CN101345774B - 实现业务代理的装置、系统及方法 - Google Patents
实现业务代理的装置、系统及方法 Download PDFInfo
- Publication number
- CN101345774B CN101345774B CN2008101351705A CN200810135170A CN101345774B CN 101345774 B CN101345774 B CN 101345774B CN 2008101351705 A CN2008101351705 A CN 2008101351705A CN 200810135170 A CN200810135170 A CN 200810135170A CN 101345774 B CN101345774 B CN 101345774B
- Authority
- CN
- China
- Prior art keywords
- message
- network
- route
- softswitch
- agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000005540 biological transmission Effects 0.000 claims description 10
- 230000013011 mating Effects 0.000 claims description 5
- 230000004048 modification Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 230000000295 complement effect Effects 0.000 claims description 2
- 239000003795 chemical substances by application Substances 0.000 description 73
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 239000000835 fiber Substances 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现业务代理的装置、系统及方法,其中的装置设置在IP网络和软交换设备之间,并包括以下单元:路由表预置单元,用于设置并保存报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;报文接收单元,用于从IP网络接收报文;路由匹配单元,用于按照报文信息匹配所述报文转发路由表;代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。本发明过代理设备上的代理路由和协议栈,实现代理业务的处理,由此,解决了现有方案无法将代理业务集成到硬件资源非常有限的软交换设备上的难题,简便易行且利于扩展。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种实现业务代理的装置、系统及方法。
背景技术
混合光纤同轴(Hybrid Fiber Coaxial,HFC)网络通常由光纤干线、同轴电缆支线和用户配线网络三部分组成,从有线电视台出来的节目信号先变成光信号在干线上传输;到用户区域后把光信号转换成电信号,经分配器分配后通过同轴电缆送到用户。
参见图1,为基于HFC网络的接入系统架构示意图,包括软交换(SoftSwitch)设备、电缆调制解调头端系统(Cable Modem Termination System,CMTS)、嵌入式媒体终端适配器(Embedded Media Terminal Adapter,EMTA)、密钥分配中心(Key Distribution Center,KDC)、连接软交换设备和CMTS的IP网络,以及连接CMTS和EMTA的HFC网络,系统传输的消息包括未加密的网络呼叫信令(Network-based Call Signaling,NCS)消息、经网络安全协议(Internet Protocol Security,IPSEC)加密的NCS消息、未加密的通用开放策略服务(Common Open Policy Service,COPS)消息以及经IPSec加密的COPS消息,具体示意参见图1。
其中,软交换设备是位于前端的网络管理系统,是实现传统程控交换机的“呼叫控制”功能的实体,传统的“呼叫控制”功能是和业务结合在一起的,不同的业务所需要的呼叫控制功能不同,而软交换是与业务无关的,因此,这要求软交换设备提供的呼叫控制功能是各种业务的基本呼叫控制。CMTS是HFC网关设备,负责在前端软交换设备和用户端EMTA之间转发报文。EMTA将用户设备接入HFC网络,并负责连接KDC获取密钥。
“业务代理”的内容包括:CMS与EMTA之间的NCS消息需要经过IPSEC加密,并采用封装安全有效载荷(Encapsulating Security Payload,ESP)传输模式,安全联盟协商采用网络认证协议(Network Authentication Protocol,Kerberos)扩展方式等。
如前对图1的介绍,由软交换设备负责网络管理,本领域人员较易想到的是将上述业务代理的内容集成到软交换设备内实现,然而,本发明人在研究中发现,软交换设备本身设计上的特点决定了这种方案不理想甚至不可行,原因在于,每种网络设备在设计上都各有侧重,软交换设备是侧重软件的设备,硬件内存有限,目前各种软交换设备都无法满足大量用户的业务代理需求,即使勉强使用软交换设备实现业务代理,软件处理上不但耗时,而且性能太低;或者容易想到对软交换设备的硬件资源进行扩展,然而这种扩展在资金投入以及系统改动上都是巨大的,往往得不偿失。
发明内容
有鉴于此,本发明要提供一种实现业务代理的装置、系统及方法,以解决目前方案无法在软交换设备中实现业务代理的问题。
为此,本发明实施例采用如下技术方案:
一种实现业务代理的装置,所述装置设置在IP网络和软交换设备之间,并包括以下单元:
路由表预置单元,用于设置并保存报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
一种实现业务代理的系统,包括软交换设备、IP网络和代理设备,所述代理设备设置在所述IP网络和软交换设备之间,所述代理设备包括以下单元:
路由表预置单元,用于保存预置的报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
一种实现业务代理的方法,包括以下步骤:
获取网络报文;
查找预置的报文转发路由表;
若获取的网络报文与所述预置的报文转发路由表中的代理路由表项相匹配时,将所述网络报文发送至所述代理路由表项对应的协议栈进行业务处理。
在本发明实施例中,增加了代理设备,并通过代理设备上的代理路由和协议栈,实现代理业务的处理,由此,解决了现有方案无法将代理业务集成到硬件资源非常有限的软交换设备上的难题,本发明实施例简便易行且利于扩展。
附图说明
图1为现有技术基于HFC网络的接入系统架构示意图;
图2为本发明基于HFC网络的接入系统架构示意图;
图3为本发明实现业务代理方法流程图;
图4为本发明代理设备内部结构示意图;
图5为本发明代理设备内部结构另一示意图;
图6为本发明代理设备内部结构又一示意图。
具体实施方式
本发明实施例中引入专用的代理设备,通过在所述专用的代理设备上配置代理路由的方法实现业务代理功能。
参见图2,为本发明实施例基于HFC网络的接入系统架构示意图,除了包括软交换设备201、CMTS202、EMTA203、KDC204、连接软交换设备201和CMTS202的IP网络,以及连接CMTS202和EMTA203的HFC网络外,还在软交换设备201和IP网络之间设置了代理设备205;系统传输的消息包括未加密的NCS消息、加密的NCS消息、未加密的COPS消息以及加密的COPS消息,具体示意参见图2。
其中,代理设备205负责完成业务代理功能,包括kerberos认证、密钥协商以及IPSec传输模式实现等。代理设备205是一台侧重硬件配置的网络设备,具体形式可有多种,例如,可以是防火墙设备,或者是一台路由器等。
在代理设备205上配置到达软交换设备201的报文转发路由表,并在需要代理设备205处理的路由表项上增加代理标识。从IP网络到达代理设备205的报文进行路由表查找,如果匹配的路由表项有代理标识,则进一步根据报文的协议类型、目的端口等信息判断该报文需要何种业务代理,例如,确定某报文是kerberos报文,则将该报文发送至代理设备205的kerberos协议栈进行处理,即实现业务代理,完成业务代理后再按照路由表转发报文。
代理完成的报文分两种情况处理:
1、直接由代理设备205回应,不需要再交给被代理设备处理。
例如kerberos报文、用于密钥协商报文,其中,密钥协商报文包括:互联网密钥交换(Internet Key Exchange,IKE)报文和互联网简单密钥管理协议(Simple Key-Management for Internet Protocol,SKIP)报文等,此时,需要将源地址修改为软交换设备的地址。
2、由代理设备205处理完成后再将报文转发给被代理设备处理。
例如IPSec传输模式解密后还原到原始明文,仍然需要将明文转发给被代理设备进行处理。
一般情况下,上述被代理设备是指软交换设备201。
参见图3,为本发明方法实施例流程图,包括:
S301:代理设备205拦截获取从IP网络发往软交换设备201的网络报文;
S302:查找预置的报文转发路由表,该报文转发路由表中包括带有代理标识的代理路由表项;
S303:判断所述网络报文匹配的路由表项是否为带有代理标识的代理路由表项,若是,执行S304,否则,执行S307,直接转发给被代理设备;
S304:利用协议类型、目的端口等报文信息,确定代理报文类型,将网络报文发送至相应的协议栈进行业务处理;
S305:根据S304,如果网络报文是属于包括kerberos报文和密钥协商报文的第一类直接回复型报文,则执行S306;如果网络报文是属于包括IPSec传输模式报文的第二类转发型报文,则执行S307;
S306:对于第一类直接回复型报文,代理设备205将网络报文发回应给IP网络;
S307:对于第二类转发型报文,代理设备205将网络报文转发给被代理设备。
下面以一个实例进行说明。
在路由器设备上,路由通过命令配置,一般的形式如下:
ip route-static 191.150.0.0 255.255.0.0 191.160.1.41(item1)
ip route-static 191.165.1.41 255.255.255.255 191.165.1.41 hijack(item2)
其中,第二条路由命令是主机路由(注意:掩码是255.255.255.255),意思是目的地址是191.165.1.41(这个地址就是软交换设备的地址)的下一跳是191.165.1.41,主要目的是要加上特殊的代理标识,这里用的是hijack。
假设其中item2为带有代理标识的代理路由表项。
如果此时代理设备205从IP网络接收到的报文匹配上item2,则进一步判断该报文是属于kerberos报文、密钥协商报文或是IPSec传输模式报文:
1、如果是kerberos报文或密钥协商报文,则将报文送入到kerberos协议栈或密钥协议栈处理,然后将报文回应至IP网络,并将源地址修改为软交换设备的地址。
2、如果报文是IPSec传输模式报文,则将报文送入到IPSec协议栈处理,将解密后的明文转发给软交换设备201进一步处理;软交换设备201对其处理完毕后,再由代理设备205的IPSec协议栈加密后返回给IP网络。
在本发明实施例中,增加了代理设备205,并通过代理设备205上的代理路由和协议栈,实现代理业务的处理,由此,解决了现有方案无法将代理业务集成到硬件资源非常有限的软交换设备上的难题,且简便易行。
与上述方法相对应,本发明实施例还提供一种用于HFC网络接入系统、用于实现业务代理的代理装置,该代理装置可以是代理设备205或是代理设备205中的功能实体,具体地,所述代理装置可以是指防火墙设备或路由器设备。
参见图4,为该代理装置内部结构示意图,包括路由表预置单元401、报文接收单元402、路由匹配单元403以及代理控制单元404。
其中:
路由表预置单元401,主要用于设置并保存报文转发路由表,其中,所述路由表中包括带有代理标识的代理路由表项。
报文接收单元402,用于从IP网络接收报文。
路由匹配单元403,用于按照所接收报文信息匹配所述路由表。
代理控制单元404,用于在所述路由匹配单元403匹配的路由表项为代理路由表项时,将所述报文发送至预置的协议栈进行业务处理。
具体地,协议栈与代理路由表项是对应的,包括kerberos协议栈、密钥协商协议栈或IPSec传输模式协议栈。其中,密钥协商协议栈包括IKE协议栈和SKIP协议栈等。
另外,参见图5,该代理装置还可包括回应单元501。
回应单元501,主要用于将所述协议栈业务处理后的报文回应给IP网络。
或者,参见图6,该代理装置还可包括转发单元601。
转发单元601,用于将所述协议栈业务处理后的报文按照目的地址进行转发。
对于本发明实施例提供的代理装置,可直接采用现有的防火墙等网络设备实现,在设计上保证一定的硬件空间,可满足大量代理业务的处理工作,提供整个HFC系统的运行效率。
此外,本发明实施例还提供一种实现业务代理的系统,所述系统是指基于HFC网络的接入系统,包括软交换设备和IP网络,在所述IP网络和软交换设备之间设置代理设备,所述代理设备包括以下单元(参见图4):
路由表预置单元401,用于设置并保存报文转发路由表,其中,所述路由表中包括带有代理标识的代理路由表项;
报文接收单元402,用于从IP网络接收报文;
路由匹配单元403,用于按照所接收报文的信息匹配所述报文转发路由表;
代理控制单元404,用于在所述路由匹配单元403匹配的路由表项为代理路由表项时,将所述报文发送至预置的协议栈进行业务处理。
优选地,所述代理设备还包括(参见图5):
回应单元501,主要用于将所述协议栈业务处理后的报文直接回应给IP网络,并将报文源地址设置为软交换设备的地址。
优选地,所述代理设备还包括(参见图6):
转发单元601,用于将所述协议栈业务处理后的报文按照目的地址进行转发。
本发明实施例提供的系统较现有的HFC接入系统,仅是通过增加代理设备即可实现,可有效解决现有方案无法将代理业务集成到软交换设备中的问题,且简单易行,易于扩展。
本领域普通技术人员可以理解,实现上述实施例的方法的过程可以通过程序指令相关的硬件来完成,所述的程序可以存储于可读取存储介质中,该程序在执行时执行上述方法中的对应步骤。所述的存储介质可以如:ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种实现业务代理的装置,其特征在于,所述装置设置在IP网络和软交换设备之间,并包括以下单元:
路由表预置单元,用于设置并保存报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
2.根据权利要求1所述装置,其特征在于,还包括:
回应单元,用于将所述协议栈业务处理后的报文回应给IP网络,并将报文源地址设置为软交换设备的地址。
3.根据权利要求1所述装置,其特征在于,还包括:
转发单元,用于将所述协议栈业务处理后的报文按照目的地址转发给软交换设备。
4.根据权利要求1、2或3所述装置,其特征在于,所述装置是指防火墙设备或路由器设备。
5.一种实现业务代理的系统,其特征在于,包括软交换设备、IP网络和代理设备,所述代理设备设置在所述IP网络和软交换设备之间,所述代理设备包括以下单元:
路由表预置单元,用于设置并保存报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
6.一种实现业务代理的方法,其特征在于,包括:
获取网络报文;
查找预置的报文转发路由表;
若获取的网络报文与所述预置的报文转发路由表中的代理路由表项相匹配时,将所述网络报文发送至所述代理路由表项对应的协议栈进行业务处理。
7.根据权利要求6所述方法,其特征在于,还包括:
将业务处理后的网络报文回应给发送所述网络报文的IP网络,或者,将业务处理后的网络报文按照目的地址转发给软交换设备。
8.根据权利要求7所述方法,其特征在于,在将报文回应给IP网络时,将源地址修改为软交换设备的地址。
9.根据权利要求7所述方法,其特征在于,回应给IP网络的报文包括网络认证协议kerberos报文或密钥协商报文;按照目的地址转发给软交换设备的报文包括网络安全协议IPSec传输模式报文。
10.根据权利要求9所述方法,其特征在于,所述密钥协商报文包括互联网密钥交换IKE报文或互联网简单密钥管理协议SKIP报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101351705A CN101345774B (zh) | 2008-08-13 | 2008-08-13 | 实现业务代理的装置、系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101351705A CN101345774B (zh) | 2008-08-13 | 2008-08-13 | 实现业务代理的装置、系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101345774A CN101345774A (zh) | 2009-01-14 |
| CN101345774B true CN101345774B (zh) | 2012-02-29 |
Family
ID=40247656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101351705A Expired - Fee Related CN101345774B (zh) | 2008-08-13 | 2008-08-13 | 实现业务代理的装置、系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101345774B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585376A (zh) * | 2003-08-20 | 2005-02-23 | 华为技术有限公司 | 一种地址转换方法及实现该方法的混合地址转换路由器 |
| CN1968227A (zh) * | 2006-06-29 | 2007-05-23 | 华为技术有限公司 | 一种无线接入网关支持透明代理的系统及方法 |
| CN101141372A (zh) * | 2006-09-07 | 2008-03-12 | 上海贝尔阿尔卡特股份有限公司 | 接入设备中用于管理路由信息和数据转发的方法及装置 |
| US20080144625A1 (en) * | 2006-12-14 | 2008-06-19 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method |
-
2008
- 2008-08-13 CN CN2008101351705A patent/CN101345774B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1585376A (zh) * | 2003-08-20 | 2005-02-23 | 华为技术有限公司 | 一种地址转换方法及实现该方法的混合地址转换路由器 |
| CN1968227A (zh) * | 2006-06-29 | 2007-05-23 | 华为技术有限公司 | 一种无线接入网关支持透明代理的系统及方法 |
| CN101141372A (zh) * | 2006-09-07 | 2008-03-12 | 上海贝尔阿尔卡特股份有限公司 | 接入设备中用于管理路由信息和数据转发的方法及装置 |
| US20080144625A1 (en) * | 2006-12-14 | 2008-06-19 | Array Networks, Inc. | Dynamic system and method for virtual private network (VPN) application level content routing using dual-proxy method |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101345774A (zh) | 2009-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8037297B2 (en) | Network and node for providing a secure transmission of mobile application part messages | |
| EP1145521B1 (en) | SYSTEM AND METHOD FOR ENABLING SECURE CONNECTIONS FOR H.323 VoIP CALLS | |
| EP2312791B1 (en) | Key management for telephone calls to protect signaling and call packets between cta's | |
| US7536720B2 (en) | Method and apparatus for accelerating CPE-based VPN transmissions over a wireless network | |
| FI108827B (fi) | Menetelmä yhteyden suojauksen toteuttamiseksi langattomassa verkossa | |
| US20160127127A1 (en) | Mobile secret communications method based on quantum key distribution network | |
| KR101501913B1 (ko) | 멀티캐스트 서비스 품질 모듈 및 방법 | |
| CN114553422A (zh) | VoLTE语音加密通信方法、终端及系统 | |
| CN110061962A (zh) | 一种视频流数据传输的方法和装置 | |
| CN102905199B (zh) | 一种组播业务实现方法及其设备 | |
| US8181013B2 (en) | Method, media gateway and system for transmitting content in call established via media gateway control protocol | |
| US20050141531A1 (en) | Communication relay method and relay device | |
| CN101621467A (zh) | 一种实现组播vsi的方法、装置及系统 | |
| US8204223B1 (en) | System providing dynamic quality of service signaling messages in a cable telephony network | |
| CN105657040A (zh) | 一种设备间内网通信的方法和系统 | |
| US8898317B1 (en) | Communications system and related method of distributing media | |
| CN101345774B (zh) | 实现业务代理的装置、系统及方法 | |
| CN101651606A (zh) | 报文转发方法、装置及系统 | |
| CN100502328C (zh) | 一种实现多媒体监听的方法、系统及监听媒体网关 | |
| CN113098872B (zh) | 基于量子网络的加密通信系统、方法及融合网关 | |
| CN100450119C (zh) | 在ip视频会议系统中进行密文传输的方法 | |
| US7865621B1 (en) | Open settlement protocol bridge for multi-network voice connections | |
| KR20090027287A (ko) | 음성 및 데이터 서비스를 통합적으로 제공하는 위성 통신시스템 및 보안 기능 제공 방법 | |
| US9894109B2 (en) | Lawful intercept in an internet protocol-based telephony system | |
| CN113438178B (zh) | 报文转发方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120229 Termination date: 20190813 |