WO2009132594A1 - 实现私网之间转发数据的方法和系统 - Google Patents

Description

实现私网之间转发数据的方法和系统 本申请要求了 2008年 4月 30日提交的、 申请号为 200810094439.X、 发 明名称为 "实现私网之间转发数据的方法和系统" 的中国申请的优先权， 其 全部内容通过引用结合在本申请中。 技术领域

本发明涉及通信技术领域， 具体而言是涉及一种共享私网地址分配信息 的方法和装置以及实现私网之间转发数据的方法和系统。 背景技术

在全球化的商业环境中， 一个大型的跨国企业可能在全世界都有其子公 司或是分支机构， 如何安全快速的远程访问企业内部资源具有重要意义。 基 于安全套接层（ Secure Socket Layer, SSL)技术的虚拟专用网 （ Virtual Private Network, VPN )可通过 SSL来保证用户远程接入网络的安全性， 以达到像专 用网络一样的数据的安全传输。 SSL VPN技术帮助用户通过标准的 Web浏览 器就可以访问重要的企业应用， 使得部门员工出差时不必再携带自己的笔记 本电脑， 仅仅通过一台接入了 Internet的计算机就能访问企业资源， 这为企业 提高效率带来了方便， 同时也可以很好的解决安全性问题。

目前很多机构通过公共网络（例如互联网）， 使用 SSL VPN设备连接地 理或逻辑上分离的分支机构网络， SSL VPN设备部署在分支机构网络与公共 网络边缘， SSL VPN设备具有可以在公网路由的公网 IP地址， 每个分支机构 网络使用私网地址， 所有私网地址统一分配， 则整个机构的任一分支网络中 的 IP地址与其它分支网络中的 IP地址是不相同的，这使得所有属于该机构的 每个分支机构网络的内部终端 "融合" 成为一个总体的网络。

对于这样的机构网络， 要实现各分支机构私网之间的通信， 即要实现分 支机构内部终端使用分配的私网地址与其他分支机构网络内部的终端之间转 发数据 , 由于当前每个分支机构的 SSL VPN设备无法解析其他分支机构网络 的私网地址， 因此无法将待转发的数据封装到相应的 SSL隧道， 发送至目的 地址为其他分支机构网络的 SSL VPN设备。 要传输私网之间的通信数据， 当 前采用的方案是向运营商租用专用线路， 即专用网 （ Private Network )。 由于 专用网仅供租用者使用， 因此数据的安全和网络带宽可以得到充分的保证。

但是在实现本发明的过程中， 发明人发现现有技术中至少存在如下问题： 专用网的部署比较复杂， 对现有网络设备和结构的改动较大， 因而不能成为 一个实用的解决方案。 发明内容

一方面， 本发明实施例提供了一种共享私网地址分配信息的方法和装置， 能够解决一个私网的 SSL VPN设备对其他私网的私网地址进行解析的问题。

本发明实施例提供的一种共享私网地址分配信息的方法， 包括： 通过 SSL隧道接收另外一个私网的地址分配信息； 保存所述地址分配信 息， 所述地址分配信息用于在接收到数据包时判断所述数据包的目的地址是 否属于所述另外一个私网。

本发明实施例提供的一种共享私网地址分配信息的装置， 包括： 地址分配信息接收单元，用于通过 SSL隧道接收另外一个私网的地址分配 信息； 地址分配信息保存单元， 用于保存所述地址分配信息接收单元接收的 地址分配信息， 所述地址分配信息用于在接收到数据包时判断所述数据包的 目的地址是否属于所述另外一个私网。

由以上技术方案可知，通过 SSL隧道接收由另外一个私网中的 SSL VPN设 备传输的另外一个私网的地址分配信息， 并保存所述地址分配信息， 使得一 个私网的 SSL VPN设备获知了另外一个私网私有地址的分配信息， 这样在接 收到数据包时能够根据该地址分配信息判断该数据包的目的地址是否属于所 述另外一个私网 , 因此能够实现一个私网的 SSL VPN设备对其他私网的私网 地址的解析。 另一方面， 本发明实施例提供了一种实现私网之间转发数据的方法和系 统， 能够解决不同私网内的终端使用私网地址进行安全通信的问题。

本发明实施例提供的一种实现私网之间转发数据的方法， 包括： 与另外一个私网的 SSL VPN设备之间建立 SSL隧道； 通过所述 SSL隧道接 收另外一个私网的地址分配信息， 所述地址分配信息由所述另外一个私网中 的 SSL VPN设备通过所述 SSL隧道传输； 保存所述地址分配信息， 以及所述地 址分配信息与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输该分配 信息的 SSL隧道的会话 ID的对应关系；根据所述地址分配信息及所述对应关系 将目的地址属于另外一个私网的数据包转发至目的地址所属私网的 SSL VPN 设备。

本发明实施例提供的一种实现私网之间转发数据的系统， 包括两个或两 个以上私网 ,所述每个私网分别通过分配有公网 IP地址的 SSL VPN设备接入到 公网， 所述每个 SSL VPN设备包括： SSL隧道建立单元， 用于与另外一个私网 的 SSL VPN设备之间建立 SSL隧道；地址分配信息接收单元，用于通过所述 SSL 隧道建立单元建立的 SSL隧道接收另外一个私网的地址分配信息，所述地址分 配信息由所述另外一个私网中的 SSL VPN设备通过所述 SSL隧道传输；保存单 元， 用于保存所述地址分配信息接收单元接收的地址分配信息， 以及所述地 址分配信息与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输该分配 信息的 SSL隧道的会话 ID的对应关系； 数据包转发单元， 用于根据所述保存单 元保存的所述地址分配信息及所述对应关系， 将目的地址属于另外一个私网 的数据包转发至目的地址所属私网的 SSL VPN设备。

由以上技术方案可知， 通过与另外一个私网的 SSL VPN设备建立 SSL隧 道，接收另外一个私网中的 SSL VPN设备通过所述 SSL隧道传输的所述另外一 个私网的地址分配信息，并保存所述地址分配信息，使得一个私网的 SSL VPN 设备拥有了另外一个私网私有地址的分配信息； 通过保存所述地址分配信息 与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输该分配信息的 SSL 隧道的会话 ID的对应关系， 对于一个源地址为私网地址， 目的地址为另一个 私网的私有 IP地址的数据包，通过所述地址分配信息查询该对应关系，得到与 公网 IP地址对应的 SSL VPN设备以及与会话 ID对应的 SSLP遂道，从而能够将该 数据包转发至查询到的 SSL VPN设备， 因此解决了不同私网内的终端使用私 网地址进行安全通信的问题。 附图说明

为了更清楚地说明本发明实施例的技术方案， 下面将对实施例中所需要 使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明 的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前 提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例一提供的共享私网地址分配信息的方法的流程图； 图 2为本发明实施例二提供的共享私网地址分配信息的装置的结构图； 图 3为本发明实施例三提供的实现私网之间转发数据的方法的流程图； 图 4为本发明实施例三中由 SSL VPN设备转发数据操作的流程图； 图 5为本发明实施例三中确定与会话 ID对应的 SSL隧道操作的流程图； 图 6为本发明实施例四提供的实现私网之间转发数据的系统中每个 SSL VPN设备的结构图；

图 7为本发明实施例四中数据包转发单元的结构图；

图 8为本发明实施例五提供的一个具体实施例的网络示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

实施例一 参见图 1 , 本发明实施例一提供的共享私网地址分配信息的方法， 包括： 步骤 101 , —个私网的 SSL VPN设备通过 SSL隧道接收另外一个私网的 地址分配信息；

所述地址分配信息由另外一个私网的 SSL VPN设备通过所述 SSL隧道传 输。

步骤 102,保存所述地址分配信息， 所述地址分配信息用于在接收到数据 包时判断所述数据包的目的地址是否属于所述另外一个私网。

步骤 103 , 保存所述地址分配信息与传输该地址分配信息的 SSL VPN设 备的公网 IP地址及与传输该地址分配信息的 SSL隧道的会话 ID的对应关系。

实施例二

在本发明实施例一提供的方法基础上， 本发明实施例二提供了一种共享 私网地址分配信息的装置， 如图 2所示， 包括：

地址分配信息接收单元 201 , 用于一个私网的 SSL VPN设备通过 SSL隧 道接收另外一个私网的地址分配信息； 所述地址分配信息由所述另外一个私 网中的 SSL VPN设备通过所述 SSL隧道传输。

地址分配信息保存单元 202, 用于保存所述地址分配信息， 所述地址分配 信息用于在该 SSL VPN接收到数据包时判断所述数据包的目的地址是否属于 所述另外一个私网。

对应关系保存单元 203 ,用于保存所述地址分配信息与传输该地址分配信 息的 SSL VPN设备的公网 IP地址及与传输该地址分配信息的 SSL隧道的会 话 ID的对应关系。

所述装置可以部署在现有的 SSL VPN设备上，使得 SSL VPN设备拥有其 它私网逻辑拓朴的能力， 即拥有可以解析其它私网的私网地址的能力。

由以上实施例可知，一个私网的 SSL VPN设备通过 SSL隧道接收由另外 一个私网中的 SSL VPN设备传输的另外一个私网的地址分配信息， 并保存所 述地址分配信息， 使得该私网的 SSL VPN设备拥有了另外一个私网的私有地 址分配信息， 这样在接收到数据包时就能够根据该地址分配信息判断该数据 包的目的地址是否属于所述另外一个私网， 因此实现了一个私网的 SSL VPN 设备对其他私网的私网地址的解析。

实施例三

如图 3 所示， 本发明实施例三提供的实现私网之间转发数据的方法， 包 括：

步骤 301 , —个私网的 SSL VPN设备与另外一个私网的 SSL VPN设备之 间建立 SSL隧道；

在本步骤中， 建立的 SSL隧道对应一个会话 ID, 所述会话 ID用于唯一 标识建立的 SSL连接。 在 SSL VPN设备可能存在多个 SSL连接、 建立多个 SSL隧道的情况下， 会话 ID用以确定 SSL VPN设备间通过公网转发数据时 使用哪个 SSL隧道传输。

步骤 302, 通过所述 SSL隧道接收另外一个私网的地址分配信息， 所述 地址分配信息由所述另外一个私网中的 SSL VPN设备通过所述 SSL隧道传 输；

在本步骤中， 还包括通过所述 SSL隧道请求另外一个私网的地址分配信 息的步骤。

步骤 303 ,保存所述地址分配信息， 以及所述地址分配信息与传输该分配 信息的 SSL VPN设备的公网 IP地址的及与传输该分配信息的 SSL隧道的会 话 ID对应关系。

步骤 304,根据所述地址分配信息及所述对应关系， 将目的地址属于另外 一个私网的数据包转发至目的地址所属私网的 SSL VPN设备。

如图 4所示， 本步骤具体包括：

步骤 401 , 接收目的地址为另外一个私网终端的 IP数据包。

由于目的地址为另外一个私网终端， 因此该 IP数据包将首先发往本私网 的 SSL VPN设备。 步骤 402, 根据该 IP数据包的目的地址所属网段确定另外一个私网对应 的地址分配信息。

本私网的 SSL VNP设备在接收到该 IP数据包后，对目的地址所属的网段 进行判断， 从而确定该 IP数据包应发往的私网对应的地址分配信息。

步骤 403 , 根据所述地址分配信息查询所述对应关系， 确定与公网 IP地 址对应的传输该地址分配信息的 SSL VPN设备， 以及与会话 ID对应的 SSL 隧道。

通过查询对应关系中， 所述地址分配信息与传输该地址分配信息的 SSL VPN设备的公网 IP地址的对应关系及所述地址分配信息与传输该地址分配信 息的 SSL隧道的会话 ID的对应关系，确定该 IP数据包要发往的 SSL VPN设 备及要通过的 SSL隧道。

在确定与会话 ID对应的 SSL隧道步骤中， 如图 5所示， 具体包括： 步骤 501 , 根据会话 ID查询 SSL隧道的状态；

步骤 502, 判断 SSL隧道是否失效？

步骤 503 , 如果 SSL隧道可用， 则确定该 SSL隧道为与会话 ID对应的 SSL隧道；

步骤 504, 如果 SSL隧道失效， 则根据会话 ID向所述确定的 SSL VPN 设备请求恢复该 SSL隧道；

步骤 505, 判断 SSL隧道是否恢复成功？

步骤 506,如果恢复成功，确定该恢复的 SSL隧道为与会话 ID对应的 SSL 隧道；

步骤 507,如果恢复失败，则由本私网的 SSL VPN设备向所述确定的 SSL VPN设备请求建立新隧道， 并用一个新的会话 ID唯一标识新建立的 SSL隧 道， 替换保存的会话 ID, 由新的会话 ID确定新建立的 SSL隧道。

通过以上步骤， 能够确保查询得到一条有效的 SSL隧道， 然后封装所述 IP数据包后通过以上步骤确定的所述 SSL隧道转发至所述 SSL VPN设备，实 现 S SL VPN设备之间的数据转发。

SSL VPN设备之间通过在公网中建立 SSL隧道进行数据传输时， 为保证 数据传输的安全性，需要对 IP数据包进行封装和解封装。这个过程具体包括： 认证用户和服务器， 以确保数据发送到正确的客户机和服务器； 加密数据以 防止数据中途被窃取； 维护数据的完整性， 确保数据在传输过程中不被改变。

在目的地址所属私网的 SSL VPN设备通过 SSL隧道接收到由其他私网的 SSL VPN设备转发的数据包后， 解封装得到 IP数据包； 判断该 IP数据包的 目的地址所属的网段与本私网的网段是否属于同一网段， 如果是， 则重新封 装该 IP数据包二层报头后向内网中的该目的地址转发该数据包； 如果否， 则 再由本私网的 SSL VPN设备查找保存的其他私网的地址分配信息及对应关 系，并将目的地址属于另外一个私网的数据包转发至目的地址所属私网的 SSL VPN设备。

对于目的地址终端响应源地址终端的数据包， 则以源终端的地址为目的 地址， 本目的地址作为源地址， 其数据转发过程同于步骤 304。

对于存在多个私网和多个 SSL VPN设备的情况， 每两个私网内的终端使 用私网地址进行通信的步骤都同于步骤 304。

实施例四

在本发明实施例三提供的实现私网之间转发数据的方法的基石出上，如图 6 所示， 本发明实施例四提供了一种实现私网之间转发数据的系统， 包括两个 或两个以上私网，所述每个私网分别通过分配有公网 IP地址的 SSL VPN设备 接入到公网， 所述每个 SSL VPN设备包括：

SSL隧道建立单元 601 , 用于与另外一个私网的 SSL VPN设备之间建立 SSL隧道；

所述 SSL隧道对应一个会话 ID,会话 ID用于唯一标识建立的 SSL连接。 在 SSL VPN设备可能存在多个 SSL连接、建立多个 SSL隧道的情况下，会话 ID用以确定 SSL VPN设备间通过公网转发数据时使用哪个 SSL隧道传输。 地址分配信息接收单元 602, 用于通过所述 SSL隧道接收另外一个私网 的地址分配信息， 所述地址分配信息由所述另外一个私网中的 SSL VPN设备 通过所述 SSL隧道传输。

保存单元 603 , 用于保存所述地址分配信息， 以及所述地址分配信息与传 输该分配信息的 SSL VPN设备的公网 IP地址及与传输该分配信息的 SSL隧 道的会话 ID的对应关系。

数据包转发单元 604, 用于根据所述地址分配信息及所述对应关系， 将目 的地址属于另外一个私网的数据包转发至目的地址所属私网的 SSL VPN设 备。

其中， 如图 7所示， 所述数据包转发单元 604具体包括：

数据包接收模块 701 , 用于接收目的地址为另外一个私网终端的 IP数据 包；

地址分配信息确定模块 702, 用于根据该 IP数据包的目的地址所属网段 确定另外一个私网对应的地址分配信息；

对应关系确定模块 703 , 用于根据所述地址分配信息查询所述对应关系， 确定与公网 IP地址对应的传输该地址分配信息的 SSL VPN设备，以及与会话 ID对应的 SSL隧道。

所述对应关系确定模块 703 , 具体包括：

SSL VPN设备确定子模块 7032, 用于根据所述地址分配信息查询所述对 应关系， 确定与公网 IP地址对应的传输该地址分配信息的 SSL VPN设备；

SSL隧道确定子模块 7034, 用于根据所述地址分配信息查询所述对应关 系， 确定与会话 ID对应的 SSL隧道， 该子模块 7034首先根据会话 ID查询 SSL隧道的状态， 如果 SSL隧道可用， 则确定该 SSL隧道为与会话 ID对应 的 SSL隧道； 如果 SSL隧道失效， 则根据会话 ID向所述确定的 SSL VPN设 备请求恢复该 SSL隧道， 确定该恢复的 SSL隧道为与会话 ID对应的 SSL隧 道； 如果恢复失败， 则由本私网的 SSL VPN设备向所述确定的 SSL VPN设备 请求建立新隧道， 并用一个新的会话 ID唯一标识新建立的 SSL隧道， 替换保 存的会话 ID, 由新的会话 ID确定新建立的 SSL隧道。

SSL隧道确定子模块 7034能够确保查询得到一条有效的 SSL隧道，然后 封装所述 IP数据包后通过以上步骤确定的所述 SSL隧道转发至所述 SSL VPN 设备， 实现 SSL VPN设备之间的数据转发。

数据包发送模块 704, 用于封装所述 IP数据包后通过所述 SSL隧道发送 至所述 SSL VPN设备。

由以上技术方案可知，通过与另外一个私网的 SSL VPN设备建立 SSL隧 道接收另外一个私网的地址分配信息， 并保存所述地址分配信息， 使得一个 私网的 SSL VPN设备拥有了另外一个私网私有地址的分配信息； 通过保存所 述地址分配信息与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输该 分配信息的 SSL隧道的会话 ID的对应关系，对于一个使用私网地址发往另外 一个私网终端的数据包， 通过所述地址分配信息查询该对应关系， 得到与公 网 IP地址对应的 SSL VPN设备以及与会话 ID对应的 SSL隧道， 从而能够将 该数据包转发至查询到的 SSL VPN设备， 从而解决了不同私网内的终端使用 私网地址进行安全通信的问题。

实施例五

下面以一个具体的实施例对本发明的技术方案进行说明， 如图 8 所示， 为本发明实施例五提供的一种实现私网之间通信的网络示意图：

在本实施例中， 整个机构网络内部使用 10.0.0.0/8的私网地址， 私网地址 统一分配 , 包括三个分支机构网络： A分支机构网络（简称 A网络）， 分配的 IP地址段为 10.1.0.0/16; B分支机构网络（简称 B网络 ), 分配的 IP地址段为 10.2.0.0/16; C分支机构网络 (简称 C网络）, 分配的地址段为 10.3.0.0/16。 各个分支机构网络与公共网络的边缘分别部署 SSL VPN设备， 设备具有可以 在公网路由的公网 IP地址： A网络中的 SSL VPN设备（简称 A设备）， 公网 IP地址为 20.1.1.10; B网络中的 SSL VPN设备 (简称 B设备）， 公网 IP地址 为 30.1.1.10; 和 C网络中的 SSL VPN设备（简称 C设备）， 公网 IP地址为 40.1.1.10。 各 SSL VPN设备之间建立 SSL隧道， 用于传输分支机构网络之间 的通信数据。

对于 A网络中一台 IP地址为 10.1.0.2/16的终端（简称 A终端 )需要和 B 网络中一台 IP地址为 10.2.0.2/16的终端 (简称 B终端 )通信， 需要经过以下 通信步骤：

1、 A网络中的 SSL VPN设备（ A设备）和 B网络中的 SSL VPN设备（B 设备）建立 SSL的点对点 （site-to-site ) 隧道， 并且该隧道唯一对应一个会话 ID;

2、 A设备通过 SSL隧道接收 B设备发送的 B网络的地址分配信息， 即 10.2.0.0/16, A设备记录该地址分配信息，并与该传输该分配信息的源地址（即 B设备的公网 IP地址 30.1.1.10 )以及传输该信息的 SSL隧道的会话 ID绑定， 保存 B网络的地址分配信息与 B设备的公网 IP地址及会话 ID的对应关系；

3、 B设备通过 SSL隧道接收 A设备发送的 A网络的地址分配信息， 即 10.1.0.0/16, B设备记录该地址分配信息，并与该传输该分配信息的源地址（即 A设备的公网 IP地址 20.1.1.10 )以及传输该信息的 SSL隧道的会话 ID绑定， 保存 A网络的地址分配信息与 A设备的公网 IP地址及会话 ID的对应关系； 其中步骤 2与步骤 3可以同时进行。

4、 A终端与 B终端通信， 由 A终端发出一个目的地址为 B终端地址 ( 10.2.0.2/16 )、 源地址为 A终端地址 ( 10.1.0.2/16 ) 的 IP数据包。 由于目的 地址不属于 A网络， 因此， 该数据包会发往 A设备；

5、 A设备得到该 IP数据包后，判断目的地址 10.2.0.2/16发现该目的地址 属于 10.2.0.0/16网段， 通过查询步骤 2保存的对应关系， 得知该网段对应公 网 IP地址为 30.1.1.10的 B设备， 并根据保存的对应关系中的会话 ID确定 A 设备与 B设备进行通信的 SSL隧道， 因此 A设备将该 IP数据包作为负载进 行封装后， 通过 A设备和 B设备之间的 SSL隧道传输至 B设备； 在根据保存的对应关系中的会话 ID确定 A设备与 B设备进行通信的 SSL 隧道中， 首先根据会话 ID查询 SSL隧道的状态， 如果 SSL隧道可用， 则确 定该 SSL隧道；如果 SSL隧道失效，则根据会话 ID向 B设备请求恢复该 SSL 隧道； 如果恢复失败， 则由 A设备向 B设备请求建立新隧道， 并用一个新的 会话 ID唯一标识新建立的 SSL隧道， 替换保存的会话 ID, 由新的会话 ID确 定新建立的 SSL隧道。

6、 B设备从 SSL连接中接收 A设备传输的数据包， 解封装得到 IP数据 包，判断目的地址 20.1.0.2所属的网段与本设备所连接的分支机构的网段属于 同一网段， 则重新封装该 IP数据包的二层报头后向内网转发数据包；

7、 B终端响应 A终端的数据包是以 A终端的地址（ 10.1.0.2 )为目的地 址， B 终端的地址（10.2.0.2 ) 为源地址， 因此响应数据包的传输过程与上述 步骤 4、 5、 6类似。

另外 A网和 C网、 B网和 C网内终端之间的通信步骤也和上述步骤一致。 可以理解的是， 以上对本发明所提供的一种共享私网地址分配信息的方 法和装置以及实现私网之间转发数据的方法和系统进行了详细介绍， 可广泛 应用在由地理或逻辑上隔离的多个分支机构网络组成、 各个分支机构的网络 使用统一分配的私网地址通过公共网络互连的整个机构网络中， 使得每个分 支机构内部终端使用分配的私网地址即可与其它分支机构网络内的终端进行 安全方便的通信。

最后需要说明的是， 本领域普通技术人员可以理解实现上述实施例方法 中的全部或部分流程， 是可以通过计算机程序来指令相关的硬件来完成， 所 述的程序可存储于一计算机可读取存储介质中， 该程序在执行时， 可包括如 上述各方法的实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、 只读 存储记忆体 ( ROM )或随机存储记忆体 ( RAM )等。

本发明实施例中的各功能单元可以集成在一个处理模块中， 也可以是各 个单元单独物理存在， 也可以两个或两个以上单元集成在一个模块中。 上述 集成的模块既可以采用硬件的形式实现， 也可以采用软件功能模块的形式实 现。 所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售 或使用时， 也可以存储在一个计算机可读取存储介质中。 上述提到的存储介 质可以是只读存储器， 磁盘或光盘等。

上述具体实施例并不用以限制本发明， 对于本技术领域的普通技术人员 来说， 凡在不脱离本发明原理的前提下， 所作的任何修改、 等同替换、 改进 等， 均应包含在本发明的保护范围之内。

Claims

权 利 要 求 书

1、 一种共享私网地址分配信息的方法， 包括以下步骤：

通过 SSL隧道接收另外一个私网的地址分配信息；

保存所述地址分配信息， 所述地址分配信息用于在接收到数据包时判断所 述数据包的目的地址是否属于所述另外一个私网。

2、 根据权利要求 1所述的共享私网地址分配信息的方法， 其特征在于， 所 述方法还包括步骤：

保存所述地址分配信息与传输该地址分配信息的 SSL VPN设备的公网 IP地 址及与传输该地址分配信息的 SSL隧道的会话 ID的对应关系。

3、 一种共享私网地址分配信息的装置， 其特征在于， 包括：

地址分配信息接收单元， 用于通过 SSL隧道接收另外一个私网的地址分配 信息；

地址分配信息保存单元， 用于保存所述地址分配信息接收单元接收的地址 分配信息， 所述地址分配信息用于在接收到数据包时判断所述数据包的目的地 址是否属于所述另外一个私网。

4、 根据权利要求 3所述的共享私网地址分配信息的装置， 其特征在于， 所 述装置还包括：

对应关系保存单元， 用于保存所述地址分配信息与传输该地址分配信息的 SSL VPN设备的公网 IP地址及与传输该地址分配信息的 SSL隧道的会话 ID的 对应关系。

5、 一种实现私网之间转发数据的方法， 包括以下步骤：

与另外一个私网的 SSL VPN设备之间建立 SSL隧道；

通过所述 SSL隧道接收另外一个私网的地址分配信息， 所述地址分配信息 由所述另外一个私网中的 SSL VPN设备通过所述 SSL隧道传输；

保存所述地址分配信息， 以及所述地址分配信息与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输该分配信息的 SSL隧道的会话 ID的对应关系； 根据所述地址分配信息及所述对应关系将目的地址属于另外一个私网的数 据包转发至目的地址所属私网的 SSL VPN设备。

6、 根据权利要求 5所述的实现私网之间转发数据的方法， 其特征在于， 根 据所述地址分配信息及所述对应关系将目的地址属于另外一个私网的数据包转 发至目的地址所属私网的 SSL VPN设备的步骤具体为：

接收目的地址为另外一个私网终端的 IP数据包；

根据该 IP数据包的目的地址所属网段确定另外一个私网对应的地址分配信 息；

根据所述地址分配信息查询所述对应关系， 确定与公网 IP地址对应的传输 该地址分配信息的 SSL VPN设备， 以及与会话 ID对应的 SSL隧道；

通过所述确定的 SSL隧道将所述 IP数据包封装后转发至所述确定的 SSL VPN设备。

7、 根据权利要求 6所述的实现私网之间转发数据的方法， 其特征在于， 所 述确定与会话 ID对应的 SSL隧道的步骤具体为：

根据会话 ID查询 SSL隧道的状态；

如果 SSL隧道可用， 则确定该 SSL隧道为与会话 ID对应的 SSL隧道； 如果 SSL隧道失效， 则根据会话 ID向所述确定的 SSL VPN设备请求恢复 该 SSL隧道， 确定该恢复的 SSL隧道为与会话 ID对应的 SSL隧道；

如果恢复失败，则由本私网的 SSL VPN设备向所述确定的 SSL VPN设备请 求建立新隧道， 并用一个新的会话 ID唯一标识新建立的 SSL隧道，替换保存的 会话 ID, 由新的会话 ID确定新建立的 S SL隧道。

8、 一种实现私网之间转发数据的系统， 其特征在于， 包括两个或两个以上 私网 , 所述每个私网分别通过分配有公网 IP地址的 SSL VPN设备接入到公网 , 所述每个 SSL VPN设备包括：

SSL隧道建立单元， 用于与另外一个私网的 SSL VPN设备之间建立 SSL隧 道； 地址分配信息接收单元， 用于通过所述 SSL隧道建立单元建立的 SSL隧道 接收另外一个私网的地址分配信息， 所述地址分配信息由所述另外一个私网中 的 SSL VPN设备通过所述 SSL隧道传输；

保存单元， 用于保存所述地址分配信息接收单元接收的地址分配信息， 以 及所述地址分配信息与传输该分配信息的 SSL VPN设备的公网 IP地址及与传输 该分配信息的 SSL隧道的会话 ID的对应关系；

数据包转发单元， 用于根据所述保存单元保存的地址分配信息及所述对应 关系将目的地址属于另外一个私网的数据包转发至目的地址所属私网的 SSL VPN设备。

9、 根据权利要求 8所述的实现私网之间转发数据的系统， 其特征在于， 所 述数据包转发单元具体包括：

数据包接收模块， 用于接收目的地址为另外一个私网终端的 IP数据包； 地址分配信息确定模块， 用于根据该 IP数据包的目的地址所属网段确定另 外一个私网对应的地址分配信息；

对应关系确定模块， 用于根据所述地址分配信息查询所述对应关系， 确定 与公网 IP地址对应的传输该地址分配信息的 SSL VPN设备， 以及与会话 ID对 应的 SSL隧道；

数据包发送模块， 用于通过所述确定的 SSL隧道将所述 IP数据包封装后转 发至所述确定的 SSL VPN设备。

10、 根据权利要求 9所述的实现私网之间转发数据的系统， 其特征在于， 所述对应关系确定模块进一步包括：

SSL VPN设备确定子模块，用于根据所述地址分配信息查询所述对应关系， 确定与公网 IP地址对应的传输该地址分配信息的 SSL VPN设备；

SSL 隧道确定子模块， 用于根据所述地址分配信息查询所述对应关系， 确 定与会话 ID对应的 SSL隧道， 所述 SSL隧道确定子模块首先根据会话 ID查询 SSL隧道的状态， 如果 SSL隧道可用， 则确定该 SSL隧道为与会话 ID对应的 SSL隧道； 如果 SSL隧道失效， 则根据会话 ID向所述确定的 SSL VPN设备请 求恢复该 SSL隧道， 确定该恢复的 SSL隧道为与会话 ID对应的 SSL隧道； 如 果恢复失败，则由本私网的 SSL VPN设备向所述确定的 SSL VPN设备请求建立 新隧道，并用一个新的会话 ID唯一标识新建立的 SSL隧道，替换保存的会话 ID, 由新的会话 ID确定新建立的 SSL隧道。