[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN102377629B - 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 - Google Patents

终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 Download PDF

Info

Publication number
CN102377629B
CN102377629B CN201010264191.4A CN201010264191A CN102377629B CN 102377629 B CN102377629 B CN 102377629B CN 201010264191 A CN201010264191 A CN 201010264191A CN 102377629 B CN102377629 B CN 102377629B
Authority
CN
China
Prior art keywords
tunnel
address
terminal
message
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010264191.4A
Other languages
English (en)
Other versions
CN102377629A (zh
Inventor
陈爱平
聂成蛟
张战兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN201410433365.3A priority Critical patent/CN104168173B/zh
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201010264191.4A priority patent/CN102377629B/zh
Priority to PCT/CN2011/071659 priority patent/WO2012022145A1/zh
Priority to EP11817673.4A priority patent/EP2590368B1/en
Priority to ES11817673.4T priority patent/ES2596177T3/es
Priority to EP16156425.7A priority patent/EP3096497B1/en
Publication of CN102377629A publication Critical patent/CN102377629A/zh
Priority to US13/770,014 priority patent/US9172559B2/en
Application granted granted Critical
Publication of CN102377629B publication Critical patent/CN102377629B/zh
Priority to US14/827,644 priority patent/US9813380B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种终端穿越私网与IMS核心网中服务器通信的方法、装置及网络系统,其中,终端穿越私网与IMS核心网中服务器通信的方法包括:终端将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,得到第一业务报文,其中,虚拟IP地址是多媒体子系统IMS核心网为所述终端分配的地址;将第一业务报文封装成第一隧道报文,利用所述终端与安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给内网服务器。使用本发明实施例提供的技术方案,不需要改动企业网络,终端就可以穿越私网,与IMS核心网中的服务器进行通信。

Description

终端穿越私网与IMS核心网中服务器通信的方法、装置及网络系统
技术领域
本发明涉及通信技术领域,特别涉及一种终端穿越私网与IMS核心网中服务器通信的方法、装置及网络系统。
背景技术
互联网协议多媒体子系统(Internet Protocol Media Subsystem,IMS)是一个基于IP技术的、与接入无关的网络架构,它是能被移动网络与固定网络共用的融合核心网,即能够为使用2.5G、3G、WLAN和固定宽带等不同接入手段的用户提供融合的业务,被业界认为是下一代网络的基础。
终端要接入IMS核心网,需要穿越私网(比如终端所接入的企业网络),具体的,由于企业网络内部使用私网IP地址,企业网络边缘部署NAT设备,终端需要穿越NAT设备接入IMS核心网的服务器,或者,如果企业网络边缘部署应用层代理服务器,则终端需要穿越应用层代理服务器接入IMS核心网的服务器。
现有技术提供一种穿越私网的方法,具体的,在企业网络和IMS网络中分别部署IPSec VPN(互联网协议安全虚拟专用,Internet Protocol SecurityVPN)网关,以便通过所部属的IPSec VPN网关在企业网络和IMS网络间建立IPSec VPN隧道,并将企业网络中的终端的路由聚合到企业网络中的IPSecVPN网关,由其执行业务数据的封装/解封装等操作。具体的,当终端向IMS核心网发送业务数据时,修改终端所发送的业务数据的路由,将该业务数据先路由到企业网络中的IPSec VPN网关,IPSec VPN.网关对业务数据进行封装,然后通过IPSec VPN隧道传送到IMS核心网中的IPSec VPN网关,核心网中的IPSec VPN网关对业务数据进行解封装后发送给IMS核心网中的服务器。
现有技术需要在企业侧网络中部署IPSec VPN网关,并且需要修改终端的数据路由,对企业网络的改动很大。
发明内容
本发明实施例提供一种终端穿越私网与IMS核心网中服务器通信的方法、装置及网络系统,不需要改动企业网络,终端就可以穿越私网,与公网(即IMS核心网)中服务器进行通信。
有鉴于此,本发明实施例提供:
一种终端穿越私网与IMS核心网中服务器通信的方法,包括:
终端将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,得到第一业务报文,其中,所述虚拟IP地址是多媒体子系统IMS核心网为所述终端分配的地址;
将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;
利用所述终端与安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给内网服务器。
一种终端穿越私网与IMS核心网中服务器通信的方法,包括:
安全隧道网关通过安全隧道网关与终端间的隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;
对所述第一隧道报文进行解封装,得到第一业务报文,所述第一业务报文的源地址为虚拟IP地址、目的地址为内网服务器地址;
将所述第一业务报文向内网服务器发送。
一种终端,包括:通信能力组件,所述通信能力组件包括:
第一数据汇聚模块,用于将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,得到第一业务报文;其中,所述虚拟IP地址是多媒体子系统IMS核心网为所述终端分配的地址;
第一隧道传输模块,用于将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;利用所述终端与安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给内网服务器。
一种安全隧道网关,包括:
第一接收模块,用于通过安全隧道网关与终端间的隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;
解封装模块,用于对所述第一隧道报文进行解封装;
第一发送模块,用于将解封装模块解封装后得到的第一业务报文向内网服务器发送,其中,所述第一业务报文的源地址为虚拟IP地址、目的地址为内网服务器地址。
一种网络系统,包括:安全隧道网关和内网服务器,
安全隧道网关,用于通过安全隧道网关与终端间的隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;对所述第一隧道报文进行解封装,得到第一业务报文,所述第一业务报文的源地址为虚拟IP地址、目的地址为内网服务器地址;将所述第一业务报文向内网服务器发送;接收内网服务器发送的第二业务报文,所述第二业务报文的源地址为内网服务器的地址、目的地址为虚拟IP地址;将所述第二业务报文封装成第二隧道报文,其中,第二隧道报文的源IP地址为安全隧道网关的IP地址、目的IP地址为终端的IP地址;通过安全隧道网关与终端间的隧道向所述终端发送第二隧道报文;
内网服务器,用于接收安全隧道网关发送的第一业务报文,向安全隧道网关发送第二业务报文。
本发明实施例中终端将IMS核心网分配的虚拟IP地址作为终端与内网服务器的通信地址,将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,并封装成隧道报文后通过终端与安全隧道网关间的隧道传输到安全隧道网关,使安全隧道网关能够将源地址为虚拟IP地址、目的地址为内网服务器地址的业务报文发送给内网服务器,这样,就能够实现通过安全隧道网关传输内网服务器与终端间的业务数据,不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信。
本发明实施例中的安全隧道网关作为中间设备,将来自终端的隧道报文解封装后发送给内网服务器,以便终端与IMS核心网中的服务器间传输业务数据,这样不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信了。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是本发明实施例提供的一种终端穿越私网与IMS核心网中服务器通信的方法流程图;
图1B为本发明实施例提供的又一种终端穿越私网与IMS核心网中服务器通信的方法流程图;
图2A是本发明实施例提供的另一种终端穿越私网与IMS核心网中服务器通信的方法流程图;
图2B是本发明实施例提供的再一种终端穿越私网与IMS核心网中服务器通信的方法流程图;
图3为本发明实施例提供的VPN隧道建立流程图;
图4为本发明实施例提供的终端身份认证流程图;
图5为本发明实施例提供的一种IMS业务数据安全穿越流程图;
图6为本发明实施例提供的另一种IMS业务数据安全穿越流程图;
图7为本发明实施例提供的终端结构图;
图8为本发明实施例提供的安全隧道网关结构图;
图9为本发明实施例提供的网络系统结构图。
具体实施方式
参阅图1A,本发明实施例提供一种终端穿越私网与IMS核心网中服务器通信的方法,该方法从终端侧描述本发明实施例提供的技术方案,该方法包括:
101、终端将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,得到第一业务报文,其中,所述虚拟IP地址是多媒体子系统IMS核心网为所述终端分配的地址。
其中,终端具体获得第一业务报文的过程包括:将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,将待发送业务数据的源端口设置为终端的业务端口,将待发送数据的目的端口设置为内网服务器的业务端口。
本发明实施例及后续各实施例可适用于如下环境,终端位于私网中,比如企业网络中,终端想与IMS核心网中的服务器进行通信,则终端需要穿越私网与IMS核心网中的内网服务器进行通信。
其中,所述虚拟IP地址是由安全隧道网关(Security Tunnel Gateway STG)分配的,该安全隧道网关位于IMS核心网的边缘。所述安全隧道网关(SecurityTunnel Gateway STG)可以是后续各实施例中描述的VPN网关。终端与安全隧道网关间的隧道可以是用户数据报协议(User Datagram Protocol,UDP)VPN隧道,安全套接层(Security Socket Layer,SSL)VPN隧道或者超文本传输协议(Hyper Text Transfer Protocol,HTTP)VPN隧道。
102、将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址。
其中,具体的封装第一隧道报文的过程包括:设置第一业务报文的源IP地址为终端的IP地址,这个IP地址为终端真实的IP地址,设置第一业务报文的目的IP地址为安全隧道网关的IP地址,设置第一业务报文的源端口为终端的隧道端口,设置第一业务报文的目的端口为安全隧道网关的隧道端口。
103、利用所述终端与安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给内网服务器。
图1B为本发明实施例提供的又一种终端穿越私网与IMS核心网中服务器通信的方法流程图,图1B所述实施例描述了当终端需要接收内网服务器的业务数据时,穿越私网接收IMS核心网中服务器发送的业务数据的方法,如图1B所示,该方法包括:
104、终端通过所述隧道接收第二隧道报文,其中,第二隧道报文的源IP地址为安全隧道网关的IP地址、目的IP地址为终端的IP地址;
105、对所述第二隧道报文进行解封装得到第二业务报文;其中,所述第二业务报文的源地址为内网服务器的地址、目的地址为虚拟IP地址;
106、获得所述第二业务报文中的业务数据。
实际应用中,图1A与图1B所示的实施例终端穿越私网与IMS核心网中服务器通信的方法可以结合使用。图1A所示的实施例描述了终端穿越私网向IMS核心网中的服务器发送业务数据的过程,图1B所示的实施例描述了终端穿越私网接收IMS核心网中的服务器发送的业务数据的过程。
当终端与安全隧道网关间的VPN隧道同时存在UDP VPN隧道和SSLVPN隧道时,则通过UDP VPN隧道传输业务数据,通过SSL VPN隧道传输业务控制信息,具体的,该方法还包括:终端利用所述SSL VPN隧道向所述安全隧道网关发送第一业务控制信息,比如,向安全网关发送请求分配虚拟IP地址的信息,或者,当终端需要释放VPN隧道时,可以通过SSL VPN隧道向安全隧道网关发送释放VPN隧道的指示信息;或者,所述终端利用所述SSLVPN隧道接收所述安全隧道网关发送的第二业务控制信息。比如,在安全隧道网关为终端分配虚拟IP地址后,终端通过SSL VPN隧道接收安全隧道网关分配的虚拟IP地址。
本发明实施例中终端将IMS核心网分配的虚拟IP地址作为终端与内网服务器的通信地址,将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,并封装成隧道报文后通过终端与安全隧道网关间的隧道传输到安全隧道网关,使安全隧道网关能够将源地址为虚拟IP地址、目的地址为内网服务器地址的业务报文发送给内网服务器;当需要接收内网服务器的业务数据时,将接收的隧道报文进行解封装,得到源地址为内网服务器的地址、目的地址为虚拟IP地址的业务报文,这样,就能够实现通过安全隧道网关传输内网服务器与终端间的业务数据,不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信。
参阅图2A,本发明实施例提供一种终端穿越私网与IMS核心网中服务器通信的方法,该方法从安全隧道网关侧描述本发明实施例提供的技术方案,描述包括:
201、安全隧道网关通过安全隧道网关与终端间的隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址。
其中,所述虚拟IP地址是由安全隧道网关分配的,安全隧道网关与终端间的隧道可以是用户数据报协议(User Datagram Protocol,UDP)隧道,安全套接层(Security Socket Layer,SSL)隧道或者超文本传输协议(Hyper TextTransfer Protocol,HTTP)隧道。
202、安全隧道网关对所述第一隧道报文进行解封装,得到第一业务报文,所述第一业务报文的源地址为虚拟IP地址、目的地址为内网服务器地址。
203、安全隧道网关将所述第一业务报文向内网服务器发送。
图2B是本发明实施例提供的再一种终端穿越私网与IMS核心网中服务器通信的方法流程图,图2B所述的实施例从安全隧道网关侧描述了将内网服务器发送的业务报文通过VPN隧道传输给终端的方法,如图2B所示,该方法包括:
204、安全隧道网关接收内网服务器发送的第二业务报文,所述第二业务报文的源地址为内网服务器的地址、目的地址为虚拟IP地址;
205、将所述第二业务报文封装成第二隧道报文,其中,第二隧道报文的源IP地址为安全隧道网关的IP地址、目的IP地址为终端的IP地址;
206、通过安全隧道网关与终端间的隧道向所述终端发送第二隧道报文。
图2A与图2B所示的实施例均从安全隧道网关侧描述了终端穿越私网与IMS核心网中服务器通信的方法,图2A所示的实施例从安全隧道网关侧描述了将终端通过VPN隧道发送的业务报文传输给IMS核心网中的服务器的过程,图2B所示的实施例从安全隧道网关侧描述了将IMS核心网中的服务器发送的业务报文通过VPN隧道传输给终端的过程,实际应用中,图2A与图2B所示的实施例所述方法可以结合使用。
当终端与安全隧道网关间的VPN隧道同时存在UDP VPN隧道和SSLVPN隧道时,则通过UDP VPN隧道传输业务数据,通过SSL VPN隧道传输业务控制信息,具体的,该方法还包括:安全隧道网关利用所述SSL VPN隧道向所述终端发送第二业务控制信息;比如,在安全隧道网关为终端分配虚拟IP地址后,安全隧道网关通过SSL VPN隧道向终端发送虚拟IP地址。或者,安全隧道网关利用所述SSL VPN隧道接收终端发送的第一业务控制信息,比如,当终端需要释放VPN隧道时,可以通过SSL VPN隧道向安全隧道网关发送释放VPN隧道的指示信息。
本发明实施例中的安全隧道网关作为中间设备,将来自终端的隧道报文解封装后发送给内网服务器,将来自内网服务器的业务报文封装成隧道报文后发送给终端,以便终端与IMS核心网中的服务器间传输业务数据,这样不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信了。
如下对本发明实施例提供的技术方案进行详细介绍:
图3示出了本发明实施例提供的VPN隧道建立流程图,VPN隧道建立过程具体包括:
301、终端判断是否配置了应用层代理服务器相关信息,如果是,则向应用层代理服务器发送建立代理连接请求消息,如果否,则执行303。
具体的,终端的业务模块调用终端中通信能力组件中的隧道传输模块的接口,触发隧道传输模块判断是否配置了应用层代理服务器相关信息,并在判断结果为是时发送建立代理连接请求消息,在判断结果为否时直接向VPN安全隧道网关发送建立VPN隧道的请求。本发明各实施例中的通信能力组件包括三个模块,隧道传输模块、加解密模块和数据汇聚模块。该步骤具体是由隧道传输模块执行的。
其中,应用层代理服务器相关信息包括应用层代理服务器类型、IP地址和端口;应用层代理服务器类型包括HTTP代理服务器、HTTPS代理服务器、SOCKS代理服务器等。在该步骤之前,是由用户根据企业网络到VPN网关(即安全隧道网关)之间的网络情况决定是否需要经过应用层代理服务器,如果需要经过应用层代理服务器连接到VPN网关,则需要在终端上配置应用层代理服务器的类型、IP地址、端口。
302、应用层代理服务器向终端返回建立代理连接响应消息。
该步骤具体可以是应用层代理服务器向终端中的隧道传输模块返回建立代理连接响应消息。
终端与不同类型的应用层代理服务器之间建立代理连接的过程不一样,并且需要进行交互的次数也可能会不同,但是建立代理连接时对NAT设备没有任何特殊要求,因此建立代理连接请求消息和响应消息可以穿越所有正常的NAT设备。
303、终端向VPN网关发送建立VPN隧道的请求消息。
具体的,终端中的隧道传输模块向VPN网关发送建立VPN隧道的请求消息。
304、VPN网关向终端返回建立VPN隧道的响应消息。
该实施例中的VPN隧道可以包括SSL VPN、HTTP VPN、UDP VPN三种隧道类型。具体的,VPN网关向终端中的隧道传输模块返回建立VPN隧道的响应消息。
当终端需要通过应用层代理服务器连接到VPN网关时,则步骤303需要通过应用层代理服务器向VPN网关发送建立VPN隧道的请求消息,相应的,在步骤304中VPN网关通过应用层代理服务器向终端发送建立VPN隧道的响应消息。
305、VPN隧道建立成功后,终端利用VPN隧道向VPN网关发起请求配置信息的报文。
具体的,终端中的隧道传输模块向VPN网关发起请求配置信息的报文。
306、VPN网关利用VPN隧道向终端返回配置信息。
其中,配置信息包括:内网服务器的IP地址/掩码、VPN网关分配给终端的虚拟IP地址/掩码。内网服务器的IP地址可以是某些具体的IP地址,也可以是多个IP地址段,此时该内网服务器在多个网段内。
具体的,VPN网关向终端中的隧道传输模块返回配置信息,隧道传输模块解析配置信息,并将配置信息发送给数据汇聚模块,数据汇聚模块根据配置信息配置终端地址为虚拟IP地址/掩码,并配置与终端通信的内网服务器的地址/掩码,然后通知隧道传输模块设置完成;隧道传输模块向终端中的业务模块发送指示隧道建立完成的指示信息。
步骤303-304可以具体采用如下方式实现:
1、终端首先尝试建立UDP隧道:终端向VPN网关发送建立UDP隧道的请求,并可以在请求消息中携带身份信息,VPN网关可以通过与认证服务器进行信息交互来校验身份的合法性,向终端返回校验结果;如果终端身份合法且企业网络防火墙开放了特定的UDP端口,则UDP隧道建立成功,否则,UDP隧道建立失败。本节所述的UDP隧道,包含UDP明文隧道、UDP加密隧道和基于UDP的DTLS(Datagram Transport Layer Security)隧道。可以理解的是,在SOCKS V5代理服务器、HTTP代理服务器、HTTPS代理服务器同时存在时,如果需要通过应用层代理服务器建立UDP隧道,要求经过SOCK5 VS代理服务器建立UDP隧道,相对于其他HTTP隧道、SSL隧道来说,UDP隧道能提高语音质量。
2、终端尝试建立SSL隧道:终端向VPN网关发送建立SSL隧道的请求,并可以在请求消息中携带身份信息,VPNVPN网关可以通过与认证服务器进行信息交互来校验身份的合法性,向终端返回校验结果;如果终端身份合法且企业网络防火墙开放了特定的SSL端口,则SSL隧道建立成功,否则,SSL隧道建立失败。在SSL隧道建立成功之后,可以进一步建立UDP隧道,具体的,可以先发送UDP连接建立请求以便探测终端到VPN网关间的路径是否已通,如果路径已通,则IMS通过SSL隧道与VPN网关协商UDP隧道密钥,以便建立UDP隧道。本节所述的UDP隧道,包含UDP明文隧道、UDP加密隧道和基于UDP的DTLS(Datagram Transport Layer Security)隧道。可以理解的是,如果需要通过应用层代理服务器建立SSL隧道,则要求通过HTTPS代理服务器建立SSL隧道。
3、终端尝试建立HTTP隧道:终端向VPN网关发送建立HTTP隧道的请求,并可以在请求消息中携带身份信息,VPN网关可以通过与认证服务器进行信息交互来校验身份的合法性,向终端返回校验结果;如果终端身份合法且企业网络防火墙开放了HTTP端口,则HTTP隧道建立成功。在隧道建立成功之后,再通过HTTP隧道与VPN网关协商SSL隧道密钥,以便后续利用SSL隧道密钥对HTTP隧道中传输的业务数据进行加密。可以理解的是,如果需要通过应用层代理服务器建立HTTP隧道,则要求通过HTTP代理服务器建立HTTP隧道。
需要说明的是,如果当前需要进行的业务的安全性较低但性能要求高,则可以选择建立UDP隧道,如果当前需要进行的业务的安全性较高,则可以选择建立SSL隧道。
可选的,终端可以首先尝试采用现有的方式直接与IMS核心网中的内网服务器建立业务连接,由于IMS业务要求在企业网络和IMS网络中部署的防火墙上面开放较多的UDP端口,如果防火墙的端口开发不满足IMS业务的需求,则会导致终端直接和内网服务器之间建立业务连接的尝试失败,在建立业务连接失败之后,再采用本发明实施例提供的上述方式请求建立UDPVPN隧道、SSL VPN隧道或者HTTP VPN隧道;或者,也可以直接采用本发明实施例提供的上述方式请求建立UDP VPN隧道、SSL VPN隧道或者HTTP VPN隧道。
图4示出了本发明实施例提供的通过VPN隧道进行身份认证的流程图,其中,通过VPN隧道进行身份认证的过程包括:
401、终端通过VPN隧道向VPN网关发送终端标识码。
402、VPN网关通过本地或外部的签约记录和终端标识码,确定是否允许该终端建立VPN隧道,并向终端返回认证结果,即标识终端是否可以建立VPN隧道的结果。
403、当允许该终端建立VPN隧道时,终端通过VPN隧道向VPN网关发送用户身份信息。
其中,用户身份信息包括:用户名和密码。
404、VPN网关根据用户身份信息,对用户的身份进行校验,并返回校验结果。
具体的,可以根据本地存储的签约用户信息或者外部服务器的签约用户信息,对用户的身份进行校验。
其中,终端也通过VPN隧道发送消息请求VPN网关对组件调用者进行认证,即请求VPN网关校验该终端是否可以使用通信能力组件,执行通信能力组件的功能,即该终端是否可以建立VPN和进行数据汇聚。
其中,图4所示的各步骤的执行主体为终端中的隧道传输模块。
图5示出了本发明实施例提供的IMS业务数据安全穿越流程图,该方法中终端主动与IMS核心网中的内网服务器进行通信,具体的,IMS业务数据安全穿越过程包括:
501-502、终端将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,将待发送业务数据的源端口设置为终端的业务端口、目的端口设置为内网服务器的业务端口,得到第一业务报文,对第一业务报文进行加密,设置加密后的报文的源IP地址为终端的真实IP地址、目的IP地址为VPN网关的IP地址、源端口为终端的隧道端口,目的端口为VPN网关的隧道端口,得到第一隧道报文,然后利用终端与VPN网关间的隧道向VPN网关发送第一隧道报文。
如前所述,终端中包括通信能力组件,通信能力组件中包括三大模块,数据汇聚模块,加解密模块和隧道传输模块,具体的,数据汇聚模块包括:第一数据汇聚模块和第二数据汇聚模块,加解密模块包括加密模块和解密模块,隧道传输模块包括:第一隧道传输模块和第二隧道传输模块。
终端获得第一业务报文具体可以有两种实现方式:第一种方式为:终端的业务模块通过调用终端中的第一数据汇聚模块提供的接口,触发所述第一数据汇聚模块将待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为内网服务器的地址,将待发送业务数据的源端口设置为终端的业务端口、目的端口设置为内网服务器的业务端口;第二种方式为:所述终端中的第一数据汇聚模块在操作系统提供的通信接口捕获所述待发送业务数据,将所述待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为内网服务器的地址,源端口设置为终端的业务端口、目的端口设置为内网服务器的业务端口。其中,操作系统提供的通信接口可以是虚拟网卡驱动口或传输层驱动接口(Transport Driver Interface,TDI)。
然后终端中的加密模块对第一业务报文进行加密,终端中的第一隧道传输模块设置加密后的报文的源IP地址为终端的真实IP地址,目的IP地址为VPN网关的IP地址,源端口为终端的隧道端口,目的端口为VPN网关的隧道端口,得到第一隧道报文,然后利用终端与VPN网关间的隧道向VPN网关发送第一隧道报文。具体的,如果采用的VPN隧道为HTTP VPN隧道,则该步骤中终端中的加密模块采用SSL隧道密钥,对第一业务报文进行加密。
503-504、VPN网关收到第一隧道报文后,对第一隧道报文进行解封装、解密,得到源地址为虚拟IP地址、目的地址为内网服务器的IP地址的第一业务报文,向内网服务器发送第一业务报文。
其中,如果采用HTTP隧道,则该步骤中VPN网关采用SSL隧道密钥对第一隧道报文进行解密。
505、内网服务器收到第一业务报文后,如果需要向终端回复响应报文,则向VPN网关发送源地址为内网服务器的IP地址、目的地址为虚拟IP地址、源端口为内网服务器的业务端口,目的端口为终端的业务端口的第二业务报文。
具体的,内网服务器广播携带该虚拟IP地址的地址解析协议(Adressresolution protocol,ARP)消息,以便查询该虚拟IP地址属于哪个VPN网关,曾分配过这个虚拟IP地址的VPN网关向内网服务器发送ARP应答消息,在ARP应答消息中携带该VPN网关的MAC地址,内网服务器根据该MAC地址,向VPN网关发送第二业务报文。
506-507、VPN网关对所接收的第二业务报文进行加密、封装成第二隧道报文,利用VPN网关与终端间的隧道向终端发送第二隧道报文。
其中,如果采用HTTP隧道,则该步骤中VPN网关采用SSL隧道密钥对第二业务报文进行加密。
508、终端接收到VPN网关发送的第二隧道报文之后,对所接收的第二隧道报文进行解封装、解密得到第二业务报文,从第二业务报文中提取业务数据。
具体的,终端中的第二隧道传输模块接收到VPN网关发送的第二隧道报文,对第二隧道报文进行解封装,去除第二隧道报文中的源IP地址(VPN网关的IP地址)和目的IP地址(终端的真实IP地址),源端口(VPN网关的隧道端口),目的端口(终端的隧道端口)。然后终端中的解密模块对解封装后的报文进行解密得到第二业务报文,第二数据汇聚模块去除解密后的第二业务报文的源IP地址(内网服务器的IP地址)和目的IP地址(虚拟IP地址),源端口(内网服务器的业务端口),目的端口(终端的业务端口),提取第二业务报文中的业务数据。
其中,如果位于终端上层的业务模块想获取第二业务报文中的业务数据,可以有如下两种实现方式:第一种方式为:终端的业务模块从终端中的第二数据汇聚模块获得第二业务报文中的业务数据;第二种方式为:终端的第二数据汇聚模块将所提取的业务数据植入操作系统提供的通信接口,终端中的业务模块从所述操作系统提供的通信接口中获取第二业务报文中的业务数据。
本发明实施例中业务数据的传输都是通过VPN隧道(比如前述UDPVPN隧道、SSL VPN隧道和HTTP VPN隧道)传输的,这些隧道都能够穿过具备NAT功能的路由器、防火墙、交换机等NAT设备,因此可以防止这些NAT设备对业务数据进行访问控制、地址修改等操作,这样可以避免由于NAT设备的操作导致的终端与内网服务器之间的通信失败。并且,UDP VPN隧道可以穿越SOCKS V5代理服务器,SSL VPN隧道能够穿越HTTPS代理服务器,HTTP VPN隧道能够穿越HTTP代理服务器,所以在终端与内网服务器通信时,可以防止相应的应用层代理服务器对业务数据进行访问控制、地址修改等操作,这样可以避免由于应用层代理服务器操作导致的终端与内网服务器之间的通信失败。而且该实施例将虚拟IP地址作为终端与内网服务器通信的地址,通过VPN网关与内网服务器进行通信,无需企业网络做额外的路由转换,不需要改动企业网络。
图6示出了本发明实施例提供的IMS业务数据安全穿越流程图,该方法中IMS核心网中的内网服务器主动与终端进行通信,具体的,IMS业务数据安全穿越过程包括:
601、内网服务器向VPN网关发送源地址为内网服务器的IP地址、目的地址为虚拟IP地址、源端口为内网服务器的业务端口、目的地址为终端的业务端口的业务报文。
具体的,内网服务器需要向某个虚拟IP地址对应的终端发送业务数据时,该内网服务器广播携带该虚拟IP地址的ARP消息,以便查询该虚拟IP地址属于哪个VPN网关,曾分配这个虚拟IP地址的VPN网关向内网服务器发送ARP应答消息,在ARP应答消息中携带该VPN网关的IP地址,内网服务器根据该IP地址,向VPN网关发送源地址为内网服务器的IP地址、目的地址为虚拟IP地址的业务报文。
602-603、VPN网关对所接收的业务报文进行加密、封装后得到隧道报文,利用已建立的隧道向终端发送隧道报文。
该步骤的具体实现方式参见上述步骤506-507的相应描述,在此不再赘述。
604、终端接收到VPN网关发送的隧道报文后,进行解封装、解密,得到业务报文,并获取业务报文中的业务数据。
该步骤的具体实现方式参见上述步骤508的相应描述,在此不再赘述.
本发明实施例中业务数据的传输都是通过VPN隧道(比如前述UDPVPN隧道、SSL VPN隧道和HTTP VPN隧道)传输的,这些隧道都能够穿过具备NAT功能的路由器、防火墙、交换机等NAT设备,因此可以防止这些NAT设备对业务数据进行访问控制、地址修改等操作,这样可以避免由于NAT设备的操作导致的终端与内网服务器之间的通信失败。并且,UDP VPN隧道可以穿越SOCKS V5代理服务器,SSL VPN隧道能够穿越HTTPS代理服务器,HTTP VPN隧道能够穿越HTTP代理服务器,所以在终端与内网服务器通信时,可以防止相应的应用层代理服务器对业务数据进行访问控制、地址修改等操作,这样可以避免由于应用层代理服务器操作导致的终端与内网服务器之间的通信失败。而且该实施例将虚拟IP地址作为终端与内网服务器通信的地址,通过VPN网关与内网服务器进行通信,无需企业网络做额外的路由转换,不需要改动企业网络。
需要说明的,在上述实施例建立UDP VPN隧道、SSL VPN隧道或者HTTP VPN隧道之后,终端会定期向VPN网关发送保活报文,或按照设定的时间向VPN网关发送保活报文,以便维持已建立的隧道。
需要说明的,当终端与VPN网关间存在两个VPN隧道,即UDP VPN隧道和SSL VPN隧道时,可以通过UDP VPN隧道传输业务数据,具体传输方式如上述实施例所述,终端还可以通过SSL VPN隧道传输业务控制信息,具体的终端将待发送的第一业务控制信息进行加密后,设置加密后的控制信息的源IP地址为终端的真实IP地址,目的IP地址为VPN网关的IP地址,然后向VPN网关发送;VPN网关收到后进行解封装,解密,得到第一控制信息。同理,VPN网关可以利用SSL VPN隧道向终端发送第二控制信息。这样,可以实现通过安全性较低的UDP VPN隧道传输业务数据,通过安全性较高的SSL VPN隧道传输业务控制信息。
参阅图7,本发明实施例提供一种终端,其包括:
第一数据汇聚模块701,用于将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,得到第一业务报文;其中,所述虚拟IP地址是多媒体子系统IMS核心网为所述终端分配的地址;
第一隧道传输模块702,用于将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;利用所述终端与安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给内网服务器。
进一步的,在本发明另一个实施例中,为了接收内网服务器发送的业务数据,该终端还可以包括:
第二隧道传输模块703,用于当终端需要接收内网服务器的业务数据时,通过所述隧道接收第二隧道报文,对所述第二隧道报文进行解封装;其中,第二隧道报文的源IP地址为安全隧道网关的IP地址、目的IP地址为终端的IP地址。
第二数据汇聚模块704,用于从第二隧道传输模块解封装得到的第二业务报文中获取业务数据,其中,所述第二业务报文的源地址为内网服务器的地址、目的地址为虚拟IP地址。
进一步的,在本发明另一个实施例中,该终端还可以包括:
业务模块705,具体用于当终端需要发送业务数据时,通过调用第一数据汇聚模块提供的接口,触发所述第一数据汇聚模块将待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为内网服务器的地址;当终端需要接收内网服务器的业务数据时,从第二数据汇聚模块获得第二业务报文中的业务数据。
具体的,第一数据汇聚模块701,用于当终端需要发送业务数据时,在操作系统提供的通信接口捕获所述待发送业务数据,将所述待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为内网服务器的地址;其中,待发送业务数据是由业务模块705发送到操作系统提供的通信接口的。采用这种方式,使业务模块与通信能力组件不需要紧密耦合。
所述第二数据汇聚模块704,用于当终端需要接收内网服务器的业务数据时,提取第二业务报文中的业务数据,将所提取的业务数据植入操作系统提供的通信接口,使终端中的业务模块能够从所述操作系统提供的通信接口中获取所述第二业务报文中的业务数据。
在本发明另一个实施例中,为了保证VPN隧道上传输的报文的安全性,该终端还可以包括:
加密模块706,用于在终端与安全隧道网关间的VPN隧道为HTTP VPN隧道时,利用SSL隧道密钥对第一业务报文进行加密;
解密模块707,用于在终端与安全隧道网关间的VPN隧道为HTTP VPN隧道时,利用SSL隧道密钥对第二隧道传输模块解封装得到的报文进行解密。
其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与安全隧道网关协商得到的。此时,第一隧道传输模块701具体用于将加密模块706加密后的第一业务报文封装成第一隧道报文,利用所述终端与安全隧道网关间的VPN隧道,将所述第一隧道报文发送给安全隧道网关。第二数据汇聚模块704具体用于从解密模块707解密得到的报文中获取业务数据。
当终端与安全隧道网关间存在两条VPN隧道,比如UDP VPN隧道和SSLVPN隧道时,在本发明又一个实施例中,终端可以采用第一数据汇聚模块701、第一隧道传输模块702、第二隧道传输模块703和第二数据汇聚模块704处理和传输业务数据,此外,还可以采用第三隧道传输模块708和/或第四隧道传输模块709处理和传输业务控制信息,其中:
第三隧道传输模块708,用于利用所述SSL VPN隧道向所述业务安全隧道网关发送第一业务控制信息;和/或,
第四隧道传输模块709,用于利用所述SSL VPN隧道接收所述业务安全隧道网关发送的第二业务控制信息。
为了建立上述两条VPN隧道,在本发明又一个实施例中,还包括:
第一隧道建立单元710,用于建立UDP VPN隧道;
第二隧道建立单元711,用于通过已建立的SSL隧道与所述安全隧道网关协商UDP隧道密钥,以便建立UDP隧道。
本发明实施例中终端将IMS核心网分配的虚拟IP地址作为终端与内网服务器的通信地址,将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为内网服务器的地址,并封装成隧道报文后通过终端与安全隧道网关间的隧道传输到安全隧道网关,使安全隧道网关能够将源地址为虚拟IP地址、目的地址为内网服务器地址的业务报文发送给内网服务器;当需要接收内网服务器的业务数据时,将接收的隧道报文进行解封装,得到源地址为内网服务器的地址、目的地址为虚拟IP地址的业务报文,这样,就能够实现通过安全隧道网关传输内网服务器与终端间的业务数据,不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信。
参阅图8,本发明实施例提供一种安全隧道网关,其包括:隧道传输模块一80,隧道传输模块一80包括:第一接收模块801,解封装模块802,和第一发送模块803,
第一接收模块801,用于通过安全隧道网关与终端间的隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为终端的IP地址、目的IP地址为安全隧道网关的IP地址;
解封装模块802,用于对所述第一隧道报文进行解封装;
第一发送模块803,用于将解封装模块解封装后得到的第一业务报文向内网服务器发送,其中,所述第一业务报文的源地址为虚拟IP地址、目的地址为内网服务器地址。
进一步,在本发明另一个实施例中,为了向终端传输内网服务器的发送的业务报文,还包括:隧道传输模块一90,其中,隧道传输模块一90具体包括:
第二接收模块804,用于接收内网服务器发送的第二业务报文,所述第二业务报文的源地址为内网服务器的地址、目的地址为虚拟IP地址;
封装模块805,用于将所述第二业务报文封装成第二隧道报文,其中,第二隧道报文的源IP地址为安全隧道网关的IP地址、目的IP地址为终端的IP地址;
第二发送单元806,用于通过安全隧道网关与终端间的隧道向所述终端发送第二隧道报文。
在本发明另一个实施例中,为了保证VPN隧道上传输的报文的安全性,该终端还可以包括:
加密模块807,用于在所述终端与安全隧道网关间的VPN隧道为HTTPVPN隧道时,利用SSL隧道密钥对所述第二业务报文进行加密;
解密模块808,用于在所述终端与安全隧道网关间的VPN隧道为HTTPVPN隧道时,利用SSL隧道密钥对解封装模块解封装所得到的报文进行解密,得到第一业务报文。
其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与安全隧道网关协商得到的;封装模块805具体用于将加密后的第二业务报文封装成第二隧道报文;第一发送模块803具体用于将解密模块808解密后得到的第一业务报文向内网服务器发送。
当终端与安全隧道网关间存在两条VPN隧道,比如UDP VPN隧道和SSL VPN隧道时,终端可以利用UDP VPN隧道初始业务报文,利用SSL VPN隧道传输业务控制信息,则在本发明又一个实施例中,还包括:
第三发送模块809,还用于利用所述SSL VPN隧道向所述终端发送第二业务控制信息;和,第四接收模块810,还用于利用所述SSL VPN隧道接收所述终端发送的第一业务控制信息。
其中,为了建立上述两条隧道,在本发明又一个实施例中,还包括:
第一隧道建立模块811,用于与终端间建立SSL隧道;
第二隧道建立模块812,用于通过已建立的SSL隧道与所述终端协商UDP隧道密钥,以便建立UDP隧道。
本发明实施例中的安全隧道网关作为中间设备,将来自终端的隧道报文解封装后发送给内网服务器,将来自内网服务器的业务报文封装成隧道报文后发送给终端,以便终端与IMS核心网中的服务器间传输业务数据,这样不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信了。
参阅图9,本发明实施例提供一种网络系统,其主要包括上述实施例中的安全隧道网关901和内网服务器902,其中安全隧道网关的功能和结构与上述实施例中的描述相似,在此不再赘述。
本发明实施例提供的网络系统利用安全隧道网关作为中间设备,将来自终端的隧道报文解封装后发送给内网服务器,将来自内网服务器的业务报文封装成隧道报文后发送给终端,以便终端与IMS核心网中的服务器间传输业务数据,这样不需要改动终端所在的企业网络,就可以使终端穿越私网,与公网中的服务器进行通信了。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上对本发明所提供的一种终端穿越私网与IMS核心网中服务器通信的方法、装置及网络系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (30)

1.一种终端穿越私网与互联网协议多媒体子系统IMS核心网中的服务器通信的方法,其特征在于,包括:
终端将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为IMS核心网中的服务器的地址,得到第一业务报文,其中,所述终端位于私网中,所述虚拟IP地址是所述IMS核心网为所述终端分配的地址;
将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为所述终端的IP地址、目的IP地址为安全隧道网关的IP地址,所述安全隧道网关位于所述IMS核心网的边缘;
利用所述终端与所述安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给所述安全隧道网关,使所述安全隧道网关将第一隧道报文中的第一业务报文发送给所述服务器。
2.根据权利要求1所述的方法,其特征在于,
所述将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为所述IMS核心网中的服务器的地址包括:
所述终端的业务模块通过调用所述终端中的第一数据汇聚模块提供的接口,触发所述第一数据汇聚模块将待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为所述服务器的地址;
或者,
所述终端中的第一数据汇聚模块在操作系统提供的通信接口捕获所述待发送业务数据,将所述待发送业务数据的源地址设置为虚拟IP地址,目的地址设置为所述服务器的地址。
3.根据权利要求1所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为超文本传输协议HTTP隧道;
在将所述第一业务报文封装成第一隧道报文之前,该方法还包括:
利用安全套接层SSL隧道密钥对所述第一业务报文进行加密;其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与所述安全隧道网关协商得到的;
将所述第一业务报文封装成第一隧道报文具体为:
将加密后的第一业务报文封装成第一隧道报文。
4.根据权利要求1所述的方法,其特征在于,该方法还包括:
当所述终端需要接收所述服务器的业务数据时,所述终端通过所述隧道接收第二隧道报文,其中,所述第二隧道报文的源IP地址为所述安全隧道网关的IP地址、目的IP地址为所述终端的IP地址;
对所述第二隧道报文进行解封装得到第二业务报文;其中,所述第二业务报文的源地址为所述服务器的地址、目的地址为所述虚拟IP地址;
获得所述第二业务报文中的业务数据。
5.根据权利要求4所述的方法,其特征在于,
所述获得所述第二业务报文中的业务数据包括:
所述终端中的第二数据汇聚模块提取所述第二业务报文中的业务数据,所述终端的业务模块从所述终端中的第二数据汇聚模块获得所述第二业务报文中的业务数据;
或者,
所述终端的第二数据汇聚模块提取所述第二业务报文中的业务数据,将所提取的业务数据植入操作系统提供的通信接口,所述终端中的业务模块从所述操作系统提供的通信接口中获取所述第二业务报文中的业务数据。
6.根据权利要求4所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为HTTP隧道;
在对所述第二隧道报文进行解封装之后,该方法还包括:
利用SSL隧道密钥对解封装得到的报文进行解密;其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与所述安全隧道网关协商得到的;
所述第二业务报文为解密后得到的报文。
7.根据权利要求1所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为用户数据报协议UDP隧道;
当所述终端与所述安全隧道网关间还存在SSL隧道时,该方法还包括:
所述终端利用所述SSL隧道向所述安全隧道网关发送第一业务控制信息;
或者,
所述终端利用所述SSL隧道接收所述安全隧道网关发送的第二业务控制信息。
8.根据权利要求7所述的方法,其特征在于,
该方法还包括:所述终端与所述安全隧道网关间先建立所述SSL隧道,通过已建立的所述SSL隧道与所述安全隧道网关协商UDP隧道密钥,以便建立所述UDP隧道。
9.根据权利要求1所述的方法,其特征在于,还包括:
所述终端通过所述VPN隧道向所述安全隧道网关发送保活报文。
10.一种终端穿越私网与互联网协议多媒体子系统IMS核心网中的服务器通信的方法,其特征在于,包括:
安全隧道网关通过所述安全隧道网关与终端间的虚拟专用网VPN隧道接收第一隧道报文;其中,所述安全隧道网关位于IMS核心网的边缘,所述终端位于私网中,所述第一隧道报文的源IP地址为所述终端的IP地址、目的IP地址为所述安全隧道网关的IP地址;
对所述第一隧道报文进行解封装,得到第一业务报文,所述第一业务报文的源地址为虚拟IP地址、目的地址为所述IMS核心网中的服务器地址,所述虚拟IP地址是所述IMS核心网为所述终端分配的地址;
将所述第一业务报文向所述服务器发送。
11.根据权利要求10所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为超文本传输协议HTTP隧道;
在对所述第一隧道报文进行解封装之后,还包括:
利用安全套接层SSL隧道密钥对解封装后的报文进行解密,其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与所述安全隧道网关协商得到的;
所述第一业务报文为解密得到的报文。
12.根据权利要求10所述的方法,其特征在于,还包括:
所述安全隧道网关接收所述服务器发送的第二业务报文,所述第二业务报文的源地址为所述服务器的地址、目的地址为所述虚拟IP地址;
将所述第二业务报文封装成第二隧道报文,其中,所述第二隧道报文的源IP地址为所述安全隧道网关的IP地址、目的IP地址为所述终端的IP地址;
通过所述安全隧道网关与所述终端间的VPN隧道向所述终端发送所述第二隧道报文。
13.根据权利要求12所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为HTTP隧道;
在将所述第二业务报文封装成第二隧道报文之前,该方法还包括:
利用SSL隧道密钥对所述第二业务报文进行加密,其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与所述安全隧道网关协商得到的;
所述将所述第二业务报文封装成第二隧道报文具体为:
将加密后的报文封装成第二隧道报文。
14.根据权利要求12所述的方法,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为用户数据报协议UDP隧道;
当所述终端与所述安全隧道网关间还存在SSL隧道时,该方法还包括:
所述安全隧道网关利用所述SSL隧道向所述终端发送第二业务控制信息;
或者,
所述安全隧道网关利用所述SSL隧道接收所述终端发送的第一业务控制信息。
15.根据权利要求14所述的方法,其特征在于,该方法还包括:
所述安全隧道网关与所述终端间先建立所述SSL隧道,通过已建立的SSL隧道与所述终端协商UDP隧道密钥,以便建立所述UDP隧道。
16.一种终端,其特征在于,所述终端位于私网中,包括:通信能力组件,所述通信能力组件包括:
第一数据汇聚模块,用于将待发送业务数据的源地址设置为虚拟IP地址、目的地址设置为互联网协议多媒体子系统IMS核心网中的服务器的地址,得到第一业务报文;其中,所述虚拟IP地址是所述IMS核心网为所述终端分配的地址;
第一隧道传输模块,用于将所述第一业务报文封装成第一隧道报文,其中所述第一隧道报文的源IP地址为所述终端的IP地址、目的IP地址为安全隧道网关的IP地址,所述安全隧道网关位于所述IMS核心网的边缘;利用所述终端与所述安全隧道网关间的虚拟专用网VPN隧道,将所述第一隧道报文发送给所述安全隧道网关,使所述安全隧道网关将所述第一隧道报文中的所述第一业务报文发送给所述服务器。
17.根据权利要求16所述的终端,其特征在于:
所述第一数据汇聚模块,用于在操作系统提供的通信接口捕获所述待发送业务数据,将所述待发送业务数据的源地址设置为所述虚拟IP地址,目的地址设置为所述服务器的地址,得到所述第一业务报文。
18.根据权利要求16所述的终端,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为超文本传输协议HTTP隧道;
还包括:加密模块,用于利用安全套接层SSL隧道密钥对第一业务报文进行加密;其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与所述安全隧道网关协商得到的;
所述第一隧道传输模块,用于将加密后的所述第一业务报文封装成所述第一隧道报文,利用所述终端与所述安全隧道网关间的VPN隧道,将所述第一隧道报文发送给所述安全隧道网关。
19.根据权利要求16所述的终端,其特征在于,还包括:
第二隧道传输模块,用于当所述终端需要接收所述服务器的业务数据时,通过所述VPN隧道接收第二隧道报文,对所述第二隧道报文进行解封装;其中,第二隧道报文的源IP地址为所述安全隧道网关的IP地址、目的IP地址为所述终端的IP地址;
第二数据汇聚模块,用于从所述第二隧道传输模块解封装得到的第二业务报文中获取业务数据,其中,所述第二业务报文的源地址为所述服务器的地址、目的地址为所述虚拟IP地址。
20.根据权利要求19所述的终端,其特征在于:
所述第二数据汇聚模块,用于当所述终端需要接收所述服务器的业务数据时,提取所述第二业务报文中的业务数据,将所提取的业务数据植入操作系统提供的通信接口,使所述终端中的业务模块能够从所述操作系统提供的通信接口中获取所述第二业务报文中的业务数据。
21.根据权利要求19所述的终端,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为HTTP隧道;
还包括:解密模块,用于利用SSL隧道密钥对所述第二隧道传输模块解封装得到的报文进行解密;其中,所述SSL隧道密钥是所述终端预先通过所述HTTP隧道与安全隧道网关协商得到的;
所述第二数据汇聚模块,用于从解密模块解密得到的报文中获取业务数据。
22.根据权利要求16所述的终端,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为用户数据报协议UDP隧道;当所述终端与安全隧道网关间还存在SSL隧道时,还包括:
第三隧道传输模块,用于利用所述SSL隧道向所述安全隧道网关发送第一业务控制信息;
或者,
第四隧道传输模块,用于利用所述SSL隧道接收所述安全隧道网关发送的第二业务控制信息。
23.根据权利要求22所述的终端,其特征在于,还包括:
第一隧道建立单元,用于建立所述SSL隧道;
第二隧道建立单元,用于通过已建立的所述SSL隧道与所述安全隧道网关协商UDP隧道密钥,以便建立所述UDP隧道。
24.一种安全隧道网关,其特征在于,所述安全隧道网关位于互联网协议多媒体子系统IMS核心网的边缘,包括:
第一接收模块,用于通过所述安全隧道网关与终端间的虚拟专用网VPN隧道接收第一隧道报文,所述终端位于私网中;其中,所述第一隧道报文的源IP地址为所述终端的IP地址、目的IP地址为所述安全隧道网关的IP地址;
解封装模块,用于对所述第一隧道报文进行解封装;
第一发送模块,用于将解封装模块解封装后得到的第一业务报文向所述IMS核心网中的服务器发送,其中,所述第一业务报文的源地址为虚拟IP地址、目的地址为所述服务器地址,所述虚拟IP地址是所述IMS核心网为所述终端分配的地址。
25.根据权利要求24所述的安全隧道网关,其特征在于,还包括:
解密模块,用于利用安全套接层SSL隧道密钥对所述解封装模块解封装所得到的报文进行解密,得到所述第一业务报文,其中,所述SSL隧道密钥是所述终端预先通过HTTP隧道与所述安全隧道网关协商得到的。
26.根据权利要求24所述的安全隧道网关,其特征在于,还包括:
第二接收模块,用于接收所述服务器发送的第二业务报文,所述第二业务报文的源地址为所述服务器的地址、目的地址为所述虚拟IP地址;
封装模块,用于将所述第二业务报文封装成第二隧道报文,其中,所述第二隧道报文的源IP地址为所述安全隧道网关的IP地址、目的IP地址为所述终端的IP地址;
第二发送单元,用于通过所述安全隧道网关与所述终端间的所述VPN隧道向所述终端发送所述第二隧道报文。
27.根据权利要求26所述的安全隧道网关,其特征在于,还包括:
加密模块,用于利用SSL隧道密钥对所述第二业务报文进行加密;
所述封装模块,用于将加密后的第二业务报文封装成所述第二隧道报文。
28.根据权利要求24所述的安全隧道网关,其特征在于,
所述终端与所述安全隧道网关间的VPN隧道为用户数据报协议UDP隧道;当所述终端与所述安全隧道网关间还存在SSL隧道时,还包括:
第三发送模块,还用于利用所述SSL隧道向所述终端发送第二业务控制信息;
第四接收模块,还用于利用所述SSL隧道接收所述终端发送的第一业务控制信息。
29.根据权利要求28所述的安全隧道网关,其特征在于,包括:
第一隧道建立模块,用于与所述终端间建立所述SSL隧道;
第二隧道建立模块,用于通过已建立的所述SSL隧道与所述终端协商UDP隧道密钥,以便建立所述UDP隧道。
30.一种网络系统,其特征在于,包括:安全隧道网关和互联网协议多媒体子系统IMS核心网中的服务器,所述安全隧道网关位于所述IMS核心网的边缘;
所述安全隧道网关,用于通过所述安全隧道网关与终端间的虚拟专用网VPN隧道接收第一隧道报文;其中,所述第一隧道报文的源IP地址为所述终端的IP地址、目的IP地址为所述安全隧道网关的IP地址,所述终端位于私网中;对所述第一隧道报文进行解封装,得到第一业务报文,所述第一业务报文的源地址为虚拟IP地址、目的地址为所述服务器地址,所述虚拟IP地址是所述IMS核心网为所述终端分配的地址;将所述第一业务报文向所述服务器发送;接收所述服务器发送的第二业务报文,所述第二业务报文的源地址为所述服务器的地址、目的地址为所述虚拟IP地址;将所述第二业务报文封装成第二隧道报文,其中,所述第二隧道报文的源IP地址为所述安全隧道网关的IP地址、目的IP地址为所述终端的IP地址;通过所述安全隧道网关与所述终端间的所述VPN隧道向所述终端发送第二隧道报文;
所述服务器,用于接收所述安全隧道网关发送的所述第一业务报文,向所述安全隧道网关发送所述第二业务报文。
CN201010264191.4A 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 Expired - Fee Related CN102377629B (zh)

Priority Applications (8)

Application Number Priority Date Filing Date Title
CN201010264191.4A CN102377629B (zh) 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN201410433365.3A CN104168173B (zh) 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
EP11817673.4A EP2590368B1 (en) 2010-08-20 2011-03-10 Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network
ES11817673.4T ES2596177T3 (es) 2010-08-20 2011-03-10 Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada
PCT/CN2011/071659 WO2012022145A1 (zh) 2010-08-20 2011-03-10 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
EP16156425.7A EP3096497B1 (en) 2010-08-20 2011-03-10 Method, apparatus, and network system for terminal to traverse private network to communicate with server in ims core network
US13/770,014 US9172559B2 (en) 2010-08-20 2013-02-19 Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network
US14/827,644 US9813380B2 (en) 2010-08-20 2015-08-17 Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010264191.4A CN102377629B (zh) 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201410433365.3A Division CN104168173B (zh) 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统

Publications (2)

Publication Number Publication Date
CN102377629A CN102377629A (zh) 2012-03-14
CN102377629B true CN102377629B (zh) 2014-08-20

Family

ID=45604730

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010264191.4A Expired - Fee Related CN102377629B (zh) 2010-08-20 2010-08-20 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统

Country Status (5)

Country Link
US (2) US9172559B2 (zh)
EP (2) EP2590368B1 (zh)
CN (1) CN102377629B (zh)
ES (1) ES2596177T3 (zh)
WO (1) WO2012022145A1 (zh)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5871733B2 (ja) * 2011-07-04 2016-03-01 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ 時間インジケータを用いたトリガリング
EP2837156B1 (en) * 2012-04-09 2018-08-22 Telefonaktiebolaget LM Ericsson (publ) Method, apparatus and computer readable medium for providing quality of service functionality supporting a plurality of different data streams in a single ims session for machine-to-machine mtm device communications
CN102932467B (zh) * 2012-11-08 2015-11-25 华为技术有限公司 数据包的传输方法和装置
CN104426732A (zh) * 2013-08-19 2015-03-18 华耀(中国)科技有限公司 一种高速传输隧道的实现方法及系统
KR101502490B1 (ko) * 2013-10-18 2015-03-13 주식회사 케이티 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드
FR3013541B1 (fr) * 2013-11-19 2021-02-19 Oberthur Technologies Procede et dispositif pour la connexion a un service distant
CN103607403A (zh) * 2013-11-26 2014-02-26 北京星网锐捷网络技术有限公司 一种nat网络环境下使用安全域的方法、装置和系统
CN105471596B (zh) * 2014-08-04 2019-05-07 新华三技术有限公司 网络管理的方法和装置
CN105337831B (zh) * 2014-08-08 2018-10-09 华为技术有限公司 虚拟专用网络的实现方法及客户端设备
US9473466B2 (en) * 2014-10-10 2016-10-18 Freescale Semiconductor, Inc. System and method for internet protocol security processing
CN104468625B (zh) * 2014-12-26 2018-07-13 浙江宇视科技有限公司 拨号隧道代理装置、利用拨号隧道穿越nat的方法
CN104539752B (zh) * 2014-12-31 2018-03-09 浙江宇视科技有限公司 多级域平台间的访问方法及系统
US20160226815A1 (en) * 2015-01-30 2016-08-04 Huawei Technologies Co., Ltd. System and method for communicating in an ssl vpn
US10084642B2 (en) * 2015-06-02 2018-09-25 ALTR Solutions, Inc. Automated sensing of network conditions for dynamically provisioning efficient VPN tunnels
CN106454754B (zh) * 2015-08-12 2020-01-31 成都鼎桥通信技术有限公司 数据传输方法及宽带集群系统
CN106559851B (zh) * 2015-09-24 2019-11-12 成都鼎桥通信技术有限公司 LTE宽带集群系统IPSec级联组网实现方法及系统
US10484282B2 (en) * 2016-01-12 2019-11-19 International Business Machines Corporation Interconnecting multiple separate openflow domains
CN105872128B (zh) * 2016-05-31 2019-03-08 浙江宇视科技有限公司 虚拟ip地址的分配方法及装置
US10447591B2 (en) * 2016-08-30 2019-10-15 Oracle International Corporation Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address
US10657580B2 (en) 2017-01-27 2020-05-19 Walmart Apollo, Llc System for improving in-store picking performance and experience by optimizing tote-fill and order batching of items in retail store and method of using same
US10572932B2 (en) 2017-01-27 2020-02-25 Walmart Apollo, Llc System for providing optimal shopping routes in retail store and method of using same
US10825076B2 (en) 2017-04-17 2020-11-03 Walmart Apollo Llc Systems to fulfill a picked sales order and related methods therefor
US10846645B2 (en) 2017-04-28 2020-11-24 Walmart Apollo, Llc Systems and methods for real-time order delay management
US10810542B2 (en) 2017-05-11 2020-10-20 Walmart Apollo, Llc Systems and methods for fulfilment design and optimization
CN110771097B (zh) * 2017-05-12 2022-11-22 诺基亚通信公司 用于网络设备与应用服务器之间的数据隧道传输的连接性监测
US11126953B2 (en) 2017-06-14 2021-09-21 Walmart Apollo, Llc Systems and methods for automatically invoking a delivery request for an in-progress order
US11126954B2 (en) 2017-06-28 2021-09-21 Walmart Apollo, Llc Systems and methods for automatically requesting delivery drivers for online orders
US10909612B2 (en) 2017-07-13 2021-02-02 Walmart Apollo Llc Systems and methods for determining an order collection start time
CN109379206B (zh) 2017-08-07 2022-04-22 华为技术有限公司 网络功能信息的管理方法及相关设备
US11323426B2 (en) * 2017-10-19 2022-05-03 Check Point Software Technologies Ltd. Method to identify users behind a shared VPN tunnel
US11038923B2 (en) * 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security
CN109327513B (zh) * 2018-09-21 2021-12-17 京东方科技集团股份有限公司 交互方法、装置及计算机可读存储介质
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
CN112887976B (zh) * 2019-11-29 2023-06-30 北京华耀科技有限公司 智能终端的vpn网络自动恢复系统及方法
CN111147451A (zh) * 2019-12-09 2020-05-12 云深互联(北京)科技有限公司 一种基于云平台的业务系统安全访问方法、装置及系统
US11657347B2 (en) 2020-01-31 2023-05-23 Walmart Apollo, Llc Systems and methods for optimization of pick walks
US11868958B2 (en) 2020-01-31 2024-01-09 Walmart Apollo, Llc Systems and methods for optimization of pick walks
CN111885036B (zh) * 2020-07-16 2022-08-16 武汉秒开网络科技有限公司 一种通过路由器穿透内网实现多设备访问的方法及系统
CN111866865B (zh) * 2020-07-30 2023-07-14 北京意瑞联科技有限公司 一种数据传输方法、5g专网建立方法及系统
CN112738661B (zh) * 2020-12-15 2022-05-31 广西广播电视信息网络股份有限公司 一种在i-pon网络的广播通道上实现双向下行加速的方法
US11411772B1 (en) * 2021-04-15 2022-08-09 Blackberry Limited Establishing tunneling connection over restrictive networks
CN113556340B (zh) * 2021-07-21 2023-09-26 国网四川省电力公司乐山供电公司 一种便携式vpn终端、数据处理方法及存储介质
CN113709119B (zh) * 2021-08-12 2023-02-03 南京华盾电力信息安全测评有限公司 一种密码安全网关、系统及使用方法
CN115022059A (zh) * 2022-06-13 2022-09-06 中国银行股份有限公司 一种量子通信方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159657A (zh) * 2007-10-16 2008-04-09 华为技术有限公司 一种实现私网穿越的方法、设备及服务器
CN101778045A (zh) * 2010-01-27 2010-07-14 成都市华为赛门铁克科技有限公司 报文传输方法、装置及网络系统

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6631402B1 (en) * 1997-09-26 2003-10-07 Worldcom, Inc. Integrated proxy interface for web based report requester tool set
CA2428712A1 (en) * 2000-11-13 2002-05-30 Ecutel System and method for secure network mobility
AU2002230735A1 (en) * 2000-12-11 2002-06-24 Phlair, Inc. System and method for detecting and reporting online activity using real-time content-based network monitoring
FI20011949A0 (fi) * 2001-10-05 2001-10-05 Stonesoft Corp Virtuaalisen yksityisverkon hallinta
US7379465B2 (en) * 2001-12-07 2008-05-27 Nortel Networks Limited Tunneling scheme optimized for use in virtual private networks
EP1527648A1 (en) * 2002-08-05 2005-05-04 Nokia Corporation A method of speeding up the registration procedure in a cellular network
US7602788B2 (en) * 2002-11-04 2009-10-13 At&T Intellectual Property I, L.P. Peer to peer SVC-based DSL service
DE10329877A1 (de) * 2003-07-02 2005-01-27 Siemens Ag Verfahren zum Betrieb eines Sprach-Endgerätes an einer abgesetzten Nebenstellenanlage, Kommunikationsanordnung und Sprach-Endgerät
US7558862B1 (en) * 2004-12-09 2009-07-07 LogMeln, Inc. Method and apparatus for remotely controlling a computer with peer-to-peer command and data transfer
EP1840748A4 (en) * 2004-12-20 2012-08-22 Fujitsu Ltd REPETITION PROGRAM, COMMUNICATION PROGRAM, AND FIREWALL SYSTEM
US20070074283A1 (en) * 2005-09-26 2007-03-29 Marian Croak Method and apparatus for activating alternative virtual private network protocols
DE602005015328D1 (de) * 2005-10-04 2009-08-20 Swisscom Ag Verfahren zur Anpassung der Sicherheitseinstellungen einer Kommunikationsstation und Kommunikationsstation
US7716731B2 (en) * 2005-10-24 2010-05-11 Cisco Technology, Inc. Method for dynamically tunneling over an unreliable protocol or a reliable protocol, based on network conditions
US20080095070A1 (en) * 2005-12-05 2008-04-24 Chan Tat K Accessing an IP multimedia subsystem via a wireless local area network
US20070150946A1 (en) * 2005-12-23 2007-06-28 Nortel Networks Limited Method and apparatus for providing remote access to an enterprise network
CN101090362B (zh) 2006-06-20 2010-04-14 中兴通讯股份有限公司 一种分组域中单隧道协商的方法
US9137043B2 (en) * 2006-06-27 2015-09-15 International Business Machines Corporation System, method and program for determining a network path by which to send a message
JP4732974B2 (ja) * 2006-07-27 2011-07-27 株式会社日立製作所 パケット転送制御方法およびパケット転送装置
US7809003B2 (en) * 2007-02-16 2010-10-05 Nokia Corporation Method for the routing and control of packet data traffic in a communication system
US8910272B2 (en) * 2008-02-28 2014-12-09 Hob Gmbh & Co. Kg Computer communication system for communication via public networks
JP5074290B2 (ja) * 2008-05-13 2012-11-14 株式会社日立国際電気 冗長切替システム、冗長管理装置およびアプリケーション処理装置
EP2166724A1 (en) * 2008-09-23 2010-03-24 Panasonic Corporation Optimization of handovers to untrusted non-3GPP networks
US8893260B2 (en) * 2008-12-17 2014-11-18 Rockstar Consortium Us Lp Secure remote access public communication environment
CN101753634B (zh) 2008-12-19 2013-01-30 华为技术有限公司 一种私网穿越的方法,系统和装置
US8181019B2 (en) * 2009-06-22 2012-05-15 Citrix Systems, Inc. Systems and methods for managing CRLS for a multi-core system
US20120023241A1 (en) * 2010-07-26 2012-01-26 Cisco Technology, Inc. SSL Cache Session Selection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101159657A (zh) * 2007-10-16 2008-04-09 华为技术有限公司 一种实现私网穿越的方法、设备及服务器
CN101778045A (zh) * 2010-01-27 2010-07-14 成都市华为赛门铁克科技有限公司 报文传输方法、装置及网络系统

Also Published As

Publication number Publication date
WO2012022145A1 (zh) 2012-02-23
EP3096497A1 (en) 2016-11-23
EP2590368A4 (en) 2013-08-14
ES2596177T3 (es) 2017-01-05
CN102377629A (zh) 2012-03-14
US20150358281A1 (en) 2015-12-10
EP3096497B1 (en) 2020-06-24
EP2590368B1 (en) 2016-07-20
US20130170502A1 (en) 2013-07-04
US9172559B2 (en) 2015-10-27
US9813380B2 (en) 2017-11-07
EP2590368A1 (en) 2013-05-08

Similar Documents

Publication Publication Date Title
CN102377629B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN104168173B (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
Brachmann et al. End-to-end transport security in the IP-based internet of things
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US8725885B1 (en) Securely establishing ice relay connections
WO2017181894A1 (zh) 终端连接虚拟专用网的方法、系统及相关设备
CN108769292B (zh) 报文数据处理方法及装置
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与系统
US11388145B2 (en) Tunneling data traffic and signaling over secure etls over wireless local area networks
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
CN112788594B (zh) 数据传输方法、装置和系统、电子设备、存储介质
US20060230445A1 (en) Mobile VPN proxy method based on session initiation protocol
WO2016066027A1 (zh) 一种媒体传输方法和设备
EP3541110B1 (en) X2 service transmission method, and network apparatus
CN114338116B (zh) 加密传输方法、装置及sd-wan网络系统
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
JP2011077887A (ja) パケット転送システム、パケット転送方法、通信装置及びパケット転送プログラム
CN115766063B (zh) 数据传输方法、装置、设备及介质
US20240022402A1 (en) A Method for Tunneling an Internet Protocol Connection Between Two Endpoints
CN116866450A (zh) 数据传输方法、装置、电子设备及存储介质
CN117692277A (zh) 一种数据传输方法、装置、设备及可读存储介质
EP2579537A1 (en) Method for securing data communication
Kim et al. New mechanisms for end-to-end security using IPSec in NAT-based private networks
CN112997449A (zh) 用于数据通信网络的安全方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB02 Change of applicant information

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

COR Change of bibliographic data

Free format text: CORRECT: APPLICANT; FROM: CHENGDU HUAWEI SYMANTEC TECHNOLOGY CO., LTD. TO: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

ASS Succession or assignment of patent right

Owner name: HUAWEI TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

Effective date: 20130613

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 611731 CHENGDU, SICHUAN PROVINCE TO: 518129 SHENZHEN, GUANGDONG PROVINCE

TA01 Transfer of patent application right

Effective date of registration: 20130613

Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Applicant after: HUAWEI TECHNOLOGIES Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Applicant before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140820

CF01 Termination of patent right due to non-payment of annual fee