CN1756234B - 服务器、vpn客户装置、vpn系统 - Google Patents
服务器、vpn客户装置、vpn系统 Download PDFInfo
- Publication number
- CN1756234B CN1756234B CN2005100068382A CN200510006838A CN1756234B CN 1756234 B CN1756234 B CN 1756234B CN 2005100068382 A CN2005100068382 A CN 2005100068382A CN 200510006838 A CN200510006838 A CN 200510006838A CN 1756234 B CN1756234 B CN 1756234B
- Authority
- CN
- China
- Prior art keywords
- vpn
- mentioned
- customer set
- server
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000005538 encapsulation Methods 0.000 abstract 1
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 42
- 230000005540 biological transmission Effects 0.000 description 33
- 238000000034 method Methods 0.000 description 22
- 230000006854 communication Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000006855 networking Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种服务器、VPN客户机、VPN系统及软件,可以大幅减轻VPN服务器的处理负荷,并能够使VPN服务器的处理能力得到提高。将VPN客户机所发送的IP信息包的目标地址作为多播地址,根据从VPN服务器所分发的多播地址的安全关联进行加密。以VPN服务器的IP地址对加密后的IP信息包进行封装,将其发送给VPN服务器。接收到该IP信息包后的VPN服务器根据IP信息包中所封装IP信息包的多播地址,决定发送目的地的VPN客户机,并以发送目的地VPN客户机的IP地址进行封装,将其发送给VPN客户机。
Description
技术领域
本发明涉及使用因特网协议在物理上分离的网点间构成逻辑的专用网络(VPN)之通信系统。
背景技术
作为使用因特网来构建L2VPN的方式,利用隧道技术的方式已为众所周知。在本方式中,捕捉在发送方VPN装置所连接的LAN上流动的以太帧,并以IP进行封装并将其发送给接收方VPN装置。接收到封装了以太帧的IP信息包后的接收方VPN装置,可以通过从所接收到的IP信息包取出以太帧,并向接收方装置所连接的LAN发送以太帧,来构建L2VPN。
对于经由因特网的通信而言,有可能在通信路径上被第三人窃听或篡改数据。因此,为了安全地收发数据,需要使用加密。作为保护数据不受IP信息包的窃听和篡改损害的技术,一般来说IPsec(IPSecurity Protocol,IP安全协议)已为众所周知(例如,参见非专利文献1)。就IPsec而言,根据预先规定了加密方式和密钥等的安全关联,来进行IP信息包的加密和解密。对于安全关联的建立,除使用IKE(Internet Key Exchange,因特网密钥交换协议)进行动态建立的方法之外,还存在用手工事先加以设定的方法。
作为用来从一个发送终端向多个接收终端发送相同内容的IP信息包之技术,多播方式已为众所周知。对于使用单播方式的通信来说,存在多个接收终端时,需要发送终端只按接收终端的数目复制信息包进行发送。但是,对于使用多播方式的通信来说,发送终端只发送1个信息包,信息包的复制就通过路径上适当的多播路由器来进行。因此,可以减轻发送终端的负荷,并且减少通信量,有效使用网络。
非专利文献1 IETF,RFC2401
发明内容
为了利用因特网并保证专用性和保密性来构建L2VPN,需要在VPN客户机和VPN服务器间加密交换数据。在VPN服务器中,需要将从VPN客户机所接收到的数据,通过数据发送源VPN客户机用的密钥进行解密,并且在决定作为数据发送目的地的VPN客户机之后,通过发送源VPN客户机用的密钥进行加密。加密、解密的处理负荷较高,VPN服务器的处理能力降低。
VPN客户机根据从VPN服务器所分发的多播地址的安全关联,对以太帧进行加密,并用使目标地址为多播地址的IP信息包进行封装。将该加密后的多播IP信息包,用使目标地址为VPN服务器IP地址的IP信息包再进行封装,并以单播方式发送给VPN服务器。接收到来自VPN客户机的IP信息包后的VPN服务器,对IP信息包进行一次解封装,根据其中多播IP信息包的多播地址来决定发送目的地的VPN客户机,并用目标地址为发送目的地VPN客户机IP地址的IP信息包又一次进行封装,将其发送给VPN客户机。VPN客户机在对所接收到的IP信息包进行一次解封装之后,根据多播的安全关联对其中的多播IP信息包进行解密,取得所封装的以太帧。
根据本发明,可以大幅减轻VPN服务器的处理负荷,并能够使VPN服务器的处理能力得到提高。
附图说明
图1是表示实施本发明的状况的顺序图。
图2表示实施本发明的网络的概念图。
图3-1是表示本发明中所使用的VPN客户机的内部结构的概念图。
图3-2是表示本发明中所使用的VPN客户机的内部处理的概念图。
图4-1是表示VPN信息管理表的概念图。
图4-2是表示外部LAN MAC管理表的概念图。
图5-1是表示本发明中所使用的VPN服务器的内部结构的概念图。
图5-2是表示本发明中所使用的VPN服务器的内部处理的概念图。
图6-1是表示用户VPN组管理表的概念图。
图6-2是表示单播组管理表的概念图。
图6-3是表示多播地址管理表的概念图。
图6-4是表示MAC IP对应管理表的概念图。
图7-1是表示VPN服务器的用户VPN管理处理的流程图。
图7-2是表示VPN服务器的VPN传输处理的流程图。
图8-1是表示VPN客户机的VPN传输发送处理的流程图。
图8-2是表示VPN客户机的VPN传输接收处理的流程图。
图9是表示VPN报头的概念图。
图10是表示在网路中流动的数据结构的概念图。
图11是表示构成L2VPN的客户机被任意变更的状况的顺序图。
图12-1是表示多播地址管理表的概念图。
图12-2是表示VPN Sub ID管理表的概念图。
图13是表示在多播网络上实施本发明的状况的概念图。
图14是表示在多播网络上实施本发明的状况的顺序图。
图15是表示利用多个VPN服务器来实施本发明的状况的概念图。
图16是表示利用多个VPN服务器来实施本发明的状况的顺序图。
图17是表示经由多个VPN服务器来实施本发明的网络的概念图。
图18是表示经由多个VPN服务器来实施本发明的网络的顺序图。
图19是表示经由多个VPN服务器来实施本发明时所使用的单播组管理表的概念图。
具体实施方式
实施示例1
图2表示实施本发明的通信系统。本通信系统包括:VPN服务器101;VPN客户机A102;VPN客户机B103;VPN客户机C104;各VPN客户机所连接的LAN105、106、107;LAN105所属的终端(1)108;LAN106所属的终端(2)109;LAN107所属的终端(3)110。VPN服务器101和各VPN客户机102、103、104经由因特网111来连接。
图3-1是VPN客户机A102的结构示例。VPN客户机A102由CPU(Central Processing Unit,中央处理器)301、存储器302及接口部304、305构成。CPU301用来实际执行各种应用程序和OS(Operating System,操作系统)。存储器302用来存储在CPU301执行过程中所使用的程序以及各种应用程序。CPU301和存储器302经由总线303来连接。接口部304、305用来将从CPU301和存储器302所供给的数据向外部设备供给。接口部304、305之中的任一个连接到LAN105上,并且另一个连接到因特网111上。图3-2表示存储器302内所存储的信息。在存储器302内,存储有IPsec处理312、VPN建立处理313、VPN传输处理314等的程序以及安全关联(SA)管理表308、VPN信息管理表309、认证信息管理表310和外部LANMAC管理表311等的信息管理表。
安全关联管理表308用来管理IPsec的安全关联。VPN信息管理表309用来管理VPN客户机可利用的VPN服务器的单播地址以及VPN传输用的多播地址。图4-1表示VPN信息管理表309的结构示例。在示例中表示了VPN服务器的IP地址是3ffe∷1000,VPN传输用的多播地址是ff1e∷1的情况。
在认证信息管理表310中,管理VPN建立时用户认证所需要的VPN客户机的用户ID和口令。
外部LAN MAC管理表311用来管理终端(2)109及终端(3)110的MAC地址和MAC地址的有效时间,该终端(2)109及终端(3)110属于VPN客户机A102经由VPN服务器101所连接的VPN客户机B103、C104所连接的LAN106、107。有效时间在每次发生和终端之间的通信时都进行更新,如果在一定时间没有更新且有效时间变为0,则所注册的MAC地址被从外部LAN MAC地址管理表311删除。
图4-2表示外部LAN MAC管理表311的结构示例。在示例中表示了终端(2)109及终端(3)110的MAC地址为bb、cc,并且这些MAC地址的有效时间是3600秒、3000秒的情况。
图5-1是VPN服务器101的结构示例。VPN服务器101由CPU501、存储器502及接口部504构成。CPU501、存储器502及接口部504经由总线503来连接。接口部504连接到因特网111上。
图5-2表示存储器502中所存储的信息。在存储器502内,存储有IPsec处理510、用户VPN管理处理511和VPN传输处理512等程序以及用户VPN组管理表506、单播组管理表507、多播地址管理表508和MAC IP对应管理表509等信息管理表。
图6-1是用户VPN组管理表506的结构示例。用户VPN信息管理表用来管理用户所属的VPN组。在示例中,用户A、B、C属于VPN组1001、用户D属于VPN组1002。
图6-2是单播组管理表507的结构示例。单播组管理表507用来管理属于相同VPN组的用户当前正在使用的单播IP地址。在示例中表示了VPN组1001所属的用户(用户A、B、C)正在使用的IP地址是3ffe:aaaa∷1、3ffe:bbbb∷1及3ffe:cccc∷1的情况。
图6-3是多播地址管理表508的结构示例。多播地址管理表508用来管理VPN组当前正在利用的多播地址以及与多播地址对应的安全关联。在示例中表示了VPN组1001利用多播地址ff1e∷1,并且多播地址ff1e∷1用的安全关联是SA 1的情况。所谓安全关联,表示IPsec的安全关联,并且包括加密算法、密钥及SPI(Security ParameterIndex)等。
图6-4是MAC IP对应管理表509的结构示例。MAC IP对应管理表509用来管理终端的MAC地址和与终端所属的LAN所连接的VPN客户机IP地址之间的对应关系。在示例中表示了终端(1)108的MAC地址aa对应于VPN客户机A102的IP地址3ffe:aaaa∷1,终端(2)109的MAC地址bb对应于VPN客户机B103的IP地址3ffe:bbbb∷1的情况。
图1表示了采用本发明所涉及的LAN间连接方式由L2VPN来连接LAN105、106及107时的顺序。客户机A102、客户机B103及客户机C104全都是VPN客户机,并且假设各VPN客户机的利用者A、B、C同意由L2VPN来连接LAN105、106、107。
在VPN组间建立多播安全关联的VPN客户机方的处理是通过VPN建立处理313进行的。另外,VPN服务器方的处理是通过用户VPN管理处理511进行的。
首先,在VPN客户机A102和VPN服务器101间建立多播的安全关联。VPN客户机A102在采用IPsec对数据进行加密之后,根据认证信息管理表310中所注册的信息,进行用户认证请求。VPN服务器101进行用户认证,在用户被确认时,将在VPN连接中利用的多播地址以及多播地址的安全关联作为安全参数,通告给VPN客户机。VPN客户机将被分发的安全参数注册到安全关联管理表308中,在VPN组间建立安全关联。客户机B及客户机C也同样地在VPN组间建立安全关联。
图7-1表示VPN服务器101的用户VPN管理处理511的处理流程。本处理表示了在图1的顺序图中VPN客户机建立多播安全关联之前的VPN服务器的处理。
VPN服务器101按照来自客户机A102的请求,利用IKE等在VPN客户机和VPN服务器间建立使用多播地址的安全关联(步骤701)。在建立VPN客户机和VPN服务器间的安全关联后,采用IPsec将数据加密,进行用户认证。用户认证也可以使用XAUTH等,在建立安全关联的过程中进行。判断用户认证是否成功(步骤702),在失败的情况下结束处理。在成功的情况下,根据用户认证所使用的用户ID,采用用户VPN组管理表506来确定用户的VPN ID(步骤703)。根据VPN ID,进行单播组管理表507的检索,并判断VPN ID是否已注册(步骤704)。
在单播组管理表507中未注册VPN ID时,判断为在共享同一VPN ID的用户组内最初来自VPN客户机的连接,并决定以后VPN连接中利用的多播地址。另外,还生成对于所决定的多播地址的安全关联,并与多播地址一起保存到多播地址管理表508中(步骤705)。再者,还生成由步骤703所确定的VPN ID的单播组管理表508,并注册VPN客户机的单播地址(步骤706)。在单播组管理表506中已注册VPN ID(步骤704)时,不进行多播地址及安全关联的生成、注册。给已注册的单播组管理表507,追加VPN客户机的单播地址(步骤707)。将在VPN组中使用的多播地址以及多播地址用安全关联通告给VPN客户机,结束处理(步骤708)。
通过上面的处理,可以在同一VPN组间建立多播的安全关联。
返回到图1,说明以太帧的传输处理。VPN客户机A102在IP信息包中封装以太帧,将其发送给VPN服务器101。本处理是通过VPN客户机A102的VPN传输处理314进行的。将从VPN客户机A102向VPN服务器101所发送的IP信息包传输给适当的VPN客户机的处理,是通过VPN服务器101的VPN传输处理511进行的。
图8-1表示VPN客户机中VPN传输处理的发送处理流程。在VPN客户机A102中,对所有在VPN客户机A102所连接的LAN105上流动的以太帧进行捕捉(步骤801)。检索以太帧的发送源MAC地址是否注册于外部LAN MAC管理表311中(步骤802)。在已注册于外部LAN MAC管理表311中时,将所捕捉到的以太帧废弃,并结束处理。在未注册时,从VPN信息管理表309取得VPN组中利用的多播地址(步骤803)。制作IP信息包,该IP信息包将由步骤801所捕捉到的以太帧作为有效负载。将IP信息包的目标地址设为由步骤803所取得的多播地址(步骤804)。此后,将由步骤804所制作出的IP信息包称为内部IP信息包,将内部IP信息包的报头部称为内部IP报头。
这样,因为使内部IP报头的目标地址成为多播地址,所以VPN服务器可以根据该多播地址,确定传输目的地的VPN客户机。判断将目标地址作为多播地址的安全关联是否注册于安全关联管理表308中(步骤805)。如果是正常状态,则通过步骤708所分发的多播地址的安全关联已被注册。在未注册安全关联时,结束处理。在已注册安全关联时,根据注册信息,对通过步骤804所制作出的内部IP信息包进行加密(步骤806)。这样,因为按照多播地址的安全关联对内部IP信息包进行加密,所以即便不由VPN服务器进行解密、再加密的处理,发送目的地的VPN客户机也可以对内部IP信息包进行解密。给通过步骤806加密后的内部IP信息包添加VPN报头901(步骤807)。
图9表示VPN报头的结构示例。VPN报头901具有下一数据字段902,用来表示下一字段是MAC地址还是IP报头。在下一数据字段902表示MAC地址时,包含发送源MAC地址903及目标MAC地址904。从VPN信息管理表309取得VPN服务器的IP地址(步骤808)。制作下述IP信息包,并将目标IP地址设定为由步骤808所取得的VPN服务器的地址,将IP信息包输出到与因特网连接的网路上(步骤809),上述IP信息包是将由步骤807所制作出的数据包含到UDP有效负载中。此后,将由步骤809所制作出的IP信息包称为外部IP信息包,将外部IP信息包的报头部称为外部IP报头。
图10表示由VPN客户机A102的发送处理所制作出的IP信息包的结构。其结构为,在以VPN服务器作为目的地的外部IP信息包的UDP有效负载部1001中,存储添加了VPN报头901且发往多播地址的内部IP信息包1002,并且在发往多播地址的内部IP信息包1002之中存储所捕捉到的以太帧。这样,因为预先将内部IP报头的目标地址作为多播地址,所以VPN服务器不用对内部IP信息包被加密的部分进行解密,就可以确定目标VPN客户机。
图7-2表示,接收到来自VPN客户机A102的IP信息包后的VPN服务器101的处理流程。VPN服务器101接收发给自己的IP信息包(步骤709)。VPN服务器101对外部IP信息包的UDP有效负载部1001进行分析(步骤710),取得VPN报头901。检查VPN报头的下一数据字段902,判断在VPN报头901中是否包含MAC地址(步骤711)。在包含MAC地址时,按照从VPN报头901所取得的发送源MAC地址904,检索MAC IP对应管理表509(步骤712)。判断在MAC IP对应管理表509中有没有注册MAC地址(步骤713),在没有注册时,向MAC IP对应管理表509注册由VPN报头901所通告的发送源MAC地址、以及由步骤709所接收到的IP信息包发送源IP地址的关联(步骤714)。按照从VPN报头901所取得的目标MAC地址903,检索MAC IP对应管理表509(步骤715),判断有没有注册目标MAC地址(步骤716)。
在MAC IP对应管理表509中有从VPN报头901的目标MAC地址903所取得的MAC地址的注册时,制作下述外部IP信息包,并且所制作出的外部IP信息包的目标IP地址设为从MAC IP对应管理表509所取得的IP地址,上述外部IP信息包将由步骤709所接收到IP信息包的VPN报头下面部分作为UDP有效负载。将所制作出的外部IP信息包输出到网路上(步骤719)。在MAC IP对应管理表509中没有注册从VPN报头的目标MAC地址903所取得的MAC地址时,按照由步骤709所接收到外部IP信息包的UDP有效负载1001中所含的内部IP信息包1002的目标地址,检索多播管理表508并取得VPN ID。按照所取得的VPN ID检索单播组管理表,取得下述客户机的IP地址(步骤718),该客户机属于和IP信息包发送源VPN客户机相同的VPN组。在IP地址的取得失败时,结束处理。在IP地址的取得成功时,从通过步骤717所取得的IP地址之中,选择所有由步骤709所取得的外部IP信息包发送源IP地址以外的IP地址。制作下述IP信息包,该IP信息包将由步骤709所接收到IP信息包的VPN报头下面部分作为UDP有效负载。所制作出外部IP信息包的目标IP地址设为所选择的IP地址,并将外部IP信息包输出到网路上(步骤719)。
在步骤711中VPN报头内未包含MAC地址时,也就是VPN报头的下一数据字段为2时,不进行MAC地址的检索,而按照由步骤709所接收到外部IP信息包的UDP有效负载1001中所含内部IP信息包1002的目标地址,检索多播管理表508并取得VPN ID。按照所取得的VPN ID检索单播组管理表507,取得下述客户机的IP地址(步骤718),该客户机属于和外部IP信息包发送源VPN客户机相同的VPN组。在IP地址的取得失败时,结束处理。在IP地址的取得成功时,从通过步骤717所取得的IP地址之中,选择所有由步骤709所取得的外部IP信息包的发送源IP地址以外的IP地址。制作下述外部IP信息包,该外部IP信息包将由步骤709所接收到IP信息包的VPN报头下面部分作为UDP有效负载。将所制作的外部IP信息包的目标IP地址设为所选择的IP地址,并将外部IP信息包输出到网路上(步骤719)。
图8-2表示,从VPN服务器101接收到发往VPN客户机B103的信息包后的VPN客户机的接收处理流程。本处理是通过VPN客户机的VPN传输处理314进行的。
VPN客户机B102接收发给自己的IP信息包(步骤810)。检查所接收到的IP信息包的UDP有效负载1001,取得UDP有效负载1001中包含的内部IP信息包1002(步骤811)。检索安全关联管理表308,在所取得的内部IP信息包1002中检索对应的安全关联(步骤812),判断对应的安全关联是否已被注册(步骤813)。在对应的安全关联未注册时,结束处理。如果是正常状态,则在VPN连接时从VPN服务器101所分发的多播地址的安全关联已被注册。存在对应的安全关联时,根据所取得的安全关联,对通过步骤811所取得的内部IP信息包1002进行解密(步骤814)。从解密后的内部IP信息包,取得以太帧(步骤815)。按照由步骤815所取得的以太帧的发送源MAC地址,检索外部LAN MAC管理表311(步骤816)。
在所检索到的发送源MAC地址已注册于外部LAN MAC管理表311中时,更新对应的MAC地址有效时间(步骤818),将由步骤815所取得的以太帧输出到网路上(步骤820),并结束处理。在所检索到的发送源MAC地址未注册于外部LAN MAC管理表311中时,将发送源MAC地址注册到外部LAN MAC管理表中(步骤819),将由步骤815所取得的以太帧输出到网路上(步骤820),并结束处理。
根据上面实施示例1所示的结构,由于在实现保证了安全性的专用网时,不在VPN服务器内进行内部IP信息包的加密、解密处理,因而可以减轻VPN服务器的处理负荷,同时提高处理能力。
实施示例2
在实施示例2中,将说明对VPN ID引入Sub ID、并在同一VPN组内对构成L2VPN的用户进行任意变更的示例。图11表示通过任意变更从VPN服务器101所分发的安全参数来变更构成L2VPN的用户之状况。
各VPN客户机(102、103、104)与实施示例1同样地,在VPN客户机和VPN服务器间建立单播地址的安全关联,进行用户认证。在用户被确认时,将VPN连接中利用的多播地址及多播地址的安全关联作为安全参数,通告给VPN客户机。在本实施示例中,将从VPN服务器101向各VPN客户机(102、103、104)分发的安全关联,变更分发给每个VPN Sub ID。为此,在多播地址管理表508中追加VPNSub ID字段1201。图12-1表示扩展后的多播地址管理表的概念图。VPN Sub ID是同一VPN组内的管理者事先设定的。也可以使用VPN组管理者用的入口页面等,在VPN连接过程中变更各用户所属的SubID。图12-2表示VPN Sub ID组管理表的概念图。
在图11中,由VPN组管理者做出的初始设定是,用户A及用户B的Sub ID设定为1,用户C的Sub ID设定为2。进行用户认证后,VPN服务器101作为安全参数给VPN客户机A102及B103分发多播的安全关联1,并且作为安全参数给VPN客户机C104分发多播的安全关联10。由于给VPN客户机A102及B103分发了相同的安全关联,因而在VPN客户机A102、B103间建立了多播的安全关联,但是由于给VPN客户机C104分发了不同的安全关联,因而不能建立和客户机A102及B103之间的安全关联。
这种状态下,VPN客户机A102与实施示例1同样地,用IP信息包封装所捕捉到的以太帧,发送给VPN服务器101。VPN服务器按照从UDP有效负载部1001所取出内部IP信息包1002的目标多播地址,选择VPN客户机B103及VPN客户机C104,并采用与实施示例1相同的方法进行发送。接收到来自VPN服务器101的IP信息包后的VPN客户机B103及C104尝试对加密后的多播信息包进行解密。由于VPN客户机B103同VPN客户机A102共享安全关联,因而可以进行解密,但是由于VPN客户机C104未共享安全关联,因而无法解密。因此,VPN客户机A102及B103可以构建L2VPN,而VPN客户机C104不能和VPN客户机A102及B103构建L2VPN。也就是说,VPN客户机C104不能对从VPN客户机A102或VPN客户机B103经由L2VPN所接收到的以太帧进行解密。
VPN组管理者进行Sub ID的变更,将用户C的Sub ID变更成1。
VPN服务器101检测到Sub ID的变更,并从用户VPN组管理表506取得出现了变更的用户VPN ID。使用多播地址管理表508,按照VPN ID、Sub ID取得安全关联。将所取得的安全关联作为安全参数,通告给VPN客户机C104。VPN客户机C104从所分发的安全参数之中取得多播的安全关联,向安全关联管理表308进行注册。借此,在VPN客户机A102、B103、C104间建立了多播的安全关联。此后,从VPN客户机A102或VPN客户机B103所发送的数据也可以由C104进行解密。
根据上面实施示例2所示的结构,可以灵活变更属于一个VPN组的客户机。
实施示例3
图13表示通过多播网络来实施本发明的状况。在本实施示例中,各VPN客户机(102、103、104)经由多播网络1302来连接。在多播网络1302中包括多播路由器1301。
VPN服务器101如果被设置到可进行IP通信的地方,也可以不存在于多播网络1302内。
图14表示按照本实施示例的通信过程示例。各VPN客户机(102、103、104)与实施示例1同样地,和VPN服务器101建立单播的安全关联,进行用户认证。在用户被确认时,将VPN连接中利用的多播地址及多播地址的安全关联通告给VPN客户机,建立VPN组间的安全关联。
客户机A102与第1实施示例同样地,捕捉从终端(1)108所发送的以太帧,对IP信息包进行加密(步骤801到步骤806)。在本实施示例中,VPN客户机A102不添加VPN报头901和以VPN服务器101作为目标的IP报头,就将该IP信息包输出到网路上。也就是说,按内部IP地址的原样进行发送。以多播地址作为目标地址的IP信息包通过多播网络1302内的多播路由器1301进行复制,发送给VPN客户机B103及C104。接收到从VPN客户机A102所发送的发往多播目的地的IP信息包后的各客户机,采用对应的安全关联对IP信息包进行解密,并进行与实施示例1相同的处理(步骤812到步骤820)。
根据上面实施示例3所示的结构,不用对以太帧的传输使用VPN服务器,而可以利用多播网络来构成专用网,并且能够减轻VPN服务器的处理负荷,与此同时提高处理能力。
实施示例4
图15表示采用多个VPN服务器来实施本发明的状况。在本实施示例中,将VPN服务器在因特网111上配置多个,并且VPN客户机通过连接到最接近的VPN服务器,而同其他VPN客户机连接。在本实施示例中,VPN客户机A102、B103、C104以及代表VPN服务器1501、VPN服务器A1502、B1503经由因特网111来连接。
图16表示按照本实施示例的通信过程示例。各VPN客户机(102、103、104)与实施示例1同样地,和代表VPN服务器1501建立单播的安全关联。代表VPN服务器1501进行用户VPN管理处理511,并分发VPN连接中利用的多播地址以及多播地址的安全关联。此时,将以后在L2数据的传输中使用的VPN服务器地址分发给各VPN客户机。例如,VPN客户机A102在代表VPN服务器1501中被确认时,代表VPN服务器1501将VPN服务器A1501的地址、VPN连接中利用的多播地址以及多播地址的安全关联,通告给VPN客户机A102。
其他的VPN客户机也采用相同的方法,取得最接近VPN服务器的地址。代表VPN服务器1501在进行用户VPN管理处理511之后,向收容客户机A102的VPN服务器1502,分发VPN传输处理时所需要的多播地址管理表508以及单播组管理表507。多播地址管理表508和单播组管理表507也可以只分发VPN客户机连接时所变更的差别部分。此后,VPN服务器A1502、B1503对来自VPN客户机A102、B103、C104的L2数据进行传输的处理,与第1实施示例相同。
根据上面实施示例4所示的结构,即使在具备多个VPN服务器的网络上,也不用进行VPN服务器中内部IP信息包的解密、加密,就可以构建VPN,并且因使用多个VPN服务器,而可以分散在VPN上流动的信息包的传输处理负荷。
实施示例5
图17表示出经由多个VPN服务器来实施本发明的状况。在本实施示例中,将VPN服务器在因特网111上配置多个,并且VPN客户机通过连接到最接近的VPN服务器,同其他VPN客户机进行连接。在本实施示例中,VPN客户机A102、B103、C104以及代表VPN服务器1501、VPN服务器A1502、B1503经由因特网111来连接。
图18表示按照本实施示例的通信过程示例。各VPN客户机(102、103、104)与实施示例3同样地,和代表VPN服务器1501建立单播的安全关联,代表VPN服务器1501在进行用户认证后,将VPN连接中利用的多播地址、多播地址的安全关联以及VPN服务器的地址分发给VPN客户机。此后,代表VPN服务器1501在进行用户VPN管理处理之后,向收容客户机A102的VPN服务器1502,分发VPN传输处理时所需要的多播地址管理表508以及单播组管理表507。
在本实施示例中,当从代表VPN服务器1501向各VPN服务器1502、1503分发单播组管理表时,将各VPN服务器所收容VPN客户机之外的单播地址变更成收容各VPN客户机的VPN服务器的单播地址。图19表示在本实施示例中从代表VPN服务器1501向VPN服务器B1502所分发的单播组管理表的概念图。由于VPN客户机A102、B103已收容到VPN服务器A1502中,因而设定服务器A的地址3ffe∷1000:a来替代各VPN客户机的单播地址。
多播地址管理表508和单播组管理表507也可以只分发VPN客户机连接时所变更的差别。此后,VPN服务器A1502、B1503对来自VPN客户机A102、B103、C104的L2数据进行传输的处理,与第1实施示例相同。
根据上面实施示例5所示的结构,各VPN服务器不用直接传输发往其他VPN服务器所收容的VPN客户机的信息包,就可以经由收容目标VPN客户机的VPN服务器进行传输,并且不需要管理其他VPN服务器所收容的VPN客户机的地址。
Claims (10)
1.一种服务器,经由网络与多个VPN客户装置连接,并具有存储器和收发部,其特征为:
在上述存储器中,使上述多个VPN客户装置共享的目标地址和上述多个VPN客户装置共享的加密信息相对应进行存储,
上述收发部使上述目标地址和上述加密信息相对应,发送给上述多个VPN客户装置,
当上述收发部从上述多个VPN客户装置中的一个VPN客户装置接收到根据上述加密信息进行了加密的IP数据包并且该IP数据包包含上述目标地址时,将该IP数据包以上述加密的状态,从上述收发部向上述多个VPN客户装置中上述一个VPN客户装置之外的VPN客户装置发送。
2.根据权利要求1所述的服务器,其特征为:
当上述多个VPN客户装置形成的VPN组的结构被变更了时,改变用于向属于新的VPN组的VPN客户装置进行通告的加密信息。
3.根据权利要求1所述的服务器,其特征为:
上述多个VPN客户装置共享的目标地址是多播地址。
4.根据权利要求1所述的服务器,其特征为:
上述加密信息是对上述多个VPN客户装置共享的每个目标地址生成的安全性关联。
5.根据权利要求1所述的服务器,其特征为:
上述加密信息是对上述多个VPN客户装置共享的每个目标地址生成的加密算法、密钥或者安全参数索引SPI中的至少一个。
6.一种VPN客户装置,经由网络至少与一个其他的VPN客户装置连接,其特征为,
具有:
存储器,使与上述其他的VPN客户装置共享的目标地址、及与上述其他的VPN客户装置共享的加密信息相对应进行存储;
发送部,将根据上述加密信息被加密、并以目的地为上述共享的目标地址的第一IP数据包进一步用以VPN服务器的地址为目标地址的第二IP数据包进行封装并发送;
接收部,对从上述VPN服务器发送的IP数据包进行解封装,取得上述第一IP数据包,根据上述加密信息进行解密;
接受了来自VPN客户装置的IP数据包的VPN服务器对IP数据包进行解封装,并用目标地址为发送目的地VPN客户装置的IP地址的IP数据包进行封装,并发送给VPN客户装置。
7.根据权利要求6所述的VPN客户装置,其特征为:
上述接收部可以从经由上述网络连接的服务器接收上述共享的目标地址和上述共享的加密信息。
8.根据权利要求6所述的VPN客户装置,其特征为:
上述共享的目标地址是多播地址。
9.根据权利要求6所述的VPN客户装置,其特征为:
上述加密信息是对上述共享的每个目标地址生成的安全性关联。
10.一种VPN系统,具备经由网络被连接的VPN服务器及多个VPN客户装置,其特征为,
上述VPN服务器,具有:
存储器,使上述多个VPN客户装置共享的目标地址和上述多个VPN客户装置共享的加密信息相对应进行存储;
接口,将上述共享的目标地址和上述共享的加密信息通知给上述多个VPN客户装置;
上述多个VPN客户装置,分别具有:
存储器,使上述共享的目标地址和上述共享的加密信息相对应进行存储;
发送部,将根据上述共享的加密信息被加密、并以目的地为上述共享的目标地址的第一IP数据包进一步用以上述VPN服务器的地址为目标地址的第二IP数据包进行封装并向上述VPN服务器发送;
接收部,对从上述VPN服务器发送的IP数据包进行解封装,取得上述第一IP数据包,根据上述加密信息进行解密;
接受了第二IP数据包的上述VPN服务器对第二IP数据包进行解封装,取得以目的地为上述共享的目标地址的第一IP数据包,将上述第一IP数据包用目标地址为发送目的地VPN客户装置的IP地址的IP数据包进行封装,并发送给VPN客户装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP283021/2004 | 2004-09-29 | ||
| JP2004283021A JP4407452B2 (ja) | 2004-09-29 | 2004-09-29 | サーバ、vpnクライアント、vpnシステム、及びソフトウェア |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1756234A CN1756234A (zh) | 2006-04-05 |
| CN1756234B true CN1756234B (zh) | 2010-08-18 |
Family
ID=36100714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005100068382A Expired - Fee Related CN1756234B (zh) | 2004-09-29 | 2005-01-28 | 服务器、vpn客户装置、vpn系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7725707B2 (zh) |
| JP (1) | JP4407452B2 (zh) |
| CN (1) | CN1756234B (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120791B2 (en) * | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
| US7986937B2 (en) | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
| US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
| US7724732B2 (en) * | 2005-03-04 | 2010-05-25 | Cisco Technology, Inc. | Secure multipoint internet protocol virtual private networks |
| US7761702B2 (en) * | 2005-04-15 | 2010-07-20 | Cisco Technology, Inc. | Method and apparatus for distributing group data in a tunneled encrypted virtual private network |
| US7580415B2 (en) * | 2005-04-27 | 2009-08-25 | Hewlett-Packard Development Company, L.P. | Aggregation of hybrid network resources operable to support both offloaded and non-offloaded connections |
| US20070248091A1 (en) * | 2006-04-24 | 2007-10-25 | Mohamed Khalid | Methods and apparatus for tunnel stitching in a network |
| JP4874037B2 (ja) * | 2006-09-12 | 2012-02-08 | 株式会社リコー | ネットワーク機器 |
| US8515079B1 (en) * | 2007-01-26 | 2013-08-20 | Cisco Technology, Inc. | Hybrid rekey distribution in a virtual private network environment |
| US8209749B2 (en) | 2008-09-17 | 2012-06-26 | Apple Inc. | Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement |
| US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| TW201206129A (en) * | 2010-07-20 | 2012-02-01 | Gemtek Technology Co Ltd | Virtual private network system and network device thereof |
| CN102377731A (zh) * | 2010-08-10 | 2012-03-14 | 正文科技股份有限公司 | 虚拟专用网络系统及其网络装置 |
| US8775614B2 (en) | 2011-09-12 | 2014-07-08 | Microsoft Corporation | Monitoring remote access to an enterprise network |
| JP5824326B2 (ja) * | 2011-10-28 | 2015-11-25 | キヤノン株式会社 | 管理装置、管理方法、およびプログラム |
| US8971180B2 (en) | 2011-12-05 | 2015-03-03 | At&T Intellectual Property I, L.P. | Pooling available network bandwidth from multiple devices |
| US9491093B2 (en) | 2012-07-31 | 2016-11-08 | At&T Intellectual Property I, L.P. | Distributing communication of a data stream among multiple devices |
| US9444726B2 (en) | 2012-07-31 | 2016-09-13 | At&T Intellectual Property I, L.P. | Distributing communication of a data stream among multiple devices |
| US9356980B2 (en) | 2012-07-31 | 2016-05-31 | At&T Intellectual Property I, L.P. | Distributing communication of a data stream among multiple devices |
| US9596271B2 (en) * | 2012-10-10 | 2017-03-14 | International Business Machines Corporation | Dynamic virtual private network |
| KR20140099598A (ko) * | 2013-02-04 | 2014-08-13 | 한국전자통신연구원 | 모바일 vpn 서비스를 제공하는 방법 |
| US9473351B2 (en) * | 2013-04-02 | 2016-10-18 | General Electric Company | System and method for automated provisioning of a wireless device |
| CN105281921B (zh) * | 2014-06-10 | 2020-01-07 | 中兴通讯股份有限公司 | 一种虚拟桌面实现组播的方法及装置 |
| US20220360566A1 (en) * | 2015-07-31 | 2022-11-10 | Nicira, Inc. | Distributed tunneling for vpn |
| CN106817607B (zh) * | 2015-12-02 | 2020-09-08 | 南京中兴新软件有限责任公司 | 基于虚拟桌面的音视频组播播放方法、装置及系统 |
| US10887130B2 (en) * | 2017-06-15 | 2021-01-05 | At&T Intellectual Property I, L.P. | Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device |
| US20220278966A1 (en) * | 2018-12-10 | 2022-09-01 | Neone, Inc. | Secure Virtual Personalized Network with Preconfigured Wallets |
| US10798069B2 (en) * | 2018-12-10 | 2020-10-06 | Neone, Inc. | Secure virtual personalized network |
| GB201904224D0 (en) * | 2019-03-27 | 2019-05-08 | Sec Dep For Foreign And Commonwealth Affairs | A network filter |
| US11843581B2 (en) * | 2021-08-15 | 2023-12-12 | Netflow, UAB | Clustering of virtual private network servers |
| US11539671B1 (en) * | 2021-11-17 | 2022-12-27 | Uab 360 It | Authentication scheme in a virtual private network |
| US20230171262A1 (en) | 2021-11-28 | 2023-06-01 | Uab 360 It | Authentication procedure in a virtual private network |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1404277A (zh) * | 2001-07-03 | 2003-03-19 | 三星电子株式会社 | 从虚拟专用网络的服务器传输数据到移动节点的方法 |
| CN1492650A (zh) * | 2002-10-24 | 2004-04-28 | 华为技术有限公司 | 基于二层隧道协议的网络服务器支持多实例的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6640251B1 (en) * | 1999-03-12 | 2003-10-28 | Nortel Networks Limited | Multicast-enabled address resolution protocol (ME-ARP) |
| US6567929B1 (en) * | 1999-07-13 | 2003-05-20 | At&T Corp. | Network-based service for recipient-initiated automatic repair of IP multicast sessions |
| US6870842B1 (en) * | 1999-12-10 | 2005-03-22 | Sun Microsystems, Inc. | Using multicasting to provide ethernet-like communication behavior to selected peers on a network |
| US7310730B1 (en) * | 2003-05-27 | 2007-12-18 | Cisco Technology, Inc. | Method and apparatus for communicating an encrypted broadcast to virtual private network receivers |
| US7587591B2 (en) * | 2003-10-31 | 2009-09-08 | Juniper Networks, Inc. | Secure transport of multicast traffic |
| US7647492B2 (en) * | 2004-09-15 | 2010-01-12 | Check Point Software Technologies Inc. | Architecture for routing and IPSec integration |
-
2004
- 2004-09-29 JP JP2004283021A patent/JP4407452B2/ja not_active Expired - Fee Related
-
2005
- 2005-01-28 CN CN2005100068382A patent/CN1756234B/zh not_active Expired - Fee Related
- 2005-02-02 US US11/047,772 patent/US7725707B2/en not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1404277A (zh) * | 2001-07-03 | 2003-03-19 | 三星电子株式会社 | 从虚拟专用网络的服务器传输数据到移动节点的方法 |
| CN1492650A (zh) * | 2002-10-24 | 2004-04-28 | 华为技术有限公司 | 基于二层隧道协议的网络服务器支持多实例的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7725707B2 (en) | 2010-05-25 |
| US20060070115A1 (en) | 2006-03-30 |
| JP2006101051A (ja) | 2006-04-13 |
| CN1756234A (zh) | 2006-04-05 |
| JP4407452B2 (ja) | 2010-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1756234B (zh) | 服务器、vpn客户装置、vpn系统 | |
| US11283772B2 (en) | Method and system for sending a message through a secure connection | |
| US7509491B1 (en) | System and method for dynamic secured group communication | |
| JP3263878B2 (ja) | 暗号通信システム | |
| US7231664B2 (en) | System and method for transmitting and receiving secure data in a virtual private group | |
| US6701437B1 (en) | Method and apparatus for processing communications in a virtual private network | |
| US20070165865A1 (en) | Method and system for encryption and storage of information | |
| US6725276B1 (en) | Apparatus and method for authenticating messages transmitted across different multicast domains | |
| WO2004030290A1 (ja) | コンテンツ配信システム | |
| TW573412B (en) | Virtual private network | |
| KR20030019356A (ko) | 이동 데이터 통신용 보안 동적 링크 할당 시스템 | |
| JPH10178450A (ja) | フレームを捕獲、カプセル化及び暗号化するための擬似ネットワークアダプタ | |
| WO2000031931A1 (en) | Method and system for securing data objects | |
| JP3296514B2 (ja) | 暗号通信端末 | |
| Mambo et al. | Implementation of virtual private networks at the transport layer | |
| JPH07170280A (ja) | ローカルエリアネットワーク | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
| JP4707325B2 (ja) | 情報処理装置 | |
| JPH07107084A (ja) | 暗号通信システム | |
| US20070079114A1 (en) | Method and system for the communication of a message as well as a suitable key generator for this | |
| JP2001094600A (ja) | メッセージ転送ノード及びネットワーク | |
| CN115766172A (zh) | 基于dpu和国密的报文转发方法、装置、设备及介质 | |
| JP2005080131A (ja) | 秘密データ通信システム | |
| JP2001333076A (ja) | 暗号通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: HITACHI CO., LTD. Free format text: FORMER OWNER: HITACHI COMMUNICATION TECHNOLOGIES LTD. Effective date: 20100318 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20100318 Address after: Tokyo, Japan, Japan Applicant after: Hitachi Ltd. Address before: Tokyo, Japan, Japan Applicant before: Hitachi Communications Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 Termination date: 20130128 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |