專利名稱:Ike報(bào)文協(xié)商過程中的nat設(shè)備發(fā)現(xiàn)處理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,特別涉及一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處
理方法���。
背景技術(shù):
在互聯(lián)網(wǎng)的安全通信過程中,“ Internet協(xié)議安全性(Internet ProtocolSecurity, IPSec) ”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),其通過使用加密的安全服務(wù)以確保在IP網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊��,具體地��,其主要是通過對(duì)IP協(xié)議的報(bào)文分組進(jìn)行加密和認(rèn)證來保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族���。IPSec通常由兩大部分組成(I)建立安全分組流的密鑰交換協(xié)議(Internet Key Exchange, IKE) ���; (2)保護(hù)分組流的協(xié)議,包括加密分組流的封裝安全載荷(Encapsulating Security Payload, ESP)協(xié)議或認(rèn)證頭(AuthenticationHeader, AH)協(xié)議�����,用于保證數(shù)據(jù)的機(jī)密性�、來源可靠性(認(rèn)證)��、無連接的完整性并提供抗重播服務(wù)��。其中��,IKE是用來在兩個(gè)對(duì)等體(PEER)之間協(xié)商建立一個(gè)隧道并協(xié)商加密報(bào)文的發(fā)送參數(shù)的���,IKE的協(xié)商包括兩個(gè)階段第一階段的協(xié)商是在兩個(gè)PEER之間建立一個(gè)安全的通道,這個(gè)通道目的是為協(xié)商IPSEC的密鑰等參數(shù)提供加密的參數(shù)���;當(dāng)IKE的通道協(xié)商成功之后�,然后開始第二階段的協(xié)商���,目的是協(xié)商IPSec的加密參數(shù)?,F(xiàn)有技術(shù)中�����,當(dāng)IKE協(xié)商過程中發(fā)現(xiàn)網(wǎng)絡(luò)中存在NAT (Network AddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備時(shí),會(huì)對(duì)協(xié)商報(bào)文的業(yè)務(wù)端口做一個(gè)轉(zhuǎn)換�,將控制流的IKE報(bào)文和數(shù)據(jù)流的ESP/AH報(bào)文都通過統(tǒng)一的UDP端口進(jìn)行處理。該方式雖然一定程度上簡化了報(bào)文發(fā)送的處理���,但是��,由于軟硬件技術(shù)的進(jìn)步�,當(dāng)前的網(wǎng)絡(luò)設(shè)備��、特別是NAT設(shè)備都已是多核多線程基于連接的設(shè)備�,其通常會(huì)同時(shí)處理大量的網(wǎng)絡(luò)數(shù)據(jù)。由于采用同樣的UDP端口作為業(yè)務(wù)端口�����,當(dāng)IKE報(bào)文和ESP/AH報(bào)文同時(shí)通過NAT設(shè)備時(shí)����,由于數(shù)據(jù)流ESP/AH報(bào)文流量通常遠(yuǎn)大于控制流IKE報(bào)文的流量,數(shù)據(jù)流過大必然會(huì)影響控制流的收發(fā)�����,因而會(huì)導(dǎo)致IKE報(bào)文的丟失率大增,由于IKE報(bào)文是協(xié)商報(bào)文�,主要承載了網(wǎng)絡(luò)控制信息,比如其中包括了 keepalive (心跳或生命期管理)報(bào)文�、notify (通知)報(bào)文和協(xié)商報(bào)文等,這種控制報(bào)文對(duì)網(wǎng)絡(luò)通信起著直接的指導(dǎo)作用�����,一旦控制報(bào)文丟失會(huì)嚴(yán)重影響網(wǎng)絡(luò)通信質(zhì)量�����,甚至?xí)?dǎo)致斷網(wǎng)��,給通信帶來的損失不可估量�����。
發(fā)明內(nèi)容
(一 )要解決的技術(shù)問題針對(duì)現(xiàn)有技術(shù)的缺點(diǎn)��,本發(fā)明為了解決現(xiàn)有技術(shù)中IKE協(xié)商過程中當(dāng)發(fā)現(xiàn)NAT設(shè)備時(shí)IKE報(bào)文頻繁丟失的問題�,提供了一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法���。( 二 )技術(shù)方案為此解決上述技術(shù)問題�����,本發(fā)明具體采用如下方案進(jìn)行首先�,本發(fā)明提供一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法,所述方法包括步驟
SI��,通過設(shè)備發(fā)現(xiàn)����,在兩個(gè)對(duì)等設(shè)備之間建立一個(gè)安全的隧道;S2��,在建立隧道過程中��,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在NAT設(shè)備時(shí)�����,在設(shè)備間協(xié)商確定控制流報(bào)文處理端口和數(shù)據(jù)流報(bào)文處理端口 �;S3,報(bào)文發(fā)送過程中�����,NAT設(shè)備通過協(xié)商確定的所述控制流報(bào)文處理端口轉(zhuǎn)發(fā)控制流報(bào)文����,通過協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口轉(zhuǎn)發(fā)數(shù)據(jù)流報(bào)文�。優(yōu)選地�����,在步驟SI的設(shè)備發(fā)現(xiàn)過程中����,通過供應(yīng)商標(biāo)識(shí)承載確認(rèn)對(duì)端設(shè)備商;在步驟S2中����,若對(duì)端設(shè)備商支持通過不同端口分別處理控制流和數(shù)據(jù)流的功能,則直接使用該功能�;若對(duì)端設(shè)備商不支持該功能,則采用相同的端口處理控制流和數(shù)據(jù)流�。優(yōu)選地,所述協(xié)商確定的端口是UDP端口��。優(yōu)選地,協(xié)商確定的所述控制流報(bào)文處理端口為UDP端口號(hào)500,協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口為m)P端口號(hào)4500����。優(yōu)選地���,控制流報(bào)文包括IKE報(bào)文�,數(shù)據(jù)流報(bào)文包括ESP和/或AH報(bào)文。優(yōu)選地���,所述NAT設(shè)備為多核多線程設(shè)備��。優(yōu)選地�����,所述NAT設(shè)備同時(shí)轉(zhuǎn)發(fā)所述控制流報(bào)文和所述數(shù)據(jù)流報(bào)文�。(三)有益效果本發(fā)明中�����,通過協(xié)商分別確定控制流報(bào)文和數(shù)據(jù)流報(bào)文的處理端口�����,使得NAT設(shè)備可以通過不同的端口轉(zhuǎn)發(fā)控制流報(bào)文和數(shù)據(jù)流報(bào)文�,更好地適應(yīng)了 NAT設(shè)備并發(fā)處理的能力,提高了轉(zhuǎn)發(fā)效率�����。此外,由于通過不同的端口分別處理控制流和數(shù)據(jù)流�,保證了報(bào)文的獨(dú)立性,避免了數(shù)據(jù)流流量過大對(duì)控制流的影響��,降低了控制流報(bào)文的丟失率��,保證了網(wǎng)絡(luò)通信的質(zhì)量和網(wǎng)絡(luò)連接的可靠性�。最后,本發(fā)明的協(xié)商過程還充分考慮了設(shè)備的兼容性和效率���。
圖I為本發(fā)明的一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法流程示意圖�����。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述��,顯然��,所描述的實(shí)施例是本發(fā)明的一部分實(shí)施例��,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)的前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍���。本發(fā)明中�,為了避免大量的數(shù)據(jù)流對(duì)控制流的IKE報(bào)文發(fā)送造成影響���,提供了一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法��。具體地���,參見圖1,本發(fā)明的方法包括步驟通過設(shè)備發(fā)現(xiàn)����,在兩個(gè)對(duì)等設(shè)備之間建立一個(gè)安全的隧道;在建立隧道過程中���,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在NAT設(shè)備時(shí)��,在設(shè)備間協(xié)商確定控制流報(bào)文處理端口和數(shù)據(jù)流報(bào)文處理端口 �;報(bào)文發(fā)送過程中,NAT設(shè)備通過協(xié)商確定的所述控制流報(bào)文處理端口轉(zhuǎn)發(fā)控制流報(bào)文��,通過協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口轉(zhuǎn)發(fā)數(shù)據(jù)流報(bào)文�。
其中,在設(shè)備發(fā)現(xiàn)過程中�,通過供應(yīng)商標(biāo)識(shí)VID(vendor ID)承載確認(rèn)對(duì)端設(shè)備商,若對(duì)端設(shè)備商支持通過不同端口分別處理控制流和數(shù)據(jù)流的功能�,則直接使用該功能;若對(duì)端設(shè)備商不支持該功能���,則采用相同的端口(如UDP端口 4500)處理控制流和數(shù)據(jù)流��。優(yōu)選地���,所述協(xié)商確定的端口是UDP端口。更優(yōu)選地���,協(xié)商確定的所述控制流報(bào)文處理端口為UDP端口號(hào)500�����,協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口為m)P端口號(hào)4500�����。其中��,控制 流報(bào)文包括IKE報(bào)文�,數(shù)據(jù)流報(bào)文包括ESP和/或AH報(bào)文�。優(yōu)選地,所述NAT設(shè)備為多核多線程設(shè)備��。更優(yōu)選地���,所述NAT設(shè)備同時(shí)轉(zhuǎn)發(fā)所述控制流報(bào)文和所述數(shù)據(jù)流報(bào)文�����。本發(fā)明中�����,通過協(xié)商分別確定控制流報(bào)文和數(shù)據(jù)流報(bào)文的處理端口����,使得NAT設(shè)備可以通過不同的端口轉(zhuǎn)發(fā)控制流報(bào)文和數(shù)據(jù)流報(bào)文�,更好地適應(yīng)了 NAT設(shè)備并發(fā)處理的能力�����,提高了轉(zhuǎn)發(fā)效率��。此外���,由于通過不同的端口分別處理控制流和數(shù)據(jù)流,保證了報(bào)文的獨(dú)立性�,避免了數(shù)據(jù)流流量過大對(duì)控制流的影響,降低了控制流報(bào)文的丟失率���,保證了網(wǎng)絡(luò)通信的質(zhì)量和網(wǎng)絡(luò)連接的可靠性�。最后��,本發(fā)明的協(xié)商過程還充分考慮了設(shè)備的兼容性和效率�。以上實(shí)施方式僅用于說明本發(fā)明,而并非對(duì)本發(fā)明的限制��,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型�����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的實(shí)際保護(hù)范圍應(yīng)由權(quán)利要求限定���。
權(quán)利要求
1.一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法�����,其特征在于�,所述方法包括步驟 SI�����,通過設(shè)備發(fā)現(xiàn)���,在兩個(gè)對(duì)等設(shè)備之間建立一個(gè)安全的隧道; S2�����,在建立隧道過程中����,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在NAT設(shè)備時(shí),在設(shè)備間協(xié)商確定控制流報(bào)文處理端口和數(shù)據(jù)流報(bào)文處理端口 ; S3�,報(bào)文發(fā)送過程中,NAT設(shè)備通過協(xié)商確定的所述控制流報(bào)文處理端口轉(zhuǎn)發(fā)控制流報(bào)文�����,通過協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口轉(zhuǎn)發(fā)數(shù)據(jù)流報(bào)文����。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于�,在步驟SI的設(shè)備發(fā)現(xiàn)過程中,通過供應(yīng)商標(biāo)識(shí)承載確認(rèn)對(duì)端設(shè)備商�����;在步驟S2中���,若對(duì)端設(shè)備商支持通過不同端口分別處理控制流和數(shù)據(jù)流的功能��,則直接使用該功能����;若對(duì)端設(shè)備商不支持該功能�����,則采用相同的端口處理 控制流和數(shù)據(jù)流。
3.根據(jù)權(quán)利要求I所述的方法��,其特征在于�����,所述協(xié)商確定的端口是UDP端口�����。
4.根據(jù)權(quán)利要求3所述的方法�,其特征在于,協(xié)商確定的所述控制流報(bào)文處理端口為UDP端口號(hào)500���,協(xié)商確定的所述數(shù)據(jù)流報(bào)文處理端口為UDP端口號(hào)4500。
5.根據(jù)權(quán)利要求I所述的方法����,其特征在于,控制流報(bào)文包括IKE報(bào)文�,數(shù)據(jù)流報(bào)文包括ESP和/或AH報(bào)文。
6.根據(jù)權(quán)利要求I所述的方法��,其特征在于,所述NAT設(shè)備為多核多線程設(shè)備���。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于�,所述NAT設(shè)備同時(shí)轉(zhuǎn)發(fā)所述控制流報(bào)文和所述數(shù)據(jù)流報(bào)文�����。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域��,提供了一種IKE報(bào)文協(xié)商過程中的NAT設(shè)備發(fā)現(xiàn)處理方法����。所述方法包括步驟通過設(shè)備發(fā)現(xiàn),在兩個(gè)對(duì)等設(shè)備之間建立一個(gè)安全的隧道�����;在建立隧道過程中�,當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在NAT設(shè)備時(shí),在設(shè)備間協(xié)商確定控制流報(bào)文處理端口和數(shù)據(jù)流報(bào)文處理端口�;報(bào)文發(fā)送過程中,NAT設(shè)備通過協(xié)商確定的控制流報(bào)文處理端口轉(zhuǎn)發(fā)控制流報(bào)文�����,通過協(xié)商確定的數(shù)據(jù)流報(bào)文處理端口轉(zhuǎn)發(fā)數(shù)據(jù)流報(bào)文。本發(fā)明更好地適應(yīng)了NAT設(shè)備并發(fā)處理的能力����,提高了轉(zhuǎn)發(fā)效率;通過不同的端口分別處理控制流和數(shù)據(jù)流���,保證了報(bào)文的獨(dú)立性�����,避免了數(shù)據(jù)流流量過大對(duì)控制流的影響��,降低了控制流報(bào)文的丟失率���,保證了網(wǎng)絡(luò)通信的質(zhì)量和網(wǎng)絡(luò)連接的可靠性。
文檔編號(hào)H04L29/12GK102624734SQ201210068588
公開日2012年8月1日 申請日期2012年3月15日 優(yōu)先權(quán)日2012年3月15日
發(fā)明者陳海濱 申請人:漢柏科技有限公司