CN113347071A - 动态虚拟专用网络vpn建立方法、装置及设备 - Google Patents
动态虚拟专用网络vpn建立方法、装置及设备 Download PDFInfo
- Publication number
- CN113347071A CN113347071A CN202110552752.9A CN202110552752A CN113347071A CN 113347071 A CN113347071 A CN 113347071A CN 202110552752 A CN202110552752 A CN 202110552752A CN 113347071 A CN113347071 A CN 113347071A
- Authority
- CN
- China
- Prior art keywords
- vpn
- user plane
- protocol
- plane data
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书一个或多个实施例提供了一种动态虚拟专用网络VPN建立方法、装置及设备,其中,方法包括:向VPN用户侧的服务设备发送用户面数据加密层建立请求;接收服务设备返回的用户面数据加密层的建立完成通知消息;基于用户面数据加密层的建立完成通知消息,向服务设备发送用户面数据协议层建立请求;接收服务设备根据用户面数据协议层建立请求返回的用户面数据协议层的建立完成通知消息,基于用户面数据协议层的建立完成通知消息,确定网络设备与服务设备之间的VPN用户面隧道建立成功。通过本实施例,能够解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案的问题。
Description
技术领域
本文件涉及通信技术领域,尤其涉及一种动态虚拟专用网络VPN建立方法、装置及设备。
背景技术
随着互联网覆盖的普及和广泛,利用VPN(Virtual Private Network,动态虚拟专用网络)技术透过互联网服务构建企业虚拟私有网络早已不是一件新鲜事请。目前VPN网络主要包括VPN服务端路由器和VPN用户端路由器,VPN服务端路由器安装在企业总部,VPN用户端路由器安装在企业分部,企业分部内的各个用户终端通过VPN用户端路由器和VPN服务端路由器与企业总部内的各个用户终端进行通信,以及企业分部内的各个用户终端之间通过VPN用户端路由器和VPN服务端路由器进行通信。
可见,当前市场上的VPN建立方法都采用了用户端路由器到服务端路由器的“端到端VPN隧道”实现方法,能满足以企业总部为汇聚交换点的企业VPN网络建设需求。但是,目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高。
发明内容
本说明书实施例的目的是提供一种动态虚拟专用网络VPN建立方法、装置及设备,以解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高的问题。
为解决上述技术问题,本说明书一个或多个实施例是这样实现的:
第一方面,本说明书实施例提供一种动态虚拟专用网络VPN建立方法,应用于VPN用户侧的网络设备,包括:
向VPN用户侧的服务设备发送用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息;其中,所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立;
基于所述用户面数据加密层的建立完成通知消息,向所述服务设备发送用户面数据协议层建立请求;
接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息,基于所述用户面数据协议层的建立完成通知消息,确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
第二方面,本说明书实施例提供一种动态虚拟专用网络VPN建立方法,应用于VPN用户侧的服务设备,包括:
接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,认证通过后,建立所述用户面数据加密层,建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息;
接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
根据所述用户面数据协议层建立请求建立所述用户面数据协议层,建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息,所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
第三方面,本说明书实施例提供一种动态虚拟专用网络VPN建立方法,应用于VPN云服务器,包括:
接收VPN用户侧的网络设备发送的加密规则获取请求;
根据所述加密规则获取请求对所述网络设备进行认证,认证通过后,向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则;所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道;
接收所述网络设备发送的第一VPN控制面隧道建立请求,根据所述第一VPN控制面隧道建立请求,在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道;
接收所述服务设备发送的第二VPN控制面隧道建立请求,根据所述第二VPN控制面隧道建立请求,在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
第四方面,本说明书实施例提供一种动态虚拟专用网络VPN建立装置,应用于VPN用户侧的网络设备,包括:
第一发送单元,用于向VPN用户侧的服务设备发送用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第一接收单元,用于接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息;其中,所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立;
第二发送单元,用于基于所述用户面数据加密层的建立完成通知消息,向所述服务设备发送用户面数据协议层建立请求;
第二接收单元,用于接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息,基于所述用户面数据协议层的建立完成通知消息,确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
第五方面,本说明书实施例提供一种动态虚拟专用网络VPN建立装置,应用于VPN用户侧的服务设备,包括:
第三接收单元,用于接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第三发送单元,用于通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,认证通过后,建立所述用户面数据加密层,建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息;
第四接收单元,用于接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
第四发送单元,用于根据所述用户面数据协议层建立请求建立所述用户面数据协议层,建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息,所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
第六方面,本说明书实施例提供一种动态虚拟专用网络VPN建立装置,应用于VPN云服务器,包括:
第五接收单元,用于接收VPN用户侧的网络设备发送的加密规则获取请求;
第五发送单元,用于根据所述加密规则获取请求对所述网络设备进行认证,认证通过后,向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则;所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道;
第六接收单元,用于接收所述网络设备发送的第一VPN控制面隧道建立请求,根据所述第一VPN控制面隧道建立请求,在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道;
第七接收单元,用于接收所述服务设备发送的第二VPN控制面隧道建立请求,根据所述第二VPN控制面隧道建立请求,在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
第七方面,本说明书实施例提供一种动态虚拟专用网络VPN建立设备,包括:处理器,以及被安排成存储计算机可执行指令的存储器;所述计算机可执行指令在被执行时使所述处理器实现上述第一方面所述的方法的步骤,或者,实现上述第二方面所述的方法的步骤,或者,实现上述第三方面所述的方法的步骤。
第八方面,本说明书实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面所述的方法的步骤,或者,实现上述第二方面所述的方法的步骤,或者,实现上述第三方面所述的方法的步骤。
本说明书一实施例提供的动态虚拟专用网络VPN建立方法、装置及设备,应用于VPN用户侧的网络设备、VPN用户侧的服务设备和VPN云服务器,其中,网络设备和云服务器之间能够建立第一VPN控制面隧道,服务设备和云服务器之间能够建立第二VPN控制面隧道,网络设备和服务设备之间能够基于用户面数据加密层和用户面数据协议层建立VPN用户面隧道,并且,网络设备对应的VPN数据加密规则由VPN云服务器为网络设备动态配置。可见,本实施例中的建立的VPN具有云服务器、用户侧的网络设备、用户侧的服务设备三端,相比于现有技术中的端到端的VPN隧道,由于引入云服务器端分配网络设备对应的VPN数据加密规则,因此通过软件式的架构,能够实现多个网络设备到多个服务设备、多个网络设备与云之间、多个服务设备与云的多宿主混合组网方案,建立的VPN能够应用在工业物联网及混合云服务等场景,如智慧城市、智能制造等场景,实现这些场景下的VPN通信,降低VPN运营成本,解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高的问题。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一实施例提供的现有技术中的VPN网络的架构示意图;
图2为本说明书一实施例提供的基于dynVPN构建的企业虚拟私有网络的网络架构示意图;
图3为本说明书一实施例提供的dynVPN的逻辑信道示意图;
图4为本说明书一实施例提供的VPN建立方法的流程示意图;
图5为本说明书又一实施例提供的VPN建立方法的流程示意图;
图6为本说明书又一实施例提供的VPN建立方法的流程示意图;
图7a为本说明书一实施例提供的dynVPN控制面的协议栈示意图;
图7b为本说明书一实施例提供的dynVPN控制面的协议栈示意图;
图7c为本说明书一实施例提供的dynVPN用户面的协议栈示意图;
图8为本说明书一实施例提供的VPN网络建立流程示意图;
图9a为本说明书一实施例提供的基于GTP协议的dynVPN控制面的协议栈示意图;
图9b为本说明书一实施例提供的基于GTP协议的dynVPN控制面的协议栈示意图;
图9c为本说明书一实施例提供的基于GTP协议的dynVPN用户面的协议栈示意图;
图9d为本说明书一实施例提供的基于GTP协议的数据包格式示意图;
图10a为本说明书一实施例提供的基于SCTP协议的dynVPN控制面的协议栈示意图;
图10b为本说明书一实施例提供的基于SCTP协议的dynVPN控制面的协议栈示意图;
图10c为本说明书一实施例提供的基于SCTP协议的dynVPN用户面的协议栈示意图;
图10d为本说明书一实施例提供的基于SCTP协议的数据包格式示意图;
图11为本说明书一实施例提供的dynVPN用于构建一种多宿主企业虚拟私有网络100的应用场景示意图;
图12为本说明书一实施例提供的dynVPN用于构建一种软件定义工业物联网(SD-IoT)100的应用场景示意图;
图13为本说明书一实施例提供的dynVPN的另一种应用场景示意图;
图14为本说明书又一实施例提供的VPN建立流程示意图;
图15为本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图;
图16为本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图;
图17本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图;
图18为本说明书一实施例提供的动态虚拟专用网络VPN建立设备的结构组成示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一个或多个一部分实施例,而不是全部的实施例。基于本说明书一个或多个中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
需要说明的是,在不冲突的情况下,本说明书中的一个或多个实施例以及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本说明书一个或多个实施例。
图1为本说明书一实施例提供的现有技术中的VPN网络的架构示意图,如图1所示,目前的VPN网络通常由两大基本网络设备构成:VPN服务端路由器和VPN用户端路由器。VPN服务端路由器安装在企业总部,VPN用户端路由器安装在企业分部。各个企业分部通过VPN用户路由器经过互联网和企业总部VPN服务端路由器构建企业虚拟私有网络,使得企业分部的私网和企业总部的私网联为一体,犹如所有企业分部和企业总部工作在同一个企业园区之中。企业VPN网络从逻辑上讲是一种星形网络,企业总部是这个星形网络的汇聚交换节点,即图1所示网络中,企业私网分部1中的用户终端和企业私网分部2中的用户终端之间不能通过互联网直接交换数据,而必须通过企业总部内部网络才能做到。在图1中,企业分部1或者企业分部2中的用户终端也可以通过VPN网络与企业总部中的用户终端进行通信。
由图1所示的现有技术可知,当前市场上的VPN方法都采用了用户端路由器到服务端路由器的“端到端VPN隧道”实现方法,能满足以企业总部为汇聚交换点的企业虚拟私有网络建设需求,逻辑架构为星形网络。但是,目前的VPN技术不能支持“多端到多端、多端到云”的多宿主混合组网方案,其中,多端到多端指的是多个用户端路由器到多个服务端路由器,多端到云指的是多个用户端路由器到云或者多个服务端路由器到云。目前已有的VPN方法在工业物联网及混合云服务等场景中的应用,如智慧城市,智能制造,严重受到限制,运营服务成本较高。
为了加速VPN技术在工业物联网中的应用,更好地满足云计算和边缘计算技术带来的分布式IT网络发展需要,本说明书以下实施例提供一种动态虚拟专用网络VPN建立方法,基于该方法建立的VPN又可以称之为dynVPN。
图2为本说明书一实施例提供的基于dynVPN构建的企业虚拟私有网络的网络架构示意图,如图2所示,该图2中,dynVPN包括三大核心元素:dynVPN用户端102,dynVPN服务端103及dynVPN云服务(SDN控制器)120。dynVPN用户端102下文称之为VPN用户侧的网络设备,dynVPN用户端102在实际应用中可以实现为安装在企业分部的路由器。dynVPN服务端103下文称之为VPN用户侧的服务设备,dynVPN服务端103在实际应用中可以实现为安装在企业总部的服务器。dynVPN云服务120具体为一种SDN控制器,dynVPN云服务120下文称之为VPN云服务器,dynVPN云服务120是部署在云上的服务器。SDN一般指软件定义网络SoftwareDefined Network。
在网络物理层,dynVPN用户端102通过网络接口107与承载网络101连接,dynVPN服务端103通过网络接口108与承载网络101连接,dynVPN云服务120通过网络接口111与承载网络101连接。进一步地,企业总部局域网105通过网络接口110与dynVPN服务端103连接,企业分部局域网104通过网络接口109与dynVPN用户端102连接,从而构建一个完整的dynVPN企业虚拟私有网络100。
在一种情况下,在同一个dynVPN云服务120的管理和控制之下,每个dynVPN服务端103可以拥有一个云服务账户,透过完全独立的云服务账户,一个dynVPN服务端103可以和任意一个或多个dynVPN用户端102通信,一个dynVPN用户端102也可以与一个或多个dynVPN服务端103通信,每个dynVPN服务端103可以和与其通信的dynVPN用户端102一起构建一个独立的企业VPN网络112,一个dynVPN企业虚拟私有网络100可以包含多个独立的企业VPN网络112。
如图2所示,在dynVPN用户端102和dynVPN服务端103之间构建有dynVPN隧道106,dynVPN隧道106下文称为VPN用户面隧道。dynVPN云服务120至少具有dynVPN企业虚拟私网100的SDN控制器功能。dynVPN用户端102与dynVPN云服务120建立dynVPN控制面121,该dynVPN控制面121提供了dynVPN云服务120与dynVPN用户端102之间的控制信息通信通道,dynVPN控制面121下文称为第一VPN控制面隧道。同理,dynVPN服务端103与dynVPN云服务120建立dynVPN控制面122,该dynVPN控制面122提供了dynVPN云服务120与dynVPN服务端103之间的控制信息通信通道,dynVPN控制面122下文称为第二VPN控制面隧道。
图3为本说明书一实施例提供的dynVPN的逻辑信道示意图,如图3所示,本实施例中的dynVPN是一种基于UDP(User Datagram Protocol,用户数据报协议)或TCP(Transmission Control Protocol,传输控制协议)传输层隧道构建的虚拟网络,dynVPN的控制面和dynVPN的用户面完全独立,各自拥有自己的传输层连接,可采用UDP或TCP协议。从用户面看,dynVPN隧道106起于dynVPN用户端102,终于dynVPN服务端103,dynVPN用户面可以采用UDP协议传输。dynVPN更多地采用了软件定义网络(SDN)的理念,dynVPN用户端102、dynVPN服务端103及dynVPN云服务120通过承载网络101连接,并在逻辑上相互关联,建立必要的控制面和用户面连接。dynVPN可以拥有多条控制面通道,dynVPN控制面通道的数量与dynVPN网络的端点数相关,该端点数指的是用户端和服务端的数量。所有的dynVPN控制面都由dynVPN云服务控制和管理。
如图3所示,dynVPN控制面根据使用TCP、UPD传输协议的不同,dynVPN控制面121、dynVPN控制面122相应选择标准的TLS或DTLS传输层加密体系建立DTLS(DatagramTransport Layer Security,数据包传输层安全性协议)或TLS(Transport LayerSecurity,安全传输层协议)隧道204、205。如图3所示,一个dynVPN用户端102和一个dynVPN服务端103之间构成的用户面202可以拥有至少一条dynVPN隧道106。事实上,根据该dynVPN用户端102和该dynVPN服务端103之间的业务需要,它们可通过dynVPN云服务120认证、授权建立另一条dynVPN隧道208等等。
图4为本说明书一实施例提供的VPN建立方法的流程示意图,该方法应用于VPN用户侧的网络设备,即上述的dynVPN用户端102,如图4所示,该方法包括以下流程:
步骤S402,向VPN用户侧的服务设备(即上述的dynVPN服务端103)发送用户面数据加密层建立请求;其中,用户面数据加密层建立请求中携带有网络设备所连接的用户设备的设备信息和网络设备对应的VPN数据加密规则,VPN数据加密规则由VPN云服务器(即上述的dynVPN云服务120)为网络设备动态配置;
步骤S404,接收服务设备根据用户面数据加密层建立请求返回的用户面数据加密层的建立完成通知消息;其中,用户面数据加密层由服务设备通过VPN云服务器对设备信息和VPN数据加密规则认证通过后建立;
步骤S406,基于用户面数据加密层的建立完成通知消息,向服务设备发送用户面数据协议层建立请求;
步骤S408,接收服务设备根据用户面数据协议层建立请求返回的用户面数据协议层的建立完成通知消息,基于用户面数据协议层的建立完成通知消息,确定网络设备与服务设备之间的VPN用户面隧道建立成功。
本实施例中的建立的VPN具有云服务器、用户侧的网络设备、用户侧的服务设备三端,相比于现有技术中的端到端的VPN隧道,由于引入云服务器端分配网络设备对应的VPN数据加密规则,因此通过软件式的架构,能够实现多个网络设备到多个服务设备、多个网络设备与云之间、多个服务设备与云的多宿主混合组网方案,建立的VPN能够应用在工业物联网及混合云服务等场景,如智慧城市、智能制造等场景,实现这些场景下的VPN通信,降低VPN运营成本,解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高的问题。
上述步骤S402中,网络设备向服务设备发送用户面数据加密层建立请求,该请求用于请求在网络设备和服务设备之间建立用户面数据加密层,该请求中携带有网络设备所连接的用户设备如电脑等设备的设备信息,该电脑等设备可以位于企业分部,该电脑等设备与网络设备连接后,通过建立的VPN网络与企业总部内的电脑或其他用户设备进行通信。设备信息可以包括设备标识、IP(Internet Protocol,网际互连协议)地址等信息。该请求还携带有网络设备对应的VPN数据加密规则,该VPN数据加密规则包括加密算法索引、加密秘钥等信息,该VPN数据加密规则由云服务器预先为网络设备配置并发送至网络设备,该VPN数据加密规则用于对网络设备传输至服务设备的数据进行加密。
服务设备接收到用户面数据加密层建立请求后,通过VPN云服务器对设备信息和VPN数据加密规则进行认证,具体认证过程为:服务设备将设备信息和VPN数据加密规则发送至VPN云服务器,由VPN云服务器判断设备信息对应的设备是否为预先登记注册过的合法设备,由VPN云服务器判断VPN数据加密规则是否为预先分配的正确的数据加密规则,若均是,则确认认证通过,若有任一判断结果为否,则确认认证未通过。在认证通过后,VPN云服务器向服务设备下发认证通过通知消息,服务设备接收到该认证通过通知消息后,建立用户面数据加密层,并向网络设备发送用户面数据加密层的建立完成通知消息,从而表示服务设备与网络设备之间的用户面数据加密层建立完成。
上述步骤S404中,网络设备接收服务设备根据用户面数据加密层建立请求返回的用户面数据加密层的建立完成通知消息,从而确认服务设备与网络设备之间的用户面数据加密层建立完成。
上述步骤S406中,网络设备基于用户面数据加密层的建立完成通知消息,向服务设备发送用户面数据协议层建立请求,从而请求在网络设备和服务设备之间建立用户面数据协议层。
由于之前服务设备已经通过云服务器对网络设备所连接的设备信息进行过认证,因此服务设备接收到用户面数据协议层建立请求后,可以直接在网络设备和服务设备之间建立用户面数据协议层,并在建立完成后向网路设备发送用户面数据协议层的建立完成通知消息。
上述步骤S408中,网络设备接收服务设备根据用户面数据协议层建立请求返回的用户面数据协议层的建立完成通知消息,基于用户面数据协议层的建立完成通知消息,确定网络设备与服务设备之间的VPN用户面隧道建立成功。
进一步地,本实施例中,网络设备在向服务设备发送用户面数据加密层建立请求之前,网络设备还向服务设备发送用户面数据基础层建立请求,服务设备接收到该请求后,在网络设备和服务设备之间建立用户面数据基础层,并在建立完成后向网络设备返回用户面数据基础层的建立完成通知消息,网络设备接收服务设备根据用户面数据基础层建立请求返回的用户面数据基础层的建立完成通知消息,从而确定网络设备和服务设备之间的用户面数据基础层建立完成。
进一步地,本实施例中,网络设备在向服务设备发送用户面数据基础层建立请求之前,还向VPN云服务器发送加密规则获取请求,VPN云服务器接收到加密规则获取请求后,对网络设备进行认证,比如根据网络设备的标识判断网络设备是否为合法设备,认证通过后,为网络设备动态配置VPN数据加密规则,并将配置的加密规则发送至网络设备,从而,网络设备接收VPN云服务器根据加密规则获取请求对网络设备认证通过后返回的VPN数据加密规则,VPN数据加密规则包括加密秘钥和加密算法索引,VPN数据加密规则用于对网络设备和服务设备之间传输的数据进行加密。
由于网络设备和服务设备从云服务器获取VPN用户面隧道相关的加密密钥等信息,并不依赖于用户面的存在性,因此,VPN用户面隧道(即dynVPN隧道)建立可以灵活采用各种加密算法,例如公开密钥AES或简单的基于CHAP的MD5算法。dynVPN系统正真实现了加密算法和VPN业务的灵活匹配,最小化VPN实现成本。本实施例中的数据完整性校验算法包括MD5、RSA等算法。
进一步地,本实施例中,网络设备在向VPN云服务器发送加密规则获取请求之前,还向VPN云服务器发送第一VPN控制面隧道建立请求,VPN云服务器接收到第一VPN控制面隧道建立请求后,在网络设备和VPN云服务器之间建立第一VPN控制面隧道,建立完成后,向网络设备返回第一VPN控制面隧道建立完成通知消息,相应地,网络设备接收VPN云服务器根据第一VPN控制面隧道建立请求返回的第一VPN控制面隧道建立完成通知消息,确定第一VPN控制面隧道建立成功。其中,第一VPN控制面隧道包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层。
根据以上描述可知,对于第一VPN控制面隧道,其依次包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层,第一控制面数据基础层在最下,其上是第一控制面数据加密层,再上是第一控制面数据协议层。对于VPN用户面隧道,其依次包括后建立的用户面数据基础层、用户面数据加密层和用户面数据协议层,用户面数据基础层在最下,其上是用户面数据加密层,再上是用户面数据协议层。
在一个实施例中,用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP(Stream Control Transmission Protocol,流控制传输协议)协议。用户面数据加密层所使用的数据加密算法包括AES算法,如AES128、AES256等。用户面数据协议层使用的数据传输协议包括GTP-U协议。GTP指的是GPRS隧道协议(GPRSTunnelingProtocol)。
在一个实施例中,第一控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。第一控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议。第一控制面数据协议层使用的数据传输协议包括GTP-C协议。
在一个实施例中,网络设备能够与多个服务设备之间建立VPN用户面隧道,且,网络设备与同一服务设备之间建立的VPN用户面隧道的数量可以为多个。
图5为本说明书又一实施例提供的VPN建立方法的流程示意图,该方法应用于VPN用户侧的服务设备,即上述的dynVPN服务端,如图5所示,该方法包括以下流程:
步骤S502,接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,用户面数据加密层建立请求中携带有网络设备所连接的用户设备的设备信息和网络设备对应的VPN数据加密规则,VPN数据加密规则由VPN云服务器为网络设备动态配置;
步骤S504,通过VPN云服务器对设备信息和VPN数据加密规则进行认证,认证通过后,建立用户面数据加密层,建立完成后向网络设备返回用户面数据加密层的建立完成通知消息;
步骤S506,接收网络设备基于用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
步骤S508,根据用户面数据协议层建立请求建立用户面数据协议层,建立完成后向网络设备返回用户面数据协议层的建立完成通知消息,用户面数据协议层的建立完成通知消息用于网络设备确定网络设备与服务设备之间的VPN用户面隧道建立成功。
本实施例中的建立的VPN具有云服务器、用户侧的网络设备、用户侧的服务设备三端,相比于现有技术中的端到端的VPN隧道,由于引入云服务器端分配网络设备对应的VPN数据加密规则,因此通过软件式的架构,能够实现多个网络设备到多个服务设备、多个网络设备与云之间、多个服务设备与云的多宿主混合组网方案,建立的VPN能够应用在工业物联网及混合云服务等场景,如智慧城市、智能制造等场景,实现这些场景下的VPN通信,降低VPN运营成本,解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高的问题。
关于步骤S502-步骤S506的过程,可以参考前面针对图4中的流程的描述,这里不再重复。
在一个实施例中,服务设备在接收VPN用户侧的网络设备发送的用户面数据加密层建立请求之前,接收网络设备发送的用户面数据基础层建立请求,服务设备根据用户面数据基础层建立请求建立用户面数据基础层,建立完成后向网络设备返回用户面数据基础层的建立完成通知消息。
在一个实施例中,服务设备在接收网络设备发送的用户面数据基础层建立请求之前,接收VPN云服务器下发的VPN数据加密规则。具体地,网络设备在向服务设备发送用户面数据基础层建立请求之前,向VPN云服务器发送加密规则获取请求,VPN云服务器基于该加密规则获取请求,向网络设备和服务设备分别发送VPN数据加密规则。
上述步骤S504中,通过VPN云服务器对设备信息和VPN数据加密规则进行认证,包括:将设备信息发送至VPN云服务器,以通过VPN云服务器对设备信息进行认证,根据VPN云服务器下发的VPN数据加密规则,对用户面数据加密层建立请求中的VPN数据加密规则进行认证。具体地,将设备信息发送至VPN云服务器,VPN云服务器根据该设备信息,判断用户设备是否为预先注册过的设备,若是,则确定认证通过,若否,则确定认证不通过。服务设备判断VPN云服务器下发的VPN数据加密规则和用户面数据加密层建立请求中的VPN数据加密规则是否相同,若相同,确定对用户面数据加密层建立请求中的VPN数据加密规则认证通过,若不用,则确定认证不通过。
在一个实施例中,服务设备在接收VPN云服务器下发的VPN数据加密规则之前,向VPN云服务器发送第二VPN控制面隧道建立请求,VPN云服务器接收到第二VPN控制面隧道建立请求后,在网络设备和VPN云服务器之间建立第二VPN控制面隧道,建立完成后,向网络设备返回第二VPN控制面隧道建立完成通知消息,相应地,网络设备接收VPN云服务器根据第二VPN控制面隧道建立请求返回的第二VPN控制面隧道建立完成通知消息,确定第二VPN控制面隧道建立成功。其中,第二VPN控制面隧道包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第二控制面数据协议层。
根据以上描述可知,对于第二VPN控制面隧道,其依次包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第一控制面数据协议层,第二控制面数据基础层在最下,其上是第二控制面数据加密层,再上是第二控制面数据协议层。对于VPN用户面隧道,其依次包括后建立的用户面数据基础层、用户面数据加密层和用户面数据协议层,用户面数据基础层在最下,其上是用户面数据加密层,再上是用户面数据协议层。
在一个实施例中,用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。用户面数据加密层所使用的数据加密算法包括AES算法,如AES128、AES256等。用户面数据协议层使用的数据传输协议包括GTP-U协议。
在一个实施例中,第二控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。第二控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议。第二控制面数据协议层使用的数据传输协议包括GTP-C协议。
在一个实施例中,服务设备能够与多个网络设备之间建立VPN用户面隧道,且,服务设备与同一网络设备之间建立的VPN用户面隧道的数量可以为多个。
图6为本说明书又一实施例提供的VPN建立方法的流程示意图,该方法应用于VPN云服务器侧,即上述的dynVPN云服务,如图6所示,该方法包括以下流程:
步骤S602,接收VPN用户侧的网络设备发送的加密规则获取请求;
步骤S604,根据加密规则获取请求对网络设备进行认证,认证通过后,向网络设备和VPN用户侧的服务设备动态分配并发送网络设备对应的VPN数据加密规则;VPN数据加密规则用于在网络设备与服务设备之间建立VPN用户面隧道;
步骤S606,接收网络设备发送的第一VPN控制面隧道建立请求,根据第一VPN控制面隧道建立请求,在网络设备与VPN云服务器之间建立第一VPN控制面隧道;
步骤S608,接收服务设备发送的第二VPN控制面隧道建立请求,根据第二VPN控制面隧道建立请求,在服务设备与VPN云服务器之间建立第二VPN控制面隧道。
本实施例中的建立的VPN具有云服务器、用户侧的网络设备、用户侧的服务设备三端,相比于现有技术中的端到端的VPN隧道,由于引入云服务器端分配网络设备对应的VPN数据加密规则,因此通过软件式的架构,能够实现多个网络设备到多个服务设备、多个网络设备与云之间、多个服务设备与云的多宿主混合组网方案,建立的VPN能够应用在工业物联网及混合云服务等场景,如智慧城市、智能制造等场景,实现这些场景下的VPN通信,降低VPN运营成本,解决目前的VPN建立方法不能支持“多端到多端,多端与云之间”的多宿主混合组网方案,导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用,如智慧城市、智能制造等场景严重受到限制,运营服务成本较高的问题。
上述步骤S602中,VPN云服务器接收网络设备发送的加密规则获取请求。上述步骤S604中,VPN云服务器对网络设备进行认证,判断网络设备是否为预先注册的合法设备,若是,则确定认证通过,向网络设备和VPN用户侧的服务设备动态分配并发送网络设备对应的VPN数据加密规则。VPN数据加密规则用于在网络设备与服务设备之间建立VPN用户面隧道,对网络设备与服务设备之间基于VPN隧道传输的数据进行加密。VPN数据加密规则包括加密算法索引和加密秘钥。
上述步骤S606中,VPN云服务器接收网络设备发送的第一VPN控制面隧道建立请求,根据第一VPN控制面隧道建立请求,在网络设备与VPN云服务器之间建立第一VPN控制面隧道。上述步骤S608中,VPN云服务器接收服务设备发送的第二VPN控制面隧道建立请求,根据第二VPN控制面隧道建立请求,在服务设备与VPN云服务器之间建立第二VPN控制面隧道。第一和第二VPN控制面隧道的具体结构可以参考前面的描述。
在一个实施例中,VPN用户面隧道包括先后建立的用户面数据基础层、用户面数据加密层和用户面数据协议层。第一VPN控制面隧道包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层。第二VPN控制面隧道包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第二控制面数据协议层。
在一个实施例中,用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。用户面数据加密层所使用的数据加密算法包括AES算法,如AES128、AES256等。用户面数据协议层使用的数据传输协议包括GTP-U协议。
在一个实施例中,第一控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。第一控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议。第一控制面数据协议层使用的数据传输协议包括GTP-C协议。
在一个实施例中,第二控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议。第二控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议。第二控制面数据协议层使用的数据传输协议包括GTP-C协议。
在一个实施例中,服务设备能够与多个网络设备之间建立VPN用户面隧道,且,与同一网络设备之间建立的VPN用户面隧道的数量可以为多个。网络设备能够与多个服务设备之间建立VPN用户面隧道,且,与同一服务设备之间建立的VPN用户面隧道的数量可以为多个。
图7a为本说明书一实施例提供的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第二控制面。具体地,图7a显示了dynVPN云服务120与dynVPN服务端103之间的控制面协议栈。该协议栈建立在DTLS或TLS之上,由可靠控制协议层208、202及dynVPN控制消息层126、125构成。当加密传输隧道205透过UDP传输协议实现时,可靠控制协议208、202设计有内嵌的发送应答反馈机制,确保dynVPN控制消息126、125能在可靠控制协议208、202帮助下安全可靠地通过采用DTLS协议的加密传输隧道205传送到对方。当加密传输隧道205透过TCP这样的具有可靠控制机制的传输协议实现时,可靠控制协议层208、202没有内嵌的发送应答反馈机制。dynVPN控制消息126、125通过可靠控制协议层208、202进行协议匹配后送至TLS安全加密传输隧道205传送至对方。dynVPN服务端103通过协商好的dynVPN加密传输通道205向dynVPN云服务120获取与dynVPN用户面相关的安全加密信息。图7a中DTLS或TLS即为前述的第二控制面数据加密层,可靠控制协议层208、202即为前述的第二控制面数据协议层。
图7b为本说明书一实施例提供的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第一控制面。具体地,图7b描述了dynVPN云服务120与dynVPN用户端102之间的控制面协议栈。基本工作原理和图7a描述类同。图7b中DTLS或TLS即为前述的第一控制面数据加密层,可靠控制协议层201、202即为前述的第一控制面数据协议层。
图7c为本说明书一实施例提供的dynVPN用户面的协议栈示意图,图7c描述了dynVPN用户端102和dynVPN服务端103之间的用户面协议栈。由于dynVPN用户面202采用了标准的UDP传输层隧道203,用户面安全加密隧道端点301和302之间的加密协议可以采用多种相互约定,例如AES、SSL等。加密密钥约定过程通过dynVPN控制面121、122实现。图7c中UDP即为前述的用户面数据基础层,用户面安全加密隧道即为前述的用户面数据加密层,私有网络协议栈即为前述的用户面数据协议层。
图8为本说明书一实施例提供的VPN网络建立流程示意图,如图8所示,该流程包括:
A上述的第二VPN控制面隧道建立过程,包括:
A1建立第二控制面数据基础层UDP层,对应图中的步骤1和2;
A2建立第二控制面数据加密层DTLS层,对应图中的步骤3;
A3建立第二控制面数据协议层,对应图中的步骤4;
B上述的第一VPN控制面隧道建立过程,包括:
B1建立第一控制面数据基础层UDP层,对应图中的步骤5和6;
B2建立第一控制面数据加密层DTLS层,对应图中的步骤7;
B3建立第一控制面数据协议层,对应图中的步骤8;
C上述的VPN用户面隧道建立过程,包括:
C1建立用户面数据基础层,对应图中的步骤9-12;
C2建立用户面数据加密层和用户面数据协议层,对应图中的步骤13-15。
图9a为本说明书一实施例提供的基于GTP协议的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第二控制面。图9b为本说明书一实施例提供的基于GTP协议的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第一控制面。GTP协议是3GPP移动网络标准协议的一部分,GTP协议的控制面定义为GTP-C,用户面定义为GTP-U。GTP协议运行在UDP传输层上。图9a及图9b描述了基于GTP协议的dynVPN控制面。在该协议栈中,UDP传输层采用标准的DTLS协议构建UDP加密传输隧道204、205。dynVPN控制消息124、125、126通过增加了可靠控制反馈功能的GTP-C协议嵌套在UDP加密传输隧道204、205中传输,从而构建dynVPN控制协议隧道206、207。
图9c为本说明书一实施例提供的基于GTP协议的dynVPN用户面的协议栈示意图,图9c描述了基于GTP协议的dynVPN用户面。在该协议栈中,dynVPN用户端102和dynVPN服务端103之间通过标准的UDP传输层构建UDP隧道203。在3GPP的GTP协议基础上,dynVPN引入了GTP-U加密过程,实现安全加密GTP-U隧道301、302为端点的dynVPN隧道106。该安全加密GTP-U隧道301、302的加密密钥有dynVPN控制面121、122协商指定,该安全加密隧道的秘钥可以是前面的AES、SSL。由于整个协议栈遵循3GPP的GTP隧道建立流程,因此,dynVPN用户面202可以在dynVPN控制面121、122的管理之下方便地在同一条UDP隧道203上建立多条独立的dynVPN隧道106,实现对不同用户数据流传输的QoS控制。
图9d为本说明书一实施例提供的基于GTP协议的数据包格式示意图,图9d描述在标准3GPP GTP用户面引入安全加密保护之后的安全加密GTP-U协议数据包格式。在该协议数据包中,引入ENCRYPTHeader协议数据块120。该协议数据块120处于UDPHeader和加密后的GTP-U协议数据块之间。ENCRYPT Header协议数据块120至少包含以下信息:用户设备和服务设备之间传输数据的加密算法,加密密钥ID,被加密GTP-U的TEID。
图10a为本说明书一实施例提供的基于SCTP协议的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第二控制面。图10b为本说明书一实施例提供的基于SCTP协议的dynVPN控制面的协议栈示意图,该dynVPN控制面可以为上述的第一控制面。与图9a和图9b描述的基于GTP协议实现方案相比,该方案采用了SCTP协议替代了UDP协议,利用了SCTP协议固有的可靠控制反馈机制,简化dynVPN的实现过程。图10a及图10b描述了基于SCTP协议的dynVPN控制面。在该协议栈中,SCTP传输层采用标准的DTLS协议构建SCTP加密传输隧道204、205。dynVPN控制消息124、125、126通过具有可靠控制反馈功能的SCTP协议嵌套在UDP加密传输隧道204、205中传输,从而构建dynVPN控制协议隧道206、207。
图10c为本说明书一实施例提供的基于SCTP协议的dynVPN用户面的协议栈示意图。在该协议栈中,dynVPN用户端102和dynVPN服务端103之间通过标准的SCTP传输层构建SCTP隧道203。在3GPP的GTP协议基础上,dynVPN引入了GTP-U加密过程,实现安全加密GTP-U隧道301、302为端点的dynVPN隧道106。该安全加密GTP-U隧道301、302的加密密钥如由AES、SSLdynVPN控制面121、122协商指定。
图10d为本说明书一实施例提供的基于SCTP协议的数据包格式示意图,如图10d所示,采用SCTP替代UDP,并通过DTLS加密隧道传输的协议栈数据包格式。由于SCTP本身具有可靠传输控制反馈机制,该实现方案比UDP方案更简单。ENCRYPT Header协议数据块120至少包含以下信息:用户设备和服务设备之间传输数据的加密算法,加密密钥ID,被加密GTP-U的TEID。
图11为本说明书一实施例提供的dynVPN用于构建一种多宿主企业虚拟私有网络100的应用场景示意图,如图11所示,在该场景中,dynVPN用户端102作为VPN用户端路由器,需要和企业总部105及企业IT冗灾数据中心205同时建立独立的dynVPN隧道106、206。dynVPN用户端102和dynVPN服务端103构成企业主要虚拟网络(dynVPN隧道106),dynVPN用户端102和dynVPN服务端203构成企业热备份虚拟网络(dynVPN隧道206)。在正常情况下,dynVPN用户端使用dynVPN隧道106。在非正常情况下,dynVPN用户端自动切换到dynVPN隧道206,与企业冗灾数据中心205保持正常工作状态。这种方案主要用于企业对虚拟私有网络可靠性要求比较高的场景。由于dynVPN隧道106与dynVPN隧道206之间的无缝切换完全由dynVPN云服务(SDN控制器)120负责,因而企业VPN网络222的整体性能好,安全可靠性高,运营成本低。
图12为本说明书一实施例提供的dynVPN用于构建一种软件定义工业物联网(SD-IoT)100的应用场景示意图,如图12所示,在该场景中,dynVPN用户端102作为工业物联网边缘网关(参见图3),需要和企业总部105及生产应用服务部205同时建立独立的dynVPN隧道106、206。生产车间IT局域网104,dynVPN用户端102和dynVPN服务端103构成企业IT虚拟网络(dynVPN隧道106),提供企业整体IT服务相关的业务,例如归于总部直接管理的ERP系统,企业内部电子邮件系统等。生产车间工业设备现场网络106,dynVPN用户端102和dynVPN服务端203构成企业软件定义工业物联网(dynVPN隧道206),提供智能制造,工业4.0相关的服务,例如企业生产执行MES系统等。在生产车间本地,生产车间IT局域网104和生产工业设备现场网络106物理上独立,dynVPN用户端102保持生产车间IT局域网104和企业总部105虚拟网络与生产车间工业业设备现场网络106和生产应用服务部205虚拟网络逻辑上独立。通常情况下,企业总部和生产园区不在同一地点,甚至在不同的工业管理环境中,例如外包代加工生产。这种网络独立虚拟化能力非常重要。由于dynVPN隧道106和dynVPN隧道206的建立过程完全由dynVPN云服务(SDN控制器)120负责,因而企业可重构工业物联网222的整体性能好,安全可靠性高,运营成本低。
图13为本说明书一实施例提供的dynVPN的另一种应用场景示意图,如图13所示,在该场景中,企业VPN网络222是一种多点到多点的MESH网络架构。该VPN网络222的配置、控制及日常运营管理完全通过dynVPN云服务120实现,整体上做到企业VPN网络222中的任何一台设备、任何一种智能传感器可以和任何一台企业服务器通过VPN互联互通。整体系统具有非常强大的优势:网络构建的灵活性(软件定义VPN网络)、网络传输的可靠性(支持多宿主冗余备份)、数据传输的安全性(VPN隧道安全加密保护)、日常运营的低成本(云端运营管理服务,智能化服务)、整体系统的可复制(在同一dynVPN云服务120之下,企业虚拟私网100为独立网络,高度可复制)。
图14为本说明书又一实施例提供的VPN建立流程示意图,该流程可以参考图14的描述,这里不再重复。
综上,本实施例中涉及的VPN建立方法以及动态dynVPN,具有以下技术优势:
(1)使用UDP隧道为最底层虚拟网络VPN传输隧道,dynVPN相关的其它隧道都建立在该UDP隧道之上;
(2)采用VPN控制面和VPN用户面分离,并使用不同的UDP隧道传输;
(3)打破传统VPN的端到端实现模式,dynVPN采用了VPN控制面云端化和VPN用户面端到端的软件定义网络(SDN)架构。
(4)设计了全新的dynVPN控制面协议盏,其核心在于基于标准的DLTS或TLS加密传输层之上建立可靠控制协议层,基于已有的国际标准协议,该层可以有多种具体实现方法(如3GPP标准的GTP-C协议)。
(5)设计了全新的dynVPN用户面协议盏,其核心在于基于标准的UDP传输层之上建立用户面安全加密隧,(dynVPN隧道),该隧道使用3GPP标准的GTP-U协议,引入安全加密机制。
(6)由于采用了SDN技术架构和VPN技术相结合,采用dynVPN实现的虚拟网络具有非常好的灵活性、安全性及低运营成本等特点。
(7)dynVPN通过dynVPN云服务实现控制和管理,实现VPN隧道的动态控制和构建,故名为dynamic VPN(dynVPN)。
图15为本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图,如图15所示,该装置应用于VPN用户侧的网络设备,包括:
第一发送单元1501,用于向VPN用户侧的服务设备发送用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第一接收单元1502,用于接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息;其中,所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立;
第二发送单元1503,用于基于所述用户面数据加密层的建立完成通知消息,向所述服务设备发送用户面数据协议层建立请求;
第二接收单元1504,用于接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息,基于所述用户面数据协议层的建立完成通知消息,确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
需要说明的是,本说明书中关于VPN建立装置的实施例与本说明书中关于VPN建立方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的方法的实施,重复之处不再赘述。
图16为本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图,如图16所示,该装置应用于VPN用户侧的服务设备,包括:
第三接收单元1601,用于接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第三发送单元1602,用于通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,认证通过后,建立所述用户面数据加密层,建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息;
第四接收单元1603,用于接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
第四发送单元1604,用于根据所述用户面数据协议层建立请求建立所述用户面数据协议层,建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息,所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
需要说明的是,本说明书中关于VPN建立装置的实施例与本说明书中关于VPN建立方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的方法的实施,重复之处不再赘述。
图17本说明书一实施例提供的动态虚拟专用网络VPN建立装置的结构示意图,如图17所示,该装置应用于VPN云服务器,包括:
第五接收单元1701,用于接收VPN用户侧的网络设备发送的加密规则获取请求;
第五发送单元1702,用于根据所述加密规则获取请求对所述网络设备进行认证,认证通过后,向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则;所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道;
第六接收单元1703,用于接收所述网络设备发送的第一VPN控制面隧道建立请求,根据所述第一VPN控制面隧道建立请求,在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道;
第七接收单元1704,用于接收所述服务设备发送的第二VPN控制面隧道建立请求,根据所述第二VPN控制面隧道建立请求,在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
需要说明的是,本说明书中关于VPN建立装置的实施例与本说明书中关于VPN建立方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的方法的实施,重复之处不再赘述。
本说明书一实施例还提供了一种VPN建立设备,用于实现前述的VPN建立方法的各个过程,并达到相同的功能和效果。图18为本说明书一实施例提供的动态虚拟专用网络VPN建立设备的结构组成示意图,如图18所示,语音数据处理设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上的处理器1801和存储器1802,存储器1802中可以存储有一个或一个以上存储应用程序或数据。其中,存储器1802可以是短暂存储或持久存储。存储在存储器1802的应用程序可以包括一个或一个以上模块(图示未示出),每个模块可以包括对语音数据处理设备中的一系列计算机可执行指令。更进一步地,处理器1801可以设置为与存储器1802通信,在语音数据处理设备上执行存储器1802中的一系列计算机可执行指令。语音数据处理设备还可以包括一个或一个以上电源1803,一个或一个以上有线或无线网络接口1804,一个或一个以上输入输出接口1805,一个或一个以上键盘1806等。
在一个具体的实施例中,VPN建立设备包括有处理器,以及被安排成存储计算机可执行指令的存储器;所述计算机可执行指令在被执行时使所述处理器实现上述的应用于网络设备的方法流程,并达到相同的效果和功能,这里不再赘述。
在一个具体的实施例中,VPN建立设备包括有处理器,以及被安排成存储计算机可执行指令的存储器;所述计算机可执行指令在被执行时使所述处理器实现上述的应用于服务设备的方法流程,并达到相同的效果和功能,这里不再赘述。
在一个具体的实施例中,VPN建立设备包括有处理器,以及被安排成存储计算机可执行指令的存储器;所述计算机可执行指令在被执行时使所述处理器实现上述的应用于VPN云服务器的方法流程,并达到相同的效果和功能,这里不再赘述。
需要说明的是,本说明书中关于VPN建立设备的实施例与本说明书中关于方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的方法的实施,重复之处不再赘述。
本说明书一实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述的应用于服务设备的方法流程,或者,实现上述的应用于VPN云服务器的方法流程,或者,实现上述的应用于网络设备的方法流程,并达到相同的效果和功能,这里不再赘述。
需要说明的是,本说明书中关于存储介质的实施例与本说明书中关于方法的实施例基于同一发明构思,因此该实施例的具体实施可以参见前述对应的方法的实施,重复之处不再赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本说明书一个或多个时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本说明书一个或多个的实施例可提供为方法、系统、或计算机程序产品。因此,本说明书一个或多个可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个是参照根据本说明书一个或多个实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书一个或多个的实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书一个或多个,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本说明书一个或多个的实施例而已,并不用于限制本说明书一个或多个。对于本领域技术人员来说,本说明书一个或多个可以有各种更改和变化。凡在本说明书一个或多个的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个的权利要求范围之内。
Claims (18)
1.一种动态虚拟专用网络VPN建立方法,其特征在于,应用于VPN用户侧的网络设备,包括:
向VPN用户侧的服务设备发送用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息;其中,所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立;
基于所述用户面数据加密层的建立完成通知消息,向所述服务设备发送用户面数据协议层建立请求;
接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息,基于所述用户面数据协议层的建立完成通知消息,确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在向所述服务设备发送用户面数据加密层建立请求之前,向所述服务设备发送用户面数据基础层建立请求;
接收所述服务设备根据所述用户面数据基础层建立请求返回的所述用户面数据基础层的建立完成通知消息。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在向所述服务设备发送用户面数据基础层建立请求之前,向所述VPN云服务器发送加密规则获取请求;
接收所述VPN云服务器根据所述加密规则获取请求对所述网络设备认证通过后返回的所述VPN数据加密规则;所述VPN数据加密规则包括加密秘钥和加密算法索引。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在向所述VPN云服务器发送加密规则获取请求之前,向所述VPN云服务器发送第一VPN控制面隧道建立请求;
接收所述VPN云服务器根据所述第一VPN控制面隧道建立请求返回的第一VPN控制面隧道建立完成通知消息;
其中,所述第一VPN控制面隧道包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层。
5.根据权利要求4所述的方法,其特征在于,
所述用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述用户面数据加密层所使用的数据加密算法包括AES算法;所述用户面数据协议层使用的数据传输协议包括GTP-U协议;
所述第一控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述第一控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议;所述第一控制面数据协议层使用的数据传输协议包括GTP-C协议;
所述网络设备能够与多个所述服务设备之间建立VPN用户面隧道,且,与同一所述服务设备之间建立的VPN用户面隧道的数量可以为多个。
6.一种动态虚拟专用网络VPN建立方法,其特征在于,应用于VPN用户侧的服务设备,包括:
接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,认证通过后,建立所述用户面数据加密层,建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息;
接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
根据所述用户面数据协议层建立请求建立所述用户面数据协议层,建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息,所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在接收VPN用户侧的网络设备发送的用户面数据加密层建立请求之前,接收所述网络设备发送的用户面数据基础层建立请求;
根据所述用户面数据基础层建立请求建立所述用户面数据基础层,建立完成后向所述网络设备返回所述用户面数据基础层的建立完成通知消息。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
在接收所述网络设备发送的用户面数据基础层建立请求之前,接收所述VPN云服务器下发的VPN数据加密规则;
通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,包括:
将所述设备信息发送至所述VPN云服务器,以通过所述VPN云服务器对所述设备信息进行认证;
根据所述VPN云服务器下发的VPN数据加密规则,对所述用户面数据加密层建立请求中的VPN数据加密规则进行认证。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
在接收所述VPN云服务器下发的VPN数据加密规则之前,向所述VPN云服务器发送第二VPN控制面隧道建立请求;
接收所述VPN云服务器根据所述第二VPN控制面隧道建立请求返回的第二VPN控制面隧道建立完成通知消息;
其中,所述第二VPN控制面隧道包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第二控制面数据协议层。
10.根据权利要求9所述的方法,其特征在于,
所述用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述用户面数据加密层所使用的数据加密算法包括AES算法;所述用户面数据协议层使用的数据传输协议包括GTP-U协议;
所述第二控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述第二控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议;所述第二控制面数据协议层使用的数据传输协议包括GTP-C协议;
所述服务设备能够与多个所述网络设备之间建立VPN用户面隧道,且,与同一所述网络设备之间建立的VPN用户面隧道的数量可以为多个。
11.一种动态虚拟专用网络VPN建立方法,其特征在于,应用于VPN云服务器,包括:
接收VPN用户侧的网络设备发送的加密规则获取请求;
根据所述加密规则获取请求对所述网络设备进行认证,认证通过后,向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则;所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道;
接收所述网络设备发送的第一VPN控制面隧道建立请求,根据所述第一VPN控制面隧道建立请求,在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道;
接收所述服务设备发送的第二VPN控制面隧道建立请求,根据所述第二VPN控制面隧道建立请求,在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
12.根据权利要求11所述的方法,其特征在于,
所述VPN用户面隧道包括先后建立的用户面数据基础层、用户面数据加密层和用户面数据协议层;
所述第一VPN控制面隧道包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层;
所述第二VPN控制面隧道包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第二控制面数据协议层。
13.根据权利要求12所述的方法,其特征在于,
所述用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述用户面数据加密层所使用的数据加密算法包括AES算法;所述用户面数据协议层使用的数据传输协议包括GTP-U协议;
所述第一控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述第一控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议;所述第一控制面数据协议层使用的数据传输协议包括GTP-C协议;
所述第二控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议;所述第二控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议;所述第二控制面数据协议层使用的数据传输协议包括GTP-C协议;
所述服务设备能够与多个所述网络设备之间建立VPN用户面隧道,且,与同一所述网络设备之间建立的VPN用户面隧道的数量可以为多个;
所述网络设备能够与多个所述服务设备之间建立VPN用户面隧道,且,与同一所述服务设备之间建立的VPN用户面隧道的数量可以为多个。
14.一种动态虚拟专用网络VPN建立装置,其特征在于,应用于VPN用户侧的网络设备,包括:
第一发送单元,用于向VPN用户侧的服务设备发送用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第一接收单元,用于接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息;其中,所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立;
第二发送单元,用于基于所述用户面数据加密层的建立完成通知消息,向所述服务设备发送用户面数据协议层建立请求;
第二接收单元,用于接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息,基于所述用户面数据协议层的建立完成通知消息,确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
15.一种动态虚拟专用网络VPN建立装置,其特征在于,应用于VPN用户侧的服务设备,包括:
第三接收单元,用于接收VPN用户侧的网络设备发送的用户面数据加密层建立请求;其中,所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则,所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置;
第三发送单元,用于通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证,认证通过后,建立所述用户面数据加密层,建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息;
第四接收单元,用于接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求;
第四发送单元,用于根据所述用户面数据协议层建立请求建立所述用户面数据协议层,建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息,所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
16.一种动态虚拟专用网络VPN建立装置,其特征在于,应用于VPN云服务器,包括:
第五接收单元,用于接收VPN用户侧的网络设备发送的加密规则获取请求;
第五发送单元,用于根据所述加密规则获取请求对所述网络设备进行认证,认证通过后,向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则;所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道;
第六接收单元,用于接收所述网络设备发送的第一VPN控制面隧道建立请求,根据所述第一VPN控制面隧道建立请求,在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道;
第七接收单元,用于接收所述服务设备发送的第二VPN控制面隧道建立请求,根据所述第二VPN控制面隧道建立请求,在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
17.一种动态虚拟专用网络VPN建立设备,其特征在于,包括:处理器,以及被安排成存储计算机可执行指令的存储器;所述计算机可执行指令在被执行时使所述处理器实现上述权利要求1至5中任一项所述的方法的步骤,或者,实现上述权利要求6-10任一项所述的方法的步骤,或者,实现上述权利要求11-13任一项所述的方法的步骤。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述权利要求1至5中任一项所述的方法的步骤,或者,实现上述权利要求6-10任一项所述的方法的步骤,或者,实现上述权利要求11-13任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110552752.9A CN113347071B (zh) | 2021-05-20 | 2021-05-20 | 动态虚拟专用网络vpn建立方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110552752.9A CN113347071B (zh) | 2021-05-20 | 2021-05-20 | 动态虚拟专用网络vpn建立方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113347071A true CN113347071A (zh) | 2021-09-03 |
| CN113347071B CN113347071B (zh) | 2022-07-05 |
Family
ID=77470174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110552752.9A Active CN113347071B (zh) | 2021-05-20 | 2021-05-20 | 动态虚拟专用网络vpn建立方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113347071B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890824A (zh) * | 2021-10-21 | 2022-01-04 | 北京天融信网络安全技术有限公司 | 网络加速方法、装置、网关设备及计算机可读存储介质 |
| CN115426723A (zh) * | 2022-10-28 | 2022-12-02 | 新华三技术有限公司 | Vpn隧道建立方法、装置及电子设备 |
| CN116781428A (zh) * | 2023-08-24 | 2023-09-19 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
| CN117544693A (zh) * | 2023-10-31 | 2024-02-09 | 慧之安信息技术股份有限公司 | 一种支持多种vpn协议的vpn网关方法和系统 |
| CN117544693B (zh) * | 2023-10-31 | 2024-06-04 | 慧之安信息技术股份有限公司 | 一种支持多种vpn协议的vpn网关方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| US20110214176A1 (en) * | 2010-02-27 | 2011-09-01 | Lloyd Leon Burch | Techniques for secure access management in virtual environments |
| CN103036867A (zh) * | 2011-09-28 | 2013-04-10 | 三星Sds株式会社 | 基于相互认证的虚拟专用网络服务设备和方法 |
| US20180367340A1 (en) * | 2017-06-15 | 2018-12-20 | At&T Intellectual Property I, L.P. | Dynamic intelligent analytics vpn instantiation and/or aggregation employing secured access to the cloud network device |
| CN111742524A (zh) * | 2018-02-20 | 2020-10-02 | 华为技术有限公司 | 企业虚拟专用网络(vpn)与云虚拟私有云(vpc)粘连 |
| CN112260928A (zh) * | 2020-11-02 | 2021-01-22 | 迈普通信技术股份有限公司 | 节点切换方法、装置、电子设备及可读存储介质 |
| CN112260926A (zh) * | 2020-10-16 | 2021-01-22 | 上海叠念信息科技有限公司 | 虚拟专用网络的数据传输系统、方法、装置、设备及存储介质 |
-
2021
- 2021-05-20 CN CN202110552752.9A patent/CN113347071B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1701573A (zh) * | 2003-07-04 | 2005-11-23 | 日本电信电话株式会社 | 远程访问虚拟专用网络中介方法和中介装置 |
| US20110214176A1 (en) * | 2010-02-27 | 2011-09-01 | Lloyd Leon Burch | Techniques for secure access management in virtual environments |
| CN103036867A (zh) * | 2011-09-28 | 2013-04-10 | 三星Sds株式会社 | 基于相互认证的虚拟专用网络服务设备和方法 |
| US20180367340A1 (en) * | 2017-06-15 | 2018-12-20 | At&T Intellectual Property I, L.P. | Dynamic intelligent analytics vpn instantiation and/or aggregation employing secured access to the cloud network device |
| CN111742524A (zh) * | 2018-02-20 | 2020-10-02 | 华为技术有限公司 | 企业虚拟专用网络(vpn)与云虚拟私有云(vpc)粘连 |
| CN112260926A (zh) * | 2020-10-16 | 2021-01-22 | 上海叠念信息科技有限公司 | 虚拟专用网络的数据传输系统、方法、装置、设备及存储介质 |
| CN112260928A (zh) * | 2020-11-02 | 2021-01-22 | 迈普通信技术股份有限公司 | 节点切换方法、装置、电子设备及可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| M. CARUGI等: "Service Requirements for Layer 3 Provider Provisioned Virtual Private Networks (PPVPNs)", 《IETF 》 * |
| 郭彬彬: "动态VPN设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113890824A (zh) * | 2021-10-21 | 2022-01-04 | 北京天融信网络安全技术有限公司 | 网络加速方法、装置、网关设备及计算机可读存储介质 |
| CN115426723A (zh) * | 2022-10-28 | 2022-12-02 | 新华三技术有限公司 | Vpn隧道建立方法、装置及电子设备 |
| CN116781428A (zh) * | 2023-08-24 | 2023-09-19 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
| CN116781428B (zh) * | 2023-08-24 | 2023-11-07 | 湖南马栏山视频先进技术研究院有限公司 | 一种基于虚拟专用网络vpn流量的转发系统 |
| CN117544693A (zh) * | 2023-10-31 | 2024-02-09 | 慧之安信息技术股份有限公司 | 一种支持多种vpn协议的vpn网关方法和系统 |
| CN117544693B (zh) * | 2023-10-31 | 2024-06-04 | 慧之安信息技术股份有限公司 | 一种支持多种vpn协议的vpn网关方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113347071B (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113347071B (zh) | 动态虚拟专用网络vpn建立方法、装置及设备 | |
| CN111045690B (zh) | 区块链节点服务部署方法、装置、系统、计算设备及介质 | |
| US11032247B2 (en) | Enterprise mobility management and network micro-segmentation | |
| CN107534665B (zh) | 利用ssl会话票证扩展的可扩缩中间网络设备 | |
| CN104521249B (zh) | 方法和设备 | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| CN110572460B (zh) | 基于区块链系统的数据传输方法、装置及计算机设备 | |
| US20220353684A1 (en) | System And Methods For Transit Path Security Assured Network Slices | |
| CN104412621B (zh) | 方法和设备 | |
| Salman et al. | An architecture for the Internet of Things with decentralized data and centralized control | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| US9088410B2 (en) | Accessing local applications when roaming using a NFC mobile device | |
| CN103125141A (zh) | 移动宽带网络接口的聚合 | |
| US11546304B2 (en) | Multi-domain message routing with E2E tunnel protection | |
| CN106878072A (zh) | 一种报文传输方法和装置 | |
| US9537986B2 (en) | Dynamic contact sharing in a mesh network | |
| CN109245983B (zh) | 一种虚拟网络设备、路由设备及虚拟网络的连接方法 | |
| US11265296B1 (en) | System and method to create and implement virtual private networks over internet for multiple internet access types | |
| CN102438273B (zh) | 集群网元间ip通信方法及相关装置和通信系统 | |
| Zhang et al. | Research, implementation, and improvement of MPTCP on mobile smart devices | |
| CN111107126B (zh) | 用于加密卷复制的方法和设备 | |
| CN113472625A (zh) | 基于移动互联网的透明桥接方法、系统、设备及存储介质 | |
| Macedo et al. | From TCP/IP to convergent networks: challenges and taxonomy | |
| JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
| Garcia-Carrillo et al. | EAP-based bootstrapping for secondary service authentication to integrate IoT into 5G networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |