CN102215154A - 网络业务的访问控制方法及终端 - Google Patents
网络业务的访问控制方法及终端 Download PDFInfo
- Publication number
- CN102215154A CN102215154A CN2010101420100A CN201010142010A CN102215154A CN 102215154 A CN102215154 A CN 102215154A CN 2010101420100 A CN2010101420100 A CN 2010101420100A CN 201010142010 A CN201010142010 A CN 201010142010A CN 102215154 A CN102215154 A CN 102215154A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- terminal
- business
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2575—NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Abstract
本发明涉及一种网络业务的访问控制方法及终端,该方法基于具备无线局域网接入能力和移动网络接入能力的终端实现,该方法包括:路由建立步骤,所述终端获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,建立对应本地IP地址的互联网业务路由选项以及对应远端IP地址的分组域业务路由选项;路由匹配步骤,所述终端根据原始业务报文的目的地址匹配业务路由选项;报文封装发送步骤,所述终端根据匹配的业务路由选项封装原始业务报文,并发送封装后的业务数据报文。本发明网络业务的访问控制方法及终端,以支持同时访问多个网络的网络业务。
Description
技术领域
本发明涉及移动通信领域,特别是涉及一种网络业务的访问控制方法及终端。
本发明描述了一种固定移动融合(FMC Fix-Mobile Convergence)终端上移动业务的控制方法,此类移动终端既可接入无线局域网(WLAN WirelessLocal Area Network),也可以接入CDMA 1x、CDMA evdo、GSM/GPRS、UMTS、TDS-CDMA等移动网络。使用本发明描述的方法,终端上不同的应用可以根据配置要求,同时使用不同的无线接入网络并使用网络中的移动应用服务。
背景技术
世界范围内无线局域网在最近的演化和成功展开产生了要把它们与3G移动网络如GSM/GPRS、UMTS、CDMA2000等融合在一起的需求。这种融合的主要目的是发展出新的移动数据网络,使得在热点地区能以非常高数据速率支持普遍存在的数据业务,同时减轻大量数据业务给3G移动网络带来的数据流量上的压力。目前国内的三大电信运营商均发展了自己的无线局域网络,在固网与移动融合已成为全球电信业发展趋势的背景下,发展无线局域网和其他移动网络融合,以支撑并开拓新型移动数据业务,是必然的选择。终端不仅需具备多种无线接入能力,也要考虑在多种接入的情况下,如何控制手机应用对网络的访问,以便在各类复杂网络环境下确保用户正常使用各类移动互联网应用及移动运营商所部署的移动业务,以满足不同用户的个性化需求。
现有市面上的WLAN/3G或WLAN/2G手机在dual radio即两种无线接入同时接入网络时,只能有一个网络接入可以用,这种情况下,如果移动分组域接入可用,访问Internet上应用是移动运营商控制的,有些互联网上的业务很可能根本无法使用,访问会被移动运营商阻止,比如移动可以屏蔽skype,如果WLAN接入可用,则移动的业务如彩信业务就无法使用。
发明内容
本发明要解决的问题是提供一种网络业务的访问控制方法及终端,以支持同时访问多个网络的网络业务。
为解决以上技术问题,本发明提供一种网络业务的访问控制方法,该方法基于具备无线局域网接入能力和移动网络接入能力的终端实现,该方法包括:
路由建立步骤,所述终端获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,建立对应本地IP地址的互联网业务路由选项以及对应远端IP地址的分组域业务路由选项;
路由匹配步骤,所述终端根据原始业务报文的目的地址匹配业务路由选项;
报文封装发送步骤,所述终端根据匹配的业务路由选项封装原始业务报文,并发送封装后的业务数据报文。
进一步地,路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过接入移动网络建立分组域链路获取远端IP地址;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,封装后的分组域业务数据报文的源地址为远端IP地址。
进一步地,报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文,通过无线协议栈用户面的功能接口收发分组域业务数据报文。
进一步地,路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过利用本地IP地址所在链路建立安全隧道,获得远端IP地址,建立对应远端IP地址的分组域业务路由选项时,同时建立本地IP地址对应的隧道路由选项;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,根据分组域业务路由选项及隧道路由选项二次封装后的分组域业务数据报文的内层源地址为源端IP地址,外层源地址为本地IP地址。
进一步地,报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文及分组域业务数据报文,且所述分组域业务数据报文对应安全隧道终端侧端口。
进一步地,路由建立步骤中,网络业务启动时触发终端获取本地或远端IP地址,或终端网络业务启动前主动获取本地或远端IP地址。
进一步地,所述终端根据终端中预置的或动态下载到该终端的业务配置信息执行路由建立步骤,所述业务配置信息包括业务关联的链路信息及路由配置信息;
所述路由建立步骤具体包括:某业务启动时,所述终端根据该业务关联的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;
所述终端根据所述路由配置信息以及获取的本端或远端IP地址建立相应的业务路由选项。
进一步地,所述互联网业务路由选项或分组域业务路由选项采用缺省默认的方式表示。
进一步地,所述业务配置信息还包括安全策略信息,当某个需要安全隧道的分组域业务启动时,路由建立步骤还包括:所述终端根据安全策略信息生成安全隧道的策略条目,利用本地IP所在链路建立安全隧道,建立本地IP地址对应的隧道路由选项;
路由匹配步骤中,所述终端根据所述安全策略信息匹配隧道路由选项及分组域业务路由选项;
报文封装发送步骤中,所述终端根据分组域业务路由选项及隧道路由选项进行二次封装,二次封装后的分组域业务数据报文的内层源地址为源端IP地址,外层源地址为本地IP地址。
进一步地,所述互联网业务路由选项及隧道路由选项采用缺省默认方式表示,或,分组域业务路由选项或的采用缺省默认的方式表示。
为解决以上技术问题,本发明还提供一种终端,该终端具备无线局域网接入能力和移动网络接入能力,该终端包括:应用单元、路由控制单元、报文处理单元和报文收发单元,其中,
应用单元,用于管理分组域业务和互联网业务的业务配置信息,并生成及处理原始业务报文;
所述路由建立单元,与所述应用单元连接,用于根据所述应用单元的业务配置信息获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,以及建立对应本地IP地址的互联网业务路由选项、对应远端IP地址的分组域业务路由选项;
所述报文处理单元,与所述应用单元及路由建立单元连接,用于根据原始业务报文的目的地址匹配所述路由建立单元建立的业务路由选项,并根据匹配的业务路由选项将原始业务报文封装为业务数据报文;还用于将报文收发单元接收的业务数据报文解封装为原始业务报文;
所述报文收发单元,与所述报文处理单元连接,用于接收网络侧发送的目的地址为本地IP地址或远端IP地址的业务数据报文,以及向网络侧发送所述报文处理单元封装处理后的源地址为本地IP地址或远端IP地址的业务数据报文。
进一步地,
应用单元,包括若干个移动互联网业务模块、若干个移动分组域业务模块及应用控制器模块,所述路由建立单元包括IP地址获取模块及路由控制模块,其中:
移动互联网业务模块和移动分组域业务模块用于分别运行移动互联网业务和移动分组域业务,并生成及处理原始业务报文;所述应用控制器模块,用于对互联网业务模块及分组域业务模块中的业务进行管理,并记录相应的业务配置信息,在业务启动时将相应的业务配置信息发送给路由建立单元,所述述业务配置信息包括业务相关的链路信息及路由配置信息;
所述IP地址获取模块,用于根据所述业务相关的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;
所述路由控制模块根据所述路由配置信息及所述IP地址模块新获取的或已有的本地或远端IP地址建立相应的业务路由选项。
进一步地,所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过建立分组域链路,获取远端IP地址。
进一步地,所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过利用本地IP所在链路建立安全隧道,获得远端IP地址;所述路由建立单元还包括安全隧道建立模块,所述路由配置信息还包括对应安全隧道的安全隧道信息,安全隧道信息包括安全策略信息及网络侧隧道端口设备的IP地址或域名;当需要安全隧道的分组域业务启动时,所述应用控制器模块根据所述安全策略信息生成安全隧道策略条目,将所述安全隧道策略条目及网络侧隧道端口设备的IP地址或域名发送给所述安全隧道建立模块,触发所述安全隧道建立模块建立安全隧道;所述安全隧道建立模块,根据所述应用控制器模块的触发利用所述本地IP地址所在链路建立安全隧道,并通知所述IP地址获取模块,所述IP地址获取模块利用已建立的安全隧道获取远端IP地址。
进一步地,所述报文处理单元包括TCP/IP模块,用于接收移动互联网业务模块或移动分组域业务模块发送的原始业务报文,根据所述原始业务报文的目标地址匹配业务路由选项,封装为业务数据报文;收到报文收发单元接收的业务数据报文后,解封装后发送给对应的移动互联网业务模块或移动分组域业务模块。
进一步地,
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口,其中无线链路接口用于收发移动互联网业务数据报文,所述无线协议栈用户面功能接口用于收发移动分组域业务数据报文。
进一步地,所述数据处理单元还包括与TCP/IP模块连接的数据安全模块,所述TCP/IP模块对分组域业务的原始业务报文封装后的源、目的地址分别为远端IP地址和分组域业务服务器的IP地址,判断需要通过安全隧道发送时,还用于将封装后的数据报文发送给数据安全模块;所述数据安全模块用于对封装后的报文再次进行隧道数据封装,隧道封装后的业务数据报文的目的地址为网络侧隧道端口设备的IP地址,所述数据安全模块将隧道封装后的业务数据报文再次发送给TCP/IP模块;所述TCP/IP模块还用于根据隧道封装后的业务数据报文的目的地址匹配路由选项并进行二次报文封装,二次封装后,业务数据报文的源地址为本地IP地址;所述报文收发单元通过所述无线链路接口及建立的安全隧道发送二次封装的分组域业务数据报文。
进一步地,所述业务配置信息还包括业务数据流的加密套件,所述应用控制器模块还用于将业务数据流的加密套件传递给数据安全模块;所述数据安全模块根据该加密套件进行加密校验。
为解决以上技术问题,本发明还提供一种网络业务的访问控制方法,该方法基于具备多个网络接入能力的终端实现,该方法包括:
所述终端获取各网络分配的IP地址,并根据本地路由策略建立对应各IP地址的各网络的业务路由选项;
所述终端访问网络业务时,根据原始业务报文的目的地址匹配对应的业务路由选项,并根据匹配的业务路由选项封装及发送业务数据报文。
进一步地,终端在网络业务启动时获取所属网络分配的IP地址,或在网络业务启动前主动获取所属网络分配的IP地址。
附图说明
图1为本发明终端的模块结构图。
图2为固定移动融合网络的示意图。
图3为本发明网络业务的访问控制方法的流程示意图。
图4为本发明网络业务的访问控制方法实施例一的流程示意图。
图5为本发明网络业务的访问控制方法实施例二的流程示意图。
具体实施方式
本发明网络业务的访问控制方法及终端的主要思想在于,具备至少两个网络接入能力的终端获取各网络分配的IP地址,并建立对应各IP地址的业务路由选项;当终端访问网络业务时,根据原始业务报文的目的地址匹配对应的业务路由选项,并根据匹配的业务路由选项封装及发送业务数据报文。本发明针对不同的网络业务建立不同的业务路由选项,使具备多个网络接入能力的终端在同时访问多个网络的网络业务时,避免各网络业务之间相互影响,从而提升用户的使用体验及满足个性化需求。
本发明所说的终端具备两个或多个网络的接入能力,所说网络可以是无线局域网(Wireless Local Area Network,WLAN)、CDMA 1x、CDMA evdo、GSM/GPRS、UMTS、TDS-CDMA、WCDMA中的两个或多个,本发明中将具备两个以上网络接入能力的终端简称为多网络终端。
目前具备多网络接入能力的终端以具备无线局域网接入能力,同时具备某一移动网络(CDMA 1x、CDMA evdo、GSM/GPRS、UMTS、TDS-CDMA或WCDMA,以下简称移动网络)接入能力的终端为多,以下主要以此类终端为例,对本发明方法和终端进行详细说明。
下面结合附图对本发明的技术方案进行更详细的说明,图1是本发明中终端的示意图,不同终端操作系统上实现方式会有不同,终端中各单元或模块的划分也可以有所不同,但原理大致类似。
如图1所示,具备无线局域网接入能力和移动网络接入能力的终端包括应用单元、路由建立单元、报文处理单元及报文收发单元,其中:
应用单元,用于管理分组域业务和互联网业务的业务配置信息,并生成及处理原始业务报文;
所述路由建立单元,与所述应用单元连接,用于根据所述应用单元的业务配置信息获取无线局域网分配的IP地址(本文中称为本地IP地址)及核心网分组域设备分配的IP地址(本文中称为远端IP地址),以及建立对应本地IP地址的互联网业务路由选项、对应远端IP地址的分组域业务路由选项;
所述报文处理单元,与所述应用单元及路由建立单元连接,用于根据原始业务报文的目的地址匹配所述路由建立单元建立的业务路由,并根据匹配的业务路由将原始业务报文封装为业务数据报文;还用于将报文收发单元接收的业务数据报文解封装为原始业务报文;
一般来说,原始业务报文的业务数据包含两部分内容,业务的控制面消息和媒体面。具体地,对于不同的应用(业务),其原始业务报文的具体封装方法各有不同,例如,对于视频电话这一应用,需要控制信令来建立会话,这个控制信令的报文就是SIP协议报文,它是建立在TCP或UDP层之上的,由TCP或UDP来封装;视频或音频的数据是RTP协议来封装编码的媒体数据,这个RTP同样也是建立在UDP层次之上的,需要被UDP协议来封装;再比如上网是通过HTTP协议,这里面没有控制面和媒体面,就是HTTP协议带了HTML的网页数据,里面有图片文本等信息,其采用TCP封装。因本发明不关心具体的业务类型及封装格式,因此统称为对原始业务报文进行封装。
所述报文收发单元,与所述报文处理单元连接,用于接收网络侧发送的目的地址为本地IP地址或远端IP地址的业务数据报文,以及向网络侧发送所述报文处理单元封装处理后的源地址为本地IP地址或远端IP地址的业务数据报文。
以下对各功能单元进一步展开描述,如图1所示:
应用单元,包括一个或若干个移动互联网业务模块、一个或若干个移动分组域业务模块及应用控制器模块,所述路由建立单元包括IP地址获取模块及路由控制模块,其中:
移动互联网业务模块和移动分组域业务模块用于分别实现特定的移动互联网业务和移动分组域业务,生成及处理原始业务报文;
本发明中,对于具备无线局域网接入能力和移动网络接入能力的终端来说,其包括至少一个移动互联网业务模块和至少一个移动分组域业务模块,如图1所示。
移动互联网业务指代那些通过WLAN链路接入国际互联网即可访问的应用功能,比如QQ、Skype、MSN等。
移动分组域业务指代那些由移动运营商部署并控制,终端需要通过移动分组域链路,通过分组域网关设备,才能访问的应用,比如彩信业务、中国移动的DCD或者联通的手机报等等。移动互联网业务可以通过网络下载到终端上,也可以由PC通过USB或蓝牙等数据通道传输到手机等终端上。某些手机操作系统支持这样的下载软件安装到手机上,而有些手机操作系统并不支持动态下载安装,而是出厂时预置在手机版本里;而移动分组业务一般都是运营商定制的,一般手机出厂就已经具体这类业务应用功能。
应用控制器模块,用于对互联网业务模块及分组域业务模块中的业务进行管理,并记录相应的业务配置信息,在业务启动时将相应的业务配置信息发送给路由建立单元。
应用控制器监听终端上分组域业务和互联网业务的启动和关闭,管理这些这些业务的业务配置信息。
当分组域业务是预置在终端里的,会有与之配套的业务配置信息,如果是动态下载并安装于终端上,也会随应用软件一同下载的业务配置信息,这些业务配置信息由应用控制器管理。移动分组业务都是由移动网络运营商控制,上述业务配置信息可以通过某种网络服务器动态下发配置信息,比如采用OMA DM规范,也不排除其他类似机制来实现。
所述述业务配置信息包括业务相关的链路信息及路由配置信息,其中:
业务关联的链路信息,举例说明,比如QQ被指定使用WLAN链路而彩信被指定使用分组域链路,当业务启动时,应用控制器模块监听到启动事件后会通知IP地址获取模块根据当前链路状态来决定是否发起分组域链路拨号或是发起WLAN链路建立过程,直至获取本地或远端IP地址。
路由配置信息指与具体的业务路由选项建立相关的信息,比如是网络侧业务服务器的IP地址及端口号、网络侧业务服务器的域名等。
IP地址获取模块,用于根据所述业务相关的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;
以下为两种获取本地IP地址及远端IP地址的方式:
方式一:所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过建立分组域链路,获取远端IP地址。
IP地址获取模块在无线网链路上获取IP,需要完成无线局域网链路建立过程,并依靠本地静态设置IP或者是依靠DHCP(Dynamic Host ConfigurationProtocol)协议实现,完成本地IP地址获取;IP地址获取模块在移动分组域链路上完成IP获取,需要完成分组域链路建立过程,并从此过程中得到远端IP地址。简而言之,此模块包含了无线局域网链路建立和移动分组域链路建立功能,并包括DHCP功能,在两类链路建立过程中,还包含了安全认证方面的功能,此功能与本专利无关,不做详细介绍。
方式二:所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过利用本地IP所在链路建立安全隧道,获得远端IP地址;
IP地址获取模块在获取本地IP地址的过程中,还将获得由无线局域网配置的终端本地路由信息,如网络侧网关信息;在获取远端IP地址的过程中,也将获得由核心网分组域配置的终端本地路由信息,如网络侧的网关信息。另外终端在获得IP地址后,还将自动生成对应的终端侧端口。
举例来说,当无线局域网采用DHCP方式获取IP时,DHCP协议定义了WLAN网络侧在发送给终端的IP获取请求响应消息里除了携带分配给终端的IP地址以外,还携带无线局域网上终端所要用到的网关信息,终端在无线局域网上发送的报文,第一跳都会到该网关。
与WLAN类似地,分组域链路拨号,即GPRS拨号在终端成功执行后,核心网的分组域网关执行DHCP的过程,给终端分配IP地址和网关信息。
IP地址获取模块将获取的IP地址、本地路由信息及端口信息传递到路由控制模块,由路由控制模块生成对应的业务路由选项。
路由控制模块,用于根据所述路由配置信息及所述IP地址模块新获取的或已有的本地或远端IP地址建立相应的业务路由。
对于互联网业务而言,因互联网业务的服务器地址可能是动态变化的,其路由配置信息可以是提供特定互联网业务的服务器的域名,当业务启动时,应用控制器模块监听到启动事件后,通知IP地址获取模块获取IP地址,通知路由控制模块向域名解析(DNS)服务器获取相应的互联网业务服务器的IP地址。
对分组域业务而言,其路由配置信息可以是业务服务器的IP地址和端口信息。
报文处理单元包括TCP/IP(传输控制协议/网际协议)模块,用于接收移动互联网业务模块或移动分组域业务模块发送的原始业务报文,根据所述原始业务报文的目标地址匹配业务路由,封装为业务数据报文;收到报文收发单元接收的业务数据报文后,解封装后发送给对应的移动互联网业务模块或移动分组域业务模块。
TCP/IP模块接收到移动互联网业务模块或者移动分组域业务模块的发送数据报文时,根据IP报文头域字段中目标地址字段,匹配特定业务路由来决定从哪个本地设备端口上发送数据。TCP/IP模块收到报文收发单元接收的业务数据报文,解析IP报文头域和TCP或UDP报文头域后,交给各类业务程序。
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口,其中无线链路接口用于收发移动互联网业务数据报文,所述无线协议栈用户面功能接口用于收发移动分组域业务数据报文。
进一步地,
采用第二种方式获取远端IP地址时,所述路由建立单元还包括安全隧道建立模块,对于需要安全隧道的分组域业务而言,所述路由配置信息还包括对应安全隧道的安全隧道信息,安全隧道信息包括安全策略信息及网络侧隧道端口设备的IP地址或域名;当需要安全隧道的分组域业务启动时,所述应用控制器模块根据所述安全策略信息生成安全隧道策略条目,将所述安全隧道策略条目及网络侧隧道端口设备的IP地址或域名发送给所述安全隧道建立模块,触发所述安全隧道建立模块建立安全隧道;所述安全隧道建立模块,根据所述应用控制器模块的触发利用所述本地IP地址所在链路建立安全隧道,并通知所述IP地址获取模块利用已建立的安全隧道获取远端IP地址。
如果在安全策略信息中配置的是网络侧隧道端口设备的域名,则在安全隧道的建立过程中,安全隧道建立模块将首先通过查询域名解析系统(DNS)获得网络侧隧道端口设备的IP地址,并将该网络侧隧道端口设备的IP地址传递给路由控制模块,以建立与本地IP地址对应的隧道路由选项。
可理解的,安全隧道信息可对应一个或多个需要安全隧道的业务。
采用第二种方式获取远端IP地址时,所述数据处理单元还包括与TCP/IP模块连接的数据安全模块,所述TCP/IP模块对分组域业务的原始业务报文封装后源、目的地址分别为远端IP地址和分组域业务服务器的IP地址,判断需要通过安全隧道发送时,还用于将封装后的数据报文发送给数据安全模块;所述数据安全模块用于对封装后的报文再次进行隧道数据封装,隧道封装后的业务数据报文的目的地址为网络侧隧道端口设备的IP地址,所述数据安全模块将隧道封装后的业务数据报文再次发送给TCP/IP模块;所述TCP/IP模块还用于再次根据隧道封装后的业务数据报文的目的地址匹配路由选项并进行二次报文封装,二次封装后,业务数据报文的源地址为本地IP地址;所述报文收发单元通过所述无线链路接口及建立的安全隧道发送二次封装的分组域业务数据报文。
相应地,所述TCP/IP模块接收到报文收发单元接收的业务数据报文后,如为隧道加密报文,用于先转交给数据安全模块进行隧道解封装,并对数据安全模块解密后的业务数据报文进行解封装,再转交给相应的业务模块进行处理。
对于有加密机制的业务而言,业务配置信息还包括业务数据流的加密套件。
应用控制器模块还用于将业务数据流的加密套件传递给数据安全模块,数据安全模块根据该加密套件进行加密校验。
根据业务配置信息中网络侧隧道端口设备的信息配置情况,所述数据安全模块从应用控制器模块或隧道安全建立模块获取网络侧隧道端口设备的IP地址,以实现隧道封装。例如,若业务配置信息中已配置网络侧隧道端口设备的IP地址,则由应用控制器模块直接将该网络侧隧道端口设备的IP地址传递到数据安全模块;若业务配置信息中配置网络侧隧道端口设备的域名,则由安全隧道建立模块在获取网络侧隧道端口设备的IP地址后传递给数据安全模块,或由安全隧道建立模块传递给应用控制器模块,再由应用控制器模块传递给数据安全模块。
安全隧道有多种实现方案,包括IP层次上隧道实现和数据链路层上的隧道实现。数据安全模块根据具体的安全隧道机制进行隧道封装,具体的隧道封装方法不是本发明所关注的,无论采用哪种隧道封装方式,隧道封装后的业务数据报文的目的地址都指向网络侧隧道端口设备的IP地址。
无线局域网链路上,TCP/IP模块调用报文收发单元中的无线局域网络的无线链路接口用来发送和接收业务数据报文,在移动网络无线链路上,TCP/IP模块调用报文收发单元中的无线协议栈用户面的功能接口(如PDCP(PacketData Convergence Protocol,分组数据会聚协议)功能接口或PPP(Point to PointProtocol,点对点协议)功能接口)发送和接收业务数据报文。
图1中报文收发单元既对应无线局域网接入时终端协议栈中对应于报文收发的协议层次,也对应移动网络接入中用户面协议栈中对应于报文收发的协议层次;分组域拨号和无线局域网接入过程可以由终端上需要进行网络访问的某个应用发起,也可以由用户通过界面独立操作,多种无线链路使用同一个TCP/IP模块,分组域拨号功能和无线局域网设备驱动与TCP/IP模块的关系不在本专利讨论范围之内。
终端各模块之间的接口关系参见附图1,可理解地,各接口所实现的功能是相应模块功能的一部分,以下简单描述图1中各接口:
接口1,通用的TCP/IP协议的应用编程接口,接口具体参数和名称可能因操作系统不同而略有不同,完成应用程序到TCP/IP模块之间的原始业务报文的封装、发送和接收、解包工作。
接口2,新增或删除分组域业务时,应用控制器模块需要的注册接口,通过此接口,应用控制器模块监听各个业务模块启动关闭事件、接收每个业务对应的配置信息。
接口3,应用控制器模块根据当前应用状态和终端配置信息中的路由策略,控制终端路由选项,各个手机操作系统中路由机制实现不同,所以具体的修改路由操作,由路由控制模块完成,此接口仅传递路由配置信息。
接口4,应用控制器模块通过此接口将业务相关的链路信息发送给IP地址获取模块。
接口5,应用控制器模块通过此接口将安全隧道策略条目发送给安全隧道建立模块。
接口6,应用控制器模块通过此接口将业务数据流的加密套件以及网络侧隧道端口设备的IP地址发送给数据安全模块,以应用于具体数据加密及校验过程。
接口7,数据安全模块通过此接口完成数据发送过程中的隧道数据封装,和数据接收过程中的IP数据包分析,并将解密和校验后的IP数据返回给TCP/IP协议模块。
当实施安全隧道机制时,终端向网络侧发送数据的过程中,数据安全模块通过接口7实现隧道分组的封装和相应的加密校验功能,完成封装后通过该接口7发送给TCP/IP模块,由TCP/IP模块匹配路由选项后调用无线局域网络的无线链路接口完成IP报文发送。终端从网络侧接收数据的过程中,TCP/IP模块从无线局域网设备端口收取数据,确认为隧道加密报文后,通过接口7转交给数据安全模块来解析IP报文,进行校验和解密过程,再通过接口7转交TCP/IP模块完成IP报文及TCP/UDP报文处理流程。
接口8,TCP/IP模块在发送数据时,会参考业务路由选项,以决定数据发送从哪一个数据链路层上设备端口发送。这个过程在一般都TCP/IP协议栈中都有实现。
接口9,在无线局域网链路上,TCP/IP协议模块调用无线局域网络的无线链路接口,在移动网络无线链路上,TCP/IP协议模块调用无线协议栈用户面的功能接口,如PDCP功能接口或PPP功能接口。
融合网络下包括终端与业务服务器在内各网络节点间关系参见附图2。此图中终端为实现了本方法的、拥有多种网络接入能力的终端。
如图3所示,本发明网络业务的访问控制方法,包括:
步骤301:路由建立步骤,终端获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,建立对应本地IP地址的互联网业务路由选项以及对应远端IP地址的分组域业务路由选项;
步骤302:路由匹配步骤,终端根据原始业务报文的目的地址匹配业务路由选项;
步骤303:报文封装发送步骤,终端根据匹配的业务路由选项封装原始业务报文,并发送封装后的业务数据报文。
路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过接入移动网络建立分组域链路获取远端IP地址;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,封装后的分组域业务数据报文的源地址为远端IP地址。见以下实施例一。
报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文,通过无线协议栈用户面的功能接口收发分组域业务数据报文。
路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过利用本地IP地址所在链路建立安全隧道,获得远端IP地址,建立对应远端IP地址的分组域业务路由选项时,同时建立本地IP地址对应的隧道路由选项;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,根据分组域业务路由选项及隧道路由选项二次封装后的分组域业务数据报文的内层源地址为远端IP地址,外层源地址为本地IP地址。见以下实施例二
报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文及分组域业务数据报文,且所述分组域业务数据报文对应安全隧道终端侧端口(即安全隧道建立后,获取远端IP地址时所生成的虚拟设备端口)。
路由建立步骤中,网络业务启动时触发终端获取本地或远端IP地址,或终端网络业务启动前主动获取本地或远端IP地址。
所述终端根据终端中预置的或动态下载到该终端的业务配置信息执行路由建立步骤,所述业务配置信息包括业务关联的链路信息及路由配置信息;所述路由建立步骤具体包括:某业务启动时,所述终端根据该业务关联的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;所述终端根据所述路由配置信息以及获取的本端或远端IP地址建立相应的业务路由选项。
所述业务配置信息还包括安全策略信息,当某个需要安全隧道的分组域业务启动时,路由建立步骤还包括:所述终端根据安全策略信息生成安全隧道的策略条目,利用本地IP所在链路建立安全隧道,建立本地IP地址对应的隧道路由选项;
路由匹配步骤中,所述终端根据所述安全策略信息匹配隧道路由选项及分组域业务路由选项;
报文封装发送步骤中,所述终端根据分组域业务路由选项及隧道路由选项进行二次封装,二次封装后的分组域业务数据报文的内层源地址为远端IP地址,外层源地址为本地IP地址。
所述互联网或分组域的业务路由选项采用缺省默认的方式表示。
以下结合附图及具体实施例对本发明方法进行详细说明:
实施例一
如图4所示,实施例一中,终端的应用控制器在监听到业务启动后建立相应链路获取本地或远端IP地址,具体包括以下步骤:
步骤401:终端接入无线局域网,得到本地IP地址;
终端上启动移动互联网业务,当应用控制器模块监听到业务启动的消息后,调出对应的业务配置信息,根据业务相关的链路配置信息,结合当前链路状态,触发并建立了无线局域网接入链路,获取无线局域网络分配的合法IP地址或本地静态设置的IP地址,即本地IP地址。
步骤402:终端接入移动网络,得到远端IP地址;
终端上启动移动分组域业务,当应用控制器模块监听到业务启动的消息后,调出对应的配置信息,根据业务相关的链路配置信息,结合当前链路状态,触发并建立了移动网络分组链路,获取移动核心网分组域设备分配给终端的IP,即远端IP地址。
以上步骤401和步骤402不分先后。
当无线局域网链路或移动分组域链路已经建立、IP已经获取时,则无需再次发起链路建立过程和IP获取过程。此时终端拥有本地IP地址和远端IP地址。举例来说,当终端有QQ、MSN两个无线局域网业务模块时,如果根据QQ业务已获取了本地IP地址,则再启动MSN业务时,无需再获取本地IP地址。
步骤403:应用控制器模块监听到配置使用移动网络分组链路的应用程序(即业务)启动;
步骤404:应用控制器模块根据该应用程序的业务配置信息修改本地路由选项;
应用控制器将检索出分组域业务相关的路由配置信息,并通过路由控制模块,新增本地路由选项,此条路由会使得TCP/IP模块在发送所有目标地址为移动分组域业务服务器IP的IP报文都经由远端IP对应的设备端口发送,而那些目的地址不是分组域业务服务器IP地址的IP报文,将在缺省的路由控制(在本实施例中,移动互联网业务的路由选项采用缺省路由控制方法)下,从本地IP地址对应的无线局域网设备端口上发送。这样当前终端上两个业务的数据在终端侧实现分流,分别通过无线局域网链路和移动分组域链路完成与各自服务器的数据传输,终端实现两种接入方式下两类业务并发。
步骤405:应用程序的数据流根据匹配的路由选项,选择移动网络分组链路访问网络服务。
实施例二
图5为本发明施例二的示意图。移动分组域业务的链路配置可以设定为选择无线局域网链路上终端与移动分组域设备间安全隧道来访问分组域业务服务器,访问移动分组域业务的过程包括:
步骤501:终端接入无线局域网,得到本地IP地址;
终端上启动移动互联网业务,当应用控制器模块监听到业务启动的消息后,调出对应的业务配置信息,根据业务相关的链路配置信息,结合当前链路状态,触发并建立了无线局域网接入链路,通过无线局域网接入认证,获取无线局域网络分配的合法IP地址或本地静态设置的IP地址,即本地IP地址。
步骤502:终端利用本地IP地址所在的链路建立安全隧道,得到远端IP地址;
终端上启动移动分组域业务,当应用控制器模块监听到业务启动的消息后,调出对应的配置信息,根据业务相关的链路配置信息,结合当前链路状态,利用本地IP地址所在的链路建立安全隧道,获取移动核心网分组设备分配给终端的IP,即远端IP地址。
在实际网络部署中,网络侧隧道端口设备和移动核心网分组设备在某些情况下是合设的,物理上表现为一台设备,本发明所说的网络侧隧道端口设备和移动核心网分组设备是两个逻辑功能实体。
终端发起移动分组域拨号流程,拨号成功后,核心网分组域设备为终端分配了远端IP地址,此IP地址在终端本地会对应到安全隧道终端侧端口上。终端通过此IP可以访问分组域业务服务器或者与业务对端通信。
在该实施例中,步骤502必须以步骤501为基础。
当无线局域网链路及安全隧道已经建立、IP已经获取时,则无需再次发起IP获取过程。此时终端拥有并保持本地IP地址和远端IP地址有效。
步骤503:应用控制器模块监听到配置使用安全隧道的应用程序(即业务)启动;
步骤404:应用控制器模块根据该应用程序的业务配置信息修改本地路由选项;
应用控制器将检索出分组域业务相关的路由配置信息,并通过路由控制模块,新增本地路由选项,此条路由会使得TCP/IP模块在发送所有目标地址为移动分组域业务服务器IP的IP报文都经由远端IP对应的设备端口发送,这个设备端口即上文提到的安全隧道在终端一侧的端口,数据安全模块在此次数据于安全隧道端口发送的过程中,在TCP/IP模块向数据链路层提交发送数据时接管发送流程,在进行完数据加密和数据报文的隧道封装后,再次转交TCP/IP模块,此时分组域业务的数据报文已经完成加密和隧道封装,IP报文的目的地址不再是业务服务器的IP地址,而是安全隧道网络侧设备地址,根据上文描述流程,此类IP报文将不再匹配由分组域业务的本地路由选项,而根据缺省路由通过本地IP地址及其对应的无线局域网设备端口发送。安全隧道网络侧设备会完成对此类IP报文的隧道封装的拆包和解密工作,并将内部的业务数据的IP报文,转交给分组域业务服务器。
安全隧道有多种实现方案,包括IP层次上隧道实现和数据链路层上的隧道实现。当终端采用安全隧道机制时,需要对分组域业务的IP分组或数据链路层报文做加解密和校验计算。终端需要对操作系统提供的数据链路层报文的收发机制做改动。当终端在安全隧道上发送分组域业务的IP报文时,通过独立于TCP/IP协议栈的数据安全模块接管数据链路层数据发送接口,实现隧道分组的封装和相应的加密校验功能,完成封装后调用TCP/IP的IP报文发送接口,再次由终端操作系统的TCP/IP协议栈参考应用控制器控制的路由选项,完成外部IP头封装并在WLAN设备上发送。分组域业务服务器发往终端的IP分组经过隧道核心网一侧设备封装后,通过安全隧道传输,发送给终端。与上述流程相反,终端操作系统TCP/IP协议栈从WLAN设备端口收取数据,转交给数据安全模块来解析IP报文,数据安全模块确认为隧道加密报文后进行校验和解密过程,再交由操作系统提供的数据链路层报文接收接口,终端TCP/IP协议栈的IP报文接收函数获取内部IP报文,此时报文已还原为分组域IP分组,解析IP、TCP或UDP头部后提交上层应用处理。
步骤505:应用程序的数据流根据匹配的路由选项,选择无线局域网链路访问网络服务。
相对与实施例一,不同点在于客户端上移动分组域业务不通过移动分组域链路,而是通过无线局域网链路,仍然可以在建立了安全隧道的前提下访问移动分组域业务。无线局域网上安全隧道建立过程不在本专利讨论范围,在实施了足够的安全措施后,无线局域网上安全隧道在安全性和功能要求方面基本上可以等同与移动网络中分组域链路。此时可通过无线局域网访问互联网应用。
与上述实施例一的流程类似,应用控制器将检索出分组域业务相关的路由配置信息,并通过路由控制模块,新增本地路由,此条路由会使得TCP/IP模块在发送所有目标地址为移动分组域业务服务器IP的IP报文都经由远端IP对应的设备端口发送,
以上实施例一和实施例二中,报文处理单元在发送数据时会参考已建立的业务路由选项,而路由建立单元中具有特定目标地址的业务路由选项都是因移动分组域业务的启动而建立的,该路由建立单元同时提供一个对应本地IP地址的缺省的路由策略。移动互联网的业务数据报文及隧道封装后的分组域业务数据报文在发送过程中,因目标地址与已建立的业务路由选项匹配不上,进而默认移动互联网业务数据报文和/或隧道封装后的分组域业务数据报文匹配缺省的路由策略,从wlan的本地IP地址发送,本地路由策略里会将这个本地IP和wlan物理设备端口联系起来,确保数据就是从wlan这条链路上发送出去。而且wlan上本地ip获取过程中,wlan网络侧也会在分配IP的过程中把网关的配置发过来,终端上给无线互联网业务使用的缺省路由里的网关,就是通过这个配置的。
以上两个实施例中,对应本地IP地址的路由选项都是采用了缺省路由的方式,这样可以简化路由匹配的流程,是本发明的较佳实施方式,同理,在实施例一中,也可将对应远端IP地址的路由选项采用缺省默认的方式表示。可理解的,缺省路由方式实质上是一条默认的路由选项。终端根据本地路由策略决定业务路由选项和/或隧道路由选项的表示方式,无论采用缺省方式或其他别的方式来表示各业务的业务路由选项,其实质是相同的。
应用实例
当安全隧道采用IPsec技术,操作系统采用Linux时,假设终端完成无线局域网接入认证后,得到本地IP为10.30.1.10,经域名解析得到网络侧隧道端口设备的IP地址为10.30.1.100。此时操作系统路由表中部分内容如下所示:
Destination | Gateway | Genmask | Flags | Metric | Ref | Use | Iface |
Default | 10.30.1.10 | 0.0.0.0 | UG | 0 | 0 | 0 | eth0 |
表1
核心网分组域设备在隧道成功建立之后为终端分配远端IP地址为177.136.1.10,已在应用控制器中注册的移动自有业务的服务器地址为177.136.5.20。终端上业务启动后,首先触发安全隧道的建立过程,隧道成功建立后,操作系统路由表中部分内容可能如下所示
Destination | Gateway | Genmask | Flags | Metric | Ref | Use | Iface |
177.136.1.10 | * | 255.255.255.255 | UH | 0 | 0 | 0 | tunnel |
10.30.1.10 | * | 255.255.255.255 | UH | 0 | 0 | 0 | eth0 |
Default | 10.30.1.10 | 0.0.0.0 | UG | 0 | 0 | 0 | eth0 |
表2
表2为终端路由管理过程中的暂时状态,不同实现可能有不同结果。应用管理器在确认隧道成功建立、应用成功启动之后,在上述路由表的基础上修改路由,使得发往业务服务器地址177.136.5.20的IP报文必须通过177.136.1.10所对应的虚拟设备发送,此时路由修改如下
Destination | Gateway | Genmask | Flags | Metric | Ref | Use | Iface |
177.136.1.10 | * | 255.255.255.255 | UH | 0 | 0 | 0 | tunnel |
177.136.5.20 | 177.136.1.10 | 255.255.255.255 | UG | 0 | 0 | 0 | tunnel |
10.30.1.10 | * | 255.255.255.255 | UH | 0 | 0 | 0 | eth0 |
Default | 10.30.1.10 | 0.0.0.0 | UG | 0 | 0 | 0 | eth0 |
表3
在此路由表控制下,只有移动分组域业务的IP报文会通过虚拟设备
tunnel发送到数据安全模块,并在完成加密及校验处理后,由真实的无线局域网设备发送出去,此时IP数据包的头域中的目的地址为10.30.1.100,内部IP头域的目的地址为177.30.5.20。如此时终端同时正在访问INTERNET业务,可通过缺省路由通过终端上无线网络设备接口直接访问。当又有新的移动分组域业务启动并发起网络连接时,应用控制器向当前路由表插入新的路由记录,由新启动业务的服务器IP为目标地址,视177.136.1.10为网关,在虚拟的隧道设备上发送。
综上所述,应用本发明方法,当终端接入无线局域网,并同时存在移动网络分组域链路时,终端可以通过分组域链路访问业务服务器或者和通讯对端交互,同时亦可通过无线局域网直接访问互联网上应用服务,两类应用可以并发进行。当移动网络分组域链路之上存在安全隧道时,所有分组域业务的数据报文可根据各自安全策略进行数据的加密和校验,并通过隧道与业务服务器或通讯对端交互,且不对互联网应用的访问产生影响。本方法实现只限于终端,对网络设备无任何改造要求。
举例说明,某终端具备无线局域网接入能力和WCDMA接入能力,采用本发明方法后,终端选择某一无线局域网络并接入,利用此无线网络,使用终端上基于IP的语音业务(如Skype),在基于IP的语音业务运行的同时,终端收到一条彩信通知,若终端提示用户是否接收彩信,且用户选择接收彩信,或者终端缺省定义为自动接收彩信,终端发起WCDMA的分组域链路建立过程并通过此链路,接入移动运营商彩信服务器接收彩信,彩信接收过程并不影响正在进行的IP语音业务。
基于本发明思想,本发明同样适用于具备三个或三个以上网络接入能力的终端,终端只要获取其所支持的各个网络分配的IP地址,并根据本地路由策略建立对应各IP地址的各网络的业务路由选项,这样当终端访问某个网络业务时,即可根据原始业务报文的目的地址匹配业务路由选项,并根据匹配的业务路由选项进行业务数据报文封装,以对应网络分配的IP地址收发业务数据报文,从而使得各网络业务之间互不干扰,使多个网络业务的并行使用成为可能。
本发明所说的业务路由选项可以根据网络已有的路由机制或策略包括不同的路由信息,如网络侧业务服务器(或通信对端)的IP地址、网络侧网关信息、终端侧端口信息等,可理解地,建立业务路由选项的目的是为了实现业务路由匹配,并据此进行业务报文的封装、发送。鉴于该原则,本发明的业务路由选项至少包括根据该业务所属网络能将业务数据报文进行正常发送接收所需的路由信息。
Claims (20)
1.一种网络业务的访问控制方法,其特征在于,该方法基于具备无线局域网接入能力和移动网络接入能力的终端实现,该方法包括:
路由建立步骤,所述终端获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,建立对应本地IP地址的互联网业务路由选项以及对应远端IP地址的分组域业务路由选项;
路由匹配步骤,所述终端根据原始业务报文的目的地址匹配业务路由选项;
报文封装发送步骤,所述终端根据匹配的业务路由选项封装原始业务报文,并发送封装后的业务数据报文。
2.如权利要求1所述的方法,其特征在于:路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过接入移动网络建立分组域链路获取远端IP地址;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,封装后的分组域业务数据报文的源地址为远端IP地址。
3.如权利要求2所述的方法,其特征在于:报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文,通过无线协议栈用户面的功能接口收发分组域业务数据报文。
4.如权利要求1所述的方法,其特征在于:路由建立步骤中,所述终端通过接入无线局域网建立无线局域网链路获取本地IP地址,通过利用本地IP地址所在链路建立安全隧道,获得远端IP地址,建立对应远端IP地址的分组域业务路由选项时,同时建立本地IP地址对应的隧道路由选项;报文封装发送步骤中,封装后的互联网业务数据报文的源地址为本地IP地址,根据分组域业务路由选项及隧道路由选项二次封装后的分组域业务数据报文的内层源地址为源端IP地址,外层源地址为本地IP地址。
5.如权利要求4所述的方法,其特征在于:报文封装发送步骤中,所述终端通过无线链路接口收发互联网业务数据报文及分组域业务数据报文,且所述分组域业务数据报文对应安全隧道终端侧端口。
6.如权利要求1所述的方法,其特征在于:路由建立步骤中,网络业务启动时触发终端获取本地或远端IP地址,或终端网络业务启动前主动获取本地或远端IP地址。
7.如权利要求1、2或4所述的方法,其特征在于:所述终端根据终端中预置的或动态下载到该终端的业务配置信息执行路由建立步骤,所述业务配置信息包括业务关联的链路信息及路由配置信息;
所述路由建立步骤具体包括:某业务启动时,所述终端根据该业务关联的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;
所述终端根据所述路由配置信息以及获取的本端或远端IP地址建立相应的业务路由选项。
8.如权利要求7所述的方法,其特征在于:所述互联网业务路由选项或分组域业务路由选项采用缺省默认的方式表示。
9.如权利要求7所述的方法,其特征在于:所述业务配置信息还包括安全策略信息,当某个需要安全隧道的分组域业务启动时,路由建立步骤还包括:所述终端根据安全策略信息生成安全隧道的策略条目,利用本地IP所在链路建立安全隧道,建立本地IP地址对应的隧道路由选项;
路由匹配步骤中,所述终端根据所述安全策略信息匹配隧道路由选项及分组域业务路由选项;
报文封装发送步骤中,所述终端根据分组域业务路由选项及隧道路由选项进行二次封装,二次封装后的分组域业务数据报文的内层源地址为源端IP地址,外层源地址为本地IP地址。
10.如权利要求所述的方法,其特征在于:所述互联网业务路由选项及隧道路由选项采用缺省默认方式表示,或,分组域业务路由选项或的采用缺省默认的方式表示。
11.一种终端,其特征在于,该终端具备无线局域网接入能力和移动网络接入能力,该终端包括:应用单元、路由控制单元、报文处理单元和报文收发单元,其中,
应用单元,用于管理分组域业务和互联网业务的业务配置信息,并生成及处理原始业务报文;
所述路由建立单元,与所述应用单元连接,用于根据所述应用单元的业务配置信息获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,以及建立对应本地IP地址的互联网业务路由选项、对应远端IP地址的分组域业务路由选项;
所述报文处理单元,与所述应用单元及路由建立单元连接,用于根据原始业务报文的目的地址匹配所述路由建立单元建立的业务路由选项,并根据匹配的业务路由选项将原始业务报文封装为业务数据报文;还用于将报文收发单元接收的业务数据报文解封装为原始业务报文;
所述报文收发单元,与所述报文处理单元连接,用于接收网络侧发送的目的地址为本地IP地址或远端IP地址的业务数据报文,以及向网络侧发送所述报文处理单元封装处理后的源地址为本地IP地址或远端IP地址的业务数据报文。
12.如权利要求11所述的终端,其特征在于:
应用单元,包括若干个移动互联网业务模块、若干个移动分组域业务模块及应用控制器模块,所述路由建立单元包括IP地址获取模块及路由控制模块,其中:
移动互联网业务模块和移动分组域业务模块用于分别运行移动互联网业务和移动分组域业务,并生成及处理原始业务报文;所述应用控制器模块,用于对互联网业务模块及分组域业务模块中的业务进行管理,并记录相应的业务配置信息,在业务启动时将相应的业务配置信息发送给路由建立单元,所述述业务配置信息包括业务相关的链路信息及路由配置信息;
所述IP地址获取模块,用于根据所述业务相关的链路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程,直至获取本地IP地址或远端IP地址;
所述路由控制模块根据所述路由配置信息及所述IP地址模块新获取的或已有的本地或远端IP地址建立相应的业务路由选项。
13.如权利要求11所述的终端,其特征在于:所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过建立分组域链路,获取远端IP地址。
14.如权利要求11所述的终端,其特征在于:所述IP地址获取模块通过建立无线局域网链路,并依靠本地静态IP设置或DHCP协议获取本地IP地址;通过利用本地IP所在链路建立安全隧道,获得远端IP地址;所述路由建立单元还包括安全隧道建立模块,所述路由配置信息还包括对应安全隧道的安全隧道信息,安全隧道信息包括安全策略信息及网络侧隧道端口设备的IP地址或域名;当需要安全隧道的分组域业务启动时,所述应用控制器模块根据所述安全策略信息生成安全隧道策略条目,将所述安全隧道策略条目及网络侧隧道端口设备的IP地址或域名发送给所述安全隧道建立模块,触发所述安全隧道建立模块建立安全隧道;所述安全隧道建立模块,根据所述应用控制器模块的触发利用所述本地IP地址所在链路建立安全隧道,并通知所述IP地址获取模块,所述IP地址获取模块利用已建立的安全隧道获取远端IP地址。
15.如权利要求14所述的终端,其特征在于:
所述报文处理单元包括TCP/IP模块,用于接收移动互联网业务模块或移动分组域业务模块发送的原始业务报文,根据所述原始业务报文的目标地址匹配业务路由选项,封装为业务数据报文;收到报文收发单元接收的业务数据报文后,解封装后发送给对应的移动互联网业务模块或移动分组域业务模块。
16.如权利要求14所述的终端,其特征在于:
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口,其中无线链路接口用于收发移动互联网业务数据报文,所述无线协议栈用户面功能接口用于收发移动分组域业务数据报文。
17.如权利要求14所述的终端,其特征在于:
所述数据处理单元还包括与TCP/IP模块连接的数据安全模块,所述TCP/IP模块对分组域业务的原始业务报文封装后的源、目的地址分别为远端IP地址和分组域业务服务器的IP地址,判断需要通过安全隧道发送时,还用于将封装后的数据报文发送给数据安全模块;所述数据安全模块用于对封装后的报文再次进行隧道数据封装,隧道封装后的业务数据报文的目的地址为网络侧隧道端口设备的IP地址,所述数据安全模块将隧道封装后的业务数据报文再次发送给TCP/IP模块;所述TCP/IP模块还用于根据隧道封装后的业务数据报文的目的地址匹配路由选项并进行二次报文封装,二次封装后,业务数据报文的源地址为本地IP地址;所述报文收发单元通过所述无线链路接口及建立的安全隧道发送二次封装的分组域业务数据报文。
18.如权利要求17所述的终端,其特征在于:所述业务配置信息还包括业务数据流的加密套件,所述应用控制器模块还用于将业务数据流的加密套件传递给数据安全模块;所述数据安全模块根据该加密套件进行加密校验。
19.一种网络业务的访问控制方法,其特征在于,该方法基于具备多个网络接入能力的终端实现,该方法包括:
所述终端获取各网络分配的IP地址,并根据本地路由策略建立对应各IP地址的各网络的业务路由选项;
所述终端访问网络业务时,根据原始业务报文的目的地址匹配对应的业务路由选项,并根据匹配的业务路由选项封装及发送业务数据报文。
20.如权利要求19所述的方法,其特征在于:终端在网络业务启动时获取所属网络分配的IP地址,或在网络业务启动前主动获取所属网络分配的IP地址。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010142010.0A CN102215154B (zh) | 2010-04-06 | 2010-04-06 | 网络业务的访问控制方法及终端 |
US13/579,119 US20130022033A1 (en) | 2010-04-06 | 2010-08-26 | Method and terminal for access control of network service |
EP10849291.9A EP2533465B1 (en) | 2010-04-06 | 2010-08-26 | Method and terminal for access control of network service |
PCT/CN2010/076394 WO2011124055A1 (zh) | 2010-04-06 | 2010-08-26 | 网络业务的访问控制方法及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010142010.0A CN102215154B (zh) | 2010-04-06 | 2010-04-06 | 网络业务的访问控制方法及终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102215154A true CN102215154A (zh) | 2011-10-12 |
CN102215154B CN102215154B (zh) | 2016-05-25 |
Family
ID=44746291
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010142010.0A Expired - Fee Related CN102215154B (zh) | 2010-04-06 | 2010-04-06 | 网络业务的访问控制方法及终端 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20130022033A1 (zh) |
EP (1) | EP2533465B1 (zh) |
CN (1) | CN102215154B (zh) |
WO (1) | WO2011124055A1 (zh) |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103037358A (zh) * | 2012-12-24 | 2013-04-10 | 杭州浦禾通信技术有限公司 | 基于安卓系统的移动终端的网络通信方法及系统 |
CN103052064A (zh) * | 2011-10-13 | 2013-04-17 | 中国移动通信集团公司 | 一种访问运营商自有业务的方法、设备及系统 |
CN103200072A (zh) * | 2013-05-06 | 2013-07-10 | 吉林省金港计算机网络有限公司 | 一种基于网络的数据传输方法、装置及系统 |
CN103582159A (zh) * | 2012-07-20 | 2014-02-12 | 中兴通讯股份有限公司 | 一种固定移动网络融合场景下的多连接建立方法及系统 |
CN103873444A (zh) * | 2012-12-14 | 2014-06-18 | 中国电信股份有限公司 | 移动终端vpdn在线时访问外网业务的方法、业务转接装置 |
CN105635472A (zh) * | 2016-01-11 | 2016-06-01 | 上海斐讯数据通信技术有限公司 | 一种移动终端及其无线局域网和移动网络并发方法 |
CN108600021A (zh) * | 2018-04-28 | 2018-09-28 | 盛科网络(苏州)有限公司 | 可灵活编程配置的隧道封装芯片实现方法和装置 |
CN109450796A (zh) * | 2018-11-13 | 2019-03-08 | 北京华三通信技术有限公司 | 一种报文转发方法、装置及转发设备 |
CN110266764A (zh) * | 2019-05-21 | 2019-09-20 | 深圳壹账通智能科技有限公司 | 基于网关的内部服务调用方法、装置及终端设备 |
CN110622473A (zh) * | 2017-05-09 | 2019-12-27 | 思科技术公司 | 基于目的地路由网络业务 |
CN111417115A (zh) * | 2020-04-01 | 2020-07-14 | 四川爱联科技有限公司 | 基于数据链路的免密认证方法及系统 |
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5956729B2 (ja) * | 2011-07-22 | 2016-07-27 | キヤノン株式会社 | リレーサーバ、リレーサーバの制御方法、情報処理システム、およびプログラム |
US10009318B2 (en) * | 2012-03-14 | 2018-06-26 | Microsoft Technology Licensing, Llc | Connecting to a cloud service for secure access |
US8879530B2 (en) * | 2012-04-06 | 2014-11-04 | Chris Yonghai Gu | Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN |
US8885626B2 (en) * | 2012-04-06 | 2014-11-11 | Chris Gu | Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN |
CN105610672B (zh) * | 2016-01-14 | 2019-04-26 | 中国联合网络通信集团有限公司 | 一种信息传输的方法及装置 |
US10743190B2 (en) * | 2017-02-27 | 2020-08-11 | Mavenir Networks, Inc. | System and method for network stranded remote radio installation |
US11178032B2 (en) * | 2017-05-12 | 2021-11-16 | Nokia Solutions And Networks Oy | Connectivity monitoring for data tunneling between network device and application server |
CN108600198A (zh) * | 2018-04-04 | 2018-09-28 | 北京百悟科技有限公司 | 防火墙的访问控制方法、装置、计算机存储介质及终端 |
US11038857B1 (en) * | 2019-02-14 | 2021-06-15 | Sprint Communications Company L.P. | Data messaging service with distributed ledger control |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101199231A (zh) * | 2005-06-23 | 2008-06-11 | 诺基亚公司 | 用于移动终端设备的固定网关接入点 |
US20080192681A1 (en) * | 2005-05-20 | 2008-08-14 | Byung-Bog Lee | Multi-Mode User Equipment and Routing Controlling Method Thereby |
CN101352064A (zh) * | 2005-09-30 | 2009-01-21 | 高通股份有限公司 | 无线局域网中的换手 |
CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060271485A1 (en) * | 2005-03-12 | 2006-11-30 | Jiwire, Inc. | Wireless connectivity security technique |
KR100943888B1 (ko) * | 2006-12-07 | 2010-02-24 | 삼성전자주식회사 | 다수의 이종망들을 이용한 패킷 데이터 서비스 장치 및방법 |
EP2071775A1 (en) * | 2007-12-13 | 2009-06-17 | British Telecommunications public limited company | Data access |
US8103278B2 (en) * | 2008-04-01 | 2012-01-24 | Mediatek Inc. | Method and system for managing idle mode of a mobile node with multiple interfaces |
EP2134126A1 (en) * | 2008-05-14 | 2009-12-16 | NEC Corporation | Method for controlling the network selection by the home operator of a mobile user equipment capable of operating in mobile networks and fixed-wireless networks |
US20110093639A1 (en) * | 2009-10-19 | 2011-04-21 | Microchip Technology Incorporated | Secure Communications Between and Verification of Authorized CAN Devices |
-
2010
- 2010-04-06 CN CN201010142010.0A patent/CN102215154B/zh not_active Expired - Fee Related
- 2010-08-26 US US13/579,119 patent/US20130022033A1/en not_active Abandoned
- 2010-08-26 EP EP10849291.9A patent/EP2533465B1/en not_active Not-in-force
- 2010-08-26 WO PCT/CN2010/076394 patent/WO2011124055A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080192681A1 (en) * | 2005-05-20 | 2008-08-14 | Byung-Bog Lee | Multi-Mode User Equipment and Routing Controlling Method Thereby |
CN101199231A (zh) * | 2005-06-23 | 2008-06-11 | 诺基亚公司 | 用于移动终端设备的固定网关接入点 |
CN101352064A (zh) * | 2005-09-30 | 2009-01-21 | 高通股份有限公司 | 无线局域网中的换手 |
CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103052064A (zh) * | 2011-10-13 | 2013-04-17 | 中国移动通信集团公司 | 一种访问运营商自有业务的方法、设备及系统 |
CN103582159A (zh) * | 2012-07-20 | 2014-02-12 | 中兴通讯股份有限公司 | 一种固定移动网络融合场景下的多连接建立方法及系统 |
CN103582159B (zh) * | 2012-07-20 | 2018-11-30 | 南京中兴新软件有限责任公司 | 一种固定移动网络融合场景下的多连接建立方法及系统 |
CN103873444A (zh) * | 2012-12-14 | 2014-06-18 | 中国电信股份有限公司 | 移动终端vpdn在线时访问外网业务的方法、业务转接装置 |
CN103037358B (zh) * | 2012-12-24 | 2016-01-20 | 杭州浦禾通信技术有限公司 | 基于安卓系统的移动终端的网络通信方法及系统 |
CN103037358A (zh) * | 2012-12-24 | 2013-04-10 | 杭州浦禾通信技术有限公司 | 基于安卓系统的移动终端的网络通信方法及系统 |
CN103200072A (zh) * | 2013-05-06 | 2013-07-10 | 吉林省金港计算机网络有限公司 | 一种基于网络的数据传输方法、装置及系统 |
CN103200072B (zh) * | 2013-05-06 | 2016-06-08 | 吉林省金港计算机网络有限公司 | 一种基于网络的数据传输方法、装置及系统 |
CN105635472A (zh) * | 2016-01-11 | 2016-06-01 | 上海斐讯数据通信技术有限公司 | 一种移动终端及其无线局域网和移动网络并发方法 |
CN110622473A (zh) * | 2017-05-09 | 2019-12-27 | 思科技术公司 | 基于目的地路由网络业务 |
US11658898B2 (en) | 2017-05-09 | 2023-05-23 | Cisco Technology, Inc. | Routing network traffic based on destination |
CN110622473B (zh) * | 2017-05-09 | 2022-03-29 | 思科技术公司 | 基于目的地路由网络业务 |
CN108600021B (zh) * | 2018-04-28 | 2021-06-18 | 盛科网络(苏州)有限公司 | 可灵活编程配置的隧道封装芯片实现方法和装置 |
CN108600021A (zh) * | 2018-04-28 | 2018-09-28 | 盛科网络(苏州)有限公司 | 可灵活编程配置的隧道封装芯片实现方法和装置 |
CN109450796B (zh) * | 2018-11-13 | 2019-07-09 | 北京华三通信技术有限公司 | 一种报文转发方法、装置及转发设备 |
CN109450796A (zh) * | 2018-11-13 | 2019-03-08 | 北京华三通信技术有限公司 | 一种报文转发方法、装置及转发设备 |
CN110266764A (zh) * | 2019-05-21 | 2019-09-20 | 深圳壹账通智能科技有限公司 | 基于网关的内部服务调用方法、装置及终端设备 |
CN110266764B (zh) * | 2019-05-21 | 2021-10-26 | 深圳壹账通智能科技有限公司 | 基于网关的内部服务调用方法、装置及终端设备 |
CN111417115A (zh) * | 2020-04-01 | 2020-07-14 | 四川爱联科技有限公司 | 基于数据链路的免密认证方法及系统 |
CN113918999A (zh) * | 2021-12-15 | 2022-01-11 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
EP2533465B1 (en) | 2016-01-27 |
US20130022033A1 (en) | 2013-01-24 |
EP2533465A4 (en) | 2013-12-25 |
WO2011124055A1 (zh) | 2011-10-13 |
CN102215154B (zh) | 2016-05-25 |
EP2533465A1 (en) | 2012-12-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102215154A (zh) | 网络业务的访问控制方法及终端 | |
US7542455B2 (en) | Unlicensed mobile access (UMA) communications using decentralized security gateway | |
US9967738B2 (en) | Methods and arrangements for enabling data transmission between a mobile device and a static destination address | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
US20050259673A1 (en) | Method and system for end-to-end communication between a universal integrated circuit card and a remote entity over an IP-based wireless wide area network and the internet | |
KR20030019356A (ko) | 이동 데이터 통신용 보안 동적 링크 할당 시스템 | |
CN103618736A (zh) | 移动终端自动切换不同通道联网接口的安全应用系统 | |
US9198223B2 (en) | Telecommunication network | |
US20070183408A1 (en) | Mobile network, station, server and method for assigning to a mobile station a fixed and public ip address | |
CN107517189B (zh) | 一种wlan用户接入认证及配置信息下发的方法、设备 | |
WO2015051704A1 (zh) | 移动终端多apn网络并发系统及其联网方法 | |
CA2579538A1 (en) | Method of deploying an access point for an ip-based wireless network | |
TW201540099A (zh) | 高笑遞送輔助服務至多技術可用無線傳輸/接收單元之方法及裝置 | |
US20020075812A1 (en) | Mobile agent connectivity | |
WO2015051703A1 (zh) | 有序管理多路apn并发联网数据传输通道的方法 | |
CN103442450B (zh) | 无线通信方法和无线通信设备 | |
CN101635632B (zh) | 认证与配置方法、系统和装置 | |
CN101547185B (zh) | 一种移动网中防止移动终端间互相攻击的方法及系统 | |
CN101472274B (zh) | 移动终端的通信方法、网络地址管理装置及移动终端 | |
WO2011160384A1 (zh) | 一种通信方法及网关设备 | |
CN110663261B (zh) | 通信设备及通信方法 | |
EP3454583B1 (en) | Network connection method, and secure node determination method and device | |
KR100700020B1 (ko) | 휴지 상태의 단말로 패킷 데이터 서비스를 제공하는 방법및 그 시스템 | |
CN100407692C (zh) | 一种实现ip头压缩的系统及方法 | |
CN1953465A (zh) | 一种获取接入信息的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160525 Termination date: 20210406 |
|
CF01 | Termination of patent right due to non-payment of annual fee |