操作以ipsec连接方式连接到远端专用网络的本地网络的方法

专利名称：：操作以ipsec连接方式连接到远端专用网络的本地网络的方法
技术领域：
：本发明通常涉及对交互连接的网络、尤其是计算机网络的操作。更具体的说，根据第一特征方面所述，本发明涉及到用来操作包含通过堵塞隧道(blockingtunnel)连接到远端网络网关的本地终端的本地网络的方法，该方法包括将来自终端的信息流通过堵塞隧道引导到网关的操作。
背景技术：
：正如本领域的技术人员所知的，两个网络之间的连接可以是IP连接，并可由互联网或是其他使用互联网协议的网络构建。此外，同样如本领域的技术人员所知的，互联网使用称为“IPsec”的安全协议，它是“互联网协议安全”的缩写。本发明的主要有效应用涉及到在离散环境中通过IPsec协议连接到专用商业网络时的计算机。本发明尤其适用于当离散用户(nomaduser)远距离工作时，也就是说，当他或是她从家庭网络(他或她家的本地网络)连接到商业远端专用网络时。然而本方法也适于其他类型的本地网络，例如被称之为“wi-fihotspots(wi-fi热点)”的无线连接域。根据惯例，本说明书使用术语“终端”或是“本地终端”来表示计算机。离散用户通过它连接到本地网络，然后再连接到商业远端专用网络。术语“本地设备”指的是任意连接到本地网络的计算机设备，在它的IPsec连接过程中必须能够访问到终端。因此，从统计表示方式上来说，该本地设备可包括打印机，但是也可以包括其他类型的本地网络服务器(ftp、telnet、等等)，在其IPsec连接过程中终端必须能访问到这些服务器。术语“路由器”、“本地路由器”和“家用路由器”指的是位于本地网络(或当谈及离散用户时指的是家庭网络，例如远程通信者)输入端的设备，下面将会对它的功能做更详细的描述。术语“网关”、尤其是“IPsec网关”指的是位于终端和商业远端专用网络之间的设备，它专门负责终止隧道，尤其是终止来自终端的IPsec隧道，它的功能将在下面详细描述。它可位于远端网络的边缘处并由商业或是电信网络运营商来管理。为了安全起见，IPsec协议的许多应用使本地终端不能同时访问本地网络和远端的商业网络。没有该禁止，终端将处于双连接的状态，这会将两个网络互连，导致严重的安全漏洞。该禁止由称为“堵塞模式”的特殊模式来保证并在IPsec协议中专门提供。因此堵塞模式是使本地终端实现双连接的技术，即本地终端可通过IPsec接入到远端网络(通常是商业专用网络)，也可同时接入到本地网络(通常是家庭网络)。为此，堵塞模式阻止了IPsec隧道以外的任何本地终端的通信，这样就极大地降低了IPsec隧道内跳转攻击的危险(因而也保护了商业信息系统)。由于堵塞模式对于关注安全的商业来说具有极大的优势，因此可通过IPsec进行访问的商业安全策略通常是默认激活它的。在实际操作中，堵塞模式可在终端的IPsec软件中执行，通常会更改用户的路由配置，以便向属于商业远端网络的寻址规划的默认路由发送所有的数据包。它还使用访问过滤功能(通常是个人防火墙)来阻止外部对终端的通信。该安全操作的对应产物是，在连接到其远程网络(也称为“intranet(内联网)”)期间，离散的终端将不能再访问与它物理连接的本地网络上所存在的机器(设备)。尤其是它将不再能访问到其本地网络内的打印机，因为所有的控制和数据流都由堵塞隧道自动隧道传输到商业远端网络。当前所知的能解决该问题的唯一途径包括利用所谓的“分置隧道传输(split-tunneling)”技术。该技术提供了这样一种可能性，即在尽管伴随存在着IPsec隧道的情况下，本地终端依然可直接与本地网络内设备通信，因而也就可接入到本地服务。但问题在于该项技术带来了重大的危险，即可在终端上利用跳转攻击在远端商业网络上进行黑客渗透。因此，大多数商业网络管理员对该项技术的使用极其失望，甚至禁止使用该项技术。
发明内容在本文中，本发明的目标是特别提出一种方法，尽管伴随有本地终端通过堵塞隧道连接到了IPsec网关的情况，该方法依然能够寻址本地设备，其中该项功能的获得不会对堵塞隧道所提供的安全性造成负面影响，也无需改进本地终端或是有关的本地设备，尤其是打印机。为此，与前述导言提供的一般性定义相对应地，本发明方法的基本特征在于，它还包括在所述网关中对并非针对所述远端网络的信息流进行发送的操作，该操作包括将来自终端的针对本地网络设备的所述信息流发送到所述本地设备。举例来说，发送操作可以涉及到本地网络路由器对所述信息流的接收，并由所述路由器引导所述信息流到达所述设备。发送操作还可包括网关对信息流的分析，以便识别信息流并不是发送到所述远端网络的。从比较明确和详细的定义来说，本发明也可包括操作这样的本地计算机网络的方法，该网络的配置除所述本地网络之外还，包括-远端专用计算机网络，本地网络经IP类型连接的网络与它相连。-本地路由器，位于本地网络和连接网络的接口处，及-IPsec网关，位于远端网络和连接网络的接口处。-其中，本地网络包括至少一个本地终端以及本地计算机设备，终端通过处于堵塞模式的IPsec隧道连接到IPsec网关，该方法允许从终端来的用于本地设备的控制和/或数据流通过自动重路由而到达网关和以堵塞模式通过隧道，因此包括了-分析操作，在网关接收到来自终端的用于本地设备的控制和/或数据流时执行该操作，包括确定该流并不是供远端网络使用。-发送操作，该操作在网关处执行，包括向本地路由器发送来自终端的控制和/或数据流。-引导操作，该操作在本地路由器处执行，包括将来自本地终端并由网关发送到本地路由器的控制和/或数据流引导到所述本地设备。在终端为连接远端专用网络而向网关发起请求期间，如果分配了可路由地址的本地路由器为本地网络内的终端替换它自己的可路由地址，并且IPsec网关在堵塞通道建立过程中在远端网络内为本地终端分配地址，则该方法还包括在堵塞通道的建立过程中在网关内执行关联操作，该关联操作包括存储一个对应关系表(correspondencetable)以使本地路由器的可路由地址和远端网络中的终端的地址相互对应，其中发送控制和/或数据流的操作使用了该对应关系表，并且包括向本地路由器的可路由地址发送来自于由远端网络内部地址标识的终端的控制和/或数据流。引导操作优选地由端口转换技术来执行。举例来说，控制和/或数据流可包括打印命令。该方法可包含由网关执行的额外操作，包括建立第二IPsec或SSL型隧道以将所述网关连接至本地路由器。作为一种选择，由网关执行的操作可包括建立第二IPsec或SSL型隧道以将所述网关连接至本地设备，在这种情况下，本地设备可由打印机构成。此外，本发明的方法可包括由本地路由器执行的操作，包括保持网关对本地设备的访问，在这种情况下，本地设备可由打印机构成。本发明还涉及到一种包含指令的软件模块，一旦该模块装入到IPsec网关，该指令将至少执行上述定义的方法的关联操作，其中指令也可执行跟本方法所述的分析操作和发送操作。本发明也涉及到IPsec网关，它可由上述定义的软件模块来至少部分地控制。通过下面参照单个附图1做出的示例性的而不是限制性的描述，本发明的其他特征和优点将变得更加清楚。其中图1概略地示出了本发明所实现的架构和设备。具体实施例方式如上所述，本发明尤其涉及到一种方法，该方法用来在这样一种配置中操作诸如家庭网络的本地计算机网络RES_L，图1中示出了这种配置，除了本地网络RES_L以外，该配置还包括远端专用计算机网络RES_D，它可以是例如商业“内联网”网络；本地路由器ROUT_L；以及IPsec网关PASS_D。其中，本地网络RES_L本身包括至少一个本地终端T_L以及本地计算机设备E_L。该本地计算机设备E_L例如可以是打印机或是服务器，该服务器适于基于IP的任意类型的家用业务，并且终端T_L可持续的访问到它。该服务器的例子可以包括ftp、telnet等等。终端T_L可配置成带有一系列外围设备E_L，例如可执行打印任务的打印机，尤其是本地网络打印机。为了连接到IPsec网关PASS_D，它也可执行IPsec协议。IPsec软件被认为只有在堵塞模式时起作用，因而不会授权分置隧道。本地路由器ROUT_L位于本地网络RES_L的输入端，执行多个功能，即-建立终端T_L到互联网的物理连接(ISDN、有线、xDSL等等)；-接受本地网络RES_L内各种设备E_L(PC、打印机、扫描仪、解码器等)的通信；这些连接通常是通过有线以太网或是以无线的方式([IEEE802.11])来实现的。-将终端T_L和设备E_L的内部地址([RFC1918])转换为可路由地址。例如，在本地网络RES_L内，若终端T_L和打印机E_L各自具有内部地址ad_1和ad_2，则在连接到互联网的过程中，路由器ROUT_L将这些内部地址转换为可路由地址AD_1，该地址是路由器在连接到互联网接入提供商网络期间获得的。该转换方法被本领域技术人员公知为NAT/NAPT(网络地址转换，网络地址端口转换)，[RFC3022]。它包括在内部IP地址和内部端口号之间以及在外部IP地址和外部端口号之间维持对应关系表。对每个寻址到路由器ROUT_L或是由它发送的信息包来说，根据该表来执行转换；以及-执行端口转换技术(对于本领域的技术人员来说是公知的“端口转发”)，它包括统计定义了路由器外部端口和路由器内部端口之间的关联，并且它使得本地网络RES_L的外部机器可通过向服务器查询路由器的已知端口号来访问本地网络内部的服务器。IPsec网关PASS_D位于终端T_L和商业网络RES_D之间，负责终止来自终端的IPsec隧道。它具有分组路由功能，因此可通过接口在互联网上开放，也可通过另一接口在专用网络RES_D上开放。在所述终端和所述网关之间建立IPsec堵塞隧道的过程中，分配有例如可路由地址AD_2的网关PASS_D在远端网络RES_D内为终端T_L分配地址ad_3。除了标准的IPsec网关以外，本发明的网关包括软件模块MTI，以它本发明的特定方式为终端T_L提供对设备E_L或是网络RES_L的本地设备，下面将对它进行更加详细地描述。本发明方法的实施是基于下面的假设。本地网络RES_L使用所谓的“专用”寻址规划，也就是它符合RFC1918的标准。这实际上对应于家用路由器ROUT_L创建者的默认选项。该网络采用的DHCP服务器是在“专用”地址范围内分配IP地址。远端网络RES_D(例如商业网络)不会使用和在家庭网络RES_L中所使用的相同的子网寻址。在最低程度上，即使确实存在着这样的重叠，通过考虑请求的来源，与被请求网路相关的不确定性也是可以消除的。举例来说，如果商业和家庭网络同时使用网络10.0.0.X，则-若商业网络RES_D的机器向地址10.0.0.3发送数据包，那么接收设备就是商业网络RES_D中的机器，且-若本地网络RES_L的机器向地址10.0.0.3发送数据包，那么接收设备就是本地网络RES_L中的机器。IPsec网关PASS_D可在一定范围内对此进行区别，因为它知道两个寻址规划并在两个网络之间被分置开来。本发明的方法是基于下面的原则诸如RES_L的家庭网络的所有终端T_L的默认路由器是IPsec网关PASS_D。这样，当终端T_L例如要在它的本地打印机E_L上定制打印任务，该打印任务将系统地发送到IPsec网关PASS_D，因为在终端T_L和网关PASS_D之间建立了堵塞模式的隧道，所以它无法与打印机E_L建立连接。这是IP栈的正常行为，因为IPsec堵塞模式通过强制所有的数据包流向商业网络RES_D而更改了客户的路由表。当IPsec网关PASS_D发现到达的数据包是由终端T_L寻址而向由它的内部地址ad_2所确定的本地设备E_L发送的，它知道不能将数据包路由发送到商业网络RES_D。事实上，鉴于上述假设，被请求的目标ad_2不属于商业网络RES_D，或在最低限度上家庭终端T_L没有理由请求这样的地址。接着网关PASS_D推断出它必须向家庭网络RES_L发送数据包。然而，为了能够重新路由这样的数据流，网关PASS_D需要知道必须向哪个家用路由器ROUT_L发送。根据本发明，这样的信息在先前在终端T_L和IPsec网关PASS_D之间建立IPsec隧道的构建过程中由软件模块MTI构建。事实上，在建立该IPsec隧道期间，由于在家用路由器ROUT_L中执行了NAT机制，因而在此期间使用的是该路由器的公共地址AD_1。在此之后，IPsec网关PASS_D将商业寻址规划的内部地址ad_3分配给终端T_L。IPsec网关PASS_D因此就知道商业内部寻址规划的终端T_L的地址ad_3和家用路由器ROUT_L的公共地址AD_1之间的链路，而软件模块MTI的功能就是专门保持对这一对应关系的跟踪。因此，当IPsec网关PASS_D接收到来自离散终端T_L的IP数据包时，它必须将这些数据包发送给家庭网络RES_L，它准确地知道家用路由器ROUT_L的公共地址AD_1。家用路由器ROUT_L通常执行端口地址转换机制(或“端口转发”)，这样当接收到从互联网到特定端口的连接时，它就能够在特定的端口号上将地址转换至本地内部设备E_L。举例来说，在本例中，所有从互联网和对应地址ad_2的打印端口上接收到的数据包可再次直接发送到内部打印机E_L的端口上。这项技术可用于现有的所有打印协议，尤其是下面要描述的IPP。IETF制定了新的标准，其中在PWG工作组[IETF-IPP]，IPP(互联网打印协议[RFC2910]、[RFC2911])中规定了HTTP/1.1的扩展协议，因而可提供新式地和有效地本地及远端打印方案。关于现有打印协议的技术文档可在以下网址上找到http//www.cups.org/overview.html。当前最为广泛使用的协议之一就是上面提到的IPP协议，尤其因为它得到了大多数设备的支持。它的操作很简单，因为它和HTTP协议很相似。根据客户服务器模式，它的功能和后者相似，客户通常是在端口80/TCP上访问远端打印机。用来处理打印请求的软件模块MTI和安装了该模块的IPsec网关PASS_D的功能内容将在下面进行更为详细的描述。当终端T_L构建它的IPsec隧道时，它参与了与IPsec网关PASS_D的IKE交换(RFC2409)，在此期间，IPsec网关接收源地址是家用路由器ROUT_L的公共IP地址(即AD_1)的IP数据包。实际上，在通过路由器ROUT_L的过程中，该路由器的地址AD_1系统地替代了终端T_L的内部地址ad_1。IPsec网关PASS_D为终端T_L分配了动态IP地址，称为ad_3，它是属于商业网络RES_D的寻址规划内的。IPsec网关知道本地网络RES_L的路由器ROUT_L的公共地址AD_1和动态分配给终端T_L的地址ad_3，它向模块MTI发送消息从而更新与这两个地址有关的对应关系表。当接收到要用地址AD_1和ad_3来更新对应关系表的消息时，软件模块MTI将更新该表。当终端T_L发起打印任务时，它选择本地网络RES_L中的打印机E_L作为目标打印机，就像它在没有建立IPsec隧道时的较简单的方式来进行的那样。因为IPsec隧道是处于堵塞模式的，所以来自终端T_L的用于打印机E_L的控制和数据流将由该隧道引导到IPsec网关PASS_D。当它发现通过IPsec隧道路由到达的数据流指定的机器地址ad_2属于一个网络，但该网络又不是商业网络RES_D时，IPsec网关PASS_D询问软件模块MTI它将把这些数据流引向哪个家用路由器。为此，IPsec网关PASS_D向模块MTI提供了它在商业网络RES_D上看到的终端T_L的地址，也就是说，在IKE交换过程中分配给终端的地址ad_3。通过参考对应关系表，模块MTI根据终端T_L的地址ad_3，推断出家用路由器ROUT_L的公共地址AD_1。IPsec网关根据这个新的目的地更新它的路由表并向家用路由器ROUT_L发送打印任务。换句话说，网关PASS_D执行将所有接收到数据包中转到公共的IP地址，也就是家用路由器ROUT_L的地址AD_1。当家用路由器接收到该信息流时，它通过端口转换机制(“端口转发”)将该数据流重新定向发送到打印机E_L。当终端关闭IPsec会话时，或当IPsec网关PASS_D检测到终端T_L已断开，它请求模块MTI从它的表里将对应于终端T_L的表项删除并将对应于终端的线路从它的路由表中清除。本领域的技术人员在阅读了上述的描述后将明白，本发明的方法可以消除分置隧道传输机制，还可用一种极其安全的方式连接属于终端T_L的网络RES_L的机器。它不会降低商业网络的安全性。本方法不需要在打印机E_L、家用路由器ROUT_L或是终端T_L上做任何的改动和配置。此外，因为本地打印机的参数依然是有效地，即使打印经过了商业网络RES_D，因此它使得用户可享受到打印机先进的性能。替代采用破译模式(unscrambledmode)在网络上传送，在该网关和路由器ROUT_L之间建立的IPsec隧道可防止从IPsec网关PASS_D流向家庭网络RES_L的信息流遭到窃听。当IPsec网关想将信息流重新路由发送到家庭网络RES_L时，隧道应网关的请求而构建。在这种情况下，必须配置家用路由器以便在没有用户的干涉下接受隧道的构建。如果打印机具有在SSL内通信的能力，该网关和打印机E_L之间建立的SSL隧道可防止从IPsec网关PASS_D流向家庭网络RES_L的信息流遭到窃听。因而该项功能也可在本发明中得到很好的使用。在这两种情况中，可以通过鉴别IPsec隧道来防止家庭网络RES_L受到侵入，也由于使用加密技术而确保数据交换的保密性。最后，正如大多数家庭网络许可建立基本的防火墙规则一样，可以建立静态规则，以便维持IPsec网关PASS_D对打印机E_L的访问(通过端口转换机制)，通过保护本地网络RES_L来提供更高水平的安全性。权利要求1.一种用于操作本地网络(RES_L)的方法，所述本地网络包括通过堵塞隧道连接到远端网络的网关的本地终端，所述方法包括通过堵塞隧道将信息流从终端(T_L)路由到网关(PASS_D)的操作，其特征在于，所述方法还包括-在所述网关(PASS_D)中对并非针对所述网络的信息流进行发送的操作，该操作包括将来自所述终端(T_L)的针对本地网络设备的所述信息流发送到所述本地设备(E_L，ad_2)。2.根据前述权利要求所述的方法，其特征在于，所述发送操作包括-由所述本地网络的路由器(ROUL_L)接收所述信息流；-由所述路由器引导所述信息流到达所述设备。3.根据前述权利要求中的任意一项所述的方法，其特征在于，所述发送操作包括-由所述网关对所述信息流进行分析，以便识别所述信息流的并非针对所述远端网络。4.根据前述权利要求中的任意一项所述的方法，其特征在于，在所述终端(T_L)为连接远端专用网络而向所述网关(PASS_D)发起请求期间，分配有可路由地址(AD_1)的所述本地路由器(ROUT_L)将本地网络内的所述终端(T_L)地址ad_1替换成它自己的可路由地址(AD_1)，而在堵塞隧道的建立过程中，所述IPsec网关(PASS_D)在远端网络内为所述本地终端分配地址(ad_3)，该方法还包括在所述堵塞通道的建立过程中在所述网关(PASS_D)内执行关联操作，所述关联操作包括存储对应关系表，所述对应关系表使所述本地路由器的可路由地址(AD_1)和所述远端网络中的所述终端的地址(ad_3)相互对应，其中所述发送控制和/或数据流的操作使用了所述对应关系表，并且包括向所述本地路由器的所述可路由地址(AD_1)发送来自于由所述远端网络内部地址(ad_3)标识的所述终端(T_L)的控制和/或数据流。5.根据与权利要求2相结合的前述权利要求中的任意一项所述的方法，其特征在于，所述引导操作是通过端口转换技术实现的。6.根据前述权利要求中的任意一项所述的方法，其特征在于，所述发送的信息流包括打印任务。7.根据与权利要求2相结合的前述权利要求中的任意一项所述的方法，其特征在于，它包括由所述网关(PASS_D)执行的操作，该操作包括建立第二IPsec隧道或是SSL隧道以将所述网关(PASS_D)连接至所述本地路由器(ROUT_L)。8.根据权利要求1到6中的任意一项所述的方法，其特征在于，它包括由所述网关(PASS_D)执行的操作，该操作包括建立第二IPsec隧道或是SSL隧道以将所述网关(PASS_D)连接至包括打印机的所述本地设备(E_L，ad_2)。9.根据与权利要求2相结合的前述权利要求中的任意一项所述的方法，其特征在于，它包括由所述本地路由器(ROUT_L)执行的操作，该操作包括为所述网关(PASS_D)维持对包括打印机的所述本地设备(E_L，ad_2)的访问。10.一种软件模块，其特征在于包括这样的指令，当所述模块被装载到远端网络的网关上时，所述指令至少执行根据前述任意一项权利要求的方法所述的发送操作。11.根据权利要求10所述的软件模块，其特征在于，它还包括这样的指令，当所述模块装载在IPsec网关上时，该指令至少执行根据权利要求3的方法所述的分析操作。12.根据权利要求10或11所述的软件模块，其特征在于，它还包括这样的指令，当所述模块装载在IPsec网关上时，该指令至少执行根据前述权利要求1到9中的任意一项所述的发送操作。13.一种远端网络网关，其特征在于，它至少部分由根据权利要求10到12中的任意一项所述的软件模块来控制。全文摘要本发明涉及到一种方法，它尤其能够使通过IPsec隧道以堵塞模式连接到远端网络(RES_D)网关(PASS_D)的本地网络(RES_L)的计算机终端(T_L)向属于本地网络的打印机发起打印任务。为此，网关(PASS_D)存储提供终端到互联网连接的本地路由器(ROUT_L)的公共地址(AD_1)和在隧道建立过程中远端网络(RES_D)的寻址规划中分配给终端(T_L)的私有地址(ad_3)之间的对应关系，并向本地路由器(ROUT_L)发送打印信息流，由本地路由器通过端口转换技术引导它到本地打印机(E_L)。文档编号H04L29/06GK1801791SQ20051013192公开日2006年7月12日申请日期2005年12月15日优先权日2004年12月16日发明者奥利维耶·查尔斯,劳伦·比蒂,弗兰克·韦塞申请人:法国电信公司