專利名稱：：用于移動設(shè)備的具有快速重新連接的vpn網(wǎng)絡(luò)客戶端的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及蜂窩網(wǎng)絡(luò)，更具體地，涉及基于蜂窩的網(wǎng)絡(luò)數(shù)據(jù)服務。
背景技術(shù)：
：近來，使用蜂窩移動設(shè)備來接入計算機數(shù)據(jù)網(wǎng)絡(luò)急劇增加。這些通常被稱為“智能”手機的移動設(shè)備為蜂窩電話呼叫以及對計算機數(shù)據(jù)服務的基于蜂窩的接入這兩者提供平臺。例如，典型的蜂窩無線接入網(wǎng)絡(luò)是小區(qū)的集合，每個小區(qū)均包括能夠向用戶的移動設(shè)備傳輸和中繼無線電信號的基站?！靶^(qū)”通常表示蜂窩網(wǎng)絡(luò)的獨立區(qū)域，其利用特定頻率或頻率范圍來傳輸數(shù)據(jù)。典型的基站是多個天線附至其的塔，該多個天線通過特定頻率傳輸和接收數(shù)據(jù)。移動設(shè)備能夠以指定頻率將無線電信號傳輸至基站以發(fā)起蜂窩電話呼叫或基于分組的數(shù)據(jù)服務。關(guān)于數(shù)據(jù)服務，蜂窩服務提供商將在基站處從移動設(shè)備接收的蜂窩信號(例如，時分多址(TDMA)信號、正交頻分復用(OFDM)信號或碼分多址(CDMA)信號)轉(zhuǎn)換為用于在基于分組的網(wǎng)絡(luò)內(nèi)傳輸?shù)幕ヂ?lián)網(wǎng)協(xié)議(IP)包。蜂窩移動設(shè)備的普遍使用和來自世界各地的用戶對于快速、安全網(wǎng)絡(luò)接入的日益增加的期望向企業(yè)提出了許多挑戰(zhàn)。即使在所有期望的蜂窩移動設(shè)備平臺上實現(xiàn)基本的連接也可能是巨大挑戰(zhàn)。以簡單的終端用戶體驗實現(xiàn)安全連接可能更有挑戰(zhàn)性。例如，對于用于計算機數(shù)據(jù)服務的蜂窩移動設(shè)備的急劇增加的使用已使服務提供商和企業(yè)網(wǎng)絡(luò)受到由誤配置設(shè)備引入的增加的安全風險的影響。由于用戶往往缺乏技術(shù)經(jīng)驗，因此包括蜂窩移動設(shè)備的端點設(shè)備經(jīng)常被誤配置。即，用戶可能意外地安裝病毒、間諜軟件或可潛在地損害端點設(shè)備的功能或危及該端點所耦合的計算機網(wǎng)絡(luò)的安全的其他軟件。一旦受到影響，端點設(shè)備就可能無意地將惡意軟件傳播至服務器并可能傳播至其他端點設(shè)備。隨著大量不同的端點安全及連接軟件應用程序被添加至每個終端用戶移動設(shè)備，增加了問題和網(wǎng)絡(luò)沖突的可能性。當前對于信息技術(shù)(IT)工作人員來說，在不需要最終用戶與復雜技術(shù)的顯著交互的情況下，實現(xiàn)對于來自任何設(shè)備、任何時間、從虛擬的任何地方的用戶的網(wǎng)絡(luò)連接是非常困難的。
發(fā)明內(nèi)容總體而言，描述了用于蜂窩移動設(shè)備的集成、多服務網(wǎng)絡(luò)客戶端。例如，描述了以下技術(shù)通過該技術(shù)可容易地在移動網(wǎng)絡(luò)設(shè)備上部署單個軟件包，以提供集成安全企業(yè)虛擬專用網(wǎng)絡(luò)(VPN)連接、網(wǎng)絡(luò)加速、包括監(jiān)控和強制端點一致的安全管理、以及協(xié)同服務。集成的多服務客戶端可被部署為可從移動設(shè)備制造商提供的標準應用程序(“app”)部署機制(諸如，電子商店或用于用戶應用程序的其他信息庫)下載的單個包。一旦安裝在蜂窩移動設(shè)備上，多服務客戶端就與設(shè)備的操作系統(tǒng)集成以為安全企業(yè)連接的用戶認證、包括關(guān)于反病毒和間諜軟件的端點一致的端點安全服務、加速、以及全面完整性檢查提供單個進入點。多服務客戶端提供對于集成服務的公共用戶接口，并提供作為要將集成服務應用至此的網(wǎng)絡(luò)流量的進入點工作的VPN處理機(VPNhandler)0多服務客戶端允許企業(yè)和服務提供商的IT人員減少所需要的并安裝在雇員設(shè)備上的軟件代理的數(shù)量，從而使?jié)撛诘能浖_突最小化并降低部署成本。此外，如果需要附加的軟件、附件、或其他能力用于連接，則多服務網(wǎng)絡(luò)客戶端可以在沒有任何最終用戶或管理員交互的情況下自動下載并安裝這些部件。以這種方式，本文所描述的多服務網(wǎng)絡(luò)客戶端可將多個服務集成至單一的、綜合的、多服務客戶端，因此簡化了網(wǎng)絡(luò)客戶端的維護、管理和部署。企業(yè)可以不必再處理單獨管理和施行的代理。此外，該技術(shù)可以簡化最終用戶體驗并降低幫助臺時間和管理費用。在一個方面中，蜂窩移動設(shè)備包括發(fā)射器和接收器，用于發(fā)送和接收射頻信號形式的蜂窩通信、微處理器、以及在微處理器上運行以建立與遠程VPN安全設(shè)備的安全VPN連接的虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)客戶端。VPN網(wǎng)絡(luò)客戶端處理網(wǎng)絡(luò)包用于在蜂窩移動設(shè)備與遠程VPN安全設(shè)備之間安全地隧道傳輸網(wǎng)絡(luò)包。VPN網(wǎng)絡(luò)客戶端建立與安全VPN網(wǎng)關(guān)的安全控制通道用于安全VPN連接，并且一旦成功認證就接收具有唯一標識符的會話小文件。如果與安全VPN網(wǎng)關(guān)的通信暫時丟失，則VPN網(wǎng)絡(luò)客戶端通過將會話小文件通信至安全VPN網(wǎng)關(guān)執(zhí)行快速重新連接而不需要重新認證蜂窩移動設(shè)備。在執(zhí)行快速重新連接之前，VPN網(wǎng)絡(luò)客戶端識別當前對于蜂窩移動設(shè)備可用的傳輸機制集合，并且當只有蜂窩網(wǎng)絡(luò)可用并且無線基于分組的連接不可用時，VPN網(wǎng)絡(luò)客戶端推遲快速重新連接，直到從用戶應用程序接收應用層數(shù)據(jù)并準備經(jīng)由VPN連接將該應用層數(shù)據(jù)發(fā)送至遠程VPN安全設(shè)備。在另一方面，一種方法，包括在移動蜂窩設(shè)備的處理器上運行虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)客戶端，利用VPN網(wǎng)絡(luò)客戶端建立與安全VPN網(wǎng)關(guān)的安全VPN連接，一旦成功認證，就利用VPN客戶端從安全VPN網(wǎng)關(guān)接收具有唯一標識符的會話小文件。該方法還包括利用VPN網(wǎng)絡(luò)客戶端檢測與安全VPN網(wǎng)關(guān)的通信是否暫時丟失，并且作為響應識別當前可用于蜂窩移動設(shè)備的傳輸機制集合。該方法還包括，當無線局域網(wǎng)連接可用于蜂窩移動設(shè)備時，通過將會話小文件經(jīng)由無線基于分組的網(wǎng)絡(luò)連接通信至安全VPN網(wǎng)關(guān)來執(zhí)行快速重新連接而不需要重新認證蜂窩移動設(shè)備。根據(jù)該方法，當只有蜂窩基于分組的網(wǎng)絡(luò)連接可用于蜂窩移動設(shè)備并無線局域網(wǎng)連接不可用時，推遲快速重新連接，直到從用戶應用程序接收應用層數(shù)據(jù)并準備將該應用層數(shù)據(jù)通過蜂窩基于分組的網(wǎng)絡(luò)連接經(jīng)由VPN連接發(fā)送至遠程VPN安全設(shè)備。在附圖和以下描述中闡述本發(fā)明的一個或多個實施方式的細節(jié)。本發(fā)明的其他特征、目標和優(yōu)點將從描述和附圖以及權(quán)利要求變得顯而易見。圖1是示出了示例性系統(tǒng)的框圖，在該系統(tǒng)中企業(yè)的安全VPN網(wǎng)關(guān)為端點計算設(shè)備和蜂窩移動設(shè)備這兩者提供對于企業(yè)網(wǎng)絡(luò)的保護資源的安全接入；圖2示出了當經(jīng)由端點計算設(shè)備接入安全VPN網(wǎng)關(guān)時經(jīng)由網(wǎng)絡(luò)瀏覽器呈現(xiàn)給用戶的示例性登錄網(wǎng)頁；圖3示出了當經(jīng)由端點計算設(shè)備接入安全VPN網(wǎng)關(guān)時經(jīng)由網(wǎng)絡(luò)瀏覽器呈現(xiàn)給用戶的示例性用戶主頁網(wǎng)頁；圖4A是具有根據(jù)本文所描述技術(shù)的多服務網(wǎng)絡(luò)客戶端的蜂窩移動設(shè)備的示例性實施方式的框圖；圖4B是具有根據(jù)本文所描述技術(shù)的多服務網(wǎng)絡(luò)客戶端的蜂窩移動設(shè)備的第二示例性實施方式的框圖；圖4C是圖1的計算系統(tǒng)的另一框圖并示出了利用多服務網(wǎng)絡(luò)客戶端用于企業(yè)連接和非企業(yè)連接這兩者的示例性移動設(shè)備；圖5至圖14是示出蜂窩移動設(shè)備的一個實施方式的前視圖并示出由部署在蜂窩移動設(shè)備上的多服務網(wǎng)絡(luò)客戶端所呈現(xiàn)的多個顯示的示意圖；以及圖15是由安全VPN網(wǎng)關(guān)呈現(xiàn)的示例性用戶界面190。具體實施例方式圖1是示例性系統(tǒng)10的框圖，其中，安全VPN網(wǎng)關(guān)12提供對企業(yè)網(wǎng)絡(luò)16的保護資源14的安全接入。即，安全VPN網(wǎng)關(guān)12實現(xiàn)對于企業(yè)網(wǎng)絡(luò)16所提供資源的安全且受控的接入。例如，端點計算設(shè)備(“E⑶”)18A至18M以及蜂窩移動設(shè)備19A至19N經(jīng)由服務提供商網(wǎng)絡(luò)20和中間分組數(shù)據(jù)網(wǎng)絡(luò)21(諸如，互聯(lián)網(wǎng))遠程接入企業(yè)網(wǎng)絡(luò)16。在一個實施例中，安全VPN網(wǎng)關(guān)12是向客戶端提供VPN服務的安全套接字層VPN(SSLVPN)設(shè)備。關(guān)于SSLVPN設(shè)備和操作的進一步細節(jié)可以在“JuniperNetworksSecureAccessAdministrationGuide,Release6.5,"JuniperNetwoks,Inc.,2008中找到，其全部內(nèi)容通過引用結(jié)合于此。安全VPN網(wǎng)關(guān)12可以是獨立裝置或可寄駐在一個或多個其他設(shè)備上，諸如入侵檢測和防御(IDP)系統(tǒng)、防火墻、統(tǒng)一威脅管理(UTM)設(shè)備、路由器或其他網(wǎng)絡(luò)設(shè)備。企業(yè)網(wǎng)絡(luò)16提供對僅企業(yè)的某些授權(quán)用戶可訪問的敏感數(shù)據(jù)和服務的接入。用戶可通過對安全VPN網(wǎng)關(guān)12的認證并建立通過服務提供商網(wǎng)絡(luò)20的通信信道來訪問企業(yè)網(wǎng)絡(luò)16。以這種方式，企業(yè)管理員可使用安全VPN網(wǎng)關(guān)12以基于雇員授權(quán)來辨別單獨雇員對企業(yè)網(wǎng)絡(luò)16的訪問。以這種方式，系統(tǒng)10實現(xiàn)了對于企業(yè)網(wǎng)絡(luò)16的保護資源14的遠程訪問。例如，每個保護資源14可以是Web服務器、應用服務器、數(shù)據(jù)庫服務器、文件服務器、應用程序、雇員工作站、本地消息或電子郵件客戶端、或其他電子資源。在該實施例中，端點計算設(shè)備18可以是個人計算機、筆記本電腦或與單個雇員或其他授權(quán)用戶相關(guān)的其他類型的計算設(shè)備。相反地，蜂窩移動設(shè)備19為蜂窩電話呼叫和對于計算機數(shù)據(jù)服務基于蜂窩的訪問這兩者提供平臺。即，每個移動設(shè)備19均是能夠進行蜂窩通信的無線通信設(shè)備。例如，移動設(shè)備19可包括移動電話、具有(例如)3G無線卡的筆記本電腦或臺式電腦、無線功能的上網(wǎng)本、視頻游戲設(shè)備、尋呼機、智能電話或個人數(shù)據(jù)助理(PDA)。每個移動設(shè)備19均可運行諸如移動呼叫、視頻游戲、視頻會議和電子郵件等一個或多個應用程序。服務提供商網(wǎng)絡(luò)20還向移動設(shè)備19提供網(wǎng)絡(luò)訪問、數(shù)據(jù)傳輸和其他服務。服務提供商網(wǎng)絡(luò)20包括無線接入網(wǎng)絡(luò)25，其中，一個或多個基站經(jīng)由無線電信號與移動設(shè)備19進行通信?；爻叹W(wǎng)絡(luò)(“BN”)27是使無線接入網(wǎng)絡(luò)的基站能夠與服務提供商的移動核心網(wǎng)絡(luò)31交換分組化數(shù)據(jù)，并最終與寬帶網(wǎng)絡(luò)四和分組數(shù)據(jù)網(wǎng)絡(luò)21進行通信的傳輸網(wǎng)絡(luò)?；爻叹W(wǎng)絡(luò)27通常包括由通信鏈路(諸如租用的陸地線路或點對點微波通信連接)互連的通信節(jié)點。通信節(jié)點包括執(zhí)行一個或多個協(xié)議以在基站與移動核心網(wǎng)絡(luò)31的網(wǎng)關(guān)設(shè)備(“GW”08之間路由包的網(wǎng)絡(luò)、集合和交換元件。在各個方面，回程網(wǎng)絡(luò)27可包括根據(jù)相關(guān)標準設(shè)定團體(例如，3GPP)所提出的各個無線接入網(wǎng)絡(luò)標準運行的通用移動電話服務(UMTS)陸地無線接入網(wǎng)絡(luò)(UTRAN)或GSM無線接入網(wǎng)絡(luò)(GRAN)。移動核心網(wǎng)絡(luò)31提供在回程網(wǎng)絡(luò)27與寬帶網(wǎng)絡(luò)四之間的傳輸服務、會話管理、以及移動管理，以支持通過移動設(shè)備19對于分組數(shù)據(jù)網(wǎng)絡(luò)21和保護資源14服務的接入。例如，移動核心網(wǎng)絡(luò)31可包括通用分組無線業(yè)務(GPRQ核心分組交換網(wǎng)絡(luò)、GPRS核心電路交換網(wǎng)絡(luò)、基于IP的移動多媒體核心網(wǎng)絡(luò)、或另一種類型的傳輸網(wǎng)絡(luò)。移動核心網(wǎng)絡(luò)31包括一個或多個包處理節(jié)點以支持用于遍歷移動核心網(wǎng)絡(luò)的移動業(yè)務的防火墻、負載均衡、計費、深度包檢測(DPI)、和其他服務。在圖1的實施例中，端點計算設(shè)備18經(jīng)由網(wǎng)絡(luò)交換機38連接至網(wǎng)絡(luò)接入設(shè)備36。在一個實施方式中，網(wǎng)絡(luò)交換機38可包括數(shù)字用戶線路接入復用器(DSLAM)或其他交換設(shè)備。每個端點計算設(shè)備18均可利用諸如在ATM上的點到點協(xié)議或在以太網(wǎng)上的點到點協(xié)議(PPPoE)的點到點協(xié)議(PPP)，以與網(wǎng)絡(luò)交換機38進行通信。例如，使用PPP，一個端點計算設(shè)備18可請求對于寬帶網(wǎng)絡(luò)四的接入，并提供諸如用戶名和密碼的登錄信息用于認證設(shè)備(“AD”)30的認證。在諸如將端點計算設(shè)備18與網(wǎng)絡(luò)交換機38連接的數(shù)字用戶線(DSL)上可支持PPP。在其他實施方式中，端點計算設(shè)備18可利用非PPP協(xié)議以與網(wǎng)絡(luò)交換機38進行通信。其他實施方式還可使用除了DSL線之外的其他線路(諸如在Tl、T3上的以太網(wǎng)或其他訪問鏈路)。網(wǎng)絡(luò)交換機38可以在支持各種協(xié)議的物理接口(例如，支持ATM協(xié)議的ATM接口)上與網(wǎng)絡(luò)接入設(shè)備36進行通信。網(wǎng)絡(luò)接入設(shè)備36通常包括寬帶遠程接入服務器(BRAS)功能以將來自交換機的輸出聚集至寬帶網(wǎng)絡(luò)四的高速上行鏈路。在一些實施方式中，網(wǎng)絡(luò)接入設(shè)備36可包括保持了端點計算設(shè)備18與寬帶網(wǎng)絡(luò)四之間路由信息的路由器。安全VPN網(wǎng)關(guān)12在端點計算設(shè)備18以及移動設(shè)備19的接入與保護資源14之間起媒介作用。在一個實施例中，安全VPN網(wǎng)關(guān)12終止在TCP/IP模型或開放系統(tǒng)互連(OSI)參考模型的應用層處的入站接入請求和連接。在該實施例中，安全VPN網(wǎng)關(guān)12作為應用層代理進行操作以保護受保護的資源14免于直接暴露于分組數(shù)據(jù)網(wǎng)絡(luò)21。安全VPN網(wǎng)關(guān)12接收在包中封裝的入站接入請求，并對接入請求進行解封裝以得到底層應用數(shù)據(jù)，并將包括接入請求的應用數(shù)據(jù)發(fā)送至被請求的保護資源14。在另一個實施例中，安全VPN網(wǎng)關(guān)12允許OSI參考模型或TCP/IP模型層之間的直接連接。在該實施例中，安全VPN網(wǎng)關(guān)12使用與請求的一個端點計算設(shè)備18或移動設(shè)備19協(xié)商的安全信道交換數(shù)據(jù)。安全VPN網(wǎng)關(guān)12經(jīng)由安全信道接收安全請求，并代表請求客戶端對一個適當?shù)谋Ｗo資源14做出請求，以建立請求設(shè)備與被請求的保護資源14之間的數(shù)據(jù)連接。為了訪問企業(yè)網(wǎng)絡(luò)16內(nèi)的保護資源14，端點計算設(shè)備18或移動設(shè)備19建立對于安全VPN網(wǎng)關(guān)12的數(shù)據(jù)連接。例如，每個數(shù)據(jù)連接均可包括符合諸如安全套接字層(SSL)8或互聯(lián)網(wǎng)協(xié)議安全(IPkc)協(xié)議的安全方案的安全數(shù)據(jù)連接。即，SSLVPN可用于在面向?qū)?連接的協(xié)議(例如，傳輸控制協(xié)議(TCP))的頂部隧道傳輸IP包?？商鎿Q地，可建立IPSecVPN以在無連接協(xié)議(例如，IP或用戶數(shù)據(jù)報協(xié)議(UDP))的頂部隧道傳輸加密的IP包，即，封裝安全有效負載(ESP)包。在任何情況下，安全VPN網(wǎng)關(guān)12可要求用戶證書以建立認證和授權(quán)。例如，證書可包括用戶名密碼對、生物特征識別符、存儲在智能卡上的數(shù)據(jù)、一次性密碼令牌或數(shù)字證書?；谒峁┑淖C書，安全VPN網(wǎng)關(guān)12授權(quán)或拒絕對于企業(yè)網(wǎng)絡(luò)16的接入。安全VPN網(wǎng)關(guān)12可使用認證、授權(quán)和記帳(AAA)服務器對證書進行認證。AAA服務器可在安全VPN網(wǎng)關(guān)12或單獨的網(wǎng)絡(luò)設(shè)備上運行，并例如可以是遠程認證撥入用戶服務(RADIUQ服務器。安全VPN網(wǎng)關(guān)12和遠程設(shè)備也可協(xié)商數(shù)據(jù)連接14的其他方面，其確保安全，包括加密算法的類型/版本，以及用于對經(jīng)由數(shù)據(jù)連接14傳輸?shù)臄?shù)據(jù)進行加密/解密的對稱密鑰。當接入企業(yè)網(wǎng)絡(luò)16時，與一個端點計算設(shè)備18相關(guān)的用戶可將端點計算設(shè)備上運行的web瀏覽器指向與企業(yè)相關(guān)的地址統(tǒng)一資源定位符(URL)。在這種情況下，安全VPN網(wǎng)關(guān)12經(jīng)由web瀏覽器在端點計算設(shè)備上呈現(xiàn)網(wǎng)頁以獲得來自用戶的、所需的證書。圖2示出當經(jīng)由端點計算設(shè)備18接入安全VPN網(wǎng)關(guān)12時經(jīng)由web瀏覽器呈現(xiàn)給用戶的示例性登錄網(wǎng)頁。一旦認證正確，安全VPN網(wǎng)關(guān)12就經(jīng)由web瀏覽器在端點計算設(shè)備上呈現(xiàn)默認用戶主網(wǎng)頁。圖3示出當經(jīng)由端點計算設(shè)備18接入安全VPN網(wǎng)關(guān)12時經(jīng)由web瀏覽器呈現(xiàn)給用戶的示例性用戶主網(wǎng)頁。如圖3所示，網(wǎng)頁呈現(xiàn)了允許用戶使用HTTP鏈接容易地導航保護資源14的書簽列表。在該實施例中，圖3示出對企業(yè)提供的內(nèi)聯(lián)網(wǎng)文件服務器的第一鏈接42以及對用于用戶的企業(yè)網(wǎng)頁郵件(webmail)的第二鏈接44。如本文所描述的，蜂窩移動設(shè)備19均包括多服務網(wǎng)絡(luò)客戶端，在其他服務中，該多服務網(wǎng)絡(luò)客戶端允許通過服務提供商網(wǎng)絡(luò)20的無線接入網(wǎng)絡(luò)25容易地提供和建立安全VPN連接。運行在移動設(shè)備19上的其他應用程序可利用VPN連接以訪問保護資源14所提供的服務。即，蜂窩移動設(shè)備19和安全VPN網(wǎng)關(guān)12向運行在移動設(shè)備上的應用程序提供安全VPN服務。在一個實施例中，每個移動設(shè)備19均包括了以簡化用戶體驗的方式提供集成的、任何時間/任何地點的連接、加速和安全的安全接入應用程序。例如，一旦下載了該安全接入應用程序，移動設(shè)備19的用戶就可不再需要與網(wǎng)絡(luò)接入和安全軟件進行交互。從任何位置，用戶僅提供他們的證書并且安全接入應用程序與安全VPN網(wǎng)關(guān)12交互以處理所有配置和部署。因此，移動設(shè)備19上的安全接入軟件使移動設(shè)備和智能電話能夠快速、簡單、安全地接入企業(yè)網(wǎng)絡(luò)和基于云的數(shù)據(jù)以及應用程序。在配置移動手持設(shè)備接入時，企業(yè)和服務提供商可以部署粒度角色(granularrole)和基于設(shè)備的安全策略。在一個實施例中，移動設(shè)備19上的安全接入軟件為VPN遠程接入、WAN加速和端點一致提供單個、統(tǒng)一客戶端。安全接入軟件可消除部署、配置和維護單獨客戶端的管理負擔和費用。在某些情況下，移動設(shè)備19上的安全接入軟件可使用位置感知智能會話遷移以自動傳遞加速的、安全的、任何時間/任何地點的網(wǎng)絡(luò)和應用程序訪問。例如，該軟件可基于用戶的位置無縫地從一種接入方法遷移到另一種，并基于用戶身份和角色來加速對于網(wǎng)絡(luò)資源的安全訪問。圖4A是根據(jù)本文所述技術(shù)進行操作的移動設(shè)備19的示例性實施方式的框圖。在該實施例中，移動設(shè)備19包括為設(shè)備操作提供核心功能的硬件62。硬件62可包括一個或多個可編程微處理器70，該可編程微處理器被配置為根據(jù)通常存儲在計算機可讀介質(zhì)(諸如，靜態(tài)隨機存取存儲器(SRAM)設(shè)備或閃存設(shè)備)中的可執(zhí)行指令(即，程序代碼)進行操作。發(fā)射器72和接收器74經(jīng)由諸如高頻射頻(RF)信號的無線通信(wirelesscommunication)與其他通信設(shè)備進行通信。硬件62可包括附加的分立的數(shù)字邏輯或模擬電路。操作系統(tǒng)64在微處理器70上運行并為一個或多個應用程序(通常稱為“app”)提供操作環(huán)境。0/S接口66證明軟件的接口層能夠?qū)Σ僮飨到y(tǒng)64進行內(nèi)核調(diào)用。換句話說，0/S接口66提供構(gòu)架，在該構(gòu)架內(nèi)VPN處理機68操作并可(例如)允許VPN處理機68在移動設(shè)備19提供的操作環(huán)境的“用戶”空間內(nèi)運行。0/S接口66可允許其他形式的協(xié)議處理機“插入”以用于與操作系統(tǒng)64接口。0/S接口66與操作系統(tǒng)64交互以為協(xié)議專用處理機提供OS級支持。例如，0/S接口66可提供對于OSI棧的低層級訪問，用于將包路由至VPN連接并路由來自VPN連接的包，確保正確設(shè)置用于VPN的DNS解析器等。如圖4A所示，0/S接口66向用于處理的VPN處理機68路由入站低層包和出站應用層通信。此時，VPN處理程序68向操作系統(tǒng)64注冊以向網(wǎng)絡(luò)業(yè)務提供單個進入點，使得透明地應用VPN服務和安全服務，而無需要求多個代理向操作系統(tǒng)64注冊或單獨管理那些代理。在一些情況下，用于VPN處理機68、VPN控制應用程序80和安全管理器84的可執(zhí)行代碼可以分布為單個分發(fā)包67，其可從移動設(shè)備19的制造商提供的標準“應用程序”部署機制(諸如由與電子商店或用于用戶應用程序的其他信息庫相關(guān)的服務器提供)下載。即，VPN處理機68、VPN控制應用程序80和安全管理器84可集成為用于移動設(shè)備19的多服務客戶端以允許方便部署。例如，蜂窩移動設(shè)備上的應用管理實用程序可向服務器發(fā)布請求，作為響應，接收用于在移動設(shè)備上處理和安裝的分發(fā)包。VPN處理機68提供用于經(jīng)由安全VPN網(wǎng)關(guān)12接入企業(yè)網(wǎng)絡(luò)16的所有低層級通信處理。例如，VPN處理機68處理VPN網(wǎng)關(guān)12的交互和認證、建立和解構(gòu)符合安全方案(諸如SSL或IPSec協(xié)議)的安全數(shù)據(jù)連接、以及要被隧道傳輸?shù)募用艹稣景男纬珊吞幚砣胝景越饷軓乃淼澜邮盏哪切┌?。在一個實施方式中，VPN處理機68支持SSL和IPSec協(xié)議這兩者，并且正如下面更詳細描述的，其取決于連接至VPN網(wǎng)關(guān)12的VPN的狀態(tài)可智能且動態(tài)地在兩者之間切換。VPN控制應用程序80提供用戶接口，通過該接口用戶能夠配置和管理VPN處理機68以及集成在多服務客戶端內(nèi)的、包括安全管理器84的其他服務。例如，VPN控制應用程序80允許用戶提交證書并指示VPN處理機68動態(tài)實例化與安全VPN網(wǎng)關(guān)12的安全VPN連接或解構(gòu)現(xiàn)有的VPN連接。在一個實施方式中，VPN控制應用程序80提供對與安全VPN網(wǎng)關(guān)12的通信進行翻譯的接口，使得通常可通過web瀏覽器(例如，以上圖2和3所述)用于用戶的信息被動態(tài)表現(xiàn)在能夠在移動設(shè)備19上以原始格式呈現(xiàn)的用戶接口中。換句話說，在該實施例中，VPN控制應用程序80可動態(tài)解析來自安全VPN網(wǎng)關(guān)12的超文本傳輸協(xié)議安全(HTTPS)響應的HTML鏈接和其他信息，并使用移動設(shè)備19本地的輸入機制(例如，圖標、單選按鈕)在該設(shè)備上表現(xiàn)適合顯示的窗口。一旦創(chuàng)建與安全VPN網(wǎng)關(guān)12的安全VPN連接，用戶就可以與VPN處理機68的U/I直接交互，好像用戶正在經(jīng)由HTML網(wǎng)頁訪問他或她的、由VPN網(wǎng)關(guān)12正常呈現(xiàn)的默認網(wǎng)頁的情況。例如，用戶可與VPN處理機68交互以選擇被動態(tài)構(gòu)造為對應用戶主網(wǎng)頁的HTML書簽的圖標。例如，用戶可以使用對應于管理員定義的鏈接44的輸入按鈕以訪問網(wǎng)頁郵件，好像用戶正在使用網(wǎng)絡(luò)瀏覽器。然而，取代當經(jīng)由端點計算設(shè)備18接入VPN網(wǎng)關(guān)12時經(jīng)由web瀏覽器查看郵件，VPN處理機68可啟動由移動設(shè)備19提供的、并因此位于該移動設(shè)備本地的電子郵件應用程序，好像電子郵件書簽連同基于網(wǎng)絡(luò)的主頁被用戶選擇。除了使用VPN處理機68以外，用戶還能夠啟動可被部署在移動設(shè)備19上用于通過VPN連接訪問保護資源14的其他應用程序82。在這種情況下，VPN處理機68從經(jīng)由0/S接口66重定向至VPN處理機的用戶應用程序82接收應用層數(shù)據(jù)。VPN處理機68將應用層數(shù)據(jù)封裝至安全包以用于通過VPN連接的隧道傳輸，并將該安全包返回至操作系統(tǒng)64，用于經(jīng)由無線電信號經(jīng)由發(fā)射器72輸出。VPN處理機68從操作系統(tǒng)64接收與VPN連接相關(guān)的入站包，處理安全包以提取和重組應用層數(shù)據(jù)，并將應用層數(shù)據(jù)傳送至用戶應用程序82。以這種方式，VPN處理機68可用作從移動設(shè)備和端點計算設(shè)備等進行安全企業(yè)訪問的單個進入點，而不需要對于不同類型應用程序的單獨支持。在一個實施方式中，VPN處理機68保持VPN連接，即使在VPN控制應用程序80退出之后。因此，為了允許其他用戶應用程序82利用隧道，VPN控制應用程序80不必是有效的。VPN處理機68可被配置為如果移動設(shè)備19進入睡眠則自動拆除VPN連接。當喚醒移動設(shè)備19時，VPN處理機68自動將VPN連接變?yōu)橛行顟B(tài)。在某些情況下，VPN處理機68監(jiān)控VPN連接上的業(yè)務流量，以檢測空閑VPN連接并在用戶可配置的空閑時間量之后自動斷開VPN連接。在某些實施方式中，以預定義的、自定義的URL格式向操作系統(tǒng)64注冊VPN處理機68。當其他用戶應用程序82直接調(diào)用0/S接口以“啟動(launch)”符合這些特殊格式的URL時，操作系統(tǒng)64自動啟動注冊該URL格式的應用程序。在一個實施例中，VPN處理機68利用如下形式注冊自定義URL格式j(luò)unospulse//<server-host>/<server-path>？method={vpn}&action={startstop}&DSID=<dsid-cookie>&SMSESSION=<smsession_cookie>。當另一應用程序82“啟動”該URL時，操作系統(tǒng)64載入(如果需要)VPN處理機68，并使用在特定URL中傳遞的回調(diào)函數(shù)調(diào)用VPN處理機。此時，VPN處理機68確定是否已建立VPN連接。如果當前沒有建立VPN隧道并且標記doCormect為“1”，則VPN處理機68自動確定是否存在具有與從操作系統(tǒng)64接收的URL相匹配的URL的VPN配置文件。如果沒有，那么VPN處理機68使用傳入的URL自動創(chuàng)建新的VPN配置文件。如果在從操作系統(tǒng)64接收的啟動URL中指定會話小文件(sessioncookie)，則VPN處理機68使用給定的會話小文件建立新的VPN隧道。如果在啟動URL中沒有指定會話小文件，則VPN處理機68以正常進程接入安全VPN網(wǎng)關(guān)12，并且用戶經(jīng)過正常登錄過程。如果VPN處理機68確認已建立VPN隧道并且啟動URL的“redirectOnConnected”被設(shè)置為“1”，則VPN處理機68可重定向至web瀏覽器應用程序或其他默認的一個應用程序82的執(zhí)行，并退出而沒有拆除隧道。安全模塊84是由多服務客戶端提供的軟件線程，在其被安裝的情況下該安全模塊通過操作系統(tǒng)64在背景中連續(xù)執(zhí)行，以為移動設(shè)備19提供某些安全功能。作為一個實施例，安全管理器84可為移動設(shè)備提供反病毒和間諜軟件檢測功能，并且VPN處理機68將業(yè)務透明地分流至安全模塊用于應用安全服務。VPN控制應用程序80可提供用于配置反病毒設(shè)置、個人防火墻設(shè)置以及與安全模塊84相關(guān)的其他參數(shù)的用戶接口。此外，根據(jù)本文所述技術(shù)，VPN處理機68向安全管理器84注冊，并且安全管理器將最新安全信息提供至VPN處理機。此外，在允許建立與VPN網(wǎng)關(guān)12的VPN連接之前，VPN處理機68可本地要求有效的、注冊的反病毒和間諜軟件和最新的病毒定義。在登錄和認證處理期間，可以由從VPN網(wǎng)關(guān)12接收的策略來控制該本地執(zhí)行。在某些實施方式中，在用于處理并確定有關(guān)移動設(shè)備19是否與企業(yè)策略(policy)兼容的登錄時，VPN處理機68合并“主機檢查器”模塊，其盤存(inventory)移動設(shè)備19的狀態(tài)、建立健康狀況報告、并將健康狀況報告?zhèn)魉椭罺PN網(wǎng)關(guān)12。例如，在請求建立VPN連接時，VPN處理機68可收集最新的“健康信息”并將其轉(zhuǎn)發(fā)至VPN網(wǎng)關(guān)12。通常，術(shù)語“健康信息”在本文中通常用于指描述移動設(shè)備19的安全狀態(tài)的數(shù)據(jù)。例如，健康信息可描述特定的移動設(shè)備是否潛在地包括惡意軟件(例如，已知病毒或間諜軟件)，端點設(shè)備是否具有無效配置，或安全對策(例如，反病毒軟件)是否已正確安裝在端點設(shè)備上。在某些情況下，VPN網(wǎng)關(guān)12可基于移動設(shè)備19的當前健康信息和請求VPN連接的特定用戶這兩者來阻止接入或允許有限接入。用于基于移動設(shè)備的健康信息控制接入的這種技術(shù)的詳細資料參見于2005年9月28日提交的題為“NETWORKDEFENSESYSTEMUTILIZINGENDPOINTHEALTHINDICATORSANDUSERIDENTITY”的第11/236，987號美國專利申請，其全部內(nèi)容通過引用結(jié)合于此。雖然部署為單個包67，但將VPN處理機68和VPN控制應用程序80配置為使得它們可以獨立升級。例如，用戶能夠經(jīng)由從移動設(shè)備19的制造商提供的用戶應用程序的電子信息庫檢索最新的分發(fā)包67來更新VPN處理機68和VPN控制應用程序80這兩者。此外，VPN處理機可被編程使得如果存在用于VPN處理機的較新版本并且安全VPN網(wǎng)關(guān)已被配置為需要移動設(shè)備具有最新版本的處理機，則一旦建立至安全VPN網(wǎng)關(guān)12的連接就自動升級其自身。在這種情況下，新版本的VPN處理機68將從安全VPN網(wǎng)關(guān)12或與VPN網(wǎng)關(guān)相關(guān)的服務器直接下載。在某些情況下，VPN控制應用程序80被編程使得當用戶首次啟動VPN控制應用程序時，VPN控制應用程序利用安全警告對用戶進行提示，詢問他或她是否期望使能SSL-VPN功能。這可能是有用的安全預防措施以防止在用戶不知情的情況下惡意軟件悄無聲息地安裝VPN軟件。如果用戶拒絕，VPN控制應用程序80就可以顯示醒目畫面直到用戶退出該應用程序。如果用戶接受，則該決定被記錄直到擦除設(shè)備的存儲器。圖4B是根據(jù)本文所述技術(shù)進行操作的移動設(shè)備19的第二示例性實施方式的框圖。在該實施例中，移動設(shè)備19包括提供具有VPN處理機68、VPN控制應用程序80、安全管理器84、加速服務92和協(xié)同服務94的多服務網(wǎng)絡(luò)客戶端的分發(fā)包77。多服務網(wǎng)絡(luò)客戶端可作為來自移動設(shè)備19的制造商提供的標準“app”部署機制的單個分發(fā)包77被分發(fā)。以這種方式，與圖4A的分發(fā)包67類似，分發(fā)包77提供集成的、多服務VPN客戶端。在該實施例中，相同標號的組件的功能如關(guān)于圖4A所述。多服務網(wǎng)絡(luò)客戶端的加速服務92為移動設(shè)備19提供集成的數(shù)據(jù)加速服務并可以利用各種不同的加速技術(shù)。VPN控制應用程序80提供允許用戶配置VPN處理機68和加速服務92這兩者的統(tǒng)一用戶接口。作為第一實施例，加速服務92可被配置為提供本地、小尺寸的內(nèi)容緩存。在這種情況下，加速服務92可以對作為VPN控制應用程序80或用戶應用程序82先前發(fā)出的請求進行響應所接收到的內(nèi)容以及從企業(yè)網(wǎng)絡(luò)16或更通常地從公共數(shù)據(jù)網(wǎng)絡(luò)21檢索的內(nèi)容進行緩存。例如，VPN處理機68可攔截HTTP或HTTPSget請求并詢問加速服務92以確定在VPN隧道封裝該請求并將該請求發(fā)布至0/S接口66用于輸出至安全VPN網(wǎng)關(guān)12之前是否本地緩存了所請求的網(wǎng)絡(luò)內(nèi)容。如果該內(nèi)容未被緩存，則VPN處理機68按正常過程將該請求隧道傳輸至安全VPN網(wǎng)關(guān)12，并且一旦接收到響應，就更新本地內(nèi)容緩存。VPN處理機68利用內(nèi)容緩存以服務后續(xù)請求。此外，加速服務可以被配置為與由服務供應商或企業(yè)提供的上游緩存進行交互。以這種方式，加速服務92可提高從安全VPN網(wǎng)關(guān)12等下載內(nèi)容的總效率。作為第二個實施例，加速服務92可被配置為提供客戶端解壓縮服務，其結(jié)合提供實時、連續(xù)模式識別和數(shù)據(jù)流壓縮的上游加速設(shè)備聯(lián)合操作。例如，上游加速設(shè)備可以采用模式識別和能夠檢測并消除可變長度的重復短語的高效壓縮算法以提供數(shù)據(jù)流的連續(xù)加速。加速服務92可保持與上游設(shè)備的短語字典同步的短語字典，并可利用短語字典以重建來自上游壓縮設(shè)備的壓縮數(shù)據(jù)流。以這種方式，可自始至終地向移動設(shè)備19提供傳輸加速，包括通過無線傳輸介質(zhì)，而不需要單獨的下游WAN加速設(shè)備。使用同步的上游和下游設(shè)備的連續(xù)數(shù)據(jù)壓縮的進一步示例性細節(jié)在AmitP.Singh于2001年5月30日提交的題為"SYSTEMANDMETHODFORINCREMENTALANDCONTINUOUSDATACOMPRESSION”的美國專利第6，856，651號中進行了描述，其全部內(nèi)容通過引用結(jié)合于此。作為第三實例，加速服務92可被配置為提供透明的特定應用程序(application-specific，面向應用的)協(xié)議優(yōu)化以改進移動設(shè)備19的傳送效率。在一些部署中，加速服務92可被用于移動設(shè)備19和遠程企業(yè)網(wǎng)絡(luò)之間關(guān)聯(lián)的數(shù)據(jù)流。例如，加速服務92可用作客戶端組件，其權(quán)衡布置在安全VPN網(wǎng)關(guān)12內(nèi)的或企業(yè)網(wǎng)絡(luò)16的其他加速設(shè)備內(nèi)的服務器端WAN加速服務。然而，加速服務92的使用并不限于企業(yè)VPN環(huán)境。例如，如關(guān)于圖4C進一步討論，加速服務92可結(jié)合部署在服務提供商網(wǎng)絡(luò)20內(nèi)的加速設(shè)備來使用以用于不通過VPN連接的數(shù)據(jù)流。協(xié)同組件94提供協(xié)同應用程序的集成包，協(xié)同應用程序可結(jié)合VPN處理機68建立的任何VPN連接來使用或在非企業(yè)環(huán)境中來使用。作為一個實例，協(xié)同組件可以提供用于網(wǎng)絡(luò)會議、安全桌面、文件共享的軟件或可以幫助用戶與他人協(xié)同的其他軟件。圖4C是系統(tǒng)10(圖1)的另一框圖并示出部署至兩個移動設(shè)備19A和19B的、本文所述的多服務網(wǎng)絡(luò)客戶端。在該實例中，每個移動設(shè)備19A、19B包括圖4B的分發(fā)包77，并均具有提供VPN處理機、VPN控制應用程序、安全管理器、加速服務和協(xié)同服務的集成網(wǎng)絡(luò)客戶端。在圖4C的實例中，在移動設(shè)備19B上運行的VPN處理機68已根據(jù)本文所述技術(shù)建立了與企業(yè)網(wǎng)絡(luò)16的安全VPN網(wǎng)關(guān)12的VPN連接95。此外，VPN處理機透明地調(diào)用集成加速服務92以向VPN連接95提供壓縮和加速服務。此外，如圖4C所示，移動設(shè)備19B的加速服務與企業(yè)網(wǎng)絡(luò)16的上游加速設(shè)備98合作操作以提供WAN加速的模式識別。此外，在該實例中，利用移動設(shè)備19A而沒有企業(yè)網(wǎng)絡(luò)，特別是沒有建立與遠程安全VPN網(wǎng)關(guān)的VPN連接。在這種情況下，多服務網(wǎng)絡(luò)客戶端的VPN處理機用作透明前端，用于向集成在分發(fā)包77內(nèi)的加速服務、安全管理器和協(xié)同服務分發(fā)包流而沒有為數(shù)據(jù)流96提供VPN隧道傳輸服務。即，VPN處理機不需要建立VPN連接也不向包流提供加密/解密服務，但仍然無縫地將其他集成服務應用于在移動設(shè)備19A和公共資源99(可經(jīng)由諸如互聯(lián)網(wǎng)的分組數(shù)據(jù)網(wǎng)絡(luò)21對其訪問)之間的數(shù)據(jù)流96。例如，如圖4C所示，在移動設(shè)備19A上運行的VPN處理機仍接收并發(fā)送包至0/S接口，這時，通過集成加速服務(諸如圖4B的加速服務9無縫路由包以向數(shù)據(jù)流96提供壓縮和加速服務。此外，如圖4C所示，移動設(shè)備19A的加速服務與服務提供商網(wǎng)絡(luò)20的上游加速設(shè)備97合作操作以提供WAN加速的模式識別。此外，加速服務可提供內(nèi)容緩存、文件壓縮和其他服務。類似地，移動設(shè)備19A的VPN客戶端集成分發(fā)包的安全管理器，以向移動設(shè)備提供反病毒和間諜軟件檢測功能。例如，即使VPN處理機作為透明的通道操作而沒有通過VPN連接來隧道傳輸包，移動設(shè)備19A的VPN處理機仍可在允許包經(jīng)由數(shù)據(jù)流96通信至服務提供商網(wǎng)絡(luò)20之前本地要求有效的、注冊的反病毒和間諜軟件和最新的病毒定義。以這種方式，移動設(shè)備的用戶可以部署并利用本文所述的多服務網(wǎng)絡(luò)客戶端作為企業(yè)解決方案、嚴格地作為消費者應用而沒有企業(yè)VPN連接、或作為這兩者。在任一情況下，VPN控制應用程序提供了統(tǒng)一的用戶接口，并且內(nèi)部VPN處理機可用于提供將入站包和出站包路由通過其他服務(諸如加速和安全)的前端，無論VPN處理機是否被配置為建立VPN連接且通過該VPN連接隧道傳輸包。此外，與多服務VPN客戶端相關(guān)聯(lián)的可執(zhí)行文件可能對于不同的部署是相似的或甚至相同的，其中，對非企業(yè)部署禁用某些功能。這可允許用戶僅通過輸入密鑰或認證碼而無需安裝附加的可執(zhí)行軟件將多服務VPN客戶端從非企業(yè)部署轉(zhuǎn)換為企業(yè)部署和完全的VPN功能。圖5是示出移動設(shè)備19的一個實施方式的前視圖的示意圖。在該實例中，移動電話包括用于呈現(xiàn)具有多個圖標的交互顯示100的觸摸屏，每個圖標對應于用戶可運行的不同的應用程序。在這種情況下，顯示100包括圖標102，用戶與該圖標交互以運行VPN控制應用程序80。圖6示出一旦運行由VPN控制應用程序80呈現(xiàn)的顯示110。在該實例中，顯示110以移動設(shè)備19的本地格式呈現(xiàn)，并且在該實施方式中不是網(wǎng)頁。如圖1所示，作為對于用戶的主窗口的顯示110包括了為用戶對常用功能提供快速訪問的七個圖標，包括用于訪問企業(yè)內(nèi)聯(lián)網(wǎng)的圖標、用于訪問電子郵件的圖標、用于管理VPN連接的圖標、用于登錄企業(yè)的圖標、用于設(shè)置當前用戶配置文件的圖標、用于查看相關(guān)日志的圖標和用于查看VPN處理機的“關(guān)于”信息的圖標。在圖6的情況中，沒有為用戶選擇當前配置文件并且沒有創(chuàng)建VPN會話。即，在它們可以連接之前，用戶必須選擇要連接的服務器。當?shù)谝淮芜\行VPN控制應用程序80時，沒有選擇服務器。VPN控制應用程序80允許用戶定義配置文件并為每個配置文件指定用于該配置文件的目標服務器或安全設(shè)備(例如，安全VPN網(wǎng)關(guān)12)的地址。此外，顯示110包括狀態(tài)欄111和表示是否已建立任何VPN連接的狀態(tài)的指示燈112。圖7A示出了當用戶決定管理并最終選擇用戶配置文件時由VPN控制應用程序80呈現(xiàn)的顯示120。在該實例中，顯示120列出兩個配置文件(測試配置文件和企業(yè)配置文件)并包括允許用戶創(chuàng)建新的用戶配置文件的輸入機制122。圖7B示出了當用戶選擇輸入機制122(圖7A)并創(chuàng)建新的用戶配置文件時由VPN控制應用程序80呈現(xiàn)的顯示125。在該實例中，用戶能夠輸入配置文件名稱以及與目標企業(yè)關(guān)聯(lián)的地址或URL。在某些情況下，用戶也可以從安裝在移動設(shè)備19上的證書列表中選擇特定的數(shù)字證書。當建立與指定地址或URL關(guān)聯(lián)的安全VPN網(wǎng)關(guān)12的VPN連接時，VPN處理機68使用選定證書用于用戶認證。圖8A示出了在用戶已創(chuàng)建和選擇用戶配置文件(S卩，AcmeGizmo,Inc.)用于快速VPN訪問之后，由VPN控制應用程序80呈現(xiàn)的顯示130。此時，用戶還沒有登錄并且VPN連接也尚未建立。顯示130為登錄過程的一鍵點擊發(fā)起呈現(xiàn)登錄圖標。圖8B示出了在用戶已選擇主顯示110(圖6)的登錄圖標以使用AcmeGizmo,Inc.配置文件發(fā)起登錄過程之后，由VPN控制應用程序80呈現(xiàn)的顯示135。作為響應，VPN處理機68已經(jīng)由HTTPS(其返回基于HTML的登錄頁面)發(fā)起與安全VPN網(wǎng)關(guān)12的通信。在某些情況下，VPN控制應用程序80在登錄階段期間在HTTPS請求中指定特定的HTTP用戶代理，以信號通知VPN網(wǎng)關(guān)12該請求設(shè)備是移動設(shè)備，從而允許VPN網(wǎng)關(guān)12選擇用于該設(shè)備的自定義網(wǎng)頁。VPN控制應用程序80解析來自返回的HTML源代碼的數(shù)據(jù)，并使移動設(shè)備19的本地顯示內(nèi)的顯示135呈現(xiàn)認證輸入機制。圖9A示出在VPN處理機68成功認證登錄至企業(yè)的用戶并建立與VPN網(wǎng)關(guān)12的VPN連接之后，由VPN控制應用程序80所呈現(xiàn)的顯示137。在這種情況下，管理員已對用戶定義了多個不同角色。此外，每個角色可允許訪問一組特定的保護資源14。為了進一步提高安全性，在通過移動設(shè)備19(相對于家用電腦，其可能更容易被盜并且受到危害)進行VPN訪問時，管理員可配置安全VPN網(wǎng)關(guān)12以向用戶呈現(xiàn)所有或僅用戶角色識別的子集。此外，管理員能夠基于在建立VPN連接時從移動設(shè)備19接收的位置信息進一步改進對于用戶可用的角色集合，其中位置信息可包括移動設(shè)備的GPS坐標、識別當前小區(qū)的小區(qū)信息、或其組合。例如，安全VPN網(wǎng)關(guān)12可允許管理員定義某些地理區(qū)域并為那些地理區(qū)域分配信任水平。此外，管理員可以為通過VPN連接將要對用戶可用的角色指定需要的信任水平，并且可基于每個用戶指定所需的信任水平。從用于用戶的整體角色，安全VPN網(wǎng)關(guān)12構(gòu)造通過移動設(shè)備19要向用戶呈現(xiàn)的角色集合。例如，安全VPN網(wǎng)關(guān)12可基于管理員為地理區(qū)域分配的信任水平(移動設(shè)備19當前定位在此)以及由管理員分配的任何用戶特定信任閾值水平(在使用移動設(shè)備時，在給定角色對于特定用戶可用之前必須滿足該閾值)來確定集合。例如，管理員可以指定美國的信任水平為“5”(例如，完全信任)，為管理員或企業(yè)策略認為更可能具有安全風險的第二地理區(qū)域指定信任水平為“3”(中等信任)。此外，管理員可以向“管理員角色”分配所要求的水平“5”。因此，在從美國在移動設(shè)備內(nèi)訪問安全VPN網(wǎng)關(guān)12而不是從第二個地理區(qū)域訪問安全VPN網(wǎng)關(guān)時可向符合“管理員角色”的那些用戶呈現(xiàn)該選項。圖9B示出在認證和建立與VPN網(wǎng)關(guān)12的VPN連接之后由VPN控制應用程序80呈現(xiàn)的顯示140作為主頁。因此，使得指示器112示出連接狀態(tài)，狀態(tài)欄111示出用戶名和經(jīng)歷的連接時間。此外，登錄圖標已被替換為允許用戶終止VPN連接的登出圖標。圖10示出在用戶已從主屏幕選擇登出圖標時由VPN控制應用程序80所呈現(xiàn)的顯示150。一旦選擇，用戶就返回到主屏幕并被提示確認。圖11示出在用戶從主顯示110(圖6)選擇VPN圖標后由VPN控制應用程序80呈現(xiàn)的顯示160。如圖所示，顯示160呈現(xiàn)建立VPN的某些配置參數(shù)，諸如是否一旦對企業(yè)認證并接收任何會話數(shù)據(jù)就自動建立VPN連接。當自動登錄被禁用時，即使認證已經(jīng)完成，VPN處理機68也不創(chuàng)建VPN連接。代替地，VPN處理機68等待直到已從VPN控制應用程序80或其他用戶應用程序82接收到應用層數(shù)據(jù)。以這種方式，可減少通過蜂窩數(shù)據(jù)服務的數(shù)據(jù)傳輸相關(guān)的費用。此外，也可減少需要保持和服務的開放會話VPN網(wǎng)關(guān)12的數(shù)量。顯示160還呈現(xiàn)與VPN連接相關(guān)的當前信息，包括自建立VPN連接后的當前發(fā)送字節(jié)數(shù)和當前接收字節(jié)數(shù)。此外，顯示160包括允許用戶終止VPN連接的斷開按鈕。圖12示出在用戶從顯示110(圖6)選擇了內(nèi)聯(lián)網(wǎng)圖標之后由VPN控制應用程序80所呈現(xiàn)的顯示170。如圖所示，顯示170以VPN控制應用程序可呈現(xiàn)的格式表示用戶默認主頁的翻譯版本。此外，VPN控制應用程序80呈現(xiàn)顯示170而不是通過安裝在移動設(shè)備19上的Web瀏覽器呈現(xiàn)為網(wǎng)頁的顯示。當用戶從顯示110的本地主窗口選擇內(nèi)聯(lián)網(wǎng)圖標時，VPN控制應用程序80發(fā)出HTTPSget請求以檢索用戶的書簽網(wǎng)頁(圖3)，如果用戶經(jīng)由端點計算設(shè)備18接入VPN網(wǎng)關(guān)12則該書簽網(wǎng)頁通常向用戶呈現(xiàn)為完整的網(wǎng)頁。在該實例中，當訪問主網(wǎng)頁時VPN控制應用程序80動態(tài)解析來自安全VPN網(wǎng)關(guān)12的HTTPS響應的鏈接和其他書簽信息，并動態(tài)建立移動設(shè)備19上的顯示160的窗口。以這種方式，建立顯示170并將其呈現(xiàn)作為VPN控制應用程序80的一部分的顯示，而不是安裝在移動設(shè)備19的獨立Web瀏覽器的網(wǎng)頁。S卩，VPN控制應用程序80動態(tài)構(gòu)造顯示160以包括由移動設(shè)備19提供的本地應用控制的輸入控件，其中每個輸入控件對應于從VPN網(wǎng)關(guān)12接收的HTML響應解析的不同書簽。如圖所示，VPN控制應用程序80已動態(tài)構(gòu)造顯示160以包括用于用戶定義的書簽的一組輸入控件162和對應于用戶默認主頁(圖3)的管理員定義的書簽的第二組輸入控件164。每個書簽由移動設(shè)備19的本地顯示支持的輸入按鈕圖形來表示。作為響應，VPN控制應用程序80制定并輸出合適的HTTP字符串，好像相應的HTML鏈接被用戶選擇。因此，書簽162、164不是通常嵌入在網(wǎng)頁中的基于Web的URL，而作為在移動設(shè)備19上的按鈕操作，并服務于企業(yè)VPN的環(huán)境內(nèi)偽鏈接的目的。在移動設(shè)備19上可以翻譯和呈現(xiàn)的鏈接實例包括對于本地文件服務器的鏈接、對于企業(yè)內(nèi)部互聯(lián)網(wǎng)服務器的鏈接、對于可通過VPN連接運行的用戶的預先配置的遠程桌面端會話的鏈接。在一個實例中，VPN控制應用程序80包括內(nèi)部HTML解析器，并且使用對于HTML的XPath查詢以及對于XPath查詢返回的一組元的處理邏輯的組合實時地執(zhí)行書簽信息的提取。有關(guān)XML路徑語言(XPath)的更詳細信息可在從1999年11月16日萬維網(wǎng)聯(lián)盟(W3C)可獲得的“XMLPathLanguage(XPath)，，，1.0版本中找到，其全部內(nèi)容通過引用結(jié)合與此。在一個實例中，VPN控制應用程序80通過發(fā)布用于特定VPN用戶的index,cgi文件的直接請求來檢索書簽網(wǎng)頁。接下來，VPN控制應用程序80使用以下搜索算法利用其內(nèi)部HTML解析器解析來自VPN網(wǎng)關(guān)12的響應，以提取書簽的URL和標題。首先，在由index,cgi返回的HTML中，VPN控制應用程序80發(fā)布XPath查詢以定位具有包含“l(fā)aunch,cgi”的href屬性的所有錨元素。在一個實例中，這通過以下XPath查詢//^[containsherf,‘launch,cgi')]來獲得。接下來，對于由以上標準返回的元素集合，VPN控制應用程序80在所有子(child)上進行疊代并從具有簡單字符串內(nèi)容的元素中提取書簽標題。以下是節(jié)選自示出與單個書簽相關(guān)的代碼的index,cgi的HTML的實例〈tablecellpadding=M0Mcellspacing="。"border="。"width="100%"><trvalign="top"><td>〈tablecellpadding=M4"cellspacing="0"border="。"width="100%"><trvalign="top"><td><ahref='7user/home/launch.cgiurl=.ahuvs%3A%2F%2FGiry66r6zEY15F.DHaPTsLZZ%2FCO%2FPCBUSKWcqNaUU"><imgsrc="/dana-cached/imgs/icnl8x18WebBookmark.gif'alt="Thisbookmarkwillopeninthiswindow"width="18"height="18"border="0"></a></td><tdwidth="100%"><ahref="/user/home/launch.cgiurl=.ahuvs%3A%2F%2FGiry66r6zEY15F.DHaPTsLZZ%2FCO%2FPCBUSKWcqNaUU">AcmeGizmoIntranet:SecurityGuidelines</a><br><spanclass="cssSmaH">SampleBookmarkdescription</span></td></tr></table></td><tdalign="right">〈tablecellpadding=M0Mcellspacing="0"border="0"><tr><tdcolspan="6"><imgsrc='7dana-cached/imgs/space.gif'width="1"height="l"x/td></tr><tr><tdbgcolor="#EEEEEE"><ahref="/user/home/launch.cgiurl=.ahuvs%3A%2F%2FGiry66r6zEY15F.DHaPTsLZZ%2FCO%2FPCBUSKWcqNaUU"target="—blank"onclick='JavaScript:openBookmark(this.href,"yes","yes");returnfalse;’〉<imgsrc="/dana-cached/imgs/btnPanelPopWindow.gif'alt="Openinanewwindow"title="Openinanewwindow"width="20"height="20"border="。"〉</a></td><tdbgcolor="#CCCCCC"><imgsrc="/dana-cached/imgs/space.gif'width="1”height="1"></td><tdbgcolor="#EEEEEE"><ahref='7user/home/editbk.cgirow=2&syncFlag=r'title="Edit"><imgsrc='7dana-cached/imgs/btnPanelItemPrefs.gif'alt="ItemProperties"title="ItemProperties"width="20"height="20"border="0"></a></td><tdbgcolor="#EEEEEE"><ahref="/user/home/panelpref.cgival=0&delete=l&type=web&xsauth=ec4a8685edbee9c2cbc9438de6c5066e&syncFlag=l"title="Edit"><imgsrc="/dana-cached/imgs/btnPanelItemDelete.gif'alt="Deletebookmark"title="Deletebookmark"width="20"height="20"border="0"></a></td><td><imgsrc='7dana-cached/imgs/space.gif'width="1"height="1"></td></tr></table></td></tr></table>VPN控制應用程序80從每個錨href屬性中提取每個書簽的實際URL。VPN控制應用程序80去除由于在HTML中的圖標鏈接可能引起的任何復制。已經(jīng)找到用于書簽的錨元素，VPN控制應用程序80通過獲得該錨的所有兄弟元素(siblingelement)并找到具有簡單字符串內(nèi)容的元素來定位相應的描述。在給定的HTML實例片段中，這將是具有“SampleBookmarkdescription(樣本書簽描述)”內(nèi)容的<span>元素。VPN控制應用程序80能夠基于用于編輯自定義書簽的附加鏈接的存在來區(qū)別自定義書簽。這些鏈接可以通過列舉在其href屬性中具有editWc.cgi的錨條目來找到。這可以利用下面的XPath查詢//a[contains(iherf,‘editbk.cgi')]實現(xiàn)。例如，以下鏈接可提取為書簽https://secure.acmegizmo.com/dana/home/launch.cgi？url=http%3A%2F%2Fintranet.acmegizmo.comhttps://secure.acmegizmo.com/dana/home/launch.cgi？url=http%3A%2F%2Fintranet.acmegizmo.com%2Fcgi-bin%2Fdbpro.cgihttps://secure.acmegizmo.com/dana/home/launch.cgi？url=http%3A%2F%2Fag-exchange3.acmegizmo.com%2Fexchange%2Fhttps://secure.acmegizmo.com/dana/home/launch.cgi？url=http%3A%2F%2Fintranet.acmegizmo.com%2Fit%2Fsecurity.html只有一個錨元素在href屬性中包含editbk.cgi,VPN控制應用程序80確定前三個是標準書簽，最后一個是由用戶設(shè)置的自定義書簽。當用戶從VPN控制應用程序80顯示的本地UI中選擇書簽時，VPN控制應用程序打開對用戶隱藏的嵌入式瀏覽器控件。瀏覽器直接導航至為給定標簽提取的URL，并可作為網(wǎng)頁經(jīng)由瀏覽器呈現(xiàn)給用戶，或可動態(tài)地處理為移動設(shè)備19的本地顯示。在某些情況下，VPN控制應用程序80查找具有以下示例名稱“移動網(wǎng)頁郵件(MobileWebmail)”的具體配置的書簽。如果這樣的書簽存在，則電子郵件圖標(圖6)將在瀏覽器中運行基于Web的電子郵件，打開移動網(wǎng)頁郵件書簽鏈接。可選地，代替運行網(wǎng)頁瀏覽器，VPN處理機68可運行由移動設(shè)備19提供的本地電子郵件應用程序。VPN控制應用程序80允許管理員定義要代替標準書簽頁面顯示的自定義頁面。VPN控制應用程序80檢測書簽頁面是否已由VPN網(wǎng)關(guān)12返回。如果自定義頁面被打開作為標準流程的一部分，則VPN控制應用程序80顯示該自定義頁面，適當?shù)貏討B(tài)構(gòu)造用于書簽的本地用戶接口。圖13示出在用戶已從書簽瀏覽(圖12)轉(zhuǎn)換至先前選擇的偽鏈接的歷史瀏覽之后，由VPN控制應用程序80呈現(xiàn)的顯示180。圖14示出在用戶已從顯示110(圖6)選擇登錄圖標之后，由VPN控制應用程序80所呈現(xiàn)的顯示185。如圖所示，顯示185呈現(xiàn)列出與VPN連接相關(guān)的活動的交易窗口187，包括每個動作的日期和時間戳。在一些情況下，VPN控制應用程序80還可提供輸入機制，其允許用戶上傳日志至安全VPN網(wǎng)關(guān)12或自動附加至電子郵件用于將日志電子郵寄至由安全VPN網(wǎng)關(guān)12指定的管理員電子郵件地址。這可提供簡單且高效的機制，通過其用戶能夠獲得在他或她的移動設(shè)備19上建立VPN連接的幫助。在某些實施方式中，VPN處理機68可在通過VPN隧道與VPN網(wǎng)關(guān)12通信時利用壓縮的形式。即，VPN處理機68可壓縮隧道包的有效載荷內(nèi)攜帶的應用層數(shù)據(jù)。在壓縮數(shù)據(jù)之后，VPN處理機68加密和封裝數(shù)據(jù)以形成用于隧道傳輸至VPN網(wǎng)關(guān)12的安全包。這允許VPN處理機68減少VPN連接消耗的帶寬量，這在移動環(huán)境中是重要的。在一個實施方式中，VPN處理機68包括以下算法，該算法用于將Lempel-Ziv(LZ)壓縮與IPSEC連接結(jié)合以應用于在無連接協(xié)議(例如，IP或用戶數(shù)據(jù)報協(xié)議(UDP))的頂部上隧道傳輸加密的IP包(即，封裝安全有效負載(ESP)包)至VPN網(wǎng)關(guān)12。在這種情況下，UDP用作傳輸層，用于利用與IPSEC集成的LZ壓縮來壓縮和保護出站隧道包并且解壓縮入站隧道包。在一些實施方式中，對支持SSL和IPSec協(xié)議這兩者的VPN處理機68進行編程，以根據(jù)對于VPN網(wǎng)關(guān)12的VPN連接狀態(tài)在這兩個協(xié)議之間智能且動態(tài)地切換。VPN處理機68處理對于VPN網(wǎng)關(guān)12的交互和認證，對于符合安全策略(諸如SSL或IPSec協(xié)議)的安全數(shù)據(jù)連接的建立和解構(gòu)，以及要被隧道傳輸?shù)某稣景男纬珊蛷乃淼澜邮盏娜胝景奶幚?。S卩，在某些情況下，VPN處理機68可建立IPkcVPN，可以建立該IPkcVPN以在無連接(cormection-less)協(xié)議(例如，IP或用戶數(shù)據(jù)報協(xié)議(UDP))頂部隧道傳輸加密的IP包。在其他情況下，VPN處理機68可使用SSLVPN以在層4面向連接(connection-oriented)的協(xié)議(例如，傳輸控制協(xié)議(TCP))頂部隧道傳輸IP包。即，VPN處理機68識別SSLVPN隧道的TCP固有地引入相對于UDP上的IPSEC的延遲，然而在一些情況下可以通過通常識別SSL包但阻止UDP包的防火墻提供連接。由于該原因，可對VPN處理機68進行編程以自適應在使用UDP作為傳輸協(xié)議的基于L3的IPSEC網(wǎng)絡(luò)隧道和使用TCP作為傳輸?shù)幕贚4的SSL網(wǎng)絡(luò)隧道之間的故障轉(zhuǎn)移。例如，在某個實施方式中，VPN處理機68可通過執(zhí)行與安全VPN網(wǎng)關(guān)12的密鑰交換首先建立VPN連接以包括SSLVPN隧道。在這種情況下，VPN處理機68可對在移動設(shè)備19和安全VPN網(wǎng)關(guān)12之間通過SSLVPN隧道的SSL加密包流內(nèi)的初始應用層數(shù)據(jù)進行封裝。雖然SSLVPN隧道可以在包括防火墻和代理的大多數(shù)遠程網(wǎng)絡(luò)環(huán)境中工作，但在面向鏈接的TCP頂部上的包的隧道傳輸固有地引入延遲、復雜性和可能增加的帶寬，所有這些在移動環(huán)境中是重點關(guān)注的。因此，VPN處理機68也可以建立與安全VPN網(wǎng)關(guān)12的并行IPSecVPN隧道用于VPN連接，同時在SSLVPN隧道上同時地發(fā)送任何初始數(shù)據(jù)包。VPN處理機68可與通過SSLVPN隧道發(fā)送數(shù)據(jù)并行地通過IPSECVPN隧道發(fā)送測試消息，S卩，發(fā)現(xiàn)包。如果VPN處理機68在IPkcVPN隧道62上接收到對于測試消息的應答，則VPN處理機68停止在SSLVPN隧道上發(fā)送數(shù)據(jù)，并替代地自動利用(例如，沒有手動干預)IPSecVPN隧道。在這點上，VPN處理機68可拆除SSLVPN隧道，或在許多情況下，可保留建立的SSL連接。在這種方式下，如果遠程網(wǎng)絡(luò)環(huán)境改變且數(shù)據(jù)包在IPkcVPN隧道上不能再到達企業(yè)網(wǎng)絡(luò)，則VPN處理機68自動(例如，沒有手動干預)返回至SSLVPN隧道。在一些實施方式中，VPN處理機68可以使用由用于這兩個隧道的VPN的安全VPN網(wǎng)關(guān)12分配給移動設(shè)備19的單個IP地址，并有效地動態(tài)改變操作系統(tǒng)的傳輸層協(xié)議(例如，TCP或UDP)類型并將安全服務(例如，IPSEC和SSL)應用至隧道包。在一些實施方式中，VPN處理機68和安全VPN網(wǎng)關(guān)12可根據(jù)于2005年9月14日提交的題為“ADAPTIVEFAILOVERBETWEENLAYERTHREEANDLAYERFOURNETWORKTUNNELS”的第11/2,501號美國專利申請中所闡述的技術(shù)進行操作，其全部內(nèi)容通過弓I用結(jié)合于此。在一些情況下，由VPN處理機68在SSL和IPSECVPN連接之間的自適應轉(zhuǎn)換在移動設(shè)備19中是特別有利的，原因在于，在一些情況下，操作系統(tǒng)64可能已經(jīng)在使用與IPSEC關(guān)聯(lián)的UDP端口。在這種情況下，更高級別的VPN處理機68(例如，在內(nèi)核模式下執(zhí)行的VPN處理機)的IPSECVPN連接可能具有由操作系統(tǒng)64消耗或阻斷的IPSEC通信，原因在于，操作系統(tǒng)可能錯誤運作，好像IPSEC包將要由操作系統(tǒng)處理。在這種情況下，VPN處理機68可建立VPN連接，最初利用SSL，并且僅在與L3隧道相關(guān)的UDP網(wǎng)絡(luò)端口由操作系統(tǒng)解除阻斷時自動從以TCP傳輸?shù)腟SL隧道(例如，L4隧道)轉(zhuǎn)換至以UDP傳輸?shù)腎PSEC隧道(例如，L3隧道)而不終止VPN連接。因此，本文描述的技術(shù)允許VPN處理機68容易地被下載、安裝和部署在移動設(shè)備19上，而不需要用戶介入關(guān)于與移動設(shè)備的較低水平操作系統(tǒng)級別組件兼容的隧道機制。在與VPN安全網(wǎng)關(guān)12的通信暫時丟失的情況下，VPN處理機68的一些實施方式執(zhí)行快速重新連接。更具體地，通過對于安全VPN網(wǎng)關(guān)12發(fā)布HTTPS請求，建立SSL控制信道。一旦認證成功，安全VPN網(wǎng)關(guān)12為會話小文件提供安全VPN網(wǎng)關(guān)映射至具體用戶信息的唯一標識符。這允許VPN處理機68在VPN連接暫時丟失情況下重新連接。由于不斷改變諸如基站之間的轉(zhuǎn)換、無線局域網(wǎng)(“WiFi”)和蜂窩基于分組的網(wǎng)絡(luò)連接之間的切換、以及功率狀態(tài)轉(zhuǎn)換的網(wǎng)絡(luò)條件，所以這對移動設(shè)備是尤其重要的。如果移動設(shè)備19已經(jīng)改變網(wǎng)絡(luò)連接狀態(tài)，則0/S接口66可以設(shè)置信號機或其他信號通知機制以信號通知該改變。作為響應，VPN處理機68發(fā)布另一HTTPS請求并包括會話小文件，這允許VPN處理機重新建立與安全VPN網(wǎng)關(guān)12的VPN連接而不需要用戶重復該通常的認證過程。在一些情況下，VPN處理機68確定WiFi或蜂窩中哪種類型的傳輸機制對于移動設(shè)備19是可用的。如果只有蜂窩基于分組的網(wǎng)絡(luò)連接可用而不是WiFi連接，則VPN處理機68可選擇性地推遲快速重新連接，即使有效的、未過期的會話小文件存在于移動設(shè)備19。特別地，VPN處理機68可推遲快速重新連接，直到從用戶應用程序82接收到應用層數(shù)據(jù)。在一些情況下，VPN處理機68推遲快速重新連接，直到從0/S接口66接收到表示網(wǎng)絡(luò)流量即將來臨或已被用戶應用程序82啟用的另一事件。以這種方式，VPN處理機68可潛在減少與由建立的閑置VPN連接所產(chǎn)生的數(shù)據(jù)服務的分鐘或帶寬消耗相關(guān)的用戶費用。圖15是由安全VPN網(wǎng)關(guān)12呈現(xiàn)的實例用戶界面190，管理員通過該界面能夠提供用于管理對于端點計算設(shè)備18和蜂窩移動設(shè)備19的安全訪問的各種配置參數(shù)。特別地，用戶界面190允許管理員輸入關(guān)于端點一致功能和主機檢查器功能的配置數(shù)據(jù)。如圖15所示，用戶界面190包括復選框輸入控件192，通過其管理員能夠指定與安全管理器84相關(guān)的主機檢查器要求。即，管理員能夠指定授權(quán)安全訪問企業(yè)的先決條件為由移動設(shè)備19的多服務客戶端的集成主機檢查器功能產(chǎn)生的健康狀況報告必須表示安全管理器84的反病毒和間諜軟件已注冊、啟用并且是最新的。如果沒有，則安全VPN網(wǎng)關(guān)可以拒絕訪問或提供對于將任何過期安全組件下載至移動設(shè)備19所需的有限資源的隔離訪問。本公開中描述的技術(shù)可以(至少部分地)硬件、軟件、固件或它們的任意組合來實現(xiàn)。例如，所描述的技術(shù)的各個方面可以在一個或多個處理器(包括一個或多個微處理器、數(shù)字信號處理器(DSP)、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)或者任何其他等效的集成或分離邏輯電路以及這種組件的任何組合)內(nèi)實現(xiàn)。術(shù)語“處理器”或“處理電路”一般指的是前述邏輯電路的任何一種(單獨的或與其他邏輯電路結(jié)合)或其他等效電路。包含硬件的控制單元也可以執(zhí)行本公開的一種或多種技術(shù)。這種硬件、軟件和固件可以在同一器件或分開的器件中實現(xiàn)，以支持本公開中描述的各種操作和功能。另外，所描述的單元、模塊或組件的任何一種可以一起實現(xiàn)，或者作為分離的但可共同操作的邏輯裝置分別實現(xiàn)。作為模塊或單元的不同特征的描述意在強調(diào)不同的功能方面，而并不意味著這樣的模塊或單元必須由分開的硬件或軟件組件來實現(xiàn)。更確切地說，與一個或多個模塊或單元相關(guān)聯(lián)的功能可以由分開的硬件或軟件組件、或集成在共同的或分開的硬件或軟件組件中來實現(xiàn)。本公開中描述的技術(shù)也可以在包含指令的計算機可讀介質(zhì)(諸如，計算機可讀存儲介質(zhì))中體現(xiàn)或者編碼。嵌入或編入計算機可讀介質(zhì)的指令可以促使可編程處理器或其他處理器(例如)在執(zhí)行指令時執(zhí)行方法。計算機可讀存儲介質(zhì)可以包括隨機存取存儲器(RAM)、只讀存儲器(ROM)、可編程只讀存儲器(PR0M)、可擦除可編程只讀存儲器(EPROM)、電可擦除可編程只讀存儲器(EEPROM)、閃存、硬盤、⑶-ROM、軟盤、磁帶、磁性介質(zhì)、光學介質(zhì)或其他計算機可讀存儲介質(zhì)。應該理解的是，術(shù)語“計算機可讀存儲介質(zhì)”指的是物理存儲介質(zhì)，而不是信號、載波或其他瞬態(tài)介質(zhì)。對蜂窩移動設(shè)備和蜂窩移動設(shè)備執(zhí)行的方法進行描述。該設(shè)備可包括發(fā)射器和接收器，以發(fā)送和接收射頻信號形式的蜂窩通信；微處理器；操作系統(tǒng)，在微處理器上執(zhí)行以提供應用軟件的操作環(huán)境；以及多服務網(wǎng)絡(luò)客戶端，向操作系統(tǒng)注冊為單一的應用程序。多服務網(wǎng)絡(luò)客戶端包括虛擬專用網(wǎng)絡(luò)(VPN)處理機，以建立與遠程VPN安全設(shè)備的VPN連接，其中，VPN處理機對出站網(wǎng)絡(luò)包進行加密并對入站網(wǎng)絡(luò)包進行解密以在蜂窩移動設(shè)備和遠程VPN安全設(shè)備之間安全地隧道傳輸網(wǎng)絡(luò)包。該網(wǎng)絡(luò)客戶端可包括安全管理器，以接收來自VPN處理機的解密入站網(wǎng)絡(luò)包并至少將一個安全服務應用至該解密網(wǎng)絡(luò)包；VPN控制應用程序，提供允許用戶配置VPN處理機和安全管理器的統(tǒng)一的用戶接口。多服務網(wǎng)絡(luò)客戶端可從單一的可下載分發(fā)包部署。VPN控制應用程序可呈現(xiàn)用于配置安全管理器的反病毒設(shè)置和個人防火墻設(shè)置的統(tǒng)一用戶接口。安全管理器可將反病毒和間諜軟件服務應用至網(wǎng)絡(luò)數(shù)據(jù)包并提供接口，通過該接口VPN處理機確定蜂窩移動設(shè)備的用戶是否已激活并向安全管理器注冊。VPN處理機可在與VPN網(wǎng)關(guān)建立VPN連接之前要求來自安全管理器的肯定表示。VPN處理機可包括主機檢查器模塊，其盤存蜂窩移動設(shè)備的狀態(tài)并建立健康狀況報告，并且主機檢查器可在建立VPN連接之前將健康狀況報告輸出至VPN網(wǎng)關(guān)，用于確定蜂窩移動設(shè)備是否與企業(yè)策略一致。多服務網(wǎng)絡(luò)客戶端還可包括數(shù)據(jù)加速模塊，其將至少一個加速服務應用至來自VPN處理機的網(wǎng)絡(luò)包。該數(shù)據(jù)加速模塊可以提供本地內(nèi)容緩存、客戶端解壓縮服務(其結(jié)合上游加速設(shè)備一起運作以提供在網(wǎng)絡(luò)包內(nèi)的實時、連續(xù)模式識別和數(shù)據(jù)流壓縮)、和/或網(wǎng)絡(luò)包內(nèi)的控制流的特定應用協(xié)議優(yōu)化。多服務網(wǎng)絡(luò)客戶端還可包括處理來自VPN處理機的包的一個或多個協(xié)同組件，其中協(xié)同組件提供包括網(wǎng)絡(luò)會議、安全桌面或文件共享服務中至少一個的協(xié)同服務。VPN控制應用程序可提供允許用戶禁用VPN連接的用戶接口，并且當VPN連接被禁用時，VPN處理機可與操作系統(tǒng)交換網(wǎng)絡(luò)包，并為應用安全服務的安全管理器透明地提供包。VPN控制應用程序的用戶接口允許用戶提交證書，并指示VPN處理機動態(tài)實例化安全VPN連接或解構(gòu)現(xiàn)有VPN連接。一旦建立VPN連接，則VPN控制應用程序可經(jīng)由超文本傳輸協(xié)議安全(HTTPS)的響應接收來自安全VPN設(shè)備的基于web的主頁。安全VPN連接動態(tài)解析來自HTTPS響應的超文本標記語言(HTML)書簽鏈接，并使用蜂窩移動設(shè)備本地的輸入控制呈現(xiàn)書簽窗口，其中每個輸入控制對應于從接收自安全VPN網(wǎng)關(guān)的HTML響應解析的書簽中的不同的一個，并且一旦選擇一個輸入控制，VPN控制應用程序可制定并輸出合適的HTTP字符串至安全VPN設(shè)備，好像相應的HTML鏈接由用戶選擇。VPN控制應用程序可在HTTPS響應內(nèi)檢測向用戶提供網(wǎng)頁郵件鏈接的一個書簽，并且一旦檢測到用于網(wǎng)頁郵件的書簽，VPN控制應用程序就動態(tài)構(gòu)造用戶接口以具有用于運行蜂窩移動設(shè)備的本地郵件客戶端的輸入控制以訪問電子郵件而無需運行web瀏覽器。VPN處理機和VPN控制應用程序可被配置為獨立升級。VPN處理機可將VPN連接建立為通過用戶數(shù)據(jù)報協(xié)議(UDP)的互聯(lián)網(wǎng)協(xié)議安全(IPSec)，VPN處理機可包括壓縮模塊，其將結(jié)合IPSec連接的Lempel-Ziv(LZ)壓縮應用至隧道傳輸加密的IP包至安全VPN網(wǎng)關(guān)。VPN處理機建立與安全VPN網(wǎng)關(guān)的安全套接字層(SSL)控制信道，并且一旦認證成功就接收具有唯一標識符的會話小文件。如果與安全VPN網(wǎng)關(guān)的通信暫時丟失，則VPN處理機可通過向安全VPN網(wǎng)關(guān)發(fā)布會話小文件來執(zhí)行快速重新連接。當執(zhí)行快速重新連接時，VPN處理機可識別當前可用于蜂窩移動設(shè)備的一組傳輸機制，并且只有蜂窩網(wǎng)絡(luò)可用而基于分組的無線連接不可用時，VPN處理機可推遲快速重新連接直到從用戶應用程序接收到應用層數(shù)據(jù)并準備經(jīng)由VPN連接發(fā)送。本文所描述的這些特征和其他特征可以任意組合使用。已經(jīng)描述了本發(fā)明的各種實施方式。這些和其他實施方式在所附權(quán)利要求的范圍之內(nèi)。權(quán)利要求1.一種蜂窩移動設(shè)備，包括發(fā)射器和接收器，用于發(fā)送和接收射頻信號形式的蜂窩通信；微處理器；虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)客戶端，在所述微處理器上運行以建立與遠程VPN安全設(shè)備的安全VPN連接，其中，所述VPN網(wǎng)絡(luò)客戶端處理網(wǎng)絡(luò)包，以用于在所述蜂窩移動設(shè)備與所述遠程VPN安全設(shè)備之間安全地隧道傳輸所述網(wǎng)絡(luò)包，其中，所述VPN網(wǎng)絡(luò)客戶端建立與所述安全VPN網(wǎng)關(guān)的安全控制信道以用于所述安全VPN連接，并且一旦成功認證就接收具有唯一標識符的會話小文件，其中，如果與所述安全VPN網(wǎng)關(guān)的通信暫時丟失，則所述VPN網(wǎng)絡(luò)客戶端通過將所述會話小文件傳送至所述安全VPN網(wǎng)關(guān)來執(zhí)行快速重新連接，而不需要重新認證所述蜂窩移動設(shè)備，以及其中，在執(zhí)行所述快速重新連接前，所述VPN網(wǎng)絡(luò)客戶端識別當前可用于所述蜂窩移動設(shè)備的傳輸機制集合，并且當只有蜂窩網(wǎng)絡(luò)可用并且基于分組的無線連接不可用時，所述VPN網(wǎng)絡(luò)客戶端推遲所述快速重新連接，直到從用戶應用程序接收到應用層數(shù)據(jù)并準備將該應用層數(shù)據(jù)經(jīng)由所述VPN連接發(fā)送至所述遠程VPN安全設(shè)備。2.根據(jù)權(quán)利要求1所述的蜂窩移動設(shè)備，進一步包括操作系統(tǒng)，在所述微處理器上運行以提供應用軟件的操作環(huán)境，其中，所述VPN網(wǎng)絡(luò)客戶端與所述操作系統(tǒng)交換所述網(wǎng)絡(luò)包，從而對出站網(wǎng)絡(luò)包進行加密并對入站網(wǎng)絡(luò)包進行解密以安全地隧道傳輸所述網(wǎng)絡(luò)包。3.根據(jù)權(quán)利要求2所述的蜂窩移動設(shè)備，其中，所述VPN網(wǎng)絡(luò)客戶端包括向所述操作系統(tǒng)注冊為單個應用程序的多服務網(wǎng)絡(luò)客戶端，其中，所述多服務網(wǎng)絡(luò)客戶端包括VPN處理機，與所述操作系統(tǒng)交換所述網(wǎng)絡(luò)包；安全管理器，從所述VPN處理機接收經(jīng)解密的所述網(wǎng)絡(luò)包，并將至少一個安全服務應用于所述網(wǎng)絡(luò)包；以及VPN控制應用程序，提供允許用戶配置所述VPN處理機和所述安全管理器的統(tǒng)一用戶接口。4.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，所述多服務網(wǎng)絡(luò)客戶端包括單個分發(fā)包。5.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，所述安全管理器將反病毒和間諜軟件服務應用于所述網(wǎng)絡(luò)包，其中，所述安全管理器提供接口，所述VPN處理機通過所述接口確定所述蜂窩移動設(shè)備的用戶是否已激活并注冊所述安全管理器，以及其中，所述VPN處理機在與所述VPN網(wǎng)關(guān)建立所述VPN連接之前要求來自所述安全管理器的肯定指示。6.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，所述VPN處理機包括主機檢查器模塊，所述主機檢查器模塊盤存所述蜂窩移動設(shè)備的狀態(tài)并建立健康狀態(tài)報告，以及其中，在建立所述VPN連接之前，所述主機檢查器模塊將所述健康狀態(tài)報告輸出至所述VPN網(wǎng)關(guān)以用于確定所述蜂窩移動設(shè)備是否符合企業(yè)策略。7.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，所述VPN控制應用程序提供允許用戶禁用VPN連接性的用戶接口，以及其中，當VPN連接性被禁用時，所述VPN處理機與所述操作系統(tǒng)交換所述網(wǎng)絡(luò)包，并將所述包透明地提供至所述安全管理器以用于應用所述安全服務。8.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，所述VPN控制應用程序的所述用戶接口允許所述用戶提交證書，并指示所述VPN處理機動態(tài)地實例化所述安全VPN連接或解構(gòu)現(xiàn)有VPN連接。9.根據(jù)權(quán)利要求3所述的蜂窩移動設(shè)備，其中，一旦建立所述VPN連接，所述VPN控制應用程序就經(jīng)由超文本傳輸協(xié)議安全(HTTPS)響應從所述安全VPN設(shè)備接收基于Web的主頁，其中，所述安全VPN連接動態(tài)解析來自所述HTTPS響應的超文本標記語言(HTML)書簽鏈接，并使用所述蜂窩移動設(shè)備本地的輸入控件呈現(xiàn)書簽窗口，其中每個所述輸入控件對應于從接收自所述安全VPN網(wǎng)關(guān)的所述HTTPS響應解析的書簽中的不同的一個，以及其中，一旦選擇所述輸入控件之一，所述VPN控制應用程序就制定并輸出合適的HTTP字符串至所述安全VPN設(shè)備，仿佛所述用戶選擇了相應的HTML鏈接。10.根據(jù)權(quán)利要求9所述的蜂窩移動設(shè)備，其中，所述VPN控制應用程序在所述HTTPS響應內(nèi)檢測對應于用于所述用戶的網(wǎng)頁郵件的書簽，以及其中，一旦檢測到用于所述網(wǎng)頁郵件的書簽，所述VPN控制應用程序就動態(tài)構(gòu)造所述用戶接口以具有用于啟動所述蜂窩移動設(shè)備的本地電子郵件客戶端的輸入控件，以訪問所述電子郵件而不啟動Web瀏覽器。11.一種系統(tǒng)，包括虛擬專用網(wǎng)絡(luò)(VPN)安全設(shè)備，耦合至分組網(wǎng)絡(luò)；蜂窩移動設(shè)備，包括微處理器、以及在所述微處理器上運行以建立與所述VPN安全設(shè)備的VPN連接的虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)客戶端，其中，VPN處理機建立與所述安全VPN網(wǎng)關(guān)的安全控制通道以用于所述安全VPN連接，并且一旦成功認證，就接收具有唯一標識符的會話小文件，其中，如果與所述安全VPN網(wǎng)關(guān)的通信暫時丟失，則所述VPN處理機通過將所述會話小文件傳送至所述安全VPN網(wǎng)關(guān)來執(zhí)行快速重新連接，而不需要重新認證所述蜂窩移動設(shè)備，以及其中，在執(zhí)行所述快速重新連接前，所述VPN處理機識別當前可用于所述蜂窩移動設(shè)備的傳輸機制集合，當只有蜂窩網(wǎng)絡(luò)可用并且基于分組的無線連接不可用時，所述VPN處理機推遲所述快速重新連接，直到從用戶應用程序接收到應用層數(shù)據(jù)并準備將所述應用層數(shù)據(jù)經(jīng)由所述VPN連接發(fā)送至所述遠程VPN安全設(shè)備。12.一種方法，包括在蜂窩移動設(shè)備的處理器上運行虛擬專用網(wǎng)絡(luò)(VPN)網(wǎng)絡(luò)客戶端；利用所述VPN網(wǎng)絡(luò)客戶端建立與安全VPN網(wǎng)關(guān)的安全VPN連接；一旦成功認證，就利用所述VPN客戶端從所述安全VPN網(wǎng)關(guān)接收具有唯一標識符的會話小文件；利用所述VPN網(wǎng)絡(luò)客戶端檢測到與所述安全VPN網(wǎng)關(guān)的通信暫時丟失，并且作為響應，識別當前可用于所述蜂窩移動設(shè)備的傳輸機制集合；當無線局域網(wǎng)連接可用于所述蜂窩移動設(shè)備時，通過將所述會話小文件經(jīng)由基于分組的無線網(wǎng)絡(luò)連接傳送至所述安全VPN網(wǎng)關(guān)來執(zhí)行快速重新連接，而不需要重新認證所述蜂窩移動設(shè)備；以及當只有基于分組的蜂窩網(wǎng)絡(luò)連接可用于所述蜂窩移動設(shè)備并且所述無線局域網(wǎng)連接不可用時，推遲所述快速重新連接，直到從用戶應用程序接收到應用層數(shù)據(jù)并準備將該應用層數(shù)據(jù)通過所述基于分組的蜂窩網(wǎng)絡(luò)連接經(jīng)由所述VPN連接發(fā)送至所述遠程VPN安全設(shè)備。13.根據(jù)權(quán)利要求12所述的方法，其中，識別傳輸機制集合包括從所述蜂窩移動設(shè)備的操作系統(tǒng)接收信號機信號，以確定所述無線局域網(wǎng)連接和所述基于分組的蜂窩網(wǎng)絡(luò)連接是否可用于所述蜂窩移動設(shè)備。全文摘要一種用于移動設(shè)備的具有快速重新連接的VPN網(wǎng)絡(luò)客戶端。VPN網(wǎng)絡(luò)客戶端建立與遠程VPN安全設(shè)備的安全VPN連接。VPN網(wǎng)絡(luò)客戶端建立與安全VPN網(wǎng)關(guān)的安全控制信道，并且一旦成功認證就接收具有唯一標識符的會話小文件。如果與安全VPN網(wǎng)關(guān)的通信隨后暫時丟失，則VPN網(wǎng)絡(luò)客戶端通過將會話小文件通信至安全VPN網(wǎng)關(guān)執(zhí)行快速重新連接而不需要重新認證蜂窩移動設(shè)備。在執(zhí)行快速重新連接前，VPN網(wǎng)絡(luò)客戶端識別當前可用于蜂窩移動設(shè)備的一組傳輸機制，當只有蜂窩網(wǎng)絡(luò)可用并且無線基于分組的連接不可用時，VPN網(wǎng)絡(luò)客戶端推遲快速重新連接，直到從用戶應用程序接收應用層數(shù)據(jù)并準備將應用層數(shù)據(jù)經(jīng)由VPN連接發(fā)送至遠程VPN安全設(shè)備。文檔編號H04L29/06GK102316092SQ20111018258公開日2012年1月11日申請日期2011年6月30日優(yōu)先權(quán)日2010年6月30日發(fā)明者理查德·坎姆帕格納,蘇布拉馬尼亞恩·耶爾,詹姆斯·伍德,韋崟申請人:叢林網(wǎng)絡(luò)公司