一種虛擬專網客戶端的接入方法及系統的製作方法

2023-10-09 18:25:24

專利名稱：一種虛擬專網客戶端的接入方法及系統的製作方法
技術領域：
本發明涉及虛擬專網(VPN，Virtual Private Network)技術，特別涉及一種VPN客戶端的接入方法及系統。
背景技術：
虛擬專用網絡，簡稱虛擬專網(VPN)，能夠利用網際網路(Internet)或其它公共網際網路基礎設施為用戶創建虛擬的邏輯網絡，具有與私有網絡相同的安全性、易管理性和穩定性，可以滿足企業內部區域網與分支機構、移動用戶、遠程用戶間安全連接的要求。一般來說，VPN連接可以分為基於網絡的VPN和基於客戶端的VPN這兩種形式。
其中，基於網絡的VPN對使用網絡的終端用戶來說是透明的，VPN鏈路的建立、數據的加密傳輸均由邊緣路由器或VPN網關實現，可以通過公用網絡在公司企業總部和遠程辦公室、供應商、合作夥伴和用戶之間建立起虛擬專用網絡。而基於客戶端的VPN則面向出差流動員工、遠程辦公人員和遠程小辦公室，提供了通過公用網絡與企業的內部區域網建立私有網絡連接的功能。目前，此基於客戶端的VPN已經成為企業網VPN解決方案的重要組成部分。
然而，目前基於客戶端的VPN的發展已受到管理複雜和性能受限等因素的嚴重阻礙。對於移動VPN客戶端而言，如要正常接入企業區域網建立VPN連接，必須配置複雜的運行參數；如果企業中擁有多個分支區域網路，用戶則必須為與每一個分支網絡的VPN連接配置複雜的參數。所配置的參數包括VPN網關信息、加密算法信息、密鑰協商機制等，這些參數對於普通用戶來說難以理解，在配置參數時將遇到諸多麻煩，也容易出現誤操作。此外，現有的VPN解決方案中的單點接入VPN入口網關機制也成為移動VPN客戶端接入的性能瓶頸。
目前，通常採用二層隧道協議(L2TP)技術與IPSec技術相結合來實現安全移動VPN客戶端的接入。在這種VPN解決方案中為了在VPN用戶和企業網伺服器之間安全地傳遞數據報文，必須在VPN客戶端與VPN網關(LNS)間建立L2TP通道，同時通過網際網路安全協議(IPSec)對數據提供加密，確保數據傳輸的安全性。鑑於前面所述現有VPN技術出現的問題，以L2TP/IPSec VPN為基礎的移動VPN客戶端將具有以下缺點1、配置複雜除了要配置VPN網關的IP位址、共享密鑰等基本參數外，還要對IPSec參數、網際網路密鑰交換(IKE)參數以及路由表進行配置。如果企業中擁有多個分支區域網路，用戶則必須為與每一個分支網絡的VPN連接配置一套複雜的參數。
2、無法與動態獲取IP位址的企業分支網絡的VPN分支網關互連由於移動VPN客戶端無法得知分支網絡的VPN分支網關動態獲取的IP位址，因此無法建立連接。
3、安全策略難以保證由於用戶可自由選擇加密算法強度以及路由策略，因此無法保證加密強度，也可能因為企業內部伺服器與Internet可通過移動VPN客戶端互連，而造成安全隱患。
4、性能瓶頸嚴重這種VPN客戶端接入方式採用了以VPN入口網關為中心的接入和轉發機制，系統中所有VPN客戶端與VPN分支網關之間的報文都要經由統一的VPN入口網關進行數據加密和轉發，這樣使數據加密和轉發壓力集中於VPN入口網關這一單點設備，從而形成VPN客戶端接入的性能瓶頸，難以適應大規模的移動VPN客戶端的並發接入。
可見，移動VPN客戶端配置的複雜性和接入性能的瓶頸，已嚴重影響了移動VPN客戶端接入的推廣應用。隨著VPN在安全技術方面的日漸成熟，用戶對移動VPN客戶端的關注重點也逐漸從基本的安全加密轉移到了易用性和高性能等方面，所以目前亟待改進VPN客戶端接入技術。

發明內容
有鑑於此，本發明的主要目的在於提供一種VPN客戶端的接入方法及系統，能顯著降低VPN客戶端接入網絡時的配置複雜度，方便用戶使用，並提高系統性能。
為達到上述目的，本發明的技術方案是這樣實現的本發明公開了一種VPN客戶端的接入方法，應用於包括VPN客戶端、一個以上VPN分支網絡以及一個以上VPN分支網關的系統，每一VPN分支網絡連接一個以上的VPN分支網關；設置用於保存各VPN分支網關接入配置信息的VPN中心網關；該方法還包括A.所述VPN客戶端從所述VPN中心網關獲取VPN分支網關的接入配置信息；B.該VPN客戶端按所獲取的VPN分支網關的接入配置信息與VPN分支網關建立連接，並通過該VPN分支網關接入VPN分支網絡。
其中，步驟A所述獲取VPN分支網關的接入配置信息的方法為A1.所述VPN客戶端與VPN中心網關建立連接，該VPN中心網關根據來自該VPN客戶端的身份認證信息對該VPN客戶端進行身份認證，當身份認證成功時，下發VPN客戶端所能接入的VPN分支網絡以及該所能接入的VPN網絡連接的VPN分支網關的信息給該VPN客戶端；A2.該VPN客戶端確定自身當前準備接入的VPN分支網絡，並從所述VPN中心網關獲取該準備接入的VPN分支網絡連接的VPN分支網關的接入配置信息。
其中，所述VPN中心網關預先保存各個VPN分支網絡的接入權限信息，該接入權限信息用於指示各VPN客戶端所能接入的各VPN分支網絡及其連接的VPN分支網關；步驟A1中，所述VPN中心網關根據自身預先保存的各VPN分支網絡的接入權限信息，下發該VPN客戶端所能接入的VPN分支網絡及其連接的VPN分支網關的信息。
步驟A2中，所述確定當前準備接入的VPN分支網絡的方法為從步驟A1下發的該VPN客戶端所能接入的VPN分支網絡的信息中確定當前準備接入的VPN分支網絡。
步驟A1中，所述VPN客戶端與VPN中心網關建立連接的方法為所述VPN客戶端按自身預先配置的安全策略與所述VPN中心網關建立安全連接。
步驟A1中，所述VPN客戶端與VPN中心網關建立連接的方法為該VPN中心網關下發安全策略給該VPN客戶端，該VPN客戶端按此安全策略與該VPN中心網關建立安全連接。
步驟A中，當所述VPN客戶端從所述VPN中心網關獲取所述VPN分支網關的接入配置信息時，該方法進一步包括該VPN中心網關按預先保存的各VPN客戶端與各VPN分支網關之間的連接權限配置信息，對該VPN客戶端與該VPN分支網關的連接權限進行認證，並將當前認證得到的連接權限信息包含在所述VPN分支網關的接入配置信息中；步驟B中，所述VPN客戶端按此連接權限信息與所述VPN分支網關建立連接。
其中，所述VPN分支網關的接入配置信息包括安全策略和連接參數。
本發明還公開了一種VPN客戶端的接入系統，該系統包括VPN客戶端、一個以上VPN分支網絡及其連接的VPN分支網關、VPN中心網關，每一VPN分支網絡連接一個以上的VPN分支網關；所述VPN中心網關，用於保存VPN分支網關接入配置信息，發送VPN分支網關的接入配置信息給所述VPN客戶端；所述VPN客戶端，用於按VPN分支網關的接入配置信息連接VPN分支網關；所述VPN分支網關，用於將所述VPN客戶端接入自身連接的VPN分支網絡。
其中，各個VPN分支網關進一步與所述VPN中心網關相連，用於發送自身的VPN分支網關的接入配置信息給該VPN中心網關。
由上述方案可以看出，本發明的關鍵在於設置用於保存各個VPN分支網關的接入配置信息的VPN中心網關；當VPN客戶端準備接入VPN分支網絡時，從該VPN中心網關獲取該VPN分支網絡的VPN分支網關的接入配置信息，再按此接入配置信息與該VPN分支網關建立連接，並通過該VPN分支網關接該VPN分支網絡。
因此，本發明所提供的VPN客戶端的接入方法及系統，能顯著降低VPN客戶端的配置複雜度，使用戶採用VPN客戶端接入VPN分支網絡的操作更加簡單，還能通過VPN中心網關對安全策略進行集中管理來保證接入VPN分支網絡的安全性。此外，VPN客戶端與VPN分支網關的直接連接，使原來VPN入口網關的數據處理壓力由各個VPN分支網關來分擔，從而解決了現有技術存在的VPN入口網關性能瓶頸問題，利於VPN的進一步發展。


圖1為本發明方法一較佳實施例處理流程示意圖；圖2為本發明系統一較佳實施例組成結構示意圖。
具體實施例方式
下面結合附圖及具體實施例對本發明再作進一步詳細的說明。
本發明提供了一種VPN客戶端的接入方法，應用於包括VPN客戶端、各個VPN分支網絡及其連接的VPN分支網關的系統。為實現VPN客戶端接入VPN分支網絡，本發明在此系統之上設置了用於集中保存各個VPN分支網關接入配置信息的VPN中心網關；VPN客戶端在接入VPN分支網絡時，可從VPN中心網關獲取該VPN分支網絡的VPN分支網關的接入配置信息，進而與該VPN分支網關建立連接，並通過該VPN分支網關接入該VPN分支網絡。
應用本發明方法後，VPN客戶端的參數配置過程被大大簡化，用戶僅需在VPN客戶端配置VPN中心網關的IP位址、用戶的身份認證信息等，而無需配置各個VPN分支網關的信息。VPN客戶端在與VPN中心網關建立連接的過程中進行身份認證，當身份認證成功時，從VPN中心網關獲知自身所能接入的VPN分支網絡以及該所能接入的VPN分支網絡連接的各個VPN分支網關。當VPN客戶端確定接入某VPN分支網絡時，可從VPN中心網關獲取當前VPN分支網絡的VPN分支網關的接入配置信息，並按此接入配置信息與該VPN分支網關建立連接，以接入VPN分支網絡。
圖1為本發明方法一較佳實施例處理流程示意圖。如圖1所示，具體處理包括步驟101VPN客戶端發送VPN接入請求給VPN中心網關。這裡，VPN客戶端需要預先配置與VPN中心網關的連接參數，如VPN中心網關的IP位址等。
由於，本發明中VPN客戶端首先與VPN中心網關建立連接，因此根據實現的需要，可進一步由VPN中心網關負責完成VPN客戶端的身份認證，以減輕VPN分支網關的處理壓力。所以，該VPN接入請求可攜帶VPN客戶端的身份認證信息，包括用戶名、密碼等等。
步驟102VPN中心網關根據步驟101所述VPN接入請求中的身份認證信息對VPN客戶端進行身份認證，並在身份認證成功時，確定該VPN客戶端所能接入的VPN分支網絡，再將該VPN客戶端所能接入的VPN分支網絡及其連接的VPN分支網關的相關信息下發給該VPN客戶端。這裡，當身份認證失敗時，將結束當前處理流程。
其中，VPN中心網關可預先保存各個VPN客戶端的身份認證信息，以對VPN客戶端進行身份認證，還可預先保存各個VPN分支網絡的接入權限信息，以確定當前VPN客戶端所能接入的VPN分支網絡。這裡，所述各個VPN分支網絡的接入權限信息用於指示各VPN客戶端所能接入的各VPN分支網絡及其連接的VPN分支網關。
步驟103VPN客戶端與VPN中心網關建立連接。
這裡，VPN中心網關通常要與VPN客戶端建立安全連接，此時VPN客戶端需要了解二者之間的安全策略。本步驟中，VPN客戶端可按自身預先配置的安全策略與VPN中心網關建立連接。考慮到安全策略配置的複雜性，步驟102中，VPN中心網關可進一步向VPN客戶端下發安全策略，然後本步驟中的VPN客戶端可按接收到的安全策略建立安全連接。所述安全策略包括所採用的加解密算法、密鑰協商機制、鏈路加密強度等等。
步驟104VPN客戶端根據步驟102接收到的自身所能接入的VPN分支網絡及其VPN分支網關的相關信息，確定當前準備接入的VPN分支網絡，並向VPN中心網關查詢該VPN分支網絡的VPN分支網關的接入配置信息。
步驟105VPN中心網關下發當前查詢得到的VPN分支網關的接入配置信息給該VPN客戶端。這裡，所述VPN分支網關的接入配置信息，包括連接參數和安全策略等，所述連接參數包括終端安全狀態以及路由信息等等，所述安全策略包括所採用的加解密算法、密鑰協商機制、鏈路加密強度等等。
其中，每一VPN客戶端與VPN分支網關建立連接時，都需要對VPN客戶端的連接權限進行認證，VPN客戶端將按此連接權限來與VPN分支網關建立連接。為減輕VPN分支網關的處理負擔，可將連接權限的認證處理移至VPN中心網關進行。所以，上述步驟104中，VPN中心網關還可進一步對VPN客戶端的連接權限進行認證並得到連接權限信息，步驟105下發的VPN分支網關的接入配置信息中將進一步包含該連接權限信息。這裡，VPN中心網關預先保存各VPN客戶端與各VPN分支網關之間的連接權限配置信息，並按此連接權限配置信息對VPN客戶端的連接權限進行認證；其中，連接權限配置信息包括各VPN客戶端對通過各VPN分支網關接入各VPN分支網絡的訪問權限、路由策略等信息，所述連接權限信息包括訪問分支網絡的訪問控制列表(ACL)控制策略等等。
步驟106VPN客戶端按步驟105接收到的VPN分支網關的接入配置信息中的連接參數、安全策略與VPN分支網關建立安全連接，並通過該VPN分支網關接入VPN分支網絡。
在現有技術中，VPN客戶端接入VPN分支網關時，通常都要經過統一的VPN入口網關來發送報文，這樣VPN入口網關的處理壓力相當大。而本步驟中，VPN客戶端可與VPN分支網關直接建立連接，由各個VPN分支網關負責各自VPN分支網絡的數據加密和轉發，則可解決現有技術存在的性能瓶頸的問題。
基於上述本發明方法，本發明還公開了一種VPN客戶端的接入系統，該系統包括VPN客戶端、VPN分支網絡及其連接的VPN分支網關、VPN中心網關，而VPN分支網絡以及VPN分支網關可能有一個或多個，且每一VPN分支網絡可連接一個或多個VPN分支網關。本文所述一個或多個指一個以上。
圖2為本發明系統一較佳實施例組成結構示意圖。圖2中，包括兩個VPN分支網絡VPN分支網絡1和VPN分支網絡2，它們連接的VPN分支網關分別為VPN分支網關1和VPN分支網關2。
其中，VPN中心網關，用於保存各個VPN分支網關的接入配置信息，並發送VPN分支網關的接入配置信息給VPN客戶端；VPN客戶端，用於按接收到的VPN分支網關的接入配置信息與VPN分支網關建立連接；VPN分支網關，用於連接VPN客戶端和VPN分支網絡，從而將VPN客戶端接入VPN分支網絡。這裡，可由系統操作員將各個VPN分支網關的接入配置信息輸入VPN中心網關。
另外，本發明還提出了另一較佳的系統實施例在上段所述系統實施例的基礎之上，VPN中心網關可進一步連接系統中的各個VPN分支網關，從而VPN中心網關可自動從各個VPN分支網關接收VPN分支網關的接入配置信息。這樣，每當有新的VPN分支網關加入，該新的VPN分支網關將按預先配置的VPN中心網關的IP位址發送自身的接入配置信息給VPN中心網關；每當有VPN分支網關的接入配置信息發生變化，該VPN分支網關也將發送最新的接入配置信息給VPN中心網關以完成接入配置信息的更新。進而，使整個系統更易於管理並能保證VPN分支網關接入配置信息的準確性。
綜上所述，本發明所提供的方法及系統解決了移動VPN客戶端配置複雜的問題，用戶只需簡單配置VPN中心網關的連接參數，而不必考慮各個VPN分支網關的連接參數，即可實現VPN客戶端與VPN分支網關的安全互連，從而降低了用戶使用的難度，並能提高企業網安全互連的整體性能，特別適合大型企業網的VPN應用場景。另外，VPN客戶端接入VPN分支網絡的安全策略等可由VPN中心網關統一進行管理，也更易於保證接入的安全性，避免了由VPN客戶端自行配置安全策略時存在的安全隱患。
以上所述僅為本發明的較佳實施例而已，並非用於限定本發明的保護範圍。凡在本發明的精神和原則之內所作的任何修改、等同替換、改進等，均包含在本發明的保護範圍內。
權利要求
1.一種虛擬專網VPN客戶端的接入方法，應用於包括VPN客戶端、一個以上VPN分支網絡以及一個以上VPN分支網關的系統，每一VPN分支網絡連接一個以上的VPN分支網關；其特徵在於，設置用於保存各VPN分支網關接入配置信息的VPN中心網關；該方法還包括A.所述VPN客戶端從所述VPN中心網關獲取VPN分支網關的接入配置信息；B.該VPN客戶端按所獲取的VPN分支網關的接入配置信息與VPN分支網關建立連接，並通過該VPN分支網關接入VPN分支網絡。
2.根據權利要求1所述的方法，其特徵在於，步驟A所述獲取VPN分支網關的接入配置信息的方法為A1.所述VPN客戶端與VPN中心網關建立連接，該VPN中心網關根據來自該VPN客戶端的身份認證信息對該VPN客戶端進行身份認證，當身份認證成功時，下發VPN客戶端所能接入的VPN分支網絡以及該所能接入的VPN網絡連接的VPN分支網關的信息給該VPN客戶端；A2.該VPN客戶端確定自身當前準備接入的VPN分支網絡，並從所述VPN中心網關獲取該準備接入的VPN分支網絡連接的VPN分支網關的接入配置信息。
3.根據權利要求2所述的方法，其特徵在於，所述VPN中心網關預先保存各個VPN分支網絡的接入權限信息，該接入權限信息用於指示各VPN客戶端所能接入的各VPN分支網絡及其連接的VPN分支網關；步驟A1中，所述VPN中心網關根據自身預先保存的各VPN分支網絡的接入權限信息，下發該VPN客戶端所能接入的VPN分支網絡及其連接的VPN分支網關的信息。
4.根據權利要求2所述的方法，其特徵在於，步驟A2中，所述確定當前準備接入的VPN分支網絡的方法為從步驟A1下發的該VPN客戶端所能接入的VPN分支網絡的信息中確定當前準備接入的VPN分支網絡。
5.根據權利要求2所述的方法，其特徵在於，步驟A1中，所述VPN客戶端與VPN中心網關建立連接的方法為所述VPN客戶端按自身預先配置的安全策略與所述VPN中心網關建立安全連接。
6.根據權利要求2所述的方法，其特徵在於，步驟A1中，所述VPN客戶端與VPN中心網關建立連接的方法為該VPN中心網關下發安全策略給該VPN客戶端，該VPN客戶端按此安全策略與該VPN中心網關建立安全連接。
7.根據權利要求1至6任一項所述的方法，其特徵在於，步驟A中，當所述VPN客戶端從所述VPN中心網關獲取所述VPN分支網關的接入配置信息時，該方法進一步包括該VPN中心網關按預先保存的各VPN客戶端與各VPN分支網關之間的連接權限配置信息，對該VPN客戶端與該VPN分支網關的連接權限進行認證，並將當前認證得到的連接權限信息包含在所述VPN分支網關的接入配置信息中；步驟B中，所述VPN客戶端按此連接權限信息與所述VPN分支網關建立連接。
8.根據權利要求1至6任一項所述的方法，其特徵在於，所述VPN分支網關的接入配置信息包括安全策略和連接參數。
9.一種VPN客戶端的接入系統，其特徵在於，該系統包括VPN客戶端、一個以上VPN分支網絡及其連接的VPN分支網關、VPN中心網關，每一VPN分支網絡連接一個以上的VPN分支網關；所述VPN中心網關，用於保存VPN分支網關接入配置信息，發送VPN分支網關的接入配置信息給所述VPN客戶端；所述VPN客戶端，用於按VPN分支網關的接入配置信息連接VPN分支網關；所述VPN分支網關，用於將所述VPN客戶端接入自身連接的VPN分支網絡。
10.根據權利要求9所述的系統，其特徵在於，各個VPN分支網關進一步與所述VPN中心網關相連，用於發送自身的VPN分支網關的接入配置信息給該VPN中心網關。
全文摘要
本發明公開了一種虛擬專網(VPN)客戶端的接入方法，應用於包括VPN客戶端、一個以上VPN分支網絡以及一個以上VPN分支網關的系統，每一VPN分支網絡連接一個以上的VPN分支網關；設置用於保存各VPN分支網關接入配置信息的VPN中心網關；該方法還包括A.所述VPN客戶端從所述VPN中心網關獲取VPN分支網關的接入配置信息；B.該VPN客戶端按所獲取的VPN分支網關的接入配置信息與VPN分支網關建立連接，並通過該VPN分支網關接入VPN分支網絡。本發明還提供了一種系統，應用本發明方法及系統能簡化VPN客戶端的配置操作，並提高系統性能。
文檔編號H04L12/66GK1747436SQ20051011451
公開日2006年3月15日 申請日期2005年10月24日 優先權日2005年10月24日
發明者杜鳳山, 柴勇軍, 張慶 申請人:杭州華為三康技術有限公司