CN101605093A - 利用IP Option实现信息透传的方法 - Google Patents

利用IP Option实现信息透传的方法 Download PDF

Info

Publication number
CN101605093A
CN101605093A CNA2009100315053A CN200910031505A CN101605093A CN 101605093 A CN101605093 A CN 101605093A CN A2009100315053 A CNA2009100315053 A CN A2009100315053A CN 200910031505 A CN200910031505 A CN 200910031505A CN 101605093 A CN101605093 A CN 101605093A
Authority
CN
China
Prior art keywords
message
private information
option
information
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2009100315053A
Other languages
English (en)
Other versions
CN101605093B (zh
Inventor
刘继明
谢炜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Sifang Technologies Co., Ltd.
Itibia Technologies
Original Assignee
ITIBIA TECHNOLOGIES
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ITIBIA TECHNOLOGIES filed Critical ITIBIA TECHNOLOGIES
Priority to CN2009100315053A priority Critical patent/CN101605093B/zh
Publication of CN101605093A publication Critical patent/CN101605093A/zh
Application granted granted Critical
Publication of CN101605093B publication Critical patent/CN101605093B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提供一种利用IP Option实现信息透传的方法,其过程是:1)在网关上截取每个网络流第一个报文;2)在报文转发之前,将私有信息封装成IP Option,插入报文IP头尾部;3)调整IP头部ihl、tot_len,并重新计算IP头部checksum;4)转发报文;5)在网络中心节点,截获该报文,解析每个网络流第一个报文,得到私有信息,并从报文中删除私有信息,然后转发报文。只需要修改网络流第一个报文,因此对报文转发性能影响非常小,即使第一个报文需要分片,对性能影响也不大;私有信息和正常报文一起转发出去,可靠性得到保障,如果正常报文丢失,网络应用会重传报文,在重传的时候,仍可透传私有信息。

Description

利用IP Option实现信息透传的方法
技术领域
本发明涉及一种在网关设备上携带私有信息的方法,特别涉及在网关设备中,利用IP Option实现信息透传的方法,属于计算机网络通信和计算机网络安全技术领域。
背景技术
随着计算机安全产业的发展和企业信息化的推进,中小企业对网络安全的需求越来越强烈,但是网络安全业务对硬件要求较高,成本也大。由此衍生出一种集中式安全方案,这种方案通过在网络中心节点部署安全设备,为网络节点内一批中小企业提供网络安全保障,大大降低了中小企业设备采购成本。
这种方案面临的一个困难是,报文经过企业网关到达安全设备后,企业内部IP、MAC等信息已不可见,无法对企业用户进行身份识别,导致诸多的安全业务无法使用。
针对这个问题,业界提出了很多方案,比如:
方案1:在企业网关和网络安全设备间建立tunnel通道,在tunnel里携带私有信息,对用户身份进行认证。
方案2:网关将NAT表项实时上传到网络安全设备上,安全设备维护每个企业网关的NAT表,收到报文后,在企业NAT表中查找内网信息。
上述方案存在如下问题:
①方案1对报文转发性能影响非常大,每个报文都需要进行tunnel封装,如果报文本身就比较大,由此导致的报文分片,对转发性能影响也是非常大的。
②方案2对NAT上传的可靠性、实时性要求非常高,在现实网络中,很可能出现报文丢失、延时,导致网络安全设备处无法找到NAT表项的情况,无法识别用户身份。
发明内容
本发明的目的是克服现有技术存在的不足,提供一种在网关设备中,利用IP Option实现内网信息透传的方法。
本发明的目的通过以下技术方案来实现:
利用IP Option实现信息透传的方法,特点是:具体包括以下步骤-
1)在网关上截取每个网络流第一个报文;
2)在报文转发之前,将私有信息封装成IP Option,插入报文IP头尾部;
3)调整IP头部ihl、tot_len,并重新计算IP头部checksum;
4)转发报文;
5)在网络中心节点,截获该报文,解析每个网络流第一个报文,得到私有信息,并从报文中删除私有信息,然后转发报文。
进一步地,上述的利用IP Option实现信息透传的方法,其中,所述的网络流由五元组唯一定义,五元组是指源IP、目的IP、源端口、目的端口、传输层协议。
更进一步地,上述的利用IP Option实现信息透传的方法,其中,所述私有信息是指源IP、源端口、内网MAC地址、设备标识、用户ID。
本发明技术方案突出的实质性特点和显著的进步主要体现在:
①本发明的信息透传方法,只需要修改网络流第一个报文,因此对报文转发性能影响非常小,即使第一个报文需要分片,对性能影响也不大;
②私有信息和正常报文一起转发出去,可靠性得到保障,如果正常报文丢失,网络应用会重传报文,在重传的时候,仍可以透传私有信息。实时性得到保障,私有信息和正常报文同时到达网络安全设备,设备收到报文后,可立即对用户身份进行认证;堪称是具有新颖性、创造性、实用性的好技术。
附图说明
下面结合附图对本发明技术方案作进一步说明:
图1:网络部署方案示意图;
图2:IP Option格式参考实例示意图;
图3:报文封装流程示意图。
具体实施方式
利用IP Option实现信息透传的方法,具体过程是:1)在网关上截取每个网络流第一个报文;2)在报文转发之前,将私有信息封装成IPOption,插入报文IP头尾部;3)调整IP头部ihl、tot_len,并重新计算IP头部checksum;4)转发报文;5)在网络中心节点,截获该报文,解析每个网络流第一个报文,得到私有信息,并从报文中删除私有信息,然后转发报文。
其中,网络流由五元组唯一定义,五元组是指:源IP、目的IP、源端口、目的端口、传输层协议。通过修改转发报文IP头部,透传私有信息。可携带任意私有信息,如源IP、源端口、内网MAC地址、设备标识、用户ID等,但不限于此。
上述信息透传方法,只需要修改网络流第一个报文,并且在SNAT之前修改报文,因此对报文转发性能影响非常小,即使第一个报文需要分片,对性能影响也不大。
私有信息和正常报文一起转发出去,可靠性得到保障,如果正常报文丢失,网络应用会重传报文,在重传的时候,仍可以透传私有信息。实时性得到保障,私有信息和正常报文同时到达网络安全设备,设备收到报文后,可立即对用户身份进行认证。
本发明描述的病毒检测方法不依赖于特定的硬件或软件平台,但是如果选用Linux平台,利用平台已有的模块,实现起来更方便,下面就以Linux平台为例,介绍具体实施方式。
图1是网络部署方案参考实例,图中左下方企业订购了网络安全服务,右下方企业未订购网络安全服务,网络安全设备部署在网络中心节点处,左下方企业所有流量全部路由到网络中心节点。
图2是IP Option格式参考实例,optno为Option编号,可使用RFC定义的Option编号,也可以自定义Option编号;optlen为IP Option总长度,包括optno和optlen;id为用户身份,mac为内网mac,IP为内网IP地址;padding填充头部,满足了IP头部4字节对齐要求。
图3示意了报文封装流程:
S10:企业网关从企业网络接收报文;
S20:查找该报文从属的网络流;
S30:判断网络流是否已存在;
S31:如果网络流不存在,即报文为网络流第一个报文;进一步判断报文的Option空间是否足够;
S32:空间足够,添加Option字段;
S33:调整ihl、tot_len、checksum等字段;
S40:转发报文。
综上所述,本发明巧妙利用协议扩展字段实现信息透传,具有很好的性能和网络适应性,可广泛用户各种集中式服务提供、设备管理等领域,具有良好的社会和经济效益,堪称是具有新颖性、创造性、实用性的好技术,市场应用前景非常广阔。
虽然本发明已前述优选实施例说明,然其并非用于限制本发明,任何本领域的普通技术人员,在不脱离本发明的精神和范围的情况下,可做任何的更动与修改。因此本发明的保护范围以后附的权利要求为准。

Claims (3)

1.利用IP Option实现信息透传的方法,其特征在于:包括以下步骤——
1)在网关上截取每个网络流第一个报文;
2)在报文转发之前,将私有信息封装成IP Option,插入报文IP头尾部;
3)调整IP头部ihl、tot_len,并重新计算IP头部checksum;
4)转发报文;
5)在网络中心节点,截获该报文,解析每个网络流第一个报文,得到私有信息,并从报文中删除私有信息,然后转发报文。
2.根据权利要求1所述的利用IP Option实现信息透传的方法,其特征在于:所述的网络流由五元组唯一定义,五元组是指源IP、目的IP、源端口、目的端口、传输层协议。
3.根据权利要求1所述的利用IP Option实现信息透传的方法,其特征在于:所述私有信息是指源IP、源端口、内网MAC地址、设备标识、用户ID。
CN2009100315053A 2009-04-22 2009-04-22 利用IP Option实现信息透传的方法 Active CN101605093B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009100315053A CN101605093B (zh) 2009-04-22 2009-04-22 利用IP Option实现信息透传的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100315053A CN101605093B (zh) 2009-04-22 2009-04-22 利用IP Option实现信息透传的方法

Publications (2)

Publication Number Publication Date
CN101605093A true CN101605093A (zh) 2009-12-16
CN101605093B CN101605093B (zh) 2012-05-09

Family

ID=41470650

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100315053A Active CN101605093B (zh) 2009-04-22 2009-04-22 利用IP Option实现信息透传的方法

Country Status (1)

Country Link
CN (1) CN101605093B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271081A (zh) * 2010-06-07 2011-12-07 杭州华三通信技术有限公司 一种发送数据报文的方法和装置
CN102624624A (zh) * 2012-03-13 2012-08-01 网经科技(苏州)有限公司 Nat下快道转发系统的实现方法
US9497089B2 (en) 2012-12-19 2016-11-15 Huawei Technologies Co., Ltd. Method and device for spreading deep packet inspection result
CN108063692A (zh) * 2016-11-08 2018-05-22 中国移动通信有限公司研究院 流量识别方法及装置
WO2020108467A1 (zh) * 2018-11-27 2020-06-04 新华三技术有限公司 网络设备及转换装置
CN117834095A (zh) * 2024-03-06 2024-04-05 北京诺芮集成电路设计有限公司 一种重传报文的方法、电子设备及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103036875B (zh) * 2012-12-04 2016-11-09 杭州迪普科技有限公司 一种用户身份处理装置及识别装置

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102271081A (zh) * 2010-06-07 2011-12-07 杭州华三通信技术有限公司 一种发送数据报文的方法和装置
CN102271081B (zh) * 2010-06-07 2013-11-06 杭州华三通信技术有限公司 一种发送数据报文的方法和装置
CN102624624A (zh) * 2012-03-13 2012-08-01 网经科技(苏州)有限公司 Nat下快道转发系统的实现方法
CN102624624B (zh) * 2012-03-13 2014-11-26 网经科技(苏州)有限公司 Nat下快道转发系统的实现方法
US9497089B2 (en) 2012-12-19 2016-11-15 Huawei Technologies Co., Ltd. Method and device for spreading deep packet inspection result
CN108063692A (zh) * 2016-11-08 2018-05-22 中国移动通信有限公司研究院 流量识别方法及装置
CN108063692B (zh) * 2016-11-08 2019-11-26 中国移动通信有限公司研究院 流量识别方法及装置
WO2020108467A1 (zh) * 2018-11-27 2020-06-04 新华三技术有限公司 网络设备及转换装置
US11765102B2 (en) 2018-11-27 2023-09-19 New H3C Technologies Co., Ltd. Network device and conversion apparatus
CN117834095A (zh) * 2024-03-06 2024-04-05 北京诺芮集成电路设计有限公司 一种重传报文的方法、电子设备及存储介质
CN117834095B (zh) * 2024-03-06 2024-05-03 北京诺芮集成电路设计有限公司 一种重传报文的方法、电子设备及存储介质

Also Published As

Publication number Publication date
CN101605093B (zh) 2012-05-09

Similar Documents

Publication Publication Date Title
CN101605093B (zh) 利用IP Option实现信息透传的方法
US9154512B2 (en) Transparently proxying transport protocol connections using an external server
CN1829195B (zh) 分组转发装置
CN104954245B (zh) 业务功能链处理方法及装置
CN101247353B (zh) 流老化方法及网络设备
CN102594713B (zh) 一种实现显式拥塞通告的方法及设备
CN104869065A (zh) 数据报文处理方法及装置
US20060064750A1 (en) System and methods for transparent encryption
CN107786613A (zh) 宽带远程接入服务器bras转发实现方法和装置
CN101022394A (zh) 一种实现虚拟局域网聚合的方法及汇聚交换机
WO2017054576A1 (zh) 单播隧道建立方法、装置和系统
WO2012106869A1 (zh) 一种报文处理方法及相关设备
CA2968964A1 (en) Source ip address transparency systems and methods
CN101325554B (zh) 一种路由创建方法、转发芯片及三层交换机
CN102624723B (zh) 一种实现显式拥塞通告的方法及设备
CN103259724A (zh) 一种mpls vpn的实现方法、系统及客户边缘设备
CN102546428A (zh) 基于DHCPv6侦听的IPv6报文交换系统及方法
CN102045250B (zh) Vpls中组播报文的转发方法和服务提供商边缘设备
CN101304387B (zh) 一种实现二层隧道协议隧道转换的方法
CN102739462B (zh) 一种测试报文的发送方法以及装置
CN105141526B (zh) 虚拟网络通信的方法及装置
CN101141396B (zh) 报文处理方法和网络设备
CN104579973A (zh) 一种虚拟集群中的报文转发方法和装置
CN108064441B (zh) 一种加速网络传输优化方法以及系统
CN110380966A (zh) 一种发现转发路径的方法及其相关设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
ASS Succession or assignment of patent right

Effective date: 20110825

C41 Transfer of patent application or patent right or utility model
TA01 Transfer of patent application right

Effective date of registration: 20110825

Address after: 215021 unit 1630, international science and Technology Park, 1355 Jinji Lake Avenue, Suzhou Industrial Park, Jiangsu, China

Applicant after: Itibia Technologies

Co-applicant after: Chengdu Sifang Technologies Co., Ltd.

Address before: 215021 unit 1630, international science and Technology Park, 1355 Jinji Lake Avenue, Suzhou Industrial Park, Jiangsu, China

Applicant before: Itibia Technologies

C14 Grant of patent or utility model
GR01 Patent grant