用于使用基于流的策略来路由互联网协议分组的平台制造技术

技术编号：44225251 阅读：1 留言：0更新日期：2025-02-11 13:30

使用流上下文对IP(互联网协议)分组进行基于策略的路由。一种系统拦截与由操作系统(OS)对网络连接的创建相关联的事件。所述系统标识与网络连接相关联的包括流元组的流上下文。基于流上下文，并且根据基于流的路由策略，所述系统确定与网络连接相关联的提供方。系统在状态数据库中记录流元组与提供方之间的关联，并且指示所述OS发起网络连接。在网络连接的创建之后，系统拦截与网络连接相关联的IP分组。基于IP分组的报头，系统标识流元组，并且基于向状态数据库查询流元组的结果，发起针对IP分组的基于提供方的动作。

全部详细技术资料下载

【技术实现步骤摘要】
【国外来华专利技术】

技术介绍

1、计算机系统已经彼此耦合并且耦合到其他电子设备以形成有线和无线计算机网络两者，计算机系统和其他电子设备可以通过有线和无线计算机网络传输电子数据。因此，许多计算任务的执行跨一定数目的不同的计算机系统和/或一定数目的不同的计算环境分布。计算机网络通常以数据分组的形式传输数据，数据分组最常见地包括互联网协议(ip)分组，诸如传输控制协议(tcp)分组、用户数据报协议(udp)分组。

2、由于各种网络架构和网络安全要求，许多基于ip的隧道解决方案已经被开发，诸如各种形式的虚拟专用网络(vpn)，该方案基于每个ip分组中指定的ip子网来拦截ip分组并通过隧道将ip分组路由到远程系统。

技术实现思路

1、在一些方面，本文描述的技术涉及一种在包括处理器的计算机系统处实现的方法，该方法用于使用流上下文对ip分组进行基于策略的路由，该方法包括：拦截与由操作系统(os)对网络连接的创建相关联的事件；标识与网络连接相关联的流上下文，该流上下文包括流元组；基于流上下文，并且根据基于流的路由策略：确定计算机系统处与网络连接相关联的提供方；在状态数据库中记录流元组与提供方之间的关联；以及指示os发起网络连接；在网络连接的创建之后，拦截与网络连接相关联的ip分组；基于ip分组的报头，标识流元组；以及基于向状态数据库查询流元组的结果，发起针对ip分组的基于提供方的动作。

2、在一些方面中，本文描述的技术涉及一种用于使用流上下文对ip分组进行基于策略的路由的计算机系统，包括：处

3、在一些方面，本文描述的技术涉及一种包括计算机存储介质的计算机程序产品，所述计算机存储介质存储计算机可执行指令，所述计算机可执行指令由处理器可执行以使计算机系统使用流上下文对ip分组实现基于策略的路由，所述计算机可执行指令包括由所述处理器可执行以使所述计算机系统至少执行以下操作的指令：拦截与由os对网络连接的创建相关联的事件；标识所述网络连接的上下文，所述上下文包括流元组；基于所述上下文，并且根据基于流的路由策略：确定所述计算机系统处与所述网络连接相关联的提供方；在状态数据库中记录所述流元组与所述提供方之间的关联；以及指示所述os发起所述网络连接；在所述网络连接的所述创建之后，拦截与所述网络连接相关联的ip分组；基于所述ip分组的报头，标识所述流元组；以及基于向所述状态数据库查询所述流元组的结果，发起针对所述ip分组的基于提供方的动作。

4、提供本
技术实现思路
是为了以简化的形式介绍将在下面的具体实施方式中进一步描述的概念的选择。本
技术实现思路
不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于帮助确定要求保护的技术方案的范围。

本文档来自技高网...

【技术保护点】

1.一种在包括处理器的计算机系统处实现的、用于使用流上下文对IP(互联网协议)分组进行基于策略的路由的方法，所述方法包括：

2.根据权利要求1所述的方法，其中所述提供方是隧道组件，所述IP分组是出站分组，并且所述基于提供方的动作包括将所述IP分组路由到所述提供方。

3.根据权利要求1所述的方法，其中所述提供方是隧道组件，所述IP分组是入站分组，并且所述基于提供方的动作包括将所述IP分组路由到所述OS。

4.根据权利要求1所述的方法，其中所述提供方是防火墙组件，并且所述基于提供方的动作包括丢弃所述IP分组。

5.根据权利要求1所述的方法，其中所述提供方是防火墙组件，并且所述基于提供方的动作包括以下一项或多项：修改所述IP分组或传送所述IP分组。

6.根据权利要求1所述的方法，其中所述流上下文还包括以下至少一项：发起所述事件的进程的进程标识符、发起所述事件的进程的拥有用户、与发起所述事件的进程相关联的交互式会话的用户、目的地域、目的地域类别。

7.根据权利要求1所述的方法，其中所述流元组包括以下一项或多项：源IP

8.根据权利要求1所述的方法，还包括：

9.根据权利要求1所述的方法，还包括：

10.根据权利要求9所述的方法，还包括：在所述状态数据库中记录所述第二流元组与所述阻塞动作之间的关联。

11.根据权利要求1所述的方法，还包括：

12.根据权利要求11所述的方法，其中将所述第二IP分组路由到所述网络栈是基于向所述状态数据库查询所述第二流元组的结果，所述结果包括未能在所述状态数据库中定位所述第二流元组。

13.根据权利要求11所述的方法，还包括：

14.根据权利要求1所述的方法，还包括：基于多个网络连接中的每个网络连接与公共网络标识相关联，将所述多个网络连接分组到信道中。

15.一种用于使用流上下文对IP(互联网协议)分组进行基于策略的路由的计算机系统，包括：

...

【技术特征摘要】
【国外来华专利技术】

1.一种在包括处理器的计算机系统处实现的、用于使用流上下文对ip(互联网协议)分组进行基于策略的路由的方法，所述方法包括：

2.根据权利要求1所述的方法，其中所述提供方是隧道组件，所述ip分组是出站分组，并且所述基于提供方的动作包括将所述ip分组路由到所述提供方。

3.根据权利要求1所述的方法，其中所述提供方是隧道组件，所述ip分组是入站分组，并且所述基于提供方的动作包括将所述ip分组路由到所述os。

4.根据权利要求1所述的方法，其中所述提供方是防火墙组件，并且所述基于提供方的动作包括丢弃所述ip分组。

5.根据权利要求1所述的方法，其中所述提供方是防火墙组件，并且所述基于提供方的动作包括以下一项或多项：修改所述ip分组或传送所述ip分组。

6.根据权利要求1所述的方法，其中所述流上下文还包括以下至少一项：发起所述事件的进程的进程标识符、发起所述事件的进程的拥有用户、与发起所述事件的进程相关联的交互式会话的用户、目的地域、目的地...

【专利技术属性】
技术研发人员：G·乐文，V·阿罗拉，O·雅科维安，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人