CN101309270B - 实施因特网安全协议的方法、***、网关及网络节点 - Google Patents

实施因特网安全协议的方法、***、网关及网络节点 Download PDF

Info

Publication number
CN101309270B
CN101309270B CN2008101159185A CN200810115918A CN101309270B CN 101309270 B CN101309270 B CN 101309270B CN 2008101159185 A CN2008101159185 A CN 2008101159185A CN 200810115918 A CN200810115918 A CN 200810115918A CN 101309270 B CN101309270 B CN 101309270B
Authority
CN
China
Prior art keywords
network node
nat
gateway
request message
communication request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2008101159185A
Other languages
English (en)
Other versions
CN101309270A (zh
Inventor
刘利锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Digital Technologies Chengdu Co Ltd
Original Assignee
Huawei Symantec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Symantec Technologies Co Ltd filed Critical Huawei Symantec Technologies Co Ltd
Priority to CN2008101159185A priority Critical patent/CN101309270B/zh
Publication of CN101309270A publication Critical patent/CN101309270A/zh
Application granted granted Critical
Publication of CN101309270B publication Critical patent/CN101309270B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例涉及一种实施因特网安全协议的方法、***、网关及网络节点,网络地址转换-协议转换NAT-PT网络通过在NAT-PT网关与其两端网络节点分别建立SA,在NAT-PT网络中采用分段IPSec,避免了AH算法的修改,使得NAT-PT网络在实施IPSec的同时,降低了***复杂度。

Description

实施因特网安全协议的方法、***、网关及网络节点
技术领域
本发明涉及网络技术,尤其涉及一种实施因特网安全协议的方法、***、NAT-PT网关及网络节点。 
背景技术
随着网络规模的飞速扩大,因特网协议版本4(Internet Protocol version 4,IPv4)由于地址空间太少、安全性低等因素,已经不能够满足当今和未来网络发展的需求。随着网络技术的迅速发展,出现了因特网协议版本6(InternetProtocol version 6,IPv6),IPv6作为IPv4的升级版本,提供了巨大的地址空间,大大丰富了地址资源。但是,鉴于IPv4属于相当成熟的技术,应用普及广泛,且IPv6技术及相关设备不完备,IPv6网络不可能立刻完全取代IPv4网络,还需要很长一段时间与IPv4网络共存,实现IPv4网络向IPv6网络的过渡。 
IPv6网络与IPv4网络共存阶段,使二者实现互通的技术有:双栈技术、隧道技术和网络地址转换-协议转换(NAT-PT)技术,其中,NAT-PT技术具体为:在IPv4网络和IPv6网络之间设置NAT-PT网关,对不同协议版本的数据包进行地址转换和协议转换。为便于描述,将基于NAT-PT网关的网络即NAT-PT网关及两端的网络通称为NAT-PT网络。NAT-PT网关负责维护一个IPv4地址池和一张IPv4地址和IPv6地址的映射表,对于IPv4到IPv6的地址转换,NAT-PT网关在IPv4地址前加上一个96位的NAT-PT前缀,实现从IPv4网络到IPv6网络的通信;对于IPv6到IPv4的地址转换,NAT-PT网关从地址池中分配一个可用的IPv4地址来映射IPv6地址,任何从该IPv6地址来的数据包都被替换成该IPv4地址,实现从IPv6网络到IPv4网络的通 信。这些映射信息都记录在映射表里,以供NAT-PT网关查询。通过NAT-PT网关实现IPv4网络与IPv6网络的互通,从而带来了NAT-PT网关在IPv4网络与IPv6网络之间进行数据传输的安全问题,即NAT-PT网络的安全问题。 
目前,解决NAT-PT网络的安全问题是通过在NAT-PT网络中使用因特网安全协议(Internet Protocol Security,IPSec)来实现的,即IPSec穿越NAT-PT网关,具体为:在因特网密钥交换(Internet Key Exchange,IKE)协商的主模式阶段,通过新增NATPT-Detect的IKE载荷(以下简称NATPT-D载荷),实现NAT-PT的发现机制;IPSec保护下的通信阶段,检测到NAT-PT网关后,用“伪IP头”取代原来的IP头计算验证头部(Authentication Header,AH)的验证数据(Authentication Data),解决了AH与NAT-PT的不兼容问题。 
IPSec是由因特网工程任务组(Internet Engineering Task Force,IETF)设计的一套在网络层提供IP安全***的协议,为IP及上层协议提供了无连接的数据完整性、数据源身份认证、抗重放攻击、数据保密性、有限的数据流保密性以及访问控制等安全服务。IPSec由AH协议、封装安全载荷(Encapsulating Security Payload,ESP)协议、IKE协议及用于网络认证和加密的一些算法组成,其中,AH能提供无连接的数据完整性、数据源身份认证、抗重放攻击服务以及访问控制,AH头的完整性检查覆盖了IP头中的某些域;ESP的功能主要是加密,除提供AH的功能外还提供数据保密性、有限的数据流保密性,ESP同时也有认证功能,但认证范围不包括IP头。 
通过现有的NAT-PT网络中IPSec的使用方法,IPSec在AH传输模式、AH隧道模式、ESP传输模式、ESP隧道模式下都能够穿越NAT-PT网关,应用到异构网络的通信中,大大提高了异构网络通信的安全性。 
在实现本发明的过程中,发明人发现现有技术至少存在以下缺点:引入了新的Authentication Data算法,对标准的算法做了修改,导致了算法的复杂性增加;利用“伪IP头”取代原来的IP头,针对不同的分组采用不同的Authentication Data算法,增加了处理时间;在IKE协商的主模式阶段增加 NATPT-D载荷发现NAT-PT的存在,影响了带宽的利用,同时由于IKE的协商报文采用UDP封装的方法穿过NAT-PT,IKE包的UDP源端口可能会被修改,并且要求响应者能够处理端口号并非“UDP500”的IKE请求,由此采用了NATPT-OA封装,但所有的这些措施需对标准IKE协商做额外的处理,大大增加了***的复杂度。 
发明内容
本发明实施例提出一种实施因特网安全协议的方法、***及NAT-PT网关及网络节点,以实现实施因特网安全协议的同时,降低***的复杂度。 
本发明实施例提供了一种实施因特网安全协议的方法,包括: 
网络地址转换-协议转换NAT-PT网关接收发起端网络节点发送的与目的端网络节点通信的请求消息; 
当满足实施因特网安全协议条件时,所述NAT-PT网关根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一对安全关联SA; 
所述NAT-PT网关生成新的通信请求消息发送至所述目的端网络节点,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA; 
所述NAT-PT网关利用所述第一对SA保护与所述发起端网络节点的通信数据;利用所述第二对SA保护与所述目的端网络节点的通信数据。 
本发明实施例还提供一种网络地址转换-协议转换NAT-PT网关,包括: 
通信请求接收单元,用于接收发起端网络节点发送的与目的端网络节点通信的请求消息; 
安全协议启动单元,用于当满足启动安全协议条件时,根据所述发起端的通信请求消息与所述发起端网络节点协商产生第一对安全关联SA;生成新的通信请求消息,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA; 
数据传输保护单元,用于利用所述第一对SA保护与所述发起端网络 节点之间的通信数据,利用所述第二对SA保护与所述目的端网络节点之间的通信数据,将所述发起端网络节点发送给目的端网络节点的数据发送给所述目的端网络节点。 
本发明实施例还提供一种网络节点,该网络节点包括: 
配置单元,用于配置启用因特网安全协议的条件参数; 
通信请求收发单元,用于接收或发送通信请求消息; 
数据传输保护单元,用于与网络地址转换-协议转换NAT-PT网关协商第一对安全关联SA,所述NAT-PT网关与所述网络节点之间传输数据的另一网络节点协商第二对SA,并利用所协商的两对SA保护传输的通信数据。 
本发明实施例还提供一种实施因特网安全协议的***,其中,包括: 
网络地址转换-协议转换NAT-PT网关,用于接收发起端网络节点发送的与目的端网络节点通信的请求消息;当满足实施因特网安全协议条件时,根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一对SA;生成新的通信请求消息发送至所述目的端网络节点,根据所述新的通信请求与所述目的端网络节点协商产生第二对SA;利用所述第一对SA保护与所述发起端网络节点之间的通信数据;利用所述第二对SA保护与所述目的端网络节点之间的通信数据; 
发起端网络节点,用于向所述NAT-PT网关发送与目的端网络节点的通信请求消息;与NAT-PT网关协商第一对SA,并利用所协商的第一对SA保护传输的通信数据; 
目的端网络节点,用于接收所述NAT-PT网关发送的所述新的通信请求消息,与NAT-PT网关协商第二对SA,并利用所协商的第二对SA保护传输的通信数据。 
上述实施例所提供的技术方案中NAT-PT网络通过在NAT-PT网关与其两端网络节点分别建立SA,在NAT-PT网络中采用分段IPSec,避免了AH算法的修改,使得NAT-PT网络在实施IPSec的同时,降低了***复杂度。 
附图说明
图1为本发明实施例实施因特网安全协议的***实施例的结构示意图; 
图2为本发明实施例实施因特网安全协议的方法实施例实施场景的网络拓扑示意图; 
图3为本发明实施例实施因特网安全协议的方法实施例一中IPv4网络节点13获取IPv6网络节点11a的NAT-PT映射地址的流程图; 
图4为本发明实施例实施因特网安全协议的方法实施例一的流程图; 
图5为本发明实施例实施因特网安全协议的方法实施例二中IPv6网络节点11a获取IPv4网络节点13的IPv6地址的流程图示意图; 
图6为本发明实施例实施因特网安全协议的方法实施例二的流程图; 
图7为本发明实施例实施因特网安全协议的方法实施例应用于NAT-PT网络通信的流程图; 
图8为本发明实施例提供的一种NAT-PT网关的结构示意图; 
图9为本发明另一实施例提供的一种网络节点的结构示意图。 
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。应当理解,此处所描述的具体实施方式仅仅用以解释本发明,并不用于限定本发明。 
图1为本发明实施例实施因特网安全协议的***实施例的结构示意图。图1所示***包括因特网协议版本4(IPv4)网络节点13、NAT-PT网关12及因特网协议版本6(IPv6)网络节点11。IPv4网络节点13与IPv6网络节点11之间采用分段因特网安全协议(IPSec)通信,即,NAT-PT网关12与所述IPv4网络节点13、IPv6网络节点11之间分别建立相应的SA,用于 所述IPv4网络节点13与IPv6网络节点11之间的通信。通过采用分段IPSec通信,避免了AH算法的修改,使得***无须对IKE做额外的处理,从而大大降低了NAT-PT网络***实现网络层安全的***复杂度。 
所述NAT-PT网关12还可设置与地址转换表相对应的标识位表,并在所述NAT-PT网关12建立地址映射时,将标识位加在地址映射表的相应位置。所述NAT-PT网关12能够根据这个标识位的值,判断通信过程中特定通信或特定站点是否需要采用IPSec,并根据判断结果进行控制,以保证数据通信的安全。如,当对应某一目的地址(网络)的标识位表示必须采用IPSec时,所述NAT-PT网关12决定去往该目的地址对应的主机(网络)或来自某一主机(网络)的通信必须采用IPSec。如果发起端不启用IPSec,则通话将不予进行。这样,可以由网关决定哪些敏感的通信必须采用IPSec,以保证通信的安全性。其中,NAT-PT网关12上标识位表中是否启用IPSec可由网关管理员根据需要设置;所述NAT-PT网关12可根据标识位控制一对一通信,也可以控制一个网络和一个网络通信,进一步增强了NAT-PT网络实施IPSec的灵活性。下面有具体说明。 
所述IPv4网络节点13、NAT-PT网关12、IPv6网络节点11可安装有SSL(安全套接层)软件,用于收发请求消息,为SP协商阶段提供安全保障。所述NAT-PT网关12安装的SSL软件,在通信刚开始时作为服务端,接收发起端SSL客户端发送的数据;对NAT-PT网关12另一侧的主机来说,数据包是由NAT-PT网关12的SSL客户端发起的,所以NAT-PT网关即有SSL客户端又有SSL服务端,由对称性可知,对IPV4域和IPV6域的主机来说同样如此。也就是说,本SSL软件是一个客户端和服务端的结合体。在SP协商过程中,采用SSL软件来进行数据包的收发,对数据包进行加密,进一步增加了NAT-PT网络实施IPSec的安全性。 
本发明实施例提供一种实施因特网安全协议的方法,包括: 
NAT-PT网关接收发起端网络节点发送的与目的端网络节点通信的请 求消息; 
当满足实施因特网安全协议条件时,所述NAT-PT网关根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一SA; 
所述NAT-PT网关生成新的通信请求消息发送至所述目的端网络节点,根据所述新的通信请求与所述目的端网络节点协商产生第二SA; 
所述NAT-PT网关利用所述第一SA保护所述发起端网络节点发送的通信数据;利用所述第二SA保护所述发送给所述目的端网络节点的通信数据。 
以下结合附图,对本发明实施例进行详细阐述。 
因特网安全协议因特网安全协议因特网安全协议 
图2为本发明实施例实施因特网安全协议的方法实施例实施场景的网络拓扑示意图。假设IPv6网络节点11a的IPv6地址为“2001::1”;IPv6网络节点11b的IPv6地址为“2001::2”;IPv4网络节点13的IPv4地址为“202.146.243.30”。NAT-PT网关12地址缓冲池中,IPv4的地址属于子网“59.64.90/24”。IPv6域网络中,NAT-PT网关12负责给IPv4网络节点13分配网络前缀“PREFIX=3ffe:b00:ffff:0:0:1::/96”。可以在NAT-PT网关维护一个标识位表,假设此时NAT-PT网关12中的标识位表为表1,需要说明的是,NAT-PT网关12上所述标识位表中标识位的值可由网关管理员根据策略进行设置,当所述标识位值为“0”时,可根据发起端用户设置的标识位来决定是否启用IPSec;当所述标识位值为“1”时,无论用户端是否要求启用IPSec,所述NAT-PT将要求通过所述网关的网络节点之间的通信均需启用IPSec,若没有启用,则拦截发起端的通信请求,并要求所述发起端启用IPSec重新发送通信请求,由此实现NAT-PT网关对是否启用IPSec进行干预; 
表1 
  IP地址   标识位值
  2001::1   0
  2001::2   1
表示与IPv6网络节点11b的通信必须采用IPSec。 
图3为本发明实施例实施因特网安全协议的方法实施例一中IPv4网络节点13获取IPv6网络节点11a的NAT-PT映射地址的流程图。本实施例中,IPv4网络节点13请求发起与IPv6网络节点11a的通信。假设IPv4网络节点13只知道IPv6网络节点11a的域名地址,在通信前,首先获取IPv6网络节点11a的NAT-PT映射地址,所述的映射地址为IPV6网络节点的一个符合IPV4网络格式的地址,具体如图3所示,包括: 
步骤101、IPv4网络节点13向域名***应用层网关(以下简称:DNS-ALG)请求IPv6网络节点11a的IPv4映射地址; 
步骤103DNS-ALG将此请求转发到域名***(DNS)服务器中; 
步骤105、DNS服务器响应IPv6网络节点11a的IPv6地址“2001::1”; 
步骤107、DNS-ALG收到DNS服务器响应的IPv6地址(2001::1)后,将该IPv6地址发给NAT-PT网关12,并向NAT-PT网关12动态申请分配一个可路由的IPv4地址; 
步骤109、NAT-PT网关12查询IPv4地址池,获得一个可路由的IPv4地址如“59.64.90.99”; 
具体操作包括:NAT-PT网关12在IPv4地址池中查找没有被别的映射占用的IPv4地址,将所查找到的IPv4地址作为可路由的IPv4地址; 
NAT-PT网关12可以维护一个地址转换表,获取到所述可路由的IPV4地址后,将该IPV4地址写入所述的地址转换表中,并根据表1填充相应的标识位值,得到表2。 
表2 
  IPv6地址   NAT-PT映射地址   标识位
  2001::1   59.64.90.99   0
步骤111、NAT-PT网关12将“59.64.90.99”返回给DNS-ALG; 
步骤113、DNS-ALG把IPv6网络节点11a的NAT-PT映射地址作为查询结果响应给IPv4网络节点13,IPv4网络节点13便获得了IPv6网络节点的IPv4映射地址; 
获取到IPV6网络节点的IPV4映射地址后,所述IPV4网络节点13便向NAT-PT网关12发起通信请求,请求与IPv6网络节点11a进行通信。本实施例中,由于IPv6网络节点11a对应的标识位为“0”,因此,网关将不干预这次通信,依照IPv4网络节点13通信请求消息中用户要求的通信方式进行后续操作。当IPv4网络节点13用户要求主动启用IPSec时,参见图4,具体包括: 
步骤201、NAT-PT网关12接收IPv4网络节点13发送的通信请求消息,所述通信请求消息请求与所述IPv6网络节点11a进行IPsec通信。所述通信请求中,包括了源地址“SA=202.146.243.30”,目的地址“DA=59.64.90.99”,当用户要求启用IPSec时,所述的通信请求中还包括有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理,其中,生成SP所必须的参数在用户配置文件中获得。此IPV4网络节点发起通信请求的过程可以用SSL软件的加密通信保护。 
步骤203、所述NAT-PT网关12与IPv4网络节点13根据所述通信请求消息协商产生第一对安全策略SP,写入NAT-PT网关12与IPv4网络节点13各自的安全策略库(SPD)。NAT-PT网关12接收到通信请求后,为进一步保证通信的安全性,可以进行网络节点的身份验证,当验证通过后,满足启用IPSec条件时,生成所述第一对SP; 
步骤205、所述NAT-PT网关12根据所述目的地址“DA=59.64.90.99” 查询预先建立的地址转换表2,获取与所述IPv6网络节点11a所属网络地址格式对应的源地址和目的地址,即,IPv6格式的源地址“SA=PREFIX:CB92:F31E”和目的地址“DA=2001::1”,其中“CB92:F31E”为IPv4地址“202.146.243.30”的十六进制表示;并且,NAT-PT网关12还要生成新通信请求消息,所述新的通信请求消息中包括:IPV6域格式的源地址,目的地址,另外还有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理,将新的通信发送到所述IPv6网络节点11a,请求建立IPv6域的SP对;所述NAT-PT网关发送所述新的通信请求的过程也可用SSL软件加密保护。 
步骤207、所述IPv6网络节点11a的SSL服务端收到新通信请求消息后,与NAT-PT网关12根据新通信请求消息产生需要在IPv6网络节点11a与NAT-PT网关12之间启用IPSec的第二对SP,写入各自的SPD,完成IPv6域的SP建立; 
这样,整个通信过程中需要的两对SP建立完毕。 
步骤209、所述IPv4网络节点13、NAT-PT网关12及IPv6网络节点11a根据所述第一对SP、第二对SP可以通过启用因特网密钥交换算法IKE,协商获得所述NAT-PT网关12与IPv4网络节点13之间的第一对安全关联(SA):SAb1与SAb2,所述NAT-PT网关12与所述IPv6网络节点11a之间的第二对SA:SAa1与SAa2; 
步骤211、所述IPv4网络节点13用所述第一对SA中的SAb1保护通信数据,并发送给所述NAT-PT网关12; 
步骤213、所述NAT-PT网关12通过所述第一对SA中的SAb1解密获得所述通信数据,用所述第二对SA中的SAa1保护所述通信数据,发送到所述IPv6网络节点11a; 
步骤215、所述IPv6网络节点11a利用所述第二对SA中SAa1的解密获得所述通信数据,完成从IPv4网络节点13到IPv6网络节点11a的通 信。 
IPv6网络节点11a响应IPv4网络节点13的数据包,采用第二对SA中的SAa2进行IPSec处理后发出。这些数据包的源地址“SA=2001::1”,目的地址“DA=PREFIX:CB92:F31E”。数据包到达NAT-PT网关12处,NAT-PT网关12用SAa2解开来自IPv6网络节点11a的IPsec数据包,再用第一对SA中的SAb2对数据包进行IPsec处理并继续发往IPv4网络节点13。此时数据包的源地址“SA=59.64.90.99”,目的地址“DA=202.146.243.30”。数据包到达IPv4网络节点13后用第一对SA中的SAb2解密报文。至此,完成了一次完整的交互式数据通信. 
由于NAT-PT网关12处标识位表中对IPv6网络节点11b作了标识位置1的处理,IPv4网络节点13同IPv6网络节点11b之间的通信与上述方法实施例一的通信过程有所不同。假设对IPv6网络节点11b分配的IPv4映射地址是59.64.90.98,那么NAT-PT网关12建立的地址转换表如表3所示。 
表3 
  IP地址   NAT-PT映射地址   标识位
  2001::2   59.64.90.98   1
当发起端IPV4网络节点13向目的端IPV6网络节点11b的通信请求到达NAT-PT网关12(后,NAT-PT网关12查询地址转换表发现发往最终目的地址2001::2对应的标识位的值为“1”,表示必须在通信中采用IPSec,以保护数据包的安全。如果IPv4网络节点13所发送的通信请求中没有包括启用IPSec的标识,所述通信请求将被所述NAT-PT网关拦截,并给出回应,要求IPv4网络节点13启用IPSec。然后执行与上述方法实施例相同的操作流程。 
图5为本发明实施例实施因特网安全协议的方法实施例二中IPv6网络节点11a获取IPv4网络节点13的IPv6地址的流程图。本实施例中IPSec 的实施场景与方法实施例一的实施场景相同。本实施例中,IPv6网络节点11a请求发起与IPv4网络节点13的通信。假设IPv6网络节点11a只知道IPv4网络节点13的域名地址,那么,首先需要获取IPv4网络节点13的符合IPV6网络节点11a所在网络地址格式的NAT-PT映射地址,包括: 
步骤301、IPv6网络节点11a向DNS-ALG请求IPv4网络节点13的NAT-PT映射地址; 
步骤303、DNS-ALG将此请求转发到DNS服务器中; 
步骤305、DNS服务器响应IPv4网络节点13的IPv4地址“202.146.243.30”; 
步骤307、DNS-ALG收到DNS服务器响应的IPv4地址后,向NAT-PT网关12查询地址前缀,并将发起端11a的IPv6地址告知网关12,NAT-PT网关12从IPv4地址池中找到一个可路由的IPv4地址59.64.90.100作为IPv6网络节点11a的IPv4映射地址,并建立地址转换表,并根据表1填充相应的标识位值,如表4所示。 
表4 
  IPv6地址   NAT-PT映射地址   标识位
  2001::1   59.64.90.100   0
步骤309、NAT-PT网关12响应地址前缀如“PREFIX=3ffe:b00:ffff:0:0:1::/96”给DNS-ALG; 
步骤311、DNS-ALG接收到地址前缀后,将该地址前缀与DNS服务器响应的IPv4地址构造成所需的NAT-PT映射地址:“PREFIX:CB92:F31E”,其中“CB92:F31E”为IPv4地址“202.146.243.30”的十六进制表示; 
步骤313、DNS-ALG将所述NAT-PT映射地址“PREFIX:CB92:F31E”作为查询结果响应给IPv6网络节点11a。IPv6网络节点11a便获得了IPv4网络节点13的NAT-PT映射地址。 
获取到目的端IPV4网络节点符合IPV6网络地址格式的映射地址后,IPv6网络节点11a向NAT-PT网关12发起通信请求,请求与IPv4网络节点13进行通信。由于IPv6网络节点11a对应的标识位为“0”,因此,所以网关不干预11a发起的通信,依照IPv6网络节点11a要求的NAT-PT网络通信方式进行后续操作。当IPv6网络节点11a要求启用IPSec时,参见图6,具体包括: 
步骤401、NAT-PT网关12接收IPv6网络节点11a发送的通信请求消息,所述通信请求消息请求与所述IPv4网络节点13通信。通信请求消息中包括了源地址“SA=2001::1”,目的地址“DA=PREFIX:CB92:F31E”,当用户要求启用IPSec时,所述的通信请求中还包括有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理等;其中,生成SP所必须的参数在用户配置文件中获得。此IPV6网络节点11a发起通信请求的过程可以用SSL软件的加密通信保护。 
步骤403、所述NAT-PT网关12根据所述通信请求消息与IPv6网络节点11a协商产生第一对SP,网关、IPv6网络节点11a将相应的SP分别写入各自的SPD;其中,NAT-PT网关12接收到通信请求后,为进一步保证通信的安全性,可以进行网络节点的身份验证,当验证通过后,满足启用IPSec条件时,生成所述第一对SP; 
步骤405、所述NAT-PT网关12根据所述目的地址“DA=PREFIX:CB92:F31E”提取IPv4域目的地址CB92:F31E即202.146.243.30;并根据所述源地址“SA=2001::1”查询预先建立的地址转换表,获取IPv6网络节点11a的IPv4映射地址,获得新的IPv4域的源地址“SA=59.64.90.100”和目的地址“DA=202.146.243.30”;并生成新通信请求消息,发送到所述IPv4网络节点13;本过程也可用SSL加密保护。 
其中,所述新的通信请求消息中包括:IPV4域的源地址,目的地址,另外还有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协 议进行IPsec处理,将新的通信发送到所述IPv4网络节点13,请求建立IPv4域的SP对;所述NAT-PT网关发送所述新的通信请求的过程也可用SSL软件加密保护; 
步骤407、所述IPv4网络节点13的SSL服务端收到新的通信请求消息后,根据新通信请求消息与NAT-PT网关12协商,产生需要在IPv4网络节点13与NAT-PT网关12之间启用IPSec的第二对SP,写入本地SPD和NAT-PT网关12的SPD; 
至此,发起端IPv6网络节点11a和NAT-PT网关12之间、以及NAT-PT网关12和目的端IPv4网络节点13之间的两对SP建立完毕; 
步骤409、根据所述第一对SP、第二对SP可以通过启用因特网密钥交换算法IKE,协商获得所述NAT-PT网关12与所述IPv6网络节点11a之间的第一对SA:SAa1与SAa2,所述NAT-PT网关12与IPv4网络节点13之间的第二对SA:SAb1与SAb2; 
步骤411、所述IPv6网络节点11a用所述第一对SA中的SAa1保护通信数据,并发送给所述NAT-PT网关12; 
步骤413、所述NAT-PT网关12通过所述第一对SA中的SAa1解密获得所述通信数据,用所述第二对SA中的SAb1保护所述通信数据,发送到所述IPv4网络节点13; 
步骤415、所述IPv4网络节点13利用所述第二对SA中的SAb1解密获得所述通信数据,完成从IPv6网络节点11a到IPv4网络节点13的通信。 
从IPv4网络节点13响应IPv6网络节点11a的IPv4数据包采用第二对SA中的SAb2进行IPSec处理后发出。这些数据包的源地址“SA=202.146.243.30”,目的地址“DA=59.64.90.100”。数据包到达NAT-PT网关12处,NAT-PT网关12用第二对SA中的SAb2解开来自IPv4网络节点13的IPSec数据包,同时用第一对SA中的SAa2对数据包进行IPSec处理并发往IPv6网络节点11a。此时数据报的源地址“SA= PREFIX:CB92:F31E”,目的地址“DA=2001::1”。数据包到达IPv6网络节点11a后用第一对SA中的SAa2解密报文。这样,一次IPv6节点11a发起的完整的交互式的安全通信便完成了。 
由于NAT-PT网关12处标识位表中对IPv6网络节点11b作了标识位置1的处理,IPv6网络节点11b与IPv4网络节点13之间的通信不同于上述方法实施例二的通信过程。当通信请求到达NAT-PT网关12后,NAT-PT网关12查询地址转换表发现IPv6网络节点11b对应的标识位的值为“1”,表示必须在通信中采用IPSec,以保护通信的安全。如果IPv6网络节点11b不采用IPSec,通信请求将被拦截,并给出回应,要求IPv6网络节点11b主动启用IPSec。然后执行与上述方法实施例二相同的操作流程。 
将上述方法实施例应用于NAT-PT网络通信时,完整的流程图如图7所示。发起端发送数据包后,首先执行步骤501,判断数据包是否为起始包。之后根据NAT-PT网关12中设置的标识位,或者根据发起方设置的标志位,控制NAT-PT网络实施IPSec,上述方法实施例已详细描述。其次执行步骤502,判断数据包是否为会话初始包。当所述数据包为会话初始包时,同发起端、接收端建立SP,并协商SA;当所述数据包不是会话初始包时,根据数据包是不是采用IPSec包分别处理通信。步骤501、步骤502为现有技术,本发明实施例不涉及对起始包、会话初始包的判断。 
参见图8,本发明实施例提供一种NAT-PT网关,该网关包括: 
通信请求接收单元801,用于接收发起端网络节点发送的与目的端网络节点通信的请求信息; 
其中,所述的发起端网络节点与目的端网络节点可处在不同的网域中,例如,发起端网络节点位于因特网协议版本4(IPV4)网络,目的端网络节点位于因特网协议版本6(IPV6)网络;所述通信请求信息所述通信请求中,包括了符合发明端网络域地址格式的源地址“SA=202.146.243.30”,目的地址“DA=59.64.90.99”,当用户要求启用因特网安全协议(IPSec)时,所述的 通信请求中还包括有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理; 
安全协议启动单元802,用于当满足启动安全协议条件时,根据所述发起端的通信请求信息与所述发起端网络节点协商产生第一对安全关联(SA);生成新的通信请求信息,根据所述新的通信请求信息与所述目的端网络节点协商产生第二对SA; 
数据传输保护单元803,用于利用所述第一对SA保护所述发起端网络节点发送的通信数据;将所述发起端网络节点发送给目的端网络节点的数据发送给所述目的端网络节点,利用所述第二对SA保护所述发送给所述目的端网络节点的通信数据; 
其中,所述NAT-PT网关利用所述的SA对数据进行保护可以通过: 
将接收到的所述发起端网络节点发送至所述目的端网络节点的通信数据,用与所述发送端网络节点协商的SA解密所述通信数据;利用与所述目的端网络节点协商的SA加密所接收到的通信数据,发送至所述目的端网络节点。 
其中,所述安全协议启动单元,可以包括: 
安全策略生成单元8021,用于当满足启动IPSec条件时,根据发起端的通信请求信息与发起端网络节点协商产生第一对安全策略(SP),写入所述NAT-PT网关与发起端网络节点各自的安全策略库(SPD),生成新的通信请求信息,根据所述新的通信请求信息与所述目的端网络节点协商产生第二对SP,写入所述NAT-PT网关与所述目的端网络节点各自的SPD; 
其中,启动IPSec条件,可以是:所述的发起端发送的通信请求中包含有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理; 
所述新的通信请求信息中,包括:符合目的端网络域格式的源地址, 目的地址,另外还有启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理; 
安全关联生成单元8022,用于根据所述SPD中的SP,与所述发起端网络节点协商产生第一对SA,与所述目的端网络节点协商产生第二对SA。 
本发明实施例中,所述NAT-PT网关12能够根据网络管理员预先设置干预通信过程中特定通信或特定站点是否需要采用IPSec,以保证数据通信的安全,因此,NAT-PT网关还可以包括: 
因特网安全协议启动干预单元804,用于所述NAT-PT根据预置策略要求通信过程采用IPSec时,发起端网络节点的通信中没有启用IPSec时,拦截所述通信请求,要求所述发起端重新发送启用IPSec的通信请求; 
本实施例中,所述NAT-PT网关还可以包括: 
验证单元805,用于收到发起端网络节点的通信请求后,对发起端网络节点进行身份验证,当身份验证通过时,继续处理所述通信请求; 
其中,当身份验证通过后,可将所述通信请求发送至因特网安全协议启动单元继续处理。 
参见图9,本发明实施例还提供一种网络节点,该网络节点包括: 
配置单元901,用于配置启用IPSec的条件参数; 
其中,所述配置单元可向用户提供一配置界面,当用户需要在通信过程中启用IPSec时,用户根据需要配置启用IPSec的标志以及添加SP必须的参数,如对什么传输层协议进行IPsec处理;用户通过该配置单元可以选择对哪些数据通信采用IPSec,对哪些数据通信采用平常的通信,增加了NAT-PT网络实施IPSec的灵活性; 
通信请求收发单元902,用于接收或发送通信请求; 
其中,所述通信请求收发单元发起通信请求的过程可以用SSL软件的加密通信保护; 
数据传输保护单元903,用于与NAT-PT网关协商SA,并利用所协商 的SA保护传输的通信数据; 
所述利用SA对通信数据进行保护,可包括: 
当所述网络节点作为发送端网络节点时,利用协商的SA加密所发送到NAT-PT网关的通信数据;当所述网络节点作为目的端网络节点时,利用与MAT-PT网关协商的SA解密所述NAT-PT网关发送的通信数据。 
上述实施例,NAT-PT网络通过在NAT-PT网关与其两端网络节点分别建立SA,在NAT-PT网络中采用分段IPSec,不存在IPv4和IPv6经过IPsec处理后的数据包的地址和协议转换,所以避免了AH算法的修改,使得NAT-PT网络在实施IPSec的同时,降低了***复杂度。 
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。 
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。 

Claims (11)

1.一种实施因特网安全协议的方法,其特征在于,包括:
网络地址转换-协议转换NAT-PT网关接收发起端网络节点发送的与目的端网络节点通信的请求消息;
当满足实施因特网安全协议条件时,所述NAT-PT网关根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一对安全关联SA;
所述NAT-PT网关生成新的通信请求消息发送至所述目的端网络节点,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA;
所述NAT-PT网关利用所述第一对SA保护与所述发起端网络节点的通信数据;利用所述第二对SA保护与所述目的端网络节点的通信数据。
2.根据权利要求1所述的实施因特网安全协议的方法,其特征在于,所述满足实施因特网安全协议的条件,包括:
所述通信请求消息中包括启用因特网安全协议的标志及启用因特网安全协议的相关参数。
3.根据权利要求2所述的实施因特网安全协议的方法,其特征在于,该方法还包括:
所述NAT-PT网关根据预置的策略要求通信过程启用因特网安全协议,而所述发起端网络节点发送的通信请求消息不满足启用因特网安全协议条件时,拦截所述通信请求消息,要求所述发起端网络节点重新发送满足启用因特网安全协议条件的通信请求消息。
4.根据权利要求1至3任一所述的实施因特网安全协议的方法,其特征在于:
所述NAT-PT网关根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一对SA,包括:
根据发起端的通信请求消息与所述发起端网络节点协商产生第一对安全策略SP,写入所述NAT-PT网关与发起端网络节点各自的安全策略库,根据所述安全策略库中第一对SP生成所述第一对SA;
所述根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA,包括:
所述NAT-PT网关根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SP,写入所述NAT-PT网关与所述目的端网络节点各自的安全策略库,根据所述安全策略库中第二对SP生成所述第二对SA。
5.根据权利要求1至3任一所述的实施因特网安全协议的方法,其特征在于,该方法还包括:
所述NAT-PT网关收到发起端网络节点的通信请求消息后,对发起端网络节点进行身份验证,当身份验证通过时,继续处理所述通信请求消息。
6.一种网络地址转换-协议转换NAT-PT网关,其特征在于,包括:
通信请求接收单元,用于接收发起端网络节点发送的与目的端网络节点通信的请求消息;
安全协议启动单元,用于当满足启动安全协议条件时,根据所述发起端的通信请求消息与所述发起端网络节点协商产生第一对安全关联SA;生成新的通信请求消息,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA;
数据传输保护单元,用于利用所述第一对SA保护与所述发起端网络节点之间的通信数据,利用所述第二对SA保护与所述目的端网络节点之间的通信数据,将所述发起端网络节点发送给目的端网络节点的数据发送给所述目的端网络节点。
7.根据权利要求6所述的NAT-PT网关,其特征在于,所述安全协议启动单元,包括:
安全策略生成单元,用于当满足启动因特网安全协议条件时,根据发起端的通信请求消息与发起端网络节点协商产生第一对安全策略SP,写入所述NAT-PT网关与发起端网络节点各自的安全策略库,生成新的通信请求消息,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SP,写入所述NAT-PT网关与所述目的端网络节点各自的安全策略库;
安全关联生成单元,用于根据所述NAT-PT网关的安全策略库SPD中的SP,与所述发起端网络节点协商产生第一对SA,与所述目的端网络节点协商产生第二对SA。
8.根据权利要求7所述的NAT-PT网关,其特征在于,所述NAT-PT网关还包括:
因特网安全协议启动干预单元,用于当所述NAT-PT根据预置策略要求通信过程采用因特网安全协议,而发起端网络节点的通信中没有启用时,拦截所述通信请求消息,要求所述发起端重新发送启用因特网安全协议的通信请求消息。
9.根据权利要求6至8任一所述的NAT-PT网关,其特征在于,所述NAT-PT网关还包括:
验证单元,用于收到发起端网络节点的通信请求消息后,对发起端网络节点进行身份验证,当身份验证通过时,继续处理所述通信请求消息。
10.一种网络节点,其特征在于,该网络节点包括:
配置单元,用于配置启用因特网安全协议的条件参数;
通信请求收发单元,用于接收或发送通信请求消息;
数据传输保护单元,用于与网络地址转换-协议转换NAT-PT网关协商第一对安全关联SA,所述NAT-PT网关与所述网络节点之间传输数据的另一网络节点协商第二对SA,并利用所协商的两对SA保护传输的通信数据。
11.一种实施因特网安全协议的***,其特征在于,包括:
网络地址转换-协议转换NAT-PT网关,用于接收发起端网络节点发送的与目的端网络节点通信的请求消息;当满足实施因特网安全协议条件时,根据所述发起端网络节点的通信请求消息,与所述发起端网络节点协商产生第一对SA;生成新的通信请求消息发送至所述目的端网络节点,根据所述新的通信请求消息与所述目的端网络节点协商产生第二对SA;利用所述第一对SA保护与所述发起端网络节点之间的通信数据;利用所述第二对SA保护与所述目的端网络节点之间的通信数据;
发起端网络节点,用于向所述NAT-PT网关发送与目的端网络节点的通信请求消息;与NAT-PT网关协商第一对SA,并利用所协商的第一对SA保护传输的通信数据;
目的端网络节点,用于接收所述NAT-PT网关发送的所述新的通信请求消息,与NAT-PT网关协商第二对SA,并利用所协商的第二对SA保护传输的通信数据。
CN2008101159185A 2008-06-30 2008-06-30 实施因特网安全协议的方法、***、网关及网络节点 Expired - Fee Related CN101309270B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008101159185A CN101309270B (zh) 2008-06-30 2008-06-30 实施因特网安全协议的方法、***、网关及网络节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008101159185A CN101309270B (zh) 2008-06-30 2008-06-30 实施因特网安全协议的方法、***、网关及网络节点

Publications (2)

Publication Number Publication Date
CN101309270A CN101309270A (zh) 2008-11-19
CN101309270B true CN101309270B (zh) 2011-12-21

Family

ID=40125488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008101159185A Expired - Fee Related CN101309270B (zh) 2008-06-30 2008-06-30 实施因特网安全协议的方法、***、网关及网络节点

Country Status (1)

Country Link
CN (1) CN101309270B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102098207B (zh) * 2009-12-09 2012-08-08 华为技术有限公司 建立因特网协议安全IPSec通道的方法、装置和***
CN102202108A (zh) * 2011-06-15 2011-09-28 中兴通讯股份有限公司 实现ipsec在ah模式下nat穿越的方法、设备及***
CN103001844A (zh) * 2011-09-09 2013-03-27 华耀(中国)科技有限公司 IPv6网络***及其数据传输方法
CN104283977B (zh) * 2013-07-08 2017-12-19 北京思普崚技术有限公司 一种vpn网络中的vpn自动穿越方法
CN107949074B (zh) * 2017-12-06 2021-03-19 常熟理工学院 一种可靠的下一代网络实现方法
CN109348175B (zh) * 2018-10-25 2019-05-17 北京邮电大学 一种监控***间通信方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697452A (zh) * 2005-06-17 2005-11-16 中兴通讯股份有限公司 一种基于IPSec穿越NAT的IP多媒体子***接入安全保护方法
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1697452A (zh) * 2005-06-17 2005-11-16 中兴通讯股份有限公司 一种基于IPSec穿越NAT的IP多媒体子***接入安全保护方法
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法

Also Published As

Publication number Publication date
CN101309270A (zh) 2008-11-19

Similar Documents

Publication Publication Date Title
CN103188351B (zh) IPv6环境下IPSec VPN通信业务处理方法与***
US5416842A (en) Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US7287269B2 (en) System and method for authenticating and configuring computing devices
US6438612B1 (en) Method and arrangement for secure tunneling of data between virtual routers
CN102801695B (zh) 虚拟专用网通信设备及其数据包传输方法
CN100507895C (zh) 使用ip接入网络的服务网络选择与多穴查找
JP5060081B2 (ja) フレームを暗号化して中継する中継装置
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
CN101156420B (zh) 防止来自网络地址端口转换器napt所服务的客户机的重复源的方法
CN102377629A (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络***
EP0693836A1 (en) Method and apparatus for a key-management scheme for internet protocols.
CN101309270B (zh) 实施因特网安全协议的方法、***、网关及网络节点
CN107534643A (zh) 在ip vpn与传输层vpn之间转换移动业务
CN103905180A (zh) 经典应用接入量子通信网络的方法
CN104168173A (zh) 终端穿越私网与ims核心网中服务器通信的方法、装置及网络***
US20180227395A9 (en) Methods and systems for creating protocol header for embedded layer two packets
CN109981820B (zh) 一种报文转发方法及装置
CN102088438A (zh) 一种解决IPSec Client地址冲突的方法及IPSec Client
CN102904792B (zh) 业务承载的方法及路由器
US20030131123A1 (en) Method and apparatus for conveying a security context in addressing information
CN102546429A (zh) 基于dhcp监听的isatap隧道的认证方法和***
CN110430221A (zh) 一种基于邻居发现协议的ndp-esp网络安全方法
CN111683093A (zh) 基于IPv6网络的动态隐蔽通信方法
KR20090061253A (ko) 인터넷 프로토콜 보안 적용을 위한 유디피 기반의 터널링방법 및 상기 방법을 수행하는 시스템
US20040037284A1 (en) Method for secure packet-based communication between two units via an intermedia unit

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Owner name: CHENGDU CITY HUAWEI SAIMENTEKE SCIENCE CO., LTD.

Free format text: FORMER OWNER: HUAWEI TECHNOLOGY CO., LTD.

Effective date: 20090424

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20090424

Address after: Qingshui River District, Chengdu high tech Zone, Sichuan Province, China: 611731

Applicant after: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

Address before: Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Province, China: 518129

Applicant before: HUAWEI TECHNOLOGIES Co.,Ltd.

C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD.

Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd.

Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River

Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20111221