CN111586208A - 用于跨网络传递客户端源地址的方法、系统及相关设备 - Google Patents
用于跨网络传递客户端源地址的方法、系统及相关设备 Download PDFInfo
- Publication number
- CN111586208A CN111586208A CN202010554291.4A CN202010554291A CN111586208A CN 111586208 A CN111586208 A CN 111586208A CN 202010554291 A CN202010554291 A CN 202010554291A CN 111586208 A CN111586208 A CN 111586208A
- Authority
- CN
- China
- Prior art keywords
- source address
- protocol
- data packet
- client
- protocol data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000006243 chemical reaction Methods 0.000 claims abstract description 103
- 230000005540 biological transmission Effects 0.000 claims abstract description 9
- 238000013519 translation Methods 0.000 claims description 13
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 238000002347 injection Methods 0.000 claims description 5
- 239000007924 injection Substances 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 4
- 239000000126 substance Substances 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 12
- 238000013461 design Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/167—Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备,旨在解决数据包的应用层被加密后客户端源地址不便于写入XFF字段进行传递的问题。本发明的用于跨网络传递客户端源地址的方法包括:协议转换设备接收客户端的第一协议数据包,对第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到第二协议数据包;源地址信息转换设备对第二协议数据包的应用层进行解密,读取客户端源地址并添加到XFF字段中,将第二协议数据包发送到服务器。本发明在保证数据传输安全性的基础上,解决了加密后的数据包中不便于将客户端源地址添加到XFF中进行传递的问题。
Description
技术领域
本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备。
背景技术
随着IPv4地址的枯竭,人们开始使用IPv6网络替代IPv4网络,在替代的过渡阶段经常同时存在IPv4和IPv6网络共存的情况,用户使用IPv4或IPv6网络时也就存在IPv4和IPv6两个网络之间互不兼容的问题。因为存在两种网络互不兼容的问题,客户端对网站的访问请求就不能简单地从客户端的浏览器直达网站的服务器,中间可能经过协议转换系统或代理服务器等设备,所以服务器接收到客户端的访问请求时,数据包中的源IP地址已不是客户端的源地址。
现有技术中,有时会由协议转换系统或代理服务器将客户端源地址写入到HTTP请求数据包的XFF字段中,然后再发送给服务器,服务器通过读取XFF字段从而获得客户端的源地址。但是在实际应用中,客户端在发出数据包时通常会对应用层进行加密,使得协议转换系统或代理服务器等设备不便于在XFF中添加客户端源地址,以致于无法将客户端源地址传递到服务器。
有鉴于此,特提出本发明。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种用于跨网络传递客户端源地址的方法、系统及相关设备,解决了在应用层被加密后客户端源地址的跨网络传输问题。
本发明的第一方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
协议转换设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;
将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第二方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
协议转换设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内,得到包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:对所述第二协议数据包的应用层进行解密、读取所述客户端源地址、将所述客户端源地址添加到XFF字段,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第三方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
源地址信息转换设备接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第二协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的第一协议地址;
对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;
将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第四方面,提出一种用于跨网络传递客户端源地址的系统,所述系统包括:协议转换设备和源地址信息转换设备;
所述协议转换设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到包含所述客户端源地址的第二协议数据包;将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备配置为:对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;将所述客户端源地址添加到所述第二协议数据包的XFF字段中;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,所述源地址信息转换设备包括:解密设备和XFF写入设备;
所述解密设备配置为对所述第二协议数据包的应用层进行解密;
所述XFF写入设备配置为:读取所述客户端源地址,将所述客户端源地址添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器。
优选地,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第五方面,提出一种用于跨网络传递客户端源地址的协议转换设备,所述协议转换设备包括:接收模块、转换模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述转换模块配置为将所述第一协议数据包转换为第二协议数据包;
所述注入模块配置为将客户端源地址添加到所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内,得到包含所述客户端源地址的所述第二协议数据包;
所述发送模块配置为将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:对所述第二协议数据包的应用层进行解密、读取所述客户端源地址、将所述客户端源地址添加到XFF字段,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,所述转换模块还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第六方面,提出一种用于跨网络传递客户端源地址的源地址信息转换设备,所述源地址信息转换设备包括:接收模块、解密模块、地址读取模块、地址添加模块和发送模块;
所述接收模块配置为接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第二协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的第一协议地址;
所述解密模块配置为对所述第二协议数据包的应用层进行解密;
所述地址读取模块配置为从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同;
所述接收模块、所述解密模块、所述地址读取模块、所述地址添加模块和所述发送模块设置于相同或不同的装置中。
第二协议数据包的XFF字段中;将所述第二协议数据包发送到服务器;
本发明的第七方面,提出一种存储设备,其存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本发明的第八方面,提出一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
与最接近的现有技术相比,本发明具有如下有益效果:
本发明提出的用于跨网络传递客户端源地址的方法与系统,针对客户端跨网络访问服务器的情况,由协议转换设备接收客户端的第一协议数据包,对第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到第二协议数据包;源地址信息转换设备对第二协议数据包的应用层进行解密,读取客户端源地址并添加到XFF字段中,将第二协议数据包发送到服务器,从而使得服务器可以从XFF字段中获取客户端源地址。本发明解决了加密后的数据包中不便于将客户端源地址添加到XFF中的问题,在保证数据传输安全性的基础上,实现了跨网络传递客户端源地址。
附图说明
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图;
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图;
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图;
图4是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图;
图5是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图;
图6是本发明的用于跨网络传递客户端源地址的源地址信息转换设备实施例的主要构成示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
本发明中提到的“跨网络”,是指IPv4网络的客户端去访问IPv6网络的服务器,或者IPv6网络的客户端去访问IPv4网络的服务器。“第一协议”与“第二协议”分别为IPv4和IPv6中的一种,且互不相同。“第一协议”为IPv4,且“第二协议”为IPv6;或者,“第一协议”为IPv6,且“第二协议”为IPv4。客户端所处的网络使用第一协议,服务器所处的网络使用第二协议。
本领域人员应当明白,只要符合本发明的设计思路,实施例中的设备的名称、构成和执行步骤均可以进行适当的变化,不会对本发明要求保护的范围构成限制。
下面实施例一至三的主要思路是:协议转换设备在接收到客户端的数据包(该数据包的应用层已经被加密)后,先进行协议转换并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中(当第一协议为IPv4时,添加到TCP或IP包头的选项字段中;当第一协议为IPv6时,添加到TCP包头的选项字段中或IP包的扩展包头中),然后将数据包发送到源地址信息转换设备,由源地址信息转换设备完成后续的应用层解密、读取客户端源地址并添加到HTTP包头的XFF字段中。其中,实施例一是以协议转换设备和源地址信息转换设备作为执行主体对跨网络传递客户端源地址的方法进行描述,而实施例二以协议转换设备为执行主体进行描述,实施例三以源地址信息转换设备作为执行主体进行描述。
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图。如图1所示,本实施例的方法可以包括步骤A10-A60:
步骤A10,协议转换设备接收客户端的第一协议数据包,其中,第一协议数据包的应用层已被加密(如,进行了SSL加密)。
步骤A20,对第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到包含客户端源地址的第二协议数据包。
实际应用中,可以先做协议转换得到第二协议的数据包,再将客户端源地址加入第二协议数据包的TCP或IP包头的选项字段中或者IP包的扩展包头中;也可以先将客户端源地址加入第一协议数据包的TCP或IP包头的选项字段中或者IP包的扩展包头中,再做协议转换得到包含客户端源地址的第二协议数据包。不管采用哪种方式,最后生成的第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内要包含客户端源地址。
步骤A30,将第二协议数据包发送到源地址信息转换设备。
本实施例中,协议转换设备可以为一个设备,由该设备来完成步骤A10-A30的全部操作;协议转换设备也可以包括多个设备,由每个设备来完成A10-A30中的一项或多项操作。
步骤A40,源地址信息转换设备对第二协议数据包的应用层进行解密,并读取客户端源地址。
对应用层进行解密,以及从TCP或IP包头的选项字段中或者IP包的扩展包头中读取客户端源地址,这两个步骤可以交换顺序,也可以并列执行。如果是先进行解密后读取地址的话,可以令解密后的数据包中TCP或IP包头的选项字段或者IP包的扩展包头的内容继承解密前的内容,以便后续可以顺利读取客户端源地址,另外,也可以从解密前的数据包中读取客户端源地址。
步骤A50,将客户端源地址添加到第二协议数据包的XFF字段中。
步骤A60,将第二协议数据包发送到服务器。
本实施例中,源地址信息转换设备可以为一个设备,由该设备来完成步骤A40-A60的全部操作;源地址信息转换设备也可以包括多个设备,由每个设备完成A40-A60中的一项或多项操作,例如分成两个设备:第一个设备负责对应用层进行解密,第二个设备负责读取客户端源地址并加入XFF字段,然后发送到服务器。
在实际应用中,当处于IPv6网络的客户端想要访问IPv4网络中的服务器时,因为客户端可能设置于局域网中,在接入广域网的时候通常要经过NAT66设备,将客户端的私网IP转换为公网IP,那么在协议转换设备中接收到的来自客户端的数据包中“客户端源地址”就是转换后的公网IP,以致后续传输到服务器的“客户端源地址”就是转换后的公网IP;类似地,当处于IPv4网络中的客户端想要访问IPv6网络中的服务器时,也可能会通过NAT44对客户端地址进行转换。因为NAT66和NAT44均为本领域常规技术,我们在后续的实施例中不再提及,但是本领域技术人员应当明白,根据实际使用场景,它们是可能会被应用到。
在另一种可选的实施例中,用于跨网络传递客户端源地址的方法还可以包括:
步骤A25,协议转换设备将客户端要访问的第一协议目的地址转换为服务器的第二协议地址。
例如,IPv6客户端要访问IPv4服务器的话,协议转换设备将IPv6客户端要访问的IPv6目的地址转换为服务器的IPv4地址。
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图。如图2所示,本实施例的方法可以包括步骤B10-B30:
步骤B10,协议转换设备接收客户端的第一协议数据包,其中,第一协议数据包的应用层已被加密。
步骤B20,对第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内,得到包含客户端源地址的第二协议数据包。
在实际应用中,可以先进行协议转换得到第二协议数据包,再将客户端源地址添加到第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;也可以先将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内,再将包含客户端源地址的第一协议数据包转换为第二协议数据包。不管采用哪种方式,最后生成的第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内都包含客户端源地址。
步骤B30,将第二协议数据包发送到源地址信息转换设备,以使源地址信息转换设备完成:对第二协议数据包的应用层进行解密、读取客户端源地址、将客户端源地址添加到XFF字段,并将第二协议数据包发送到服务器。
本实施例中,协议转换设备可以为一个设备,也可以包括多个设备,只要能完成上述操作即可。
在一种可选的实施例中,用于跨网络传递客户端源地址的方法还包括:
步骤B25,协议转换设备将客户端要访问的第一协议目的地址转换为服务器的第二协议地址。
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图。如图3所示,本实施例的方法包括步骤C10-C40:
步骤C10,源地址信息转换设备接收第二协议数据包。
其中,第二协议为IPv4或IPv6;接收到的第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且第二协议数据包的应用层已被加密,客户端源地址为发起访问请求的客户端的第一协议地址。
步骤C20,对第二协议数据包的应用层进行解密,并读取客户端源地址。
因为客户端源地址是在TCP或IP包头的选项字段中或者IP包的扩展包头中,因此,读取客户端源地址和对应用层进行解密的操作,彼此之间没有依赖关系,这两个操作可以颠倒顺序执行,也可以并列执行。如果是先进行解密后读取地址的话,可以令解密后的数据包中TCP或IP包头的选项字段或者IP包的扩展包头的内容继承解密前的内容,以便后续可以顺利读取客户端源地址,另外,也可以从解密前的数据包中读取客户端源地址。
步骤C30,将客户端源地址添加到第二协议数据包的XFF字段中。
步骤C40,将第二协议数据包发送到服务器。
上述实施例一至三中虽然将各个步骤按照上述先后次序的方式进行了描述,但是本领域技术人员可以理解,为了实现本实施例的效果,不同的步骤之间不必按照这样的次序执行,其可以同时(并行)执行或以颠倒的次序执行,这些简单的变化都在本发明的保护范围之内。
本发明还提供了系统实施例,与上面的方法实施例基于相同的技术构思,下面进行详细说明。
图4是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图。如图4所示,本实施例中,第一协议和第二协议分别为IPv6和IPv4;客户端10处于IPv6网络中,其地址为IPv6源地址;服务器20处于IPv4网络中,其地址为IPv4地址,也就是客户端10要访问的IPv4目的地址;系统30包括:协议转换设备31和源地址信息转换设备32。
其中,协议转换设备31配置为:接收客户端10的第一协议(本实施例中为IPv6)数据包,其中第一协议数据包的应用层已被加密,对第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中(因为这里已经转换成了第二协议IPv4,所以没有IP扩展包头,只能添加到TCP或IP包头的选项字段中),得到包含客户端源地址的第二协议(本实施例中为IPv4)数据包,将第二协议数据包发送到源地址信息转换设备32;源地址信息转换设备32配置为:对第二协议数据包的应用层进行解密,并读取客户端源地址,将客户端源地址添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器20。
具体地,本实施例中的源地址信息转换设备32可以包括:解密设备和XFF写入设备。其中,解密设备配置为对第二协议数据包的应用层进行解密;XFF写入设备配置为:读取客户端源地址,将客户端源地址添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器。
在一种可选的实施例中,协议转换设备31还可以进一步配置为:将客户端10要访问的第一协议目的地址转换为服务器20的第二协议地址。对应于图4来说,就是将客户端10要访问的IPv6目的地址转换为服务器20的IPv4地址。
图5是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图。如图5所示,本实施例的协议转换设备31可以包括:接收模块311、转换模块312、注入模块313和发送模块314。
其中,接收模块311配置为接收客户端10的第一协议(本实施例中为IPv6)数据包,其中,第一协议数据包的应用层已被加密;转换模块312配置为对第一协议数据包转换为第二协议(本实施例中为IPv4)数据包,将客户端10要访问的第一协议目的地址转换为服务器的第二协议地址;注入模块313配置为将客户端源地址添加到第二协议数据包中TCP或IP包头的选项字段内,得到包含客户端源地址的第二协议数据包;发送模块314配置为将第二协议数据包发送到源地址信息转换设备32,以使源地址信息转换设备32完成:对第二协议数据包的应用层进行解密、读取客户端源地址、将客户端源地址添加到XFF字段,并将第二协议数据包发送到服务器20。
图6是本发明的用于跨网络传递客户端源地址的源地址信息转换设备实施例的主要构成示意图。如图6所示,本实施例中的源地址信息转换设备32可以包括:接收模块321、解密模块322、地址读取模块323、地址添加模块324和发送模块325。
其中,接收模块321配置为接收第二协议(本实施例中为IPv4)数据包,其中,第二协议数据包中TCP或IP包头的选项字段内包含客户端源地址,且第二协议数据包的应用层已被加密,客户端源地址为发起访问请求的客户端10的第一协议地址;解密模块322配置为对第二协议数据包的应用层进行解密;地址读取模块323配置为从第二协议数据包中TCP或IP包头的选项字段内内读取客户端源地址;地址添加模块324配置为将客户端源地址添加到第二协议数据包的XFF字段中;发送模块325配置为将第二协议数据包发送到服务器。
本实施例中,接收模块321、解密模块322、地址读取模块323、地址添加模块324和发送模块325可以设置在相同或不同的装置中,即源地址信息转换设备32可以为一个设备,也可以包括多个设备,可以根据实际使用场景进行设置。在实际应用中,接收模块321、解密模块322、地址读取模块323、地址添加模块324和发送模块325可以依次电连接;或者接收模块321、地址读取模块323、解密模块322、地址添加模块324和发送模块325依次电连接;或者解密模块322与地址读取模块323并联在一起组成并联模块,接收模块321、并联模块、地址添加模块324和发送模块325依次电连接。
本文中虽然只给出了将客户端IPv6源地址传递到服务器IPv4地址的系统实施例,但是,本领域技术人员明白,将客户端IPv4源地址传递到服务器IPv6地址可以采用类似的技术手段,这些都在本发明的保护范围之内。
进一步地,本发明还提供了一种存储设备的实施例。本实施例的存储设备中存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
更进一步地,本发明还提供了一种处理设备的实施例。本实施例的处理设备包括处理器和存储器。其中,处理器适于执行程序,存储器适于存储所述程序;所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤、设备、模块,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (13)
1.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
协议转换设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;
将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
2.根据权利要求1所述的用于跨网络传递客户端源地址的方法,其特征在于,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
3.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
协议转换设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内,得到包含所述客户端源地址的第二协议数据包;
将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:对所述第二协议数据包的应用层进行解密、读取所述客户端源地址、将所述客户端源地址添加到XFF字段,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
4.根据权利要求3所述的用于跨网络传递客户端源地址的方法,其特征在于,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
5.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
源地址信息转换设备接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第二协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的第一协议地址;
对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;
将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
6.一种用于跨网络传递客户端源地址的系统,其特征在于,所述系统包括:协议转换设备和源地址信息转换设备;
所述协议转换设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;对所述第一协议数据包进行协议转换,并将客户端源地址添加到TCP或IP包头的选项字段中或者IP包的扩展包头中,得到包含所述客户端源地址的第二协议数据包;将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备配置为:对所述第二协议数据包的应用层进行解密,并读取所述客户端源地址;将所述客户端源地址添加到所述第二协议数据包的XFF字段中;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
7.根据权利要求6所述的用于跨网络传递客户端源地址的系统,其特征在于,所述源地址信息转换设备包括:解密设备和XFF写入设备;
所述解密设备配置为对所述第二协议数据包的应用层进行解密;
所述XFF写入设备配置为:读取所述客户端源地址,将所述客户端源地址添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器。
8.根据权利要求6或7所述的用于跨网络传递客户端源地址的系统,其特征在于,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
9.一种用于跨网络传递客户端源地址的协议转换设备,其特征在于,所述协议转换设备包括:接收模块、转换模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述转换模块配置为将所述第一协议数据包转换为第二协议数据包;
所述注入模块配置为将客户端源地址添加到所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内,得到包含所述客户端源地址的所述第二协议数据包;
所述发送模块配置为将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:对所述第二协议数据包的应用层进行解密、读取所述客户端源地址、将所述客户端源地址添加到XFF字段,并将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
10.根据权利要求9所述的用于跨网络传递客户端源地址的协议转换设备,其特征在于,所述转换模块还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
11.一种用于跨网络传递客户端源地址的源地址信息转换设备,其特征在于,所述源地址信息转换设备包括:接收模块、解密模块、地址读取模块、地址添加模块和发送模块;
所述接收模块配置为接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第二协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的第一协议地址;
所述解密模块配置为对所述第二协议数据包的应用层进行解密;
所述地址读取模块配置为从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同;
所述接收模块、所述解密模块、所述地址读取模块、所述地址添加模块和所述发送模块设置于相同或不同的装置中。
12.一种存储设备,其存储有程序,其特征在于,所述程序适于由处理器加载并执行,以实现权利要求1-5中任一项所述的用于跨网络传递客户端源地址的方法。
13.一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
其特征在于,所述程序适于由所述处理器加载并执行,以实现权利要求1-5中任一项所述的用于跨网络传递客户端源地址的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010554291.4A CN111586208A (zh) | 2020-06-17 | 2020-06-17 | 用于跨网络传递客户端源地址的方法、系统及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010554291.4A CN111586208A (zh) | 2020-06-17 | 2020-06-17 | 用于跨网络传递客户端源地址的方法、系统及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111586208A true CN111586208A (zh) | 2020-08-25 |
Family
ID=72111293
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010554291.4A Pending CN111586208A (zh) | 2020-06-17 | 2020-06-17 | 用于跨网络传递客户端源地址的方法、系统及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111586208A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060253701A1 (en) * | 2005-05-03 | 2006-11-09 | Kim Sun-Gi | Method for providing end-to-end security service in communication network using network address translation-protocol translation |
CN103001929A (zh) * | 2011-09-08 | 2013-03-27 | 北京智慧风云科技有限公司 | 基于不同网络协议终端间的通信系统及方法 |
CN103297407A (zh) * | 2012-03-02 | 2013-09-11 | 百度在线网络技术(北京)有限公司 | 传递客户端IPv6地址及端口至后端服务器的方法及装置 |
CN103491016A (zh) * | 2012-06-08 | 2014-01-01 | 百度在线网络技术(北京)有限公司 | Udp负载均衡系统中源地址传递方法、系统及装置 |
CN110290221A (zh) * | 2019-07-09 | 2019-09-27 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
CN110324437A (zh) * | 2019-07-09 | 2019-10-11 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
CN110535879A (zh) * | 2019-09-23 | 2019-12-03 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
-
2020
- 2020-06-17 CN CN202010554291.4A patent/CN111586208A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060253701A1 (en) * | 2005-05-03 | 2006-11-09 | Kim Sun-Gi | Method for providing end-to-end security service in communication network using network address translation-protocol translation |
CN103001929A (zh) * | 2011-09-08 | 2013-03-27 | 北京智慧风云科技有限公司 | 基于不同网络协议终端间的通信系统及方法 |
CN103297407A (zh) * | 2012-03-02 | 2013-09-11 | 百度在线网络技术(北京)有限公司 | 传递客户端IPv6地址及端口至后端服务器的方法及装置 |
CN103491016A (zh) * | 2012-06-08 | 2014-01-01 | 百度在线网络技术(北京)有限公司 | Udp负载均衡系统中源地址传递方法、系统及装置 |
CN110290221A (zh) * | 2019-07-09 | 2019-09-27 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
CN110324437A (zh) * | 2019-07-09 | 2019-10-11 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
CN110535879A (zh) * | 2019-09-23 | 2019-12-03 | 中星科源(北京)信息技术有限公司 | 一种原始地址传输方法、系统、存储介质和处理器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10972436B1 (en) | System and method for session affinity in proxy media routing | |
US8654755B2 (en) | Device and method for communicating with another communication device via network forwarding device | |
US7924832B2 (en) | Facilitating transition of network operations from IP version 4 to IP version 6 | |
US7631181B2 (en) | Communication apparatus and method, and program for applying security policy | |
JP5360233B2 (ja) | 負荷分散システム及びその方法 | |
FR2869180A1 (fr) | Systeme de communication et dispositif de passerelle | |
JP5122587B2 (ja) | 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、接続制御システム、及びプログラム | |
US7023847B2 (en) | Network address translation based mobility management | |
US10652204B2 (en) | ReNAT systems and methods | |
AU2023203289A1 (en) | Systems and methods for providing a ReNAT communications environment | |
IL145105A (en) | Method and system for providing a web service by a plurality of web domains through a single ip address | |
US8646066B2 (en) | Security protocol control apparatus and security protocol control method | |
CN111586207A (zh) | 用于跨网络传递客户端源地址的方法、系统及相关设备 | |
CN111586208A (zh) | 用于跨网络传递客户端源地址的方法、系统及相关设备 | |
CN111586209A (zh) | 用于跨网络传递客户端源地址的方法、系统及相关设备 | |
KR101002142B1 (ko) | 이종 ip 망 환경에서의 정보 서비스 제공 방법 | |
CN112751816B (zh) | 一种隧道建立方法、装置、设备及计算机可读存储介质 | |
US11165824B2 (en) | Transport layer security extension for hybrid information centric networking | |
CN117938801A (zh) | 一种资源访问方法、装置、电子设备及介质 | |
CN116866003A (zh) | 一种内外网通讯方法、装置、电子设备及存储介质 | |
Zheng et al. | Security transmission of FTP data based on IPsec | |
CN117614929A (zh) | 一种基于udp穿透nat实现p2p通信的方法及设备 | |
KR20150089894A (ko) | 쿠키 프락시 기능을 구비한 네트워크 주소 변환 장치 및 쿠키 프락시 기능을 지원하는 네트워크 주소 변환 방법 | |
CN117176678A (zh) | 一种数据处理的方法及装置、电子设备、存储介质 | |
Hu | Proxy for host identity protocol |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200825 |
|
RJ01 | Rejection of invention patent application after publication |