WO2011124055A1 - 网络业务的访问控制方法及终端 - Google Patents
网络业务的访问控制方法及终端 Download PDFInfo
- Publication number
- WO2011124055A1 WO2011124055A1 PCT/CN2010/076394 CN2010076394W WO2011124055A1 WO 2011124055 A1 WO2011124055 A1 WO 2011124055A1 CN 2010076394 W CN2010076394 W CN 2010076394W WO 2011124055 A1 WO2011124055 A1 WO 2011124055A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- service
- address
- packet
- terminal
- module
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2575—NAT traversal using address mapping retrieval, e.g. simple traversal of user datagram protocol through session traversal utilities for NAT [STUN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
Definitions
- the service configuration information further includes security policy information.
- the route establishment step further includes: the terminal generating a policy entry of the security tunnel according to the security policy information, and establishing a security by using the link where the local IP is located. Tunnel, establish a tunnel routing option corresponding to the local IP address;
- the mobile internet service module is configured to: run a mobile internet service, and generate and process original service messages;
- the packet processing unit includes a TCP/IP module, and the TCP/IP module is configured to: receive an original service packet sent by the mobile internet service module or the mobile packet domain service module, and match according to a target address of the original service packet.
- the service routing option is encapsulated into a service data packet. After receiving the service data packet received by the packet receiving and receiving unit, the packet is decapsulated and sent to the corresponding mobile internet service module or the mobile packet domain service module.
- FIG. 3 is a schematic flowchart of an access control method for a network service according to the present invention.
- An application unit configured to manage service configuration information of a packet domain service and an Internet service, and generate And processing original service messages
- the application controller listens to the startup and shutdown of the packet domain service and the Internet service on the terminal, and manages the service configuration information of these services.
- packet domain link dialing that is, GPRS dialing
- the packet domain gateway of the core network performs a DHCP process to assign an IP address and gateway information to the terminal.
- the terminal performs secondary encapsulation according to the packet domain service routing option and the tunnel routing option, and the inner source address of the packet domain service data packet after the secondary encapsulation is the remote IP address, and the outer source The address is the local IP address.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络业务的访问控制方法及终端,该方法基于具备无线局域网接入能力和移动网络接入能力的终端实现,该方法包括:路由建立步骤,所述终端获取无线局域网分配的本地IP地址及核心网分组域设备分配的远端IP地址,建立对应本地IP地址的互联网业务路由选项以及对应远端IP地址的分组域业务路由选项;路由匹配步骤,所述终端根据原始业务报文的目的地址匹配业务路由选项;报文封装发送步骤,所述终端根据匹配的业务路由选项封装原始业务报文,并发送封装后的业务数据报文。本发明网络业务的访问控制方法及终端,以支持同时访问多个网络的网络业务。
Description
网络业务的访问控制方法及终端
技术领域
本发明涉及移动通信领域, 特别是涉及一种网络业务的访问控制方法及 终端。
背景技术
世界范围内无线局域网在最近的演化和成功展开产生了要把它们与 3G 移动网络如全球移动通讯系统 ( Global System for Mobile Communications, GSM ) /通用分组无线服务(General Packet Radio Service, GPRS ) 、 通用移 动通信系统 ( Universal Mobile Telecommunications System, UMTS )、 Code码 分多址(Division Multiple Access, CDMA ) 2000等融合在一起的需求。 这种 融合的主要目的是发展出新的移动数据网络, 使得在热点地区能以非常高数 据速率支持普遍存在的数据业务, 同时减轻大量数据业务给 3G移动网络带 来的数据流量上的压力。 目前国内的三大电信运营商均发展了自己的无线局 域网络, 在固网与移动融合已成为全球电信业发展趋势的背景下, 发展无线 局域网和其他移动网络融合, 以支撑并开拓新型移动数据业务, 是必然的选 择。 终端不仅需具备多种无线接入能力, 也要考虑在多种接入的情况下, 如 何控制手机应用对网络的访问, 以便在各类复杂网络环境下确保用户正常使 用各类移动互联网应用及移动运营商所部署的移动业务, 以满足不同用户的 个性化需求。
或 WLAN/2G手机在两种无线(dual radio )接入同时接入网络时, 只能有一 个网络接入可以用, 这种情况下, 如果移动分组域接入可用, 访问互联网 ( Internet )上应用是移动运营商控制的, 有些互联网上的业务很可能根本无 法使用, 访问会被移动运营商阻止, 比如移动可以屏蔽 skype, 如果 WLAN 接入可用, 则移动的业务如彩信业务就无法使用。
发明内容
本发明要解决的问题是提供一种网络业务的访问控制方法及终端, 以支 持同时访问多个网络的网络业务。
为解决以上技术问题, 本发明提供一种网络业务的访问控制方法, 该方 法基于具备无线局域网接入能力和移动网络接入能力的终端实现, 该方法包 括:
路由建立步骤, 所述终端获取无线局域网分配的本地 IP地址及核心网分 组域设备分配的远端 IP地址, 建立对应本地 IP地址的互联网业务路由选项 以及对应远端 IP地址的分组域业务路由选项;
路由匹配步骤, 所述终端根据原始业务 4艮文的目的地址匹配业务路由选 项; 以及
报文封装发送步骤, 所述终端根据匹配的业务路由选项封装原始业务报 文, 并发送封装后的业务数据报文。
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过接入移动网络建立分组域链路获取远端 IP地址;
报文封装发送步骤中, 封装后的互联网业务数据报文的源地址为本地 IP 地址, 封装后的分组域业务数据 文的源地址为远端 IP地址。
报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文, 通过无线协议栈用户面的功能接口收发分组域业务数据报文。
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过利用本地 IP地址所在链路建立安全隧道, 获得远端 IP 地址, 建立对应远端 IP地址的分组域业务路由选项时, 同时建立本地 IP地 址对应的隧道路由选项;
报文封装发送步骤还包括: 封装后的互联网业务数据报文的源地址为本 地 IP地址,根据分组域业务路由选项及隧道路由选项二次封装后的分组域业 务数据 ^艮文的内层源地址为源端 IP地址, 外层源地址为本地 IP地址。
报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文及分组域业务数据报文, 且所述分组域业务数据报文对应安全隧道终端 侧端口。
路由建立步骤中, 网络业务启动时触发终端获取本地 IP地址或远端 IP 地址, 或终端网络业务启动前主动获取本地 IP地址或远端 IP地址。
该方法还包括: 所述终端根据终端中预置的或动态下载到该终端的业务 配置信息执行路由建立步骤, 所述业务配置信息包括业务关联的链路信息及 路由配置信息;
所述路由建立步骤还包括: 业务启动时, 所述终端根据该业务关联的链 路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程, 直至 获取本地 IP地址或远端 IP地址; 所述终端根据所述路由配置信息以及获取 的本端 IP地址或远端 IP地址建立相应的业务路由选项。
所述互联网业务路由选项或分组域业务路由选项釆用缺省默认的方式表 示。
所述业务配置信息还包括安全策略信息, 当需要安全隧道的分组域业务 启动时, 路由建立步骤还包括: 所述终端根据安全策略信息生成安全隧道的 策略条目, 利用本地 IP所在链路建立安全隧道, 建立本地 IP地址对应的隧 道路由选项;
路由匹配步骤中, 所述终端根据所述安全策略信息匹配隧道路由选项及 分组域业务路由选项;
报文封装发送步骤还包括: 所述终端根据分组域业务路由选项及隧道路 由选项进行二次封装, 二次封装后的分组域业务数据报文的内层源地址为源 端 IP地址, 外层源地址为本地 IP地址。
所述互联网业务路由选项及隧道路由选项釆用缺省默认方式表示, 或分 组域业务路由选项釆用缺省默认的方式表示。
为解决以上技术问题, 本发明还提供一种终端, 该终端具备无线局域网 接入能力和移动网络接入能力, 该终端包括应用单元、 路由控制单元、 报文 处理单元和 ^艮文收发单元, 其中,
应用单元设置为: 管理分组域业务和互联网业务的业务配置信息, 并生 成及处理原始业务 文;
所述路由建立单元, 与所述应用单元连接, 所述路由建立单元设置为:
根据所述应用单元的业务配置信息获取无线局域网分配的本地 IP地址及核心 网分组域设备分配的远端 IP地址, 以及建立对应本地 IP地址的互联网业务 路由选项、 对应远端 IP地址的分组域业务路由选项;
所述报文处理单元, 与所述应用单元及路由建立单元连接, 所述报文处 理单元设置为: 根据原始业务报文的目的地址匹配所述路由建立单元建立的 业务路由选项, 并根据匹配的业务路由选项将原始业务报文封装为业务数据 报文; 将报文收发单元接收的业务数据报文解封装为原始业务报文;
所述报文收发单元, 与所述报文处理单元连接, 所述报文收发单元设置 为: 接收网络侧发送的目的地址为本地 IP地址或远端 IP地址的业务数据才艮 或远端 IP地址的业务数据报文。
应用单元, 包括若干个移动互联网业务模块、 若干个移动分组域业务模 块及应用控制器模块, 所述路由建立单元包括 IP地址获取模块及路由控制模 块, 其中:
移动互联网业务模块设置为: 运行移动互联网业务, 并生成及处理原始 业务报文;
移动分组域业务模块设置为: 运行移动分组域业务, 并生成及处理原始 业务报文;
所述应用控制器模块设置为: 对移动互联网业务模块及移动分组域业务 模块中的业务进行管理, 并记录相应的业务配置信息, 在业务启动时将相应 的业务配置信息发送给路由建立单元, 所述述业务配置信息包括业务相关的 链路信息及路由配置信息;
所述 IP地址获取模块设置为: 根据所述业务相关的链路信息确定是否发 起分组域链路拨号过程或无线局域网链路建立过程, 直至获取本地 IP地址或 远端 IP地址;
所述路由控制模块设置为: 根据所述路由配置信息及所述 IP地址模块新 获取的或已有的本地或远端 IP地址建立相应的业务路由选项。
所述 IP地址获取模块是设置为: 通过建立无线局域网链路, 并依靠本地
静态 IP设置或 DHCP获取本地 IP地址; 通过建立分组域链路, 获取远端 IP 地址。
所述 IP地址获取模块是设置为: 通过建立无线局域网链路, 并依靠本地 静态 IP设置或 DHCP获取本地 IP地址; 通过利用本地 IP所在链路建立安全 隧道, 获得远端 IP地址;
所述路由建立单元还包括安全隧道建立模块, 所述路由配置信息还包括 对应安全隧道的安全隧道信息, 安全隧道信息包括安全策略信息及网络侧隧 道端口设备的 IP地址或域名;
所述应用控制器模块还设置为: 当需要安全隧道的分组域业务启动时, 根据所述安全策略信息生成安全隧道策略条目, 将所述安全隧道策略条目及 网络侧隧道端口设备的 IP地址或域名发送给所述安全隧道建立模块, 触发所 述安全隧道建立模块建立安全隧道;
所述安全隧道建立模块设置为: 根据所述应用控制器模块的触发利用所 述本地 IP地址所在链路建立安全隧道, 并通知所述 IP地址获取模块,
所述 IP地址获取模块是设置为: 利用已建立的安全隧道获取远端 IP地 址。
所述报文处理单元包括 TCP/IP模块, 所述 TCP/IP模块设置为: 接收移 动互联网业务模块或移动分组域业务模块发送的原始业务报文, 根据所述原 始业务报文的目标地址匹配业务路由选项, 封装为业务数据报文; 收到报文 收发单元接收的业务数据报文后, 解封装后发送给对应的移动互联网业务模 块或移动分组域业务模块。
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口, 其 中, 无线链路接口设置为: 收发移动互联网业务数据报文, 所述无线协议栈 用户面功能接口设置为: 收发移动分组域业务数据报文。
所述报文处理单元还包括与 TCP/IP模块连接的数据安全模块, 所述
TCP/IP模块还设置为: 对分组域业务的原始业务报文封装后的源地址、 目的 地址分别为远端 IP地址和分组域业务服务器的 IP地址, 判断需要通过安全 隧道发送时, 还用于将封装后的数据报文发送给数据安全模块;
所述数据安全模块设置为: 对封装后的报文再次进行隧道数据封装, 隧 道封装后的业务数据报文的目的地址为网络侧隧道端口设备的 IP地址, 将隧 道封装后的业务数据报文再次发送给 TCP/IP模块;
所述 TCP/IP模块还设置为:根据隧道封装后的业务数据报文的目的地址 匹配路由选项并进行二次报文封装, 二次封装后, 业务数据报文的源地址为 本地 IP地址;
所述报文收发单元还设置为: 通过所述无线链路接口及建立的安全隧道 发送二次封装的分组域业务数据报文。
所述业务配置信息还包括业务数据流的加密套件,
所述应用控制器模块还设置为: 将业务数据流的加密套件传递给数据安 全模块;
所述数据安全模块还设置为: 根据该加密套件进行加密校验。
为解决以上技术问题, 本发明还提供一种网络业务的访问控制方法, 该 方法基于具备多个网络接入能力的终端实现, 该方法包括:
终端获取各网络分配的 IP地址, 并根据本地路由策略建立对应各 IP地 址的各网络的业务路由选项; 以及
所述终端访问网络业务时, 才艮据原始业务 4艮文的目的地址匹配对应的业 务路由选项, 并根据匹配的业务路由选项封装及发送业务数据报文。
终端在网络业务启动时获取所属网络分配的 IP地址, 或在网络业务启动 前主动获取所属网络分配的 IP地址。
本发明描述了一种固定移动融合 ( Fix-Mobile Convergence , FMC )终端 上移动业务的控制方法, 此类移动终端既可接入无线局域网 ( Wireless Local Area Network, WLAN ) , 也可以接入 CDMA lx、 CDMA evdo, GSM/GPRS、 UMTS, TDS-CDMA等移动网络。 使用本发明描述的方法, 终端上不同的应 用可以根据配置要求, 同时使用不同的无线接入网络并使用网络中的移动应 用服务。 附图概述
图 1 为本发明终端的模块结构图;
图 2 为固定移动融合网络的示意图;
图 3 为本发明网络业务的访问控制方法的流程示意图;
图 4为本发明网络业务的访问控制方法实施例一的流程示意图; 图 5为本发明网络业务的访问控制方法实施例二的流程示意图。
本发明的较佳实施方式
本发明网络业务的访问控制方法及终端的主要思想在于, 具备至少两个 网络接入能力的终端获取各网络分配的 IP地址, 并建立对应各 IP地址的业 务路由选项; 当终端访问网络业务时, 才艮据原始业务 4艮文的目的地址匹配对 应的业务路由选项, 并根据匹配的业务路由选项封装及发送业务数据报文。 本发明针对不同的网络业务建立不同的业务路由选项, 使具备多个网络接入 能力的终端在同时访问多个网络的网络业务时, 避免各网络业务之间相互影 响, 从而提升用户的使用体验及满足个性化需求。
本发明所说的终端具备两个或多个网络的接入能力, 所说网络可以是无 线局域网(Wireless Local Area Network, WLAN ) 、 CDMA lx、 CDMA evdo, GSM/GPRS、 UMTS, TDS-CDMA、 WCDMA中的两个或多个, 本发明中将 具备两个以上网络接入能力的终端简称为多网络终端。
目前具备多网络接入能力的终端以具备无线局域网接入能力, 同时具备 某一移动网络(CDMA lx、 CDMA evdo, GSM/GPRS、 UMTS, TDS-CDMA 或 WCDMA, 以下简称移动网络)接入能力的终端为多, 以下主要以此类终 端为例, 对本发明方法和终端进行详细说明。 下面结合附图对本发明的技术方案进行更详细的说明, 图 1是本发明中 终端的示意图, 不同终端操作系统上实现方式会有不同, 终端中各单元或模 块的划分也可以有所不同, 但原理大致类似。
如图 1所示, 具备无线局域网接入能力和移动网络接入能力的终端包括 应用单元、 路由建立单元、 报文处理单元及报文收发单元, 其中:
应用单元, 用于管理分组域业务和互联网业务的业务配置信息, 并生成
及处理原始业务报文;
所述路由建立单元, 与所述应用单元连接, 用于根据所述应用单元的业 务配置信息获取无线局域网分配的 IP地址(本文中称为本地 IP地址)及核 心网分组域设备分配的 IP地址(本文中称为远端 IP地址) , 以及建立对应 本地 IP地址的互联网业务路由选项、 对应远端 IP地址的分组域业务路由选 项;
所述报文处理单元, 与所述应用单元及路由建立单元连接, 用于根据原 始业务报文的目的地址匹配所述路由建立单元建立的业务路由, 并根据匹配 的业务路由将原始业务报文封装为业务数据报文; 还用于将报文收发单元接 收的业务数据报文解封装为原始业务报文;
一般来说, 原始业务报文的业务数据包含两部分内容, 业务的控制面消 息和媒体面。 具体地, 对于不同的应用 (业务) , 其原始业务 文的具体封 装方法各有不同, 例如, 对于视频电话这一应用, 需要控制信令来建立会话, 这个控制信令的报文就是会话建立协议( Session Initiation Protocol, SIP )报 文, 它是建立在传输控制协议(Transmission Control Protocol, TCP )或用户 数据包协议( User Datagram Protocol, UDP )层之上的, 由 TCP或 UDP来封 装; 视频或音频的数据是实时传送协议 ( Real-time Transport Protocol, RTP ) 来封装编码的媒体数据, 这个 RTP同样也是建立在 UDP层次之上的, 需要 被 UDP 来封装; 再比如上网是通过超文本传输协议 (HyperText Transfer Protocol, HTTP), 这里面没有控制面和媒体面, 就是 HTTP带了超文本标记 语言 ( HyperText Mark-up Language, HTML ) 的网页数据, 里面有图片文本 等信息, 其釆用 TCP封装。 因本发明不关心具体的业务类型及封装格式, 因 此统称为对原始业务报文进行封装。
所述报文收发单元, 与所述报文处理单元连接, 用于接收网络侧发送的 目的地址为本地 IP地址或远端 IP地址的业务数据 ^艮文, 以及向网络侧发送 所述 文处理单元封装处理后的源地址为本地 IP地址或远端 IP地址的业务 数据报文。
以下对各功能单元进一步展开描述, 如图 1所示:
应用单元, 包括一个或若干个移动互联网业务模块、 一个或若干个移动 分组域业务模块及应用控制器模块, 所述路由建立单元包括 IP地址获取模块 及路由控制模块, 其中:
移动互联网业务模块和移动分组域业务模块用于分别实现特定的移动互 联网业务和移动分组域业务, 生成及处理原始业务报文;
本发明中, 对于具备无线局域网接入能力和移动网络接入能力的终端来 说, 其包括至少一个移动互联网业务模块和至少一个移动分组域业务模块, 如图 1所示。
移动互联网业务指代那些通过 WLAN链路接入国际互联网即可访问的 应用功能, 比如 QQ、 Skype、 MSN等。
移动分组域业务指代那些由移动运营商部署并控制, 终端需要通过移动 分组域链路, 通过分组域网关设备, 才能访问的应用, 比如彩信业务、 中国 移动的 DCD或者联通的手机报等等。移动互联网业务可以通过网络下载到终 端上, 也可以由 PC通过 USB或蓝牙等数据通道传输到手机等终端上。 某些 手机操作系统支持这样的下载软件安装到手机上, 而有些手机操作系统并不 支持动态下载安装, 而是出厂时预置在手机版本里; 而移动分组业务一般都 是运营商定制的, 一般手机出厂就已经具体这类业务应用功能。
应用控制器模块, 用于对互联网业务模块及分组域业务模块中的业务进 行管理, 并记录相应的业务配置信息, 在业务启动时将相应的业务配置信息 发送给路由建立单元。
应用控制器监听终端上分组域业务和互联网业务的启动和关闭, 管理这 些这些业务的业务配置信息。
当分组域业务是预置在终端里的, 会有与之配套的业务配置信息, 如果 是动态下载并安装于终端上, 也会随应用软件一同下载的业务配置信息, 这 些业务配置信息由应用控制器管理。 移动分组业务都是由移动网络运营商控 制, 上述业务配置信息可以通过某种网络服务器动态下发配置信息, 比如釆 用 OMA DM规范, 也不排除其他类似机制来实现。
所述述业务配置信息包括业务相关的链路信息及路由配置信息, 其中:
业务关联的链路信息, 举例说明, 比如 QQ被指定使用 WLAN链路而彩 信被指定使用分组域链路, 当业务启动时, 应用控制器模块监听到启动事件 后会通知 IP地址获取模块根据当前链路状态来决定是否发起分组域链路拨号 或是发起 WLAN链路建立过程, 直至获取本地或远端 IP地址。
路由配置信息指与具体的业务路由选项建立相关的信息, 比如是网络侧 业务服务器的 IP地址及端口号、 网络侧业务服务器的域名等。
IP地址获取模块, 用于根据所述业务相关的链路信息确定是否发起分组 域链路拨号过程或无线局域网链路建立过程,直至获取本地 IP地址或远端 IP 地址;
方式一: 所述 IP地址获取模块通过建立无线局域网链路, 并依靠本地静 态 IP设置或 DHCP协议获取本地 IP地址; 通过建立分组域链路, 获取远端 IP地址。
IP地址获取模块在无线网链路上获取 IP, 需要完成无线局域网链路建立 过程, 并依靠本地静态设置 IP或者是依靠动态主机设置协议(Dynamic Host Configuration Protocol, DHCP ) 实现, 完成本地 IP地址获取; IP地址获取模 块在移动分组域链路上完成 IP获取, 需要完成分组域链路建立过程, 并从此 过程中得到远端 IP地址。 简而言之, 此模块包含了无线局域网链路建立和移 动分组域链路建立功能, 并包括 DHCP功能, 在两类链路建立过程中, 还包 含了安全认证方面的功能, 此功能与本专利无关, 不做详细介绍。
方式二: 所述 IP地址获取模块通过建立无线局域网链路, 并依靠本地静 态 IP设置或 DHCP协议获取本地 IP地址; 通过利用本地 IP所在链路建立安 全隧道, 获得远端 IP地址;
IP地址获取模块在获取本地 IP地址的过程中,还将获得由无线局域网配 置的终端本地路由信息, 如网络侧网关信息; 在获取远端 IP地址的过程中, 也将获得由核心网分组域配置的终端本地路由信息, 如网络侧的网关信息。 另外终端在获得 IP地址后, 还将自动生成对应的终端侧端口。
举例来说 ,当无线局域网釆用 DHCP方式获取 IP时 , DHCP定义了 WLAN 网络侧在发送给终端的 IP获取请求响应消息里除了携带分配给终端的 IP地 址以外, 还携带无线局域网上终端所要用到的网关信息, 终端在无线局域网 上发送的报文, 第一跳都会到该网关。
与 WLAN类似地, 分组域链路拨号, 即 GPRS拨号在终端成功执行后, 核心网的分组域网关执行 DHCP的过程, 给终端分配 IP地址和网关信息。
IP地址获取模块将获取的 IP地址、本地路由信息及端口信息传递到路由 控制模块, 由路由控制模块生成对应的业务路由选项。
路由控制模块,用于根据所述路由配置信息及所述 IP地址模块新获取的 或已有的本地或远端 IP地址建立相应的业务路由。
对于互联网业务而言, 因互联网业务的服务器地址可能是动态变化的, 其路由配置信息可以是提供特定互联网业务的服务器的域名, 当业务启动时, 应用控制器模块监听到启动事件后, 通知 IP地址获取模块获取 IP地址, 通 知路由控制模块向域名解析(DNS )服务器获取相应的互联网业务服务器的 IP地址。
对分组域业务而言, 其路由配置信息可以是业务服务器的 IP地址和端口 信息。
报文处理单元包括传输控制协议 /网际协议(TCP/IP )模块, 用于接收移 动互联网业务模块或移动分组域业务模块发送的原始业务报文, 根据所述原 始业务报文的目标地址匹配业务路由, 封装为业务数据报文; 收到报文收发 单元接收的业务数据报文后, 解封装后发送给对应的移动互联网业务模块或 移动分组域业务模块。
TCP/IP模块接收到移动互联网业务模块或者移动分组域业务模块的发送 数据报文时, 根据 IP报文头域字段中目标地址字段, 匹配特定业务路由来决 定从哪个本地设备端口上发送数据。 TCP/IP模块收到报文收发单元接收的业 务数据报文, 解析 IP报文头域和 TCP或 UDP报文头域后, 交给各类业务程 序。
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口, 其
中无线链路接口用于收发移动互联网业务数据报文, 所述无线协议栈用户面 功能接口用于收发移动分组域业务数据报文。
釆用第二种方式获取远端 IP地址时, 所述路由建立单元还包括安全隧道 建立模块, 对于需要安全隧道的分组域业务而言, 所述路由配置信息还包括 对应安全隧道的安全隧道信息, 安全隧道信息包括安全策略信息及网络侧隧 道端口设备的 IP地址或域名; 当需要安全隧道的分组域业务启动时, 所述应 用控制器模块根据所述安全策略信息生成安全隧道策略条目 , 将所述安全隧 道策略条目及网络侧隧道端口设备的 IP地址或域名发送给所述安全隧道建立 模块, 触发所述安全隧道建立模块建立安全隧道; 所述安全隧道建立模块, 根据所述应用控制器模块的触发利用所述本地 IP地址所在链路建立安全隧 道, 并通知所述 IP地址获取模块利用已建立的安全隧道获取远端 IP地址。
如果在安全策略信息中配置的是网络侧隧道端口设备的域名, 则在安全 隧道的建立过程中, 安全隧道建立模块将首先通过查询域名解析系统(DNS ) 获得网络侧隧道端口设备的 IP地址, 并将该网络侧隧道端口设备的 IP地址 传递给路由控制模块, 以建立与本地 IP地址对应的隧道路由选项。
可理解的, 安全隧道信息可对应一个或多个需要安全隧道的业务。
釆用第二种方式获取远端 IP地址时,所述报文处理单元还包括与 TCP/IP 模块连接的数据安全模块,所述 TCP/IP模块对分组域业务的原始业务报文封 装后源、 目的地址分别为远端 IP地址和分组域业务服务器的 IP地址, 判断 需要通过安全隧道发送时 ,还用于将封装后的数据报文发送给数据安全模块; 所述数据安全模块用于对封装后的报文再次进行隧道数据封装, 隧道封装后 的业务数据报文的目的地址为网络侧隧道端口设备的 IP地址, 所述数据安全 模块将隧道封装后的业务数据报文再次发送给 TCP/IP模块; 所述 TCP/IP模 块还用于再次根据隧道封装后的业务数据报文的目的地址匹配路由选项并进 行二次 "^文封装, 二次封装后, 业务数据>¾文的源地址为本地 IP地址; 所述 报文收发单元通过所述无线链路接口及建立的安全隧道发送二次封装的分组 域业务数据报文。
相应地, 所述 TCP/IP模块接收到报文收发单元接收的业务数据报文后, 如为隧道加密报文, 用于先转交给数据安全模块进行隧道解封装, 并对数据
安全模块解密后的业务数据报文进行解封装, 再转交给相应的业务模块进行 处理。
对于有加密机制的业务而言, 业务配置信息还包括业务数据流的加密套 件。
应用控制器模块还用于将业务数据流的加密套件传递给数据安全模块, 数据安全模块根据该加密套件进行加密校验。
根据业务配置信息中网络侧隧道端口设备的信息配置情况, 所述数据安 全模块从应用控制器模块或隧道安全建立模块获取网络侧隧道端口设备的 IP 地址, 以实现隧道封装。 例如, 若业务配置信息中已配置网络侧隧道端口设 备的 IP地址, 则由应用控制器模块直接将该网络侧隧道端口设备的 IP地址 传递到数据安全模块; 若业务配置信息中配置网络侧隧道端口设备的域名, 则由安全隧道建立模块在获取网络侧隧道端口设备的 IP地址后传递给数据安 全模块, 或由安全隧道建立模块传递给应用控制器模块, 再由应用控制器模 块传递给数据安全模块。
安全隧道有多种实现方案, 包括 IP层次上隧道实现和数据链路层上的隧 道实现。 数据安全模块根据具体的安全隧道机制进行隧道封装, 具体的隧道 封装方法不是本发明所关注的, 无论釆用哪种隧道封装方式, 隧道封装后的 业务数据报文的目的地址都指向网络侧隧道端口设备的 IP地址。
无线局域网链路上, TCP/IP模块调用报文收发单元中的无线局域网络的 无线链路接口用来发送和接收业务数据报文,在移动网络无线链路上, TCP/IP 模块调用报文收发单元中的无线协议栈用户面的功能接口, 如分组数据会聚 协议(( Packet Data Convergence Protocol, PDCP )功能接口或点对点协议( Point to Point Protocol, PPP )功能接口, )发送和接收业务数据 4艮文。
图 1 中报文收发单元既对应无线局域网接入时终端协议栈中对应于报文 收发的协议层次, 也对应移动网络接入中用户面协议栈中对应于 "^文收发的 协议层次; 分组域拨号和无线局域网接入过程可以由终端上需要进行网络访 问的某个应用发起, 也可以由用户通过界面独立操作, 多种无线链路使用同 一个 TCP/IP模块, 分组域拨号功能和无线局域网设备驱动与 TCP/IP模块的 关系不在本专利讨论范围之内。
终端各模块之间的接口关系参见附图 1 , 可理解地, 各接口所实现的功 能是相应模块功能的一部分, 以下简单描述图 1中各接口:
接口 1 , 通用的 TCP/IP协议的应用编程接口, 接口具体参数和名称可 能因操作系统不同而略有不同,完成应用程序到 TCP/IP模块之间的原始业务 报文的封装、 发送和接收、 解包工作。
接口 2, 新增或删除分组域业务时, 应用控制器模块需要的注册接口, 通过此接口, 应用控制器模块监听各个业务模块启动关闭事件、 接收每个业 务对应的配置信息。
接口 3 , 应用控制器模块根据当前应用状态和终端配置信息中的路由策 略, 控制终端路由选项, 各个手机操作系统中路由机制实现不同, 所以具体 的修改路由操作, 由路由控制模块完成, 此接口仅传递路由配置信息。
接口 4, 应用控制器模块通过此接口将业务相关的链路信息发送给 IP 地址获取模块。
接口 5 , 应用控制器模块通过此接口将安全隧道策略条目发送给安全隧 道建立模块。
接口 6, 应用控制器模块通过此接口将业务数据流的加密套件以及网络 侧隧道端口设备的 IP地址发送给数据安全模块, 以应用于具体数据加密及校 验过程。
接口 7 ,数据安全模块通过此接口完成数据发送过程中的隧道数据封装, 和数据接收过程中的 IP数据包分析, 并将解密和校验后的 IP数据返回给 TCP/IP协议模块。
当实施安全隧道机制时, 终端向网络侧发送数据的过程中, 数据安全模 块通过接口 7实现隧道分组的封装和相应的加密校验功能, 完成封装后通过 该接口 7发送给 TCP/IP模块, 由 TCP/IP模块匹配路由选项后调用无线局域 网络的无线链路接口完成 IP报文发送。 终端从网络侧接收数据的过程中, TCP/IP模块从无线局域网设备端口收取数据, 确认为隧道加密报文后, 通过 接口 7转交给数据安全模块来解析 IP报文, 进行校验和解密过程, 再通过接 口 7转交 TCP/IP模块完成 IP报文及 TCP/UDP报文处理流程。
接口 8, TCP/IP模块在发送数据时, 会参考业务路由选项, 以决定数据 发送从哪一个数据链路层上设备端口发送。这个过程在一般都 TCP/IP协议栈 中都有实现。
接口 9, 在无线局域网链路上, TCP/IP协议模块调用无线局域网络的无 线链路接口, 在移动网络无线链路上, TCP/IP协议模块调用无线协议栈用户 面的功能接口, 如 PDCP功能接口或 PPP功能接口。
融合网络下包括终端与业务服务器在内各网络节点间关系参见附图 2。 此图中终端为实现了本方法的、 拥有多种网络接入能力的终端。
如图 3所示, 本发明网络业务的访问控制方法, 包括:
步骤 301 : 路由建立步骤, 终端获取无线局域网分配的本地 IP地址及核 心网分组域设备分配的远端 IP地址, 建立对应本地 IP地址的互联网业务路 由选项以及对应远端 IP地址的分组域业务路由选项;
步骤 302: 路由匹配步骤, 终端根据原始业务报文的目的地址匹配业务 路由选项;
步骤 303: 4艮文封装发送步骤, 终端根据匹配的业务路由选项封装原始 业务报文, 并发送封装后的业务数据报文。
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过接入移动网络建立分组域链路获取远端 IP地址; ^艮文 封装发送步骤中, 封装后的互联网业务数据报文的源地址为本地 IP地址, 封 装后的分组域业务数据>¾文的源地址为远端 IP地址。 见以下实施例一。
报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文, 通过无线协议栈用户面的功能接口收发分组域业务数据报文。
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过利用本地 IP地址所在链路建立安全隧道, 获得远端 IP 地址, 建立对应远端 IP地址的分组域业务路由选项时, 同时建立本地 IP地 址对应的隧道路由选项; 报文封装发送步骤中, 封装后的互联网业务数据报 文的源地址为本地 IP地址,才艮据分组域业务路由选项及隧道路由选项二次封
装后的分组域业务数据报文的内层源地址为远端 IP地址, 外层源地址为本地 IP地址。 见以下实施例二
报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文及分组域业务数据报文, 且所述分组域业务数据报文对应安全隧道终端 侧端口 (即安全隧道建立后, 获取远端 IP地址时所生成的虚拟设备端口) 。
路由建立步骤中, 网络业务启动时触发终端获取本地或远端 IP地址, 或 终端网络业务启动前主动获取本地或远端 IP地址。
所述终端根据终端中预置的或动态下载到该终端的业务配置信息执行路 由建立步骤, 所述业务配置信息包括业务关联的链路信息及路由配置信息; 所述路由建立步骤具体包括: 某业务启动时, 所述终端根据该业务关联的链 路信息确定是否发起分组域链路拨号过程或无线局域网链路建立过程, 直至 获取本地 IP地址或远端 IP地址; 所述终端根据所述路由配置信息以及获取 的本端或远端 IP地址建立相应的业务路由选项。
所述业务配置信息还包括安全策略信息, 当某个需要安全隧道的分组域 业务启动时, 路由建立步骤还包括: 所述终端根据安全策略信息生成安全隧 道的策略条目, 利用本地 IP所在链路建立安全隧道, 建立本地 IP地址对应 的隧道路由选项;
路由匹配步骤中, 所述终端根据所述安全策略信息匹配隧道路由选项及 分组域业务路由选项;
报文封装发送步骤中, 所述终端根据分组域业务路由选项及隧道路由选 项进行二次封装, 二次封装后的分组域业务数据报文的内层源地址为远端 IP 地址, 外层源地址为本地 IP地址。
所述互联网或分组域的业务路由选项釆用缺省默认的方式表示。
以下结合附图及具体实施例对本发明方法进行详细说明:
实施例一
如图 4 所示, 实施例一中, 终端的应用控制器在监听到业务启动后建立 相应链路获取本地或远端 IP地址, 具体包括以下步骤:
步骤 401 : 终端接入无线局域网, 得到本地 IP地址;
终端上启动移动互联网业务, 当应用控制器模块监听到业务启动的消息 后, 调出对应的业务配置信息, 根据业务相关的链路配置信息, 结合当前链 路状态, 触发并建立了无线局域网接入链路, 获取无线局域网络分配的合法
IP地址或本地静态设置的 IP地址, 即本地 IP地址。
步骤 402: 终端接入移动网络, 得到远端 IP地址;
终端上启动移动分组域业务, 当应用控制器模块监听到业务启动的消息 后, 调出对应的配置信息, 根据业务相关的链路配置信息, 结合当前链路状 态, 触发并建立了移动网络分组链路, 获取移动核心网分组域设备分配给终 端的 IP, 即远端 IP地址。
以上步骤 401和步骤 402不分先后。
当无线局域网链路或移动分组域链路已经建立、 IP 已经获取时, 则无需 再次发起链路建立过程和 IP获取过程。 此时终端拥有本地 IP地址和远端 IP 地址。 举例来说, 当终端有 QQ、 MSN两个无线局域网业务模块时, 如果根 据 QQ业务已获取了本地 IP地址, 则再启动 MSN业务时, 无需再获取本地 IP地址。
步骤 403:应用控制器模块监听到配置使用移动网络分组链路的应用程序 (即业务)启动;
步骤 404:应用控制器模块根据该应用程序的业务配置信息修改本地路由 选项;
应用控制器将检索出分组域业务相关的路由配置信息, 并通过路由控制 模块, 新增本地路由选项, 此条路由会使得 TCP/IP模块在发送所有目标地址 为移动分组域业务服务器 IP的 IP 文都经由远端 IP对应的设备端口发送, 而那些目的地址不是分组域业务服务器 IP地址的 IP报文, 将在缺省的路由 控制 (在本实施例中, 移动互联网业务的路由选项釆用缺省路由控制方法) 下, 从本地 IP地址对应的无线局域网设备端口上发送。 这样当前终端上两个 业务的数据在终端侧实现分流, 分别通过无线局域网链路和移动分组域链路 完成与各自服务器的数据传输, 终端实现两种接入方式下两类业务并发。
步骤 405: 应用程序的数据流根据匹配的路由选项, 选择移动网络分组链
路访问网络服务。
实施例二
图 5 为本发明施例二的示意图。 移动分组域业务的链路配置可以设定为 选择无线局域网链路上终端与移动分组域设备间安全隧道来访问分组域业务 服务器, 访问移动分组域业务的过程包括:
步骤 501 : 终端接入无线局域网, 得到本地 IP地址;
终端上启动移动互联网业务, 当应用控制器模块监听到业务启动的消息 后, 调出对应的业务配置信息, 根据业务相关的链路配置信息, 结合当前链 路状态, 触发并建立了无线局域网接入链路, 通过无线局域网接入认证, 获 取无线局域网络分配的合法 IP地址或本地静态设置的 IP地址, 即本地 IP地 址。
步骤 502: 终端利用本地 IP地址所在的链路建立安全隧道, 得到远端 IP 地址;
终端上启动移动分组域业务, 当应用控制器模块监听到业务启动的消息 后, 调出对应的配置信息, 根据业务相关的链路配置信息, 结合当前链路状 态, 利用本地 IP地址所在的链路建立安全隧道, 获取移动核心网分组设备分 配给终端的 IP , 即远端 IP地址。
在实际网络部署中, 网络侧隧道端口设备和移动核心网分组设备在某些 情况下是合设的, 物理上表现为一台设备, 本发明所说的网络侧隧道端口设 备和移动核心网分组设备是两个逻辑功能实体。
终端发起移动分组域拨号流程, 拨号成功后, 核心网分组域设备为终端 分配了远端 IP地址, 此 IP地址在终端本地会对应到安全隧道终端侧端口上。 终端通过此 IP可以访问分组域业务服务器或者与业务对端通信。
在该实施例中, 步骤 502必须以步骤 501为基础。
当无线局域网链路及安全隧道已经建立、 IP 已经获取时, 则无需再次发
步骤 503:应用控制器模块监听到配置使用安全隧道的应用程序(即业务) 启动;
步骤 504:应用控制器模块根据该应用程序的业务配置信息修改本地路由 选项;
应用控制器将检索出分组域业务相关的路由配置信息, 并通过路由控制 模块, 新增本地路由选项, 此条路由会使得 TCP/IP模块在发送所有目标地址 为移动分组域业务服务器 IP的 IP 文都经由远端 IP对应的设备端口发送, 这个设备端口即上文提到的安全隧道在终端一侧的端口, 数据安全模块在此 次数据于安全隧道端口发送的过程中,在 TCP/IP模块向数据链路层提交发送 数据时接管发送流程, 在进行完数据加密和数据报文的隧道封装后, 再次转 交 TCP/IP模块,此时分组域业务的数据报文已经完成加密和隧道封装, IP报 文的目的地址不再是业务服务器的 IP地址, 而是安全隧道网络侧设备地址, 根据上文描述流程, 此类 IP报文将不再匹配由分组域业务的本地路由选项, 隧道网络侧设备会完成对此类 IP报文的隧道封装的拆包和解密工作, 并将内 部的业务数据的 IP报文, 转交给分组域业务服务器。
安全隧道有多种实现方案, 包括 IP层次上隧道实现和数据链路层上的隧 道实现。 当终端釆用安全隧道机制时, 需要对分组域业务的 IP分组或数据链 路层报文做加解密和校验计算。 终端需要对操作系统提供的数据链路层报文 的收发机制做改动。 当终端在安全隧道上发送分组域业务的 IP报文时, 通过 独立于 TCP/IP协议栈的数据安全模块接管数据链路层数据发送接口, 实现隧 道分组的封装和相应的加密校验功能, 完成封装后调用 TCP/IP的 IP报文发 送接口,再次由终端操作系统的 TCP/IP协议栈参考应用控制器控制的路由选 项, 完成外部 IP头封装并在 WLAN设备上发送。 分组域业务服务器发往终 端的 IP分组经过隧道核心网一侧设备封装后, 通过安全隧道传输, 发送给终 端。 与上述流程相反, 终端操作系统 TCP/IP协议栈从 WLAN设备端口收取 数据, 转交给数据安全模块来解析 IP报文, 数据安全模块确认为隧道加密报 文后进行校验和解密过程,再交由操作系统提供的数据链路层报文接收接口, 终端 TCP/IP协议栈的 IP报文接收函数获取内部 IP报文, 此时报文已还原为 分组域 IP分组, 解析 IP、 TCP或 UDP头部后提交上层应用处理。
步骤 505: 应用程序的数据流根据匹配的路由选项, 选择无线局域网链路
访问网络服务。
相对与实施例一, 不同点在于客户端上移动分组域业务不通过移动分组 域链路, 而是通过无线局域网链路, 仍然可以在建立了安全隧道的前提下访 问移动分组域业务。 无线局域网上安全隧道建立过程不在本专利讨论范围, 在实施了足够的安全措施后, 无线局域网上安全隧道在安全性和功能要求方 面基本上可以等同与移动网络中分组域链路。 此时可通过无线局域网访问互 联网应用。
与上述实施例一的流程类似, 应用控制器将检索出分组域业务相关的路 由配置信息, 并通过路由控制模块, 新增本地路由, 此条路由会使得 TCP/IP 模块在发送所有目标地址为移动分组域业务服务器 IP的 IP报文都经由远端 IP对应的设备端口发送,
以上实施例一和实施例二中, 报文处理单元在发送数据时会参考已建立 的业务路由选项, 而路由建立单元中具有特定目标地址的业务路由选项都是 因移动分组域业务的启动而建立的, 该路由建立单元同时提供一个对应本地 IP地址的缺省的路由策略。 移动互联网的业务数据报文及隧道封装后的分组 域业务数据报文在发送过程中, 因目标地址与已建立的业务路由选项匹配不 上, 进而默认移动互联网业务数据报文和 /或隧道封装后的分组域业务数据报 文匹配缺省的路由策略 , 从 wlan的本地 IP地址发送 , 本地路由策略里会将 这个本地 IP和 wlan物理设备端口联系起来, 确保数据就是从 wlan这条链路 上发送出去。 而且 wlan上本地 ip获取过程中, wlan网络侧也会在分配 IP的 过程中把网关的配置发过来, 终端上给无线互联网业务使用的缺省路由里的 网关, 就是通过这个配置的。
以上两个实施例中,对应本地 IP地址的路由选项都是釆用了缺省路由的 方式, 这样可以简化路由匹配的流程, 是本发明的较佳实施方式, 同理, 在 实施例一中, 也可将对应远端 IP地址的路由选项釆用缺省默认的方式表示。 可理解的, 缺省路由方式实质上是一条默认的路由选项。 终端根据本地路由 策略决定业务路由选项和 /或隧道路由选项的表示方式, 无论釆用缺省方式或 其他别的方式来表示各业务的业务路由选项, 其实质是相同的。
应用实例
当安全隧道釆用 IPsec技术, 操作系统釆用 Linux时, 假设终端完成无线 局域网接入认证后, 得到本地 IP为 10.30.1.10, 经域名解析得到网络侧隧道 端口设备的 IP地址为 10.30.1.100。此时操作系统路由表中部分内容如下所示:
表 1 核心网分组域设备在隧道成功建立之后为终端分配远端 IP 地址为 177.136.1.10 , 已在应用控制器中注册的移动自有业务的服务器地址为 177.136.5.20。 终端上业务启动后, 首先触发安全隧道的建立过程, 隧道成功 建立后, 操作系统路由表中部分内容可能如下所示
表 2
表 2为终端路由管理过程中的暂时状态, 不同实现可能有不同结果。 应 用管理器在确认隧道成功建立、 应用成功启动之后, 在上述路由表的基础上 修改路由, 使得发往业务服务器地址 177.136.5.20 的 IP 报文必须通过 177.136.1.10所对应的虚拟设备发送, 此时路由修改如下
表 3
在此路由表控制下, 只有移动分组域业务的 IP报文会通过虚拟设备 tunnel发送到数据安全模块,并在完成加密及校验处理后, 由真实的无线 局域网设备发送出去, 此时 IP数据包的头域中的目的地址为 10.30.1.100, 内 部 IP头域的目的地址为 177.30.5.20。 如此时终端同时正在访问 INTERNET 业务, 可通过缺省路由通过终端上无线网络设备接口直接访问。 当又有新的
移动分组域业务启动并发起网络连接时, 应用控制器向当前路由表插入新的 路由记录, 由新启动业务的月良务器 IP为目标地址, 视 177.136.1.10为网关, 在虚拟的隧道设备上发送。
综上所述, 应用本发明方法, 当终端接入无线局域网, 并同时存在移动 网络分组域链路时, 终端可以通过分组域链路访问业务服务器或者和通讯对 端交互, 同时亦可通过无线局域网直接访问互联网上应用服务, 两类应用可 以并发进行。 当移动网络分组域链路之上存在安全隧道时, 所有分组域业务 的数据报文可根据各自安全策略进行数据的加密和校验, 并通过隧道与业务 Λ良务器或通讯对端交互, 且不对互联网应用的访问产生影响。 本方法实现只 限于终端, 对网络设备无任何改造要求。
举例说明, 某终端具备无线局域网接入能力和 WCDMA接入能力, 釆用 本发明方法后, 终端选择某一无线局域网络并接入, 利用此无线网络, 使用 终端上基于 IP的语音业务(如 Skype ) , 在基于 IP的语音业务运行的同时, 终端收到一条彩信通知, 若终端提示用户是否接收彩信, 且用户选择接收彩 信, 或者终端缺省定义为自动接收彩信, 终端发起 WCDMA的分组域链路建 立过程并通过此链路, 接入移动运营商彩信服务器接收彩信, 彩信接收过程 并不影响正在进行的 IP语音业务。
基于本发明思想, 本发明同样适用于具备三个或三个以上网络接入能力 的终端, 终端只要获取其所支持的各个网络分配的 IP地址, 并根据本地路由 策略建立对应各 IP地址的各网络的业务路由选项, 这样当终端访问某个网络 业务时, 即可根据原始业务报文的目的地址匹配业务路由选项, 并根据匹配 的业务路由选项进行业务数据报文封装, 以对应网络分配的 IP地址收发业务 数据报文, 从而使得各网络业务之间互不干扰, 使多个网络业务的并行使用 成为可能。
同的路由信息, 如网络侧业务月良务器(或通信对端)的 IP地址、 网络侧网关 信息、 终端侧端口信息等, 可理解地, 建立业务路由选项的目的是为了实现
业务路由匹配, 并据此进行业务报文的封装、 发送。 鉴于该原则, 本发明的 业务路由选项至少包括根据该业务所属网络能将业务数据报文进行正常发送 接收所需的路由信息。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成, 所述程序可以存储于计算机可读存储介质中, 如只读 存储器、 磁盘或光盘等。 可选地, 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地, 上述实施例中的各模块 /单元可以釆用 硬件的形式实现, 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。
工业实用性
本发明描述了一种固定移动融合 ( Fix-Mobile Convergence , FMC )终端 上移动业务的控制方法, 此类移动终端既可接入无线局域网 ( Wireless Local Area Network, WLAN ) , 也可以接入 CDMA lx、 CDMA evdo, GSM/GPRS、 UMTS, TDS-CDMA等移动网络。 使用本发明描述的方法, 终端上不同的应 用可以根据配置要求, 同时使用不同的无线接入网络并使用网络中的移动应 用服务。
Claims
1、一种网络业务的访问控制方法, 该方法基于具备无线局域网接入能力 和移动网络接入能力的终端实现, 该方法包括:
路由建立步骤, 所述终端获取无线局域网分配的本地 IP地址及核心网分 组域设备分配的远端 IP地址, 建立对应本地 IP地址的互联网业务路由选项 以及对应远端 IP地址的分组域业务路由选项;
路由匹配步骤, 所述终端根据原始业务 ^艮文的目的地址匹配业务路由选 项; 以及
报文封装发送步骤, 所述终端根据匹配的业务路由选项封装原始业务报 文, 并发送封装后的业务数据报文。
2、 如权利要求 1所述的方法, 其中,
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过接入移动网络建立分组域链路获取远端 IP地址;
报文封装发送步骤中, 封装后的互联网业务数据报文的源地址为本地 IP 地址, 封装后的分组域业务数据 文的源地址为远端 IP地址。
3、 如权利要求 2所述的方法, 其中,
报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文, 通过无线协议栈用户面的功能接口收发分组域业务数据报文。
4、 如权利要求 1所述的方法, 其中,
路由建立步骤中, 所述终端通过接入无线局域网建立无线局域网链路获 取本地 IP地址, 通过利用本地 IP地址所在链路建立安全隧道, 获得远端 IP 地址, 建立对应远端 IP地址的分组域业务路由选项时, 同时建立本地 IP地 址对应的隧道路由选项;
报文封装发送步骤还包括: 封装后的互联网业务数据报文的源地址为本 地 IP地址,根据分组域业务路由选项及隧道路由选项二次封装后的分组域业 务数据 文的内层源地址为源端 IP地址, 外层源地址为本地 IP地址。
5、 如权利要求 4所述的方法, 其中, 报文封装发送步骤中, 所述终端通过无线链路接口收发互联网业务数据 报文及分组域业务数据报文, 且所述分组域业务数据报文对应安全隧道终端 侧端口。
6、 如权利要求 1所述的方法, 其中, 路由建立步骤中, 网络业务启动时 触发终端获取本地 IP地址或远端 IP地址, 或终端网络业务启动前主动获取 本地 IP地址或远端 IP地址。
7、 如权利要求 1、 2或 4所述的方法, 该方法还包括: 所述终端根据终 端中预置的或动态下载到该终端的业务配置信息执行路由建立步骤, 所述业 务配置信息包括业务关联的链路信息及路由配置信息;
所述路由建立步骤还包括:
业务启动时, 所述终端根据该业务关联的链路信息确定是否发起分组域 链路拨号过程或无线局域网链路建立过程, 直至获取本地 IP地址或远端 IP 地址; 所述终端根据所述路由配置信息以及获取的本端 IP地址或远端 IP地 址建立相应的业务路由选项。
8、 如权利要求 7所述的方法, 其中, 所述互联网业务路由选项或分组域 业务路由选项釆用缺省默认的方式表示。
9、 如权利要求 7所述的方法, 其中, 所述业务配置信息还包括安全策略 信息, 当需要安全隧道的分组域业务启动时, 所述路由建立步骤还包括: 所 述终端根据安全策略信息生成安全隧道的策略条目, 利用本地 IP所在链路建 立安全隧道, 建立本地 IP地址对应的隧道路由选项;
路由匹配步骤中, 所述终端根据所述安全策略信息匹配隧道路由选项及 分组域业务路由选项;
报文封装发送步骤还包括: 所述终端根据分组域业务路由选项及隧道路 由选项进行二次封装, 二次封装后的分组域业务数据报文的内层源地址为源 端 IP地址, 外层源地址为本地 IP地址。
10、 如权利要求 7所述的方法, 其中, 所述互联网业务路由选项及隧道 路由选项釆用缺省默认方式表示, 或分组域业务路由选项釆用缺省默认的方 式表示。
11、 一种终端, 该终端具备无线局域网接入能力和移动网络接入能力, 该终端包括应用单元、 路由控制单元、 报文处理单元和报文收发单元, 其中, 应用单元设置为: 管理分组域业务和互联网业务的业务配置信息, 并生 成及处理原始业务 文;
所述路由建立单元, 与所述应用单元连接, 所述路由建立单元设置为: 根据所述应用单元的业务配置信息获取无线局域网分配的本地 IP地址及核心 网分组域设备分配的远端 IP地址, 以及建立对应本地 IP地址的互联网业务 路由选项、 对应远端 IP地址的分组域业务路由选项;
所述报文处理单元, 与所述应用单元及路由建立单元连接, 所述报文处 理单元设置为: 根据原始业务报文的目的地址匹配所述路由建立单元建立的 业务路由选项, 并根据匹配的业务路由选项将原始业务报文封装为业务数据 报文; 将报文收发单元接收的业务数据报文解封装为原始业务报文;
所述报文收发单元, 与所述报文处理单元连接, 所述报文收发单元设置 为: 接收网络侧发送的目的地址为本地 IP地址或远端 IP地址的业务数据才艮 或远端 IP地址的业务数据报文。
12、 如权利要求 11所述的终端, 其中,
应用单元, 包括一个或多个移动互联网业务模块、 一个或多个移动分组 域业务模块及应用控制器模块, 所述路由建立单元包括 IP地址获取模块及路 由控制模块, 其中:
移动互联网业务模块设置为: 运行移动互联网业务, 并生成及处理原始 业务报文;
移动分组域业务模块设置为: 运行移动分组域业务, 并生成及处理原始 业务报文;
所述应用控制器模块设置为: 对移动互联网业务模块及移动分组域业务 模块中的业务进行管理, 并记录相应的业务配置信息, 在业务启动时将相应 的业务配置信息发送给路由建立单元, 所述述业务配置信息包括业务相关的 链路信息及路由配置信息; 所述 IP地址获取模块设置为: 根据所述业务相关的链路信息确定是否发 起分组域链路拨号过程或无线局域网链路建立过程, 直至获取本地 IP地址或 远端 IP地址;
所述路由控制模块设置为: 根据所述路由配置信息及所述 IP地址模块新 获取的或已有的本地或远端 IP地址建立相应的业务路由选项。
13、 如权利要求 12所述的终端, 其中, 所述 IP地址获取模块是设置为: 通过建立无线局域网链路, 并依靠本地静态 IP设置或 DHCP获取本地 IP地 址; 通过建立分组域链路, 获取远端 IP地址。
14、 如权利要求 12所述的终端, 其中,
所述 IP地址获取模块是设置为: 通过建立无线局域网链路, 并依靠本地 静态 IP设置或 DHCP获取本地 IP地址; 通过利用本地 IP所在链路建立安全 隧道, 获得远端 IP地址;
所述路由建立单元还包括安全隧道建立模块, 所述路由配置信息还包括 对应安全隧道的安全隧道信息, 安全隧道信息包括安全策略信息及网络侧隧 道端口设备的 IP地址或域名;
所述应用控制器模块还设置为: 当需要安全隧道的分组域业务启动时, 根据所述安全策略信息生成安全隧道策略条目, 将所述安全隧道策略条目及 网络侧隧道端口设备的 IP地址或域名发送给所述安全隧道建立模块, 触发所 述安全隧道建立模块建立安全隧道;
所述安全隧道建立模块设置为: 根据所述应用控制器模块的触发利用所 述本地 IP地址所在链路建立安全隧道, 并通知所述 IP地址获取模块;
所述 IP地址获取模块是设置为: 利用已建立的安全隧道获取远端 IP地 址。
15、 如权利要求 14所述的终端, 其中,
所述报文处理单元包括 TCP/IP模块, 所述 TCP/IP模块设置为: 接收移 动互联网业务模块或移动分组域业务模块发送的原始业务报文, 根据所述原 始业务报文的目标地址匹配业务路由选项, 封装为业务数据报文; 收到报文 收发单元接收的业务数据报文后, 解封装后发送给对应的移动互联网业务模 块或移动分组域业务模块。
16、 如权利要求 14所述的终端, 其中,
所述报文收发单元包括无线链路接口和无线协议栈用户面功能接口, 其 中,
无线链路接口设置为: 收发移动互联网业务数据报文;
所述无线协议栈用户面功能接口设置为:收发移动分组域业务数据报文。
17、 如权利要求 14所述的终端, 其中,
所述报文处理单元还包括与 TCP/IP模块连接的数据安全模块,
所述 TCP/IP模块还设置为:对分组域业务的原始业务报文封装后的源地 址、 目的地址分别为远端 IP地址和分组域业务服务器的 IP地址, 判断需要 通过安全隧道发送时, 将封装后的数据报文发送给数据安全模块;
所述数据安全模块设置为: 对封装后的报文再次进行隧道数据封装, 隧 道封装后的业务数据报文的目的地址为网络侧隧道端口设备的 IP地址, 将隧 道封装后的业务数据报文再次发送给 TCP/IP模块;
所述 TCP/IP模块还设置为:根据隧道封装后的业务数据报文的目的地址 匹配路由选项并进行二次报文封装, 二次封装后, 业务数据报文的源地址为 本地 IP地址;
所述报文收发单元还设置为: 通过所述无线链路接口及建立的安全隧道 发送二次封装的分组域业务数据报文。
18、 如权利要求 17所述的终端, 其中, 所述业务配置信息还包括业务数 据流的加密套件,
所述应用控制器模块还设置为: 将业务数据流的加密套件传递给数据安 全模块;
所述数据安全模块还设置为: 根据该加密套件进行加密校验。
19、 一种网络业务的访问控制方法, 该方法基于具备多个网络接入能力 的终端实现, 该方法包括:
终端获取各网络分配的 IP地址, 并根据本地路由策略建立对应各 IP地 址的各网络的业务路由选项; 以及
所述终端访问网络业务时, 才艮据原始业务 ^艮文的目的地址匹配对应的业 务路由选项, 并根据匹配的业务路由选项封装及发送业务数据报文。
20、 如权利要求 19所述的方法, 其中, 终端在网络业务启动时获取所属 网络分配的 IP地址, 或在网络业务启动前主动获取所属网络分配的 IP地址。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP10849291.9A EP2533465B1 (en) | 2010-04-06 | 2010-08-26 | Method and terminal for access control of network service |
| US13/579,119 US20130022033A1 (en) | 2010-04-06 | 2010-08-26 | Method and terminal for access control of network service |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010142010.0 | 2010-04-06 | ||
| CN201010142010.0A CN102215154B (zh) | 2010-04-06 | 2010-04-06 | 网络业务的访问控制方法及终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2011124055A1 true WO2011124055A1 (zh) | 2011-10-13 |
Family
ID=44746291
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2010/076394 WO2011124055A1 (zh) | 2010-04-06 | 2010-08-26 | 网络业务的访问控制方法及终端 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20130022033A1 (zh) |
| EP (1) | EP2533465B1 (zh) |
| CN (1) | CN102215154B (zh) |
| WO (1) | WO2011124055A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5956729B2 (ja) * | 2011-07-22 | 2016-07-27 | キヤノン株式会社 | リレーサーバ、リレーサーバの制御方法、情報処理システム、およびプログラム |
| CN103052064B (zh) * | 2011-10-13 | 2016-05-25 | 中国移动通信集团公司 | 一种访问运营商自有业务的方法、设备及系统 |
| US10009318B2 (en) * | 2012-03-14 | 2018-06-26 | Microsoft Technology Licensing, Llc | Connecting to a cloud service for secure access |
| US8885626B2 (en) * | 2012-04-06 | 2014-11-11 | Chris Gu | Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN |
| US8879530B2 (en) * | 2012-04-06 | 2014-11-04 | Chris Yonghai Gu | Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN |
| CN103582159B (zh) * | 2012-07-20 | 2018-11-30 | 南京中兴新软件有限责任公司 | 一种固定移动网络融合场景下的多连接建立方法及系统 |
| CN103873444B (zh) * | 2012-12-14 | 2017-12-19 | 中国电信股份有限公司 | 移动终端vpdn在线时访问外网业务的方法、业务转接装置 |
| CN103037358B (zh) * | 2012-12-24 | 2016-01-20 | 杭州浦禾通信技术有限公司 | 基于安卓系统的移动终端的网络通信方法及系统 |
| CN103200072B (zh) * | 2013-05-06 | 2016-06-08 | 吉林省金港计算机网络有限公司 | 一种基于网络的数据传输方法、装置及系统 |
| CN105635472A (zh) * | 2016-01-11 | 2016-06-01 | 上海斐讯数据通信技术有限公司 | 一种移动终端及其无线局域网和移动网络并发方法 |
| CN105610672B (zh) * | 2016-01-14 | 2019-04-26 | 中国联合网络通信集团有限公司 | 一种信息传输的方法及装置 |
| WO2018169671A1 (en) * | 2017-02-27 | 2018-09-20 | Mavenir Networks, Inc. | System and method for network stranded remote radio installation |
| US10771375B2 (en) * | 2017-05-09 | 2020-09-08 | Cisco Technology, Inc. | Routing network traffic based on destination |
| CN110771097B (zh) * | 2017-05-12 | 2022-11-22 | 诺基亚通信公司 | 用于网络设备与应用服务器之间的数据隧道传输的连接性监测 |
| CN108600198A (zh) * | 2018-04-04 | 2018-09-28 | 北京百悟科技有限公司 | 防火墙的访问控制方法、装置、计算机存储介质及终端 |
| CN108600021B (zh) * | 2018-04-28 | 2021-06-18 | 盛科网络(苏州)有限公司 | 可灵活编程配置的隧道封装芯片实现方法和装置 |
| CN109450796B (zh) * | 2018-11-13 | 2019-07-09 | 北京华三通信技术有限公司 | 一种报文转发方法、装置及转发设备 |
| US11038857B1 (en) * | 2019-02-14 | 2021-06-15 | Sprint Communications Company L.P. | Data messaging service with distributed ledger control |
| CN110266764B (zh) * | 2019-05-21 | 2021-10-26 | 深圳壹账通智能科技有限公司 | 基于网关的内部服务调用方法、装置及终端设备 |
| CN111417115B (zh) * | 2020-04-01 | 2023-05-26 | 四川爱联科技股份有限公司 | 基于数据链路的免密认证方法及系统 |
| CN113918999B (zh) * | 2021-12-15 | 2022-02-22 | 天津联想协同科技有限公司 | 安全摆渡通道的建立方法、装置、网盘及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006136646A2 (en) * | 2005-06-23 | 2006-12-28 | Nokia Corporation | Fixed gateway access point for a mobile terminal device |
| CN101352064A (zh) * | 2005-09-30 | 2009-01-21 | 高通股份有限公司 | 无线局域网中的换手 |
| CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060271485A1 (en) * | 2005-03-12 | 2006-11-30 | Jiwire, Inc. | Wireless connectivity security technique |
| KR100691505B1 (ko) * | 2005-05-20 | 2007-03-09 | 한국전자통신연구원 | 다중 모드 단말 및 다중 모드 단말의 통신 경로 제어 방법 |
| KR100943888B1 (ko) * | 2006-12-07 | 2010-02-24 | 삼성전자주식회사 | 다수의 이종망들을 이용한 패킷 데이터 서비스 장치 및방법 |
| EP2071775A1 (en) * | 2007-12-13 | 2009-06-17 | British Telecommunications public limited company | Data access |
| US8103278B2 (en) * | 2008-04-01 | 2012-01-24 | Mediatek Inc. | Method and system for managing idle mode of a mobile node with multiple interfaces |
| EP2134126A1 (en) * | 2008-05-14 | 2009-12-16 | NEC Corporation | Method for controlling the network selection by the home operator of a mobile user equipment capable of operating in mobile networks and fixed-wireless networks |
| US20110093639A1 (en) * | 2009-10-19 | 2011-04-21 | Microchip Technology Incorporated | Secure Communications Between and Verification of Authorized CAN Devices |
-
2010
- 2010-04-06 CN CN201010142010.0A patent/CN102215154B/zh not_active Expired - Fee Related
- 2010-08-26 WO PCT/CN2010/076394 patent/WO2011124055A1/zh active Application Filing
- 2010-08-26 EP EP10849291.9A patent/EP2533465B1/en not_active Not-in-force
- 2010-08-26 US US13/579,119 patent/US20130022033A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006136646A2 (en) * | 2005-06-23 | 2006-12-28 | Nokia Corporation | Fixed gateway access point for a mobile terminal device |
| CN101352064A (zh) * | 2005-09-30 | 2009-01-21 | 高通股份有限公司 | 无线局域网中的换手 |
| CN101645814A (zh) * | 2008-08-04 | 2010-02-10 | 上海华为技术有限公司 | 一种接入点接入移动核心网的方法、设备及系统 |
Non-Patent Citations (1)
| Title |
|---|
| See also references of EP2533465A4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2533465A4 (en) | 2013-12-25 |
| EP2533465B1 (en) | 2016-01-27 |
| US20130022033A1 (en) | 2013-01-24 |
| CN102215154B (zh) | 2016-05-25 |
| EP2533465A1 (en) | 2012-12-12 |
| CN102215154A (zh) | 2011-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2011124055A1 (zh) | 网络业务的访问控制方法及终端 | |
| EP2590368B1 (en) | Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network | |
| US7155526B2 (en) | Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network | |
| US8340655B2 (en) | Data transmission | |
| TWI713614B (zh) | 用於使用支援多個連線性和服務上下文的安全模型的無線通訊的方法和裝置 | |
| US8265049B2 (en) | Method and apparatus for implementing generic access network functionality in a wireless communication device | |
| US20050259673A1 (en) | Method and system for end-to-end communication between a universal integrated circuit card and a remote entity over an IP-based wireless wide area network and the internet | |
| WO2019033920A1 (zh) | 网络侧对远端用户设备的识别和控制方法以及设备 | |
| KR20040075962A (ko) | 클라이언트 디바이스와 이의 무선 동작 지원 방법,소프트웨어 제품 및 인터넷 프로토콜 기반 통신 시스템 | |
| JP2003531539A (ja) | 移動体データ通信用の安全な動的リンク割り当てシステム | |
| US20060224712A1 (en) | Device management in a communication system | |
| US10033769B2 (en) | Lawful interception in a WI-FI/packet core network access | |
| WO2008080326A1 (fr) | Procédé, système et dispositif pour transmettre des informations de transfert intercellulaire indépendant du support | |
| WO2019041937A1 (zh) | 一种漫游场景下的分流方法及相关设备 | |
| RU2684754C1 (ru) | Способ и устройство для обработки пакета данных | |
| WO2016033764A1 (en) | Establishment of a secure connection for a communication session | |
| JP5002830B2 (ja) | 通信モジュール、通信方法、通信プログラム、通信端末、および通信制御装置 | |
| JP5087779B2 (ja) | 通信モジュール、プログラム、および通信端末 | |
| WO2020187261A1 (zh) | 一种通信方法、装置及系统 | |
| WO2021186215A1 (en) | Selective user plane protection in 5g virtual ran | |
| CN114302503B (zh) | 基于非3gpp接入功能网元的数据传输方法及非3gpp接入功能网元 | |
| US12028747B2 (en) | Methods and apparatus for reducing communications delay | |
| US20220400405A1 (en) | Methods and apparatus for reducing communications delay | |
| KR20030050550A (ko) | 패킷데이터서비스 네트워크의 심플 아이피 가상 사설망서비스 방법 | |
| CN117544668A (zh) | 一种通过外网服务器反向代理的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 10849291 Country of ref document: EP Kind code of ref document: A1 |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2010849291 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 13579119 Country of ref document: US |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |