CN108234497B - 一种基于hip协议的加密隧道通讯方法 - Google Patents

一种基于hip协议的加密隧道通讯方法 Download PDF

Info

Publication number
CN108234497B
CN108234497B CN201810012147.0A CN201810012147A CN108234497B CN 108234497 B CN108234497 B CN 108234497B CN 201810012147 A CN201810012147 A CN 201810012147A CN 108234497 B CN108234497 B CN 108234497B
Authority
CN
China
Prior art keywords
hip
host identity
protocol
switch
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810012147.0A
Other languages
English (en)
Other versions
CN108234497A (zh
Inventor
滕建桓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Baomu Technology Tianjin Co ltd
Original Assignee
Baomu Technology Tianjin Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Baomu Technology Tianjin Co ltd filed Critical Baomu Technology Tianjin Co ltd
Priority to CN201810012147.0A priority Critical patent/CN108234497B/zh
Publication of CN108234497A publication Critical patent/CN108234497A/zh
Application granted granted Critical
Publication of CN108234497B publication Critical patent/CN108234497B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种基于HIP协议的加密隧道通讯方法,在两台不支持主机标识HIP协议的设备上,各自连接一台主机标识HIP交换机,两台主机标识HIP交换机之间实现网络连接;打开两台主机标识HIP交换机的地址解析APR的代理功能,在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道;本发明所述的一种基于HIP协议的加密隧道通讯方法,配合使用主机标识HIP交换机及通用路由封装协议GRE虚拟接口隧道技术,可以实现不具备主机标识HIP功能的设备间实现主机标识HIP通信,实现不具备移动互联功能的设备进行移动互连组网,不同网络之间的相互组网,具有应用范围广及安全保密程度高的特点。

Description

一种基于HIP协议的加密隧道通讯方法
技术领域
本发明属于网络通讯安全领域,尤其是涉及一种基于HIP协议的加密隧道通讯方法。
背景技术
主机标识HIP(Host Identity Protocol),主机标识协议引进一个新的加密命名空间,为Internet提供一个安全的主机移动和多宿主的方法,更容易对通信双方进行认证,从而实现安全可信任的网络系统。主机标识HIP利用IPSEC的ESP协议和传输模式,实现了端对端的安全通信。在移动互联网、IPv4和IPv6混合组网的情况下,能够实现通信数据的安全。但在一些网络中,仍然存在传统老旧的,无法实现自身改造(如国外厂家)的设备,这些设备无法自身支持主机标识HIP协议,因此就无法利用主机标识HIP的优良特性,进而无法融入到整个网络中。
发明内容
有鉴于此,本发明旨在提出一种基于HIP协议的加密隧道通讯方法,配合使用主机标识HIP交换机及通用路由封装协议GRE虚拟接口隧道技术,可以实现不具备主机标识HIP功能的设备间实现主机标识HIP通信,达到不同网络之间的安全融合。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于HIP协议的加密隧道通讯方法,包括:
步骤1:在两台不支持主机标识HIP协议的设备上,各自连接一台主机标识HIP交换机,两台主机标识HIP交换机之间实现网络连接;
步骤2:打开两台主机标识HIP交换机的地址解析APR的代理功能,在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道;
步骤3:将通用路由封装协议GRE报文头部前的外层目的IP和源IP更换为通信双方两台主机标识HIP交换机的目的局部标识符LSI和源局部标识符LSI;
步骤4:将两台不支持主机标识HIP协议的设备的真实IP地址封装在通用路由封装协议GRE隧道内部,即通用路由封装协议GRE报文的数据部分;
步骤5:将完成封装的通用路由封装协议GRE报文交给主机标识HIP交换机,源方的主机标识HIP交换机首先会查询局部标识符LSI和IP地址的对应表格,将外层的局部标识符LSI转换为可以在网络上使用的IPv4地址或者IPv6地址,根据地址送达到目的方的主机标识HIP交换机,目的方的主机标识HIP交换机收到通用路由封装协议GRE报文后,去除外层IP头部,根据内层IP头部,可以将数据送达最终的不支持主机标识HIP协议的目的设备上,实现两个不具备主机标识HIP功能的设备间主机标识HIP通信。
本发明在实际使用中,解决了两个现有技术中存在的常见问题:ARP请求无应答及容易丢失实际源IP地址和目的IP地址。
进一步的,在步骤1中的网络连接方式可以是:移动互联网或混合组网。
进一步的,在步骤1中的不支持主机标识HIP协议的设备可以是:数据采集与监视控制系统SCADA设备或可编程逻辑控制器PLC设备。
相对于现有技术,本发明所述的一种基于HIP协议的加密隧道通讯方法,具有以下优势:
本发明所述的一种基于HIP协议的加密隧道通讯方法,配合使用主机标识HIP交换机及通用路由封装协议GRE虚拟接口隧道技术,可以实现不具备主机标识HIP功能的设备间实现主机标识HIP通信,实现不具备移动互联功能的设备进行移动互连组网,不同网络之间的相互组网,具有应用范围广及安全保密程度高的特点。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
在附图中:
图1为本发明实施例所述的一种基于HIP协议的加密隧道通讯方法步骤示意图;
图2为本发明实施例所述的一种基于HIP协议的加密隧道通讯方法原理示意图;
图3为本发明实施例所述的一种基于HIP协议的加密隧道通讯方法封装第一示意图;
图4为本发明实施例所述的一种基于HIP协议的加密隧道通讯方法封装第二示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
如图1-2所示,一种基于HIP协议的加密隧道通讯方法,包括:
步骤1:在两台不支持主机标识HIP协议的设备上,各自连接一台主机标识HIP交换机,两台主机标识HIP交换机之间实现网络连接;
步骤2:打开两台主机标识HIP交换机的地址解析APR的代理功能,在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道;
步骤3:将通用路由封装协议GRE报文头部前的外层目的IP和源IP更换为通信双方两台主机标识HIP交换机的目的局部标识符LSI和源局部标识符LSI;
步骤4:将两台不支持主机标识HIP协议的设备的真实IP地址封装在通用路由封装协议GRE隧道内部,即通用路由封装协议GRE报文的数据部分;
步骤5:将完成封装的通用路由封装协议GRE报文交给主机标识HIP交换机,源方的主机标识HIP交换机首先会查询局部标识符LSI和IP地址的对应表格,将外层的局部标识符LSI转换为可以在网络上使用的IPv4地址或者IPv6地址,根据地址送达到目的方的主机标识HIP交换机,目的方的主机标识HIP交换机收到通用路由封装协议GRE报文后,去除外层IP头部,根据内层IP头部,可以将数据送达最终的不支持主机标识HIP协议的目的设备上,实现两个不具备主机标识HIP功能的设备间主机标识HIP通信。
本发明在实际使用中,解决了两个现有技术中存在的常见问题:ARP请求无应答及容易丢失实际源IP地址和目的IP地址。
如图1-2所示,在步骤1中的网络连接方式可以是:移动互联网或混合组网。
如图1-2所示,在步骤1中的不支持主机标识HIP协议的设备可以是:数据采集与监视控制系统SCADA设备或可编程逻辑控制器PLC设备。
本发明的具体实施例如下:
如图2所示:两台不支持主机标识HIP协议的设备:可编程逻辑控制器PLC(192.168.1.20)及数据采集与监视控制系统SCADA(192.168.1.100);可编程逻辑控制器PLC(192.168.1.20)连接一台主机标识HIP交换机(10.0.2.5),数据采集与监视控制系统SCADA(192.168.1.100)连接一台主机标识HIP交换机(10.0.2.8);打开两台主机标识HIP交换机的地址解析APR的代理功能,在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道;
如图3所示:将通用路由封装协议GRE报文头部前的外层目的IP和源IP更换为通信双方两台主机标识HIP交换机的目的局部标识符LSI(1.0.2.8)和源局部标识符LSI(1.0.2.5);将设备的真实IP地址可编程逻辑控制器PLC(192.168.1.20)及数据采集与监视控制系统SCADA(192.168.1.100)封装在通用路由封装协议GRE隧道内部,即通用路由封装协议GRE报文的数据部分;
如图4所示:将完成封装的通用路由封装协议GRE报文交给主机标识HIP交换机(10.0.2.5),源方的主机标识HIP交换机(10.0.2.5)首先会查询局部标识符LSI和IP地址的对应表格,将外层的局部标识符LSI转换为可以在网络上使用的IPv4地址或者IPv6地址,根据地址送达到目的方的主机标识HIP交换机(10.0.2.8),目的方的主机标识HIP交换机(10.0.2.8)收到通用路由封装协议GRE报文后,去除外层IP头部,根据内层IP头部数据采集与监视控制系统SCADA(192.168.1.100),可以将数据送达最终的不支持主机标识HIP协议的目的设备数据采集与监视控制系统SCADA(192.168.1.100)上,实现两个不具备主机标识HIP功能的设备间主机标识HIP通信。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于HIP协议的加密隧道通讯方法,其特征在于:包括:
步骤1:在两台不支持主机标识HIP协议的设备上,各自连接一台主机标识HIP交换机,两台主机标识HIP交换机之间实现网络连接;
步骤2:打开两台主机标识HIP交换机的地址解析APR的代理功能,在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道;
步骤3:将通用路由封装协议GRE报文头部前的外层目的IP和源IP更换为通信双方两台主机标识HIP交换机的目的局部标识符LSI和源局部标识符LSI;
步骤4:将两台不支持主机标识HIP协议的设备的真实IP地址封装在通用路由封装协议GRE隧道内部,即通用路由封装协议GRE报文的数据部分;
步骤5:将完成封装的通用路由封装协议GRE报文交给主机标识HIP交换机,源方的主机标识HIP交换机首先会查询局部标识符LSI和IP地址的对应表格,将外层的局部标识符LSI转换为可以在网络上使用的IPv4地址或者IPv6地址,根据地址送达到目的方的主机标识HIP交换机,目的方的主机标识HIP交换机收到通用路由封装协议GRE报文后,去除外层IP头部,根据内层IP头部,可以将数据送达最终的不支持主机标识HIP协议的目的设备上,实现两个不具备主机标识HIP功能的设备间主机标识HIP通信。
2.根据权利要求1所述的一种基于HIP协议的加密隧道通讯方法,其特征在于:在步骤1中的网络连接方式可以是:移动互联网或混合组网。
3.根据权利要求2所述的一种基于HIP协议的加密隧道通讯方法,其特征在于:在步骤1中的不支持主机标识HIP协议的设备可以是:数据采集与监视控制系统SCADA设备或可编程逻辑控制器PLC设备。
CN201810012147.0A 2018-01-05 2018-01-05 一种基于hip协议的加密隧道通讯方法 Active CN108234497B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810012147.0A CN108234497B (zh) 2018-01-05 2018-01-05 一种基于hip协议的加密隧道通讯方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810012147.0A CN108234497B (zh) 2018-01-05 2018-01-05 一种基于hip协议的加密隧道通讯方法

Publications (2)

Publication Number Publication Date
CN108234497A CN108234497A (zh) 2018-06-29
CN108234497B true CN108234497B (zh) 2020-10-02

Family

ID=62643085

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810012147.0A Active CN108234497B (zh) 2018-01-05 2018-01-05 一种基于hip协议的加密隧道通讯方法

Country Status (1)

Country Link
CN (1) CN108234497B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109600745B (zh) * 2018-12-13 2021-03-23 江苏大学 一种新型的5g蜂窝网信道安全系统及安全实现方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006133740A1 (en) * 2005-06-17 2006-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Host identity protocol method and apparatus
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
CN102377829A (zh) * 2010-08-09 2012-03-14 中兴通讯股份有限公司 基于hip的通信方法、系统及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006133740A1 (en) * 2005-06-17 2006-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Host identity protocol method and apparatus
CN102223353A (zh) * 2010-04-14 2011-10-19 华为技术有限公司 主机标识协议安全通道复用方法及装置
CN102377829A (zh) * 2010-08-09 2012-03-14 中兴通讯股份有限公司 基于hip的通信方法、系统及设备

Also Published As

Publication number Publication date
CN108234497A (zh) 2018-06-29

Similar Documents

Publication Publication Date Title
US11743767B2 (en) Compression of ethernet packet header
US20210321257A1 (en) Unified authentication for integrated small cell and wi-fi networks
US20220360634A1 (en) User plane model for non-3gpp access to fifth generation core network
US20190268310A1 (en) Communication system and method for machine data routing
ES2648153T3 (es) Método para procesamiento de protocolo de radio en sistema de telecomunicaciones móviles y transmisor de telecomunicaciones móviles
CN105471596B (zh) 网络管理的方法和装置
US20230354023A1 (en) Method and apparatus for authentication of integrated access and backhaul (iab) node in wireless network
KR20190121842A (ko) 사물 인터넷 통신 방법, 장치 및 시스템
ES2626082T3 (es) Método de transmisión de datos en un sistema de comunicación inalámbrica
WO2021063244A1 (zh) 混合网络的通信方法、设备和系统
CN107852600A (zh) 具有简化的移动性过程的网络架构和安全
US7869438B2 (en) Pre-authentication across an 802.11 layer-3 IP network
CN112583647A (zh) 用于针对有线和无线节点的公共控制协议的方法和设备
CN106992917A (zh) 报文转发方法和装置
KR100483022B1 (ko) 위치 관리 서버와 이를 구비한 이더넷 기반의 무선랜 분배시스템 및 그 구현 방법
CN112532756B (zh) 接口扩展方法、装置和系统
US20200170051A1 (en) Method and Apparatus for a Radio Node and a Controlling Gateway
WO2011032447A1 (zh) 新网与互联网互通的实现方法、系统及通信端
EP4192185A1 (en) Computing bearer application method and apparatus
CN104993993A (zh) 一种报文处理方法、设备和系统
CN108234497B (zh) 一种基于hip协议的加密隧道通讯方法
EP4176653B1 (en) Method and device for assigning data capacity to network slices in a mobile communications network
CN111917621B (zh) 通信设备的网管服务器与网元的通信方法及系统
WO2018101452A1 (ja) 通信方法および中継装置
CN115802304A (zh) 一种工业无线网络与5g融合系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant