专利名称:一种基于p2p-vpn技术穿越nat的远程访问网关的制作方法
技术领域:
本发明属于一种嵌入式网关设备;是一种嵌入式的基于SSL协议的VPN网关设备。
背景技术:
当前,网络的应用越来越普,不仅在我们的工作中离不开网络,就是在我们的日常 生活中网络的作用也是越来越大。远程办公从一般的远程登录到公司的业务电脑扩展到远 程查看公司里面的摄像头。不但能够在外面或家里访问和使用自己在公司的电脑,还可以 实时查看公司里面的工作情况。目前远程访问的方案在实现远程访问的时候,修改路由器 的配置。这个对于一般中小企业没有专门的网络管理人员的情况,是一个比较高的要求。而 且,通过端口映射配置的远程访问方案,一方面需要额外的配置,另外也可能需要采用固定 的公网IP,从而进一步提高了用户的日常使用费用。随着公网IP地址的逐渐减少,这样的 需要将越来越不容易满足。甚至,做端口映射还有一个最大的问题是将公司内部网络的电 脑或视频设备暴露在互联网上面。唯一的控制手段就是密码。网络的黑客可以通过暴力破 解的方式破解密码。即使不能破解,也会对网络的正常使用造成影响。对于公司里面配置 了多个电脑或摄像头的情况,对于每一个摄像头映射成不同的端口,每一个电脑也映射成 不同的端口,往往使用的路由器的最大可映射的端口数也有限制。经过映射的端口往往也 不稳定,不能保证及时使用,造成需要频繁重启路由器的问题。
发明内容
本发明的目的是提供一种基于P2P-VPN技术穿越NAT的远程访问网关。本发明的目的是按以下方式实现的,基于P2P-VPN技术穿越NAT的远程访问网关, 是居于internet的技术,并结合嵌入式系统应用,采用VPN网络技术在公网上的服务器的 协助下与运行在终端上的客户端软件建立点对点的隧道联接。联接一旦建立,公网上的服 务器不再参与P2P-VPN网关与客户端软件之间的通信。客户端软件与本P2P-VPN网关是真 正意义上的P2P联接,实现了网络中NAT的穿越,为用户提供远程访问及控制的桥梁,使用 户实现如媒体、控制、资料的信息的远程接入访问。当然,也可以应用在智能家居领域,实现 家居网络化,比如家用电器的远程访问、远程控制等。在网络安全方面,本模块使用工业标 准SUSecuritySocket Layer)协议,实现了 0SI 2层及3层安全网络扩展,有效的保证数 据的安全性。该网关包括嵌入式Linux内核、嵌入式文件系统、网络隧道管理模块、VPN模块; CGI模块;BOA模块及网络接口,其中,Linux内核分别与网络模块接口、VPN模块接口、CGI 模块接口、B0A接口相互连接,Linux内核通过与VPN接口、网络接口的链接实现VPN隧道的 创建和保持任务;Linux内核通过与CGI接口、B0A接口的链接实现用户接口的管理,完成用 户信息的录入、设置任务;在嵌入式平台上整合了基于SSL协议的VPN网关模块、Boa Web server模块和CGI模块,在公网服务器的协助下自动实现网络中NAT的穿越,并与客户端之 间建立点到点隧道联接,实现P2P功能。
4
本发明的有益效果本发明的网关实现了嵌入式平台上SSL协议VPN,在ARM9平台上实现了 VPN技术、 嵌入式网络服务器技术(B0A)、CGI技术、虚拟拨号技术、防火墙技术。在公网服务器的协助 下,实现NAT的穿越,有效的解决了从外网访问内网的问题。还具有成本低廉、组网方便、操 作简单,可以代替庞大的VPN软件实现VPN功能。可以提供三层网络访问、控制。提供点对点的VPN隧道服务。性能稳定、适应网络范围广、NAT穿越性能强。采用VPN加密隧道技术、P2P连接, 保证数据传输安全,任何第三方都无法窥视。具有很好的安全可靠性可以实现无计算机值 守服务、无须公网IP地址,即可实现低成本组建跨区域内部网。
图1是网关内部模块结构示意图;图2是使用单一客户端访问远端办公室监控摄像机的网络结构图;图3是使用处于同一局域网中的多客户端访问远端办公室监控摄像机的网络结 构图。图4是网关的电路原理图。
具体实施例方式参照附图对本发明的基于P2P-VPN技术穿越NAT的远程访问网关做以下详细的说 明基于internet的技术,结合嵌入式系统应用,采用VPN网络技术在公网上的服务 器的协助下与运行在终端机上的客户端软件建立点对点的隧道联接,联接一旦建立,公网 上的服务器不再参与P2P-VPN网关与客户端软件之间的通信,客户端软件与P2P-VPN网关 是真正意义上的P2P联接,实现了网络中NAT的穿越,为用户提供远程访问及控制的桥梁, 使用户实现如媒体、资料的信息的远程接入访问;网关包括嵌入式Linux内核、嵌入式文件系统、网络隧道管理模块、VPN模块;CGI 模块;BOA模块及网络接口,其中,Linux内核分别与网络模块接口、VPN模块接口、CGI模块 接口、BOA接口相互连接,Linux内核通过与VPN接口、网络接口的链接实现VPN隧道的创 建和保持任务;Linux内核通过与CGI接口、BOA接口的链接实现用户接口的管理,完成用 户信息的录入、设置任务;在嵌入式平台上整合了基于SSL协议的VPN网关模块、Boa Web server模块和CGI模块,在公网服务器的协助下自动实现网络中NAT的穿越,并与客户端之 间建立点到点隧道联接,实现P2P功能。硬件是由中央处理器、12MHz时钟单元、3. 768Hz时钟单元、按键指示灯单元、USB 单元、WiFi单元、UART单元、NANDFL ASH单元、SRAM单元、以太网单元DM9003EP、25MHz单 元、RJ45接口单元1、RJ45接口单元2组成,其中12MHz时钟单元、3. 768Hz时钟单元、按键 指示灯单元、USB单元、WiFi单元、UART单元、通过数据线与中央处理器连接,NAND FLASH 单元、SRAM单元和以太网单元DM9003EP通过数据总线与中央处理器连接,25MHz时钟单元、 RJ45接口单元1和RJ45接口单元2通过数据线与以太网单元的连接;一个复位键,与中央处理器连接,用于恢复系统到出厂设置;
按键指示灯单元包括电源指示灯一个,网口连接指示灯两个,系统在线状态指示 灯一个。采用了嵌入式linux系统,由linux操作系统来管理、协调各功能模块的工作,在 网络隧道管理模块中采用虚拟专用网技术,在公网IP服务器的协助下完成与客户端软件 的P2P联接;包括以下内容 嵌入式Linux操作系统;系统平台选用linux-2. 6. 8内核;开发环境及工具redhat9环境下全部代码开发采用C语言,平台交叉编译工具采 用 armlinux_cross_tools_3. 3. 2 ;虚拟专用网技术-VPN ;服务端代码在嵌入式linux系统模块上运行,而客户端在windows系统上运行,全 部代码经过VPN代码移植,并根据实际应用增加应用模块代码后完成;ARM9嵌入式微处理器外扩高速以太网交换芯片;在高速以太网的设计上采用了 DM9003E P控制器.包括驱动代码编写、测试工作;嵌入式web服务器boa ;提供模块的内部管理、配置方法接口,用户通过IE浏览器实现模块的功能配置;CGI接口使用户通过浏览器实现模块内部功能的调用和自行开发;拨号软件PPPoE ;为用户提供DSL的拨号连接功能,无需DSL猫设备,直接拨号,方 便用户使用。通过具有公网IP的管理服务器与客户端建立点到点的隧道联接,具有公网IP的 管理服务器负责本P2P-VPN网关与客户端软件之间的握手信息的建立,不参与本P2P-VPN 网关与客户端之间的点对点的通信。在P2P-VPN网关与客户端的隧道建立,及隧道内信息安全处理上采用工业标准 SSL (Security Socket Layer)协议。在远程端无需主机的情况下实现客户端对该远程端的媒体设备、文件服务的访 问。实施例1如图2所示,该方案展示了使用单一客户端访问远端办公室监控摄像机的网络结 构。处于被监控端的办公室内的设备无需任何调整和设置,只需要将网络摄像机和 P2P-VPN网关直接连入并根据具体的网络环境设置网络摄像机和P2P-VPN网关的相关参 数,而处于监控端的用户,只需要保证自己的计算机可以连接入互联网并安装、配置了随设 备提供的客户端软件,就可以实现对互联网另一端的网络摄像机的访问。同样,连入互联网的其他单一客户端也可以通过这个方式共同访问同一网络摄像 机资源。实施例2如图3所示,该方案展示了使用处于同一局域网中的多客户端访问远端办公室监 控摄像机的网络结构。处于被监控端的办公室内的设备的配置和设置同方案1,而处于监控端的多个用户,可以通过安装客户端软件的方式访问远端的网络摄像机(如客户端1、客户端3),也可 以不安装客户端软件而是通过发明所提供的网络共享方式来访问网络摄像机。
权利要求
一种基于P2P-VPN技术穿越NAT的远程访问网关,其特征在于,基于internet的技术,结合嵌入式系统应用,采用VPN网络技术在公网上的服务器的协助下与运行在终端机上的客户端软件建立点对点的隧道联接,联接一旦建立,公网上的服务器不再参与P2P-VPN网关与客户端软件之间的通信,客户端软件与P2P-VPN网关是真正意义上的P2P联接,实现了网络中NAT的穿越,为用户提供远程访问及控制的桥梁,使用户实现如媒体、控制、资料的信息的远程接入访问;网关包括嵌入式Linux内核、嵌入式文件系统;网络隧道管理模块、VPN模块;CGI模块;BOA模块及网络接口,其中,Linux内核分别与网络模块接口、VPN模块接口、CGI模块接口、BOA接口相互连接,Linux内核通过与VPN接口、网络接口的链接实现VPN隧道的创建和保持任务;Linux内核通过与CGI接口、BOA接口的链接实现用户接口的管理,完成用户信息的录入、设置任务;在嵌入式平台上整合了基于SSL协议的VPN网关模块、Boa Web server模块和CGI模块,在公网服务器的协助下自动实现网络中NAT的穿越,并与客户端之间建立点到点隧道联接,实现P2P功能。
2.根据权利要求1所述的网关,其特征在于,硬件是由中央处理器、12MHz时钟单元、 3. 768Hz时钟单元、按键指示灯单元、USB单元、WiFi单元、UART单元、NANDFL ASH单元、 SRAM单元、以太网单元DM9003EP、25MHz单元、RJ45接口单元1、RJ45接口单元2组成,其中 12MHz时钟单元、3. 768Hz时钟单元、按键指示灯单元、USB单元、WiFi单元、UART单元、通过 数据线与中央处理器连接,NANDFLASH单元、SRAM单元和以太网单元DM9003EP通过数据总 线与中央处理器连接,25MHz时钟单元、RJ45接口单元1和RJ45接口单元2通过数据线与 以太网单元的连接;一个复位键,与中央处理器连接,用于恢复系统到出厂设置;按键指示灯单元包括电源指示灯一个,网口连接指示灯两个,系统在线状态指示灯一个。
3.根据权利要求1所述的远程访问网关,其特征在于,采用了嵌入式Iinux系统,由 Iinux操作系统来管理、协调各功能模块的工作,在网络隧道管理模块中采用虚拟专用网技 术,在公网IP服务器的协助下完成与客户端软件的P2P联接;包括以下内容嵌入式Linux操作系统;系统平台选用linux-2. 6. 8内核;开发环境及工具redhat9环境下全部代码开发采用C语言,平台交叉编译工具采用 armlinux—cross—tools—3· 3. 2 ;虚拟专用网技术-VPN ;服务端代码在嵌入式Iinux系统模块上运行,而客户端在windows系统上运行,全部代 码经过VPN代码移植,并根据实际应用增加应用模块代码后完成;ARM9嵌入式微处理器外扩高速以太网交换芯片;在高速以太网的设计上采用了 DM9003E P控制器.包括驱动代码编写、测试工作;嵌入式web服务器boa ;提供模块的内部管理、配置方法接口,用户通过IE浏览器实现模块的功能配置;CGI接口使用户通过浏览器实现模块内部功能的调用和自行开发;拨号软件PPPoE ;为用户提供DSL的拨号连接功能,无需DSL猫设备,直接拨号,方便用户使用。
4.根据权利要求1所述的远程访问网关,其特点在于通过具有公网IP的管理服务器 与客户端建立点到点的隧道联接,具有公网IP的管理服务器负责本P2P-VPN网关与客户端 软件之间的握手信息的建立,不参与本P2P-VPN网关与客户端之间的点对点的通信。
5.根据权利要求1所述的远程访问网关,其特点在于在P2P-VPN网关与客户端的隧 道建立,及隧道内信息安全处理上采用工业标准SSL (Security SocketLayer)协议。
6.根据权利要求1所述的远程访问网关,其特点在于在远程端无需主机的情况下实 现客户端对该远程端的媒体设备、文件服务的访问。
全文摘要
本发明一种提供基于P2P-VPN技术穿越NAT的远程访问网关,该网关是基于internet的技术,结合嵌入式系统应用,利用虚拟的VPN网络技术在公网上的服务器的协助下与运行在终端机上的客户端软件建立点对点的隧道联接,联接一旦建立,公网上的服务器不再参与P2P-VPN网关与客户端软件之间的通信,客户端软件与P2P-VPN网关是真正意义上的P2P联接,实现了网络中NAT的穿越,为用户提供远程访问及控制的桥梁,使用户实现如媒体、资料的信息的远程接入访问;该网关和现有技术相比,性能稳定、适应网络范围广、NAT穿越性能强。可以实现无计算机值守服务、无须公网IP地址,即可实现低成本组建跨区域内部网。
文档编号H04L12/46GK101854313SQ20091001904
公开日2010年10月6日 申请日期2009年9月27日 优先权日2009年9月27日
发明者张峰, 殷曙光, 齐新 申请人:济南维优科技开发有限公司