伺服器、vpn客戶機、vpn系統及軟體的製作方法

2023-06-21 04:07:16 1

專利名稱：伺服器、vpn客戶機、vpn系統及軟體的製作方法
技術領域：
本發明涉及使用網際網路協議在物理上分離的網點間構成邏輯的專用網絡(VPN)之通信系統。
背景技術：
作為使用網際網路來構建L2VPN的方式，利用隧道技術的方式已為眾所周知。在本方式中，捕捉在發送方VPN裝置所連接的LAN上流動的以太幀，並以IP進行封裝並將其發送給接收方VPN裝置。接收到封裝了以太幀的IP信息包後的接收方VPN裝置，可以通過從所接收到的IP信息包取出以太幀，並向接收方裝置所連接的LAN發送以太幀，來構建L2VPN。
對於經由網際網路的通信而言，有可能在通信路徑上被第三人竊聽或篡改數據。因此，為了安全地收發數據，需要使用加密。作為保護數據不受IP信息包的竊聽和篡改損害的技術，一般來說IPsec(IPSecurity Protocol，IP安全協議)已為眾所周知(例如，參見非專利文獻1)。就IPsec而言，根據預先規定了加密方式和密鑰等的安全關聯，來進行IP信息包的加密和解密。對於安全關聯的建立，除使用IKE(Internet Key Exchange，網際網路密鑰交換協議)進行動態建立的方法之外，還存在用手工事先加以設定的方法。
作為用來從一個發送終端向多個接收終端發送相同內容的IP信息包之技術，多播方式已為眾所周知。對於使用單播方式的通信來說，存在多個接收終端時，需要發送終端只按接收終端的數目複製信息包進行發送。但是，對於使用多播方式的通信來說，發送終端只發送1個信息包，信息包的複製就通過路徑上適當的多播路由器來進行。因此，可以減輕發送終端的負荷，並且減少通信量，有效使用網絡。
非專利文獻1 IETF，RFC2401發明內容為了利用網際網路並保證專用性和保密性來構建L2VPN，需要在VPN客戶機和VPN伺服器間加密交換數據。在VPN伺服器中，需要將從VPN客戶機所接收到的數據，通過數據發送源VPN客戶機用的密鑰進行解密，並且在決定作為數據發送目的地的VPN客戶機之後，通過發送源VPN客戶機用的密鑰進行加密。加密、解密的處理負荷較高，VPN伺服器的處理能力降低。
VPN客戶機根據從VPN伺服器所分發的多播地址的安全關聯，對以太幀進行加密，並用使目標地址為多播地址的IP信息包進行封裝。將該加密後的多播IP信息包，用使目標地址為VPN伺服器IP位址的IP信息包再進行封裝，並以單播方式發送給VPN伺服器。接收到來自VPN客戶機的IP信息包後的VPN伺服器，對IP信息包進行一次解封裝，根據其中多播IP信息包的多播地址來決定發送目的地的VPN客戶機，並用目標地址為發送目的地VPN客戶機IP位址的IP信息包又一次進行封裝，將其發送給VPN客戶機。VPN客戶機在對所接收到的IP信息包進行一次封裝之後，根據多播的安全關聯對其中的多播IP信息包進行解密，取得所封裝的以太幀。
根據本發明，可以大幅減輕VPN伺服器的處理負荷，並能夠使VPN伺服器的處理能力得到提高。


圖1是表示實施本發明的狀況的順序圖。
圖2表示實施本發明的網絡的概念圖。
圖3-1是表示本發明中所使用的VPN客戶機的內部結構的概念圖。
圖3-2是表示本發明中所使用的VPN客戶機的內部處理的概念圖。
圖4-1是表示VPN信息管理表的概念圖。
圖4-2是表示外部LAN MAC管理表的概念圖。
圖5-1是表示本發明中所使用的VPN伺服器的內部結構的概念圖。
圖5-2是表示本發明中所使用的VPN伺服器的內部處理的概念圖。
圖6-1是表示用戶VPN組管理表的概念圖。
圖6-2是表示單播組管理表的概念圖。
圖6-3是表示多播地址管理表的概念圖。
圖6-4是表示MAC IP對應管理表的概念圖。
圖7-1是表示VPN伺服器的用戶VPN管理處理的流程圖。
圖7-2是表示VPN伺服器的VPN傳輸處理的流程圖。
圖8-1是表示VPN客戶機的VPN傳輸發送處理的流程圖。
圖8-2是表示VPN客戶機的VPN傳輸接收處理的流程圖。
圖9是表示VPN報頭的概念圖。
圖10是表示在網路中流動的數據結構的概念圖。
圖11是表示構成L2VPN的客戶機被任意變更的狀況的順序圖。
圖12-1是表示多播地址管理表的概念圖。
圖12-2是表示VPN Sub ID管理表的概念圖。
圖13是表示在多播網絡上實施本發明的狀況的概念圖。
圖14是表示在多播網絡上實施本發明的狀況的順序圖。
圖15是表示利用多個VPN伺服器來實施本發明的狀況的概念圖。
圖16是表示利用多個VPN伺服器來實施本發明的狀況的順序圖。
圖17是表示經由多個VPN伺服器來實施本發明的網絡的概念圖。
圖18是表示經由多個VPN伺服器來實施本發明的網絡的順序圖。
圖19是表示經由多個VPN伺服器來實施本發明時所使用的單播組管理表的概念圖。
具體實施例方式
實施示例1圖2表示實施本發明的通信系統。本通信系統包括VPN伺服器101；VPN客戶機A102；VPN客戶機B103；VPN客戶機C104；各VPN客戶機所連接的LAN105、106、107；LAN105所屬的終端(1)108；LAN106所屬的終端(2)109；LAN107所屬的終端(3)110。VPN伺服器101和各VPN客戶機102、103、104經由網際網路111來連接。
圖3-1是VPN客戶機A102的結構示例。VPN客戶機A102由CPU(Central Processing Unit，中央處理器)301、存儲器302及接口部304、305構成。CPU301用來實際執行各種應用程式和OS(Operating System，作業系統)。存儲器302用來存儲在CPU301執行過程中所使用的程序以及各種應用程式。CPU301和存儲器302經由總線303來連接。接口部304、305用來將從CPU301和存儲器302所供給的數據向外部設備供給。接口部304、305之中的任一個連接到LAN105上，並且另一個連接到網際網路111上。圖3-2表示存儲器302內所存儲的信息。在存儲器302內，存儲有IPsec處理312、VPN建立處理313、VPN傳輸處理314等的程序以及安全關聯(SA)管理表308、VPN信息管理表309、認證信息管理表310和外部LANMAC管理表311等的信息管理表。
安全關聯管理表308用來管理IPsec的安全關聯。VPN信息管理表309用來管理VPN客戶機可利用的VPN伺服器的單播地址以及VPN傳輸用的多播地址。圖4-1表示VPN信息管理表309的結構示例。在示例中表示了VPN伺服器的IP位址是3ffe∷1000，VPN傳輸用的多播地址是ff1e∷1的情況。
在認證信息管理表310中，管理VPN建立時用戶認證所需要的VPN客戶機的用戶ID和口令。
外部LAN MAC管理表311用來管理終端(2)109及終端(3)110的MAC地址和MAC地址的有效時間，該終端(2)109及終端(3)110屬於VPN客戶機A102經由VPN伺服器101所連接的VPN客戶機B103、C104所連接的LAN106、107。有效時間在每次發生和終端之間的通信時都進行更新，如果在一定時間沒有更新且有效時間變為0，則所註冊的MAC地址被從外部LAN MAC地址管理表311刪除。
圖4-2表示外部LAN MAC管理表311的結構示例。在示例中表示了終端(2)109及終端(3)110的MAC地址為bb、cc，並且這些MAC地址的有效時間是3600秒、3000秒的情況。
圖5-1是VPN伺服器101的結構示例。VPN伺服器101由CPU501、存儲器502及接口部504構成。CPU501、存儲器502及接口部504經由總線503來連接。接口部504連接到網際網路111上。
圖5-2表示存儲器502中所存儲的信息。在存儲器502內，存儲有IPsec處理510、用戶VPN管理處理511和VPN傳輸處理512等程序以及用戶VPN組管理表506、單播組管理表507、多播地址管理表508和MAC IP對應管理表509等信息管理表。
圖6-1是用戶VPN組管理表506的結構示例。用戶VPN信息管理表用來管理用戶所屬的VPN組。在示例中，用戶A、B、C屬於VPN組1001、用戶D屬於VPN組1002。
圖6-2是單播組管理表507的結構示例。單播組管理表507用來管理屬於相同VPN組的用戶當前正在使用的單播IP位址。在示例中表示了VPN組1001所屬的用戶(用戶A、B、C)正在使用的IP位址是3ffe:aaaa∷1、3ffe:bbbb∷1及3ffe:cccc∷1的情況。
圖6-3是多播地址管理表508的結構示例。多播地址管理表508用來管理VPN組當前正在利用的多播地址以及與多播地址對應的安全關聯。在示例中表示了VPN組1001利用多播地址ff1e∷1，並且多播地址ff1e∷1用的安全關聯是SA 1的情況。所謂安全關聯，表示IPsec的安全關聯，並且包括加密算法、密鑰及SPI(Security ParameterIndex)等。
圖6-4是MAC IP對應管理表509的結構示例。MAC IP對應管理表509用來管理終端的MAC地址和與終端所屬的LAN所連接的VPN客戶機IP位址之間的對應關係。在示例中表示了終端(1)108的MAC地址aa對應於VPN客戶機A102的IP位址3ffe:aaaa∷1，終端(2)109的MAC地址bb對應於VPN客戶機B103的IP位址3ffe:bbbb∷1的情況。
圖1表示了採用本發明所涉及的LAN間連接方式由L2VPN來連接LAN105、106及107時的順序。客戶機A102、客戶機B103及客戶機C104全都是VPN客戶機，並且假設各VPN客戶機的利用者A、B、C同意由L2VPN來連接LAN105、106、107。
在VPN組間建立多播安全關聯的VPN客戶機方的處理是通過VPN建立處理313進行的。另外，VPN伺服器方的處理是通過用戶VPN管理處理511進行的。
首先，在VPN客戶機A102和VPN伺服器101間建立多播的安全關聯。VPN客戶機A102在採用IPsec對數據進行加密之後，根據認證信息管理表310中所註冊的信息，進行用戶認證請求。VPN伺服器101進行用戶認證，在用戶被確認時，將在VPN連接中利用的多播地址以及多播地址的安全關聯作為安全參數，通告給VPN客戶機。VPN客戶機將被分發的安全參數註冊到安全關聯管理表308中，在VPN組間建立安全關聯。客戶機B及客戶機C也同樣地在VPN組間建立安全關聯。
圖7-1表示VPN伺服器101的用戶VPN管理處理511的處理流程。本處理表示了在圖1的順序圖中VPN客戶機建立多播安全關聯之前的VPN伺服器的處理。
VPN伺服器101按照來自客戶機A102的請求，利用IKE等在VPN客戶機和VPN伺服器間建立使用多播地址的安全關聯(步驟701)。在建立VPN客戶機和VPN伺服器間的安全關聯後，採用IPsec將數據加密，進行用戶認證。用戶認證也可以使用XAUTH等，在建立安全關聯的過程中進行。判斷用戶認證是否成功(步驟702)，在失敗的情況下結束處理。在成功的情況下，根據用戶認證所使用的用戶ID，採用用戶VPN組管理表506來確定用戶的VPN ID(步驟703)。根據VPN ID，進行單播組管理表507的檢索，並判斷VPN ID是否已註冊(步驟704)。
在單播組管理表507中未註冊VPN ID時，判斷為在共享同一VPN ID的用戶組內最初來自VPN客戶機的連接，並決定以後VPN連接中利用的多播地址。另外，還生成對於所決定的多播地址的安全關聯，並與多播地址一起保存到多播地址管理表508中(步驟705)。再者，還生成由步驟703所確定的VPN ID的單播組管理表508，並註冊VPN客戶機的單播地址(步驟706)。在單播組管理表506中已註冊VPN ID(步驟704)時，不進行多播地址及安全關聯的生成、註冊。給已註冊的單播組管理表507，追加VPN客戶機的單播地址(步驟707)。將在VPN組中使用的多播地址以及多播地址用安全關聯通告給VPN客戶機，結束處理(步驟708)。
通過上面的處理，可以在同一VPN組間建立多播的安全關聯。
返回到圖1，說明以太幀的傳輸處理。VPN客戶機A102在IP信息包中封裝以太幀，將其發送給VPN伺服器101。本處理是通過VPN客戶機A102的VPN傳輸處理314進行的。將從VPN客戶機A102向VPN伺服器101所發送的IP信息包傳輸給適當的VPN客戶機的處理，是通過VPN伺服器101的VPN傳輸處理511進行的。
圖8-1表示VPN客戶機中VPN傳輸處理的發送處理流程。在VPN客戶機A102中，對所有在VPN客戶機A102所連接的LAN105上流動的以太幀進行捕捉(步驟801)。檢索以太幀的發送源MAC地址是否註冊於外部LAN MAC管理表311中(步驟802)。在已註冊於外部LAN MAC管理表311中時，將所捕捉到的以太幀廢棄，並結束處理。在未註冊時，從VPN信息管理表309取得VPN組中利用的多播地址(步驟803)。製作IP信息包，該IP信息包將由步驟801所捕捉到的以太幀作為有效負載。將IP信息包的目標地址設為由步驟803所取得的多播地址(步驟804)。此後，將由步驟804所製作出的IP信息包稱為內部IP信息包，將內部IP信息包的報頭部稱為內部IP報頭。
這樣，因為使內部IP報頭的目標地址成為多播地址，所以VPN伺服器可以根據該多播地址，確定傳輸目的地的VPN客戶機。判斷將目標地址作為多播地址的安全關聯是否註冊於安全關聯管理表308中(步驟805)。如果是正常狀態，則通過步驟708所分發的多播地址的安全關聯已被註冊。在未註冊安全關聯時，結束處理。在已註冊安全關聯時，根據註冊信息，對通過步驟804所製作出的內部IP信息包進行加密(步驟806)。這樣，因為按照多播地址的安全關聯對內部IP信息包進行加密，所以即便不由VPN伺服器進行解密、再加密的處理，發送目的地的VPN客戶機也可以對內部IP信息包進行解密。給通過步驟806加密後的內部IP信息包添加VPN報頭901(步驟807)。
圖9表示VPN報頭的結構示例。VPN報頭901具有下一數據欄位902，用來表示下一欄位是MAC地址還是IP報頭。在下一數據欄位902表示MAC地址時，包含發送源MAC地址903及目標MAC地址904。從VPN信息管理表309取得VPN伺服器的IP位址(步驟808)。製作下述IP信息包，並將目標IP位址設定為由步驟808所取得的VPN伺服器的地址，將IP信息包輸出到與網際網路連接的網路上(步驟809)，上述IP信息包是將由步驟807所製作出的數據包含到UDP有效負載中。此後，將由步驟809所製作出的IP信息包稱為外部IP信息包，將外部IP信息包的報頭部稱為外部IP報頭。
圖10表示由VPN客戶機A102的發送處理所製作出的IP信息包的結構。其結構為，在以VPN伺服器作為目的地的外部IP信息包的UDP有效負載部1001中，存儲添加了VPN報頭901且發往多播地址的內部IP信息包1002，並且在發往多播地址的內部IP信息包1002之中存儲所捕捉到的以太幀。這樣，因為預先將內部IP報頭的目標地址作為多播地址，所以VPN伺服器不用對內部IP信息包被加密的部分進行解密，就可以確定目標VPN客戶機。
圖7-2表示，接收到來自VPN客戶機A102的IP信息包後的VPN伺服器101的處理流程。VPN伺服器101接收發給自己的IP信息包(步驟709)。VPN伺服器101對外部IP信息包的UDP有效負載部1001進行分析(步驟710)，取得VPN報頭901。檢查VPN報頭的下一數據欄位902，判斷在VPN報頭901中是否包含MAC地址(步驟711)。在包含MAC地址時，按照從VPN報頭901所取得的發送源MAC地址904，檢索MAC IP對應管理表509(步驟712)。判斷在MAC IP對應管理表509中有沒有註冊MAC地址(步驟713)，在沒有註冊時，向MAC IP對應管理表509註冊由VPN報頭901所通告的發送源MAC地址、以及由步驟709所接收到的IP信息包發送源IP位址的關聯(步驟714)。按照從VPN報頭901所取得的目標MAC地址903，檢索MAC IP對應管理表509(步驟715)，判斷有沒有註冊目標MAC地址(步驟716)。
在MAC IP對應管理表509中有從VPN報頭901的目標MAC地址903所取得的MAC地址的註冊時，製作下述外部IP信息包，並且所製作出的外部IP信息包的目標IP位址設為從MAC IP對應管理表509所取得的IP位址，上述外部IP信息包將由步驟709所接收到IP信息包的VPN報頭下面部分作為UDP有效負載。將所製作出的外部IP信息包輸出到網路上(步驟719)。在MAC IP對應管理表509中沒有註冊從VPN報頭的目標MAC地址903所取得的MAC地址時，按照由步驟709所接收到外部IP信息包的UDP有效負載1001中所含的內部IP信息包1002的目標地址，檢索多播管理表508並取得VPN ID。按照所取得的VPN ID檢索單播組管理表，取得下述客戶機的IP位址(步驟718)，該客戶機屬於和IP信息包發送源VPN客戶機相同的VPN組。在IP位址的取得失敗時，結束處理。在IP位址的取得成功時，從通過步驟717所取得的IP位址之中，選擇所有由步驟709所取得的外部IP信息包發送源IP位址以外的IP位址。製作下述IP信息包，該IP信息包將由步驟709所接收到IP信息包的VPN報頭下面部分作為UDP有效負載。所製作出外部IP信息包的目標IP位址設為所選擇的IP位址，並將外部IP信息包輸出到網路上(步驟719)。
在步驟711中VPN報頭內未包含MAC地址時，也就是VPN報頭的下一數據欄位為2時，不進行MAC地址的檢索，而按照由步驟709所接收到外部IP信息包的UDP有效負載1001中所含內部IP信息包1002的目標地址，檢索多播管理表508並取得VPN ID。按照所取得的VPN ID檢索單播組管理表507，取得下述客戶機的IP位址(步驟718)，該客戶機屬於和外部IP信息包發送源VPN客戶機相同的VPN組。在IP位址的取得失敗時，結束處理。在IP位址的取得成功時，從通過步驟717所取得的IP位址之中，選擇所有由步驟709所取得的外部IP信息包的發送源IP位址以外的IP位址。製作下述外部IP信息包，該外部IP信息包將由步驟709所接收到IP信息包的VPN報頭下面部分作為UDP有效負載。將所製作的外部IP信息包的目標IP位址設為所選擇的IP位址，並將外部IP信息包輸出到網路上(步驟719)。
圖8-2表示，從VPN伺服器101接收到發往VPN客戶機B103的信息包後的VPN客戶機的接收處理流程。本處理是通過VPN客戶機的VPN傳輸處理314進行的。
VPN客戶機B102接收發給自己的IP信息包(步驟810)。檢查所接收到的IP信息包的UDP有效負載1001，取得UDP有效負載1001中包含的內部IP信息包1002(步驟811)。檢索安全關聯管理表308，在所取得的內部IP信息包1002中檢索對應的安全關聯(步驟812)，判斷對應的安全關聯是否已被註冊(步驟813)。在對應的安全關聯未註冊時，結束處理。如果是正常狀態，則在VPN連接時從VPN伺服器101所分發的多播地址的安全關聯已被註冊。存在對應的安全關聯時，根據所取得的安全關聯，對通過步驟811所取得的內部IP信息包1002進行解密(步驟814)。從解密後的內部IP信息包，取得以太幀(步驟815)。按照由步驟815所取得的以太幀的發送源MAC地址，檢索外部LAN MAC管理表311(步驟816)。
在所檢索到的發送源MAC地址已註冊於外部LAN MAC管理表311中時，更新對應的MAC地址有效時間(步驟818)，將由步驟815所取得的以太幀輸出到網路上(步驟820)，並結束處理。在所檢索到的發送源MAC地址未註冊於外部LAN MAC管理表311中時，將發送源MAC地址註冊到外部LAN MAC管理表中(步驟819)，將由步驟815所取得的以太幀輸出到網路上(步驟820)，並結束處理。
根據上面實施示例1所示的結構，由於在實現保證了安全性的專用網時，不在VPN伺服器內進行內部IP信息包的加密、解密處理，因而可以減輕VPN伺服器的處理負荷，同時提高處理能力。
實施示例2在實施示例2中，將說明對VPN ID引入Sub ID、並在同一VPN組內對構成L2VPN的用戶進行任意變更的示例。圖11表示通過任意變更從VPN伺服器101所分發的安全參數來變更構成L2VPN的用戶之狀況。
各VPN客戶機(102、103、104)與實施示例1同樣地，在VPN客戶機和VPN伺服器間建立單播地址的安全關聯，進行用戶認證。在用戶被確認時，將VPN連接中利用的多播地址及多播地址的安全關聯作為安全參數，通告給VPN客戶機。在本實施示例中，將從VPN伺服器101向各VPN客戶機(102、103、104)分發的安全關聯，變更分發給每個VPN Sub ID。為此，在多播地址管理表508中追加VPNSub ID欄位1201。圖12-1表示擴展後的多播地址管理表的概念圖。VPN Sub ID是同一VPN組內的管理者事先設定的。也可以使用VPN組管理者用的入口頁面等，在VPN連接過程中變更各用戶所屬的SubID。圖12-2表示VPN Sub ID組管理表的概念圖。
在圖11中，由VPN組管理者做出的初始設定是，用戶A及用戶B的Sub ID設定為1，用戶C的Sub ID設定為2。進行用戶認證後，VPN伺服器101作為安全參數給VPN客戶機A102及B103分發多播的安全關聯1，並且作為安全參數給VPN客戶機C104分發多播的安全關聯10。由於給VPN客戶機A102及B103分發了相同的安全關聯，因而在VPN客戶機A102、B103間建立了多播的安全關聯，但是由於給VPN客戶機C104分發了不同的安全關聯，因而不能建立和客戶機A102及B103之間的安全關聯。
這種狀態下，VPN客戶機A102與實施示例1同樣地，用IP信息包封裝所捕捉到的以太幀，發送給VPN伺服器101。VPN伺服器按照從UDP有效負載部1001所取出內部IP信息包1002的目標多播地址，選擇VPN客戶機B103及VPN客戶機C104，並採用與實施示例1相同的方法進行發送。接收到來自VPN伺服器101的IP信息包後的VPN客戶機B103及C104嘗試對加密後的多播信息包進行解密。由於VPN客戶機B103同VPN客戶機A102共享安全關聯，因而可以進行解密，但是由於VPN客戶機C104未共享安全關聯，因而無法解密。因此，VPN客戶機A102及B103可以構建L2VPN，而VPN客戶機C104不能和VPN客戶機A102及B103構建L2VPN。也就是說，VPN客戶機C104不能對從VPN客戶機A102或VPN客戶機B103經由L2VPN所接收到的以太幀進行解密。
VPN組管理者進行Sub ID的變更，將用戶C的Sub ID變更成1。
VPN伺服器101檢測到Sub ID的變更，並從用戶VPN組管理表506取得出現了變更的用戶VPN ID。使用多播地址管理表508，按照VPN ID、Sub ID取得安全關聯。將所取得的安全關聯作為安全參數，通告給VPN客戶機C104。VPN客戶機C104從所分發的安全參數之中取得多播的安全關聯，向安全關聯管理表308進行註冊。藉此，在VPN客戶機A102、B103、C104間建立了多播的安全關聯。此後，從VPN客戶機A102或VPN客戶機B103所發送的數據也可以由C104進行解密。
根據上面實施示例2所示的結構，可以靈活變更屬於一個VPN組的客戶機。
實施示例3
圖13表示通過多播網絡來實施本發明的狀況。在本實施示例中，各VPN客戶機(102、103、104)經由多播網絡1302來連接。在多播網絡1302中包括多播路由器1301。
VPN伺服器101如果被設置到可進行IP通信的地方，也可以不存在於多播網絡1302內。
圖14表示按照本實施示例的通信過程示例。各VPN客戶機(102、103、104)與實施示例1同樣地，和VPN伺服器101建立單播的安全關聯，進行用戶認證。在用戶被確認時，將VPN連接中利用的多播地址及多播地址的安全關聯通告給VPN客戶機，建立VPN組間的安全關聯。
客戶機A102與第1實施示例同樣地，捕捉從終端(1)108所發送的以太幀，對IP信息包進行加密(步驟801到步驟806)。在本實施示例中，VPN客戶機A102不添加VPN報頭901和以VPN伺服器101作為目標的IP報頭，就將該IP信息包輸出到網路上。也就是說，按內部IP位址的原樣進行發送。以多播地址作為目標地址的IP信息包通過多播網絡1302內的多播路由器1301進行複製，發送給VPN客戶機B103及C104。接收到從VPN客戶機A102所發送的發往多播目的地的IP信息包後的各客戶機，採用對應的安全關聯對IP信息包進行解密，並進行與實施示例1相同的處理(步驟812到步驟820)。
根據上面實施示例3所示的結構，不用對以太幀的傳輸使用VPN伺服器，而可以利用多播網絡來構成專用網，並且能夠減輕VPN伺服器的處理負荷，與此同時提高處理能力。
實施示例4圖15表示採用多個VPN伺服器來實施本發明的狀況。在本實施示例中，將VPN伺服器在網際網路111上配置多個，並且VPN客戶機通過連接到最接近的VPN伺服器，而同其他VPN客戶機連接。在本實施示例中，VPN客戶機A102、B103、C104以及代表VPN伺服器1501、VPN伺服器A1502、B1503經由網際網路111來連接。
圖16表示按照本實施示例的通信過程示例。各VPN客戶機(102、103、104)與實施示例1同樣地，和代表VPN伺服器1501建立單播的安全關聯。代表VPN伺服器1501進行用戶VPN管理處理511，並分發VPN連接中利用的多播地址以及多播地址的安全關聯。此時，將以後在L2數據的傳輸中使用的VPN伺服器地址分發給各VPN客戶機。例如，VPN客戶機A102在代表VPN伺服器1501中被確認時，代表VPN伺服器1501將VPN伺服器A1501的地址、VPN連接中利用的多播地址以及多播地址的安全關聯，通告給VPN客戶機A102。
其他的VPN客戶機也採用相同的方法，取得最接近VPN伺服器的地址。代表VPN伺服器1501在進行用戶VPN管理處理511之後，向收容客戶機A102的VPN伺服器1502，分發VPN傳輸處理時所需要的多播地址管理表508以及單播組管理表507。多播地址管理表508和單播組管理表507也可以只分發VPN客戶機連接時所變更的差別部分。此後，VPN伺服器A1502、B1503對來自VPN客戶機A102、B103、C104的L2數據進行傳輸的處理，與第1實施示例相同。
根據上面實施示例4所示的結構，即使在具備多個VPN伺服器的網絡上，也不用進行VPN伺服器中內部IP信息包的解密、加密，就可以構建VPN，並且因使用多個VPN伺服器，而可以分散在VPN上流動的信息包的傳輸處理負荷。
實施示例5圖17表示出經由多個VPN伺服器來實施本發明的狀況。在本實施示例中，將VPN伺服器在網際網路111上配置多個，並且VPN客戶機通過連接到最接近的VPN伺服器，同其他VPN客戶機進行連接。在本實施示例中，VPN客戶機A102、B103、C104以及代表VPN伺服器1501、VPN伺服器A1502、B1503經由網際網路111來連接。
圖18表示按照本實施示例的通信過程示例。各VPN客戶機(102、103、104)與實施示例3同樣地，和代表VPN伺服器1501建立單播的安全關聯，代表VPN伺服器1501在進行用戶認證後，將VPN連接中利用的多播地址、多播地址的安全關聯以及VPN伺服器的地址分發給VPN客戶機。此後，代表VPN伺服器1501在進行用戶VPN管理處理之後，向收容客戶機A102的VPN伺服器1502，分發VPN傳輸處理時所需要的多播地址管理表508以及單播組管理表507。
在本實施示例中，當從代表VPN伺服器1501向各VPN伺服器1502、1503分發單播組管理表時，將各VPN伺服器所收容VPN客戶機之外的單播地址變更成收容各VPN客戶機的VPN伺服器的單播地址。圖19表示在本實施示例中從代表VPN伺服器1501向VPN伺服器B1502所分發的單播組管理表的概念圖。由於VPN客戶機A102、B103已收容到VPN伺服器A1502中，因而設定伺服器A的地址3ffe∷1000:a來替代各VPN客戶機的單播地址。
多播地址管理表508和單播組管理表507也可以只分發VPN客戶機連接時所變更的差別。此後，VPN伺服器A1502、B1503對來自VPN客戶機A102、B103、C104的L2數據進行傳輸的處理，與第1實施示例相同。
根據上面實施示例5所示的結構，各VPN伺服器不用直接傳輸發往其他VPN伺服器所收容的VPN客戶機的信息包，就可以經由收容目標VPN客戶機的VPN伺服器進行傳輸，並且不需要管理其他VPN伺服器所收容的VPN客戶機的地址。
權利要求
1.一種伺服器，經由網絡與多個VPN客戶裝置連接，並具有存儲器和收發部，其特徵為在上述存儲器中，使上述多個VPN客戶裝置共享的目標地址和上述多個VPN客戶裝置共享的加密信息相對應進行存儲，上述收發部使上述目標地址和上述加密信息相對應，發送給上述多個VPN客戶裝置，當上述收發部從上述多個VPN客戶裝置中的一個VPN客戶裝置接收到根據上述加密信息進行了加密的IP數據包並且該IP數據包包含上述目標地址時，將該IP數據包以上述加密的狀態，從上述收發部向上述多個VPN客戶裝置中上述一個VPN客戶裝置之外的VPN客戶裝置發送。
2.根據權利要求1所述的伺服器，其特徵為當上述多個VPN客戶裝置形成的VPN組的結構被變更了時，改變用於向屬於新的VPN組的VPN客戶裝置進行通告的加密信息。
3.根據權利要求1所述的伺服器，其特徵為上述多個VPN客戶裝置共享的地址是多播(multicast)地址。
4.根據權利要求1所述的伺服器，其特徵為上述加密信息是對上述多個VPN客戶裝置共享的每個目標地址生成的安全性關聯(Security association)。
5.根據權利要求1所述的伺服器，其特徵為上述加密信息是對上述多個VPN客戶裝置共享的每個目標地址生成的加密算法、密鑰或者SPI(Security Parameter Index)中的至少一個。
6.一種VPN客戶裝置，經由網絡至少與一個其他的VPN客戶裝置連接，其特徵為，具有存儲器，使與上述其他的VPN客戶機共享的目標地址、及與上述其他的VPN客戶機共享的加密信息相對應進行存儲；收發部，將根據上述加密信息被加密、並以目的地為上述共享目標地址的IP數據包進一步用IP數據包進行封裝並發送。
7.根據權利要求6所述的VPN客戶裝置，其特徵為上述收發部可以從經由上述網絡連接的伺服器接收上述共享的目標地址和上述共享的加密信息。
8.根據權利要求6所述的VPN客戶裝置，其特徵為上述共享的目標地址是多播地址。
9.根據權利要求6所述的VPN客戶裝置，其特徵為上述加密信息是對上述共享的每個目標地址生成的安全性關聯。
10.一種VPN系統，具備經由網絡被連接的伺服器及多個VPN客戶裝置，其特徵為，上述伺服器，具有存儲器，使上述多個VPN客戶裝置共享的目標地址和上述多個VPN客戶裝置共享的加密信息相對應進行存儲；接口，將上述共享的目標地址和上述共享的加密信息通知給上述多個VPN客戶裝置；上述多個VPN客戶裝置，分別具有存儲器，使上述共享的目標地址和上述共享的加密信息相對應進行存儲；接口，將根據上述加密信息被加密、並以目的地為上述共享目標地址的IP數據包進一步用IP數據包進行封裝，向上述伺服器發送。
11.一種軟體，由伺服器的控制部來執行，該伺服器與多個VPN客戶裝置連接，具有控制部、存儲器和收發部，其特徵為，可以執行VPN生成方法，該VPN生成方法具有以下步驟將上述多個VPN客戶裝置共享的目標地址、和上述多個VPN客戶裝置共享的加密信息存儲到存儲器中的步驟；將上述共享的目標地址和上述共享的加密信息從上述收發部向上述多個VPN客戶裝置發送的步驟。
全文摘要
本發明提供一種伺服器、VPN客戶機、VPN系統及軟體，可以大幅減輕VPN伺服器的處理負荷，並能夠使VPN伺服器的處理能力得到提高。將VPN客戶機所發送的IP信息包的目標地址作為多播地址，根據從VPN伺服器所分發的多播地址的安全關聯進行加密。以VPN伺服器的IP位址對加密後的IP信息包進行封裝，將其發送給VPN伺服器。接收到該IP信息包後的VPN伺服器根據IP信息包中所封裝IP信息包的多播地址，決定發送目的地的VPN客戶機，並以發送目的地VPN客戶機的IP位址進行封裝，將其發送給VPN客戶機。
文檔編號H04L12/46GK1756234SQ200510006838
公開日2006年4月5日 申請日期2005年1月28日 優先權日2004年9月29日
發明者山田真理子, 矢野正, 新井真 申請人:日立通訊技術株式會社