CN103947172B - 一种网络穿越服务的提供方法、装置及系统 - Google Patents

一种网络穿越服务的提供方法、装置及系统 Download PDF

Info

Publication number
CN103947172B
CN103947172B CN201280006197.9A CN201280006197A CN103947172B CN 103947172 B CN103947172 B CN 103947172B CN 201280006197 A CN201280006197 A CN 201280006197A CN 103947172 B CN103947172 B CN 103947172B
Authority
CN
China
Prior art keywords
access point
virtual access
operator
server
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280006197.9A
Other languages
English (en)
Other versions
CN103947172A (zh
Inventor
陈爱平
张战兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN103947172A publication Critical patent/CN103947172A/zh
Application granted granted Critical
Publication of CN103947172B publication Critical patent/CN103947172B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/251Cut-through or wormhole routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L5/00Arrangements affording multiple use of the transmission path
    • H04L5/003Arrangements for allocating sub-channels of the transmission path
    • H04L5/0044Arrangements for allocating sub-channels of the transmission path allocation of payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/177Initialisation or configuration control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种网络穿越服务提供方法、装置及系统,根据接收的运营商管理服务器发送的网络穿越隧道资源租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,并将所述安全穿越服务器创建的网络穿越隧道资源的信息发送给向所述运营商管理服务器,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,使得所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。本发明实施例提供的网络穿越服务提供方法能够提升运营商网络的可扩展性以及网络穿越的可靠性。

Description

一种网络穿越服务的提供方法、装置及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种网络穿越服务的提供方法、装置及系统。
背景技术
近年来随着信息技术与通信技术融合的不断加速,互联网通信与传统无线/固网通信的界限已经迅速淡化。全球通信运营商为了应对互联网业务运营商的挑战,加速部署基于网际协议(InternetProtocol,IP)的融合通信业务。
由于互联网的开放性,企业、个人、家庭、公共场所等接入环境复杂多样,对于融合通信运营来说,存在诸多安全和接入挑战。在互联网上推广融合通信业务的过程中,既涉及到个人隐私或者企业机密的保护,又涉及到如何保障业务在各种复杂的接入网络环境中畅通无阻地到达融合通信运营商的核心网。在开放的互联网环境下使用融合通信业务,存在因防火墙的端口限制、网络地址转换(Network Address Translation,NAT)应用层网关(Application Layer Gateway,ALG)处理或代理服务器限制等造成某些业务流量无法到达融合通信运营商的核心网的问题,且还可能因为互联网和移动互联网接入的动态性和复杂性导致业务数据被非法窃听或篡改。基于上述问题,如何实现业务流量的安全穿越,并通过安全穿越方案保障融合通信业务的安全性和可用性,是提供高融合通信业务质量的必备要素。
现有技术中提供了一种基于安全穿越网关的网络穿越方案,通过在运营商网络中部署安全穿越网关(Secure Traversing Gateway,STG),提供超文本传输协议(HyperTextTransferProtocol,HTTP)、安全套接字层(Secure Socket Layer,SSL)、互联网安全协议(InternetProtocol Security,IPSec)、基于数据报协议的传输层安全(DatagramTransport Layer Security,DTLS)协议或用户数据报协议(User Datagram Protocol,UDP)安全隧道的接入能力,用户业务终端实现HTTP、SSL、IPSec、DTLS和UDP安全隧道客户端功能,客户端与融合通信服务器之间的各种报文通过协商的HTTP、SSL、IPSec、DTLS或UDP安全隧道进行传输,从而能够实现防火墙、NAT、代理、Web安全网关等网元的穿越,既保障了业务数据的安全性和穿越能力,又保障了服务质量。
但是,现有技术中,由于安全穿越网关集中部署于融合通信运营商核心网,需要融合通信运营商自行采购和维护安全穿越网关设备,运营成本较高,并且可扩展性较差。
发明内容
本发明实施例中提供的一种网络穿越服务的提供方法、装置及系统,具有较强的网络扩展性。
第一方面,本发明实施例提供一种网络穿越服务的提供方法,包括:
接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量;
接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。
在第一方面的第一种可能的实现方式中,所述根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令包括:
根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述虚拟接入点为虚拟化的安全穿越网关,能够为终端提供虚拟专用网VPN隧道的接入能力。结合第一方面、第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,本发明提供的网络穿越服务的提供方法还包括:
向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。
第二方面,本发明实施例提供一种网络穿越服务的提供方法,包括:
接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虚拟接入点能够承载的用户数量;
根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道;
向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。
在第二方面的第一种可能的实现方式中,本发明提供的网络穿越服务的提供方法还包括:
接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,本发明提供的网络穿越服务的提供方法还包括:
接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点;
如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点;
向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点包括:
根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
结合第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式,在第二方面的第四种可能的实现方式中,本发明提供的网络穿越服务的提供方法还包括:
如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点,则向所述终端返回隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
第三方面,本发明提供一种资源管理中心,包括:
接收模块,用于接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
发送模块,用于根据所述接收模块接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量;
所述接收模块,还用于接收所述安全穿越服务器根据所述网络穿越隧道资源创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
所述发送模块,还用于向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
在第三方面的第一种可能的实现方式中,所述虚拟接入点为虚拟化的安全穿越网关,为终端提供虚拟专用网VPN隧道的接入能力。
结合第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述发送模块具体用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
结合第三方面、第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,本发明提供的资源管理中心还包括:
资源管理模块,用于对所述网络穿越隧道资源进行管理和维护;
广播模块,用于向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。
第四方面,本发明提供一种安全穿越服务器,包括:
接收模块,用于接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量;
隧道资源创建模块,用于根据接收模块接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道;
隧道资源发送模块,用于向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源的信息。
在第四方面的第一种实现方式中,所述接收模块,还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
所述安全穿越服务器还包括:
判断模块,用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点;
第一选择模块,用于如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点;
第一响应模块,用于向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有所述第一选择模块选择的所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述接收模块,还用于接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
所述安全穿越服务器还包括:
第二选择模块,用于根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
第二响应模块,用于向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
所述接收模块,还用于接收来自终端的隧道注册请求,所述隧道注册请求中包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址;
所述第二响应模块,还用于向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
结合第四方面、第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中,所述虚拟接入点为虚拟化的安全穿越网关,能够为终端提供虚拟专用网VPN隧道的接入能力。
结合第四方面的第一种可能的实现方式,在第四方面的第四种可能的实现方式中,所述第一选择模块具体用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
结合第四方面的第一种可能的实现方式,在第四方面的第五种可能的实现方式中,当所述判断模块判断所述第一虚拟接入点是为所述安全穿越服务器为所述终端选择的虚拟接入点时,所述第一响应模块,还用于向所述终端返回隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
第五方面,本发明提供一种安全穿越服务提供系统,包括虚拟接入点、上述的资源管理中心的任意一种实现方式以及上述的安全穿越服务器的任意一种实现方式,其中:
所述虚拟接入点,用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发送给运营商核心网;接收所述运营商核心网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给所述终端。本发明实施例中提供了一种实现网络穿越服务提供方法、装置及系统,通过接收运营商管理服务器发送的网络穿越隧道资源租用请求,根据所述租用请求中携带的待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量向安全穿越服务器发送网络穿越隧道资源创建指令,接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息,并将所述网络穿越隧道资源的信息发送给所述运营商管理服务器,使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。从而解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差的技术问题,并且,由于将安全穿越即服务作为一种运营模式来提供,可以由安全穿越即服务(Secure TraverseAsA Service,STaaS)提供商统一承担网络穿越服务资源的管理运营,融合通信运营商可以通过租用STaaS提供商提供的网络穿越服务资源来向终端用户提供网络穿越服务,从而能够降低融合通信运营商的运营成本,提升了运营商网络的可扩展性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中提供的一种网络穿越服务提供方法的应用场景图;
图2为本发明实施例提供的一种网络穿越服务提供方法的流程图;
图3为本发明实施例提供的又一种网络穿越服务提供方法的信令图;
图4为本发明实施例提供的又一种网络穿越服务提供方法的流程图;
图5为本发明实施例提供的又一种网络穿越服务提供方法的流程图;
图6为本发明实施例提供的又一种网络穿越服务提供方法流程图;
图7为本发明实施例提供的一种资源管理中心的物理结构示意图;
图8为本发明实施例提供的又一种资源管理中心的结构示意图;
图9为本发明实施例提供的一种安全穿越服务器的结构示意图;
图10为本发明实施例提供的又一种安全穿越服务器的结构示意图;
图11为本发明实施例提供的又一种安全穿越服务器的结构示意图;
图12为本发明实施了提供的又一种安全穿越服务器的结构示意图;
图13为本发明实施例提供的一种安全穿越即服务的网络系统图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
如图1所示,图1为本发明实施例的一种应用场景,为了描述方便,本发明实施例将融合通信运营商简称为运营商,没有特殊说明的情况下,本发明实施例所述的运营商均为能够提供融合通信业务的融合通信运营商。在图1所述的一种应用场景中,第一网络可以为运营商A的接入网,第二网络可以为运营商B的接入网,第三网络可以为运营商A的核心网,第四网络可以为运营商B的核心网,终端110和终端111可以通过虚拟接入点120穿越到第三网络或第四网络,终端112和终端113可以通过虚拟接入点122穿越到第三网络或第四网络。网络穿越隧道资源管理中心121负责网络穿越隧道资源的统计、管理和分配,其中,网络穿越隧道资源包含有虚拟接入点和与虚拟接入点对接的业务通道,其中,虚拟接入点是虚拟化的安全穿越网关,能够提供超文本传输协议(HyperText TransferProtocol,HTTP)、安全套接字层(Secure Socket Layer,SSL)、互联网安全协议(Internet Protocol Security,IPSec)、基于数据报协议的传输层安全协议(Datagram Transport Layer Security,DTLS)或用户数据报协议(User Datagram Protocol,UDP)安全隧道的接入能力。例如,终端110发出的数据包从虚拟接入点120接入第一网络(融合通信运营商A的接入网),并通过与虚拟接入点120对接的业务通道到达第三网络(融合通信运营商A的核心网),达到终端110访问融合通信运营商A的核心网的目的。
安全穿越服务器为多个虚拟接入点的集合,可以部署于运营商的互联网数据中心(Internet Data Center,IDC),向终端提供网络穿越服务,使终端能够通过安全穿越服务器选择的虚拟接入点达到访问运营商核心网的目的。安全穿越服务器123和安全穿越服务器124负责管理、建立和选择虚拟接入点,安全穿越服务器123可以根据运营商的租用请求创建多个虚拟接入点(即虚拟化的安全穿越网关),例如,安全穿越服务器123可以创建虚拟接入点120和虚拟接入点125,安全穿越服务器124可以创建虚拟接入点122和虚拟接入点126。虚拟接入点由安全穿越服务器虚拟化生成,物理位置可以处于安全穿越服务器上,图1中为了表述清楚,将虚拟接入点和安全穿越服务器分开进行图示和描述。多个安全穿越服务器及虚拟接入点构成了网络穿越服务云,为多个运营商提供网络穿越服务。
图2为本发明实施例提供的一种网络穿越服务提供方法的流程图,该方法可以由如图1所示的网络系统中的资源管理中心121来执行,如图2所示,该方法包括:
步骤200,接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量,进入步骤205;
在本发明实施例中,为了减少运营商自行维护安全穿越网关所带来的运营成本高、网络扩展能力差等问题,将网络穿越隧道资源以一种服务的方式租用给运营商,由专业的服务提供商承担网络穿越服务资源的管理运营,并通过资源管理中心向运营商提供网络穿越服务资源的出租式服务,使运营商可以根据自己的实际需求,通过互联网向服务提供商租用所需的网络穿越隧道资源,并按租用的服务的数量及使用时间向服务提供商支付费用,同时运营商也可以通过互联网获得服务提供商对其所提供的网络穿越隧道资源的维护等服务,以使终端能够通过运营商租用的网络穿越隧道资源实现访问运营商核心网的网络穿越目的。我们可以将这种运营模式称为安全穿越即服务(Secure TraverseAs AService,STaaS)的运营模式,将这种服务提供商称为STaaS)提供商。
具体的,在本步骤中,当运营商需要租用网络穿越隧道资源时,由运营商管理服务器将向资源管理中心发送网络穿越隧道资源租用请求,其中,运营商管理服务器是运营商设置的用于管理其网络中的网络穿越隧道资源的服务器。网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道,虚拟接入点供终端接入使用,业务通道供融合通信业务运营商的核心网使用,使终端能够通过接入点接入运营商的网络,并通过业务通道访问运营商的核心网。为了满足业务流量的需求,运营商可以根据本网络的用户数量及接入需求确定需要租用的网络穿越隧道资源,因此,在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数量,例如,运营商A要租用10个虚拟接入点,且每个虚拟接入点能够同时承载1000个用户的接入需求。当然,可以理解的是,在所述租用请求中还可以携带所述运营商的标识,以使资源管理中心能够识别是哪一个运营商需要租用网络穿越隧道资源。
可以理解的是,在另一种情况下,网络穿越隧道资源租用请求中可以携带有待承载的总用户数量,由资源管理中心根据所述总用户数量为所述运营商确定所需租用的虚拟接入点数量以及每个虚拟接入点所承载的用户数量。
步骤205,根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,进入步骤210;
具体的,当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求后,资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虚拟接入点的数量以及每个虚拟接入点承载的用户数量创建网络穿越隧道资源,其中,网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。
当网络中具有多个安全穿越服务器时,资源管理中心可以根据所述租用请求中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理向部署于运营商网络中的且空闲资源最多的安全穿越服务器发送网络穿越隧道资源创建指令,指示该安全穿越服务器进行网络穿越隧道资源的创建。
步骤210,接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,进入步骤215;
具体的,当安全穿越服务器完成接入点及业务通道的虚拟化创建后,安全穿越服务器可以根据运营商关联虚拟接入点和业务通道,并返回创建的网络穿越隧道资源的信息给资源管理中心,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,具体的,虚拟接入点的信息可以包括:虚拟接入点的地址、虚拟接入点的租户信息、协议类型、隧道编号信息等,所述业务通道信息包括:业务通道地址以及核心网中提供业务的网段等信息,其中,所述虚拟接入点的租户信息,可以包括所述虚拟接入点所属的运营商、以及该租户的编号等信息。可以理解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心。
步骤215,向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
可以理解的是,资源管理中心可以将所述网络穿越隧道资源的信息以信息列表的方式发送给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
本发明实施例提供的一种实现网络穿越服务提供方法,根据接收的网络穿越隧道资源租用请求指示安全穿越服务器创建运营商所需的虚拟接入点和业务通道,并将创建的网络穿越隧道资源信息返回给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。从而提供了一种安全穿越即服务(Security Traverse as a Service,STaaS)的运营模式,使得网络穿越隧道资源能够得到统一的管理和维护,解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差的技术问题,提升了运营商网络的可扩展性,且降低了运营商的运营成本。而且进一步地,还可以提高网络穿越的可靠性
图3为本发明实施例提供的又一种网络穿越服务提供方法的信令图。如图3所示,该方法包括:
步骤300,运营商管理服务器向资源管理中心发送网络穿越隧道资源租用请求,其中,所述租用请求中携带有所述运营商的标识、待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量,进入步骤305;
其中,运营商标识是用于使资源管理中心识别运营商的租用请求,例如,是移动的管理服务器还是联通的管理服务器发出的租用请求。为了满足业务流量的需求,运营商可以根据本网络的用户数量及接入需求等业务需求确定需要租用的网络穿越隧道资源,其中,网络穿越隧道资源包括虚拟接入点和业务通道。因此,在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数量,例如,运营商A要租用10个虚拟接入点,且每个虚拟接入点能够同时承载1000个用户的接入需求。可以理解的是,由于业务通道是与虚拟接入点对接的,因此,业务通道的数量可以等于虚拟接入点的数量。当然,可以理解的是,所述租用请求中还可以包括所述运营商的认证证书等其他信息,在此不做限定。
步骤305,资源管理中心根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述创建指令中携带有所述虚拟接入点数量以及所述用户数量;
具体的,当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求后,资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虚拟接入点的数量以及每个虚拟接入点承载的用户数量创建网络穿越隧道资源,可以理解的是,所述资源创建指令中也携带有所述运营商的标识、所述虚拟接入点的数量以及所述用户数量。其中,网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。
在一种情形下,当网络中具有多个安全穿越服务器时,资源管理中心可以根据所述租用请求中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理选择部署于运营商网络中的空闲资源最多的安全穿越服务器进行网络穿越隧道资源的创建。
步骤310,安全穿越服务器根据所述网络穿越隧道资源创建指令创建网络穿越隧道资源;
具体的,安全穿越服务器根据所述网络穿越隧道资源创建指令采用虚拟化技术创建满足租用需求的虚拟接入点和与虚拟接入点对接的业务通道,例如可以通过虚拟化进行虚拟接入点资源的分配、IP地址或域名的配置及其他参数的配置,使创建的每个虚拟接入点具有安全穿越网关的功能,能够与终端之间建立虚拟专用网(Virtual PrivateNetwork,VPN)隧道,为终端提供超文本传输协议(HyperTextTransferProtocol,HTTP)、安全套接字层(Secure Socket Layer,SSL)、互联网安全协议(Internet ProtocolSecurity,IPSec)、基于数据报协议的传输层安全协议(Datagram TransportLayerSecurity,DTLS)或用户数据报协议(UserDatagramProtocol,UDP)等VPN安全隧道的接入能力。具体的,虚拟接入点可以通过与终端之间建立的HTTP隧道、SSL隧道、IPSec隧道、DTLS隧道或UDP隧道等VPN隧道接收终端发送的隧道报文,并将接收的隧道报文解密、解封装后发送给运营商核心网的服务器,并将运营商核心网的服务器返回的响应报文封装后通过VPN隧道发送给终端。具体的,虚拟接入点与运营商核心网的服务器之间可以通过与虚拟接入点对接的业务通道传输报文,即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信,需要说明的是,业务通道的地址就是所述运营商核心网的入口地址。
需要说明的是,当安全穿越服务器采用虚拟化技术创建虚拟接入点后,虚拟接入点与安全穿越服务器硬件设备的关系可以是一对一、一对多、多对一以及多对多的对应关系。其中,一对一的对应关系属于基本的网络穿越服务部署场景。一对多的对应关系则是通过一台硬件设备做分流,代理同一个接入点的其他安全穿越服务器,使在逻辑上保证多台安全穿越服务器对外提供同一个接入点服务。多对一是指在一台安全穿越服务器上启动多个虚拟接入点服务,同时不同的虚拟接入点具备租户属性、各自独立的认证授权系统、核心网资源以及各自独立的可重叠的网络、路由表和虚拟防火墙。
步骤315,安全穿越服务器向资源管理中心返回所述创建的网络穿越隧道资源的信息;
具体的,当接收到网络穿越隧道资源创建指令的安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量为所述运营商创建了网络穿越隧道资源后,该安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营商标识关联虚拟接入点和业务通道,并向资源管理中心返回创建的网络穿越隧道资源的信息,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。具体的,网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、业务通道的地址、核心网中提供业务的网段和隧道编号,其中,虚拟接入点的地址可以是IP地址也可以是域名,例如:10.10.10.10或cloud.com,与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址,从而终端通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网,可以理解的是,业务通道的地址也可以用IP地址或用域名来表示,例如:200.1.1.1或cmcc.com。此外,网络穿越隧道资源的信息还可以包括:协议类型、租户编号等信息。可以理解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心,例如如下表一所示:
表一
步骤320,资源管理中心将所述网络穿越隧道资源的信息发送给运营商管理服务器。
具体的,当资源管理中心获得为所述运营商创建的网络穿越隧道资源的信息后,资源管理中心会向所述运营商管理服务器发送为其创建的所述网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,还可以包括:协议类型、租户编号、隧道编号以及核心网中提供业务的网段等信息。当然可以理解的是,资源管理中心可以将所述网络穿越隧道资源的信息以表一所示信息列表的方式返回给所述运营商管理服务器,在此不再赘述。
步骤325,资源管理中心向部署于所述运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息。
具体的,当网络中部署有多个安全穿越服务器时,当在步骤315中,接收到网络穿越隧道资源创建指令的安全穿越服务器向所述资源管理中心返回创建的网络穿越隧道资源后,在本步骤中,资源管理中心可以对所述运营商租用的网络穿越隧道资源进行管理,并通过广播等方法将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器,以使所有部署于运营商网络中的安全穿越服务器都能够为终端提供网络穿越服务。其中可以理解的是,步骤320和步骤325没有执行顺序的先后之分。
本发明实施例提供的一种实现网络穿越服务提供方法,通过资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求,通过部署于运营商IDC中心的空闲资源最多的安全穿越服务器创建相应的虚拟接入点和业务通道,并向所有部署于所述运营商网络中的安全穿越服务器发送所述网络穿越隧道资源的信息,从而可以通过部署于运营商网络中的多个安全穿越服务器向终端提供多方位的接入服务,并且网络穿越隧道资源能够得到统一的管理和维护,提升了运营商网络的可扩展性以及网络穿越的可靠性,且降低了运营商的运营成本。
在一种情形下,上述实施例中,所述资源管理中心还可以接收安全穿越服务器发送的所述虚拟接入点的资源使用情况信息,并根据安全穿越服务器的负载情况进行负载均衡。
图4为本发明实施例提供的又一种网络穿越服务提供方法的流程图,本实施例所述方法可以由图1中的安全穿越服务器来执行,本实施例从安全穿越服务器的角度描述如何根据资源管理中心的网络资源创建指令为运营商创建网络穿越隧道资源,为终端提供网络穿越服务,具体的,如图4所示,该方法可以包括:
步骤400,接收资源管理中心发送的网络穿越隧道资源创建指令,所述资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量,进入步骤405;
可选地,还可以携有运营商标识,其中,所述运营商标识用于识别运营商。当安全穿越服务器接收到所述网络穿越隧道资源创建指令后,可以根据所述要创建的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量为所述运营商创建网络穿越隧道资源,其中,网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。
步骤405,根据接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道,进入步骤410;
具体的,安全穿越服务器根据所述网络穿越隧道资源创建指令采用虚拟化技术创建满足租用需求的虚拟接入点和与虚拟接入点对接的业务通道,例如可以通过虚拟化进行虚拟接入点资源的分配、IP地址或域名的配置及其他参数的配置,使创建的每个虚拟接入点具有安全穿越网关的功能,能够与终端之间建立VPN隧道,为终端提供HTTP、SSL、IPSec、DTLS或UDP等VPN安全隧道的接入能力。具体的,虚拟接入点可以通过与终端之间建立的HTTP隧道、SSL隧道、IPSec隧道、DTLS隧道或UDP隧道等VPN隧道接收终端发送的隧道报文,并将接收的隧道报文解密、解封装后发送给运营商核心网的服务器,并将运营商核心网的服务器返回的响应报文封装后通过VPN隧道发送给终端。具体的,虚拟接入点与运营商核心网的服务器之间可以通过与虚拟接入点对接的业务通道传输报文,即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信,需要说明的是,业务通道的地址就是所述运营商核心网的入口地址。
步骤410,向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。
具体的,安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营商标识关联虚拟接入点和业务通道,并向资源管理中心返回创建的网络穿越隧道资源的信息,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。具体的,网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、核心网中提供业务的网段和隧道编号,其中,虚拟接入点的地址可以是IP地址也可以是域名,例如:10.10.10.10或cloud.com,与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址,从而终端通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网,可以理解的是,业务通道的地址也可以用IP地址或用域名来表示,例如:200.1.1.1或cmcc.com。此外,网络穿越隧道资源的信息还可以包括:协议类型、租户编号等信息。可以理解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心,在此不做限定。
本发明实施例提供的创建网络穿越隧道资源的方法是从安全穿越服务器一侧的角度来描述,具体的实现细节可以参见从资源管理中心角度描述的图2与图3实施例中对应过程的描述,此处不再赘述。
本发明实施例提供的创建网络穿越隧道资源的方法,可以根据资源管理中心发送的网络穿越隧道资源创建指令为运营商创建满足运营商租用需求的网络穿越隧道资源,以使运营商能够根据租用的网络穿越隧道资源向终端提供网络穿越服务,提升了运营商网络的可扩展性以及网络穿越的可靠性,且降低了运营商的运营成本。
图5为本发明实施例提供的又一种网络穿越服务提供方法的流程图,本实施例所述方法也可以由图1中的安全穿越服务器来执行,本实施例从安全穿越服务器的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务,如图5所示,该方法包括:
步骤500,接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址,进入步骤505;
本步骤中,仍以终端110为例,终端110为了穿越Internet访问运营商的核心网,可以直接向网络穿越服务云发送网络穿越隧道注册请求,具体为终端110向安全穿越服务器123发送网络穿越隧道注册请求,该网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址,其中,所述第一虚拟接入点是所述终端任意选择的一个虚拟接入点,例如虚拟接入点120。
此外,所述网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息,其中,终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息,以便于安全穿越服务器对所述终端进行接入认证。
步骤505,判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点,如果所述第一虚拟接入点不是选择的虚拟接入点,则进入步骤510,否则,进入步骤520;
具体的,安全穿越服务器可以根据所述网络穿越隧道注册请求中的第一虚拟接入点信息判断所述第一虚拟接入点是否是安全穿越服务器为所述终端选择的较佳的虚拟接入点,具体的,安全穿越服务器可以根据设置的记录表判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点,所述记录表中记录有虚拟接入点的使用情况。如果不是,则说明所述终端为第一次接入,所述第一虚拟接入点是所述终端任意选择的虚拟接入点,而可能并不是安全穿越服务器为所述终端选择的最佳的虚拟接入点。此外,安全穿越服务器还可以根据所述第一虚拟接入点的接入位置、负载量或探测响应情况判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的最佳的虚拟接入点。如果不是,则进入步骤510,否则进入步骤520。
可以理解的是,在一种情形下,如果所述终端所属的运营商租用了多个虚拟接入点,则需要判断所述网络穿越隧道注册请求中的第一虚拟接入点是否是安全穿越服务器为所述终端选择的较佳的虚拟接入点,并在所述第一虚拟接入点不是选择的虚拟接入点时,进入步骤510为所述终端选择虚拟接入点。在另一种情形下,如果所述终端处于漫游状态,所述网络穿越隧道注册请求中的第一虚拟接入点并不是所述终端所属的运营商租用的虚拟接入点,则需要进入步骤510由安全穿越服务器为所述终端重新选择虚拟接入点。在另一种情形下,如果所述运营商只租用了一个虚拟接入点且所述终端并未处于漫游状态,所述运营商的终端均只能根据其租用的这一个虚拟接入点进行接入,则所述第一虚拟接入点就是选择的接入点,此时,可以进入步骤520。
步骤510,根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点,进入步骤515;
本步骤中,安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息,为所述终端选择虚拟接入点,具体的,网络穿越隧道资源的信息包括:虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点,具体的,在选择最佳的虚拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。当然,当所述安全穿越服务器为所述终端选择了虚拟接入点后,会记录下相关的信息,或打上相应的标识,以便下一次接收到所述终端的网络穿越隧道注册请求时可以快速判断出所述终端中的第一虚拟接入点是否为选择的虚拟接入点。
步骤515,向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有第二虚拟接入点信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网;
具体的,在一种情况下,当安全穿越服务器对所述终端认证通过后,安全穿越服务器可以直接向终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二虚拟接入点信息,完成终端与第二虚拟接入点之间网络穿越隧道的协商,使所述终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网,具体的,第二虚拟接入点可以通过与终端之间建立的安全穿越网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发送给运营商核心网;接收运营商核心网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给终端。其中,所述终端可以通过第二虚拟接入点为其分配的虚拟IP与所述运营商核心网通信,具体的,被封装的报文中包含有所述第二虚拟接入点为所述终端分配的虚拟IP地址以及所述运营商核心网的地址,封装的外层报文中包含有所述终端的IP地址以及所述第二虚拟接入点的IP地址。需要说明的是,第二虚拟接入点与所述终端之间建立的网络穿越隧道可以是HTTP、SSL、IPSec、DTLS或UDP等类型的VPN安全隧道,在此不再一一列举。
在另一种情况下,安全穿越服务器可以向所述终端返回注册失败消息,其中注册失败消息中包含有为所述终端选择的第二虚拟接入点信息,使所述终端能够根据所述第二虚拟接入点信息重新发起网络穿越隧道注册请求。
步骤520,向所述终端返回网络穿越隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
在所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入的情形下,当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道注册成功消息,完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商,使所述终端能够通过与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。具体的,该网络穿越隧道注册成功消息中包含有注册结果,此外还可以包括虚拟互联网协议IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中,安全隧道类型可以包括:HTTP、SSL、DTLS、UDP、UDPS等类型的VPN安全隧道,在此不一一列举。
本发明实施例提供的网络穿越服务提供方法,通过部署在运营商网络中的安全穿越服务器根据所述运营商租用的网络穿越隧道资源信息为所述运营商的终端选择虚拟接入点,并在向终端返回的网络穿越隧道注册成功消息中直接向终端返回为所述终端选择的第二虚拟接入点信息,使得所述终端无需再根据选择的第二虚拟接入点信息再次发起网络穿越隧道注册请求,提高了终端接入的效率。并且,由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点,不同的终端可能通过选择的不同的虚拟接入点实现网络穿越,减轻了穿越网关的负担,提升了网络穿越的可靠性。此外,由于虚拟接入点是所述运营商租用的,运营商可以根据业务需求租用多个虚拟接入点,降低了运营商的运营成本。
图6为本发明实施例提供的又一种网络穿越服务提供方法流程图,本实施例所述方法也可以由图1中的安全穿越服务器来执行,本实施例从安全穿越服务器的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务,如图6所示,该方法包括:
步骤600,接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
本步骤中,以图1中的终端110为例,终端110要穿越Internet网络访问第三网络或第四网络,其中,第三网络或第四网络为某个运营商的核心网,此时,终端110需要向网络穿越服务云发送接入点查询请求,用来查询接入运营商网络的接入点,具体的,终端110可以向部署于所述运营商网络中的安全穿越服务器123发送接入点查询请求,其中,所述网络穿越隧道注册请求中指明了终端所属的运营商的标识。
在一种情形下,如果所述运营商只租用了一个虚拟接入点,则所述运营商网络中的终端可以直接与所述运营商租用的一个虚拟接入点建立隧道,并通过该隧道接入所述运营商的核心网,而无须进行查询虚拟接入点的步骤。然而,在实际应用中,一个虚拟接入点远远不能满足用户的接入需求,因此,运营商通常会根据网络中的用户量向STaaS服务提供商租用多个虚拟接入点。此时,为了能够向用户提供更好的服务,用户可以发起一个虚拟接入点的查询请求来查询较佳的虚拟接入点。具体的,所述查询请求中还可以包括所述用户的初始接入点以及要访问的运营商的核心网的地址。
步骤605,根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
本步骤中,安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息,为所述终端选择虚拟接入点,具体的,可以根据网络穿越隧道资源的信息中的虚拟接入点的信息为所述终端选择虚拟接入点,其中,虚拟接入点的信息具体可以包括:虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的信息选择负载量最小或接入位置最近或探测响应最快的虚拟接入点。例如,本实施例中,以选择第一虚拟接入点120为例进行说明。可以理解的是,当所述安全穿越服务器为所述终端选择了虚拟接入点后,会记录下相关的信息,或打上相应的标识。
步骤610,向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
具体的,当安全穿越服务器根据所述运营商标识在所述运营商租用的网络穿越隧道资源中为所述终端选择了虚拟接入点后,可以向所述终端返回查询响应消息,其中,查询响应消息中包含有选择的虚拟接入点的信息。
步骤615,接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
当终端接收到安全穿越服务器返回的选择的虚拟接入点的信息后,可以向所述虚拟接入点发起网络穿越隧道注册请求,由于安全穿越服务器是虚拟接入点的集合,因此,安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点发起的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址。此外,网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息,其中,终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息,以便于安全穿越服务器对所述终端进行接入认证。
需要说明的是,在一种情形下,当运营商只租用了一个虚拟接入点时,则该虚拟接入点就是运营商选择的接入点,所述运营商网络中的终端可以直接向该虚拟接入点发起网络穿越隧道注册请求。
步骤620,向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道注册成功消息,完成网络穿越隧道的协商。该网络穿越隧道注册成功消息中包含有注册结果,此外还可以包括虚拟互联网协议IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中,安全隧道类型可以包括:HTTP、SSL、DTLS、UDP、UDPS等类型的VPN安全隧道,在此不一一列举。
需要说明的是,在上述图5和图6所示的实施例中,还可以包括统计安全穿越服务器创建的虚拟接入点的资源使用情况,并将其创建的虚拟接入点的资源使用情况发送给资源管理中心,以便对其创建的虚拟接入点进行管理,具体的,所述对虚拟接入点进行管理包括根据虚拟接入点的资源负载情况对虚拟接入点进行负载均衡。
本发明实施例所述网络穿越服务提供方法,通过部署在运营商网络中的安全穿越服务器接收来自终端的接入点查询请求,在运营商租用的网络穿越隧道资源信息中为所述终端选择虚拟接入点,将选择的虚拟接入点的接入信息发送给所述终端,以使所述终端根据所述选择的虚拟接入点的接入信息与所述选择的虚拟接入点建立网络穿越隧道,从而能够根据建立的网络穿越隧道访问所述运营商的核心网,实现网络穿越。由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点,不同的终端可能通过选择的不同的虚拟接入点实现网络穿越,减轻了穿越网关的负担,提升了网络穿越的可靠性。并且,由于虚拟接入点是所述运营商租用的,运营商可以根据业务需求租用多个虚拟接入点,因此不仅降低了运营商的运营成本,也使运营商能够根据租用的多个虚拟接入点为终端提供更好的网络穿越服务,提升了网络穿越的可靠性。
需要说明的是,上述图4、图5及图6所示的实施例都可以由安全穿越服务器来执行,上述三个实施例可以由安全穿越服务器分别执行,也可以组合执行。
图7为本发明实施例提供的一种资源管理中心的物理结构示意图,该资源管理中心可以是一台服务器、计算机或具有计算处理能力的计算节点,只要能够实现网络隧道资源的统一管理即可,在此并不做特别限定。如图7所示,所述资源管理中心70包括:
处理器(processor)710,通信接口(Communications Interface)720,存储器(memory)730,通信总线740。
处理器710、通信接口720以及存储器730通过通信总线740完成相互间的通信。
通信接口720,用于与网元通信,比如运营商管理服务器或安全穿越服务器等。
处理器710,用于执行程序732,具体可以执行上述图2至图3所示的方法实施例中的相关步骤。
具体地,程序732可以包括程序代码,所述程序代码包括计算机操作指令。
处理器710可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器730,用于存放程序732。存储器730可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序732中各功能模块的具体实现可以参见下述图8所示实施例中的相应模块,在此不再赘述。
图8为本发明实施例提供的一种资源管理中心的结构示意图,如图8所示,所述资源管理中心80包括:
接收模块800,用于接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
具体的,为了满足业务流量的需求,运营商可以根据本网络的用户数量及接入需求确定需要租用的网络穿越隧道资源,因此,在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数量,例如,运营商A要租用10个虚拟接入点,且每个虚拟接入点能够同时承载1000个用户的接入需求。当然,可以理解的是,在所述租用请求中还可以携带所述运营商的标识,以使资源管理中心能够识别是哪一个运营商需要租用网络穿越隧道资源。
可以理解的是,在另一种情况下,网络穿越隧道资源租用请求中可以只携带有待承载的总用户数量,由资源管理中心根据所述总用户数量为所述运营商确定所需租用的虚拟接入点数量以及每个虚拟接入点所承载的用户数量。
发送模块805,用于根据所述接收模块800接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述用户数量;
具体的,当接收模块800接收到运营商管理服务器发送的网络穿越隧道资源租用请求后,发送模块805可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令,指示安全穿越服务器根据所述租用请求中的虚拟接入点的数量以及每个虚拟接入点承载的用户数量创建网络穿越隧道资源,其中,网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。
当网络中具有多个安全穿越服务器时,发送模块805可以根据所述租用请求中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源,并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理选择部署于运营商网络中的且空闲资源最多的安全穿越服务器进行网络穿越隧道资源的创建。
接收模块800,还用于接收所述安全穿越服务器根据所述网络穿越隧道资源创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
具体的,当安全穿越服务器完成接入点及业务通道的虚拟化创建后,安全穿越服务器可以根据运营商关联虚拟接入点和业务通道,并返回创建的网络穿越隧道资源的信息给接收模块800,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息,具体的,网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、业务通道的地址、提供业务的网段和租户编号。其中,虚拟接入点的地址可以是IP地址也可以是域名,例如:10.10.10.10或cloud.com,与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址,从而可以使通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网,可以理解的是,业务通道的地址也可以用IP地址或用域名来表示,例如:200.1.1.1或cmcc.com。此外,网络穿越隧道资源的信息还可以包括:协议类型、隧道编号等信息。可以理解的是,安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给接收模块800。
发送模块805,还用于向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
可以理解的是,发送模块805可以将所述网络穿越隧道资源的信息以信息列表的方式发送给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
此外,在一种情形下,本发明实施例提供的资源管理中心80还可以包括:
资源管理模块810,用于对网络穿越隧道资源进行管理和维护。
资源管理模块810可以根据网络穿越隧道资源中的虚拟接入点的使用情况对网络穿越隧道资源进行管理和维护,具体的,资源管理模块810可以接收安全穿越服务器发送的所述虚拟接入点的资源使用情况信息,并根据安全穿越服务器的负载情况进行负载均衡,还可以向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,从而可以通过部署于运营商网络中的多个安全穿越服务器向终端提供多方位的接入服务,并能均衡各接入点的负载量。
广播模块815,用于将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器。
当网络中部署有多个安全穿越服务器时,广播模块815可以将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器,以使所有部署于运营商网络中的安全穿越服务器都能够为终端提供安全穿越服务。
本发明实施例提供的一种资源管理中心,通过接收运营商管理服务器发送的网络穿越隧道资源租用请求,指示部署于运营商网络中心的安全穿越服务器创建相应的虚拟接入点和业务通道,并将创建的网络穿越隧道资源信息返回给运营商管理服务器,使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。从而提供了一种安全穿越即服务(Security Traverse as a Service,STaaS)的运营模式,使得网络穿越隧道资源能够得到统一的管理和维护,解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差且无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题,提升了运营商网络的可扩展性以及网络穿越的可靠性,且降低了运营商的运营成本。
图9为本发明实施例提供的一种安全穿越服务器的结构示意图,所述安全穿越服务器可以部署于各运营商的网络中或部署于STaaS服务提供商自建的网络中,该安全穿越服务器可以是一台服务器、计算机或具有计算处理能力的计算节点,在此并不做特别限定。如图9所示,所述安全穿越服务器90包括:
处理器(processor)910,通信接口(Communications Interface)920,存储器(memory)930,通信总线940、输入设备950以及显示器960。
处理器910、通信接口920、存储器930、输入设备950以及显示器960通过通信总线940完成相互间的通信。
通信接口920,用于与网元通信,其中,网元包括资源管理中心或终端等。
处理器910,用于执行操作系统932以及应用程序934,包括执行上述图4至图6所示的方法实施例中的相关步骤。
具体地,程序932可以包括程序代码,所述程序代码包括计算机操作指令。
处理器910可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器930,用于存放操作系统932以及应用程序934。存储器930可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
操作系统932可以是Windows NT、Windows2007或其他一些Window是版本的操作系统,也可以是Macintosh OS等其他类型的操作系统。
应用程序934中各功能模块的具体实现可以参见下述图10至图12所示实施例中的相应模块,在此不再赘述。
图10为本发明实施了提供的一种安全穿越服务器的结构示意图,如图10所示,本发明实施例所述安全穿越服务器包括:
接收模块1000,用于接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中携带有运营商的标识、要创建的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量。
隧道资源创建模块1005,用于根据接收模块1000接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述用户数量创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入以及与虚拟接入点对接的业务通道。
具体的,隧道资源创建模块1005可以根据所述网络穿越隧道资源创建指令采用虚拟化技术创建满足租用需求的虚拟接入点和与虚拟接入点对接的业务通道,例如可以通过虚拟化进行虚拟接入点资源的分配、IP地址或域名的配置及其他参数的配置,使创建的每个虚拟接入点具有安全穿越网关的功能,能够与终端之间建立虚拟专用网(VirtualPrivate Network,VPN)隧道,为终端提供超文本传输协议(Hyper Text TransferProtocol,HTTP)、安全套接字层(Secure Socket Layer,SSL)、互联网安全协议(InternetProtocol Security,IPSec)、基于数据报协议的传输层安全协议(Datagram TransportLayer Security,DTLS)或用户数据报协议(User Datagram Protocol,UDP)等VPN安全隧道的接入能力。虚拟接入点与运营商核心网的服务器之间可以通过与虚拟接入点对接的业务通道传输报文,即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信,需要说明的是,业务通道的地址就是所述运营商核心网的入口地址。
需要说明的是,当安全穿越服务器中的隧道资源创建模块1005采用虚拟化技术创建虚拟接入点后,虚拟接入点与安全穿越服务器的关系可以是一对一、一对多、多对一以及多对多的对应关系。其中,一对一的对应关系属于基本的网络穿越服务部署场景。一对多的对应关系则是通过一台硬件设备做分流,代理同一个接入点的其他安全穿越服务器,使在逻辑上保证多台安全穿越服务器对外提供同一个接入点服务。多对一是指在一台安全穿越服务器上启动多个虚拟接入点服务,同时不同的虚拟接入点具备租户属性、各自独立的认证授权系统、核心网资源以及各自独立的可重叠的网络、路由表和虚拟防火墙。
可以理解的是,当所述隧道资源创建模块1005根据所述网络穿越隧道资源创建指令为所述运营商创建了网络穿越隧道资源后,可以根据所述运营商的标识关联创建的虚拟接入点和业务通道。
隧道资源发送模块1010,用于向所述资源管理中心返回隧道资源创建模块1005创建的所述网络穿越隧道资源的信息。
其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。具体的,网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、网段和隧道编号,其中,虚拟接入点的地址可以是IP地址也可以是域名,例如:10.10.10.10或cloud.com,业务通道的地址也可以用IP地址或用域名来表示,例如:200.1.1.1或cmcc.com。此外,网络穿越隧道资源的信息还可以包括:协议类型、租户编号、隧道编号以及核心网中提供业务的网段等信息。可以理解的是,隧道资源发送模块1010可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心,在此不做限定。
本发明实施例所述的安全穿越服务器能够根据资源管理中心发送的网络隧道资源创建指令为运营商创建网络穿越隧道资源,以使运营商能够根据租用的网络穿越隧道资源向终端提供网络穿越服务,提升了运营商网络的可扩展性以及网络穿越的可靠性,且降低了运营商的运营成本。
图11为本发明实施例提供的又一种安全穿越服务器的结构示意图,如图11所示,该安全穿越服务器110在图10所示的实施例的基础上:
所述接收模块1000,还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
其中,所述第一虚拟接入点是所述终端任意选择的一个虚拟接入点。此外,所述网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息,其中,终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息,以便于安全穿越服务器对所述终端进行接入认证。
所述安全穿越服务器110还可以包括:
判断模块1105,用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点,如果所述第一虚拟接入点不是选择的虚拟接入点,则触发第一选择模块1110,否则,触发第一响应模块1115。
具体的,判断模块1105可以根据设置的记录表判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点,所述记录表中记录有虚拟接入点的使用情况。如果不是,则说明所述终端为第一次接入,所述第一虚拟接入点是所述终端任意选择的虚拟接入点并不是安全穿越服务器为所述终端选择的最佳的虚拟接入点。此外,安全穿越服务器还可以根据所述第一虚拟接入点的接入位置、负载量或探测响应情况判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的最佳的虚拟接入点。如果不是,则触发第一选择模块1110,否则,触发第一响应模块1115。
第一选择模块1110,用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点,触发第一响应模块1115;
具体的,网络穿越隧道资源的信息包括:虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点,具体的,第一选择模块1110在选择最佳的虚拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。当然,可以理解的是,当所述第一选择模块1110为所述终端选择了虚拟接入点后,会记录下相关的信息,或打上相应的标识,以便下一次接收模块1000接收到所述终端的网络穿越隧道注册请求时,判断模块1105可以快速判断出所述终端中的第一虚拟接入点是否为选择的虚拟接入点。
第一响应模块1115,用于向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有第一选择模块1110选择的第二虚拟接入点信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
具体的,在一种情况下,当安全穿越服务器对所述终端认证通过后,安全穿越服务器可以直接向终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二虚拟接入点信息,完成终端与第二虚拟接入点之间网络穿越隧道的协商,使所述终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网,具体的,第二虚拟接入点可以通过与终端之间建立的网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发送给运营商核心网;接收运营商核心网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给终端。其中,所述终端可以通过第二虚拟接入点为其分配的虚拟IP与所述运营商核心网通信,具体的,被封装的报文中包含有所述第二虚拟接入点为所述终端分配的虚拟IP地址以及所述运营商核心网的地址,封装的外层报文中包含有所述终端的IP地址以及所述第二虚拟接入点的IP地址。需要说明的是,第二虚拟接入点与所述终端之间建立的网络穿越隧道可以是HTTP、SSL、IPSec、DTLS或UDP等类型的VPN安全隧道,在此不再一一列举。
在另一种情况下,第一响应模块1115,还用于向所述终端返回注册失败消息,其中注册失败消息中包含有为所述终端选择的第二虚拟接入点信息,使所述终端能够根据所述第二虚拟接入点信息重新发起网络穿越隧道注册请求。
在又一种情形下,当判断模块1105的判断结果为所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入点时,第一响应模块1115,还用于向所述终端返回网络穿越隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
具体的,当判断模块1105的判断结果为所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入点的情形下,若安全穿越服务器对所述终端认证通过,第一响应模块1115还可以向所述终端返回网络穿越隧道注册成功消息,完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商,使所述终端能够通过与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。具体的,该网络穿越隧道注册成功消息中包含有注册结果,此外还可以包括虚拟互联网协议IP地址及掩码、保持连接报文发送周期和访问策略等信息。
本发明实施例提供的安全穿越服务器,根据所述运营商租用的网络穿越隧道资源信息为所述运营商的终端选择虚拟接入点,并在向终端返回的网络穿越隧道注册成功消息中直接向终端返回为所述终端选择的第二虚拟接入点信息,使得所述终端无需再根据选择的第二虚拟接入点信息再次发起网络穿越隧道注册请求,提高了终端接入的效率。
图12为本发明实施例提供的又一种安全穿越服务器的结构示意图,如图12所示,该安全穿越服务器120在图10所示的实施例的基础上:
所述接收模块1000,还用于接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
在一种情形下,如果所述运营商只租用了一个虚拟接入点,则所述运营商网络中的终端可以直接与所述运营商租用的一个虚拟接入点建立网络穿越隧道,并通过该网络穿越隧道接入所述运营商的核心网,而无须发送接入点查询请求。然而,在实际应用中,一个虚拟接入点远远不能满足用户的接入需求,因此,运营商通常会根据网络中的用户量向STaaS服务提供商租用多个虚拟接入点。此时,为了能够向用户提供更好的服务,用户可以发起一个虚拟接入点的查询请求来查询较佳的虚拟接入点。具体的,所述查询请求中还可以包括所述用户的初始接入点以及要访问的运营商的核心网的地址。
所述安全穿越服务器还可以包括:
第二选择模块1205,用于根据接收模块1000接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息,为所述终端选择虚拟接入点,具体的,网络穿越隧道资源的信息包括:虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的,可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点,具体的,第二选择模块1205在选择最佳的虚拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。例如,本实施例中,以第一虚拟接入点120为最佳的虚拟接入点为例进行说明。可以理解的是,当所述安全穿越服务器为所述终端选择了虚拟接入点后,会记录下相关的信息,或打上相应的标识。
第二响应模块1210,用于向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
当第二选择模块1205根据所述运营商标识在所述运营商租用的网络穿越隧道资源中为所述终端选择了虚拟接入点后,可以向所述终端返回查询响应消息,其中,查询响应消息中包含有选择的虚拟接入点的信息。
所述接收模块1000,还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
当终端接收到第二响应模块1210返回的选择的虚拟接入点的信息后,可以向所述虚拟接入点发起网络穿越隧道注册请求,由于安全穿越服务器是虚拟接入点的集合,因此,安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点发起的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址。此外,网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息,其中,终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息,以便于安全穿越服务器对所述终端进行接入认证。
第二响应模块1210,还用于向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
当安全穿越服务器对所述终端认证通过,会向所述终端返回网络穿越隧道注册成功消息,完成网络穿越隧道的协商。该网络穿越隧道注册成功消息中包含有注册结果,此外还可以包括虚拟互联网协议IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中,安全隧道类型可以包括:超文本传输协议(HyperTextTransferProtocol,HTTP)、安全套接字层(Secure Socket Layer,SSL)、互联网安全协议(Internet Protocol Security,IPSec)、基于数据报协议的传输层安全协议(Datagram Transport Layer Security,DTLS)或用户数据报协议(User Datagram Protocol,UDP)等类型的虚拟专用网(VirtualPrivate Network,VPN)隧道,在此不一一列举。
本发明实施例所述安全穿越服务,接收来自终端的接入点查询请求,在运营商租用的网络穿越隧道资源信息中为所述终端选择虚拟接入点,将选择的虚拟接入点的接入信息发送给所述终端,以使所述终端根据所述选择的虚拟接入点的接入信息与所述选择的虚拟接入点建立网络穿越隧道,从而能够根据建立的网络穿越隧道访问所述运营商的核心网,实现网络穿越。由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点,不同的终端可能通过选择的不同的虚拟接入点实现网络穿越,减轻了穿越网关的负担,提升了网络穿越的可靠性。
需要说明的是,上述图10、图11及图12所示的实施例可以结合使用,也可以单独使用,在此不做限定。可以理解的是,当图11和图12所示的实施例结合使用时,第二选择模块1205与第一选择模块1110可以合并为一个模块,第二响应模块1210与第一响应模块1115也可以合并为一个模块。
如图13所示,图13为本发明实施例提供的一种安全穿越即服务(SecureTraverseAsA Service,STaaS)的网络系统图,如图13所示,该网络系统130包括资源管理中心1300、安全穿越服务器1305以及虚拟接入点1310,其中,安全穿越服务器1305可以有一个或多个,虚拟接入点1310也可以有一个或多个。安全穿越服务器1305为多个虚拟接入点1310的集合,可以部署于运营商的互联网数据中心(Internet Data Center,IDC)也可以部署于StaaS提供商自建的网络中。资源管理中心1300用于对所有安全穿越服务器1305创建的网络穿越隧道资源进行统一管理,具体的,安全穿越服务器1305的数量可以根据服务区域、用户数量等进行设定,虚拟接入点1310的数量可以根据运营商的租用请求来进行创建。其中:
资源管理中心1300,用于接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令;接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息;向所述运营商管理服务器发送所述网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
安全穿越服务器1305,用于根据资源管理中心1300发送的网络穿越隧道资源创建指令进行网络穿越隧道资源的创建,并向资源管理中心1300返回创建的网络穿越隧道资源的信息,其中,所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;接收终端发送的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
虚拟接入点1310,用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发送给运营商核心网;接收运营商核心网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给终端。
在本发明实施例中,STaaS提供商通过资源管理中心1300向运营商提供网络穿越服务资源的出租式服务,STaaS提供商承担网络穿越服务资源的管理运营,运营商可以根据自己的实际需求,通过互联网向STaaS提供商租用所需的网络穿越隧道资源,并按租用的服务的数量及使用时间向STaaS提供商支付费用,同时运营商也可以通过互联网获得STaaS提供商对其所提供的网络穿越隧道资源的维护等服务。其中资源管理中心1300、安全穿越服务器1305的详细描述可以参见前述相关实施例,在此不再赘述。
本发明实施例提供的STaaS网络系统,创建了安全穿越即服务(SecurityTraverse as a Service,STaaS)的运营模式,可以根据运营商的租用需求为所述运营商创建网络穿越隧道资源,并向运营商出租创建的网络穿越隧道资源,使得运营商可以通过租用的网络穿越隧道资源向终端提供网络穿越服务,使得终端可以访问运营商的核心网。从而使得网络穿越隧道资源能够得到统一的管理和维护,解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差且无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题,提升了运营商网络的可扩展性以及网络穿越的可靠性,降低了运营商的运营成本。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (33)

1.一种网络穿越服务的提供方法,其特征在于,所述方法包括:
资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
所述资源管理中心根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量,所述网络穿越隧道资源创建指令用于指示所述安全穿越服务器根据所述虚拟接入点的数量和所述每个虚拟接入点承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足运营商租用需求的网络穿越隧道资源;
所述资源管理中心接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
所述资源管理中心向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。
2.根据权利要求1所述的方法,其特征在于,所述资源管理中心根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令包括:
根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
3.根据权利要求1所述的方法,其特征在于,所述网络穿越隧道资源租用请求中还携带有运营商标识,所述运营商标识用于识别运营商。
4.根据权利要求1所述的方法,其特征在于,所述虚拟接入点为虚拟化的安全穿越网关,能够为终端提供虚拟专用网VPN隧道的接入能力。
5.根据权利要求1所述的方法,其特征在于,还包括:
所述资源管理中心向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。
6.根据权利要求1-5任意一项所述的方法,其特征在于,还包括:
所述资源管理中心接收所述安全穿越服务器发送的所述每个虚拟接入点的资源使用情况信息,并根据安全穿越服务器的负载情况进行负载均衡。
7.一种网络穿越服务的提供方法,其特征在于,包括:
安全穿越服务器接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虚拟接入点能够承载的用户数量;
所述安全穿越服务器根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道;
所述安全穿越服务器向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。
8.根据权利要求7所述的方法,其特征在于,还包括:
所述安全穿越服务器接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
所述安全穿越服务器根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
所述安全穿越服务器向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
所述安全穿越服务器接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
所述安全穿越服务器向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
9.根据权利要求7所述的方法,其特征在于,还包括:
所述安全穿越服务器接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
所述安全穿越服务器判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点;
如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点,则所述安全穿越服务器根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点;
所述安全穿越服务器向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
10.根据权利要求9所述的方法,其特征在于,所述所述安全穿越服务器根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点包括:
根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
11.根据权利要求9或10所述的方法,其特征在于,还包括:
如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点,则所述安全穿越服务器向所述终端返回隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
12.一种资源管理中心,其特征在于,包括:
接收模块,用于接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
发送模块,用于根据所述接收模块接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量,所述网络穿越隧道资源创建指令用于指示所述安全穿越服务器根据所述虚拟接入点的数量和所述每个虚拟接入点承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足运营商租用需求的网络穿越隧道资源;
所述接收模块,还用于接收所述安全穿越服务器根据所述网络穿越隧道资源创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
所述发送模块,还用于向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。
13.根据权利要求12所述的资源管理中心,其特征在于,所述虚拟接入点为虚拟化的安全穿越网关,为终端提供虚拟专用网VPN隧道的接入能力。
14.根据权利要求12所述的资源管理中心,其特征在于,所述网络穿越隧道资源租用请求中还携带有运营商标识,所述运营商标识用于识别运营商。
15.根据权利要求12所述的资源管理中心,其特征在于:
所述发送模块具体用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。
16.根据权利要求12-15任意一项所述的资源管理中心,其特征在于,还包括:
资源管理模块,用于对所述网络穿越隧道资源进行管理和维护;
广播模块,用于向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。
17.一种安全穿越服务器,其特征在于,包括:
接收模块,用于接收资源管理中心发送的网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量;
隧道资源创建模块,用于根据接收模块接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道;
隧道资源发送模块,用于向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源的信息。
18.根据权利要求17所述的安全穿越服务器,其特征在于:
所述接收模块,还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
所述安全穿越服务器还包括:
判断模块,用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点;
第一选择模块,用于如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点;
第一响应模块,用于向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有所述第一选择模块选择的所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
19.根据权利要求17所述的安全穿越服务器,其特征在于:
所述接收模块,还用于接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
所述安全穿越服务器还包括:
第二选择模块,用于根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
第二响应模块,用于向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
所述接收模块,还用于接收来自终端的隧道注册请求,所述隧道注册请求中包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址;
所述第二响应模块,还用于向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
20.根据权利要求17-19任意一项所述的安全穿越服务器,其特征在于:
所述虚拟接入点为虚拟化的安全穿越网关,能够为终端提供虚拟专用网VPN隧道的接入能力。
21.根据权利要求18所述的安全穿越服务器,其特征在于,所述第一选择模块具体用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
22.根据权利要求19所述的安全穿越服务器,其特征在于,所述第二选择模块具体用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
23.根据权利要求18所述的安全穿越服务器,其特征在于,当所述判断模块判断所述第一虚拟接入点是为所述安全穿越服务器为所述终端选择的虚拟接入点时,所述第一响应模块,还用于向所述终端返回隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
24.一种资源管理中心,其特征在于:
所述资源管理中心包括处理器、通信接口、存储器和通信总线;
其中,所述处理器和所述通信接口通过所述通信总线进行通信;
所述通信接口,用于与运营商管理服务器以及安全穿越服务器进行通信;
所述存储器用于存储程序;
所述处理器用于执行所述程序,以实现接收运营商管理服务器发送的网络穿越隧道资源租用请求,所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量;
根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令,所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量,所述网络穿越隧道资源创建指令用于指示所述安全穿越服务器根据所述虚拟接入点的数量和所述每个虚拟接入点承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足运营商租用需求的网络穿越隧道资源;
接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息,其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息;
向所述运营商管理服务器发送所述网络穿越隧道资源的信息,使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。
25.根据权利要求24所述的资源管理中心,其特征在于,所述处理器还用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送网络穿越隧道资源创建指令。
26.根据权利要求24-25任意一项所述的资源管理中心,其特征在于,所述处理器还用于对网络穿越隧道资源进行管理和维护;并向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息,以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。
27.一种安全穿越服务器,其特征在于:
所述安全穿越服务器包括处理器、通信接口、存储器以及通信总线;
其中,所述处理器以及所述存储器通过通信总线完成相互间的通信;
所述通信接口用于与资源管理中心或终端通信;
所述存储器,用于存放操作系统以及应用程序;
所述处理器用于执行所述操作系统以及所述应用程序,包括:
接收资源管理中心发送的网络穿越隧道资源创建指令,网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虚拟接入点能够承载的用户数量;
根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量,通过虚拟化技术进行虚拟接入点资源的分配、网际协议IP地址或域名的配置,以创建满足所述运营商租用需求的网络穿越隧道资源,其中所述网络穿越隧道资源包括虚拟接入以及与虚拟接入点对接的业务通道;
向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源的信息。
28.根据权利要求27所述的安全穿越服务器,其特征在于:
所述处理器还用于接收来自终端的网络穿越隧道注册请求,所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址;
判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点;
如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点,则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点;
向所述终端返回网络穿越隧道注册成功消息,所述网络穿越隧道注册成功消息中包含有所述第二虚拟接入点的信息,使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
29.根据权利要求28所述的安全穿越服务器,其特征在于:
所述处理器具体根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
30.根据权利要求28或29所述的安全穿越服务器,其特征在于:
如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点,所述处理器,还用于向所述终端返回隧道注册成功消息,使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。
31.根据权利要求27所述的安全穿越服务器,其特征在于:
所述处理器还用于接收来自终端的接入点查询请求,所述查询请求中携带有所述终端所属的运营商的标识;
根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点;
向所述终端返回查询响应消息,所述查询响应消息中包含有选择的虚拟接入点的信息;
接收来自终端的隧道注册请求,所述隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址;
向所述终端返回网络穿越隧道注册成功消息,使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。
32.根据权利要求31所述的安全穿越服务器,其特征在于,所述处理器具体根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。
33.一种安全穿越服务提供系统,其特征在于,包括虚拟接入点、如权利要求12-16任意一项所述的资源管理中心以及如权利要求17-23任意一项所述的安全穿越服务器,其中:
所述虚拟接入点,用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文,并将所述报文解封装后发送给运营商核心网;接收所述运营商核心网返回的响应报文,将所述响应报文封装后通过所述网络穿越隧道发送给所述终端。
CN201280006197.9A 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统 Active CN103947172B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/084827 WO2014075312A1 (zh) 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统

Publications (2)

Publication Number Publication Date
CN103947172A CN103947172A (zh) 2014-07-23
CN103947172B true CN103947172B (zh) 2018-02-02

Family

ID=50730526

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280006197.9A Active CN103947172B (zh) 2012-11-19 2012-11-19 一种网络穿越服务的提供方法、装置及系统

Country Status (4)

Country Link
US (1) US9838261B2 (zh)
EP (1) EP2819363B1 (zh)
CN (1) CN103947172B (zh)
WO (1) WO2014075312A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US20140334336A1 (en) 2013-05-10 2014-11-13 Relay2, Inc. Multi-Tenant Virtual Access Point- Network Resources Virtualization
US9473506B1 (en) 2013-10-15 2016-10-18 Progress Software Corporation Secure file transfer and notification server
US9531678B1 (en) 2013-10-15 2016-12-27 Progress Software Corporation On-premises data access and firewall tunneling
US9467478B1 (en) * 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
US10515538B2 (en) * 2014-11-24 2019-12-24 Carrier Corporation Communication systems
JP2018507639A (ja) * 2015-01-28 2018-03-15 アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. グローバル仮想ネットワークについてのシステム及び方法
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
CN107306386B (zh) * 2016-04-22 2020-02-14 华为技术有限公司 接入点触发终端漫游的方法及接入点
US10856243B2 (en) * 2016-06-24 2020-12-01 The University Of Western Ontario System, method, and apparatus for end-to-end synchronization, adaptive link resource reservation and data tunneling
CN111224857A (zh) 2016-06-29 2020-06-02 华为技术有限公司 用于实现组合虚拟专用网vpn的方法与装置
US10681677B2 (en) * 2016-12-27 2020-06-09 Intel Corporation Coordinated transmissions among virtual access points (VAPS)
US11051239B2 (en) * 2017-07-07 2021-06-29 Nokia Solutions And Networks Oy Multiple air interface aggregation supporting multivendor 4G/5G networks
US10616182B1 (en) 2017-11-30 2020-04-07 Progress Software Corporation Data access and firewall tunneling using a custom socket factory
JP7028035B2 (ja) * 2018-04-10 2022-03-02 日本電信電話株式会社 通信システム、及び通信方法
US10349454B1 (en) 2018-05-16 2019-07-09 At&T Intellectual Property I, L.P. Software demarcation in edge computing environment
EP3873052B1 (de) * 2020-02-28 2022-08-03 Siemens Aktiengesellschaft Onboarding eines geräts in einem mandantenfähigen virtuellen netz eines industrienetzwerks
US11979826B2 (en) * 2021-09-29 2024-05-07 Hewlett Packard Enterprise Development Lp Selection of a transmitting VAP for a MBSSID set
CN114338153B (zh) * 2021-12-28 2023-07-25 杭州迪普科技股份有限公司 一种IPSec的协商方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060191005A1 (en) * 2005-02-23 2006-08-24 Sbc Knowledge Ventures, L.P. Centralized access control system and methods for distributed broadband access points
CN101599979A (zh) * 2009-07-10 2009-12-09 迈普通信技术股份有限公司 基于隧道的ip电信网实现方法
CN101843131A (zh) * 2007-11-01 2010-09-22 高通股份有限公司 在无线通信系统中的资源调节

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7000014B2 (en) * 1999-04-02 2006-02-14 Nortel Networks Limited Monitoring a virtual private network
US7415512B1 (en) * 2001-05-24 2008-08-19 Cisco Technology, Inc. Method and apparatus for providing a general purpose computing platform at a router on a network
US7379465B2 (en) * 2001-12-07 2008-05-27 Nortel Networks Limited Tunneling scheme optimized for use in virtual private networks
US20050026596A1 (en) * 2003-07-28 2005-02-03 Oren Markovitz Location-based AAA system and method in a wireless network
US7496651B1 (en) * 2004-05-06 2009-02-24 Foundry Networks, Inc. Configurable geographic prefixes for global server load balancing
JP4394590B2 (ja) * 2005-02-22 2010-01-06 株式会社日立コミュニケーションテクノロジー パケット中継装置および通信帯域制御方法
US8725138B2 (en) * 2005-03-30 2014-05-13 Alcatel Lucent Methods for network selection and discovery of service information in public wireless hotspots
US9288276B2 (en) * 2006-11-03 2016-03-15 At&T Intellectual Property I, L.P. Application services infrastructure for next generation networks including a notification capability and related methods and computer program products
US20100093359A1 (en) * 2008-10-13 2010-04-15 Mark Gallagher Methods and apparatus for encapsulating femtocell traffic
US8543673B2 (en) * 2009-04-21 2013-09-24 Alcatel Lucent Rapid provisioning of network devices using automated configuration
US8498267B2 (en) * 2009-05-01 2013-07-30 At&T Mobility Ii Llc Access control for macrocell to femtocell handover
US8606173B2 (en) * 2009-06-11 2013-12-10 Electronics And Telecommunications Research Institute Communication relay method and apparatus based on object sensing function
JP5370946B2 (ja) * 2011-04-15 2013-12-18 株式会社日立製作所 リソース管理方法及び計算機システム
US8539055B2 (en) * 2011-06-30 2013-09-17 Aruba Networks, Inc. Device abstraction in autonomous wireless local area networks
US9276838B2 (en) * 2012-10-05 2016-03-01 Futurewei Technologies, Inc. Software defined network virtualization utilizing service specific topology abstraction and interface

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060191005A1 (en) * 2005-02-23 2006-08-24 Sbc Knowledge Ventures, L.P. Centralized access control system and methods for distributed broadband access points
CN101843131A (zh) * 2007-11-01 2010-09-22 高通股份有限公司 在无线通信系统中的资源调节
CN101599979A (zh) * 2009-07-10 2009-12-09 迈普通信技术股份有限公司 基于隧道的ip电信网实现方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"implementing network virtualization for a future internet";Panagiotis Papadimitriou et al.;《20th ITC Specialist Seminar on Network Virtualization-Concept and Performance Aspects》;20090531;第2页第A部分第1段至第3页第C部分 *

Also Published As

Publication number Publication date
WO2014075312A1 (zh) 2014-05-22
CN103947172A (zh) 2014-07-23
US9838261B2 (en) 2017-12-05
EP2819363A1 (en) 2014-12-31
EP2819363B1 (en) 2017-01-11
EP2819363A4 (en) 2015-05-20
US20150006737A1 (en) 2015-01-01

Similar Documents

Publication Publication Date Title
CN103947172B (zh) 一种网络穿越服务的提供方法、装置及系统
CN104067565B (zh) 用于多租户访问网络的连接系统
CN102316092B (zh) 用于移动设备的具有快速重新连接的vpn网络客户端
CN104320418B (zh) 提供对远程服务的本地安全网络访问
CN106464736B (zh) 用于基于云的服务交换的实时配置和管理的互连平台
CN102333110B (zh) 用于移动设备的具有动态翻译用户主页的vpn网络客户端
CN105471596B (zh) 网络管理的方法和装置
CN102316093B (zh) 用于移动设备的双模式多服务vpn网络客户端
CN104067591B (zh) 用于全球实时远程通信的设备、系统及方法
CN104090825B (zh) 动态迁移计算机网络
US8117292B2 (en) Server for routing connections between the server and a client machine
CN110169089A (zh) 用于应用友好型协议数据单元会话管理的系统和方法
US20020143960A1 (en) Virtual network generation system and method
CN109314708A (zh) 网络可访问性检测控制
CN107409079A (zh) 用于全局虚拟网络的系统和方法
CN107077432A (zh) Https请求充实
CN102811335B (zh) 建立视频会话的方法、设备和系统
CN101212374A (zh) 实现校园网资源远程访问的方法和系统
CN102333306A (zh) 用于移动设备的多服务vpn网络客户端
JP2002111870A (ja) 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
CN104040964B (zh) 跨服务区通信的方法、装置和数据中心网络
CN103023898A (zh) 一种访问vpn服务端内网资源的方法及装置
CN102333075A (zh) 用于移动设备的具有动态故障转移的多服务vpn网络客户端
CN102316153A (zh) 对网页邮件本地接入动态构造显示的vpn网络客户端
Aboba et al. Criteria for evaluating roaming protocols

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant