技術領域

本發明一般涉及數據通信網絡。更具體來說，本發明涉及在例 如因特網的公共數據通信網絡上的實體之間建立虛擬專用網絡 (VPN)。

背景技術

企業越來越多地被要求向位于企業網絡的周邊之外的雇員和伙 伴提供對專有應用程序和數據的訪問。為了以有效率的方式做到這 一點，企業嘗試平衡使用如因特網的公眾網絡來提供遠程訪問。但 是，因為因特網是公眾可訪問的網絡，所以產生網絡安全性問題。

有多種技術可用于實現安全因特網通信，包括但不限于依賴于 安全套接字層(SSL)加密或因特網協議安全性(IPSes)加密的那 些技術。SSL加密被結合到目前因特網用戶使用的大多數Web瀏覽 器中，而IPSec目前則沒有被結合。

但是，SSL技術在提供對專用網絡的遠程訪問的能力上是有限 的，其中SSL加密的客戶機無法直接訪問域名服務器、Windows因 特網命名服務(WINS)服務器或專用網絡上的其他資源，它們從企 業網絡外部是不可見的但是對于達到該網絡上的資源是必需的。此 外，防火墻通常自動阻止經由多種端口的某些業務并限制對多種因 特網協議(IP)地址的訪問，由此妨礙了SSL加密的客戶機訪問企 業網絡上的某些目的地。最后，例如多種客戶機-服務器e-mail程序 和其他企業應用程序的重要應用程序不固有地支持SSL加密，因此 限制SSL在提供對這些資源的安全遠程訪問的有效性。

虛擬專用網絡(VPN)連接允許遠程用戶和客戶機程序(換言 之，不直接連接的那些)經由公眾互聯網(例如因特網)對專用數 據網絡的加密遠程訪問。建立VPN的常規方法包括了使用預先安裝 的“胖”客戶機建立遠程訪問，這種胖客戶機基于IPSec標準或SSL 和基于Web瀏覽器的動態SSL?VPN技術的早期版本。下文更詳細地 解釋每個概念。

基于IPSec技術的VPN胖客戶機涉及以加密的形式在因特網上 傳輸整個分組。雖然魯棒且安全，但IPSec技術具有顯著的局限。這 些局限其中包括為遠程訪問用戶展開、管理和維護VPN客戶機軟件 中的管理難題，因為每個用戶必須在他或她的計算機上下載和安裝 IPSec軟件。此外，利用IPSec?VPN技術，用戶無法從備選端點(換 言之，用戶尚未安裝相關軟件的任何設備)訪問關鍵資源。而且， 對防火墻保護的站點的用戶訪問受到限制，在一些情況中這些站點 是不存在的。

胖客戶機的的常規SSL版本使用防火墻一般保持打開的標準SSL 端口來避開IPSec胖客戶機的防火墻限制。但是，這種實現仍導致任 何地方只要發生訪問就需要預先安裝客戶機軟件的缺點。這些缺點 包括管理復雜以及無法在無需安裝特殊軟件的情況下提供從配備有 標準Web瀏覽器的任何客戶機計算機的訪問。

常規動態端口代理(proxy)方法保留SSL胖客戶機的防火墻遍歷 能力，并利用Web瀏覽器的內置加密功能來解決IPSec和SSL胖客 戶機的局限，由此免去了安裝特殊客戶機軟件的需要。根據這種方 法，網關裝置或訪問服務器上的程序會下載Java?applet來監視用于 加密業務的端口。如果檢測到加密業務，則將發送加密數據的客戶 機配置為將其業務重定向經由合適的安全端口。但是這種技術的問 題在于它僅對于具有名稱的地址有效。換言之，它將對靜態IP地址 或服務器的IP地址和/或端口動態變化的情況無效。因此，這些實現 無法處理使用動態指定的IP地址、動態變化端口或使用硬編碼的IP 地址來到達未命名的資源的應用程序。

因此需要一種系統和方法，用于通過例如因特網的公共數據通 信網絡提供對企業網絡中的應用程序和數據的安全遠程訪問，它們 針對常規解決方案的前述缺點進行了改進并解決了這些缺點。

發明內容

在其最廣泛的應用中，本發明的目的在于提出一種系統和方法， 用于在客戶機和專用數據通信網絡之間建立虛擬專用網絡(VPN)， 其中客戶機以安全方式經公共數據通信網絡連接到專用數據通信網 絡。根據本發明的實施例，專用數據通信網絡包括其上駐留有專用 于企業的應用程序和數據的企業網絡，公共數據通信網絡包括因特 網。

根據本發明實施例的方法，通過公共數據通信網絡在網關或訪 問服務器上的程序與客戶機之間建立加密數據通信會話。可以通過 多種方法來加密通信會話，這些方法包括但不限于安全套接字層 (SSL)協議、因特網協議安全性(IPSec)或其他加密方法。