動(dòng)態(tài)vpn地址分配的制作方法
【專利摘要】提出了關(guān)于當(dāng)通過公用網(wǎng)絡(luò)在與本地網(wǎng)絡(luò)相關(guān)聯(lián)的本地計(jì)算機(jī)和位于本地網(wǎng)絡(luò)之外的遠(yuǎn)程計(jì)算機(jī)間建立安全通信鏈路時(shí)自動(dòng)避免地址沖突的方法和相關(guān)系統(tǒng)。為了避免地址沖突,所保留的由本地網(wǎng)絡(luò)使用的地址和所保留的由遠(yuǎn)程網(wǎng)絡(luò)使用的地址被確定。從有效本地地址中選擇至少一個(gè)本地地址如此以使所選擇的本地地址是不與本地網(wǎng)絡(luò)的保留地址和遠(yuǎn)程網(wǎng)絡(luò)的保留地址沖突的地址。所選擇的地址被結(jié)合于本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間的安全通信鏈路的建立而使用。
【專利說明】動(dòng)態(tài)VPN地址分配
[0001]相關(guān)申請(qǐng)
[0002]本申請(qǐng)根據(jù)35U.S.C.§ 119要求2011年7月8日遞交的名稱為“Dynamic VPNAddress Allocation”的美國(guó)臨時(shí)專利申請(qǐng)序列N0.61/505, 754的優(yōu)先權(quán),出于所有目的該申請(qǐng)的全部?jī)?nèi)容通過引用的方式結(jié)合于此。
【背景技術(shù)】
[0003]虛擬專用網(wǎng)絡(luò)(VPN)被廣泛的應(yīng)用于計(jì)算機(jī)(包括計(jì)算機(jī)化的設(shè)備)和/或不安全網(wǎng)絡(luò)上的計(jì)算機(jī)網(wǎng)絡(luò)間的安全連接。不安全的計(jì)算機(jī)網(wǎng)絡(luò)可以是公用網(wǎng)絡(luò)、專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的結(jié)合。為了在這些不安全的網(wǎng)絡(luò)間安全地傳輸信息,計(jì)算機(jī)通常建立連接并且通過將信息分解成多個(gè)數(shù)據(jù)分組和通過網(wǎng)絡(luò)將該數(shù)據(jù)分組從源傳送到目標(biāo)來進(jìn)行通信。一旦被目標(biāo)接收,通過以適當(dāng)?shù)姆绞胶喜⑺邮盏降臄?shù)據(jù)分組來還原信息。使用定義好的格式(也稱為協(xié)議)來創(chuàng)建數(shù)據(jù)分組,以確保源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)能成功地對(duì)信息打包和拆包。
[0004]網(wǎng)際協(xié)議(IP)是常用于通過大部分專用網(wǎng)絡(luò)和公用互聯(lián)網(wǎng)發(fā)送信息的標(biāo)準(zhǔn)協(xié)議。因特網(wǎng)社區(qū)對(duì)兩個(gè)版本的IP協(xié)議進(jìn)行了標(biāo)準(zhǔn)化,即版本4 (IPv4)和版本6 (IPv6)O IPv4和IPv6,這兩個(gè)版本都需要用于指示源計(jì)算機(jī)和目標(biāo)計(jì)算機(jī)的網(wǎng)絡(luò)位置的數(shù)字地址,數(shù)字地址被置于每一個(gè)數(shù)據(jù)分組的頭部分。這種數(shù)字地址被稱為源地址和目標(biāo)地址。
[0005]網(wǎng)際協(xié)議版本4,IPv4需要對(duì)源地址和目標(biāo)地址中的每一者分配4個(gè)字節(jié)(byte),提供高達(dá)232個(gè)唯一地址。然而,這一地址大小不支持所需的網(wǎng)絡(luò)地址和高效網(wǎng)絡(luò)路由的最終數(shù)目的需求。這一地址限制常通過創(chuàng)建公用地址和專用地址這兩個(gè)地址類別來解決。專用地址被留作在專用網(wǎng)絡(luò)中使用并且可由任意數(shù)目的專用網(wǎng)絡(luò)獨(dú)立地復(fù)制和使用。
[0006]為了通過公用互聯(lián)網(wǎng)將數(shù)據(jù)分組從具有專用地址的計(jì)算機(jī)發(fā)送至另一臺(tái)計(jì)算機(jī),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)可用于將使用專用地址的分組轉(zhuǎn)換為使用公用地址的分組。地址轉(zhuǎn)換通常在充當(dāng)公用互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)間的網(wǎng)關(guān)的計(jì)算機(jī)上完成。
【發(fā)明內(nèi)容】
[0007]此處公開的某些實(shí)施方式涉及一方法和實(shí)施該方法的相應(yīng)系統(tǒng)或計(jì)算機(jī),所述方法和系統(tǒng)或計(jì)算機(jī)用于當(dāng)通過公用網(wǎng)絡(luò)在與本地網(wǎng)絡(luò)相關(guān)聯(lián)的本地計(jì)算機(jī)和位于本地網(wǎng)絡(luò)之外的并且與遠(yuǎn)程網(wǎng)絡(luò)相關(guān)聯(lián)的遠(yuǎn)程計(jì)算機(jī)之間建立安全通信鏈路時(shí)自動(dòng)避免地址沖突。在一些實(shí)施方式中,至少一個(gè)處理器被配置和安排以(a)確定被保留用于本地網(wǎng)絡(luò)使用的地址和被保留用于遠(yuǎn)程網(wǎng)絡(luò)使用的地址;(b)從多個(gè)有效本地地址中選擇至少一個(gè)本地地址,所選擇的本地地址是不與本地網(wǎng)絡(luò)的保留地址和遠(yuǎn)程網(wǎng)絡(luò)的保留地址相沖突的地址;以及(C)將所選擇的本地地址與在本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間的安全通信鏈路的建立相關(guān)聯(lián)結(jié)合。
[0008]此處公開的一些實(shí)施方式涉及方法和實(shí)施方法的相應(yīng)系統(tǒng)或計(jì)算機(jī),用于通過公用網(wǎng)絡(luò)在與第一本地網(wǎng)絡(luò)相關(guān)聯(lián)的第一計(jì)算機(jī)和與第二本地網(wǎng)絡(luò)相關(guān)聯(lián)的第二計(jì)算機(jī)間建立虛擬專用網(wǎng)絡(luò)。在一些實(shí)施方式中,至少一個(gè)處理器被配置和安排為針對(duì)共同建立安全通信鏈路的第一和第二計(jì)算機(jī)中的每一者自動(dòng)生成新的本地網(wǎng)絡(luò)地址,否則本地網(wǎng)絡(luò)地址與在各自的本地網(wǎng)絡(luò)上使用的其他地址將發(fā)生沖突。
[0009]在一些實(shí)施方式中,從多個(gè)有效遠(yuǎn)程地址中選擇至少一個(gè)遠(yuǎn)程地址,如此以使所選擇的遠(yuǎn)程地址是不與遠(yuǎn)程網(wǎng)絡(luò)的保留地址沖突的地址。所選擇的本地地址和所選擇的遠(yuǎn)程地址可以結(jié)合安全通信鏈路的建立而被使用。在某些實(shí)施方式中,所選擇的本地地址可能是不與所選擇的遠(yuǎn)程地址相沖突的地址。在一些實(shí)施方式中,所選擇的遠(yuǎn)程地址可能是不與所選擇的本地地址相沖突的地址。在一些實(shí)施方式中,所選擇的遠(yuǎn)程地址可以被添加至本地網(wǎng)絡(luò)的保留地址中并且當(dāng)安全連接斷開時(shí)被從本地網(wǎng)絡(luò)的保留地址中移除。在一些實(shí)施方式中,所選擇的本地地址可以被添加至遠(yuǎn)程網(wǎng)絡(luò)的保留地址中并且當(dāng)安全連接斷開時(shí)被從遠(yuǎn)程網(wǎng)絡(luò)的保留地址中移除。
[0010]此處公開的一些實(shí)施方式涉及方法和實(shí)施方法的相應(yīng)系統(tǒng)或計(jì)算機(jī),用于給建立安全通信鏈路提供域名服務(wù),如此以使通過公用網(wǎng)絡(luò)在至少兩個(gè)計(jì)算機(jī)間提供安全通信,至少兩個(gè)計(jì)算機(jī)中的至少一個(gè)被連接至本地網(wǎng)絡(luò)。在一些實(shí)施方式中,域名服務(wù)系統(tǒng)被配置為(a)被連接至通信網(wǎng)絡(luò);(b)指示域名服務(wù)是否支持建立安全通信網(wǎng)絡(luò);(C)給計(jì)算機(jī)中的每一者指定地址,以用于在兩個(gè)計(jì)算機(jī)間建立安全通信鏈路;以及(d)當(dāng)被指定的地址與計(jì)算機(jī)所附著的本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突或與第一兩個(gè)計(jì)算機(jī)中的至少一者連接的現(xiàn)有安全通信鏈路上的第三計(jì)算機(jī)相關(guān)聯(lián)的地址沖突時(shí),將不同的地址用于計(jì)算機(jī)中的每一者以用于建立安全通信鏈路。
[0011]此處公開的某些實(shí)施方式涉及方法和實(shí)施方法的相應(yīng)系統(tǒng)或計(jì)算機(jī),用于向建立安全通信鏈路提供域名服務(wù),如此以使在連接至本地網(wǎng)絡(luò)的至少一個(gè)計(jì)算機(jī)和連接至第二本地網(wǎng)絡(luò)的多個(gè)計(jì)算機(jī)中的每一者之間通過公用網(wǎng)絡(luò)提供安全通信。在某些實(shí)施方式中,域名服務(wù)系統(tǒng)被配置為(a)被連接至通信網(wǎng)絡(luò);(b)指示域名服務(wù)是否支持建立安全通信鏈路;以及(C)給計(jì)算機(jī)中的每一者指定地址,以用于在一個(gè)計(jì)算機(jī)和多個(gè)計(jì)算機(jī)中的每一者間建立安全通信鏈路,如此使得每一個(gè)被指定的地址不與已關(guān)聯(lián)于連接至每個(gè)計(jì)算機(jī)的本地網(wǎng)絡(luò)的地址沖突。
[0012]此處公開的某些實(shí)施方式涉及方法和實(shí)施方法的相應(yīng)系統(tǒng)或計(jì)算機(jī),用于在本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)之間執(zhí)行通信。在一些實(shí)施方式中,在本地計(jì)算機(jī)上,多個(gè)地址所選擇以用于與遠(yuǎn)程計(jì)算機(jī)通信。所選擇的地址是除了本地計(jì)算機(jī)和附著其上的設(shè)備當(dāng)前正在使用的現(xiàn)有地址外的地址。對(duì)照遠(yuǎn)程計(jì)算機(jī)和附著其上的設(shè)備當(dāng)前正在使用的現(xiàn)有地址,驗(yàn)證所選擇的多個(gè)地址中的地址,并且在該地址沒有被遠(yuǎn)程計(jì)算機(jī)使用的情況下,該地址被用于執(zhí)行本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間的通信。
[0013]在一些實(shí)施方式中,在建立安全通信鏈路時(shí),所選擇的本地地址可用于本地計(jì)算機(jī)的選址。在一些實(shí)施方式中,所選擇的本地地址可包括網(wǎng)際協(xié)議(IP)地址。在某些實(shí)施方式中,所選擇的本地地址可包括IP地址和網(wǎng)絡(luò)掩碼。所選擇的本地地址可從被配置為包括多個(gè)有效本地地址的表格中生成。所選擇的地址可以隨機(jī)或偽隨機(jī)地(pseudo-randomly )生成。
[0014]在一些實(shí)施方式中,從多個(gè)有效遠(yuǎn)程地址中選擇至少一個(gè)遠(yuǎn)程地址。所選擇的遠(yuǎn)程地址可以是不與遠(yuǎn)程網(wǎng)絡(luò)的保留地址沖突的地址;以及所選擇的本地地址和所選擇的遠(yuǎn)程地址可結(jié)合安全通信鏈路的建立來使用。
[0015]進(jìn)一步地,當(dāng)建立安全通信鏈路時(shí),所選擇的本地和遠(yuǎn)程地址可分別用于本地和遠(yuǎn)程計(jì)算機(jī)的選址。在一些實(shí)施方式中,所選擇的本地和遠(yuǎn)程地址可成對(duì)存儲(chǔ),并且每當(dāng)在該本地和遠(yuǎn)程計(jì)算機(jī)間建立安全通信鏈路時(shí)被重復(fù)使用。
[0016]在一些實(shí)施方式中,安全通信鏈路可以是虛擬專用網(wǎng)絡(luò)(VPN)鏈路。在某些實(shí)施方式中,安全通信鏈路可以是主機(jī)到主機(jī)的連接。在某些實(shí)施方式中,安全通信鏈路可以是主機(jī)到網(wǎng)絡(luò)的連接。在某些實(shí)施方式中,安全通信鏈路可以是網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接。
[0017]在一些實(shí)施方式中,多個(gè)有效本地地址可被配置為包括一系列未被使用的本地地址,并且可根據(jù)該一系列未被使用的本地地址來生成所選擇的本地地址。
[0018]在一些實(shí)施方式中,處理器可被配置和安排為將每一個(gè)本地地址與用于在本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間建立安全通信鏈路的會(huì)話發(fā)起協(xié)議相關(guān)聯(lián)結(jié)合。在一些實(shí)施方式中,處理器被配置和安排為生成作為用于在本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間建立安全通信鏈路的會(huì)話發(fā)起協(xié)議的一部分的本地地址。
[0019]在某些實(shí)施方式中,每一個(gè)所生成的本地地址和安全通信鏈路的建立間的關(guān)聯(lián)可響應(yīng)于對(duì)域名的請(qǐng)求。在某些實(shí)施方式中,每一個(gè)所生成的專用地址和安全通信鏈路的建立間的關(guān)聯(lián)可響應(yīng)于對(duì)安全域名的請(qǐng)求。
[0020]在某些實(shí)施方式中,遠(yuǎn)程計(jì)算機(jī)可與第二本地網(wǎng)絡(luò)相關(guān)聯(lián)并且可被分配不與第二本地網(wǎng)絡(luò)已使用的本地地址相沖突的第二本地地址。分配給本地計(jì)算機(jī)的本地地址和分配給遠(yuǎn)程計(jì)算機(jī)的第二本地網(wǎng)絡(luò)地址可用于允許在本地和遠(yuǎn)程計(jì)算機(jī)間通過安全通信鏈路進(jìn)行通信的路由。
[0021]在一些實(shí)施方式中,處理器被配置和安排為針對(duì)與本地網(wǎng)絡(luò)相關(guān)聯(lián)的相應(yīng)數(shù)目的本地計(jì)算機(jī)生成多個(gè)本地地址。在一些實(shí)施方式中,處理器可以被配置和安排為生成多個(gè)本地地址,該多個(gè)本地地址作為與在遠(yuǎn)程計(jì)算機(jī)和相應(yīng)的本地計(jì)算機(jī)中的每一者間的安全通信鏈路的建立相關(guān)聯(lián)的會(huì)話發(fā)起協(xié)議的一部分。
[0022]在某些實(shí)施方式中,安全通信鏈路可被建立以響應(yīng)于對(duì)相應(yīng)于域名的地址的請(qǐng)求。在某些實(shí)施方式中,安全通信鏈路可被建立以響應(yīng)于對(duì)相應(yīng)于安全域名的地址的請(qǐng)求。
[0023]在一些實(shí)施方式中,域名服務(wù)可被配置為通過對(duì)存在沖突的多個(gè)計(jì)算機(jī)中的計(jì)算機(jī)的每一者使用不同的地址,將不同地址用于在一個(gè)計(jì)算機(jī)和多個(gè)計(jì)算機(jī)中的至少那些計(jì)算機(jī)中的每一者間建立安全通信鏈路,其中,至少那些計(jì)算機(jī)中的每一者被指定的地址與已與計(jì)算機(jī)所附著的本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突。
[0024]在一些實(shí)施方式中,域名服務(wù)可被配置為當(dāng)任意計(jì)算機(jī)被指定的地址與已與該計(jì)算機(jī)所附著的本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突時(shí),通過給多個(gè)計(jì)算機(jī)中的全部計(jì)算機(jī)重新指定不同的地址,以將不同的地址用于多個(gè)計(jì)算機(jī)中的任意計(jì)算機(jī)。
【專利附圖】
【附圖說明】
[0025]附圖僅以示例而非限制的方式描述了根據(jù)本技術(shù)的一個(gè)或多個(gè)實(shí)施方式。在圖中,類似的參考數(shù)字指代相同或相似的元素。
[0026]圖1是許多現(xiàn)有虛擬專用網(wǎng)絡(luò)為了使能自動(dòng)化路由所使用的典型架構(gòu)的圖。
[0027]圖2A是包括與此處所公開的一些實(shí)施方式一起使用的網(wǎng)絡(luò)驅(qū)動(dòng)地址指定的示例的表格。
[0028]圖2B是圖2A中所示的示例地址指定的路由表格。
[0029]圖3A是包括三個(gè)示例專用地址塊和其相應(yīng)的網(wǎng)絡(luò)掩碼的表格。
[0030]圖3B是使用圖3A中所示的專用地址塊并且根據(jù)此處公開的某些實(shí)施方式的協(xié)商專用VPN地址的程序的流程圖。
[0031]圖4是根據(jù)此處公開的某些實(shí)施方式的指定虛擬網(wǎng)絡(luò)驅(qū)動(dòng)IP地址參數(shù)的流程圖。
[0032]圖5是根據(jù)此處公開的某些實(shí)施方式的選擇非沖突專用VPN地址對(duì)的流程圖。
[0033]圖6A是根據(jù)此處公開的某些實(shí)施方式的確定可在地址協(xié)商中使用的最大地址塊大小的圖。
[0034]圖6B是根據(jù)此處公開的某些實(shí)施方式的確定可在地址協(xié)商中使用的最大地址塊大小的流程圖。
[0035]圖7是根據(jù)此處公開的某些實(shí)施方式的生成非沖突專用地址對(duì)的流程圖。
[0036]圖8是使用網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備的虛擬專用網(wǎng)絡(luò)的框圖。
[0037]圖9A示出了在其中本地計(jì)算機(jī)的設(shè)備經(jīng)由虛擬專用網(wǎng)絡(luò)與遠(yuǎn)程計(jì)算機(jī)的設(shè)備通信的網(wǎng)絡(luò)。
[0038]圖9B示出了在其中本地計(jì)算機(jī)使用網(wǎng)絡(luò)地址轉(zhuǎn)換器設(shè)備的網(wǎng)絡(luò)架構(gòu)。
[0039]圖9C示出了在其中本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)都采用相應(yīng)的網(wǎng)絡(luò)地址轉(zhuǎn)換器設(shè)備的網(wǎng)絡(luò)架構(gòu)。
[0040]圖10是根據(jù)此處公開的某些實(shí)施方式選擇網(wǎng)絡(luò)掩碼地址的流程圖。
[0041]圖11是選擇非沖突專用網(wǎng)絡(luò)掩碼地址塊的程序的流程圖。
[0042]圖12是根據(jù)此處描述的某些實(shí)施方式的選擇非沖突網(wǎng)絡(luò)地址對(duì)的程序的流程圖。
【具體實(shí)施方式】
[0043]在下面的詳細(xì)描述中,許多具體細(xì)節(jié)將通過示例的方式闡述,以提供對(duì)相關(guān)技術(shù)的徹底地了解。然后,顯而易見的對(duì)于本領(lǐng)域的技術(shù)人員可不需要這些細(xì)節(jié)來實(shí)現(xiàn)現(xiàn)有技術(shù)。在其他例子中,公知方法、程序、部件和/或電路已經(jīng)在相對(duì)較高等級(jí)描述而沒有細(xì)節(jié),以避免對(duì)本技術(shù)的方面造成不必要的模糊。
[0044]可以理解的是本領(lǐng)域的技術(shù)人員根據(jù)下面的詳細(xì)描述將易于理解主題技術(shù)的其他配置,下面的詳細(xì)描述中該主題技術(shù)的多種配置被以說明的方式示出并描述。正如將認(rèn)識(shí)到的,該主題技術(shù)能具有其他的和不同的配置并且其幾個(gè)細(xì)節(jié)能在其他不同的方面被修改,所有這些都不偏離主題技術(shù)的范圍。相應(yīng)地,附圖和詳細(xì)描述本質(zhì)上被認(rèn)為是說明性的而非限制性的。
[0045]用于建立安全通信的技術(shù)和其相關(guān)的程序在2003年11月7日遞交的美國(guó)專利申請(qǐng)序列N0.10/702,522現(xiàn)在專利號(hào)6,839,759、2003年11月18日遞交的美國(guó)專利申請(qǐng)序列N0.10/714,849現(xiàn)在專利號(hào)7,418,504、2011年10月31日遞交的美國(guó)專利申請(qǐng)序列N0.13/285,962和2011年12月23日遞交的美國(guó)專利申請(qǐng)序列N0.13/336,790中進(jìn)行了描述,這些專利申請(qǐng)中的技術(shù)整體通過引用結(jié)合至此。
[0046]虛擬專用網(wǎng)絡(luò)(VPN)可用于通過在網(wǎng)絡(luò)上傳送數(shù)據(jù)前加密信息數(shù)據(jù)分組并在目標(biāo)源處解密被傳送的信息來提供通信安全性。進(jìn)一步地,VPN可封裝和加密專用源地址和目標(biāo)地址以提供匿名性和允許專用地址被用在每個(gè)端,如此以使在各自的源本地網(wǎng)絡(luò)和目標(biāo)本地網(wǎng)絡(luò)上的通信計(jì)算機(jī)可唯一地被識(shí)別。
[0047]虛擬專用網(wǎng)絡(luò)分組常使用非加密的VPN分組源地址和目標(biāo)地址來轉(zhuǎn)發(fā)分組并且最終將其輸送至預(yù)期目標(biāo)計(jì)算機(jī),該源地址和目標(biāo)地址通常是公用網(wǎng)絡(luò)上的外部可見的地址并且被外部網(wǎng)絡(luò)路由器使用。
[0048]進(jìn)一步地,VPN網(wǎng)絡(luò)使用被封裝的專用地址以使能實(shí)現(xiàn)設(shè)備到設(shè)備的VPN安全性。這提供了致使通過VPN的指向VPN連接的遠(yuǎn)端上的計(jì)算機(jī)的所有IP分組的自動(dòng)化路由的設(shè)備級(jí)安全性,而不論計(jì)算機(jī)應(yīng)用創(chuàng)建和使用IP插口。
[0049]協(xié)調(diào)能支持多個(gè)同步VPN連接的非沖突專用地址塊分配對(duì)網(wǎng)絡(luò)管理員造成重大挑戰(zhàn),因?yàn)檫@樣的協(xié)調(diào)要求在每個(gè)VPN站點(diǎn)的網(wǎng)絡(luò)管理員商定符合其現(xiàn)有網(wǎng)絡(luò)配置并且與其他網(wǎng)絡(luò)站點(diǎn)不沖突的專用地址范圍。更復(fù)雜的情況是其他計(jì)算機(jī)可能使用相同的專用地址連接至不同的專用網(wǎng)絡(luò),造成分組尋址模糊不清。相應(yīng)地,期望有更透明的自動(dòng)化專用地址分配方法。
[0050]VPN常使用IP尋址以使得VPN上的計(jì)算機(jī)能夠?qū)⒎纸M在加密通道中從VPN上的一個(gè)計(jì)算機(jī)路由至VPN上的另一個(gè)計(jì)算機(jī)。在VPN連接建立前或建立時(shí)這些源IP地址必須被分配和指定給參與的計(jì)算機(jī)。必須完成地址分配以避免與已有或保留的網(wǎng)絡(luò)地址的路由沖突??稍赩PN服務(wù)器設(shè)備設(shè)置期間通過選擇專用地址塊來執(zhí)行地址分配,該專用地址塊是已知的或者至少被認(rèn)為不會(huì)與參與的計(jì)算機(jī)的地址沖突。這可對(duì)半靜態(tài)應(yīng)用具有相當(dāng)可信度地執(zhí)行,例如員工旅行計(jì)算機(jī)的企業(yè)VPN服務(wù)器。
[0051]然而,在更加動(dòng)態(tài)的場(chǎng)景中,其中計(jì)算機(jī)將VPN連接設(shè)置并裝配至多個(gè)計(jì)算機(jī)和/或計(jì)算機(jī)網(wǎng)絡(luò),先前選擇和管理非沖突安全I(xiàn)P地址變得困難。隨著參與的計(jì)算機(jī)和同步連接的數(shù)目的增加,選擇和管理的難度呈幾何級(jí)數(shù)增加。本發(fā)明提供了一種獨(dú)特的并且有效的途徑來解決該難題而不需呈幾何級(jí)數(shù)增加的計(jì)算。
[0052]圖1示出了可用來使能實(shí)現(xiàn)自動(dòng)化路由的架構(gòu)。如圖1所示,通過創(chuàng)建虛擬網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)器來實(shí)施VPN。如圖1所示,包括應(yīng)用層14和操作系統(tǒng)層16的本地計(jì)算機(jī)10被配置以運(yùn)行程序。應(yīng)用層14包括VPN模塊20和用于創(chuàng)建通過VPN傳送的數(shù)據(jù)分組的一個(gè)或多個(gè)應(yīng)用22。操作系統(tǒng)層16包括操作系統(tǒng)IP棧24,操作系統(tǒng)IP棧24被配置以布置由應(yīng)用22所生成的數(shù)據(jù)。
[0053]操作系統(tǒng)分組棧路由器26根據(jù)VPN模塊20所建立的協(xié)議(未示出)通過虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28來收集和加密數(shù)據(jù)(未加密的數(shù)據(jù)分組A)。真實(shí)(real)網(wǎng)絡(luò)驅(qū)動(dòng)器30通過網(wǎng)絡(luò)32在VPN連接上將被加密的數(shù)據(jù)分組(數(shù)據(jù)分組B)傳送至遠(yuǎn)程計(jì)算機(jī)34。
[0054]例如,如圖1所示,在某些實(shí)施方式中,未加密的數(shù)據(jù)分組A通過VPN模塊20、應(yīng)用22、操作系統(tǒng)IP棧24、操作系統(tǒng)分組路由器26和虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28被傳送。所傳送的未加密數(shù)據(jù)分組A在操作系統(tǒng)分組路由器26和真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30間被加密以形成被加密的數(shù)據(jù)分組B。真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30通過網(wǎng)絡(luò)32將被加密的數(shù)據(jù)分組B傳送至遠(yuǎn)程計(jì)算機(jī)
34。未被加密的和被加密的數(shù)據(jù)分組A&B都在操作系統(tǒng)IP棧24和操作系統(tǒng)分組路由器26間被傳送。
[0055]真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30的輸出包括專用地址和路由地址塊(未示出)。路由地址塊包括與VPN相關(guān)聯(lián)的目標(biāo)地址。
[0056]在一些實(shí)施方式中,源于例如應(yīng)用22的網(wǎng)絡(luò)套接字代碼的未加密的專用網(wǎng)絡(luò)分組A被路由至虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28。虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28將這些分組轉(zhuǎn)發(fā)至VPN模塊20。VPN模塊20加密這些分組并且創(chuàng)建具有公用地址的被加密的分組B。被加密的分組B經(jīng)由操作系統(tǒng)分組路由器26被路由至真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30以通過網(wǎng)絡(luò)32傳輸。
[0057]引入的來自遠(yuǎn)程計(jì)算機(jī)34的被加密的分組(未示出)經(jīng)由真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30被路由至VPN模塊20以解密,并且一旦被解密則最終被路由至應(yīng)用22。
[0058]操作系統(tǒng)分組路由器26基于在來自操作系統(tǒng)IP棧24的分組A和B中發(fā)現(xiàn)的目標(biāo)地址做出適當(dāng)?shù)穆酚蓻Q策。目標(biāo)地址可對(duì)照路由表格被匹配。目標(biāo)表格可以是基于針對(duì)每一個(gè)網(wǎng)絡(luò)設(shè)備所規(guī)定的網(wǎng)絡(luò)參數(shù)的。
[0059]在某些實(shí)施方式中,可通過配置VPN模塊20以使不同的專用目標(biāo)地址與不同的公有目標(biāo)地址和相應(yīng)的加密秘鑰相關(guān)聯(lián)來支持多個(gè)同步VPN。
[0060]使得所分配的地址不沖突來支持多個(gè)同步VPN連接的協(xié)調(diào)專用地址塊的分配對(duì)于網(wǎng)絡(luò)管理員是重大挑戰(zhàn)。這要求每個(gè)VPN站點(diǎn)的網(wǎng)絡(luò)管理員商定符合其現(xiàn)有網(wǎng)絡(luò)配置并且與其他網(wǎng)絡(luò)站點(diǎn)不沖突的專用地址范圍。
[0061]圖2A是包括可與此處公開的一些實(shí)施方式一起使用的網(wǎng)絡(luò)驅(qū)動(dòng)器地址指定的示例的表格。在圖2A所示的示例中,一般由較小網(wǎng)絡(luò)使用IP地址塊,即192.168.0.0,被用于建立通信。例如,真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30 (圖1所示)使用192.168.0.21的IP地址,真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30的網(wǎng)關(guān)(未示出)使用192.168.0.1的IP地址,并且虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28 (圖1所示)使用192.168.3.23的IP地址。網(wǎng)絡(luò)掩碼255.255.255.0是一般與109.168.0.0塊一起使用的網(wǎng)絡(luò)掩碼。
[0062]如果計(jì)算機(jī)請(qǐng)求使用該地址塊(即192.168.0.0)來與兩個(gè)或更多個(gè)其他計(jì)算機(jī)建立VPN連接,則可能發(fā)生路由沖突。如果連接至其他專用網(wǎng)絡(luò)的其他計(jì)算機(jī)使用相同的專用地址塊(即192.168.0.0),路由可變的更加復(fù)雜。
[0063]圖2B是圖2A中所示的示例地址指定的路由表格。如圖2B所示,地址范圍從192.168.3.0至192.168.3.255的分組被路由至虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28,以及地址范圍從192.168.0.0至192.168.0.255的分組被路由至真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30。所有其他分組經(jīng)由真實(shí)網(wǎng)絡(luò)驅(qū)動(dòng)器30被發(fā)送至在192.168.0.1處的本地網(wǎng)關(guān)計(jì)算機(jī)。
[0064]基于圖2B中所示的地址范圍,為了避免地址沖突,可被遠(yuǎn)程計(jì)算機(jī)34使用的專用VPN地址需要192.168.3.0至192.168.3.254的范圍,將192.168.3.23排出在外。相應(yīng)地,如果在遠(yuǎn)程計(jì)算機(jī)34的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器地址不與地址塊192.168.3.*對(duì)應(yīng),則可能發(fā)生沖突。此外,如果遠(yuǎn)程計(jì)算機(jī)正在使用IP地址192.168.3.23或處于使用IP地址192.168.3.23的現(xiàn)有VPN中,則可能發(fā)生沖突。隨著參與的計(jì)算機(jī)增加,這種沖突的可能性也增加了。
[0065]此處公開的某些實(shí)施方式通過分配不與本地計(jì)算機(jī)的本地專用地址塊沖突的可用于本地計(jì)算機(jī)的專用地址的塊以用于生成供虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28使用的可能的專用地址來防止地址沖突。例如,在一些實(shí)施方式中,不與本地計(jì)算機(jī)的本地專用地址塊沖突的可用于本地計(jì)算機(jī)的專用地址的最大塊可以被分配。從所分配的地址塊中選擇(例如,隨機(jī)地)IP地址并且所選擇的IP地址和其相應(yīng)的網(wǎng)絡(luò)掩碼與虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28相關(guān)聯(lián)。[0066]在一些實(shí)施方式中,在本地計(jì)算機(jī)10和遠(yuǎn)程計(jì)算機(jī)34間的VPN設(shè)置協(xié)商期間,所選擇的地址和網(wǎng)絡(luò)掩碼可被用于提出可能的專用地址。例如,具有相似的生成地址和其相應(yīng)的網(wǎng)絡(luò)掩碼的集合的遠(yuǎn)程計(jì)算機(jī)34可選擇地址/網(wǎng)絡(luò)掩碼的兼容對(duì),該地址/網(wǎng)絡(luò)掩碼的兼容對(duì)允許兩端(即本地計(jì)算機(jī)10和遠(yuǎn)程計(jì)算機(jī)34)經(jīng)由各自的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28路由專用地址而沒有沖突。
[0067]圖3A是包括三個(gè)示例專用地址塊和其相應(yīng)的網(wǎng)絡(luò)掩碼的表格。
[0068]典型地,每個(gè)IP地址包括4個(gè)八位字節(jié)并且IP地址中的每一個(gè)八位字節(jié)用8個(gè)比特來表示。例如,在IP地址192.168.0.0中,八位字節(jié)I被設(shè)置為192,八位字節(jié)2被設(shè)置為168,八位字節(jié)3被設(shè)置為0,以及八位字節(jié)4被設(shè)置為O。
[0069]每個(gè)八位字節(jié)值是用于表示二進(jìn)制值的十進(jìn)制數(shù),并且每個(gè)二進(jìn)制值可包括8個(gè)比特,8個(gè)比特中的每一個(gè)比特可被設(shè)置為O或I。如果比特被設(shè)置為1,該比特被認(rèn)為是活躍的(active),并且如果其被設(shè)置為0,該比特被認(rèn)為是不活躍的。在上面的示例中,八位字節(jié)I的值192可用下面的8個(gè)數(shù):128、64、32、16、8、4、2、1和二進(jìn)制值11000000來計(jì)算。因?yàn)槎M(jìn)制值11000000僅將前兩個(gè)比特設(shè)置為活躍,用于定義第一個(gè)八位字節(jié)的8個(gè)值中的僅前兩個(gè)值用于計(jì)算該八位字節(jié)的值,給出的八位字節(jié)的值是128+64=192。
[0070]為適應(yīng)不同的網(wǎng)絡(luò)大小,IP地址空間被分為三部分,即覆蓋從(0.X.X.X)到(126.X.X.X)的IP地址范圍的A類,覆蓋從(128.X.X.x)到(191.x.x.x)的IP地址范圍的B類,以及覆蓋從(192.X.X.X)到(253.255.255.255)的IP地址范圍的C類。
[0071]如圖3A所示,分別具有網(wǎng)絡(luò)掩碼255.255.0.0、255.240.0.0和255.0.0.0的專用網(wǎng)絡(luò)地址塊192.168.0.0、172.16.0.0和10.0.0.0常被專用網(wǎng)絡(luò)所使用。
[0072]圖3B是根據(jù)此處公開的某些實(shí)施方式的用于協(xié)商專用VPN地址對(duì)的程序的流程圖。在一些實(shí)施方式中,專用地址對(duì)可從圖3A中所示的專用地址塊中選出。
[0073]如圖3B中所示,專用VPN地址對(duì)協(xié)商可以在計(jì)算機(jī)10端通過分配可用于本地計(jì)算機(jī)10并且不與本地計(jì)算機(jī)10的現(xiàn)有專用地址塊沖突的專用地址的塊而在305處開始。一旦被分配,專用地址塊被用于生成多個(gè)專用地址,在305處該多個(gè)專用地址被指定給本地計(jì)算機(jī)10的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器28(圖1所示)。類似地,在遠(yuǎn)程計(jì)算機(jī)側(cè)34,可用于遠(yuǎn)程計(jì)算機(jī)34并且不與遠(yuǎn)程計(jì)算機(jī)34現(xiàn)有的專用地址塊沖突的專用地址塊被分配并且被用于生成多個(gè)專用地址,在310處該多個(gè)專用地址被指定給遠(yuǎn)程計(jì)算機(jī)34的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器(未示出)。
[0074]在某些實(shí)施方式中,被指定給虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的專用地址可以從所分配的地址范圍中隨機(jī)生成。在某些實(shí)施方式中,被指定給虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的專用地址可以以偽隨機(jī)的方式生成。在一些實(shí)施方式中,被指定給虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的專用地址可從有效專用地址列表中選擇。例如,在一些實(shí)施方式中,所分配的地址可順序地排列并且編號(hào)服務(wù)(未示出)可選擇序列中的第一個(gè)地址并將所選擇的地址指定給虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器。本地計(jì)算機(jī)10和遠(yuǎn)程計(jì)算機(jī)34可使用相似或不同的選擇方案來選擇指定給其各自的虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的地址。
[0075]地址協(xié)商在本地計(jì)算機(jī)10側(cè)通過在325轉(zhuǎn)發(fā)本地計(jì)算機(jī)的非沖突地址ip_rand1(K;和其相應(yīng)的網(wǎng)絡(luò)掩碼maskjnaXk。至遠(yuǎn)程計(jì)算機(jī)34而在315處開始。如上面看到的,可使用本領(lǐng)域已知的多種選擇方法從所分配的塊中的地址間選擇非沖突地址。例如,在某些實(shí)施方式中,非沖突地址被隨機(jī)地生成。
[0076]在遠(yuǎn)程計(jì)算機(jī)34側(cè),在320,遠(yuǎn)程計(jì)算機(jī)等待地址協(xié)商程序的發(fā)起。一旦由本地計(jì)算機(jī)10轉(zhuǎn)發(fā)的地址被遠(yuǎn)程計(jì)算機(jī)34收到,地址協(xié)商開始。一旦該地址被收到,遠(yuǎn)程主機(jī)34檢查收到的地址以確定地址中的任意地址是否與已被遠(yuǎn)程主機(jī)34使用的地址沖突,并且在330處從不與其現(xiàn)有地址沖突的地址中選擇非沖突地址對(duì)ip1()。and ipM。
[0077]遠(yuǎn)程計(jì)算機(jī)34在340處將所選擇的ip1()。and ipM轉(zhuǎn)發(fā)至本地計(jì)算機(jī)10。本地計(jì)算機(jī)10在335處接受由遠(yuǎn)程計(jì)算機(jī)34所轉(zhuǎn)發(fā)的地址對(duì)并在345處使用該地址對(duì)以創(chuàng)建和發(fā)起VPN對(duì)話。在350處,遠(yuǎn)程計(jì)算機(jī)34也使用所選擇的地址對(duì)來創(chuàng)建和發(fā)起新的VPN對(duì)話。
[0078]圖4是根據(jù)此處公開的某些實(shí)施方式的指定虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的IP地址參數(shù)的流程圖。通過在420初始化與此處描述的實(shí)施方式一起使用的一個(gè)或多個(gè)地址向量對(duì),指定虛擬網(wǎng)絡(luò)驅(qū)動(dòng)器的IP地址參數(shù)的程序在410處開始。該地址向量對(duì)可包括一個(gè)或多個(gè)專用地址塊以及其相應(yīng)的網(wǎng)絡(luò)掩碼。例如,在某些實(shí)施方式中,地址塊對(duì)可用于初始化地址向量對(duì),如此使得:
[0079]IPanocated= {IP Block0, IP Block” …,IP BlockJ
[0080]Maskallocated= {Mask Block0, Mask Block1,..., Mask Blockk}。
[0081]舉例來說,在某些實(shí)施方式中,圖3A中所示的地址塊對(duì)可用于初始化地址向量對(duì),如此使得:
[0082]IPallocated= {191.168.0.0, 172.16.0.0, 10.0.0.0}
[0083]Maskallocated= {255.255.0.0, 255.240.0.0, 255.0.0.0}。
[0084]一旦在420處地址塊被初始化,計(jì)算機(jī)(例如本地計(jì)算機(jī)10和/或遠(yuǎn)程計(jì)算機(jī)34)確定被初始化的地址向量中的任意地址是否與地址沖突。更具體地,在一些實(shí)施方式中,計(jì)算機(jī)可在430處確定所有本地使用的專用地址塊并且保留的已被使用的專用地址塊以由計(jì)算機(jī)本地使用。在某些實(shí)施方式中,計(jì)算機(jī)可保持保留的地址塊和其相關(guān)聯(lián)的網(wǎng)絡(luò)掩碼的向量。例如:
【權(quán)利要求】
1.一種當(dāng)通過公用網(wǎng)絡(luò)在與本地網(wǎng)絡(luò)相關(guān)聯(lián)的本地計(jì)算機(jī)和位于本地網(wǎng)絡(luò)之外的并與遠(yuǎn)程網(wǎng)絡(luò)相關(guān)聯(lián)的遠(yuǎn)程計(jì)算機(jī)之間建立安全通信鏈路時(shí)用于自動(dòng)避免地址沖突的系統(tǒng),該系統(tǒng)包括: 至少一個(gè)處理器,被配置和安排為: (a)確定被保留用于所述本地網(wǎng)絡(luò)使用的地址和被保留用于所述遠(yuǎn)程網(wǎng)絡(luò)使用的地址; (b)從多個(gè)有效本地地址中選擇至少一個(gè)本地地址,所選擇的本地地址是不與所述本地網(wǎng)絡(luò)的保留地址和所述遠(yuǎn)程網(wǎng)絡(luò)的保留地址相沖突的地址;以及 (C)將所選擇的本地地址與所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間的安全通信鏈路的建立相關(guān)聯(lián)結(jié)合。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其中當(dāng)建立所述安全通信鏈路時(shí),所選擇的地址被用于尋址所述本地計(jì)算機(jī)。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其中至少一個(gè)遠(yuǎn)程地址選自多個(gè)有效遠(yuǎn)程地址,所選擇的遠(yuǎn)程地址是不與所述遠(yuǎn)程網(wǎng)絡(luò)的保留地址和所述本地計(jì)算機(jī)的保留地址相沖突的地址;以及其中所選擇的本地地址和所選擇的遠(yuǎn)程地址結(jié)合所述安全通信鏈路的建立而被使用。
4.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所選擇的本地地址是不與所選擇的遠(yuǎn)程地址沖突的地址。
5.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所選擇的遠(yuǎn)程地址是不與所選擇的本地地址沖突的地址。
6.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所選擇的遠(yuǎn)程地址被添加至所述本地網(wǎng)絡(luò)的保留地址。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其中當(dāng)所述安全連接斷開時(shí),所選擇的遠(yuǎn)程地址被從所述本地網(wǎng)絡(luò)的保留地址中移除。
8.根據(jù)權(quán)利要求3所述的系統(tǒng),其中所選擇的本地地址被添加至所述遠(yuǎn)程網(wǎng)絡(luò)的保留地址。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),當(dāng)所述安全連接斷開時(shí),所選擇的本地地址被從所述遠(yuǎn)程網(wǎng)絡(luò)的保留地址中移除。
10.根據(jù)權(quán)利要求3所述的系統(tǒng),其中在建立所述安全通信鏈路時(shí),所選擇的本地地址和所選擇的遠(yuǎn)程地址被分別用于尋址所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)。
11.根據(jù)權(quán)利要求2所述的系統(tǒng),其中所選擇的本地地址和所選擇的遠(yuǎn)程地址被成對(duì)存儲(chǔ),并且每當(dāng)在所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間建立安全通信鏈路時(shí)被重復(fù)使用。
12.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述安全通信鏈路是虛擬專用網(wǎng)絡(luò)(VPN)鏈路。
13.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所選擇的本地地址包括網(wǎng)際協(xié)議(IP)地址。
14.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所選擇的本地地址包括IP地址和網(wǎng)絡(luò)掩碼。
15.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述所選擇的本地地址是從被配置為包括所述多個(gè)有效本地地址的表格生成的。
16.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所選擇的本地地址是被偽隨機(jī)地生成的。
17.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述多個(gè)有效本地地址被配置為包括一系列未使用的本地地址,以及所選擇的本地地址是根據(jù)該系列未使用的本地地址而生成的。
18.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述處理器被配置和安排為將每一個(gè)本地地址與用于在所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間建立所述安全通信鏈路的會(huì)話發(fā)起協(xié)議相關(guān)聯(lián)結(jié)合。
19.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述處理器被配置和安排為生成所述本地地址作為用于在所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間建立所述安全通信鏈路的會(huì)話發(fā)起協(xié)議的一部分。
20.根據(jù)權(quán)利要求1所述的系統(tǒng),其中每一個(gè)生成的本地地址和所述安全通信鏈路的建立之間的關(guān)聯(lián)是響應(yīng)于域名請(qǐng)求的。
21.根據(jù)權(quán)利要求1所述的系統(tǒng),其中每一個(gè)生成的專用地址和所述安全通信鏈路的建立之間的關(guān)聯(lián)是響應(yīng)于安全域名請(qǐng)求的。
22.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述遠(yuǎn)程計(jì)算機(jī)與第二本地網(wǎng)絡(luò)相關(guān)聯(lián)并且被分配不與所述第二本地網(wǎng)絡(luò)已在使用的本地地址沖突的第二本地地址,其中被分配給所述本地計(jì)算機(jī)的所述本地地址和被分配給所述遠(yuǎn)程計(jì)算機(jī)的所述第二本地網(wǎng)絡(luò)地址都被用于允許通過所述安全通信鏈路在所述本 地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間進(jìn)行通信路由。
23.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述處理器被配置和安排為針對(duì)與所述本地網(wǎng)絡(luò)相關(guān)聯(lián)的相應(yīng)數(shù)量的本地計(jì)算機(jī)生成多個(gè)本地地址。
24.根據(jù)權(quán)利要求23所述的系統(tǒng),其中所述處理器被配置和安排為生成所述多個(gè)本地地址作為會(huì)話發(fā)起協(xié)議的一部分,所述會(huì)話發(fā)起協(xié)議與在所述遠(yuǎn)程計(jì)算機(jī)和相應(yīng)的本地計(jì)算機(jī)中的每一本地計(jì)算機(jī)間的所述安全通信鏈路的建立相關(guān)聯(lián)。
25.根據(jù)權(quán)利要求23所述的系統(tǒng),其中網(wǎng)絡(luò)地址轉(zhuǎn)換器被用于在用于所述安全通信鏈路的所生成的本地地址和所述本地網(wǎng)絡(luò)上的所述計(jì)算機(jī)的本地專用地址間進(jìn)行轉(zhuǎn)換。
26.根據(jù)權(quán)利要求24所述的系統(tǒng),其中所述安全通信鏈路被建立以響應(yīng)于對(duì)對(duì)應(yīng)于域名的地址的請(qǐng)求。
27.根據(jù)權(quán)利要求24所述的系統(tǒng),其中所述安全通信鏈路被建立以響應(yīng)于對(duì)對(duì)應(yīng)于安全域名的地址的請(qǐng)求。
28.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述安全通信鏈路是主機(jī)到主機(jī)的連接。
29.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述安全通信鏈路是主機(jī)到網(wǎng)絡(luò)的連接。
30.根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述安全通信鏈路是網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接。
31.一種用于通過公用網(wǎng)絡(luò)在與第一本地網(wǎng)絡(luò)相關(guān)聯(lián)的第一計(jì)算機(jī)和與第二本地網(wǎng)絡(luò)相關(guān)聯(lián)的第二計(jì)算機(jī)間建立虛擬專用網(wǎng)絡(luò)鏈路的系統(tǒng),該系統(tǒng)包括: 至少一個(gè)處理器,該處理器被配置和安排為結(jié)合于所述安全通信鏈路的建立,自動(dòng)地為所述第一計(jì)算機(jī)和所述第二計(jì)算機(jī)中的每一者生成新本地網(wǎng)絡(luò)地址,否則本地網(wǎng)絡(luò)地址會(huì)與用在各自的本地網(wǎng)絡(luò)上的其他地址沖突。
32.根據(jù)權(quán)利要求31所述的系統(tǒng),其中所生成的新本地網(wǎng)絡(luò)地址是被偽隨機(jī)地生成的。
33.根據(jù)權(quán)利要求31所述的系統(tǒng),其中所生成的新本地網(wǎng)絡(luò)地址包括IP地址。
34.根據(jù)權(quán)利要求31所述的系統(tǒng),其中所生成的新本地網(wǎng)絡(luò)地址從被配置為包括多個(gè)有效本地地址的表格生成,所述有效本地地址是不與所述第一計(jì)算機(jī)和所述第二計(jì)算機(jī)已在使用的地址沖突的地址。
35.一種用于為建立安全通信鏈路提供域名服務(wù)以使得能通過公用網(wǎng)絡(luò)在至少兩個(gè)計(jì)算機(jī)間提供安全通信的系統(tǒng),所述至少兩個(gè)計(jì)算機(jī)中的至少一個(gè)計(jì)算機(jī)被連接至本地網(wǎng)絡(luò),所述系統(tǒng)包括: 域名服務(wù)系統(tǒng),被配置為: (a)被連接至通信網(wǎng)絡(luò); (b)指示所述域名服務(wù)是否支持建立安全通信鏈路; (C)給所述計(jì)算機(jī)中的每一者指定地址以用于在所述兩個(gè)計(jì)算機(jī)間建立所述安全通信鏈路;以及 Cd)當(dāng)所指定的地址與計(jì)算機(jī)所附著的所述本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突時(shí),對(duì)所述計(jì)算機(jī)中的每一者使用不同的地址以用于建立所述安全通信鏈路。
36.一種用于為建立安全通信鏈路提供域名服務(wù)以使得能通過公用網(wǎng)絡(luò)在被連接至本地網(wǎng)絡(luò)的至少一個(gè)計(jì)算機(jī)和被連接至第二本地網(wǎng)絡(luò)的多個(gè)計(jì)算機(jī)中的每一者間提供安全通信的系統(tǒng),該系統(tǒng)包括: 域名服務(wù)系統(tǒng),被配置為 (a)被連接至通信網(wǎng)絡(luò); (b)指示所述域名服務(wù)是否支持建立安全通信鏈路;以及 (c)給所述計(jì)算機(jī)中的每一者指定地址以用于在所述一個(gè)計(jì)算機(jī)和所述多個(gè)計(jì)算機(jī)的每一者間建立安全通信鏈路,如此使得每一個(gè)被指定的地址不與每一個(gè)計(jì)算機(jī)所連接的所述本地網(wǎng)絡(luò)已關(guān)聯(lián)的地址沖突。
37.根據(jù)權(quán)利要求36所述的系統(tǒng),其中所述域名服務(wù)被配置為通過對(duì)存在沖突的所述多個(gè)計(jì)算機(jī)中的所述計(jì)算機(jī)中的每一者使用不同的地址,將不同的地址用于在所述一個(gè)計(jì)算機(jī)和所述多個(gè)計(jì)算機(jī)中的至少那些計(jì)算機(jī)中的每一者間建立安全通信鏈路,其中,所述至少那些計(jì)算機(jī)中的每一者被指定的地址與已與該計(jì)算機(jī)所附著的所述本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突。
38.根據(jù)權(quán)利要求37所述的系統(tǒng),其中所述域名服務(wù)被配置為當(dāng)任意所述計(jì)算機(jī)的所指定的地址與已與該計(jì)算機(jī)所附著的所述本地網(wǎng)絡(luò)相關(guān)聯(lián)的地址沖突時(shí),通過給所述多個(gè)計(jì)算機(jī)中的所有計(jì)算機(jī)重新指定不同的地址,將不同的地址用于所述多個(gè)計(jì)算機(jī)中的任意計(jì)算機(jī)。
39.一種用于執(zhí)行本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)間的通信的方法,該方法包括: 在所述本地計(jì)算機(jī)側(cè),選擇用在與所述遠(yuǎn)程計(jì)算機(jī)的通信中的多個(gè)地址,所選擇的多個(gè)地址是除所述本地計(jì)算機(jī)和附著在所述本地計(jì)算機(jī)上的設(shè)備當(dāng)前正在使用的現(xiàn)有地址外的地址; 對(duì)照所述遠(yuǎn)程計(jì)算機(jī)和附著在所述遠(yuǎn)程計(jì)算機(jī)上的設(shè)備當(dāng)前正在使用的現(xiàn)有地址來驗(yàn)證所述所選擇的多個(gè)地址中的地址;以及 在被驗(yàn)證的地址未被所述遠(yuǎn)程計(jì)算機(jī)使用的情況下,使用該地址來執(zhí)行所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間的通信。
40.根據(jù)權(quán)利要求39所述的方法,該方法還包括通過安全通信鏈路執(zhí)行所述本地計(jì)算機(jī)和所述遠(yuǎn)程計(jì)算機(jī)間的所述通信。
41.根據(jù)權(quán)利要求40所述的方法,其中所述安全通信鏈路是虛擬專用網(wǎng)絡(luò)(VPN)鏈路。
42.根據(jù)權(quán)利要求39所述的方法,其中所述被驗(yàn)證的地址包括IP地址。
43.根據(jù)權(quán)利要求39所述的方法,其中所述被驗(yàn)證的地址包括IP地址和網(wǎng)絡(luò)掩碼。
【文檔編號(hào)】H04L29/12GK103748861SQ201280034033
【公開日】2014年4月23日 申請(qǐng)日期:2012年7月9日 優(yōu)先權(quán)日:2011年7月8日
【發(fā)明者】R·D·肖特, V·拉森, M·威廉森 申請(qǐng)人:威爾耐特斯公司