CN111586209A - 用于跨网络传递客户端源地址的方法、系统及相关设备 - Google Patents

用于跨网络传递客户端源地址的方法、系统及相关设备 Download PDF

Info

Publication number
CN111586209A
CN111586209A CN202010555312.4A CN202010555312A CN111586209A CN 111586209 A CN111586209 A CN 111586209A CN 202010555312 A CN202010555312 A CN 202010555312A CN 111586209 A CN111586209 A CN 111586209A
Authority
CN
China
Prior art keywords
protocol
packet
data packet
protocol data
source address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010555312.4A
Other languages
English (en)
Inventor
王询亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Hongtu Jiadu Communication Equipment Co ltd
Original Assignee
Beijing Hongtu Jiadu Communication Equipment Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Hongtu Jiadu Communication Equipment Co ltd filed Critical Beijing Hongtu Jiadu Communication Equipment Co ltd
Priority to CN202010555312.4A priority Critical patent/CN111586209A/zh
Publication of CN111586209A publication Critical patent/CN111586209A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/167Adaptation for transition between two IP versions, e.g. between IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/659Internet protocol version 6 [IPv6] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备,旨在解决数据包的应用层被加密后客户端源地址不便于写入XFF字段进行传递的问题。本发明的用于跨网络传递客户端源地址的方法包括:地址注入设备接收客户端的第一协议数据包,将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内,再发送到协议转换设备;协议转换设备进行协议转换和应用层解密,得到第二协议数据包并发送到源地址信息转换设备;源地址信息转换设备读取客户端源地址,并添加到XFF字段中,将第二协议数据包发送到服务器。本发明解决了加密后的数据包中不便于将客户端源地址添加到XFF中进行传递的问题。

Description

用于跨网络传递客户端源地址的方法、系统及相关设备
技术领域
本发明涉及IPv4/IPv6通信技术领域,具体涉及一种用于跨网络传递客户端源地址的方法、系统及相关设备。
背景技术
随着IPv4地址的枯竭,人们开始使用IPv6网络替代IPv4网络,在替代的过渡阶段经常同时存在IPv4和IPv6网络共存的情况,用户使用IPv4或IPv6网络时也就存在IPv4和IPv6两个网络之间互不兼容的问题。因为存在两种网络互不兼容的问题,客户端对网站的访问请求就不能简单地从客户端的浏览器直达网站的服务器,中间可能经过协议转换系统或代理服务器等设备,所以服务器接收到客户端的访问请求时,数据包中的源IP地址已不是客户端的源地址。
现有技术中,有时会由协议转换系统或代理服务器将客户端源地址写入到HTTP请求数据包的XFF字段中,然后再发送给服务器,服务器通过读取XFF字段从而获得客户端的源地址。但是在实际应用中,客户端在发出数据包时通常会对应用层进行加密,使得协议转换系统或代理服务器等设备不便于在XFF中添加客户端源地址,以致于无法将客户端源地址传递到服务器。
有鉴于此,特提出本发明。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种用于跨网络传递客户端源地址的方法、系统及相关设备,解决了在应用层被加密后客户端源地址的跨网络传输问题。
本发明的第一方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备;
所述协议转换设备对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第二方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:对所述第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将所述第二协议数据包发送到源地址信息转换设备;
其中,
所述源地址信息转换设备用于从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第三方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
协议转换设备接收第一协议数据包,其中,所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第一协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的地址;
对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第四方面,提出一种用于跨网络传递客户端源地址的方法,所述方法包括:
源地址信息转换设备接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的第一协议地址;
读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第五方面,提出一种用于跨网络传递客户端源地址的系统,所述系统包括:地址注入设备、协议转换设备和源地址信息转换设备;
所述地址注入设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;将所述第一协议数据包发送到协议转换设备;
所述协议转换设备配置为:对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备配置为:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
优选地,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
本发明的第六方面,提出一种用于跨网络传递客户端源地址的地址注入设备,所述地址注入设备包括:接收模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述注入模块配置为将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
所述发送模块配置为将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:对所述第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将所述第二协议数据包发送到源地址信息转换设备;
其中,
所述源地址信息转换设备用于从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第七方面,提出一种用于跨网络传递客户端源地址的协议转换设备,所述协议转换设备包括:接收模块、转换模块、解密模块和发送模块;
所述接收模块配置为接收第一协议数据包,其中,所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第一协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的地址;
所述转换模块配置为对所述第一协议数据包进行协议转换,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述解密模块配置为对所述第二协议数据包的应用层进行解密,解密后的所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承解密前所述第二协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述发送模块配置为将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第八方面,提出一种用于跨网络传递客户端源地址的源地址信息转换设备,所述源地址信息转换设备包括:接收模块、地址读取模块、地址添加模块和发送模块;
所述接收模块配置为接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的第一协议地址;
所述地址读取模块配置为从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
本发明的第九方面,提出一种存储设备,其存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本发明的第十方面,提出一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
与最接近的现有技术相比,本发明具有如下有益效果:
本发明提出的用于跨网络传递客户端源地址的方法与系统,针对客户端跨网络访问服务器的情况,由地址注入设备接收客户端的第一协议数据包,并将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内,然后将第一协议数据包发送到协议转换设备;再由协议转换设备进行协议转换和应用层解密,得到第二协议数据包并发送到源地址信息转换设备;最后由源地址信息转换设备从第二协议数据包中读取客户端源地址并添加到XFF字段中,将第二协议数据包发送到服务器,从而使得服务器可以从XFF字段中获取到客户端源地址。本发明解决了加密后的数据包中不便于将客户端源地址添加到XFF中的问题,在保证数据传输安全性的基础上,实现了跨网络传递客户端源地址。
附图说明
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图;
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图;
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图;
图4是本发明的用于跨网络传递客户端源地址的方法实施例四的主要步骤示意图;
图5是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图;
图6是本发明的用于跨网络传递客户端源地址的地址注入设备实施例的主要构成示意图;
图7是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图;
图8是本发明的用于跨网络传递客户端源地址的源地址信息转换设备实施例的主要构成示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
本发明中提到的“跨网络”,是指IPv4网络的客户端去访问IPv6网络的服务器,或者IPv6网络的客户端去访问IPv4网络的服务器。“第一协议”与“第二协议”分别为IPv4和IPv6中的一种,且互不相同。“第一协议”为IPv4,且“第二协议”为IPv6;或者,“第一协议”为IPv6,且“第二协议”为IPv4。客户端所处的网络使用第一协议,服务器所处的网络使用第二协议。
本领域人员应当明白,只要符合本发明的设计思路,实施例中的设备的名称、构成和执行步骤均可以进行适当的变化,不会对本发明要求保护的范围构成限制。
下面实施例一至实施例四的主要思路是:地址注入设备接收客户端的数据包(该数据包的应用层已经被加密),并将客户端源地址添加到TCP或IP包头的选项字段内或者IP包的扩展包头内(当第一协议为IPv4时,添加到TCP或IP包头的选项字段中;当第一协议为IPv6时,添加到TCP包头的选项字段中或IP包的扩展包头中),然后发送到协议转换设备;协议转换设备对数据包进行协议转换和应用层解密,并发送到源地址信息转换设备;源地址信息转换设备读取客户端源地址,并添加到XFF字段中,然后发送给服务器。其中,实施例一是以地址注入设备、协议转换设备和源地址信息转换设备为执行主体的,实施例二、三、四分别以地址注入设备、协议转换设备、源地址信息转换设备为执行主体。
图1是本发明的用于跨网络传递客户端源地址的方法实施例一的主要步骤示意图。如图1所示,本实施例的方法包括步骤D10-D70:
步骤D10,地址注入设备接收客户端的第一协议数据包。
其中,第一协议数据包的应用层已被加密(如,进行了SSL加密)。
步骤D20,将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内。
步骤D30,将第一协议数据包发送到协议转换设备。
本实施例中,地址注入设备可以为一个设备,由该设备来完成步骤D10-D30的操作;地址注入设备也可以包括多个设备,每个设备分别完成步骤D10-D30中的一项或多项操作。
步骤D40,协议转换设备对第一协议数据包进行协议转换和应用层解密,得到第二协议数据包。其中,第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容,以便让客户端源地址能够得以继续传输。
这里的协议转换和应用层解密可以交换顺序执行。
步骤D50,将第二协议数据包发送到源地址信息转换设备。
本实施例中,协议转换设备可以为一个设备,由该设备完成步骤D40-D50的操作;协议转换设备也可以为多个设备,由每个设备分别完成步骤D40-D50中的一项或多项操作。
步骤D60,源地址信息转换设备从第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取客户端源地址,并添加到第二协议数据包的XFF字段中。
步骤D70,将第二协议数据包发送到服务器。
本实施例中,源地址信息转换设备可以为一个设备,由该设备完成步骤D60-D70的操作;源地址信息转换设备也可以为多个设备,由每个设备分别完成步骤D60-D70中的一项或多项操作。
在实际应用中,当处于IPv6网络的客户端想要访问IPv4网络中的服务器时,因为客户端可能设置于局域网中,在接入广域网的时候通常要经过NAT66设备,将客户端的私网IP转换为公网IP,那么在地址注入设备中接收到的来自客户端的数据包中“客户端源地址”就是转换后的公网IP,以致后续传输到服务器的“客户端源地址”就是转换后的公网IP;类似地,当处于IPv4网络中的客户端想要访问IPv6网络中的服务器时,也可能会通过NAT44对客户端地址进行转换。因为NAT66和NAT44均为本领域常规技术,我们在后续的实施例中不再提及,但是本领域技术人员应当明白,根据实际使用场景,它们是可能会被应用到。
在一种可选的实施例中,用于跨网络传递客户端源地址的方法还可以包括:
步骤D45,协议转换设备将客户端要访问的第一协议目的地址转换为服务器的第二协议地址。
图2是本发明的用于跨网络传递客户端源地址的方法实施例二的主要步骤示意图。如图2所示,本实施例的方法包括步骤E10-E30:
步骤E10,地址注入设备接收客户端的第一协议数据包。
其中,第一协议数据包的应用层已被加密。
步骤E20,将客户端源地址添加到第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内。
步骤E30,将第一协议数据包发送到协议转换设备,以使协议转换设备完成:对第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将第二协议数据包发送到源地址信息转换设备。
其中,源地址信息转换设备用于完成:从第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取客户端源地址,并添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器。
图3是本发明的用于跨网络传递客户端源地址的方法实施例三的主要步骤示意图。如图3所示,本实施例的方法包括步骤F10-F30:
步骤F10,协议转换设备接收第一协议数据包。
其中,第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且第一协议数据包的应用层已被加密,客户端源地址为发起访问请求的客户端的第一协议地址。
步骤F20,对第一协议数据包进行协议转换和应用层解密,得到第二协议数据包。其中,第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容。
步骤F30,将第二协议数据包发送到源地址信息转换设备,以使源地址信息转换设备完成:从第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取客户端源地址,并添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器。
图4是本发明的用于跨网络传递客户端源地址的方法实施例四的主要步骤示意图。如图4所示,本实施例的方法包括步骤G10-G30:
步骤G10,源地址信息转换设备接收第二协议数据包。
其中,第二协议为IPv4或IPv6;第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址;客户端源地址为发起访问请求的客户端的第一协议地址。
步骤G20,读取客户端源地址,并添加到第二协议数据包的XFF字段中。
步骤G30,将第二协议数据包发送到服务器。
上述实施例一至四中虽然将各个步骤按照上述先后次序的方式进行了描述,但是本领域技术人员可以理解,为了实现本实施例的效果,不同的步骤之间不必按照这样的次序执行,其可以同时(并行)执行或以颠倒的次序执行,这些简单的变化都在本发明的保护范围之内。
本发明还提供了系统实施例,与上面的方法实施例基于相同的技术构思,下面进行详细说明。
图5是本发明的用于跨网络传递客户端源地址的系统实施例的主要构成示意图。如图5所示,本实施例中,第一协议和第二协议分别为IPv6和IPv4;客户端10处于IPv6网络中,其地址为IPv6源地址;服务器20处于IPv4网络中,其地址为IPv4地址,也就是客户端10要访问的IPv4目的地址;本实施例的系统40包括:地址注入设备41、协议转换设备42和源地址信息转换设备43。
其中,地址注入设备41配置为:接收客户端的第一协议数据包,其中第一协议数据包的应用层已被加密,将客户端源地址添加到第一协议数据包中TCP包头的选项字段内或者IP包的扩展包头内(本实施例中第一协议为IPv6,若第一协议为IPv4则添加到TCP或IP包头的选项字段内),将第一协议数据包发送到协议转换设备42;协议转换设备42配置为:对第一协议数据包进行协议转换和应用层解密,得到第二协议数据包,第二协议(本实施例中为IPv4)数据包中TCP或IP包头的选项字段继承第一协议数据包中TCP包头的选项字段中或者IP包的扩展包头中的内容;将第二协议数据包发送到源地址信息转换设备43;源地址信息转换设备43配置为:从第二协议数据包中TCP或IP包头的选项字段内读取客户端源地址,并添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器。
在一种可选的实施例中,协议转换设备42还可以进一步配置为:将客户端10要访问的第一协议目的地址转换为服务器20的第二协议地址。
图6是本发明的用于跨网络传递客户端源地址的地址注入设备实施例的主要构成示意图。如图6所示,本实施例中的地址注入设备41可以包括:接收模块411、注入模块412和发送模块413。
其中,接收模块411配置为接收客户端10的第一协议数据包,其中,第一协议数据包的应用层已被加密;注入模块412配置为将客户端源地址添加到第一协议(本实施例中为IPv6)数据包中TCP包头的选项字段内或者IP扩展包头内;发送模块413配置为将第一协议数据包发送到协议转换设备42,以使协议转换设备42完成:对第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将第二协议数据包发送到源地址信息转换设备43。
图7是本发明的用于跨网络传递客户端源地址的协议转换设备实施例的主要构成示意图。如图7所示,本实施例中的协议转换设备42可以包括:接收模块421、转换模块422、解密模块423和发送模块424。
其中,接收模块421配置为接收第一协议数据包,其中,第一协议(本实施例中为IPv6)数据包中TCP包头的选项字段内或者IP扩展包头内包含客户端源地址,且第一协议数据包的应用层已被加密,客户端源地址为发起访问请求的客户端10的地址;转换模块422配置为对第一协议数据包进行协议转换(例如,NAT64),得到第二协议(本实施例中为IPv4)数据包,第二协议数据包中TCP或IP包头的选项字段继承第一协议数据包中TCP包头的选项字段中或者IP扩展包头中的内容;解密模块423配置为对第二协议数据包的应用层进行解密,解密后的第二协议数据包中TCP或IP包头的选项字段继承解密前第二协议数据包中TCP或IP包头的选项字段中的内容;发送模块424配置为将第二协议数据包发送到源地址信息转换设备43,以使源地址信息转换设备43完成:从第二协议数据包中TCP或IP包头的选项字段内读取客户端源地址,并添加到第二协议数据包的XFF字段中,将第二协议数据包发送到服务器。
图8是本发明的用于跨网络传递客户端源地址的源地址信息转换设备实施例的主要构成示意图。如图8所示,本实施例中的源地址信息转换设备43包括:接收模块431、地址读取模块432、地址添加模块433和发送模块434。
其中,接收模块431配置为接收第二协议(本实施例中为IPv4)数据包,其中,第二协议数据包中TCP或IP包头的选项字段内包含客户端源地址,客户端源地址为发起访问请求的客户端的地址;地址读取模块432配置为从第二协议数据包中TCP或IP包头的选项字段内读取客户端源地址;地址添加模块433配置为将客户端源地址添加到第二协议数据包的XFF字段中;发送模块434配置为将第二协议数据包发送到服务器。
本文中虽然只给出了将客户端IPv6源地址传递到服务器IPv4地址的系统实施例,但是,本领域技术人员明白,将客户端IPv4源地址传递到服务器IPv6地址可以采用类似的技术手段,这些都在本发明的保护范围之内。
进一步地,本发明还提供了一种存储设备的实施例。本实施例的存储设备中存储有程序,所述程序适于由处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
更进一步地,本发明还提供了一种处理设备的实施例。本实施例的处理设备包括处理器和存储器。其中,处理器适于执行程序,存储器适于存储所述程序;所述程序适于由所述处理器加载并执行,以实现上面所述的用于跨网络传递客户端源地址的方法。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤、设备、模块,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。

Claims (12)

1.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备;
所述协议转换设备对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;其中,所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
2.根据权利要求1所述的用于跨网络传递客户端源地址的方法,其特征在于,在“将所述第二协议数据包发送到源地址信息转换设备”之前,所述方法还包括:
所述协议转换设备将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
3.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
地址注入设备接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:对所述第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将所述第二协议数据包发送到源地址信息转换设备;
其中,
所述源地址信息转换设备用于从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
4.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
协议转换设备接收第一协议数据包,其中,所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第一协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的地址;
对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
5.一种用于跨网络传递客户端源地址的方法,其特征在于,所述方法包括:
源地址信息转换设备接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的第一协议地址;
读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;
将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
6.一种用于跨网络传递客户端源地址的系统,其特征在于,所述系统包括:地址注入设备、协议转换设备和源地址信息转换设备;
所述地址注入设备配置为:接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;将所述第一协议数据包发送到协议转换设备;
所述协议转换设备配置为:对所述第一协议数据包进行协议转换和应用层解密,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;将所述第二协议数据包发送到源地址信息转换设备;
所述源地址信息转换设备配置为:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中;将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
7.根据权利要求6所述的用于跨网络传递客户端源地址的系统法,其特征在于,所述协议转换设备还配置为:
将所述客户端要访问的第一协议目的地址转换为所述服务器的第二协议地址。
8.一种用于跨网络传递客户端源地址的地址注入设备,其特征在于,所述地址注入设备包括:接收模块、注入模块和发送模块;
所述接收模块配置为接收客户端的第一协议数据包,其中,所述第一协议数据包的应用层已被加密;
所述注入模块配置为将客户端源地址添加到所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内;
所述发送模块配置为将所述第一协议数据包发送到协议转换设备,以使所述协议转换设备完成:对所述第一协议数据包进行协议转换和应用层解密得到第二协议数据包,将所述第二协议数据包发送到源地址信息转换设备;
其中,
所述源地址信息转换设备用于从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
9.一种用于跨网络传递客户端源地址的协议转换设备,其特征在于,所述协议转换设备包括:接收模块、转换模块、解密模块和发送模块;
所述接收模块配置为接收第一协议数据包,其中,所述第一协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,且所述第一协议数据包的应用层已被加密,所述客户端源地址为发起访问请求的客户端的地址;
所述转换模块配置为对所述第一协议数据包进行协议转换,得到第二协议数据包;所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承所述第一协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述解密模块配置为对所述第二协议数据包的应用层进行解密,解密后的所述第二协议数据包中TCP或IP包头的选项字段或者IP包的扩展包头继承解密前所述第二协议数据包中TCP或IP包头的选项字段中或者IP包的扩展包头中的内容;
所述发送模块配置为将所述第二协议数据包发送到源地址信息转换设备,以使所述源地址信息转换设备完成:从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址,并添加到所述第二协议数据包的XFF字段中,将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
10.一种用于跨网络传递客户端源地址的源地址信息转换设备,其特征在于,所述源地址信息转换设备包括:接收模块、地址读取模块、地址添加模块和发送模块;
所述接收模块配置为接收第二协议数据包,其中,所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内包含客户端源地址,所述客户端源地址为发起访问请求的客户端的第一协议地址;
所述地址读取模块配置为从所述第二协议数据包中TCP或IP包头的选项字段内或者IP包的扩展包头内读取所述客户端源地址;
所述地址添加模块配置为将所述客户端源地址添加到所述第二协议数据包的XFF字段中;
所述发送模块配置为将所述第二协议数据包发送到服务器;
其中,所述第一协议与所述第二协议分别为IPv4和IPv6中的一种,且互不相同。
11.一种存储设备,其存储有程序,其特征在于,所述程序适于由处理器加载并执行,以实现权利要求1-5中任一项所述的用于跨网络传递客户端源地址的方法。
12.一种处理设备,包括处理器和存储器;
所述处理器适于执行程序;
所述存储器适于存储所述程序;
其特征在于,所述程序适于由所述处理器加载并执行,以实现权利要求1-5中任一项所述的用于跨网络传递客户端源地址的方法。
CN202010555312.4A 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备 Pending CN111586209A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010555312.4A CN111586209A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010555312.4A CN111586209A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Publications (1)

Publication Number Publication Date
CN111586209A true CN111586209A (zh) 2020-08-25

Family

ID=72120113

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010555312.4A Pending CN111586209A (zh) 2020-06-17 2020-06-17 用于跨网络传递客户端源地址的方法、系统及相关设备

Country Status (1)

Country Link
CN (1) CN111586209A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185073A1 (en) * 2009-11-25 2011-07-28 Ashok Kumar Jagadeeswaran Systems and methods for client ip address insertion via tcp options
CN110290221A (zh) * 2019-07-09 2019-09-27 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110324437A (zh) * 2019-07-09 2019-10-11 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110185073A1 (en) * 2009-11-25 2011-07-28 Ashok Kumar Jagadeeswaran Systems and methods for client ip address insertion via tcp options
CN110290221A (zh) * 2019-07-09 2019-09-27 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110324437A (zh) * 2019-07-09 2019-10-11 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器
CN110535879A (zh) * 2019-09-23 2019-12-03 中星科源(北京)信息技术有限公司 一种原始地址传输方法、系统、存储介质和处理器

Similar Documents

Publication Publication Date Title
US10972436B1 (en) System and method for session affinity in proxy media routing
US7631181B2 (en) Communication apparatus and method, and program for applying security policy
JP5018654B2 (ja) 通信システム
CN105430059A (zh) 智能客户端路由
US7649897B2 (en) Method and apparatus for transmitting data in a system using network address translation
CN105516062B (zh) 一种实现L2TP over IPsec接入的方法
JP4260659B2 (ja) パケットのnat透過機能を有する端末装置及びそのプログラム
JP7502484B2 (ja) ネットワークアクセス方法、メディアゲートウェイ、電子機器及び記憶媒体
CN107124483A (zh) 域名解析方法及服务器
JP5122587B2 (ja) 接続制御方法、接続制御サーバ装置、接続制御クライアント装置、接続制御システム、及びプログラム
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
US7023847B2 (en) Network address translation based mobility management
US9413590B2 (en) Method for management of a secured transfer session through an address translation device, corresponding server and computer program
CN112769835B (zh) 一种访问请求的发起方法及终端设备
CN111586207A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
RU2685036C2 (ru) СИСТЕМЫ И СПОСОБЫ ДЛЯ ОБЕСПЕЧЕНИЯ СРЕДЫ СВЯЗИ ReNAT
CN111586209A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
JP4003634B2 (ja) 情報処理装置
CN111586208A (zh) 用于跨网络传递客户端源地址的方法、系统及相关设备
CN114827078A (zh) 节点访问方法以及数据传输系统
JP7391496B2 (ja) パケット通信システム
JP2007189752A (ja) 通信方法
US11949593B2 (en) Stateless address translation at an autonomous system (AS) boundary for host privacy
CN106572121A (zh) 一种vpn数据的审计方法和装置
CN117938801A (zh) 一种资源访问方法、装置、电子设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200825

WD01 Invention patent application deemed withdrawn after publication