CN100574237C - 代理接入方法、控制网络设备以及代理接入系统 - Google Patents
代理接入方法、控制网络设备以及代理接入系统 Download PDFInfo
- Publication number
- CN100574237C CN100574237C CNB2007101030502A CN200710103050A CN100574237C CN 100574237 C CN100574237 C CN 100574237C CN B2007101030502 A CNB2007101030502 A CN B2007101030502A CN 200710103050 A CN200710103050 A CN 200710103050A CN 100574237 C CN100574237 C CN 100574237C
- Authority
- CN
- China
- Prior art keywords
- access
- terminal equipment
- network devices
- network device
- control network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种代理接入方法,在接入发起端和被接入端之间设置控制网络设备,该方法包括:控制网络设备接收来自于接入发起端的接入请求,根据被接入端可识别的网络协议对该接入请求进行协议转换,并将该接入请求的源地址修改为自身的网络地址,再将所述接入请求发送给被接入端。本发明还公开了一种包括通讯模块和控制模块的控制网络设备,以及包括接入发起端、控制网络设备和被接入端的代理接入系统。采用本发明的技术方案,控制网络设备对来自于接入发起端的信息进行协议转换,使得来自于接入发起端的信息能够为被接入端所识别,从而保证接入发起端和被接入端能够实现正常顺利的互通。
Description
技术领域
本发明涉及网络通信技术,尤其涉及代理接入方法以及代理接入系统。
背景技术
网络通信技术以及计算机技术的快速发展,使得人们能够将分散在各处的终端设备联系在一起,组成各种网络,以便相互交换信息。为了能够有效地管理网络中的终端设备,通常还设置有管理设备,对其所管辖的终端设备进行统一规划和调度等。由于需要联网的终端设备数目众多,而管理设备上仅具有有限数目的接口,因此在管理设备和终端设备之间设置起代理作用的中间网络设备。目前将上述由管理设备、中间网络设备和终端设备组成的网络系统称为代理接入系统。
按照接入发起端划分,代理接入系统通常包括管理设备主动接入和终端设备主动接入两种类型。在管理设备主动接入类型中,接入发起端是管理设备,被接入端包括中间网络设备和终端设备;在终端设备主动接入类型中,接入发起端包括中间网络设备和终端设备,被接入端是管理设备。
图1示出了现有的管理设备主动接入类型的代理接入系统的结构示意图。参见图1,该系统中的管理设备和中间网络设备通过诸如远程登陆(telnet)、安全壳(ssh)、远程登陆(rlogin)或者分组汇集(pad)等公共网络协议规定的方式进行连接;各终端设备通过同步或者异步方式连接到中间网络设备的对应端口上。为保证该系统的正常运行,管理设备和中间网络设备预先通过交互来获得对方的IP地址,激活管理设备和中间网络设备间的连接,并且中间网络设备还将各终端设备对应的端口信息告知管理设备。当管理设备与中间网络设备间采用telnet、ssh、rlogin或者pad方式连接、中间网络设备与终端设备之间采用异步方式连接时,该系统被称为是反向telnet系统、反向ssh系统、反向rlogin系统或者反向pad系统。
该系统在接入过程中,管理设备首先确定要接入的终端设备,然后根据中间网络设备的IP地址以及该终端设备的端口信息,接入到中间网络设备的该端口上。这样,管理设备与一个终端设备之间建立了通信通道。此后,管理设备可以利用公共网络协议,将数据传输到中间网络设备的对应端口上,中间网络设备再利用同步或者异步的方式,将数据转发给终端设备;并且终端设备也可以利用同步或者异步的方式将数据传送给中间网络设备上的这一端口,中间网络设备再利用公共网络协议将数据转发给管理设备。
图2示出了现有的终端设备主动接入类型的代理接入系统的结构示意图。参见图2,该系统中的管理设备为前置机,并且前置机与中间网络设备之间通过互联网协议(IP)网络连接,中间网络设备通过诸如同步或异步方式、IP网络、拨号方式或者X.25网络等方式连接。与图1中的代理接入系统类似,这里的前置机和中间网络设备之间也相互知晓对方的IP地址。在接入过程中,终端设备首先向中间网络设备发出接入请求,请求接入到前置机上;在中间网络设备确定该终端设备为首次接入时,与前置机协商该终端设备对应的终端号;在就终端号达成一致后,中间网络设备通知终端设备接入成功。此后,终端设备可以将数据发送给中间网络设备,中间网络设备根据前置机的IP地址,进行数据转发,同时指明该终端设备对应的终端号,前置机根据接收到的终端号确定数据的来源;前置机也可以根据中间网络设备的IP地址,将数据发送给中间网络设备,并指明该数据目的地的终端号,中间网络设备根据接收到的终端号,将数据转发给对应的终端设备。
对于上述图1和图2中的代理接入系统,接入发起端与被接入端之间必须互相知晓对方的IP地址,并且使用相同的网络协议,以便保证正常通信。换言之,管理设备与中间网络设备处于广域网之中、中间网络设备和终端设备处于局域网之中,并三者按照同样的协议进行互通。然而在实际的情况中,许多厂商都按照自己的网络协议执照管理设备、中间网络设备和终端设备。那么,在组网时,如果选择网络协议不同的设备,则上述的代理接入系统无法实现正常的通信,从而导致组网的局限性较强。
发明内容
有鉴于此,本发明提供一种代理接入方法,能够保证接入发起端和被接入端的正常通信。
在本发明的代理接入方法中,在接入发起端和被接入端之间设置控制网络设备,该方法包括:
所述控制网络设备预先确定被接入端可识别的网络协议,并进行保存;
所述控制网络设备接收来自于接入发起端的接入请求,根据接收到的接入请求确定接入发起端使用的网络协议,在所述接入发起端使用的网络协议无法被所述被接入端识别时,从所保存的被接入端可识别的网络协议中进行选择,将所述接入请求转换为符合所选择的网络协议的格式,并将该接入请求的源地址修改为自身的网络地址,再并将所述接入请求发送给被接入端。
其中,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备,
所述控制网络设备接收来自于接入发起端的接入请求之前,进一步包括:中间网络设备将终端设备信息发送给所述控制网络设备,控制网络设备在自身建立中间网络设备与终端设备的对应关系;
所述将接入请求发送给被接入端为:控制网络设备根据接收到的接入请求确定要接入的终端设备,根据所述中间网络设备与终端设备的对应关系,确定所述该终端设备对应的中间网络设备,并将所述接入请求发送给所确定的中间网络设备,中间网络设备再将接收到的接入请求转发给该终端设备。
其中,在所述控制网络设备接收来自于接入发起端的接入请求之前,并在所述中间网络设备将终端设备信息发送给所述控制网络设备,控制网络设备在自身建立中间网络设备与终端设备的对应关系之后,进一步包括:
控制网络设备将终端设备信息提供给管理设备,管理设备根据所述终端设备信息选择要接入的终端设备,并向控制网络设备发送携带有要接入的终端设备信息的接入请求。
其中,所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备,
所述控制网络设备接收来自于接入发起端的接入请求之前,进一步包括:中间网络设备将终端设备信息发送给控制网络设备,控制网络设备建立中间网络设备与终端设备的对应关系,并将终端设备信息提供给管理设备,管理设备在自身建立终端设备与虚拟设备的对应关系;
所述将接入请求发送给被接入端之后,进一步包括:管理设备根据接收到的接入请求确定发起接入的终端设备,并将所述终端设备对应的虚拟设备置于运行状态。
其中,所述中间网络设备将终端设备信息发送给所述控制网络设备之前,进一步包括:中间网络设备确定终端设备在自身的端口,根据所确定的端口,为所述终端设备分配终端标识,并将所分配的终端标识作为所述终端设备信息。
其中,所述终端标识包括:随机数和终端设备在中间网络设备上的端口号;或者,随机数、终端设备在中间网络设备上的端口号和中间网络设备的媒体接入控制mac地址。
其中,所述终端设备信息包括:终端设备的终端标识;
所述中间网络设备将终端设备信息发送给所述控制网络设备之前,进一步包括:中间网络设备确定终端设备在自身的端口;
所述将终端设备信息发送给控制网络设备为:将终端设备号和在中间网络设备上的端口号作为终端设备的终端标识发送给控制网络设备;
所述建立中间网络设备与终端设备的对应关系之前,并在所述中间网络设备将终端设备的第一信息发送给控制网络设备之后,进一步包括:控制网络设备确定终端设备在自身的监听端口,并将监听端口号作为所述终端设备的终端标识;
将终端设备信息提供给管理设备为:将所述由监听端口号表示的终端设备的终端标识提供给管理设备。
其中,所述将终端设备信息发送给控制网络设备之前,进一步包括:控制网络设备对中间网络设备进行合法性验证,并在通过验证时,执行所述将终端设备信息发送给控制网络设备;
和/或,所述将终端设备信息提供给管理设备之前,进一步包括:控制网络设备对管理设备进行合法性验证,并在通过验证时,执行所述将终端设备信息提供给管理设备。
其中,该方法进一步包括:中间网络设备检测到自身的IP地址发生变化时,将变化后的IP地址发送给所述控制网络设备,控制网络设备更新自身记录的中间网络设备的IP地址。
其中,该方法进一步包括:控制网络设备按照预先确定的周期,检测所述中间网络设备或终端设备的连接状态,当确定所述中间网络设备或终端设备处于断开连接状态时,删除所述中间网络设备与终端设备的对应关系。
其中,所述将接入请求发送给被接入端之后,进一步包括:控制网络设备接收来自于被接入端的接入响应,根据接入发起端可识别的网络协议对该响应进行协议转换,并将该响应的源地址修改为自身的网络地址,再将接入响应发送给接入发起端。
其中,所述网络地址为:控制网络设备的IP地址或mac地址。
本发明还提供一种控制网络设备,能够保证接入发起端和被接入端的正常通信。
在本发明的控制网络设备中,包括:存储模块、通讯模块和控制模块,其中,
所述存储模块保存有被接入端可识别的网络协议以及所述控制网络设备的网络地址;
所述通讯模块接收来自于接入发起端的接入请求,将该接入请求发送给控制模块;接收来自于控制模块的接入请求,并将该接入请求发送给被接入端;
所述控制模块接收来自于通讯模块的接入请求,从存储模块中读取被接入端可识别的网络协议,根据接收到的接入请求确定接入发起端使用的网络协议,在所述接入发起端使用的网络协议无法被所述被接入端识别时,从所读取的被接入端可识别的网络协议中进行选择,将所述接入请求转换为符合所选择的网络协议的格式,从存储模块中读取所述网络设备的网络地址,并将该接入请求的源地址修改为自身的网络地址,再将所述接入请求发送给通讯模块。
其中,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备;或者所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备;
所述通讯模块进一步接收来自于中间网络设备的终端设备信息,将中间网络设备信息以及接收到的终端设备信息发送给控制模块,接收来自于控制模块的终端设备信息,并将接收到的终端设备信息发送给管理设备;
所述控制模块建立中间网络设备信息和终端设备信息的对应关系,将该对应关系发送给存储模块,并且从存储模块中读取所存储的所有终端设备信息,将读取到的终端设备信息发送给通讯模块;
所述存储模块进一步保存中间网络设备信息和终端设备信息的对应关系。
其中,所述终端设备信息包括:终端设备的终端标识;
所述控制模块进一步用于确定各终端设备在控制网络设备上对应的监听端口,将该监听端口信息作为终端设备的终端标识。
其中,所述控制网络设备进一步包括:验证模块,用于接收来自于通讯模块的接入发起端或被接入端的验证信息,从存储模块中读取合法的接入发起端或被接入端验证信息,根据读取到的验证信息和接收到的验证信息,对接入发起端或被接入端进行合法性验证,并将验证结果发送给通讯模块;
所述通讯模块进一步接收来自于接入发起端或被接入端的验证信息,将接收到的验证信息发送给验证模块,接收来自于验证模块的验证结果,并在该验证结果表明通过验证时,向接入发起端或被接入端指明验证成功。
其中,所述通讯模块进一步接收来自于被接入端的接入响应,将该接入响应发送给控制模块;接收来自于控制模块的接入响应,并将该接入响应发送给接入发起端;
所述控制模块接收来自于通讯模块的接入响应,根据接入发起端可识别的网络协议对该响应进行协议转换,并将该接入响应的源地址修改为自身的网络地址,再将接入响应发送给通讯模块。
本发明还提供一种代理接入系统,能够保证接入发起端和被接入端的正常通信。
在本发明的代理接入系统中,包括:接入发起端、控制网络设备以及被接入端,其中,
所述控制网络设备预先确定被接入端可识别的网络协议,并进行保存;
所述接入发起端将接入请求发送给所述控制网络设备;
所述控制网络设备根据接收到的接入请求确定接入发起端使用的网络协议,确定所述接入发起端使用的网络协议无法被所述被接入端识别时,从所保存的被接入端可识别的网络协议中进行选择,根据所选择的网络协议对接收到的接入请求进行协议转换,并将该接入请求中的源地址修改为自身的网络地址,再将所述接入请求发送给所述被接入端。
其中,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备,或者所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备。
应用本发明,能够保证接入发起端和被接入端的正常通信。具体而言,本发明具有如下有益效果:
1.本发明中,控制网络设备对来自于接入发起端的信息进行协议转换,使得来自于接入发起端的信息能够为被接入端所识别,这样,消除了接入发起端和被接入端之间存在的网络协议的阻隔,避免因网络协议不同而带来的信息无法识别,从而保证接入发起端和被接入端能够实现正常顺利的互通。
2.由于控制网络设备对来自于接入发起端的信息进行了地址转换,将接入发起端的地址信息保留于自身和接入发起端之间的网络内,从而在接入发起端和被接入端之间起到隔离作用,有效地降低了接入发起端和被接入端的网络地址被盗取的几率,因此能够在很大程度上提高代理接入的安全性。
3.在本发明实施例中,在中间网络设备和管理设备与控制网络设备建立连接之前,控制网络设备对中间网络设备和管理设备的合法性进行验证,只有通过验证时,才允许建立连接。这样,企图冒充中间网络设备或管理设备的非法设备无法与控制网络设备建立连接,从而控制网络设备屏蔽了发往中间网络设备和管理设备的非法攻击,进一步提高代理接入的安全性。
4.本发明实施例中,每当中间网络设备的IP地址发生改变,均会向控制网络设备发送携带有新IP地址和mac地址的地址更新通知,控制网络设备根据接收到的地址更新通知,找到该mac地址对应的各条记录,利用新IP地址替换这些记录中的IP地址。这样,在中间网络设备的IP地址不固定的情况下,控制网络设备能够与中间网络设备正常通信,那么管理设备也能够顺利接入到终端设备上。
5.本发明根据终端设备在中间网络设备或者控制网络设备上的端口,为终端设备确定唯一的终端标识,从而使得对终端设备的区分完全脱离中间网络设备的IP地址,从而能够进一步保证中间网络设备具有动态IP地址情况下的正常接入。
附图说明
图1为现有的管理设备主动接入类型的代理接入系统的结构示意图。
图2为现有的终端设备主动接入类型的代理接入系统的结构示意图。
图3为本发明实施例1中代理接入系统的结构示意图。
图4为本发明实施例1中代理接入方法的流程图。
图5为本发明实施例1中代理接入系统的结构示意图。
图6为本发明实施例1中代理接入系统的另一种结构示意图。
图7为本发明实施例2中代理接入方法的流程图。
具体实施方式
为使本发明的目的、技术方案更加清楚明白,以下参照附图并举实施例,对本发明做进一步的详细说明。
本发明的基本思想在于,在接入发起端和被接入端之间增加控制网络设备,该网络控制设备接收到来自于接入发起端的接入请求后,对该接入请求进行网络协议的转换以及源地址的修改,并将转换并修改后的接入请求发送给被接入端。对于控制网络设备而言,可以包括通讯模块和控制模块。其中,通讯模块接收来自于接入发起端的接入请求,将该接入请求发送给控制模块;接收来自于控制模块的接入请求,并将该接入请求发送给被接入端。控制模块接收来自于通讯模块的接入请求,根据被接入端可识别的网络协议对该接入请求进行协议转换,并将该接入请求的源地址修改为自身的网络地址,再将所述接入请求发送给通讯模块。
本发明中,当接入发起端是管理设备时,被接入设备包括中间网络设备和终端设备;另一方面,当接入发起端包括中间网络设备和终端设备时,被接入设备是管理设备。下面通过两个实施例来分别说明依据上述基本思想的两种代理接入系统。
实施例1
本实施例针对管理设备主动发起接入类型的代理接入系统。图3示出了本实施例中代理接入系统的结构示意图。参见图3,该系统中包括:管理设备、控制网络设备、中间网络设备和终端设备。其中管理设备和控制网络设备具有固定的IP地址;管理设备在发起接入时指明要接入的终端设备标识,控制网络设备在将管理设备的信息转发给中间网络设备之前,将该信息转换为中间网络设备和终端设备能够识别的网络协议的格式,并将源IP地址修改为自身的IP地址。这样,本实施例中除了保证管理设备与中间网络设备和终端设备的正常通信之外,管理设备仅与控制网络设备直接通信,并且控制网络设备的数目远小于中间网络设备的数目,因此中间网络设备的IP地址被盗取的几率大大降低,从而接入过程的安全性有所提高。
本实施例在执行接入时,控制网络设备接收到来自于管理设备的接入终端设备的请求后,根据被接入端可识别的网络协议对该接入请求进行协议转换,并将该请求的源IP地址修改为自身的网络地址,再将该接入请求通过中间网络设备转发给对应的终端设备。
图4示出了本实施例中代理接入方法的流程图。参见图4,该方法包括:
在步骤401中,中间网络设备确定终端设备在自身的端口,并且根据所确定的端口,为终端设备分配终端标识。
在代理接入系统中,每个中间网络设备都通过同异步方式与多个终端设备相连,并且中间网络设备上的每个同异步端口均对应一个终端设备。这样,可以根据中间网络设备上的端口,为对应的终端设备分配唯一的终端标识。
本步骤中,可以采用随机数+端口号的形式,为每个终端设备分配终端标识,例如:32f32001,其中前五位为随机数,后三位为端口号为该终端设备对应的端口号。当然,也可以将中间网络设备的媒体接入控制(mac)地址加入到终端标识中,即采用5位随机数+12位中间网络设备mac地址+3位端口号的形式;还可以在中间网络设备mac地址与端口号之间增加5位随机数,以便进一步提高终端标识的唯一性,例如32f320fcec232349972e98001。
由于本实施例中无需利用中间网络设备的IP地址来对终端设备进行标识,因此,即使中间网络设备具有动态的IP地址,也不会妨碍对终端设备的访问。
在步骤402~404中,中间网络设备利用预先确定的加密算法和密钥对终端设备的终端标识进行加密,并将加密结果和终端设备的描述信息携带于注册请求中,发送给控制网络设备,请求将终端设备注册到控制网络设备上;控制网络设备根据接收到的请求对中间网络设备进行验证;在通过验证后,记录终端标识和对应的描述信息,并向中间网络设备指明注册成功。
这里,中间网络设备和控制网络设备预先协商接入过程中使用的加密算法和密钥。在中间网络设备向控制网络设备发出请求之前,首先产生一个传输随机数并确定每个终端设备的描述信息,该描述信息为诸如终端设备的位置、功能等信息;然后利用预先确定的加密算法,例如md5算法,对所产生的传输随机数、终端标识以及密钥进行加密运算,得到密文;而后再将终端设备的终端标识、对应的描述信息以及密文等组成注册请求。这里注册请求中可以包括中间网络设备所连接的所有终端设备的终端标识和描述信息,也可以包括部分终端设备的终端标识和描述信息。
从上述描述可见,本实施例的注册请求可以包括如下内容:2字节的终端标识、2字节的终端设备描述信息、2字节的密文以及2字节的预留部分,其中的预留部分中可以包含中间网络设备的验证标识。此处的验证标识是控制网络设备预先分配给各中间网络设备的合法性标识,或者是中间网络设备的mac地址。当然,这里的注册请求中也可以不包括终端设备的描述信息。
对于控制网络设备,在接收到来自于中间网络设备的注册请求后,利用预先确定的加密算法对接收到的密文进行解密运算,获得密钥。当所获得的密钥与控制网络设备中记录的密钥相同时,判定通过验证,那么对注册请求中终端设备的终端标识和描述信息以及所属中间网络设备信息进行记录,并且通知中间网络设备注册成功。此外,当获得的密钥与控制网络设备中记录的密钥不相同时,判定未通过验证,则通知中间网络设备注册失败。
当中间网络设备接收到表示注册成功的注册结果时,表明终端设备与控制网络设备之间的连接已成功建立,即控制网络设备已经为后续的接入过程做好了前期准备。
在步骤405~407中,管理设备向控制网络设备发送连接建立请求,请求与控制网络设备建立连接,控制网络设备根据接收到的验证标识对管理设备进行验证,并在验证结果表明验证成功时,向管理设备指明连接建立成功。
为了保证管理设备与控制设备之间建立安全的连接,本实施例中管理设备按照验证授权计费(AAA)机制预先注册到控制网络设备上,并在完成注册后具有合法的用户名。这里管理设备可以在连接建立请求中携带自身的用户名,控制网络设备从接收到的请求中获取该用户名,并在自身记录的合法用户名进行查找,如果存在与接收到的用户名一致的记录,则判定验证成功,并向管理设备指明连接建立成功;否则,判定验证失败。
此处管理设备的用户名可以是自身的mac地址。
并且,上述的步骤401至404与步骤405至407之间没有必然的先后顺序,即可以先执行步骤405至407的操作,然后再执行步骤401至404的操作。
在步骤408~409中,控制网络设备将各终端设备的描述信息提供给管理设备,管理设备根据接收到的描述信息选择要接入的终端设备,并向控制网络设备发送携带有终端设备信息的接入终端请求。
在成功建立管理设备与控制网络设备间连接的情况下,控制网络设备可以通过菜单的形式,将在自身成功注册的终端设备的描述信息提供给管理设备。管理设备可以根据菜单中包含的描述信息来选择准备接入的终端设备,并将被选中的终端设备信息告知控制网络设备。
本实施例中控制网络设备可以在向管理设备提供终端设备的描述信息时,进一步提供每个描述信息对应的终端标识。当终端设备被选中后,管理设备可以将选中的终端设备的终端标识发送给控制网络设备,以便控制网络设备进行识别。
或者,控制网络设备直接将终端设备的终端标识发送给管理设备,管理设备在接收到的所有终端标识中进行选择,并将被选中的终端标识发送给控制网络设备。本实施例中可以将终端标识和描述信息统称为终端设备信息。
当然,管理设备还可以将准备发送给终端设备的管理信息携带于接入终端请求中,以便在成功接入终端设备后,该终端设备按照该管理信息执行相应操作或者回复响应。
在步骤410~411中,控制网络设备根据接收到的接入终端请求确定管理设备要接入的终端,根据被接入端可识别的网络协议对该接入终端请求进行协议转换,将接入终端请求的源IP地址修改为自身的网络地址,并通过中间网络设备,将转换并修改后的接入终端请求发送给终端设备。
本实施例中,控制网络设备上记录有终端设备相关信息,包括终端设备的描述信息、终端设备标识、中间网络设备的mac地址和IP地址的对应关系;以及中间网络设备能够识别的网络协议。当管理设备发出的接入终端请求中携带终端设备的描述信息时,控制网络设备根据自身的记录,确定该描述信息对应的终端标识以及所属中间网络设备的IP地址;当管理设备发出的接入终端请求中携带终端设备的终端标识时,控制网络设备根据该终端标识确定所属中间网络设备的IP地址。
此后,控制网络设备根据接收到的接入终端请求确定接入发起端使用的网络协议,在接入发起端使用的网络协议无法被所述被接入端识别时,从所保存的被接入端可识别的网络协议中进行选择,将接入终端请求转换为符合所选择的网络协议的格式。
为了防止过多的网络设备获知管理设备的IP地址,这里在进行协议转换之前、之后或者同时,控制网络设备对接入终端请求进行源地址转换,那么网络中仅有少数的控制网络设备知晓管理设备的IP地址,因此非法设备获得该IP地址的几率大大降低,从而管理设备受到攻击的可能性也大大降低。
对于中间网络设备而言,接收到来自于控制网络设备的接入终端请求后,根据携带的终端标识确定与该终端设备连接的同异步端口,并通过该端口,将接入终端请求发送给管理设备要接入的终端设备。
在步骤412~414中,终端设备将对应于接入终端请求的接入响应通过中间网络设备发送给控制网络设备;控制网络设备将该接入响应的源地址修改为自身的IP地址并转换为管理设备可识别的网络协议的格式后,向管理设备转发接入响应,指明接入成功。
这里控制网络设备进行地址转换的目的在于,防止其他设备获知中间网络设备的IP地址,从而使得中间网络设备受到攻击的几率大大降低。
另外,在接入终端请求中携带有管理信息的情况下,终端设备按照该管理信息执行操作,例如:当管理设备为要求作为供电设备的终端设备提高或降低输出给供电对象的功率时,该终端设备执行相应操作,而后将表明已执行相应操作的反馈信息携带于接入响应中;或者,终端设备确定管理信息对应的反馈信息,例如当管理信息为要求终端设备上报自身的工作参数时,该终端设备将工作参数确定为反馈信息,并将该反馈信息携带于接入响应中。
至此,完成本实施例中的接入过程。此后,管理设备和终端设备可以通过控制网络设备和中间网络设备来实现信息的交互,并且在交互过程中,控制网络设备先执行源地址的修改和协议转换,再进行信息转发。并且,在成功接入后,管理设备若要对其他终端设备进行管理,则可以根据步骤408中的描述信息选择对应的终端设备,并直接从步骤409开始执行,而不必经过步骤405至步骤407的验证过程。
由上述描述可见,本实施例中控制网络设备将来自于管理设备和中间网络设备的报文的源地址修改为自身的IP地址并且根据接收端的实际情况对报文进行协议转换。那么在管理设备和中间网络设备采用不同网络协议的情况下,本实施例中的代理接入系统均能够保证两端的正常通信,从而使得运营商在组网时,可根据组网需要任意选择属于各制造商的网络设备,而不必考虑网络协议的兼容性,因此提高了组网的灵活性和设备选择余地。
另一方面,可以认为,控制网络设备、中间网络设备和终端设备组成了一个局域网,局域网之外的任何设备只能够检测到控制网络设备的存在,而无法发现中间网络设备,从而无法发起攻击,因此中间网络设备安全性能够得到有效的保证;另一方面,控制网络设备还将管理设备与其他设备隔离起来,使得管理设备的IP地址受到保护,非法设备无法获知管理设备的地址而实施攻击,因此管理设备的安全性也能够得到有效的保证。
此外,在中间网络设备向控制网络设备发起终端设备注册请求时,控制网络设备会对中间网络设备的合法性进行验证,企图冒充中间网络设备的非法设备无法与控制网络设备建立连接,从而控制网络设备屏蔽了发往管理设备的非法攻击,进一步提高接入过程的安全性。
同样,管理设备在希望与控制网络设备建立连接时,控制网络设备对管理设备的合法性进行验证,只有此前经过注册的合法管理设备才能够成功建立连接。这样,控制网络设备能够屏蔽发往中间网络设备的非法攻击,从而进一步提高接入过程的安全性。
本实施例中的中间网络设备可以具有动态的IP地址,为了保证它们与控制网络设备的正常通信,每当中间网络设备的IP地址发生改变,均会向控制网络设备发送携带有新IP地址和mac地址的地址更新通知,控制网络设备根据接收到的地址更新通知,找到该mac地址对应的各条记录,利用新IP地址替换这些记录中的IP地址。这样,在中间网络设备的IP地址不固定的情况下,控制网络设备能够与中间网络设备正常通信,那么管理设备也能够顺利接入到终端设备上。
本实施例中,每当新的终端设备与中间网络设备建立连接,都会执行一次步骤401至404的过程,控制网络设备对自身保存的终端设备信息进行刷新。并且,控制网络设备定期向中间网络设备发送hello报文,检测中间网络设备与控制网络设备的连接状态,如果控制网络设备在预先设置的等候时间内接收不到中间网络设备回复的hello消息,则判定该中间网络设备已断开连接,则将与该中间网络设备相关的记录从终端设备信息中删除。同样地,控制网络设备还定期通过中间网络设备向终端设备发送hello报文,检测终端设备的连接状态。如果控制网络设备在预先设置的等候时间内接收不到终端设备回复的hello消息,则判定该终端设备已断开连接,则将该终端设备对应的记录从终端设备信息中删除。当管理设备、控制网络设备和中间网络设备间的公共网络协议为telnet、ssh或rlogin协议时,此处的hello报文为传输控制协议(TCP)连接的保活(keepalive)报文;当采用pad协议时,此处的hello报文为符合X.25协议的保活报文。
综上,本实施例中的管理设备在与控制网络设备成功建立连接后,请求控制网络设备允许接入到要管理的终端设备。控制网络设备接收来自于管理设备的表明接入终端设备的请求,确定终端设备对应的中间网络设备,将该请求的源地址修改为自身的网络地址,并将修改后的请求发送给所确定的中间网络设备。中间网络设备接收来自于控制网络设备的表明接入终端设备的请求,并将接收到的请求发送给该终端设备。
进一步,中间网络设备确定终端设备在自身的端口,根据所确定的端口,为终端设备分配终端标识,确定终端设备对应的描述信息,将终端标识和描述信息组成的终端设备信息保存在自身之中。
图5示出了本实施例中控制网络设备的结构示意图。参见图5,该控制网络设备包括:通讯模块、控制模块和存储模块。其中,通讯模块接收来自于管理设备的表明接入终端设备的请求,将该请求发送给控制模块,接收来自于控制模块的表明接入终端设备的请求和中间网络设备信息,将该请求发送给该中间网络设备。控制模块接收来自于通讯模块的表明接入终端设备的请求,从存储模块中读取终端设备与中间网络设备的对应关系,确定该终端设备对应的中间网络设备,将该中间网络设备信息发送给通讯模块;并且从存储模块中读取控制网络设备的网络地址和中间网络设备可识别的网络协议,从读取到的网络协议中进行选择,将接收到的表明接入终端设备的请求转换为所选择的网络协议的格式,将该请求的源地址修改为读取到的网络地址,并将转换和修改后的请求发送给通讯模块。存储模块中保存有终端设备与中间网络设备的对应关系、控制网络设备的网络地址以及中间网络设备可识别的网络协议。
进一步,通讯模块接收来自于中间网络设备的终端设备信息,将中间网络设备信息以及接收到的终端设备信息发送给控制模块,接收来自于控制模块的所有终端设备信息,并将接收到的终端设备信息发送给管理设备;控制模块建立中间网络设备信息和终端设备信息的对应关系,并将该对应关系发送给存储模块,并且从存储模块中读取所有终端设备信息,将读取到的终端设备信息发送给通讯模块。
此外,本实施例中的通讯模块还能够接收来自于中间网络设备的接入响应,将该接入响应发送给控制模块,接收来自于控制模块的接入响应,并将该接入响应发送给管理设备。控制模块接收来自于通讯模块的接入响应,将该接入响应的源地址修改为控制网络设备的网络地址,并将修改后的接入响应发送给通讯模块。
图6示出了本实施例中控制网络设备的另一种结构示意图。在该图中,控制网络设备除了包括通讯模块、控制模块和存储模块之外,还包括验证模块。此时,验证模块接收来自于通讯模块的接入发起端或被接入端的验证信息,从存储模块中读取合法的接入发起端或被接入端验证信息,根据读取到的验证信息和接收到的验证信息,对接入发起端或被接入端进行合法性验证,并将验证结果发送给通讯模块;通讯模块接收来自于接入发起端或被接入端的验证信息,将接收到的验证信息发送给验证模块,接收来自于验证模块的验证结果,并在该验证结果表明通过验证时,向接入发起端或被接入端指明验证成功。
具体来说,图6中的控制模块与图5中的控制模块相同;存储模块除了保存与图5中存储模块相同的信息之外,还保存有预先设置的加密算法和密钥,以及合法管理设备的信息。此外,通讯模块接收来自于中间网络设备的注册请求,将接收到的注册请求发送给验证模块,接收来自于验证模块的中间网络设备验证结果,并在该验证结果表明通过验证时,向中间网络设备指明验证成功并将注册请求中携带的中间网络设备信息、终端标识和描述信息发送给控制模块;并且,该通讯模块还接收来自于管理设备的连接建立请求,将接收到的连接建立请求发送给验证模块,接收来自于验证模块的管理设备验证结果,并在该验证结果表明通过验证时,向管理设备指明连接建立成功。验证模块用于接收来自于通讯模块的注册请求,从该请求中获取密文,从存储模块中读取加密算法和密钥,利用该加密算法对密文进行解密,获取解密结果,在该解密结果与读取到的密钥相同时,将中间网络设备验证结果确定为通过验证,将该验证结果发送给通讯模块;此外,该验证模块还接收来自于通讯模块的连接建立请求,从该请求中提取管理设备信息,在存储模块中保存的合法管理设备信息中查找与所提取的管理设备信息一致的记录,在找到一致记录时,将管理设备验证结果确定为通过验证,将该验证结果发送给通讯模块。
实施例2
本实施例针对终端设备主动发起接入类型的代理接入系统。本实施例仍可以采用图3所示的代理接入系统的结构。参见图3,该系统中包括:管理设备、控制网络设备、中间网络设备和终端设备。其中管理设备和控制网络设备具有固定的IP地址;终端设备首先通过中间网络设备发起接入,控制网络设备在转发来自中间网络设备的信息之前,将该信息转换为管理设备能够识别的网络协议并将源IP地址修改为自身的IP地址。这样,本实施例既能够保证各设备的正常通信,又能够提高接入过程的安全性有所提高。
相应地,本实施例在执行接入时,控制网络设备接收到来自于终端设备的接入请求后,根据管理设备可识别的网络协议对该接入请求进行协议转换,将该请求的源IP地址修改为自身的网络地址,并将转换和修改后的接入请求转发给管理设备。下面以应用于银行业的代理接入系统为例,对本实施例中的技术方案进行说明。
图7示出了本实施例中代理接入方法的流程图。参见图7,该方法包括:
在步骤701~703中,前置机向控制网络设备发送连接建立请求,请求与控制网络设备建立连接,控制网络设备根据接收到的验证标识对前置机进行验证,并在验证结果表明验证成功时,向前置机指明连接建立成功。
本实施例中以前置机作为管理设备,并且此处的操作与实施例1中步骤405至407的操作相同。
在步骤704~705中,中间网络设备确定终端设备在自身上的端口,并向控制网络设备发送注册请求,请求注册中间网络设备。
通常情况下,中间网络设备上具有同异步端口,终端设备通过同异步电缆连接于中间网络设备的同异步端口上。那么这里中间网络设备在确定了各终端设备与自身连接的同异步端口后,利用预先确定的加密算法,将端口号与终端的对应关系以及预先确定的密钥进行加密运算,并将加密结果携带于注册请求中,发送给控制网络设备,请求在控制网络设备上注册中间网络设备。
在步骤706~708中,控制网络设备对中间网络设备验证,在通过验证的情况下,确定终端设备在控制网络设备上的监听端口,为终端设备分配终端标识,向中间网络设备指明注册成功,并将终端标识发送给前置机。
为了保证中间网络设备的合法性,控制网络设备接收到来自于中间网络设备的注册请求后,从中读取出加密结果,利用预先确定的加密算法进行解密运算,在获得的密钥与自身保存的密钥相同的情况下,判定中间网络设备通过验证。反之,如果所获得的密钥与控制网络设备中保存的密钥不同,则判定对中间网络设备的验证失败,并结束本流程。
在通过验证的情况下,控制网络设备以一对一的方式将自身的监听端口分配给终端设备,例如:监听端口8000端口用于监听终端设备1,此时监听端口号即为该终端设备的终端标识。为了保证后续通信过程中能够确定到达各终端设备的路径,控制网络设备像实施例1那样,将终端标识、所属中间网络设备的IP地址和mac地址记录到终端设备信息记录中。而后,控制网络设备将各终端设备的终端标识发送给前置机,并且携带这些信息的报文的源地址为该控制网络设备的网络地址,例如IP地址。
中间网络设备也可以在注册请求中携带每个终端设备的描述信息,控制网络设备在确定终端标识后,通过将描述信息添加到终端设备信息记录中来建立终端标识与描述信息的对应关系,并在向前置机发送终端标识时,带上对应的描述信息。
上述步骤701至703与步骤704至706之间没有严格的顺序要求,即可以先执行步骤704至706的操作,然后再执行步骤701至703的操作。
在步骤709中,前置机建立终端设备与虚拟设备的对应关系。
本实施例中,前置机中预先建有多个被称为虚拟设备的应用程序,这些虚拟设备可以与终端设备执行相同的操作,即当利用终端设备传来的信息执行对应的虚拟设备后,能够得到与终端设备相同的结果。由于此处前置机首次发现终端设备的存在,那么前置机在自身建立终端设备与虚拟设备的对应关系,即将一个虚拟设备分配给该终端设备,以便实现对终端设备的管理。在前置机建立了终端设备与虚拟设备的对应关系后,为终端设备接入所做的前期准备完成。
在步骤710至713中,终端设备通过中间网络设备向控制网络设备发出接入请求,请求接入到前置机;控制网络设备根据前置机可识别的网络协议对接收到的接入请求进行协议转换,将该接入请求的源IP地址修改为自身的IP地址,确定发起接入的终端设备的终端标识,将该终端标识携带于修改后的接入请求中,通过终端设备对应的监听端口,发送给前置机;前置机接收到接入请求后,将接入请求中终端标识对应的虚拟设备置于运行状态,接受该终端设备的接入请求。
控制网络设备接收到来自于终端设备的接入请求后,找到该终端设备的终端标识,确定监听端口。并且将发往前置机的接入请求的源IP地址修改为自身的IP地址,以免外界获知中间网络设备的IP地址。
控制网络设备通过诸如TCP等协议与前置机相连,前置机在正常运行状态下对控制网络设备的各个监听端口进行监听,当发现某个监听端口上传来接入请求后,即可确定发起接入的终端设备。然后,前置机对自身保存的终端标识和虚拟设备的对应关系进行查找,如果找到接入请求中携带的终端标识对应的纪录,则将虚拟设备打开,以便后续过程中接收来自该终端设备的信息,并执行相应操作;如果未找到对应的纪录,则结束本流程。
在步骤714~716中,前置机将对应于接入终端请求的接入响应发送给控制网络设备;控制网络设备根据中间网络设备可识别的网络协议对接入响应进行协议转换,并将该接入响应的源地址修改为自身的IP地址后,通过中间网络设备向终端设备转发接入响应,指明接入成功。
这里控制网络设备根据自身保存的终端标识,确定该终端设备对应的中间网络设备,并将修改过源IP地址并进行了协议转换后的接入响应发送给该中间网络设备。对于中间网络设备而言,接收到来自于控制网络设备的接入响应后,确定与该终端设备连接的同异步端口,并通过该端口,将接入响应发送给对应的终端设备。当然,前置机还可以将准备发送给终端设备的管理信息携带于接入响应中,该终端设备按照该管理信息执行相应操作。
至此,完成本实施例中的接入过程。此后,前置机和终端设备可以通过控制网络设备和中间网络设备来实现信息的交互,并且在交互过程中,控制网络设备先执行源地址的修改,再进行信息转发。
由上述描述可见,本实施例中控制网络设备将来自于前置机和中间网络设备的报文进行了协议转换并将该报文的源地址修改为自身的IP地址。可以认为,协议转换操作避免了前置机和中间网络设备采用不同网络协议而造成的通信失败,保证了接入过程的正常进行;并且控制网络设备、中间网络设备和终端设备组成了一个局域网,局域网之外的任何设备只能够检测到控制网络设备的存在,而无法发现中间网络设备,从而无法发起攻击,因此中间网络设备安全性能够得到有效的保证;另一方面,控制网络设备还将前置机与其他设备隔离起来,使得前置机的IP地址收到保护,非法设备无法获知前置机的地址而实施攻击,因此前置机的安全性也能够得到有效的保证。
与实施例1相似,本实施例中在前置机和中间网络设备请求与控制网络设备建立连接时,控制网络设备启动合法性验证操作。一方面使得企图冒充中间网络设备的非法设备无法与控制网络设备建立连接,从而控制网络屏蔽了发往前置机的非法攻击;另一方面,只有此前经过注册的合法前置机才能够成功建立连接,从而能够屏蔽发往中间网络设备的非法攻击。这样能够进一步提高接入过程的安全性。
本实施例中的中间网络设备也可以像实施例1那样,每当IP地址发生改变,均会向控制网络设备发送携带有新IP地址和mac地址的地址更新通知,控制网络设备根据接收到的地址更新通知,在终端设备信息记录中找到该mac地址对应的各条记录,利用新IP地址替换这些记录中的IP地址。这样,在中间网络设备的IP地址不固定的情况下,控制网络设备能够与中间网络设备正常通信,那么终端设备也能够顺利接入到前置机上。
当然,本实施例中控制网络设备也定期向中间网络设备和终端设备发送hello报文,检测它们的连接状态。
综上,本实施例中的终端设备在与控制网络设备成功建立连接后,通过中间网络设备请求控制网络设备允许接入到管理设备。控制网络设备接收来自于终端设备的表明接入管理设备的请求,根据管理设备可识别的网络协议对该接入请求进行协议转换,将该请求的源地址修改为自身的网络地址,并将修改后的请求发送给管理设备。中间网络设备接收来自于终端设备的表明接入管理设备的请求,并将接收到的请求发送给控制网络设备。
进一步,控制网络设备确定终端设备在自身对应的监听端口,根据所确定的监听端口,为终端设备分配终端标识,确定终端设备对应的描述信息,将终端标识和描述信息保存在自身之中。
本实施例仍然可以采用图5所示的控制网络设备的结构示意图。参见图5,本实施例中的控制网络设备包括:通讯模块、控制模块和存储模块。其中,通讯模块接收来自于中间网络设备的表明接入管理设备的请求,将该请求发送给控制模块,接收来自于控制模块的表明接入管理设备的请求,将该请求发送给管理设备。控制模块接收来自于通讯模块的表明接入管理设备的请求,从存储模块中读取控制网络设备的网络地址,根据管理设备可识别的网络协议对将接收到的表明接入管理设备的请求进行协议转换,并将该请求的源地址修改为读取到的网络地址,并将转换和修改后的请求发送给通讯模块。存储模块中保存有控制网络设备的网络地址以及管理设备可识别的网络协议。
此外,本实施例中的存储模块中还保存有终端设备信息与中间网络设备的对应关系。通讯模块接收来自于控制模块的终端设备信息,将接收到的终端设备信息发送给前置机。控制模块确定各终端设备在控制网络设备上对应的监听端口,将该监听端口信息作为终端设备信息,建立中间网络设备信息和终端设备信息的对应关系,将该对应关系发送给存储模块,并且从存储模块中读取所有终端设备信息,将读取到的终端设备信息发送给通讯模块。
此外,通讯模块还能够接收来自于管理设备的接入响应,将该接入响应发送给控制模块,接收来自于控制模块的接入响应和中间网络设备信息,将该接入响应发送给中间网络设备。相应地,控制模块接收来自于通讯模块的接入响应,从该接入响应中获取终端设备标识,从存储模块中读取控制网络设备的网络地址、该终端设备标识对应的中间网络设备信息以及中间网络设备可识别的网络协议,将接入响应转换为中间网络设备可识别的网络协议的格式,并将该接入响应的源地址修改为读取到的控制网络设备的网络地址,再将转换并修改后的接入响应以及中间网络设备信息发送给通讯模块。
本实施例还包括另一种控制网络设备,该控制网络设备的结构与图6中示出的控制网络设备相同。参见图6,该控制网络设备除了包括通讯模块、控制模块和存储模块之外,还包括验证模块。各模块与实施例1中的基本功能相同,只是在执行具体操作时,存在少许差异。
具体来说,本实施例中存储模块除了保存与本实施例图5中存储模块相同的信息之外,还保存有预先设置的加密算法和密钥,以及合法管理设备的信息。通讯模块还接收来自于中间网络设备的注册请求,将接收到的注册请求发送给验证模块,接收来自于验证模块的中间网络设备验证结果,在该验证结果表明通过验证时,向中间网络设备指明注册成功并将注册请求中携带的中间网络设备信息和终端设备信息发送给控制模块;并且,该通讯模块还接收来自于管理设备的连接建立请求,将接收到的连接建立请求发送给验证模块,接收来自于验证模块的管理设备验证结果,并在该验证结果表明通过验证时,向管理设备指明连接建立成功。验证模块用于接收来自于通讯模块的注册请求,从该请求中获取密文,从存储模块中读取加密算法和密钥,利用该加密算法对密文进行解密,获取解密结果,在该解密结果与读取到的密钥相同时,将中间网络设备验证结果确定为通过验证,将该验证结果发送给通讯模块;此外,该验证模块还接收来自于通讯模块的连接建立请求,从该请求中提取管理设备信息,在存储模块中保存的合法管理设备信息中查找与所提取的管理设备信息一致的记录,在找到一致记录时,将管理设备验证结果确定为通过验证,将该验证结果发送给通讯模块。
上述实施例1可以采用实施例2中的方式为终端设备分配终端标识,那么在接入过程中,利用步骤704至707替代图4中的步骤401至404同样地,实施例2也可以采用实施例1的方式为终端设备分配终端标识,那么在接入过程中,利用步骤401至404替代图7中的步骤704至707。在上述的两种情况下,步骤704至707与步骤405至407之间不存在严格的顺序。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1、一种代理接入方法,其特征在于,在接入发起端和被接入端之间设置控制网络设备,该方法包括:
所述控制网络设备预先确定被接入端可识别的网络协议,并进行保存;
所述控制网络设备接收来自于接入发起端的接入请求,根据接收到的接入请求确定接入发起端使用的网络协议,在所述接入发起端使用的网络协议无法被所述被接入端识别时,从所保存的被接入端可识别的网络协议中进行选择,将所述接入请求转换为符合所选择的网络协议的格式,并将该接入请求的源地址修改为自身的网络地址,再将所述接入请求发送给被接入端。
2、如权利要求1所述的方法,其特征在于,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备,
所述控制网络设备接收来自于接入发起端的接入请求之前,进一步包括:中间网络设备将终端设备信息发送给所述控制网络设备,控制网络设备在自身建立中间网络设备与终端设备的对应关系;
所述将接入请求发送给被接入端为:控制网络设备根据接收到的接入请求确定要接入的终端设备,根据所述中间网络设备与终端设备的对应关系,确定所述该终端设备对应的中间网络设备,并将所述接入请求发送给所确定的中间网络设备,中间网络设备再将接收到的接入请求转发给该终端设备。
3、如权利要求2所述的方法,其特征在于,在所述控制网络设备接收来自于接入发起端的接入请求之前,并在所述中间网络设备将终端设备信息发送给所述控制网络设备,控制网络设备在自身建立中间网络设备与终端设备的对应关系之后,进一步包括:
控制网络设备将终端设备信息提供给管理设备,管理设备根据所述终端设备信息选择要接入的终端设备,并向控制网络设备发送携带有要接入的终端设备信息的接入请求。
4、如权利要求1所述的方法,其特征在于,所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备,
所述控制网络设备接收来自于接入发起端的接入请求之前,进一步包括:中间网络设备将终端设备信息发送给控制网络设备,控制网络设备建立中间网络设备与终端设备的对应关系,并将终端设备信息提供给管理设备,管理设备在自身建立终端设备与虚拟设备的对应关系;
所述将接入请求发送给被接入端之后,进一步包括:管理设备根据接收到的接入请求确定发起接入的终端设备,并将所述终端设备对应的虚拟设备置于运行状态。
5、如权利要求2或4所述的方法,其特征在于,所述中间网络设备将终端设备信息发送给所述控制网络设备之前,进一步包括:中间网络设备确定终端设备在自身的端口,根据所确定的端口,为所述终端设备分配终端标识,并将所分配的终端标识作为所述终端设备信息。
6、如权利要求5所述的方法,其特征在于,所述终端标识包括:随机数和终端设备在中间网络设备上的端口号;或者,随机数、终端设备在中间网络设备上的端口号和中间网络设备的媒体接入控制mac地址。
7、如权利要求3或4所述的方法,其特征在于,
所述终端设备信息包括:终端设备的终端标识;
所述中间网络设备将终端设备信息发送给所述控制网络设备之前,进一步包括:中间网络设备确定终端设备在自身的端口;
所述将终端设备信息发送给控制网络设备为:将终端设备号和在中间网络设备上的端口号作为终端设备的终端标识发送给控制网络设备;
所述建立中间网络设备与终端设备的对应关系之前,并在所述中间网络设备将终端设备的第一信息发送给控制网络设备之后,进一步包括:控制网络设备确定终端设备在自身的监听端口,并将监听端口号作为所述终端设备的终端标识;
将终端设备信息提供给管理设备为:将所述由监听端口号表示的终端设备的终端标识提供给管理设备。
8、如权利要求3或4所述的方法,其特征在于,所述将终端设备信息发送给控制网络设备之前,进一步包括:控制网络设备对中间网络设备进行合法性验证,并在通过验证时,执行所述将终端设备信息发送给控制网络设备;
和/或,所述将终端设备信息提供给管理设备之前,进一步包括:控制网络设备对管理设备进行合法性验证,并在通过验证时,执行所述将终端设备信息提供给管理设备。
9、如权利要求2或4所述的方法,其特征在于,该方法进一步包括:中间网络设备检测到自身的IP地址发生变化时,将变化后的IP地址发送给所述控制网络设备,控制网络设备更新自身记录的中间网络设备的IP地址。
10、如权利要求2或4所述的方法,其特征在于,该方法进一步包括:控制网络设备按照预先确定的周期,检测所述中间网络设备或终端设备的连接状态,当确定所述中间网络设备或终端设备处于断开连接状态时,删除所述中间网络设备与终端设备的对应关系。
11、如权利要求1所述的方法,其特征在于,所述将接入请求发送给被接入端之后,进一步包括:控制网络设备接收来自于被接入端的接入响应,根据接入发起端可识别的网络协议对该响应进行协议转换,并将该响应的源地址修改为自身的网络地址,再将接入响应发送给接入发起端。
12、如权利要求1或11所述的方法,其特征在于,所述网络地址为:控制网络设备的IP地址或mac地址。
13、一种控制网络设备,其特征在于,该设备包括:存储模块、通讯模块和控制模块,其中,
所述存储模块保存有被接入端可识别的网络协议以及所述控制网络设备的网络地址;
所述通讯模块接收来自于接入发起端的接入请求,将该接入请求发送给控制模块;接收来自于控制模块的接入请求,并将该接入请求发送给被接入端;
所述控制模块接收来自于通讯模块的接入请求,从存储模块中读取被接入端可识别的网络协议,根据接收到的接入请求确定接入发起端使用的网络协议,在所述接入发起端使用的网络协议无法被所述被接入端识别时,从所读取的被接入端可识别的网络协议中进行选择,将所述接入请求转换为符合所选择的网络协议的格式,从存储模块中读取所述网络设备的网络地址,并将该接入请求的源地址修改为自身的网络地址,再将所述接入请求发送给通讯模块。
14、如权利要求13所述的控制网络设备,其特征在于,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备;或者所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备;
所述通讯模块进一步接收来自于中间网络设备的终端设备信息,将中间网络设备信息以及接收到的终端设备信息发送给控制模块,接收来自于控制模块的终端设备信息,并将接收到的终端设备信息发送给管理设备;
所述控制模块建立中间网络设备信息和终端设备信息的对应关系,将该对应关系发送给存储模块,并且从存储模块中读取所存储的所有终端设备信息,将读取到的终端设备信息发送给通讯模块;
所述存储模块进一步保存中间网络设备信息和终端设备信息的对应关系。
15、如权利要求14所述的控制网络设备,其特征在于,所述终端设备信息包括:终端设备的终端标识;
所述控制模块进一步用于确定各终端设备在控制网络设备上对应的监听端口,将该监听端口信息作为终端设备的终端标识。
16、如权利要求13所述的控制网络设备,其特征在于,所述控制网络设备进一步包括:验证模块,用于接收来自于通讯模块的接入发起端或被接入端的验证信息,从存储模块中读取合法的接入发起端或被接入端验证信息,根据读取到的验证信息和接收到的验证信息,对接入发起端或被接入端进行合法性验证,并将验证结果发送给通讯模块;
所述通讯模块进一步接收来自于接入发起端或被接入端的验证信息,将接收到的验证信息发送给验证模块,接收来自于验证模块的验证结果,并在该验证结果表明通过验证时,向接入发起端或被接入端指明验证成功。
17、如权利要求13至16中任意一项所述的控制网络设备,其特征在于,所述通讯模块进一步接收来自于被接入端的接入响应,将该接入响应发送给控制模块;接收来自于控制模块的接入响应,并将该接入响应发送给接入发起端;
所述控制模块接收来自于通讯模块的接入响应,根据接入发起端可识别的网络协议对该响应进行协议转换,并将该接入响应的源地址修改为自身的网络地址,再将接入响应发送给通讯模块。
18、一种代理接入系统,其特征在于,包括:接入发起端、控制网络设备以及被接入端,其中,
所述控制网络设备预先确定被接入端可识别的网络协议,并进行保存;
所述接入发起端将接入请求发送给所述控制网络设备;
所述控制网络设备根据接收到的接入请求确定接入发起端使用的网络协议,确定所述接入发起端使用的网络协议无法被所述被接入端识别时,从所保存的被接入端可识别的网络协议中进行选择,根据所选择的网络协议对接收到的接入请求进行协议转换,并将该接入请求中的源地址修改为自身的网络地址,再将所述接入请求发送给所述被接入端。
19、如权利要求18所述的系统,其特征在于,所述接入发起端为管理设备,所述被接入端包括中间网络设备和终端设备,或者所述接入发起端包括中间网络设备和终端设备,所述被接入端为管理设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101030502A CN100574237C (zh) | 2007-05-16 | 2007-05-16 | 代理接入方法、控制网络设备以及代理接入系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101030502A CN100574237C (zh) | 2007-05-16 | 2007-05-16 | 代理接入方法、控制网络设备以及代理接入系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101060454A CN101060454A (zh) | 2007-10-24 |
| CN100574237C true CN100574237C (zh) | 2009-12-23 |
Family
ID=38866357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101030502A Expired - Fee Related CN100574237C (zh) | 2007-05-16 | 2007-05-16 | 代理接入方法、控制网络设备以及代理接入系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100574237C (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685587B (zh) * | 2012-09-07 | 2018-07-17 | 深圳市腾讯计算机系统有限公司 | 分配媒体接入控制mac地址的方法及装置 |
| CN103166960A (zh) * | 2013-03-01 | 2013-06-19 | 北京神州绿盟信息安全科技股份有限公司 | 接入控制方法及装置 |
| US9143582B2 (en) | 2013-03-08 | 2015-09-22 | International Business Machines Corporation | Interoperability for distributed overlay virtual environments |
| US9432287B2 (en) | 2013-03-12 | 2016-08-30 | International Business Machines Corporation | Virtual gateways and implicit routing in distributed overlay virtual environments |
| US9374241B2 (en) | 2013-03-14 | 2016-06-21 | International Business Machines Corporation | Tagging virtual overlay packets in a virtual networking system |
| CN103650457B (zh) * | 2013-06-26 | 2016-09-28 | 华为技术有限公司 | 一种共享接入的检测方法、设备和终端设备 |
| WO2016076641A1 (en) * | 2014-11-14 | 2016-05-19 | Samsung Electronics Co., Ltd. | Method and apparatus for registering a device for use |
| CN105843804A (zh) * | 2015-01-12 | 2016-08-10 | 镇裕贸易股份有限公司 | 售后顾客服务管理系统 |
| CN106302035B (zh) * | 2015-05-26 | 2019-11-29 | 美的集团股份有限公司 | 家电系统的通信方法及家电系统 |
| CN107241565B (zh) * | 2017-05-02 | 2020-03-31 | 苏州科达科技股份有限公司 | 多媒体会议系统及其通讯方法 |
| CN107809348B (zh) * | 2017-09-19 | 2021-04-20 | 广西电网有限责任公司电力科学研究院 | 面向电网大数据分布式系统的终端状态监控方法 |
| CN107707534A (zh) * | 2017-09-22 | 2018-02-16 | 深圳市盛路物联通讯技术有限公司 | 一种数据转发方法及装置 |
| CN108900503A (zh) * | 2018-06-27 | 2018-11-27 | 努比亚技术有限公司 | 数据通信方法、通信处理设备、终端及可读存储介质 |
-
2007
- 2007-05-16 CN CNB2007101030502A patent/CN100574237C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101060454A (zh) | 2007-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100574237C (zh) | 代理接入方法、控制网络设备以及代理接入系统 | |
| CN110870277B (zh) | 将中间盒引入到客户端与服务器之间的安全通信中 | |
| JP3599552B2 (ja) | パケットフィルタ装置、認証サーバ、パケットフィルタリング方法及び記憶媒体 | |
| EP2955874A2 (en) | Link discovery method and device | |
| US20020162021A1 (en) | Method and system for establishing a remote connection to a personal security device | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| US20050044354A1 (en) | Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks | |
| JP2000003348A (ja) | 遠隔的にコマンドを実行する装置 | |
| US7316030B2 (en) | Method and system for authenticating a personal security device vis-à-vis at least one remote computer system | |
| US10691619B1 (en) | Combined integrity protection, encryption and authentication | |
| CN111541776A (zh) | 一种基于物联网设备的安全通信装置及系统 | |
| CN104580553A (zh) | 网络地址转换设备的识别方法和装置 | |
| CN115001686B (zh) | 一种全域量子安全设备及系统 | |
| US11126567B1 (en) | Combined integrity protection, encryption and authentication | |
| KR101040543B1 (ko) | 에스에스에이취 통신환경의 암호화된 데이터 탐지시스템과 탐지방법 | |
| CN113965425A (zh) | 物联网设备的接入方法、装置、设备及计算机可读存储介质 | |
| CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及系统 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| JP2001186186A (ja) | パケット交換装置、ネットワークシステム、およびパケット交換方法 | |
| CN113114643B (zh) | 一种运维审计系统的运维接入方法及系统 | |
| CN110933018B (zh) | 网络认证方法、装置以及计算机存储介质 | |
| CN105681364B (zh) | 一种基于增强绑定的IPv6移动终端抗攻击方法 | |
| CN112839009B (zh) | 处理报文的方法、装置及系统 | |
| CN115001701B (zh) | 用于授权认证的方法及装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091223 Termination date: 20200516 |