CN100550834C - 网络地址转换设备传输ip数据包的方法 - Google Patents
网络地址转换设备传输ip数据包的方法 Download PDFInfo
- Publication number
- CN100550834C CN100550834C CNB2006100196794A CN200610019679A CN100550834C CN 100550834 C CN100550834 C CN 100550834C CN B2006100196794 A CNB2006100196794 A CN B2006100196794A CN 200610019679 A CN200610019679 A CN 200610019679A CN 100550834 C CN100550834 C CN 100550834C
- Authority
- CN
- China
- Prior art keywords
- network address
- address translation
- translation apparatus
- data
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及一种数据传输方法,特别是一种网络地址转换设备传输IP数据包的方法。本发明的要点在于对通过网络地址转换设备传输的IP数据包进行处理,既在传输过程中改变IP数据包包头的Identification域值,从而屏蔽了通过分析IP包的Identification域值的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠。另外,本发明克服了现有本领域技术人员的技术偏见,大胆地突破国际规定,改变国际规定,从而可在原有的基础上进一步保证了网络数据传输的安全性。
Description
技术领域
本发明涉及一种数据传输方法,特别是一种网络地址转换设备传输IP数据包的方法。
背景技术
以下描述本发明所涉及的定义及名词解释:
IP数据包头的格式:参见附图1,IP数据包包括IP包头及数据,其中IP包头包括有Identification域值;
IP网络设备:指使用IP网络协议实现数据通讯的设备;
Identification域值(标识字段):是IP包头中一个16位的字段,标识字段含有一个唯一标识该数据报的整数。发送IP数据报的IP网络设备必须在主存中保持一个全局的计数器,同一个IP网络设备每产生一个新的数据报,计数器加1,并将该值分配给新产生的IP数据报的标识字段。
现有技术中在网络地址转换设备后的IP网络设备是无法直接对互联网发送IP数据包的,这是由于处于网络地址转换设备后的IP网络设备的实际网址在互联网上是不被承认的,只有通过其连接的网络地址转换设备对所要发送的IP数据包进行地址转换,成为互联网承认的地址后,其数据才可以在互联网上进行传输。
除了转换地址以外,IP数据包通过网络地址转换设备传输数据时还需要对IP包头做一些保证数据包传输可靠性和安全性的变换。然而,现有技术的这种通过网络地址转换设备传输IP数据包的方法仍然存在着安全隐患,这是因为传统的网络地址转换设备对IP包头中的Identification域值不作任何修改。根据IETF的IP协议的规定,同一台IP设备在对外发送新产生的IP包时,其发送的新产生的IP包包头中Identification域值是按照顺序加一递增的。但该数据包经过网络地址转换设备时,Identifaction字段的内容没有变化。正因为Identification域值的这些特性,通过分析网络地址转换设备转发出来IP包头中的Identification字段的内容,就可以分析网络地址转换设备后的计算机数量以及活动的情况,这样就会对网络地址转换设备后的计算机造成可能潜在的安全问题。
发明构成
本发明的目的在于克服现有技术中的不足之处而提供一种可以使IP数据包的传输更为安全、可靠的网络地址转换设备传输IP数据包的方法。
本发明的目的是通过以下途径来实现的:
网络地址转换设备传输IP数据包的方法,包括如下步骤:
1、提供一种包括有中央处理装置和存储装置的网络地址转换设备;
2、中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;
3、存储装置中包括有一存储有新的Identification域值的存储单元,该存储装置与中央处理装置中的数据处理装置电连接;
4、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域值字段;
5、数据处理装置将提取存储装置中所存储的Identification域值替换所寻找到的Identification域值;
6、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
在现有技术中,Identification域的值是国际IETF规定好的IP数据包头中一段用于标识的数值,根据国际规定,该数值在网络地址转换设备中是不需要也不用被改变的一个值,因此本领域的技术人员自然而然就遵从了该规定,从不对该字符串进行处理,但随着网络技术的发展,网络安全越来越为人们所重视,可总有一些网络安全措施不够到位,原因就在于不能突破所谓的国际规定,该国际规定引导本领域的其他技术人员不去考虑该国际规定以外、可用于改变并解决技术问题一些条例,自然也就不会从实际出发来维护本可做到的安全防范。本发明的技术人员正是突破了所谓国际规定的思想限制,本领域技术人员的技术偏见,大胆地改变国际中一些可进一步保证网络安全的规定措施,从而达到本发明所带来的技术效果,即在IP数据包经由网络地址转换设备传输时,通过对IP包包头的Identification域值的改变,防止其他网络设备通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,从而使IP数据包的传输更为安全、可靠,进一步保证了通过网络地址转换设备传输的IP数据包的安全。
本发明可以进一步具体为:
网络地址转换设备存储装置中所存储的新的Identification域值为该网络地址转换设备根据一定规律重新分配或计算的值。
或者:
网络地址转换设备存储装置中所存储的新的Identification域值为该网络地址转换设备随机分配的值。
本发明所述存储装置中所存储的新的Identification域值是经过变换产生的、用于替换中央处理装置原有的Identification域值的值。该新的Identification域值的产生可以是有规律的,根据一定算法或其他方式所形成或计算出来的值,也可以是无规律的,随机分配产生的值。但只要该值的变化达到可防止通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠的效果即可。
综上所述,本发明的要点在于对通过网络地址转换设备传输的IP数据包进行处理,既在传输过程中改变IP数据包包头的Identification域值,从而屏蔽了通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠。另外,本发明的发明人克服了现有本领域技术人员的技术偏见,大胆地突破国际规定,改变国际规定,从而可在原有的基础上进一步保证了网络数据传输的安全性。
附图说明
图1所示为本发明背景技术中所述的IP数据包头的格式图;
图2所示为本发明所述网络地址转换设备传输IP数据包时变换Identification域值的结构示意图。
下面结合实施例对本发明做进一步描述。
具体实施例
实施例1:
参照附图2,网络地址转换设备上具有中央处理装置和存储装置,该中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;存储装置中具有一个全局存储单元用来存放Identification域值,该存储装置与中央处理装置中的数据处理装置电连接。
上述网络地址转换设备在传输IP数据包时,具有如下步骤:
1、在网络地址转换设备刚启动的时候,存储装置中的全局存储单元中存放有一个固定的Identification域值;
2、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域值字段;
3、数据处理装置将提取存储装置中全局存储单元所存储的Identification域值替换所寻找到的Identification域值;
4、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
以后每经过一个IP数据包,该网络地址转换设备中用于存放Identification的存储单元中的Identifcation域值就自动加一(或则加上其他的固定值),然后如上述步骤把经过的IP数据包头中的Identification域值替换为网络地址转换设备中存储单元所存储的Identification域值。
本发明未述部分与现有技术相同。
最佳实施例:
网络地址转换设备保存有一个存储单元用来存放Identification域值,以后每经过一个IP数据包,该网络地址转换设备中存放Identification域值的存储单元中的值就采用随机函数生成一个,并把经过的IP数据包中的Identification域值替换为网络地址转换设备中存储单元所存储的Identification值。
本实施例未述部分与实施例1相同。
Claims (4)
1、网络地址转换设备传输IP数据包的方法,其特征在于,包括如下步骤:
a、提供一种包括有中央处理装置和存储装置的网络地址转换设备;
b、中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;
c、存储装置中包括一存储有新的Identification域值的存储单元,该存储装置与中央处理装置中的数据处理装置电连接;
d、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域字段;
e、数据处理装置将提取存储装置中所存储的Identification域值替换所寻找到的Identification域值;
f、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
2、根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置中所存储的新的Identification域值为中央处理装置根据一定规律重新分配的值。
3、根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置所存储的新的Identification域值为中央处理装置随机分配的值。
4、根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置所存储的新的Identification域值为中央处理装置根据原有IP包头中的Identification域值中的值进行变换的值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100196794A CN100550834C (zh) | 2006-07-17 | 2006-07-17 | 网络地址转换设备传输ip数据包的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006100196794A CN100550834C (zh) | 2006-07-17 | 2006-07-17 | 网络地址转换设备传输ip数据包的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1909505A CN1909505A (zh) | 2007-02-07 |
| CN100550834C true CN100550834C (zh) | 2009-10-14 |
Family
ID=37700500
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006100196794A Expired - Fee Related CN100550834C (zh) | 2006-07-17 | 2006-07-17 | 网络地址转换设备传输ip数据包的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100550834C (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567852B (zh) * | 2009-05-20 | 2011-08-24 | 中兴通讯股份有限公司 | Ip报文网络地址转换的方法及装置 |
-
2006
- 2006-07-17 CN CNB2006100196794A patent/CN100550834C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1909505A (zh) | 2007-02-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017084600A1 (zh) | 用于智能燃气表的物联网系统及其信息传输方法 | |
| JP4977888B2 (ja) | ウェブアプリケーション攻撃の検知方法 | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| CN107295116B (zh) | 一种域名解析方法、装置及系统 | |
| CN102769632A (zh) | 钓鱼网站分级检测和提示的方法及系统 | |
| CN102129528A (zh) | 一种web网页篡改识别方法及系统 | |
| CN109543454A (zh) | 一种反爬虫方法及相关设备 | |
| CN105635064B (zh) | Csrf攻击检测方法及装置 | |
| CN103384242A (zh) | 基于Nginx代理服务器的入侵检测方法及系统 | |
| CN102761458A (zh) | 一种反弹式木马的检测方法和系统 | |
| Born et al. | Ngviz: detecting dns tunnels through n-gram visualization and quantitative analysis | |
| KR102118815B1 (ko) | Ip 주소 취득 방법 및 장치 | |
| CN107239701A (zh) | 识别恶意网站的方法及装置 | |
| CN109150621A (zh) | 监控业务流程的方法、装置、计算机设备及存储介质 | |
| CN107241293A (zh) | 一种资源访问方法、装置及系统 | |
| CN100550834C (zh) | 网络地址转换设备传输ip数据包的方法 | |
| CN103825772A (zh) | 识别用户点击行为的方法及网关设备 | |
| CN102624692A (zh) | 基于http传输协议的无用户身份验证方法 | |
| CN109561010A (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| CN105827673B (zh) | 一种防盗链的方法、装置及网络服务器 | |
| JP6074550B2 (ja) | ウェブページプッシュ方法及び装置、並びに端末 | |
| CN111225038B (zh) | 服务器访问方法及装置 | |
| CN110022319A (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| CN103501332A (zh) | 数据传输方法、设备及网络系统 | |
| CN103297480A (zh) | 一种应用服务自动检测系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091014 Termination date: 20100717 |