+

CN105610665A - 一种适用于移动设备的vpn协议 - Google Patents

一种适用于移动设备的vpn协议 Download PDF

Info

Publication number
CN105610665A
CN105610665A CN201510874885.2A CN201510874885A CN105610665A CN 105610665 A CN105610665 A CN 105610665A CN 201510874885 A CN201510874885 A CN 201510874885A CN 105610665 A CN105610665 A CN 105610665A
Authority
CN
China
Prior art keywords
traffic
vpn
application
data
text data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510874885.2A
Other languages
English (en)
Other versions
CN105610665B (zh
Inventor
傅春乐
何清刚
孙云霄
王佰玲
刘扬
张昭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology Weihai
Original Assignee
Harbin Institute of Technology Weihai
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology Weihai filed Critical Harbin Institute of Technology Weihai
Priority to CN201510874885.2A priority Critical patent/CN105610665B/zh
Publication of CN105610665A publication Critical patent/CN105610665A/zh
Application granted granted Critical
Publication of CN105610665B publication Critical patent/CN105610665B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • H04L12/4645Details on frame tagging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/04Protocols for data compression, e.g. ROHC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种适用于移动设备的VPN协议,VPN客户端将智能终端流量通过流量分类器进行分类,分为文本数据和非文本数据,并针对文本数据进行强加密和压缩后再封装至VPN隧道,针对非文本数据进行弱加密再封装至VPN隧道,这一过程均在中间件层完成。本发明的有益效果是保证可靠加密传输服务的同时,保证VPN服务的服务质量和VPN客户端的性能。

Description

一种适用于移动设备的VPN协议
技术领域
本发明属于通信技术领域,涉及一种适用于移动设备的VPN协议。
背景技术
虚拟专用网(VirtualPrivateNetwork,VPN)技术为互联网的接入提供安全保证,广泛的以软件服务的形式应用于服务器、路由器、交换机、PC等传统的硬件设备。部署于服务器、路由器、交换机上的VPN通常以安全网关的形式为局域网的用户群体提供防火墙、安全远程接入服务。搭建在PC上的VPN通常为用户个体提供私有安全加密隧道,保证用户的上网隐私。
面临着智能手机、平板电脑等智能移动设备的飞速发展与移动设备网络安全形势愈演愈烈的矛盾,VPN技术正逐渐地应用于移动设备端。就目前VPN技术的研究现状而言,这种应用是一种平行的移植,即将传统的VPN协议直接用于智能手机的应用,如VPNExpress,GreenVPN,天行VPN等等。绝大多数的手机VPN应用使用的VPN协议仍然是PPTP,L2TP,IPSec等传统公有协议,少部分手机VPN应用则是采用私有加密协议实现。这种平行的VPN移植虽然为使用移动终端用户的互联网接入提供了安全保障,与此同时带来了许多问题,主要表现在用户体验方面,如连接稳定性不够、音视频服务时延较大,特别是高清流媒体服务。用户体验性较差的问题从根本上来说是源于传统VPN协议与智能终端的冲突,并不能完全适用于智能终端。一方面来看,传统VPN协议将所有流量都封装到VPN隧道内,这种封装对文本、图像、音频、视频流量均采用同样的加解密算法,必然会对VPN客户端的性能造成较大的影响;从另一方面来看,智能手机的系统资源相对有限,使用相同强度加密算法处理文本和其他高清流媒体流量,必然造成用户体验较差。
发明内容
本发明的目的在于提供一种适用于移动设备的VPN协议,解决了现有的流量协议降低了VPN客户端的性能的问题。
本发明所采用的技术方案是VPN客户端将智能终端流量通过流量分类器进行分类,分为文本数据和非文本数据,并针对文本数据进行强加密和压缩后再封装至VPN隧道,针对非文本数据进行弱加密再封装至VPN隧道,这一过程均在中间件层完成。
进一步,所述非文本数据包括图像数据、音频数据和视频数据;
进一步,所述流量分类器包括基于应用标签的流量分类器和基于用户行为的流量分类器;基于应用标签的流量分类器设计方法:服务器端使用垂直搜索爬虫技术获取第三方手机应用平台的相关应用描述的原始数据,搜索引擎从原始数据中提取应用名称,爬取该应用官网描述,将官网描述与原始数据中的标签字段、应用描述字段进行关键字比对,以验证数据正确性,验证后的数据经分析分类,得到新增的标签规则并回传至客户端,追加添加到本地标签规则库中,生成标签规则库,通过识别应用程序名称并匹配标签规则库,根据规则库中的类别对流量进行分类;基于用户行为的流量分类设计方法:服务器端提取策略1基于应用标签的流量分类器未分类的流量样本,依次采用基于端口号、基于负载特征、基于统计特征的传统流量分类的三种方法,对流量进行识别;对于未能识别的流量,将结合应用的标签对其进行人工分类。
本发明的有益效果是保证可靠加密传输服务的同时,保证VPN服务的服务质量和VPN客户端的性能。
附图说明
图1是本发明适用于移动设备的VPN协议结构示意图;
图2是流量分类器结构示意图;
图3是基于应用标签的流量分类器的模块关系图;
图4是基于用户行为的流量分类器的模块关系图;
图5是移动设备的QoS框架。
具体实施方式
下面结合具体实施方式对本发明进行详细说明。
本发明如图1所示,为流量分类加密VPN的工作原理图。VPN客户端将智能终端流量通过流量分类器进行分类,分为文本数据和非文本数据,并针对文本数据进行强加密和压缩后再封装至VPN隧道,针对非文本数据进行弱加密再封装至VPN隧道,这一过程均在中间件层完成。非文本数据包括图像数据、音频数据和视频数据;如图2所示,流量分类器包括分类策略1基于应用标签的流量分类器和分类策略2基于用户行为的流量分类器;
分类策略1,基于应用标签的流量分类器设计:图3描述了基于应用标签的流量分类器的客户端和服务器端的模块关系,其关键在于服务器端标签规则库的生成。服务器端使用垂直搜索爬虫技术获取第三方手机应用平台的相关应用描述的原始数据。搜索引擎从原始数据中提取应用名称,爬取该应用官网描述,将官网描述与原始数据中的标签字段、应用描述字段进行关键字比对,以验证数据正确性。验证后的数据经分析分类,得到新增的标签规则并回传至客户端,追加添加到本地标签规则库中。该分类策略认为应用的标签与其提供的服务类型有着密切相关的联系,因此在服务器端使用爬虫引擎,收集这种“标签-类别”的映射关系,生成标签规则库,图3-2中标签规则库类别字段的0,1分别表示文本流量和非文本流量两种不同的类别,如将WPSOffice的应用标签“效率办公、文档、office、word、excel、ppt、pdf”映射为“文本”流量类别,如将酷狗音乐的应用标签“音乐、播放器、k歌、听歌、在线音乐、电台、铃声”映射为“音频”流量类别。上述两种映射关系是针对功能较单一的应用,如图例规则1和规则2,每种应用生成文本或非文本的唯一规则;又如将微信的应用标签“聊天、语音、聊天室、朋友圈、漂流瓶、摇一摇”映射为“文本”、“图像”、“音频”、“视频”流量类别,这种映射关系针对功能比较丰富的应用,如图例规则3和规则4,每种应用生成文本和非文本两条规则。基于应用标签的流量分类主要针对应用启动时,通过识别应用程序名称并匹配标签规则库,根据规则库中的类别对流量进行分类。该分类方法适用于功能相对单一的应用,对于功能比较丰富的应用,采用分类策略2进行识别。
分类策略2,基于用户行为的流量分类器设计:图4描述了基于用户行为的流分类器客户端与服务器端的模块关系,其关键在于协议特征库的收集。服务器端依次采用基于端口号、基于负载特征、基于统计特征的传统流量分类的三种方法,对流量进行识别;对于未能识别的流量,将结合应用的标签对其进行人工分类。分类策略2是对于分类策略1的一种补充,是一种对应用流量的更精细的划分,适用于功能丰富的应用。服务器端提取策略1未分类的流量样本,依次对流量的端口号、负载特征、统计特征进行分析。基于用户行为的流量分类使用了协议识别和机器学习的思想,通过传统的流量分类方法与基于统计的新型流量分类方法,能识别大部分流量服务类型,亦可能有少部分流量无法识别。对于无法识别的流量,可以结合分类策略1,通过分析应用标签和应用功能,人工给出一个该应用适当的流量类别。
应用案例:VPN服务的QoS保障:本发明提出的VPN协议对流量进行细分,对文本和图像、音频、视频设置了不同的压缩、加密级别,降低了移动终端VPN用于压缩解压、加密解密的计算开销,保证了移动终端VPN的QoS,提供了良好的用户体验。
示例:移动终端的VPN应用
解决方案:移动终端的VPN应用的设计思想可以采用图2的四层架构,在中间件层对移动设备流量进行细分,对文本非文本的流量采用不同强度的加密算法,保证安全接入互联网的同时,确保良好的用户体验。
移动设备的QoS框架:本发明提出的流量分类策略不仅使用于VPN服务的QoS保障,而且同样适用于移动设备所有应用的QoS保障。
示例:增加QoS管理器和QoS配置文件
解决方案:该QoS框架如图5所示,用户配置不同应用不同类型服务的优先级,QoS管理器加载配置文件,对实时分类结果进行筛选,确保优先级高的应用服务流量快速转发。
本发明提出的VPN协议可以对移动设备流量进行实时分类,可以对不同类型的流量采用不同强度的加密、压缩算法,有利于降低VPN在加解密、压缩解压花费计算开销。应用到移动设备后,会有显著效果,比如,该设计方案:支持移动设备流量的实时分类和分类加密;支持移动设备VPN服务的QoS保证;支持移动设备使用VPN安全接入互联网;随着移动设备应用的版本不断更新、种类不断增多,支持服务器端应用标签规则库和协议特征库的不断更新、增加;支持应用标签规则库的机器学习,即根据“应用名-标签-类别”推测新发布的应用功能、应用标签和流量类别;支持协议特征库用于解决其他移动终端的应用服务的流量识别需求。实用范围包括支持QoS的移动终端VPN应用,并将其用于移动设备任何时间、任何地点互联网的安全接入。应用前景十分广泛。对移动终端的流量进行细分,将原始流量根据服务类型划分成文本、图像、音频、视频四种流量,对文本流量进行压缩、强加密,对非文本流量进行弱加密,以降低移动设备的加密计算开销,提高VPN客户端的性能和用户体验。这种适用于移动设备的VPN协议的核心思想在于保证可靠加密传输服务的同时,保证VPN服务的服务质量(QualityofService,QoS)和良好的用户体验。
以上所述仅是对本发明的较佳实施方式而已,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任何简单修改,等同变化与修饰,均属于本发明技术方案的范围内。

Claims (3)

1.一种适用于移动设备的VPN协议,其特征在于:VPN客户端将智能终端流量通过流量分类器进行分类,分为文本数据和非文本数据,并针对文本数据进行强加密和压缩后再封装至VPN隧道,针对非文本数据进行弱加密再封装至VPN隧道,这一过程均在中间件层完成。
2.按照权利要求1所述一种适用于移动设备的VPN协议,其特征在于:所述非文本数据包括图像数据、音频数据和视频数据。
3.按照权利要求1所述一种适用于移动设备的VPN协议,其特征在于:所述流量分类器包括基于应用标签的流量分类器和基于用户行为的流量分类器;
基于应用标签的流量分类器设计方法:服务器端使用垂直搜索爬虫技术获取第三方手机应用平台的相关应用描述的原始数据,搜索引擎从原始数据中提取应用名称,爬取该应用官网描述,将官网描述与原始数据中的标签字段、应用描述字段进行关键字比对,以验证数据正确性,验证后的数据经分析分类,得到新增的标签规则并回传至客户端,追加添加到本地标签规则库中,生成标签规则库,通过识别应用程序名称并匹配标签规则库,根据规则库中的类别对流量进行分类;
基于用户行为的流量分类设计方法:服务器端提取基于应用标签的流量分类器未分类的流量样本,依次采用基于端口号、基于负载特征、基于统计特征的传统流量分类的三种方法,对流量进行识别;对于未能识别的流量,将结合应用的标签对其进行人工分类。
CN201510874885.2A 2015-07-29 2015-12-02 一种适用于移动设备的vpn协议 Active CN105610665B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510874885.2A CN105610665B (zh) 2015-07-29 2015-12-02 一种适用于移动设备的vpn协议

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510456754 2015-07-29
CN2015104567542 2015-07-29
CN201510874885.2A CN105610665B (zh) 2015-07-29 2015-12-02 一种适用于移动设备的vpn协议

Publications (2)

Publication Number Publication Date
CN105610665A true CN105610665A (zh) 2016-05-25
CN105610665B CN105610665B (zh) 2019-06-18

Family

ID=55990210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510874885.2A Active CN105610665B (zh) 2015-07-29 2015-12-02 一种适用于移动设备的vpn协议

Country Status (1)

Country Link
CN (1) CN105610665B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其系统
CN111310217A (zh) * 2020-02-26 2020-06-19 山东超越数控电子股份有限公司 数据安全采集汇总方法、计算机设备和存储介质
CN119402315A (zh) * 2024-11-01 2025-02-07 深圳市多酷科技有限公司 一种基于nat加速引擎实现数据流加速的方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309195A (zh) * 2008-06-18 2008-11-19 华为技术有限公司 一种在安全套接层虚拟专网保证服务质量的方法及装置
CN102143224A (zh) * 2011-01-25 2011-08-03 张金海 基于手机上网用户行为的分析方法和装置
CN102752220A (zh) * 2012-07-19 2012-10-24 杭州华三通信技术有限公司 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备
CN103780622A (zh) * 2014-01-24 2014-05-07 华中科技大学 一种面向云存储的数据分类加密方法
CN104090888A (zh) * 2013-12-10 2014-10-08 深圳市腾讯计算机系统有限公司 一种用户行为数据的分析方法和装置
CN104134046A (zh) * 2014-07-29 2014-11-05 深圳市中兴移动通信有限公司 加密方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101309195A (zh) * 2008-06-18 2008-11-19 华为技术有限公司 一种在安全套接层虚拟专网保证服务质量的方法及装置
CN102143224A (zh) * 2011-01-25 2011-08-03 张金海 基于手机上网用户行为的分析方法和装置
CN102752220A (zh) * 2012-07-19 2012-10-24 杭州华三通信技术有限公司 识别SSL VPN数据流的服务质量QoS业务类型的方法及设备
CN104090888A (zh) * 2013-12-10 2014-10-08 深圳市腾讯计算机系统有限公司 一种用户行为数据的分析方法和装置
CN103780622A (zh) * 2014-01-24 2014-05-07 华中科技大学 一种面向云存储的数据分类加密方法
CN104134046A (zh) * 2014-07-29 2014-11-05 深圳市中兴移动通信有限公司 加密方法和装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107070812A (zh) * 2017-05-02 2017-08-18 武汉绿色网络信息服务有限责任公司 一种https协议分析方法及其系统
CN111310217A (zh) * 2020-02-26 2020-06-19 山东超越数控电子股份有限公司 数据安全采集汇总方法、计算机设备和存储介质
CN119402315A (zh) * 2024-11-01 2025-02-07 深圳市多酷科技有限公司 一种基于nat加速引擎实现数据流加速的方法及系统

Also Published As

Publication number Publication date
CN105610665B (zh) 2019-06-18

Similar Documents

Publication Publication Date Title
Wang et al. End-to-end encrypted traffic classification with one-dimensional convolution neural networks
Chen et al. Cognitive information measurements: A new perspective
US20250234271A1 (en) Network provisioning
CN111211980B (zh) 传输链路管理方法、装置、电子设备及存储介质
CN111277543B (zh) 信息同步方法、认证方法及装置
CN110417729B (zh) 一种加密流量的服务与应用分类方法及系统
US9787581B2 (en) Secure data flow open information analytics
CN102571946B (zh) 一种基于对等网络的协议识别与控制系统的实现方法
CN104394211A (zh) 一种基于Hadoop用户行为分析系统设计与实现方法
WO2014094420A1 (zh) 一种报文的处理方法和装置
Chiu et al. CAPC: Packet-based network service classifier with convolutional autoencoder
CN105610665A (zh) 一种适用于移动设备的vpn协议
CN118740428A (zh) 一种基于Transformer的综合特征网络流量分类方法
CN115086242B (zh) 加密数据包识别方法、装置与电子设备
WO2024060906A1 (zh) 联邦学习系统的数据处理方法、装置、计算机及可读存储介质
CN111340243B (zh) 用于联盟学习的方法、装置及联盟学习系统
CN104363187B (zh) 一种物联网网关资源响应方法和装置
Sahraoui et al. LearnPhi: A real-time learning model for early prediction of phishing attacks in IoV
CN110674436A (zh) 一种基于浏览器的数据处理方法和装置
US10637973B2 (en) Differentiated services for protocol suitable network virtualization overlays
JP2022007690A (ja) ネットワークサービスシステム、ネットワーク管理方法およびコンピュータプログラム
CN116668377A (zh) 一种vpn加密流量业务分类装置及方法
CN116938480A (zh) Tor匿名流量识别方法、装置、电子设备和程序产品
Yang et al. Semisupervised graph neural networks for traffic classification in edge networks
US10863333B2 (en) Federated insertion of 3rd party software as a service for network slices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CB03 Change of inventor or designer information

Inventor after: Fu Chunle

Inventor after: Sun Yunxiao

Inventor after: Wang Bailing

Inventor after: He Qinggang

Inventor after: Liu Yang

Inventor after: Zhang Zhao

Inventor before: Fu Chunle

Inventor before: He Qinggang

Inventor before: Sun Yunxiao

Inventor before: Wang Bailing

Inventor before: Liu Yang

Inventor before: Zhang Zhao

CB03 Change of inventor or designer information
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载