一种跨越公网的私有云对接方法与流程

本发明涉及信息安全、计算机网络等技术领域，具体的说，是一种跨越公网的私有云对接方法。

背景技术：

随着云技术的飞速发展，越来越多的传统使用场景逐渐云化。但是由于公网IP地址的数量不足以及用户出于安全考虑，绝大部分用户都分布于各个子网中，通过共享公网IP地址来使用互联网。私有云、混合云的使用是当今云环境下不可或缺的要素，怎样通过现有的网络使用场景来将物理上分布与不同地理区域的私有/混合云基础环境进行互联，而这种接入方式又要配置简单使用方便、鉴权认证安全可靠、实现子网到子网的全面互联，成为一个需要思考的问题。

目前常用的接入方式普遍需要复杂繁琐的软硬件安装配置过程，对于非相关专业的用户来讲完成这些过程需要花费大量的时间人力成本，有些安装配置流程甚至让专业人员也颇为头痛。

目前常用的接入方式其认证和鉴权方式在易用性和安全性兼顾上并没有做到很好，通常具有一个“易用的不够安全、安全的不够易用”的问题。比如最常用的帐号/密码认证方式：涉及到帐号密码本身的保管和维护等一系列安全隐患，有多少个用户就需要维护多少帐号密码，而任何一对帐号密码的泄漏都会使之前的工作前功尽弃，而且当子网与子网之间跨越公网互相连接时类似问题将会更加严峻。在这里大多数需要储存、传递和维护密钥的认证鉴权方法都多多少少存在问题，或者是易用性/安全性不可兼顾。

技术实现要素：

本发明的目的在于提供一种跨越公网的私有云对接方法，具有部署和配置非常简单易用的特性。

本发明通过下述技术方案实现：一种跨越公网的私有云对接方法，在公网上配置至少一台控制服务器，在对接的两个子网中各配置至少一台节点服务器，两个子网中的节点服务器皆与控制服务器连接通信，子网与子网之间通过唯一识别号进行关联通信。

进一步的为更好的实现本发明，特别采用下述设置方式：所述进行关联通信包括以下具体步骤：

1）第一个子网的所述节点服务器向控制服务器申请唯一识别号；

2）第二个子网的所述节点服务器与控制服务器建立连接；

3）第二个子网的所述节点服务器使用唯一识别号请求与第一个子网的所示节点服务器关联；

4）经步骤3）后，完成从一端子网到另一端子网之间的控制信道的建立，形成子网间通信链路。

进一步的为更好的实现本发明，特别采用下述设置方式：所述子网间通信链路的控制信道和数据信道是分别独立的TCP连接。

进一步的为更好的实现本发明，特别采用下述设置方式：所述节点服务器与控制服务器连接通信时，采用节点服务器主动向控制服务器发起TCP连接的方式进行通信。

进一步的为更好的实现本发明，特别采用下述设置方式：所述唯一识别号为一串数字或一串字符串或数字与字符的混合式。

进一步的为更好的实现本发明，特别采用下述设置方式：在两个子网需要对接时，节点服务器连接上控制服务器后使用所述唯一识别号能够关联到唯一拥有该识别号的对端节点服务器。

进一步的为更好的实现本发明，特别采用下述设置方式：所述唯一识别号具有“仅一次有效”的特征，具体是指：当两个子网的节点控制服务器使用某个唯一识别号成功关联之后，该唯一识别号即宣告作废，之后第三或者更后续的使用者将无法再使用该唯一识别号。

进一步的为更好的实现本发明，特别采用下述设置方式：在所述控制服务器上运行有控制服务器程序，控制服务器程序为散布在各处的节点服务器提供服务，且服务包括以下具体内容：

唯一识别号的产生、维护与注销；

关联从不同节点接入的连接实现两个子网之间控制讯息的通信；

关联从不同节点发起的TCP连接实现连接之间的TCP数据包转发；

识别号维护：唯一识别号的生成、分配、维护与销毁；

连接关联：根据唯一识别号关联对应的TCP连接；

数据转发：在已关联的TCP连接之间原样转发TCP数据包。

进一步的为更好的实现本发明，特别采用下述设置方式：在所述节点服务器上运行有节点服务器程序，节点服务器程序为本子网内的设备提供以下具体服务：

与控制服务器通讯，维护唯一识别号在本地的相关数据，通过唯一识别号与对端子网的节点服务器进行关联，建立控制讯息通信链路；

获取从本子网连接对端子网中设备的信息并将该消息发送给控制服务器，再由控制服务器发送给对端子网节点服务器；

收到对端对本子网内设备的连接请求时发起需要的TCP连接，并告知控制服务器本条连接的用途。

本发明与现有技术相比，具有以下优点及有益效果：

本发明具有部署和配置非常简单易用的特性，只需要在两个子网中任何一台设备（PC或服务器）上运行客户端程序即可。

本发明在实际使用时，在进行接入网络时，各个子网之内只需要配置一台客户端，不需要在子网中每一台设备上安装客户端软件，安装配置成本低，通用程度高。

本发明使两个不同的私有云网络能够跨越公网建立起基于TCP的通讯连接，让分别处于两个私有云网络中的设备能够通过TCP数据转发的方式，让双方基于TCP之上的应用层程序能够直接相互通讯，如同两者处于同一局域网络中。

本发明通过一次性使用的唯一识别号关联两处私有云网络，使用便捷、安全可靠；在两处网络中都只需要以软件方式配置一台节点服务器，不需要额外资金采购硬件设备；每个网络中只需要配置一台节点服务器，网络中的其它设备都可以通过节点服务器来与对端网络中的任意设备通讯，除了节点服务器需要配置外其它设备都不需要特别配置，使用简单。

附图说明

图1为本发明的主流程图。

图2为本发明的关联控制节点架构图。

具体实施方式

本发明涉及计算机网络、信息安全技术等多方面内容，是计算机技术在上述领域的一种综合应用。申请人认为，如在仔细阅读申请文件、准确理解本发明的实现原理和发明目的以后，在结合现有公知技术的情况下，本领域技术人员完全可以运用其掌握的软件编程技能实现本发明。

下面结合实施例对本发明作进一步地详细说明，但本发明的实施方式不限于此。

实施例1：

本发明提出了一种跨越公网的私有云对接方法，结合图1、图2所示，特别采用下述设置方式：在公网上配置至少一台控制服务器，在对接的两个子网中各配置至少一台节点服务器，两个子网中的节点服务器皆与控制服务器连接通信，子网与子网之间通过唯一识别号进行关联通信；任意一端子网节点服务器首先向控制服务器申请唯一识别号，另一端子网节点服务器再与公网控制服务器建立连接并使用该唯一识别号请求与对端关联，从而实现从一端子网到另一端子网之控制信道的建立，之后的控制指令都在该条链路上传递。

在公网上配置至少一台控制服务器，亦在对接的两个子网中各配置至少一台节点服务器，两个子网中的节点服务器皆能够与控制服务器连接通信，子网与子网之间通过唯一识别号进行关联通信，亦即子网中的一台节点服务器采用唯一识别号同对端的子网中的一台节点服务器进行关联通信。

实施例2：

本实施例是在上述实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：所述进行关联通信包括以下具体步骤：

1）第一个子网的所述节点服务器向控制服务器申请唯一识别号；

2）第二个子网的所述节点服务器与控制服务器建立连接；

3）第二个子网的所述节点服务器使用唯一识别号请求与第一个子网的所示节点服务器关联；

4）经步骤3）后，完成从一端子网到另一端子网之间的控制信道的建立，形成子网间通信链路。

实施例3：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：所述子网间通信链路的控制信道和数据信道是分别独立的TCP连接。

实施例4：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：所述节点服务器与控制服务器连接通信时，采用节点服务器主动向控制服务器发起TCP连接的方式进行通信。

实施例5：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：所述唯一识别号为一串数字或一串字符串或数字与字符的混合式；所述唯一识别号是一串易于人记忆和描述的符号，例如可以是一串数字、一串字符串或者两者的混合等，这样设计的原因在于人可以使用各种通讯方式传递该唯一识别号，例如电话、短信等方式，增加便利性。

实施例6：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：在两个子网需要对接时，节点服务器连接上控制服务器后使用所述唯一识别号能够关联到唯一拥有该识别号的对端节点服务器；即需要对接的两端子网节点服务器连接上公网控制服务器后使用该唯一识别号能够关联到唯一拥有该识别号的对端子网节点服务器。

实施例7：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：所述唯一识别号具有“仅一次有效”的特征，具体是指：当两个子网的节点控制服务器使用某个唯一识别号成功关联之后，该唯一识别号即宣告作废，之后第三或者更后续的使用者将无法再使用该唯一识别号。所述唯一识别号具有“仅一次有效”的特征，具体是指：当两个子网节点控制服务器使用某个唯一识别号成功关联之后，该唯一识别号即宣告作废，这之后第三或者更后续的使用者将无法再使用该唯一识别号，即使该唯一识别号泄漏了也没有关系，增加安全性。

实施例8：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：在所述控制服务器上运行有控制服务器程序，控制服务器程序为散布在各处的节点服务器提供服务，且服务包括以下具体内容：

唯一识别号的产生、维护与注销；

关联从不同节点接入的连接实现两个子网之间控制讯息的通信；

关联从不同节点发起的TCP连接实现连接之间的TCP数据包转发；

识别号维护：唯一识别号的生成、分配、维护与销毁；

连接关联：根据唯一识别号关联对应的TCP连接；

数据转发：在已关联的TCP连接之间原样转发TCP数据包。

实施例9：

本实施例是在上述任一实施例的基础上进一步优化，进一步的为更好的实现本发明，特别采用下述设置方式：在所述节点服务器上运行有节点服务器程序，节点服务器程序为本子网内的设备提供以下具体服务：

与控制服务器通讯，维护唯一识别号在本地的相关数据，通过唯一识别号与对端子网的节点服务器进行关联，建立控制讯息通信链路；

获取从本子网连接对端子网中设备的信息并将该消息发送给控制服务器，再由控制服务器发送给对端子网节点服务器；

收到对端对本子网内设备的连接请求时发起需要的TCP连接，并告知控制服务器本条连接的用途。

节点服务器程序实现如下服务：

2.1连接：连接控制服务器端，获取新的唯一识别号，或者使用已有的识别号连接控制服务器以关联对端节点服务器。

2.2 数据转发：在已关联的TCP连接之间原样转发TCP数据包。

2.3 UI界面：将需要与用户进行交互的讯息展现给用户，并且从用户那里获取需要的回馈信息。

实施例10：

本实施例是在上述任一实施例的基础上进一步优化，一种跨越公网的私有云对接方法，如图1、图2所示，特别采用下述设置方式：

在两个子网中各自至少配置一台节点服务器，在公网中配置至少一台控制服务器。

一种跨越公网的私有云对接方法，通过以下步骤实现：

假设子网N需要与子网M跨越公网互相联通，以确保基于TCP的所有之上的通信能够正常使用，更具体一点，子网N中的某台设备的用户需要从子网N中的某台PC上（C）使用SSH协议连接到子网M中的某台服务器（S），如C-N-P-M-S。

1）关联子网控制节点：

1.1）在公网上部署一台控制服务器，它具有公网域名，任何可以访问公网的设备都可以访问这台控制服务器（P-Server）；

1.2）在子网N中配置节点服务器（N-Server），N-Server可以直接向P-Server发起TCP连接（由于绝大多数使用环境下，子网中的设备使用公用的一个公网IP访问公网，每个设备都在NAT设备之后，公网中的设备并不能直接访问子网中的某一台设备，必须有子网中的设备主动连接公网设备）。N-Server向P-Server申请一个识别号，该识别号可以是一串字母或者一串数字或者是其它任何人类便于记忆和传递的信息。这一段识别号具有唯一的特性，即一但一个识别号被分配开始使用之后，后续不能再分配给其它申请者使用，除非最开始的申请者主动放弃并且注销了该识别号；

1.3）步骤1.2）的配置人员将获取的识别号告知步骤1.4）的配置人员，出于安全考虑，不推荐使用网络传递，优选的唯一识别号的传输采用电话、短信等方式进行传输；

1.4）在子网M中配置节点服务器（M-Server），M-Server同样向P-Server发起TCP连接，并使用步骤1.3）中获取的识别号向P-Server请求关联网络。因为识别号是唯一的，所以可以关联到步骤1.2）中的N-Server。由此建立了一条N-P-M的通信链路，之后所有的控制和沟通数据都使用该信道进行通讯；

1.5）特别注意的是在步骤1.4）之后，两个子网之间的关联已经完毕，并且今后也只有这两个子网能够使用这个识别号来进行关联，之后再有第三个或者更之后的节点想要通过这个识别号进行关联都不会被允许。除非N和M的关联给关闭，对应识别号被注销。这样处理同时兼顾到了身份鉴权的可靠性和易用性，好比一把只能使用一次的钥匙，当它完成了N和M的关联后就失效了，这样免去了后续保存和维护这把钥匙的工作量。

2）使用子网关联服务：

在本实施例中是由子网N内的用户发起向子网M内设备的SSH连接，所以这里连接发起方是N-Server。实际使用中N和M的地位完全对称，即连接既可以从N向M也可以从M向N。在该步骤中，开始把用户使用的子网N的设备简称为N-dev，要连接的子网M设备简称为M-dev；包括以下步骤：

2.1）用户在N网内，告知N-server需要连接到M网的设备M-dev。N-server向P-server发起一条新的TCP连接（简称N-P），并在该连接最开始告知P-server如下信息：我是N-server；请让M网中的M-server与M-dev的22（SSH服务默认端口）端口建立TCP连接。

2.2）M-server向M网内的M-dev的22端口发起TCP连接（简称Ms-Md），当连接成功后M-server向P-server发起新的TCP连接（简称M-P），并在该连接最开始告知P-server如下信息：我是M-server；我是之前N-server要求建立的新连接。在Ms-Md和M-P之间建立TCP包转发关系；

2.3）P-server在收到步骤2.1）和步骤2.2）的消息之后，根据它们各自提供的信息对它们进行关联在N-P和M-P之间建立TCP包转发关系。

2.4）当2.1）、2.2）和2.3）步骤完成之后，P-server会通知N-server，此时P-server会在自己的本地打开一个端口，用户可以使用N网中的设备N-dev向N-server开放的这个端口发起SSH连接请求（简称Nd-Ns），在Nd-Ns和N-P之间建立TCP包转发关系。

到此所有的TCP数据包都会经过N-dev>N-server > P-server > M-server > M-dev的路径到达M-dev的22端口，途中分别经过了Nd-Ns和N-P之间的TCP数据转发、N-P和M-P之间的TCP数据转发以及Ms-Md和M-P之间的TCP数据转发。

最终用户将成功建立N-dev到M-dev的SSH连接并正常使用。

因为TCP数据包是不经修改地原样转发，所以所有工作在TCP之上的应用层协议都不会感觉到这三次转发的存在。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化，均落入本发明的保护范围之内。