专利名称:应用于虚拟私有网络的存取中继器的随选系统与方法
技术领域:
本发明为一种应用于虚拟私有网络(Virtual Private Networks,VPN)的存取中继器(Access Concentrator),尤指一种可提供随选服务(On-Demand)的存取中继器,以让使用者可在连结至虚拟私有网络伺服器前,可有其它的服务选择。
虚拟私有网络(Virtual Private Network,以下简称VPN)为一使用公共电信传输系统(public telecommunication infrastructure)的数据网络(data network),如
图1所示。VPN的网络系统通常是以专线方式来连结,因此具有隐私性。通过一授权的网络服务公司(ISP)13,一个公司或企业14可将一网际网络15当作一大型的区域网络。在经由公共电话网络12及网际网络15从一VPN传送数据至另一端的VPN时,通常要经过加密及解密的程序,以保障数据的安全。为保障数据的私密性及安全性,网际网络(Internet)更应用隧道化(tunneling)16的方式,提供一特别的通道(path)给一特定的公司通过网际网络15传递信息或档案。而提供此沟通的协定便称为点对点隧道化协定(Point-to-Point Tunneling Protocol,以下简称PPTP)。通过PPTP,公司可在网际网络通过隧道产生一VPN而安全地传送数据。如此,公司或企业14便不需要使用自己租用的广域网络线,而能安全地利用一般的网络系统。
网络服务公司13使用存取中继器17及一数据库18以处理VPN的通讯。存取中继器17具有两个介面VPN介面171以提供使用公用电话交换网络(PSTNs)或整体服务数字网络(ISDN)的点对点存取,以及一般的网络通讯介面172,可提供TCP/IP通讯协定,以将封包传送至网际网络15或非虚拟私有网络。
PPTP使用增强型的GRE(Generic Routing Encapsulation)机制以提供流量及阻塞控制的包裹(encapsulated)数据框(datagram)服务,以传送PPP封包。当一企业的使用者11使用PPTP通讯协定,并拨接至一网络服务公司13时,封包将被包裹起来(encapsulated),然后传送到存取中继器17。包裹的PPP封包将用IP的方式来传送。因此,包裹的PPP封包的数据格式将如图2所示。包含一媒介标头21,一IP标头22,一GRE标头23,以及PPP的封包24。
现在使用的存取中继器17将只从PPP封包中的call ID栏位来确认拨号使用者身份的真实性,然后赋于一合法的网络地址给该拨号使用者,以取代其来源地址。如此便可在不必将该封包解密的情况下,使该拨号使用者可存取虚拟私有网络。换而言之,网络服务公司13可使拨号使用者11直接执行与伺服器14的PPP通讯协定。结果,如果该拨号使用者只想浏览网际网络或使用远程登录(TELNET)、档案传输(FTP)、电子布告栏(BBS),以及网际网络(WWW)等功能,他仍必需连结至位于VPN 19的伺服器14。这样的结果不但耗费连结的时间,而且也产生不必要的通讯流量。
另外,就目前存取中继器的结构而言,如果要增加随选服务的功能,必须配合「远端身份确认拨号使用者服务」(Remote Authentication Dial-InUser Service,RADIOU)认证的结构来完成。如此不但必须修正既有的PPP通迅协定,以支援EAP(PPP的可扩充式认证RFC2284)标准,更要增加RADIUS认证结构的成本。如此,在实际架设及程序设计上都较为困难且复杂。另外,在单一PPP链结的设计下,存取中继器对远端使用者所传送的PPP数据(Payload)封包,仅能作包裹VPN标头及转送的动作,无法随时分析封包内的数据,例如IP,IPX等地址,以作为链结服务品质选择的依据,所以在实用上比较缺乏弹性。
本发明的目的是提供一种应用于VPN的存取中继器的随选服务系统与方法,其可让使用者在连结至VPN伺服器之前,可对存取中继器要求非虚拟私有网络的服务。
本发明的另一目的是提供一种可提供随选服务的存取中继器系统与方法,其可延续既有的PPP通迅协定机制,而能提供中继器随选服务的功能,以减少程序安装及修正的成本,本发明的又一目的是提供一种应用于虚拟私有网络的PPTP链结分段的方法,其可仅针对虚拟私有网络部份程序码作少许的修改,便可提供中继器进行功能的增加或程序码的升级,减少设备装置及维持的复杂度。
本发明的再一目的是提供一种不需额外支援RADIUS机制的PPTP链结分段的方法,其可节省建置RADIUS代理伺服器与伺服器设备的费用,进而节省成本。
本发明的应用于虚拟私有网络的存取中继器的随选服务方法是这样实现的包含下列步骤当收到一拨号使用者的连结需求时,建立该拨号使用者的第一阶段的点对点通讯协定;查询一虚拟私有网络使用者数据库,以判定该拨号使用者的身份真实性;当该拨号使用者的身份判定为真时,赋于该拨号使用者一网络地址;提供一随选服务选单给该拨号使用者选取,而该随选服务包含虚拟私有网络的连线服务及非虚拟私有网络的服务;当该拨号使用者选取一虚拟私有网络的连线服务时,与该虚拟私有网络的伺服器建立一第二阶段的点对点通讯连结;及赋于该拨号使用者一合法的虚拟私有网络地址以存取该虚拟私有网络。
更包含步骤建立一虚拟私有网络使用者数据库,以储存虚拟私有网络的使用者数据。
更包含步骤当上述的拨号使用者的身份判定为不真实时,拒绝上述的第一阶段的点对点通讯连结要求。
其中上述的网络地址为IP地址。
其中上述的非虚拟私有网络服务包含远程登录、档案传输、网际网络以及电子布告栏。
其中上述的合法的虚拟私有网络地址为一IP址。
其中上述的合法的虚拟私有网络地址为一IPX地址。
更包含步骤当上述的拨号使用者选取一非虚拟私有网络的服务时,”转送上述的拨号使用者的封包至其目的地址。
其中上述的第二阶段的PPP通讯连结,是依据上述的第一阶段的PPP通讯连结中所取得的使用者数据来执行。
本发明的可提供随选服务功能的虚拟私有网络存取中继器系统是这样实现的其包含一介面装置,用以接收来自公用电话网络的连结需求;一第一连结层控制装置,用以执行与一拨号使用者的主机的连结层的通讯协调;一身份确认装置,耦合至一虚拟私有网络使用者数据库,用以判定该拨号使用者的身份正确性;一第一网络层控制装置,用以执行与该拨号使用者的主机的网络层的通讯协调,并取得一网络地址;一服务提供装置,用以提供一随选服务选单给该拨号使用者选择;一第二连结层控制装置,用以对一虚拟私有网络伺服器建立一第二连结层的通讯协调;以及一第二网络层控制装置,用以赋于该拨号使用者一合法的虚拟私有网络地址,以存取该虚拟私有网络伺服器。
其中上述的网络地址为IP地址。
其中上述的随选服务包含虚拟私有网络服务及非虚拟私有网络服务。
其中上述的非虚拟私有网络服务包含远程登录、档案传输、网际网络以及电子布告栏。
其中上述的合法的虚拟私有网络地址为一IP地址。
其中上述的合法的虚拟私有网络地址为一IPX地址。
其中上述的服务提供装置是在上述的拨号使用者要求一非虚拟私有网络服务时,将上述的拨号使用者的封包转送至其目的地址。
本发明主要以两阶段式的PPP链结来处理使用者的连线需求。第一阶段的PPP链结是为了进行使用者与存取中继器之间的协调。在第一阶段的PPP链结时,使用者的身份将被确认。如果该使用者为合法的使用者,则该使用者便会被赋于一个新的网络地址。然后,使用者便可从随选中继器所提供的功能选单中选取一个服务项目,包含虚拟私有网络及非虚拟私有网络,如远程登录(TELNET〕、档案传输(FTP)、电子布告栏(BBS)以及网际网络(WWW)。如果使用者选择非虚拟私有网络,存取中继器便会将封包传送到其目的地址。如果使用者要求一虚拟网络服务,则存取中继器便会建立一与虚拟私有网络连结的PPP通讯协定。如此,使用者便可存取非虚拟私有网络连结的服务,而不必直接连接到虚拟私有网络的伺服器。
图1是现在使用的虚拟私有网络的系统示意图。
图2是一包裹的PPP封包的格式。
图3是本发明的具有随选功能的中继器系统运作示意图。
图4是本发明的方法的流程图。
假设网络拨接服务性质为网际网络漫游,且虚拟私有网络伺服端所联结的区域网络使用TCP/IP通讯协定,本发明的方法在PPP链结中区分为两阶段,如图3所示。图3显示本发明的具有随选服务功能的存取中继器。存取中继器31在一可接受拨接存取的平台上执行,并可控制来自公共交换电话线路(Public Switched Telephone Networks)32,或整体服务数字网络(ISDN)的拨接电话存取控制,或者发出一向外的电路交换连结。
存取中继器31也提供实体层介面装置33(Physical nativeinterfacing device),以连结公共交换电话线路32。在远端使用者拨号成功,并要求一与网络服务公司30的连结层(data link layer)通讯协调时,连结层控制装置361便为该拨号使用者执行一PPP的连结层通讯协调,以与该拨号使用者的主机34连结。连结时,身份确认装置362查询一VPN使用者数据库,以执行身份的确认,例如查询使用者封包中的来源地址、使用权限、使用者身份识别码以及密码等数据是否真实。如果判定使用者34为一合法的VPN使用者时,PPP协定将继续执行网络层(Network Layer)的通讯协调。与现有技术不同的是,网络层的通讯控制装置363将封包解码并取得其网络号码及服务需求等数据。在PPP通讯协调完成后,远端的使用者34将被赋于一个系统所给的新网络地址,如IP地址。由于此网络地址与原本该使用者所属的VPN网络地址不同,因此该使用者所发出的封包将不会被传送到其所属的VPN中。而该使用者也不必先连结到其所属的VPN伺服器35,再由该VPN伺服器35连结至其它的网络服务或使用其资源。网络连结控制装置363也可决定封包的路由方式。
然后,在第一次的PPP通讯协调完成后,具有新网络地址的封包便会被传送到服务提供装置37。服务提供装置37提供了随选的服务给拨号使用者34选择。由于拨号使用者己有了新的IP地址,于是便可自由选取各种不同的非虚拟私有网络服务,如远程登录(TELNET)、档案传输(FTP)、电子告栏(BBS)以及网际网络(WWW)。如果使用者34选择Non-VPN的服务时,服务提供装置37便会直接传送这些封包至其目的地址,而不必再连结至该使用者公司的VPN伺服器35。另一方面,如果使用者34选择VPN服务,存取中继器31便会对VPN伺服器35建立第二次的PPP连结。在PPP的通讯协定中,连结层控制装置381可以从第一次PPP连结的连结层通讯协定中所获得使用者数据,不必再执行使用者的身份确认,所以可加速连结的速度。然后,封包便会转送到网络层连结控制装置382,以对虚拟私有网络伺服器35建立网络层的通讯。此时,使用者11可自VPN伺服器35获取一合法的VPN地址,如IP地址或IPX地址,因此使用者可存取VPN伺服器35的资源。
图4显示本发明的应用VPN的存取中继器的随选方法,包含下列步骤401在接收到一连结的需求时,对一拨接使用者执行一连结层的通讯协调。
402查询一虚拟私有网络使用者数据库,以判定该拨接使用者的身份。如果该拨接使用者的身份无误,执行步骤404;否则执行步骤403。
403拒绝拨接使用者的连结需求。
404对该拨接使用者执行一网络层的通讯协调,包括对PPP封包解密,以取得网络地址以及服务需求数据。
405赋于一新的网络地址给该拨接使用者。
406提供一随选服务的选单给该拨接使用者选择。如果该使用者要求一个非虚拟私有网络的服务时,执行步骤407。否则,执行步骤408。
407如果拨接使用者选择一个非虚拟私有网络的服务时,如TELNET、FTP、BBS以及WWW,转送封包至其目的地址。
408依据第一次连结层的通讯所得的数据,对虚拟私有网络伺服器执行一连结层的通讯协调。
409对虚拟私有网络伺服器执行一网络层的通讯协调。
410提供一合法的虚拟私有网络地址给该拨接使用者,如1P地址或IPX地址。
411连结该虚拟私有网络伺服器。本发明的最佳实施例己详述如上,但在上述的实施例所作的若干变更,仍在本发明的专利范围内,例如本发明可通用于任何可应用于未来的虚拟私有网络连结的类似通讯协定,而且,随选服务的项目也可依实际的状况而设定,并不限于以上所述的TELNET、FTP、BBS以及WWW等服务。
权利要求
1.一种应用于虚拟私有网络的存取中继器的随选服务方法,其特征在于包含下列步骤当收到一拨号使用者的连结需求时,建立该拨号使用者的第一阶段的点对点通讯协定;查询一虚拟私有网络使用者数据库,以判定该拨号使用者的身份真实性;当该拨号使用者的身份判定为真时,赋于该拨号使用者一网络地址;提供一随选服务选单给该拨号使用者选取,而该随选服务包含虚拟私有网络的连线服务及非虚拟私有网络的服务;当该拨号使用者选取一虚拟私有网络的连线服务时,与该虚拟私有网络的伺服器建立一第二阶段的点对点通讯连结;及赋于该拨号使用者一合法的虚拟私有网络地址以存取该虚拟私有网络。
2.如权利要求1所述的随选服务方法,其特征在于更包含步骤建立一虚拟私有网络使用者数据库,以储存虚拟私有网络的使用者数据。
3.如权利要求1所述的随选服务方法,其特征在于更包含步骤当上述的拨号使用者的身份判定为不真实时,拒绝上述的第一阶段的点对点通讯连结要求。
4.如权利要求1所述的随选服务方法,其特征在于其中上述的网络地址为IP地址。
5.如权利要求1所述的随选服务方法,其特征在于其中上述的非虚拟私有网络服务包含远程登录、档案传输、网际网络以及电子布告栏。
6.如权利要求1所述的随选服务方法,其特征在于其中上述的合法的虚拟私有网络地址为一IP址。
7.如权利要求1所述的随选服务方法,其特征在于其中上述的合法的虚拟私有网络地址为一IPX地址。
8.如权利要求1所述的随选服务方法,其特征在于更包含步骤当上述的拨号使用者选取一非虚拟私有网络的服务时,”转送上述的拨号使用者的封包至其目的地址。
9.如权利要求1所述的随选服务方法,其特征在于其中上述的第二阶段的PPP通讯连结,是依据上述的第一阶段的PPP通讯连结中所取得的使用者数据来执行。
10.一种可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其包含一介面装置,用以接收来自公用电话网络的连结需求;一第一连结层控制装置,用以执行与一拨号使用者的主机的连结层的通讯协调;一身份确认装置,耦合至一虚拟私有网络使用者数据库,用以判定该拨号使用者的身份正确性;一第一网络层控制装置,用以执行与该拨号使用者的主机的网络层的通讯协调,并取得一网络地址;一服务提供装置,用以提供一随选服务选单给该拨号使用者选择;一第二连结层控制装置,用以对一虚拟私有网络伺服器建立一第二连结层的通讯协调;以及一第二网络层控制装置,用以赋于该拨号使用者一合法的虚拟私有网络地址,以存取该虚拟私有网络伺服器。
11.如权利要求10所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的网络地址为IP地址。
12,如权利要求10所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的随选服务包含虚拟私有网络服务及非虚拟私有网络服务。
13.如权利要求12所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的非虚拟私有网络服务包含远程登录、档案传输、网际网络以及电子布告栏。
14.如权利要求10所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的合法的虚拟私有网络地址为一IP地址。
15.如权利要求10所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的合法的虚拟私有网络地址为一IPX地址。
16.如权利要求10所述的可提供随选服务功能的虚拟私有网络存取中继器系统,其特征在于其中上述的服务提供装置是在上述的拨号使用者要求一非虚拟私有网络服务时,将上述的拨号使用者的封包转送至其目的地址。
全文摘要
本发明以两阶段式的PPP链结来处理使用者的连线需求。第一阶段的PPP链结进行使用者与存取中继器之间的通讯协调和使用者的身份确认。如果该使用者是合法的,则其会被赋于一个新的网络地址。然后,使用者可从随选中继器所提供的功能选单中选取一个服务项目,包含虚拟私有网络服务及非虚拟私有网络服务。如果使用者选择非虚拟私有网络服务,存取中继器便会将封包传送至其目的地址,如果使用者要求虚拟私有网络服务,则存取中继器会建立一与VPN的第二阶段PPP链结。
文档编号H04L9/32GK1276666SQ99107858
公开日2000年12月13日 申请日期1999年6月3日 优先权日1999年6月3日
发明者鲍立国, 杜唯源, 李逸元 申请人:财团法人资讯工业策进会