CN111586207A - 用于跨网络传递客户端源地址的方法、系统及相关设备 - Google Patents

用于跨网络传递客户端源地址的方法、系统及相关设备 Download PDF

Info

Publication number
CN111586207A
CN111586207A CN202010554264.7A CN202010554264A CN111586207A CN 111586207 A CN111586207 A CN 111586207A CN 202010554264 A CN202010554264 A CN 202010554264A CN 111586207 A CN111586207 A CN 111586207A
Authority
CN
China
Prior art keywords
protocol
data packet
source address
client
protocol data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010554264.7A
Other languages
English (en)
Inventor
王询亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hongtu Jiadu Communication Equipment Co ltd
Original Assignee
Beijing Hongtu Jiadu Communication Equipment Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hongtu Jiadu Communication Equipment Co ltd filed Critical Beijing Hongtu Jiadu Communication Equipment Co ltd
Priority to CN202010554264.7A priority Critical patent/CN111586207A/zh
Publication of CN111586207A publication Critical patent/CN111586207A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备,旨在解决数据包的应用层被加密后客户端源地址不便于写入XFF字段进行传递的问题。本发明的用于跨网络传递客户端源地址的方法包括:地址注入设备接收客户端的第一协议数据包,并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内,然后发送到协议转换设备;协议转换设备对第一协议数据包进行协议转换、应用层解密、读取客户端源地址并添加到XFF字段中,从而得到第二协议数据包,将第二协议数据包发送到服务器。本发明在保证数据传输安全性的基础上,解决了加密后的数据包中不便于将客户端源地址添加到XFF中进行传递的问题。

Description

用于跨网络传递客户端源地址的方法、系统及相关设备
技术领域
本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备。
背景技术
随着IPv4地址的枯竭,人们开始使用IPv6网络替代IPv4网络,在替代的过渡阶段经常同时存在IPv4和IPv6网络共存的情况,用户使用IPv4或IPv6网络时也就存在IPv4和IPv6两个网络之间互不兼容的问题。因为存在两种网络互不兼容的问题,客户端对网站的访问请求就不能简单地从客户端的浏览器直达网站的服务器,中间可能经过协议转换系统或代理服务器等设备,所以服务器接收到客户端的访问请求时,数据包中的源IP地址已不是客户端的源地址。
现有技术中,有时会由协议转换系统或代理服务器将客户端源地址写入到HTTP请求数据包的XFF字段中,然后再发送给服务器,服务器通过读取XFF字段从而获得客户端的源地址。但是在实际应用中,客户端在发出数据包时通常会对应用层进行加密,使得协议转换系统或代理服务器等设备不便于在XFF中添加客户端源地址,以致于无法将客户端源地址传递到服务器。
有鉴于此,特提出本发明。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种用于跨网络传递客户端源地址的方法、系统及相关设备,解决了在应用层被加密后客户端源地址的跨网络传输问题。
本发明的第一方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备;
所述协议转换设备对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址;
将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,在“将所述第二协议数据包发送到服务器”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第二方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:数据包的协议转换、应用层解密、读取所述客户端源地址、将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第三方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
协议转换设备接收第一协议数据包,其中,所述第一协议数据包的应用层已被加密,且所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的地址;
对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址,并将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第四方面,提出一种用于跨网络传递客户端源地址的系统,所述系统包括:地址注入设备和协议转换设备;
所述地址注入设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;将所述第一协议数据包发送到协议转换设备;
所述协议转换设备配置为:对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址;将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第五方面,提出一种用于跨网络传递客户端源地址的地址注入设备,所述地址注入设备包括:接收模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述注入模块配置为将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
所述发送模块配置为将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:数据包的协议转换、应用层解密、读取所述客户端源地址、将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第六方面,提出一种用于跨网络传递客户端源地址的协议转换设备,所述协议转换设备包括:接收模块、转换模块、解密模块、地址读取模块、地址添加模块和发送模块。
所述接收模块配置为接收第一协议数据包,其中,所述第一协议数据包的应用层已被加密,且所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的地址;
所述转换模块配置为对所述第一协议数据包进行协议转换,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述解密模块配置为对所述第二协议数据包的应用层进行解密,解密后的所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承解密前的所述第二协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述地址读取模块配置为从所述第一协议数据包或所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第七方面,提出一种存储设备,其存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本发明的第八方面,提出一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
与最接近的现有技术相比,本发明具有如下有益效果:
本发明提出的用于跨网络传递客户端源地址的方法与系统,针对客户端跨网络访问服务器的情况,由地址注入设备接收客户端的第一协议数据包,并将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内,然后将第一协议数据包发送到协议转换设备;再由协议转换设备对第一协议数据包进行协议转换、应用层解密、读取客户端源地址并添加到XFF字段中,从而得到第二协议数据包,将第二协议数据包发送到服务器,进而使得服务器可以从XFF字段中获取到客户端源地址。本发明解决了加密后的数据包中不便于将客户端源地址添加到XFF中的问题,在保证数据传输安全性的基础上,实现了跨网络传递客户端源地址。
附图说明
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图;
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图;
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图;
图4是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图;
图5是本发明的用于跨网络传递客户端源地址的地址注入设备实施例的主要构成示意图;
图6是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
本发明中提到的“跨网络”,是指IPv4网络的客户端去访问IPv6网络的服务器,或者IPv6网络的客户端去访问IPv4网络的服务器。“第一协议”与“第二协议”分别为IPv4和IPv6中的一种,且互不相同。“第一协议”为IPv4,且“第二协议”为IPv6;或者,“第一协议”为IPv6,且“第二协议”为IPv4。客户端所处的网络使用第一协议,服务器所处的网络使用第二协议。
本领域人员应当明白,只要符合本发明的设计思路,实施例中的设备的名称、构成和执行步骤均可以进行适当的变化,不会对本发明要求保护的范围构成限制。
下面实施例一至实施例三的主要思路是:地址注入设备接收客户端的数据包(该数据包的应用层已经被加密),并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内(当第一协议为IPv4时,添加到TCP或IP包头的选项字段中;当第一协议为IPv6时,添加到TCP包头的选项字段中或IP包的扩展包头中),然后发送给协议转换设备;协议转换设备对数据包进行协议转换、应用层解密、读取客户端源地址并添加到XFF字段,然后发送给服务器。其中,实施例一是以地址注入设备和协议转换设备为执行主体,实施例二、实施例三分别以地址注入设备、协议转换设备为执行主体。
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图。如图1所示,本实施例的方法包括步骤H10-H60:
步骤H10,地址注入设备接收客户端的第一协议数据包。
其中,第一协议数据包的应用层已被加密(如,进行了SSL加密)。
步骤H20,将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内。
步骤H30,将第一协议数据包发送到协议转换设备。
本实施例中,地址注入设备可以为一个设备,由该设备来完成步骤H10-H30的操作;地址注入设备也可以包括多个设备,由每个设备分别完成步骤H10-H30中的一项或多项操作。
步骤H40,协议转换设备对第一协议数据包进行协议转换、应用层解密和读取客户端源地址。
步骤H50,将客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含客户端源地址的第二协议数据包。
步骤H60,将第二协议数据包发送到服务器。
对于步骤H40-H50,需要说明的是:在将源地址加入XFF字段之前,必须先完成应用层解密和源地址读取,但是其他步骤的顺序没有特定要求,例如:应用层解密和源地址读取可以交换顺序或并列执行;协议转换可以在解密/读取之前进行,也可以在解密/读取之后进行,还可以在将源地址加入XFF之后再进行协议转换,等等。另外,如果需要从协议转换或应用层解密后的数据包中读取源地址,就需要保证协议转换或应用层解密后的数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承原来第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内容,以便客户端源地址能够得以继续传输。
本实施例中,协议转换设备可以为一个设备,由该设备来完成步骤H40-H60的操作;协议转换设备也可以包括多个设备,由每个设备分别完成步骤H40-H60中的一项或多项操作。
在实际应用中,当处于IPv6网络的客户端想要访问IPv4网络中的服务器时,因为客户端可能设置于局域网中,在接入广域网的时候通常要经过NAT66设备,将客户端的私网IP转换为公网IP,那么在地址注入设备中接收到的来自客户端的数据包中“客户端源地址”就是转换后的公网IP,以致后续传输到服务器的“客户端源地址”就是转换后的公网IP;类似地,当处于IPv4网络中的客户端想要访问IPv6网络中的服务器时,也可能会通过NAT44对客户端地址进行转换。因为NAT66和NAT44均为本领域常用技术,我们在后续的实施例中不再提及,但是本领域技术人员应当明白,根据实际使用场景,它们是可能会被应用到。
在一种可选的实施例中,用于跨网络传递客户端源地址的方法还包括:
步骤H55,协议转换设备将客户端要访问的第一协议目的地址转换为服务器的第二协议地址。
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图。如图2所示,本实施例的方法包括步骤I10-I30:
步骤I10,地址注入设备接收客户端的第一协议数据包。
其中,第一协议数据包的应用层已被加密。
步骤I20,将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内。
步骤I30,将第一协议数据包发送到协议转换设备,以使协议转换设备完成:数据包的协议转换、应用层解密和读取客户端源地址,以及将客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含客户端源地址的第二协议数据包,并将第二协议数据包发送到服务器。
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图。如图3所示,本实施例的方法包括步骤J10-J30:
步骤J10,协议转换设备接收第一协议数据包。
其中,第一协议数据包的应用层已被加密,且第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,客户端源地址为发起访问请求的客户端的地址。
步骤J20,对第一协议数据包进行协议转换、应用层解密和读取客户端源地址,并将客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含客户端源地址的第二协议数据包。
步骤J30,将第二协议数据包发送到服务器。
上述实施例一至三中虽然将各个步骤按照上述先后次序的方式进行了描述,但是本领域技术人员可以理解,为了实现本实施例的效果,不同的步骤之间不必按照这样的次序执行,其可以同时(并行)执行或以颠倒的次序执行,这些简单的变化都在本发明的保护范围之内。
本发明还提供了系统实施例,与上面的方法实施例基于相同的技术构思,下面进行详细说明。
图4是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图。如图4所示,本实施例中,第一协议和第二协议分别为IPv6和IPv4;客户端10处于IPv6网络中,其地址为IPv6源地址;服务器20处于IPv4网络中,其地址为IPv4地址,也就是客户端10要访问的IPv4目的地址;本实施例的系统50包括:地址注入设备51和协议转换设备52。
其中,地址注入设备51配置为:接收客户端10的第一协议数据包,其中,第一协议数据包的应用层已被加密,将客户端源地址添加到第一协议数据包中TCP包头的选项字段内或者IP包的扩展包头内(本实施例中第一协议为IPv6,若第一协议为IPv4则将客户端源地址添加到TCP或IP包头的选项字段内);将第一协议数据包发送到协议转换设备;协议转换设备52配置为:对第一协议数据包进行协议转换、应用层解密和读取客户端源地址,将客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含客户端源地址的第二协议数据包,将第二协议数据包发送到服务器。
在一种可选的实施例中,协议转换设备52还可以进一步配置为:将客户端10要访问的第一协议目的地址转换为服务器20的第二协议地址。
图5是本发明的用于跨网络传递客户端源地址的地址注入设备的主要构成示意图。如图5所示,本实施例中的地址注入设备51可以包括:接收模块511、注入模块512和发送模块513。
其中,接收模块511配置为接收客户端10的第一协议数据包,其中,第一协议数据包的应用层已被加密;注入模块512配置为将客户端源地址添加到第一协议数据包中TCP包头的选项字段内或者IP包的扩展包头内(本实施例中第一协议为IPv6,若第一协议为IPv4则将客户端源地址添加到TCP或IP包头的选项字段内);发送模块513配置为将第一协议数据包发送到协议转换设备52,以使协议转换设备52完成:数据包的协议转换、应用层解密和读取客户端源地址,以及将客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含客户端源地址的第二协议数据包,并将第二协议数据包发送到服务器20。
图6是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图。如图6所示,本实施例中的协议转换设备52可以包括:接收模块521、转换模块522、解密模块523、地址读取模块524、地址添加模块525和发送模块526。
其中,接收模块521配置为接收第一协议数据包,其中,第一协议数据包的应用层已被加密,且第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,客户端源地址为发起访问请求的客户端10的地址;转换模块522配置为对第一协议数据包进行协议转换,得到第二协议数据包;解密模块523配置为对第二协议数据包的应用层进行解密;地址读取模块524配置为从第一协议数据包或第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取客户端源地址;地址添加模块525配置为将客户端源地址添加到第二协议数据包的XFF字段中;发送模块526配置为将第二协议数据包发送到服务器20。
在实际应用中,接收模块521、转换模块522、解密模块523、地址读取模块524、地址添加模块525和发送模块526可以依次电连接;或者将地址读取模块与解密模块的设置顺序加以调换,即接收模块、转换模块、地址读取模块、解密模块、地址添加模块和发送模块依次电连接;还可以将解密模块与地址读取模块并联成一个解密与读取模块,然后将接收模块、转换模块、解密与读取模块、地址添加模块和发送模块依次电连接。如果地址读取模块524是从转换模块522或解密模块523输出的第二协议数据包中读取客户端源地址的话,需要令转换模块522或解密模块523输出的第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承第一协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头的内容。
本文中虽然只给出了将客户端IPv6源地址传递到服务器IPv4地址的系统实施例,但是,本领域技术人员明白,将客户端IPv4源地址传递到服务器IPv6地址可以采用类似的技术手段,这些都在本发明的保护范围之内。
进一步地,本发明还提供了一种存储设备的实施例。本实施例的存储设备中存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
更进一步地,本发明还提供了一种处理设备的实施例。本实施例的处理设备包括处理器和存储器。其中,处理器适于执行程序,存储器适于存储所述程序;所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤、设备、模块,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

Claims (10)

1.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备;
所述协议转换设备对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址;
将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
2.根据权利要求1所述的用于跨网络传递客户端源地址的方法,其特征在于,在“将所述第二协议数据包发送到服务器”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
3.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:数据包的协议转换、应用层解密、读取所述客户端源地址、将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
4.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
协议转换设备接收第一协议数据包,其中,所述第一协议数据包的应用层已被加密,且所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的地址;
对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址,并将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
5.一种用于跨网络传递客户端源地址的系统,其特征在于,所述系统包括:地址注入设备和协议转换设备;
所述地址注入设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;将所述第一协议数据包发送到协议转换设备;
所述协议转换设备配置为:对所述第一协议数据包进行协议转换、应用层解密、读取所述客户端源地址;将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
6.根据权利要求5所述的用于跨网络传递客户端源地址的系统,其特征在于,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
7.一种用于跨网络传递客户端源地址的地址注入设备,其特征在于,所述地址注入设备包括:接收模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述注入模块配置为将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
所述发送模块配置为将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:数据包的协议转换、应用层解密、读取所述客户端源地址、将所述客户端源地址添加到数据包的XFF字段中,从而得到XFF字段中包含所述客户端源地址的第二协议数据包,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
8.一种用于跨网络传递客户端源地址的协议转换设备,其特征在于,所述协议转换设备包括:接收模块、转换模块、解密模块、地址读取模块、地址添加模块和发送模块;
所述接收模块配置为接收第一协议数据包,其中,所述第一协议数据包的应用层已被加密,且所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的地址;
所述转换模块配置为对所述第一协议数据包进行协议转换,得到第二协议数据包;
所述解密模块配置为对所述第二协议数据包的应用层进行解密;
所述地址读取模块配置为从所述第一协议数据包或所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
9.一种存储设备,其存储有程序,其特征在于,所述程序适于由处理器加载并执行,以实现权利要求1-4中任一项所述的用于跨网络传递客户端源地址的方法。
10.一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
其特征在于,所述程序适于由所述处理器加载并执行,以实现权利要求1-4中任一项所述的用于跨网络传递客户端源地址的方法。
CN202010554264.7A 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备 Pending CN111586207A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010554264.7A CN111586207A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010554264.7A CN111586207A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Publications (1)

Publication Number Publication Date
CN111586207A true CN111586207A (zh) 2020-08-25

Family

ID=72111249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010554264.7A Pending CN111586207A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Country Status (1)

Country Link
CN (1) CN111586207A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852595A (zh) * 2021-07-29 2021-12-28 四川天翼网络服务有限公司 一种嵌入式设备跨网段加密通信方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060253701A1 (en) * 2005-05-03 2006-11-09 Kim Sun-Gi Method for providing end-to-end security service in communication network using network address translation-protocol translation
CN103001929A (zh) * 2011-09-08 2013-03-27 北京智慧风云科技有限公司 基于不同网络协议终端间的通信系统及方法
CN103297407A (zh) * 2012-03-02 2013-09-11 百度在线网络技术(北京)有限公司 传递客户端IPv6地址及端口至后端服务器的方法及装置
CN103491016A (zh) * 2012-06-08 2014-01-01 百度在线网络技术(北京)有限公司 Udp负载均衡系统中源地址传递方法、系统及装置
CN110290221A (zh) * 2019-07-09 2019-09-27 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110324437A (zh) * 2019-07-09 2019-10-11 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060253701A1 (en) * 2005-05-03 2006-11-09 Kim Sun-Gi Method for providing end-to-end security service in communication network using network address translation-protocol translation
CN103001929A (zh) * 2011-09-08 2013-03-27 北京智慧风云科技有限公司 基于不同网络协议终端间的通信系统及方法
CN103297407A (zh) * 2012-03-02 2013-09-11 百度在线网络技术(北京)有限公司 传递客户端IPv6地址及端口至后端服务器的方法及装置
CN103491016A (zh) * 2012-06-08 2014-01-01 百度在线网络技术(北京)有限公司 Udp负载均衡系统中源地址传递方法、系统及装置
CN110290221A (zh) * 2019-07-09 2019-09-27 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110324437A (zh) * 2019-07-09 2019-10-11 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113852595A (zh) * 2021-07-29 2021-12-28 四川天翼网络服务有限公司 一种嵌入式设备跨网段加密通信方法
CN113852595B (zh) * 2021-07-29 2024-02-02 四川天翼网络服务有限公司 一种嵌入式设备跨网段加密通信方法

Similar Documents

Publication Publication Date Title
US10972436B1 (en) System and method for session affinity in proxy media routing
US7913261B2 (en) Application-specific information-processing method, system, and apparatus
US20040184456A1 (en) Packet-oriented data communications between mobile and fixed data networks
JP2009111437A (ja) ネットワークシステム
KR100793472B1 (ko) 암호화 방식들 간의 변환 처리를 가속화하기 위한 방법 및시스템
KR100479261B1 (ko) 네트워크 주소 변환 상에서의 데이터 전송 방법 및 장치
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
JP5360233B2 (ja) 負荷分散システム及びその方法
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
WO2009093308A1 (ja) 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、及びプログラム
CN111586207A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
IL145105A (en) Method and system for providing a web service by a plurality of web domains through a single ip address
JP2019050628A (ja) ReNAT通信環境を提供するシステム及び方法
CN111586209A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
CN111586208A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
JP4003634B2 (ja) 情報処理装置
US8627061B1 (en) Method and system for employing a fixed IP address based encryption device in a dynamic IP address based network
CN117938801A (zh) 一种资源访问方法、装置、电子设备及介质
KR20150089894A (ko) 쿠키 프락시 기능을 구비한 네트워크 주소 변환 장치 및 쿠키 프락시 기능을 지원하는 네트워크 주소 변환 방법
Zheng et al. Security transmission of FTP data based on IPsec
Pasricha et al. Implementation of Socket Programming using C#. net
Hu Proxy for host identity protocol
JPWO2008026243A1 (ja) データ暗号装置及びアドレス解決方法及びアドレス解決プログラム
JP2004104699A (ja) ネットワークシステム
Gerasimenko Seamless Remote Access to a Home Network-Design and Implementation of TLS VPN solution for Linux

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200825