本发明涉及通信领域,尤其涉及用于对用户的业务进行授权的方法、装置及系统。
背景技术:
随着网络功能虚拟化(Network Function Virtualization,NFV)技术的发展,可以通过虚拟网络功能(virtualized network function,VNF)实现用户订购的业务,快速地部署、修改或删除用户订购的业务。该用户订购的业务可以是防火墙业务和网络地址转换(Network Address Translation,NAT)业务等。
图1所示的宽带系统可包括:用户驻地设备(customer premises equipment,CPE)、接入节点(access node)、认证、授权和计费(Authentication、Authorization、Accounting,AAA)服务器、网际协议(Internet Protocol,IP)网关、城域网络和数据中心(data center,DC)。DC包括多个VNF。DC中的VNF可用来实现IP网关的功能或其他与业务对应的功能,例如:用于实现防火墙的VNF和用于实现NAT的VNF。
目前,DC中的VNF无法对用户进行区分。例如:IP网关可根据AAA服务器对第一用户的授权信息,获知所述第一用户订购了防火墙业务。IP网关还可根据AAA服务器对第二用户的授权信息,获知所述第二用户订购了NAT业务。IP网关会将所述第一用户的流量和所述第二用户的流量,通过DC的网关发送至DC的VNF。由于DC中的VNF无法对用户进行区分,多个用户的数据会发送至一个VNF,该VNF需要处理的数据量较大,而DC中的其他VNF处于空闲状态,DC中VNF资源的利用率较低;而多个用户包含了未订购该VNF对应的业务的用户,使得VNF的工作效率较为低下。
技术实现要素:
本发明的实施例提供一种用于对用户的业务进行授权的方法、装置及系统,能够有效提高VNF资源的利用率和工作效率。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种用于对用户的业务进行授权的方法,包括:
第一控制器获取用户的标识和第一网关的标识,所述第一网关为所述用户接入的网络的网关;
所述第一控制器获取业务信息,所述业务信息为所述用户订购的业务的信息;
所述第一控制器向第二控制器发送第一请求,所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF;
所述第一控制器接收所述第二控制器发送的第一响应,所述第一响应包括传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络;
所述第一控制器向第三控制器发送第二请求,所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
结合上述第一方面,在第一方面的第一种可能的实现方式中,所述第一响应还包括第二网关的标识,所述第二网关为所述DC的网关,所述第二请求还包括所述第二网关的标识。
结合上述第一方面或第一方面的第一种可能的实现方式,还提供了第一方面的第二种可能的实现方式,所述第一控制器获取用户的标识和第一网关的标识包括:
所述第一控制器接收所述第一网关发送的通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;
所述第一控制器从所述通知消息,获取所述用户的标识和所述第一网关的标识。
结合上述第一方面或第一方面的第一种可能的实现方式,还提供了第一方面的第三种可能的实现方式,所述第一控制器获取用户的标识和第一 网关的标识包括:
所述第一控制器根据外部指令或预设周期,从预设的服务器获得第一对应关系,所述第一对应关系包括所述用户的标识和所述第一网关的标识,所述预设的服务器用于保存所述第一对应关系;
所述第一控制器从所述第一对应关系,获取所述用户的标识和所述第一网关的标识。
结合上述第一方面或第一方面的第一种可能的实现方式,还提供了第一方面的第四种可能的实现方式,其特征在于,所述第一控制器获取用户的标识和第一网关的标识包括:
所述第一控制器接收所述第一网关发送的第一认证请求,所述第一认证请求包括所述用户的标识和所述第一网关的标识,所述第一认证请求用于请求AAA服务器对所述用户的身份进行认证;
所述第一控制器从所述第一认证请求,获得所述用户的标识和所述第一网关的标识。
结合上述第一方面或第一方面的任意一种可能的实现方式,还提供了第一方面的第五种可能的实现方式,所述第一控制器获取业务信息包括:
所述第一控制器根据所述用户的标识和预存的第二对应关系,获得所述业务信息,所述第二对应关系包括所述业务信息和所述用户的标识。
结合上述第一方面的第二种可能的实现方式,还提供了第一方面的第六种可能的实现方式,所述通知消息还包括所述业务信息,所述第一控制器获取业务信息包括:
所述第一控制器从所述通知消息,获取所述业务信息。
结合上述第一方面的第四种可能的实现方式,还提供了第一方面的第七种可能的实现方式,所述第一控制器获取业务信息包括:
所述第一控制器向所述AAA服务器发送所述第二认证请求,所述第二认证请求包括所述用户的标识和所述第一网关的标识,所述第二认证请求用于请求所述AAA服务器对所述用户的身份进行认证;
所述第一控制器接收所述AAA服务器发送的认证通过响应,所述认证通过响应包括所述业务信息、所述用户的标识和用于表示所述用户接入网络的信息,所述认证通过响应用于通知所述第一网关所述用户通过身份 认证;
所述第一控制器从所述认证通过响应获取所述业务信息。
第二方面,提供一种用于对用户的业务进行授权的方法,包括:
第二控制器接收第一控制器发送的第一请求,所述第一请求包括业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF;
所述第二控制器根据所述业务信息,生成与所述业务信息对应的VNF;
所述第二控制器为所述用户分配传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络;
所述第二控制器向所述第一控制器发送第一响应,所述第一响应包括所述传送网络的标识。
结合上述第二方面,在第二方面的第一种可能的实现方式中,还包括:
所述第二控制器根据所述VNF,获得网关的标识,所述网关为所述VNF所属的DC的网关;
所述第二控制器还通过所述第一响应,向所述第一控制器发送所述网关的标识。
第三方面,提供一种用于对用户的业务进行授权的方法,包括:
第三控制器接收第一控制器发送的第二请求,所述第二请求包括用户的标识、第一网关的标识和传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络;
所述第三控制器根据第二请求,生成配置信息,所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识;
所述第三控制器向所述网关集发送所述配置信息。
结合上述第三方面,在第三方面的第一种可能的实现方式中,所述网 关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径,所述第三控制器向所述网关集发送所述配置信息包括:
所述第三控制器根据所述第一网关的标识,向所述第一网关发送所述配置信息。
结合上述第三方面,还提供了第三方面的第二种可能的实现方式,所述第二请求还包括第二网关的标识,所述第二网关为DC的网关,所述配置信息还包括所述第二网关的标识,所述配置信息包括第一配置信息和第二配置信息;
所述第三控制器根据第二请求,生成配置信息包括:
所述第三控制器根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;
所述第三控制器根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
结合上述第三方面的第二种可能的实现方式,还提供了第三方面的第三种可能的实现方式,所述第三控制器向所述网关集发送所述配置信息包括:
所述第三控制器根据所述第一网关的标识,向所述第一网关发送所述第一配置信息;
所述第三控制器根据所述第二网关的标识,向所述第二网关发送所述第二配置信息。
第四方面,提供一种用于对用户的业务进行授权的方法,包括:
第一网关接收用户的接入请求,所述接入请求包括所述用户的标识;
所述第一网关向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识;
所述第一网关接收第三控制器发送的配置信息,所述配置信息为第一 网关配置用于传输数据的路径所需的信息,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络;
所述第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得对应关系,所述对应关系包括所述用户的信息和所述路径的信息,所述路径的信息包括所述第一网关的标识和所述传送网络的标识,所述路径为所述第一网关与所述业务信息对应的VNF间的路径。
结合上述第四方面,在第四方面的第一种可能的实现方式中,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者
所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
结合上述第四方面或第四方面的第一种可能的实现方式,还提供了第四方面的第二种可能的实现方式,还包括:
所述第一网关接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
所述第一网关根据所述用户的标识和所述对应关系,获得所述路径的信息;
所述第一网关根据所述路径的信息,通过所述路径向所述VNF发送所述来自用户的报文。
第五方面,提供一种用于对用户的业务进行授权的方法,包括:
第一网关接收用户的接入请求,所述接入请求包括所述用户的标识;
所述第一网关向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识;
所述第一网关接收第三控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的子路径所需的信息,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务 的信息,所述配置信息包括所述用户的标识和第二网关的标识,所述第二网关为DC的网关;
所述第一网关根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得对应关系,所述对应关系包括所述用户的标识和所述子路径的信息,所述子路径的信息包括所述第一网关的标识和所述第二网关的标识,所述子路径为所述第一网关与所述第二网关间的路径。
结合上述第五方面,在第五方面的第一种可能的实现方式中,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者
所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
结合上述第五方面或第五方面的第一种可能的实现方式,还提供了第五方面的第二种可能的实现方式,还包括:
所述第一网关接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
所述第一网关根据所述用户的标识和所述对应关系,获得所述子路径的信息;
所述第一网关根据所述子路径的信息,通过所述子路径向所述第二网关发送所述来自用户的报文。
第六方面,提供一种第一控制器,包括:
第一获取单元,用于获取用户的标识和第一网关的标识,所述第一网关为所述用户接入的网络的网关;
第二获取单元,用于获取业务信息,所述业务信息为所述用户订购的业务的信息;
第一发送单元,用于向第二控制器发送第一请求,所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF;
第一接收单元,用于接收所述第二控制器发送的第一响应,所述第一响应包括传送网络的标识,所述传送网络的标识用于标识所述用户被分配 的DC内的传送网络;
第二发送单元,用于向第三控制器发送第二请求,所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
结合上述第六方面,在第六方面的第一种可能的实现方式中,所述第一响应还包括第二网关的标识,所述第二网关为所述DC的网关,所述第二请求还包括所述第二网关的标识。
结合上述第六方面或第六方面的第一种可能的实现方式,还提供了第六方面的第二种可能的实现方式,所述第一控制器还包括第二接收单元;
所述第二接收单元用于接收所述第一网关发送的通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;
所述第一获取单元具体用于从所述通知消息,获取所述用户的标识和所述第一网关的标识。
结合上述第六方面或第六方面的第一种可能的实现方式,还提供了第六方面的第三种可能的实现方式,
所述第一获取单元具体用于根据外部指令或预设周期,从预设的服务器获得第一对应关系,所述第一对应关系包括所述用户的标识和所述第一网关的标识,所述预设的服务器用于保存所述第一对应关系;
所述第一获取单元具体用于从所述第一对应关系,获取所述用户的标识和所述第一网关的标识。
结合上述第六方面或第六方面的第一种可能的实现方式,还提供了第六方面的第四种可能的实现方式,所述第一控制器还包括第三接收单元;
所述第三接收单元用于接收所述第一网关发送的第一认证请求,所述第一认证请求包括所述用户的标识和所述第一网关的标识,所述第一认证请求用于请求AAA服务器对所述用户的身份进行认证;
所述第一获取单元具体用于从所述第一认证请求,获得所述用户的标识和所述第一网关的标识。
结合上述第六方面或第六方面的任意一种可能的实现方式,还提供了 第六方面的第五种可能的实现方式,
所述第二获取单元具体用于根据所述用户的标识和预存的第二对应关系,获得所述业务信息,所述第二对应关系包括所述业务信息和所述用户的标识。
结合上述第六方面的第二种可能的实现方式,还提供了第六方面的第六种可能的实现方式,所述通知消息还包括所述业务信息,所述第二获取单元具体用于从所述通知消息,获取所述业务信息。
结合上述第六方面的第四种可能的实现方式,还提供了第六方面的第七种可能的实现方式,所述第一控制器还包括:
第三发送单元,用于向所述AAA服务器发送所述第二认证请求,所述第二认证请求包括所述用户的标识和所述第一网关的标识,所述第二认证请求用于请求所述AAA服务器对所述用户的身份进行认证;
第四接收单元,用于接收所述AAA服务器发送的认证通过响应,所述认证通过响应包括所述业务信息、所述用户的标识和用于表示所述用户接入网络的信息,所述认证通过响应用于通知所述第一网关所述用户通过身份认证;
所述第二获取单元具体用于从所述认证通过响应获取所述业务信息。
第七方面,提供一种第二控制器,包括:
接收单元,用于接收第一控制器发送的第一请求,所述第一请求包括业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF;
生成单元,用于根据所述业务信息,生成与所述业务信息对应的VNF;
分配单元,用于为所述用户分配传送网络的标识,所述传送网络的标识用于标识为所述用户被分配的DC内的传送网络;
发送单元,用于向所述第一控制器发送第一响应,所述第一响应包括所述传送网络的标识。
结合上述第七方面,在第七方面的第一种可能的实现方式中,所述第二控制器还包括:
获取单元,用于根据所述VNF获得网关的标识,所述网关为所述VNF所属的DC的网关;
所述发送单元还用于通过所述第一响应,向所述第一控制器发送所述网关的标识。
第八方面,提供一种第三控制器,包括:
接收单元,用于接收第一控制器发送的第二请求,所述第二请求包括用户的标识、第一网关的标识和传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络;
生成单元,用于根据第二请求,生成配置信息,所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识;
发送单元,用于向所述网关集发送所述配置信息。
结合上述第八方面,在第八方面的第一种可能的实现方式中,所述网关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径,
所述发送单元具体用于根据所述第一网关的标识,向所述第一网关发送所述配置信息。
结合上述第八方面,还提供了第八方面的第二种可能的实现方式,所述第二请求还包括第二网关的标识,所述第二网关为DC的网关,所述配置信息包括第一配置信息和第二配置信息,所述生成单元包括:
第一生成子单元,用于根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;
第二生成子单元,用于根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
结合上述第八方面的第二种可能的实现方式,还提供了第八方面的第 三种可能的实现方式,所述发送单元包括:
第一发送子单元,用于根据所述第一网关的标识,向所述第一网关发送所述第一配置信息;
第二发送子单元,用于根据所述第二网关的标识,向所述第二网关发送所述第二配置信息。
第九方面,提供一种第一网关,包括:
第一接收单元,用于接收用户的接入请求,所述接入请求包括所述用户的标识;
第一发送单元,用于向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识;
第二接收单元,用于接收第三控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的路径所需的信息,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络;
第一获得单元,用于根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得对应关系,所述对应关系包括所述用户的信息和所述路径的信息,所述路径的信息包括所述第一网关的标识和所述传送网络的标识,所述路径为所述第一网关与所述业务信息对应的VNF间的路径。
结合上述第九方面,在第九方面的第一种可能的实现方式中,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者
所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
结合上述第九方面或第九方面的第一种可能的实现方式,还提供了第九方面的第二种可能的实现方式,所述第一网关还包括:
第三接收单元,用于接收到来自用户的报文,所述来自用户的报文包 括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
第二获得单元,用于根据所述用户的标识和所述对应关系,获得所述路径的信息;
第二发送单元,用于根据所述路径的信息,通过所述路径向所述VNF发送所述来自用户的报文。
第十方面,提供一种第一网关,包括:
第一接收单元,用于接收用户的接入请求,所述接入请求包括所述用户的标识;
第一发送单元,用于向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识;
第二接收单元,用于接收第第三控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的子路径所需的信息,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识、所述第一网关的标识和第二网关的标识,所述第二网关为DC的网关;
第一获得单元,用于根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得对应关系,所述对应关系包括所述用户的标识和所述子路径的信息,所述子路径的信息包括所述第一网关的标识和所述第二网关的标识,所述子路径为所述第一网关与所述第二网关间的路径。
结合上述第十方面,在第十方面的第一种可能的实现方式中,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者
所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
结合上述第十方面或第十方面的第一种可能的实现方式,还提供了第十方面的第二种可能的实现方式,所述第一网关还包括:
第三接收单元,用于接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
第二获得单元,用于根据所述用户的标识和所述对应关系,获得所述子路径的信息;
第二发送单元,用于根据所述子路径的信息,通过所述子路径向所述第二网关发送所述来自用户的报文。
第十一方面,提供一种对用户的业务进行授权的系统,所述系统包括:前述第六方面或第六方面的任意一种可能的实现方式提供的第一控制器、前述第七方面或第七方面的第一种可能的实现方式提供的第二控制器和前述第八方面或第八方面的任意一种可能的实现方式提供的第三控制器。
本发明实施例提供的用于对用户的业务进行授权的方法、装置及系统中,第一控制器获取业务信息后,向第二控制器发送包括所述业务信息的第一请求。所述第一控制器通过发送所述第一请求,通知所述第二控制器生成与所述业务信息对应的VNF。所述第一控制器接收到所述第二控制器发送的包括传送网络的标识的第一响应后,向第三控制器发送包括所述用户的标识、所述第一网关的标识和所述传送网络的标识的第二请求。所述第一控制器通过发送所述第二请求,通知所述第三控制器配置用于传输数据的路径。这样,用于管理VNF的第二控制器可根据来自所述第一控制器的所述业务信息,生成与用户订购的业务对应的VNF。所述第一控制器可将与VNF对应的传送网络的标识,通过所述第三控制器下发给第一网关。这样第一网关可利用所述传送网络的标识,将所述用户的流量发送至所述VNF,即订购了业务的用户的数据能够传输到与业务信息对应的VNF,有效地提高VNF资源的利用率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术提供一种宽带系统结构示意图;
图2为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图3为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图4为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图5为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图6为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图7为本发明实施例提供一种NFV宽带系统结构示意图;
图8为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图9为本发明实施例提供一种Syslog消息格式结构示意图。
图10(a)为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图10(b)为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图11为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图12(a)为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图12(b)为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图13为本发明实施例提供一种用于对用户的业务进行授权的方法流程图;
图14为本发明实施例提供一种第一控制器结构示意图;
图15为本发明实施例提供一种第一控制器结构示意图;
图16为本发明实施例提供一种第一控制器结构示意图;
图17为本发明实施例提供一种第二控制器结构示意图;
图18为本发明实施例提供一种第二控制器结构示意图;
图19为本发明实施例提供一种第三控制器结构示意图;
图20为本发明实施例提供一种第三控制器的生成单元结构示意图;
图21为本发明实施例提供一种第三控制器的发送单元结构示意图;
图22为本发明实施例提供一种第一网关结构示意图;
图23为本发明实施例提供一种第一网关结构示意图;
图24为本发明实施例提供一种第一网关结构示意图;
图25为本发明实施例提供一种第一网关结构示意图;
图26为本发明实施例提供一种对用户的业务进行授权的系统示意图;
图27为本发明实施例提供一种第一控制器结构示意图;
图28为本发明实施例提供一种第二控制器结构示意图;
图29为本发明实施例提供一种第三控制器结构示意图;
图30为本发明实施例提供一种第一网关结构示意图;
图31为本发明实施例提供一种第一网关结构示意图;
图32为本发明实施例提供一种对用户的业务进行授权的系统示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
实施例1是从第一控制器一侧对用于对本发明实施例提供的方法进行说明。所述第一控制器可以设置于协调器、业务编排控制器(orchestrator)或运营支撑系统(operations support system,OSS)。本发明实施例提供一种用于对用户的业务进行授权的方法,如图2所示,包括:
S101、第一控制器获取用户的标识和第一网关的标识,所述第一网关为所述用户接入的网络的网关。
举例说明,所述第一控制器可以是周期性地访问预设的服务器,获得第一对应关系,所述第一对应关系包括所述用户的标识和所述第一网关的标识;所述第一控制器可以从所述第一对应关系中获取所述用户的标识和所述第一网关的标识。或者,所述第一控制器接收外部指令,根据所述外 部指令访问所述预设的服务器,获得第一对应关系,所述第一对应关系包括所述用户的标识和所述第一网关的标识;所述第一控制器可以从所述第一对应关系中获取所述用户的标识和所述第一网关的标识。
举例说明,所述第一控制器还可从来自所述第一网关的通知消息中获得所述用户的标识和所述第一网关的标识。所述通知消息包括所述用户的标识和所述第一网关的标识。或者,所述第一控制器还可从来自所述第一网关的第一认证请求中获得所述用户的标识和所述第一网关的标识。所述第一认证请求包括所述用户的标识和所述第一网关的标识。其中,所述第一控制器可接收所述第一网关直接发送的所述通知消息或所述认证请求,或者所述第一控制器可接收第三控制器转发的所述通知消息或所述认证请求,即所述第一网关发送所述通知消息或所述认证请求至所述第三控制器,由所述第三控制器将所述通知消息或所述认证请求转发至所述第一控制器。
S102、所述第一控制器获取业务信息,所述业务信息为所述用户订购的业务的信息。
举例说明,所述第一控制器接收到来自所述第一网关的所述通知消息还包括所述业务信息,所述第一控制器可从所述通知消息获得所述业务信息。或者,所述第一控制器预先存储有第二对应关系,所述第二对应关系包括所述业务信息和所述用户的标识。所述第一控制器根据所述用户的标识和第二对应关系,获得所述业务信息。或者,所述第一控制器还可从AAA服务器向所述第一网关发送的认证通过响应中,获得所述业务信息,所述认证通过响应包括所述业务信息。
举例说明,所述第一控制器可在S102之前与所述AAA服务器进行交互,从所述AAA服务器获得所述用户的标识和所述业务信息。所述第一控制器根据所述用户的标识和所述业务信息,生成所述第二对应关系。所述第一控制器和所述AAA服务器间的交互可遵循协商确定的协议,在此不再赘述。或者,所述第一控制器可在S102之前,接收到所述第一网关发送的用户的标识和所述业务信息。所述第一控制器根据所述用户的标识和所述业务信息,生成所述第二对应关系。
S103、所述第一控制器向第二控制器发送第一请求,所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务 信息对应的VNF。
举例说明,所述第一控制器可预先存储有所述第二控制器的标识,所述第二控制器的标识可为所述第二控制器的IP地址,所述第二控制器的编号等信息。所述第一控制器可根据所述第二控制器的标识,向所述第二控制器发送所述第一请求。
举例说明,所述第一请求可以是所述第一控制器生成的,还可以是能够与所述第一控制器交互的设备生成的,在此不再逐一举例说明。所述与所述业务信息对应的VNF是能够处理所述用户订购的业务的VNF。
S104、所述第一控制器接收所述第二控制器发送的第一响应,所述第一响应包括传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。
举例来说,所述第一响应用于通知所述第一控制器与所述业务信息对应的VNF在DC内的用户网络的标识。所述VNF在DC内的用户网络是所述传送网络的标识所标识的网络。
可选地,所述第一响应还包括第二网关的标识。所述第二网关的标识可以是所述第二网关的IP地址或所述第二网关的编号等信息,在此不再逐一举例说明。所述第二网关为DC所包括的网关。
S105、所述第一控制器向第三控制器发送第二请求,所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
可选地,所述第一控制器向所述第三控制器发送的第二请求还可包括所述第二网关的标识,即所述第二请求包括所述用户的标识、所述第一网关的标识、所述第二网关的标识和所述传送网络的标识。
S105之后,本发明实施例提供的方法还包括:所述第一控制器接收所述第三控制器发送的第二响应,所述第二响应用于通知所述第一控制器完成所述路径的配置。所述第二响应可包括所述用户的标识,或者所述第二响应包括所述用户的标识和所述第一网关的标识,或者所述第二响应包括所述用户的标识、所述第一网关的标识和所述传送网络的标识。
本发明实施例提供的方法中,第一控制器获取用户的标识、第一网关的标识和业务信息。所述第一控制器向第二控制器发送包括所述业务信息的第一请求,通知所述第二控制器生成与所述业务信息对应的VNF。所述 第一控制器接收所述第二控制器发送包括传送网络的标识的第一响应后,向第三控制器发送包括所述用户的标识、所述第一网关的标识和所述传送网络的标识的第二请求,通知所述第三控制器配置用于传输数据的路径。这样,订购业务的用户与能够与业务信息对应的VNF建立对应关系,所述订购业务的用户的数据能够被传输到对应的VNF,有效地提高VNF资源的利用率。
实施例2
实施例2是从第二控制器一侧对本发明实施例提供的方法进行说明。所述第二控制器可用于生成VNF并管理所生成的VNF,所述第二控制器也可称为VNF控制器。本发明实施例提供一种用于对用户的业务进行授权的方法,如图3所示,包括:
S201、第二控制器接收第一控制器发送的第一请求,所述第一请求包括业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF。
实施例2中的第一请求与实施例1中的第一请求相同,在此不再赘述。
S202、所述第二控制器根据所述业务信息,生成与所述业务信息对应的VNF。
举例说明,所述第二控制器可根据所述业务信息,实例化VNF资源,生成VNF。其中,所述实例化VNF资源是为所述业务信息对应的业务分配物理的资源,例如:分配一个物理CPU资源。所述第二控制器可采用通常的方法来生成VNF,在此不再赘述。
S203、所述第二控制器为所述用户分配传送网络的标识,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。
举例说明,所述第二控制器可从DC内选择空闲的传送网络,将所述空闲的传送网络分配给所述用户。或者,所述第二控制器也可根据预设的配置策略,根据所述业务信息,为所述用户分配所述传送网络,在此不再赘述。
S204、所述第二控制器向所述第一控制器发送第一响应,所述第一响应包括所述传送网络的标识。
实施例2的第一响应与实施例1的第一响应相同,在此不再赘述。
可选地,若DC内包括多个网关,每个网关所能够通信的VNF不完全相同,则S202之后,所述方法还包括:所述第二控制器根据所述VNF, 获得网关的标识,所述网关为第二网关,即所述VNF所属的DC的网关;所述第二控制器还通过所述第一响应,向所述第一控制器发送所述网关的标识。若DC内仅包含一个网关,所述一个网关能够与DC内的所有VNF进行通信,则S201之后,所述方法还包括:所述第二控制器获得DC的网关的标识,所述第二控制器还通过所述第一响应,向所述第一控制器发送所述DC的网关的标识。
本发明实施例提供的方法中,第二控制器接收第一控制器发送的包括业务信息的第一请求。所述第二控制器根据所述业务信息,生成与所述业务信息对应的VNF。所述第二控制器向所述第一控制器发送包括为所述用户分配的传送网络的标识的第一响应,有助于订购了业务的用户与业务信息对应的VNF建立对应关系,使得所述订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
实施例3
实施例3是从第三控制器一侧对本发明实施例提供的方法进行说明。实施例3中的第一控制器能够对所述第三控制器和第二控制器进行管理和/或控制。所述第三控制器能够对第一网关进行管理和/或控制,或者能够对所述第一网关和第二网关进行管理和/或控制。所述第二控制器为实施例2中提及的第二控制器。本发明实施例提供一种用于对用户的业务进行授权的方法,如图4所示,包括:
S301、第三控制器接收第一控制器发送的第二请求,所述第二请求包括用户的标识、第一网关的标识和传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。
实施例3的第二请求与实施例1中的第二请求相同,在此不再赘述。
S302、所述第三控制器根据所述第二请求,生成配置信息,所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识。
举例说明,所述网关集可以仅包含所述第一网关,或者包含所述第一网关和第二网关。所述第二网关为DC的网关。
若所述网关集仅包含所述第一网关,则所述第三控制器根据所述第二请求生成所述配置信息包括:所述第三控制器根据所述第二请求包括的所述用户的标识和所述传送网络的标识,生成所述配置信息。相应地,所述路径为所述第一网关与所述业务信息对应的VNF间的路径,比如:所述第一网关与所述业务信息对应的VNF间的隧道,隧道的源地址为所述第一网关的标识,所述隧道的目的地址是所述传送网络的标识。
可选地,所述配置信息还可包括所述路径的标识,有助于识别所述用户所采用的路径。
可选地,所述配置信息还可包括所述路径的类型等参数,在此不再逐一举例说明。
可选地,所述第二请求还包括所述第二网关的标识,所述配置信息还包括所述第二网关的标识。所述配置信息包括第一配置信息和第二配置信息。若所述网关集包含所述第一网关和所述第二网关,则所述第三控制器根据所述第二请求生成所述配置信息包括:所述第三控制器根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;所述第三控制器根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
可选地,所述第一配置信息还可包括所述第一网关的标识和/或所述路径的标识。所述第二配置信息还可包括所述第一网关的标识、所述第二网关的标识和所述路径的标识中的至少一个。
S303、所述第三控制器向所述网关集发送所述配置信息。
举例说明,若所述网关集仅包括所述第一网关,则所述第三控制器向所述网关集发送所述配置信息包括:所述第三控制器根据所述第二请求包括的所述第一网关的标识,向所述第一网关发送所述配置信息。
举例说明,若所述网关集包括是第一网关和所述第二网关,则所述第三控制器向所述网关集发送所述配置信息包括:所述第三控制器根据所述第二请求包括的所述第一网关的标识,向所述第一网关发送所述第一配置信息;所述第三控制器根据所述第二请求包括的所述第二网关的标识,向 所述第二网关发送所述第二配置信息。
举例说明,所述第三控制器可通过消息或报文,携带所述第二配置信息。所述第三控制器可通过携带所述第二配置信息的消息或报文,向所述第二网关下发所述第二配置信息。其中,所述携带所述第二如配置信息的消息或报文的目的地址可以是所述第二网关的IP地址,所述第二网关的IP地址可以是所述第二网关的标识,这样,所述第二网关可以从所述携带所述第二配置信息的消息或报文获得所述第二网关的标识。
本发明实施例提供的方法中,第三控制器接收第一控制器发送的包括用户的标识、第一网关的标识和传送网络的标识的第二请求。所述第三控制器根据第二请求,生成配置信息。所述第三控制器向网关集发送所述配置信息,该网关集为所述路径所经过的网关的集合,比如所述网关集仅包含所述第一网关,或者所述网关集包括所述第一网关和第二网关。这样,网关集包括的网关可根据配置信息,建立用于传输用户的数据的路径,使得订购了业务的用户的数据能够被传输到对应的VNF,有效地提高VNF资源的利用率。
实施例4
实施例4是从第一网关一侧对本发明实施例提供的方法进行说明。所述第一网关可以是IP网关,比如:宽带网络网关(broadband network gateway,BNG)、业务路由器(service router,SR)、宽带远程接入服务器(broadband remote access server,BRAS)或宽带接入服务器(broadband access server,BAS)。实施例4中提及的第二控制器为实施例3中提及的第三控制器,实施例4提及的第一控制器为实施例1提及的第一控制器。所述第二控制器用于对所述第一网关进行管理和/或控制。
本发明实施例提供一种用于对用户的业务进行授权的方法,如图5所示,包括:
S401、第一网关接收用户的接入请求,所述接入请求包括所述用户的标识。
举例说明,所述用户的接入请求用于向所述第一网关请求接入网络。所述用户所请求接入的网络是所述第一网关所在的网络,比如城域网络,还可以是其他类型的网络,在此不再赘述。其中,所述第一网关接收到所述用户的接入请求后,可获知所述用户处于上线状态。
S402、所述第一网关向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
举例说明,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者,所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
S403、所述第一网关接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的路径所需的信息,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和传送网络的标识,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
举例说明,所述配置信息可携带在报文或消息中,携带所述配置信息的报文或消息的目的地址可以为所述第一网关的地址。如果所述第一网关的标识是所述第一网关的IP地址,则所述携带所述配置信息的报文或消息的目的地址可以为所述第一网关的标识。这样,所述第一网关可从所述携带所述配置信息的报文或消息的目的地址,获得所述第一网关的标识。
可选地,所述配置信息还可包括所述第一网关的标识。
S404、所述第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得对应关系,所述对应关系包括所述用户的信息和所述路径的信息,所述路径的信息包括所述第一网关的标识和所述传送网络的标识,所述路径为所述第一网关与所述业务信息对应的VNF间的路径。
举例说明,所述第一网关可从所述配置信息获得所述用户的标识和所述传送网络的标识,所述第一网关可从所述携带所述配置信息的报文或消息中获得所述第一网关的标识,所述第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识生成所述对应关系。
可选地,若所述配置信息还包括所述第一网关的标识,所述第一网关 可从所述配置信息获得所述用户的信息、所述第一网关的标识和所述传送网络的标识;所述第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识生成所述对应关系。
可选地,若所述配置信息还包括所述路径的标识,则所述第一网关获得所述对应关系包括:所述第一网关从所述配置信息获得所述路径的标识、所述用户的标识和所述传送网络的标识;所述第一网关从携带所述配置信息的消息或报文中获得所述第一网关的标识;所述第一网关根据所述路径的标识、所述用户的标识、所述第一网关的标识和所述传送网络的标识,生成所述对应关系,所述对应关系包括所述路径的标识、所述用户的标识、所述第一网关的标识和所述传送网络的标识。
S404之后,本发明实施例提供的方法还包括:所述第一网关接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;所述第一网关根据所述用户的标识和所述对应关系,获得所述路径的信息;所述第一网关根据所述路径的信息,通过所述路径向所述VNF发送所述来自用户的报文。
本发明实施例提供的方法中,第一网关接收用户的接入请求后,向第一控制器发送包括所述用户的标识和所述第一网关的标识的第一消息。所述第一网关接收第二控制器发送的包括所述用户的标识和传送网络的标识的配置信息。第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得包括所述用户的信息和所述路径的信息的对应关系。这样,第一网关能够建立起用于传输用户的数据的路径,使得订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
实施例5
实施例5是从第一网关一侧对本发明实施例提供的方法进行说明。所述第一网关可以是IP网关,具体举例可参见实施例4。实施例5中提及的第二控制器为实施例3中提及的第三控制器,实施例5提及的第一控制器为实施例1提及的第一控制器。所述第二控制器用于对所述第一网关和所述第二网关进行管理和/或控制。
本发明实施例提供一种用于对用户的业务进行授权的方法,如图6所 示,包括:
S501、第一网关接收用户的接入请求,所述接入请求包括所述用户的标识。
实施例5的S501与实施例4的S401相同,在此不再赘述。
S502、所述第一网关向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
实施例5的S502与实施例4的S402相同,在此不再赘述。
S503、所述第一网关接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的子路径所需的信息,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和第二网关的标识,所述第二网关为DC的网关。
本发明实施例中的子路径用于传输所述数据至所述第二网关。实施例5中的配置信息为实施例3中提及的第一配置信息,在此不再赘述。实施例5中的子路径为实施例3中提及的第一子路径。
可选地,本发明实施例中的配置信息还可包括所述路径的标识。实施例5中的路径的标识是用来标识所述子路径所在的路径,可以与实施例4中的路径的标识或实施例3中的路径的标识相同,在此不再赘述。
S504、所述第一网关根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得对应关系,所述对应关系包括所述用户的标识和所述子路径的信息,所述子路径的信息包括所述第一网关的标识和所述第二网关的标识,所述子路径为所述第一网关与所述第二网关间的路径。
举例说明,所述第一网关生成所述对应关系的所述第一网关的标识可来自于携带所述配置信息的消息或报文,或者所述第一网关的标识可进一步包含于所述配置信息中,即所述第一网关可采用实施例4中的方法获得所述第一网关的标识,在此不再赘述。
可选的,若所述配置信息还包括所述路径的标识,所述第一网关生成的对应关系还包括所述路径的标识。
S504之后,本发明实施例提供的方法还包括:所述第一网关接收到 来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;所述第一网关根据所述用户的标识和所述对应关系,获得所述子路径的信息;所述第一网关根据所述子路径的信息,通过所述子路径向所述第二网关发送所述来自用户的报文。
本发明实施例提供的方法,第一网关接收用户的接入请求后,向第一控制器发送包括所述用户的标识和所述第一网关的标识的第一消息。所述第一网关接收第二控制器发送的包括所述用户的标识和第二网关的标识的配置信息。所述第一网关根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得包括所述用户的标识和所述子路径的信息的对应关系。这样,第一网关能够建立起用于传输用户的数据的子路径,即所述第一网关至所述第二网关间的路径,使得订购了业务的用户的数据能够传输到所述第二网关,有助于提高VNF资源的利用率。
实施例6
本发明实施例提供一种NFV宽带系统,如图7所示,包括用户驻地设备、接入节点、AAA服务器、IP网关、DC网关、第一控制器、第二控制器、第三控制器和VNF。IP网关可以是本发明任意一个实施例中提及的第一网关。DC网关可以是本发明任意一个实施例中提及的第二网关。本发明实施例提供的系统包括的设备间的连接关系如图7所示。
实施例7
下面结合图7所示的系统,对实施例7提供的方法进行说明。本发明实施例提供一种用于对用户的业务进行授权的方法,如图8所示,所述方法包括:
S601、用户驻地设备向第一网关发送身份认证请求。
举例说明,用户驻地设备可通过接入节点,向第一网关发送身份认证请求。所述身份认证请求包括用户的标识。
需要说明的是,所述身份认证请求用于请求AAA服务器对所述用户的身份进行认证。用户驻地设备可以通过动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)、以太网上的点对点协议(Point to Point Protocol over Ethernet,PPPoE)和802.1x协议中任意一种协议向第一网关发送所述身份认证请求。其中,802.1x协议是基于客户端或服务器的访问控制和认证协议。通过802.1x协议可以限制未经授权的用户或 设备通过接入端口(access port)访问局域网(Local Area Network,LAN)或无线局域网(Wireless Local Area Networks,WLAN)。
S602、所述第一网关向AAA服务器发送第一认证请求。
举例说明,所述第一网关从所述身份认证请求中获取用户的标识。所述第一网关可以通过远程用户拨号认证服务(Remote Authentication Dial In User Service,Radius)协议或计费认证协议(Diameter Protocol),向所述AAA服务器发送第一认证请求。所述第一认证请求用于请求所述AAA服务器对所述用户的身份进行认证。所述第一认证请求包括所述用户的标识和所述第一网关的标识。
S603、所述AAA服务器根据所述第一认证请求,对所述用户的身份进行认证。
所述AAA服务器可采用通常AAA服务器所采用的认证方法,对所述用户的身份进行认证,在此不在赘述。
S604、所述AAA服务器向所述第一网关发送第一认证通过响应。
所述AAA服务器在根据所述用户的标识,确定所述用户通过身份认证后,生成所述第一认证通过响应。所述AAA服务器可向所述第一网关发送所述第一认证通过响应。具体地,所述AAA服务器可以通过Radius协议或Diameter协议向所述第一网关发送所述第一认证通过响应。所述第一认证通过响应用于通知所述第一网关所述用户通过身份认证。
S605、所述第一网关向用户驻地设备发送第二认证通过响应。
所述第一网关可以通过DHCP、PPPoE和802.1x协议中任意一种协议向用户驻地设备发送所述第二认证通过响应。所述第二认证通过响应中携带用于标识所述用户通过身份认证的参数或标识信息。
S606、所述第一网关向所述第一控制器发送通知消息。
所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络。所述第一网关的标识可以是所述第一网关的互联网协议(internet protocol,IP)地址、所述第一网关的序号、所述第一网关的名称等能够标识所述第一网关的信息。
所述通知(Notification)消息可以由所述第一网关直接发送至所述第一控制器。或者,所述通知消息可经第三控制器转发至所述第一控制器, 即所述第一网关向所述第三控制器发送所述通知消息,经所述第三控制器转发所述通知消息至所述第一控制器。所述第三控制器是能够管理和/或控制所述第一网关的设备。
所述第一网关可以通过网络配置协议(Network Configuration Protocol,Netconf)、简单网络管理协议(Simple Network Management Protocol,SNMP)Trap和系统日志(Syslog)协议中任意一种协议向所述第一控制器发送所述通知消息。
具体的,所述第一网关可以发送事件通知(Event Notification)消息到所述第一控制器。若所述第一网关通过Netconf协议发送通知消息,则所述第一网关可扩展Event Notification携带的内容来携带所述用户的标识和所述第一网关的标识。Event Notification的内容的格式可以是可扩展标记语言(Extensible Markup Language,XML)或javaScript对象表示法(avaScript Object Notation,JSON)等格式。假设以XML为例,扩展Netconf Notification携带的内容如下:
可选地,用户的标识可以为线路ID(Line-ID)或用户的名称。例如:所述用户名称可以是“alice@isp”。Line-ID包括接入节点的名称、接入端口的框、接入端口的槽、接入端口的端口号和虚拟局域网(Virtual LAN Area Network,VLAN)号等。
例如:Line-ID的值为“DSLAM_010101_VLAN100”。DSLAM表示接入节点的名称,010101中的01可分别表示接入端口的框、接入端口的槽和接入端口的端口号,VLAN100表示的是用户所属的VLAN号,不属于DC中的传送网络。VLAN100表示的是用户在接入网络中被分配的VLAN的标识。
用户状态为所述用户的上线状态或所述用户的下线状态。所述用户上的线状态可以表示为“1”,所述用户的下线状态可以表示为“0”。或者,所述用户的上线状态可以表示为“online”,所述用户的下线状态可以表 示为“offline”。所述用户的上线状态表示所述用户接入网络。
若所述第一网关通过SNMP Trap协议发送通知消息,Trap中的对象标示符(Object Identifier)和Value可用于携带通知消息的内容,Object Identifier表示用户的标识或用户状态。
若所述第一网关通过Syslog协议发送通知消息时,可以将通知消息的内容放到Syslog消息的消息体中。如图9所示Syslog消息格式,包括IP、用户数据报协议(User Datagram Protocol,UDP)和Syslog消息,Syslog消息包括优先级、时间标志位和消息体。用户的标识可以表示为“alice@isp change online”。
可选地,通知消息还包括用户的带宽信息和用户的物理位置信息等用户相关的属性。用户的带宽信息可以用于在第一网关和用户的业务信息对应的VNF之间的路径间提供满足带宽要求的传输通道。用户的物理位置信息可以用于提供基于位置的服务,例如,用户在公共场所接入网络,则提供防火墙功能。
在S606之后,还包括S607至S6020。如图10(a)所示,S607至S6016,如图10(b)所示,S6017至S6020。
S607、所述第一控制器从所述通知消息中获取所述用户的标识和所述第一网关的标识。
具体的,所述第一控制器接收所述第一网关直接发送的所述通知消息。或者,所述第一控制器接收所述第三控制器转发来自所述第一网关的所述通知消息。所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络。
S608、所述第一控制器获取业务信息。
所述通知消息还包括所述业务信息,所述第一控制器还可从所述通知消息中获取所述业务信息。
S609、所述第一控制器向第二控制器发送第一请求。
所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF。
需要说明的是,所述第一控制器在发送所述第一请求之前,所述第一控制器生成所述第一请求,或者所述第一控制器将生成所述第一请求所需 的信息发送给服务器或其他网络设备,由所述服务器或其他网络设备生成所述第一请求。
S6010、所述第二控制器根据所述业务信息,生成与所述业务信息对应的VNF。
所述第二控制器接收所述第一控制器发送的所述第一请求,所述第一请求包括所述业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的VNF。所述第二控制器是用于管理VNF资源的控制器。
所述第二控制器根据所述业务信息分配VNF资源,实例化所述VNF资源,生成与所述业务信息对应的VNF。所述第二控制器生成所述与所述业务信息对应的VNF的方法可采用通常的生成VNF的方法,在此不再赘述。
S6011、所述第二控制器为所述用户分配传送网络的标识,以及根据所述VNF,获得第二网关的标识。
所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。所述传送网络用于传送用户的数据流,可以是虚拟扩展局域网(Virtual Extensible LAN,VXLAN)、虚拟局域网(Virtual LAN Area Network,VLAN)和隧道中任意一种。传送网络的标识可以是虚拟扩展局域网(Virtual Extensible LAN,VXLAN)的虚拟网络标识(VNI)或虚拟局域网(Virtual LAN Area Network,VLAN)的标识(ID)。所述第二网关为所述VNF所属的DC的网关。
S6012、所述第二控制器向所述第一控制器发送第一响应。
所述第一响应包括所述传送网络的标识。
可选地,所述第二控制器还将所述第二网关的标识发送给所述第一控制器,即所述第二控制器将所述第二网关的标识添加至所述第一响应,通过所述第一响应发送给所述第一控制器。
S6013、所述第一控制器向第三控制器发送第二请求。
所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。 所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。所述用户接入的网络可以为城域网络。所述传送网络用于传送用户的数据流,可以是虚拟扩展局域网(Virtual Extensible LAN,VXLAN)、虚拟局域网(Virtual LAN Area Network,VLAN)和隧道中任意一种。
需要说明的是,所述第一控制器在发送所述第二请求之前,所述第一控制器生成所述第二请求,或者所述第一控制器将生成所述第二请求所需的信息发送给服务器或其他网络设备,由所述服务器或其他网络设备生成所述第二请求。
S6014、所述第三控制器根据所述第二请求,生成配置信息。
所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识。
若所述网关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径,则所述第三控制器为所述第一网关生成所述配置信息。所述配置信息包括所述用户的标识和所述传送网络的标识。
若所述第二请求还包括第二网关的标识,所述配置信息还包括所述第二网关的标识,则第三控制器根据第二请求生成配置信息包括:所述第三控制器根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;所述第三控制器根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
所述第三控制器生成所述配置信息的方法可参见实施例3,在此不再赘述。
若所述网关集为所述第一网关,则执行S6015至S6016。
S6015、所述第三控制器向所述网关集发送配置信息。
举例说明,所述第三控制器根据所述第一网关的标识,向所述第一网关发送所述配置信息。
S6016、网关集配置所述用于传输数据的路径。
所述网关集为所述第一网关,所述第一网关配置所述路径的方法可参见实施例4的相应内容。
若所述网关集包括所述第一网关和所述第二网关,则执行S6017至S6020。
S6017、所述第三控制器向所述第一网关发送所述第一配置信息。
所述第三控制器可根据所述第一网关的标识,向所述第一网关发送所述第一配置信息。
S6018、所述第一网关根据所述第一配置信息配置所述第一子路径。
所述第一网关配置所述第一子路径的方法可参见实施例5的相应内容,在此不再赘述。所述第一子路径的信息为表1中的隧道的信息包含的内容。
表1所示的对应关系是所述第一网关根据所述第一网关的标识、所述用户的标识、所述路径的标识和所述第二网关的标识生成的对应关系。所述路径为通用路由封装协议(Generic Routing Encapsulation,GRE)隧道。
表1第一子路径的信息
用户的标识为DSLAM_010101_VLAN100。所述第一子路径是从所述第一网关到所述第二网关的路径。表1中的IP_IP网关表示所述第一网关的IP地址,表1中的IP_DC网关表示所述第二网关的IP地址。即所述第一网关的标识为所述第一网关的IP地址,所述第二网关的标识为所述第二网关的IP地址。GRE Key用于表示所述路径对应的隧道是编号为1000的隧道。所述第一网关接收到携带有DSLAM_010101_VLAN100的报文,采用表1中的源地址和目的地址进行隧道封装,通过编号为1000的GRE隧道,发送至第二网关。
需要说明的是,隧道技术可以是GRE、二层隧道协议(Layer 2 Tunneling Protocol Version3,L2TPV3)、VXLAN、多协议标记交换(Multiprotocol Label Switching,MPLS)VPN、和MPLS PW。每个用户可以对应一个隧道,或者多个用户对应一个隧道来传送用户的流量。例如,GRE隧道的Key ID、L2TPV3隧道Session ID、MPLS VPN隧道的VPN ID或VXLAN隧道的VNI。
S6019、第三控制器向所述第二网关发送所述第二配置信息。
所述第三控制器根据所述第二网关的标识,向所述第二网关发送所述第二配置信息。
S6020、第二网关根据第二配置信息配置第二子路径。
以所述第二配置信息包括所述第一网关的标识和所述路径的标识为例,所述第二网关配置所述第二子路径包括:所述第二网关可根据所述第二配置信息和所述第二网关的标识,生成对应关系,所述对应关系包括所述第一子路径的信息和所述传送网络的标识。所述第一子路径的信息为表2中隧道信息包含的内容。当然,若所述第二配置信息包含所述传送网络的标识,则所述对应关系包含所述第二网关的标识和所述传送网络的标识。所述第二网关的标识可以来自于所述第二配置信息,也可来自于携带所述第二配置信息的报文或消息。所述携带所述第二配置信息的报文或消息为所述第三控制器发送给所述第二网关的报文或消息。
表2所示的对应关系是所述第二网关根据所述第一网关的标识、所述路径的标识、所述第二网关的标识和所述传送网络的标识生成的对应关系。所述路径为GRE隧道。
表2第二子路径的信息
表2中VLAN表示传送网络的标识。表2中的隧道信息与表1相同,在此不再赘述。所述第二网关(DC网关)收到来自所述第一网关(IP网关)的隧道封装后的报文后,根据隧道封装后的报文携带的隧道信息,比如源地址、目的地址和/或GRE KEY查找表2,获得数值为200的VLAN的信息。所述第二网关根据数值为200的VLAN,通过DC内的数值为200的VLAN,向VNF发送来自用户的报文。
可选地,所述第二网关和/或所述第一网关完成配置后,可通过所述第三控制器,向所述第一控制器反馈用于表示完成配置的响应,在此不再举例说明。
实施例8
实施例8中包含的与实施例1至实施例7相同的内容,比如用户的标识、第一网关的标识、通知消息等具体含义在此不再赘述。本发明实施例提供一种用于对用户的业务进行授权的方法,如图11所示,所述方法包括:
S701、第一网关发现用户下线,向AAA服务器发送用户计费停止请求。
所述第一网关发现所述用户处于下线状态,向所述AAA服务器发送所述用户计费停止请求。所述用户计费停止请求包括所述用户的标识。所述用户计费停止请求可以通过Radius协议或Diameter协议发送。
S702、所述AAA服务器根据是用户的标识完成计费。
S703、所述AAA服务器向所述第一网关发送用户计费停止响应。
所述用户计费停止响应包括所述用户的标识。
S704、所述第一网关向第一控制器发送下线通知消息。
所述下线通知消息包括所述用户的标识和所述第一网关的标识,所述下线通知消息用于通知所述第一控制器所述用户退出网络。第一网关的标识可以是第一网关的IP地址。
需要说明的是,下线通知(Notification)消息可以直接由第一网关发送至第一控制器。或者,下线通知消息可以经过第三控制器转发至第一控制器,即第一网关可以先向第三控制器发送下线通知消息,第三控制器再向第一控制器发送下线通知消息。
在S704之后,还包括S705至S7017。如图12(a)所示,S705至S7013,如图12(b)所示,S7014至S7017。
S705、所述第一控制器从所述下线通知消息中获取所述用户的标识和所述第一网关的标识。
与实施例7中获取用户的标识和第一网关的标识的方法相同,在此不再赘述。
S706、所述第一控制器根据所述用户的标识获取业务信息。
所述业务信息为用户订购的业务的信息。与实施例1或实施例7中获取业务信息的方法相同,在此不再赘述。
S707、所述第一控制器向第二控制器发送第一取消请求。
所述第一取消请求包括所述业务信息,所述第一取消请求用于通知所述第二控制器取消生成的与所述业务信息对应的VNF。所述第一取消请求包括所述业务信息。
S708、所述第二控制器根据所述业务信息取消生成与所述业务信息对应的VNF。
所述第二控制器接收第一控制器发送的第一取消请求,获得所述业务信息。
S709、所述第二控制器向所述第一控制器发送第一取消响应。
所述第一取消响应包括传输用户订购的业务的数据的传送网络的标识和第二网关的标识。
S7010、所述第一控制器向所述第三控制器发送第二取消请求。
所述第二取消请求包括所述用户的标识、所述第一网关的标识、传输用户订购的业务的数据的传送网络的标识和第二网关的标识,所述第二取消请求用于通知所述第三控制器取消配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
S7011、所述第三控制器根据所述第二取消请求,取消配置信息。
所述第三控制器接收所述第一控制器发送的所述第二取消请求,所述第二取消请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识。所述第二取消请求用于通知所述第三控制器取消配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的VNF的数据,所述传送网络的标识用于标识所述用户被分配的DC内的传送网络。所述用户接入的网络可以为城域网络。所述传送网络用于传送用户的数据流,可以是虚拟扩展局域网(Virtual Extensible LAN,VXLAN)、虚拟局域网(Virtual LAN Area Network,VLAN)和隧道中任意一种。
若所述网关集包括所述第一网关和所述第二网关,则所述第三控制器根据所述第二取消请求,取消配置信息包括:所述第三控制器根据所述第 二取消请求包括的所述用户的标识和所述第二网关的标识,取消生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;所述第三控制器根据所述第二取消请求包括的所述传送网络的标识,取消生成的所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
若网关集为所述第一网关,则执行S7012。
S7012、所述第三控制器向所述网关集发送取消配置指令。
所述取消配置指令包括网关集配置所述用于传输数据的路径所需的信息,即包括所述用户的标识和所述传送网络的标识。具体地,所述第三控制器向所述第一网关发送所述取消配置指令。
S7013、所述网关集取消配置所述用于传输数据的路径所需的信息。
所述网关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径。具体地,所述第一网关根据所述取消配置指令,删除路径对应关系或将路径对应关系标记为不可用,所述路径对应关系包括所述用户的标识和所述传输网络的标识。可选地,所述路径对应关系还可包括所述第一网关的标识和所述路径标识中的至少一个。
若所述网关集包括所述第一网关和所述第二网关,则执行S7014和S7015。
S7014、所述第三控制器向所述第一网关发送取消配置所述第一配置信息的指令。
所述取消配置所述第一配置信息的指令包括所述第一网关配置第一子路径所需的信息。所述第三控制器根据所述第一网关的标识,向所述第一网关发送取消配置所述第一配置信息的指令。
S7015、所述第一网关根据所述第一配置信息取消配置的第一子路径。
本实施例的所述第一子路径与实施例7的所述第一子路径相同,在此不再赘述。所述第一网关可以删除表1中的全部或部分信息,或者将表1 标记为不可用,以实现取消配置的所述第一子路径。
表1第一子路径的信息
S7016、所述第三控制器向所述第二网关发送取消配置所述第二配置信息的指令。
所述取消配置所述第二配置信息的指令包括所述第二网关配置第二子路径所需的信息。所述第三控制器根据所述第二网关的标识,向所述第二网关发送取消配置所述第二配置信息的指令。
S7017、所述第二网关根据所述第二配置信息取消配置的第二子路径。
本实施例的所述第二子路径与实施例7的所述第二子路径相同,在此不再赘述。所述第二网关可以删除表2中的全部或部分信息,或者将表2标记为不可用,以实现取消配置的所述第二子路径。
表2第二子路径的信息
可选地,所述第二网关和/或所述第一网关取消配置后,可通过所述第三控制器,向所述第一控制器反馈用于表示取消配置的响应,在此不再举例说明。
实施例9
本发明实施例提供一种用于对用户的业务进行授权的方法,如图13所示,所述方法包括:
S801、用户驻地设备向第一网关发送身份认证请求。
所述用户驻地设备通过接入节点,向所述第一网关发送所述身份认证请求。所述身份认证请求包括用户的标识。具体方法和详细内容与实施例7的中的相应内容相同,在此不再赘述。
S802、所述第一网关向第一控制器发送第一认证请求。
所述第一网关可以通过Radius协议或Diameter协议向所述第一控制器发送所述第一认证请求。具体方法和详细内容与实施例4的中的相应内 容相同,在此不再赘述。
S803、所述第一控制器向AAA服务器发送第二认证请求。
所述第一控制器可以通过Radius协议或Diameter协议向所述AAA服务器发送所述第二认证请求。该所述第二认证请求用于请求AAA服务器对所述用户的身份进行认证。
S804、所述AAA服务器根据所述二认证请求,对用户的身份进行认证。
具体方法和详细内容与实施例4的中的AAA对用户进行身份认证的内容相同,在此不再赘述。
S805、所述AAA服务器向所述第一控制器发送第一认证通过响应。
所述AAA服务器可以通过Radius协议或Diameter协议向所述第一控制器发送第一认证通过响应。所述第一认证通过响应包括所述业务信息、所述用户的标识和用于表示所述用户接入网络的信息,所述第一认证通过响应用于通知所述第一网关所述用户通过身份认证。具体方法和详细内容与实施例4的中的相应内容相同,在此不再赘述。
S806、所述第一控制器向所述第一网关发送第二认证通过响应。
所述第一控制器可以通过Radius协议或Diameter协议向第一网关发送所述第二认证通过响应。
S807、第一网关向用户驻地设备发送第三认证通过响应。
所述第一网关可以通过DHCP、PPPoE和802.1x协议中任意一种协议向用户驻地设备发送第三认证通过响应。
S808、第一控制器获取用户的标识、第一网关的标识和业务信息。
第一控制器从第一认证请求中获取用户的标识和第一网关的标识,从所述认证通过响应获取所述业务信息。或者,第一控制器从认证通过响应中获取第一网关的标识、用户的标识和业务信息。
在S808之后,本发明实施例可以执行实施例7包括的S609至S6020,在此不再赘述。
本发明所述的方法,通过在第一控制器中配置AAA服务器代理,通过接收第一网关发送的认证请求获取用户的标识,然后,向AAA服务器发送认证请求后,接收AAA服务器发送认证通过响应,从认证通过响应 中获取用户接入网络的信息,可以避免通过修改现有技术中的协议来获取用户标识和用户接入网络的信息,提高本发明实施例的通用性。
实施例10
实施例10提供的第一控制器可以执行实施例1提供的方法。本发明实施例提供一种第一控制器90,如图14所示,包括:
第一获取单元901,用于获取用户的标识和第一网关的标识,所述第一网关为所述用户接入的网络的网关。
第二获取单元902,用于获取业务信息,所述业务信息为所述用户订购的业务的信息。
第一发送单元903,用于向第二控制器发送第一请求,所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的虚拟网络功能VNF。
第一接收单元904,用于接收所述第二控制器发送的第一响应,所述第一响应包括传送网络的标识,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
第二发送单元905,用于向第三控制器发送第二请求,所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
本发明实施例提供的第一控制器获取用户的标识、第一网关的标识和业务信息。所述第一控制器向第二控制器发送包括所述业务信息的第一请求,通知所述第二控制器生成与所述业务信息对应的VNF。所述第一控制器接收所述第二控制器发送包括传送网络的标识的第一响应后,向第三控制器发送包括所述用户的标识、所述第一网关的标识和所述传送网络的标识的第二请求,通知所述第三控制器配置用于传输数据的路径。这样,订购业务的用户与能够与业务信息对应的VNF建立对应关系,所述订购业务的用户的数据能够被传输到对应的VNF,有效地提高VNF资源的利用率。
可选地,所述第一响应还包括第二网关的标识,所述第二网关为所述DC的网关;所述第二请求还包括所述第二网关的标识。
可选地,基于图14,如图15所示,所述第一控制器90还包括第二接收单元906;
所述第二接收单元906用于接收所述第一网关发送的通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;
所述第一获取单元901具体用于从所述通知消息,获取所述用户的标识和所述第一网关的标识。
所述通知消息还包括所述业务信息,所述第二获取单元902具体用于从所述通知消息,获取所述业务信息。
可选地,基于图14,如图16所示,所述第一控制器90还包括第三接收单元907;
所述第三接收单元907用于接收所述第一网关发送的第一认证请求,所述第一认证请求包括所述用户的标识和所述第一网关的标识,所述第一认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证;
所述第一获取单元901具体用于从所述第一认证请求,获得所述用户的标识和所述第一网关的标识。
可选地,所述第一控制器90还包括:
第三发送单元908,用于向所述AAA服务器发送所述第二认证请求,所述第二认证请求包括所述用户的标识和所述第一网关的标识,所述第二认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证;
第四接收单元909,用于接收所述AAA服务器发送的认证通过响应,所述认证通过响应包括所述业务信息、所述用户的标识和用于表示所述用户接入网络的信息,所述认证通过响应用于通知所述第一网关所述用户通过身份认证;
所述第二获取单元902具体用于从所述认证通过响应获取所述业务信息。
举例说明,所述第一获取单元901具体用于根据外部指令或预设周期,从预设的服务器获得第一对应关系,所述第一对应关系包括所述用户 的标识和所述第一网关的标识,所述预设的服务器用于保存所述第一对应关系;
所述第一获取单元901具体用于从所述第一对应关系,获取所述用户的标识和所述第一网关的标识。
所述第二获取单元902具体用于根据所述用户的标识和预存的第二对应关系,获得所述业务信息,所述第二对应关系包括所述业务信息和所述用户的标识。
实施例11
实施例11提供的第二控制器能够执行实施例2提供的方法。本发明实施例提供一种第二控制器11,如图17所示,所述第二控制器包括:
接收单元111,用于接收第一控制器发送的第一请求,所述第一请求包括业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的虚拟网络功能VNF。
生成单元112,用于根据所述业务信息,生成与所述业务信息对应的VNF。
分配单元113,用于为所述用户分配传送网络的标识,所述传送网络的标识用于标识为所述用户被分配的数据中心DC内的传送网络。
发送单元114,用于向所述第一控制器发送第一响应,所述第一响应包括所述传送网络的标识。
本发明实施例提供的第二控制器接收第一控制器发送的包括业务信息的第一请求。所述第二控制器根据所述业务信息,生成与所述业务信息对应的VNF。所述第二控制器向所述第一控制器发送包括为所述用户分配的传送网络的标识的第一响应,有助于订购了业务的用户与业务信息对应的VNF建立对应关系,使得所述订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
可选地,如图18所示,所述第二控制器11还包括:
获取单元115,用于根据所述VNF获得网关的标识,所述网关为所述VNF所属的DC的网关;
所述发送单元114还用于通过所述第一响应,向所述第一控制器发送所述网关的标识。
实施例12
实施例12提供的第三控制器能够执行实施例3提供的方法。本发明实施例提供一种第三控制器12,如图19所示,所述第三控制器包括:
接收单元121,用于接收第一控制器发送的第二请求,所述第二请求包括用户的标识、第一网关的标识和传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
生成单元122,用于根据第二请求,生成配置信息,所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识。
发送单元123,用于向所述网关集发送所述配置信息。
本发明实施例提供的第三控制器接收第一控制器发送的包括用户的标识、第一网关的标识和传送网络的标识的第二请求。所述第三控制器根据第二请求,生成配置信息。所述第三控制器向网关集发送所述配置信息,该网关集为所述路径所经过的网关的集合,比如所述网关集仅包含所述第一网关,或者所述网关集包括所述第一网关和第二网关,所述第二网关是DC中网关。这样,网关集包括的网关能够建立起用于传输用户的数据的路径,使得订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
举例说明,所述网关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径。
举例说明,所述第二请求还包括第二网关的标识,所述第二网关为DC的网关,所述配置信息包括第一配置信息和第二配置信息,如图20所示,生成单元122包括:
第一生成子单元1221,用于根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为 所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;
第二生成子单元1222,用于根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。
如图21所示,发送单元123包括:
第一发送子单元1231,用于向所述第一网关发送所述第一配置信息;
第二发送子单元1232,用于向所述第二网关发送所述第二配置信息。
实施例13
实施例13提供的第一网关能够执行实施例4提供的方法。该实施例提及的第二控制器为实施例3或实施例12提及的第三控制器。本发明提供一种第一网关13,如图22所示,第一网关包括:
第一接收单元131,用于接收用户的接入请求,所述接入请求包括所述用户的标识。
第一发送单元132,用于向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
第二接收单元133,用于接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的路径所需的信息,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和传送网络的标识,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
第一获得单元134,用于根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得对应关系,所述对应关系包括所述用户的信息和所述路径的信息,所述路径的信息包括所述第一网关的标识和所述传送网络的标识,所述路径为所述第一网关与所述业务信息对应的VNF间的路径。
本发明实施例提供的第一网关,第一网关接收用户的接入请求,该接入请求包括所述用户的标识,该第一网关向第一控制器发送包括所述用户的标识和所述第一网关的标识的第一消息,再接收第二控制器发送的包括所述用户的标识、所述第一网关的标识和传送网络的标识的配置信息,第一网关根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得包括所述用户的信息和所述路径的信息的对应关系。这样,第一网关能够建立起用于传输用户的数据的路径,使得订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
举例说明,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求AAA服务器对所述用户的身份进行认证。
可选地,如图23所示,所述第一网关13还包括:
第三接收单元135,用于接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
第二获得单元136,用于根据所述用户的标识和所述对应关系,获得所述路径的信息;
第二发送单元137,用于根据所述路径的信息,通过所述路径向所述VNF发送所述来自用户的报文。
实施例14
实施例14提供的第一网关能够执行实施例5提供的方法。该实施例中提及的第二控制器为实施例3或实施例12提及的第三控制器.该实施例提及的配置信息为实施例3或实施例12提及的第一配置信息。该实施例提及的子路径为实施例3或实施例12提及的第一子路径。本发明实施例提供一种第一网关14,如图24所示,所述第一网关包括:
第一接收单元141,用于接收用户的接入请求,所述接入请求包括所述用户的标识。
第一发送单元142,用于向第一控制器发送第一消息,所述第一网关 为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
第二接收单元143,用于接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的子路径所需的信息,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和第二网关的标识,所述第二网关为数据中心DC的网关。
第一获得单元144,用于根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得对应关系,所述对应关系包括所述用户的标识和所述子路径的信息,所述子路径的信息包括所述第一网关的标识和所述第二网关的标识,所述子路径为所述第一网关与所述第二网关间的路径。
本发明实施例提供的第一网关中,第一网关接收用户的接入请求,该接入请求包括所述用户的标识,该第一网关向第一控制器发送包括所述用户的标识和所述第一网关的标识的第一消息,再接收第二控制器发送的包括所述用户的标识、所述第一网关的标识和第二网关的标识的配置信息,第一网关根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得包括所述用户的标识和所述子路径的信息的对应关系。这样,第一网关能够建立起用于传输用户的数据的路径,使得订购了业务的用户的数据能够传输到对应的VNF,有效地提高VNF资源的利用率。
举例说明,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证。
可选地,如图25所示,所述第一网关14还包括:
第三接收单元145,用于接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
第二获得单元146,用于根据所述用户的标识和所述对应关系,获得 所述子路径的信息;
第二发送单元147,用于根据所述子路径的信息,通过所述子路径向所述第二网关发送所述来自用户的报文。
实施例15
本发明实施例提供一种对用户的业务进行授权的系统15,如图26所示,所述系统包括:第一控制器151、第二控制器152和第三控制器153。所述第一控制器151可以是实施例10所述的第一控制器90。所述第二控制器152可以是实施例11所述的第二控制器11。所述第三控制器153可以是实施例12所述的第三控制器12。
实施例16
实施例16提供的第一控制器可执行实施例1提供的方法。本发明实施例提供一种第一控制器16,如图27所示,包括:
通信接口161,用于与外部网元进行通信。
存储器162,用于存储程序代码165。
所述通信接口161、所述存储器162和处理器162通过总线164连接并完成相互间的通信。
所述处理器163,用于调用所述存储器162存储的程序代码执行如下方法:
获取用户的标识和第一网关的标识,所述第一网关为所述用户接入的网络的网关;
获取业务信息,所述业务信息为所述用户订购的业务的信息。
所述处理器163通过所述通信接口161向第二控制器发送第一请求,所述第一请求包括所述业务信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的虚拟网络功能VNF。
所述处理器163通过所述通信接口161接收所述第二控制器发送的第一响应,所述第一响应包括传送网络的标识,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
所述处理器163通过所述通信接口161向第三控制器发送第二请求,所述第二请求包括所述用户的标识、所述第一网关的标识和所述传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路 径,所述数据为所述用户需要发送至所述业务信息对应的VNF的数据。
可选地,所述第一响应还包括第二网关的标识,所述第二网关为所述DC的网关;
所述第二请求还包括所述第二网关的标识。
举例说明,所述处理器163通过所述通信接口161接收所述第一网关发送的通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;
所述处理器163调用所述存储器162存储的程序代码执行如下方法:
从所述通知消息,获取所述用户的标识和所述第一网关的标识。
从所述通知消息,获取所述业务信息。
举例说明,所述处理器163通过所述通信接口161接收所述第一网关发送的第一认证请求,所述第一认证请求包括所述用户的标识和所述第一网关的标识,所述第一认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证;
所述处理器163,用于调用所述存储器162存储的程序代码执行如下方法:
从所述第一认证请求,获得所述用户的标识和所述第一网关的标识。
所述处理器163通过所述通信接口161向所述AAA服务器发送所述第二认证请求,所述第二认证请求包括所述用户的标识和所述第一网关的标识,所述第二认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证;
所述处理器163通过所述通信接口161接收所述AAA服务器发送的认证通过响应,所述认证通过响应包括所述业务信息、所述用户的标识和用于表示所述用户接入网络的信息,所述认证通过响应用于通知所述第一网关所述用户通过身份认证;
所述处理器163,用于调用所述存储器162存储的程序代码执行如下方法:
从所述认证通过响应获取所述业务信息。
举例说明,所述处理器163,用于调用所述存储器162存储的程序代码执行如下方法:
根据外部指令或预设周期,从预设的服务器获得第一对应关系,所述第一对应关系包括所述用户的标识和所述第一网关的标识,所述预设的服务器用于保存所述第一对应关系;
从所述第一对应关系,获取所述用户的标识和所述第一网关的标识。
根据所述用户的标识和预存的第二对应关系,获得所述业务信息,所述第二对应关系包括所述业务信息和所述用户的标识。
实施例17
实施例17提供的第二控制器可执行实施例2提供的方法。本发明实施例提供一种第二控制器17,如图28所示,所述第二控制器包括:
通信接口171,用于与外部网元进行通信。
存储器172,用于存储程序代码175。
所述通信接口171、所述存储器172和处理器172通过总线174连接并完成相互间的通信。
所述处理器173通过所述通信接口171接收第一控制器发送的第一请求,所述第一请求包括业务信息,所述业务信息为用户订购的业务的信息,所述第一请求用于通知所述第二控制器生成与所述业务信息对应的虚拟网络功能VNF。
所述处理器173,用于调用所述存储器172存储的程序代码执行如下方法:
根据所述业务信息,生成与所述业务信息对应的VNF。
为所述用户分配传送网络的标识,所述传送网络的标识用于标识为所述用户被分配的数据中心DC内的传送网络。
所述处理器173通过所述通信接口171向所述第一控制器发送第一响应,所述第一响应包括所述传送网络的标识。
所述处理器173,用于调用所述存储器172存储的程序代码执行如下方法:
根据所述VNF获得网关的标识,所述网关为所述VNF所属的DC的网关;
所述处理器173通过所述通信接口171通过所述第一响应,向所述第一控制器发送所述网关的标识。
实施例18
实施例18提供的第三控制器可执行实施例3提供的方法。本发明实施例提供一种第三控制器18,如图29所示,所述第三控制器包括:
通信接口181,用于与外部网元进行通信。
存储器182,用于存储程序代码185。
所述通信接口181、所述存储器182和处理器182通过总线184连接并完成相互间的通信。
所述处理器183通过所述通信接口181接收第一控制器发送的第二请求,所述第二请求包括用户的标识、第一网关的标识和传送网络的标识,所述第二请求用于通知所述第三控制器配置用于传输数据的路径,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述第一网关为所述用户接入的网络的网关,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
所述处理器183,用于调用所述存储器182存储的程序代码执行如下方法:
根据第二请求,生成配置信息,所述配置信息为网关集配置所述用于传输数据的路径所需的信息,所述网关集为所述路径所经过的网关的集合,所述配置信息包括所述用户的标识和所述传送网络的标识。
所述处理器183通过所述通信接口181向所述网关集发送所述配置信息。
举例说明,所述网关集为所述第一网关,所述路径为所述第一网关和所述VNF之间的路径。
举例说明,所述第二请求还包括第二网关的标识,所述第二网关为DC的网关,所述配置信息包括第一配置信息和第二配置信息,所述处理器183,用于调用所述存储器182存储的程序代码执行如下方法:
根据所述第二请求包括的所述用户的标识和所述第二网关的标识,生成所述第一配置信息,所述第一配置信息为所述第一网关配置第一子路径所需的信息,所述第一子路径为所述第一网关与所述第二网关间用于传输所述数据的路径;
根据所述第二请求包括的所述传送网络的标识,生成所述第二配置信息,所述第二配置信息为所述第二网关配置第二子路径所需的信息,所述第二子路径为所述第二网关与所述VNF间用于传输所述数据的路径,所述路径包括所述第一子路径和所述第二子路径。所述处理器183通过所述通信接口181向所述第一网关发送所述第一配置信息;
所述处理器183通过所述通信接口181向所述第二网关发送所述第二配置信息。
实施例19
实施例19提供的第一网关可执行实施例4提供的方法。实施例20中的第二控制器为实施例3或实施例12中的第二控制器。本发明提供一种第一网关19,如图30所示,第一网关包括:
通信接口191,用于与外部网元进行通信。
存储器192,用于存储程序代码195。
所述通信接口191、所述存储器192和处理器192通过总线194连接并完成相互间的通信。
所述处理器193通过所述通信接口191接收用户的接入请求,所述接入请求包括所述用户的标识。
所述处理器193通过所述通信接口191向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
所述处理器193通过所述通信接口191接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的路径所需的信息,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和传送网络的标识,所述传送网络的标识用于标识所述用户被分配的数据中心DC内的传送网络。
所述处理器193,用于调用所述存储器192存储的程序代码执行如下方法:
根据所述用户的信息、所述第一网关的标识和所述传送网络的标识,获得对应关系,所述对应关系包括所述用户的信息和所述路径的信息,所 述路径的信息包括所述第一网关的标识和所述传送网络的标识,所述路径为所述第一网关与所述业务信息对应的VNF间的路径。
举例说明,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证。
举例说明,所述处理器193通过所述通信接口191接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
所述处理器193,用于调用所述存储器192存储的程序代码执行如下方法:
根据所述用户的标识和所述对应关系,获得所述路径的信息;
所述处理器193通过所述通信接口191根据所述路径的信息,通过所述路径向所述VNF发送所述来自用户的报文。
实施例20
实施例20提供的第一网关可执行实施例5提供的方法。实施例20中的第二控制器为实施例3或实施例12中的第二控制器。实施例20中的配置信息为实施例3或实施例12中的第一配置信息。实施例20中的子路径为实施例3或实施例12中的第一子路径。本发明实施例提供一种第一网关21,如图31所示,所述第一网关包括:
通信接口211,用于与外部网元进行通信。
存储器212,用于存储程序代码215。
所述通信接口211、所述存储器212和处理器212通过总线214连接并完成相互间的通信。
所述处理器213通过所述通信接口211接收用户的接入请求,所述接入请求包括所述用户的标识。
所述处理器213通过所述通信接口211向第一控制器发送第一消息,所述第一网关为所述用户接入的网络的网关,所述第一消息包括所述用户的标识和所述第一网关的标识。
所述处理器213通过所述通信接口211接收第二控制器发送的配置信息,所述配置信息为第一网关配置用于传输数据的子路径所需的信息,所述数据为所述用户需要发送至业务信息对应的虚拟网络功能VNF的数据,所述业务信息为所述用户订购的业务的信息,所述配置信息包括所述用户的标识和第二网关的标识,所述第二网关为数据中心DC的网关。
所述处理器213,用于调用所述存储器212存储的程序代码执行如下方法:
根据所述用户的标识、所述第一网关的标识和所述第二网关的标识,获得对应关系,所述对应关系包括所述用户的标识和所述子路径的信息,所述子路径的信息包括所述第一网关的标识和所述第二网关的标识,所述子路径为所述第一网关与所述第二网关间的路径。
举例说明,所述第一消息为通知消息,所述通知消息包括所述用户的标识和所述第一网关的标识,所述通知消息用于通知所述第一控制器所述用户接入网络;或者所述第一消息为认证请求,所述认证请求包括所述用户的标识和所述第一网关的标识,所述认证请求用于请求认证、授权和计费AAA服务器对所述用户的身份进行认证。
所述处理器213通过所述通信接口211接收到来自用户的报文,所述来自用户的报文包括所述用户的标识和所述用户需要发送至业务信息对应的VNF的数据;
所述处理器213,用于调用所述存储器212存储的程序代码执行如下方法:
根据所述用户的标识和所述对应关系,获得所述子路径的信息;
所述处理器213通过所述通信接口211根据所述子路径的信息,通过所述子路径向所述第二网关发送所述来自用户的报文。
实施例21
本发明实施例提供一种对用户的业务进行授权的系统22,如图32所示,所述系统包括:第一控制器221、第二控制器222和第三控制器223。
所述第一控制器221可以是实施例16所述的第一控制器16。所述第二控制器222可以是实施例17所述的第二控制器17。所述第三控制器223可以是实施例18所述的第三控制器18。
本发明实施例中的第一控制器、第二控制器和第三控制器中的第一、第二和第三是用来区分不同的控制器,不是用来表示控制器间的先后顺序。本发明实施例中的第一网关和第二网关中的第一和第二是用来区分不同的网关,不是用来表示网关间的先后顺序。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是 个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。