CN101030935A - 一种IPSec穿越NAT-PT的方法 - Google Patents

一种IPSec穿越NAT-PT的方法 Download PDF

Info

Publication number
CN101030935A
CN101030935A CNA2007100274054A CN200710027405A CN101030935A CN 101030935 A CN101030935 A CN 101030935A CN A2007100274054 A CNA2007100274054 A CN A2007100274054A CN 200710027405 A CN200710027405 A CN 200710027405A CN 101030935 A CN101030935 A CN 101030935A
Authority
CN
China
Prior art keywords
head
nat
pseudo
version
former
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2007100274054A
Other languages
English (en)
Other versions
CN101030935B (zh
Inventor
马争鸣
陈力超
何尚桥
冼广兴
刘伟军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN2007100274054A priority Critical patent/CN101030935B/zh
Publication of CN101030935A publication Critical patent/CN101030935A/zh
Application granted granted Critical
Publication of CN101030935B publication Critical patent/CN101030935B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IPSec穿越NAT-PT网关的具体方法。在IKE协商的主模式阶段,通过新增NATPT-D载荷,用于实现“NAT-PT的发现机制”;而IPSec保护下的通信阶段中,检测到NAT-PT网关后,在计算AH的Authentication Data时,用“伪IP头”取代原来的IP头,解决了AH与NAT-PT的不兼容问题,其过程如摘要附图所示。应用本发明所描述的方法,IPSec在AH传输模式、AH隧道模式、ESP传输模式、ESP隧道模式下都能够穿越NAT-PT网关,从而使IPSec能够应用到异构网络的通信中,大大提高了异构网络通信的安全性。本发明不需要在NAT-PT上增加IPSec的应用层网关(IPSec-ALG),从而大大减轻了NAT-PT网关的处理负担。

Description

一种IPSec穿越NAT-PT的方法
技术领域
本发明涉及IPSec穿越NAT-PT网关的具体方法,尤其涉及AH传输模式、AH隧道模式、ESP传输模式、ESP隧道模式下穿越NAT-PT网关的具体方法。
背景技术
随着网络技术的发展和网络规模的扩大,IPv4(Internet Protocol version 4)已经不能满足网络发展的要求。IPv6(Internet Protocol version 6)作为IPv4的替代版本,能够提供巨大的地址空间,并具有许多IPv4所不具备的新特性,受到了越来越多的重视。由于我国拥有的IPv4地址数量很少,地址枯竭的问题尤为突出,我国正大力推进IPv6的研究和发展。但目前由于IPv4协议已经成功的使用了将近20年,基于IPv4的应用程序和设备已经相当成熟和具有相当的规模,不可能一夜之间完成所有升级变更。而另一方面,IPv6的应用程序和设备还不成熟完备,所以IPv6取代IPv4将会是一段漫长的过程。在很长的一段时期内,IPv4和IPv6网络会长期并存。
目前,主要有三种技术支持处于IPv6网络的节点和处于IPv4网络的节点之间的通信,即双栈技术、隧道技术以及NAT-PT技术。
NAT-PT(即网络地址转换-协议转换)技术的基本原理是,在IPv4网络和IPv6网络之间设置网关(称为NAT-PT网关),对不同协议版本的数据报文进行地址转换和协议转换,即从IPv4网络发往IPv6网络的数据报文要转换成IPv6格式的报文;从IPv6网络发往IPv4网络的数据报文要转换成IPv4格式的报文。NAT-PT网关负责维护一个IPv4地址池和一张IPv4地址和IPv6地址的映射表。对于IPv6到IPv4的地址转换,NAT-PT网关从地址池中分配一个可用的IPv4地址映射IPv6地址;对于IPv4到IPv6的地址转换,NAT-PT网关则在IPv4地址前面加上一个96位的NAT-PT网关前缀。映射表记录了这些映射关系,以供NAT-PT网关在随后的通信过程中查询。
IPSec是由IETF定义的一套在网络层提供IP安全性的协议,包括网络认证协议Authentication Header(AH),封装安全载荷协议Encapsulating Security Payload(ESP),密钥管理协议Internet Key Exchange(IKE)和用于网络认证及加密的一些算法等。IPSec支持传输模式和隧道模式。AH和ESP都可以用于这两种模式。AH的功能主要是身份认证和完整性保护。AH头有一个值得注意的特性是它的完整性检查覆盖了IP头中的某些域,即当分组在路由器之间转发时不随路由器而变化的那些域。例如,Time to live(TTL)域在每一跳上都要改变,所以它不能被包含在完整性检查的范围内。对于这些域,AH在计算AuthenticationData时会通过置0的方式不予保护。而ESP的功能主要是加密,同时也具有认证的功能,但是ESP的认证范围不包括IP头。
IPSec对于IPv6是强制性的安全协议,但对于IPv4来说是一个可选的安全协议,因此,在异构网络中经过NAT-PT通信的数据包必须解决IPSec和NAT-PT的兼容问题。IPsec与NAT-PT之间的兼容问题主要有以下几点:
1、AH与NAT-PT的兼容性
无论是在隧道模式还是传输模式下,AH都是对整个IP数据报提供完整性保护,NAT-PT要改变数据报的源和目的IP地址,版本号等一些数据,另外还要丢弃部分信息,因此,NAT-PT会导致响应者验证AH校验时认为IP数据报已被恶意篡改而丢弃。
2、ESP和NAT-PT的兼容性
ESP提供对IP数据的加密与认证,因此,在隧道模式下,由于ESP保护的是隧道内整个数据报,与外层的IP报头无关,NAT-PT转换的都是外层报头的信息,与受ESP保护的数据无关因此不存在兼容问题。而在传输模式下,被加密的负载不包括IP地址,但是NAT-PT对IP地址的转换意味着TCP/IP分组中传输层校验和的变化,这个校验和已经放在被加密放在负载中,所以NAT-PT虽然能改变IP地址,但是却不能修正校验和,由于校验出错,IP分组在目的端最终还是会被端系统丢弃,致使ESP在传输模式下无法工作。
3、IKE和NAT-PT的兼容性
a.IKE中IP地址作身份标识符和NAT-PT的不相容
在IKE中,主模式(阶段1)、快速模式(阶段2)用IP地址作为通信双方的身份标识符,双方用身份载荷(ID Payload)交换IP地址的HASH值验证对方的身份。NAT-PT对IP源、目的地址的修改将造成身份载荷与IP地址不相符。现在以主模式下的6条消息交换过程为例,显示转换网关如何阻断IKE的第一阶段的协商过程。如附图1所示。
b.固定的IKE端口和NAT-PT端口翻译的不相容
IKE协议使用固定UDP端口500进行通信,当NAT-PT设备后的多个主机向同一响应者发起SA协商时,为了实现多路分发返回的IKE包,NAT-PT修改外出的IKE包的UDP源端口。因此,响应者应该能处理端口号并非500的IKE协商请求;但往往NAT-PT对UDP端口的映射很快就会被删除,再协商(re-key)的过程就将出现一些不可预见的问题,很容易导致NAT-PT设备无法将协商包送到正确的目的地。
表1总结了NAT-PT与IPSec的不相容情况。
  IPSec应用   可否通过   错误原因
  AH传输/隧道模式   否   认证失败
  ESP传输模式   否   传输层校验和出错
  ESP隧道模式   可以
IKE协商   IKE中IP地址作身份标识符和NAT-PT的不相容性
IKE密钥更新   1.IKE使用固定目的端口5002.解复用失败(NAT-PT对UDP端口的映射很快会被删除)
                      表1  NAT-PT与IPSec的不相容情况
在RFC3947和RFC3948中,描述了NAT-Traversal。这是一种在IPv4或IPv6网络内部,IPSec穿越NAT的具体方法。但由于NAT-PT是用于异构网络间的通信,除了进行IP地址的转换以外,同时还进行协议的转换,所以NAT-Traversal并不适用于NAT-PT。
例如RFC3947中所描述的“NAT检测机制”,是通过在IKE协商的主模式阶段新增NAT-D载荷实现的。NAT-D载荷的作用是让通信两端的IPSec系统能够检测到中间存在的NAT。NAT-D载荷中包含一个HASH值。该值的定义为:
                    HASH=HASH(CKY-I|CKY-R|IP|Port)但由于NAT-PT除了进行IP地址的转换以外,同时还进行协议的转换,所以在异构网络的通信中,不能通过NAT-D载荷值来检测NAT-PT的存在。例如会有以下情况:IPv4网络和IPv6网络通过NAT-PT连接,而在IPv4网络内部存在一个私网,它和IPv4网络公网通过NAT连接,那么当IPv4网络公网中的节点发现NAT-D载荷值被改变时,就不能由此判断跟它通信的对端是在IPv4网络私网中还是在IPv6网络中。
发明内容
鉴于上述IPSec与NAT-PT之间的兼容性问题,本发明的目的是提供一种IPSec穿越NAT-PT的具体方法。这种方法是IPSec穿越NAT-PT的一套完整的方案,解决了AH、ESP、IKE协议与NAT-PT的各种不兼容性问题。应用该方法,IPSec在AH传输模式、AH隧道模式、ESP传输模式、ESP隧道模式下都能够穿越NAT-PT,从而使IPSec能够应用到异构网络的通信中。本发明不需要在NAT-PT上增加应用层网关(IPSec-ALG),大大减轻了NAT-PT网关的处理负担。
1、通过新增NATPT-D载荷,定义了一个NAT-PT的发现机制。
本发明定义NATPT-Detect的IKE载荷(NATPT-D载荷),用于在IKE协商主模式阶段的NAT-PT的发现机制。NATPT-D载荷包含了远端主机地址、远端主机端口、本地主机地址、本地主机端口、两端主机cookies的HASH值和IP头“版本(Version)”的HASH值,如图2所示。
下面结合图3说明通信双方如何检测它们中间是否存在NAT-PT,当IKE协商主模式阶段的第三条消息到达Responder时,Responder重新计算NATPT-D,若发现NATPT-D的“HASH of(remote-end IP address and port|local-end IP address and port)”和“HASH of theVersion”两个域都已改变,那么可以断定通信双方中间存在NAT-PT;否则不存在NAT-PT。同理,IKE协商主模式阶段的第四条消息中的NATPT-D载荷可以使Initiator检测到NAT-PT的存在。
2、为了解决AH与NAT-PT的不兼容问题。本发明定义了新的Authentication Data计算方法。
在IPSec的Authentication Data计算方法中,对于IP头里的某些域(如Time to live域),在IP分组的转发过程中每经过一个路由器都会被改变,对于这些特殊域,是不被包含在AH完整性检查的范围之内的。IPSec的AH在计算Authentication Data时会对这些域预先置“0”,从而不对其进行完整性检查。考虑到NAT-PT网关同样也是一个网络层设备,所以本发明所定义的新Authentication Data计算方法的主要思想是在发现NAT-PT后,忽略IP头里那些经过NAT-PT网关后不存在对应关系的域,而只计算那些存在对应关系的域。具体方法是在两端的IPSec系统取出NAT-PT协议地址转换时存在对应关系的域,做相应的变换后组成“伪IP头”,然后在计算Authentication Data时用这个“伪IP头”替代原来的IP头。
由于IPv4向IPv6转换时,NAT-PT可能会对IPv4分组重新进行分段,并且在IPv6头后面增加一个分段扩展头,此时IP分组的“净荷长度”就会发生变化,所以,本发明的Authentication Data计算方法分两种情况,一是普通分组,二是分段分组。两种情况的“伪IP头”有所不同。
对于“普通分组”,“伪IP头”的格式如附图9所示。在IPv4主机端,从接收到分组的IP头里取出“版本”、“首部长度”、“总长度”和“协议”四个域的值,按公式①、②、③计算并组成“伪IP头”,而对于IPv6主机,取出“版本”、“净荷长度”、“下一个头”的值后就可以直接组成“伪IP头”了。
版本(伪IP头)=版本(原IP头)+2   ①
净荷长度(伪IP头)=总长度(原IP头)-首部长度(原IP头)-选项的长度(原IP头)②
下一个头(伪IP头)=协议(原IP头) ③
下一个头(伪IP头)=44(原IP头)   ④
下一个头(伪IP头)=分段扩展头的“下一个头”(原IP头)  ⑤
对于“分段分组”,“伪IP头”的格式如附图10所示。在IPv4主机端,只是从接收到分组的IP头里取出“版本”和“协议”两个域的值,按公式①、④计算并组成“伪IP头”,其中“44”标识IPv6的分段扩展头(因为IPv4网络的分段分组,在IPv6网络也必定是分段分组);在IPv6主机端,伪IP头的“版本”直接取IP头里的“版本”;而“下一个头”要按公式⑤计算,这是因为IPv4并没有“分段扩展头”。
附图说明
图1为IKE SA的建立过程被阻断的示意图;
图2为NATPT-D格式示意图;
图3为增加了NAT-PT发现机制的IKE协商的主模式阶段示意图;
图4为NATPT-OA载荷格式示意图;
图5为增加了NATPT-OA载荷的IKE协商的快速模式阶段示意图;
图6为图6Non-AH/ESP域的使用示意图;
图7为IPv4包头格式示意图;
图8为IPv6包头格式示意图;
图9为Authentication Data的计算范围(普通IP分组)示意图;
图10为Authentication Data的计算范围(分片IP分组)示意图;
图11为发现“NAT-PT”后Authentication Data的计算方法原理图。
具体实施方式
下面给出本发明的一个实例。
一、IKE协商阶段
为了解决上述IPSec和NAT-PT的兼容性问题,本发明首先对IKE协商过程作了一些改进,具体过程如下:
步骤1,新增厂商ID载荷(Vendor id payload,VID),它包含了一个厂商定义的常数值,这个常数值用于标识通信对端的协议实现。
步骤2,新增NATPT-D载荷,如图2所示,用于确定通信双方中间是否存在NAT-PT网关。即在IKE协商的主模式阶段中增加了一个NAT-PT发现机制。
具体过程如图3所示,其中VID载荷用于标识对改进后的IKE协议的支持。NATPT-D载荷包含了远端主机地址、远端主机端口、本地主机地址、本地主机端口、两端主机cookies的HASH值和IP头“版本(Version)”的HASH值。当第三条消息到达Responder时,Responder重新计算NATPT-D,若发现NATPT-D的“HASH of(remote-end IP address|remote-endport|local-end IP address|local-end port|CKY_I|CKY_R)”和“HASH of the Version”两个域都已改变,那么可以断定通信双方中间存在NAT-PT;否则不存在NAT-PT。同理,第四条消息中的NATPT-D载荷可以使Initiator检测到NAT-PT的存在。
步骤3,由于NAT-PT可能会修改外出IKE包的UDP源端口,所以响应者应该能处理端口号并非UDP500的IKE协商请求,而且返回消息的目的端口必须等于请求消息的源端口。
步骤4,发现NAT-PT后,IPv6主机需要每隔一段时间(必须比SA的生存期要短,例如9秒)发出一个keepalives消息,及时恢复NAT-PT的映射信息,以保证密钥更新消息能够顺利进行。这里选择IPv6主机是因为IPv6主机一般在NAT-PT网关后面,即存在于“私网”中。
步骤5,发现NAT-PT后,在IKE协商主模式阶段,IPSec端系统会认为IP地址和端口号的被修改是合理的变化,从而不对IDii、IDir载荷进行认证。
步骤6,为了解决上述的传输模式下ESP与IPSec的不兼容问题,即传输层的校验和问题,新增了NATPT-OA载荷,把发送方原始的IP地址放进该载荷,如图4所示。这样接收方就有足够的信息,能够在数据包到达目的并被解密后验证其上层协议的校验和。NATPT-OA载荷在IKE协商快速模式阶段的前两条消息中交换,如图5所示。
二、IPSec保护下的通信阶段
为了实现IPSec保护下的数据包能够穿越NAT-PT,这里采用了UDP封装的方法,即在两个端系统之间建立起一个UDP隧道,使得NAT-PT能够像处理普通数据包一样处理IPSec数据包。
步骤1,区分IPSec保护下的数据包和IKE数据包。
传输模式或隧道模式的AH/ESP包被封装成目的端口号为500的UDP包。端口500已经为IKE协议连接开放,就无需在防火墙设备上再开放新的端口。为了区分IKE包和AH/ESP包,IKE包中包含一个4字节的Non-AH/ESP域,其值为0。包格式如图6所示
步骤2,AH中Authentication Data的计算
由于AH是对整个IP数据报提供完整性保护,而NAT-PT要改变数据报的源和目的IP地址,版本号等一些数据,另外还要丢弃部分信息。所以对于来自异构网络的IP分组,AH中Authentication Data的计算方法作需要作必要的改进。主要思想是取出NAT-PT协议地址转换时存在对应关系的域,做相应的变换后组成“伪IP头”,然后在计算Authentication Data时用这个“伪IP头”替代原来的IP头。为了便于说明,这里附上IPv4和IPv6的包头格式,如图7、图8所示。
由于IPv4向IPv6转换时,NAT-PT可能会对IPv4分组重新进行分段,并且在IPv6头后面增加一个分段扩展头,此时IP分组的“净荷长度”就会发生变化所以下面分两种情况分析,一是普通分组,二是分段分组。
步骤2-1,首先判断IP分组是否分段的分组。如果是,进入步骤2-3,否则进入步骤2-2。
步骤2-2,对于IPv4主机,在应用AH时,首先从接收到分组的IP头里取出“版本”、“首部长度”、“总长度”和“协议”四个域的值,按公式①、②、③计算并组成“伪IP头”,而对于IPv6主机,取出“版本”、“净荷长度”、“下一个头”的值后就可以直接组成伪IP头了,如图9所示。
版本(伪IP头)=版本(原IP头)+2    ①
净荷长度(伪IP头)=总长度(原IP头)-首部长度(原IP头)-选项的长度(原IP头)②
下一个头(伪IP头)=协议(原IP头)  ③
下一个头(伪IP头)=44(原IP头)    ④
下一个头(伪IP头)=分段扩展头的“下一个头”(原IP头)   ⑤
步骤2-3,如果是分段的IP分组,那么IPv4主机在应用AH时,就只是取出“版本”和“协议”两个域的值,按公式①、④计算并组成“伪IP头”,其中“44”标识IPv6的分段扩展头(因为IPv4网络的分段分组,在IPv6网络也是分段分组);对于IPv6主机,伪IP头的“版本”直接取IP头里的“版本”;而“下一个头”要按公式⑤计算,这是因为IPv4并没有“分段扩展头”。得到“版本”和“下一个头”的值后就可以组成伪IP头了,如图10所示。
步骤2-4,在计算Authentication Data时,用伪IP头代替原来的IP头,如图9所示。

Claims (6)

1、一种IPSec穿越NAT-PT的方法。该方法主要包括两点:IKE协商阶段的NAT-PT发现机制和通信阶段中新的AH认证机制,其特征在于,包括如下步骤:
A、在IKE协商的主模式阶段,新增NATPT-D载荷,用于确定通信双方中间是否存在NAT-PT网关。
B、在计算AH的Authentication Data时,用“伪IP头”取代原来的IP头。
2、根据权利要求1所述的IPSec穿越NAT-PT的方法,其特征在于,所述步骤A新增的NATPT-D载荷,包含了远端主机IP地址、远端主机端口、本地主机IP地址、本地主机端口、两端主机cookies的HASH值和IP头“版本(Version)”的HASH值。
3、根据权利要求1所述的IPSec穿越NAT-PT的方法,其特征在于,所述步骤B中“伪IP头”的格式对于“普通分组”和“分段分组”是不同的。
4、根据权利要求3所述的“普通分组”和“分段分组”的“伪IP头”的格式,其特征在于,“普通分组”的“伪IP头”包括“版本”、“净荷长度”和“下一个头”三个域。而“分段分组”的“伪IP头”只包括“版本”和“下一个头”两个域。
5、根据权利要求4所述的“普通分组”的“伪IP头”中的“版本”、“净荷长度”和“下一个头”三个域,对于IPv6主机是直接复制原IP头的对应域。而对于IPv4主机则需要按下列公式①、②、③进行计算。
版本(伪IP头)=版本(原IP头)+2    ①
净荷长度(伪IP头)=总长度(原IP头)-首部长度(原IP头)-选项的长度(原IP头)②
下一个头(伪IP头)=协议(原IP头)    ③。
6、根据权利要求4所述的“分段分组”的“伪IP头”中的“版本”和“下一个头”两个域,对于IPv6主机,“版本”是直接取原IP头里的“版本”,而“下一个头”要按下列公式⑤计算;对于IPv4主机,是按下列公式①、④计算“版本”和“下一个头”两个域的。
版本(伪IP头)=版本(原IP头)+2    ①
下一个头(伪IP头)=44(原IP头)    ④
下一个头(伪IP头)=分段扩展头的“下一个头”(原IP头)    ⑤
CN2007100274054A 2007-04-05 2007-04-05 一种IPSec穿越NAT-PT的方法 Expired - Fee Related CN101030935B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2007100274054A CN101030935B (zh) 2007-04-05 2007-04-05 一种IPSec穿越NAT-PT的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2007100274054A CN101030935B (zh) 2007-04-05 2007-04-05 一种IPSec穿越NAT-PT的方法

Publications (2)

Publication Number Publication Date
CN101030935A true CN101030935A (zh) 2007-09-05
CN101030935B CN101030935B (zh) 2010-11-17

Family

ID=38716021

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2007100274054A Expired - Fee Related CN101030935B (zh) 2007-04-05 2007-04-05 一种IPSec穿越NAT-PT的方法

Country Status (1)

Country Link
CN (1) CN101030935B (zh)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286896B (zh) * 2008-06-05 2010-09-29 上海交通大学 基于流的IPSec VPN协议深度检测方法
CN101296227B (zh) * 2008-06-19 2010-11-17 上海交通大学 基于报文偏移量匹配的IPSec VPN协议深度检测方法
CN101938530A (zh) * 2010-09-03 2011-01-05 清华大学 地址转换设备中用户身份认证及溯源方法
CN102088438A (zh) * 2009-12-03 2011-06-08 中兴通讯股份有限公司 一种解决IPSec Client地址冲突的方法及IPSec Client
CN102202108A (zh) * 2011-06-15 2011-09-28 中兴通讯股份有限公司 实现ipsec在ah模式下nat穿越的方法、设备及系统
CN101309270B (zh) * 2008-06-30 2011-12-21 成都市华为赛门铁克科技有限公司 实施因特网安全协议的方法、系统、网关及网络节点
CN102752171A (zh) * 2012-07-04 2012-10-24 汉柏科技有限公司 Ipsec协商测试方法
CN104980405A (zh) * 2014-04-10 2015-10-14 中兴通讯股份有限公司 一种对经过nat穿越的ipsec报文进行ah认证的方法及装置
WO2019011201A1 (en) * 2017-07-11 2019-01-17 Huawei Technologies Co., Ltd. SUPPORT FOR INTERNET PROTOCOL VERSION 4 (IPV4) EXTENSION HEADER
CN112751816A (zh) * 2019-10-31 2021-05-04 中国移动通信有限公司研究院 一种隧道建立方法、装置、设备及计算机可读存储介质
WO2021082879A1 (zh) * 2019-11-01 2021-05-06 华为技术有限公司 传输组播报文的方法和相关装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1855924A (zh) * 2005-04-27 2006-11-01 华为技术有限公司 网络层安全报文穿越地址变换设备的方法
CN100544358C (zh) * 2005-06-17 2009-09-23 中兴通讯股份有限公司 一种基于IPSec穿越NAT的IP多媒体子系统接入安全保护方法

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286896B (zh) * 2008-06-05 2010-09-29 上海交通大学 基于流的IPSec VPN协议深度检测方法
CN101296227B (zh) * 2008-06-19 2010-11-17 上海交通大学 基于报文偏移量匹配的IPSec VPN协议深度检测方法
CN101309270B (zh) * 2008-06-30 2011-12-21 成都市华为赛门铁克科技有限公司 实施因特网安全协议的方法、系统、网关及网络节点
CN102088438B (zh) * 2009-12-03 2013-11-06 中兴通讯股份有限公司 一种解决因特网协议安全性客户端地址冲突的方法及客户端
CN102088438A (zh) * 2009-12-03 2011-06-08 中兴通讯股份有限公司 一种解决IPSec Client地址冲突的方法及IPSec Client
CN101938530A (zh) * 2010-09-03 2011-01-05 清华大学 地址转换设备中用户身份认证及溯源方法
CN101938530B (zh) * 2010-09-03 2013-10-16 清华大学 地址转换设备中用户身份认证及溯源方法
CN102202108A (zh) * 2011-06-15 2011-09-28 中兴通讯股份有限公司 实现ipsec在ah模式下nat穿越的方法、设备及系统
WO2012171379A1 (zh) * 2011-06-15 2012-12-20 中兴通讯股份有限公司 实现ipsec在ah模式下nat穿越的方法、设备及系统
CN102752171B (zh) * 2012-07-04 2015-03-25 汉柏科技有限公司 Ipsec协商测试方法
CN102752171A (zh) * 2012-07-04 2012-10-24 汉柏科技有限公司 Ipsec协商测试方法
CN104980405A (zh) * 2014-04-10 2015-10-14 中兴通讯股份有限公司 一种对经过nat穿越的ipsec报文进行ah认证的方法及装置
WO2019011201A1 (en) * 2017-07-11 2019-01-17 Huawei Technologies Co., Ltd. SUPPORT FOR INTERNET PROTOCOL VERSION 4 (IPV4) EXTENSION HEADER
US20190020737A1 (en) * 2017-07-11 2019-01-17 Futurewei Technologies, Inc. Supporting Internet Protocol Version 4 (IPv4) Extension Headers
US10742775B2 (en) 2017-07-11 2020-08-11 Futurewei Technologies, Inc. Supporting internet protocol version 4 (IPv4) extension headers
US11363123B2 (en) 2017-07-11 2022-06-14 Futurewei Technologies, Inc. Supporting internet protocol version 4 (IPv4) extension headers
CN112751816A (zh) * 2019-10-31 2021-05-04 中国移动通信有限公司研究院 一种隧道建立方法、装置、设备及计算机可读存储介质
CN112751816B (zh) * 2019-10-31 2023-05-12 中国移动通信有限公司研究院 一种隧道建立方法、装置、设备及计算机可读存储介质
WO2021082879A1 (zh) * 2019-11-01 2021-05-06 华为技术有限公司 传输组播报文的方法和相关装置
CN112769745A (zh) * 2019-11-01 2021-05-07 华为技术有限公司 传输组播报文的方法和相关装置

Also Published As

Publication number Publication date
CN101030935B (zh) 2010-11-17

Similar Documents

Publication Publication Date Title
CN101030935A (zh) 一种IPSec穿越NAT-PT的方法
CN102577255B (zh) 云计算中企业的第2层无缝站点扩展
US10608986B2 (en) Dynamic VPN address allocation
US9369550B2 (en) Protocol for layer two multiple network links tunnelling
CN1711739A (zh) 支持穿过网络地址转换机制的 6to4遂道协议的方法和设备
CN1376351A (zh) 分组网络连接
CN107534643A (zh) 在ip vpn与传输层vpn之间转换移动业务
US9769116B2 (en) Encapsulating traffic while preserving packet characteristics
US20070214502A1 (en) Technique for processing data packets in a communication network
CN1289494A (zh) 在网络上用域名路由选择发送数据到目的端的系统和方法
CN1408088A (zh) 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关
CN1921394A (zh) 基于自治系统互联关系的真实IPv6源地址验证方法
CN102938736A (zh) 一种实现IPv4报文穿越IPv6网络的方法和设备
CN1703047A (zh) 虚拟专用网系统、通信终端以及相应的远程访问通信方法
US20130223337A1 (en) Mobile device to generate multiple maximum transfer units and data transfer method
US9525661B2 (en) Efficient method of NAT without reassemling IPV4 fragments
US20170170986A1 (en) Transport protocol task offload emulation to detect chunks of data for communication with a private network
CN101222412A (zh) 网络地址转换穿越方法和系统
CN103067411A (zh) 防止DS-Lite组网中的DoS攻击方法和装置
CN101309270B (zh) 实施因特网安全协议的方法、系统、网关及网络节点
CN1777174A (zh) 因特网安全协议高速处理ip分片的方法
CN1412988A (zh) 网络通信中报文的封装转发方法
JP2014143505A (ja) データ転送装置及びデータ転送方法
CN103780469A (zh) 多核平台上IPv6隧道的实现方法以及报文转发方法
CN1697445A (zh) 一种实现虚拟私有网络中数据传输的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20101117

Termination date: 20110405