用于提供多安全链路架构的系统和方法技术方案

本文中所公开的一些实施例包括MSL双网络地址转换器(NAT)，包括逻辑，该逻辑当由处理器执行时使该MSL双NAT从MSL VPN接收入站数据报并且记录来自入站数据报中的源IP地址的新的VPN所有者私有IP地址。在一些实施例中，该逻辑使该MSL双NAT为入站数据报和客户端工作站指派新的UPIP并且促进向客户端工作站发送入站数据报。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
因特网当前支持使用各种标准协议的计算机之间的全球通信。这些协议之一——因特网协议(IP)——向每个计算机指派独特的地址，称作IP地址。IP当前在两个版本中可用：具有32位地址的IPv4和具有128位地址的IPv6。IPv4是当今在使用中的最常见版本。因特网的发展已经使用了IPv4中所有可用的32位地址。有限数量的地址的一个结果是大多数组织现在使用由IPv4定义的三个私有地址空间中的一个。这些私有IP地址不可以在公共因特网上使用。网关路由器管理专用内联网和公共因特网之间的接口。网关路由器提供各种功能以当期望在专用网外面的通信时隐藏或掩蔽(mask)私有内部IP。在商业环境中由网关路由器使用的一种常见方法是创建虚拟专用网(VPN)以将外部用户连接到内部专用网。VPN提供包封或包装协议，以当分组跨公共因特网路由至客户端工作站时隐藏内部IP地址和数据。VPN通过在客户端工作站连接到VPN网关时向客户端工作站指派内部私有IP地址来扩展内部专用网。VPN创建将客户端工作站上的应用连接到VPN网关(或所有者网关)后面的内部专用网的网络或VPN隧道。客户端工作站的本地专用网和公共因特网通过VPN隧道对客户端工作站上的应用是隐藏的。结果，在VPN的当前版本中，客户端工作站一次仅可以连接到一个VPN。如果客户端工作站曾能够连接到多于一个VPN，那么由于不能保证每个VPN的内部私有地址域是独特的，因此不能将分组可靠地路由至期望的目的地。
技术实现思路
本文中所公开的实施例包括一种用于提供多安全链路(MSL)架构的系统。该系统的一些实施例包括MSL虚拟专用网(VPN)组件，其包括第一逻辑，第一逻辑当由处理器执行时使该系统在客户端工作站与所有者网关之间创建VPN隧道、从客户端工作站向所有者网关发送出站数据报并且接收从所有者网关到客户端工作站的入站数据报，其中入站数据报包括源IP地址和被设置为VPN所有者私有IP地址的目的地因特网协议(IP)地址。在一些实施例中，第一逻辑使该系统发送具有目的地IP地址的入站数据报。该系统的实施例还可包括MSL双网络地址转换器(NAT)，MSL双网络地址转换器包括第二逻辑，第二逻辑当由处理器执行时使该系统从MSL VPN接收入站数据报、记录来自入站数据报中的源IP地址的新的VPN所有者私有IP地址、为入站数据报和客户端工作站指派新的UPIP地址并且促进向客户端工作站发送入站数据报。类似地，本文中所公开的一些实施例包括MSL虚拟专用网(VPN)组件，其包括逻辑，该逻辑当由处理器执行时使该MSL VPN在客户端工作站与所有者网关之间创建VPN隧道并且从客户端工作站向所有者网关发送出站数据报。在一些实施例中，该逻辑使MSLVPN组件接收从所有者网关到客户端工作站的入站数据报，其中该入站数据报包括源IP地址和被设置为VPN所有者私有IP地址的目的地因特网协议(IP)地址，并且发送具有目的地IP地址的入站数据报。本文中所公开的另一些实施例包括MSL双网络地址转换器(NAT)，其包括逻辑，该逻辑当由处理器执行时使该MSL双NAT从MSL VPN接收入站数据报并且记录来自入站数据报中的源IP地址的新的VPN所有者私有IP地址。在一些实施例中，该逻辑使该MSL双NAT为入站数据报和客户端工作站指派新的UPIP地址并且促进向客户端工作站发送入站数据报。本公开的其他实施例和/或优点在查阅以下附图和具体实施方式之后对本领域技术人员将明显或者对本领域技术人员可变得明显。旨
在使所有这些附加的系统、方法、特征和优点包含在本说明书中并且在本公开的范围内。附图说明本公开的许多方面可参考以下附图而被更好的理解。附图中的组件不一定是成比例的，而是着重于清楚地例示本公开的原理。此外，在附图中，相似的附图标记贯穿若干视图指示对应的部分。尽管若干实施例是结合这些附图来描述的，但是没有将本公开限制于本文中所公开的一个或多个实施例的意图。相反，意图是覆盖所有的替代物、变型例和等同物。图1描绘了根据本文中所公开的实施例的用于在客户端工作站上提供多安全链路架构的计算环境；图2描绘了根据本文中所公开的实施例的用于在MSL服务器上提供多安全链路架构的计算环境；图3描绘了根据本文中所公开的实施例的用于在MSL网关路由器上提供多安全链路架构的计算环境；图4描绘了根据本文中所公开的实施例的用于在客户端工作站上提供多安全链路架构的计算环境；图5描绘了根据本文中所公开的实施例的用于在MSL网络操作中心(NOC)上提供多安全链路架构的计算环境；图6描绘了根据本文中所公开的实施例的登录管理器提供多安全链路架构的流程图；图7描绘了根据本文中所公开的实施例的会话管理器提供多安全链路架构的流程图；图8A、8B描绘了根据本文中所公开的实施例的多个组件提供多安全链路架构的流程图；以及图9描绘了根据本文中所公开的实施例的可被利用用于提供多安全链路架构的计算设备。具体实施方式本文中所公开的实施例包括用于提供多安全链路架构的系统和/或方法。具体而言，每个VPN所有者利用VPN所有者定义的私有IPv4寻址来定义网络域。VPN所有者网络域预计具有重叠的地址，因为所有的VPN所有者可使用10.0.0.0/24作为其网络定义。本文中所公开的实施例定义了在分组在MSL服务内时要使用的内部网络域。MSL提供了在分组进入或离开MSL服务时将所有VPN所有者定义的私有IP地址转换为MSL独特私有IP(UPIP)域地址和从MSL独特私有IP(UPIP)域地址转换为所有VPN所有者定义的私有IP地址的双NAT功能。在经处理的分组中发现VPN所有者服务器时向VPN所有者服务器动态地指派MSL UPIP域地址。当客户端工作站打开第一VPN连接时，指派给客户端工作站的VPN所有者私有IP或者客户端工作站的UPIP地址可被用作客户端工作站的IP地址。当第二(或者更晚的)VPN被打开时，先前用于工作站IP的IP地址可被用作工作站的UPIP并且新的UPIP被指派给来自第二VPN的服务器。客户端工作站应用与MSL UPIP通信。MSL源和目的地NAT在UPIP和VPN所有者私有IP之间变换以使得服务器仅看见VPN所有者私有IP地址。这允许客户端工作站同时地促进与不同所有者网关和/或VPN的多个独立VPN连接。在IPv6环境中，VPN所有者网络地址被生成为128位UPIP并且如在上面针对IPv4的段落中所述在IPv6中使用。由于独特本地IPv6单播地址具有极高概率是唯一的，因此MSL可以为工作站生成IPv6UPIP并且使用私有IPv6地址用于VPN所有者网关后面的节点。MSL必须核实每个新的IPv6VPN未复制已经打开的VPN的独特本地IPv6单播地址。如果复制被发现，则将为该VPN中的节点生成UPIP，如在上面针对IPv4的段落中所述。本地IPv6地址是使用伪随机分配的全局ID来创建的。一个实施例可以具有表格1中的以下格式。7位140位16位64位前缀L全局ID子网ID接口ID11111101伪随机表格1现在参考附图，图1描绘了根据本文中所公开的实施例的用于在客户端工作站102上提供多安全链路架构的计算环境。如所例示的，MSL架构创建与公共因特网IP地址和VPN所有者的私有IP本文档来自技高网...

【技术保护点】
一种用于提供多安全链路MSL架构的系统，包括：MSL虚拟专用网VPN组件，包括第一逻辑，第一逻辑当由处理器执行时使所述系统执行以下各项：在客户端工作站与所有者网关之间创建VPN隧道；从所述客户端工作站向所述所有者网关发送出站数据报；接收从所述所有者网关到所述客户端工作站的入站数据报，其中所述入站数据报包括源IP地址和被设置为VPN所有者私有IP地址的目的地因特网协议IP地址；以及发送具有所述目的地IP地址的所述入站数据报；以及MSL双网络地址转换器NAT，包括第二逻辑，第二逻辑当由所述处理器执行时使所述系统执行至少以下各项：从MSL VPN接收所述入站数据报；记录来自所述入站数据报中的所述源IP地址的新的VPN所有者私有IP地址；为所述入站数据报和所述客户端工作站指派新的UPIP；以及促进向所述客户端工作站发送所述入站数据报。

【技术特征摘要】
【国外来华专利技术】1.一种用于提供多安全链路MSL架构的系统，包括：MSL虚拟专用网VPN组件，包括第一逻辑，第一逻辑当由处理器执行时使所述系统执行以下各项：在客户端工作站与所有者网关之间创建VPN隧道；从所述客户端工作站向所述所有者网关发送出站数据报；接收从所述所有者网关到所述客户端工作站的入站数据报，其中所述入站数据报包括源IP地址和被设置为VPN所有者私有IP地址的目的地因特网协议IP地址；以及发送具有所述目的地IP地址的所述入站数据报；以及MSL双网络地址转换器NAT，包括第二逻辑，第二逻辑当由所述处理器执行时使所述系统执行至少以下各项：从MSL VPN接收所述入站数据报；记录来自所述入站数据报中的所述源IP地址的新的VPN所有者私有IP地址；为所述入站数据报和所述客户端工作站指派新的UPIP；以及促进向所述客户端工作站发送所述入站数据报。2.如权利要求1所述的系统，其中，所述第一逻辑还使所述系统执行以下各项：加密所述出站数据报并且将所述出站数据报传递到所述所有者网关；以及从所述所有者网关接收加密形式的入站数据报并且解密所述入站数据报。3.如权利要求1所述的系统，其中，所述第二逻辑还使所述系统将所述出站数据报中的UPIP地址映射到私有IP地址。4.如权利要求1所述的系统，其中，所述系统被配置为同时地促进与不同所有者网关的多个独立VPN连接。5.如权利要求1所述的系统，还包括MSL VPN用户接口组件，所述MSL VPN用户接口组件包括第三逻辑，所述第三逻辑当由所述处理器执行时使所述系统提供用于建立到所述客户端工作站的VPN隧道的用户接口。6.如权利要求1所述的系统，还包括MSL管理组件，所述MSL管理组件包括第四逻辑，所述第四逻辑当由所述处理器执行时使所述系统创建所述VPN隧道。7.如权利要求1所述的系统，其中，所述第二逻辑还使所述系统将所述入站数据报转发到商用货架产品COTS明文处理组件以处理所述入站数据报。8.如权利要求1所述的系统，其中，所述MLS双NAT和所述MSL VPN驻留于所述客户端工作站上，并且其中所述客户端工作站还包括MSL VPN用户接口组件和MSL管理组件。9.如权利要求1所述的系统，还包括MSL服务器，其中所述MSL VPN和所述MSL双网络地址转换器NAT驻留于远离所述客户端工作站的所述MSL服务器上，其中所述系统还包括驻留于所述客户端工作站上的MSL VPN用户接口组件、第一MSL VPN组件和第一MSL管理组件，并且其中所述系统还包括驻留于所述MSL服务器上的商用货架产品COTS明文处理组件、COTS VPN组件和第二MSL管理组件。10.如权利要求1所述的系统，还包括MSL网关路由器，所述MSL网关路由器包括所述MSL VPN和所述MSL双网络地址转换器NAT，其中所述系统还包括驻留于所述客户端工作站上的第一COTSVPN组件、MSL管理组件，并且其中所述系统还包括驻留于所述MSL网关路由器上的第二COTS VPN组件和MSL服务器管理组件。11.如权利要求1所述的系统，还包括M...

【专利技术属性】
技术研发人员：J·D·麦肯尼，
申请(专利权)人：加速系统有限责任公司，
类型：发明
国别省市：美国;US