提供彈性vpn服務(wù)的方法�����、系統(tǒng)和vpn服務(wù)中心的制作方法
【專利摘要】本發(fā)明公開了一種提供彈性VPN服務(wù)的方法�����、系統(tǒng)和VPN服務(wù)中心�����,涉及VPN領(lǐng)域��。其中方法包括VPN服務(wù)中心為每個(gè)客戶創(chuàng)建一個(gè)VPN根域�;VPN服務(wù)中心對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理;VPN服務(wù)中心接受VPN成員的注冊(cè)���,以便實(shí)現(xiàn)端到端的VPN通信��。用戶共享VPN服務(wù)中心的VPN資源��,VPN服務(wù)中心通過(guò)VPN域進(jìn)行資源控制��,從而實(shí)現(xiàn)對(duì)用戶提供彈性的VPN服務(wù)�。
【專利說(shuō)明】提供彈性VPN服務(wù)的方法����、系統(tǒng)和VPN服務(wù)中心
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))【技術(shù)領(lǐng)域】,特別涉及一種提供彈性VPN服務(wù)的方法��、系統(tǒng)和VPN服務(wù)中心���。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)的日益普及,公司各分支機(jī)構(gòu)之間為了共享商業(yè)數(shù)據(jù)�����,需要將各分支機(jī)構(gòu)聯(lián)網(wǎng)�,在保證數(shù)據(jù)存儲(chǔ)和傳輸安全的前提下實(shí)現(xiàn)數(shù)據(jù)共享。為達(dá)此目的��,企業(yè)各分支機(jī)構(gòu)之間除了租用專線實(shí)現(xiàn)互聯(lián)之外�,還可以利用隧道等技術(shù)建立VPN,從而通過(guò)公共網(wǎng)絡(luò)實(shí)現(xiàn)類似私有專網(wǎng)的數(shù)據(jù)傳輸��。
[0003]在傳統(tǒng)的VPN網(wǎng)關(guān)組網(wǎng)模式中��,由于VPN網(wǎng)關(guān)的容量需要根據(jù)用戶數(shù)預(yù)先配置好�,這樣VPN網(wǎng)關(guān)只能對(duì)用戶提供固定的VPN服務(wù)。因此�,部署VPN網(wǎng)關(guān)時(shí)會(huì)處于兩難抉擇:如果按現(xiàn)有需要配置硬件,則以后擴(kuò)容時(shí)則需要更換網(wǎng)關(guān)設(shè)備�,原有投資無(wú)法得到保證���;如果按大容量標(biāo)準(zhǔn)配置硬件,則容易造成投資的過(guò)度�����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實(shí)施例所要解決的一個(gè)技術(shù)問(wèn)題是:提供一種提供彈性VPN服務(wù)的方法��、系統(tǒng)和VPN服務(wù)中心����,以解決現(xiàn)有技術(shù)中只能為用戶提供固定VPN服務(wù)的問(wèn)題���。
[0005]根據(jù)本發(fā)明實(shí)施例的一個(gè)方面�,提供了一種提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的方法�,包括:虛擬專用網(wǎng)絡(luò)VPN服務(wù)中心為每個(gè)客戶創(chuàng)建一個(gè)VPN根域��;所述VPN服務(wù)中心對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理;所述VPN服務(wù)中心接受VPN成員的注冊(cè)����,以便實(shí)現(xiàn)端到端的VPN通信。
[0006]可選地��,所述VPN服務(wù)中心對(duì)客戶的VPN根域及其所屬VPN成員進(jìn)行管理包括:所述VPN服務(wù)中心在VPN根域下創(chuàng)建VPN子域,在VPN子域添加VPN成員�,將VPN成員劃分成員組,并為VPN成員或成員組制定安全策略�。
[0007]可選地,所述VPN服務(wù)中心接受VPN成員的注冊(cè)包括:所述VPN服務(wù)中心接收VPN成員通過(guò)其終端上報(bào)的節(jié)點(diǎn)信息�����,所述節(jié)點(diǎn)信息包括用戶標(biāo)識(shí)�����、互聯(lián)網(wǎng)協(xié)議IP地址和端口號(hào)��;所述VPN服務(wù)中心向VPN成員的終端下發(fā)配置信息�����,所述配置信息包括VPN成員所屬VPN子域和所屬VPN子域中在線終端���。
[0008]可選地�����,所述VPN服務(wù)中心接受VPN成員的注冊(cè)之后���,所述方法還包括:所述VPN服務(wù)中心接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求����;所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求����,查找相應(yīng)的安全策略;如果所述安全策略允許所述第一終端和所述第二終端建立VPN隧道���,所述VPN服務(wù)中心向所述第一終端和所述第二終端下發(fā)隧道建立信息,以便所述第一終端和所述第二終端根據(jù)所述隧道建立信息建立VPN隧道����。
[0009]可選地,所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求����,查找相應(yīng)的安全策略包括:所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求攜帶的所述第一終端和所述第二終端的用戶標(biāo)識(shí),查找所述第一終端和所述第二終端之間的安全策略���。[0010]可選地��,所述方法還包括:所述VPN服務(wù)中心確定所述第一終端和所述第二終端是否均為私網(wǎng)IP地址���;如果所述第一終端和所述第二終端均為私網(wǎng)IP地址���,所述VPN服務(wù)中心通知所述第一終端和所述第二終端分別和所述VPN服務(wù)中心中的具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道;或者���,如果所述第二終端為公網(wǎng)IP地址�,所述VPN服務(wù)中心通知所述第一終端向所述第二終端發(fā)起VPN隧道建立請(qǐng)求�;或者,如果所述第一終端為公網(wǎng)IP地址�����,所述VPN服務(wù)中心通知所述第二終端向所述第一終端發(fā)起VPN隧道建立請(qǐng)求�����。
[0011]可選地����,所述VPN服務(wù)中心基于云計(jì)算技術(shù)構(gòu)建。
[0012]根據(jù)本發(fā)明實(shí)施例的另一個(gè)方面��,提供了一種虛擬專用網(wǎng)絡(luò)服務(wù)中心,包括:VPN業(yè)務(wù)管理系統(tǒng)����,用于為每個(gè)客戶創(chuàng)建一個(gè)VPN根域;對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理��;以及VPN接入系統(tǒng)���,用于接受VPN成員的注冊(cè)���,以便實(shí)現(xiàn)端到端的VPN通信。
[0013]可選地���,所述VPN業(yè)務(wù)管理系統(tǒng)����,用于在VPN根域下創(chuàng)建VPN子域����,在VPN子域添加VPN成員�����,將VPN成員劃分成員組�����,并為VPN成員或成員組制定安全策略。
[0014]可選地�,所述VPN接入系統(tǒng),用于接收VPN成員通過(guò)其終端上報(bào)的節(jié)點(diǎn)信息��,所述節(jié)點(diǎn)信息包括用戶標(biāo)識(shí)�����、互聯(lián)網(wǎng)協(xié)議IP地址和端口號(hào)����;向VPN成員的終端下發(fā)配置信息,所述配置信息包括VPN成員所屬VPN子域和所屬VPN子域中在線終端�。
[0015]可選地,所述VPN接入系統(tǒng)�����,還用于接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求�����;根據(jù)所述建立VPN隧道的請(qǐng)求,查找相應(yīng)的安全策略����;如果所述安全策略允許所述第一終端和所述第二終端建立VPN隧道,向所述第一終端和所述第二終端下發(fā)隧道建立信息����,以便所述第一終端和所述第二終端根據(jù)所述隧道建立信息建立VPN隧道。
[0016]可選地���,所述VPN接入系統(tǒng)����,用于根據(jù)所述建立VPN隧道的請(qǐng)求攜帶的所述第一終端和所述第二終端的用戶標(biāo)識(shí)�,查找所述第一終端和所述第二終端之間的安全策略。
[0017]可選地�,所述虛擬專用網(wǎng)絡(luò)服務(wù)中心還包括:具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng);所述VPN接入系統(tǒng)���,還用于確定所述第一終端和所述第二終端是否均為私網(wǎng)IP地址;如果所述第一終端和所述第二終端均為私網(wǎng)IP地址�����,所述VPN服務(wù)中心通知所述第一終端和所述第二終端分別和所述VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道;或者��,如果所述第二終端為公網(wǎng)IP地址����,所述VPN服務(wù)中心通知所述第一終端向所述第二終端發(fā)起VPN隧道建立請(qǐng)求����;或者,如果所述第一終端為公網(wǎng)IP地址��,所述VPN服務(wù)中心通知所述第二終端向所述第一終端發(fā)起VPN隧道建立請(qǐng)求�����。
[0018]可選地����,所述VPN服務(wù)中心基于云計(jì)算技術(shù)構(gòu)建。
[0019]根據(jù)本發(fā)明實(shí)施例的再一個(gè)方面��,提供了一種提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的系統(tǒng)���,包括上述VPN服務(wù)中心和終端�����。
[0020]本發(fā)明用戶共享VPN服務(wù)中心的VPN資源��,VPN服務(wù)中心通過(guò)VPN域進(jìn)行資源控制�,從而實(shí)現(xiàn)對(duì)用戶提供彈性的VPN服務(wù)。另外�,VPN服務(wù)中心集中管理安全策略,用戶根據(jù)安全策略按需動(dòng)態(tài)建立VPN隧道����,用戶自己無(wú)須VPN路由組織,因此減少了配置管理的復(fù)雜性����。并且,通過(guò)用戶標(biāo)識(shí)進(jìn)行安全控制��,使得安全策略不依賴于IP地址�����,在終端IP地址改變時(shí)不影響安全策略�,從而使得安全策略的維護(hù)管理比較簡(jiǎn)單。另外��,增設(shè)了一個(gè)具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)���,具有私網(wǎng)IP地址的兩個(gè)終端分別與具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)建立VPN隧道����,從而在第一終端和第二終端間接建立起VPN連接���,解決了傳統(tǒng)VPN中用戶接入受限的問(wèn)題���。[0021]下面通過(guò)附圖和實(shí)施例,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述��。
【專利附圖】
【附圖說(shuō)明】
[0022]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖����。
[0023]圖1示出本發(fā)明一個(gè)實(shí)施例提供的虛擬專用網(wǎng)絡(luò)架構(gòu)示意圖。
[0024]圖2示出本發(fā)明一個(gè)實(shí)施例的開戶過(guò)程信息交互圖�。
[0025]圖3示出本發(fā)明一個(gè)實(shí)施例的注冊(cè)過(guò)程信息交互圖。
[0026]圖4示出本發(fā)明一個(gè)實(shí)施例的VPN隧道建立過(guò)程信息交互圖����。
[0027]圖5示出本發(fā)明提供彈性VPN服務(wù)的方法的一個(gè)實(shí)施例的流程圖。
[0028]圖6示出本發(fā)明提供彈性VPN服務(wù)的方法的另一個(gè)實(shí)施例的流程圖��。
[0029]圖7示出本發(fā)明提供彈性VPN服務(wù)的方法的再一個(gè)實(shí)施例的流程圖��。
[0030]圖8示出本發(fā)明虛擬專用網(wǎng)絡(luò)服務(wù)中心的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����。
[0031]圖9示出本發(fā)明虛擬專用網(wǎng)絡(luò)服務(wù)中心的另一個(gè)實(shí)施例結(jié)構(gòu)示意圖。
[0032]圖10示出本發(fā)明提供彈性VPN服務(wù)的系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��。
【具體實(shí)施方式】
[0033]下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述,顯然�,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例����。以下對(duì)至少一個(gè)示例性實(shí)施例的描述實(shí)際上僅僅是說(shuō)明性的���,決不作為對(duì)本發(fā)明及其應(yīng)用或使用的任何限制�����?����;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例���,都屬于本發(fā)明保護(hù)的范圍���。
[0034]除非另外具體說(shuō)明,否則在這些實(shí)施例中闡述的部件和步驟的相對(duì)布置���、數(shù)字表達(dá)式和數(shù)值不限制本發(fā)明的范圍�。
[0035]同時(shí)����,應(yīng)當(dāng)明白,為了便于描述���,附圖中所示出的各個(gè)部分的尺寸并不是按照實(shí)際的比例關(guān)系繪制的�����。
[0036]對(duì)于相關(guān)領(lǐng)域普通技術(shù)人員已知的技術(shù)��、方法和設(shè)備可能不作詳細(xì)討論����,但在適當(dāng)情況下��,所述技術(shù)、方法和設(shè)備應(yīng)當(dāng)被視為授權(quán)說(shuō)明書的一部分�。
[0037]在這里示出和討論的所有示例中,任何具體值應(yīng)被解釋為僅僅是示例性的�,而不是作為限制。因此�,示例性實(shí)施例的其它示例可以具有不同的值。
[0038]應(yīng)注意到:相似的標(biāo)號(hào)和字母在下面的附圖中表示類似項(xiàng)��,因此�,一旦某一項(xiàng)在一個(gè)附圖中被定義����,則在隨后的附圖中不需要對(duì)其進(jìn)行進(jìn)一步討論。
[0039]圖1示出本發(fā)明一個(gè)實(shí)施例提供的虛擬專用網(wǎng)絡(luò)架構(gòu)示意圖�。如圖1所示,該虛擬專用網(wǎng)絡(luò)包括VPN服務(wù)中心102和終端104�����。其中����,VPN服務(wù)中心102可以包括VPN業(yè)務(wù)管理系統(tǒng)102a、VPN接入系統(tǒng)102b�、VPN轉(zhuǎn)發(fā)系統(tǒng)102c。VPN業(yè)務(wù)管理系統(tǒng)102a主要負(fù)責(zé)VPN域管理、用戶的安全策略管理�����、用戶帳號(hào)管理����、用戶路由信息封裝管理,在IPSec (InternetProtocol Security,互聯(lián)網(wǎng)協(xié)議安全性)VPN中還可以協(xié)助建立用戶端到端的IPSec加密隧道����。VPN接入系統(tǒng)102b負(fù)責(zé)接收用戶請(qǐng)求、對(duì)用戶進(jìn)行認(rèn)證等����。VPN轉(zhuǎn)發(fā)系統(tǒng)102c具有公網(wǎng)IP地址,負(fù)責(zé)為VPN成員提供包轉(zhuǎn)發(fā)服務(wù)�����,不論VPN成員是公網(wǎng)用戶還是私網(wǎng)用戶���,均可以實(shí)現(xiàn)VPN成員之間的雙向通信�����,后續(xù)會(huì)詳細(xì)說(shuō)明����。需要說(shuō)明的是,虛擬專用網(wǎng)絡(luò)服務(wù)中心102可以基于云計(jì)算技術(shù)構(gòu)建����,從而可以根據(jù)用戶需求動(dòng)態(tài)的調(diào)整資源配置。終端104一般可以有兩個(gè)以上�,作為示例,圖1僅示出兩個(gè)終端�����,即第一終端和第二終端�����,每個(gè)終端可以安裝客戶端軟件�,從而自動(dòng)獲取成員密鑰�,對(duì)數(shù)據(jù)包進(jìn)行路由信息封裝,以及自動(dòng)建立和拆除端到端的IPSec加密信道等����。
[0040]一個(gè)完整的VPN服務(wù)流程通常包括三個(gè)階段,分別是開戶階段、注冊(cè)階段�、VPN隧道建立階段,下面分別詳細(xì)說(shuō)明�。
[0041]圖2示出本發(fā)明一個(gè)實(shí)施例的開戶過(guò)程信息交互圖。如圖2所示��,該實(shí)施例的開戶過(guò)程具體包括:
[0042]S202��,業(yè)務(wù)管理員為每個(gè)客戶在VPN服務(wù)中心創(chuàng)建一個(gè)VPN根域以及根域管理員帳號(hào)�����,具體可以在VPN業(yè)務(wù)管理系統(tǒng)創(chuàng)建��。
[0043]S204, VPN業(yè)務(wù)管理系統(tǒng)向根域管理員下發(fā)數(shù)字證書I����。
[0044]S206,根域管理員通過(guò)其賬號(hào)登錄VPN服務(wù)中心�,提交數(shù)字證書I進(jìn)行身份認(rèn)證。
[0045]S208�,VPN業(yè)務(wù)管理系統(tǒng)通過(guò)數(shù)字證書I對(duì)根域管理員進(jìn)行身份認(rèn)證,如果認(rèn)證通過(guò)����,則向根域管理員返回身份認(rèn)證通過(guò)消息�,如果認(rèn)證不通過(guò)���,則向根域管理員返回身份認(rèn)證失敗消息��。
[0046]S210��,根域管理員在身份認(rèn)證通過(guò)后���,在VPN服務(wù)中心對(duì)自身對(duì)應(yīng)的VPN根域及其所屬VPN成員進(jìn)行管理,具體可以在VPN業(yè)務(wù)管理系統(tǒng)進(jìn)行管理���。例如��,根域管理員可以進(jìn)一步在VPN根域創(chuàng)建添加VPN子域��,在VPN子域還可以添加VPN成員,將VPN成員劃分成員組等�,并可以針對(duì)VPN成員或者成員組靈活地制定安全策略,以實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部的管理和控制����。其中,VPN成員可以是企業(yè)內(nèi)部用戶的終端�,如個(gè)人電腦����,移動(dòng)設(shè)備等��。
[0047]S212����,VPN業(yè)務(wù)管理系統(tǒng)為VPN成員分配用于唯一標(biāo)識(shí)VPN成員的用戶標(biāo)識(shí),以及成員賬號(hào)和臨時(shí)密碼�����。其中���,安全策略可以與用戶標(biāo)識(shí)相對(duì)應(yīng)�����。
[0048]S214���,VPN成員通過(guò)其成員賬號(hào)和臨時(shí)密碼登錄VPN業(yè)務(wù)管理系統(tǒng)。
[0049]S216, VPN業(yè)務(wù)管理系統(tǒng)向VPN成員下發(fā)數(shù)據(jù)證書2�。
[0050]由上述開戶過(guò)程可以看出,用戶共享VPN服務(wù)中心的VPN資源���,VPN服務(wù)中心通過(guò)VPN域進(jìn)行資源控制����,從而實(shí)現(xiàn)對(duì)用戶提供彈性的VPN服務(wù)。
[0051]至此���,開戶過(guò)程結(jié)束�����。后續(xù)�����,VPN成員可以向VPN服務(wù)中心發(fā)起注冊(cè)過(guò)程��。
[0052]圖3示出本發(fā)明一個(gè)實(shí)施例的注冊(cè)過(guò)程信息交互圖���。如圖3所示,終端即為VPN成員��,終端向VPN服務(wù)中心的VPN接入系統(tǒng)發(fā)起注冊(cè)����,該實(shí)施例的注冊(cè)過(guò)程具體包括:
[0053]S302,VPN成員可以在其終端可以安裝客戶端軟件�,然后終端自動(dòng)向VPN服務(wù)中心的VPN接入系統(tǒng)提交注冊(cè)請(qǐng)求,該請(qǐng)求中可以攜帶終端的節(jié)點(diǎn)信息�,如用戶標(biāo)識(shí)、IP地址���、端口號(hào)等�。
[0054]S304, VPN接入系統(tǒng)向終端發(fā)送身份認(rèn)證請(qǐng)求����。
[0055]S306,終端向VPN接入系統(tǒng)提交數(shù)字證書2進(jìn)行身份驗(yàn)證����。
[0056]S308, VPN接入系統(tǒng)根據(jù)數(shù)字證書2對(duì)終端進(jìn)行身份驗(yàn)證,驗(yàn)證通過(guò)后���,向終端發(fā)送認(rèn)證通過(guò)消息����。[0057]S310����,終端和VPN接入系統(tǒng)雙方協(xié)商加密算法和會(huì)話密鑰�,建立加密信道���。
[0058]S312�,VPN接入系統(tǒng)向終端下發(fā)VPN成員所屬VPN子域����、同屬VPN子域中的在線終
端等配置信息;
[0059]S314�����,終端定時(shí)發(fā)送?����;钚畔?���,表明其在線狀態(tài)。如果終端的IP地址發(fā)生改變�����,則重新啟動(dòng)注冊(cè)流程,以更新其節(jié)點(diǎn)信息��。由于VPN接入系統(tǒng)存儲(chǔ)的是用戶標(biāo)識(shí)與安全策略的對(duì)應(yīng)關(guān)系���,因此,終端IP地址改變并不會(huì)影響安全策略��,只須更新終端的用戶標(biāo)識(shí)對(duì)應(yīng)的IP地址即可�,無(wú)須更新相關(guān)的安全策略,從而使得安全策略的維護(hù)管理比較簡(jiǎn)單���。
[0060]至此�����,注冊(cè)過(guò)程結(jié)束�����。后續(xù)�,各個(gè)VPN成員可以通過(guò)VPN服務(wù)中心建立VPN隧道��。
[0061]圖4示出本發(fā)明一個(gè)實(shí)施例的VPN隧道建立過(guò)程信息交互圖�。如圖4所示,第一終端和第二終端均為VPN成員,第一終端和第二終端通過(guò)VPN服務(wù)中心建立VPN隧道�����,該實(shí)施例的VPN隧道建立過(guò)程包括:
[0062]S402��,第一終端在“在線終端”列表中選擇第二終端����,向VPN服務(wù)中心的VPN接入系統(tǒng)發(fā)送與第二終端建立VPN隧道的請(qǐng)求,該請(qǐng)求可以攜帶第一終端和第二終端的用戶標(biāo)識(shí)����。
[0063]S404,VPN接入系統(tǒng)根據(jù)第一終端和第二終端的用戶標(biāo)識(shí)查找相應(yīng)的安全策略���,如果符合安全策略�����,即安全策略允許第一終端與第二終端建立VPN連接�,VPN接入系統(tǒng)進(jìn)一步確定第一終端和第二終端是否均為私網(wǎng)IP地址���;
[0064]a)如果第一終端和第二終端中至少有一個(gè)是公網(wǎng)IP地址��,則
[0065]S406al����,VPN接入系統(tǒng)向兩個(gè)終端下發(fā)預(yù)共享密鑰等隧道建立信息,并通知一個(gè)終端向具有公網(wǎng)IP地址的另一個(gè)終端發(fā)起VPN隧道建立流程�;
[0066]S406a2,兩個(gè)終端根據(jù)預(yù)共享密鑰等隧道建立信息最終建立起端到端的VPN隧道�。
[0067]例如,如果第二終端為公網(wǎng)IP地址�����,VPN接入系統(tǒng)通知第一終端向第二終端發(fā)起VPN隧道建立請(qǐng)求����,VPN接入系統(tǒng)向第一終端發(fā)送第二終端的公網(wǎng)IP地址,并向第一終端和第二終端下發(fā)預(yù)共享密鑰等隧道建立信息��,第一終端根據(jù)第二終端的公網(wǎng)IP地址向第二終端發(fā)起VPN隧道建立流程��,第一終端和第二終端根據(jù)預(yù)共享密鑰等隧道建立信息最終建立起VPN隧道��。
[0068]又如�����,如果第一終端為公網(wǎng)IP地址,VPN接入系統(tǒng)通知第二終端向第一終端發(fā)起VPN隧道建立請(qǐng)求�,VPN接入系統(tǒng)向第二終端發(fā)送第一終端的公網(wǎng)IP地址,并向第一終端和第二終端下發(fā)預(yù)共享密鑰等隧道建立信息����,第二終端根據(jù)第一終端的公網(wǎng)IP地址向第一終端發(fā)起VPN隧道建立流程,第一終端和第二終端根據(jù)預(yù)共享密鑰等隧道建立信息最終建立起VPN隧道�����。
[0069]另外�,需要說(shuō)明的是,如果兩個(gè)終端都具有公網(wǎng)IP地址��,可以由任意一方發(fā)起VPN隧道建立流程����,但是通常情況下,可以由發(fā)送建立VPN隧道請(qǐng)求的一方來(lái)發(fā)起VPN隧道建立流程�����,例如��,如果第一終端和第二終端均具有公網(wǎng)IP地址�����,在本實(shí)施例中則可以由第一終端向第二終端發(fā)起VPN隧道建立流程。
[0070]b)如果第一終端和第二終端均為私網(wǎng)IP地址�����,則
[0071]S406bl��,VPN接入系統(tǒng)通知第一終端和第二終端分別和具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道�����,并向第一終端和第二終端下發(fā)VPN轉(zhuǎn)發(fā)系統(tǒng)的公網(wǎng)IP地址以及預(yù)共享密鑰等隧道建立信息�;
[0072]S406b2���,第一終端根據(jù)VPN轉(zhuǎn)發(fā)系統(tǒng)的公網(wǎng)IP地址向VPN轉(zhuǎn)發(fā)系統(tǒng)發(fā)起VPN隧道建立流程��,第一終端和VPN轉(zhuǎn)發(fā)系統(tǒng)根據(jù)預(yù)共享密鑰等隧道建立信息最終建立起VPN隧道��;同時(shí)�����,第二終端根據(jù)VPN轉(zhuǎn)發(fā)系統(tǒng)的公網(wǎng)IP地址向VPN轉(zhuǎn)發(fā)系統(tǒng)發(fā)起VPN隧道建立流程�,第二終端和VPN轉(zhuǎn)發(fā)系統(tǒng)根據(jù)預(yù)共享密鑰等隧道建立信息最終建立起VPN隧道,則第一終端和第二終端通過(guò)VPN轉(zhuǎn)發(fā)系統(tǒng)間接建立起了 VPN隧道��,后續(xù)�,第一終端和第二終端可以通過(guò)VPN轉(zhuǎn)發(fā)系統(tǒng)進(jìn)行數(shù)據(jù)傳輸。
[0073]由上述VPN隧道建立過(guò)程可以看出��,VPN服務(wù)中心集中管理安全策略���,用戶根據(jù)安全策略按需動(dòng)態(tài)建立VPN隧道�,用戶自己無(wú)須VPN路由組織����,因此減少了配置管理的復(fù)雜性。并且����,通過(guò)用戶標(biāo)識(shí)進(jìn)行安全控制,使得安全策略不依賴于IP地址����,在終端IP地址改變時(shí)不影響安全策略,從而使得安全策略的維護(hù)管理比較簡(jiǎn)單���。另外�,增設(shè)了一個(gè)具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng),具有私網(wǎng)IP地址的兩個(gè)終端分別與具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)建立VPN隧道����,從而在第一終端和第二終端間接建立起VPN連接,解決了傳統(tǒng)VPN中用戶接入受限的問(wèn)題�。
[0074]至此,VPN隧道建立過(guò)程結(jié)束����。后續(xù),各個(gè)VPN成員可以通過(guò)建立的VPN隧道進(jìn)行數(shù)據(jù)傳輸��。
[0075]參考上述VPN服務(wù)流程��,為了解決現(xiàn)有技術(shù)中只能為用戶提供固定VPN服務(wù)的問(wèn)題�,本發(fā)明的一個(gè)實(shí)施例還提供了一種提供彈性VPN服務(wù)的方法��,圖5示出該方法的流程圖�����,包括:
[0076]S502, VPN服務(wù)中心為每個(gè)客戶創(chuàng)建一個(gè)VPN根域���。
[0077]S504�,VPN服務(wù)中心對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理;具體地���,VPN服務(wù)中心在VPN根域下創(chuàng)建VPN子域����,在VPN子域添加VPN成員��,將VPN成員劃分成員組��,并為VPN成員或成員組制定安全策略�。
[0078]S506, VPN服務(wù)中心接受VPN成員的注冊(cè),以便實(shí)現(xiàn)端到端的VPN通信���。
[0079]上述實(shí)施例中���,用戶共享VPN服務(wù)中心的VPN資源,VPN服務(wù)中心通過(guò)VPN域進(jìn)行資源控制�,從而實(shí)現(xiàn)對(duì)用戶提供彈性的VPN服務(wù)。
[0080]參考上述VPN服務(wù)流程�,為了解決現(xiàn)有技術(shù)中用戶自己需要配置和維護(hù)VPN路由組織的問(wèn)題,如圖6所示�����,VPN服務(wù)中心接受VPN成員的注冊(cè)之后,提供彈性VPN服務(wù)的方法還包括:
[0081]S602, VPN服務(wù)中心接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求�����;
[0082]S604, VPN服務(wù)中心根據(jù)建立VPN隧道的請(qǐng)求�,查找相應(yīng)的安全策略;
[0083]S606����,如果安全策略允許第一終端和第二終端建立VPN隧道,VPN服務(wù)中心向第一終端和第二終端下發(fā)隧道建立信息��,以便第一終端和第二終端根據(jù)隧道建立信息建立VPN隧道�。
[0084]上述實(shí)施例中,VPN服務(wù)中心集中管理安全策略��,用戶根據(jù)安全策略按需動(dòng)態(tài)建立VPN隧道�����,用戶自己無(wú)須VPN路由組織����,因此減少了配置管理的復(fù)雜性�����。
[0085]其中,VPN服務(wù)中心可以根據(jù)建立VPN隧道的請(qǐng)求攜帶的第一終端和第二終端的用戶標(biāo)識(shí)�,查找第一終端和第二終端之間的安全策略。
[0086]通過(guò)用戶標(biāo)識(shí)進(jìn)行安全控制��,使得安全策略不依賴于IP地址����,在終端IP地址改變時(shí)不影響安全策略,從而使得安全策略的維護(hù)管理比較簡(jiǎn)單���。
[0087]參考上述VPN服務(wù)流程�����,為了解決現(xiàn)有技術(shù)中兩個(gè)終端均為私網(wǎng)IP地址時(shí)接入受限的問(wèn)題���,如圖7所示,安全策略允許第一終端和第二終端建立VPN隧道之后����,提供彈性VPN服務(wù)的方法還包括:
[0088]S702, VPN服務(wù)中心確定第一終端和第二終端是否均為私網(wǎng)IP地址;
[0089]S704a,如果第一終端和第二終端均為私網(wǎng)IP地址,VPN服務(wù)中心通知第一終端和第二終端分別和VPN服務(wù)中心中的具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道���;
[0090]S704b,如果第二終端為公網(wǎng)IP地址�,VPN服務(wù)中心通知第一終端向第二終端發(fā)起VPN隧道建立請(qǐng)求���;
[0091]S704c��,如果第一終端為公網(wǎng)IP地址�,VPN服務(wù)中心通知第二終端向第一終端發(fā)起VPN隧道建立請(qǐng)求�。
[0092]上述實(shí)施例中,增設(shè)了一個(gè)具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)���,具有私網(wǎng)IP地址的兩個(gè)終端分別與具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)建立VPN隧道����,從而在第一終端和第二終端間接建立起VPN連接�,解決了傳統(tǒng)VPN中用戶接入受限的問(wèn)題。
[0093]圖8所示為本發(fā)明虛擬專用網(wǎng)絡(luò)服務(wù)中心的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖���,如圖8所示����,包括:
[0094]VPN業(yè)務(wù)管理系統(tǒng)102a�,用于為每個(gè)客戶創(chuàng)建一個(gè)VPN根域;對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理���;以及
[0095]VPN接入系統(tǒng)102b����,用于接受VPN成員的注冊(cè)���,以便實(shí)現(xiàn)端到端的VPN通信���。
[0096]作為另一實(shí)施例,VPN業(yè)務(wù)管理系統(tǒng)102a�����,用于在VPN根域下創(chuàng)建VPN子域���,在VPN子域添加VPN成員���,將VPN成員劃分成員組,并為VPN成員或成員組制定安全策略�。
[0097]作為另一實(shí)施例��,VPN接入系統(tǒng)102b�,用于接收VPN成員通過(guò)其終端上報(bào)的節(jié)點(diǎn)信息��,節(jié)點(diǎn)信息包括用戶標(biāo)識(shí)��、互聯(lián)網(wǎng)協(xié)議IP地址和端口號(hào)�;向VPN成員的終端下發(fā)配置信息,配置信息包括VPN成員所屬VPN子域和所屬VPN子域中在線終端���。
[0098]作為另一實(shí)施例�����,VPN接入系統(tǒng)102b����,還用于接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求����;根據(jù)建立VPN隧道的請(qǐng)求,查找相應(yīng)的安全策略���;如果安全策略允許第一終端和第二終端建立VPN隧道��,向第一終端和第二終端下發(fā)隧道建立信息�,以便第一終端和第二終端根據(jù)隧道建立信息建立VPN隧道�。
[0099]作為另一實(shí)施例,VPN接入系統(tǒng)102b��,用于根據(jù)建立VPN隧道的請(qǐng)求攜帶的第一終端和第二終端的用戶標(biāo)識(shí)�,查找第一終端和第二終端之間的安全策略。
[0100]作為另一實(shí)施例��,如圖9所示�,虛擬專用網(wǎng)絡(luò)服務(wù)中心還包括:具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)120c ;VPN接入系統(tǒng),還用于確定第一終端和第二終端是否均為私網(wǎng)IP地址��;如果第一終端和第二終端均為私網(wǎng)IP地址��,VPN服務(wù)中心通知第一終端和第二終端分別和VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道�;或者,如果第二終端為公網(wǎng)IP地址�����,VPN服務(wù)中心通知第一終端向第二終端發(fā)起VPN隧道建立請(qǐng)求����;或者�����,如果第一終端為公網(wǎng)IP地址����,VPN服務(wù)中心通知第二終端向第一終端發(fā)起VPN隧道建立請(qǐng)求�。
[0101]作為另一實(shí)施例,VPN服務(wù)中心基于云計(jì)算技術(shù)構(gòu)建����。
[0102]上述實(shí)施例中,用戶共享VPN服務(wù)中心的VPN資源���,VPN服務(wù)中心通過(guò)VPN域進(jìn)行資源控制�����,從而實(shí)現(xiàn)對(duì)用戶提供彈性的VPN服務(wù)�。另外�����,VPN服務(wù)中心集中管理安全策略�,用戶根據(jù)安全策略按需動(dòng)態(tài)建立VPN隧道����,用戶自己無(wú)須VPN路由組織����,因此減少了配置管理的復(fù)雜性��。并且���,通過(guò)用戶標(biāo)識(shí)進(jìn)行安全控制���,使得安全策略不依賴于IP地址,在終端IP地址改變時(shí)不影響安全策略���,從而使得安全策略的維護(hù)管理比較簡(jiǎn)單�����。另外��,增設(shè)了一個(gè)具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)����,具有私網(wǎng)IP地址的兩個(gè)終端分別與具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)建立VPN隧道,從而在第一終端和第二終端間接建立起VPN連接�����,解決了傳統(tǒng)VPN中用戶接入受限的問(wèn)題���。
[0103]圖10所示為本發(fā)明提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的系統(tǒng)的一個(gè)實(shí)施例的結(jié)構(gòu)示意圖����,如圖10所示����,提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的系統(tǒng)包括:上述VPN服務(wù)中心102和終端104。VPN服務(wù)中心102和終端104的相關(guān)描述參見前述���,這里不再贅述�。
[0104]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例的全部或部分步驟可以通過(guò)硬件來(lái)完成�����,也可以通過(guò)程序來(lái)指令相關(guān)的硬件完成�,所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中,上述提到的存儲(chǔ)介質(zhì)可以是只讀存儲(chǔ)器,磁盤或光盤等����。
[0105]以上所述僅為本發(fā)明的較佳實(shí)施例,并不用以限制本發(fā)明�,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改����、等同替換、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�����。
【權(quán)利要求】
1.一種提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的方法����,其特征在于��,包括: 虛擬專用網(wǎng)絡(luò)VPN服務(wù)中心為每個(gè)客戶創(chuàng)建一個(gè)VPN根域�; 所述VPN服務(wù)中心對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理; 所述VPN服務(wù)中心接受VPN成員的注冊(cè),以便實(shí)現(xiàn)端到端的VPN通信��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,所述VPN服務(wù)中心對(duì)客戶的VPN根域及其所屬VPN成員進(jìn)行管理包括: 所述VPN服務(wù)中心在VPN根域下創(chuàng)建VPN子域�����,在VPN子域添加VPN成員����,將VPN成員劃分成員組�,并為VPN成員或成員組制定安全策略。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述VPN服務(wù)中心接受VPN成員的注冊(cè)包括: 所述VPN服務(wù)中心接收VPN成員通過(guò)其終端上報(bào)的節(jié)點(diǎn)信息�����,所述節(jié)點(diǎn)信息包括用戶標(biāo)識(shí)��、互聯(lián)網(wǎng)協(xié)議IP地址和端口號(hào)���; 所述VPN服務(wù)中心向VPN成員的終端下發(fā)配置信息�,所述配置信息包括VPN成員所屬VPN子域和所屬VPN子域中在線終端��。
4.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述VPN服務(wù)中心接受VPN成員的注冊(cè)之后�����,所述方法還包括: 所述VPN服務(wù)中心接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求�����;` 所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求�,查找相應(yīng)的安全策略�; 如果所述安全策略允許所述第一終端和所述第二終端建立VPN隧道,所述VPN服務(wù)中心向所述第一終端和所述第二終端下發(fā)隧道建立信息�����,以便所述第一終端和所述第二終端根據(jù)所述隧道建立信息建立VPN隧道。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求��,查找相應(yīng)的安全策略包括: 所述VPN服務(wù)中心根據(jù)所述建立VPN隧道的請(qǐng)求攜帶的所述第一終端和所述第二終端的用戶標(biāo)識(shí)�,查找所述第一終端和所述第二終端之間的安全策略。
6.根據(jù)權(quán)利要求4所述的方法��,其特征在于���,所述方法還包括: 所述VPN服務(wù)中心確定所述第一終端和所述第二終端是否均為私網(wǎng)IP地址��; 如果所述第一終端和所述第二終端均為私網(wǎng)IP地址��,所述VPN服務(wù)中心通知所述第一終端和所述第二終端分別和所述VPN服務(wù)中心中的具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道���; 或者,如果所述第二終端為公網(wǎng)IP地址��,所述VPN服務(wù)中心通知所述第一終端向所述第二終端發(fā)起VPN隧道建立請(qǐng)求���; 或者����,如果所述第一終端為公網(wǎng)IP地址,所述VPN服務(wù)中心通知所述第二終端向所述第一終端發(fā)起VPN隧道建立請(qǐng)求��。
7.根據(jù)權(quán)利要求4所述的方法���,其特征在于�,所述VPN服務(wù)中心基于云計(jì)算技術(shù)構(gòu)建�����。
8.—種虛擬專用網(wǎng)絡(luò)服務(wù)中心����,其特征在于,包括: VPN業(yè)務(wù)管理系統(tǒng)����,用于為每個(gè)客戶創(chuàng)建一個(gè)VPN根域;對(duì)客戶的VPN根域以及其所屬VPN成員進(jìn)行管理�����;以及 VPN接入系統(tǒng)�,用于接受VPN成員的注冊(cè),以便實(shí)現(xiàn)端到端的VPN通信����。
9.根據(jù)權(quán)利要求8所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心,其特征在于����, 所述VPN業(yè)務(wù)管理系統(tǒng),用于在VPN根域下創(chuàng)建VPN子域��,在VPN子域添加VPN成員����,將VPN成員劃分成員組,并為VPN成員或成員組制定安全策略�����。
10.根據(jù)權(quán)利要求8所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心����,其特征在于,所述VPN接入系統(tǒng)�,用于 接收VPN成員 通過(guò)其終端上報(bào)的節(jié)點(diǎn)信息,所述節(jié)點(diǎn)信息包括用戶標(biāo)識(shí)�、互聯(lián)網(wǎng)協(xié)議IP地址和端口號(hào)�����; 向VPN成員的終端下發(fā)配置信息���,所述配置信息包括VPN成員所屬VPN子域和所屬VPN子域中在線終端。
11.根據(jù)權(quán)利要求8所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心���,其特征在于�����,所述VPN接入系統(tǒng)��,還用于 接收第一終端發(fā)送的與第二終端建立VPN隧道的請(qǐng)求�����; 根據(jù)所述建立VPN隧道的請(qǐng)求����,查找相應(yīng)的安全策略��; 如果所述安全策略允許所述第一終端和所述第二終端建立VPN隧道�,向所述第一終端和所述第二終端下發(fā)隧道建立信息,以便所述第一終端和所述第二終端根據(jù)所述隧道建立信息建立VPN隧道��。
12.根據(jù)權(quán)利要求11所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心�,其特征在于,所述VPN接入系統(tǒng)���,用于根據(jù)所述建立VPN隧道的請(qǐng)求攜帶的所述第一終端和所述第二終端的用戶標(biāo)識(shí)��,查找所述第一終端和所述第二終端之間的安全策略�����。
13.根據(jù)權(quán)利要求11所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心�,其特征在于���,所述虛擬專用網(wǎng)絡(luò)服務(wù)中心還包括:具有公網(wǎng)IP地址的VPN轉(zhuǎn)發(fā)系統(tǒng)�;所述VPN接入系統(tǒng)����,還用于確定所述第一終端和所述第二終端是否均為私網(wǎng)IP地址; 如果所述第一終端和所述第二終端均為私網(wǎng)IP地址���,所述VPN服務(wù)中心通知所述第一終端和所述第二終端分別和所述VPN轉(zhuǎn)發(fā)系統(tǒng)建立VPN隧道��; 或者����,如果所述第二終端為公網(wǎng)IP地址,所述VPN服務(wù)中心通知所述第一終端向所述第二終端發(fā)起VPN隧道建立請(qǐng)求��; 或者�,如果所述第一終端為公網(wǎng)IP地址,所述VPN服務(wù)中心通知所述第二終端向所述第一終端發(fā)起VPN隧道建立請(qǐng)求���。
14.根據(jù)權(quán)利要求8所述的虛擬專用網(wǎng)絡(luò)服務(wù)中心��,其特征在于��,所述VPN服務(wù)中心基于云計(jì)算技術(shù)構(gòu)建�����。
15.一種提供彈性虛擬專用網(wǎng)絡(luò)服務(wù)的系統(tǒng)���,其特征在于,包括如權(quán)利要求8 — 14任一項(xiàng)所述的VPN服務(wù)中心和終端����。
【文檔編號(hào)】H04L12/46GK103684958SQ201210341678
【公開日】2014年3月26日 申請(qǐng)日期:2012年9月14日 優(yōu)先權(quán)日:2012年9月14日
【發(fā)明者】何明, 沈軍, 金華敏, 汪來(lái)富, 王帥, 馮明 申請(qǐng)人:中國(guó)電信股份有限公司