CN105393501B - 载波间虚拟专用网 - Google Patents
载波间虚拟专用网 Download PDFInfo
- Publication number
- CN105393501B CN105393501B CN201480036845.4A CN201480036845A CN105393501B CN 105393501 B CN105393501 B CN 105393501B CN 201480036845 A CN201480036845 A CN 201480036845A CN 105393501 B CN105393501 B CN 105393501B
- Authority
- CN
- China
- Prior art keywords
- vpn
- endpoint
- network
- routing entry
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 59
- 230000015654 memory Effects 0.000 claims description 28
- 238000003860 storage Methods 0.000 claims description 23
- 239000000969 carrier Substances 0.000 claims description 17
- 238000012790 confirmation Methods 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 12
- 238000009826 distribution Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 2
- 230000000875 corresponding effect Effects 0.000 description 49
- 238000010586 diagram Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 239000000463 material Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 230000005055 memory storage Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000699 topical effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种用于建立多载波虚拟专用网络的端点的方法,所述方法包含:在所述载波处从用户客户端接收请求以托管多载波虚拟专用网络(virtual private network,VPN)的端点。所述用户请求包含识别所述VPN的VPN标识符、识别所述用户客户端的通用标识符和VPN加密密钥。所述载波建立所述所请求的VPN端点并且产生用于所述所建立的VPN端点的路由条目。所述路由条目包含所述VPN ID、所述通用标识符和用于所述VPN端点的路由信息。所述载波通过所述加密密钥对所述路由条目进行加密并且将所述加密后路由条目分布到至少一个其它载波。所述载波还通过对从所述其它载波接收到的路由条目进行解密来识别其它VPN载波,并且在载波间网络上与所述其它载波建立VPN连接。
Description
技术领域
在本发明的一些实施例中,本发明涉及在多个载波上建立虚拟专用网络,且更具体来说但非排他地,涉及在多个载波之间分布虚拟专用网络路由信息。
背景技术
在全世界,云计算使商业客户和企业客户能够在数据中心中将他们的服务器和计算机用作虚拟机(virtual machine,VM)。当利用他们的信息技术(informationtechnology,IT)服务器的在不同云和数据中心上的不同部分时,用户需要能够使他们的所有站点互连,在用户拥有物理IT基础设施时也是如此。
目前,当端点连接到不同自治***时,存在连接虚拟专用网络(virtual privatenetwork,VPN)的多个端点的多种方法。这可以在VPN站点连接到不同服务提供商时发生。这些方法包含:
A)在自治***(Autonomous System,AS)边界路由器处的虚拟路由转发(Virtualrouting and forwarding,VRF)到VRF的连接;
B)标记的VPN第四版因特网协议(IPv4)路线从AS到相邻AS的外部边界网关协议(Exterior Border Gateway Protocol,EBGP)再分布;以及
C)标记的VPN-IPv4路线在源与目的地AS之间的多跳EBGP再分布,以及标记的IPv4路线从AS到相邻AS的EBGP再分布。
另外的背景技术包含:
“BGP/MPLS IP虚拟专用网络(Virtual Private Network,VPN)”;由因特网协会版权所有(2006)。
发明内容
在下文中,全球通用标识符(本文中还表示为GUID或通用标识符)向VPN标识符(VPN ID)指派全球性意义。使用加密密钥对由GUID和VPN ID的组合所识别的VPN的路由信息进行加密。任选地,通过独立授权(例如,CA)将GUID提供到客户端,并且还可以提供加密密钥。例如,通过扩展MPLS VPN协议将加密后路由信息分布到其它载波,以包含所述加密后路由信息(例如,加密后路由条目)的分布作为全球资源。
仅已从用户接收到加密密钥的授权载波可能够对加密后路由信息进行解密且发现其它VPN端点的位置。
与软件定义网络(software defined networking,SDN)耦合,本文中本发明的方面实现VPN建立的自动化作为云联邦服务(即,作为通过云提供商提供的服务且不作为通过用户维持的云上任务)。如本文中描述的VPN在多个载波上的建立实现全球、载波间、云间、VPN和云连接。AAA机制可以用于终端用户资源识别、发现和广告(包含范围和访问表)。
如本文所使用的术语“载波”意指能够托管VPN端点的任何网络实体,例如,服务提供商或自治***(autonomous system,AS)。
根据本发明的第一方面,提供一种用于建立多载波虚拟专用网络的端点的方法。将虚拟专用网络分布于在载波间网络上传送的多个载波上。所述方法包含执行以下操作:
I)从用户客户端接收请求以托管多载波虚拟专用网络(virtual privatenetwork,VPN)的端点。所述请求包含识别VPN的相应VPN标识符(VPN ID)、识别用户客户端的通用标识符和VPN加密密钥;
II)建立所请求的VPN端点;
III)产生用于多载波虚拟专用网络的所建立端点的路由条目。所述路由条目包含相应VPN ID、相应通用标识符和用于VPN端点的相应路由信息;
IV)通过相应加密密钥对所述路由条目进行加密;
V)将加密后路由条目分布到载波间网络的至少一个其它载波;以及
VI)在从其它载波接收到的相应路由条目中识别VPN的端点的其它载波,并且在载波间网络上建立与其它载波的VPN连接。
可以在载波网络基础设施(carrier network infrastructure,CNI)处执行这些步骤中的全部或一些。
在本发明的第一方面本身的第一可能的实施形式中,识别其它载波包含:保持包含加密后路由条目的全局路由表;从载波间网络的相应载波中接收加密后路由条目且将所述加密后路由条目存储在全局路由表中;以及当接收到的加密后路由条目可通过VPN加密密钥解密时,将相应载波分类成VPN的端点的载波。
在本发明的第一方面的第一实施形式的可能的实施形式中,所述方法进一步包含:将接收到的加密后路由条目解密成解密后路由条目以及将所述解密后路由条目存储在局部路由表中。所述解密后路由条目包含VPN ID、通用标识符和相应VPN端点的路由信息。
在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第三可能的实施形式中,所述方法进一步包含通过证书颁发中心验证以下项中的至少一个:通用标识符和加密密钥。
在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第四可能的实施形式中,所述方法进一步包含执行以下项中的至少一个:认证用户客户端、授权用户客户端的活动以及对与用户客户端的交易进行计费。
在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第五可能的实施形式中,载波根据边界网关协议(Border Gateway protocol,BGP)在载波间网络上传送。
根据本发明的第二方面,提供一种用于通过多个载波建立多载波虚拟专用网络的方法。所述载波在载波间网络上传送。所述方法包含执行以下操作:
A)将请求发送到证书颁发中心,用于识别相应虚拟专用网络(virtual privatenetwork,VPN)的VPN标识符(VPN ID)以及虚拟专用网络的相应VPN加密密钥;
B)从证书颁发中心接收相应VPN ID和相应VPN加密密钥;
C)将请求发送到多个载波以托管多载波虚拟专用网络(virtual privatenetwork,VPN)的相应端点。所述请求包含识别用户客户端的通用标识符、相应VPN ID和相应加密密钥;
D)从载波中接收建立相应VPN端点的确认,其中VPN通过VPN端点的载波从相应VPNID和通用标识符的组合中识别。
可以在用户客户端处执行这些步骤中的全部或一些。
在第二方面的第一可能的实施形式中,所述方法进一步包含:将请求发送到证书颁发中心用于识别用户客户端的通用标识符;以及从证书颁发中心接收通用标识符。
在第二方面本身的或根据第二方面的第一实施形式的第二可能的实施形式中,所述方法进一步包含接收用于VPN端点的相应加密后路由条目被分布到载波间网络的载波的确认。所述加密后路由条目可通过加密密钥解密,并且每一解密后路由条目包含VPN ID、通用标识符和用于相应VPN端点的路由信息。
在第二方面本身的或根据第二方面的前述实施形式中任一者的第三可能的实施形式中,载波根据边界网关协议(Border Gateway protocol,BGP)在载波间网络上传送。
根据本发明的第三方面,提供一种用于建立多载波虚拟专用网络的端点的***。所述***包含:
I)载波网络基础设施(carrier network infrastructure,CNI),用于托管多载波虚拟专用网络(virtual private network,VPN)的端点;
II)网络接口,用于在载波间网络上与至少一个用户并且与载波进行电通信;
III)硬件处理器,其与载波网络基础设施和网络接口进行电通信;以及
IV)非暂时性存储器,其与硬件处理器进行电通信。所述存储器存储:存储未加密的路由条目的局部表数据结构,其中所述未加密的路由条目包含用于至少一个VPN的路由信息;存储加密后路由条目的全局表数据结构,其中所述加密后路由条目通过相应加密密钥进行加密;以及用于通过硬件处理器执行指令的程序模块。
所述程序模块包含:
i)端点建立模块,用于从用户客户端接收请求以托管多载波虚拟专用网络(virtual private network,VPN)的端点并且用于在CNI上建立所请求的VPN的端点。所述请求包含识别VPN的相应VPN标识符(VPN ID)、识别用户客户端的通用标识符和相应VPN加密密钥;
ii)路由分布模块,用于产生用于所建立的VPN端点的路由条目、用于通过相应加密密钥对所述路由条目进行加密以及用于将加密后路由条目分布到载波间网络的至少一个其它载波。路由条目包含相应VPN ID、相应通用标识符和用于VPN端点的相应路由信息;以及
iii)识别模块,用于通过对从其它载波接收到的相应路由条目进行解密而识别VPN的端点的其它载波,并且在载波间网络上与其它载波建立VPN连接。
在第三方面的第一可能的实施形式中,识别模块进一步用于:从载波间网络的相应载波接收加密后路由条目,以及当所述接收到的加密后路由条目可通过相应加密密钥解密时,将相应载波分类为VPN的端点的载波。
在第三方面本身的或根据第三方面的第一实施形式的第二可能的实施形式中,所述网络接口进一步用于:从载波接收加密后路由条目以及将所述加密后路由条目存储在全局表数据结构中。
在第三方面本身的或根据第三方面的前述实施形式中任一者的第三可能的实施形式中,非暂时性存储器进一步包含用于存储相应VPN加密密钥的加密密钥数据结构。所述识别模块通过存储在加密密钥数据结构中的密钥对加密后路由条目进行解密,并且将解密后路由条目存储在局部表数据结构中。
在第三方面本身的或根据第三方面的前述实施形式中任一者的第四可能的实施形式中,所述***进一步包含AAA模块,用于针对VPN端点执行认证、授权和计费交易。
根据本发明的第四方面,提供一种用于通过多个载波建立虚拟专用网络的用户客户端***。所述用户客户端***包含:
I)网络接口,用于与VPN端点载波和证书颁发中心进行电通信;
II)硬件处理器,其与网络接口进行电通信;以及
III)非暂时性存储器,其与硬件处理器进行电通信。所述存储器存储:识别相应虚拟专用网络(virtual private network,VPN)的VPN标识符(VPN ID);用于虚拟专用网络的相应VPN加密密钥;识别用户客户端的通用标识符;以及用于通过硬件处理器执行指令的程序模块。
所述程序模块包含:
i)认证请求模块,用于将请求发送到用于虚拟专用网络的VPN标识符(VPN ID)和相应VPN加密密钥的证书颁发中心;以及用于从证书颁发中心接收相应VPN ID和相应VPN加密密钥;
ii)端点请求模块,用于将请求发送到多个载波以托管相应端点VPN。所述请求包含通用标识符、相应VPN ID和相应加密密钥;以及
iii)确认模块,用于从载波中接收建立相应VPN端点的确认,其中VPN通过VPN端点的载波从相应VPN ID和通用标识符的组合中识别。
除非另外规定,否则本文中所用的所有技术和/或科学术语具有与本发明所属领域的一般技术人员通常所理解相同的含义。尽管与本文所述的方法和材料类似或等效的材料和方法可以用于本发明的实施例的实践或测试,但下文描述示例性方法和/或材料。倘若有冲突,本专利说明书,包括定义,将为主。另外,材料、方法和实例仅为说明性的且不意欲为必定限制性的。
附图说明
本文中仅借助于实例参考附图描述本发明的一些实施例。现具体详细地参考附图,强调细节借助于实例且出于对本发明的实施例的说明性论述的目的示出。就此而言,结合附图进行的描述使可以如何实践本发明的实施例对所属领域的技术人员而言变得显而易见。
在图式中:
图1是根据本发明的实施例的分布在多个载波上的VPN的简化框图;
图2是根据本发明的实施例的在两个载波上具有VPN端点的网络的简化图;
图3是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的方法的简化流程图;
图4是根据本发明的实施例的用于通过多个载波建立VPN的方法的简化流程图;
图5是根据本发明的实施例的用于在多个载波上建立VPN的方法的简化流程图;
图6是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的***的简化框图;以及
图7是根据本发明的实施例的用于通过多个载波建立虚拟专用网络的用户客户端***的简化框图。
具体实施方式
在本发明的一些实施例中,本发明涉及在多个载波上建立虚拟专用网络,且更具体来说但非排他地,涉及在多个载波之间分布虚拟专用网络路由信息。
虚拟专用网跨越多载波网络,例如,因特网扩展专用网络。用户在多个载波上建立VPN端点。出于路由目的,需要公开和同步关于每用户和每载波的这些VPN端点的位置的信息。
如果VPN端点具有公共IP地址,那么关于其位置的信息可以使用标准边界网关协议(Border Gateway Protocol,BGP)公开,但不公开关于其所位于的实际云或载波的信息。如果VPN端点具有专用IP地址,那么VPN(Virtual Private Networking,虚拟专用网)和VRF(virtual routing and forwarding,虚拟路由转发)可以用于隔开地址空间。
然而在BGP下,如果VPN的两个站点连接到不同自治***(Autonomous Systems,AS),那么需要使用外部BGP(EBGP)来分布VPN第四版因特网协议(IPv4)或VPN第六版因特网协议(IPv6)地址的方式。例如,当站点连接到不同服务提供商(service provider,SP)时可能出现此情形。
此外,BGP仅针对BGP实体且不针对资源和用户具有安全性。不存在用以通过客户或专用拓扑信息执行认证、授权和计费(authentication,authorization andaccounting,AAA)的方式。
目前,存在处理此情况的多个不同方式:
A)在AS(Autonomous System,自治***)边界路由器处的VRF到VRF的连接
通过此方法,在一个AS中的提供商边缘(Provider Edge,PE)路由器直接连接到另一AS中的PE路由器。两个PE路由器通过多个子接口、用于其路线需要从AS传递到AS的VPN中的每一个的至少一个子接口连接。每一PE路由器处理另一者,如同所述PE路由器是客户边缘(Customer Edge,CE)路由器一样。也就是说,PE路由器使每一此种子接口与VRF相关联,并且使用EBGP来将未标记IPv4地址分布到彼此。这是在自治***之间的边界处不需要多协议标记交换(Multiprotocol Label Switching,MPLS)的过程。然而,它并不按比例缩放并且下文论述的其它方法也是如此。
B)标记的VPN-IPv4的EBGP再分布从AS路由到相邻AS
通过这种方法,PE路由器使用内部BGP(IBGP)来将标记的VPN-IPv4路线重新分布到自治***边界路由器(Autonomous System Border Router,ASBR)或其中ASBR是客户端的路由反射器。所述ASBR随后使用EBGP来将那些标记的VPN-IPv4路线重新分布到另一AS中的ASBR。另一AS又将标记的VPN-IPv4路线分布到所述AS中的PE路由器,或分布到可能又进一步分布所述标记的VPN-IPv4路线的另一ASBR等。
当使用此过程时,仅在私有对等点处的EBGP连接上作为SP之间的可信布置的一部分接受VPN-IPv4路线。VPN-IPv4路线未被分布到公共因特网,或不可信的任何BGP对等体或未从公共因特网,或不可信的任何BGP对等体接受VPN-IPv4路线。ASBR并不从EBGP对等体中接受标记包,除非它实际上已将顶部标签分布到所述对等体。如果存在具有附接到不同自治***的站点的多个VPN,那么在保持用于所有VPN的所有路线的AS之间不需要单个ASBR。可以存在多个ASBR,其中每一个仅保持用于VPN的特定子集的路线。此过程需要存在从包的入口PE导向其出口PE的标签交换路径。因此,合适的信任关系必须存在于沿着路径的AS的集合之间和之中。此外,必须在SP的集合之中存在关于哪些边界路由器需要接收具有哪些路由目标的路线的协定。
C)标记的VPN-IPv4路线在源与目的地AS之间的多跳EBGP再分布,以及标记的IPv4
路线从AS到相邻AS的EBGP再分布
通过此方法,不通过ASBR保持或分布VPN-IPv4路线。ASBR必须将标记的IPv4/32路线保持到其AS内的PE路由器。ASBR使用EBGP来将这些路线分布到其它AS。在任何跨越式AS中的ASBR还将必须使用EBGP来沿着标记的IPv4/32路线传递。这导致从入口PE路由器到出口PE路由器的标签交换路径的形成。
在形成所述路径之后,不同AS中的PE路由器能够建立到彼此的多跳EBGP连接并且在那些连接上交换VPN-IPv4路线。如果PE路由器的IPv4/32路线是VPN内的每一AS通信的PE路由器已知的,那么正常行进。如果PE路由器的IPv4/32路线不是PE路由器(除ASBR以外)已知的,那么此过程需要包的入口PE将三标签堆放置于其上。底部标签通过出口PE分配,其对应于特定VRF中的包的目的地地址。中间标签通过ASBR分配,其对应于到出口PE的IPv4/32路线。顶部标签通过入口PE的IGP下一跳分配,其对应于到ASBR的IPv4/32路线。为了改进可扩展性,多跳EBGP连接可以仅存在于一个AS中的路由反射器与另一AS中的路由反射器之间。(然而,当路由反射器在此连接上分布路线时,它们并未修改所述路线的BGP下一跳属性。)实际PE路由器随后仅具有到在其自身AS中的路由反射器的IBGP连接。与前述过程一样,这需要存在从包的入口PE导向其出口PE的标签交换路径。
另外,当前VRF解决方案仍使每用户信息的手动配置成为必要并且仅存在于单个网络运营商的情境内,因为路由标识通过每一载波独立地管理。(通过CE路由器播发到PE路由器的IP子网通过64位前缀路由标识扩增以使其独特。)所得的96位地址随后使用多协议BGP(MP-BGP)的特定地址族在PE路由器之间交换。每VPN路由信息到MP-BGP中的再分布并不是自动的并且必须在每一VRF的路由器上手动地配置。
在详细解释本发明的至少一个实施例之前,应理解,本发明在其应用中不必限于在以下描述中阐述和/或在附图和/或实例中所说明的组件和/或方法的结构以及布置的细节。本发明能够具有其它实施例或以各种方式实践或进行。
本发明可以是***、方法和/或计算机程序产品。计算机程序产品可以包含计算机可读存储媒体(或媒体),其上具有计算机可读程序指令以使处理器执行本发明的方面。
计算机可读存储媒体可以是有形装置,其可以保持和储存指令以供指令执行装置使用。计算机可读存储媒体可以是例如但不限于:电子存储装置、磁性存储装置、光学存储装置、电磁存储装置、半导体存储装置或前述各者的任何合适组合。计算机可读存储媒体的更多具体实例的非穷尽性列表包含以下各者:便携式计算机磁盘、硬盘、随机存取存储器(random access memory,RAM)、只读存储器(read-only memory,ROM)、可擦除可编程只读存储器(erasable programmable read-only memory,EPROM或闪存存储器)、静态随机存取存储器(static random access memory,SRAM)、便携式压缩光盘只读存储器(compactdisc read-only memory,CD-ROM)、数字通用光盘(digital versatile disk,DVD)、记忆棒、软盘、机械编码装置,例如,在其上记录有指令的凹槽中的打孔卡片或凸起结构,以及前述各者的任何合适组合。如本文所使用的计算机可读存储媒体本身不应被解释为暂时性信号,例如无线电波或其它自由传播的电磁波、通过波导或其它传输媒体传播的电磁波(例如,通过光缆传递的光脉冲),或通过导线传输的电信号。
本文中所描述的计算机可读程序指令可以从计算机可读存储媒体下载到相应计算/处理装置或通过网络,例如,因特网、局域网、广域网和/或无线网络,下载到外部计算机或外部存储装置。所述网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换器、网间连接计算机和/或边缘服务器。每一计算/处理装置中的网络适配器卡或网络接口从网络接收计算机可读程序指令且转发计算机可读程序指令以用于储存于相应计算/处理装置内的计算机可读存储媒体中。
用于执行本发明的操作的计算机可读程序指令可以是以一种或多种编程语言的任何组合编写的汇编指令、指令集架构(instruction-set-architecture,ISA)指令、机器指令、机器相关指令、微码、固件指令、状态设定数据或源码或目标码,所述一种或多种编程语言包含例如Smalltalk、C++或其类似者的面向对象的编程语言,以及例如“C”编程语言或类似编程语言的常规程序编程语言。计算机可读程序指令可以完全在用户的计算机上执行、部分地在用户的计算机上执行、作为独立软件包执行、部分地在用户的计算机上执行且部分地在远程计算机上执行或完全在远程计算机或服务器上执行。在后一种场景中,远程计算机可以通过任何类型的网络(包含局域网(local area network,LAN)或广域网(widearea network,WAN))连接到用户的计算机,或者可以对外部计算机进行连接(例如,使用因特网服务提供方通过因特网)。在一些实施例中,包含例如可编程逻辑电路、现场可编程门阵列(field-programmable gate array,FPGA)或可编程逻辑阵列(programmable logicarray,PLA)的电子电路可以通过利用计算机可读程序指令的状态信息将电子电路个人化而执行计算机可读程序指令,以便执行本发明的方面。
本文参考根据本发明的实施例的方法、设备(***)和计算机程序产品的流程图图示和/或框图来描述本发明的方面。应理解,可以通过计算机可读程序指令实施流程图图示和/或框图中的每个块,以及流程图图示和/或框图中的块的组合。
可以将这些计算机可读程序指令提供到通用计算机、专用计算机或其它可编程数据处理设备的处理器以产生机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令创建用于实施在流程图和/或框图块中指定的功能/动作的构件。这些计算机可读程序指令还可以存储在计算机可读存储媒体中,所述计算机可读程序指令可以引导计算机、可编程数据处理设备和/或其它装置以特定方式起作用,使得其中存储有指令的计算机可读存储媒体包括制品,所述制品包含实施在流程图和/或框图块中指定的功能/动作的方面的指令。
计算机可读程序指令还可以加载到计算机、其它可编程数据处理设备或其它装置上,以使得在计算机、其它可编程设备或其它装置上执行一系列操作步骤,以产生计算机实施的过程,使得在计算机、其它可编程设备或其它装置上执行的指令实施在流程图和/或框图块中指定的功能/动作。
图中的流程图和框图说明根据本发明的各种实施例的***、方法和计算机程序产品的可能实施方案的架构、功能性和操作。就此而言,流程图或框图中的每个块可以表示模块、区段或指令的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。在一些替代实施方案中,各个块中提及的功能可以不按图中所提及的顺序出现。例如,根据所涉及的功能性,连续示出的两个块实际上可以基本上同时执行,或所述块有时可能以相反顺序执行。还将注意到,框图和/或流程图图示中的每个块,以及框图和/或流程图图示中的块的组合可以通过专用的基于硬件的***实施,所述***执行指定功能或动作,或实行专用硬件和计算机指令的组合。
现在参考图1,图1是根据本发明的实施例的分布在多个载波上的VPN的简化框图。为了清晰起见,图1示出托管相应VPN端点(分别是115和125)的两个载波(110和120)以及不托管VPN端点的单个载波(130)。应注意,可以在另外的载波上建立VPN并且应进一步注意,可以存在不托管VPN端点的多个载波。所述载波在载波间网络140上传送。
为了在载波上建立VPN端点,用户客户端150将请求发送到载波。所述请求包含至少:
A)通用标识符(universal identifier,GUID),其将用户唯一地识别到在载波间网络140上传送的载波。GUID用于唯一地识别属于用户的所有VPN,如下文描述;
B)VPN标识符(VPN ID),其识别针对其建立端点的具体VPN实例。任选地,VPN ID通过用户选择;以及
C)加密密钥,其对相应VPN而言是唯一的并且用于对VPN路由信息进行加密和解密,如下文更详细地描述。
每个VPN接收唯一的加密密钥。任选地仅将一个GUID提供到给定用户。任选地,用户客户端150从例如证书颁发中心(certificate authority,CA)160的可信第三方获得GUID和/或加密密钥和/或VPN ID。任选地,存在共同操作以确保每一用户获得唯一GUID和加密密钥的多个证书颁发中心。
GUID和VPN ID一起唯一地识别分布在多个载波上的具体VPN。即使两个用户使用同一VPN ID,两个VPN也能够通过GUID彼此区分。
任选地,扩展团体标签由GUID、VPN ID和内部VPN地址的组合形成,如表1中示出。所述扩展团体标签识别VPN内的具体地址。
表1
当在载波处接收到用户请求时,载波建立VPN端点。载波根据用于载波间网络的协议形成用于VPN端点的路由信息。路由信息(本文中表示为路由条目)通过用户所提供的加密密钥由载波进行加密。将加密后路由条目分布到网络中的其它载波。
当载波接收加密后路由条目时,所述载波尝试通过其拥有的加密密钥或密钥对加密后路由条目进行解密。由于载波仅具有用于已在所述载波处建立的VPN的密钥,因此仅当载波还托管相同VPN的端点时所述载波才能够对加密后路由条目进行解密。载波随后建立与VPN的其它载波的连接。任选地,当通过载波对加密后路由条目进行解密时自动地执行与其它VPN载波的连接。
任选地,如果载波未托管VPN端点,那么其保留呈加密形式的路由信息。如果载波稍后接收用户请求以建立VPN端点,那么它尝试通过用户所提供的相应加密密钥对加密后路由条目进行解密。载波从已成功解密的路由条目中识别其它VPN端点载波。
任选地,载波将加密后路由条目存储在相应全局表(例如,110.1、120.1和130.1)中并且对相应局部表(例如,110.2、120.2和130.2)中的路由条目进行解密。
考虑图1中示出的示例性网络。已在载波1(110)上和载波2(120)上建立VPN端点。因此,载波1和2都具有VPN的加密密钥。使用加密密钥,载波中的每一个对到另一载波上的VPN端点的路由信息进行解密(例如,载波1具有到VPN端点125的路由信息并且载波2具有到VPN端点115的路由信息)。载波3(130)不具有用于VPN的加密密钥,因此尽管已从载波1和2发送加密后路由条目也不能够对所述加密后路由条目进行解密。
在一些实施例中,载波间网络通过BGP协议操作。可以修改BGP协议以包含在载波之间的加密后路由条目的网络范围分布。
现在参考图2,图2是根据本发明的实施例的在两个载波上具有VPN端点的网络的简化图。为了清晰起见,图2示出托管VPN端点的两个载波;然而,托管端点的载波的数目可以根据VPN架构改变。不托管VPN端点的其它载波(未示出)也可以通过载波间网络连接。
每个载波使用提供商边缘(provider edge,PE)路由器(分别是230和240)连接到载波间网络250(在图2中表示为公共因特网/载波间MPLS)。
每个PE路由器保持相应全局表(210.1和220.1)和局部表(210.2和220.2)。
a)全局表-将从其它载波(例如,自治***)接收到的加密后BGP路由信息存储在载波间网络250(在图2中表示为公共因特网/载波间MPLS)上。所述信息以密码文本形式存储在全局表中。
b)局部表-存储载波能够使用用户所提供的加密密钥从全局表中的加密后条目中解密的BGP路由信息。所存储的信息为明码文本。
为了在载波1和2(分别是210和220)上设定VPN,用户260登录到证书颁发中心CA270并且请求GUID和加密密钥。用户260随后将GUID和加密密钥提供到载波1网络管理215和载波2网络管理225,并且请求每个载波设定VPN端点。每个载波随后通过与相应PE路由器(230和240)对等的虚拟客户边缘(customer edge,CE)路由器(216和226)建立VPN端点。
每个载波产生相应VPN路由条目并且通过用户260所提供的加密密钥对所述路由条目进行加密。载波任选地使用BGP或扩展的BGP协议公开通过加密后路由信息扩增的可用VPN端点目的地。
载波间网络250上的所有载波接收用于所有用户的加密后路由条目并且将所述路由条目以密码文本形式存储在全局表中。每个载波可以仅为向它们提供用户证书的用户对信息进行解密。解密后信息用于构建明文局部表。
使用局部表路由信息,载波跨越多个载波(例如,AS)域在用户站点之间自动地建立连接。
现在参考图3,图3是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的方法的简化流程图。图3示出通过载波网络基础设施(carrier networkinfrastructure,CNI)执行的操作。任选地,载波使用BGP协议。
在300中,从用户客户端(在本文中表示为用户)接收请求以托管VPN端点。所述请求包含识别VPN的VPN标识符(VPN ID)、识别用户客户端的GUID和VPN加密密钥。在310中,使用所属领域中已知的任何协议和/或架构在载波处建立所请求的VPN端点。
在320中,在载波处产生用于所建立的VPN端点的路由条目。所述路由条目包含用于VPN端点的路由信息以及VPN ID和GUID。在330中,路由条目通过从用户接收到的加密密钥进行加密。在340中,将加密后路由条目分布到载波间网络中的其它载波。
在350中,所述载波在载波间网络上建立与其它载波的VPN连接。通过使用加密密钥对从其它载波接收到的路由条目进行加密来确定到其它VPN端点的路由。
在一些实施例中,在通过载波建立VPN端点之前,GUID和/或加密密钥首先通过证书颁发中心验证。
在一些实施例中,通过可能与其它载波、服务提供商和/或外部服务器合作的载波在VPN中实施认证、授权和计费(authentication,authorization and accounting,AAA)机制。AAA机制可以用于终端用户资源识别和/或发现和/或广告(包含范围和访问表)。
现在参考图4,图4是根据本发明的实施例的用于通过多个载波建立VPN的方法的简化流程图。图4示出通过用户客户端执行的用户侧操作。
在400中,用户将请求发送到证书颁发中心,用于VPN ID和相应加密密钥。
在410中,用户从证书颁发中心接收VPN ID和加密密钥。
任选地,用户还从证书颁发中心请求和接收GUID。
在420中,用户将请求发送到多个载波以托管多载波虚拟专用网络(virtualprivate network,VPN)的VPN端点。所述请求包含用户的GUID、VPN ID和加密密钥。
在430中,用户从载波接收已建立相应VPN端点的确认。
任选地,用户还从一个或多个载波中接收已在整个载波间网络中分布加密后路由条目的确认。这可以允许用户确保在托管载波之间正确地建立VPN并且VPN通过载波间网络适当地可访问。
现在参考图5,图5是根据本发明的实施例的用于在多个载波上建立VPN的方法的简化流程图。图5包含用户侧和载波侧操作两者。
在500中,将VPN初始化。在510中,用户联系CA并且从CA接收加密密钥(在图5中表示为证书)、GUID和VPN ID。
在520中,用户在多个载波上建立VPN端点。通过GUID和VPN ID的组合在载波间网络中识别VPN。用户还将VPN证书供应到载波。
在530中,VPN端点载波产生用于其相应VPN端点的路由条目并且对所述路由条目进行加密。载波将加密后路由信息公开(例如,分布)到连接到载波间网络的其它载波。
在540中,载波收集通过其它载波公开的加密后路由信息并且将所述加密后路由信息存储在全局表中。任选地,连续地执行加密后路由信息的收集。
在550中,载波尝试对来自全局表的加密后路由信息进行解密。每当从用户接收新的加密密钥,可能以及用于建立新的VPN端点的请求时,可以执行解密尝试。任选地,通过用户单独地提供加密密钥。
当载波无法成功对路由条目进行解密时,在560中通过载波将路由条目以加密形式保存在全局表中。未对现有路由作出改变。
当载波成功对路由条目进行解密时,在570中通过载波将解密后路由条目保存在局部表中。随后,在580中,载波连接到其它相关载波并且在端点之间建立VPN连接。
现在参考图6,图6是根据本发明的实施例的用于建立多载波虚拟专用网络的端点的***的简化框图。载波600具有通过载波网络基础设施610管理的VPN托管能力。
网络接口620是用于与其它载波和用户通信的接口。网络接口620接收用户请求以托管多载波虚拟专用网络(virtual private network,VPN)的VPN端点。每个请求包含相应VPN标识符(VPN ID)、相应VPN加密密钥和识别用户的通用标识符。
处理器630执行处理操作并且与载波网络基础设施610、网络接口620和存储器640连接。
存储器640存储通过处理器630执行的数据和编程模块。
存储在存储器640中的数据包含存储未加密路由条目的局部表数据结构680.2和存储加密后路由条目的全局表数据结构680.1。
所存储的程序模块包含:
A)端点建立模块650,其响应于用户请求在CNI上建立所请求的VPN端点;
B)路由分布模块660,其产生用于所建立的VPN端点的路由条目。路由分布模块660还通过加密密钥对路由条目进行加密并且将加密后路由条目分布到至少一个其它载波;以及
C)识别模块670,其通过对从其它载波接收到的路由条目进行解密而识别托管VPN端点的其它载波。识别模块670在载波间网络上建立与其它载波的VPN连接。任选地,识别模块670将解密后路由条目存储在局部表680.2中。
任选地,存储器640进一步包含存储VPN加密密钥的加密密钥数据结构680.3。当识别模块670尝试对从另一载波接收到的加密后路由条目进行解密时,识别模块670使用任选地从加密密钥数据结构680.3检索到的所存储加密密钥。
任选地,存储器640进一步包含通过处理器630执行的AAA模块。AAA模块针对VPN端点执行认证、授权和计费交易。
现在参考图7,图7是根据本发明的实施例的用于通过多个载波建立虚拟专用网络的用户客户端***的简化框图。
网络接口710是用于与VPN端点载波和证书颁发中心通信的接口。
处理器720执行处理操作并且与网络接口710和存储器730连接。
存储器730存储:至少一个VPN ID 740.1和相应VPN加密密钥740.2以及通用标识符740.3。
存储器730还存储通过处理器720执行的编程模块。所存储的程序模块包含:
A)认证请求模块750,其将请求发送到用于虚拟专用网络的VPN ID和相应VPN加密密钥的证书颁发中心,并且从证书颁发中心接收所请求项目。VPN ID和加密密钥存储在740.1和740.2中。任选地,认证请求模块750还从证书颁发中心请求和接收GUID,然而每当建立新的VPN时这可能不是必需的;
B)端点请求模块760,其将请求发送到载波以托管相应VPN端点。所述请求包含通用标识符、相应VPN ID和相应加密密钥;以及
C)确认模块770,其从建立相应VPN端点的载波接收确认。
本文中描述的实施例使用户能够跨越多个域和载波部署VPN,而不需要手动地配置载波之间的互连。可以通过载波自动地执行站点之间的VPN互连。VPN可以变成全局可路由资产,同时保持层(L2)私有寻址。关于专用网络的信息可以仅通过授权载波访问,因此保持机密性。
如上文所描述的方法用于制造集成电路芯片。
各图中的流程图和框图说明根据本发明的各种实施例的***、方法和计算机程序产品的可能实施方案的架构、功能性和操作。就此而言,流程图或框图中的每个块可以表示模块、区段或代码的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。还应该注意,在一些替代的实施方案中,各个块中提及的功能可以不按图中所提及的顺序出现。例如,根据所涉及的功能性,连续示出的两个块实际上可以基本上同时执行,或所述块有时可能以相反顺序执行。还将注意到,框图和/或流程图图示中的每个块,以及框图和/或流程图图示中的块的组合可以通过专用的基于硬件的***实施,所述***执行指定功能或动作,或专用硬件和计算机指令的组合。
已出于说明的目的呈现本发明的各种实施例的描述,但所述描述并不意欲为详尽的或限于所揭示的实施例。在不脱离所描述实施例的范围和精神的情况下,对所属领域的技术人员而言多个修改和变化将是显而易见的。本文中所使用的术语经选择以最佳解释实施例的原理、实际应用或对市场中发现的技术的技术改进,或使所属领域的一般技术人员能够理解本文所揭示的实施例。
术语“包括(comprise/comprising)”、“包含(include/包含)”、“具有(having)”以及其共轭物表示“包含但不限于”。这个术语涵盖术语“由……组成”和“主要由……组成”。
应了解,为了清晰起见在分开的实施例的上下文中描述的本发明的某些特征还可以以组合形式提供于单个实施例中。相反,为简洁起见在单个实施例的上下文中描述的本发明的各个特征还可以单独地或以任何合适的子组合提供或在本发明的任何其它描述的实施例中提供为合适的。在各种实施例的上下文中描述的某些特征并非被认为是那些实施例的基本特征,除非所述实施例在不具有那些元件的情况下不起作用。
尽管已结合本发明的具体实施例描述本发明,但显而易见的是,对于所属领域的技术人员而言许多替代方案、修改以及变化将是清楚的。因此,预期涵盖落入所附权利要求书的精神和广泛范围内的所有此类替代方案、修改以及变化。
Claims (24)
1.一种用于建立多载波虚拟专用网络的端点的方法,所述虚拟专用网络分布于在载波间网络上传送的多个载波上,其特征在于,所述方法包括:
从用户客户端接收(300)请求以托管多载波虚拟专用网络(virtual privatenetwork,VPN)的端点;
建立(310)所述VPN的所述所请求端点;
其中所述请求包含识别所述VPN的相应VPN标识符(VPN ID)、识别所述用户客户端的通用标识符和VPN加密密钥
产生(320)用于所述多载波虚拟专用网络的所述所建立端点的路由条目,所述路由条目包括相应VPN ID、相应通用标识符和用于所述VPN端点的相应路由信息;
通过相应加密密钥对所述路由条目进行加密(330);
将所述加密后路由条目分布(340)到所述载波间网络的至少一个其它载波;以及
在从所述其它载波接收到的相应路由条目中识别(350)所述VPN的端点的其它载波,并且在所述载波间网络上建立与所述其它载波的VPN连接。
2.根据权利要求1所述的方法,其特征在于,所述识别(350)其它载波包括:
保持包括加密后路由条目的全局路由表;
从所述载波间网络的相应载波接收加密后路由条目并且将所述加密后路由条目存储在所述全局路由表中;以及
当所述接收到的加密后路由条目可通过所述VPN加密密钥解密时,将所述相应载波分类为所述VPN的端点的载波。
3.根据权利要求2所述的方法,其特征在于,进一步包括:
将所述接收到的加密后路由条目解密成解密后路由条目,其中所述解密后路由条目包括VPN ID、通用标识符和用于相应VPN端点的路由信息;以及
将所述解密后路由条目存储在局部路由表中。
4.根据权利要求1所述的方法,其特征在于,通过证书颁发中心验证包括以下各项中的至少一个:所述通用标识符和所述加密密钥。
5.根据权利要求2所述的方法,其特征在于,通过证书颁发中心验证包括以下各项中的至少一个:所述通用标识符和所述加密密钥。
6.根据权利要求3所述的方法,其特征在于,通过证书颁发中心验证包括以下各项中的至少一个:所述通用标识符和所述加密密钥。
7.根据权利要求1至6中任何一项所述的方法,其特征在于,进一步包括执行以下各项中的至少一个:认证所述用户客户端、授权所述用户客户端的活动以及对与所述用户客户端的交易进行计费。
8.根据权利要求1至6中任何一项所述的方法,其特征在于,所述载波根据边界网关协议(Border Gateway protocol,BGP)在所述载波间网络上传送。
9.根据权利要求7所述的方法,其特征在于,所述载波根据边界网关协议(BorderGateway protocol,BGP)在所述载波间网络上传送。
10.一种用于通过多个载波建立多载波虚拟专用网络的方法,其中所述载波在载波间网络上传送,其特征在于,所述方法包括:
请求(400)用于识别所述虚拟专用网络的相应虚拟专用网络(virtual privatenetwork,VPN)和相应VPN加密密钥的VPN标识符(VPN ID)的证书颁发中心;
从所述证书颁发中心接收(410)相应VPN ID和相应VPN加密密钥;
将请求发送(420)到多个载波以托管所述多载波虚拟专用网络的相应端点,所述请求包含识别用户客户端的通用标识符、所述相应VPN ID和相应加密密钥;以及
从所述载波中接收(430)建立相应VPN端点的确认,其中所述VPN通过所述VPN端点的所述载波从所述相应VPN ID和所述通用标识符的组合中识别。
11.根据权利要求10所述的方法,其特征在于,进一步包括:将请求发送到用于识别所述用户客户端的所述通用标识符的所述证书颁发中心;以及从所述证书颁发中心接收所述通用标识符。
12.根据权利要求10所述的方法,其特征在于,进一步包括接收将所述VPN端点的相应加密后路由条目分布到所述载波间网络的载波的确认,其中所述加密后路由条目可通过所述加密密钥解密,并且其中每个解密后路由条目包括所述VPN ID、所述通用标识符和用于相应VPN端点的路由信息。
13.根据权利要求11所述的方法,其特征在于,进一步包括接收将所述VPN端点的相应加密后路由条目分布到所述载波间网络的载波的确认,其中所述加密后路由条目可通过所述加密密钥解密,并且其中每个解密后路由条目包括所述VPN ID、所述通用标识符和用于相应VPN端点的路由信息。
14.根据权利要求10至13中任何一项所述的方法,其特征在于,所述载波根据边界网关协议(Border Gateway protocol,BGP)在所述载波间网络上传送。
15.一种用于建立多载波虚拟专用网络的端点的***,其特征在于,包括:
载波网络基础设施(carrier network infrastructure,CNI)(610),用于托管多载波虚拟专用网络的端点;
网络接口(620),用于在载波间网络上与至少一个用户并且与载波进行电通信;
硬件处理器(630),其与所述CNI(610)和所述网络接口(620)进行电通信;以及
非暂时性存储器(640),其与所述硬件处理器(630)进行电通信,
所述存储器(640)具有存储于其上的以下各项:
局部表数据结构(680.2),用于存储未加密的路由条目,其中所述未加密的路由条目包括用于至少一个VPN的路由信息;
全局表数据结构(680.1),用于存储加密后路由条目,其中所述加密后路由条目通过相应加密密钥进行加密;
程序模块,用于通过所述硬件处理器执行指令,其包括:
端点建立模块(650),用于从用户客户端接收请求以托管多载波虚拟专用网络(virtual private network,VPN)的端点,所述请求包含识别所述VPN的相应VPN标识符(VPN ID)、识别所述用户客户端的通用标识符和相应VPN加密密钥,并且用于在所述CNI(610)上建立所述VPN的所述所请求端点;
路由分布模块(660),用于产生所述所建立VPN端点的路由条目,以通过相应加密密钥对所述路由条目进行加密并且将所述加密后路由条目分布到所述载波间网络的至少一个其它载波,其中路由条目包括相应VPN ID、相应通用标识符和用于所述VPN端点的相应路由信息;以及
识别模块(670),用于通过对从所述其它载波接收到的相应路由条目进行解密而识别所述VPN的端点的其它载波,并且在载波间网络上与所述其它载波建立VPN连接。
16.根据权利要求15所述的***,其特征在于,所述识别模块(670)进一步用于从所述载波间网络的相应载波接收加密后路由条目,以及当所述接收到的加密后路由条目可通过所述相应加密密钥解密时,将所述相应载波分类为所述VPN的端点的载波。
17.根据权利要求15所述的***,其特征在于,所述网络接口(620)进一步用于从载波接收加密后路由条目并且将所述加密后路由条目存储在所述全局表数据结构中。
18.根据权利要求16所述的***,其特征在于,所述网络接口(620)进一步用于从载波接收加密后路由条目并且将所述加密后路由条目存储在所述全局表数据结构中。
19.根据权利要求15至18中任何一项所述的***,其特征在于,所述非暂时性存储器(640)进一步包括用于存储相应VPN加密密钥的加密密钥数据结构,并且其中所述识别模块用于通过存储在所述加密密钥数据结构中的密钥对加密后路由条目进行解密并且将所述解密后路由条目存储在所述局部表数据结构中。
20.根据权利要求15至18中任何一项所述的***,其特征在于,进一步包括AAA模块,用于针对所述VPN端点执行认证、授权和计费交易。
21.根据权利要求19所述的***,其特征在于,进一步包括AAA模块,用于针对所述VPN端点执行认证、授权和计费交易。
22.一种用于通过多个载波建立虚拟专用网络的用户客户端***(700),其特征在于,包括:
网络接口(710),用于与VPN端点载波和证书颁发中心进行电通信;
硬件处理器(720),其与所述网络接口(710)进行电通信;以及
非暂时性存储器(730),其与所述硬件处理器进行电通信,
所述存储器(730)具有存储于其上的以下各项:
识别相应虚拟专用网络(virtual private network,VPN)的VPN标识符(VPN ID)(740.1);
用于所述虚拟专用网络的相应VPN加密密钥(740.2);
识别所述用户客户端的通用标识符(740.3);以及
程序模块,用于通过所述硬件处理器(720)执行指令,其包括:
认证请求模块(750),用于将请求发送到用于所述虚拟专用网络的VPN标识符(VPN ID)(740.1)和相应VPN加密密钥(740.2)的证书颁发中心,并且从所述证书颁发中心接收相应VPN ID(740.1)和相应VPN加密密钥(740.2);
端点请求模块,用于将请求发送到多个载波以托管相应端点VPN,所述请求包含所述通用标识符(740.3)、所述相应VPN ID(740.1)和所述相应加密密钥(740.2);以及
确认模块,用于从所述载波接收建立相应VPN端点的确认,其中所述VPN通过所述VPN端点的所述载波从所述相应VPN ID(740.1)和所述通用标识符(740.3)的组合中识别。
23.一种计算机可读存储媒体,其特征在于,所述计算机可读存储媒体存储有计算机程序,所述计算机程序被相关硬件执行,以完成权利要求1至9任一一项所述的方法。
24.一种计算机可读存储媒体,其特征在于,所述计算机可读存储媒体存储有计算机程序,所述计算机程序被相关硬件执行,以完成权利要求10至14任意一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2014/063109 WO2015197099A1 (en) | 2014-06-23 | 2014-06-23 | Inter-carrier virtual private networking |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105393501A CN105393501A (zh) | 2016-03-09 |
| CN105393501B true CN105393501B (zh) | 2019-06-07 |
Family
ID=50979784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480036845.4A Active CN105393501B (zh) | 2014-06-23 | 2014-06-23 | 载波间虚拟专用网 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105393501B (zh) |
| WO (1) | WO2015197099A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2967513T3 (es) * | 2018-06-26 | 2024-04-30 | Nokia Technologies Oy | Métodos y aparatos para actualizar dinámicamente identificador(es) de enrutamiento |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101238681A (zh) * | 2005-08-30 | 2008-08-06 | 思科技术公司 | 用于实现vpn服务的方法和装置 |
| CN101405989A (zh) * | 2005-02-28 | 2009-04-08 | 思科技术公司 | 用于限制自治***间环境中的每个VPN的VPNv4前缀的方法和装置 |
| CN102449964A (zh) * | 2011-07-22 | 2012-05-09 | 华为技术有限公司 | 一种三层虚拟专有网路由控制方法、装置及*** |
-
2014
- 2014-06-23 WO PCT/EP2014/063109 patent/WO2015197099A1/en active Application Filing
- 2014-06-23 CN CN201480036845.4A patent/CN105393501B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101405989A (zh) * | 2005-02-28 | 2009-04-08 | 思科技术公司 | 用于限制自治***间环境中的每个VPN的VPNv4前缀的方法和装置 |
| CN101238681A (zh) * | 2005-08-30 | 2008-08-06 | 思科技术公司 | 用于实现vpn服务的方法和装置 |
| CN102449964A (zh) * | 2011-07-22 | 2012-05-09 | 华为技术有限公司 | 一种三层虚拟专有网路由控制方法、装置及*** |
Non-Patent Citations (3)
| Title |
|---|
| "A Framework for Layer 3 Provider-Provisioned Virtual Private Networks(PPVPNs)";CALLON JUNIPER NETWORKS M SUZUKI NTT CORPORATION R;《rfc4110》;20050701;sections 3.1.1.2,4.1,4.2.1.4,4.4.4.2,4.7.2,6.7 * |
| "A survey on automatic configuration of virtual private networks";MICHAEL ROSSBERG ET AL;《COMPUTER NETWORKS,ELSEVIER SCIENCE PUBLISHERS B.V.》;20110105;全文 * |
| "BGP/MPLS IP Virtual Private Networks(VPNs)";ROSEN CISCO SYSTEMS E ET AL;《rfc4364》;20060201;sections 4,4.3.2,9,10 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105393501A (zh) | 2016-03-09 |
| WO2015197099A1 (en) | 2015-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10999197B2 (en) | End-to-end identity-aware routing across multiple administrative domains | |
| US11228573B1 (en) | Application programming interface exchange | |
| US9258282B2 (en) | Simplified mechanism for multi-tenant encrypted virtual networks | |
| US10205706B2 (en) | System and method for programmable network based encryption in software defined networks | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与*** | |
| US9344350B2 (en) | Virtual service topologies in virtual private networks | |
| US11546312B2 (en) | Dynamic disassociated channel encryption key distribution | |
| US10142298B2 (en) | Method and system for protecting data flow between pairs of branch nodes in a software-defined wide-area network | |
| US9722919B2 (en) | Tying data plane paths to a secure control plane | |
| US20230040769A1 (en) | Secure content routing using one-time pads | |
| CN103795630B (zh) | 一种标签交换网络的报文传输方法和装置 | |
| US20140301396A1 (en) | Method for constructing virtual private network, method for packet forwarding, and gateway apparatus using the methods | |
| CN107018057B (zh) | 通过城域接入网的快速路径内容传送 | |
| US11368307B1 (en) | Tamper-resistant, multiparty logging and log authenticity verification | |
| CN105393501B (zh) | 载波间虚拟专用网 | |
| CN109479048B (zh) | 用于信息中心联网(icn)编码视频流的模糊检索序列 | |
| Liyanage et al. | Secure hierarchical VPLS architecture for provider provisioned networks | |
| JP6453154B2 (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| US20180324258A1 (en) | Direct connection limitation based on a period of time | |
| Aneci et al. | SDN-based security mechanism | |
| Marques et al. | Internal BGP as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) | |
| Sanguankotchakorn | SCALABLE DYNAMIC AND MULTIPOINT VIRTUAL PRIVATE NETWORK USING INTERNET PROTOCOL SECURITY FOR AN ENTERPRISE NETWORK | |
| Okwuibe | Performance evaluation of HIP-based network security solutions | |
| Hayale et al. | Implementing Virtual Private Network using Ipsec Framework | |
| Paillissé Vilanova | Next generation overlay networks: security, trust, and deployment challenges |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220216 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters building, Longgang District, Shenzhen City, Guangdong Province, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |