專利名稱:一種解決IPSec Client地址沖突的方法及IPSec Client的制作方法
技術領域:
本發(fā)明涉及網絡通信技術領域�����,特別涉及到一種解決因特網協議安全性 (Internet Protocol Security, IPSec)網絡中因特網協議安全性客戶端(IPSecClient)地 址沖突的方法及IPSec Client�����。
背景技術:
IPSec 是由互聯網工程任務組(Internet Engineering Task Force, IETF)定義 的一套在因特網協議(Internet Protocol, IP)層提供安全性的協議����,其目標是為互聯網協 議第四版本(IPv4)和IPv6提供具有較強的互操作能力�����、高質量和基于密碼的安全��,包括加 密����、認證和數據防篡改功能����,確保用戶數據可以通過安全的IPSec隧道實現端到端的安全�����、 保密傳輸�����。IPSec現在已經成為架構虛擬專用網絡(Virtual Private Network, VPN)的基礎���, 具備良好的安全性。由于IPSec是IP層上的協議�,因此很容易在全世界范圍內形成一種規(guī) 范,具有非常好的通用性����。IPSec不是一個單獨的協議,它給出了應用于IP層上網絡數據安 全的一整套體系結構�����,包括網絡認證協議認證標頭(Authentication Header, AH)�����、封裝安 全有效載荷(EncapsulatingSecurity Payload, ESP)協議、密鑰管理協議(Internet Key Exchange, IKE)和用于網絡認證及加密的一些算法等���。隨著計算機的普及和網絡的發(fā)展����,網絡結構日益復雜�,這也給IPSec的應用帶來 了一些問題。如
圖1所示���,假設一個典型結構的IPSec網絡��,終端1位于某公司的內部網絡�����, 該網絡通過一個安全網關同Internet連接�����,以保證公司內部網絡的安全性�����,同時該安全網 關具有因特網協議安全性服務器(IPSecServer)的功能����;終端2和終端3通過網絡地址轉 換(Network Address Translation, NAT)設備(ADSL�����、小區(qū)寬帶等)連接到 Internet���,終 端2和終端3具有IPSec Client功能���,且具有在公司外部網絡通過Internet使用IPSec 協議訪問公司的內部網絡的權限;由于存在NAT設備���,故需要使用IPSec的NAT穿越技術����, 即使用用戶數據報協議(User Datagram Protocol, UDP)封裝的ESP隧道模式報文�,所述 報文結構如圖2所示,其中New IP Header是封裝后的報文對外呈現的IP頭部�����;Original IP Header是原始IP報文頭部�����。假設終端2先與終端1協商成功,終端3后與終端1協商 成功����;且終端2和終端3正在與終端1進行數據交互,此時���,若在圖1中的A�、B�、C、D點同時 使用網絡分析工具抓取報文并進行分析���,則A�����、B����、C點的報文為ESP加密報文��,D點的報文是 非加密的原始報文���,此時各點的IP頭部信息如表1所示表 權利要求
1.一種解決因特網協議安全性客戶端(IPSec Client)地址沖突的方法�����,其特征在 于��,IPkc Client需要與因特網協議安全性(IPkc)網絡中的因特網協議安全性服務器 (IPSec Server)進行數據交互時���,自動生成唯一且合法的虛擬專用網絡(VPN)因特網協議 (IP)地址,并用生成的所述VPN IP地址取代用戶數據報協議(UDP)封裝的封裝安全有效載 荷(ESP)隧道模式報文中原始IP報文頭部(Original IP Header)內所述IPkc Client 終端的真實IP地址���。
2.如權利要求1所述方法��,其特征在于���,所述IPkcClient利用本地介質訪問控制 (MAC)地址通過預設的算法映射生成唯一且合法的VPN IP地址。
3.如權利要求1所述方法���,其特征在于���,所述IPkcClient利用自身的身份標識號碼 (ID)通過預設的算法映射生成唯一且合法的VPN IP地址。
4.如權利要求1至3任意一項所述方法�,其特征在于����,所述方法進一步包括所述IPkc Client在與所述IPkc krver進行快速模式(Quick Mode)協商時��,將發(fā) 送給所述IPkc krver的第一條消息的發(fā)起者安全聯盟(SAi)中的發(fā)起者IP地址替換為 所述生成的VPN IP地址�;并將所述第一條消息的發(fā)起者身份標識(IDi)載荷的標識填寫為 所述生成的VPN IP地址。
5.一種IPkc Client����,其特征在于,所述IPkc Client包括地址生成模塊�����、地址替換 模塊�,所述地址生成模塊,用于生成唯一且合法的VPN IP地址���;所述地址替換模塊��,用于將UDP封裝的ESP隧道模式報文中Original IPHeader內 IPSec Client的真實IP地址替換為所述地址生成模塊生成的VPN IP地址����。
6.如權利要求5所述的IPkcClient����,其特征在于�����,所述IPkc Client還包括配置模 塊���,用于為用戶提供配置生成VPN IP地址的算法的接口���,并保存用戶設置的算法���。
7.如權利要求5或6所述的IPkcClient,其特征在于�,所述IPkc Client還包括協 商消息處理模塊,用于將Quick Mode協商時的第一條消息的SAi中的發(fā)起者IP地址替換 為所述地址生成模塊生成的VPN IP地址�;并將所述第一條Quick Mode協商消息的IDi載 荷的標識填寫為所述地址生成模塊生成的VPN IP地址。
全文摘要
本發(fā)明提出了一種解決IPSec Client地址沖突的方法及IPSec Client�,上述方法為IPSec Client需要與IPSec網絡中的IPSec Server進行數據交互時,自動生成唯一且合法的VPN IP地址�,并用上述生成的VPN IP地址取代UDP封裝的ESP隧道模式報文中Original IP Header內上述IPSec Client終端的真實IP地址;上述IPSec Client包括地址生成模塊和地址替換模塊��。本發(fā)明提高了IPSecClient的兼容性��,擴大了IPSec Client的應用范圍。
文檔編號H04L29/06GK102088438SQ20091018871
公開日2011年6月8日 申請日期2009年12月3日 優(yōu)先權日2009年12月3日
發(fā)明者姚幸林, 李光偉, 羅曉華 申請人:中興通訊股份有限公司