控制終端通信范圍的方法和設備的制造方法
【技術領域】
[0001]本發(fā)明涉及移動分組域網(wǎng)絡領域��,特別涉及一種控制終端通信范圍的方法和設備�。
【背景技術】
[0002]很多行業(yè)應用采用運營商網(wǎng)絡接入其終端,同時客戶擁有的后端網(wǎng)絡(“客戶網(wǎng)絡”)也接入運營商網(wǎng)絡�。客戶的終端與其后端網(wǎng)絡中的應用服務器基于運營商網(wǎng)絡進行通信���,完成特定的功能�,例如水文采集�、環(huán)保監(jiān)控等。
[0003]由于部分客戶的終端在特定的應用中使用����,部分客戶希望,從系統(tǒng)管理角度看�����,企業(yè)分發(fā)給安裝人員或使用人員的UIM (User Identity Module,用戶識別模塊)卡內置在終端以后����,只用來訪問企業(yè)指定的某個或某幾個特定的應用服務器���;從安全性角度看,內置上述ΠΜ卡的終端只允許和用戶特定的應用服務器之間的雙向通信��,不允許來自其它IP地址的應用服務器對這些終端的訪問���。
[0004]然而,目前采用的VPDN (Virtual Private Dial-up Networks,虛擬專用撥號網(wǎng))機制能夠實現(xiàn)內置某個客戶手機卡的終端和這個客戶網(wǎng)絡之間的雙向通信�����。即����,運營商網(wǎng)絡只能控制這些終端的路由到客戶的某個網(wǎng)絡,不能控制這些終端與客戶網(wǎng)絡中的某個或某幾個特定應用服務器之間進行通信���。
【發(fā)明內容】
[0005]本發(fā)明實施例所要解決的一個技術問題是:如何控制終端通信范圍的問題�。
[0006]根據(jù)本發(fā)明實施例的一個方面���,提出一種控制終端通信范圍的方法��,包括:分組數(shù)據(jù)網(wǎng)網(wǎng)關根據(jù)終端發(fā)起的點對點傳輸協(xié)議PPP連接過程建立PPP連接與應用服務器地址列表之間的映射關系��;分組數(shù)據(jù)網(wǎng)網(wǎng)關根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾����。
[0007]在一個實施例中,分組數(shù)據(jù)網(wǎng)網(wǎng)關根據(jù)終端發(fā)起的點對點傳輸協(xié)議PPP連接過程建立PPP連接與應用服務器地址列表之間的映射關系包括:分組數(shù)據(jù)網(wǎng)網(wǎng)關響應于終端發(fā)起的PPP連接請求��,向驗證授權和記賬AAA服務器發(fā)起鑒權請求�����,PPP連接請求和鑒權請求攜帶終端的國際移動用戶識別碼頂SI和終端接入網(wǎng)絡用的網(wǎng)絡接入標識ΝΑΙ ;AAA服務器響應于分組數(shù)據(jù)網(wǎng)網(wǎng)關發(fā)起的鑒權請求���,在頂S1�、NAI和應用服務器地址列表之間的綁定關系中查找與鑒權請求中的頂SI和NAI匹配的記錄�,并將匹配記錄中的應用服務器地址列表返回給分組數(shù)據(jù)網(wǎng)網(wǎng)關;分組數(shù)據(jù)網(wǎng)網(wǎng)關接收AAA服務器返回的應用服務器地址列表�����,并建立PPP連接與應用服務器地址列表之間的映射關系�。
[0008]在一個實施例中,分組數(shù)據(jù)網(wǎng)網(wǎng)關根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾包括:分組數(shù)據(jù)網(wǎng)網(wǎng)關接收到終端發(fā)送的上行報文后�����,提取報文頭中的會話標識和報文內部IP報文頭中的目的地址,查找終端發(fā)送的上行報文的目的地址是否在該會話標識對應的映射關系記錄中����,并過濾終端發(fā)送的上行報文的目的地址不在該會話標識對應的映射關系記錄中的報文;或者�����,所述分組數(shù)據(jù)網(wǎng)網(wǎng)關接收到外部設備發(fā)送的下行IP報文后��,提取IP報文頭中的源地址和目的地址�����,根據(jù)提取的目的地址判斷該IP報文是否為發(fā)往所述終端的報文�����,響應于該IP報文是發(fā)往所述終端的報文的判斷結果���,確定與該目的地址對應的會話標識,并查找該IP報文的源地址是否在該會話標識對應的映射關系記錄中�,并過濾該IP報文的源地址不在該會話標識對應的映射關系記錄中的報文����。
[0009]在一個實施例中�����,該方法還包括:分組數(shù)據(jù)網(wǎng)網(wǎng)關在PPP連接終止時��,刪除PPP連接與應用服務器地址列表之間的映射關系����。
[0010]根據(jù)本發(fā)明實施例的再一個方面,提出一種控制終端通信范圍的方法���,包括:控制裝置根據(jù)終端發(fā)起的隧道建立過程建立隧道與應用服務器地址列表之間的映射關系�����;控制裝置根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾��。
[0011]在一個實施例中����,控制裝置根據(jù)終端發(fā)起的隧道建立過程建立隧道與應用服務器地址列表之間的映射關系包括:控制裝置響應于終端發(fā)起的隧道建立請求���,向驗證授權和記賬AAA服務器發(fā)起鑒權請求�����,隧道建立請求和鑒權請求攜帶終端的國際移動用戶識別碼IMSI和終端接入網(wǎng)絡用的網(wǎng)絡接入標識ΝΑΙ ;AAA服務器響應于控制裝置發(fā)起的鑒權請求����,在MS1、NAI和應用服務器地址列表之間的綁定關系中查找與鑒權請求中的MSI和NAI匹配的記錄�����,并將匹配記錄中的應用服務器地址列表返回給控制裝置�;控制裝置接收AAA服務器返回的應用服務器地址列表,并建立隧道與應用服務器地址列表之間的映射關系����。
[0012]在一個實施例中���,控制裝置根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾包括:控制裝置接收到終端發(fā)送的上行報文后�,提取報文頭中的隧道標識和報文內部IP報文頭中的目的地址�,查找終端發(fā)送的上行報文的目的地址是否在該隧道標識對應的映射關系記錄中,并過濾終端發(fā)送的上行報文的目的地址不在該隧道標識對應的映射關系記錄中的報文����;或者�����,控制裝置接收到外部設備發(fā)送的下行IP報文后��,提取IP報文頭中的源地址和目的地址�,根據(jù)提取的目的地址判斷該IP報文是否為發(fā)往所述終端的報文�,響應于該IP報文是發(fā)往所述終端的報文的判斷結果,確定與該目的地址對應的隧道標識���,查找該IP報文的源地址是否在該隧道標識對應的映射關系記錄中����,并過濾該IP報文的源地址不在該隧道標識對應的映射關系記錄中的報文���。
[0013]在一個實施例中���,該方法還包括:控制裝置在隧道拆除時,刪除隧道與應用服務器地址列表之間的映射關系���。
[0014]根據(jù)本發(fā)明實施例的又一個方面��,提出一種控制終端通信范圍的分組數(shù)據(jù)網(wǎng)網(wǎng)關���,包括:映射關系建立模塊��,用于根據(jù)終端發(fā)起的點對點傳輸協(xié)議PPP連接過程建立PPP連接與應用服務器地址列表之間的映射關系�����;報文過濾模塊�����,用于根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾���。
[0015]在一個實施例中,映射關系建立模塊�����,具體用于:響應于終端發(fā)起的PPP連接請求��,向驗證授權和記賬AAA服務器發(fā)起鑒權請求,PPP連接請求和鑒權請求攜帶終端的國際移動用戶識別碼頂SI和終端接入網(wǎng)絡用的網(wǎng)絡接入標識NAI��,以便AAA服務器響應于分組數(shù)據(jù)網(wǎng)網(wǎng)關發(fā)起的鑒權請求����,在MS1、NAI和應用服務器地址列表之間的綁定關系中查找與鑒權請求中的頂SI和NAI匹配的記錄���,并返回匹配記錄中的應用服務器地址列表�����;接收AAA服務器返回的應用服務器地址列表�����,并建立PPP連接與應用服務器地址列表之間的映身寸關系����。
[0016]在一個實施例中����,報文過濾模塊,具體用于:接收到終端發(fā)送的上行報文后��,提取報文頭中的會話標識和報文內部IP報文頭中的目的地址��,查找終端發(fā)送的上行報文的目的地址是否在該會話標識對應的映射關系記錄中,并過濾終端發(fā)送的上行報文的目的地址不在該會話標識對應的映射關系記錄中的報文�;接收到外部設備發(fā)送的下行IP報文后,提取IP報文頭中的源地址和目的地址�,根據(jù)提取的目的地址判斷該IP報文是否為發(fā)往所述終端的報文,響應于該IP報文是發(fā)往所述終端的報文的判斷結果��,確定與該目的地址對應的會話標識����,并查找該IP報文的源地址是否在該會話標識對應的映射關系記錄中,并過濾該IP報文的源地址不在該會話標識對應的映射關系記錄中的報文����。
[0017]在一個實施例中,分組數(shù)據(jù)網(wǎng)網(wǎng)關還包括:映射關系刪除模塊�,用于在PPP連接終止時,刪除PPP連接與應用服務器地址列表之間的映射關系���。
[0018]根據(jù)本發(fā)明實施例的另一個方面��,提出一種控制終端通信范圍的控制裝置���,包括:映射關系建立模塊,用于根據(jù)終端發(fā)起的隧道建立過程建立隧道與應用服務器地址列表之間的映射關系�;報文過濾模塊�����,用于根據(jù)映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾。
[0019]在一個實施例中����,映射關系建立模塊,具體用于:響應于終端發(fā)起的隧道建立請求����,向驗證授權和記賬AAA服務器發(fā)起鑒權請求,隧道建立請求和鑒權請求攜帶終端的國際移動用戶識別碼頂SI和終端接入網(wǎng)絡用的網(wǎng)絡接入標識NAI,以便AAA服務器響應于控制裝置發(fā)起的鑒權請求����,在頂S1、NAI和應用服務器地址列表之間的綁定關系中查找與鑒權請求中的頂SI和NAI匹配的記錄��,并返回匹配記錄中的應用服務器地址列表��;接收AAA服務器返回的應用服務器地址列表���,并建立隧道與應用服務器地址列表之間的映射關系�����。
[0020]在一個實施例中�,報文過濾模塊,具體用于:接收到終端發(fā)送的上行報文后�,提取報文頭中的隧道標識和報文內部IP報文頭中的目的地址,查找終端發(fā)送的上行報文的目的地址是否在該隧道標識對應的映射關系記錄中����,并過濾終端發(fā)送的上行報文的目的地址不在該隧道標識對應的映射關系記錄中的報文;接收到外部設備發(fā)送的下行IP報文后����,提取IP報文頭中的源地址和目的地址,根據(jù)提取的目的地址判斷該IP報文是否為發(fā)往所述終端的報文�����,響應于該IP報文是發(fā)往所述終端的報文的判斷結果����,確定與該目的地址對應的隧道標識,查找該IP報文的源地址是否在該隧道標識對應的映射關系記錄中����,并過濾該IP報文的源地址不在該隧道標識對應的映射關系記錄中的報文。
[0021]在一個實施例中����,該控制裝置還包括:映射關系刪除模塊�,用于在隧道拆除時��,刪除隧道與應用服務器地址列表之間的映射關系��。
[0022]本發(fā)明實施例至少具有以下優(yōu)點:
[0023]一方面��,終端向運營商網(wǎng)絡的分組數(shù)據(jù)網(wǎng)網(wǎng)關發(fā)起PPP連接過程���,分組數(shù)據(jù)網(wǎng)網(wǎng)關建立PPP連接與應用服務器地址列表之間的映射關系,并根據(jù)該映射關系對于終端發(fā)送的報文和發(fā)往終端的報文分別進行目的地址過濾和源地址過濾��,以實現(xiàn)終端與客戶網(wǎng)絡中特定應用服務器之間的通信����,達到控制終端通信范圍的目的,進而提高通信的安全性�,方便企業(yè)進行管理。另外�,在映射關系建立時,分組數(shù)據(jù)網(wǎng)網(wǎng)關響應于終端發(fā)起的PPP連接向AAA服務器發(fā)起鑒權�,AAA服