CN103947172A - 一种网络穿越服务的提供方法、装置及系统 - Google Patents

一种网络穿越服务的提供方法、装置及系统 Download PDF

Info

Publication number
CN103947172A
CN103947172A CN201280006197.9A CN201280006197A CN103947172A CN 103947172 A CN103947172 A CN 103947172A CN 201280006197 A CN201280006197 A CN 201280006197A CN 103947172 A CN103947172 A CN 103947172A
Authority
CN
China
Prior art keywords
access point
operator
terminal
network traversal
virtual access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280006197.9A
Other languages
English (en)
Other versions
CN103947172B (zh
Inventor
陈爱平
张战兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103947172A publication Critical patent/CN103947172A/zh
Application granted granted Critical
Publication of CN103947172B publication Critical patent/CN103947172B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/251Cut-through or wormhole routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0044Arrangements for allocating sub-channels of the transmission path allocation of payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种网络穿越服务提供方法、装置及系统,根据接收的运营商管理服务器发送的网络穿越隧道资源租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,并将所述安全穿越服务器创建的网络穿越隧道资源的信息发送给向所述运营商管理服务器,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,使得所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。本发明实施例提供的网络穿越服务提供方法能够提升运营商网络的可扩展性以及网络穿越的可靠性。

Description

一种网络穿 良务的提供方法、 装置及系统 技术领域
本发明涉及通信技术领域, 尤其涉及一种网络穿越服务的提供方法、装置及 系统。 背景技术 近年来随着信息技术与通信技术融合的不断加速, 互联网通信与传统无线 / 固网通信的界限已经迅速淡化。全球通信运营商为了应对互联网业务运营商的挑 战, 加速部署基于网际协议 (Internet Protocol, IP)的融合通信业务。 由于互联网的开放性, 企业、 个人、 家庭、 公共场所等接入环境复杂多样, 对于融合通信运营来说,存在诸多安全和接入挑战。在互联网上推广融合通信业 务的过程中, 既涉及到个人隐私或者企业机密的保护, 又涉及到如何保障业务在 各种复杂的接入网络环境中畅通无阻地到达融合通信运营商的核心网。在开放的 互联网环境下使用融合通信业务, 存在因防火墙的端口限制、 网络地址转换 ( Network Address Translation, NAT )应用层网关 ( Application Layer Gateway, ALG )处理或代理服务器限制等造成某些业务流量无法到达融合通信运营商的核 心网的问题,且还可能因为互联网和移动互联网接入的动态性和复杂性导致业务 数据被非法窃听或篡改。 基于上述问题, 如何实现业务流量的安全穿越, 并通过 安全穿越方案保障融合通信业务的安全性和可用性,是提供高融合通信业务质量 的必备要素。
现有技术中提供了一种基于安全穿越网关的网络穿越方案, 通过在运营商 网絡中部署安全穿越网关 (Secure Traversing Gateway, STG ), 提供超文本传 输协议( Hyper Text Transfer Protocol, HTTP )、 安全套接字层( Secure Socket Layer, SSL)、 互联网安全协议( Internet Protocol Security, IPSec )、 基 于数据 协议的传输层安全(Datagram Transport Layer Security, DTLS )协 议或用户数据报协议 (User Datagram Protocol, UDP ) 安全隧道的接入能力, 用户业务终端实现 HTTP、 SSL、 IPSec、 DTLS和 UDP安全隧道客户端功能, 客户端 与融合通信服务器之间的各种报文通过协商的 HTTP、 SSL、 IPSec、 DTLS或 UDP安 全隧道进行传输,从而能够实现防火墙、 NAT.代理、 Web安全网关等网元的穿越, 既保障了业务数据的安全性和穿越能力, 又保障了服务质量。
但是,现有技术中,由于安全穿越网关集中部署于融合通信运营商核心网, 需要融合通信运营商自行釆购和维护安全穿越网关设备,运营成本较高, 并且可 扩展性较差。 发明内容
本发明实施例中提供的一种网络穿越服务的提供方法、装置及系统, 具有较 强的网络扩展性。
第一方面, 本发明实施例提供一种网络穿越服务的提供方法, 包括: 接收运营商管理服务器发送的网絡穿越隧道资源租用请求,所述租用请求中 携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量; 根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述 网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟 接入点承载的用户数量;
接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虛拟接 入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资 源的信息包括虛拟接入点信息和业务通道信息;
向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商 管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络 穿越服务。
在第一方面的第一种可能的实现方式中,所述根据所述租用请求向安全穿越 服务器发送网络穿越隧道资源创建指令包括:
根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务 器发送所述网络穿越隧道资源创建指令。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可 能的实现方式中, 所述虚拟接入点为虚拟化的安全穿越网关, 能够为终端提供虚 拟专用网 VPN隧道的接入能力。 结合第一方面、 第一方面的第一种可能的实现方 式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中, 本发明提供的网络穿越服务的提供方法还包括:
向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越 隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越 隧道资源为终端提供网络穿越服务。
第二方面, 本发明实施例提供一种网络穿越服务的提供方法, 包括: 接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资 源创建指令中携带有运营商租用需求的虛拟接入点的数量以及每个虚拟接入点 能够承载的用户数量;
根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承栽的用户 数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道 资源包括虚拟接入点以及与虚拟接入点对接的业务通道;
向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。
在第二方面的第一种可能的实现方式中,本发明提供的网络穿越服务的提供 方法还包括:
接收来自终端的接入点查询请求, 所述查询请求中携带有所述终端所属的 运营商的标识;
根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虛拟 接入点;
向所述终端返回查询响应消息, 所述查询响应消息中包含有选择的虚拟接 入点的信息;
接收来自终端的网络穿越隧道注册请求, 所述网络穿越隧道注册奇求中包 含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
向所述终端返回网络穿越隧道注册成功消息,使所述终端才艮据所述运营商的 核心网地址以及与所述虛拟接入点建立的网络穿越隧道访问所述运营商的核心 网。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可 能的实现方式中, 本发明提供的网络穿越服务的提供方法还包括: 接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带 有终端要访问的第一虛拟接入点信息、所述终端所属运营商的标识以及所述运营 商的核心网地址;
判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接 入点;
如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虛拟 接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所 述终端选择第二虚拟接入点;
向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消 息中包含有所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点 建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方 式中,所述根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所 述终端选择第二虚拟接入点包括:
根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户 负栽量最小或接入位置最近或探测响应最快的虚拟接入点。
结合第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方 式,在第二方面的第四种可能的实现方式中, 本发明提供的网络穿越服务的提供 方法还包括:
如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接 入点, 则向所述终端返回隧道注册成功消息,使所述终端才艮据与所述第一虚拟接 入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心 网。
第三方面, 本发明提供一种资源管理中心, 包括:
接收模块, 用于接收运营商管理服务器发送的网络穿越隧道资源租用请求, 所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的 用户数量;
发送模块,用于根据所述接收模块接收的所述租用请求向安全穿越服务器发 送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚 拟接入点的数量以及所述每个虚拟接入点承载的用户数量;
所述接收模块,还用于接收所述安全穿越服务器根据所述网络穿越隧道资源 创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资 源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信 息;
所述发送模块,还用于向所述运营商管理服务器发送所述网络穿越隧道资源 的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息 向终端提供网络穿越服务。
在第三方面的第一种可能的实现方式中,所述虚拟接入点为虚拟化的安全穿 越网关, 为终端提供虚拟专用网 VPN隧道的接入能力。
结合第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可 能的实现方式中,所述发送模块具体用于根据所述租用请求向部署于运营商网络 中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
结合第三方面、第三方面的第一种可能的实现方式或第三方面的第二种可能 的实现方式,在第三方面的第三种可能的实现方式中,本发明提供的资源管理中 心还包括:
资源管理模块, 用于对所述网络穿越隧道资源进行管理和维护; 广播模块,用于向部署于运营商网络中的安全穿越服务器广播所述运营商租 用的网絡穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租 用的网络穿越隧道资源为终端提供网络穿越服务。
第四方面, 本发明提供一种安全穿越服务器, 包括:
接收模块, 用于接收资源管理中心发送的网络穿越隧道资源创建指令, 所述 网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及 所述每个虚拟接入点能够承载的用户数量;
隧道资源创建模块,用于根据接收模块接收的网络穿越隧道资源创建指令中 的所述虛拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足 所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虛拟 接入点以及与虚拟接入点对接的业务通道;
隧道资源发送模块,用于向所述资源管理中心返回隧道资源创建模块创建的 所述网络穿越隧道资源的信息。
在第四方面的第一种实现方式中, 所述接收模块,还用于接收来自终端的网 络穿越隧道注册奇求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚 拟接入点信息、 所述终端所属运营商的标识以及所述运营商的核心网地址; 所述安全穿越服务器还包括:
判断模块,用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述 终端选择的虚拟接入点;
第一选择模块,用于如果所述第一虚拟接入点不是所述安全穿越服务器为所 述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿 越隧道资源中为所述终端选择第二虚拟接入点;
第一响应模块, 用于向所述终端返回网络穿越隧道注册成功消息, 所述网络 穿越隧道注册成功消息中包含有所述第一选择模块选择的所述第二虚拟接入点 的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运 营商的核心网地址访问所述运营商的核心网。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可 能的实现方式中, 所述接收模块,还用于接收来自终端的接入点查询请求, 所述 查询请求中携带有所述终端所属的运营商的标识;
所述安全穿越服务器还包括:
第二选择模块,用于根据所述接收模块接收的所述查询请求中的所述运营商 的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
第二响应模块, 用于向所述终端返回查询响应消息, 所述查询响应消息中包 含有选择的虚拟接入点的信息;
所述接收模块,还用于接收来自终端的隧道注册请求, 所述隧道注册请求中 包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址; 所述第二响应模块,还用于向所述终端返回网络穿越隧道注册成功消息,使 所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越 隧道访问所述运营商的核心网。
结合第四方面、第四方面的第一种可能的实现方式或第四方面的第二种可能 的实现方式,在第四方面的第三种可能的实现方式中, 所述虛拟接入点为虚拟化 的安全穿越网关, 能够为终端提供虚拟专用网 VPN隧道的接入能力。
结合第四方面的第一种可能的实现方式,在第四方面的第四种可能的实现方 式中,所述第一选择模块具体用于根据所述运营商的标识在所述运营商租用的网 络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快 的虛拟接入点。
结合第四方面的第一种可能的实现方式,在第四方面的第五种可能的实现方 式中,当所述判断模块判断所述第一虚拟接入点是为所述安全穿越服务器为所述 终端选择的虚拟接入点时,所述第一响应模块,还用于向所述终端返回隧道注册 成功消息,使所述终端根据与所述第一虛拟接入点建立的网络穿越隧道以及所述 运营商的核心网地址访问所述运营商的核心网。
第五方面, 本发明提供一种安全穿越服务提供系统, 包括虚拟接入点、 上述 的资源管理中心的任意一种实现方式以及上述的安全穿越服务器的任意一种实 现方式, 其中:
所述虚拟接入点, 用于通过与终端之间建立的网络穿越隧道接收所述终端 发送的报文, 并将所述报文解封装后发送给运营商核心网; 接收所述运营商核心 网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给所述终 端。 本发明实施例中提供了一种实现网絡穿越服务提供方法、 装置及系统, 通过 接收运营商管理服务器发送的网络穿越隧道资源租用请求,根据所述租用请求中 携带的待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量向安全 穿越服务器发送网络穿越隧道资源创建指令,接收所述安全穿越服务器根据所述 虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧 道资源的信息,并将所述网络穿越隧道资源的信息发送给所述运营商管理服务器, 使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向 终端提供网络穿越服务。从而解决了由于安全穿越网关集中部署于运营商核心网 所带来的网络扩展性差的技术问题, 并且, 由于将安全穿越即服务作为一种运营 模式来提供, 可以由安全穿越即服务( Secure Traverse As A Serv ice , STaaS ) 提供商统一承担网络穿越服务资源的管理运营, 融合通信运营商可以通过租用 STaaS提供商提供的网络穿越服务资源来向终端用户提供网络穿越服务, 从而能 够降低融合通信运营商的运营成本, 提升了运营商网络的可扩展性。 附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案, 下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍, 显而易见地, 下面描述中 的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创 造性劳动性的前提下 , 还可以根据这些附图获得其他的附图。
图 1是本发明实施例中提供的一种网络穿越服务提供方法的应用场景图; 图 2为本发明实施例提供的一种网络穿越服务提供方法的流程图; 图 3为本发明实施例提供的又一种网络穿越服务提供方法的信令图; 图 4为本发明实施例提供的又一种网络穿越服务提供方法的流程图; 图 5为本发明实施例提供的又一种网络穿越服务提供方法的流程图; 图 6为本发明实施例提供的又一种网络穿越服务提供方法流程图; 图 7为本发明实施例提供的一种资源管理中心的物理结构示意图; 图 8为本发明实施例提供的又一种资源管理中心的结构示意图; 图 9为本发明实施例提供的一种安全穿越服务器的结构示意图; 图 10为本发明实施例提供的又一种安全穿越服务器的结构示意图; 图 11为本发明实施例提供的又一种安全穿越服务器的结构示意图; 图 12为本发明实施了提供的又一种安全穿越服务器的结构示意图; 图 13为本发明实施例提供的一种安全穿越即服务的网絡系统图。 具体实施方式
为了使本技术领域的人员更好地理解本发明方案, 下面将结合本发明实施 例中的附图, 对本发明实施例中的技术方案进行清楚、 完整地描述, 显然, 所描 述的实施例仅仅是本发明一部分的实施例, 而不是全部的实施例。基于本发明中 的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例, 都应当属于本发明保护的范围。
如图 1所示, 图 1为本发明实施例的一种应用场景, 为了描述方便, 本发明 实施例将融合通信运营商简称为运营商,没有特殊说明的情况下, 本发明实施例 所述的运营商均为能够提供融合通信业务的融合通信运营商。 在图 1所述的一种 应用场景中, 第一网络可以为运营商 A的接入网, 第二网络可以为运营商 B的接入 网, 第三网络可以为运营商 A的核心网, 第四网络可以为运营商 B的核心网, 终端 110和终端 111可以通过虎拟接入点 120穿越到第三网络或第四网络,终端 112和终 端 113可以通过虚拟接入点 122穿越到第三网络或第四网络。网络穿越隧道资源管 理中心 121负责网络穿越隧道资源的统计、 管理和分配, 其中, 网络穿越隧道资 源包含有虚拟接入点和与虚拟接入点对接的业务通道, 其中,虚拟接入点是虛拟 化的安全穿越网关,能够提供超文本传榆协议(Hyper Tex t Transfer Protoco L , HTTP )、安全套接字层(Secure Socke t Layer , SSL ), 互联网安全协议( Internet Pro t oco l Secur i ty , IPSec )、 基于数据报协议的传输层安全协议 ( Datagram Transpor t Layer Secur i ty , DTLS )或用户数据报协议( Us er Datagram Protocol , UDP )安全隧道的接入能力。 例如, 终端 110发出的数据包从虚拟接入点 120接入 第一网络(融合通信运营商 A的接入网), 并通过与虚拟接入点 120对接的业务通 道到达第三网络(融合通信运营商 A的核心网), 达到终端 110访问融合通信运营 商 A的核心网的目的。
安全穿越服务器为多个虚拟接入点的集合,可以部署于运营商的互联网数据 中心 (Internet Data Cent er , IDC ), 向终端提供网络穿越服务, 使终端能够 通过安全穿越服务器选择的虚拟接入点达到访问运营商核心网的目的。安全穿越 服务器 123和安全穿越服务器 124负责管理、建立和选择虛拟接入点, 安全穿越 服务器 123可以根据运营商的租用请求创建多个虚拟接入点(即虚拟化的安全穿 越网关),例如,安全穿越服务器 123可以创建虚拟接入点 120和虚拟接入点 125 , 安全穿越服务器 124可以创建虚拟接入点 122和虚拟接入点 126。 虚拟接入点由 安全穿越服务器虚拟化生成, 物理位置可以处于安全穿越服务器上, 图 1中为了 表述清楚, 将虚拟接入点和安全穿越服务器分开进行图示和描迷。 多个安全穿越 服务器及虚拟接入点构成了网络穿越服务云, 为多个运营商提供网络穿越服务。
图 2为本发明实施例提供的一种网络穿越服务提供方法的流程图,该方法可 以由如图 1所示的网络系统中的资源管理中心 121来执行,如图 2所示,该方法 包括:
步驟 200, 接收运营商管理服务器发送的网络穿越隧道资源租用请求, 所述 租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户 数量, 进入步骤 205 ;
在本发明实施例中,为了减少运营商自行维护安全穿越网关所带来的运营成 本高、 网络扩展能力差等问题,将网络穿越隧道资源以一种服务的方式租用给运 营商, 由专业的服务提供商承担网络穿越服务资源的管理运营, 并通过资源管理 中心向运营商提供网络穿越服务资源的出租式服务,使运营商可以根据自己的实 际需求,通过互联网向服务提供商租用所需的网络穿越隧道资源, 并按租用的服 务的数量及使用时间向服务提供商支付费用,同时运营商也可以通过互联网获得 服务提供商对其所提供的网络穿越隧道资源的维护等服务,以使终端能够通过运 营商租用的网络穿越隧道资源实现访问运营商核心网的网络穿越目的。我们可以 将这种运营模式称为安全穿越即服务 ( Secure Traverse As A Serv ice , STaaS ) 的运营模式, 将这种服务提供商称为 STaaS )提供商。
具体的, 在本步骤中, 当运营商需要租用网络穿越隧道资源时, 由运营商管 理服务器将向资源管理中心发送网络穿越隧道资源租用请求, 其中,运营商管理 服务器是运营商设置的用于管理其网络中的网络穿越隧道资源的服务器。网络穿 越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道,虚拟接入点供终 端接入使用, 业务通道供融合通信业务运营商的核心网使用,使终端能够通过接 入点接入运营商的网络, 并通过业务通道访问运营商的核心网。 为了满足业务流 量的需求,运营商可以根据本网络的用户数量及接入需求确定需要租用的网络穿 越隧道资源, 因此,在所述网络穿越隧道资源租用请求中需要包含有要租用的虚 拟接入点数量以及每个虚拟接入点承载的用户数量, 例如, 运营商 A要租用 10 个虚拟接入点,且每个虚拟接入点能够同时承载 1000个用户的接入需求。当然, 可以理解的是,在所述租用请求中还可以携带所述运营商的标识, 以使资源管理 中心能够识别是哪一个运营商需要租用网络穿越隧道资源。
可以理解的是,在另一种情况下, 网络穿越隧道资源租用请求中可以携带有 待承载的总用户数量,由资源管理中心根据所述总用户数量为所述运营商确定所 需租用的虚拟接入点数量以及每个虚拟接入点所承载的用户数量。
步骤 205, 根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建 指令, 进入步驟 210;
具体的,当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租 用请求后 ,资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网 络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虚拟接入 点的数量以及每个虛拟接入点承载的用户数量创建网络穿越隧道资源, 其中, 网 络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务 通道。
当网络中具有多个安全穿越服务器时,资源管理中心可以根据所述租用请求 中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器 中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理 向部署于运营商网络中的且空闲资源最多的安全穿越服务器发送网络穿越隧道 资源创建指令, 指示该安全穿越服务器进行网络穿越隧道资源的创建。
步骤 210 , 接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用 户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括 虛拟接入点信息和业务通道信息, 进入步骤 215;
具体的, 当安全穿越服务器完成接入点及业务通道的虛拟化创建后,安全穿 越服务器可以根据运营商关联虚拟接入点和业务通道,并返回创建的网络穿越隧 道资源的信息给资源管理中心, 其中, 所述网絡穿越隧道资源的信息包括虚拟接 入点信息和业务通道信息, 具体的, 虛拟接入点的信息可以包括: 虚拟接入点的 地址、 虚拟接入点的租户信息、 协议类型、 隧道编号信息等, 所述业务通道信息 包括: 业务通道地址以及核心网中提供业务的网段等信息, 其中, 所述虚拟接入 点的租户信息,可以包括所述虚拟接入点所属的运营商、 以及该租户的编号等信 息。。 可以理解的是, 安全穿越服务器可以将所述网络穿越隧道资源的信息以信 息列表的方式返回给资源管理中心。
步驟 215, 向所述运营商管理服务器发送所述网络穿越隧道资源的信息, 使 所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提 供网络穿越服务。
可以理解的是,资源管理中心可以将所述网络穿越隧道资源的信息以信息列 表的方式发送给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入 点信息和业务通道信息向终端提供网络穿越服务。
本发明实施例提供的一种实现网络穿越服务提供方法,根据接收的网络穿越 隧道资源租用请求指示安全穿越服务器创建运营商所需的虚拟接入点和业务通 道,并将创建的网络穿越隧道资源信息返回给运营商管理服务器,使运营商管理 服务器能够根据所述虛拟接入点信息和业务通道信息向终端提供网络穿越服务。 从而提供了一种安全穿越即服务 ( Secur i ty Traver s e a s a Serv ice , STaaS ) 的运营模式,使得网络穿越隧道资源能够得到统一的管理和维护, 解决了由于安 全穿越网关集中部署于运营商核心网所带来的网络扩展性差的技术问题,提升了 运营商网络的可扩展性, 且降低了运营商的运营成本。 而且进一步地, 还可以提 高网络穿越的可靠性
图 3为本发明实施例提供的叉一种网络穿越服务提供方法的信令图。 如图 3 所示, 该方法包括:
步骤 300 , 运营商管理服务器向资源管理中心发送网络穿越隧道资源租用请 求, 其中, 所述租用请求中携带有所述运营商的标识、待租用的虚拟接入点的数 量以及每个虛拟接入点承载的用户数量, 进入步骤 305 ;
其中, 运营商标识是用于使资源管理中心识别运营商的租用请求, 例如, 是 移动的管理服务器还是联通的管理服务器发出的租用请求。为了满足业务流量的 需求,运营商可以根据本网絡的用户数量及接入需求等业务需求确定需要租用的 网络穿越隧道资源,其中,网絡穿越隧道资源包括虚拟接入点和业务通道。因此, 在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及 每个虚拟接入点承栽的用户数量, 例如, 运营商 A要租用 10个虚拟接入点, 且 每个虚拟接入点能够同时承载 1000个用户的接入需求。 可以理解的是, 由于业 务通道是与虚拟接入点对接的, 因此, 业务通道的数量可以等于虚拟接入点的数 量。 当然, 可以理解的是, 所述租用请求中还可以包括所述运营商的认证证书等 其他信息, 在此不做限定。
步骤 305 , 资源管理中心根据所述租用请求向安全穿越服务器发送网络穿越 隧道资源创建指令,所述创建指令中携带有所述虚拟接入点数量以及所述用户数 量;
具体的,当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租 用请求后,资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网 络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虛拟接入 点的数量以及每个虛拟接入点承载的用户数量创建网络穿越隧道资源,可以理解 的是, 所述资源创建指令中也携带有所述运营商的标识、所述虚拟接入点的数量 以及所述用户数量。 其中, 网络穿越隧道资源包括与终端对接的虚拟接入点以及 与运营商核心网对接的业务通道。
在一种情形下, 当网络中具有多个安全穿越服务器时, 资源管理中心可以根 据所述租用请求中的虛拟接入点数量以及需承载的总用户数量检查其所管理的 安全穿越服务器中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及 负载均衡的原理选择部署于运营商网络中的空闲资源最多的安全穿越服务器进 行网络穿越隧道资源的创建。
步驟 310, 安全穿越服务器根据所述网络穿越隧道资源创建指令创建网络穿 越隧道资源;
具体的,安全穿越服务器根据所述网络穿越隧道资源创建指令釆用虚拟化技 术创建满足租用需求的虚拟接入点和与虛拟接入点对接的业务通道,例如可以通 过虛拟化进行虚拟接入点资源的分配、 IP地址或域名的配置及其他参数的配置, 使创建的每个虚拟接入点具有安全穿越网关的功能,能够与终端之间建立虚拟专 用网(Virtual Private Network, VPN)隧道,为终端提供超文本传输协议( Hyper Text Transfer Protocol, HTTP )、 安全套接字层( Secure Socket Layer, SSL), 互联网安全协议( Internet Protocol Security, IPSec ), 基于数据报协议的传 输层安全协议 (Datagram Transport Layer Security, DTLS )或用户数据报协 iSL (User Datagram Protocol , UDP ) 等 VPN安全隧道的接入能力。 具体的, 虚 拟接入点可以通过与终端之间建立的 HTTP隧道、 SSL隧道、 IPSec隧道、 DTLS 隧道或 UDP隧道等 VPN隧道接收终端发送的隧道报文,并将接收的隧道报文解密、 解封装后发送给运营商核心网的服务器,并将运营商核心网的服务器返回的响应 报文封装后通过 VPN隧道发送给终端。具体的,虚拟接入点与运营商核心网的服 务器之间可以通过与虚拟接入点对接的业务通道传输报文,即虚拟接入点可以根 据与其对接的业务通道的地址与运营商核心网进行通信, 需要说明的是, 业务通 道的地址就是所述运营商核心网的入口地址。
需要说明的是, 当安全穿越服务器采用虚拟化技术创建虚拟接入点后,虛拟 接入点与安全穿越服务器硬件设备的关系可以是一对一、一对多、 多对一以及多 对多的对应关系。 其中, 一对一的对应关系属于基本的网络穿越服务部署场景。 一对多的对应关系则是通过一台硬件设备做分流,代理同一个接入点的其他安全 穿越服务器, 使在逻辑上保证多台安全穿越服务器对外提供同一个接入点服务。 多对一是指在一台安全穿越服务器上启动多个虚拟接入点服务,同时不同的虚拟 接入点具备租户属性、各自独立的认证授权系统、核心网资源以及各自独立的可 重叠的网络、 路由表和虚拟防火墙。
步骤 315 , 安全穿越服务器向资源管理中心返回所述创建的网络穿越隧道资 源的信息;
具体的,当接收到网络穿越隧道资源创建指令的安全穿越服务器根据所述虚 拟接入点的数量以及所述用户数量为所述运营商创建了网络穿越隧道资源后,该 安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营商标识关联 虛拟接入点和业务通道,并向资源管理中心返回创建的网络穿越隧道资源的信息 , 其中, 所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息。具体 的, 网络穿越隧道资源的信息包括但不限于运营商标识、 虛拟接入点的地址、 业 务通道的地址、核心网中提供业务的网段和隧道编号, 其中, 虚拟接入点的地址 可以是 IP地址也可以是域名 , 例如: 10. 10. 10. 10或 c l oud, com, 与虚拟接入点 对接的业务通道的地址也就是所述运营商核心网地址,从而终端通过虚拟接入点 接入运营商网络后可以通过所述业务通道的地址访问核心网, 可以理解的是, 业 务通道的地址也可以用 IP地址或用域名来表示,例如: 200. 1. 1. 1或 cmcc. com。 此外, 网络穿越隧道资源的信息还可以包括: 协议类型、 租户编号等信息。 可以 理解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方 式返回给资源管理中心, 例如如下表一所示:
运 营 商 租户 虚拟接入点地 业务通道地 协 议 隧道 网段
标识 编号 址 址 类型 编号
移动 01 10. 10. 10. 10 100. 1. 1. 10 HTTP M01
移动 01 10. 10. 10. 11 100. 1. 1. 10 DTLS M02 200. 1. 1. 30 移动 01 10. 10. 10. 12 100. 1. 1. 10 UDP M03 200. 1. 1. 40 联通 02 10. 10. 10. 15 200. 1. 1. 10 SSL M05 192. 168. 1. 1 0
联通 02 c l oud, com IPSec M06
步骤 320 , 资源管理中心将所述网络穿越隧道资源的信息发送给运营商管理 服务器。
具体的,当资源管理中心获得为所述运营商创建的网络穿越隧道资源的信息 后,资源管理中心会向所述运营商管理服务器发送为其创建的所述网络穿越隧道 资源的信息,其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道 信息, 还可以包括: 协议类型、 租户编号、 隧道编号以及核心网中提供业务的网 段等信息。 当然可以理解的是, 资源管理中心可以将所述网络穿越隧道资源的信 息以表一所示信息列表的方式返回给所述运营商管理服务器, 在此不再赘述。
步骤 325 , 资源管理中心向部署于所述运营商网络中的安全穿越服务器广播 所述运营商租用的网络穿越隧道资源的信息。
具体的, 当网络中部署有多个安全穿越服务器时, 当在步驟 315中, 接收到 网络穿越隧道资源创建指令的安全穿越服务器向所述资源管理中心返回创建的 网络穿越隧道资源后,在本步驟中, 资源管理中心可以对所述运营商租用的网络 穿越隧道资源进行管理,并通过广播等方法将所述运营商租用的网络穿越隧道资 源的信息发送给部署于所述运营商网络中的安全穿越服务器,以使所有部署于运 营商网絡中的安全穿越服务器都能够为终端提供网络穿越服务。其中可以理解的 是, 步骤 320和步骤 325没有执行顺序的先后之分。
本发明实施例提供的一种实现网络穿越服务提供方法,通过资源管理中心接 收运营商管理服务器发送的网络穿越隧道资源租用请求, 通过部署于运营商 IDC 中心的空闲资源最多的安全穿越服务器创建相应的虚拟接入点和业务通道,并向 所有部署于所述运营商网络中的安全穿越服务器发送所述网络穿越隧道资源的 信息,从而可以通过部署于运营商网络中的多个安全穿越服务器向终端提供多方 位的接入服务, 并且网络穿越隧道资源能够得到统一的管理和维护,提升了运营 商网络的可扩展性以及网络穿越的可靠性, 且降低了运营商的运营成本。
在一种情形下, 上述实施例中, 所述资源管理中心还可以接收安全穿越服务 器发送的所述虚拟接入点的资源使用情况信息,并根据安全穿越服务器的负栽情 况进行负载均衡。 图 4为本发明实施例提供的叉一种网络穿越服务提供方法的流程图 ,本实施 例所述方法可以由图 1中的安全穿越服务器来执行, 本实施例从安全穿越服务器 的角度描述如何根据资源管理中心的网络资源创建指令为运营商创建网络穿越 隧道资源, 为终端提供网络穿越服务, 具体的, 如图 4所示, 该方法可以包括: 步驟 400, 接收资源管理中心发送的网络穿越隧道资源创建指令, 所述资源 创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入 点能够承栽的用户数量, 进入步驟 405 ;
可选地, 还可以携有运营商标识, 其中, 所述运营商标识用于识別运营商。 当安全穿越服务器接收到所述网络穿越隧道资源创建指令后,可以根据所述要创 建的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量为所述运 营商创建网络穿越隧道资源, 其中, 网络穿越隧道资源包括与终端对接的虚拟接 入点以及与运营商核心网对接的业务通道。
步骤 405 , 根据接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数 量和所述每个虚拟接入点能够承栽的用户数量创建满足所述运营商租用需求的 网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入 点对接的业务通道, 进入步驟 410;
具体的,安全穿越服务器根据所述网络穿越隧道资源创建指令采用虚拟化技 术创建满足租用需求的虚拟接入点和与虛拟接入点对接的业务通道,例如可以通 过虚拟化进行虚拟接入点资源的分配、 I P地址或域名的配置及其他参数的配置, 使创建的每个虚拟接入点具有安全穿越网关的功能, 能够与终端之间建立 VPN隧 道, 为终端提供 HTTP、 SSL, IPSec、 DTLS或 UDP等 VPN安全隧道的接入能力。 具体 的,虛拟接入点可以通过与终端之间建立的 HTTP隧道、 SSL隧道、 I PSec隧道、 DTLS 隧道或 UDP隧道等 VPN隧道接收终端发送的隧道报文, 并将接收的隧道报文解密、 解封装后发送给运营商核心网的服务器,并将运营商核心网的服务器返回的响应 报文封装后通过 YPN隧道发送给终端。 具体的, 虚拟接入点与运营商核心网的服 务器之间可以通过与虛拟接入点对接的业务通道传输报文,即虚拟接入点可以根 据与其对接的业务通道的地址与运营商核心网进行通信, 需要说明的是, 业务通 道的地址就是所述运营商核心网的入口地址。
步骤 410 , 向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。 具体的,安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营 商标识关联虚拟接入点和业务通道,并向资源管理中心返回创建的网络穿越隧道 资源的信息, 其中, 所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通 道信息。 具体的, 网络穿越隧道资源的信息包括但不限于运营商标识、 虚拟接入 点的地址、 核心网中提供业务的网段和隧道编号, 其中, 虛拟接入点的地址可以 是 IP地址也可以是域名, 例如: 10. 10. 10. 10或 c l oud, com, 与虚拟接入点对接 的业务通道的地址也就是所述运营商核心网地址,从而终端通过虚拟接入点接入 运营商网络后可以通过所述业务通道的地址访问核心网, 可以理解的是, 业务通 道的地址也可以用 IP地址或用域名来表示, 例如: 200. 1. 1. 1或 cmcc. com. 此 外, 网络穿越隧道资源的信息还可以包括: 协议类型、 租户编号等信息。 可以理 解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式 返回给资源管理中心, 在此不做限定。
本发明实施例提供的创建网络穿越隧道资源的方法是从安全穿越服务器一 側的角度来描述,具体的实现细节可以参见从资源管理中心角度描述的图 2与图 3实施例中对应过程的描述, 此处不再赘述。
本发明实施例提供的创建网络穿越隧道资源的方法,可以根据资源管理中心 发送的网络穿越隧道资源创建指令为运营商创建满足运营商租用需求的网络穿 越隧道资源,以使运营商能够根据租用的网络穿越隧道资源向终端提供网络穿越 服务,提升了运营商网络的可扩展性以及网络穿越的可靠性,且降低了运营商的 运营成本。 图 5为本发明实施例提供的又一种网络穿越服务提供方法的流程图,本实施 例所述方法也可以由图 1中的安全穿越服务器来执行,本实施例从安全穿越服务 器的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务,如图 5所示, 该方法包括:
步驟 500 , 接收来自终端的网络穿越隧道注册请求, 所述网络穿越隧道注册 请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以 及所述运营商的核心网地址, 进入步骤 505 ;
本步骤中, 仍以终端 110为例, 终端 110为了穿越 In t erne t访问运营商的 核心网, 可以直接向网络穿越服务云发送网络穿越隧道注册请求, 具体为终端 110向安全穿越服务器 123发送网络穿越隧道注册请求, 该网络穿越隧道注册请 求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及 所述运营商的核心网地址,其中, 所述第一虚拟接入点是所述终端任意选择的一 个虚拟接入点, 例如虚拟接入点 120。
此外, 所述网络穿越隧道注册奇求中还可以包括租户信息、 用户名、 密码、 终端类型信息, 其中, 终端类型信息包括移动终端型号、 操作系统版本、 浏览器 版本等信息, 以便于安全穿越服务器对所述终端进行接入认证。
步骤 505 , 判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端 选择的虚拟接入点, 如果所述第一虚拟接入点不是选择的虛拟接入点, 则进入步 骤 510 , 否则, 进入步骤 520;
具体的,安全穿越服务器可以根据所述网络穿越隧道注册请求中的第一虛拟 接入点信息判断所述第一虚拟接入点是否是安全穿越服务器为所述终端选择的 较佳的虚拟接入点, 具体的,安全穿越服务器可以根据设置的记录表判断所述第 一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点,所述记录表 中记录有虚拟接入点的使用情况。 如果不是, 则说明所述终端为第一次接入, 所 述第一虚拟接入点是所述终端任意选择的虚拟接入点,而可能并不是安全穿越服 务器为所述终端选择的最佳的虚拟接入点。此外,安全穿越服务器还可以根据所 述第一虚拟接入点的接入位置、负载量或探测响应情况判断所述第一虚拟接入点 是否为所述安全穿越服务器为所述终端选择的最佳的虚拟接入点。如果不是, 则 进入步骤 510, 否则进入步骤 520。
可以理解的是,在一种情形下,如果所述终端所属的运营商租用了多个虛拟 接入点,则需要判断所述网络穿越隧道注册请求中的第一虛拟接入点是否是安全 穿越服务器为所述终端选择的较佳的虛拟接入点,并在所述第一虚拟接入点不是 选择的虚拟接入点时,进入步骤 51 0为所述终端选择虚拟接入点。在另一种情形 下,如果所述终端处于漫游状态, 所述网络穿越隧道注册请求中的第一虚拟接入 点并不是所述终端所属的运营商租用的虚拟接入点,则需要进入步骤 510由安全 穿越服务器为所述终端重新选择虚拟接入点。在另一种情形下, 如果所述运营商 只租用了一个虚拟接入点且所述终端并未处于漫游状态,所述运营商的终端均只 能根据其租用的这一个虚拟接入点进行接入,则所述第一虛拟接入点就是选择的 接入点, 此时, 可以进入步骤 520
步驟 510 , 根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中 为所述终端选择第二虛拟接入点, 进入步驟 515 ;
本步骤中,安全穿越服务器可以根据所述租用请求中的运营商的标识查找所 述运营商租用的网络穿越隧道资源的信息,为所述终端选择虎拟接入点,具体的, 网络穿越隧道资源的信息包括: 虚拟接入点的租户信息、虚拟接入点的用户负载 量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的 信息选择最佳的虚拟接入点, 具体的,在选择最佳的虚拟接入点时可以根据网络 穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟 接入点作为最佳的虛拟接入点。 当然, 当所述安全穿越服务器为所述终端选择了 虛拟接入点后, 会记录下相关的信息, 或打上相应的标识, 以便下一次接收到所 述终端的网络穿越隧道注册请求时可以快速判断出所述终端中的第一虚拟接入 点是否为选择的虚拟接入点。
步驟 515, 向所述终端返回网络穿越隧道注册成功消息, 所述网络穿越隧道 注册成功消息中包含有第二虚拟接入点信息,使所述终端根据与所述第二虚拟接 入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心 网;
具体的, 在一种情况下, 当安全穿越服务器对所述终端认证通过后, 安全穿 越服务器可以直接向终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注 册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二 虛拟接入点信息, 完成终端与第二虚拟接入点之间网络穿越隧道的协商,使所述 终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商 的核心网地址访问所述运营商的核心网,具体的, 第二虚拟接入点可以通过与终 端之间建立的安全穿越网络穿越隧道接收所述终端发送的报文,并将所述报文解 封装后发送给运营商核心网;接收运营商核心网返回的响应报文, 将所述响应报 文封装后通过所述网络穿越隧道发送给终端。其中, 所述终端可以通过第二虛拟 接入点为其分配的虛拟 IP与所述运营商核心网通信, 具体的, 被封装的报文中 包含有所述第二虚拟接入点为所述终端分配的虚拟 IP地址以及所述运营商核心 网的地址, 封装的外层报文中包含有所述终端的 IP地址以及所述第二虚拟接入 点的 IP地址。 需要说明的是, 第二虚拟接入点与所述终端之间建立的网络穿越 隧道可以是 HTTP、 SSL、 IPSec、 DTLS或 UDP等类型的 VPN安全隧道, 在此不再 ——歹'】举„
在另一种情况下,安全穿越服务器可以向所述终端返回注册失败消息, 其中 注册失败消息中包含有为所述终端选择的第二虛拟接入点信息,使所述终端能够 根据所述第二虚拟接入点信息重新发起网络穿越隧道注册请求。
步驟 520 , 向所述终端返回网络穿越隧道注册成功消息, 使所述终端根据与 所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所 述运营商的核心网。
在所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入的情 形下, 当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道 注册成功消息,完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商, 使所述终端能够通过与所述第一虚拟接入点建立的网络穿越隧道以及所述运营 商的核心网地址访问所述运营商的核心网。具体的,该网络穿越隧道注册成功消 息中包含有注册结果, 此外还可以包括虚拟互联网协议 IP地址及掩码、 保持连 接报文发送周期和访问策略等信息。其中,安全隧道类型可以包括: HTTP、 SSL、 DTLS . UDP, UDPS等类型的 VPN安全隧道, 在此不 列举。
本发明实施例提供的网络穿越服务提供方法,通过部署在运营商网络中的安 全穿越服务器根据所述运营商租用的网络穿越隧道资源信息为所述运营商的终 端选择虚拟接入点,并在向终端返回的网络穿越隧道注册成功消息中直接向终端 返回为所述终端选择的第二虚拟接入点信息,使得所述终端无需再根据选择的第 二虚拟接入点信息再次发起网络穿越隧道注册请求,提高了终端接入的效率。 并 且, 由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点, 不同的终端可能 通过选择的不同的虛拟接入点实现网络穿越,减轻了穿越网关的负担,提升了网 络穿越的可靠性。 此外, 由于虚拟接入点是所述运营商租用的, 运营商可以根据 业务需求租用多个虛拟接入点, 降低了运营商的运营成本。 图 6为本发明实施例提供的又一种网络穿越服务提供方法流程图,本实施例 所述方法也可以由图 1中的安全穿越服务器来执行,本实施例从安全穿越服务器 的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务, 如图 6 所示, 该方法包括:
步骤 600 , 接收来自终端的接入点查询请求, 所述查询请求中携带有所述终 端所属的运营商的标识;
本步驟中, 以图 1中的终端 110为例, 终端 110要穿越 Internet网络访问 第三网络或第四网络,其中,第三网络或第四网络为某个运营商的核心网,此时, 终端 110需要向网络穿越服务云发送接入点查询请求,用来查询接入运营商网络 的接入点, 具体的, 终端 110可以向部署于所述运营商网络中的安全穿越服务器 123发送接入点查询请求, 其中, 所述网络穿越隧道注册请求中指明了终端所属 的运营商的标识。
在一种情形下, 如果所述运营商只租用了一个虚拟接入点, 则所述运营商网 络中的终端可以直接与所述运营商租用的一个虚拟接入点建立隧道,并通过该隧 道接入所述运营商的核心网, 而无须进行查询虚拟接入点的步骤。 然而, 在实际 应用中, 一个虚拟接入点远远不能满足用户的接入需求, 因此, 运营商通常会根 据网络中的用户量向 STaaS服务提供商租用多个虚拟接入点。此时, 为了能够向 用户提供更好的服务,用户可以发起一个虚拟接入点的查询请求来查询较佳的虚 拟接入点。具体的, 所述查询请求中还可以包括所述用户的初始接入点以及要访 问的运营商的核心网的地址。
步驟 605,根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中 选择虚拟接入点;
本步驟中, 安全穿越服务器可以根据所述租用请求中的运营商的标识查找 所述运营商租用的网络穿越隧道资源的信息, 为所述终端选择虚拟接入点, 具体 的,可以根据网络穿越隧道资源的信息中的虚拟接入点的信息为所述终端选择虚 拟接入点, 其中, 虚拟接入点的信息具体可以包括: 虚拟接入点的租户信息、 虚 拟接入点的用户负载量和虚拟接入点的接入区域。优选的, 可以根据查询菽得的 网络穿越隧道资源的信息选择负载量最小或接入位置最近或探测响应最快的虚 拟接入点。 例如, 本实施例中, 以选择第一虚拟接入点 12 0为例进行说明。 可以 理解的是, 当所述安全穿越服务器为所述终端选择了虚拟接入点后,会记录下相 关的信息, 或打上相应的标识。
步驟 610 , 向所述终端返回查询响应消息, 所述查询响应消息中包含有选择 的虚拟接入点的信息;
具体的, 当安全穿越服务器根据所述运营商标识在所述运营商租用的网络 穿越隧道资源中为所述终端选择了虚拟接入点后,可以向所述终端返回查询响应 消息, 其中, 查询响应消息中包含有选择的虚拟接入点的信息。
步驟 615 , 接收来自终端的网络穿越隧道注册请求, 所述网络穿越隧道注册 请求中包含有所述选择的虛拟接入点信息和所述运营商的核心网地址;
当终端接收到安全穿越服务器返回的选择的虚拟接入点的信息后, 可以向 所述虚拟接入点发起网络穿越隧道注册请求,由于安全穿越服务器是虚拟接入点 的集合, 因此,安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点发 起的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虛 拟接入点信息和所述运营商的核心网地址。此外, 网络穿越隧道注册请求中还可 以包括租户信息、 用户名、 密码、 终端类型信息, 其中, 终端类型信息包括移动 终端型号、 操作系统版本、 浏览器版本等信息, 以便于安全穿越服务器对所述终 端进行接入认证。
需要说明的是, 在一种情形下, 当运营商只租用了一个虚拟接入点时, 则该 虛拟接入点就是运营商选择的接入点,所述运营商网络中的终端可以直接向该虚 拟接入点发起网络穿越隧道注册请求。
步驟 620 , 向所述终端返回网络穿越隧道注册成功消息, 使所述终端根据所 述运营商的核心网地址以及与所述虛拟接入点建立的网络穿越隧道访问所述运 营商的核心网。
当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道注 册成功消息, 完成网絡穿越隧道的协商。该网络穿越隧道注册成功消息中包含有 注册结果, 此外还可以包括虚拟互联网协议 IP地址及掩码、 保持连接报文发送 周期和访问策略等信息。其中,安全隧道类型可以包括: HTTP、 SSL、 DTLS . UDP、
UDPS等类型的 VPN安全隧道, 在此不 列举。
需要说明的是, 在上述图 5和图 6所示的实施例中, 还可以包括统计安全穿 越服务器创建的虚拟接入点的资源使用情况,并将其创建的虚拟接入点的资源使 用情况发送给资源管理中心, 以便对其创建的虚拟接入点进行管理, 具体的, 所 述对虚拟接入点进行管理包括根据虚拟接入点的资源负载情况对虚拟接入点进 行负载均衡。
本发明实施例所述网络穿越服务提供方法,通过部署在运营商网络中的安全 穿越服务器接收来自终端的接入点查询请求,在运营商租用的网络穿越隧道资源 信息中为所述终端选择虎拟接入点,将选择的處拟接入点的接入信息发送给所述 终端,以使所述终端根据所述选择的虚拟接入点的接入信息与所述选择的虚拟接 入点建立网络穿越隧道,从而能够根据建立的网络穿越隧道访问所述运营商的核 心网,实现网络穿越。由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点, 不同的终端可能通过选择的不同的虚拟接入点实现网络穿越,减轻了穿越网关的 负担, 提升了网络穿越的可靠性。 并且, 由于虚拟接入点是所述运营商租用的, 运营商可以根据业务需求租用多个虚拟接入点,因此不仅降低了运营商的运营成 本,也使运营商能够根据租用的多个虚拟接入点为终端提供更好的网络穿越服务, 提升了网络穿越的可靠性。
需要说明的是, 上述图 4、 图 5及图 6所示的实施例都可以由安全穿越服务 器来执行, 上述三个实施例可以由安全穿越服务器分别执行, 也可以组合执行。 图 7为本发明实施例提供的一种资源管理中心的物理结构示意图,该资源管 理中心可以是一台服务器、计算机或具有计算处理能力的计算节点, 只要能够实 现网络隧道资源的统一管理即可, 在此并不做特别限定。 如图 7所示, 所述资源 管理中心 70包括:
处理器(proces s or) 710, (Communica t i ons Interface) 720 , 存储 器(memory) 730, 通信总线 740。
处理器 710、 通信接口 720以及存储器 730通过通信总线 740完成相互间的 通信。
通信接口 720, 用于与网元通信, 比如运营商管理服务器或安全穿越服务器 等。
处理器 710, 用于执行程序 732 , 具体可以执行上述图 2至图 3所示的方法 实施例中的相关步骤。
具体地, 程序 732可以包括程序代码, 所述程序代码包括计算机操作指令。 处理器 710 可能是一个中央处理器 CPU , 或者是特定集成电路 ASIC ( Appl ica t ion Specif i c Integra ted C i rcu i t ), 或者是被配置成实施本发明实 施例的一个或多个集成电路。
存储器 730, 用于存放程序 732。 存储器 730可能包含高速 RAM存储器, 也 可能还包括非易失性存储器(non- vo la t i le memory ),例如至少一个磁盘存储器。
程序 732中各功能模块的具体实现可以参见下述图 8所示实施例中的相应模 块, 在此不再赘述。 图 8为本发明实施例提供的一种资源管理中心的结枸示意图, 如图 8所示, 所述资源管理中心 80包括:
接收模块 800, 用于接收运营商管理服务器发送的网络穿越隧道资源租用请 求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载 的用户数量;
具体的, 为了满足业务流量的需求,运营商可以根据本网络的用户数量及接 入需求确定需要租用的网络穿越隧道资源, 因此,在所述网络穿越隧道资源租用 请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数 量, 例如, 运营商 A要租用 10个虚拟接入点, 且每个虚拟接入点能够同时承栽 1000 个用户的接入需求。 当然, 可以理解的是, 在所述租用请求中还可以携带 所述运营商的标识,以使资源管理中心能够识别是哪一个运营商需要租用网络穿 越隧道资源。
可以理解的是,在另一种情况下, 网络穿越隧道资源租用请求中可以只携带 有待承载的总用户数量,由资源管理中心根据所述总用户数量为所述运营商确定 所需租用的虛拟接入点数量以及每个虛拟接入点所承载的用户数量。 发送模块 805, 用于根据所述接收模块 800接收的所述租用请求向安全穿越 服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含 有所述虚拟接入点的数量以及所述用户数量;
具体的, 当接收模块 S 00接收到运营商管理服务器发送的网络穿越隧道资源 租用请求后, 发送模块 S05可以根据所述租用请求向管理的安全穿越服务器发送 网络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虚拟接 入点的数量以及每个虚拟接入点承载的用户数量创建网络穿越隧道资源, 其中, 网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业 务通道。
当网络中具有多个安全穿越服务器时, 发送模块 805可以根据所述租用请求 中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器 中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理 选择部署于运营商网络中的且空闲资源最多的安全穿越服务器进行网络穿越隧 道资源的创建。
接收模块 800, 还用于接收所述安全穿越服务器根据所述网络穿越隧道资源 创建指令中的所述虛拟接入点的数量以及所述用户数量创建的网络穿越隧道资 源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信 息;
具体的, 当安全穿越服务器完成接入点及业务通道的虛拟化创建后,安全穿 越服务器可以根据运营商关联虚拟接入点和业务通道,并返回创建的网络穿越隧 道资源的信息给接收模块 800 , 其中, 所述网络穿越隧道资源的信息包括虚拟接 入点信息和业务通道信息,具体的, 网络穿越隧道资源的信息包括但不限于运营 商标识、 虚拟接入点的地址、 业务通道的地址、 提供业务的网段和租户编号。 其 中, 虚拟接入点的地址可以是 IP 地址也可以是域名, 例如: 10. 10. 10. 10 或 cloud, com,与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址, 从而可以使通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访 问核心网, 可以理解的是, 业务通道的地址也可以用 IP地址或用域名来表示, 例如: 200. 1. 1. 1或 cmcc. com。 此外, 网络穿越隧道资源的信息还可以包括: 协 议类型、 隧道编号等信息。 可以理解的是, 安全穿越服务器可以将所述网络穿越 隧道资源的信息以信息列表的方式返回给接收模块 800。
发送模块 805 , 还用于向所述运营商管理服务器发送所述网络穿越隧道资源 的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息 向终端提供网络穿越服务。
可以理解的是,发送模块 805可以将所述网络穿越隧道资源的信息以信息列 表的方式发送给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入 点信息和业务通道信息向终端提供网络穿越服务。
此外, 在一种情形下, 本发明实施例提供的资源管理中心 80还可以包括: 资源管理模块 810 , 用于对网络穿越隧道资源进行管理和维护。
资源管理模块 810 可以根据网络穿越隧道资源中的虚拟接入点的使用情况 对网络穿越隧道资源进行管理和维护, 具体的, 资源管理模块 810可以接收安全 穿越服务器发送的所述虚拟接入点的资源使用情况信息,并根据安全穿越服务器 的负栽情况进行负载均衡,还可以向部署于运营商网络中的安全穿越服务器广播 所述运营商租用的网络穿越隧道资源的信息,从而可以通过部署于运营商网络中 的多个安全穿越服务器向终端提供多方位的接入服务,并能均衡各接入点的负载 量。
广播模块 815, 用于将所述运营商租用的网络穿越隧道资源的信息发送给部 署于所述运营商网络中的安全穿越服务器。
当网络中部署有多个安全穿越服务器时,广播模块 815可以将所述运营商租 用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务 器,以使所有部署于运营商网络中的安全穿越服务器都能够为终端提供安全穿越 服务。
本发明实施例提供的一种资源管理中心,通过接收运营商管理服务器发送的 网络穿越隧道资源租用请求,指示部署于运营商网络中心的安全穿越服务器创建 相应的虚拟接入点和业务通道,并将创建的网络穿越隧道资源信息返回给运营商 管理服务器,使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息 向终端提供网络穿越服务。从而提供了一种安全穿越即服务(Secur i ty Traverse as a Serv ice , STaaS ) 的运营模式, 使得网络穿越隧道资源能够得到统一的管 理和维护,解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展 性差且无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题,提升 了运营商网络的可扩展性以及网络穿越的可靠性, 且降低了运营商的运营成本。 图 9为本发明实施例提供的一种安全穿越服务器的结构示意图,所述安全穿 越服务器可以部署于各运营商的网络中或部署于 STaaS 服务提供商自建的网络 中,该安全穿越服务器可以是一台服务器、计算机或具有计算处理能力的计算节 点, 在此并不做特别限定。 如图 9所示, 所述安全穿越服务器 90包括:
处理器(processor) 910, 通信接口(Communicat ions Interface) 920, 存储 器(memory) 930, 通信总线 940、 输入设备 950以及显示器 960。
处理器 910、 通信接口 920、 存储器 930、 输入设备 950以及显示器 960通 过通信总线 940完成相互间的通信。
通信接口 920, 用于与网元通信, 其中, 网元包括资源管理中心或终端等。 处理器 910, 用于执行操作系统 932以及应用程序 934, 包括执行上述图 4 至图 6所示的方法实施例中的相关步骤。
具体地, 程序 932可以包括程序代码, 所述程序代码包括计算机操作指令。 处理器 910 可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本发明实 施例的一个或多个集成电路。
存储器 930, 用于存放操作系统 932以及应用程序 934。 存储器 930可能包 含高速 RAM存储器, 也可能还包括非易失性存储器(non- volatile memory ), 例 如至少一个磁盘存储器。
操作系统 932可以是 Windows NT. Windows2007或其他一些 Window是版本 的操作系统, 也可以是 Macintosh OS等其他类型的操作系统。
应用程序 934中各功能模块的具体实现可以参见下述图 10至图 12所示实施 例中的相应模块, 在此不再赘述。 图 10 为本发明实施了提供的一种安全穿越服务器的结构示意图, 如图 10 所示, 本发明实施例所述安全穿越服务器包括:
接收模块 1000, 用于接收资源管理中心发送的网络穿越隧道资源创建指令, 所述网络穿越隧道资源创建指令中携带有运营商的标识、要创建的虚拟接入点的 数量以及所述每个虛拟接入点能够承载的用户数量。
隧道资源创建模块 1005,用于根据接收模块 1000接收的网络穿越隧道资源创 建指令中的所述虚拟接入点的数量和所述用户数量创建满足所述运营商租用需 求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虛拟接入以及与虚拟接 入点对接的业务通道。
具体的,隧道资源创建模块 1005可以根据所述网络穿越隧道资源创建指令采 用虚拟化技术创建满足租用需求的虚拟接入点和与虚拟接入点对接的业务通道, 例如可以通过虚拟化进行虚拟接入点资源的分配、 IP地址或域名的配置及其他参 数的配置,使创建的每个虚拟接入点具有安全穿越网关的功能, 能够与终端之间 建立虚拟专用网 (Virtual Private Network, VPN) 隧道, 为终端提供超文本传 输协议(Hyper Te t Transfer Protocol, HTTP )、 安全套接字层 ( Secure Socket Layer, SSL), 互联网安全十办议( Internet Protocol Security, IPSec)、 基于 数据报协议的传输层安全协议 ( Datagram Transport Layer Security, DTLS ) 或用户数据报协议 (User Datagram Protocol, UDP)等 VPN安全隧道的接入能 力。虚拟接入点与运营商核心网的服务器之间可以通过与虛拟接入点对接的业务 通道传输报文,即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心 网进行通信,需要说明的是,业务通道的地址就是所述运营商核心网的入口地址。
需要说明的是, 当安全穿越服务器中的隧道资源创建模块 1005釆用虚拟化 技术创建虚拟接入点后,虚拟接入点与安全穿越服务器的关系可以是一对一、一 对多、 多对一以及多对多的对应关系。 其中, 一对一的对应关系属于基本的网络 穿越服务部署场景。一对多的对应关系则是通过一台硬件设备做分流,代理同一 个接入点的其他安全穿越服务器,使在逻辑上保证多台安全穿越服务器对外提供 同一个接入点服务。多对一是指在一台安全穿越服务器上启动多个虚拟接入点服 务, 同时不同的虚拟接入点具备租户属性、 各自独立的认证授权系统、 核心网资 源以及各自独立的可重叠的网络、 路由表和虚拟防火墙。
可以理解的是, 当所述隧道资源创建模块 1005根据所述网络穿越隧道资源 创建指令为所述运营商创建了网络穿越隧道资源后,可以根据所述运营商的标识 关联创建的虛拟接入点和业务通道。 隧道资源发送模块 1010 , 用于向所述资源管理中心返回隧道资源创建模块 1005创建的所述网络穿越隧道资源的信息。
其中, 所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。 具体的,网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、 网段和隧道编号,其中,虚拟接入点的地址可以是 IP地址也可以是域名,例如: 10. 10. 10. 10或 cloud, com, 业务通道的地址也可以用 IP地址或用域名来表示, 例如: 200. 1. 1. 1或 cmcc. com。 此外, 网络穿越隧道资源的信息还可以包括: 协 议类型、 租户编号、 隧道编号以及核心网中提供业务的网段等信息。 可以理解的 是, 隧道资源发送模块 1010可以将所述网络穿越隧道资源的信息以信息列表的 方式返回给资源管理中心, 在此不^:限定。
本发明实施例所述的安全穿越服务器能够根据资源管理中心发送的网络隧 道资源创建指令为运营商创建网络穿越隧道资源,以使运营商能够根据租用的网 络穿越隧道资源向终端提供网络穿越服务,提升了运营商网络的可扩展性以及网 络穿越的可靠性, 且降低了运营商的运营成本。 图 11为本发明实施例提供的又一种安全穿越服务器的结构示意图, 如图 11 所示, 该安全穿越服务器 110在图 10所示的实施例的基础上:
所述接收模块 1000, 还用于接收来自终端的网络穿越隧道注册请求, 所述 网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所 属运营商的标识以及所述运营商的核心网地址;
其中, 所述第一虚拟接入点是所述终端任意选择的一个虚拟接入点。 此外, 所述网络穿越隧道注册请求中还可以包括租户信息、 用户名、 密码、 终端类型信 息,其中,终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息, 以便于安全穿越服务器对所述终端进行接入认证。
所述安全穿越服务器 110还可以包括:
判断模块 1105, 用于判断所述第一虚拟接入点是否为所述安全穿越服务器 为所迷终端选择的虛拟接入点,如果所述第一虚拟接入点不是选择的虚拟接入点, 则触发第一选择模块 1110, 否则, 触发第一响应模块 1115
具体的, 判断模块 1105可以才艮据设置的记录表判断所述第一虚拟接入点是 否为安全穿越服务器为所述终端选择的虛拟接入点,所述记录表中记录有虚拟接 入点的使用情况。 如果不是, 则说明所述终端为第一次接入, 所述第一虚拟接入 点是所述终端任意选择的虚拟接入点并不是安全穿越服务器为所述终端选择的 最佳的虚拟接入点。此外, 安全穿越服务器还可以根据所述第一虚拟接入点的接 入位置、负载量或探测响应情况判断所述第一虚拟接入点是否为所述安全穿越服 务器为所述终端选择的最佳的虚拟接入点。如果不是,则触发第一选择模块 1110, 否则, 触发第一响应模块 1115。
第一选择模块 1110, 用于根据所述运营商的标识在所述运营商租用的网络 穿越隧道资源中为所述终端选择第二虚拟接入点, 触发第一响应模块 1115 ; 具体的, 网络穿越隧道资源的信息包括: 虚拟接入点的租户信息、 虚拟接入 点的用户负载量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿 越隧道资源的信息选择最佳的虚拟接入点, 具体的, 第一选择模块 1110在选择 最佳的虛拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接 入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。 当然,可以理 解的是, 当所述第一选择模块 1110为所述终端选择了虚拟接入点后, 会记录下 相关的信息, 或打上相应的标识, 以便下一次接收模块 1000接收到所述终端的 网络穿越隧道注册请求时, 判断模块 1105可以快速判断出所述终端中的第一虛 拟接入点是否为选择的虚拟接入点。
第一响应模块 1115, 用于向所述终端返回网络穿越隧道注册成功消息, 所 述网络穿越隧道注册成功消息中包含有第一选择模块 1110选择的第二虚拟接入 点信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运 营商的核心网地址访问所述运营商的核心网。
具体的, 在一种情况下, 当安全穿越服务器对所述终端认证通过后, 安全穿 越服务器可以直接向终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注 册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二 虚拟接入点信息, 完成终端与第二虚拟接入点之间网络穿越隧道的协商,使所述 终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商 的核心网地址访问所述运营商的核心网,具体的, 第二虚拟接入点可以通过与终 端之间建立的网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发 送给运营商核心网; 接收运营商核心网返回的响应报文, 将所述响应报文封装后 通过所述网络穿越隧道发送给终端。 其中,所述终端可以通过第二虚拟接入点为 其分配的虚拟 IP与所述运营商核心网通信, 具体的, 被封装的报文中包含有所 述第二虚拟接入点为所述终端分配的虛拟 IP地址以及所述运营商核心网的地址, 封装的外层报文中包含有所述终端的 IP地址以及所述第二虚拟接入点的 IP地址。 需要说明的是, 第二虛拟接入点与所述终端之间建立的网络穿越隧道可以是
HTTP. SSL. IPSec. DTLS或 UDP等类型的 VPN安全隧道, 在此不再 列举。
在另一种情况下,第一响应模块 1115 ,还用于向所述终端返回注册失败消息, 其中注册失败消息中包含有为所述终端选择的第二虚拟接入点信息,使所述终端 能够根据所述第二虛拟接入点信息重新发起网络穿越隧道注册请求。
在叉一种情形下, 当判断模块 1105的判断结果为所述第一虚拟接入点为安 全穿越服务器为所述终端选择的虚拟接入点时, 第一响应模块 1115 , 还用于向 所述终端返回网络穿越隧道注册成功消息,使所述终端根据与所述第一虚拟接入 点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
具体的, 当判断模块 1105的判断结果为所述第一虚拟接入点为安全穿越服 务器为所述终端选择的虚拟接入点的情形下,若安全穿越服务器对所述终端认证 通过, 第一响应模块 1115还可以向所述终端返回网络穿越隧道注册成功消息, 完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商,使所述终端能 够通过与所述第一虛拟接入点建立的网络穿越隧道以及所述运营商的核心网地 址访问所述运营商的核心网。具体的,该网络穿越隧道注册成功消息中包含有注 册结果, 此外还可以包括虚拟互联网协议 IP地址及掩码、 保持连接报文发送周 期和访问策略等信息。
本发明实施例提供的安全穿越服务器,根据所述运营商租用的网络穿越隧道 资源信息为所述运营商的终端选择虚拟接入点,并在向终端返回的网络穿越隧道 注册成功消息中直接向终端返回为所述终端选择的第二虚拟接入点信息,使得所 述终端无需再根据选择的第二虚拟接入点信息再次发起网络穿越隧道注册请求, 提高了终端接入的效率。 图 12为本发明实施例提供的又一种安全穿越服务器的结构示意图, 如图 12 所示, 该安全穿越服务器 120在图 10所示的实施例的基础上:
所述接收模块 1 000 , 还用于接收来自终端的接入点查询请求, 所述查询请 求中携带有所述终端所属的运营商的标识;
在一种情形下, 如果所述运营商只租用了一个虛拟接入点, 则所述运营商网 络中的终端可以直接与所述运营商租用的一个虚拟接入点建立网络穿越隧道,并 通过该网络穿越隧道接入所述运营商的核心网, 而无须发送接入点查询请求。 然 而, 在实际应用中, 一个虚拟接入点远远不能满足用户的接入需求, 因此, 运营 商通常会根据网络中的用户量向 STaaS服务提供商租用多个虚拟接入点。 此时, 为了能够向用户提供更好的服务,用户可以发起一个虚拟接入点的查询请求来查 询较佳的虚拟接入点。具体的, 所述查询请求中还可以包括所述用户的初始接入 点以及要访问的运营商的核心网的地址。
所述安全穿越服务器还可以包括:
第二选择模块 1205, 用于根据接收模块 1000接收的所述查询请求中的所述 运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商 租用的网络穿越隧道资源的信息, 为所述终端选择虚拟接入点, 具体的, 网络穿 越隧道资源的信息包括: 虚拟接入点的租户信息、虛拟接入点的用户负栽量和虚 拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的信息选 择最佳的虚拟接入点, 具体的, 第二选择模块 1205在选择最佳的虚拟接入点时 可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响 应最快的虚拟接入点作为最佳的虚拟接入点。 例如, 本实施例中, 以第一虚拟接 入点 120为最佳的虚拟接入点为例进行说明。可以理解的是, 当所述安全穿越服 务器为所述终端选择了虚拟接入点后,会记录下相关的信息,或打上相应的标识。
第二响应模块 1210 , 用于向所述终端返回查询响应消息, 所述查询响应消 息中包含有选择的虚拟接入点的信息;
当第二选择模块 1205根据所述运营商标识在所述运营商租用的网络穿越隧 道资源中为所述终端选择了虚拟接入点后, 可以向所述终端返回查询响应消息, 其中, 查询响应消息中包含有选择的虚拟接入点的信息。
所述接收模块 1 000, 还用于接收来自终端的网络穿越隧道注册请求, 所述 网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核 心网地址;
当终端接收到第二响应模块 1210返回的选择的虚拟接入点的信息后, 可以 向所述虚拟接入点发起网络穿越隧道注册请求,由于安全穿越服务器是虛拟接入 点的集合, 因此,安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点 发起的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的 虚拟接入点信息和所述运营商的核心网地址。此外, 网络穿越隧道注册诗求中还 可以包括租户信息、 用户名、 密码、 终端类型信息, 其中, 终端类型信息包括移 动终端型号、 操作系统版本、 浏览器版本等信息, 以便于安全穿越服务器对所述 终端进行接入认证。
第二响应模块 1210, 还用于向所述终端返回网络穿越隧道注册成功消息, 使所述终端才艮据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿 越隧道访问所述运营商的核心网。
当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道注 册成功消息, 完成网络穿越隧道的协商。该网络穿越隧道注册成功消息中包含有 注册结果, 此外还可以包括虚拟互联网协议 IP地址及掩码、 保持连接报文发送 周期和访问策略等信息。其中,安全隧道类型可以包括: 超文本传输协议( Hyper Text Transfer Protocol, HTTP ). 安全套接字层( Secure Socket Layer, SSL), 互联网安全协议( Internet Protocol Security, IPSec )、 基于数据报协议的传 输层安全协议 (Datagram Transport Layer Security, DTLS )或用户数据报协 议 ( User Datagram Protocol, UDP ) 等类型的虚拟专用网 (Virtual Private Network, VPN) 隧道, 在此不 列举。
本发明实施例所述安全穿越服务,接收来自终端的接入点查询请求,在运营 商租用的网络穿越隧道资源信息中为所述终端选择虚拟接入点,将选择的虚拟接 入点的接入信息发送给所述终端,以使所述终端根据所述选择的虚拟接入点的接 入信息与所述选择的虛拟接入点建立网络穿越隧道,从而能够根据建立的网络穿 越隧道访问所述运营商的核心网, 实现网络穿越。 由于虚拟接入点是通过服务器 选择之后的最佳虚拟接入点,不同的终端可能通过选择的不同的虚拟接入点实现 网絡穿越, 减轻了穿越网关的负担, 提升了网络穿越的可靠性。 需要说明的是, 上述图 10、 图 11及图 12所示的实施例可以结合使用, 也 可以单独使用, 在此不做限定。 可以理解的是, 当图 11和图 12所示的实施例结 合使用时, 第二选择模块 1205与第一 i 择模块 1110可以合并为一个模块, 第二 响应模块 1210与第一响应模块 1115也可以合并为一个模块。
如图 13所示, 图 1 3为本发明实施例提供的一种安全穿越即服务(Secure Traverse As A Service , STaaS ) 的网络系统图, 如图 13所示, 该网络系统 130 包括资源管理中心 1300、 安全穿越服务器 1305以及虎拟接入点 1310 , 其中, 安 全穿越服务器 1305可以有一个或多个, 虚拟接入点 1310也可以有一个或多个。 安全穿越服务器 1305为多个虚拟接入点 1310的集合,可以部署于运营商的互联 网数据中心 ( Int erne t Data Center , IDC ) 也可以部署于 S taaS提供商自建的 网络中。资源管理中心 1 300用于对所有安全穿越服务器 1305创建的网络穿越隧 道资源进行统一管理,具体的,安全穿越服务器 1305的数量可以根据服务区域、 用户数量等进行设定, 虚拟接入点 1310的数量可以根据运营商的租用请求来进 行创建。 其中:
资源管理中心 1 300, 用于接收运营商管理服务器发送的网络穿越隧道资源 租用请求,所述租用 ΐ青求中携带有待租用的虚拟接入点的数量以及每个虚拟接入 点承载的用户数量;根据所述租用请求向安全穿越服务器发送网络穿越隧道资源 创建指令;接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用户数 量创建的网络穿越隧道资源的信息;向所述运营商管理服务器发送所述网絡穿越 隧道资源的信息,其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务 通道信息;
安全穿越服务器 1 305, 用于根据资源管理中心 1 300发送的网络穿越隧道资 源创建指令进行网络穿越隧道资源的创建,并向资源管理中心 1 300返回创建的网 络穿越隧道资源的信息, 其中, 所述网络穿越隧道资源的信息包括虚拟接入点信 息和业务通道信息; 接收终端发送的接入点查询请求, 所述查询请求中携带有所 述终端所属的运营商的标识;根据所述运营商的标识在所述运营商租用的网络穿 越隧道资源中选择虛拟接入点; 向所述终端返回查询响应消息, 所述查询响应消 息中包含有选择的虚拟接入点的信息; 接收来自终端的网络穿越隧道注册请求, 所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商 的核心网地址; 向所述终端返回网络穿越隧道注册成功消息,使所述终端才艮据所 述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运 营商的核心网。
虚拟接入点 131 0 , 用于通过与终端之间建立的网络穿越隧道接收所述终端 发送的报文, 并将所述报文解封装后发送给运营商核心网; 接收运营商核心网返 回的响应报文, 将所述响应报文封装后通过所述网络穿越隧道发送给终端。
在本发明实施例中, STaaS提供商通过资源管理中心 1300向运营商提供网 络穿越服务资源的出租式服务, STaaS提供商承担网络穿越服务资源的管理运营, 运营商可以根据自己的实际需求,通过互联网向 STaaS提供商租用所需的网络穿 越隧道资源, 并按租用的服务的数量及使用时间向 STaaS提供商支付费用, 同时 运营商也可以通过互联网获得 STaaS 提供商对其所提供的网络穿越隧道资源的 维护等服务。 其中资源管理中心 1 300、 安全穿越服务器 1305的详细描述可以参 见前述相关实施例, 在此不再赘述。
本发明实施例提供的 STaaS 网络系统, 创建了安全穿越即服务(Secur i ty Traver s e a s a Serv i ce , STaaS ) 的运营模式, 可以根据运营商的租用需求为所 述运营商创建网络穿越隧道资源, 并向运营商出租创建的网络穿越隧道资源,使 得运营商可以通过租用的网络穿越隧道资源向终端提供网络穿越服务,使得终端 可以访问运营商的核心网。从而使得网络穿越隧道资源能够得到统一的管理和维 护,解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差且 无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题,提升了运营 商网络的可扩展性以及网络穿越的可靠性, 降低了运营商的运营成本。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以 通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介 质中, 该程序在执行时, 执行包括上述方法实施例的步骤; 而前述的存储介质包 括: R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到, 为描述的方便和简洁, 上述描述的 设备和模块的具体工作过程, 可以参考前述方法实施例中的对应过程描述,在此 不再赘述。
在本申请所提供的几个实施例中, 应该理解到, 所揭露的设备和方法, 可以 通过其它的方式实现。 例如, 以上所描述的装置实施例仅仅是示意性的, 例如, 所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式, 例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽 略, 或不执行。 另一点, 所显示或讨论的相互之间的耦合或直接 合或通信连接 可以是通过一些通信接口, 装置或模块的间接耦合或通信连接, 可以是电性, 机 械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模 块显示的部件可以是或者也可以不是物理单元, 即可以位于一个地方, 或者也可 以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块 来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中, 也 可以是各个模块单独物理存在, 也可以两个或两个以上模块集成在一个模块中。 最后应说明的是: 以上各实施例仅用以说明本发明的技术方案, 而非对其限制; 尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当 理解: 其依然可以对前述各实施例所记载的技术方案进行修改, 或者对其中部分 或者全部技术特征进行等同替换; 而这些修改或者替换, 并不使相应技术方案的 本质脱离本发明各实施例技术方案的范围。

Claims (31)

  1. 权 利 要 求
    1、 一种网絡穿越服务的提供方法, 其特征在于, 包括:
    接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中 携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
    根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述 网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟 接入点承载的用户数量;
    接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接 入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资 源的信息包括虚拟接入点信息和业务通道信息;
    向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商 管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络 穿越服务。
  2. 2、根据权利要求 1所述的方法, 其特征在于, 所述根据所述租用请求向安全 穿越服务器发送网络穿越隧道资源创建指令包括:
    根据所述租用请求向部署于运营商网絡中的空闲资源最多的安全穿越服务 器发送所述网络穿越隧道资源创建指令。
  3. 3、 根据权利要求 1或 2所述的方法, 其特征在于:
    所述网络穿越隧道资源租用请求中还携带有运营商标识,所述运营商标识用 于识别运营商。
  4. 4、根据权利要求卜 3任意一项所述的方法, 其特征在于, 所述虚拟接入点为 虚拟化的安全穿越网关, 能够为终端提供虚拟专用网 VPN隧道的接入能力。
  5. 5、 根据权利要求 1 -4任意一项所述的方法, 其特征在于, 还包括: 向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越 隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越 隧道资源为终端提供网络穿越服务。
  6. 6、 根据权利要求 1 -5任意一项所述的方法, 其特征在于, 还包括: 接收所述安全穿越服务器发送的所述每个虚拟接入点的资源使用情况信息, 并根据安全穿越服务器的负载情况进行负载均衡。 7、 一种网络穿越服务的提供方法, 其特征在于, 包括:
    接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资 源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虚拟接入点 能够承载的用户数量;
    根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户 数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道 资源包括虛拟接入点以及与虛拟接入点对接的业务通道;
    向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。
  7. 8、 根据权利要求 7所述的方法, 其特征在于, 还包括:
    接收来自终端的接入点查询请求, 所述查询请求中携带有所述终端所属的 运营商的标识;
    根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟 接入点;
    向所述终端返回查询响应消息, 所述查询响应消息中包含有选择的虚拟接 入点的信息;
    接收来自终端的网络穿越隧道注册请求, 所述网络穿越隧道注册请求中包 含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
    向所述终端返回网络穿越隧道注册成功消息,使所述终端 居所述运营商的 核心网地址以及与所述虚拟接入点建立的网絡穿越隧道访问所述运营商的核心 网。
  8. 9、 根据权利要求 7或 8所述的方法, 其特征在于, 还包括:
    接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带 有终端要访问的第一虛拟接入点信息、所述终端所属运营商的标识以及所述运营 商的核心网地址;
    判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接 入点;
    如果所述第一虛拟接入点不是所述安全穿越服务器为所述终端选择的虛拟 接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所 述终端选择第二虚拟接入点; 向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消 息中包含有所述第二虛拟接入点的信息,使所述终端根据与所述第二虚拟接入点 建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
  9. 10、根据权利要求 9所述的方法, 其特征在于, 所述根据所述运营商的标识 在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点包括: 根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户 负载量最小或接入位置最近或探测响应最快的虛拟接入点。
  10. 11、 根据权利要求 9或 10所述的方法, 其特征在于, 还包括:
    如果所述第一虛拟接入点是所述安全穿越服务器为所述终端选择的虚拟接 入点, 则向所述终端返回隧道注册成功消息,使所述终端才 居与所述第一虚拟接 入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心 网。
  11. 12、 一种资源管理中心, 其特征在于, 包括:
    接收模块, 用于接收运营商管理服务器发送的网络穿越隧道资源租用请求, 所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的 用户数量;
    发送模块,用于根据所述接收模块接收的所述租用请求向安全穿越服务器发 送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚 拟接入点的数量以及所述每个虚拟接入点承栽的用户数量;
    所述接收模块,还用于接收所述安全穿越服务器根据所述网络穿越隧道资源 创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资 源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信 息;
    所述发送模块,还用于向所述运营商管理服务器发送所述网络穿越隧道资源 的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息 向终端提供网络穿越服务。
  12. 13、 根据权利要求 12所述的资源管理中心, 其特征在于, 所述虚拟接入点 为虚拟化的安全穿越网关, 为终端提供虚拟专用网 VPN隧道的接入能力。
  13. 14、 根据权利要求 12所述的资源管理中心, 其特征在于: 所述网络穿越隧道资源租用请求中还携带有运营商标识,所述运营商标识用 于识别运营商。
  14. 15、 根据权利要求 12- 14任意一项所述的资源管理中心, 其特征在于: 所述发送模块具体用于根据所述租用请求向部署于运营商网络中的空闲资 源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
  15. 16、根据权利要求 12- 15任意一项所述的资源管理中心, 其特征在于, 还包 括:
    资源管理模块, 用于对所述网络穿越隧道资源进行管理和维护; 广播模块,用于向部署于运营商网络中的安全穿越服务器广播所述运营商租 用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租 用的网络穿越隧道资源为终端提供网络穿越服务。
  16. 17、一种安全穿越服务器, 其特征在于, 包括:
    接收模块, 用于接收资源管理中心发送的网络穿越隧道资源创建指令, 所述 网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及 所述每个虚拟接入点能够承栽的用户数量;
    隧道资源创建模块,用于根据接收模块接收的网络穿越隧道资源创建指令中 的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足 所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虛拟 接入点以及与虚拟接入点对接的业务通道;
    隧道资源发送模块,用于向所述资源管理中心返回隧道资源创建模块创建的 所述网络穿越隧道资源的信息。
  17. 18、 根据权利要求 17所述的安全穿越服务器, 其特征在于:
    所述接收模块,还用于接收来自终端的网络穿越隧道注册请求, 所述网络穿 越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营 商的标识以及所述运营商的核心网地址;
    所述安全穿越服务器还包括:
    判断模块,用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述 终端选择的虚拟接入点;
    第一选择模块,用于如果所述第一虚拟接入点不是所述安全穿越服务器为所 述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿 越隧道资源中为所述终端选择第二虚拟接入点;
    第一响应模块, 用于向所述终端返回网络穿越隧道注册成功消息, 所述网络 穿越隧道注册成功消息中包含有所述第一选择模块选择的所述第二虚拟接入点 的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运 营商的核心网地址访问所述运营商的核心网。
  18. 19、 根据权利要求 17或 18所述的安全穿越服务器, 其特征在于: 所述接收模块,还用于接收来自终端的接入点查询请求, 所述查询请求中携 带有所述终端所属的运营商的标识;
    所述安全穿越服务器还包括:
    第二选择模块,用于根据所述接收模块接收的所述查询请求中的所述运营商 的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
    第二响应模块, 用于向所述终端近回查询响应消息, 所述查询响应消息中包 含有选择的虚拟接入点的信息;
    所述接收模块,还用于接收来自终端的隧道注册请求, 所述隧道注册请求中 包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址; 所述第二响应模块,还用于向所述终端返回网络穿越隧道注册成功消息,使 所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越 隧道访问所述运营商的核心网。
  19. 20、 根据权利要求 17- 19任意一项所述的安全穿越服务器, 其特征在于: 所述虚拟接入点为虚拟化的安全穿越网关, 能够为终端提供虚拟专用网 VPN 隧道的接入能力。
  20. 21、根据权利要求 18所述的安全穿越服务器, 其特征在于, 所述第一选择模 块具体用于才 居所述运营商的标识在所述运营商租用的网络穿越隧道资源的信 息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
  21. 22、根据权利要求 19所述的安全穿越服务器, 其特征在于, 所述第二选择模 块具体用于才 M居所述运营商的标识在所述运营商租用的网络穿越隧道资源的信 息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
  22. 23、根据权利要求 18所述的安全穿越服务器, 其特征在于, 当所述判断模块 判断所述第一虚拟接入点是为所述安全穿越服务器为所述终端选择的虚拟接入 点时, 所述第一响应模块, 还用于向所述终端返回隧道注册成功消息, 使所述终 端 4艮据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地 址访问所述运营商的核心网。
  23. 24、 一种资源管理中心, 其特征在于:
    所述资源管理中心包括处理器、 通信接口、 存储器和通信总线; 其中 , 所述处理器和所述通信接口通过所述通信总线进行通信; 所述通信接口, 用于与运营商管理服务器以及安全穿越服务器进行通信; 所述存储器用于存储程序;
    所述处理器用于执行所述程序,以实现接收运营商管理服务器发送的网络穿 越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每 个虚拟接入点承栽的用户数量;
    根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述 网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟 接入点承栽的用户数量;
    接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接 入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资 源的信息包括虚拟接入点信息和业务通道信息;
    向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商 管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络 穿越服务。
  24. 25、根据权利要求 24所述的资源管理中心, 其特征在于, 所述处理器还用于 根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发 送网络穿越隧道资源创建指令。
  25. 26、 根据权利要求 24-25任意一项所述的资源管理中心, 其特征在于, 所述 处理器还用于对网络穿越隧道资源进行管理和维护;并向部署于运营商网络中的 安全穿越服务器广播所迷运营商租用的网络穿越隧道资源的信息,以使所述安全 穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越 服务。 27、一种安全穿越服务器, 其特征在于:
    所述安全穿越服务器包括处理器、 通信接口、 存储器以及通信总线; 其中, 所述处理器以及所述存储器通过通信总线完成相互间的通信; 所述通信接口用于与资源管理中心或终端通信;
    所述存储器, 用于存放操作系统以及应用程序;
    所述处理器用于执行所述操作系统以及所述应用程序, 包括:
    接收资源管理中心发送的网络穿越隧道资源创建指令,网络穿越隧道资源创 建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虛拟接入点能够 承载的用户数量;
    根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户 数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道 资源包括虚拟接入以及与虚拟接入点对接的业务通道;
    向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源 的信息。
  26. 28、 根据权利要求 27所述的安全穿越服务器, 其特征在于:
    所述处理器还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧 道注册请求中携带有终端要访问的第一虛拟接入点信息、所述终端所属运营商的 标识以及所述运营商的核心网地址;
    判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚 拟接入点;
    如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟 接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所 述终端选择第二虚拟接入点;
    向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消 息中包含有所述选择模块选择的所述第二虚拟接入点的信息,使所述终端根据与 所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所 述运营商的核心网。
  27. 29、 根据权利要求 2S所述的安全穿越服务器, 其特征在于:
    所述处理器具体根据所述运营商的标识在所述运营商租用的网络穿越隧道 资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入
  28. 30、 根据权利要求 28或 29所述的安全穿越服务器, 其特征在于: 如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接 入点, 所述处理器, 还用于向所述终端返回隧道注册成功消息, 使所述终端才艮据 与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问 所述运营商的核心网。
  29. 31、 根据权利要求 27所述的安全穿越服务器, 其特征在于:
    所述处理器还用于接收来自终端的接入点查询请求,所述查询请求中携带有 所述终端所属的运营商的标识;
    根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营 商租用的网络穿越隧道资源中选择虚拟接入点;
    向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入 点的信息;
    接收来自终端的隧道注册请求,所述隧道注册请求中包含有所述第二选择模 块选择的虚拟接入点信息和所述运营商的核心网地址;
    向所述终端返回网络穿越隧道注册成功消息,使所述终端才艮据所述运营商的 核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心 网。
  30. 32、 根据权利要求 31所述的安全穿越服务器, 其特征在于, 所述处理器具 体根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择 用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
  31. 33、一种安全穿越服务提供系统, 其特征在于, 包括虚拟接入点、 如权利要 求 12- 16任意一项所述的资源管理中心以及如权利要求 17- 23任意一项所述的安 全穿越服务器, 其中:
    所述虚拟接入点,用于通过与终端之间建立的网络穿越隧道接收所述终端发 送的报文, 并将所述报文解封装后发送给运营商核心网;接收所述运营商核心网 返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给所述终端。
CN201280006197.9A 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统 Active CN103947172B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/084827 WO2014075312A1 (zh) 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统

Publications (2)

Publication Number Publication Date
CN103947172A true CN103947172A (zh) 2014-07-23
CN103947172B CN103947172B (zh) 2018-02-02

Family

ID=50730526

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280006197.9A Active CN103947172B (zh) 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统

Country Status (4)

Country Link
US (1) US9838261B2 (zh)
EP (1) EP2819363B1 (zh)
CN (1) CN103947172B (zh)
WO (1) WO2014075312A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110915290A (zh) * 2017-07-07 2020-03-24 诺基亚通信公司 支持多供应方4g/5g网络的多空中接口聚合
CN113285864A (zh) * 2015-01-28 2021-08-20 安博科技有限公司 用于全局虚拟网络的系统和方法
CN114338153A (zh) * 2021-12-28 2022-04-12 杭州迪普科技股份有限公司 一种IPSec的协商方法及装置
CN115104294A (zh) * 2020-02-28 2022-09-23 西门子股份公司 在工业网络的多租户虚拟网络中载入设备

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US20140334336A1 (en) 2013-05-10 2014-11-13 Relay2, Inc. Multi-Tenant Virtual Access Point- Network Resources Virtualization
US10142254B1 (en) 2013-09-16 2018-11-27 Cisco Technology, Inc. Service chaining based on labels in control and forwarding
US9473506B1 (en) 2013-10-15 2016-10-18 Progress Software Corporation Secure file transfer and notification server
US9531678B1 (en) * 2013-10-15 2016-12-27 Progress Software Corporation On-premises data access and firewall tunneling
US9467478B1 (en) * 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
US10515538B2 (en) * 2014-11-24 2019-12-24 Carrier Corporation Communication systems
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
CN107306386B (zh) * 2016-04-22 2020-02-14 华为技术有限公司 接入点触发终端漫游的方法及接入点
US10856243B2 (en) * 2016-06-24 2020-12-01 The University Of Western Ontario System, method, and apparatus for end-to-end synchronization, adaptive link resource reservation and data tunneling
CN111130980B (zh) * 2016-06-29 2021-06-29 华为技术有限公司 用于实现组合虚拟专用网vpn的方法与装置
US10681677B2 (en) * 2016-12-27 2020-06-09 Intel Corporation Coordinated transmissions among virtual access points (VAPS)
US10616182B1 (en) 2017-11-30 2020-04-07 Progress Software Corporation Data access and firewall tunneling using a custom socket factory
JP7028035B2 (ja) * 2018-04-10 2022-03-02 日本電信電話株式会社 通信システム、及び通信方法
US10349454B1 (en) 2018-05-16 2019-07-09 At&T Intellectual Property I, L.P. Software demarcation in edge computing environment
US11979826B2 (en) * 2021-09-29 2024-05-07 Hewlett Packard Enterprise Development Lp Selection of a transmitting VAP for a MBSSID set

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060191005A1 (en) * 2005-02-23 2006-08-24 Sbc Knowledge Ventures, L.P. Centralized access control system and methods for distributed broadband access points
CN101599979A (zh) * 2009-07-10 2009-12-09 迈普通信技术股份有限公司 基于隧道的ip电信网实现方法
CN101843131A (zh) * 2007-11-01 2010-09-22 高通股份有限公司 在无线通信系统中的资源调节

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7000014B2 (en) * 1999-04-02 2006-02-14 Nortel Networks Limited Monitoring a virtual private network
US7415512B1 (en) * 2001-05-24 2008-08-19 Cisco Technology, Inc. Method and apparatus for providing a general purpose computing platform at a router on a network
US7379465B2 (en) * 2001-12-07 2008-05-27 Nortel Networks Limited Tunneling scheme optimized for use in virtual private networks
US20050026596A1 (en) * 2003-07-28 2005-02-03 Oren Markovitz Location-based AAA system and method in a wireless network
US7496651B1 (en) * 2004-05-06 2009-02-24 Foundry Networks, Inc. Configurable geographic prefixes for global server load balancing
JP4394590B2 (ja) * 2005-02-22 2010-01-06 株式会社日立コミュニケーションテクノロジー パケット中継装置および通信帯域制御方法
US8725138B2 (en) * 2005-03-30 2014-05-13 Alcatel Lucent Methods for network selection and discovery of service information in public wireless hotspots
US9288276B2 (en) * 2006-11-03 2016-03-15 At&T Intellectual Property I, L.P. Application services infrastructure for next generation networks including a notification capability and related methods and computer program products
US20100093359A1 (en) * 2008-10-13 2010-04-15 Mark Gallagher Methods and apparatus for encapsulating femtocell traffic
US8543673B2 (en) * 2009-04-21 2013-09-24 Alcatel Lucent Rapid provisioning of network devices using automated configuration
US8498267B2 (en) * 2009-05-01 2013-07-30 At&T Mobility Ii Llc Access control for macrocell to femtocell handover
US8606173B2 (en) * 2009-06-11 2013-12-10 Electronics And Telecommunications Research Institute Communication relay method and apparatus based on object sensing function
JP5370946B2 (ja) * 2011-04-15 2013-12-18 株式会社日立製作所 リソース管理方法及び計算機システム
US8539055B2 (en) * 2011-06-30 2013-09-17 Aruba Networks, Inc. Device abstraction in autonomous wireless local area networks
US9276838B2 (en) * 2012-10-05 2016-03-01 Futurewei Technologies, Inc. Software defined network virtualization utilizing service specific topology abstraction and interface

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060191005A1 (en) * 2005-02-23 2006-08-24 Sbc Knowledge Ventures, L.P. Centralized access control system and methods for distributed broadband access points
CN101843131A (zh) * 2007-11-01 2010-09-22 高通股份有限公司 在无线通信系统中的资源调节
CN101599979A (zh) * 2009-07-10 2009-12-09 迈普通信技术股份有限公司 基于隧道的ip电信网实现方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PANAGIOTIS PAPADIMITRIOU ET AL.: ""implementing network virtualization for a future internet"", 《20TH ITC SPECIALIST SEMINAR ON NETWORK VIRTUALIZATION-CONCEPT AND PERFORMANCE ASPECTS》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113285864A (zh) * 2015-01-28 2021-08-20 安博科技有限公司 用于全局虚拟网络的系统和方法
CN110915290A (zh) * 2017-07-07 2020-03-24 诺基亚通信公司 支持多供应方4g/5g网络的多空中接口聚合
CN110915290B (zh) * 2017-07-07 2023-09-01 诺基亚通信公司 支持多供应方4g/5g网络的多空中接口聚合
CN115104294A (zh) * 2020-02-28 2022-09-23 西门子股份公司 在工业网络的多租户虚拟网络中载入设备
CN114338153A (zh) * 2021-12-28 2022-04-12 杭州迪普科技股份有限公司 一种IPSec的协商方法及装置
CN114338153B (zh) * 2021-12-28 2023-07-25 杭州迪普科技股份有限公司 一种IPSec的协商方法及装置

Also Published As

Publication number Publication date
US9838261B2 (en) 2017-12-05
US20150006737A1 (en) 2015-01-01
EP2819363A1 (en) 2014-12-31
CN103947172B (zh) 2018-02-02
WO2014075312A1 (zh) 2014-05-22
EP2819363B1 (en) 2017-01-11
EP2819363A4 (en) 2015-05-20

Similar Documents

Publication Publication Date Title
CN103947172A (zh) 一种网络穿越服务的提供方法、装置及系统
US8885649B2 (en) Method, apparatus, and system for implementing private network traversal
CN104113879B (zh) 部署有云AC的WiFi通信系统和通信方法
US8885571B2 (en) System and method for maintaining a communication session
JP6884818B2 (ja) Vxlan実装方法、ネットワークデバイス、および通信システム
CN101572643B (zh) 实现私网之间转发数据的方法和系统
CN105430059A (zh) 智能客户端路由
US20140230044A1 (en) Method and Related Apparatus for Authenticating Access of Virtual Private Cloud
CN101461198B (zh) 中继网络系统及终端适配装置
US10454880B2 (en) IP packet processing method and apparatus, and network system
US20110138058A1 (en) Server for routing connection to client device
CN104040964B (zh) 跨服务区通信的方法、装置和数据中心网络
WO2013155943A1 (zh) 一种虚拟网络实现方法及系统
EP2252093B1 (en) Method for enabling mobility of client devices in large scale unified networks
JP2003131923A (ja) 仮想プライベートボリューム方式及びシステム
CN103023898A (zh) 一种访问vpn服务端内网资源的方法及装置
CN107404470A (zh) 接入控制方法及装置
WO2009143729A1 (zh) 实现dhcp用户业务批发的方法、系统和设备
CN104253798A (zh) 一种网络安全监控方法和系统
CN110336794A (zh) 一种内网访问方法、系统及相关装置
CN106209750A (zh) 一种网络分配方法、服务器、网络接入设备及系统
Bannazadeh et al. Virtualized application networking infrastructure
CN103227822A (zh) 一种p2p通信连接建立方法和设备
CN111030914A (zh) 一种数据传输方法及数据传输系统
CN113765765B (zh) 数据传输系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant