虚拟私有网络通信系统、路由装置及其方法
虚拟私有网络通信系统、路由装置及其方法
【专利摘要】本发明提供一种虚拟私有网络通信系统、路由装置及其方法,虚拟私有网络通信系统包括伺服器以及多个路由装置。多个路由装置分别传送一注册信息至伺服器,其中注册信息中包括一辨识字符串。路由装置中包括一第一路由装置以及一第二路由装置,其中第一路由装置发送一定位需求至伺服器,伺服器根据辨识字符串传定位需求至路由装置的部分或全部,当第二路由装置接收定位需求时,第二路由装置根据定位需求通过伺服器回传一定位信息至第一路由装置。第一路由装置根据定位信息以直接与第二路由装置建立一连线,并在连线建立后传输数据。
【专利说明】虚拟私有网络通信系统、路由装置及其方法
【技术领域】
[0001]本发明涉及一种互联网通信系统,尤其涉及一种虚拟私有网络通信系统、路由装置及其方法。
【背景技术】
[0002]随着互联网(Internet)的快速普及,在第四版的互联网协议(Internet ProtocolVersion4,以下简称IPv4)架构下,公有互联网协议地址(Public Internet Protocoladdress,以下简称Public IP address)的数量已经不足以供快速出现的大量的网络用户使用。因此,在私有网络(Private Network)或企业内部网络(Enterprise Intranet)的概念被提出后,如今私有网络已广为各个组织体系所使用。
[0003]由互联网工程任务组(Internet Engineering Task Force,以下简称IETF)所发行的编号1918的征求修正意见书(Request For Comments,以下简称RFC)则对上述的私有网络以及位于私有网络下的虚拟IP的配置进行了定义上的说明。基本上,在私有网络中被配置虚拟IP的主机可利用网关等方式与连结至外部的服务,但对外部网络地址是不具有IP层级的连线能力。
[0004]当私有网络内部的主机欲与互联网中的一电脑主机连线时,可以利用网络地址转换(Network Address Translation,以下简称NAT)转址的机制达成。但当在私有网络内部的主机所欲相互通信的另一主机同样的处在另一个私有网络内部时,在两个私有网络之间则需要虚拟私人网络(Virtual Private Network,以下简称VPN)的架构,利用互联网来传递两个私有网络之间的信息。虚拟私人网络利用已加密的通道协议(Tunneling Protocol)来达到保密、传送端认证、信息准确性等私人信息安全效果,以达到私人网络中的信息不被外部主机/使用者所检索变更的目标。然而,在现有建立通道协议的方法中,必须经由繁琐的连线以及设定才能完成。要如何以更简洁的方式完成虚拟私人网络的连线,同时却依然保有着传递信息的安全性,成为本领域中急需被解决的问题。
【发明内容】
[0005]本发明提供一种虚拟私有网络通信系统、路由装置及其方法,使得不同分属不同私有网络下的主机可经由简单的连线方式直接进行网络通信。
[0006]本发明提供一种虚拟私有网络通信系统,包括伺服器以及多个路由装置。多个路由装置分别传送一注册信息至伺服器,其中注册信息中包括一辨识字符串。路由装置中包括一第一路由装置以及一第二路由装置,其中第一路由装置发送一定位需求至伺服器,伺服器根据辨识字符串传定位需求至路由装置的部分或全部,当第二路由装置接收定位需求时,第二路由装置根据定位需求通过伺服器回传一定位信息至第一路由装置。第一路由装置根据定位信息以直接与第二路由装置建立一连线,并在连线建立后传输数据。
[0007]本发明提供一种路由装置,适用于一虚拟私有网络通信系统,包括:一网络接口单元及一处理单元。网络接口单元通过互联网连接至一伺服器。处理单元耦接网络接口单元,通过网络接口单元传送一注册信息至伺服器,其中注册信息包括一辨识字符串。处理单元还通过网络接口单元传送一定位需求至伺服器。处理单元通过网络接口单元从伺服器接收一定位信息,并且处理单元根据定位信息通过网络接口单元直接与一远端路由装置连线,并在连线建立后传送一数据。
[0008]本发明提供一种虚拟私有网络通信方法,包括以下步骤:首先,传送一注册信息至虚拟私有网络通信系统的一伺服器,其中注册信息包括一辨识字符串;接着,传送一定位需求至伺服器;然后,接收从伺服器回传的一定位信息,并且根据定位信息直接与一远端路由装置连线;再者,在连线建立后传送一数据。
[0009]基于上述,本发明提供一种虚拟私有网络通信系统、路由装置及其方法,以向利用定位需求以及辨识字符串向伺服器注册后,利用伺服器交换定位信息来完成私有网络之间沟通并建立连线,达到虚拟私有网络的功效。
[0010]为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合附图作详细说明如下。
【专利附图】
【附图说明】
[0011]图1为根据本发明一实施例所示出的虚拟私有网络通信系统的系统方框图;
[0012]图2为根据本发明一实施例所示出的虚拟私有网络通信系统的时序流程图;
[0013]图3为根据本发明一实施例所示出的定位需求的数据结构图;
[0014]图4为根据本发明一实施例所示出的路由装置的装置方框图;
[0015]图5为根据本发明一实施例所示出的虚拟私有网络通信方法的方法流程图。
[0016]附图标记说明:
[0017]10:虚拟私有网络通信系统;
[0018]110:伺服器;
[0019]120、130、40:路由装置;
[0020]410:网络接口单元;
[0021]420:处理单元;
[0022]140:互联网;
[0023]150、160:私有网络;
[0024]151 ?153、161 ?163:主机;
[0025]R1:注册信息;
[0026]PR、30:定位需求;
[0027]P1:定位信息;
[0028]DAT:数据;
[0029]310:首标档;
[0030]311、321 ;以太网络首标;
[0031]312:1P 首标;
[0032]313:UDP 首标;
[0033]320:数据内容;
[0034]322:载荷;[0035]S201 ?215、S501 ?S504:步骤。
【具体实施方式】
[0036]图1为根据本发明一实施例所示出的虚拟私有网络通信系统的系统方框图。请参照图1,虚拟私有网络通信系统10包括伺服器110以及路由装置120、130。事实上,虚拟私有网络通信系统10可包括多个路由装置,为了说明方便,在本实施例中则以路由装置120、130作为代表说明。
[0037]路由装置120、130分别为私有网络150、160对私有网络外部的互联网140的出口,并且为私有网络150、160下的各主机提供例如NAT等服务。例如,私有网络150中包括主机151?153,路由装置120则分别配置一虚拟子网段中的一虚拟互联网协议地址至主机151?153。当主机151?153欲通过路由装置120连线至外部互联网140时,路由装置120则利用网络地址转换服务,将虚拟子网段中的虚拟互联网协议地址转换为互联网中的实体地址,并由此转收发私有网络150中各主机(主机151?153)的传输数据。
[0038]路由装置130与私有网络160之间的关系也与路由装置120与私有网络150的关系相同,在此则不赘述。
[0039]路由装置120、130作为私有网络150、160的对外出口,通常也具有NAT服务或是于其与互联网之间存在有具有NAT服务的设备。因此,要使得私有网络150、160成为虚拟私有网络更增加了些许难度。而本发明所提供的虚拟私有网络通信系统,即是提供一种更简单的方式让各个私有网络之间建立起虚拟私有网络通信系统,并通过虚拟私有网络通信系统的机制提供各私有网络之间的主机的端对端传输能力。
[0040]在本发明一实施例中,路由装置120、130通过互联网140与伺服器110互相连接,并分别传送注册信息RI至伺服器110,其中注册信息RI中包括辨识字符串。其中,伺服器110利用辨识字符串作为是否将路由装置120、130分别所属的私有网络150、160结合为虚拟私有网络的依据。
[0041]在伺服器110接收多个路由装置所传送的注册信息RI并纪录后,路由装置120发送定位需求PR至伺服器110。伺服器110根据辨识字符串将定位需求PR至路由装置的部分或全部(例如路由装置130)。当路由装置之一,例如路由装置130,接收定位需求PR时,路由装置130根据定位需求PR通过伺服器110回传定位信息PI至路由装置120。路由装置120根据定位信息PI以直接与路由装置130建立连线,并在连线建立后传输数据DAT。为了更详细的说明,以下将以实施例配合【专利附图】
【附图说明】本发明的技术内容。
[0042]图2为根据本发明一实施例所示出的虚拟私有网络通信系统的时序流程图。请参照图2,虚拟私有网络通信系统10的时序流程主要可以分为三大部分,第一部分是对应于步骤S201?203的注册程序,第二部分为对应于步骤S204?S212的定位程序,以及对应于步骤S213?S215的第三部分的连线程序。
[0043]首先,在第一部分的注册程序中,虚拟私有网络通信系统中的各路由装置,例如路由装置120、130将传送注册信息至伺服器110(步骤S201、202)。其中,注册信息中包括辨识字符串、此路由装置的媒体存取控制(Media Access Control Address,以下简称MAC)地址以及伺服器110的MAC地址,各路由装置则根据伺服器110的MAC地址传送至伺服器110。伺服器110在接收到各路由装置所传送的注册信息后,将各路由装置的名称、辨识字符串以及MAC地址储存于一注册表单之中(步骤S203)。
[0044]伺服器110可用以同时处理多个虚拟私用网络,便可利用辨识字符串来辨别虚拟私有网络通信系统10中的各个路由装置是否分属于不同的虚拟私用网络。若是多个路由装置(例如图1所示路由装置120)所传送的注册信息中包括相同的辨识字符串,伺服器110便可由此判断上述这些具有相同辨识字符串的路由装置为属于相同的虚拟私用网络。并利用这样的前提进行下述下个部分的步骤流程。
[0045]在完成注册程序之后,则为第二部分的定位程序。请继续参照图2,路由装置120发送定位需求至伺服器110 (步骤S204)。其中,路由装置120可能在发送此定位需求之前,先接收到所属的私有网络(例如图1所示私有网络150)中的主机之一(例如图1所示主机151?153)欲与另一私有网络中的主机(例如私有网络160中的主机161?163之一)的连线要求,再因应此连线要求发送定位需求至伺服器110。
[0046]图3为根据本发明一实施例所示出的定位需求的数据结构图。请同时参照图2和图3,定位需求30中包括首标档(header)310以及数据内容320。其中,首标档包括以太网络首标311、互联网协议(Internet Protocol,以下简称IP)首标312、用户数据报协议(User Datagram Protocol,以下简称UDP)首标313,用以将定位需求30从路由装置120传送通过互联网传送至伺服器110。值得注意的是,由于简单快速等优点,在此实施例中,定位需求30采用了 UDP这样的传输层(transport layer)协议,但本发明也可使用例如传输控制协议(Transmission Control Protocol,以下简称TCP)等其他协议,本发明并不限定于此。
[0047]数据内容320包括以太网络首标321以及载荷(payload) 322。值得注意的是,一般而言,以太网络首标321中所记载的内容包括前一个传送对象的MAC地址(例如网络中的一节点)以及此分组的下一个传送对象的MAC地址。数据内容320中所包括的以太网络首标321里面所记载的MAC地址则是包括了传送者(例如路由装置120)的MAC地址以及最后接收者(例如伺服器110)的MAC地址。由于路由装置120所发送的定位需求30的最终接收者即为伺服器110,这么一来,当伺服器110收到此定位需求30时,便可以在处理完首标档310后通过以太网络首标321得知此定位需求30的最后接收对象为伺服器110,便可进而解读后续的数据内容。
[0048]数据内容中的载荷322则包括辨识字符串以及地址询问信息。辨识字符串可用以让伺服器110重新确认路由装置120所属的虚拟私有网络。地址询问信息则为一加密信息,其中包括了一虚拟IP地址,也就是上述路由装置120所接收,由其所属私有网络中的主机(例如图1所示的私有网络150中的主机151?153之一)所发出的连线要求中,欲连线对象的虚拟IP地址。在本实施例中,加密前的地址询问信息以符合地址解析协议(AddressResolution Protocol,以下简称ARP)的格式撰写以供接收的路由装置,例如路由装置130解析。在本发明应用于互联网通信协定第6版(Internet Protocol version 6,以下简称IPv6)的实施例中,地址询问信息也可以符合IPv6规范下的互联网控制消息协议第六版(Internet Control Message Protocol Version6,以下简称 ICMPv6)的格式撰写,本发明不限制其实施方式。
[0049]另外,在本实施例中,路由装置120利用辨识字符串作为密钥加密上述的地址询问信息,在本发明其他实施方式中,也可以辨识字符串或其他由多个路由装置与伺服器共知的信息配合特定演算法产生其他密钥,本发明并不限定上述实施方式。
[0050]请继续参照图2和图3,伺服器110在接收定位需求之后便解析定位需求,确认以太网络首标321以及载荷322中辨识字符串的内容。(步骤S205)。在本实施例中,伺服器110直接将定位需求转发至虚拟私有网络中的所有路由装置,也就是在注册表单中,具有与路由装置110或定位需求中相同的辨识字符串的所有路由装置。
[0051]值得注意的是,此时在定位需求30中数据内容320的以太网络首标321则由伺服器110所改写。其中,以太网络首标321的最终接收者则由伺服器110改写为上述具有相同辨识字符串的各个路由装置,发送者的位置则仍维持为定位需求的发送者,也就是路由装置120。伺服器110分别为各个路由装置改写数据内容320中的以太网络首标321之后,便以单点传播(unicast)的方式分别传送定位需求至虚拟私有网络中的各个路由装置(步骤 S206)。
[0052]事实上,这样的传播模式近似于伺服器110对具有相同辨识字符串的所有路由装置进行广播(broadcast)的动作,但是由于传送至各个路由装置的内容仍各有些不同,因此与广播的动作仍有些许差异。在虚拟私有网络通信系统10中具有与路由装置120相同辨识字符串的路由装置在接收到定位需求后,解析该定位需求并且解密其中的地址询问信息(步骤S207)。接着,这些路由装置确认地址询问信息中的虚拟IP地址是否为位于所属的私有网络的虚拟子网段中(步骤S208)。当路由装置判断地址询问信息中的虚拟IP地址并非位于所属的私有网络的虚拟子网段中时,此路由装置则直接丢弃(discard)/忽略此定位需求(步骤S209)。
[0053]而在本实施例中,地址询问信息中所包括的虚拟IP地址为路由装置130所属私有网络中的主机(例如图1所示私有网络160中主机161?163)之一的虚拟IP地址。所以,路由装置130判断地址询问信息中的虚拟IP地址为位于所属的私有网络的虚拟子网段中。此时,路由装置130可由定位需求中数据内容320中的以太网络首标321中获得定位需求的发送者,也就是路由装置120的MAC地址。由此,路由装置130通过伺服器110传送定位信息至路由装置120(步骤S210、211)。
[0054]定位信息的数据结构与定位需求的数据结构相同,可参考图3所示定位需求的数据结构格式。路由装置130在定位信息中数据内容中的以太网络首标的接收者的栏位填上路由装置120的MAC地址。由此,伺服器110在接收到定位信息时,则可直接从数据内容中的以太网络首标判断此定位信息需转送至路由装置120。
[0055]定位信息中的数据内容中除了以太网络首标外,还包括一加密的定位信息,其中包括了虚拟IP地址是位于路由装置130所属的私有网络的虚拟子网段的描述。其中定位信息的加密方式以及数据格式可参考上述地址询问信息的加密方式及数据格式,在此则不赘述。
[0056]路由装置120接收到定位信息后,可通过解析定位信息并解密定位信息中的定位信息来得到对应于定位需求中的虚拟IP地址的私有网络入口,也就是路由装置130(步骤S212)。至此,虚拟私有网络通信系统10则完成了第二部分的定位程序。
[0057]在路由装置120获得欲连线对象的定位信息之后,并接着可以进行第三部分的连线程序。首先路由装置120先以根据定位信息的内容直接发送连线要求至路由装置130,以尝试建立连线(步骤S213)。路由装置130在接收到连线要求之后验证该连线要求,并回应该连线要求,回传一回应信息至路由装置120 (步骤S214)。由此,路由装置120便接着与路由装置130建立连线(步骤S215)。其中值得注意的是,路由装置120、130之间所建立的连线为符合互联网安全协议(Internet Protocol Security,以下简称IPSec)的一端对端(Peer to Peer,以下简称P2P)连线,如此一来,路由装置120、130所属的私有网络才能结合唯一虚拟私有网络。
[0058]为了更详细说明本发明的技术内容,以下将以一实际实施方式简单的例示上述的虚拟私有网络通信系统的流程步骤内容。在此实际实施方式中,设定虚拟私有网络通信系统中的各装置的MAC地址如下表:
[0059]
【权利要求】
1.一种虚拟私有网络通信系统,其特征在于,包括: 一伺服器;以及 多个路由装置,分别传送一注册信息至该伺服器,其中该注册信息中包括一辨识字符串, 其中,该些路由装置中包括一第一路由装置以及一第二路由装置,其中该第一路由装置发送一定位需求至该伺服器,该伺服器根据该辨识字符串传送该定位需求至该些路由装置的部分或全部,当该第二路由装置接收该定位需求时,该第二路由装置根据该定位需求通过该伺服器回传一定位信息至该第一路由装置;以及 该第一路由装置根据该定位信息以直接与第二路由装置建立一连线,并在该连线建立后传输一数据。
2.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址;以及当该伺服器接收到由该些路由装置所发送的该些注册信息时,储存各该路由装置的媒体存取控制地址以及对应各该路由装置的该辨识字符串。
3.根据权利要求2所述虚拟私有网络通信系统,其特征在于: 当该伺服器接收该定位需求时,该伺服器解析该定位需求,并且分别将该定位需求传送至具有相同于该定位需求中的该辨识字符串的该些路由装置。
4.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 该第一路由装置所传送的该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该第一路由装置的媒体存取控制地址、以及一地址询问信息。
5.根据权利要求4所述虚拟私有网络通信系统,其特征在于: 该地址询问信息为一加密信息,包括一虚拟互联网协议地址。
6.根据权利要求4所述虚拟私有网络通信系统,其特征在于: 该第一路由装置根据该辨识字符串进行加密该地址询问信息。
7.根据权利要求5所述虚拟私有网络通信系统,其特征在于: 当该第二路由装置解析该定位需求并且解密该地址询问信息,并确认该地址询问信息中的该互联网协议地址为该第二路由装置所属的一私有网络中的一虚拟互联网协议地址时,该第二路由装置根据该定位需求中的该第一路由装置的该媒体存取地址,通过该伺服器回传该定位信息至该第一路由装置。
8.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 当该第一路由装置接收该定位信息时,该第一路由装置根据该定位信息以一端对端连线方式与该第二路由装置连线,其中该端对端连线方式为一加密连线。
9.一种路由装置,适用于一虚拟私有网络通信系统,其特征在于,包括: 一网络接口单元,通过互联网连接至一伺服器;以及 一处理单元,耦接该网络接口单元,通过该网络接口单元传送一注册信息至该伺服器,其中该注册信息包括一辨识字符串, 其中,该处理单元还通过该网络接口单元传送一定位需求至该伺服器;以及 该处理单元通过该网络接口单元从该伺服器接收一定位信息,并且该处理单元根据该定位信息通过该网络接口单元直接与一远端路由装置连线,并在连线建立后传送一数据。
10.根据权利要求9所述路由装置,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址。
11.根据权利要求9所述路由装置,其特征在于: 该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该路由装置的媒体存取控制地址、以及一地址询问信息。
12.根据权利要求9所述路由装置,其特征在于: 该地址询问信息为一加密信息,包括一虚拟互联网协议地址。
13.根据权利要求12所述路由装置,其特征在于: 该处理单元根据该辨识字符串进行加密该地址询问信息。
14.根据权利要求9所述路由装置,其特征在于: 该处理单元接收该定位信息时,该处理单元根据该定位信息通过该网络接口单元以一端对端连线方式与该远端路由装置连线,其中该端对端连线方式为一加密连线。
15.一种虚拟私有网络通信方法,适用于一虚拟私有网络通信系统中一路由装置,其特征在于,包括: 传送一注册信息至该虚拟私有网络通信系统的一伺服器,其中该注册信息包括一辨识字符串; 传送一定位需求至该伺服器; 接收从该伺服器回传的一定位信息,并且根据该定位信息直接与一远端路由装置连线;以及 在连线建立后传送一数据。
16.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址。
17.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该路由装置的媒体存取控制地址、以及一地址询问信息。
18.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该地址询问信息为一加密信息,包括一互联网协议地址。
19.根据权利要求18所述虚拟私有网络通信方法,其特征在于,传送该定位需求之前的步骤还包括: 根据该辨识字符串进行加密该地址询问信息。
20.根据权利要求18所述虚拟私有网络通信装置,其特征在于: 接收该定位信息时,根据该定位信息以一端对端连线方式与该远端路由装置连线,其中该端对端连线方式为一加密连线。
【文档编号】H04L29/12GK103944795SQ201310027123
【公开日】2014年7月23日 申请日期:2013年1月18日 优先权日:2013年1月18日
【发明者】谈德华, 赖明彦, 黄敏维 申请人:正文科技股份有限公司
【专利摘要】本发明提供一种虚拟私有网络通信系统、路由装置及其方法,虚拟私有网络通信系统包括伺服器以及多个路由装置。多个路由装置分别传送一注册信息至伺服器,其中注册信息中包括一辨识字符串。路由装置中包括一第一路由装置以及一第二路由装置,其中第一路由装置发送一定位需求至伺服器,伺服器根据辨识字符串传定位需求至路由装置的部分或全部,当第二路由装置接收定位需求时,第二路由装置根据定位需求通过伺服器回传一定位信息至第一路由装置。第一路由装置根据定位信息以直接与第二路由装置建立一连线,并在连线建立后传输数据。
【专利说明】虚拟私有网络通信系统、路由装置及其方法
【技术领域】
[0001]本发明涉及一种互联网通信系统,尤其涉及一种虚拟私有网络通信系统、路由装置及其方法。
【背景技术】
[0002]随着互联网(Internet)的快速普及,在第四版的互联网协议(Internet ProtocolVersion4,以下简称IPv4)架构下,公有互联网协议地址(Public Internet Protocoladdress,以下简称Public IP address)的数量已经不足以供快速出现的大量的网络用户使用。因此,在私有网络(Private Network)或企业内部网络(Enterprise Intranet)的概念被提出后,如今私有网络已广为各个组织体系所使用。
[0003]由互联网工程任务组(Internet Engineering Task Force,以下简称IETF)所发行的编号1918的征求修正意见书(Request For Comments,以下简称RFC)则对上述的私有网络以及位于私有网络下的虚拟IP的配置进行了定义上的说明。基本上,在私有网络中被配置虚拟IP的主机可利用网关等方式与连结至外部的服务,但对外部网络地址是不具有IP层级的连线能力。
[0004]当私有网络内部的主机欲与互联网中的一电脑主机连线时,可以利用网络地址转换(Network Address Translation,以下简称NAT)转址的机制达成。但当在私有网络内部的主机所欲相互通信的另一主机同样的处在另一个私有网络内部时,在两个私有网络之间则需要虚拟私人网络(Virtual Private Network,以下简称VPN)的架构,利用互联网来传递两个私有网络之间的信息。虚拟私人网络利用已加密的通道协议(Tunneling Protocol)来达到保密、传送端认证、信息准确性等私人信息安全效果,以达到私人网络中的信息不被外部主机/使用者所检索变更的目标。然而,在现有建立通道协议的方法中,必须经由繁琐的连线以及设定才能完成。要如何以更简洁的方式完成虚拟私人网络的连线,同时却依然保有着传递信息的安全性,成为本领域中急需被解决的问题。
【发明内容】
[0005]本发明提供一种虚拟私有网络通信系统、路由装置及其方法,使得不同分属不同私有网络下的主机可经由简单的连线方式直接进行网络通信。
[0006]本发明提供一种虚拟私有网络通信系统,包括伺服器以及多个路由装置。多个路由装置分别传送一注册信息至伺服器,其中注册信息中包括一辨识字符串。路由装置中包括一第一路由装置以及一第二路由装置,其中第一路由装置发送一定位需求至伺服器,伺服器根据辨识字符串传定位需求至路由装置的部分或全部,当第二路由装置接收定位需求时,第二路由装置根据定位需求通过伺服器回传一定位信息至第一路由装置。第一路由装置根据定位信息以直接与第二路由装置建立一连线,并在连线建立后传输数据。
[0007]本发明提供一种路由装置,适用于一虚拟私有网络通信系统,包括:一网络接口单元及一处理单元。网络接口单元通过互联网连接至一伺服器。处理单元耦接网络接口单元,通过网络接口单元传送一注册信息至伺服器,其中注册信息包括一辨识字符串。处理单元还通过网络接口单元传送一定位需求至伺服器。处理单元通过网络接口单元从伺服器接收一定位信息,并且处理单元根据定位信息通过网络接口单元直接与一远端路由装置连线,并在连线建立后传送一数据。
[0008]本发明提供一种虚拟私有网络通信方法,包括以下步骤:首先,传送一注册信息至虚拟私有网络通信系统的一伺服器,其中注册信息包括一辨识字符串;接着,传送一定位需求至伺服器;然后,接收从伺服器回传的一定位信息,并且根据定位信息直接与一远端路由装置连线;再者,在连线建立后传送一数据。
[0009]基于上述,本发明提供一种虚拟私有网络通信系统、路由装置及其方法,以向利用定位需求以及辨识字符串向伺服器注册后,利用伺服器交换定位信息来完成私有网络之间沟通并建立连线,达到虚拟私有网络的功效。
[0010]为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合附图作详细说明如下。
【专利附图】
【附图说明】
[0011]图1为根据本发明一实施例所示出的虚拟私有网络通信系统的系统方框图;
[0012]图2为根据本发明一实施例所示出的虚拟私有网络通信系统的时序流程图;
[0013]图3为根据本发明一实施例所示出的定位需求的数据结构图;
[0014]图4为根据本发明一实施例所示出的路由装置的装置方框图;
[0015]图5为根据本发明一实施例所示出的虚拟私有网络通信方法的方法流程图。
[0016]附图标记说明:
[0017]10:虚拟私有网络通信系统;
[0018]110:伺服器;
[0019]120、130、40:路由装置;
[0020]410:网络接口单元;
[0021]420:处理单元;
[0022]140:互联网;
[0023]150、160:私有网络;
[0024]151 ?153、161 ?163:主机;
[0025]R1:注册信息;
[0026]PR、30:定位需求;
[0027]P1:定位信息;
[0028]DAT:数据;
[0029]310:首标档;
[0030]311、321 ;以太网络首标;
[0031]312:1P 首标;
[0032]313:UDP 首标;
[0033]320:数据内容;
[0034]322:载荷;[0035]S201 ?215、S501 ?S504:步骤。
【具体实施方式】
[0036]图1为根据本发明一实施例所示出的虚拟私有网络通信系统的系统方框图。请参照图1,虚拟私有网络通信系统10包括伺服器110以及路由装置120、130。事实上,虚拟私有网络通信系统10可包括多个路由装置,为了说明方便,在本实施例中则以路由装置120、130作为代表说明。
[0037]路由装置120、130分别为私有网络150、160对私有网络外部的互联网140的出口,并且为私有网络150、160下的各主机提供例如NAT等服务。例如,私有网络150中包括主机151?153,路由装置120则分别配置一虚拟子网段中的一虚拟互联网协议地址至主机151?153。当主机151?153欲通过路由装置120连线至外部互联网140时,路由装置120则利用网络地址转换服务,将虚拟子网段中的虚拟互联网协议地址转换为互联网中的实体地址,并由此转收发私有网络150中各主机(主机151?153)的传输数据。
[0038]路由装置130与私有网络160之间的关系也与路由装置120与私有网络150的关系相同,在此则不赘述。
[0039]路由装置120、130作为私有网络150、160的对外出口,通常也具有NAT服务或是于其与互联网之间存在有具有NAT服务的设备。因此,要使得私有网络150、160成为虚拟私有网络更增加了些许难度。而本发明所提供的虚拟私有网络通信系统,即是提供一种更简单的方式让各个私有网络之间建立起虚拟私有网络通信系统,并通过虚拟私有网络通信系统的机制提供各私有网络之间的主机的端对端传输能力。
[0040]在本发明一实施例中,路由装置120、130通过互联网140与伺服器110互相连接,并分别传送注册信息RI至伺服器110,其中注册信息RI中包括辨识字符串。其中,伺服器110利用辨识字符串作为是否将路由装置120、130分别所属的私有网络150、160结合为虚拟私有网络的依据。
[0041]在伺服器110接收多个路由装置所传送的注册信息RI并纪录后,路由装置120发送定位需求PR至伺服器110。伺服器110根据辨识字符串将定位需求PR至路由装置的部分或全部(例如路由装置130)。当路由装置之一,例如路由装置130,接收定位需求PR时,路由装置130根据定位需求PR通过伺服器110回传定位信息PI至路由装置120。路由装置120根据定位信息PI以直接与路由装置130建立连线,并在连线建立后传输数据DAT。为了更详细的说明,以下将以实施例配合【专利附图】
【附图说明】本发明的技术内容。
[0042]图2为根据本发明一实施例所示出的虚拟私有网络通信系统的时序流程图。请参照图2,虚拟私有网络通信系统10的时序流程主要可以分为三大部分,第一部分是对应于步骤S201?203的注册程序,第二部分为对应于步骤S204?S212的定位程序,以及对应于步骤S213?S215的第三部分的连线程序。
[0043]首先,在第一部分的注册程序中,虚拟私有网络通信系统中的各路由装置,例如路由装置120、130将传送注册信息至伺服器110(步骤S201、202)。其中,注册信息中包括辨识字符串、此路由装置的媒体存取控制(Media Access Control Address,以下简称MAC)地址以及伺服器110的MAC地址,各路由装置则根据伺服器110的MAC地址传送至伺服器110。伺服器110在接收到各路由装置所传送的注册信息后,将各路由装置的名称、辨识字符串以及MAC地址储存于一注册表单之中(步骤S203)。
[0044]伺服器110可用以同时处理多个虚拟私用网络,便可利用辨识字符串来辨别虚拟私有网络通信系统10中的各个路由装置是否分属于不同的虚拟私用网络。若是多个路由装置(例如图1所示路由装置120)所传送的注册信息中包括相同的辨识字符串,伺服器110便可由此判断上述这些具有相同辨识字符串的路由装置为属于相同的虚拟私用网络。并利用这样的前提进行下述下个部分的步骤流程。
[0045]在完成注册程序之后,则为第二部分的定位程序。请继续参照图2,路由装置120发送定位需求至伺服器110 (步骤S204)。其中,路由装置120可能在发送此定位需求之前,先接收到所属的私有网络(例如图1所示私有网络150)中的主机之一(例如图1所示主机151?153)欲与另一私有网络中的主机(例如私有网络160中的主机161?163之一)的连线要求,再因应此连线要求发送定位需求至伺服器110。
[0046]图3为根据本发明一实施例所示出的定位需求的数据结构图。请同时参照图2和图3,定位需求30中包括首标档(header)310以及数据内容320。其中,首标档包括以太网络首标311、互联网协议(Internet Protocol,以下简称IP)首标312、用户数据报协议(User Datagram Protocol,以下简称UDP)首标313,用以将定位需求30从路由装置120传送通过互联网传送至伺服器110。值得注意的是,由于简单快速等优点,在此实施例中,定位需求30采用了 UDP这样的传输层(transport layer)协议,但本发明也可使用例如传输控制协议(Transmission Control Protocol,以下简称TCP)等其他协议,本发明并不限定于此。
[0047]数据内容320包括以太网络首标321以及载荷(payload) 322。值得注意的是,一般而言,以太网络首标321中所记载的内容包括前一个传送对象的MAC地址(例如网络中的一节点)以及此分组的下一个传送对象的MAC地址。数据内容320中所包括的以太网络首标321里面所记载的MAC地址则是包括了传送者(例如路由装置120)的MAC地址以及最后接收者(例如伺服器110)的MAC地址。由于路由装置120所发送的定位需求30的最终接收者即为伺服器110,这么一来,当伺服器110收到此定位需求30时,便可以在处理完首标档310后通过以太网络首标321得知此定位需求30的最后接收对象为伺服器110,便可进而解读后续的数据内容。
[0048]数据内容中的载荷322则包括辨识字符串以及地址询问信息。辨识字符串可用以让伺服器110重新确认路由装置120所属的虚拟私有网络。地址询问信息则为一加密信息,其中包括了一虚拟IP地址,也就是上述路由装置120所接收,由其所属私有网络中的主机(例如图1所示的私有网络150中的主机151?153之一)所发出的连线要求中,欲连线对象的虚拟IP地址。在本实施例中,加密前的地址询问信息以符合地址解析协议(AddressResolution Protocol,以下简称ARP)的格式撰写以供接收的路由装置,例如路由装置130解析。在本发明应用于互联网通信协定第6版(Internet Protocol version 6,以下简称IPv6)的实施例中,地址询问信息也可以符合IPv6规范下的互联网控制消息协议第六版(Internet Control Message Protocol Version6,以下简称 ICMPv6)的格式撰写,本发明不限制其实施方式。
[0049]另外,在本实施例中,路由装置120利用辨识字符串作为密钥加密上述的地址询问信息,在本发明其他实施方式中,也可以辨识字符串或其他由多个路由装置与伺服器共知的信息配合特定演算法产生其他密钥,本发明并不限定上述实施方式。
[0050]请继续参照图2和图3,伺服器110在接收定位需求之后便解析定位需求,确认以太网络首标321以及载荷322中辨识字符串的内容。(步骤S205)。在本实施例中,伺服器110直接将定位需求转发至虚拟私有网络中的所有路由装置,也就是在注册表单中,具有与路由装置110或定位需求中相同的辨识字符串的所有路由装置。
[0051]值得注意的是,此时在定位需求30中数据内容320的以太网络首标321则由伺服器110所改写。其中,以太网络首标321的最终接收者则由伺服器110改写为上述具有相同辨识字符串的各个路由装置,发送者的位置则仍维持为定位需求的发送者,也就是路由装置120。伺服器110分别为各个路由装置改写数据内容320中的以太网络首标321之后,便以单点传播(unicast)的方式分别传送定位需求至虚拟私有网络中的各个路由装置(步骤 S206)。
[0052]事实上,这样的传播模式近似于伺服器110对具有相同辨识字符串的所有路由装置进行广播(broadcast)的动作,但是由于传送至各个路由装置的内容仍各有些不同,因此与广播的动作仍有些许差异。在虚拟私有网络通信系统10中具有与路由装置120相同辨识字符串的路由装置在接收到定位需求后,解析该定位需求并且解密其中的地址询问信息(步骤S207)。接着,这些路由装置确认地址询问信息中的虚拟IP地址是否为位于所属的私有网络的虚拟子网段中(步骤S208)。当路由装置判断地址询问信息中的虚拟IP地址并非位于所属的私有网络的虚拟子网段中时,此路由装置则直接丢弃(discard)/忽略此定位需求(步骤S209)。
[0053]而在本实施例中,地址询问信息中所包括的虚拟IP地址为路由装置130所属私有网络中的主机(例如图1所示私有网络160中主机161?163)之一的虚拟IP地址。所以,路由装置130判断地址询问信息中的虚拟IP地址为位于所属的私有网络的虚拟子网段中。此时,路由装置130可由定位需求中数据内容320中的以太网络首标321中获得定位需求的发送者,也就是路由装置120的MAC地址。由此,路由装置130通过伺服器110传送定位信息至路由装置120(步骤S210、211)。
[0054]定位信息的数据结构与定位需求的数据结构相同,可参考图3所示定位需求的数据结构格式。路由装置130在定位信息中数据内容中的以太网络首标的接收者的栏位填上路由装置120的MAC地址。由此,伺服器110在接收到定位信息时,则可直接从数据内容中的以太网络首标判断此定位信息需转送至路由装置120。
[0055]定位信息中的数据内容中除了以太网络首标外,还包括一加密的定位信息,其中包括了虚拟IP地址是位于路由装置130所属的私有网络的虚拟子网段的描述。其中定位信息的加密方式以及数据格式可参考上述地址询问信息的加密方式及数据格式,在此则不赘述。
[0056]路由装置120接收到定位信息后,可通过解析定位信息并解密定位信息中的定位信息来得到对应于定位需求中的虚拟IP地址的私有网络入口,也就是路由装置130(步骤S212)。至此,虚拟私有网络通信系统10则完成了第二部分的定位程序。
[0057]在路由装置120获得欲连线对象的定位信息之后,并接着可以进行第三部分的连线程序。首先路由装置120先以根据定位信息的内容直接发送连线要求至路由装置130,以尝试建立连线(步骤S213)。路由装置130在接收到连线要求之后验证该连线要求,并回应该连线要求,回传一回应信息至路由装置120 (步骤S214)。由此,路由装置120便接着与路由装置130建立连线(步骤S215)。其中值得注意的是,路由装置120、130之间所建立的连线为符合互联网安全协议(Internet Protocol Security,以下简称IPSec)的一端对端(Peer to Peer,以下简称P2P)连线,如此一来,路由装置120、130所属的私有网络才能结合唯一虚拟私有网络。
[0058]为了更详细说明本发明的技术内容,以下将以一实际实施方式简单的例示上述的虚拟私有网络通信系统的流程步骤内容。在此实际实施方式中,设定虚拟私有网络通信系统中的各装置的MAC地址如下表:
[0059]
【权利要求】
1.一种虚拟私有网络通信系统,其特征在于,包括: 一伺服器;以及 多个路由装置,分别传送一注册信息至该伺服器,其中该注册信息中包括一辨识字符串, 其中,该些路由装置中包括一第一路由装置以及一第二路由装置,其中该第一路由装置发送一定位需求至该伺服器,该伺服器根据该辨识字符串传送该定位需求至该些路由装置的部分或全部,当该第二路由装置接收该定位需求时,该第二路由装置根据该定位需求通过该伺服器回传一定位信息至该第一路由装置;以及 该第一路由装置根据该定位信息以直接与第二路由装置建立一连线,并在该连线建立后传输一数据。
2.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址;以及当该伺服器接收到由该些路由装置所发送的该些注册信息时,储存各该路由装置的媒体存取控制地址以及对应各该路由装置的该辨识字符串。
3.根据权利要求2所述虚拟私有网络通信系统,其特征在于: 当该伺服器接收该定位需求时,该伺服器解析该定位需求,并且分别将该定位需求传送至具有相同于该定位需求中的该辨识字符串的该些路由装置。
4.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 该第一路由装置所传送的该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该第一路由装置的媒体存取控制地址、以及一地址询问信息。
5.根据权利要求4所述虚拟私有网络通信系统,其特征在于: 该地址询问信息为一加密信息,包括一虚拟互联网协议地址。
6.根据权利要求4所述虚拟私有网络通信系统,其特征在于: 该第一路由装置根据该辨识字符串进行加密该地址询问信息。
7.根据权利要求5所述虚拟私有网络通信系统,其特征在于: 当该第二路由装置解析该定位需求并且解密该地址询问信息,并确认该地址询问信息中的该互联网协议地址为该第二路由装置所属的一私有网络中的一虚拟互联网协议地址时,该第二路由装置根据该定位需求中的该第一路由装置的该媒体存取地址,通过该伺服器回传该定位信息至该第一路由装置。
8.根据权利要求1所述虚拟私有网络通信系统,其特征在于: 当该第一路由装置接收该定位信息时,该第一路由装置根据该定位信息以一端对端连线方式与该第二路由装置连线,其中该端对端连线方式为一加密连线。
9.一种路由装置,适用于一虚拟私有网络通信系统,其特征在于,包括: 一网络接口单元,通过互联网连接至一伺服器;以及 一处理单元,耦接该网络接口单元,通过该网络接口单元传送一注册信息至该伺服器,其中该注册信息包括一辨识字符串, 其中,该处理单元还通过该网络接口单元传送一定位需求至该伺服器;以及 该处理单元通过该网络接口单元从该伺服器接收一定位信息,并且该处理单元根据该定位信息通过该网络接口单元直接与一远端路由装置连线,并在连线建立后传送一数据。
10.根据权利要求9所述路由装置,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址。
11.根据权利要求9所述路由装置,其特征在于: 该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该路由装置的媒体存取控制地址、以及一地址询问信息。
12.根据权利要求9所述路由装置,其特征在于: 该地址询问信息为一加密信息,包括一虚拟互联网协议地址。
13.根据权利要求12所述路由装置,其特征在于: 该处理单元根据该辨识字符串进行加密该地址询问信息。
14.根据权利要求9所述路由装置,其特征在于: 该处理单元接收该定位信息时,该处理单元根据该定位信息通过该网络接口单元以一端对端连线方式与该远端路由装置连线,其中该端对端连线方式为一加密连线。
15.一种虚拟私有网络通信方法,适用于一虚拟私有网络通信系统中一路由装置,其特征在于,包括: 传送一注册信息至该虚拟私有网络通信系统的一伺服器,其中该注册信息包括一辨识字符串; 传送一定位需求至该伺服器; 接收从该伺服器回传的一定位信息,并且根据该定位信息直接与一远端路由装置连线;以及 在连线建立后传送一数据。
16.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该注册信息包括一首标档及一数据内容,其中该数据内容包括该辨识字符串、该伺服器的媒体存取控制地址,以及对应该注册信息的该路由装置的媒体存取控制地址。
17.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该定位需求包括一首标档以及一数据内容,其中该数据内容包括该辨识字符串、该路由装置的媒体存取控制地址、以及一地址询问信息。
18.根据权利要求15所述虚拟私有网络通信方法,其特征在于: 该地址询问信息为一加密信息,包括一互联网协议地址。
19.根据权利要求18所述虚拟私有网络通信方法,其特征在于,传送该定位需求之前的步骤还包括: 根据该辨识字符串进行加密该地址询问信息。
20.根据权利要求18所述虚拟私有网络通信装置,其特征在于: 接收该定位信息时,根据该定位信息以一端对端连线方式与该远端路由装置连线,其中该端对端连线方式为一加密连线。
【文档编号】H04L29/12GK103944795SQ201310027123
【公开日】2014年7月23日 申请日期:2013年1月18日 优先权日:2013年1月18日
【发明者】谈德华, 赖明彦, 黄敏维 申请人:正文科技股份有限公司
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1