[发明专利]用户终端访问本地网络的方法和装置

权利要求书

1.一种用户终端访问本地网络的方法，其适用于移动网，所述方法包括：

接收用户平面S1-U上行报文，识别并拦截所述S1-U上行报文中的本地网络访问报文；

确定所述本地网络访问报文对应的用户终端的用户类型，根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限；

如果验证通过，则将所述S1-U上行报文拆解，将用户网络协议IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号，并重新封装成本地网络报文，将所述本地网络报文转发至所述目的地址所在子网的下一跳地址，

如果所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限，则根据授权判决算法更新用户终端的用户类型，

所述方法还包括：

接收S1-U上行报文，识别并拦截所述S1-U上行报文中的本地网络域名的域名系统DNS查询报文；

根据所述本地网络域名的DNS查询报文构造携带本地网络IP地址及域名记录的生存时间的DNS响应报文，将所述DNS响应报文返回至终端，所述本地网络IP地址作为目的地址携带在本地网络访问报文中。

2.根据权利要求1所述的方法，其特征在于，所述确定所述本地网络访问报文对应的用户终端的用户类型，根据所述用户类型和所述本地网络访问报文中的目的地址验证所述用户终端的本地网络访问权限的步骤包括：

提取所述本地网络访问报文携带的用户标识，确定所述用户标识对应的用户类型；

确定所述目的地址所在子网和子网类型；

判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限，如果符合，则判断所述目的地址所在子网是否为允许访问的子网；

如果是允许访问的子网，则所述本地网络访问权限通过验证，否则所述本地网络访问权限未通过验证。

3.根据权利要求1所述的方法，其特征在于，所述则将所述S1-U上行报文拆解的步骤之前，还包括：

根据当前访问状态判断是否为所述本地网络访问报文提供转发许可，如果所述本地网络访问报文获得转发许可，则进入所述将所述S1-U上行报文拆解的步骤；

如果所述本地网络访问报文未获得转发许可，则丢弃所述本地网络访问报文。

4.根据权利要求2所述的方法，其特征在于，本地网络分为隔离区DMZ区和内网，所述目的地址所在子网类型分为DMZ子网和内网子网，所述用户类型包括DMZ授权访客用户、受控授权用户和授权内网用户，所述判断所述用户类型对应的用户访问权限是否符合所述目的地址所在子网类型对应的访问权限的步骤包括以下步骤中的至少一个：

如果所述目的地址所在子网类型为DMZ子网，且所述用户类型为DMZ授权访客用户，则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限；

如果所述目的地址所在子网类型为内网子网，所述用户类型为受控授权用户，则判断所述用户类型对应的用户访问权限不符合所述目的地址所在子网类型对应的访问权限，将所述S1-U上行报文拆解，将用户IP报文中的源IP地址和源端口号转换为设备IP地址和映射端口号，并重新封装成本地网络报文，将所述本地网络报文转发至虚拟专用网络VPN网关；

如果所述目的地址所在子网类型为内网子网，所述用户类型为授权内网用户，则判断所述用户类型对应的用户访问权限符合所述目的地址所在子网类型对应的访问权限。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收本地网络下行报文，将所述本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号，根据用户终端的移动网基站隧道标识打包成S1-U下行报文发送至移动网基站。

6.根据权利要求5所述的方法，其特征在于，所述接收本地网络下行报文的步骤之后，还包括：

根据本地网络下行报文对应的用户类型申请对应类型的下行转发许可，如果申请成功，则进入所述将所述本地网络下行报文中携带的设备IP地址和映射端口号还原为用户终端的源IP地址和源端口号的步骤，否则丢弃所述本地网络下行报文。