载波间虚拟专用网的制作方法
【技术领域】
[0001] 在本发明的一些实施例中,本发明设及在多个载波上建立虚拟专用网络,且更具 体来说但非排他地,设及在多个载波之间分布虚拟专用网络路由信息。
【背景技术】
[0002] 在全世界,云计算使商业客户和企业客户能够在数据中屯、中将他们的服务器 和计算机用作虚拟机(virtualmachine,VM)。当利用他们的信息技术(in化rmation technology,IT)服务器的在不同云和数据中屯、上的不同部分时,用户需要能够使他们的所 有站点互连,在用户拥有物理IT基础设施时也是如此。
[0003] 目前,当端点连接到不同自治系统时,存在连接虚拟专用网络(virtualprivate network,VPN)的多个端点的多种方法。运可W在VPN站点连接到不同服务提供商时发生。 运些方法包含:
[0004] A)在自治系统(AutonomousSystem,A巧边界路由器处的虚拟路由转发(Virtual routingandforwarding,VRF)到VRF的连接;
[0005] B)标记的VPN第四版因特网协议(IPv4)路线从AS到相邻AS的外部边界网关协 议巧XteriorBorderGatewayProtocol,邸GP)再分布;[^及
[0006] C)标记的VPN-IPV4路线在源与目的地AS之间的多跳邸GP再分布,W及标记的 IPv4路线从AS到相邻AS的邸GP再分布。
[0007] 另外的【背景技术】包含:
[0008] "BGP/MPLSIP虚拟专用网络(VirtualPrivate化twork,VPN)由因特网协会版 权所有(2006)。
【发明内容】
[0009] 在下文中,全球通用标识符(本文中还表示为GUID或通用标识符)向VPN标识符 (VPNID)指派全球性意义。使用加密密钥对由GUID和VPNID的组合所识别的VPN的路由 信息进行加密。任选地,通过独立授权(例如,CA)将GUID提供到客户端,并且还可W提供 加密密钥。例如,通过扩展MPLSVPN协议将加密后路由信息分布到其它载波,W包含所述 加密后路由信息(例如,加密后路由条目)的分布作为全球资源。
[0010] 仅已从用户接收到加密密钥的授权载波可能够对加密后路由信息进行解密且发 现其它VPN端点的位置。
[0011] 与软件定义网络(softwaredefinednetworking,SDN)禪合,本文中本发明的方 面实现VPN建立的自动化作为云联邦服务(即,作为通过云提供商提供的服务且不作为通 过用户维持的云上任务)。如本文中描述的VPN在多个载波上的建立实现全球、载波间、云 间、VPN和云连接。AAA机制可W用于终端用户资源识别、发现和广告(包含范围和访问表)。 阳01引如本文所使用的术语"载波"意指能够托管VPN端点的任何网络实体,例如,服务 提供商或自治系统(autonomoussystem,AS)。
[0013] 根据本发明的第一方面,提供一种用于建立多载波虚拟专用网络的端点的方法。 将虚拟专用网络分布于在载波间网络上传送的多个载波上。所述方法包含执行W下操作:
[0014] I)从用户客户端接收请求W托管多载波虚拟专用网络(virtual private network, VPN)的端点。所述请求包含识别VPN的相应VPN标识符(VPN ID)、识别用户客户 端的通用标识符和VPN加密密钥;
[0015]II)建立所请求的VPN端点;
[0016]III)产生用于多载波虚拟专用网络的所建立端点的路由条目。所述路由条目包含 相应VPNID、相应通用标识符和用于VPN端点的相应路由信息; 阳017] IV)通过相应加密密钥对所述路由条目进行加密;
[001引V)将加密后路由条目分布到载波间网络的至少一个其它载波拟及
[0019]VI)在从其它载波接收到的相应路由条目中识别VPN的端点的其它载波,并且在 载波间网络上建立与其它载波的VPN连接。
[0020] 可W在载波网络基础设施barrier network infrast;ruc1:ure,CNI)处执行运些 步骤中的全部或一些。
[0021] 在本发明的第一方面本身的第一可能的实施形式中,识别其它载波包含:保持包 含加密后路由条目的全局路由表;从载波间网络的相应载波中接收加密后路由条目且将所 述加密后路由条目存储在全局路由表中;W及当接收到的加密后路由条目可通过VPN加密 密钥解密时,将相应载波分类成VPN的端点的载波。
[0022] 在本发明的第一方面的第一实施形式的可能的实施形式中,所述方法进一步包 含:将接收到的加密后路由条目解密成解密后路由条目W及将所述解密后路由条目存储在 局部路由表中。所述解密后路由条目包含VPNID、通用标识符和相应VPN端点的路由信息。
[0023] 在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第=可能的 实施形式中,所述方法进一步包含通过证书颁发中屯、验证W下项中的至少一个:通用标识 符和加密密钥。
[0024] 在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第四可能的 实施形式中,所述方法进一步包含执行W下项中的至少一个:认证用户客户端、授权用户客 户端的活动W及对与用户客户端的交易进行计费。
[0025] 在根据第一方面本身的或根据第一方面的前述实施形式中任一者的第五可能的 实施形式中,载波根据边界网关协议度order Gateway protocol, BGP)在载波间网络上传 送。
[00%] 根据本发明的第二方面,提供一种用于通过多个载波建立多载波虚拟专用网络的 方法。所述载波在载波间网络上传送。所述方法包含执行W下操作:
[0027]A)将请求发送到证书颁发中心用于识别相应虚拟专用网络(virtualprivate network,VPN)的VPN标识符(VPNID)W及虚拟专用网络的相应VPN加密密钥; 阳02引 B)从证书颁发中屯、接收相应VPNID和相应VPN加密密钥;
[0029] C)将请求发送到多个载波W托管多载波虚拟专用网络(virtualprivate network,VPN)的相应端点。所述请求包含识别用户客户端的通用标识符、相应VPNID和 相应加密密钥;
[0030]D)从载波中接收建立相应VPN端点的确认,其中VPN通过VPN端点的载波从相应 VPNID和通用标识符的组合中识别。
[0031] 可W在用户客户端处执行运些步骤中的全部或一些。
[0032] 在第二方面的第一可能的实施形式中,所述方法进一步包含:将请求发送到证书 颁发中屯、用于识别用户客户端的通用标识符;W及从证书颁发中屯、接收通用标识符。
[0033] 在第二方面本身的或根据第二方面的第一实施形式的第二可能的实施形式中,所 述方法进一步包含接收用于VPN端点的相应加密后路由条目被分布到载波间网络的载波 的确认。所述加密后路由条目可通过加密密钥解密,并且每一解密后路由条目包含VPNID、 通用标识符和用于相应VPN端点的路由信息。
[0034] 在第二方面本身的或根据第二方面的前述实施形式中任一者的第=可能的实施 形式中,载波根据边界网关协议度order Gateway protocol, BGP)在载波间网络上传送。
[0035] 根据本发明的第=方面,提供一种用于建立多载波虚拟专用网络的端点的系统。 所述系统包含:
[0036] I)载波网络基础设施barriernetworkinfrast;ruc1:ure,CNI),用于托管多载波 虚拟专用网络(virtualprivatenetwork,VPN)的端点;
[0037] II)网络接口,用于在载波间网络上与至少一个用户并且与载波进行电通信;
[0038] III)硬件处理器,其与载波网络基础设施和网络接口进行电通信;W及
[0039] IV)非暂时性存储器,其与硬件处理器进行电通信。所述存储器存储:存储未加密 的路由条目的局部表数据结构,其中所述未加密的路由条目包含用于至少一个VPN的路由 信息;存储加密后路由条目的全局表数据结构,其中所述加密后路由条目通过相应加密密 钥进行加密;W及用于通过硬件处理器执行指令的程序模块。
[0040] 所述程序模块包含:
[0041] i)端点建立模块,用于从用户客户端接收请求W托管多载波虚拟专用网络 (virtualprivatenetwork,VPN)的端点并且用于在CNI上建立所请求的VPN的端点。所 述请求包含识别VPN的相应VPN标识符(VPNID)、识别用户客户端的通用标识符和相应VPN 加密密钥;
[00创 U)路由分布模块,用于产生用于所建立的VPN端点的路由条目、用于通过相应加 密密钥对所述路由条目进行加密W及用于将加密后路由条目分布到载波间网络的至少一 个其它载波。路由条目包含相应VPNID、相应通用标识符和用于VPN端点的相应路由信息; W及
[0043] iii)识别模块,用于通过对从其它载波接收到的相应路由条目进行解密而识别 VPN的端点的其它载波,并且在载波间网络上与其它载波建立VPN连接。
[0044] 在第=方面的第一可能的实施形式中,识别模块进一步用于:从载波间网络的相 应载波接收加密后路由条目,W及当所述接收到的加密后路由条目可通过相应加密密钥解 密时,将相应载波分类为VPN的端点的载波。
[0045] 在第=方面本身的或根据第=方面的第一实施形式的第二可能的实施形式中,所 述网络接口进一步用于:从载波接收加密后路由条目W及将所述加密后路由条目存储在全 局表数据结构中。
[0046] 在第=方面本身的或根据第=方面的前述实施形式中任一者的第=可能的实施 形式中,非暂时性存储器进一步包含用于存储相应VPN加密密