CN107819732B - 用户终端访问本地网络的方法和装置 - Google Patents
用户终端访问本地网络的方法和装置 Download PDFInfo
- Publication number
- CN107819732B CN107819732B CN201610822884.8A CN201610822884A CN107819732B CN 107819732 B CN107819732 B CN 107819732B CN 201610822884 A CN201610822884 A CN 201610822884A CN 107819732 B CN107819732 B CN 107819732B
- Authority
- CN
- China
- Prior art keywords
- user
- local network
- message
- type
- subnet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种用户终端访问本地网络的方法和装置,包括:接收用户平面S1‑U上行报文,识别并拦截所述S1‑U上行报文中的本地网络访问报文;确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限;如果验证通过,则将所述S1‑U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址,能从移动网基站侧直接安全地访问本地网络,使得访问路径结点大幅减少,降低网络时延,提高传输速率。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种用户终端访问本地网络的方法和装置。
背景技术
随着移动通信技术的发展,使用移动网终端访问企业网普遍存在,如使用智能手机随时随地移动办公。移动网基站的部署位置也越来越靠近企业网络,尤其是室内部署场景,在一些大型企业、商业场所和中央商务区(CBD,Central Business District)等场所,运营商为满足室内高容量要求而部署了室内型基站,如室内分布系统,这些移动网室内基站和企业网络部署在同一个建筑里。与运营商移动网基站就近部署的私有网络(非因特网)统称为本地网络。
传统的用户终端访问本地网络时,用户终端(UE,User Equipment)发往移动网的上行报文经过LTE(Long Term Evolution,通用移动通信技术的长期演进)移动网基站eNB、回传网络(Backhaul),以及核心网EPC后,进入因特网,如骨干网和城域网等,然后从因特网上进入企业防火墙,经过VPN网关认证后,访问企业内网的服务器,移动网发给用户终端的下行报文的路径则相反。这种用户终端访问本地网络的方式,在进入企业网络时是从用公网,即因特网进入的,存在访问路径结点多,网络时延大的问题。
发明内容
基于此,有必要针对上述技术问题,提供一种用户终端访问本地网络的方法和装置,能从移动网基站侧直接安全地访问本地网络,使得访问路径结点大幅减少,降低网络时延,提高传输速率。
一种用户终端访问本地网络的方法,所述方法包括:
接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限;
如果验证通过,则将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址。
一种用户终端访问本地网络的装置,所述装置包括:
本地网络报文识别模块,用于接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
本地网络访问处理模块,用于确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限,如果验证通过,则将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址。
一种用户终端访问本地网络的装置,其特征在于,包括处理器以及存储有所述处理器可执行指令的存储器,当所述指令被处理器执行时,执行如下操作:
接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限;
如果验证通过,则将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址。
上述用户终端访问本地网络的方法和装置,通过接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文,拦截的本地网络访问报文不会发送至核心网减少了访问路径结点,确定本地网络访问报文对应的用户终端的用户类型,根据用户类型和本地网络访问报文中的目的地址验证用户终端的本地网络访问权限;如果验证通过,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至所述目的地址所在子网的下一跳地址,只有验证通过的本地网络访问报文才会进行转发,保证了本地网络信息的安全性,使得用户终端能快速安全的访问本地网络。
附图说明
图1为一个实施例中用户终端访问本地网络的方法运行的应用环境图;
图2为一个实施例中图1中服务器的内部结构图;
图3为一个实施例中用户终端访问本地网络的方法的流程图;
图4为一个实施例中DNS查询响应的流程图;
图5为一个实施例中本地网络访问权限验证的流程图;
图6为一个实施例中判断用户访问权限是否符合目的子网类型对应的访问权限的流程图;
图7为一个实施例中发起用户类型修改申请的流程图;
图8为一个实施例中根据判决算法修改用户类型的流程图;
图9为一个具体的实施例中用户终端查询本地网络域名时序图;
图10为一个具体的实施例中用户终端访问本地网络DMZ子网的上行报文的时序图;
图11为一个具体的实施例中用户终端访问本地网络DMZ下行报文时序图;
图12为一个具体的实施例中本地网络DMZ访客授权时序图;
图13为一个具体的实施例中用户终端访问本地网络内网上行报文时序图;
图14为一个具体的实施例中用户终端访问本地网络内网下行报文时序图;
图15为一个具体的实施例中本地网络内网授权时序图;
图16为一个实施例中用户终端访问本地网络的装置的结构框图;
图17为另一个实施例中用户终端访问本地网络的装置的结构框图;
图18为一个实施例中本地网络访问处理模块的结构框图;
图19为再一个实施例中用户终端访问本地网络的装置的结构框图;
图20为又一个实施例中用户终端访问本地网络的装置的结构框图;
图21为一个实施例中第一验证单元的结构框图;
图22为一个实施例中本地网络访问处理模块的结构框图;
图23为一个实施例中本地网络访问授权模块的结构框图;
图24为又一个实施例中用户终端访问本地网络的装置的结构框图;
图25为一个实施例中移动网基站部署了用户终端访问本地网络的装置后的内部结构示意图;
图26为一个实施例中用户终端访问本地网络的系统结构框图;
图27为一个实施例中用户终端访问本地网络的系统的内部结构示意图;
图28为另一个实施例中用户终端访问本地网络的系统的内部结构示意图。
具体实施方式
图1为一个实施例中用户终端访问本地网络的方法运行的应用环境图,如图1所示,该应用环境包括终端110、基站eNB(evolved Node B)120、服务器130、企业DMZ区140和企业内网150,其中企业DMZ区140包括VPN网关141、反向代理服务器142和防火墙143,企业内网150包括阻塞choke路由器151、公共服务器152和APP应用服务器153,此应用环境中的设备可根据实际部署相应的增加或减少。其中终端110为可使用移动通信网进行通信的设备,包括但不限于智能终端、移动通信工业设备、物联网(IoT,Things Of Internet)设备等。用户终端访问本地网络时,从移动网基站侧经过用户终端权限验证后直接访问企业网络,上行报文和下行报文都不需要经过回传网络Backhaul、核心网EPC和因特网,可快速安全地接入访问本地网络。此应用环境可应用于多种场景,如手机移动办公的内网访问场景,工业设备之间通过无线互联,工业设备数据属于企业私有数据,数据量大,实时性要求高,无线传输数据到企业网络的场景。商用场所无线传输到商场网络服务器的场景,如大型购物商城,商家推出的VR(虚拟现实)、AR(增强现实)推广活动,传输数据量大,实时性要求高,存在无线传输数据到商场网络服务器的需求。大型赛事或展会,大量视频无线传输到场馆内服务器的场景等。
在一个实施例中,图1中的服务器130的内部结构如图2所示,该服务器130包括通过系统总线连接的处理器、存储介质、内存和网络接口。其中,该服务器130的存储介质存储有操作系统、数据库和一种用户终端访问本地网络的装置,数据库用于存储数据,如用户记录表等,该装置用于实现一种适用于服务器130的用户终端访问本地网络的方法。该服务器130的处理器用于提供计算和控制能力,支撑整个服务器130的运行。该服务器130的内存为存储介质中的用户终端访问本地网络的装置的运行提供环境。该服务器130的网络接口用于与基站eNB120、企业网络、运营商Backhaul通过网络连接通信,比如接收基站eNB120发送的上行报文等。服务器130一般采用高性能网络服务器。
如图3所示,在一个实施例中,提供了一种用户终端访问本地网络的方法,应用于上述应用环境,包括如下步骤:
步骤S110,接收用户平面S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文。
具体的,终端需要访问本地网络时,向基站发送封装了用户报文的空口报文,其中用户报文即IP报文的源IP地址就是UE PDN IP,UE PDN IP是用户终端UE在移动网完成登记后,由移动网分配的IP地址。基站接收到空口报文后,提取其中的用户报文,并打包在S1-U隧道报文中进行发送。本方案需要得到源IP地址作为用户标识,通过源IP地址区分识别不同的用户终端。移动网基站和核心网之间采用隧道方式传输用户报文,移动网基站和核心网为每个用户终端各自分配唯一的S1-U隧道标识TEID(Tunnel Endpoint Identifier),基站分配的隧道标识称为移动网基站隧道标识,核心网分配的隧道标识可称为核心网隧道标识。发给移动网基站的下行报文,需打包成携带移动网基站TEID的S1-U(S1User Plane)用户平面报文,移动网基站收到后通过移动网基站隧道标识TEID区分出不同的用户,打包成空口报文中发送至对应的用户终端。同理,移动网基站eNB发给核心网的上行报文,需打包成携带核心网隧道标识的S1-U报文,核心网收到根据核心网隧道标识区分用户,通过处理后发往因特网。可通过部署在基站或服务器的本地网络报文识别模块识别并拦截用户平面S1-U上行报文中的本地网络访问报文。如果本地网络报文识别模块部署在基站中,则在基站发送S1-U上行报文之前,就能识别并拦截本地网络访问报文,从而只将识别出的本地网络访问报文发给后续的处理模块,减轻后续处理模块的压力。如果本地网络报文识别模块部署在服务器中,则在基站将S1-U上行报文发送至核心网的过程中,由服务器识别并拦截本地网络访问报文,从而本地网络访问报文不会发送至核心网。
本地网络访问报文是符合本地网络访问报文特征规则的报文,使用配置的本地网络访问报文特征列表,对S1-U上行报文中的用户报文逐个进行比对和分析,识别出本地网络访问报文。配置的本地网络访问报文特征列表中,每条记录包含子网段、协议号、端口号等信息,允许协议号和端口号字段可选。如一条本地网络访问报文特征列表记录为:“地址:10.1.0.0,子网掩码:255.255.0.0,协议号:6,端口号:443,上述“地址:10.1.0.0,子网掩码:255.255.0.0”,在描述时经常使用子网10.1.0.0/16来替代。通过从S1-U上行报文中用户报文提取出目的地址、协议号、目的端口号然后与本地网络访问报文特征列表进行对比,只有特征匹配才为本地网络访问报文。如用户访问hr.ttt.com.cn(ip地址为10.1.2.1)的https报文,目的地址10.1.2.1匹配10.1.0.0/16子网,https即协议号6,端口号443,则匹配上述特征记录。拦截的本地网络访问报文不会发送至核心网,只有非本地网络访问报文才会发送至核心网。
步骤S120,确定本地网络访问报文对应的用户终端的用户类型,根据用户类型和本地网络访问报文中的目的地址验证用户终端的本地网络访问权限。
具体的,不同的用户类型具有不同的访问权限,具体的用户类型的种类和对应的权限可根据需要自定义,定义时可根据本地网络区域的划分为不同的区域设置不同种类的用户类型。可根据用户终端所在的网络段确定用户终端的用户类型,如可设置固定IP地址的高权限用户,为不同的用户终端分配不同的固定权限。也可设置默认用户类型为无权限用户,需要实时的向本地网络访问授权模块申请有权限的用户类型,本地网络访问授权模块根据用户类型申请请求,实时的根据授权判决算法,授权判决算法可依据当前网络通信状态参数、访问的本地网络的区域等多种参考因子为用户终端授权相应的动态的有不同权限的用户类型,根据当前网络通信状态实时更新用户类型,可实时控制用户终端访问本地网络的数量。也可先通过查找用户记录表获取用户终端的用户类型,在用户记录表中不存在用户终端对应的用户记录时,才需要向本地网络访问授权模块申请有权限的用户类型。
只有用户终端的本地网络访问权限与其访问的本地网络访问报文中的目的地址要求的权限相匹配,才算验证通过。可将本地网络分为不同的区域,如DMZ区(Demilitarized Zone,非军事化区,也称隔离区)和内部网络,访问不同的区域需要不同的访问权限。用户终端访问的目的地址在不同的区域时,本地网络访问授权模块可根据用户类型申请请求,采用不同的授权判决算法,从而使得不同的区域的访问根据其内容的私密性设置不同的访问规则,灵活方便。授权判决时,可通过VPN网关协助认证用户身份,只有用户通过认证确认为内部用户,才有申请特定用户类型的权限,进一步保证用户类型授权的安全性。
步骤S130,如果验证通过,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至目的地址所在子网的下一跳地址。
具体的,只有验证通过的本地网络访问报文才会进行转发,如果没有验证通过,则丢弃报文,保证了本地网络信息的安全性,向本地网络转发前,需要先拆解S1-U报文,提取用户报文,获取用户报文携带的源IP地址和源端口号,转换为设备IP地址和映射端口号。设备IP地址为实现上述方法的设备在本地网络中的IP地址,设备IP地址的数量可根据设备的网卡个数相应的设定,每个网卡也可设置多个设备IP地址。将移动网为用户终端分配的源IP地址统一转换为设备IP地址,保证在本地网络中传输的正确IP地址。同时,用户报文携带的源端口号也需要转换为映射端口号,由于之前用户报文携带的源端口号对于不同的用户终端可能携带相同的端口号,需要在一个本地网络地址下重新分配端口号,保证每个设备IP地址+映射端口号的组合在传输过程中是不重复的,从而保证数据传输的正确性。
如一个具体的实施例中,用户终端110访问APP应用服务器153的访问路径如图1中路线160所示,经过访问路径结点基站eNB120、服务器130、VPN网关141、防火墙143、choke路由器151后到达APP应用服务器153,中途不需要经过回传网络Backhaul、核心网EPC和因特网,使得访问路径结点大幅减少,降低网络时延,提高传输速率。
本实施例中,通过接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文,拦截的本地网络访问报文不会发送至核心网减少了访问路径结点,确定本地网络访问报文对应的用户终端的用户类型,根据用户类型和本地网络访问报文中的目的地址验证用户终端的本地网络访问权限;如果验证通过,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至所述目的地址所在子网的下一跳地址,只有验证通过的本地网络访问报文才会进行转发,保证了本地网络信息的安全性,使得用户终端能快速安全的访问本地网络。
在一个实施例中,如图4所示,步骤S110之前,还包括:
步骤S210,接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络域名的域名系统DNS查询报文。
具体的,终端需要访问本地网络服务时,需要先获取本地网络服务器域名(如hr.ttt.com.cn)对应的本地网络IP地址,如果需要访问的本地网络服务器的IP地址已经提前获取,如对于经常访问一个固定的本地网络,可预存其本地网络IP地址,发送网络访问报文中直接携带预存的本地网络IP地址。但一般情况下,需要通过DNS查询报文获取网络域名对应的IP地址。可通过部署在基站或服务器的本地网络报文识别模块识别并拦截S1-U上行报文中的本地网络域名的DNS查询报文。
本地网络域名查询报文,为标准DNS查询报文,由用户终端发往公网DNS服务器。本地网络报文识别模块在用户终端发往公网DNS服务器之前,分析DNS查询报文中的域名,与配置的本地网络域名列表的每条域名记录进行匹配,检查是否匹配成功,如果匹配成功,则识别到本地网络域名查询报文。配置的本地网络域名列表中,每条记录符合FQDN(FullyQualified Domain Name,完全合格域名/全称域名)规则。如ttt.com.cn为本地网络域名列表中的一个记录,则如果DNS查询报文中的域名为hr.ttt.con.cn或ims.ttt.com.cn都算匹配成功。
步骤S220,根据本地网络域名的DNS查询报文构造携带本地网络IP地址的DNS响应报文,将DNS响应报文返回至终端,本地网络IP地址作为目的地址携带在本地网络访问报文中。
具体的,可根据本地网络域名配置信息获取域名对应的本地网络IP地址,构造DNS查询响应消息,也可转发到外置的专用本地网络域名DNS服务器获取域名对应的本地网络IP地址,完成构造DNS查询响应消息。本地网络域名配置信息中配置了每个本地网络域名对应的本地网络IP地址,如hr.ttt.com.cn对应地址10.1.2.1,ims.tt.com.cn对应地址10.1.3.2。另外,还需要配置域名记录的生存时间,即TTL(Time To Live),超过TTL时间后域名记录应失效,需重新获取。将DNS响应报文返回至终端,其中DNS响应报文携带本地网络域名和对应的本地网络IP地址,则后续终端发送本地网络域名对应的本地网络访问报文时使用这个本地网络IP地址作为目的地址。
在一个实施例中,如图5所示,步骤S120包括:
步骤S121,提取本地网络访问报文携带的用户标识,确定用户标识对应的用户类型,确定目的地址所在子网和子网类型。
具体的,用户标识为源IP地址,可根据源IP地址与用户类型的对应关系得到对应的用户类型。源IP地址与用户类型的对应关系可通过表格、文本等形式预先存储,从而通过查表或查字符串的形式获得对应的用户类型。根据目的地址所在的IP地址段确定对应的子网,不同的子网对应了各自的子网类型。子网类型可根据本地网络的信息安全重要程度进行划分,如分为DMZ子网和内网子网,内网子网需要更高的访问权限才能访问。且不同的子网类型有对应的具有访问权限的用户类型,可自定义子网类型和具有访问权限的用户类型之间的对应关系。通过为不同的子网类型分配不同的具有访问权限的用户类型,提高了访问权限的灵活控制性。
步骤S122,判断用户类型对应的用户访问权限是否符合目的地址所在子网类型对应的访问权限,如果符合,则进入步骤S123。
具体的,只有用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限,才会进入下一步,否则丢弃本地网络访问报文。
步骤S123,判断目的地址所在子网是否为允许访问的子网,如果是,则本地网络访问权限通过验证,否则本地网络访问权限未通过验证。
具体的,当用户类型符合用户访问权限后,进一步判断目的地址所在子网是否为允许访问的子网,可通过预先为不同类型的用户分配不同的子网列表,通过查表的方式确定本地网络访问报文中的目的地址所在子网是否为允许访问的子网,如果是,则本地网络访问权限通过验证,否则本地网络访问权限未通过验证。
本实施例中,通过访客权限和子网权限双重验证,灵活方便的控制不同用户类型的访问权限,保证本地网络访问的安全性。
在一个实施例中,方法还包括:如果用户类型对应的用户访问权限不符合目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型。
具体的,如果用户类型对应的用户访问权限不符合目的地址所在子网类型对应的访问权限,可向本地网络访问授权模块申请用户类型的变更,本地网络访问授权模块接收到用户类型变更请求,可根据用户类型变更请求和授权判决算法更新用户终端的用户类型。在发送用户类型变更请求时,可根据目的地址所在子网类型和当前用户类型生成不同的用户类型变更请求。不同的用户类型变更请求可对应不同的授权判决算法,授权判决算法的确定可根据需要自定义,如根据配置的不同子网类型对应的授权人数和当前在线人数,以及总流量门限和当前在线流量等因素确定是否给予用户类型变更请求授予相应的用户类型。本实施例中,如果用户类型对应的用户访问权限不符合目的地址所在子网类型对应的访问权限,可申请具有相应权限的用户类型,达到动态的权限变更。
还可根据授权判决算法,将符合目的地址所在子网类型对应的访问权限的用户的类型修改为无权限用户,灵活的控制访问权限。
在一个实施例中,步骤S130中则将S1-U上行报文拆解的步骤之前,还包括:根据当前访问状态判断是否为本地网络访问报文提供转发许可,如果本地网络访问报文获得转发许可,则进入将所述S1-U上行报文拆解的步骤,如果本地网络访问报文未获得转发许可,则丢弃本地网络访问报文。
具体的,当前访问状态包括用户的上下行访问速率限制、访问时长和访问总流量等信息,根据当前访问状态判断是否为本地网络访问报文提供转发许可。只有获得转发许可才能转发报,不同的子网类型可对应不同的转发许可授予策略。通过转发许可进一步灵活控制本地网络的访问流量、访问时长等。对DMZ授权访客用户访问DMZ子网,根据访客用户的上下行访问速率限制、访问时长和访问总流量等信息,为本地网络访问处理模块提供访客转发许可。对授权内网用户访问内部网络子网,根据用户的上下行访问速率限制,为本地网络访问处理模块提供授权转发许可。对受控授权用户访问本地网络VPN网关,根据受控授权用户的上下行访问速率限制、访问时长和访问总流量等为本地网络访问处理模块提供受控转发许可。
在一个实施例中,步骤S120中确定本地网络访问报文对应的用户终端的用户类型的步骤包括:根据本地网络访问报文携带的用户终端的用户标识查询用户记录表,如果用户标识在所述用户记录表中,则得到用户记录表中记录的用户类型,如果用户标识不在用户记录表中,则用户类型为无权限用户。
具体的,可根据用户类型生成不同类型的用户记录表,通过记录表标识进行区分。如果更新了用户类型,则同步更新用户记录表。从而如果上次获得了有权限的用户类型,在下次访问时,可直接通过用户记录表得到有权限的用户类型记录,不必重新申请有权限的用户类型,快速获得访问权限。在一个实施例中,获取用户记录表中的用户记录对应的有效时间,判断在有效时间范围内用户没有访问本地网络,则删除用户记录。在一个实施例中,如果用户访问权限到期,则设置此用户对应的禁用期,在禁用期期内,此用户不具有申请用户类型更新的权限,只有禁用期过后,才具有申请资格。在一个实施例中,本地网络分为DMZ区和内网,子网类型分为DMZ子网和内网子网,用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,如图6所示,步骤S122包括以下步骤中的至少一个:
步骤S122a,如果目的地址所在子网类型为DMZ子网,且用户类型为DMZ授权访客用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
具体的,DMZ区,提供外部网络和内部网络的隔离,并由外部路由器和防火墙提供一定防护。部署在DMZ区的设备大都也要具备一定的防攻击能力,也称为堡垒主机。内部网络,由内部路由器,图1中即choke路由器(阻塞路由器),和防火墙提供防护。内部网络不允许外部直接访问,只允许DMZ区的部分堡垒主机访问,外网用户必须通过VPN网关认证后才可访问。VPN网关,可作为堡垒主机,大都部署在DMZ区,也可租用运营商的VPN网关,可通过DMZ区的堡垒主机中转再访问内部网络。DMZ区服务器还可部署反向代理服务器,对外公共服务器也大多部署在内部网络,用户访问对外公共服务时,通过DMZ的反向代理服务器,再去访问部署于内部网络的对外公共服务器,为对外公共服务器提供更好的防护。DMZ授权访客用户,表示具有DMZ子网访问权限的用户,如果目的地址所在子网类型为DMZ子网,且用户类型为DMZ授权访客用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
步骤S122b,如果目的地址所在子网类型为内网子网,用户类型为受控授权用户,则判断用户类型对应的用户访问权限不符合目的地址所在子网类型对应的访问权限,将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至VPN网关。
具体的,受控授权用户表示对本地网络的VPN网关有权限访问,如果用户类型为受控授权用户,在获得内部用户身份前,需要向VPN网关申请用户身份认证,将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至VPN网关。
步骤S122c,如果目的地址所在子网类型为内网子网,用户类型为授权内网用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
具体的,授权内网用户表示具有内网子网访问权限的用户,只有内部用户且通过内网授权判决算法得到授权才能对本地网络内网子网进行访问。本方案不限定用户通过本地网络内部用户认证的方式。
本实施例中,将子网类型分为DMZ子网和内网子网,用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,通过目的地址所在子网类型和用户类型具体判断是否符合目的地址所在子网类型对应的访问权限,达到对各个不同子网的灵活访问控制。
在一个实施例中,如图7所示,方法还包括以下步骤中的至少一个:
步骤S310,如果目的地址所在子网类型为DMZ子网,且用户类型为非DMZ授权访客用户,则发起DMZ授权访客用户申请。
步骤S320,如果目的地址所在子网类型为内网子网,获知用户身份为内部用户前,则发起受控授权用户申请。
具体的,没有通过VPN认证的用户,无法确认用户身份,只能发往VPN网关进行认证,则只能发起受控授权用户申请,不能发起授权内网用户申请。
步骤S330,如果目的地址所在子网类型为内网子网,获知用户身份为内部用户且用户类型为受控授权用户,则发起授权内网用户申请。
具体的,只有获知到用户身份为内部用户后,才能发起授权内网用户申请。
本实施例中,通过目的地址所在子网类型、当前用户类型和当前用户身份控制发送的用户类型申请请求,使得用户类型申请请求能分层次的正确的生成。
在一个实施例中,如图8所示,如果用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型的步骤包括以下步骤中的至少一个:
步骤S410,如果接收到DMZ授权访客用户申请,则根据DMZ访客授权判决算法给予DMZ访客授权,并根据配置生成DMZ访客授权信息,修改通过DMZ访客授权的用户类型为DMZ授权访客用户。
具体的,DMZ访客授权信息可包括用户标识和对应的用户类型。在用户记录表分为DMZ授权访客用户记录表、受控授权用户记录表和内网授权用户记录表的情况下,可将DMZ访客授权信息传递至DMZ授权访客用户记录表,更新DMZ授权访客用户记录表,新增或变更用户记录,并将用户记录的用户类型设置为DMZ授权访客用户。在更新用户记录的同时发送启动访客用户访问控制消息,携带启动的策略和相关信息。其中上行速率控制和下行速率控制为必选策略,访问时长和访问总流量为可选。
步骤S420,如果接收到受控授权用户申请,则根据受控授权判决算法,给予受控授权,并根据配置生成受控授权信息,修改通过受控授权的用户类型为受控授权用户。
具体的,受控授权信息可包括用户标识和对应的用户类型。可将受控授权信息传递至受控授权用户记录表,更新受控授权用户记录表,新增或变更用户记录,并将用户记录的用户类型设置为受控授权用户。向本地网络访问控制模块发送启动受控授权用户访问控制消息,携带启动的策略和相关信息。其中上行速率控制和下行速率控制为必选策略,访问时长和访问总流量为可选。
步骤S430,如果接收到授权内网用户申请,则根据内网授权判决算法,给予内网授权,并根据配置生成内网授权信息,修改通过内网授权的用户类型为内网授权用户。
具体的,内网授权信息可包括用户标识和对应的用户类型。可将内网授权信息传递至内网授权用户记录表,更新内网授权用户记录表,新增或变更用户记录,并将用户记录的用户类型设置为内网授权用户。启动内网授权用户的访问控制功能,本地网络访问控制模块停止原来的受控授权用户访问控制功能。
本实施例中,对于不同用户类型的用户申请,采取了不同的授权判决算法。且存在多个不同类型的表,进行相应的更新,使得用户类型的授权灵活有序。通过不同的授权判决算法对允许访问子网、访问速率、访问时长和访问总流量进行授权限制。
在一个实施例中,用户记录表分为DMZ授权访客用户记录表、受控授权用户记录表和内网授权用户记录表,方法还包括:根据用户类型的更新修改对应类型的用户记录表的用户记录。
具体的,DMZ授权访客用户记录表包括用户标识、用户移动网基站信息和访客授权信息。访客授权信息,包含允许访问的子网列表及下一跳地址、用户上行访问速率、用户下行访问速率、用户访问时长、用户访问总流量配额等信息。受控授权用户记录表包括用户标识、用户移动网基站信息和受控授权信息。受控授权信息,包含用户上行访问速率、用户下行访问速率、用户访问时长、用户访问总流量配额等信息。内网授权用户记录表包括用户标识、用户移动网基站信息和内网授权信息。内网授权信息,包含允许访问的子网列表及下一跳地址、用户上行访问速率、用户下行访问速率等信息。
在一个实施例中,用户记录表记录了移动网基站IP地址和移动网基站用户信息,所述移动网基站用户信息包括所述移动网基站IP地址和移动网基站隧道标识TEID。
具体的,用户记录表中的用户标识即为用户终端在移动网的IP地址,即移动网基站IP地址,移动网基站用户信息包含移动网基站eNB的IP地址和用户终端的移动网基站隧道标识TEID,两者进行了关联。对于用户记录表分为DMZ授权访客用户记录表、受控授权用户记录表和内网授权用户记录表时,DMZ授权访客用户记录表,包括用户标识、用户移动网基站信息和DMZ访客授权信息。DMZ访客授权信息,包含允许访问的子网列表及下一跳地址、用户上行访问速率、用户下行访问速率、用户访问时长、用户访问总流量配额等信息。受控授权用户记录表,包括用户标识、用户移动网基站信息和受控授权信息。受控授权信息,包含用户上行访问速率、用户下行访问速率、用户访问时长、用户访问总流量配额等信息。内网授权用户记录表,包括用户标识、用户移动网基站信息和内网授权信息。内网授权信息,包含允许访问的子网列表及下一跳地址、用户上行访问速率、用户下行访问速率等信息。
在一个实施例中,所述方法还包括:接收本地网络下行报文,将本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号,根据用户终端的移动网基站隧道标识打包成S1-U下行报文发送至移动网基站。
具体的,本地网络下行报文是本地网络发给用户终端的回应报文,其中携带了设备IP地址和映射端口号,需要转换为用户终端的源IP地址和源端口号才能转发至用户终端。
在一个实施例中,接收本地网络下行报文的步骤之后,还包括:
根据本地网络下行报文对应的用户类型申请对应类型的下行转发许可,如果申请成功,则进入将本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号的步骤,否则丢弃本地网络下行报文。
具体的,申请对应类型的下行转发许可时申请请求携带待转发字节数,如果申请成功,则将本地网络下行报文拆解,获取其中携带的设备IP地址和映射端口号,转换为用户源IP地址和源端口号,并重新封装成S1-U下行报文,并转发至基站eNB。基站eNB收到S1-U下行报文后,转化为空口报文发送至用户终端。如果没有申请成功,则丢弃本地网络下行报文,达到对本地网络下行报文的控制管理。
在一个实施例中,步骤S110之前还包括:预先进行各个参数和规则的配置。
具体的,如配置的参数和规则包括:本地网络访问报文特征、本地网络域名规则、本地网络子网及路由规则、VPN网关配置、本地网络访问控制规则等,为其他模块提供参数配置接口功能。
在一个具体的实施例中,上述用户终端访问本地网络的方法由新增模块实现,其中新增模块包括本地网络报文识别模块、本地网络域名代理模块、本地网络访问处理模块、本地网络访问控制模块、本地网络访问授权模块和用户信息管理模块。用户终端查询本地网络域名时序图如图9所示,由本地网络域名代理模块构造DNS查询响应,具体描述如下:
401UE发送空口报文携带用户报文即DNS查询报文给eNB,查询本地网络域名;
402eNB收到后提取用户报文,打包成S1-U上行报文发送至本地网络报文识别模块;
403本地网络报文识别模块逐包分析S1-U报文内容,识别出DNS查询报文;
404本地网络报文识别模块根据配置的本地网络域名规则,识别出本地网络域名的DNS查询报文;
405本地网络报文识别模块,将本地网络域名的DNS查询报文向本地网络域名代理模块转发,其他DNS查询报文继续发往核心网;
406本地网络域名代理模块构造DNS查询响应报文,携带本地网络IP地址;
407本地网络域名代理模块向用户信息管理模块获取用户移动网基站信息;
408本地网络域名代理模块将DNS查询响应报文打包成S1-U报文,发给eNB;
409eNB收到S1-U报文,提取出用户报文即DNS查询响应报文,打包成空口报文发给UE。
在一个具体的实施例中,用户终端访问本地网络DMZ子网的上行报文的时序图10示例,具体描述如下:
501UE从空口发送用户上行报文;
502eNB收到后提取用户报文,打包成S1-U上行报文发送;
503本地网络报文识别模块,根据配置的本地网络访问报文特征,逐包比对,识别出本地网络访问报文;
504本地网络报文识别模块转发本地网络访问报文至本地网络访问处理模块;
505本地网络访问处理模块检查目的子网,识别出是DMZ子网;
506本地网络访问处理模块检查是否在DMZ授权访客用户记录表中;
507本地网络访问处理模块,对不在DMZ授权访客用户记录表中的访客,可向用户信息管理模块发起携带用户标识的DMZ授权访客用户申请,获取DMZ访客授权信息;
508本地网络访问处理模块对DMZ授权访客用户检查目的地址所在子网是否在允许访问的子网列表中,对于未授权的访客或者未授权的子网访问,报文直接丢弃;
509本地网络访问处理模块向本地网络访问控制模块获取访客上行转发许可,携带待转发字节数;
510本地网络访问处理模块,将报文拆包,进行端口地址转换,并重新封装成本地网络报文。如果未获转发许可,则报文直接丢弃。
511本地网络访问处理模块将打包好的本地网络报文,发给目的地址所在子网对应的下一跳地址。
在一个具体的实施例中,本地网络DMZ服务器返回给UE的回应报文,转发时也需要申请访客下行转发许可,图11为用户终端访问本地网络DMZ下行报文时序图示例,具体描述如下:
601本地网络访问处理模块收到本地网络DMZ的报文,即用户下行报文;
602本地网络访问处理模块向本地网络访问控制模块获取访客下行转发许可,携带待转发字节数;
603本地网络访问处理模块,将报文拆包,进行端口地址转换并重新封装成S1-U下行用户报文。未获转发许可,报文直接丢弃;
604本地网络访问处理模块将打包好的S1-U下行用户报文,发给eNB;
605eNB收到S1-U报文,将用户下行报文从空口发送给UE。
用户终端访问本地网络DMZ,需要申请访客授权,申请过程可以在本地网络域名响应过程中触发,也可以本地网络DMZ访问过程中触发,在一个具体的实施例中,本地网络DMZ访客授权时序图12示例,具体描述如下:
701用户信息管理模块向本地网络访问授权模块发起DMZ授权访客用户申请;
702本地网络访问授权模块根据DMZ访客授权判决算法,给予DMZ访客授权,并根据配置生成DMZ访客授权信息;
703本地网络访问授权模块返回DMZ授权访客用户申请响应;
704用户信息管理模块检查授权结果,保存DMZ访客授权信息,加入到授权访客用户记录表;
705用户信息管理模块向本地网络访问控制模块发送启动DMZ授权访客用户访问控制消息,携带启动的策略和相关信息,其中上行速率控制和下行速率控制为必选策略,访问时长和访问总流量为可选。
用户终端访问本地网络内网子网,需要进行内网身份认证,内网身份认证的具体过程可根据需要自定义,本方案不作限定。内网身份认证成功前,本地网络访问授权模块给予受控授权,报文转发至VPN网关,称为受控转发,此时用户为受控授权用户;本地网络访问授权模块获知用户身份为内部用户时,根据内网授权判决算法给予内网授权,报文允许转发到授权子网,称为授权转发,此时用户变更为授权内网用户。在一个具体的实施例中,用户终端访问本地网络内网上行报文时序图如图13所示,具体描述如下:
801UE从空口发送用户上行报文;
802eNB收到后打包成S1-U上行报文发送;
803本地网络报文识别模块,根据配置的本地网络访问报文特征,逐包比对,识别出本地网络访问报文;
804本地识别模块转发本地网络访问报文给本地网络访问处理模块;
805本地网络访问处理模块检查目的子网,识别出是内网子网;
806本地网络访问处理模块检查受控授权用户记录表和内网授权用户记录表;
807本地网络访问处理模块,对不存在上述记录表中的用户,向用户信息管理模块发送携带用户标识的用户类型更新申请,获取用户授权信息;
808本地网络访问处理模块确认用户类型是受控授权用户还是授权内网用户,以便后续执行不同的策略处理;
809本地网络访问处理模块对授权内网用户,检查目的地址所在子网是否属于授权子网列表,如果不属于,直接丢弃报文,如果属于,则进入下一步;
810本地网络访问处理模块,对受控授权用户,向本地网络访问控制模块获取受控上行转发许可,携带转发字节数,对授权内网用户,向本地网络访问控制模块获取授权上行转发许可,携带转发字节数。
811本地网络访问处理模块,将报文拆包,进行端口地址转换,并重新封装成本地网络报文,未获转发许可,则报文直接丢弃。
812本地网络访问处理模块将打包好的本地网络报文,对于受控授权用户,发给VPN网关,对于授权内网用户,发给目的地址所在子网对应的下一跳地址。
本地网络内网子网服务器或者VPN网关返回给UE的回应报文,转发时也需要申请下行转发许可,根据不同的用户类型,过程略有区别,用户终端访问本地网络内网下行报文时序图如图14所示,具体描述如下:
901本地网络访问处理模块收到来自本地网络内网或者VPN网关的本地网络报文,即用户下行报文;
902本地网络访问处理模块检查用户记录类型是受控授权用户还是授权内网用户;
903本地网络访问处理模块,对受控授权用户,向本地网络访问控制模块获取受控下行转发许可,携带转发字节数,对授权内网用户,向本地网络访问控制模块获取授权下行转发许可,携带转发字节数。
904本地网络访问处理模块,将报文拆包,进行端口地址转换并重新封装成S1-U下行用户报文。未获转发许可,报文直接丢弃。
905本地网络访问处理模块将打包好的S1-U下行用户报文,发给eNB。
906eNB收到S1-U报文,将用户下行报文从空口发送给UE。
本地网络访问授权模块根据内网授权判决算法,对内部身份用户进行判决给予授权,内网授权判决算法可结合当前的授权内网访问人数、配置的授权内网访问人数门限和当前的授权内网访问总速率、配置的授权内网访问总速率门限等因素。
对于判决为不给予内网授权的用户,仍保持受控授权用户记录类型;判决为授予内网授权的用户,将由原来的受控授权用户类型变更为授权内网用户类型。即使经过本地网络认证过的内网身份用户,如果本地网络访问授权模块未给予内网授权,仍为受控授权用户类型。
图15为本地网络内网授权时序图,用户终端将用户终端标识,即用户终端在移动网的IP地址,通知VPN网关,VPN网关通知给本地网络访问授权模块,具体描述如下:
1001用户初始访问本地网络内网时,用户信息管理模块向本地网络访问授权模块发起受控授权用户申请;
1002本地网络访问授权模块根据受控授权判决算法,给予受控授权,并根据配置生成受控授权信息;
1003本地网络访问授权模块返回受控授权用户申请响应;
1004用户信息管理模块检查受控授权结果,保存为受控授权用户信息,加入到受控授权用户记录表;
1005用户信息管理模块向本地网络访问控制模块发送启动受控授权用户访问控制消息,携带启动的策略和相关信息,其中上行速率控制和下行速率控制为必选策略,访问时长和访问总流量为可选;
1006用户终端与本地网络内网认证系统进行内网认证,本步骤不作限定。
1007用户终端将用户标识发给VPN网关,本步骤可选;
1008VPN网关通知本地网络访问授权模块,携带用户标识,本步骤可选;
1009本地网络访问授权模块获知该用户已通过内网认证,用户身份为内部用户;
1010本地网络访问授权模块根据内网授权判决算法,给予内网授权,并根据配置生成内网授权信息;
1011本地网络访问授权模块向用户信息管理模块发送授权内网用户通知,携带授权信息;
1012用户信息管理模块将用户从受控授权用户记录修改为授权内网用户记录,保存授权信息,并加入到内网授权用户记录表,同时从受控授权用户记录表中删除;
1013用户信息管理模块通知本地网络访问控制模块启动内网授权用户的访问控制功能,本地网络访问控制模块停止原来的受控授权用户访问控制功能。
在一个实施例中,如图16所示,提供了一种用户终端访问本地网络的装置,包括:
本地网络报文识别模块520,用于接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文。
本地网络访问处理模块530,用于确定本地网络访问报文对应的用户终端的用户类型,根据用户类型和所述本地网络访问报文中的目的地址验证用户终端的本地网络访问权限,如果验证通过,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至目的地址所在子网的下一跳地址。
在一个实施例中,本地网络报文识别模块520还用于接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络域名的DNS查询报文。如图17所示,所述装置还包括:
本地网络域名代理模块540,用于根据本地网络域名的DNS查询报文构造携带本地网络IP地址的DNS响应报文,将DNS响应报文返回至终端,本地网络IP地址作为目的地址携带在本地网络访问报文中。
在一个实施例中,如图18所示,本地网络访问处理模块530包括:
信息确定单元531,用于提取本地网络访问报文携带的用户标识,确定用户标识对应的用户类型,确定目的地址所在子网和子网类型。
第一验证单元532,用于判断用户类型对应的用户访问权限是否符合目的地址所在子网类型对应的访问权限,如果符合,则进入第二验证单元。
第二验证单元533,用于判断目的地址所在子网是否为允许访问的子网,如果是,则本地网络访问权限通过验证,否则本地网络访问权限未通过验证。
在一个实施例中,如图19所示,装置还包括:
本地网络访问控制模块550,用于根据当前访问状态判断是否为本地网络访问报文提供转发许可,如果本地网络访问报文获得转发许可,则进入本地网络访问处理模块中将所述S1-U上行报文拆解,如果本地网络访问报文未获得转发许可,则丢弃本地网络访问报文。
在一个实施例中,如图20所示,装置还包括:
本地网络访问授权模块560,用于如果用户类型对应的用户访问权限不符合目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型。
在一个实施例中,本地网络访问处理模块530还用于根据本地网络访问报文携带的所述用户终端的用户标识查询用户记录表,如果用户标识在所述用户记录表中,则得到用户记录表中记录的用户类型,如果用户标识在用户记录表中,则用户类型为无权限用户。
在一个实施例中,本地网络分为DMZ区和内网,子网类型分为DMZ子网和内网子网,用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,如图21所示,第一验证单元532包括以下单元中的至少一个:
DMZ子网验证单元532a,用于如果目的地址所在子网类型为DMZ子网,且用户类型为DMZ授权访客用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
内网子网第一验证单元532b,用于如果目的地址所在子网类型为内网子网,用户类型为受控授权用户,则判断用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至VPN网关。
内网子网第二验证单元532c,用于如果目的地址所在子网类型为内网子网,用户类型为授权内网用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
在一个实施例中,如图22所示,本地网络访问处理模块530还包括:
授权申请单元534,所述授权申请单元包括以下单元中的至少一个:
DMZ授权申请单元534a,用于如果目的地址所在子网类型为DMZ子网,且所述用户类型为非DMZ授权访客用户,则发起DMZ授权访客用户申请。
受控授权申请单元534b,用于如果目的地址所在子网类型为内网子网,获知用户身份为内部用户前,则发起受控授权用户申请。
授权内网申请单元534c,用于如果目的地址所在子网类型为内网子网,获知用户身份为内部用户且所述用户类型为受控授权用户,则发起授权内网用户申请。
在一个实施例中,如图23所示,本地网络访问授权模块560包括以下单元中的至少一个:
DMZ授权单元560a,用于如果接收到DMZ授权访客用户申请,则根据DMZ访客授权判决算法给予DMZ访客授权,并根据配置生成DMZ访客授权信息,修改通过DMZ访客授权的用户类型为DMZ授权访客用户。
受控授权单元560b,用于如果接收到受控授权用户申请,则根据受控授权判决算法,给予受控授权,并根据配置生成受控授权信息,修改通过受控授权的用户类型为受控授权用户。
授权内网单元560c,用于如果接收到授权内网用户申请,则根据内网授权判决算法,给予内网授权,并根据配置生成内网授权信息,修改通过内网授权的用户类型为内网授权用户。
在一个实施例中,用户记录表分为DMZ授权访客用户记录表、受控授权用户记录表和内网授权用户记录表,如图24所示,所述装置还包括:
用户信息管理模块570,用于根据用户类型的更新修改对应类型的用户记录表的用户记录。
在一个实施例中,提供了一种用户终端访问本地网络的装置,包括处理器以及存储有所述处理器可执行指令的存储器,当指令被处理器执行时,执行如下操作:
接收用户平面S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文。
确定本地网络访问报文对应的用户终端的用户类型,根据用户类型和本地网络访问报文中的目的地址验证用户终端的本地网络访问权限。
如果验证通过,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至目的地址所在子网的下一跳地址。
在一个实施例中,当所述指令被处理器执行时,还执行如下操作:
接收S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络域名的DNS查询报文。
根据本地网络域名的DNS查询报文构造携带本地网络IP地址的DNS响应报文,将DNS响应报文返回至终端,本地网络IP地址作为目的地址携带在本地网络访问报文中。
在一个实施例中,处理器所执行的确定所述本地网络访问报文对应的用户终端的用户类型,根据用户类型和所述本地网络访问报文中的目的地址验证用户终端的本地网络访问权限的操作包括:
提取本地网络访问报文携带的用户标识,确定用户标识对应的用户类型;
确定目的地址所在子网和子网类型;
判断用户类型对应的用户访问权限是否符合目的地址所在子网类型对应的访问权限,如果符合,则判断目的地址所在子网是否为允许访问的子网;
如果是允许访问的子网,则本地网络访问权限通过验证,否则本地网络访问权限未通过验证。
在一个实施例中,本地网络分为DMZ区和内网,目的地址所在子网类型分为DMZ子网和内网子网,用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,处理器所执行的判断用户类型对应的用户访问权限是否符合目的地址所在子网类型对应的访问权限的操作包括以下操作中的至少一个:
如果目的地址所在子网类型为DMZ子网,且用户类型为DMZ授权访客用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
如果目的地址所在子网类型为内网子网,用户类型为受控授权用户,则判断用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至VPN网关。
如果目的地址所在子网类型为内网子网,用户类型为授权内网用户,则判断用户类型对应的用户访问权限符合目的地址所在子网类型对应的访问权限。
在一个实施例中,提供了一种移动网基站,移动网基站包括上述任一实施例所述的用户终端访问本地网络的装置。
具体的,将用户终端访问本地网络的装置部署在移动网基站上,不需要新增设备,只需要对移动网基站eNB进行软件升级。如图25所示,为一个具体的实施例中移动网基站部署了用户终端访问本地网络的装置后的内部结构示意图。
在一个实施例中,如图26所示,提供了一种用户终端访问本地网络的系统,所述系统包括基站eNB610和服务器620,服务器包括上述任一实施例所述的用户终端访问本地网络的装置621。
具体的,将用户终端访问本地网络的装置部署在服务器上,对现有的基站不需要做任何改动,做到透明部署。如图27所示,为本实施例中用户终端访问本地网络的系统的内部结构示意图。
在一个实施例中,提供了一种用户终端访问本地网络的系统,系统包括基站eNB和服务器,基站eNB用于接收S1-U上行报文,识别并拦截S1-U上行报文中的本地网络访问报文,将本地网络访问报文发送至服务器,服务器用于确定本地网络访问报文对应的用户终端的用户类型,根据用户类型确定用户终端的本地网络访问权限,如果本地网络访问权限为允许访问本地网络访问报文中的目的地址所在子网,则将S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将本地网络报文转发至目的地址所在子网的下一跳地址。
具体的,本地网络报文识别模块部署在移动网基站上,其他模块部署在一个服务器,则只有符合本地网络报文特征和本地网络域名特征的报文才转给服务器处理,可以降低新增设备的处理开销。如图28所示,为本实施例中用户终端访问本地网络的系统的内部结构示意图。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述程序可存储于一计算机可读取存储介质中,如本发明实施例中,该程序可存储于计算机系统的存储介质中,并被该计算机系统中的至少一个处理器执行,以实现包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (12)
1.一种用户终端访问本地网络的方法,其适用于移动网,所述方法包括:
接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限;
如果验证通过,则将所述S1-U上行报文拆解,将用户网络协议IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址,
如果所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型,
所述方法还包括:
接收S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络域名的域名系统DNS查询报文;
根据所述本地网络域名的DNS查询报文构造携带本地网络IP地址及域名记录的生存时间的DNS响应报文,将所述DNS响应报文返回至终端,所述本地网络IP地址作为目的地址携带在本地网络访问报文中。
2.根据权利要求1所述的方法,其特征在于,所述确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限的步骤包括:
提取所述本地网络访问报文携带的用户标识,确定所述用户标识对应的用户类型;
确定所述目的地址所在子网和子网类型;
判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限,如果符合,则判断所述目的地址所在子网是否为允许访问的子网;
如果是允许访问的子网,则所述本地网络访问权限通过验证,否则所述本地网络访问权限未通过验证。
3.根据权利要求1所述的方法,其特征在于,所述则将所述S1-U上行报文拆解的步骤之前,还包括:
根据当前访问状态判断是否为所述本地网络访问报文提供转发许可,如果所述本地网络访问报文获得转发许可,则进入所述将所述S1-U上行报文拆解的步骤;
如果所述本地网络访问报文未获得转发许可,则丢弃所述本地网络访问报文。
4.根据权利要求2所述的方法,其特征在于,本地网络分为隔离区DMZ区和内网,所述目的地址所在子网类型分为DMZ子网和内网子网,所述用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,所述判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限的步骤包括以下步骤中的至少一个:
如果所述目的地址所在子网类型为DMZ子网,且所述用户类型为DMZ授权访客用户,则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限;
如果所述目的地址所在子网类型为内网子网,所述用户类型为受控授权用户,则判断所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至虚拟专用网络VPN网关;
如果所述目的地址所在子网类型为内网子网,所述用户类型为授权内网用户,则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收本地网络下行报文,将所述本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号,根据用户终端的移动网基站隧道标识打包成S1-U下行报文发送至移动网基站。
6.根据权利要求5所述的方法,其特征在于,所述接收本地网络下行报文的步骤之后,还包括:
根据本地网络下行报文对应的用户类型申请对应类型的下行转发许可,如果申请成功,则进入所述将所述本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号的步骤,否则丢弃所述本地网络下行报文。
7.一种用户终端访问本地网络的装置,其适用于移动网,其特征在于,所述装置包括:
本地网络报文识别模块,用于接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
本地网络访问处理模块,用于确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限,如果验证通过,则将所述S1-U上行报文拆解,将用户网络协议IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址,如果所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型,
所述本地网络报文识别模块还用于接收S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络域名的域名系统DNS查询报文;
所述装置还包括:
本地网络域名代理模块,用于根据所述本地网络域名的DNS查询报文构造携带本地网络IP地址及域名记录的生存时间的DNS响应报文,将所述DNS响应报文返回至终端,所述本地网络IP地址作为目的地址携带在本地网络访问报文中。
8.根据权利要求7所述的装置,其特征在于,所述本地网络访问处理模块包括:
信息确定单元,用于提取所述本地网络访问报文携带的用户标识,确定所述用户标识对应的用户类型,确定所述目的地址所在子网和子网类型;
第一验证单元,用于判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限,如果符合,则进入第二验证单元;
第二验证单元,用于判断所述目的地址所在子网是否为允许访问的子网,如果是,则所述本地网络访问权限通过验证,否则所述本地网络访问权限未通过验证。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
本地网络访问控制模块,用于根据当前访问状态判断是否为所述本地网络访问报文提供转发许可,如果所述本地网络访问报文获得转发许可,则进入所述本地网络访问处理模块中将所述S1-U上行报文拆解,如果所述本地网络访问报文未获得转发许可,则丢弃所述本地网络访问报文。
10.一种用户终端访问本地网络的装置,其特征在于,包括处理器以及存储有所述处理器可执行指令的存储器,当所述指令被处理器执行时,执行如下操作:
接收用户平面S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络访问报文;
确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限;
如果验证通过,则将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至所述目的地址所在子网的下一跳地址,
如果所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,则根据授权判决算法更新用户终端的用户类型,
当所述指令被处理器执行时,还执行如下操作:
接收S1-U上行报文,识别并拦截所述S1-U上行报文中的本地网络域名的域名系统DNS查询报文;
根据所述本地网络域名的DNS查询报文构造携带本地网络IP地址及域名记录的生存时间的DNS响应报文,将所述DNS响应报文返回至终端,所述本地网络IP地址作为目的地址携带在本地网络访问报文中。
11.根据权利要求10所述的装置,其特征在于,所述处理器所执行的确定所述本地网络访问报文对应的用户终端的用户类型,根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限的操作包括:
提取所述本地网络访问报文携带的用户标识,确定所述用户标识对应的用户类型;
确定所述目的地址所在子网和子网类型;
判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限,如果符合,则判断所述目的地址所在子网是否为允许访问的子网;
如果是允许访问的子网,则所述本地网络访问权限通过验证,否则所述本地网络访问权限未通过验证。
12.根据权利要求11所述的装置,其特征在于,本地网络分为隔离区DMZ区和内网,所述目的地址所在子网类型分为DMZ子网和内网子网,所述用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户,所述处理器所执行的判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限的操作包括以下操作中的至少一个:
如果所述目的地址所在子网类型为DMZ子网,且所述用户类型为DMZ授权访客用户,则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限;
如果所述目的地址所在子网类型为内网子网,所述用户类型为受控授权用户,则判断所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限,将所述S1-U上行报文拆解,将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号,并重新封装成本地网络报文,将所述本地网络报文转发至虚拟专用网络VPN网关;
如果所述目的地址所在子网类型为内网子网,所述用户类型为授权内网用户,则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610822884.8A CN107819732B (zh) | 2016-09-13 | 2016-09-13 | 用户终端访问本地网络的方法和装置 |
| PCT/CN2017/100636 WO2018050007A1 (zh) | 2016-09-13 | 2017-09-06 | 用户终端访问本地网络的方法和装置和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610822884.8A CN107819732B (zh) | 2016-09-13 | 2016-09-13 | 用户终端访问本地网络的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819732A CN107819732A (zh) | 2018-03-20 |
| CN107819732B true CN107819732B (zh) | 2021-07-13 |
Family
ID=61601445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610822884.8A Active CN107819732B (zh) | 2016-09-13 | 2016-09-13 | 用户终端访问本地网络的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN107819732B (zh) |
| WO (1) | WO2018050007A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20200130365A (ko) | 2018-04-05 | 2020-11-18 | 삼성전자주식회사 | 무선 통신 시스템에서 비가입 모델 기반 지역 데이터 네트워크 서비스를 제공하는 방법 및 장치 |
| CN109379333B (zh) * | 2018-09-10 | 2021-04-13 | 安徽师范大学 | 基于网络层的安全传输方法 |
| CN111355817B (zh) * | 2018-12-20 | 2022-08-23 | 中国移动通信集团辽宁有限公司 | 域名解析方法、装置、安全服务器及介质 |
| CN109889381B (zh) * | 2019-02-18 | 2022-03-18 | 国家计算机网络与信息安全管理中心 | 基于堡垒机的自动化配置管理方法及装置 |
| CN111865876B (zh) * | 2019-04-29 | 2021-10-15 | 华为技术有限公司 | 网络的访问控制方法和设备 |
| CN112105074B (zh) * | 2019-06-17 | 2023-04-25 | 中国移动通信集团浙江有限公司 | 基于mec的访问流量分流系统及方法 |
| CN110611665B (zh) * | 2019-08-30 | 2022-01-25 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN110708301B (zh) * | 2019-09-24 | 2022-06-24 | 贝壳找房(北京)科技有限公司 | 一种用户请求处理方法、装置、电子设备和存储介质 |
| CN111885219B (zh) * | 2020-07-28 | 2023-04-07 | 杭州迪普科技股份有限公司 | 一种基于sip媒体协商的通信方法、装置和nat设备 |
| CN112347460A (zh) * | 2020-10-29 | 2021-02-09 | 深圳市裕展精密科技有限公司 | 用户权限管理方法、电子装置及存储介质 |
| CN112752300B (zh) * | 2020-12-29 | 2022-09-20 | 锐捷网络股份有限公司 | 本地分流的实现方法及装置 |
| CN113973302A (zh) * | 2021-09-15 | 2022-01-25 | 阿里巴巴达摩院(杭州)科技有限公司 | 数据识别方法、设备、存储介质和通信系统 |
| CN114022331A (zh) * | 2021-10-15 | 2022-02-08 | 金茂数字科技有限公司 | 一种智慧物联数据平台 |
| CN114285819A (zh) * | 2021-12-29 | 2022-04-05 | 深圳市共进电子股份有限公司 | 访客网络访问内网方法、装置、计算机设备及介质 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9008055B2 (en) * | 2004-04-28 | 2015-04-14 | Kdl Scan Designs Llc | Automatic remote services provided by a home relationship between a device and a server |
| US8856387B2 (en) * | 2008-04-24 | 2014-10-07 | Qualcomm Incorporated | Local IP access scheme |
| EP2332370B1 (en) * | 2008-10-01 | 2016-11-16 | Telefonaktiebolaget LM Ericsson (publ) | Method for enabling a home base station to choose between local and remote transportation of uplink data packets |
| CN101932074B (zh) * | 2009-06-25 | 2013-01-23 | 华为技术有限公司 | 一种家庭基站本地ip接入的控制方法及装置 |
| CN101616076B (zh) * | 2009-07-28 | 2013-01-23 | 武汉理工大学 | 一种基于用户连接信息的细粒度网络访问控制方法 |
| CN101990313B (zh) * | 2009-08-06 | 2014-01-01 | 中兴通讯股份有限公司 | 实现本地ip访问控制的方法、通知方法及系统 |
| CN102056142B (zh) * | 2009-11-09 | 2014-07-02 | 中兴通讯股份有限公司 | 一种建立本地ip访问下行数据通道的方法及系统 |
| KR20140068261A (ko) * | 2009-12-04 | 2014-06-05 | 인터디지탈 패튼 홀딩스, 인크 | 하이브리드 네트워크에서 통합 게이트웨이에 대한 확장형 로컬 ip 액세스 |
| CN101841886A (zh) * | 2010-04-15 | 2010-09-22 | 中兴通讯股份有限公司 | 一种lipa数据流的传输方法及系统 |
| TW201318387A (zh) * | 2011-07-01 | 2013-05-01 | Interdigital Patent Holdings | 管理服務連續性方法及裝置 |
| CN102281337A (zh) * | 2011-07-29 | 2011-12-14 | 赛尔网络有限公司 | 目的地址访问控制方法和系统 |
| CN102932953B (zh) * | 2012-09-20 | 2016-04-13 | 中国联合网络通信集团有限公司 | Pdp上下文激活方法、设备及系统 |
| CN104168165B (zh) * | 2014-07-02 | 2017-11-17 | 北京交通大学 | 基于gprs网络和一体化标识网络的访问控制方法和装置 |
-
2016
- 2016-09-13 CN CN201610822884.8A patent/CN107819732B/zh active Active
-
2017
- 2017-09-06 WO PCT/CN2017/100636 patent/WO2018050007A1/zh active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018050007A1 (zh) | 2018-03-22 |
| CN107819732A (zh) | 2018-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819732B (zh) | 用户终端访问本地网络的方法和装置 | |
| US11362987B2 (en) | Fully qualified domain name-based traffic control for virtual private network access control | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| US10805268B2 (en) | Method and apparatuses for enabling routing of data packets between a wireless device and a service provider based in the local service cloud | |
| CN106376003B (zh) | 检测无线局域网连接及无线局域网数据发送方法及其装置 | |
| US20220060350A1 (en) | Connecting to a Home Area Network Via a Mobile Communication Network | |
| EP3272059B1 (en) | Apparatus and method for using certificate data to route data | |
| CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
| WO2014165519A1 (en) | Identity-based internet protocol networking | |
| KR101936662B1 (ko) | 데이터 패킷을 포워딩하는 액세스 노드 장치 | |
| US9756148B2 (en) | Dynamic host configuration protocol release on behalf of a user | |
| CN102571811A (zh) | 用户接入权限控制系统和方法 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| WO2016078375A1 (zh) | 数据传送方法及装置 | |
| US20230370886A1 (en) | Prioritizing wireless access technologies in an enterprise fabric | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| CN114884771B (zh) | 基于零信任理念的身份化网络构建方法、装置和系统 | |
| WO2016078325A1 (zh) | 数据传送方法及装置 | |
| US11968237B2 (en) | IPsec load balancing in a session-aware load balanced cluster (SLBC) network device | |
| CN113438705B (zh) | 通信数据处理方法、装置、通信设备和存储介质 | |
| US20210336851A1 (en) | Globally-Distributed Secure End-To-End Identity-Based Overlay Network | |
| KR101821794B1 (ko) | 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템 | |
| CN113556337A (zh) | 终端地址识别方法、网络系统、电子设备及存储介质 | |
| CN109962831B (zh) | 虚拟客户终端设备、路由器、存储介质和通信方法 | |
| KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |