全球局域網安全互聯的系統和方法

全球局域網安全互聯的系統和方法
【專利摘要】一種全球局域網安全互聯的系統和方法。本發明涉及在局域網(LAN)中建立虛擬專用網絡(VPN)的方法和網絡設備。所述方法使用具有靜態的IP地址的云控制器控制多個網絡設備。所述方法包括在所述云控制器上接受消息以指示與所述第一和第二網絡設備關聯的動態的公有網絡地址；在所述云控制器上預分配所述第一和第二網絡設備至由所述云控制器維護的賬戶；并發送認證消息至與所述第一和第二網絡設備關聯的所述動態的公有網絡地址，以建立一個包括所述第一和第二網絡設備所屬的兩個專用網絡的虛擬網絡。
【專利說明】全球局域網安全互聯的系統和方法
[0001]優先權
[0002]本申請主張2013年7月I日提交的標題為“全球局域網安全互聯的自動地址分配”(AUTOMATED ADDRESS ALLOCAT1N FOR SECURED GLOBAL LAN)的美國臨時專利申請號61/841，893的權益，該申請的所有內容通過引用整體地并入此文。

【技術領域】
[0003]本發明涉及在多個專用網絡之間建立虛擬網絡的方法。本發明還涉及網絡設備包括處理器、網絡接口以及存儲部件。所述網絡設備能夠與云控制器通信以識別對等設備并與所述對等設備建立一個虛擬網絡連接。

【背景技術】
[0004]局域網(LAN)是基本的信息技術(IT)基礎設施，并被廣泛地部署在各種規模的公司園區內，小至家庭辦公室，大至一流的企業巨頭。由于許多公司在不同的地區分配其勞動力，因此在這些地區的辦公室之間，局域網的安全連接性能對于中等規模或更大規模的企業是一種奢侈，這是由于為了獲得該功能，對基礎設施的部署具有復雜性以及存在費用問題。
[0005]虛擬專用網絡(VPN)是企業總部(HQ)與它的分支辦公室建立安全連接的最受歡迎的方式。如圖1所示，“中心”(hub)裝置119被安裝在公司總部局域網110中以與在所述分支辦公室局域網120的“分支”(spoke)設備129建立連接，在因特網140的控制下通過在所述公司總部局域網110和所述分支辦公室局域網120之間設定一安全的虛擬專用網絡通道130。所述網絡設備119和129分別位于所述公司總部局域網110以及所述分支辦公室局域網120必須被配置以建立一虛擬專用網絡通道，這一般需要訓練有素的信息技術專業人員來完成。所述“中心”(hub)設備119和所述“分支”(spoke)設備129是十分昂貴的設備且需要至少一個所述公司總部局域網110和所述分支辦公室局域網120保持一靜態的公有IP地址，否則所述“中心” (hub)設備119和所述“分支” (spoke)設備129無法發現對方以建立虛擬專用網絡連接130。
[0006]另一通過因特網建立局域網連接的技術被稱為虛擬專用局域網業務(VPLS)，一般由網絡服務供應商向可以負擔高額費用的大客戶提供服務。虛擬專用局域網業務是通過一套供應商邊緣設備(PE)以及客戶邊緣設備(CE)實施，如圖2所示。PE210、220和230是由設備供應商管理以仿真開關，因此從客戶的角度觀察和感受，所有的網點(例如局域網)都通過中間的仿真開關連接。部署在局域網外的專用服務器P1290需要建立所有在所述PE210、220和230之間的偽線。這一方案需要部署和保持專用設備具有靜態的公有IP地址，例如PE和Pl被部署在局域網外。這一方案的費用支出遠遠超出了中小型企業(SMBs)能夠承擔的費用范圍。
[0007]在當前的全球市場上，甚至是極小的公司也可能會有在地理上位置分散的辦公室，因此在不同的地區有多個局域網。以上提到的方案對兩個或多個局域網的互聯需要專用的和昂貴的設備，需要具有靜態的公用IP地址，并且需要復雜的安裝和配置。這些設備的部署是復雜的。部署站點到站點的虛擬專用網絡需要技術嫻熟的專注于網絡安全領域的信息技術專業人員。大多中小型企業連擁有專業IT員工都無法承擔，更別提可以實施虛擬專用網絡配置的任何專業人員。另外，這些專用設備的維護是昂貴的，因為它們在局域網外且通常需要網絡服務提供商的專業維護。鑒于以上原因，由于高昂的費用和IT人員專業維護的需要，以上提到的方案并不適合中小型企業。


【發明內容】

[0008]本發明針對一種由云控制器控制多個網絡設備的方法。所述方法包括在所述云控制器上從第一網絡設備接收消息，所述消息指示與所述第一網絡設備關聯的公有網絡地址；在所述云控制器上從第二網絡設備接收消息，所述消息指示與所述第二網絡設備關聯的公有網絡地址；在所述云控制器上預分配所述第一和第二網絡設備至由所述云控制器維護的賬戶；以及發送認證消息至與所述第一和第二網絡設備關聯的所述公有網絡地址，認證所述第一和第二網絡設備以建立一個虛擬網絡，所述虛擬網絡包括所述第一和第二網絡設備所屬的兩個專用網絡。與所述第一和第二網絡設備關聯的至少一個所述公有網絡地址包括一個動態的IP地址。與所述第一和第二網絡設備關聯的所述公有網絡地址還可以包括一個或多個靜態的IP地址。與所述第一和第二網絡設備關聯的所述公有網絡地址還可以包括通信端口和動態的公有IP地址，所述動態的公有IP地址是分配給所述第一和第二網絡設備，或是分配給所述第一和第二網絡設備所屬的所述專用網絡的路由器。與所述第一和第二網絡設備關聯的所述公有網絡地址可以包括分配給所述第一和第二網絡設備所屬的專用網絡的路由器的動態的公有IP地址。所述專用網絡的私有IP地址被分配給所述第一和第二網絡設備。
[0009]本發明還針對網絡設備。所述網絡設備包括處理器、網絡接口和存儲部件。所述網絡接口被配置為與云控制器和至少一個對等設備通信。所述存儲部件預加載與所述云控制器關聯的公有網絡地址以及所述網絡設備的識別符。所述存儲部件還存儲指令，當所述指令被所述處理器執行時，引起所述網絡設備執行過程包括:通過發送注冊消息包括所述網絡設備的所述識別符至與所述云控制器關聯的所述公有網絡地址，使所述云控制器識別所述網絡設備；從所述云控制器接收認證消息，所述認證消息包括與所述對等設備關聯的公有網絡地址；以及基于所述認證消息與所述對等設備直接連接，以在所述網絡設備所屬的專用網絡和所述對等設備所屬的專用網絡之間建立虛擬網絡。與所述對等設備關聯的所述公有網絡地址可以包括動態的IP地址。所述注冊消息還包括分配給所述網絡設備的，或分配給所述網絡設備所屬的所述專用網絡的路由器的動態的IP網絡地址。
[0010]本發明還針對在多個專用網絡中建立一虛擬網絡的方法。所述方法包括從網絡設備傳輸注冊消息至云控制器，所述云控制器與預加載在所述網絡設備中的一個公有網絡地址關聯，所述注冊消息包括與所述網絡設備關聯的公有網絡地址；從所述網絡設備發送請求消息至所述云控制器，所述請求消息請求在所述網絡設備和對等設備間建立虛擬網絡；在所述網絡設備處接收來自所述云控制器的認證消息，所述認證消息包括與所述對等設備關聯的公有網絡地址；以及基于所述認證消息直接連接至所述對等設備，以在所述網絡設備所屬的專用網絡和所述對等設備所屬的專用網絡間建立所述虛擬網絡。與所述網絡設備關聯的所述公有網絡地址可以包括一動態的IP地址。

【專利附圖】

【附圖說明】
[0011]圖1所示是安全連接由同一企業擁有的兩個單獨的局域網(LAN)的常見方式。
[0012]圖2所示是由網絡服務提供商維護的虛擬專用局域網服務(VPLS)的示例。
[0013]圖3所示是包括云控制器和多個網絡設備以建立至少一個虛擬網絡的系統的示例。
[0014]圖4所示是通過在兩個網絡設備間建立一虛擬專用網絡連接以形成覆蓋兩個局域網的一虛擬網絡的示例。
[0015]圖5所示是云控制器控制由兩個不同的客戶擁有的網絡設備的示例。
[0016]圖6所示是由云控制器維護的設備數據庫的示例。
[0017]圖7所示是由云控制器維護的密鑰數據庫的示例。
[0018]圖8所示是所述網絡設備的高級架構的示例。
[0019]圖9所示是在多個專用網絡中建立虛擬網絡的過程的示例。
[0020]圖10所示是為了建立虛擬網絡而識別和控制所述網絡設備的過程的示例。
具體實施例
[0021]本發明是針對任何規模公司的一解決方案，憑借運行在云端的服務，通過因特網使他們的局域網之間互聯，方便而又節省成本。無需任何局域網的靜態的公有IP地址。網絡設備安裝在公司的每個局域網中，所述網絡設備有能力與云控制器建立通信以識別和定位同一公司的其他局域網的一個或多個對等網絡設備，并且在所述網絡設備中建立虛擬網絡連接。
[0022]通過多個步驟建立虛擬專用網絡連接的過程在此被公開。首先，當網絡設備啟動后第一次與因特網建立連接，它將會通過預加載到設備中的控制器的IP地址自動連接到所述云控制器。當所述設備在所述控制器中自行進行了注冊，所述控制器將會獲得所述設備的IP地址和端口，以及其他信息，如其序列號。其次，所述設備將與所述控制器周期性同步(例如通過心跳機構)以更新其狀態。如果所述設備具有動態的公有IP地址，所述控制器將通過周期性同步獲得該更新。接著，如果設備通過路由器的動態主機配置協議(DHCP)服務獲得私有IP地址，所述控制器可以回溯數據包以識別映射到所述設備的相應的公有IP和端口。該映射存儲在所述控制器的數據庫中。接著，所述控制器將生成預共享密鑰，所述預共享密鑰的生成是基于所述對等設備的序列號或一些其他信息，如設備的IP地址和端口號。所述密鑰將僅能夠在兩個將建立虛擬專用網絡連接的設備中間共享。最后，當設備想要與其對等設備建立虛擬專用網絡連接時，它從所述控制器處獲得對等設備的IP地址和端口號。所述控制器還將安全地推送所述預共享密鑰至所述兩個設備，使得虛擬專用網絡連接得以在這兩個網絡設備中建立。
[0023]上述操作可以通過云端的中心控制器全權自動控制，且無需管理介入。這種方案的至少一個益處在于客戶無需支付和安裝在其總部的昂貴的中心設備以連接任何兩個相距較遠的局域網。反而，小中型企業可以簡單地使用兩個小型且價格低廉的網絡設備，正如在此公開的，通過在云端的控制器服務建立連接。另外，客戶不需要為其局域網獲得任何靜態的公有網絡地址(例如靜態的公有IP地址)。任意兩個局域網可以通過中心云控制器建立連接。全部連接過程可以自動實施，通過在云端的中心控制器。只要很小的投資(例如兩個價格低廉的設備，加上訂閱云控制服務)，小中型企業就可以極大受益于全球互聯虛擬局域網(也被稱之為全球性局域網或GLAN)。
[0024]網絡設備和云控制器
[0025]圖3所示是系統300的示例，包括云控制器301和多個網絡設備321-324。每個所述網絡設備321-324安裝在專用網絡331-334上，例如局域網(LAN)。所述云控制器301可以是，例如，安裝在云計算平臺310，作為基于軟件的控制器服務。在所述云計算平臺310的所述云控制器301可以是，例如，在亞馬遜網絡服務(AWS)、谷歌云計算平臺、微軟云計算平臺、OpenStack，或其他云計算平臺中的虛擬服務器或虛擬裝置。在至少一個實施方案中，所述系統300可以在軟件定義網絡(SDN)的架構下實施。在軟件定義網絡的架構下，所述云控制器301最具智能地管理和控制每個所述網絡設備321-324，使得他們得以作為一協同的系統在一起工作。所述云控制器301識別和定位同一客戶的對等網絡設備，且指示所述對等網絡設備建立虛擬網絡連接，例如虛擬專用網絡(VPN)連接。
[0026]所述云控制器301具有靜態的公有網絡地址，例如靜態的公有IP地址或靜態的公有域名。所述靜態的公有網絡地址被預加載到每個所述網絡設備321-324的存儲部件中，使得所述網絡設備321-324可以訪問云控制器301的所述網絡地址而無需在所述網絡設備321-324打開時的用戶介入或網絡更新。通過使用預加載的靜態的公有網絡地址，所述網絡設備321-324可以與所述云控制器301通信且通過接收和遵循所述云控制器301的指示可以被所述云控制器301控制。當所述網絡設備321-324啟動且聯網后，所述網絡設備321-324發送原始注冊信息至所述云控制器301。根據接收的注冊信息，所述云控制器301記錄所述網絡設備321-324的識別碼(例如序列號)和位置(例如設備的動態的公有網絡地址)。如果與所述網絡設備321-324關聯的所述公有網絡地址發生了改變，則所述設備會向云控制器301發出更新消息，使得所述云控制器301總是保持對所述設備的網絡位置的追蹤。因此，任何所述網絡設備321-324都無需具有靜態的網絡地址，而所述云控制器301仍可以定位任一所述網絡設備321-324以及所述局域網331-334。
[0027]所述云控制器301保持對所述網絡設備321-324的改變的追蹤，使得所述控制器301總是擁有所述設備的最新的公有網絡地址。在云端的所述控制器301將提供功能以促進在不同局域網中的任何兩個設備之間的初步協商。例如，當一個設備想要與其對等設備建立虛擬專用網絡連接，它需要從所述控制器301獲得其對等設備的IP以及端口。所述控制器301也可以安全地推送一預共享密鑰至這兩個設備使得可以在兩個局域網間建立一虛擬專用網絡連接。如圖4所示，例如，虛擬網絡450是通過在網絡設備421和422間建立虛擬專用網絡連接440而形成的，以覆蓋局域網431和432。
[0028]當靜態的公有網絡地址(例如靜態的公有IP地址)的獲得是稀有且昂貴的時候，大多小中型企業的局域網只有由其服務供應商分配的動態的IP地址。若沒有云控制器301的幫助，擁有動態的IP地址的網絡設備321-324不可能彼此協商建立虛擬專用網絡連接，因為他們不可能互相知道IP地址、在沒有所述云控制器301的指示消息的情況下開始通?目。
[0029]所述云控制器301可以解決以上的問題。所述云控制器301在云端運行且具有靜態的公有IP地址，這些地址被預加載到每個所述網絡設備321-324中。通過使用預加載的地址，每個裝置321-324首先與所述云控制器301建立通信以在該服務中自行注冊。由于所述云控制器具有靜態的公有IP地址，每個設備，無論其是否擁有靜態的或動態的IP地址，總可以連接到所述云控制器301。在初始注冊之后，所述云控制器301保持對每個設備的網絡位置的跟蹤使得所述控制器301總是擁有每個所述網絡設備321-324的最新的IP地址。
[0030]雖然圖3示出四個網絡設備321-324連接至所述云控制器，而所述云控制器301可以與任何數量的網絡設備通信并對其進行控制，如本領域技術人員所希望的那樣。另外，所述云控制器301可以為多個客戶建立通信以及控制網絡設備，通過維護客戶賬戶對設備分配或預分配。
[0031]圖5所示是云控制器501為兩個不同的客戶控制網絡設備的示例。每個客戶可以是公司、組織、政府實體、個人或其它擁有多個局域網的實體。所述云控制器501可以處理來自多個客戶的網絡設備以及每個客戶可以擁有任何數量的網絡設備和局域網，如本領域技術人員期望的那樣。在圖5所示的實例中，所述云控制器501控制網絡設備521-525。在這些設備中，網絡設備521-522(以及相應的局域網531-532)屬于客戶A，而網絡設備523-525(以及相應的局域網533-535)屬于客戶B。
[0032]網絡設備分配至客戶賬戶被所述云控制器501記錄，且不會影響任何網絡設備521-525的狀態。換言之，所述分配可以發生在所述網絡設備在局域網531-535中被安裝或啟動之前。有各種不同的方式來分配所述網絡設備。例如，客戶A購買了所述網絡設備521-522，可以通過由所述云控制器501或連接至所述云控制器501的服務器所提供的遠程用戶界面(例如HTTP網站界面)登錄進入其客戶賬戶。所述客戶A在遠程用戶界面輸入購買的網絡設備521-522的序列號或其他類型的識別符。所述云控制器501記錄這些與客戶賬戶521-522相關的這些序列號或識別符，可以有效地預分配這些網絡設備521-522至所述客戶賬戶，而無需訪問、與其通信或修改任一網絡設備521-522。可選地，供應商或制造商通過與所述云控制器501通信可以預分配將被出售給客戶的網絡設備至客戶的賬戶。
[0033]一旦所述客戶A擁有的所述網絡設備521-522被安裝至局域網531-532且被啟動，所述網絡設備521-522讀取所述云控制器501的所述預加載的靜態的公有網絡地址，且發送初始化消息到所述云控制器501的所述靜態的公有網絡地址。當所述云控制器501接收所述初始化消息，所述云控制器501識別出所述網絡設備521-522是分配到客戶A這一相同客戶賬戶的對等網絡設備。所述云控制器501進一步記錄與所述網絡設備521-522相關聯的所述公有網絡地址。所述公有網絡地址可以包括，例如，公有IP地址以及通信端號。
[0034]所述云控制器501生成對于這組所述網絡設備521-522而言唯一的預共享密鑰。所述預共享密鑰可以被生成，例如，基于所述網絡設備521-522的序列號。所述云控制器501發送指示消息至所述網絡設備521以指示所述網絡設備521與所述網絡設備522建立通信以及創建一虛擬網絡連接。所述指示消息可以包括預共享密鑰以及與所述網絡設備522關聯的公有網絡地址。通過使用所述預共享密鑰和所述公有網絡地址，所述網絡設備521可以與所述網絡設備522建立虛擬網絡連接540 (例如虛擬專用網絡連接)。結果，相應的局域網531-532形成專用網絡550 (例如虛擬專用網絡)。
[0035]可選擇的，所述云控制器501可以向所述網絡設備521-522都發送所述指示消息。所述網絡設備521-522可以交換握手信息，包括所述預共享密鑰以建立所述虛擬網絡連接540，這是作為本領域普通技術人員可以理解的。
[0036]所述云控制器501可以更新所述網絡設備以及所述客戶賬戶之間的分配關系。例如，所述客戶B起初擁有兩個網絡設備523和524，以及相應的局域網533和534。所述客戶B從另一擁有者那里購買了另外的二手網絡設備525。所述云控制器501記錄了所述網絡設備525被分配給另一賬戶而不是所述客戶B的賬戶。所述客戶B在局域網535中安裝所述設備525并通過在遠程用戶界面輸入所述設備525的序列號登陸到其賬戶中。因此，所述云控制器501更新了其分配記錄，將所述網絡設備525分配到客戶B的賬戶中。
[0037]一旦所述網絡設備525在所述局域網535中啟動，它發送初始化消息至所述云控制器501。所述云控制器501記錄從所述初始化消息中提取的其當前的公有網絡地址。所述云控制器501進一步識別出所述網絡設備523和524如所述設備525 —樣被分配到相同的客戶。所述云控制器501發送指示消息到所述設備525。所述指示消息可以包括所述對等網絡設備523和524的所述公有網絡地址以及通過所述云控制器501生成的預共享密鑰。因此，所述網絡525與所述網絡設備523和524分別通信且建立虛擬網絡連接546和548 (例如虛擬專用網絡連接)。結果，所述客戶B擁有的相應的局域網533-535形成了專用網絡560 (例如虛擬專用網絡)。
[0038]可選擇的，所述云控制器501可以發送所述指示消息至所述網絡設備523-524，或至所有的所述網絡設備523-525。所述網絡設備523-525可以交換消息，包括所述預共享密鑰以建立所述虛擬網絡連接，正如本領域普通技術人員可以欣然理解的。
[0039]圖6所示是通過云控制器維護的設備數據庫600的示例。所述設備數據庫600包括在所述云控制器中注冊的所述網絡設備的設備序列號。所述設備數據庫600可以進一步包括還未在所述云控制器中注冊的所述設備的設備序列號。例如，網絡設備的制造商可以提供為所述云控制器制造的設備的序列號，而不提供網絡地址。可選的，所述網絡設備的供應商可以提供儲存在所述云控制器的設備的序列號，而不提供網絡地址。在其他實施方案中，設備數據庫可以包括為所述網絡設備提供的其他方式的識別符，以在所述網絡設備中唯一識別每個設備。
[0040]所述設備數據庫600還包括所述網絡設備的網絡地址。所述網絡地址可以包括IP地址和通信端口號，如圖6所示。所述云控制器可以從所述網絡設備處接收到的初始化消息和心跳消息中收集所述網絡地址信息。在其他實施方案中，設備數據庫可以包括所述網絡設備的其他類型的網絡地址，例如，域名或IPv6地址。
[0041]所述設備數據庫600還包括所述設備被分配的客戶賬號。每個賬號是唯一可以識別客戶擁有一個或多個網絡設備。通過使用所述設備數據庫600中的分配信息，所述云控制器有能力識別并指示被同一客戶擁有的對等網絡設備以形成虛擬網絡。
[0042]可選的，云控制器可以在分離的數據庫中存儲所述網絡設備的信息以及存儲所述設備和賬戶間的分配信息。這些設備的信息以及分配信息還可以被存儲在一單獨的服務器中，與所述云控制器連接。
[0043]圖7所示是通過云控制器維護的密鑰數據庫700。所述密鑰數據庫700包括預共享密鑰。每個預共享密鑰對于一組兩個網絡設備而言是唯一的。例如，所述云控制器可以生成基于兩個網絡設備的序列號，或基于兩個網絡設備的其他識別符的預共享密鑰。對于預共享密鑰的每個數據庫入口，所述密鑰數據庫700進一步包括與所述預共享密鑰相應的所述網絡設備的兩個序列號或其他類型的識別符。在其他一些實施方案中，所述云控制器可以使用其他類型的認證方法以指示所述網絡設備建立虛擬網絡連接。因此，根據認證方法的類型，所述云控制器的密鑰數據庫可以包括其他類型的認證密鑰。
[0044]圖8所示是網絡設備800的示例。所述網絡設備800包括一個或多個處理器810、網絡接口 840以及連接至互連830的存儲部件820。所述互連830如圖8所示是抽象的結構，能夠代表任何一個或多個分離物理總線、點對點連接，或都是通過合適的橋接器、適配器或控制器連接的。所述互連830，因此，可以包括，例如，系統總線、外圍組件互連(PCI)總線或PC1-Express總線、超傳輸或工業標準體系結構(ISA)總線、小型計算機系統接口(SCSI)總線、通用串行總線(USB)、IIC(12C)總線、或電器和電子工程師協會(IEEE)標準1394總線，也被稱為“火線”。
[0045]所述處理器(810)是存儲器800的中央處理單元(CPU)且，因此，控制節點800的全部操作。在某些實施方案中，所述處理器810通過執行存儲在內存820中的軟件或固件來完成控制。所述處理器810可以是，或可能包括，一個或多個可編程通用或專用微處理器、數字信號處理器(DSP)、可編程控制器、專用集成電路(ASIC)、可編程邏輯器件(PLD)、可信平臺模塊(TPM)，或類似的，或該設備的組合。
[0046]所述存儲部件820代表任何形式的隨機存取存儲器(RAM)、只讀存儲器(ROM)、閃存，或類似的，或這些設備的組合。在使用中，所述存儲部件820可以在其他事物中包括代碼，以體現所述設備800的操作系統的至少一個部分。
[0047]另外，通過所述互連830與所述處理器810連接的是網絡接口 840。所述網絡接口840提供與所述云控制器801和其他對等網絡設備通信的能力，例如設備421或422，通過網絡且可以是，例如，以太網適配器或光纖通道適配器。在某些實施方案中，設備可以使用多個網絡接口以分別處理與外部網絡設備的通信。
[0048]所述代碼存儲在存儲部件820中可以作為軟件和/或固件實施以對所述處理器810編程來完成以下描述的行動。在某些實施方案中，該軟件或固件可以在最初通過所述設備800下載(例如通過網絡接口 840)提供給所述設備800。
[0049]所述存儲部件820可以預加載所述云控制器801的靜態的公有網絡地址821。所述靜態的公有網絡地址821可以在各種情況下被預加載至所述網絡設備800的所述存儲部件820。例如，所述靜態的公有網絡地址821可以被預加載至所述存儲部件820當所述網絡設備800被制造時或者當所述網絡設備800被出售給客戶時。
[0050]所述存儲部件820進一步為所述網絡設備800存儲識別符822。識別符822包括唯一在所有其他網絡設備中識別所述網絡設備800的信息。類似地，所述識別符822可以是或包括序列號。所述識別符822可以在多種情況下預加載到所述網絡設備800的所述存儲部件820。例如，所述識別符822可以被預加載到所述存儲部件820當所述網絡設備800制造時或當所述網絡設備800被出售給客戶時。
[0051]所述存儲部件802可以進一步存儲初始化模塊823，該配置用以識別所述網絡設備800至所述云存儲器801，通過發送所述網絡設備800的識別符至與所述云控制器801關聯的公有網絡地址821。所述存儲部件802可以進一步存儲心跳模塊824，該配置用以周期性地更新所述網絡地址800的網絡地址至所述云控制器801，通過周期性地發送心跳消息至所述云控制器801。
[0052]所述存儲部件802可以進一步存儲虛擬網絡模塊825，該配置用以接收認證消息，包括來自所述云控制器801且與所述對等設備關聯的公有網絡地址，并且與所述對等設備直接連接，基于所述認證消息以在所述網絡設備800所屬的專用網絡以及所述對等設備所述的專用網絡間建立虛擬網絡。所述初始化模塊823、心跳模塊824以及虛擬網絡模塊825可以作為存儲在所述存儲部件820中的軟件或固件被實施。
[0053]通過網絡設備和云控制器執行的過程
[0054]所述網絡設備的存儲部件可以進一步存儲指令，當被處理器執行時，使得所述網絡設備執行過程包括不僅是所述初始化模塊823、心跳模塊824和虛擬網絡模塊825的功能。圖9所示是在多個專用網絡中建立虛擬網絡的過程900。所述過程900始于步驟910，從網絡設備傳輸注冊消息到與預加載在所述網絡設備中的公有網絡地址相關聯的云控制器。所述注冊消息可以包括與所述網絡設備關聯的公有網絡地址。所述注冊消息可以進一步包括所述網絡設備的識別符。至少在一個實施方案中，所述云控制器可以是在云計算平臺上運行的軟件定義網絡(SDN)服務。
[0055]所述過程900繼續步驟920，從所述網絡設備至所述云控制器周期性傳輸心跳消息以更新與所述網絡設備關聯的所述公有網絡地址。與所述網絡設備關聯的所述公有網絡地址可以是當前分配給所述網絡設備的公有IP地址，或當前分配給所述網絡設備的專用網絡的路由器的公有IP地址。
[0056]所述過程900進一步繼續進行到步驟930，從所述網絡設備至所述云控制器發送請求消息以在所述網絡設備和對等設備間建立虛擬網絡。在至少一個實施方案中，所述請求不需要識別所述對等設備。在一些其他實施方案中，所述請求消息可以包括識別對等設備。所述網絡設備以及所述對等設備可以被預分配給通過所述云控制器維護的賬戶。因此，所述對等設備可以被所述云控制器識別，基于預分配給所述網絡設備的賬戶。
[0057]所述過程900繼續進行到步驟940，在所述網絡設備上接收來自所述云控制器的認證消息，包括與所述對等設備關聯的公有網絡地址。以及最后，所述過程900繼續進行到步驟950，基于所述認證消息直接連接至所述對等網絡以在所述網絡設備所屬的專用網絡以及所述對等設備所屬的專用網絡間建立所述虛擬網絡。所述虛擬網絡可以是虛擬專用網絡(VPN)。所述認證消息可以包括所述云控制器生成的預共享密鑰，它對于一組所述網絡設備和所述對等設備是唯一的。
[0058]所述云控制器最具智能地識別對等網絡設備以及指示所述對等網絡設備來建立虛擬網絡連接。圖10所示是為識別和控制所述網絡設備以建立虛擬網絡的過程1000。在所述過程1000的步驟1010中，在所述云控制器接收來自第一網絡設備的消息以指示與所述第一網絡設備相關聯的公有網絡地址。所述過程1000繼續進行到步驟1020，在所述云控制器上接收來自于第二網絡設備的消息以指示與所述第二網絡設備相關聯的公有網絡地址。與所述第一和第二網絡設備關聯的所述公有網絡地址可以包括通信端口以及公有IP地址，所述公有IP地址是分配給第一和第二網絡設備，或分配給所述第一和第二網絡設備所屬的所述專用網絡的路由器。所述公有IP地址可以是動態的IP地址(例如為有限時間段分配的IP地址以及在下一次分配后可以改變的IP地址)，而不是靜態的IP地址(例如IP地址被永久分配，例如其硬件或軟件的固定配置)。可選擇的，與所述第一和第二網絡設備關聯的所述公有網絡地址可以包括動態的公有網絡地址，所述動態的公有網絡地址被分配到所述第一和第二網絡設備所所屬的專用網絡的路由器。所述第一和第二網絡設備可以被分配所述專用網絡的私有IP地址。所述第一和第二網絡設備可以通過序列號或其他分別存儲在第一和第二網絡設備中的識別符被識別。
[0059]所述過程1000繼續進行到步驟1030，更新由所述云控制器維護的數據庫。所述數據庫包括當前與所述第一和第二網絡設備關聯的所述公有網絡地址。所述數據庫可以進一步包括關于所述第一和第二網絡設備被預分配到賬戶的信息。
[0060]所述過程1000繼續進行到步驟1040，為預分配以序列號識別的網絡設備至賬戶，提供遠程用戶界面。所有被預分配到同一賬戶中的網絡設備可以被配置為形成虛擬網絡，所述虛擬網絡是當所述網絡設備在線運行時，在這些網絡設備所屬的專用網絡中形成的。所述過程1000繼續進行到步驟1050，在所述云控制器上接收指示以預分配所述第一和第二網絡設備到由所述云控制器維護的賬戶中。所述指示可以是來自于計算設備，與所述第一和第二網絡設備分離。接著所述過程1000繼續進行步驟1060，在所述云控制器上預分配所述第一和第二網絡設備至由所述云控制器維護的賬戶中。可選擇的，所述步驟1040-1060可以在步驟1010、1020或1030之前發生。
[0061]所述過程1000繼續進行到步驟1070，生成預共享密鑰，其對于一組所述第一和第二網絡設備是唯一的，其中認證消息包括所述預共享密鑰。接著所述過程1000繼續進行到步驟1080，發送認證消息至與第一和第二網絡設備關聯的所述公有網絡地址以認證所述第一和第二網絡設備，以在所述第一網絡設備所屬的專用網絡和所述第二網絡設備所屬的專用網絡之間建立虛擬網絡。
[0062]本文所介紹的技術，可以通過以下方式實現，例如，可編程電路(例如，一個或多個微處理器)、編程軟件和/或固件，或全部在專用硬件電路中，或者這些形式的組合。特殊用途的硬線電路可以是，例如，一個或多個專用集成電路(ASIC)、可編程邏輯器件(PLD)、現場可編程門陣列(FPGA)等形式。
[0063]對于在實施此處提出的技術中使用的軟件或固件可以被存儲在機器可讀存儲介質上，并且可以由一個或多個通用或專用的可編程微處理器執行。“機器可讀存儲介質”，如在本文中使用的術語，包括任何可以以機器可訪問的形式存儲信息的機制(該機器可以是，例如，計算機、網絡裝置、蜂窩電話、個人數字助理(PDA)、制造工具、任何具有一個或多個處理器的裝置，等等)。例如，機器可訪問存儲介質包括可記錄/不可記錄介質(例如，只讀存儲器(ROM)、隨機存取存儲器(RAM)、磁盤存儲介質、光存儲介質、閃存裝置；等等)，等坐寸ο
[0064]術語“邏輯”，如本文使用的，可包括，例如，用特定的軟件和/或固件進行編程的可編程電路、專用硬件電路，或它們的組合。
[0065]本發明及其制作和使用的方式和步驟現已用充分、清楚、簡要和準確的術語進行了敘述，以使其所涉及領域技術人員能夠進行同樣的制造和使用。應當理解，上述內容描述了本發明的優選實施方式，并且在不背離權利要求所述的本發明范圍的前提下，還可以進行修改。為了特別指出和清楚地申明被認為是本發明的主題內容，以下權利要求總結了此說明書。
【權利要求】
1.一種由云控制器控制多個網絡設備的方法，包括: 在所述云控制器上從第一網絡設備接收消息，所述消息指示與所述第一網絡設備關聯的公有網絡地址； 在所述云控制器上從第二網絡設備接收消息，所述消息指示與所述第二網絡設備關聯的公有網絡地址； 在所述云控制器上預分配所述第一和第二網絡設備至由所述云控制器維護的賬戶；以及 發送認證消息至與所述第一和第二網絡設備關聯的所述公有網絡地址，認證所述第一和第二網絡設備以建立一個虛擬網絡，所述虛擬網絡包括所述第一和第二網絡設備所屬的兩個專用網絡。
2.根據權利要求1所述的方法，其中與所述第一和第二網絡設備關聯的至少一個所述公有網絡地址包括一個動態的IP地址。
3.根據權利要求1所述的方法，其中與所述第一和第二網絡設備關聯的所述公有網絡地址包括通信端口和動態的公有IP地址，所述動態的公有IP地址是被分配給所述第一和第二網絡設備，或是被分配給所述第一和第二網絡設備所屬的所述專用網絡的路由器。
4.根據權利要求3所述的方法，其中與所述第一和第二網絡設備關聯的所述公有網絡地址包括分配給所述第一和第二網絡設備所屬的專用網絡的路由器的動態的公有IP地址，且所述專用網絡的私有IP地址被分配給所述第一和第二網絡設備。
5.根據權利要求1所述的方法，還包括: 更新由所述云控制器維護的數據庫，其中所述數據庫包括當前與所述第一和第二網絡設備關聯的所述公有網絡地址。
6.根據權利要求5所述的方法，其中所述數據庫還包括所述第一和第二網絡設備被預分配到所述賬戶中的信息。
7.根據權利要求1所述的方法，還包括: 在所述云控制器上接收指令，所述指令預分配所述第一和第二網絡設備至所述賬戶中，所述賬戶由所述云控制器維護； 其中所述指令來自于與所述第一和第二網絡設備分離的計算設備。
8.根據權利要求1所述的方法，還包括: 提供遠程用戶界面，以預分配通過序列號識別的網絡設備至賬戶中； 其中預分配至所述賬戶的所有網絡設備被配置為當所述網絡設備聯網運行時，在所述網絡設備所屬的所述專用網絡中形成虛擬網絡。
9.根據權利要求1所述的方法，還包括: 生成預共享密鑰，所述預共享密鑰對于一組所述第一和第二網絡設備而言是唯一的，其中所述認證消息包括所述預共享密鑰。
10.根據權利要求1所述的方法，其中所述虛擬網絡是虛擬專用網絡(VPN)且所述專用網絡是局域網(LAN)。
11.一種網絡設備，包括: 處理器， 網絡接口，被配置為與云控制器和至少一個對等設備通信；以及 存儲部件，預加載與所述云控制器關聯的公有網絡地址以及所述網絡設備的識別符； 所述存儲部件還包括存儲指令，當被所述處理器執行時，引起所述網絡設備執行過程包括: 通過發送注冊消息包括所述網絡設備的所述識別符至與所述云控制器關聯的所述公有網絡地址，使所述云控制器識別所述網絡設備； 從所述云控制器接收認證消息，所述認證消息包括與所述對等設備關聯的公有網絡地址；以及 基于所述認證消息與所述對等設備直接連接，以在所述網絡設備所屬的專用網絡和所述對等設備所屬的專用網絡之間建立虛擬網絡。
12.根據權利要求11所述的網絡設備，其中與所述對等設備關聯的所述公有網絡地址包括動態的IP地址。
13.根據權利要求11所述的網絡設備，其中所述注冊消息還包括分配給所述網絡設備的，或分配給所述網絡設備所屬的所述專用網絡的路由器的動態的IP網絡地址。
14.根據權利要求11所述的網絡設備，其中所述過程還包括: 向所述云控制器請求所述專用網絡與對等設備建立連接，而無需識別所述對等設備。
15.根據權利要求11所述的網絡設備，其中所述網絡設備以及所述對等設備被預分配至由所述云控制器維護的賬戶，并且所述云控制器基于所述賬戶識別所述對等設備。
16.根據權利要求11所述的網絡設備，其中所述直接連接包括: 從所述網絡設備傳輸建立所述虛擬網絡的請求至與所述對等設備關聯的所述公有網絡地址； 其中所述請求通過一個預共享密鑰認證，在所述請求被傳輸之前所述云控制器提供所述預共享密鑰給所述網絡設備和所述對等設備。
17.根據權利要求11所述的網絡設備，其中所述接收包括: 從所述云控制器接收認證消息，所述認證消息包括與多個對等設備關聯的公有網絡地址； 以及其中所述直接連接包括: 基于所述認證消息直接連接至所述對等設備，以在所述網絡設備和所述對等設備所屬的所述專用網絡中建立所述虛擬網絡。
18.—種在多個專用網絡中建立虛擬網絡的方法，包括: 從網絡設備傳輸注冊消息至云控制器，所述云控制器與預加載在所述網絡設備中的一個公有網絡地址關聯，所述注冊消息包括與所述網絡設備關聯的動態的公有網絡地址； 從所述網絡設備發送請求消息至所述云控制器，所述請求消息請求在所述網絡設備和對等設備間建立虛擬網絡； 在所述網絡設備處接收來自所述云控制器的認證消息，所述認證消息包括與所述對等設備關聯的公有網絡地址；以及 基于所述認證消息直接連接至所述對等設備，以在所述網絡設備所屬的專用網絡和所述對等設備所屬的專用網絡間建立所述虛擬網絡。
19.根據權利要求18所述的方法，其中所述網絡設備和所述對等設備被預分配至由所述云控制器維護的賬戶。
20.根據權利要求18所述的方法，其中所述發送包括: 從所述網絡設備發送請求消息至所述云控制器，所述請求消息包括在所述網絡設備和對等設備間建立虛擬網絡，而無需識別所述對等設備。
21.根據權利要求18所述的方法，其中所述對等設備基于所述網絡設備被預分配到的賬戶被所述云控制器識別。
22.根據權利要求18所述的方法，還包括: 從所述網絡設備周期性傳輸心跳消息至所述云控制器，所述心跳消息更新與所述網絡設備關聯的所述公有網絡地址。
23.根據權利要求18所述的方法，其中與所述網絡設備關聯的所述公有網絡地址是當前分配給所述網絡設備的動態的公有IP地址或者是當前分配給所述網絡設備所屬的所述專用網絡的路由器的動態的公有IP地址。
24.根據權利要求18所述的方法，其中所述虛擬網絡是虛擬專用網絡(VPN)且所述認證消息包括預共享密鑰，所述預共享密鑰通過所述云控制器生成且對于一組所述網絡設備和所述對等設備是唯一的。
25.根據權利要求18所述的方法，其中所述云控制器是在云計算平臺上運行的軟件定義網絡(SDN)服務。
【文檔編號】H04L29/08GK104283744SQ201410308852
【公開日】2015年1月14日 申請日期:2014年7月1日 優先權日:2013年7月1日
【發明者】鄒峰 申請人:云觀科技