用於對用戶的業務進行授權的方法、裝置及系統與流程

2023-09-20 21:10:45 3

本發明涉及通信領域，尤其涉及用於對用戶的業務進行授權的方法、裝置及系統。

背景技術：

隨著網絡功能虛擬化(Network Function Virtualization，NFV)技術的發展，可以通過虛擬網絡功能(virtualized network function，VNF)實現用戶訂購的業務，快速地部署、修改或刪除用戶訂購的業務。該用戶訂購的業務可以是防火牆業務和網絡地址轉換(Network Address Translation，NAT)業務等。

圖1所示的寬帶系統可包括：用戶駐地設備(customer premises equipment，CPE)、接入節點(access node)、認證、授權和計費(Authentication、Authorization、Accounting，AAA)伺服器、網際協議(Internet Protocol，IP)網關、城域網絡和數據中心(data center，DC)。DC包括多個VNF。DC中的VNF可用來實現IP網關的功能或其他與業務對應的功能，例如：用於實現防火牆的VNF和用於實現NAT的VNF。

目前，DC中的VNF無法對用戶進行區分。例如：IP網關可根據AAA伺服器對第一用戶的授權信息，獲知所述第一用戶訂購了防火牆業務。IP網關還可根據AAA伺服器對第二用戶的授權信息，獲知所述第二用戶訂購了NAT業務。IP網關會將所述第一用戶的流量和所述第二用戶的流量，通過DC的網關發送至DC的VNF。由於DC中的VNF無法對用戶進行區分，多個用戶的數據會發送至一個VNF，該VNF需要處理的數據量較大，而DC中的其他VNF處於空閒狀態，DC中VNF資源的利用率較低；而多個用戶包含了未訂購該VNF對應的業務的用戶，使得VNF的工作效率較為低下。

技術實現要素：

本發明的實施例提供一種用於對用戶的業務進行授權的方法、裝置及系統，能夠有效提高VNF資源的利用率和工作效率。

為達到上述目的，本發明的實施例採用如下技術方案：

第一方面，提供一種用於對用戶的業務進行授權的方法，包括：

第一控制器獲取用戶的標識和第一網關的標識，所述第一網關為所述用戶接入的網絡的網關；

所述第一控制器獲取業務信息，所述業務信息為所述用戶訂購的業務的信息；

所述第一控制器向第二控制器發送第一請求，所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF；

所述第一控制器接收所述第二控制器發送的第一響應，所述第一響應包括傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡；

所述第一控制器向第三控制器發送第二請求，所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

結合上述第一方面，在第一方面的第一種可能的實現方式中，所述第一響應還包括第二網關的標識，所述第二網關為所述DC的網關，所述第二請求還包括所述第二網關的標識。

結合上述第一方面或第一方面的第一種可能的實現方式，還提供了第一方面的第二種可能的實現方式，所述第一控制器獲取用戶的標識和第一網關的標識包括：

所述第一控制器接收所述第一網關發送的通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；

所述第一控制器從所述通知消息，獲取所述用戶的標識和所述第一網關的標識。

結合上述第一方面或第一方面的第一種可能的實現方式，還提供了第一方面的第三種可能的實現方式，所述第一控制器獲取用戶的標識和第一 網關的標識包括：

所述第一控制器根據外部指令或預設周期，從預設的伺服器獲得第一對應關係，所述第一對應關係包括所述用戶的標識和所述第一網關的標識，所述預設的伺服器用於保存所述第一對應關係；

所述第一控制器從所述第一對應關係，獲取所述用戶的標識和所述第一網關的標識。

結合上述第一方面或第一方面的第一種可能的實現方式，還提供了第一方面的第四種可能的實現方式，其特徵在於，所述第一控制器獲取用戶的標識和第一網關的標識包括：

所述第一控制器接收所述第一網關發送的第一認證請求，所述第一認證請求包括所述用戶的標識和所述第一網關的標識，所述第一認證請求用於請求AAA伺服器對所述用戶的身份進行認證；

所述第一控制器從所述第一認證請求，獲得所述用戶的標識和所述第一網關的標識。

結合上述第一方面或第一方面的任意一種可能的實現方式，還提供了第一方面的第五種可能的實現方式，所述第一控制器獲取業務信息包括：

所述第一控制器根據所述用戶的標識和預存的第二對應關係，獲得所述業務信息，所述第二對應關係包括所述業務信息和所述用戶的標識。

結合上述第一方面的第二種可能的實現方式，還提供了第一方面的第六種可能的實現方式，所述通知消息還包括所述業務信息，所述第一控制器獲取業務信息包括：

所述第一控制器從所述通知消息，獲取所述業務信息。

結合上述第一方面的第四種可能的實現方式，還提供了第一方面的第七種可能的實現方式，所述第一控制器獲取業務信息包括：

所述第一控制器向所述AAA伺服器發送所述第二認證請求，所述第二認證請求包括所述用戶的標識和所述第一網關的標識，所述第二認證請求用於請求所述AAA伺服器對所述用戶的身份進行認證；

所述第一控制器接收所述AAA伺服器發送的認證通過響應，所述認證通過響應包括所述業務信息、所述用戶的標識和用於表示所述用戶接入網絡的信息，所述認證通過響應用於通知所述第一網關所述用戶通過身份 認證；

所述第一控制器從所述認證通過響應獲取所述業務信息。

第二方面，提供一種用於對用戶的業務進行授權的方法，包括：

第二控制器接收第一控制器發送的第一請求，所述第一請求包括業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF；

所述第二控制器根據所述業務信息，生成與所述業務信息對應的VNF；

所述第二控制器為所述用戶分配傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡；

所述第二控制器向所述第一控制器發送第一響應，所述第一響應包括所述傳送網絡的標識。

結合上述第二方面，在第二方面的第一種可能的實現方式中，還包括：

所述第二控制器根據所述VNF，獲得網關的標識，所述網關為所述VNF所屬的DC的網關；

所述第二控制器還通過所述第一響應，向所述第一控制器發送所述網關的標識。

第三方面，提供一種用於對用戶的業務進行授權的方法，包括：

第三控制器接收第一控制器發送的第二請求，所述第二請求包括用戶的標識、第一網關的標識和傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡；

所述第三控制器根據第二請求，生成配置信息，所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識；

所述第三控制器向所述網關集發送所述配置信息。

結合上述第三方面，在第三方面的第一種可能的實現方式中，所述網 關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑，所述第三控制器向所述網關集發送所述配置信息包括：

所述第三控制器根據所述第一網關的標識，向所述第一網關發送所述配置信息。

結合上述第三方面，還提供了第三方面的第二種可能的實現方式，所述第二請求還包括第二網關的標識，所述第二網關為DC的網關，所述配置信息還包括所述第二網關的標識，所述配置信息包括第一配置信息和第二配置信息；

所述第三控制器根據第二請求，生成配置信息包括：

所述第三控制器根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；

所述第三控制器根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

結合上述第三方面的第二種可能的實現方式，還提供了第三方面的第三種可能的實現方式，所述第三控制器向所述網關集發送所述配置信息包括：

所述第三控制器根據所述第一網關的標識，向所述第一網關發送所述第一配置信息；

所述第三控制器根據所述第二網關的標識，向所述第二網關發送所述第二配置信息。

第四方面，提供一種用於對用戶的業務進行授權的方法，包括：

第一網關接收用戶的接入請求，所述接入請求包括所述用戶的標識；

所述第一網關向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識；

所述第一網關接收第三控制器發送的配置信息，所述配置信息為第一 網關配置用於傳輸數據的路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡；

所述第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得對應關係，所述對應關係包括所述用戶的信息和所述路徑的信息，所述路徑的信息包括所述第一網關的標識和所述傳送網絡的標識，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑。

結合上述第四方面，在第四方面的第一種可能的實現方式中，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者

所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

結合上述第四方面或第四方面的第一種可能的實現方式，還提供了第四方面的第二種可能的實現方式，還包括：

所述第一網關接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

所述第一網關根據所述用戶的標識和所述對應關係，獲得所述路徑的信息；

所述第一網關根據所述路徑的信息，通過所述路徑向所述VNF發送所述來自用戶的報文。

第五方面，提供一種用於對用戶的業務進行授權的方法，包括：

第一網關接收用戶的接入請求，所述接入請求包括所述用戶的標識；

所述第一網關向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識；

所述第一網關接收第三控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的子路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務 的信息，所述配置信息包括所述用戶的標識和第二網關的標識，所述第二網關為DC的網關；

所述第一網關根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得對應關係，所述對應關係包括所述用戶的標識和所述子路徑的信息，所述子路徑的信息包括所述第一網關的標識和所述第二網關的標識，所述子路徑為所述第一網關與所述第二網關間的路徑。

結合上述第五方面，在第五方面的第一種可能的實現方式中，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者

所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

結合上述第五方面或第五方面的第一種可能的實現方式，還提供了第五方面的第二種可能的實現方式，還包括：

所述第一網關接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

所述第一網關根據所述用戶的標識和所述對應關係，獲得所述子路徑的信息；

所述第一網關根據所述子路徑的信息，通過所述子路徑向所述第二網關發送所述來自用戶的報文。

第六方面，提供一種第一控制器，包括：

第一獲取單元，用於獲取用戶的標識和第一網關的標識，所述第一網關為所述用戶接入的網絡的網關；

第二獲取單元，用於獲取業務信息，所述業務信息為所述用戶訂購的業務的信息；

第一發送單元，用於向第二控制器發送第一請求，所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF；

第一接收單元，用於接收所述第二控制器發送的第一響應，所述第一響應包括傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配 的DC內的傳送網絡；

第二發送單元，用於向第三控制器發送第二請求，所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

結合上述第六方面，在第六方面的第一種可能的實現方式中，所述第一響應還包括第二網關的標識，所述第二網關為所述DC的網關，所述第二請求還包括所述第二網關的標識。

結合上述第六方面或第六方面的第一種可能的實現方式，還提供了第六方面的第二種可能的實現方式，所述第一控制器還包括第二接收單元；

所述第二接收單元用於接收所述第一網關發送的通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；

所述第一獲取單元具體用於從所述通知消息，獲取所述用戶的標識和所述第一網關的標識。

結合上述第六方面或第六方面的第一種可能的實現方式，還提供了第六方面的第三種可能的實現方式，

所述第一獲取單元具體用於根據外部指令或預設周期，從預設的伺服器獲得第一對應關係，所述第一對應關係包括所述用戶的標識和所述第一網關的標識，所述預設的伺服器用於保存所述第一對應關係；

所述第一獲取單元具體用於從所述第一對應關係，獲取所述用戶的標識和所述第一網關的標識。

結合上述第六方面或第六方面的第一種可能的實現方式，還提供了第六方面的第四種可能的實現方式，所述第一控制器還包括第三接收單元；

所述第三接收單元用於接收所述第一網關發送的第一認證請求，所述第一認證請求包括所述用戶的標識和所述第一網關的標識，所述第一認證請求用於請求AAA伺服器對所述用戶的身份進行認證；

所述第一獲取單元具體用於從所述第一認證請求，獲得所述用戶的標識和所述第一網關的標識。

結合上述第六方面或第六方面的任意一種可能的實現方式，還提供了 第六方面的第五種可能的實現方式，

所述第二獲取單元具體用於根據所述用戶的標識和預存的第二對應關係，獲得所述業務信息，所述第二對應關係包括所述業務信息和所述用戶的標識。

結合上述第六方面的第二種可能的實現方式，還提供了第六方面的第六種可能的實現方式，所述通知消息還包括所述業務信息，所述第二獲取單元具體用於從所述通知消息，獲取所述業務信息。

結合上述第六方面的第四種可能的實現方式，還提供了第六方面的第七種可能的實現方式，所述第一控制器還包括：

第三發送單元，用於向所述AAA伺服器發送所述第二認證請求，所述第二認證請求包括所述用戶的標識和所述第一網關的標識，所述第二認證請求用於請求所述AAA伺服器對所述用戶的身份進行認證；

第四接收單元，用於接收所述AAA伺服器發送的認證通過響應，所述認證通過響應包括所述業務信息、所述用戶的標識和用於表示所述用戶接入網絡的信息，所述認證通過響應用於通知所述第一網關所述用戶通過身份認證；

所述第二獲取單元具體用於從所述認證通過響應獲取所述業務信息。

第七方面，提供一種第二控制器，包括：

接收單元，用於接收第一控制器發送的第一請求，所述第一請求包括業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF；

生成單元，用於根據所述業務信息，生成與所述業務信息對應的VNF；

分配單元，用於為所述用戶分配傳送網絡的標識，所述傳送網絡的標識用於標識為所述用戶被分配的DC內的傳送網絡；

發送單元，用於向所述第一控制器發送第一響應，所述第一響應包括所述傳送網絡的標識。

結合上述第七方面，在第七方面的第一種可能的實現方式中，所述第二控制器還包括：

獲取單元，用於根據所述VNF獲得網關的標識，所述網關為所述VNF所屬的DC的網關；

所述發送單元還用於通過所述第一響應，向所述第一控制器發送所述網關的標識。

第八方面，提供一種第三控制器，包括：

接收單元，用於接收第一控制器發送的第二請求，所述第二請求包括用戶的標識、第一網關的標識和傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡；

生成單元，用於根據第二請求，生成配置信息，所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識；

發送單元，用於向所述網關集發送所述配置信息。

結合上述第八方面，在第八方面的第一種可能的實現方式中，所述網關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑，

所述發送單元具體用於根據所述第一網關的標識，向所述第一網關發送所述配置信息。

結合上述第八方面，還提供了第八方面的第二種可能的實現方式，所述第二請求還包括第二網關的標識，所述第二網關為DC的網關，所述配置信息包括第一配置信息和第二配置信息，所述生成單元包括：

第一生成子單元，用於根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；

第二生成子單元，用於根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

結合上述第八方面的第二種可能的實現方式，還提供了第八方面的第 三種可能的實現方式，所述發送單元包括：

第一發送子單元，用於根據所述第一網關的標識，向所述第一網關發送所述第一配置信息；

第二發送子單元，用於根據所述第二網關的標識，向所述第二網關發送所述第二配置信息。

第九方面，提供一種第一網關，包括：

第一接收單元，用於接收用戶的接入請求，所述接入請求包括所述用戶的標識；

第一發送單元，用於向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識；

第二接收單元，用於接收第三控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡；

第一獲得單元，用於根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得對應關係，所述對應關係包括所述用戶的信息和所述路徑的信息，所述路徑的信息包括所述第一網關的標識和所述傳送網絡的標識，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑。

結合上述第九方面，在第九方面的第一種可能的實現方式中，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者

所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

結合上述第九方面或第九方面的第一種可能的實現方式，還提供了第九方面的第二種可能的實現方式，所述第一網關還包括：

第三接收單元，用於接收到來自用戶的報文，所述來自用戶的報文包 括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

第二獲得單元，用於根據所述用戶的標識和所述對應關係，獲得所述路徑的信息；

第二發送單元，用於根據所述路徑的信息，通過所述路徑向所述VNF發送所述來自用戶的報文。

第十方面，提供一種第一網關，包括：

第一接收單元，用於接收用戶的接入請求，所述接入請求包括所述用戶的標識；

第一發送單元，用於向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識；

第二接收單元，用於接收第第三控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的子路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識、所述第一網關的標識和第二網關的標識，所述第二網關為DC的網關；

第一獲得單元，用於根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得對應關係，所述對應關係包括所述用戶的標識和所述子路徑的信息，所述子路徑的信息包括所述第一網關的標識和所述第二網關的標識，所述子路徑為所述第一網關與所述第二網關間的路徑。

結合上述第十方面，在第十方面的第一種可能的實現方式中，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者

所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

結合上述第十方面或第十方面的第一種可能的實現方式，還提供了第十方面的第二種可能的實現方式，所述第一網關還包括：

第三接收單元，用於接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

第二獲得單元，用於根據所述用戶的標識和所述對應關係，獲得所述子路徑的信息；

第二發送單元，用於根據所述子路徑的信息，通過所述子路徑向所述第二網關發送所述來自用戶的報文。

第十一方面，提供一種對用戶的業務進行授權的系統，所述系統包括：前述第六方面或第六方面的任意一種可能的實現方式提供的第一控制器、前述第七方面或第七方面的第一種可能的實現方式提供的第二控制器和前述第八方面或第八方面的任意一種可能的實現方式提供的第三控制器。

本發明實施例提供的用於對用戶的業務進行授權的方法、裝置及系統中，第一控制器獲取業務信息後，向第二控制器發送包括所述業務信息的第一請求。所述第一控制器通過發送所述第一請求，通知所述第二控制器生成與所述業務信息對應的VNF。所述第一控制器接收到所述第二控制器發送的包括傳送網絡的標識的第一響應後，向第三控制器發送包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識的第二請求。所述第一控制器通過發送所述第二請求，通知所述第三控制器配置用於傳輸數據的路徑。這樣，用於管理VNF的第二控制器可根據來自所述第一控制器的所述業務信息，生成與用戶訂購的業務對應的VNF。所述第一控制器可將與VNF對應的傳送網絡的標識，通過所述第三控制器下發給第一網關。這樣第一網關可利用所述傳送網絡的標識，將所述用戶的流量發送至所述VNF，即訂購了業務的用戶的數據能夠傳輸到與業務信息對應的VNF，有效地提高VNF資源的利用率。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。

圖1為現有技術提供一種寬帶系統結構示意圖；

圖2為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖3為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖4為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖5為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖6為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖7為本發明實施例提供一種NFV寬帶系統結構示意圖；

圖8為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖9為本發明實施例提供一種Syslog消息格式結構示意圖。

圖10(a)為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖10(b)為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖11為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖12(a)為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖12(b)為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖13為本發明實施例提供一種用於對用戶的業務進行授權的方法流程圖；

圖14為本發明實施例提供一種第一控制器結構示意圖；

圖15為本發明實施例提供一種第一控制器結構示意圖；

圖16為本發明實施例提供一種第一控制器結構示意圖；

圖17為本發明實施例提供一種第二控制器結構示意圖；

圖18為本發明實施例提供一種第二控制器結構示意圖；

圖19為本發明實施例提供一種第三控制器結構示意圖；

圖20為本發明實施例提供一種第三控制器的生成單元結構示意圖；

圖21為本發明實施例提供一種第三控制器的發送單元結構示意圖；

圖22為本發明實施例提供一種第一網關結構示意圖；

圖23為本發明實施例提供一種第一網關結構示意圖；

圖24為本發明實施例提供一種第一網關結構示意圖；

圖25為本發明實施例提供一種第一網關結構示意圖；

圖26為本發明實施例提供一種對用戶的業務進行授權的系統示意圖；

圖27為本發明實施例提供一種第一控制器結構示意圖；

圖28為本發明實施例提供一種第二控制器結構示意圖；

圖29為本發明實施例提供一種第三控制器結構示意圖；

圖30為本發明實施例提供一種第一網關結構示意圖；

圖31為本發明實施例提供一種第一網關結構示意圖；

圖32為本發明實施例提供一種對用戶的業務進行授權的系統示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

實施例1

實施例1是從第一控制器一側對用於對本發明實施例提供的方法進行說明。所述第一控制器可以設置於協調器、業務編排控制器(orchestrator)或運營支撐系統(operations support system，OSS)。本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖2所示，包括：

S101、第一控制器獲取用戶的標識和第一網關的標識，所述第一網關為所述用戶接入的網絡的網關。

舉例說明，所述第一控制器可以是周期性地訪問預設的伺服器，獲得第一對應關係，所述第一對應關係包括所述用戶的標識和所述第一網關的標識；所述第一控制器可以從所述第一對應關係中獲取所述用戶的標識和所述第一網關的標識。或者，所述第一控制器接收外部指令，根據所述外 部指令訪問所述預設的伺服器，獲得第一對應關係，所述第一對應關係包括所述用戶的標識和所述第一網關的標識；所述第一控制器可以從所述第一對應關係中獲取所述用戶的標識和所述第一網關的標識。

舉例說明，所述第一控制器還可從來自所述第一網關的通知消息中獲得所述用戶的標識和所述第一網關的標識。所述通知消息包括所述用戶的標識和所述第一網關的標識。或者，所述第一控制器還可從來自所述第一網關的第一認證請求中獲得所述用戶的標識和所述第一網關的標識。所述第一認證請求包括所述用戶的標識和所述第一網關的標識。其中，所述第一控制器可接收所述第一網關直接發送的所述通知消息或所述認證請求，或者所述第一控制器可接收第三控制器轉發的所述通知消息或所述認證請求，即所述第一網關發送所述通知消息或所述認證請求至所述第三控制器，由所述第三控制器將所述通知消息或所述認證請求轉發至所述第一控制器。

S102、所述第一控制器獲取業務信息，所述業務信息為所述用戶訂購的業務的信息。

舉例說明，所述第一控制器接收到來自所述第一網關的所述通知消息還包括所述業務信息，所述第一控制器可從所述通知消息獲得所述業務信息。或者，所述第一控制器預先存儲有第二對應關係，所述第二對應關係包括所述業務信息和所述用戶的標識。所述第一控制器根據所述用戶的標識和第二對應關係，獲得所述業務信息。或者，所述第一控制器還可從AAA伺服器向所述第一網關發送的認證通過響應中，獲得所述業務信息，所述認證通過響應包括所述業務信息。

舉例說明，所述第一控制器可在S102之前與所述AAA伺服器進行交互，從所述AAA伺服器獲得所述用戶的標識和所述業務信息。所述第一控制器根據所述用戶的標識和所述業務信息，生成所述第二對應關係。所述第一控制器和所述AAA伺服器間的交互可遵循協商確定的協議，在此不再贅述。或者，所述第一控制器可在S102之前，接收到所述第一網關發送的用戶的標識和所述業務信息。所述第一控制器根據所述用戶的標識和所述業務信息，生成所述第二對應關係。

S103、所述第一控制器向第二控制器發送第一請求，所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務 信息對應的VNF。

舉例說明，所述第一控制器可預先存儲有所述第二控制器的標識，所述第二控制器的標識可為所述第二控制器的IP位址，所述第二控制器的編號等信息。所述第一控制器可根據所述第二控制器的標識，向所述第二控制器發送所述第一請求。

舉例說明，所述第一請求可以是所述第一控制器生成的，還可以是能夠與所述第一控制器交互的設備生成的，在此不再逐一舉例說明。所述與所述業務信息對應的VNF是能夠處理所述用戶訂購的業務的VNF。

S104、所述第一控制器接收所述第二控制器發送的第一響應，所述第一響應包括傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。

舉例來說，所述第一響應用於通知所述第一控制器與所述業務信息對應的VNF在DC內的用戶網絡的標識。所述VNF在DC內的用戶網絡是所述傳送網絡的標識所標識的網絡。

可選地，所述第一響應還包括第二網關的標識。所述第二網關的標識可以是所述第二網關的IP位址或所述第二網關的編號等信息，在此不再逐一舉例說明。所述第二網關為DC所包括的網關。

S105、所述第一控制器向第三控制器發送第二請求，所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

可選地，所述第一控制器向所述第三控制器發送的第二請求還可包括所述第二網關的標識，即所述第二請求包括所述用戶的標識、所述第一網關的標識、所述第二網關的標識和所述傳送網絡的標識。

S105之後，本發明實施例提供的方法還包括：所述第一控制器接收所述第三控制器發送的第二響應，所述第二響應用於通知所述第一控制器完成所述路徑的配置。所述第二響應可包括所述用戶的標識，或者所述第二響應包括所述用戶的標識和所述第一網關的標識，或者所述第二響應包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識。

本發明實施例提供的方法中，第一控制器獲取用戶的標識、第一網關的標識和業務信息。所述第一控制器向第二控制器發送包括所述業務信息的第一請求，通知所述第二控制器生成與所述業務信息對應的VNF。所述 第一控制器接收所述第二控制器發送包括傳送網絡的標識的第一響應後，向第三控制器發送包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識的第二請求，通知所述第三控制器配置用於傳輸數據的路徑。這樣，訂購業務的用戶與能夠與業務信息對應的VNF建立對應關係，所述訂購業務的用戶的數據能夠被傳輸到對應的VNF，有效地提高VNF資源的利用率。

實施例2

實施例2是從第二控制器一側對本發明實施例提供的方法進行說明。所述第二控制器可用於生成VNF並管理所生成的VNF，所述第二控制器也可稱為VNF控制器。本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖3所示，包括：

S201、第二控制器接收第一控制器發送的第一請求，所述第一請求包括業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF。

實施例2中的第一請求與實施例1中的第一請求相同，在此不再贅述。

S202、所述第二控制器根據所述業務信息，生成與所述業務信息對應的VNF。

舉例說明，所述第二控制器可根據所述業務信息，實例化VNF資源，生成VNF。其中，所述實例化VNF資源是為所述業務信息對應的業務分配物理的資源，例如：分配一個物理CPU資源。所述第二控制器可採用通常的方法來生成VNF，在此不再贅述。

S203、所述第二控制器為所述用戶分配傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。

舉例說明，所述第二控制器可從DC內選擇空閒的傳送網絡，將所述空閒的傳送網絡分配給所述用戶。或者，所述第二控制器也可根據預設的配置策略，根據所述業務信息，為所述用戶分配所述傳送網絡，在此不再贅述。

S204、所述第二控制器向所述第一控制器發送第一響應，所述第一響應包括所述傳送網絡的標識。

實施例2的第一響應與實施例1的第一響應相同，在此不再贅述。

可選地，若DC內包括多個網關，每個網關所能夠通信的VNF不完全相同，則S202之後，所述方法還包括：所述第二控制器根據所述VNF， 獲得網關的標識，所述網關為第二網關，即所述VNF所屬的DC的網關；所述第二控制器還通過所述第一響應，向所述第一控制器發送所述網關的標識。若DC內僅包含一個網關，所述一個網關能夠與DC內的所有VNF進行通信，則S201之後，所述方法還包括：所述第二控制器獲得DC的網關的標識，所述第二控制器還通過所述第一響應，向所述第一控制器發送所述DC的網關的標識。

本發明實施例提供的方法中，第二控制器接收第一控制器發送的包括業務信息的第一請求。所述第二控制器根據所述業務信息，生成與所述業務信息對應的VNF。所述第二控制器向所述第一控制器發送包括為所述用戶分配的傳送網絡的標識的第一響應，有助於訂購了業務的用戶與業務信息對應的VNF建立對應關係，使得所述訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

實施例3

實施例3是從第三控制器一側對本發明實施例提供的方法進行說明。實施例3中的第一控制器能夠對所述第三控制器和第二控制器進行管理和/或控制。所述第三控制器能夠對第一網關進行管理和/或控制，或者能夠對所述第一網關和第二網關進行管理和/或控制。所述第二控制器為實施例2中提及的第二控制器。本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖4所示，包括：

S301、第三控制器接收第一控制器發送的第二請求，所述第二請求包括用戶的標識、第一網關的標識和傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。

實施例3的第二請求與實施例1中的第二請求相同，在此不再贅述。

S302、所述第三控制器根據所述第二請求，生成配置信息，所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識。

舉例說明，所述網關集可以僅包含所述第一網關，或者包含所述第一網關和第二網關。所述第二網關為DC的網關。

若所述網關集僅包含所述第一網關，則所述第三控制器根據所述第二請求生成所述配置信息包括：所述第三控制器根據所述第二請求包括的所述用戶的標識和所述傳送網絡的標識，生成所述配置信息。相應地，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑，比如：所述第一網關與所述業務信息對應的VNF間的隧道，隧道的源地址為所述第一網關的標識，所述隧道的目的地址是所述傳送網絡的標識。

可選地，所述配置信息還可包括所述路徑的標識，有助於識別所述用戶所採用的路徑。

可選地，所述配置信息還可包括所述路徑的類型等參數，在此不再逐一舉例說明。

可選地，所述第二請求還包括所述第二網關的標識，所述配置信息還包括所述第二網關的標識。所述配置信息包括第一配置信息和第二配置信息。若所述網關集包含所述第一網關和所述第二網關，則所述第三控制器根據所述第二請求生成所述配置信息包括：所述第三控制器根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；所述第三控制器根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

可選地，所述第一配置信息還可包括所述第一網關的標識和/或所述路徑的標識。所述第二配置信息還可包括所述第一網關的標識、所述第二網關的標識和所述路徑的標識中的至少一個。

S303、所述第三控制器向所述網關集發送所述配置信息。

舉例說明，若所述網關集僅包括所述第一網關，則所述第三控制器向所述網關集發送所述配置信息包括：所述第三控制器根據所述第二請求包括的所述第一網關的標識，向所述第一網關發送所述配置信息。

舉例說明，若所述網關集包括是第一網關和所述第二網關，則所述第三控制器向所述網關集發送所述配置信息包括：所述第三控制器根據所述第二請求包括的所述第一網關的標識，向所述第一網關發送所述第一配置信息；所述第三控制器根據所述第二請求包括的所述第二網關的標識，向 所述第二網關發送所述第二配置信息。

舉例說明，所述第三控制器可通過消息或報文，攜帶所述第二配置信息。所述第三控制器可通過攜帶所述第二配置信息的消息或報文，向所述第二網關下發所述第二配置信息。其中，所述攜帶所述第二如配置信息的消息或報文的目的地址可以是所述第二網關的IP位址，所述第二網關的IP位址可以是所述第二網關的標識，這樣，所述第二網關可以從所述攜帶所述第二配置信息的消息或報文獲得所述第二網關的標識。

本發明實施例提供的方法中，第三控制器接收第一控制器發送的包括用戶的標識、第一網關的標識和傳送網絡的標識的第二請求。所述第三控制器根據第二請求，生成配置信息。所述第三控制器向網關集發送所述配置信息，該網關集為所述路徑所經過的網關的集合，比如所述網關集僅包含所述第一網關，或者所述網關集包括所述第一網關和第二網關。這樣，網關集包括的網關可根據配置信息，建立用於傳輸用戶的數據的路徑，使得訂購了業務的用戶的數據能夠被傳輸到對應的VNF，有效地提高VNF資源的利用率。

實施例4

實施例4是從第一網關一側對本發明實施例提供的方法進行說明。所述第一網關可以是IP網關，比如：寬帶網絡網關(broadband network gateway，BNG)、業務路由器(service router，SR)、寬帶遠程接入伺服器(broadband remote access server，BRAS)或寬帶接入伺服器(broadband access server，BAS)。實施例4中提及的第二控制器為實施例3中提及的第三控制器，實施例4提及的第一控制器為實施例1提及的第一控制器。所述第二控制器用於對所述第一網關進行管理和/或控制。

本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖5所示，包括：

S401、第一網關接收用戶的接入請求，所述接入請求包括所述用戶的標識。

舉例說明，所述用戶的接入請求用於向所述第一網關請求接入網絡。所述用戶所請求接入的網絡是所述第一網關所在的網絡，比如城域網絡，還可以是其他類型的網絡，在此不再贅述。其中，所述第一網關接收到所述用戶的接入請求後，可獲知所述用戶處於上線狀態。

S402、所述第一網關向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

舉例說明，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者，所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

S403、所述第一網關接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

舉例說明，所述配置信息可攜帶在報文或消息中，攜帶所述配置信息的報文或消息的目的地址可以為所述第一網關的地址。如果所述第一網關的標識是所述第一網關的IP位址，則所述攜帶所述配置信息的報文或消息的目的地址可以為所述第一網關的標識。這樣，所述第一網關可從所述攜帶所述配置信息的報文或消息的目的地址，獲得所述第一網關的標識。

可選地，所述配置信息還可包括所述第一網關的標識。

S404、所述第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得對應關係，所述對應關係包括所述用戶的信息和所述路徑的信息，所述路徑的信息包括所述第一網關的標識和所述傳送網絡的標識，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑。

舉例說明，所述第一網關可從所述配置信息獲得所述用戶的標識和所述傳送網絡的標識，所述第一網關可從所述攜帶所述配置信息的報文或消息中獲得所述第一網關的標識，所述第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識生成所述對應關係。

可選地，若所述配置信息還包括所述第一網關的標識，所述第一網關 可從所述配置信息獲得所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識；所述第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識生成所述對應關係。

可選地，若所述配置信息還包括所述路徑的標識，則所述第一網關獲得所述對應關係包括：所述第一網關從所述配置信息獲得所述路徑的標識、所述用戶的標識和所述傳送網絡的標識；所述第一網關從攜帶所述配置信息的消息或報文中獲得所述第一網關的標識；所述第一網關根據所述路徑的標識、所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，生成所述對應關係，所述對應關係包括所述路徑的標識、所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識。

S404之後，本發明實施例提供的方法還包括：所述第一網關接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；所述第一網關根據所述用戶的標識和所述對應關係，獲得所述路徑的信息；所述第一網關根據所述路徑的信息，通過所述路徑向所述VNF發送所述來自用戶的報文。

本發明實施例提供的方法中，第一網關接收用戶的接入請求後，向第一控制器發送包括所述用戶的標識和所述第一網關的標識的第一消息。所述第一網關接收第二控制器發送的包括所述用戶的標識和傳送網絡的標識的配置信息。第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得包括所述用戶的信息和所述路徑的信息的對應關係。這樣，第一網關能夠建立起用於傳輸用戶的數據的路徑，使得訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

實施例5

實施例5是從第一網關一側對本發明實施例提供的方法進行說明。所述第一網關可以是IP網關，具體舉例可參見實施例4。實施例5中提及的第二控制器為實施例3中提及的第三控制器，實施例5提及的第一控制器為實施例1提及的第一控制器。所述第二控制器用於對所述第一網關和所述第二網關進行管理和/或控制。

本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖6所 示，包括：

S501、第一網關接收用戶的接入請求，所述接入請求包括所述用戶的標識。

實施例5的S501與實施例4的S401相同，在此不再贅述。

S502、所述第一網關向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

實施例5的S502與實施例4的S402相同，在此不再贅述。

S503、所述第一網關接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的子路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和第二網關的標識，所述第二網關為DC的網關。

本發明實施例中的子路徑用於傳輸所述數據至所述第二網關。實施例5中的配置信息為實施例3中提及的第一配置信息，在此不再贅述。實施例5中的子路徑為實施例3中提及的第一子路徑。

可選地，本發明實施例中的配置信息還可包括所述路徑的標識。實施例5中的路徑的標識是用來標識所述子路徑所在的路徑，可以與實施例4中的路徑的標識或實施例3中的路徑的標識相同，在此不再贅述。

S504、所述第一網關根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得對應關係，所述對應關係包括所述用戶的標識和所述子路徑的信息，所述子路徑的信息包括所述第一網關的標識和所述第二網關的標識，所述子路徑為所述第一網關與所述第二網關間的路徑。

舉例說明，所述第一網關生成所述對應關係的所述第一網關的標識可來自於攜帶所述配置信息的消息或報文，或者所述第一網關的標識可進一步包含於所述配置信息中，即所述第一網關可採用實施例4中的方法獲得所述第一網關的標識，在此不再贅述。

可選的，若所述配置信息還包括所述路徑的標識，所述第一網關生成的對應關係還包括所述路徑的標識。

S504之後，本發明實施例提供的方法還包括：所述第一網關接收到 來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；所述第一網關根據所述用戶的標識和所述對應關係，獲得所述子路徑的信息；所述第一網關根據所述子路徑的信息，通過所述子路徑向所述第二網關發送所述來自用戶的報文。

本發明實施例提供的方法，第一網關接收用戶的接入請求後，向第一控制器發送包括所述用戶的標識和所述第一網關的標識的第一消息。所述第一網關接收第二控制器發送的包括所述用戶的標識和第二網關的標識的配置信息。所述第一網關根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得包括所述用戶的標識和所述子路徑的信息的對應關係。這樣，第一網關能夠建立起用於傳輸用戶的數據的子路徑，即所述第一網關至所述第二網關間的路徑，使得訂購了業務的用戶的數據能夠傳輸到所述第二網關，有助於提高VNF資源的利用率。

實施例6

本發明實施例提供一種NFV寬帶系統，如圖7所示，包括用戶駐地設備、接入節點、AAA伺服器、IP網關、DC網關、第一控制器、第二控制器、第三控制器和VNF。IP網關可以是本發明任意一個實施例中提及的第一網關。DC網關可以是本發明任意一個實施例中提及的第二網關。本發明實施例提供的系統包括的設備間的連接關係如圖7所示。

實施例7

下面結合圖7所示的系統，對實施例7提供的方法進行說明。本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖8所示，所述方法包括：

S601、用戶駐地設備向第一網關發送身份認證請求。

舉例說明，用戶駐地設備可通過接入節點，向第一網關發送身份認證請求。所述身份認證請求包括用戶的標識。

需要說明的是，所述身份認證請求用於請求AAA伺服器對所述用戶的身份進行認證。用戶駐地設備可以通過動態主機配置協議(Dynamic Host Configuration Protocol，DHCP)、乙太網上的點對點協議(Point to Point Protocol over Ethernet，PPPoE)和802.1x協議中任意一種協議向第一網關發送所述身份認證請求。其中，802.1x協議是基於客戶端或伺服器的訪問控制和認證協議。通過802.1x協議可以限制未經授權的用戶或 設備通過接入埠(access port)訪問區域網(Local Area Network，LAN)或無線區域網(Wireless Local Area Networks，WLAN)。

S602、所述第一網關向AAA伺服器發送第一認證請求。

舉例說明，所述第一網關從所述身份認證請求中獲取用戶的標識。所述第一網關可以通過遠程用戶撥號認證服務(Remote Authentication Dial In User Service，Radius)協議或計費認證協議(Diameter Protocol)，向所述AAA伺服器發送第一認證請求。所述第一認證請求用於請求所述AAA伺服器對所述用戶的身份進行認證。所述第一認證請求包括所述用戶的標識和所述第一網關的標識。

S603、所述AAA伺服器根據所述第一認證請求，對所述用戶的身份進行認證。

所述AAA伺服器可採用通常AAA伺服器所採用的認證方法，對所述用戶的身份進行認證，在此不在贅述。

S604、所述AAA伺服器向所述第一網關發送第一認證通過響應。

所述AAA伺服器在根據所述用戶的標識，確定所述用戶通過身份認證後，生成所述第一認證通過響應。所述AAA伺服器可向所述第一網關發送所述第一認證通過響應。具體地，所述AAA伺服器可以通過Radius協議或Diameter協議向所述第一網關發送所述第一認證通過響應。所述第一認證通過響應用於通知所述第一網關所述用戶通過身份認證。

S605、所述第一網關向用戶駐地設備發送第二認證通過響應。

所述第一網關可以通過DHCP、PPPoE和802.1x協議中任意一種協議向用戶駐地設備發送所述第二認證通過響應。所述第二認證通過響應中攜帶用於標識所述用戶通過身份認證的參數或標識信息。

S606、所述第一網關向所述第一控制器發送通知消息。

所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡。所述第一網關的標識可以是所述第一網關的網際網路協議(internet protocol，IP)地址、所述第一網關的序號、所述第一網關的名稱等能夠標識所述第一網關的信息。

所述通知(Notification)消息可以由所述第一網關直接發送至所述第一控制器。或者，所述通知消息可經第三控制器轉發至所述第一控制器， 即所述第一網關向所述第三控制器發送所述通知消息，經所述第三控制器轉發所述通知消息至所述第一控制器。所述第三控制器是能夠管理和/或控制所述第一網關的設備。

所述第一網關可以通過網絡配置協議(Network Configuration Protocol，Netconf)、簡單網絡管理協議(Simple Network Management Protocol，SNMP)Trap和系統日誌(Syslog)協議中任意一種協議向所述第一控制器發送所述通知消息。

具體的，所述第一網關可以發送事件通知(Event Notification)消息到所述第一控制器。若所述第一網關通過Netconf協議發送通知消息，則所述第一網關可擴展Event Notification攜帶的內容來攜帶所述用戶的標識和所述第一網關的標識。Event Notification的內容的格式可以是可擴展標記語言(Extensible Markup Language，XML)或javaScript對象表示法(avaScript Object Notation，JSON)等格式。假設以XML為例，擴展Netconf Notification攜帶的內容如下：

可選地，用戶的標識可以為線路ID(Line-ID)或用戶的名稱。例如：所述用戶名稱可以是「alice@isp」。Line-ID包括接入節點的名稱、接入埠的框、接入埠的槽、接入埠的埠號和虛擬區域網(Virtual LAN Area Network，VLAN)號等。

例如：Line-ID的值為「DSLAM_010101_VLAN100」。DSLAM表示接入節點的名稱，010101中的01可分別表示接入埠的框、接入埠的槽和接入埠的埠號，VLAN100表示的是用戶所屬的VLAN號，不屬於DC中的傳送網絡。VLAN100表示的是用戶在接入網絡中被分配的VLAN的標識。

用戶狀態為所述用戶的上線狀態或所述用戶的下線狀態。所述用戶上的線狀態可以表示為「1」，所述用戶的下線狀態可以表示為「0」。或者，所述用戶的上線狀態可以表示為「online」，所述用戶的下線狀態可以表 示為「offline」。所述用戶的上線狀態表示所述用戶接入網絡。

若所述第一網關通過SNMP Trap協議發送通知消息，Trap中的對象標示符(Object Identifier)和Value可用於攜帶通知消息的內容，Object Identifier表示用戶的標識或用戶狀態。

若所述第一網關通過Syslog協議發送通知消息時，可以將通知消息的內容放到Syslog消息的消息體中。如圖9所示Syslog消息格式，包括IP、用戶數據報協議(User Datagram Protocol，UDP)和Syslog消息，Syslog消息包括優先級、時間標誌位和消息體。用戶的標識可以表示為「alice@isp change online」。

可選地，通知消息還包括用戶的帶寬信息和用戶的物理位置信息等用戶相關的屬性。用戶的帶寬信息可以用於在第一網關和用戶的業務信息對應的VNF之間的路徑間提供滿足帶寬要求的傳輸通道。用戶的物理位置信息可以用於提供基於位置的服務，例如，用戶在公共場所接入網絡，則提供防火牆功能。

在S606之後，還包括S607至S6020。如圖10(a)所示，S607至S6016，如圖10(b)所示，S6017至S6020。

S607、所述第一控制器從所述通知消息中獲取所述用戶的標識和所述第一網關的標識。

具體的，所述第一控制器接收所述第一網關直接發送的所述通知消息。或者，所述第一控制器接收所述第三控制器轉發來自所述第一網關的所述通知消息。所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡。

S608、所述第一控制器獲取業務信息。

所述通知消息還包括所述業務信息，所述第一控制器還可從所述通知消息中獲取所述業務信息。

S609、所述第一控制器向第二控制器發送第一請求。

所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF。

需要說明的是，所述第一控制器在發送所述第一請求之前，所述第一控制器生成所述第一請求，或者所述第一控制器將生成所述第一請求所需 的信息發送給伺服器或其他網絡設備，由所述伺服器或其他網絡設備生成所述第一請求。

S6010、所述第二控制器根據所述業務信息，生成與所述業務信息對應的VNF。

所述第二控制器接收所述第一控制器發送的所述第一請求，所述第一請求包括所述業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的VNF。所述第二控制器是用於管理VNF資源的控制器。

所述第二控制器根據所述業務信息分配VNF資源，實例化所述VNF資源，生成與所述業務信息對應的VNF。所述第二控制器生成所述與所述業務信息對應的VNF的方法可採用通常的生成VNF的方法，在此不再贅述。

S6011、所述第二控制器為所述用戶分配傳送網絡的標識，以及根據所述VNF，獲得第二網關的標識。

所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。所述傳送網絡用於傳送用戶的數據流，可以是虛擬擴展區域網(Virtual Extensible LAN，VXLAN)、虛擬區域網(Virtual LAN Area Network，VLAN)和隧道中任意一種。傳送網絡的標識可以是虛擬擴展區域網(Virtual Extensible LAN，VXLAN)的虛擬網絡標識(VNI)或虛擬區域網(Virtual LAN Area Network，VLAN)的標識(ID)。所述第二網關為所述VNF所屬的DC的網關。

S6012、所述第二控制器向所述第一控制器發送第一響應。

所述第一響應包括所述傳送網絡的標識。

可選地，所述第二控制器還將所述第二網關的標識發送給所述第一控制器，即所述第二控制器將所述第二網關的標識添加至所述第一響應，通過所述第一響應發送給所述第一控制器。

S6013、所述第一控制器向第三控制器發送第二請求。

所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。 所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。所述用戶接入的網絡可以為城域網絡。所述傳送網絡用於傳送用戶的數據流，可以是虛擬擴展區域網(Virtual Extensible LAN，VXLAN)、虛擬區域網(Virtual LAN Area Network，VLAN)和隧道中任意一種。

需要說明的是，所述第一控制器在發送所述第二請求之前，所述第一控制器生成所述第二請求，或者所述第一控制器將生成所述第二請求所需的信息發送給伺服器或其他網絡設備，由所述伺服器或其他網絡設備生成所述第二請求。

S6014、所述第三控制器根據所述第二請求，生成配置信息。

所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識。

若所述網關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑，則所述第三控制器為所述第一網關生成所述配置信息。所述配置信息包括所述用戶的標識和所述傳送網絡的標識。

若所述第二請求還包括第二網關的標識，所述配置信息還包括所述第二網關的標識，則第三控制器根據第二請求生成配置信息包括：所述第三控制器根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；所述第三控制器根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

所述第三控制器生成所述配置信息的方法可參見實施例3，在此不再贅述。

若所述網關集為所述第一網關，則執行S6015至S6016。

S6015、所述第三控制器向所述網關集發送配置信息。

舉例說明，所述第三控制器根據所述第一網關的標識，向所述第一網關發送所述配置信息。

S6016、網關集配置所述用於傳輸數據的路徑。

所述網關集為所述第一網關，所述第一網關配置所述路徑的方法可參見實施例4的相應內容。

若所述網關集包括所述第一網關和所述第二網關，則執行S6017至S6020。

S6017、所述第三控制器向所述第一網關發送所述第一配置信息。

所述第三控制器可根據所述第一網關的標識，向所述第一網關發送所述第一配置信息。

S6018、所述第一網關根據所述第一配置信息配置所述第一子路徑。

所述第一網關配置所述第一子路徑的方法可參見實施例5的相應內容，在此不再贅述。所述第一子路徑的信息為表1中的隧道的信息包含的內容。

表1所示的對應關係是所述第一網關根據所述第一網關的標識、所述用戶的標識、所述路徑的標識和所述第二網關的標識生成的對應關係。所述路徑為通用路由封裝協議(Generic Routing Encapsulation，GRE)隧道。

表1第一子路徑的信息

用戶的標識為DSLAM_010101_VLAN100。所述第一子路徑是從所述第一網關到所述第二網關的路徑。表1中的IP_IP網關表示所述第一網關的IP位址，表1中的IP_DC網關表示所述第二網關的IP位址。即所述第一網關的標識為所述第一網關的IP位址，所述第二網關的標識為所述第二網關的IP位址。GRE Key用於表示所述路徑對應的隧道是編號為1000的隧道。所述第一網關接收到攜帶有DSLAM_010101_VLAN100的報文，採用表1中的源地址和目的地址進行隧道封裝，通過編號為1000的GRE隧道，發送至第二網關。

需要說明的是，隧道技術可以是GRE、二層隧道協議(Layer 2 Tunneling Protocol Version3，L2TPV3)、VXLAN、多協議標記交換(Multiprotocol Label Switching，MPLS)VPN、和MPLS PW。每個用戶可以對應一個隧道，或者多個用戶對應一個隧道來傳送用戶的流量。例如，GRE隧道的Key ID、L2TPV3隧道Session ID、MPLS VPN隧道的VPN ID或VXLAN隧道的VNI。

S6019、第三控制器向所述第二網關發送所述第二配置信息。

所述第三控制器根據所述第二網關的標識，向所述第二網關發送所述第二配置信息。

S6020、第二網關根據第二配置信息配置第二子路徑。

以所述第二配置信息包括所述第一網關的標識和所述路徑的標識為例，所述第二網關配置所述第二子路徑包括：所述第二網關可根據所述第二配置信息和所述第二網關的標識，生成對應關係，所述對應關係包括所述第一子路徑的信息和所述傳送網絡的標識。所述第一子路徑的信息為表2中隧道信息包含的內容。當然，若所述第二配置信息包含所述傳送網絡的標識，則所述對應關係包含所述第二網關的標識和所述傳送網絡的標識。所述第二網關的標識可以來自於所述第二配置信息，也可來自於攜帶所述第二配置信息的報文或消息。所述攜帶所述第二配置信息的報文或消息為所述第三控制器發送給所述第二網關的報文或消息。

表2所示的對應關係是所述第二網關根據所述第一網關的標識、所述路徑的標識、所述第二網關的標識和所述傳送網絡的標識生成的對應關係。所述路徑為GRE隧道。

表2第二子路徑的信息

表2中VLAN表示傳送網絡的標識。表2中的隧道信息與表1相同，在此不再贅述。所述第二網關(DC網關)收到來自所述第一網關(IP網關)的隧道封裝後的報文後，根據隧道封裝後的報文攜帶的隧道信息，比如源地址、目的地址和/或GRE KEY查找表2，獲得數值為200的VLAN的信息。所述第二網關根據數值為200的VLAN，通過DC內的數值為200的VLAN，向VNF發送來自用戶的報文。

可選地，所述第二網關和/或所述第一網關完成配置後，可通過所述第三控制器，向所述第一控制器反饋用於表示完成配置的響應，在此不再舉例說明。

實施例8

實施例8中包含的與實施例1至實施例7相同的內容，比如用戶的標識、第一網關的標識、通知消息等具體含義在此不再贅述。本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖11所示，所述方法包括：

S701、第一網關發現用戶下線，向AAA伺服器發送用戶計費停止請求。

所述第一網關發現所述用戶處於下線狀態，向所述AAA伺服器發送所述用戶計費停止請求。所述用戶計費停止請求包括所述用戶的標識。所述用戶計費停止請求可以通過Radius協議或Diameter協議發送。

S702、所述AAA伺服器根據是用戶的標識完成計費。

S703、所述AAA伺服器向所述第一網關發送用戶計費停止響應。

所述用戶計費停止響應包括所述用戶的標識。

S704、所述第一網關向第一控制器發送下線通知消息。

所述下線通知消息包括所述用戶的標識和所述第一網關的標識，所述下線通知消息用於通知所述第一控制器所述用戶退出網絡。第一網關的標識可以是第一網關的IP位址。

需要說明的是，下線通知(Notification)消息可以直接由第一網關發送至第一控制器。或者，下線通知消息可以經過第三控制器轉發至第一控制器，即第一網關可以先向第三控制器發送下線通知消息，第三控制器再向第一控制器發送下線通知消息。

在S704之後，還包括S705至S7017。如圖12(a)所示，S705至S7013，如圖12(b)所示，S7014至S7017。

S705、所述第一控制器從所述下線通知消息中獲取所述用戶的標識和所述第一網關的標識。

與實施例7中獲取用戶的標識和第一網關的標識的方法相同，在此不再贅述。

S706、所述第一控制器根據所述用戶的標識獲取業務信息。

所述業務信息為用戶訂購的業務的信息。與實施例1或實施例7中獲取業務信息的方法相同，在此不再贅述。

S707、所述第一控制器向第二控制器發送第一取消請求。

所述第一取消請求包括所述業務信息，所述第一取消請求用於通知所述第二控制器取消生成的與所述業務信息對應的VNF。所述第一取消請求包括所述業務信息。

S708、所述第二控制器根據所述業務信息取消生成與所述業務信息對應的VNF。

所述第二控制器接收第一控制器發送的第一取消請求，獲得所述業務信息。

S709、所述第二控制器向所述第一控制器發送第一取消響應。

所述第一取消響應包括傳輸用戶訂購的業務的數據的傳送網絡的標識和第二網關的標識。

S7010、所述第一控制器向所述第三控制器發送第二取消請求。

所述第二取消請求包括所述用戶的標識、所述第一網關的標識、傳輸用戶訂購的業務的數據的傳送網絡的標識和第二網關的標識，所述第二取消請求用於通知所述第三控制器取消配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

S7011、所述第三控制器根據所述第二取消請求，取消配置信息。

所述第三控制器接收所述第一控制器發送的所述第二取消請求，所述第二取消請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識。所述第二取消請求用於通知所述第三控制器取消配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的VNF的數據，所述傳送網絡的標識用於標識所述用戶被分配的DC內的傳送網絡。所述用戶接入的網絡可以為城域網絡。所述傳送網絡用於傳送用戶的數據流，可以是虛擬擴展區域網(Virtual Extensible LAN，VXLAN)、虛擬區域網(Virtual LAN Area Network，VLAN)和隧道中任意一種。

若所述網關集包括所述第一網關和所述第二網關，則所述第三控制器根據所述第二取消請求，取消配置信息包括：所述第三控制器根據所述第 二取消請求包括的所述用戶的標識和所述第二網關的標識，取消生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；所述第三控制器根據所述第二取消請求包括的所述傳送網絡的標識，取消生成的所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

若網關集為所述第一網關，則執行S7012。

S7012、所述第三控制器向所述網關集發送取消配置指令。

所述取消配置指令包括網關集配置所述用於傳輸數據的路徑所需的信息，即包括所述用戶的標識和所述傳送網絡的標識。具體地，所述第三控制器向所述第一網關發送所述取消配置指令。

S7013、所述網關集取消配置所述用於傳輸數據的路徑所需的信息。

所述網關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑。具體地，所述第一網關根據所述取消配置指令，刪除路徑對應關係或將路徑對應關係標記為不可用，所述路徑對應關係包括所述用戶的標識和所述傳輸網絡的標識。可選地，所述路徑對應關係還可包括所述第一網關的標識和所述路徑標識中的至少一個。

若所述網關集包括所述第一網關和所述第二網關，則執行S7014和S7015。

S7014、所述第三控制器向所述第一網關發送取消配置所述第一配置信息的指令。

所述取消配置所述第一配置信息的指令包括所述第一網關配置第一子路徑所需的信息。所述第三控制器根據所述第一網關的標識，向所述第一網關發送取消配置所述第一配置信息的指令。

S7015、所述第一網關根據所述第一配置信息取消配置的第一子路徑。

本實施例的所述第一子路徑與實施例7的所述第一子路徑相同，在此不再贅述。所述第一網關可以刪除表1中的全部或部分信息，或者將表1 標記為不可用，以實現取消配置的所述第一子路徑。

表1第一子路徑的信息

S7016、所述第三控制器向所述第二網關發送取消配置所述第二配置信息的指令。

所述取消配置所述第二配置信息的指令包括所述第二網關配置第二子路徑所需的信息。所述第三控制器根據所述第二網關的標識，向所述第二網關發送取消配置所述第二配置信息的指令。

S7017、所述第二網關根據所述第二配置信息取消配置的第二子路徑。

本實施例的所述第二子路徑與實施例7的所述第二子路徑相同，在此不再贅述。所述第二網關可以刪除表2中的全部或部分信息，或者將表2標記為不可用，以實現取消配置的所述第二子路徑。

表2第二子路徑的信息

可選地，所述第二網關和/或所述第一網關取消配置後，可通過所述第三控制器，向所述第一控制器反饋用於表示取消配置的響應，在此不再舉例說明。

實施例9

本發明實施例提供一種用於對用戶的業務進行授權的方法，如圖13所示，所述方法包括：

S801、用戶駐地設備向第一網關發送身份認證請求。

所述用戶駐地設備通過接入節點，向所述第一網關發送所述身份認證請求。所述身份認證請求包括用戶的標識。具體方法和詳細內容與實施例7的中的相應內容相同，在此不再贅述。

S802、所述第一網關向第一控制器發送第一認證請求。

所述第一網關可以通過Radius協議或Diameter協議向所述第一控制器發送所述第一認證請求。具體方法和詳細內容與實施例4的中的相應內 容相同，在此不再贅述。

S803、所述第一控制器向AAA伺服器發送第二認證請求。

所述第一控制器可以通過Radius協議或Diameter協議向所述AAA伺服器發送所述第二認證請求。該所述第二認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

S804、所述AAA伺服器根據所述二認證請求，對用戶的身份進行認證。

具體方法和詳細內容與實施例4的中的AAA對用戶進行身份認證的內容相同，在此不再贅述。

S805、所述AAA伺服器向所述第一控制器發送第一認證通過響應。

所述AAA伺服器可以通過Radius協議或Diameter協議向所述第一控制器發送第一認證通過響應。所述第一認證通過響應包括所述業務信息、所述用戶的標識和用於表示所述用戶接入網絡的信息，所述第一認證通過響應用於通知所述第一網關所述用戶通過身份認證。具體方法和詳細內容與實施例4的中的相應內容相同，在此不再贅述。

S806、所述第一控制器向所述第一網關發送第二認證通過響應。

所述第一控制器可以通過Radius協議或Diameter協議向第一網關發送所述第二認證通過響應。

S807、第一網關向用戶駐地設備發送第三認證通過響應。

所述第一網關可以通過DHCP、PPPoE和802.1x協議中任意一種協議向用戶駐地設備發送第三認證通過響應。

S808、第一控制器獲取用戶的標識、第一網關的標識和業務信息。

第一控制器從第一認證請求中獲取用戶的標識和第一網關的標識，從所述認證通過響應獲取所述業務信息。或者，第一控制器從認證通過響應中獲取第一網關的標識、用戶的標識和業務信息。

在S808之後，本發明實施例可以執行實施例7包括的S609至S6020，在此不再贅述。

本發明所述的方法，通過在第一控制器中配置AAA伺服器代理，通過接收第一網關發送的認證請求獲取用戶的標識，然後，向AAA伺服器發送認證請求後，接收AAA伺服器發送認證通過響應，從認證通過響應 中獲取用戶接入網絡的信息，可以避免通過修改現有技術中的協議來獲取用戶標識和用戶接入網絡的信息，提高本發明實施例的通用性。

實施例10

實施例10提供的第一控制器可以執行實施例1提供的方法。本發明實施例提供一種第一控制器90，如圖14所示，包括：

第一獲取單元901，用於獲取用戶的標識和第一網關的標識，所述第一網關為所述用戶接入的網絡的網關。

第二獲取單元902，用於獲取業務信息，所述業務信息為所述用戶訂購的業務的信息。

第一發送單元903，用於向第二控制器發送第一請求，所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的虛擬網絡功能VNF。

第一接收單元904，用於接收所述第二控制器發送的第一響應，所述第一響應包括傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

第二發送單元905，用於向第三控制器發送第二請求，所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

本發明實施例提供的第一控制器獲取用戶的標識、第一網關的標識和業務信息。所述第一控制器向第二控制器發送包括所述業務信息的第一請求，通知所述第二控制器生成與所述業務信息對應的VNF。所述第一控制器接收所述第二控制器發送包括傳送網絡的標識的第一響應後，向第三控制器發送包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識的第二請求，通知所述第三控制器配置用於傳輸數據的路徑。這樣，訂購業務的用戶與能夠與業務信息對應的VNF建立對應關係，所述訂購業務的用戶的數據能夠被傳輸到對應的VNF，有效地提高VNF資源的利用率。

可選地，所述第一響應還包括第二網關的標識，所述第二網關為所述DC的網關；所述第二請求還包括所述第二網關的標識。

可選地，基於圖14，如圖15所示，所述第一控制器90還包括第二接收單元906；

所述第二接收單元906用於接收所述第一網關發送的通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；

所述第一獲取單元901具體用於從所述通知消息，獲取所述用戶的標識和所述第一網關的標識。

所述通知消息還包括所述業務信息，所述第二獲取單元902具體用於從所述通知消息，獲取所述業務信息。

可選地，基於圖14，如圖16所示，所述第一控制器90還包括第三接收單元907；

所述第三接收單元907用於接收所述第一網關發送的第一認證請求，所述第一認證請求包括所述用戶的標識和所述第一網關的標識，所述第一認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證；

所述第一獲取單元901具體用於從所述第一認證請求，獲得所述用戶的標識和所述第一網關的標識。

可選地，所述第一控制器90還包括：

第三發送單元908，用於向所述AAA伺服器發送所述第二認證請求，所述第二認證請求包括所述用戶的標識和所述第一網關的標識，所述第二認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證；

第四接收單元909，用於接收所述AAA伺服器發送的認證通過響應，所述認證通過響應包括所述業務信息、所述用戶的標識和用於表示所述用戶接入網絡的信息，所述認證通過響應用於通知所述第一網關所述用戶通過身份認證；

所述第二獲取單元902具體用於從所述認證通過響應獲取所述業務信息。

舉例說明，所述第一獲取單元901具體用於根據外部指令或預設周期，從預設的伺服器獲得第一對應關係，所述第一對應關係包括所述用戶 的標識和所述第一網關的標識，所述預設的伺服器用於保存所述第一對應關係；

所述第一獲取單元901具體用於從所述第一對應關係，獲取所述用戶的標識和所述第一網關的標識。

所述第二獲取單元902具體用於根據所述用戶的標識和預存的第二對應關係，獲得所述業務信息，所述第二對應關係包括所述業務信息和所述用戶的標識。

實施例11

實施例11提供的第二控制器能夠執行實施例2提供的方法。本發明實施例提供一種第二控制器11，如圖17所示，所述第二控制器包括：

接收單元111，用於接收第一控制器發送的第一請求，所述第一請求包括業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的虛擬網絡功能VNF。

生成單元112，用於根據所述業務信息，生成與所述業務信息對應的VNF。

分配單元113，用於為所述用戶分配傳送網絡的標識，所述傳送網絡的標識用於標識為所述用戶被分配的數據中心DC內的傳送網絡。

發送單元114，用於向所述第一控制器發送第一響應，所述第一響應包括所述傳送網絡的標識。

本發明實施例提供的第二控制器接收第一控制器發送的包括業務信息的第一請求。所述第二控制器根據所述業務信息，生成與所述業務信息對應的VNF。所述第二控制器向所述第一控制器發送包括為所述用戶分配的傳送網絡的標識的第一響應，有助於訂購了業務的用戶與業務信息對應的VNF建立對應關係，使得所述訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

可選地，如圖18所示，所述第二控制器11還包括：

獲取單元115，用於根據所述VNF獲得網關的標識，所述網關為所述VNF所屬的DC的網關；

所述發送單元114還用於通過所述第一響應，向所述第一控制器發送所述網關的標識。

實施例12

實施例12提供的第三控制器能夠執行實施例3提供的方法。本發明實施例提供一種第三控制器12，如圖19所示，所述第三控制器包括：

接收單元121，用於接收第一控制器發送的第二請求，所述第二請求包括用戶的標識、第一網關的標識和傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

生成單元122，用於根據第二請求，生成配置信息，所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識。

發送單元123，用於向所述網關集發送所述配置信息。

本發明實施例提供的第三控制器接收第一控制器發送的包括用戶的標識、第一網關的標識和傳送網絡的標識的第二請求。所述第三控制器根據第二請求，生成配置信息。所述第三控制器向網關集發送所述配置信息，該網關集為所述路徑所經過的網關的集合，比如所述網關集僅包含所述第一網關，或者所述網關集包括所述第一網關和第二網關，所述第二網關是DC中網關。這樣，網關集包括的網關能夠建立起用於傳輸用戶的數據的路徑，使得訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

舉例說明，所述網關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑。

舉例說明，所述第二請求還包括第二網關的標識，所述第二網關為DC的網關，所述配置信息包括第一配置信息和第二配置信息，如圖20所示，生成單元122包括：

第一生成子單元1221，用於根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為 所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；

第二生成子單元1222，用於根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。

如圖21所示，發送單元123包括：

第一發送子單元1231，用於向所述第一網關發送所述第一配置信息；

第二發送子單元1232，用於向所述第二網關發送所述第二配置信息。

實施例13

實施例13提供的第一網關能夠執行實施例4提供的方法。該實施例提及的第二控制器為實施例3或實施例12提及的第三控制器。本發明提供一種第一網關13，如圖22所示，第一網關包括：

第一接收單元131，用於接收用戶的接入請求，所述接入請求包括所述用戶的標識。

第一發送單元132，用於向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

第二接收單元133，用於接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

第一獲得單元134，用於根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得對應關係，所述對應關係包括所述用戶的信息和所述路徑的信息，所述路徑的信息包括所述第一網關的標識和所述傳送網絡的標識，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑。

本發明實施例提供的第一網關，第一網關接收用戶的接入請求，該接入請求包括所述用戶的標識，該第一網關向第一控制器發送包括所述用戶的標識和所述第一網關的標識的第一消息，再接收第二控制器發送的包括所述用戶的標識、所述第一網關的標識和傳送網絡的標識的配置信息，第一網關根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得包括所述用戶的信息和所述路徑的信息的對應關係。這樣，第一網關能夠建立起用於傳輸用戶的數據的路徑，使得訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

舉例說明，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求AAA伺服器對所述用戶的身份進行認證。

可選地，如圖23所示，所述第一網關13還包括：

第三接收單元135，用於接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

第二獲得單元136，用於根據所述用戶的標識和所述對應關係，獲得所述路徑的信息；

第二發送單元137，用於根據所述路徑的信息，通過所述路徑向所述VNF發送所述來自用戶的報文。

實施例14

實施例14提供的第一網關能夠執行實施例5提供的方法。該實施例中提及的第二控制器為實施例3或實施例12提及的第三控制器.該實施例提及的配置信息為實施例3或實施例12提及的第一配置信息。該實施例提及的子路徑為實施例3或實施例12提及的第一子路徑。本發明實施例提供一種第一網關14，如圖24所示，所述第一網關包括：

第一接收單元141，用於接收用戶的接入請求，所述接入請求包括所述用戶的標識。

第一發送單元142，用於向第一控制器發送第一消息，所述第一網關 為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

第二接收單元143，用於接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的子路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和第二網關的標識，所述第二網關為數據中心DC的網關。

第一獲得單元144，用於根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得對應關係，所述對應關係包括所述用戶的標識和所述子路徑的信息，所述子路徑的信息包括所述第一網關的標識和所述第二網關的標識，所述子路徑為所述第一網關與所述第二網關間的路徑。

本發明實施例提供的第一網關中，第一網關接收用戶的接入請求，該接入請求包括所述用戶的標識，該第一網關向第一控制器發送包括所述用戶的標識和所述第一網關的標識的第一消息，再接收第二控制器發送的包括所述用戶的標識、所述第一網關的標識和第二網關的標識的配置信息，第一網關根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得包括所述用戶的標識和所述子路徑的信息的對應關係。這樣，第一網關能夠建立起用於傳輸用戶的數據的路徑，使得訂購了業務的用戶的數據能夠傳輸到對應的VNF，有效地提高VNF資源的利用率。

舉例說明，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證。

可選地，如圖25所示，所述第一網關14還包括：

第三接收單元145，用於接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

第二獲得單元146，用於根據所述用戶的標識和所述對應關係，獲得 所述子路徑的信息；

第二發送單元147，用於根據所述子路徑的信息，通過所述子路徑向所述第二網關發送所述來自用戶的報文。

實施例15

本發明實施例提供一種對用戶的業務進行授權的系統15，如圖26所示，所述系統包括：第一控制器151、第二控制器152和第三控制器153。所述第一控制器151可以是實施例10所述的第一控制器90。所述第二控制器152可以是實施例11所述的第二控制器11。所述第三控制器153可以是實施例12所述的第三控制器12。

實施例16

實施例16提供的第一控制器可執行實施例1提供的方法。本發明實施例提供一種第一控制器16，如圖27所示，包括：

通信接口161，用於與外部網元進行通信。

存儲器162，用於存儲程序代碼165。

所述通信接口161、所述存儲器162和處理器162通過總線164連接並完成相互間的通信。

所述處理器163，用於調用所述存儲器162存儲的程序代碼執行如下方法：

獲取用戶的標識和第一網關的標識，所述第一網關為所述用戶接入的網絡的網關；

獲取業務信息，所述業務信息為所述用戶訂購的業務的信息。

所述處理器163通過所述通信接口161向第二控制器發送第一請求，所述第一請求包括所述業務信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的虛擬網絡功能VNF。

所述處理器163通過所述通信接口161接收所述第二控制器發送的第一響應，所述第一響應包括傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

所述處理器163通過所述通信接口161向第三控制器發送第二請求，所述第二請求包括所述用戶的標識、所述第一網關的標識和所述傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路 徑，所述數據為所述用戶需要發送至所述業務信息對應的VNF的數據。

可選地，所述第一響應還包括第二網關的標識，所述第二網關為所述DC的網關；

所述第二請求還包括所述第二網關的標識。

舉例說明，所述處理器163通過所述通信接口161接收所述第一網關發送的通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；

所述處理器163調用所述存儲器162存儲的程序代碼執行如下方法：

從所述通知消息，獲取所述用戶的標識和所述第一網關的標識。

從所述通知消息，獲取所述業務信息。

舉例說明，所述處理器163通過所述通信接口161接收所述第一網關發送的第一認證請求，所述第一認證請求包括所述用戶的標識和所述第一網關的標識，所述第一認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證；

所述處理器163，用於調用所述存儲器162存儲的程序代碼執行如下方法：

從所述第一認證請求，獲得所述用戶的標識和所述第一網關的標識。

所述處理器163通過所述通信接口161向所述AAA伺服器發送所述第二認證請求，所述第二認證請求包括所述用戶的標識和所述第一網關的標識，所述第二認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證；

所述處理器163通過所述通信接口161接收所述AAA伺服器發送的認證通過響應，所述認證通過響應包括所述業務信息、所述用戶的標識和用於表示所述用戶接入網絡的信息，所述認證通過響應用於通知所述第一網關所述用戶通過身份認證；

所述處理器163，用於調用所述存儲器162存儲的程序代碼執行如下方法：

從所述認證通過響應獲取所述業務信息。

舉例說明，所述處理器163，用於調用所述存儲器162存儲的程序代碼執行如下方法：

根據外部指令或預設周期，從預設的伺服器獲得第一對應關係，所述第一對應關係包括所述用戶的標識和所述第一網關的標識，所述預設的伺服器用於保存所述第一對應關係；

從所述第一對應關係，獲取所述用戶的標識和所述第一網關的標識。

根據所述用戶的標識和預存的第二對應關係，獲得所述業務信息，所述第二對應關係包括所述業務信息和所述用戶的標識。

實施例17

實施例17提供的第二控制器可執行實施例2提供的方法。本發明實施例提供一種第二控制器17，如圖28所示，所述第二控制器包括：

通信接口171，用於與外部網元進行通信。

存儲器172，用於存儲程序代碼175。

所述通信接口171、所述存儲器172和處理器172通過總線174連接並完成相互間的通信。

所述處理器173通過所述通信接口171接收第一控制器發送的第一請求，所述第一請求包括業務信息，所述業務信息為用戶訂購的業務的信息，所述第一請求用於通知所述第二控制器生成與所述業務信息對應的虛擬網絡功能VNF。

所述處理器173，用於調用所述存儲器172存儲的程序代碼執行如下方法：

根據所述業務信息，生成與所述業務信息對應的VNF。

為所述用戶分配傳送網絡的標識，所述傳送網絡的標識用於標識為所述用戶被分配的數據中心DC內的傳送網絡。

所述處理器173通過所述通信接口171向所述第一控制器發送第一響應，所述第一響應包括所述傳送網絡的標識。

所述處理器173，用於調用所述存儲器172存儲的程序代碼執行如下方法：

根據所述VNF獲得網關的標識，所述網關為所述VNF所屬的DC的網關；

所述處理器173通過所述通信接口171通過所述第一響應，向所述第一控制器發送所述網關的標識。

實施例18

實施例18提供的第三控制器可執行實施例3提供的方法。本發明實施例提供一種第三控制器18，如圖29所示，所述第三控制器包括：

通信接口181，用於與外部網元進行通信。

存儲器182，用於存儲程序代碼185。

所述通信接口181、所述存儲器182和處理器182通過總線184連接並完成相互間的通信。

所述處理器183通過所述通信接口181接收第一控制器發送的第二請求，所述第二請求包括用戶的標識、第一網關的標識和傳送網絡的標識，所述第二請求用於通知所述第三控制器配置用於傳輸數據的路徑，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述第一網關為所述用戶接入的網絡的網關，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

所述處理器183，用於調用所述存儲器182存儲的程序代碼執行如下方法：

根據第二請求，生成配置信息，所述配置信息為網關集配置所述用於傳輸數據的路徑所需的信息，所述網關集為所述路徑所經過的網關的集合，所述配置信息包括所述用戶的標識和所述傳送網絡的標識。

所述處理器183通過所述通信接口181向所述網關集發送所述配置信息。

舉例說明，所述網關集為所述第一網關，所述路徑為所述第一網關和所述VNF之間的路徑。

舉例說明，所述第二請求還包括第二網關的標識，所述第二網關為DC的網關，所述配置信息包括第一配置信息和第二配置信息，所述處理器183，用於調用所述存儲器182存儲的程序代碼執行如下方法：

根據所述第二請求包括的所述用戶的標識和所述第二網關的標識，生成所述第一配置信息，所述第一配置信息為所述第一網關配置第一子路徑所需的信息，所述第一子路徑為所述第一網關與所述第二網關間用於傳輸所述數據的路徑；

根據所述第二請求包括的所述傳送網絡的標識，生成所述第二配置信息，所述第二配置信息為所述第二網關配置第二子路徑所需的信息，所述第二子路徑為所述第二網關與所述VNF間用於傳輸所述數據的路徑，所述路徑包括所述第一子路徑和所述第二子路徑。所述處理器183通過所述通信接口181向所述第一網關發送所述第一配置信息；

所述處理器183通過所述通信接口181向所述第二網關發送所述第二配置信息。

實施例19

實施例19提供的第一網關可執行實施例4提供的方法。實施例20中的第二控制器為實施例3或實施例12中的第二控制器。本發明提供一種第一網關19，如圖30所示，第一網關包括：

通信接口191，用於與外部網元進行通信。

存儲器192，用於存儲程序代碼195。

所述通信接口191、所述存儲器192和處理器192通過總線194連接並完成相互間的通信。

所述處理器193通過所述通信接口191接收用戶的接入請求，所述接入請求包括所述用戶的標識。

所述處理器193通過所述通信接口191向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

所述處理器193通過所述通信接口191接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和傳送網絡的標識，所述傳送網絡的標識用於標識所述用戶被分配的數據中心DC內的傳送網絡。

所述處理器193，用於調用所述存儲器192存儲的程序代碼執行如下方法：

根據所述用戶的信息、所述第一網關的標識和所述傳送網絡的標識，獲得對應關係，所述對應關係包括所述用戶的信息和所述路徑的信息，所 述路徑的信息包括所述第一網關的標識和所述傳送網絡的標識，所述路徑為所述第一網關與所述業務信息對應的VNF間的路徑。

舉例說明，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證。

舉例說明，所述處理器193通過所述通信接口191接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

所述處理器193，用於調用所述存儲器192存儲的程序代碼執行如下方法：

根據所述用戶的標識和所述對應關係，獲得所述路徑的信息；

所述處理器193通過所述通信接口191根據所述路徑的信息，通過所述路徑向所述VNF發送所述來自用戶的報文。

實施例20

實施例20提供的第一網關可執行實施例5提供的方法。實施例20中的第二控制器為實施例3或實施例12中的第二控制器。實施例20中的配置信息為實施例3或實施例12中的第一配置信息。實施例20中的子路徑為實施例3或實施例12中的第一子路徑。本發明實施例提供一種第一網關21，如圖31所示，所述第一網關包括：

通信接口211，用於與外部網元進行通信。

存儲器212，用於存儲程序代碼215。

所述通信接口211、所述存儲器212和處理器212通過總線214連接並完成相互間的通信。

所述處理器213通過所述通信接口211接收用戶的接入請求，所述接入請求包括所述用戶的標識。

所述處理器213通過所述通信接口211向第一控制器發送第一消息，所述第一網關為所述用戶接入的網絡的網關，所述第一消息包括所述用戶的標識和所述第一網關的標識。

所述處理器213通過所述通信接口211接收第二控制器發送的配置信息，所述配置信息為第一網關配置用於傳輸數據的子路徑所需的信息，所述數據為所述用戶需要發送至業務信息對應的虛擬網絡功能VNF的數據，所述業務信息為所述用戶訂購的業務的信息，所述配置信息包括所述用戶的標識和第二網關的標識，所述第二網關為數據中心DC的網關。

所述處理器213，用於調用所述存儲器212存儲的程序代碼執行如下方法：

根據所述用戶的標識、所述第一網關的標識和所述第二網關的標識，獲得對應關係，所述對應關係包括所述用戶的標識和所述子路徑的信息，所述子路徑的信息包括所述第一網關的標識和所述第二網關的標識，所述子路徑為所述第一網關與所述第二網關間的路徑。

舉例說明，所述第一消息為通知消息，所述通知消息包括所述用戶的標識和所述第一網關的標識，所述通知消息用於通知所述第一控制器所述用戶接入網絡；或者所述第一消息為認證請求，所述認證請求包括所述用戶的標識和所述第一網關的標識，所述認證請求用於請求認證、授權和計費AAA伺服器對所述用戶的身份進行認證。

所述處理器213通過所述通信接口211接收到來自用戶的報文，所述來自用戶的報文包括所述用戶的標識和所述用戶需要發送至業務信息對應的VNF的數據；

所述處理器213，用於調用所述存儲器212存儲的程序代碼執行如下方法：

根據所述用戶的標識和所述對應關係，獲得所述子路徑的信息；

所述處理器213通過所述通信接口211根據所述子路徑的信息，通過所述子路徑向所述第二網關發送所述來自用戶的報文。

實施例21

本發明實施例提供一種對用戶的業務進行授權的系統22，如圖32所示，所述系統包括：第一控制器221、第二控制器222和第三控制器223。

所述第一控制器221可以是實施例16所述的第一控制器16。所述第二控制器222可以是實施例17所述的第二控制器17。所述第三控制器223可以是實施例18所述的第三控制器18。

本發明實施例中的第一控制器、第二控制器和第三控制器中的第一、第二和第三是用來區分不同的控制器，不是用來表示控制器間的先後順序。本發明實施例中的第一網關和第二網關中的第一和第二是用來區分不同的網關，不是用來表示網關間的先後順序。

通過以上的實施方式的描述，所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，僅以上述各功能模塊的劃分進行舉例說明，實際應用中，可以根據需要而將上述功能分配由不同的功能模塊完成，即將裝置的內部結構劃分成不同的功能模塊，以完成以上描述的全部或者部分功能。上述描述的系統，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統，裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述模塊或單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現，也可以採用軟體功能單元的形式實現。

所述集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是 個人計算機，伺服器，或者網絡設備等)或處理器(processor)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：U盤、移動硬碟、只讀存儲器(ROM，Read-Only Memory)、隨機存取存儲器(RAM，Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

以上所述，僅為本發明的具體實施方式，但本發明的保護範圍並不局限於此，任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應以所述權利要求的保護範圍為準。