CN102088438B - 一种解决因特网协议安全性客户端地址冲突的方法及客户端 - Google Patents

一种解决因特网协议安全性客户端地址冲突的方法及客户端 Download PDF

Info

Publication number
CN102088438B
CN102088438B CN200910188713.4A CN200910188713A CN102088438B CN 102088438 B CN102088438 B CN 102088438B CN 200910188713 A CN200910188713 A CN 200910188713A CN 102088438 B CN102088438 B CN 102088438B
Authority
CN
China
Prior art keywords
address
ipsec
client
vpn
internet protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200910188713.4A
Other languages
English (en)
Other versions
CN102088438A (zh
Inventor
李光伟
姚幸林
罗晓华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN200910188713.4A priority Critical patent/CN102088438B/zh
Priority to PCT/CN2010/071240 priority patent/WO2010148680A1/zh
Publication of CN102088438A publication Critical patent/CN102088438A/zh
Priority to HK11112629.1A priority patent/HK1158408A1/xx
Application granted granted Critical
Publication of CN102088438B publication Critical patent/CN102088438B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明提出了一种解决IPSec Client地址冲突的方法及IPSec Client,上述方法为:IPSec Client需要与IPSec网络中的IPSec Server进行数据交互时,自动生成唯一且合法的VPN IP地址,并用上述生成的VPN IP地址取代UDP封装的ESP隧道模式报文中Original IP Header内上述IPSec Client终端的真实IP地址;上述IPSec Client包括地址生成模块和地址替换模块。本发明提高了IPSecClient的兼容性,扩大了IPSec Client的应用范围。

Description

一种解决因特网协议安全性客户端地址冲突的方法及客户端
技术领域
本发明涉及网络通信技术领域,特别涉及到一种解决因特网协议安全性(Internet Protocol Security,IPSec)网络中因特网协议安全性客户端(IPSecClient)地址冲突的方法及客户端。
背景技术
IPSec是由互联网工程任务组(Internet Engineering Task Force,IETF)定义的一套在因特网协议(Internet Protocol,IP)层提供安全性的协议,其目标是为互联网协议第四版本(IPv4)和IPv6提供具有较强的互操作能力、高质量和基于密码的安全,包括加密、认证和数据防篡改功能,确保用户数据可以通过安全的IPSec隧道实现端到端的安全、保密传输。
IPSec现在已经成为架构虚拟专用网络(Virtual Private Network,VPN)的基础,具备良好的安全性。由于IPSec是IP层上的协议,因此很容易在全世界范围内形成一种规范,具有非常好的通用性。IPSec不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议认证标头(Authentication Header,AH)、封装安全有效载荷(EncapsulatingSecurity Payload,ESP)协议、密钥管理协议(Internet Key Exchange,IKE)和用于网络认证及加密的一些算法等。
随着计算机的普及和网络的发展,网络结构日益复杂,这也给IPSec的应用带来了一些问题。如图1所示,假设一个典型结构的IPSec网络,终端1位于某公司的内部网络,该网络通过一个安全网关同Internet连接,以保证公司内部网络的安全性,同时该安全网关具有因特网协议安全性服务器(IPSecServer)的功能;终端2和终端3通过网络地址转换(NetworkAddress Translation,NAT)设备(ADSL、小区宽带等)连接到Internet,终端2和终端3具有IPSec Client功能,且具有在公司外部网络通过Internet使用IPSec协议访问公司的内部网络的权限;由于存在NAT设备,故需要使用IPSec的NAT穿越技术,即使用用户数据报协议(User Datagram Protocol,UDP)封装的ESP隧道模式报文,所述报文结构如图2所示,其中New IP Header是封装后的报文对外呈现的IP头部;Original IP Header是原始IP报文头部。假设终端2先与终端1协商成功,终端3后与终端1协商成功;且终端2和终端3正在与终端1进行数据交互,此时,若在图1中的A、B、C、D点同时使用网络分析工具抓取报文并进行分析,则A、B、C点的报文为ESP加密报文,D点的报文是非加密的原始报文,此时各点的IP头部信息如表1所示:
表1
Figure GSB00001100271400021
由表1可知,两个报文分别从终端2和终端3发往终端1,此时报文能够正确抵达终端1,而终端1对这两个报文进行回复时,在D点的IP报文的源地址和目的地址完全一样并且不具备其他可供区分的信息,报文抵达安全网关时,安全网关无法区分该报文是发往终端2还是终端3的,此时,网关会在安全联盟(security association,SA)列表里寻找对应地址信息的SA,这时只会找到在列表里靠前的那个SA(即后协商成功的),导致所有数据都只能发往终端2和终端3其中的一个终端(本实施例中为终端3),另一个终端(本实施例中为终端2)同终端1的通信失败。
现今业界存在两种办法解决上述问题,分别是配置模式(Config Mode)和基于IPSec的动态之际分配协议(DHCP Over IPSec),这两种方法的主要思想都是在IPSec Client需要与IPSec Server进行数据交互时,由IPSec Client发起IP地址请求,IPSec Server响应所述请求,并分配一个虚拟专用网络(VirtualPrivate Network,VPN)IP地址给请求的IPSec Client,IPSec Client再使用IPSecServer为其分配的VPN IP地址取代UDP封装的ESP隧道模式报文中的OriginalIP Header内的自身的真实IP地址,从而在IPSec SA列表中取代IPSec Client的真实IP地址。
上述两种方法都是由IPSec Server来为IPSec Client分配VPN IP地址,且保证分配给各IPSec Client的VPN IP地址唯一。这种方式的局限性在于:由于这两种方法并没有形成RFC(Request For Comments)标准,而现有的IpSec Server产品有些并不支持上述方式,那么要使用上述方式,则IPSec Server必须支持Config Mode和DHCP Over IPSec中的一种,这使得进入门槛较高;另外,即使支持上述两种方法的IPSec Server产品,也在实现的细节上有所不同,使得IPSec Client无法同时兼容所有厂家的IPSec Server产品。而IPSec Client要扩大兼容性,需要同时支持上述两种方法,具体使用哪种方法要根据网关的类型通过配置来实现,无法实现即插即用自适应功能。
发明内容
本发明的目的之一是提供一种解决因特网协议安全性客户端地址冲突的方法及客户端,解决了现有技术中IPSec网络中的IPSec Client访问IPSec Server所保护的网络时地址冲突的问题,本发明提高了IPSec Client的兼容性,扩大了IPSec Client的应用范围,使得IPSec网络中的各IPSec Client能够同时正常访问IPSec Server所保护的网络。
本发明提出一种解决IPSec Client地址冲突的方法,IPSec Client需要与IPSec网络中的IPSec Server进行数据交互时,自动生成唯一且合法的VPN IP地址,并用上述生成的VPN IP地址取代UDP封装的ESP隧道模式报文中OriginalIP Header内上述IPSec Client终端的真实IP地址。
优选地,上述IPSec Client利用本地介质访问控制(Media Access Control,MAC)地址通过预设的算法映射生成唯一且合法的VPN IP地址。
优选地,上述IPSec Client利用自身的身份标识号码(ID)通过预设的算法映射生成唯一且合法的VPN IP地址。
优选地,上述方法进一步包括:
上述IPSec Client在与上述IPSec Server进行快速模式(Quick Mode)协商时,将发送给上述IPSec Server的第一条消息的发起者安全联盟(SAi)中的发起者IP地址替换为上述生成的VPN IP地址;并将上述第一条消息的发起者身份标识(Idi)载荷的标识填写为上述生成的VPN IP地址。
本发明还提出一种实现上述方法的IPSec Client,所述IPSec Client包括地址生成模块、地址替换模块,
上述地址生成模块,用于生成唯一且合法的VPN IP地址;
上述地址替换模块,用于将UDP封装的ESP隧道模式报文中Original IPHeader内IPSec Client的真实IP地址替换为上述地址生成模块生成的VPN IP地址。
优选地,上述IPSec Client还包括配置模块,用于为用户提供配置生成VPNIP地址的算法的接口,并保存用户设置的算法。
优选地,上述IPSec Client还包括协商消息处理模块,用于将Quick Mode协商时的第一条消息的SAi中的发起者IP地址替换为上述地址生成模块生成的VPN IP地址;并将上述第一条Quick Mode协商消息的IDi载荷的标识填写为上述地址生成模块生成的VPN IP地址。
本发明使得IPSec网络中的IPSec Client可与支持标准的IKE协议的任何品牌、类型的IPSec Server无冲突的进行数据交互,大大提高了IPSec Client的兼容性,扩大了IPSec Client的应用范围;由于VPN IP地址不再需要IPSec Server来分配,减少了IPSec Server的工作量;且省去了协商过程中获取VPN IP地址的过程,减少了网络开销,缩短了IKE协商所用的时间。
附图说明
图1是一个典型结构的IPSec网络示意图;
图2是UDP封装的ESP隧道模式报文结构示意图;
图3是本发明所述方法第一实施例流程图;
图4是本发明所述方法中IPSec Client生成VPN IP地址的第一实施例流程图;
图5是本发明所述方法中IPSec Client生成VPN IP地址的第二实施例流程图;
图6是本发明所述IPSec Client第一实施例原理框图;
图7是本发明所述IPSec Client第二实施例原理框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
本发明所述方法为:IPSec Client需要与IPSec网络中的IPSec Server进行数据交互时,自动生成唯一且合法的VPN IP地址,并用上述生成的VPN IP地址取代UDP封装的ESP隧道模式报文中Original IP Header内上述IPSec Client终端的真实IP地址。
上述方法中,所述IPSec Client利用MAC地址通过预设的算法映射生成唯一且合法的VPN IP地址;或者利用自身的ID通过预设的算法映射生成唯一且合法的VPN IP地址。
上述IPSec Client在与上述IPSec Server进行Quick Mode协商时,将发送给上述IPSec Server的第一条消息的SAi中的发起者IP地址替换为上述生成的VPN IP地址;并将上述第一条消息的IDi载荷的标识填写为上述生成的VPN IP地址。
本发明所述IPSec Client,包括地址生成模块、地址替换模块,地址生成模块,用于生成唯一且合法的VPN IP地址;地址替换模块,用于将UDP封装的ESP隧道模式报文的Original IP Header中的IPSec Client的真实IP地址替换为上述地址生成模块生成的VPN IP地址。
上述IPSec Client还包括配置模块和协商消息处理模块;配置模块,用于为用户提供配置生成VPN IP地址的算法的接口,并保存用户设置的算法;协商消息处理模块,用于将Quick Mode协商时的第一条消息的SAi中的发起者IP地址替换为上述地址生成模块生成的VPN IP地址;并将上述第一条QuickMode协商消息的IDi载荷的标识填写为上述地址生成模块生成的VPN IP地址。
如图3所示,是本发明所述方法第一实施例流程图;包括如下步骤:
S301:IPSec Client需要与IPSec网络中的IPSec Server进行数据交互;
S302:自动生成唯一且合法的VPN IP地址;
S303:将用于与上述IPSec Server进行Quick Mode协商的第一条消息的SAi中的发起者IP地址替换为上述生成的VPN IP地址;并将上述第一条消息的IDi载荷的标识填写为上述生成的VPN IP地址;
S304:与上述IPSec Server进行协商;
S305:协商成功后,用上述生成的VPN IP地址取代UDP封装的ESP隧道模式报文中Original IP Header内上述IPSec Client终端的真实IP地址,将上述报文加密后发送给上述IPSec Server,开始数据交互。
如图4所示,是本发明所述方法中IPSec Client生成VPN IP地址的第一实施例流程图;本实施例中,IPSec Client采用本地MAC地址经预设的算法映射生成唯一且合法的VPN IP地址;假设IPSec Client的MAC地址为A:B:C:D:E:F,A、B、C、D、E、F为小于等于0xff(即自然数255)的整数,其中A:B:C为公司码,该方法具体包括如下步骤:
S401:IPSec Client根据预设的算法,将MAC地址的A:B:C段映射为两个小于0xff的整数,分别为NET1、NET2;
S402:判断上述F是否等于0xff,若是,则执行S403;否则,执行S404;
S403:生成值为NET1.D.E.2的VPM IP地址,结束;
S404:判断上述F是否等于0x00(即自然数的0),若是,则执行S405;否则,执行S406;
S405:生成值为NET1.D.E.3的VPM IP地址,结束;
S406:生成值为NET2.D.E.F的VPM IP地址,结束。
这样就保证了每个IPSec Client终端能够根据自身的MAC地址映射出唯一且合法的VPN IP地址。
如图5所示,是本发明所述方法中IPSec Client生成VPN IP地址的第二实施例流程图;本实施例中,IPSec Client采用自身出厂时的ID经预设的算法映射生成唯一且合法的VPN IP地址;假设IPSec Client出厂时的四字节ID为W:X:Y:Z,W、X、Y、Z为小于等于0xff的整数。该方法具体包括如下步骤:
S501:配置四个不相同的网段地址前缀,分别为NET1,NET2,NET3,NET4;
S502:IPSec Client判断上述W是否为0x00,若是,则执行S503;否则,执行S508;
S503:判断上述Z是否为0xff,若是,则执行S504;否则,执行S505;
S504:生成值为NET1.X.Y.2的VPM Ip地址,结束;
S505:判断上述Z是否为0x00,若是,则执行S506;否则,执行S507;
S506:生成值为NET1.X.Y.3的VPM IP地址,结束;
S507:生成值为NET2.X.Y.Z的VPM IP地址,结束;
S508:判断上述Z是否为0xff,若是,则执行S509;否则,执行S510;
S509:生成值为NET3.X.Y.2的VPM IP地址,结束;
S510:判断上述Z是否为0x00,若是,则执行S511;否则,执行S512;
S511:生成值为NET3.X.Y.3的VPM IP地址,结束;
S512:生成值为NET4.X.Y.Z的VPM IP地址,结束。
这样也可以保证每个IPSec Client能够根据ID映射成唯一且合法的VPNIP的。
本发明对预设的算法没有特殊要求,可以任意选择,只要其能够将IPSecClient的MAC地址或者ID映射生成唯一且合法的VPN IP地址即可。
基于上述方法,以图1所述网络为例,假设终端2和终端3分别通过各自预设的算法映射生成的VPN IP地址为18.18.18.2和18.18.18.3,且协商成功后进行数据交互,此时,在图1中的A、B、C、D点同时使用网络分析工具抓取报文并进行分析,各点的IP头部信息如表2所示:
表2
Figure GSB00001100271400061
Figure GSB00001100271400071
由表2可以看出,终端1回复给终端2和终端3的IP报文在D点时目的地址不同,分别是终端2和终端3的VPN IP地址,报文抵达安全网关时,安全网关根据目的地址可以区分该报文是发往终端2还是终端3的,安全网关同时可以以目的地址为索引,在SA列表里正确的找到对应的SA,根据SA的相关信息将报文加密,发送给正确的终端。
如图6所示,是本发明所述IPSec Client第一实施例原理框图,用于实现上述方法,包括:地址生成模块100和地址替换模块200,
地址生成模块100,用于生成唯一且合法的VPN IP地址;
地址替换模块200,用于将UDP封装的ESP隧道模式报文的Original IPHeader中的IPSec Client真实IP地址替换为上述地址生成模块100生成的VPNIP地址。
如图7所示,是本发明所述IPSec Client第二实施例原理框图,包括:地址生成模块100、地址替换模块200、配置模块300和协商消息处理模块400,
地址生成模块100,用于根据上述配置模块300中保存的算法映射生成唯一且合法的VPN IP地址;
地址替换模块200,用于将UDP封装的ESP隧道模式报文的Original IPHeader中的IPSec Client真实IP地址替换为上述地址生成模块100生成的VPNIP地址;
配置模块300,用于为用户提供配置生成VPN IP地址的算法的接口,并保存用户设置的算法;
协商消息处理模块400,用于将Quick Mode协商时的第一条消息的SAi中的发起者IP地址替换为上述地址生成模块100生成的VPN IP地址;并将上述第一条消息的IDi载荷的标识填写为上述地址生成模块100生成的VPNIP地址。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (5)

1.一种解决因特网协议安全性客户端地址冲突的方法,其特征在于,因特网协议安全性客户端IPSec Client需要与因特网协议安全性IPSec网络中的因特网协议安全性服务器IPSec Server进行数据交互时,自动生成唯一且合法的虚拟专用网络VPN因特网协议IP地址,将用于与所述IPSec Server进行快速模式Quick Mode协商的第一条消息的发起者安全联盟SAi中的发起者IP地址替换为所述生成的VPN IP地址;并将所述第一条消息的发起者身份标识IDi载荷的标识填写为所述生成的VPN IP地址与所述IPSec Server进行协商,协商成功后用生成的所述VPN IP地址取代用户数据报协议UDP封装的封装安全有效载荷ESP隧道模式报文中原始IP报文头部Original IP Header内所述IPSecClient终端的真实IP地址。
2.如权利要求1所述方法,其特征在于,所述IPSec Client利用本地介质访问控制MAC地址通过预设的算法映射生成唯一且合法的VPN IP地址。
3.如权利要求1所述方法,其特征在于,所述IPSec Client利用自身的身份标识号码ID通过预设的算法映射生成唯一且合法的VPN IP地址。
4.一种因特网协议安全性客户端,其特征在于,所述因特网协议安全性客户端IPSec Client包括地址生成模块、协商消息处理模块和地址替换模块,
所述地址生成模块,用于生成唯一且合法的虚拟专用网络VPN因特网协议IP地址;
所述协商消息处理模块,用于将用于与所述IPSec Server进行快速模式Quick Mode协商的第一条消息的发起者安全联盟SAi中的发起者IP地址替换为所述生成的VPN IP地址;并将所述第一条消息的发起者身份标识IDi载荷的标识填写为所述生成的VPN IP地址与所述IPSec Server进行协商;
所述地址替换模块,用于协商成功后将用户数据报协议UDP封装的封装安全有效载荷ESP隧道模式报文中原始IP报文头部Original IP Header内IPSecClient的真实IP地址替换为所述地址生成模块生成的VPN IP地址。
5.如权利要求4所述的IPSec Client,其特征在于,所述IPSec Client还包括配置模块,用于为用户提供配置生成VPN IP地址的算法的接口,并保存用户设置的算法。
CN200910188713.4A 2009-12-03 2009-12-03 一种解决因特网协议安全性客户端地址冲突的方法及客户端 Expired - Fee Related CN102088438B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN200910188713.4A CN102088438B (zh) 2009-12-03 2009-12-03 一种解决因特网协议安全性客户端地址冲突的方法及客户端
PCT/CN2010/071240 WO2010148680A1 (zh) 2009-12-03 2010-03-23 一种解决IPSec Client地址冲突的方法及装置
HK11112629.1A HK1158408A1 (en) 2009-12-03 2011-11-22 Method and ipsec client for solving internet protocol security client address conflict

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200910188713.4A CN102088438B (zh) 2009-12-03 2009-12-03 一种解决因特网协议安全性客户端地址冲突的方法及客户端

Publications (2)

Publication Number Publication Date
CN102088438A CN102088438A (zh) 2011-06-08
CN102088438B true CN102088438B (zh) 2013-11-06

Family

ID=43385902

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910188713.4A Expired - Fee Related CN102088438B (zh) 2009-12-03 2009-12-03 一种解决因特网协议安全性客户端地址冲突的方法及客户端

Country Status (3)

Country Link
CN (1) CN102088438B (zh)
HK (1) HK1158408A1 (zh)
WO (1) WO2010148680A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067290B (zh) * 2012-11-30 2016-06-01 成都卫士通信息产业股份有限公司 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法
CN104426735B (zh) * 2013-08-30 2018-06-26 中国移动通信集团公司 一种建立虚拟专用网络连接的方法及装置
CN104410982B (zh) * 2014-11-19 2017-11-14 南京邮电大学 一种无线异构网络中终端聚合与重构方法
CN106060190B (zh) * 2016-07-25 2021-04-30 新华三技术有限公司 一种ip地址冲突的处理方法及装置
CN108551496B (zh) * 2018-07-26 2021-03-02 杭州云缔盟科技有限公司 一种防止vpn客户端地址与本地地址冲突的解决方法
CN109525478B (zh) * 2018-12-17 2021-08-24 杭州迪普科技股份有限公司 一种ssl vpn连接方法及装置
CN109617922B (zh) * 2019-01-24 2021-04-27 杭州迪普科技股份有限公司 Vpn保护网段冲突的处理方法、装置、电子设备
CN111147382B (zh) * 2019-12-31 2021-09-21 杭州迪普科技股份有限公司 报文转发方法和装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1571360A (zh) * 2003-07-18 2005-01-26 华为技术有限公司 站内自动隧道的实现方法
CN1744565A (zh) * 2005-09-22 2006-03-08 武汉思为同飞网络技术有限公司 一种解决vpn子网地址冲突的系统和方法
CN1762140A (zh) * 2003-03-27 2006-04-19 摩托罗拉公司 专用网络和漫游移动终端之间的通信
CN1874343A (zh) * 2005-06-03 2006-12-06 华为技术有限公司 IPSec安全联盟的创建方法
CN1893391A (zh) * 2005-07-05 2007-01-10 华为技术有限公司 一种支持网络层安全穿越网络地址转换的方法
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
US7386881B2 (en) * 2003-01-21 2008-06-10 Swander Brian D Method for mapping security associations to clients operating behind a network address translation device
CN101222412A (zh) * 2008-01-23 2008-07-16 华为技术有限公司 网络地址转换穿越方法和系统
CN101499965A (zh) * 2008-02-29 2009-08-05 沈建军 一种基于IPSec安全关联的网络报文路由转发和地址转换方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
CN101762140A (zh) * 2010-01-21 2010-06-30 成都崇安科技有限公司 节能耐用的脱水甩干离心机

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7386881B2 (en) * 2003-01-21 2008-06-10 Swander Brian D Method for mapping security associations to clients operating behind a network address translation device
CN1762140A (zh) * 2003-03-27 2006-04-19 摩托罗拉公司 专用网络和漫游移动终端之间的通信
CN1571360A (zh) * 2003-07-18 2005-01-26 华为技术有限公司 站内自动隧道的实现方法
CN1874343A (zh) * 2005-06-03 2006-12-06 华为技术有限公司 IPSec安全联盟的创建方法
CN1893391A (zh) * 2005-07-05 2007-01-10 华为技术有限公司 一种支持网络层安全穿越网络地址转换的方法
CN1744565A (zh) * 2005-09-22 2006-03-08 武汉思为同飞网络技术有限公司 一种解决vpn子网地址冲突的系统和方法
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
CN101222412A (zh) * 2008-01-23 2008-07-16 华为技术有限公司 网络地址转换穿越方法和系统
CN101499965A (zh) * 2008-02-29 2009-08-05 沈建军 一种基于IPSec安全关联的网络报文路由转发和地址转换方法

Also Published As

Publication number Publication date
WO2010148680A1 (zh) 2010-12-29
HK1158408A1 (en) 2012-07-13
CN102088438A (zh) 2011-06-08

Similar Documents

Publication Publication Date Title
CN102088438B (zh) 一种解决因特网协议安全性客户端地址冲突的方法及客户端
CN104272674B (zh) 多隧道虚拟专用网络
US8805977B2 (en) Method and system for address conflict resolution
US7386881B2 (en) Method for mapping security associations to clients operating behind a network address translation device
US20150358293A1 (en) Systems And Methods For Application-Specific Access to Virtual Private Networks
CN108769292B (zh) 报文数据处理方法及装置
US20170126623A1 (en) Protected Subnet Interconnect
BRPI0607516B1 (pt) Método para impedir fontes duplicadas em um protocolo de rede
US10341286B2 (en) Methods and systems for updating domain name service (DNS) resource records
CN103188351A (zh) IPv6 环境下IPSec VPN 通信业务处理方法与系统
CN114024741B (zh) 请求处理方法、装置、流量代理端、设备及可读存储介质
AU2012225808A1 (en) IPsec connection to private networks
KR20040035902A (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
US20230336529A1 (en) Enhanced privacy preserving access to a vpn service
US7254835B2 (en) Method and apparatus for conveying a security context in addressing information
CN112887187A (zh) 一种设备间通信建立方法、系统、装置、设备及介质
JP6990647B2 (ja) ReNAT通信環境を提供するシステム及び方法
CN105323138A (zh) 私有云端路由服务器及智能型装置客户端架构
JP2019050628A5 (zh)
US20150381387A1 (en) System and Method for Facilitating Communication between Multiple Networks
Hirschler et al. Internet protocol security and power line communication
JP2006196996A (ja) 通信システム及び通信方法
JP5893546B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
US11888840B2 (en) Apparatus and method for selection and transmission of server certificate

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1158408

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: GR

Ref document number: 1158408

Country of ref document: HK

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20131106

Termination date: 20191203

CF01 Termination of patent right due to non-payment of annual fee