专利名称:一种基于重叠网的安全传输网络体系架构的制作方法
技术领域:
本发明涉及互联网技术领域,构建了 一种基于重叠网的安全的传输网络体系架构。
背景技术:
本发明涉及的背景技术包括l.重叠网(Overlay Network)技术
Internet是由^艮多自治i或(Autonomous, AS)纟且成的。自治i或在传统意义上是指拥有相同的选路策略、处于一个管理机构控制下的路由器和网络的集合。在这样的架构里,具体的路由信息仅保存在AS和它所属的网络中。而每个AS —般由某个网络服务提供商(InternetService Provider, ISP)来控制。ISP和AS之间4吏用边界网关协议(Border Gateway Protocol, BGP-4)动态交换路由信息。但因路由信息被BGP-4严重过滤和高度汇聚,因此网络的高度扩展性是以端到端通信的可靠性降低为代价的。当今的Internet架构仅支持"尽力而为(Best Effort)"型的连接服务,从一个用户到另 一个用户的数据传输服务常常要穿越多个自治域。而在"尽力而为"的情况下,许多网络应用如端到端QoS、 IP组播等由于无法得到网络服务提供商的大力支持而难以部署和扩展。
为了解决这些问题,研究人员提出了重叠网(Overlay Network)的概念(也称覆盖网、叠加网),重叠网是一个位于一个或者多个已存在的网络之上独立的虚拟网络,即在底层网络的基础上通过节点之间单播机制将主机两两相连,形成一个虚拟、独立的网络,就好像在
原有的网络上叠加了一层新的网络。可以认为Internet就是一种重叠网,因为Internet是建立在各类局域网(如以太网)之上,给所有的包增加互联网协议头,用以连接各个局域网中的主机,所形成一层新的网纟备。
重叠网的优点是显而易见的。第一,重叠网的部署不必改变现有的网络层,它的属性是可以变化的,具有很强的灵活性。利用重叠网(Overlay Network)在现有网络上的虚拟性,可以实现下层网络难以实现的功能,如服务质量(QoS)、安全保证、更好的路由算法等。第二,重叠网易于部署和扩展,它不需要路由器的支持,同时具有独特的应用型架构。
通过这种方式建立起来的重叠网是一个封闭的网络,类似实际网络中的局域网(LAN),所有的节点都是这个网络中的一份子。在这个网络中可以实现很多应用,如作为一个试验床来模拟互联网,以供广大研究工作者进行各种互联网新应用的试验。因为这个网络对现有的互联网协议几乎没有做任何改动,因此可以较为真实地才莫拟实际网络,研究人员可以在其中试验新的互联网应用或者新的网络协议。类似目前已经在全球部署的试验网络PlanetLab。
这样的做法对发展的互联网的新技术有一定的帮助,但是在这样一个封闭的网络中,各节点无法与外界进行沟通,因此无法让普通用户享受到重叠网所带来的网络状况的极大改善。
2.虚拟专用网技术(VPN, Virtual Private Network)随着我国信息化建设的不断深入,各种网络应用得到了推广和普及,如何保护网络信息安全成为人们日益关注的核心问题。目前国内使用较广泛的网络信息安全产品和解决方案大多适用于跨企业网和广域网上,受保护的基本单位是企业网,实现的指导思想是从系统、网络到应用层面统一部署,利用防火墙、入侵检测和防病毒产品,解
决系统和网络层面的安全问题;集中安全服务平台进行身份认证、授权和数据的加密传输,解决应用层面的问题。
VPN (虚拟专用网)以其高安全保障、好的服务质量(QoS)、可管理性、可扩充性和灵活性等特点得到广泛的应用。VPN利用Internet或是其它互耳关网的基础设施为用户创建隧道,利用加密、认证等技术来保证VPN网络的安全性,从而能够提供与专用网络一样的安全和功能保障。
基于用户的VPN软件可以连接两个主机,或是连接主机到子网,或是多个子网采用单服务器多客户机的模式,即多个VPN客户端连接到同一VPN服务器端,是一个星形结构。这种模式利于对VPN网络进行集中管理,但是多个客户端之间如果需要相互通信,就必需通过VPN服务器来转发,这样必然降低VPN客户端之间的通信速度;同时VPN服务器也必然成为整个网络的性能瓶颈和单点故障。VPN服务器的性能和网络带宽必然制约多个VPN网络的通信速度,当VPN服务器出现故障或是需要升级无法工作的时候,整个VPN网络就完全瘫痪,无法工作。发明内容本发明的目的是在目前的互联网基础上建立易于控制,便于扩展的安全的传输网络体系架构,通过在互联网承载层上构建重叠网
(Overlay Network)来实现新业务的快速部署,同时应用VPN技术为普通用户提供重叠网的接入服务。该架构为终端用户之间或者终端用户与应用服务器之间构建了多条到达目的地的优化路径,使得普通用户可以以安全而高质量的方式通过重叠网访问目的应用服务器,享受重叠网带来的网络性能的极大改善。
本发明构建的网络体系架构包含了重叠网控制中心模块,用户控制中心模块,分布在各地的分节点模块以及终端用户和应用服务器。重叠网控制中心负责将分布在各地的节点组织起来,构建重叠网,并负责重叠网维护及状态监控。用户控制中心承担着终端用户接入授权,认证以及计费的工作,同时负责用户连接状态的监控和一些相关统计工作。各地的分节点在重叠网控制中心的组织下构成一个重叠网,用于部署各种不同的应用服务,同时作为终端用户接入重叠网的接入服务器。终端用户作为VPN Client,通过VPN的方式连接到重叠网节点,/人而接入重叠网中,然后重叠网优化过的路径访问目的应用服务器或者目的终端用户。
重叠网控制中心的操作采用Web页的方式,方便系统管理员在网络中的任意一点,通过互联网对控制中心进行管理操作。该架构可以将负载分散在各个节点,使系统的规模得到提高。架构中的重叠网的组织和维护都是由重叠网控制中心自动完成的,减轻了网络管理员的负担,而且能够根据网络状况的变化进行动态的调整。使用这种方法来部署重叠网,可以不用各地网管的参与,在几分钟之内就能完成,而不是像以前一样用好几天的时间才能构建一个重叠网。
和传统的Internet —样,重叠网络也容易受到各种恶意攻击,所以安全问题也是重叠网所需要关注的问题。在本发明构建的架构中,所有加入重叠网的节点都必须满足一定的安全要求。这其中包括所有加入的节点都必须具备控制中心颁发的X. 509数字证书,管理员所用的计算机也必须具备X. 509证书,该计算机与控制中心之间的通信信息都采用SSL加密,节点之间的数据传输都经过IPsec加密。在控制中心向各节点发送状态查询命令时,所有的UDP消息都经过S/MIME签名。每个节点上还保存这一个接入控制表(ACL, AccessControl Lists),用于过滤恶意连接。这样的多重安全措施,充分保证了本发明构建的业务网络体系架构的安全性。
重叠网中所有的节点都可以作为VPN Server, ^接受客户端的连接请求。由于重叠网的节点之间已经建立起安全隧道,因此重叠网也可以看作是一种完全分布式的VPN网络。这样的结构实现了节点之间负载平^f,提高了VPN网络吞吐率。同时在某个节点需要维护、升级或是出现故障无法工作的时候,其它节点之间可以正常通信,从而解决了基于用户传统VPN Server单点故障,提高了整个VPN网络的健壮性和可靠性。
本发明构建的架构的路径优化策略是通过主动发送探测包去获得用户关心的网络性能参数,使得系统能够找到重叠网中任意两点之间满足不同度量要求的最佳路径,同时能快速探测失效路径并且重新选择一条替代路径。这种动态的路径优化策略使得这个网络体系架构
可以支持各种自定义的网络应用,并根据应用去匹配相应的路由度量。例如,股票应用系统希望在众多的路径中找到一条具有最短延迟的路径。
本架构体系的节点可以位于Internet的任意位置,每个节点都探测它和其他节点之间的Internet路径的质量,通过检测结果建立包括丟包率、时延和吞吐量等参数在内的路径质量表。用户从重叠网的任意一点接入时,该节点会根据接入用户的不同应用,从先前建立好的路径质量表中选择合适的路径来进行数据的传输。在视频会议应用中,接入节点会选择低丢包率、低延时抖动和高吞吐量的路径,然后用户的数据流便可以根据选定的路径进行转发,由最后一个节点把数据递交给客户程序。
本发明的各方面内容结合下面的图解和详细说明将更加容易理解。
图1为本发明所提出的网络架构示意图。图2为构建重叠网的信令流程。图3为本发明的网络架构的应用步骤。图4为本发明所提出的网络架构的应用实例。详细说明
图1是本发明所提出的网络架构的示意图。该架构包括以下模块重叠网控制中心ll,用户控制中心12,分布在各地的节点13,终端用户14及应用服务器15。重叠网控制中心11负责管理重叠网的部署和配置,协调整个架构对资源的利用,它通过网络与分布在各地的节点相连,负责根据用户的要求选取不同的节点来构建用户指定的网络拓朴的重叠网。图中Internet基础网络16中的六个处于不同AS中的四个节点,被重叠网控制中心11选为重叠网节点13,这些节点在接收到控制中心的控制指令之后,按照用户指定的拓朴结构与其他节点创建单播隧道,从而建立指定结构的重叠网,图中以环形拓朴的一个虚拟重叠网为例。这些节点釆用了完全分布的组织方式,彼此之间通过单#"的数据隧道相连,形成一个分布的重叠网。它隐藏了底层基础网络16的实际物理结构,而且能够根据网络链^^1犬态动态调整。这些节点在重叠网中担任不通的角色,有的担任服务器,负责发起数据传输或者接受其他节点传送过来的数据,而有的节点则担任类似物理网络中的路由器的角色,负责数据的转发。在图中的环形拓朴中,所有的节点既担当服务器的角色,也担当了路由器的角色,因为该拓朴结构中的任意一点既可以发起数据传输,也可以接收其他节点传送的数据,同时还要转发从一个节点到另 一个节点的数据。
在构建重叠网之前,用户首先要确定要构建的重叠网的拓朴结构,好的拓朴结构应该能提供网络传输效率,并提供良好的健壮性和容错性。本发明的网络体系架构提供了多种拓朴结构可供选择,包括总线型结构,星型结构,环形结构和网状(Mesh)结构,用户还可以根据不同需要将这些拓朴结构进行组合,构建最适合当前应用的拓朴择的,对于一种服务适合的拓朴结构对另外的服务不一定是高效的。这是因为网络拓朴对重叠网的路由服务性能有重大的影响,在一种网络拓朴下表现最好的路由算法在另外一种拓朴结构下可能最差。
图中的用户控制中心12负责终端用户13的管理,其中包括对终端用户13的注册、认证、授权及业务计费等相关管理功能。同时,该控制中心还要记录接入的终端用户的相关信息,这些信息包括用户的用户名,用户实际的IP地址,用户所获得的重叠网的IP地址,用户所使用的网络协议,用户登陆的时间,用户退出的时间,用户在网期间的网络流量等。
图2展示了本发明的构建重叠网的工作流程。首先重叠网控制中心会根据用户的要求,确定网络的拓朴,并确定需要用于构建重叠网的节点。节点分布于互联网的各个角落,节点之间的性能存在着差异,包括服务器的运算能力以及所处位置的网络状况等,因此每个节点并不能适应所用应用的需求。确定节点的数量之后,
1) 控制中心向选定的节点发送状态查询命令,其中包括节点所需要承载的服务的信息,以确定该节点能否能够满足需要。
2 ) 节点接受到状态查询命令之后,检查服务器自身的状况,若能满足应用的需求,则向控制中心发回状态响应应答。如果服务器经过一个设定的时间限之后仍未收到节点的响应,则认为该节点无法满足需求或者不在工作状态。
3) 接收到节点反馈的状态信息之后,控制中心根据用户的要求,选择可用的节点,向选定的节点发出选择命令。
4) 节点接收到选择命令之后,调整自身状态,为构建满足
应用的重叠网做准备,准备就绪之后,向控制中心发回 选择就绪信息。
5) 控制中心接到节点的就绪信息之后,向节点发出构建重 叠网的控制命令。
6 ) 节点收到控制命令之后,根据命令中的网络拓朴等信息, 与其他节点之间构建单播隧道,从而完成满足用户应用
需求的重叠网的构建工作。
图3展示的是本发明的网络架构的应用步骤。终端用户14要访问 应用服务器15,如果采用运营商所提供的路由访问效果不理想时,用 户所在公司可以采用本发明所提供的网络架构对访问路径进行优化, 以取得最优的访问效果。ISP也可以通过采用本发明的网络架构预先 搭建一定规才莫的重叠网,然后为用户提供应用服务器访问优化服务。
本发明的网络架构的具体应用步骤为
1) 终端用户14就近选择接入的业务节点13,向业务节点提 出接入请求,同时提供终端用户的数字证书;
2 ) 业务节点13接收到终端用户14的接入申请后对用户数字
证书进行验i正,若验证不通过则拒绝用户4妄入请求,若 通过则进一步要求用户提供用户名密码等认证信息;
3 ) 终端用户14将认证信息提供至用户控制中心12;
4) 用户控制中心12对用户认证信息进行认证,若认证不通过,则拒绝用户请求,若认证通过,则从用户数据库中 提取出与申请接入的终端用户相对应的优化路径信息,
返回终端用户;
5 ) 用户接收到返回的优化路径信息之后,按照优化路径访 问应用服务器,获得理想的访问效果。
图4展示的是本发明的网络架构的 一个应用实例。当终端用户41 需要访问位于远端公司内部的应用服务器43时,如果以传统的VPN方 式接入,当VPN接入服务器出现故障无法正常工作时,用户将无法接 入该台应用服务器。而采用本发明所构建的重叠网架构42访问应用服 务器43时,重叠网的任意一个节点都可以作为VPN接入服务器,从而 保证了用户在任何时候都能接入所需要访问的应用服务器。而且比起 传统VPN所提供的到应用服务器的单条链路,用户在接入本发明的重 叠网架构42之后,有多条到达远端应用服务器43的选择。图中展示的 是一个由A, B, C, D四个节点构成的一个环形结构的重叠网,用户需 要访问的应用服务器43与C节点相连,用户从这四个节点中的任意一 点接入,都可以访问该应用服务器。这四个节点在工作期间会定时向 相邻的节点发送探测包,如A节点会定时向B节点和D节点发送探测包, 以检测两点之间的网络状况,包括两点之间的延迟、丢包率和吞吐量 等,这些检测结果会保存到重叠网控制中心11的路由状况数据库中。 当用户从A节点接入而需要从C节点接出访问应用服务器时,A节点会 从路由状况数据库中查询从A节点到C节点的网络状况,重叠网架构4 2 提供了两条路径选择,即A-〉D-〉C和A-〉B-〉C。当用户对访问延迟要求较高时,A节点会访问路由状况数据库,分别计算出这两条路径的延
迟,从而选择延迟较低的一条路径供用户使用。当两条路径中的一条
出现了网络拥塞或者出现网络中断,A节点会自动选#^殳有出现状况 的路径供用户使用。而当A节点出现故障,无法为用户提供接入服务 时,用户还可以乂人其余能够正常工作的B, C, D三个节点中任选一个 进行接入。通过这样的才几制,本发明构建的重叠网架构42可以有效地 保证终端用户41对应用服务器4 3访问的畅通以及访问的质量。
权利要求
1.一种基于重叠网的安全传输网络体系架构,通过在现有的IP网络上构建一个虚拟的重叠网架构,为用户提供优化的端到端传输服务。该架构中包含重叠网控制中心,用户控制中心,业务节点,终端用户和应用服务器。终端用户通过VPN的方式从业务节点接入重叠网中,然后通过重叠网访问应用服务器或与其他终端用户通信。
2. 根据权利要求1所述的网络架构,重叠网控制中心负责重叠网 的构建及管理,它通过与分布在各地的业务节点通信,向业务 节点发送控制命令,将这些业务节点组织成一个重叠网,同时 通过定期向各业务节点发送状态查询命令,获得各业务节点的 状态信息,从而实现对重叠网络性能的监控。
3. 根据权利要求1所述的网络架构,用户控制中心负责用户的注 册、认证、授权、及业务计费等工作,并记录用户的相关信息, 这些信息包括用户的用户名,用户实际的IP地址,用户所获得 的重叠网的IP地址,用户所使用的网络协"i义,用户登陆的时间, 用户退出的时间,用户在网期间的网络流量,用户所使用的应 用,用户的数据流向等。
4. 根据权利要求1所述的网络架构,业务节点是位于互联网中任 意位置的计算机、服务器或者路由器。
5. 根据权利要求4所述的网络架构,业务节点上安装并运行了用 于构建重叠网的软件,该软件通过特定端口接收从控制中心的 重叠网管理部分发过来的命令,并根据命令的要求执行相应的操作。
6. 根据权利要求4所述的网络架构,业务节点上还安装了 VPN Server ^i件,4吏业务节点具备了 VPN Server的功能,负责对用 户进行数字证书验证,同时作为终端用户与用户控制中心之间 沟通的桥梁。
7. 根据权利要求4所述的网络架构,业务节点会在用户通过认证 后,根据用户事先登记的信息,将到达用户需要访问的应用服 务器或者其他终端用户之间通信的最佳路径的相关信息发送给 终端用户,然后终端用户之间,终端用户与应用服务器之间的 数据传输将通过指定的路径进行。
8. 根据权利要求1所述的网络架构,终端用户是指以某种方式连 接到互联网的用户,包括利用计算机上网的用户和利用手持终 端上网的用户。
9. 根据权利要求1所述的网络架构,应用服务器是指用户需要访 问的服务器,包括Web服务器,游戏服务器,公司内部服务器 等。
10. 根据权利要求1所述的网络架构,该架构为用户提供服务的具 体步骤为步骤l,才艮据用户的要求,管理员通过重叠网控制中心构建如权 利要求1所述的安全传输网络体系架构;步骤2,终端用户以VPN Client的方式连"t妄到业务节点,并向 业务节点提交用户数字证书;步骤3,业务节点接收到终端用户的连接要求,验证用户的证书, 若用户证书验证失败,则拒绝用户的连接要求,若用户证书验证成功,则提示用户输入用户名和密码; 步骤4,业务节点接收到用户输入的认证信息后,将信息发送到 用户控制中心,用户控制中心验证用户的认证信息,认证失败 则向提交认证信息的业务节点发回认证失败信息;若认证成功, 则从数据库中提取出该用户所需的访问应用服务器或与其他终 端用户进行通信的优化路径信息,发送至提交认证信息的业务 节点,由业务节点传送至终端用户。通信,获取最优访问效果。
全文摘要
本发明提出了一种基于重叠网(Overlay Network)的安全的传输网络体系架构,它由控制中心和一组业务节点构成,这些节点分布在Internet上,并由业务链路连接起来,从而在现有的IP网络上形成一个虚拟的传输重叠网。终端用户在需要访问特定的应用服务器或者与其他终端用户通信时,首先以VPN的方式通过这些节点接入重叠网中,然后由重叠网为用户选择访问路径,在保证用户信息安全的前提下获取最佳的访问效果。它的最大特点在于改善了传统VPN的性能,使得每个重叠网节点都能作为VPN服务器为用户提供VPN接入服务,避免了由于单个VPN服务器的故障而导致整个VPN服务瘫痪的情况出现,同时能够动态地为终端用户优化访问特定应用服务器及与其他终端用户之间通信的路径,保证了用户的服务质量和网络的安全性。
文档编号H04L29/12GK101599883SQ20081004011
公开日2009年12月9日 申请日期2008年7月2日 优先权日2008年7月2日
发明者宋晓东, 袁佳宁, 海 黄 申请人:上海恩际恩网络科技有限公司;袁佳宁