[发明专利]双代理在虚拟专用网络(VPN)中进行应用层内容路由的方法

说明书

技术领域

本发明总体上涉及一种用于虚拟专用网络(VPN，virtual privatenetwork)系统的系统和方法，该系统可以在应用级部署虚拟资源(服务)，其中可以在不公开该资源(服务)和客户端(请求者)的本地网络拓扑的情况下跨过通信网络(即，因特网)来路由应用级内容，并且尤其涉及一种用于使用动态VPN(DVPN)双重代理方法来进行虚拟专用网络应用级内容路由的系统和方法。

背景技术

用于互连分布式计算机系统的最有用网络之一是因特网。因特网使计算机系统的用户能够在全世界内交换数据。另外，采用公司或商业网络形式的许多专用网络被连接到因特网。这些专用网络典型情况下被称为“内部网(intranet)”。为了便于数据交换，内部网通常使用与因特网相同的通信协议。这些网际协议(IP，Internet protocols)规定怎样格式化并传送数据。另外，对公司网络或内部网的访问可以借助网络网关来控制，该网络网关可以包括防火墙系统。

随着因特网普及性的发展，企业倾向使之作为扩展他们自己网络的工具。首先是内部网的到来，其是被设计仅供公司雇员所使用的访问控制站点。现在，许多公司正创建他们自己的VPN(虚拟专用网络)来适应远程雇员和远端办公室的需要。VPN通常是使用公共网络(通常为因特网)来把远程站点或用户连接在一起的专用网络。代替使用诸如租用线路之类的专用的现实连接，VPN使用从公司的专用网络到远程站点或雇员的经由因特网路由的“虚拟”连接。

在典型的配置中，局部网使用所指定的“专用”IP地址子网(诸如192.168.x.x，10.x.x.x或172.16.x.x-172.31.x.x)之一，并且在该网络上的路由器具有在该地址空间中的专用地址(诸如192.168.0.1)。路由器还利用由ISP所分配的单个“公共”地址或多个“公共”地址连接到因特网。当通信业务从局部网去往因特网时，在从专用地址到公共地址的传输过程中，将每个分组的源地址进行转换。路由器跟踪关于每个活动连接的基本数据(特别是目的址和端口)。当应答返回到路由器时，它使用在出站阶段期间所存储的连接跟踪数据来确定在内部网络上的什么地方转送该应答。

典型的虚拟专用网络网关或设备包括经由开放且一般不安全的网络(诸如因特网)来进行安全通信。以便在虚拟专用网络(VPN)上的任何两个节点之间建立安全通信，每个节点以某种方式获得信息(“配置”)，该信息包括但不局限于：在该VPN内远程节点的身份和状态，在节点之间的关系(VPN拓扑)，和用于在节点之间进行认证和数据通信加密的密码术。在两个节点之间的安全通信通常被称为“隧道(tunnel)”，而该节点本身常常被称为“隧道端子”。传统的VPN解决方案由多个隧道端接设备组成，该隧道端接设备向VPN通信提供了中央“集线器”。然后把软件部署到希望参与到VPN中的节点，并且利用VPN设备的地址来手动配置该软件，然后执行该软件以便参与到VPN中。传统的VPN解决方案暴露两个端VPN节点的内部网络拓扑。客户端(请求者)和资源(服务)分别使用在他们自己VPN节点上的本地IP地址来彼此通信。

据此，可能希望应用于应用系统，该应用系统可以部署任何虚拟资源(服务)并且可以在不公开本地内部网络拓扑的情况下经由虚拟专用网络隧道来路由那些应用级内容。

发明内容

依照一个实施例，使用动态VPN(DVPN)双重代理机制来路由应用级内容的方法包括：向第一虚拟专用网络节点上的至少一个客户端提供以第二虚拟专用网络节点作主机的可用资源列表；在不暴露该第二虚拟专用网络节点上可用资源列表的实际IP地址的情况下由该至少一个客户端从以该第二虚拟专用网络节点作主机的可用资源列表中发起对该至少一个资源的请求，就好像该至少一个资源在该至少一个客户端本地上一样；经由在该第一虚拟专用网络节点和第二虚拟专用网络节点之间的安全连接(隧道)把该请求路由到该至少一个资源；在不暴露该第一虚拟专用网络节点上至少一个客户端的实际IP地址的情况下，对该第二虚拟专用网络节点上至少一个资源的请求作出响应，就好像在该第二虚拟专用网络节点上本地发起该请求一样；并且经由该安全连接把该响应从该第二虚拟专用网络节点路由回到该第一虚拟专用网络节点上的至少一个客户端。

附图说明

现在参考在附图中所示的优选实施例来非常详细地描述本发明，其中同样的元素带有同样的附图标记，并且其中：