CN113938486A - 用于边缘计算的在单向网络上实现双向安全通讯的方法 - Google Patents

用于边缘计算的在单向网络上实现双向安全通讯的方法 Download PDF

Info

Publication number
CN113938486A
CN113938486A CN202111528072.XA CN202111528072A CN113938486A CN 113938486 A CN113938486 A CN 113938486A CN 202111528072 A CN202111528072 A CN 202111528072A CN 113938486 A CN113938486 A CN 113938486A
Authority
CN
China
Prior art keywords
edge node
address
node
edge
nat router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111528072.XA
Other languages
English (en)
Other versions
CN113938486B (zh
Inventor
花磊
耿浩涛
崔骥
张荣奇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Bona Xundong Software Co ltd
Original Assignee
Suzhou Bona Xundong Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Bona Xundong Software Co ltd filed Critical Suzhou Bona Xundong Software Co ltd
Priority to CN202111528072.XA priority Critical patent/CN113938486B/zh
Publication of CN113938486A publication Critical patent/CN113938486A/zh
Application granted granted Critical
Publication of CN113938486B publication Critical patent/CN113938486B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种用于边缘计算的在单向网络上实现双向安全通讯的方法,属于通信技术领域,其包括通过与云节点的第一通信连接向云节点发送第一边缘节点在单向网络中的实际IP地址;接收云节点反馈的第二边缘节点的IP信息;通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求,连接建立请求经过第一NAT路由器时触发第一NAT路由器生成路由转换规则,路由转换规则用于指示将第二边缘节点的信息数据转发至第一边缘节点;接收第一NAT路由器基于路由转换规则发送的应答消息;基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道;可以解决单向网络的传输时延大的问题;可以缩短传输路径,从而减少延时。

Description

用于边缘计算的在单向网络上实现双向安全通讯的方法
技术领域
本申请涉及一种用于边缘计算的在单向网络上实现双向安全通讯的方法,属于通信技术领域。
背景技术
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。
在近几年的产业环境下,传统云计算能力已无法支撑起规模日趋庞大且异地分散的数据处理与计算需求。基于此,边缘计算应势而起。尤其是在5G、物联网等新技术的持续推动下,边缘计算产业已然走向大风口。尽管目前边缘计算发展已经进入实践阶段,但当涉及到跨地域的多个边缘节点须要边边协同时,网络依然是个巨大的障碍,这是因为:1、边缘节点所处网络通常是单向网络,边缘节点没有固定的公网IP地址;2、边缘网络使用的因特网本身是一个不安全的网络。
目前如果须要跨地域的多个边缘节点须要边边协同,须要边缘节点先建立到云端的连接,把信息发送到云端,从云端再转发给另一个边缘节点,这就导致传输路径过长,传输时延大,传输效率低等问题。
发明内容
本申请提供了一种用于边缘计算的在单向网络上实现双向安全通讯的方法,可以建立边缘节点之间的直接连接,以减少延时,提高效率;同时,可以实现自动建立直接连接,无需人工参与,提高连接建立效率。另外,还可以建立加密的连接通道,保证数据传输的安全性。本申请提供如下技术方案:
一方面,提供一种用于边缘计算的在单向网络上实现双向安全通讯的方法,用于第一边缘节点中,所述第一边缘节点位于单向网络;所述方法包括:
通过与所述第一边缘节点通信相连的第一NAT路由器,使用所述第一边缘节点的公网IP地址与云节点建立第一通信连接,所述云节点位于公网中;
基于所述第一通信连接向所述云节点发送所述第一边缘节点在所述单向网络中的实际IP地址,以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点,并供所述第二边缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专用网络VPN隧道;
基于所述第一通信连接接收所述云节点反馈的第二边缘节点的IP信息;所述IP信息是所述第二边缘节点与所述云节点建立第二通信连接后所述云节点获取到的;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;
通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求,所述连接建立请求经过所述第一NAT路由器时触发所述第一NAT路由器生成路由转换规则,所述路由转换规则用于指示将所述第二边缘节点的信息数据转发至所述第一边缘节点;所述连接建立请求到达所述第二边缘节点后触发所述第二边缘节点反馈对所述连接建立请求的应答消息;
接收所述第一NAT路由器基于所述路由转换规则发送的所述应答消息;
基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立所述VPN隧道。
可选地,在所述IP信息包括第二边缘节点的公网IP地址和实际IP地址的情况下,所述通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求,包括:
通过所述第一NAT路由器向所述第二边缘节点的实际IP地址发送所述连接建立请求;
在与所述第二边缘节点的实际IP地址建立连接失败的情况下,通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求。
可选地,所述第二边缘节点通过第二NAT路由器与所述第一边缘节点通信,所述第二NAT路由器忽略向所述第二边缘节点的实际IP地址发送的所述连接建立请求,使得所述第一边缘节点与所述第二边缘节点的实际IP地址建立连接失败。
可选地,所述通过所述第一NAT路由器向所述第二边缘节点的实际IP地址发送所述连接建立请求之后,还包括:
在接收到所述第二边缘节点通过所述实际IP地址反馈的应答消息的情况下,基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立VPN隧道。
可选地,所述第二边缘节点通过所述第一NAT路由器与所述第一边缘节点通信,所述第一NAT路由器将所述连接建立请求内部转发至所述第二边缘节点,使得所述第一边缘节点与所述第二边缘节点的实际IP地址建立连接成功。
可选地,所述第二边缘节点通过公网与所述云节点相连,相应地,所述IP信息仅包括所述公网IP地址。
另一方面,提供一种用于边缘计算的在单向网络上实现双向安全通讯的方法,用于第一NAT路由器中,所述第一NAT路由器分别与第一边缘节点和云节点相连,以供单向网络中的所述第一边缘节点与公网中的所述云节点进行通信;所述方法包括:
使用所述第一边缘节点的公网IP地址建立所述第一边缘节点与所述云节点之间的第一通信连接;
获取所述第一边缘节点发送的实际IP地址,并将所述实际IP地址发送至所述云节点,以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点,并供所述第二边缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专用网络VPN隧道;
将所述云节点反馈的第二边缘节点的IP信息发送至所述第一边缘节点,所述IP信息是所述第二边缘节点与所述云节点建立第二通信连接后所述云节点获取到的;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;
在接收到所述第一边缘节点向所述第二边缘节点的公网IP地址发送的连接建立请求的情况下,生成路由转换规则;所述路由转换规则用于指示将所述第二边缘节点的信息数据转发至所述第一边缘节点;所述连接建立请求到达所述第二边缘节点后触发所述第二边缘节点反馈对所述连接建立请求的应答消息;
在接收到所述第二边缘节点发送的所述应答消息的情况下,基于所述路由转换规则将所述应答消息发送至所述第一边缘节点;
基于所述应答消息建立所述第一边缘节点与所述第二边缘节点之间的VPN隧道。
另一方面,提供一种用于边缘计算的在单向网络上实现双向安全通讯的方法,用于第二边缘节点中,所述方法包括:
与云节点建立第二通信连接,以向所述云节点发送所述第二边缘节点的IP信息;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;所述云节点位于公网中;
在接收到第一边缘节点通过第一NAT路由器发送的连接建立请求的情况下,向所述第一NAT路由器反馈对所述连接建立请求的应答消息,以供所述第一边缘节点接收到所述应答消息后,基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立VPN隧道。
可选地,所述IP信息包括所述第二边缘节点的公网IP地址和实际IP地址的情况下,所述第二边缘节点通过第二NAT路由器与所述第一边缘节点通信;
所述第二NAT路由器与所述第一NAT路由器相同或不同。
可选地,所述IP信息包括所述第二边缘节点的公网IP地址的情况下,所述第二边缘节点通过公网与所述第一边缘节点通信。
本申请的有益效果至少包括:通过与第一边缘节点通信相连的第一NAT路由器,使用第一边缘节点的公网IP地址与云节点建立第一通信连接;基于第一通信连接向云节点发送第一边缘节点在单向网络中的实际IP地址,以供云节点将第一边缘节点的实际IP地址发送至第二边缘节点,并供第二边缘节点使用第一边缘节点的实际IP地址与第一边缘节点建立虚拟专用网络VPN隧道;基于第一通信连接接收云节点反馈的第二边缘节点的IP信息;通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求,连接建立请求经过第一NAT路由器时触发第一NAT路由器生成路由转换规则,路由转换规则用于指示将第二边缘节点的信息数据转发至第一边缘节点;连接建立请求到达第二边缘节点后触发第二边缘节点反馈对连接建立请求的应答消息;接收第一NAT路由器基于路由转换规则发送的应答消息;基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道;可以解决边缘节点先建立到云端的连接,把信息发送到云端,从云端再转发给另一个边缘节点时,传输路径过长,传输时延大,传输效率低的问题;可以建立边缘节点之间的直接连接,以减少延时,提高效率。
另外,利用一个有公网地址的云端节点,实现了大量无公网IP地址的边缘节点的自动注册,自动发现,协助各个边缘节点建立一个安全,直达的隧道,无需人工参与,提高连接建立效率。同时,还可以建立加密的连接通道,保证数据传输的安全性。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
图1是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的系统的结构示意图;
图2是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的方法的流程图;
图3是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的第一种场景的示意图;
图4是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的第二种场景的示意图;
图5是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的第三种场景的示意图。
具体实施方式
下面结合附图和实施例,对本申请的具体实施方式做进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
首先,对于本申请涉及的若干名词进行介绍。
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。
云节点:是指云计算里使用的主机/服务器。
边缘计算:是指在靠近物或数据源头的一侧,采用网络、计算、存储、应用核心能力为一体的开放平台,就近提供最近端服务。其应用程序在边缘侧发起,产生更快的网络服务响应,满足行业在实时业务、应用智能、安全与隐私保护等方面的基本需求。
边缘节点:是指边缘计算里使用的主机/服务器。
边边协同:是边缘节点之间进行协同,包括资源协同、应用协同、数据协同等。
互联网协议地址,或称网际协议地址(Internet Protocol Address,IP地址)协议:一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。它可以分为公网地址和私有地址。公网地址由因特网信息中心(Internet Network Information Center,Internet NIC)负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。私有地址(Private address)属于非注册地址,专门为组织机构内部使用。
网络地址转换(Network Address Translate,NAT)是当在专用网内部的一些主机仅有在本专用网内使用的私有地址,但又想和互联网上的其它主机通信时的一种通信方法。NAT的实现需要在专用网连接到因特网的路由器上安装NAT软件,它至少有一个公网IP地址。这样,所有使用私有IP地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成公网IP地址,才能和因特网(Internet)或者说和公网连接。
单向网络:是指一个专用网络上的主机能够主动发起到专用网络外其它主机的访问,但不能接受专用网络外其它主机主动发起的到它的访问。NAT路由器内部的网络就是单向网络。
虚拟专用网络(Virtual Private Network,VPN):在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
隧道:是指VPN中一个节点到另外一个节点通讯使用的路径。
图1是本申请一个实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的系统的结构示意图,该系统包括:第一边缘节点110、第一NAT路由器120、云节点130和第二边缘节点140。
第一边缘节点110是指位于单向网络(或者说私网)中的边缘计算节点。第一边缘节点110通过第一NAT路由器120与云节点130建立第一通信连接。换言之,第一边缘节点110与云节点130进行通信时,第一NAT路由将第一边缘节点110的实际IP地址修改为第一边缘节点110的公网IP地址(即为第一NAT路由的公网IP地址)。
云节点130为位于公网中的计算节点。云节点130的数量为一个或至少两个。图1中以云节点130的数量为一个为例进行说明,在云节点130的数量为至少两个的情况下,不同的云节点130之间基于公网建立通信连接,从而实现信息交换和数据传输。
第二边缘节点140是指需要与第一边缘节点110建立连接的边缘计算节点。可选地,第二边缘节点140可以位于公网中,此时,第二边缘节点140的IP信息仅包括公网IP地址。或者,第二边缘节点140也可以位于与第一边缘节点110不同的私网中,此时,第二边缘节点140通过第二NAT路由器150与云节点130通信,相应地,第二边缘节点140的IP信息包括公网IP地址(即第二NAT路由器150的公网IP地址)和实际IP地址。或者,第二边缘节点140可以位于与第一边缘节点110相同的私网中,此时,第二边缘节点140通过第一NAT路由器120与云节点130通信,相应地,第二边缘节点140的IP信息包括公网IP地址(即第一NAT路由器120的公网IP地址)和实际IP地址。
另外,图1中以第一边缘节点110和第二边缘节点140的数量为一个为例进行说明,在实际实现时,第一边缘节点110和第二边缘节点140的数量为一个或至少两个,本实施例不对第一边缘节点110和第二边缘节点140的数量作限定。
需要补充说明的是,本实施例中第一边缘节点110和第二边缘节点140并不指定某个边缘计算设备,对于同一边缘计算设备,可能既是本实施例中的第一边缘节点110,又是本实施例中的第二边缘节点140。具体内容详见下述三种实现场景的介绍。
目前如果须要跨地域的多个边缘节点须要边边协同,须要边缘节点先建立到云端的连接,把信息发送到云端,从云端再转发给另一个边缘节点,参考图1中的路径1。这就导致传输路径过长,传输时延大,传输效率低等问题。
而本实施例中,通过建立边缘节点之间的直接连接(参考图1中的路径2),以减少延时,提高效率。
具体地,基于上述运行环境,本实施例中,在单向网络上实现双向安全通讯的方法,参考图2,该方法包括以下几个步骤:
步骤201,第一边缘节点通过与第一边缘节点通信相连的第一NAT路由器,使用第一边缘节点的公网IP地址与云节点建立第一通信连接;相应地,第一NAT路由器使用第一边缘节点的公网IP地址建立第一边缘节点与云节点之间的第一通信连接。
本实施例中,第一边缘节点的公网IP地址即为第一NAT路由器的公网IP地址。
具体地,第一边缘节点向第一NAT路由器发起与云节点的连接请求;第一NAT路由器接收到该连接请求后,将第一边缘节点的实际IP地址修改为第一边缘节点的公网IP地址,并将修改后的连接请求发送至云节点;云节点接收到修改后的连接请求后,获取到修改后的连接请求中携带的第一边缘节点的公网IP地址。云节点使用第一边缘节点的公网IP地址与第一NAT路由器建立公网连接后,即实现云节点与第一边缘节点之间的第一通信连接。
步骤202,第一边缘节点基于第一通信连接向云节点发送第一边缘节点在单向网络中的实际IP地址。
具体地,第一边缘节点将第一边缘节点的实际IP地址发送至第一NAT路由器。
步骤203,第一NAT路由器获取第一边缘节点发送的实际IP地址,并将实际IP地址发送至云节点。
第一边缘节点的实际IP地址用于供云节点将第一边缘节点的实际IP地址发送至第二边缘节点,并供第二边缘节点使用第一边缘节点的实际IP地址与第一边缘节点建立VPN隧道。
步骤204,第二边缘节点与云节点建立第二通信连接,以向云节点发送第二边缘节点的IP信息。
在第一种场景中,第二边缘节点位于公网中,此时第二边缘节点存在自身的公网IP地址。此时,第二边缘节点与云节点建立第二通信连接,包括:第二边缘节点向云节点发送连接请求;云节点接收到连接请求后,获取该连接请求中携带的第二边缘节点的公网IP地址。云节点使用第二边缘节点的公网IP地址与第二边缘节点之间建立第二通信连接。
在第二种场景中,第二边缘节点位于私网中,且第二边缘节点的网私网与第一边缘节点的私网相同。此时,第二边缘节点也通过第一NAT路由器与云节点建立第二通信连接。相应地,第二边缘节点的IP信息包括第二边缘节点的公网IP地址和第二边缘节点的实际地址。其中,第二边缘节点的公网IP地址也为第一NAT路由器的公网IP地址。此时,第二边缘节点与云节点建立第二通信连接的相关描述详见步骤201,只需将第一边缘节点替换为第二边缘节点即可,本实施例在此不再赘述。
在第二边缘节点与云节点建立第二通信连接时,云节点可以获取到第二边缘节点的公网IP地址,之后,第二边缘节点基于第二通信连接向云节点发送第二边缘节点的实际IP地址。
具体地,第二边缘节点向第一NAT路由器发送第二边缘节点的实际IP地址,第一NAT路由器将第二边缘节点的实际IP地址转发至云节点。
在第三种场景中,第二边缘节点位于私网中,且第二边缘节点的网私网与第一边缘节点的私网相同。此时,第二边缘节点通过第二NAT路由器与云节点建立第二通信连接。相应地,第二边缘节点的IP信息包括第二边缘节点的公网IP地址和第二边缘节点的实际地址。其中,第二边缘节点的公网IP地址为第二NAT路由器的公网IP地址。此时,第二边缘节点与云节点建立第二通信连接的相关描述详见步骤201,只需将第一边缘节点替换为第二边缘节点、将第一NAT路由器替换为第二NAT路由器即可,本实施例在此不再赘述。
在第二边缘节点与云节点建立第二通信连接时,云节点可以获取到第二边缘节点的公网IP地址,之后,第二边缘节点基于第二通信连接向云节点发送第二边缘节点的实际IP地址。
具体地,第二边缘节点向第二NAT路由器发送第二边缘节点的实际IP地址,第二NAT路由器将第二边缘节点的实际IP地址转发至云节点。
可选地,步骤204可以在步骤201-203之前执行,或者在步骤201-203之后执行,或者还可以与步骤201-203同步执行,本实施例不对步骤204和步骤201-203之间的执行顺序作限定。
步骤205,第一NAT路由器将云节点反馈的第二边缘节点的IP信息发送至第一边缘节点。
步骤206,第一边缘节点基于第一通信连接接收云节点反馈的第二边缘节点的IP信息。
其中,IP信息是第二边缘节点与云节点建立第二通信连接后云节点获取到的;IP信息包括第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址。
步骤207,第一边缘节点通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求。
可选地,在IP信息包括第二边缘节点的公网IP地址和实际IP地址的情况下,通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求,包括:通过第一NAT路由器向第二边缘节点的实际IP地址发送连接建立请求;在与第二边缘节点的实际IP地址建立连接失败的情况下,通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求。
此时,第二边缘节点通过第二NAT路由器与第一边缘节点通信,第二NAT路由器忽略向第二边缘节点的实际IP地址发送的连接建立请求,使得第一边缘节点与第二边缘节点的实际IP地址建立连接失败。
可选地,在接收到第二边缘节点通过实际IP地址反馈的应答消息的情况下,基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道。
此时,第二边缘节点通过第一NAT路由器与第一边缘节点通信,第一NAT路由器将连接建立请求内部转发至第二边缘节点,使得第一边缘节点与第二边缘节点的实际IP地址建立连接成功。
步骤208,第一NAT路由器在接收到第一边缘节点向第二边缘节点的公网IP地址发送的连接建立请求的情况下,生成路由转换规则;路由转换规则用于指示将第二边缘节点的信息数据转发至第一边缘节点。
换言之,连接建立请求经过第一NAT路由器时触发第一NAT路由器生成路由转换规则,路由转换规则用于指示将第二边缘节点的信息数据转发至第一边缘节点。
步骤209,第二边缘节点在接收到第一边缘节点通过第一NAT路由器发送的连接建立请求的情况下,向第一NAT路由器反馈对连接建立请求的应答消息。
换言之,连接建立请求到达第二边缘节点后触发第二边缘节点反馈对连接建立请求的应答消息;
应道消息用于供第一边缘节点接收到应答消息后,基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道。
步骤210,第一NAT路由器在接收到第二边缘节点发送的应答消息的情况下,基于路由转换规则将应答消息发送至第一边缘节点。
步骤211,第一边缘节点接收第一NAT路由器基于路由转换规则发送的应答消息。
步骤212,第一边缘节点基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道;相应地,第一NAT路由器基于应答消息建立第一边缘节点与第二边缘节点之间的VPN隧道。
为了更清楚地理解本实施例提供的在单向网络上实现双向安全通讯的方法,下面对上述第一种场景、第二种场景和第三种场景分别进行举例说明。
参考图3所示的第一种场景,边缘节点1位于单向网络,边缘节点2位于公网。此时,边缘节点1的公网IP地址为2.2.2.2;实际IP地址为:192.168.1.2。边缘节点2的公网IP地址为:3.3.3.3。相应地,边缘节点1和边缘节点2之间建立直接连接的过程包括:
1.边缘节点1发起到云节点的连接,连接成功后,云节点获取到边缘节点1的公网IP地址2.2.2.2,同时边缘节点1向云节点汇报自己的实际IP地址192.168.1.2。
2.边缘节点2发起到云节点的连接,连接成功后,云节点获取到边缘节点2的公网IP地址3.3.3.3,同时边缘节点2向云节点汇报自己的实际地址3.3.3.3。
3.云节点收集到来自边缘节点1的IP信息和边缘节点2的IP信息后,把边缘节点1的IP信息,包括公网地址2.2.2.2和实际地址192.168.1.2,通知给边缘节点2;同样,把边缘节点2的IP信息通知给边缘节点1。
4.边缘节点1收到边缘节点2的IP信息后,发起到边缘节点2的公有地址3.3.3.3的请求,这个请求在经过NAT路由器1时会触发NAT路由器1创建一条路由转换规则,这条路由转换规则会允许来自边缘节点2的应答,且这个请求最终到达了边缘节点2。
在步骤4中,边缘节点1即为上述实施例中的第一边缘节点,边缘节点2即为上述实施例中的第二边缘节点。
5.边缘节点2收到边缘节点1的IP信息后,发起到边缘节点1的实际IP地址192.168.1.2的请求,NAT路由器1会忽略该请求。边缘节点2在尝试失败后,会尝试发起向边缘节点1的另一个地址的请求,也就是向公网IP地址3.3.3.3的请求。因为在NAT路由器1上已经建立了路由转换规则,这个请求会通过NAT路由器1到达边缘节点1。
在本步骤5中,边缘节点2即为上述实施例中的第一边缘节点,边缘节点1即为上述实施例中的第二边缘节点。
6. 当边缘节点1收到边缘节点2的信息,边缘节点2收到了边缘节点1的信息,经过协商,建立起直接的VPN隧道,实现了两个节点之间的安全双向通讯。
参考图4所示的第二种场景,边缘节点1和边缘节点2位于同一单向网络。此时,边缘节点1和边缘节点2的公网IP地址为2.2.2.2;边缘节点1实际IP地址为:192.168.1.2;边缘节点2的实际IP地址为:192.168.1.3。相应地,边缘节点1和边缘节点2之间建立直接连接的过程包括:
1. 边缘节点1发起到云节点的连接,连接成功后,云节点获取到边缘节点1的公网IP地址2.2.2.2,同时边缘节点1向云节点汇报自己的实际IP地址192.168.1.2。
2. 边缘节点2发起到云节点的连接,连接成功后,云节点获取到边缘节点2的公网IP地址2.2.2.2,同时边缘节点2向云节点汇报自己的实际IP地址192.168.1.3。
3. 云节点收集到来自边缘节点1和边缘节点2的IP信息后,把边缘节点1的IP信息,包括公网IP地址2.2.2.2和实际IP地址192.168.1.2,通知给边缘节点2;同样,把边缘节点2的IP信息通知给边缘节点1。
4. 边缘节点1收到边缘节点2的IP信息后,优先尝试发起到实际IP地址192.168.1.3的请求,这个请求由NAT路由器1直接内部转发到达了边缘节点2。
在本步骤4中,边缘节点1即为上述实施例中的第一边缘节点,边缘节点2即为上述实施例中的第二边缘节点。
5. 边缘节点2收到边缘节点1的IP信息后,优先尝试发起到实际IP地址192.168.1.2的请求,这个请求也由NAT路由器1直接内部转发到达边缘节点1。
在本步骤5中,边缘节点2即为上述实施例中的第一边缘节点,边缘节点1即为上述实施例中的第二边缘节点。
6. 当边缘节点1收到边缘节点2的信息,边缘节点2收到了边缘节点1的信息,经过协商,建立起直接的VPN隧道,实现了两个节点之间的安全双向通讯。
可选地,在实际实现时,若边缘节点1和边缘节点2处于同一个网络,也可以用实际IP地址建立直接连接,而不通过NAT路由器1建立VPN隧道。
参考图5所示的第三种场景,边缘节点1和边缘节点2位于不同的单向网络。此时,边缘节点1的公网IP地址(即与边缘节点1相连的NAT路由器1的公网IP地址)为2.2.2.2、实际IP地址为:192.168.1.2;边缘节点2的公网IP地址(即与边缘节点2相连的NAT路由器2的公网IP地址)为3.3.3.3、实际IP地址为:192.168.2.2。相应地,边缘节点1和边缘节点2之间建立直接连接的过程包括:
1.边缘节点1发起到云节点的连接,连接成功后,云节点获取到边缘节点1的公网IP地址2.2.2.2,同时边缘节点1向云节点汇报自己的实际IP地址192.168.1.2。
2.边缘节点2发起到云节点的连接,连接成功后,云节点获取到边缘节点2的公网IP地址3.3.3.3,同时边缘节点2向云节点汇报自己的实际IP地址192.168.2.2。
3.云节点收集到来自边缘节点1和边缘节点2的IP信息后,把边缘节点1的IP信息,包括公网地址2.2.2.2和实际地址192.168.1.2通知给边缘节点2;同样,把边缘节点2的IP信息通知给边缘节点1。
4.边缘节点1收到边缘节点2的IP信息后,优先尝试发起到边缘节点2的实际IP地址192.168.2.2的请求,这个实际IP地址是私有地址,在NAT路由器2上会丢弃。
在步骤4中,边缘节点1为上述实施例中的第一边缘节点,边缘节点2即为上述实施例中的第二边缘节点。
5.边缘节点1向边缘节点2的实际IP地址192.168.2.2的请求失败后,尝试发起到边缘节点2的公有地址3.3.3.3的请求,这个请求在经过NAT路由器1时会触发NAT路由器1创建一条路由转换规则,这条路由转换规则会允许来自边缘节点2的应答,这个请求最终到达了边缘节点2。
在步骤5中,边缘节点1为上述实施例中的第一边缘节点,边缘节点2即为上述实施例中的第二边缘节点。
6.边缘节点2收到边缘节点1的IP信息后,优先尝试发起到边缘节点1的实际IP地址192.168.1.2的请求,这个IP地址是私有地址,在NAT路由器1上会丢弃。
在步骤6中,边缘节点2为上述实施例中的第一边缘节点,边缘节点1即为上述实施例中的第二边缘节点。
7. 边缘节点2向边缘节点1的实际IP地址192.168.1.2的请求失败后,尝试发起到边缘节点1的公网IP地址2.2.2.2的请求,这个请求在经过NAT路由器2时会触发NAT路由器2创建一条路由转换规则,这条路由转换规则会允许来自边缘节点1的应答,这个请求最终到达了边缘节点1。
在步骤7中,边缘节点2为上述实施例中的第一边缘节点,边缘节点1即为上述实施例中的第二边缘节点。
8. 当边缘节点1收到边缘节点2的信息,边缘节点2收到了边缘节点1的信息,经过协商,建立起直接的VPN隧道,实现了两个边缘节点之间的安全双向通讯。
在实际实现时,当一个边缘节点的请求或响应到达对方的NAT路由器后,取决于NAT的表项有没建立,如果还没有建立就会连接失败,然后重试。这个过程是有两个边缘节点分别完成的,所以可能会失败,但经过多次尝试后,最终会成功。
综上所述,本实施例提供的用于边缘计算的在单向网络上实现双向安全通讯的方法,通过与第一边缘节点通信相连的第一NAT路由器,使用第一边缘节点的公网IP地址与云节点建立第一通信连接;基于第一通信连接向云节点发送第一边缘节点在单向网络中的实际IP地址,以供云节点将第一边缘节点的实际IP地址发送至第二边缘节点,并供第二边缘节点使用第一边缘节点的实际IP地址与第一边缘节点建立虚拟专用网络VPN隧道;基于第一通信连接接收云节点反馈的第二边缘节点的IP信息;通过第一NAT路由器向第二边缘节点的公网IP地址发送连接建立请求,连接建立请求经过第一NAT路由器时触发第一NAT路由器生成路由转换规则,路由转换规则用于指示将第二边缘节点的信息数据转发至第一边缘节点;连接建立请求到达第二边缘节点后触发第二边缘节点反馈对连接建立请求的应答消息;接收第一NAT路由器基于路由转换规则发送的应答消息;基于应答消息通过第一NAT路由器与第二边缘节点建立VPN隧道;可以解决边缘节点先建立到云端的连接,把信息发送到云端,从云端再转发给另一个边缘节点时,传输路径过长,传输时延大,传输效率低的问题;可以建立边缘节点之间的直接连接,以减少延时,提高效率。
另外,利用一个有公网地址的云端节点,实现了大量无公网IP地址的边缘节点的自动注册,自动发现,协助各个边缘节点建立一个安全,直达的隧道,无需人工参与,提高连接建立效率。同时,还可以建立加密的连接通道,保证数据传输的安全性。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种用于边缘计算的在单向网络上实现双向安全通讯的方法,其特征在于,用于第一边缘节点中,所述第一边缘节点位于单向网络;所述方法包括:
通过与所述第一边缘节点通信相连的第一NAT路由器,使用所述第一边缘节点的公网IP地址与云节点建立第一通信连接,所述云节点位于公网中;
基于所述第一通信连接向所述云节点发送所述第一边缘节点在所述单向网络中的实际IP地址,以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点,并供所述第二边缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专用网络VPN隧道;
基于所述第一通信连接接收所述云节点反馈的第二边缘节点的IP信息;所述IP信息是所述第二边缘节点与所述云节点建立第二通信连接后所述云节点获取到的;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;
通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求,所述连接建立请求经过所述第一NAT路由器时触发所述第一NAT路由器生成路由转换规则,所述路由转换规则用于指示将所述第二边缘节点的信息数据转发至所述第一边缘节点;所述连接建立请求到达所述第二边缘节点后触发所述第二边缘节点反馈对所述连接建立请求的应答消息;
接收所述第一NAT路由器基于所述路由转换规则发送的所述应答消息;
基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立所述VPN隧道。
2.根据权利要求1所述的方法,其特征在于,在所述IP信息包括第二边缘节点的公网IP地址和实际IP地址的情况下,所述通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求,包括:
通过所述第一NAT路由器向所述第二边缘节点的实际IP地址发送所述连接建立请求;
在与所述第二边缘节点的实际IP地址建立连接失败的情况下,通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求。
3.根据权利要求2所述的方法,其特征在于,所述第二边缘节点通过第二NAT路由器与所述第一边缘节点通信,所述第二NAT路由器忽略向所述第二边缘节点的实际IP地址发送的所述连接建立请求,使得所述第一边缘节点与所述第二边缘节点的实际IP地址建立连接失败。
4.根据权利要求2所述的方法,其特征在于,所述通过所述第一NAT路由器向所述第二边缘节点的实际IP地址发送所述连接建立请求之后,还包括:
在接收到所述第二边缘节点通过所述实际IP地址反馈的应答消息的情况下,基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立VPN隧道。
5.根据权利要求4所述的方法,其特征在于,所述第二边缘节点通过所述第一NAT路由器与所述第一边缘节点通信,所述第一NAT路由器将所述连接建立请求内部转发至所述第二边缘节点,使得所述第一边缘节点与所述第二边缘节点的实际IP地址建立连接成功。
6.根据权利要求1所述的方法,其特征在于,所述第二边缘节点通过公网与所述云节点相连,相应地,所述IP信息仅包括所述公网IP地址。
7.一种用于边缘计算的在单向网络上实现双向安全通讯的方法,其特征在于,用于第一NAT路由器中,所述第一NAT路由器分别与第一边缘节点和云节点相连,以供单向网络中的所述第一边缘节点与公网中的所述云节点进行通信;所述方法包括:
使用所述第一边缘节点的公网IP地址建立所述第一边缘节点与所述云节点之间的第一通信连接;
获取所述第一边缘节点发送的实际IP地址,并将所述实际IP地址发送至所述云节点,以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点,并供所述第二边缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专用网络VPN隧道;
将所述云节点反馈的第二边缘节点的IP信息发送至所述第一边缘节点,所述IP信息是所述第二边缘节点与所述云节点建立第二通信连接后所述云节点获取到的;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;
在接收到所述第一边缘节点向所述第二边缘节点的公网IP地址发送的连接建立请求的情况下,生成路由转换规则;所述路由转换规则用于指示将所述第二边缘节点的信息数据转发至所述第一边缘节点;所述连接建立请求到达所述第二边缘节点后触发所述第二边缘节点反馈对所述连接建立请求的应答消息;
在接收到所述第二边缘节点发送的所述应答消息的情况下,基于所述路由转换规则将所述应答消息发送至所述第一边缘节点;
基于所述应答消息建立所述第一边缘节点与所述第二边缘节点之间的VPN隧道。
8.一种用于边缘计算的在单向网络上实现双向安全通讯的方法,其特征在于,用于第二边缘节点中,所述方法包括:
与云节点建立第二通信连接,以向所述云节点发送所述第二边缘节点的IP信息;所述IP信息包括所述第二边缘节点的公网IP地址,或者包括第二边缘节点的公网IP地址和实际IP地址;所述云节点位于公网中;
在接收到第一边缘节点通过第一NAT路由器发送的连接建立请求的情况下,向所述第一NAT路由器反馈对所述连接建立请求的应答消息,以供所述第一边缘节点接收到所述应答消息后,基于所述应答消息通过所述第一NAT路由器与所述第二边缘节点建立VPN隧道。
9.根据权利要求8所述的方法,其特征在于,所述IP信息包括所述第二边缘节点的公网IP地址和实际IP地址的情况下,所述第二边缘节点通过第二NAT路由器与所述第一边缘节点通信;
所述第二NAT路由器与所述第一NAT路由器相同或不同。
10.根据权利要求8所述的方法,其特征在于,所述IP信息包括所述第二边缘节点的公网IP地址的情况下,所述第二边缘节点通过公网与所述第一边缘节点通信。
CN202111528072.XA 2021-12-15 2021-12-15 用于边缘计算的在单向网络上实现双向安全通讯的方法 Active CN113938486B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111528072.XA CN113938486B (zh) 2021-12-15 2021-12-15 用于边缘计算的在单向网络上实现双向安全通讯的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111528072.XA CN113938486B (zh) 2021-12-15 2021-12-15 用于边缘计算的在单向网络上实现双向安全通讯的方法

Publications (2)

Publication Number Publication Date
CN113938486A true CN113938486A (zh) 2022-01-14
CN113938486B CN113938486B (zh) 2022-04-15

Family

ID=79288865

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111528072.XA Active CN113938486B (zh) 2021-12-15 2021-12-15 用于边缘计算的在单向网络上实现双向安全通讯的方法

Country Status (1)

Country Link
CN (1) CN113938486B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584505A (zh) * 2022-01-25 2022-06-03 威胜信息技术股份有限公司 一种基于发布订阅的边边通讯消息路由方法
WO2023155224A1 (en) * 2022-02-17 2023-08-24 Hong Kong Applied Science and Technology Research Institute Company Limited A method of setting up connections between edge sites in a 5g communications network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040208625A1 (en) * 2002-06-27 2004-10-21 Nortel Networks Limited Irregular two-dimensional wide-coverage network
CN105391817A (zh) * 2015-11-26 2016-03-09 上海紫越网络科技股份有限公司 基于sdp自检测nat穿越系统及方法
CN105591870A (zh) * 2015-08-13 2016-05-18 杭州华三通信技术有限公司 一种隧道建立方法和装置
CN110247846A (zh) * 2019-07-26 2019-09-17 宙安科技河北有限公司 一种虚拟专用网的路由方法及路由装置
CN110401716A (zh) * 2019-07-26 2019-11-01 宙安科技河北有限公司 边缘节点之间的通信方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040208625A1 (en) * 2002-06-27 2004-10-21 Nortel Networks Limited Irregular two-dimensional wide-coverage network
CN105591870A (zh) * 2015-08-13 2016-05-18 杭州华三通信技术有限公司 一种隧道建立方法和装置
CN105391817A (zh) * 2015-11-26 2016-03-09 上海紫越网络科技股份有限公司 基于sdp自检测nat穿越系统及方法
CN110247846A (zh) * 2019-07-26 2019-09-17 宙安科技河北有限公司 一种虚拟专用网的路由方法及路由装置
CN110401716A (zh) * 2019-07-26 2019-11-01 宙安科技河北有限公司 边缘节点之间的通信方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114584505A (zh) * 2022-01-25 2022-06-03 威胜信息技术股份有限公司 一种基于发布订阅的边边通讯消息路由方法
CN114584505B (zh) * 2022-01-25 2024-04-09 威胜信息技术股份有限公司 一种基于发布订阅的边边通讯消息路由方法
WO2023155224A1 (en) * 2022-02-17 2023-08-24 Hong Kong Applied Science and Technology Research Institute Company Limited A method of setting up connections between edge sites in a 5g communications network

Also Published As

Publication number Publication date
CN113938486B (zh) 2022-04-15

Similar Documents

Publication Publication Date Title
US7830878B2 (en) Virtual network connection system, virtual network connection apparatus, and computer-readable medium
WO2021136311A1 (zh) 一种vpc之间的通信方法及装置
CN113938486B (zh) 用于边缘计算的在单向网络上实现双向安全通讯的方法
CN107872542B (zh) 一种数据传输的方法及网络设备
WO2021207922A1 (zh) 报文传输方法、装置及系统
WO2020186925A1 (zh) 一种数据传输的方法和计算机系统
US20150326524A1 (en) Address resolution in software-defined networks
US10454880B2 (en) IP packet processing method and apparatus, and network system
WO2020248963A1 (zh) 一种建立端到端网络连接的方法、装置及网络系统
JP2017532903A (ja) 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法
US8621087B2 (en) Method for configuring closed user network using IP tunneling mechanism and closed user network system
CN112583618B (zh) 为业务提供网络服务的方法、装置和计算设备
WO2023173720A1 (zh) 应用访问方法、云端代理及节点代理组件、设备、介质
US20190215191A1 (en) Deployment Of Virtual Extensible Local Area Network
WO2023185823A1 (zh) 工业设备的远程通信方法、装置以及设备
AU2021269297A1 (en) Systems and methods for providing a ReNAT communications environment
US9276847B2 (en) Systems and methods for providing a ReNAT virtual private network
WO2009146615A1 (zh) 网络地址转换业务的处理方法和系统及处理器
CN112187584A (zh) 路径故障探测方法、系统、服务器及存储介质
CN112994928B (zh) 一种虚拟机的管理方法、装置及系统
CN114024782B (zh) 基于三层安全隧道技术的云与边缘、边缘与边缘组网系统
JP2019050628A5 (zh)
CN108040132A (zh) RapidIO转万兆网关协议实现的系统
WO2014117474A1 (zh) 路由方法、系统及相关设备
US9548964B1 (en) VPN for containers and virtual machines in local area networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 7-9f, creative industry park, 328 Xinghu street, Suzhou Industrial Park, Suzhou City, Jiangsu Province, 215213

Applicant after: Jiangsu Boyun Technology Co.,Ltd.

Address before: 7-9f, creative industry park, 328 Xinghu street, Suzhou Industrial Park, Suzhou City, Jiangsu Province, 215213

Applicant before: SUZHOU BONA XUNDONG SOFTWARE Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant