CN109548022A - 一种移动终端用户远程接入本地网络的方法 - Google Patents

Abstract

本发明公开了一种移动终端用户远程接入本地网络的方法，主要分为两个阶段：本地网络远程接入链路的建立及链路消息的发送和接收；其中，本地网络远程接入链路的建立主要是账号消息系统、消息接入网关、代理网关、设备接入网关和用户设备之间的连接建立，从而使移动终端用户远程接入本地网络；链路消息的发送和接收，主要是链路建立完成后，实现移动终端用户与本地网络之间的数据收发，这样能够提高接入可靠性及数据传输安全性。

Description

一种移动终端用户远程接入本地网络的方法

技术领域

本发明属于通信技术领域，更为具体地讲，涉及一种移动终端用户远程接入本地网络的方法。

背景技术

在通信领域，用户通过利用终端来间接访问某个局域网内的网络设备，如家庭网络或企业内网的联网设备等，就像用户直接相连并使用相同的协议访问该网络一样。这种访问方式被称之为远程接入。

在现有技术中，远程接入一般采用VPN技术。而VPN主要采用加密、认证和隧道技术，通过公共通信网络设施的一部分来发送等效于在专用网络上发送的信息。该技术用于连接网络中的两个或多个节点，最常见的是将各个用户的机器连接到VPN网关处，从而建立用户之间的连接。

如图1所示，针对移动端用户远程接入直连方式，现有技术中，用户需要先建立与VPN网关的连接，并在用户侧一直维持该长连接。因此，当移动端用户需对本地网络设备进行接入时，需要另外创建新的连接，并将连接的数据由新连接复制到长连接，由长连接将数据传送给VPN网关。最后，VPN再将数据请求发送给本地设备侧的VPN网关，由该网关负责来将数据请求转发给本地设备。

在一些高并发业务环境下，常常由于来不及同步处理请求，导致请求往往会发生拥塞，比如大量验证用户合法性而产生的数据库查找问题。由于多频次的数据库查找容易引起无数的行锁和表锁，最后请求堆积过多，触发太多的连接中断，导致系统崩溃，使得整个接入系统无法正常工作。而通过使用消息队列技术可使得系统对消息进行异步处理，从而缓解系统的压力。

消息通道以队列形式存在，通过先进先出的数据结构来处理并发场景。通常情况下，消息队列系统采用发布者和订阅者模式，发布者和订阅者都会被注册到用于传播变更的消息通道上。发布者会主动检测消息通道，使其能够将消息发送到通道中；消息通道一旦接收消息，其会主动调用注册在通道中的订阅者，进而完成对消息的消费。

现有的远程接入方案，移动终端用户接入提供远程能力的系统中，缺少必要的统一机制。用户在局域网添加一个设备，就需要重新提供一种接入VPN网关的方式。同时，针对VPN网关与VPN网关的传输方式，面对高并发场景下(如家庭用户)，请求接入家庭网络本地终端下，容易出现连接不稳定、请求无法下达的情况。在该该案中，只要移动终端用户接入就会创建一个新的长连接通道，而且还要在移动终端一直维持整个连接的进行。这不仅需要额外的VPN网关，而且多个长连接的实现复杂，建立和维护的成本都很高。同时，将移动终端与VPN网关的连接配置信息存放在移动端，容易产生安全性问题。

对于移动终端用户，需要一个消息可达本地网络的系统来供远程接入使用，该系统应该是一个搭建简便、维护容易的接入系统。于是，针对此，提出一种移动终端用户统一接入、局域网设备统一接入及消息传输可靠的远程接入方案。

发明内容

本发明的目的在于克服现有技术的不足，提供一种移动终端用户远程接入本地网络的方法，通过移动端应用远程接入来提高接入可靠性及安全性。

为实现上述发明目的，本发明一种移动终端用户远程接入本地网络的方法，其特征在于，包括以下步骤：

(1)、建立本地网络远程接入链路

(1.1)、建立移动终端用户与账号消息系统之间的连接

移动终端用户发起通信连接的注册请求，账号消息系统AMS收到注册请求后，在AMS的数据库中生成唯一的用户账号ID，移动终端用户利用ID与AMS提供的公共服务账号及客服账号之间建立连接；

(1.2)、建立AMS与消息接入网关之间的连接

AMS配置消息接入网关MAG的合法域名url和Token，然后发起认证请求，并产生该请求所对应的时间戳timestamp；

利用哈希算法拼接url、token和timestamp，生成可验证的标识信息sign，AMS将sign和timestamp封装在建立合法连接请求中，并发送给对应的url；

MAG收到请求后，解析携带的sign和timestamp，并利用本地存储的u_url和u_token信息，通过拼接u_url、u_token和timestamp并对其进行哈希处理生成u_sign，再与请求中的sign比较，若相同，则为合法认证连接，并建立AMS与MAG之间的连接；否则，认证不通过，并舍弃；

(1.3)、建立移动终端用户与设备接入网关之间的绑定关系

移动终端用户向MAG发送请求，通过对AMS中的用户账号ID进行md5加密，获取标识该移动终端用户的entryptId信息；

移动终端用户再向设备接入网关发起绑定请求，通过entryptId信息、运营商账号和密码，进行绑定信息关联；当设备接入网关的路由绑定模块接收用户请求后，通过运营商账号和密码，生成唯一的设备接入网关标识信息domain，并将该标识信息存储在本地配置文件中；然后，建立entryptId和domain之间的键值对关系，通过向路由注册服务器发起请求，将entryptId和domain的键值对关系存储在注册服务器中；

(1.4)、建立MAG与代理网关之间的连接

通过域名配置规则将代理网关的域名配置url，url解析成公网IP，再配置CNAME记录类型，对url进行泛解析；配置完成后，域名为url的代理网关会接收所有域名形式为*.url的请求；

当代理网关接收来自外部请求时，通过解析外部请求中携带的域名信息domain.url，再在本地缓存的设备接入网关标识信息中查找domain.url是否存在；若存在，则建立请求与代理网关之间的连接；否则，连接终止。

(1.5)、建立代理网关与设备接入网关之间的连接

(1.5.1)、设备接入网关配置相关信息，包括代理网关的url及建立连接的端口号、连接协议、设备接入网关的本地ip及连接的端口号和设备接入网关的标识信息domain；

(1.5.2)、设备接入网关读取配置的相关信息，并发送连接请求，与代理网关通过TLS的三次握手建立不用认证的连接；然后，设备接入网关通过该连接向代理网关发送AuthType类型的请求，授权接入该代理网关；代理网关根据请求中携带的版本号、Auth用户名和密码，来判断该设备接入网关是否适合接入；若认证不通过，终止连接请求；否则，代理网关随机生成一个accessId，并向设备接入网关回复携带accessId的GoodAuth类型的请求，控制通道SocketA建立；

(1.5.3)、设备接入网关收到GoodAuth类型响应后，解析请求中携带的accessId，并利用accessId来唯一标识刚刚建立的通道SocketA，然后，通过SocketA向代理网关发送RegisterType类型的请求；

(1.5.4)、代理网关收到RegisterType类型请求后，创建管道pipeA监听指定端口，获取外部请求；然后，再向设备接入网关发送请求，当设备接入网关收到请求后，发送携带设备接入网关标识信息domain的响应，代理网关通过解析响应中携带的domain，并与代理网关的url进行拼接，生成字符串domain.url来唯一标识pipeA；同时，建立domain.url和accessId的映射关系，用于外部请求通过pipeA找到对应的控制通道；之后，代理网关向设备接入网关发起创建代理网关与设备接入网关之间数据传输通道的TunnelType类型请求；

(1.5.5)、设备接入网关收到TunnelType类型请求后，与代理网关建立一个新的长连接SocketB；当长连接创建成功后，通过此长连接向代理网关发送accessId，请求建立SocketA与SocketB的联系；代理网关收到accessId后，会随机生成proxyId来标识SocketB，建立accessId与proxyId的映射关系，并通过SocketB向设备接入网关发送GoodTunnel类型的响应，数据传输通道创建成功；之后，代理网关在SocketB上发送OpenTunnel类型的请求，让设备接入网关准备缓存区接收数据，当收到设备接入网关回复准备好的响应后，通道开始接收来自pipeA的外部请求；

(1.5.6)、当代理网关接收到指定端口的外部请求到达pipeA后，根据pipeA的标识domain.url查找对应的accessId，再利用accessId与proxyId的绑定关系，查找代理网关与设备接入网关是否有通道建立，若不存在，则代理网关将外部请求阻塞，然后返回步骤(1.5.5)创建通道；若存在，则代理网关将外部请求中的数据信息发送给对应proxyId通道入口，然后，利用该通道接入到设备接入网关；

(1.6)、建立设备接入网关和局域网设备之间的连接

(1.6.1)、局域网设备上电启动，向设备接入网关发起配对请求，生成对应接入方式的配置信息，若配对成功，设备接入网关本地存储局域网设备IP地址、接入方式等信息；否则，重启设备重试；

(1.6.2)、设备接入网关读取配置信息，试探性向局域网设备发起建立连接请求；若响应存在，则发送数据；否则，连接建立失败；

(2)、消息的发送和接收

(2.1)、移动终端用户向AMS发送消息

移动终端用户向AMS发送消息，AMS根据消息格式对消息内容进行分类加密处理，得到加密消息串；

(2.2)、MAG验证用户合法性，将消息发送给代理网关

MAG根据AMS的加密消息串中的发送者信息entryptId，向注册服务器进行合法身份校验，若合法，则获取enpryptId对应的设备接入网关标识domain，再拼接domain和代理网关url成domain.url，将消息发给domain.url，同时，解析加密消息串类型，其中，当加密消息串类型为取消关注类，则向注册服务器发送请求，删除用户entryptId和设备接入网关标识domain的绑定关系，当加密消息串类型为其他类型时，进入步骤(2.3)；否则，消息终止；

(2.3)、MAG读取消息头，将消息分发给设备接入网关

MAG接收域名形式为domain.url的消息请求，读取HTTP头认证消息，若认证通过，则解析域名信息获取domain.url，然后通过标识domain.url获取对应的pipe管道，并将消息数据传给pipe管道，再匹配MAG与设备接入网关之间的通道，发起数据传输；否则，消息终止；

(2.4)、设备接入网关接收消息并解析，向局域网设备发起控制

设备接入网关接收加密消息后，通过加密密钥按照消息类型进行解析，获取关键字信息，再查找关键字是否存在于移动终端用户设定的关键字内容中，若存在，给出相应回复至移动终端用户；否则，终止；

根据设备接入网关解析给出的回复内容，获取局域网设备IP地址，查找相应局域网设备是否存在，若存在，则以统一接入方式发起连接请求，然后再发送关键字组成的控制信息；否则，接入失败。

本发明的发明目的是这样实现的：

本发明一种移动终端用户远程接入本地网络的方法，主要分为两个阶段：本地网络远程接入链路的建立及链路消息的发送和接收；其中，本地网络远程接入链路的建立主要是账号消息系统、消息接入网关、代理网关、设备接入网关和用户设备之间的连接建立，从而使移动终端用户远程接入本地网络；链路消息的发送和接收，主要是链路建立完成后，实现移动终端用户与本地网络之间的数据收发，这样能够提高接入可靠性及数据传输安全性。

同时，本发明一种移动终端用户远程接入本地网络的方法还具有以下有益效果：

(1)、在用户侧方面，移动终端用户只需绑定一个公共账号，即可具有远程接入能力；

(2)、在设备侧方面，局域网设备通过统一的接入方式即可获得远程接入的能力；

(3)、移动终端用户对局域网具有联网设备的请求能通过输入文本消息、模糊语音消息传给一个公共账号来实现；

(4)、所有需要远程接入能力的移动终端用户只需绑定一个账号，即可实现操控任意一个局域网内所有可联网设备。

附图说明

图1是现有技术中移动端用户远程接入本地网络的架构图

图2是本发明一种移动终端用户远程接入本地网络的方法架构图；

图3是消息接入网关进行合法性认证流程图；

图4是AMS根据消息格式对消息内容进行分类加密处理流程图；

图5是消息类型示意图；

图6是MAG验证用户合法性流程图；

图7是MAG将消息下发给设备接入网关流程图；

图8是设备接入网关与局域网设备间的消息传输流程图。

具体实施方式

下面结合附图对本发明的具体实施方式进行描述，以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是，在以下的描述中，当已知功能和设计的详细描述也许会淡化本发明的主要内容时，这些描述在这里将被忽略。

实施例

图2是本发明一种移动终端用户远程接入本地网络的方法架构图。

在本实施例中，本发明一种移动终端用户远程接入本地网络的方法，主要分为两个阶段：本地网络远程接入链路的建立及链路消息的发送和接收。

下面我们结合图2，对两个阶段进行详细说明。

S1、建立本地网络远程接入链路

S1.1、建立移动终端用户与账号消息系统之间的连接

移动终端用户发起通信连接的注册请求，账号消息系统AMS收到注册请求后，在AMS的数据库中生成唯一的用户账号ID，在整个AMS中，消息管理模块以合法ID形式来区分发送者和接收者；移动终端用户利用ID与AMS提供的公共服务账号及客服账号之间建立连接。

S1.2、建立AMS与消息接入网关之间的连接

认证合法的消息接入网关，保证AMS与服务类型为远程接入的消息接入网关MAG(Message Access Gateway)进行合法连接，通过身份识别拦截非法的消息请求。

AMS在接入系统中，仅仅是提供用户统一接入的能力，接收所有移动终端用户发送过来的各种服务类型的请求。最终，对请求的处理则由各种服务系统进行完成。因此，AMS接收到的请求都会被转发到相应服务系统中。为了保证AMS消息安全地传递出去，对服务系统中的消息接入网关进行合法性认证。

如图3所示，合法性认证过程为：AMS配置消息接入网关MAG的合法域名url和Token，然后发起认证请求，并产生该请求所对应的时间戳timestamp；

利用哈希算法拼接url、token和timestamp，生成可验证的标识信息sign，AMS将sign和timestamp封装在建立合法连接请求中，并发送给对应的url；

MAG收到请求后，解析携带的sign和timestamp，并利用本地存储的u_url和u_token信息，通过拼接u_url、u_token和timestamp并对其进行哈希处理生成u_sign，再与请求中的sign比较，若相同，则为合法认证连接，并建立AMS与MAG之间的连接；否则，认证不通过，并舍弃；

S1.3、建立移动终端用户与设备接入网关之间的绑定关系

移动终端用户向MAG发送请求，通过对AMS中的用户账号ID进行md5加密，获取标识该移动终端用户的entryptId信息；

移动终端用户再向设备接入网关发起绑定请求，通过entryptId信息、运营商账号和密码，进行绑定信息关联；当设备接入网关的路由绑定模块接收用户请求后，通过运营商账号和密码，生成唯一的设备接入网关标识信息domain，并将该标识信息存储在本地配置文件中；然后，建立entryptId和domain之间的键值对关系，通过向路由注册服务器发起请求，将entryptId和domain的键值对关系存储在注册服务器中；

S1.4、建立MAG与代理网关之间的连接

通过域名配置规则将代理网关的域名配置url，url解析成公网IP，再配置CNAME记录类型，对url进行泛解析；配置完成后，域名为url的代理网关会接收所有域名形式为*.url的请求；其中，具体域名配置规则如表1所示。

表1是域名配置规则表；

记录类型	主机记录	记录值
			@解析	url	publicIP
CNAME别名解析	domain.url	url

表1

当代理网关接收来自外部请求时，通过解析外部请求中携带的域名信息domain.url，再在本地缓存的设备接入网关标识信息中查找domain.url是否存在；若存在，则建立请求与代理网关之间的连接；否则，连接终止。

S1.5、建立代理网关与设备接入网关之间的连接

设备接入网关本身没有固定的公网IP访问地址，需要通过与代理网关建立通道连接，借助代理网关的外网访问能力，来接收外部请求。为了接收外部请求，由于外网设备不能主动连接设备接入网关，设备接入网关和代理网关之间需要维持一个长连接。为了避免链接的中断，需要通过心跳等途径进行维持该长连接。然而，常常一个请求会打开1个或多个TCP长连接，为防止连接都阻塞在一个长连接上，代理网关与设备接入网关制定一个协议请求设备接入网关创建多个通道用于数据传输。这样，就可以并行的响应来自外部的请求，保证一个局域网的设备远程支持多端多用户访问。

下面我们对建立过程进行描述：

S1.5.1、设备接入网关配置相关信息，包括代理网关的url及建立连接的端口号、连接协议、设备接入网关的本地ip及连接的端口号和设备接入网关的标识信息domain；

S1.5.2、设备接入网关读取配置的相关信息，并发送连接请求，与代理网关通过TLS的三次握手建立不用认证的连接；然后，设备接入网关通过该连接向代理网关发送AuthType类型的请求，授权接入该代理网关；代理网关根据请求中携带的版本号、Auth用户名和密码，来判断该设备接入网关是否适合接入；若认证不通过，终止连接请求；否则，代理网关随机生成一个accessId，并向设备接入网关回复携带accessId的GoodAuth类型的请求，控制通道SocketA建立；

S1.5.3、设备接入网关收到GoodAuth类型响应后，解析请求中携带的accessId，并利用accessId来唯一标识刚刚建立的通道SocketA，然后，通过SocketA向代理网关发送RegisterType类型的请求；

S1.5.4、代理网关收到RegisterType类型请求后，创建管道pipeA监听指定端口，获取外部请求；然后，再向设备接入网关发送请求，当设备接入网关收到请求后，发送携带设备接入网关标识信息domain的响应，代理网关通过解析响应中携带的domain，并与代理网关的url进行拼接，生成字符串domain.url来唯一标识pipeA；同时，建立domain.url和accessId的映射关系，用于外部请求通过pipeA找到对应的控制通道；之后，代理网关向设备接入网关发起创建代理网关与设备接入网关之间数据传输通道的TunnelType类型请求；

S1.5.5、设备接入网关收到TunnelType类型请求后，与代理网关建立一个新的长连接SocketB；当长连接创建成功后，通过此长连接向代理网关发送accessId，请求建立SocketA与SocketB的联系；代理网关收到accessId后，会随机生成proxyId来标识SocketB，建立accessId与proxyId的映射关系，并通过SocketB向设备接入网关发送GoodTunnel类型的响应，数据传输通道创建成功；之后，代理网关在SocketB上发送OpenTunnel类型的请求，让设备接入网关准备缓存区接收数据，当收到设备接入网关回复准备好的响应后，通道开始接收来自pipeA的外部请求；

S1.5.6、当代理网关接收到指定端口的外部请求到达pipeA后，根据pipeA的标识domain.url查找对应的accessId，再利用accessId与proxyId的绑定关系，查找代理网关与设备接入网关是否有通道建立，若不存在，则代理网关将外部请求阻塞，然后返回步骤S1.5.5创建通道；若存在，则代理网关将外部请求中的数据信息发送给对应proxyId通道入口，然后，利用该通道接入到设备接入网关；

S1.6、建立设备接入网关和局域网设备之间的连接

S1.6.1、局域网设备上电启动，向设备接入网关发起配对请求，生成对应接入方式的配置信息，若配对成功，设备接入网关本地存储局域网设备IP地址、接入方式等信息；否则，重启设备重试；

(1.6.2)、设备接入网关读取配置信息，试探性向局域网设备发起建立连接请求；若响应存在，则发送数据；否则，连接建立失败；

S2、消息的发送和接收

S2.1、移动终端用户向AMS发送消息

移动终端用户向AMS发送消息，AMS根据消息格式对消息内容进行分类加密处理，如图4所示，得到加密消息串；

在本实施例中，AMS中的消息管理提供文本消息、图片消息、语音消息及客服消息的消息形式，用于用户于公共服务账号之间进行信息传输，这些消息格式包含发送者、接收者、消息类型等信息，具体消息格式类型如图5所示。当移动终端用户与公共服务账号进行通信连接时，消息处理系统根据用户输入控制信息携带的信息格式(如text、png或amr)进行消息类型判断。

其中，格式为png时，上传到临时图片服务器，获取指定唯一的picId，通过调用图片服务器API接口及picId信息，即可获得对应的图片，从而建立picId和图片的一一映射关系，对控制信息进行压缩处理；

格式为amr时，上传到语音服务器，通过语音识别模块，获取语音对应的识别信息；

格式为text时，若携带的关键字包含“人工”，则会生成客服类型的文本消息；否则，生成控制信息；

通过对用户输入的各类控制请求进行分类处理后，对信息中的Content进行加密处理，生成安全、解析复杂度低的加密信息串。

S2.2、MAG验证用户合法性，将消息发送给代理网关

如图6所示，MAG根据AMS的加密消息串中的发送者信息entryptId，向注册服务器进行合法身份校验，若合法，则获取enpryptId对应的设备接入网关标识domain，再拼接domain和代理网关url成domain.url，将消息发给domain.url，同时，解析加密消息串类型，其中，当加密消息串类型为取消关注类，则向注册服务器发送请求，删除用户entryptId和设备接入网关标识domain的绑定关系，当加密消息串类型为其他类型时，进入步骤S2.3；否则，消息终止；

S2.3、MAG读取消息头，将消息分发给设备接入网关

如图7所示，MAG接收域名形式为domain.url的消息请求，读取HTTP头认证消息，若认证通过，则解析域名信息获取domain.url，然后通过标识domain.url获取对应的pipe管道，并将消息数据传给pipe管道，再匹配MAG与设备接入网关之间的通道，发起数据传输；否则，消息终止，返回提示信息；

S2.4、设备接入网关接收消息并解析，向局域网设备发起控制

如图8所示，设备接入网关接收加密消息后，通过加密密钥按照消息类型进行解析，获取关键字信息，再查找关键字是否存在于移动终端用户设定的关键字内容中，若存在，给出相应回复至移动终端用户；否则，终止，返回提示信息；

根据设备接入网关解析给出的回复内容，获取局域网设备IP地址，查找相应局域网设备是否存在，若存在，则以统一接入方式发起连接请求，然后再发送关键字组成的控制信息；否则，接入失败。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (1)

1.一种移动终端用户远程接入本地网络的方法，其特征在于，包括以下步骤：

(1)、建立本地网络远程接入链路

(1.1)、建立移动终端用户与账号消息系统之间的连接

移动终端用户发起通信连接的注册请求，账号消息系统AMS收到注册请求后，在AMS的数据库中生成唯一的用户账号ID，移动终端用户利用ID与AMS提供的公共服务账号及客服账号之间建立连接；

(1.2)、建立AMS与消息接入网关之间的连接

AMS配置消息接入网关MAG的合法域名url和Token，然后发起认证请求，并产生该请求所对应的时间戳timestamp；

利用哈希算法拼接url、token和timestamp，生成可验证的标识信息sign，AMS将sign和timestamp封装在建立合法连接请求中，并发送给对应的url；

MAG收到请求后，解析携带的sign和timestamp，并利用本地存储的u_url和u_token信息，通过拼接u_url、u_token和timestamp并对其进行哈希处理生成u_sign，再与请求中的sign比较，若相同，则为合法认证连接，并建立AMS与MAG之间的连接；否则，认证不通过，并舍弃；

(1.3)、建立移动终端用户与设备接入网关之间的绑定关系

移动终端用户向MAG发送请求，通过对AMS中的用户账号ID进行md5加密，获取标识该移动终端用户的entryptId信息；

移动终端用户再向设备接入网关发起绑定请求，通过entryptId信息、运营商账号和密码，进行绑定信息关联；当设备接入网关的路由绑定模块接收用户请求后，通过运营商账号和密码，生成唯一的设备接入网关标识信息domain，并将该标识信息存储在本地配置文件中；然后，建立entryptId和domain之间的键值对关系，通过向路由注册服务器发起请求，将entryptId和domain的键值对关系存储在注册服务器中；

(1.4)、建立MAG与代理网关之间的连接

通过域名配置规则将代理网关的域名配置url，url解析成公网IP，再配置CNAME记录类型，对url进行泛解析；配置完成后，域名为url的代理网关会接收所有域名形式为*.url的请求；

当代理网关接收来自外部请求时，通过解析外部请求中携带的域名信息domain.url，再在本地缓存的设备接入网关标识信息中查找domain.url是否存在；若存在，则建立请求与代理网关之间的连接；否则，连接终止。

(1.5)、建立代理网关与设备接入网关之间的连接

(1.5.1)、设备接入网关配置相关信息，包括代理网关的url及建立连接的端口号、连接协议、设备接入网关的本地ip及连接的端口号和设备接入网关的标识信息domain；

(1.5.2)、设备接入网关读取配置的相关信息，并发送连接请求，与代理网关通过TLS的三次握手建立不用认证的连接；然后，设备接入网关通过该连接向代理网关发送AuthType类型的请求，授权接入该代理网关；代理网关根据请求中携带的版本号、Auth用户名和密码，来判断该设备接入网关是否适合接入；若认证不通过，终止连接请求；否则，代理网关随机生成一个accessId，并向设备接入网关回复携带accessId的GoodAuth类型的请求，控制通道SocketA建立；

(1.5.3)、设备接入网网关收到GoodAuth类型响应后，解析请求中携带的accessId，并利用accessId来唯一标识刚刚建立的通道SocketA，然后，通过SocketA向代理网关发送RegisterType类型的请求；

(1.5.4)、代理网关收到RegisterType类型请求后，创建管道pipeA监听指定端口，获取外部请求；然后，再向设备接入网关发送请求，当设备接入网关收到请求后，发送携带设备接入网关标识信息domain的响应，代理网关通过解析响应中携带的domain，并与代理网关的url进行拼接，生成字符串domain.url来唯一标识pipeA；同时，建立domain.url和accessId的映射关系，用于外部请求通过pipeA找到对应的控制通道；之后，代理网关向设备接入网关发起创建代理网关与设备接入网关之间数据传输通道的TunnelType类型请求；

(1.5.5)、设备接入网关收到TunnelType类型请求后，与代理网关建立一个新的长连接SocketB；当长连接创建成功后，通过此长连接向代理网关发送accessId，请求建立SocketA与SocketB的联系；代理网关收到accessId后，会随机生成proxyId来标识SocketB，建立accessId与proxyId的映射关系，并通过SocketB向设备接入网关发送GoodTunnel类型的响应，数据传输通道创建成功；之后，代理网关在SocketB上发送OpenTunnel类型的请求，让设备接入网关准备缓存区接收数据，当收到设备接入网关回复准备好的响应后，通道开始接收来自pipeA的外部请求；

(1.5.6)、当代理网关接收到指定端口的外部请求到达pipeA后，根据pipeA的标识domain.url查找对应的accessId，再利用accessId与proxyId的绑定关系，查找代理网关与设备接入网关是否有通道建立，若不存在，则代理网关将外部请求阻塞，然后返回步骤(1.5.5)创建通道；若存在，则代理网关将外部请求中的数据信息发送给对应proxyId通道入口，然后，利用该通道接入到设备接入网关；

(1.6)、建立设备接入网关和局域网设备之间的连接

(1.6.1)、局域网设备上电启动，向设备接入网关发起配对请求，生成对应接入方式的配置信息，若配对成功，设备接入网关本地存储局域网设备IP地址、接入方式等信息；否则，重启设备重试；

(1.6.2)、设备接入网关读取配置信息，试探性向局域网设备发起建立连接请求；若响应存在，则发送数据；否则，连接建立失败。

(2)、消息的发送和接收

(2.1)、移动终端用户向AMS发送消息

移动终端用户向AMS发送消息，AMS根据消息格式对消息内容进行分类加密处理，得到加密消息串；

(2.2)、MAG验证用户合法性，将消息发送给代理网关

MAG根据AMS的加密消息串中的发送者信息entryptId，向注册服务器进行合法身份校验，若合法，则获取enpryptId对应的设备接入网关标识domain，再拼接domain和代理网关url成domain.url，将消息发给domain.url，同时，解析加密消息串类型，其中，当加密消息串类型为取消关注类，则向注册服务器发送请求，删除用户entryptId和设备接入网关标识domain的绑定关系，当加密消息串类型为其他类型时，进入步骤(2.3)；否则，消息终止；

(2.3)、MAG读取消息头，将消息分发给设备接入网关

MAG接收域名形式为domain.url的消息请求，读取HTTP头认证消息，若认证通过，则解析域名信息获取domain.url，然后通过标识domain.url获取对应的pipe管道，并将消息数据传给pipe管道，再匹配MAG与设备接入网关之间的通道，发起数据传输；否则，消息终止；

(2.4)、设备接入网关接收消息并解析，向局域网设备发起控制

设备接入网关接收加密消息后，通过加密密钥按照消息类型进行解析，获取关键字信息，再查找关键字是否存在于移动终端用户设定的关键字内容中，若存在，给出相应回复至移动终端用户；否则，终止；

根据设备接入网关解析给出的回复内容，获取局域网设备IP地址，查找相应局域网设备是否存在，若存在，则以统一接入方式发起连接请求，然后再发送关键字组成的控制信息；否则，接入失败。