[发明专利]动态隧道端方式的VPN系统、用于其的虚拟路由器及管理器装置

说明书

技术领域

本发明涉及虚拟专用网络(Virtual Private Network；以下称为“VPN”)，更具体而言涉及动态隧道端方式的虚拟专用网络系统以及用于其的管理器装置等。

背景技术

通常的通信系统由客户终端和服务提供服务器以及用于连接其的通信网络构成。

并且，为了提供金融、家庭自动化等多种通信服务，需要利用一个终端与多个服务提供服务器进行连接，为了实现这样的多路连接，通信网络也需要进行适当的网络分离。

另外，为了像专用线一样使用诸如因特网的公用通信网络，目前使用VPN。

这样的VPN可通过如下方式实现：在通信连接的两个终端设备(End Equipment)之间配置额外的网关或路由器，并定义作为在网关或路由器之间或终端设备和网关之间提供特殊通信体系和加密方法的体系的隧道(Tunneling)。

此时，隧道是表示利用上层通信规约对下层通信规约的数据包进行封装，并实现通信网络上的两点之间的通信。

即，具有如下特征：在通信网络上，无法区分出通常的数据包和封装的数据包，而能够解封装的两端的设备，即隧道的两端装置则能够筛选出原先的数据包。

在诸如因特网的公用通信网的两个设备之间能够建立肉眼看不到的通路以进行通信，因此将其表述为“隧道”，并将这样的隧道的末端定义为隧道端(Tunnel End)。

另外，在现有的VPN系统中，将在与一个以上的服务器(Server)相联动的网关内部定义的虚拟路由器(Virtual Router)分别用作一个独立的隧道端。

因此，在VPN系统中，为了实现终端和特定服务器之间的通信，在与相应服务器相联动的虚拟路由器(VR)之间需要形成隧道，此时，相应的虚拟路由器成为隧道端。

在此状态下，终端生成数据包，该数据包的数据结构包含作为由通常的五元组(Tuples)定义的本地地址的HoA，为了实现基于隧道的数据收发，还添加作为额外的扩展报头地址的转交地址(Care-Of-Address，CoA)并传送给虚拟路由器。

在相应虚拟路由器中，去除CoA后将数据包传送给相应的服务器，从而执行数据发送。

另外，在这样的通常的VPN通信中，一个以上的虚拟路由器(VR)被定义于网关内部，各个虚拟路由器仅能够将一个地址设置为隧道端。

即，虚拟路由器可构成仅由一个公共IP地址和一个端口(Port)来定义的一个隧道端，其结果，在特定的终端和一个虚拟路由器之间仅能够形成使用一个地址的隧道。

因此，即使利用VPN系统，在特定的终端和服务器之间收发的数据将经由恒定的一个隧道端，因而存在对黑客行为脆弱的缺点。

即，在现有的VPN中，一旦在终端和服务器之间形成一次隧道，就始终使用相同的用于规定隧道端的目的地地址(Dest.Address)、端口号(Port No.)等，而不会变更，因此，即使使用CoA，隧道端的地址也将保持恒定，存在有容易被黑客窃取的缺点。

对此，本发明提供一种在VPN系统中使虚拟路由器具有多个隧道端，使其能够与特定终端实现多个隧道，并动态地变更特定终端和虚拟路由器之间的隧道端信息的方案。

发明内容

为此，本发明的实施例的目的在于提供一种VPN系统，其可在单个虚拟路由器设置多个隧道端。

本发明的另一目的在于提供一种VPN系统，其可在单个虚拟路由器和终端之间设置多个隧道并动态地变更与特定终端相连接的虚拟路由器的隧道端。

本发明的又一目的在于提供一种用于VPN系统的管理器装置，在该VPN系统中，管理器装置(Manager)生成动态隧道端表(Dynamic Tunnel End Table；DTE Table)并传送给终端代理和相应网关，其中该动态隧道端表用于表示在网关内部定义的各个虚拟路由器所具有的多个隧道端的设置顺序，相应虚拟路由器利用DTE表来与终端代理进行多个隧道的动态可变设置。

为了实现这样的目的，本发明的一实施例提供一种虚拟专用网络系统，其包括：虚拟路由器，其通过隧道与终端相连接，且能够设置多个隧道端，所述隧道端由从两个以上的公共IP地址和两个以上的端口号中选择的一个公共IP地址和一个端口号来定义；以及管理器装置，其生成包含有所述虚拟路由器能够设置的多个隧道端信息的隧道端表，并将所述隧道端表传送给所述终端和所述虚拟路由器，其中所述虚拟路由器存储所述隧道端表，并基于所述隧道端表按一定间隔动态地变更用于与所述终端相连接的隧道的隧道端。