CN114726819A - 位置信息转换方法、网关、控制器、终端、设备及介质 - Google Patents
位置信息转换方法、网关、控制器、终端、设备及介质 Download PDFInfo
- Publication number
- CN114726819A CN114726819A CN202011519896.6A CN202011519896A CN114726819A CN 114726819 A CN114726819 A CN 114726819A CN 202011519896 A CN202011519896 A CN 202011519896A CN 114726819 A CN114726819 A CN 114726819A
- Authority
- CN
- China
- Prior art keywords
- identifier
- data packet
- client
- server
- network position
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
Abstract
本发明公开一种位置信息转换方法、网关、控制器、终端、设备及介质,属于网络通信技术领域。本发明实施例通过域边界网关获取真实网络位置标识与虚拟网络位置标识的映射关系,接收来自终端的数据包,根据映射关系,将数据包中的真实网络位置标识转换成虚拟网络位置标识,发送到域外;或者,接收发往终端的数据包,根据映射关系,将数据包中的虚拟网络位置标识转换成真实网络位置标识,发送到终端。本发明实施例通过在域边界网关转换和隐藏真实网络位置信息,从而实现域内通过真实网络位置标识进行数据通信,域间(即域外)通过虚拟网络位置标识进行数据通信,达到保护用户位置信息的目的,进而有效降低了用户隐私暴露的风险。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种位置信息转换方法、网关、控制器、终端、设备及介质。
背景技术
互联网采用互联网协议地址(Internet Protocol Address,IP地址)作为统一的通信标识。由于暴露在IP数据包头部的地址承载了用户的位置信息和身份信息,IP地址已成为公用互联网关联用户身份与位置、进而分析用户行为的重要手段,使用户面临隐私暴露的风险。
发明内容
本发明实施例的主要目的在于提出一种位置信息转换方法、网关、控制器、终端、设备及介质,旨在对用户的位置信息进行隐藏,从而避免用户的隐私泄露。
为实现上述目的,本发明实施例提供了一种网络位置信息转换方法,应用于域边界网关,包括:
获取真实网络位置标识与虚拟网络位置标识的映射关系;
接收来自终端或发往所述终端的数据包;其中,所述数据包包括真实网络位置标识或虚拟网络位置标识;
根据所述映射关系,对所述数据包进行网络位置标识转换。
为实现上述目的,本发明实施例还提出了一种网络位置信息转换方法,应用于位置控制器,包括:
获取真实网络位置标识;
根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
向域边界网关下发所述映射关系,以使得所述域边界网关执行前述的方法。
为实现上述目的,本发明实施例还提出了一种网络位置信息转换方法,应用于服务控制器,包括:
接收来自接入网关的第一访问请求;
根据所述第一访问请求,发送真实网络位置标识至位置控制器,以使得所述位置控制器执行前述的方法。
为实现上述目的,本发明实施例还提供了一种网络位置信息转换方法,应用于接入网关,包括:
接收来自终端的数据包;
在来自终端的数据包中添加真实网络位置标识后发送给域边界网关,以使得所述域边界网关执行如前述的方法;
或,
接收来自域边界网关的数据包;其中,所述数据包由所述域边界网关执行前述的方法得到;
在来自域边界网关的数据包中删除真实网络位置标识后发送给终端。
为实现上述目的,本发明实施例还提供了一种网络位置信息转换方法,应用于终端,包括:
发送数据包给接入网关,以使得所述接入网关在所述数据包中添加真实网络位置标识后发送给域边界网关;
或,
接收来自接入网关的数据包;其中,所述数据包由所述接入网关删除数据包中的真实网络位置标识得到。
为实现上述目的,本发明实施例还提供了一种域边界网关,包括:
第一获取模块,用于获取真实网络位置标识与虚拟网络位置标识的映射关系;
第一接收模块,用于接收来自终端或发往所述终端的数据包;其中,所述数据包包括真实网络位置标识或虚拟网络位置标识;
转换模块,用于根据所述映射关系,对所述数据包进行网络位置标识转换。
为实现上述目的,本发明实施例还提供了一种位置控制器,包括:
第二获取模块,用于获取真实网络位置标识;
建立模块,用于根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
下发模块,用于向前述的域边界网关下发所述映射关系。
为实现上述目的,本发明实施例还提供了一种服务控制器,包括:
第二接收模块,用于接收来自接入网关的第一访问请求;
第一发送模块,用于根据所述第一访问请求,发送真实网络位置标识至前述的位置控制器。
为实现上述目的,本发明实施例还提供了一种接入网关,包括:
第三接收模块,用于接收来自终端的数据包;
第二发送模块,用于在来自终端的数据包中添加真实网络位置标识后发送给如权利要求20所述的域边界网关;
或,
第四接收模块,用于接收来自前述的域边界网关的数据包。
为实现上述目的,本发明实施例还提供了一种终端,包括:
第三发送模块,用于发送数据包给前述的接入网关;
或,
第五接收模块,用于接收来自前述的接入网关的数据包。
为实现上述目的,本发明实施例还提供了一种电子设备,所述电子设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现:
前述的网络位置信息转换方法。
为实现上述目的,本发明实施例还提供了一种存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述的网络位置信息转换方法。
本发明实施例提出的位置信息转换方法,通过域边界网关获取真实网络位置标识与虚拟网络位置标识的映射关系,接收来自终端的数据包,根据映射关系,将数据包中的真实网络位置标识转换成虚拟网络位置标识;或者,接收发往终端的数据包,根据映射关系,将数据包中的虚拟网络位置标识转换成真实网络位置标识。本发明实施例通过在域边界网关转换和隐藏真实网络位置信息,从而实现域内通过真实网络位置标识进行数据通信,域间(即域外)通过虚拟网络位置标识进行数据通信,达到保护用户位置信息的目的,进而有效降低了用户隐私暴露的风险。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
图1是本发明一种实施例提供的从客户端到服务端的网络架构示意图。
图2是本发明第一方面一种实施例提供的网络位置信息转换方法的流程示意图;
图3是本发明一种实施例提供的数据包的结构示意图;
图4是本发明另一种实施例提供的数据包的结构示意图;
图5是本发明另一种实施例提供的数据包的结构示意图;
图6是本发明另一种实施例提供的数据包的结构示意图;
图7是本发明第一方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图8是本发明另一种实施例提供的数据包的结构示意图;
图9是本发明第二方面一种实施例提供的网络位置信息转换方法的流程示意图;
图10是本发明第二方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图11是本发明第二方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图12是本发明第三方面一种实施例提供的网络位置信息转换方法的流程示意图;
图13是本发明第三方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图14是本发明第四方面一种实施例提供的网络位置信息转换方法的流程示意图;
图15是本发明第四方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图16是本发明第四方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图17是本发明第五方面一种实施例提供的网络位置信息转换方法的流程示意图;
图18是本发明第五方面另一种实施例提供的网络位置信息转换方法的流程示意图;
图19是本发明一种实施例提供的网络位置信息转换方法的流程示意图;
图20是本发明一种实施例提供的网络位置信息转换方法的流程示意图;
图21是本发明第六方面一种实施例提供的域边界网关的结构示意图;
图22是本发明第七方面一种实施例提供的位置控制器的结构示意图;
图23是本发明第八方面一种实施例提供的服务控制器的结构示意图;
图24是本发明第九方面一种实施例提供的接入网关的结构示意图;
图25是本发明第十方面一种实施例提供的终端的结构示意图。
附图标记:
客户端110、第一接入网关120、第一服务控制器130、第一位置控制器140、第一域边界网关150、服务端210、第二接入网关220、第二服务控制器230、第二位置控制器240、第二域边界网关250、第一获取模块310、第一接收模块320、转换模块330、第二获取模块410、建立模块420、下发模块430、第二接收模块510、第一发送模块520、第三接收模块610、第二发送模块620、第四接收模块630、第三发送模块710、第五接收模块720。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的在一些实施例中实施例仅仅用以解释本发明,并不用于限定本发明。不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特有的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
需要说明的是,虽然在装置示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于装置中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
互联网采用互联网协议地址(Internet Protocol Address,IP地址)作为统一的通信标识,主机之间通过路由可达。由于暴露在IP数据包头部的地址承载了用户的位置信息和身份信息,IP地址已成为公用互联网关联用户身份与位置、进而分析用户行为的重要手段,使用户面临隐私暴露的风险。因此,在确保用户身份真实性的基础上,保护用户的位置隐私,需要对用户的位置信息进行隐藏。
基于上述,本发明实施例提出了一种位置信息转换方法、网关、控制器、终端、设备及介质,能够对用户的位置信息进行隐藏,从而避免用户的隐私泄露。
需要说明的是,在一些实施例中,本发明实施例基于身份信息、位置信息分离技术,针对位置信息进行隐藏。本发明实施例涉及的互联网域间通信系统,可以是终端到终端。终端可以是客户端,也可以是服务端。终端到终端可以是客户端到客户端,也可以是客户端到服务端,也可以是服务端到服务端,还可以是多个客户端到一个或多个服务端。
在一些实施例中,终端可以为客户端,也可以为服务端。其中,客户端可以为移动终端设备,也可以为非移动终端设备。移动终端设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载终端设备、可穿戴设备、超级移动个人计算机、上网本、个人数字助理等;非移动终端设备可以为个人计算机、电视机、柜员机或者自助机等。服务端可以为独立的物理实体服务器,也可以为逻辑上的实体。本发明实施方案不作具体限定。以下仅以客户端和服务端之间的通信为例,进行说明。
例如,如图1所示,为本发明涉及的从客户端到服务端的网络架构。整个网络被分为域内和域外,域内和域外(即互联网)可以进行数据通信。本发明通过采用域内通过真实网络位置标识进行数据通信,域间(即域外)通过虚拟网络位置标识进行数据通信的技术手段,达到保护用户位置信息的目的。
其中,客户端110(即用户所在的终端)的安全域记为域A,域内包括第一接入网关120、第一服务控制器130、第一位置控制器140和第一域边界网关150。客户端110与第一接入网关连接120,第一接入网关120分别与第一服务控制器130、第一域边界网关150连接,第一服务控制器130与第一位置控制器140连接,第一位置控制器140与第一域边界网关150连接。服务端210的安全域记为域B,域内包括第二接入网关220、第二服务控制器230、第二位置控制器240和第二域边界网关250。服务端210与第二接入网关220连接,第二接入网关220分别与第二服务控制器230、第二域边界网关250连接,第二服务控制器230与第二位置控制器240连接,第二位置控制器240与第二域边界网关250连接。
需要说明的是,域A的第一位置控制器140可独立部署,亦可与第一服务控制器130合一部署。域B的第二位置控制器240可独立部署,亦可与第二服务控制器230合一部署。域A的第一位置控制器140与域B的第二位置控制器240可独立部署,亦可合一部署。域A的第一服务控制器130与域B的第二服务控制器230可独立部署,亦可合一部署。以下仅以第一服务控制器130和第二服务控制器230合一部署、第一位置控制器140和第二位置控制器240合一部署为例,进行说明。
下面结合具体实施例对本发明的技术方案进行说明。
第一方面,本发明实施例提供了一种网络位置信息转换方法,应用于域边界网关。域边界网关是安全域内和域外的边界设备,主要用于将域内的真实网络位置标识LID映射到域外的虚拟网络位置标识LID'。例如,域边界网关可以是域A的第一域边界网关或域B的第二域边界网关。
在一些实施例中,如图2所示,网络位置信息转换方法包括:
步骤S110:获取真实网络位置标识与虚拟网络位置标识的映射关系;
步骤S120:接收来自终端或发往终端的数据包;其中,数据包包括真实网络位置标识或虚拟网络位置标识;
步骤S130:根据映射关系,对数据包进行网络位置标识转换。
在一些实施例中,域边界网关获取真实网络位置标识LID与虚拟网络位置标识LID'的映射关系,接收来自终端的数据包,根据映射关系,将数据包中的真实网络位置标识LID转换成虚拟网络位置标识LID',发送到域外;或者,接收发往终端的数据包,根据映射关系,将数据包中的虚拟网络位置标识LID'转换成真实网络位置标识LID,发送到终端。本发明实施例通过在域边界网关转换和隐藏真实网络位置信息LID,从而实现域内通过真实网络位置标识LID进行数据通信,域间(即域外)通过虚拟网络位置标识LID'进行数据通信,达到保护用户位置信息的目的,进而有效降低了用户隐私暴露的风险。
在一些实施例中,真实网络位置标识LID与虚拟网络位置标识LID'的映射关系可以由位置控制器生成并下发给域边界网关,也可以由域边界网关预先存储。
在一些实施例中,客户端与服务端进行数据通信。当客户端通过第一域边界网关发送数据包给服务端,则数据包中的真实网络位置标识LID包括客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs。如图3所示,为第一域边界网关接收来自客户端的数据包的结构示意图,LIDc为客户端真实网络位置标识,LIDs为服务端真实网络位置标识,payload为数据包承载的业务数据。当数据包从客户端到达第一域边界网关,第一域边界网关根据映射关系,可以依据需要选择只对客户端真实网络位置标识LIDc进行隐藏,或者只对服务端真实网络位置标识LIDs进行隐藏,或者对客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs都进行隐藏。
在一些实施例中,若用户使用个人电脑访问baidu.com、google.com等开放性网站,可以只对客户端真实网络位置标识LIDc进行隐藏。若用户使用公用电脑访问局域网络或者带有保密性质的网络,可以只对服务端真实网络位置标识LIDs进行隐藏。若用户使用个人电脑访问局域网络或者带有保密性质的网络,需要对客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs都进行隐藏。
下面对上述三种方案进行详细说明:
(1)只对客户端真实网络位置标识LIDc进行隐藏,对应的,则步骤S130包括:
获取来自终端的数据包中的客户端真实网络位置标识LIDc;
根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc';
将来自终端的数据包中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc'。
或,
获取发往终端的数据包中的客户端虚拟网络位置标识LIDc';
根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc;
将发往终端的数据包中的客户端虚拟网络位置标识LIDc'转换为客户端真实网络位置标识LIDc。
在一些实施例中,第一域边界网关获取来自客户端的数据包Z中的客户端真实网络位置标识LIDc,根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc',将数据包Z中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',服务端真实网络位置标识LIDs保持不变,转换后的数据包Z'的结构如图4所示,将转换后的数据包Z'发送到域外,经由域外到达第二域边界网关;
第二域边界网关获取数据包Z'中的客户端虚拟网络位置标识LIDc',根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc,将数据包Z'中的客户端虚拟网络位置标识LIDc'恢复为客户端真实网络位置标识LIDc,将恢复后的数据包Z发送给服务端。
对应的,当服务端返回数据包Y给客户端,包括:
第二域边界网关获取返回给客户端的数据包Y中的客户端真实网络位置标识LIDc,根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc',将数据包Y中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',服务端真实网络位置标识LIDs保持不变,将转换后的数据包Y'发送到域外,经由域外到达第一域边界网关;
第一域边界网关获取数据包Y'中的客户端虚拟网络位置标识LIDc',根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc,将数据包Y'中的客户端虚拟网络位置标识LIDc'恢复为客户端真实网络位置标识LIDc,将恢复后的数据包Y发送给客户端。
(2)只对服务端真实网络位置标识LIDs进行隐藏,对应的,则步骤S300包括:
获取来自终端的数据包中的服务端真实网络位置标识;
根据映射关系,查找服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs';
将来自终端的数据包中的服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs';
或,
获取发往终端的数据包中的服务端虚拟网络位置标识LIDs';
根据映射关系,查找服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs;
将发往终端的数据包中的服务端虚拟网络位置标识LIDs'转换为服务端真实网络位置标识LIDs。
在一些实施例中,第一域边界网关获取来自客户端的数据包Z中的服务端真实网络位置标识LIDs,根据映射关系,查找服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs',将数据包Z中的服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs',客户端真实网络位置标识LIDc保持不变,转换后的数据包Z'的结构如图5所示,将转换后的数据包Z'发送到域外,经由域外到达第二域边界网关;
第二域边界网关获取数据包Z'中的服务端虚拟网络位置标识LIDs',根据映射关系,查找服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs,将数据包Z'中的服务端虚拟网络位置标识LIDs'恢复为服务端真实网络位置标识LIDs,将恢复后的数据包Z发送给服务端。
对应的,当服务端返回数据包Y给客户端,包括:
第二域边界网关获取返回给客户端的数据包Y中的服务端真实网络位置标识LIDs,根据映射关系,查找服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs',将数据包Y中的服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs',客户端真实网络位置标识LIDc保持不变,将转换后的数据包Y'发送到域外,经由域外到达第一域边界网关;
第一域边界网关获取数据包Y'中的服务端虚拟网络位置标识LIDs',根据映射关系,查找服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs,将数据包Y'中的服务端虚拟网络位置标识LIDs'恢复为服务端真实网络位置标识LIDs,将恢复后的数据包Y发送给客户端。
(3)对客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs都进行隐藏,对应的,步骤S130包括:
获取来自终端的数据包中的客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs;
根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc',以及服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs';
将来自终端的数据包中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',以及将服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs';
或,
获取发往终端的数据包中的客户端虚拟网络位置标识LIDc'和服务端虚拟网络位置标识LIDs';
根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc,以及服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs;
将发往终端的数据包中的客户端虚拟网络位置标识LIDc'转换为客户端真实网络位置标识LIDc,以及将服务端虚拟网络位置标识LIDs'转换为服务端真实网络位置标识LIDs。
在一些实施例中,第一域边界网关获取来自客户端的数据包Z中的客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs,根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc',以及服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs',将数据包Z中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',将服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs',转换后的数据包Z'的结构如图6所示,将转换后的数据包Z'发送到域外,经由域外到达第二域边界网关;
第二域边界网关获取数据包Z'中的客户端虚拟网络位置标识LIDc'和服务端虚拟网络位置标识LIDs',根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc,以及服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs,将数据包Z'中的客户端虚拟网络位置标识LIDc'恢复为客户端真实网络位置标识LIDc,将服务端虚拟网络位置标识LIDs'恢复为服务端真实网络位置标识LIDs,将恢复后的数据包Z发送给服务端。
对应的,当服务端返回数据包Y给客户端,包括:
第二域边界网关获取返回给客户端的数据包Y中的客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs,根据映射关系,查找客户端真实网络位置标识LIDc对应的客户端虚拟网络位置标识LIDc',以及服务端真实网络位置标识LIDs对应的服务端虚拟网络位置标识LIDs',将数据包Y中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',将服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs',将转换后的数据包Y'发送到域外,经由域外到达第一域边界网关;
第一域边界网关获取数据包Y'中的客户端虚拟网络位置标识LIDc'和服务端虚拟网络位置标识LIDs',根据映射关系,查找客户端虚拟网络位置标识LIDc'对应的客户端真实网络位置标识LIDc,以及服务端虚拟网络位置标识LIDs'对应的服务端真实网络位置标识LIDs,将数据包Y'中的客户端虚拟网络位置标识LIDc'恢复为客户端真实网络位置标识LIDc,将服务端虚拟网络位置标识LIDs'恢复为服务端真实网络位置标识LIDs,将恢复后的数据包Y发送给客户端。
上述三种方案中,在客户端发送数据包给服务端以及服务端返回数据包给客户端两个过程中,均实现了域内通过真实网络位置标识LID进行数据通信,域间(即域外)通过虚拟网络位置标识LID'进行数据通信,达到保护用户位置信息的目的,进而有效降低了用户隐私暴露的风险。
在一些实施例中,如图7所示,步骤S110之后,还包括:
步骤S140:接收来自位置控制器的路由信息;其中,路由信息由位置控制器根据虚拟网络位置标识生成;
步骤S150:将路由信息向域外通告,以使得虚拟网络位置标识路由可达。
在一些实施例中,位置控制器接收服务控制器传递过来的真实网络位置标识LID,建立真实网络位置标识LID与虚拟网络位置标识LID'的映射关系,根据虚拟网络位置标识LID'生成路由信息,并将虚拟网络位置标识LID'的路由信息下发给域边界网关。域边界网关接收位置控制器下发的路由信息,将路由信息向域外通告,以使得虚拟网络位置标识LID'路由可达。目的在于使得域间的路由器在传输数据包时,知道数据包中的虚拟网络位置标识LID'来自于哪个域边界网关,以便于传输服务端返回的数据包时可以精准地返回至对应的域边界网关,提高数据包传输的可靠性。
在一些实施例中,如图8所示,数据包还包括客户端网络身份标识NIDc和服务端网络身份标识NIDs。网络身份标识(Network Identifier,简称NID)代表客户端或服务端在网络上的身份,能够在网络上唯一标识客户端或服务端,格式可以为IP地址、OID(ObjectIdentifier,对象标识符)等。将客户端网络身份标识NIDc和服务端网络身份标识NIDs封装在数据包中,一方面,可以标识数据包的来源和要发往的服务端,提高数据包传输的可靠性。另一方面,网络身份标识NID和网络位置标识LID是分离地封装在数据包中,在域外传输时可以更好地保护用户的位置隐私。
第二方面,本发明实施例提供了一种网络位置信息转换方法,应用于位置控制器。位置控制器分别与服务控制器、域边界网关连接,主要用于接收服务控制器传递过来的真实网络位置标识LID,建立真实网络位置标识LID与虚拟网络位置标识LID'的映射关系,并下发至域边界网关。例如,位置控制器可以为域A的第一位置控制器或域B的第二位置控制器。
在一些实施例中,如图9所示,网络位置信息转换方法包括:
步骤S210:获取真实网络位置标识;
步骤S220:根据真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
步骤S230:向域边界网关下发映射关系,以使得域边界网关执行如第一方面所述的方法。
在一些实施例中,如第一方面所述,位置控制器接收服务控制器传递过来的真实网络位置标识LID,根据真实网络位置标识LID,生成对应的虚拟网络位置标识LID',从而建立真实网络位置标识LID与虚拟网络位置标识LID'的映射关系。位置控制器向第一域边界网关下发该映射关系,以使得第一域边界网关执行如第一方面所述的方法,具体的执行步骤请参照第一方面的描述,此处不再赘述。
在一些实施例中,若第一服务控制器和第二服务控制器分开部署,第一位置控制器和第二位置控制器分开部署,则第一服务控制器还将真实网络位置标识LID发送给第二服务控制器,再由第二服务控制器发送给第二位置控制器。第二位置控制器接收第二服务控制器传递过来的真实网络位置标识LID,根据真实网络位置标识LID,生成对应的虚拟网络位置标识LID',从而建立真实网络位置标识LID与虚拟网络位置标识LID'的映射关系。第二位置控制器向第二域边界网关下发该映射关系,以使得第二域边界网关执行如第一方面所述的方法,具体的执行步骤请参照第一方面的描述,此处不再赘述。
在一些实施例中,如第一方面所述,真实网络位置标识LID包括客户端真实网络位置标识LIDc和/或服务端真实网络位置标识LIDs,即可以依据需要选择只对客户端真实网络位置标识LIDc进行隐藏,或者只对服务端真实网络位置标识LIDs进行隐藏,或者对客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs都进行隐藏。
对应的,如图10所示,步骤S220包括:
步骤S221:根据客户端真实网络位置标识,建立客户端真实网络位置标识和客户端虚拟网络位置标识的映射关系;
和/或,
步骤S222:根据服务端真实网络位置标识,建立服务端真实网络位置标识和服务端虚拟网络位置标识的映射关系。
即只对客户端真实网络位置标识LIDc进行隐藏,则位置控制器只需要建立客户端真实网络位置标识LIDc和客户端虚拟网络位置标识LIDc'的映射关系;只对服务端真实网络位置标识LIDs进行隐藏,则位置控制器只需要建立服务端真实网络位置标识LIDs和服务端虚拟网络位置标识LIDs'的映射关系;对客户端真实网络位置标识LIDc和服务端真实网络位置标识LIDs都进行隐藏,则位置控制器需要建立客户端真实网络位置标识LIDc和客户端虚拟网络位置标识LIDc'的映射关系,和,服务端真实网络位置标识LIDs和服务端虚拟网络位置标识LIDs'的映射关系。可以理解的是,上述是较为优选的方式,位置控制器也可以预先建立所有的映射关系,在对数据包中的真实网络位置标识进行转换时,依据需要进行转换即可。
在一些实施例中,网络位置信息转换方法还包括:
获取服务标识:
对应的,步骤S220包括:
根据真实网络位置标识和服务标识,建立真实网络位置标识和虚拟网络位置标识的映射关系。
在一些实施例中,位置控制器还接收服务控制器传递过来的服务标识SID。服务标识SID代表客户端要访问的服务,也即服务端发布的服务,如域名、统一资源标识、应用协议接口标识等。位置控制器根据真实网络位置标识LID和服务标识SID,建立真实网络位置标识LID和虚拟网络位置标识LID'的映射关系,可以实现真实网络位置标识LID基于要访问的服务的不同,而映射为不同的虚拟网络位置标识LID',从而实现虚拟网络位置标识LID'的动态变换,灵活性更高,更好地保护了用户的位置隐私。
在一些实施例中,如图11所示,网络位置信息转换方法还包括:
步骤S240:获取虚拟网络位置标识;
步骤S250:根据虚拟网络位置标识生成路由信息;
步骤S260:将路由信息下发至域边界网关。
在一些实施例中,位置控制器根据真实网络位置标识LID,生成对应的虚拟网络位置标识LID',再根据虚拟网络位置标识LID'生成路由信息,并将虚拟网络位置标识LID'的路由信息下发给域边界网关。域边界网关接收位置控制器下发的路由信息,将路由信息向域外通告,以使得虚拟网络位置标识LID'路由可达。
第三方面,本发明实施例提供了一种网络位置信息转换方法,应用于服务控制器。服务控制器分别与接入网关、位置控制器连接,主要用于预先登记服务端的服务标识SID,根据客户端的请求进行授权,返回服务标识SID对应的网络身份标识NID、真实网络位置标识LID,接收接入网关发来的真实网络位置标识LID并传递给位置控制器。例如,服务控制器可以为域A的第一服务控制器或域B的第二服务控制器。
在一些实施例中,服务控制器可采用分布式部署方式,在不同域内部署服务控制器,并互联互通,组成服务控制网络。
在一些实施例中,如图12所示,网络位置信息转换方法包括:
步骤S310:接收来自接入网关的第一访问请求;
步骤S320:根据第一访问请求,发送真实网络位置标识至位置控制器,以使得位置控制器执行如第二方面所述的方法。
在一些实施例中,服务控制器接收来自接入网关的第一访问请求,第一访问请求携带真实网络位置标识LID,根据第一访问请求,发送真实网络位置标识LID至位置控制器,以使得位置控制器根据真实网络位置标识LID,建立真实网络位置标识LID与虚拟网络位置标识LID'的映射关系。
在一些实施例中,第一访问请求携带客户端真实网络位置标识LIDc;对应的,步骤S320包括:
根据第一访问请求,将客户端真实网络位置标识发送给位置控制器。
在一些实施例中,客户端向接入网关发起请求,接入网关根据客户端发起的请求生成第一访问请求,发送给服务控制器。该第一访问请求携带客户端真实网络位置标识LIDc。服务控制器接收到客户端真实网络位置标识LIDc后发送给位置控制器,以使得位置控制器根据客户端真实网络位置标识LIDc,建立客户端真实网络位置标识LIDc与客户端虚拟网络位置标识LIDc'的映射关系。
在一些实施例中,第一访问请求还携带服务标识SID;对应的,步骤S320包括:
根据第一访问请求,查找预存数据库得到服务标识SID对应的服务端真实网络位置标识LIDs;其中,预存数据库预存储有服务标识SID和服务端真实网络位置标识LIDs的对应关系;
将服务端真实网络位置标识LIDs发送给位置控制器。
在一些实施例中,服务控制器预先登记并存储了服务端的服务标识SID和服务端真实网络位置标识LIDs的对应关系,并存在预存数据库中。第一访问请求还携带服务标识SID。服务控制器接收到服务标识SID,查找预存数据库得到服务标识SID对应的服务端真实网络位置标识LIDs,并将服务端真实网络位置标识LIDs发送给位置控制器,以使得位置控制器根据服务端真实网络位置标识LIDs,建立服务端真实网络位置标识LIDs与服务端虚拟网络位置标识LIDs'的映射关系。
在一些实施例中,第一访问请求还携带客户端网络身份标识NIDc;对应的,如图13所示,方法还包括:
步骤S330:根据第一访问请求,查找预存数据库得到客户端网络身份标识、服务标识对应的服务器网络身份标识;其中,预存数据库预存储有客户端网络身份标识、服务标识和服务端网络身份标识的对应关系;
步骤S340:将服务端网络身份标识和服务端真实网络位置标识发送给接入网关,以使得接入网关记录服务端网络位置标识并将服务端网络身份标识发送给终端。
在一些实施例中,需要说明的是,执行该方法之前,客户端经过第一接入网关进行身份认证,第一接入网关根据客户端属性以及被访问的服务进行鉴权,鉴权过程可以采用802.1x、可扩展的身份验证协议、WEB门户等认证方式或协议。若鉴权通过,客户端经过第一接入网关向服务控制器请求分配客户端网络身份标识NIDc,服务控制器生成一客户端网络身份标识NIDc,经过第一接入网关分配给客户端。客户端向第一接入网关发起请求时,还携带了客户端网络身份标识NIDc,则第一接入网关生成的第一访问请求中也携带有客户端网络身份标识NIDc。服务控制器预先存储了客户端网络身份标识NIDc、服务标识SID、服务器网络身份标识NIDs的对应关系,并存在预存数据库中。服务控制器接收到客户端网络身份标识NIDc、服务标识SID,查找预存数据库得到客户端网络身份标识NIDc、服务标识SID对应的服务器网络身份标识NIDs,将服务器网络身份标识NIDs和服务端真实网络位置标识LIDs发送给第一接入网关。第一接入网关记录服务端网络位置标识LIDs,将服务端网络身份标识NIDs发送给客户端。上述步骤实现了网络身份标识NID和网络位置标识LID的分离,从而更好地保护用户的位置隐私。
第四方面,本发明实施例提供了一种网络位置信息转换方法,应用于接入网关。接入网关是客户端或服务端接入互联网的边界设备,是客户端或服务端与通信对端、服务控制器交互的节点,参与网络身份标识NID分配过程、访问请求过程。例如,接入网关可以为域A的第一接入网关或域B的第二接入网关。
在一些实施例中,如图14所示,网络位置信息转换方法包括:
步骤S410:接收来自终端的数据包;
步骤S420:在来自终端的数据包中添加真实网络位置标识后发送给域边界网关,以使得域边界网关执行如第一方面所述的方法;
或,如图15所示,包括:
步骤S430:接收来自域边界网关的数据包;其中,数据包由域边界网关执行如第一方面所述的方法得到;
步骤S440:在来自域边界网关的数据包中删除真实网络位置标识后发送给终端。
在一些实施例中,当终端为客户端,第一接入网关接收来自客户端的数据包,在来自客户端的数据包中添加真实网络位置标识LID后发送给第一域边界网关,以使得第一域边界网关根据真实网络位置标识LID与虚拟网络位置标识LID'的映射关系,将数据包中的真实网络位置标识LID转换为虚拟网络位置标识LID',发送到域外;或者,第一接入网关接收来自第一域边界网关的数据包,在来自第一域边界网关的数据包中删除真实网络位置标识LID后发送给客户端。上述步骤实现了域内通过真实网络位置标识LID进行数据通信,域间(即域外)通过虚拟网络位置标识LID'进行数据通信,从而达到保护用户位置信息的目的。
在一些实施例中,当终端为服务端,第二接入网关接收来自服务端的数据包,在来自服务端的数据包中添加真实网络位置标识LID后发送给第二域边界网关,以使得第二域边界网关根据真实网络位置标识LID与虚拟网络位置标识LID'的映射关系,将数据包中的真实网络位置标识LID转换为虚拟网络位置标识LID',发送到域外;或者,第二接入网关接收来自第二域边界网关的数据包,在来自第二域边界网关的数据包中删除真实网络位置标识LID后发送给服务端。上述步骤实现了域内通过真实网络位置标识LID进行数据通信,域间(即域外)通过虚拟网络位置标识LID'进行数据通信,从而达到保护用户位置信息的目的。
在一些实施例中,步骤S410或步骤S430之前,还包括:
接收来自终端的第二访问请求;
根据第二访问请求,生成第一访问请求并发送给服务控制器,以使得服务控制器执行如第三方面所述的方法。
在一些实施例中,接入网关接收来自终端(客户端或服务端)的数据包或接收来自域边界网关的数据包之前,还接收来自终端的第二访问请求,根据第二访问请求,生成第一访问请求并发送给服务控制器,以使得服务控制器根据所述第一访问请求,发送真实网络位置标识至位置控制器。
在一些实施例中,如图16所示,网络位置信息转换方法还包括:
步骤S450:接收来自服务控制器的服务端网络身份标识;
步骤S460:将服务端网络身份标识转发至终端。
在一些实施例中,如第三方面所述,服务控制器将服务器网络身份标识NIDs和服务端真实网络位置标识LIDs发送给接入网关。接入网关接收服务端网络身份标识NIDs和服务端真实网络位置标识LIDs,记录服务端真实网络位置标识LIDs,而将服务端网络身份标识NIDs转发至终端。终端在发送业务数据时,将自己的客户端网络身份标识NIDc和服务端网络身份标识NIDs以及业务数据payload进行封装,形成数据包发送出去。
第五方面,本发明实施例提供了一种网络位置信息转换方法,应用于终端。终端可以是客户端,也可以是服务端。客户端是数据通信的发起者,客户端接入第一接入网关,通过身份认证和鉴权过程后,由域A的服务控制器分配客户端网络身份标识NIDc给客户端。在需要访问业务时,客户端使用服务标识SID向服务控制器请求服务标识SID对应的客户端网络身份标识NIDc,并使用客户端网络身份标识NIDc向服务端发送业务数据。
在一些实施例中,如图17所示,网络位置信息转换方法包括:
步骤S510:发送数据包给接入网关,以使得接入网关在数据包中添加真实网络位置标识后发送给域边界网关;
或,如图18所示,包括:
步骤S520:接收来自接入网关的数据包;其中,数据包由接入网关删除数据包中的真实网络位置标识得到。
在一些实施例中,当终端为客户端,客户端发送数据包给第一接入网关,以使得第一接入网关在数据包中添加真实网络位置标识后发送给第一域边界网关;或者,客户端接收来自第一接入网关的数据包,其中,数据包由第一接入网关删除数据包中的真实网络位置标识得到。具体的执行过程请参照上述实施例的描述,此处不再赘述。
在一些实施例中,当终端为服务端,服务端发送数据包给第二接入网关,以使得第二接入网关在数据包中添加真实网络位置标识后发送给第二域边界网关;或者,服务端接收来自第二接入网关的数据包,其中,数据包由第二接入网关删除数据包中的真实网络位置标识得到。具体的执行过程请参照上述实施例的描述,此处不再赘述。
在一些实施例中,步骤S510或步骤S520之前,还包括:
发送第二访问请求至接入网关,以使得接入网关根据第二访问请求生成第一访问请求并发送给服务控制器。
在一些实施例中,终端(客户端或服务端)发送数据包给接入网关或终端接收来自接入网关的数据包之前,终端还发送第二访问请求至接入网关,以使得接入网关根据第二访问请求生成第一访问请求并发送给服务控制器。具体的执行过程请参照上述实施例的描述,此处不再赘述。
下面以四个具体的应用示例,对本发明实施例第一方面至第五方面所述的网络位置信息转换方法进行说明。需要说明的是,四个具体的应用示例中,均只设置一个服务控制器和一个位置控制器,即服务控制器和位置控制器同时管理、控制客户端和服务端。
应用示例一
第一阶段:建立真实网络位置标识与虚拟网络位置标识的映射关系阶段
如图19所示,包括:
步骤S610:客户端的主机上线,通过第一接入网关与服务控制器交互,进行身份认证,只有认证通过,才能进行后续NIDc的分配过程;
步骤S620:客户端的主机通过第一接入网关向服务控制器发起服务授权请求,请求分配客户端网络身份标识NIDc;
步骤S630:服务控制器检测到客户端的访问服务为跨域访问,需要对域外隐藏真实网络位置标识,服务控制器向位置控制器发起针对此次访问的真实网络位置隐藏请求;将服务标识SID、客户端网络身份标识NIDc、客户端真实网络位置标识LIDc等信息发送给位置控制器;
步骤S640:位置控制器根据服务标识SID、客户端网络身份标识NIDc、客户端真实网络位置标识LIDc等信息,建立客户端真实网络位置标识LIDc与客户端虚拟网络位置标识LIDc'的映射关系,将此映射关系(LIDc<—>LIDc')下发到第一域边界网关和第二域边界网关;
步骤S650:位置控制器接收服务控制器发起的位置隐藏请求,将位置隐藏响应返回给服务控制器;
步骤S660:服务控制器根据位置隐藏响应下发访问规则到第二接入网关;
步骤S670:服务控制器下发服务授权响应到第一接入网关。
步骤S680:第一接入网关将服务授权响应下发到客户端;
步骤S690:客户端发起与服务端的业务访问。
第二阶段:终端与服务端的业务访问阶段
如图20所示,包括:
步骤S710:客户端发起业务访问,发送数据包,数据包携带目标服务端的网络身份标识NIDs和自身的客户端网络身份标识NIDc,其中NIDs由业务访问授权请求流程获得,NIDc由NID分配流程获得;
步骤S720:数据包到达第一接入网关,第一接入网关根据业务访问授权请求流程获得的服务端真实网络位置标识LIDs、自身的客户端真实网络位置标识LIDc对数据进行封装,增加位置标识<LIDc,LIDs>,在域A内发送;
步骤S730:域A内以目标服务端的网络位置标识LIDs路由寻址,数据包到达第一域边界网关,第一域边界网关根据映射表(LIDc—>LIDc')、(LIDs—>LIDs'),将数据包中的客户端真实网络位置标识LIDc转换为客户端虚拟网络位置标识LIDc',将服务端真实网络位置标识LIDs转换为服务端虚拟网络位置标识LIDs',完成真实网络位置标识的隐藏,即<LIDc,LIDs>—><LIDc',LIDs'>,将数据包继续发送到域外(互联网);
步骤S740:域外根据服务端虚拟网络位置标识LIDs'路由寻址,数据包到达第二域边界网关,第二域边界网关根据映射表(LIDc'—>LIDc)、(LIDs'—>LIDs),将数据包中的虚拟网络位置标识<LIDc',LIDs'>恢复为真实网络位置标识<LIDc,LIDs>,并将恢复后的数据包发送到服务端侧的域B内网络;
步骤S750:域B内根据服务端真实网络位置标识LIDs路由到第二接入网关,第二接入网关删除真实网络位置标识<LIDc,LIDs>,将携带网络身份标识<NIDc,NIDs>的数据包发送到服务端,完成一次单向的业务访问流程;
步骤S760:服务端对客户端的业务响应流程与客户端的业务访问流程相同,由第二域边界网关完成真实网络位置标识的隐藏。此处不再赘述。
在一些实施例中,服务端域与客户端域均假定为安全域,真实网络位置标识LIDc、LIDs在域内透明,在域外隐藏。真实网络位置标识LIDc、LIDs的路由信息在安全域(客户端域、服务端域)域内通告,路由可达。虚拟网络位置标识LIDc'、LIDs'的路由信息在安全域外通告,路由可达,域外路由目的地为域边界网关。
本实施例为完整的既对客户端真实网络位置标识LIDc提供隐藏服务,又对服务端真实网络位置标识LIDs提供隐藏服务。在不同的应用场景下,也可以只对客户端真实网络位置标识LIDc提供隐藏服务,或者只对服务端真实网络位置标识LIDs提供隐藏服务,依据需要即可。
应用示例二
只对客户端真实网络位置标识LIDc提供隐藏服务,则步骤S640只建立客户端真实网络位置标识LIDc与客户端虚拟网络位置标识LIDc'的映射关系(LIDc<—>LIDc')。在客户端侧的第一域边界网关进行真实网络位置隐藏时,只修改LIDc为LIDc',LIDs保持不变,在域外数据包中的网络位置标识为<LIDc',LIDs>。在服务端侧的第二域边界网关只需要将客户端虚拟网络位置标识LIDc'还原为客户端真实网络位置标识LIDc。
其他步骤请参照应用示例一,此处不再赘述。
应用示例三
只对服务端真实网络位置标识LIDc提供隐藏服务,则步骤S640只建立服务端真实网络位置标识LIDs与服务端虚拟网络位置标识LIDs'的映射关系(LIDs<—>LIDs')。在客户端侧的第一域边界网关进行真实网络位置隐藏时,只修改LIDs为LIDs',LIDc保持不变,在域外数据包中的网络位置标识为<LIDc,LIDs'>。在服务端侧的第二域边界网关只需要将服务端虚拟网络位置标识LIDs'还原为服务端真实网络位置标识LIDs。
其他步骤请参照应用示例一,此处不再赘述。
应用示例四
只对客户端真实网络位置标识LIDc提供隐藏服务,且客户端真实网络位置标识在服务端域不还原,则可以裁减服务端侧的域边界网关。同应用示例二,步骤S640只建立客户端真实网络位置标识LIDc与客户端虚拟网络位置标识LIDc'的映射关系(LIDc<—>LIDc')。在客户端侧的第一域边界网关进行真实网络位置隐藏时,只修改LIDc为LIDc',LIDs保持不变,在域外数据包中的网络位置标识为<LIDc',LIDs>。由于服务端侧没有域边界网关,数据包直接路由到达服务端侧的第二接入网关,第二接入网关在步骤S750中删除网络位置标识<LIDc',LIDs>,将业务数据发送给服务端。
反方向,服务端返回的响应数据经过服务端侧的第二接入网关时,第二接入网关进行数据封装,增加目标客户端的虚拟网络位置标识LIDc'和自己的虚拟网络位置标识LIDs'形成数据包,该LIDc'可由自学习方式产生或通过服务控制器根据映射关系下发。本实施例中,客户端虚拟网络位置标识LIDc'在服务端域内路由可达,在域外通告。数据包到达客户端侧的第一域边界网关,第一域边界网关只需要将客户端虚拟网络位置标识LIDc'修改为客户端真实网络位置标识LIDc,LIDs'保持不变。数据包到达客户端侧的第一接入网关,第一接入网关删除网络位置标识<LIDc,LIDs'>,将业务数据发送给客户端。
第六方面,如图21所示,本发明实施例提供了一种域边界网关,包括:
第一获取模块310,用于获取真实网络位置标识与虚拟网络位置标识的映射关系;
第一接收模块320,用于接收来自终端或发往终端的数据包;其中,数据包包括真实网络位置标识或虚拟网络位置标识;
转换模块330,用于根据映射关系,对数据包进行网络位置标识转换。
在一些实施例中,域边界网关的工作原理请参照第一方面对网络位置信息转换方法的描述,此处不再赘述。
第七方面,如图22所示,本发明实施例提供了一种位置控制器,包括:
第二获取模块410,用于获取真实网络位置标识;
建立模块420,用于根据真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
下发模块430,用于向如第六方面所述的域边界网关下发映射关系。
在一些实施例中,位置控制器的工作原理请参照第二方面对网络位置信息转换方法的描述,此处不再赘述。
第八方面,如图23所示,本发明实施例提供了一种服务控制器,包括:
第二接收模块510,用于接收来自接入网关的第一访问请求;
第一发送模块520,用于根据第一访问请求,发送真实网络位置标识至如第七方面所述的位置控制器。
在一些实施例中,服务控制器的工作原理请参照第三方面对网络位置信息转换方法的描述,此处不再赘述。
第九方面,如图24所示,本发明实施例提供了一种接入网关,包括:
第三接收模块610,用于接收来自终端的数据包;
第二发送模块620,用于在来自终端的数据包中添加真实网络位置标识后发送给如第六方面所述的域边界网关;
或,
第四接收模块630,用于接收来自如第六方面所述的域边界网关的数据包。
在一些实施例中,接入网关的工作原理请参照第四方面对网络位置信息转换方法的描述,此处不再赘述。
第十方面,如图25所示,本发明实施例提供了一种终端,包括:
第三发送模块710,用于发送数据包给如第九方面所述的接入网关;
或,
第五接收模块720,用于接收来自如第九方面所述的接入网关的数据包。
在一些实施例中,终端的工作原理请参照第五方面对网络位置信息转换方法的描述,此处不再赘述。
应用示例五
应用示例五提供了一种网络位置信息转换系统,包括如第六方面所述的域边界网关、第七方面所述的位置控制器、第八方面所述的服务控制器、第九方面所述的接入网关和第十方面所述的终端。
在一些实施例中,服务控制器的第二接收模块510接收来自接入网关的第一访问请求,第一发送模块520根据第一访问请求,发送真实网络位置标识至位置控制器的第二获取模块410。位置控制器的第二获取模块410获取真实网络位置标识,发送给建立模块420。位置控制器的建立模块420根据真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系,发送给下发模块430。位置控制器的下发模块430向域边界网关的第一获取模块310下发映射关系。域边界网关的第一获取模块310获取真实网络位置标识与虚拟网络位置标识的映射关系。
在一些实施例中,终端的第三发送模块710发送数据包给接入网关的第三接收模块610。接入网关的第三接收模块610接收来自终端的数据包,发送给第二发送模块620。接入网关的第二发送模块620在来自终端的数据包中添加真实网络位置标识后,发送给域边界网关的第一接收模块320。域边界网关的第一接收模块320接收来自终端或发往终端的数据包,发送给转换模块330。域边界网关的转换模块330根据映射关系,对数据包进行网络位置标识转换。
或者,
在一些实施例中,域边界网关的转换模块330根据映射关系,对数据包进行网络位置标识转换,发送给接入网关的第四接收模块630。接入网关的第四接收模块630接收来自域边界网关的数据包,发送给终端的第五接收模块720。终端的第五接收模块720接收来自接入网关的数据包。
第十一方面,本发明实施例提供了一种电子设备,电子设备包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现:
如第一方面或第二方面或第三方面或第四方面或第五方面所述的网络位置信息转换方法的步骤。
在一些实施例中,电子设备可以为移动终端设备,也可以为非移动终端设备。移动终端设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载终端设备、可穿戴设备、超级移动个人计算机、上网本、个人数字助理等;非移动终端设备可以为个人计算机、电视机、柜员机或者自助机等;本发明实施方案不作具体限定。
第十二方面,本发明实施例提供了一种存储介质,用于计算机可读存储,存储介质存储有一个或者多个程序,一个或者多个程序可被一个或者多个处理器执行,以实现:
如第一方面或第二方面或第三方面或第四方面或第五方面所述的网络位置信息转换方法的步骤。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
以上参照附图说明了本发明的优选实施例,并非因此局限本发明的权利范围。本领域技术人员不脱离本发明的范围和实质内所作的任何修改、等同替换和改进,均应在本发明的权利范围之内。
Claims (26)
1.网络位置信息转换方法,应用于域边界网关,包括:
获取真实网络位置标识与虚拟网络位置标识的映射关系;
接收来自终端或发往所述终端的数据包;其中,所述数据包包括真实网络位置标识或虚拟网络位置标识;
根据所述映射关系,对所述数据包进行网络位置标识转换。
2.根据权利要求1所述的网络位置信息转换方法,其特征在于,
所述真实网络位置标识包括客户端真实网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识转换,包括:
获取来自终端的数据包中的客户端真实网络位置标识;
根据所述映射关系,查找所述客户端真实网络位置标识对应的客户端虚拟网络位置标识;
将来自终端的数据包中的客户端真实网络位置标识转换为客户端虚拟网络位置标识;
或,
所述虚拟网络位置标识包括客户端虚拟网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识转换,包括:
获取发往所述终端的数据包中的客户端虚拟网络位置标识;
根据所述映射关系,查找所述客户端虚拟网络位置标识对应的客户端真实网络位置标识;
将发往所述终端的数据包中的客户端虚拟网络位置标识转换为客户端真实网络位置标识。
3.根据权利要求1所述的网络位置信息转换方法,其特征在于,
所述真实网络位置标识包括服务端真实网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识的转换,包括:
获取来自终端的数据包中的服务端真实网络位置标识;
根据所述映射关系,查找所述服务端真实网络位置标识对应的服务端虚拟网络位置标识;
将来自终端的数据包中的服务端真实网络位置标识转换为服务端虚拟网络位置标识;
或,
所述虚拟网络位置标识包括服务端虚拟网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识的转换,包括:
获取发往所述终端的数据包中的服务端虚拟网络位置标识;
根据所述映射关系,查找所述服务端虚拟网络位置标识对应的服务端真实网络位置标识;
将发往所述终端的数据包中的服务端虚拟网络位置标识转换为服务端真实网络位置标识。
4.根据权利要求1所述的网络位置信息转换方法,其特征在于,
所述真实网络位置标识包括客户端真实网络位置标识和服务端真实网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识的转换,包括:
获取来自终端的数据包中的客户端真实网络位置标识和服务端真实网络位置标识;
根据所述映射关系,查找所述客户端真实网络位置标识对应的客户端虚拟网络位置标识,以及所述服务端真实网络位置标识对应的服务端虚拟网络位置标识;
将来自终端的数据包中的客户端真实网络位置标识转换为客户端虚拟网络位置标识,以及将服务端真实网络位置标识转换为服务端虚拟网络位置标识;
或,
所述虚拟网络位置标识包括客户端虚拟网络位置标识和服务端虚拟网络位置标识;
所述根据所述映射关系,对所述数据包进行网络位置标识的转换,包括:
获取发往所述终端的数据包中的客户端虚拟网络位置标识和服务端虚拟网络位置标识;
根据所述映射关系,查找所述客户端虚拟网络位置标识对应的客户端真实网络位置标识,以及所述服务端虚拟网络位置标识对应的服务端真实网络位置标识;
将发往所述终端的数据包中的客户端虚拟网络位置标识转换为客户端真实网络位置标识,以及将服务端虚拟网络位置标识转换为服务端真实网络位置标识。
5.根据权利要求1所述的网络位置信息转换方法,其特征在于,所述获取真实网络位置标识与虚拟网络位置标识的映射关系之后,还包括:
接收来自位置控制器的路由信息;其中,所述路由信息由所述位置控制器根据所述虚拟网络位置标识生成;
将所述路由信息向域外通告,以使得所述虚拟网络位置标识路由可达。
6.根据权利要求1至5任一项所述的网络位置信息转换方法,其特征在于,所述数据包还包括客户端网络身份标识和服务端网络身份标识。
7.网络位置信息转换方法,应用于位置控制器,包括:
获取真实网络位置标识;
根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
向域边界网关下发所述映射关系,以使得所述域边界网关执行如权利要求1至6任一项所述的方法。
8.根据权利要求7所述的网络位置信息转换方法,其特征在于,所述真实网络位置标识包括客户端真实网络位置标识和/或服务端真实网络位置标识;
对应的,所述根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系,包括:
根据所述客户端真实网络位置标识,建立客户端真实网络位置标识与客户端虚拟网络位置标识的映射关系;
和/或,
根据所述服务端真实网络位置标识,建立服务端真实网络位置标识与服务端虚拟网络位置标识的映射关系。
9.根据权利要求7或8所述的网络位置信息转换方法,其特征在于,还包括:
获取服务标识:
对应的,所述根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系,包括:
根据所述真实网络位置标识和所述服务标识,建立真实网络位置标识与虚拟网络位置标识的映射关系。
10.根据权利要求7或8所述的网络位置信息转换方法,其特征在于,还包括:
获取所述虚拟网络位置标识;
根据所述虚拟网络位置标识生成路由信息;
将所述路由信息下发至域边界网关。
11.网络位置信息转换方法,应用于服务控制器,包括:
接收来自接入网关的第一访问请求;
根据所述第一访问请求,发送真实网络位置标识至位置控制器,以使得所述位置控制器执行如权利要求7至10任一项所述的方法。
12.根据权利要求11所述的网络位置信息转换方法,其特征在于,
所述第一访问请求携带客户端真实网络位置标识;
所述根据所述第一访问请求,发送真实网络位置标识至位置控制器,包括:
根据所述第一访问请求,将所述客户端真实网络位置标识发送给所述位置控制器。
13.根据权利要求11或12所述的网络位置信息转换方法,其特征在于,
所述第一访问请求携带服务标识;
所述根据所述第一访问请求,发送真实网络位置标识至位置控制器,包括:
根据所述第一访问请求,查找预存数据库得到服务标识对应的服务端真实网络位置标识;其中,所述预存数据库预存储有服务标识和服务端真实网络位置标识的对应关系;
将所述服务端真实网络位置标识发送给所述位置控制器。
14.根据权利要求13所述的网络位置信息转换方法,其特征在于,
所述第一访问请求还携带客户端网络身份标识;
所述方法还包括:
根据所述第一访问请求,查找预存数据库得到客户端网络身份标识、服务标识对应的服务器网络身份标识;其中,所述预存数据库预存储有客户端网络身份标识、服务标识和服务端网络身份标识的对应关系;
将所述服务端网络身份标识和所述服务端真实网络位置标识发送给接入网关,以使得所述接入网关记录所述服务端网络位置标识并将所述服务端网络身份标识发送给终端。
15.网络位置信息转换方法,应用于接入网关,包括:
接收来自终端的数据包;
在来自终端的数据包中添加真实网络位置标识后发送给域边界网关,以使得所述域边界网关执行如权利要求1至6任一项所述的方法;
或,
接收来自域边界网关的数据包;其中,所述数据包由所述域边界网关执行如权利要求1至6任一项所述的方法得到;
在来自域边界网关的数据包中删除真实网络位置标识后发送给终端。
16.根据权利要求15所述的网络位置信息转换方法,其特征在于,所述接收来自终端的数据包或所述接收来自域边界网关的数据包之前,还包括:
接收来自终端的第二访问请求;
根据所述第二访问请求,生成第一访问请求并发送给服务控制器,以使得所述服务控制器执行如权利要求11至14任一项所述的方法。
17.根据权利要求16所述的网络位置信息转换方法,其特征在于,还包括:
接收来自服务控制器的服务端网络身份标识;
将所述服务端网络身份标识转发至终端。
18.网络位置信息转换方法,应用于终端,包括:
发送数据包给接入网关,以使得所述接入网关在所述数据包中添加真实网络位置标识后发送给域边界网关;
或,
接收来自接入网关的数据包;其中,所述数据包由所述接入网关删除数据包中的真实网络位置标识得到。
19.根据权利要求18所述的网络位置信息转换方法,其特征在于,所述发送数据包给接入网关或接收来自接入网关的数据包之前,还包括:
发送第二访问请求至接入网关,以使得所述接入网关根据所述第二访问请求生成第一访问请求并发送给服务控制器。
20.域边界网关,包括:
第一获取模块,用于获取真实网络位置标识与虚拟网络位置标识的映射关系;
第一接收模块,用于接收来自终端或发往所述终端的数据包;其中,所述数据包包括真实网络位置标识或虚拟网络位置标识;
转换模块,用于根据所述映射关系,对所述数据包进行网络位置标识转换。
21.位置控制器,包括:
第二获取模块,用于获取真实网络位置标识;
建立模块,用于根据所述真实网络位置标识,建立真实网络位置标识与虚拟网络位置标识的映射关系;
下发模块,用于向如权利要求20所述的域边界网关下发所述映射关系。
22.服务控制器,包括:
第二接收模块,用于接收来自接入网关的第一访问请求;
第一发送模块,用于根据所述第一访问请求,发送真实网络位置标识至如权利要求21所述的位置控制器。
23.接入网关,包括:
第三接收模块,用于接收来自终端的数据包;
第二发送模块,用于在来自终端的数据包中添加真实网络位置标识后发送给如权利要求20所述的域边界网关;
或,
第四接收模块,用于接收来自如权利要求20所述的域边界网关的数据包。
24.终端,包括:
第三发送模块,用于发送数据包给如权利要求23所述的接入网关;
或,
第五接收模块,用于接收来自如权利要求23所述的接入网关的数据包。
25.电子设备,所述电子设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现:
如权利要求1至19任一项所述的网络位置信息转换方法。
26.存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现:
如权利要求1至19任一项所述的网络位置信息转换方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011519896.6A CN114726819A (zh) | 2020-12-21 | 2020-12-21 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
PCT/CN2021/131522 WO2022134970A1 (zh) | 2020-12-21 | 2021-11-18 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011519896.6A CN114726819A (zh) | 2020-12-21 | 2020-12-21 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114726819A true CN114726819A (zh) | 2022-07-08 |
Family
ID=82158781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011519896.6A Pending CN114726819A (zh) | 2020-12-21 | 2020-12-21 | 位置信息转换方法、网关、控制器、终端、设备及介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN114726819A (zh) |
WO (1) | WO2022134970A1 (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102025588B (zh) * | 2009-09-15 | 2015-04-01 | 中兴通讯股份有限公司 | 身份位置分离网络与互联网的互通方法及互通网络 |
CN102025702B (zh) * | 2009-09-17 | 2014-11-05 | 中兴通讯股份有限公司 | 基于身份标识和位置分离架构的网络及其骨干网和网元 |
CN102571999B (zh) * | 2010-12-31 | 2016-03-30 | 中兴通讯股份有限公司 | 一种数据传输方法、系统及接入网关 |
CN103167483B (zh) * | 2011-12-15 | 2016-02-24 | 中国移动通信集团公司 | 一种基于隧道的数据转发方法、设备及系统 |
CN103428220B (zh) * | 2013-08-23 | 2016-03-23 | 中国人民解放军理工大学 | 一种构建基于身份位置分离的虚拟重构泛在网体系架构的方法 |
EP3231142B1 (en) * | 2014-12-09 | 2021-07-21 | Telefonaktiebolaget LM Ericsson (publ) | Network address translation |
-
2020
- 2020-12-21 CN CN202011519896.6A patent/CN114726819A/zh active Pending
-
2021
- 2021-11-18 WO PCT/CN2021/131522 patent/WO2022134970A1/zh active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2022134970A1 (zh) | 2022-06-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8549286B2 (en) | Method and system for forwarding data between private networks | |
US20150188802A1 (en) | System for supporting multi-tenant based on private ip address in virtual private cloud networks and operating method thereof | |
JP2019527988A (ja) | パケット伝送 | |
CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
CN109729187B (zh) | 一种代理通信方法、系统、装置及存储介质 | |
CN104160680A (zh) | 用于透明代理缓存的欺骗技术 | |
CN112583618B (zh) | 为业务提供网络服务的方法、装置和计算设备 | |
WO2017041562A1 (zh) | 一种识别终端设备用户身份的方法和装置 | |
CN114157579A (zh) | 接入网关的方法及装置 | |
US20220182937A1 (en) | Cross-network wake-up method and related device | |
CN113507475B (zh) | 跨域访问方法和装置 | |
CN110719273A (zh) | 回源节点的确定方法、服务器及计算机可读存储介质 | |
CN111600929B (zh) | 传输线路探测方法、路由策略生成方法及代理服务器 | |
CN107547680B (zh) | 一种数据处理方法及装置 | |
CN105991568A (zh) | 一种代理实现装置 | |
US20090292796A1 (en) | Method and device for providing routing policies to user terminals according to applications executed on user terminals | |
CN110336793B (zh) | 一种内网访问方法及相关装置 | |
CN116389599A (zh) | 网关服务请求的处理、云原生网关系统的管理方法及装置 | |
WO2022135132A1 (zh) | 业务处理方法、装置、电子设备及存储介质 | |
CN114726819A (zh) | 位置信息转换方法、网关、控制器、终端、设备及介质 | |
CN113497764B (zh) | 业务路由方法、系统、计算机存储介质和电子设备 | |
CN110324826B (zh) | 一种内网访问方法及相关装置 | |
US8036218B2 (en) | Technique for achieving connectivity between telecommunication stations | |
CN114866327B (zh) | 主机安全扫描方法、装置、电子设备及系统 | |
CN112261165B (zh) | 通信方法、系统、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |