一种为动态虚拟私用网络提供资源的方法

专利名称：一种为动态虚拟私用网络提供资源的方法
技术领域：
本发明总的来讲涉及一种系统和方法，其用来在另一站点(客户站点)动 态地管理某一站点(服务器站点)所分配的资源，本发明特别涉及一种方法， 其以一种透明的方式在不需要管理人员知道其它网络拓扑的情况下在另一站点 (客户站点)动态地管理某一站点(服务器站点)所拥有的资源。
背景技术：
用来将分布的计算机系统互联的一种最常用的网络就是互联网。互联网能 够使计算机系统的用户在整个世界范围内交换数据。此外，许多公司网或商业 网形式的专用网也连接互联网上。这些专用网通常被称为"内联网"。为了方便 数据的交换，内联网通常釆用与互联网相同的通讯协议。这些互联网协议(IP) 规定了数据的格式形式和通讯方式。此外，公司网或内联网的接入可由虛拟专 用网关或设备来控制。
随着互联网的不断发展，商业上已经将互联网作为其自身网络的一种延伸。 首先是内联网，其成为一种在设计上仅能由公司职员使用的接入控制站点。现
在，许多公司都生成它们自身的VPN(虛拟专用网)，这种网由多个网络结点 构成用来满足远程职员和远程办公的需要。该VPN总体来讲是一种利用公共网 络(通常为互联网)将远程站点或用户连接起来的专用网。与使用专门的、真 实世界的连接如租用的线路不同，VPN使用"虛拟的"连接，从公司的专用网 络经由互联网到达远程的站点或职员。
在一种典型的配置中，局域网要使用多个指定的"虛拟"IP地址子网(如 192.168.x.x,20.x.x.x或172.16.x.x-172.31.x.x )中的一个以及一个路由器，在该路 由器上，网络在其地址空间中有一个专用的地址(如192.168.0.1 )。该路由器同
样也通过互联网服务提供商(ISP)分配的一个"公共"地址或多个"公共"地 址连接到互联网上。当通信从局域网送到互联网时，每一个包中的源地址均在 飞速地从专用地址传递到公共地址。该路由器跟踪每一个活跃连接的基本数据 (特别是目标地址和端口 )。当有一个应答返回到路由器时，其利用输出阶段保 存的连接跟踪数据来确定内部网上哪里发出的应答。
由于通常会有多个客户想接入一个具有多个应用系统的服务器，因此最好 是能够提供一种方法和系统，其能在另一个站点(客户站点)以一种透明的方 式动态地分配某一站点(服务器站点)所具有的资源，而不需要管理员知道其 它网络拓扑。

发明内容
在本发明的一个实施例中提供了一种管理资源的方法，其包括在一个第
一站点至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；
将可获得的资源列表输出到第二站点，其中的第二站点至少向 一个客户公开所
述获得的资源列表；以及向至少一个客户提供至少一种资源的IP地址，从而从 第 一站点向第二站点提供至少 一种资源。
本发明的另一个实施例提供了一种提供资源的方法，其包括在一个第一 站点至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；将 第一站点处可获得的资源列表输出到第二站点，其中的第一站点和第二站点均 为虛拟专用网关；以及将获得的资源列表中的至少 一种资源提供给与第二站点 相关联的至少一个客户。
本发明的另一实施例提供一种提供资源的方法，其包括在一个第一站点 至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；将第一 站点处可获得的资源列表输出到第二站点，其中的第一站点和第二站点均为虛 拟专用网关；将可获得的资源列表中的至少一种资源提供给与第二站点相关联 的至少一个客户；以及其中每一种可获得的资源均由一个资源名称、 一服务器 端口以及一动态生成的标识符所标识。


下面参照附图并结合优选实施例来描述本发明，其中相同的附图标记表示 相同的部件，其中
图1所示为具有可靠的站点对站点应用系统接入的一虛拟专用网的示意 图，其根据的是在另一站点(客户站点)动态提供某一站点(服务器站点)所
分配资源的实施例；
图2所示为具有可控应用系统接入的一虛拟专用网的示意图，其根据另一 个实施例在另一站点(客户站点)选择地将所分配资源提供给某一站点(服务 器站点)；
图3所示为具有应用系统系统到应用系统的接入的一虛拟专用网的示意 图，其根据另 一个实施例釆用域名系统(DNS)和DHCP以便动态地提供资源；
图4所示为 一系统的示意图，该系统根据另 一实施例为网络到网络的连通 性提供一子网；
图5所示为 一系统的示意图，该系统根据另 一实施例通过一 中间站点来提
供一资源。
具体实施例方式
显然，现今许多工业和许多企业都在想通过提高雇员生产率、商业灵活性、 理顺网络管理、大幅降低成本来简化和优化它们的商业运作。为了提供一种可
靠、根据请求随时可用的内部和远程接入，虛拟专用网(VPN)设备可将职员 与远程的应用系统和信息相连从而满足客户的需要，从小型的区域商业到大型 的全球性企业，从金融服务和医疗卫生到政府和教育都包括在内。例如，可靠 地接入应用系统和网络化内容几乎可被所有类型的商业所应用，如，医疗卫生 机构中的管理和临床应用以及病人记录的快速可靠接入的分配，提高客户服务 的同时减少金融机构的成本，由供应链以及零售商的雇员生成出最优的生产率，
快速可靠地接入行政和教育的应用系统；为政府部门的重要工作和数据提供快 速接入和铁夹般的可靠性；提供快速可靠接入和电子邮件服务，最佳获得性以
及在互联网上流水管理可靠性的能力。
网络化的应用有助于商业系统的集成，这样它们就能共享信息并且还能将 雇员、提供商和管理人员连接到自动化商业过程中。无论互联网是用于金融、 供应链、客户关系管理还是用于其它的商业关键应用中，其基本需要都基本相 同，即如果没有适当级别的性能、获得性和安全性时，应用系统就不会回传传 输信息。 一虛拟专用网的网关系统能通过使商业行为减少供应成本、提高雇员 的在岗/招募并能使雇员更好地集中在其责任，从而使商业行为在应用系统基础 设施上的投资收益最大化。此外，随着商业越来越需要通过网络自服务程序来 获取数据和服务，人们越来越需要在VPN网关的性能、实用性和安全性更好的 产品和解决方案。
图1所示为一虛拟专用网(VPN)系统10的示意图，其根据的是在第二站 点50 (客户站点)动态地在某一站点30 (或服务器站点)提供所分配资源的实 施例。如图1所示，系统IO包括至少两个虛拟专用网(VPN)设备或网关 20; —第一站点30，其至少具有一个应用系统服务器32,该服务器构造成至少 拥有一个应用系统；以及至少一个第二站点50。至少的这一个第二站点50使 客户(或客人)能够借助于至少的两个VPN设备或网关20接入第一站点30， 从而借助于一通讯网络12 (即互联网)远程接入该应用系统服务器32。第二站 点50还可包括至少 一个应用系统服务器52，该应用系统服务器52至少具有一 个应用系统。显然，第一站点30和第二站点50在使用时可以互换，即，第一 站点30可用作第二站点50，反之亦然，条件是系统IO包括双向的应用系统到 应用系统的接入。
例如，如图1所示，第一站点30(即，公司总部)包括有一个应用系统服 务器32。第二站点50包括至少一个客户或客户机54，作为优选其包括至少两 个客户或客户机54，其中的客户可包括多个客户(即，客户A和客户B)，第 一站点30的公司的其它办公室。每一个客户站点50还可包括至少一个应用系 统服务器52，这里的第一站点30(公司总部)可获取客户站点应用系统服务器 52上的应用系统或资源。在这种情况下，就存在有一个双向的应用系统到应用系统的接入。
在一实施例中，VPN设备或网关20构造成能够防止未授权的用户使用一 个认证、授权和财务/审计系统如AAA来破坏专用资源。VPN设备的工作由安 全策略，如认证和授权服务器或一 AAA服务器来确定。AAA服务器能够在VPN 设备上实现，或者是用作一个专用服务器来与VPN设备进行通讯。该认证或授 权(或AAA)服务器可在一远程接入VPN的环境中用于更为安全的接入。当 有一客户请求建立一会议时，该请求就委托给认证和授权(AAA)服务器。
图2所示为 一动态VPN系统10的示意图，其通过在另 一站点(客户站点) 在选择地提供某一站点(服务器站点)所分配资源而具有一安全的应用系统到 应用系统接入。图2所示的系统IO可提供由第一站点30所分配多个资源的可 控接入。这些资源可由多个客户站点50安全地获取，这里的多个客户站点50 对其它已接入到这些资源的客户来说是透明的。如图2所示，系统10可包括多 个VPN网关20,这些网关20将多个第二站点50 (如，客户站点53或客户A, 客户站点55或客户B，以及客户站点57或客户C)与第一站点30(服务器站 点)相连，其中的第一站点30在结构分配有多个资源或应用系统。在使用中， 在第一站点30和第二站点50之间优选建立起一条安全的通道16。第一站点30 和第二站点50优选通过一虛拟的专用网络网关31、 51连接起来。显然，第一 站点30和第二站点50也可是任易一种合适的网络设备。尽管如图2所示，系 统IO构造成从第二站点50到第一站点30的单向接入，但显然第二站点50也 可配置成至少存放有一个资源或应用系统(图中未示出)，这样站点30、 50就 可在例如一公司内或是合伙人之间的e-mail交换中用作一个服务器站点和一个 客户站点。系统IO按要求提供一种可靠的应用系统到应用系统的接入，其能使 资源和应用系统如远程打印、文件服务器以及电子邮件转发和提供对互联网具 有安全和透明性。此外，该系统10显然还能在不改变客户和/或用户网络的情 况下做到该网络中。
在本实施例中，每一个站点30、 50均优选包含至少一个资源，该资源可在 管理人员不知道其它网络拓朴的情况下以透明的方式被远程获取。资源或应用
系统32的列表优选一个站点接着一个站点地被公开。因此，如图2所示，第二
站点50构造成可读取第一站点30上的多个资源32,其可被标识为App-Sl、 App-S2、 App-S3和App-S4。因此，最好不要使每一个第二站点50都能获取每 一个资源32,每一个第一站点30优选通过第二站点50来公开可获得的资源32 的列表。例如，客户站点53 (或客户A)可获得App-Sl，客户站点55 (或客 户B )可获得App-S2，客户站点57 (或客户C )可获得App-S3和App-S4。该 VPN网关20通过一个合适的接入控制列表(ACL)或其它合适的系统或者是 这些应用系统或资源的获取权的确定协议来控制资源的获取。该ACL优选为在 当地采用，这样就能在第二站点50和第一站点30来对多个资源或应用系统的 获取进行管理，由此每一个客户站点50均能将获取限制到一定的用户或客户设 备54，同时第一站点30也能够对来自某一客户站点50的接入进行限制。
在一实施例中，第一站点30可具有一个集中的用户认证系统，该系统布置 在第一站点30中。此外，优选根据需要提出或建立一个安全通道从而使该系统 能够使其工作效率达到最大。
在另 一实施例中，系统10还为当地和远程的应用系统和资源提供了 一个网
络接入点。此外，系统io的配置显然应能使最终端的用户或客户仅能获得那些
其已接入的应用系统，并且其配置成还应当使用户(即客户或客户机)54仅能 "看到"那些用户已进入的资源或应用系统32。
在一实施例中，系统10能够在另一站点(第二站点50)上以下面的方式 动态地提供某一站点(第一站点30)所配置的资源32,即资源32对其它接入 该应用系统的用户来说是透明的。第一站点30优选包括一种资源32,例如所 谓"邮件服务器"的邮件服务器资源。该邮件服务器构造成具有一个数字化IP 地址10丄1.5和端口 25。第二站点50连接到第一站点30上并接收可获得的资 源列表。为了保持网络工作的安全性，只将获取该资源所需的最少数据传输出 去。在一实施例中，只有资源的名称、服务器端口和唯一的识别符会被输出到 第二站点50。其中唯一的识别符可以是任易的数值，例如，其可以是l。第二 站点50接收"邮件服务器"、端口25和idl。
为了使远程的资源的能够在当地获得，第二站点50优选包括 一个动态主机
分配协议(DHCP)服务器，其配置在第二站点50上。此外还可在第二站点50 上的IP池中为客户和服务器选择IP地址。IP地址应从这些池中获取而不是从 一个外部服务器获得。显然，其它合适的协议和规则也能使第二站点50请求并 从第一站点30获得一个互联网地址，其中的第一站点30具有一个可供分配使 用的地址列表。在一实施例中，DHCP服务器会在提供远程资源时提供可获得 的IP地址供第二站点50使用。例如，资源"邮件服务器"可被分配IP地址 192.168丄10。此时，第二站点50开始为资源的"邮件服务器'，接收192.168丄10 端口25上的连接。显然，为了使所需的唯一IP地址数目最少，多个资源可重 复使用同一个IP，只要端口不相重叠即可。
每当第二站点50在192.168丄10端口 25上接收到一个连接，就会打通通 道16到第一站点30的通讯。第二站点50优选还包括有用来识别通讯源头处特 定客户机的信息。显然，每当检测到一个新的客户时都能生成一个动态的客户 识别符。该动态客户识别符或客户id优选是一个随机但唯一的数值，该数值中 并不包含有客户的信息。例如，该客户id可以是数值2。然后，第二站点50 就通知第一站点30，客户2正试图连接资源1。
此外，第一站点30显然还需要分配客户IP地址(或者是客户机IP地址)， 其可用作资源地址以便连接到可获得的资源上。通常来讲，只有在第一站点30 必须初始连回客户的情况(即，有效模式文件传输协议(FTP))下，使用客户 IP地址。该客户IP地址还可从第一站点30上的DHCP服务器获得。在第一站 点30上，这些IP地址不可能被多个客户重复使用，每一个客户可以要求获得 其自己的IP地址，因为所需要的端口不可能在事先被确定下来。从提供给客户 的资源那里接收到的信息量从资源idl为客户id2送回到第二站点50。
在一实施例中，虛拟连接可建立在第一站点30的资源32和第二站点50 的客户54之间，其中不会将第一站点30或第二站点50的任何信息曝露给其它 的网络。此外，第一站点30和第二站点50均是在不需要管理人员知道其它网 络拓扑的情况下被透明地分配其它网络的IP地址。该连接的这种透明的特性是
通过下面的方式来实现的使用一种"双向NAT"机制将IP地址分配给第一站 点30上具有的可获得资源32以及与第二站点50相关联的客户或客户机54。
为了使第二站点50的客户机54能够接入第一站点30的资源32，客户机 54通常必须有一个主机名或一个用来连接的IP地址。因此，可获得的资源32 的列表可由一站点的管理员来公开。可获得资源32的列表可通过任何一种合适 的、可由当地的管理员选择进行研发的机理进行公布。例如，如果管理员选择 基于IP地址进行公布，那么就不再需要命名方案。此外，管理员还能选择基于 主机名进行公布，那么第一站点30的资源就需要被分配主机名，并且该主机名 在该站点内是唯一的数字。在一实施例中，管理员可给主机名提供一个域名(其 配置在客户站点上)，该域名不能与网络上的其它主机相冲突。例如，资源名后 带上域名,如dynvpn，其可以是"mailserver.dynvpn."显然，由于dynvpn并不 是一个标准的com、 edu或org的域名，显然其不会与标准的域名相冲突，这样 任何一种不相冲突的域名均可使用。尽管作为主机部分的资源名会对资源名产 生某些限制，但显然这种限制可用在可获得资源32列表的公布中。
在实现实际的命名方案时，显然任何合适的方法都可使用。例如，虛拟专 用网络网关20 ( VPN)可用作所有第二站点50客户或客户机54的主命名服务 器，虛拟专用网络网关20 (VPN)可用作所配置主域的区管，此外，虛拟专用 网络网关20 (VPN)还可尝试自动升级任何一个现有的命名服务器。
如果虛拟专用网络网关20 (VPN)可用作所有客户的主命名服务器，那么 对资源的任何升级都会立即反映出来。如果虛拟专用网络网关20 (VPN)为所 有客户或客户机54的主命名服务器，那么该虛拟专用网络网关20 (VPN)优 选采用集東配置，并将一个备份的虛拟专用网络网关20 (VPN)用作次命名服务器。
在另一实施例中，虛拟专用网络网关20 (VPN)用作资源主域的区管。例 如，管理员可继续使用现有命名服务器。然而，现有的命名服务器显然构造成 优选将虛拟专用网络网关20 (VPN)用作资源主域的区管。在另一实施例中， 该虛拟专用网络网关20(VPN)可将升级发送给资源主机名的现有命名服务器。
显然，IP映射的主机名必须随时改变。首先，加上一个新的资源就需要一 个新主机名以便IP映射，这一点不会影响到现有入口。第二，去掉一个资源也 会去掉一个现有的IP映射的主机名。尽管主机名和IP可缓存到某些客户机上， 但客户站点(或第二站点50)可能无法接收已去除资源的连接。最后，资源可 改变其配置。在动态虛拟专用网络系统10中，配置的改变有可能仅能出现在一 资源被去除相同的资源名被不同的服务器功能再用的情况。例如，POP邮件服
务器可被去掉，同时一新的IMAP邮件服务器被加上并使用同一个"邮件服务
器"资源名。显然，去掉现有的一个资源，然后加上一个新的资源，就构成了 可获得资源列表的一个变化，同时当地的管理员也需要做一些必要的变化。这
包括从冲掉DNS缓存到通知用户的 一 系列变化。
作为选择，网络管理员构造成可将站点30、 50保留住它们的实际IP地址， 这样就不需要进行地址映射。显然，如果要进行地址映射，系统就会按"透明 模式"进行操作。
图3所示为一系统10的示意图，该系统用来在第二站点50 (位置B)上 提供来自第一站点30 (位置A)的资源。如图3所示，系统10包括一个第一 站点30，其构造成至少具有一个资源32 (应用系统服务器A)。至少的这一个 资源32优选分配到第一站点30中的服务器24上。该第一站点30优选为一虛 拟专用网络网关或设备20。在第一站点30和第二站点50之间建立起一条可靠 的、优选为SSL通道或其它合适通道协议的连接16,这样第一站点30这里的 至少的这一个资源32就输出到第二站点50。第二站点50优选也是一个虛拟专 用网络网关或设备20。如图3所示，在一实施例中，至少的这一个资源32可 利用任何 一种合适的服务器24从第 一站点32输出到第二站点50。
显然，每当第一站点30和第二站点50之间建立起一条连接，第二站点50 就会接收到一个可获得资源32的列表，并且其通过获取至少的这一个资源32 的IP地址从而将至少的这一个资源做成当地可以获取的形式。该IP地址可从 下面方式获得 一静态IP地址池或多个静态IP地址，第一站点30的实际IP 地址或预分配的IP地址，或者是从第二站点50中的DHCP服务器26(步骤2)
获得。其中的DHCP服务器26提供出可获得的IP地址列表供第二站点50使用 以便提供至少的这一个资源32。
在一实施例中，DHCP服务器26会在提供远程资源时提供可获得的IP地 址供第二站点50使用。例如，资源32 (应用系统服务器A)可在第二站点50 这里分配IP地址192.168丄10。然后，第二站点50就开始在资源32 (应用系 统服务器A)的192.168丄10端口 21上接收连接。显然，为了使所需的唯一IP 地址的数目最小，同一个IP可供多个资源使用，只要该端口不重叠即可。
第二站点50也可对第二站点50这里的客户机25上的另一个资源33 (应 用系统服务器B)进行配置从而在第一站点30这里获取一个资源32 (应用系 统服务器A)。每当第二站点50在192.168丄10的端口 21上接收到一个连接时， 其会打通从该通道到第一站点30的通讯。第二站点50作为优选也包括有用来 识别通讯来源的特定客户机25的信息。显然，每次检测出一个新的客户时，均 可生成出动态客户标识符。该动态客户标识符或客户ID作为优选是一个随机但 唯一的数值，其并不包含有客户的任何信息。
此外，第一站点30构造成可分配客户IP地址，该地址可用作资源地址以 便连接到服务器资源上。通常来讲，该客户IP地址用在第一站点30需要初始 连回客户的情况(即有效模式文件传输协议(FTP))。该客户IP地址还可由第 一站点30这里的DHCP服务器26获得(步骤7)。在一实施例中，可在第一站 点30的资源和第二站点50的资源之间建立起一个虛拟连接，同时不将与服务 器或客户有关的任何信息暴露给其它的网络。此外，第一站点30和第二站点 50在其它网络中均为透明分配的IP地址，其不需要管理员知道其它网络的拓 扑。
为了使第二站点50这里的客户机获得第一站点30的资源，客户机通常必 须具有一个主机名或者是一个IP地址从而连接上。因此，资源32的列表可由 第二站点50的管理员利用域名系统(DNS)服务器28公布(步骤4)。该域名 服务器28可用来将与资源列表相关联的域名转换成IP地址(步骤5)。资源列 表可由任何一种合适的、可由当地管理员选择研发的机制公布。例如，如果管
理员选择基于IP地址公布，那么就不再需要命名方案。作为选择，管理员可选 择基于主机名进行公布，此时第一站点30资源就必须被分配给主机名，该主机 名在第二站点50中必须是唯一的。例如，管理员可给主机名提供一个域名(其
在第二站点50上分配)，该域名不得与网络上的其它主机相冲突。
图4所示为 一 系统10的示意图，该系统根据另 一 实施例为网络到网络的连 通性提供互联网的一子网或物理网。如图4所示，系统IO包括多个彼此相互联 接的虛拟专用网络网关20。这些虛拟专用网络网关20构造成连接到一个带有 多个子网或远程站点的主站点上。例如，在加利弗尼亚旧金山的一个公司可在 纽约州华盛顿巿、纽约巿和洛杉机巿有站点(即办公室)。显然，系统10构造 成可利用子网将一资源或其它应用系统至少从一个站点输出，其中的站点至少 具有一个资源或应用系统。
在一实施例中，第一站点30构造成借助于一个可靠通道提供应用系统或资 源从而将资源或应用系统输出到一个远程站点或第二站点50，其中的可靠通道 是建立在第二站点50和第一站点30之间的通道。客户或客户机54连接到第二 站点50上，其中的客户或客户机54请求从第一站点30获得至少的这一个资源 或应用系统，然后再将其提供给客户或客户机54。显然，这种釆用域名系统 (DNS)的动态虛拟专用网络可用在多种场合，这包括如图3所示的可靠的站 点到站点或应用系统到应用系统的接入(单向和/或双向)，或者是如图4所示 的中心辐射(hub-spoke)关系，或者是在一个具有一个或多个站点的公司内两 个站点之间的对等网络应用系统，或者是客户机的整个网络。
图5所示为一系统的示意图，该系统通过一中间站点IOO来提供资源。该 系统IO包括一个第一站点30、第二站点50以及第一站点30和第二站点50之 间的一个中间站点100。该第一站点30构造成具有至少一个资源32,其可输出 到第二站点50以便提供给至少的这一个客户机54。如图5所示，至少的这一 个资源32可通过至少的这一个中间站点100从第一站点32输出到第二站点50, 然后其再提供给至少的这一个客户54。显然，中间站点IOO优选为一个虛拟专 用网络网关20，其构造成能够从第一站点30接收可获得的资源列表，并能将
该资源列表输出给第二站点50，然后该第二站点50再将至少的这一个资源32 提供给至少的这一个客户机54。
显然，至少的这一个中间站点100构造成可具有至少的这一个资源32,该 资源从第一站点30输出到中间站点100。在另一实施例中，中间站点100—旦 与第二站点50相连就将可获得的资源列表输出给第二站点50，其中第二站点 50构造成将资源提供给第二站点50内至少的这一个客户或客户机54。
上述实施例均是实现本发明的具体方式，但本发明并不限于这些实施例。 显然，本领域技术人员在本发明构思和权利要求保护范围之内还会有许多变化。
权利要求
1、一种提供资源的方法，其包括在一个第一站点至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；将可获得的资源列表输出到第二站点，其中的第二站点至少向一个客户公开所述获得的资源列表；以及通过向至少一个客户提供该至少一种资源的IP地址，从而从第一站点向第二站点提供该至少的一种资源。
2、 如权利要求i的方法，其进一步包括向该至少的一个客户提供该至少 的 一个资源的IP地址，其中的第二站点提供该至少的一个资源的IP地址。
3、 如权利要求2的方法，其进一步包括；将该至少的一个客户的IP地址 提供给该至少的 一 个资源，其中的第 一 站点提供该至少的 一 个客户的IP地址。
4、 如权利要求2的方法，其进一步包括利用第二站点上配置的动态主机 配置协议(DHCP)服务器来获取该至少的一个资源的IP地址。
5、 如权利要求3的方法，其中该至少一个客户的IP地址是利用第一站点 上配置的动态主机配置协议(DHCP)服务器来获取的。
6、 如权利要求2的方法，其中该至少一个资源的IP地址是利用第二站点 上配置的IP地址池来获取的。
7、 如权利要求3的方法，其中该至少一个客户的IP地址是利用第一站点 上配置的IP地址池来获取的。
8、 如权利要求2的方法，其中该至少一个资源的IP地址是利用该至少一个资源的实际IP地址获取的。
9、 如权利要求3的方法，其中该至少一个客户的IP地址是利用该至少一 个客户的实际IP地址获取的。
10、 如权利要求l的方法，其中可获得资源的列表包括资源名、服务器 端口和一标识符，或特定的IP地址和IP地址范围。
11、 如权利要求1的方法，其中的第二站点进一步包括一个域名系统(DNS)服务器。
12、 如权利要求1的方法，其进一步包括给第一站点提供用来识别该至 少一个客户的信息。
13、 如权利要求12的方法，其中的用来识别该至少一个客户的信息是任意 随机的标识符，其中并不包含该至少一个客户的信息。
14、 如权利要求l的方法，其进一步包括给该至少的一个资源提供用来 识别该至少一个客户的信息。
15、 如权利要求l的方法，其中的可靠连接是利用一可靠的安全套接层 (SSL)或传输层安全(TLS)协议来生成的。
16、 如权利要求l的方法，其进一步包括至少一个中间站点，该至少的一 个中间站点处于第一站点和第二站点之间。
17、 如权利要求1的方法，其中的第二站点用作第二站点上可获得资源列 表的主命名服务器。
18、 如权利要求l的方法，其中的第二站点用作可获得资源列表的区域管 理服务器。
19、 如权利要求l的方法，其中的第二站点构造成能为可获得资源列表将 升级信息发送给现有的主机名域名服务器(DNS)。
20、 如权利要求l的方法，其中每一个可获得的资源均由资源名、服务器 端口和一动态生成的标识符来识别。
21、 一种提供资源的方法，其包括 在一个第一站点至少存放一种资源； 在第一站点和第二站点之间建立一个可靠的连接；将第一站点处可获得的资源列表输出到第二站点，其中的第一站点和第二站点均为虛拟专用网关；以及将可获得的资源列表中的至少一种资源提供给与第二站点相关联的至少一 个客户。
22、 一种提供资源的方法，其包括在一个第一站点至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；将第一站点处可获得的资源列表输出到第二站点，其中的第一站点和第二站点均为虛拟专用网关；将可获得的资源列表中的至少一种资源提供给与第二站点相关联的至少一 个客户；以及其中每一种可获得的资源均由一个资源名称、 一服务器端口以及一动态生 成的标识符所标识。
全文摘要
本发明提供一种利用动态主机分配协议(DHCP)服务器来进行动态虚拟专用网(VPN)的资源管理，一种域名系统(DNS)和/或静态IP地址分配。具体说，提供了一种提供资源的方法，其包括在一个第一站点至少存放一种资源；在第一站点和第二站点之间建立一个可靠的连接；将可获得的资源列表输出到第二站点，其中的第二站点至少向一个客户公开所述获得的资源列表；以及向至少一个客户提供该至少一种资源的IP地址从而从第一站点向第二站点提供该至少的一种资源。
文档编号H04L12/46GK101184015SQ20071015183
公开日2008年5月21日 申请日期2007年9月20日 优先权日2006年9月29日
发明者亚瑟·常, 任丽美, 苏乃婷, 赵玲燕, 迈克尔·武 申请人:华耀环宇科技有限公司