优化加密广域网络通信

摘要

在WAN(316)上流动的加密通信的优化由其中WAN(316)压缩分布在中枢和分支网络(300)的子网(305)中的端点(318)(即，客户机器或服务器)与该子网中的WAN压缩服务器(326)之间的安排提供。在一个或多个端点(318)中的每一个上运行的WAN压缩(306)的客户端部分与由子网(305)中的端点(318)见到的数据的可随意处置本地高速缓存(505)接口，其用于使用基于库的压缩技术来压缩和解压缩通信。子网(305)中的本地WAN压缩服务器(326)存储子网(305)中所有WAN通信的共享中央数据库(405)，它用于填充端点(318)中的本地可随意处置高速缓存(505)。

说明书

背景

经营分公司的组织中的信息技术(“IT”)管理必须适应类局部型应用性能和可管理性与部署成本之间经常冲突的需求。为减少所有权的总成本(“TCO”)，存在其中将分公司服务器合并，且将服务和应用程序从LAN(局域网)推送到被主存在来自一般位于企业的总部位置的中枢的WAN(广域网)之间的趋势。虽然此类分支和中枢体系结构可以提供巨大的成本效益，但是对WAN资源的依赖可能通常导致耗尽的带宽和增加的最终用户等待时间。这通常导致在分公司的用户体验的质量与总公司的用户体验的质量相比之下的减少，以及分公司中的生产力的总体损失。

对该问题的一个解决方案是增加更多广域带宽，且历史上数据服务一般消耗企业IT预算的大部分。然而，带宽的增量式增加可带来不成比例的价格增加以及诸如网络延迟等限制因素，且应用程序行为可能限制性能和带宽投资的回报两者。

WAN加速度解决方案显示了设法通过最大化WAN利用(这通常可以延迟或消除购买额外WAN带宽的需要)来利用由集中式服务器提供的成本优势而不损失性能。尽管WAN加速解决方案可提供显著的效益并通常提供良好的投资回报，但是当前WAN加速解决方案与诸如IPsec(网际协议安全)和SMB(服务器消息块)等签署启用分支客户机与中枢处的服务器之间的安全通信的端对端数据完整性协议不兼容。虽然某些当前解决方案使用SSL(安全套接字层)加密来提供端对端的安全性，但是这些解决方案依赖于将私钥部署在中间设备，这可增加网络对被称为“中间人”攻击的攻击的易受攻击性。

提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所要求保护的主题的范围，也不旨在被看作将所要求保护的主题限于解决以上所提出的问题或缺点中的任一个或全部的实现。

概述

在WAN上流动的加密通信的优化由其中WAN压缩分布在中枢(hub)和分支网络的子网中的端点(即，客户机器或服务器)与该子网中的WAN压缩服务器之间的安排提供。在一个或多个端点中的每一个上运行的WAN压缩的客户端部分与由子网中的端点见到的数据的可随意处置本地高速缓存接口，其用于使用基于库(dictionary)的压缩技术来压缩和解压缩通信。子网中的本地WAN压缩服务器存储在子网中所见到的所有WAN通信的共享中央数据库，它用于填充端点中的可随意处置本地数据高速缓存。

在说明性示例中，在出站通信被加密之前端点截取出站通信。使用依赖于在子网中的端点处本地高速缓存的库的基于库的压缩，或通过使用从存储在本地WAN压缩服务器上的中央数据库下载的库来执行WAN优化。一旦被优化，通信被向下传给TCP/IP(传输控制协议/网际协议)栈，并在通过WAN链接将该通信发送到中枢和分支网络的远程子网之前使用IPsec来加密该通信。远程子网处的端点解密该通信，并随后使用本地高速缓存的库，或通过使用从远程子网上的中央WAN压缩服务器下载的库来解压缩该通信。

有利地，用于优化加密WAN通信的本安排增加了WAN利用率以显著地改善分支子网处的用户体验的质量，同时通过IPsec加密来维护端对端的安全性并降低成本。此外，此类性能、安全性、以及成本减少是在不使用额外中间设备以及私钥的情况下达成的，以避免中间人易受攻击性。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

附图描述

图1示出在每一子网中使用WAN压缩服务器的说明性中枢和分支网络；

图2示出其中使用位于网络中的每一端点处的软件来实现WAN压缩的说明性中枢和分支网络；

图3示出其中使用分布式体系结构来实现WAN压缩的说明性中枢和分支网络；

图4示出在WAN压缩服务器中实现的一组说明性组件；

图5示出在中枢和分支网络中的端点处实现的一组说明性组件；

图6示出用于截取端点处的通信的第一说明性体系结构；

图7示出用于截取端点处的通信的第二说明性体系结构；以及

图8是用于在中枢和分支网络中实现WAN压缩的说明性方法的流程图。

各附图中的相同的附图标记指示相同的元素。

详细描述

图1示出其中分支105通过WAN链接116耦合到中枢112的说明性中枢和分支网络100。使用术语“分支”来描述任何大小的组织的远程位置，该远程位置连接到由例如作为总公司或总部的一部分的“中枢”提供的资源的集合。分支105包括耦合到路由器1201的多个客户机器1181、2……N，它们将通信置于WAN链接116上并从分支105与中枢112之间的双向链接中取得通信。客户机器118一般运行诸如文字处理、电子邮件、电子表格等商业和生产应用程序。

在中枢112处配置多个服务器1241、2……N以向分支105中的客户机器118提供服务。此类服务一般包括由文件服务器1241、邮件服务器1242以及web服务器124N提供的那些服务。然而，要强调的是，这些服务器仅为说明性的，且服务器的实际数量和配置可与所示的不同且一般将依赖于具体分支-中枢部署的需求。将服务器基础结构合并到中枢112中通常允许所有维护、故障诊断、安全策略执行、备份以及审计被中央地执行，这可显著地降低大多数企业的TOC。

WAN链接116可在私有网络和/或诸如因特网等公共网络的部分上操作。WAN 116是一般用于支持远程分支操作的许多当前WAN的代表。典型的WAN问题包括高网络延迟、带宽上的限制、以及分组丢失。此类限制可约束分支生产力。此外，在网络100中操作的许多商业或生产应用程序是为LAN环境而开发的且未被特别地进行WAN优化。结果，认识到，优化有限的可用WAN带宽的利用率可显著地对分支105中更好的用户体验作出贡献。优化WAN通信向用户提供快速和响应网络的观感以及更透明、更无缝、且类LAN的分支的总体验。此外，许多企业将从因减少通过WAN链接116的通信而导致的降低的操作成本中获益。

WAN压缩服务器1261和1262按对称配置位于网络100的相应子网(即，分支105和中枢112)中。WAN压缩服务器126位于WAN链接116的相对端的直接通信路径中，且耦合到路由器120。

在此说明性示例中，WAN压缩服务器126用于通过优化在链接上流动的通信来克服WAN链接116中的某些限制。此类优化通常使用诸如无状态与有状态数据压缩、高速缓存、协议专用优化、数据预取、基于策略的路由、服务质量(“QoS”)技术等各种技术来实现。

数据压缩算法通常标识随时间频繁重复的相对较短的字节序列。这些序列被较短的代码段替换以减少在WAN链接上被传输的数据的大小。数据压缩可使用包括诸如公知的LZW(Lempel-Ziv-Welch)技术等无状态压缩以及诸如基于库的压缩等有状态压缩的各种方法或算法来实现。库压缩依赖于在外部库中存储经过压缩引擎的所有数据。除了存储数据之外，压缩引擎标识已经见过的数据并使用一小得多的对库中的索引的引用来替换该数据，从而允许了该数据的后续解压缩。

高速缓存需要WAN压缩服务器126通过观察所有请求并保存响应的副本来模拟应用服务器。如果从客户机器118作出对同一文件的另一请求，则WAN压缩服务器126用作代理，且在向该服务器确认文件未被更改后，可从其高速缓存提供文件。

基于策略的路由一般用于实现按应用程序、按用户、或根据通信的特征(例如，来源和/或目的地地址)来分类通信并对通信区分优先级的服务质量技术。与排队结合，基于策略的路由可分配可用WAN带宽以确保与某些应用程序相关联的通信不中断企业重要的通信。优化可使用例如使用基于策略的QoS以用特定的区分服务代码点(Differentiated Services Code Point，“DSCP”)值来标记出站通信而实现。具有DSCP能力的路由器读取DSCP值并将通信转发到到基于优先级被服务的特定队列(例如，高优先级队列、最大努力、次于最大努力等)中。

所利用的具体技术可随着部署变化，但大多数类型的压缩服务器一般利用各种形式的数据压缩。然而，被加密的数据通常被压缩算法视作随机数据，这使得加密的数据基本上不可能被压缩。

因为加密通信不适于压缩，所以可在没有加速加密通信情况下安排图1所示的中枢和分支安排，这将导致重大的性能损失。或者，可加速但不加密通信，这可能引起重大的安全易受攻击性。

另一替换是在分支和中枢两者处利用中间设备或服务器，这些中间设备或服务器终止SSL(安全套接字层)通信并随后解密、存储数据的分段以供将来引用，并对其重新加密。将之后通过这些设备的通信与这些分段相比较。当正在发送的数据与分段匹配时，这些设备发送紧凑引用而不是较长的完整分段，从而减少了必须跨越WAN链接的通信量。在某些情况下，设备使用服务器的私钥来解密在WAN链接上使用的会话密钥。

虽然SSL的使用可为分支与中枢之间的通信提供合乎需要的端对端安全性，但是中间设备有所不足。通常以不加密的形式来存储被存储的分段，这可能带来某些安全易受攻击性。此外，通过将私钥置于中间设备上，存在安全漏洞可能被打开并以中间人攻击通过设备来访问安全漏洞的增加的风险。

图2示出其中使用位于网络中的客户机器218和服务器224(被称为“端点”)中的每一个处的软件206_1、2…N来实现WAN压缩的说明性中枢和分支网络。在此说明性安排中，从WAN链接216上的通信路径中移除WAN压缩服务器。代替地，每一端点处的通信在被移交给TCP/IP栈之前被压缩、加密(例如，使用IPsec)、且由路由器220放置到WAN链接216上。在接收端点处，该通信被解密、解压并递送到合适的进程或应用程序。因此，受IPsec保护的通信如参考标号230所示地遍历各端点之间的WAN链接216(虽然说明性地在端点218_N与224之间示出安全通信，但是应该注意，此类通信通常可在分支205中的任何端点与中枢212中的任何端点之间流动)。

虽然将WAN压缩移动到端点为通信提供了端对端的安全性，但是丢失了由如图1所示的WAN压缩服务器提供的一个主要优势。具体而言，数据减少和高速缓存不能在子网基础上来执行且相反限于在特定端点处见到的通信。此外，被高速缓存的数据的大小即使在单个机器的范围内时也可对可用资源造成显著的影响，尤其当客户机器218可能在处理器功率、存储器、以及存储方面受限。

分别在图1和图2中示出的并在相关文本中描述的WAN压缩服务器和在端点处执行的WAN压缩的限制被图3-8中示出并在相关文本中描述的用于优化加密WAN通信的本安排克服。

图3示出其中使用分布式体系结构来实现WAN压缩的说明性中枢和分支网络300。在分支305和中枢312中分别使用WAN压缩服务器326₁和326₂。如图4所示，每一WAN压缩服务器326被安排成将之前见到的通信的共享中央数据库405存储在子网中作为对其进行索引以支持基于库的压缩的库。要强调的是，虽然在此示例中使用基于库的压缩，但是用于优化加密WAN通信的本安排不限于基于库的压缩，且可使用可能是满足具体实现的要求所需的其它压缩技术。如参考标号416所示，还安排WAN压缩服务器326执行用于经由路由器320₁和320₂(图3)的穿过WAN链接316的非加密通信的常规WAN优化。

再次参考图3，WAN压缩的客户端部分(如参考标号306_1、2…N)也被包括在网络300中的端点(即，客户机器318_1、2…N和服务器324_1、2…N)中的一个或多个上，以使得通信在被加密并通过WAN链接316发送之前被截取并压缩。在此说明性示例中，使用如参考标号330所示的IPsec来加密通信。

图5示出在网络中的端点处实现的一组说明性组件。图5所示的端点是客户机器318，然而要强调的是，类似的组件通常以对称的形式在网络300中的相对子网中的端点处实现。如图所示，客户端部分316₁与数据库高速缓存505和通信截取功能513进行接口。

根据被制定来限制客户机器的资源不被过量使用的可能性的高速缓存策略将由端点见到的通信存储在可随意处置本地高速缓存505中。如下文所述，高速缓存505在执行基于库的压缩和解压缩时由端点使用，且可在必要时使用来自中央数据库405(图4)的库对高速缓存505进行补充和更新。

利用通信截取功能513来截取穿过WAN链接316往来于中枢312的通信，以使得客户端部分3061可压缩出站通信并解压缩到端点的入站通信。从而安排通信截取功能513与端点上的TCP/IP栈520进行接口。TCP/IP栈520进而与IPsec驱动器526进行接口，该IPsec驱动器526经由路由器320通过WAN链接316发送并接收受IPsec保护的IP分组532。

可依赖于由特定端点利用的操作系统(“OS”)来不同地实现通信截取功能513。例如，如图6所示，对在各个客户机器318和服务器324上使用微软和2003的端点而言，这些端点利用传输驱动器接口605(“TDI”)，该传输驱动器接口是用于与TCP/IP栈520中的网络传输协议通信的通用接口。TCP/IP栈520包括传输层612，该传输层包含TCP和UDP(用户数据报协议)的实现以及发送不需要TCP或UDP头部的原始IP分组的机制。TCP/IP栈520还包括包含诸如IPv4或IPv6等网际协议的实现的网络层616。成帧(framing)层619包含构成IPv4或IPv6分组的模块。

图7示出例如被使用微软Windows VistaTM或微软2008(之前以其代号“Longhorn”为人所知)操作系统的端点利用的通信截取功能的替换说明性实现。此处，安排TCP/IP栈520展示允许WAN压缩的客户端部分306访问传输层612和网络层616两者处的分组处理路径的窗口过滤平台(“WFP”)调出API 710(应用程序编程接口)。然而，注意，此TDI也由Windows Vista和Windows Server 2008支持以维护对基于TDI的客户机和进程的向后兼容性。

图8是用于在图3所示的中枢和分支网络300中实现本分布式WAN压缩的说明性方法800的流程图。该方法在框805处开始。在框810，启动端点(即，客户机器318或服务器324)上的WAN压缩的客户端部分306。客户端部分306通过在子网(即，分支305或中枢312)内广播或通过在端点中预先配置WAN压缩服务器的名称来执行该子网中的本地WAN压缩服务器326的发现。

在框815，一旦与本地WAN压缩服务器326的连接成功建立，端点即下载已知对等体(即，网络中也运行WAN压缩的客户端部分306的实例的其它端点)的列表。该端点还下载最近在每一对等体见到的数据的签名。

在框820，该端点随后确定源自该端点的通信是否将被加密。在此说明性示例中，利用了IPsec。因此，可通过检查IPsec策略来完成判定。或者，可检查并分析网络数据。在两种情况下，判定步骤的目标都是标识通过WAN链接316从本地子网出发的一个或多个加密流。

在框825，如果流的目的地是一未知远程端点，则例如使用保留的TCP/UDP端口或通过用于方便端点发现的其它方法的使用来启动自动发现例程。如果发现远程端点包括WAN压缩的客户端部分306，则向本地WAN压缩服务器326回报远程端点的地址。以一种对称的方式，向远程WAN压缩服务器326报告启动自动发现例程的端点的地址。

在框830，使用各种替换技术之一来将压缩应用到通信。此类技术包括例如应用于一分组或一组分组的LZW压缩、或基于库的压缩等。还可使用例如常规代理方法或使用诸如搜集/分散等集体操作来将压缩应用到相同TCP流上的分组。

如框830A-F所示，压缩步骤包括考虑到多个考量的子步骤。在框830A，端点被配置成记住当前被其以及子网中的其它对等体见到的数据。将该数据本地高速缓存在通信数据库高速缓存505(图5)中并周期性地将其连同伴随框815的文本所述的签名一起上传到本地WAN压缩服务器326处的中央通信数据库(例如，图4中的数据库405)。

在框830B，使用现有的本地高速缓存的库(例如，在端点对等体中的每一个处的图5中的高速缓存505中的那些)来压缩正从该端点发送的通信。使用从子网中的本地WAN压缩服务器326下载的当前签名来确定执行压缩的最佳库集合。将立即使用被本地高速缓存的库来执行压缩。如果在子网中没有足够的本地高速缓存的库，则端点可下载中央库的合适部分(例如，从图4中的中央数据库405)。每一端点还可被配置成处置来自其高速缓存中的那些库，例如在等于某预先确定的阈值的一段时间中不被使用的库，或使用其它处置准则或方法。

在框830C，使用子网中的端点对等体中的现有高速缓存库来解压缩从远程端点接收到的通信。从WAN压缩服务器326下载在接收端点中的本地高速缓存505(图5)中不可用的、由远程端点使用来压缩通信的库。将这些被下载的库高速缓存在端点库高速缓存505中以供可能的将来使用。执行该压缩的端点可被进一步配置成向执行解压缩的端点提供提示以允许此端点预取执行该解压缩所需的合适库。

在框830D，子网中的端点中的一个或多个将根据本地WAN压缩服务器326周期性地刷新签名和已知对等体的当前列表。这通常通过下载使用所存储的签名和对等体列表与被刷新的列表之间的增量的形式的改变来达成。在框830E，端点中的一个或多个将周期性地将其库从本地高速缓存505(图5)上传到本地WAN压缩服务器326中的中央数据库405(图4)。

在框830F，每一子网中的WAN压缩服务器326通过WAN链接316彼此通信，以在来自其相应的中央通信数据库的数据变得过时同步这些数据的清除。此外，如上所述，WAN压缩服务器326可使用例如常规IP隧道(tunneling)技术来执行WAN压缩和非加密通信的优化。该说明性方法800在框835处结束。

尽管用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中定义的主题不必限于上述特定特征或动作。相反，上述具体特征和动作是作为实现权利要求的示例形式公开的。