法律状态公告日
法律状态信息
法律状态
2014-10-15
未缴年费专利权终止 IPC(主分类):H04L12/56 授权公告日:20051207 终止日期:20130816 申请日:20020816
专利权的终止
2005-12-07
授权
授权
2004-04-28
实质审查的生效
实质审查的生效
2004-02-18
公开
公开
技术领域
本发明涉及一种基于动态IP地址的虚拟专用网实现方法及系统。
背景技术
虚拟专用网(Virtual Private Network,简称VPN)是利用公共网络基础设施,通过“隧道”技术等手段达到类似私有专网的数据安全传输。该网络具有虚拟的特点:VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路,但同时VPN又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。
VPN的工作原理:
基于IP的VPN基本上归结为两类:拨号VPN(一般称为VDPN,即虚拟拨号专网)和专线VPN(Dedicated VPN,即专线的VPN),完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足所有用户的使用需求。
拨号VPN:
拨号VPN(即VDPN)为移动用户和远程办公用户提供了对公司企业网的远程访问。这是当今最常见的一种VPN部署形式,主要是基于L2F(Layer 2Forwarding Protocol)协议。VDPN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。拨号VPN又可分为客户发起的(Client-Initiatcd)VPN和NAS发起的VPN。
在客户发起的VPN中,用户拨号到本地的POP,由客户来发出请求并建立到其企业内部网的加密隧道。为了建立一个安全的连接,客户端运行IPsec软件,客户软件与公司内部网络防火墙上的IPsec进程通信,或者直接与支持IPsec的路由器通信,确保连接的安全性。这种形式的VPN特点是:
(1)远程用户能够同时与多个Home Gateway建立IP Tunnel。
(2)远程用户不必重新拨号,就可以进入另一个网络。
(3)VPN的建立和管理与ISP无关。
(4)这种加密的VPN隧道对于服务提供商而言是透明的,在客户端需要专用的拨号软件
(5)客户端需要知道企业的固定IP地址,以便向企业的服务器进行认证。
在NAS发起的VPN中,由服务提供商POP中的NAS请求并创建到客户公司路由器(或者Home Gateway)的VPN隧道。NAS使用L2F(Layer 2 Forwarding Protocol)或者L2TP(Layer 2 Tunneling Protocol)协议来建立到客户Home Gateway的安全隧道。
在这种拨号VPN形式中,用户认证分两级处理。当用户拨入时,首先由服务提供商NAS执行基本的认证,这个认证仅仅识别出用户的公司身份。然后,NAS打开到用户公司Home Gateway的隧道,由Home Gateway来执行用户级的认证功能。这种VPN形式在认证时,服务提供商也需要知道企业的Home Gateway的IP地址。
专线VPN:
在基于IP Tunnel的专线VPN中,PPP数据包流通过共享IP网络上的隧道进行传输。隧道是由隧道协议形成的,这与流行的各种网络是依靠相应的网络协议完成通信没有区别。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP里,再把这整个PPP数据包装入隧道协议里。在这种情况下,需要知道各个端点的固定IP地址。
在基于虚拟电路(Vitual Circuit)的VPN中,服务提供商可以提供虚拟电路来建立IP VPN服务。用PVC在帧中继(Frame Relay)和ATM网络中建立点对点连接,并通过路由器来管理第三层的信息。电信运营商或者邮电局可以采用这种办法,充分利用其现有的帧交换(如帧中继)或信元交换(如ATM)基础设施提供IP VPN服务。
由上述可知,无论是拨号VPN还是专线VPN都至少需要一个固定的IP地址来作为鉴权控制的中心。但是对于小型企业,或者连锁型企业,各个分支都比较小,采用基于动态IP的宽带或者窄带接入是最经济的方式,但是在现有技术的方式下难于采用传统的VPN技术建立动态IP用户群之间的VPN,除非通过人工的途径相互交流目前的IP地址。对于个人小团体来尤其如此。
发明内容
本发明的目的在于提供一种基于动态IP地址的虚拟专用网实现方法及系统,以满足动态IP地址情况下的VPN的自动建立。
本发明的方法包括以下步骤:在IP公网中建立管理动态IP地址的地址服务器;虚拟专用网的网关通过建立到IP公网的连接以获得出口处的公网IP地址;虚拟专用网网关在地址服务器中注册,至少将网关名称及动态IP地址注册到地址服务器中;当发起端需要连接至目标网关时,发起端的网关先从地址服务器中查询以获得目标网关的IP地址,并利用该IP地址建立连接。
本发明的系统至少包括IP网络以及与该网络连接的虚拟专用网网关,其结构特点在于:所述IP网络中连接有管理动态IP地址的地址服务器,该地址服务器中设置有动态IP地址管理模块和数据模块;所述虚拟专用网网关通过IP网络向地址服务器发送至少包括自身名称和动态IP地址的信息;所述动态IP地址管理模块将虚拟专用网网关的信息存储于数据模块中,根据发起端的查询请求从数据模块中获取目标网关的动态IP地址,由地址服务器提供给发起端网关。
本发明通过增加动态IP地址注册和查询的机制,实现动态IP地址情况下VPN的自动建立,有效的解决了现有技术难于采用传统的VPN技术建立动态IP用户群之间的VPN的技术问题,而对VPN本身的建立过程没有任何影响。与现有技术相比,本发明简单,容易实现。对于地址服务器,还可以利用INTERNET网上普遍采用的WEB,WEB SERVICE,LDAP,DNS等公共服务来实现,因而其实现成本较低。
附图说明
图1为实现本发明的系统框图;
图2为本发明的流程图;
图3为本发明中VPN网关注册的流程图;
图4为VPN建立过程示意图;
图5是本发明的地址服务器采用WEB服务器实现的流程图。
具体实施方式
参考图1和图2:地址服务器中包括有动态IP地址管理模块和数据模块。该地址服务器连接于IP公网中,用于对接入公网VPN网关的动态IP地址进行管理,地址服务器具有固定的IP地址,如66.77.9.76。分支一和分支二内的私网通过VPN网关接入IP公网中,网关则采用PPP,PPPOE等方式建立到IP网的链接。当网关链接到IP公网时,得到一动态的公网IP地址,然后,网关在地址服务器中注册,将网关名称、公网IP地址、认证密码及其它相关信息注册到地址服务器,由动态IP地址管理模块将其存储于数据模块中,如图3所示。如注册成功,地址服务器将给予确认。当虚拟专用网(VPN)之间需要建立连接时,发起端先从地址服务器中查询目标网关的IP地址,动态IP地址管理模块从数据模块中获取目标网关的动态IP地址,由地址服务器提供给发起端网关。发起端从地址服务器得到目标网关的IP地址后,通过该IP地址建立连接。查询时发起端必须通过认证,对于未通过授权认证的网关,地址服务拒绝查询,以保证信息安全。
参阅图4,图中表示出了虚拟专用网网关A和网关B之间建立连接的过程。VPN网关A和VPN网关B出口处的公网IP地址61.145.x.x、61.135.x.x,名称,授权密码以及其它相关信息已注册于地址服务器中,当VPN网关B需要与VPN网关A建立连接时,VPN网关B通过固定IP地址66.77.9.76与地址服务器建立连接,并通过VPN网关A的授权认证,从服务器中查询得到VPN网关动态的公网IP地址61.145.x.x。VPN网关B根据得到的目标网关A的IP地址61.145.x.x,进行VPN建立的协商,完成之后VPN网关A和VPN网关B之间便建立起了VPN隧道。
本发明中的地址服务器可为复数个,并根据地域进行合理分布。
地址服务器可为独立的服务器,也利用INTERNET网上普遍采用的WEB,WEBSERVICE,LDAP,DNS等公共服务来实现;地址服务器采用WEB SERVICE的方式建立,VPN网关可以通过SOAPI和地址服务交互,通过UDDI发现该服务;地址服务器采用LDAP SERVER来提供,VPN网关可以通过LDAP协议和地址服务交互;地址服务器采用基于TCP/IP的自定义协议来进行,VPN网关通过承载在TCP/IP协议之上的自定义协议来和地址服务交互。
图4则表示出了地址服务器采用WEB服务器实现时的流程。由于一般的企业都具有WEB网站,所以可以将该服务嵌入到自己的网站中,可靠性和安全性可以由企业自己控制,同时VPN网关需要配置对应服务的网页地址。从图中可看出,VPN网关A和VPN网关B与地址服务器之间的交互流程发生了改变,利用HTTP协议承载了相关的注册和查询信息。
一个企业可以拥有自己的地址服务器,这样企业所有的联网都可以用拨号接入,或者ADSL等的方式接入,而不需要运营商提供特别的支持。
也可以有独立的服务提供商,向公众提供这样的服务,这样对于企业而言,可以完全仅仅利用拨号接入或者ADSL动态接入方式,连接起来,自己也不需要维护地址服务器。
本发明充分利用的了公共的地址服务器部件,使得VPN网关在不知道目标VPN的固定IP地址的情况下,可以方便的建立VPN网络。对于采用完全分布的拨号接入的企业是非常方便和经济的。
机译: 在基于动态IP地址的网络中采用基于固定IP地址的加密设备的方法和系统
机译: 在基于动态IP地址的网络环境中传递基于固定IP地址的语音数据的方法和系统
机译: 在基于动态IP地址的网络环境中传递基于固定IP地址的语音数据的方法和系统