[发明专利]一种建立虚拟专用网络连接的方法及装置

说明书

本发明公开了一种建立虚拟专用网络连接的方法及装置，本发明在终端设置虚拟专用网络连接模块，用于建立VPN连接后，获取VPN地址，然后上报给终端的安全域模块，由安全域模块基于VPN专用地址访问VPN资源；将用于建立VPN的公用网络地址上报给终端的个人域模块，由个人域模块基于公用网络地址访问公用网络中的非VPN的网站资源。因此，本发明提供的方法及装置使得在建立VPN连接后，专用访问VPN，提高安全性。

技术领域

本发明涉及网络领域，特别涉及一种建立虚拟专用网络（VPN，Virtual PrivatieNetwork）连接的方法及装置。

背景技术

VPN是在诸如英特网（Internet）的公用网络上建立的专用网络，VPN使用的是公用网络中的公用链路，因此只能称为虚拟专用网。VPN实质上就是利用隧道技术在公用网络上封装出一个隧道，用于传输VPN中的数据。当终端，特别是智能终端与某一特定的VPN建立连接后，使用该终端的用户无论是在外地出差还是在家中办公，只要能上公用网络就可以接入到该VPN内访问该VPN的数据。由于具有上述特性，VPN应用越来越广。

在终端建立VPN连接时，使用的是隧道技术。隧道技术就是建立终端与VPN之间的虚拟链路，实现终端与VPN之间的连接。如果公用网络为英特网时，隧道技术就是网际协议（IP）隧道技术，IP隧道可以建立在英特网的数据链路层或网络层。比如，建立在数据链路层的第二层隧道主要是点对点连接（PPP）隧道，比如点到点隧道协议（PPTP）连接或者第二层隧道协议（L2TP）连接，其特点是协议简单且易于加密，适合远程与VPN建立连接。建立在网络层的第三层隧道为IPinIP，比如网际协议安全性（IPsec）连接或安全套接层协议（SSLVPN）连接，其可靠性及扩展性优于第二层隧道，但是与VPN建立连接比较复杂。

IP隧道采用的隧道协议，隧道就是利用一种协议传输另一种协议的技术，即利用隧道协议实现与VPN之间的连接。为了创建终端与VPN中网络侧，比如服务器之间的连接，终端与VPN的服务器之间使用同样的隧道协议。具体地，隧道协议为PPTP、L2TP、IPsec或SSLVPN。

PPTP是一种用于让终端远程拨号连接到本地的互联网服务提供商（ISP），通过英特网安全远程访问到特定的VPN服务器上，访问该VPN中的数据。其能将PPP帧封装成IP数据包，以便能够在英特网上传输，实现终端与VPN之间的数据传输。PPTP使用传输控制协议（TCP）连接的创建、维护、及终止隧道，并使用通用路由封装（GRE）将PPP帧封装成IP数据包，被封装后的PPP帧的数据可以被加密或/和压缩。

L2TP是PPTP和第二层转发（L2F）的一种综合技术。

IPSec是一种标准的第三层安全协议，其在IP隧道外面再封装，保证了IP隧道在传输过程中的安全。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证，确保终端可以远程接入到VPN中，与VPN之间进行远程登录、电子邮件、数据传输及万维网访问的安全性。

SSL VPN是网景公司提出的基于万维网应用的在两台机器之间提供安全通道的协议。它具有保护传输数据时识别机器的功能。SSL VPN主要采用公开密钥体制和X509数字证书技术在英特网上提供服务器认证及客户认证，SSL链路上的数据的保密性及安全性保证。

目前，终端在建立VPN连接的过程为：首先，终端接入诸如英特网络等公用网络，获取所分配的IP地址，然后，基于所分配的IP地址，建立VPN连接，最后，终端通过VPN连接获取VPN的资源，终端采用已经获得的IP地址访问非VPN的英特网中的其他网站。

可以看出，在建立VPN连接时，需要获取公用网络所分配的网络地址，再进行VPN连接，这时，终端可以基于公用网络所分配的网络地址，访问非VPN的公用网络中的其他任意网站，并不能专用访问VPN，造成安全性降低。

发明内容