网络接入系统的制作方法

专利名称：网络接入系统的制作方法
技术领域：
本发明涉及用于接入目标网络的网络接入系统，更具体地，涉及用于从外部接入自身部门网络的网络接入系统。
背景技术：
将参考图13和14来描述现有技术的网络系统的实例。
参考图13，该实例具有以下结构，包括如因特网等用于开放式接入的开放式网络1；在企业内的局域网(即，干线网络12、远程接入网络81和部门网络83和84)；以及地址处理单元13，用于对客户及其目标网络之间的分组信号执行地址处理。
地址处理单元13连接在干线网络12和开放式网络1之间。
远程接入网络81具有网关(GW)80，并且其通过GW 80与地址处理单元13相连。
部门网络83具有防火墙(FW)82，并且其通过FW 82与干线网络12相连。
开放式网络1具有DHCP服务器5，用于将其中的接入地址分配给客户。
现在将描述该实例的操作。采用其中开放式网络1中的客户2让开放式网络1接入作为目标网络的自身部门网络(即，部门网络83和84中的任一个)的操作情况作为实例。
将与远程接入网络81相对应的隧道中IP地址AD8X作为企业内局域网的接入地址，以及将来自DHCP服务器5的地址AD02作为开放式网络1的接入地址分配给开放式网络1中的客户2。
当客户2接入作为目标网络的自身部门网络(即，部门网络83和84中的任一个)时，该客户在其自身的终端中产生分组信号的封装，并将该封装传输到地址处理单元13。
更具体地，客户2通过添加封装报头而产生分组信号封装，在该报头中，将如图14中的(1)所示的其在开放式网络1中的地址AD02设置为隧道传输地址，并且还将地址处理单元13的地址AD13设置为隧道目的地地址，并且将分组信号以此封装的形式传输到地址处理单元13。
当地址处理单元13接收到具有隧道目的地地址AD13的分组信号时，其将隧道目的地地址AD13转换为GW 80的地址AD80，如图14的(2)所示，并且将这样得到的分组信号转发到GW 80。
GW 80通过从转发过来的分组信号中去除封装报头来恢复原始分组信号，并且将该分组信号提供给远程接入网络81。
虽然此时，能够利用分组信号寻址没有任何FW的部门网络84，为了能够接入具有FW 82的部门网络83，需要针对FW 82提供使具有源地址AD8X的分组信号通过的设置。
由相反的处理实现去往开放式网络1的分组信号的通信。
更具体地，GW 80通过添加分组报头，产生寻址到客户2的分组信号的封装，其中，如图14的(3)所示，将开放式网络1中的客户2的地址AD02设置为隧道目的地地址，而将自身地址AD80设置为隧道源地址。
地址处理单元13将设置在来自GW 80的分组信号中的隧道源地址从AD80转换为自身地址AD13，如图14中的(4)所示，并且将这样得到的分组信号传输到开放式网络1。
例如，作为用于实现这样的网络接入系统的技术，在以下文件1到3中公开了这些技术。
文件1日本待审公开2001-160828文件2日本待审公开2001-186136文件3日本待审公开2001-274834然而，图13所示的现有技术的网络接入系统具有以下问题。
第一问题在于当客户从外部接入由防火墙等保护的部门网络中的服务器时，必须在防火墙中形成洞，以便进行接入。然而，随着客户数量的增加，在防火墙中形成的洞的数量也会增加，造成了与每一个客户相对应的麻烦的设置和管理。
第二问题在于由于形成在防火墙中的洞应该总是开着，这减弱了安全性方面。
作为第三问题，虽然其中使安全性更为严格的IPsec(IP安全)可用作通过产生分组信号的封装来执行隧道通信的技术，但是，不能将利用IPsec技术的隧道扩展到任何部门网络。

发明内容
因此，本发明的主要目的是提出一种网络接入系统，其允许简化与每一个客户相对应的设置和管理，而与客户数量的增加无关。
本发明的第二目的是提出一种网络接入系统，其不必在客户和任何部门网络等中的服务器之间形成上述的洞，并且允许实现较高的安全性。
本发明的第三目的是提出一种网络接入系统，其允许将利用IPsec技术的隧道一直延伸到部门网络。
根据本发明的一个方面，提出了一种网络接入系统，包括多个子网络；认证服务器，当建立针对客户终端和作为客户目标的不同子网络之间的分组通信的通信会话时，所述认证服务器响应客户的认证请求，认证多个子网络之一中的客户；地址处理单元，用于在认证服务器进行认证之后，根据来自认证服务器的指令，执行对客户终端和作为客户目标的子网络之间的分组通信中的分组信号的地址处理。
来自客户的认证请求包括作为客户目标的子网络的数据。认证服务器具有针对每一个客户而设置、并示出了作为客户目标的一个或多个子网络的对应关系表，并且根据所述对应关系表指定作为客户目标的子网络；以及在地址处理单元中设置了地址转换表，所述地址转换表示出了用于指定与分组信号有关的通信会话的数据和与作为客户目标的子网络相对应的地址数据之间的对应关系。
客户终端通过将地址处理单元的地址设置为目的地地址，发出分组信号；以及地址处理单元根据在地址转换表中指定与分组信号有关的通信会话的数据，指定作为客户目标的子网络，并将分组信号的目的地地址转换为与所指定的子网络相对应的地址数据。
将源地址用作指定与分组信号有关的通信会话的数据。在分组信号上设置会话区分数据，作为指定通信会话的数据的至少一部分。接收到从作为客户目标的子网络寻址到客户的分组信号的地址处理单元将分组信号的源地址转换为其自身地址，并发出所得到的分组信号。所述子网络具有网关单元，并且将网关单元的地址用作与子网络相对应的地址。
网关单元和客户终端具有针对通过添加描述了地址的封装报头而被封装的分组信号进行隧道通信的功能；以及网关单元从寻址到所述网关单元的分组信号中删除封装报头，并将所得到的分组信号提供给其自身的子网络。网关单元彼此对应地记录在封装报头中寻址到其自身的分组信号的源地址和在其自身网络中分配给客户终端的地址，并且当检测到具有作为目的地地址的对应地址的分组信号时，通过在封装报头中设置源地址以使其与作为分组信号的目的地地址的对应地址相对应，同时通过将其自身地址设置为用于发出分组信号的分组信号的源地址，来对所述分组信号进行封装。
在上述网络接入系统中，多个子网络与多个认证服务器相连，并且每一个子网络具有代理认证服务器；客户终端通过接入代理认证服务器，执行客户认证请求；以及代理认证服务器根据来自客户的认证请求，指定作为客户目标的网络的认证服务器，向所指定的认证服务器询问是否能够认证，并且当认证服务器证实客户时，允许客户接入。
认证服务器向直接由其自身或通过代理认证服务器证实的客户的终端发布用于指定通信会话的会话区别数据；以及客户终端将从认证服务器发布的会话区别数据添加到分组信号上。
在客户认证时，认证服务器向相关客户的终端报告要接入的地址处理单元的地址；以及客户终端通过从认证服务器报告的地址处理单元，与作为客户目标的子网络进行分组通信。
子网络具有定位为客户的网关单元；以及所述网关单元与作为自身子网络中的客户目标的子网络进行已封装分组信号的隧道通信，当接收到来自自身子网络中的客户的通信会话建立的认证请求时，代替客户，向认证服务器执行客户认证请求，并且使用用于指定通信会话的会话区别数据，作为用于指定与分组信号相关的通信会话的数据的至少一部分。
服务器响应来自网关单元的客户认证请求，将用于指定作为客户目标的子网络的地址的数据报告给网关单元；以及当网关单元根据从认证服务器报告的数据，检测到寻址到作为客户目标的子网络的分组信号时，所述网关单元根据分组信号的源地址指定客户，并且当其确认所指定的客户已经接收到针对通信会话建立的认证时，所述网关单元通过在封装报头部分中设置会话区别数据来对分组信号进行封装，并且将已封装分组信号发出到地址处理单元。
根据本发明的另一方面，提出了一种网络接入系统，其中，认证服务器在客户接入部门网络时，响应来自客户的认证请求，执行对开放式网络中的客户的认证，并且地址处理单元在认证服务器对客户进行认证之后，根据来自认证服务器的指令，执行对与客户和部门网络之间的分组通信有关的分组信号的地址处理。
参考附图，从以下描述中，其他目的和特征将更加清楚。


图1示出了根据本发明第一到第三实施例的网络接入系统的系统结构；图2是用于解释本发明实施例中的通信过程的视图；图3是表示图1所示的地址处理单元中的地址变换表的视图；图4是用于解释本发明第一实施例中的封装分组信号的地址变换处理的视图；图5是用于解释本发明第三实施例中的封装分组信号的地址变换处理的视图；
图6示出了根据本发明第四实施例的网络接入系统的系统结构；图7示出了根据本发明第五实施例的网络接入系统的系统结构；图8示出了根据本发明第六实施例的网络接入系统的系统结构；图9示出了根据本发明第七实施例的网络接入系统的系统结构；图10示出了根据本发明第八和第九实施例的网络接入系统的系统结构；图11是用于解释本发明第八实施例中的封装分组信号的内容的视图；图12示出了根据本发明第十实施例的网络接入系统的系统结构；图13示出了现有技术的网络接入系统的系统结构；以及图14是用于解释现有技术系统中的封装分组信号的地址变换处理的视图。
具体实施例方式
现在，将参考附图对本发明的优选实施例进行描述。
现在，将参考图1和2描述根据本发明的网络接入系统的第一实施例。
参考图1，本实施例具有以下结构，包括开放式网络1，允许开放地接入因特网等；企业内的干线网络12和部门网络22、32和42；认证服务器10，用于在建立客户和目标网络之间的分组通信的通信会话时，响应客户的认证请求，认证目标网络外部的客户；以及地址处理单元11，用于根据认证之后来自认证服务器10的指令，执行与客户和目标网络之间的分组通信有关的分组信号的地址处理。
地址处理单元11与干线网络12和开放式网络1相连，并且还通过干线网络12与网关(GW)22、32和42相连。同样，能够将地址处理单元11直接与GW 21、31和41相连，而无需干线网络12的代理。
认证服务器10通过地址处理单元11与开放式网络1和干线网络12相连。同样，能够将认证服务器10直接与开放式网络1和干线网络12相连，而无需地址处理单元11的代理。
各个部门网络22、32和42具有其自身的GW 21、31和41，并且通过这些GW 21、31和41与干线网络12相连。
开放式网络1具有DHCP服务器5，用于将其中的接入地址分配给客户，并且部门网络32和42分别具有DHCP服务器34和45，用于将其中的接入地址分配给客户。
现在将描述本实施例的操作。本实施例应用于其中在开放式网络11中的客户接入作为目标网络的其自身的部门网络的情况。现在，采用其中属于部门网络32的客户3从开放式网络1接入作为目标网络的部门网络32的操作实例。
参考图2，客户3在其自身的终端中接收由DHCP服务器5分配的开放式网络1中的接入地址AD03。
然后，客户3在其自身的终端上接入用于认证的认证服务器10。在该接入中，客户3输入用于指定其(例如，登录名或用户名或口令)的客户指定数据输入到认证服务器10中。
认证服务器10根据客户3输入的客户指定数据和口令来认证或证实客户3，然后，指定客户3所属的部门网络32。认证服务器10具有客户指定数据与由客户指定数据所指定的客户所属的相应部门网络的对应列表，并且通过利用该对应列表，指定客户3所属的部门网络32。在客户具有多个已登记的目标网络的情况下，可以按照将目标网络数据添加到认证请求或转换用户名的方式，根据目标网络来设置多个客户指定数据。
随后，认证服务器10将地址转换表设置在地址处理单元11中，如图3所示，彼此对应地指定部门网络32的GW 31的地址AD31和客户3在开放式网络1中的地址AD03。
当已经由认证服务器10进行了认证时，客户3通过地址处理单元11，在其自身终端中设置其与GW 31之间的隧道，并且按照封装的形式执行隧道式分组信号的通信。
更具体地，客户3通过添加封装报头来产生分组信号的封装，通过如图4的(1)所示，将客户3在开放式网络1中的地址AD03设置为隧道源地址而将地址处理单元11的地址AD11设置为隧道目的地地址来形成所述封装报头，并且将这样得到的分组信号以封装的形式传输到地址处理单元11。
当地址处理单元11接收到来自客户3的分组信号时，其参考图3所示的地址转换表来识别已经使GW 31的地址AD31对应于设置在分组信号中的源地址AD03。
因此，地址处理单元11将来自客户3的分组信号中的隧道目的地地址AD11转换为GW 31的地址AD31，如图4的(2)所示，并且将这样得到的分组信号传输到干线网络12。作为该处理的结果，将已经设置在客户3和地址处理单元11之间的隧道延伸到GW 31。
GW 31通过从来自客户3的分组信号中去除封装报头来恢复原始分组信号，并且将已恢复的分组信号提供给部门网络32。按照这种方式，客户3可以按照正如其存在于部门网络32中那样的状态与部门网络32中的其他客户进行通信，如图1中的部门网络32中示出的黑色方形标记所示。
然后，DHCP 35通过设置在客户3和GW 31之间的隧道，向客户3分配部门网络32中的地址AD3X。GW 31还监控客户3的源地址，以识别客户3在开放式网络1中的地址是地址AD03。GW 31还彼此对应地记录客户3在开放式网络1中的地址AD03和由DHPC服务器35分配给客户3的在部门网络32中的地址AD3X。
随后，由相反的处理来实现从部门网络32通过GW 31到开放式网络1中的客户3的通信。
更具体地，当GW 31检测到具有客户的地址AD3X作为目的地地址的分组信号存在于部门网络32中时，其通过添加封装报头来产生分组信号的封装，在报头中，将客户3在开放式网络1中的地址AD03设置为隧道目的地地址，而将其自身地址AD31设置为隧道源地址，如图4的(3)所示，并且将该封装传输到干线网络12。
其中将未存在于企业内的干线网络12和部门网络22、32和42中的地址AD03设置为目的地地址的上述分组信号通过干线网络12中的根处理转发到地址处理单元11。
地址处理单元11将设置在转发来的分组信号中的隧道源地址从AD31转换为自身地址AD11，如图4的(4)所示，然后，将这样得到的分组信号传输到开放式网络1。
作为该实施例的一个选择，能够进行设置，从而周期性地分配开放式网络1中的地址AD03或部门网络32中的地址AD3X。
地址处理单元11还可以禁止来自不存在于地址转换表中的客户的通信，即，未认证接入，并且由于在认证服务器10进行认证时登记了地址转换表，不必预先设置地址转换表。
作为另一选择，可以对地址处理单元11进行适配，从而当其检测到由特定客户进行的通信结束时，其从地址转换表中删除与通信有关的客户的地址数据。在这种情况下，不能够进行通过地址处理单元11的接入，因此，能够提高安全性。
作为另一选择，能够进行设置，从而在客户和部门网络22、32和42的GW 21、31和41之间使用IPsec技术，以使加密的分组信号通过隧道。
而且，GW 21、31和41可以禁止从没有地址处理单元11的代理的任何客户到部门网络22、32和42的接入，因此，能够保持较高的安全性。
现在将参考图1来描述根据本发明的网络接入系统的第二实施例。
该实施例应用于其中在相同企业内的不同于自身部门网络的部门网络中的客户接入作为目标网络的自身部门网络的情况。本实施例具有与图1所示相同的结构，并且不再对该结构进行描述。
现在将描述本实施例的操作。现在，采用其中属于部门网络32的客户4从部门网络42接入作为目标网络的部门网络32的操作实例。
首先，客户4在其自身终端中从DHCP服务器45接收在部门网络42中所分配的接入地址AD43，然后接入用于认证的认证服务器10。
在进行客户4的认证之后，认证服务器10指定客户4所属的部门网络32，并且如图3所示，在地址处理单元11中设置地址转换表，在地址转换表中，彼此对应地输入客户4在部门网络42中的地址AD43和GW 31的地址AD31。
当已经由认证服务器10进行了认证时，客户4在其自身终端中设置地址处理单元11的地址AD11作为隧道目的地地址，然后通过添加封装报头来产生分组信号的封装，在封装报头中，将客户4在部门网络42中的地址AD43设置为隧道源地址，并且将这样得到的分组信号封装提供给地址处理单元11。
当地址处理单元11接收到来自客户4的分组信号时，其参考图3所示的地址转换表，将来自客户的隧道目的地地址AD11转换为GW 31的地址AD31，并且将这样得到的分组信号转发给GW 31。
按照相反的处理来实现从部门网络32到部门网络42中的客户4的通信。
更具体地，当GW 31在部门网络32中检测到寻址到客户4的分组信号时，其通过添加封装报头来产生分组信号的封装，在该封装报头中，将客户4在部门网络42中的地址AD43设置为隧道目的地地址，并且将其自身地址AD31设置为隧道源地址，并且将这样得到的分组信号封装传输到干线网络12。
将其中将企业内的部门网络42中的地址AD43设置为目的地地址的上述分组信号，按照在干线网络12中所执行的根处理，直接转发到部门网络42，而无需地址处理单元11的代理。
在本实施例中，在企业内接入专用地址和从开放式网络1中接入全局地址的情况下，地址处理单元11具有其自身的地址。更具体地，由开放式网络1中的客户2和3进行接入的地址处理单元11中的地址是全局地址，而由其他部门网络42中的客户4进行接入的地址处理单元中的地址是企业内的地址。
本实施例应用于其中特定客户从外部接入作为目标网络的自身部门网络而不产生任何分组信号封装的情况。本实施例具有与图1所示相同的结构，并且不再对该结构进行描述。
现在将描述本实施例的操作。现在，采用其中属于部门网络22的客户2从开放式网络1中接入作为目标网络的部门网络22的情况而不产生任何分组信号封装的操作实例。
当认证服务器10已经对客户2进行了认证时，其指定客户2所属的部门网络22，并且如图3所示，在地址处理单元11中设置地址转换表，其中，彼此对应地输入客户2在开放式网络1中的地址AD02和要从部门网络22的外部接入的专用通信服务器20的地址AD20。
当已经由认证服务器10进行了认证时，客户2在其自身终端中传输分组信号，其中，使地址处理单元11的地址AD11成为目的地地址，如图5的(1)所示。
当地址处理单元11从客户2中接收到分组信号时，其参考图3的地址转换表，将来自客户终端2的分组信号的目的地地址转换为服务器20的地址AD20，如图5的(2)所示，并且将分组信号转发到GW 21。GW 21根据设置在分组信号中的地址AD20，将分组转发到服务器20中。
按照这种方式，虽然处于固定的状态，客户2可以与服务器20相连。如图所示，不使用封装产生技术，通过针对来自部门网络22的外部接入而准备通信专用服务器20，能够从外部接入到部门网络22中，并且还能够禁止对部门网络22中的不同资源的接入。
按照相反的处理来实现从服务器20到开放式网络1中的客户2的通信。图5中的(3)示出了针对从服务器20到地址处理单元11的分组信号而设置的地址报头，而图5中的(4)示出了针对从地址处理单元11到客户2的分组信号而设置的地址报头。
作为当来自部门网络22的外部接入发生时的可选情况，可以对其进行设置，从而使接入局限于用于转发的服务器20。此外，在这种情况下，能够禁止对部门网络22中的不同资源的接入。
参考图6，本实施例具有部门网络52通过本地代理(HA)51利用移动IP与干线网络12连接的结构。
利用移动IP协议的分组信号也具有如图4所示的封装的形式。因此，通过设置HA 51来替代如第一实施例的终止隧道的GW 31，能够将基于移动IP的隧道延伸到部门网络52。
更具体地，在本实施例中，属于部门网络52并已经由认证服务器10认证的客户可以接收与连接到作为基站(base)的HA 51的部门网络52的移动服务，而与其处于开放式网络1中(例如，客户2和3)还是处于部门网络32和42中(例如，客户4)无关。
本实施例不局限于这一类型，以及客户和GW之间的自身端到端封装产生协议的系统，因此，适用于针对分组信号封装通信的通常的通信系统。
参考图7，本实施例具有部门网络62通过GW 61及另一部门网络32与干线网络12相连的结构。
在本实施例中，将来自属于部门网络62的客户的隧道通过GW 31延伸到GW 31。通过设置GW 61以使其传递以GW 61作为目的地的分组信号，可以获得直到GW 61的隧道延伸，并且这表示传递分组信号的部门网络32的安全性是不会受到减弱的。
总结该实施例，只要每一个网络具有根功能(rooting function)，在接收认证服务器10的认证之后，属于部门网络62的客户就在其自身的终端中接入自身的部门网络62，而与其处于开放式网络中(例如，客户2和3)或处于部门网络32和42中或处于干线网络12中(例如，客户15)无关。
在本实施例中，如果需要，干线网络12可以具有DHCP服务器，用于将其中的接入地址分配给客户。
参考图8，该实施例具有在认证服务器10之下提供多个地址处理单元11和14的结构。
部门网络22和32直接与地址处理单元11相连，而没有任何GW或干线网络的代理，而部门网络42直接与地址处理单元14相连，而没有任何GW或干线网络的代理。
在本实施例中，当认证服务器10识别了开放式网络1中的客户时，其根据由客户4输入的客户指定数据，指定客户4所属的部门网络42。然后，认证服务器10将与指定部门网络42相连的地址处理单元14的地址AD14报告给客户4。
客户4利用由认证服务器10报告的地址处理单元14的地址AD14作为目标地址，在其自身的终端上产生分组信号的封装，并且按照如同第一实施例那样的方式进行远程接入。
参考图9，本实施例具有在接入网络6中的客户能够通过干线网络9接入多个企业网络111、121和131的结构。
企业网络111具有认证服务器110。企业网络111具有用于终止IP隧道的GW 113，并且通过GW 113和干线网络9与接入网络6相连。
企业网络121由部门网络124和126构成，并且具有认证服务器120。部门网络124和126分别具有用于终止IP隧道的GW 123和125，并且分别通过GW 123和125以及干线网络9与接入网络6相连。
企业网络131由部门网络134和136构成，并且具有认证服务器130和地址处理单元132。部门网络134和136具有用于终止IP隧道的GW 133和135，并且分别通过GW 123和125、地址处理单元132和干线网络9与地址网络6相连。
假定企业网络111、121和131和接入网关7通过干线网络9上的虚拟专用网彼此相连。
在本实施例的操作中，现在将描述三种不同方式的来自接入网络6中的客户2的接入，作为各自的操作实例。
首先，将描述作为其中属于企业网络111的客户2从接入网络6接入作为目标网络的企业网络111的情况的操作实例。
在自身的终端中，客户2首先通过输入用于指定客户2的客户指定数据(例如，用户名和公司名)和口令，接入用于认证的代理认证服务器8。
代理认证服务器8根据客户的客户指定数据(例如，用户名或公司名)中表示相关企业的数据(在这种情况下，作为域名的公司名)，识别客户2属于企业网络111，向设置在企业网络111中的认证服务器110询问是否能够认证。
当代理认证服务器8从认证服务器110接收到表示认证的报告时，其指示接入网关7进行允许来自客户2的通信的设置。通过此控制，将客户2登录到使接入网关7和GW 113彼此相连的干线网络9上的虚拟专用网上。
接入网关7根据来自代理认证服务器8的指令，将来自客户2的分组信号的目的地地址转换为GW 113的地址。
由于将GW 113设置在企业网络111中，因此，GW 113的地址可以是专用地址。
现在，将描述作为其中属于企业网络131的客户2从接入网络6接入作为目标网络的企业网络131的情况的另一操作实例。
当代理认证服务器8根据来自客户2的客户指定数据，识别了客户2属于企业网络131时，其向设置在企业网络131中的认证服务器130询问是否能够认证。
当代理认证服务器8从认证服务器130接收到表示认证的报告时，其指示接入网关7将来自客户2的分组数据的目的地地址转换为地址处理单元132的地址，并且接入网关7将设置在来自客户2的分组信号中的目的地地址设置为地址处理单元132的地址。通过此控制，来自属于如部门网络134的客户2的IP隧道通过接入网关7和地址处理单元132中的IP地址转换处理而进行中继，并且被延伸到GW 133。
现在，将描述作为其中属于企业网络121的客户2从接入网络6接入作为目标网络的企业网络121的情况的另一操作实例。
当代理认证服务器8根据来自客户2的客户指定数据，识别了客户2属于企业网络121时，其向设置在企业网络121中的认证服务器120询问是否能够认证。
当代理认证服务器8从认证服务器120接收到表示认证的报告时，其同时接收客户2所属的部门网络中的GW的IP地址的报告。
例如，当客户2属于部门网络124时，代理认证服务器8接收GW 123的地址的报告，并且指示接入网关7将来自客户2的分组信号的目的地地址转换为GW 123的地址。因此，接入网关7将来自客户2的分组信号的目的地地址转换为GW 123的地址。通过该控制，将从客户2延伸的IP隧道延伸到GW 123。按照这种方式，能够向接入网关7提供在企业网络121中分配目的地地址的功能。
参考图10，本实施例具有客户通过网络地址转换器(NAT)接入作为目标网络的自身部门网络的结构。
NAT 46将子网络45与开放式网络1相连。开放式网络1通过GW 48与子网络47相连。
现在，将描述该实施例的操作。这里，将描述作为子网络45中的客户通过NAT 46从子网络45进行接入的情况的操作实例。
NAT 46将作为从子网络45的客户传输来的分组信号的目的地的IP地址转换为不同的地址，并且将结果发出到开放式网络1。
此时，在通过NAT 46的转换获得的IP地址由子网络45中的多个客户共有的情况下，情况趋向于地址处理单元11不能够指定任何目标网络。
在这种情况下，如图11所示，当子网络45中的客户产生了分组信号封装时，其在封装头中插入用于指定客户的客户指定数据XID。
在这种情况下，通过使用源地址加上作为客户指定数据的XID或唯一XID，替代如第一实施例那样的图3所示的地址处理单元11的地址转换表中的源地址，地址处理单元11可以通过指定目标网络进行接入。
当目标网络的GW接收到来自子网络45中的客户的分组信号时，其直接将XID插入到接收到的分组信号中，作为封装报头的XID，并且将这样得到的分组信号传输到子网络45中的客户或GW 48。
利用上述XID的方法适用于其中单个客户同时接入多个不同目标网络的情况。在这种情况下，向客户(在开放式网络1中或在子网络45中)提供多个XID，并且客户同样通过添加目标网络数据，接收由认证服务器10所进行的认证，并且将XID分配给目标网络。因此，地址处理单元11可以指定多个不同的网络，并且客户可以同时接入多个目标网络。
此外，即使在NAT 46通过分配XID从而使地址处理单元11可以指定子网络45中的所有隧道会话，而统一地将从子网络45中的客户传输来的分组信号的隧道源地址转换为AD46的情况下，多个客户可以同时接入多个不同的目标网络。
在本实施例中，针对客户，可以预先固定地设置用于指定客户的XID数据，或者可以在认证时由认证服务器10将XID数据分配给客户。
当客户接入不同的目标网络时，为了由认证服务器10进行认证，可以组合用户名和目标网络名，或者可以针对每一个目标网络分别设置不同的用户名。
虽然通过将XID设置得足够长，能够使地址处理单元11可以根据XID进行地址转换，为了提高对有缺陷的XID的承受力，理想地，根据隧道源地址加上XID来进行地址转换。
将本实施例应用于当客户接入作为目标网络的自身部门网络时进行GW间隧道控制的情况。该实施例与图10中所示的结构相同，并且不再对该结构进行描述。
现在将描述本实施例的操作。采用作为其中在GW 48和干线网络12中的部门网络22、32和42的任一个的GW之间进行IP隧道控制的情况的操作实例。
首先，子网络47中的客户在自身终端中接入具有代理认证服务器(见图9)功能的GW 48进行认证。
GW 48记录子网络47中的客户地址和用户名彼此之间的对应关系，并且通过将具有作为源地址的自身地址AD48的分组信号转发到认证服务器10，将客户的用户名和口令转发到认证服务器10。
当根据由GW 48转发来的认证请求可以认证子网络47中的客户时，认证服务器10设置与认证请求、GW 48的地址AD48和地址处理单元11中的地址转换表中的目标网络的GW的地址相对应的XID，并且将用户名和XID报告给GW 48。
对于来自与从认证服务器报告的用户名相对应并寻址到不同子网络的分组信号，如图11所示，GW 48通过添加XID来产生封装，并且将该分组发出到开放式网络1。
地址处理单元11根据设置在来自客户的分组信号中的隧道源地址AD48和XID数据，将隧道目的地地址转换为目标网络的GW的地址，并且将这样得到的分组信号转发到目标网络的GW。
按照上述方式，能够实现在干线网络12中的目标网络的GW和GW 48之间的隧道控制，因此，子网络47中的客户能够接入为其设置的目标网络。
当目标网络的GW接收到来自子网络45中的客户的分组信号时，其直接将XID插入到接收到的分组信号中，作为封装报头的XID，并且将封装传输到GW 48的子网络47中的客户。
当子网络47中的客户接入多个目标网络时，可以执行以下的处理。
当认证服务器10在认证时识别了目标网络时，其将识别为目标网络的子网络的地址和与地址掩码相对应的XID报告给GW 48。
GW 48监控来自子网络47中的客户的分组信号的目的地地址，并且检查具有地址掩码的地址是否与已经接收到认证服务器10的认证的子网络的地址相同。当两个地址相同时，GW 48发出分组信号，作为通过将与具有地址掩码的该地址相对应的XID插入到封装报头中而形成的封装，如图11所示。
对于XID，可以在由认证服务器10进行认证时，将XID报告给GW 48，或者可以在GW 48中预先汇集多个XID。在这种情况下，GW 48通过添加预先汇集的未使用的XID，向认证服务器10进行认证请求，并且将该XID登记在地址处理单元11的地址转换表中。
本实施例还适用于其中使子网络45和47的地址和目标网络的地址成为专用地址而使开放式网络1的地址成为全局地址的网络结构。
此外，通过选择足够的XID长度，地址处理单元11可以根据XID进行地址转换，但是为了提高对有缺陷的XID的承受力，需要根据隧道源地址加上XID来进行地址转换。
参考图12，本实施例具有不是使客户的自身部门网络、而是使与客户的自身部门网络相对应并专门针对网络接入而设置的网络成为目标网络，以便简化GW中的IP隧道控制的结构。
远程接入网络(IP子网络)75对应于属于部门网络74的每一个客户，并且客户的目标网络不是部门网络74而是远程接入网络75。
部门网络4通过防火墙(FW)72和路由器73与外部网络(未示出)相连，在外部网络中提供了地址处理单元70。
当GW 71接收到从地址处理单元70转发来的已封装分组信号时(封装报头的目的地地址是GW 71)，GW 71通过从接收到的分组信号中删除封装报头来恢复原始的分组信号。将该原始分组信号通过路由器73转发到部门网络74。
具体地，在外部网络中的客户与部门网络74连接，而没有FW 72的代理，因此，可以接入部门网络74，而没有FW 72的代理。
寻址到属于远程接入网络75的网络接入客户的分组信号从部门网络74通过路由器73转发到GW 71，并在GW 71中对其进行封装，GW 71将封装后的分组信号转发到地址处理单元70。
在该实施例中，求根器(rooter)73分配要封装的分组信号，并且GW 71应该只执行已经接入网络的客户的分组信号的封装处理(以及在使用IPsec技术的情况下的加密处理)。因此，能够简化GW 71、FW 72和求根器73的多种功能结构。
作为本实施例的一个选择，GW 71、FW 72和求根器73的不同功能可以统一在单个单元中实现。即使在这种情况下，由于各个构成组件的功能结构较简单，因此，能够简化整体上具有各个构成组件的功能的单元。
本发明决没有指定结束客户的通信会话的方法。可以对认证服务器进行设置，从而在由其和客户之间的注销过程检测到通信会话的结束时，该认证服务器从地址转换表中检测与该通信有关的客户地址数据。除此之外，能够通过直接保持/保持与客户通信的有效、或者检测非通信状态的超时，可以处理与注销过程无关的通信会话的结束，例如，由于网络接口卡的断电或拆卸所造成的通信会话结束。认证服务器还可以通过与每一个网络的DHCP服务器协同地保持通信/使通信有效、或者IPsec保持与客户的通信/使与客户的通信有效，知道客户的通信结束。
利用前述的本发明的结构，能够获得以下的效果(1)到(9)。
(1)由于提供了用于认证从外部接入目标子网络的客户的认证服务器、以及用于在由认证服务器认证之后，根据来自认证服务器的指令执行与分组通信有关的分组信号的地址处理的地址处理电路，能够将分组信号的目的地从客户一直延伸到客户使其成为目标的子网络。因此，当进行隧道型通信时，能够将IP隧道(包括IPsec隧道和移动IP隧道)一直延伸到目标子网络。
(2)由于将任意分组信号传输到子网络而没有任何防火墙的代理，不需要在防火墙上形成洞来进行接入的设置。因此，不仅能够避免与客户相对应的设置的非常麻烦的增加，而且能够保持较高的安全性。
(3)客户仅需要设置在其存在的子网络中的自身地址和地址处理单元的地址。此外，如果设置是错误的，则其影响限制在目标子网络的网关单元和客户之间，而不会在整个网络上传播。
(4)例如，通过采用DHCP系统作为用于获得客户在目标子网络中的地址的系统，不需要针对每一个客户的设置，并且能够实现容易的设置并消除设置错误。
(5)当且仅当获得了认证服务器的认证时，才提供客户和目标子网络的网关单元之间的隧道，因此，能够实现较高的安全性。
(6)利用特定子网络与多个认证服务器相连和提供了代理认证服务器的结构，能够以单个的登陆，实现对承载网络中针对企业的虚拟网络的接入、以及从虚拟网络中对企业内的网络的接入。
(7)利用用作除了用于对作为客户目标网络的子网络进行指定和进行地址转换的客户源地址之外的附加数据的用于区分通信会话的区别数据，多个客户可以同时接入多个不同的目标网络。此外，客户可以将IP隧道一直延伸到目标子网络，而与隧道路线上是否存在NAT无关。
(8)利用子网络具有要定位为客户的网关单元的结构，当其属于该网关时，客户可以接入目标网络，并且每一个客户可以接入多个目标网络。
(9)由于在认证服务器中管理通信会话，能够实现用户管理和接入管理。
对于本领域的技术人员而言，结构上的改变是可能的，并且在不脱离本发明的范围的情况下，可以实现各种明显不同的修改和实施例。前面描述和附图中所阐明的内容仅以说明的方式提供。因此，实际上，前面的描述应该看作是说明性的而非限定性的。
权利要求
1.一种网络接入系统，包括多个子网络；认证服务器，当建立针对客户终端和作为客户目标的不同子网络之间的分组通信的通信会话时，所述认证服务器响应客户的认证请求，认证多个子网络之一中的客户；地址处理单元，用于在认证服务器进行认证之后，根据来自认证服务器的指令，执行对客户终端和作为客户目标的子网络之间的分组通信中的分组信号的地址处理。
2.根据权利要求1所述的网络接入系统，其特征在于来自客户的认证请求包括作为客户目标的子网络的数据。
3.根据权利要求1和2之一所述的网络接入系统，其特征在于认证服务器具有针对每一个客户而设置、并示出了作为客户目标的一个或多个子网络的对应关系表，并且根据所述对应关系表指定作为客户目标的子网络；以及在地址处理单元中设置了地址转换表，所述地址转换表示出了用于指定与分组信号有关的通信会话的数据和与作为客户目标的子网络相对应的地址数据之间的对应关系。
4.根据权利要求3所述的网络接入系统，其特征在于客户终端通过将地址处理单元的地址设置为目的地地址，发出分组信号；以及地址处理单元根据在地址转换表中指定与分组信号有关的通信会话的数据，指定作为客户目标的子网络，并将分组信号的目的地地址转换为与所指定的子网络相对应的地址数据。
5.根据权利要求3和4之一所述的网络接入系统，其特征在于将源地址用作指定与分组信号有关的通信会话的数据。
6.根据权利要求5所述的网络接入系统，其特征在于在分组信号上设置会话区分数据，作为指定通信会话的数据的至少一部分。
7.根据权利要求1到6之一所述的网络接入系统，其特征在于接收到从作为客户目标的子网络寻址到客户的分组信号的地址处理单元将分组信号的源地址转换为其自身地址，并发出所得到的分组信号。
8.根据权利要求1到7之一所述的网络接入系统，其特征在于所述子网络具有网关单元，并且将网关单元的地址用作与子网络相对应的地址。
9.根据权利要求8所述的网络接入系统，其特征在于网关单元和客户终端具有针对通过添加描述了地址的封装报头而被封装的分组信号进行隧道通信的功能；以及网关单元从寻址到所述网关单元的分组信号中删除封装报头，并将所得到的分组信号提供给其自身的子网络。
10.根据权利要求9所述的网络接入系统，其特征在于网关单元彼此对应地记录在封装报头中寻址到其自身的分组信号的源地址和在其自身网络中分配给客户终端的地址，并且当检测到具有作为目的地地址的对应地址的分组信号时，通过在封装报头中设置源地址以使其与作为分组信号的目的地地址的对应地址相对应，同时通过将其自身地址设置为用于发出分组信号的分组信号的源地址，来对所述分组信号进行封装。
11.根据权利要求1到10之一所述的网络接入系统，其特征在于多个子网络与多个认证服务器相连，并且每一个子网络具有代理认证服务器；客户终端通过接入代理认证服务器，执行客户认证请求；以及代理认证服务器根据来自客户的认证请求，指定作为客户目标的子网络的认证服务器，向所指定的认证服务器询问是否能够认证，并且当认证服务器证实客户时，允许客户接入。
12.根据权利要求6和11之一所述的网络接入系统，其特征在于认证服务器向直接由其自身或通过代理认证服务器证实的客户的终端发布用于指定通信会话的会话区别数据；以及客户终端将从认证服务器发布的会话区别数据添加到分组信号上。
13.根据权利要求1到12之一所述的网络接入系统，其特征在于在客户认证时，认证服务器向相关客户的终端报告要接入的地址处理单元的地址；以及客户终端通过从认证服务器报告的地址处理单元，与作为客户目标的子网络进行分组通信。
14.根据权利要求1到13之一所述的网络接入系统，其特征在于子网络具有定位为客户的网关单元；以及所述网关单元与作为自身子网络中的客户目标的子网络进行已封装分组信号的隧道通信，当接收到来自自身子网络中的客户的通信会话建立的认证请求时，代替客户，向认证服务器执行客户认证请求，并且使用用于指定通信会话的会话区别数据，作为用于指定与分组信号相关的通信会话的数据的至少一部分。
15.根据权利要求14的网络接入系统，其特征在于服务器响应来自网关单元的客户认证请求，将用于指定作为客户目标的子网络的地址的数据报告给网关单元；以及当网关单元根据从认证服务器报告的数据，检测到寻址到作为客户目标的子网络的分组信号时，所述网关单元根据分组信号的源地址指定客户，并且当其确认所指定的客户已经接收到针对通信会话建立的认证时，所述网关单元通过在封装报头部分中设置会话区别数据来对分组信号进行封装，并且将已封装分组信号发出到地址处理单元。
16.一种网络接入系统，其中，认证服务器在客户接入部门网络时，响应来自客户的认证请求，执行对开放式网络中的客户的认证，并且地址处理单元在认证服务器对客户进行认证之后，根据来自认证服务器的指令，执行对与客户和部门网络之间的分组通信有关的分组信号的地址处理。
全文摘要
本发明提出了一种网络接入系统，在客户3接入部门网络32时，认证服务器10响应来自客户3的认证请求，执行对开放式网络1中的客户3的认证。地址处理单元3在认证服务器10对客户3进行认证之后，根据来自认证服务器10的指令，执行对与客户3和部门网络32之间的分组通信有关的分组信号的地址处理。
文档编号H04L29/12GK1540944SQ20041003689
公开日2004年10月27日 申请日期2004年4月21日 优先权日2003年4月21日
发明者清水洋 申请人:日本电气株式会社