专利名称:基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法
技术领域:
本发明涉及公用移动通信领域、数据网络领域和信息安全领域,具体来说,是通过各移动运营商提供的通用分组无线业务GPRS/码分多址CDMA2000 1X包数据交换传输平台,来完成异地机构与本地机构以太网网络数据的透明、无线、安全的传输。
背景技术:
现在很多中小企业各地办事处与企业总部之间出于成本考虑,还没有建立IP数据传输线路。目前他们信息交流的一般方式大概为以下三种电话、传真、电子邮件。1)电话方式价格贵,而且经常不能够完全说清楚问题和情况;2)传真方式经常由于相关人员或传真设备的问题造成信息不能及时传递或丢失,而且同样的资料在办事处和公司总部会形成2份以上相同的传真稿,造成办公纸张浪费;3)电子邮件方式的信息传递存在较大时延,而且由于邮件网络问题经常会造成电子邮件E-mail的丢失,同时对于相关人员是否通过电子邮件将信息发出也无法查证。而且对于有的企业办事处已有的电子网络办公平台也无法与公司总部内网联网,不能够作到办事处与公司总部的各类信息及时共享。
另外由于IP数据网的飞速发展,目前有条件的各种企业集团的企业内部数据网络建设已近完成,各种企业资源计划ERP、客户关系管理CRM、供应链关系管理SCM、管理信息系统MIS系统均建立在这些企业集团的内部IP数据网络上。为了随时掌握企业业务动态、进行业务信息传递/交流,企业集团的各分支机构/业务网点就需要随时远程和企业总部的内部IP数据网络进行信息数据交换。传统的分支机构远程接入企业总部内部IP数据网的方式包括数字数据服务DDN专线、数据微波、公用服务有线电话网络PSTN拨号接入等,但这些方式开通比较麻烦,通信费用一般较高,而且相应通信资源的利用率很低。
发明内容
针对当前远程网络数据传输情况,需要有一种新的高性价比远程透明网络连接方式来替代原有的专线或拨号等数据传输方式,本发明的目的为了克服上述存在的问题和不足,提供一种基于GPRS/CDMA2000 1X的无线透明VPN网桥系统传输方法,无线透明VPN网桥系统实现了在远程异地机构以太网链路层上,以目前移动通信运营商提供的2.5G公用无线包数据传输交换平台GPRS/CDMA2000 1X为传输基础,进行异地网络以太网IP数据的远程透明无线传输与交互的功能。采用该方法的无线透明VPN网桥系统由无线VPN终端和VPN网关组成,其都工作在以太网链路层,本无线VPN系统对用户原有以太网IP网络具有透明性,利用该系统组网不需要额外开发软件或安装客户端软件,用户所有上层应用系统均为企业原有软件,同时对企业原有系统或网络也不需要作任何改动。而且该系统对数据的传输具有高度加密和鉴权机制,与在互联网Internet上建立的有线VPN类似,是在无线公网平台上建立的企业通用透明无线传输VPN系统。
无线透明VPN网桥技术运用以太网数据链路层包数据处理机制、2.5G公用无线通信系统GPRS或CDMA2000 1X的包数据传输通道,在异地机构以太网数据链路层获得需要传输到本地机构的数据包,通过公用无线通信系统的包数据传输业务,无线传输到本地机构以太网的数据链路层;同时在本地以太网数据链路层获得需要传输到异地机构的数据包,通过公用无线通信系统的包数据传输业务,无线传输到异地以太网的数据链路层。实现异地网络间以太网IP数据的远程透明无线传输与实时交互。
无线透明VPN网桥系统由无线VPN终端和VPN网关组成,无线VPN终端工作在以太网数据链路层和GPRS/CDMA2000 1X无线接入网。终端以太网线RJ45接口从以太网链路层接收分支机构网络需要发送到总部网络的数据,转换成GPRS/CDMA2000 1X传输形式并无线发射出去;同时接收GPRS/CDMA2000 1X无线下行数据,分析该信息是否是VPN网关发送的信息,如果该信息是VPN网关发送的信息,则将其转换成以太网接口方式输出,否则将该信息丢弃。VPN终端自动登陆GPRS/CDMA2000 1X无线网络,实时响应无线接入网的呼叫处理,保证终端永远在线。无线VPN网关工作在以太网数据链路层和GPRS/CDMA2000 1X数据分组网,对于接收到的合法无线VPN终端发送的网络数据包将进行相应的寻径管理,保证多个终端的数据能够正确到达目的网络。同时在通过链路层截获需要发送到分支机构网络的数据,通过GPRS/CDMA2000 1X数据分组网,发送到VPN终端所在地的分支机构网络。VPN网关对所有上线的无线VPN终端实施远程跟踪,实时了解VPN数据终端的在线状态,上线和下线时间。VPN网关能够并发进行大量无线VPN终端数据处理。
无线透明VPN网桥系统对数据的传输具有高度加密和鉴权机制,与在Internet上建立的有线VPN类似,是在2.5G无线公网平台上建立的企业通用透明无线传输VPN系统。无线VPN终端和VPN网关对需要发送的数据用分组加密算法进行高强度加密处理,对接收的数据作相应的解密处理,在GPRS/CDMA2000 1X网络中传输的数据是加密后的数据。无线VPN终端的国际移动用户识别码和链路地址必须在中心网关注册后终端方能使用。VPN终端需要由VPN网关的认证服务进行终端身份认证,未通过认证的设备,不允许其接入企业内部网;而且可将一个VPN终端与一台计算机器绑定,防止VPN终端被他人盗用进入企业内网。同时在无线VPN终端的在线过程中,由VPN网关控制VPN终端密钥的实时更新,实现了系统高强度安全性。
通用无线VPN网桥系统不需要移动公司或联通公司的企业专用无线VPN组网,就可轻松实现企业异地间内部私有网络数据的无线透明互通,通过无线透明网桥技术,使用普通开通包数据业务的GSM用户识别模块SIM卡或CDMA用户识别模块UIM卡以及企业总部的一个公网IP地址就可以实现分支机构内部网络与总部内部网络之间IP数据的透明互联互通(如对移动公司而言,则不需要将SIM卡与移动某个内部IP及移动的某个专用接入点APN绑定,也不需要接入点APN到企业总部的专线)。
本发明是实现企业异地机构,中小数据量内部信息访问、网络资源共享的低费用理想选择。本系统对数据的传输具有高度加密和鉴权机制,其与在Internet上建立的有线VPN类似,是在无线公网平台上建立起的企业通用透明无线传输VPN系统。该系统由无线VPN终端和VPN网关组成,适用于对服务接入权限、数据安全性、接入协议有要求的行业应用,如企业集团分支机构远程透明联网、零售行业各种电子收款POS机透明联网、金融行业各种终端机透明联网、各行业临时移动办公场合等。
图1无线透明VPN网桥技术的协议栈示意图。
图2无线透明VPN网桥系统结构图。
图3无线VPN终端数据处理流程图。
图4无线VPN网关通信处理结构图。
具体实施例方式
下一步结合
本发明的实现方法。
图1说明无线透明VPN网桥技术的协议栈结构。欧洲电联ETSI的通用分组无线业务GPRS规范将GPRS支撑节点网关的协议栈规定为IP通用传输承载所有上层应用协议的方式,充分利用一切基于IP的灵活性,同时加载在GPRS支撑节点上的通用传输承载功能完成真正独立于数据内容的数据传输;而根据互操作规范IOS V4.1的规定,CDMA2000 1X的A8接口对用户各类业务数据采用通用数据封装,然后通过IP网络进行传输,同样也实现了独立于用户业务数据的传输;因此采取GPRS/CDMA2000 1X对各种类型业务数据进行无内容解析的传输处理。通过以太网数据链路层包数据处理机制获得异地网络的链路层数据后,由2.5G公用无线通信系统GPRS或CDMA2000 1X的包数据传输通道进行数据包传输,在接收到传输到本地机构的数据包后,将其发送到本地机构的以太网的数据链路层,从而实现异地网络间以太网IP数据的远程透明无线传输与实时交互。
图2说明通用VPN网桥系统的具体网络组织结构。VPN系统由无线VPN终端和VPN网关组成,由于采用透明VPN网桥技术,利用VPN设备组网,用户不需要额外开发软件接口或安装客户端软件,所有上层应用系统均为企业原有系统应用软件,而且对企业原有软件、系统或网络不需要作任何改动。企业分支机构可将无线VPN传输终端接到办事处的集线器或数据交换机上,此时连接到此集线器上的若干台分支机构计算机或网络设备(被分配公司总部内网IP地址,如172.16.3.168等)即可远程透明的连接到了公司总部的内部网络(如IP网段172.16.1.*),与公司总部内网网络设备进行企业内部数据传输,实际效果等同在同一企业本地局域网上进行信息交换。
图3说明VPN网桥系统中的无线VPN终端数据处理流程图。无线VPN终端先获得配置参数,然后进行以太网接口和GPRS/CDMA2000 1X网络接口初始化。初始化完成后如果接收到需要发送到总部机构的以太网数据,则将其加密后发送到GPRS/CDMA2000 1X网络;如果接收到VPN网关由GPRS/CDMA2000 1X网络发来的数据,则对数据进行解密处理后进行分析处理,如果是网络数据则发送到分支机构的以太网,如果是传输密钥更新则进行相应传输密钥更新。
图4说明VPN网桥系统中的无线VPN网关通信处理结构。VPN网关接收移动终端通过GPRS支撑节点网关GGSN或包数据服务接点PDSN发送来的数据包,经过解密、分解和鉴权等处理后,获得分支机构数据包,然后发送到总部局域网链路层;总部局域网主机回应的数据包,经过加密等处理后通过VPN网关向GGSN或PDSN发送。VPN网关同时进行与传输密钥更新有关的操作。
权利要求
1.基于分组无线业务GPRS/码分多址CDMA2000 1X的通用无线透明虚拟专用网VPN网桥传输方法,是以目前移动通信运营商提供的2.5G公用无线包数据传输交换平台GPRS/CDMA2000 1X为传输基础,其特征在于该无线透明VPN网桥系统主要由无线VPN终端和VPN网关组成,无线VPN终端和VPN网关都工作在以太网链路层,通用无线透明VPN网桥系统采用以太网数据链路层包数据处理机制、2.5G公用无线通信系统GPRS/CDMA2000 1X的包数据传输通道,在异地以太网数据链路层通过无线VPN终端获得所需的业务数据包,通过公用无线通信系统的包数据传输业务,无线传输到本地以太网的数据链路层;同时VPN网关在本地以太网数据链路层获得所需的业务数据包,通过公用无线通信系统的包数据传输业务,无线传输到异地以太网的数据链路层,实现异地网络间以太网网际协议IP数据的远程透明无线传输与交互。
2.根据权利要求1所述的无线透明VPN网桥系统传输方法,其特征在于无线VPN终端工作在以太网数据链路层和GPRS/CDMA2000 1X无线接入网,无线VPN终端通过以太网络RJ45接口从以太网链路层接收分支机构网络需要发送到总部网络的数据,并转换成GPRS/CDMA2000 1X传输形式以无线发射出去;无线VPN终端同时接收GPRS/CDMA2000 1X无线下行的数据,并分析该信息是否是VPN网关发送的信息,如果是则将其转换成以太网接口方式输出,否则VPN移动终端将该信息丢弃。
3.根据权利要求2所述的无线透明VPN网桥系统传输方法,其特征在于无线VPN终端自动登陆GPRS/CDMA2000 1X无线网络,实时响应无线接入网业务呼叫处理,保证无线VPN终端真正永远在线。
4.根据权利要求1所述的无线透明VPN网桥系统传输方法,其特征在于无线VPN网关工作在以太网数据链路层和GPRS/CDMA2000 1X数据分组网,对于接收到的合法无线VPN终端发送的网络数据包将进行相应的寻径管理,保证多个终端的数据能够正确到达目的网络;同时通过链路层截获需要发送到分支机构网络的业务数据,通过GPRS/CDMA2000 1X数据分组网,发送到无线VPN终端所在的分支机构网络。
5.根据权利要求4所述的无线透明VPN网桥系统传输方法,其特征在于VPN网关对所有上线的无线VPN终端实施远程跟踪,实时了解VPN数据终端的在线状态、上线和下线的时间。
6.根据权利要求1所述无线透明VPN网桥系统传输方法,其特征在于无线透明VPN网桥系统对数据的传输具有高度加密和鉴权机制,是在2.5G无线公网平台上建立的企业通用透明无线传输VPN系统,无线VPN终端和VPN网关对需要发送的数据用分组加密算法进行高强度加密处理,对接收的数据作相应的解密处理,无线VPN终端不需要中国移动公司专用授权用户识别模块SIM卡或中国联通公司专用授权用户识别模块UIM卡就可接入VPN系统,但VPN终端的国际移动用户识别码和链路地址必须在中心网关注册后终端方能使用,实际使用中的VPN终端需要由VPN网关的认证服务进行终端身份认证,未通过认证的设备,不允许接入企业内部网;而且还可将一个VPN终端与一台计算机器绑定,防止VPN终端被他人盗用进入企业内网。
7.根据权利要求6所述无线透明VPN网桥系统传输方法,其特征在于在无线VPN终端的在线过程中,由VPN网关控制VPN终端密钥的实时更新。
全文摘要
本发明涉及一种通用无线透明VPN网桥系统,本发明以目前移动通信运营商提供的2.5G公用无线包数据传输交换平台GPRS/CDMA2000 1X为传输基础,由无线VPN终端和VPN网关组成,两设备都工作在以太网链路层,可实现异地网络以太网IP数据的远程透明无线传输与交互的功能。利用该系统组网,不需中国移动或联通企业专用无线VPN组网,不需要额外开发软件或安装客户端软件,用户所有上层应用系统均为企业原有软件,同时对企业原有系统或网络也不需要作任何改动。使用该系统异地机构在与总部进行数据信息交换时将感觉不到地域间隔的存在,等同在同一企业内部局域网上进行信息交换。同时该系统对数据的传输具有高度加密和鉴权机制。
文档编号H04L12/56GK1561040SQ20041001276
公开日2005年1月5日 申请日期2004年2月24日 优先权日2004年2月24日
发明者吴玲琦, 魏莎, 胡士毅, 刘凯, 赵勋, 徐杰, 余勋林, 彭巍 申请人:武汉虹信通信技术有限责任公司