專利名稱:利用IP Option實(shí)現(xiàn)信息透傳的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在網(wǎng)關(guān)設(shè)備上攜帶私有信息的方法,特別涉及在網(wǎng)關(guān) 設(shè)備中,利用IP Option實(shí)現(xiàn)信息透傳的方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)通信和計(jì) 算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著計(jì)算機(jī)安全產(chǎn)業(yè)的發(fā)展和企業(yè)信息化的推進(jìn),中小企業(yè)對(duì)網(wǎng)絡(luò)安 全的需求越來越強(qiáng)烈,但是網(wǎng)絡(luò)安全業(yè)務(wù)對(duì)硬件要求較高,成本也大。由 此衍生出一種集中式安全方案,這種方案通過在網(wǎng)絡(luò)中心節(jié)點(diǎn)部署安全設(shè) 備,為網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)一批中小企業(yè)提供網(wǎng)絡(luò)安全保障,大大降低了中小企業(yè) 設(shè)備采購成本。
這種方案面臨的一個(gè)困難是,報(bào)文經(jīng)過企業(yè)網(wǎng)關(guān)到達(dá)安全設(shè)備后,企 業(yè)內(nèi)部IP、 MAC等信息已不可見,無法對(duì)企業(yè)用戶進(jìn)行身份識(shí)別,導(dǎo)致諸 多的安全業(yè)務(wù)無法使用。
針對(duì)這個(gè)問題,業(yè)界提出了很多方案,比如
方案1:在企業(yè)網(wǎng)關(guān)和網(wǎng)絡(luò)安全設(shè)備間建立tunnel通道,在tu皿el 里攜帶私有信息,對(duì)用戶身份進(jìn)行認(rèn)證。
方案2:網(wǎng)關(guān)將NAT表項(xiàng)實(shí)時(shí)上傳到網(wǎng)絡(luò)安全設(shè)備上,安全設(shè)備維護(hù) 每個(gè)企業(yè)網(wǎng)關(guān)的NAT表,收到報(bào)文后,在企業(yè)NAT表中查找內(nèi)網(wǎng)信息。
上述方案存在如下問題
①方案1對(duì)報(bào)文轉(zhuǎn)發(fā)性能影響非常大,每個(gè)報(bào)文都需要進(jìn)行tunnel 封裝,如果報(bào)文本身就比較大,由此導(dǎo)致的報(bào)文分片,對(duì)轉(zhuǎn)發(fā)性能影響也 是非常大的。②方案2對(duì)NAT上傳的可靠性、實(shí)時(shí)性要求非常高,在現(xiàn)實(shí)網(wǎng)絡(luò)中, 很可能出現(xiàn)報(bào)文丟失、延時(shí),導(dǎo)致網(wǎng)絡(luò)安全設(shè)備處無法找到NAT表項(xiàng)的情 況,無法識(shí)別用戶身份。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)存在的不足,提供一種在網(wǎng)關(guān)設(shè)備中, 利用IP Option實(shí)現(xiàn)內(nèi)網(wǎng)信息透傳的方法。
本發(fā)明的目的通過以下技術(shù)方案來實(shí)現(xiàn)
利用IP Option實(shí)現(xiàn)信息透傳的方法,特點(diǎn)是具體包括以下步驟一
1) 在網(wǎng)關(guān)上截取每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文;
2) 在報(bào)文轉(zhuǎn)發(fā)之前,將私有信息封裝成IP Option,插入報(bào)文IP頭 尾部;
3) 調(diào)整IP頭部ihl、 tot—len,并重新計(jì)算IP頭部checksum;
4) 轉(zhuǎn)發(fā)報(bào)文;
5) 在網(wǎng)絡(luò)中心節(jié)點(diǎn),截獲該報(bào)文,解析每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文,得 到私有信息,并從報(bào)文中刪除私有信息,然后轉(zhuǎn)發(fā)報(bào)文。
進(jìn)一步地,上述的利用IP Option實(shí)現(xiàn)信息透傳的方法,其中,所述 的網(wǎng)絡(luò)流由五元組唯一定義,五元組是指源IP、目的IP、源端口、目的 端口、傳輸層協(xié)議。
更進(jìn)一步地,上述的利用IP Option實(shí)現(xiàn)信息透傳的方法,其中,所 述私有信息是指源IP、源端口、內(nèi)網(wǎng)MAC地址、設(shè)備標(biāo)識(shí)、用戶ID。
本發(fā)明技術(shù)方案突出的實(shí)質(zhì)性特點(diǎn)和顯著的進(jìn)步主要體現(xiàn)在-
① 本發(fā)明的信息透傳方法,只需要修改網(wǎng)絡(luò)流第一個(gè)報(bào)文,因此對(duì)報(bào) 文轉(zhuǎn)發(fā)性能影響非常小,即使第一個(gè)報(bào)文需要分片,對(duì)性能影響也不大;
② 私有信息和正常報(bào)文一起轉(zhuǎn)發(fā)出去,可靠性得到保障,如果正常報(bào) 文丟失,網(wǎng)絡(luò)應(yīng)用會(huì)重傳報(bào)文,在重傳的時(shí)候,仍可以透傳私有信息。實(shí) 時(shí)性得到保障,私有信息和正常報(bào)文同時(shí)到達(dá)網(wǎng)絡(luò)安全設(shè)備,設(shè)備收到報(bào)文后,可立即對(duì)用戶身份進(jìn)行認(rèn)證;堪稱是具有新穎性、創(chuàng)造性、實(shí)用性 的好技術(shù)。
下面結(jié)合附圖對(duì)本發(fā)明技術(shù)方案作進(jìn)一步說明
圖1:網(wǎng)絡(luò)部署方案示意圖2: IP Option格式參考實(shí)例示意圖3:報(bào)文封裝流程示意圖。
具體實(shí)施例方式
利用IP Option實(shí)現(xiàn)信息透傳的方法,具體過程是1)在網(wǎng)關(guān)上截 取每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文;2)在報(bào)文轉(zhuǎn)發(fā)之前,將私有信息封裝成IP Option,插入報(bào)文IP頭尾部;3)調(diào)整IP頭部ihl、 tot—len,并重新計(jì) 算IP頭部checksum; 4)轉(zhuǎn)發(fā)報(bào)文;5)在網(wǎng)絡(luò)中心節(jié)點(diǎn),截獲該報(bào)文, 解析每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文,得到私有信息,并從報(bào)文中刪除私有信息, 然后轉(zhuǎn)發(fā)報(bào)文。
其中,網(wǎng)絡(luò)流由五元組唯一定義,五元組是指源IP、目的IP、源
端口、目的端口、傳輸層協(xié)議。通過修改轉(zhuǎn)發(fā)報(bào)文IP頭部,透傳私有信
息??蓴y帶任意私有信息,如源IP、源端口、內(nèi)網(wǎng)MAC地址、設(shè)備標(biāo)識(shí)、 用戶ID等,但不限于此。
上述信息透傳方法,只需要修改網(wǎng)絡(luò)流第一個(gè)報(bào)文,并且在SNAT之 前修改報(bào)文,因此對(duì)報(bào)文轉(zhuǎn)發(fā)性能影響非常小,即使第一個(gè)報(bào)文需要分片, 對(duì)性能影響也不大。
私有信息和正常報(bào)文一起轉(zhuǎn)發(fā)出去,可靠性得到保障,如果正常報(bào)文 丟失,網(wǎng)絡(luò)應(yīng)用會(huì)重傳報(bào)文,在重傳的時(shí)候,仍可以透傳私有信息。實(shí)時(shí) 性得到保障,私有信息和正常報(bào)文同時(shí)到達(dá)網(wǎng)絡(luò)安全設(shè)備,設(shè)備收到報(bào)文 后,可立即對(duì)用戶身份進(jìn)行認(rèn)證。本發(fā)明描述的病毒檢測方法不依賴于特定的硬件或軟件平臺(tái),但是如
果選用Linux平臺(tái),利用平臺(tái)已有的模塊,實(shí)現(xiàn)起來更方便,下面就以Linux 平臺(tái)為例,介紹具體實(shí)施方式
。
圖1是網(wǎng)絡(luò)部署方案參考實(shí)例,圖中左下方企業(yè)訂購了網(wǎng)絡(luò)安全服務(wù), 右下方企業(yè)未訂購網(wǎng)絡(luò)安全服務(wù),網(wǎng)絡(luò)安全設(shè)備部署在網(wǎng)絡(luò)中心節(jié)點(diǎn)處, 左下方企業(yè)所有流量全部路由到網(wǎng)絡(luò)中心節(jié)點(diǎn)。
圖2是IP Option格式參考實(shí)例,optno為Option編號(hào),可使用RFC 定義的Option編號(hào),也可以自定義Option編號(hào);optlen為IP Option總長 度,包括optno和optlen; id為用戶身份,mac為內(nèi)網(wǎng)mac, IP為內(nèi)網(wǎng)IP 地址;padding填充頭部,滿足了IP頭部4字節(jié)對(duì)齊要求。
圖3示意了報(bào)文封裝流程
S10:企業(yè)網(wǎng)關(guān)從企業(yè)網(wǎng)絡(luò)接收報(bào)文;
S20:查找該報(bào)文從屬的網(wǎng)絡(luò)流;
S30:判斷網(wǎng)絡(luò)流是否已存在;
S31:如果網(wǎng)絡(luò)流不存在,即報(bào)文為網(wǎng)絡(luò)流第一個(gè)報(bào)文;進(jìn)一步判斷 報(bào)文的Option空間是否足夠;
S32:空間足夠,添加Option字段;
S33:調(diào)整ihl、 tot—len、 checksum等字段;
S40:轉(zhuǎn)發(fā)報(bào)文。
綜上所述,本發(fā)明巧妙利用協(xié)議擴(kuò)展字段實(shí)現(xiàn)信息透傳,具有很好的 性能和網(wǎng)絡(luò)適應(yīng)性,可廣泛用戶各種集中式服務(wù)提供、設(shè)備管理等領(lǐng)域, 具有良好的社會(huì)和經(jīng)濟(jì)效益,堪稱是具有新穎性、創(chuàng)造性、實(shí)用性的好技 術(shù),市場應(yīng)用前景非常廣闊。
雖然本發(fā)明已前述優(yōu)選實(shí)施例說明,然其并非用于限制本發(fā)明,任何 本領(lǐng)域的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,可做任 何的更動(dòng)與修改。因此本發(fā)明的保護(hù)范圍以后附的權(quán)利要求為準(zhǔn)。
權(quán)利要求
1.利用IP Option實(shí)現(xiàn)信息透傳的方法,其特征在于包括以下步驟——1)在網(wǎng)關(guān)上截取每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文;2)在報(bào)文轉(zhuǎn)發(fā)之前,將私有信息封裝成IP Option,插入報(bào)文IP頭尾部;3)調(diào)整IP頭部ihl、tot_len,并重新計(jì)算IP頭部checksum;4)轉(zhuǎn)發(fā)報(bào)文;5)在網(wǎng)絡(luò)中心節(jié)點(diǎn),截獲該報(bào)文,解析每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文,得到私有信息,并從報(bào)文中刪除私有信息,然后轉(zhuǎn)發(fā)報(bào)文。
2. 根據(jù)權(quán)利要求1所述的利用IP Option實(shí)現(xiàn)信息透傳的方法,其 特征在于所述的網(wǎng)絡(luò)流由五元組唯一定義,五元組是指源IP、目的IP、 源端口、目的端口、傳輸層協(xié)議。
3. 根據(jù)權(quán)利要求1所述的利用IP Option實(shí)現(xiàn)信息透傳的方法,其 特征在于所述私有信息是指源IP、源端口、內(nèi)網(wǎng)MAC地址、設(shè)備標(biāo)識(shí)、 用戶ID。
全文摘要
本發(fā)明提供一種利用IP Option實(shí)現(xiàn)信息透傳的方法,其過程是1)在網(wǎng)關(guān)上截取每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文;2)在報(bào)文轉(zhuǎn)發(fā)之前,將私有信息封裝成IP Option,插入報(bào)文IP頭尾部;3)調(diào)整IP頭部ihl、tot_len,并重新計(jì)算IP頭部checksum;4)轉(zhuǎn)發(fā)報(bào)文;5)在網(wǎng)絡(luò)中心節(jié)點(diǎn),截獲該報(bào)文,解析每個(gè)網(wǎng)絡(luò)流第一個(gè)報(bào)文,得到私有信息,并從報(bào)文中刪除私有信息,然后轉(zhuǎn)發(fā)報(bào)文。只需要修改網(wǎng)絡(luò)流第一個(gè)報(bào)文,因此對(duì)報(bào)文轉(zhuǎn)發(fā)性能影響非常小,即使第一個(gè)報(bào)文需要分片,對(duì)性能影響也不大;私有信息和正常報(bào)文一起轉(zhuǎn)發(fā)出去,可靠性得到保障,如果正常報(bào)文丟失,網(wǎng)絡(luò)應(yīng)用會(huì)重傳報(bào)文,在重傳的時(shí)候,仍可透傳私有信息。
文檔編號(hào)H04L12/66GK101605093SQ20091003150
公開日2009年12月16日 申請日期2009年4月22日 優(yōu)先權(quán)日2009年4月22日
發(fā)明者劉繼明, 煒 謝 申請人:網(wǎng)經(jīng)科技(蘇州)有限公司