动态虚拟专用网络VPN建立方法、装置及设备制造方法及图纸

本说明书一个或多个实施例提供了一种动态虚拟专用网络VPN建立方法、装置及设备，其中，方法包括：向VPN用户侧的服务设备发送用户面数据加密层建立请求；接收服务设备返回的用户面数据加密层的建立完成通知消息；基于用户面数据加密层的建立完成通知消息，向服务设备发送用户面数据协议层建立请求；接收服务设备根据用户面数据协议层建立请求返回的用户面数据协议层的建立完成通知消息，基于用户面数据协议层的建立完成通知消息，确定网络设备与服务设备之间的VPN用户面隧道建立成功。通过本实施例，能够解决目前的VPN建立方法不能支持“多端到多端，多端与云之间”的多宿主混合组网方案的问题。网方案的问题。网方案的问题。

【技术实现步骤摘要】
动态虚拟专用网络VPN建立方法、装置及设备


[0001]本文件涉及通信
，尤其涉及一种动态虚拟专用网络VPN建立方法、装置及设备。

技术介绍

[0002]随着互联网覆盖的普及和广泛，利用VPN(Virtual Private Network，动态虚拟专用网络)技术透过互联网服务构建企业虚拟私有网络早已不是一件新鲜事请。目前VPN网络主要包括VPN服务端路由器和VPN用户端路由器，VPN服务端路由器安装在企业总部，VPN用户端路由器安装在企业分部，企业分部内的各个用户终端通过VPN用户端路由器和VPN服务端路由器与企业总部内的各个用户终端进行通信，以及企业分部内的各个用户终端之间通过VPN用户端路由器和VPN服务端路由器进行通信。
[0003]可见，当前市场上的VPN建立方法都采用了用户端路由器到服务端路由器的“端到端VPN隧道”实现方法，能满足以企业总部为汇聚交换点的企业VPN网络建设需求。但是，目前的VPN建立方法不能支持“多端到多端，多端与云之间”的多宿主混合组网方案，导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用，如智慧城市、智能制造等场景严重受到限制，运营服务成本较高。

技术实现思路

[0004]本说明书实施例的目的是提供一种动态虚拟专用网络VPN建立方法、装置及设备，以解决目前的VPN建立方法不能支持“多端到多端，多端与云之间”的多宿主混合组网方案，导致目前VPN建立方法在工业物联网及混合云服务等场景中的应用，如智慧城市、智能制造等场景严重受到限制，运营服务成本较高的问题。
[0005]为解决上述技术问题，本说明书一个或多个实施例是这样实现的：
[0006]第一方面，本说明书实施例提供一种动态虚拟专用网络VPN建立方法，应用于VPN用户侧的网络设备，包括：
[0007]向VPN用户侧的服务设备发送用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；
[0008]接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息；其中，所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立；
[0009]基于所述用户面数据加密层的建立完成通知消息，向所述服务设备发送用户面数据协议层建立请求；
[0010]接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息，基于所述用户面数据协议层的建立完成通知消息，确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
[0011]第二方面，本说明书实施例提供一种动态虚拟专用网络VPN建立方法，应用于VPN用户侧的服务设备，包括：
[0012]接收VPN用户侧的网络设备发送的用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；
[0013]通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证，认证通过后，建立所述用户面数据加密层，建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息；
[0014]接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求；
[0015]根据所述用户面数据协议层建立请求建立所述用户面数据协议层，建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息，所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
[0016]第三方面，本说明书实施例提供一种动态虚拟专用网络VPN建立方法，应用于VPN云服务器，包括：
[0017]接收VPN用户侧的网络设备发送的加密规则获取请求；
[0018]根据所述加密规则获取请求对所述网络设备进行认证，认证通过后，向所述网络设备和VPN用户侧的服务设备动态分配并发送所述网络设备对应的VPN数据加密规则；所述VPN数据加密规则用于在所述网络设备与所述服务设备之间建立VPN用户面隧道；
[0019]接收所述网络设备发送的第一VPN控制面隧道建立请求，根据所述第一VPN控制面隧道建立请求，在所述网络设备与所述VPN云服务器之间建立第一VPN控制面隧道；
[0020]接收所述服务设备发送的第二VPN控制面隧道建立请求，根据所述第二VPN控制面隧道建立请求，在所述服务设备与所述VPN云服务器之间建立第二VPN控制面隧道。
[0021]第四方面，本说明书实施例提供一种动态虚拟专用网络VPN建立装置，应用于VPN用户侧的网络设备，包括：
[0022]第一发送单元，用于向VPN用户侧的服务设备发送用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；
[0023]第一接收单元，用于接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息；其中，所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立；
[0024]第二发送单元，用于基于所述用户面数据加密层的建立完成通知消息，向所述服务设备发送用户面数据协议层建立请求；
[0025]第二接收单元，用于接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息，基于所述用户面数据协议层的建立完成通知消息，确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。
[0026]第五方面，本说明书实施例提供一种动态虚拟专用网络VPN建立装置，应用于VPN用户侧的服务设备，包括：
[0027]第三接收单元，用于接收VPN用户侧的网络设备发送的用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；
[0028]第三发送单元，用于通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证，认证通过后，建立所述用户面数据加密层，建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息；
[0029]第四接收单元，用于接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求；
[0030]第四发送单元，用于根据所述用户面数据协议层建立请求建立本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种动态虚拟专用网络VPN建立方法，其特征在于，应用于VPN用户侧的网络设备，包括：向VPN用户侧的服务设备发送用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；接收所述服务设备根据所述用户面数据加密层建立请求返回的所述用户面数据加密层的建立完成通知消息；其中，所述用户面数据加密层由所述服务设备通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则认证通过后建立；基于所述用户面数据加密层的建立完成通知消息，向所述服务设备发送用户面数据协议层建立请求；接收所述服务设备根据所述用户面数据协议层建立请求返回的所述用户面数据协议层的建立完成通知消息，基于所述用户面数据协议层的建立完成通知消息，确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在向所述服务设备发送用户面数据加密层建立请求之前，向所述服务设备发送用户面数据基础层建立请求；接收所述服务设备根据所述用户面数据基础层建立请求返回的所述用户面数据基础层的建立完成通知消息。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：在向所述服务设备发送用户面数据基础层建立请求之前，向所述VPN云服务器发送加密规则获取请求；接收所述VPN云服务器根据所述加密规则获取请求对所述网络设备认证通过后返回的所述VPN数据加密规则；所述VPN数据加密规则包括加密秘钥和加密算法索引。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在向所述VPN云服务器发送加密规则获取请求之前，向所述VPN云服务器发送第一VPN控制面隧道建立请求；接收所述VPN云服务器根据所述第一VPN控制面隧道建立请求返回的第一VPN控制面隧道建立完成通知消息；其中，所述第一VPN控制面隧道包括先后建立的第一控制面数据基础层、第一控制面数据加密层和第一控制面数据协议层。5.根据权利要求4所述的方法，其特征在于，所述用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议；所述用户面数据加密层所使用的数据加密算法包括AES算法；所述用户面数据协议层使用的数据传输协议包括GTP
‑
U协议；所述第一控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议；所述第一控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议；所述第一控制面数据协议层使用的数据传输协议包括GTP
‑
C协议；所述网络设备能够与多个所述服务设备之间建立VPN用户面隧道，且，与同一所述服务设备之间建立的VPN用户面隧道的数量可以为多个。
6.一种动态虚拟专用网络VPN建立方法，其特征在于，应用于VPN用户侧的服务设备，包括：接收VPN用户侧的网络设备发送的用户面数据加密层建立请求；其中，所述用户面数据加密层建立请求中携带有所述网络设备所连接的用户设备的设备信息和所述网络设备对应的VPN数据加密规则，所述VPN数据加密规则由VPN云服务器为所述网络设备动态配置；通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证，认证通过后，建立所述用户面数据加密层，建立完成后向所述网络设备返回所述用户面数据加密层的建立完成通知消息；接收所述网络设备基于所述用户面数据加密层的建立完成通知消息发送的用户面数据协议层建立请求；根据所述用户面数据协议层建立请求建立所述用户面数据协议层，建立完成后向所述网络设备返回所述用户面数据协议层的建立完成通知消息，所述用户面数据协议层的建立完成通知消息用于所述网络设备确定所述网络设备与所述服务设备之间的VPN用户面隧道建立成功。7.根据权利要求6所述的方法，其特征在于，所述方法还包括：在接收VPN用户侧的网络设备发送的用户面数据加密层建立请求之前，接收所述网络设备发送的用户面数据基础层建立请求；根据所述用户面数据基础层建立请求建立所述用户面数据基础层，建立完成后向所述网络设备返回所述用户面数据基础层的建立完成通知消息。8.根据权利要求7所述的方法，其特征在于，所述方法还包括：在接收所述网络设备发送的用户面数据基础层建立请求之前，接收所述VPN云服务器下发的VPN数据加密规则；通过所述VPN云服务器对所述设备信息和所述VPN数据加密规则进行认证，包括：将所述设备信息发送至所述VPN云服务器，以通过所述VPN云服务器对所述设备信息进行认证；根据所述VPN云服务器下发的VPN数据加密规则，对所述用户面数据加密层建立请求中的VPN数据加密规则进行认证。9.根据权利要求8所述的方法，其特征在于，所述方法还包括：在接收所述VPN云服务器下发的VPN数据加密规则之前，向所述VPN云服务器发送第二VPN控制面隧道建立请求；接收所述VPN云服务器根据所述第二VPN控制面隧道建立请求返回的第二VPN控制面隧道建立完成通知消息；其中，所述第二VPN控制面隧道包括先后建立的第二控制面数据基础层、第二控制面数据加密层和第二控制面数据协议层。10.根据权利要求9所述的方法，其特征在于，所述用户面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协议；所述用户面数据加密层所使用的数据加密算法包括AES算法；所述用户面数据协议层使用的数据传输协议包括GTP
‑
U协议；所述第二控制面数据基础层使用的数据传输协议包括UDP协议、TCP协议或者SCTP协
议；所述第二控制面数据加密层所使用的数据加密协议包括TLS或者DTLS协议；所述第二控制面数据协议层使用的数据传输协议包括GTP
‑
C协议；所述服务设备能够与多个所述网络设备之间建立VPN用户面隧道，且，与同一所述网络设备之间建立的VPN用户面隧道的数量可以为多个。11.一种动态虚拟专用网络VPN建立方法，其特征在于，应用于VPN云服务器，包括：接收VPN用户侧的网络设备发送的加密规则获取请求；根据所述加密规则获取请求对...

【专利技术属性】
技术研发人员：顾永海，叶道良，刘大伟，
申请(专利权)人：杭州快越科技有限公司，
类型：发明
国别省市：