专利名称:虚拟专用网系统、通信终端以及相应的远程访问通信方法
技术领域:
本发明一般地涉及虚拟专用网(VPN)系统、边界网关、通信终端以及相应的远程访问通信方法。更具体地说,本发明涉及应用了作为因特网协议(IP)隧道传送技术的IPsec的封装安全有效负载(ESP)隧道传送的远程访问IP(因特网协议)安全协议(IPsec)VPN。
背景技术:
日本专利申请特开No.2002-208965示出了一种IPsec VPN系统。其中公开的远程访问Ipsec VPN采用专用于预定处理功能的IP设备作为远程终端而非通用个人计算机(PC)作为远程终端。
在这里所公开的系统中,在封闭的IP网络中的地址管理服务器通过IP隧道向远程终端发布属于该封闭IP网络的IP地址。这是因为下述情况是优选的,即,以从目的地封闭IP网络的中央站动态发布IP地址的方式,对远程终端的访问实行属于该封闭IP网络的远程终端IP地址的远程设置与管理。此外,系统自动发布并设置远程终端用户配置数据。并且,根据每个局域网(LAN)上的LAN IP地址的动态改变来自动更新IP隧道设置。
然而,在一般的实践中,即使提供了远程终端认证,还需要考虑由远程访问通信交换的数据(和配置数据)的安全以及远程终端用户认证。因此,在远程终端处手动设置配置数据和IP地址。
发明内容
例如,如果IPsec VPN系统中的远程终端是专用于预定处理功能的IP设备而非通用PC,则因为远程终端不总是由用户操作,所以希望在远程终端处自动设置配置数据用于远程访问。
本发明的一个目的是提供一种VPN系统、通信终端和远程访问通信方法,所述系统、终端和方法提供用于通信终端访问远程网络的自动配置。
根据本发明的方法包括根据ISAKMP(因特网密钥安全关联与密钥管理协议)配置方法经由第一IP(因特网协议)网络在通信终端和网关之间进行认证,从所述网关向所述通信终端发布属于第二IP网络的IP地址和配置数据,所述第二IP网络与所述网关相连。
参考下面的说明、权利要求和附图,可以更好地理解本技术的这些以及其它特征、方面和优点,其中所述说明不能被理解为以任何方式来限制本技术,附图中图1示出了根据示例性实施例的VPN系统;图2示出了根据示例性实施例的VPN系统中的远程终端;图3示出了根据示例性实施例的VPN系统中的边界网关;图4示出了根据本技术示例性实施例的VPN系统的操作;图5(a)示出了在ISAKMP配置方法中使用的ISAKMP分组的数据格式;图5(b)示出了配置方法有效负载的格式;图5(c)示出了属性的格式;图6示出了根据示例性实施例的VPN系统,在该实施例中组件被分配具体的IP地址;以及图7示出的表列出了可以在图6所示的BGW(2)31和远程终端处设置的参数。
具体实施例方式
根据所公开技术的示例性实施例,通信终端根据ISAKMP(因特网密钥安全关联与密钥管理协议)配置方法执行与网关的认证,所述网关与IP网络相连。然而,所述认证是经由第二IP网络而在所述通信终端和网关之间进行的。
第二网络可以是公共网络。此外,可以在认证中使用预共享密钥。在认证之后,网关向通信终端发布属于所述IP网络的IP地址和配置数据。因此,可以为通信终端设置和更新IP地址和配置数据。此后,通信终端经由第二IP网络访问远程IP网络。
此外,通信终端可以基于所发布的属于该通信终端远程访问的IP网络的IP地址,在通信终端和网关之间建立EPS(封装安全有效负载)隧道。因此,可以确保通信终端和网关之间的通信安全。
下文参考附图描述这里公开的技术的示例性实施例。所述示例性实施例意在帮助理解本发明而不是想以任何方式来限制本发明的范围。
将参考附图来描述示例性实施例。图1是示出了根据本技术示例性实施例的虚拟专用网络(VPN)系统的框图。在图1中,VPN系统是远程访问IP安全协议(IPsec)虚拟专用网络(VPN)。基于因特网协议(IP)隧道传送技术提供了IPsec的封装安全有效负载(ESP)隧道传送。
根据示例性实施例的VPN系统包括远程终端1、边界网关(BGW)(1)2、中央管理站3、本地IP LAN(A)100和IP公共网络101,其中可以在远程终端1和中央管理站3之间建立IP隧道102。中央管理站3包括BGW(2)31和配置数据管理服务器32,这二者都连接到封闭的IPLAN(B)300。
如图2所示,远程终端1包括收发器1011、存储器1012和控制器1013。收发器1011向LAN(A)100发送信号,并且从LAN(A)100接收信号。控制器1013耦合到收发器1011和存储器1012,并且执行与BGW(2)31之间的多种操作,包括认证、建立IPsec ESP隧道、自动IP地址和配置数据设置等。存储器1012存储在控制器1013的操作中使用的信息,并且存储由控制器1013的操作获得的IP地址和配置数据。
如图3所示,BGW(2)包括第二收发器1021、第二存储器1022和第二控制器1023。第二收发器1021向LAN(B)300和IP公共网络101发送信号。此外,第二收发器1021从LAN(B)300和IP公共网络101接收信号。第二控制器1023耦合到第二收发器1021和第二存储器1022,并且执行与远程终端1之间的多种操作,例如认证、建立IPsec ESP隧道开始、自动IP地址和配置数据设置等。第二存储器1022存储在控制器1023的操作中使用的信息。
参考图1,远程终端1连接到本地IP LAN(A)100。远程终端1访问的目的地封闭IP LAN(B)300相对远离LAN(A)100,其中这两个LAN经由IP公共网络101相连。这种IP公共网络的示例是IP-VPN服务、广域以太网等。在每个LAN和IP公共网络101上,分别安装并互连了BGW(1)2和BGW(2)31。
在本技术的远程访问IPsec VPN系统中,广泛保证了安装了配置数据管理服务器32的封闭IP LAN(B)300的安全,因为该LAN被构建在中央管理站3中。然而,由于IP公共网络101是开放网络,所以需要在BGW(1)2和BGW(2)31之间消除安全问题(威胁)。
在本示例性实施例中,通过使用ISAKMP配置方法发布作为VPN地址的属于封闭IP LAN(B)300的唯一IP地址并发布作为专用数据的配置数据,属于封闭IP LAN(B)300的IP地址和配置数据可以被动态发布到远程终端1。此外,通过使用由IPsec提供的加密与认证算法,可以保证属于封闭IP LAN(B)300的IP地址和配置数据的安全。
图4示出了用于描述根据本技术的示例性实施例的VPN系统的操作的序列图。图4示出了当建立远程访问时,在远程终端1、BGW(2)31和配置数据管理服务器32之间的消息序列。这些消息一起执行远程终端1(作为远程主机)和BGW(2)31之间的IPsec VPN连接操作。对于该连接操作中的消息a10和a11的通信,采用了因特网密钥安全关联与密钥管理协议(ISAKMP)配置方法。此外,远程终端1(作为远程主机)建立从它到BGW(2)31的IPsec ESP隧道模式,并且消除所有安全威胁。
参考图4解释了远程终端1与中央管理站3中的BGW(2)31建立IPsec SA的操作。
在阶段#1通信(图4中的a1至a3)中建立了因特网密钥交换安全关联(IKE SA)通信之后,通过IKE SA执行用于认证的通信(图4中的a4至a7)。随后,属于目的地封闭IP LAN(B)300的IP地址和配置数据被发布到远程终端1(图4中的a8至a11)。因此,在本示例性实施例中,实现了远程终端1的自动配置。
然后,通过阶段#2通信建立IPsec SA连接。这帮助开始通过IPsecESP的通信。
在上面描述的操作中,BGW(2)31通过在远程终端1的用户级别(远程终端1的用户而非它的设备)处认证用户的身份来识别远程终端1的用户。BGW(2)31随后通过用于获得配置数据的通信从配置数据管理服务器32获得配置数据和属于封闭IP LAN(B)300的IP地址。
根据用于封闭IP LAN(B)300的寻址方案来确定要被发布到远程终端1的属于封闭IP LAN(B)300的IP地址。因此,BGW(2)31不需要执行诸如网络地址转换(NAT)等的地址转换操作,并且配置数据管理服务器32、BGW(2)31和远程终端1可以被视为在相同网段(segment)中进行虚拟连接。
由于远程终端1(作为主机)通过使用IPsec的远程访问连接功能获得了到BGW(2)31的IPsec连接,所以用于本地IP LAN(A)100的IP地址可以通过动态主机配置协议(DHCP)等被动态分配给远程终端1。
在阶段#1通信之后,根据IPsec的ISAKMP配置方法,通过上述IKE SA执行用于认证的通信以及用于发布配置数据和属于IP LAN(B)300的IP地址的通信。
图5(a)示出了在ISAKMP配置方法中使用的ISAKMP分组的数据格式。ISAKMP分组可以包括IP头部、UDP头部、ISAKMP头部和ISAKMP有效负载。图5(b)示出了被用作ISAKMP有效负载的配置方法有效负载的格式。配置方法有效负载可以包括属性字段、有效负载长度、标识符和类型字段。
在用于认证的通信情形中,在属性字段中设置与认证相关的属性。在用于发布配置数据和属于IP LAN(B)300的IP地址的通信情形中,如图5(c)所示,VPN地址属性和专用数据属性被在它们的字段中进行设置。因此,配置数据和属于封闭IP LAN(B)300的IP地址可以被发布到VPN地址。
与IKE通信相类似,由发起消息交换的发起者和对发起者发送的消息进行响应的响应者执行ISAKMP配置方法。在本示例性实施例中,BGW(2)31是发起者而远程终端1是响应者,并且在二者之间进行消息交换。在图4所示的序列中,由图5(b)所示的配置有效负载的类型字段中指定的值来标识每个消息类型。
图6是示出了根据示例性实施例的系统的示图,在该实施例中组件被分配了具体的IP地址。参考图4、5和6,将详细解释建立IPsec的封装安全有效负载(ESP)隧道的操作。
在图6中,为了建立IPsec的封装安全有效负载(ESP)隧道,需要用于通过所述隧道的IP通信的隧道接口的IP地址和隧道端接点的地址。
远程终端1的隧道端接地址和隧道接口地址被分别假定为Ca1和Ca2。BGW(2)31的隧道端接地址和隧道接口地址被分别假定为Sa1和Sa2。本地IP LAN(A)100的网络地址被假定为NaA,并且封闭IP LAN(B)300的网络地址被假定为NaB。
由配置数据管理服务器32来维护要被发布到远程终端1的配置数据和属于封闭IP LAN(B)300的IP地址,在配置数据管理服务器32的管理下,远程终端1取得远程访问。
图7示出了为建立IPsec的ESP隧道而在远程终端1和BGW(2)31处必须设置的参数。在本示例性实施例中,由于通过应用远程连接功能以积极模式(aggressive mode)来执行阶段#1通信(a1至a3),所以由ID标识预共享密钥。因此,如项目号C1、S1中所描述的那样,在隧道的端节点处,必须注册用于结合其自身ID和另一端节点ID的预共享密钥。
此外,如项目号C2、S2所描述的那样,必须在两个节点处注册诸如ESP加密算法、认证头(AH)算法和动态主机(DH)组的相同参数值。
必须注册与隧道有关的参数,例如两个隧道端接点(起点地址Ca1和终点地址Sa1)的IP地址(图7中的项目号C3和C4),以及两个隧道端接点(起点地址Sa1和终点地址Ca1)的IP地址(图7中的项目号S3和S4)。
此外,必须注册其自身节点(Ca2,Sa2)的隧道接口的IP地址(图7中的项目号C5和S5)。为了识别应当经历IPsec处理的分组,必须注册安全策略(Ca2->NaB,NaB->Ca2)(图7中的项目号C6和S6)。
然而,紧跟在远程终端1的启动之后,并没有注册项目号S3、S4、C5、C6、S6的参数。
在启动之后,“Ca1”被动态发布到远程终端1,并且注册项目号S3的参数。然后,由BGW(2)31接收阶段#1通信中的消息a1,并且注册项目号S4的参数。
在这方面,如果在主模式(main mode)中,由于预共享密钥由两个隧道端接地址标识,所以必须预先注册项目号S3的参数。但是,在积极模式中,不需要预先注册项目号S3的参数。
接下来,BGW(2)31通过用于认证的通信(a4至a7)识别远程终端1的用户,并且发送对要被发布到远程终端1的配置数据和属于封闭IPLAN(B)300的IP地址的请求到配置数据管理服务器32。
在获得IP地址和配置数据之后,BGW(2)31通过用于发送配置数据的通信(a10,a11)向远程终端1发布IP地址和配置数据。此时,属于封闭IP LAN(B)300的IP地址可以是远程终端1的隧道接口地址Ca2。从而,注册了项目号C5、C6和S6的参数。因为到目前为止通信是通过ISAKMP SA进行的,所以可以在没有隧道接口地址(即,没有属于封闭IP LAN(B)300的IP地址)的情况下正常进行通信。
随后,通过阶段#2通信来建立IPsec SA连接,并且开始通过IPsecESP隧道的通信。在这个阶段,注册图7中列出的所有参数,因此可以正常进行通信。
如上所述,在本示例性实施例中,尽管保证了远程终端1的用户的安全,但是可以进行用户配置数据的远程设置。
并且,在本示例性实施例中,可以自动设置属于封闭IP LAN(B)300的IP地址和远程终端1的用户的配置数据。因此,即使当用于本地IPLAN(A)100的IP地址动态改变时,也可以根据IP地址的改变来自动改变IP隧道设置。因此,与手动配置设置相比,可以减少设置工作和校正错误所需的工时数,这是因为可以执行远程终端的即插即用。
此外,在本示例性实施例中,可以在不向BGW(2)31提供地址转换操作的情况下,在相同网段中虚拟连接远程终端1、配置数据管理服务器32、BGW(1)2和BGW(2)31。
尽管在本示例性实施例中,配置数据管理服务器32管理并向远程终端1发布属于封闭IP LAN(B)300的IP地址,但是可以将该功能分配给其它节点(地址管理服务器)。在这种情形中,如图4所示的用于获得IP地址和配置数据的消息a8、a9被分离为用于获得VPN地址的消息和用于获得专用数据(配置数据)的消息。相应地,前一消息被发送到地址管理服务器,而后者通过单独的消息通信被发送到配置数据管理服务器。
尽管参考示例性实施例具体示出并描述了本技术,但是本发明不限于这些实施例。本领域普通技术人员将理解,在不脱离权利要求所定义的本发明的精神和范围的条件下,可以对本发明作出各种形式和细节上的改变。
本申请基于并要求了2004年5月26日提交的日本专利申请No.2004-155542的优先权,其内容作为参考引入于此。
权利要求
1.一种方法,包括根据配置方法经由第一IP网络在通信终端和网关之间进行认证;从所述网关向所述通信终端发布属于第二IP网络的IP地址和配置数据,所述第二IP网络与所述网关相连。
2.根据权利要求1所述的方法,还包括基于所发布的IP地址,在所述通信终端和所述网关之间建立封装安全有效负载隧道。
3.根据权利要求2所述的方法,其中所述网关从所述第二IP网络的管理服务器获得所述配置数据和所述IP地址。
4.根据权利要求2所述的方法,其中所述网关从配置数据管理服务器获得所述配置数据,并且从IP地址管理服务器获得所述IP地址。
5.根据权利要求2所述的方法,其中在执行所述认证的过程中使用预共享密钥。
6.根据权利要求2所述的方法,其中所述第一IP网络是公共IP网络。
7.根据权利要求2所述的方法,其中根据因特网密钥安全关联与密钥管理协议配置方法来发布所述配置数据和所述IP地址。
8.一种网络系统,包括与第二IP网络相连接的网关,可操作来发布属于所述第二IP网络的IP地址和配置数据;以及经由第一IP网络耦合到所述网关的通信终端,可操作来根据配置方法执行与所述网关的认证,并且在执行所述认证之后从所述网关接收所发布的配置数据和所发布的IP地址。
9.根据权利要求8所述的网络系统,其中所述通信终端可操作来基于所发布的IP地址建立与所述网关的封装安全有效负载隧道。
10.根据权利要求9所述的网络系统,其中所述网关可操作来从所述第二IP网络的管理服务器获得所述配置数据和所述IP地址。
11.根据权利要求9所述的网络系统,其中所述网关可操作来从配置数据管理服务器获得所述配置数据,并且还可操作来从IP地址管理服务器获得所述IP地址。
12.根据权利要求9所述的网络系统,其中所述通信终端可操作来通过使用预共享密钥执行所述认证。
13.根据权利要求9所述的网络系统,其中所述第一IP网络是公共IP网络。
14.根据权利要求9所述的网络系统,其中所述网关可操作来根据因特网密钥安全关联与密钥管理协议配置方法来发布所述配置数据和所述IP地址。
15.一种通信终端,包括控制器,可操作来根据配置方法经由第一IP网络执行与网关的认证;收发器,可操作来与所述控制器通信,所述收发器还可操作来在所述认证之后从所述网关接收配置数据和属于第二IP网络的IP地址。
16.根据权利要求15所述的通信终端,其中所述控制器还可操作来基于所接收的IP地址建立与所述网关的封装安全有效负载隧道。
17.根据权利要求16所述的通信终端,其中所述网关从所述第二IP网络的管理服务器获得所述配置数据和所述IP地址。
18.根据权利要求16所述的通信终端,其中所述网关分别从配置数据管理服务器和IP地址管理服务器获得所述配置数据和所述IP地址。
19.根据权利要求16所述的通信终端,其中所述控制器可操作来通过使用预共享密钥执行所述认证。
20.根据权利要求16所述的通信终端,其中所述第一IP网络是公共IP网络。
21.根据权利要求16所述的通信终端,其中根据因特网密钥安全关联与密钥管理协议配置方法来发布所述配置数据和所述IP地址。
22.一种网关,包括控制器,可操作来根据配置方法经由第一IP网络执行与通信终端的认证;耦合到所述控制器的收发器,可操作来向所述通信终端发布配置数据和属于第二IP网络的IP地址。
23.根据权利要求22所述的网关,其中所述控制器可操作来基于所发布的IP地址建立与所述通信终端的封装安全有效负载隧道。
24.根据权利要求23所述的网关,其中所述收发器可操作来从所述第二IP网络的管理服务器获得所述配置数据和属于所述第二IP网络的所述IP地址。
25.根据权利要求23所述的网关,其中所述收发器可操作从配置数据管理服务器获得所述配置数据,并且还可操作从IP地址管理服务器获得所述IP地址。
26.根据权利要求23所述的网关,其中所述控制器可操作来通过使用预共享密钥执行所述认证。
27.根据权利要求23所述的网关,其中所述第一IP网络是公共IP网络。
28.根据权利要求23所述的网关,其中所述收发器可操作根据因特网密钥安全关联与密钥管理协议配置方法来发布所述配置数据和所述IP地址。
29.根据权利要求1所述的方法,其中所述配置方法是因特网密钥安全关联与密钥管理协议。
30.根据权利要求8所述的网络系统,其中所述配置方法是因特网密钥安全关联与密钥管理协议。
31.根据权利要求15所述的通信终端,其中所述配置方法是因特网密钥安全关联与密钥管理协议。
32.根据权利要求22所述的配置方法,其中所述配置方法是因特网密钥安全关联与密钥管理协议。
全文摘要
本发明公开了一种方法,该方法包括根据配置方法经由第一IP网络在通信终端和网关之间进行认证。从所述网关向所述通信终端发布属于第二IP网络的IP地址和配置数据。所述第二IP网络与所述网关相连。
文档编号H04L12/56GK1703047SQ20051007204
公开日2005年11月30日 申请日期2005年5月26日 优先权日2004年5月26日
发明者江尻悟 申请人:日本电气株式会社