专利名称:在通信网络中访问虚拟专用网络业务的安全系统及方法
技术领域:
本发明涉及虚拟专用网络系统,特别涉及用于访问虚拟专用网络业务的安全方法。
当专用网络连到互联网时,就有未经批准的用户能观看来往于专用网络数据的风险。许多改善和保护网络访问的努力已经做过了,其中最新的努力包括美国专利No.6,151,628,作者Xu等,题目是Network AccessMethods,Including Direct wireless to Internet Access,发表于2000年11月21日;美国专利No.6,081,900,作者Subramanian等,题目是Secure InternetAccess,发表于2000年6月27日;美国专利No.6,061,796,作者Chen等,题目是Multi-Access Virtual Private network,发表于2000年5月9日;美国专利No.6,158,011,作者Chen等,题目是Multi-Access VirtualPrivate Network,发表于2000年12月5日;美国专利No.6,499,292,作者Chuah等,题目是Multi-Hop Point-to point protocol,发表于2000年12月10日;美国专利No.6,453,419,作者Flint等,题目是System and Methodfor Implementing A Security policy,发表于2000年12月17日;美国专利No.5,835,726,作者shwed等,题目是System for securing the Flow of Andselectively modifying packets in A computer network,发表于1998年11月10日;美国专利No.6,304,973,作者Williams,题目是Multi-level securitynetwork system,发表于2000年10月16日;和网络工作组征术意见No.2661,题目为Layer two Tunneling protocol“L2TP”,作者W.Townsley等,日期为1999年8月。
在这些最新的努力给出进度的同时,注意到它们还不能在通信网络中为访问虚拟专用网络业务提供足够安全的系统。
根据实例和广泛说明的本发明的原理,本发明提供了在通信网络中访问网络业务的安全方法,该方法包括下列步骤如果用户在层2隧道协议(L2TP)检测到访问专用网络业务中请求,则虚拟专用网络业务访问远程认证拨号用户业务服务器;根据对访问专用网络业务的请求,在远程拨号用户业务服务器传送连到虚拟专用网络的层2隧道协议(L2TP)的网络上的层2隧道协议(L2TP)信息,并把在层2隧道协议(L2TP)网络服务器中预先指定的加密信息送到层2隧道协议(L2TP)访问集中器;在接收层2隧道协议(L2TP)网络上的信息和加密信息之后,使用加密信息,在层2隧道协议(L2TP)访问集中器编码由用户产生的数据,并把编码数据传送到层2隧道协议(L2TP)网络服务器。
此外,根据本发明的原理,本发明提供在通信网络访问专用网络业务的安全系统,该系统包括具有为虚拟专用网络业务访问安全的加密信息的层2隧道协议(L2TP),用于对使用加密信息输入的数据解码,并把解码的数据传送给虚拟专用网络;远程认证拨号用户业务服务器具有一组层2隧道协议(L2YP)网络服务器的加密信息,用于检测来自用户访问专用网络业务的情求,搜索有关层2隧道协议(L2TP)网络服务器的加密信息,该服务器连到用户有关的虚拟专用网络,并传送服务器信息和有关层2隧道协议(L2TP)网络服务器和安全性的加密信息;和层2隧道协议(L2TP)访问集中器,用于根据访问专用网络业务的请求接收服务器信息和有关层2隧道协议(L2TP)网络服务器的加密信息,编码由用户加密信息产生的数据,并把编码的数据传送给有关的层2隧道协议(L2TP)网络服务器。
根据本发明的原理,本发明提供了在通信网络中安全访问虚拟专用网络的方法,该方法包括当用户请求访问虚拟专用网络时,把第一个访问请求从访问集中器传至远程认证拨号用户业务服务器(RADIUS);把服务器信息和第一网络服务器的加密信息传送给访问集中器,所说的传递是相应于第一访问要求执行的,第一网络服务器连到虚拟专用网络;当服务器信息和加密信息被访问集中器收到时,编码与加密信息有关的第一数据,所说的编码是由访问集中器执行的,第一数据是由用户产生的;把编码的第一数据从访问集中器发送到与服务器信息有关的第一网络服务器;解码第一网络服务器编码的第一数据,所说的编码是依照加密信息执行的;和把解码的第一数据从第一网络服务器传到虚拟专用网络。
根据本发明的原理,本发明提供了用于安全访问网络的系统,该系统包括第一设备,当用户请求访问虚拟专用网络时,接收从用户来的第一请求;第二设备,当所说的第一设备发送第一请求时,检测第一请求;和第三设备,它连到虚拟专用网络,所说的第三设备与第一和第二设备通信;第二设备把第三设备的第一信息传给与第一请求相应的第一设备,第二设备把加密信息传给与第一请求相应的第一设备;第一设备接收由用户产生的第一数据,第一设备依据加密信息编码第一数据,第一设备把编码的第一数据发送给第三设备;第三设备从第一设备接收编码的第一数据,解码该编码的第一数据,然后把解码的第一数据传给虚拟专用网络,解码是依据加密信息执行的。
根据本发明的原理,本发明提供了一种具有一组计算机可执行指令的计算机可读介质,用于执行在通信网络中安全访问虚拟专用网络的方法,该组指令包括一个或多个指令,用于当用户请求访问虚拟专用网络时,把第一访问请求从访问集中器发给远程认证拨号用户业务(RADIVS)服务器;把服务器信息和第一网络服务器的加密信息传给访问集中器。传送是相应于第一访问请求执行的,第一网络服务器连到虚拟专用网络;当服务器信息和加密信息由访问集中器接收时,依照加密信息编码第一数据,编码是由访问集中器执行的,第一数据由用户产生;把编码的第一数据依照加密信息从访问集中器发往第一网络服务器;在第一网络服务器解码编码的第一数据,解码是依照加密信息执行的;和把解码的第一数据从第一网络服务器传给虚拟专用网络。
本发明的详细说明,结合例子的附图,在下面的各节中给出。其它优点和性能,从下面的说明和权利要求书中将会变得更加明显。
图1是通信网络的原理图;图2是信号流程图,表示对虚拟专用网络访问建立控制连接的过程;图3是信号流程图,表示对虚拟专用网络访问建立对话的过程;图4是按本发明原理的通信网络原理图;图5是信号流程图,表示在虚拟专用网络业务访问期间,根据本发明的原理,用于安全性的过程;和图6是表示数据包数据格式的框图,根据本发明的原理,它用于图5中的层2隧道协议(L2TP)访问集中器和层2隧道协议(L2TP)网络服务器之间。
本发明的实施例描述如下。为了清楚起见,不是所有实际实现的性能都描述。在下面的说明中,已知的功能,结构和布置不作详细说明,因为不必要的细节可能模糊本发明。在开发任何实际实施例中,需要作出许多具体实施的规则,以获得开发者的具体目标,例如与有关系统和有关业务限制的一致,它们从一种实施到另一种实施是可变的。此外,可以理解,这样一种开发工作可能是复杂和耗时的,但是决不是保证普通技术人员可以获得本发明的利益。
在虚拟专用网络传输数据可包括在通过公共网把数据发送到接收边之前进行加密处理,然后在接收边解码加密的数据。
包括专用网络的通信网络用图1作说明,图1表示通信网络的结构。
参考图1,远程系统311和313,它们是虚拟专用网络的用户,首先执行对虚拟专用网络325的拨号访问,用来对虚拟专用网络业务的访问。因为远程系统311和另一个远程系统313具有同样的功能,在解说本发明时,只要考虑远程系统311就行了。当远程系统311执行对虚拟专用网络拨号访问时,它访问具体互联网服务商的访问网络315。除了拨号方法之外,访问远程服务器远程服务器是对虚拟专用网络业务访问所用的另一种典型方法。但是,访问远程服务器比拨号法的价格高。
因此,如图1所示,远程系统用拨号方法访问访问网络315,访问网络315访问层2隧道协议(L2TP)层访问集中器(LAC)317。层2隧道协议是已知的L2TP,层2隧道协议层访问集中器317也是已知的LAC317。这里,层2隧道协议(L2TP)是用于远程系统311和虚拟专用网络325之间的隧道协议。除了层2隧道协议(L2TP)用于与远程系统311隧道之外,其它类协议,例如层2数据转发(L2F)或点到点的隧道协议(PPTP)也可用在虚拟专用网络325中。图1中层2隧道协议(L2TP)的协议已作为隧道协议使用,层2隧道协议访问集中器317认证在远程系统311中通过远程认证拨号用户业务服务器321产生的数据包数据,然后通过互联网319把数据包数据传递给层2隧道协议网络服务器(LNS)323。这里,当远程认证拨号用户业务服务器根据远程系统311的用户识别器(ID)执行认证时,且如果认证成功地进行,则远程认证拨号用户业务服务器321确定远程系统311应通过哪个虚拟专用网络通道来传递数据包。并把数据包传递给层2隧道协议(L2TP)访问集中器317。然后,层2隧道协议(L2TP)访问集中器把数据包数据从远程系统311传递到层2隧道协议网络服务器323,它连到相关的虚拟专用网络。这里,当远程认证拨号用户业务服务器321确定远程系统311应通过那个虚拟专用网络网络通道传递数据包时,它实际上确定,远程系统311应访问那个层2隧道协议网络。
一旦层2隧道协议网络服务器323收到来自层2隧道协议访问集中器317的远程系统311的数据包数据,为了把远程系统311的数据包数据传给虚拟专用网络325,把互联网协议(IP)地址分派给远程系统311。简言之,远程系统311的数据包数据通过分派的IP地址传递给虚拟专用网络325。虚拟专用网络325产生对远程系统311的IP通道,并使虚拟专用网络业务在互联网上,且如前面提到的,它只允许专门的认证用户访问业务。最后,虚拟专用网络325从L1TP网络服务器323收到远程系统311的数据包数据之后,把数据包数据传给有关的服务器。例如Web服务器327或FTP服务器329。这里,Web服务器327和FTP服务器329是用于执行虚拟专用网络业务的服务器。
下面是建立控制连接的方法,结合图2来说明。图2是信号流程图,代表建立对虚拟专用网络访问的控制连接方法。
控制连接意味着最初的连接,它必须在层2隧道协议访问集中器317和层2隧道协议网络服务器323之间产生实际对话之前,建立实际用户使用层2隧道协议。在步骤S111,如图所示,首先,层2隧道协议访问集中器317把开始-控制-连接-请求(以下,称为“SCCRQ”)消息传递给层2隧道协议网络服务器323,来初始化层2隧道协议访问集中器317与层2隧道协议网络服务器323之间的通道。在步骤S113,在从层2隧道协议(L2TP)访问集中器317接收SCCRQ信息之后,层2隧道协议网络服务器指定层2隧道协议访问集中器317与层2隧道协议网络服务器323之间的通道,然后,把起始-控制-连接-回答(下面称为“SCCRP”)消息传给相应于SCCRQ信息的层2隧道协议访问集中器。
在步骤S115,在接收SCCRQ信息之后,层2隧道协议访问集中器317把初始-控制-连接-被连接(以下简称“SCCCN”)消息传给与SCCRP信息相应的层2隧道协议网络服务器323。更具体的是,当层2隧道协议访问集中器(LAC)317接收SCCRP信息时,LAC了解到在层2隧道协议访问集中器317与层2隧道协议网络服务器323之间已经建立起通道。换句话说,通道在SCCCN信息从层2隧道协议访问集中器317输出后就被建立起来。LAC317把SCCCN消息传递给层2隧道协议网络服务器323。这样,层2隧道协议(L2TP)的三程握手与对传输控制协议(ICP)的三程握手相同。首先,请求端向应答端发送请求,接下来,应答端发送认可信息,最后,请求端发送通知信息。于是,通道状态或TCP对话改变成“已建立”状态。
在步骤S117,根据接收的SCCCN消息,层2隧道协议(L2TP)网络服务器327把零长度数据体(此后称为“ZLB”)ACK消息传递给层2隧道协议访问集中器317。实际上,ZLB ACK信息是在层2隧道协议访问集中器317和层2隧道协议网络服务器323之间没有消息传递时发送的,ZLB消息通常告知数据包数据通过已建立的通道传输。因此,在层2隧道协议(L2TP)访问集中器317和层2隧道协议网络服务器323之间的控制连接建立直到层2隧道协议访问集中器317接收ZLB ACK消息前没有完成。在步骤S119,层2隧道协议(L2TP)访问集中器317与层2隧道协议(L2TP)网络服务器之间的控制连接的建立才被完成。
如果在层2隧道协议(L2TP)访问集中器317和层2隧道协议(L2TP)网络服务器之间建立控制连接后,从远程系统311来的数据包数据输入到层2隧道协议(L2TP)访问集中器317,亦即,如果需要访问,则使用实际层2隧道协议(L2TP)对数据包数据建立对话。因此,对话建立方法参考图3在下面描述。
图3是信号流程图,表示对虚拟专用网络访问对话建立的方法。在步骤S211,开始,当层2隧道协议(L2TP)访问集中器317检测到来自用户或远程系统311的访问请求时,它把输入-呼叫-请求(此后称为“ICRQ”)传递给层2隧道协议(L2TP)网络服务器。为传递ICRQ消息,首先应在层2隧道协议(L2TP)访问集中器317与层2隧道协议(L2TP)网络服务器之间建立通道,并存在来自用户的输入呼叫。在步骤S213,根据接收的ICRQ信息,层2隧道协议网络服务器323把输入-呼叫-应答(此后称为“ICRP”)消息传给层2隧道协议(L2TP)访问集中器317。这里,ICRP消息是相应于ICRQ消息的消息,表示输入呼叫请求已成功地满足。
在步骤S215,在接收ICRP信息之后,层2隧道协议(L2TP)访问集中器317把输入-呼叫-被连接(此后称为“ICCN”)消息传给与ICRP消息相应的层2隧道协议网络服务器323。简言之,对话的建立是在层2隧道协议(L2TP)访问集中器317把ICCN消息传给层2隧道协议网络服务器323时完成的。在步骤S217,当层2隧道协议(L2TP)网络服务器323接收ICCN消息时,层2隧道协议(L2TP)网络服务器323把ZLBACK消息传给层2隧道协议访问集中器317。在层2隧道协议(L2TP)存以集中器317和层2隧道协议网络服务器323之间无消息传递时,发送ZLB ACK消息,ZLB消息通常告知数据包数据正通过稳定的控制通道传送。因此,在层2隧道协议(L2TP)访问集中器317与层2隧道协议网络服务器之间对话的建立,直到层2隧道协议(L2TP)访问集中器317接收ZLB ACK信之前没有完成。在步骤S219,层2隧道协议(L2TP)访问集中器317与层2隧道协议网络服务器323之间对话的建立完成了。这里,层2隧道协议(L2TP)的消息流描述在RFC 2661的“层2隧道协议L2TP”中。
在层2隧道协议(L2TP)访问集中器317和层2隧道协议网络服务器之间的对话建立之后,使用相应的链接把所有来自远程系统311的数据包数据发送到虚拟专用网络325。通常,层2隧道协议(L2TP)访问集中器317和层2隧道协议(L2TP)网络服务器323通过互联网319连接。由于互联网的性质,所有用互联网319的用户通信量都是公开暴露的,所以,存在一系列安全问题。换句话说,不管使用虚拟专用网络,因为所有数据通过互联网传送,(这是公用网),任何人都能监视这些数据。
下面将参考附图描述本发明的实施例。在下面的描述中,已知的功能或结构不作详细说明,因为不必要的细节说明会模糊本发明。
图4表示按本发明的通信网络的结构。参考图4,远程系统311和313,它们是虚拟专用网络用户,首先执行为虚拟专用网络业务访问对虚拟专用网络325拨号。因为远程系统311和另一远程系统313具有同样的功能,为了本发明解说的方便起见,只考虑远程系统311。当远程系统311为虚拟专用网络业务访问拨号时,它就访问具体互联网服务商的访问网络315。除了拨号方法之外,还有另一种方法获得虚拟专用网络业务访问,例如,用远程访问服务器远程服务器。但是,比起拨号方法来,RAS是非常贵的。
因此,如图4所示,远程系统用拨号方法访问访问网络315,访问网络315访问层2隧道协议(此后称为“L2TP”)层访问集中器(LAC,比较具体地说,为L2TP访问集中器)317。这里,层2隧道协议(L2TP)是特别用于远程系统311和虚拟专用网络325之间的隧道的协议。除了层2隧道协议(L2TP)用于与远程系统311隧道之外,其它类协议,例如L2F(层2传递)或PPTP(点到点隧道协议)也可用于虚拟专用网络325中,但在图中,层2隧道协议(L2TP)协议已作为隧道协议使用。层2隧道协议(L2TP)访问集中器317认证在远程系统311中通过远程认证拨号用户业务服务器321(RADIUS服务器)产生的数据包数据,然后,把数据包数据通过互联网319传给层2隧道协议(L2TP)网络服务器(LNS)323。特别是,在本发明中,远程认证拨号用户业务(RADIVS)服务器321存储同级到同级的层2隧道协议网络服务器323的密钥。
这里,由于缺少数据包数据传递到虚拟专用网络325的安全性,密钥指定在连到虚拟专用网络325的层2隧道协议(L2TP)网络服务器323,层2隧道协议(L2TP)网络服务器323的密钥由远程认证拨号用户业务服务器321管理。当层2隧道协议(L2TP)访问集中器317产生请求对远程认证拨号用户业务服务器321访问层2隧道协议(L2TP)网络服务器323时给出密钥。那么,为保密起见,层2隧道协议(L2TP)访问集中器317用密钥执行对数据包数据的加密,该数据要传到层2隧道协议(L2TP)网络服务器323。在远程认证拨号用户业务(RADIVS)服务器321和层2隧道协议(L2TP)网络服务器323之间也预先设置用密钥的安全系统,且与密钥一起,该安全系统以后传递给层2隧道协议(L2TP)访问集中器317。另一个安全系统的例子是零加密。
最后,远程认证拨号用户业务服务器321根据远程系统311的用户识别码(ID)执行认证。如果认证成功,远程认证拨号用户业务服务器321作出决定并同时执行传递。特别是,远程认证拨号用户业务服务器321确定应通过哪个虚拟专用网络通道,即通过哪个层2隧道协议网络服务器,远程系统311传递数据包数据,同时,远程认证拨号用户业务服务器321把预先设置的密钥和保密系统传递给层2隧道协议访问集中器317。这样,远程认证拨号用户业务服务器321确定远程系统311应把数据包数据传给哪个虚拟专用网络通道,或那个L2TPNS,同时确定,远程认证拨号用户业务服务器321把密钥传给层2隧道协议访问集中器。
于是,在从远程系统311把数据包数据发送给连到有关虚拟专用网络的层2隧道协议(L2TP)网络服务器323之前,层2隧道协议(L2TP)访问集中器317使用进入安全系统的密钥对数据包数据进行加密。在这种状态中,数据是安全的,避免了任何可能的窃密。图4中参考数字400表示对要传的数据用密钥的部分。即,安全系统通过层2隧道协议(L2TP)访问集中器317,远程认证拨号用户业务321,和层2隧道协议(L2TP)网络服务之间的互联网用于通信。
参考图4,用户要访问虚拟专用网络325。用户位于远程终端311下。远程终端311可以是计算机系统,如PC机,台式计算机,工作站,服务器,可移动计算机,笔记本电脑,手持计算机,掌上电脑,可配带式计算机,或任何其它类计算机系统。
继续参考图4,用户在远程终端311输入指令,该指令相应于请求访问虚拟专用网络325来使用哪里提供的虚拟专用网络服务。该请求或相应的传输从远程终端311被发往访问网络315,然后从访问网络315发往层2隧道协议层访问集中器(LAC)317,接着再从LAC317通过互联网319发送。远程认证拨号用户业务服务器321检测或感知从LAC317发来的请求,远程认证拨号用户业务服务器321获取相应于层2隧道协议网络服务器(LNS)323的服务器信息,同时获取加密信息。远程认证拨号用户业务服务器321把服务器信息和加密信息传给LAC317。层2隧道协议层访问集中器(LAC)317用加密信息编码由用户产生的数据。然后LAC317把编码数据通过互联网319,用服务器信息发给LNS323。层2隧道协议网络服务器(LNS)323用加密信息解码该编码数据。然后,LNS323把解码数据发给虚拟专用网络325。用这样的方法,用户可安全地访问虚拟专用网络325,即使用户通过互联网访问虚拟专用网络325。因此,根据前面的观点,用户可通过互联网访问虚拟专用网络325,但是连到互联网未被认证的用户不能观看来往于虚拟专用网络325的数据。还有,相应于远程终端311的请求,LNS323用加密信息编码从虚拟专用网络325收到的数据,然后把编码数据发给LAC317。LAC317用加密信息解码该数据,然后把解码数据发给远程终端311。编码和解码是根据加密信息进行的。
在层2隧道协议(L2TP)网络服务器323接收从层2隧道协议(L2TP)访问集中器317来的远程系统311数据包数据之后,层2隧道协议网络服务器323,为了把远程系统311的数据包数据传递给虚拟专用网络325,对远程系统311分派IP地址。简言之,远程系统311的数据包数据通过分派的IP地址传给虚拟专用网络325。虚拟专用网络325产生对远程系统311的IP通道,并且能在互联网上进行虚拟专用网络业务,如前面提到的一样,它只允许被专门认证的用户能访问业务。最后,虚拟专用网络325在收到从层2隧道协议网络服务器323来的远程系统311的数据包数据后,把该数据包数据传给有关的服务器,例如,Web服务器327或FTP服务器329。这里,Web服务器327和FTP服务器329都是执行虚拟专用网络网络服务的服务器。
参考图5,下面解说在虚拟专用网络网络服务访问期间用于安全性的分法。图5是信号流程图,表示在虚拟专用网络网络服务访问期间,根据本发明的原理,用于安全系统的方法。
如图4和5所示,远程系统311对互联网服务商的具体访问网络,即对访问网络315提出请求,用于通过拨号的虚拟专用网络业务访问。在步骤S441,访问网络315检查远程系统311对虚拟专用网络网络业务访问的请求,并执行在层2隧道协议(L2TP)访问集中器317和远程系统311之间的呼叫连接,并给出远程系统311已被适当认证。在步骤S413,互果在远程系统311和层2隧道协议(L2TP)访问集中器317之间完成连接,链接层控制协议(LCP)就建立起来了。
这里,链接层控制协议(LCP)表示用于通过点到点对层与层之间访问的控制协议。更具体地说,在用LCP、网络层控制协议(NCP)或互联网协议控制协议(IPCP)作访问之后,进行认证过程(PAP或CHAP),如果底层访问(LCP和认证)是成功的,则互联网协议有关的信息接入网络层,从而实现了指定。PAP涉及口令认证协议,CHAP涉及盘问沟通确认协议。
在步骤S415,当LCP在远程系统311和层2隧道协议(L2TP)访问集中器317之间建立时,认证工作就在远程系统311和层2隧道协议(L2TP)访问集中器之间执行。这里,认证工作包括用通过访问服务器315收到的远程系统311的信息,例如,用电话号码来认证远程系统311是否是可访问的虚拟专用网络业务。
在步骤S417,在远程系统311和层2隧道协议(L2TP)访问集中器317之间成功认证之后,层2隧道协议(L2TP)访问集中器317把访问请求信息传给远程认证拨号用户业务服务器321。这里,当层2隧道协议(L2TP)访问集中器317请求对远程认证拨号用户业务服务器321的访问时,远程系统311的信息与请求一起传递。然后,根据从层2隧道协议(L2TP)访问集中器317接收的访问请求,远程认证拨号用户业务服务器321执行对远程系统311的认证,并确定远程系统311的有关通道,即,用于远程系统311的有关层2隧道协议(L2TP)网络服务器。换句话说,远程认证拨号用户业务服务器321搜索连到虚拟专用网络的层2隧道协议(L2TP)网络服务器,并选择远程系统311应访问的层2隧道协议(L2TP)网络服务器。
在选择用于远程系统311的层2隧道协议(L2TP)网络服务器时,远程认证拨号用户业务服务器321也搜索预先设定的加密信息,即密钥和安全系统,用于被选的层2隧道协议(L2TP)网络服务器323。在步骤S419,远程认证拨号用户业务服务器321把包括通道信息和关于远程系统311的加密信息的访问接受信息传递给层2隧道协议(L2TP)访问集中器317。简言之,在层2隧道协议(L2TP)访问集中器317与远程认证拨号用户业务服务器321之间,当层2隧道协议(L2TP)访问集中器317收到来自远程认证拨号用户业务服务器321的访问接受信息时,完成认证。
一旦在层2隧道协议(L2TP)访问集中器317和远程认证拨号用户业务服务器321之间的认证完成后,层2隧道协议(L2TP)访问集中器317起动与层2隧道协议网络服务器323的控制连接的过程。控制连接意味着在层2隧道协议访问集中器317和层2隧道协议网络服务器323之间产生实际对话前,为实际用户使用层2隧道协议必须建立的最初连接。如果在层2隧道协议访问集中器317和层2隧道协议网络服务器323之间已经建立了控制连接,则步骤S421-S425将不执行。
现对建立控制连接的过程作一说明。在步骤S421,首先,层2隧道协议访问集中器317把起动-控制-连接-请求(此后称为“SCCRQ”)消息传递给层2隧道协议网络服务器323,以初始化层2隧道协议访问集中器317与层2隧道协议网络服务器323之间的通道。在步骤S423,在接收来自层2隧道协议访问集中器317的SCCRQ消息之后,层2隧道协议网络服务器323指定层2隧道协议访问集中器317与层2隧道协议服务器之间的通道,后者把起动-控制-连接-应答(此后称为“SCCRP”)消息传递给与SCCRQ消息相应的层2隧道协议访问集中器317。
在步骤422,接到SCCRP消息之后,层2隧道协议访问集中器317把起动-控制-连接-被连接(此后称为“SCCCN”)消息传递给与SCCRP消息相应的层2隧道协议网络服务器。更具体地说,为层2隧道协议访问集中器(LAC)317接收SCCRP消息时,LAC317认识层2隧道协议访问集中器317与层2隧道协议网络服务器323之间已建立的通道。换句话说,在SCCCN消息从层2隧道协议访问集中器输出后,通道建立。LAC317把SCCCN消息传递给层2隧道协议网络服务器323。
在步骤425,根据接收的SCCCN消息,层2隧道协议网络服务器323把零长度数据体(此后称为“ZLB”)ACK消息传递给层2隧道协议访问集中器317。实际上,ZLB ACK消息是当层2隧道协议访问集中器317与层2隧道协议网络服务器323之间没有消息传递时发送的,ZLB消息通常告知数据包数据正通过稳定的控制通道传送。因此,层2隧道协议访问集中器317与层2隧道协议网络服务器323之间控制连接的建立,直到层2隧道协议访问集中器317接收ZLB ACK消息时未完成。
如果来自远程系统311的数据包数据,在建立层2隧道协议访问集中器317和层2隧道协议网络服务器之间的控制连接后,输入到层2隧道协议访问集中器317,即如果需求访问,则应用实际层2隧道协议对数据包数据通信建立对话。
在步骤S427,开始,当层2隧道协议访问集中器317检测到来自用户或远程系统311的访问请求时,它把输入-呼叫-请求(此后称为“ICRQ”)传递给层2隧道协议网络服务器323。为传递ICRQ消息,首先要建立层2隧道协议访问集中器317与层2隧道协议网络服务器323之间的通道,并且应有来自用户的输入呼叫。在步骤S429,根据接收的ICRQ消息,层2隧道协议网络服务器323把输入-呼叫-应答(此后称为“ICRP”)消息传递给层2隧道协议访问集中器317。这里,ICRP消息是相应于ICRQ消息的消息,指示输入呼叫请求已成功满足。
在步骤S431,在接收ICRP消息后,层2隧道协议访问集中器317输入-呼叫-被连接(此后称为“ICCN”)消息传递给与ICRP消息相应的层2隧道协议网络服务器323。简言之,当层2隧道协议访问集中器317把ICCN消息传递给层2隧道协议网络服务器323时,实现了对话的建立。在步骤S433,当层2隧道协议网络服务器323接收ICCN消息时,层2隧道协议网络服务器323把ZLB ACK消息传递给层2隧道协议访问集中器317。ZLB ACK消息是当层2隧道协议访问集中器317与层2隧道协议网络服务器323之间没有消息传递时发送的,ZLB消息是通常告知数据包数据正通过稳定的通道传送。因此,层2隧道协议访问集中器317与层2隧道协议网络服务器323之间对话的建立,直到层2隧道协议访问集中器317收到ZLB ACK时来实现。
在建立层2隧道协议访问集中器317和层2隧道协议网络服务器323之间的对话后,所有来自远程系统311的数据包数据,用相关的连接,送到虚拟专用网络325。
总起来说,如图5所示,当远程系统311用层2隧道协议隧道访问虚拟专用网络325时,远程系统311执行对所有实际传送的数据用密钥和安全加密。结果,成功地保持了数据的安全性。
参考图6,下面说明用于层2隧道协议访问集中器317和层2隧道协议网络服务器323之间数据包数据的格式。图6是根据本发明的原理,表示用于图5中的层2隧道协议访问集中器317和层2隧道协议网络服务器323之间数据包数据格式的示意图。
如图所示,用于层2隧道协议访问集中器317和层2隧道协议网络服务器323之间数据包数据的格式有以太网报头区511,互联网协议(IP)报头513,用户自带寻址消息的数据包协议(UDP)报头515,层2隧道协议报头517,和层2隧道协议有效载荷519。IP报头513包括在层2隧道协议访问集中器317和层2隧道协议网络服务器之间已分派的IP有关数据,UDP报头包括在层2隧道协议访问集中器317和层2隧道协议网络服务器323之间已分派的UDP有关数据,层2隧道协议报头517包括层2隧道协议访问集中器317和层2隧道协议网络服务器323之间层2隧道协议隧道的有关数据,层2隧道协议有效载荷519包括来自远程系统311已被传送的数据包数据,层2隧道协议报头517也包括像通道识别器(ID)和对话识别器(ID)的消息。此外,层2隧道协议报头区517和层2隧道协议有效载荷区519,用前面描述的密钥与安全系统一起编码。
在本发明的实施例中,上面描述的各步骤以指令存储在存储器中,存在存储器中的指令可由一个或多个计算机执行。存储器可以是任一类计算机可读介质,如软盘,一般硬盘,可移动硬盘,光盘(CDS),数字通用光盘(DVDS),快速只读存储器(快速ROM),非易失只读存储器,和随机访问存储器(RAM)。远程认证拨号用户业务服务器321包括硬盘驱动器321a,远程系统311包括硬盘驱动器,Web服务器327包括硬盘驱动器。
在本发明的实施例中,至少一个上面提到的步骤能与存在一个或多个存储单元中的指令的执行相应。例如,这些存储单元中的一个可能是硬盘驱动器321a,它安装在远程认证拨号用户业务服务器321中,存在这一存储单元的指令可由一个或多个计算机执行,例如,相应于本发明某些步骤的指令可存在安装于图4中远程认证拨号用户业务服务器321的硬盘驱动器321a。
前面描述的实施例的软件实现可包括一系列计算机指令,它们或安装于有形介质,如计算机可读介质(如光盘或固定磁盘),或可通过调制解调器或其它介质上的接口设备传输给计算机系统,该介质可以是有形介质,包括,但不限于,光或模拟通信线路,或可用无线技术,包括,但不限于微波,红外或其它传输技术来实现。该介质也可以是互联网。一系列指令体现了前面提到的相对于本发明的全部或部分功能。业内人士知道,这些计算机指令可写成一组程序语言,用于许多计算机结构或工作系统。此外,这种指令可用现在或将来的任何存储器技术储存,包括,但不限于半导体、磁、光或其它存储设备,或者可用现在或将来的任何通信技术传输,包括,但不限于光,红外,微波,或其它传输技术。这种计算机程序产品可作为可移动介质以打印或电子文件分配,例如计算机系统预装的简易包装软件,如系统只读存储器(ROM)或固定磁盘,或从服务器或网络上的电子通报板分配,例如互联网或万维网。
结论是,本发明在维持数据传输安全性方面是先进的,即,当用户通过通信网络中的拨号访问虚拟专用网络时,传递的不只是数据,而是用加密信息编码的编码数据。因此,即使当用户使用公用网时,该数据非常安全,避免任何侵入窃密或非法修改。这样,因为数据的安全性很好地被保持,虚拟专用网络的使用安全性也得到改善。
在用图解说明本发明的实施例,和实施例以大量细节描述时,应注意这不是限制本申请的权利于这些细节。业内人士很容易看到附加的优点和改型。因此,本发明以其更广泛的方面不限于这些具体细节,提出的设备和方法,和表示及说明的例子,因此,偏离这些细节并不偏离本申请总发明概念的精神和范围。
权利要求
1.一种用于通信网络中安全访问虚拟专用网络的方法,该方法包括当用户请求访问虚拟专用网络时,从访问集中器发送第一访问请求给远程认证拨号用户业务服务器;把第一网络服务器的服务器信息和加密信息传递给访问集中器,所述的传递是相应于第一访问请求执行的,第一网络服务器连到虚拟专用网络;当访问集中器收到服务信息和加密信息时,根据加密信息编码第一数据,所述的编码由访问集中器执行,第一数据由用户产生;把编码的第一数据根据服务器信息从访问集中器送到第一网络服务器;在第一网络服务器解码编码的第一数据,所述的解码是根据加密信息执行的;把解码的第一数据从第一网络服务器传到虚拟专用网络。
2.根据权利要求1所述的方法,其特征在于服务器的信息包括层2隧道协议(L2TP)信息,第一网络服务器是层2隧道协议网络服务器。
3.根据权利要求1所述的方法,其特征在于访问集中器是层2隧道协议(L2TP)访问集中器。
4.根据权利要求1所述的方法,其特征在于加密信息包括密钥和安全系统,用于执行第一数据的加密。
5.根据权利要求4所述的方法,其特征在于安全系统相应于零加密系统。
6.根据权利要求1所述的方法,其特征在于所述的发送是用层2隧道协议(L2TP)执行的。
7.根据权利要求6所述的方法,其特征在于服务器信息相应于层2隧道协议(L2TP)信息,第一网络服务器是层2隧道协议网络服务器。
8.根据权利要求7所述的方法,其特征在于访问集中器是层2隧道协议访问集中器。
9.根据权利要求8所述的方法,其特征在于所述的第一访问请求的传送包括把第一访问请求从访问集中器,通过互联网传给远程认证拨号用户业务服务器,所述的服务器信息和加密信息的传送包括把服务器信息和加密信息从远程认证拨号用户业务服务器通过互联网传送给访问集中器,所述编码的第一数据的传送包括把编码的第一数据从访问集中器通过互联网传给第一网络服务器。
10.根据权利要求9所述的方法,其特征在于加密信息包括密钥和安全系统,用于执行第一数据的加密。
11.根据权利要求1所述的方法,其特征在于当发送编码的第一数据时,通过互联网从访问集中器传到第一网络服务器。
12.根据权利要求1所述的方法,其特征在于用户相应于计算机系统,用户和第一网络服务器是被访问集中器分开的。
13.一种用于安全访问网络的系统,该系统包括第一设备,当用户请求访问虚拟专用网络时,接收来自用户的第一请求;第二设备,当所述的第一设备发送第一请求时检测第一请求;第三设备,它连到虚拟专用网络,所述的第三设备与所述的第一和第二设备通信;所述的第二设备,把第三设备的第一信息传递给响应于第一请求的第一设备,第二设备把加密信息传递给响应于第一请求的第一设备;所述的第一设备,接收由用户产生的第一数据,第一设备根据加密信息编码第一数据,第一设备把编码的第一数据发给第三设备;所述的第三设备,接收来自第一设备的编码的第一数据,解码编码的第一数据,然后,把解码的第一数据传给虚拟专用网络,解码是根据加密信息执行的。
14.根据权利要求13所述的系统,其特征在于所述的第一设备相应于访问集中器,第二设备相应于远程认证拨号用户业务服务器,第三设备相应于网络服务器。
15.根据权利要求13所述的系统,其特征在于所述的第一设备相应于层2隧道协议(L2TP)访问集中器,第二设备相应于远程认证拨号用户业务服务器,第三设备相应于层2隧道协议网络服务器。
16.根据权利要求15所述的系统,其特征在于至少一个设备选自所述的第一和第二设备中,并根据安全系统的加密信息进行加密。
17.根据权利要求16所述的系统,其特征在于安全系统是零加密系统。
18.根据权利要求13所述的系统,其特征在于当第一设备把第一请求通过互联网传递给第二设备时,所述的第二设备检测第一请求,第二设备把加密信息通过互联网传递给第一设备,第一设备把编码的第一数据通过互联网传递给第三设备,第三设备不通过互联网发送解码的第一数据。
19.根据权利要求18所述的系统,其特征在于所述的第一设备相应于层2隧道协议(L2TP)访问集中器,第二设备相应于远程认证拨号用户业务服务器,第三设备相应于层2隧道协议网络服务器。
20.根据权利要求19所述的系统,其特征在于第一信息包括层2隧道协议(L2TP)信息。
21.一种具有一组计算机可执行指令的计算机可读介质,用于执行在通信网络中安全访问虚拟专用网络的方法,该组指令包括用于下列各项的一个或多个指令当用户请求访问虚拟专用网络时,把来自访问集中器的第一访问请求发送给远程认证拨号用户业务服务器;把第一网络服务器的服务器信息和加密信息发送到访问集中器,响应第一访问请求进行发送,第一网络服务器连接到虚拟专用网络;当访问集中器接收到服务器信息和加密信息时,根据加密信息编码第一数据,所述编码由访问集中器执行,第一数据由用户产生;在第一网络服务器解码编码的第一数据,所述的解码是根据加密信息执行的;把解码的第一数据从第一网络服务器传送给虚拟专用网络。
22.根据权利要求21所述的计算机可读介质,其特征在于服务器信息包括层2隧道协议(L2TP)信息,第一网络服务器是层2隧道协议网络服务器。
23.根据权利要求21所述的计算机可读介质,其特征在于访问集中器是层2隧道协议访问集中器。
24.根据权利要求21所述的计算机可读介质,其特征在于加密信息包括密钥和安全系统,用于执行第一数据的加密。
25.根据权利要求24所述的计算机可读介质,其特征在于安全系统相应于零加密系统。
26.根据权利要求21所述的计算机可读介质,其特征在于所述的传送是以层2隧道协议执行的。
全文摘要
本发明涉及在通信网络中访问专用网络业务的安全系统及其方法,其中,如果检测到用户访问专用网络服务的请求,层2隧道协议(L2TP)请求虚拟专用网络服务访问远程认证拨号用户业务服务器,根据访问专用网络服务的请求,远程认证拨号用户业务服务器把层2隧道协议信息传到连到虚拟专用网络的层2隧道协议(L2TP)网络上,把在层2隧道协议网络服务器中预先设置的加密信息传送到层2隧道协议(L2TP)访问集中器,最后,在接收层2隧道协议(L2TP)网络上的信息和加密信息之后,层2隧道协议(L2TP)访问集中器使用加密信息根据用户产生的数据进行加密,并把编码的数据传递给层2隧道协议网络服务器。
文档编号H04L29/06GK1440155SQ03106100
公开日2003年9月3日 申请日期2003年2月24日 优先权日2002年2月23日
发明者文世雄, 崔炳求 申请人:三星电子株式会社