專利名稱:在通信網(wǎng)絡(luò)中訪問虛擬專用網(wǎng)絡(luò)業(yè)務(wù)的安全系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬專用網(wǎng)絡(luò)系統(tǒng)�,特別涉及用于訪問虛擬專用網(wǎng)絡(luò)業(yè)務(wù)的安全方法。
當(dāng)專用網(wǎng)絡(luò)連到互聯(lián)網(wǎng)時(shí)�,就有未經(jīng)批準(zhǔn)的用戶能觀看來往于專用網(wǎng)絡(luò)數(shù)據(jù)的風(fēng)險(xiǎn)。許多改善和保護(hù)網(wǎng)絡(luò)訪問的努力已經(jīng)做過了,其中最新的努力包括美國專利No.6,151,628,作者Xu等�,題目是Network AccessMethods,Including Direct wireless to Internet Access��,發(fā)表于2000年11月21日����;美國專利No.6,081,900,作者Subramanian等�,題目是Secure InternetAccess,發(fā)表于2000年6月27日��;美國專利No.6,061,796���,作者Chen等��,題目是Multi-Access Virtual Private network�����,發(fā)表于2000年5月9日��;美國專利No.6,158,011�����,作者Chen等�����,題目是Multi-Access VirtualPrivate Network�,發(fā)表于2000年12月5日;美國專利No.6,499,292��,作者Chuah等����,題目是Multi-Hop Point-to point protocol�����,發(fā)表于2000年12月10日��;美國專利No.6,453,419���,作者Flint等���,題目是System and Methodfor Implementing A Security policy,發(fā)表于2000年12月17日�����;美國專利No.5,835,726,作者shwed等����,題目是System for securing the Flow of Andselectively modifying packets in A computer network,發(fā)表于1998年11月10日�����;美國專利No.6,304,973���,作者Williams��,題目是Multi-level securitynetwork system�,發(fā)表于2000年10月16日���;和網(wǎng)絡(luò)工作組征術(shù)意見No.2661�����,題目為Layer two Tunneling protocol“L2TP”���,作者W.Townsley等��,日期為1999年8月����。
在這些最新的努力給出進(jìn)度的同時(shí)����,注意到它們還不能在通信網(wǎng)絡(luò)中為訪問虛擬專用網(wǎng)絡(luò)業(yè)務(wù)提供足夠安全的系統(tǒng)。
根據(jù)實(shí)例和廣泛說明的本發(fā)明的原理���,本發(fā)明提供了在通信網(wǎng)絡(luò)中訪問網(wǎng)絡(luò)業(yè)務(wù)的安全方法,該方法包括下列步驟如果用戶在層2隧道協(xié)議(L2TP)檢測到訪問專用網(wǎng)絡(luò)業(yè)務(wù)中請求�,則虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器;根據(jù)對訪問專用網(wǎng)絡(luò)業(yè)務(wù)的請求��,在遠(yuǎn)程撥號用戶業(yè)務(wù)服務(wù)器傳送連到虛擬專用網(wǎng)絡(luò)的層2隧道協(xié)議(L2TP)的網(wǎng)絡(luò)上的層2隧道協(xié)議(L2TP)信息��,并把在層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器中預(yù)先指定的加密信息送到層2隧道協(xié)議(L2TP)訪問集中器����;在接收層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)上的信息和加密信息之后,使用加密信息���,在層2隧道協(xié)議(L2TP)訪問集中器編碼由用戶產(chǎn)生的數(shù)據(jù)�����,并把編碼數(shù)據(jù)傳送到層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器���。
此外�����,根據(jù)本發(fā)明的原理���,本發(fā)明提供在通信網(wǎng)絡(luò)訪問專用網(wǎng)絡(luò)業(yè)務(wù)的安全系統(tǒng),該系統(tǒng)包括具有為虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問安全的加密信息的層2隧道協(xié)議(L2TP)���,用于對使用加密信息輸入的數(shù)據(jù)解碼�,并把解碼的數(shù)據(jù)傳送給虛擬專用網(wǎng)絡(luò)�;遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器具有一組層2隧道協(xié)議(L2YP)網(wǎng)絡(luò)服務(wù)器的加密信息,用于檢測來自用戶訪問專用網(wǎng)絡(luò)業(yè)務(wù)的情求����,搜索有關(guān)層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器的加密信息,該服務(wù)器連到用戶有關(guān)的虛擬專用網(wǎng)絡(luò)�,并傳送服務(wù)器信息和有關(guān)層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器和安全性的加密信息;和層2隧道協(xié)議(L2TP)訪問集中器����,用于根據(jù)訪問專用網(wǎng)絡(luò)業(yè)務(wù)的請求接收服務(wù)器信息和有關(guān)層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器的加密信息����,編碼由用戶加密信息產(chǎn)生的數(shù)據(jù)����,并把編碼的數(shù)據(jù)傳送給有關(guān)的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器。
根據(jù)本發(fā)明的原理��,本發(fā)明提供了在通信網(wǎng)絡(luò)中安全訪問虛擬專用網(wǎng)絡(luò)的方法���,該方法包括當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí)��,把第一個(gè)訪問請求從訪問集中器傳至遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器(RADIUS);把服務(wù)器信息和第一網(wǎng)絡(luò)服務(wù)器的加密信息傳送給訪問集中器�,所說的傳遞是相應(yīng)于第一訪問要求執(zhí)行的,第一網(wǎng)絡(luò)服務(wù)器連到虛擬專用網(wǎng)絡(luò)�;當(dāng)服務(wù)器信息和加密信息被訪問集中器收到時(shí),編碼與加密信息有關(guān)的第一數(shù)據(jù)��,所說的編碼是由訪問集中器執(zhí)行的����,第一數(shù)據(jù)是由用戶產(chǎn)生的��;把編碼的第一數(shù)據(jù)從訪問集中器發(fā)送到與服務(wù)器信息有關(guān)的第一網(wǎng)絡(luò)服務(wù)器�;解碼第一網(wǎng)絡(luò)服務(wù)器編碼的第一數(shù)據(jù)��,所說的編碼是依照加密信息執(zhí)行的�����;和把解碼的第一數(shù)據(jù)從第一網(wǎng)絡(luò)服務(wù)器傳到虛擬專用網(wǎng)絡(luò)����。
根據(jù)本發(fā)明的原理,本發(fā)明提供了用于安全訪問網(wǎng)絡(luò)的系統(tǒng)�����,該系統(tǒng)包括第一設(shè)備���,當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí)�,接收從用戶來的第一請求���;第二設(shè)備��,當(dāng)所說的第一設(shè)備發(fā)送第一請求時(shí)����,檢測第一請求;和第三設(shè)備����,它連到虛擬專用網(wǎng)絡(luò),所說的第三設(shè)備與第一和第二設(shè)備通信���;第二設(shè)備把第三設(shè)備的第一信息傳給與第一請求相應(yīng)的第一設(shè)備����,第二設(shè)備把加密信息傳給與第一請求相應(yīng)的第一設(shè)備�;第一設(shè)備接收由用戶產(chǎn)生的第一數(shù)據(jù),第一設(shè)備依據(jù)加密信息編碼第一數(shù)據(jù)�,第一設(shè)備把編碼的第一數(shù)據(jù)發(fā)送給第三設(shè)備;第三設(shè)備從第一設(shè)備接收編碼的第一數(shù)據(jù)�����,解碼該編碼的第一數(shù)據(jù)�,然后把解碼的第一數(shù)據(jù)傳給虛擬專用網(wǎng)絡(luò)����,解碼是依據(jù)加密信息執(zhí)行的�。
根據(jù)本發(fā)明的原理�����,本發(fā)明提供了一種具有一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����,用于執(zhí)行在通信網(wǎng)絡(luò)中安全訪問虛擬專用網(wǎng)絡(luò)的方法��,該組指令包括一個(gè)或多個(gè)指令�����,用于當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí)�,把第一訪問請求從訪問集中器發(fā)給遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)(RADIVS)服務(wù)器;把服務(wù)器信息和第一網(wǎng)絡(luò)服務(wù)器的加密信息傳給訪問集中器�����。傳送是相應(yīng)于第一訪問請求執(zhí)行的��,第一網(wǎng)絡(luò)服務(wù)器連到虛擬專用網(wǎng)絡(luò)�;當(dāng)服務(wù)器信息和加密信息由訪問集中器接收時(shí),依照加密信息編碼第一數(shù)據(jù),編碼是由訪問集中器執(zhí)行的����,第一數(shù)據(jù)由用戶產(chǎn)生;把編碼的第一數(shù)據(jù)依照加密信息從訪問集中器發(fā)往第一網(wǎng)絡(luò)服務(wù)器��;在第一網(wǎng)絡(luò)服務(wù)器解碼編碼的第一數(shù)據(jù)���,解碼是依照加密信息執(zhí)行的��;和把解碼的第一數(shù)據(jù)從第一網(wǎng)絡(luò)服務(wù)器傳給虛擬專用網(wǎng)絡(luò)���。
本發(fā)明的詳細(xì)說明,結(jié)合例子的附圖���,在下面的各節(jié)中給出�����。其它優(yōu)點(diǎn)和性能�����,從下面的說明和權(quán)利要求書中將會變得更加明顯。
圖1是通信網(wǎng)絡(luò)的原理圖;圖2是信號流程圖�����,表示對虛擬專用網(wǎng)絡(luò)訪問建立控制連接的過程��;圖3是信號流程圖�,表示對虛擬專用網(wǎng)絡(luò)訪問建立對話的過程;圖4是按本發(fā)明原理的通信網(wǎng)絡(luò)原理圖��;圖5是信號流程圖����,表示在虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問期間,根據(jù)本發(fā)明的原理�����,用于安全性的過程����;和圖6是表示數(shù)據(jù)包數(shù)據(jù)格式的框圖,根據(jù)本發(fā)明的原理�,它用于圖5中的層2隧道協(xié)議(L2TP)訪問集中器和層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器之間。
本發(fā)明的實(shí)施例描述如下���。為了清楚起見����,不是所有實(shí)際實(shí)現(xiàn)的性能都描述。在下面的說明中����,已知的功能,結(jié)構(gòu)和布置不作詳細(xì)說明����,因?yàn)椴槐匾募?xì)節(jié)可能模糊本發(fā)明。在開發(fā)任何實(shí)際實(shí)施例中��,需要作出許多具體實(shí)施的規(guī)則����,以獲得開發(fā)者的具體目標(biāo),例如與有關(guān)系統(tǒng)和有關(guān)業(yè)務(wù)限制的一致�����,它們從一種實(shí)施到另一種實(shí)施是可變的���。此外���,可以理解�,這樣一種開發(fā)工作可能是復(fù)雜和耗時(shí)的���,但是決不是保證普通技術(shù)人員可以獲得本發(fā)明的利益。
在虛擬專用網(wǎng)絡(luò)傳輸數(shù)據(jù)可包括在通過公共網(wǎng)把數(shù)據(jù)發(fā)送到接收邊之前進(jìn)行加密處理�,然后在接收邊解碼加密的數(shù)據(jù)。
包括專用網(wǎng)絡(luò)的通信網(wǎng)絡(luò)用圖1作說明��,圖1表示通信網(wǎng)絡(luò)的結(jié)構(gòu)��。
參考圖1����,遠(yuǎn)程系統(tǒng)311和313,它們是虛擬專用網(wǎng)絡(luò)的用戶�����,首先執(zhí)行對虛擬專用網(wǎng)絡(luò)325的撥號訪問�,用來對虛擬專用網(wǎng)絡(luò)業(yè)務(wù)的訪問。因?yàn)檫h(yuǎn)程系統(tǒng)311和另一個(gè)遠(yuǎn)程系統(tǒng)313具有同樣的功能���,在解說本發(fā)明時(shí)�,只要考慮遠(yuǎn)程系統(tǒng)311就行了。當(dāng)遠(yuǎn)程系統(tǒng)311執(zhí)行對虛擬專用網(wǎng)絡(luò)撥號訪問時(shí)��,它訪問具體互聯(lián)網(wǎng)服務(wù)商的訪問網(wǎng)絡(luò)315����。除了撥號方法之外,訪問遠(yuǎn)程服務(wù)器遠(yuǎn)程服務(wù)器是對虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問所用的另一種典型方法�����。但是�,訪問遠(yuǎn)程服務(wù)器比撥號法的價(jià)格高。
因此��,如圖1所示�����,遠(yuǎn)程系統(tǒng)用撥號方法訪問訪問網(wǎng)絡(luò)315���,訪問網(wǎng)絡(luò)315訪問層2隧道協(xié)議(L2TP)層訪問集中器(LAC)317�����。層2隧道協(xié)議是已知的L2TP���,層2隧道協(xié)議層訪問集中器317也是已知的LAC317���。這里,層2隧道協(xié)議(L2TP)是用于遠(yuǎn)程系統(tǒng)311和虛擬專用網(wǎng)絡(luò)325之間的隧道協(xié)議����。除了層2隧道協(xié)議(L2TP)用于與遠(yuǎn)程系統(tǒng)311隧道之外����,其它類協(xié)議,例如層2數(shù)據(jù)轉(zhuǎn)發(fā)(L2F)或點(diǎn)到點(diǎn)的隧道協(xié)議(PPTP)也可用在虛擬專用網(wǎng)絡(luò)325中��。圖1中層2隧道協(xié)議(L2TP)的協(xié)議已作為隧道協(xié)議使用�,層2隧道協(xié)議訪問集中器317認(rèn)證在遠(yuǎn)程系統(tǒng)311中通過遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321產(chǎn)生的數(shù)據(jù)包數(shù)據(jù),然后通過互聯(lián)網(wǎng)319把數(shù)據(jù)包數(shù)據(jù)傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器(LNS)323����。這里,當(dāng)遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器根據(jù)遠(yuǎn)程系統(tǒng)311的用戶識別器(ID)執(zhí)行認(rèn)證時(shí)����,且如果認(rèn)證成功地進(jìn)行,則遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321確定遠(yuǎn)程系統(tǒng)311應(yīng)通過哪個(gè)虛擬專用網(wǎng)絡(luò)通道來傳遞數(shù)據(jù)包��。并把數(shù)據(jù)包傳遞給層2隧道協(xié)議(L2TP)訪問集中器317。然后�����,層2隧道協(xié)議(L2TP)訪問集中器把數(shù)據(jù)包數(shù)據(jù)從遠(yuǎn)程系統(tǒng)311傳遞到層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323����,它連到相關(guān)的虛擬專用網(wǎng)絡(luò)。這里�����,當(dāng)遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321確定遠(yuǎn)程系統(tǒng)311應(yīng)通過那個(gè)虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)通道傳遞數(shù)據(jù)包時(shí)��,它實(shí)際上確定�����,遠(yuǎn)程系統(tǒng)311應(yīng)訪問那個(gè)層2隧道協(xié)議網(wǎng)絡(luò)����。
一旦層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323收到來自層2隧道協(xié)議訪問集中器317的遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù),為了把遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)傳給虛擬專用網(wǎng)絡(luò)325��,把互聯(lián)網(wǎng)協(xié)議(IP)地址分派給遠(yuǎn)程系統(tǒng)311。簡言之�����,遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)通過分派的IP地址傳遞給虛擬專用網(wǎng)絡(luò)325�����。虛擬專用網(wǎng)絡(luò)325產(chǎn)生對遠(yuǎn)程系統(tǒng)311的IP通道����,并使虛擬專用網(wǎng)絡(luò)業(yè)務(wù)在互聯(lián)網(wǎng)上,且如前面提到的���,它只允許專門的認(rèn)證用戶訪問業(yè)務(wù)。最后�,虛擬專用網(wǎng)絡(luò)325從L1TP網(wǎng)絡(luò)服務(wù)器323收到遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)之后,把數(shù)據(jù)包數(shù)據(jù)傳給有關(guān)的服務(wù)器��。例如Web服務(wù)器327或FTP服務(wù)器329���。這里����,Web服務(wù)器327和FTP服務(wù)器329是用于執(zhí)行虛擬專用網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)器。
下面是建立控制連接的方法�����,結(jié)合圖2來說明��。圖2是信號流程圖�����,代表建立對虛擬專用網(wǎng)絡(luò)訪問的控制連接方法���。
控制連接意味著最初的連接��,它必須在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間產(chǎn)生實(shí)際對話之前���,建立實(shí)際用戶使用層2隧道協(xié)議。在步驟S111���,如圖所示�����,首先��,層2隧道協(xié)議訪問集中器317把開始-控制-連接-請求(以下�����,稱為“SCCRQ”)消息傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323��,來初始化層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的通道��。在步驟S113���,在從層2隧道協(xié)議(L2TP)訪問集中器317接收SCCRQ信息之后���,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器指定層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的通道,然后����,把起始-控制-連接-回答(下面稱為“SCCRP”)消息傳給相應(yīng)于SCCRQ信息的層2隧道協(xié)議訪問集中器�。
在步驟S115,在接收SCCRQ信息之后�,層2隧道協(xié)議訪問集中器317把初始-控制-連接-被連接(以下簡稱“SCCCN”)消息傳給與SCCRP信息相應(yīng)的層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323。更具體的是�,當(dāng)層2隧道協(xié)議訪問集中器(LAC)317接收SCCRP信息時(shí),LAC了解到在層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間已經(jīng)建立起通道�����。換句話說,通道在SCCCN信息從層2隧道協(xié)議訪問集中器317輸出后就被建立起來����。LAC317把SCCCN消息傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323。這樣�����,層2隧道協(xié)議(L2TP)的三程握手與對傳輸控制協(xié)議(ICP)的三程握手相同�����。首先�,請求端向應(yīng)答端發(fā)送請求,接下來�����,應(yīng)答端發(fā)送認(rèn)可信息���,最后���,請求端發(fā)送通知信息����。于是��,通道狀態(tài)或TCP對話改變成“已建立”狀態(tài)��。
在步驟S117���,根據(jù)接收的SCCCN消息�����,層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器327把零長度數(shù)據(jù)體(此后稱為“ZLB”)ACK消息傳遞給層2隧道協(xié)議訪問集中器317���。實(shí)際上,ZLB ACK信息是在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間沒有消息傳遞時(shí)發(fā)送的�����,ZLB消息通常告知數(shù)據(jù)包數(shù)據(jù)通過已建立的通道傳輸���。因此,在層2隧道協(xié)議(L2TP)訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的控制連接建立直到層2隧道協(xié)議訪問集中器317接收ZLB ACK消息前沒有完成�����。在步驟S119,層2隧道協(xié)議(L2TP)訪問集中器317與層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器之間的控制連接的建立才被完成��。
如果在層2隧道協(xié)議(L2TP)訪問集中器317和層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器之間建立控制連接后�����,從遠(yuǎn)程系統(tǒng)311來的數(shù)據(jù)包數(shù)據(jù)輸入到層2隧道協(xié)議(L2TP)訪問集中器317���,亦即���,如果需要訪問,則使用實(shí)際層2隧道協(xié)議(L2TP)對數(shù)據(jù)包數(shù)據(jù)建立對話���。因此�,對話建立方法參考圖3在下面描述��。
圖3是信號流程圖�����,表示對虛擬專用網(wǎng)絡(luò)訪問對話建立的方法��。在步驟S211,開始����,當(dāng)層2隧道協(xié)議(L2TP)訪問集中器317檢測到來自用戶或遠(yuǎn)程系統(tǒng)311的訪問請求時(shí),它把輸入-呼叫-請求(此后稱為“ICRQ”)傳遞給層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器����。為傳遞ICRQ消息,首先應(yīng)在層2隧道協(xié)議(L2TP)訪問集中器317與層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器之間建立通道���,并存在來自用戶的輸入呼叫�����。在步驟S213���,根據(jù)接收的ICRQ信息,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323把輸入-呼叫-應(yīng)答(此后稱為“ICRP”)消息傳給層2隧道協(xié)議(L2TP)訪問集中器317���。這里�����,ICRP消息是相應(yīng)于ICRQ消息的消息�,表示輸入呼叫請求已成功地滿足�。
在步驟S215,在接收ICRP信息之后����,層2隧道協(xié)議(L2TP)訪問集中器317把輸入-呼叫-被連接(此后稱為“ICCN”)消息傳給與ICRP消息相應(yīng)的層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323。簡言之�,對話的建立是在層2隧道協(xié)議(L2TP)訪問集中器317把ICCN消息傳給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323時(shí)完成的。在步驟S217�����,當(dāng)層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323接收ICCN消息時(shí)��,層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323把ZLBACK消息傳給層2隧道協(xié)議訪問集中器317��。在層2隧道協(xié)議(L2TP)存以集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間無消息傳遞時(shí)����,發(fā)送ZLB ACK消息,ZLB消息通常告知數(shù)據(jù)包數(shù)據(jù)正通過穩(wěn)定的控制通道傳送���。因此���,在層2隧道協(xié)議(L2TP)訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器之間對話的建立�,直到層2隧道協(xié)議(L2TP)訪問集中器317接收ZLB ACK信之前沒有完成�����。在步驟S219���,層2隧道協(xié)議(L2TP)訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間對話的建立完成了�����。這里���,層2隧道協(xié)議(L2TP)的消息流描述在RFC 2661的“層2隧道協(xié)議L2TP”中。
在層2隧道協(xié)議(L2TP)訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器之間的對話建立之后�,使用相應(yīng)的鏈接把所有來自遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)發(fā)送到虛擬專用網(wǎng)絡(luò)325。通常�,層2隧道協(xié)議(L2TP)訪問集中器317和層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323通過互聯(lián)網(wǎng)319連接。由于互聯(lián)網(wǎng)的性質(zhì)�����,所有用互聯(lián)網(wǎng)319的用戶通信量都是公開暴露的��,所以,存在一系列安全問題�。換句話說,不管使用虛擬專用網(wǎng)絡(luò)���,因?yàn)樗袛?shù)據(jù)通過互聯(lián)網(wǎng)傳送,(這是公用網(wǎng))��,任何人都能監(jiān)視這些數(shù)據(jù)����。
下面將參考附圖描述本發(fā)明的實(shí)施例。在下面的描述中��,已知的功能或結(jié)構(gòu)不作詳細(xì)說明���,因?yàn)椴槐匾募?xì)節(jié)說明會模糊本發(fā)明���。
圖4表示按本發(fā)明的通信網(wǎng)絡(luò)的結(jié)構(gòu)。參考圖4����,遠(yuǎn)程系統(tǒng)311和313,它們是虛擬專用網(wǎng)絡(luò)用戶��,首先執(zhí)行為虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問對虛擬專用網(wǎng)絡(luò)325撥號。因?yàn)檫h(yuǎn)程系統(tǒng)311和另一遠(yuǎn)程系統(tǒng)313具有同樣的功能���,為了本發(fā)明解說的方便起見�,只考慮遠(yuǎn)程系統(tǒng)311��。當(dāng)遠(yuǎn)程系統(tǒng)311為虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問撥號時(shí)�,它就訪問具體互聯(lián)網(wǎng)服務(wù)商的訪問網(wǎng)絡(luò)315。除了撥號方法之外���,還有另一種方法獲得虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問�,例如��,用遠(yuǎn)程訪問服務(wù)器遠(yuǎn)程服務(wù)器�。但是,比起撥號方法來�����,RAS是非常貴的��。
因此�����,如圖4所示,遠(yuǎn)程系統(tǒng)用撥號方法訪問訪問網(wǎng)絡(luò)315�����,訪問網(wǎng)絡(luò)315訪問層2隧道協(xié)議(此后稱為“L2TP”)層訪問集中器(LAC�����,比較具體地說���,為L2TP訪問集中器)317。這里����,層2隧道協(xié)議(L2TP)是特別用于遠(yuǎn)程系統(tǒng)311和虛擬專用網(wǎng)絡(luò)325之間的隧道的協(xié)議。除了層2隧道協(xié)議(L2TP)用于與遠(yuǎn)程系統(tǒng)311隧道之外�,其它類協(xié)議,例如L2F(層2傳遞)或PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)也可用于虛擬專用網(wǎng)絡(luò)325中���,但在圖中��,層2隧道協(xié)議(L2TP)協(xié)議已作為隧道協(xié)議使用。層2隧道協(xié)議(L2TP)訪問集中器317認(rèn)證在遠(yuǎn)程系統(tǒng)311中通過遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321(RADIUS服務(wù)器)產(chǎn)生的數(shù)據(jù)包數(shù)據(jù)�,然后�����,把數(shù)據(jù)包數(shù)據(jù)通過互聯(lián)網(wǎng)319傳給層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器(LNS)323��。特別是����,在本發(fā)明中,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)(RADIVS)服務(wù)器321存儲同級到同級的層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323的密鑰����。
這里���,由于缺少數(shù)據(jù)包數(shù)據(jù)傳遞到虛擬專用網(wǎng)絡(luò)325的安全性,密鑰指定在連到虛擬專用網(wǎng)絡(luò)325的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323,層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323的密鑰由遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321管理�。當(dāng)層2隧道協(xié)議(L2TP)訪問集中器317產(chǎn)生請求對遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321訪問層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323時(shí)給出密鑰����。那么��,為保密起見,層2隧道協(xié)議(L2TP)訪問集中器317用密鑰執(zhí)行對數(shù)據(jù)包數(shù)據(jù)的加密�,該數(shù)據(jù)要傳到層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323�。在遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)(RADIVS)服務(wù)器321和層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323之間也預(yù)先設(shè)置用密鑰的安全系統(tǒng),且與密鑰一起�����,該安全系統(tǒng)以后傳遞給層2隧道協(xié)議(L2TP)訪問集中器317����。另一個(gè)安全系統(tǒng)的例子是零加密��。
最后����,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321根據(jù)遠(yuǎn)程系統(tǒng)311的用戶識別碼(ID)執(zhí)行認(rèn)證。如果認(rèn)證成功����,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321作出決定并同時(shí)執(zhí)行傳遞。特別是���,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321確定應(yīng)通過哪個(gè)虛擬專用網(wǎng)絡(luò)通道���,即通過哪個(gè)層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器,遠(yuǎn)程系統(tǒng)311傳遞數(shù)據(jù)包數(shù)據(jù)����,同時(shí)���,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321把預(yù)先設(shè)置的密鑰和保密系統(tǒng)傳遞給層2隧道協(xié)議訪問集中器317。這樣�,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321確定遠(yuǎn)程系統(tǒng)311應(yīng)把數(shù)據(jù)包數(shù)據(jù)傳給哪個(gè)虛擬專用網(wǎng)絡(luò)通道,或那個(gè)L2TPNS����,同時(shí)確定,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321把密鑰傳給層2隧道協(xié)議訪問集中器�。
于是,在從遠(yuǎn)程系統(tǒng)311把數(shù)據(jù)包數(shù)據(jù)發(fā)送給連到有關(guān)虛擬專用網(wǎng)絡(luò)的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323之前�,層2隧道協(xié)議(L2TP)訪問集中器317使用進(jìn)入安全系統(tǒng)的密鑰對數(shù)據(jù)包數(shù)據(jù)進(jìn)行加密。在這種狀態(tài)中�,數(shù)據(jù)是安全的,避免了任何可能的竊密�。圖4中參考數(shù)字400表示對要傳的數(shù)據(jù)用密鑰的部分���。即�,安全系統(tǒng)通過層2隧道協(xié)議(L2TP)訪問集中器317�,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)321,和層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)之間的互聯(lián)網(wǎng)用于通信����。
參考圖4�,用戶要訪問虛擬專用網(wǎng)絡(luò)325�����。用戶位于遠(yuǎn)程終端311下����。遠(yuǎn)程終端311可以是計(jì)算機(jī)系統(tǒng),如PC機(jī)�����,臺式計(jì)算機(jī)�,工作站,服務(wù)器���,可移動(dòng)計(jì)算機(jī)��,筆記本電腦����,手持計(jì)算機(jī)��,掌上電腦,可配帶式計(jì)算機(jī)���,或任何其它類計(jì)算機(jī)系統(tǒng)��。
繼續(xù)參考圖4����,用戶在遠(yuǎn)程終端311輸入指令��,該指令相應(yīng)于請求訪問虛擬專用網(wǎng)絡(luò)325來使用哪里提供的虛擬專用網(wǎng)絡(luò)服務(wù)����。該請求或相應(yīng)的傳輸從遠(yuǎn)程終端311被發(fā)往訪問網(wǎng)絡(luò)315,然后從訪問網(wǎng)絡(luò)315發(fā)往層2隧道協(xié)議層訪問集中器(LAC)317�����,接著再從LAC317通過互聯(lián)網(wǎng)319發(fā)送�����。遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321檢測或感知從LAC317發(fā)來的請求����,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321獲取相應(yīng)于層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器(LNS)323的服務(wù)器信息,同時(shí)獲取加密信息��。遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321把服務(wù)器信息和加密信息傳給LAC317���。層2隧道協(xié)議層訪問集中器(LAC)317用加密信息編碼由用戶產(chǎn)生的數(shù)據(jù)�����。然后LAC317把編碼數(shù)據(jù)通過互聯(lián)網(wǎng)319�,用服務(wù)器信息發(fā)給LNS323�����。層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器(LNS)323用加密信息解碼該編碼數(shù)據(jù)���。然后���,LNS323把解碼數(shù)據(jù)發(fā)給虛擬專用網(wǎng)絡(luò)325。用這樣的方法��,用戶可安全地訪問虛擬專用網(wǎng)絡(luò)325���,即使用戶通過互聯(lián)網(wǎng)訪問虛擬專用網(wǎng)絡(luò)325����。因此,根據(jù)前面的觀點(diǎn)��,用戶可通過互聯(lián)網(wǎng)訪問虛擬專用網(wǎng)絡(luò)325���,但是連到互聯(lián)網(wǎng)未被認(rèn)證的用戶不能觀看來往于虛擬專用網(wǎng)絡(luò)325的數(shù)據(jù)����。還有���,相應(yīng)于遠(yuǎn)程終端311的請求��,LNS323用加密信息編碼從虛擬專用網(wǎng)絡(luò)325收到的數(shù)據(jù)����,然后把編碼數(shù)據(jù)發(fā)給LAC317��。LAC317用加密信息解碼該數(shù)據(jù)���,然后把解碼數(shù)據(jù)發(fā)給遠(yuǎn)程終端311�����。編碼和解碼是根據(jù)加密信息進(jìn)行的����。
在層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323接收從層2隧道協(xié)議(L2TP)訪問集中器317來的遠(yuǎn)程系統(tǒng)311數(shù)據(jù)包數(shù)據(jù)之后���,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323�,為了把遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)傳遞給虛擬專用網(wǎng)絡(luò)325��,對遠(yuǎn)程系統(tǒng)311分派IP地址��。簡言之�����,遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)通過分派的IP地址傳給虛擬專用網(wǎng)絡(luò)325���。虛擬專用網(wǎng)絡(luò)325產(chǎn)生對遠(yuǎn)程系統(tǒng)311的IP通道��,并且能在互聯(lián)網(wǎng)上進(jìn)行虛擬專用網(wǎng)絡(luò)業(yè)務(wù)���,如前面提到的一樣�����,它只允許被專門認(rèn)證的用戶能訪問業(yè)務(wù)���。最后,虛擬專用網(wǎng)絡(luò)325在收到從層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323來的遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)后�����,把該數(shù)據(jù)包數(shù)據(jù)傳給有關(guān)的服務(wù)器����,例如,Web服務(wù)器327或FTP服務(wù)器329����。這里,Web服務(wù)器327和FTP服務(wù)器329都是執(zhí)行虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)的服務(wù)器�。
參考圖5,下面解說在虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)訪問期間用于安全性的分法�����。圖5是信號流程圖�,表示在虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)訪問期間���,根據(jù)本發(fā)明的原理,用于安全系統(tǒng)的方法��。
如圖4和5所示�,遠(yuǎn)程系統(tǒng)311對互聯(lián)網(wǎng)服務(wù)商的具體訪問網(wǎng)絡(luò)����,即對訪問網(wǎng)絡(luò)315提出請求,用于通過撥號的虛擬專用網(wǎng)絡(luò)業(yè)務(wù)訪問��。在步驟S441��,訪問網(wǎng)絡(luò)315檢查遠(yuǎn)程系統(tǒng)311對虛擬專用網(wǎng)絡(luò)網(wǎng)絡(luò)業(yè)務(wù)訪問的請求����,并執(zhí)行在層2隧道協(xié)議(L2TP)訪問集中器317和遠(yuǎn)程系統(tǒng)311之間的呼叫連接,并給出遠(yuǎn)程系統(tǒng)311已被適當(dāng)認(rèn)證�。在步驟S413,互果在遠(yuǎn)程系統(tǒng)311和層2隧道協(xié)議(L2TP)訪問集中器317之間完成連接���,鏈接層控制協(xié)議(LCP)就建立起來了����。
這里,鏈接層控制協(xié)議(LCP)表示用于通過點(diǎn)到點(diǎn)對層與層之間訪問的控制協(xié)議�。更具體地說,在用LCP��、網(wǎng)絡(luò)層控制協(xié)議(NCP)或互聯(lián)網(wǎng)協(xié)議控制協(xié)議(IPCP)作訪問之后����,進(jìn)行認(rèn)證過程(PAP或CHAP),如果底層訪問(LCP和認(rèn)證)是成功的����,則互聯(lián)網(wǎng)協(xié)議有關(guān)的信息接入網(wǎng)絡(luò)層,從而實(shí)現(xiàn)了指定����。PAP涉及口令認(rèn)證協(xié)議,CHAP涉及盤問溝通確認(rèn)協(xié)議�。
在步驟S415,當(dāng)LCP在遠(yuǎn)程系統(tǒng)311和層2隧道協(xié)議(L2TP)訪問集中器317之間建立時(shí)���,認(rèn)證工作就在遠(yuǎn)程系統(tǒng)311和層2隧道協(xié)議(L2TP)訪問集中器之間執(zhí)行�。這里�����,認(rèn)證工作包括用通過訪問服務(wù)器315收到的遠(yuǎn)程系統(tǒng)311的信息,例如���,用電話號碼來認(rèn)證遠(yuǎn)程系統(tǒng)311是否是可訪問的虛擬專用網(wǎng)絡(luò)業(yè)務(wù)�����。
在步驟S417�,在遠(yuǎn)程系統(tǒng)311和層2隧道協(xié)議(L2TP)訪問集中器317之間成功認(rèn)證之后���,層2隧道協(xié)議(L2TP)訪問集中器317把訪問請求信息傳給遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321。這里�����,當(dāng)層2隧道協(xié)議(L2TP)訪問集中器317請求對遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321的訪問時(shí)��,遠(yuǎn)程系統(tǒng)311的信息與請求一起傳遞��。然后�����,根據(jù)從層2隧道協(xié)議(L2TP)訪問集中器317接收的訪問請求�����,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321執(zhí)行對遠(yuǎn)程系統(tǒng)311的認(rèn)證,并確定遠(yuǎn)程系統(tǒng)311的有關(guān)通道����,即,用于遠(yuǎn)程系統(tǒng)311的有關(guān)層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器�����。換句話說�,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321搜索連到虛擬專用網(wǎng)絡(luò)的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器,并選擇遠(yuǎn)程系統(tǒng)311應(yīng)訪問的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器���。
在選擇用于遠(yuǎn)程系統(tǒng)311的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器時(shí)�,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321也搜索預(yù)先設(shè)定的加密信息��,即密鑰和安全系統(tǒng)����,用于被選的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)服務(wù)器323。在步驟S419��,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321把包括通道信息和關(guān)于遠(yuǎn)程系統(tǒng)311的加密信息的訪問接受信息傳遞給層2隧道協(xié)議(L2TP)訪問集中器317。簡言之����,在層2隧道協(xié)議(L2TP)訪問集中器317與遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321之間,當(dāng)層2隧道協(xié)議(L2TP)訪問集中器317收到來自遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321的訪問接受信息時(shí)�,完成認(rèn)證。
一旦在層2隧道協(xié)議(L2TP)訪問集中器317和遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321之間的認(rèn)證完成后�,層2隧道協(xié)議(L2TP)訪問集中器317起動(dòng)與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323的控制連接的過程?�?刂七B接意味著在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間產(chǎn)生實(shí)際對話前��,為實(shí)際用戶使用層2隧道協(xié)議必須建立的最初連接�。如果在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間已經(jīng)建立了控制連接,則步驟S421-S425將不執(zhí)行���。
現(xiàn)對建立控制連接的過程作一說明。在步驟S421�����,首先�����,層2隧道協(xié)議訪問集中器317把起動(dòng)-控制-連接-請求(此后稱為“SCCRQ”)消息傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323�����,以初始化層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的通道。在步驟S423����,在接收來自層2隧道協(xié)議訪問集中器317的SCCRQ消息之后,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323指定層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議服務(wù)器之間的通道��,后者把起動(dòng)-控制-連接-應(yīng)答(此后稱為“SCCRP”)消息傳遞給與SCCRQ消息相應(yīng)的層2隧道協(xié)議訪問集中器317���。
在步驟422���,接到SCCRP消息之后,層2隧道協(xié)議訪問集中器317把起動(dòng)-控制-連接-被連接(此后稱為“SCCCN”)消息傳遞給與SCCRP消息相應(yīng)的層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器��。更具體地說�����,為層2隧道協(xié)議訪問集中器(LAC)317接收SCCRP消息時(shí)�����,LAC317認(rèn)識層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間已建立的通道。換句話說�����,在SCCCN消息從層2隧道協(xié)議訪問集中器輸出后�����,通道建立��。LAC317把SCCCN消息傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323�。
在步驟425,根據(jù)接收的SCCCN消息�����,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323把零長度數(shù)據(jù)體(此后稱為“ZLB”)ACK消息傳遞給層2隧道協(xié)議訪問集中器317�����。實(shí)際上��,ZLB ACK消息是當(dāng)層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間沒有消息傳遞時(shí)發(fā)送的��,ZLB消息通常告知數(shù)據(jù)包數(shù)據(jù)正通過穩(wěn)定的控制通道傳送�。因此,層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間控制連接的建立���,直到層2隧道協(xié)議訪問集中器317接收ZLB ACK消息時(shí)未完成��。
如果來自遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)���,在建立層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器之間的控制連接后,輸入到層2隧道協(xié)議訪問集中器317��,即如果需求訪問���,則應(yīng)用實(shí)際層2隧道協(xié)議對數(shù)據(jù)包數(shù)據(jù)通信建立對話�。
在步驟S427��,開始��,當(dāng)層2隧道協(xié)議訪問集中器317檢測到來自用戶或遠(yuǎn)程系統(tǒng)311的訪問請求時(shí)���,它把輸入-呼叫-請求(此后稱為“ICRQ”)傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323�����。為傳遞ICRQ消息���,首先要建立層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的通道�,并且應(yīng)有來自用戶的輸入呼叫�。在步驟S429,根據(jù)接收的ICRQ消息����,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323把輸入-呼叫-應(yīng)答(此后稱為“ICRP”)消息傳遞給層2隧道協(xié)議訪問集中器317。這里���,ICRP消息是相應(yīng)于ICRQ消息的消息��,指示輸入呼叫請求已成功滿足�����。
在步驟S431�����,在接收ICRP消息后�,層2隧道協(xié)議訪問集中器317輸入-呼叫-被連接(此后稱為“ICCN”)消息傳遞給與ICRP消息相應(yīng)的層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323���。簡言之�����,當(dāng)層2隧道協(xié)議訪問集中器317把ICCN消息傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323時(shí)����,實(shí)現(xiàn)了對話的建立�。在步驟S433,當(dāng)層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323接收ICCN消息時(shí)���,層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323把ZLB ACK消息傳遞給層2隧道協(xié)議訪問集中器317����。ZLB ACK消息是當(dāng)層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間沒有消息傳遞時(shí)發(fā)送的��,ZLB消息是通常告知數(shù)據(jù)包數(shù)據(jù)正通過穩(wěn)定的通道傳送��。因此�,層2隧道協(xié)議訪問集中器317與層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間對話的建立,直到層2隧道協(xié)議訪問集中器317收到ZLB ACK時(shí)來實(shí)現(xiàn)��。
在建立層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間的對話后��,所有來自遠(yuǎn)程系統(tǒng)311的數(shù)據(jù)包數(shù)據(jù)����,用相關(guān)的連接�,送到虛擬專用網(wǎng)絡(luò)325��。
總起來說�,如圖5所示,當(dāng)遠(yuǎn)程系統(tǒng)311用層2隧道協(xié)議隧道訪問虛擬專用網(wǎng)絡(luò)325時(shí)���,遠(yuǎn)程系統(tǒng)311執(zhí)行對所有實(shí)際傳送的數(shù)據(jù)用密鑰和安全加密����。結(jié)果����,成功地保持了數(shù)據(jù)的安全性。
參考圖6�,下面說明用于層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間數(shù)據(jù)包數(shù)據(jù)的格式。圖6是根據(jù)本發(fā)明的原理�����,表示用于圖5中的層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間數(shù)據(jù)包數(shù)據(jù)格式的示意圖�。
如圖所示,用于層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間數(shù)據(jù)包數(shù)據(jù)的格式有以太網(wǎng)報(bào)頭區(qū)511�����,互聯(lián)網(wǎng)協(xié)議(IP)報(bào)頭513,用戶自帶尋址消息的數(shù)據(jù)包協(xié)議(UDP)報(bào)頭515��,層2隧道協(xié)議報(bào)頭517�,和層2隧道協(xié)議有效載荷519��。IP報(bào)頭513包括在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器之間已分派的IP有關(guān)數(shù)據(jù)��,UDP報(bào)頭包括在層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間已分派的UDP有關(guān)數(shù)據(jù)����,層2隧道協(xié)議報(bào)頭517包括層2隧道協(xié)議訪問集中器317和層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器323之間層2隧道協(xié)議隧道的有關(guān)數(shù)據(jù),層2隧道協(xié)議有效載荷519包括來自遠(yuǎn)程系統(tǒng)311已被傳送的數(shù)據(jù)包數(shù)據(jù)���,層2隧道協(xié)議報(bào)頭517也包括像通道識別器(ID)和對話識別器(ID)的消息�����。此外����,層2隧道協(xié)議報(bào)頭區(qū)517和層2隧道協(xié)議有效載荷區(qū)519��,用前面描述的密鑰與安全系統(tǒng)一起編碼。
在本發(fā)明的實(shí)施例中�����,上面描述的各步驟以指令存儲在存儲器中�����,存在存儲器中的指令可由一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行��。存儲器可以是任一類計(jì)算機(jī)可讀介質(zhì)���,如軟盤�,一般硬盤���,可移動(dòng)硬盤�,光盤(CDS)�����,數(shù)字通用光盤(DVDS)��,快速只讀存儲器(快速ROM),非易失只讀存儲器��,和隨機(jī)訪問存儲器(RAM)�����。遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321包括硬盤驅(qū)動(dòng)器321a�,遠(yuǎn)程系統(tǒng)311包括硬盤驅(qū)動(dòng)器,Web服務(wù)器327包括硬盤驅(qū)動(dòng)器�。
在本發(fā)明的實(shí)施例中���,至少一個(gè)上面提到的步驟能與存在一個(gè)或多個(gè)存儲單元中的指令的執(zhí)行相應(yīng)��。例如��,這些存儲單元中的一個(gè)可能是硬盤驅(qū)動(dòng)器321a�,它安裝在遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321中�����,存在這一存儲單元的指令可由一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行����,例如,相應(yīng)于本發(fā)明某些步驟的指令可存在安裝于圖4中遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器321的硬盤驅(qū)動(dòng)器321a。
前面描述的實(shí)施例的軟件實(shí)現(xiàn)可包括一系列計(jì)算機(jī)指令���,它們或安裝于有形介質(zhì)����,如計(jì)算機(jī)可讀介質(zhì)(如光盤或固定磁盤)��,或可通過調(diào)制解調(diào)器或其它介質(zhì)上的接口設(shè)備傳輸給計(jì)算機(jī)系統(tǒng)�����,該介質(zhì)可以是有形介質(zhì)�,包括,但不限于���,光或模擬通信線路�,或可用無線技術(shù)���,包括���,但不限于微波,紅外或其它傳輸技術(shù)來實(shí)現(xiàn)���。該介質(zhì)也可以是互聯(lián)網(wǎng)�����。一系列指令體現(xiàn)了前面提到的相對于本發(fā)明的全部或部分功能���。業(yè)內(nèi)人士知道����,這些計(jì)算機(jī)指令可寫成一組程序語言�,用于許多計(jì)算機(jī)結(jié)構(gòu)或工作系統(tǒng)。此外�,這種指令可用現(xiàn)在或?qū)淼娜魏未鎯ζ骷夹g(shù)儲存�����,包括���,但不限于半導(dǎo)體���、磁、光或其它存儲設(shè)備���,或者可用現(xiàn)在或?qū)淼娜魏瓮ㄐ偶夹g(shù)傳輸����,包括,但不限于光�,紅外,微波�����,或其它傳輸技術(shù)����。這種計(jì)算機(jī)程序產(chǎn)品可作為可移動(dòng)介質(zhì)以打印或電子文件分配,例如計(jì)算機(jī)系統(tǒng)預(yù)裝的簡易包裝軟件��,如系統(tǒng)只讀存儲器(ROM)或固定磁盤��,或從服務(wù)器或網(wǎng)絡(luò)上的電子通報(bào)板分配����,例如互聯(lián)網(wǎng)或萬維網(wǎng)。
結(jié)論是��,本發(fā)明在維持?jǐn)?shù)據(jù)傳輸安全性方面是先進(jìn)的��,即,當(dāng)用戶通過通信網(wǎng)絡(luò)中的撥號訪問虛擬專用網(wǎng)絡(luò)時(shí)���,傳遞的不只是數(shù)據(jù)�����,而是用加密信息編碼的編碼數(shù)據(jù)��。因此��,即使當(dāng)用戶使用公用網(wǎng)時(shí)�����,該數(shù)據(jù)非常安全�����,避免任何侵入竊密或非法修改。這樣���,因?yàn)閿?shù)據(jù)的安全性很好地被保持���,虛擬專用網(wǎng)絡(luò)的使用安全性也得到改善�。
在用圖解說明本發(fā)明的實(shí)施例���,和實(shí)施例以大量細(xì)節(jié)描述時(shí)�,應(yīng)注意這不是限制本申請的權(quán)利于這些細(xì)節(jié)�����。業(yè)內(nèi)人士很容易看到附加的優(yōu)點(diǎn)和改型����。因此,本發(fā)明以其更廣泛的方面不限于這些具體細(xì)節(jié)��,提出的設(shè)備和方法��,和表示及說明的例子��,因此�����,偏離這些細(xì)節(jié)并不偏離本申請總發(fā)明概念的精神和范圍��。
權(quán)利要求
1.一種用于通信網(wǎng)絡(luò)中安全訪問虛擬專用網(wǎng)絡(luò)的方法��,該方法包括當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí),從訪問集中器發(fā)送第一訪問請求給遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器��;把第一網(wǎng)絡(luò)服務(wù)器的服務(wù)器信息和加密信息傳遞給訪問集中器��,所述的傳遞是相應(yīng)于第一訪問請求執(zhí)行的�����,第一網(wǎng)絡(luò)服務(wù)器連到虛擬專用網(wǎng)絡(luò)����;當(dāng)訪問集中器收到服務(wù)信息和加密信息時(shí),根據(jù)加密信息編碼第一數(shù)據(jù)�,所述的編碼由訪問集中器執(zhí)行,第一數(shù)據(jù)由用戶產(chǎn)生���;把編碼的第一數(shù)據(jù)根據(jù)服務(wù)器信息從訪問集中器送到第一網(wǎng)絡(luò)服務(wù)器��;在第一網(wǎng)絡(luò)服務(wù)器解碼編碼的第一數(shù)據(jù)����,所述的解碼是根據(jù)加密信息執(zhí)行的�;把解碼的第一數(shù)據(jù)從第一網(wǎng)絡(luò)服務(wù)器傳到虛擬專用網(wǎng)絡(luò)�����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于服務(wù)器的信息包括層2隧道協(xié)議(L2TP)信息�����,第一網(wǎng)絡(luò)服務(wù)器是層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于訪問集中器是層2隧道協(xié)議(L2TP)訪問集中器���。
4.根據(jù)權(quán)利要求1所述的方法�����,其特征在于加密信息包括密鑰和安全系統(tǒng)�,用于執(zhí)行第一數(shù)據(jù)的加密���。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于安全系統(tǒng)相應(yīng)于零加密系統(tǒng)�����。
6.根據(jù)權(quán)利要求1所述的方法��,其特征在于所述的發(fā)送是用層2隧道協(xié)議(L2TP)執(zhí)行的�����。
7.根據(jù)權(quán)利要求6所述的方法���,其特征在于服務(wù)器信息相應(yīng)于層2隧道協(xié)議(L2TP)信息���,第一網(wǎng)絡(luò)服務(wù)器是層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于訪問集中器是層2隧道協(xié)議訪問集中器�。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于所述的第一訪問請求的傳送包括把第一訪問請求從訪問集中器���,通過互聯(lián)網(wǎng)傳給遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器���,所述的服務(wù)器信息和加密信息的傳送包括把服務(wù)器信息和加密信息從遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器通過互聯(lián)網(wǎng)傳送給訪問集中器,所述編碼的第一數(shù)據(jù)的傳送包括把編碼的第一數(shù)據(jù)從訪問集中器通過互聯(lián)網(wǎng)傳給第一網(wǎng)絡(luò)服務(wù)器���。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于加密信息包括密鑰和安全系統(tǒng)�����,用于執(zhí)行第一數(shù)據(jù)的加密�。
11.根據(jù)權(quán)利要求1所述的方法���,其特征在于當(dāng)發(fā)送編碼的第一數(shù)據(jù)時(shí)�����,通過互聯(lián)網(wǎng)從訪問集中器傳到第一網(wǎng)絡(luò)服務(wù)器�����。
12.根據(jù)權(quán)利要求1所述的方法��,其特征在于用戶相應(yīng)于計(jì)算機(jī)系統(tǒng)�,用戶和第一網(wǎng)絡(luò)服務(wù)器是被訪問集中器分開的���。
13.一種用于安全訪問網(wǎng)絡(luò)的系統(tǒng)�����,該系統(tǒng)包括第一設(shè)備���,當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí)��,接收來自用戶的第一請求��;第二設(shè)備���,當(dāng)所述的第一設(shè)備發(fā)送第一請求時(shí)檢測第一請求;第三設(shè)備��,它連到虛擬專用網(wǎng)絡(luò)���,所述的第三設(shè)備與所述的第一和第二設(shè)備通信���;所述的第二設(shè)備,把第三設(shè)備的第一信息傳遞給響應(yīng)于第一請求的第一設(shè)備�����,第二設(shè)備把加密信息傳遞給響應(yīng)于第一請求的第一設(shè)備��;所述的第一設(shè)備,接收由用戶產(chǎn)生的第一數(shù)據(jù)����,第一設(shè)備根據(jù)加密信息編碼第一數(shù)據(jù),第一設(shè)備把編碼的第一數(shù)據(jù)發(fā)給第三設(shè)備�;所述的第三設(shè)備�����,接收來自第一設(shè)備的編碼的第一數(shù)據(jù)���,解碼編碼的第一數(shù)據(jù)����,然后�����,把解碼的第一數(shù)據(jù)傳給虛擬專用網(wǎng)絡(luò)���,解碼是根據(jù)加密信息執(zhí)行的�����。
14.根據(jù)權(quán)利要求13所述的系統(tǒng)����,其特征在于所述的第一設(shè)備相應(yīng)于訪問集中器,第二設(shè)備相應(yīng)于遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器�,第三設(shè)備相應(yīng)于網(wǎng)絡(luò)服務(wù)器。
15.根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其特征在于所述的第一設(shè)備相應(yīng)于層2隧道協(xié)議(L2TP)訪問集中器��,第二設(shè)備相應(yīng)于遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器���,第三設(shè)備相應(yīng)于層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器�。
16.根據(jù)權(quán)利要求15所述的系統(tǒng)���,其特征在于至少一個(gè)設(shè)備選自所述的第一和第二設(shè)備中�,并根據(jù)安全系統(tǒng)的加密信息進(jìn)行加密��。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)����,其特征在于安全系統(tǒng)是零加密系統(tǒng)�����。
18.根據(jù)權(quán)利要求13所述的系統(tǒng)�,其特征在于當(dāng)?shù)谝辉O(shè)備把第一請求通過互聯(lián)網(wǎng)傳遞給第二設(shè)備時(shí)���,所述的第二設(shè)備檢測第一請求�,第二設(shè)備把加密信息通過互聯(lián)網(wǎng)傳遞給第一設(shè)備�����,第一設(shè)備把編碼的第一數(shù)據(jù)通過互聯(lián)網(wǎng)傳遞給第三設(shè)備�,第三設(shè)備不通過互聯(lián)網(wǎng)發(fā)送解碼的第一數(shù)據(jù)�����。
19.根據(jù)權(quán)利要求18所述的系統(tǒng)�����,其特征在于所述的第一設(shè)備相應(yīng)于層2隧道協(xié)議(L2TP)訪問集中器�����,第二設(shè)備相應(yīng)于遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器,第三設(shè)備相應(yīng)于層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器�。
20.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于第一信息包括層2隧道協(xié)議(L2TP)信息���。
21.一種具有一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)���,用于執(zhí)行在通信網(wǎng)絡(luò)中安全訪問虛擬專用網(wǎng)絡(luò)的方法,該組指令包括用于下列各項(xiàng)的一個(gè)或多個(gè)指令當(dāng)用戶請求訪問虛擬專用網(wǎng)絡(luò)時(shí)�,把來自訪問集中器的第一訪問請求發(fā)送給遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器;把第一網(wǎng)絡(luò)服務(wù)器的服務(wù)器信息和加密信息發(fā)送到訪問集中器��,響應(yīng)第一訪問請求進(jìn)行發(fā)送�����,第一網(wǎng)絡(luò)服務(wù)器連接到虛擬專用網(wǎng)絡(luò)����;當(dāng)訪問集中器接收到服務(wù)器信息和加密信息時(shí),根據(jù)加密信息編碼第一數(shù)據(jù)����,所述編碼由訪問集中器執(zhí)行,第一數(shù)據(jù)由用戶產(chǎn)生��;在第一網(wǎng)絡(luò)服務(wù)器解碼編碼的第一數(shù)據(jù),所述的解碼是根據(jù)加密信息執(zhí)行的����;把解碼的第一數(shù)據(jù)從第一網(wǎng)絡(luò)服務(wù)器傳送給虛擬專用網(wǎng)絡(luò)。
22.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)���,其特征在于服務(wù)器信息包括層2隧道協(xié)議(L2TP)信息�,第一網(wǎng)絡(luò)服務(wù)器是層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器��。
23.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)�,其特征在于訪問集中器是層2隧道協(xié)議訪問集中器。
24.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì)����,其特征在于加密信息包括密鑰和安全系統(tǒng)�����,用于執(zhí)行第一數(shù)據(jù)的加密��。
25.根據(jù)權(quán)利要求24所述的計(jì)算機(jī)可讀介質(zhì)��,其特征在于安全系統(tǒng)相應(yīng)于零加密系統(tǒng)�����。
26.根據(jù)權(quán)利要求21所述的計(jì)算機(jī)可讀介質(zhì),其特征在于所述的傳送是以層2隧道協(xié)議執(zhí)行的��。
全文摘要
本發(fā)明涉及在通信網(wǎng)絡(luò)中訪問專用網(wǎng)絡(luò)業(yè)務(wù)的安全系統(tǒng)及其方法��,其中��,如果檢測到用戶訪問專用網(wǎng)絡(luò)服務(wù)的請求�����,層2隧道協(xié)議(L2TP)請求虛擬專用網(wǎng)絡(luò)服務(wù)訪問遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器���,根據(jù)訪問專用網(wǎng)絡(luò)服務(wù)的請求����,遠(yuǎn)程認(rèn)證撥號用戶業(yè)務(wù)服務(wù)器把層2隧道協(xié)議信息傳到連到虛擬專用網(wǎng)絡(luò)的層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)上����,把在層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器中預(yù)先設(shè)置的加密信息傳送到層2隧道協(xié)議(L2TP)訪問集中器,最后����,在接收層2隧道協(xié)議(L2TP)網(wǎng)絡(luò)上的信息和加密信息之后�,層2隧道協(xié)議(L2TP)訪問集中器使用加密信息根據(jù)用戶產(chǎn)生的數(shù)據(jù)進(jìn)行加密�,并把編碼的數(shù)據(jù)傳遞給層2隧道協(xié)議網(wǎng)絡(luò)服務(wù)器。
文檔編號H04L29/06GK1440155SQ03106100
公開日2003年9月3日 申請日期2003年2月24日 優(yōu)先權(quán)日2002年2月23日
發(fā)明者文世雄, 崔炳求 申請人:三星電子株式會社