WO2022083492A2

WO2022083492A2 - 一种智能卡管理装置的分布式管理***及管理方法

Info

Publication number: WO2022083492A2
Application number: PCT/CN2021/123685
Authority: WO
Inventors: 周林林; 王凯航; 周好
Original assignee: 上海途鸽数据科技有限公司
Priority date: 2020-10-22
Filing date: 2021-10-14
Publication date: 2022-04-28
Also published as: JP2023543323A; WO2022083492A3; CN112019573A; CN112019573B; EP4216588A4; EP4216588A2; JP7480434B2

Abstract

本发明实施例涉及一种智能卡管理装置的分布式管理***及管理方法，***包括：属于服务中心的业务服务装置、多个智能卡管理装置、多个终端；所述业务服务装置包括业务服务中心和至少一个代理模块，所述每一个终端和智能卡管理模块在业务服务中心注册之后，通过业务服务中心分配的代理模块实现智能卡管理装置对终端的鉴权处理，以使所述终端接入终端所在地的第二网络；其中，为终端进行鉴权处理的智能卡管理装置位于终端所在的区域，且每一代理模块连接多个分布式部署的智能卡管理装置。本发明的***可实现智能卡管理装置的部署灵活性，降低了运营成本和对网络环境的限制。

Description

一种智能卡管理装置的分布式管理***及管理方法

技术领域

本发明实施例涉及智能卡扩展技术，具体涉及一种智能卡管理装置的分布式管理***及管理方法。

背景技术

在云通信行业中常常需要使用智能卡管理装置来实现对大量智能卡的管理。对于云通信行业来说，智能卡不仅是一种对客户提供服务的凭证，同时也是行业内公司主体的有形资产，因此如何最大化利用这些智能卡资源一直是行业内不断探索的方向之一。而如何有效管理这些大量的智能卡则是实现此资源利用最大化的前提。

现有技术中提供一种管理智能卡的服务架构，如图1所示。图1中的架构主要包含三大独立模块：

1)业务服务模块：用于处理业务相关事务，包括终端设备的合法性验证、智能卡管理装置的图形化呈现、智能卡资源的集中配给等等功能。

2)智能卡管理装置：用于收集该智能卡管理装置中的智能卡信息，并对外提供每一终端接入网络进行许可验证等功能。

3)终端：最终租赁或售卖给用户的产品，为用户提供网络接入功能。

结合图1中的①至⑥，其流程主要包含以下三个阶段：

第一阶段：①智能卡管理装置收集好其下所有智能卡信息并上报至业务服务模块以备后续集中配给使用。业务服务模块验证对智能卡管理装置进行身份验证，验证通过后记录其上报信息同时也记录下其位置信息(如IP等)；

②业务服务模块完成信息记录后，将相应状态推送至智能卡管理装置并通知其对外提供服务，此后智能卡管理装置与业务服务模块之间继续保持联系以实时同步变更信息。此时第一阶段完成。

第二阶段：③终端被用户启用后，开始与业务服务模块进行联系并进行智能卡资源申请；

④业务服务模块确认终端身份后对其分配智能卡资源，并告知其资源位置，同时也将信息同步至智能卡管理装置，以备后续终端过来申请服务时，对其进行身份鉴别。此后终端与业务服务模块之间继续保持联络以实时同步变更信息。此时第二阶段完成。

第三阶段：⑤终端拿到智能卡资源后，根据其位置信息，向智能卡管理装置发起服务申请；

⑥智能卡管理装置收到终端的服务申请后对其进行身份鉴别，确认身份后开始对其进行服务，最终实现设备的网络接入。

也就是说，图1中的终端本身有两套网络接入，其一可直接接入第一网络，并通过此第一网络与业务服务模块及智能卡管理装置进行通信；其二需要在完成上述工作后，才实现第二网络接入，并最终提供给用户使用。

具体地，图1所示的现有架构的优点就是架构简单，部署方便。然而随着行业发展的不断深入以及应用需求广泛接纳，此架构的弊端也逐渐放大显现。其主要缺点有如下几个方面：

1)智能卡管理装置必须有固定IP；

2)由前面第一条的要求使得智能卡管理装置的安装环境有两个选择：要么为其单独购买固定IP及专线；要么将其放置于IDC机房以便于固定IP。因此，其使用成本便被大大提高。

3)由于智能卡管理装置一般都集中放置在全球某一IDC机房，而终端则分布于全球各地，因此从智能卡管理装置到终端之间的网络路由无法优化(例如：智能卡管理装置在上海，而终端在纽约、东京、巴黎等)。

4)为解决第3点的问题一个行之有效的方法是在全球多地租用IDC机房用于安装智能卡管理装置，然而随着而来的安装、运维、租金等费用又将大幅提升产品的运营成本。

5)当前架构方式，智能卡管理装置往往采用固定节点的服务入口，甚至单节点入口，因此将会使得整个服务的容灾性大大降低。即当入口节点出现故障时，所有的智能卡管理装置均无法对外提供服务。因此，此种故障情况下将会完全瘫痪整个产品的运营。

除了以上几点局限外，在业务发展上，随着与全球代理商的深入合作，越来越多的代理商或大、中型客户有对智能卡进行本地管理的需求。因此，现行方案天然地无法满足此需求。

发明内容

为了解决现有技术存在的问题，本发明的至少一个实施例提供了一种智能卡管理装置的分布式管理***及管理方法，用于实现智能卡管理装置的部署灵活性，并降低运营成本。

第一方面，本发明实施例提供一种智能卡管理装置的分布式管理***，包括：

属于服务中心的业务服务装置、多个智能卡管理装置、多个终端；

所述业务服务装置包括业务服务中心和至少一个代理模块，所述每一个终端和智能卡管理模块在业务服务中心注册之后，通过业务服务中心分配的代理模块实现智能卡管理装置对终端的鉴权处理，以使所述终端接入该终端所在地的网络；

其中，为终端进行鉴权处理的智能卡管理装置位于终端所在的区域，且每一代理模块连接多个分布式部署的智能卡管理装置。

可选地，所述代理模块为一个时，所述代理模块和业务服务中心均位于IDC机房中共用一公网地址即公网IP地址，位于终端所在区域的每一个智能卡管理装置具有预先配置的公网地址即公网IP地址。

在一些实施例中，在代理模块为多个时，所述业务服务中心位于IDC机房或云端，所述代理模块根据终端所在区域进行分布式部署，且每一代理模块具有预先配置的公网地址；

每一代理模块连接的每一个智能卡管理装置配置有内网地址，且该代理模块实现为终端进行鉴权处理的智能卡管理装置与该终端进行点对点/端到端通信。

在一些实施例中，所述代理模块还用于转发所述智能卡管理装置与业务服务中心之间的交互数据；

连接业务服务中心的所有代理模块构成星形拓扑结构，任意两个代理模块之间互联互通，和/或，业务服务中心位于服务提供商的云端或混合云中。

第二方面，本发明实施例提供一种分布式管理***的管理方法，其中，所述分布式管理***包括：连接业务服务中心的分布式部署的多个具有公网地址的代理模块，每一代理模块连接多个配置有内网地址的智能卡管理装置，多个用于接入终端所在地的网络(即第二网络)的终端，所述管理方法包括：

S1、所述代理模块向业务服务中心注册，并获取该代理模块用于服务的智能卡管理装置的信息，以及与用于服务的智能卡管理装置交互，获取智能卡管理装置用于服务终端的接入服务入口信息，并将接入服务入口信息发送业务服务中心；

S2、所述代理模块接收终端发送的用于向智能卡管理装置进行鉴权的鉴权请求，所述鉴权请求为终端接收业务服务中心分配的接入服务入口信息和代理模块的地址信息后发送的，该鉴权请求包括，业务服务中心确定的与终端配对的智能卡信息；

S3、所述代理模块依据智能卡信息查找所属的智能卡管理装置，以使所述智能卡管理装置对所述鉴权请求进行处理，使得所述终端接入第二网络。

在一些实施例中，S1包括：

所述代理模块向业务服务中心发送注册请求，所述注册请求包括该代理模块的标识和位置信息；

所述代理模块接收所述业务服务中心反馈的注册响应及该代理模块用于服务的智能卡管理装置的信息，并根据智能卡管理装置的信息开启接入服务；

所述代理模块接收智能卡管理装置发起的接入注册消息，所述接入注册消息为该智能卡管理装置根据业务服务中心推送的所述代理模块的地址信息发送的消息；

所述代理模块根据所述接入注册消息反馈注册状态信息，建立与智能卡管理装置的连接，并向所述业务服务中心同步所述智能卡管理装置的接入状态及用于服务终端的接入服务入口信息。

在一些实施例中，所述S3包括：

所述代理模块根据预先获取的所述智能卡管理装置与所述终端所处的网络环境，判断所述智能卡管理装置和所述终端是否均处于完全锥形的NAT(Full Cone NAT)网络环境；

若是，则将智能卡管理装置的地址信息发送所述终端，将所述终端的地址信息发送所述智能卡管理装置，以使所述终端和所述智能卡管理装置进行直接通信，以对终端进行鉴权处理；

否则，所述代理模块将所述鉴权请求转发查找到的智能卡管理装置；

所述代理模块接收所述智能卡管理装置对鉴权请求的处理结果，并将处理结果发送所述终端，以使所述终端接入第二网络；

其中，智能卡管理装置的网络环境为所述智能卡管理装置发起接入注册消息时携带的信息；

所述终端的网络环境为所述终端发起鉴权请求时携带的信息。

在一些实施例中，所述方法还包括：

所述代理模块周期性向业务服务中心发送包括该代理模块状态的心跳信息；

和/或，

所述代理模块接收到非代理模块所属区域的终端发送的连接请求时，所述代理模块根据所述连接请求，向业务服务中心发送该终端所属区域的代理模块发生故障的信息。

第三方面，本发明实施例还提供一种分布式管理***的管理方法，其中，所述分布式管理***包括：连接业务服务中心的分布式部署的多个具有公网地址(即公网IP地址)的代理模块，每一代理模块连接多个配置内网地址的智能卡管理装置，多个用于接入终端所在地网络(即第二网络)的终端，所述管理方法包括：

A1、业务服务中心接收每一智能卡管理装置上报的智能卡信息和该智能卡管理装置的位置信息；

A2、业务服务中心接收每一代理模块发送的注册请求，所述注册请求包括发送注册信息的代理模块的标识和位置信息；

A3、所述业务服务中心根据代理模块的位置信息、智能卡管理装置的位置信息，向各代理模块返回该代理模块用于服务的智能卡管理装置的信息，以使各代理模块根据智能卡管理装置的信息开启接入服务；

A4、所述业务服务中心在接收代理模块返回的接入服务开启的信息后，向各智能卡管理装置推送用于服务的代理模块的地址信息，以使所述智能卡管理装置在对应的代理模块中注册；

A5、所述业务服务中心接收所述代理模块反馈的代理模块服务的所有智能卡管理装置的接入服务入口信息及接入状态；

A6、所述业务服务中心接收终端发送的用于申请智能卡资源的申请请求，所述申请请求包括：终端的位置信息和终端所在地的运营商网络信息；

A7、所述业务服务中心根据申请请求分配智能卡管理装置的接入服务入口信息及代理模块的地址信息；以使终端接入代理模块之后与其连接的智能卡管理装置交互，接入第二网络。

在一些实施例中，所述方法还包括：

所述业务服务中心根据互联互通策略，向注册的代理模块发送第一预设数量的相邻代理模块的地址信息，以使所述代理模块与相邻的代理模块连通；

和/或，

所述业务服务中心根据互联互通策略，向注册的智能卡管理装置或终端发送第二预设数量的代理模块的地址信息及优先级信息，以使智能卡管理装置或终端存储第二预设数量的代理模块的地址信息，并根据优先级信息选择一个代理模块连接。

可见，本发明实施例的至少一个实施例中，将智能卡管理装置进行分布式部署，且可以部署在终端所在的区域，实现了智能卡管理装置的部署灵活性，降低了运营成本。

此外，本发明实施例中借助于代理模块，可以实现一个代理模块连接多个分布式部署的智能卡管理模块，由此，解决了现有技术私网环境中部署智能卡管理装置需要的苛刻网络环境的问题，有效降低了运营成本。

进一步地，分布式部署的代理模块可实现互联互通，当部分代理模块出现故障时，网络内的其他正常代理模块节点可迅速成为故障节点灾备节点，继续为终端提供服务，从而可以实现为终端提供持续服务，还可以优化服务质量。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术提供的一种智能卡管理装置的服务架构方法的示意图；

图2A和图2B分别为本发明一实施例提供的智能卡管理装置的分布式管理***的架构图；

图3A至图3C分别为本发明另一实施例提供的智能卡管理装置的分布式管理***的架构图；

图4A和图4B均为图3A所示的分布式管理***的管理方法的示意图；

图5至图7分别为本发明一实施例提供的分布式管理***的管理方法的部分流程示意图；

图8为图3C所示的一个代理模块发生故障时业务转移的场景示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

实施例一

如图2A和图2B所示，本实施例提供一种智能卡管理装置的分布式管理***的架构图，本实施例分布式管理***包括：属于服务中心的业务服务装置、多个智能卡管理装置、多个终端。

本实施例中的业务服务装置包括业务服务中心和一个代理模块，所述每一个终端和智能卡管理模块在业务服务中心注册之后，通过业务服务中心分配的代理模块实现智能卡管理装置对终端的鉴权处理，以使所述终端接入该终端所在地的网络(下述称第二网络)。

在图2A中示出的是两个智能卡管理装置和两个终端，本实施例不对其限定，根据实际需要进行配置，例如，代理模块连接多个智能卡管理装置和多个终端。

在本实施例中，所述代理模块为一个，所述代理模块和业务服务中心均位于IDC机房或云端，其中代理模块和业务服务中心共用一个公网地址，如IPv4/IPv6地址，此时，对外可呈现的是IDC机房中的一个设备，可理解为代理模块从现有的业务服务模块中剥离出来的一个逻辑块，可与业务服务中心同属一台设备不同服务等。

本实施例中的智能卡管理装置可实现分布式部署即灵活部署在终端所在的区域，即智能卡管理装置与终端尽量同属一个国家或地区或同一个电信运营商网络。相对于图1所示的现有技术方案，智能卡管理装置“搬离”机房；尽可能地“靠近”终端，实现智能卡管理装置的灵活部署，可以优化智能卡管理装置和终端之间的网络路由。

在本实施例中，“搬离”机房的每一个智能卡管理装置预先配置有公网地址，如IP地址，即位于终端所在区域的每一个智能卡管理装置具有预先配置的公网地址。

本实施例的智能卡管理装置可实现为终端的鉴权处理，以实现终端接入该终端所属地的第二网络。

可理解的是，业务服务中心和代理模块对外呈现可为一个业务服务模块，图2A和图2B中智能卡管理装置和终端与业务服务模块的交互与现有技术的交互基本相同，参照现有技术中的①至⑥的过程，实现对终端的鉴权，本实施例该处不再详述。

为更好的理解本发明实施例中提及的终端的鉴权，以下结合现有的鉴权进行说明。

通常，终端接入运营商网络时，运营商网络需要对终端进行鉴权认证。在常规的手机设备上，智能卡(即SIM卡)安装在手机上，经过终端内部的处理，鉴权请求会传输给SIM卡进行运算。SIM卡中预设了相关的算法与密钥，因此可以实现运营商网络对手机设备的认证过程，进而手机通过内部的智能卡实现连接运营商网络。

在本申请的智能卡管理装置的技术领域中，SIM卡是安装在智能卡管理装置上。终端处于漫游场景中时，终端想要连接该终端所在地的运营商网络时，因此，来自该终端所在地的运营商网络的鉴权请求会通过第一网络传输给智能卡管理装置，最终在智能卡管理装置上完成这个过程，并返回给终端，以使得终端借助于智能卡管理装置中的SIM卡连接终端所在地的第二网络。

应说明的是，第一网络可为漫游之前终端归属地的运营商网络，第二网络为终端在漫游之后终端所在地的运营商网络，终端要连接第二网络，可基于第一网络与智能卡管理装置通信，完成第二网络的接入。

实施例二

另外，由于在实施例一种智能卡管理装置的数量过多时，当前互联网环境中可用的公网IP地址比较少，为此，为每一个智能卡管理装置分配一个长久使用的公网IP地址不太现实，本实施例提供另外一种分布式管理***，如图3A、图3B和图3C所示。将位于IDC机房中代理模块搬出，并进行分布式部署，且为搬出IDC机房的每一个代理模块预先配置公网IP地址，由于一个代理模块可以连接多个智能卡管理装置，将多个智能卡管理装置配置内网地址，由此可以减少配置在智能卡管理装置的公网IP地址，还可以实现智能卡管理装置的灵活部署，同时优化智能卡管理装置与终端之间的网络路由，并有效降低运营成本。

如图3A至图3C所示，本实施例提供另一种智能卡管理装置的分布式管理***的架构图，本实施例分布式管理***包括：属于服务中心的业务服务装置、多个智能卡管理装置、多个终端。

本实施例中的业务服务装置包括业务服务中心和两个以上的代理模块，所述每一个终端和智能卡管理模块在业务服务中心注册之后，通过业务服务中心分配的代理模块实现智能卡管理装置对终端的鉴权处理，以使所述终端接入该终端所在地的网络即第二网络。

在代理模块为多个时，业务服务中心位于IDC机房中，所述代理模块根据终端所在区域进行分布式部署，且每一代理模块具有预先配置的公网IP地址。

在具体实现过程中，假设代理模块属于部署在欧洲区域的节点(称为欧洲节点)，此时，连接欧洲节点的每一个智能卡管理装置部署在欧洲区域的各个局域网中即具有内网的IP地址，进而具有公网IP地址的代理模块便于将终端和智能卡管理装置的数据进行转发或交换，实现智能卡管理装置与终端之间的P2P(点对点/端到端)通信。可理解的是，本实施例中的公网地址即为公网IP地址，为了更好的说明，在部分描述中使用公网地址，部分描述中使用公网IP地址。

如图3C所示，假定在全球范围内提供四个节点的部署，如设置四个代理模块，该四个代理模块可包括：作为亚太节点的代理模块(设置在亚太区域)、作为拉美节点的代理模块(设置在拉美区域)、作为日韩节点的代理模块(设置在日韩区域)和作为欧洲节点的代理模块(设置在欧洲区域)。本实施例不对代理模块的数量进行限定，可根据实际需要设置代理模块的数量及部署的区域。

在图3C中，连接业务服务中心的所有代理模块构成星形拓扑结构，任意两个代理模块之间互联互通。业务服务中心可以是一个全球多节点部署的服务平台，在本实施例中，业务服务中心可位于一个服务提供商的云端或混合云中。

全球各节点的代理模块启动后需要连接至业务服务中心(即下述的代理模块的注册过程)，这样服务中心便可以清楚地了解各个代理模块的位置及活动状态。进一步地，业务服务中心动态地给每个代理模块更新其他代理模块的位置，令其相互了解彼此的存在。

在商用环境中，通常都会有很多个智能卡管理装置，而智能卡管理装置需要尽能的“靠近”终端，在非完全锥形NAT网络环境下，智能卡管理装置与终端通信需要依赖代理模块完成，因此代理模块也有必要进行分布式部署。

由此，上述的分布式管理***实现了将智能卡管理装置“搬离”IDC机房的操作，为其分布式部署提供现实条件。在一些实施例中，智能卡管理装置还可以放在用户家里甚至可以随身携带。

实施例三

为了更好的理解增加代理模块的网元后的分布式管理***的通信过程，以下结合图4A至图7进行说明，图4A和图4B示出了两种整体交互过程的信令图，图5示出了业务服务中心作为执行主体的流程图，图6示出了代理模块作为执行主体的流程图，图7示出的代理模块作为中继器的部分流程图。

可说明的是，在分布式管理***中各网元的初始化过程中，智能卡管理装置、终端分别与业务服务中心之间初始注册的过程与现有方案基本相同，而智能卡管理装置与终端之间交互的过程则通过代理模块完成。

在本实施例中，代理模块可依据智能卡管理装置与终端所处的网络环境，可选择实现两种功能中的一种：一、中继器(代理服务器)；二、P2P连接交换器。

也就是说，在非完全锥形NAT的网络环境下终端访问智能卡管理装置需要通过代理模块，此时的代理模块可实现的是中继器的功能；

在完全锥形NAT网络环境下代理模块可将智能卡控制装置与终端的地址进行交换，之后智能卡管理装置与终端进行直接交互，即代理模块实现了P2P连接交换器的功能。

由此，上述的代理模块实现了智能卡管理装置与终端之间的P2P通信。

如图4A和图5所示，本实施例的管理方法的执行主体为业务服务中心，该管理方法可包括：

A1、业务服务中心接收每一智能卡管理装置上报的智能卡信息和该智能卡管理装置的位置信息。

举例来说，智能卡信息可包括：智能卡的IMSI、ICCID等其他卡内文件信息；智能卡在智能卡管理装置上的编号；智能卡管理装置的序列号，网络地址等。

该智能卡管理装置的位置信息可为网络地址信息。

A2、业务服务中心接收每一代理模块发送的注册请求，所述注册请求可包括发送注册信息的代理模块标识和位置信息。

在本实施例中，注册请求可包括：代理模块的序列号和校验码等信息。代理模块的位置信息主要是网络地址信息(即公网入口)，本实施例中可根据网络地址信息确定预先配置的其他信息。

A3、业务服务中心根据代理模块的位置信息、智能卡管理装置的位置信息，向各代理模块返回该代理模块用于服务的智能卡管理装置的信息，以使各代理模块根据智能卡管理装置的信息开启接入服务。

可理解的是，业务服务中心会根据预先配置的代理模块分配策略进行分配。

A4、业务服务中心在接收代理模块返回的接入服务开启的信息后，向各智能卡管理装置推送用于服务的代理模块的地址信息(如具有公网IP的网络地址信息)，以使所述智能卡管理装置在对应的代理模块中注册。

A5、业务服务中心接收所述代理模块反馈的代理模块服务的所有智能卡管理装置的接入服务入口信息及接入状态。

通常的接入状态可为正常状态和非正常状态等。该接入服务入口信息可为用于终端可识别接入的具有公网入口的IP地址、接入端口等信息。

A6、业务服务中心接收终端发送的用于申请智能卡资源的申请请求，所述申请请求包括：终端的位置信息。

举例来说，终端的位置信息可为该终端当前所在的地理位置，如经纬度信息等。

通常，申请请求还可包括：终端所在地的运营商网络信息等。

A7、业务服务中心根据位置信息分配智能卡管理装置的接入服务入口信息及代理模块的网络地址信息；以使终端接入代理模块之后与智能卡管理装置交互，接入第二网络。

在实际应用中，业务服务中心接收代理模块的注册和智能卡管理装置的注册其不区分先后顺序，先接收智能卡管理装置的注册，或者先接收代理模块的注册均可，在图4A和图4B中示出的均是智能卡管理装置先向业务服务中心注册的过程均为举例说明。

如图4B和图6所示，本实施例的管理方法的执行主体为代理模块，该管理方法可包括：

S1、代理模块向业务服务中心注册，并获取该代理模块用于服务的智能卡管理装置的信息，以及与用于服务的智能卡管理装置交互，获取智能卡管理装置用于服务终端的接入服务入口信息，并将接入服务入口信息发送业务服务中心。

在具体应用中，该步骤S1可包括下述的子步骤：

S11、所述代理模块向业务服务中心发送注册请求，所述注册请求包括该代理模块的标识和位置信息；

S12、所述代理模块接收所述业务服务中心反馈的注册响应及该代理模块用于服务的智能卡管理装置的信息，并根据智能卡管理装置的信息开启接入服务。

S13、所述代理模块接收智能卡管理装置发起的接入注册消息，所述接入注册消息为该智能卡管理装置根据业务服务中心推送的所述代理模块的地址信息发送的消息。

在具体应用中，智能卡管理装置还可在接入注册消息中携带该智能卡管理装置的网络环境状态信息。

通常，接入注册消息可包括：该智能卡管理装置内的智能卡信息及其序列号等信息。

S14、所述代理模块根据所述接入注册消息反馈注册状态信息，建立与智能卡管理装置的连接，并向所述业务服务中心同步所述智能卡管理装置的接入状态及用于服务终端的接入服务入口信息。

本实施例中的接入服务入口信息及包括具有公网入口的IP信息、端口的信息等。

S2、代理模块接收终端发送的用于向智能卡管理装置进行鉴权的鉴权请求，所述鉴权请求为终端接收业务服务中心分配的接入服务入口信息和代理模块的地址信息后发送的，该鉴权请求包括，业务服务中心确定的与终端配对的智能卡信息。

在一种可选的实现方式中，终端还可向代理模块发送的是连接请求，该连接请求中携带用于进行鉴权的信息，以及携带终端所处的网络环境状态信息。

或者，上述的鉴权请求中携带鉴权的信息和终端所处的网络环境状态信息。

终端或智能卡管理装置可通过STUN(Simple Traversal of UDP over NATs，NAT的UDP简单穿越)协议实现对自身网络环境的检测。

S3、代理模块依据智能卡信息查找所属的智能卡管理装置，以使所述智能卡管理装置对所述鉴权请求进行处理，使得所述终端接入第二网络。

在实际应用中，代理模块可根据图4A中框线所示的流程实现智能卡管理装置和终端之间的通信，或者，代理模块可根据图4B中框线所示的流程实现智能卡管理装置与终端之间的通信。

举例来说，所述S3可包括：

S31、所述代理模块根据预先获取的所述智能卡管理装置与所述终端所处的网络环境，判断所述智能卡管理装置和所述终端是否均处于完全锥形的NAT网络环境。

说明的是，完全锥形(Full Cone NAT)是NAT网络的一种情形。P2P通信是指点对点、端对端的通信。在完全锥形环境下的两个终端设备可以直接连接通信，对于不是在这种网络环境下的设备可以通过中间代理的模式实现通信，在本实施例中也成为P2P通信。

S32、若是，则将智能卡管理装置的地址信息发送所述终端，将所述终端的地址信息发送所述智能卡管理装置，以使所述终端和所述智能卡管理装置进行P2P通信，以对终端进行鉴权处理；如图7所示；

S33、在智能卡管理装置和终端中存在一个不处于完全锥形的 NAT网络环境中时，所述代理模块将所述鉴权请求转发查找到的智能卡管理装置；

S34、所述代理模块接收所述智能卡管理装置对鉴权请求的处理结果，并将处理结果发送所述终端，以使所述终端接入第二网络；

可理解的是，智能卡管理装置的网络环境为所述智能卡管理装置发起接入注册消息时携带的信息；

进一步地，上述图4A至图6任一所示的方法可包括下述的图中未示出的步骤：

S4、代理模块周期性向业务服务中心发送包括该代理模块状态的心跳信息；

S5、代理模块接收到非代理模块所属区域的终端发送的连接请求时，所述代理模块根据所述连接请求，向业务服务中心发送该终端所属区域的代理模块发生故障的信息。

如图3C和图8所示，每个代理模块都与服务中心进行连接，每个代理模块也会其他三个代理模块进行连接，这样所有的代理模块就形成一个网状拓扑构，而业务服务中心与代理模块间则是星形拓扑结构。因此，当代理模块中的某一个节点发生故障时，一方面除了业务服务中心与其他代理模块间可以及时地感知到故障并迅速动态地支撑故障节点的相应业务，而使用终端的用户无感知地平滑过渡故障外，另一方面也可以多方地向运维人员告警提示风险并加以恢复。

假设欧洲节点的代理模块发生了故障。此时，可以从三方面(即终端、业务服务中心、其他代理模块)得知此异常情况。

由于图2A和图2B所示的架构上智能卡管理装置也与服务中心进行连接，则有四个方面(即终端、业务服务中心、其他代理模块、智能卡管理装置)可以得知“欧洲节点”发生异常的事实。因此，任一个代理模块故障的误报率是非常低的。

在具体实现过程中，每一终端上可预置有所有代理模块的位置信息(即公网IP地址信息)，当其默认代理模块不可用时，依次切换其他节点；

当智能卡管理装置与终端均预置了所有代理模块的公网IP地址信息时，智能卡管理装置启动后会与所有代理模块进行连接。当某一代理模块发生故障时，终端可以自己触发转接至其他代理模块，而智能卡管理装置本身已与其他所有代理模块有连接，因此只要终端连接上其他代理模块之后，便可以与其最为邻近的智能卡管理装置进行通信。

另一种可能的实现方式是，终端在连接故障的代理模块时，可将代理模块异常情况通报给业务服务中心，由业务服务中心调配信息，进而实现动态路由。

以图8为例，假如“欧洲节点”发生故障后，此欧洲节点与外部的所有连接均被中断(在图8中采用虚线表示故障的“欧洲节点”，同时采用虚线表示中断的所有连接)。此时业务服务中心可以检查到异常(如业务服务中心根据各代理模块反馈的心跳信息检查是否异常)，其他网元(智能卡管理装置、终端、其他正常代理模块)也会告警此事件。此时便可以通知运维人员进行问题排查。

与此同时，当终端检测到其无法连接上其默认的“欧洲节点”代理模块时，其根据预置的代理模块的信息将服务请求发往“亚太节点”。由于“亚太节点”先前已经与欧洲节点正常连接并交换了信息，并且智能卡管理装置同样与其有连接。此时“亚太节点”代理模块直接将终端的服务请求转发至智能卡管理装置即可。

在具体实现中，可以提前在智能卡管理装置及终端预置所有代理模块位置信息，并将所有代理模块互连。

在实际应用中，本实施例提供以下的连接策略：

1)每个代理模块仅与最多8个其他代理模块相连；

2)每个智能卡管理装置及终端仅与两个代理模块相连。

这样有效降低整体分布式管理***的网络复杂度。

在本实施例中，分布式部署的代理模块可实现互联互通，当部分代理模块出现故障时，网络内的其他正常代理模块节点可迅速成为故障节点灾备节点，继续为终端提供服务，从而可以实现为终端提供持续服务，还可以优化服务质量。

本实施例中的终端还用于会记录每一次鉴权请求所消耗的时间、鉴权时间、终端地址位置、所使用的代理模块等信息，周期性对记录的信息上传给业务服务中心，业务服务中心根据终端周期性上传的信息可对代理模块进行综合评价。

本发明实施例的分布式管理***除了节点故障外，对于优化***服务质量，动态地调节终端与代理模块的绑定关系，从而实现动态路由，最优化服务质量。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的实施例中，应该理解到，方法实施例的步骤之间除非存在明确的先后顺序，否则执行顺序可任意调整。所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。

虽然结合附图描述了本发明的实施方式，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims

一种智能卡管理装置的分布式管理***，其特征在于，包括：

属于服务中心的业务服务装置、多个智能卡管理装置、多个终端；

所述业务服务装置包括业务服务中心和至少一个代理模块，每一个终端和智能卡管理模块在业务服务中心注册之后，通过业务服务中心分配的代理模块实现智能卡管理装置对终端的鉴权处理，以使所述终端接入该终端所在地的网络；

其中，为终端进行鉴权处理的智能卡管理装置位于终端所在的区域，且每一代理模块连接多个分布式部署的智能卡管理装置。
根据权利要求1所述的分布式管理***，其特征在于：

所述代理模块为一个时，所述代理模块和业务服务中心均位于IDC机房中共用一个公网地址，位于终端所在区域的每一个智能卡管理装置具有预先配置的公网地址。
根据权利要求1所述的分布式管理***，其特征在于：

在代理模块为多个时，所述业务服务中心位于IDC机房或云端，所述代理模块根据终端所在区域进行分布式部署，且每一代理模块具有预先配置的公网地址；

每一代理模块连接的每一个智能卡管理装置配置有内网地址，且该代理模块实现为终端进行鉴权处理的智能卡管理装置与该终端进行点对点通信。
根据权利要求3所述的分布式管理***，其特征在于：

所述代理模块还用于转发所述智能卡管理装置与业务服务中心之间的交互数据；

连接业务服务中心的所有代理模块构成星形拓扑结构，任意两个代理模块之间互联互通，和/或，业务服务中心位于服务提供商的云端或混合云中。
一种分布式管理***的管理方法，其特征在于，所述分布式管理***包括：连接业务服务中心的分布式部署的多个具有公网地址的代理模块，每一代理模块连接多个配置有内网地址的智能卡管理装置，多个用于接入所在地网络的终端，所述管理方法包括：

S1、所述代理模块向业务服务中心注册，并获取该代理模块用于服务的智能卡管理装置的信息，以及与用于服务的智能卡管理装置交互，获取智能卡管理装置用于服务终端的接入服务入口信息，并将接入服务入口信息发送业务服务中心；

S2、所述代理模块接收终端发送的用于向智能卡管理装置进行鉴权的鉴权请求，所述鉴权请求为终端接收业务服务中心分配的接入服务入口信息和代理模块的地址信息后发送的，该鉴权请求包括，业务服务中心确定的与终端配对的智能卡信息；

S3、所述代理模块依据智能卡信息查找所属的智能卡管理装置，以使所述智能卡管理装置对所述鉴权请求进行处理，使得所述终端接入该终端所在地的网络。
根据权利要求5所述的管理方法，其特征在于，S1包括：

所述代理模块向业务服务中心发送注册请求，所述注册请求包括该代理模块的标识和位置信息；

所述代理模块接收所述业务服务中心反馈的注册响应及该代理模块用于服务的智能卡管理装置的信息，并根据智能卡管理装置的信息开启接入服务；

所述代理模块接收智能卡管理装置发起的接入注册消息，所述接入注册消息为该智能卡管理装置根据业务服务中心推送的所述代理模块的地址信息发送的消息；

所述代理模块根据所述接入注册消息反馈注册状态信息，建立与智能卡管理装置的连接，并向所述业务服务中心同步所述智能卡管理装置的接入状态及用于服务终端的接入服务入口信息。
根据权利要求6所述的管理方法，其特征在于，所述S3包括：

所述代理模块根据预先获取的所述智能卡管理装置与所述终端所处的网络环境，判断所述智能卡管理装置和所述终端是否均处于完全锥形的NAT网络环境；

若是，则将智能卡管理装置的地址信息发送所述终端，将所述终端的地址信息发送所述智能卡管理装置，以使所述终端和所述智能卡管理装置进行直接通信，以对终端进行鉴权处理；

否则，所述代理模块将所述鉴权请求转发查找到的智能卡管理装置；

所述代理模块接收所述智能卡管理装置对鉴权请求的处理结果，并将处理结果发送所述终端，以使所述终端接入所述网络；

其中，智能卡管理装置的网络环境为所述智能卡管理装置发起接入注册消息时携带的信息；

所述终端的网络环境为所述终端发起鉴权请求时携带的信息。
根据权利要求6所述的管理方法，其特征在于，所述方法还包括：

所述代理模块周期性向业务服务中心发送包括该代理模块状态的心跳信息；

和/或，

所述代理模块接收到非代理模块所属区域的终端发送的连接请求时，所述代理模块根据所述连接请求，向业务服务中心发送该终端所属区域的代理模块发生故障的信息。
一种分布式管理***的管理方法，其特征在于，所述分布式管理***包括：连接业务服务中心的分布式部署的多个具有公网地址的代理模块，每一代理模块连接多个配置有内网地址的智能卡管理装置，多个用于接入所在地网络的终端，所述管理方法包括：

A1、业务服务中心接收每一智能卡管理装置上报的智能卡信息和该智能卡管理装置的位置信息；

A2、业务服务中心接收每一代理模块发送的注册请求，所述注册请求包括发送注册信息的代理模块的标识和位置信息；

A3、所述业务服务中心根据代理模块的位置信息、智能卡管理装置的位置信息，向各代理模块返回该代理模块用于服务的智能卡管理装置的信息，以使各代理模块根据智能卡管理装置的信息开启接入服务；

A4、所述业务服务中心在接收代理模块返回的接入服务开启的信息后，向各智能卡管理装置推送用于服务的代理模块的地址信息，以使所述智能卡管理装置在对应的代理模块中注册；

A5、所述业务服务中心接收所述代理模块反馈的代理模块服务的所有智能卡管理装置的接入服务入口信息及接入状态；

A6、所述业务服务中心接收终端发送的用于申请智能卡资源的申请请求，所述申请请求包括：终端的位置信息和终端所在地的运营商网络信息；

A7、所述业务服务中心根据申请请求分配智能卡管理装置的接入服务入口信息及代理模块的地址信息；以使终端接入代理模块之后与其连接的智能卡管理装置交互，接入终端所在地的网络。
根据权利要求9所述的管理方法，其特征在于，所述方法还包括：

所述业务服务中心根据互联互通策略，向注册的代理模块发送第一预设数量的相邻代理模块的地址信息，以使所述代理模块与相邻的代理模块连通；

和/或，

所述业务服务中心根据互联互通策略，向注册的智能卡管理装置或终端发送第二预设数量的代理模块的地址信息及优先级信息，以使智能卡管理装置或终端存储第二预设数量的代理模块的地址信息，并根据优先级信息选择一个代理模块连接。