專利名稱:一種基于重疊網(wǎng)的安全傳輸網(wǎng)絡(luò)體系架構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,構(gòu)建了 一種基于重疊網(wǎng)的安全的傳輸網(wǎng)絡(luò)體系架構(gòu)。
背景技術(shù):
本發(fā)明涉及的背景技術(shù)包括l.重疊網(wǎng)(Overlay Network)技術(shù)
Internet是由^艮多自治i或(Autonomous, AS)纟且成的。自治i或在傳統(tǒng)意義上是指擁有相同的選路策略、處于一個(gè)管理機(jī)構(gòu)控制下的路由器和網(wǎng)絡(luò)的集合。在這樣的架構(gòu)里,具體的路由信息僅保存在AS和它所屬的網(wǎng)絡(luò)中。而每個(gè)AS —般由某個(gè)網(wǎng)絡(luò)服務(wù)提供商(InternetService Provider, ISP)來控制。ISP和AS之間4吏用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol, BGP-4)動(dòng)態(tài)交換路由信息。但因路由信息被BGP-4嚴(yán)重過濾和高度匯聚,因此網(wǎng)絡(luò)的高度擴(kuò)展性是以端到端通信的可靠性降低為代價(jià)的。當(dāng)今的Internet架構(gòu)僅支持"盡力而為(Best Effort)"型的連接服務(wù),從一個(gè)用戶到另 一個(gè)用戶的數(shù)據(jù)傳輸服務(wù)常常要穿越多個(gè)自治域。而在"盡力而為"的情況下,許多網(wǎng)絡(luò)應(yīng)用如端到端QoS、 IP組播等由于無法得到網(wǎng)絡(luò)服務(wù)提供商的大力支持而難以部署和擴(kuò)展。
為了解決這些問題,研究人員提出了重疊網(wǎng)(Overlay Network)的概念(也稱覆蓋網(wǎng)、疊加網(wǎng)),重疊網(wǎng)是一個(gè)位于一個(gè)或者多個(gè)已存在的網(wǎng)絡(luò)之上獨(dú)立的虛擬網(wǎng)絡(luò),即在底層網(wǎng)絡(luò)的基礎(chǔ)上通過節(jié)點(diǎn)之間單播機(jī)制將主機(jī)兩兩相連,形成一個(gè)虛擬、獨(dú)立的網(wǎng)絡(luò),就好像在
原有的網(wǎng)絡(luò)上疊加了一層新的網(wǎng)絡(luò)??梢哉J(rèn)為Internet就是一種重疊網(wǎng),因?yàn)镮nternet是建立在各類局域網(wǎng)(如以太網(wǎng))之上,給所有的包增加互聯(lián)網(wǎng)協(xié)議頭,用以連接各個(gè)局域網(wǎng)中的主機(jī),所形成一層新的網(wǎng)纟備。
重疊網(wǎng)的優(yōu)點(diǎn)是顯而易見的。第一,重疊網(wǎng)的部署不必改變現(xiàn)有的網(wǎng)絡(luò)層,它的屬性是可以變化的,具有很強(qiáng)的靈活性。利用重疊網(wǎng)(Overlay Network)在現(xiàn)有網(wǎng)絡(luò)上的虛擬性,可以實(shí)現(xiàn)下層網(wǎng)絡(luò)難以實(shí)現(xiàn)的功能,如服務(wù)質(zhì)量(QoS)、安全保證、更好的路由算法等。第二,重疊網(wǎng)易于部署和擴(kuò)展,它不需要路由器的支持,同時(shí)具有獨(dú)特的應(yīng)用型架構(gòu)。
通過這種方式建立起來的重疊網(wǎng)是一個(gè)封閉的網(wǎng)絡(luò),類似實(shí)際網(wǎng)絡(luò)中的局域網(wǎng)(LAN),所有的節(jié)點(diǎn)都是這個(gè)網(wǎng)絡(luò)中的一份子。在這個(gè)網(wǎng)絡(luò)中可以實(shí)現(xiàn)很多應(yīng)用,如作為一個(gè)試驗(yàn)床來模擬互聯(lián)網(wǎng),以供廣大研究工作者進(jìn)行各種互聯(lián)網(wǎng)新應(yīng)用的試驗(yàn)。因?yàn)檫@個(gè)網(wǎng)絡(luò)對(duì)現(xiàn)有的互聯(lián)網(wǎng)協(xié)議幾乎沒有做任何改動(dòng),因此可以較為真實(shí)地才莫擬實(shí)際網(wǎng)絡(luò),研究人員可以在其中試驗(yàn)新的互聯(lián)網(wǎng)應(yīng)用或者新的網(wǎng)絡(luò)協(xié)議。類似目前已經(jīng)在全球部署的試驗(yàn)網(wǎng)絡(luò)PlanetLab。
這樣的做法對(duì)發(fā)展的互聯(lián)網(wǎng)的新技術(shù)有一定的幫助,但是在這樣一個(gè)封閉的網(wǎng)絡(luò)中,各節(jié)點(diǎn)無法與外界進(jìn)行溝通,因此無法讓普通用戶享受到重疊網(wǎng)所帶來的網(wǎng)絡(luò)狀況的極大改善。
2.虛擬專用網(wǎng)技術(shù)(VPN, Virtual Private Network)隨著我國信息化建設(shè)的不斷深入,各種網(wǎng)絡(luò)應(yīng)用得到了推廣和普及,如何保護(hù)網(wǎng)絡(luò)信息安全成為人們?nèi)找骊P(guān)注的核心問題。目前國內(nèi)使用較廣泛的網(wǎng)絡(luò)信息安全產(chǎn)品和解決方案大多適用于跨企業(yè)網(wǎng)和廣域網(wǎng)上,受保護(hù)的基本單位是企業(yè)網(wǎng),實(shí)現(xiàn)的指導(dǎo)思想是從系統(tǒng)、網(wǎng)絡(luò)到應(yīng)用層面統(tǒng)一部署,利用防火墻、入侵檢測和防病毒產(chǎn)品,解
決系統(tǒng)和網(wǎng)絡(luò)層面的安全問題;集中安全服務(wù)平臺(tái)進(jìn)行身份認(rèn)證、授權(quán)和數(shù)據(jù)的加密傳輸,解決應(yīng)用層面的問題。
VPN (虛擬專用網(wǎng))以其高安全保障、好的服務(wù)質(zhì)量(QoS)、可管理性、可擴(kuò)充性和靈活性等特點(diǎn)得到廣泛的應(yīng)用。VPN利用Internet或是其它互耳關(guān)網(wǎng)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,利用加密、認(rèn)證等技術(shù)來保證VPN網(wǎng)絡(luò)的安全性,從而能夠提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。
基于用戶的VPN軟件可以連接兩個(gè)主機(jī),或是連接主機(jī)到子網(wǎng),或是多個(gè)子網(wǎng)采用單服務(wù)器多客戶機(jī)的模式,即多個(gè)VPN客戶端連接到同一VPN服務(wù)器端,是一個(gè)星形結(jié)構(gòu)。這種模式利于對(duì)VPN網(wǎng)絡(luò)進(jìn)行集中管理,但是多個(gè)客戶端之間如果需要相互通信,就必需通過VPN服務(wù)器來轉(zhuǎn)發(fā),這樣必然降低VPN客戶端之間的通信速度;同時(shí)VPN服務(wù)器也必然成為整個(gè)網(wǎng)絡(luò)的性能瓶頸和單點(diǎn)故障。VPN服務(wù)器的性能和網(wǎng)絡(luò)帶寬必然制約多個(gè)VPN網(wǎng)絡(luò)的通信速度,當(dāng)VPN服務(wù)器出現(xiàn)故障或是需要升級(jí)無法工作的時(shí)候,整個(gè)VPN網(wǎng)絡(luò)就完全癱瘓,無法工作。發(fā)明內(nèi)容本發(fā)明的目的是在目前的互聯(lián)網(wǎng)基礎(chǔ)上建立易于控制,便于擴(kuò)展的安全的傳輸網(wǎng)絡(luò)體系架構(gòu),通過在互聯(lián)網(wǎng)承載層上構(gòu)建重疊網(wǎng)
(Overlay Network)來實(shí)現(xiàn)新業(yè)務(wù)的快速部署,同時(shí)應(yīng)用VPN技術(shù)為普通用戶提供重疊網(wǎng)的接入服務(wù)。該架構(gòu)為終端用戶之間或者終端用戶與應(yīng)用服務(wù)器之間構(gòu)建了多條到達(dá)目的地的優(yōu)化路徑,使得普通用戶可以以安全而高質(zhì)量的方式通過重疊網(wǎng)訪問目的應(yīng)用服務(wù)器,享受重疊網(wǎng)帶來的網(wǎng)絡(luò)性能的極大改善。
本發(fā)明構(gòu)建的網(wǎng)絡(luò)體系架構(gòu)包含了重疊網(wǎng)控制中心模塊,用戶控制中心模塊,分布在各地的分節(jié)點(diǎn)模塊以及終端用戶和應(yīng)用服務(wù)器。重疊網(wǎng)控制中心負(fù)責(zé)將分布在各地的節(jié)點(diǎn)組織起來,構(gòu)建重疊網(wǎng),并負(fù)責(zé)重疊網(wǎng)維護(hù)及狀態(tài)監(jiān)控。用戶控制中心承擔(dān)著終端用戶接入授權(quán),認(rèn)證以及計(jì)費(fèi)的工作,同時(shí)負(fù)責(zé)用戶連接狀態(tài)的監(jiān)控和一些相關(guān)統(tǒng)計(jì)工作。各地的分節(jié)點(diǎn)在重疊網(wǎng)控制中心的組織下構(gòu)成一個(gè)重疊網(wǎng),用于部署各種不同的應(yīng)用服務(wù),同時(shí)作為終端用戶接入重疊網(wǎng)的接入服務(wù)器。終端用戶作為VPN Client,通過VPN的方式連接到重疊網(wǎng)節(jié)點(diǎn),/人而接入重疊網(wǎng)中,然后重疊網(wǎng)優(yōu)化過的路徑訪問目的應(yīng)用服務(wù)器或者目的終端用戶。
重疊網(wǎng)控制中心的操作采用Web頁的方式,方便系統(tǒng)管理員在網(wǎng)絡(luò)中的任意一點(diǎn),通過互聯(lián)網(wǎng)對(duì)控制中心進(jìn)行管理操作。該架構(gòu)可以將負(fù)載分散在各個(gè)節(jié)點(diǎn),使系統(tǒng)的規(guī)模得到提高。架構(gòu)中的重疊網(wǎng)的組織和維護(hù)都是由重疊網(wǎng)控制中心自動(dòng)完成的,減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān),而且能夠根據(jù)網(wǎng)絡(luò)狀況的變化進(jìn)行動(dòng)態(tài)的調(diào)整。使用這種方法來部署重疊網(wǎng),可以不用各地網(wǎng)管的參與,在幾分鐘之內(nèi)就能完成,而不是像以前一樣用好幾天的時(shí)間才能構(gòu)建一個(gè)重疊網(wǎng)。
和傳統(tǒng)的Internet —樣,重疊網(wǎng)絡(luò)也容易受到各種惡意攻擊,所以安全問題也是重疊網(wǎng)所需要關(guān)注的問題。在本發(fā)明構(gòu)建的架構(gòu)中,所有加入重疊網(wǎng)的節(jié)點(diǎn)都必須滿足一定的安全要求。這其中包括所有加入的節(jié)點(diǎn)都必須具備控制中心頒發(fā)的X. 509數(shù)字證書,管理員所用的計(jì)算機(jī)也必須具備X. 509證書,該計(jì)算機(jī)與控制中心之間的通信信息都采用SSL加密,節(jié)點(diǎn)之間的數(shù)據(jù)傳輸都經(jīng)過IPsec加密。在控制中心向各節(jié)點(diǎn)發(fā)送狀態(tài)查詢命令時(shí),所有的UDP消息都經(jīng)過S/MIME簽名。每個(gè)節(jié)點(diǎn)上還保存這一個(gè)接入控制表(ACL, AccessControl Lists),用于過濾惡意連接。這樣的多重安全措施,充分保證了本發(fā)明構(gòu)建的業(yè)務(wù)網(wǎng)絡(luò)體系架構(gòu)的安全性。
重疊網(wǎng)中所有的節(jié)點(diǎn)都可以作為VPN Server, ^接受客戶端的連接請(qǐng)求。由于重疊網(wǎng)的節(jié)點(diǎn)之間已經(jīng)建立起安全隧道,因此重疊網(wǎng)也可以看作是一種完全分布式的VPN網(wǎng)絡(luò)。這樣的結(jié)構(gòu)實(shí)現(xiàn)了節(jié)點(diǎn)之間負(fù)載平^f,提高了VPN網(wǎng)絡(luò)吞吐率。同時(shí)在某個(gè)節(jié)點(diǎn)需要維護(hù)、升級(jí)或是出現(xiàn)故障無法工作的時(shí)候,其它節(jié)點(diǎn)之間可以正常通信,從而解決了基于用戶傳統(tǒng)VPN Server單點(diǎn)故障,提高了整個(gè)VPN網(wǎng)絡(luò)的健壯性和可靠性。
本發(fā)明構(gòu)建的架構(gòu)的路徑優(yōu)化策略是通過主動(dòng)發(fā)送探測包去獲得用戶關(guān)心的網(wǎng)絡(luò)性能參數(shù),使得系統(tǒng)能夠找到重疊網(wǎng)中任意兩點(diǎn)之間滿足不同度量要求的最佳路徑,同時(shí)能快速探測失效路徑并且重新選擇一條替代路徑。這種動(dòng)態(tài)的路徑優(yōu)化策略使得這個(gè)網(wǎng)絡(luò)體系架構(gòu)
可以支持各種自定義的網(wǎng)絡(luò)應(yīng)用,并根據(jù)應(yīng)用去匹配相應(yīng)的路由度量。例如,股票應(yīng)用系統(tǒng)希望在眾多的路徑中找到一條具有最短延遲的路徑。
本架構(gòu)體系的節(jié)點(diǎn)可以位于Internet的任意位置,每個(gè)節(jié)點(diǎn)都探測它和其他節(jié)點(diǎn)之間的Internet路徑的質(zhì)量,通過檢測結(jié)果建立包括丟包率、時(shí)延和吞吐量等參數(shù)在內(nèi)的路徑質(zhì)量表。用戶從重疊網(wǎng)的任意一點(diǎn)接入時(shí),該節(jié)點(diǎn)會(huì)根據(jù)接入用戶的不同應(yīng)用,從先前建立好的路徑質(zhì)量表中選擇合適的路徑來進(jìn)行數(shù)據(jù)的傳輸。在視頻會(huì)議應(yīng)用中,接入節(jié)點(diǎn)會(huì)選擇低丟包率、低延時(shí)抖動(dòng)和高吞吐量的路徑,然后用戶的數(shù)據(jù)流便可以根據(jù)選定的路徑進(jìn)行轉(zhuǎn)發(fā),由最后一個(gè)節(jié)點(diǎn)把數(shù)據(jù)遞交給客戶程序。
本發(fā)明的各方面內(nèi)容結(jié)合下面的圖解和詳細(xì)說明將更加容易理解。
圖1為本發(fā)明所提出的網(wǎng)絡(luò)架構(gòu)示意圖。圖2為構(gòu)建重疊網(wǎng)的信令流程。圖3為本發(fā)明的網(wǎng)絡(luò)架構(gòu)的應(yīng)用步驟。圖4為本發(fā)明所提出的網(wǎng)絡(luò)架構(gòu)的應(yīng)用實(shí)例。詳細(xì)說明
圖1是本發(fā)明所提出的網(wǎng)絡(luò)架構(gòu)的示意圖。該架構(gòu)包括以下模塊重疊網(wǎng)控制中心ll,用戶控制中心12,分布在各地的節(jié)點(diǎn)13,終端用戶14及應(yīng)用服務(wù)器15。重疊網(wǎng)控制中心11負(fù)責(zé)管理重疊網(wǎng)的部署和配置,協(xié)調(diào)整個(gè)架構(gòu)對(duì)資源的利用,它通過網(wǎng)絡(luò)與分布在各地的節(jié)點(diǎn)相連,負(fù)責(zé)根據(jù)用戶的要求選取不同的節(jié)點(diǎn)來構(gòu)建用戶指定的網(wǎng)絡(luò)拓樸的重疊網(wǎng)。圖中Internet基礎(chǔ)網(wǎng)絡(luò)16中的六個(gè)處于不同AS中的四個(gè)節(jié)點(diǎn),被重疊網(wǎng)控制中心11選為重疊網(wǎng)節(jié)點(diǎn)13,這些節(jié)點(diǎn)在接收到控制中心的控制指令之后,按照用戶指定的拓樸結(jié)構(gòu)與其他節(jié)點(diǎn)創(chuàng)建單播隧道,從而建立指定結(jié)構(gòu)的重疊網(wǎng),圖中以環(huán)形拓樸的一個(gè)虛擬重疊網(wǎng)為例。這些節(jié)點(diǎn)釆用了完全分布的組織方式,彼此之間通過單#"的數(shù)據(jù)隧道相連,形成一個(gè)分布的重疊網(wǎng)。它隱藏了底層基礎(chǔ)網(wǎng)絡(luò)16的實(shí)際物理結(jié)構(gòu),而且能夠根據(jù)網(wǎng)絡(luò)鏈^^1犬態(tài)動(dòng)態(tài)調(diào)整。這些節(jié)點(diǎn)在重疊網(wǎng)中擔(dān)任不通的角色,有的擔(dān)任服務(wù)器,負(fù)責(zé)發(fā)起數(shù)據(jù)傳輸或者接受其他節(jié)點(diǎn)傳送過來的數(shù)據(jù),而有的節(jié)點(diǎn)則擔(dān)任類似物理網(wǎng)絡(luò)中的路由器的角色,負(fù)責(zé)數(shù)據(jù)的轉(zhuǎn)發(fā)。在圖中的環(huán)形拓樸中,所有的節(jié)點(diǎn)既擔(dān)當(dāng)服務(wù)器的角色,也擔(dān)當(dāng)了路由器的角色,因?yàn)樵撏貥憬Y(jié)構(gòu)中的任意一點(diǎn)既可以發(fā)起數(shù)據(jù)傳輸,也可以接收其他節(jié)點(diǎn)傳送的數(shù)據(jù),同時(shí)還要轉(zhuǎn)發(fā)從一個(gè)節(jié)點(diǎn)到另 一個(gè)節(jié)點(diǎn)的數(shù)據(jù)。
在構(gòu)建重疊網(wǎng)之前,用戶首先要確定要構(gòu)建的重疊網(wǎng)的拓樸結(jié)構(gòu),好的拓樸結(jié)構(gòu)應(yīng)該能提供網(wǎng)絡(luò)傳輸效率,并提供良好的健壯性和容錯(cuò)性。本發(fā)明的網(wǎng)絡(luò)體系架構(gòu)提供了多種拓樸結(jié)構(gòu)可供選擇,包括總線型結(jié)構(gòu),星型結(jié)構(gòu),環(huán)形結(jié)構(gòu)和網(wǎng)狀(Mesh)結(jié)構(gòu),用戶還可以根據(jù)不同需要將這些拓樸結(jié)構(gòu)進(jìn)行組合,構(gòu)建最適合當(dāng)前應(yīng)用的拓樸擇的,對(duì)于一種服務(wù)適合的拓樸結(jié)構(gòu)對(duì)另外的服務(wù)不一定是高效的。這是因?yàn)榫W(wǎng)絡(luò)拓樸對(duì)重疊網(wǎng)的路由服務(wù)性能有重大的影響,在一種網(wǎng)絡(luò)拓樸下表現(xiàn)最好的路由算法在另外一種拓樸結(jié)構(gòu)下可能最差。
圖中的用戶控制中心12負(fù)責(zé)終端用戶13的管理,其中包括對(duì)終端用戶13的注冊(cè)、認(rèn)證、授權(quán)及業(yè)務(wù)計(jì)費(fèi)等相關(guān)管理功能。同時(shí),該控制中心還要記錄接入的終端用戶的相關(guān)信息,這些信息包括用戶的用戶名,用戶實(shí)際的IP地址,用戶所獲得的重疊網(wǎng)的IP地址,用戶所使用的網(wǎng)絡(luò)協(xié)議,用戶登陸的時(shí)間,用戶退出的時(shí)間,用戶在網(wǎng)期間的網(wǎng)絡(luò)流量等。
圖2展示了本發(fā)明的構(gòu)建重疊網(wǎng)的工作流程。首先重疊網(wǎng)控制中心會(huì)根據(jù)用戶的要求,確定網(wǎng)絡(luò)的拓樸,并確定需要用于構(gòu)建重疊網(wǎng)的節(jié)點(diǎn)。節(jié)點(diǎn)分布于互聯(lián)網(wǎng)的各個(gè)角落,節(jié)點(diǎn)之間的性能存在著差異,包括服務(wù)器的運(yùn)算能力以及所處位置的網(wǎng)絡(luò)狀況等,因此每個(gè)節(jié)點(diǎn)并不能適應(yīng)所用應(yīng)用的需求。確定節(jié)點(diǎn)的數(shù)量之后,
1) 控制中心向選定的節(jié)點(diǎn)發(fā)送狀態(tài)查詢命令,其中包括節(jié)點(diǎn)所需要承載的服務(wù)的信息,以確定該節(jié)點(diǎn)能否能夠滿足需要。
2 ) 節(jié)點(diǎn)接受到狀態(tài)查詢命令之后,檢查服務(wù)器自身的狀況,若能滿足應(yīng)用的需求,則向控制中心發(fā)回狀態(tài)響應(yīng)應(yīng)答。如果服務(wù)器經(jīng)過一個(gè)設(shè)定的時(shí)間限之后仍未收到節(jié)點(diǎn)的響應(yīng),則認(rèn)為該節(jié)點(diǎn)無法滿足需求或者不在工作狀態(tài)。
3) 接收到節(jié)點(diǎn)反饋的狀態(tài)信息之后,控制中心根據(jù)用戶的要求,選擇可用的節(jié)點(diǎn),向選定的節(jié)點(diǎn)發(fā)出選擇命令。
4) 節(jié)點(diǎn)接收到選擇命令之后,調(diào)整自身狀態(tài),為構(gòu)建滿足
應(yīng)用的重疊網(wǎng)做準(zhǔn)備,準(zhǔn)備就緒之后,向控制中心發(fā)回 選擇就緒信息。
5) 控制中心接到節(jié)點(diǎn)的就緒信息之后,向節(jié)點(diǎn)發(fā)出構(gòu)建重 疊網(wǎng)的控制命令。
6 ) 節(jié)點(diǎn)收到控制命令之后,根據(jù)命令中的網(wǎng)絡(luò)拓樸等信息, 與其他節(jié)點(diǎn)之間構(gòu)建單播隧道,從而完成滿足用戶應(yīng)用
需求的重疊網(wǎng)的構(gòu)建工作。
圖3展示的是本發(fā)明的網(wǎng)絡(luò)架構(gòu)的應(yīng)用步驟。終端用戶14要訪問 應(yīng)用服務(wù)器15,如果采用運(yùn)營商所提供的路由訪問效果不理想時(shí),用 戶所在公司可以采用本發(fā)明所提供的網(wǎng)絡(luò)架構(gòu)對(duì)訪問路徑進(jìn)行優(yōu)化, 以取得最優(yōu)的訪問效果。ISP也可以通過采用本發(fā)明的網(wǎng)絡(luò)架構(gòu)預(yù)先 搭建一定規(guī)才莫的重疊網(wǎng),然后為用戶提供應(yīng)用服務(wù)器訪問優(yōu)化服務(wù)。
本發(fā)明的網(wǎng)絡(luò)架構(gòu)的具體應(yīng)用步驟為
1) 終端用戶14就近選擇接入的業(yè)務(wù)節(jié)點(diǎn)13,向業(yè)務(wù)節(jié)點(diǎn)提 出接入請(qǐng)求,同時(shí)提供終端用戶的數(shù)字證書;
2 ) 業(yè)務(wù)節(jié)點(diǎn)13接收到終端用戶14的接入申請(qǐng)后對(duì)用戶數(shù)字
證書進(jìn)行驗(yàn)i正,若驗(yàn)證不通過則拒絕用戶4妄入請(qǐng)求,若 通過則進(jìn)一步要求用戶提供用戶名密碼等認(rèn)證信息;
3 ) 終端用戶14將認(rèn)證信息提供至用戶控制中心12;
4) 用戶控制中心12對(duì)用戶認(rèn)證信息進(jìn)行認(rèn)證,若認(rèn)證不通過,則拒絕用戶請(qǐng)求,若認(rèn)證通過,則從用戶數(shù)據(jù)庫中 提取出與申請(qǐng)接入的終端用戶相對(duì)應(yīng)的優(yōu)化路徑信息,
返回終端用戶;
5 ) 用戶接收到返回的優(yōu)化路徑信息之后,按照優(yōu)化路徑訪 問應(yīng)用服務(wù)器,獲得理想的訪問效果。
圖4展示的是本發(fā)明的網(wǎng)絡(luò)架構(gòu)的 一個(gè)應(yīng)用實(shí)例。當(dāng)終端用戶41 需要訪問位于遠(yuǎn)端公司內(nèi)部的應(yīng)用服務(wù)器43時(shí),如果以傳統(tǒng)的VPN方 式接入,當(dāng)VPN接入服務(wù)器出現(xiàn)故障無法正常工作時(shí),用戶將無法接 入該臺(tái)應(yīng)用服務(wù)器。而采用本發(fā)明所構(gòu)建的重疊網(wǎng)架構(gòu)42訪問應(yīng)用服 務(wù)器43時(shí),重疊網(wǎng)的任意一個(gè)節(jié)點(diǎn)都可以作為VPN接入服務(wù)器,從而 保證了用戶在任何時(shí)候都能接入所需要訪問的應(yīng)用服務(wù)器。而且比起 傳統(tǒng)VPN所提供的到應(yīng)用服務(wù)器的單條鏈路,用戶在接入本發(fā)明的重 疊網(wǎng)架構(gòu)42之后,有多條到達(dá)遠(yuǎn)端應(yīng)用服務(wù)器43的選擇。圖中展示的 是一個(gè)由A, B, C, D四個(gè)節(jié)點(diǎn)構(gòu)成的一個(gè)環(huán)形結(jié)構(gòu)的重疊網(wǎng),用戶需 要訪問的應(yīng)用服務(wù)器43與C節(jié)點(diǎn)相連,用戶從這四個(gè)節(jié)點(diǎn)中的任意一 點(diǎn)接入,都可以訪問該應(yīng)用服務(wù)器。這四個(gè)節(jié)點(diǎn)在工作期間會(huì)定時(shí)向 相鄰的節(jié)點(diǎn)發(fā)送探測包,如A節(jié)點(diǎn)會(huì)定時(shí)向B節(jié)點(diǎn)和D節(jié)點(diǎn)發(fā)送探測包, 以檢測兩點(diǎn)之間的網(wǎng)絡(luò)狀況,包括兩點(diǎn)之間的延遲、丟包率和吞吐量 等,這些檢測結(jié)果會(huì)保存到重疊網(wǎng)控制中心11的路由狀況數(shù)據(jù)庫中。 當(dāng)用戶從A節(jié)點(diǎn)接入而需要從C節(jié)點(diǎn)接出訪問應(yīng)用服務(wù)器時(shí),A節(jié)點(diǎn)會(huì) 從路由狀況數(shù)據(jù)庫中查詢從A節(jié)點(diǎn)到C節(jié)點(diǎn)的網(wǎng)絡(luò)狀況,重疊網(wǎng)架構(gòu)4 2 提供了兩條路徑選擇,即A-〉D-〉C和A-〉B-〉C。當(dāng)用戶對(duì)訪問延遲要求較高時(shí),A節(jié)點(diǎn)會(huì)訪問路由狀況數(shù)據(jù)庫,分別計(jì)算出這兩條路徑的延
遲,從而選擇延遲較低的一條路徑供用戶使用。當(dāng)兩條路徑中的一條
出現(xiàn)了網(wǎng)絡(luò)擁塞或者出現(xiàn)網(wǎng)絡(luò)中斷,A節(jié)點(diǎn)會(huì)自動(dòng)選#^殳有出現(xiàn)狀況 的路徑供用戶使用。而當(dāng)A節(jié)點(diǎn)出現(xiàn)故障,無法為用戶提供接入服務(wù) 時(shí),用戶還可以乂人其余能夠正常工作的B, C, D三個(gè)節(jié)點(diǎn)中任選一個(gè) 進(jìn)行接入。通過這樣的才幾制,本發(fā)明構(gòu)建的重疊網(wǎng)架構(gòu)42可以有效地 保證終端用戶41對(duì)應(yīng)用服務(wù)器4 3訪問的暢通以及訪問的質(zhì)量。
權(quán)利要求
1.一種基于重疊網(wǎng)的安全傳輸網(wǎng)絡(luò)體系架構(gòu),通過在現(xiàn)有的IP網(wǎng)絡(luò)上構(gòu)建一個(gè)虛擬的重疊網(wǎng)架構(gòu),為用戶提供優(yōu)化的端到端傳輸服務(wù)。該架構(gòu)中包含重疊網(wǎng)控制中心,用戶控制中心,業(yè)務(wù)節(jié)點(diǎn),終端用戶和應(yīng)用服務(wù)器。終端用戶通過VPN的方式從業(yè)務(wù)節(jié)點(diǎn)接入重疊網(wǎng)中,然后通過重疊網(wǎng)訪問應(yīng)用服務(wù)器或與其他終端用戶通信。
2. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),重疊網(wǎng)控制中心負(fù)責(zé)重疊網(wǎng) 的構(gòu)建及管理,它通過與分布在各地的業(yè)務(wù)節(jié)點(diǎn)通信,向業(yè)務(wù) 節(jié)點(diǎn)發(fā)送控制命令,將這些業(yè)務(wù)節(jié)點(diǎn)組織成一個(gè)重疊網(wǎng),同時(shí) 通過定期向各業(yè)務(wù)節(jié)點(diǎn)發(fā)送狀態(tài)查詢命令,獲得各業(yè)務(wù)節(jié)點(diǎn)的 狀態(tài)信息,從而實(shí)現(xiàn)對(duì)重疊網(wǎng)絡(luò)性能的監(jiān)控。
3. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),用戶控制中心負(fù)責(zé)用戶的注 冊(cè)、認(rèn)證、授權(quán)、及業(yè)務(wù)計(jì)費(fèi)等工作,并記錄用戶的相關(guān)信息, 這些信息包括用戶的用戶名,用戶實(shí)際的IP地址,用戶所獲得 的重疊網(wǎng)的IP地址,用戶所使用的網(wǎng)絡(luò)協(xié)"i義,用戶登陸的時(shí)間, 用戶退出的時(shí)間,用戶在網(wǎng)期間的網(wǎng)絡(luò)流量,用戶所使用的應(yīng) 用,用戶的數(shù)據(jù)流向等。
4. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),業(yè)務(wù)節(jié)點(diǎn)是位于互聯(lián)網(wǎng)中任 意位置的計(jì)算機(jī)、服務(wù)器或者路由器。
5. 根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)架構(gòu),業(yè)務(wù)節(jié)點(diǎn)上安裝并運(yùn)行了用 于構(gòu)建重疊網(wǎng)的軟件,該軟件通過特定端口接收從控制中心的 重疊網(wǎng)管理部分發(fā)過來的命令,并根據(jù)命令的要求執(zhí)行相應(yīng)的操作。
6. 根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)架構(gòu),業(yè)務(wù)節(jié)點(diǎn)上還安裝了 VPN Server ^i件,4吏業(yè)務(wù)節(jié)點(diǎn)具備了 VPN Server的功能,負(fù)責(zé)對(duì)用 戶進(jìn)行數(shù)字證書驗(yàn)證,同時(shí)作為終端用戶與用戶控制中心之間 溝通的橋梁。
7. 根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)架構(gòu),業(yè)務(wù)節(jié)點(diǎn)會(huì)在用戶通過認(rèn)證 后,根據(jù)用戶事先登記的信息,將到達(dá)用戶需要訪問的應(yīng)用服 務(wù)器或者其他終端用戶之間通信的最佳路徑的相關(guān)信息發(fā)送給 終端用戶,然后終端用戶之間,終端用戶與應(yīng)用服務(wù)器之間的 數(shù)據(jù)傳輸將通過指定的路徑進(jìn)行。
8. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),終端用戶是指以某種方式連 接到互聯(lián)網(wǎng)的用戶,包括利用計(jì)算機(jī)上網(wǎng)的用戶和利用手持終 端上網(wǎng)的用戶。
9. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),應(yīng)用服務(wù)器是指用戶需要訪 問的服務(wù)器,包括Web服務(wù)器,游戲服務(wù)器,公司內(nèi)部服務(wù)器 等。
10. 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)架構(gòu),該架構(gòu)為用戶提供服務(wù)的具 體步驟為步驟l,才艮據(jù)用戶的要求,管理員通過重疊網(wǎng)控制中心構(gòu)建如權(quán) 利要求1所述的安全傳輸網(wǎng)絡(luò)體系架構(gòu);步驟2,終端用戶以VPN Client的方式連"t妄到業(yè)務(wù)節(jié)點(diǎn),并向 業(yè)務(wù)節(jié)點(diǎn)提交用戶數(shù)字證書;步驟3,業(yè)務(wù)節(jié)點(diǎn)接收到終端用戶的連接要求,驗(yàn)證用戶的證書, 若用戶證書驗(yàn)證失敗,則拒絕用戶的連接要求,若用戶證書驗(yàn)證成功,則提示用戶輸入用戶名和密碼; 步驟4,業(yè)務(wù)節(jié)點(diǎn)接收到用戶輸入的認(rèn)證信息后,將信息發(fā)送到 用戶控制中心,用戶控制中心驗(yàn)證用戶的認(rèn)證信息,認(rèn)證失敗 則向提交認(rèn)證信息的業(yè)務(wù)節(jié)點(diǎn)發(fā)回認(rèn)證失敗信息;若認(rèn)證成功, 則從數(shù)據(jù)庫中提取出該用戶所需的訪問應(yīng)用服務(wù)器或與其他終 端用戶進(jìn)行通信的優(yōu)化路徑信息,發(fā)送至提交認(rèn)證信息的業(yè)務(wù) 節(jié)點(diǎn),由業(yè)務(wù)節(jié)點(diǎn)傳送至終端用戶。通信,獲取最優(yōu)訪問效果。
全文摘要
本發(fā)明提出了一種基于重疊網(wǎng)(Overlay Network)的安全的傳輸網(wǎng)絡(luò)體系架構(gòu),它由控制中心和一組業(yè)務(wù)節(jié)點(diǎn)構(gòu)成,這些節(jié)點(diǎn)分布在Internet上,并由業(yè)務(wù)鏈路連接起來,從而在現(xiàn)有的IP網(wǎng)絡(luò)上形成一個(gè)虛擬的傳輸重疊網(wǎng)。終端用戶在需要訪問特定的應(yīng)用服務(wù)器或者與其他終端用戶通信時(shí),首先以VPN的方式通過這些節(jié)點(diǎn)接入重疊網(wǎng)中,然后由重疊網(wǎng)為用戶選擇訪問路徑,在保證用戶信息安全的前提下獲取最佳的訪問效果。它的最大特點(diǎn)在于改善了傳統(tǒng)VPN的性能,使得每個(gè)重疊網(wǎng)節(jié)點(diǎn)都能作為VPN服務(wù)器為用戶提供VPN接入服務(wù),避免了由于單個(gè)VPN服務(wù)器的故障而導(dǎo)致整個(gè)VPN服務(wù)癱瘓的情況出現(xiàn),同時(shí)能夠動(dòng)態(tài)地為終端用戶優(yōu)化訪問特定應(yīng)用服務(wù)器及與其他終端用戶之間通信的路徑,保證了用戶的服務(wù)質(zhì)量和網(wǎng)絡(luò)的安全性。
文檔編號(hào)H04L29/12GK101599883SQ20081004011
公開日2009年12月9日 申請(qǐng)日期2008年7月2日 優(yōu)先權(quán)日2008年7月2日
發(fā)明者宋曉東, 袁佳寧, 海 黃 申請(qǐng)人:上海恩際恩網(wǎng)絡(luò)科技有限公司;袁佳寧