本发明专利技术提供了用于为其IP地址预先并不被所知的用户(“漫游用户”)建立VPN隧道的方法和设备。漫游用户首先发起与安全网关的安全认证会话。在某些这种实现方式中,漫游用户提供用户名/口令对,安全网关将该用户名/口令对与已被授权发起VPN隧道的用户名的数据库相比较。在认证了漫游用户后,安全网关随后确定漫游用户的IP地址,并将IP地址、用户和分配给漫游用户的共享机密相关。如果漫游用户使用了正确的共享机密来请求建立VPN隧道,则安全网关将会建立VPN隧道。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及网络技术。更具体而言,本专利技术涉及为其IP地址预先并不被所知的用户(本领域中所知的,在这里称为“漫游用户(roadwarrior)”)建立虚拟专用网络(“VPN”)隧道。
技术介绍
用户越来越多地希望经由因特网安全地访问专用网络。专用网络例如可以是家庭网络、企业或其他实体的专用网络等等。用于实现这一目的的一种常用的方法是建立VPN隧道,VPN隧道在用户看来是像是用户和专用网络之间的点对点连接,但是其并不允许未经授权的第三方“侦听”VPN隧道上的通信。在本领域中已知有若干种方法和协议来设立VPN隧道。一种公知的协议被称为因特网协议安全性(“IPSec”)。下面参考图1描述一种用于建立已知IP地址之间的VPN隧道的方法的概述。这里,专用网络101包括用户PC 105。在本示例中,用户想要建立PC 105和专用网络121内的服务器125之间的VPN隧道。安全网关110和120分别控制因特网115和专用网络101、121之间的通信。因此,安全网关110和120为专用网络101和121提供了防火墙和网络地址翻译功能。而且,安全网关110和120会协商期望的VPN隧道的参数,例如认证和加密的类型。安全网关110将会检测去往VPN隧道的分组(例如,由于目的地是专用网络121内的服务器125的地址),对分组加密,并以指示安全网关110和120是IP源和目的地的头部对其进行封装。安全网关120接收分组,剥离封装并对分组内容进行解密。然后,安全网关120读取目的地地址,并将分组转发到服务器125。建立专用网络和漫游用户之间的VPN隧道是更有问题的,这主要是因为漫游用户的IP地址并不预先所知。某些方法通过利用数字证书进行认证解决了该问题。数字证书是单向散列,其是一种仅对漫游用户的PC所知的信息进行编码的方式。该散列随后被著名的认证机构“签名”,所述认证机构例如是由VeriSignTM控制的第三方认证服务器。另一方面,认证机构的公共密钥被用来查看内容并确定分组是否包括经授权的IP地址。使用数字证书是一种有效的、但是比较烦琐的建立专用网络和漫游用户之间的VPN隧道的方法。数字证书需要一定量的底层结构,包括涉及第三方认证机构。涉及到第三方认证机构的复杂性和代价使得对于例如形成到家庭网络的VPN隧道来说利用数字证书不是最优的情形。其他方法使得任何IP地址能够利用尤其广泛共享的机密建立VPN隧道(例如IPSec隧道)。然而,已经知道,这种广泛共享的机密可以容易地被未经授权者发现并使用。这些“共享机密”被所涉及的每个人共享,并且对于每个客户端来说不是分离的机密。因此,希望实现用于形成漫游用户和专用网络之间的VPN隧道的改进方法,尤其是当专用网络是家庭网络时。
技术实现思路
本专利技术提供了用于为漫游用户建立VPN隧道的方法和设备。漫游用户首先发起与安全网关的安全认证会话。在某些这种实现方式中,漫游用户提供用户名/口令对,安全网关将该用户名/口令对与已被授权发起VPN隧道的用户名的数据库相比较。在认证了漫游用户后,安全网关随后确定漫游用户的IP地址,并将被认证用户和分配给漫游用户的共享机密相关。如果漫游用户使用了正确的共享机密来请求建立VPN隧道,则安全网关将会建立VPN隧道。本专利技术的某些实现方式提供了一种建立虚拟专用网络隧道的方法。该方法包括以下步骤从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成加密隧道;认证用户;确定用户的IP地址;建立IP地址和授权给用户的第一共享机密之间的对应关系;从用户接收形成虚拟专用网络隧道的第二请求,该请求包括第二共享机密;确定第一共享机密是否与第二共享机密相匹配;以及当第一共享机密与第二共享机密相匹配时形成虚拟专用网络隧道。第一请求可以是形成基于安全套接字层的超文本传输协议会话的请求。认证步骤可以包括接收并核实来自用户的用户名/口令对。第二请求可以是形成IPSec隧道的请求。建立步骤可以包括将由用户提供的用户名和口令与用户名、口令和共享机密的数据库相比较。第二请求可以包括基于第二共享机密的散列化函数。确定第一共享机密是否与第二共享机密相匹配的步骤可以包括尝试对第二请求的至少一部分解密。建立步骤可以包括在IPSec表中输入IP地址和第一共享机密。该条目可以是在发生预定事件(如经过预定时间)后删除的临时条目。虚拟专用网络隧道优选地在临时条目被删除时拆掉。本专利技术的某些实施例提供了一种包含在机器可读介质中的计算机程序。该计算机程序包括用于控制安全网关执行以下步骤的指令从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成加密隧道;认证用户;确定用户的IP地址;建立IP地址和授权给用户的第一共享机密之间的对应关系;从用户接收形成虚拟专用网络隧道的第二请求,该请求包括第二共享机密;确定第一共享机密是否与第二共享机密匹配;以及第一共享机密与第二共享机密匹配时形成虚拟专用网络隧道。第一请求可以是形成基于安全套接字层的超文本传输协议会话的请求。认证步骤可以包括接收并核实来自用户的用户名/口令对。第二请求可以是形成IPSec隧道的请求。建立步骤可以包括将由用户提供的用户名和口令与用户名、口令和共享机密的数据库相比较。第二请求可以包括基于第二共享机密的散列化函数。确定第一共享机密是否与第二共享机密相匹配的步骤可以包括尝试对第二请求的至少一部分解密。本专利技术的替换实施例提供了一种安全网关。该安全网关包括配置为与因特网通信的第一端口;配置为与专用网络通信的第二端口;以及一个或多个处理器。这一个或多个处理器配置为执行以下操作经由第一端口从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成加密隧道;认证用户;确定用户的IP地址;建立IP地址和授权给用户的第一共享机密之间的对应关系;从用户接收形成虚拟专用网络隧道的第二请求,该请求包括第二共享机密;确定第一共享机密是否与第二共享机密相匹配;以及当第一共享机密与第二共享机密相匹配时形成虚拟专用网络隧道。本专利技术的其他实现方式提供了建立虚拟专用网络隧道的方法。该方法包括以下步骤从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成加密隧道;认证用户;确定用户的IP地址;建立IP地址和数字证书的对象之间的对应关系;从用户接收形成虚拟专用网络隧道的第二请求,该请求包括数字证书;确定数字证书的对象是所期望的对象;以及当数字证书的对象是所期望的对象时形成虚拟专用网络隧道。附图说明图1是示出由因特网连接的两个专用网络的网络图。图2A是指示用于实现本专利技术的一种环境的网络图。图2B是概述根据本专利技术某些方面的方法的流程图。图3是示出本专利技术某些方面所用的数据库的内容的表。图4是示出本专利技术某些方面所用的数据库的内容的表。图5是概述根据本专利技术某些方面的方法的流程图。图6示出了可配置来实现本专利技术某些方面的网络设备的简化版本。具体实施例方式在下面的描述中,给出了大量具体细节以提供对本专利技术的完全理解。但是,本领域技术人员很清楚,没有这些具体细节中的某些或全部也可以实施本专利技术。另外,公知的过程步骤没有详细描述,以避免淡化本专利技术。图2A是指示用于实现本专利技术的一种环境的网络图。这里,漫游用户252正操作设备250,设备25本文档来自技高网...
【技术保护点】
一种建立虚拟专用网络隧道的方法,所述方法包括:从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成所述加密隧道;认证所述用户;确定所述用户的IP地址;建立所述IP地址和授权给所述用户的第一共享机密之间的对应关系;从所述用户接收形成虚拟专用网络隧道的第二请求,所述请求包括第二共享机密;确定所述第一共享机密是否与所述第二共享机密相匹配;以及当所述第一共享机密与所述第二共享机密相匹配时形成所述虚拟专用网络隧道。
【技术特征摘要】
【国外来华专利技术】US 2004-1-15 10/758,7571.一种建立虚拟专用网络隧道的方法,所述方法包括从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成所述加密隧道;认证所述用户;确定所述用户的IP地址;建立所述IP地址和授权给所述用户的第一共享机密之间的对应关系;从所述用户接收形成虚拟专用网络隧道的第二请求,所述请求包括第二共享机密;确定所述第一共享机密是否与所述第二共享机密相匹配;以及当所述第一共享机密与所述第二共享机密相匹配时形成所述虚拟专用网络隧道。2.如权利要求1所述的方法,其中所述第一请求包括形成基于安全套接字层的超文本传输协议会话的请求。3.如权利要求1所述的方法,其中所述认证步骤包括接收并核实来自所述用户的用户名/口令对。4.如权利要求1所述的方法,其中所述第二请求包括形成IPSec隧道的请求。5.如权利要求1所述的方法,其中所述建立步骤包括将由所述用户提供的用户名和口令与用户名、口令和共享机密的数据库相比较。6.如权利要求1所述的方法,其中所述第二请求包括基于所述第二共享机密的散列化函数。7.如权利要求1所述的方法,其中所述确定所述第一共享机密是否与所述第二共享机密相匹配的步骤包括尝试对所述第二请求的至少一部分解密。8.如权利要求1所述的方法,其中所述建立步骤包括在IPSec表中创建条目,所述条目包括所述IP地址和所述第一共享机密。9.如权利要求8所述的方法,其中所述条目是在发生预定事件后删除的临时条目。10.如权利要求9所述的方法,其中所述预定事件包括经过预定时间。11.如权利要求9所述的方法,还包括在所述临时条目被删除时拆掉所述虚拟专用网络隧道的步骤。12.一种包含在机器可读介质中的计算机程序,所述计算机程序包括用于控制安全网关执行以下步骤的指令从其IP地址预先并不被所知的用户接收与安全网关形成加密隧道的第一请求;形成所述加密隧道;认证所述用户;确定所述用户的IP地址;建立所述IP地址和授权给所述用户的第一共享机密之间的对应关系;从所述用户接收形成虚拟专用网络隧道的第二请求,所述请求包括第二共享机密;确定所述第一共享机密是否与所述第二共享机密相匹配;以及当所述第一共享机密与所述第二共享机密相匹配时形成所述虚拟专用网络隧道。13.如权利要求12所述的计算机程序,其中所述第一请求包括形...
【专利技术属性】
技术研发人员:布鲁斯穆恩,马克恩赖特,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。