CN102231702A - 一种跨公共网络的标识网络间的端到端的通信方法和系统 - Google Patents
一种跨公共网络的标识网络间的端到端的通信方法和系统 Download PDFInfo
- Publication number
- CN102231702A CN102231702A CN2011101719403A CN201110171940A CN102231702A CN 102231702 A CN102231702 A CN 102231702A CN 2011101719403 A CN2011101719403 A CN 2011101719403A CN 201110171940 A CN201110171940 A CN 201110171940A CN 102231702 A CN102231702 A CN 102231702A
- Authority
- CN
- China
- Prior art keywords
- message
- gateway
- sign
- outer net
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种跨公共网络的标识网络间的端到端的通信方法和系统,标识网络包括网关和端系统,网关包括网关内网和网关外网。则该方法包括接收网关外网发送的携带有目的端系统的标识的端到端通信报文;若从预先存储的访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的允许被访问的端系统的标识,且获取到与源端系统的标识匹配的允许访问其他标识网络的端系统的标识,则从该规则中获取与目的端系统标识对应的目的网关外网的IP地址;对端到端通信报文进行封装处理,获取并发送第一IP报文给目的网关外网的IP地址对应的目的网关外网,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,目的地址为目的网关外网的IP地址。
Description
技术领域
本发明实施例涉及计算机网络技术,尤其涉及一种跨公共网络的标识网络间的端到端的通信方法和系统。
背景技术
标识网络是一种实现位置/身份分离机制的网络,其通信的双方只需获知对方的身份,便可以与对方进行通信。其中,标识表示为通信身份实体。
但是,由于商业等原因,标识网络还难以大规模部署,因此,目前一种较为可行的部署方式为:是将多个小规模的标识网络通过传输控制协议(Transmission Control Protocol;简称:TCP)/网络之间互连的协议(InternetProtocol;简称:IP)协议的公共网络互连。在该模式下,需要解决跨TCP/IP网络的标识网络间端到端通信问题。目前主要通过隧道模式实现跨不同协议网络间通信,具体的,隧道模式通过在私有协议报文外面封装其他网络协议的报文头方式,实现跨公关网络的私有协议网络之间的通信,并能保证通信过程的安全。
但目前存在的问题是:隧道模式对跨公关网络的私有协议网络之间的端到端通信过程不可控制,即存在跨公共网络的不同私有协议网络之间的网络攻击的威胁。另外,由于标识网络采用位置/身份分离的通信模式,与现有的IP通信模式并不相同,简单的IP隧道难以解决问题,因此,现有技术中还没有方法实现对于该部署下的如何跨TCP/IP协议的公共网络的标识网络间端到端的安全可控的通信。
发明内容
本发明实施例提供一种跨公共网络的标识网络间的端到端的通信方法和系统,用以实现跨公网网络的标识网络间端到端的安全可控的通信。
本发明实施例提供一种跨公共网络的标识网络间的端到端的通信方法,其中,所述标识网络包括网关和端系统,所述网关包括网关内网和网关外网,则所述方法包括:
所述网关外网接收所述网关内网发送的端到端通信报文,所述端到端通信报文包括源端系统的标识和目的端系统的标识;
所述网关外网查询预先存储的访问控制规则表,若从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,且获取到与所述源端系统的标识匹配的第二端系统的标识时,则从所述访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的IP地址,所述访问控制规则表包括所述网关外网的访问控制规则和其他网关外网的访问控制规则,所述第一端系统的标识为允许被访问的端系统的标识,所述第二端系统的标识为允许访问其他标识网络的端系统的标识;
所述网关外网对所述端到端通信报文进行封装处理,获取第一IP报文,所述第一IP报文的IP报文头部中的源地址为所述网关外网的IP地址,所述IP报文头部中的目的地址为所述目的网关外网的IP地址;
所述网关外网发送所述第一IP报文到所述目的地址对应的目的网关外网。
本发明实施例提供一种跨公共网络的标识网络间的端到端的通信系统,包括网关,所述网关包括网关内网和网关外网,其中,
所述网关内网,用于接收与端系统直连的路由交换机转发的端到端通信报文;并将所述端到端通信报文发送给所述网关外网;所述端到端通信报文包括源端系统的标识和目的端系统的标识;
所述网关外网包括:
报文摆渡模块,用于接收所述端到端的通信报文;
查询获取模块,用于查询预先存储的访问控制规则表,若从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,且获取到与所述源端系统的标识匹配的第二端系统的标识时,则从所述访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的IP地址,所述访问控制规则表包括所述网关外网的访问控制规则和其他网关外网的访问控制规则,所述第一端系统的标识为允许被访问的端系统的标识,所述第二端系统的标识为允许访问其他标识网络的端系统的标识;
报文处理模块,用于对所述端到端的通信报文进行封装处理,获取第一IP报文,所述第一IP报文的IP报文头部中的源地址为所述网关外网的IP地址,所述IP报文头部中的目的地址为所述目的网关外网的IP地址;
报文收发模块,用于发送所述第一IP报文到所述目的地址对应的目的网关外网。
本发明实施例的跨公共网络的标识网络间的端到端的通信方法和系统,通过接收网关内网发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识;查询预先存储的访问控制规则表,若从该访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且获取到与源端系统的标识匹配的第二端系统的标识时,则从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址,其中,第一端系统的标识为允许被访问的端系统的标识,第二端系统的标识为允许访问其他标识网络的端系统的标识;再对端到端通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;发送第一IP报文到目的地址对应的目的网关外网,从而实现了跨公网网络的标识网络间端到端的安全可控的通信。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明端到端的通信方法所基于标识网络的网络架构的结构示意图;
图2为本发明跨公共网络的标识网络间的端到端的通信方法的一个实施例的流程图;
图3为本发明跨公共网络的标识网络间的端到端的通信方法的另一个实施例的流程图;
图4为本发明跨公共网络的标识网络间的端到端的通信系统的一个实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明端到端的通信方法所基于标识网络的网络架构的结构示意图,图2为本发明跨公共网络的标识网络间的端到端的通信方法的一个实施例的流程图,如图1所示,标识网络包括网关11、端系统12(端系统的数量可以为多个)和路由交换机13(路由交换机的数量也可以为多个),该网关11包括网关内网111和网关外网112,则如图2所示,本实施例的方法包括:
步骤101、网关外网112接收网关内网111发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识。
在本实施例中,标识网络中的路由交换机13可以与端系统12直连,且每个路由交换机13上配置有本标识网络中的端系统的标识。当标识网络中的一个端系统12发送端到端通信报文给与该端系统12直连的路由交换机13时,路由交换机13在接收到该端到端通信报文后,判断端到端通信报文中的目的端系统标识是否是本标识网络中的其他端系统的标识,如果不是,则将该端到端通信报文转发给网关内网111。网关内网111再将该端到端通信报文摆渡到网关外网112。需要说明的是,本实施例中的端到端通信报文还包括源端系统的标识,其中,该源端系统即为端系统12。
步骤102、网关外网112查询预先存储的访问控制规则表,若从该访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且获取到与源端系统的标识匹配的第二端系统的标识时,则从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址。
在本实施例中,网关外网112上可以配置有访问控制规则表,该访问控制规则表中包括本网关11的访问控制规则和其他网关外网的访问控制规则,本网关11的访问控制规则包括本网关外网112的IP地址和第一端系统的标识。其他网关外网的访问控制规则包括其他网关外网的IP地址和第一端系统的标识;具体的,第一端系统的标识为其他网关中允许被访问的端系统的标识。另外,本网关11的访问控制规则和其他网关外网的访问控制规则还包括第二端系统的标识,该第二端系统的标识为允许访问其他标识网络中的端系统的标识。
另外,网关外网112还可以将该本网关11的访问控制规则发送给其他网关外网,其具体的实现方式可以为:首先,多个标识网络的网关外网可以构成一个地址环,在地址环上的每个网关外网可以被配置一个环上地址,具体的,可以使用特定的哈希函数(例如:SHA-1哈希算法)将本网关外网112的IP地址哈希成环上地址,再将网关外网112记录的与之相邻的网关外网的IP地址哈希成环上地址,并将与之相邻网关外网的IP地址和其对应的环上地址的映射关系保存在该网关外网112的相邻地址表中。
然后,网关外网112将本网关11的访问控制规则中的第一端系统的标识作为键值,再使用特定的哈希函数计算出可以存储该访问控制规则的网关外网所在的环上地址,并发送携带有该本网关外网112的访问控制规则的报文给相邻地址表上距离环上地址最近的网关外网。
还需要说明的是,其他网关外网发送携带有的访问控制规则的报文给网关外网112的方式与上述网关外网112发送携带有的访问控制规则表的报文给其他网关的方式相同,此处不再赘述。
步骤103、网关外网112对端到端的通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网112的IP地址,该IP报文头部中的目的地址为目的网关外网的IP地址。
步骤104、网关外网112发送该第一IP报文到该目的地址对应的目的网关外网。
在本实施例中,网关外网112从内外网隔离接口接收到端到端通信报文后,需要将该端到端通信报文进行封装处理,获取第一IP报文,具体的,即在端到端通信报文基础上添加一个IP报文头部,以用于在公共网络(例如:TCP/IP网络)中传输,更为具体的,该IP报文头部中的源地址是本网关外网112的IP地址,目的地址是该目的端系统所在的标识网络中的网关外网的IP地址,即从控制规则表中获取的与目的端系统对应的目的网关外网的IP地址。然后将该第一IP报文发送给该目的网关外网。
在本实施例中,通过接收网关内网发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识;查询预先存储的访问控制规则表,若从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且获取到与源端系统的标识匹配的第二端系统的标识时,则从访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址;再对端到端通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;发送第一IP报文到目的地址对应的目的网关外网,从而实现了跨公网网络的标识网络间端到端的安全可控的通信。
图3为本发明跨公共网络的标识网络间的端到端的通信方法的另一个实施例的流程图,在上述图2所示的网络架构示意图的基础上,如图3所示,本实施例的方法包括:
步骤201、网关外网112接收网关内网111发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识。
在本实施例中,步骤201的实现方式与图1所示的步骤101的实现方式相类似,此处不再赘述。
步骤202、网关外网112查询预先存储的访问控制规则表,判断是否从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识;若获取到与目的端系统的标识匹配的第一端系统的标识,则执行步骤203;若没有获取到与目的端系统的标识匹配的第一端系统的标识,则执行步骤207。
需要说明的是,第一端系统的标识为允许被访问的端系统的标识。
步骤203、判断是否从该访问控制规则中获取到与源端系统的标识匹配的第二端系统的标识,若获取到与源端系统的标识匹配的第二端系统的标识,则执行步骤204;若没有获取到与源端系统的标识匹配的第二端系统的标识,则执行步骤210。
步骤204、网关外网112从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址。
步骤205、网关外网112对端到端的通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网111的IP地址,该IP报文头部中的目的地址为目的网关外网的IP地址。
步骤206、网关外网112发送该第一IP报文到该目的IP地址对应的目的网关外网;结束。
步骤207、网关外网112生成第一查询报文,并发送该第一查询报文给预设相邻表上距离环上地址最近的其他网关外网,该第一查询报文包括目的端系统的标识。
步骤208、网关外网112判断是否在预设的时间内,接收到其他网关外网返回的第一查询应答报文:若在预设的时间内,接收到第一查询应答报文,则执行步骤209;若没有在预设的时间内,接收到第一查询应答报文,则执行步骤210。
步骤209、网关外网112获取第一查询应答报文中的其他网关外网的访问控制规则,并执行步骤204。
步骤210、网关外网112丢弃该端到端通信报文。
需要说明的是,该其他网关外网的访问控制规则中包括该目的端系统的标识。
在本实施例中,通过接收网关内网发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识;查询预先存储的访问控制规则表,判断是否从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,若获取到,且从该访问控制规则中获取到与源端系统的标识匹配的第二端系统的标识时,则从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址;若没有从该访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,则生成第一查询报文,并发送给其他网关外网,并从获取的其他网关外网的访问控制规则中,获取与目的端系统的标识对应的目的网关外网的IP地址;再对端到端通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;发送第一IP报文到目的地址对应的目的网关外网,从而实现了跨公网网络的标识网络间端到端的安全可控的通信。
进一步的,在本发明的又一个实施例中,该方法还可以包括:
网关外网112接收其他网关发送的第二查询报文;
网关外网112判断第二查询报文中的源地址是否为网关外网的IP地址;
若不是,则网关外网112查询网关11的访问控制规则中是否存在于第二查询报文中的目的端系统的标识匹配的允许访问的端系统的标识,且是否存在与第二查询报文中的源端系统的标识匹配的允许访问其他标识网络端系统的标识;
若均存在,则网关外网112将网关11的访问控制规则携带在第二查询应答报文中,并将第二查询应答报文的目的地址设置为第二查询报文中的源地址,并将第二查询应答报文返回给与第二查询应答报文的目的地址对应的网关外网。
在本实施例中,当网关外网112接收到第二查询报文时,首先根据该第二查询报文中的源地址是否为本网关外网112的IP地址,即判断是否是自身之前发送的查询报文,如果是,则丢弃该第二查询报文;若不是,则查询网关11的访问控制规则中是否存在于第二查询报文中的目的端系统的标识匹配的允许访问的端系统的标识,如果存在,则发送携带有网关11的访问控制规则的第二查询应答报文;如果不存在,则将第二查询报文中的目的端系统作为键值,使用特定的哈希函数,计算出可能存储有该目的端系统的标识的环上地址,并将该第二查询报文发送给相邻地址表上距离环上地址最近的其他网关外网,其他网关外网的处理方式与上述相同,此处不再赘述。
进一步的,在本发明的又一个实施例中,该方法还可以包括:
网关外网112接收第二IP报文;
网关外网112查询访问控制规则表,若在一条访问控制规则中存在与第二IP报文中的目的端系统的标识匹配的第一端系统的标识,且存在与第二IP报文中的源端系统的标识匹配的第二端系统的标识,则获取第二IP报文中的端到端通信报文;其中,第一端系统的标识为允许被访问的端系统的标识。
网关外网112发送第二IP报文中的端到端通信报文给网关内网111,以供网关内网111将端到端通信报文发送给与第二IP报文中的端到端通信报文中的目的端系统的标识对应的端系统。
在本实施例中,网关外网接收到第二IP报文后,可以根据该第二IP报文的目的端系统的标识,判断该第二IP报文是否为合法报文,具体的,网关外网112查询访问控制规则表,若在一条访问控制规则中存在与第二IP报文中的目的端系统的标识匹配的第一端系统的标识,且存在与第二IP报文中的源端系统的标识匹配的第二端系统的标识,则该第二IP报文为合法报文,则获取该第二IP报文中的端到端通信报文,并摆渡给网关内网111,网关内网111再将给该端到端通信报文发送给目的端系统的标识对应的目的端系统直连的路由交换机上,再由路由交换机将其转发到目的端系统上。若不存在于与第二IP报文中的端到端通信报文中的目的端系统的标识匹配的第一端系统的标识,则该报文为不合法报文,则将其丢弃。
图4为本发明跨公共网络的标识网络间的端到端的通信系统的一个实施例的结构示意图,如图4所示,本系统包括:网关21,该网关21包括网关内网211和网关外网212。其中,网关外网212包括:报文摆渡模块2121、查询获取模块2122、报文处理模块2123和报文收发模块2124。
具体的,网关内网211用于接收与端系统直连的路由交换机转发的端到端通信报文;并将端到端通信报文发送给网关外网212;该端到端通信报文包括源端系统的标识和目的端系统的标识;报文摆渡模块2121用于接收该端到端的通信报文;查询获取模块2122用于查询预先存储的访问控制规则表,若从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且获取到与源端系统的标识匹配的第二端系统的标识时,则从访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址,该访问控制规则表包括网关外网的访问控制规则和其他网关外网的访问控制规则,第一端系统的标识为允许被访问的端系统的标识,第二端系统的标识为允许访问其他标识网络的端系统的标识;报文处理模块2123用于对该端到端的通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;报文收发模块2124用于发送该第一IP报文到所述目的地址对应的目的网关外网。
本实施例的跨公共网络的标识网络间的端到端的通信系统可以执行图2所示的方法实施例的技术方案,其原理相类似,此处不再赘述。
在本实施例中,通过接收网关内网发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识;查询预先存储的访问控制规则表,若从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且获取到与源端系统的标识匹配的第二端系统的标识时,则从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址;再对端到端通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;发送第一IP报文到目的地址对应的目的网关外网,从而实现了跨公网网络的标识网络间端到端的安全可控的通信。
进一步的,在本发明的另一个实施例中,查询获取模块2122用于若没有获取到与目的端系统的标识匹配的第一端系统的标识,则生成第一查询报文,并通过报文收发模块2124发送该第一查询报文给预设相邻表上距离环上地址最近的其他网关外网;该第一查询报文包括目的端系统的标识;若在预设的时间内,报文收发模块2124接收到其他网关外网返回的第一查询应答报文,该第一查询应答报文包括与目的端系统的标识匹配的其他网关访问控制规则,则从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址。
另外,若在预设的时间内,报文收发模块2124没有接收到其他网关外网返回的第一查询应答报文,则报文处理模块2123丢弃该端到端通信报文。
需要说明的是,报文处理模块2123还用于若查询获取模块2122从该访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,且没有获取到与源端系统的标识匹配的第二端系统的标识,则丢弃该端到端的通信报文。
本实施例的跨公共网络的标识网络间的端到端的通信系统可以执行图3所示的方法实施例的技术方案,其原理相类似,此处不再赘述。
在本实施例中,通过接收网关内网发送的端到端通信报文,该端到端通信报文包括源端系统的标识和目的端系统的标识;查询预先存储的访问控制规则表,判断是否从访问控制规则表中的一条访问控制规则中获取到与目的端系统的标识匹配的第一端系统的标识,若获取到,则判断是否从该访问控制规则中获取到与源端系统的标识匹配的第二端系统的标识,且在判断出获取到与源端系统的标识匹配的第二端系统的标识时,从该访问控制规则中获取与目的端系统的标识对应的目的网关外网的IP地址;若没有获取到与目的端系统的标识匹配的第一端系统的标识,则生成第一查询报文,并发送给其他网关外网,并从获取的其他网关外网的访问控制规则中,获取与目的端系统的标识对应的目的网关外网的IP地址;再对该端到端通信报文进行封装处理,获取第一IP报文,该第一IP报文的IP报文头部中的源地址为网关外网的IP地址,该IP报文头部中的目的地址为目的网关外网IP地址;发送第一IP报文到目的地址对应的目的网关外网,从而实现了跨公网网络的标识网络间端到端的安全可控的通信。
更进一步的,在本发明的又一个实施例中,该报文收发模块2124还用于接收其他网关发送的第二查询报文,则该系统还可以包括判断模块和查询模块;其中,判断模块用于判断第二查询报文中的源IP地址是否为网关外网212的IP地址;查询模块用于判断模块判断出不是时,则查询网关21的访问控制规则中是否存在与第二查询报文中的目的端系统的标识匹配的允许被访问的端系统的标识,且是否存在与第二查询报文中的源端系统的标识匹配的允许访问其他标识网络端系统的标识;若均存在,则报文收发模块2124将网关21外网的访问控制规则携带在第二查询应答报文中,并将第二查询应答报文的目的地址设置为第二查询报文中的源地址,并将第二查询应答报文返回给与第二查询应答报文的目的地址对应的网关外网。
更进一步的,在本发明的又一个实施例中,该报文收发模块2124还用于接收第二IP报文;则报文处理模块2123还用于查询访问控制规则表,若在一条访问控制规则中存在与第二IP报文中的目的端系统的标识匹配的第一端系统的标识,且存在与第二IP报文中的源端系统的标识匹配的第二端系统的标识时,则获取第二IP报文中的端到端通信报文;报文摆渡模块2121还用于发送该第二IP报文中的端到端通信报文给网关内网211,以供网关内网211将端到端通信报文发送给与第二IP报文中的端到端通信报文中的目的端系统的标识对应的端系统。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种跨公共网络的标识网络间的端到端的通信方法,其特征在于,所述标识网络包括网关和端系统,所述网关包括网关内网和网关外网,则所述方法包括:
所述网关外网接收所述网关内网发送的端到端通信报文,所述端到端通信报文包括源端系统的标识和目的端系统的标识;
所述网关外网查询预先存储的访问控制规则表,若从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,且获取到与所述源端系统的标识匹配的第二端系统的标识时,则从所述访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的互联网协议地址,所述访问控制规则表包括所述网关外网的访问控制规则和其他网关外网的访问控制规则,所述第一端系统的标识为允许被访问的端系统的标识,所述第二端系统的标识为允许访问其他标识网络的端系统的标识;
所述网关外网对所述端到端通信报文进行封装处理,获取第一互联网协议报文,所述第一互联网协议报文的报文头部中的源地址为所述网关外网的互联网协议地址,所述互联网协议报文头部中的目的地址为所述目的网关外网的互联网协议地址;
所述网关外网发送所述第一互联网协议报文到所述目的地址对应的目的网关外网。
2.根据权利要求1所述的跨公共网络的标识网络间的端到端的通信方法,其特征在于,还包括:
所述网关外网若没有从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,则生成第一查询报文,并发送所述第一查询报文给预设相邻表上距离环上地址最近的其他网关外网;所述第一查询报文包括所述目的端系统的标识;
所述网关外网若在预设的时间内,接收到所述其他网关外网返回的第一查询应答报文,所述第一查询应答报文包括与所述目的端系统的标识匹配的其他网关外网访问控制规则,则从所述其他网关外网访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的互联网协议地址。
3.根据权利要求2所述的跨公共网络的标识网络间的端到端的通信方法,其特征在于,还包括:
所述网关外网若在预设的时间内,没有接收到所述其他网关外网返回的第一查询应答报文,则丢弃所述端到端通信报文。
4.根据权利要求1所述的跨公共网络的标识网络间的端到端的通信方法,其特征在于,还包括:
所述网关外网接收所述其他网关发送的第二查询报文;
所述网关外网判断所述第二查询报文中的源地址是否为所述网关外网的互联网协议地址;
若不是,则所述网关外网查询所述网关外网的访问控制规则中是否存在与所述第二查询报文中的目的端系统的标识匹配的允许被访问的端系统的标识,且是否存在与所述第二查询报文中的源端系统的标识匹配的允许访问其他标识网络端系统的标识;
若均存在,则所述网关外网将所述网关外网的访问控制规则携带在第二查询应答报文中,并将所述第二查询应答报文的目的地址设置为所述第二查询报文中的源地址,并将所述第二查询应答报文返回给与所述第二查询应答报文的目的地址对应的网关外网。
5.根据权利要求1所述的跨公共网络的标识网络间的端到端的通信方法,其特征在于,还包括:
所述网关外网接收第二互联网协议报文;
所述网关外网查询所述访问控制规则表,若在一条访问控制规则中存在与所述第二互联网协议报文中的目的端系统的标识匹配的第一端系统的标识,且存在与所述第二互联网协议报文中的源端系统的标识匹配的第二端系统的标识时,则获取所述第二互联网协议报文中的端到端通信报文;
所述网关外网发送所述第二互联网协议报文中的端到端通信报文给所述网关内网,以供所述网关内网将所述端到端通信报文发送给与所述第二互联网协议报文中的端到端通信报文中的目的端系统的标识对应的端系统。
6.一种跨公共网络的标识网络间的端到端的通信系统,其特征在于,包括网关,所述网关包括网关内网和网关外网,其中,
所述网关内网,用于接收与端系统直连的路由交换机转发的端到端通信报文;并将所述端到端通信报文发送给所述网关外网;所述端到端通信报文包括源端系统的标识和目的端系统的标识;
所述网关外网包括:
报文摆渡模块,用于接收所述端到端的通信报文;
查询获取模块,用于查询预先存储的访问控制规则表,若从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,且获取到与所述源端系统的标识匹配的第二端系统的标识时,则从访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的互联网协议地址,所述访问控制规则表包括所述网关外网的访问控制规则和其他网关外网的访问控制规则,所述第一端系统的标识为允许被访问的端系统的标识,所述第二端系统的标识为允许访问其他标识网络的端系统的标识;
报文处理模块,用于对所述端到端的通信报文进行封装处理,获取第一互联网协议报文,所述第一互联网协议报文的互联网协议报文头部中的源地址为所述网关外网的互联网协议地址,所述互联网协议报文头部中的目的地址为所述目的网关外网的互联网协议地址;
报文收发模块,用于发送所述第一互联网协议报文到所述目的地址对应的目的网关外网。
7.根据权利要求6所述的跨公共网络的标识网络间的端到端的通信系统,其特征在于,所述查询获取模块用于若没有从所述访问控制规则表中的一条访问控制规则中获取到与所述目的端系统的标识匹配的第一端系统的标识,则生成第一查询报文,并通过所述报文收发模块发送所述第一查询报文给预设相邻表上距离环上地址最近的其他网关外网;所述第一查询报文包括所述目的端系统的标识;若在预设的时间内,所述报文收发模块接收到所述其他网关外网返回的第一查询应答报文,所述第一查询应答报文包括与所述目的端系统的标识匹配的其他网关外网访问控制规则,则从所述其他网关外网访问控制规则中获取与所述目的端系统的标识对应的目的网关外网的互联网协议地址。
8.根据权利要求7所述的跨公共网络的标识网络间的端到端的通信系统,其特征在于,所述报文收发模块若在预定的时间内,没有接收到所述其他网关外网返回的第一查询应答报文,则报文处理模块丢弃所述端到端通信报文。
9.根据权利要求8所述的跨公共网络的标识网络间的端到端的通信系统,其特征在于,
所述报文收发模块还用于接收所述其他网关发送的第二查询报文;
则所述端到端的通信系统还包括:
判断模块,用于判断所述第二查询报文中的源地址是否为所述网关外网的互联网协议地址;
查询模块,用于所述判断模块判断出不是时,则查询所述网关外网的访问控制规则中是否存在与所述第二查询报文中的目的端系统的标识匹配的允许被访问的端系统的标识,且是否存在与所述第二查询报文中的源端系统的标识匹配的允许访问其他标识网络端系统的标识;
所述报文收发模块还用于若所述查询模块查询出存在与所述第二查询报文中的目的端系统的标识匹配的允许被访问的端系统的标识,且存在与所述第二查询报文中的源端系统的标识匹配的允许访问其他标识网络端系统的标识时,则将所述网关外网的访问控制规则携带在第二查询应答报文中,并将所述第二查询应答报文的目的地址设置为所述第二查询报文中的源地址,并将所述第二查询应答报文返回给与所述第二查询应答报文的目的地址对应的网关外网。
10.根据权利要求6所述的跨公共网络的标识网络间的端到端的通信系统,其特征在于,
所述报文收发模块,还用于接收第二互联网协议报文;
所述报文处理模块还用于查询所述访问控制规则表,若在一条访问控制规则中存在与所述第二互联网协议报文中的目的端系统的标识匹配的允许被访问的端系统的标识,且存在与所述第二互联网协议报文中的源端系统的标识匹配的允许访问其他标识网络的端系统的标识时,则获取所述第二互联网协议报文中的端到端通信报文;
所述报文摆渡模块还用于发送所述第二互联网协议报文中的端到端通信报文给所述网关内网,以供所述网关内网将所述端到端通信报文发送给与所述第二互联网协议报文中的端到端通信报文的目的端系统的标识对应的端系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110171940.3A CN102231702B (zh) | 2011-06-23 | 2011-06-23 | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110171940.3A CN102231702B (zh) | 2011-06-23 | 2011-06-23 | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102231702A true CN102231702A (zh) | 2011-11-02 |
| CN102231702B CN102231702B (zh) | 2014-10-22 |
Family
ID=44844240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110171940.3A Active CN102231702B (zh) | 2011-06-23 | 2011-06-23 | 一种跨公共网络的标识网络间的端到端的通信方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102231702B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108880904A (zh) * | 2018-07-05 | 2018-11-23 | 中国人民解放军国防科技大学 | 一种用户和业务属性融合的64个等级服务质量保障方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN110751800A (zh) * | 2019-10-08 | 2020-02-04 | 中兴飞流信息科技有限公司 | 一种基于视频ai智能分析的语音告警提示系统 |
| CN111741017A (zh) * | 2020-07-23 | 2020-10-02 | 平安国际智慧城市科技股份有限公司 | 内外网之间的数据传输方法及相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
-
2011
- 2011-06-23 CN CN201110171940.3A patent/CN102231702B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488904A (zh) * | 2009-02-27 | 2009-07-22 | 杭州华三通信技术有限公司 | Gre隧道穿越网络地址转换设备的方法和网络地址转换设备 |
| CN101599901A (zh) * | 2009-07-15 | 2009-12-09 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108880904A (zh) * | 2018-07-05 | 2018-11-23 | 中国人民解放军国防科技大学 | 一种用户和业务属性融合的64个等级服务质量保障方法 |
| CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
| CN110751800A (zh) * | 2019-10-08 | 2020-02-04 | 中兴飞流信息科技有限公司 | 一种基于视频ai智能分析的语音告警提示系统 |
| CN111741017A (zh) * | 2020-07-23 | 2020-10-02 | 平安国际智慧城市科技股份有限公司 | 内外网之间的数据传输方法及相关设备 |
| CN111741017B (zh) * | 2020-07-23 | 2020-12-08 | 平安国际智慧城市科技股份有限公司 | 内外网之间的数据传输方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102231702B (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| CN101465889B (zh) | 网络地址转换设备及其响应地址解析协议请求的方法 | |
| CN102859952A (zh) | 交换机和流表控制方法 | |
| EP2893719B1 (en) | Method and system for communication between machine to machine (m2m) service provider networks | |
| JP6633775B2 (ja) | パケット伝送 | |
| CN104506511A (zh) | 一种sdn网络动态目标防御系统及方法 | |
| CN101800690B (zh) | 一种使用地址池实现源地址转换的方法和装置 | |
| CN106470158B (zh) | 报文转发方法及装置 | |
| CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
| CN102948132A (zh) | 分布式虚拟网络网关 | |
| CN104243472A (zh) | 具有mac表溢出保护的网络 | |
| CN103534993A (zh) | 连接低功率网络域的标签交换路由选择 | |
| CN107819732A (zh) | 用户终端访问本地网络的方法和装置 | |
| EP3447996A1 (en) | Resource subscription method, resource subscription device, and resource subscription system | |
| CN101772193A (zh) | 一种本地路由优化的方法、系统和移动接入网关 | |
| CN103179100A (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| CN103795622A (zh) | 一种报文转发方法及其装置 | |
| CN107580079A (zh) | 一种报文传输方法和装置 | |
| CN102231702A (zh) | 一种跨公共网络的标识网络间的端到端的通信方法和系统 | |
| CN107547400B (zh) | 一种虚拟机迁移方法和装置 | |
| CN104253798A (zh) | 一种网络安全监控方法和系统 | |
| CN106161233A (zh) | 一种报文转发方法及装置 | |
| CN102037711B (zh) | 在对等网络中限制存储消息 | |
| CN110166375A (zh) | 一种报文转发方法及装置 | |
| CN104518959B (zh) | 一种设备间通信的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |