成"。
[0160] 应了解,为了清晰起见在分开的实施例的上下文中描述的本发明的某些特征还可WW组合形式提供于单个实施例中。相反,为简洁起见在单个实施例的上下文中描述的本 发明的各个特征还可W单独地或W任何合适的子组合提供或在本发明的任何其它描述的 实施例中提供为合适的。在各种实施例的上下文中描述的某些特征并非被认为是那些实施 例的基本特征,除非所述实施例在不具有那些元件的情况下不起作用。 阳161] 尽管已结合本发明的具体实施例描述本发明,但显而易见的是,对于所属领域的 技术人员而言许多替代方案、修改W及变化将是清楚的。因此,预期涵盖落入所附权利要求 书的精神和广泛范围内的所有此类替代方案、修改W及变化。
【主权项】
1. 一种用于建立多载波虚拟专用网络的端点的方法,所述虚拟专用网络分布于在载波 间网络上传送的多个载波上,其特征在于,所述方法包括: 从用户客户端接收(300)请求以托管多载波虚拟专用网络(virtualprivate network,VPN)的端点; 建立(310)所述VPN的所述所请求端点; 其中所述请求包含识别所述VPN的相应VPN标识符(VPNID)、识别所述用户客户端的 通用标识符和VPN加密密钥 产生(320)用于所述多载波虚拟专用网络的所述所建立端点的路由条目,所述路由条 目包括所述相应VPNID、所述相应通用标识符和用于所述VPN端点的相应路由信息; 通过所述相应加密密钥对所述路由条目进行加密(330); 将所述加密后路由条目分布(340)到所述载波间网络的至少一个其它载波;以及 在从所述其它载波接收到的相应路由条目中识别(350)所述VPN的端点的其它载波, 并且在所述载波间网络上建立与所述其它载波的VPN连接。2. 根据权利要求1所述的方法,其特征在于,所述识别(350)其它载波包括: 保持包括加密后路由条目的全局路由表; 从所述载波间网络的相应载波接收加密后路由条目并且将所述加密后路由条目存储 在所述全局路由表中;以及 当所述接收到的加密后路由条目可通过所述VPN加密密钥解密时,将所述相应载波分 类为所述VPN的端点的载波。3. 根据权利要求2所述的方法,其特征在于,进一步包括: 将所述接收到的加密后路由条目解密成解密后路由条目,其中所述解密后路由条目包 括VPNID、通用标识符和用于相应VPN端点的路由信息;以及 将所述解密后路由条目存储在局部路由表中。4. 根据权利要求1至3中任何一项所述的方法,其特征在于,通过证书颁发中心验证包 括以下各项中的至少一个:所述通用标识符和所述加密密钥。5. 根据权利要求1至4中任何一项所述的方法,其特征在于,进一步包括执行以下各项 中的至少一个:认证所述用户客户端、授权所述用户客户端的活动以及对与所述用户客户 端的交易进行计费。6. 根据权利要求1至5中任何一项所述的方法,其特征在于,所述载波根据边界网关协 议(BorderGatewayprotocol,BGP)在所述载波间网络上传送。7. -种用于通过多个载波建立多载波虚拟专用网络的方法,其中所述载波在载波间网 络上传送,其特征在于,所述方法包括: 请求(400)用于识别所述虚拟专用网络的相应虚拟专用网络(virtualprivate network,VPN)和相应VPN加密密钥的VPN标识符(VPNID)的证书颁发中心; 从所述证书颁发中心接收(410)所述相应VPNID和所述相应VPN加密密钥; 将请求发送(420)到多个载波以托管所述多载波虚拟专用网络的相应端点,所述请求 包含识别所述用户客户端的通用标识符、所述相应VPNID和所述相应加密密钥;以及 从所述载波中接收(430)建立所述相应VPN端点的确认,其中所述VPN通过所述VPN端点的所述载波从所述相应VPNID和所述通用标识符的组合中识别。8. 根据权利要求7所述的方法,其特征在于,进一步包括:将请求发送到用于识别所述 用户客户端的所述通用标识符的所述证书颁发中心;以及从所述证书颁发中心接收所述通 用标识符。9. 根据权利要求7或8所述的方法,其特征在于,进一步包括接收将所述VPN端点的相 应加密后路由条目分布到所述载波间网络的载波的确认,其中所述加密后路由条目可通过 所述加密密钥解密,并且其中每个解密后路由条目包括所述VPNID、所述通用标识符和用 于相应VPN端点的路由信息。10. 根据权利要求7至9中任何一项所述的方法,其特征在于,所述载波根据边界网关 协议(BorderGatewayprotocol,BGP)在所述载波间网络上传送。11. 一种用于建立多载波虚拟专用网络的端点的系统,其特征在于,包括: 载波网络基础设施(carriernetworkinfrastructure,CNI) (610),用于托管多载波 虚拟专用网络的端点; 网络接口(620),用于在载波间网络上与至少一个用户并且与载波进行电通信; 硬件处理器(630),其与所述CNI(610)和所述网络接口(620)进行电通信;以及 非暂时性存储器(640),其与所述硬件处理器(630)进行电通信, 所述存储器(640)具有存储于其上的以下各项: 局部表数据结构(680. 2),用于存储未加密的路由条目,其中所述未加密的路由条目包 括用于至少一个VPN的路由信息; 全局表数据结构(680. 1),用于存储加密后路由条目,其中所述加密后路由条目通过相 应加密密钥进行加密; 程序模块,用于通过所述硬件处理器执行指令,其包括: 端点建立模块(650),用于从用户客户端接收请求以托管多载波虚拟专用网络(virtualprivatenetwork,VPN)的端点,所述请求包含识别所述VPN的相应VPN标识 符(VPNID)、识别所述用户客户端的通用标识符和相应VPN加密密钥,并且用于在所述 CNI(610)上建立所述VPN的所述所请求端点; 路由分布模块(660),用于产生所述所建立VPN端点的路由条目,以通过相应加密密钥 对所述路由条目进行加密并且将所述加密后路由条目分布到所述载波间网络的至少一个 其它载波,其中路由条目包括所述相应VPNID、所述相应通用标识符和用于所述VPN端点 的相应路由信息;以及 识别模块(670),用于通过对从所述其它载波接收到的相应路由条目进行解密而识别 所述VPN的端点的其它载波,并且在载波间网络上与所述其它载波建立VPN连接。12. 根据权利要求11所述的系统,其特征在于,所述识别模块(670)进一步用于从所述 载波间网络的相应载波接收加密后路由条目,以及当所述接收到的加密后路由条目可通过 所述相应加密密钥解密时,将所述相应载波分类为所述VPN的端点的载波。13. 根据权利要求11或12所述的系统,其特征在于,所述网络接口(620)进一步用于 从载波接收加密后路由条目并且将所述加密后路由条目存储在所述全局表数据结构中。14. 根据权利要求11至13中任何一项所述的系统,其特征在于,所述非暂时性存储器 (640)进一步包括用于存储相应VPN加密密钥的加密密钥数据结构,并且其中所述识别模 块用于通过存储在所述加密密钥数据结构中的密钥对加密后路由条目进行解密并且将所 述解密后路由条目存储在所述局部表数据结构中。15. 根据权利要求11至14中任何一项所述的系统,其特征在于,进一步包括AAA模块, 用于针对所述VPN端点执行认证、授权和计费交易。16. -种用于通过多个载波建立虚拟专用网络的用户客户端系统(700),其特征在于, 包括: 网络接口(710),用于与VPN端点载波和证书颁发中心进行电通信; 硬件处理器(720),其与所述网络接口(710)进行电通信;以及 非暂时性存储器(730),其与所述硬件处理器进行电通信, 所述存储器(730)具有存储于其上的以下各项: 识别相应虚拟专用网络(virtualprivatenetwork,VPN)的VPN标识符(VPNID) (740. 1); 用于所述虚拟专用网络的相应VPN加密密钥(740. 2); 识别所述用户客户端的通用标识符(740.3);以及 程序模块,用于通过所述硬件处理器(720)执行指令,其包括: 认证请求模块(750),用于将请求发送到用于所述虚拟专用网络的VPN标识符(VPN ID) (740. 1)和相应VPN加密密钥(740. 2)的证书颁发中心,并且从所述证书颁发中心接收 所述相应VPNID(740. 1)和所述相应VPN加密密钥(740. 2); 端点请求模块,用于将请求发送到多个载波以托管相应端点VPN,所述请求包含所述通 用标识符(740. 3)、所述相应VPNID(740. 1)和所述相应加密密钥(740. 2);以及 确认模块,用于从所述载波接收建立所述相应VPN端点的确认,其中所述VPN通过所述VPN端点的所述载波从所述相应VPNID(740. 1)和所述通用标识符(740. 3)的组合中识别。
【专利摘要】本发明提供一种用于建立多载波虚拟专用网络的端点的方法,所述方法包含:在所述载波处从用户客户端接收请求以托管多载波虚拟专用网络(virtual?private?network,VPN)的端点。所述用户请求包含识别所述VPN的VPN标识符、识别所述用户客户端的通用标识符和VPN加密密钥。所述载波建立所述所请求的VPN端点并且产生用于所述所建立的VPN端点的路由条目。所述路由条目包含所述VPN?ID、所述通用标识符和用于所述VPN端点的路由信息。所述载波通过所述加密密钥对所述路由条目进行加密并且将所述加密后路由条目分布到至少一个其它载波。所述载波还通过对从所述其它载波接收到的路由条目进行解密来识别其它VPN载波,并且在载波间网络上与所述其它载波建立VPN连接。
【IPC分类】H04L12/715, H04L12/46, H04L12/751
【公开号】CN105393501
【申请号】CN201480036845
【发明人】史罗莫·那可拉耶, 哈依姆·珀拉特
【申请人】华为技术有限公司
【公开日】2016年3月9日
【申请日】2014年6月23日
【公告号】WO2015197099A1