(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111528072.X (22)申请日 2021.12.15 (65)同一申请的已公布的文献号 申请公布号 CN 113938486 A (43)申请公布日 2022.01.14 (73)专利权人 江苏博云科技股份有限公司 地址 215213 江苏省苏州市苏州工业园区 星湖街328号创意产业园7-9F (72)发明人 花磊　耿浩涛　崔骥　张荣奇　 (74)专利代理 机构 苏州谨和知识产权代理事务 所(特殊普通 合伙) 32295 代理人 叶栋 (51)Int.Cl. H04L 67/10(2022.01) H04L 67/14(2022.01)H04L 61/2503(2022.01) H04L 12/46(2006.01) H04L 9/40(2022.01) (56)对比文件 CN 105391817 A,2016.0 3.09 CN 110247846 A,2019.09.17 审查员 王维国 (54)发明名称 用于边缘计算的在单向网络上实现双向安 全通讯的方法 (57)摘要 本申请涉及一种用于边缘计算的在单向网 络上实现双向安全通讯的方法， 属于通信技术领 域， 其包括通过与云节点的第一通信连接向云节 点发送第一边缘节点在单向网络中的实际IP地 址； 接收云节点反馈的第二边缘节点的IP信息； 通过第一NAT路由器向第二边缘节点的公网IP地 址发送连接建立请求， 连接建立请求经过第一 NAT路由器时触发第一NAT路由器生成路由转换 规则， 路由转换规则用于指示将第二边缘节点的 信息数据转发至第一边缘节点； 接收第一NAT路 由器基于路由转换规则发送的应答消息； 基于应 答消息通过第一NAT路由器与第二边缘节 点建立 VPN隧道； 可以解决单向网络的传输时延大的问 题； 可以缩短传输路径， 从而 减少延时。 权利要求书3页 说明书10页 附图4页 CN 113938486 B 2022.04.15 CN 113938486 B 1.一种用于边缘计算的在单向网络上实现双向安全通讯的方法， 其特征在于， 用于第 一边缘节点中， 所述第一 边缘节点位于单向网络； 所述方法包括： 通过与所述第一边缘节点通信相连的第一NAT路由器， 使用所述第一边缘节点的公网 IP地址与云节点建立第一 通信连接， 所述云节点 位于公网中； 基于所述第一通信连接向所述云节点发送所述第一边缘节点在所述单向网络中的实 际IP地址， 以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点， 并供 所述第二边缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专 用网络VPN隧道； 基于所述第 一通信连接接收所述云节点反馈的第二边缘节点的IP信息； 所述IP信息是 所述第二边缘节点与所述云节 点建立第二通信连接后所述云节点 获取到的； 所述IP信息包 括所述第二 边缘节点的公网IP地址， 或者包括第二 边缘节点的公网IP地址和实际IP地址； 通过所述第一NAT路由器向所述第二边缘节点的公网IP地址发送连接建立请求， 所述 连接建立请求经过所述第一NAT路由器时触发所述第一NAT路由器生成路由转换规则， 所述 路由转换规则用于指示将所述第二边缘节点的信息数据转发至所述第一边缘节点； 所述连 接建立请求到达所述第二边缘节点后触发所述第二边缘节点反馈对所述连接建立请求的 应答消息； 接收所述第一 NAT路由器 基于所述路由转换规则发送的所述应答消息； 基于所述应答消息通过 所述第一 NAT路由器与所述第二 边缘节点建立所述VPN隧道； 在所述IP信息包括第二边缘节点的公网IP地址和实际IP地址的情况下， 所述通过所述 第一NAT路由器向所述第二 边缘节点的公网IP地址发送连接建立请求， 包括： 通过所述第一 NAT路由器向所述第二 边缘节点的实际IP地址发送所述连接建立请求； 在与所述第二边缘节点的实际IP地址建立连接失败的情况下， 通过所述第一NAT路由 器向所述第二边缘节点的公网IP地址发送连接建立请求； 相应地， 所述第二边缘节点通过 第二NAT路由器与所述第一边缘节点通信， 所述第二NAT路由器忽略向所述第二边缘节 点的 实际IP地址发送的所述连接 建立请求， 使得所述第一边缘节点与所述第二边缘节点的实际 IP地址建立连接失败； 在接收到所述第 二边缘节点通过所述实际IP地址反馈的应答消息的情况下， 基于所述 应答消息通过所述第一NAT路 由器与所述第二边缘节点建立VPN隧道； 相应地， 所述第二边 缘节点通过所述第一NAT路由器与所述第一边缘节点通信， 所述第一NAT路由器将所述连接 建立请求内部转 发至所述第二边缘节点， 使得所述第一边缘节点与所述第二边缘节点的实 际IP地址建立连接成功。 2.根据权利要求1所述的方法， 其特征在于， 所述第 二边缘节点通过公网与 所述云节点 相连， 相应地， 所述 IP信息仅包括所述公网IP地址 。 3.一种用于边缘计算的在单向网络上实现双向安全通讯的方法， 其特征在于， 用于第 一NAT路由器中， 所述第一NAT路 由器分别与第一边缘节点和云节点相连， 以供单向网络中 的所述第一 边缘节点与公网中的所述云节点进行通信； 所述方法包括： 使用所述第一边缘节点的公网IP地址建立所述第一边缘节点与所述云节点之间的第 一通信连接； 获取所述第一边缘节点发送的实际IP地址， 并将所述实际IP地址发送至所述云节点，权　利　要　求　书 1/3 页 2 CN 113938486 B 2以供所述云节点将所述第一边缘节点的实际IP地址发送至第二边缘节点， 并供所述第二边 缘节点使用所述第一边缘节点的实际IP地址与所述第一边缘节点建立虚拟专用网络VPN隧 道； 将所述云节点反馈的第二边缘节点的IP信 息发送至所述第 一边缘节点， 所述IP信息是 所述第二边缘节点与所述云节 点建立第二通信连接后所述云节点 获取到的； 所述IP信息包 括所述第二 边缘节点的公网IP地址， 或者包括第二 边缘节点的公网IP地址和实际IP地址； 在接收到所述第一边缘节点向所述第二边缘节点的公网IP地址发送的连接建立请求 的情况下， 生成路由转换规则； 所述路由转换规则用于指示将所述第二边缘节点的信息数 据转发至所述第一边缘节点； 所述连接 建立请求到达所述第二边缘节点后触发所述第二边 缘节点反馈对所述连接 建立请求的应答消息； 所述连接 建立请求是所述第一边缘节点通过 所述第一NAT路由器向所述第二边缘节点的实际IP地址发送后， 在与所述第二边缘节点的 实际IP地址建立连接失败的情况下， 通过所述第一NAT路由器向所述第二边缘节点的公网 IP地址发送的； 相应地， 所述第二边缘节点通过第二NAT路 由器与所述第一边缘节点通信， 所述第二NAT路 由器忽略向所述第二边缘节点的实际IP地址发送的所述连接建立请求， 使 得所述第一边缘节 点与所述第二边缘节点的实际IP地址 建立连接失败； 所述第一边缘节 点 在接收到所述第二边缘节 点通过所述 实际IP地址反馈的应答消息的情况下， 基于所述应答 消息通过所述第一NAT路 由器与所述第二边缘节点建立VPN隧道； 相应地， 所述第二边缘节 点通过所述第一NAT路由器与所述第一边缘节点通信， 所述第一NAT路由器将所述连接 建立 请求内部转 发至所述第二边缘节点， 使得所述第一边缘节点与所述第二边缘节 点的实际IP 地址建立连接成功； 在接收到所述第 二边缘节点发送的所述应答消息的情况下， 基于所述路由转换规则将 所述应答消息发送至所述第一 边缘节点； 基于所述应答消息建立所述第一 边缘节点与所述第二 边缘节点之间的VPN隧道。 4.一种用于边缘计算的在单向网络上实现双向安全通讯的方法， 其特征在于， 用于第 二边缘节点中， 所述方法包括： 与云节点建立第二通信连接， 以向所述云节点发送所述第二边缘节点的IP信息； 所述 IP信息包括所述第二边缘节点的公网IP地址， 或者包括第二边缘节 点的公网IP地址和实际 IP地址； 所述云节点 位于公网中； 在接收到第一边缘节点通过第一NAT路由器发送 的连接建立请求的情况下， 向所述第 一NAT路由器反馈对所述连接建立请求的应答消息， 以供所述第一边缘节点接收到所述应 答消息后， 基于所述应答消息通过所述第一NAT路 由器与所述第二边缘节点建立VPN隧道； 所述连接 建立请求是所述第一边缘节 点通过所述第一NAT路由器向所述第二边缘节点的实 际IP地址发送后， 在与所述第二边缘节点的实际IP地址建立连接失败的情况下， 通过所述 第一NAT路由器向所述第二边缘节点的公网IP地址发送的； 相应地， 所述第二边缘节 点通过 第二NAT路由器与所述第一边缘节点通信， 所述第二NAT路由器忽略向所述第二边缘节 点的 实际IP地址发送的所述连接建立请求， 使得所述第一边缘节点与所述第二边缘节点的实际 IP地址建立连接失败； 所述第一边缘节点在接收到所述第二边缘节 点通过所述 实际IP地址 反馈的应答消息的情况下， 基于所述应答消息通过所述第一NAT路由器与所述第二边缘节 点建立VPN隧道； 相应地， 所述第二边缘节点通过所述第一NAT路 由器与所述第一边缘节点权　利　要　求　书 2/3 页 3 CN 113938486 B 3