TWI493946B

TWI493946B - 虛擬私有網路通信系統、路由裝置及其方法

Info

Publication number: TWI493946B
Application number: TW102102047A
Authority: TW
Inventors: Der Hwa Tan; Ming Yen Lai; min wei Huang
Original assignee: Gemtektechnologyco Ltd
Priority date: 2013-01-18
Filing date: 2013-01-18
Publication date: 2015-07-21
Also published as: TW201431336A; US20140207958A1; US9419891B2

Description

虛擬私有網路通信系統、路由裝置及其方法

本發明是有關於一種網際網路通信系統，且特別是有關於一種虛擬私有網路通信系統、路由裝置及其方法。

隨著網際網路(Internet)的快速普及，在第四版的網際網路協議(Internet Protocol Version 4,IPv4)架構下，公有網際網路協議位址(Public Internet Protocol address,Public IP address)的數量已經不足以供快速出現的大量的網路用戶使用。因此，在私有網路(Private Network)或企業內部網路(Enterprise Intranet)的概念被提出後，如今私有網路已廣為各個組織體系所使用。

由網際網路工程任務組(Internet Engineering Task Force,IETF)所發行的編號1918之徵求修正意見書(Request For Comments,RFC)則對上述的私有網路以及位於私有網路下的虛擬IP之配置進行了定義上的說明。基本上，在私有網路中被配置虛擬IP的主機可利用閘道器等方式與連結至外部的服務，但對外部網路位址是不具有IP層級的連線能力。

當私有網路內部的主機欲與網際網路中的一電腦主機連線時，可以利用NAT轉址的機制達成。但當在私有網路內部的主機所欲相互通信的另一主機同樣的處在另一個私有網路內部時，在兩個私有網路之間則需要虛擬私人網路(Virtual Private Network,VPN)的架構，利用網際網路來傳遞兩個私有網路之間的訊息。虛擬私人網路利用已加密的通道協議(Tunneling Protocol)來達到保密、傳送端認證、訊息準確性等私人訊息安全效果，以達到私人網路中的訊息不被外部主機/使用者所擷取變更的目標。然而，在現有建立通道協議的方法中，必須經由繁瑣的連線以及設定才能完成。要如何以更簡潔的方式完成虛擬私人網路的連線，同時卻依然保有著傳遞訊息的安全性，成為本領域中急需被解決的問題。

本發明提供一種虛擬私有網路通信系統、路由裝置及其方法，使得不同分屬不同私有網路下的主機可經由簡單的連線方式直接進行網路通信。

本發明提供一種虛擬私有網路通信系統，包括伺服器以及多個路由裝置。多個路由裝置分別傳送一註冊資訊至伺服器，其中註冊資訊中包括一辨識字串。路由裝置中包括一第一路由裝置以及一第二路由裝置，其中第一路由裝置發送一定位需求至伺服器，伺服器根據辨識字串傳定位需求至路由裝置的部份或全部，當第二路由裝置接收定位需求時，第二路由裝置根據定位需求透過伺服器回傳一定位資訊至第一路由裝置。第一路由裝置根據定位資訊以直接與第二路由裝置建立一連線，並在連線建立後傳輸資料。

本發明提供一種路由裝置，適用於一虛擬私有網路通信系統，包括：一網路介面單元及一處理單元。網路介面單元透過網際網路連接至一伺服器。處理單元耦接網路介面單元，透過網路介面單元傳送一註冊資訊至伺服器，其中註冊資訊包括一辨識字串。處理單元更透過網路介面單元傳送一定位需求至伺服器。處理單元透過網路介面單元從伺服器接收一定位資訊，並且處理單元根據定位資訊透過網路介面單元直接與一遠端路由裝置連線，並在連線建立後傳送一資料。

本發明提供一種虛擬私有網路通信方法，包括以下步驟。首先，傳送一註冊資訊至虛擬私有網路通信系統的一伺服器，其中註冊資訊包括一辨識字串。接著，傳送一定位需求至伺服器。然後，接收從伺服器回傳的一定位資訊，並且根據定位資訊直接與一遠端路由裝置連線。再者，在連線建立後傳送一資料。

基於上述，本發明提供一種虛擬私有網路通信系統、路由裝置及其方法，以向利用定位需求以及辨識字串向伺服器註冊後，利用伺服器交換定位資訊來完成私有網路之間溝通並建立連線，達到虛擬私有網路的功效。

為讓本發明之上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明如下。

圖1為根據本發明一實施例所繪示虛擬私有網路(Virtual Private Network,VPN)通信系統的系統方塊圖。請參照圖1，虛擬私有網路通信系統10包括伺服器110以及路由裝置120、130。事實上，虛擬私有網路通信系統10可包括多個路由裝置，為了說明方便，在本實施例中則以路由裝置120、130作為代表說明。

路由裝置120、130分別為私有網路150、160對私有網路外部的網際網路140之出口，並且為私有網路150、160下的各主機提供例如網路地址轉換(Network Address Translation,NAT)等服務。例如，私有網路150中包括主機151~153，路由裝置120則分別配置一虛擬子網段中的一虛擬網際網路協議位址至主機151~153。當主機151~153欲透過路由裝置120連線至外部網際網路140時，路由裝置120則利用網路地址轉換服務，將虛擬子網段中的虛擬網際網路協議位址轉換為網際網路中的實體位址，並藉此轉收發私有網路150中各主機(主機151~153)的傳輸資料。

路由裝置130與私有網路160之間的關係亦與路由裝置120與私有網路150的關係相同，在此則不贅述。

路由裝置120、130作為私有網路150、160的對外出口，通常亦具有NAT服務或是於其與網際網路之間存在有具有NAT服務的設備。因此，要使得私有網路150、160成為虛擬私有網路(Virtual Private Network,VPN)更增加了些許難度。而本發明所提出的虛擬私有網路通信系統，即是提供一種更簡單的方式讓各個私有網路之間建立起虛擬私有網路通信系統，並透過虛擬私有網路通信系統的機制提供各私有網路之間的主機之點對點傳輸能力。

在本發明一實施例中，路由裝置120、130透過網際網路140與伺服器110互相連接，並分別傳送註冊資訊RI至伺服器110，其中註冊資訊RI中包括辨識字串。其中，伺服器110利用辨識字串作為是否將路由裝置120、130分別所屬的私有網路150、160結合為虛擬私有網路的依據。

在伺服器110接收多個路由裝置所傳送的註冊資訊RI並紀錄後，路由裝置120發送定位需求PR至伺服器110。伺服器110根據辨識字串將定位需求PR至路由裝置的部份或全部(例如路由裝置130)。當路由裝置之一，例如路由裝置130，接收定位需求PR時，路由裝置130根據定位需求PR透過伺服器110回傳定位資訊PI至路由裝置120。路由裝置120根據定位資訊PI以直接與路由裝置130建立連線，並在連線建立後傳輸資料DAT。為了更詳細的說明，以下將以實施例配合圖式說明本發明之技術內容。

圖2為根據本發明一實施例所繪示虛擬私有網路通信系統的時序流程圖。請參照圖2，虛擬私有網路通信系統10的時序流程主要可以分為三大部份，第一部份是對應於步驟S201~203的註冊程序，第二部份為對應於步驟S204~S212之定位程序，以及對應於步驟S213~S215的第三部份之連線程序。

首先，在第一部份的註冊程序中，虛擬私有網路通信系統中的各路由裝置，例如路由裝置120、130將傳送註冊資訊至伺服器110(步驟S201、202)。其中，註冊資訊中包括辨識字串、此路由裝置的媒體存取控制(Media Access Control Address,MAC)位址以及伺服器110的MAC位址，各路由裝置則根據伺服器110的MAC位址傳送至伺服器110。伺服器110在接收到各路由裝置所傳送的註冊資訊後，將各路由裝置的名稱、辨識字串以及MAC位址儲存於一註冊表單之中(步驟S203)。

伺服器110可用以同時處理多個虛擬私用網路，便可利用辨識字串來辨別虛擬私有網路通信系統10中的各個路由裝置是否分屬於不同的虛擬私用網路。若是多個路由裝置(例如)所傳送的註冊資訊RI中包括相同的辨識字串，伺服器110便可藉此判斷上述這些具有相同辨識字串的路由裝置為屬於相同的虛擬私用網路。並利用這樣的前提進行下述下個部份的步驟流程。

在完成註冊程序之後，則為第二部份的定位程序。請繼續參照圖2，路由裝置120發送定位需求至伺服器110(步驟S204)。其中，路由裝置120可能在發送此定位需求之前，先接收到所屬之私有網路(例如圖1所示私有網路150)中的主機之一(例如圖1所示主機151~153)欲與另一私有網路中的主機(例如私有網路160中的主機161~163之一)的連線要求，再因應此連線要求發送定位需求至伺服器110。

圖3為根據本發明一實施例所繪示定位需求的資料結構圖。請參照圖3，定位需求30中包括標頭檔(header)310以及資料內容320。其中，標頭檔包括乙太網路標頭311、網際協議(Internet Protocol,IP)標頭312、用戶數據報協議(User Datagram Protocol,UDP)標頭313，用以將定位需求30從路由裝置120傳送透過網際網路傳送至伺服器110。值得注意的是，由於簡單快速等優點，在此實施例中，定位需求30採用了UDP這樣的傳輸層(transport layer)協議，但本發明亦可使用例如傳輸控制協議(Transmission Control Protocol,TCP)等其他協議，本發明並不限定於此。

資料內容320包括乙太網路標頭321以及載荷(payload)322。值得注意的是，一般而言，乙太網路標頭321中所記載的內容包括前一個傳送對象的MAC位址(例如網路中的一節點)以及此封包的下一個傳送對象的MAC位址。資料內容320中所包括的乙太網路標頭321裡面所記載的MAC位址則是包括了傳送者(例如路由裝置120)的MAC位址以及最後接收者(例如伺服器110)的MAC位址。由於路由裝置120所發送的定位需求30的最終接收者即為伺服器110，這麼一來，當伺服器110收到此定位需求30時，便可以在處理完標頭檔310後藉由乙太網路標頭321得知此定位需求30的最後接收對象為伺服器110，便可進而解讀後續之資料內容。

資料內容中的載荷322則包括辨識字串以及位址詢問訊息。辨識字串可用以讓伺服器110重新確認路由裝置120 所屬的虛擬私有網路。位址詢問訊息則為一加密訊息，其中包括了一虛擬IP位址，也就是上述路由裝置120所接收，由其所屬私有網路150中的主機(主機151~153之一)所發出的連線要求中，欲連線對象的虛擬IP位址。在本實施例中，加密前的位址詢問訊息以符合地址解析協議(Address Resolution Protocol,ARP)的格式撰寫以供接收的路由裝置，例如路由裝置130解析。在本發明應用於網際網路通訊協定第6版(Internet Protocol version 6,IPv6)的實施例中，位址詢問訊息亦可以符合IPv6規範下的網際網路控制消息協議第六版(Internet Control Message Protocol Version 6,ICMPv6)的格式撰寫，本發明不限制其實施方式。

另外，在本實施例中，路由裝置120利用辨識字串作為密鑰加密上述之位址詢問訊息，在本發明其他實施方式中，亦可以辨識字串或其他由多個路由裝置與伺服器共知的資訊配合特定演算法產生其他密鑰，本發明並不限定上述實施方式。

請繼續參照圖2，伺服器110在接收定位需求之後便解析定位需求，確認乙太網路標頭321以及載荷322中辨識字串的內容。(步驟S205)。在本實施例中，伺服器110直接將定位需求轉發至虛擬私有網路中的所有路由裝置，也就是在註冊表單中，具有與路由裝置110或定位需求中相同的辨識字串的所有路由裝置。

值得注意的是，此時於定位需求30中資料內容320 的乙太網路標頭321則由伺服器110所改寫。其中，乙太網路標頭321的最終接收者則由伺服器110改寫為上述具有相同辨識字串的各個路由裝置，發送者的位置則仍維持為定位需求的發送者，也就是路由裝置120。伺服器110分別為各個路由裝置改寫資料內容320中的乙太網路標頭321之後，便以單點傳播(unicast)的方式分別傳送定位需求至虛擬私有網路中的各個路由裝置(步驟S206)。

事實上，這樣的傳播模式近似於伺服器110對具有相同辨識字串的所有路由裝置進行廣播(broadcast)的動作，但是由於傳送至各個路由裝置的內容仍各有些不同，因此與廣播的動作仍有些許差異。在虛擬私有網路通信系統10中具有與路由裝置120相同辨識字串的路由裝置在接收到定位需求後，解析該定位需求並且解密其中的位址詢問訊息(步驟S207)。接著，這些路由裝置確認位址詢問訊息中的虛擬IP位址是否為位於所屬之私有網路的虛擬子網段中(步驟S208)。當路由裝置判斷位址詢問訊息中的虛擬IP位址並非位於所屬之私有網路的虛擬子網段中時，此路由裝置則直接丟棄(discard)/忽略此定位需求(步驟S209)。

而在本實施例中，位址詢問訊息中所包括的虛擬IP位址為路由裝置130所屬私有網路160中主機161~163之一的虛擬IP位址。所以，路由裝置130判斷位址詢問訊息中的虛擬IP位址為位於所屬之私有網路的虛擬子網段中。此時，路由裝置130可由定位需求中資料內容320中的乙太網路標頭321中獲得定位需求的發送者，也就是路由裝置120的MAC位址。由此，路由裝置130透過伺服器110傳送定位資訊至路由裝置120(步驟S210、211)。

定位資訊的資料結構與定位需求的資料結構相同，可參考圖3所示定位需求之資料結構格式。路由裝置130在定位資訊中資料內容中的乙太網路標頭的接收者之欄位填上路由裝置120的MAC位址。藉此，伺服器110在接收到定位資訊時，則可直接從資料內容中的乙太網路標頭判斷此定位資訊需轉送至路由裝置120。

定位資訊中的資料內容中除了乙太網路標頭外，亦包括一加密的定位訊息，其中包括了虛擬IP位址是位於路由裝置130所屬之私有網路160的虛擬子網段的描述。其中定位訊息的加密方式以及資料格式可參考上述位址詢問訊息的加密方式及資料格式，在此則不贅述。

路由裝置120接收到定位資訊後，可藉由解析定位資訊並解密定位資訊中的定位訊息來得到對應於定位需求中的虛擬IP位址的私有網路入口，也就是路由裝置130(步驟S212)。至此，虛擬私有網路通信系統10則完成了第二部份的定位程序。

在路由裝置120獲得欲連線對象的定位資訊之後，並接著可以進行第三部份的連線程序。首先路由裝置120先以根據定位資訊的內容直接發送連線要求至路由裝置130，以嘗試建立連線(步驟S213)。路由裝置130在接收到連線要求之後驗證該連線要求，並回應該連線要求，回傳一回應訊息至路由裝置120(步驟S214)。藉此，路由裝置120便接著與路由裝置130建立連線(步驟S215)。其中值得注意的是，路由裝置120、130之間所建立的連線為符合網際網路安全協議(Internet Protocol Security,IPSec)的一點對點(Peer to Peer,P2P)連線，如此一來，路由裝置120、130所屬的私有網路150、160才能結合唯一虛擬私有網路。

為了更詳細說明本發明之技術內容，以下將以一實際實施方式簡單的例示上述之虛擬私有網路通信系統之流程步驟內容。在此實際實施方式中，設定虛擬私有網路通信系統中的各裝置的MAC位址如下表：

首先於第一部份的註冊程序中，路由裝置120傳送至伺服器110的註冊資訊中的資料內容則包括：{42：21：1a：f4：ea：27,ff：ff：ff：ff：ff：ff,SMB}

其中可以看到的是，前兩個為乙太網路標頭，即分別為路由裝置120(發送者)、伺服器110(接收者)的MAC位址。第三個資訊則為辨識字串SMB。

同理，由路由裝置130傳送至伺服器的註冊資訊中的資料內容包括： {00：ff：7f：0a：81：6d,ff：ff：ff：ff：ff：ff,SMB}

而伺服器110在接收到上述的註冊資訊之後，則將註冊資訊中的資料內容記載於如下的註冊表單中：

值得注意的是，裝置名稱為選擇性實施的欄位，可附帶於註冊資訊中傳送。

接著，在第二部份的定位程序時，路由裝置120的發送一定位需求如下所示：{42：21：1a：f4：ea：27,ff：ff：ff：ff：ff：ff,SMB，加密訊息(ARP：who is 10.2.3.100)}

其中，第四個資訊即為加密之位址詢問訊息。

伺服器110在接收到上述的定位需求之後，即將定位需求轉發至虛擬私有網路通信系統10中其他具有相同辨識字串”SMB”的路由裝置，在此實施方式之中即為路由裝置130。

{42：21：1a：f4：ea：27,00：ff：7f：0a：81：6d,SMB，加密訊息(ARP：who is 10.2.3.100)}

值得注意的是，第二個資訊之接收者MAC位址以改寫為路由裝置130的MAC位址。

而在路由裝置130上亦存有一連線清單，在解析上述的定位需求之後，路由裝置130亦將路由裝置120的連線方式儲存於連線清單中：

UDP連線方式為Sock0的表示方式則為，現階段路由裝置120可透過連接伺服器的方式，將各式資料傳送至路由裝置130。

由於位址詢問訊息中的虛擬IP位址10.2.3.100屬於路由裝置130的虛擬子網段之中，因此路由裝置130以Sock0，也就是透過伺服器轉送的路徑，回傳定位資訊至路由裝置120。定位資訊的資料內容則包括以下資訊：{00：ff：7f：0a：81：6d,42：21：1a：f4：ea：27,SMB，加密訊息(10.2.3.100 is at 42：21：1a：f4：ea：27)}

而路由裝置120則可由解析定位資訊中的定位訊息得知虛擬IP位址10.2.3.100所對應的路由裝置為路由裝置130。

此時，路由裝置120則亦將路由裝置130加入連線清單之中：

然後，路由裝置120便根據定位資訊試著與路由裝置 130建立連線。在連線建立後，路由裝置120以及路由裝置130的連線清單即更新為：

其中，UDP連線方式Sock1則表示路由裝置120、130以可以點對點的方式互相交換資料。

本發明亦提供一種路由裝置，適用於一虛擬私有網路通信系統。圖4為根據本發明一實施例所繪示路由裝置的裝置方塊圖。請參照圖4，路由裝置40包括網路介面單元410以及處理單元420。網路介面單元410透過網際網路連接至一伺服器。處理單元420，耦接網路介面單元410，透過網路介面單元410傳送註冊資訊RI至伺服器，其中註冊資訊包括一辨識字串。其中，處理單元420更透過網路介面單元410傳送定位需求PR至伺服器。處理單元420透過網路介面單元410從伺服器接收一定位資訊PI，並且處理單元420根據定位資訊PI透過網路介面單元410直接與一遠端路由裝置連線，並在連線建立後傳送一資料。

路由裝置40的其他詳細實施內容可參照圖1~3所示實施例的說明，在此則不贅述。其中值得注意的是，在實際實施時，路由裝置40通常更包括一子網路介面單元(未繪示)，用以連接與所屬的私有網路中的各主機(例如圖1所示私有網路150及主機151~153)並交換其之間的資料。

本發明亦提供一種虛擬私有網路通信方法，適用於一虛擬私有網路通信系統中一路由裝置。圖5為根據本發明一實施例所繪示虛擬私有網路通信方法的方法流程圖。請參照圖5，虛擬私有網路通信方法包括以下步驟。首先，在步驟S501時，傳送一註冊資訊至虛擬私有網路通信系統的一伺服器，其中註冊資訊包括一辨識字串。接著，在步驟S502時，傳送一定位需求至伺服器。然後，在步驟S503時，接收從伺服器回傳的一定位資訊，並且根據定位資訊直接與一遠端路由裝置連線。再者，在步驟S504時，在連線建立後傳送一資料。虛擬私有網路通信方法的其他詳細實施內容可參照圖1~3所示實施例的說明，在此則不贅述。

綜上所述，本發明提供一種虛擬私有網路通信系統、路由裝置及其方法，以進行註冊程序、定位程序以及連線程序等動作來完成虛擬私有網路通信系統中的路由裝置及其所屬私有網路之間的通信連線。所述系統並利用一辨認字串來區別虛擬私有網路，並且藉由定位需求以及其中所包括的辨認字串來進行私有網路虛擬IP位址的定位，以在兩個私有網路之間完成點對點傳輸的目的。即使兩個路由裝置皆在NAT設備後，仍可以簡單的方式建立起虛擬私有網路的連線。另外，利用辨認字串作為加密訊息的根據亦使得密鑰的傳遞變得簡單。

雖然本發明已以實施例揭露如上，然其並非用以限定本發明，任何所屬技術領域中具有通常知識者，在不脫離本發明之精神私範圍內，當可作些許之更動與潤飾，故本發明之保護範圍當視後附之申請專利範圍所界定者為準。

10‧‧‧虛擬私有網路通信系統

110‧‧‧伺服器

120、130、40‧‧‧路由裝置

410‧‧‧網路介面單元

420‧‧‧處理單元

140‧‧‧網際網路

150、160‧‧‧私有網路

151~153、161~163‧‧‧主機

RI‧‧‧註冊資訊

PR、30‧‧‧定位需求

PI‧‧‧定位資訊

DAT‧‧‧資料

310‧‧‧標頭檔

311、321‧‧‧乙太網路標頭

312‧‧‧IP標頭

313‧‧‧UDP標頭

320‧‧‧資料內容

322‧‧‧載荷

S201~215、S501~S504‧‧‧步驟

圖1為根據本發明一實施例所繪示虛擬私有網路通信系統的系統方塊圖。

圖2為根據本發明一實施例所繪示虛擬私有網路通信系統的時序流程圖。

圖3為根據本發明一實施例所繪示定位需求的資料結構圖。

圖4為根據本發明一實施例所繪示路由裝置的裝置方塊圖。

圖5為根據本發明一實施例所繪示虛擬私有網路通信方法的方法流程圖。