专利名称:一种安全插槽层虚拟私有网络结构及其连接方法
技术领域:
本发明涉及一种安全插槽层虚拟私有网络结构及其连接方法,特别是涉及一种无需公用静态地址(Public IP)的安全插槽层虚拟私有网络(SSL VPN)结构。
背景技术:
虚拟私人网络(Virtual Private Network;VPN)就是在Internet上使用密道(Tunneling)及加密(Encrypt)建立一个私人的安全网络,目前的VPN指的是构建在Internet上拥有自主权的私人数据网络,因为这些VPN技术都是通过IP的封包格式进行传送,因此也被统称为IPVPN(以IP为主要通信协议)。
目前VPN的解决方案中以互联网层安全协议(IP Security Protocol;简称IPsec)较为普遍,请参考图1所示,这种以IP为基础的VPN主要通过在服务器与用户端建立安全的连接网络,让使用者可通过互联网100远程访问企业内部信息,此种以网关对网关(Gateway-to-Gateway)传输的原理是通信主机先将未保护的IP封包传给具IPsec功能的安全网关(Security Gateway)101、102,通常是局域网络103、104对外的路由器(Router)、网关再进行封包以IPsec保护,传给远端的网关,对方在解除IPsec的保护机制后,再把还原后的IP封包转送至真正的目的端主机。因此,由于IPsec VPN系统提供必需的安全协议、加解密算法组合,因此通信双方必须事先“秘密共享”许多安全参数的设定,自动金钥交换机制(Internet Key Exchange;IKE)即是IPsec VPN必须面临的课题,并且由于IPsec/IKE需要大量的数学运算,因此企业构建IPsec VPN所要考虑的执行效率及成本因素是一个重要的问题。此外,IPSecVPN的设定也较复杂,除了服务器端需建立VPN外,用户端也常需下载VPN软件及设定网络。另外,当IPsec需要与网络地址转换(Network AddressTranslation;NAT)机制整合使用时,则可能发生不兼容的问题。例如,当一个系统先做IPsec再做NAT,因为NAT会针对Packet Header的Source IP等做改变,此封包送达彼端的IPsec装置后,即会检测出封包被更动过而将之丢弃,因此永远无法实现连接。
诸如上述IPsec VPN的各种问题,利用安全插槽层(Secure SocketLayer;SSL)应用在VPN的可行性已逐渐被讨论,SSL是一种互联网上最普遍使用的安全通信协议,保障网站服务器及浏览器之间的数据传输的安全性。通过使用这个协议,网络上的数据传输会按照认证的种类(40位、128位)进行不同程度的加密,更会检查数据的完整性。除此以外,通过所谓金钥匙的加密技术及严谨的SSL认证注册的程序,SSL可以验证服务器的身分而达到网站浏览者向网站身分作出检查的目的。网站浏览者当看到浏览器右下角出现金钥匙,就可以点选查看服务器的位置及身份,确认网站是否真实可靠。且SSL安全标章由个别认证公司提供,主要让浏览者可以清楚识别网站已经获得认证,并提供连结往认证机构的网站阅读、查询相关网站的认证资料。
如今,提高远程访问的安全机制是一重要的课题,VPN在企业远程访问安全应用上已十分广泛,不过目前基于IPSec VPN由于无法从应用层面建立安全机制,因此将诉求重点转向安全机制更加健全的SSL VPN,逐渐成为一被关注的问题。
发明内容
本发明所要解决的技术问题在于提供一种安全插槽层虚拟私有网络结构及其连接方法,以解决现有技术中通信双方必须事先秘密共享许多安全参数的设定,自动金钥交换机制,用户端需要下载VPN软件及设定网络,Ipsec与网络地址不兼容等问题。
为了实现上述目的,本发明提供了一种安全插槽层虚拟私有网络结构,其特点在于,包含一互联网,用以提供所述虚拟私人网络上使用密道及加密的通信网络环境;一发布单元,配置于任一企业的服务器端,用以通过具有内嵌所述安全插槽层的浏览器连接至所述互联网;一交换单元,连接至所述互联网,用以接收从所述发布单元发出的通信协议,并产生一个唯一的凭证至所述发布单元;及一用户端,自动安装一接口程序,以做为所述虚拟私有网络连接的依据,所述用户端连接至所述互联网,用以通过具有内嵌所述安全插槽层的浏览器连接至所述交换单元,并指定欲连接的所述发布单元,通过所述发布单元传送一个登录需求给所述用户端,以提供所述用户端使用所述虚拟私有网络资源以完成连接。
上述安全插槽层虚拟私有网络结构,其特点在于,所述交换单元可以通过网络结构提供商或任一所述企业拥有。
上述安全插槽层虚拟私有网络结构,其特点在于,所述接口程序是直接由发布单元或交换单元获得。
上述安全插槽层虚拟私有网络结构,其特点在于,所述凭证是一个可被区分不同发布单元的名称。
上述安全插槽层虚拟私有网络结构,其特点在于,所述凭证是依据所述发布单元指定的URL。
本发明还提供一种安全插槽层虚拟私有网络连接方法,其特点在于,包含下列步骤步骤310,一用户端利用一发布单元通过一互联网的通信协议连接至一交换单元;步骤320,所述交换单元发出一个唯一的凭证至所述发布单元;步骤330,所述用户端利用具有内嵌安全插槽层的浏览器连接至所述交换单元,并指定欲连接的所述发布单元;步骤340,当所述交换单元收到所述用户端的连接要求时,所述交换单元依据所述凭证将连接要求传送给指定的所述发布单元;步骤350,所述发布单元传送一个登录需求,要求所述用户端登录;及步骤360,所述用户端通过登录确认后,以允许所述用户端使用所述虚拟私有网络资源以完成连接。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述交换单元可以通过网络结构提供商或任一所述企业拥有。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述用户端第一次使用所述发布单元所发布的服务之前,还包含激活一接口程序自动安装于所述用户端的计算机的步骤,以做为所述虚拟私有网络连接的依据。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述接口程序由所述发布单元或所述交换单元获得。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述凭证是一个可被区分不同发布单元的名称。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述凭证为依据所述发布单元指定的URL。
上述安全插槽层虚拟私有网络连接方法,其特点在于,所述登录包含用户名称及密码确认。
本发明的功效如下1)SSL VPN是在应用层建立安全机制,让用户端通过网页接口存取企业内部ERP、CRM等资源时,以SSL加密确保用户端存取不同内部程序的安全性,如让IT人员设定员工可存取不同应用程序的权限。
2)SSL VPN通过网页接口,除了不需安装用户端软件,也节省设定网络步骤,比IPsec VPN方便很多。SSL VPN做为远程访问主要方式的企业设计,提供动态存取控制功能,可辨别存取用户端的安全等级,以限制存取作业等,此外,也具有逾时自动处理现阶段作业或自动注销等功能。
3)本发明中SSL VPN结构无需公用的Public IP也可构建,SSL VPN结构可以置于防火墙内,而防火墙完全不用作任何变更,即不用开Port及对应的Public IP,也不需协调Private IP的冲突。从安全的角度来看,安全性更高了,因为无公用Public IP,黑客也无法锁定攻击安全性,SSL VPN结构从发布单元及使用者的连接都是向外的,因此所有的防火墙只需要具备有NAT的功能即可,企业防火墙的需求变得简单,甚至可以被NATBox所取代。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1为现有虚拟私人网络结构方块图;图2为本发明所提的安全插槽层虚拟私有网络结构方块图;图3为本发明所提的安全插槽层虚拟私有网络连接流程图。
其中,
100-互联网101、102-安全网关103、104-局域网络110-发布单元120-交换单元
130-用户端具体实施方式
SSL VPN是在应用层建立安全机制,让用户端通过网页接口存取企业内部ERP、CRM等资源时,以SSL加密确保用户端存取不同内部程序的安全性,如让IT人员设定员工可存取不同应用程序的权限。
而SSL VPN通过网页接口,除了不需安装用户端软件,也节省设定网络步骤,比IPsec VPN方便很多。SSL VPN做为远程访问主要方式的企业设计,提供动态存取控制功能,可辨别存取用户端的安全等级,以限制存取作业等,此外,也具有逾时自动处理现阶段作业或自动注销等功能。
本发明所提的SSL VPN结构无需公用的Public IP也可构建,SSL VPN结构可以置于防火墙内,而防火墙完全不用作任何变更,即不用开Port及对应的Public IP,也不需协调Private IP的冲突。从安全的角度来看,安全性更高了,因为无公用Public IP,黑客也无法锁定攻击安全性,SSL VPN结构从发布单元及使用者的连接都是向外的,因此所有的防火墙只需要具备有NAT的功能即可,企业防火墙的需求变得简单,甚至可以被NATBox所取代。
本发明所提的SSL VPN结构如图2所示,包含四个主要的单元,即互联网100、发布单元110、交换单元120及用户端130。
互联网100用以提供本发明的虚拟私人网络上使用密道及加密的通信网路环境。
发布单元(Publisher)110可以是配置于任一企业的服务器端,用以通过超文件传输协议(https)(利用具有内嵌该安全插槽层的浏览器)方式连接至互联网100,也就是应用服务所在的一方(一般为MIS或信息管理中心),以便将应用程序发布给远程使用者(用户端),这里所指的远程使用者可以是指在外员工、分公司或办事处、上下游供货商等等。应用程序不仅可以是WebServer,同时支持如IBM/LotusNotes Server、MS Exchange Mail Server、Netmeeting等的Client/Server应用程序。发布单元110可以支持类似IPSec的功能,利用网页连接后,激活一个接口程序(ActiveXWeb),自动在远程的使用者计算机上产生一个虚拟网络卡如同IPSec会获得一个IP,适用要求在IP层的方式进行网络连接的部分特殊应用程序,例如远程的弱点扫瞄等。因此,本发明所提的发布单元110可以利用一台设备同时提供SSL VPN及IPSec VPN的功能,减少设备投资及管理的复杂性。
另一单元为交换单元(Switch/Exchange)120,为发布单元110及用户端130之间的桥梁,但不参与KEY的交换或加解密,以确保信息的安全与高效能,交换单元120可以通过网络结构提供商(Host SSL VPN Provider)或企业自己拥有,连接至互联网100,用以接收从发布单元110发出的通信协议,并产生一个唯一的凭证至发布单元110。而本发明即是利用此交换单元120,让企业可以不需公用Public IP、不用申请SSL凭证即可构建SSL VPN。由于使用者端及发布单元110都是由公司内部网络对外连接,如同MSN Messenger、Yahoo Messenger、ICQ的运作原理,并且是利用TCP通信端口443,也就是一般大家所熟悉的SSL或是超文件传输协议(https)方式连接至交换单元120;并且只需要交换单元120申请一个电子凭证如VeriSign就可以让连接上的发布单元110来产生新的凭证(ID),使用者可以节省申请电子凭证的费用。
由于是由内向外的连接,一般公司的防火墙几乎不需要修改防火墙的设定,降低安装设定的门槛,同时连接的两端都在防火墙内,使用Private IP,安全性更加提高。每一台Switch可以同时上线500人,也就是可以连接50台发布单元110(可以同时10人上线);Exchange可以上线的人数是5,000人,也就是可以连接500台发布单元110。不论是交换单元120和发布单元110都使用了丛集(Cluster)技术,任何一台交换单元120和发布单元110出现问题,都不会影响整个系统的正常工作。如果配置了多台设备,所有的工作量还会平均分配到这些设备上,减少网络设备由于集中管理而带来的风险。
相信所有使用VPN的人员最在乎方便使用外,另外最重视的就是安全。在发布单元110除了虚拟信道采用标准的SSL 128 Bits的加密,另外在信道里面的传送的数据还可以支持各种不同的加密(Encrypt)方式如AES、3DES、DES及杂凑函数(Hash)方式如MD5、SHA1,已确保数据的保密性及传送期间数据的完整性,大大提高安全性。
最后,来看看用户端130的使用,用户端130连接至互联网100,用以通过超文件传输协议方式连接至交换单元120,并指定欲连接的发布单元110,通过发布单元110传送一个登录需求给用户端130,以提供用户端130使用虚拟私有网络资源以完成连接,用户端130实际上是通过Internet Explorer浏览器连接回公司的LAN。第一次使用发布单元110所发布的服务之前,用户端130会自动安装最新版本的一接口程序(ActiveXWeb),以做为虚拟私有网络连接的依据,类似一般的VPN软件,此接口程序由网络结构提供商统一提供,但获得来源可直接由发布单元110或交换单元120取得。也就是说用户端130不用个别加装软件,而且一般用户甚至不会擦觉此软件。因此本发明的SSL VPN结构是不用加装用户端软件的。
本发明提出一种无需公用静态地址的安全插槽层虚拟私有网络连接方法,如图3所示,包含下列步骤步骤310,一用户端通过一发布单元通过一互联网的通信协议连接至一交换单元;步骤320,交换单元发出一个唯一的凭证至发布单元;步骤330,用户端利用具有内嵌安全插槽层的浏览器连接至交换单元,并指定欲连接的发布单元;步骤340,当交换单元收到用户端的连接要求时,交换单元依据凭证将连接要求传送给指定的发布单元;步骤350,发布单元传送一个登录需求,要求用户端登录;步骤360,最后,用户端通过登录确认后,以允许用户端使用虚拟私有网络资源以完成连接。
现就实际连接及首次使用连接步骤说明如下,首先一用户端130通过公司内部网络的发布单元110通过一互联网100的通信协议(https,TCP通信端口443)连接至交换单元120,然后等待远程的用户端(Subscriber)130进来连接;其中当用户端130第一次使用发布单元110所发布的服务之前,还包含激活一接口程序自动安装于用户端130的计算机的步骤,以做为虚拟私有网络连接的依据。
远程的用户端130利用具有内嵌安全插槽层的浏览器(例如InternetExplorer浏览器)连接至交换单元120,并指定要连接至哪一个发布单元110,其中,每一个发布单元110都有一个唯一的凭证(ID),该凭证(ID)是一个可被区分不同发布单元110的名称,也同时是一个由交换单元120所发的电子凭证档案。
当交换单元120收到远程用户端130的连接要求时,会依据URL上指定的凭证(ID)将信号传送给指定的发布单元110。
发布单元110会传送一个要求登入的画面,要求远程的用户端130登录。
如果用户名称及密码正确,即可允许用户端130使用的网络资源如Notes、ERP、档案分享等,即可完成连接。
本发明所提的SSL VPN结构有下列优点,可以分为一般使用者及系统网络管理者两方面来讨论。
一般使用者方面1.不要安装VPN的用户端软件。
2.使用者只要能够上网,就能够连接回到公司。
3.使用简单。
4.使用软件的方式,就如同在公司网络一样,不用改变使用习惯。
5.通过SSL的加解密方式安全地传递信息。
6.可以同时使用实体网络及虚拟网络,而不受路由的影响。
系统及网络管理者方面1.简单设定,依照使用者的身分来分隔使用权限。
2.不用烦恼使用者端的软件安装设定和维护。
3.集中管控。
4.点对点的SSL安全机制。
5.很容易就能快速上线,不必担心IP相冲的问题。
6.针对临时性的需求能够快速提供。
7.减少信息人员的工作量及降低维护网络安全的复杂性。
本发明所提的SSL VPN结构的另一特色,就是无需Web化应用程序。一般企业在使用SSL VPN时,常因为应用程序没有Web化,仍需要考虑Adapter所导致的不便及成本增加,因此本发明所提的SSL VPN结构特别重视使用端的问题,做到了对各种Web或Client/Serve真正的通用性,也就是说只要是Client/Server的应用程序,应用到TCP Port的应用程序都可支持或进行存取。
针对不同企业的需求及安全的考虑,本发明所提的SSL VPN结构也可以通过以下2种方式构建1.直连方式即与现有SSL VPN的连结方式类似。发布单元110为一个直连接口,给用户提供直接连接。此时发布单元110就必须使用公用Public IP,如此一来使用者才能找到发布单元110,并在其上作数据存取。
2.交换方式如果企业不使用公用Public IP,又不想通过SSL VPNProvider的交换单元120来作交换,可以自己拥有交换单元120,并依公司规模及需求另行设置发布单元110。
一个好的VPN,至少要有以下几个特点
1.能够保护企业网络免于遭受来自外部以及内部的威胁。
2.彻底执行以使用者为基础(User Level)的安全政策。
3.在任何时间、地点都能提供外出人员或远程使用者实时、安全的连接。
4.能为企业伙伴提供安全的弹性的企业外部互联网(Extranet)接续方式。
5.充分利用互联网以降低庞大的通信成本。
6.合理的网络建设、扩充、管理、使用及维护成本。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明权利要求的保护范围。
权利要求
1.一种无需公用静态地址的安全插槽层虚拟私有网络结构,其特征在于,包含一互联网,用以提供所述虚拟私人网络上使用密道及加密的通信网络环境;一发布单元,配置于任一企业的服务器端,用以通过具有内嵌所述安全插槽层的浏览器连接至所述互联网;一交换单元,连接至所述互联网,用以接收从所述发布单元发出的通信协议,并产生一个唯一的凭证至所述发布单元;及一用户端,自动安装一接口程序,以做为所述虚拟私有网络连接的依据,所述用户端连接至所述互联网,用以通过具有内嵌所述安全插槽层的浏览器连接至所述交换单元,并指定欲连接的所述发布单元,通过所述发布单元传送一个登录需求给所述用户端,以提供所述用户端使用所述虚拟私有网络资源以完成连接。
2.根据权利要求1所述的安全插槽层虚拟私有网络结构,其特征在于,所述交换单元可以通过网络结构提供商或任一所述企业拥有。
3.根据权利要求1所述的安全插槽层虚拟私有网络结构,其特征在于,所述接口程序是直接由发布单元或交换单元获得。
4.根据权利要求1所述的安全插槽层虚拟私有网络结构,其特征在于,所述凭证是一个可被区分不同发布单元的名称。
5.根据权利要求1所述的安全插槽层虚拟私有网络结构,其特征在于,所述凭证是依据所述发布单元指定的URL。
6.一种无需公用静态地址的安全插槽层虚拟私有网络连接方法,其特征在于,包含下列步骤一用户端利用一发布单元通过一互联网的通信协议连接至一交换单元;所述交换单元发出一个唯一的凭证至所述发布单元;所述用户端利用具有内嵌安全插槽层的浏览器连接至所述交换单元,并指定欲连接的所述发布单元;当所述交换单元收到所述用户端的连接要求时,所述交换单元依据所述凭证将连接要求传送给指定的所述发布单元;所述发布单元传送一个登录需求,要求所述用户端登录;及所述用户端通过登录确认后,以允许所述用户端使用所述虚拟私有网络资源以完成连接。
7.根据权利要求6所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述交换单元可以通过网络结构提供商或任一所述企业拥有。
8.根据权利要求6所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述用户端第一次使用所述发布单元所发布的服务之前,还包含激活一接口程序自动安装于所述用户端的计算机的步骤,以做为所述虚拟私有网络连接的依据。
9.根据权利要求8所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述接口程序由所述发布单元或所述交换单元获得。
10.根据权利要求6所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述凭证是一个可被区分不同发布单元的名称。
11.根据权利要求6所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述凭证为依据所述发布单元指定的URL。
12.根据权利要求6所述的安全插槽层虚拟私有网络连接方法,其特征在于,所述登录包含用户名称及密码确认。
全文摘要
本发明涉及一种安全插槽层虚拟私有网络结构,包含互联网,用以提供虚拟私人网络上使用密道及加密的通信网络环境;发布单元,配置于任一企业的服务器端,用以通过具有内嵌安全插槽层的浏览器连接至互联网;交换单元,连接至互联网,用以接收从发布单元发出的通信协议,并产生一个唯一的凭证至发布单元;及用户端,自动安装接口程序,以做为虚拟私有网络连接的依据,用户端连接至所述互联网,用以通过具有内嵌安全插槽层的浏览器连接至交换单元,并指定欲连接的发布单元,通过发布单元传送一个登录需求给用户端,以提供用户端使用虚拟私有网络资源以完成连接。本发明不需要安装用户端软件,也节省设定网络步骤。
文档编号H04L9/00GK1713562SQ200410049628
公开日2005年12月28日 申请日期2004年6月22日 优先权日2004年6月22日
发明者李傅霖 申请人:宏碁股份有限公司