325包括内核级别数据结构，而在其他实施例中， 数据结构325包括用户模式数据结构。内核级数据结构可以包括获得的或与 在内核模式302中操作的网络堆栈310的一部分相关的数据结构、或者运行 在内核模式302中的网络驱动程序或其它软件、或者由运行或操作在操作系 统的内核模式的服务、进程、任务、线程或其它可执行指令获得或收到的任 何数据结构。

此外，网络堆栈310的一些部分可在内核模式302执行或操作，例如， 数据链路或网络层，而其他部分在用户模式303执行或操作，例如网络堆栈 310的应用层。例如，网络堆栈的第一部分310a可以给应用提供对网络堆栈 310的用户模式访问，而网络堆栈310的第二部分310a提供对网络的访问。 在一些实施例中，网络堆栈的第一部分310a可包括网络堆栈310的一个或 多个更上层，例如层5-7的任何层。在其他实施例中，网络堆栈310的第二 部分310b包括一个或多个较低的层，例如层1-4的任何层。网络堆栈310 的每个第一部分310a和第二部分310b可包括网络堆栈310的任何部分，位 于任何一个或多个网络层，处于用户模式203、内核模式202，或其组合， 或在网络层的任何部分或者到网络层的接口点，或用户模式203和内核模式 202的任何部分或到用户模式203和内核模式202的接口点。

拦截器350可以包括软件、硬件、或者软件和硬件的任何组合。在一个 实施例中，拦截器350在网络堆栈310的任一点拦截网络通信，并且重定向 或者发送网络通信到由拦截器350或者客户机代理120所期望的、管理的或 者控制的目的地。例如，拦截器350可以拦截第一网络的网络堆栈310的网 络通信并且发送该网络通信到设备200，用于在第二网络104上发送。在一 些实施例中，拦截器350包括含有诸如被构建和设计来与网络堆栈310对接 并一同工作的网络驱动器的驱动器的任一类型的拦截器350。在一些实施例 中，客户机代理120和/或拦截器350操作在网络堆栈310的一个或者多个层， 诸如在传输层。在一个实施例中，拦截器350包括过滤器驱动器、钩子机制、 或者连接到网络堆栈的传输层的任一形式和类型的合适网络驱动器接口，诸 如通过传输驱动器接口（TDI）。在一些实施例中，拦截器350连接到诸如传 输层的第一协议层和诸如传输协议层之上的任何层的另一个协议层，例如， 应用协议层。在一个实施例中，拦截器350可以包括遵守网络驱动器接口规 范（NDIS）的驱动器，或者NDIS驱动器。在又一个实施例中，拦截器350 可以包括微型过滤器或者微端口驱动器。在一个实施例中，拦截器350或其 部分在内核模式202中操作。在又一个实施例中，拦截器350或其部分在用 户模式203中操作。在一些实施例中，拦截器350的一部分在内核模式202 中操作，而拦截器350的另一部分在用户模式203中操作。在其他实施例中， 客户机代理120在用户模式203操作，但通过拦截器350连接到内核模式驱 动器、进程、服务、任务或者操作系统的部分，诸如以获取内核级数据结构 225。在其他实施例中，拦截器350为用户模式应用或者程序，诸如应用。

在一个实施例中，拦截器350拦截任何的传输层连接请求。在这些实施 例中，拦截器350执行传输层应用编程接口（API）调用以设置目的地信息， 诸如到期望位置的目的地IP地址和/或端口用于定位。以此方式，拦截器350 拦截并重定向传输层连接到由拦截器350或客户机代理120控制或管理的IP 地址和端口。在一个实施例中，拦截器350把连接的目的地信息设置为客户 机代理120监听的客户机102的本地IP地址和端口。例如，客户机代理120 可以包括为重定向的传输层通信监听本地IP地址和端口的代理服务。在一 些实施例中，客户机代理120随后将重定向的传输层通信传送到设备200。

在一些实施例中，拦截器350拦截域名服务（DNS）请求。在一个实施 例中，客户机代理120和/或拦截器350解析DNS请求。在又一个实施例中， 拦截器发送所拦截的DNS请求到设备200以进行DNS解析。在一个实施例 中，设备200解析DNS请求并且将DNS响应传送到客户机代理120。在一 些实施例中，设备200经另一个设备200’或者DNS服务器106来解析DNS 请求。

在又一个实施例中，客户机代理120可以包括两个代理120和120’。在 一个实施例中，第一代理120可以包括在网络堆栈310的网络层操作的拦截 器350。在一些实施例中，第一代理120拦截网络层请求，诸如因特网控制 消息协议（ICMP）请求（例如，查验和跟踪路由）。在其他实施例中，第二 代理120’可以在传输层操作并且拦截传输层通信。在一些实施例中，第一代 理120在网络堆栈210的一层拦截通信并且与第二代理120’连接或者将所拦 截的通信传送到第二代理120’。

客户机代理120和/或拦截器350可以以对网络堆栈310的任何其它协议 层透明的方式在协议层操作或与之对接。例如，在一个实施例中，拦截器350 可以以对诸如网络层的传输层之下的任何协议层和诸如会话、表示或应用层 协议的传输层之上的任何协议层透明的方式在网络堆栈310的传输层操作或 与之对接。这允许网络堆栈310的其它协议层如所期望的进行操作并无需修 改以使用拦截器350。这样，客户机代理120和/或拦截器350可以与传输层 连接以安全、优化、加速、路由或者负载平衡经由传输层承载的任一协议提 供的任一通信，诸如TCP/IP上的任一应用层协议。

此外，客户机代理120和/或拦截器可以以对任何应用、客户机102的用 户和与客户机102通信的诸如服务器的任何其它计算装置透明的方式在网络 堆栈310上操作或与之对接。客户机代理120和/或拦截器350可以以无需修 改应用的方式被安装和/或执行在客户机102上。在一些实施例中，客户机 102的用户或者与客户机102通信的计算装置未意识到客户机代理120和/ 或拦截器350的存在、执行或者操作。同样，在一些实施例中，相对于应用、 客户机102的用户、诸如服务器的另一个计算装置、或者在由拦截器350连 接的协议层之上和/或之下的任何协议层透明地来安装、执行和/或操作客户 机代理120和/或拦截器350。

客户机代理120包括加速程序302、流客户机306、收集代理304和/或 监控代理197。在一个实施例中，客户机代理120包括由佛罗里达州Fort  Lauderdale的Citrix Systems Inc.开发的独立计算架构（ICA）客户机或其任 一部分，并且也指ICA客户机。在一些实施例中，客户机代理120包括应用 流客户机306，用于从服务器106流式传输应用到客户机102。在一些实施 例中，客户机代理120包括加速程序302，用于加速客户机102和服务器106 之间的通信。在又一个实施例中，客户机代理120包括收集代理304，用于 执行端点检测/扫描并且用于为设备200和/或服务器106收集端点信息。

在一些实施例中，加速程序302包括用于执行一个或多个加速技术的客 户机侧加速程序，以加速、增强或者以其他方式改善客户机与服务器106的 通信和/或对服务器106的访问，诸如访问由服务器106提供的应用。加速程 序302的可执行指令的逻辑、函数和/或操作可以执行一个或多个下列加速技 术：1）多协议压缩，2）传输控制协议池，3）传输控制协议多路复用，4） 传输控制协议缓冲，以及5）通过高速缓存管理器的高速缓存。另外，加速 程序302可执行由客户机102接收和/或发送的任何通信的加密和/或解密。 在一些实施例中，加速程序302以集成的方式或者格式执行一个或者多个加 速技术。另外，加速程序302可以对作为传输层协议的网络分组的有效载荷 所承载的任一协议或者多协议执行压缩。

流客户机306包括应用、程序、进程、服务、任务或者可执行指令，所 述应用、程序、进程、服务、任务或者可执行指令用于接收和执行从服务器 106所流式传输的应用。服务器106可以流式传输一个或者多个应用数据文 件到流客户机306，用于播放、执行或者以其它方式引起客户机102上的应 用被执行。在一些实施例中，服务器106发送一组压缩或者打包的应用数据 文件到流客户机306。在一些实施例中，多个应用文件被压缩并存储在文件 服务器上档案文件中，例如CAB、ZIP、SIT、TAR、JAR或其它档案文件。 在一个实施例中，服务器106解压缩、解包或者解档应用文件并且将该文件 发送到客户机102。在又一个实施例中，客户机102解压缩、解包或者解档 应用文件。流客户机306动态安装应用或其部分，并且执行该应用。在一个 实施例中，流客户机306可以为可执行程序。在一些实施例中，流客户机306 可以能够启动另一个可执行程序。

收集代理304包括应用、程序、进程、服务、任务或者可执行指令，用 于识别、获取和/或收集关于客户机102的信息。在一些实施例中，设备200 发送收集代理304到客户机102或者客户机代理120。可以根据设备的策略 引擎236的一个或多个策略来配置收集代理304。在其他实施例中，收集代 理304发送在客户机102上收集的信息到设备200。在一个实施例中，设备 200的策略引擎236使用所收集的信息来确定和提供到网络104的客户机连 接的访问、验证和授权控制。

在一个实施例中，收集代理304包括端点检测和扫描机制，其识别并且 确定客户机的一个或者多个属性或者特征。例如，收集代理304可以识别和 确定任何一个或多个以下的客户机侧属性：1）操作系统和/或操作系统的版 本，2）操作系统的服务包，3）运行的服务，4）运行的进程，和5）文件。 收集代理304还可以识别并确定客户机上任何一个或多个以下软件的存在或 版本：1）防病毒软件；2）个人防火墙软件；3）防垃圾邮件软件，和4）互 联网安全软件。策略引擎236可以具有基于客户机或客户机侧属性的任何一 个或多个属性或特性的一个或多个策略。

在一些实施例中，客户机代理120包括如结合图1D和2B所讨论的监 控代理197。监控代理197可以是诸如Visual Basic或Java脚本的任何类型 和形式的脚本。在一个实施例中，监控代理197监控和测量客户机代理120 的任何部分的性能。例如，在一些实施例中，监控代理197监控和测量加速 程序302的性能。在又一个实施例中，监控代理197监控和测量流客户机306 的性能。在其他实施例中，监控代理197监控和测量收集代理304的性能。 在又一个实施例中，监控代理197监控和测量拦截器350的性能。在一些实 施例中，监控代理197监控和测量客户机102的诸如存储器、CPU和磁盘的 任何资源。

监控代理197可以监控和测量客户机的任何应用的性能。在一个实施例 中，监控代理197监控和测量客户机102上的浏览器的性能。在一些实施例 中，监控代理197监控和测量经由客户机代理120传送的任何应用的性能。 在其他实施例中，监控代理197测量和监控应用的最终用户响应时间，例如 基于web的响应时间或HTTP响应时间。监控代理197可以监控和测量ICA 或RDP客户机的性能。在又一个实施例中，监控代理197测量和监控用户 会话或应用会话的指标。在一些实施例中，监控代理197测量和监控ICA或 RDP会话。在一个实施例中，监控代理197测量和监控设备200在加速传送 应用和/或数据到客户机102的过程中的性能。

在一些实施例中，仍参考图3，第一程序322可以用于自动地、静默地、 透明地或者以其它方式安装和/或执行客户机代理120或其部分，诸如拦截器 350。在一个实施例中，第一程序322包括插件组件，例如ActiveX控件或 Java控件或脚本，其加载到应用并由应用执行。例如，第一程序包括由web 浏览器应用载入和运行的ActiveX控件，例如在存储器空间或应用的上下文 中。在又一个实施例中，第一程序322包括可执行指令组，该可执行指令组 被例如浏览器的应用载入并执行。在一个实施例中，第一程序322包括被设 计和构造的程序以安装客户机代理120。在一些实施例中，第一程序322通 过网络从另一个计算装置获得、下载、或接收客户机代理120。在又一个实 施例中，第一程序322是用于在客户机102的操作系统上安装如网络驱动的 程序的安装程序或即插即用管理器。

D.用于提供虚拟化应用传送控制器的系统和方法

现参考图4A，该框图描述虚拟化环境400的一个实施例。总体而言， 计算装置100包括管理程序层、虚拟化层和硬件层。管理程序层包括管理程 序401（也称为虚拟化管理器），其通过在虚拟化层中执行的至少一个虚拟机 来分配和管理对硬件层中的多个物理资源（例如处理器421和盘428）的访 问。虚拟化层包括至少一个操作系统410和分配给至少一个操作系统410的 多个虚拟资源。虚拟资源可包括而不限于多个虚拟处理器432a、432b、432c （总称为432）和虚拟盘442a、442b、442c（总称为442），以及如虚拟存储 器和虚拟网络接口的虚拟资源。可将多个虚拟资源和操作系统称为虚拟机 406。虚拟机406可包括控制操作系统405，该控制操作系统405与管理程序 401通信，并用于执行应用以管理并配置计算装置100上的其他虚拟机。

具体而言，管理程序401可以以模拟可访问物理设备的操作系统的任何 方式向操作系统提供虚拟资源。管理程序401可以向任何数量的客户操作系 统410a、410b（总称为410）提供虚拟资源。一些实施例中，计算装置100 执行一种或多种管理程序。这些实施例中，管理程序可用于模拟虚拟硬件、 划分物理硬件、虚拟化物理硬件并执行提供对计算环境的访问的虚拟机。管 理程序可包括由位于美国加州的Palo Alto的VMWare制造的这些程序；XEN 管理程序（一种开源产品，其开发由开源Xen.org协会监管）；由微软公司提 供的HyperV、VirtualServer或虚拟PC管理程序，或其他。一些实施例中， 计算装置100执行创建客户操作系统可在其上执行虚拟机平台的管理程序， 该计算装置100被称为宿主服务器。在这些实施例的一个中，例如，计算装 置100是由位于美国佛罗里达州Fort Lauderdale的Citrix Systems有限公司 提供的XEN SERVER。

一些实施例中，管理程序401在计算装置上执行的操作系统之内执行。 在这些实施例的一个中，执行操作系统和管理程序401的计算装置可被视为 具有宿主操作系统（执行在计算装置上的操作系统），和客户操作系统（在 由管理程序401提供的计算资源分区内执行的操作系统）。其他实施例中， 管理程序401和计算装置上的硬件直接交互而不是在宿主操作系统上执行。 在这些实施例的一个中，管理程序401可被视为在“裸金属（bare metal）” 上执行，所述“裸金属”指包括计算装置的硬件。

一些实施例中，管理程序401可以产生操作系统410在其中执行的虚拟 机406a-c（总称为406）。在这些实施例的一个中，管理程序401加载虚拟机 映像以创建虚拟机406。在这些实施例的又一个中，管理程序401在虚拟机 406内执行操作系统410。仍在这些实施例的又一个中，虚拟机406执行操 作系统410。

一些实施例中，管理程序401控制在计算装置100上执行的虚拟机406 的处理器调度和内存划分。在这些实施例的一个中，管理程序401控制至少 一个虚拟机406的执行。在这些实施例的又一个中，管理程序401向至少一 个虚拟机406呈现由计算装置100提供的至少一个硬件资源的抽象。其他实 施例中，管理程序401控制是否以及如何将物理处理器能力呈现给虚拟机 406。

控制操作系统405可以执行用于管理和配置客户操作系统的至少一个应 用。一个实施例中，控制操作系统405可以执行管理应用，如包括如下用户 接口的应用，该用户接口为管理员提供对用于管理虚拟机执行的功能的访 问，这些功能包括用于执行虚拟机、中止虚拟机执行或者识别要分配给虚拟 机的物理资源类型的功能。又一个实施例中，管理程序401在由管理程序401 创建的虚拟机406内执行控制操作系统405。又一个实施例中，控制操作系 统405在被授权直接访问计算装置100上的物理资源的虚拟机406上执行。 一些实施例中，计算装置100a上的控制操作系统405a可以通过管理程序 401a和管理程序401b之间的通信与计算装置100b上的控制操作系统405b 交换数据。这样，一个或多个计算装置100可以和一个或多个其他计算装置 100交换有关处理器或资源池中可用的其他物理资源的数据。在这些实施例 的一个中，这种功能允许管理程序管理分布在多个物理计算装置上的资源 池。在这些实施例的又一个中，多个管理程序管理在一个计算装置100上执 行的一个或多个客户操作系统。

一个实施例中，控制操作系统405在被授权与至少一个客户操作系统 410交互的虚拟机406上执行。又一个实施例中，客户操作系统410通过管 理程序401和控制操作系统405通信，以请求访问盘或网络。仍在又一个实 施例中，客户操作系统410和控制操作系统405可通过由管理程序401建立 的通信信道通信，例如，通过由管理程序401提供的多个共享存储器页面。

一些实施例中，控制操作系统405包括用于直接与由计算装置100提供 的网络硬件通信的网络后端驱动器。在这些实施例的一个中，网络后端驱动 器处理来自至少一个客户操作系统110的至少一个虚拟机请求。其他实施例 中，控制操作系统405包括用于与计算装置100上的存储元件通信的块后端 驱动器。在这些实施例的一个中，块后端驱动器基于从客户操作系统410接 收的至少一个请求从存储元件读写数据。

一个实施例，控制操作系统405包括工具堆栈404。其他实施例中，工 具堆栈404提供如下功能：和管理程序401交互、和其他控制操作系统405 （例如位于第二计算装置100b上）通信，或者管理计算装置100上的虚拟 机406b、406c。又一个实施例中，工具堆栈404包括自定义应用，其用于向 虚拟机群的管理员提供改进的管理功能。一些实施例中，工具堆栈404和控 制操作系统405中的至少一个包括管理API，其提供用于远程配置并控制计 算装置100上运行的虚拟机406的接口。其他实施例中，控制操作系统405 通过工具堆栈404和管理程序401通信。

一个实施例中，管理程序401在由管理程序401创建的虚拟机406内执 行客户操作系统410。又一个实施例中，客户操作系统410为计算装置100 的用户提供对计算环境中的资源的访问。又一个实施例中，资源包括程序、 应用、文档、文件、多个应用、多个文件、可执行程序文件、桌面环境、计 算环境或对计算装置100的用户可用的其他资源。又一个实施例中，可通过 多个访问方法将资源传送给计算装置100，这些方法包括但不限于：常规的 直接在计算装置100上安装、通过应用流的方法传送给计算装置100、将由 在第二计算装置100’上执行资源产生的并通过表示层协议传送给计算装置 100的输出数据传送给计算装置100、将通过在第二计算装置100’上执行的 虚拟机执行资源所产生的输出数据传送给计算装置100、或者从连接到计算 装置100的移动存储装置（例如USB设备）执行或者通过在计算装置100 上执行的虚拟机执行并且产生输出数据。一些实施例中，计算装置100将执 行资源所产生的输出数据传输给另一个计算装置100’。

一个实施例中，客户操作系统410和该客户操作系统410在其上执行的 虚拟机结合形成完全虚拟化虚拟机，该完全虚拟化虚拟机并不知道自己是虚 拟机，这样的机器可称为“Domain U HVM（硬件虚拟机）虚拟机”。又一个 实施例中，完全虚拟化机包括模拟基本输入/输出系统（BIOS）的软件以便 在完全虚拟化机中执行操作系统。在又一个实施例中，完全虚拟化机可包括 驱动器，其通过和管理程序401通信提供功能。这样的实施例中，驱动器可 意识到自己在虚拟化环境中执行。又一个实施例中，客户操作系统410和该 客户操作系统410在其上执行的虚拟机结合形成超虚拟化（paravirtualized） 虚拟机，该超虚拟化虚拟机意识到自己是虚拟机，这样的机器可称为“Domain  U PV虚拟机”。又一个实施例中，超虚拟化机包括完全虚拟化机不包括的额 外驱动器。又一个实施例中，超虚拟化机包括如上所述的被包含在控制操作 系统405中的网络后端驱动器和块后端驱动器。

现参考图4B，框图描述了系统中的多个联网计算装置的一个实施例， 其中，至少一个物理主机执行虚拟机。总体而言，系统包括管理组件404和 管理程序401。系统包括多个计算装置100、多个虚拟机406、多个管理程序 401、多个管理组件（又称为工具堆栈404或者管理组件404）以及物理资源 421、428。多个物理机器100的每一个可被提供为如上结合图1E-1H和图 4A描述的计算装置100。

具体而言，物理盘428由计算装置100提供，存储至少一部分虚拟盘442。 一些实施例中，虚拟盘442和多个物理盘428相关联。在这些实施例的一个 中，一个或多个计算装置100可以与一个或多个其他计算装置100交换有关 处理器或资源池中可用的其他物理资源的数据，允许管理程序管理分布在多 个物理计算装置上的资源池。一些实施例中，将虚拟机406在其上执行的计 算装置100称为物理主机100或主机100。

管理程序在计算装置100上的处理器上执行。管理程序将对物理盘的访 问量分配给虚拟盘。一个实施例中，管理程序401分配物理盘上的空间量。 又一个实施例中，管理程序401分配物理盘上的多个页面。一些实施例中， 管理程序提供虚拟盘442作为初始化和执行虚拟机450进程的一部分。

一个实施例中，将管理组件404a称为池管理组件404a。又一个实施例 中，可以称为控制管理系统405a的管理操作系统405a包括管理组件。一些 实施例中，将管理组件称为工具堆栈。在这些实施例的一个中，管理组件是 上文结合图4A描述的工具堆栈404。其他实施例中，管理组件404提供用 户接口，用于从如管理员的用户接收要供应和/或执行的虚拟机406的标识。 仍在其他实施例中，管理组件404提供用户接口，用于从如管理员的用户接 收将虚拟机406b从一个物理机器100迁移到另一物理机器的请求。在进一 步的实施例中，管理组件404a识别在其上执行所请求的虚拟机406d的计算 装置100b并指示所识别的计算装置100b上的管理程序401b执行所识别的 虚拟机，这样，可将管理组件称为池管理组件。

现参考图4C，描述了虚拟应用传送控制器或虚拟设备450的实施例。 总体而言，上文结合图2A和2B描述的设备200的任何功能和/或实施例（例 如应用传送控制器）可以部署在上文结合图4A和4B描述的虚拟化环境的 任何实施例中。应用传送控制器的功能不是以设备200的形式部署，而是将 该功能部署在诸如客户机102、服务器106或设备200的任何计算装置100 上的虚拟化环境400中。

现在参考图4C，描述了在服务器106的管理程序401上操作的虚拟设 备450的实施例的框图。如图2A和2B的设备200一样，虚拟机450可以 提供可用性、性能、卸载和安全的功能。对于可用性，虚拟设备可以执行网 络第4层和第7层之间的负载平衡并执行智能服务健康监控。对于通过网络 流量加速实现的性能增加，虚拟设备可以执行缓存和压缩。对于任何服务器 的卸载处理，虚拟设备可以执行连接复用和连接池和/或SSL处理。对于安 全，虚拟设备可以执行设备200的任何应用防火墙功能和SSL VPN功能。

结合附图2A描述的设备200的任何模块可以虚拟化设备传送控制器 450的形式被打包、组合、设计或构造，虚拟化设备传送控制器450可部署 成在诸如流行的服务器这样的任何服务器上的虚拟化环境300或非虚拟化环 境中执行的软件模块或组件。例如，可以安装在计算装置上的安装包的形式 提供虚拟设备。参考图2A，可以将高速缓存管理器232、策略引擎236、压 缩238、加密引擎234、分组引擎240、GUI210、CLI212、壳服务214中的 任一个设计和构成在计算装置和/或虚拟化环境300的任何操作系统上运行 的组件或模块。虚拟化设备400不使用设备200的加密处理器260、处理器 262、存储器264和网络堆栈267，而是可使用虚拟化环境400提供的任何这 些资源或者服务器106上以其他方式可用的这些资源。

仍参考图4C，简言之，任何一个或多个vServer275A-275N可以操作或 执行在任意类型的计算装置100（如服务器106）的虚拟化环境400中。结 合附图2B描述的设备200的任何模块和功能可以设计和构造成在服务器的 虚拟化或非虚拟化环境中操作。可以将vServer275、SSL VPN280、内网UP 282、交换装置284、DNS286、加速装置288、APP FW280和监控代理中的 任一个打包、组合、设计或构造成应用传送控制器450的形式，应用传送控 制器450可部署成在装置和/或虚拟化环境400中执行的一个或多个软件模块 或组件。

一些实施例中，服务器可以在虚拟化环境中执行多个虚拟机406a-406b， 每个虚拟机运行虚拟应用传送控制器450的相同或不同实施例。一些实施例 中，服务器可以在多核处理系统的一个核上执行一个或多个虚拟机上的一个 或多个虚拟设备450。一些实施例中，服务器可以在多处理器装置的每个处 理器上执行一个或多个虚拟机上的一个或多个虚拟设备450。

E.提供多核架构的系统和方法

根据摩尔定律，每两年集成电路上可安装的晶体管的数量会基本翻倍。 然而，CPU速度增加会达到一个稳定的水平（plateaus），例如，2005年以来， CPU速度在约3.5-4GHz的范围内。一些情况下，CPU制造商可能不依靠CPU 速度增加来获得额外的性能。一些CPU制造商会给处理器增加附加核以提 供额外的性能。依靠CPU获得性能改善的如软件和网络供应商的产品可以 通过利用这些多核CPU来改进他们的性能。可以重新设计和/或编写为单 CPU设计和构造的软件以利用多线程、并行架构或多核架构。

一些实施例中，称为nCore或多核技术的设备200的多核架构允许设备 打破单核性能障碍并利用多核CPU的能力。前文结合图2A描述的架构中， 运行单个网络或分组引擎。nCore技术和架构的多核允许同时和/或并行地运 行多个分组引擎。通过在每个核上运行分组引擎，设备架构利用附加核的处 理能力。一些实施例中，这提供了高达七倍的性能改善和扩展性。

图5A示出根据一类并行机制或并行计算方案（如功能并行机制、数据 并行机制或基于流的数据并行机制）在一个或多个处理器核上分布的工作、 任务、负载或网络流量的一些实施例。总体而言，图5A示出如具有n个核 的设备200'的多核系统的实施例，n个核编号为1到N。一个实施例中，工 作、负载或网络流量可以分布在第一核505A、第二核505B、第三核505C、 第四核505D、第五核505E、第六核505F、第七核505G等上，这样，分布 位于所有n个核505N（此后统称为核505）或n个核中的两个或多个上。可 以有多个VIP275，每个运行在多个核中的相应的核上。可以有多个分组引 擎240，每个运行在多个核的相应的核。所使用任何方法可产生多个核中任 一核上的不同的、变化的或类似的工作负载或性能级别515。对于功能并行 方法，每个核运行由分组引擎、VIP275或设备200提供的多个功能的不同 功能。在数据并行方法中，数据可基于接收数据的网络接口卡（NIC）或VIP 275并行或分布在核上。又一个数据并行方法中，可通过将数据流分布在每 个核上而将处理分布在核上。

图5A的进一步的细节中，一些实施例中，可以根据功能并行机制500 将负载、工作或网络流量在多个核505间分布。功能并行机制可基于执行一 个或多个相应功能的每个核。一些实施例中，第一核可执行第一功能，同时 第二核执行第二功能。功能并行方法中，根据功能性将多核系统要执行的功 能划分并分布到每个核。一些实施例中，可将功能并行机制称为任务并行机 制，并且可在每个处理器或核对同一数据或不同数据执行不同进程或功能时 实现。核或处理器可执行相同或不同的代码。一些情况下，不同的执行线程 或代码可在工作时相互通信。可以进行通信以将数据作为工作流的一部分从 一个线程传递给下一线程。

一些实施例中，根据功能并行机制500将工作分布在核505上，可以包 括根据特定功能分布网络流量，所述特定功能例如为网络输入/输出管理 （NW I/O）510A、安全套接层（SSL）加密和解密510B和传输控制协议（TCP） 功能510C。这会产生基于所使用的功能量或功能级别的工作、性能或者计 算负载515。一些实施例中，根据数据并行机制540将工作分布在核505上 可包括基于与特定的硬件或软件组件相关联的分布数据来分布工作量515。 一些实施例中，根据基于流的数据并行机制520将工作分布在核505上可包 括基于上下文或流来分布数据，从而使得每个核上的工作量515A-N可以类 似、基本相等或者相对平均分布。

在功能并行方法的情况下，可以配置每个核来运行由设备的分组引擎或 VIP提供的多个功能中的一个或多个功能。例如，核1可执行设备200’的 网络I/O处理，同时核2执行设备的TCP连接管理。类似地，核3可执行 SSL卸载，同时核4可执行第7层或应用层处理和流量管理。每个核可执行 相同或不同的功能。每个核可执行不只一个功能。任一核可运行结合附图2A 和2B识别和/或描述的功能或其一部分。该方法中，核上的工作可以粗粒度 或细粒度方式按功能划分。一些情况下，如图5A所示，按功能划分会使得 不同核运行在不同的性能或负载级别515。

在功能并行方法的情况下，可以配置每个核来运行由设备的分组引擎提 供的多个功能中的一个或多个功能。例如，核1可执行设备200’的网络I/O 处理，同时核2执行设备的TCP连接管理。类似地，核3可执行SSL卸载， 同时核4可执行第7层或应用层处理和流量管理。每个核可执行相同或不同 的功能。每个核可执行不只一个功能。任何核可运行结合附图2A和2B识 别和/或描述的功能或其一部分。该方法中，核上的工作可以粗粒度或细粒度 方式按功能划分。一些情况下，如图5A所示，按功能划分会使得不同核运 行在不同的性能或负载级别。

可以用任何结构或方案来分布功能或任务。例如，图5B示出用于处理 与网络I/O功能510A相关联的应用和进程的第一核Core1505A。一些实施 例中，与网络I/O相关联的网络流量可以和特定的端口号相关联。因而，将 具有与NW I/O510A相关联的端口目的地的发出和到来的分组导引给Core1 505A，该Core1505A专用于处理与NW I/O端口相关联的所有网络流量。 类似的，Core2505B专用于处理与SSL处理相关联的功能，Core4505D可 专用于处理所有TCP级处理和功能。

虽然图5A示出如网络I/O、SSL和TCP的功能，也可将其他功能分配 给核。这些其他功能可包括此处描述的任一或多个功能或操作。例如，结合 图2A和2B描述的任何功能可基于功能基础分布在核上。一些情况下，第 一VIP275A可运行在第一核上，同时，具有不同配置的第二VIP275B可运 行在第二核上。一些实施例中，每个核505可处理特定功能，这样每个核505 可处理与该特定功能相关联的处理。例如，Core2505B可处理SSL卸载， 同时Core4505D可处理应用层处理和流量管理。

其他实施例中，可根据任何类型或形式的数据并行机制540将工作、负 载或网络流量分布在核505上。一些实施例中，可由每个核对分布式数据的 不同片执行相同任务或功能来实现多核系统中的数据并行机制。一些实施例 中，单个执行线程或代码控制对所有数据片的操作。其他实施例中，不同线 程或指令控制操作，但是可执行相同代码。一些实施例中，从分组引擎、 vServer(VIP)275A-C、网络接口卡（NIC）542D-E和/或设备200上包括的 或者与设备200相关联的任何其他网络硬件或软件的角度实现数据并行机 制。例如，每个核可运行同样的分组引擎或VIP代码或配置但是在不同的分 布式数据集上进行操作。每个网络硬件或软件结构可接收不同的、变化的或 者基本相同量的数据，因而可以具有变化的、不同的或相对相同量的负载 515。

在数据并行方法的情况下，可以基于VIP、NIC和/或VIP或NIC的数 据流来划分和分布工作。在这些的方法的一个中，可通过使每个VIP在分布 的数据集上工作来将多核系统的工作划分或者分布在VIP中。例如，可配置 每个核运行一个或多个VIP。网络流量可分布在处理流量的每个VIP的核上。 在这些方法的又一个中，可基于哪个NIC接收网络流量来将设备的工作划分 或分布在核上。例如，第一NIC的网络流量可被分布到第一核，同时第二 NIC的网络流量可被分布给第二核。一些情况下，核可处理来自多个NIC的 数据。

虽然图5A示出了与单个核505相关联的单个vServer，正如VIP1275A、 VIP2275B和VIP3275C的情况。但是，一些实施例中，单个vServer可以 与一个或者多个核505相关联。相反，一个或多个vServer可以与单个核505 相关联。将vServer与核505关联可包括该核505处理与该特定vServer关联 的所有功能。一些实施例中，每个核执行具有相同代码和配置的VIP。其他 实施例中，每个核执行具有相同代码但配置不同的VIP。一些实施例中，每 个核执行具有不同代码和相同或不同配置的VIP。

和vServer类似，NIC也可以和特定的核505关联。许多实施例中，NIC 可以连接到一个或多个核505，这样，当NIC接收或传输数据分组时，特定 的核505处理涉及接收和传输数据分组的处理。一个实施例中，单个NIC可 以与单个核505相关联，正如NIC1542D和NIC2542E的情况。其他实施例 中，一个或多个NIC可以与单个核505相关联。但其他实施例中，单个NIC 可以与一个或者多个核505相关联。这些实施例中，负载可以分布在一个或 多个核505上，使得每个核505基本上处理类似的负载量。与NIC关联的核 505可以处理与该特定NIC关联的所有功能和/或数据。

虽然根据VIP或NIC的数据将工作分布在核上具有某种程度的独立性， 但是，一些实施例中，这会造成如图5A的变化负载515所示的核的不平衡 的使用。

一些实施例中，可根据任何类型或形式的数据流将负载、工作或网络流 量分布在核505上。在这些方法的又一个中，可基于数据流将工作划分或分 布在多个核上。例如，客户机或服务器之间的经过设备的网络流量可以被分 布到多个核中的一个核并且由其处理。一些情况下，最初建立会话或连接的 核可以是该会话或连接的网络流量所分布的核。一些实施例中，数据流基于 网络流量的任何单元或部分，如事务、请求/响应通信或来自客户机上的应用 的流量。这样，一些实施例中，客户机和服务器之间的经过设备200’的数 据流可以比其他方式分布的更均衡。

在基于流的数据并行机制520中，数据分布和任何类型的数据流相关， 例如请求/响应对、事务、会话、连接或应用通信。例如，客户机或服务器之 间的经过设备的网络流量可以被分布到多个核中的一个核并且由其处理。一 些情况下，最初建立会话或连接的核可以是该会话或连接的网络流量所分布 的核。数据流的分布可以使得每个核505运行基本相等或相对均匀分布的负 载量、数据量或网络流量。

一些实施例中，数据流基于网络流量的任何单元或部分，如事务、请求 /响应通信或源自客户机上的应用的流量。这样，一些实施例中，客户机和服 务器之间的经过设备200’的数据流可以比其他方式分布的更均衡。一个实施 例中，可以基于事务或一系列事务分布数据量。一些实施例中，该事务可以 是客户机和服务器之间的，其特征可以是IP地址或其他分组标识符。例如， 核1505A可专用于特定客户机和特定服务器之间的事务，因此，核1505A 上的负载515A可包括与特定客户机和服务器之间的事务相关联的网络流 量。可通过将源自特定客户机或服务器的所有数据分组路由到核1505A来 将网络流量分配给核1505A。

虽然可部分地基于事务将工作或负载分布到核，但是，其他实施例中， 可基于每个分组的基础分配负载或工作。这些实施例中，设备200可拦截数 据分组并将数据分组分配给负载量最小的核505。例如，由于核1上的负载 515A小于其他核505B-N上的负载515B-N，所以设备200可将第一到来的 数据分组分配给核1505A。将第一数据分组分配给核1505A后，核1505A 上的负载量515A与处理第一数据分组所需的处理资源量成比例增加。设备 200拦截到第二数据分组时，设备200会将负载分配给核4505D，这是由于 核4505D具有第二少的负载量。一些实施例中，将数据分组分配给负载量 最小的核可确保分布到每个核505的负载515A-N保持基本相等。

其他实施例中，将一部分网络流量分配给特定核505的情况下，可以每 单元为基础分配负载。上述示例说明以每分组为基础进行负载平衡。其他实 施例中，可以基于分组数目分配负载，例如，将每10个、100个或1000个 分组分配给流量最少的核505。分配给核505的分组数量可以是由应用、用 户或管理员确定的数目，而且可以为大于零的任何数。仍在其他实施例中， 基于时间指标分配负载，使得在预定时间段将分组分布到特定核505。这些 实施例中，可以在5毫秒内或者由用户、程序、系统、管理器或其他方式确 定的任何时间段将分组分布到特定核505。预定时间段过去后，在预定时间 段内将时间分组传输给不同的核505。

用于将工作、负载或网络流量分布在一个或多个核505上的基于流的数 据并行方法可包括上述实施例的任意组合。这些方法可以由设备200的任何 部分执行，由在核505上执行的应用或者一组可执行指令执行，例如分组引 擎，或者由在与设备200通信的计算装置上执行的任何应用、程序或代理执 行。

图5A所示的功能和数据并行机制计算方案可以任何方式组合，以产生 混合并行机制或分布式处理方案，其包括功能并行机制500、数据并行机制 540、基于流的数据并行机制520或者其任何部分。一些情况下，多核系统 可使用任何类型或形式的负载平衡方案来将负载分布在一个或多个核505 上。负载平衡方案可以和任何功能和数据平行方案或其组合结合使用。

图5B示出多核系统545的实施例，该系统可以是任何类型或形式的一 个或多个系统、设备、装置或组件。一些实施例中，该系统545可被包括在 具有一个或多个处理核505A-N的设备200内。系统545还可包括与存储器 总线556通信的一个或多个分组引擎（PE）或分组处理引擎（PPE）548A-N。 存储器总线可用于与一个或多个处理核505A-N通信。系统545还可包括一 个或多个网络接口卡（NIC）552和流分布器550，流分布器还可与一个或多 个处理核505A-N通信。流分布器550可包括接收侧调整器（Receiver Side  Scaler-RSS）或接收侧调整（Receiver Side Scaling-RSS）模块560。

进一步参考图5B，具体而言，一个实施例中，分组引擎548A-N可包括 此处所述的设备200的任何部分，例如图2A和2B所述设备的任何部分。 一些实施例中，分组引擎548A-N可包括任何下列的元件：分组引擎240、 网络堆栈267、高速缓存管理器232、策略引擎236、压缩引擎238、加密引 擎234、GUI210、CLI212、壳服务214、监控程序216以及能够从数据总线 556或一个或多个核505A-N中的任一个接收数据分组的其他任何软件和硬 件元件。一些实施例中，分组引擎548A-N可包括一个或多个vServer275A-N 或其任何部分。其他实施例中，分组引擎548A-N可提供以下功能的任意组 合：SSL VPN280、内部网IP282、交换284、DNS286、分组加速288、APP FW280、如由监控代理197提供的监控、和作为TCP堆栈关联的功能、负 载平衡、SSL卸载和处理、内容交换、策略评估、高速缓存、压缩、编码、 解压缩、解码、应用防火墙功能、XML处理和加速以及SSL VPN连接。

一些实施例中，分组引擎548A-N可以与特定服务器、用户、客户或网 络关联。分组引擎548与特定实体关联时，分组引擎548可处理与该实体关 联的数据分组。例如，如果分组引擎548与第一用户关联，那么该分组引擎 548将对由第一用户产生的分组或者目的地址与第一用户关联的分组进行处 理和操作。类似地，分组引擎548可选择不与特定实体关联，使得分组引擎 548可对不是由该实体产生的或目的是该实体的任何数据分组进行处理和以 其他方式进行操作。

一些实例中，可将分组引擎548A-N配置为执行图5A所示的任何功能 和/或数据并行方案。这些实例中，分组引擎548A-N可将功能或数据分布在 多个核505A-N上，从而使得分布是根据并行机制或分布方案的。一些实施 例中，单个分组引擎548A-N执行负载平衡方案，其他实施例中，一个或多 个分组引擎548A-N执行负载平衡方案。一个实施例中，每个核505A-N可 以与特定分组引擎548关联，使得可以由分组引擎执行负载平衡。在该实施 例中，负载平衡可要求与核505关联的每个分组引擎548A-N和与核关联的 其他分组引擎通信，使得分组引擎548A-N可共同决定将负载分布在何处。 该过程的一个实施例可包括从每个分组引擎接收对于负载的投票的仲裁器。 仲裁器可部分地基于引擎投票的持续时间将负载分配给每个分组引擎 548A-N，一些情况下，还可基于与在引擎关联的核505上的当前负载量相关 联的优先级值来将负载分配给每个分组引擎548A-N。

核上运行的任何分组引擎可以运行于用户模式、内核模式或其任意组 合。一些实施例中，分组引擎作为在用户空间或应用空间中运行的应用或程 序来操作。这些实施例中，分组引擎可使用任何类型或形式的接口来访问内 核提供的任何功能。一些实施例中，分组引擎操作于内核模式中或作为内核 的一部分来操作。一些实施例中，分组引擎的第一部分操作于用户模式中， 分组引擎的第二部分操作于内核模式中。一些实施例中，第一核上的第一分 组引擎执行于内核模式中，同时，第二核上的第二分组引擎执行于用户模式 中。一些实施例中，分组引擎或其任何部分对NIC或其任何驱动器进行操作 或者与其联合操作。

一些实施例中，存储器总线556可以是任何类型或形式的存储器或计算 机总线。虽然在图5B中描述了单个存储器总线556，但是系统545可包括 任意数量的存储器总线556。一个实施例中，每个分组引擎548可以和一个 或者多个单独的存储器总线556相关联。

一些实施例中，NIC552可以是此处所述的任何网络接口卡或机制。NIC 552可具有任意数量的端口。NIC可设计并构造成连接到任何类型和形式的 网络104。虽然示出单个NIC552，但是，系统545可包括任意数量的NIC552。 一些实施例中，每个核505A-N可以与一个或多个单个NIC552关联。因而， 每个核505可以与专用于特定核505的单个NIC552关联。核505A-N可包 括此处所述的任何处理器。此外，可根据此处所述的任何核505配置来配置 核505A-N。另外，核505A-N可具有此处所述的任何核505功能。虽然图 5B示出七个核505A-G，但是系统545可包括任意数量的核505。具体而言， 系统545可包括N个核，其中N是大于零的整数。

核可具有或使用被分配或指派用于该核的存储器。可将存储器视为该核 的专有或本地存储器并且仅有该核可访问该存储器。核可具有或使用共享的 或指派给多个核的存储器。该存储器可被视为由不只一个核可访问的公共或 共享存储器。核可使用专有或公共存储器的任何组合。通过每个核的单独的 地址空间，消除了使用同一地址空间的情况下的一些协调级别。利用单独的 地址空间，核可以对核自己的地址空间中的信息和数据进行工作，而不用担 心与其他核冲突。每个分组引擎可以具有用于TCP和/或SSL连接的单独存 储器池。

仍参考图5B，上文结合图5A描述的核505的任何功能和/或实施例可 以部署在上文结合图4A和4B描述的虚拟化环境的任何实施例中。不是以 物理处理器505的形式部署核505的功能，而是将这些功能部署在诸如客户 机102、服务器106或设备200的任何计算装置100的虚拟化环境400内。 其他实施例中，不是以设备或一个装置的形式部署核505的功能，而是将该 功能部署在任何布置的多个装置上。例如，一个装置可包括两个或多个核， 另一个装置可包括两个或多个核。例如，多核系统可包括计算装置的集群、 服务器群或计算装置的网络。一些实施例中，不是以核的形式部署核505的 功能，而是将该功能部署在多个处理器上，例如部署多个单核处理器上。

一个实施例中，核505可以为任何形式或类型的处理器。一些实施例中， 核的功能可以基本类似此处所述的任何处理器或中央处理单元。一些实施例 中，核505可包括此处所述的任何处理器的任何部分。虽然图5A示出7个 核，但是，设备200内可以有任意N个核，其中N是大于1的整数。一些 实施例中，核505可以安装在公用设备200内，其他实施例中，核505可以 安装在彼此通信连接的一个或多个设备200内。一些实施例中，核505包括 图形处理软件，而其他实施例中，核505提供通用处理能力。核505可彼此 物理靠近地安装和/或可彼此通信连接。可以用以物理方式和/或通信方式耦 合到核的任何类型和形式的总线或子系统连接核，用于向核、从核和/或在核 之间传输数据。

尽管每个核505可包括用于与其他核通信的软件，一些实施例中，核管 理器（未示出）可有助于每个核505之间的通信。一些实施例中，内核可提 供核管理。核可以使用各种接口机制彼此接口或通信。一些实施例中，可以 使用核到核的消息传送来在核之间通信，比如，第一核通过连接到核的总线 或子系统向第二核发送消息或数据。一些实施例中，核可通过任何种类或形 式的共享存储器接口通信。一个实施例中，可以存在在所有核中共享的一个 或多个存储器单元。一些实施例中，每个核可以具有和每个其他核共享的单 独存储器单元。例如，第一核可具有与第二核的第一共享存储器，以及与第 三核的第二共享存储器。一些实施例中，核可通过任何类型的编程或API（如 通过内核的函数调用）来通信。一些实施例中，操作系统可识别并支持多核 装置，并提供用于核间通信的接口和API。

流分布器550可以是任何应用、程序、库、脚本、任务、服务、进程或 在任何类型或形式的硬件上执行的任何类型和形式的可执行指令。一些实施 例中，流分布器550可以是用于执行此处所述任何操作和功能的任何电路设 计或结构。一些实施例中，流分布器分布、转发、路由、控制和/或管理多个 核505上的数据和/或在核上运行的分组引擎或VIP的分布。一些实施例中， 可将流分布器550称为接口主装置（interface master）。一个实施例中，流分 布器550包括在设备200的核或处理器上执行的一组可执行指令。又一个实 施例中，流分布器550包括在与设备200通信的计算机器上执行的一组可执 行指令。一些实施例中，流分布器550包括在如固件的NIC上执行的一组可 执行指令。其他实施例，流分布器550包括用于将数据分组分布在核或处理 器上的软件和硬件的任何组合。一个实施例中，流分布器550在至少一个核 505A-N上执行，而在其他实施例中，分配给每个核505A-N的单独的流分 布器550在相关联的核505A-N上执行。流分布器可使用任何类型和形式的 统计或概率算法或决策来平衡多个核上的流。可以将如NIC的设备硬件或内 核设计或构造成支持NIC和/或核上的顺序操作。

系统545包括一个或多个流分布器550的实施例中，每个流分布器550 可以与处理器505或分组引擎548关联。流分布器550可包括允许每个流分 布器550和在系统545内执行的其他流分布器550通信的接口机制。一个实 例中，一个或多个流分布器550可通过彼此通信确定如何平衡负载。该过程 的操作可以基本与上述过程类似，即将投票提交给仲裁器，然后仲裁器确定 哪个流分布器550应该接收负载。其他实施例中，第一流分布器550’可识 别所关联的核上的负载并基于任何下列标准确定是否将第一数据分组转发 到所关联的核：所关联的核上的负载大于预定阈值；所关联的核上的负载小 于预定阈值；所关联的核上的负载小于其他核上的负载；或者可以用于部分 基于处理器上的负载量来确定将数据分组转发到何处的任何其他指标。

流分布器550可以根据如此处所述的分布、计算或负载平衡方法而将网 络流量分布在核505上。一个实施例中，流分布器可基于功能并行机制分布 方案550、数据并行机制负载分布方案540、基于流的数据并行机制分布方 案520或这些分布方案的任意组合或用于将负载分布在多个处理器上的任何 负载平衡方案来分布网络流量。因而，流分布器550可通过接收数据分组并 根据操作的负载平衡或分布方案将数据分组分布在处理器上而充当负载分 布器。一个实施例中，流分布器550可包括用于确定如何相应地分布分组、 工作或负载的一个或多个操作、函数或逻辑。又一个实施例中，流分布器550 可包括可识别与数据分组关联的源地址和目的地址并相应地分布分组的一 个或多个子操作、函数或逻辑。

一些实施例中，流分布器550可包括接收侧调整（RSS）网络驱动器模 块560或将数据分组分布在一个或多个核505上的任何类型和形式的可执行 指令。RSS模块560可以包括硬件和软件的任意组合。一些实施例中，RSS 模块560和流分布器550协同工作以将数据分组分布在核505A-N或多处理 器网络中的多个处理器上。一些实施例中，RSS模块560可在NIC552中执 行，其他实施例中，可在核505的任何一个上执行。

一些实施例中，RSS模块560使用微软接收侧调整（RSS)方法。一个实 施例中，RSS是微软可扩展网络主动技术（Microsoft Scalable Networking  initiative technology），其使得系统中的多个处理器上的接收处理是平衡的， 同时保持数据的顺序传送。RSS可使用任何类型或形式的哈希方案来确定用 于处理网络分组的核或处理器。

RSS模块560可应用任何类型或形式的哈希函数，如Toeplitz哈希函数。 哈希函数可应用到哈希类型值或者任何值序列。哈希函数可以是任意安全级 别的安全哈希或者是以其他方式加密。哈希函数可使用哈希关键字（hash  key）。关键字的大小取决于哈希函数。对于Toeplitz哈希，用于IPv6的哈希 关键字大小为40字节，用于IPv4的哈希关键字大小为16字节。

可以基于任何一个或多个标准或设计目标设计或构造哈希函数。一些实 施例中，可使用为不同的哈希输入和不同哈希类型提供均匀分布的哈希结果 的哈希函数，所述不同哈希输入和不同哈希类型包括TCP/IPv4、TCP/IPv6、 IPv4和IPv6头部。一些实施例中，可使用存在少量桶时（例如2个或4个） 提供均匀分布的哈希结果的哈希函数。一些实施例中，可使用存在大量桶时 （例如64个桶）提供随机分布的哈希结果的哈希函数。在一些实施例中， 基于计算或资源使用水平来确定哈希函数。在一些实施例中，基于在硬件中 实现哈希的难易度来确定哈希函数。在一些实施例中，基于用恶意的远程主 机发送将全部哈希到同一桶中的分组的难易度来确定哈希函数。

RSS可从任意类型和形式的输入来产生哈希，例如值序列。该值序列可 包括网络分组的任何部分，如网络分组的任何头部、域或载荷或其一部分。 一些实施例中，可将哈希输入称为哈希类型，哈希输入可包括与网络分组或 数据流关联的任何信息元组，例如下面的类型：包括至少两个IP地址和两 个端口的四元组、包括任意四组值的四元组、六元组、二元组和/或任何其他 数字或值序列。以下是可由RSS使用的哈希类型示例：

-源TCP端口、源IP版本4（IPv4）地址、目的TCP端口和目的IPv4 地址的四元组。

-源TCP端口、源IP版本6（IPv6）地址、目的TCP端口和目的IPv6 地址的四元组。

-源IPv4地址和目的IPv4地址的二元组。

-源IPv6地址和目的IPv6地址的二元组。

-源IPv6地址和目的IPv6地址的二元组，包括对解析IPv6扩展头部的 支持。

哈希结果或其任何部分可用于识别用于分布网络分组的核或实体，如分 组引擎或VIP。一些实施例中，可向哈希结果应用一个或者多个哈希位或掩 码。哈希位或掩码可以是任何位数或字节数。NIC可支持任意位，例如7位。 网络堆栈可在初始化时设定要使用的实际位数。位数介于1和7之间，包括 端值。

可通过任意类型和形式的表用哈希结果来识别核或实体，例如通过桶表 （bucket table）或间接表（indirection table）。一些实施例中，用哈希结果的 位数来索引表。哈希掩码的范围可有效地限定间接表的大小。哈希结果的任 何部分或哈希结果自身可用于索引间接表。表中的值可标识任何核或处理 器，例如通过核或处理器标识符来标识。一些实施例中，表中标识多核系统 的所有核。其他实施例中，表中标识多核系统的一部分核。间接表可包括任 意多个桶，例如2到128个桶，可以用哈希掩码索引这些桶。每个桶可包括 标识核或处理器的索引值范围。一些实施例中，流控制器和/或RSS模块可 通过改变间接表来重新平衡网络负载。

一些实施例中，多核系统575不包括RSS驱动器或RSS模块560。在 这些实施例的一些中，软件操控模块（未示出）或系统内RSS模块的软件实 施例可以和流分布器550共同操作或者作为流分布器550的一部分操作，以 将分组引导到多核系统575中的核505。

一些实施例中，流分布器550在设备200上的任何模块或程序中执行， 或者在多核系统575中包括的任何一个核505和任一装置或组件上执行。一 些实施例中，流分布器550’可在第一核505A上执行，而在其他实施例中， 流分布器550”可在NIC552上执行。其他实施例中，流分布器550’的实 例可在多核系统575中包括的每个核505上执行。该实施例中，流分布器550’ 的每个实例可和流分布器550’的其他实例通信以在核505之间来回转发分 组。存在这样的状况，其中，对请求分组的响应不是由同一核处理的，即第 一核处理请求，而第二核处理响应。这些情况下，流分布器550’的实例可 以拦截分组并将分组转发到期望的或正确的核505，即流分布器550’可将 响应转发到第一核。流分布器550’的多个实例可以在任意数量的核505或 核505的任何组合上执行。

流分布器可以响应于任一个或多个规则或策略而操作。规则可识别接收 网络分组、数据或数据流的核或分组处理引擎。规则可识别和网络分组有关 的任何类型和形式的元组信息，例如源和目的IP地址以及源和目的端口的 四元组。基于所接收的匹配规则所指定的元组的分组，流分布器可将分组转 发到核或分组引擎。一些实施例中，通过共享存储器和/或核到核的消息传输 将分组转发到核。

虽然图5B示出了在多核系统575中执行的流分布器550，但是，一些 实施例中，流分布器550可执行在位于远离多核系统575的计算装置或设备 上。这样的实施例中，流分布器550可以和多核系统575通信以接收数据分 组并将分组分布在一个或多个核505上。一个实施例中，流分布器550接收 以设备200为目的地的数据分组，向所接收的数据分组应用分布方案并将数 据分组分布到多核系统575的一个或多个核505。一个实施例中，流分布器 550可以被包括在路由器或其他设备中，这样路由器可以通过改变与每个分 组关联的元数据而以特定核505为目的地，从而每个分组以多核系统575的 子节点为目的地。这样的实施例中，可用CISCO的vn-tag机制来改变或标 记具有适当元数据的每个分组。

图5C示出包括一个或多个处理核505A-N的多核系统575的实施例。 简言之，核505中的一个可被指定为控制核505A并可用作其他核505的控 制平面570。其他核可以是次级核，其工作于数据平面，而控制核提供控制 平面。核505A-N共享全局高速缓存580。控制核提供控制平面，多核系统 中的其他核形成或提供数据平面。这些核对网络流量执行数据处理功能，而 控制核提供对多核系统的初始化、配置和控制。

仍参考图5C，具体而言，核505A-N以及控制核505A可以是此处所述 的任何处理器。此外，核505A-N和控制核505A可以是能在图5C所述系统 中工作的任何处理器。另外，核505A-N可以是此处所述的任何核或核组。 控制核可以是与其他核不同类型的核或处理器。一些实施例中，控制核可操 作不同的分组引擎或者具有与其他核的分组引擎配置不同的分组引擎。

每个核的存储器的任何部分可以被分配给或者用作核共享的全局高速 缓存。简而言之，每个核的每个存储器的预定百分比或预定量可用作全局高 速缓存。例如，每个核的每个存储器的50%可用作或分配给共享全局高速缓 存。也就是说，所示实施例中，除了控制平面核或核1以外的每个核的2GB 可用于形成28GB的共享全局高速缓存。例如通过配置服务而配置控制平面 可确定用于共享全局高速缓存的存储量（the amount of memory）。一些实施 例中，每个核可提供不同的存储量供全局高速缓存使用。其他实施例中，任 一核可以不提供任何存储器或不使用全局高速缓存。一些实施例中，任何核 也可具有未分配给全局共享存储器的存储器中的本地高速缓存。每个核可将 网络流量的任意部分存储在全局共享高速缓存中。每个核可检查高速缓存来 查找要在请求或响应中使用的任何内容。任何核可从全局共享高速缓存获得 内容以在数据流、请求或响应中使用。

全局高速缓存580可以是任意类型或形式的存储器或存储元件，例如此 处所述的任何存储器或存储元件。一些实施例中，核505可访问预定的存储 量（即32GB或者与系统575相当的任何其他存储量）。全局高速缓存580 可以从预定的存储量分配而来，同时，其余的可用存储器可在核505之间分 配。其他实施例中，每个核505可具有预定的存储量。全局高速缓存580可 包括分配给每个核505的存储量。该存储量可以字节为单位来测量，或者可 用分配给每个核505的存储器百分比来测量。因而，全局高速缓存580可包 括来自与每个核505关联的存储器的1GB存储器，或者可包括和每个核505 关联的存储器的20%或一半。一些实施例，只有一部分核505提供存储器给 全局高速缓存580，而在其他实施例，全局高速缓存580可包括未分配给核 505的存储器。

每个核505可使用全局高速缓存580来存储网络流量或缓存数据。一些 实施例中，核的分组引擎使用全局高速缓存来缓存并使用由多个分组引擎所 存储的数据。例如，图2A的高速缓存管理器和图2B的高速缓存功能可使 用全局高速缓存来共享数据以用于加速。例如，每个分组引擎可在全局高速 缓存中存储例如HTML数据的响应。操作于核上的任何高速缓存管理器可 访问全局高速缓存来将高速缓存响应提供给客户请求。

一些实施例中，核505可使用全局高速缓存580来存储端口分配表，其 可用于部分基于端口确定数据流。其他实施例中，核505可使用全局高速缓 存580来存储地址查询表或任何其他表或列表，流分布器可使用这些表来确 定将到来的数据分组和发出的数据分组导向何处。一些实施例中，核505可 以读写高速缓存580，而其他实施例中，核505仅从高速缓存读或者仅向高 速缓存写。核可使用全局高速缓存来执行核到核通信。

可以将全局高速缓存580划分成各个存储器部分，其中每个部分可专用 于特定核505。一个实施例中，控制核505A可接收大量的可用高速缓存， 而其他核505可接收对全局高速缓存580的变化的访问量。

一些实施例中，系统575可包括控制核505A。虽然图5C将核1505A 示为控制核，但是，控制核可以是设备200或多核系统中的任何一个核。此 外，虽然仅描述了单个控制核，但是，系统575可包括一个或多个控制核， 每个控制核对系统有某种程度的控制。一些实施例中，一个或多个控制核可 以各自控制系统575的特定方面。例如，一个核可控制决定使用哪种分布方 案，而另一个核可确定全局高速缓存580的大小。

多核系统的控制平面可以是将一个核指定并配置成专用的管理核或者 作为主核。控制平面核可对多核系统中的多个核的操作和功能提供控制、管 理和协调。控制平面核可对多核系统中的多个核上存储器系统的分配和使用 提供控制、管理和协调，这包括初始化和配置存储器系统。一些实施例中， 控制平面包括流分布器，用于基于数据流控制数据流到核的分配以及网络分 组到核的分配。一些实施例中，控制平面核运行分组引擎，其他实施例中， 控制平面核专用于系统的其他核的控制和管理。

控制核505A可对其他核505进行某种级别的控制，例如，确定将多少 存储器分配给每个核505，或者确定应该指派哪个核来处理特定功能或硬件/ 软件实体。一些实施例中，控制核505A可以对控制平面570中的这些核505 进行控制。因而，控制平面570之外可存在不受控制核505A控制的处理器。 确定控制平面570的边界可包括由控制核505A或系统575中执行的代理维 护由控制核505A控制的核的列表。控制核505A可控制以下的任一个：核 初始化、确定核何时不可用、一个核出故障时将负载重新分配给其他核505、 决定实现哪个分布方案、决定哪个核应该接收网络流量、决定应该给每个核 分配多少高速缓存、确定是否将特定功能或元件分布到特定核、确定是否允 许核彼此通信、确定全局高速缓存580的大小以及对系统575内的核的功能、 配置或操作的任何其他确定。

F.用于由中间装置进行cookie代理的系统和方法

cookie可用于维护系统的状态或者网络上两个实体之间的先前的事 件、事务或通信的存储。在一些情况下，cookie可用于各种类型的会话跟 踪。cookie管理可称作网络装置（例如中间装置200）的特性，并且可以 在创建、使用或控制服务器106和客户机102之间传输的cookie时提供管 理服务器102或客户机106的一种方式。本文描述的中间装置的实施例提 供管理客户机和服务器的cookie的方法。在一些实施例中，中间装置管理 在服务器侧的服务器消耗的cookie（server consumed cookie）而不向客户 机浏览器发送cookie。

现参考图6A，描述了用于经由设备200或代理访问服务器的无客户 端虚拟专用网络（VPN）环境的实施例。简要而言，客户机102在计算装 置100上运行并且执行由用户操作的浏览器。客户机102可以在诸如公用 网络的第一网络104上。客户机102上的用户可经由浏览器请求访问第二 网络104’上的资源，该第二网络104’例如是企业的专用网络。设备200为 该用户提供对所请求的资源的无客户端VPN访问。客户机可以不安装或 执行被构造和/或设计为提供到网络104’的VPN连通（称为基于客户机的 VPN）的任何代理、组件、程序、驱动程序或应用。相反，设备或代理可 重写来自服务器的响应和来自客户机的请求以提供VPN功能，而不需要 使用在客户机上运行VPN代理。例如，设备可重写客户机和服务器之间 的统一资源定位符（URL），例如由服务器提供的任何内容或客户机发送 的请求中的URL。设备200可以采用对客户机和服务器其中之一或两者透 明和无缝的方式来重写客户机和服务器之间的URL。这样，客户机、浏览 器或者服务器和服务器应用不需要知道或了解无客户端SSL VPN访问场 景。

如之前在上文中描述的，设备200可提供经由SSL VPN280模块访问 资源的设施。在一个实施例中，设备200通过在客户机102上提供、安装 或执行SSL VPN代理以便与设备200通信，来提供对网络的基于客户机 的访问。在一些实施例中，设备200提供对资源的无客户端SSL VPN访 问（该资源例如http/https/文件共享），而不用向客户机102下载SSL VPN 客户端或代理。例如，用户可能想要从诸如自助服务终端（kiosk）的外部 机器访问公司内的资源，在该自助服务终端上该用户没有安装客户端的权 限或者该用户不想经历客户端安装过程。当装置（例如市场中的新PDA） 不支持SSL VPN客户端但该装置运行启用SSL的浏览器时，无客户端SSL VPN特性也很有用。在其他实施例中，设备200基于策略和任何策略规则、 动作和/或条件，为用户在基于客户机访问资源和无客户端SSL VPN访问 资源之间进行选择。

客户机可包括任何类型和形式的用户代理，该用户代理可以是浏览 器、编辑器、网络蜘蛛（spider）（web穿行机器人）或者任何其他终端用 户工具或程序。客户机102可包括任何类型和形式的浏览器。在一个实施 例中，浏览器是由位于美国华盛顿州Redmond的微软公司出品的任何版本 的Internet浏览器。在另一个实施例中，浏览器是由网景通信公司出品的 任何版本的网景浏览器。在其他实施例中，浏览器是由位于美国加利福尼 亚州的Mozilla基金会提供的、并且可以在www.mozilla.com找到的任何 版本的称作Firefox的开源浏览器。在又一个实施例中，浏览器是由位于 挪威奥斯陆的Opera软件公司出品的任何版本的称作Opera的浏览器。在 一些实施例中，客户机102执行或包括任何类型和形式的应用或程序，用 于显示web页面、Web内容、HTML、XML、CSS（层叠样式表单）、JavaScript 或HTTP内容。

在运行图6A描述的实施例时，用户在由设备200提供的SSL VPN站 点登入，如在由设备200寄载的域名和IP地址登入。例如，用户经由客 户机102的浏览器，可选择或输入到SSL VPN站点的URL。设备200可 认证该用户并且可进一步确定授权该用户访问设备200或SSL VPN站点。 在成功认证后，设备向客户机提供门户网页以便经由浏览器显示给用户。 门户网页可包括导航框，诸如用户选择来操作或运行应用的一个或多个用 户接口组件的集合。门户网页可包括到其他页面的链接或用户可访问的 URL。门户网页上的URL或链接可引用或标识由设备200提供的SSL VPN 站点的主机名称或IP地址。

用户可经由门户网页，例如通过点击活动超链接或URL来选择一个 或多个URL。作为响应，浏览器或客户机发送请求到由设备200寄载的域。 例如，如图6A所示，用户可经由设备请求服务器106的应用“https:// sslvpn.x.com/cvpn/http/server.x.com/app.cgi”。在一些实施例中，用户发送 另一请求，例如“https://proxy.x.com/cvpn/http/server.x.com/app.cgi”。设备 200接收来自客户机102的该请求并且重写该请求以发送到服务器。例如， 如图6A中所示，设备可移除或剥离由设备寄载的域名（如“sslvpn.x.com” 或“proxy.x.com”），并且将请求中的剩余部分转发到服务器106。

响应于该请求，服务器向客户机提供内容。响应的内容或主体可包括 到服务器的其他页面或到网络104’上的其他服务器的内嵌链接或URL，如 到“http://server.x.com/app.cgi”的内嵌链接。设备重写头部和主体以将任何 URL修改为引用SSL VPN站点的域名或IP地址，使得经由客户机浏览器 选择的任何另外的URL或链接将请求传递给设备200。设备将修改的内容 传递给客户机102。例如经由AppFw290（有时称作AppSecure模块290）， 可将设备200设计和构造为基于策略引擎的策略来重写请求和响应的 URL。在该SSL VPN会话期间，设备修改随后从服务器接收的页面和其 他页面中的链接（URL），使得指向该SSL VPN站点（VPN VIP275）的链 接和原始请求URL（绝对或相对）被编码在请求URL中。

现参考图6B，描述用于提供VPN访问以及cookie管理的VPN环境 的另一个实施例。简要而言，设备200可包括VPN模块280，用于处理如 本文描述的基于无客户端和/或客户机的任何SSL VPN功能。设备和/或 VPN模块280可具有AAA模块来执行任何类型和形式的认证、授权和审 计（AAA）和/或跟踪和管理VPN会话信息。该AAA模块还可以执行任 何类型和形式的VPN会话查找来确定关于任何客户机请求的VPN会话。 VPN模块还可以执行URL解码并且将（例如要提交到专用网络上的服务 器的）URL转换为服务器格式。VPN模块280还包括经由VPN处理器功 能、逻辑或操作的DNS查找功能和授权。

设备可包括用于存储、跟踪和管理客户机与服务器之间的cookie的 cookie代理或cookie管理器。cookie可包括用于添加或插入cookie以及移 除cookie的cookie存储器，称作cookie罐（cookie jar）。cookie管理器或 代理可包括功能、逻辑或操作，用于按URL、域名或者请求和/或响应的 其他信息在cookie罐中存储和查找cookie信息。在一些实施例中，设备 200代表不支持cookie、关闭cookie的客户机，或者在希望或宁愿不向客 户机发送cookie的情况下，来管理cookie。

在设备是由Citrix Systems股份有限公司出品的情况下，该设备还可 以包括AppFW280，也称作AppSecure。AppSecure280模块可包括用于执 行任何类型和形式的内容重写（如URL重写）的逻辑、功能或操作。在 一些实施例中，AppSecure280模块向客户机和服务器之间的请求和/或响 应执行任何类型和形式的内容注入。在一个实施例中，AppSecure模块280 在对客户机的响应中注入脚本（如JavaScript），从而执行任何类型和形式 的所需的功能。

用于无客户端SSL VPN访问的设备200的任何组件可响应于配置或 由配置驱动，例如经由策略引擎的任何一个或多个策略。策略可指示和确 定由VPN模块执行的URL编码和解码的类型和形式。在一些实施例中， 策略可指示和确定cookie代理如何以及何时管理和代理cookie。在其他实 施例中，策略可指示和确定AppSecure模块如何以及何时执行URL重写 和/或内容注入。策略可指示用户访问专用网络和专用网络上的应用的方 式。可基于访问场景配置策略，该访问场景可包括基于以下内容的任意组 合的访问：用户、客户机的类型和形式、网络的类型和形式、访问的资源 的类型、使用的应用的类型、时间信息以及设备可经由穿过该设备的网络 流量所确定的任何信息。

根据图6B，讨论了关于无客户端SSL VPN访问的、经由设备200的 分组流。响应于成功的登录请求，VPN设备可向该登录请求的发送者发送 门户网页。如同结合图6A所描述的，该门户网页可具有采用“vpn编码形 式”的一个或多个链接。门户网页流过将在下文中描述的响应代码路径。 当用户点击门户网页中的任何URL时，可以用多种方式并且使用多个步 骤来实施该分组流。在一些实施例中，对于请求路径，在步骤Q1，设备 200可接收URL请求并且在AAA模块中查找VPN会话。在步骤Q2，设 备可将VPN编码的URL解码为用于服务器或网络104’的期望URL。设备 还可以将请求的头部（如头部的值）修改为服务器格式，或者修改为用来 由服务器106（例如，HTTP服务器）发送和使用的格式。设备可重新解 析头部使得该设备的任何其他模块看见采用服务器格式的该请求。在请求 路径中的步骤Q3，设备经由cookie管理器或代理，基于URL的域和路径 查找请求的cookie。在一些情况下，如果请求应该包括cookie，则设备可 插入来自cookie罐的cookie。在步骤Q4，设备可经由该设备的DNS查找 功能/模块将存在于URL中的服务器域名解析为服务器的IP地址。设备可 基于AAA模块中的DNS查找来创建服务器信息。此外，可评估认证策略 来判断是否可以将请求发送给服务器。在步骤Q5，设备可将请求发送给 服务器。在一些实施例中，如果认证成功，则设备将请求发送给服务器。

在经由设备从服务器到客户机的响应路径中，在步骤S1，设备可接收 来自服务器的响应。VPN模块280可处理该响应。VPN模块可将响应头 部传送给cookie代理模块，以及将响应主体传送给AppSecure模块。在步 骤S2，cookie代理可以从响应的头部移除cookie并且将它们存储在用于 当前会话的cookie罐中，其中该cookie没有被配置为或标识为客户机消 耗的cookie。在步骤S3，AppSecure模块可以依照重写策略以“vpn编码的 形式”重写任何URL。AppSecure模块还可以在响应主体中插入要在客户机 侧执行的任何脚本，如JavaScript。在步骤S4，设备可将修改的响应发送 给客户机。在许多实施例中，以任意顺序执行Q或S的任何步骤，或者与 本文描述的任何其他步骤或实施例任意结合来执行Q或S的任何步骤。

Cookie可用于维护系统状态或者维护网络上两个实体之间的先前事 件、事务或通信的存储。在一些情况下，可将cookie用于各种类型的会话 追踪。Cookie管理可被称为网络装置（如中间装置200）的特性，且可在 创建、利用或控制服务器106和客户机102之间传输的cookie时提供管理 服务器102或客户机106的方法。本文描述的中间装置的实施例提供管理 客户机和服务器的cookie的方法。在一些实施例中，中间装置管理在服务 器侧的服务器消耗的cookie而不将cookie发送给客户机浏览器。

图7A、图7B和图7C示出了用于cookie代理的系统和方法。图7A 描述了用于在无客户端SSL VPN环境的实施例中管理cookie的系统和方 法的实施例。图7B示出用于包括SSL VPN无客户端访问场景的cookie 管理的方法的实施例的序列图和步骤。步骤7C描述用于由使用唯一标识 符（如唯一客户机ID）的中间装置进行cookie代理的实施例。这些附图 可能涉及用于实施cookie管理（如无客户端cookie管理）的系统和方法的 多个实施例

无客户端cookie管理能够使驻留在不安全的网络中的web客户机访问 在安全网络后面寄载的web应用而不会危及安全网络的安全性。例如，无 客户端cookie管理可通过移除服务器消耗的cookie数据来改善所发送的信 息的安全性。无客户端cookie管理能够让服务器消耗的cookie数据不会被 发送到客户机并且防止访问可能包含在该cookie中的任何敏感信息。此 外，无客户端cookie管理能够使不支持cookie的web浏览器（如PDA和 WAP浏览器）与需要cookie的服务器上的web应用一起工作。而且，当 使用的web应用与cookie路径重写不兼容时，无客户端cookie管理可提 供通过重写cookie路径允许该应用运行的服务。

现参考图7A，示出了用于经由中间装置200实施SSL VPN无客户端 cookie管理的系统和方法的实施例。图7A描述了客户机102经由中间装 置200与服务器106通信。中间装置200包括策略引擎236和cookie管理 器720。客户机102向中间装置200发送目的为服务器106的请求，例如 HTTP（超文本传输协议）请求。该请求包括URL（统一资源定位符），该 URL可以标识存储在服务器106上或者可通过其他方式从服务器106获得 的服务或资源。Cookie管理器720接收该请求并使用策略引擎236生成与 客户机102关联的cookie。生成的cookie可满足服务器106的任何偏好 （preference）或配置，因此使最初的无cookie请求能够被服务器106接 受且处理。Cookie管理器720修改该请求以使该请求包括cookie，并且将 修改后的请求转发到服务器106。服务器106使用由cookie管理器720生 成的cookie发出对该请求的响应并且将响应发送到中间装置200。Cookie 管理器720通过移除cookie来修改该响应。接着将修改的响应发送到客户 机102。服务器106和客户机102可使用该cookie进一步传输送额外的请 求和响应，因而允许无cookie客户机102访问cookie配置的服务器106 上的资源。

Cookie管理器720可以是生成、终止、修改或管理cookie的任何装置、 组件、单元、功能或设备。Cookie管理器720还可以修改客户机102的请 求和服务器106的响应。Cookie管理器720可包括硬件、软件或者硬件和 软件组件的组合来管理和控制cookie。Cookie管理器720可包括逻辑、控 制功能、处理电路、软件程序、算法和脚本来用于控制、管理或修改客户 机102与服务器106之间的传输。在多个实施例中，cookie管理器720包 括在管理cookie以及提供客户机102与服务器106之间的通信控制的过程 中使用的策略。

在一些实施例中，cookie管理器720可以通过使用配置的策略（如策 略引擎236的策略）提供唯一标识符来唯一地标识网络上的用户。唯一标 识符可以是唯一标识网络上的客户机102、服务器106或设备200的任何 数字、值或者数据、数字或字符的集合。在一些实施例中，cookie管理器 720可使用唯一标识符将从服务器106接收的响应和该响应所针对的特定 客户机102相关联。Cookie管理器720可包括使用cookie和客户机标识符 修改响应的任何功能，使得客户机102以所需的格式接收该响应。类似地， cookie管理器720可包括将特定客户机102的请求修改为包括特定cookie 的任何功能，以便使用客户机唯一标识符和为该客户机生成的cookie来访 问服务器106上的资源。

Cookie管理器720可修改或改变服务器106或客户机102发送的任何 传输信息。在一些实施例中，cookie管理器720使用用于处理cookie的策 略引擎236的一个或多个策略来修改客户机102和服务器106之间的传输 信息。Cookie管理器720可将传输信息修改为包括或排除cookie和唯一客 户机标识符。在一些实施例中，cookie管理器720为请求访问任何服务器 106的任何客户机102生成cookie。Cookie管理器720可响应于策略为客 户机102生成cookie。在一些实施例中，Cookie管理器可响应于策略确定 不应该允许特定客户机具有cookie。在其他实施例中，cookie管理器720 响应于策略确定特定的唯一客户机标识符应该与客户机102相关联。在进 一步的实施例中，cookie管理器720响应于策略确定为请求生成的cookie 的类型和形式。在进一步的实施例中，cookie管理器响应于策略来判断是 否为客户机将来的请求存储该cookie及如何存储该cookie。

在一些实施例中，cookie管理器从请求或响应中移除或剥离cookie。 Cookie管理器可为客户机102或服务器106分配或者重新分配cookie。在 进一步的实施例中，cookie管理器720改变、修改或重写来自客户机102 的请求或者来自服务器106的响应的cookie。Cookie管理器720可将唯一 标识客户机的值、名称或唯一客户机标识符与跟客户机、服务器或中间装 置200关联的cookie或cookie的一部分相匹配。在一些实施例中，cookie 管理器720可在URL添加与唯一客户机标识符关联的cookie。在进一步 的实施例中，cookie管理器720可移除唯一客户机标识符并且添加与唯一 客户机标识符关联的cookie作为替代。在多个实施例中，cookie管理器720 可用唯一标识客户机102或服务器106的唯一标识符来代替cookie，该唯 一标识符有时也称作唯一ID。

Cookie管理器720可使用解析传输消息的解析器。Cookie管理器720 还可以使用内部映射，以用于将关联多个客户机、服务器或设备200的多 个唯一标识符与关联所述客户机、服务器或设备的多个cookie进行匹配。 例如，cookie管理器720可使用包括与一个或多个cookie关联的一个唯一 标识符的映射来匹配由唯一标识符唯一标识的客户机102与一个或多个 cookie。在这种情况下，cookie管理器720可使用匹配到唯一客户机标识 符的一个或多个cookie来修改、改变或编辑来自客户机的请求或去往客户 机的响应。Cookie管理器720可利用策略，根据需要通过管理cookie和唯 一客户机标识符、向客户机102和服务器106的传输信息添加cookie和唯 一客户机标识符或者从客户机102和服务器106的传输信息移除cookie和 唯一客户机标识符来管理客户机102和服务器106之间的传输，以满足接 收装置（即接收传输信息的客户机102和服务器106）的配置或偏好。

分号客户机分隔的列表可以是包括cookie列表以及与经由中间装置 200与一个或多个服务器106通信的客户机102关联的信息的任何映射、 列表、数据库或文件。本文中的分号客户机分隔的列表还可以可替换地称 作内部映射或cookie列表或映射。在一些实施例中，分号客户机分隔的列 表包括cookie名值对以及可以代替cookie用于上游通信（即朝向服务器 106的通信）或下游通信（即朝向客户机102的通信）的值或者唯一标识 符。有时，cookie管理器720可使用客户机消耗的cookie和/或客户机和服 务器消耗的cookie的分号分隔的列表，将一个或多个客户机102的值或唯 一标识符链接、匹配或关联到与该客户机关联的每个cookie。通过使用分 号分隔的列表，cookie管理器720可确定将哪个cookie重新注入、添加或 包括到上游或下游传输中。Cookie管理器720可使用映射或cookie列表将 由中间装置200接收的传输信息中的cookie与该传输信息指定的客户机 102进行匹配。cookie管理器720可接着将该传输信息编辑或修改为排除 cookie且修改为包括与客户机102关联的任何其他信息来代替。类似地， cookie管理器720可使用映射或cookie列表将唯一客户机标识符与要包含 到该传输信息中的cookie进行匹配。

在一些实例中，通过打开服务器侧cookie管理并且不指定分号分隔的 列表，网络应用可能错误运行。当cookie管理器720过滤在服务器106处 的客户机消耗的cookie时可能出错，使用分号分隔的列表可以禁止该出 错。使用分号分隔的列表还可以禁止当web应用尝试访问客户机102上的 cookie值时可能发生的导致不期望行为的错误。在多个实施例中，分隔的 客户机cookie列表或列表可包括用于服务器侧或客户机侧cookie管理的各 种开/关设置。在一些实施例中，可将分隔的客户机cookie列表存储在任 何数量的数据层或者包括在方法或处理的每个步骤中任何变量的设置或 配置的各种表中。

可以通过类型或特征对cookie进行分类。Cookie管理器720可通过与 cookie关联的唯一标识符来对cookie进行分类。服务器消耗的cookie可以 是由发出关于响应的Set-Cookie的资源（例如服务器106）所设置的cookie。 可由任何客户机侧代码来检查服务器消耗的cookie的值或者可能不由任 何客户机侧代码来检查。在某些实施例中，cookie管理器720可将服务器 消耗的cookie标识或分类为服务器消耗的cookie。在多个实施例中，cookie 管理器720可从请求或响应的下游传输中移除服务器消耗的cookie并且将 它们重新注入与该请求或响应相关的上游传输中。在其他实施例中，服务 器消耗的cookie可与关于会话的机密或敏感数据相关联。在一些实施例 中，可通过cookie管理器720来管理服务器消耗的cookie并且该服务器消 耗的cookie不会发送给web浏览器。在某些实施例中，可从发送到web 浏览器的消息中剥离出服务器消耗的cookie并且可将其存储在cookie管理 器720中或与cookie管理器720相关的任何存储装置中。

客户机消耗的cookie可以是例如由客户机102的web浏览器经由诸如 JavaScript的脚本在上游传输上设置的cookie。在一些实施例中，客户机消 耗的cookie是在来自来源的下游传输上设置的cookie，其中该来源可以是 客户机102、服务器106或设备200。在多个实施例中，可由客户机102 或中间装置200检查或修改客户机消耗的cookie。在一些实施例中，不通 过服务器106检查或修改客户机消耗的cookie。服务器106可以仅按原样 接受请求并且可以依赖中间装置200来提供对请求的修改。类似地，客户 机102也可以不修改响应，而是可以依赖中间装置200来修改响应。在一 些实施例中，由服务器106检查、编辑和修改客户机消耗的cookie。在进 一步的实施例中，客户机消耗的cookie不由cookie管理器720管理，而是 被发送到客户机102的web浏览器的下游。有时，由客户机102和服务器 106共同读取、修改和生成客户机消耗的cookie以及服务器消耗的cookie。 在一些实施例中，cookie管理器720可以不管理客户机或服务器消耗的 cookie，并且客户机或服务器消耗的cookie可被发送到朝向客户机102的 web浏览器的下游。在一些实施例中，客户机102可执行服务器106的功 能，反之亦然。在其他实施例中，客户机102可用于可交换地替代服务器 106，并且服务器106可用于可交换地替代客户机102。在一些实施例中， 可以使用、修改、读取、写入发送到或来自客户机102、服务器106或中 间装置200中任何一个的客户机或服务器消耗的cookie。在多个实施例中， 服务器消耗的cookie包括客户机消耗的cookie的全部功能，并且可以与任 何客户机消耗的cookie采用相同的方式并且通过相同的组件来处理、修 改、控制或使用服务器消耗的cookie。有时，所有的cookie可以是服务器 消耗的cookie。可由服务器使用、读取或编辑服务器消耗的cookie。在进 一步的实施例中，一些服务器消耗的cookie也是客户机消耗的cookie。除 了由服务器使用、读取或编辑以外，也可以由客户机使用、读取或编辑该 客户机消耗的cookie。在一些实施例中，由中间装置200使用、编辑、读 取、写入或修改服务器和客户机消耗的cookie。有时在一些实施例中，一 些cookie由客户机使用而不由服务器使用。

可使用上游或下游通信来指示通行的方向。例如，有时上游请求通信 或上游方向可与从客户机102朝向服务器106的通信或事务相关。在一些 实施例中，上游请求通信或上游方向可与从服务器106到客户机102的通 信或事务相关。在多个实施例中，下游请求通信或下游方向在一些实施例 中可与从客户机102朝向服务器106的通信、事务或方向相关。在多个实 施例中，下游请求通信或下游方向可与从服务器106到客户机102的通信 或事务相关。有时，可将去往服务器的事务或通信称作上游事务或上游通 信，并且可将朝向客户机的事务或通信称作下游事务或下游通信。

仍参考图7A，示出用于实施无客户端cookie管理的实施例的方法的步 骤。在步骤一，客户机102经由中间装置200将请求发送到服务器106。 该请求包括诸如由中间装置200提供的URL的URL请求，例如 http://abc.com/dir/index.asp。在步骤二，中间装置200与cookie管理器720 通信，该cookie管理器720根据可用于由URL提供的域名和路径的cookie 内部映射来检查到来的请求URL。如果cookie管理器检测到在到来的请求 URL和内部映射中的可用的cookie之间存在任何匹配，则从该cookie管理器 向中间装置返回名值对的数组。在步骤三，中间装置将修改后的请求转发 到服务器106。在一些实施例中，还可以将请求称作HTTP请求，并且可将 修改后的请求称作修改后的HTTP请求。可将请求修改为包括来自cookie 管理器720的一个或多个cookie。如图7A所示，在步骤三中发送的消息包 括分配给cookie的值25。在步骤四，服务器用包括头部和主体（如HTTP 头部和内容主体）的响应来响应该请求。该响应可包括由Set-Cookie HTTP 头部限定的数个cookie限定。关于该示例，来自服务器的响应包括设置为 25的Set-Cookie值。中间装置可在步骤五访问cookie管理器720，同时将来 自响应的cookie值传送给cookie管理器。Cookie管理器720针对给定的URL 检查所接收的值是否是新的或者是更新的并且在引入的映射上执行任何 必要的更新。Cookie管理器720还检查是否应该将客户机消耗的cookie返 回到中间装置以用于web浏览器消耗。在步骤六，中间装置将来自服务器 的响应发送给客户机102的web浏览器，其中从头部移除服务器消耗的 cookie并且为该头部添加了客户机消耗的cookie。

在进一步的细节中，图7A描述了客户机102通过发送第一请求给中 间装置200，用去往服务器106的第一请求发起通信。图7A中的箭头1表 示将第一请求http://abc.com/dir/index.asp发送给中间装置200。在一些实施 例中，由服务器106、中间装置200或网络104上的任何其他装置发送第 一请求。该第一请求可能包括或者不包括cookie。在一些实施例中，第一 请求包括URL或HTTP请求。在进一步的实施例中，第一请求包括到存储 在服务器106上的资源的路径。在进一步的实施例中，第一请求包括从在 网络上通信的所有装置中唯一标识客户机102的唯一标识符。在进一步的 实施例中，第一请求包括在客户机102上唯一标识会话的唯一标识符。在 进一步的实施例中，第一请求包括在客户机102上唯一标识用户的唯一标 识符。在一些实施例中，发送第一请求的客户机102不是cookie配置的且 不发送cookie。在其他实施例中，发送第一请求的客户机使用网络或连接， 该网络或连接是不安全的且不适于发送敏感信息。

如图7A的箭头2所示，中间装置200接收第一请求并将其转发到 cookie管理器720。在一些实施例中，中间装置200响应于所接收的第一 请求来启动或调用cookie管理器720。在其他实施例中，中间装置200响 应于识别到客户机102满足调用cookie管理器720的前置条件集合，来启 动或调用cookie管理器。前置条件集合可包括与客户机102、客户机102 上的会话或客户机102上的用户相关的任何确定。可由中间装置200、客 户机102、服务器106或网络104上的任何其他组件或装置做出确定。在 一些实施例中，由策略引擎236做出确定。在一些实施例中，前置条件集 合包括确定请求来自不支持cookie的客户机102。在进一步的实施例中， 前置条件集合包括确定客户机102使用不安全的会话或连接。在进一步的 实施例中，前置条件集合包括确定客户机使用不安全的网络。在进一步的 实施例中，前置条件的集合包括确定客户机102可访问由第一请求所请求 的、服务器106上的被请求的资源或服务。

中间装置200可激活或启动cookie管理器720以便根据cookie的内部 映射来检查或匹配所接收的请求URL。还可以将cookie的内部映射称作 映射、列表或分号分隔的cookie列表。在一些实施例中，策略引擎236的 策略根据cookie的内部映射来匹配第一请求的一部分。该映射可包括任何 数量的cookie，每个cookie可与多个客户机102、服务器106或设备200 关联、链接或配对。在一些实施例中，cookie管理器720针对在映射中存 储的域或消息的路径检查或匹配所接收的请求URL。在一些实施例中，策 略引擎236的策略将与客户机102相关的信息与映射中存储的域或消息的 路径进行匹配。域或消息的路径可将第一请求的URL或任何部分与用于 客户机102的一个或多个cookie进行匹配。在一些实施例中，cookie管理 器720或策略检测或确定第一请求的部分与关联客户机102或服务器106 的一个或多个cookie或者唯一标识符匹配。在一些实施例中，cookie管理 器720或策略引擎236的策略检测或确定第一请求的一部分与一个或多个 名值对或者值名对之间的匹配。

Cookie管理器720可响应于所接收的请求的一部分与来自cookie的内 部映射的cookie或者一个或多个cookie之间的匹配，来生成、提供或返回 一个或多个名值对。可由策略引擎236的策略在所接收的请求的一部分和 来自cookie的内部映射中的cookie或者一个或多个cookie之间进行匹配。 在一些实例中，cookie管理器720响应于确定来自客户机102的请求或来 自服务器106的对该请求的响应匹配来自映射的任何cookie或唯一标识 符，来返回一个或多个名值对。在一些实施例中，cookie管理器720可将 cookie的一部分与所接收的请求或对该所接收的请求的响应中的URL的 一部分进行匹配。Cookie管理器720可将匹配的cookie分配给第一请求。 在一些实施例中，cookie管理器720可修改第一请求使其包括匹配的 cookie。在一些实施例中，如果没有做出匹配，cookie管理器720为客户 机102或服务器106生成cookie。在一些实施例中，cookie管理器为第一 请求的客户机102生成cookie并且将该cookie分配给该客户机102。所生 成的cookie可包括该cookie的值。该cookie的值可以是在cookie的内部 映射中将该cookie与客户机102唯一关联的唯一值。Cookie管理器可使用 该cookie的值来关联从服务器106到客户机102的、对第一请求的到来响 应。Cookie管理器可将该cookie分配给客户机102以用于第一请求以及从 客户机102到服务器106的将来的任何其他请求。Cookie管理器720或中 间装置200的任何其他部分可重写、修改、格式化或改变所接收的请求， 例如使得第一请求包括匹配或生成的cookie或者满足由服务器106接收的 请求的任何格式或内容要求。

仍参考图7A，箭头3表示设备200将由cookie管理器720处理的第 一请求发送到服务器106的步骤。可修改所发送的第一请求。在一些实施 例中，由cookie管理器720或设备200修改该请求。中间装置200发送的 请求可包括来自cookie管理器720的一个或多个cookie。在一些实施例中， 修改的请求包括cookie的值，cookie管理器720可使用该值将请求与客户 机102相关联。可将已经被设备200或cookie管理器720修改或改变的请 求称作修改的请求。服务器106可以接收修改的请求，该修改的请求采用 与要由服务器106处理的请求的偏好或配置一致的格式。服务器106可接 收修改的请求并且确定所接收的修改的请求是有效请求。

箭头4示出服务器106发送或发出对修改的请求的响应的步骤。发出 的响应可包括客户机102请求的任何信息、服务或资源。在一些实施例中， 发出的响应包括网页。在其他实施例中，发出的响应包括文件。在进一步 的实施例中，发出的响应包括应用或计算机软件程序。在进一步的实施例 中，发出的响应包括认证或授权消息或者用于建立与客户机102的会话的 消息。来自服务器106的响应可包括cookie的值，该cookie的值可用于唯 一标识该响应去往的客户机102。来自服务器的响应可包括头部和内容主 体，其中任何一个可包括：一个或多个cookie、一个或多个cookie限定、 一个或多个cookie的组件或部分、以及与cookie相关或关联的值或信息。 在一些实施例中，由“Set-Cookie”或“Set-Cookie2”HTTP头部来设置cookie 限定。“Set-Cookie”或“Set-Cookie2”HTTP头部在本文中可称作Set-Cookie。

箭头5示出中间装置200与cookie管理器720通信并且修改对第一请 求的响应的步骤。在多个实施例中，中间装置200向cookie管理器720 发送来自服务器106的响应中的一个或多个cookie值或者唯一客户机标识 符。在多个实施例中，中间装置200向cookie管理器720发送来自服务 器的响应中的一个或多个cookie。中间装置200可激活或启动cookie管理 器720以便根据映射或cookie列表来检查或匹配来自响应的URL。中间 装置200可修改或编辑服务器的响应使其包括与该响应的一部分相匹配的 cookie。在一些实施例中，cookie管理器720可检查或匹配响应的URL、 头部或任何其他部分与映射中存储的域、消息路径、cookie或cookie的一 部分。在该实例中，如果来自响应的一部分的任何cookie或唯一标识符与 关联于客户机102的所存储的信息相匹配，则中间装置200可按要求修改 或编辑该响应使得该响应包括客户机102的cookie或与客户机102关联的 任何其他信息。在cookie管理器720检测到请求或响应中的URL与来自 内部映射或cookie列表的一个或多个cookie之间存在匹配的情况下，可向 中间装置200返回一个或多个名值对或者值名对。在一些实施例中，策略 引擎236的策略将响应的一部分与一个或多个cookie或唯一标识符进行匹 配。有时，cookie管理器720响应于在响应的一部分和cookie或唯一标识 符之间做出的匹配来返回名值对数组。在一些实施例中，cookie管理器720 可将cookie的一部分匹配到来自所接收的请求的URL的一部分。在多个 实施例中，cookie管理器720将cookie的一部分匹配到所接收的请求的任 何部分，如请求的URL、主体或头部。在一些实施例中，如果cookie管 理器720没有将所接收的、对请求的响应的一部分匹配到任何cookie或任 何唯一标识符，则cookie管理器720生成新的cookie或新的唯一标识符或 者生成这两者，并且将它/它们分配给客户机102或服务器106。Cookie管 理器720可使用新生成的cookie修改服务器106对第一请求的响应。客户 机或服务器的这种新的cookie和唯一标识符可用于同一客户机或服务器 106的任何将来的请求或响应。在一些实施例中，cookie管理器720确定 客户机102的请求或服务器106的响应存在新的或更新的cookie值，并且 相应地，进一步更新映射或数据库。此外，cookie管理器720还可以判断 客户机102消耗的cookie是否应该返回给中间装置200以用于web浏览器 消耗。

仍参考图7A，箭头6示出中间装置200经由下游响应向客户机102 发送或转发修改的响应的步骤。在一些实例中，可将下游响应称作经由中 间装置200从服务器106向客户机102的传输。类似地，上游通信可以是 经由中间装置200从客户机102向服务器106的任何通信。在一些实施例 中，修改的响应不包括任何cookie。在进一步实施例中，修改的响应包括 唯一客户机标识符，cookie管理器720使用该唯一客户机标识符来将客户 机102关联的一个或多个cookie关联到客户机102。在进一步的实施例中， 修改的响应包括客户机102期望或接受的任何格式。从中间装置200到客 户机102的修改的响应可包括从响应中移除的服务器消耗的cookie。在一 些实施例中，所转发的修改的响应可包括重新添加到响应的头部或任何其 他部分的客户机消耗的cookie。在多个实施例中，从中间装置200到客户 机102的修改的响应包括来自服务器106的响应，该响应在cookie管理器 720中被修改为排除与客户机102关联的cookie。

Cookie管理，诸如通过cookie管理器720的cookie管理，可使由客 户机102使用且由服务器106提供的服务、资源或应用，在相同的cookie 域命名空间中运行或提供。中间装置200可提供客户机侧cookie管理或服 务器侧cookie管理来提高客户机102和服务器106之间传输的cookie的安 全性。Cookie管理（例如客户机侧cookie管理）可消除HTTP协议限制的 约束，例如所允许的来自每个客户机的单个来源的最大cookie数量。例如， 在一个对于一个客户机仅允许每个会话20个cookie的系统中，中间装置 200的cookie管理器720的cookie管理能够通过重复使用与客户机关联的 且存储在cookie管理器720中的cookie来使客户机消除这样的限制。在该 示例中，即使在每会话20个cookie的限制会影响提供给客户机的服务的 情况下，使用客户机侧cookie管理也可使客户机102能够与服务器106持 续通信。在这种情况下，在客户机与服务器之间拦截和转发通信的中间装 置200可管理、修改、重写或编辑请求或响应的一部分，并且使用与客户 机或服务器关联的cookie，因而即使在发送多于20个cookie后通信也能 进行。

Cookie管理器720或中间装置200执行的无客户端cookie管理可涉及 在下游cookie头部上重写cookie路径，该下游cookie头部前往客户机102 或服务器106。在一些实施例中，cookie管理器720或中间装置200转发 来自客户机102或服务器106的响应或请求到预定的目的地，而不用改变 或修改它们。在其他实施例中，cookie管理器720执行的无客户端cookie 管理可涉及中间装置200的状态管理。中间装置可调用Cookie管理器720 关于服务器cookie检查上游请求，该服务器cookie应被注入指向服务器 106的流或通信。来自下游通信、要被修改为剥离cookie的响应可保留在 cookie管理器中。

现参考图7B，描述用于无客户端cookie管理的方法的步骤的实施例 的序列图。简要而言，图7B示出了客户机102的浏览器经由设备200和 cookie管理器720与服务器106的web应用通信。客户机102发送HTTP 请求到设备200（这里也称作中间装置200）。中间装置200处理该请求并 且使用cookie管理器720来检查该cookie。Cookie管理器720向中间装置 200返回与该请求关联的cookie。中间装置200修改HTTP请求的头部以 使其包括该cookie并且将修改的HTTP请求发送到服务器106。服务器106 返回对该HTTP请求的HTTP响应。中间装置200发送来自HTTP响应中 的任何cookie到cookie管理器720，该任何cookie被添加到映射，该映射 用于将客户机102的所有cookie与客户机102相关联。中间装置200将该 响应修改为从HTTP响应中移除cookie，并且使用cookie管理器720向该 HTTP响应进一步添加与客户机102相关的任何cookie。中间装置200将 修改的HTTP响应发送给客户机102。

进一步概括，图7B示出了客户机102发送请求到中间装置200（这 里也称作代理）。请求可以是访问由服务器106提供的任何资源或任何服 务的任何请求。在一些实施例中，请求是访问网页或网站相关的服务的 HTTP请求。在其他实施例中，请求是建立与服务器106的连接的请求。 在进一步的实施例中，请求是建立与服务器106的会话的请求。在进一步 的实施例中，请求是使用由服务器106提供的应用的请求。在进一步的实 施例中，请求是访问流文件（如音频或视频文件）的请求。在进一步的实 施例中，访问是对安全文档的访问。请求可包括多个请求。

中间装置200可处理所接收的请求并且使用cookie管理器720来检查 cookie。中间装置可处理请求并且建立客户机102包括的cookie（如果有 的话）。处理请求还可以包括建立唯一客户机标识符来标识与客户机102 的任何进一步的通信。中间装置200可处理该请求并将该请求转发到 cookie管理器720。在一些实施例中，中间装置200将请求的一部分转发 到cookie管理器器720。在一些实施例中，cookie管理器720使用一个或 多个映射来将诸如客户机唯一标识符的有关客户机102的信息与用于由客 户机102传递到服务器106的cookie进行联系或关联。类似地，cookie管 理器720的映射可用于关联任何客户机102侧cookie与服务器106侧 cookie，其中客户机102使用该服务器106侧cookie来与服务器106通信。 在一些实施例中，将来自请求的唯一标识符与映射中的名值对或cookie相 匹配。Cookie可经由cookie管理器720的映射与客户机102相关联。如果 cookie管理器720的映射中还不存在这样的cookie，Cookie管理器720可 以为客户机102创建新的cookie。

在一些实施例中，当中间装置200处理每个请求或响应时，中间装置 200检查正处理的传输的URL是否是服务器侧cookie管理可行的。中间 装置200可调用与cookie管理器相关的函数，如ProcessRequest()来进行 请求的处理。Cookie管理器720可以进一步检查内部映射以用于帮助判断 是否存在需添加到上游请求的任何到来的cookie，该内部映射可以是 cookie管理器映射或cookie管理器列表。Cookie管理器720还可以将在会 话中第一次遇到的所有cookie记录到映射中用于将来的请求。Cookie管理 器还可以确保系统没有向寄载的web应用（例如，NSC_AAAC）发送某 些cookie（例如与设备200相关的cookie）。在一些实施例中，诸如 ProcessRequest()函数的函数可以内部调用另一函数，例如FilterCookies()。 在一些实施例中，FilterCookies()可调用ProcessRequest()。在一些实施例中， 可将值的两个集合称作Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies。 cookie管理器720可使用Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies 来创建分号分隔的列表或内部cookie管理器映射（本文中也称作cookie 管理器列表或映射）。可在cookie管理的决策作出过程期间使用该映射。 Cookie管理器720可将cookie管理器720中的cookie管理器映射的条目 序列化到两个会话值，即Citrix.Fei.ClientCookies和Citrix.Fei.ServerCookies 中。cookie管理器720还可以使用这两个值来持续该会话或将客户机120 或服务器106关联到该会话以用于将来的任何传输。如果cookie管理器 720将客户机102的请求匹配到映射中的cookie或多个cookie，则cookie 管理器720可将该cookie或多个cookie发送给设备200。

中间装置200可修改HTTP请求的头部并且将修改的HTTP请求发送 到服务器106。在一些实施例中，cookie管理器720将该请求修改为包括 与客户机102关联的cookie或多个cookie。在一些实施例中，cookie管理 器720修改请求的一部分，例如URL或头部，以使其包括标识cookie的 值或一组值或字符。在一些实施例中，cookie管理器720将请求修改为包 括或添加与客户机102关联的cookie的一部分。在其他实施例中，cookie 管理器720将请求修改为包括或添加与客户机102关联的唯一标识符。在 进一步的实施例中，cookie管理器720修改请求，使得从客户机的请求中 排除或者移除cookie或唯一标识符。在一些实施例中，中间装置200的任 何组件将请求修改为包括由cookie管理器720提供的一个或多个cookie。

中间装置200可对请求执行任何次数的修改。在一些实施例中，中间 装置200用一个或多个cookie的一个或多个部分重写请求的一部分。在其 他实施例中，中间装置200向请求添加一个或多个cookie的一部分、或者 一个或多个cookie的多个部分。在进一步的实施例中，中间装置修改请求 中的cookie。中间装置200可改变cookie中一个或多个值或字符，或者以 其他方式将cookie修改为服务器106可接受。在进一步的实施例中，中间 装置200加密请求的一部分。在进一步的实施例中，中间装置200将请求 修改为适于服务器106的任何配置相关的偏好或请求。可改变修改的请求 使其能由服务器106处理。中间装置200可将修改的请求发送到服务器 106。

服务器106可处理修改的请求，并且作为响应向中间装置200发送对 该请求的响应。在一些实施例中，对该请求的响应包括HTTP传输。在进 一步的实施例中，该响应包括网页。在进一步的实施例中，该响应包括客 户机102请求的文件。在进一步的实施例中，该响应包括认证消息以在服 务器106上认证客户机102。在进一步的实施例中，该响应包括用于开始 或打开客户机102和服务器106之间的会话或连接的传输信息。在进一步 的实施例中，响应包括可执行文件、程序、功能、数据、流文件或服务器 106提供的任何其他资源或服务。在一些实施例中，服务器106向中间装 置200发送对请求的多个响应。

中间装置200可将来自HTTP响应中的任何cookie发送到cookie管理 器720，以将其添加到cookie管理器720的映射。添加到cookie管理器的 映射的任何新的cookie可用于客户机102和服务器106之间的将来的传 输。在一些实施例中，中间装置将该回复修改为从该回复中排除cookie。 在其他实施例中，中间装置从该回复中取出cookie并且将该cookie发送给 cookie管理器720。Cookie管理器720可比较所接收的cookie和已经存储 在映射中的cookie。在一些实施例中，cookie管理器720响应于确定所接 收的cookie之前没有被存储在与客户机102或服务器106相关的映射中， 而存储该所接收的cookie。存储的cookie可随后用于同一客户机102的通 信。在一些实施例中，到cookie管理器720的传输包括与客户机102、服 务器106或这两者相关的任意数量的cookie或cookie的一部分或者唯一客 户机标识符。

中间装置200修改该响应以便从HTTP响应中移除cookie。如果这样 的cookie存在或者是必需的，则中间装置可进一步使用cookie管理器720 将任何与客户机102相关的cookie添加到该HTTP响应。在一些实施例中， 中间装置修改、编辑或改变响应从而排除任何服务器106的cookie。在进 一步的实施例中，中间装置200修改响应从而将服务器106的cookie替换 为客户机102的cookie。在进一步的实施例中，中间装置200修改响应以 满足客户机102的格式、配置或偏好，使得客户机102可接受或使用修改 的响应。在处理每个响应或请求时，中间装置200可判断是否启用服务器 侧cookie管理或客户机侧cookie管理。在一些实施例中，当启用服务器侧 cookie管理时，中间装置200可访问函数，诸如cookie管理器720的函数 ProcessResponse()。在多个实施例中，当启用客户机侧cookie管理时，中 间装置200可访问cookie管理器720的函数ProcessResponse()或另一个函 数，该另一个函数执行cookie或唯一标识符管理或者内部cookie映射管理。 Cookie管理器720可针对服务器或客户机消耗的cookie检查所接收的响应 或请求中的cookie。在一些实施例中，cookie管理器将从请求或响应接收 的cookie与在映射中存储或列出的cookie进行匹配。Cookie管理器720 还可以添加名值对，用于在之前没有将新的cookie或客户机标识符登记、 列出或分配到映射中的情况下，将该新的cookie或新的客户机标识符登记 或分配到映射中。Cookie管理器720可因此用新的客户机标识符或新的 cookie填充映射，该新的客户机标识符或新的cookie可用于与关联该 cookie或唯一标识符的客户机和服务器的将来的通信中。在多个实施例中， cookie或Set-Cookie头部当返回中间装置200时可从响应中移除。通过阻 止将服务器消耗的cookie发送给客户机，系统可为给定域将cookie数量扩 展到超过预定限制的数量。在将cookie数量限制为最多20个的系统中， 该特征可有助于使客户机102能够一直使用服务器106上的服务而不会达 到最多20个cookie的限制。该实施还可以防止重要的cookie数据在公司 防火墙外的网络空间中被访问或读取以及防止向外发送敏感信息。

中间装置200将修改的HTTP响应发送到客户机102。在一些实施例 中，修改的响应包括客户机102的cookie。在其他实施例中，修改的响应 包括如从服务器106发送到中间装置200的原始请求。在进一步的实施例 中，修改的响应包括响应的一部分，该部分被重新格式化为与客户机102 或者与用于处理修改的响应的客户机120的应用或功能的配置或标准一 致。中间装置200可响应于所接收的修改的响应向中间装置200发送去往 服务器106的另一个请求。

中间装置200可向穿过中间装置200的任何粒度级别的网络流量的部 分或子集应用任何访问配置文件、策略、规则和动作。基于配置，粒度级 别的范围可以从精细到粗糙。可将本文描述的访问配置文件、规则和策略 的逻辑、标准或条件限定或指定为应用于经由中间装置200发送的网络流 量或传输的任何期望子集或部分。在一个方面，粒度级别关系到可应用配 置的网络流量的一部分的程度、尺寸、细度或粗度。在宽的或粗粒度的配 置中，访问配置文件、规则或策略可适于所有网络流量。在细粒度配置中， 访问配置文件或策略可适于特定用户的网络流量的指定子集，例如特定用 户的特定应用的流量或流量的一部分。

在一些粒度配置中，访问配置文件、策略或规则适于发送请求到服务 器的任何客户机102。可将该策略、规则或访问配置文件限定为处理或应 用于任何客户机102，并且该策略、规则或访问配置文件可基于客户机102 的任何配置或与客户机102相关的信息（例如客户机102的请求的一部 分）。类似地，可将策略、规则或访问配置文件限定为处理或应用于任何 服务器106，并且该策略、规则或访问配置文件可基于客户机106的任何 配置或与服务器106相关的信息，例如服务器106的响应的一部分。在一 些粒度配置中，将访问配置文件、策略或规则限定为适于客户机102正用 来经由设备200连接到服务器106的特定会话或连接。在进一步的实施例 中，可将访问配置文件、策略或规则限定为适于经由SSL VPN会话或连 接而连接的任何客户机102。

在进一步的实施例中，可将访问配置文件、策略或规则限定为适于经 由无客户端SSL VPN会话或连接而连接的任何客户机102。在进一步的实 施例中，可将访问配置文件、策略或规则限定为适于经由基于客户机的SSL VPN会话或连接而连接的任何客户机102。在进一步的实施例中，可将访 问配置文件、策略或规则限定为适于将请求发送到特定服务器106的任何 客户机102或客户机会话。在进一步的实施例中，可将访问配置文件、策 略或规则限定为适于请求服务器上的特定应用或资源的任何客户机102或 客户机会话。在进一步的实施例中，基于cookie配置（例如是否启用或禁 用cookie）将访问配置文件、策略或规则限定为适于任何客户机102或客 户机会话。在进一步的实施例中，将访问配置文件、策略或规则限定为适 于发送包括特定URL或特定URL的一部分的请求的任何客户机102或客 户机会话。在进一步的实施例中，基于由客户机102发送的请求的一部分 与访问配置文件、策略或规则的语句或键之间的匹配，将访问配置文件、 策略或规则限定为适于任何客户机102或客户机会话。在一些实施例中， 基于与访问服务器106的客户机102相关的信息，将访问配置文件、策略 或规则限定为适于任何服务器106或服务器会话。该信息可包括客户机102 的请求的一部分或特征、客户机102的设置或配置、或者与客户机102相 关的任何其他信息。在一些实施例中，基于服务器106的配置或服务器106 正发送给客户机102的内容的特性，将访问配置文件、策略或规则限定为 适于任何服务器106或服务器会话。

现参考图7C，示出了cookie代理数据流控制的实施例。简要而言， 图7C描述了客户机102经由中间装置200与服务器106通信，其中中间 装置200管理客户机102和服务器106之间的cookie流。客户机102经由 设备（也称作中间装置200）将请求发送到服务器106。该请求包括URL， 如“GET/index.html HTTP/1.1”。中间装置200拦截由客户机102发送的请 求并且将请求转发到服务器106。服务器106响应于该请求，发出包含 cookie的响应，例如“HTTP/1.1200OK\nSet-Cookie:name=value”。中间 装置200剥离且存储该cookie，并且将该cookie用唯一标识客户机102的 客户机ID代替。唯一客户机ID可以是合并的cookie并且可与中间装置 200中的cookie关联以用于将来的传输。中间装置200向客户机102转发 修改的响应，该修改的响应包括唯一客户机ID。修改的服务器的响应可包 括信息，例如“HTTP/1.1200OK\nSet-cookie:NSC_AAAC=Unique client  ID”。客户机102发送使用唯一客户机ID的第二请求，例如“GET/foo.html  HTTP/1.1\nCookie:NSC_AAAC=Unique client ID”。中间装置200接收该第 二请求并且使用唯一客户机ID检索基于唯一客户机ID存储的cookie。中 间装置200修改该请求并且将先前存储的cookie插入该请求。可将修改的 第二请求格式化为包括用于先前传输的相同或类似的cookie，例如“GET /foo.html HTTP/1.1\nSet-Cookie:name=value”。中间装置200将修改的第二 请求发送给服务器106。

进一步参考图7C，客户机102可通过向中间装置200发送请求来发 起与服务器106的通信。在一些实施例中，请求可以是HTTP请求，例如 “GET/index.html HTTP/1.1”。在一些实施例中，客户机102尝试与服务器 106的第一次通信。在进一步的实施例中，客户机102将去往服务器106 的任何HTTP请求发送到中间装置200。客户机102可将访问服务器106 上的资源或服务的任何请求发送到中间装置200。

中间装置200可将请求转发给服务器106。在一些实施例中，中间装 置200修改该请求并且将修改的请求转发给服务器106。在其他实施例中， 中间装置200不修改请求。在进一步的实施例中，中间装置200将请求转 发到服务器106而不修改请求的任何部分。在一些实施例中，中间装置将 例如“GET/index.html HTTP/1.1”的HTTP请求转发到中间装置200。

服务器106可发出对于该请求的、可能包括cookie的响应。在一些实 施例中，响应可以是例如“HTTP/1.1200OK\nSet-Cookie:name=value”。 Cookie可以在响应的头部中或在响应的任何其他部分中。在一些实施例 中，cookie可包括在响应的URL中。Cookie可以是任何类型和形式的cookie 并且可包括在响应中的任何位置。

中间装置200可从响应中剥离cookie且存储该cookie，并且将该cookie 用唯一标识客户机102的客户机ID来代替。一旦中间装置200接收到服 务器106的响应，中间装置可为客户机创建给定域的cookie罐。该cookie 罐可包括或存储关于给定域和客户机（如客户机102）的cookie的任何集 合。在一些实施例中，cookie罐可以是包含任意数量的cookie或包含任意 数量的由cookie组成的信息的文件、列表、数据库、数组、数据结构或文 件夹。在一些实施例中，中间装置200可从由服务器106发出的响应的头 部中剥离“Set-Cookie”头部，并且可将该Set-Cookie头部存储到cookie罐 中。中间装置200还可以生成唯一cookie代理会话cookie。该cookie代理 会话cookie可包括客户机102可从服务器106所发送的cookie中接收的任 何相关信息，而不用实际上接收该cookie。因此，该cookie代理会话cookie 可以以客户机102或客户机102的web浏览器可接受的方式来将来自服务 器106所发送的cookie中的所有相关信息传输给客户机102。中间装置200 可在cookie罐中插入cookie代理会话cookie或将cookie代理会话cookie 与服务器106所发送的相关和对应cookie相关联。在多个实施例中，中间 装置200可将cookie代理响应cookie插入要从中间装置200发送到客户机 102的消息的响应头部中。在一些实施例中，中间装置200可使域和路径 保持不变，而在其他实施例中，中间装置可改变域或路径或者改变这两者。 在一些实施例中，中间装置200将唯一客户机ID插入从中间装置发送到 客户机102的通信的任何部分中。

中间装置200可将修改的响应转发到客户机102。修改的响应可包括 唯一客户机标识符，例如唯一客户机ID。在一些实施例中，修改的响应包 括客户机102的cookie。在进一步的实施例中，修改的响应被修改为与客 户机102的配置一致。在一些实施例中，修改的响应包括没有任何修改的、 服务器106的原始响应。修改的服务器响应可包括采用任何HTTP格式的 信息，例如，“HTTP/1.1200OK\nSet-Cookie:NSC_AAAC=Unique client  ID”。

客户机102发送使用唯一客户机ID的第二请求。该第二请求可与第 一请求相同、类似或者大体类似。在一些实施例中，第二请求包括与第一 请求相同的形式。在进一步的实施例中，由用于发送第一请求的相同应用 发送第二请求。在一些实施例中，第二请求是HTTP请求，例如“GET /foo.html HTTP/1.1\nCookie:NSC_AAAC=Unique client ID”。第二请求可包 括中间装置200发布的唯一客户机ID或唯一客户机ID的一部分。

中间装置200可将第二请求修改为包括与服务器106关联的cookie。 中间装置200可使用与服务器106的cookie相关联地存储的唯一客户机ID 搜索服务器106的cookie。中间装置200可修改第二请求并且将先前存储 的cookie插入该第二请求中。中间装置200可修改请求并且将先前存储的 cookie插入该请求中。在一些实施例中，中间装置200将该请求修改为在 第二请求中包括先前存储的cookie。中间装置可检查cookie代理会话 cookie是否存在。在cookie代理会话cookie存在的情况下，中间装置200 基于该cookie代理会话cookie搜索cookie罐。中间装置200可使用通过 使用cookie代理会话cookie检索的cookie，来寻找目的域和路径。中间装 置200还可以在请求代码路径中插入一个或多个cookie和/或剥离cookie 代理会话cookie。

在一些实施例中，代理200可保留从服务器侧PCB到cookie罐的参 考指针以标记响应路径。在进一步的实施例中，代理200保留从会话信息 到cookie的参考指针以标记响应路径。在一些实施例中，如果已经为涉及 特定客户机102和服务器106的特定会话创建了cookie罐，则中间装置 200可以不在同一会话中的第二组通信期间创建cookie罐。相反，中间装 置200可对同一会话使用先前使用的相同的cookie罐。在一些实施例中， 中间装置200可能已经具有针对为客户机102和服务器106创建的cookie 罐的引用。在多个实施例中，可通过协议控制块或PCB、控制器、以及软 件、数据库、数组或包括值的任何集合的结构的任何片段来实施对cookie 罐的引用。在某些实施例中，如果客户机禁用cookie，那么来自客户机的 随后的请求都不会包含任何cookie代理会话cookie。在一些实施例中，如 果客户机禁用cookie，则来自该客户机的随后的请求可能包含cookie代理 会话cookie。在一些实施例中，从服务器106到客户机102的随后的响应 可不再参考使用该cookie罐的客户机102或服务器106来创建cookie罐。 在进一步的实施例中，从服务器106到客户机102的随后的响应可参考使 用该cookie罐的客户机102或服务器106来创建cookie罐。

在给定会话中客户机102与服务器106通信多于一次的多个实施例 中，中间装置200在第一次通信后可能不再发送cookie代理会话cookie。 中间装置可使用唯一客户机标识方法来唯一地标识客户机102或服务器 106。在一些实施例中，唯一客户机标识方法（也称作唯一客户机ID）可 用于唯一地标识与服务器106通信的客户机102或与客户机102通信的服 务器106。在多个实施例中，唯一客户机ID可用于唯一地标识经由中间装 置200向服务器106传递或者发送消息或请求的客户机102。在多个实施 例中，唯一客户机ID可用于唯一地标识经由中间装置200向服务器106 传递或者发送消息或请求的服务器106。在一些实施例中，中间装置200 使用唯一客户机ID检测和判断是否代理由客户机102发送的通信。

在多个实施例中，中间装置200可执行cookie的清理、确定不必要的 cookie或终止不必要的cookie。在多个实施例中，中间装置200可使用从 客户及102的PCB到为客户机102创建的cookie罐的参考指针。可将修 改的第二请求格式化为包括与在先前的传输使用的cookie相同或类似的 cookie。在一些实施例中，修改的第二请求是HTTP请求，例如修改的第 二HTTP请求，如“GET/foo.html HTTP/1.1\nSet-Cookie:name=value”。

中间装置200可将修改的第二请求发送到服务器106。在一些实施例 中，中间装置200将任意数量的修改的请求发送到服务器106。修改的请 求可以是任何类型、形式和格式。因此，中间装置200可利用cookie罐 来回发送任意数量的来自客户机102的请求和来自服务器106的响应。

Cookie代理可以是使用配置设置来控制、管理或重组cookie或者 cookie的传输的任何模块。在一些实施例中，cookie代理可以是cookie管 理器720。在多个实施例中，cookie代理可以是cookie管理器720的一部 分或子组件。在多个实施例中，cookie代理可包括cookie管理器720。在 某些实施例中，cookie代理可与cookie管理器720交换使用并且可包括执 行cookie管理器720的任何或者全部功能和手段。在一些实施例中，可将 cookie管理器720称作cookie代理。在多个实施例中，cookie代理可独立 于中间装置200或cookie管理器720。在某些实施例中，cookie代理可以 是能够独立于中间装置200或cookie管理器720工作的或者与中间装置 200或cookie管理器720一起工作的软件程序或应用。

Cookie代理可包括基于策略或策略的动作的配置设置。在多个实施例 中，用户或管理员可配置cookie代理以确定将哪些cookie存储到cookie罐 中，以及哪些cookie不存储到cookie罐中。在多个实施例中，由于cookie1、 cookie2和cookie3中的任何一个可能是或可能不是客户机消耗的cookie， 用户或管理员可为任何特定域（例如“www.foo.com”）决定中间装置200 是否应该代理cookie1且允许cookie2、cookie3流过。

在一些实施例中，cookie代理配置可利用命令行接口（CLI）语法， 例如：

add/delete/set/unset/show cookieproxy action<action-name>

<ALL[-EXCEPT<cookie-name>,[<cookie-name>,...]]|

<cookie-name>,[<cookie-name>,...]>

此外，cookie代理配置还可以包括其他语法，例如：

add/delete/set/unset/show cookieproxy policy<name><rule><jar  name>

[-CookieProxyAction<action-name>][<undefAction>]

在多个实施例中，如果用户或管理员没有指定动作，则cookie代理的 默认行为可以是代理所有cookie，或不代理cookie，或者代理由与cookie 代理相关的策略集合确定的cookie的一部分。

绑定操作可将配置（如策略）绑定、分组、配合或关联到实体（如用 户或资源）。绑定动作可将配置放入要应用于所分配的实体的活动状态中。 在一些实施例中，绑定操作可将一个实体与另一个实体相关联或者对实体 应用模块的功能。绑定操作可以是由cookie代理或由cookie代理的策略执 行的操作。在一些实施例中，通过配置命令可将cookie代理绑定到虚拟服 务器275。在多个实施例中，可将cookie代理策略绑定到负载平衡服务器、 GSLB服务器或VPN服务器。Cookie代理或中间装置200使用的策略规 则可以基于任何策略架构规则语言（PIRL）。在一些实施例中，可在响应 期间或者在中间装置或cookie代理响应请求时或在这两个期间，评估 cookie代理或中间装置200使用的策略。在多个实施例中，可以在响应期 间评估或实施cookie代理或中间装置200使用的策略。

在一些实施例中，cookie代理方法可使用分配给每个客户机的唯一客 户机ID。中间装置200可使用该唯一客户机id，将与特定客户机102关联 的cookie罐映射到客户机102。在多个实施例中，客户机（又称作客户机 102）可以不随事务（又称作通信或请求）发送任何唯一客户机ID。在多 个实施例中，可将cookie代理会话cookie用作默认客户机标识机制或唯一 客户机ID。在一些实施例中，客户机标识可基于客户机的互联网协议地址、 请求或HTTP通信的片段、客户机102或服务器106发送的通信的唯一组 件、会话相关的唯一特性、SSL VPN会话cookie或SSL VPN会话主体。 在多个实施例中，客户机标识可以是可配置的。在多个实施例中，可使用 客户机102的互联网协议地址（也称作IP地址）来实施客户机标识。

可在等待确定各种参数（诸如cookie罐的大小、或例如cookie罐的 空闲计时的与cookie罐相关的计时）期间完成Cookie罐清理或cookie罐 清除。在一些实施例中，cookie罐清理方法可使用空闲时间超时或存储阈 值。在多个实施例中，可基于与cookie自身相关的配置或会话超时来实施 cookie罐清理，其中会话超时可导致属于该会话的所有cookie在超时后被 清理。在一些实施例中，cookie罐清理方法可基于自从最后一次使用或访 问特定cookie或cookie罐以来过去的时间量来确定清理哪些cookie。

在一些实施例中，CLI语法可用于罐和客户机标识，例如：

add/delete/set/unset/show cookieproxy jar<jar-name>

-clientidentification<default|request based PIXL expression>

-maxMem<Memory limit>

在多个实施例中，如果不支持cookie，则默认可使用由cookie代理模块插 入头部或URL中的会话cookie。在多个实施例中，可使用策略的规则来 寻找任何唯一头部域，例如用于SSL VPN的cookie或用于LB负载平衡的 会话cookie。

在多个实施例中，当任何cookie罐达到最大存储限制时，最长时间 段不活跃的会话可能超时且可能需要清理属于那个会话的cookie。在多个 实施例中，时间戳可与每个客户机102、服务器106、客户机/域组合或者 每个客户机-服务器会话或任何会话关联以实现基于URL的清理。

可由cookie代理或中间装置200利用不同策略或动作的运行时间聚 合。在多个实施例中，中间装置200或cookie代理可使用策略或动作的运 行时间聚合以减少配置费用或者简化配置修改。在多个实施例中，可将中 间装置200或cookie代理配置为在第一个匹配的策略处停止（stop）。在一 些实施例中，管理员或用户需要在配置期间进行聚合并且创建合适的策略 和动作。在某些实施例中，通过在策略中或策略列表中搜索匹配并且一旦 遇到匹配就在该策略处停止，部分控制cookie代理动作的运行时行为。在 一些实施例中，cookie代理可在第一策略处停止，以减少运行时聚合，该 第一策略限定或包含要代理的一组cookie或与要代理的一组cookie相关的 信息。

可将cookie罐架构用于cookie库，然而在一些实施例中，可基于域 或路径使用额外的API检索cookie。在一些实施例中，可使用基于哈希的 搜索机制来检索cookie代理会话。这种方法可以与用于与中间装置200相 关的其他应用中的SSL VPN会话哈希机制类似。在多个实施例中，哈希 函数的键可以取决于客户机标识机制或客户机标识协议。在多个实施例 中，可使用用于不同客户机标识机制的不同哈希函数。

Cookie库管理可取决于性能或资源。在一些实施例中，通过将每个域 每个客户机关联cookie罐来管理cookie库。在多个实施例中，cookie名 称的集合包括在每个cookie罐中重复存储的cookie名称。在多个实施例 中，所使用的cookie名称的集合随着cookie罐的不同而不同，而在其他 实施例中，在多个cookie罐之间使用的cookie名称的集合包括一些相同 或类似的名称。在一些实施例中，组织cookie罐以使得cookie罐可与特 定客户机以及与处理传输的特定虚拟服务器相关联。在多个实施例中，组 织cookie罐以使得cookie罐与客户机、虚拟服务器以及域相关联。

在一些实施例中，cookie罐可以不存储与罐中另一cookie名称相同的 cookie。在某些实施例中，cookie罐可包括具有与方法中的cookie名称关 联的值的cookie名称，其中该方法与用于头部（例如HTTP头部）的方法 类似。

Cookie代理可包括多个功能。在一些实施例中，cookie代理可使用 cookie代理或本文描述的任意数量的实施例来判断浏览器是否可以处理或 接受cookie。在多个实施例中，cookie代理可判断由客户机102或服务器 106发送的请求是否匹配某个标准，从而判断来自客户机或服务器的浏览 器是否接受或处理cookie。在一些实施例中，如果客户机102或服务器106 发送的请求匹配能够接受或处理cookie的标准，则中间装置200可将重定 向消息发送给客户机，例如：

http://incoming_host/incoming_url?new_param_added=secure_client_id  along with a secure_client_id set-cookie.

在一些实施例中，如果客户机返回请求URL，如 “http://incoming_host/incoming_url?new_param_added=secure_client_id”， 则中间装置可验证唯一客户机ID是否与cookie值关联。如果中间装置检 测到匹配，则该中间装置可剥离其已经添加的参数并且可处理原始请求。 此外，中间装置还可以标记cookie代理会话以使用“cookie代理会话 cookie”。在唯一客户机ID不与cookie值匹配的情况下，中间装置可利用 例如主体重写的不同方法来用于进行会话跟踪。在该方法中，响应主体可 被重写为在每个HTTP链接中包括会话信息。

在一些实施例中，cookie代理或中间装置200还可以包括cookie代理 cookie罐（也称作cookie代理会话cookie罐）。cookie代理cookie罐可 包括任何数量的cookie代理cookie（也称作cookie代理会话cookie）。在 多个实施例中，可以采用与cookie罐类似的方式来组织或实施cookie代 理cookie罐，该cookie代理cookie罐包括cookie罐的所有功能。

在某些实施例中，cookie代理cookie罐能够与高可用性应用和技术 （也称作HA技术）一起工作。在一些实施例中，中间装置包括cookie和 唯一客户机ID的集合，并且可将cookie和客户机ID传递到网络上的其他 设备。在多个实施例中，包括与客户机102或服务器106关联的cookie和 唯一客户机ID的第一中间装置200可与第二中间装置200或多个设备200 共享与该cookie或唯一客户机ID相关的信息。在第一中间装置与第二设 备共享与cookie或唯一客户机ID相关的信息的情况下，第二中间装置还 能够使用该cookie和唯一客户机ID来实施客户机和服务器之间的通信。

Cookie代理、cookie管理器720或中间装置200可包括在脚本或软件 中实施的任何数量的软件应用或功能，以便建立和管理cookie。在一些实 施例中，cookie代理、cookie管理器720或中间装置200可包括用于管理 cookie罐的软件代码，例如：

cookie管理器或代理可响应于策略引擎的一个或多个策略（包括该策 略的任何规则、条件或动作）来确定何时、如何管理cookie和/或存储cookie 到cookie罐且确定管理和/或存储哪些cookie，以及确定这里描述的任何 操作。任何策略和对应的cookie操作可基于会话。在多个实施例中，策略 引擎236提供策略或规则，通过该策略或规则可确定关于cookie管理的动 作。在一些实施例中，策略引擎236可包括策略或规则的列表，提供用于 中间装置200或cookie管理器720来确定要实施的、关于cookie或唯一客 户机ID的动作的方法。这样，通过配置和策略，中间装置可提供对cookie 管理（包括对无客户端SSL VPN访问）的细粒度的控制。

在一个示例中，服务器可向多个客户机提供经由设备200访问不同应 用的访问权限。这样的两个应用可以是应用1和应用2。两个应用都可以 使用ASP.NETSESSIONID，该ASP.NETSESSIONID可以是不在客户机侧 使用的或不写入客户机侧的服务器消耗的cookie。除了 ASP.NETSESSIONID以外，应用1还可以使用cookie AppClientInfo，其中 可由访问或使用应用1的第一客户机读取和写入AppClientInfo，但访问同 一个应用的第二客户机不能读取和写入AppClientInfo。

在该实施例中，处理这种情况或类似情况的设备200的配置可以是：

由项:/app1标识在访问web应用1和应用2时生成的URL。当存在其URL 路径以“/app1/”开始的所接收的HTTP请求时，上述示例中描述的策略可 将实例或情况评估为真（true）。该HTTP请求的一个示例是“GET /app1/display.asp”。因而，将代理关于该请求（应用1、或app1）的、除了 名称为AppClientInfocookie的cookie的所有cookie。

在进一步的示例中，应用2使用可用于客户机侧或由客户机使用的 App2ClientCookie1和App2ClientCookie2，其使用的剩余的其他cookie不 需要出现。该配置可以是：

在该配置中，应用2（称作App2）可寄载在主机名称为app2的web服务 器上，且因此为应用2（App2）代理除了App2ClientCookie1和 App2ClientCookie2以外的所有cookie。在这些以及类似的示例中，管理员 可将具有名称AppClientInfo的相同的cookie配置为被代理用于应用2而 不是用于应用1。类似地，管理员可基于该策略配置和类似的策略配置， 将具有任何名称或者与任何服务或资源或者与任何客户机102或服务器 106关联的cookie配置为被代理或不被代理。

在其他示例中，配置可将所有站点的所有cookie设置为在无客户端 VPN模式下被代理。可通过在patclass命令或指令中指定cookie的名称来 配置不应该被代理的客户机消耗的cookie。例如，如果某一应用需要在客 户机侧具有两个cookie（cookie1和cookie2），则可将配置标识为：

用于配置文件的该代码可随后在clientlessAccessPolicy指令中使用，例如：

add vpn clientlessAccessPolicy<policyName><rule>

<vpnclientlessAccessProfile>

上面提供的策略可以使用无客户端访问选择无客户端访问配置文件，使得 除了具有名称Cookie1和Cookie2的cookie以外的所有cookie将被代理。 因此，对于由策略规则标识的流量的子集，给定cookie集合可以不被代理。 可使用策略规则来选择特定web应用或特定服务器或者服务器上的目录。 通过使用与上面提供的配置相类似的配置，可为不同的用户集合或用户组 或者vpn vsrever代理不同的cookie集合，其中，不同的用户集合或用户 组或者vpn vsrever中的任何一个可取决于策略的配置限定或处理哪个实 体。

G.用于在多核系统中进行cookie代理的系统和方法

现讨论用于在多核系统中的服务器和客户机之间管理cookie的系统 和方法的实施例。如上文所述，具有多个核的设备200可在任何核上接收 关于特定数据流（例如会话）的数据。在一些实施例中，各自具有分组引 擎的多个核中的每个核可接收属于同一会话的请求和响应。在一些实施例 中，可依次接收请求810和响应820。在其他实施例中，可并行接收请求 和响应。本文的方法和系统可在多个并行响应820试图修改相同cookie或 多个请求需要查询相同的cookie以及提供最新设置的cookie值的情况下， 维护有序性和一致性。本文的系统和方法可使用序列化在多核中间装置的 多个核之间维持cookie的完整性。

对于启用cookie代理的会话来说，可在响应时间由在中间装置200上 执行的cookie代理820剥离服务器106所设置的cookie并且将该cookie 存储到关于相应会话的cookie存储825的数据结构中。Cookie罐825存 储与所有事务的cookie相关的信息，例如cookie名称、值、有效期。可为 给定的完全合格的域名或域（例如，mycompany.com或 www.mycompany.com）以及为给定的路径（例如，/或/docs/等）设置cookie。 例如，如果对于请求：

GET/docs/index.htm HTTP/1.1

Host:www.mycompany.com

....

服务器可发送以下类型的响应：-

可移除Set-Cookie头部并且可将关于“Test”cookie的信息存储在 cookie罐825中。在一些实施例中，客户机102可能看不到由服务器106 发送的Set-Cookie头部，除非存在配置的除外规则。在一些实施例中，该 操作被称作“cookie存储和移除”操作。

当客户机102在同一个会话中发送请求106时，在与该会话关联的 cookie罐825中查询关于给定域/子域和路径的cookie，并且可通过cookie 代理模块820将所有有效匹配的cookie插入去往服务器102的请求820中。 在一些实施例中，这称作“cookie查找和插入”操作。例如，下面是离开 中间装置200的请求的一个示例，其中由cookie代理模块插入cookie：

此外，可由客户机侧活动组件（像JavaScripts）来生成或修改或删除 一些cookie。中间装置200允许cookie名称列表的策略驱动配置，其中允 许客户机102修改该cookie名称。如果需要，不移除那些cookie的 Set-Cookie头部，而修改其路径或域组件。在所有输出的响应中插入Java Script，其监控客户机侧的cookie并且通知中间装置200关于该cookie中 的任何修改。cookie变化通知伴随会话cookie一起到来，并且可在cookie 罐825A中完成那些改变。在一些实施例中，这又称作“Cookie更新”操 作。

现参考图8A，描述在多核系统中用于cookie代理的系统的实施例的 框图。简要而言，多核系统包括多个核，其中每个核或处理器具有分组引 擎848A-848N（统称为848）。每个处理器还可具有cookie代理820A-820N （统称为820）。如同在非多核系统中，用户会话数据与最初创建该会话的 处理器或协同处理器（称为“基（home）处理器”或“所有者核”或“会 话所有者”）相关联。在多核系统中，用户会话中的后续请求可到达与创 建该用户会话的处理器或核不同的处理器或核。将接收请求但不是home 处理器的处理器称作“接收处理器”或“非所有者核”。接收处理器不能 访问用户的会话的数据因为该数据仅存在于home处理器的地址空间中。 为促进cookie管理，接收处理器从所有者核获得会话信息。

简要而言，系统包括客户机102和服务器106之间的中间装置200。 中间装置200包括多核系统。在一些实施例中，可由多核系统中的多个核 中的一个核（例如第一核805A）建立和维护会话。该核805A有时称作会 话的所有者805A。非所有者核805B-805N可与第一核805A通信并且接 收信息以用于管理cookie。考虑到结合图6A-7C描述的cookie管理通信和 场景，可在与控制、拥有或建立会话的核不同的核上接收任何服务器通信 或客户机通信。

可为核分配核标识符。核标识符可以是任何类型或形式的字母数字标 识符或代码串。此外，在多核系统的多个核之间，该核标识符可以是唯一 的。核标识符可以是核的CPU编号或包含核的CPU编号。可基于核的CPU 编号将核标识符顺序地分配给每个核。核标识符可以是任意大小。在一个 实施例中，核标识符的大小为一个字节。例如，一个字节可给出256（0-255） 个唯一核标识符。

在进一步的细节中，多核系统可以是结合图5A描述的系统545的实 施例和本文其他地方描述的实施例中的任何一个。这样，多核系统可以是 多个客户机和多个服务之间的多核装置。该多核装置可为多个客户机提供 对多个服务器的VPN访问，例如SSL VPN访问。客户机可以在不同于多 个服务器的专用或内部网络的一个或多个网络上，例如公用网络。在相应 核上的每个分组引擎可提供SSL VPN280功能。对于基于流的数据并行机 制场景520，每个分组引擎/核可接收分配给另一个核的数据流的分组。这 样，分组引擎/核可接收管理或分配给另一个核的服务器发起的连接的分 组。

多核系统的每个核805A-805N可包括cookie代理820和cookie存储 825。cookie代理可包括硬件或软件和硬件的任何组合。cookie代理可包括 应用、程序、库、脚本、进程、任务、线程或任何类型或形式的可执行代 码。尽管将cookie代理描述为分组引擎848的一部分，但在一些实施例中， cookie代理820可以是多核系统的单独组件或模块。cookie代理可包括在 上文中结合图6A-7C描述的cookie代理或cookie管理器的任何实施例。

多核系统的每个核805A-805N可包括cookie存储825。cookie存储可 包括多核系统的用于存储cookie的任何存储器或存储元件。cookie存储可 包括结合图6A-7C描述的cookie存储的任何实施例。在一些实施例中， 每个核或分组引擎可建立或使用cookie存储。在一些实施例中，一个或多 个核或分组引擎可共享cookie存储。在一些实施例中，cookie存储可以在 多个核和分组引擎之间分布。

所有者核805可建立客户机102和服务器106之间的会话。可向该会 话分配会话标识符，该会话标识符可以是任何类型或形式的字母数字标识 符或代码串。核805、后端服务器106或客户机102可发布会话标识符。 会话标识符可在与多核系统关联的多个会话中唯一地标识会话。会话标识 符可以是随机的16或32字节的值。在一个实施例中，会话标识符的字节 [0]位置与字节[1]位置的X-OR可得到随机值。例如在系统启动时，通过随 机选择会话标识符中的一个字节位置来编码核标识符，可以增加关于该会 话标识符的额外安全性和随机性。在一个实施例中，SSLv2会话标识符具 有16字节的大小并且最后4个字节可包含时间戳。在该实施例中，该核 标识符的一个字节的位置最好在字节0到字节11之间。在另一个实施例 中，用于SSLv3和TLSv1的会话标识符是32字节。在SSLv3/TLSv1协议 中，可由时间戳占去较低的4个字节，允许28个字节用于编码核标识符。 除了为时间戳保留的字节位置以外，可通过任何手段选择用于编码核标识 符的字节位置。

通过举例说明而不以任何方式进行限制的方式，编码核标识符的伪代 码的一个实施例可以是：

sessionid[0]=coreid;

sessionid[0]^=sessionid[1];

并且用于检索核标识符的伪代码的一个实施例可以是：

coreid=sessionid[0]^sessionid[1];

在一些实施例中，用核标识符编码有效会话标识符。有效会话标识符 有时称作有效性标识符。有效会话标识符可以是标识有效会话的字符串。 中间装置200或多核系统可判断会话是否有效。在一个实施例中，使用有 效会话标识符有助于过滤掉重复使用会话的随机或恶意请求。

所有者核805或所有者核的分组引擎848可在第一核805A的会话存 储中存储会话标识符。在一个实施例中，在核805启动期间和/或在维护会 话期间，该会话存储是持续存在的。在另一个实施例中，即使当核关闭或 当会话结束时，该会话存储仍是持续存在的。会话存储可以是分配给核805 和/或会话的存储器。可由一个或多个核访问会话存储。在一些实施例中， 第一核维护和/或更新会话存储。存储器模块可包括会话存储。

对于多核装置上的会话的多个实施例来说，存在指定的“会话所有者” 分组引擎或核，该分组引擎或核具有给定会话的授权控制。通常由会话 cookie来标识会话，并且该cookie具有哪个分组引擎是会话所有者的信息。 由于cookie罐与会话关联，所以可将会话所有者分组引擎选为cookie罐 所有者。在移除会话或者在会话上更新cookie罐信息的情况下，这样做 很有用。

运行中，在收到HTTP响应时执行的cookie操作可分解为如下操作：

1.“Cookie罐中的cookie存储/更新”，可由cookie罐所有者分组引 擎执行；以及

2.“从响应中移除Set-Cookie头部”，可由接收HTTP流量的分组引擎 执行。

可在收到HTTP请求时执行的cookie操作可分解为如下操作：

3.“从Cookie罐中查找cookie”，可由cookie罐所有者分组引擎执行；

4.“在请求中插入cookie头部”，可由接收HTTP流量的分组引擎执行。

在实际HTTP请求/响应流时间范围外完成的cookie操作：

5.“Cookie罐中的cookie更新”，可由cookie罐所有者分组引擎执行；

6.“Cookie罐分配和释放”操作，可在会话创建/移除期间由cookie罐 所有者分组引擎执行。

尽管任何分组引擎可接收HTTP流量，分组引擎进行HTTP请求/响应修改， 即，从HTTP响应中“移除Set-Cookie头部”以及向HTTP请求中“插入 cookie头部”。然而，如果接收分组引擎不是cookie罐所有者，则接收HTTP 流量的分组引擎使用消息传送机制（例如核到核通信）来与“cookie罐所 有者”分组引擎通信，并且传送关于HTTP响应的“cookie罐中的cookie 存储/更新”和“从cookie罐中查找cookie”的所有信息以完成那些操作。 如果接收HTTP流量的分组引擎自身就是cookie罐所有者，则该分组引 擎可自己执行与cookie罐相关的操作而不需要发送任何消息。

图8A还示出了流经多核系统的HTTP请求。HTTP请求810到达多 核系统中的任何分组引擎。举例说明，假设请求到达非cookie罐所有者 核。接收分组引擎从会话cookie中找出会话所有者引擎/核id，并且将关 于该请求的cookie查找的消息发送到cookie罐所有者分组引擎。所有者 分组引擎关于给定域、路径和协议（其中，该给定域、路径和协议可能存 在于请求消息中）执行“cookie查找”操作，并且将cookie发送到请求分 组引擎作为响应。请求分组在请求头部执行“cookie插入”操作并且将具 有查找的cookie的请求810’转发到服务器。

类似地，当cookie更新请求到达任何分组引擎时，接收分组引擎确定 cookie罐所有者分组引擎。如果cookie罐所有者分组引擎不同，则接收 分组引擎将消息传递给所有者核以用于“cookie罐中的cookie更新”操作。 当所有者核从其他核接收到消息时或当所有者核直接接收到HTTP流量 时，所有者核在本地执行cookie罐操作。

现参考图8B，描述了用于在多核系统中进行cookie代理的方法800 的步骤的实施例的流程图。简要而言，在步骤852，客户机102经由中间 装置200将请求810发送到服务器106。在步骤854，中间装置200拦截 由服务器106发送到客户机102的包括cookie的响应820。在步骤856， 非所有者核805B拦截来自服务器106的响应。在步骤858，非所有者核 805B将消息发送到所有者核805A以完成cookie操作。在一些实施例中， 在步骤860，所有者核805A拦截来自服务器106的响应820。在步骤862， 所有者核805A与cookie代理820A通信。在步骤864，cookie代理820A 完成cookie操作并且与所有者核805A通信。

仍参考图8B，具体而言，在一些实施例中，在步骤852，客户机102 经由中间装置200将请求810发送给服务器106。本文中描述的任何客户 机102可生成请求810。该请求可以是任何类型的请求。该请求可以是任 何类型的HTTP请求。在一些实施例中，客户机102可发起或生成请求810 来访问服务器106上的应用、服务、资源、网页或其他内容。可使用应用 来创建用户会话。客户机102和服务器106可通过建立的连接通信，例如 通过TCP/IP通信。可经由VPN连接或者SSL VPN连接或会话传递该请 求。

在一些实施例中，多核系统的任何核可拦截客户机102和服务器106 之间的通信。可将拦截来自客户机102的最初请求810的处理核505称作 home处理器。在一些实施例中，可将拦截来自客户机102的最初请求810 的处理核505称作所有者核。在其他实施例中，处理核505可称作会话所 有者。当所有者核拦截最初的请求810时，所有者核建立用户会话。在一 些实施例中，所有者核创建会话标识符。在进一步的实施例中，所有者核 将会话标识符嵌入会话或用会话标识符关联该会话，并且将会话和会话标 识符存储到中间装置200上。

在分组引擎848A具有给定会话的授权控制的情况下，可将核805A 指定为“会话所有者”。通常由会话cookie标识会话并且该cookie具有哪 个分组引擎848A是会话所有者805A的信息。cookie存储825A机制总是 与会话关联并且也可将会话所有者分组引擎848A选作cookie存储825A， 因为在移除会话或者在会话上更新cookie存储信息的情况下，这样做是有 用的。在一些实施例中，cookie存储825A可称作cookie罐。

在步骤854，中间装置200拦截由服务器106发送到客户机102的包 含cookie的响应。响应于接收到客户机请求810或810’，服务器106将响 应820发送回客户机102。响应820可包含响应于请求810由服务器106 发送的资源。响应820可包括所请求的资源或内容。在其他实施例中，响 应820可包含出错消息或其它类型的响应指示。响应可包括任何一个或多 个cookie。

在步骤856，中间装置200的非所有者核805B拦截由服务器106发 送到客户机102的响应820。在一些实施例中，非所有者核805B可向所 有者核805A发送核到核消息，从而向所有者核805A通知来自服务器106 的响应820。在步骤858，非所有者核805B可将来自服务器106的响应 820转发到所有者核805A。

在一些实施例中，非所有者核805B-805N接收来自客户机102的请求 810，该请求包含来自客户机的会话cookie。在一些实施例中，非所有者 核805B-805N根据从客户机102接收到的会话cookie来确定所有者核的 身份。在一些实施例中，非所有者核可拦截请求810或响应820并且使用 会话标识符来标识所有者核805A。在一些实施例中，非所有者核可向标 识的所有者核发送消息，提供请求810的通知。在一些实施例中，非所有 者核通过基于域、路径和协议发送关于会话的cookie信息的第三请求来与 所有者核805A通信。

在一些实施例中，非所有者核805B可向标识的所有者核805A发送消 息并且所有者核805A可向非所有者核805B返回消息，即处理事务（请求 810或响应820）的指令。在一些实施例中，所有者核805A可响应于从非 所有者核接收的消息，向非所有者核发送关于域、路径和协议的cookie信 息。在一些实施例中，非所有者核获得从所有者核接收的cookie信息并且 基于从所有者核805A接收的cookie信息插入第二cookie。在其他实施例 中，中间装置200将具有第二cookie的第三请求转发到服务器106。

在一些实施例中，接收HTTP响应的核或分组引擎从该响应移除 set-cookie头部。接收核或分组引擎可与所有者核通信以在所有者的cookie 罐中存储移除的cookie。在一些实施例中，cookie罐所有者分组引擎将移 除的cookie存储到cookie罐。

在步骤860，所有者核805A接收从服务器106到客户机102的响应 820。由于所有者核805A响应于来自客户机102的最初请求810建立了用 户会话，因此可能不需要向中间装置的其他核发送消息。在一些实施例中， 所有者核805A向其他核发送消息以确保另一核还没有拦截来自服务器 106的另一响应820。

在一些实施例中，接收请求的核或分组引擎将cookie头部插入请求 中。接收核或分组引擎与所有者核通信以便从cookie罐所有者分组引擎 执行cookie查找。

在步骤862，所有者核805A与cookie代理820A通信。在一些实施例 中，所有者核805A在接收到来自中间装置200的另一核的消息后，与 cookie代理820A通信。在其他实施例中，所有者核805A在拦截来自服务 器106的响应820后，与cookie代理通信。在一些实施例中，所有者核 805A在拦截来自服务器的响应820后并且在预定时间量后与cookie代理 820A通信。在一些实施例中，通过策略来设置预定时延。在其他实施例 中，手动设置预定时延。在其他实施例中，在制造中间装置200时设置预 定时延。

在步骤864，cookie代理820A完成cookie操作并且传递给所有者核 805A。在一些实施例中，在响应时间完成的cookie操作可以是由所有者 核分组引擎848A完成的cookie存储或cookie存储中的cookie更新。在一 些实施例中，所有者核805A响应于已有的关于会话的策略来确定从拦截 的HTTP事务（响应820或请求810）中移除cookie。在其他实施例中， 所有者核805A响应于关于响应820的内容的预定已有策略从拦截的HTTP 事务（响应820或请求810）中移除cookie。在一些实施例中，所有者核 响应于在响应中标识预定URL的策略从HTTP事务（响应820或请求810） 中移除cookie。在一些实施例中，策略指定完整的URL。在其他实施例中， 策略指定部分URL。

在一些实施例中，手动设置已有的策略。在其他实施例中，在制造时 设置已有的策略。分组引擎848A从响应中剥离cookie并且将来自响应820 的cookie存储在cookie存储825A或cookie罐中。如果cookie已存在， 则分组引擎848A用在最近拦截的cookie中接收的信息来更新cookie罐中 存储的信息。在一些实施例中，在接收到响应820时完成的cookie操作是 “从响应中移除set-cookie头部”，其中由接收到响应820的分组引擎从该 响应中剥离cookie。在一些实施例中，由所有者会话cookie分组引擎848A 完成cookie操作。在其他实施例中，所有者核805A向拦截响应820的非 所有者核发送消息以完成从响应中移除cookie的操作。

在一些实施例中，当来自客户机102的请求810被拦截时完成cookie 操作。在一些实施例中，由会话所有者805A完成“从cookie罐查找 cookie”。分组引擎848A使用来自客户机102的请求810的信息来标识 cookie存储825A中的cookie。在一些实施例中，会话所有者的分组引擎 848A在请求810中插入cookie。在其他实施例中，会话所有者向拦截请 求810的核805B-805N发送消息并且指示该核完成“在请求中插入cookie 头部”的操作。

在一些实施例中，在请求810或响应820的范围外完成cookie操作。 在一些实施例中，cookie操作是由会话所有者分组引擎848A完成的 “cookie罐中的cookie更新”。在一些实施例中，策略指示所有者核在已 有cookie上运行检查以确保所有cookie采用有效形式。在其他实施例中， 策略指示所有者核分组引擎848A确保所有核不超过预定大小。

在其他实施例中，cookie操作是由会话所有者分组引擎848A在会话 创建或移除期间的“cookie罐分配和释放”。在一些实施例中，cookie操 作分配中间装置200的空闲存储器以确保有足够的存储来存储所接收的和 更新的关于会话的cookie。在其他实施例中，一旦会话终止，则cookie操 作删除所有已有的cookie。在一些实施例中，策略指定在预定时间量内不 应删除cookie罐。在其他实施例中，策略指定应该仅部分地删除cookie 罐。在其他实施例中，策略指示将所有cookie复制到中心cookie罐。在 其他实施例中，策略指示为所有cookie操作创建日志，如时间戳、来自发 送或请求cookie的装置的ip地址、任何cookie更新、删除或创建。

在一些实施例中，cookie操作可为给定域或子域设置cookie。在其他 实施例中，cookie操作可在将由服务器106发送的响应820发送到客户机 102之前从响应820中剥离cookie。可将从响应820中剥离的cookie存储 在cookie存储825A中。cookie存储可在中间装置200上。在其他实施例 中，cookie存储可在不同的装置上。在其他实施例中，cookie存储可以在 存储在所有者核中的数据库、表或数据结构中。在其他实施例中，cookie 存储可存储在中间装置200上并且由装置200的任意核访问。在其他实施 例中，cookie存储可称作cookie罐。

在一些实施例中，由接收分组引擎在中间装置200的每个核上本地完 成cookie存储和更新操作，无需向所有者分组引擎848A发送消息。如果 非所有者核还没有本地存储的副本，则接收请求810或响应820的非所有 者核848B-848N从所有者核805A获得cookie存储825A的本地副本。所 有者核分组引擎848A继续向具有cookie存储825A的副本的所有分组引 擎848B-848N广播对cookie存储825A的所有更新或修改。由所有者核分 组引擎848A广播的对cookie存储825A的修改可利用Lamport时间戳、 向量时钟、版本向量、矩阵时钟或本文描述的序列化机制的任何组合。

在一些实施例中，可向中间装置200的所有分组引擎848B-848N复制 所有者核805A的会话。当拦截来自客户机102的请求时，接着可在接收 非所有者分组引擎848B-848N上本地完成cookie查找或cookie更新操作。 一旦在本地完成了cookie查找或cookie更新操作，则向装置200的其他核 （包括所有者核805A）广播该变化。在一些实施例中，对cookie的更新 或改变的广播是序列化的。在一些实施例中，可以通过Lamport时间戳实 现序列化机制。在其他实施例中，可通过向量时钟实现序列化机制。在其 他实施例中，序列化的广播机制可利用版本向量、矩阵时钟或序列化机制 的任何组合。

本领域的技术人员可以在不偏离本发明的精神和范围的前提下进行 很多变化和修改。因此，必须清楚理解所示实施例仅是出于示例目的，而 不应被看作是限制本发明，本发明由下面的权利要求限定。这些权利要求 将被视作包括不仅它们在字面上所阐述的，还包括非实质区别的那些等价 元素，尽管它们在其它方面与上面的说明中所显示和描述的不完全相同。