CN108696546B - 一种企业移动专用网的用户终端访问公网的方法及装置 - Google Patents
一种企业移动专用网的用户终端访问公网的方法及装置 Download PDFInfo
- Publication number
- CN108696546B CN108696546B CN201710081308.7A CN201710081308A CN108696546B CN 108696546 B CN108696546 B CN 108696546B CN 201710081308 A CN201710081308 A CN 201710081308A CN 108696546 B CN108696546 B CN 108696546B
- Authority
- CN
- China
- Prior art keywords
- message
- enterprise
- public network
- http
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种企业移动专用网的用户终端访问公网的方法及装置,其方法包括:企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;企业移动专用网基站侧将所述上行协议报文路由到所述HTTP代理服务器;企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端。
Description
技术领域
本发明涉及移动通讯技术领域,特别涉及一种企业移动专用网的用户终端访问公网的方法及装置。
背景技术
企业网络,一般分为内部网络(简称企业内网)和DMZ区(Demilitarized Zone,非军事化区,也称隔离区)。企业内部计算机(下文简称内网主机)位于企业内网,内网主机访问因特网(Internet,也称为公网、外网)时,通过HTTP代理服务器(也称为WEB代理服务器)访问,HTTP代理服务器一般部署在DMZ区。
HTTP代理服务器用于代理HTTP和HTTPS(Hyper Text Transfer Protocol overSecure Socket Layer,超文本传输安全协议)的外网访问。HTTP和HTTPS协议都基于TCP(Transmission Control Protocol,传输控制协议)协议,并通过端口号区分。
内网主机对HTTP和HTTPS的公网访问,并不同公网服务器直接建立连接,而是与HTTP代理服务器建立HTTP连接,HTTP代理服务器再与公网服务器建立具体协议连接,如图1所示。
具体来讲,对于HTTP访问,如图2所示,内网主机与代理服务器建立HTTP连接,代理服务器与目标公网WEB服务器建立HTTP连接。
对于HTTPS访问,如图3所示,内网主机与代理服务器建立HTTP连接并使用CONNECT方法请求代理服务器与公网服务器建立SSL(Secure Socket Layer,安全套接层)连接,内网主机与HTTP代理服务器之间的HTTP连接,透明转发内网主机和公网服务器之间的SSL报文,通常称为WEB隧道。
移动运营商的基站(eNB,evolved Node B,演进节点B)除了为公众用户提供公共移动网服务外,还可为企业构建虚拟的移动专用网,企业内部用户通过这个虚拟网络可以访问到企业内网,这里称为企业移动专用网。相应的,这些基站也可称为企业移动专用网基站,需要说明的是,这里的企业移动专用网基站实际上也是公共基站,它和普通公共基站不同的是,可以用于构建企业移动专用网。
使用企业移动专用网,企业内部用户的移动终端,即用户终端(UE,UserEquipment,用户设备),在基站侧就可以访问到企业内部网络,但在访问公网时,由于APN(Access Point Name,接入点)不能设置代理,也就不能使用HTTP代理服务器访问公网,仍要经过运营商移动网络的基站、回传网络(Backhaul)和核心网EPC(Evolved Packet Core,演进的分组核心网)后到因特网,再路由到公网服务器,如图4所示。
目前还没有企业网络内部用户的移动网终端在移动网基站侧使用企业网络的HTTP代理服务器访问公网的公开方法。
发明内容
根据本发明实施例提供的方案解决的技术问题是企业内部用户的移动终端在移动网接入侧无法使用企业网络HTTP代理服务器访问公网的问题。
这里的企业移动专用网基站是指可提供构建企业移动专用网功能的移动运营商的公共基站,企业移动专用网只供企业内部用户的移动终端接入。
根据本发明实施例提供的一种企业移动专用网的用户终端访问公网的方法,包括:
企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;
企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;
企业移动专用网基站侧将所述上行协议报文路由到所述HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网;
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端。
优选地,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息;所述报文类型包括HTTP报文类型和HTTPS报文类型。
优选地,所述企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型包括:
企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;
企业移动专用网基站侧利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;
若得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型;
若得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型。
优选地,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:
企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。
优选地,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:
企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文。
优选地,所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行HTTP协议报文时,将所述下行HTTP协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的HTTP协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
优选地,所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行SSL协议报文时,将所述下行SSL协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的SSL协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
根据本发明实施例提供的一种企业移动专用网的用户终端访问公网的装置,包括:
确定模块,用于收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;
建立协议连接模块,用于根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;
发送模块,用于将所述上行协议报文路由到所述HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网,并在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端。
优选地,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息;所述报文类型包括HTTP报文类型和HTTPS报文类型。
优选地,所述确定模块包括:
解析单元,用于收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;
匹配单元,用于利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;
确定单元,用于当得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则确定所述上行公网报文为HTTP报文类型,以及当得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则确定所述上行公网报文为HTTPS报文类型。
优选地,所述建立协议连接模块包括:
建立第一协议连接单元,用于当确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。
优选地,所述建立协议连接模块包括:
建立第二协议连接单元,用于当确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文。
根据本发明实施例提供的方案,本地网络内部用户移动终端,在移动网基站侧,使用本地网络HTTP代理服务器访问公网业务,充分利用企业网络原来租用的有线传输带宽,节约了成本,同时也便于本地网络管控其内部用户移动网终端访问公网的行为。
附图说明
图1是现有技术提供的内网主机间接访问公网的示意图;
图2是现有技术提供的内网主机HTTP访问网站的示意图;
图3是现有技术提供的内网主机HTTPS访问网站的示意图;
图4是现有技术提供的企业内部用户的移动网终端访问公网的示意图;
图5是本发明实施例提供的一种企业移动专用网的用户终端访问公网的方法流程图;
图6是本发明实施例提供的一种企业移动专用网的用户终端访问公网的装置示意图;
图7是本发明实施例提供的企业内部用户移动网终端使用HTTP代理服务器的示意图;
图8是本发明实施例提供的企业内部用户移动网终端使用HTTP代理服务器的示意图;
图9是本发明实施例提供的新增模块的示意图;
图10是本发明实施例提供的图9中的新增模块部署的示意图;
图11是本发明实施例提供的企业内部用户HTTP公网访问上行报文处理流程图;
图12是本发明实施例提供的企业内部用户HTTP公网访问下行报文处理流程图;
图13是本发明实施例提供的内部用户HTTPS公网访问上行报文处理流程图;
图14是本发明实施例提供的企业内部用户HTTPS公网访问下行报文处理流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行详细说明,应当理解,以下所说明的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
图5是本发明实施例提供的一种企业移动专用网的用户终端访问公网的方法流程图,如图5所示,包括:
步骤S501:企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;
步骤S502:企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;
步骤S503:企业移动专用网基站侧将所述上行协议报文路由到所述HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网;
步骤S504:企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端。
其中,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息。所述报文类型包括HTTP报文类型和HTTPS报文类型。
其中,所述企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型包括:企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;企业移动专用网基站侧利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;若得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型;若得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型。
其中,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行HTTP协议报文时,将所述下行HTTP协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的HTTP协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
其中,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文。所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行SSL协议报文时,将所述下行SSL协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的SSL协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
图6是本发明实施例提供的一种企业移动专用网的用户终端访问公网的装置示意图,如图6所示,包括:确定模块601,用于收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;建立协议连接模块602,用于根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;发送模块603,用于将所述上行协议报文路由到所述HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网,并在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端。
其中,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息;所述报文类型包括HTTP报文类型和HTTPS报文类型。
其中,所述确定模块601包括:解析单元,用于收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;匹配单元,用于利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;确定单元,用于当得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则确定所述上行公网报文为HTTP报文类型,以及当得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则确定所述上行公网报文为HTTPS报文类型。
其中,所述建立协议连接模块602包括:
建立第一协议连接单元,用于当确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。
其中,所述建立协议连接模块602还包括:
建立第二协议连接单元,用于当确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文。
其中,所述发送模块603具体用于在收到所述HTTP代理服务器返回的下行HTTP协议报文时,将所述下行HTTP协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的HTTP协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
其中,所述发送模块603还具体用于在收到所述HTTP代理服务器返回的下行SSL协议报文时,将所述下行SSL协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的SSL协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
图7是本发明实施例提供的企业内部用户移动网终端使用HTTP代理服务器的示意图,如图7所示,企业网络的内部用户,使用移动网终端访问公网时,新设备模拟公网服务器,与用户终端建立HTTP协议连接,收取用户协议报文;新设备再模拟内网主机代理上网行为,通过HTTP代理服务器访问公网。
对于HTTP访问,新设备模拟公网服务器与用户终端建立HTTP连接,收取用户终端的HTTP请求报文;而后新设备模拟内网主机,与HTTP代理服务器建立HTTP连接,将收取的用户终端HTTP报文,进行URL(Uniform resource locator,统一资源定位符)处理后,发往HTTP代理服务器,HTTP代理服务器通过与公网服务器之间的HTTP连接发给公网服务器。用户终端HTTP报文中URL为相对URL,而内网主机发往代理服务器的HTTP报文为绝对URL,在进行URL处理中,将用户终端HTTP报文中相对URL修正为绝对URL,并收取HTTP代理服务器返回的HTTP响应报文,新设备再模拟公网服务器,通过与用户终端之间的HTTP连接发给用户终端。
图8是本发明实施例提供的企业内部用户移动网终端使用HTTP代理服务器的示意图,如图8所示,企业网络的内部用户,使用移动网终端访问公网时,新设备模拟公网服务器,与用户终端建立SSL协议连接,收取用户协议报文;新设备再模拟内网主机代理上网行为,通过HTTP代理服务器访问公网。
对于HTTPS访问,新设备模拟公网服务器与用户终端建立SSL连接,收取SSL报文;而后新设备模拟内网主机,与HTTP代理服务器建立HTTP连接并使用connect方法请求HTTP代理服务器与公网服务器建立SSL连接,将收取的用户终端SSL报文发往HTTP代理服务器,由HTTP代理服务器通过与公网服务器之间的SSL连接发给公网服务器。收取HTTP代理服务器返回的SSL报文,新设备再模拟公网服务器,通过与用户终端之间的SSL连接发给用户终端。
如图7和图8所示,新设备逐包分析移动网基站的用户上行报文,识别出内部用户的公网HTTP/HTTPS访问报文,根据代理配置规则,模拟公网服务器与用户终端建立HTTP或者SSL连接,收取用户终端的HTTP报文或者SSL报文;模拟内网主机,根据代理配置规则,与HTTP代理服务器建立HTTP连接,并把用户HTTP或者SSL协议报文发往HTTP代理服务器;收取代理服务器返回的用户报文,模拟公网服务器,通过之前与用户终端建立的HTTP或者SSL协议连接通过移动网基站发给用户终端。
具体来讲,包括以下步骤:
1)识别HTTP/HTTPS公网访问报文:目的地址符合公网地址配置规则,并且TCP端口号符合HTTP端口列表规则或者HTTPS端口列表规则的上行报文。
2)模拟公网服务器收发HTTP报文:模拟公网服务器与用户终端建立HTTP连接,收取用户终端发来的HTTP协议报文。将从HTTP代理服务器收取的用户HTTP协议报文,通过与用户终端的HTTP连接发给用户终端。
3)模拟公网服务器收发SSL报文:模拟公网服务器与用户终端建立SSL连接,收取用户终端发来的SSL协议报文。将从HTTP代理服务器收取的用户SSL协议报文,通过与用户终端的SSL连接发给用户终端。
4)模拟内部主机收发与HTTP代理服务器之间的HTTP报文:模拟内部主机行为,与HTTP代理服务器建立HTTP连接。将收取的用户终端HTTP协议报文,进行URL处理后,发送给HTTP代理服务器;收取HTTP代理服务器返回的HTTP协议报文。
5)模拟内部主机收发与HTTP代理服务器之间SSL报文:模拟内部主机行为,与HTTP代理服务器建立HTTP连接并使用CONNECT方法请求代理服务器与公网服务器建立SSL连接。将收取的用户终端SSL协议报文,通过与代理服务器的HTTP连接发送给HTTP代理服务器;收取HTTP代理服务器返回的SSL协议报文。
图9是本发明实施例提供的新增模块的示意图,如图9所示,包括:规则配置模块、用户报文代理模块、上行报文处理模块以及下行报文处理模块。
规则配置模块,提供公网地址规则、HTTP端口列表、HTTPS端口列表和HTTP代理服务器规则。公网地址规则,配置地址信息,这些地址将通过HTTP代理服务器访问公网。具体实施时,可采用类似内网主机的配置方法,即配置例外地址列表,除此之外,均视为公网地址;也可以采用显示指明的方法,即明确指明哪些子网为公网地址。HTTP端口列表配置哪些TCP端口为HTTP端口。HTTPS端口列表配置哪些TCP端口为HTTPS端口。HTTP代理服务器规则配置HTTP代理服务器地址和端口号,允许配置多条HTTP代理服务器配置记录,用于动态选择或者负荷分担。
上行报文处理模块,逐包分析内部用户的S1-U上行报文,解析用户报文中的目的地址和TCP端口号,根据公网地址规则和HTTP端口列表规则、HTTPS端口列表规则,识别出上行公网HTTP/HTTPS报文,提取出用户报文(IP报文)发给用户报文代理模块。
用户报文代理模块,分为HTTP报文代理模块和HTTPS报文代理模块。收到上行报文处理模块发来的报文后,根据类型,动态创建HTTP报文代理模块和HTTPS报文代理模块。
HTTP报文代理模块,模拟公网服务器与用户终端建立HTTP连接,收取用户终端的HTTP报文,模拟内网主机行为,根据代理规则配置,与HTTP代理服务器建立HTTP连接,将收取的用户终端HTTP报文,进行URL处理后,发往HTTP代理服务器。收取HTTP代理服务器返回的HTTP响应报文,模拟公网服务器,通过与用户终端之间的HTTP连接发给用户终端,报文打包后发往下行报文处理模块。
HTTPS报文代理模块,模拟公网服务器与用户终端建立SSL连接,收取用户终端的SSL报文,模拟内网主机行为,根据代理规则配置,与HTTP代理服务器建立HTTP连接,并使用CONNECT方法请求HTTP代理服务器与公网服务器建立SSL连接,将收取的用户终端SSL报文,通过与HTTP代理服务器的HTTP连接发往HTTP代理服务器。收取HTTP代理服务器返回的SSL报文,模拟公网服务器,通过与用户终端之间的SSL连接发给用户终端,报文打包后发往下行报文处理模块。
HTTP报文代理模块和HTTPS报文代理模块,收到用户终端的TCP连接释放报文时释放,并通知用户报文代理模块。
下行报文处理模块,将用户报文代理模块发来的用户报文,打包成S1-U报文发给移动网基站发往用户终端。
图10是本发明实施例提供的图9中的新增模块部署的示意图,如图10所示,包括两种部署方式:方式1,与移动网基站部署在一起。优点是与移动网基站集成,便于管理;缺点是需要升级移动网基站软件版本,不利于部署。方式2,单独设备部署。优点是对移动网基站没有影响,便于部署;缺点是需要新增一台设备。
图11是本发明实施例提供的企业内部用户HTTP公网访问上行报文处理流程图,如图11所示,S1是移动网基站eNB和核心网EPC之间的逻辑链路,S1-U报文指S1链路上的用户报文,S1-U报文中封装着用户终端的IP报文,也称为用户报文。在本示例中,本发明技术方案从移动网基站eNB收到S1-U上行报文,识别出内部用户的上行HTTP公网访问报文,模拟公共代理服务器收取,经过URL处理,模拟内网主机发往HTTP代理服务器访问公网。具体包括:
步骤1101:UE发送空口报文,携带用户报文(用户HTTP报文);
步骤1102:移动网基站提取用户报文(用户HTTP报文),打包成S1-U发送;
步骤1103:上行报文处理模块逐包分析内部用户的S1-U上行报文,解析出内部用户报文中的目的地址和TCP端口号,识别出上行HTTP公网报文;
步骤1104:上行报文处理模块将用户报文(用户HTTP报文)发给用户报文代理模块;
步骤1105:用户报文代理模块检查是否存在该用户连接的HTTP报文代理模块,没有则创建该用户连接的HTTP报文代理模块;
步骤1106:用户报文代理模块转给HTTP报文代理模块处理;
步骤1107:HTTP报文代理模块模拟公网服务器,创建与UE的HTTP连接;
步骤1108:UE和HTTP报文代理模块间的HTTP连接创建成功。UE和HTTP报文代理模块之间的报文将通过这个HTTP连接发送;
步骤1109:HTTP报文代理模块发起建立与HTTP代理服务器的HTTP连接;
步骤1110:HTTP报文代理模块收取用户HTTP报文;
步骤1111:HTTP报文代理模块将收取的用户HTTP报文,进行URL处理后,发送给HTTP代理服务器。
图12是本发明实施例提供的内部用户HTTP公网访问下行报文处理流程图,如图12所示,在收到HTTP代理服务器返回的HTTP报文,模拟公网服务器,通过与UE之间的HTTP连接发给用户终端,将用户报文打包成S1-U下行报文发往移动网基站。具体包括:
步骤1201:UE与HTTP报文代理模块的HTTP连接已建立;
步骤1202:HTTP报文代理模块与HTTP代理服务器的HTTP连接已建立;
步骤1203:HTTP代理服务器发送HTTP响应报文给HTTP报文代理模块;
步骤1204:HTTP报文代理模块收取HTTP响应报文;
步骤1205:HTTP报文代理模块将收取的HTTP响应报文封装成发给UE的用户报文(用户IP报文);
步骤1206:HTTP报文代理模块将用户报文发给下行处理模块;
步骤1207:下行处理模块打包成S1-U下行报文发往移动网基站;
步骤1208:移动网基站提取用户报文,通过空口报文携带给UE。
图13是本发明实施例提供的内部用户HTTPS公网访问上行报文处理流程图,如图13所示,从移动网基站eNB收到S1-U上行报文,识别出内部用户的上行HTTPS公网报文,模拟公共代理服务器收取,再模拟内网主机发往HTTP代理服务器访问公网。具体包括:
步骤1301:UE发送空口报文,携带用户报文(用户SSL报文);
步骤1302:移动网基站提取用户报文(用户SSL报文),打包成S1-U发送;
步骤1303:上行报文处理模块逐包分析内部用户的S1-U上行报文,解析出内部用户报文中的目的地址和TCP端口号,识别出上行HTTPS公网报文;
步骤1304:上行报文处理模块将用户报文(用户SSL报文)发给用户报文代理模块;
步骤1305:用户报文代理模块检查是否存在该用户连接的HTTPS报文代理模块,没有则创建该用户连接的HTTPS报文代理模块;
步骤1306:用户报文代理模块转给HTTPS报文代理模块处理;
步骤1307:HTTPS报文代理模块模拟公网服务器,创建与UE的SSL连接;
步骤1308:UE和HTTPS报文代理模块间的SSL连接创建成功。UE和HTTPS报文代理模块之间的报文将通过这个SSL连接发送;
步骤1309:HTTPS报文代理模块发起建立与HTTP代理服务器的HTTP连接,并通过CONNECT方法请求HTTP代理服务器建立与公网服务器的SSL连接;
步骤1310:HTTPS报文代理模块收取用户SSL报文;
步骤1311:HTTPS报文代理模块将收取的用户SSL报文发送给HTTP代理服务器。
图14是本发明实施例提供的内部用户HTTPS公网访问下行报文处理流程图,如图14所示,在收到HTTP代理服务器返回的SSL报文,模拟公网服务器,通过与UE之间的SSL连接发给用户终端,将用户报文打包成S1-U下行报文发往移动网基站。具体包括:
步骤1401:UE与HTTPS报文代理模块的SSL连接已建立;
步骤1402:HTTPS报文代理模块与HTTP代理服务器的HTTP连接已建立;
步骤1403:HTTP代理服务器发送SSL报文给HTTPS报文代理模块;
步骤1404:HTTPS报文代理模块收取SSL报文;
步骤1405:HTTPS报文代理模块将收取的SSL报文封装成发给UE的用户报文(用户IP报文);
步骤1406:HTTPS报文代理模块将用户报文发给下行处理模块;
步骤1407:下行处理模块打包成S1-U下行报文发往移动网基站;
步骤1408:移动网基站提取用户报文,通过空口报文携带给UE。
根据本发明实施例提供的方案,企业网络内部用户移动终端,在移动网基站侧,使用企业网络HTTP代理服务器访问公网业务,充分利用企业网络原来租用的有线传输带宽,节约了成本,同时也便于企业网络管控其内部用户移动网终端访问公网的行为。
尽管上文对本发明进行了详细说明,但是本发明不限于此,本技术领域技术人员可以根据本发明的原理进行各种修改。因此,凡按照本发明原理所作的修改,都应当理解为落入本发明的保护范围。
Claims (12)
1.一种企业移动专用网的用户终端访问公网的方法,包括:
企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;
企业移动专用网基站侧根据所确定的上行公网报文的报文类型,模拟公网服务器建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;
企业移动专用网基站侧模拟所述企业移动专用网的内网主机将所述上行协议报文路由到HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网;
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,模拟公网服务器通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端;
其中,所述HTTP是指超文本传输协议。
2.根据权利要求1所述的方法,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息;所述报文类型包括HTTP报文类型和HTTPS报文类型;
其中,所述TCP是指传输控制协议;所述HTTPS是指超文本传输安全协议。
3.根据权利要求2所述的方法,所述企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型包括:
企业移动专用网基站侧收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;
企业移动专用网基站侧利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;
若得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型;
若得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型。
4.根据权利要求3所述的方法,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:
企业移动专用网基站侧确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。
5.根据权利要求3所述的方法,所述企业移动专用网基站侧根据所确定的上行公网报文的报文类型,建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文包括:
企业移动专用网基站侧确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文;
其中,所述SSL是指安全套接层。
6.根据权利要求4所述的方法,所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行HTTP协议报文时,将所述下行HTTP协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的HTTP协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
7.根据权利要求5所述的方法,所述企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行协议报文时,通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端包括:
企业移动专用网基站侧在收到所述HTTP代理服务器返回的下行SSL协议报文时,将所述下行SSL协议报文封装成用于发送给所述企业内部用户的移动终端的下行用户报文,并通过所建立的SSL协议连接将所述下行用户报文发送给所述企业内部用户的移动终端。
8.一种企业移动专用网的用户终端访问公网的装置,包括:
确定模块,用于收到企业内部用户的移动终端发送的上行公网报文时,确定所述上行公网报文的报文类型;
建立协议连接模块,用于根据所确定的上行公网报文的报文类型,模拟公网服务器建立其与所述企业内部用户的移动终端之间的相应报文类型的协议连接,并经由所述协议连接获取所述企业内部用户的移动终端发送的上行协议报文;
发送模块,用于模拟所述企业移动专用网的内网主机将所述上行协议报文路由到HTTP代理服务器,以便所述企业内部用户的移动终端经由所述HTTP代理服务器访问公网,并在收到所述HTTP代理服务器返回的下行协议报文时,模拟公网服务器通过所建立的协议连接将所述下行协议报文发送给所述企业内部用户的移动终端;
其中,所述HTTP是指超文本传输协议。
9.根据权利要求8所述的装置,所述上行公网报文包括用于标识公网地址的目的地址信息和用于标识报文类型的TCP端口号信息;所述报文类型包括HTTP报文类型和HTTPS报文类型;
其中,所述TCP是指传输控制协议;所述HTTPS是指超文本传输安全协议。
10.根据权利要求8所述的装置,所述确定模块包括:
解析单元,用于收到企业内部用户的移动终端发送的上行公网报文时,通过对所述上行公网报文进行解析,得到所述上行公网报文的目的地址和TCP端口号;
匹配单元,用于利用预置的公网地址库、HTTP端口列表库以及HTTPS端口列表库,对所得到的目的地址和TCP端口号进行匹配处理;
确定单元,用于当得到的目的地址和TCP端口号与所述公网地址库和HTTP端口列表库相匹配,则确定所述上行公网报文为HTTP报文类型,以及当得到的目的地址和TCP端口号与所述公网地址库和HTTPS端口列表库相匹配,则确定所述上行公网报文为HTTPS报文类型。
11.根据权利要求10所述的装置,所述建立协议连接模块包括:
建立第一协议连接单元,用于当确定所述上行公网报文为HTTP报文类型时,建立其与所述企业内部用户的移动终端之间的HTTP协议连接,并经由所述HTTP协议连接获取所述企业内部用户的移动终端发送的上行HTTP协议报文。
12.根据权利要求10所述的装置,所述建立协议连接模块包括:
建立第二协议连接单元,用于当确定所述上行公网报文为HTTPS报文类型时,建立其与所述企业内部用户的移动终端之间的SSL协议连接,并经由所述SSL协议连接获取所述企业内部用户的移动终端发送的上行SSL协议报文;
其中,所述SSL是指安全套接层。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710081308.7A CN108696546B (zh) | 2017-02-15 | 2017-02-15 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
| PCT/CN2018/075548 WO2018149342A1 (zh) | 2017-02-15 | 2018-02-07 | 移动专用网的用户终端访问公网的方法、装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710081308.7A CN108696546B (zh) | 2017-02-15 | 2017-02-15 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108696546A CN108696546A (zh) | 2018-10-23 |
| CN108696546B true CN108696546B (zh) | 2021-08-24 |
Family
ID=63169126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710081308.7A Active CN108696546B (zh) | 2017-02-15 | 2017-02-15 | 一种企业移动专用网的用户终端访问公网的方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN108696546B (zh) |
| WO (1) | WO2018149342A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109587204B (zh) * | 2017-09-29 | 2021-11-02 | 中兴通讯股份有限公司 | 一种访问公网的方法、装置和电子设备 |
| CN111405615B (zh) * | 2020-03-19 | 2021-10-22 | 联想(北京)有限公司 | 一种通信数据的传输方法、装置及存储介质 |
| CN113301106A (zh) * | 2021-03-23 | 2021-08-24 | 阿里巴巴新加坡控股有限公司 | 运维处理***、方法以及装置 |
| CN113364842B (zh) * | 2021-05-31 | 2022-12-16 | 深圳市光网世纪科技有限公司 | 一种网络数据传输方法 |
| CN113900978B (zh) * | 2021-10-27 | 2024-05-10 | 海光信息技术股份有限公司 | 数据传输方法、装置和芯片 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052022A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 一种虚拟专用网用户访问公网的***和方法 |
| CN102835093A (zh) * | 2010-04-15 | 2012-12-19 | 微软公司 | 用于通过http的可靠协议隧穿的方法和*** |
| KR101472964B1 (ko) * | 2013-12-11 | 2014-12-16 | 콘텔라 주식회사 | 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6397259B1 (en) * | 1998-05-29 | 2002-05-28 | Palm, Inc. | Method, system and apparatus for packet minimized communications |
| US6711678B2 (en) * | 2002-04-05 | 2004-03-23 | Expand Beyond Corporation | Pre-authenticated communication within a secure computer network |
| CN100372323C (zh) * | 2003-06-12 | 2008-02-27 | 华为技术有限公司 | 一种访问服务器群的方法 |
| US8474035B2 (en) * | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | VPN network client for mobile device having dynamically constructed display for native access to web mail |
| US8819233B2 (en) * | 2011-03-11 | 2014-08-26 | Qualcomm Incorporated | System and method using a web proxy-server to access a device having an assigned network address |
| CN104798355A (zh) * | 2012-09-18 | 2015-07-22 | 思杰***有限公司 | 移动设备管理和安全 |
| US8498626B1 (en) * | 2012-12-10 | 2013-07-30 | Verizon Patent And Licensing Inc. | Service-based access for enterprise private network devices to service provider network services |
| US9935879B2 (en) * | 2012-12-29 | 2018-04-03 | Netronome Systems, Inc. | Efficient intercept of connection-based transport layer connections |
| CN103118147A (zh) * | 2013-01-24 | 2013-05-22 | 中国联合网络通信集团有限公司 | 内网服务器访问方法、设备和*** |
| CN103475699A (zh) * | 2013-08-27 | 2013-12-25 | 北京创毅讯联科技股份有限公司 | 一种企业网代理装置及企业网与公网通信的方法 |
| CN106302839B (zh) * | 2015-05-12 | 2020-06-26 | 中兴通讯股份有限公司 | 互联网协议ip地址的分配方法及装置 |
| CN106101015B (zh) * | 2016-07-19 | 2020-08-14 | 广东药科大学 | 一种移动互联网流量类别标记方法和*** |
-
2017
- 2017-02-15 CN CN201710081308.7A patent/CN108696546B/zh active Active
-
2018
- 2018-02-07 WO PCT/CN2018/075548 patent/WO2018149342A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052022A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 一种虚拟专用网用户访问公网的***和方法 |
| CN102835093A (zh) * | 2010-04-15 | 2012-12-19 | 微软公司 | 用于通过http的可靠协议隧穿的方法和*** |
| KR101472964B1 (ko) * | 2013-12-11 | 2014-12-16 | 콘텔라 주식회사 | 이동통신망을 이용한 기업 통신 서비스를 위한 보안 시스템 및 보안 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018149342A1 (zh) | 2018-08-23 |
| CN108696546A (zh) | 2018-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108696546B (zh) | 一种企业移动专用网的用户终端访问公网的方法及装置 | |
| US11233856B2 (en) | Selecting an address of a device | |
| EP2764662B1 (en) | Test traffic interceptor in a data network | |
| EP3576379A1 (en) | Service layer interworking using mqtt protocol | |
| CN109587275A (zh) | 一种通信连接的建立方法及代理服务器 | |
| CN113347738B (zh) | 通信方法、装置、计算机可读介质及电子设备 | |
| EP3198795A1 (en) | Control of communication using service function chaining | |
| EP3520444B1 (en) | Enhancement of traffic detection and routing in virtualized environment | |
| CN102118398B (zh) | 访问控制方法、装置及*** | |
| US20150181592A1 (en) | Telecommunications Networks | |
| CN111385203A (zh) | 基于混合云的数据传输方法、装置、设备及存储介质 | |
| Balan et al. | Multihoming for mobile internet of multimedia things | |
| CN116633934A (zh) | 负载均衡方法、装置、节点及存储介质 | |
| CN103152444B (zh) | 中继方式的网络地址转换及报文传输方法及装置、*** | |
| EP3813481B1 (en) | Information transmission methods and system | |
| CN104488232B (zh) | 用于互连两个子网络的设备和方法 | |
| CN111587586B (zh) | 支持无锚回传的gtp隧道 | |
| WO2015171023A1 (en) | Establishing a multipath tcp (mptcp) connection | |
| CN109587204B (zh) | 一种访问公网的方法、装置和电子设备 | |
| CN110784391B (zh) | 小基站与网关通信的方法、装置、存储介质及终端 | |
| US20160353359A1 (en) | Method for network sharing of multiple network operators and network sharing management proxy device using the same | |
| US20160156537A1 (en) | Method and network monitoring device for estimating web page download time on a user device | |
| CN107864095A (zh) | 数据的发送方法和装置 | |
| CN107846301B (zh) | 一种端到端业务测试***和方法 | |
| EP3107352B1 (en) | Information transfer method, system and apparatus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |