Vpn网关设备和主机系统的制作方法

专利名称：Vpn网关设备和主机系统的制作方法
技术领域：
本发明涉及一种VPN网关设备和主机系统，更具体地，涉及一种用于终止在WAN侧建立的VPN隧道的VPN网关设备和包括该VPN网关设备的主机系统。
背景技术：
将诸如服务器和网络设备之类的资源提供给用户等的主机服务是由数据中心公司提供的服务之一。提供该主机服务的数据中心侧的系统被称为主机系统。
参考文献1(日本专利No.3491828)和参考文献2(日本专利公开No.2003-32275)描述了传统主机系统的示例。在这些参考文献中描述的主机系统中，VPN(虚拟专用网络)网关放置在数据中心(在参考文献1和2中，VPN网关也被称为VPN路由器)。该VPN网关建立到外部的如IPsec隧道或L2TP隧道的VPN隧道，并容纳VPN。VLAN逻辑地分离VPN网关的LAN(局域网)侧的部分，并且VPN网关使所容纳的VPN与VLAN相关联。通过动态地改变与安装在数据中心的服务器相连的VLAN的设置以及VPN网关中的VPN与WLAN的关联设置，可以动态地改变要分配给VPN的服务器的组合。
在该主机系统中，数据中心的服务器并不通过VPN隧道而直接容纳在VPN中，而是经由与VPN网关相连的VLAN，容纳在由VPN隧道形成的VPN中。利用该设置，仅通过改变数据中心服务器中的VLAN设置和开关以及VPN与WLAN的关联设置，可将服务器动态地分配给VPN，而不需要改变VPN隧道的设置。

发明内容
本发明要解决的问题当服务器通过直接终止VPN隧道而容纳在VPN中时，通过使用VPN隧道认证机制，可以检测并避免误认为是服务器。然而，当如传统主机系统一样，VLAN存在于服务器和VPN隧道之间时，VPN隧道认证机制不能够用于服务器。因此，如果错误服务器可以与VLAN相连，则甚至是错误服务器也能够与同VLAN相关联的VPN中的节点进行通信。因此，传统的主机系统的问题在于，甚至是错误服务器也可容纳在VPN中。
此外，由于通过AES(高级加密标准)等对数据进行了加密，所以可避免在VPN隧道上通信的数据被窃听，并且由于使用SHA-1等而形成了数字签名，所以还可避免数据被篡改。然而，当如传统主机系统一样，VLAN存在于服务器和VPN隧道之间时，数据以没有任何加密或数字签名的明文形式在VLAN上通信，因此数据对窃听和篡改没有抵抗性。如上所述，传统主机系统的问题在于，在服务器所执行的通信中，会发生窃听和篡改。
本发明用于解决上述问题，并且本发明的目的是在服务器经过LAN与VPN相连的主机系统中，仅允许经认证的服务器与VPN中的另一节点进行通信。
本发明的另一目的是在服务器经过LAN与VPN相连的主机系统中，避免对服务器所执行的通信进行窃听和篡改。
解决问题的手段为了实现上述目的，本发明的VPN网关设备的特征在于，所述VPN网关设备包括WAN接口，用于经由在WAN侧建立的VPN隧道来与客户端节点交换分组；LAN接口，用于与同LAN侧相连的服务器节点交换分组；会话中继单元，用于暂时终止客户端节点要针对服务器节点建立的第一通信会话，并针对服务器节点建立用于中继第一通信会话的第二通信会话；以及SSL处理器，用于使会话中继单元所建立的第二通信会话构成为SSL。
此外，本发明的VPN网关设备的特征在于，所述VPN网关设备包括WAN接口，用于经由在WAN侧建立的第一VPN隧道来与客户端节点交换分组；LAN接口，用于与同LAN侧相连的服务器节点来交换分组；以及分组中继单元，用于经由在LAN接口和服务器节点之间建立的第二VPN隧道，将从客户端节点寻址到服务器节点并由WAN接口接收的分组中继并传送到服务器节点。
本发明的效果在本发明中，经由VPN网关设备的WAN侧上的VPN隧道而通信的会话以SSL的形式，在从VPN网关设备到LAN侧上的服务器节点之间的间隔中进行中继。
此外，在本发明中，经由VPN网关设备的WAN侧上的VPN隧道而通信的分组经由VPN隧道，在从VPN网关设备到LAN侧上的服务器节点之间的间隔中进行中继。
上述设置使得可以向VPN动态地分配数据中心中的服务器，避免了将错误服务器分配给VPN，仅允许经认证的服务器与VPN中的另一节点进行通信，并且避免了服务器所执行的通信被窃听和篡改。


图1是示出了本发明第一实施例的设置的方框图；图2是示出了图1所示的会话中继单元的主要部分的方框图；图3是示出了本发明第一实施例的操作的流程图；图4是示出了本发明第二实施例的设置的方框图；图5是示出了图4所示的分组中继单元的主要部分的方框图；图6是示出了本发明第二实施例的操作的流程图；以及图7是示出了本发明第三实施例的设置的方框图。
具体实施例方式
下面结合附图来详细解释本发明的实施例。
(第一实施例)参考图1，本发明第一实施例包括数据中心1A、主干网B1、终端C1和D1、以及VPN点C2和D2。
安装在数据中心A1中的VPN网关A11经由IPsec隧道B11至B14，通过主干网B1与终端C1、VPN点C2、终端D1以及VPN点D2相连。在与VPN点C2和D2的连接中，分别安装在VPN点C2和D2中的VPN网关C21和D21终止IPsec隧道。主干网B1的示例是互联网和数据通信网，例如IP-VPN和广域以太网(注册商标)。尽管在将IPsec用于VPN隧道的情况下来解释本实施例，但是本发明同样适用于使用L2TP(第二层隧道协议)等的情况。
数据中心A1包括上述的VPN网关A11、VLAN A121至A123以及服务器A131至A136。在LAN侧，VPN网关A11提供三个VLAN，即VLAN A121至A123；服务器A131和A132与VLAN A121相连，服务器A133和A134与VLAN A122相连，服务器A135和A136与VLAN A123相连。服务器A131至A136是向VPN中的客户端提供诸如HTTP(超文本传输协议)和SIP(会话初始协议)之类的服务的信息处理器。
VPN网关A11包括WAN(广域网)接口(WAN I/F)A111、LAN接口(LAN I/F)A112、IPsec处理器(VPN处理器)A113、会话中继单元A114、会话中继表存储单元A115以及SSL处理器A116。
WAN接口A111是与主干网B1侧(WAN侧)交换分组的通信接口。
LAN接口A112是与数据中心A1中的节点(在本实施例中是服务器A131至A136)交换分组的通信接口。
IPsec处理器A113终止在主干网B1上建立的IPsec隧道B11至B14。IPsec隧道B11至B14与VPN相对应。在本实施例中，IPsec隧道B11和B12用在VPN-A中，而IPsec隧道B13和B14用在VPN-B中。IPsec处理器A113具有经由会话中继单元A114来与LAN侧进行通信的功能，并且还具有对要与WAN侧交换的分组进行加密和解密的功能。
在传输层，会话中继单元A114对VPN网关A11所发送和接收的分组进行中继。中继方法通过参照存储在会话中继表存储单元A115中的会话中继表来确定。例如，当从IP地址为10.1.0.1的终端C1接收到目的地为地址10.0.0.1的服务器A131的HTTP会话时，会话中继单元A114暂时终止与该会话相对应的TCP连接(第一通信会话)，并建立将连接中继到作为实际目的地的服务器A131的TCP连接(第二通信会话)。在这种情况下，执行透明中继，使得分别作为HTTP会话的源和目的地的终端C1和服务器A131并不关心TCP连接的中继。即，在对建立在终端C1和服务器A131之间的会话进行中继时，在终端C1VPN网关A11之间的间隔和VPN网关A11服务器A131之间的间隔中通信的分组的源和目的地IP地址保持相同。
会话中继单元A114还具有使要中继的TCP连接构成为在连接的LAN侧上的SSL(安全套接层)的功能。例如，当在终端C1和服务器A131之间建立HTTP会话时，在数据转换为HTTPS(SSL上的HTTP)的同时在VPN网关A11和服务器A131之间交换数据。由SSL处理器A116执行构成为SSL的过程。
存储在会话中继表存储单元A115中的会话中继表是登记了会话中继单元A114中的TCP连接中继方法的表。下表1示出了该表的一个示例。


在表1所示的该会话中继表中，登记了两个VPN(即VPN-A和VPN-B)中的会话中继方法的条目。
经由VPN-A中的VPN网关A11的WAN侧的隧道B11和B12来执行通信，并经由VPN-B中的隧道B13和B14来执行通信。此外，在VPN网关A11的LAN侧，VLAN1和VLAN2对应于VPN-A，而且VLAN3对应于VPN-B。根据目的地IP地址来确定与每个会话相对应的VLAN。将具有目的地IP地址10.0.0/24和10.0.1/24的会话传送到VLAN1和VLAN2。将具有目的地地址192.168.0/24的会话传送到VLAN3。
对于VLAN1，允许中继与由“任意”表示的所有目的地端口号(目的地信息)相对应的会话；仅将目的地端口号(目的地信息)是80和5060的会话作为SSL会话进行中继，而直接中继与其它端口号相对应的会话。在SSL间隔中，仅允许连接其证书发出者的CN(通称)是“vpn-a的管理员”的服务器。
对于VLAN2，允许中继目的地端口为80和23的会话；以SSL的形式来中继目的地端口为80的会话；直接中继目的地端口为23的会话。在SSL间隔中，仅允许连接其证书发出者的CN(通称)是缺省路由验证组织(例如Verisign或Microsoft)的服务器。
对于VLAN3，允许中继与所有目的地端口号相对应的会话；仅以SSL的形式来中继目的地端口为80和5060的会话，而直接中继与其它端口号相对应的会话。在SSL间隔中，仅允许连接其证书发出者的CN(通称)是“vpn-b的管理员”的服务器。
SSL处理器A116具有在VPN网关A11的LAN侧上的间隔中使会话中继单元A114所中继的会话构成为SSL的功能。SSL处理器S116还具有检查与SSL会话相连的服务器是否是已授权服务器的功能。通过检查由SSL握手协议中的服务器所给出的服务器证书是否是由与在会话中继表中登记的CN相对应的发出者所发出的，来进行该检查。
下面参考图2来更详细地解释会话中继单元A114。如图2所示，会话中继单元A114具有确定单元A1141、认证单元A1142和会话处理器A1143。
确定单元A1141参照存储在会话中继表存储单元A115中的会话中继表，并根据会话的目的地端口号，确定是否允许对会话中继单元A114所接收的会话进行中继。如果允许中继该会话，则确定单元A1141参照会话中继表，并根据所关心的会话的目的地端口号，确定是否使用于中继所关心会话的会话构成为SSL。更具体地，确定单元A1141执行稍后将描述的图3的步骤S102至S104中的过程。
如果确定单元A1141确定使会话构成为SSL，则认证单元A1142执行与会话中继单元A114所接收的会话的目的地服务器的SSL握手，并根据从该SSL握手中的目的地服务器发送的服务器证书的发出者，来对目的地服务器进行认证。更具体地，认证单元A1142执行稍后将描述的图3的步骤S106和步骤S108中的过程。
如果确定单元A1141确定不允许中继该会话，则会话处理器A1143通过对会话执行TCP复位来断开该会话。如果确定单元A1141确定允许中继该会话，则会话处理器A1143建立用于中继所关心会话的会话。此外，如果确定单元A1141确定不构成为SSL，则会话处理器A1143不将用于中继所关心会话的会话构成为SSL；如果确定单元A1141确定构成为SSL，则会话处理器A1143使SSL处理器A116将用于中继所关心会话的会话构成为SSL。此外，如果目的地服务器的认证不成功，则会话处理器A1143通过对会话执行TCP复位，来断开所关心的会话和用于中继该会话的会话。更具体地，会话处理器A1143执行稍后将描述的图3的步骤S105、S107和S109中的过程。
下面参考图3来详细解释在本实施例中VPN网关A11在WAN侧和LAN侧之间中继会话的操作。
首先，VPN网关A11从WAN接口A111侧接收分组。将分组传送到IPsec处理器A113并解密，并将解密的分组传送到会话中继单元A114来读出源和目的地IP地址以及源和目的地端口号(图3的步骤S101)。
如果分组并不对应于当前在用的会话，则会话中继单元A114将分组识别为新的会话，并通过参照存储在会话中继表存储单元A115中的会话中继表，来确定处理该会话的方法(步骤S102)。更具体地，根据与分组相对应的VPN的ID、目的地IP地址和目的地端口号，会话中继单元A114确定要将会话传送到的VLAN的ID，并确定是否中继该会话。以VPN网关A11经由隧道B11从IP地址为10.1.0.1的终端C1接收到与发送到IP地址为10.0.0.1的服务器A131的HTTP消息(端口80)相对应的分组，并且将表1所示的会话中继表用作会话中继方法的情况为例来进行解释。
会话中继单元A114在会话中继表中参照与VPN-A有关的条目，作为与该分组相对应的VPN的ID，并根据该分组的目的地IP地址，确定传送目的地是VLAN1。此外，会话中继单元A114通过参照会话中继表，确认允许将会话中继到VLAN1的目的地端口号，并确定是否允许中继该会话(步骤S103)。对于HTTP消息，目的地端口号是80，包括在允许中继会话的目的地端口号80、5060和“任意”的范围内，所以会话中继单元A114确定允许中继该会话(如果是“任意”，则无条件地允许中继)。
如果会话中继单元A114在步骤S103中确定允许中继会话，则会话中继单元A114参照会话中继表，并确定是否通过使会话构成为SSL来中继会话(步骤S104)。对于HTTP消息，目的地端口号是80，包括在SSL中继的目的地端口中，因此会话中继单元A114确定以SSL的形式来中继该会话。
如果会话中继单元A114确定不允许中继该会话，则会话中继单元A114将复位与该会话相对应的TCP连接的分组发送到该会话的发送源(TCP复位)，从而断开该会话(步骤S105)。
如果会话中继单元A114在步骤S104中确定以SSL的形式来中继会话，则会话中继单元A114经由SSL处理器A116，执行与会话的目的地的SSL握手(步骤S106)。
如果会话中继单元A114在步骤S194中确定不以SSL的形式来中继会话，则会话中继单元A114并不使会话构成为SSL，而直接将该会话中继到目的地服务器(步骤S107)。在这种情况下，会话中继单元A114可通过暂时终止与会话相对应的TCP连接，来中继该会话，或者可通过直接建立端到端的TCP连接而不终止该连接，来简单地传送分组。
在步骤S106中执行的SSL握手中，通过服务器证书消息将服务器的证书发送到VPN网关A11。会话中继单元A114经由SSL处理器A116，接收从服务器发送的证书，将证书的发出者CN与在会话中继表中登记的条目相比较，并检查是否许可该证书，从而对服务器进行认证(步骤S108)。
如果会话中继单元A114在步骤S108中确定许可服务器证书，即服务器的认证是成功的，则会话中继单元A114通过使会话构成为LAN侧的SSL来中继会话(步骤S109)。在此之后，通过VPN网关A11的WAN侧上的IPsec隧道来加密数据，并通过LAN侧上的SSL来加密数据，以在该会话中执行通信。
如果会话中继单元A114在步骤S108中确定不许可服务器证书，即服务器的认证不成功，则会话中继单元A114向会话的发送源和服务器发送复位相应TCP连接的分组(TCP复位)，从而断开该会话(步骤S105)。即，会话中继单元A114断开终端C1要针对服务器建立的会话以及用于中继该会话的会话。
以上解释了用于在本实施例的VPN网关A11的WAN侧和LAN侧之间中继会话的操作。
通过假设容纳服务器A131至A136的数据中心A1存在于单点处，而解释了本实施例。然而，还可以甚至以分布式数据中心的形式来执行该实施例，其中，多个数据中心通过专用线路或广域以太网(注册商标)连接，以仿真地理上分散的服务器虚拟地安装在一个数据中心的系统。
下面解释本实施例的效果。
在本实施例中，以SSL形式在从VPN网关A11到LAN侧的服务器的间隔中中继会话，该会话经由建立以用于形成VPN网关A11的WAN侧的VPN的IPsec或L2TP的VPN隧道进行通信。由于SSL用在传统系统不能够通过VPN隧道执行认证和加密的间隔中，所以不可能误认为是服务器或窃听和篡改通信。这可以解决传统的问题，即避免误认为是服务器、以及服务器所执行的通信被窃听或篡改。
此外，本实施例并不强迫例如终端C1的任何客户端要关心在客户端和服务器之间建立的会话中的SSL的使用。即，由于客户端通过使用不是SSL的例如HTTP或SIP(会话初始协议)的普通协议来与服务器进行通信，所以可在并不特意使应用程序与SSL相对应的情况下执行应用程序。服务器侧必须支持SSL，以便在与客户端的会话中使用SSL。然而，由于服务器可使用通用SSL lapper，例如作为免费软件提供的stunnel(http//stunnel.org)，所以即使在服务器上执行的应用程序并不直接支持SSL，服务器也可执行SSL通信。因此，可通过使用通用服务器和客户端来执行SSL通信。
(第二实施例)下面参考附图来详细解释本发明的第二实施例。
参考图4，本发明第二实施例与本发明第一实施例的主要不同之处在于，使用具有在VPN网关A21和服务器A131之间建立IPsec隧道的功能的VPN网关A21来代替VPN网关A11。
数据中心A2包括VPN网关S21、LAN A22和服务器A131至A136。LAN A22容纳服务器A131至A136。
VPN网关A21包括WAN接口(WAN I/F)A211、LAN接口(LANI/F)A212、IPsec处理器(VPN处理器)A213、分组中继单元A214和分组中继表存储单元A215。
WAN接口A211和LAN接口A212具有与第一实施例的VPN网关A11的WAN接口A111和LAN接口A112相同的功能。
除了第一实施例的VPN网关A11的IPsec处理器A113的功能之外，IPsec处理器A213还具有通过使用IPsec来加密和解密经由LAN接口A212发送和接收的分组的功能。
图4示出了在VPN网关A21和服务器A132、A134、A136之间建立了IPsec隧道A221至A224的示例。IPsec隧道A222和A223是针对相同的服务器A134建立的，但是与不同的VPN相关联。当在这种情况下存在多个VPN时，针对相同的服务器来建立与这些VPN相关联的多个IPsec隧道，以便在多个VPN中容纳该服务器。
此外，这些IPsec隧道不需要处于实际建立了IPsec SA(安全联盟)的状态下；也可在检测到要使用这些IPsec隧道来发送和接收分组时建立IPsec隧道。在这种情况下，在WAN侧接收到分组时，IPsec处理器A213在LAN侧建立IPsec隧道。如果在预定时间内没有分组流动，则不建立SA。
分组中继单元A214具有在VPN网关A21的WAN侧上建立的IPsec隧道B11至B14与在LAN侧上建立的隧道A221至A224之间中继和传送分组的功能。分组中继单元A214通过参照存储在分组中继表存储单元A215中的分组中继表来确定中继/传送方法。
分组中继表是分组中继单元A214在确定分组中继期间的中继方法时参照的表。下表2示出了该表的一个示例。


在表2所示的该分组中继表中，登记了两个VPN(即VPN-A和VPN-B)中的分组中继方法的条目。与VPN网关A21的WAN侧上的这些VPN相对应的隧道与表1所示的会话中继表中的相同。在VPN网关A21的LAN侧，IPsec隧道A221和A223与VPN-A相对应，而IPsec隧道A222和A224与VPN-B相对应。
在该表中，根据分组的目的地IP地址和目的地端口号来中继和传送从与WAN侧上的VPN-A相对应的IPsec隧道接收到的分组；如果目的地IP地址是10.0.0.2而且目的地端口号为80或5060，则将分组中继且传送到经由IP隧道A221连接的服务器(服务器A132)。如果目的地IP地址是10.0.1.2(目的地端口号可以具有任意数字(“任意”))，则将分组中继且传送到经由IPsec隧道A223连接的服务器(服务器A134)。仅允许每个IPsec隧道与其证书发出者的CN为“vpn-a的管理员”的服务器相连。尽管下面将解释根据证书来认证服务器的操作，也可使用预设口令(预共享的密钥)等来对服务器进行认证。
中继从与WAN侧上的VPN-B相对应的IPsec隧道接收到的分组的方法与中继从与VPN-A相对应的IPsec隧道接收到的分组的方法相同。
在本实施例中，服务器A134与两个VPN(即VPN-A和VPN-B)相对应。因此，服务器A134可通过选择性地使用与这两个VPN相对应的IPsec隧道，以作为从这两个VPN可用的服务器来提供服务。
下面参考图5来详细解释分组中继单元A214。如图5所示，分组中继单元A214具有确定单元A2141、认证单元A2142以及会话处理器A2143。
确定单元A2141参照存储在分组中继表存储单元A215中的分组中继表，并根据分组的目的地IP地址和目的地端口号(目的地信息)，确定是否允许中继由WAN接口A211所接收的分组。更具体地，确定单元A2141执行稍后将描述的图6的步骤S202和S203中的过程。
在用于在LAN侧建立IPsec的协议过程中，认证单元A2142根据从目的地服务器发送来的服务器证书的发出者，来对目的地服务器进行认证。更具体地，认证单元A2142执行稍后将描述的图6的步骤S207中的过程。
如果确定单元A2141确定不允许中继分组，并且目的地服务器的认证不成功，则会话处理器A2143丢弃WAN接口A211所接收的分组；在其它情况下，会话处理器A2143中继并传送该分组。更具体地，会话处理器S2143执行稍后将描述的图6的步骤S205和S208中的过程。
下面参考图6来详细解释在本实施例中VPN网关A21在WAN侧和LAN侧之间中继分组的操作。
首先，VPN网关A21从WAN接口A211侧接收分组。将该分组传送到IPsec处理器A213并解密，并将解密的分组传送到分组中继单元A214，以读出源和目的地IP地址以及源和目的地端口号(图6中的步骤S201)。
根据读出的源和目的地IP地址以及源和目的地端口号，分组中继单元A214通过参照存储在分组中继表存储单元A215中的分组中继表，来确定处理该分组的方法(步骤S202)。更具体地，根据与该分组相对应的VPN的ID、目的地IP地址和目的地端口号，分组中继单元A214确定分组要传送到的LAN侧上的IPsec隧道，并确定是否中继该分组。以VPN网关A21经由隧道B11从IP地址为10.1.0.1的终端C1接收到与发送到IP地址为10.0.0.2的服务器A132的SIP消息(端口5060)相对应的分组，并且将表2所示的分组中继表用作分组中继方法的情况为例来进行解释。
分组中继单元A214在分组中继表中参照与VPN-A有关的条目，VPN-A作为该分组相对应的VPN的ID，并根据该分组的目的地IP地址和目的地端口号，确定是否允许中继该分组(步骤S203)。对于SIP消息，目的地地址是10.0.0.2，目的地端口号是5060，所以分组中继单元A214确定允许中继该分组。
如果分组中继单元A214在步骤S203中确定允许中继并传送该分组，则分组中继单元A214确定是否已经建立了分组要传送到的LAN侧的IPsec隧道(步骤S204)。
如果在步骤S203中确定不允许分组的中继和传送，则VPN网关S12丢弃该分组(步骤205)。
如果在步骤S204中确定尚未建立分组要传送到的LAN侧IPsec隧道，则IPsec处理器A213执行IKE(因特网密钥交换)协商来建立到作为分组的传送目的地的服务器的IPsec隧道(步骤S206)。
在步骤S206中的IKE协商中，服务器和VPN网关A21互相认证；VPN网关A21将服务器所给出的证书发出者CN与在分组中继表中的登记条目相比较，并检查是否许可该证书(步骤S207)。
如果在步骤S207中确定许可由服务器给出的证书，则分组中继单元A214将分组中继并传送到在LAN侧上建立的IPsec隧道(步骤S208)。
如果在步骤S207中确定不许可由服务器给出的证书，则分组中继单元A214丢弃该分组(步骤S205)。
此外，如果在步骤S204中确定已经建立了分组要传送到的LAN侧IPsec隧道，则分组中继单元A214通过跳过步骤S206和S207中的过程，将分组中继并传送到IPsec(步骤S208)。
在此之后，通过使用VPN网关A21的WAN侧和LAN侧上的IPsec隧道，通过加密数据来执行该会话中的通信。
上面解释了在VPN网关A21的WAN侧和LAN侧之间中继分组的操作。
尽管在本实施例中使用IPsec隧道来在VPN网关A21和服务器A131至A136之间传送分组，但是还可以使用具有加密和认证机制的另一隧道协议，例如L2TP(与IPsec一起使用)或PPTP。
此外，如在第一实施例中所解释的，即使在数据中心A2不存在于单个基地而具有分布式数据中心的形式的情况下，也可以执行本实施例。
下面解释本实施例的效果。
在本实施例中，经由例如另一IPsec的用于在从VPN网关A21到LAN侧上的服务器的间隔中中继和传送分组的第二VPN隧道，对经由建立以形成VPN网关A21的WAN侧上的VPN的例如IPsec或L2TP的第一VPN隧道而通信的分组进行中继。由于VPN隧道同样用在LAN侧上，所以可以避免误认为是服务器和窃听或篡改通信。
(第三实施例)本发明的VPN网关设备的功能实质可由硬件来实现，也可由计算机和程序来实现。下面参考图7来解释由计算机A31和程序A318来实现VPN网关设备的实施例。
计算机A31具有如下设置总线A316使WAN接口A311、LAN接口A312、介质接口(介质I/F)A313、运算处理器A314和存储单元A315相互连接。程序A318记录在例如磁盘或半导体存储器的计算机可读记录介质A317中。当记录介质A317与介质接口A313相连时，程序A318存储在存储单元A315中。运算处理器A314读出存储在存储单元A315中的程序A318，并根据程序A318来操作，从而实现上述第一实施例中的WAN接口A111、LAN接口A112、IPsec处理器A113、会话中继单元A114、会话中继表存储单元A115和SSL处理器A116，以及上述第二实施例中的WAN接口A211、LAN接口A212、IPsec处理器A213、分组中继单元A214以及分组中继表存储单元A215。
尽管上面解释了本发明的实施例，但是本发明不局限于上述实施例，而可进行多种添加和改变。
权利要求
1.一种VPN网关设备，其特征在于，所述VPN网关设备包括WAN接口，用于经由在WAN侧建立的VPN隧道来与客户端节点交换分组；LAN接口，用于与同LAN侧相连的服务器节点交换分组；会话中继单元，暂时终止从所述客户端节点要针对所述服务器节点建立的第一通信会话，并针对所述服务器节点建立用于中继所述第一通信会话的第二通信会话；以及SSL处理器，用于使所述会话中继单元所建立的第二通信会话构成为SSL。
2.根据权利要求1所述的VPN网关设备，其特征在于，所述VPN网关设备还包括存储单元，用于针对每个目的地信息，存储表示是否允许会话中继的信息，其中，所述会话中继单元包括确定单元，用于参照存储在所述存储单元中的信息，并根据第一通信会话的目的地信息，确定是否允许中继；以及会话处理器，用于在不允许中继所述第一通信会话时，通过针对第一通信会话执行TCP复位，来断开所述第一通信会话，并在允许中继所述第一通信会话时建立所述第二通信会话。
3.根据权利要求1所述的VPN网关设备，其特征在于，所述VPN网关设备还包括存储单元，用于针对每个目的地信息，存储表示在中继会话时是否使会话构成为SSL的信息，其中，所述会话中继单元包括确定单元，用于参照存储在所述存储单元中的信息，并根据第一通信会话的目的地信息，确定是否使第二通信会话构成为SSL；以及会话处理器，用于在所述确定单元确定不使所述第二通信会话构成为SSL时，不使所述第二会话构成为SSL；以及在所述确定单元确定使所述第二通信会话构成为SSL时，使所述第二通信会话构成为SSL。
4.根据权利要求1所述的VPN网关设备，其特征在于，所述会话中继单元包括认证单元，用于在建立所述第二通信会话的SSL握手中，根据从所述服务器节点发送的服务器证书的发出者，来对所述服务器节点进行认证；以及会话处理器，用于在对所述服务器节点的认证不成功时，通过针对所述第一通信会话和所述第二通信会话执行TCP复位，来断开所述第一通信会话和所述第二通信会话。
5.一种VPN网关设备，其特征在于，所述VPN网关设备包括WAN接口，用于经由在WAN侧建立的第一VPN隧道来与客户端节点交换分组；LAN接口，用于与同LAN侧相连的服务器节点来交换分组；以及分组中继单元，用于经由在所述LAN接口和所述服务器节点之间建立的第二VPN隧道，将从所述客户端节点寻址到所述服务器节点并由所述WAN接口接收的分组中继并传送到所述服务器节点。
6.根据权利要求5所述的VPN网关设备，其特征在于，所述VPN网关设备还包括VPN处理器，用于在从所述第一VPN隧道接收到分组时建立所述第二VPN隧道。
7.根据权利要求5所述的VPN网关设备，其特征在于，所述VPN网关设备还包括存储单元，用于针对每个目的地信息，存储表示是否允许分组中继的信息，其中，所述分组中继单元包括确定单元，用于参照存储在所述存储单元中的信息，并根据由所述WAN接口接收到的分组的目的地信息，确定是否允许中继；以及会话处理器，用于在不允许中继时，丢弃所述WAN接口所接收的分组，并在允许中继时，中继并传送所述分组。
8.根据权利要求5所述的VPN网关设备，其特征在于，所述分组中继单元包括认证单元，用于在建立所述第二VPN隧道的协议过程中，根据从所述服务器节点发送的服务器证书的发出者，来对所述服务器节点进行认证。
9.根据权利要求5所述的VPN网关设备，其特征在于，所述第二VPN隧道与由所述第一VPN隧道形成的VPN相关联，以及如果存在多个VPN，则针对相同的服务器节点，建立与VPN相关联的多个第二VPN隧道，从而在所述多个VPN中容纳所述服务器节点。
10.一种主机系统，其特征在于，所述主机系统包括VPN网关设备，用于终止在WAN侧建立的VPN隧道；以及服务器节点，与所述VPN网关设备的LAN侧相连，其中，所述VPN网关设备包括WAN接口，用于经由所述VPN隧道来与客户端节点交换分组；LAN接口，用于与所述服务器节点交换分组；会话中继单元，用于暂时终止从所述客户端节点要针对所述服务器节点建立的第一通信会话，以及针对所述服务器节点，建立用于中继所述第一通信会话的第二通信会话；以及SSL处理器，用于使所述会话中继单元所建立的第二通信会话构成为SSL。
11.根据权利要求10所述的主机系统，其特征在于，所述会话中继单元包括认证单元，用于在建立所述第二通信会话的SSL握手中，根据从所述服务器节点发送的服务器证书的发出者，来对所述服务器节点进行认证；以及会话处理器，用于在对所述服务器节点的认证不成功时，通过针对所述第一通信会话和所述第二通信会话执行TCP复位，来断开所述第一通信会话和所述第二通信会话。
12.一种主机系统，其特征在于，所述主机系统包括VPN网关设备，用于终止在WAN侧建立的第一VPN隧道；以及服务器节点，与所述VPN网关设备的LAN侧相连，其中，所述VPN网关设备包括WAN接口，用于经由所述第一VPN隧道来与客户端节点交换分组；LAN接口，用于与所述服务器节点交换分组；以及分组中继单元，用于经由在所述LAN接口和所述服务器节点之间建立的第二VPN隧道，将从所述客户端节点寻址到所述服务器节点并由所述WAN接口接收的分组中继并传送到所述服务器节点。
13.根据权利要求12所述的主机系统，其特征在于，所述主机系统还包括VPN处理器，用于在从所述第一VPN隧道接收到分组时建立所述第二VPN隧道。
14.根据权利要求12所述的主机系统，其特征在于，所述分组中继单元包括认证单元，用于在建立所述第二VPN隧道的协议过程中，根据从所述服务器节点发送的服务器证书的发出者，来对所述服务器节点进行认证。
15.根据权利要求12所述的主机系统，其特征在于，所述第二VPN隧道与由所述第一VPN隧道形成的VPN相关联，如果存在多个VPN，则针对相同的服务器节点，建立与VPN相关联的多个第二VPN隧道，从而在所述多个VPN中容纳所述服务器节点。
16.一种程序，用于使计算机实现WAN接口，用于经由在WAN侧建立的VPN隧道来与客户端节点交换分组；LAN接口，用于与同LAN侧相连的服务器节点交换分组；VPN处理装置，用于终止VPN隧道；存储装置，用于存储会话中继表，所述会话中继表针对每个VPN，保持VPN隧道与在LAN侧上建立的VLAN的对应关系，并针对每个VLAN保持分组的目的地IP地址和目的地端口信息、构成SSL的必要性、以及构成SSL所需的证书发出者信息；以及会话中继装置，用于暂时终止从所述客户端节点要针对所述服务器节点建立的第一通信会话，并针对所述服务器节点，通过参照存储在所述存储装置中的会话中继表，建立用于中继所述第一通信会话的第二通信会话，作为SSL会话。
17.一种程序，用于使计算机实现WAN接口，用于经由在WAN侧上建立的第一VPN隧道来与客户端节点交换分组；LAN接口，用于经由在LAN侧上建立的第二VPN隧道来与服务器节点交换分组；VPN处理装置，用于终止所述第一VPN隧道和所述第二VPN隧道；存储装置，用于存储分组中继表，所述分组中继表针对每个VPN，保持所述第一VPN隧道与所述第二VPN隧道的对应关系，并针对每个第二VPN隧道，保持分组的目的地IP地址和目的地端口信息以及证书发出者信息；以及分组中继单元，用于通过参照存储在所述存储装置中的分组中继表，经由所述第二VPN隧道，将从所述客户端节点寻址到所述服务器节点并由所述WAN接口接收的分组中继并传送到所述服务器节点。
全文摘要
一种VPN网关(A11)，包括WAN接口(A111)，用于经由在WAN侧上建立的IPsec隧道(B11－B14)，与客户端节点(C1、C2、D1、D2)交换分组；LAN接口(A112)，用于与同LAN侧连接的服务器节点(A131－A136)交换分组；会话中继单元(A114)，用于暂时终止客户端节点要针对服务器节点建立的第一通信会话，并建立用于将第一通信会话中继到服务器节点的第二通信会话；以及SSL处理器(A116)，用于使第二通信会话构成为SSL。这种设置可以将数据中心(A1)中的服务器动态地分配到VPN，仅允许经认证的服务器与VPN中的另一节点进行通信，并避免了服务器所执行的通信被窃听和篡改。
文档编号H04L12/56GK101040496SQ20058003458
公开日2007年9月19日 申请日期2005年10月13日 优先权日2004年10月19日
发明者藤田范人, 石川雄一 申请人:日本电气株式会社