专利名称:用于自动虚拟专用网络的方法与系统的制作方法
技术领域:
本发明涉及用于自动虚拟专用网络(VPN)的方法、系统和计算机程序产品领域。
背景技术:
VPN是跨诸如互联网的公共网络的专用内联网的扩展,从而创建安全的专用连接。 VPN安全地跨连接远端用户、分公司和商业伙伴的互联网传送信息到扩展的公司网络中。这种效果是通过安全加密隧道实现的,这种安全加密隧道允许专用网络经公共网络的连接发送数据。该安全加密隧道在由公共网络载送的包中封装了网络协议。在两个位置之间经安全加密隧道发送的数据不能被任何其他人读取。
发明内容
本发明的一种实施方式包括一种用于通过VPN从远端位置对数据进行安全访问的方法。用于连接到VPN的参数是由连接到本地网络的VPN管理者和连接到远端网络的用户建立的,其中基于该参数生成自动VPN标识号。远端IP地址安装在用户的自动VPN设备上。该自动VPN标识号绑定到访问列表;而且,该访问列表附连到用户的自动VPN设备。从用户接收访问VPN的请求。如果该请求包括自动VPN标识号,那么对VPN的访问是通过安全加密隧道提供的。该安全加密隧道提供对VPN内的多个站点的自动访问,而不需要用户再次输入自动VPN标识号。本发明的另一种实施方式包括一种用于通过VPN从远端位置对数据进行安全访问的系统。该系统包括本地自动VPN设备和远端自动VPN设备。本地自动VPN设备将本地网络连接到公共网络;而远端自动VPN设备将远端网络连接到公共网络。远端自动VPN设备包括用于存储自动VPN标识号的储存器,其中所述自动VPN标识号是基于由本地自动VPN 设备和远端自动VPN设备商定的连接参数生成的。本地自动VPN设备和远端自动VPN设备包括安全加密隧道,如果远端自动VPN设备包括所述自动VPN标识号,则该安全加密隧道用于提供由远端网络对本地网络的访问。
参考附图来描述本发明。附图中,类似的标号指示完全相同或者功能类似的元件。图1例示了根据本发明实施方式的用于通过VPN从远端位置对数据进行安全访问的系统;图2是例示了根据本发明实施方式的用于在网络工程师和客户之间建立连接参数的方法的流程图;图3是例示了根据本发明实施方式的用于通过VPN从远端位置对数据进行安全访问的方法的流程图;及图4例示了根据本发明实施方式的计算机程序产品。
具体实施例方式以下详细讨论本发明的示例非限制性实施方式。尽管讨论了具体配置以便提供清晰的理解,但是应当理解,所公开的配置仅仅是出于例示目的而提供的。本领域普通技术人员将认识到,在不背离本发明主旨与范围的情况下,也可以采用其它配置。本发明的一种实施方式允许用户拥有通过自动VPN自动地访问远端位置的文件、 数据库及其它数据的安全途径。一旦加密域被认证了一次,该VPN环境的所有实例就具有了自动访问远端文件的能力,而不需要通过安全加密隧道进一步认证。因此,自然人不需要为了让用户访问远端位置的文件而手动地认证用户ID和密码。在本发明的至少一种实施方式中,网络工程师(例如,VPN管理员)将对等的IP地址(在这里也称为“远端IP地址”)输入到客户位置的VPN连接设备中。一旦输入了对等 IP地址,就发生了与客户网络的VPN连接设备的协商。连接自动地协商第一阶段互联网安全关联和密钥管理协议(ISAKMP)信息和第二阶段互联网协议安全(IPSEC)数据。在第一阶段的处理中,每一方(例如,网络工程师和客户)都建立ISAKMP安全关联,用以使在计算机系统之间发送的信息安全。在第二阶段的处理中,每个系统都通过协商一个或多个安全关联来创建IPSEC安全关联,用以使在系统之间发送的数据通信安全,并且系统通过使用分阶段的ID和策略来交换IP地址。图1例示了根据本发明实施方式的用于提供从远端位置对数据的安全访问的系统。更具体而言,由连接到远端网络120A和/或120B的用户访问来自本地网络110的数据。在另一种实施方式中,系统100只包括一个远端网络。在还有另一种实施方式中,系统 100包括多于两个远端网络。数据存储在连接到本地网络110的用户的机器112、114和/ 或本地服务器116上。本地自动VPN设备118经路由器119将本地网络110连接到互联网 130。由连接到远端服务器122六、124六、1洸六、1228、1对8和/或1268的用户来访问数据。远端自动VPN设备128A和128B分别经路由器129A和129B以及外部互联网连接132 将远端网络120A和120B分别连接到互联网130。路由器119、129A和129B是IP层3的设备,它们负责将来自一个远端数据网络位置的数据发送和接收到另一个远端数据网络位置。外部互联网连接132是开放的互联网,其允许将数据从一个数据网络位置发送以及接收到另一个数据网络位置。为了建立自动VPN连接,网络工程师将对等IP地址和共享的ISAKMP密钥输入到自动VPN设备118U28A和128B中。在本地自动VPN设备118与远端自动VPN设备128A和 128B之间发生协商。该VPN连接自动地在远端自动VPN设备128A和128B协商第一阶段 ISAKMP参数和第二阶段IPSEC参数。在商定的协商成功发生之后,远端自动VPN设备128A 和128B自动地在远端网络120A和120B创建VPN标识号。一旦创建了 VPN标识号,网络工程师就将它绑定到访问列表并将该访问列表附连到远端自动VPN设备128A和U8B。相应地,被允许的数据通信流经远端自动VPN设备128A 和U8B,而无需网络工程师帮助手动地输入VPN协商参数。图2是例示根据本发明实施方式的用于在网络工程师(在此也称为“VPN管理者”) 和客户(在此也称为“用户”)之间建立连接参数的方法的流程图。在至少一种实施方式中,网络工程师和/或客户是人类个体或者一组人。在另一种实施方式中,网络工程师和/或客户是包括计算机硬件和/或软件的非人类的系统部件。 尽管图2例示项目210、220、230、240、250、260和270是按数字次序执行的,但是在本发明的另一种实施方式中,项目210、220、230、240、250、260和270也可以不同的次序执行。例如,隧道协议是在加密技术商定之前建立的。在另一种实施方式中,忽略项目210、 220、230、M0、250、260和270中的一个或者多个。例如,网络工程师和客户不协商变换集参数。 连接模块确定在客户的VPN连接设备上是否启用自动VPN 010)。如果自动VPN没有启用,则连接结束(212)-远端连接必须手动建立。如果启用了自动VPN,则连接模块确定在网络工程师和客户之间是否商定了散列(hashing)类型020)。如果没有商定散列类型,则连接结束(212)。散列确保在自动VPN上发送的信息在发送期间没有以任何方式被改变。例如,网络工程师生成消息和该消息的散列。该消息和散列被加密并在自动VPN上发送。客户解码该消息和散列,并从所接收到的消息产生另一散列。比较这两个散列;而且,如果这两个散列相同,则很有可能消息未被改变。如果商定了散列类型,则连接模块确定在网络工程师和客户之间是否商定了加密技术030)。如果加密技术未商定,则连接结束012)。然而,如果商定了加密技术,则连接模块确定在网络工程师和客户之间是否建立了隧道协议O40)。如果隧道协议还未建立,则连接结束012)。计算机网络使用隧道协议来使一个网络(例如,一个组织的LAN)可以通过另一个网络的连接(例如,互联网)安全地发送其数据。隧道在由第二个网络载送中的包中封装了网络协议。例如,该组织的LAN将它自己的网络协议嵌入由互联网载送的TCP/ IP包中。如果已经建立了隧道协议,则连接模块确定在网络工程师和客户之间是否商定密钥分发类型050)。如果没有商定密钥分发类型,则连接结束012)。密钥经自动VPN分发到客户,其中密钥用于解码消息。密钥分发类型定义密钥发送到客户的模式(例如,使用可信信使,使用现有加密通道)。如果商定了密钥分发类型,则连接模块确定在网络工程师和客户之间是否商定了变换集060)。如果没有商定变换集,则连接结束012)。变换集是建立自动VPN的路由器商定的一组策略。变换集具有三个配置元素数据加密、数据认证和封装模式。如果商定了变换集,则生成自动VPN ID号(270)。在本发明的至少一种实施方式中,用户将自动VPN ID号绑定到访问列表,其中访问列表附连到用户的VPN连接设备的接口。在一种实施方式中,自动VPN ID号允许对VPN 伙伴和客户网络的自动访问。在访问列表附连到接口之后,无需网络工程师的帮助,信息通信就能够流动。因此,不需要为了让用户访问远端位置的文件而让网络工程师手动地输入 VPN交换数据。在另一种实施方式中,VPN连接设备具有现存的访问列表,该列表是通过将自动VPN ID号加到访问列表来更新的。图3是例示根据本发明实施方式的用于通过VPN从远端位置(例如,一个或多个远端网络)对数据(例如,本地网络)进行安全访问的方法的流程图。例如由连接到本地网络(本地自动VPN设备)的VPN管理者和连接到远端网络(远端自动VPN设备)的用户,建立用于连接到VPN的参数(310)。更具体而言,参数包括在本地自动VPN设备和远端自动VPN设备之间协商的散列类型、加密技术、隧道协议、密钥分发类型、变换集、ISAKMP参数和/或II^sec参数。基于所商定的参数生成自动VPN标识号(320)。在至少一种实施方式中,自动VPN 标识号是由本地自动VPN设备或者远端自动VPN设备生成的。而且,自动VPN标识号存储在本地自动VPN设备和远端自动VPN设备中。在至少一种实施方式中,远端IP地址安装在远端自动VPN设备上。自动VPN标识号绑定到访问列表;而且,该访问列表附连到远端自动 VPN设备的接口。从用户例如经图形用户界面接收访问VPN的请求(330)。如果请求包括自动VPN 标识号,则通过VPN的安全加密隧道提供对VPN的访问(340)。在一种实施方式中,该安全加密隧道通过既有硬件部件又有软件部件的访问控制器计算模块提供给用户。安全加密隧道提供了对VPN(例如,本地网络)内多个站点的自动访问,而不需要用户和/或VPN管理者再次输入自动VPN标识号。换句话说,用户不必在其每次访问本地网络中的站点时再次进行认证。而且,连接参数不必在用户每次访问本地网络中的站点时建立、协商或者手动输入。如上所述,对VPN的访问包括网关到网关的访问和/或防火墙到防火墙的访问。如本领域技术人员将认识到的,本发明的各方面可以体现为系统、方法或者计算机程序产品。相应地,本发明的各方面可以采取完全硬件实施、完全软件实施(包括固件、 驻留软件、微代码,等等)或者组合软件和硬件方面的实施的形式,其在此全部可以一般性地称为“电路”、“模块”或者“系统”。此外,本发明的各方面可以采取包括在一个或多个计算机可读介质中的计算机程序产品的形式,其中计算机可读介质上有计算机可读程序代码。可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质可以是例如但不限于电的、磁的、光的、电磁的、红外的或者半导体的系统、装置或设备,或者以上所述的任何合适组合。计算机可读存储介质更具体的例子(非穷尽列表)可以包括具有一条或多条电线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPR0M或者闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储设备、磁存储设备,或者以上所述的任何合适组合。在本文档的背景下,计算机可读存储介质可以是任何可以包含或存储由指令执行系统、装置或设备使用或者与之关联使用的程序的有形介质。计算机可读信号介质可以包括例如在基带中或者作为载波的一部分的、其上体现了计算机可读程序代码的传播数据信号。这种传播信号可以采取多种形式中的任何一种, 包括但不限于,电磁、光或者其任何合适组合。计算机可读信号介质可以是非计算机可读存储介质而且能够传送、传播或者运输由指令执行系统、装置或设备使用或者与之关联使用的程序的任何计算机可读介质。包括在计算机可读介质上的程序代码可以利用任何合适的介质发送,包括但不限于无线、有线线路、光纤线缆、RF等等,或者以上所述的任何合适组合。用于执行本发明各方面的操作的计算机程序代码可以用一种或多种编程语言的任何组合来写,所述编程语言包括诸如Java、Smalltalk, C++等的面向对象的编程语言及诸如“C”编程语言或者类似的编程语言的传统的过程式编程语。程序代码可以完全在用户的计算机上、部分地在用户的计算机上、作为独立的软件包、部分地在用户的计算机上且部分地在远端计算机上或者完全在远端计算机或服务器上执行。在后一种场景下,远端计算机可以通过任何类型的网络连接到用户的计算机,所述网络包括局域网(LAN)或者广域网 (WAN),或者可以连接到外部计算机(例如,通过利用互联网服务提供商的互联网)。以下参考对根据本发明实施方式的方法、装置(系统)和计算机程序产品的流程图例示和/或框图来描述本发明的各方面。应当理解,流程图例示和/或框图中的每个块, 及流程图例示和/或框图中块的组合,可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或者其它可编程数据处理装置的处理器来产生机器,使得指令在利用计算机的处理器或者其它可编程数据处理装置执行时生成用于实现流程图和/或框图的一个或多个块中所指定的功能/动作的装置。这些计算机程序指令也可以存储在计算机可读介质中,其中指令可以指示计算机、其它可编程数据处理装置或者其它设备以特定的方式运行,使得存储在计算机可读介质中的指令产生包括实现流程图和/或框图的一个或多个块中所指定的功能/动作的指令的制造品。计算机程序指令也可以加载到计算机、其它可编程数据处理装置或者其它设备上,使得在计算机、其它可编程装置或者其它设备上执行一系列操作步骤,以产生计算机实现的处理,使得在计算机或者其它可编程装置上执行的指令提供用于实现流程图和/或框图的一个或多个块中所指定的功能/动作的处理。现在参考图4,绘出了用于实践本发明的至少一种实施方式的代表性硬件环境。这个示意图例示了根据本发明的至少一种实施方式的信息处理/计算机系统的硬件配置。该系统包括至少一个处理器或者中央处理单元(CPU) 10。CPU 10利用系统总线12互连到各种设备,例如随机存取存储器(RAM) 14、只读存储器(ROM) 16和输入/输出(I/O)适配器18。 I/O适配器18可以连接到外围设备,例如盘单元11和带驱动器13,或者可以由系统读取的其它程序存储设备。系统可以读取程序存储设备上的创新性指令,并且遵循这些指令来执行本发明的至少一种实施方式的方法。该系统还包括用户接口适配器19,该用户接口适配器19将键盘15、鼠标17、扬声器M、传声器22和/或诸如触摸屏设备(未示出)的其它用户接口设备连接到总线12来收集用户输入。另外,通信适配器20将总线12连接到数据处理网络25,而显示适配器21将总线12连接到可以体现为诸如监视器、打印机或者发射器的输出设备的显示设备23。附图中的流程图和框图例示了根据本发明各种实施方式的系统、方法和计算机程序产品的可能实现的体系结构、功能性和操作。就此而言,流程图或框图中的每一个块都可以代表一个模块、片段或者代码部分,这包括用于实现指定逻辑功能的一个或多个可执行指令。还应当指出,在有些另选实现中,块中所指出的功能可以不按照图中所指出的次序发生。例如,依赖于所涉及的功能性,顺序示出的两个块实际上可以基本上同时执行,或者块有时候可以按照颠倒的次序执行。还应当指出,框图和/或流程图例示中的每一个块,及框图和/或流程图例示中块的组合,可以由执行指定功能或者动作的专用的基于硬件的系统或者专用硬件和计算机指令的组合来实现。在此所使用的术语仅仅是为了描述特定实施方式而不是要限制本发明。除非上下文明确地另外指出,否则在此所使用的单数形式“一”、“一个”和“该”也旨在包括复数形式。还应当理解,本说明书中使用的基本术语“包括”和/或“具有”指定所述特征、整体、步骤、 操作、元素和/或部件的存在,但不排除一个或多个其它特征、整体、步骤、操作、元素、部件和/或其组合的存在或添加。 以下权利要求中的所有装置加功能元件的对应结构、材料、动作及等同物旨在包括用于与具体阐述的其它请求保护的元件相结合执行功能的任何结构或材料。给出对本发明的描述是出于例示和描述的目的,但不是穷尽的或者要把本发明限定到所公开的形式。 在不背离本发明的范围和主旨的情况下,许多修改和变体对本领域普通技术人员都是显而易见的。选择并描述实施方式是为了最好地解释本发明的原理和实践应用,并且使本领域其他普通技术人员能够理解本发明针对各种实施方式可以进行适于预期的特定用途的各种修改。
权利要求
1.一种用于通过虚拟专用网络(VPN)从远端位置对数据进行安全访问的方法,所述方法包括建立用于连接到所述VPN的参数;基于所述参数,生成自动VPN标识号;从位于所述远端位置的用户接收访问所述VPN的请求;及如果所述请求包括所述自动VPN标识号,则通过安全加密隧道提供对所述VPN的访问, 该安全加密隧道提供对所述VPN内的多个站点的自动访问,而不需要用户再次输入所述自动VPN标识号。
2.如权利要求1所述的方法,其中,所述参数是由连接到本地网络的VPN管理者和连接到远端网络的用户建立的。
3.如权利要求1所述的方法,还包括在连接到本地网络的本地自动VPN设备和连接到远端网络的远端自动VPN设备中存储所述自动VPN标识号。
4.如权利要求1所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立散列类型、加密技术、隧道协议、密钥分发类型和变换集中的至少一个。
5.如权利要求1所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立互联网安全关联和密钥管理协议。
6.如权利要求1所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立互联网协议安全套件。
7.如权利要求1所述的方法,其中,对所述VPN的访问包括网关到网关的访问和防火墙到防火墙的访问中的至少一种。
8.如权利要求1所述的方法,还包括 在用户的自动VPN设备上安装远端IP地址; 将所述自动VPN标识号绑定到访问列表;及将所述访问列表附连到用户的所述自动VPN设备的接口。
9.一种用于通过虚拟专用网络(VPN)从远端位置对数据进行安全访问的方法,所述方法包括由连接到本地网络的VPN管理者和连接到远端网络的用户建立用于连接到所述VPN的参数;基于所述参数,生成自动VPN标识号; 在用户的自动VPN设备上安装远端IP地址; 将所述自动VPN标识号绑定到访问列表; 将所述访问列表附连到用户的所述自动VPN设备; 从用户接收访问所述VPN的请求;及如果所述请求包括所述自动VPN标识号,则通过安全加密隧道提供对所述VPN的访问, 该安全加密隧道提供对所述VPN内的多个站点的自动访问,而不需要用户再次输入所述自动VPN标识号。
10.如权利要求9所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立散列类型、加密技术、隧道协议、密钥分发类型和变换集。
11.如权利要求9所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立互联网安全关联和密钥管理协议。
12.如权利要求9所述的方法,其中,所述建立用于连接到所述VPN的参数包括建立互联网协议安全套件。
13.一种系统,包括本地自动虚拟专用网络(VPN)设备,用于将本地网络连接到公共网络; 远端自动VPN设备,用于将远端网络连接到所述公共网络,所述远端自动VPN设备包括用于存储自动VPN标识号的储存器,其中所述自动VPN标识号是基于由所述本地自动VPN 设备和所述远端自动VPN设备商定的连接参数生成的,所述本地自动VPN设备和所述远端自动VPN设备包括安全加密隧道,该安全加密隧道用于在所述远端自动VPN设备包括所述自动VPN标识号的情况下提供由所述远端网络对所述本地网络的访问。
14.如权利要求13所述的系统,其中,所述安全加密隧道提供对所述本地网络内的多个站点的自动访问,而不需要所述至少一个远端网络的用户再次输入所述自动VPN标识号。
15.如权利要求13所述的系统,其中,所述本地自动VPN设备包括所述自动VPN标识号。
16.如权利要求13所述的系统,其中,所述连接参数包括散列类型、加密技术、隧道协议、密钥分发类型和变换集中的至少一个。
17.如权利要求13所述的系统,其中,所述连接参数包括互联网安全关联和密钥管理协议。
18.如权利要求13所述的系统,其中,所述连接参数包括互联网协议安全套件。
19.如权利要求13所述的系统,其中,所述远端自动VPN设备包括远端IP地址和访问列表,其中该访问列表绑定到所述自动VPN标识号。
全文摘要
本发明的一种实施方式提供了用于通过VPN对数据进行安全访问的方法。由连接到本地网络的VPN管理者和连接到远端网络的用户建立用于连接到所述VPN的参数,其中基于该参数生成自动VPN标识号。远端IP地址安装在用户的自动VPN设备上。所述自动VPN标识号绑定到访问列表;而且,该访问列表附连到用户的自动VPN设备。从用户接收访问所述VPN的请求。如果请求包括所述自动VPN标识号,则对VPN的访问是通过安全加密隧道提供的。该安全加密隧道提供了对VPN内的多个站点的自动访问,而不需要用户再次输入自动VPN标识号。
文档编号H04L29/08GK102546585SQ20111036002
公开日2012年7月4日 申请日期2011年11月15日 优先权日2010年12月23日
发明者C·K·杨, G·D·考勒, J·W·米勒, M·R·迪格斯 申请人:国际商业机器公司