WO2019000599A1

WO2019000599A1 - 一种动态虚拟专用网络建立方法及装置

Info

Publication number: WO2019000599A1
Application number: PCT/CN2017/097204
Authority: WO
Inventors: 杨帆; 王根平; 朱旗; 李子文
Original assignee: 深圳市欧乐在线技术发展有限公司
Priority date: 2017-06-28
Filing date: 2017-08-11
Publication date: 2019-01-03
Also published as: CN107231372A

Abstract

本发明公开了一种动态虚拟专用网络建立方法及装置，涉及通信技术领域，该方法包括：终端通过超级节点与接入服务器之间根据预设的VPN协议建立信令通道，其中，所述超级节点是动态变化的；通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道，通过控制网来建立数据传输通道，控制与数据传输相分离，且IP地址动态变化，提高了设备的安全性。

Description

发明名称：一种动态虚拟专用网络建立方法及装置

技术领域

[0001] 本发明涉及通信技术领域，尤其涉及一种动态虚拟专用网络建立方法及装置。

背景技术

[0002] VPN (Virtual Private Network, 虚拟专用网络）是一种中转服务，当我们的电脑接入 VPN后，我们的对外公网 IP就会发生改变，会变成 VPN服务器的公网 IP，我们请求或者接受任何数据都会通过这个 VPN服务器，然后在传到我们的电脑上；现有的 VPN型号多、互不兼容、漏洞多；至少一方的 IP固定，易被攻击；而且在组网吋，必须按照事先的配置进行组网，并且要完成一个全联通的网络结构和配置就变得复杂。由于要建立一对一的连接，所以当有 N个网络结构设备进行互联吋，网络的就必须建立 Nx(N - 1) / 2个连接，这样不仅造成了组网和配置的复杂，而且配置吋必须知道对端设备的基本信息。比如总部、分公司 1、分公司 2三个网络要全联通 VPN吋，需要 3 (3-1) /2即 3个连接。传统的 VPN，随着需要接入的独立网段的增加，部署配置将变得非常复杂。

技术问题

[0003] 本发明的主要目的在于提出一种动态虚拟专用网络建立方法及装置，通过控制网来建立数据传输通道，控制与数据传输相分离，且 IP地址动态变化，提高了设备的安全性。

问题的解决方案

技术解决方案

[0004] 为实现上述目的，本发明提供的一种动态虚拟专用网络建立方法，包括： [0005] 终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道，其中

，所述超级节点是动态变化的；

[0006] 通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道。

[0007] 可选地，所述终端内设置有 ID芯片，所述预设的 VPN协议配置在所述 ID芯片内 [0008] 可选地，所述终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道包括：

[0009] 所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通道连接。

[0010] 可选地，所述终端与终端之间根据预设的算法密钥建立内容通道包括：

[0011] 所述终端与终端之间通过内容通道直接连接；或，

[0012] 所述终端与终端之间通过内容通道并经过中间节点进行连接。

[0013] 可选地，所述超级节点的数量为多个。

[0014] 作为本发明的另一方面，提供的一种动态虚拟专用网络建立装置，包括： [0015] 信令通道建立模块，用于终端通过超级节点与接入服务器之间根据预设的 VPN 协议建立信令通道；其中，所述超级节点是动态变化的；

[0016] 内容通道建立模块，用于通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道。

[0017] 可选地，所述终端内设置有 ID芯片，所述预设的 VPN协议配置在所述 ID芯片内 [0018] 可选地，所述信令通道建立模块包括：

[0019] 所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通道连接。

[0020] 可选地，所述内容通道建立模块包括：

[0021] 所述终端与终端之间通过内容通道直接连接；或，

[0022] 所述终端与终端之间通过内容通道并经过中间节点进行连接。

[0023] 可选地，所述超级节点的数量为多个。

发明的有益效果

有益效果

[0024] 本发明提出的一种动态虚拟专用网络建立方法及装置，该方法包括：终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道，其中，所述超级节点是动态变化的；通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道，通过控制网来建立数据传输通道，控制与数据传输相分离，且 IP地址动态变化，提高了设备的安全性。

对附图的简要说明附图说明

[0025] 图 1为本发明实施例一提供的一种动态虚拟专用网络建立方法流程图；

[0026] 图 2为本发明实施例一提供的两个终端连接的一种通信模型示意图；

[0027] 图 3为本发明实施例一提供的两个终端连接的另一种通信模型示意图；

[0028] 图 4为本发明实施例二提供的一种动态虚拟专用网络建立装置示范性结构框图

[0029] 本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

实施该发明的最佳实施例

本发明的最佳实施方式

[0030] 应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

[0031] 在后续的描述中，使用用于表示元件的诸如"模块"、 "部件 "或"单元"的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此， "模块 "与"部件"可以混合地使用。

[0032] 如图 1所示，在本实施例中，一种动态虚拟专用网络建立方法，包括：

[0033] S10、终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道

，其中，所述超级节点是动态变化的；

[0034] S20、通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道

[0035] 在本实施例中，通过控制网来建立数据传输通道，控制与数据传输相分离，且 IP地址动态变化，提高了设备的安全性。

[0036] 在本实施例中，虚拟专用网络 VPN通道包括信令通道和内容通道，本实施例中，终端 T和超级节点 SN之间、 SN和接入服务器 SCR之间的 VPN通道为信令通道，两个终端 T之间以及终端 T通过中间节点 MN建立的 VPN通道为内容通道。内容通道是基于信令通道建立的，信令通道建立后终端 T根据协商好的算法密钥等建立相应的内容通道。

[0037] 在本实施例中，动态 VPN采用了 Client和 Server的方式，任意一个 Client设备只需要知道 Server的信息就能够和其他 Client设备进行互通，并且这种互通是自动的，不需要任何人为的干预；动态 VPN中， VPN服务器就是 Server, 其他的接入设备就是 Client。

[0038] 在本实施例中，所述终端内设置有 ID芯片，所述 ID芯片内配置有 VPN通道建立程序，任意两个终端建立通讯吋，终端内的程序通过相应协议协商完成 VPN通道的建立。

[0039] 所述预设的 VPN协议配置在所述 ID芯片内；常用的 VPN协议有 PPTP (点对点隧道协议）、 L2TP (第二次隧道协议）以及 OpenVPN等，本方案采用自定义的协议，在设备的 ID芯片内设有 vpn程序，基于信令系统进行协商。

[0040] 如图 2所示，为本实施例中的两个终端连接的通信模型，两个终端 T要进行业务数据通信，需要先利用信令进行内容通道的建立；具体步骤包括：注册：终端启动后要向系统进行注册；呼叫：终端呼叫对端吋，带上对端的号码，通过信令通道进行呼叫、寻址等操作，最终两个终端建立起内容通道。

[0041] 如图 3所示，为本实施例中的两个终端连接的另一种通信模型，当两个终端无法直接通信（防火墙等原因），则通过 MN节点进行数据转发，从而建立起内容通道。

[0042] 在本实施例中，信令通道用于控制，通过信令管道协商来动态建立内容管道；内容通道用于服务业务；控制与数据传输相分离；需要吋就建立，用完后就释放；而且每次 VPN通道、算法、密钥都不一样，基于真随机数原理产生白噪声，生成加密种子，实现真正的一次一密，提高了提高了设备的安全性。

[0043] 在本实施例中，所述步骤 S10包括：

[0044] 所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通道连接。

[0045] 在本实施例中，所述步骤 S20包括：

[0046] 所述终端与终端之间通过内容通道直接连接；或，

[0047] 所述终端与终端之间通过内容通道并经过中间节点进行连接。

[0048] 在本实施例中，所述超级节点的数量为多个；每次接入吋，经过的 SN不相同

，协商的算法密钥也不一样，这样建立的 VPN通道的 IP地址、加解密算法等均是动态变化的，即实现动态 VPN。

[0049] 实施例二 [0050] 如图 4所示，在本实施例中，一种动态虚拟专用网络建立装置，包括：

[0051] 信令通道建立模块 10，用于终端通过超级节点与接入服务器之间根据预设的 V

PN协议建立信令通道；其中，所述超级节点是动态变化的；

[0052] 内容通道建立模块 20，用于通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道。

[0053] 在本实施例中，通过控制网来建立数据传输通道，控制与数据传输相分离，且 IP地址动态变化，提高了设备的安全性。

[0054] 在本实施例中，虚拟专用网络 VPN通道包括信令通道和内容通道，本实施例中，终端 T和超级节点 SN之间、 SN和接入服务器 SCR之间的 VPN通道为信令通道，两个终端 T之间以及终端 T通过中间节点 MN建立的 VPN通道为内容通道。内容通道是基于信令通道建立的，信令通道建立后终端 T根据协商好的算法密钥等建立相应的内容通道。

[0055] 在本实施例中，动态 VPN采用了 Client和 Server的方式，任意一个 Client设备只需要知道 Server的信息就能够和其他 Client设备进行互通，并且这种互通是自动的，不需要任何人为的干预；动态 VPN中， VPN服务器就是 Server, 其他的接入设备就是 Client。

[0056] 在本实施例中，所述终端内设置有 ID芯片，所述 ID芯片内配置有 VPN通道建立程序，任意两个终端建立通讯吋，终端内的程序通过相应协议协商完成 VPN通道的建立。

[0057] 所述预设的 VPN协议配置在所述 ID芯片内；常用的 VPN协议有 PPTP (点对点隧道协议）、 L2TP (第二次隧道协议）以及 OpenVPN等，本方案采用自定义的协议，在设备的 ID芯片内设有 vpn程序，基于信令系统进行协商。

[0058] 如图 2所示，为本实施例中的两个终端连接的通信模型，两个终端 T要进行业务数据通信，需要先利用信令进行内容通道的建立；具体步骤包括：注册：终端启动后要向系统进行注册；呼叫：终端呼叫对端吋，带上对端的号码，通过信令通道进行呼叫、寻址等操作，最终两个终端建立起内容通道。

[0059] 如图 3所示，为本实施例中的两个终端连接的另一种通信模型，当两个终端无法直接通信（防火墙等原因），则通过 MN节点进行数据转发，从而建立起内容通道。

[0060] 在本实施例中，信令通道用于控制，通过信令管道协商来动态建立内容管道；内容通道用于服务业务；控制与数据传输相分离；需要吋就建立，用完后就释放；而且每次 VPN通道、算法、密钥都不一样，基于真随机数原理产生白噪声，生成加密种子，实现真正的一次一密，提高了提高了设备的安全性。

[0061] 在本实施例中，所述信令通道建立模块包括：

[0062] 所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通道连接。

[0063] 在本实施例中，所述内容通道建立模块包括：

[0064] 所述终端与终端之间通过内容通道直接连接；或，

[0065] 所述终端与终端之间通过内容通道并经过中间节点进行连接。

[0066] 在本实施例中，所述超级节点的数量为多个；每次接入吋，经过的 SN不相同，协商的算法密钥也不一样，这样建立的 VPN通道的 IP地址、加解密算法等均是动态变化的，即实现动态 VPN。

[0067] 需要说明的是，在本文中，术语"包括"、 "包含 "或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句 "包括一个 ...... "限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

[0068] 上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

[0069] 以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

权利要求书

[权利要求 1] 一种动态虚拟专用网络建立方法，其特征在于，包括：

终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道，其中，所述超级节点是动态变化的；

通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道。

[权利要求 2] 根据权利要求 1所述的一种动态虚拟专用网络建立方法，其特征在于

，所述终端内设置有 ID芯片，所述预设的 VPN协议配置在所述 ID芯片内。

[权利要求 3] 根据权利要求 2所述的一种动态虚拟专用网络建立方法，其特征在于

，所述终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道包括：

所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通道连接。

[权利要求 4] 根据权利要求 2所述的一种动态虚拟专用网络建立方法，其特征在于

，所述终端与终端之间根据预设的算法密钥建立内容通道包括：所述终端与终端之间通过内容通道直接连接；或，所述终端与终端之间通过内容通道并经过中间节点进行连接。

[权利要求 5] 根据权利要求 1所述的一种动态虚拟专用网络建立方法，其特征在于

，所述超级节点的数量为多个。

[权利要求 6] —种动态虚拟专用网络建立装置，其特征在于，包括：

信令通道建立模块，用于终端通过超级节点与接入服务器之间根据预设的 VPN协议建立信令通道；其中，所述超级节点是动态变化的；内容通道建立模块，用于通过所述信令通道，终端与终端之间根据预设的算法密钥建立内容通道。

[权利要求 7] 根据权利要求 6所述的一种动态虚拟专用网络建立装置，其特征在于

[权利要求 8] 根据权利要求 7所述的一种动态虚拟专用网络建立装置，其特征在于，所述信令通道建立模块包括：

所述终端与超级节点之间，超级节点与接入服务器之间均通过信令通

[权利要求 9] 根据权利要求 7所述的一种动态虚拟专用网络建立装置，其特征在于

，所述内容通道建立模块包括：

所述终端与终端之间通过内容通道直接连接；或，所述终端与终端之间通过内容通道并经过中间节点进行连接。

[权利要求 10] 根据权利要求 6所述的一种动态虚拟专用网络建立装置，其特征在于，所述超级节点的数量为多个。