[发明专利]安全数据连接会话的暂停和恢复

说明书

技术领域

本发明涉及计算机联网领域。更具体地，本发明涉及计算机网络中的安全数据连接会话的暂停和恢复。

背景技术

在计算机联网领域中，由于企业希望对专用网络提供安全的访问，因此虚拟专用网络(VPN)已变得相当受欢迎。VPN是将专用用户(例如，同一公司的雇员)共同连接到使用公共因特网作为传输介质的广域网，同时确保他们的通讯不被因特网任意读取。所有数据都被加密以防止被其他人读取，并且认证(authentication)措施确保仅有来自被授权的VPN用户的消息能够被接收。

通过基于虚拟专用网络链路(也被称作隧道tunnel)的协商而进行密钥交换，数据加密就得到处理。然而，密钥的生成是耗费时间、中断用户进程、且通常极需处理器(processor-hungry)的。因此，对将不得不生成密钥的次数减少是有益的。

当前VPN技术方案的另一个问题是，一旦获得对安全专用网络的访问，用户马上就被排他性地阻断对其它网络的访问。例如，用户不能访问在其载体或因特网服务提供商的网络之后的多媒体短信服务(MMS)网关或访问因特网。为了让用户访问这些网络，用户必须关闭VPN隧道，一旦用户完成对其他网络的访问，然后才将其备份(bring it back up)。此外，如果用户设备是手持式计算机，则在另一个IP地址被初启(bring up)(例如，该设备被支住叉簧(cradled))的情况下，隧道就必须被断开(bring down)。这带来重新协商密钥的需求，因此就碰到前述的涉及密钥生成的问题。

该结果是，应当适用直至18小时之多的VPN会话常常仅在15分钟之后就需要被拆开(tear down)。由于每次VPN会话被重新激活时，密钥都必须被重新协商且安全令牌码(token codes)被重新进入，因此这就对网络中的处理器以及网络带宽增加了额外的负担，。

在过去，这个问题利用拆分隧道(split-tunneling)而已被解决掉了，其中，多个隧道同时保持开启。然而，这就产生具有域名服务(DNS)查找的相当引人注目的问题(因为设备常不知道哪个隧道用于查找)，且能够使不确定的IP地址同时存在。

图1是示出用户请求至VPN连接的典型情况的时序图。一旦接收到这个请求，VPN服务器从用户获得认证信息，且相对于认证、授权和记帐(AAA)服务器检查这些信息。一旦用户的凭证已经被生效，安全隧道被建立，且用户的设备和VPN服务器发送与接收加密数据。而VPN服务器传递至VPN上的目的主机或来自VPN上的目的主机的数据。当用户希望连接至VPN外部的主机时，设备放弃和VPN的安全连接，且直接连接至非VPN主机。如果用户希望再次连接至VPN内的主机，其现在必须经历和VPN服务器与AAA服务器确认/认证的整个过程。

所需的是当保持VPN会话，而不遇到现有技术解决方案的DNS问题时，允许用户连接至VPN外面的网络的解决方案。

发明内容

提出了一种技术方案，其中，在不终止的情况下，VPN会话可以被暂停。当用户希望连接至VPN外面的主机时，设备不放弃安全连接。而替代地，它存储与稍后再调用(recall)的安全VPN相关联的所有必要的网络参数。当用户稍后再次希望连接至VPN，然后设备可以简单地再调用与在先的安全的VPN连接相关联的必要网络参数，并且开始和VPN进行数据传送。

附图说明

其被并入且构成本说明书一部分的附图和详细的描述一起示出本发明的一个或更多个实施例，用于解释发明的原理和实施。

图1是示出用户请求至VPN连接的典型情况的时序图；

图2是示出本发明实施例的时序图；

图3是示出本发明另一个实施例的时序图；

图4是示出用于根据本发明的实施例管理设备和VPN服务器之间的虚拟专用网络会话的方法的流程图；

图5是示出用于根据本发明的另一个实施例管理设备和第一VPN服务器之间的虚拟专用网络会话的方法的流程图；

图6是示出用于根据本发明的实施例管理设备和VPN服务器之间的虚拟专用网络会话的装置的方框图；以及

图7是示出用于根据本发明另一个实施例管理设备和第一VPN服务器之间的虚拟专用网络会话的装置的方框图。

具体实施方式