[发明专利]用于传送数据的方法和系统

说明书

本发明的一个方面提供一种被配置为从第一对等体(105)传送数据的数据网络(100)。所述网络包络与第一对等体相关联的排序模块(155)，所述排序模块被配置为针对重要性阈值测量数据。当确定数据满足重要性阈值时，复制引擎(160)被配置为：组装第一数据分组，所述第一数据分组具有与第一隧道会话(130)相关联的第一隧道标识符、第一主要分组序列标识符以及次要分组序列标识符；以及组装第二数据分组，所述第二数据分组具有与第二隧道会话(135)相关联的第二隧道标识符、第二主要分组序列标识符以及次要分组序列标识符。第一对等体(105)被配置为：在第一隧道会话(130)内从第一对等体(105)传送第一数据分组；以及在第二隧道会话(135)内从第一对等体(105)传送第二数据分组。

技术领域

本发明总体上涉及用于在虚拟私有网络(VPN)中的对等体之间传送数据的方法和系统。更具体来说，本发明涉及提供了独立于信道的隧道识别和重定向的VPN。

背景技术

虚拟私有网络(VPN)实际上是穿过两个协作路由进程之间的网络的隧道。隧道是通过在对网络分组进行加密之后的层中对其进行封装而建立的。取决于所选择的VPN协议，在其中对分组进行加密的该层可以是多种类型。

一种众所周知的加密协议是IPSec，该协议提供仅对分组的有效载荷进行加密(传输模式)或者对整个分组进行加密(隧道模式)的能力。

在IPSec的隧道模式下，通常在等于或高于有效载荷协议的层级递送协议内对整个分组进行加密和/或认证。通常来说，外部协议是ESP/IP或UDP/IP，其分组不携带关于分组内所载送的有效载荷的信息。

通常来说，隧道是利用诸如IKE和ISAKMP之类的隧道协议而建立的，其中客户端进程调用服务器进程以设立用于隧道的会话，其中IPSec分组及其有效载荷被载送在隧道协议分组内。

虽然这些分组载送隧道id或安全参数索引(SPI)，但是分组依赖于提供分组的信道被正确地识别以便对分组进行处理。如果在其中发送分组的信道以任何方式发生改变，则分组将不会被辨识。

这意味着如果具有载送隧道协议的IP分组和IPSec分组的隧道受到扰乱，则客户端将无法向服务器端提供任何信息，这是因为向始发IP地址返回信息的任何尝试都无法与任何隧道数据关联并且不具有认证信息。通常这需要从建立发起端重新建立隧道，从而会花费可观的时间。

类似地，如果隧道的路由发生改变，例如由于在远程服务器后方插入了新的网络，则没有容易的方法向本地端告知所述改变。

几种隧道协议(大部分是基于IPSec、SSL、PPTP/L2TP)都没有解决这些问题，从而需要完全重新建立新的隧道以便重新开始隧道通信量。通常这需要过去足够的时间从而使得任何进行中的事务都将过去。

因此，需要提供某种检测隧道中断的方法，并且提供一种快速地重新建立同一个或另一个隧道以用于所需通信量的方法。

本发明的至少一些优选实施例的一个目的是解决至少其中一些前面所提到的缺点。

一个附加的或替换的目的是提供一种能够替代或封装IPSec分组的隧道协议，从而解决由于隧道的瞬态性质所导致的这一问题和其他问题。

一个附加的或替换的目的是提供一种尽管在没有传输任何用户数据分组的情况下确认隧道仍然可操作的手段。

一个附加的或替换的目的是至少为公众提供一种有用的选择。

发明内容