国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      為漫游用戶建立虛擬專用網(wǎng)絡(luò)的制作方法

      文檔序號(hào):6654780閱讀:159來(lái)源:國(guó)知局
      專利名稱:為漫游用戶建立虛擬專用網(wǎng)絡(luò)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)技術(shù)。更具體而言,本發(fā)明涉及為其IP地址預(yù)先并不被所知的用戶(本領(lǐng)域中所知的,在這里稱為“漫游用戶(roadwarrior)”)建立虛擬專用網(wǎng)絡(luò)(“VPN”)隧道。
      背景技術(shù)
      用戶越來(lái)越多地希望經(jīng)由因特網(wǎng)安全地訪問(wèn)專用網(wǎng)絡(luò)。專用網(wǎng)絡(luò)例如可以是家庭網(wǎng)絡(luò)、企業(yè)或其他實(shí)體的專用網(wǎng)絡(luò)等等。用于實(shí)現(xiàn)這一目的的一種常用的方法是建立VPN隧道,VPN隧道在用戶看來(lái)是像是用戶和專用網(wǎng)絡(luò)之間的點(diǎn)對(duì)點(diǎn)連接,但是其并不允許未經(jīng)授權(quán)的第三方“偵聽(tīng)”VPN隧道上的通信。在本領(lǐng)域中已知有若干種方法和協(xié)議來(lái)設(shè)立VPN隧道。一種公知的協(xié)議被稱為因特網(wǎng)協(xié)議安全性(“IPSec”)。
      下面參考圖1描述一種用于建立已知IP地址之間的VPN隧道的方法的概述。這里,專用網(wǎng)絡(luò)101包括用戶PC 105。在本示例中,用戶想要建立PC 105和專用網(wǎng)絡(luò)121內(nèi)的服務(wù)器125之間的VPN隧道。
      安全網(wǎng)關(guān)110和120分別控制因特網(wǎng)115和專用網(wǎng)絡(luò)101、121之間的通信。因此,安全網(wǎng)關(guān)110和120為專用網(wǎng)絡(luò)101和121提供了防火墻和網(wǎng)絡(luò)地址翻譯功能。而且,安全網(wǎng)關(guān)110和120會(huì)協(xié)商期望的VPN隧道的參數(shù),例如認(rèn)證和加密的類型。安全網(wǎng)關(guān)110將會(huì)檢測(cè)去往VPN隧道的分組(例如,由于目的地是專用網(wǎng)絡(luò)121內(nèi)的服務(wù)器125的地址),對(duì)分組加密,并以指示安全網(wǎng)關(guān)110和120是IP源和目的地的頭部對(duì)其進(jìn)行封裝。安全網(wǎng)關(guān)120接收分組,剝離封裝并對(duì)分組內(nèi)容進(jìn)行解密。然后,安全網(wǎng)關(guān)120讀取目的地地址,并將分組轉(zhuǎn)發(fā)到服務(wù)器125。
      建立專用網(wǎng)絡(luò)和漫游用戶之間的VPN隧道是更有問(wèn)題的,這主要是因?yàn)槁斡脩舻腎P地址并不預(yù)先所知。某些方法通過(guò)利用數(shù)字證書(shū)進(jìn)行認(rèn)證解決了該問(wèn)題。數(shù)字證書(shū)是單向散列,其是一種僅對(duì)漫游用戶的PC所知的信息進(jìn)行編碼的方式。該散列隨后被著名的認(rèn)證機(jī)構(gòu)“簽名”,所述認(rèn)證機(jī)構(gòu)例如是由VeriSignTM控制的第三方認(rèn)證服務(wù)器。另一方面,認(rèn)證機(jī)構(gòu)的公共密鑰被用來(lái)查看內(nèi)容并確定分組是否包括經(jīng)授權(quán)的IP地址。
      使用數(shù)字證書(shū)是一種有效的、但是比較煩瑣的建立專用網(wǎng)絡(luò)和漫游用戶之間的VPN隧道的方法。數(shù)字證書(shū)需要一定量的底層結(jié)構(gòu),包括涉及第三方認(rèn)證機(jī)構(gòu)。涉及到第三方認(rèn)證機(jī)構(gòu)的復(fù)雜性和代價(jià)使得對(duì)于例如形成到家庭網(wǎng)絡(luò)的VPN隧道來(lái)說(shuō)利用數(shù)字證書(shū)不是最優(yōu)的情形。
      其他方法使得任何IP地址能夠利用尤其廣泛共享的機(jī)密建立VPN隧道(例如IPSec隧道)。然而,已經(jīng)知道,這種廣泛共享的機(jī)密可以容易地被未經(jīng)授權(quán)者發(fā)現(xiàn)并使用。這些“共享機(jī)密”被所涉及的每個(gè)人共享,并且對(duì)于每個(gè)客戶端來(lái)說(shuō)不是分離的機(jī)密。
      因此,希望實(shí)現(xiàn)用于形成漫游用戶和專用網(wǎng)絡(luò)之間的VPN隧道的改進(jìn)方法,尤其是當(dāng)專用網(wǎng)絡(luò)是家庭網(wǎng)絡(luò)時(shí)。

      發(fā)明內(nèi)容
      本發(fā)明提供了用于為漫游用戶建立VPN隧道的方法和設(shè)備。漫游用戶首先發(fā)起與安全網(wǎng)關(guān)的安全認(rèn)證會(huì)話。在某些這種實(shí)現(xiàn)方式中,漫游用戶提供用戶名/口令對(duì),安全網(wǎng)關(guān)將該用戶名/口令對(duì)與已被授權(quán)發(fā)起VPN隧道的用戶名的數(shù)據(jù)庫(kù)相比較。在認(rèn)證了漫游用戶后,安全網(wǎng)關(guān)隨后確定漫游用戶的IP地址,并將被認(rèn)證用戶和分配給漫游用戶的共享機(jī)密相關(guān)。如果漫游用戶使用了正確的共享機(jī)密來(lái)請(qǐng)求建立VPN隧道,則安全網(wǎng)關(guān)將會(huì)建立VPN隧道。
      本發(fā)明的某些實(shí)現(xiàn)方式提供了一種建立虛擬專用網(wǎng)絡(luò)隧道的方法。該方法包括以下步驟從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成加密隧道;認(rèn)證用戶;確定用戶的IP地址;建立IP地址和授權(quán)給用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,該請(qǐng)求包括第二共享機(jī)密;確定第一共享機(jī)密是否與第二共享機(jī)密相匹配;以及當(dāng)?shù)谝还蚕頇C(jī)密與第二共享機(jī)密相匹配時(shí)形成虛擬專用網(wǎng)絡(luò)隧道。
      第一請(qǐng)求可以是形成基于安全套接字層的超文本傳輸協(xié)議會(huì)話的請(qǐng)求。認(rèn)證步驟可以包括接收并核實(shí)來(lái)自用戶的用戶名/口令對(duì)。第二請(qǐng)求可以是形成IPSec隧道的請(qǐng)求。建立步驟可以包括將由用戶提供的用戶名和口令與用戶名、口令和共享機(jī)密的數(shù)據(jù)庫(kù)相比較。
      第二請(qǐng)求可以包括基于第二共享機(jī)密的散列化函數(shù)。確定第一共享機(jī)密是否與第二共享機(jī)密相匹配的步驟可以包括嘗試對(duì)第二請(qǐng)求的至少一部分解密。建立步驟可以包括在IPSec表中輸入IP地址和第一共享機(jī)密。該條目可以是在發(fā)生預(yù)定事件(如經(jīng)過(guò)預(yù)定時(shí)間)后刪除的臨時(shí)條目。虛擬專用網(wǎng)絡(luò)隧道優(yōu)選地在臨時(shí)條目被刪除時(shí)拆掉。
      本發(fā)明的某些實(shí)施例提供了一種包含在機(jī)器可讀介質(zhì)中的計(jì)算機(jī)程序。該計(jì)算機(jī)程序包括用于控制安全網(wǎng)關(guān)執(zhí)行以下步驟的指令從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成加密隧道;認(rèn)證用戶;確定用戶的IP地址;建立IP地址和授權(quán)給用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,該請(qǐng)求包括第二共享機(jī)密;確定第一共享機(jī)密是否與第二共享機(jī)密匹配;以及第一共享機(jī)密與第二共享機(jī)密匹配時(shí)形成虛擬專用網(wǎng)絡(luò)隧道。
      第一請(qǐng)求可以是形成基于安全套接字層的超文本傳輸協(xié)議會(huì)話的請(qǐng)求。認(rèn)證步驟可以包括接收并核實(shí)來(lái)自用戶的用戶名/口令對(duì)。第二請(qǐng)求可以是形成IPSec隧道的請(qǐng)求。建立步驟可以包括將由用戶提供的用戶名和口令與用戶名、口令和共享機(jī)密的數(shù)據(jù)庫(kù)相比較。第二請(qǐng)求可以包括基于第二共享機(jī)密的散列化函數(shù)。確定第一共享機(jī)密是否與第二共享機(jī)密相匹配的步驟可以包括嘗試對(duì)第二請(qǐng)求的至少一部分解密。
      本發(fā)明的替換實(shí)施例提供了一種安全網(wǎng)關(guān)。該安全網(wǎng)關(guān)包括配置為與因特網(wǎng)通信的第一端口;配置為與專用網(wǎng)絡(luò)通信的第二端口;以及一個(gè)或多個(gè)處理器。這一個(gè)或多個(gè)處理器配置為執(zhí)行以下操作經(jīng)由第一端口從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成加密隧道;認(rèn)證用戶;確定用戶的IP地址;建立IP地址和授權(quán)給用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,該請(qǐng)求包括第二共享機(jī)密;確定第一共享機(jī)密是否與第二共享機(jī)密相匹配;以及當(dāng)?shù)谝还蚕頇C(jī)密與第二共享機(jī)密相匹配時(shí)形成虛擬專用網(wǎng)絡(luò)隧道。
      本發(fā)明的其他實(shí)現(xiàn)方式提供了建立虛擬專用網(wǎng)絡(luò)隧道的方法。該方法包括以下步驟從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成加密隧道;認(rèn)證用戶;確定用戶的IP地址;建立IP地址和數(shù)字證書(shū)的對(duì)象之間的對(duì)應(yīng)關(guān)系;從用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,該請(qǐng)求包括數(shù)字證書(shū);確定數(shù)字證書(shū)的對(duì)象是所期望的對(duì)象;以及當(dāng)數(shù)字證書(shū)的對(duì)象是所期望的對(duì)象時(shí)形成虛擬專用網(wǎng)絡(luò)隧道。


      圖1是示出由因特網(wǎng)連接的兩個(gè)專用網(wǎng)絡(luò)的網(wǎng)絡(luò)圖。
      圖2A是指示用于實(shí)現(xiàn)本發(fā)明的一種環(huán)境的網(wǎng)絡(luò)圖。
      圖2B是概述根據(jù)本發(fā)明某些方面的方法的流程圖。
      圖3是示出本發(fā)明某些方面所用的數(shù)據(jù)庫(kù)的內(nèi)容的表。
      圖4是示出本發(fā)明某些方面所用的數(shù)據(jù)庫(kù)的內(nèi)容的表。
      圖5是概述根據(jù)本發(fā)明某些方面的方法的流程圖。
      圖6示出了可配置來(lái)實(shí)現(xiàn)本發(fā)明某些方面的網(wǎng)絡(luò)設(shè)備的簡(jiǎn)化版本。
      具體實(shí)施例方式
      在下面的描述中,給出了大量具體細(xì)節(jié)以提供對(duì)本發(fā)明的完全理解。但是,本領(lǐng)域技術(shù)人員很清楚,沒(méi)有這些具體細(xì)節(jié)中的某些或全部也可以實(shí)施本發(fā)明。另外,公知的過(guò)程步驟沒(méi)有詳細(xì)描述,以避免淡化本發(fā)明。
      圖2A是指示用于實(shí)現(xiàn)本發(fā)明的一種環(huán)境的網(wǎng)絡(luò)圖。這里,漫游用戶252正操作設(shè)備250,設(shè)備250在本示例中是筆記本計(jì)算機(jī)。設(shè)備250經(jīng)由因特網(wǎng)255與安全網(wǎng)關(guān)260通信。漫游用戶252希望在設(shè)備250和專用網(wǎng)絡(luò)265的服務(wù)器270之間建立VPN隧道。
      圖2B是提供了本發(fā)明某些實(shí)現(xiàn)方式的高層描述的流程圖。方法200的步驟從安全網(wǎng)關(guān)的角度加以描述。在步驟205中,安全網(wǎng)關(guān)經(jīng)由因特網(wǎng)接收來(lái)自要認(rèn)證的漫游用戶(例如,來(lái)自由圖2A的漫游用戶252操作的設(shè)備250)的請(qǐng)求,以在漫游用戶和安全網(wǎng)關(guān)(例如,圖2的安全網(wǎng)關(guān)260)之間形成加密隧道。
      在本示例中,安全網(wǎng)關(guān)在步驟205中接收發(fā)起HTTPS(基于安全套接字層的超文本傳輸協(xié)議,或者基于SSL的HTTP)會(huì)話的請(qǐng)求,并且在步驟210中根據(jù)https協(xié)議形成加密隧道。如本領(lǐng)域技術(shù)人員所知的,HTTPS是一種由NescapeTM開(kāi)發(fā)的并且內(nèi)置到Netscape的瀏覽器中的協(xié)議。HTTPS實(shí)質(zhì)上被內(nèi)置到每一種現(xiàn)代的瀏覽器中,并且是經(jīng)由因特網(wǎng)進(jìn)行的所有安全金融事務(wù)的基礎(chǔ)。
      HTTPS對(duì)用戶頁(yè)面請(qǐng)求和返回到用戶的頁(yè)面進(jìn)行加密和解密。HTTPS使用Netscape的安全套接字層(SSL)作為其HTTP應(yīng)用層下的子層。請(qǐng)求被負(fù)責(zé)處理https請(qǐng)求的守護(hù)程序(daemon)處理,守護(hù)程序例如可以是HTTP守護(hù)程序、HTTPS守護(hù)程序或者兩者的組合。本領(lǐng)域技術(shù)人員將意識(shí)到,存在各種其他的認(rèn)證方法,如由Radius、CRYPTOCardTM、RSATM的SecurID和Secure ComputingTM的SafeWord提供的方法。這些方法一般要求安裝并維護(hù)附加的硬件和專用軟件。
      在步驟215中,漫游用戶被認(rèn)證。加密隧道被用來(lái)根據(jù)本領(lǐng)域技術(shù)人員已知的方法發(fā)送來(lái)自漫游用戶的認(rèn)證信息(例如,用戶名/口令對(duì))。盡管圖2B暗示漫游用戶總是會(huì)被成功認(rèn)證,但是應(yīng)當(dāng)理解,如果漫游用戶沒(méi)有向安全網(wǎng)關(guān)提供正確的認(rèn)證信息的話,則情況就不是這樣。例如,漫游用戶可能被給予預(yù)定次數(shù)的嘗試以在安全網(wǎng)關(guān)拒絕請(qǐng)求前提供該信息。
      在步驟220中,安全網(wǎng)關(guān)確定漫游用戶的IP地址。在某些實(shí)現(xiàn)方式中,安全網(wǎng)關(guān)通過(guò)運(yùn)行JavaTM小應(yīng)用程序來(lái)執(zhí)行步驟220。然而,也可以使用其他瀏覽器腳本方法,如來(lái)自微軟的ActiveX或C#。這也可以通過(guò)簡(jiǎn)單地檢查HTTPS請(qǐng)求分組的源地址而實(shí)現(xiàn)在不允許NAT地址翻譯的實(shí)現(xiàn)方式中。用戶激活的設(shè)備250上的程序可以查詢其自身的IP地址,并將該信息以加密或不加密格式發(fā)送到安全網(wǎng)關(guān)260。
      安全網(wǎng)關(guān)隨后建立在步驟220中確定的IP地址和與漫游用戶相關(guān)聯(lián)的共享機(jī)密之間的對(duì)應(yīng)關(guān)系。該過(guò)程的示例將參考圖3和4描述。圖3是示出在可由安全網(wǎng)關(guān)訪問(wèn)的數(shù)據(jù)庫(kù)中認(rèn)證信息可以如何與共享機(jī)密相關(guān)聯(lián)的表。數(shù)據(jù)庫(kù)中的信息是提前提供的,即在漫游用戶發(fā)起圖2中所示的處理之前提供的。在該示例中,表300包括用戶名字段305、口令字段310和共享機(jī)密字段315。參考行320,漫游用戶JoeB具有口令“Kibble”和關(guān)聯(lián)的共享機(jī)密325。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到,共享機(jī)密325可以是數(shù)字、字母等的任意串。
      通過(guò)參考圖3中所示的數(shù)據(jù)庫(kù),安全網(wǎng)關(guān)可以建立在215中確定的用戶名和適當(dāng)?shù)墓蚕頇C(jī)密325(在本示例中是JoeB的被授權(quán)共享機(jī)密)之間的對(duì)應(yīng)關(guān)系。另外,安全網(wǎng)關(guān)可以建立在215中確定的用戶名和在220中建立的IP地址之間的對(duì)應(yīng)關(guān)系。利用以上兩種對(duì)應(yīng)關(guān)系,安全網(wǎng)關(guān)可以轉(zhuǎn)而建立共享機(jī)密325和IP地址220之間的對(duì)應(yīng)關(guān)系。該對(duì)應(yīng)關(guān)系由圖4所示的表示出,圖4所示的表包括IP地址字段405和共享機(jī)密字段410。JoeB的IP地址415與授權(quán)給他使用的共享機(jī)密325相關(guān)聯(lián)。如本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到的,圖3和4可以是同一數(shù)據(jù)結(jié)構(gòu)的一部分。在圖4中示意性地示出的數(shù)據(jù)庫(kù)在VPN提供之前不需要存在。在一種實(shí)現(xiàn)方式中,將特定IP地址概念性地鏈接到特定共享機(jī)密的數(shù)據(jù)庫(kù)是IPSec軟件的配置文件。該實(shí)現(xiàn)方式必須具有用于IPSec軟件的獨(dú)立數(shù)據(jù)庫(kù)和用于“粘合”軟件的另一數(shù)據(jù)庫(kù)。
      再次參考圖2B,方法200(從安全網(wǎng)關(guān)的視角看)的下一步(230)是接收形成漫游用戶和在由安全網(wǎng)關(guān)控制的專用網(wǎng)絡(luò)(例如,圖2A中所示的專用網(wǎng)絡(luò)265)內(nèi)的設(shè)備之間的VPN隧道的請(qǐng)求。該請(qǐng)求包括漫游用戶(或者至少設(shè)備250)所知的共享機(jī)密,但是共享機(jī)密不需要以口令形式發(fā)送。本領(lǐng)域技術(shù)人員將意識(shí)到,共享機(jī)密可以以各種方式結(jié)合在內(nèi)。在優(yōu)選實(shí)施例中,共享機(jī)密被用作輸入以形成請(qǐng)求的至少一部分,例如用作散列化操作的結(jié)果。然而,對(duì)于基于IPSec的實(shí)現(xiàn)方式,共享機(jī)密必須以標(biāo)準(zhǔn)方式發(fā)送/解釋。
      在步驟235中,安全網(wǎng)關(guān)確定包括在請(qǐng)求中的共享機(jī)密是否與授權(quán)給漫游用戶使用的共享機(jī)密相同。例如,安全網(wǎng)關(guān)可以基于安全網(wǎng)關(guān)是否可以成功地對(duì)來(lái)自JoeB的請(qǐng)求(或其一部分)解密來(lái)接受或拒絕該請(qǐng)求。在本示例中,解密是基于授權(quán)給JoeB并且對(duì)應(yīng)于他的當(dāng)前IP地址(見(jiàn)圖4)的共享機(jī)密325進(jìn)行的。然而,在步驟235中可以使用用于驗(yàn)證由漫游用戶提供的共享機(jī)密的任何方便的方法。
      如果請(qǐng)求已經(jīng)實(shí)現(xiàn)了正確的共享機(jī)密,則安全網(wǎng)關(guān)形成所請(qǐng)求的VPN隧道(步驟245)。如果不是,則拒絕請(qǐng)求(步驟240)。某些實(shí)施例可以允許漫游用戶在步驟210中形成的隧道被拆掉之前發(fā)出多個(gè)請(qǐng)求,而其他實(shí)施例則即使在只有單個(gè)請(qǐng)求被拒絕的情況下也會(huì)拆掉隧道。
      根據(jù)本發(fā)明的優(yōu)選實(shí)現(xiàn)方式,安全網(wǎng)關(guān)只臨時(shí)地將漫游用戶的IP地址與被授權(quán)共享機(jī)密相關(guān)聯(lián)。例如,當(dāng)基于來(lái)自漫游用戶JoeB的請(qǐng)求而形成VPN隧道時(shí),圖4所示的IP地址415和其相應(yīng)的共享機(jī)密優(yōu)選地由網(wǎng)關(guān)僅在VPN隧道存在的期間存儲(chǔ)。
      圖5是示出根據(jù)本發(fā)明某些實(shí)現(xiàn)方式的拆掉VPN隧道的過(guò)程的流程圖。在步驟505中,已經(jīng)建立了VPN隧道。在步驟510中,安全網(wǎng)關(guān)確定是否發(fā)生預(yù)定事件。該事件例如可以是VPN隧道已經(jīng)形成預(yù)定時(shí)間段,VPN隧道上沒(méi)有流量的時(shí)間達(dá)到預(yù)定時(shí)間段,來(lái)自用戶的請(qǐng)求等等。如果發(fā)生,則VPN隧道被拆掉(步驟515),并且漫游用戶的IP地址/共享機(jī)密被從圖4的數(shù)據(jù)庫(kù)中刪除(步驟520)。本領(lǐng)域技術(shù)人員將會(huì)意識(shí)到,步驟520可以在步驟515之前發(fā)生。
      圖6示出了可以配置來(lái)實(shí)現(xiàn)本發(fā)明的某些方法的網(wǎng)絡(luò)設(shè)備的示例。網(wǎng)絡(luò)設(shè)備660包括主中央處理單元(CPU)662、接口668和總線667(例如PCI總線)。通常,接口668包括適合于與適當(dāng)介質(zhì)通信的端口669。在某些實(shí)施例中,一個(gè)或多個(gè)接口668包括至少一個(gè)獨(dú)立處理器674,并且在其他實(shí)例中還包括易失性RAM。獨(dú)立處理器674例如可以是ASIC或任何其他適當(dāng)?shù)奶幚砥鳌8鶕?jù)某些這種實(shí)施例,這些獨(dú)立處理器674執(zhí)行這里所描述的邏輯的至少某些功能。在某些實(shí)施例中,一個(gè)或多個(gè)接口668控制諸如媒體控制和管理之類的通信密集任務(wù)。通過(guò)為通信密集任務(wù)提供單獨(dú)的處理器,接口668允許主微處理器662高效地執(zhí)行其他功能,如路由計(jì)算、網(wǎng)絡(luò)診斷、安全功能等。
      接口668一般作為接口卡提供(有時(shí)稱作“線路卡”)。一般而言,接口668控制通過(guò)網(wǎng)絡(luò)發(fā)送和接收數(shù)據(jù)分組,并且有時(shí)還支持與網(wǎng)絡(luò)設(shè)備660一起使用的其他外設(shè)??梢蕴峁┑慕涌谟蠪C接口、以太網(wǎng)接口、幀中繼接口、線纜接口、DSL接口、令牌環(huán)接口等。另外,也可以提供各種甚高速接口,例如,快速以太網(wǎng)接口、G比特以太網(wǎng)接口、ATM接口、HSSI接口、POS接口、FDDI接口、ASI接口、DHEI接口等。
      當(dāng)在合適的軟件或固件的控制下動(dòng)作時(shí),在本發(fā)明的某些實(shí)現(xiàn)方式中,CPU 662可以負(fù)責(zé)實(shí)現(xiàn)與期望的網(wǎng)絡(luò)設(shè)備的功能相關(guān)聯(lián)的特定功能。根據(jù)某些實(shí)施例,CPU 662在軟件控制下完成所有這些功能,所述軟件包括操作系統(tǒng)(例如,由Cisco Systems,Inc.開(kāi)發(fā)的專有操作系統(tǒng)Cisco IOS等)和任何合適的應(yīng)用軟件。
      CPU 662可以包括一個(gè)或多個(gè)處理器663,例如,來(lái)自Motorola微處理器族或者M(jìn)IPS微處理器族的處理器。在替換實(shí)施例中,處理器663是專門(mén)設(shè)計(jì)的硬件,用于控制網(wǎng)絡(luò)設(shè)備660的操作。在特定實(shí)施例中,存儲(chǔ)器661(例如,非易失性RAM和/或ROM)還形成CPU 662的一部分。但是,存在多種可以將存儲(chǔ)器耦合到系統(tǒng)的方式。存儲(chǔ)器塊661可以用于各種目的,例如,緩存和/或存儲(chǔ)數(shù)據(jù)、編程指令等。
      不考慮網(wǎng)絡(luò)設(shè)備的配置,可以采用一個(gè)或多個(gè)存儲(chǔ)器或存儲(chǔ)器模塊(例如,存儲(chǔ)器塊665)配置來(lái)存儲(chǔ)數(shù)據(jù)、用于通用網(wǎng)絡(luò)操作的程序指令和/或與這里所述的技術(shù)的功能相關(guān)的其他信息。程序指令例如可以控制操作系統(tǒng)和/或一個(gè)或多個(gè)應(yīng)用的操作。
      由于這種信息和程序指令可以用來(lái)實(shí)現(xiàn)這里所述的系統(tǒng)/方法,所以本發(fā)明涉及計(jì)算機(jī)可讀介質(zhì),所述計(jì)算機(jī)可讀介質(zhì)包括程序指令、狀態(tài)信息等,用于執(zhí)行這里所述的各種操作。機(jī)器可讀介質(zhì)的示例包括但不限于磁介質(zhì),例如硬盤(pán)、軟盤(pán)和磁帶;光介質(zhì),例如CD-ROM盤(pán);磁光介質(zhì);以及專門(mén)配置為存儲(chǔ)并執(zhí)行程序指令的硬件設(shè)備,例如只讀存儲(chǔ)器器件(ROM)和隨機(jī)訪問(wèn)存儲(chǔ)器(RAM)。本發(fā)明還可以實(shí)現(xiàn)在通過(guò)適當(dāng)介質(zhì)傳輸?shù)妮d波中,所述介質(zhì)例如是頻道、光線路、電線等。程序指令的示例包括機(jī)器代碼,例如由編譯器產(chǎn)生的機(jī)器代碼,以及包含可由計(jì)算機(jī)利用解釋器執(zhí)行的高級(jí)代碼的文件。
      盡管圖6示出的系統(tǒng)圖示了本發(fā)明的一個(gè)特定網(wǎng)絡(luò)設(shè)備,但是該網(wǎng)絡(luò)設(shè)備絕不是可在其上實(shí)現(xiàn)本發(fā)明的唯一的網(wǎng)絡(luò)設(shè)備體系結(jié)構(gòu)。例如,通常使用具有單個(gè)處理器的體系結(jié)構(gòu),該處理器處理通信和路由計(jì)算等。此外,也可以與該網(wǎng)絡(luò)設(shè)備一起使用其他類型的接口和介質(zhì)。接口/線路卡之間的通信路徑可以是基于總線的(如圖6所示),或者基于交換結(jié)構(gòu)的(例如,交叉開(kāi)關(guān))。
      其他實(shí)施例一般而言,本發(fā)明的技術(shù)可以實(shí)現(xiàn)在軟件和/或硬件上。例如,它們可以被實(shí)現(xiàn)在操作系統(tǒng)內(nèi)核中、獨(dú)立的用戶進(jìn)程中、綁定到網(wǎng)絡(luò)應(yīng)用的庫(kù)包中、專門(mén)構(gòu)造的機(jī)器上、或者網(wǎng)絡(luò)接口卡上。在本發(fā)明的特定實(shí)施例中,本發(fā)明的技術(shù)可以實(shí)現(xiàn)在諸如操作系統(tǒng)之類的軟件中,或者在操作系統(tǒng)上運(yùn)行的應(yīng)用中。
      本發(fā)明的技術(shù)的軟件或者軟件和/或硬件的混合實(shí)現(xiàn)可以被實(shí)現(xiàn)在由存儲(chǔ)在存儲(chǔ)器中的計(jì)算機(jī)程序有選擇地激活或重配置的通用可編程機(jī)器上。這種可編程機(jī)器可以是設(shè)計(jì)為處理網(wǎng)絡(luò)流量的網(wǎng)絡(luò)設(shè)備,例如,上面參考圖6描述的網(wǎng)絡(luò)設(shè)備。在替換實(shí)施例中,本發(fā)明的技術(shù)可以實(shí)現(xiàn)在通用網(wǎng)絡(luò)主機(jī)上,例如,個(gè)人計(jì)算機(jī)或工作站。此外,本發(fā)明可以至少部分實(shí)現(xiàn)在網(wǎng)絡(luò)設(shè)備或通用計(jì)算設(shè)備的板卡(例如,接口卡)上。
      盡管在這里示出并描述了本發(fā)明的說(shuō)明性實(shí)施例和應(yīng)用,但是可以作出仍在本發(fā)明的原理、范圍和精神內(nèi)的各種變動(dòng)和修改,并且在研讀本申請(qǐng)后,本領(lǐng)域技術(shù)人員將清楚這些變動(dòng)和修改。
      例如,盡管這里描述的本發(fā)明使用共享機(jī)密作為認(rèn)證方法,但是本發(fā)明并不局限于此。本發(fā)明的替換實(shí)現(xiàn)方式例如使用數(shù)字證書(shū)來(lái)用于認(rèn)證目的。根據(jù)某些這種實(shí)現(xiàn)方式,在其IP地址預(yù)先并不被所知的用戶和數(shù)字證書(shū)的對(duì)象之間建立對(duì)應(yīng)關(guān)系。如果數(shù)字證書(shū)的對(duì)象是所期望的對(duì)象,則將會(huì)建立VPN隧道。
      因此,本實(shí)施例應(yīng)當(dāng)被認(rèn)為是說(shuō)明性的,而非限制性的,并且本發(fā)明不受限于這里給出的細(xì)節(jié),而是可以在所附權(quán)利要求書(shū)的范圍和等同物內(nèi)作出修改。
      權(quán)利要求
      1.一種建立虛擬專用網(wǎng)絡(luò)隧道的方法,所述方法包括從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成所述加密隧道;認(rèn)證所述用戶;確定所述用戶的IP地址;建立所述IP地址和授權(quán)給所述用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從所述用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,所述請(qǐng)求包括第二共享機(jī)密;確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配;以及當(dāng)所述第一共享機(jī)密與所述第二共享機(jī)密相匹配時(shí)形成所述虛擬專用網(wǎng)絡(luò)隧道。
      2.如權(quán)利要求1所述的方法,其中所述第一請(qǐng)求包括形成基于安全套接字層的超文本傳輸協(xié)議會(huì)話的請(qǐng)求。
      3.如權(quán)利要求1所述的方法,其中所述認(rèn)證步驟包括接收并核實(shí)來(lái)自所述用戶的用戶名/口令對(duì)。
      4.如權(quán)利要求1所述的方法,其中所述第二請(qǐng)求包括形成IPSec隧道的請(qǐng)求。
      5.如權(quán)利要求1所述的方法,其中所述建立步驟包括將由所述用戶提供的用戶名和口令與用戶名、口令和共享機(jī)密的數(shù)據(jù)庫(kù)相比較。
      6.如權(quán)利要求1所述的方法,其中所述第二請(qǐng)求包括基于所述第二共享機(jī)密的散列化函數(shù)。
      7.如權(quán)利要求1所述的方法,其中所述確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配的步驟包括嘗試對(duì)所述第二請(qǐng)求的至少一部分解密。
      8.如權(quán)利要求1所述的方法,其中所述建立步驟包括在IPSec表中創(chuàng)建條目,所述條目包括所述IP地址和所述第一共享機(jī)密。
      9.如權(quán)利要求8所述的方法,其中所述條目是在發(fā)生預(yù)定事件后刪除的臨時(shí)條目。
      10.如權(quán)利要求9所述的方法,其中所述預(yù)定事件包括經(jīng)過(guò)預(yù)定時(shí)間。
      11.如權(quán)利要求9所述的方法,還包括在所述臨時(shí)條目被刪除時(shí)拆掉所述虛擬專用網(wǎng)絡(luò)隧道的步驟。
      12.一種包含在機(jī)器可讀介質(zhì)中的計(jì)算機(jī)程序,所述計(jì)算機(jī)程序包括用于控制安全網(wǎng)關(guān)執(zhí)行以下步驟的指令從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成所述加密隧道;認(rèn)證所述用戶;確定所述用戶的IP地址;建立所述IP地址和授權(quán)給所述用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從所述用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,所述請(qǐng)求包括第二共享機(jī)密;確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配;以及當(dāng)所述第一共享機(jī)密與所述第二共享機(jī)密相匹配時(shí)形成所述虛擬專用網(wǎng)絡(luò)隧道。
      13.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述第一請(qǐng)求包括形成基于安全套接字層的超文本傳輸協(xié)議會(huì)話的請(qǐng)求。
      14.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述認(rèn)證步驟包括接收并核實(shí)來(lái)自所述用戶的用戶名/口令對(duì)。
      15.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述第二請(qǐng)求包括形成IPSec隧道的請(qǐng)求。
      16.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述建立步驟包括將由所述用戶提供的用戶名和口令與用戶名、口令和共享機(jī)密的數(shù)據(jù)庫(kù)相比較。
      17.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述第二請(qǐng)求包括基于所述第二共享機(jī)密的散列化函數(shù)。
      18.如權(quán)利要求12所述的計(jì)算機(jī)程序,其中所述確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配的步驟包括嘗試對(duì)所述第二請(qǐng)求的至少一部分解密。
      19.一種安全網(wǎng)關(guān),包括用于從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求的裝置;用于形成所述加密隧道的裝置;用于認(rèn)證所述用戶的裝置;用于確定所述用戶的IP地址的裝置;用于建立所述IP地址和授權(quán)給所述用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系的裝置;用于從所述用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求的裝置,所述請(qǐng)求包括第二共享機(jī)密;用于確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配的裝置;以及用于當(dāng)所述第一共享機(jī)密與所述第二共享機(jī)密相匹配時(shí)形成所述虛擬專用網(wǎng)絡(luò)隧道的裝置。
      20.一種安全網(wǎng)關(guān),包括配置為與因特網(wǎng)通信的第一端口;配置為與專用網(wǎng)絡(luò)通信的第二端口;以及配置為執(zhí)行以下操作的至少一個(gè)處理器經(jīng)由所述第一端口從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成所述加密隧道;認(rèn)證所述用戶;確定所述用戶的IP地址;建立所述IP地址和授權(quán)給所述用戶的第一共享機(jī)密之間的對(duì)應(yīng)關(guān)系;從所述用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,所述請(qǐng)求包括第二共享機(jī)密;確定所述第一共享機(jī)密是否與所述第二共享機(jī)密相匹配;以及當(dāng)所述第一共享機(jī)密與所述第二共享機(jī)密相匹配時(shí)形成所述虛擬專用網(wǎng)絡(luò)隧道。
      21.一種建立虛擬專用網(wǎng)絡(luò)隧道的方法,所述方法包括從其IP地址預(yù)先并不被所知的用戶接收與安全網(wǎng)關(guān)形成加密隧道的第一請(qǐng)求;形成所述加密隧道;認(rèn)證所述用戶;確定所述用戶的IP地址;建立所述IP地址和數(shù)字證書(shū)的對(duì)象之間的對(duì)應(yīng)關(guān)系;從所述用戶接收形成虛擬專用網(wǎng)絡(luò)隧道的第二請(qǐng)求,所述請(qǐng)求包括所述數(shù)字證書(shū);確定所述數(shù)字證書(shū)的對(duì)象是所期望的對(duì)象;以及當(dāng)所述數(shù)字證書(shū)的對(duì)象是所期望的對(duì)象時(shí)形成所述虛擬專用網(wǎng)絡(luò)隧道。
      全文摘要
      本發(fā)明提供了用于為其IP地址預(yù)先并不被所知的用戶(“漫游用戶”)建立VPN隧道的方法和設(shè)備。漫游用戶首先發(fā)起與安全網(wǎng)關(guān)的安全認(rèn)證會(huì)話。在某些這種實(shí)現(xiàn)方式中,漫游用戶提供用戶名/口令對(duì),安全網(wǎng)關(guān)將該用戶名/口令對(duì)與已被授權(quán)發(fā)起VPN隧道的用戶名的數(shù)據(jù)庫(kù)相比較。在認(rèn)證了漫游用戶后,安全網(wǎng)關(guān)隨后確定漫游用戶的IP地址,并將IP地址、用戶和分配給漫游用戶的共享機(jī)密相關(guān)。如果漫游用戶使用了正確的共享機(jī)密來(lái)請(qǐng)求建立VPN隧道,則安全網(wǎng)關(guān)將會(huì)建立VPN隧道。
      文檔編號(hào)G06F17/00GK101076796SQ200580001384
      公開(kāi)日2007年11月21日 申請(qǐng)日期2005年1月13日 優(yōu)先權(quán)日2004年1月15日
      發(fā)明者布魯斯·穆恩, 馬克·恩賴特 申請(qǐng)人:思科技術(shù)公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1