專利名稱:用于自動虛擬專用網(wǎng)絡(luò)的方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于自動虛擬專用網(wǎng)絡(luò)(VPN)的方法���、系統(tǒng)和計算機程序產(chǎn)品領(lǐng)域��。
背景技術(shù):
VPN是跨諸如互聯(lián)網(wǎng)的公共網(wǎng)絡(luò)的專用內(nèi)聯(lián)網(wǎng)的擴展����,從而創(chuàng)建安全的專用連接。 VPN安全地跨連接遠端用戶���、分公司和商業(yè)伙伴的互聯(lián)網(wǎng)傳送信息到擴展的公司網(wǎng)絡(luò)中�����。這種效果是通過安全加密隧道實現(xiàn)的���,這種安全加密隧道允許專用網(wǎng)絡(luò)經(jīng)公共網(wǎng)絡(luò)的連接發(fā)送數(shù)據(jù)。該安全加密隧道在由公共網(wǎng)絡(luò)載送的包中封裝了網(wǎng)絡(luò)協(xié)議�。在兩個位置之間經(jīng)安全加密隧道發(fā)送的數(shù)據(jù)不能被任何其他人讀取。
發(fā)明內(nèi)容
本發(fā)明的一種實施方式包括一種用于通過VPN從遠端位置對數(shù)據(jù)進行安全訪問的方法��。用于連接到VPN的參數(shù)是由連接到本地網(wǎng)絡(luò)的VPN管理者和連接到遠端網(wǎng)絡(luò)的用戶建立的���,其中基于該參數(shù)生成自動VPN標識號。遠端IP地址安裝在用戶的自動VPN設(shè)備上����。該自動VPN標識號綁定到訪問列表;而且�,該訪問列表附連到用戶的自動VPN設(shè)備。從用戶接收訪問VPN的請求��。如果該請求包括自動VPN標識號,那么對VPN的訪問是通過安全加密隧道提供的����。該安全加密隧道提供對VPN內(nèi)的多個站點的自動訪問,而不需要用戶再次輸入自動VPN標識號��。本發(fā)明的另一種實施方式包括一種用于通過VPN從遠端位置對數(shù)據(jù)進行安全訪問的系統(tǒng)�。該系統(tǒng)包括本地自動VPN設(shè)備和遠端自動VPN設(shè)備。本地自動VPN設(shè)備將本地網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)��;而遠端自動VPN設(shè)備將遠端網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)�����。遠端自動VPN設(shè)備包括用于存儲自動VPN標識號的儲存器�,其中所述自動VPN標識號是基于由本地自動VPN 設(shè)備和遠端自動VPN設(shè)備商定的連接參數(shù)生成的。本地自動VPN設(shè)備和遠端自動VPN設(shè)備包括安全加密隧道���,如果遠端自動VPN設(shè)備包括所述自動VPN標識號����,則該安全加密隧道用于提供由遠端網(wǎng)絡(luò)對本地網(wǎng)絡(luò)的訪問���。
參考附圖來描述本發(fā)明��。附圖中��,類似的標號指示完全相同或者功能類似的元件����。圖1例示了根據(jù)本發(fā)明實施方式的用于通過VPN從遠端位置對數(shù)據(jù)進行安全訪問的系統(tǒng);圖2是例示了根據(jù)本發(fā)明實施方式的用于在網(wǎng)絡(luò)工程師和客戶之間建立連接參數(shù)的方法的流程圖���;圖3是例示了根據(jù)本發(fā)明實施方式的用于通過VPN從遠端位置對數(shù)據(jù)進行安全訪問的方法的流程圖�����;及圖4例示了根據(jù)本發(fā)明實施方式的計算機程序產(chǎn)品�����。
具體實施例方式以下詳細討論本發(fā)明的示例非限制性實施方式��。盡管討論了具體配置以便提供清晰的理解���,但是應當理解����,所公開的配置僅僅是出于例示目的而提供的。本領(lǐng)域普通技術(shù)人員將認識到,在不背離本發(fā)明主旨與范圍的情況下����,也可以采用其它配置。本發(fā)明的一種實施方式允許用戶擁有通過自動VPN自動地訪問遠端位置的文件����、 數(shù)據(jù)庫及其它數(shù)據(jù)的安全途徑。一旦加密域被認證了一次����,該VPN環(huán)境的所有實例就具有了自動訪問遠端文件的能力,而不需要通過安全加密隧道進一步認證�����。因此���,自然人不需要為了讓用戶訪問遠端位置的文件而手動地認證用戶ID和密碼�。在本發(fā)明的至少一種實施方式中����,網(wǎng)絡(luò)工程師(例如,VPN管理員)將對等的IP地址(在這里也稱為“遠端IP地址”)輸入到客戶位置的VPN連接設(shè)備中��。一旦輸入了對等 IP地址,就發(fā)生了與客戶網(wǎng)絡(luò)的VPN連接設(shè)備的協(xié)商���。連接自動地協(xié)商第一階段互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)信息和第二階段互聯(lián)網(wǎng)協(xié)議安全(IPSEC)數(shù)據(jù)�����。在第一階段的處理中��,每一方(例如�����,網(wǎng)絡(luò)工程師和客戶)都建立ISAKMP安全關(guān)聯(lián)����,用以使在計算機系統(tǒng)之間發(fā)送的信息安全��。在第二階段的處理中�����,每個系統(tǒng)都通過協(xié)商一個或多個安全關(guān)聯(lián)來創(chuàng)建IPSEC安全關(guān)聯(lián)��,用以使在系統(tǒng)之間發(fā)送的數(shù)據(jù)通信安全��,并且系統(tǒng)通過使用分階段的ID和策略來交換IP地址�����。圖1例示了根據(jù)本發(fā)明實施方式的用于提供從遠端位置對數(shù)據(jù)的安全訪問的系統(tǒng)�����。更具體而言�����,由連接到遠端網(wǎng)絡(luò)120A和/或120B的用戶訪問來自本地網(wǎng)絡(luò)110的數(shù)據(jù)����。在另一種實施方式中,系統(tǒng)100只包括一個遠端網(wǎng)絡(luò)��。在還有另一種實施方式中�����,系統(tǒng) 100包括多于兩個遠端網(wǎng)絡(luò)����。數(shù)據(jù)存儲在連接到本地網(wǎng)絡(luò)110的用戶的機器112����、114和/ 或本地服務(wù)器116上�����。本地自動VPN設(shè)備118經(jīng)路由器119將本地網(wǎng)絡(luò)110連接到互聯(lián)網(wǎng) 130����。由連接到遠端服務(wù)器122六、124六����、1洸六、1228�����、1對8和/或1268的用戶來訪問數(shù)據(jù)��。遠端自動VPN設(shè)備128A和128B分別經(jīng)路由器129A和129B以及外部互聯(lián)網(wǎng)連接132 將遠端網(wǎng)絡(luò)120A和120B分別連接到互聯(lián)網(wǎng)130�。路由器119、129A和129B是IP層3的設(shè)備�,它們負責將來自一個遠端數(shù)據(jù)網(wǎng)絡(luò)位置的數(shù)據(jù)發(fā)送和接收到另一個遠端數(shù)據(jù)網(wǎng)絡(luò)位置。外部互聯(lián)網(wǎng)連接132是開放的互聯(lián)網(wǎng),其允許將數(shù)據(jù)從一個數(shù)據(jù)網(wǎng)絡(luò)位置發(fā)送以及接收到另一個數(shù)據(jù)網(wǎng)絡(luò)位置�����。為了建立自動VPN連接��,網(wǎng)絡(luò)工程師將對等IP地址和共享的ISAKMP密鑰輸入到自動VPN設(shè)備118U28A和128B中�����。在本地自動VPN設(shè)備118與遠端自動VPN設(shè)備128A和 128B之間發(fā)生協(xié)商����。該VPN連接自動地在遠端自動VPN設(shè)備128A和128B協(xié)商第一階段 ISAKMP參數(shù)和第二階段IPSEC參數(shù)�����。在商定的協(xié)商成功發(fā)生之后�����,遠端自動VPN設(shè)備128A 和128B自動地在遠端網(wǎng)絡(luò)120A和120B創(chuàng)建VPN標識號����。一旦創(chuàng)建了 VPN標識號,網(wǎng)絡(luò)工程師就將它綁定到訪問列表并將該訪問列表附連到遠端自動VPN設(shè)備128A和U8B��。相應地,被允許的數(shù)據(jù)通信流經(jīng)遠端自動VPN設(shè)備128A 和U8B�����,而無需網(wǎng)絡(luò)工程師幫助手動地輸入VPN協(xié)商參數(shù)�����。圖2是例示根據(jù)本發(fā)明實施方式的用于在網(wǎng)絡(luò)工程師(在此也稱為“VPN管理者”) 和客戶(在此也稱為“用戶”)之間建立連接參數(shù)的方法的流程圖��。在至少一種實施方式中����,網(wǎng)絡(luò)工程師和/或客戶是人類個體或者一組人。在另一種實施方式中�,網(wǎng)絡(luò)工程師和/或客戶是包括計算機硬件和/或軟件的非人類的系統(tǒng)部件。 盡管圖2例示項目210�����、220���、230�����、240���、250�����、260和270是按數(shù)字次序執(zhí)行的,但是在本發(fā)明的另一種實施方式中��,項目210�����、220��、230�、240、250��、260和270也可以不同的次序執(zhí)行���。例如�����,隧道協(xié)議是在加密技術(shù)商定之前建立的���。在另一種實施方式中��,忽略項目210��、 220����、230��、M0���、250�、260和270中的一個或者多個�。例如,網(wǎng)絡(luò)工程師和客戶不協(xié)商變換集參數(shù)����。 連接模塊確定在客戶的VPN連接設(shè)備上是否啟用自動VPN 010)。如果自動VPN沒有啟用�,則連接結(jié)束(212)-遠端連接必須手動建立����。如果啟用了自動VPN�����,則連接模塊確定在網(wǎng)絡(luò)工程師和客戶之間是否商定了散列(hashing)類型020)���。如果沒有商定散列類型����,則連接結(jié)束(212)�����。散列確保在自動VPN上發(fā)送的信息在發(fā)送期間沒有以任何方式被改變��。例如�,網(wǎng)絡(luò)工程師生成消息和該消息的散列����。該消息和散列被加密并在自動VPN上發(fā)送?����?蛻艚獯a該消息和散列,并從所接收到的消息產(chǎn)生另一散列�。比較這兩個散列;而且����,如果這兩個散列相同,則很有可能消息未被改變�����。如果商定了散列類型�����,則連接模塊確定在網(wǎng)絡(luò)工程師和客戶之間是否商定了加密技術(shù)030)�����。如果加密技術(shù)未商定�,則連接結(jié)束012)。然而���,如果商定了加密技術(shù)�����,則連接模塊確定在網(wǎng)絡(luò)工程師和客戶之間是否建立了隧道協(xié)議O40)�。如果隧道協(xié)議還未建立,則連接結(jié)束012)�����。計算機網(wǎng)絡(luò)使用隧道協(xié)議來使一個網(wǎng)絡(luò)(例如����,一個組織的LAN)可以通過另一個網(wǎng)絡(luò)的連接(例如,互聯(lián)網(wǎng))安全地發(fā)送其數(shù)據(jù)�。隧道在由第二個網(wǎng)絡(luò)載送中的包中封裝了網(wǎng)絡(luò)協(xié)議。例如�,該組織的LAN將它自己的網(wǎng)絡(luò)協(xié)議嵌入由互聯(lián)網(wǎng)載送的TCP/ IP包中。如果已經(jīng)建立了隧道協(xié)議����,則連接模塊確定在網(wǎng)絡(luò)工程師和客戶之間是否商定密鑰分發(fā)類型050)���。如果沒有商定密鑰分發(fā)類型�,則連接結(jié)束012)��。密鑰經(jīng)自動VPN分發(fā)到客戶,其中密鑰用于解碼消息��。密鑰分發(fā)類型定義密鑰發(fā)送到客戶的模式(例如�����,使用可信信使���,使用現(xiàn)有加密通道)�����。如果商定了密鑰分發(fā)類型�����,則連接模塊確定在網(wǎng)絡(luò)工程師和客戶之間是否商定了變換集060)�����。如果沒有商定變換集���,則連接結(jié)束012)。變換集是建立自動VPN的路由器商定的一組策略�。變換集具有三個配置元素數(shù)據(jù)加密����、數(shù)據(jù)認證和封裝模式��。如果商定了變換集�,則生成自動VPN ID號(270)。在本發(fā)明的至少一種實施方式中���,用戶將自動VPN ID號綁定到訪問列表�����,其中訪問列表附連到用戶的VPN連接設(shè)備的接口�。在一種實施方式中�,自動VPN ID號允許對VPN 伙伴和客戶網(wǎng)絡(luò)的自動訪問。在訪問列表附連到接口之后���,無需網(wǎng)絡(luò)工程師的幫助����,信息通信就能夠流動����。因此,不需要為了讓用戶訪問遠端位置的文件而讓網(wǎng)絡(luò)工程師手動地輸入 VPN交換數(shù)據(jù)�。在另一種實施方式中,VPN連接設(shè)備具有現(xiàn)存的訪問列表��,該列表是通過將自動VPN ID號加到訪問列表來更新的��。圖3是例示根據(jù)本發(fā)明實施方式的用于通過VPN從遠端位置(例如��,一個或多個遠端網(wǎng)絡(luò))對數(shù)據(jù)(例如����,本地網(wǎng)絡(luò))進行安全訪問的方法的流程圖。例如由連接到本地網(wǎng)絡(luò)(本地自動VPN設(shè)備)的VPN管理者和連接到遠端網(wǎng)絡(luò)(遠端自動VPN設(shè)備)的用戶���,建立用于連接到VPN的參數(shù)(310)���。更具體而言,參數(shù)包括在本地自動VPN設(shè)備和遠端自動VPN設(shè)備之間協(xié)商的散列類型�����、加密技術(shù)����、隧道協(xié)議����、密鑰分發(fā)類型��、變換集����、ISAKMP參數(shù)和/或II^sec參數(shù)?��;谒潭ǖ膮?shù)生成自動VPN標識號(320)����。在至少一種實施方式中����,自動VPN 標識號是由本地自動VPN設(shè)備或者遠端自動VPN設(shè)備生成的。而且�����,自動VPN標識號存儲在本地自動VPN設(shè)備和遠端自動VPN設(shè)備中��。在至少一種實施方式中,遠端IP地址安裝在遠端自動VPN設(shè)備上�。自動VPN標識號綁定到訪問列表���;而且����,該訪問列表附連到遠端自動 VPN設(shè)備的接口�。從用戶例如經(jīng)圖形用戶界面接收訪問VPN的請求(330)。如果請求包括自動VPN 標識號��,則通過VPN的安全加密隧道提供對VPN的訪問(340)�����。在一種實施方式中����,該安全加密隧道通過既有硬件部件又有軟件部件的訪問控制器計算模塊提供給用戶。安全加密隧道提供了對VPN(例如��,本地網(wǎng)絡(luò))內(nèi)多個站點的自動訪問�,而不需要用戶和/或VPN管理者再次輸入自動VPN標識號。換句話說��,用戶不必在其每次訪問本地網(wǎng)絡(luò)中的站點時再次進行認證。而且�,連接參數(shù)不必在用戶每次訪問本地網(wǎng)絡(luò)中的站點時建立、協(xié)商或者手動輸入����。如上所述,對VPN的訪問包括網(wǎng)關(guān)到網(wǎng)關(guān)的訪問和/或防火墻到防火墻的訪問�����。如本領(lǐng)域技術(shù)人員將認識到的�,本發(fā)明的各方面可以體現(xiàn)為系統(tǒng)、方法或者計算機程序產(chǎn)品�。相應地,本發(fā)明的各方面可以采取完全硬件實施���、完全軟件實施(包括固件�����、 駐留軟件����、微代碼�,等等)或者組合軟件和硬件方面的實施的形式����,其在此全部可以一般性地稱為“電路”�����、“模塊”或者“系統(tǒng)”����。此外����,本發(fā)明的各方面可以采取包括在一個或多個計算機可讀介質(zhì)中的計算機程序產(chǎn)品的形式,其中計算機可讀介質(zhì)上有計算機可讀程序代碼�。可以采用一個或多個計算機可讀介質(zhì)的任意組合�。計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)。計算機可讀存儲介質(zhì)可以是例如但不限于電的���、磁的���、光的、電磁的��、紅外的或者半導體的系統(tǒng)、裝置或設(shè)備�,或者以上所述的任何合適組合。計算機可讀存儲介質(zhì)更具體的例子(非窮盡列表)可以包括具有一條或多條電線的電連接�����、便攜式計算機盤����、硬盤、隨機存取存儲器(RAM)�、只讀存儲器(ROM)、可擦可編程只讀存儲器(EPR0M或者閃存)�、光纖、便攜式緊湊盤只讀存儲器(CD-ROM)�、光存儲設(shè)備、磁存儲設(shè)備��,或者以上所述的任何合適組合��。在本文檔的背景下����,計算機可讀存儲介質(zhì)可以是任何可以包含或存儲由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或者與之關(guān)聯(lián)使用的程序的有形介質(zhì)����。計算機可讀信號介質(zhì)可以包括例如在基帶中或者作為載波的一部分的�����、其上體現(xiàn)了計算機可讀程序代碼的傳播數(shù)據(jù)信號�����。這種傳播信號可以采取多種形式中的任何一種, 包括但不限于�����,電磁���、光或者其任何合適組合����。計算機可讀信號介質(zhì)可以是非計算機可讀存儲介質(zhì)而且能夠傳送�、傳播或者運輸由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或者與之關(guān)聯(lián)使用的程序的任何計算機可讀介質(zhì)�����。包括在計算機可讀介質(zhì)上的程序代碼可以利用任何合適的介質(zhì)發(fā)送,包括但不限于無線�����、有線線路���、光纖線纜�����、RF等等��,或者以上所述的任何合適組合�。用于執(zhí)行本發(fā)明各方面的操作的計算機程序代碼可以用一種或多種編程語言的任何組合來寫����,所述編程語言包括諸如Java、Smalltalk, C++等的面向?qū)ο蟮木幊陶Z言及諸如“C”編程語言或者類似的編程語言的傳統(tǒng)的過程式編程語��。程序代碼可以完全在用戶的計算機上�、部分地在用戶的計算機上、作為獨立的軟件包�����、部分地在用戶的計算機上且部分地在遠端計算機上或者完全在遠端計算機或服務(wù)器上執(zhí)行。在后一種場景下�����,遠端計算機可以通過任何類型的網(wǎng)絡(luò)連接到用戶的計算機�,所述網(wǎng)絡(luò)包括局域網(wǎng)(LAN)或者廣域網(wǎng) (WAN),或者可以連接到外部計算機(例如����,通過利用互聯(lián)網(wǎng)服務(wù)提供商的互聯(lián)網(wǎng))。以下參考對根據(jù)本發(fā)明實施方式的方法��、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖例示和/或框圖來描述本發(fā)明的各方面��。應當理解�����,流程圖例示和/或框圖中的每個塊�����, 及流程圖例示和/或框圖中塊的組合���,可以由計算機程序指令來實現(xiàn)�。這些計算機程序指令可以提供給通用計算機�、專用計算機或者其它可編程數(shù)據(jù)處理裝置的處理器來產(chǎn)生機器,使得指令在利用計算機的處理器或者其它可編程數(shù)據(jù)處理裝置執(zhí)行時生成用于實現(xiàn)流程圖和/或框圖的一個或多個塊中所指定的功能/動作的裝置�。這些計算機程序指令也可以存儲在計算機可讀介質(zhì)中,其中指令可以指示計算機����、其它可編程數(shù)據(jù)處理裝置或者其它設(shè)備以特定的方式運行,使得存儲在計算機可讀介質(zhì)中的指令產(chǎn)生包括實現(xiàn)流程圖和/或框圖的一個或多個塊中所指定的功能/動作的指令的制造品���。計算機程序指令也可以加載到計算機�����、其它可編程數(shù)據(jù)處理裝置或者其它設(shè)備上��,使得在計算機���、其它可編程裝置或者其它設(shè)備上執(zhí)行一系列操作步驟,以產(chǎn)生計算機實現(xiàn)的處理�����,使得在計算機或者其它可編程裝置上執(zhí)行的指令提供用于實現(xiàn)流程圖和/或框圖的一個或多個塊中所指定的功能/動作的處理。現(xiàn)在參考圖4���,繪出了用于實踐本發(fā)明的至少一種實施方式的代表性硬件環(huán)境��。這個示意圖例示了根據(jù)本發(fā)明的至少一種實施方式的信息處理/計算機系統(tǒng)的硬件配置����。該系統(tǒng)包括至少一個處理器或者中央處理單元(CPU) 10����。CPU 10利用系統(tǒng)總線12互連到各種設(shè)備,例如隨機存取存儲器(RAM) 14�����、只讀存儲器(ROM) 16和輸入/輸出(I/O)適配器18�。 I/O適配器18可以連接到外圍設(shè)備,例如盤單元11和帶驅(qū)動器13����,或者可以由系統(tǒng)讀取的其它程序存儲設(shè)備����。系統(tǒng)可以讀取程序存儲設(shè)備上的創(chuàng)新性指令,并且遵循這些指令來執(zhí)行本發(fā)明的至少一種實施方式的方法。該系統(tǒng)還包括用戶接口適配器19�����,該用戶接口適配器19將鍵盤15�����、鼠標17�、揚聲器M、傳聲器22和/或諸如觸摸屏設(shè)備(未示出)的其它用戶接口設(shè)備連接到總線12來收集用戶輸入����。另外,通信適配器20將總線12連接到數(shù)據(jù)處理網(wǎng)絡(luò)25�����,而顯示適配器21將總線12連接到可以體現(xiàn)為諸如監(jiān)視器����、打印機或者發(fā)射器的輸出設(shè)備的顯示設(shè)備23。附圖中的流程圖和框圖例示了根據(jù)本發(fā)明各種實施方式的系統(tǒng)��、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系結(jié)構(gòu)���、功能性和操作����。就此而言,流程圖或框圖中的每一個塊都可以代表一個模塊���、片段或者代碼部分���,這包括用于實現(xiàn)指定邏輯功能的一個或多個可執(zhí)行指令。還應當指出�����,在有些另選實現(xiàn)中��,塊中所指出的功能可以不按照圖中所指出的次序發(fā)生�。例如,依賴于所涉及的功能性����,順序示出的兩個塊實際上可以基本上同時執(zhí)行,或者塊有時候可以按照顛倒的次序執(zhí)行���。還應當指出,框圖和/或流程圖例示中的每一個塊,及框圖和/或流程圖例示中塊的組合�����,可以由執(zhí)行指定功能或者動作的專用的基于硬件的系統(tǒng)或者專用硬件和計算機指令的組合來實現(xiàn)�。在此所使用的術(shù)語僅僅是為了描述特定實施方式而不是要限制本發(fā)明。除非上下文明確地另外指出�����,否則在此所使用的單數(shù)形式“一”���、“一個”和“該”也旨在包括復數(shù)形式����。還應當理解���,本說明書中使用的基本術(shù)語“包括”和/或“具有”指定所述特征����、整體����、步驟�����、 操作���、元素和/或部件的存在,但不排除一個或多個其它特征����、整體、步驟���、操作�、元素��、部件和/或其組合的存在或添加����。 以下權(quán)利要求中的所有裝置加功能元件的對應結(jié)構(gòu)、材料��、動作及等同物旨在包括用于與具體闡述的其它請求保護的元件相結(jié)合執(zhí)行功能的任何結(jié)構(gòu)或材料�。給出對本發(fā)明的描述是出于例示和描述的目的,但不是窮盡的或者要把本發(fā)明限定到所公開的形式��。 在不背離本發(fā)明的范圍和主旨的情況下,許多修改和變體對本領(lǐng)域普通技術(shù)人員都是顯而易見的�����。選擇并描述實施方式是為了最好地解釋本發(fā)明的原理和實踐應用�,并且使本領(lǐng)域其他普通技術(shù)人員能夠理解本發(fā)明針對各種實施方式可以進行適于預期的特定用途的各種修改�����。
權(quán)利要求
1.一種用于通過虛擬專用網(wǎng)絡(luò)(VPN)從遠端位置對數(shù)據(jù)進行安全訪問的方法�����,所述方法包括建立用于連接到所述VPN的參數(shù)�����;基于所述參數(shù)��,生成自動VPN標識號�;從位于所述遠端位置的用戶接收訪問所述VPN的請求;及如果所述請求包括所述自動VPN標識號���,則通過安全加密隧道提供對所述VPN的訪問���, 該安全加密隧道提供對所述VPN內(nèi)的多個站點的自動訪問�����,而不需要用戶再次輸入所述自動VPN標識號�。
2.如權(quán)利要求1所述的方法��,其中���,所述參數(shù)是由連接到本地網(wǎng)絡(luò)的VPN管理者和連接到遠端網(wǎng)絡(luò)的用戶建立的����。
3.如權(quán)利要求1所述的方法�����,還包括在連接到本地網(wǎng)絡(luò)的本地自動VPN設(shè)備和連接到遠端網(wǎng)絡(luò)的遠端自動VPN設(shè)備中存儲所述自動VPN標識號����。
4.如權(quán)利要求1所述的方法,其中�����,所述建立用于連接到所述VPN的參數(shù)包括建立散列類型、加密技術(shù)����、隧道協(xié)議、密鑰分發(fā)類型和變換集中的至少一個���。
5.如權(quán)利要求1所述的方法,其中�,所述建立用于連接到所述VPN的參數(shù)包括建立互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議。
6.如權(quán)利要求1所述的方法��,其中�,所述建立用于連接到所述VPN的參數(shù)包括建立互聯(lián)網(wǎng)協(xié)議安全套件。
7.如權(quán)利要求1所述的方法�,其中,對所述VPN的訪問包括網(wǎng)關(guān)到網(wǎng)關(guān)的訪問和防火墻到防火墻的訪問中的至少一種�。
8.如權(quán)利要求1所述的方法,還包括 在用戶的自動VPN設(shè)備上安裝遠端IP地址�����; 將所述自動VPN標識號綁定到訪問列表��;及將所述訪問列表附連到用戶的所述自動VPN設(shè)備的接口�。
9.一種用于通過虛擬專用網(wǎng)絡(luò)(VPN)從遠端位置對數(shù)據(jù)進行安全訪問的方法��,所述方法包括由連接到本地網(wǎng)絡(luò)的VPN管理者和連接到遠端網(wǎng)絡(luò)的用戶建立用于連接到所述VPN的參數(shù)��;基于所述參數(shù)��,生成自動VPN標識號�����; 在用戶的自動VPN設(shè)備上安裝遠端IP地址�����; 將所述自動VPN標識號綁定到訪問列表�; 將所述訪問列表附連到用戶的所述自動VPN設(shè)備�����; 從用戶接收訪問所述VPN的請求�����;及如果所述請求包括所述自動VPN標識號����,則通過安全加密隧道提供對所述VPN的訪問�����, 該安全加密隧道提供對所述VPN內(nèi)的多個站點的自動訪問�,而不需要用戶再次輸入所述自動VPN標識號��。
10.如權(quán)利要求9所述的方法����,其中�,所述建立用于連接到所述VPN的參數(shù)包括建立散列類型、加密技術(shù)�����、隧道協(xié)議���、密鑰分發(fā)類型和變換集���。
11.如權(quán)利要求9所述的方法,其中�,所述建立用于連接到所述VPN的參數(shù)包括建立互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議。
12.如權(quán)利要求9所述的方法,其中�����,所述建立用于連接到所述VPN的參數(shù)包括建立互聯(lián)網(wǎng)協(xié)議安全套件�����。
13.一種系統(tǒng)���,包括本地自動虛擬專用網(wǎng)絡(luò)(VPN)設(shè)備����,用于將本地網(wǎng)絡(luò)連接到公共網(wǎng)絡(luò)���; 遠端自動VPN設(shè)備����,用于將遠端網(wǎng)絡(luò)連接到所述公共網(wǎng)絡(luò)���,所述遠端自動VPN設(shè)備包括用于存儲自動VPN標識號的儲存器�����,其中所述自動VPN標識號是基于由所述本地自動VPN 設(shè)備和所述遠端自動VPN設(shè)備商定的連接參數(shù)生成的����,所述本地自動VPN設(shè)備和所述遠端自動VPN設(shè)備包括安全加密隧道,該安全加密隧道用于在所述遠端自動VPN設(shè)備包括所述自動VPN標識號的情況下提供由所述遠端網(wǎng)絡(luò)對所述本地網(wǎng)絡(luò)的訪問��。
14.如權(quán)利要求13所述的系統(tǒng)�����,其中�����,所述安全加密隧道提供對所述本地網(wǎng)絡(luò)內(nèi)的多個站點的自動訪問�,而不需要所述至少一個遠端網(wǎng)絡(luò)的用戶再次輸入所述自動VPN標識號。
15.如權(quán)利要求13所述的系統(tǒng)��,其中��,所述本地自動VPN設(shè)備包括所述自動VPN標識號�����。
16.如權(quán)利要求13所述的系統(tǒng)����,其中,所述連接參數(shù)包括散列類型���、加密技術(shù)�、隧道協(xié)議�、密鑰分發(fā)類型和變換集中的至少一個。
17.如權(quán)利要求13所述的系統(tǒng)�����,其中��,所述連接參數(shù)包括互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議����。
18.如權(quán)利要求13所述的系統(tǒng),其中��,所述連接參數(shù)包括互聯(lián)網(wǎng)協(xié)議安全套件�����。
19.如權(quán)利要求13所述的系統(tǒng)���,其中�����,所述遠端自動VPN設(shè)備包括遠端IP地址和訪問列表�,其中該訪問列表綁定到所述自動VPN標識號。
全文摘要
本發(fā)明的一種實施方式提供了用于通過VPN對數(shù)據(jù)進行安全訪問的方法����。由連接到本地網(wǎng)絡(luò)的VPN管理者和連接到遠端網(wǎng)絡(luò)的用戶建立用于連接到所述VPN的參數(shù),其中基于該參數(shù)生成自動VPN標識號�。遠端IP地址安裝在用戶的自動VPN設(shè)備上。所述自動VPN標識號綁定到訪問列表���;而且���,該訪問列表附連到用戶的自動VPN設(shè)備。從用戶接收訪問所述VPN的請求����。如果請求包括所述自動VPN標識號���,則對VPN的訪問是通過安全加密隧道提供的�。該安全加密隧道提供了對VPN內(nèi)的多個站點的自動訪問,而不需要用戶再次輸入自動VPN標識號���。
文檔編號H04L29/08GK102546585SQ20111036002
公開日2012年7月4日 申請日期2011年11月15日 優(yōu)先權(quán)日2010年12月23日
發(fā)明者C·K·楊, G·D·考勒, J·W·米勒, M·R·迪格斯 申請人:國際商業(yè)機器公司