CN106027508A - 一种认证加密的数据传输方法及装置 - Google Patents
一种认证加密的数据传输方法及装置 Download PDFInfo
- Publication number
- CN106027508A CN106027508A CN201610311711.XA CN201610311711A CN106027508A CN 106027508 A CN106027508 A CN 106027508A CN 201610311711 A CN201610311711 A CN 201610311711A CN 106027508 A CN106027508 A CN 106027508A
- Authority
- CN
- China
- Prior art keywords
- l2tp
- packet
- session
- over ipsec
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种认证加密的数据传输方法及装置,用于实现在有NAT设备的网络环境中自由应用L2tp over IPSec技术,该方法包括:接收第一L2tp over IPSec数据包,第一L2tp over IPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tp over IPSec数据包;记录第一L2tp over IPSec数据包中的源端口号;对第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包;将第一L2tp数据包中的源端口号转换为第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包;对第二L2tp数据包进行L2tp解封装后发送给目标设备。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种认证加密的数据传输方法及装置。
背景技术
当前,通过公网远程访问企业的内部网络主要通过VPN(Virtual PrivateNetwork,虚拟专用网络)实现。L2tp over IPSec是VPN实现技术的一种,L2tp over IPSec是在网络传输中由L2tp(Layer 2Tunneling Protocol,第二层隧道协议)承载IPSec(Internet Protocol Security,互联网协议安全性)。IPSec是通过数据加密和数据源验证等方式来保证数据报在网络上传输时的私有性、完整性、真实性和防重放,L2TP和PPTP是二层安全接入协议,用来整合多协议拨号服务到因特网,L2TP是在隧道建立过程进行身份验证,L2tpover IPSec则在隧道建立过程中进行身份验证,并协商出加解密密钥,在通信过程中利用协商成功的密钥进行数据加密和解密,将身份认证和通信加密完美结合,具体是将数据包在进行IPSec封装前,先进行L2tp的封装,经过两次封装保护数据通信的安全,L2tp over IPSec作为一种便捷安全的远程接入解决方案,使用户可以利用随身携带的各种智能终端通过公网安全的访问内部网络。
但是,由于数据包经过两次封装,使数据包在穿越NAT(Network AddressTranslation,网络地址转换)设备时受到了较大的限制,在有NAT的网络环境中,多个用户的数据到达目的主机后,目的主机无法区分不同的用户,这使得L2TP over IPSec不能普遍推广应用。
发明内容
有鉴于此,本发明提供一种认证加密的数据传输方法及装置,以解决现有技术中在有NAT的网络环境中无法区分不同用户发送的L2TP over IPSec数据包的技术问题。
为解决上述问题,本发明提供的技术方案如下:
一种认证加密的数据传输方法,所述方法包括:
接收第一L2tp over IPSec数据包,所述第一L2tp over IPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tpover IPSec数据包;
记录所述第一L2tp over IPSec数据包中的源端口号;
对所述第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包;
将所述第一L2tp数据包中的源端口号转换为所述第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包;
对所述第二L2tp数据包进行L2tp解封装后发送给目标设备。
相应的,所述方法还包括:
建立第一会话以及第二会话,所述第一会话包括所述第一L2tp数据包的五元组信息,所述第二会话包括所述第二L2tp数据包的五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
相应的,所述方法还包括:
对从所述目标设备接收的数据包进行L2tp封装获得第三L2tp数据包;
根据所述第三L2tp数据包中的源地址与目的地址读取与所述第三L2tp数据包对应的第一会话,将所述第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包;
根据所述第四L2tp数据包中的源地址与目的地址读取与所述第四L2tp数据对应的第二会话,对所述第四L2tp数据包进行IPSec封装生成第二L2tpover IPSec数据包,所述第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号;
将所述第二L2tp over IPSec数据包发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
相应的,所述第一会话以及所述第二会话还包括接收数据的接口号。
相应的,所述将所述第二L2tp over IPSec数据包发送给所述网络地址转换设备,包括:
将所述第二L2tp over IPSec数据包沿所述接收数据的接口号代表的接口发送给所述网络地址转换设备。
一种认证加密的数据传输装置,所述装置包括:
第一接收单元,用于接收第一L2tp over IPSec数据包,所述第一L2tp overIPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tp over IPSec数据包;
记录单元,用于记录所述第一L2tp over IPSec数据包中的源端口号;
解封装单元,用于对所述第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包;
第一转换单元,用于将所述第一L2tp数据包中的源端口号转换为所述第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包;
第一发送单元,用于对所述第二L2tp数据包进行L2tp解封装后发送给目标设备。
相应的,所述装置还包括:
建立单元,用于建立第一会话以及第二会话,所述第一会话包括所述第一L2tp数据包的五元组信息,所述第二会话包括所述第二L2tp数据包的五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
相应的,所述装置还包括:
第一封装单元,用于对从所述目标设备接收的数据包进行L2tp封装获得第三L2tp数据包;
第二转换单元,用于根据所述第三L2tp数据包中的源地址与目的地址读取与所述第三L2tp数据包对应的第一会话,将所述第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包;
第二封装单元,用于根据所述第四L2tp数据包中的源地址与目的地址读取与所述第四L2tp数据对应的第二会话,对所述第四L2tp数据包进行IPSec封装生成第二L2tp over IPSec数据包,所述第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号;
第二发送单元,用于将所述第二L2tp over IPSec数据包发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
相应的,所述第一会话以及所述第二会话还包括接收数据的接口号。
相应的,所述第二发送单元具体用于:
将所述第二L2tp over IPSec数据包沿所述接收数据的接口号代表的接口发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
由此可见,本发明实施例具有如下有益效果:
本发明实施例通过记录在穿越NAT设备后的L2tp over IPSec数据包中的源端口号,将L2tp over IPSec数据包进行IPSec解封装获得L2tp数据包后,将该L2tp数据包中的源端口号转换为记录的源端口号,在进行端口转换后使由不同源地址发送给目标设备的数据包不同,从而可以在有NAT设备的网络环境中自由应用L2tp over IPSec技术。
附图说明
图1为本发明实施例应用场景的示意图;
图2为本发明实施例中认证加密的数据传输方法实施例一的流程图;
图3为本发明实施例中生成第一L2tp over IPSec数据包过程的示意图;
图4为本发明实施例中一种数据传输过程的示意图;
图5为本发明实施例中认证加密的数据传输方法实施例二的流程图;
图6为本发明实施例中另一种数据传输过程的示意图;
图7为本发明实施例中认证加密的数据传输装置实施例一的示意图;
图8为本发明实施例中认证加密的数据传输装置实施例二的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。
在现有技术中L2tp over IPSec数据包在公网传输穿越NAT设备时,将修改报文IP(Internet Protocol,网络互连协议)头中的源地址为NAT设备的地址,当多个客户端通过同一NAT设备接入时,解码获得的L2tp数据包均相同,造成接收到的数据包无法区分是由哪个客户端发送的。另外,接入到防火墙或安全网关的用户在不同地点使用的通信线路可能不同,当客户端通过多条线路接入时,响应的数据包如果查路由则可能将响应包送其它线路发送出去,而不同地址的数据在不同线路上的传输效率有所不同,会出现延迟过大或者丢包,也即在多出口的防火墙或安全网关上,数据包的来回路径不一致会导致丢包或传输延迟,因此在实际应用常常要求用户在访问防火墙或安全网关时,数据包的入接口和出接口保持一致,在现有的L2tp over IPSec技术中也无法实现按照原线路将数据包发送出去。为此,本发明实施例提出一种认证加密的数据传输方法及装置,以解决现有技术中在多出口的防火墙或安全网关上,有NAT的网络环境中无法区分不同用户发送的L2TP over IPSec数据包及数据包无法原路返回的技术问题。
参见图1所示,为本发明实施例中一可能的应用场景示意图,两台源设备PC1和PC2通过路由器与NAT设备相连,经过NAT设备后向服务器发起L2tpover IPSec连接,最终数据可以到达目标设备PC3。为便于后续实施例中的举例说明,假设其中PC1的地址为1.0.0.21,PC2的地址为1.0.0.22,PC3的地址为1.0.0.23,NAT设备的出/入接口分别为eth0和eth1,eth0的地址为1.0.0.1,eth1的地址为1.0.1.1,服务器的出/入接口分别为eth2和eth3,eth2的地址为1.0.2.1,eth3的地址为1.0.3.1。
需要说明的是,上述应用场景仅是为了便于理解本发明的精神和原理而示出,本发明的实施方式在此方面不受任何限制。相反,本发明中的实施例可以应用于适用的任何场景。
本发明实施例将从认证加密的数据传输装置角度进行描述,该认证加密的数据传输装置具体可以集成在L2tp over IPSec服务器或者网关等设备中。
参见图2所示,示出了本发明实施例中认证加密的数据传输方法实施例一,可以包括以下步骤:
步骤201:接收第一L2tp over IPSec数据包,第一L2tp over IPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tp over IPSec数据包。
源设备客户端向服务器发起访问内网资源的请求,采用L2tp over IPSec连接方式,则数据包在源设备上先进行L2tp封装,再进行IPSec封装,再经过网络地址转换NAT设备将数据包的源地址转换为NAT设备的地址,源端口号也进行转换,转换后的数据包即第一L2tp over IPSec数据包转发到达服务器。
以图1中的示例为例进行说明,参见图3所示,假设源设备为PC1,数据包在PC1上先进行L2tp封装,源地址为1.0.0.21,目的地址为服务器接收源设备数据的接口eth2的地址1.0.2.1,协议为UDP(User Datagram Protocol,用户数据报协议),源端口号与目的端口号均为L2tp封装规定的1701,图中第一行为生成的L2tp数据包;然后再进行IPSec封装,源地址与目的地址不变,协议为UDP,源端口与目的端口均为IPSec封装规定的4500,加上ESP(Encapsulate Security Payload,封装安全载荷)头,其后为L2tp数据包的源端口与目的端口以及数据的密文,图中第二行为生成的L2tp over IPSec数据包;再经过NAT设备,将源地址转换为NAT设备发出数据的接口eth1的地址1.0.1.1,源端口号由NAT设备随机变化,例如转换为4321,NAT设备会记录原始的源地址1.0.0.21与转换的源端口号4321之间的对应关系,图中第三行为经过NAT设备进行地址转换后的L2tp over IPSec数据包,即第一L2tpover IPSec数据包,服务器可以接收到该第一L2tp over IPSec数据包。
步骤202:记录第一L2tp over IPSec数据包中的源端口号。例如,图3中的源端口号4321。
步骤203:对第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包。
参见图4所示,在对第一L2tp over IPSec数据包进行IPSec解封装时,删除在进行IPSec封装时加上的源端口号与目的端口号UDP4321/4500以及ESP头,再将密文中的数据进行解密,生成第一L2tp数据包。由于不同源地址发送的L2tp over IPSec数据包在穿越NAT设备时源端口号不同,而第一L2tp over IPSec数据包中不同的源端口号4321在IPSec解封装时被删除了,则在现有技术中服务器上接收的数据包的源地址均是NAT设备的公网地址,源端口和目的端口是1701,这样服务器将无法区分不同源设备发送的数据。本实施例中预先对第一L2tp over IPSec数据包中的源端口号进行记录,在步骤204中将L2tp数据包中的源端口号转换为记录的源端口号,以区别不同源设备发送的数据。
步骤204:将第一L2tp数据包中的源端口号转换为第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包。
继续参见图4所示,将第一L2tp数据包中的源端口号1701转换为记录的端口号4321,生成第二L2tp数据包,这样实现不同源设备发送的数据包源端口号均不同,不存在数据包无法区别的问题。
步骤205:对第二L2tp数据包进行L2tp解封装后发送给目标设备。
在本发明的一些可能的实现方式中,还可以根据第一L2tp数据包的五元组建立第一会话,根据第二L2tp数据包的五元组建立第二会话,第一会话和第二会话为父子关联关系,即本发明实施例提供的加密认证的数据传输方法还可以包括建立第一会话以及第二会话,第一会话包括第一L2tp数据包的五元组信息,第二会话包括第二L2tp数据包的五元组信息,五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
另外,在本发明的一些可能的实现方式中,还可以记录接收数据的入接口的接口号,这样第一会话以及第二会话还可以包括接收数据的接口号。记录接收数据的接口号可以保证接收数据与发送响应数据时使用相同的接口,使数据包能够从原线路返回,以避免不同线路上的传输效率不同。
例如,第一会话为SourceIP:1.0.1.1DestIP:1.0.2.1protocol:UDP sport:1701dport:1701iif:eht2;第二会话为SourceIP:1.0.1.1DestIP:1.0.2.1
protocol:UDP sport:4321dport:1701iif:eht2。其中,SourceIP为源地址,DestIP为目的地址,sport为源端口号,dport为目的端口号,protocol为传输协议,iif为接口号。
参见图5所述,示出了本发明实施例中认证加密的数据传输方法实施例二,为从目标设备向源设备反馈数据的过程,可以包括以下步骤:
步骤501:对从目标设备接收的数据包进行L2tp封装获得第三L2tp数据包。
由目标设备返回的数据包还需要使用L2tp over IPSec技术经过NAT设备再发送给源设备,则首先需要进行L2tp封装。
参见图6所示,服务器上接收到的数据包首先进行L2tp封装,封装后的第三L2tp数据包源地址为服务器接收源设备数据的接口eth2的地址1.0.2.1,目的地址为NAT设备发出数据的接口eth1的地址1.0.1.1,协议为UDP,源端口号为1701,目的端口号为4321。
步骤502:根据第三L2tp数据包中的源地址与目的地址读取与第三L2tp数据包对应的第一会话,将第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包。
第三L2tp数据包匹配IPSec安全策略,并根据安全策略找到对应的SA,进行IPSec封装前将第三L2tp数据包的目的端口号还原为第一会话中记录的原始端口,数据包的出接口标记为第一会话中记录的接口号,例如,图6中将第三L2tp数据包的目的端口4321转换为1701,生成第四L2tp数据包,出接口为eth2。
步骤503:根据第四L2tp数据包中的源地址与目的地址读取与第四L2tp数据对应的第二会话,对第四L2tp数据包进行IPSec封装生成第二L2tp overIPSec数据包,第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号。
对接口还原后的第四L2tp数据包进行IPSec封装,并可以标记出接口为封装前数据包携带的接口,例如在IPSec封装的过程根据第二会话将源端口号与目的端口号分别转换为4500和4321,生成第二L2tp over IPSec数据包,出接口为eth2。
步骤504:将第二L2tp over IPSec数据包发送给网络地址转换设备,以使第二L2tp over IPSec数据包在网络地址转换设备进行地址转换后发送给源设备。
在本发明的一些可能的实现方式中,将第二L2tp over IPSec数据包发送给网络地址转换设备的具体实现可以包括:将第二L2tp over IPSec数据包沿接收数据的接口号代表的接口发送给网络地址转换设备。
则可以将第二L2tp over IPSec数据包从对应的接口发送到网络中,经过NAT设备并最终发送到发起请求的PC1。
这样,本发明实施例通过记录在穿越NAT设备后的L2tp over IPSec数据包中的源端口号,将L2tp over IPSec数据包进行IPSec解封装获得L2tp数据包后,将该L2tp数据包中的源端口号转换为记录的源端口号,在进行端口转换后使由不同源地址发送给目标设备的数据包不同,从而可以在有NAT设备的网络环境中自由应用L2tp over IPSec技术;另外,记录了数据包的入接口号,数据响应包在通过L2tp封装和IPSec封装后可以根据会话信息查到出口,保证接收和发送数据使用同一接口即数据包能够在同一线路上传输,避免了不同线路数据传输效率不同导致的延迟或丢包,提高了传输效率。本发明实施例不需要安装第三方客户端,就可以使多个用户通过多条线路利用现有的PC、手机或PAD上自持的l2tp over ipsec在穿越NAT的网络时自由访问所保护的资源。
参见图7所示,示出了本发明实施例中提供的认证加密的数据传输装置实施例一,该装置实施例可以包括:
第一接收单元701,用于接收第一L2tp over IPSec数据包,第一L2tp overIPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tp over IPSec数据包。
记录单元702,用于记录第一L2tp over IPSec数据包中的源端口号。
解封装单元703,用于对第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包。
第一转换单元704,用于将第一L2tp数据包中的源端口号转换为第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包。
第一发送单元705,用于对第二L2tp数据包进行L2tp解封装后发送给目标设备。
在本发明的一些可能的实现方式中,还可以包括:
建立单元,用于建立第一会话以及第二会话,第一会话包括第一L2tp数据包的五元组,第二会话包括第二L2tp数据包的五组,五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
参见图8所示,示出了本发明实施例中提供的认证加密的数据传输装置实施例二,在上述实施例的基础上还可以包括:
第一封装单元801,用于对从目标设备接收的数据包进行L2tp封装获得第三L2tp数据包。
第二转换单元802,用于根据第三L2tp数据包中的源地址与目的地址读取与第三L2tp数据包对应的第一会话,将第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包。
第二封装单元803,用于根据第四L2tp数据包中的源地址与目的地址读取与第四L2tp数据对应的第二会话,对第四L2tp数据包进行IPSec封装生成第二L2tp over IPSec数据包,第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号。
第二发送单元804,用于将第二L2tp over IPSec数据包发送给网络地址转换设备,以使第二L2tp over IPSec数据包在网络地址转换设备进行地址转换后发送给源设备。
在本发明的一些可能的实现方式中,第一会话以及第二会话还可以包括接收数据的接口号。
则第二发送单元可以具体用于:将第二L2tp over IPSec数据包沿接收数据的接口号代表的接口发送给网络地址转换设备,以使第二L2tp over IPSec数据包在网络地址转换设备进行地址转换后发送给源设备。
这样,本发明实施例通过记录在穿越NAT设备后的L2tp over IPSec数据包中的源端口号,将L2tp over IPSec数据包进行IPSec解封装获得L2tp数据包后,将该L2tp数据包中的源端口号转换为记录的源端口号,在进行端口转换后使由不同源地址发送给目标设备的数据包不同,从而可以在有NAT设备的网络环境中自由应用L2tp over IPSec技术;另外,记录了数据包的入接口号,数据响应包在通过L2tp封装和IPSec封装后可以根据会话信息查到出口,保证接收和发送数据使用同一接口即数据包能够在同一线路上传输,避免了不同线路数据传输效率不同导致的延迟或丢包,提高了传输效率。本发明实施例不需要安装第三方客户端,就可以使多个用户通过多条线路利用现有的PC、手机或PAD上自持的l2tp over ipsec在穿越NAT的网络时自由访问所保护的资源。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种认证加密的数据传输方法,其特征在于,所述方法包括:
接收第一L2tp over IPSec数据包,所述第一L2tp over IPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tpover IPSec数据包;
记录所述第一L2tp over IPSec数据包中的源端口号;
对所述第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包;
将所述第一L2tp数据包中的源端口号转换为所述第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包;
对所述第二L2tp数据包进行L2tp解封装后发送给目标设备。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
建立第一会话以及第二会话,所述第一会话包括所述第一L2tp数据包的五元组信息,所述第二会话包括所述第二L2tp数据包的五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
对从所述目标设备接收的数据包进行L2tp封装获得第三L2tp数据包;
根据所述第三L2tp数据包中的源地址与目的地址读取与所述第三L2tp数据包对应的第一会话,将所述第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包;
根据所述第四L2tp数据包中的源地址与目的地址读取与所述第四L2tp数据对应的第二会话,对所述第四L2tp数据包进行IPSec封装生成第二L2tpover IPSec数据包,所述第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号;
将所述第二L2tp over IPSec数据包发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
4.根据权利要求3所述的方法,其特征在于,所述第一会话以及所述第二会话还包括接收数据的接口号。
5.根据权利要求4所述的方法,其特征在于,所述将所述第二L2tp overIPSec数据包发送给所述网络地址转换设备,包括:
将所述第二L2tp over IPSec数据包沿所述接收数据的接口号代表的接口发送给所述网络地址转换设备。
6.一种认证加密的数据传输装置,其特征在于,所述装置包括:
第一接收单元,用于接收第一L2tp over IPSec数据包,所述第一L2tp overIPSec数据包为经过L2tp封装、IPSec封装以及经过网络地址转换设备进行地址转换后的L2tp over IPSec数据包;
记录单元,用于记录所述第一L2tp over IPSec数据包中的源端口号;
解封装单元,用于对所述第一L2tp over IPSec数据包进行IPSec解封装获得第一L2tp数据包;
第一转换单元,用于将所述第一L2tp数据包中的源端口号转换为所述第一L2tp over IPSec数据包中的源端口号,生成第二L2tp数据包;
第一发送单元,用于对所述第二L2tp数据包进行L2tp解封装后发送给目标设备。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
建立单元,用于建立第一会话以及第二会话,所述第一会话包括所述第一L2tp数据包的五元组信息,所述第二会话包括所述第二L2tp数据包的五元组信息,所述五元组信息包括源地址、目的地址、源端口号、目的端口号以及传输协议。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第一封装单元,用于对从所述目标设备接收的数据包进行L2tp封装获得第三L2tp数据包;
第二转换单元,用于根据所述第三L2tp数据包中的源地址与目的地址读取与所述第三L2tp数据包对应的第一会话,将所述第三L2tp数据包中的目的端口号转换为对应的第一会话中的源端口号,生成第四L2tp数据包;
第二封装单元,用于根据所述第四L2tp数据包中的源地址与目的地址读取与所述第四L2tp数据对应的第二会话,对所述第四L2tp数据包进行IPSec封装生成第二L2tp over IPSec数据包,所述第二L2tp over IPSec数据包中的目的端口号为对应的第二会话中的源端口号;
第二发送单元,用于将所述第二L2tp over IPSec数据包发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
9.根据权利要求8所述的装置,其特征在于,所述第一会话以及所述第二会话还包括接收数据的接口号。
10.根据权利要求9所述的装置,其特征在于,所述第二发送单元具体用于:
将所述第二L2tp over IPSec数据包沿所述接收数据的接口号代表的接口发送给所述网络地址转换设备,以使所述第二L2tp over IPSec数据包在所述网络地址转换设备进行地址转换后发送给源设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610311711.XA CN106027508A (zh) | 2016-05-11 | 2016-05-11 | 一种认证加密的数据传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610311711.XA CN106027508A (zh) | 2016-05-11 | 2016-05-11 | 一种认证加密的数据传输方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106027508A true CN106027508A (zh) | 2016-10-12 |
Family
ID=57099210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610311711.XA Pending CN106027508A (zh) | 2016-05-11 | 2016-05-11 | 一种认证加密的数据传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106027508A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
| CN109361590A (zh) * | 2018-12-25 | 2019-02-19 | 杭州迪普科技股份有限公司 | 一种解决业务访问不通的方法和装置 |
| CN113067908A (zh) * | 2020-01-02 | 2021-07-02 | 中国移动通信有限公司研究院 | 一种nat穿越方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1328105A1 (en) * | 2002-01-11 | 2003-07-16 | AT&T Corp. | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel |
| CN101217435A (zh) * | 2008-01-16 | 2008-07-09 | 中兴通讯股份有限公司 | 一种L2TP over IPSEC远程接入的方法及装置 |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和系统 |
| CN103457700A (zh) * | 2013-08-20 | 2013-12-18 | 重庆邮电大学 | Ndn/ccn网络中的数据包内容名称编码压缩方法 |
| CN105516062A (zh) * | 2014-09-25 | 2016-04-20 | 中兴通讯股份有限公司 | 一种实现L2TP over IPsec接入的方法 |
-
2016
- 2016-05-11 CN CN201610311711.XA patent/CN106027508A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1328105A1 (en) * | 2002-01-11 | 2003-07-16 | AT&T Corp. | Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel |
| CN101217435A (zh) * | 2008-01-16 | 2008-07-09 | 中兴通讯股份有限公司 | 一种L2TP over IPSEC远程接入的方法及装置 |
| CN102624935A (zh) * | 2011-01-26 | 2012-08-01 | 华为技术有限公司 | 一种转发报文的方法,装置和系统 |
| CN102546657A (zh) * | 2012-02-10 | 2012-07-04 | 浙江宇视科技有限公司 | Ip监控系统中穿越、协助穿越网络隔离设备的方法和节点 |
| CN103457700A (zh) * | 2013-08-20 | 2013-12-18 | 重庆邮电大学 | Ndn/ccn网络中的数据包内容名称编码压缩方法 |
| CN105516062A (zh) * | 2014-09-25 | 2016-04-20 | 中兴通讯股份有限公司 | 一种实现L2TP over IPsec接入的方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107579932A (zh) * | 2017-10-25 | 2018-01-12 | 北京天融信网络安全技术有限公司 | 一种数据传输方法、设备和存储介质 |
| CN109361590A (zh) * | 2018-12-25 | 2019-02-19 | 杭州迪普科技股份有限公司 | 一种解决业务访问不通的方法和装置 |
| CN113067908A (zh) * | 2020-01-02 | 2021-07-02 | 中国移动通信有限公司研究院 | 一种nat穿越方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| EP2590368B1 (en) | Method, equipment and network system for terminal communicating with ip multimedia subsystem(ims) core network server by traversing private network | |
| KR102535915B1 (ko) | 안전한 동적 통신망 및 프로토콜 | |
| US8713305B2 (en) | Packet transmission method, apparatus, and network system | |
| US8583912B2 (en) | Communication system of client terminals and relay server and communication method | |
| US20190173860A1 (en) | MACsec for encrypting tunnel data packets | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| KR101680955B1 (ko) | 다중 터널 가상 사설 네트워크 | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| TWI549452B (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
| CN108769292B (zh) | 报文数据处理方法及装置 | |
| US10044841B2 (en) | Methods and systems for creating protocol header for embedded layer two packets | |
| CA2327531A1 (en) | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same | |
| CN108966174A (zh) | 一种无人机与地面站的通讯加密方法 | |
| CN107040446B (zh) | 一种vpn隧道协议实现方法 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN106027508A (zh) | 一种认证加密的数据传输方法及装置 | |
| JP6990647B2 (ja) | ReNAT通信環境を提供するシステム及び方法 | |
| CN103067282B (zh) | 数据备份方法、装置及系统 | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 | |
| US20040037284A1 (en) | Method for secure packet-based communication between two units via an intermedia unit | |
| CN114629678B (zh) | 一种基于tls的内网穿透方法及装置 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161012 |
|
| RJ01 | Rejection of invention patent application after publication |