一種認證加密的數(shù)據(jù)傳輸方法及裝置的制造方法
【專利摘要】本發(fā)明公開了一種認證加密的數(shù)據(jù)傳輸方法及裝置�,用于實現(xiàn)在有NAT設備的網(wǎng)絡環(huán)境中自由應用L2tp over IPSec技術(shù),該方法包括:接收第一L2tp over IPSec數(shù)據(jù)包���,第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝��、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包�;記錄第一L2tp over IPSec數(shù)據(jù)包中的源端口號�����;對第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包����;將第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為第一L2tp over IPSec數(shù)據(jù)包中的源端口號,生成第二L2tp數(shù)據(jù)包;對第二L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備�����。
【專利說明】
一種認證加密的數(shù)據(jù)傳輸方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡安全技術(shù)領(lǐng)域���,具體涉及一種認證加密的數(shù)據(jù)傳輸方法及裝置���。
【背景技術(shù)】
[0002]當前,通過公網(wǎng)遠程訪問企業(yè)的內(nèi)部網(wǎng)絡主要通過VPN( Virtual PrivateNetwork��,虛擬專用網(wǎng)絡)實現(xiàn)�����。L2tp over IPSec是VPN實現(xiàn)技術(shù)的一種���,L2tp over IPSec是在網(wǎng)絡傳輸中由L2tp(Layer 2Tunneling Protocol����,第二層隧道協(xié)議)承載IPSec(Internet Protocol Security�,互聯(lián)網(wǎng)協(xié)議安全性)��。IPSec是通過數(shù)據(jù)加密和數(shù)據(jù)源驗證等方式來保證數(shù)據(jù)報在網(wǎng)絡上傳輸時的私有性、完整性���、真實性和防重放����,L2TP和PPTP是二層安全接入?yún)f(xié)議����,用來整合多協(xié)議撥號服務到因特網(wǎng),L2TP是在隧道建立過程進行身份驗證��,L2tp over IPSec則在隧道建立過程中進行身份驗證�����,并協(xié)商出加解密密鑰��,在通信過程中利用協(xié)商成功的密鑰進行數(shù)據(jù)加密和解密�,將身份認證和通信加密完美結(jié)合,具體是將數(shù)據(jù)包在進行IPSec封裝前�����,先進行L2tp的封裝����,經(jīng)過兩次封裝保護數(shù)據(jù)通信的安全��,L2tp over IPSec作為一種便捷安全的遠程接入解決方案�����,使用戶可以利用隨身攜帶的各種智能終端通過公網(wǎng)安全的訪問內(nèi)部網(wǎng)絡����。
[0003]但是�����,由于數(shù)據(jù)包經(jīng)過兩次封裝����,使數(shù)據(jù)包在穿越NAT (Network AddressTranslat1n,網(wǎng)絡地址轉(zhuǎn)換)設備時受到了較大的限制�����,在有NAT的網(wǎng)絡環(huán)境中��,多個用戶的數(shù)據(jù)到達目的主機后����,目的主機無法區(qū)分不同的用戶,這使得L2TP over IPSec不能普遍推廣應用���。
【發(fā)明內(nèi)容】
[0004]有鑒于此��,本發(fā)明提供一種認證加密的數(shù)據(jù)傳輸方法及裝置�,以解決現(xiàn)有技術(shù)中在有NAT的網(wǎng)絡環(huán)境中無法區(qū)分不同用戶發(fā)送的L2TP over IPSec數(shù)據(jù)包的技術(shù)問題�����。
[0005]為解決上述問題���,本發(fā)明提供的技術(shù)方案如下:
[0006]—種認證加密的數(shù)據(jù)傳輸方法����,所述方法包括:
[0007]接收第一L2tp over IPSec數(shù)據(jù)包��,所述第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝���、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包�;
[0008]記錄所述第一L2tp over IPSec數(shù)據(jù)包中的源端口號����;
[0009]對所述第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包�����;
[0010]將所述第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為所述第一L2tpover IPSec數(shù)據(jù)包中的源端口號��,生成第二 L2tp數(shù)據(jù)包�;
[0011]對所述第二L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備�。
[0012]相應的,所述方法還包括:
[0013]建立第一會話以及第二會話���,所述第一會話包括所述第一L2tp數(shù)據(jù)包的五元組信息���,所述第二會話包括所述第二L2tp數(shù)據(jù)包的五元組信息,所述五元組信息包括源地址����、目的地址、源端口號����、目的端口號以及傳輸協(xié)議。
[0014]相應的��,所述方法還包括:
[0015]對從所述目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包;
[0016]根據(jù)所述第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第三L2tp數(shù)據(jù)包對應的第一會話��,將所述第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號���,生成第四L2tp數(shù)據(jù)包;
[0017]根據(jù)所述第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第四L2tp數(shù)據(jù)對應的第二會話�,對所述第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp over IPSec數(shù)據(jù)包,所述第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號�����;
[0018]將所述第二L2tpover IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備��,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備���。
[0019]相應的�,所述第一會話以及所述第二會話還包括接收數(shù)據(jù)的接口號�����。
[0020]相應的��,所述將所述第二L2tpover IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備�,包括:
[0021]將所述第二L2tpover IPSec數(shù)據(jù)包沿所述接收數(shù)據(jù)的接口號代表的接口發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備���。
[0022]一種認證加密的數(shù)據(jù)傳輸裝置,所述裝置包括:
[0023]第一接收單元�,用于接收第一L2tp over IPSec數(shù)據(jù)包,所述第一L2tp overIPSec數(shù)據(jù)包為經(jīng)過L2tp封裝��、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包�;
[0024]記錄單元,用于記錄所述第一L2tp over IPSec數(shù)據(jù)包中的源端口號��;
[0025]解封裝單元�����,用于對所述第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包��;
[0026]第一轉(zhuǎn)換單元�����,用于將所述第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為所述第一 L2tpover IPSec數(shù)據(jù)包中的源端口號�����,生成第二L2tp數(shù)據(jù)包;
[0027]第一發(fā)送單元����,用于對所述第二L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備。
[0028]相應的�����,所述裝置還包括:
[0029]建立單元��,用于建立第一會話以及第二會話����,所述第一會話包括所述第一L2tp數(shù)據(jù)包的五元組信息�,所述第二會話包括所述第二L2tp數(shù)據(jù)包的五元組信息,所述五元組信息包括源地址����、目的地址、源端口號���、目的端口號以及傳輸協(xié)議���。
[0030]相應的,所述裝置還包括:
[0031 ]第一封裝單元,用于對從所述目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包����;
[0032]第二轉(zhuǎn)換單元,用于根據(jù)所述第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第三L2tp數(shù)據(jù)包對應的第一會話���,將所述第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號���,生成第四L2tp數(shù)據(jù)包;
[0033]第二封裝單元��,用于根據(jù)所述第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第四L2tp數(shù)據(jù)對應的第二會話�����,對所述第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp overIPSec數(shù)據(jù)包,所述第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號;
[0034]第二發(fā)送單元�����,用于將所述第二L2tpover IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備����,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備�����。
[0035]相應的,所述第一會話以及所述第二會話還包括接收數(shù)據(jù)的接口號���。
[0036]相應的���,所述第二發(fā)送單元具體用于:
[0037]將所述第二L2tpover IPSec數(shù)據(jù)包沿所述接收數(shù)據(jù)的接口號代表的接口發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備���。
[0038]由此可見�����,本發(fā)明實施例具有如下有益效果:
[0039]本發(fā)明實施例通過記錄在穿越NAT設備后的L2tp over IPSec數(shù)據(jù)包中的源端口號,將L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得L2tp數(shù)據(jù)包后��,將該L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為記錄的源端口號���,在進行端口轉(zhuǎn)換后使由不同源地址發(fā)送給目標設備的數(shù)據(jù)包不同���,從而可以在有NAT設備的網(wǎng)絡環(huán)境中自由應用L2tp over IPSec技術(shù)。
【附圖說明】
[0040]圖1為本發(fā)明實施例應用場景的示意圖�;
[0041 ]圖2為本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸方法實施例一的流程圖;
[0042]圖3為本發(fā)明實施例中生成第一L2tpover IPSec數(shù)據(jù)包過程的示意圖;
[0043]圖4為本發(fā)明實施例中一種數(shù)據(jù)傳輸過程的示意圖�;
[0044]圖5為本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸方法實施例二的流程圖;
[0045]圖6為本發(fā)明實施例中另一種數(shù)據(jù)傳輸過程的示意圖�����;
[0046]圖7為本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸裝置實施例一的示意圖�����;
[0047]圖8為本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸裝置實施例二的示意圖�����。
【具體實施方式】
[0048]為使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂�����,下面結(jié)合附圖和【具體實施方式】對本發(fā)明實施例作進一步詳細的說明����。
[0049]在現(xiàn)有技術(shù)中L2tp over IPSec數(shù)據(jù)包在公網(wǎng)傳輸穿越NAT設備時���,將修改報文IP(Internet Protocol,網(wǎng)絡互連協(xié)議)頭中的源地址為NAT設備的地址�����,當多個客戶端通過同一NAT設備接入時��,解碼獲得的L2tp數(shù)據(jù)包均相同�,造成接收到的數(shù)據(jù)包無法區(qū)分是由哪個客戶端發(fā)送的。另外����,接入到防火墻或安全網(wǎng)關(guān)的用戶在不同地點使用的通信線路可能不同,當客戶端通過多條線路接入時���,響應的數(shù)據(jù)包如果查路由則可能將響應包送其它線路發(fā)送出去��,而不同地址的數(shù)據(jù)在不同線路上的傳輸效率有所不同,會出現(xiàn)延遲過大或者丟包��,也即在多出口的防火墻或安全網(wǎng)關(guān)上�,數(shù)據(jù)包的來回路徑不一致會導致丟包或傳輸延遲,因此在實際應用常常要求用戶在訪問防火墻或安全網(wǎng)關(guān)時��,數(shù)據(jù)包的入接口和出接口保持一致,在現(xiàn)有的L2tp over IPSec技術(shù)中也無法實現(xiàn)按照原線路將數(shù)據(jù)包發(fā)送出去����。為此,本發(fā)明實施例提出一種認證加密的數(shù)據(jù)傳輸方法及裝置����,以解決現(xiàn)有技術(shù)中在多出口的防火墻或安全網(wǎng)關(guān)上,有NAT的網(wǎng)絡環(huán)境中無法區(qū)分不同用戶發(fā)送的L2TP over IPSec數(shù)據(jù)包及數(shù)據(jù)包無法原路返回的技術(shù)問題����。
[0050]參見圖1所示,為本發(fā)明實施例中一可能的應用場景示意圖�����,兩臺源設備PCl和PC2通過路由器與NAT設備相連�����,經(jīng)過NAT設備后向服務器發(fā)起L2tp over IPSec連接�,最終數(shù)據(jù)可以到達目標設備PC3。為便于后續(xù)實施例中的舉例說明��,假設其中PCl的地址為1.0.0.21�,PC2的地址為1.0.0.22�����,PC3的地址為1.0.0.23���,NAT設備的出/入接P分別為ethO和ethl,ethO的地址為1.0.0.1�,ethl的地址為1.0.1.1,服務器的出/入接P分別為eth2和eth3�����,eth2的地址為1.0.2.1�����,eth3的地址為1.0.3.10
[0051]需要說明的是�����,上述應用場景僅是為了便于理解本發(fā)明的精神和原理而示出��,本發(fā)明的實施方式在此方面不受任何限制��。相反�,本發(fā)明中的實施例可以應用于適用的任何場景。
[0052]本發(fā)明實施例將從認證加密的數(shù)據(jù)傳輸裝置角度進行描述��,該認證加密的數(shù)據(jù)傳輸裝置具體可以集成在L2tp over IPSec服務器或者網(wǎng)關(guān)等設備中��。
[0053]參見圖2所示����,示出了本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸方法實施例一,可以包括以下步驟:
[0054]步驟201:接收第一L2tp over IPSec數(shù)據(jù)包�,第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包��。
[0055]源設備客戶端向服務器發(fā)起訪問內(nèi)網(wǎng)資源的請求���,采用L2tpover IPSec連接方式����,則數(shù)據(jù)包在源設備上先進行L2tp封裝�,再進行IPSec封裝,再經(jīng)過網(wǎng)絡地址轉(zhuǎn)換NAT設備將數(shù)據(jù)包的源地址轉(zhuǎn)換為NAT設備的地址�,源端口號也進行轉(zhuǎn)換,轉(zhuǎn)換后的數(shù)據(jù)包即第一L2tp over IPSec數(shù)據(jù)包轉(zhuǎn)發(fā)到達服務器���。
[0056]以圖1中的示例為例進行說明�,參見圖3所示,假設源設備為PCl�����,數(shù)據(jù)包在PCl上先進行L2tp封裝�����,源地址為1.0.0.21,0的地址為服務器接收源設備數(shù)據(jù)的接口eth2的地址1.0.2.1�,協(xié)議為UDP(User Datagram Protocol,用戶數(shù)據(jù)報協(xié)議)���,源端口號與目的端口號均為L2tp封裝規(guī)定的1701��,圖中第一行為生成的L2tp數(shù)據(jù)包;然后再進行IPSec封裝�,源地址與目的地址不變�����,協(xié)議為UDP�����,源端口與目的端口均為IPSec封裝規(guī)定的4500,加上ESP(Encapsulate Security Payload����,封裝安全載荷)頭�����,其后為L2tp數(shù)據(jù)包的源端口與目的端口以及數(shù)據(jù)的密文����,圖中第二行為生成的L2tp over IPSec數(shù)據(jù)包;再經(jīng)過NAT設備,將源地址轉(zhuǎn)換為NAT設備發(fā)出數(shù)據(jù)的接口 ethl的地址1.0.1.1����,源端口號由NAT設備隨機變化,例如轉(zhuǎn)換為4321�,NAT設備會記錄原始的源地址1.0.0.21與轉(zhuǎn)換的源端口號4321之間的對應關(guān)系,圖中第三行為經(jīng)過NAT設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包���,即第一L2tpover IPSec數(shù)據(jù)包����,服務器可以接收到該第一L2tp over IPSec數(shù)據(jù)包�。
[0057]步驟202:記錄第一L2tp over IPSec數(shù)據(jù)包中的源端口號。例如,圖3中的源端口號 4321��。
[0058]步驟203:對第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包�����。
[0059]參見圖4所示��,在對第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝時�,刪除在進行IPSec封裝時加上的源端口號與目的端口號UDP4321/4500以及ESP頭,再將密文中的數(shù)據(jù)進行解密����,生成第一L2tp數(shù)據(jù)包。由于不同源地址發(fā)送的L2tp over IPSec數(shù)據(jù)包在穿越NAT設備時源端口號不同����,而第一L2tp over IPSec數(shù)據(jù)包中不同的源端口號4321在IPSec解封裝時被刪除了,則在現(xiàn)有技術(shù)中服務器上接收的數(shù)據(jù)包的源地址均是NAT設備的公網(wǎng)地址�,源端口和目的端口是1701,這樣服務器將無法區(qū)分不同源設備發(fā)送的數(shù)據(jù)��。本實施例中預先對第一L2tp over IPSec數(shù)據(jù)包中的源端口號進行記錄�����,在步驟204中將L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為記錄的源端口號,以區(qū)別不同源設備發(fā)送的數(shù)據(jù)��。
[0060]步驟204:將第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為第一L2tp over IPSec數(shù)據(jù)包中的源端口號����,生成第二 L2tp數(shù)據(jù)包���。
[0061]繼續(xù)參見圖4所示��,將第一L2tp數(shù)據(jù)包中的源端口號1701轉(zhuǎn)換為記錄的端口號4321�����,生成第二L2tp數(shù)據(jù)包��,這樣實現(xiàn)不同源設備發(fā)送的數(shù)據(jù)包源端口號均不同�,不存在數(shù)據(jù)包無法區(qū)別的問題��。
[0062]步驟205:對第二L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備��。
[0063]在本發(fā)明的一些可能的實現(xiàn)方式中����,還可以根據(jù)第一L2tp數(shù)據(jù)包的五元組建立第一會話,根據(jù)第二 L2tp數(shù)據(jù)包的五元組建立第二會話,第一會話和第二會話為父子關(guān)聯(lián)關(guān)系����,即本發(fā)明實施例提供的加密認證的數(shù)據(jù)傳輸方法還可以包括建立第一會話以及第二會話,第一會話包括第一L2tp數(shù)據(jù)包的五元組信息���,第二會話包括第二L2tp數(shù)據(jù)包的五元組信息����,五元組信息包括源地址����、目的地址、源端口號���、目的端口號以及傳輸協(xié)議��。
[0064]另外����,在本發(fā)明的一些可能的實現(xiàn)方式中���,還可以記錄接收數(shù)據(jù)的入接口的接口號�����,這樣第一會話以及第二會話還可以包括接收數(shù)據(jù)的接口號���。記錄接收數(shù)據(jù)的接口號可以保證接收數(shù)據(jù)與發(fā)送響應數(shù)據(jù)時使用相同的接口���,使數(shù)據(jù)包能夠從原線路返回,以避免不同線路上的傳輸效率不同�。
[0065]例如���,第一會話為Sour ceIP:1.0.1.1DestIP:1.0.2.1 protocol: UDP sport:1701dport: 1701 iif:eht2�����;第二會話為SourceIP:1.0.1.1DestIP:1.0.2.1
[0066]protocol: UDP sport: 4321dport: 1701iif:eht2�。其中�����,Source IP為源地址,DestIP為目的地址��,sport為源端口號��,dport為目的端口號���,protocol為傳輸協(xié)議��,iif為接P號���。
[0067]參見圖5所述,示出了本發(fā)明實施例中認證加密的數(shù)據(jù)傳輸方法實施例二�,為從目標設備向源設備反饋數(shù)據(jù)的過程,可以包括以下步驟:
[0068]步驟501:對從目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包�。
[0069]由目標設備返回的數(shù)據(jù)包還需要使用L2tpover IPSec技術(shù)經(jīng)過NAT設備再發(fā)送給源設備,則首先需要進行L2tp封裝���。
[0070]參見圖6所示��,服務器上接收到的數(shù)據(jù)包首先進行L2tp封裝�,封裝后的第三L2tp數(shù)據(jù)包源地址為服務器接收源設備數(shù)據(jù)的接口 eth2的地址1.0.2.1����,目的地址為NAT設備發(fā)出數(shù)據(jù)的接口 ethl的地址1.0.1.1�,協(xié)議為UDP�,源端口號為1701,目的端口號為4321���。
[0071]步驟502:根據(jù)第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與第三L2tp數(shù)據(jù)包對應的第一會話�����,將第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號�����,生成第四L2tp數(shù)據(jù)包�����。
[0072]第三L2tp數(shù)據(jù)包匹配IPSec安全策略,并根據(jù)安全策略找到對應的SA����,進行IPSec封裝前將第三L2tp數(shù)據(jù)包的目的端口號還原為第一會話中記錄的原始端口,數(shù)據(jù)包的出接口標記為第一會話中記錄的接口號�����,例如,圖6中將第三L2tp數(shù)據(jù)包的目的端口4321轉(zhuǎn)換為1701���,生成第四L2tp數(shù)據(jù)包����,出接口為eth2�����。
[0073]步驟503:根據(jù)第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與第四L2tp數(shù)據(jù)對應的第二會話�����,對第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp over IPSec數(shù)據(jù)包���,第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號�����。
[0074]對接口還原后的第四L2tp數(shù)據(jù)包進行IPSec封裝�����,并可以標記出接口為封裝前數(shù)據(jù)包攜帶的接口����,例如在IPSec封裝的過程根據(jù)第二會話將源端口號與目的端口號分別轉(zhuǎn)換為4500和4321,生成第二L2tp over IPSec數(shù)據(jù)包�,出接口為eth2。
[0075]步驟504:將第二L2tpover IPSec數(shù)據(jù)包發(fā)送給網(wǎng)絡地址轉(zhuǎn)換設備�,以使第二L2tp over IPSec數(shù)據(jù)包在網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備。
[0076]在本發(fā)明的一些可能的實現(xiàn)方式中�����,將第二L2tpover IPSec數(shù)據(jù)包發(fā)送給網(wǎng)絡地址轉(zhuǎn)換設備的具體實現(xiàn)可以包括:將第二L2tp over IPSec數(shù)據(jù)包沿接收數(shù)據(jù)的接口號代表的接口發(fā)送給網(wǎng)絡地址轉(zhuǎn)換設備�����。
[0077]則可以將第二L2tp over IPSec數(shù)據(jù)包從對應的接口發(fā)送到網(wǎng)絡中��,經(jīng)過NAT設備并最終發(fā)送到發(fā)起請求的PCl����。
[0078]這樣���,本發(fā)明實施例通過記錄在穿越NAT設備后的L2tp over IPSec數(shù)據(jù)包中的源端口號��,將L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得L2tp數(shù)據(jù)包后�����,將該L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為記錄的源端口號�����,在進行端口轉(zhuǎn)換后使由不同源地址發(fā)送給目標設備的數(shù)據(jù)包不同��,從而可以在有NAT設備的網(wǎng)絡環(huán)境中自由應用L2tp over IPSec技術(shù);另外�����,記錄了數(shù)據(jù)包的入接口號���,數(shù)據(jù)響應包在通過L2tp封裝和IPSec封裝后可以根據(jù)會話信息查到出口�����,保證接收和發(fā)送數(shù)據(jù)使用同一接口即數(shù)據(jù)包能夠在同一線路上傳輸����,避免了不同線路數(shù)據(jù)傳輸效率不同導致的延遲或丟包����,提高了傳輸效率����。本發(fā)明實施例不需要安裝第三方客戶端��,就可以使多個用戶通過多條線路利用現(xiàn)有的PC���、手機或PAD上自持的12tpover ipsec在穿越NAT的網(wǎng)絡時自由訪問所保護的資源�����。
[0079]參見圖7所示���,示出了本發(fā)明實施例中提供的認證加密的數(shù)據(jù)傳輸裝置實施例一,該裝置實施例可以包括:
[0080]第一接收單元701�,用于接收第一L2tp over IPSec數(shù)據(jù)包,第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝���、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tpover IPSec數(shù)據(jù)包�����。
[0081]記錄單元702,用于記錄第一L2tp over IPSec數(shù)據(jù)包中的源端口號。
[0082]解封裝單元703�����,用于對第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包�����。
[0083]第一轉(zhuǎn)換單元704����,用于將第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為第一L2tpoverIPSec數(shù)據(jù)包中的源端口號,生成第二 L2tp數(shù)據(jù)包�����。
[0084]第一發(fā)送單元705�����,用于對第二L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備���。
[0085]在本發(fā)明的一些可能的實現(xiàn)方式中�����,還可以包括:
[0086]建立單元����,用于建立第一會話以及第二會話,第一會話包括第一L2tp數(shù)據(jù)包的五元組�,第二會話包括第二L2tp數(shù)據(jù)包的五組,五元組信息包括源地址�、目的地址、源端口號�����、目的端口號以及傳輸協(xié)議�。
[0087]參見圖8所示,示出了本發(fā)明實施例中提供的認證加密的數(shù)據(jù)傳輸裝置實施例二���,在上述實施例的基礎(chǔ)上還可以包括:
[0088]第一封裝單元801��,用于對從目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包�。
[0089]第二轉(zhuǎn)換單元802���,用于根據(jù)第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與第三L2tp數(shù)據(jù)包對應的第一會話��,將第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號�����,生成第四L2tp數(shù)據(jù)包���。
[0090]第二封裝單元803,用于根據(jù)第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與第四L2tp數(shù)據(jù)對應的第二會話��,對第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp over IPSec數(shù)據(jù)包�,第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號。
[0091]第二發(fā)送單元804���,用于將第二L2tpover IPSec數(shù)據(jù)包發(fā)送給網(wǎng)絡地址轉(zhuǎn)換設備�����,以使第二L2tp over IPSec數(shù)據(jù)包在網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備��。
[0092]在本發(fā)明的一些可能的實現(xiàn)方式中�����,第一會話以及第二會話還可以包括接收數(shù)據(jù)的接口號�。
[0093]則第二發(fā)送單元可以具體用于:將第二L2tpover IPSec數(shù)據(jù)包沿接收數(shù)據(jù)的接口號代表的接口發(fā)送給網(wǎng)絡地址轉(zhuǎn)換設備���,以使第二L2tp over IPSec數(shù)據(jù)包在網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備��。
[0094]這樣�,本發(fā)明實施例通過記錄在穿越NAT設備后的L2tp over IPSec數(shù)據(jù)包中的源端口號,將L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得L2tp數(shù)據(jù)包后���,將該L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為記錄的源端口號����,在進行端口轉(zhuǎn)換后使由不同源地址發(fā)送給目標設備的數(shù)據(jù)包不同�����,從而可以在有NAT設備的網(wǎng)絡環(huán)境中自由應用L2tp over IPSec技術(shù);另外���,記錄了數(shù)據(jù)包的入接口號�,數(shù)據(jù)響應包在通過L2tp封裝和IPSec封裝后可以根據(jù)會話信息查到出口�,保證接收和發(fā)送數(shù)據(jù)使用同一接口即數(shù)據(jù)包能夠在同一線路上傳輸,避免了不同線路數(shù)據(jù)傳輸效率不同導致的延遲或丟包����,提高了傳輸效率。本發(fā)明實施例不需要安裝第三方客戶端�,就可以使多個用戶通過多條線路利用現(xiàn)有的PC��、手機或PAD上自持的12tpover ipsec在穿越NAT的網(wǎng)絡時自由訪問所保護的資源��。
[0095]需要說明的是��,本說明書中各個實施例采用遞進的方式描述���,每個實施例重點說明的都是與其他實施例的不同之處���,各個實施例之間相同相似部分互相參見即可�。對于實施例公開的系統(tǒng)或裝置而言����,由于其與實施例公開的方法相對應,所以描述的比較簡單��,相關(guān)之處參見方法部分說明即可�����。
[0096]還需要說明的是�,在本文中,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來����,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序��。而且����,術(shù)語“包括”�����、“包含”或者其任何其他變體意在涵蓋非排他性的包含�����,從而使得包括一系列要素的過程�����、方法���、物品或者設備不僅包括那些要素�,而且還包括沒有明確列出的其他要素�����,或者是還包括為這種過程、方法���、物品或者設備所固有的要素���。在沒有更多限制的情況下,由語句“包括一個……”限定的要素�,并不排除在包括所述要素的過程、方法���、物品或者設備中還存在另外的相同要素。
[0097]結(jié)合本文中所公開的實施例描述的方法或算法的步驟可以直接用硬件����、處理器執(zhí)行的軟件模塊,或者二者的結(jié)合來實施�����。軟件模塊可以置于隨機存儲器(RAM)�、內(nèi)存、只讀存儲器(R0M)��、電可編程R0M、電可擦除可編程R0M���、寄存器�、硬盤����、可移動磁盤、CD-R0M��、或技術(shù)領(lǐng)域內(nèi)所公知的任意其它形式的存儲介質(zhì)中�。
[0098]對所公開的實施例的上述說明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明�。對這些實施例的多種修改對本領(lǐng)域的專業(yè)技術(shù)人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下�,在其它實施例中實現(xiàn)。因此�,本發(fā)明將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍��。
【主權(quán)項】
1.一種認證加密的數(shù)據(jù)傳輸方法��,其特征在于��,所述方法包括: 接收第一L2tp over IPSec數(shù)據(jù)包��,所述第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp over IPSec數(shù)據(jù)包��;記錄所述第一L2tp over IPSec數(shù)據(jù)包中的源端口號��; 對所述第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包��; 將所述第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為所述第一L2tp over IPSec數(shù)據(jù)包中的源端口號��,生成第二 L2tp數(shù)據(jù)包����; 對所述第二 L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,所述方法還包括: 建立第一會話以及第二會話��,所述第一會話包括所述第一 L2tp數(shù)據(jù)包的五元組信息����,所述第二會話包括所述第二L2tp數(shù)據(jù)包的五元組信息,所述五元組信息包括源地址�����、目的地址、源端口號�����、目的端口號以及傳輸協(xié)議���。3.根據(jù)權(quán)利要求2所述的方法�,其特征在于�,所述方法還包括: 對從所述目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包; 根據(jù)所述第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第三L2tp數(shù)據(jù)包對應的第一會話�,將所述第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號,生成第四L2tp數(shù)據(jù)包����; 根據(jù)所述第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第四L2tp數(shù)據(jù)對應的第二會話,對所述第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp over IPSec數(shù)據(jù)包���,所述第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號���; 將所述第二L2tp over IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備����。4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于��,所述第一會話以及所述第二會話還包括接收數(shù)據(jù)的接口號���。5.根據(jù)權(quán)利要求4所述的方法,其特征在于��,所述將所述第二L2tpover IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備�����,包括: 將所述第二L2tp over IPSec數(shù)據(jù)包沿所述接收數(shù)據(jù)的接口號代表的接口發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備��。6.一種認證加密的數(shù)據(jù)傳輸裝置�,其特征在于,所述裝置包括: 第一接收單元,用于接收第一L2tp over IPSec數(shù)據(jù)包����,所述第一L2tp over IPSec數(shù)據(jù)包為經(jīng)過L2tp封裝、IPSec封裝以及經(jīng)過網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后的L2tp overIPSec數(shù)據(jù)包�; 記錄單元,用于記錄所述第一L2tp over IPSec數(shù)據(jù)包中的源端口號�; 解封裝單元��,用于對所述第一L2tp over IPSec數(shù)據(jù)包進行IPSec解封裝獲得第一L2tp數(shù)據(jù)包�; 第一轉(zhuǎn)換單元��,用于將所述第一L2tp數(shù)據(jù)包中的源端口號轉(zhuǎn)換為所述第一L2tp overIPSec數(shù)據(jù)包中的源端口號�����,生成第二 L2tp數(shù)據(jù)包����; 第一發(fā)送單元�,用于對所述第二 L2tp數(shù)據(jù)包進行L2tp解封裝后發(fā)送給目標設備�。7.根據(jù)權(quán)利要求6所述的裝置���,其特征在于,所述裝置還包括: 建立單元�,用于建立第一會話以及第二會話����,所述第一會話包括所述第一 L2tp數(shù)據(jù)包的五元組信息,所述第二會話包括所述第二L2tp數(shù)據(jù)包的五元組信息�,所述五元組信息包括源地址、目的地址����、源端口號�、目的端口號以及傳輸協(xié)議。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述裝置還包括: 第一封裝單元��,用于對從所述目標設備接收的數(shù)據(jù)包進行L2tp封裝獲得第三L2tp數(shù)據(jù)包���; 第二轉(zhuǎn)換單元,用于根據(jù)所述第三L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第三L2tp數(shù)據(jù)包對應的第一會話�,將所述第三L2tp數(shù)據(jù)包中的目的端口號轉(zhuǎn)換為對應的第一會話中的源端口號,生成第四L2tp數(shù)據(jù)包���; 第二封裝單元����,用于根據(jù)所述第四L2tp數(shù)據(jù)包中的源地址與目的地址讀取與所述第四L2tp數(shù)據(jù)對應的第二會話�����,對所述第四L2tp數(shù)據(jù)包進行IPSec封裝生成第二L2tp overIPSec數(shù)據(jù)包,所述第二L2tp over IPSec數(shù)據(jù)包中的目的端口號為對應的第二會話中的源端口號��; 第二發(fā)送單元�,用于將所述第二L2tp over IPSec數(shù)據(jù)包發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備�����。9.根據(jù)權(quán)利要求8所述的裝置���,其特征在于����,所述第一會話以及所述第二會話還包括接收數(shù)據(jù)的接口號�。10.根據(jù)權(quán)利要求9所述的裝置,其特征在于����,所述第二發(fā)送單元具體用于: 將所述第二L2tp over IPSec數(shù)據(jù)包沿所述接收數(shù)據(jù)的接口號代表的接口發(fā)送給所述網(wǎng)絡地址轉(zhuǎn)換設備,以使所述第二L2tp over IPSec數(shù)據(jù)包在所述網(wǎng)絡地址轉(zhuǎn)換設備進行地址轉(zhuǎn)換后發(fā)送給源設備�。
【文檔編號】H04L29/12GK106027508SQ201610311711
【公開日】2016年10月12日
【申請日】2016年5月11日
【發(fā)明人】付翠花, 劉子欣
【申請人】北京網(wǎng)御星云信息技術(shù)有限公司, 啟明星辰信息技術(shù)集團股份有限公司