[发明专利]用于建立虚拟专用网络的系统和方法

说明书

技术领域

本发明一般涉及数据通信网络。更具体来说，本发明涉及在例 如因特网的公共数据通信网络上的实体之间建立虚拟专用网络 (VPN)。

背景技术

企业越来越多地被要求向位于企业网络的周边之外的雇员和伙 伴提供对专有应用程序和数据的访问。为了以有效率的方式做到这 一点，企业尝试平衡使用如因特网的公众网络来提供远程访问。但 是，因为因特网是公众可访问的网络，所以产生网络安全性问题。

有多种技术可用于实现安全因特网通信，包括但不限于依赖于 安全套接字层(SSL)加密或因特网协议安全性(IPSes)加密的那 些技术。SSL加密被结合到目前因特网用户使用的大多数Web浏览 器中，而IPSec目前则没有被结合。

但是，SSL技术在提供对专用网络的远程访问的能力上是有限 的，其中SSL加密的客户机无法直接访问域名服务器、Windows因 特网命名服务(WINS)服务器或专用网络上的其他资源，它们从企 业网络外部是不可见的但是对于达到该网络上的资源是必需的。此 外，防火墙通常自动阻止经由多种端口的某些业务并限制对多种因 特网协议(IP)地址的访问，由此妨碍了SSL加密的客户机访问企 业网络上的某些目的地。最后，例如多种客户机-服务器e-mail程序 和其他企业应用程序的重要应用程序不固有地支持SSL加密，因此 限制SSL在提供对这些资源的安全远程访问的有效性。

虚拟专用网络(VPN)连接允许远程用户和客户机程序(换言 之，不直接连接的那些)经由公众互联网(例如因特网)对专用数 据网络的加密远程访问。建立VPN的常规方法包括了使用预先安装 的“胖”客户机建立远程访问，这种胖客户机基于IPSec标准或SSL 和基于Web浏览器的动态SSL VPN技术的早期版本。下文更详细地 解释每个概念。

基于IPSec技术的VPN胖客户机涉及以加密的形式在因特网上 传输整个分组。虽然鲁棒且安全，但IPSec技术具有显著的局限。这 些局限其中包括为远程访问用户展开、管理和维护VPN客户机软件 中的管理难题，因为每个用户必须在他或她的计算机上下载和安装 IPSec软件。此外，利用IPSec VPN技术，用户无法从备选端点(换 言之，用户尚未安装相关软件的任何设备)访问关键资源。而且， 对防火墙保护的站点的用户访问受到限制，在一些情况中这些站点 是不存在的。

胖客户机的的常规SSL版本使用防火墙一般保持打开的标准SSL 端口来避开IPSec胖客户机的防火墙限制。但是，这种实现仍导致任 何地方只要发生访问就需要预先安装客户机软件的缺点。这些缺点 包括管理复杂以及无法在无需安装特殊软件的情况下提供从配备有 标准Web浏览器的任何客户机计算机的访问。

常规动态端口代理(proxy)方法保留SSL胖客户机的防火墙遍历 能力，并利用Web浏览器的内置加密功能来解决IPSec和SSL胖客 户机的局限，由此免去了安装特殊客户机软件的需要。根据这种方 法，网关装置或访问服务器上的程序会下载Java applet来监视用于 加密业务的端口。如果检测到加密业务，则将发送加密数据的客户 机配置为将其业务重定向经由合适的安全端口。但是这种技术的问 题在于它仅对于具有名称的地址有效。换言之，它将对静态IP地址 或服务器的IP地址和/或端口动态变化的情况无效。因此，这些实现 无法处理使用动态指定的IP地址、动态变化端口或使用硬编码的IP 地址来到达未命名的资源的应用程序。

因此需要一种系统和方法，用于通过例如因特网的公共数据通 信网络提供对企业网络中的应用程序和数据的安全远程访问，它们 针对常规解决方案的前述缺点进行了改进并解决了这些缺点。

发明内容

在其最广泛的应用中，本发明的目的在于提出一种系统和方法， 用于在客户机和专用数据通信网络之间建立虚拟专用网络(VPN)， 其中客户机以安全方式经公共数据通信网络连接到专用数据通信网 络。根据本发明的实施例，专用数据通信网络包括其上驻留有专用 于企业的应用程序和数据的企业网络，公共数据通信网络包括因特 网。

根据本发明实施例的方法，通过公共数据通信网络在网关或访 问服务器上的程序与客户机之间建立加密数据通信会话。可以通过 多种方法来加密通信会话，这些方法包括但不限于安全套接字层 (SSL)协议、因特网协议安全性(IPSec)或其他加密方法。