專利名稱:基于動態(tài)ip地址的虛擬專用網(wǎng)實現(xiàn)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于動態(tài)IP地址的虛擬專用網(wǎng)實現(xiàn)方法及系統(tǒng)��。
VPN的工作原理基于IP的VPN基本上歸結(jié)為兩類撥號VPN(一般稱為VDPN����,即虛擬撥號專網(wǎng))和專線VPN(Dedicated VPN��,即專線的VPN)����,完整的VPN解決方案通常把撥號VPN和專線VPN組合在一起來滿足所有用戶的使用需求����。
撥號VPN撥號VPN(即VDPN)為移動用戶和遠程辦公用戶提供了對公司企業(yè)網(wǎng)的遠程訪問�����。這是當(dāng)今最常見的一種VPN部署形式���,主要是基于L2F(Layer 2Forwarding Protocol)協(xié)議�����。VDPN允許多個不同領(lǐng)域的用戶都能通過公共網(wǎng)絡(luò)或者Internet或其他公用網(wǎng)絡(luò)獲得安全的通路到他們的企業(yè)內(nèi)部網(wǎng)絡(luò)�����。撥號VPN又可分為客戶發(fā)起的(Client-Initiatcd)VPN和NAS發(fā)起的VPN��。
在客戶發(fā)起的VPN中��,用戶撥號到本地的POP���,由客戶來發(fā)出請求并建立到其企業(yè)內(nèi)部網(wǎng)的加密隧道。為了建立一個安全的連接,客戶端運行IPsec軟件���,客戶軟件與公司內(nèi)部網(wǎng)絡(luò)防火墻上的IPsec進程通信����,或者直接與支持IPsec的路由器通信�,確保連接的安全性。這種形式的VPN特點是(1)遠程用戶能夠同時與多個Home Gateway建立IP Tunnel��。
(2)遠程用戶不必重新?lián)芴?����,就可以進入另一個網(wǎng)絡(luò)���。
(3)VPN的建立和管理與ISP無關(guān)�。
(4)這種加密的VPN隧道對于服務(wù)提供商而言是透明的�,在客戶端需要專用的撥號軟件(5)客戶端需要知道企業(yè)的固定IP地址,以便向企業(yè)的服務(wù)器進行認(rèn)證����。
在NAS發(fā)起的VPN中��,由服務(wù)提供商POP中的NAS請求并創(chuàng)建到客戶公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)協(xié)議來建立到客戶Home Gateway的安全隧道�����。
在這種撥號VPN形式中��,用戶認(rèn)證分兩級處理���。當(dāng)用戶撥入時���,首先由服務(wù)提供商NAS執(zhí)行基本的認(rèn)證,這個認(rèn)證僅僅識別出用戶的公司身份����。然后,NAS打開到用戶公司Home Gateway的隧道�,由Home Gateway來執(zhí)行用戶級的認(rèn)證功能。這種VPN形式在認(rèn)證時��,服務(wù)提供商也需要知道企業(yè)的Home Gateway的IP地址�。
專線VPN在基于IP Tunnel的專線VPN中,PPP數(shù)據(jù)包流通過共享IP網(wǎng)絡(luò)上的隧道進行傳輸��。隧道是由隧道協(xié)議形成的�,這與流行的各種網(wǎng)絡(luò)是依靠相應(yīng)的網(wǎng)絡(luò)協(xié)議完成通信沒有區(qū)別。為了傳輸來自不同網(wǎng)絡(luò)的數(shù)據(jù)包,最普遍使用的方法是先把各種網(wǎng)絡(luò)協(xié)議(IP�����、IPX和AppleTalk等)封裝到PPP里���,再把這整個PPP數(shù)據(jù)包裝入隧道協(xié)議里�����。在這種情況下��,需要知道各個端點的固定IP地址����。
在基于虛擬電路(Vitual Circuit)的VPN中�,服務(wù)提供商可以提供虛擬電路來建立IP VPN服務(wù)。用PVC在幀中繼(Frame Relay)和ATM網(wǎng)絡(luò)中建立點對點連接���,并通過路由器來管理第三層的信息�。電信運營商或者郵電局可以采用這種辦法��,充分利用其現(xiàn)有的幀交換(如幀中繼)或信元交換(如ATM)基礎(chǔ)設(shè)施提供IP VPN服務(wù)��。
由上述可知���,無論是撥號VPN還是專線VPN都至少需要一個固定的IP地址來作為鑒權(quán)控制的中心���。但是對于小型企業(yè),或者連鎖型企業(yè)���,各個分支都比較小�,采用基于動態(tài)IP的寬帶或者窄帶接入是最經(jīng)濟的方式���,但是在現(xiàn)有技術(shù)的方式下難于采用傳統(tǒng)的VPN技術(shù)建立動態(tài)IP用戶群之間的VPN����,除非通過人工的途徑相互交流目前的IP地址���。對于個人小團體來尤其如此���。
本發(fā)明的方法包括以下步驟在IP公網(wǎng)中建立管理動態(tài)IP地址的地址服務(wù)器;虛擬專用網(wǎng)的網(wǎng)關(guān)通過建立到IP公網(wǎng)的連接以獲得出口處的公網(wǎng)IP地址�;虛擬專用網(wǎng)網(wǎng)關(guān)在地址服務(wù)器中注冊,至少將網(wǎng)關(guān)名稱及動態(tài)IP地址注冊到地址服務(wù)器中���;當(dāng)發(fā)起端需要連接至目標(biāo)網(wǎng)關(guān)時�����,發(fā)起端的網(wǎng)關(guān)先從地址服務(wù)器中查詢以獲得目標(biāo)網(wǎng)關(guān)的IP地址�,并利用該IP地址建立連接。
本發(fā)明的系統(tǒng)至少包括IP網(wǎng)絡(luò)以及與該網(wǎng)絡(luò)連接的虛擬專用網(wǎng)網(wǎng)關(guān)�,其結(jié)構(gòu)特點在于所述IP網(wǎng)絡(luò)中連接有管理動態(tài)IP地址的地址服務(wù)器,該地址服務(wù)器中設(shè)置有動態(tài)IP地址管理模塊和數(shù)據(jù)模塊�����;所述虛擬專用網(wǎng)網(wǎng)關(guān)通過IP網(wǎng)絡(luò)向地址服務(wù)器發(fā)送至少包括自身名稱和動態(tài)IP地址的信息�����;所述動態(tài)IP地址管理模塊將虛擬專用網(wǎng)網(wǎng)關(guān)的信息存儲于數(shù)據(jù)模塊中����,根據(jù)發(fā)起端的查詢請求從數(shù)據(jù)模塊中獲取目標(biāo)網(wǎng)關(guān)的動態(tài)IP地址,由地址服務(wù)器提供給發(fā)起端網(wǎng)關(guān)�。
本發(fā)明通過增加動態(tài)IP地址注冊和查詢的機制,實現(xiàn)動態(tài)IP地址情況下VPN的自動建立�,有效的解決了現(xiàn)有技術(shù)難于采用傳統(tǒng)的VPN技術(shù)建立動態(tài)IP用戶群之間的VPN的技術(shù)問題,而對VPN本身的建立過程沒有任何影響����。與現(xiàn)有技術(shù)相比���,本發(fā)明簡單���,容易實現(xiàn)�。對于地址服務(wù)器��,還可以利用INTERNET網(wǎng)上普遍采用的WEB�����,WEB SERVICE�����,LDAP�����,DNS等公共服務(wù)來實現(xiàn)����,因而其實現(xiàn)成本較低��。
圖1為實現(xiàn)本發(fā)明的系統(tǒng)框圖���;圖2為本發(fā)明的流程圖;圖3為本發(fā)明中VPN網(wǎng)關(guān)注冊的流程圖�����;圖4為VPN建立過程示意圖��;圖5是本發(fā)明的地址服務(wù)器采用WEB服務(wù)器實現(xiàn)的流程圖�。
參閱圖4,圖中表示出了虛擬專用網(wǎng)網(wǎng)關(guān)A和網(wǎng)關(guān)B之間建立連接的過程���。VPN網(wǎng)關(guān)A和VPN網(wǎng)關(guān)B出口處的公網(wǎng)IP地址61.145.x.x�、61.135.x.x����,名稱,授權(quán)密碼以及其它相關(guān)信息已注冊于地址服務(wù)器中��,當(dāng)VPN網(wǎng)關(guān)B需要與VPN網(wǎng)關(guān)A建立連接時��,VPN網(wǎng)關(guān)B通過固定IP地址66.77.9.76與地址服務(wù)器建立連接�����,并通過VPN網(wǎng)關(guān)A的授權(quán)認(rèn)證,從服務(wù)器中查詢得到VPN網(wǎng)關(guān)動態(tài)的公網(wǎng)IP地址61.145.x.x�����。VPN網(wǎng)關(guān)B根據(jù)得到的目標(biāo)網(wǎng)關(guān)A的IP地址61.145.x.x����,進行VPN建立的協(xié)商����,完成之后VPN網(wǎng)關(guān)A和VPN網(wǎng)關(guān)B之間便建立起了VPN隧道。
本發(fā)明中的地址服務(wù)器可為復(fù)數(shù)個��,并根據(jù)地域進行合理分布���。
地址服務(wù)器可為獨立的服務(wù)器���,也利用INTERNET網(wǎng)上普遍采用的WEB,WEBSERVICE�����,LDAP,DNS等公共服務(wù)來實現(xiàn)�;地址服務(wù)器采用WEB SERVICE的方式建立,VPN網(wǎng)關(guān)可以通過SOAPI和地址服務(wù)交互�,通過UDDI發(fā)現(xiàn)該服務(wù);地址服務(wù)器采用LDAP SERVER來提供�,VPN網(wǎng)關(guān)可以通過LDAP協(xié)議和地址服務(wù)交互;地址服務(wù)器采用基于TCP/IP的自定義協(xié)議來進行�,VPN網(wǎng)關(guān)通過承載在TCP/IP協(xié)議之上的自定義協(xié)議來和地址服務(wù)交互。
圖4則表示出了地址服務(wù)器采用WEB服務(wù)器實現(xiàn)時的流程���。由于一般的企業(yè)都具有WEB網(wǎng)站��,所以可以將該服務(wù)嵌入到自己的網(wǎng)站中���,可靠性和安全性可以由企業(yè)自己控制,同時VPN網(wǎng)關(guān)需要配置對應(yīng)服務(wù)的網(wǎng)頁地址��。從圖中可看出����,VPN網(wǎng)關(guān)A和VPN網(wǎng)關(guān)B與地址服務(wù)器之間的交互流程發(fā)生了改變,利用HTTP協(xié)議承載了相關(guān)的注冊和查詢信息�����。
一個企業(yè)可以擁有自己的地址服務(wù)器,這樣企業(yè)所有的聯(lián)網(wǎng)都可以用撥號接入�,或者ADSL等的方式接入,而不需要運營商提供特別的支持����。
也可以有獨立的服務(wù)提供商,向公眾提供這樣的服務(wù)����,這樣對于企業(yè)而言,可以完全僅僅利用撥號接入或者ADSL動態(tài)接入方式����,連接起來�����,自己也不需要維護地址服務(wù)器���。
本發(fā)明充分利用的了公共的地址服務(wù)器部件�,使得VPN網(wǎng)關(guān)在不知道目標(biāo)VPN的固定IP地址的情況下����,可以方便的建立VPN網(wǎng)絡(luò)����。對于采用完全分布的撥號接入的企業(yè)是非常方便和經(jīng)濟的�����。
權(quán)利要求
1.基于動態(tài)IP地址的虛擬專用網(wǎng)(VPN)實現(xiàn)方法�,其特征在于包括以下步驟在IP公網(wǎng)中建立管理動態(tài)IP地址的地址服務(wù)器;虛擬專用網(wǎng)的網(wǎng)關(guān)通過建立到IP公網(wǎng)的連接以獲得出口處的公網(wǎng)IP地址����;虛擬專用網(wǎng)網(wǎng)關(guān)在地址服務(wù)器中注冊,至少將網(wǎng)關(guān)名稱及動態(tài)IP地址注冊到地址服務(wù)器中����;當(dāng)發(fā)起端需要連接至目標(biāo)網(wǎng)關(guān)時,發(fā)起端的網(wǎng)關(guān)先從地址服務(wù)器中查詢以獲得目標(biāo)網(wǎng)關(guān)的IP地址��,并利用該IP地址建立連接�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于所述的地址服務(wù)器為獨立的地址服務(wù)器。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于所述的地址服務(wù)器為復(fù)數(shù)個�����,并根據(jù)地域進行分布��。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于所述的地址服務(wù)器為WEB服務(wù)器��,該WEB服務(wù)器采用超文本傳輸協(xié)議(HTTP)與虛擬專用網(wǎng)的網(wǎng)關(guān)交流。
5.根據(jù)權(quán)利要求1所述的方法�����,其特征在于所述地址服務(wù)器采用WEBSERVICE的方式建立�����,虛擬專用網(wǎng)關(guān)通過SOAPI與地址服務(wù)器交互。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于所述地址服務(wù)器采用LDAPSERVER來提供����,虛擬專用網(wǎng)關(guān)通過LDAP協(xié)議與地址服務(wù)器交互。
7.根據(jù)權(quán)利要求1所述的方法����,其特征在于虛擬專用網(wǎng)網(wǎng)關(guān)在地址服務(wù)器中注冊時還包括將認(rèn)證密碼注冊到地址服務(wù)器中。
8.根據(jù)權(quán)利要求1所述的方法���,其特征在于發(fā)起端網(wǎng)關(guān)接入IP公網(wǎng)的IP地址是動態(tài)方式分配的���。
9.根據(jù)權(quán)利要求1所述的方法,其特征在于發(fā)起端網(wǎng)關(guān)從地址服務(wù)器中查尋目標(biāo)網(wǎng)關(guān)的IP地址之前進行授權(quán)認(rèn)證����,對通過授權(quán)認(rèn)證的網(wǎng)關(guān),地址服務(wù)器提供查詢服務(wù)�,否則拒絕查詢。
10.一種實現(xiàn)如權(quán)利要求1所述方法的系統(tǒng)�����,至少包括IP網(wǎng)絡(luò)以及與該網(wǎng)絡(luò)連接的虛擬專用網(wǎng)網(wǎng)關(guān),其特在于所述IP網(wǎng)絡(luò)中連接有管理動態(tài)IP地址的地址服務(wù)器�,該地址服務(wù)器中設(shè)置有動態(tài)IP地址管理模塊和數(shù)據(jù)模塊;所述虛擬專用網(wǎng)網(wǎng)關(guān)通過IP網(wǎng)絡(luò)向地址服務(wù)器發(fā)送至少包括自身名稱和動態(tài)IP地址的信息�����;所述動態(tài)IP地址管理模塊將虛擬專用網(wǎng)網(wǎng)關(guān)的信息存儲于數(shù)據(jù)模塊中��,根據(jù)發(fā)起端的查詢請求從數(shù)據(jù)模塊中獲取目標(biāo)網(wǎng)關(guān)的動態(tài)IP地址����,由地址服務(wù)器提供給發(fā)起端網(wǎng)關(guān)。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其特征在于所述的地址服務(wù)器為復(fù)數(shù)個���,并根據(jù)地域進行分布�。
12.根據(jù)權(quán)利要求10所達的系統(tǒng)���,其特征在于所述的數(shù)據(jù)模塊中還包括虛擬專用網(wǎng)關(guān)的授權(quán)信息及其它相關(guān)信息。
13.根據(jù)權(quán)利要求10所述的系統(tǒng)�,其特征在于所述的地址服務(wù)器為WEB服務(wù)器��,該WEB服務(wù)器采用超文本傳輸協(xié)議(HTTP)與虛擬專用網(wǎng)的網(wǎng)關(guān)交流��。
14.根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其特征在于所述地址服務(wù)器為WEBSERVICE的服務(wù)器�����,虛擬專用網(wǎng)關(guān)通過SOAP與地址服務(wù)器交互����。
15.根據(jù)權(quán)利要求10所述的系統(tǒng)���,其特征在于所述地址服務(wù)器為LDAPSERVER服務(wù)器�,虛擬專用網(wǎng)關(guān)通過LDAP協(xié)議與地址服務(wù)器交互�����。
全文摘要
本發(fā)明公開了一種基于動態(tài)IP地址的虛擬專用網(wǎng)(VPN)實現(xiàn)方法及系統(tǒng)���,該方法包括如下步驟在IP公網(wǎng)中建立管理動態(tài)IP地址的地址服務(wù)器��;虛擬專用網(wǎng)網(wǎng)關(guān)將動態(tài)IP地址及名稱等信息注冊到地址服務(wù)器中����;當(dāng)發(fā)起端網(wǎng)關(guān)需要連接至目標(biāo)網(wǎng)關(guān)時,發(fā)起端的網(wǎng)關(guān)先從地址服務(wù)器中查詢以獲得目標(biāo)網(wǎng)關(guān)的IP地址�,并利用該IP地址建立連接。本發(fā)明的系統(tǒng)��,包括IP網(wǎng)絡(luò)�,與該網(wǎng)絡(luò)連接的虛擬專用網(wǎng)網(wǎng)關(guān)及管理動態(tài)IP地址的地址服務(wù)器,該地址服務(wù)器中設(shè)置有動態(tài)IP地址管理模塊和數(shù)據(jù)模塊����;本發(fā)明充分利用的了公共的地址服務(wù)器部件,使得VPN網(wǎng)關(guān)在不知道目標(biāo)VPN的固定IP地址的情況下����,可以方便的建立VPN網(wǎng)絡(luò)。對于采用撥號接入IP網(wǎng)絡(luò)的企業(yè)非常方便和經(jīng)濟�。
文檔編號H04L12/24GK1476204SQ02125760
公開日2004年2月18日 申請日期2002年8月16日 優(yōu)先權(quán)日2002年8月16日
發(fā)明者羅聲, 羅 聲 申請人:華為技術(shù)有限公司