法律状态公告日
法律状态信息
法律状态
2023-11-03
未缴年费专利权终止 IPC(主分类):H04L29/08 专利号:ZL2008101358333 申请日:20080715 授权公告日:20120815
专利权的终止
2012-08-15
授权
授权
2009-03-11
实质审查的生效
实质审查的生效
2009-01-21
公开
公开
技术领域
本发明涉及网络计算领域,以及更具体地,涉及计算网络内的代理服务器部署的领域。
背景技术
代理服务器是一种服务器,其配置为通过代表耦合的客户端来向预期的目的地服务器进行请求或者传送请求以服务于所耦合客户端的请求。通常,计算客户端连接至代理服务器,请求关于特定目的地计算服务器的远程资源,所述远程资源例如文件、连接或者网页,等等。代理服务器接着可通过连接至特定目的地的计算服务器代表计算客户端来检索所请求的远程资源。在某些实例中,代理服务器可变更针对远程资源的原始请求,或者代理服务器可在将检索到的响应传送至计算客户端之前变更该响应。在其他实例中,代理服务器可在不从特定目的地计算服务器寻求帮助的情况下服务于该请求。
不同代理服务器在计算网络中履行不同的任务。例如,将为实现匿名目的而从客户端请求去除标识信息的代理服务器称作匿名代理服务器。另一种代理服务器配置为不是联系特定目的地服务器,而是通过检索由于先前请求而保存在本地的内容来服务于客户端请求,将这种服务器称作高速缓存代理。拦截代理将通用代理服务器与网关服务器的功能性相结合。在没有客户端侧配置的情况下,通过该代理来重定向(redirect)由所耦合的客户端通过网关进行的连接。拦截代理通常用以防止对可接受使用策略的回避(avoidance),并且由于不需要客户端浏览器配置而可以减轻管理性负担。
开放代理是一种代理服务器,其配置为从任何网际协议(IP)地址接受客户端连接并且对任何远程资源进行连接。最后,透明代理是这样的代理服务器,其不修改超出代理认证和识别所需的内容的请求或者响应;而非透明代理是这样的代理服务器,其修改该请求或者响应以便对用户代理提供某些附加服务,诸如群组注释服务、媒体类型转换、协议精简或者匿名过滤。
当使用代理服务器来代理远程资源和目的地服务器上的中间件或者其他应用之间的传输控制协议(TCP)连接时,目的地服务器或者中间件或应用的任一个均不能查看远程资源的IP地址,因为代理服务器用与该代理服务器相关联的IP地址和源端口代替了IP和传输报头中的远程IP地址和源端口。这样,目的地服务器将代理服务器视为端点而不是将远程资源视为端点。
在目的地服务器中不具有对远程资源的可见性,这可能会使得目的地服务器内某些操作系统和应用功能的操作出现问题。可以依赖于针对远程资源的IP地址、协议或者端口的认识和可见性的那些功能可以包括针对与特定IP地址、协议或者端口相关联的特定资源的策略声明处理,其包括用于增强服务水平协议(SLA)的分组过滤和服务质量(QoS)处理。其他应用依赖于针对远程资源的IP地址、协议或者端口的认识和可见性,所述远程资源包括将IP地址、协议或者端口映射至大型机地址的终端仿真器。最后,包括入侵检测系统的网络安全应用优选远程资源的IP地址可见性以便跟踪潜在攻击的来源。
发明内容
本发明的实施例解决了现有技术中关于代理服务器处的远程资源IP地址可见性的缺陷,并且提供了一种用于在代理服务器环境中管理远程主机可见性的新颖的并且非显而易见的方法、系统以及计算机程序产品。在本发明的一个实施例中,可以提供一种用于在代理服务器环境中管理远程资源可见性的方法。本方法可以包括:在代理服务和目的地服务器之间建立安全连接;通过代理服务器使不同远程主机和目的地服务器之间的不同连接重定向;提供针对每个不同远程主机的远程资源信息以及连接标识信息,所述远程资源信息包括IP地址、源端口以及连接协议,所述连接标识信息包括针对通过所述安全连接的所代理的到目的地服务器的连接中一个相应连接的源IP地址、目的地IP地址、源端口、目的地端口以及连接协议。
在本发明的另一实施例中,该网络数据处理系统可以配置为用于所代理的连接的远程主机可见性。该系统可以包括主管应用的目的地服务器以及通过计算机通信网络耦合至目的地服务器的代理服务器。代理服务器可以包括对在多个远程主机和所述目的地服务器之间的代理连接的配置。另外,可以在代理服务器和目的地服务器之间建立安全连接,该安全连接与由代理服务器所代理的连接相分离。最后,可以在代理服务器中部署重定向器(redirector)。重定向器可以包括这样的配置,该配置用以向部署在所述目的地服务器内的远程可见性逻辑提供远程主机之中的远程主机信息以及连接标识信息,所述远程主机信息包括IP地址、源端口以及连接协议,以及所述连接标识信息包括针对通过安全连接的所代理的去往目的地服务器的连接中一个相应连接的源IP地址、目的地IP地址、源端口、目的地端口以及连接协议。远程可见性逻辑接着可以包括程序代码,该程序代码使得将远程主机的IP地址、源端口以及连接协议映射至代理服务器和目的地服务器之间的所代理的连接。
本发明的其他方面一部分将在下文的描述中阐明,一部分将从描述中显然地得出,或者可以通过本发明的实践而知晓。借助于在所附权利要求书中特别指出的单元和组合,将认识并获得本发明的各方面。应该理解,如所声明,上文的概括描述以及下文的具体描述两者仅仅是示例性和说明性的,并且并非是对本发明的限制。
附图说明
附图与本说明书相结合并且构成本说明书的一部分,其示出了本发明的实施例,并且连同描述一起用于解释本发明的原理。在此示出的实施例在目前是优选的,然而应该理解本发明并不局限于所示出的精确设置和手段,其中:
图1是网络数据处理系统的示意图,该网络数据处理系统配置为在代理服务环境中管理远程资源可见性;以及
图2是示出用于在代理服务器环境中管理远程资源可见性的处理的流程图。
具体实施方式
本发明的实施例提供了一种用于在代理服务器环境中管理远程资源可见性的方法、系统和计算机程序产品。根据本发明的一个实施例,可以在目的地服务器中的远程可见性处理和代理服务器之间建立安全连接。由此,在代表远程主机而在代理服务器以及目的地服务器之间完成代理连接之后,可以连同连接标识信息一起将远程主机信息通过安全连接传送至远程可见性处理,所述远程主机信息包括远程主机的IP地址、远程主机的协议以及远程主机的端口,而所述连接标识信息包括针对通过安全连接的所代理的去往目的地服务器的连接中一个相应连接的源IP地址、目的地IP地址、源端口、目的地端口以及连接协议。接着,可以将远程主机的IP地址、协议以及端口映射至由代表远程主机的代理服务器提供的连接。以此方式,部署在目的地服务器内的操作系统和应用可以维持远程主机的可见性,而不论中间代理服务器存在与否。
在图示中,图1是网络数据处理系统的示意图,其中该网络数据处理系统配置为用于在代理服务器环境中管理远程资源可见性。该系统可以包括目的地服务器130,所述目的地服务器130通过计算机通信网络140耦合至代理服务器120。目的地服务器130可以配置为支持一个或者多个应用150(为了简化图示,仅示出了单一的应用)的操作。代理服务器120可以包括用于耦合一个或者多个远程主机110的通信配置,以便在与目的地服务器130中的应用150进行交互时代表远程主机110来担任代理。
值得注意的是,重定向器160可以耦合至代理服务器120,以及相应的远程可见性逻辑180可以耦合至目的地服务器130,其间具有已建立的安全连接。重定向器160可以配置为向远程可见性逻辑180转发针对远程主机110的IP地址、源端口和协议,以及针对代理到目的地服务器的连接的连接数据(源/目的地IP地址、源/目的地端口以及协议),所述代理到目的地服务器的连接通过代理服务器120建立了所代理的到目的地服务器130的连接。远程可见性逻辑180可接着包括程序代码以便使得针对远程主机110的IP地址、源端口以及协议与由代理服务器120提供的针对映射170中的所代理连接的连接数据相关联。由此,目的地服务器130中的操作系统和应用150可访问映射170以便维护远程主机可见性,而不论通过代理服务器120的所代理的连接如何。
在进一步的图示中,图2是示出用于在代理服务器环境中管理远程资源可见性的处理的流程图。从步骤210开始,可以在代理服务器中的重定向器和目的地服务器中的远程可见性逻辑之间建立安全连接。接着,多个不同远程主机可以通过代理服务器来请求并使用去往目的地服务器中的目的地应用的所代理的连接。具体地,在步骤220中,可以利用重定向器建立连接,所述重定向器接着可以在步骤230中与目的地服务器建立连接。
在步骤240中,可以通过目的地栈挂起通过安全连接去往远程可见性逻辑的连同连接标识信息一起的远程主机信息的安全传输而停止连接的完成,所述远程主机信息包括远程主机的IP地址、远程主机的协议以及远程主机的端口,所述连接标识信息包括用于所代理的去往目的地服务器的连接中一个相应连接的源IP地址、目的地IP地址、源端口、目的地端口以及连接协议。考虑到这一点,在步骤250中,可以将远程主机信息与连接标识信息一起通过安全连接传输至远程可见性逻辑,并且将其映射至所代理的连接,其中所述远程主机信息包括IP地址、端口以及协议,而所述连接标识信息包括用于通过安全连接的所代理的去往目的地服务器的连接中一个相应连接的源IP地址、目的地IP地址、源端口、目的地端口以及连接协议。一旦已经将针对远程主机的远程主机信息映射至所代理的连接,则在步骤260中,可以将远程主机的IP地址、协议和端口以及其到代理和目的地服务器之间的连接的映射安装到针对目的地服务器的目的地栈之中,在该目的地栈处将其与TCP连接控制块(TCB)相关联。接着,在步骤270中,可以实现连接的完成,以便完成由目的地应用进行的挂起的接受调用(pending accept calls)。
由此,在块280中,可以代表目的地应用而根据来自目的地栈的请求来检索远程主机信息,该远程主机信息包括远程主机的IP地址、远程主机的协议以及远程主机的端口。考虑到这一点,显然在针对目的地栈的传输控制块(TCB)内的所映射的远程IP地址、端口以及连接协议可以用于受多个目的地服务器支持的应用和栈服务。所述栈服务可以包括分组过滤应用、入侵检测应用以及需要基于策略的决定的应用,该基于策略的决定是针对远程主机以及用于进行大型机访问的IP到逻辑单元(LU)的映射而进行的。
本发明的实施例可以全部采取硬件实施例的形式、全部采取软件实施例的形式、或者采取包含硬件和软件单元两者的形式。在优选实施例中,本发明以软件实现,所述软件包括但不限于固件、驻留软件、微代码等。此外,本发明可以采取计算机程序产品的形式,可以从用于由计算机或者任何指令执行系统使用或者与计算机或者任何指令执行系统结合使用的提供程序代码的计算机可用或者计算机可读介质处获取所述计算机程序产品。
出于此说明书的目的,计算机可用或者计算机可读的介质可以是任何装置,该装置包含、存储、传送、传播或者传输用于由指令执行系统、装置或者设备使用或者与指令执行系统、装置或者设备结合使用的程序。所述介质可以是电学、磁性、光学、电磁、红外或者半导体系统(或者装置或者设备)或者传播介质。计算机可读介质的示例包括半导体或者固态存储器、磁带、可移动计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、硬盘以及光盘。
光盘的当前示例包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)以及DVD。
适于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线直接或间接耦合至存储器单元的处理器。该存储器单元可以包括在程序代码实际执行期间所使用的本地存储器、大容量存储器以及高速缓冲存储器,该高速缓冲存储器提供至少某些程序代码的临时存储,以减少在执行期间必须从大容量存储器中获取代码的次数。输入/输出或I/O设备(包括但不限于键盘、显示器、指示设备等)可以直接地或通过中间I/O控制器来耦合至系统。网络适配器也可以耦合至该系统,以使得数据处理系统能够通过中间专用或公共网络而耦合至其他数据处理系统或远程打印机或存储设备。调制解调器、线缆调制解调器以及以太网卡仅是当前可用类型的网络适配器中的一些。
机译: 在代理服务器环境中管理远程主机可见性
机译: 在代理服务器环境中管理远程主机可见性
机译: 客户端服务器环境中的差异备份系统的管理客户端服务器环境中的差异备份系统的管理
