CN101316219A - 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 - Google Patents
用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 Download PDFInfo
- Publication number
- CN101316219A CN101316219A CNA2007101887493A CN200710188749A CN101316219A CN 101316219 A CN101316219 A CN 101316219A CN A2007101887493 A CNA2007101887493 A CN A2007101887493A CN 200710188749 A CN200710188749 A CN 200710188749A CN 101316219 A CN101316219 A CN 101316219A
- Authority
- CN
- China
- Prior art keywords
- virtual network
- address
- network identifier
- vpn
- message handler
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于控制虚拟网络连接的虚拟网络连接装置、系统和方法,其中该虚拟网络连接装置具有:接收用于形成虚拟网络的指示的单元;响应于该指示来分配唯一的虚拟网络识别符的单元;接收信息处理器的指定的单元;为所指定的信息处理器发布许可信息,并将所发布的许可信息与所分配的识别符相关联进行登记的单元;处理器,其当从信息处理器接收到许可信息时,确定与该许可信息相关联的虚拟网络识别符,并执行处理以使该信息处理器的地址与所确定的识别符相关联;以及传输控制器,其确定与传输信息的源地址和目的地址相关联的虚拟网络识别符,并参考所确定的识别符来执行控制以将传输信息传输给目的地址。
Description
技术领域
本发明涉及用于控制虚拟网络的连接的虚拟网络连接装置、系统和方法。
背景技术
最近,虚拟专用网络(VPN)服务已得到广泛应用。VPN服务是经由诸如因特网的公共网络,在主机或站点与另一个主机或站点之间进行专用通信(类似于由专线提供的通信)的服务。在典型的VPN中,将VPN上的数据包进行封装并以隧道方式穿过真实的IP网络。
在JP 2001-313663 A中描述的系统提供了虚拟网络界面,其使得抽象化逻辑网络;确定物理网络界面、虚拟网络界面和逻辑网络之间的对应性;仅传输并接收与物理网络界面和虚拟网络界面相关的数据包;并控制在虚拟网络界面和物理网络界面之间传输的数据包。
虽然该网络是虚拟网络,但因为经由真实网络传输所封装的数据包,因此必须在虚拟网络连接装置中设定作为虚拟网络成员的信息处理器的真实网络上的地址。然而,可能存在无法预先知道成员地址的数种情形,例如当在不同于预先登记的网络环境的网络环境中移除是某一个虚拟网络的成员的信息处理器并尝试连接到该虚拟网络时,或当不是虚拟网络的成员的信息处理器临时作为虚拟网络的成员参与时。在此种情形中,虽然管理员可以检查成员的地址并在虚拟网络装置中设定地址,但此过程仍需要非常大量的工作。
发明内容
本发明的一个优点是提供一种虚拟网络连接装置,当具有无法预先知道的地址的信息处理器加入到虚拟网络时,该虚拟网络连接装置可以减少强加在管理员上的负担。
根据本发明的第一方面,提供一种虚拟网络连接装置,包括:形成指示接收单元,其接收用于形成虚拟网络的形成指示;识别符分配单元,其响应于由所述形成指示接收单元所接收的形成指示,分配唯一的虚拟网络识别符;指定接收单元,其接收形成所述虚拟网络的一部分的信息处理器的指定;第一登记单元,其发布指定给所述指定接收单元的信息处理器的连接许可信息,并且在第一存储单元中与由所述识别符分配单元所分配的虚拟网络识别符相关联的登记所发布的连接许可信息;关联处理器,用于当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及传输控制器,用于当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及通过参考所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来执行控制,以将所述传输信息传输给所述目的地址。
根据本发明的第二方面,所述虚拟网络连接装置还包括:第二存储单元,其存储与所述虚拟网络识别符相关联的一个或多个批准方地址,其中,当从信息处理器接收到包括所述连接许可信息的连接请求时,所述关联处理器通过参考所述第二存储单元,确定与对应于所述连接许可信息的所述虚拟网络识别符相关联的批准方地址,向所确定的批准方地址查询是否批准来自所述信息处理器的连接,并且根据对所述查询的响应来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联。
根据本发明的第三方面,所述虚拟网络连接装置还包括:第三存储单元,用于为每个虚拟网络识别符存储批准规则,所述批准规则用于根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,其中,所述关联处理器根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应以及与所述虚拟网络识别符相关联的批准规则,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,所述虚拟网络识别符对应于所述连接请求中包含的连接许可信息。
根据本发明的第四方面,所述虚拟网络连接装置还包括:通知传输单元,其将与由所述第一登记单元发布的连接许可信息相关联的通知信息传输给所述信息处理器。
根据本发明的第五方面,提供了一种虚拟网络系统,包括:虚拟网络连接装置;以及一个或多个信息处理器,其中,所述虚拟网络连接装置包括:形成指示接收单元,其接收用于形成虚拟网络的形成指示;识别符分配单元,其响应于由所述形成指示接收单元所接收的形成指示,分配唯一的虚拟网络识别符;指定接收单元,其接收形成所述虚拟网络的一部分的信息处理器的指定;第一登记单元,其发布指定给所述指定接收单元的信息处理器的连接许可信息,并且在第一存储单元中与由所述识别符分配单元所分配的虚拟网络识别符相关联地登记所发布的连接许可信息;关联处理器,用于当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及传输控制器,用于当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及通过参考所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来执行控制,以将所述传输信息传输给所述目的地址;以及所述信息处理器,包括:将包含所述连接许可信息的连接请求传输给所述虚拟网络连接装置的单元;传输包含源地址和目的地址的传输信息的单元。
根据本发明的第六方面,提供了一种用于控制虚拟网络的连接的方法,包括下列步骤:(a)接收用于形成虚拟网络的形成指示;(b)响应于所接收的形成指示,分配唯一的虚拟网络识别符;(c)接收形成所述虚拟网络的一部分的信息处理器的指定;(d)发布对于所指定的信息处理器的连接许可信息,并且在第一存储单元中与所分配的虚拟网络识别符相关联地登记所发布的连接许可信息;(e)当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及(f)当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及执行控制以根据所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来将所述传输信息传输给所述目的地址。
根据本发明的第七方面,所述方法还包括下列步骤:(g)与所述虚拟网络识别符相关联地将一个或多个批准方地址存储到第二存储单元,其中,所述步骤(e)包括以下步骤:当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第二存储单元,确定与对应于所述连接许可信息的所述虚拟网络识别符相关联的批准方地址,向所确定的批准方地址查询是否批准来自所述信息处理器的连接,并且根据对所述查询的响应来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联。
根据本发明的第八方面,所述方法还包括下列步骤:(h)为每个虚拟网络识别符存储批准规则,所述批准规则用于根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,其中,所述步骤(e)包括以下步骤:根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应以及与所述虚拟网络识别符相关联的批准规则,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,所述虚拟网络识别符对应于所述连接请求中包含的连接许可信息。
根据本发明的第九方面,所述方法还包括下列步骤:(i)将与在所述步骤(d)中发布的连接许可信息相关联的通知信息传输给所述信息处理器。
根据本发明的第一、第五或第六方面,相比没有利用本发明的配置的情形,当具有无法预先知道的地址的信息处理器加入到虚拟网络中时,可以减少施加在管理员上的负担。
根据本发明的第二或第七方面,因为除了连接许可信息之外,到虚拟网络的连接还需要批准方的批准,因此相比没有利用本发明的配置的情形,可以改善虚拟网络的安全性。
根据本发明的第三或第八方面,通过参考每一个虚拟网络的个别批准规则,可以确定是否将信息处理器连接到该虚拟网络。
根据本发明的第四或第九方面,在虚拟网络中指定为信息处理器的装置可以获得虚拟网络的连接许可信息。
附图说明
参考附图,将详细描述本发明的示例性实施例,其中:
图1是显示网络的示例性结构的示图;
图2是显示VPN服务器的示例性结构的示图;
图3是显示VPN/群ID相关信息DB中的示例性数据的示图;
图4是显示认证信息DB中的示例性数据的示图;
图5是显示用于形成虚拟网络的示例性过程的示图;
图6是显示在可选择的示例性实施例中的VPN服务器的示例性内部结构的示图;
图7是显示在可选择的示例性实施例中的批准策略DB中的示例性数据的示图;
图8是显示在可选择的示例性实施例中的认证信息DB中的示例性数据的示图;
图9是显示在可选择的示例性实施例中用于形成虚拟网络的示例性过程的示图;
图10是显示示例性的计算机硬件结构的示图。
具体实施方式
在下文描述中,在将图1所示的网络结构用作例子时,将描述本发明的示例性实施例。在图1的网络结构中,LAN(局域网)200和远程主机R1和R2连接到因特网300。每一个远程主机R1和R2是计算机(信息处理器),诸如个人计算机,并通过ISP(因特网服务提供商)连接到因特网300。另外,在LAN 200和因特网300之间的边界处提供VPN(虚拟专用网络)服务器100。该VPN服务器100具有用于IP(网际协议)路由的路由器功能和VPN连接控制功能。图1所示的LAN 200包括具有网络地址10.0.1.0/24的网络和具有网络地址10.0.2.0/24的网络。个人计算机L1和服务器L2连接到前者,而个人计算机L3、L4和L5以及服务器L6连接到后者。
接下来,将参考图2描述VPN服务器100的示例性内部结构。该VPN服务器100具有VPN形成指示接收单元102、成员登记指示接收单元104、VPN设定单元106、成员登记通知单元108、连接密钥发布单元110、VPN连接控制器112和路由控制器114。这些功能模块利用诸如VPN路由规则116、认证信息DB(数据库)118和VPN/群ID相关信息DB 120等信息来执行各种过程。
该VPN形成指示接收单元102接收来自用户操作的计算机的VPN形成指示。该VPN形成指示单元102可以提供用于接收VPN形成指示的用户界面屏幕信息。该用户界面屏幕信息可以是诸如网页。更特别地,在该示例性实施例中,该用户可以操作该计算机(网页浏览器)访问VPN形成指示的网页URL(统一资源定位符),并从该VPN服务器100获得该网页。该网页包括诸如用于指示VPN形成的按钮,并且在用户以点击鼠标操作或类似操作按下该按钮时,该计算机将该VPN形成指示传输给该VPN服务器100。
从该VPN服务器100提供VPN形成指示的网页到用户计算机仅仅是示例性的。另外,可以在用户的计算机上安装具有用于各种操作诸如VPN形成指示的用户界面的VPN客户应用程序,
另外,可以使用一种配置,其中,该VPN形成指示接收单元102不接收来自VPN服务器100所属的LAN 200外的VPN形成指示。出于此目的,例如,可以设定该VPN服务器100,从而该VPN服务器100仅接收来自该LAN 200内的IP地址的VPN形成指示。另外,可以使用一种配置,其中,不允许从该LAN 200外的地址访问VPN形成指示的网页。
对于根据通过该VPN形成指示接收单元102接收到的指示形成的VPN而言,该成员登记指示接收单元104接收用于登记是VPN成员的计算机的指示。在此情形下,该成员登记指示接收单元104可以提供诸如一列计算机,这些是该用户的计算机的候选成员,且该用户可以从该列中选择一个成员。对于每一个候选计算机而言,该列可以包括用于识别该计算机的识别信息(此后称作为“节点ID”)和用于传输通知给计算机的通知地址(例如,电子邮件地址或IP地址)。可以将任何识别信息用作节点ID,只要可以识别出该计算机。例如,可以将计算机中的NIC(网络接口卡)的MAC(媒体访问控制)地址用作节点ID。另外,可以将控制该计算机的操作系统的产品识别号用作节点ID。另外,还可以根据在多个识别号中的一个或多个识别号的预定组合,确定预定数据长度的值并将确定的值设定为节点ID,该识别号包括计算机的硬件元件诸如CPU和硬盘驱动器的产品识别号、NIC的MAC地址和操作系统的产品识别号(例如,识别号的数据阵列的哈希值)。
在可选择的配置中,可以将多个用户的一列电子邮件地址作为一列候选者。在此情形下,以用户的电子邮件地址指定候选者计算机。
可以通过该系统管理员预先在诸如该VPN服务器100中登记该列成员候选者。在可选择的配置中,当在计算机上开始VPN客户应用程序时,该应用程序可以将计算机的节点ID和地址(例如电子邮件地址或IP地址)通知该VPN服务器100,并且该VPN服务器100可以在列表中登记该节点ID和地址。在此情形下,可以通过用户或应用程序中的类似项预先设定电子邮件地址,并可以从操作系统获得IP地址。
可以将用于允许从候选者列表中选择成员的用户界面屏幕从该VPN服务器100提供到该用户计算机作为网页。在可选择的配置中,可以在计算机内安装用于为成员选择提供用户界面屏幕的VPN客户应用程序。
当使用以电子邮件地址指定成员的方法时,可以使用用于以字符串输入成员的电子邮件地址的用户界面。
该VPN设定单元106根据通过该VPN形成指示接收单元102接收到的形成指示来执行用于形成VPN(虚拟网络)的设定。在此设定过程中,例如,分配用于唯一识别根据形成指示形成的VPN的识别符(此后称作为“群ID”)和表示该VPN的虚拟网络地址,并且在该VPN服务器100中将这些信息块登记成设定信息。在示例性配置中,在该VPN/群ID相关信息DB 120中登记由所分配的群ID和虚拟网络地址组成的一对地址。
图3示出了在VPN/群ID相关信息DB 120中的示例性数据。此例子对应图1所示的两个虚拟网络N1和N2。分配给该虚拟网络N1的群ID是“1”,分配给该虚拟网络N2的群ID是“2”。在该示例性配置中,将虚拟网络地址表示为由网络地址和掩码组成的一对地址。
该成员登记通知单元108将登记通知信息传输给由该成员登记指示接收单元104接收到的指示所选择的成员的通知地址。该登记通知信息可以包括诸如用于获得VPN连接密钥的网页的URL。
该VPN连接密钥是一种认证信息,其向该VPN服务器100证明该计算机是VPN的成员。该VPN连接密钥可以是VPN的所有成员的共有值,或可以对于每一个成员不同。例如,可以将通过输入群ID和节点ID的组合到预定的函数(例如哈希函数)所获得的值设定成该VPN连接密钥,从而该VPN连接密钥对每一个成员具有不同的值。
该登记通知信息可以另外包括指示将该计算机邀请到VPN的文本。另外,为了允许用户接收该登记通知信息,以明白该计算机被邀请到的VPN的种类,该登记通知信息可以包括指示该VPN形成的用户名。另外,该登记通知信息可以包括该VPN的其他成员名(用户名或主机名)。
该连接密钥发布单元110将指定成员的VPN连接密钥发给成员登记指示接收单元104。例如,当该连接密钥发布单元110从接收该登记通知信息的用户的计算机接收连接密钥获得请求时,该连接密钥发布单元110返回对应该请求的VPN连接密钥。当该连接密钥发布单元110将VPN连接密钥发给成员时,该连接密钥发布单元110在与该虚拟网络的群ID相关的认证信息DB 118中登记VPN连接密钥。当需给每一个成员发布不同的VPN连接密钥时,该连接密钥发布单元110在该认证信息DB 118中另外登记与该VPN连接密钥相关的节点ID,该节点ID是成员的识别信息。
图4示出了认证信息DB 118的示例性数据。此示例性配置对应图1的虚拟网络N1和N2。特别地,在图1的示例性配置中,在该LAN 200内的计算机L1、服务器L2和计算机L3和该LAN 200外的远程主机R1参与到虚拟网络N1(具有群ID 1)中,而该LAN 200内的计算机L3和L4以及该LAN 200外的远程主机R2参与到虚拟网络N2(具有群ID 2)中。在此示例性配置中,将不同的VPN连接密钥分配给节点ID和群ID的各自组合。
其中,除了用于认证参与的VPN连接密钥之外,还可以在该虚拟网络中设定认证信息诸如密码。可以对每一个虚拟网络定义认证信息,或对于虚拟网络内的每一个成员而言,该认证信息可以具有不同的值。在后者情形下,例如在与该节点ID和群ID的组合相关的认证信息DB 118中登记所设定的认证信息。例如,当成员利用VPN连接密钥发送连接请求给虚拟网络时,该VPN服务器100可以为该认证信息提供输入界面,并且不允许参与到虚拟网络中,除非该成员输入有效的认证信息到该输入界面。
图3和图4所示的VPN/群ID相关信息DB 120和该认证信息DB 118的数据结构仅仅是示例性的。可以以多种表示格式表示这些DB的信息,并且可以使用任何表示格式,只要可以表示类似的内容。另外,出于简单描述的目的,可以仅使用具有两个DB 118和120的结构。
当该VPN连接控制器112接收来自用户的计算机的包括该VPN连接密钥的连接请求时,该VPN连接控制器112允许该计算机参与到由在与该VPN连接密钥相关的认证信息DB 118中登记的群ID指示的VPN中。在该示例性配置中,将属于该VPN的虚拟网络地址的主机地址(虚拟IP地址)分配给该计算机,从而该计算机可以参与到该VPN中。当该VPN连接控制器112接收连接请求时,该VPN连接控制器112获得该计算机的真实IP地址。该VPN连接控制器112利用该真实的IP地址和所分配的虚拟IP地址产生作为VPN路由规则116的规则,该规则用于在相同的VPN的多个计算机之间进行路由,并且在该VPN服务器100的存储装置中存储相同的规则。在具有虚拟网络N1和N2的图1的示例性配置中,该VPN路由规则116可以包括以下规则。规则(1)-(4)与在虚拟网络N1中发送的数据包相关,规则(5)-(7)与在虚拟网络N2中发送的数据包相关,而规则(8)与利用虚拟IP地址的总路由相关。规则(9)-(12)与利用真实IP地址的路由相关。在该示例性配置中,该虚拟网络N1和N2是仅由该VPN服务器100管理的虚拟网络。
(1)当数据包的源地址是172.16.1.2~172.16.1.4(LAN中的虚拟IP地址),而目的地址是172.16.1.5(该LAN外的远程主机R1的虚拟IP地址)时,封装该数据包,并且将具有源地址11.11.11.11和目的地址22.22.22.22的IP头附加到封装包,从而将所获得并封装的数据包传输给与因特网300一边的路由器(图未示)。其中,11.11.11.11是与该因特网一边的VPN服务器100的NIC的全局IP地址,而22.22.22.22是该远程主机R1的NIC的全局IP地址。例如,通过使用IPsec协议可以执行封装。
(2)当数据包的源地址是172.16.1.3~172.16.1.4或172.16.1.5,而目的地址是172.16.1.2时,封装该数据包,将具有源地址10.0.1.1和目的地址10.0.1.2的IP头附加到封装包,从而将所获得并封装的数据包发送到网络10.0.1.0/24。其中,10.0.1.1是在该VPN服务器100的NIC中连接到网络10.0.1.0/24的NIC的真实IP地址,而10.0.1.2是该LAN 200内的计算机L1的NIC的真实IP地址。
(3)当数据包的源地址是172.16.1.2、172.16.1.4或172.16.1.5而目的地址是172.16.1.3时,封装该数据包,将具有源地址10.0.1.1和目的地址10.0.1.3(服务器L2的真实IP地址)的IP头附加到封装包,从而将所获得并封装的数据包发送到网络10.0.1.0/24。
(4)当数据包的源地址是172.16.1.2~172.16.1.3或172.16.1.5,而目的地址是172.16.1.4时,封装该数据包,将具有源地址10.0.2.1和目的地址10.0.2.2的IP头附加到该封装包,从而将所获得并封装的数据包发送到网络10.0.2.0/24。其中,10.0.2.1是在该VPN服务器100的NIC中连接到网络10.0.2.0/24的真实IP地址,而10.0.2.2是该LAN200中的计算机L3的NIC的真实IP地址。
(5)当数据包的源地址是172.16.2.2~172.16.2.3(LAN中主机的虚拟IP地址),而目的地址是172.16.2.4(该LAN外的远程主机R2的虚拟IP地址)时,封装该数据包,将具有源地址11.11.11.11和目的地址33.33.33.33的IP头附加到封装包,从而将所获得并封装的数据包传输给与因特网300一边的路由器(图未示)。其中,33.33.33.33是该远程主机R2的NIC的全局IP地址。
(6)当数据包的源地址是172.16.2.3或172.16.2.4,而目的地址是172.16.2.2时,封装该数据包,将具有源地址10.0.2.1和目的地址10.0.2.2的IP头附加到该封装包,从而将所获得并封装的数据包发送到该网络10.0.2.0//24。
(7)当数据包的源地址是172.16.2.2或172.16.2.4,而目的地址是172.16.2.3时,封装该数据包,将具有源地址10.0.2.1和目的地址10.0.2.2的IP头附加到该封装包,从而将所获得并封装的数据包发送到该网络10.0.2.0//24。
(8)当数据包的源地址和目的地址的一个是虚拟IP地址,且由该源地址和目的地址组成的一对地址不匹配规则(1)-(7)的任何一个时,丢弃(丢掉)该数据包。因为该VPN服务器100具有由该VPN服务器100分配的虚拟IP地址的信息,因此通过参考此信息,可以确定该源IP地址或目的IP地址是否是虚拟IP地址。
(9)当数据包的源地址是22.22.22.22,而目的地址是11.11.11.11时,解压该数据包,并且将规则(1)-(8)应用到通过解压获得的原始数据包(VPN数据包)的IP头的源地址和目的地址。
(10)当数据包的源地址是10.0.1.2或是10.0.1.3,而目的地址是10.0.1.1时,解压该数据包,并且将规则(1)-(8)应用到通过解压获得的原始数据包的IP头的源地址和目的地址。
(11)当数据包的源地址是10.0.2.2或是10.0.2.3,而目的地址是10.0.2.1时,解压该数据包,并且将规则(1)-(8)应用到通过解压获得的原始数据包的IP头的源地址和目的地址。
(12)当数据包的源地址和目的地址都是真实IP地址,并且由该源地址和目的地址组成的一对地址不匹配规则(9)-(11)的任何一个时,将该数据包传送到目的地址。
该路由控制器114通过参考此VPN路由规则116在虚拟网络上执行数据包路由。
上述规则(1)-(12)用于示例性情形,其中,在主机L1-L6、R1和R2的每一个中提供的VPN客户应用程序将在主机中产生的VPN数据包(在示例性配置中,是指定虚拟IP地址的数据包)进行封装,通过因特网300或LAN 200传输相同的数据包,并将相同的数据包传输给该VPN服务器100(换句话说,VPN隧道技术)。
上述规则(1)-(8)与VPN数据包相关,并且基于以下概念:当VPN数据包的源和目的属于相同的虚拟网络时,发送该数据包,否则丢弃该数据包。换句话说,这些规则表示为使用分配给主机的虚拟IP地址的概念的个别和混合规则。在这些规则中,当数据包的源和目的的虚拟IP地址的网络地址部分相同时,发送该数据包。然而,如本领域的技术人员可以明白的,代替如规则(1)-(8)中明确示出源和目的的虚拟IP地址的规则,可以使用一般规则“当数据包的源和目的的虚拟IP地址的网络地址部分相同时发送数据包,否则将丢弃该数据包”。该一般规则仅仅是以下框架下的例子,该框架是:将属于分配给虚拟网络的虚拟网络地址的虚拟IP地址分配给属于相同虚拟网络的主机。原则上,只要可以确定该源和目的属于相同的虚拟网络,就可以使用任何规则或方法。例如,可以在与虚拟网络的群ID相关的VPN服务器100中存储属于虚拟网络的每一个主机的虚拟IP地址。在此情形下,通过根据所存储的信息来确定该VPN数据包的源和目的的虚拟IP地址是否对应相同的群ID,可以确定该源和目的是否属于相同的虚拟网络。另外,可以将分配给该虚拟网络的虚拟网络地址用作用于识别该虚拟网络的群ID。
在以上描述中,描述了一种示例性配置,其中,LAN 200中的主机L1-L6具有VPN隧道功能,但这不是必要的情形。即使当该LAN200中的主机L1-L6不具有VPN隧道功能,仍可以通过诸如IP混淆的方法将虚拟IP地址加到该主机L1-L6的NIC,从而可以在不需要进行封装的情形下在该LAN 200中传送该VPN数据包。
上述VPN路由规则和路由过程仅仅是示例性的。用于分配虚拟IP地址给参与到虚拟网络中的每一个主机并利用虚拟IP地址进行路由的其它方法在先前技术中是可用的。另外,可以在该示例性实施例中使用这些其它方法。
接下来,参考图5将描述通过形成虚拟网络(VPN)的过程的具体例子。在此示例性配置中,通过由来自该LAN 200中的主机L1(出于简单目的,当不存在模糊含义时,此后简单称作为“主机L1”)中的VPN客户应用程序的指示形成虚拟网络N1,将根据图1的示例性网络结构中没有显示的虚拟网络N1的状态示意性描述流程。
首先,该主机L1响应于来自用户的指示而产生VPN形成指示,并发送该指示到该VPN服务器100(S1)。该VPN形成指示包括该主机L1的节点ID。在此,参考该主机L1的硬件元件信息可以通过该主机L1的VPN客户应用程序产生该主机L1的节点ID并存储为设定信息。当将用户的电子邮件地址用作节点ID时,该VPN客户应用程序可以允许该用户将该电子邮件地址设定为用作节点ID,并将该值存储为设定信息。
在接收该VPN形成指示之后,该VPN服务器100通过该VPN设定单元106设定对应该指示的虚拟网络(VPN)N1(S2)。更特别地,该VPN服务器100为该虚拟网络分配群ID(在图1和图4的例子中是“1”)和虚拟网络地址(在图1的例子中是172.16.1.0/24),并在VPN/群ID相关信息DB 120中登记由该群ID和该虚拟网络地址组成的一对地址。另外,该VPN服务器100将该虚拟网络中的虚拟IP地址(在图1的例子中是172.16.1.2)分配给该主机L1,并产生VPN连接密钥。该VPN服务器100将该虚拟IP地址和该VPN连接密钥连同该虚拟网络的群ID一起传输给该主机L1(S3)。该主机L1存储用于随后过程的所接收的虚拟IP地址、VPN连接密钥和群ID。该VPN服务器100在认证信息DB 118中登记该VPN连接密钥,该认证信息DB 118与由该主机L1的节点ID和分配给该虚拟网络N1的群ID组成的一对ID相关。
指示形成该VPN的用户操作该主机L1请求登记该虚拟网络N1的成员(S4)。如上所述,可以通过从列表中选择来执行成员的指定。自该主机L1传输到该VPN服务器100的登记请求可以包括诸如表示该主机L1的节点ID、表示该虚拟网络N1的群ID和用于识别所选择的成员的信息(即,该成员的节点ID或与该节点ID相关的信息)。在所示出的例子中,将该远程主机R1选择为成员。另外,代替由该节点ID和群ID组成的一对ID,可以将在步骤S3接收到的VPN连接密钥包括在该登记请求中。另外,还可以使用一种配置,其中,除了该节点ID和群ID之外,该登记请求中还包括该VPN连接密钥,该VPN服务器1 00核对由该节点ID、群ID以及VPN连接密钥组成的群是否是在认证信息DB 118中登记的有效组合,并且当该VPN服务器100确定该组合是有效组合时,该VPN服务器100接受该登记请求。
在接收该成员登记请求之后,该VPN服务器100将该虚拟网络N1中的虚拟IP地址分配给在该请求中指定的成员,并产生对应该成员的VPN连接密钥。将该虚拟IP地址和VPN连接密钥存储在与由该成员的节点ID和该虚拟网络N1的群ID组成的一对ID相关的认证信息DB 118中。接着该VPN服务器100产生与该节点ID和该群ID对相关的登记通知信息,并将该登记通知信息传输给该成员(在此示例性配置中,是远程主机R1)(S5)。该登记通知信息可以包括用于获得VPN连接密钥的网页的URL(通过该VPN服务器100产生)。可以经由电子邮件将该登记通知信息传输给该主机R1的用户。另外,可以通过对应该主机R1的VPN客户应用程序的协议将该登记通知信息传输给该主机R1。
当接收该登记通知信息的主机R1的用户利用该登记通知信息请求获得该VPN连接密钥时(S6),该VPN服务器100返回该VPN连接密钥(S7)。例如,当该用户点击该登记通知信息的电子邮件中所示的URL时,该主机R1将用于请求对应该URL的网页的HTTP(超文本传输协议)请求传输给该VPN服务器100,并获得该网页。该网页包括诸如用于获得VPN连接密钥的指示的按钮。该按钮包括用于识别发布给该成员的VPN连接密钥的识别信息。在该用户获得该网页之后,该用户通过点击操作或类似操作来按下在该计算机屏幕上显示的按钮,从而该计算机将包括该识别信息的连接密钥获得请求传输给该VPN服务器100,并且获得该VPN连接密钥。另外,可以将该VPN连接密钥的数据包括在对应显示于该登记通知信息中的URL的网页中。
当通过对应该VPN客户应用程序的唯一协议将该登记通知信息提供给该主机R1时,该VPN客户应用程序为该VPN连接密钥的获得指示提供用户界面。当该用户通过该界面指示获得时,该应用程序将包括识别信息的获得请求发送给该VPN服务器100,该识别数据包括在该登记通知信息中。该VPN服务器100响应于此请求而返回该VPN连接密钥。另外,可以将该VPN连接密钥包括在步骤S5中传输给该主机R1的登记通知信息中。
虽然图5例示了一种将该VPN连接密钥仅分发给该主机R1的情形,但可以将该VPN连接密钥类似地分发给主机L2和L3。以此方式,将对应该虚拟网络N1的VPN连接密钥分发给成员。通过将该VPN连接密钥呈现到该VPN服务器100从而请求连接,每一个成员可以参与到该虚拟网络N1中。
在图5的示例性配置中,首先,该主机L1发送VPN连接请求给该VPN服务器100(S8)。该VPN连接请求包括通过该主机L1在步骤S3中获得的VPN连接密钥。另外,可以将该主机L1的节点ID和该虚拟网络N1的群ID包括在该VPN连接请求中。
在接收来自该主机L1的VPN连接请求之后,该VPN服务器100认证该主机L1(S9)。在该认证过程中,做出关于以下的确定:包括在该VPN连接请求中的VPN连接密钥是否是由该VPN服务器100在过去已经发布的有效密钥。另外,还可以使用以下配置,其中:在与该VPN连接密钥(或是由该节点ID和群ID组成的一对ID)相关的VPN服务器100中预先登记每一个主机(或其用户)的认证信息,且该VPN服务器100询问该主机L1,用于为发布该VPN连接请求的主机呈现认证信息。在此情形中,当通过该主机呈现对应该VPN连接密钥的有效认证信息时,将该请求确定为来自该主机的有效请求。另外或除了此种认证之外,当除了该VPN连接密钥之外,该节点ID和群ID也包括在该VPN连接请求中时,可以做出关于如下的确定:由这三个值组成的群是否匹配在该认证信息DB 118中登记的组合。当该组合匹配时,可以将该请求确定为来自该主机L1的有效请求。
当该VPN服务器100确定步骤S8中的VPN连接请求是来自该主机L1的有效请求时,该VPN服务器100将属于该虚拟网络N1的网络地址的虚拟IP地址提供给该主机L1(S10)。该VPN服务器100还根据提供给该主机L1的虚拟IP地址来设定VPN路由规则116,从而可以正确传送具有作为源地址或目的地址的虚拟IP地址的数据包。因为来自该主机L1的VPN连接请求包括该主机L1的真实IP地址的信息,因此可以根据所提供的虚拟IP地址和真实IP地址的信息来设定路由规则,从而被指定该虚拟IP地址的数据包到达该主机L1。在接收该虚拟IP地址之后,该主机L1执行各种设定过程,从而该主机L1可以接收被指定该虚拟IP地址的数据包。根据此过程,该主机L1参与到该虚拟网络N1中。
类似地,当该主机R1将包括该VPN连接密钥或类似物的VPN连接请求传输给该VPN服务器100时(S11),该VPN服务器100认证该主机R1(S12)。当该认证成功时,该VPN服务器100将该虚拟网络N1中唯一的虚拟IP地址提供给该主机R1(S13)。根据该虚拟IP地址,该VPN服务器100还设定VPN路由规则116。在接收该虚拟IP地址之后,该主机R1执行各种设定过程,以接收被指定该虚拟IP地址的数据包。根据此过程,该主机R1参与到该虚拟网络N1中。
虽然在图5的示例性配置中,例示了仅主机L1和R1参与到该虚拟网络N1的过程,但主机L2和L3可以以类似的方式参与到该虚拟网络N1中。利用该虚拟网络N1中的虚拟IP地址,参与到该虚拟网络N1中的成员可以彼此通信。根据主机名或主机的节点ID,该VPN服务器100可以产生用于确定主机的虚拟IP地址的相应表格,并参考该相应表格为该主机提供名称服务器功能。
参考图6-9,现在将描述上述示例性实施例的可选择的示例性实施例。在上述示例性实施例中,当包括在该请求中的VPN连接密钥有效时,接收来自该主机的VPN连接请求的该VPN服务器100(S8或S11)允许该主机参与到该虚拟网络中。在以下描述的可选择的示例性实施例中,另一方面,还需要该虚拟网络的管理员的授权以允许参与到该虚拟网络。在可选择的示例性实施例中,将指示形成该虚拟网络的用户(S1)假定成该虚拟网络的管理员。可以允许该虚拟网络的管理员将作为虚拟网络的管理员的权限准予给邀请到该虚拟网络的一个或多个成员。在此情形下,可以为一个虚拟网络提供多个管理员。从而可以给予所增加的管理员在该虚拟网络中登记成员的权限(S5)。
在此可选择的示例性实施例中的VPN服务器100类似于具有额外的批准策略DB 122的上述图2所示的示例性实施例的VPN服务器100(参考图6)。如图7所示,该批准策略DB 122存储与每一个虚拟网络的群ID相关的批准策略信息。
该虚拟网络的批准策略信息是如下信息:当向虚拟网络的管理员请求批准加入该虚拟网络时,定义响应值的信息。例如,可能考虑一种策略,其中,当为一个虚拟网络提供多个管理员时,仅在所有管理员批准该加入时才允许加入。还可能考虑另一种策略,其中,在由对应于虚拟网络的数个管理员中的预定数目(例如一个或多个)的管理员批准之后,允许加入。可以为每一个虚拟网络定义此种批准策略。该VPN服务器100可以提供显示批准策略选择的用户界面给该虚拟网络的管理员,接收该管理员选择的需被应用到虚拟网络的批准策略,并在与该虚拟网络的群ID相关的批准策略DB 122中登记所选择的策略。
在此可选择的示例性实施例中,如图8所示,在与该成员的群ID和节点ID的组合相关的认证信息DB 118中登记每一个成员的权限。在所示出的配置中,该权限包括两类:“管理员”和“访客”。该“管理员”是对应群ID的虚拟网络的管理员,并具有批准来自具有“访客”权限的成员的加入请求的权限。该“访客”是一般用户,并且必须由该“管理员”授权才能加入到该虚拟网络。
参考图9,现在将描述在可选择的示例性实施例中虚拟网络的形成过程。此过程类似于具有增加的步骤S14-S15的图5所示的上述示例性实施例的过程。因此,步骤S1-S10可以类似上述的那些步骤。
在可选择的示例性实施例中,在接收来自成员并包括VPN连接密钥的VPN连接请求之后,根据该认证信息DB 118,该VPN连接控制器112确定在与该VPN连接密钥相关的认证信息DB 118中登记的成员的权限。当所确定的权限是“管理员”并且认证成员成功时,将虚拟IP地址发布给该成员,并允许成员加入到该虚拟网络中。在步骤S8-S10所示的来自主机L1的连接请求是此过程的一个例子。另一方面,当发送该VPN连接请求的成员的权限是“访客”时,该VPN连接控制器112认证该成员(S12),并且在该认证成功时,该VPN连接控制器112发送批准请求到该虚拟网络的管理员,以询问是否授权该成员参与(S14)。在图9例示的配置中,响应于从具有“访客”权限的主机R1到虚拟网络N1的连接请求(S11),该VPN服务器100发送批准请求给主机L1,该主机L1是该虚拟网络N1的管理员(S14)。该批准请求包括指示哪个成员请求参与哪个虚拟网络的信息。由该VPN连接控制器112发送给管理员的批准请求可以包括诸如显示输入按钮的网页的URL,该输入按钮用于输入是否授权该参与。响应于该批准请求,该管理员输入是否授权参与的响应。接着将该响应从管理员的计算机传输到该VPN连接控制器112(S15)。当来自对应该虚拟网络的管理员的响应满足对应该虚拟网络的批准策略时,该VPN连接控制器112提供虚拟IP地址给发送该VPN连接请求的成员,并允许参与到该虚拟网络中(S13)。例如,当该虚拟网络的批准策略是仅当所有管理员授权时才允许加入的批准策略时,当从该虚拟网络的所有管理员获得批准时,该VPN连接控制器112允许该成员参与。
在发送虚拟网络的形成指示的用户是该虚拟网络的唯一管理员的情形中,不需要该批准策略,并且通过参考来自该管理员的响应,可以确定是否允许该成员参与。
在上述示例性实施例和可选择的示例性实施例中,该VPN服务器100将登记通知信息个别传输给每一个登记的成员,并且通过参考该登记通知信息,每一个成员获得VPN连接密钥。然而,此过程仅仅是示例性的,另外,还可能使用以下配置:将对应由成员登记请求(S4)登记的每一个成员的每一个VPN连接密钥从该VPN服务器100提供到请求登记的主机,并且该主机将该VPN连接密钥分发给该成员(例如,通过电子邮件分发)。
在以上描述中,例示了一种情形,其中,在远程主机R1和LAN200之间形成虚拟网络,但本发明不限于此种配置,并且可以在由分别的VPN服务器100管理的两个或更多LAN的主机之间类似地形成虚拟网络。
另外,在以上描述中,使用一个具有路由器功能和VPN连接控制功能的VPN服务器100,但本发明并不限于此种配置,且可以使用以下配置,其中:以执行上述VPN路由的VPN连接控制装置和执行标准IP路由的路由器的组合替换该VPN服务器100,并且实现类似的控制。
此外,在以上描述中,将该虚拟网络上的虚拟IP地址分配给该虚拟网络的成员,但本发明不需要此配置。例如,当在是虚拟网络的成员的主机的真实IP地址中不存在重叠时,该VPN服务器100可以存储与该虚拟网络的群ID相关的成员的真实IP地址。在接收VPN数据包之后,该VPN服务器100可以确定在源IP地址和目的IP地址与相同的群ID相关时,源和目的属于相同的虚拟网络。
当将成员加到已经形成的虚拟网络时,在上述系统中,例如,指示形成虚拟网络的个人或此人指定的管理员可以指示该VPN服务器100登记需被增加的成员。响应于该指示,该VPN服务器100将登记通知信息传输给额外的成员,并且该额外的成员通过参考该登记通知信息而获得VPN连接密钥,并经由该密钥参与到该虚拟网络中。
可能存在多种情形,其中,参与到该虚拟网络的移动终端从某一个LAN移动并尝试从另一个LAN参与相同的虚拟网络。在此情形下,因为上述系统中的移动终端在移动之前已经具有用于虚拟网络的VPN连接密钥,因此该移动终端可以在移动之后将该密钥提供给该VPN服务器100。
当将已经形成的虚拟网络的成员删除时,在上述系统中,可以在指示虚拟网络的结构的认证信息DB 118(参考图4或图8)中删除对应该成员的节点ID和该虚拟网络的群ID的组合的项目(特别是VPN连接密钥)(或使其无效)。即使当所删除的成员通过呈现旧的VPN连接密钥给该VPN服务器100来请求参与该虚拟网络时,因为该VPN连接密钥已经无效,因此将不会允许该请求。
通过执行诸如描述一般用途计算机上的功能模块的过程的程序,典型地实现上述示例性实施例的VPN服务器100。如图10所示,该计算机可以具有作为硬件的电路结构,在该电路结构中,微处理器诸如CPU 400、存储器(主存储器)诸如随机存取存储器(RAM)402和只读存储器(ROM)404、控制HDD(硬盘驱动器)406的HDD控制器408、各种I/O(输入/输出)接口410、控制与网络诸如局域网等的连接的网络接口412经由总线414连接。用于读取和/或写入移动式磁盘记录媒介诸如CD和DVD的磁盘驱动器416或用于读取和/或写入各种标准的移动式非易失性记录媒介诸如闪存的存储器读取器/写入器418可以通过诸如该I/O接口410连接到该总线414。通过记录媒介诸如CD和DVD或通过通信单元诸如网络,将描述上述示例性实施例或可选择的示例性实施例的过程的程序存储在固定的存储装置诸如硬盘驱动器中并安装在该VPN服务器中。通过将存储在固定存储装置中的程序读入该RAM 402并由微处理器诸如CPU400执行,可以实现上述示例性实施例或可选择的示例性实施例的过程。
出于例示和描述的目的,已提供对本发明的示例性实施例的以上描述。这并不打算是详尽的或限制本发明为所披露的精确形式。明显地,对于本领域的技术人员而言,很多修改和变化是显而易见的。选择并描述这些实施例,为的是最佳解释本发明的原理和其实际应用,从而使得本领域的其他技术人员理解本发明的各种实施例和适于预期的特定用途的各种修改。想要的是本发明的范围由随后的权利要求和等同项所定义。
Claims (9)
1.一种虚拟网络连接装置,包括:
形成指示接收单元,其接收用于形成虚拟网络的形成指示;
识别符分配单元,其响应于由所述形成指示接收单元所接收的形成指示,分配唯一的虚拟网络识别符;
指定接收单元,其接收形成所述虚拟网络的一部分的信息处理器的指定;
第一登记单元,其发布指定给所述指定接收单元的信息处理器的连接许可信息,并且在第一存储单元中与由所述识别符分配单元所分配的虚拟网络识别符相关联地登记所发布的连接许可信息;
关联处理器,用于当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及
传输控制器,用于当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及通过参考所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来执行控制,以将所述传输信息传输给所述目的地址。
2.根据权利要求1所述的虚拟网络连接装置,还包括:
第二存储单元,其存储与所述虚拟网络识别符相关联的一个或多个批准方地址,其中,
当从信息处理器接收到包括所述连接许可信息的连接请求时,所述关联处理器通过参考所述第二存储单元,确定与对应于所述连接许可信息的所述虚拟网络识别符相关联的批准方地址,向所确定的批准方地址查询是否批准来自所述信息处理器的连接,并且根据对所述查询的响应来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联。
3.根据权利要求2所述的虚拟网络连接装置,还包括:
第三存储单元,用于为每个虚拟网络识别符存储批准规则,所述批准规则用于根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,其中,
所述关联处理器根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应以及与所述虚拟网络识别符相关联的批准规则,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,所述虚拟网络识别符对应于所述连接请求中包含的连接许可信息。
4.根据权利要求1所述的虚拟网络连接装置,还包括:
通知传输单元,其将与由所述第一登记单元发布的连接许可信息相关联的通知信息传输给所述信息处理器。
5.一种虚拟网络系统,包括:
虚拟网络连接装置;以及
一个或多个信息处理器,其中,
所述虚拟网络连接装置包括:
形成指示接收单元,其接收用于形成虚拟网络的形成指示;
识别符分配单元,其响应于由所述形成指示接收单元所接收的形成指示,分配唯一的虚拟网络识别符;
指定接收单元,其接收形成所述虚拟网络的一部分的信息处理器的指定;
第一登记单元,其发布指定给所述指定接收单元的信息处理器的连接许可信息,并且在第一存储单元中与由所述识别符分配单元所分配的虚拟网络识别符相关联地登记所发布的连接许可信息;
关联处理器,用于当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及
传输控制器,用于当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及通过参考所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来执行控制,以将所述传输信息传输给所述目的地址;以及
所述信息处理器,包括:
将包含所述连接许可信息的连接请求传输给所述虚拟网络连接装置的单元;
传输包含源地址和目的地址的传输信息的单元。
6.一种用于控制虚拟网络的连接的方法,包括下列步骤:
(a)接收用于形成虚拟网络的形成指示;
(b)响应于所接收的形成指示,分配唯一的虚拟网络识别符;
(c)接收形成所述虚拟网络的一部分的信息处理器的指定;
(d)发布对于所指定的信息处理器的连接许可信息,并且在第一存储单元中与所分配的虚拟网络识别符相关联地登记所发布的连接许可信息;
(e)当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第一存储单元来确定与所述连接许可信息相关联的虚拟网络识别符,以及执行处理以使所述信息处理器的地址与所确定的虚拟网络识别符相关联;以及
(f)当从信息处理器接收到包括源地址和目的地址的传输信息时,确定与所述源地址相关联的虚拟网络识别符和与所述目的地址相关联的虚拟网络识别符,以及执行控制以根据所确定的、与所述源地址相关联的虚拟网络识别符和所确定的、与所述目的地址相关联的虚拟网络识别符来将所述传输信息传输给所述目的地址。
7.根据权利要求6所述的方法,还包括下列步骤:
(g)与所述虚拟网络识别符相关联地将一个或多个批准方地址存储到第二存储单元,其中,
所述步骤(e)包括以下步骤:当从信息处理器接收到包括所述连接许可信息的连接请求时,通过参考所述第二存储单元,确定与对应于所述连接许可信息的所述虚拟网络识别符相关联的批准方地址,向所确定的批准方地址查询是否批准来自所述信息处理器的连接,并且根据对所述查询的响应来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联。
8.根据权利要求7所述的方法,还包括下列步骤:
(h)为每个虚拟网络识别符存储批准规则,所述批准规则用于根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,其中,
所述步骤(e)包括以下步骤:根据来自与所述虚拟网络识别符相关联的每个批准方地址的响应以及与所述虚拟网络识别符相关联的批准规则,来确定所述信息处理器的地址是否将与所述虚拟网络识别符相关联,所述虚拟网络识别符对应于所述连接请求中包含的连接许可信息。
9.根据权利要求6所述的方法,还包括下列步骤:
(i)将与在所述步骤(d)中发布的连接许可信息相关联的通知信息传输给所述信息处理器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007144586A JP4803116B2 (ja) | 2007-05-31 | 2007-05-31 | 仮想ネットワーク接続装置及びプログラム |
| JP144586/2007 | 2007-05-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101316219A true CN101316219A (zh) | 2008-12-03 |
| CN101316219B CN101316219B (zh) | 2012-10-31 |
Family
ID=38793437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101887493A Active CN101316219B (zh) | 2007-05-31 | 2007-11-16 | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20080301303A1 (zh) |
| EP (1) | EP1998506B1 (zh) |
| JP (1) | JP4803116B2 (zh) |
| KR (1) | KR101085077B1 (zh) |
| CN (1) | CN101316219B (zh) |
| DE (1) | DE602007003705D1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102461222A (zh) * | 2009-06-09 | 2012-05-16 | 三星电子株式会社 | 用于根据用户命令和关联的组加入网络的方法及其设备 |
| CN103190119A (zh) * | 2011-10-27 | 2013-07-03 | 三菱电机株式会社 | 可编程逻辑控制器 |
| CN107547391A (zh) * | 2017-06-08 | 2018-01-05 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN108833435A (zh) * | 2018-07-03 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种网络访问控制方法及装置、网络系统 |
| CN111934993A (zh) * | 2014-12-31 | 2020-11-13 | 柏思科技有限公司 | 用于通过从属网关通信的方法和系统 |
| CN112464116A (zh) * | 2020-11-18 | 2021-03-09 | 金蝶云科技有限公司 | 页面显示方法、装置、计算机设备和存储介质 |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE378759T1 (de) | 2003-05-06 | 2007-11-15 | Cvon Innovations Ltd | Nachrichtenübertragungssystem und nachrichtendienst |
| GB0321337D0 (en) | 2003-09-11 | 2003-10-15 | Massone Mobile Advertising Sys | Method and system for distributing advertisements |
| US7877387B2 (en) | 2005-09-30 | 2011-01-25 | Strands, Inc. | Systems and methods for promotional media item selection and promotional program unit generation |
| GB2438475A (en) | 2007-03-07 | 2007-11-28 | Cvon Innovations Ltd | A method for ranking search results |
| GB2441399B (en) * | 2007-04-03 | 2009-02-18 | Cvon Innovations Ltd | Network invitation arrangement and method |
| US8671000B2 (en) | 2007-04-24 | 2014-03-11 | Apple Inc. | Method and arrangement for providing content to multimedia devices |
| JP4835569B2 (ja) * | 2007-09-28 | 2011-12-14 | 富士ゼロックス株式会社 | 仮想ネットワークシステム及び仮想ネットワーク接続装置 |
| CN101918926B (zh) * | 2007-10-24 | 2013-05-01 | 乔纳森·彼得·多伊奇 | 用于通过虚拟ip地址访问没有可访问地址的联网装置的各种方法和设备 |
| US8429739B2 (en) | 2008-03-31 | 2013-04-23 | Amazon Technologies, Inc. | Authorizing communications between computing nodes |
| JP4750869B2 (ja) * | 2009-03-30 | 2011-08-17 | セコム株式会社 | 通信制御装置及び監視装置 |
| US8589683B2 (en) * | 2009-10-27 | 2013-11-19 | Red Hat, Inc. | Authentication of a secure virtual network computing (VNC) connection |
| JP2011193378A (ja) * | 2010-03-16 | 2011-09-29 | Kddi R & D Laboratories Inc | 通信システム |
| WO2011126321A2 (ko) * | 2010-04-07 | 2011-10-13 | 엘지전자 주식회사 | 그룹 기반 m2m 통신 기법 |
| US9367847B2 (en) | 2010-05-28 | 2016-06-14 | Apple Inc. | Presenting content packages based on audience retargeting |
| US8880468B2 (en) * | 2010-07-06 | 2014-11-04 | Nicira, Inc. | Secondary storage architecture for a network control system that utilizes a primary network information base |
| US10103939B2 (en) | 2010-07-06 | 2018-10-16 | Nicira, Inc. | Network control apparatus and method for populating logical datapath sets |
| US9525647B2 (en) | 2010-07-06 | 2016-12-20 | Nicira, Inc. | Network control apparatus and method for creating and modifying logical switching elements |
| JP5715476B2 (ja) * | 2011-04-25 | 2015-05-07 | Kddi株式会社 | マッピングサーバの制御方法及びマッピングサーバ |
| US9043452B2 (en) | 2011-05-04 | 2015-05-26 | Nicira, Inc. | Network control apparatus and method for port isolation |
| US9178833B2 (en) | 2011-10-25 | 2015-11-03 | Nicira, Inc. | Chassis controller |
| US9288104B2 (en) | 2011-10-25 | 2016-03-15 | Nicira, Inc. | Chassis controllers for converting universal flows |
| US9137107B2 (en) | 2011-10-25 | 2015-09-15 | Nicira, Inc. | Physical controllers for converting universal flows |
| US9203701B2 (en) | 2011-10-25 | 2015-12-01 | Nicira, Inc. | Network virtualization apparatus and method with scheduling capabilities |
| JP5533924B2 (ja) * | 2012-04-09 | 2014-06-25 | 横河電機株式会社 | 無線通信システム |
| WO2013158920A1 (en) | 2012-04-18 | 2013-10-24 | Nicira, Inc. | Exchange of network state information between forwarding elements |
| US20130297752A1 (en) * | 2012-05-02 | 2013-11-07 | Cisco Technology, Inc. | Provisioning network segments based on tenant identity |
| EP2890058A4 (en) * | 2012-08-24 | 2016-04-13 | Nec Corp | INFORMATION PROCESSING DEVICE |
| CN103067282B (zh) * | 2012-12-28 | 2017-07-07 | 华为技术有限公司 | 数据备份方法、装置及系统 |
| KR20140099598A (ko) * | 2013-02-04 | 2014-08-13 | 한국전자통신연구원 | 모바일 vpn 서비스를 제공하는 방법 |
| GB2505268B (en) * | 2013-04-10 | 2017-10-11 | Realvnc Ltd | Methods and apparatus for remote connection |
| GB2505267B (en) | 2013-04-10 | 2015-12-23 | Realvnc Ltd | Methods and apparatus for remote connection |
| US9787546B2 (en) | 2013-08-07 | 2017-10-10 | Harris Corporation | Network management system generating virtual network map and related methods |
| CN103648053A (zh) * | 2013-12-23 | 2014-03-19 | 乐视致新电子科技(天津)有限公司 | 在智能电视中连接远程存储设备的方法和装置 |
| EP3522451B1 (en) * | 2014-02-23 | 2023-04-26 | Huawei Technologies Co., Ltd. | Method for implementing network virtualization and related apparatus and communications system |
| US9967134B2 (en) | 2015-04-06 | 2018-05-08 | Nicira, Inc. | Reduction of network churn based on differences in input state |
| US20160359720A1 (en) * | 2015-06-02 | 2016-12-08 | Futurewei Technologies, Inc. | Distribution of Internal Routes For Virtual Networking |
| US10936674B2 (en) * | 2015-08-20 | 2021-03-02 | Airwatch Llc | Policy-based trusted peer-to-peer connections |
| US10204122B2 (en) | 2015-09-30 | 2019-02-12 | Nicira, Inc. | Implementing an interface between tuple and message-driven control entities |
| US11019167B2 (en) | 2016-04-29 | 2021-05-25 | Nicira, Inc. | Management of update queues for network controller |
| KR101831604B1 (ko) * | 2016-10-31 | 2018-04-04 | 삼성에스디에스 주식회사 | 데이터 전송 방법, 인증 방법 및 이를 수행하기 위한 서버 |
| US10630507B2 (en) | 2016-11-29 | 2020-04-21 | Ale International | System for and method of establishing a connection between a first electronic device and a second electronic device |
| KR101970515B1 (ko) * | 2018-01-17 | 2019-04-19 | 주식회사 엑스게이트 | 가상 네트워크 제공 시스템의 관리 방법 및 관리 장치 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001177528A (ja) * | 1999-12-16 | 2001-06-29 | Nec Corp | Atm網における仮想専用網群管理方法およびatm通信システム |
| JP2002111732A (ja) * | 2000-10-02 | 2002-04-12 | Nippon Telegr & Teleph Corp <Ntt> | Vpnシステム及びvpn設定方法 |
| US7275037B2 (en) * | 2001-01-25 | 2007-09-25 | Ericsson Ab | System and method for generating a service level agreement template |
| US7450505B2 (en) * | 2001-06-01 | 2008-11-11 | Fujitsu Limited | System and method for topology constrained routing policy provisioning |
| WO2003048905A2 (en) * | 2001-12-05 | 2003-06-12 | E-Xchange Advantage, Inc. | Method and system for managing distributed trading data |
| US7388844B1 (en) * | 2002-08-28 | 2008-06-17 | Sprint Spectrum L.P. | Method and system for initiating a virtual private network over a shared network on behalf of a wireless terminal |
| US7283534B1 (en) * | 2002-11-22 | 2007-10-16 | Airespace, Inc. | Network with virtual “Virtual Private Network” server |
| US20040249974A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual address realm |
| US7949785B2 (en) * | 2003-03-31 | 2011-05-24 | Inpro Network Facility, Llc | Secure virtual community network system |
| US8661158B2 (en) * | 2003-12-10 | 2014-02-25 | Aventail Llc | Smart tunneling to resources in a network |
| US8590032B2 (en) * | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
| CN100372336C (zh) * | 2004-07-13 | 2008-02-27 | 华为技术有限公司 | 多协议标签交换虚拟专用网及其控制和转发方法 |
| KR20070037650A (ko) * | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 종단에서 게이트웨이로 패킷을 라우팅하기 위한 방법 및시스템 |
| DE602004002950T2 (de) * | 2004-08-05 | 2007-07-05 | Alcatel Lucent | Verfahren und Vorrichtung zur Zugriffssteuerung |
| US7366182B2 (en) * | 2004-08-13 | 2008-04-29 | Qualcomm Incorporated | Methods and apparatus for efficient VPN server interface, address allocation, and signaling with a local addressing domain |
| JP4543837B2 (ja) * | 2004-09-02 | 2010-09-15 | 株式会社Kddi研究所 | Vpn設定システム、方法及び前記システムで用いる携帯端末用プログラム |
| US7516174B1 (en) * | 2004-11-02 | 2009-04-07 | Cisco Systems, Inc. | Wireless network security mechanism including reverse network address translation |
| JP4401942B2 (ja) * | 2004-12-08 | 2010-01-20 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置および通信ネットワーク |
| JP2006217078A (ja) * | 2005-02-01 | 2006-08-17 | Matsushita Electric Works Ltd | 通信システム及び通信設定方法 |
| DE602005015366D1 (de) * | 2005-03-29 | 2009-08-20 | Research In Motion Ltd | Verfahren und vorrichtungen zur verwendung bei der herstellung von sitzungseinleitungsprotokoll-übermittlungen für virtuelle private vernetzung |
| US7743411B2 (en) * | 2005-04-14 | 2010-06-22 | At&T Intellectual Property I, L.P. | Method and apparatus for voice over internet protocol telephony using a virtual private network |
| US7769869B2 (en) * | 2006-08-21 | 2010-08-03 | Citrix Systems, Inc. | Systems and methods of providing server initiated connections on a virtual private network |
-
2007
- 2007-05-31 JP JP2007144586A patent/JP4803116B2/ja not_active Expired - Fee Related
- 2007-10-31 EP EP20070119784 patent/EP1998506B1/en not_active Expired - Fee Related
- 2007-10-31 KR KR20070110046A patent/KR101085077B1/ko active IP Right Grant
- 2007-10-31 DE DE200760003705 patent/DE602007003705D1/de active Active
- 2007-10-31 US US11/931,423 patent/US20080301303A1/en not_active Abandoned
- 2007-11-16 CN CN2007101887493A patent/CN101316219B/zh active Active
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102461222A (zh) * | 2009-06-09 | 2012-05-16 | 三星电子株式会社 | 用于根据用户命令和关联的组加入网络的方法及其设备 |
| CN103190119A (zh) * | 2011-10-27 | 2013-07-03 | 三菱电机株式会社 | 可编程逻辑控制器 |
| CN103190119B (zh) * | 2011-10-27 | 2016-11-09 | 三菱电机株式会社 | 可编程逻辑控制器 |
| CN111934993A (zh) * | 2014-12-31 | 2020-11-13 | 柏思科技有限公司 | 用于通过从属网关通信的方法和系统 |
| CN111934993B (zh) * | 2014-12-31 | 2022-12-27 | 柏思科技有限公司 | 用于通过从属网关通信的方法和系统 |
| CN107547391A (zh) * | 2017-06-08 | 2018-01-05 | 新华三技术有限公司 | 一种报文传输方法和装置 |
| CN108833435A (zh) * | 2018-07-03 | 2018-11-16 | 郑州云海信息技术有限公司 | 一种网络访问控制方法及装置、网络系统 |
| CN108833435B (zh) * | 2018-07-03 | 2021-10-01 | 郑州云海信息技术有限公司 | 一种网络访问控制方法及装置、网络系统 |
| CN112464116A (zh) * | 2020-11-18 | 2021-03-09 | 金蝶云科技有限公司 | 页面显示方法、装置、计算机设备和存储介质 |
| CN112464116B (zh) * | 2020-11-18 | 2024-03-01 | 金蝶云科技有限公司 | 页面显示方法、装置、计算机设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101085077B1 (ko) | 2011-11-21 |
| EP1998506A1 (en) | 2008-12-03 |
| EP1998506B1 (en) | 2009-12-09 |
| DE602007003705D1 (de) | 2010-01-21 |
| US20080301303A1 (en) | 2008-12-04 |
| JP2008301165A (ja) | 2008-12-11 |
| KR20080105962A (ko) | 2008-12-04 |
| CN101316219B (zh) | 2012-10-31 |
| JP4803116B2 (ja) | 2011-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101316219B (zh) | 用于控制虚拟网络连接的虚拟网络连接装置、系统和方法 | |
| CN1823514B (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| CN110535971B (zh) | 基于区块链的接口配置处理方法、装置、设备及存储介质 | |
| CN101155074B (zh) | 通信日志管理系统 | |
| CN110430288B (zh) | 节点访问方法、装置、计算机设备和存储介质 | |
| CN106612246A (zh) | 一种模拟身份的统一认证方法 | |
| CN109314708A (zh) | 网络可访问性检测控制 | |
| CN101635707A (zh) | 在Web环境中为用户提供身份管理的方法和装置 | |
| CN107005582A (zh) | 使用存储在不同目录中的凭证来访问公共端点 | |
| KR102462894B1 (ko) | 통제된 액세스 자원들에 대한 위치―기반 액세스 | |
| CN102449976A (zh) | 用于访问私人数字内容的系统和方法 | |
| CN112804354B (zh) | 跨链进行数据传输的方法、装置、计算机设备和存储介质 | |
| CN103168450B (zh) | 访问虚拟专用网络的方法、装置以及网关设备 | |
| CN101582856A (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
| CN109246138A (zh) | 基于虚拟专用网的资源访问方法及装置、vpn终端及介质 | |
| TW202240445A (zh) | 可將取用訊標由區塊鏈子系統移轉給資料請求者裝置的去中心化資料授權控管系統 | |
| Wang et al. | Scalable identifier system for industrial internet based on multi-identifier network architecture | |
| CN110611725A (zh) | 节点访问方法、装置、计算机设备和存储介质 | |
| Goncalves et al. | Distributed network slicing management using blockchains in E-health environments | |
| JP2003242119A (ja) | ユーザ認証サーバおよびその制御プログラム | |
| CN106685901A (zh) | 用于处理跨域数据的方法、第一服务器及第二服务器 | |
| CN116932617A (zh) | 跨平台的数据处理方法、装置、设备和介质 | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| TW202240442A (zh) | 可透過第三方服務子系統轉傳訊標請求的去中心化資料授權控管系統 | |
| TW202240443A (zh) | 可彈性調整資料授權政策的去中心化資料授權控管系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Tokyo, Japan Patentee after: Fuji film business innovation Co.,Ltd. Address before: Tokyo, Japan Patentee before: Fuji Xerox Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |