WO2017167249A1

WO2017167249A1 - 一种专网接入方法、装置及系统

Info

Publication number: WO2017167249A1
Application number: PCT/CN2017/078910
Authority: WO
Inventors: 丰孝英
Original assignee: 中兴通讯股份有限公司
Priority date: 2016-04-01
Filing date: 2017-03-31
Publication date: 2017-10-05
Also published as: CN107295507A

Abstract

本发明公开一种专网接入方法、装置及系统，涉及通信技术领域，用以解决现有技术中移动终端接入专网不便或者不安全的问题。所述方法包括：移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；所述移动网网关通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；所述移动网网关以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。

Description

一种专网接入方法、装置及系统

技术领域

本发明涉及通信技术领域，特别是涉及一种专网接入方法、装置及系统。

背景技术

一般的，安全性要求很高的网络，例如公安、军队网络系统等，由于应用环境的特殊性，都是通过建立专网将用户及内部服务器等和其他的计算机网络系统隔离开来，确保网络的高度安全。

专网中的用户接入位置及接入设备固定，安全容易得到保障。但是终端的位置固定，也带来了使用的诸多不便。随着移动宽带的快速发展以及移动终端的智能化，如果专网用户能使用移动终端通过移动网络接入专网，则会带来极大的便利，例如公安干警办案或者出差途中，需要及时查询内部网络中的重要资料等，如果能使用移动终端访问专网则会带来便利。

为保证专网的高度安全，按照已有隔离网络的思路，需要建立独立的移动网络接入专网，这极大的增加了投入成本。如果通过普通的移动网络接入，又对专网及其内部应用系统引入了安全风险。

发明内容

本发明要解决的技术问题是提供一种专网接入方法、装置及系统，用以解决现有技术中移动终端接入专网不便或者不安全的问题。

一方面，本发明提供一种专网接入方法，包括：移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；所述移动网网关通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP(Internet Protocol，网间互联协议)地址；所述移动网网关以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。

可选的，所述移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道包括：所述移动网网关根据所述会话建立请求查找到所述移动终端的对应专网；所述移动网网关向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；所述移动网网关接收来自所述对应专网的隧道建立响应消息，并将所述隧道建立响应消息向所述移动终端转发。

可选的，所述移动网网关向所述对应专网发送隧道建立请求消息包括：所述移动网网关直接向所述对应专网的安全处理设备发送隧道建立请求消息，或者所述移动网网关通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息。

另一方面，本发明还提供一种专网接入方法，包括：移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道；所述对应专网为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；所述对应专网以加密数据的形式通过所述转发隧道与所述移动终端通信。

所述移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，所述方法还包括：所述对应专网对所述移动终端进行鉴权，在鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。

可选的，移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道包括：所述移动终端的对应专网接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；所述对应专网向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。

另一方面，本发明还提供一种专网接入方法，包括：移动终端向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；所述移动终端以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；所述移动终端以加密数据的形式，通过所述转发隧道与所述对应专网通信。

另一方面，本发明还提供一种专网接入装置，包括：建立单元，用于根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；信令转发单元，用于通过所述建立单元建立的转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；数据转发单元，用于以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。

可选的，所述建立单元，包括：查找模块，用于根据所述会话建立请求查找到所述移动终端的对应专网；发送模块，用于向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；接收模块，用于接收来自所述对应专网的隧道建立响应消息；所述发送模块，还用于将所述隧道建立响应消息向所述移动终端转发。

可选的，所述发送模块，具体用于：直接向所述对应专网的安全处理设备发送隧道建立请求消息，或者通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息。

另一方面，本发明还提供一种专网接入装置，包括：专网建立单元，根据移动网网关的请求，通过所述移动网网关建立与移动终端的转发隧道；地址分配单元，用于为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；通信单元，用于以加密数据的形式通过所述转发隧道与所述移动终端通信。

所述装置还包括鉴权单元，用于在根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，对所述移动终端进行鉴权；所述专网建立单元，具体用于在所述鉴权单元鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。

可选的，所述专网建立单元，具体用于：接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。

另一方面，本发明还提供一种专网接入装置，包括：终端建立单元，用于向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；地址请求单元，用于以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；终端通信单元，用于以加密数据的形式，通过所述转发隧道与所述对应专网通信。

另一方面，本发明还提供一种移动网网关，包括本发明提供的任一种相应的专网接入装置。

另一方面，本发明还提供一种专网设备，包括本发明提供的任一种相应的专网接入装置。

另一方面，本发明还提供一种移动终端，包括本发明提供的任一种相应的专网接入装置。

另一方面，本发明还提供一种专网接入系统，包括本发明提供的任一种移动网网关，专网设备，以及移动终端。

本发明实施例提供的专网接入方法、装置及系统，移动网网关能够根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道，并通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址，然后以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

附图说明

图1是本发明实施例提供的专网接入方法的一种流程图；

图2是本发明实施例提供的专网接入方法的另一种流程图；

图3是本发明实施例提供的专网接入方法的又一种流程图；

图4是本发明实施例提供的专网接入方法的一种详细流程图；

图5是本发明实施例提供的专网接入方法的另一种详细流程图；

图6是本发明实施例提供的专网接入装置的一种结构示意图；

图7是本发明实施例提供的专网接入装置的另一种结构示意图；

图8是本发明实施例提供的专网接入装置的又一种结构示意图；

图9是本发明实施例提供的专网接入系统的一种结构示意图。

具体实施方式

以下结合附图对本发明进行详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

如图1所示，本发明实施例提供一种专网接入方法，包括：

S11，移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；

S12，所述移动网网关通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；

S13，所述移动网网关以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。

本发明实施例提供的专网接入方法，移动网网关能够根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道，并通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址，然后以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

当移动终端需要与专网进行连接通信时，首先会发起会话建立请求，包括发起附着或者请求建立新会话。该会话建立请求经过无线侧网元的处理和传输可以传送到移动网网关。例如，移动终端可以向MME(Mobil management entity，移动管理实体)发送NAS信令，MME可根据NAS(Non-Access-Stratum,非接入层)信令携带的APN(Access PointName，接入点名称)信息等，为终端选择合适的SGW和PDN-GW(Packet Data NetworkGateway,分组数据网络网关)，并构造会话建立请求消息发送给SGW/PDN-GW。

在步骤S11中，移动网网关即可根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道。可选的，建立移动终端与对应专网之间的转发隧道可包括如下步骤：

移动网网关根据所述会话建立请求查找到所述移动终端的对应专网；

移动网网关向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

移动网网关接收来自所述对应专网的隧道建立响应消息，并将所述隧道建立响应消息向所述移动终端转发。

也就是说，移动网网关接收到会话建立请求消息后，可以保存相应的会话/隧道信息，然后按照一定的策略为该移动终端选择相应的专网网关。例如，移动终端一般是单位内部特制的，用于该单位内部的专用网络，因此，移动网网关可以根据接收到的会话请求消息中携带的该移动终端的身份标识信息等，来识别该移动终端属于哪个专网，或者与哪个专网相对应。可选的，这些身份标识信息可以是APN信息，也可以是IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)/MSISDN(Mobile Subscriber International ISDN/PSTN number,移动用户号码)信息，还可以是其他能够体现移动终端身份的标号或代码等，本发明的实施例对此不限。

查找到移动终端的对应专网后，移动网网关即可向所述对应专网发送隧道建立请求消息，并在该隧道建立请求消息中携带所述移动终端的标识信息。可选的，本步骤中，移动网网关既可以直接向所述对应专网的安全处理设备发送隧道建立请求消息，也可以通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息，以便使对应专网的安全处理设备对相应的隧道连接进行安全方面的处理。

建立好转发隧道后，在步骤S12中，移动网网关可以通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址。

相应的，如图2所示，本发明的实施例还提供一种专网接入方法，包括：

S21，移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道；

S22，所述对应专网为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；

S23，所述对应专网以加密数据的形式通过所述转发隧道与所述移动终端通信。

本发明实施例提供的专网接入方法，移动终端的对应专网能够根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道，为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送，然后以加密数据的形式通过所述转发隧道与所述移动终端通信。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

可选的，对应专网中可以设置有多个网元，其中，与专网安全处理相关的为安全处理设备。具体使用哪个安全处理设备来为该移动终端服务，可以根据具体情况进行不同选择。例如，既可以由移动网网关直接为移动终端选择为其服务的安全管理设备，也可以由移动网网关先与专网网关通信，由专网网关为该移动终端选择相应的安全处理设备。本发明的实施例对此不限。

可选的，选择安全处理设备的策略可以包括多种，例如可以根据APN或者IMSI/MSISN信息选择，也可以根据各安全处理设备的负载情况进行选择，本发明的实施例对此不限。

具体而言，移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道可包括如下步骤：

所述移动终端的对应专网接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

所述对应专网向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。

为了进一步提高移动终端接入专网的安全性，进一步的，在本发明的一个实施例中，在移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，还可包括：

所述对应专网对所述移动终端进行鉴权，在鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。例如，对应专网可以要求移动终端的用户输入密码或进行指纹识别等来对移动终端进行鉴权，如果鉴权通过，则通过移动网网关与移动终端建立转发隧道，否则，不建立该转发隧道。

相应的，如图3所示，本发明的实施例还提供一种专网接入方法，包括：

S31，移动终端向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；

S32，所述移动终端以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；

S33，所述移动终端以加密数据的形式，通过所述转发隧道与所述对应专网通信。

本发明实施例提供的专网接入方法，移动终端能够向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道，并以加密信令方式通过所述移动网网关向所述对应专网请求IP地址，然后以加密数据的形式，通过所述转发隧道与所述对应专网通信。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

下面通过具体实施例来对本发明提供的专网接入方法进行详细说明。

图4是本申请实施方式提供的专网接入方法的一种流程图。为了描述方便，将移动网GW和专网网关之间的接口称之为“I1”；专网网关和安全处理设备之间的接口称之为“I2”。如图4所示，本实施例中，专网接入方法可包括如下步骤：

步骤S1000，具有加密能力的终端发起附着或者请求建立新会话；

步骤S1010，移动网GW从无线侧接口接收到会话建立请求消息。移动网GW按照一定的策略为终端选择专网网关，可以根据APN或者IMSI/MSISN信息选择，但不限于此。移动网GW分配I1的本端隧道信息，向专网网关发送会话请求报文，携带I1的本端隧道信息；

可选的，此步骤，移动网GW也可以直接选择安全处理设备，移动网GW和安全处理设备之间直接建立隧道。

步骤S1020，专网网关按照一定的策略为终端选择安全处理设备，可以根据APN或者IMSI/MSISN信息选择，但不限于此。专网网关分配I2的本端隧道信息，向安全处理设备发送会话请求报文，携带I2的本端隧道信息；

步骤1030，安全处理设备可选的对终端进行身份认证等，保存I2的对端隧道信息，后续数据转发时使用，同时分配I2的本端隧道信息，并构造会话建立响应消息，发送给专网网关，携带I2的本端隧道信息。

步骤1040，专网网关从会话响应消息中获取到I2的对端隧道信息，保存之，后续数据转发时使用。至此，I2隧道建立完成。专网网关分配I1的本端隧道信息，构造会话建立响应消息，发送给移动网GW，携带I1的本端隧道信息。

步骤1050，移动网GW从会话响应消息中获取到I1的对端隧道信息，保存之，后续数据转发时使用。至此，I1隧道建立完成。移动网GW构造无线侧接口上的会话建立响应消息。为避免移动网现有设备的改造，可选的，无线侧接口上的会话建立响应消息中的IP地址可为一个无意义的固定地址；至此，终端在移动网中附着成功，完成了会话的建立。

步骤1060，终端构造IP地址请求报文，并对报文进行加密处理，通过移动网发送给移动网GW；IP地址请求报文可选的可以是DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)报文也可以IKE(Internet Key Exchange,因特网密钥交换协议)报文，本发明不限制。可选的，移动终端也可以通过本地配置IP的方式获取地址，并将该地址以加密信令的方式发送给移动网网关。本发明对此不作限制。

步骤1070，移动网GW从无线侧隧道中接收到加密后的IP地址请求报文，重新封装I1接口的隧道信息，发送给专网网关；

步骤1080，专网网关从I1隧道中接收到加密后的IP地址请求报文，重新封装I2接口的隧道信息，发送给安全处理设备；

步骤1090，安全处理设备从I2隧道中接收到加密后的IP地址请求报文，对其进行解密处理，将报文转发给专网中的IP地址管理单元；

说明：IP地址管理单元是一个逻辑功能单元，可以和安全处理设备合设，本发明不限制。

步骤1100，IP地址管理单元为终端分配IP地址，并构造IP地址响应报文，发送给安全处理设备；

步骤1110，安全处理设备对IP地址响应报文进行加密处理，并通过之前建立的隧道发送给专网网关；

步骤1120，专网网关从I2隧道中接收到加密后的IP地址响应报文，重新封装I1接口的隧道信息，发送给移动网GW；

步骤1130，移动网GW从I1隧道中接收到加密后的IP地址响应报文，重新封装无线侧接口的隧道信息，通过移动网络发送给终端。终端接收到IP地址响应报文，进行解码处理，获取IP地址，至此，终端就具有了通过移动网络访问专网中服务/应用的条件。

步骤1140，终端访问专网中服务/应用，构造上行数据报文，并对报文进行加密处理，通过移动网发送给移动网GW；

步骤1150，移动网GW从无线侧隧道中接收到加密后的上行数据报文，重新封装I1接口的隧道信息，发送给专网网关；

步骤1160，专网网关从I1隧道中接收到加密后的上行数据报文，重新封装I2接口的隧道信息，发送给安全处理设备；

步骤1170，安全处理设备从I2隧道中接收到加密后的上行数据报文，对其进行解密处理，将报文转发给专网中的服务/应用单元；

步骤1180，专网中的应用/服务设备处理终端的业务请求，并构造下行数据报文，发送给安全处理设备；

步骤1190，安全处理设备对下行数据报文进行加密处理，并通过之前建立的隧道发送给专网网关；

步骤1200，专网网关从I2隧道中接收到加密后的下行数据报文，重新封装I1接口的隧道信息，发送给移动网GW；

步骤1210，移动网GW从I1隧道中接收到加密后的下行数据报文，重新封装无线侧接口的隧道信息，通过移动网络发送给终端。终端接收到下行数据报文，进行解码处理，获取服务/应用信息。

如图5所示，本发明的另一个实施例提供了一种移动终端接入专网的安全方法。需要说明的是，虽然本实施例以LTE移动网为例，但本发明不限于LTE移动网；虽然以DHCP方式为用户分配地址为例，但本发明不限于DHCP方式分配地址；虽然以Web服务为例，但本发明不限制任何服务/应用。如图5所示，本实施例中，移动终端接入专网的安全方法可包括如下步骤：

步骤S2000，具有加密能力的终端发起附着或者请求建立新会话，向MME发送NAS信令；

步骤S2010，MME根据NAS(Non-Access-Stratum,非接入层)信令携带的APN信息等，为终端选择合适的SGW和PDN-GW(Packet Data Network Gateway,分组数据网络网关)，并构造会话建立请求消息发送给SGW/PDN-GW；

步骤S2020，PDN-GW接收到会话建立请求消息，保存SGW的会话/隧道信息；按照一定的策略为终端选择专网网关，可以根据APN或者IMSI/MSISN信息选择，但不限于此。PGW-GW分配本端隧道信息，向专网网关发送会话建立请求，携带的TEID-C(Tunnel Endpoint Identifier-control，控制面隧道端点标识)/TEID-U(Tunnel Endpoint Identifier-user，用户面隧道端点标识)是本端的会话/隧道标记；

步骤S2030，专网网关接收到会话建立请求消息，保存PDN-GW的会话/隧道信息；按照一定的策略为终端选择安全处理设备，可以根据APN或者IMSI/MSISN信息选择，但不限于此。专网网关分配本端隧道信息，向安全处理设备发送会话建立请求，携带的 TEID-C/TEID-U是本端的会话/隧道标记；

步骤2040，安全处理设备可选的对终端进行身份认证等，保存专网网关隧道信息，后续数据转发时使用，同时分配本端隧道信息，并构造会话建立响应，发送给专网网关，携带的TEID-C/TEID-U是本端的会话/隧道标记。

步骤2050，专网网关从会话建立响应中获取安全处理设备的会话/隧道信息，保存之，后续会话管理及数据转发时使用，至此，专网网关和安全处理设备的会话及默认承载隧道建立完成；专网网关分配本端隧道信息，构造会话建立响应消息，发送给PDN-GW，携带TEID-C/TEID-U是本端的会话/隧道标记。

步骤2060，PDN-GW从会话建立响应中获取专有网关的会话/隧道信息，保存之，后续会话管理及数据转发时使用，至此，PDN-GW和专有网关之间的会话及默认承载隧道建立完成；PDN-GW构造S5/S8接口上的会话建立响应消息，完成移动网内部的标准流程。为避免移动网现有设备的改造，可选的，S5/S8接口上的会话建立响应消息中的IP地址可为一个无意义的固定地址；

步骤2070，MME响应终端的业务请求。至此，终端在移动网中附着成功，或者完成了PDN会话的建立。

步骤2080，终端构造DHCP信令报文以获取IP地址，对报文进行加密处理后通过移动网发送给PDN-GW；IP地址请求报文可选可以是DHCP报文，也可以IKE报文，本发明不限制；

步骤2090，PDN-GW接收到加密后的DHCP报文，解封转后重新封装和专网网关之间的隧道信息，发送给专网网关；

步骤2100，专网网关接收到加密后的DHCP报文，解封装后重新封装和安全处理设备之间的隧道信息，发送给安全处理设备；

步骤2110，安全处理设备接收到加密后的DHCP报文，解密后将报文转发给专网中的DHCP Server；

步骤2120，DHCP Server为终端分配IP地址，并构造DHCP响应报文，发送给安全处理设备；

步骤2130，安全处理设备对DHCP响应报文进行加密处理，并通过之前建立的隧道发送给专网网关；

步骤2140，专网网关接收到加密后的DHCP响应报文，解封装后重新封装和PDN-GW之间的隧道信息，发送给PDN-GW；

步骤2150，PDN-GW接收到加密后的DHCP响应报文，解封装后重新封装S5/S8接口的隧道信息，通过移动网络发送给终端。终端接收到DHCP信令响应报文，进行解码处理，获取IP地址，至此，终端就具有了通过移动网络访问专网中服务/应用的条件。

步骤2160，终端访问web业务，构造上行数据报文获取网页，并对报文进行加密处理，通过移动网发送给PDN-GW；

步骤2170，PDN-GW接收到加密后的上行数据报文获取网页，解封装后重新封装到专网网关的隧道信息，发送给专网网关；

步骤2180，专网网关接收到加密后的上行数据报文获取网页，解封装后重新封装到安全处理设备的隧道信息，发送给安全处理设备；

步骤2190，安全处理设备接收到加密后的上行数据报文获取网页，对其进行解密处理，将报文转发给专网中Web Server；

步骤2200，专网中的Web Server处理终端的业务请求，并构造下行数据报文http 200ok响应用户请求，发送给安全处理设备；

步骤2210，安全处理设备对下行数据报文网页请求响应进行加密处理，并通过之前建立的隧道发送给专网网关；

步骤2220，专网网关接收到加密后的下行数据报文网页请求响应，解封装后重新封装到PDN-GW的隧道信息，发送给PDN-GW；

步骤2230，PDN-GW接收到加密后的下行数据报文网页请求响应，解封装后重新封装S5/S8接口的隧道信息，通过移动网络发送给终端。终端接收到下行数据报文网页请求响应，进行解密处理，获取Web服务信息。

相应的，如图6所示，本发明的实施例还提供一种专网接入装置6，包括：

建立单元61，用于根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；

信令转发单元62，用于通过所述建立单元建立的转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；

数据转发单元63，用于以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。

本发明实施例提供的专网接入装置6，建立单元61能够根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道，信令转发单元62能够通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址，数据转发单元63能够以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

可选的，建立单元61，具体可包括：

查找模块，用于根据所述会话建立请求查找到所述移动终端的对应专网；

发送模块，用于向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

接收模块，用于接收来自所述对应专网的隧道建立响应消息；

所述发送模块，还用于将所述隧道建立响应消息向所述移动终端转发。

可选的，所述发送模块，具体可用于：直接向所述对应专网的安全处理设备发送隧道建立请求消息，或者通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息。

相应的，如图7所示，本发明的实施例还提供一种专网接入装置7，可包括：

专网建立单元71，根据移动网网关的请求，通过所述移动网网关建立与移动终端的转发隧道；

地址分配单元72，用于为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；

通信单元73，用于以加密数据的形式通过所述转发隧道与所述移动终端通信。

本发明实施例提供的专网接入装置7，专网建立单元71能够根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道，地址分配单元72能够为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送，通信单元73能够以加密数据的形式通过所述转发隧道与所述移动终端通信。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

进一步的，在本发明的一个实施例中，专网接入装置7还可包括鉴权单元，用于在根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，对所述移动终端进行鉴权；专网建立单元71，具体用于在所述鉴权单元鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。

可选的，专网建立单元71，具体可用于：

接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。

相应的，如图8所示，本发明的实施例还提供一种专网接入装置8，包括：

终端建立单元81，用于向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；

地址请求单元82，用于以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；

终端通信单元83，用于以加密数据的形式，通过所述转发隧道与所述对应专网通信。

本发明实施例提供的专网接入装置8，终端建立单元81能够向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道，地址请求单元82能够以加密信令方式通过所述移动网网关向所述对应专网请求IP地址，终端通信单元83能够以加密数据的形式，通过所述转发隧道与所述对应专网通信。这样，由于移动终端获取IP地址的过程和与专网的数据传输过程都进行了加密，移动终端无需借助独立的移动网络即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

相应的，本发明的实施例还提供一种移动网网关，该移动网网关中设置有前述实施例提供的任一种专网接入装置6，因此也能实现相应的有益效果，前文已经进行了相应说明，此处不再赘述。

相应的，本发明的实施例还提供一种专网设备，该专网设备中设置有前述实施例提供的任一种专网接入装置7，因此也能实现相应的有益效果，前文已经进行了相应说明，此处不再赘述。

相应的，本发明的实施例还提供一种移动终端，该移动终端中设置有前述实施例提供的任一种专网接入装置8，因此也能实现相应的有益效果，前文已经进行了相应说明，此处不再赘述。

相应的，本发明的实施例还提供一种专网接入系统，包括上述实施例提供的任一种移动网网关，任一种专网设备，以及任一种移动终端。

举例说明，如图9所示，在本发明的一个实施例中，专网接入系统可包括移动终端100、无线接入网络200、移动网GW300、专网网关400、专网安全处理设备500、专网应用/服务设备600。

具体的，移动终端100附着或者请求建立新会话时，不需要获取IP地址；附着成功或者会话建立完成后，通过单独的信令从专网中获取IP地址，获取IP地址的信令通过加密处理对信息进行保护；发送数据时使用加密算法对数据报文的内容及IP信息进行加密；接收数据时，对数据报文进行解密操作获取原始数据信息。

无线接入网络200，可以是GPRS(General Packet Radio Service,通用分组无线服务技术)网络及SGSN(Serving GPRS Support Node,服务GPRS支持节点)网元；可以是LTE(Long Term Evolution，长期演进)网络及SGW(Serving GateWay，服务网关)网元；也可以是eHRPD(Evolved High Rate Package Data,演进的高速分组网络)网路及HSGW(HRPD Serving GateWay，HRPD服务网关)网元等，包括一切可以接入到移动网GW(GateWay，网关)的接入方式。接入网络的移动管理单元，例如LTE(Long Term Evolution，长期演进)网络中的MME(Mobility Management Entity,移动管理实体)，根据APN信息或者是终端的IMSI/MSISDN信息等选择合适的移动网GW；

移动网GW300，即移动网网关，接收到会话建立请求时，区别于现有技术，不为用户分配地址，而是为用户选择合适的专网网关，可以根据APN信息或者终端IMSI/MSISDN信息等；并向所选专网网关发起隧道建立请求，为终端和专网之间的信令及数据报文建立转发隧道。

专网网关400，接收到移动网GW建立隧道的请求时，为用户选择合适的专网安全处理设备，可以根据APN信息或者终端IMSI/MSISDN信息，也可以根据安全处理设备的负荷情况等；并向所选安全处理设备发起隧道建立请求，为终端和专网之间的信令及数据报文建立转发隧道。

其中，专网网关400为可选单元，移动网GW300也可以直接选择专网安全处理设备，并且与之为用户建立隧道。

安全处理设备500，作为专网的安全门户，可以负责为终端分配IP地址；也可以在专网的安全处理设备之后部署IP地址分配单元，负责为终端分配IP地址。安全处理设备在向中终端发送信令及数据报文时，使用加密算法对数据报文的内容及IP信息进行加密，接收数据时，对数据报文进行解密操作获取原始数据信息，转发至专网中的应用/服务设备。

从上面的实施例，本领域的技术人员应该明白，终端访问专网的所有信息及IP地址在移动网络中是无法识别，从而保证了专网信息的安全性。另外，上述的本发明的各单元或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

尽管为示例目的，已经公开了本发明的优选实施例，本领域的技术人员将意识到各种改进、增加和取代也是可能的，因此，本发明的范围应当不限于上述实施例。

工业实用性

本发明适用于通信技术领域，用以实现在无需借助独立的移动网络的情况下，移动终端即可接入相应的专用网络，方便用户的同时又保障了专网及其应用访问的安全性。

Claims

一种专网接入方法，包括：

移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；

所述移动网网关通过所述转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；

所述移动网网关以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。
根据权利要求1所述的方法，其中所述移动网网关根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道包括：

所述移动网网关根据所述会话建立请求查找到所述移动终端的对应专网；

所述移动网网关向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

所述移动网网关接收来自所述对应专网的隧道建立响应消息，并将所述隧道建立响应消息向所述移动终端转发。
根据权利要求2所述的方法，其中所述移动网网关向所述对应专网发送隧道建立请求消息包括：

所述移动网网关直接向所述对应专网的安全处理设备发送隧道建立请求消息，或者

所述移动网网关通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息。
一种专网接入方法，包括：

移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道；

所述对应专网为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；

所述对应专网以加密数据的形式通过所述转发隧道与所述移动终端通信。
根据权利要求4所述的方法，其中所述移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，所述方法还包括：

所述对应专网对所述移动终端进行鉴权，在鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。
根据权利要求4或5所述的方法，其中移动终端的对应专网根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道包括：

所述移动终端的对应专网接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

所述对应专网向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。
一种专网接入方法，包括：

移动终端向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；

所述移动终端以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；

所述移动终端以加密数据的形式，通过所述转发隧道与所述对应专网通信。
一种专网接入装置，包括：

建立单元，设置为根据移动终端的会话建立请求，建立所述移动终端与对应专网之间的转发隧道；

信令转发单元，设置为通过所述建立单元建立的转发隧道在所述移动终端与所述对应专网之间转发加密信令，以使所述移动终端通过所述加密信令获取所述对应专网为所述移动终端分配的IP地址；

数据转发单元，设置为以加密数据的形式，通过所述转发隧道转发所述移动终端与所述对应专网之间的通信数据。
根据权利要求8所述的装置，其中所述建立单元，包括：

查找模块，设置为根据所述会话建立请求查找到所述移动终端的对应专网；

发送模块，设置为向所述对应专网发送隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

接收模块，设置为接收来自所述对应专网的隧道建立响应消息；

所述发送模块，还设置为将所述隧道建立响应消息向所述移动终端转发。
根据权利要求9所述的装置，其中所述发送模块，设置为：

直接向所述对应专网的安全处理设备发送隧道建立请求消息，或者

通过所述对应专网的网关向所述对应专网的安全处理设备发送隧道建立请求消息。
一种专网接入装置，包括：

专网建立单元，根据移动网网关的请求，通过所述移动网网关建立与移动终端的转发隧道；

地址分配单元，设置为为所述移动终端分配IP地址，并将所述IP地址以加密信令的形式通过所述转发隧道向所述移动终端发送；

通信单元，设置为以加密数据的形式通过所述转发隧道与所述移动终端通信。
根据权利要求11所述的装置，其中还包括鉴权单元，设置为在根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道之前，对所述移动终端进行鉴权；

所述专网建立单元，设置为在所述鉴权单元鉴权通过的情况下，根据移动网网关的请求，通过所述移动网网关建立与所述移动终端的转发隧道。
根据权利要求11或12所述的装置，其中所述专网建立单元，设置为：

接收所述移动网网关的发送的隧道建立请求消息，所述隧道建立请求消息中携带所述移动终端的标识信息；

向所述移动网网关发送隧道建立响应消息，以通过所述移动网网关建立与所述移动终端的转发隧道。
一种专网接入装置，包括：

终端建立单元，设置为向移动网网关发起会话建立请求，以通过所述移动网网关建立所述移动终端与对应专网之间的转发隧道；

地址请求单元，设置为以加密信令方式通过所述移动网网关向所述对应专网请求IP地址；

终端通信单元，设置为以加密数据的形式，通过所述转发隧道与所述对应专网通信。
一种移动网网关，包括权利要求8至10中任一项所述的专网接入装置。
一种专网设备，包括权利要求11至13中任一项所述的专网接入装置。
一种移动终端，包括权利要求14所述的专网接入装置。
一种专网接入系统，包括权利要求15所述的移动网网关，权利要求16所述的专网设备，以及权利要求17所述的移动终端。