移动终端透过防火墙获取信息服务器信息的系统及方法 【技术领域】
本发明涉及无线数据通讯网络,具体地说,涉及移动终端如何获取位于防火墙之后的信息服务器的信息的方法及系统。
背景技术
随着通讯技术的发展,信息的传递方式越来越多,如电话、短消息、电子邮件、流媒体等。以往信息只是在计算机上接收,而随着无线数据通讯网络的发展,移动终端如手机也可以收发信息了。
目前大多数局域网为保证网络内部的安全,一般都在局域网与互联网之间建立防火墙。根据防火墙技术,防火墙只对外开放特定端口,并且该端口一般只允许单方向的信息传递,即只能从局域网内部向外与外部网络建立连接并传输信息。信息服务器作为信息接收和发送的服务器,位于局域网中防火墙之后,如果移动终端主动访问信息服务器以获取所需信息,则由于防火墙的限制而无法实现,因此防火墙技术在一定程度上限制了信息的获取。
此外,信息服务器一般不提供对信息的加密,而且在信息服务器上解决加密的成本较高。同时不同信息服务器解决安全问题的方案多种多样,不利于无线通讯网的运营商组织网络和解决移动终端的匹配问题。
【发明内容】
本发明所要解决的技术问题在于提供一种移动终端透过防火墙获取信息服务器信息的系统及方法,以克服现有技术中防火墙对于信息获取地限制问题,并解决信息安全的问题。
本发明所述移动终端透过防火墙获取信息服务器信息的系统,包括:信息服务器、信息代理网关、信息推送网关以及无线数据通讯网,其中所述信息服务器,用于接收信息,并与所述信息代理网关连接;所述信息代理网关位于防火墙之后,用于与所述信息推送网关建立连接以及与移动终端建立安全连接;所述信息推送网关,与所述无线数据通讯网相连,用于与所述信息代理网关建立连接,接收和转发来自所述信息代理网关与移动终端的信息。
本发明所述移动终端透过防火墙获取信息服务器信息的方法,包括:信息代理网关建立与信息推送网关之间的连接;移动终端向信息推送网关发起安全连接请求;信息推送网关查找与信息代理网关的连接;信息推送网关向信息代理网关转发安全连接请求;信息代理网关建立与移动终端的安全通道;移动终端向信息代理网关发起获取信息请求;信息代理网关向信息服务器转发获取信息请求;移动终端从信息服务器上获取信息。
本发明中引入了信息代理网关和信息推送网关,通过信息代理网关主动从防火墙内部建立与信息推送网关的连接,解决了防火墙对信息读取的限制;同时在信息代理网关与移动终端之间建立安全连接通道,解决了信息安全问题,无需在信息服务器上对信息进行加密,实现了信息的安全传递。
【附图说明】
图1是本发明系统的结构示意图;
图2是图1中信息代理网关的功能示意图;
图3是图1中信息推送网关的功能示意图;
图4是本发明方法的流程示意图。
【具体实施方式】
下面结合附图和实施例,对本发明的技术方案做进一步的详细描述。
如图1所示,本发明系统中包括信息服务器、信息代理网关、信息系统的防火墙、信息推送网关以及无线数据通讯网。其中信息服务器是信息系统中用于接收并存储信息的服务器,与信息代理网关之间通过专用协议,如POP3协议、IMAP4协议、SMTP协议、H.323协议等,连接。信息代理网关位于信息系统的防火墙之后,透过防火墙与信息推送网关建立连接并保持该连接,并且与移动终端建立安全连接通道。信息推送网关,作为无线数据通讯网的网关以及信息代理网关与移动终端通信的中介,辅助移动终端与信息代理网关之间建立安全通道。当信息代理网关从防火墙内部建立与信息推送网关之间的连接后,移动终端通过该连接,建立与信息代理网关之间的安全通道,再通过安全通道获取信息服务器上的信息。
在图1所示系统中,每个信息系统中的信息服务器对应一个信息代理网关;一个信息推送网关可与一个或多个信息代理网关连接。信息服务器可以是邮件服务器或流媒体服务器或应用服务器。无线数据通讯网是PHS网络或者GSM网络或者GPRS网络或者CDMA网络或者WCDMA网络或者CDMA2000网络或者TD-SCDMA网络或者WLAN网络。
图2给出了信息代理网关的功能结构示意图,包括通信模块、加/解密模块和信息前转模块,其中通信模块用于建立信息代理网关与信息推送网关之间的连接,接收信息服务器和信息推送网关的信息;加/解密模块用于对通信模块收到的信息进行加密和解密,并发送给信息前转模块,同时管理数字证书;信息前转模块用于将经过加密和解密的数据转发给信息推送网关和所述信息服务器。信息代理网关与移动终端通过建立安全通道来交换信息,信息的加密可以是各种非对称和对称的标准算法,也可以采用专用算法,确保信息的安全性和保密性。
为保护信息系统的安全,在信息系统与互联网的连接点设置了防火墙,防火墙只对外开放特定端口,为实现本发明,位于信息系统中的信息代理网关通过特定端口,与信息推送网关建立并保持持续的连接,且该连接的建立过程是单方向的,以防止黑客通过该端口连接进入信息系统内部。
图3是信息推送网关的示意图,包括管理模块、通信模块和信息传送模块,其中管理模块用于实现信息服务器和移动终端的注册,对信息代理网关进行鉴权;通信模块用于接收信息代理网关和移动终端的请求,建立和保持与信息代理网关、与移动终端之间的连接;信息传送模块,用于传递移动终端和所述信息代理网关之间的通信,使移动终端能够实时传递和接收信息。
在图4所示的本发明方法的流程图中,首先信息代理网关建立与信息推送网关之间的连接。信息代理网关向信息推送网关发送连接请求,其中包括信息代理网关的代码和鉴别码,由信息推送网关进行鉴权,如果鉴权成功,表示信息代理网关合法,则信息推送网关向信息代理网关返回成功消息,信息代理网关收到后,与信息推送网关建立连接;如果鉴权失败,表明信息代理网关非法,则中断连接。
当移动终端需要获取信息服务器上的信息时,向信息推送网关发起安全连接请求,其中包括移动终端访问的信息服务器的域名或IP地址或识别码。信息推送网关收到后,根据信息服务器的域名或IP地址或识别码查找其与信息代理网关的连接。如果信息推送网关已与信息代理网关建立连接,则信息推送网关将安全连接请求转发给信息代理网关,信息代理网关收到后与移动终端建立安全通道,在建立安全通道时采用数字证书鉴权,具体是:信息代理网关向移动终端发送数字证书;移动终端与信息代理网关协商得到会话密钥;移动终端与信息代理网关之间建立安全通道。
建立安全通道后,移动终端通过专用协议,如POP3协议或IMAP4协议或SMTP协议或H.323协议等,向信息代理网关发送获取信息请求,信息代理网关收到后进行解密,然后转发给信息服务器,信息服务器对移动终端的请求进行认证,认证合格后,将移动终端所需的信息发送给信息代理网关,信息代理网关对信息进行加密后,透过防火墙和信息推送网关转发给移动终端。移动终端获得信息后提示用户阅读新信息,然后断开其与信息代理网关之间的安全通道。在上述移动终端获取信息服务器信息的过程中,信息代理网关和信息推送网关均不对传递的信息进行缓存。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。