WO2014075312A1

WO2014075312A1 - 一种网络穿越服务的提供方法、装置及系统

Info

Publication number: WO2014075312A1
Application number: PCT/CN2012/084827
Authority: WO
Inventors: 陈爱平; 张战兵
Original assignee: 华为技术有限公司
Priority date: 2012-11-19
Filing date: 2012-11-19
Publication date: 2014-05-22
Also published as: US20150006737A1; CN103947172B; US9838261B2; EP2819363A1; CN103947172A; EP2819363B1; EP2819363A4

Abstract

本发明实施例提供了一种网络穿越服务提供方法、装置及系统，根据接收的运营商管理服务器发送的网络穿越隧道资源租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，并将所述安全穿越服务器创建的网络穿越隧道资源的信息发送给向所述运营商管理服务器，其中，所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息，使得所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。本发明实施例提供的网络穿越服务提供方法能够提升运营商网络的可扩展性以及网络穿越的可靠性。

Description

一种网络穿良务的提供方法、装置及系统技术领域

本发明涉及通信技术领域，尤其涉及一种网络穿越服务的提供方法、装置及系统。背景技术近年来随着信息技术与通信技术融合的不断加速，互联网通信与传统无线 / 固网通信的界限已经迅速淡化。全球通信运营商为了应对互联网业务运营商的挑战，加速部署基于网际协议 (Internet Protocol, IP)的融合通信业务。由于互联网的开放性，企业、个人、家庭、公共场所等接入环境复杂多样，对于融合通信运营来说，存在诸多安全和接入挑战。在互联网上推广融合通信业务的过程中，既涉及到个人隐私或者企业机密的保护，又涉及到如何保障业务在各种复杂的接入网络环境中畅通无阻地到达融合通信运营商的核心网。在开放的互联网环境下使用融合通信业务，存在因防火墙的端口限制、网络地址转换 ( Network Address Translation, NAT )应用层网关 ( Application Layer Gateway, ALG )处理或代理服务器限制等造成某些业务流量无法到达融合通信运营商的核心网的问题，且还可能因为互联网和移动互联网接入的动态性和复杂性导致业务数据被非法窃听或篡改。基于上述问题，如何实现业务流量的安全穿越，并通过安全穿越方案保障融合通信业务的安全性和可用性，是提供高融合通信业务质量的必备要素。

现有技术中提供了一种基于安全穿越网关的网络穿越方案，通过在运营商网絡中部署安全穿越网关（Secure Traversing Gateway, STG ), 提供超文本传输协议（ Hyper Text Transfer Protocol, HTTP )、安全套接字层（ Secure Socket Layer, SSL)、互联网安全协议（ Internet Protocol Security, IPSec )、基于数据协议的传输层安全（Datagram Transport Layer Security, DTLS )协议或用户数据报协议 (User Datagram Protocol, UDP ) 安全隧道的接入能力，用户业务终端实现 HTTP、 SSL、 IPSec、 DTLS和 UDP安全隧道客户端功能，客户端与融合通信服务器之间的各种报文通过协商的 HTTP、 SSL、 IPSec、 DTLS或 UDP安全隧道进行传输，从而能够实现防火墙、 NAT.代理、 Web安全网关等网元的穿越，既保障了业务数据的安全性和穿越能力，又保障了服务质量。

但是，现有技术中，由于安全穿越网关集中部署于融合通信运营商核心网，需要融合通信运营商自行釆购和维护安全穿越网关设备，运营成本较高，并且可扩展性较差。发明内容

本发明实施例中提供的一种网络穿越服务的提供方法、装置及系统，具有较强的网络扩展性。

第一方面，本发明实施例提供一种网络穿越服务的提供方法，包括：接收运营商管理服务器发送的网絡穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量；根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟接入点承载的用户数量；

接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虛拟接入点承载的用户数量创建的网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息；

向所述运营商管理服务器发送所述网络穿越隧道资源的信息，使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。

在第一方面的第一种可能的实现方式中，所述根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令包括：

根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。

结合第一方面或第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述虚拟接入点为虚拟化的安全穿越网关，能够为终端提供虚拟专用网 VPN隧道的接入能力。结合第一方面、第一方面的第一种可能的实现方式或第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中, 本发明提供的网络穿越服务的提供方法还包括：

向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息，以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。

第二方面，本发明实施例提供一种网络穿越服务的提供方法，包括：接收资源管理中心发送的网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中携带有运营商租用需求的虛拟接入点的数量以及每个虚拟接入点能够承载的用户数量；

根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承栽的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道；

向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。

在第二方面的第一种可能的实现方式中，本发明提供的网络穿越服务的提供方法还包括：

接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虛拟接入点；

向所述终端返回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；

接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册奇求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址；

向所述终端返回网络穿越隧道注册成功消息，使所述终端才艮据所述运营商的核心网地址以及与所述虛拟接入点建立的网络穿越隧道访问所述运营商的核心网。

结合第二方面或第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，本发明提供的网络穿越服务的提供方法还包括：接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虛拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；

判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点；

如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虛拟接入点，则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点；

向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有所述第二虚拟接入点的信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点包括：

根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户负栽量最小或接入位置最近或探测响应最快的虚拟接入点。

结合第二方面的第二种可能的实现方式或第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，本发明提供的网络穿越服务的提供方法还包括：

如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点，则向所述终端返回隧道注册成功消息，使所述终端才艮据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

第三方面，本发明提供一种资源管理中心，包括：

接收模块，用于接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量；

发送模块，用于根据所述接收模块接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量；

所述接收模块，还用于接收所述安全穿越服务器根据所述网络穿越隧道资源创建指令中的所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息；

所述发送模块，还用于向所述运营商管理服务器发送所述网络穿越隧道资源的信息，使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。

在第三方面的第一种可能的实现方式中，所述虚拟接入点为虚拟化的安全穿越网关，为终端提供虚拟专用网 VPN隧道的接入能力。

结合第三方面或第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述发送模块具体用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。

结合第三方面、第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式，在第三方面的第三种可能的实现方式中，本发明提供的资源管理中心还包括：

资源管理模块，用于对所述网络穿越隧道资源进行管理和维护；广播模块，用于向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网絡穿越隧道资源的信息，以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。

第四方面，本发明提供一种安全穿越服务器，包括：

接收模块，用于接收资源管理中心发送的网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量；

隧道资源创建模块，用于根据接收模块接收的网络穿越隧道资源创建指令中的所述虛拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虛拟接入点以及与虚拟接入点对接的业务通道；

隧道资源发送模块，用于向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源的信息。

在第四方面的第一种实现方式中，所述接收模块，还用于接收来自终端的网络穿越隧道注册奇求，所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；所述安全穿越服务器还包括：

判断模块，用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点；

第一选择模块，用于如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点，则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点；

第一响应模块，用于向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有所述第一选择模块选择的所述第二虚拟接入点的信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

结合第四方面或第四方面的第一种可能的实现方式，在第四方面的第二种可能的实现方式中，所述接收模块，还用于接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

所述安全穿越服务器还包括：

第二选择模块，用于根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点；

第二响应模块，用于向所述终端返回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；

所述接收模块，还用于接收来自终端的隧道注册请求，所述隧道注册请求中包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址；所述第二响应模块，还用于向所述终端返回网络穿越隧道注册成功消息，使所述终端根据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。

结合第四方面、第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式，在第四方面的第三种可能的实现方式中，所述虛拟接入点为虚拟化的安全穿越网关，能够为终端提供虚拟专用网 VPN隧道的接入能力。

结合第四方面的第一种可能的实现方式，在第四方面的第四种可能的实现方式中，所述第一选择模块具体用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虛拟接入点。

结合第四方面的第一种可能的实现方式，在第四方面的第五种可能的实现方式中，当所述判断模块判断所述第一虚拟接入点是为所述安全穿越服务器为所述终端选择的虚拟接入点时，所述第一响应模块，还用于向所述终端返回隧道注册成功消息，使所述终端根据与所述第一虛拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

第五方面，本发明提供一种安全穿越服务提供系统，包括虚拟接入点、上述的资源管理中心的任意一种实现方式以及上述的安全穿越服务器的任意一种实现方式，其中：

所述虚拟接入点，用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文，并将所述报文解封装后发送给运营商核心网；接收所述运营商核心网返回的响应报文，将所述响应报文封装后通过所述网络穿越隧道发送给所述终端。本发明实施例中提供了一种实现网絡穿越服务提供方法、装置及系统，通过接收运营商管理服务器发送的网络穿越隧道资源租用请求，根据所述租用请求中携带的待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量向安全穿越服务器发送网络穿越隧道资源创建指令，接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息，并将所述网络穿越隧道资源的信息发送给所述运营商管理服务器，使所述运营商管理服务器能够根据所述虚拟接入点信息和所述业务通道信息向终端提供网络穿越服务。从而解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差的技术问题，并且，由于将安全穿越即服务作为一种运营模式来提供，可以由安全穿越即服务（ Secure Traverse As A Serv ice , STaaS ) 提供商统一承担网络穿越服务资源的管理运营，融合通信运营商可以通过租用 STaaS提供商提供的网络穿越服务资源来向终端用户提供网络穿越服务，从而能够降低融合通信运营商的运营成本，提升了运营商网络的可扩展性。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下 , 还可以根据这些附图获得其他的附图。

图 1是本发明实施例中提供的一种网络穿越服务提供方法的应用场景图；图 2为本发明实施例提供的一种网络穿越服务提供方法的流程图；图 3为本发明实施例提供的又一种网络穿越服务提供方法的信令图；图 4为本发明实施例提供的又一种网络穿越服务提供方法的流程图；图 5为本发明实施例提供的又一种网络穿越服务提供方法的流程图；图 6为本发明实施例提供的又一种网络穿越服务提供方法流程图；图 7为本发明实施例提供的一种资源管理中心的物理结构示意图；图 8为本发明实施例提供的又一种资源管理中心的结构示意图；图 9为本发明实施例提供的一种安全穿越服务器的结构示意图；图 10为本发明实施例提供的又一种安全穿越服务器的结构示意图；图 11为本发明实施例提供的又一种安全穿越服务器的结构示意图；图 12为本发明实施了提供的又一种安全穿越服务器的结构示意图；图 13为本发明实施例提供的一种安全穿越即服务的网絡系统图。具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

如图 1所示，图 1为本发明实施例的一种应用场景，为了描述方便，本发明实施例将融合通信运营商简称为运营商，没有特殊说明的情况下，本发明实施例所述的运营商均为能够提供融合通信业务的融合通信运营商。在图 1所述的一种应用场景中，第一网络可以为运营商 A的接入网，第二网络可以为运营商 B的接入网，第三网络可以为运营商 A的核心网，第四网络可以为运营商 B的核心网，终端 110和终端 111可以通过虎拟接入点 120穿越到第三网络或第四网络，终端 112和终端 113可以通过虚拟接入点 122穿越到第三网络或第四网络。网络穿越隧道资源管理中心 121负责网络穿越隧道资源的统计、管理和分配，其中，网络穿越隧道资源包含有虚拟接入点和与虚拟接入点对接的业务通道，其中，虚拟接入点是虛拟化的安全穿越网关，能够提供超文本传榆协议（Hyper Tex t Transfer Protoco L , HTTP )、安全套接字层（Secure Socke t Layer , SSL ), 互联网安全协议（ Internet Pro t oco l Secur i ty , IPSec )、基于数据报协议的传输层安全协议（ Datagram Transpor t Layer Secur i ty , DTLS )或用户数据报协议（ Us er Datagram Protocol , UDP )安全隧道的接入能力。例如，终端 110发出的数据包从虚拟接入点 120接入第一网络（融合通信运营商 A的接入网），并通过与虚拟接入点 120对接的业务通道到达第三网络（融合通信运营商 A的核心网），达到终端 110访问融合通信运营商 A的核心网的目的。

安全穿越服务器为多个虚拟接入点的集合，可以部署于运营商的互联网数据中心（Internet Data Cent er , IDC ), 向终端提供网络穿越服务，使终端能够通过安全穿越服务器选择的虚拟接入点达到访问运营商核心网的目的。安全穿越服务器 123和安全穿越服务器 124负责管理、建立和选择虛拟接入点，安全穿越服务器 123可以根据运营商的租用请求创建多个虚拟接入点（即虚拟化的安全穿越网关），例如，安全穿越服务器 123可以创建虚拟接入点 120和虚拟接入点 125 , 安全穿越服务器 124可以创建虚拟接入点 122和虚拟接入点 126。虚拟接入点由安全穿越服务器虚拟化生成，物理位置可以处于安全穿越服务器上，图 1中为了表述清楚，将虚拟接入点和安全穿越服务器分开进行图示和描迷。多个安全穿越服务器及虚拟接入点构成了网络穿越服务云，为多个运营商提供网络穿越服务。

图 2为本发明实施例提供的一种网络穿越服务提供方法的流程图，该方法可以由如图 1所示的网络系统中的资源管理中心 121来执行，如图 2所示，该方法包括：

步驟 200，接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量，进入步骤 205 ;

在本发明实施例中，为了减少运营商自行维护安全穿越网关所带来的运营成本高、网络扩展能力差等问题，将网络穿越隧道资源以一种服务的方式租用给运营商，由专业的服务提供商承担网络穿越服务资源的管理运营，并通过资源管理中心向运营商提供网络穿越服务资源的出租式服务，使运营商可以根据自己的实际需求，通过互联网向服务提供商租用所需的网络穿越隧道资源，并按租用的服务的数量及使用时间向服务提供商支付费用，同时运营商也可以通过互联网获得服务提供商对其所提供的网络穿越隧道资源的维护等服务，以使终端能够通过运营商租用的网络穿越隧道资源实现访问运营商核心网的网络穿越目的。我们可以将这种运营模式称为安全穿越即服务 ( Secure Traverse As A Serv ice , STaaS ) 的运营模式，将这种服务提供商称为 STaaS )提供商。

具体的，在本步骤中，当运营商需要租用网络穿越隧道资源时，由运营商管理服务器将向资源管理中心发送网络穿越隧道资源租用请求，其中，运营商管理服务器是运营商设置的用于管理其网络中的网络穿越隧道资源的服务器。网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道，虚拟接入点供终端接入使用，业务通道供融合通信业务运营商的核心网使用，使终端能够通过接入点接入运营商的网络，并通过业务通道访问运营商的核心网。为了满足业务流量的需求，运营商可以根据本网络的用户数量及接入需求确定需要租用的网络穿越隧道资源，因此，在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数量，例如，运营商 A要租用 10 个虚拟接入点，且每个虚拟接入点能够同时承载 1000个用户的接入需求。当然，可以理解的是，在所述租用请求中还可以携带所述运营商的标识，以使资源管理中心能够识别是哪一个运营商需要租用网络穿越隧道资源。

可以理解的是，在另一种情况下，网络穿越隧道资源租用请求中可以携带有待承载的总用户数量，由资源管理中心根据所述总用户数量为所述运营商确定所需租用的虚拟接入点数量以及每个虚拟接入点所承载的用户数量。

步骤 205，根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，进入步驟 210;

具体的，当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求后 ,资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令，指示安全穿越服务器根据所述租用请求中的虚拟接入点的数量以及每个虛拟接入点承载的用户数量创建网络穿越隧道资源，其中，网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。

当网络中具有多个安全穿越服务器时，资源管理中心可以根据所述租用请求中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源，并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理向部署于运营商网络中的且空闲资源最多的安全穿越服务器发送网络穿越隧道资源创建指令，指示该安全穿越服务器进行网络穿越隧道资源的创建。

步骤 210 , 接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息，进入步骤 215；

具体的，当安全穿越服务器完成接入点及业务通道的虛拟化创建后，安全穿越服务器可以根据运营商关联虚拟接入点和业务通道，并返回创建的网络穿越隧道资源的信息给资源管理中心，其中，所述网絡穿越隧道资源的信息包括虚拟接入点信息和业务通道信息，具体的，虛拟接入点的信息可以包括：虚拟接入点的地址、虚拟接入点的租户信息、协议类型、隧道编号信息等，所述业务通道信息包括：业务通道地址以及核心网中提供业务的网段等信息，其中，所述虚拟接入点的租户信息，可以包括所述虚拟接入点所属的运营商、以及该租户的编号等信息。。可以理解的是，安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心。

步驟 215，向所述运营商管理服务器发送所述网络穿越隧道资源的信息，使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。

可以理解的是，资源管理中心可以将所述网络穿越隧道资源的信息以信息列表的方式发送给运营商管理服务器，使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。

本发明实施例提供的一种实现网络穿越服务提供方法，根据接收的网络穿越隧道资源租用请求指示安全穿越服务器创建运营商所需的虚拟接入点和业务通道，并将创建的网络穿越隧道资源信息返回给运营商管理服务器，使运营商管理服务器能够根据所述虛拟接入点信息和业务通道信息向终端提供网络穿越服务。从而提供了一种安全穿越即服务 ( Secur i ty Traver s e a s a Serv ice , STaaS ) 的运营模式，使得网络穿越隧道资源能够得到统一的管理和维护，解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差的技术问题，提升了运营商网络的可扩展性，且降低了运营商的运营成本。而且进一步地，还可以提高网络穿越的可靠性

图 3为本发明实施例提供的叉一种网络穿越服务提供方法的信令图。如图 3 所示，该方法包括：

步骤 300 , 运营商管理服务器向资源管理中心发送网络穿越隧道资源租用请求，其中，所述租用请求中携带有所述运营商的标识、待租用的虚拟接入点的数量以及每个虛拟接入点承载的用户数量，进入步骤 305 ;

其中，运营商标识是用于使资源管理中心识别运营商的租用请求，例如，是移动的管理服务器还是联通的管理服务器发出的租用请求。为了满足业务流量的需求，运营商可以根据本网絡的用户数量及接入需求等业务需求确定需要租用的网络穿越隧道资源，其中，网絡穿越隧道资源包括虚拟接入点和业务通道。因此，在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承栽的用户数量，例如，运营商 A要租用 10个虚拟接入点，且每个虚拟接入点能够同时承载 1000个用户的接入需求。可以理解的是，由于业务通道是与虚拟接入点对接的，因此，业务通道的数量可以等于虚拟接入点的数量。当然，可以理解的是，所述租用请求中还可以包括所述运营商的认证证书等其他信息，在此不做限定。

步骤 305 , 资源管理中心根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述创建指令中携带有所述虚拟接入点数量以及所述用户数量；

具体的，当资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求后，资源管理中心可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令，指示安全穿越服务器根据所述租用请求中的虛拟接入点的数量以及每个虛拟接入点承载的用户数量创建网络穿越隧道资源，可以理解的是，所述资源创建指令中也携带有所述运营商的标识、所述虚拟接入点的数量以及所述用户数量。其中，网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。

在一种情形下，当网络中具有多个安全穿越服务器时，资源管理中心可以根据所述租用请求中的虛拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源，并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理选择部署于运营商网络中的空闲资源最多的安全穿越服务器进行网络穿越隧道资源的创建。

步驟 310，安全穿越服务器根据所述网络穿越隧道资源创建指令创建网络穿越隧道资源；

具体的，安全穿越服务器根据所述网络穿越隧道资源创建指令釆用虚拟化技术创建满足租用需求的虚拟接入点和与虛拟接入点对接的业务通道，例如可以通过虛拟化进行虚拟接入点资源的分配、 IP地址或域名的配置及其他参数的配置，使创建的每个虚拟接入点具有安全穿越网关的功能，能够与终端之间建立虚拟专用网（Virtual Private Network, VPN)隧道，为终端提供超文本传输协议（ Hyper Text Transfer Protocol, HTTP )、安全套接字层（ Secure Socket Layer, SSL), 互联网安全协议（ Internet Protocol Security, IPSec ), 基于数据报协议的传输层安全协议 (Datagram Transport Layer Security, DTLS )或用户数据报协 iSL (User Datagram Protocol , UDP ) 等 VPN安全隧道的接入能力。具体的，虚拟接入点可以通过与终端之间建立的 HTTP隧道、 SSL隧道、 IPSec隧道、 DTLS 隧道或 UDP隧道等 VPN隧道接收终端发送的隧道报文，并将接收的隧道报文解密、解封装后发送给运营商核心网的服务器，并将运营商核心网的服务器返回的响应报文封装后通过 VPN隧道发送给终端。具体的，虚拟接入点与运营商核心网的服务器之间可以通过与虚拟接入点对接的业务通道传输报文，即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信，需要说明的是，业务通道的地址就是所述运营商核心网的入口地址。

需要说明的是，当安全穿越服务器采用虚拟化技术创建虚拟接入点后，虛拟接入点与安全穿越服务器硬件设备的关系可以是一对一、一对多、多对一以及多对多的对应关系。其中，一对一的对应关系属于基本的网络穿越服务部署场景。一对多的对应关系则是通过一台硬件设备做分流，代理同一个接入点的其他安全穿越服务器，使在逻辑上保证多台安全穿越服务器对外提供同一个接入点服务。多对一是指在一台安全穿越服务器上启动多个虚拟接入点服务，同时不同的虚拟接入点具备租户属性、各自独立的认证授权系统、核心网资源以及各自独立的可重叠的网络、路由表和虚拟防火墙。

步骤 315 , 安全穿越服务器向资源管理中心返回所述创建的网络穿越隧道资源的信息；

具体的，当接收到网络穿越隧道资源创建指令的安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量为所述运营商创建了网络穿越隧道资源后，该安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营商标识关联虛拟接入点和业务通道，并向资源管理中心返回创建的网络穿越隧道资源的信息 , 其中，所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息。具体的，网络穿越隧道资源的信息包括但不限于运营商标识、虛拟接入点的地址、业务通道的地址、核心网中提供业务的网段和隧道编号，其中，虚拟接入点的地址可以是 IP地址也可以是域名 , 例如： 10. 10. 10. 10或 c l oud, com, 与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址，从而终端通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网，可以理解的是，业务通道的地址也可以用 IP地址或用域名来表示，例如： 200. 1. 1. 1或 cmcc. com。此外，网络穿越隧道资源的信息还可以包括：协议类型、租户编号等信息。可以理解的是，安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心，例如如下表一所示：

运营商租户虚拟接入点地业务通道地协议隧道网段

标识编号址址类型编号

移动 01 10. 10. 10. 10 100. 1. 1. 10 HTTP M01

移动 01 10. 10. 10. 11 100. 1. 1. 10 DTLS M02 200. 1. 1. 30 移动 01 10. 10. 10. 12 100. 1. 1. 10 UDP M03 200. 1. 1. 40 联通 02 10. 10. 10. 15 200. 1. 1. 10 SSL M05 192. 168. 1. 1 0

联通 02 c l oud, com IPSec M06

步骤 320 , 资源管理中心将所述网络穿越隧道资源的信息发送给运营商管理服务器。

具体的，当资源管理中心获得为所述运营商创建的网络穿越隧道资源的信息后，资源管理中心会向所述运营商管理服务器发送为其创建的所述网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息，还可以包括：协议类型、租户编号、隧道编号以及核心网中提供业务的网段等信息。当然可以理解的是，资源管理中心可以将所述网络穿越隧道资源的信息以表一所示信息列表的方式返回给所述运营商管理服务器，在此不再赘述。

步骤 325 , 资源管理中心向部署于所述运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息。

具体的，当网络中部署有多个安全穿越服务器时，当在步驟 315中，接收到网络穿越隧道资源创建指令的安全穿越服务器向所述资源管理中心返回创建的网络穿越隧道资源后，在本步驟中，资源管理中心可以对所述运营商租用的网络穿越隧道资源进行管理，并通过广播等方法将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器，以使所有部署于运营商网絡中的安全穿越服务器都能够为终端提供网络穿越服务。其中可以理解的是，步骤 320和步骤 325没有执行顺序的先后之分。

本发明实施例提供的一种实现网络穿越服务提供方法，通过资源管理中心接收运营商管理服务器发送的网络穿越隧道资源租用请求，通过部署于运营商 IDC 中心的空闲资源最多的安全穿越服务器创建相应的虚拟接入点和业务通道，并向所有部署于所述运营商网络中的安全穿越服务器发送所述网络穿越隧道资源的信息，从而可以通过部署于运营商网络中的多个安全穿越服务器向终端提供多方位的接入服务，并且网络穿越隧道资源能够得到统一的管理和维护，提升了运营商网络的可扩展性以及网络穿越的可靠性，且降低了运营商的运营成本。

在一种情形下，上述实施例中，所述资源管理中心还可以接收安全穿越服务器发送的所述虚拟接入点的资源使用情况信息，并根据安全穿越服务器的负栽情况进行负载均衡。图 4为本发明实施例提供的叉一种网络穿越服务提供方法的流程图 ,本实施例所述方法可以由图 1中的安全穿越服务器来执行，本实施例从安全穿越服务器的角度描述如何根据资源管理中心的网络资源创建指令为运营商创建网络穿越隧道资源，为终端提供网络穿越服务，具体的，如图 4所示，该方法可以包括：步驟 400，接收资源管理中心发送的网络穿越隧道资源创建指令，所述资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承栽的用户数量，进入步驟 405 ;

可选地，还可以携有运营商标识，其中，所述运营商标识用于识別运营商。当安全穿越服务器接收到所述网络穿越隧道资源创建指令后，可以根据所述要创建的虚拟接入点的数量以及所述每个虚拟接入点能够承载的用户数量为所述运营商创建网络穿越隧道资源，其中，网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。

步骤 405 , 根据接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述每个虚拟接入点能够承栽的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虚拟接入点以及与虚拟接入点对接的业务通道，进入步驟 410;

具体的，安全穿越服务器根据所述网络穿越隧道资源创建指令采用虚拟化技术创建满足租用需求的虚拟接入点和与虛拟接入点对接的业务通道，例如可以通过虚拟化进行虚拟接入点资源的分配、 I P地址或域名的配置及其他参数的配置，使创建的每个虚拟接入点具有安全穿越网关的功能，能够与终端之间建立 VPN隧道，为终端提供 HTTP、 SSL, IPSec、 DTLS或 UDP等 VPN安全隧道的接入能力。具体的，虛拟接入点可以通过与终端之间建立的 HTTP隧道、 SSL隧道、 I PSec隧道、 DTLS 隧道或 UDP隧道等 VPN隧道接收终端发送的隧道报文，并将接收的隧道报文解密、解封装后发送给运营商核心网的服务器，并将运营商核心网的服务器返回的响应报文封装后通过 YPN隧道发送给终端。具体的，虚拟接入点与运营商核心网的服务器之间可以通过与虛拟接入点对接的业务通道传输报文，即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信，需要说明的是，业务通道的地址就是所述运营商核心网的入口地址。

步骤 410 , 向所述资源管理中心返回创建的所述网络穿越隧道资源的信息。具体的，安全穿越服务器可以根据所述网络穿越隧道资源创建指令中的运营商标识关联虚拟接入点和业务通道，并向资源管理中心返回创建的网络穿越隧道资源的信息，其中，所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。具体的，网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、核心网中提供业务的网段和隧道编号，其中，虛拟接入点的地址可以是 IP地址也可以是域名，例如： 10. 10. 10. 10或 c l oud, com, 与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址，从而终端通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网，可以理解的是，业务通道的地址也可以用 IP地址或用域名来表示，例如： 200. 1. 1. 1或 cmcc. com. 此外，网络穿越隧道资源的信息还可以包括：协议类型、租户编号等信息。可以理解的是，安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心，在此不做限定。

本发明实施例提供的创建网络穿越隧道资源的方法是从安全穿越服务器一側的角度来描述，具体的实现细节可以参见从资源管理中心角度描述的图 2与图 3实施例中对应过程的描述，此处不再赘述。

本发明实施例提供的创建网络穿越隧道资源的方法，可以根据资源管理中心发送的网络穿越隧道资源创建指令为运营商创建满足运营商租用需求的网络穿越隧道资源，以使运营商能够根据租用的网络穿越隧道资源向终端提供网络穿越服务，提升了运营商网络的可扩展性以及网络穿越的可靠性，且降低了运营商的运营成本。图 5为本发明实施例提供的又一种网络穿越服务提供方法的流程图，本实施例所述方法也可以由图 1中的安全穿越服务器来执行，本实施例从安全穿越服务器的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务，如图 5所示，该方法包括：

步驟 500 , 接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址，进入步骤 505 ;

本步骤中，仍以终端 110为例，终端 110为了穿越 In t erne t访问运营商的核心网，可以直接向网络穿越服务云发送网络穿越隧道注册请求，具体为终端 110向安全穿越服务器 123发送网络穿越隧道注册请求，该网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址，其中，所述第一虚拟接入点是所述终端任意选择的一个虚拟接入点，例如虚拟接入点 120。

此外，所述网络穿越隧道注册奇求中还可以包括租户信息、用户名、密码、终端类型信息，其中，终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息，以便于安全穿越服务器对所述终端进行接入认证。

步骤 505 , 判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点，如果所述第一虚拟接入点不是选择的虛拟接入点，则进入步骤 510 , 否则，进入步骤 520;

具体的，安全穿越服务器可以根据所述网络穿越隧道注册请求中的第一虛拟接入点信息判断所述第一虚拟接入点是否是安全穿越服务器为所述终端选择的较佳的虚拟接入点，具体的，安全穿越服务器可以根据设置的记录表判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虚拟接入点，所述记录表中记录有虚拟接入点的使用情况。如果不是，则说明所述终端为第一次接入，所述第一虚拟接入点是所述终端任意选择的虚拟接入点，而可能并不是安全穿越服务器为所述终端选择的最佳的虚拟接入点。此外，安全穿越服务器还可以根据所述第一虚拟接入点的接入位置、负载量或探测响应情况判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的最佳的虚拟接入点。如果不是，则进入步骤 510，否则进入步骤 520。

可以理解的是，在一种情形下，如果所述终端所属的运营商租用了多个虛拟接入点，则需要判断所述网络穿越隧道注册请求中的第一虛拟接入点是否是安全穿越服务器为所述终端选择的较佳的虛拟接入点，并在所述第一虚拟接入点不是选择的虚拟接入点时，进入步骤 51 0为所述终端选择虚拟接入点。在另一种情形下，如果所述终端处于漫游状态，所述网络穿越隧道注册请求中的第一虚拟接入点并不是所述终端所属的运营商租用的虚拟接入点，则需要进入步骤 510由安全穿越服务器为所述终端重新选择虚拟接入点。在另一种情形下，如果所述运营商只租用了一个虚拟接入点且所述终端并未处于漫游状态，所述运营商的终端均只能根据其租用的这一个虚拟接入点进行接入，则所述第一虛拟接入点就是选择的接入点，此时，可以进入步骤 520

步驟 510 , 根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虛拟接入点，进入步驟 515 ;

本步骤中，安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息，为所述终端选择虎拟接入点，具体的，网络穿越隧道资源的信息包括：虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的，可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点，具体的，在选择最佳的虚拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虛拟接入点。当然，当所述安全穿越服务器为所述终端选择了虛拟接入点后，会记录下相关的信息，或打上相应的标识，以便下一次接收到所述终端的网络穿越隧道注册请求时可以快速判断出所述终端中的第一虚拟接入点是否为选择的虚拟接入点。

步驟 515，向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有第二虚拟接入点信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网；

具体的，在一种情况下，当安全穿越服务器对所述终端认证通过后，安全穿越服务器可以直接向终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二虛拟接入点信息，完成终端与第二虚拟接入点之间网络穿越隧道的协商，使所述终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网，具体的，第二虚拟接入点可以通过与终端之间建立的安全穿越网络穿越隧道接收所述终端发送的报文，并将所述报文解封装后发送给运营商核心网；接收运营商核心网返回的响应报文，将所述响应报文封装后通过所述网络穿越隧道发送给终端。其中，所述终端可以通过第二虛拟接入点为其分配的虛拟 IP与所述运营商核心网通信，具体的，被封装的报文中包含有所述第二虚拟接入点为所述终端分配的虚拟 IP地址以及所述运营商核心网的地址，封装的外层报文中包含有所述终端的 IP地址以及所述第二虚拟接入点的 IP地址。需要说明的是，第二虚拟接入点与所述终端之间建立的网络穿越隧道可以是 HTTP、 SSL、 IPSec、 DTLS或 UDP等类型的 VPN安全隧道，在此不再 ——歹'】举„

在另一种情况下，安全穿越服务器可以向所述终端返回注册失败消息，其中注册失败消息中包含有为所述终端选择的第二虛拟接入点信息，使所述终端能够根据所述第二虚拟接入点信息重新发起网络穿越隧道注册请求。

步驟 520 , 向所述终端返回网络穿越隧道注册成功消息，使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

在所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入的情形下，当安全穿越服务器对所述终端认证通过，会向所述终端返回网络穿越隧道注册成功消息，完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商，使所述终端能够通过与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。具体的，该网络穿越隧道注册成功消息中包含有注册结果，此外还可以包括虚拟互联网协议 IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中，安全隧道类型可以包括： HTTP、 SSL、 DTLS . UDP, UDPS等类型的 VPN安全隧道，在此不列举。

本发明实施例提供的网络穿越服务提供方法，通过部署在运营商网络中的安全穿越服务器根据所述运营商租用的网络穿越隧道资源信息为所述运营商的终端选择虚拟接入点，并在向终端返回的网络穿越隧道注册成功消息中直接向终端返回为所述终端选择的第二虚拟接入点信息，使得所述终端无需再根据选择的第二虚拟接入点信息再次发起网络穿越隧道注册请求，提高了终端接入的效率。并且，由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点，不同的终端可能通过选择的不同的虛拟接入点实现网络穿越，减轻了穿越网关的负担，提升了网络穿越的可靠性。此外，由于虚拟接入点是所述运营商租用的，运营商可以根据业务需求租用多个虛拟接入点，降低了运营商的运营成本。图 6为本发明实施例提供的又一种网络穿越服务提供方法流程图，本实施例所述方法也可以由图 1中的安全穿越服务器来执行，本实施例从安全穿越服务器的角度描述如何通过租用的网络穿越隧道资源为终端提供网络穿越服务，如图 6 所示，该方法包括：

步骤 600 , 接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

本步驟中，以图 1中的终端 110为例，终端 110要穿越 Internet网络访问第三网络或第四网络，其中，第三网络或第四网络为某个运营商的核心网，此时，终端 110需要向网络穿越服务云发送接入点查询请求，用来查询接入运营商网络的接入点，具体的，终端 110可以向部署于所述运营商网络中的安全穿越服务器 123发送接入点查询请求，其中，所述网络穿越隧道注册请求中指明了终端所属的运营商的标识。

在一种情形下，如果所述运营商只租用了一个虚拟接入点，则所述运营商网络中的终端可以直接与所述运营商租用的一个虚拟接入点建立隧道，并通过该隧道接入所述运营商的核心网，而无须进行查询虚拟接入点的步骤。然而，在实际应用中，一个虚拟接入点远远不能满足用户的接入需求，因此，运营商通常会根据网络中的用户量向 STaaS服务提供商租用多个虚拟接入点。此时，为了能够向用户提供更好的服务，用户可以发起一个虚拟接入点的查询请求来查询较佳的虚拟接入点。具体的，所述查询请求中还可以包括所述用户的初始接入点以及要访问的运营商的核心网的地址。

步驟 605，根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点；

本步驟中，安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息，为所述终端选择虚拟接入点，具体的，可以根据网络穿越隧道资源的信息中的虚拟接入点的信息为所述终端选择虚拟接入点，其中，虚拟接入点的信息具体可以包括：虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的，可以根据查询菽得的网络穿越隧道资源的信息选择负载量最小或接入位置最近或探测响应最快的虚拟接入点。例如，本实施例中，以选择第一虚拟接入点 12 0为例进行说明。可以理解的是，当所述安全穿越服务器为所述终端选择了虚拟接入点后，会记录下相关的信息，或打上相应的标识。

步驟 610 , 向所述终端返回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；

具体的，当安全穿越服务器根据所述运营商标识在所述运营商租用的网络穿越隧道资源中为所述终端选择了虚拟接入点后，可以向所述终端返回查询响应消息，其中，查询响应消息中包含有选择的虚拟接入点的信息。

步驟 615 , 接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虛拟接入点信息和所述运营商的核心网地址；

当终端接收到安全穿越服务器返回的选择的虚拟接入点的信息后，可以向所述虚拟接入点发起网络穿越隧道注册请求，由于安全穿越服务器是虚拟接入点的集合，因此，安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点发起的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虛拟接入点信息和所述运营商的核心网地址。此外，网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息，其中，终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息，以便于安全穿越服务器对所述终端进行接入认证。

需要说明的是，在一种情形下，当运营商只租用了一个虚拟接入点时，则该虛拟接入点就是运营商选择的接入点，所述运营商网络中的终端可以直接向该虚拟接入点发起网络穿越隧道注册请求。

步驟 620 , 向所述终端返回网络穿越隧道注册成功消息，使所述终端根据所述运营商的核心网地址以及与所述虛拟接入点建立的网络穿越隧道访问所述运营商的核心网。

当安全穿越服务器对所述终端认证通过，会向所述终端返回网络穿越隧道注册成功消息，完成网絡穿越隧道的协商。该网络穿越隧道注册成功消息中包含有注册结果，此外还可以包括虚拟互联网协议 IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中，安全隧道类型可以包括： HTTP、 SSL、 DTLS . UDP、

UDPS等类型的 VPN安全隧道，在此不列举。

需要说明的是，在上述图 5和图 6所示的实施例中，还可以包括统计安全穿越服务器创建的虚拟接入点的资源使用情况，并将其创建的虚拟接入点的资源使用情况发送给资源管理中心，以便对其创建的虚拟接入点进行管理，具体的，所述对虚拟接入点进行管理包括根据虚拟接入点的资源负载情况对虚拟接入点进行负载均衡。

本发明实施例所述网络穿越服务提供方法，通过部署在运营商网络中的安全穿越服务器接收来自终端的接入点查询请求，在运营商租用的网络穿越隧道资源信息中为所述终端选择虎拟接入点，将选择的處拟接入点的接入信息发送给所述终端，以使所述终端根据所述选择的虚拟接入点的接入信息与所述选择的虚拟接入点建立网络穿越隧道，从而能够根据建立的网络穿越隧道访问所述运营商的核心网，实现网络穿越。由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点，不同的终端可能通过选择的不同的虚拟接入点实现网络穿越，减轻了穿越网关的负担，提升了网络穿越的可靠性。并且，由于虚拟接入点是所述运营商租用的，运营商可以根据业务需求租用多个虚拟接入点，因此不仅降低了运营商的运营成本，也使运营商能够根据租用的多个虚拟接入点为终端提供更好的网络穿越服务，提升了网络穿越的可靠性。

需要说明的是，上述图 4、图 5及图 6所示的实施例都可以由安全穿越服务器来执行，上述三个实施例可以由安全穿越服务器分别执行，也可以组合执行。图 7为本发明实施例提供的一种资源管理中心的物理结构示意图，该资源管理中心可以是一台服务器、计算机或具有计算处理能力的计算节点，只要能够实现网络隧道资源的统一管理即可，在此并不做特别限定。如图 7所示，所述资源管理中心 70包括：

处理器（proces s or) 710， (Communica t i ons Interface) 720 , 存储器（memory) 730，通信总线 740。

处理器 710、通信接口 720以及存储器 730通过通信总线 740完成相互间的通信。

通信接口 720，用于与网元通信，比如运营商管理服务器或安全穿越服务器等。

处理器 710, 用于执行程序 732 , 具体可以执行上述图 2至图 3所示的方法实施例中的相关步骤。

具体地，程序 732可以包括程序代码，所述程序代码包括计算机操作指令。处理器 710 可能是一个中央处理器 CPU , 或者是特定集成电路 ASIC ( Appl ica t ion Specif i c Integra ted C i rcu i t ), 或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器 730，用于存放程序 732。存储器 730可能包含高速 RAM存储器，也可能还包括非易失性存储器（non- vo la t i le memory ),例如至少一个磁盘存储器。

程序 732中各功能模块的具体实现可以参见下述图 8所示实施例中的相应模块，在此不再赘述。图 8为本发明实施例提供的一种资源管理中心的结枸示意图，如图 8所示，所述资源管理中心 80包括：

接收模块 800，用于接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量；

具体的，为了满足业务流量的需求，运营商可以根据本网络的用户数量及接入需求确定需要租用的网络穿越隧道资源，因此，在所述网络穿越隧道资源租用请求中需要包含有要租用的虚拟接入点数量以及每个虚拟接入点承载的用户数量，例如，运营商 A要租用 10个虚拟接入点，且每个虚拟接入点能够同时承栽 1000 个用户的接入需求。当然，可以理解的是，在所述租用请求中还可以携带所述运营商的标识，以使资源管理中心能够识别是哪一个运营商需要租用网络穿越隧道资源。

可以理解的是，在另一种情况下，网络穿越隧道资源租用请求中可以只携带有待承载的总用户数量，由资源管理中心根据所述总用户数量为所述运营商确定所需租用的虛拟接入点数量以及每个虛拟接入点所承载的用户数量。发送模块 805，用于根据所述接收模块 800接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述用户数量；

具体的，当接收模块 S 00接收到运营商管理服务器发送的网络穿越隧道资源租用请求后，发送模块 S05可以根据所述租用请求向管理的安全穿越服务器发送网络穿越隧道资源创建指令，指示安全穿越服务器根据所述租用请求中的虚拟接入点的数量以及每个虚拟接入点承载的用户数量创建网络穿越隧道资源，其中，网络穿越隧道资源包括与终端对接的虚拟接入点以及与运营商核心网对接的业务通道。

当网络中具有多个安全穿越服务器时，发送模块 805可以根据所述租用请求中的虚拟接入点数量以及需承载的总用户数量检查其所管理的安全穿越服务器中的空闲资源，并可以根据安全穿越服务器提供服务的区域以及负载均衡的原理选择部署于运营商网络中的且空闲资源最多的安全穿越服务器进行网络穿越隧道资源的创建。

接收模块 800，还用于接收所述安全穿越服务器根据所述网络穿越隧道资源创建指令中的所述虛拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息；

具体的，当安全穿越服务器完成接入点及业务通道的虛拟化创建后，安全穿越服务器可以根据运营商关联虚拟接入点和业务通道，并返回创建的网络穿越隧道资源的信息给接收模块 800 , 其中，所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息，具体的，网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、业务通道的地址、提供业务的网段和租户编号。其中，虚拟接入点的地址可以是 IP 地址也可以是域名，例如： 10. 10. 10. 10 或 cloud, com,与虚拟接入点对接的业务通道的地址也就是所述运营商核心网地址，从而可以使通过虚拟接入点接入运营商网络后可以通过所述业务通道的地址访问核心网，可以理解的是，业务通道的地址也可以用 IP地址或用域名来表示，例如： 200. 1. 1. 1或 cmcc. com。此外，网络穿越隧道资源的信息还可以包括：协议类型、隧道编号等信息。可以理解的是，安全穿越服务器可以将所述网络穿越隧道资源的信息以信息列表的方式返回给接收模块 800。

发送模块 805 , 还用于向所述运营商管理服务器发送所述网络穿越隧道资源的信息，使所述运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。

可以理解的是，发送模块 805可以将所述网络穿越隧道资源的信息以信息列表的方式发送给运营商管理服务器，使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。

此外，在一种情形下，本发明实施例提供的资源管理中心 80还可以包括：资源管理模块 810 , 用于对网络穿越隧道资源进行管理和维护。

资源管理模块 810 可以根据网络穿越隧道资源中的虚拟接入点的使用情况对网络穿越隧道资源进行管理和维护，具体的，资源管理模块 810可以接收安全穿越服务器发送的所述虚拟接入点的资源使用情况信息，并根据安全穿越服务器的负栽情况进行负载均衡，还可以向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息，从而可以通过部署于运营商网络中的多个安全穿越服务器向终端提供多方位的接入服务，并能均衡各接入点的负载量。

广播模块 815，用于将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器。

当网络中部署有多个安全穿越服务器时，广播模块 815可以将所述运营商租用的网络穿越隧道资源的信息发送给部署于所述运营商网络中的安全穿越服务器，以使所有部署于运营商网络中的安全穿越服务器都能够为终端提供安全穿越服务。

本发明实施例提供的一种资源管理中心，通过接收运营商管理服务器发送的网络穿越隧道资源租用请求，指示部署于运营商网络中心的安全穿越服务器创建相应的虚拟接入点和业务通道，并将创建的网络穿越隧道资源信息返回给运营商管理服务器，使运营商管理服务器能够根据所述虚拟接入点信息和业务通道信息向终端提供网络穿越服务。从而提供了一种安全穿越即服务（Secur i ty Traverse as a Serv ice , STaaS ) 的运营模式，使得网络穿越隧道资源能够得到统一的管理和维护，解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差且无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题，提升了运营商网络的可扩展性以及网络穿越的可靠性，且降低了运营商的运营成本。图 9为本发明实施例提供的一种安全穿越服务器的结构示意图，所述安全穿越服务器可以部署于各运营商的网络中或部署于 STaaS 服务提供商自建的网络中，该安全穿越服务器可以是一台服务器、计算机或具有计算处理能力的计算节点，在此并不做特别限定。如图 9所示，所述安全穿越服务器 90包括：

处理器（processor) 910, 通信接口（Communicat ions Interface) 920, 存储器（memory) 930，通信总线 940、输入设备 950以及显示器 960。

处理器 910、通信接口 920、存储器 930、输入设备 950以及显示器 960通过通信总线 940完成相互间的通信。

通信接口 920，用于与网元通信，其中，网元包括资源管理中心或终端等。处理器 910, 用于执行操作系统 932以及应用程序 934, 包括执行上述图 4 至图 6所示的方法实施例中的相关步骤。

具体地，程序 932可以包括程序代码，所述程序代码包括计算机操作指令。处理器 910 可能是一个中央处理器 CPU, 或者是特定集成电路 ASIC ( Application Specific Integrated Circuit ), 或者是被配置成实施本发明实施例的一个或多个集成电路。

存储器 930，用于存放操作系统 932以及应用程序 934。存储器 930可能包含高速 RAM存储器，也可能还包括非易失性存储器（non- volatile memory ), 例如至少一个磁盘存储器。

操作系统 932可以是 Windows NT. Windows2007或其他一些 Window是版本的操作系统，也可以是 Macintosh OS等其他类型的操作系统。

应用程序 934中各功能模块的具体实现可以参见下述图 10至图 12所示实施例中的相应模块，在此不再赘述。图 10 为本发明实施了提供的一种安全穿越服务器的结构示意图，如图 10 所示，本发明实施例所述安全穿越服务器包括：

接收模块 1000，用于接收资源管理中心发送的网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中携带有运营商的标识、要创建的虚拟接入点的数量以及所述每个虛拟接入点能够承载的用户数量。

隧道资源创建模块 1005,用于根据接收模块 1000接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虛拟接入以及与虚拟接入点对接的业务通道。

具体的，隧道资源创建模块 1005可以根据所述网络穿越隧道资源创建指令采用虚拟化技术创建满足租用需求的虚拟接入点和与虚拟接入点对接的业务通道，例如可以通过虚拟化进行虚拟接入点资源的分配、 IP地址或域名的配置及其他参数的配置，使创建的每个虚拟接入点具有安全穿越网关的功能，能够与终端之间建立虚拟专用网（Virtual Private Network, VPN) 隧道，为终端提供超文本传输协议（Hyper Te t Transfer Protocol, HTTP )、安全套接字层 ( Secure Socket Layer, SSL), 互联网安全十办议（ Internet Protocol Security, IPSec)、基于数据报协议的传输层安全协议 ( Datagram Transport Layer Security, DTLS ) 或用户数据报协议 (User Datagram Protocol, UDP)等 VPN安全隧道的接入能力。虚拟接入点与运营商核心网的服务器之间可以通过与虛拟接入点对接的业务通道传输报文，即虚拟接入点可以根据与其对接的业务通道的地址与运营商核心网进行通信，需要说明的是，业务通道的地址就是所述运营商核心网的入口地址。

需要说明的是，当安全穿越服务器中的隧道资源创建模块 1005釆用虚拟化技术创建虚拟接入点后，虚拟接入点与安全穿越服务器的关系可以是一对一、一对多、多对一以及多对多的对应关系。其中，一对一的对应关系属于基本的网络穿越服务部署场景。一对多的对应关系则是通过一台硬件设备做分流，代理同一个接入点的其他安全穿越服务器，使在逻辑上保证多台安全穿越服务器对外提供同一个接入点服务。多对一是指在一台安全穿越服务器上启动多个虚拟接入点服务，同时不同的虚拟接入点具备租户属性、各自独立的认证授权系统、核心网资源以及各自独立的可重叠的网络、路由表和虚拟防火墙。

可以理解的是，当所述隧道资源创建模块 1005根据所述网络穿越隧道资源创建指令为所述运营商创建了网络穿越隧道资源后，可以根据所述运营商的标识关联创建的虛拟接入点和业务通道。隧道资源发送模块 1010 , 用于向所述资源管理中心返回隧道资源创建模块 1005创建的所述网络穿越隧道资源的信息。

其中，所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息。具体的，网络穿越隧道资源的信息包括但不限于运营商标识、虚拟接入点的地址、网段和隧道编号，其中，虚拟接入点的地址可以是 IP地址也可以是域名，例如： 10. 10. 10. 10或 cloud, com, 业务通道的地址也可以用 IP地址或用域名来表示，例如： 200. 1. 1. 1或 cmcc. com。此外，网络穿越隧道资源的信息还可以包括：协议类型、租户编号、隧道编号以及核心网中提供业务的网段等信息。可以理解的是，隧道资源发送模块 1010可以将所述网络穿越隧道资源的信息以信息列表的方式返回给资源管理中心，在此不^:限定。

本发明实施例所述的安全穿越服务器能够根据资源管理中心发送的网络隧道资源创建指令为运营商创建网络穿越隧道资源，以使运营商能够根据租用的网络穿越隧道资源向终端提供网络穿越服务，提升了运营商网络的可扩展性以及网络穿越的可靠性，且降低了运营商的运营成本。图 11为本发明实施例提供的又一种安全穿越服务器的结构示意图，如图 11 所示，该安全穿越服务器 110在图 10所示的实施例的基础上：

所述接收模块 1000, 还用于接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；

其中，所述第一虚拟接入点是所述终端任意选择的一个虚拟接入点。此外，所述网络穿越隧道注册请求中还可以包括租户信息、用户名、密码、终端类型信息，其中，终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息，以便于安全穿越服务器对所述终端进行接入认证。

所述安全穿越服务器 110还可以包括：

判断模块 1105，用于判断所述第一虚拟接入点是否为所述安全穿越服务器为所迷终端选择的虛拟接入点，如果所述第一虚拟接入点不是选择的虚拟接入点，则触发第一选择模块 1110，否则，触发第一响应模块 1115

具体的，判断模块 1105可以才艮据设置的记录表判断所述第一虚拟接入点是否为安全穿越服务器为所述终端选择的虛拟接入点，所述记录表中记录有虚拟接入点的使用情况。如果不是，则说明所述终端为第一次接入，所述第一虚拟接入点是所述终端任意选择的虚拟接入点并不是安全穿越服务器为所述终端选择的最佳的虚拟接入点。此外，安全穿越服务器还可以根据所述第一虚拟接入点的接入位置、负载量或探测响应情况判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的最佳的虚拟接入点。如果不是，则触发第一选择模块 1110，否则，触发第一响应模块 1115。

第一选择模块 1110, 用于根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点，触发第一响应模块 1115 ; 具体的，网络穿越隧道资源的信息包括：虚拟接入点的租户信息、虚拟接入点的用户负载量和虚拟接入点的接入区域。优选的，可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点，具体的，第一选择模块 1110在选择最佳的虛拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。当然，可以理解的是，当所述第一选择模块 1110为所述终端选择了虚拟接入点后，会记录下相关的信息，或打上相应的标识，以便下一次接收模块 1000接收到所述终端的网络穿越隧道注册请求时，判断模块 1105可以快速判断出所述终端中的第一虛拟接入点是否为选择的虚拟接入点。

第一响应模块 1115，用于向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有第一选择模块 1110选择的第二虚拟接入点信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

具体的，在一种情况下，当安全穿越服务器对所述终端认证通过后，安全穿越服务器可以直接向终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有注册结果以及所述安全穿越服务器为所述终端选择的第二虚拟接入点信息，完成终端与第二虚拟接入点之间网络穿越隧道的协商，使所述终端可以根据与所述第二虚拟接入点之间建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网，具体的，第二虚拟接入点可以通过与终端之间建立的网络穿越隧道接收所述终端发送的报文，并将所述报文解封装后发送给运营商核心网；接收运营商核心网返回的响应报文，将所述响应报文封装后通过所述网络穿越隧道发送给终端。其中，所述终端可以通过第二虚拟接入点为其分配的虚拟 IP与所述运营商核心网通信，具体的，被封装的报文中包含有所述第二虚拟接入点为所述终端分配的虛拟 IP地址以及所述运营商核心网的地址, 封装的外层报文中包含有所述终端的 IP地址以及所述第二虚拟接入点的 IP地址。需要说明的是，第二虛拟接入点与所述终端之间建立的网络穿越隧道可以是

HTTP. SSL. IPSec. DTLS或 UDP等类型的 VPN安全隧道，在此不再列举。

在另一种情况下，第一响应模块 1115 ,还用于向所述终端返回注册失败消息，其中注册失败消息中包含有为所述终端选择的第二虚拟接入点信息，使所述终端能够根据所述第二虛拟接入点信息重新发起网络穿越隧道注册请求。

在叉一种情形下，当判断模块 1105的判断结果为所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入点时，第一响应模块 1115 , 还用于向所述终端返回网络穿越隧道注册成功消息，使所述终端根据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

具体的，当判断模块 1105的判断结果为所述第一虚拟接入点为安全穿越服务器为所述终端选择的虚拟接入点的情形下，若安全穿越服务器对所述终端认证通过，第一响应模块 1115还可以向所述终端返回网络穿越隧道注册成功消息，完成所述终端与所述第一虚拟接入点之间的网络穿越隧道的协商，使所述终端能够通过与所述第一虛拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。具体的，该网络穿越隧道注册成功消息中包含有注册结果，此外还可以包括虚拟互联网协议 IP地址及掩码、保持连接报文发送周期和访问策略等信息。

本发明实施例提供的安全穿越服务器，根据所述运营商租用的网络穿越隧道资源信息为所述运营商的终端选择虚拟接入点，并在向终端返回的网络穿越隧道注册成功消息中直接向终端返回为所述终端选择的第二虚拟接入点信息，使得所述终端无需再根据选择的第二虚拟接入点信息再次发起网络穿越隧道注册请求，提高了终端接入的效率。图 12为本发明实施例提供的又一种安全穿越服务器的结构示意图，如图 12 所示，该安全穿越服务器 120在图 10所示的实施例的基础上：

所述接收模块 1 000 , 还用于接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

在一种情形下，如果所述运营商只租用了一个虛拟接入点，则所述运营商网络中的终端可以直接与所述运营商租用的一个虚拟接入点建立网络穿越隧道，并通过该网络穿越隧道接入所述运营商的核心网，而无须发送接入点查询请求。然而，在实际应用中，一个虚拟接入点远远不能满足用户的接入需求，因此，运营商通常会根据网络中的用户量向 STaaS服务提供商租用多个虚拟接入点。此时，为了能够向用户提供更好的服务，用户可以发起一个虚拟接入点的查询请求来查询较佳的虚拟接入点。具体的，所述查询请求中还可以包括所述用户的初始接入点以及要访问的运营商的核心网的地址。

所述安全穿越服务器还可以包括：

第二选择模块 1205，用于根据接收模块 1000接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点；

安全穿越服务器可以根据所述租用请求中的运营商的标识查找所述运营商租用的网络穿越隧道资源的信息，为所述终端选择虚拟接入点，具体的，网络穿越隧道资源的信息包括：虚拟接入点的租户信息、虛拟接入点的用户负栽量和虚拟接入点的接入区域。优选的，可以根据查询获得的网络穿越隧道资源的信息选择最佳的虚拟接入点，具体的，第二选择模块 1205在选择最佳的虚拟接入点时可以根据网络穿越隧道资源的信息来选择负载量最小或接入位置最近或探测响应最快的虚拟接入点作为最佳的虚拟接入点。例如，本实施例中，以第一虚拟接入点 120为最佳的虚拟接入点为例进行说明。可以理解的是，当所述安全穿越服务器为所述终端选择了虚拟接入点后，会记录下相关的信息，或打上相应的标识。

第二响应模块 1210 , 用于向所述终端返回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；

当第二选择模块 1205根据所述运营商标识在所述运营商租用的网络穿越隧道资源中为所述终端选择了虚拟接入点后，可以向所述终端返回查询响应消息，其中，查询响应消息中包含有选择的虚拟接入点的信息。

所述接收模块 1 000，还用于接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址；

当终端接收到第二响应模块 1210返回的选择的虚拟接入点的信息后，可以向所述虚拟接入点发起网络穿越隧道注册请求，由于安全穿越服务器是虛拟接入点的集合，因此，安全穿越服务器会接收到所述终端根据所述选择的虚拟接入点发起的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址。此外，网络穿越隧道注册诗求中还可以包括租户信息、用户名、密码、终端类型信息，其中，终端类型信息包括移动终端型号、操作系统版本、浏览器版本等信息，以便于安全穿越服务器对所述终端进行接入认证。

第二响应模块 1210, 还用于向所述终端返回网络穿越隧道注册成功消息，使所述终端才艮据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。

当安全穿越服务器对所述终端认证通过，会向所述终端返回网络穿越隧道注册成功消息，完成网络穿越隧道的协商。该网络穿越隧道注册成功消息中包含有注册结果，此外还可以包括虚拟互联网协议 IP地址及掩码、保持连接报文发送周期和访问策略等信息。其中，安全隧道类型可以包括：超文本传输协议（ Hyper Text Transfer Protocol, HTTP ). 安全套接字层（ Secure Socket Layer, SSL), 互联网安全协议（ Internet Protocol Security, IPSec )、基于数据报协议的传输层安全协议 (Datagram Transport Layer Security, DTLS )或用户数据报协议 ( User Datagram Protocol, UDP ) 等类型的虚拟专用网（Virtual Private Network, VPN) 隧道，在此不列举。

本发明实施例所述安全穿越服务，接收来自终端的接入点查询请求，在运营商租用的网络穿越隧道资源信息中为所述终端选择虚拟接入点，将选择的虚拟接入点的接入信息发送给所述终端，以使所述终端根据所述选择的虚拟接入点的接入信息与所述选择的虛拟接入点建立网络穿越隧道，从而能够根据建立的网络穿越隧道访问所述运营商的核心网，实现网络穿越。由于虚拟接入点是通过服务器选择之后的最佳虚拟接入点，不同的终端可能通过选择的不同的虚拟接入点实现网絡穿越，减轻了穿越网关的负担，提升了网络穿越的可靠性。需要说明的是，上述图 10、图 11及图 12所示的实施例可以结合使用，也可以单独使用，在此不做限定。可以理解的是，当图 11和图 12所示的实施例结合使用时，第二选择模块 1205与第一 i 择模块 1110可以合并为一个模块，第二响应模块 1210与第一响应模块 1115也可以合并为一个模块。

如图 13所示，图 1 3为本发明实施例提供的一种安全穿越即服务（Secure Traverse As A Service , STaaS ) 的网络系统图，如图 13所示，该网络系统 130 包括资源管理中心 1300、安全穿越服务器 1305以及虎拟接入点 1310 , 其中，安全穿越服务器 1305可以有一个或多个，虚拟接入点 1310也可以有一个或多个。安全穿越服务器 1305为多个虚拟接入点 1310的集合，可以部署于运营商的互联网数据中心（ Int erne t Data Center , IDC ) 也可以部署于 S taaS提供商自建的网络中。资源管理中心 1 300用于对所有安全穿越服务器 1305创建的网络穿越隧道资源进行统一管理，具体的，安全穿越服务器 1305的数量可以根据服务区域、用户数量等进行设定，虚拟接入点 1310的数量可以根据运营商的租用请求来进行创建。其中：

资源管理中心 1 300, 用于接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用 ΐ青求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量；根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令；接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述用户数量创建的网络穿越隧道资源的信息；向所述运营商管理服务器发送所述网絡穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虛拟接入点信息和业务通道信息；

安全穿越服务器 1 305，用于根据资源管理中心 1 300发送的网络穿越隧道资源创建指令进行网络穿越隧道资源的创建，并向资源管理中心 1 300返回创建的网络穿越隧道资源的信息，其中，所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息；接收终端发送的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虛拟接入点；向所述终端返回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址；向所述终端返回网络穿越隧道注册成功消息，使所述终端才艮据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。

虚拟接入点 131 0 , 用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文，并将所述报文解封装后发送给运营商核心网；接收运营商核心网返回的响应报文，将所述响应报文封装后通过所述网络穿越隧道发送给终端。

在本发明实施例中， STaaS提供商通过资源管理中心 1300向运营商提供网络穿越服务资源的出租式服务， STaaS提供商承担网络穿越服务资源的管理运营, 运营商可以根据自己的实际需求，通过互联网向 STaaS提供商租用所需的网络穿越隧道资源，并按租用的服务的数量及使用时间向 STaaS提供商支付费用，同时运营商也可以通过互联网获得 STaaS 提供商对其所提供的网络穿越隧道资源的维护等服务。其中资源管理中心 1 300、安全穿越服务器 1305的详细描述可以参见前述相关实施例，在此不再赘述。

本发明实施例提供的 STaaS 网络系统，创建了安全穿越即服务（Secur i ty Traver s e a s a Serv i ce , STaaS ) 的运营模式，可以根据运营商的租用需求为所述运营商创建网络穿越隧道资源，并向运营商出租创建的网络穿越隧道资源，使得运营商可以通过租用的网络穿越隧道资源向终端提供网络穿越服务，使得终端可以访问运营商的核心网。从而使得网络穿越隧道资源能够得到统一的管理和维护，解决了由于安全穿越网关集中部署于运营商核心网所带来的网络扩展性差且无法为分散的互联网接入用户提供稳定的网络穿越服务的技术问题，提升了运营商网络的可扩展性以及网络穿越的可靠性，降低了运营商的运营成本。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括： R0M、 RAM, 磁碟或者光盘等各种可以存储程序代码的介质。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的设备和模块的具体工作过程，可以参考前述方法实施例中的对应过程描述，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个设备中，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接合或通信连接可以是通过一些通信接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部，模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求

1、一种网絡穿越服务的提供方法，其特征在于，包括：

接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承载的用户数量；

根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟接入点承载的用户数量；

接收所述安全穿越服务器根据所述虚拟接入点的数量以及所述每个虚拟接入点承载的用户数量创建的网络穿越隧道资源的信息，其中所述网络穿越隧道资源的信息包括虚拟接入点信息和业务通道信息；

2、根据权利要求 1所述的方法，其特征在于，所述根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令包括：

根据所述租用请求向部署于运营商网絡中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。

3、根据权利要求 1或 2所述的方法，其特征在于：

所述网络穿越隧道资源租用请求中还携带有运营商标识，所述运营商标识用于识别运营商。

4、根据权利要求卜 3任意一项所述的方法，其特征在于，所述虚拟接入点为虚拟化的安全穿越网关，能够为终端提供虚拟专用网 VPN隧道的接入能力。

5、根据权利要求 1 -4任意一项所述的方法，其特征在于，还包括：向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息，以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。

6、根据权利要求 1 -5任意一项所述的方法，其特征在于，还包括：接收所述安全穿越服务器发送的所述每个虚拟接入点的资源使用情况信息，并根据安全穿越服务器的负载情况进行负载均衡。

7、一种网络穿越服务的提供方法，其特征在于，包括：

接收资源管理中心发送的网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虚拟接入点能够承载的用户数量；

根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虛拟接入点以及与虛拟接入点对接的业务通道；

8、根据权利要求 7所述的方法，其特征在于，还包括：

根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点；

接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中包含有所述选择的虚拟接入点信息和所述运营商的核心网地址；

向所述终端返回网络穿越隧道注册成功消息，使所述终端居所述运营商的核心网地址以及与所述虚拟接入点建立的网絡穿越隧道访问所述运营商的核心网。

9、根据权利要求 7或 8所述的方法，其特征在于，还包括：

接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虛拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；

如果所述第一虛拟接入点不是所述安全穿越服务器为所述终端选择的虛拟接入点，则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点；向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有所述第二虛拟接入点的信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

10、根据权利要求 9所述的方法，其特征在于，所述根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点包括：根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择用户负载量最小或接入位置最近或探测响应最快的虛拟接入点。

11、根据权利要求 9或 10所述的方法，其特征在于，还包括：

如果所述第一虛拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点，则向所述终端返回隧道注册成功消息，使所述终端才居与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

12、一种资源管理中心，其特征在于，包括：

发送模块，用于根据所述接收模块接收的所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虚拟接入点承栽的用户数量；

13、根据权利要求 12所述的资源管理中心，其特征在于，所述虚拟接入点为虚拟化的安全穿越网关，为终端提供虚拟专用网 VPN隧道的接入能力。

14、根据权利要求 12所述的资源管理中心，其特征在于：所述网络穿越隧道资源租用请求中还携带有运营商标识，所述运营商标识用于识别运营商。

15、根据权利要求 12- 14任意一项所述的资源管理中心，其特征在于：所述发送模块具体用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送所述网络穿越隧道资源创建指令。

16、根据权利要求 12- 15任意一项所述的资源管理中心，其特征在于，还包括：

资源管理模块，用于对所述网络穿越隧道资源进行管理和维护；广播模块，用于向部署于运营商网络中的安全穿越服务器广播所述运营商租用的网络穿越隧道资源的信息，以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。

17、一种安全穿越服务器，其特征在于，包括：

接收模块，用于接收资源管理中心发送的网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及所述每个虚拟接入点能够承栽的用户数量；

隧道资源创建模块，用于根据接收模块接收的网络穿越隧道资源创建指令中的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虛拟接入点以及与虚拟接入点对接的业务通道；

18、根据权利要求 17所述的安全穿越服务器，其特征在于：

所述接收模块，还用于接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虚拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；

所述安全穿越服务器还包括：

19、根据权利要求 17或 18所述的安全穿越服务器，其特征在于：所述接收模块，还用于接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

所述安全穿越服务器还包括：

第二响应模块，用于向所述终端近回查询响应消息，所述查询响应消息中包含有选择的虚拟接入点的信息；

20、根据权利要求 17- 19任意一项所述的安全穿越服务器，其特征在于：所述虚拟接入点为虚拟化的安全穿越网关，能够为终端提供虚拟专用网 VPN 隧道的接入能力。

21、根据权利要求 18所述的安全穿越服务器，其特征在于，所述第一选择模块具体用于才居所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。

22、根据权利要求 19所述的安全穿越服务器，其特征在于，所述第二选择模块具体用于才 M居所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。

23、根据权利要求 18所述的安全穿越服务器，其特征在于，当所述判断模块判断所述第一虚拟接入点是为所述安全穿越服务器为所述终端选择的虚拟接入点时，所述第一响应模块，还用于向所述终端返回隧道注册成功消息，使所述终端 4艮据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

24、一种资源管理中心，其特征在于：

所述资源管理中心包括处理器、通信接口、存储器和通信总线；其中 , 所述处理器和所述通信接口通过所述通信总线进行通信；所述通信接口，用于与运营商管理服务器以及安全穿越服务器进行通信；所述存储器用于存储程序；

所述处理器用于执行所述程序，以实现接收运营商管理服务器发送的网络穿越隧道资源租用请求，所述租用请求中携带有待租用的虚拟接入点的数量以及每个虚拟接入点承栽的用户数量；

根据所述租用请求向安全穿越服务器发送网络穿越隧道资源创建指令，所述网络穿越隧道资源创建指令中包含有所述虚拟接入点的数量以及所述每个虛拟接入点承栽的用户数量；

25、根据权利要求 24所述的资源管理中心，其特征在于，所述处理器还用于根据所述租用请求向部署于运营商网络中的空闲资源最多的安全穿越服务器发送网络穿越隧道资源创建指令。

26、根据权利要求 24-25任意一项所述的资源管理中心，其特征在于，所述处理器还用于对网络穿越隧道资源进行管理和维护；并向部署于运营商网络中的安全穿越服务器广播所迷运营商租用的网络穿越隧道资源的信息，以使所述安全穿越服务器能够根据所述运营商租用的网络穿越隧道资源为终端提供网络穿越服务。

27、一种安全穿越服务器，其特征在于：

所述安全穿越服务器包括处理器、通信接口、存储器以及通信总线；其中，所述处理器以及所述存储器通过通信总线完成相互间的通信；所述通信接口用于与资源管理中心或终端通信；

所述存储器，用于存放操作系统以及应用程序；

所述处理器用于执行所述操作系统以及所述应用程序，包括：

接收资源管理中心发送的网络穿越隧道资源创建指令，网络穿越隧道资源创建指令中携带有运营商租用需求的虚拟接入点的数量以及每个虛拟接入点能够承载的用户数量；

根据接收的所述虚拟接入点的数量和所述每个虚拟接入点能够承载的用户数量创建满足所述运营商租用需求的网络穿越隧道资源，其中所述网络穿越隧道资源包括虚拟接入以及与虚拟接入点对接的业务通道；

向所述资源管理中心返回隧道资源创建模块创建的所述网络穿越隧道资源的信息。

28、根据权利要求 27所述的安全穿越服务器，其特征在于：

所述处理器还用于接收来自终端的网络穿越隧道注册请求，所述网络穿越隧道注册请求中携带有终端要访问的第一虛拟接入点信息、所述终端所属运营商的标识以及所述运营商的核心网地址；

判断所述第一虚拟接入点是否为所述安全穿越服务器为所述终端选择的虚拟接入点；

如果所述第一虚拟接入点不是所述安全穿越服务器为所述终端选择的虚拟接入点，则根据所述运营商的标识在所述运营商租用的网络穿越隧道资源中为所述终端选择第二虚拟接入点；

向所述终端返回网络穿越隧道注册成功消息，所述网络穿越隧道注册成功消息中包含有所述选择模块选择的所述第二虚拟接入点的信息，使所述终端根据与所述第二虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

29、根据权利要求 2S所述的安全穿越服务器，其特征在于：

所述处理器具体根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入

30、根据权利要求 28或 29所述的安全穿越服务器，其特征在于：如果所述第一虚拟接入点是所述安全穿越服务器为所述终端选择的虚拟接入点，所述处理器，还用于向所述终端返回隧道注册成功消息，使所述终端才艮据与所述第一虚拟接入点建立的网络穿越隧道以及所述运营商的核心网地址访问所述运营商的核心网。

31、根据权利要求 27所述的安全穿越服务器，其特征在于：

所述处理器还用于接收来自终端的接入点查询请求，所述查询请求中携带有所述终端所属的运营商的标识；

根据所述接收模块接收的所述查询请求中的所述运营商的标识在所述运营商租用的网络穿越隧道资源中选择虚拟接入点；

接收来自终端的隧道注册请求，所述隧道注册请求中包含有所述第二选择模块选择的虚拟接入点信息和所述运营商的核心网地址；

向所述终端返回网络穿越隧道注册成功消息，使所述终端才艮据所述运营商的核心网地址以及与所述虚拟接入点建立的网络穿越隧道访问所述运营商的核心网。

32、根据权利要求 31所述的安全穿越服务器，其特征在于，所述处理器具体根据所述运营商的标识在所述运营商租用的网络穿越隧道资源的信息中选择用户负载量最小或接入位置最近或探测响应最快的虚拟接入点。

33、一种安全穿越服务提供系统，其特征在于，包括虚拟接入点、如权利要求 12- 16任意一项所述的资源管理中心以及如权利要求 17- 23任意一项所述的安全穿越服务器，其中：

所述虚拟接入点，用于通过与终端之间建立的网络穿越隧道接收所述终端发送的报文，并将所述报文解封装后发送给运营商核心网；接收所述运营商核心网返回的响应报文，将所述响应报文封装后通过所述网络穿越隧道发送给所述终端。