用于建立虚拟专用网络的系统和方法技术方案

一种用于在客户机和专用数据通信网络之间建立虚拟专用网络（ＶＰＮ）的系统和方法。在网关与公共数据通信网络上的客户机之间建立加密数据通信会话，例如安全套接字层（ＳＳＬ）数据通信会话。网关然后将编程组件发送到客户机以便在其上自动安装并执行。该编程组件执行操作以拦截来自客户机应用程序且以专用数据通信网络上的资源为目的地的通信，并经由所述加密数据通信会话将拦截的通信发送到网关而非发送到专用数据通信网络上的资源。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及数据通信网络。更具体来说，本专利技术涉及在例如因特网的公共数据通信网络上的实体之间建立虚拟专用网络(VPN)。
技术介绍
企业越来越多地被要求向位于企业网络的周边之外的雇员和伙伴提供对专有应用程序和数据的访问。为了以有效率的方式做到这一点，企业尝试平衡使用如因特网的公众网络来提供远程访问。但是，因为因特网是公众可访问的网络，所以产生网络安全性问题。有多种技术可用于实现安全因特网通信，包括但不限于依赖于安全套接字层(SSL)加密或因特网协议安全性(IPSes)加密的那些技术。SSL加密被结合到目前因特网用户使用的大多数Web浏览器中，而IPSec目前则没有被结合。但是，SSL技术在提供对专用网络的远程访问的能力上是有限的，其中SSL加密的客户机无法直接访问域名服务器、Windows因特网命名服务(WINS)服务器或专用网络上的其他资源，它们从企业网络外部是不可见的但是对于达到该网络上的资源是必需的。此外，防火墙通常自动阻止经由多种端口的某些业务并限制对多种因特网协议(IP)地址的访问，由此妨碍了SSL加密的客户机访问企业网络上的某些目的地。最后，例如多种客户机-服务器e-mail程序和其他企业应用程序的重要应用程序不固有地支持SSL加密，因此限制SSL在提供对这些资源的安全远程访问的有效性。虚拟专用网络(VPN)连接允许远程用户和客户机程序(换言-->之，不直接连接的那些)经由公众互联网(例如因特网)对专用数据网络的加密远程访问。建立VPN的常规方法包括了使用预先安装的“胖”客户机建立远程访问，这种胖客户机基于IPSec标准或SSL和基于Web浏览器的动态SSL VPN技术的早期版本。下文更详细地解释每个概念。基于IPSec技术的VPN胖客户机涉及以加密的形式在因特网上传输整个分组。虽然鲁棒且安全，但IPSec技术具有显著的局限。这些局限其中包括为远程访问用户展开、管理和维护VPN客户机软件中的管理难题，因为每个用户必须在他或她的计算机上下载和安装IPSec软件。此外，利用IPSec VPN技术，用户无法从备选端点(换言之，用户尚未安装相关软件的任何设备)访问关键资源。而且，对防火墙保护的站点的用户访问受到限制，在一些情况中这些站点是不存在的。胖客户机的的常规SSL版本使用防火墙一般保持打开的标准SSL端口来避开IPSec胖客户机的防火墙限制。但是，这种实现仍导致任何地方只要发生访问就需要预先安装客户机软件的缺点。这些缺点包括管理复杂以及无法在无需安装特殊软件的情况下提供从配备有标准Web浏览器的任何客户机计算机的访问。常规动态端口代理(proxy)方法保留SSL胖客户机的防火墙遍历能力，并利用Web浏览器的内置加密功能来解决IPSec和SSL胖客户机的局限，由此免去了安装特殊客户机软件的需要。根据这种方法，网关装置或访问服务器上的程序会下载Java applet来监视用于加密业务的端口。如果检测到加密业务，则将发送加密数据的客户机配置为将其业务重定向经由合适的安全端口。但是这种技术的问题在于它仅对于具有名称的地址有效。换言之，它将对静态IP地址或服务器的IP地址和/或端口动态变化的情况无效。因此，这些实现无法处理使用动态指定的IP地址、动态变化端口或使用硬编码的IP地址来到达未命名的资源的应用程序。-->因此需要一种系统和方法，用于通过例如因特网的公共数据通信网络提供对企业网络中的应用程序和数据的安全远程访问，它们针对常规解决方案的前述缺点进行了改进并解决了这些缺点。
技术实现思路
在其最广泛的应用中，本专利技术的目的在于提出一种系统和方法，用于在客户机和专用数据通信网络之间建立虚拟专用网络(VPN)，其中客户机以安全方式经公共数据通信网络连接到专用数据通信网络。根据本专利技术的实施例，专用数据通信网络包括其上驻留有专用于企业的应用程序和数据的企业网络，公共数据通信网络包括因特网。根据本专利技术实施例的方法，通过公共数据通信网络在网关或访问服务器上的程序与客户机之间建立加密数据通信会话。可以通过多种方法来加密通信会话，这些方法包括但不限于安全套接字层(SSL)协议、因特网协议安全性(IPSec)或其他加密方法。响应加密数据通信会话的建立，网关或访问服务器上的程序将程序发送回客户机。在一个实施例中，该程序包括由客户机Web浏览器自动安装并执行的控制或编程组件(即，可以在整个网络环境中运行的自备程序)。在一个实施例中，一旦安装在客户机上，该程序作为操作拦截器动态拦截来自客户机应用程序且目的地为指定的专用数据通信网络上的资源的通信，该拦截器安装为客户机上的操作系统的传输层上的“钩子”。在一个实施例中，该程序还可以通过提供用于此类拦截的通信的端点作为用于拦截的通信的连接代理。该程序还可以引入作为加密数据通信会话中的加密端点的功能，并可以经由加密数据通信系统将此类通信送往网关或访问服务器。在备选实施例中，该程序可以分成两个或多个分开的程序-一个执行客户机上的拦截功能而第二个其中执行网络代理和加密功能。-->本专利技术的实施例包括由程序拦截名称转换和连接请求。根据此类实施例通过VPN通信的客户机和服务器自由地使用它们选择的任何IP地址，以及在运行时动态地更改那些地址，因为这种实施例不依赖于静态名称至地址的转换。当网关或访问服务器经由加密数据通信会话从客户机接收到加密的通信时，它将加密的通信解密，并将其提供给专用数据通信网络上的适合目的地资源。在一个实施例中，网关端接(terminate)业务(作为代理)，然后还能够按如下描述的处理请求，而非仅仅直接沿途将其发送到专用网络上的目的地。在该实施例中，网关可以对连接执行附加的处理，包括但不限于后端加密、为来自高速缓存的响应提供服务、本地网络负载平衡、全局服务负载平衡或压缩。如果有来自目的地资源的任何响应通信，则将它们送往网关(并潜在地执行加密，其中按下文描述的利用后端加密)，以便经由加密数据通信会话传输到安装的客户机程序。安装的客户机程序将响应通信解密，并将它们传递到适合的客户机应用程序。在根据本专利技术实施例的特定方法中，通过公共数据通信网络在网关与客户机之间建立如安全套接字层(SSL)会话的加密数据通信会话。然后网关响应加密数据通信会话的建立而将第一程序发送到客户机。在一个实施例中，该第一程序包括动态交付的程序组件、例如由客户机Web浏览器自动安装并执行的Active X控件。其他此类组件可以是Java applet、Java脚本、动态共享库或其他此类程序组件。当第一程序被客户机执行时，其中它在该客户机上安装第二程序。第二程序用于拦截来自客户机应用程序且目的地为专用数据通信网络上的资源的通信。第二程序还用于将所拦截的通信提供给第一程序，用于经由加密数据通信会话发送到网关，而不是直接发送到专用数据通信网络上的资源。在一个实施例中，第二程序包括动态拦截器、例如过滤设备驱动程序，它作为“钩子”安装在客户机-->的操作系统的传输层上。在一个实施例中，第一程序作为连接代理，提供用于拦截的通信的端点。其他非预先安装的SSL VPN(包括端口代理)不能作为每个连接的代理，而仅能够作为预先配置端口代理所支持的那些命名的资源和端口的端点。当网关经由这些程序组件建立的加密数据通信会本文档来自技高网...

【技术保护点】
一种用于在客户机和专用数据通信网络之间建立加密的虚拟专用网络的方法，其中所述客户机经由公共数据通信网络连接到所述专用数据通信网络，所述方法包括：　通过所述公共数据通信网络建立与客户机的加密数据通信会话；以及　响应所述加密数据通信 会话的建立将编程组件发送到所述客户机用于在其上自动安装并执行；　其中所述编程组件配置为拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信，并经由所述加密数据通信会话将所拦截的通信发送到网关而非发送到所述专用数据通信网络 上的资源。

【技术特征摘要】
【国外来华专利技术】US 2004-6-30 60/583,785;US 2005-1-24 11/039,9461.一种用于在客户机和专用数据通信网络之间建立加密的虚拟专用网络的方法，其中所述客户机经由公共数据通信网络连接到所述专用数据通信网络，所述方法包括：通过所述公共数据通信网络建立与客户机的加密数据通信会话；以及响应所述加密数据通信会话的建立将编程组件发送到所述客户机用于在其上自动安装并执行；其中所述编程组件配置为拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信，并经由所述加密数据通信会话将所拦截的通信发送到网关而非发送到所述专用数据通信网络上的资源。2.如权利要求1所述的方法，其特征在于，建立与客户机的加密数据通信会话的步骤包括建立与客户机的安全套接字层数据通信会话。3.如权利要求1所述的方法，其特征在于，将编程组件发送到所述客户机的步骤包括：将第一程序发送到所述客户机，所述第一程序配置为在所述客户机上安装第二程序；其中所述第二程序配置为拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信，并将所拦截的通信提供给所述第一程序用于经由所述加密数据通信会话发送到网关而非发送到所述专用数据通信网络上的资源。4.如权利要求3所述的方法，其特征在于，将第一程序发送到所述客户机的步骤包括将ActiveX控件发送到所述客户机。5.如权利要求3所述的方法，其特征在于，将第一程序发送到所述客户机的步骤包括将Java applet发送到所述客户机。6.如权利要求1所述的方法，其特征在于，将配置为在所述客户机上安装第二程序的第一程序发送到所述客户机包括：将配置为把动态拦截器安装在所述客户机的操作系统的层上的第一程序发送到所述客户机。7.如权利要求1所述的方法，还包括：经由所述加密数据通信会话从所述客户机接收加密的通信；将所述加密的通信解密；以及将所解密的通信提供给所述专用数据通信网络上的资源。8.如权利要求7所述的方法，还包括：在将所解密的通信提供给所述专用数据通信网络上的资源之前，处理所解密的通信。9.如权利要求8所述的方法，其特征在于，处理所解密的通信的步骤包括执行如下操作的至少其中之一：再次加密；数据压缩；负载平衡；认证、授权和记账；或高速缓存。10.如权利要求1所述的方法，还包括：接收来自所述专用数据通信网络上的资源且目的地为所述客户机的通信；以及经由所述加密数据通信会话将所述通信从所述专用数据通信网络上的资源发送到所述客户机。11.一种用于在客户机和专用数据通信网络之间建立虚拟专用网络的方法，其中所述专用数据通信网络经由公共数据通信网络连接到所述客户机，所述方法包括：通过所述公共数据通信网络建立与网关的加密数据通信会话；拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信；以及将所拦截的通信发送到所述网关而非发送到所述专用数据通信网络上的资源，其中经由所述加密数据通信会话将所拦截的通信发送到所述网关。12.如权利要求11所述的方法，其特征在于，建立与网关的加密数据通信会话的步骤包括建立与网关的安全套接字层数据通信会话。13.如权利要求11所述的方法，其特征在于，经由所述加密数据通信会话将所拦截的通信发送到所述网关的步骤包括：将所拦截的通信加密；以及通过所述公共数据通信网络将所加密的拦截的通信发送到所述网关。14.如权利要求11所述的方法，还包括：响应所述加密数据通信会话的建立从所述网关接收编程组件；以及执行所述编程组件，其中所述编程组件配置为拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信，并将所拦截的通信发送到所述第一程序用于经由所述加密数据通信会话发送到所述网关。15.如权利要求14所述的方法，其特征在于，接收并执行所述编程组件包括：从所述网关接收第一程序；以及执行所述第一程序，其中执行所述第一程序包括安装第二程序；其中所述第二程序配置为拦截来自客户机应用程序且目的地为所述专用数据通信网络上的资源的通信，并将所拦截的通信发送到所述第一程序用于经由所述加密数据通信会话发送到所述网关。16.如权利要求15所述的方法，其特征在于，从所述网关接收第一程序的步骤包括从所述网关接收ActiveX控件。17.如权利要求15所述的方法，其特征在于，从所述网关接收第一程序的步骤包括从所述网关接收Java applet。18.如权利要求15所述的方法，其特征在于，安装第二程序的步骤包括将动态拦截器安装在所述客户机的操作系统的层上。19.如权利要求11所述的方法，还包括：经由所述加密数据通信会话从所述网关接收加密的通信；其中所述加密的通信包括源自所述专用数据通信网络上的资源的通信；将来自所述网关的所述加密的通信解密；以及将解密的通信提供给客户机应用程序。20.如权利要求11所述的方法，还包括：在将所拦截的通信发送到所述网关之前，处理所拦截的通信。21.如权利要求20所述的方法，其特征在于，处理所拦截的通信的步骤包括执行域名服务器(DNS)名称解析。22.一种网关...

【专利技术属性】
技术研发人员：P森达拉彦，J贺，A索尼，S南永达斯瓦米，A库马，
申请(专利权)人：塞特里克斯网络应用有限责任公司，
类型：发明
国别省市：US[美国]