[发明专利]基于相互认证的虚拟专用网络服务设备和方法

说明书

技术领域

本发明涉及一种基于相互认证的虚拟专用网络(Virtual Private Network：VPN)服务设备和方法，更具体来说，涉及一种可靠性提高的在应用层(application layer)操作的VPN服务设备和方法。

背景技术

在分散的企业环境中，连接总公司和分公司的典型的方式是利用专用线路(leased line)或帧中继(Frame relay)构建网络的方式。但是这样的专用线路(leased line)或帧中继(Frame relay)具有线路费用相对贵的问题。

据此，作为利用相比专用线路或帧中继费用低廉的互联网公用网络的网络服务，虚拟专用网络被广泛使用。VPN技术是虚拟地构建专用通信网络的技术，利用现有的公用网络连接远程终端(分公司)和总公司来与外部进行安全的通信。

现有的VPN使用IPSec、SSL等协议在传输层(transport layer)和网络层(network layer)上进行操作。然而，对于这样的在传输层以下操作VPN而言，由于难以通过中继功能扩展且对硬件的依赖性高，存在客户端移植性差的问题。

作为上述问题的解决方案，提出了使用SSH协议的、在应用层操作的VPN技术。对于在应用层操作VPN而言，虽然相对容易扩展，但通过中继服务器(relay server)连接时，由于只提供简单的路径，因此存在可靠性下降的问题。此外，当提供多个VPN服务器被连接到一个中继服务器的托管的VPN(hosted VPN)服务时，由于将多个企业而不是一个企业作为对象提供VPN服务，因此发生网络安全设置和IP冲突的问题。

韩国专利公开第10-2006-0126952号公开了中继客户端访问主服务的过程的一次协议服务。票务机关将第一张票发送到客户端，并将第二张票发送到一次协议服务。接收到票的一次协议服务和主服务利用第二协议进行通信。此外，一次协议服务利用第二协议被封装的第一协议与客户端进行通信。

由于从票务机关接收到票的相应的一次协议服务和客户端进行通过协议封装化的数据收发，因此数据的安全性和可靠性被维持。然而，通过票务机关的选择而不是通过从客户端向一次协议服务主动请求认证来实现客户端的认证。此外，不存在针对主服务的认证过程。因此，存在由相应的一次协议服务中继的客户端和主服务之间的可靠性不足的问题。

发明内容

本发明的目的在于提供一种VPN服务设备和方法，通过参与到在应用层操作的VPN和用户终端之间的通信路径的设置，从而提供比较容易扩展且可靠性提高的VPN服务。

本发明的目的还在于提供一种记录有用于在计算机中执行VPN服务方法的程序的计算机可读记录介质，其中，所述VPN服务方法通过参与到在应用层操作的VPN和用户终端之间的通信路径的设置，从而提供比较容易扩展且可靠性提高的VPN服务。

为了解决所述技术问题，根据本发明的基于相互认证的虚拟专用网络服务设备包括：存储单元，存储由向用户终端提供专用网络的访问的虚拟专用网络(VPN)服务器生成的第一公共密钥和所述用户终端生成的第二公共密钥；认证单元，利用所述第一公共密钥认证所述VPN服务器，利用所述第二公共密钥认证所述用户终端；通道管理单元，生成在由所述认证单元认证的所述VPN服务器和所述VPN服务设备之间传输数据的第一VPN通道，生成在由所述认证单元认证的所述用户终端和VPN服务设备之间传输数据的第二VPN通道，并在所述用户终端和所述VPN服务器之间中继数据的收发。

为了解决所述技术问题，根据本发明的基于相互认证的虚拟专用网络服务方法包括：认证步骤，利用由向用户终端提供专用网络的访问的虚拟专用网络(VPN)服务器生成的第一公共密钥认证所述VPN服务器，利用所述用户终端生成的所述第二公共密钥认证所述用户终端；通道管理步骤，生成在由所述认证步骤认证的VPN服务器和所述VPN服务设备之间传输数据的第一VPN通道，生成在由认证步骤认证的用户终端和VPN服务设备之间传输数据的第二VPN通道，并在所述用户终端和所述VPN服务器之间中继数据的收发。

根据本发明的基于相互认证的虚拟专用网络服务设备和方法，本发明通过客户端(client)和VPN服务器的相互认证提供可靠性和安全性提高的连接。此外，本发明构建多个服务器被连接的多层(multi-tier)构造，从而具有以低费用获得高扩展性和负荷分散效果。这样的构造能够通过没有分配IP的应用层的托管的VPN服务，解决网络兼容性和IP冲突的问题。

附图说明