終端穿越私網(wǎng)與ims核心網(wǎng)中服務(wù)器通信的方法��、裝置及網(wǎng)絡(luò)系統(tǒng)的制作方法
【專(zhuān)利摘要】本發(fā)明實(shí)施例提供一種終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法��、裝置及網(wǎng)絡(luò)系統(tǒng)���,其中,終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法包括:終端將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址�、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,得到第一業(yè)務(wù)報(bào)文��,其中�����,虛擬IP地址是多媒體子系統(tǒng)IMS核心網(wǎng)為所述終端分配的地址;將第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文���,利用所述終端與安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道���,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān),使所述安全隧道網(wǎng)關(guān)將第一隧道報(bào)文中的第一業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器���。使用本發(fā)明實(shí)施例提供的技術(shù)方案����,不需要改動(dòng)企業(yè)網(wǎng)絡(luò)����,終端就可以穿越私網(wǎng),與IMS核心網(wǎng)中的服務(wù)器進(jìn)行通信����。
【專(zhuān)利說(shuō)明】終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法、裝置及網(wǎng)絡(luò)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信【技術(shù)領(lǐng)域】�,特別涉及一種終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法、裝置及網(wǎng)絡(luò)系統(tǒng)���。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)(InternetProtocol Media Subsystem, IMS)是一個(gè)基于IP技術(shù)的�、與接入無(wú)關(guān)的網(wǎng)絡(luò)架構(gòu),它是能被移動(dòng)網(wǎng)絡(luò)與固定網(wǎng)絡(luò)共用的融合核心網(wǎng)�,即能夠?yàn)槭褂?.5G、3G�、WLAN和固定寬帶等不同接入手段的用戶(hù)提供融合的業(yè)務(wù),被業(yè)界認(rèn)為是下一代網(wǎng)絡(luò)的基礎(chǔ)����。
[0003]終端要接入MS核心網(wǎng)��,需要穿越私網(wǎng)(比如終端所接入的企業(yè)網(wǎng)絡(luò))�����,具體的���,由于企業(yè)網(wǎng)絡(luò)內(nèi)部使用私網(wǎng)IP地址�����,企業(yè)網(wǎng)絡(luò)邊緣部署NAT設(shè)備�����,終端需要穿越NAT設(shè)備接入IMS核心網(wǎng)的服務(wù)器��,或者���,如果企業(yè)網(wǎng)絡(luò)邊緣部署應(yīng)用層代理服務(wù)器����,則終端需要穿越應(yīng)用層代理服務(wù)器接入MS核心網(wǎng)的服務(wù)器��。
[0004]現(xiàn)有技術(shù)提供一種穿越私網(wǎng)的方法�����,具體的���,在企業(yè)網(wǎng)絡(luò)和MS網(wǎng)絡(luò)中分別部署IPSec VPN(互聯(lián)網(wǎng)協(xié)議安全虛擬專(zhuān)用����,Internet Protocol Security VPN)網(wǎng)關(guān)�,以便通過(guò)所部屬的IPSec VPN網(wǎng)關(guān)在企業(yè)網(wǎng)絡(luò)和MS網(wǎng)絡(luò)間建立IPSec VPN隧道,并將企業(yè)網(wǎng)絡(luò)中的終端的路由聚合到企業(yè)網(wǎng)絡(luò)中的IPSec VPN網(wǎng)關(guān)�����,由其執(zhí)行業(yè)務(wù)數(shù)據(jù)的封裝/解封裝等操作。具體的,當(dāng)終端向MS核心網(wǎng)發(fā)送業(yè)務(wù)數(shù)據(jù)時(shí),修改終端所發(fā)送的業(yè)務(wù)數(shù)據(jù)的路由�,將該業(yè)務(wù)數(shù)據(jù)先路由到企業(yè)網(wǎng)絡(luò)中的IPSec VPN網(wǎng)關(guān)��,IPSec VPN網(wǎng)關(guān)對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行封裝�,然后通過(guò)IPSec VPN隧道傳送到MS核心網(wǎng)中的IPSec VPN網(wǎng)關(guān)�,核心網(wǎng)中的IPSec VPN網(wǎng)關(guān)對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行解封裝后發(fā)送給MS核心網(wǎng)中的服務(wù)器。
[0005]現(xiàn)有技術(shù)需要在企業(yè)側(cè)網(wǎng)絡(luò)中部署IPSec VPN網(wǎng)關(guān)����,并且需要修改終端的數(shù)據(jù)路由����,對(duì)企業(yè)網(wǎng)絡(luò)的改動(dòng)很大。
【發(fā)明內(nèi)容】
[0006]本發(fā)明實(shí)施例提供一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法��、裝置及網(wǎng)絡(luò)系統(tǒng)�����,不需要改動(dòng)企業(yè)網(wǎng)絡(luò)�����,終端就可以穿越私網(wǎng),與公網(wǎng)(即MS核心網(wǎng))中服務(wù)器進(jìn)行通信���。
[0007]有鑒于此�,本發(fā)明實(shí)施例提供:
[0008]一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法�����,包括:
[0009]終端將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址���,得到第一業(yè)務(wù)報(bào)文,其中����,所述虛擬IP地址是多媒體子系統(tǒng)MS核心網(wǎng)為所述終端分配的地址;
[0010]將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文��,其中所述第一隧道報(bào)文的源IP地址為終端的IP地址���、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址����;
[0011]利用所述終端與安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān)�,使所述安全隧道網(wǎng)關(guān)將第一隧道報(bào)文中的第一業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器。
[0012]一種終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法���,包括:
[0013]安全隧道網(wǎng)關(guān)通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道接收第一隧道報(bào)文�;其中����,所述第一隧道報(bào)文的源IP地址為終端的IP地址、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址���;
[0014]對(duì)所述第一隧道報(bào)文進(jìn)行解封裝����,得到第一業(yè)務(wù)報(bào)文���,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址、目的地址為內(nèi)網(wǎng)服務(wù)器地址����;
[0015]將所述第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送。
[0016]一種終端�,包括:通信能力組件�����,所述通信能力組件包括:
[0017]第一數(shù)據(jù)匯聚模塊�,用于將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址�����,得到第一業(yè)務(wù)報(bào)文�;其中���,所述虛擬IP地址是多媒體子系統(tǒng)IMS核心網(wǎng)為所述終端分配的地址��;
[0018]第一隧道傳輸模塊�,用于將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文�����,其中所述第一隧道報(bào)文的源IP地址為終端的IP地址���、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址����;利用所述終端與安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān)�����,使所述安全隧道網(wǎng)關(guān)將第一隧道報(bào)文中的第一業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器��。
[0019]一種安全隧道網(wǎng)關(guān)��,包括:
[0020]第一接收模塊���,用于通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道接收第一隧道報(bào)文�����;其中�,所述第一隧道報(bào)文的源IP地址為終端的IP地址��、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址�����;
[0021]解封裝模塊����,用于對(duì)所述第一隧道報(bào)文進(jìn)行解封裝;
[0022]第一發(fā)送模塊�,用于將解封裝模塊解封裝后得到的第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送,其中���,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址�����、目的地址為內(nèi)網(wǎng)服務(wù)器地址�����。
[0023]一種網(wǎng)絡(luò)系統(tǒng)����,包括:安全隧道網(wǎng)關(guān)和內(nèi)網(wǎng)服務(wù)器���,
[0024]安全隧道網(wǎng)關(guān)����,用于通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道接收第一隧道報(bào)文;其中���,所述第一隧道報(bào)文的源IP地址為終端的IP地址��、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址���;對(duì)所述第一隧道報(bào)文進(jìn)行解封裝,得到第一業(yè)務(wù)報(bào)文�����,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址��、目的地址為內(nèi)網(wǎng)服務(wù)器地址��;將所述第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送��;接收內(nèi)網(wǎng)服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文���,所述第二業(yè)務(wù)報(bào)文的源地址為內(nèi)網(wǎng)服務(wù)器的地址��、目的地址為虛擬IP地址�����;將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文��,其中�,第二隧道報(bào)文的源IP地址為安全隧道網(wǎng)關(guān)的IP地址�����、目的IP地址為終端的IP地址�;通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道向所述終端發(fā)送第二隧道報(bào)文;
[0025]內(nèi)網(wǎng)服務(wù)器�,用于接收安全隧道網(wǎng)關(guān)發(fā)送的第一業(yè)務(wù)報(bào)文,向安全隧道網(wǎng)關(guān)發(fā)送第二業(yè)務(wù)報(bào)文����。
[0026]本發(fā)明實(shí)施例中終端將MS核心網(wǎng)分配的虛擬IP地址作為終端與內(nèi)網(wǎng)服務(wù)器的通信地址,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址����、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,并封裝成隧道報(bào)文后通過(guò)終端與安全隧道網(wǎng)關(guān)間的隧道傳輸?shù)桨踩淼谰W(wǎng)關(guān)�,使安全隧道網(wǎng)關(guān)能夠?qū)⒃吹刂窞樘摂MIP地址、目的地址為內(nèi)網(wǎng)服務(wù)器地址的業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器��,這樣���,就能夠?qū)崿F(xiàn)+通過(guò)安全隧道網(wǎng)關(guān)傳輸內(nèi)網(wǎng)服務(wù)器與終端間的業(yè)務(wù)數(shù)據(jù)����,不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò),就可以使終端穿越私網(wǎng)�,與公網(wǎng)中的服務(wù)器進(jìn)行通信。
[0027]本發(fā)明實(shí)施例中的安全隧道網(wǎng)關(guān)作為中間設(shè)備��,將來(lái)自終端的隧道報(bào)文解封裝后發(fā)送給內(nèi)網(wǎng)服務(wù)器���,以便終端與MS核心網(wǎng)中的服務(wù)器間傳輸業(yè)務(wù)數(shù)據(jù)�,這樣不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò)�,就可以使終端穿越私網(wǎng),與公網(wǎng)中的服務(wù)器進(jìn)行通信了�。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0028]為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。
[0029]圖1A是本發(fā)明實(shí)施例提供的一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖����;
[0030]圖1B為本發(fā)明實(shí)施例提供的又一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖�;
[0031]圖2A是本發(fā)明實(shí)施例提供的另一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖��;
[0032]圖2B是本發(fā)明實(shí)施例提供的再一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖��;
[0033]圖3為本發(fā)明實(shí)施例提供的VPN隧道建立流程圖��;
[0034]圖4為本發(fā)明實(shí)施例提供的終端身份認(rèn)證流程圖����;
[0035]圖5為本發(fā)明實(shí)施例提供的一種MS業(yè)務(wù)數(shù)據(jù)安全穿越流程圖��;
[0036]圖6為本發(fā)明實(shí)施例提供的另一種MS業(yè)務(wù)數(shù)據(jù)安全穿越流程圖���;
[0037]圖7為本發(fā)明實(shí)施例提供的終端結(jié)構(gòu)圖��;
[0038]圖8為本發(fā)明實(shí)施例提供的安全隧道網(wǎng)關(guān)結(jié)構(gòu)圖���;
[0039]圖9為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0040]參閱圖1A�����,本發(fā)明實(shí)施例提供一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法,該方法從終端側(cè)描述本發(fā)明實(shí)施例提供的技術(shù)方案����,該方法包括:
[0041]101、終端將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址�、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,得到第一業(yè)務(wù)報(bào)文����,其中,所述虛擬IP地址是多媒體子系統(tǒng)MS核心網(wǎng)為所述終端分配的地址�����。
[0042]其中���,終端具體獲得第一業(yè)務(wù)報(bào)文的過(guò)程包括:將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址�����、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址����,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源端口設(shè)置為終端的業(yè)務(wù)端口,將待發(fā)送數(shù)據(jù)的目的端口設(shè)置為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口���。
[0043]本發(fā)明實(shí)施例及后續(xù)各實(shí)施例可適用于如下環(huán)境�,終端位于私網(wǎng)中�����,比如企業(yè)網(wǎng)絡(luò)中�����,終端想與MS核心網(wǎng)中的服務(wù)器進(jìn)行通信���,則終端需要穿越私網(wǎng)與MS核心網(wǎng)中的內(nèi)網(wǎng)服務(wù)器進(jìn)行通信。
[0044]其中��,所述虛擬IP地址是由安全隧道網(wǎng)關(guān)(Security Tunnel Gateway STG)分配的���,該安全隧道網(wǎng)關(guān)位于IMS核心網(wǎng)的邊緣�。所述安全隧道網(wǎng)關(guān)(Security Tunnel GatewaySTG)可以是后續(xù)各實(shí)施例中描述的VPN網(wǎng)關(guān)��。終端與安全隧道網(wǎng)關(guān)間的隧道可以是用戶(hù)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol,UDP)VPN隧道���,安全套接層(Security Socket Layer,SSL) VPN 隧道或者超文本傳輸協(xié)議(Hyper Text Transfer Protocol����,HTTP) VPN 隧道。
[0045]102���、將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文���,其中所述第一隧道報(bào)文的源IP地址為終端的IP地址、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址�����。
[0046]其中���,具體的封裝第一隧道報(bào)文的過(guò)程包括:設(shè)置第一業(yè)務(wù)報(bào)文的源IP地址為終端的IP地址����,這個(gè)IP地址為終端真實(shí)的IP地址����,設(shè)置第一業(yè)務(wù)報(bào)文的目的IP地址為安全隧道網(wǎng)關(guān)的IP地址,設(shè)置第一業(yè)務(wù)報(bào)文的源端口為終端的隧道端口���,設(shè)置第一業(yè)務(wù)報(bào)文的目的端口為安全隧道網(wǎng)關(guān)的隧道端口��。
[0047]103����、利用所述終端與安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān)��,使所述安全隧道網(wǎng)關(guān)將第一隧道報(bào)文中的第一業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器�����。
[0048]圖1B為本發(fā)明實(shí)施例提供的又一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖��,圖1B所述實(shí)施例描述了當(dāng)終端需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí)����,穿越私網(wǎng)接收MS核心網(wǎng)中服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù)的方法�,如圖1B所示,該方法包括:
[0049]104���、終端通過(guò)所述隧道接收第二隧道報(bào)文��,其中�����,第二隧道報(bào)文的源IP地址為安全隧道網(wǎng)關(guān)的IP地址�、目的IP地址為終端的IP地址;
[0050]105��、對(duì)所述第二隧道報(bào)文進(jìn)行解封裝得到第二業(yè)務(wù)報(bào)文���;其中�,所述第二業(yè)務(wù)報(bào)文的源地址為內(nèi)網(wǎng)服務(wù)器的地址����、目的地址為虛擬IP地址;
[0051 ] 106�、獲得所述第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)。
[0052]實(shí)際應(yīng)用中���,圖1A與圖1B所示的實(shí)施例終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法可以結(jié)合使用�。圖1A所示的實(shí)施例描述了終端穿越私網(wǎng)向MS核心網(wǎng)中的服務(wù)器發(fā)送業(yè)務(wù)數(shù)據(jù)的過(guò)程��,圖1B所示的實(shí)施例描述了終端穿越私網(wǎng)接收MS核心網(wǎng)中的服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù)的過(guò)程�。
[0053]當(dāng)終端與安全隧道網(wǎng)關(guān)間的VPN隧道同時(shí)存在UDP VPN隧道和SSLVPN隧道時(shí),則通過(guò)UDP VPN隧道傳輸業(yè)務(wù)數(shù)據(jù)�����,通過(guò)SSL VPN隧道傳輸業(yè)務(wù)控制信息,具體的�,該方法還包括:終端利用所述SSL VPN隧道向所述安全隧道網(wǎng)關(guān)發(fā)送第一業(yè)務(wù)控制信息,比如����,向安全網(wǎng)關(guān)發(fā)送請(qǐng)求分配虛擬IP地址的信息,或者����,當(dāng)終端需要釋放VPN隧道時(shí),可以通過(guò)SSLVPN隧道向安全隧道網(wǎng)關(guān)發(fā)送釋放VPN隧道的指示信息���;或者�����,所述終端利用所述SSL VPN隧道接收所述安全隧道網(wǎng)關(guān)發(fā)送的第二業(yè)務(wù)控制信息。比如��,在安全隧道網(wǎng)關(guān)為終端分配虛擬IP地址后��,終端通過(guò)SSL VPN隧道接收安全隧道網(wǎng)關(guān)分配的虛擬IP地址�����。
[0054]本發(fā)明實(shí)施例中終端將MS核心網(wǎng)分配的虛擬IP地址作為終端與內(nèi)網(wǎng)服務(wù)器的通信地址,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址���,并封裝成隧道報(bào)文后通過(guò)終端與安全隧道網(wǎng)關(guān)間的隧道傳輸?shù)桨踩淼谰W(wǎng)關(guān),使安全隧道網(wǎng)關(guān)能夠?qū)⒃吹刂窞樘摂MIP地址����、目的地址為內(nèi)網(wǎng)服務(wù)器地址的業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器;當(dāng)需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí)�����,將接收的隧道報(bào)文進(jìn)行解封裝���,得到源地址為內(nèi)網(wǎng)服務(wù)器的地址���、目的地址為虛擬IP地址的業(yè)務(wù)報(bào)文,這樣��,就能夠?qū)崿F(xiàn)通過(guò)安全隧道網(wǎng)關(guān)傳輸內(nèi)網(wǎng)服務(wù)器與終端間的業(yè)務(wù)數(shù)據(jù)�����,不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò),就可以使終端穿越私網(wǎng)����,與公網(wǎng)中的服務(wù)器進(jìn)行通信。
[0055]參閱圖2A�,本發(fā)明實(shí)施例提供一種終端穿越私網(wǎng)與IMS核心網(wǎng)中服務(wù)器通信的方法,該方法從安全隧道網(wǎng)關(guān)側(cè)描述本發(fā)明實(shí)施例提供的技術(shù)方案�����,描述包括:
[0056]201�����、安全隧道網(wǎng)關(guān)通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道接收第一隧道報(bào)文�����;其中����,所述第一隧道報(bào)文的源IP地址為終端的IP地址��、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址。
[0057]其中����,所述虛擬IP地址是由安全隧道網(wǎng)關(guān)分配的,安全隧道網(wǎng)關(guān)與終端間的隧道可以是用戶(hù)數(shù)據(jù)報(bào)協(xié)議(User Datagram Protocol, UDP)隧道,安全套接層(SecuritySocket Layer, SSL)隧道或者超文本傳輸協(xié)議(Hyper Text Transfer Protocol, HTTP)隧道�。
[0058]202、安全隧道網(wǎng)關(guān)對(duì)所述第一隧道報(bào)文進(jìn)行解封裝�,得到第一業(yè)務(wù)報(bào)文,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址��、目的地址為內(nèi)網(wǎng)服務(wù)器地址�����。
[0059]203�、安全隧道網(wǎng)關(guān)將所述第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送。
[0060]圖2B是本發(fā)明實(shí)施例提供的再一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法流程圖����,圖2B所述的實(shí)施例從安全隧道網(wǎng)關(guān)側(cè)描述了將內(nèi)網(wǎng)服務(wù)器發(fā)送的業(yè)務(wù)報(bào)文通過(guò)VPN隧道傳輸給終端的方法,如圖2B所示�����,該方法包括:
[0061]204�����、安全隧道網(wǎng)關(guān)接收內(nèi)網(wǎng)服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文,所述第二業(yè)務(wù)報(bào)文的源地址為內(nèi)網(wǎng)服務(wù)器的地址�����、目的地址為虛擬IP地址����;
[0062]205、將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文�����,其中��,第二隧道報(bào)文的源IP地址為安全隧道網(wǎng)關(guān)的IP地址��、目的IP地址為終端的IP地址�;
[0063]206、通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道向所述終端發(fā)送第二隧道報(bào)文����。
[0064]圖2A與圖2B所示的實(shí)施例均從安全隧道網(wǎng)關(guān)側(cè)描述了終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法,圖2A所示的實(shí)施例從安全隧道網(wǎng)關(guān)側(cè)描述了將終端通過(guò)VPN隧道發(fā)送的業(yè)務(wù)報(bào)文傳輸給MS核心網(wǎng)中的服務(wù)器的過(guò)程,圖2B所示的實(shí)施例從安全隧道網(wǎng)關(guān)側(cè)描述了將頂S核心網(wǎng)中的服務(wù)器發(fā)送的業(yè)務(wù)報(bào)文通過(guò)VPN隧道傳輸給終端的過(guò)程���,實(shí)際應(yīng)用中,圖2A與圖2B所示的實(shí)施例所述方法可以結(jié)合使用����。
[0065]當(dāng)終端與安全隧道網(wǎng)關(guān)間的VPN隧道同時(shí)存在UDP VPN隧道和SSL VPN隧道時(shí),則通過(guò)UDP VPN隧道傳輸業(yè)務(wù)數(shù)據(jù)�,通過(guò)SSL VPN隧道傳輸業(yè)務(wù)控制信息,具體的��,該方法還包括:安全隧道網(wǎng)關(guān)利用所述SSL VPN隧道向所述終端發(fā)送第二業(yè)務(wù)控制信息����;比如,在安全隧道網(wǎng)關(guān)為終端分配虛擬IP地址后�,安全隧道網(wǎng)關(guān)通過(guò)SSL VPN隧道向終端發(fā)送虛擬IP地址?���;蛘撸踩淼谰W(wǎng)關(guān)利用所述SSL VPN隧道接收終端發(fā)送的第一業(yè)務(wù)控制信息��,比如��,當(dāng)終端需要釋放VPN隧道時(shí),可以通過(guò)SSL VPN隧道向安全隧道網(wǎng)關(guān)發(fā)送釋放VPN隧道的指示信息���。
[0066]本發(fā)明實(shí)施例中的安全隧道網(wǎng)關(guān)作為中間設(shè)備����,將來(lái)自終端的隧道報(bào)文解封裝后發(fā)送給內(nèi)網(wǎng)服務(wù)器����,將來(lái)自?xún)?nèi)網(wǎng)服務(wù)器的業(yè)務(wù)報(bào)文封裝成隧道報(bào)文后發(fā)送給終端,以便終端與MS核心網(wǎng)中的服務(wù)器間傳輸業(yè)務(wù)數(shù)據(jù)���,這樣不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò)��,就可以使終端穿越私網(wǎng)�,與公網(wǎng)中的服務(wù)器進(jìn)行通信了�。
[0067]如下對(duì)本發(fā)明實(shí)施例提供的技術(shù)方案進(jìn)行詳細(xì)介紹:
[0068]圖3示出了本發(fā)明實(shí)施例提供的VPN隧道建立流程圖,VPN隧道建立過(guò)程具體包括:
[0069]301��、終端判斷是否配置了應(yīng)用層代理服務(wù)器相關(guān)信息���,如果是�����,則向應(yīng)用層代理服務(wù)器發(fā)送建立代理連接請(qǐng)求消息����,如果否,則執(zhí)行303���。
[0070]具體的,終端的業(yè)務(wù)模塊調(diào)用終端中通信能力組件中的隧道傳輸模塊的接口���,觸發(fā)隧道傳輸模塊判斷是否配置了應(yīng)用層代理服務(wù)器相關(guān)信息�,并在判斷結(jié)果為是時(shí)發(fā)送建立代理連接請(qǐng)求消息�,在判斷結(jié)果為否時(shí)直接向VPN安全隧道網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求。本發(fā)明各實(shí)施例中的通信能力組件包括三個(gè)模塊�����,隧道傳輸模塊��、加解密模塊和數(shù)據(jù)匯聚模塊���。該步驟具體是由隧道傳輸模塊執(zhí)行的�。
[0071]其中���,應(yīng)用層代理服務(wù)器相關(guān)信息包括應(yīng)用層代理服務(wù)器類(lèi)型���、IP地址和端口 ��;應(yīng)用層代理服務(wù)器類(lèi)型包括HTTP代理服務(wù)器�、HTTPS代理服務(wù)器�、SOCKS代理服務(wù)器等。在該步驟之前��,是由用戶(hù)根據(jù)企業(yè)網(wǎng)絡(luò)到VPN網(wǎng)關(guān)(即安全隧道網(wǎng)關(guān))之間的網(wǎng)絡(luò)情況決定是否需要經(jīng)過(guò)應(yīng)用層代理服務(wù)器�,如果需要經(jīng)過(guò)應(yīng)用層代理服務(wù)器連接到VPN網(wǎng)關(guān),則需要在終端上配置應(yīng)用層代理服務(wù)器的類(lèi)型�、IP地址、端口���。
[0072]302�、應(yīng)用層代理服務(wù)器向終端返回建立代理連接響應(yīng)消息��。
[0073]該步驟具體可以是應(yīng)用層代理服務(wù)器向終端中的隧道傳輸模塊返回建立代理連接響應(yīng)消息�。
[0074]終端與不同類(lèi)型的應(yīng)用層代理服務(wù)器之間建立代理連接的過(guò)程不一樣,并且需要進(jìn)行交互的次數(shù)也可能會(huì)不同�,但是建立代理連接時(shí)對(duì)NAT設(shè)備沒(méi)有任何特殊要求,因此建立代理連接請(qǐng)求消息和響應(yīng)消息可以穿越所有正常的NAT設(shè)備�����。
[0075]303、終端向VPN網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息���。
[0076]具體的����,終端中的隧道傳輸模塊向VPN網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息���。
[0077]304、VPN網(wǎng)關(guān)向終端返回建立VPN隧道的響應(yīng)消息��。
[0078]該實(shí)施例中的VPN隧道可以包括SSL VPN����、HTTP VPN、UDP VPN三種隧道類(lèi)型���。具體的�,VPN網(wǎng)關(guān)向終端中的隧道傳輸模塊返回建立VPN隧道的響應(yīng)消息����。
[0079]當(dāng)終端需要通過(guò)應(yīng)用層代理服務(wù)器連接到VPN網(wǎng)關(guān)時(shí)�����,則步驟303需要通過(guò)應(yīng)用層代理服務(wù)器向VPN網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息����,相應(yīng)的�����,在步驟304中VPN網(wǎng)關(guān)通過(guò)應(yīng)用層代理服務(wù)器向終端發(fā)送建立VPN隧道的響應(yīng)消息�。
[0080]305、VPN隧道建立成功后�,終端利用VPN隧道向VPN網(wǎng)關(guān)發(fā)起請(qǐng)求配置信息的報(bào)文。
[0081]具體的�,終端中的隧道傳輸模塊向VPN網(wǎng)關(guān)發(fā)起請(qǐng)求配置信息的報(bào)文。
[0082]306����、VPN網(wǎng)關(guān)利用VPN隧道向終端返回配置信息。
[0083]其中���,配置信息包括:內(nèi)網(wǎng)服務(wù)器的IP地址/掩碼��、VPN網(wǎng)關(guān)分配給終端的虛擬IP地址/掩碼����。內(nèi)網(wǎng)服務(wù)器的IP地址可以是某些具體的IP地址,也可以是多個(gè)IP地址段����,此時(shí)該內(nèi)網(wǎng)服務(wù)器在多個(gè)網(wǎng)段內(nèi)。
[0084]具體的���,VPN網(wǎng)關(guān)向終端中的隧道傳輸模塊返回配置信息���,隧道傳輸模塊解析配置信息,并將配置信息發(fā)送給數(shù)據(jù)匯聚模塊����,數(shù)據(jù)匯聚模塊根據(jù)配置信息配置終端地址為虛擬IP地址/掩碼���,并配置與終端通信的內(nèi)網(wǎng)服務(wù)器的地址/掩碼����,然后通知隧道傳輸模塊設(shè)置完成����;隧道傳輸模塊向終端中的業(yè)務(wù)模塊發(fā)送指示隧道建立完成的指示信息�。
[0085]步驟303-304可以具體采用如下方式實(shí)現(xiàn):
[0086]1����、終端首先嘗試建立UDP隧道:終端向VPN網(wǎng)關(guān)發(fā)送建立UDP隧道的請(qǐng)求,并可以在請(qǐng)求消息中攜帶身份信息�����,VPN網(wǎng)關(guān)可以通過(guò)與認(rèn)證服務(wù)器進(jìn)行信息交互來(lái)校驗(yàn)身份的合法性����,向終端返回校驗(yàn)結(jié)果;如果終端身份合法且企業(yè)網(wǎng)絡(luò)防火墻開(kāi)放了特定的UDP端口�����,則m)P隧道建立成功��,否則����,UDP隧道建立失敗。本節(jié)所述的m)P隧道�,包含udp明文隧道、UDP 加密隧道和基于 UDP 的 DTLS(Datagram Transport Layer Security)隧道??梢岳斫獾氖牵赟OCKS V5代理服務(wù)器����、HTTP代理服務(wù)器、HTTPS代理服務(wù)器同時(shí)存在時(shí)�,如果需要通過(guò)應(yīng)用層代理服務(wù)器建立UDP隧道,要求經(jīng)過(guò)S0CK5 VS代理服務(wù)器建立UDP隧道�����,相對(duì)于其他HTTP隧道����、SSL隧道來(lái)說(shuō),UDP隧道能提高語(yǔ)音質(zhì)量�。
[0087]2、終端嘗試建立SSL隧道:終端向VPN網(wǎng)關(guān)發(fā)送建立SSL隧道的請(qǐng)求����,并可以在請(qǐng)求消息中攜帶身份信息�,VPNVPN網(wǎng)關(guān)可以通過(guò)與認(rèn)證服務(wù)器進(jìn)行信息交互來(lái)校驗(yàn)身份的合法性,向終端返回校驗(yàn)結(jié)果�����;如果終端身份合法且企業(yè)網(wǎng)絡(luò)防火墻開(kāi)放了特定的SSL端口,則SSL隧道建立成功���,否則�,SSL隧道建立失敗�����。在SSL隧道建立成功之后����,可以進(jìn)一步建立UDP隧道,具體的�����,可以先發(fā)送UDP連接建立請(qǐng)求以便探測(cè)終端到VPN網(wǎng)關(guān)間的路徑是否已通���,如果路徑已通��,則MS通過(guò)SSL隧道與VPN網(wǎng)關(guān)協(xié)商UDP隧道密鑰���,以便建立UDP隧道。本節(jié)所述的UDP隧道,包含UDP明文隧道�、UDP加密隧道和基于UDP的DTLS (DatagramTransport Layer Security)隧道?��?梢岳斫獾氖?如果需要通過(guò)應(yīng)用層代理服務(wù)器建立SSL隧道�,則要求通過(guò)HTTPS代理服務(wù)器建立SSL隧道�����。
[0088]3�、終端嘗試建立HTTP隧道:終端向VPN網(wǎng)關(guān)發(fā)送建立HTTP隧道的請(qǐng)求,并可以在請(qǐng)求消息中攜帶身份信息���,VPN網(wǎng)關(guān)可以通過(guò)與認(rèn)證服務(wù)器進(jìn)行信息交互來(lái)校驗(yàn)身份的合法性�����,向終端返回校驗(yàn)結(jié)果�����;如果終端身份合法且企業(yè)網(wǎng)絡(luò)防火墻開(kāi)放了 HTTP端口���,則HTTP隧道建立成功。在隧道建立成功之后�,再通過(guò)HTTP隧道與VPN網(wǎng)關(guān)協(xié)商SSL隧道密鑰,以便后續(xù)利用SSL隧道密鑰對(duì)HTTP隧道中傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)進(jìn)行加密�。可以理解的是����,如果需要通過(guò)應(yīng)用層代理服務(wù)器建立HTTP隧道,則要求通過(guò)HTTP代理服務(wù)器建立HTTP隧道�。
[0089]需要說(shuō)明的是,如果當(dāng)前需要進(jìn)行的業(yè)務(wù)的安全性較低但性能要求高�����,則可以選擇建立UDP隧道�����,如果當(dāng)前需要進(jìn)行的業(yè)務(wù)的安全性較高���,則可以選擇建立SSL隧道�。
[0090]可選的���,終端可以首先嘗試采用現(xiàn)有的方式直接與MS核心網(wǎng)中的內(nèi)網(wǎng)服務(wù)器建立業(yè)務(wù)連接���,由于MS業(yè)務(wù)要求在企業(yè)網(wǎng)絡(luò)和MS網(wǎng)絡(luò)中部署的防火墻上面開(kāi)放較多的UDP端口�����,如果防火墻的端口開(kāi)發(fā)不滿(mǎn)足MS業(yè)務(wù)的需求�����,則會(huì)導(dǎo)致終端直接和內(nèi)網(wǎng)服務(wù)器之間建立業(yè)務(wù)連接的嘗試失敗��,在建立業(yè)務(wù)連接失敗之后�,再采用本發(fā)明實(shí)施例提供的上述方式請(qǐng)求建立m)P VPN隧道��、SSL VPN隧道或者HTTP VPN隧道��;或者�����,也可以直接采用本發(fā)明實(shí)施例提供的上述方式請(qǐng)求建立UDP VPN隧道�、SSL VPN隧道或者HTTP VPN隧道。
[0091 ] 圖4示出了本發(fā)明實(shí)施例提供的通過(guò)VPN隧道進(jìn)行身份認(rèn)證的流程圖�,其中,通過(guò)VPN隧道進(jìn)行身份認(rèn)證的過(guò)程包括:
[0092]401�、終端通過(guò)VPN隧道向VPN網(wǎng)關(guān)發(fā)送終端標(biāo)識(shí)碼��。
[0093]402�、VPN網(wǎng)關(guān)通過(guò)本地或外部的簽約記錄和終端標(biāo)識(shí)碼��,確定是否允許該終端建立VPN隧道�,并向終端返回認(rèn)證結(jié)果�����,即標(biāo)識(shí)終端是否可以建立VPN隧道的結(jié)果�����。
[0094]403�、當(dāng)允許該終端建立VPN隧道時(shí),終端通過(guò)VPN隧道向VPN網(wǎng)關(guān)發(fā)送用戶(hù)身份信息�。
[0095]其中,用戶(hù)身份信息包括:用戶(hù)名和密碼���。
[0096]404���、VPN網(wǎng)關(guān)根據(jù)用戶(hù)身份信息,對(duì)用戶(hù)的身份進(jìn)行校驗(yàn)��,并返回校驗(yàn)結(jié)果。
[0097]具體的�����,可以根據(jù)本地存儲(chǔ)的簽約用戶(hù)信息或者外部服務(wù)器的簽約用戶(hù)信息�����,對(duì)用戶(hù)的身份進(jìn)行校驗(yàn)���。
[0098]其中�����,終端也通過(guò)VPN隧道發(fā)送消息請(qǐng)求VPN網(wǎng)關(guān)對(duì)組件調(diào)用者進(jìn)行認(rèn)證���,即請(qǐng)求VPN網(wǎng)關(guān)校驗(yàn)該終端是否可以使用通信能力組件,執(zhí)行通信能力組件的功能���,即該終端是否可以建立VPN和進(jìn)行數(shù)據(jù)匯聚���。
[0099]其中,圖4所示的各步驟的執(zhí)行主體為終端中的隧道傳輸模塊�。
[0100]圖5示出了本發(fā)明實(shí)施例提供的MS業(yè)務(wù)數(shù)據(jù)安全穿越流程圖���,該方法中終端主動(dòng)與MS核心網(wǎng)中的內(nèi)網(wǎng)服務(wù)器進(jìn)行通信,具體的����,IMS業(yè)務(wù)數(shù)據(jù)安全穿越過(guò)程包括:
[0101]501-502、終端將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源端口設(shè)置為終端的業(yè)務(wù)端口���、目的端口設(shè)置為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口�,得到第一業(yè)務(wù)報(bào)文����,對(duì)第一業(yè)務(wù)報(bào)文進(jìn)行加密,設(shè)置加密后的報(bào)文的源IP地址為終端的真實(shí)IP地址��、目的IP地址為VPN網(wǎng)關(guān)的IP地址���、源端口為終端的隧道端口�����,目的端口為VPN網(wǎng)關(guān)的隧道端口�,得到第一隧道報(bào)文,然后利用終端與VPN網(wǎng)關(guān)間的隧道向VPN網(wǎng)關(guān)發(fā)送第一隧道報(bào)文���。
[0102]如前所述�,終端中包括通信能力組件����,通信能力組件中包括三大模塊,數(shù)據(jù)匯聚模塊����,加解密模塊和隧道傳輸模塊,具體的���,數(shù)據(jù)匯聚模塊包括:第一數(shù)據(jù)匯聚模塊和第二數(shù)據(jù)匯聚模塊��,加解密模塊包括加密模塊和解密模塊���,隧道傳輸模塊包括:第一隧道傳輸模塊和第二隧道傳輸模塊。
[0103]終端獲得第一業(yè)務(wù)報(bào)文具體可以有兩種實(shí)現(xiàn)方式:第一種方式為:終端的業(yè)務(wù)模塊通過(guò)調(diào)用終端中的第一數(shù)據(jù)匯聚模塊提供的接口���,觸發(fā)所述第一數(shù)據(jù)匯聚模塊將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���,目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址�,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源端口設(shè)置為終端的業(yè)務(wù)端口�、目的端口設(shè)置為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口 ;第二種方式為:所述終端中的第一數(shù)據(jù)匯聚模塊在操作系統(tǒng)提供的通信接口捕獲所述待發(fā)送業(yè)務(wù)數(shù)據(jù)��,將所述待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址����,目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,源端口設(shè)置為終端的業(yè)務(wù)端口�����、目的端口設(shè)置為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口���。其中,操作系統(tǒng)提供的通信接口可以是虛擬網(wǎng)卡驅(qū)動(dòng)口或傳輸層驅(qū)動(dòng)接口(Transport DriverInterface,TDI)��。
[0104]然后終端中的加密模塊對(duì)第一業(yè)務(wù)報(bào)文進(jìn)行加密�����,終端中的第一隧道傳輸模塊設(shè)置加密后的報(bào)文的源IP地址為終端的真實(shí)IP地址,目的IP地址為VPN網(wǎng)關(guān)的IP地址�,源端口為終端的隧道端口,目的端口為VPN網(wǎng)關(guān)的隧道端口���,得到第一隧道報(bào)文���,然后利用終端與VPN網(wǎng)關(guān)間的隧道向VPN網(wǎng)關(guān)發(fā)送第一隧道報(bào)文。具體的��,如果采用的VPN隧道為HTTPVPN隧道����,則該步驟中終端中的加密模塊采用SSL隧道密鑰,對(duì)第一業(yè)務(wù)報(bào)文進(jìn)行加密���。
[0105]503-504�、VPN網(wǎng)關(guān)收到第一隧道報(bào)文后����,對(duì)第一隧道報(bào)文進(jìn)行解封裝、解密��,得到源地址為虛擬IP地址����、目的地址為內(nèi)網(wǎng)服務(wù)器的IP地址的第一業(yè)務(wù)報(bào)文�����,向內(nèi)網(wǎng)服務(wù)器發(fā)送第一業(yè)務(wù)報(bào)文�����。
[0106]其中����,如果采用HTTP隧道�,則該步驟中VPN網(wǎng)關(guān)采用SSL隧道密鑰對(duì)第一隧道報(bào)文進(jìn)行解密。
[0107]505�、內(nèi)網(wǎng)服務(wù)器收到第一業(yè)務(wù)報(bào)文后,如果需要向終端回復(fù)響應(yīng)報(bào)文����,則向VPN網(wǎng)關(guān)發(fā)送源地址為內(nèi)網(wǎng)服務(wù)器的IP地址����、目的地址為虛擬IP地址、源端口為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口���,目的端口為終端的業(yè)務(wù)端口的第二業(yè)務(wù)報(bào)文�����。
[0108]具體的�,內(nèi)網(wǎng)服務(wù)器廣播攜帶該虛擬IP地址的地址解析協(xié)議(Adress resolut1nprotocol, ARP)消息,以便查詢(xún)?cè)撎摂MIP地址屬于哪個(gè)VPN網(wǎng)關(guān)�����,曾分配過(guò)這個(gè)虛擬IP地址的VPN網(wǎng)關(guān)向內(nèi)網(wǎng)服務(wù)器發(fā)送ARP應(yīng)答消息����,在ARP應(yīng)答消息中攜帶該VPN網(wǎng)關(guān)的MAC地址,內(nèi)網(wǎng)服務(wù)器根據(jù)該MAC地址���,向VPN網(wǎng)關(guān)發(fā)送第二業(yè)務(wù)報(bào)文。
[0109]506_507�����、VPN網(wǎng)關(guān)對(duì)所接收的第二業(yè)務(wù)報(bào)文進(jìn)行加密�����、封裝成第二隧道報(bào)文,利用VPN網(wǎng)關(guān)與終端間的隧道向終端發(fā)送第二隧道報(bào)文�����。
[0110]其中�����,如果采用HTTP隧道���,則該步驟中VPN網(wǎng)關(guān)采用SSL隧道密鑰對(duì)第二業(yè)務(wù)報(bào)文進(jìn)行加密�����。
[0111]508��、終端接收到VPN網(wǎng)關(guān)發(fā)送的第二隧道報(bào)文之后�,對(duì)所接收的第二隧道報(bào)文進(jìn)行解封裝���、解密得到第二業(yè)務(wù)報(bào)文����,從第二業(yè)務(wù)報(bào)文中提取業(yè)務(wù)數(shù)據(jù)�。
[0112]具體的,終端中的第二隧道傳輸模塊接收到VPN網(wǎng)關(guān)發(fā)送的第二隧道報(bào)文�����,對(duì)第二隧道報(bào)文進(jìn)行解封裝�,去除第二隧道報(bào)文中的源IP地址(VPN網(wǎng)關(guān)的IP地址)和目的IP地址(終端的真實(shí)IP地址),源端口(VPN網(wǎng)關(guān)的隧道端口)�,目的端口(終端的隧道端口)。然后終端中的解密模塊對(duì)解封裝后的報(bào)文進(jìn)行解密得到第二業(yè)務(wù)報(bào)文�����,第二數(shù)據(jù)匯聚模塊去除解密后的第二業(yè)務(wù)報(bào)文的源IP地址(內(nèi)網(wǎng)服務(wù)器的IP地址)和目的IP地址(虛擬IP地址)���,源端口(內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口)���,目的端口(終端的業(yè)務(wù)端口 ),提取第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)��。
[0113]其中�,如果位于終端上層的業(yè)務(wù)模塊想獲取第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù),可以有如下兩種實(shí)現(xiàn)方式:第一種方式為:終端的業(yè)務(wù)模塊從終端中的第二數(shù)據(jù)匯聚模塊獲得第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)����;第二種方式為:終端的第二數(shù)據(jù)匯聚模塊將所提取的業(yè)務(wù)數(shù)據(jù)植入操作系統(tǒng)提供的通信接口����,終端中的業(yè)務(wù)模塊從所述操作系統(tǒng)提供的通信接口中獲取第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)����。
[0114]本發(fā)明實(shí)施例中業(yè)務(wù)數(shù)據(jù)的傳輸都是通過(guò)VPN隧道(比如前述UDP VPN隧道、SSLVPN隧道和HTTP VPN隧道)傳輸?shù)?�,這些隧道都能夠穿過(guò)具備N(xiāo)AT功能的路由器��、防火墻����、交換機(jī)等NAT設(shè)備,因此可以防止這些NAT設(shè)備對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行訪問(wèn)控制��、地址修改等操作���,這樣可以避免由于NAT設(shè)備的操作導(dǎo)致的終端與內(nèi)網(wǎng)服務(wù)器之間的通信失敗���。并且,UDP VPN隧道可以穿越SOCKS V5代理服務(wù)器��,SSL VPN隧道能夠穿越HTTPS代理服務(wù)器����,HTTP VPN隧道能夠穿越HTTP代理服務(wù)器,所以在終端與內(nèi)網(wǎng)服務(wù)器通信時(shí)��,可以防止相應(yīng)的應(yīng)用層代理服務(wù)器對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行訪問(wèn)控制�����、地址修改等操作����,這樣可以避免由于應(yīng)用層代理服務(wù)器操作導(dǎo)致的終端與內(nèi)網(wǎng)服務(wù)器之間的通信失敗。而且該實(shí)施例將虛擬IP地址作為終端與內(nèi)網(wǎng)服務(wù)器通信的地址�����,通過(guò)VPN網(wǎng)關(guān)與內(nèi)網(wǎng)服務(wù)器進(jìn)行通信�����,無(wú)需企業(yè)網(wǎng)絡(luò)做額外的路由轉(zhuǎn)換���,不需要改動(dòng)企業(yè)網(wǎng)絡(luò)�。
[0115]圖6示出了本發(fā)明實(shí)施例提供的MS業(yè)務(wù)數(shù)據(jù)安全穿越流程圖�����,該方法中MS核心網(wǎng)中的內(nèi)網(wǎng)服務(wù)器主動(dòng)與終端進(jìn)行通信,具體的����,IMS業(yè)務(wù)數(shù)據(jù)安全穿越過(guò)程包括:
[0116]601、內(nèi)網(wǎng)服務(wù)器向VPN網(wǎng)關(guān)發(fā)送源地址為內(nèi)網(wǎng)服務(wù)器的IP地址����、目的地址為虛擬IP地址、源端口為內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)端口���、目的地址為終端的業(yè)務(wù)端口的業(yè)務(wù)報(bào)文�。
[0117]具體的�����,內(nèi)網(wǎng)服務(wù)器需要向某個(gè)虛擬IP地址對(duì)應(yīng)的終端發(fā)送業(yè)務(wù)數(shù)據(jù)時(shí)��,該內(nèi)網(wǎng)服務(wù)器廣播攜帶該虛擬IP地址的ARP消息�����,以便查詢(xún)?cè)撎摂MIP地址屬于哪個(gè)VPN網(wǎng)關(guān),曾分配這個(gè)虛擬IP地址的VPN網(wǎng)關(guān)向內(nèi)網(wǎng)服務(wù)器發(fā)送ARP應(yīng)答消息�����,在ARP應(yīng)答消息中攜帶該VPN網(wǎng)關(guān)的IP地址�����,內(nèi)網(wǎng)服務(wù)器根據(jù)該IP地址��,向VPN網(wǎng)關(guān)發(fā)送源地址為內(nèi)網(wǎng)服務(wù)器的IP地址���、目的地址為虛擬IP地址的業(yè)務(wù)報(bào)文。
[0118]602_603���、VPN網(wǎng)關(guān)對(duì)所接收的業(yè)務(wù)報(bào)文進(jìn)行加密�、封裝后得到隧道報(bào)文����,利用已建立的隧道向終端發(fā)送隧道報(bào)文。
[0119]該步驟的具體實(shí)現(xiàn)方式參見(jiàn)上述步驟506-507的相應(yīng)描述�����,在此不再贅述。
[0120]604�����、終端接收到VPN網(wǎng)關(guān)發(fā)送的隧道報(bào)文后��,進(jìn)行解封裝����、解密,得到業(yè)務(wù)報(bào)文��,并獲取業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)�����。
[0121]該步驟的具體實(shí)現(xiàn)方式參見(jiàn)上述步驟508的相應(yīng)描述�,在此不再贅述.
[0122]本發(fā)明實(shí)施例中業(yè)務(wù)數(shù)據(jù)的傳輸都是通過(guò)VPN隧道(比如前述UDP VPN隧道、SSLVPN隧道和HTTP VPN隧道)傳輸?shù)?����,這些隧道都能夠穿過(guò)具備N(xiāo)AT功能的路由器����、防火墻����、交換機(jī)等NAT設(shè)備���,因此可以防止這些NAT設(shè)備對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行訪問(wèn)控制�、地址修改等操作�,這樣可以避免由于NAT設(shè)備的操作導(dǎo)致的終端與內(nèi)網(wǎng)服務(wù)器之間的通信失敗。并且���,UDP VPN隧道可以穿越SOCKS V5代理服務(wù)器,SSL VPN隧道能夠穿越HTTPS代理服務(wù)器��,HTTP VPN隧道能夠穿越HTTP代理服務(wù)器���,所以在終端與內(nèi)網(wǎng)服務(wù)器通信時(shí)�����,可以防止相應(yīng)的應(yīng)用層代理服務(wù)器對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行訪問(wèn)控制�����、地址修改等操作����,這樣可以避免由于應(yīng)用層代理服務(wù)器操作導(dǎo)致的終端與內(nèi)網(wǎng)服務(wù)器之間的通信失敗。而且該實(shí)施例將虛擬IP地址作為終端與內(nèi)網(wǎng)服務(wù)器通信的地址����,通過(guò)VPN網(wǎng)關(guān)與內(nèi)網(wǎng)服務(wù)器進(jìn)行通信,無(wú)需企業(yè)網(wǎng)絡(luò)做額外的路由轉(zhuǎn)換���,不需要改動(dòng)企業(yè)網(wǎng)絡(luò)���。
[0123]需要說(shuō)明的,在上述實(shí)施例建立UDP VPN隧道�����、SSL VPN隧道或者HTTP VPN隧道之后���,終端會(huì)定期向VPN網(wǎng)關(guān)發(fā)送?��;顖?bào)文,或按照設(shè)定的時(shí)間向VPN網(wǎng)關(guān)發(fā)送?��;顖?bào)文���,以便維持已建立的隧道�。
[0124]需要說(shuō)明的���,當(dāng)終端與VPN網(wǎng)關(guān)間存在兩個(gè)VPN隧道��,即UDP VPN隧道和SSL VPN隧道時(shí)��,可以通過(guò)UDP VPN隧道傳輸業(yè)務(wù)數(shù)據(jù)�,具體傳輸方式如上述實(shí)施例所述�,終端還可以通過(guò)SSL VPN隧道傳輸業(yè)務(wù)控制信息,具體的終端將待發(fā)送的第一業(yè)務(wù)控制信息進(jìn)行加密后��,設(shè)置加密后的控制信息的源IP地址為終端的真實(shí)IP地址���,目的IP地址為VPN網(wǎng)關(guān)的IP地址,然后向VPN網(wǎng)關(guān)發(fā)送�����;VPN網(wǎng)關(guān)收到后進(jìn)行解封裝�����,解密,得到第一控制信息����。同理,VPN網(wǎng)關(guān)可以利用SSL VPN隧道向終端發(fā)送第二控制信息����。這樣,可以實(shí)現(xiàn)通過(guò)安全性較低的m)P VPN隧道傳輸業(yè)務(wù)數(shù)據(jù)�����,通過(guò)安全性較高的SSL VPN隧道傳輸業(yè)務(wù)控制信息���。
[0125]參閱圖7��,本發(fā)明實(shí)施例提供一種終端����,其包括:
[0126]第一數(shù)據(jù)匯聚模塊701��,用于將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址�����、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址,得到第一業(yè)務(wù)報(bào)文�;其中,所述虛擬IP地址是多媒體子系統(tǒng)MS核心網(wǎng)為所述終端分配的地址�����;
[0127]第一隧道傳輸模塊702�����,用于將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文�����,其中所述第一隧道報(bào)文的源IP地址為終端的IP地址���、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址�����;利用所述終端與安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān)���,使所述安全隧道網(wǎng)關(guān)將第一隧道報(bào)文中的第一業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器�。
[0128]進(jìn)一步的,在本發(fā)明另一個(gè)實(shí)施例中�,為了接收內(nèi)網(wǎng)服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù),該終端還可以包括:
[0129]第二隧道傳輸模塊703����,用于當(dāng)終端需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí),通過(guò)所述隧道接收第二隧道報(bào)文���,對(duì)所述第二隧道報(bào)文進(jìn)行解封裝��;其中���,第二隧道報(bào)文的源IP地址為安全隧道網(wǎng)關(guān)的IP地址、目的IP地址為終端的IP地址�。
[0130]第二數(shù)據(jù)匯聚模塊704,用于從第二隧道傳輸模塊解封裝得到的第二業(yè)務(wù)報(bào)文中獲取業(yè)務(wù)數(shù)據(jù)���,其中���,所述第二業(yè)務(wù)報(bào)文的源地址為內(nèi)網(wǎng)服務(wù)器的地址、目的地址為虛擬IP地址�����。
[0131]進(jìn)一步的,在本發(fā)明另一個(gè)實(shí)施例中��,該終端還可以包括:
[0132]業(yè)務(wù)模塊705�,具體用于當(dāng)終端需要發(fā)送業(yè)務(wù)數(shù)據(jù)時(shí),通過(guò)調(diào)用第一數(shù)據(jù)匯聚模塊提供的接口����,觸發(fā)所述第一數(shù)據(jù)匯聚模塊將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址,目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址�;當(dāng)終端需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí),從第二數(shù)據(jù)匯聚模塊獲得第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)���。
[0133]具體的���,第一數(shù)據(jù)匯聚模塊701,用于當(dāng)終端需要發(fā)送業(yè)務(wù)數(shù)據(jù)時(shí)�����,在操作系統(tǒng)提供的通信接口捕獲所述待發(fā)送業(yè)務(wù)數(shù)據(jù)���,將所述待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址,目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址��;其中,待發(fā)送業(yè)務(wù)數(shù)據(jù)是由業(yè)務(wù)模塊705發(fā)送到操作系統(tǒng)提供的通信接口的�����。采用這種方式�����,使業(yè)務(wù)模塊與通信能力組件不需要緊密耦合����。
[0134]所述第二數(shù)據(jù)匯聚模塊704,用于當(dāng)終端需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí)�,提取第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù),將所提取的業(yè)務(wù)數(shù)據(jù)植入操作系統(tǒng)提供的通信接口�����,使終端中的業(yè)務(wù)模塊能夠從所述操作系統(tǒng)提供的通信接口中獲取所述第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)��。
[0135]在本發(fā)明另一個(gè)實(shí)施例中�����,為了保證VPN隧道上傳輸?shù)膱?bào)文的安全性,該終端還可以包括:
[0136]加密模塊706�����,用于在終端與安全隧道網(wǎng)關(guān)間的VPN隧道為HTTP VPN隧道時(shí)�����,利用SSL隧道密鑰對(duì)第一業(yè)務(wù)報(bào)文進(jìn)行加密�����;
[0137]解密模塊707�,用于在終端與安全隧道網(wǎng)關(guān)間的VPN隧道為HTTP VPN隧道時(shí),利用SSL隧道密鑰對(duì)第二隧道傳輸模塊解封裝得到的報(bào)文進(jìn)行解密���。
[0138]其中�����,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與安全隧道網(wǎng)關(guān)協(xié)商得到的��。此時(shí)��,第一隧道傳輸模塊701具體用于將加密模塊706加密后的第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文�����,利用所述終端與安全隧道網(wǎng)關(guān)間的VPN隧道���,將所述第一隧道報(bào)文發(fā)送給安全隧道網(wǎng)關(guān)。第二數(shù)據(jù)匯聚模塊704具體用于從解密模塊707解密得到的報(bào)文中獲取業(yè)務(wù)數(shù)據(jù)���。
[0139]當(dāng)終端與安全隧道網(wǎng)關(guān)間存在兩條VPN隧道�,比如UDP VPN隧道和SSLVPN隧道時(shí)���,在本發(fā)明又一個(gè)實(shí)施例中�,終端可以米用第一數(shù)據(jù)匯聚模塊701�����、第一隧道傳輸模塊702��、第二隧道傳輸模塊703和第二數(shù)據(jù)匯聚模塊704處理和傳輸業(yè)務(wù)數(shù)據(jù)���,此外���,還可以采用第三隧道傳輸模塊708和/或第四隧道傳輸模塊709處理和傳輸業(yè)務(wù)控制信息,其中:
[0140]第三隧道傳輸模塊708��,用于利用所述SSL VPN隧道向所述業(yè)務(wù)安全隧道網(wǎng)關(guān)發(fā)送第一業(yè)務(wù)控制信息���;和/或,
[0141]第四隧道傳輸模塊709�����,用于利用所述SSL VPN隧道接收所述業(yè)務(wù)安全隧道網(wǎng)關(guān)發(fā)送的第二業(yè)務(wù)控制信息�����。
[0142]為了建立上述兩條VPN隧道��,在本發(fā)明又一個(gè)實(shí)施例中��,還包括:
[0143]第一隧道建立單元710���,用于建立UDP VPN隧道����;
[0144]第二隧道建立單元711����,用于通過(guò)已建立的SSL隧道與所述安全隧道網(wǎng)關(guān)協(xié)商UDP隧道密鑰����,以便建立m)P隧道��。
[0145]本發(fā)明實(shí)施例中終端將MS核心網(wǎng)分配的虛擬IP地址作為終端與內(nèi)網(wǎng)服務(wù)器的通信地址���,將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址、目的地址設(shè)置為內(nèi)網(wǎng)服務(wù)器的地址��,并封裝成隧道報(bào)文后通過(guò)終端與安全隧道網(wǎng)關(guān)間的隧道傳輸?shù)桨踩淼谰W(wǎng)關(guān)�,使安全隧道網(wǎng)關(guān)能夠?qū)⒃吹刂窞樘摂MIP地址、目的地址為內(nèi)網(wǎng)服務(wù)器地址的業(yè)務(wù)報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器�;當(dāng)需要接收內(nèi)網(wǎng)服務(wù)器的業(yè)務(wù)數(shù)據(jù)時(shí),將接收的隧道報(bào)文進(jìn)行解封裝�����,得到源地址為內(nèi)網(wǎng)服務(wù)器的地址�、目的地址為虛擬IP地址的業(yè)務(wù)報(bào)文,這樣�����,就能夠?qū)崿F(xiàn)通過(guò)安全隧道網(wǎng)關(guān)傳輸內(nèi)網(wǎng)服務(wù)器與終端間的業(yè)務(wù)數(shù)據(jù)����,不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò)����,就可以使終端穿越私網(wǎng)����,與公網(wǎng)中的服務(wù)器進(jìn)行通信。
[0146]參閱圖8,本發(fā)明實(shí)施例提供一種安全隧道網(wǎng)關(guān),其包括:隧道傳輸模塊一 80,隧道傳輸模塊一 80包括:第一接收模塊801����,解封裝模塊802,和第一發(fā)送模塊803�,
[0147]第一接收模塊801,用于通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道接收第一隧道報(bào)文�;其中,所述第一隧道報(bào)文的源IP地址為終端的IP地址�����、目的IP地址為安全隧道網(wǎng)關(guān)的IP地址��;
[0148]解封裝模塊802��,用于對(duì)所述第一隧道報(bào)文進(jìn)行解封裝�����;
[0149]第一發(fā)送模塊803,用于將解封裝模塊解封裝后得到的第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送�����,其中��,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址、目的地址為內(nèi)網(wǎng)服務(wù)器地址����。
[0150]進(jìn)一步��,在本發(fā)明另一個(gè)實(shí)施例中���,為了向終端傳輸內(nèi)網(wǎng)服務(wù)器的發(fā)送的業(yè)務(wù)報(bào)文�����,還包括:隧道傳輸模塊一 90�����,其中����,隧道傳輸模塊一 90具體包括:
[0151]第二接收模塊804,用于接收內(nèi)網(wǎng)服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文����,所述第二業(yè)務(wù)報(bào)文的源地址為內(nèi)網(wǎng)服務(wù)器的地址、目的地址為虛擬IP地址�;
[0152]封裝模塊805,用于將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文�����,其中��,第二隧道報(bào)文的源IP地址為安全隧道網(wǎng)關(guān)的IP地址��、目的IP地址為終端的IP地址����;
[0153]第二發(fā)送單元806,用于通過(guò)安全隧道網(wǎng)關(guān)與終端間的隧道向所述終端發(fā)送第二隧道報(bào)文����。
[0154]在本發(fā)明另一個(gè)實(shí)施例中,為了保證VPN隧道上傳輸?shù)膱?bào)文的安全性,該終端還可以包括:
[0155]加密模塊807���,用于在所述終端與安全隧道網(wǎng)關(guān)間的VPN隧道為HTTP VPN隧道時(shí)��,利用SSL隧道密鑰對(duì)所述第二業(yè)務(wù)報(bào)文進(jìn)行加密�;
[0156]解密模塊808��,用于在所述終端與安全隧道網(wǎng)關(guān)間的VPN隧道為HTTP VPN隧道時(shí)���,利用SSL隧道密鑰對(duì)解封裝模塊解封裝所得到的報(bào)文進(jìn)行解密��,得到第一業(yè)務(wù)報(bào)文���。
[0157]其中,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與安全隧道網(wǎng)關(guān)協(xié)商得到的�����;封裝模塊805具體用于將加密后的第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文�����;第一發(fā)送模塊803具體用于將解密模塊808解密后得到的第一業(yè)務(wù)報(bào)文向內(nèi)網(wǎng)服務(wù)器發(fā)送�����。
[0158]當(dāng)終端與安全隧道網(wǎng)關(guān)間存在兩條VPN隧道���,比如UDP VPN隧道和SSL VPN隧道時(shí)��,終端可以利用m)P VPN隧道初始業(yè)務(wù)報(bào)文�����,利用SSL VPN隧道傳輸業(yè)務(wù)控制信息��,則在本發(fā)明又一個(gè)實(shí)施例中�,還包括:
[0159]第三發(fā)送模塊809�,還用于利用所述SSL VPN隧道向所述終端發(fā)送第二業(yè)務(wù)控制信息;和����,第四接收模塊810,還用于利用所述SSL VPN隧道接收所述終端發(fā)送的第一業(yè)務(wù)控制信息�����。
[0160]其中���,為了建立上述兩條隧道����,在本發(fā)明又一個(gè)實(shí)施例中,還包括:
[0161]第一隧道建立模塊811,用于與終端間建立SSL隧道�����;
[0162]第二隧道建立模塊812���,用于通過(guò)已建立的SSL隧道與所述終端協(xié)商UDP隧道密鑰�,以便建立m)P隧道����。
[0163]本發(fā)明實(shí)施例中的安全隧道網(wǎng)關(guān)作為中間設(shè)備,將來(lái)自終端的隧道報(bào)文解封裝后發(fā)送給內(nèi)網(wǎng)服務(wù)器���,將來(lái)自?xún)?nèi)網(wǎng)服務(wù)器的業(yè)務(wù)報(bào)文封裝成隧道報(bào)文后發(fā)送給終端���,以便終端與MS核心網(wǎng)中的服務(wù)器間傳輸業(yè)務(wù)數(shù)據(jù)��,這樣不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò)�����,就可以使終端穿越私網(wǎng),與公網(wǎng)中的服務(wù)器進(jìn)行通信了��。
[0164]參閱圖9����,本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)系統(tǒng),其主要包括上述實(shí)施例中的安全隧道網(wǎng)關(guān)901和內(nèi)網(wǎng)服務(wù)器902���,其中安全隧道網(wǎng)關(guān)的功能和結(jié)構(gòu)與上述實(shí)施例中的描述相似�����,在此不再贅述�。
[0165]本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)系統(tǒng)利用安全隧道網(wǎng)關(guān)作為中間設(shè)備����,將來(lái)自終端的隧道報(bào)文解封裝后發(fā)送給內(nèi)網(wǎng)服務(wù)器,將來(lái)自?xún)?nèi)網(wǎng)服務(wù)器的業(yè)務(wù)報(bào)文封裝成隧道報(bào)文后發(fā)送給終端�,以便終端與MS核心網(wǎng)中的服務(wù)器間傳輸業(yè)務(wù)數(shù)據(jù),這樣不需要改動(dòng)終端所在的企業(yè)網(wǎng)絡(luò)����,就可以使終端穿越私網(wǎng)�,與公網(wǎng)中的服務(wù)器進(jìn)行通信了�。
[0166]需要說(shuō)明的是,對(duì)于前述的各方法實(shí)施例����,為了簡(jiǎn)單描述,故將其都表述為一系列的動(dòng)作組合���,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉�����,本發(fā)明并不受所描述的動(dòng)作順序的限制�,因?yàn)橐罁?jù)本發(fā)明����,某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次��,本領(lǐng)域技術(shù)人員也應(yīng)該知悉���,說(shuō)明書(shū)中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例����,所涉及的動(dòng)作和模塊并不一定是本發(fā)明所必須的�。
[0167]在上述實(shí)施例中,對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重���,某個(gè)實(shí)施例中沒(méi)有詳述的部分����,可以參見(jiàn)其他實(shí)施例的相關(guān)描述����。
[0168]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程,是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成���,所述的程序可存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,該程序在執(zhí)行時(shí)�,可包括如上述各方法的實(shí)施例的流程。其中���,所述的存儲(chǔ)介質(zhì)可為磁碟����、光盤(pán)��、只讀存儲(chǔ)記憶體(Read-Only Memory, ROM)或隨機(jī)存儲(chǔ)記憶體(Random AccessMemory, RAM)等。
[0169]以上對(duì)本發(fā)明所提供的一種終端穿越私網(wǎng)與MS核心網(wǎng)中服務(wù)器通信的方法�����、裝置及網(wǎng)絡(luò)系統(tǒng)進(jìn)行了詳細(xì)介紹��,對(duì)于本領(lǐng)域的一般技術(shù)人員�����,依據(jù)本發(fā)明實(shí)施例的思想��,在【具體實(shí)施方式】及應(yīng)用范圍上均會(huì)有改變之處��,綜上所述���,本說(shuō)明書(shū)內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制�。
【權(quán)利要求】
1.一種終端與互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)MS核心網(wǎng)中的服務(wù)器通信的方法���,其特征在于����,包括: 終端將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址���、目的地址設(shè)置為MS核心網(wǎng)中的服務(wù)器的地址��,得到第一業(yè)務(wù)報(bào)文���,其中,所述虛擬IP地址是安全隧道網(wǎng)關(guān)為所述終端分配的地址�,所述安全隧道網(wǎng)關(guān)位于所述MS核心網(wǎng)的邊緣; 將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文��,其中所述第一隧道報(bào)文的源IP地址為所述終端的真實(shí)IP地址�、目的IP地址為所述安全隧道網(wǎng)關(guān)的IP地址; 利用所述終端與所述安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道��,向所述安全隧道網(wǎng)關(guān)發(fā)送所述第一隧道報(bào)文�����。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于�����, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為超文本傳輸協(xié)議HTTP隧道�����; 在將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文之前,該方法還包括: 利用安全套接層SSL隧道密鑰對(duì)所述第一業(yè)務(wù)報(bào)文進(jìn)行加密�;其中,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與所述安全隧道網(wǎng)關(guān)協(xié)商得到的��; 將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文具體為: 將加密后的報(bào)文封裝成所述第一隧道報(bào)文�。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于����,該方法還包括: 當(dāng)所述終端需要接收所述服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù)時(shí),所述終端通過(guò)所述隧道接收第二隧道報(bào)文����,其中,所述第二隧道報(bào)文的源IP地址為所述安全隧道網(wǎng)關(guān)的IP地址����、目的IP地址為所述終端的真實(shí)IP地址; 對(duì)所述第二隧道報(bào)文進(jìn)行解封裝得到第二業(yè)務(wù)報(bào)文����;其中,所述第二業(yè)務(wù)報(bào)文的源地址為所述服務(wù)器的地址、目的地址為所述虛擬IP地址�; 獲得所述第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于����, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP隧道�; 當(dāng)所述終端與所述安全隧道網(wǎng)關(guān)間還存在SSL隧道時(shí)��,該方法還包括: 所述終端利用所述SSL隧道向所述安全隧道網(wǎng)關(guān)發(fā)送第一業(yè)務(wù)控制信息�; 或者, 所述終端利用所述SSL隧道接收所述安全隧道網(wǎng)關(guān)發(fā)送的第二業(yè)務(wù)控制信息��。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于, 該方法還包括:所述終端與所述安全隧道網(wǎng)關(guān)間先建立所述SSL隧道��,通過(guò)已建立的所述SSL隧道與所述安全隧道網(wǎng)關(guān)協(xié)商UDP隧道密鑰����,以便建立所述UDP隧道。
6.根據(jù)權(quán)利要求4或5所述的方法,其特征在于�, 所述第一業(yè)務(wù)控制信息是請(qǐng)求分配虛擬IP地址的信息; 所述第二業(yè)務(wù)控制信息是所述安全隧道網(wǎng)關(guān)為所述終端分配的所述虛擬IP地址��。
7.根據(jù)權(quán)利要求4或5所述的方法��,其特征在于�����, 所述第一業(yè)務(wù)控制信息是釋放所述VPN隧道的指示信息���。
8.根據(jù)權(quán)利要求1所述的方法����,其特征在于����,所述向所述安全隧道網(wǎng)關(guān)發(fā)送所述第一隧道報(bào)文之前,還包括: 所述終端判斷是否配置了應(yīng)用層代理服務(wù)器相關(guān)信息�����,所述應(yīng)用層代理服務(wù)器相關(guān)信息包括應(yīng)用層代理服務(wù)器類(lèi)型���、IP地址和端口 �; 所述終端基于配置了應(yīng)用層代理服務(wù)器相關(guān)信息的判斷結(jié)果,向應(yīng)用層代理服務(wù)器發(fā)送建立代理連接請(qǐng)求消息����; 所述終端接收所述應(yīng)用層代理服務(wù)器返回的建立代理連接響應(yīng)消息; 所述終端通過(guò)所述應(yīng)用層代理服務(wù)器����,向所述安全隧道網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息; 接收所述安全隧道網(wǎng)關(guān)通過(guò)所述應(yīng)用層代理服務(wù)器返回的建立VPN隧道的響應(yīng)消息����。
9.根據(jù)權(quán)利要求8所述的方法���,其特征在于�����,還包括: 所述終端基于未配置應(yīng)用層代理服務(wù)器相關(guān)信息的判斷結(jié)果��,向所述安全隧道網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息����; 接收所述安全隧道網(wǎng)關(guān)返回的建立VPN隧道的響應(yīng)消息。
10.根據(jù)權(quán)利要求8或9所述的方法�����,其特征在于����,還包括: 所述終端接收到所述建立VPN隧道的響應(yīng)消息后,利用所述VPN隧道向所述安全隧道網(wǎng)關(guān)發(fā)送請(qǐng)求配置信息的報(bào)文�; 所述終端利用所述VPN隧道接收所述安全隧道網(wǎng)關(guān)返回的配置信息,所述配置信息包括所述服務(wù)器的地址和所述安全隧道網(wǎng)關(guān)為所述終端分配的虛擬IP地址���。
11.一種終端與互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)MS核心網(wǎng)中的服務(wù)器通信的方法��,其特征在于��,包括: 安全隧道網(wǎng)關(guān)通過(guò)所述安全隧道網(wǎng)關(guān)與終端間的虛擬專(zhuān)用網(wǎng)VPN隧道接收第一隧道報(bào)文���;其中,所述安全隧道網(wǎng)關(guān)位于MS核心網(wǎng)的邊緣����,所述第一隧道報(bào)文的源IP地址為所述終端的真實(shí)IP地址、目的IP地址為所述安全隧道網(wǎng)關(guān)的IP地址��; 對(duì)所述第一隧道報(bào)文進(jìn)行解封裝,得到第一業(yè)務(wù)報(bào)文����,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址、目的地址為所述MS核心網(wǎng)中的服務(wù)器地址���,所述虛擬IP地址是所述安全隧道網(wǎng)關(guān)為所述終端分配的地址���; 將所述第一業(yè)務(wù)報(bào)文向所述服務(wù)器發(fā)送。
12.根據(jù)權(quán)利要求11所述的方法����,其特征在于, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為超文本傳輸協(xié)議HTTP隧道����; 在對(duì)所述第一隧道報(bào)文進(jìn)行解封裝之后��,還包括: 利用安全套接層SSL隧道密鑰對(duì)解封裝后的報(bào)文進(jìn)行解密���,其中�,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與所述安全隧道網(wǎng)關(guān)協(xié)商得到的���; 所述第一業(yè)務(wù)報(bào)文為解密得到的報(bào)文���。
13.根據(jù)權(quán)利要求11所述的方法����,其特征在于�,還包括: 所述安全隧道網(wǎng)關(guān)接收所述服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文,所述第二業(yè)務(wù)報(bào)文的源地址為所述服務(wù)器的地址�����、目的地址為所述虛擬IP地址��; 將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文���,其中����,所述第二隧道報(bào)文的源IP地址為所述安全隧道網(wǎng)關(guān)的IP地址����、目的IP地址為所述終端的真實(shí)IP地址; 通過(guò)所述安全隧道網(wǎng)關(guān)與所述終端間的VPN隧道向所述終端發(fā)送所述第二隧道報(bào)文��。
14.根據(jù)權(quán)利要求11所述的方法,其特征在于����, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP隧道; 當(dāng)所述終端與所述安全隧道網(wǎng)關(guān)間還存在SSL隧道時(shí)�����,該方法還包括: 所述安全隧道網(wǎng)關(guān)利用所述SSL隧道向所述終端發(fā)送第二業(yè)務(wù)控制信息�; 或者, 所述安全隧道網(wǎng)關(guān)利用所述SSL隧道接收所述終端發(fā)送的第一業(yè)務(wù)控制信息����。
15.根據(jù)權(quán)利要求14所述的方法,其特征在于��,該方法還包括: 所述安全隧道網(wǎng)關(guān)與所述終端間先建立所述SSL隧道����,通過(guò)已建立的SSL隧道與所述終端協(xié)商Μ)Ρ隧道密鑰,以便建立所述UDP隧道�。
16.根據(jù)權(quán)利要求14或15所述的方法���,其特征在于�����, 所述第一業(yè)務(wù)控制信息是請(qǐng)求分配虛擬IP地址的信息�; 所述第二業(yè)務(wù)控制信息是所述安全隧道網(wǎng)關(guān)為所述終端分配的所述虛擬IP地址。
17.根據(jù)權(quán)利要求14或15所述的方法����,其特征在于, 所述第一業(yè)務(wù)控制信息是釋放所述VPN隧道的指示信息�����。
18.根據(jù)權(quán)利要求11所述的方法�,其特征在于,所述接收第一隧道報(bào)文之前�����,還包括: 所述安全隧道網(wǎng)關(guān)接收所述終端發(fā)送的建立VPN隧道的請(qǐng)求消息��; 所述安全隧道網(wǎng)關(guān)向所述終端發(fā)送建立VPN隧道的響應(yīng)消息�����; 所述安全隧道網(wǎng)關(guān)利用所述VPN隧道接收所述終端發(fā)送的請(qǐng)求配置信息的報(bào)文����;所述安全隧道網(wǎng)關(guān)利用所述VPN隧道向所述終端發(fā)送配置信息�����,所述配置信息包括所述服務(wù)器的地址和所述安全隧道網(wǎng)關(guān)為所述終端分配的虛擬IP地址�。
19.一種終端���,其特征在于��,包括:通信能力組件�����,所述通信能力組件包括: 第一數(shù)據(jù)匯聚模塊����,用于將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為虛擬IP地址�、目的地址設(shè)置為互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)MS核心網(wǎng)中的服務(wù)器的地址,得到第一業(yè)務(wù)報(bào)文����;其中,所述虛擬IP地址是安全隧道網(wǎng)關(guān)為所述終端分配的地址,所述安全隧道網(wǎng)關(guān)位于所述MS核心網(wǎng)的邊緣�����; 第一隧道傳輸模塊����,用于將所述第一業(yè)務(wù)報(bào)文封裝成第一隧道報(bào)文�����,其中所述第一隧道報(bào)文的源IP地址為所述終端的真實(shí)IP地址���、目的IP地址為所述安全隧道網(wǎng)關(guān)的IP地址�����;利用所述終端與所述安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道��,將所述第一隧道報(bào)文發(fā)送給所述安全隧道網(wǎng)關(guān)���。
20.根據(jù)權(quán)利要求19所述的終端,其特征在于: 所述第一數(shù)據(jù)匯聚模塊��,用于在操作系統(tǒng)提供的通信接口捕獲所述待發(fā)送業(yè)務(wù)數(shù)據(jù),將所述待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為所述虛擬IP地址�����,目的地址設(shè)置為所述服務(wù)器的地址��,得到所述第一業(yè)務(wù)報(bào)文�;或者 所述終端的業(yè)務(wù)模塊通過(guò)調(diào)用所述第一數(shù)據(jù)匯聚模塊提供的接口,觸發(fā)所述第一數(shù)據(jù)匯聚模塊將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為所述虛擬IP地址����,目的地址設(shè)置為所述服務(wù)器的地址。
21.根據(jù)權(quán)利要求19所述的終端���,其特征在于��, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為超文本傳輸協(xié)議HTTP隧道��; 還包括:加密模塊�,用于利用安全套接層SSL隧道密鑰對(duì)第一業(yè)務(wù)報(bào)文進(jìn)行加密�����;其中���,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與所述安全隧道網(wǎng)關(guān)協(xié)商得到的�����; 所述第一隧道傳輸模塊�����,用于將加密后的報(bào)文封裝成所述第一隧道報(bào)文����,利用所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道����,將所述第一隧道報(bào)文發(fā)送給所述安全隧道網(wǎng)關(guān)。
22.根據(jù)權(quán)利要求19所述的終端�,其特征在于,還包括: 第二隧道傳輸模塊�����,用于當(dāng)所述終端需要接收所述服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù)時(shí)�,通過(guò)所述VPN隧道接收第二隧道報(bào)文,對(duì)所述第二隧道報(bào)文進(jìn)行解封裝得到第二業(yè)務(wù)報(bào)文�����;其中,第二隧道報(bào)文的源IP地址為所述安全隧道網(wǎng)關(guān)的IP地址�、目的IP地址為所述終端的真實(shí)IP地址; 第二數(shù)據(jù)匯聚模塊�����,用于從所述第二業(yè)務(wù)報(bào)文中獲取業(yè)務(wù)數(shù)據(jù)�,其中,所述第二業(yè)務(wù)報(bào)文的源地址為所述服務(wù)器的地址���、目的地址為所述虛擬IP地址�。
23.根據(jù)權(quán)利要求22所述的終端�,其特征在于:當(dāng)所述終端需要接收所述服務(wù)器發(fā)送的業(yè)務(wù)數(shù)據(jù)時(shí), 所述第二數(shù)據(jù)匯聚模塊����,還用于將所獲取的業(yè)務(wù)數(shù)據(jù)植入操作系統(tǒng)提供的通信接口,使所述終端中的業(yè)務(wù)模塊能夠從所述操作系統(tǒng)提供的通信接口中獲取所述第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)���;或者 所述第二數(shù)據(jù)匯聚模塊���,還用于使所述業(yè)務(wù)模塊從所述第二數(shù)據(jù)匯聚模塊獲得所述第二業(yè)務(wù)報(bào)文中的業(yè)務(wù)數(shù)據(jù)��。
24.根據(jù)權(quán)利要求22所述的終端��,其特征在于���, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為HTTP隧道; 所述終端還包括:解密模塊����,用于利用SSL隧道密鑰對(duì)所述第二隧道傳輸模塊解封裝得到的報(bào)文進(jìn)行解密���;其中���,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)所述HTTP隧道與所述安全隧道網(wǎng)關(guān)協(xié)商得到的; 所述第二數(shù)據(jù)匯聚模塊�����,用于從所述解密模塊解密得到的報(bào)文中獲取所述業(yè)務(wù)數(shù)據(jù)��。
25.根據(jù)權(quán)利要求19所述的終端�,其特征在于, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP隧道��;當(dāng)所述終端與安全隧道網(wǎng)關(guān)間還存在SSL隧道時(shí),所述終端還包括: 第三隧道傳輸模塊���,用于利用所述SSL隧道向所述安全隧道網(wǎng)關(guān)發(fā)送第一業(yè)務(wù)控制信息����; 或者����, 第四隧道傳輸模塊,用于利用所述SSL隧道接收所述安全隧道網(wǎng)關(guān)發(fā)送的第二業(yè)務(wù)控制信息�。
26.根據(jù)權(quán)利要求25所述的終端,其特征在于��,還包括: 第一隧道建立單元���,用于建立所述SSL隧道�����; 第二隧道建立單元�,用于通過(guò)已建立的所述SSL隧道與所述安全隧道網(wǎng)關(guān)協(xié)商UDP隧道密鑰���,以便建立所述UDP隧道���。
27.根據(jù)權(quán)利要求25或26所述的終端��,其特征在于��, 所述第一業(yè)務(wù)控制信息是請(qǐng)求分配虛擬IP地址的信息�����; 所述第二業(yè)務(wù)控制信息是所述安全隧道網(wǎng)關(guān)為所述終端分配的所述虛擬IP地址�����。
28.根據(jù)權(quán)利要求25或26所述的終端���,其特征在于�����, 所述第一業(yè)務(wù)控制信息是釋放所述VPN隧道的指示信息�����。
29.根據(jù)權(quán)利要求19所述的終端����,其特征在于�,還包括: 業(yè)務(wù)模塊�,用于向所述安全隧道網(wǎng)關(guān)發(fā)送所述第一隧道報(bào)文之前,調(diào)用所述終端中的通信能力組件中的所述第一隧道傳輸模塊的接口���,觸發(fā)所述第一隧道傳輸模塊判斷是否配置了應(yīng)用層代理服務(wù)器相關(guān)信息���,所述應(yīng)用層代理服務(wù)器相關(guān)信息包括應(yīng)用層代理服務(wù)器類(lèi)型、IP地址和端口 �; 所述第一隧道傳輸模塊,還用于基于配置了應(yīng)用層代理服務(wù)器相關(guān)信息的判斷結(jié)果���,向應(yīng)用層代理服務(wù)器發(fā)送建立代理連接請(qǐng)求消息���; 第二隧道傳輸模塊,用于接收所述應(yīng)用層代理服務(wù)器返回的建立代理連接響應(yīng)消息����;所述第一隧道傳輸模塊,還用于通過(guò)所述應(yīng)用層代理服務(wù)器�,向所述安全隧道網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息; 所述第二隧道傳輸模塊,用于接收所述安全隧道網(wǎng)關(guān)通過(guò)所述應(yīng)用層代理服務(wù)器返回的建立VPN隧道的響應(yīng)消息�。
30.根據(jù)權(quán)利要求29所述的終端,其特征在于��, 所述第一隧道傳輸模塊�����,還用于基于未配置應(yīng)用層代理服務(wù)器相關(guān)信息的判斷結(jié)果����,向所述安全隧道網(wǎng)關(guān)發(fā)送建立VPN隧道的請(qǐng)求消息; 所述第二隧道傳輸模塊����,還用于接收所述安全隧道網(wǎng)關(guān)返回的建立VPN隧道的響應(yīng)消肩、O
31.根據(jù)權(quán)利要求29或30所述的終端����,其特征在于�����, 所述第一隧道傳輸模塊�,還用于在所述第二隧道傳輸模塊接收到所述建立VPN隧道的響應(yīng)消息后,利用所述VPN隧道向所述安全隧道網(wǎng)關(guān)發(fā)送請(qǐng)求配置信息的報(bào)文��; 所述第二隧道傳輸模塊,用于利用所述VPN隧道接收所述安全隧道網(wǎng)關(guān)返回的配置信息���,所述配置信息包括所述服務(wù)器的地址和所述安全隧道網(wǎng)關(guān)為所述終端分配的虛擬IP地址���。
32.根據(jù)權(quán)利要求19至31中任一所述的終端,其特征在于����, 所述終端穿越私網(wǎng)與所述服務(wù)器通信,所述私網(wǎng)是企業(yè)網(wǎng)絡(luò)��。
33.一種安全隧道網(wǎng)關(guān)���,其特征在于����,所述安全隧道網(wǎng)關(guān)位于互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)IMS核心網(wǎng)的邊緣,包括: 第一接收模塊��,用于通過(guò)所述安全隧道網(wǎng)關(guān)與終端間的虛擬專(zhuān)用網(wǎng)VPN隧道接收第一隧道報(bào)文�;其中,所述第一隧道報(bào)文的源IP地址為所述終端的真實(shí)IP地址�����、目的IP地址為所述安全隧道網(wǎng)關(guān)的IP地址; 解封裝模塊����,用于對(duì)所述第一隧道報(bào)文進(jìn)行解封裝; 第一發(fā)送模塊����,用于將解封裝模塊解封裝后得到的第一業(yè)務(wù)報(bào)文向所述MS核心網(wǎng)中的服務(wù)器發(fā)送,其中�����,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址����、目的地址為所述服務(wù)器地址,所述虛擬IP地址是所述安全隧道網(wǎng)關(guān)為所述終端分配的地址�。
34.根據(jù)權(quán)利要求33所述的安全隧道網(wǎng)關(guān),其特征在于��,還包括: 解密模塊���,用于利用安全套接層SSL隧道密鑰對(duì)所述解封裝模塊解封裝所得到的報(bào)文進(jìn)行解密,得到所述第一業(yè)務(wù)報(bào)文,其中�,所述SSL隧道密鑰是所述終端預(yù)先通過(guò)HTTP隧道與所述安全隧道網(wǎng)關(guān)協(xié)商得到的。
35.根據(jù)權(quán)利要求33所述的安全隧道網(wǎng)關(guān)���,其特征在于�����,還包括: 第二接收模塊���,用于接收所述服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文,所述第二業(yè)務(wù)報(bào)文的源地址為所述服務(wù)器的地址�、目的地址為所述虛擬IP地址; 封裝模塊��,用于將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文���,其中��,所述第二隧道報(bào)文的源IP地址為所述安全隧道網(wǎng)關(guān)的IP地址���、目的IP地址為所述終端的真實(shí)IP地址; 第二發(fā)送模塊�,用于通過(guò)所述安全隧道網(wǎng)關(guān)與所述終端間的所述VPN隧道向所述終端發(fā)送所述第二隧道報(bào)文�。
36.根據(jù)權(quán)利要求35所述的安全隧道網(wǎng)關(guān)�,其特征在于,還包括: 加密模塊�,用于利用SSL隧道密鑰對(duì)所述第二業(yè)務(wù)報(bào)文進(jìn)行加密; 所述封裝模塊�����,用于將加密后的報(bào)文封裝成所述第二隧道報(bào)文����。
37.根據(jù)權(quán)利要求33所述的安全隧道網(wǎng)關(guān),其特征在于��, 所述終端與所述安全隧道網(wǎng)關(guān)間的VPN隧道為用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP隧道���;當(dāng)所述終端與所述安全隧道網(wǎng)關(guān)間還存在SSL隧道時(shí)�,所述安全隧道網(wǎng)關(guān)還包括: 第三發(fā)送模塊��,還用于利用所述SSL隧道向所述終端發(fā)送第二業(yè)務(wù)控制信息����; 第四接收模塊,還用于利用所述SSL隧道接收所述終端發(fā)送的第一業(yè)務(wù)控制信息���。
38.根據(jù)權(quán)利要求37所述的安全隧道網(wǎng)關(guān)����,其特征在于�����,還包括: 第一隧道建立模塊��,用于與所述終端間建立所述SSL隧道�����; 第二隧道建立模塊���,用于通過(guò)已建立的所述SSL隧道與所述終端協(xié)商UDP隧道密鑰��,以便建立所述m)P隧道�����。
39.根據(jù)權(quán)利要求37或38所述的安全隧道網(wǎng)關(guān)����,其特征在于, 所述第一業(yè)務(wù)控制信息是請(qǐng)求分配虛擬IP地址的信息���; 所述第二業(yè)務(wù)控制信息是所述安全隧道網(wǎng)關(guān)為所述終端分配的所述虛擬IP地址���。
40.根據(jù)權(quán)利要求37或38所述的安全隧道網(wǎng)關(guān),其特征在于��, 所述第一業(yè)務(wù)控制信息是釋放所述VPN隧道的指示信息��。
41.根據(jù)權(quán)利要求33所述的安全隧道網(wǎng)關(guān)��,其特征在于���, 所述安全隧道網(wǎng)關(guān)�����,還用于在接收第一隧道報(bào)文之前接收所述終端發(fā)送的建立VPN隧道的請(qǐng)求消息��; 所述安全隧道網(wǎng)關(guān)����,還用于向所述終端發(fā)送建立VPN隧道的響應(yīng)消息����; 所述第一接收模塊����,還用于利用所述VPN隧道接收所述終端發(fā)送的請(qǐng)求配置信息的報(bào)文���; 所述第二發(fā)送模塊,還用于利用所述VPN隧道向所述終端發(fā)送配置信息��,所述配置信息包括所述服務(wù)器的地址和所述安全隧道網(wǎng)關(guān)為所述終端分配的虛擬IP地址���。
42.一種網(wǎng)絡(luò)系統(tǒng)�����,其特征在于����,包括:安全隧道網(wǎng)關(guān)和互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)MS核心網(wǎng)中的服務(wù)器�����,所述安全隧道網(wǎng)關(guān)位于所述IMS核心網(wǎng)的邊緣��; 所述安全隧道網(wǎng)關(guān),用于通過(guò)所述安全隧道網(wǎng)關(guān)與終端間的虛擬專(zhuān)用網(wǎng)VPN隧道接收第一隧道報(bào)文��;其中�,所述第一隧道報(bào)文的源IP地址為所述終端的真實(shí)IP地址、目的IP地址為所述安全隧道網(wǎng)關(guān)的IP地址���;對(duì)所述第一隧道報(bào)文進(jìn)行解封裝��,得到第一業(yè)務(wù)報(bào)文���,所述第一業(yè)務(wù)報(bào)文的源地址為虛擬IP地址、目的地址為所述服務(wù)器地址��,所述虛擬IP地址是所述安全隧道網(wǎng)關(guān)為所述終端分配的地址���;將所述第一業(yè)務(wù)報(bào)文向所述服務(wù)器發(fā)送���; 所述服務(wù)器,用于接收所述安全隧道網(wǎng)關(guān)發(fā)送的所述第一業(yè)務(wù)報(bào)文���。
43.根據(jù)權(quán)利要求42所述的網(wǎng)絡(luò)系統(tǒng)�,其特征在于, 所述安全隧道網(wǎng)關(guān)還用于接收所述服務(wù)器發(fā)送的第二業(yè)務(wù)報(bào)文���,所述第二業(yè)務(wù)報(bào)文的源地址為所述服務(wù)器的地址�、目的地址為所述虛擬IP地址�;將所述第二業(yè)務(wù)報(bào)文封裝成第二隧道報(bào)文,其中�,所述第二隧道報(bào)文的源IP地址為所述安全隧道網(wǎng)關(guān)的IP地址、目的IP地址為所述終端的真實(shí)IP地址���;通過(guò)所述安全隧道網(wǎng)關(guān)與所述終端間的所述VPN隧道向所述終端發(fā)送第二隧道報(bào)文�;+ 所述服務(wù)器還用于向所述安全隧道網(wǎng)關(guān)發(fā)送所述第二業(yè)務(wù)報(bào)文���。
44.根據(jù)權(quán)利要求42或43所述的網(wǎng)絡(luò)系統(tǒng),其特征在于�����,還包括所述終端��, 所述終端用于將待發(fā)送業(yè)務(wù)數(shù)據(jù)的源地址設(shè)置為所述虛擬IP地址���、目的地址設(shè)置為所述服務(wù)器的地址��,得到第一業(yè)務(wù)報(bào)文��;將所述第一業(yè)務(wù)報(bào)文封裝成所述第一隧道報(bào)文����;利用所述終端與所述安全隧道網(wǎng)關(guān)間的虛擬專(zhuān)用網(wǎng)VPN隧道,向所述安全隧道網(wǎng)關(guān)發(fā)送所述第一隧道報(bào)文���。
45.根據(jù)權(quán)利要求42至44中任一所述的網(wǎng)絡(luò)系統(tǒng)��,其特征在于��, 所述終端穿越私網(wǎng)與所述服務(wù)器通信�����,所述私網(wǎng)是企業(yè)網(wǎng)絡(luò)�。
【文檔編號(hào)】H04L29/06GK104168173SQ201410433365
【公開(kāi)日】2014年11月26日 申請(qǐng)日期:2010年8月20日 優(yōu)先權(quán)日:2010年8月20日
【發(fā)明者】陳愛(ài)平, 聶成蛟, 張戰(zhàn)兵 申請(qǐng)人:華為技術(shù)有限公司