本文所述的設(shè)備、方法和系統(tǒng)用于：為多個客戶端設(shè)備創(chuàng)建彼此隔離的多個子網(wǎng)絡(luò)，其中，所述多個客戶端設(shè)備請求與包括多個網(wǎng)絡(luò)節(jié)點的服務(wù)網(wǎng)絡(luò)建立多條虛擬專用網(wǎng)絡(luò)(VirtualPrivate Network，VPN)鏈路中的相應(yīng)一條；與所述多個客戶端設(shè)備建立所述請求的多條VPN鏈路，所述VPN鏈路中的每一條將所述相應(yīng)客戶端設(shè)備連接到其相應(yīng)的隔離子網(wǎng)絡(luò)。所述多個隔離子網(wǎng)絡(luò)中的每一個是通過以下方式為所述多個客戶端設(shè)備中的相應(yīng)一個創(chuàng)建的：根據(jù)所述相應(yīng)客戶端設(shè)備的訪問憑證識別子組，所述子組包括所述多個網(wǎng)絡(luò)節(jié)點中的一個或多個；向所述子組的每個成員分配服務(wù)器虛擬地址，并向所述相應(yīng)客戶端設(shè)備分配客戶端虛擬地址。

技術(shù)領(lǐng)域

在本發(fā)明的一些實施例中，本發(fā)明涉及為多個VPN客戶端提供服務(wù)，更具體地(但不限于)涉及為多個VPN客戶端中的每一個創(chuàng)建多個專用子網(wǎng)絡(luò)中的相應(yīng)一個，其中所有這些專用子網(wǎng)絡(luò)彼此隔離。

背景技術(shù)

多種應(yīng)用、服務(wù)和平臺的網(wǎng)絡(luò)化服務(wù)正在不斷發(fā)展，而這些應(yīng)用、服務(wù)和平臺幾乎涵蓋現(xiàn)代生活的各個方面。因此，這些網(wǎng)絡(luò)化服務(wù)對日趨復(fù)雜的底層網(wǎng)絡(luò)提出了多重且不斷加劇的挑戰(zhàn)。

然而，由于數(shù)據(jù)可以通過開放網(wǎng)絡(luò)傳輸，而開放網(wǎng)絡(luò)易被攔截、監(jiān)視和/或竊聽，因此許多網(wǎng)絡(luò)化服務(wù)可能會遭受重大的隱私性、安全性和/或完整性問題。

為了解決網(wǎng)絡(luò)化服務(wù)中的這些漏洞，實施了各種方法、技術(shù)和協(xié)議。最突出的一種方案是虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN)，其中在VPN客戶端和VPN服務(wù)器之間傳輸?shù)臄?shù)據(jù)被加密，從而在開放網(wǎng)絡(luò)上創(chuàng)建虛擬隧道。使用一種或多種加密協(xié)議的虛擬隧道可以免遭潛在的惡意攻擊，因為即使被攔截，它也不會被解碼和/或解密。

然而，在部署VPN鏈路的過程中也面臨著巨大挑戰(zhàn)，尤其是同時為大量VPN客戶端提供服務(wù)。

發(fā)明內(nèi)容

本發(fā)明實施例的目的在于提供一種減輕或解決傳統(tǒng)方案的缺點和問題的方案。

上述和其它目的是通過由獨立權(quán)利要求請求保護的主題來實現(xiàn)。進一步的有利實施例可以在從屬權(quán)利要求中找到。

本發(fā)明旨在提供一種用于創(chuàng)建、維護和管理多個專用子網(wǎng)絡(luò)的方案，每個專用子網(wǎng)絡(luò)是為服務(wù)網(wǎng)絡(luò)同時服務(wù)的多個VPN客戶端(客戶端設(shè)備)中的相應(yīng)一個創(chuàng)建的，其中，所述專用子網(wǎng)絡(luò)中的每一個與其它專用子網(wǎng)絡(luò)完全隔離且無法從其它專用子網(wǎng)絡(luò)訪問。

根據(jù)本發(fā)明的第一方面，提供了一種VPN網(wǎng)關(guān)，所述VPN網(wǎng)關(guān)包括：電路，用于：為多個客戶端設(shè)備創(chuàng)建彼此隔離的多個子網(wǎng)絡(luò)，其中，所述多個客戶端設(shè)備請求與包括多個網(wǎng)絡(luò)節(jié)點的服務(wù)網(wǎng)絡(luò)建立多條VPN鏈路中的相應(yīng)一條；與所述多個客戶端設(shè)備建立所述請求的多條VPN鏈路，所述VPN鏈路中的每一條將所述相應(yīng)客戶端設(shè)備連接到其相應(yīng)的隔離子網(wǎng)絡(luò)。所述VPN網(wǎng)關(guān)通過以下方式為所述多個客戶端設(shè)備中的相應(yīng)一個創(chuàng)建所述多個隔離子網(wǎng)絡(luò)中的每一個：根據(jù)所述相應(yīng)客戶端設(shè)備的訪問憑證識別子組，所述子組包括所述多個網(wǎng)絡(luò)節(jié)點中的一個或多個；向所述子組的每個成員分配服務(wù)器虛擬地址，并向所述相應(yīng)客戶端設(shè)備分配客戶端虛擬地址。

根據(jù)本發(fā)明的第二方面，提供了一種為多個VPN客戶端創(chuàng)建專用子網(wǎng)絡(luò)的計算機實現(xiàn)方法，包括：為多個客戶端設(shè)備創(chuàng)建彼此隔離的多個子網(wǎng)絡(luò)，其中，所述多個客戶端設(shè)備請求與包括多個網(wǎng)絡(luò)節(jié)點的服務(wù)網(wǎng)絡(luò)建立多條VPN鏈路中的相應(yīng)一條；與所述多個客戶端設(shè)備建立所述請求的多條VPN鏈路，所述VPN鏈路中的每一條將所述相應(yīng)客戶端設(shè)備連接到其相應(yīng)的隔離子網(wǎng)絡(luò)。所述多個隔離子網(wǎng)絡(luò)中的每一個是通過以下方式為所述多個客戶端設(shè)備中的相應(yīng)一個創(chuàng)建的：根據(jù)所述相應(yīng)客戶端設(shè)備的訪問憑證識別子組，所述子組包括所述多個網(wǎng)絡(luò)節(jié)點中的一個或多個；向所述子組的每個成員分配服務(wù)器虛擬地址，并向所述相應(yīng)客戶端設(shè)備分配客戶端虛擬地址。