载波1网 络管理215和载波2网络管理225,并且请求每个载波设定VPN端点。每个载波随后通过 与相应阳路由器(230和240)对等的虚拟客户边缘(州Stomeredge,C巧路由器(216和 226)建立VPN端点。
[0112] 每个载波产生相应VPN路由条目并且通过用户260所提供的加密密钥对所述路由 条目进行加密。载波任选地使用BGP或扩展的BGP协议公开通过加密后路由信息扩增的可 用VPN端点目的地。
[0113] 载波间网络250上的所有载波接收用于所有用户的加密后路由条目并且将所述 路由条目W密码文本形式存储在全局表中。每个载波可W仅为向它们提供用户证书的用户 对信息进行解密。解密后信息用于构建明文局部表。
[0114] 使用局部表路由信息,载波跨越多个载波(例如,A巧域在用户站点之间自动地建 立连接。
[0115] 现在参考图3,图3是根据本发明的实施例的用于建立多载波虚拟专用网络 的端点的方法的简化流程图。图3示出通过载波网络基础设施(carriernetwork in化astruc化re,CNI)执行的操作。任选地,载波使用BGP协议。
[0116] 在300中,从用户客户端(在本文中表示为用户)接收请求W托管VPN端点。所 述请求包含识别VPN的VPN标识符(VPNID)、识别用户客户端的GUID和VPN加密密钥。在 310中,使用所属领域中已知的任何协议和/或架构在载波处建立所请求的VPN端点。
[0117] 在320中,在载波处产生用于所建立的VPN端点的路由条目。所述路由条目包含 用于VPN端点的路由信息化及VPNID和GUID。在330中,路由条目通过从用户接收到的加 密密钥进行加密。在340中,将加密后路由条目分布到载波间网络中的其它载波。
[0118] 在350中,所述载波在载波间网络上建立与其它载波的VPN连接。通过使用加密 密钥对从其它载波接收到的路由条目进行加密来确定到其它VPN端点的路由。 阳119] 在一些实施例中,在通过载波建立VPN端点之前,GUID和/或加密密钥首先通过 证书颁发中屯、验证。
[0120] 在一些实施例中,通过可能与其它载波、服务提供商和/或外部服务器合作的载 波在VPN中实施认证、授权和计费(authentication,authorizationandaccounting,AAA) 机制。AAA机制可W用于终端用户资源识别和/或发现和/或广告(包含范围和访问表)。 阳121] 现在参考图4,图4是根据本发明的实施例的用于通过多个载波建立VPN的方法的 简化流程图。图4示出通过用户客户端执行的用户侧操作。 阳12引在400中,用户将请求发送到证书颁发中心用于VPN ID和相应加密密钥。 阳123] 在410中,用户从证书颁发中屯、接收VPNID和加密密钥。
[0124] 任选地,用户还从证书颁发中屯、请求和接收GUID。
[01巧]在420中,用户将请求发送到多个载波W托管多载波虚拟专用网络(virtual privatenetwork,VPN)的VPN端点。所述请求包含用户的GUID、VPNID和加密密钥。 阳126] 在430中,用户从载波接收已建立相应VPN端点的确认。
[0127] 任选地,用户还从一个或多个载波中接收已在整个载波间网络中分布加密后路由 条目的确认。运可W允许用户确保在托管载波之间正确地建立VPN并且VPN通过载波间网 络适当地可访问。
[0128] 现在参考图5,图5是根据本发明的实施例的用于在多个载波上建立VPN的方法的 简化流程图。图5包含用户侧和载波侧操作两者。
[0129] 在500中,将VPN初始化。在510中,用户联系CA并且从CA接收加密密钥(在图 5中表示为证书)、GUID和VPNID。 阳130] 在520中,用户在多个载波上建立VPN端点。通过GUID和VPNID的组合在载波 间网络中识别VPN。用户还将VPN证书供应到载波。 阳131] 在530中,VPN端点载波产生用于其相应VPN端点的路由条目并且对所述路由条 目进行加密。载波将加密后路由信息公开(例如,分布)到连接到载波间网络的其它载波。
[0132] 在540中,载波收集通过其它载波公开的加密后路由信息并且将所述加密后路由 信息存储在全局表中。任选地,连续地执行加密后路由信息的收集。
[0133] 在550中,载波尝试对来自全局表的加密后路由信息进行解密。每当从用户接收 新的加密密钥,可能W及用于建立新的VPN端点的请求时,可W执行解密尝试。任选地,通 过用户单独地提供加密密钥。
[0134] 当载波无法成功对路由条目进行解密时,在560中通过载波将路由条目W加密形 式保存在全局表中。未对现有路由作出改变。
[0135] 当载波成功对路由条目进行解密时,在570中通过载波将解密后路由条目保存在 局部表中。随后,在580中,载波连接到其它相关载波并且在端点之间建立VPN连接。
[0136] 现在参考图6,图6是根据本发明的实施例的用于建立多载波虚拟专用网络的端 点的系统的简化框图。载波600具有通过载波网络基础设施610管理的VPN托管能力。 阳137] 网络接口 620是用于与其它载波和用户通信的接口。网络接口 620接收用户请求W托管多载波虚拟专用网络(virtualprivatenetwork,VPN)的VPN端点。每个请求包含 相应VPN标识符(VPNID)、相应VPN加密密钥和识别用户的通用标识符。
[0138] 处理器630执行处理操作并且与载波网络基础设施610、网络接口 620和存储器 640连接。
[0139] 存储器640存储通过处理器630执行的数据和编程模块。
[0140] 存储在存储器640中的数据包含存储未加密路由条目的局部表数据结构680. 2和 存储加密后路由条目的全局表数据结构680. 1。 阳141] 所存储的程序模块包含:
[0142]A)端点建立模块650,其响应于用户请求在CNI上建立所请求的VPN端点; 阳143]B)路由分布模块660,其产生用于所建立的VPN端点的路由条目。路由分布模块 660还通过加密密钥对路由条目进行加密并且将加密后路由条目分布到至少一个其它载 波;化及
[0144] C)识别模块670,其通过对从其它载波接收到的路由条目进行解密而识别托管 VPN端点的其它载波。识别模块670在载波间网络上建立与其它载波的VPN连接。任选地, 识别模块670将解密后路由条目存储在局部表680. 2中。
[0145] 任选地,存储器640进一步包含存储VPN加密密钥的加密密钥数据结构680. 3。当 识别模块670尝试对从另一载波接收到的加密后路由条目进行解密时,识别模块670使用 任选地从加密密钥数据结构680. 3检索到的所存储加密密钥。
[0146] 任选地,存储器640进一步包含通过处理器630执行的AAA模块。AAA模块针对 VPN端点执行认证、授权和计费交易。 阳147] 现在参考图7,图7是根据本发明的实施例的用于通过多个载波建立虚拟专用网 络的用户客户端系统的简化框图。
[0148] 网络接口 710是用于与VPN端点载波和证书颁发中屯、通信的接口。
[0149] 处理器720执行处理操作并且与网络接口 710和存储器730连接。 阳150] 存储器730存储產少一个VPNID740. 1和相应VPN加密密钥740. 2W及通用标 识符740. 3。 阳151] 存储器730还存储通过处理器720执行的编程模块。所存储的程序模块包含: 阳152]A)认证请求模块750,其将请求发送到用于虚拟专用网络的VPNID和相应VPN加 密密钥的证书颁发中屯、,并且从证书颁发中屯、接收所请求项目。VPNID和加密密钥存储在 740. 1和740. 2中。任选地,认证请求模块750还从证书颁发中屯、请求和接收GUID,然而每 当建立新的VPN时运可能不是必需的;
[0153]B)端点请求模块760,其将请求发送到载波W托管相应VPN端点。所述请求包含 通用标识符、相应VPNID和相应加密密钥;W及 阳154]C)确认模块770,其从建立相应VPN端点的载波接收确认。
[0155] 本文中描述的实施例使用户能够跨越多个域和载波部署VPN,而不需要手动地配 置载波之间的互连。可W通过载波自动地执行站点之间的VPN互连。VPN可W变成全局可 路由资产,同时保持层化2)私有寻址。关于专用网络的信息可W仅通过授权载波访问,因 此保持机密性。 阳156] 如上文所描述的方法用于制造集成电路忍片。 阳157] 各图中的流程图和框图说明根据本发明的各种实施例的系统、方法和计算机程序 产品的可能实施方案的架构、功能性和操作。就此而言,流程图或框图中的每个块可W表示 模块、区段或代码的部分,其包括用于实施指定逻辑功能的一个或多个可执行指令。还应该 注意,在一些替代的实施方案中,各个块中提及的功能可W不按图中所提及的顺序出现。例 如,根据所设及的功能性,连续示出的两个块实际上可W基本上同时执行,或所述块有时可 能W相反顺序执行。还将注意到,框图和/或流程图图示中的每个块,W及框图和/或流 程图图示中的块的组合可W通过专用的基于硬件的系统实施,所述系统执行指定功能或动 作,或专用硬件和计算机指令的组合。
[0158] 已出于说明的目的呈现本发明的各种实施例的描述,但所述描述并不意欲为详尽 的或限于所掲示的实施例。在不脱离所描述实施例的范围和精神的情况下,对所属领域的 技术人员而言多个修改和变化将是显而易见的。本文中所使用的术语经选择W最佳解释实 施例的原理、实际应用或对市场中发现的技术的技术改进,或使所属领域的一般技术人员 能够理解本文所掲示的实施例。 阳159]术语"包括komprise/comprising)"、"包含(include/包含)"、"具有化aving)" W及其共辆物表示"包含但不限于"。运个术语涵盖术语"由……组成"和"主要由……组