技術領域

本發明涉及虛擬專用網絡(Virtual Private Network；以下稱為“VPN”)，更具體而言涉及動態隧道端方式的虛擬專用網絡系統以及用于其的管理器裝置等。

背景技術

通常的通信系統由客戶終端和服務提供服務器以及用于連接其的通信網絡構成。

并且，為了提供金融、家庭自動化等多種通信服務，需要利用一個終端與多個服務提供服務器進行連接，為了實現這樣的多路連接，通信網絡也需要進行適當的網絡分離。

另外，為了像專用線一樣使用諸如因特網的公用通信網絡，目前使用VPN。

這樣的VPN可通過如下方式實現：在通信連接的兩個終端設備(End Equipment)之間配置額外的網關或路由器，并定義作為在網關或路由器之間或終端設備和網關之間提供特殊通信體系和加密方法的體系的隧道(Tunneling)。

此時，隧道是表示利用上層通信規約對下層通信規約的數據包進行封裝，并實現通信網絡上的兩點之間的通信。

即，具有如下特征：在通信網絡上，無法區分出通常的數據包和封裝的數據包，而能夠解封裝的兩端的設備，即隧道的兩端裝置則能夠篩選出原先的數據包。

在諸如因特網的公用通信網的兩個設備之間能夠建立肉眼看不到的通路以進行通信，因此將其表述為“隧道”，并將這樣的隧道的末端定義為隧道端(Tunnel End)。

另外，在現有的VPN系統中，將在與一個以上的服務器(Server)相聯動的網關內部定義的虛擬路由器(Virtual Router)分別用作一個獨立的隧道端。

因此，在VPN系統中，為了實現終端和特定服務器之間的通信，在與相應服務器相聯動的虛擬路由器(VR)之間需要形成隧道，此時，相應的虛擬路由器成為隧道端。

在此狀態下，終端生成數據包，該數據包的數據結構包含作為由通常的五元組(Tuples)定義的本地地址的HoA，為了實現基于隧道的數據收發，還添加作為額外的擴展報頭地址的轉交地址(Care-Of-Address，CoA)并傳送給虛擬路由器。

在相應虛擬路由器中，去除CoA后將數據包傳送給相應的服務器，從而執行數據發送。

另外，在這樣的通常的VPN通信中，一個以上的虛擬路由器(VR)被定義于網關內部，各個虛擬路由器僅能夠將一個地址設置為隧道端。

即，虛擬路由器可構成僅由一個公共IP地址和一個端口(Port)來定義的一個隧道端，其結果，在特定的終端和一個虛擬路由器之間僅能夠形成使用一個地址的隧道。

因此，即使利用VPN系統，在特定的終端和服務器之間收發的數據將經由恒定的一個隧道端，因而存在對黑客行為脆弱的缺點。

即，在現有的VPN中，一旦在終端和服務器之間形成一次隧道，就始終使用相同的用于規定隧道端的目的地地址(Dest.Address)、端口號(Port No.)等，而不會變更，因此，即使使用CoA，隧道端的地址也將保持恒定，存在有容易被黑客竊取的缺點。

對此，本發明提供一種在VPN系統中使虛擬路由器具有多個隧道端，使其能夠與特定終端實現多個隧道，并動態地變更特定終端和虛擬路由器之間的隧道端信息的方案。

發明內容

為此，本發明的實施例的目的在于提供一種VPN系統，其可在單個虛擬路由器設置多個隧道端。

本發明的另一目的在于提供一種VPN系統，其可在單個虛擬路由器和終端之間設置多個隧道并動態地變更與特定終端相連接的虛擬路由器的隧道端。

本發明的又一目的在于提供一種用于VPN系統的管理器裝置，在該VPN系統中，管理器裝置(Manager)生成動態隧道端表(Dynamic Tunnel End Table；DTE Table)并傳送給終端代理和相應網關，其中該動態隧道端表用于表示在網關內部定義的各個虛擬路由器所具有的多個隧道端的設置順序，相應虛擬路由器利用DTE表來與終端代理進行多個隧道的動態可變設置。

為了實現這樣的目的，本發明的一實施例提供一種虛擬專用網絡系統，其包括：虛擬路由器，其通過隧道與終端相連接，且能夠設置多個隧道端，所述隧道端由從兩個以上的公共IP地址和兩個以上的端口號中選擇的一個公共IP地址和一個端口號來定義；以及管理器裝置，其生成包含有所述虛擬路由器能夠設置的多個隧道端信息的隧道端表，并將所述隧道端表傳送給所述終端和所述虛擬路由器，其中所述虛擬路由器存儲所述隧道端表，并基于所述隧道端表按一定間隔動態地變更用于與所述終端相連接的隧道的隧道端。