提供弹性vpn服务的方法、系统和vpn服务中心的制作方法

提供弹性vpn服务的方法、系统和vpn服务中心的制作方法
【专利摘要】本发明公开了一种提供弹性VPN服务的方法、系统和VPN服务中心，涉及VPN领域。其中方法包括VPN服务中心为每个客户创建一个VPN根域；VPN服务中心对客户的VPN根域以及其所属VPN成员进行管理；VPN服务中心接受VPN成员的注册，以便实现端到端的VPN通信。用户共享VPN服务中心的VPN资源，VPN服务中心通过VPN域进行资源控制，从而实现对用户提供弹性的VPN服务。
【专利说明】提供弹性VPN服务的方法、系统和VPN服务中心
【技术领域】
[0001]本发明涉及VPN (Virtual Private Network,虚拟专用网络)【技术领域】,特别涉及一种提供弹性VPN服务的方法、系统和VPN服务中心。
【背景技术】
[0002]随着网络的日益普及，公司各分支机构之间为了共享商业数据，需要将各分支机构联网，在保证数据存储和传输安全的前提下实现数据共享。为达此目的，企业各分支机构之间除了租用专线实现互联之外，还可以利用隧道等技术建立VPN，从而通过公共网络实现类似私有专网的数据传输。
[0003]在传统的VPN网关组网模式中，由于VPN网关的容量需要根据用户数预先配置好，这样VPN网关只能对用户提供固定的VPN服务。因此，部署VPN网关时会处于两难抉择:如果按现有需要配置硬件，则以后扩容时则需要更换网关设备，原有投资无法得到保证；如果按大容量标准配置硬件，则容易造成投资的过度。

【发明内容】

[0004]本发明实施例所要解决的一个技术问题是:提供一种提供弹性VPN服务的方法、系统和VPN服务中心，以解决现有技术中只能为用户提供固定VPN服务的问题。
[0005]根据本发明实施例的一个方面，提供了一种提供弹性虚拟专用网络服务的方法，包括:虚拟专用网络VPN服务中心为每个客户创建一个VPN根域；所述VPN服务中心对客户的VPN根域以及其所属VPN成员进行管理；所述VPN服务中心接受VPN成员的注册，以便实现端到端的VPN通信。
[0006]可选地，所述VPN服务中心对客户的VPN根域及其所属VPN成员进行管理包括:所述VPN服务中心在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
[0007]可选地，所述VPN服务中心接受VPN成员的注册包括:所述VPN服务中心接收VPN成员通过其终端上报的节点信息，所述节点信息包括用户标识、互联网协议IP地址和端口号；所述VPN服务中心向VPN成员的终端下发配置信息，所述配置信息包括VPN成员所属VPN子域和所属VPN子域中在线终端。
[0008]可选地，所述VPN服务中心接受VPN成员的注册之后，所述方法还包括:所述VPN服务中心接收第一终端发送的与第二终端建立VPN隧道的请求；所述VPN服务中心根据所述建立VPN隧道的请求，查找相应的安全策略；如果所述安全策略允许所述第一终端和所述第二终端建立VPN隧道，所述VPN服务中心向所述第一终端和所述第二终端下发隧道建立信息，以便所述第一终端和所述第二终端根据所述隧道建立信息建立VPN隧道。
[0009]可选地，所述VPN服务中心根据所述建立VPN隧道的请求，查找相应的安全策略包括:所述VPN服务中心根据所述建立VPN隧道的请求携带的所述第一终端和所述第二终端的用户标识，查找所述第一终端和所述第二终端之间的安全策略。[0010]可选地，所述方法还包括:所述VPN服务中心确定所述第一终端和所述第二终端是否均为私网IP地址；如果所述第一终端和所述第二终端均为私网IP地址，所述VPN服务中心通知所述第一终端和所述第二终端分别和所述VPN服务中心中的具有公网IP地址的VPN转发系统建立VPN隧道；或者，如果所述第二终端为公网IP地址，所述VPN服务中心通知所述第一终端向所述第二终端发起VPN隧道建立请求；或者，如果所述第一终端为公网IP地址，所述VPN服务中心通知所述第二终端向所述第一终端发起VPN隧道建立请求。
[0011]可选地，所述VPN服务中心基于云计算技术构建。
[0012]根据本发明实施例的另一个方面，提供了一种虚拟专用网络服务中心，包括:VPN业务管理系统，用于为每个客户创建一个VPN根域；对客户的VPN根域以及其所属VPN成员进行管理；以及VPN接入系统，用于接受VPN成员的注册，以便实现端到端的VPN通信。
[0013]可选地，所述VPN业务管理系统，用于在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
[0014]可选地，所述VPN接入系统，用于接收VPN成员通过其终端上报的节点信息，所述节点信息包括用户标识、互联网协议IP地址和端口号；向VPN成员的终端下发配置信息，所述配置信息包括VPN成员所属VPN子域和所属VPN子域中在线终端。
[0015]可选地，所述VPN接入系统，还用于接收第一终端发送的与第二终端建立VPN隧道的请求；根据所述建立VPN隧道的请求，查找相应的安全策略；如果所述安全策略允许所述第一终端和所述第二终端建立VPN隧道，向所述第一终端和所述第二终端下发隧道建立信息，以便所述第一终端和所述第二终端根据所述隧道建立信息建立VPN隧道。
[0016]可选地，所述VPN接入系统，用于根据所述建立VPN隧道的请求携带的所述第一终端和所述第二终端的用户标识，查找所述第一终端和所述第二终端之间的安全策略。
[0017]可选地，所述虚拟专用网络服务中心还包括:具有公网IP地址的VPN转发系统；所述VPN接入系统，还用于确定所述第一终端和所述第二终端是否均为私网IP地址；如果所述第一终端和所述第二终端均为私网IP地址，所述VPN服务中心通知所述第一终端和所述第二终端分别和所述VPN转发系统建立VPN隧道；或者，如果所述第二终端为公网IP地址，所述VPN服务中心通知所述第一终端向所述第二终端发起VPN隧道建立请求；或者，如果所述第一终端为公网IP地址，所述VPN服务中心通知所述第二终端向所述第一终端发起VPN隧道建立请求。
[0018]可选地，所述VPN服务中心基于云计算技术构建。
[0019]根据本发明实施例的再一个方面，提供了一种提供弹性虚拟专用网络服务的系统，包括上述VPN服务中心和终端。
[0020]本发明用户共享VPN服务中心的VPN资源，VPN服务中心通过VPN域进行资源控制，从而实现对用户提供弹性的VPN服务。另外，VPN服务中心集中管理安全策略，用户根据安全策略按需动态建立VPN隧道，用户自己无须VPN路由组织，因此减少了配置管理的复杂性。并且，通过用户标识进行安全控制，使得安全策略不依赖于IP地址，在终端IP地址改变时不影响安全策略，从而使得安全策略的维护管理比较简单。另外，增设了一个具有公网IP地址的VPN转发系统，具有私网IP地址的两个终端分别与具有公网IP地址的VPN转发建立VPN隧道，从而在第一终端和第二终端间接建立起VPN连接，解决了传统VPN中用户接入受限的问题。[0021]下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
【专利附图】

【附图说明】
[0022]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0023]图1示出本发明一个实施例提供的虚拟专用网络架构示意图。
[0024]图2示出本发明一个实施例的开户过程信息交互图。
[0025]图3示出本发明一个实施例的注册过程信息交互图。
[0026]图4示出本发明一个实施例的VPN隧道建立过程信息交互图。
[0027]图5示出本发明提供弹性VPN服务的方法的一个实施例的流程图。
[0028]图6示出本发明提供弹性VPN服务的方法的另一个实施例的流程图。
[0029]图7示出本发明提供弹性VPN服务的方法的再一个实施例的流程图。
[0030]图8示出本发明虚拟专用网络服务中心的一个实施例的结构示意图。
[0031]图9示出本发明虚拟专用网络服务中心的另一个实施例结构示意图。
[0032]图10示出本发明提供弹性VPN服务的系统的一个实施例的结构示意图。
【具体实施方式】
[0033]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0034]除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
[0035]同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0036]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
[0037]在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
[0038]应注意到:相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
[0039]图1示出本发明一个实施例提供的虚拟专用网络架构示意图。如图1所示，该虚拟专用网络包括VPN服务中心102和终端104。其中，VPN服务中心102可以包括VPN业务管理系统102a、VPN接入系统102b、VPN转发系统102c。VPN业务管理系统102a主要负责VPN域管理、用户的安全策略管理、用户帐号管理、用户路由信息封装管理，在IPSec (InternetProtocol Security,互联网协议安全性)VPN中还可以协助建立用户端到端的IPSec加密隧道。VPN接入系统102b负责接收用户请求、对用户进行认证等。VPN转发系统102c具有公网IP地址，负责为VPN成员提供包转发服务，不论VPN成员是公网用户还是私网用户，均可以实现VPN成员之间的双向通信，后续会详细说明。需要说明的是，虚拟专用网络服务中心102可以基于云计算技术构建，从而可以根据用户需求动态的调整资源配置。终端104一般可以有两个以上，作为示例，图1仅示出两个终端，即第一终端和第二终端，每个终端可以安装客户端软件，从而自动获取成员密钥，对数据包进行路由信息封装，以及自动建立和拆除端到端的IPSec加密信道等。
[0040]一个完整的VPN服务流程通常包括三个阶段，分别是开户阶段、注册阶段、VPN隧道建立阶段，下面分别详细说明。
[0041]图2示出本发明一个实施例的开户过程信息交互图。如图2所示，该实施例的开户过程具体包括:
[0042]S202，业务管理员为每个客户在VPN服务中心创建一个VPN根域以及根域管理员帐号，具体可以在VPN业务管理系统创建。
[0043]S204, VPN业务管理系统向根域管理员下发数字证书I。
[0044]S206，根域管理员通过其账号登录VPN服务中心，提交数字证书I进行身份认证。
[0045]S208，VPN业务管理系统通过数字证书I对根域管理员进行身份认证，如果认证通过，则向根域管理员返回身份认证通过消息，如果认证不通过，则向根域管理员返回身份认证失败消息。
[0046]S210，根域管理员在身份认证通过后，在VPN服务中心对自身对应的VPN根域及其所属VPN成员进行管理，具体可以在VPN业务管理系统进行管理。例如，根域管理员可以进一步在VPN根域创建添加VPN子域，在VPN子域还可以添加VPN成员，将VPN成员划分成员组等，并可以针对VPN成员或者成员组灵活地制定安全策略，以实现对企业内部的管理和控制。其中，VPN成员可以是企业内部用户的终端，如个人电脑，移动设备等。
[0047]S212，VPN业务管理系统为VPN成员分配用于唯一标识VPN成员的用户标识，以及成员账号和临时密码。其中，安全策略可以与用户标识相对应。
[0048]S214，VPN成员通过其成员账号和临时密码登录VPN业务管理系统。
[0049]S216, VPN业务管理系统向VPN成员下发数据证书2。
[0050]由上述开户过程可以看出，用户共享VPN服务中心的VPN资源，VPN服务中心通过VPN域进行资源控制，从而实现对用户提供弹性的VPN服务。
[0051]至此，开户过程结束。后续，VPN成员可以向VPN服务中心发起注册过程。
[0052]图3示出本发明一个实施例的注册过程信息交互图。如图3所示，终端即为VPN成员，终端向VPN服务中心的VPN接入系统发起注册，该实施例的注册过程具体包括:
[0053]S302，VPN成员可以在其终端可以安装客户端软件，然后终端自动向VPN服务中心的VPN接入系统提交注册请求，该请求中可以携带终端的节点信息，如用户标识、IP地址、端口号等。
[0054]S304, VPN接入系统向终端发送身份认证请求。
[0055]S306，终端向VPN接入系统提交数字证书2进行身份验证。
[0056]S308, VPN接入系统根据数字证书2对终端进行身份验证，验证通过后，向终端发送认证通过消息。[0057]S310，终端和VPN接入系统双方协商加密算法和会话密钥，建立加密信道。
[0058]S312，VPN接入系统向终端下发VPN成员所属VPN子域、同属VPN子域中的在线终
端等配置信息；
[0059]S314，终端定时发送保活信息，表明其在线状态。如果终端的IP地址发生改变，则重新启动注册流程，以更新其节点信息。由于VPN接入系统存储的是用户标识与安全策略的对应关系，因此，终端IP地址改变并不会影响安全策略，只须更新终端的用户标识对应的IP地址即可，无须更新相关的安全策略，从而使得安全策略的维护管理比较简单。
[0060]至此，注册过程结束。后续，各个VPN成员可以通过VPN服务中心建立VPN隧道。
[0061]图4示出本发明一个实施例的VPN隧道建立过程信息交互图。如图4所示，第一终端和第二终端均为VPN成员，第一终端和第二终端通过VPN服务中心建立VPN隧道，该实施例的VPN隧道建立过程包括:
[0062]S402，第一终端在“在线终端”列表中选择第二终端，向VPN服务中心的VPN接入系统发送与第二终端建立VPN隧道的请求，该请求可以携带第一终端和第二终端的用户标识。
[0063]S404，VPN接入系统根据第一终端和第二终端的用户标识查找相应的安全策略，如果符合安全策略，即安全策略允许第一终端与第二终端建立VPN连接，VPN接入系统进一步确定第一终端和第二终端是否均为私网IP地址；
[0064]a)如果第一终端和第二终端中至少有一个是公网IP地址，则
[0065]S406al，VPN接入系统向两个终端下发预共享密钥等隧道建立信息，并通知一个终端向具有公网IP地址的另一个终端发起VPN隧道建立流程；
[0066]S406a2,两个终端根据预共享密钥等隧道建立信息最终建立起端到端的VPN隧道。
[0067]例如，如果第二终端为公网IP地址，VPN接入系统通知第一终端向第二终端发起VPN隧道建立请求，VPN接入系统向第一终端发送第二终端的公网IP地址，并向第一终端和第二终端下发预共享密钥等隧道建立信息，第一终端根据第二终端的公网IP地址向第二终端发起VPN隧道建立流程，第一终端和第二终端根据预共享密钥等隧道建立信息最终建立起VPN隧道。
[0068]又如，如果第一终端为公网IP地址，VPN接入系统通知第二终端向第一终端发起VPN隧道建立请求，VPN接入系统向第二终端发送第一终端的公网IP地址，并向第一终端和第二终端下发预共享密钥等隧道建立信息，第二终端根据第一终端的公网IP地址向第一终端发起VPN隧道建立流程，第一终端和第二终端根据预共享密钥等隧道建立信息最终建立起VPN隧道。
[0069]另外，需要说明的是，如果两个终端都具有公网IP地址，可以由任意一方发起VPN隧道建立流程，但是通常情况下，可以由发送建立VPN隧道请求的一方来发起VPN隧道建立流程，例如，如果第一终端和第二终端均具有公网IP地址，在本实施例中则可以由第一终端向第二终端发起VPN隧道建立流程。
[0070]b)如果第一终端和第二终端均为私网IP地址，则
[0071]S406bl，VPN接入系统通知第一终端和第二终端分别和具有公网IP地址的VPN转发系统建立VPN隧道，并向第一终端和第二终端下发VPN转发系统的公网IP地址以及预共享密钥等隧道建立信息；
[0072]S406b2，第一终端根据VPN转发系统的公网IP地址向VPN转发系统发起VPN隧道建立流程，第一终端和VPN转发系统根据预共享密钥等隧道建立信息最终建立起VPN隧道；同时，第二终端根据VPN转发系统的公网IP地址向VPN转发系统发起VPN隧道建立流程，第二终端和VPN转发系统根据预共享密钥等隧道建立信息最终建立起VPN隧道，则第一终端和第二终端通过VPN转发系统间接建立起了 VPN隧道，后续，第一终端和第二终端可以通过VPN转发系统进行数据传输。
[0073]由上述VPN隧道建立过程可以看出，VPN服务中心集中管理安全策略，用户根据安全策略按需动态建立VPN隧道，用户自己无须VPN路由组织，因此减少了配置管理的复杂性。并且，通过用户标识进行安全控制，使得安全策略不依赖于IP地址，在终端IP地址改变时不影响安全策略，从而使得安全策略的维护管理比较简单。另外，增设了一个具有公网IP地址的VPN转发系统，具有私网IP地址的两个终端分别与具有公网IP地址的VPN转发建立VPN隧道，从而在第一终端和第二终端间接建立起VPN连接，解决了传统VPN中用户接入受限的问题。
[0074]至此，VPN隧道建立过程结束。后续，各个VPN成员可以通过建立的VPN隧道进行数据传输。
[0075]参考上述VPN服务流程，为了解决现有技术中只能为用户提供固定VPN服务的问题，本发明的一个实施例还提供了一种提供弹性VPN服务的方法，图5示出该方法的流程图，包括:
[0076]S502, VPN服务中心为每个客户创建一个VPN根域。
[0077]S504，VPN服务中心对客户的VPN根域以及其所属VPN成员进行管理；具体地，VPN服务中心在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
[0078]S506, VPN服务中心接受VPN成员的注册，以便实现端到端的VPN通信。
[0079]上述实施例中，用户共享VPN服务中心的VPN资源，VPN服务中心通过VPN域进行资源控制，从而实现对用户提供弹性的VPN服务。
[0080]参考上述VPN服务流程，为了解决现有技术中用户自己需要配置和维护VPN路由组织的问题，如图6所示，VPN服务中心接受VPN成员的注册之后，提供弹性VPN服务的方法还包括:
[0081]S602, VPN服务中心接收第一终端发送的与第二终端建立VPN隧道的请求；
[0082]S604, VPN服务中心根据建立VPN隧道的请求，查找相应的安全策略；
[0083]S606，如果安全策略允许第一终端和第二终端建立VPN隧道，VPN服务中心向第一终端和第二终端下发隧道建立信息，以便第一终端和第二终端根据隧道建立信息建立VPN隧道。
[0084]上述实施例中，VPN服务中心集中管理安全策略，用户根据安全策略按需动态建立VPN隧道，用户自己无须VPN路由组织，因此减少了配置管理的复杂性。
[0085]其中，VPN服务中心可以根据建立VPN隧道的请求携带的第一终端和第二终端的用户标识，查找第一终端和第二终端之间的安全策略。
[0086]通过用户标识进行安全控制，使得安全策略不依赖于IP地址，在终端IP地址改变时不影响安全策略，从而使得安全策略的维护管理比较简单。
[0087]参考上述VPN服务流程，为了解决现有技术中两个终端均为私网IP地址时接入受限的问题，如图7所示，安全策略允许第一终端和第二终端建立VPN隧道之后，提供弹性VPN服务的方法还包括:
[0088]S702, VPN服务中心确定第一终端和第二终端是否均为私网IP地址；
[0089]S704a,如果第一终端和第二终端均为私网IP地址，VPN服务中心通知第一终端和第二终端分别和VPN服务中心中的具有公网IP地址的VPN转发系统建立VPN隧道；
[0090]S704b,如果第二终端为公网IP地址，VPN服务中心通知第一终端向第二终端发起VPN隧道建立请求；
[0091]S704c，如果第一终端为公网IP地址，VPN服务中心通知第二终端向第一终端发起VPN隧道建立请求。
[0092]上述实施例中，增设了一个具有公网IP地址的VPN转发系统，具有私网IP地址的两个终端分别与具有公网IP地址的VPN转发建立VPN隧道，从而在第一终端和第二终端间接建立起VPN连接，解决了传统VPN中用户接入受限的问题。
[0093]图8所示为本发明虚拟专用网络服务中心的一个实施例的结构示意图，如图8所示，包括:
[0094]VPN业务管理系统102a，用于为每个客户创建一个VPN根域；对客户的VPN根域以及其所属VPN成员进行管理；以及
[0095]VPN接入系统102b，用于接受VPN成员的注册，以便实现端到端的VPN通信。
[0096]作为另一实施例，VPN业务管理系统102a，用于在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
[0097]作为另一实施例，VPN接入系统102b，用于接收VPN成员通过其终端上报的节点信息，节点信息包括用户标识、互联网协议IP地址和端口号；向VPN成员的终端下发配置信息，配置信息包括VPN成员所属VPN子域和所属VPN子域中在线终端。
[0098]作为另一实施例，VPN接入系统102b，还用于接收第一终端发送的与第二终端建立VPN隧道的请求；根据建立VPN隧道的请求，查找相应的安全策略；如果安全策略允许第一终端和第二终端建立VPN隧道，向第一终端和第二终端下发隧道建立信息，以便第一终端和第二终端根据隧道建立信息建立VPN隧道。
[0099]作为另一实施例，VPN接入系统102b，用于根据建立VPN隧道的请求携带的第一终端和第二终端的用户标识，查找第一终端和第二终端之间的安全策略。
[0100]作为另一实施例，如图9所示，虚拟专用网络服务中心还包括:具有公网IP地址的VPN转发系统120c ;VPN接入系统，还用于确定第一终端和第二终端是否均为私网IP地址；如果第一终端和第二终端均为私网IP地址，VPN服务中心通知第一终端和第二终端分别和VPN转发系统建立VPN隧道；或者，如果第二终端为公网IP地址，VPN服务中心通知第一终端向第二终端发起VPN隧道建立请求；或者，如果第一终端为公网IP地址，VPN服务中心通知第二终端向第一终端发起VPN隧道建立请求。
[0101]作为另一实施例，VPN服务中心基于云计算技术构建。
[0102]上述实施例中，用户共享VPN服务中心的VPN资源，VPN服务中心通过VPN域进行资源控制，从而实现对用户提供弹性的VPN服务。另外，VPN服务中心集中管理安全策略，用户根据安全策略按需动态建立VPN隧道，用户自己无须VPN路由组织，因此减少了配置管理的复杂性。并且，通过用户标识进行安全控制，使得安全策略不依赖于IP地址，在终端IP地址改变时不影响安全策略，从而使得安全策略的维护管理比较简单。另外，增设了一个具有公网IP地址的VPN转发系统，具有私网IP地址的两个终端分别与具有公网IP地址的VPN转发建立VPN隧道，从而在第一终端和第二终端间接建立起VPN连接，解决了传统VPN中用户接入受限的问题。
[0103]图10所示为本发明提供弹性虚拟专用网络服务的系统的一个实施例的结构示意图，如图10所示，提供弹性虚拟专用网络服务的系统包括:上述VPN服务中心102和终端104。VPN服务中心102和终端104的相关描述参见前述，这里不再赘述。
[0104]本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0105]以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种提供弹性虚拟专用网络服务的方法，其特征在于，包括: 虚拟专用网络VPN服务中心为每个客户创建一个VPN根域； 所述VPN服务中心对客户的VPN根域以及其所属VPN成员进行管理； 所述VPN服务中心接受VPN成员的注册，以便实现端到端的VPN通信。
2.根据权利要求1所述的方法，其特征在于，所述VPN服务中心对客户的VPN根域及其所属VPN成员进行管理包括: 所述VPN服务中心在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
3.根据权利要求1所述的方法，其特征在于，所述VPN服务中心接受VPN成员的注册包括: 所述VPN服务中心接收VPN成员通过其终端上报的节点信息，所述节点信息包括用户标识、互联网协议IP地址和端口号； 所述VPN服务中心向VPN成员的终端下发配置信息，所述配置信息包括VPN成员所属VPN子域和所属VPN子域中在线终端。
4.根据权利要求1所述的方法，其特征在于，所述VPN服务中心接受VPN成员的注册之后，所述方法还包括: 所述VPN服务中心接收第一终端发送的与第二终端建立VPN隧道的请求；` 所述VPN服务中心根据所述建立VPN隧道的请求，查找相应的安全策略； 如果所述安全策略允许所述第一终端和所述第二终端建立VPN隧道，所述VPN服务中心向所述第一终端和所述第二终端下发隧道建立信息，以便所述第一终端和所述第二终端根据所述隧道建立信息建立VPN隧道。
5.根据权利要求4所述的方法，其特征在于，所述VPN服务中心根据所述建立VPN隧道的请求，查找相应的安全策略包括: 所述VPN服务中心根据所述建立VPN隧道的请求携带的所述第一终端和所述第二终端的用户标识，查找所述第一终端和所述第二终端之间的安全策略。
6.根据权利要求4所述的方法，其特征在于，所述方法还包括: 所述VPN服务中心确定所述第一终端和所述第二终端是否均为私网IP地址； 如果所述第一终端和所述第二终端均为私网IP地址，所述VPN服务中心通知所述第一终端和所述第二终端分别和所述VPN服务中心中的具有公网IP地址的VPN转发系统建立VPN隧道； 或者，如果所述第二终端为公网IP地址，所述VPN服务中心通知所述第一终端向所述第二终端发起VPN隧道建立请求； 或者，如果所述第一终端为公网IP地址，所述VPN服务中心通知所述第二终端向所述第一终端发起VPN隧道建立请求。
7.根据权利要求4所述的方法，其特征在于，所述VPN服务中心基于云计算技术构建。
8.—种虚拟专用网络服务中心，其特征在于，包括: VPN业务管理系统，用于为每个客户创建一个VPN根域；对客户的VPN根域以及其所属VPN成员进行管理；以及 VPN接入系统，用于接受VPN成员的注册，以便实现端到端的VPN通信。
9.根据权利要求8所述的虚拟专用网络服务中心，其特征在于， 所述VPN业务管理系统，用于在VPN根域下创建VPN子域，在VPN子域添加VPN成员，将VPN成员划分成员组，并为VPN成员或成员组制定安全策略。
10.根据权利要求8所述的虚拟专用网络服务中心，其特征在于，所述VPN接入系统，用于 接收VPN成员 通过其终端上报的节点信息，所述节点信息包括用户标识、互联网协议IP地址和端口号； 向VPN成员的终端下发配置信息，所述配置信息包括VPN成员所属VPN子域和所属VPN子域中在线终端。
11.根据权利要求8所述的虚拟专用网络服务中心，其特征在于，所述VPN接入系统，还用于 接收第一终端发送的与第二终端建立VPN隧道的请求； 根据所述建立VPN隧道的请求，查找相应的安全策略； 如果所述安全策略允许所述第一终端和所述第二终端建立VPN隧道，向所述第一终端和所述第二终端下发隧道建立信息，以便所述第一终端和所述第二终端根据所述隧道建立信息建立VPN隧道。
12.根据权利要求11所述的虚拟专用网络服务中心，其特征在于，所述VPN接入系统，用于根据所述建立VPN隧道的请求携带的所述第一终端和所述第二终端的用户标识，查找所述第一终端和所述第二终端之间的安全策略。
13.根据权利要求11所述的虚拟专用网络服务中心，其特征在于，所述虚拟专用网络服务中心还包括:具有公网IP地址的VPN转发系统；所述VPN接入系统，还用于确定所述第一终端和所述第二终端是否均为私网IP地址； 如果所述第一终端和所述第二终端均为私网IP地址，所述VPN服务中心通知所述第一终端和所述第二终端分别和所述VPN转发系统建立VPN隧道； 或者，如果所述第二终端为公网IP地址，所述VPN服务中心通知所述第一终端向所述第二终端发起VPN隧道建立请求； 或者，如果所述第一终端为公网IP地址，所述VPN服务中心通知所述第二终端向所述第一终端发起VPN隧道建立请求。
14.根据权利要求8所述的虚拟专用网络服务中心，其特征在于，所述VPN服务中心基于云计算技术构建。
15.一种提供弹性虚拟专用网络服务的系统，其特征在于，包括如权利要求8 — 14任一项所述的VPN服务中心和终端。
【文档编号】H04L12/46GK103684958SQ201210341678
【公开日】2014年3月26日 申请日期:2012年9月14日 优先权日:2012年9月14日
【发明者】何明, 沈军, 金华敏, 汪来富, 王帅, 冯明 申请人:中国电信股份有限公司