專(zhuān)利名稱(chēng):實(shí)現(xiàn)ipsec在ah模式下nat穿越的方法��、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及到通信領(lǐng)域����,特別涉及到一種實(shí)現(xiàn)IPSEC在AH模式下NAT穿越的方法、設(shè)備及系統(tǒng)�����。
背景技術(shù):
Internet 協(xié)議安全性(IPsec, Internet Protocol Security)���,是通過(guò)對(duì) IP 協(xié)議 (互聯(lián)網(wǎng)協(xié)議)的分組進(jìn)行加密和認(rèn)證來(lái)保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族(一些相互關(guān)聯(lián)的協(xié)議的集合)�����。If3Sec基于IETF開(kāi)發(fā)的標(biāo)準(zhǔn)�����,可以在一個(gè)公共IP網(wǎng)絡(luò)上確保數(shù)據(jù)通訊的可靠性和完整性��。msec對(duì)于實(shí)現(xiàn)通用的安全策略所需要的基于標(biāo)準(zhǔn)的靈活的解決方案提供了一個(gè)必備的要素���。IPsec 主要包括兩個(gè)安全協(xié)議 AH(Authentication Header)和 ESP (Encapsulating Security Payload)及密鑰管理協(xié)議 IKE (Internet Key Exchange)。 AH提供無(wú)連接的完整性�����、數(shù)據(jù)發(fā)起驗(yàn)證和重放保護(hù)��。ESP還可另外提供加密���。密鑰管理協(xié)議IKE提供安全可靠的算法和密鑰協(xié)商�����。這些機(jī)制均獨(dú)立于算法�����,這種模塊化的設(shè)計(jì)允許只改變不同的算法而不影響實(shí)現(xiàn)的其它部分����。協(xié)議的應(yīng)用與具體加密算法的使用取決于用戶(hù)和應(yīng)用程序的安全性要求。由于IPsec的AH模式(AH Tunnel/Transport Mode)會(huì)針對(duì)整個(gè)封包(包括 IP Header及Data Payload)做資料完整性的檢查��,因此����,當(dāng)作完IPsec-AH、又再執(zhí)行NAT 的源IP/源端口的轉(zhuǎn)換后�����,此封包在抵達(dá)遠(yuǎn)端的目的終端時(shí)�����,AH的檢驗(yàn)必定失敗��,導(dǎo)致 IPsec-AH+NAT的結(jié)合方式將無(wú)法運(yùn)作�。
發(fā)明內(nèi)容
本發(fā)明的主要目的為提供一種實(shí)現(xiàn)IPSEC在AH模式下NAT穿越的方法、設(shè)備及系統(tǒng)����,實(shí)現(xiàn)II3Sec在AH模式下穿越NAT設(shè)備��。本發(fā)明提出一種實(shí)現(xiàn)msec在AH模式下NAT穿越的方法�,包括NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換后�,發(fā)送至目的終端;目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表����,還原NAT轉(zhuǎn)換前的 AH報(bào)文參數(shù)�;對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證。優(yōu)選地����,所述NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換包括 根據(jù)NAT轉(zhuǎn)換表,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)�����;所述第一參數(shù)包括第一源IP��、第一源端口和第一檢驗(yàn)和�����,所述第二參數(shù)包括第二源IP、第二源端口和第二檢驗(yàn)和���;所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系����。優(yōu)選地�����,在執(zhí)行所述NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換之后��,發(fā)送至目的終端之前���,還包括NAT設(shè)備發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端�;
所述目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表�。優(yōu)選地,所述目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表���,還原 NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)包括查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)�;將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)��。本發(fā)明還提出一種NAT設(shè)備�,包括接收模塊,用于接收AH報(bào)文;轉(zhuǎn)換模塊���,用于將所述AH報(bào)文進(jìn)行NAT轉(zhuǎn)換��;發(fā)送模塊�,用于將所述NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至目的終端�;供目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)����;以及對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證�����。優(yōu)選地��,所述轉(zhuǎn)換模塊具體用于根據(jù)NAT轉(zhuǎn)換表���,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)�����;所述第一參數(shù)包括第一源IP���、第一源端口和第一檢驗(yàn)和�,所述第二參數(shù)包括第二源IP��、第二源端口和第二檢驗(yàn)和����;所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系。優(yōu)選地���,所述發(fā)送模塊還用于發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端�����;供目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表���。本發(fā)明還提出一種終端,包括接收模塊����,用于接收NAT設(shè)備發(fā)送的AH報(bào)文;還原模塊����,用于通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表����,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)�����;認(rèn)證模塊���,用于對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證��。優(yōu)選地���,所述終端還包括映射模塊,用于建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表��;所述第一參數(shù)包括第一源IP����、第一源端口和第一檢驗(yàn)和��,所述第二參數(shù)包括第二源IP�����、第二源端口和第二檢驗(yàn)和。優(yōu)選地����,所述還原模塊包括查找單元,用于查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)���;轉(zhuǎn)換單元���,用于將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)。本發(fā)明還提出一種實(shí)現(xiàn)II^sec在AH模式下NAT穿越的系統(tǒng)����,包括NAT設(shè)備和與所述NAT設(shè)備建立連接的終端,所述NAT設(shè)備包括接收模塊���,用于接收AH報(bào)文��;轉(zhuǎn)換模塊����,用于將所述AH報(bào)文進(jìn)行NAT轉(zhuǎn)換�;發(fā)送模塊,用于將所述NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至目的終端�;供目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表����,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)����;以及對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證。優(yōu)選地��,所述轉(zhuǎn)換模塊具體用于根據(jù)NAT轉(zhuǎn)換表����,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù);所述第一參數(shù)包括第一源IP����、第一源端口和第一檢驗(yàn)和,所述第二參數(shù)包括第二源IP�����、第二源端口和第二檢驗(yàn)和����;所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系����。優(yōu)選地�����,所述發(fā)送模塊還用于發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端���;供目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表。所述終端包括接收模塊����,用于接收NAT設(shè)備發(fā)送的AH報(bào)文;還原模塊�����,用于通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表�,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù);認(rèn)證模塊����,用于對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證。優(yōu)選地���,所述終端還包括映射模塊����,用于建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表;所述第一參數(shù)包括第一源IP����、第一源端口和第一檢驗(yàn)和,所述第二參數(shù)包括第二源IP�����、第二源端口和第二檢驗(yàn)和���。優(yōu)選地�����,所述還原模塊包括查找單元����,用于查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)���;轉(zhuǎn)換單元�����,用于將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)����。本發(fā)明提出的一種實(shí)現(xiàn)II^sec在AH模式下NAT穿越的方法�����、設(shè)備及系統(tǒng)���,通過(guò)對(duì) AH報(bào)文參數(shù)的還原�����,可以實(shí)現(xiàn)AH模式下穿越NAT設(shè)備���,改變現(xiàn)在AH模式下無(wú)法支持NAT轉(zhuǎn)換的不足。
圖1為本發(fā)明實(shí)現(xiàn)msec在AH模式下NAT穿越的方法一實(shí)施例的流程示意圖�����;圖2為圖1所示之AH報(bào)文在NAT轉(zhuǎn)換前后之變化示意圖�;圖3為本發(fā)明實(shí)現(xiàn)msec在AH模式下NAT穿越的方法一實(shí)施例中還原的流程示意圖;圖4為本發(fā)明實(shí)現(xiàn)msec在AH模式下NAT穿越的方法又一實(shí)施例的流程示意圖;圖5為本發(fā)明NAT設(shè)備一實(shí)施例的結(jié)構(gòu)示意圖�;圖6為本發(fā)明終端一實(shí)施例的結(jié)構(gòu)示意圖;圖7為本發(fā)明終端一實(shí)施例中還原模塊的結(jié)構(gòu)示意圖��;圖8為本發(fā)明終端又一實(shí)施例的結(jié)構(gòu)示意圖��;圖9為本發(fā)明實(shí)現(xiàn)msec在AH模式下NAT穿越的系統(tǒng)一實(shí)施例的流程示意圖���。本發(fā)明目的的實(shí)現(xiàn)�、功能特點(diǎn)及優(yōu)點(diǎn)將結(jié)合實(shí)施例�����,參照附圖做進(jìn)一步說(shuō)明���。
具體實(shí)施例方式應(yīng)當(dāng)理解���,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明���。參照?qǐng)D1�����,提出本發(fā)明實(shí)現(xiàn)msec在AH模式下NAT穿越的方法一實(shí)施例���,包括步驟S10�����、NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換;步驟Sll��、發(fā)送NAT轉(zhuǎn)換后的AH報(bào)文至目的終端����;
步驟S12、目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表�,還原NAT 轉(zhuǎn)換前的AH報(bào)文參數(shù);步驟S13�����、對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證�����。當(dāng)源終端發(fā)送AH報(bào)文到NAT設(shè)備后�����,NAT設(shè)備對(duì)該報(bào)文進(jìn)行NAT轉(zhuǎn)換,AH報(bào)文參數(shù)發(fā)生變化���,如圖2所示�,左邊為源終端發(fā)送的AH報(bào)文內(nèi)容����,右邊為目的終端收到的AH報(bào)文內(nèi)容,其中經(jīng)過(guò)NAT設(shè)備后報(bào)文的源IP����、檢驗(yàn)和字段和TCP/UDP頭的源端口、檢驗(yàn)和字段發(fā)生了變化��。NAT設(shè)備將NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至該報(bào)文的目的終端�。目的終端根據(jù)通過(guò) NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表對(duì)AH報(bào)文參數(shù)進(jìn)行還原并且重新計(jì)算校驗(yàn)和,上述映射關(guān)系表保存有NAT轉(zhuǎn)換前后的AH報(bào)文參數(shù)的映射關(guān)系�。還原后的AH報(bào)文和源終端發(fā)送出來(lái)的AH報(bào)文完全一樣的。目的終端對(duì)還原后的AH報(bào)文進(jìn)行認(rèn)證����。本實(shí)施例中,通過(guò)對(duì)AH報(bào)文參數(shù)的還原��,可以實(shí)現(xiàn)AH模式下穿越NAT設(shè)備,改變現(xiàn)在AH模式下無(wú)法支持NAT轉(zhuǎn)換的不足��。在一實(shí)施例中��,步驟SlO可包括根據(jù)NAT轉(zhuǎn)換表�����,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)���;所述第一參數(shù)包括第一源IP、第一源端口和第一檢驗(yàn)和(即NAT轉(zhuǎn)換前的源 IP�����、源端口和檢驗(yàn)和)��,所述第二參數(shù)包括第二源IP�、第二源端口和第二檢驗(yàn)和(即NAT轉(zhuǎn)換后的源IP、源端口和檢驗(yàn)和)�;所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系。參照?qǐng)D3��,在上述實(shí)施例中����,步驟S12可包括步驟S121�����、查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)����;步驟S122����、將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)。目的終端接收到NAT設(shè)備發(fā)送的已轉(zhuǎn)換的AH報(bào)文后���,用報(bào)文中的源IP和源端口作為關(guān)鍵值在映射關(guān)系表內(nèi)查找NAT轉(zhuǎn)換前的源IP和源端口��,如果查找成功���,則進(jìn)行源IP 和源端口的轉(zhuǎn)換,轉(zhuǎn)換后做AH認(rèn)證處理�����。如果映射關(guān)系表查找失敗��,直接做AH認(rèn)證處理。參照?qǐng)D4���,在上述實(shí)施例中����,步驟SlO之后���,步驟Sll之前�,還包括步驟S14����、NAT設(shè)備發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端�;步驟S15、所述目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表����。在收到來(lái)自所述源終端的第一個(gè)AH報(bào)文時(shí),需建立第一參數(shù)和第二參數(shù)的映射關(guān)系表�,即建立AH報(bào)文參數(shù)在NAT轉(zhuǎn)換前和NAT轉(zhuǎn)換后的線(xiàn)性關(guān)系。NAT設(shè)備在收到第一個(gè)AH報(bào)文時(shí)����,查找NAT轉(zhuǎn)換表���,將第一參數(shù)(包括NAT轉(zhuǎn)換前的源IP、源端口�����、檢驗(yàn)和)和第二參數(shù)(包括NAT轉(zhuǎn)換后的源IP�����、源端口�、檢驗(yàn)和)構(gòu)造到一協(xié)議報(bào)文里,發(fā)送到目的終端����。目的終端收到協(xié)議報(bào)文后,將報(bào)文里的第一參數(shù)和第二參數(shù)用鏈表的形式組織記錄到內(nèi)存中�����。目的終端發(fā)送確認(rèn)報(bào)文給NAT設(shè)備����,確認(rèn)收到。NAT設(shè)備收到確認(rèn)報(bào)文后停止發(fā)送協(xié)議報(bào)文,否則每隔3秒鐘重新發(fā)送一次協(xié)議報(bào)文���。參照?qǐng)D5���,提出本發(fā)明一種NAT設(shè)備100 —實(shí)施例,包括接收模塊10���,用于接收AH報(bào)文�;轉(zhuǎn)換模塊20�����,用于將所述AH報(bào)文進(jìn)行NAT轉(zhuǎn)換����;發(fā)送模塊30,用于將所述NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至目的終端����;供目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表��,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)��;以及對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證���。
當(dāng)接收模塊10接收源終端發(fā)送的AH報(bào)文后�����,轉(zhuǎn)換模塊20對(duì)該報(bào)文進(jìn)行NAT轉(zhuǎn)換����,AH報(bào)文參數(shù)發(fā)生變化,如圖2所示��,左邊為源終端發(fā)送的AH報(bào)文內(nèi)容�,右邊為目的終端收到的AH報(bào)文內(nèi)容,其中經(jīng)過(guò)NAT設(shè)備100后報(bào)文的源IP��、檢驗(yàn)和字段和TCP/UDP頭的源端口�����、檢驗(yàn)和字段發(fā)生了變化�。發(fā)送模塊30將NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至該報(bào)文的目的終端。目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表對(duì)AH報(bào)文參數(shù)進(jìn)行還原并且重新計(jì)算校驗(yàn)和��,上述映射關(guān)系表保存有NAT轉(zhuǎn)換前后的AH報(bào)文參數(shù)的映射關(guān)系����。還原后的AH報(bào)文和源終端發(fā)送出來(lái)的AH報(bào)文完全一樣的�。目的終端對(duì)還原后的AH報(bào)文進(jìn)行認(rèn)證����。本實(shí)施例中,通過(guò)對(duì)AH報(bào)文參數(shù)的轉(zhuǎn)換及還原���,可以實(shí)現(xiàn)AH模式下穿越NAT設(shè)備 100���,改變現(xiàn)在AH模式下無(wú)法支持NAT轉(zhuǎn)換的不足。在一實(shí)施例中��,轉(zhuǎn)換模塊20具體用于根據(jù)NAT轉(zhuǎn)換表�����,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)���;所述第一參數(shù)包括第一源IP����、第一源端口和第一檢驗(yàn)和�,所述第二參數(shù)包括第二源IP、第二源端口和第二檢驗(yàn)和���;所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系�。在一實(shí)施例中�����,發(fā)送模塊30還用于發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端��;供目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表����。在收到來(lái)自所述源終端的第一個(gè)AH報(bào)文時(shí),需建立第一參數(shù)和第二參數(shù)的映射關(guān)系表����,即建立AH報(bào)文參數(shù)在NAT轉(zhuǎn)換前和NAT轉(zhuǎn)換后的線(xiàn)性關(guān)系。NAT設(shè)備100在收到第一個(gè)AH報(bào)文時(shí)�,查找NAT轉(zhuǎn)換表,將第一參數(shù)(包括NAT轉(zhuǎn)換前的源IP�、源端口、檢驗(yàn)和) 和第二參數(shù)(包括NAT轉(zhuǎn)換后的源IP�、源端口、檢驗(yàn)和)構(gòu)造到一協(xié)議報(bào)文里�,發(fā)送模塊30 發(fā)送到目的終端��。目的終端收到協(xié)議報(bào)文后��,將報(bào)文里的第一參數(shù)和第二參數(shù)用鏈表的形式組織記錄到內(nèi)存中����。目的終端發(fā)送確認(rèn)報(bào)文給NAT設(shè)備100����,確認(rèn)收到。NAT設(shè)備100收到確認(rèn)報(bào)文后停止發(fā)送協(xié)議報(bào)文�����,否則每隔3秒鐘重新發(fā)送一次協(xié)議報(bào)文�����。本實(shí)施例通過(guò)發(fā)送協(xié)議報(bào)文����,供目的終端建立映射關(guān)系表,以便后續(xù)還原AH報(bào)文參數(shù)���。參照?qǐng)D6����,提出本發(fā)明一種終端200 —實(shí)施例��,包括接收模塊40�,用于接收NAT設(shè)備發(fā)送的AH報(bào)文;還原模塊50���,用于通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表�����,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)�����;認(rèn)證模塊60�,用于對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證����。當(dāng)源終端發(fā)送AH報(bào)文到NAT設(shè)備后,NAT設(shè)備對(duì)該報(bào)文進(jìn)行NAT轉(zhuǎn)換���,AH報(bào)文參數(shù)發(fā)生變化���,如圖2所示��,左邊為源終端發(fā)送的AH報(bào)文內(nèi)容�����,右邊為接收模塊40收到的AH 報(bào)文內(nèi)容���,其中經(jīng)過(guò)NAT設(shè)備后報(bào)文的源IP、檢驗(yàn)和字段和TCP/UDP頭的源端口�����、檢驗(yàn)和字段發(fā)生了變化�。NAT設(shè)備將NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至終端200。還原模塊50根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表對(duì)AH報(bào)文參數(shù)進(jìn)行還原并且重新計(jì)算校驗(yàn)和�,上述映射關(guān)系表保存有NAT轉(zhuǎn)換前后的AH報(bào)文參數(shù)的映射關(guān)系。還原后的AH報(bào)文和源終端發(fā)送出來(lái)的AH報(bào)文完全一樣的�����。認(rèn)證模塊60對(duì)還原后的AH報(bào)文進(jìn)行認(rèn)證�����。本實(shí)施例中,通過(guò)對(duì)AH報(bào)文參數(shù)的還原��,可以實(shí)現(xiàn)AH模式下穿越NAT設(shè)備��,改變現(xiàn)在AH模式下無(wú)法支持NAT轉(zhuǎn)換的不足��。參照?qǐng)D7�����,在一實(shí)施例中���,還原模塊50包括查找單元51,用于查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)�;轉(zhuǎn)換單元52,用于將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)��。參照?qǐng)D8�,提出本發(fā)明一種終端200又一實(shí)施例,在上述實(shí)施例中�,還包括映射模塊70,用于建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表�����;所述第一參數(shù)包括第一源IP、第一源端口和第一檢驗(yàn)和�,所述第二參數(shù)包括第二源IP、第二源端口和第二檢驗(yàn)和�。在收到來(lái)自所述源終端的第一個(gè)AH報(bào)文時(shí),映射模塊70需建立第一參數(shù)和第二參數(shù)的映射關(guān)系表����,即建立AH報(bào)文參數(shù)在NAT轉(zhuǎn)換前和NAT轉(zhuǎn)換后的線(xiàn)性關(guān)系。NAT設(shè)備在收到第一個(gè)AH報(bào)文時(shí)�����,查找NAT轉(zhuǎn)換表��,將第一參數(shù)(包括NAT轉(zhuǎn)換前的源IP�����、源端口�����、 檢驗(yàn)和)和第二參數(shù)(包括NAT轉(zhuǎn)換后的源IP���、源端口�����、檢驗(yàn)和)構(gòu)造到一協(xié)議報(bào)文里�����,發(fā)送到終端200的接收模塊40��。接收模塊40收到協(xié)議報(bào)文后��,映射模塊70將報(bào)文里的第一參數(shù)和第二參數(shù)用鏈表的形式組織記錄到內(nèi)存中���。終端200發(fā)送確認(rèn)報(bào)文給NAT設(shè)備,確認(rèn)收到���。參照?qǐng)D9��,提出本發(fā)明實(shí)現(xiàn)II^sec在AH模式下NAT穿越的系統(tǒng)一實(shí)施例���,包括NAT 設(shè)備100和與所述NAT設(shè)備100建立連接的終端200。NAT設(shè)備100的結(jié)構(gòu)和工作原理與圖5所示之NAT設(shè)備100 —致�,終端200的結(jié)構(gòu)和工作原理與圖6至圖8所示之終端200 一致,此處不再贅述。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例��,并非因此限制本發(fā)明的專(zhuān)利范圍���,凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換��,或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域��,均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)�。
權(quán)利要求
1.一種實(shí)現(xiàn)If3Sec在AH模式下NAT穿越的方法��,其特征在于����,包括NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換后,發(fā)送至目的終端����;目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表,還原NAT轉(zhuǎn)換前的AH 報(bào)文參數(shù)����;對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證。
2.如權(quán)利要求1所述的方法�����,其特征在于,所述NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換包括根據(jù)NAT轉(zhuǎn)換表��,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)�����;所述第一參數(shù)包括第一源IP���、第一源端口和第一檢驗(yàn)和���,所述第二參數(shù)包括第二源IP、第二源端口和第二檢驗(yàn)和����; 所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系�����。
3.如權(quán)利要求2所述的方法���,其特征在于�����,在執(zhí)行所述NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行 NAT轉(zhuǎn)換之后�,發(fā)送至目的終端之前,還包括NAT設(shè)備發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端�;所述目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表。
4.如權(quán)利要求2或3所述的方法�����,其特征在于����,所述目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的 AH報(bào)文參數(shù)的映射關(guān)系表,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)包括查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)�����;將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)�。
5.一種NAT設(shè)備,其特征在于���,包括接收模塊��,用于接收AH報(bào)文����;轉(zhuǎn)換模塊,用于將所述AH報(bào)文進(jìn)行NAT轉(zhuǎn)換����;發(fā)送模塊,用于將所述NAT轉(zhuǎn)換后的AH報(bào)文發(fā)送至目的終端�;供目的終端根據(jù)通過(guò) NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù)�����;以及對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證�。
6.如權(quán)利要求5所述的NAT設(shè)備,其特征在于����,所述轉(zhuǎn)換模塊具體用于根據(jù)NAT轉(zhuǎn)換表,將所述AH報(bào)文的第一參數(shù)替換為第二參數(shù)���;所述第一參數(shù)包括第一源IP、第一源端口和第一檢驗(yàn)和���,所述第二參數(shù)包括第二源IP���、第二源端口和第二檢驗(yàn)和���; 所述NAT轉(zhuǎn)換表包括第一參數(shù)和第二參數(shù)的映射關(guān)系。
7.如權(quán)利要求5或6所述的NAT設(shè)備�����,其特征在于��,所述發(fā)送模塊還用于發(fā)送所述第一參數(shù)和第二參數(shù)至所述目的終端����;供目的終端建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表。
8.—種終端��,其特征在于����,包括接收模塊,用于接收NAT設(shè)備發(fā)送的AH報(bào)文���;還原模塊����,用于通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表,還原NAT轉(zhuǎn)換前的AH 報(bào)文參數(shù)�;認(rèn)證模塊,用于對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證�����。
9.如權(quán)利要求8所述的終端��,其特征在于����,還包括映射模塊,用于建立所述第一參數(shù)和第二參數(shù)的映射關(guān)系表����;所述第一參數(shù)包括第一源IP、第一源端口和第一檢驗(yàn)和�����,所述第二參數(shù)包括第二源IP����、第二源端口和第二檢驗(yàn)和�。
10.如權(quán)利要求8或9所述的終端�����,其特征在于���,所述還原模塊包括 查找單元,用于查找所述映射關(guān)系表中第二參數(shù)對(duì)應(yīng)的第一參數(shù)��; 轉(zhuǎn)換單元���,用于將所述AH報(bào)文的第二參數(shù)替換為第一參數(shù)����。
11.一種實(shí)現(xiàn)If3Sec在AH模式下NAT穿越的系統(tǒng)�,其特征在于,包括NAT設(shè)備和與所述 NAT設(shè)備建立連接的終端�����,所述NAT設(shè)備為權(quán)利要求5至7中任一項(xiàng)所述的NAT設(shè)備����,所述終端為權(quán)利要求8至10中任一項(xiàng)所述的終端。
全文摘要
本發(fā)明揭示了一種實(shí)現(xiàn)IPSEC在AH模式下NAT穿越的方法��,包括NAT設(shè)備對(duì)收到的AH報(bào)文進(jìn)行NAT轉(zhuǎn)換后,發(fā)送至目的終端���;目的終端根據(jù)通過(guò)NAT轉(zhuǎn)換建立的AH報(bào)文參數(shù)的映射關(guān)系表���,還原NAT轉(zhuǎn)換前的AH報(bào)文參數(shù);對(duì)還原后的AH報(bào)文參數(shù)進(jìn)行認(rèn)證�����。本發(fā)明還提出了對(duì)應(yīng)的設(shè)備和系統(tǒng)�����。本發(fā)明的主要目的為提供一種實(shí)現(xiàn)IPSEC在AH模式下NAT穿越的方法�����、設(shè)備及系統(tǒng)���,實(shí)現(xiàn)IPsec在AH模式下穿越NAT設(shè)備�����。
文檔編號(hào)H04L29/06GK102202108SQ201110160968
公開(kāi)日2011年9月28日 申請(qǐng)日期2011年6月15日 優(yōu)先權(quán)日2011年6月15日
發(fā)明者鐘鋒巖 申請(qǐng)人:中興通訊股份有限公司