CN104869180A - 控制终端通信范围的方法和设备 - Google Patents
控制终端通信范围的方法和设备 Download PDFInfo
- Publication number
- CN104869180A CN104869180A CN201410065779.5A CN201410065779A CN104869180A CN 104869180 A CN104869180 A CN 104869180A CN 201410065779 A CN201410065779 A CN 201410065779A CN 104869180 A CN104869180 A CN 104869180A
- Authority
- CN
- China
- Prior art keywords
- terminal
- message
- mapping relation
- message sent
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 230000006854 communication Effects 0.000 title claims abstract description 50
- 238000004891 communication Methods 0.000 title claims abstract description 50
- 238000013507 mapping Methods 0.000 claims abstract description 140
- 238000001914 filtration Methods 0.000 claims abstract description 66
- 239000000284 extract Substances 0.000 claims description 14
- 230000008569 process Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 7
- 230000007613 environmental effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000007175 bidirectional communication Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种控制终端通信范围的方法和设备,涉及移动分组域网络领域。通过运营商网络中的分组数据网网关或控制装置建立PPP连接/隧道与应用服务器地址列表之间的映射关系,并根据该映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤,以实现终端与客户网络中特定应用服务器之间的通信,达到控制终端通信范围的目的,进而提高通信的安全性,方便企业进行管理。
Description
技术领域
本发明涉及移动分组域网络领域,特别涉及一种控制终端通信范围的方法和设备。
背景技术
很多行业应用采用运营商网络接入其终端,同时客户拥有的后端网络(“客户网络”)也接入运营商网络。客户的终端与其后端网络中的应用服务器基于运营商网络进行通信,完成特定的功能,例如水文采集、环保监控等。
由于部分客户的终端在特定的应用中使用,部分客户希望,从系统管理角度看,企业分发给安装人员或使用人员的UIM(UserIdentity Module,用户识别模块)卡内置在终端以后,只用来访问企业指定的某个或某几个特定的应用服务器;从安全性角度看,内置上述UIM卡的终端只允许和用户特定的应用服务器之间的双向通信,不允许来自其它IP地址的应用服务器对这些终端的访问。
然而,目前采用的VPDN(Virtual Private Dial-up Networks,虚拟专用拨号网)机制能够实现内置某个客户手机卡的终端和这个客户网络之间的双向通信。即,运营商网络只能控制这些终端的路由到客户的某个网络,不能控制这些终端与客户网络中的某个或某几个特定应用服务器之间进行通信。
发明内容
本发明实施例所要解决的一个技术问题是:如何控制终端通信范围的问题。
根据本发明实施例的一个方面,提出一种控制终端通信范围的方法,包括:分组数据网网关根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系;分组数据网网关根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,分组数据网网关根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系包括:分组数据网网关响应于终端发起的PPP连接请求,向验证授权和记账AAA服务器发起鉴权请求,PPP连接请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI;AAA服务器响应于分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并将匹配记录中的应用服务器地址列表返回给分组数据网网关;分组数据网网关接收AAA服务器返回的应用服务器地址列表,并建立PPP连接与应用服务器地址列表之间的映射关系。
在一个实施例中,分组数据网网关根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤包括:分组数据网网关接收到终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文;或者,所述分组数据网网关接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识,并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,并过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
在一个实施例中,该方法还包括:分组数据网网关在PPP连接终止时,删除PPP连接与应用服务器地址列表之间的映射关系。
根据本发明实施例的再一个方面,提出一种控制终端通信范围的方法,包括:控制装置根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系;控制装置根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,控制装置根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系包括:控制装置响应于终端发起的隧道建立请求,向验证授权和记账AAA服务器发起鉴权请求,隧道建立请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI;AAA服务器响应于控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并将匹配记录中的应用服务器地址列表返回给控制装置;控制装置接收AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
在一个实施例中,控制装置根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤包括:控制装置接收到终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文;或者,控制装置接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识,查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
在一个实施例中,该方法还包括:控制装置在隧道拆除时,删除隧道与应用服务器地址列表之间的映射关系。
根据本发明实施例的又一个方面,提出一种控制终端通信范围的分组数据网网关,包括:映射关系建立模块,用于根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系;报文过滤模块,用于根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,映射关系建立模块,具体用于:响应于终端发起的PPP连接请求,向验证授权和记账AAA服务器发起鉴权请求,PPP连接请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI,以便AAA服务器响应于分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;接收AAA服务器返回的应用服务器地址列表,并建立PPP连接与应用服务器地址列表之间的映射关系。
在一个实施例中,报文过滤模块,具体用于:接收到终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文;接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识,并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,并过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
在一个实施例中,分组数据网网关还包括:映射关系删除模块,用于在PPP连接终止时,删除PPP连接与应用服务器地址列表之间的映射关系。
根据本发明实施例的另一个方面,提出一种控制终端通信范围的控制装置,包括:映射关系建立模块,用于根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系;报文过滤模块,用于根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,映射关系建立模块,具体用于:响应于终端发起的隧道建立请求,向验证授权和记账AAA服务器发起鉴权请求,隧道建立请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI,以便AAA服务器响应于控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;接收AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
在一个实施例中,报文过滤模块,具体用于:接收到终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文;接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识,查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
在一个实施例中,该控制装置还包括:映射关系删除模块,用于在隧道拆除时,删除隧道与应用服务器地址列表之间的映射关系。
本发明实施例至少具有以下优点:
一方面,终端向运营商网络的分组数据网网关发起PPP连接过程,分组数据网网关建立PPP连接与应用服务器地址列表之间的映射关系,并根据该映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤,以实现终端与客户网络中特定应用服务器之间的通信,达到控制终端通信范围的目的,进而提高通信的安全性,方便企业进行管理。另外,在映射关系建立时,分组数据网网关响应于终端发起的PPP连接向AAA服务器发起鉴权,AAA服务器在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找并将返回与鉴权请求中的IMSI和NAI匹配的记录,分组数据网网关建立PPP连接与应用服务器地址列表之间的映射关系。
另一方面,终端向运营商网络的控制装置发起隧道建立过程,控制装置建立隧道与应用服务器地址列表之间的映射关系,并根据该映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤,以实现终端与客户网络中特定应用服务器之间的通信,达到控制终端通信范围的目的,进而提高通信的安全性,方便企业进行管理。另外,在映射关系建立时,控制装置响应于终端发起的隧道建立请求向AAA服务器发起鉴权,AAA服务器在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找并将返回与鉴权请求中的IMSI和NAI匹配的记录,控制装置建立隧道与应用服务器地址列表之间的映射关系。
再一方面,由于采用集中的分组数据网网关或控制装置进行终端通信范围的控制,因此,在客户网络通过专线接入时,可以降低客户网络接入路由器配置过滤规则的复杂性(尤其是客户有多个接入网络时);在客户网络采用公网接入时,可以避免公网上其它无关设备进行“IP扫描”而消耗无效的空口IP流量。
通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明控制终端通信范围的一个示例性的网络结构示意图。
图2为本发明基于图1所示的网络结构提出的控制终端通信范围的方法一个实施例的流程示意图。
图3为本发明基于图1所示的网络结构提出的控制终端通信范围的方法再一个实施例的流程示意图。
图4为本发明控制终端通信范围的再一个示例性的网络结构示意图。
图5为本发明基于图4所示的网络结构提出的控制终端通信范围的方法一个实施例的流程示意图。
图6为本发明基于图4所示的网络结构提出的控制终端通信范围的方法再一个实施例的流程示意图。
图7为本发明控制终端通信范围的分组数据网网关一个实施例的结构示意图。
图8为本发明控制终端通信范围的分组数据网网关再一个实施例的结构示意图。
图9为本发明控制终端通信范围的控制装置一个实施例的结构示意图。
图10为本发明控制终端通信范围的控制装置再一个实施例的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
很多行业应用采用运营商网络接入其终端,同时客户拥有的后端网络(“客户网络”)也接入运营商网络,运营商网络例如是蜂窝无线网络。客户的终端与其后端网络中的应用服务器基于运营商网络进行通信,完成特定的功能,例如水文采集、环保监控等。运营商网络中包括AAA(Authentication Authorization Accounting,验证授权和记账)服务器、PDN GW(Packet Data Network Gateway,分组数据网网关)、专用的控制装置等,在本发明实施例中,可以由运营商网络的分组数据网网关或者控制装置来集中地控制终端的通信范围,下面分别说明。
图1为本发明控制终端通信范围的一个示例性的网络结构示意图。如图1所示,终端及其客户网络分别接入运营商网络,运营商网络中包括AAA服务器和分组数据网网关,并由分组数据网网关来控制终端的通信范围,客户网络中包括一个或多个应用服务器,各个应用服务器可以通过普通的接入设备连接到接入网络。需要说明的是,普通的接入设备是相对于带有特定功能,例如LNS(L2TP NetworkServer,第二层隧道协议网络服务器)功能的专用路由器提出的,即不带附加功能仅具备接入网络功能的设备。
图2为本发明基于图1所示的网络结构提出的控制终端通信范围的方法一个实施例的流程示意图。在本实施例中,在网络结构层面,不需要增加新的设备,需要对AAA服务器和分组数据网网关的功能进行改造。并且,还需要对AAA服务器进行数据预配置,每个客户使用特定的NAI(Network Access Identifier,网络接入标识),在业务开通阶段,终端提交IMSI(International Mobile SubscriberIdentification Number,国际移动用户识别码)、NAI和其应用服务器地址列表(通常为应用服务器IP地址列表)到AAA服务器,AAA服务器建立IMSI、NAI和应用服务器地址列表之间的绑定关系。其中,IMSI、NAI和应用服务器地址列表之间的绑定关系的形式例如可以是:IMSI和NAI的绑定关系(AAA服务器将限制该IMSI只能使用该NAI访问数据业务)以及NAI和其应用服务器地址列表的绑定关系(AAA服务器将限制使用该NAI的用户只能访问这些应用服务器)。另外,NAI例如可以是用户名客户名.[固定域名],每个客户使用一个“客户名”,可以使用多个“用户名”。
如图2所示,本实施例控制终端通信范围的方法包括以下步骤:
步骤S201,分组数据网网关根据终端发起的PPP(Point To PointProtocol,点对点传输协议)连接过程建立PPP连接与应用服务器地址列表之间的映射关系。
作为一种示例性的实现方法,步骤S201例如可以采用步骤S301~S305来建立映射关系。
步骤S202,分组数据网网关根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
作为一种示例性的实现方法,步骤S202中“对于终端发送的报文进行目的地址过滤”例如可以包括:分组数据网网关接收到终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文。
作为一种示例性的实现方法,步骤S202中“对于发往终端的报文进行源地址过滤”例如可以包括:分组数据网网关接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识(分组数据网网关还存储有会话标识与终端地址之间的对应关系,根据该对应关系可以确定与该目的地址对应的会话标识),并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,然后过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
上述为报文快速过滤方法,不需要提取IP报文,而是直接提取底层承载协议报文头中的会话标识和内部IP报文头中的IP地址进行过滤,提高了报文过滤效率。
图3为本发明基于图1所示的网络结构提出的控制终端通信范围的方法再一个实施例的流程示意图。如图3所示,本实施例的方法包括以下步骤:
步骤S301,终端发起PPP连接请求,该PPP连接请求携带终端的IMSI和终端接入网络用的NAI。
步骤S302,分组数据网网关响应于终端发起的PPP连接请求,向AAA服务器发起鉴权请求,该鉴权请求携带终端的IMSI和终端接入网络用的NAI。
步骤S303,AAA服务器响应于分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,如果没有查找到匹配记录,则拒绝终端接入,如果查找到匹配记录,执行步骤S304。
步骤S304,AAA服务器将匹配记录中的应用服务器地址列表返回给分组数据网网关,例如,可以采用Radius(Remote AuthenticationDial In User Service,远程用户拨号认证服务)协议扩展字段的方式返回给分组数据网网关。
步骤S305,分组数据网网关接收AAA服务器返回的应用服务器地址列表,建立PPP连接,并建立PPP连接与应用服务器地址列表之间的映射关系。
步骤S306,可选的,分组数据网网关向终端返回PPP连接建立响应,例如,PPP连接建立成功或PPP连接建立失败等。
在PPP连接建立成功后,分组数据网网关对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤,对于目的地址和源地址不在映射关系记录中的报文,进行报文过滤。图3中示出应用服务器地址不在映射关系记录中被过滤掉的报文(“×”)和应用服务器地址在映射关系记录中正常传送的报文(“v”)。
在PPP连接终止时,分组数据网网关可以删除PPP连接与应用服务器地址列表之间的映射关系。
图4为本发明控制终端通信范围的再一个示例性的网络结构示意图。如图4所示,终端及其客户网络分别接入运营商网络,运营商网络中包括AAA服务器和专用的控制装置(可以保留现网中的分组数据网网关),并由控制装置来控制终端的通信范围,客户网络中包括一个或多个应用服务器,各个应用服务器可以通过普通的接入设备连接到接入网络。
图5为本发明基于图4所示的网络结构提出的控制终端通信范围的方法一个实施例的流程示意图。在本实施例中,在网络结构层面,需要在运营商网络侧新增控制装置,该控制装置执行类似L2TP隧道的LNS功能,同时进行报文的双向过滤,实现终端的受控地址访问。并且,还需要对AAA服务器进行数据预配置,具体参考前述,这里不再赘述。
如图5所示,本实施例控制终端通信范围的方法包括以下步骤:
步骤S501,控制装置根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系。
作为一种示例性的实现方法,步骤S501例如可以采用步骤S601~S605来建立映射关系。其中,隧道例如可以是VPDN隧道。
步骤S502,控制装置根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
作为一种示例性的实现方法,步骤S502中“对于终端发送的报文进行目的地址过滤”例如可以包括:控制装置接收到终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文。
作为一种示例性的实现方法,步骤S502中“对于发往终端的报文进行源地址过滤”例如可以包括:控制装置接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识(控制装置还存储有隧道标识与终端地址之间的对应关系,根据该对应关系可以确定与该目的地址对应的隧道标识),查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
上述为报文快速过滤方法,不需要提取IP报文,而是直接提取底层承载协议报文头中的隧道标识和内部IP报文头中的IP地址进行过滤,并且不需要提取底层承载协议报文头中的会话标识,提高了报文过滤效率。
图6为本发明基于图4所示的网络结构提出的控制终端通信范围的方法再一个实施例的流程示意图。如图6所示,本实施例的方法包括以下步骤:
步骤S601,终端向控制装置发起隧道建立请求,该隧道建立请求携带终端的IMSI和终端接入网络用的NAI。需要说明的是,一个隧道对应一个NAI。
步骤S602,控制装置响应于终端发起的隧道建立请求,向AAA服务器发起鉴权请求,该鉴权请求携带终端的IMSI和终端接入网络用的NAI。
步骤S603,AAA服务器响应于控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,如果没有查找到匹配记录,则拒绝终端建立隧道,如果查找到匹配记录,执行步骤S604。
步骤S604,AAA服务器将匹配记录中的应用服务器地址列表返回给控制装置。
步骤S605,控制装置接收AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
其中,该隧道例如可以采用隧道标识进行标识或者采用隧道标识和会话标识进行标识。优选的,该隧道采用隧道标识进行标识。
步骤S606,可选的,控制装置向终端返回隧道建立响应,例如,隧道建立成功或隧道建立失败等。
在隧道建立成功后,控制装置对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤,对于目的地址和源地址不在映射关系记录中的报文,进行报文过滤。图6中示出应用服务器地址不在映射关系记录中被过滤掉的报文(“×”)和应用服务器地址在映射关系记录中正常传送的报文(“v”)。
在隧道拆除时,控制装置可以删除隧道与应用服务器地址列表之间的映射关系。
图7为本发明控制终端通信范围的分组数据网网关一个实施例的结构示意图。如图7所示,本实施例的分组数据网网关包括:
映射关系建立模块701,用于根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系;以及
报文过滤模块702,用于根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,映射关系建立模块701,具体用于:响应于终端发起的PPP连接请求,向验证授权和记账AAA服务器发起鉴权请求,PPP连接请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI,以便AAA服务器响应于分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;接收AAA服务器返回的应用服务器地址列表,并建立PPP连接与应用服务器地址列表之间的映射关系。
在一个实施例中,报文过滤模块702,具体用于:接收到终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文;或者,接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识,并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,并过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
图8为本发明控制终端通信范围的分组数据网网关再一个实施例的结构示意图。如图8所示,分组数据网网关还包括:映射关系删除模块803,用于在PPP连接终止时,删除PPP连接与应用服务器地址列表之间的映射关系。
图9为本发明控制终端通信范围的控制装置一个实施例的结构示意图。如图9所示,本实施例的控制装置包括:
映射关系建立模块901,用于根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系;以及
报文过滤模块902,用于根据映射关系对于终端发送的报文和发往终端的报文分别进行目的地址过滤和源地址过滤。
在一个实施例中,映射关系建立模块901具体用于:响应于终端发起的隧道建立请求,向验证授权和记账AAA服务器发起鉴权请求,隧道建立请求和鉴权请求携带终端的国际移动用户识别码IMSI和终端接入网络用的网络接入标识NAI,以便AAA服务器响应于控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;接收AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
在一个实施例中,报文过滤模块902,具体用于:接收到终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文;或者,接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识,查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
图10为本发明控制终端通信范围的控制装置再一个实施例的结构示意图。如图10所示,本实施例的控制装置还包括:映射关系删除模块1003,用于在隧道拆除时,删除隧道与应用服务器地址列表之间的映射关系。
本发明实施例还提出一种控制终端通信范围的系统,该系统包括分组数据网网关和AAA服务器,或者,该系统包括控制装置和AAA服务器。分组数据网网关和控制装置参考前述。AAA服务器用于存储IMSI、NAI和应用服务器地址列表之间的绑定关系,并在绑定关系中查找与鉴权请求中的IMSI和NAI匹配的记录,并将匹配记录中的应用服务器地址列表返回给分组数据网网关或控制装置。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种控制终端通信范围的方法,包括:
分组数据网网关根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系;
所述分组数据网网关根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤。
2.根据权利要求1所述的方法,其特征在于,所述分组数据网网关根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系包括:
所述分组数据网网关响应于终端发起的PPP连接请求,向验证授权和记账AAA服务器发起鉴权请求,所述PPP连接请求和所述鉴权请求携带所述终端的国际移动用户识别码IMSI和所述终端接入网络用的网络接入标识NAI;
所述AAA服务器响应于所述分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与所述鉴权请求中的IMSI和NAI匹配的记录,并将匹配记录中的应用服务器地址列表返回给所述分组数据网网关;
所述分组数据网网关接收所述AAA服务器返回的应用服务器地址列表,并建立PPP连接与应用服务器地址列表之间的映射关系。
3.根据权利要求1所述的方法,其特征在于,所述分组数据网网关根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤包括:
所述分组数据网网关接收到所述终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找所述终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤所述终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文;或者,
所述分组数据网网关接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识,并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,并过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,还包括:
所述分组数据网网关在PPP连接终止时,删除PPP连接与应用服务器地址列表之间的映射关系。
5.一种控制终端通信范围的方法,包括:
控制装置根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系;
所述控制装置根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤。
6.根据权利要求5所述的方法,其特征在于,所述控制装置根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系包括:
所述控制装置响应于终端发起的隧道建立请求,向验证授权和记账AAA服务器发起鉴权请求,所述隧道建立请求和所述鉴权请求携带所述终端的国际移动用户识别码IMSI和所述终端接入网络用的网络接入标识NAI;
所述AAA服务器响应于所述控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与所述鉴权请求中的IMSI和NAI匹配的记录,并将匹配记录中的应用服务器地址列表返回给所述控制装置;
所述控制装置接收所述AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
7.根据权利要求5所述的方法,其特征在于,所述控制装置根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤包括:
所述控制装置接收到所述终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找所述终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤所述终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文;或者,
所述控制装置接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识,查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
8.根据权利要求5-7任一项所述的方法,其特征在于,还包括:
所述控制装置在隧道拆除时,删除隧道与应用服务器地址列表之间的映射关系。
9.一种控制终端通信范围的分组数据网网关,包括:
映射关系建立模块,用于根据终端发起的点对点传输协议PPP连接过程建立PPP连接与应用服务器地址列表之间的映射关系;
报文过滤模块,用于根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤。
10.根据权利要求9所述的分组数据网网关,其特征在于,所述映射关系建立模块,具体用于:
响应于终端发起的PPP连接请求,向验证授权和记账AAA服务器发起鉴权请求,所述PPP连接请求和所述鉴权请求携带所述终端的国际移动用户识别码IMSI和所述终端接入网络用的网络接入标识NAI,以便所述AAA服务器响应于所述分组数据网网关发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与所述鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;
接收所述AAA服务器返回的应用服务器地址列表,并建立PPP连接与应用服务器地址列表之间的映射关系。
11.根据权利要求9所述的分组数据网网关,其特征在于,所述报文过滤模块,具体用于:
接收到所述终端发送的上行报文后,提取报文头中的会话标识和报文内部IP报文头中的目的地址,查找所述终端发送的上行报文的目的地址是否在该会话标识对应的映射关系记录中,并过滤所述终端发送的上行报文的目的地址不在该会话标识对应的映射关系记录中的报文;或者,
接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的会话标识,并查找该IP报文的源地址是否在该会话标识对应的映射关系记录中,并过滤该IP报文的源地址不在该会话标识对应的映射关系记录中的报文。
12.根据权利要求9-11任一项所述的分组数据网网关,其特征在于,还包括:
映射关系删除模块,用于在PPP连接终止时,删除PPP连接与应用服务器地址列表之间的映射关系。
13.一种控制终端通信范围的控制装置,包括:
映射关系建立模块,用于根据终端发起的隧道建立过程建立隧道与应用服务器地址列表之间的映射关系;
报文过滤模块,用于根据所述映射关系对于所述终端发送的报文和发往所述终端的报文分别进行目的地址过滤和源地址过滤。
14.根据权利要求13所述的控制装置,其特征在于,所述映射关系建立模块,具体用于:
响应于终端发起的隧道建立请求,向验证授权和记账AAA服务器发起鉴权请求,所述隧道建立请求和所述鉴权请求携带所述终端的国际移动用户识别码IMSI和所述终端接入网络用的网络接入标识NAI,以便所述AAA服务器响应于所述控制装置发起的鉴权请求,在IMSI、NAI和应用服务器地址列表之间的绑定关系中查找与所述鉴权请求中的IMSI和NAI匹配的记录,并返回匹配记录中的应用服务器地址列表;
接收所述AAA服务器返回的应用服务器地址列表,并建立隧道与应用服务器地址列表之间的映射关系。
15.根据权利要求13所述的控制装置,其特征在于,所述报文过滤模块,具体用于:
接收到所述终端发送的上行报文后,提取报文头中的隧道标识和报文内部IP报文头中的目的地址,查找所述终端发送的上行报文的目的地址是否在该隧道标识对应的映射关系记录中,并过滤所述终端发送的上行报文的目的地址不在该隧道标识对应的映射关系记录中的报文;或者,
接收到外部设备发送的下行IP报文后,提取IP报文头中的源地址和目的地址,根据提取的目的地址判断该IP报文是否为发往所述终端的报文,响应于该IP报文是发往所述终端的报文的判断结果,确定与该目的地址对应的隧道标识,查找该IP报文的源地址是否在该隧道标识对应的映射关系记录中,并过滤该IP报文的源地址不在该隧道标识对应的映射关系记录中的报文。
16.根据权利要求13-15任一项所述的控制装置,其特征在于,还包括:
映射关系删除模块,用于在隧道拆除时,删除隧道与应用服务器地址列表之间的映射关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410065779.5A CN104869180B (zh) | 2014-02-26 | 2014-02-26 | 控制终端通信范围的方法和设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410065779.5A CN104869180B (zh) | 2014-02-26 | 2014-02-26 | 控制终端通信范围的方法和设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104869180A true CN104869180A (zh) | 2015-08-26 |
CN104869180B CN104869180B (zh) | 2018-12-04 |
Family
ID=53914695
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410065779.5A Active CN104869180B (zh) | 2014-02-26 | 2014-02-26 | 控制终端通信范围的方法和设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104869180B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106371355A (zh) * | 2016-08-30 | 2017-02-01 | 苏州嘉展科技有限公司 | 一种通过蜂窝组网采集和控制数控设备的智能终端及方法 |
CN114024943A (zh) * | 2020-07-16 | 2022-02-08 | 北京吉视汇通科技有限责任公司 | 基于i-pon的多媒体数据业务处理方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101305581A (zh) * | 2005-11-26 | 2008-11-12 | 国际商业机器公司 | 用于访问控制的方法、装置和计算机程序 |
CN101616076A (zh) * | 2009-07-28 | 2009-12-30 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
CN103051598A (zh) * | 2011-10-17 | 2013-04-17 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
CN103457878A (zh) * | 2013-09-05 | 2013-12-18 | 电子科技大学 | 一种基于流的网络接入控制方法 |
-
2014
- 2014-02-26 CN CN201410065779.5A patent/CN104869180B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101305581A (zh) * | 2005-11-26 | 2008-11-12 | 国际商业机器公司 | 用于访问控制的方法、装置和计算机程序 |
CN101616076A (zh) * | 2009-07-28 | 2009-12-30 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
CN103051598A (zh) * | 2011-10-17 | 2013-04-17 | 中兴通讯股份有限公司 | 安全接入互联网业务的方法、用户设备和分组接入网关 |
CN103457878A (zh) * | 2013-09-05 | 2013-12-18 | 电子科技大学 | 一种基于流的网络接入控制方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106371355A (zh) * | 2016-08-30 | 2017-02-01 | 苏州嘉展科技有限公司 | 一种通过蜂窝组网采集和控制数控设备的智能终端及方法 |
CN106371355B (zh) * | 2016-08-30 | 2018-11-20 | 苏州嘉展科技有限公司 | 一种通过蜂窝组网采集和控制数控设备的智能终端及方法 |
CN114024943A (zh) * | 2020-07-16 | 2022-02-08 | 北京吉视汇通科技有限责任公司 | 基于i-pon的多媒体数据业务处理方法及系统 |
CN114024943B (zh) * | 2020-07-16 | 2024-04-12 | 北京吉视汇通科技有限责任公司 | 基于i-pon的多媒体数据业务处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN104869180B (zh) | 2018-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2556468C2 (ru) | Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента | |
EP2760174A1 (en) | Virtual private cloud access authentication method and related apparatus | |
US20200137061A1 (en) | Cross Access Login Controller | |
US9503881B2 (en) | Method, device, and system for user equipment to access evolved packet core network | |
US20070036120A1 (en) | Method and system for WLAN user equipment accessing new operation network | |
CN106789527B (zh) | 一种专线网络接入的方法及系统 | |
CN103067342B (zh) | 一种使用eap进行外部认证的设备、系统及方法 | |
JP5982690B2 (ja) | ネットワークコンバージェンスの方法、デバイス、および通信システム | |
CA2419853A1 (en) | Location-independent packet routing and secure access in a short-range wireless networking environment | |
EP2263396A1 (en) | Access through non-3gpp access networks | |
WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
CN107733764B (zh) | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 | |
CN109246762A (zh) | 一种本地业务分流方法及装置 | |
CN109600292A (zh) | 一种lac路由器自拨号发起l2tp隧道连接的方法及系统 | |
WO2014101755A1 (zh) | 业务数据分流方法及系统 | |
CN111431787A (zh) | 一种隧道建立方法、装置及计算机可读存储介质 | |
CN105101274B (zh) | 报文转发方式的配置方法和装置 | |
CN104253798A (zh) | 一种网络安全监控方法和系统 | |
EP2180608A1 (en) | Realization method and system for binding access point and operator | |
US20190171610A1 (en) | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device | |
CN104869180B (zh) | 控制终端通信范围的方法和设备 | |
CN101499993B (zh) | 一种认证方法、设备和系统 | |
JP5647964B2 (ja) | 親の無線端末に従属する子の無線端末のアクセスを規制する無線ルータ、プログラム及びアクセス方法 | |
CN105493540A (zh) | 一种无线局域网用户侧设备及信息处理方法 | |
CN103227822A (zh) | 一种p2p通信连接建立方法和设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |