一种报文处理方法及装置转让专利
申请号 : CN201910458374.0
文献号 : CN110166474B
文献日 : 2021-07-09
发明人 : 岳炳词
申请人 : 新华三信息安全技术有限公司
摘要 :
权利要求 :
1.一种报文处理方法,其特征在于,应用于防火墙设备,所述方法包括:接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
2.根据权利要求1所述的方法,其特征在于,在接收到所述认证报文之后,所述方法还包括:检测所述认证报文的目的端口是否为预设端口;若为预设端口,则从所述认证报文的载荷中提取所述第一IP地址和第一认证校验信息,执行所述判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系的步骤;
在接收到所述数据报文之后,所述方法还包括:检测所述数据报文的目的端口是否为预设端口;若为预设端口,则从所述数据报文的预设位置处提取所述第二数据校验信息,执行所述若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文的步骤。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息的哈希值,作为第二认证校验信息;
所述根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息和所述第一IP地址的哈希值,作为第一数据校验信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息的步骤,包括:为所述用户设备分配临时密钥;根据所述第一IP地址、所述第一用户信息和所述临时密钥,确定第一数据校验信息;
所述向所述用户设备发送指示认证成功的响应报文的步骤,包括:向所述用户设备发送指示认证成功且携带所述临时密钥的响应报文。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一认证校验信息和所述第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关系,确定所述第一IP地址对应的第二IP地址;
所述向所述用户设备发送指示认证成功的响应报文的步骤,包括:向所述用户设备发送指示认证成功且携带所述第二IP地址的响应报文,以使所述用户设备从所述第二IP地址中选择一个IP地址,向所述防火墙设备发送目的地址为所选择的IP地址的数据报文。
6.一种报文转发方法,其特征在于,应用于用户设备,所述方法包括:根据所述用户设备的第二用户信息,确定第一认证校验信息;
向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
7.根据权利要求6所述的方法,其特征在于,所述向防火墙设备发送认证报文的步骤,包括:将认证报文的目的端口修改为预设端口;向防火墙设备发送目的端口为所述预设端口的认证报文;
所述向所述防火墙设备发送携带所述第二数据校验信息的数据报文的步骤,包括:将数据报文的目的端口修改为预设端口;将所述第二数据校验信息插入所述数据报文的预设位置处,向所述防火墙设备发送目的端口为预设端口且插入所述第二数据校验信息的数据报文。
8.根据权利要求6所述的方法,其特征在于,所述根据所述用户设备的第一用户信息,确定第一认证校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息的哈希值,作为第一认证校验信息;
所述根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息的步骤,包括:根据所述响应报文,计算所述第二用户信息和所述第一IP地址的哈希值,作为第二数据校验信息。
9.根据权利要求6所述的方法,其特征在于,所述响应报文还携带有所述防火墙设备为所述用户设备分配的临时密钥;
所述根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息的步骤,包括:
根据所述第一IP地址、所述第二用户信息和所述临时密钥,确定第二数据校验信息。
10.根据权利要求6所述的方法,其特征在于,所述响应报文还携带有允许所述第一IP地址访问的第二IP地址;
所述向所述防火墙设备发送携带所述第二数据校验信息的数据报文的步骤,包括:从所述第二IP地址选择一个IP地址;
向所述防火墙设备发送目的地址为所选择的IP地址的数据报文。
11.一种报文处理方法,其特征在于,应用于防火墙设备,所述方法包括:接收用户设备通过网络地址转换NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述NAT设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
12.一种报文转发方法,其特征在于,应用于用户设备,所述方法包括:根据所述用户设备的第二用户信息,确定第一认证校验信息;
通过网络地址转换NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证成功的响应报文;
根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
13.一种报文处理装置,其特征在于,应用于防火墙设备,所述装置包括:接收单元,用于接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
发送单元,用于向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
14.一种报文转发装置,其特征在于,应用于用户设备,所述装置包括:第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
第一发送单元,用于向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
第二发送单元,用于向所述防火墙设备发送携带所述第二数据校验信息的数据报文;
以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
15.一种报文处理装置,其特征在于,应用于防火墙设备,所述装置包括:接收单元,用于接收用户设备通过网络地址转换NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
发送单元,用于通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述NAT设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
16.一种报文转发装置,其特征在于,应用于用户设备,所述装置包括:第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
第一发送单元,用于通过网络地址转换NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证成功的响应报文;
第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
第二发送单元,用于通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
17.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1‑12任一所述的方法步骤。
18.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1‑12任一所述的方法步骤。
说明书 :
一种报文处理方法及装置
技术领域
背景技术
(Internet Protocol version 6,网络协议第六版)地址逐渐被广泛使用。这使得互联网中
出现IPv4网络和IPv6网络共存的现象。
的对应关系,将用户与IP地址绑定。当防火墙设备接收到一个数据报文的源IP地址包括在
记录的对应关系中时,确定该数据报文为合法报文,则转发该数据报文。在IPv4网络和IPv6
网络共存的互联网中,若IPv4网络中的设备和IPv6 网络中的设备互访,则NAT(Network
Address Translation,网络地址转换)设备会对报文的源IP地址进行NAT处理。这使得防火
墙设备对用户信息认证成功后,用户绑定的IP地址为NAT处理后的IP地址。
户的报文有可能被发送给服务器,认证成功的用户有可能无法正常访问服务器,进而导致
网络安全问题。另外,用户绑定的IP地址为NAT处理后的IP地址,这使得用户绑定的IP地址
容易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
发明内容
报文后,利用所述第一IP地址和所述第一用户信息生成的;
户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应
关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一
认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信
息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
下,转发所述数据报文。
接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关
系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认
证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP
地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的
响应报文;
验信息相同的情况下,转发所述数据报文。
息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生
成的;
的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在
所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信
息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所
述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证
成功的响应报文;
验信息相同的情况下,转发所述数据报文。
二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第
一用户信息生成的;
先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第
一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确
定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所
述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户
设备发送指示认证成功的响应报文;
和所述第一数据校验信息相同的情况下,转发所述数据报文。
述机器可执行指令促使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所
述的方法步骤。
使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所述的方法步骤。
一IP地址对应的第一用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证
校验信息相同,则可确定对用户设备认证成功,根据第一IP地址和第一用户信息确定第一
数据校验信息,即通过第一数据校验信息,实现IP地址与用户信息的绑定。当用户设备发送
的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备转发该数据
报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
附图说明
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
络架构,包括位于IPv4网络的用户设备100、NAT设备101和位于IPv6网络的服务器102。其
中,用户设备100的IP地址为IPv4 地址1。服务器102的地址为IPv6地址1。此时,用户设备
100访问服务器102时,将报文发送给NAT 设备101。NAT设备101从预设地址池中随机选择一
个IPv6地址,如IPv6地址2,将报文的源IP地址 (即IPv4地址1)转换为IPv6地址2,并将转换
地址后的报文发送给服务器102,即将源IP地址为IPv6 地址2的报文发送给服务器102。根
据配置的策略不同,NAT设备可以仅对用户设备100发送的报文的源地址进行NAT处理,也可
以对用户设备100发送的报文的源地址和目的地址均进行NAT处理。这里不做具体限定。
此时,用户设备200 访问服务器202时,将认证报文发送给防火墙设备201,其中,认证报文
包括用户设备200的用户信息。防火墙设备201判断预先存储的用户信息中是否存在该用户
信息。若存在,防火墙设备201记录认证报文的源IP地址(即用户设备200的IP地址)与用户
信息的对应关系。防火墙设备201接收到用户设备 200发送的数据报文后,若数据报文的源
IP地址包括在记录的对应关系中,则防火墙设备201将数据报文转发给服务器202。
301、防火墙设备302和服务器303。其中,若用户设备300位于IPv6网络,则服务器303位于
IPv4网络。若用户设备300位于 IPv4网络,则服务器303位于IPv6网络。
址,也可能会将同一的源IP地址转换为不同的IP地址。这使得防火墙设备302对认证报文包
括的用户信息认证成功后,记录的用户信息对应的IP地址不唯一,即用户和IP地址的绑定
缺乏唯一性,导致认证未通过的用户的报文有可能被发送给服务器,认证成功的用户有可
能无法正常访问服务器,进而导致网络安全问题。另外,用户绑定的IP地址为NAT处理后的
IP地址,NAT处理后的IP地址为对大众开放的地址池中的地址,这使得用户绑定的IP地址容
易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
认证报文的载荷中发送给防火墙设备。防火墙设备根据预先存储的第一IP地址对应的第一
用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证校验信息相同,则可确
定对用户设备认证成功,并根据第一IP地址和第一用户信息确定第一数据校验信息。当用
户设备发送的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备
转发该数据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
户设备根据用户设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和
第一认证校验信息携带在认证报文的载荷中发送给防火墙设备。其中,用户信息可以包括
用户名、用户密码和用户身份密钥等信息。
(hash)值,即计算第二用户信息的hash值,作为第一认证校验信息。再一个示例中,用户设
备可以将第二用户信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP
地址的hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高
了网络安全性。
火墙设备。如图2所示,用户设备200可直接将认证报文发送给防火墙设备201。
IP地址被NAT设备进行 NAT处理,可成功的将第一IP地址发送给防火墙设备。
为用户信息。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
证处理,即从认证报文的载荷中提取第一IP地址和第一认证校验信息。之后,防火墙设备可
执行步骤402,判断预先存储有允许访问的 IP地址与用户信息的对应关系中是否存在包括
第一IP地址的第一对应关系。若检测到认证报文的目的端口不是预设端口,则防火墙设备
可确定对认证报文认证失败,即对第二用户信息认证失败,向用户设备发送指示认证失败
的响应报文。
第一用户信息的hash值,作为第二认证校验信息。再一个示例中,防火墙设备可以将第一用
户信息和第一IP地址作为元素生成hash 值,即计算第一用户信息和第一IP地址的hash值,
作为第二认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络安全性。
户信息和第二用户信息相同,执行步骤405和步骤406。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,向用户设备发送指示认证失败的响应报文。
用户信息和第一IP地址作为元素生成hash值,即计算第一用户信息和第一IP地址的hash
值,作为第一数据校验信息。
钥,确定第一数据校验信息。其中,临时密钥为用户设备本次登录使用的密钥,用户设备每
次登录时确定的临时密钥均不相同。另外,防火墙设备将临时密钥存储在响应报文的载荷
的任意位置处,进而将临时密钥发送给用户设备。
息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
处理。该用户登录信息表可以包括第一用户信息、用户设备的第一IP地址、临时密钥和第一
数据校验信息等信息,如表2所示。
一数据校验信息。
IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT设备对报文的源
IP地址进行NAT处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。另外,通过认证校
验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降低了NAT处理后的
IP地址容易被窃取的带来风险,提高了网络安全性。
利用第一IP地址和第一用户信息生成的。
响应报文,确定对第二用户信息认证成功,然后利用第一IP地址和第一用户信息确定第二
数据校验信息,向防火墙设备发送携带第二数据校验信息的数据报文。
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
确定第二数据校验信息。一个示例中,用户设备可以将第二用户信息、第一IP地址和临时密
钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时密钥的hash值,作为第二
数据校验信息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
实施例不限定步骤405和步骤 406的执行顺序。
可确定该数据报文为合法报文,执行步骤408,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
向防火墙设备发送目的端口为预设端口且携带第二数据校验信息的数据报文。其中,预设
端口用于指示报文为需要认证的报文。预设位置可以为数据报文的载荷尾部,也可以为数
据报文的载荷中部,还可以为数据报文的载荷头部,本申请实施例对此不进行限定。
证处理,即从数据报文的预设位置处提取第二数据校验信息。之后防火墙设备可执行步骤
407,检测数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若检测到数
据报文的目的端口不是预设端口,则防火墙设备可确定对数据报文认证失败,该数据报文
为非法报文,丢弃该数据报文。
置处。防火墙设备在接收到数据报文之后,若检测到数据报文的目的端口为预设端口,则从
数据报文的预设位置处提取第二数据校验信息和源端口拼接的字符串,从该字符串中提取
出第二数据校验信息。这样,可以进一步提高数据传输的安全性。
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
或任意组合可统称为用户信息。IP List表示IP地址列表,包括允许用户设备访问的服务器
的IP地址。
备和服务器均位于IPv6网络,则IP List包括允许用户设备访问的服务器的IPv6地址。
二IP地址,第二IP地址即为允许第一IP地址访问的IP地址。防火墙设备向用户设备发送指
示认证成功且携带第二IP地址的响应报文。其中,第二IP地址可以存储在响应报文的载荷
的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备从第
二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的IP地址的数据报文。
址(即第二IP地址)包括: IPv4_1、IPv4_2和IPv4_3。防火墙设备将IPv4_1、IPv4_2和IPv4_3
携带在响应报文的载荷中,发送给用户设备。用户设备从IPv4_1、IPv4_2和IPv4_3这3个地
址中选择一个地址,如选择IPv4_1,向防火墙设备发送源地址为IPv4_0、目的地址为IPv4_1
的数据报文。防火墙设备根据数据报文的源地址IPv4_0 和目的地址IPv4_1,结合表4,确定
IPv4_1为IPv4_0允许访问的IP地址,再结合数据报文携带的第二数据校验信息和第一数据
校验信息相同,防火墙设备将数据报文发送给对应的服务器。
程示意图。该方法应用于用户设备,包括如下步骤。
即计算第二用户信息的hash 值,作为第一认证校验信息。再一个示例中,用户设备可以将
第二用户信息和第一IP地址作为元素生成 hash值,即计算第二用户信息和第一IP地址的
hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络
安全性。
对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证
校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;向用户设备发
送指示认证成功的响应报文。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备根据第一IP地址、第二
用户信息和临时密钥,确定第二数据校验信息。一个示例中,用户设备可以将第二用户信
息、第一IP地址和临时密钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时
密钥的hash值,作为第二数据校验信息。此时增加了确定数据校验信息的数据,进一步提高
了网络安全性。
据报文的预设位置处,向防火墙设备发送目的端口为预设端口且插入第二数据校验信息的
数据报文。
验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关
系,确定第一IP地址对应的第二IP地址。其中,第二IP地址可以为一个,也可以为多个。防火
墙设备向用户设备发送指示认证成功且携带第二IP 地址的响应报文。第二IP地址可以存
储在响应报文的载荷的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置
重叠。用户设备从第二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的
IP地址的数据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
流程示意图。该方法应用于防火墙设备,如图3所示的防火墙设备302,包括如下步骤。
设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和第一认证校验信
息携带在认证报文的载荷中,通过NAT设备发送给防火墙设备。其中,用户信息可以包括用
户名、用户密码和用户身份密钥等信息。
示,用户设备300可通过NAT 设备301将认证报文发送给防火墙设备302。
提高网络的安全性。
户信息和第二用户信息相同,执行步骤605和步骤606。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,通过NAT设备向用户设备发送指示认证失败的响应报文。
文进行校验,提高网络的安全性。
设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的。
一用户信息确定第二数据校验信息,通过NAT设备向防火墙设备发送携带第二数据校验信
息的数据报文。
可确定该数据报文为合法报文,执行步骤608,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
List包括允许用户设备访问的服务器IPv6地址和IPv4地址。本申请实施例中,为了保证用
户设备能够成功的访问服务器,在NAT 设备中配置有同样的IP List。
第二IP地址对。其中,第二 IP地址对包括第三IP地址和第四IP地址,第三IP地址和第四IP
地址分别为服务器不同网络版本的IP 地址,第三IP地址的版本与用户设备所处网络的网
络版本相同,第三IP地址与用户设备的第一IP地址属于同一网络,第四IP地址的版本与服
务器所处网络的网络版本相同。防火墙设备通过NAT设备向用户设备发送指示认证成功且
携带第二IP地址对的响应报文。用户设备从第二IP地址对中选择一个IP地址对或一个第三
IP地址,通过NAT设备向防火墙设备发送目的地址为所选择的第三IP地址或IP地址对中第
三IP地址的数据报文。
3,即服务器所处网络的网络版本为IPv4。防火墙设备中配置的允许访问的IP地址和允许该
IP地址访问的IP地址对的对应关系,如表5。
网络的IP地址。防火墙设备若确定第一认证校验信息和第二认证校验信息相同,确定IPv6_
1对应的IP地址对包括:IPv4_1‑IPv6_11、 IPv4_2‑IPv6_12、IPv4_3‑IPv6_13。防火墙设备
可以通过NAT设备将IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、 IPv4_3‑IPv6_13发送给用户设备。
用户设备从IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13这3个地址对中选择一个
IPv6地址,如选择IPv6_11,向NAT设备发送目的地址为IPv6_11、源地址为IPv6_1 的数据报
文。NAT设备中同样记录有IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13的对应关系,
根据记录的对应关系,将数据报文的目的地址转换为IPv4_1,进而向防火墙设备发送目的
地址为IPv4_1 的数据报文。防火墙设备根据数据报文的目的地址为IPv4_1,将数据报文发
送给对应的服务器。
示意图。该方法应用于用户设备,包括如下步骤。
一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证校验信息相同,则根
据第一IP地址和第一用户信息,确定第一数据校验信息;通过NAT设备向用户设备发送指示
认证成功的响应报文。
为数据报文的载荷头部,本申请实施例对此不进行限定。
备转发数据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
IPv6网络,防火墙设备302 和服务器303位于IPv4网络。预设端口为18889。用户设备300的
地址为IPv6_a1,防火墙设备302的地址为IPv4_f1,其位于IPv6网络的地址为IPv6_f1,服务
器303的地址为IPv4_a1,其位于IPv6网络的地址为IPv6_a11。防火墙设备302中记录的信
息,如表6所示。
IPv6_a11 IPv4_a1
Pv6_a12 IPv4_a2
Pv6_a13 IPv4_a3
IPv6_a14 IPv4_a4
IPv6_f1 IPv4_f1
值1。
的地址转换为IPv4_f1,得到认证报文12。NAT设备301记录IPv6_a1与IPv4_a11的对应关系
1。
处理。例如,用户设备300 向NAT设备301发送认证报文13的源地址为IPv6_a1,目的地址为
IPv4_f1。NAT设备301接收到认证报文13后,从地址池中随机选择一个IPv4地址,如IPv4_
a11,将认证报文13的源地址转换为IPv4_a11,但对认证报文13的目的地址不做处理。
应报文12。
用户信息2和IPv6_a1作为元素生成hash值2。hash值2即为第二认证校验信息。
的响应报文13。其中,响应报文13的源地址为IPv4_f1,目的地址为IPv4_a11。响应报文13的
载荷中携带临时密钥1,以及允许IPv6_a1访问的IP地址对,即IPv4_a1‑IPv6_a11和IPv4_
a2‑IPv6_a12。
应报文14。
的数据报文1。
插入数据报文1载荷的尾部。
址转换为IPv4_a1,得到数据报文2。
911。
图。该装置应用于防火墙设备,包括:接收单元1001、判断单元1002、第一确定单元1003、第
二确定单元1004、发送单元1005和转发单元1006。
文后,利用第一IP地址和第一用户信息生成的;
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
对应关系,确定第一IP地址对应的第二IP地址;向用户设备发送指示认证成功且携带第二
IP地址的响应报文,以使用户设备从第二IP 地址中选择一个IP地址,向防火墙设备发送目
的地址为所选择的IP地址的数据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
该装置应用于用户设备,包括:第一确定单元1101、第一发送单元1102、第二确定单元1103
和第二发送单元1104。
址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在第一对应关
系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信
息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;
向用户设备发送指示认证成功的响应报文;
转发数据报文。
入第二数据校验信息的数据报文。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
图。该装置应用于防火墙设备,包括:接收单元1201、判断单元1202、第一确定单元1203、第
二确定单元1204、发送单元1205和转发单元1206。
用户设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的;
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
的对应关系,确定第一IP地址对应的第二IP地址对;通过NAT设备向用户设备发送指示认证
成功且携带第二IP地址对的响应报文,以使用户设备从第二IP地址对中选择一个IP地址,
通过NAT设备向防火墙设备发送目的地址为所选择的 IP地址的数据报文,所选择的IP地址
与第一IP地址属于同一网络。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
该装置应用于用户设备,包括:第一确定单元1301、第一发送单元1302、第二确定单元1303
和第二发送单元1304。
访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在
第一对应关系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一
认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数
据校验信息;通过NAT设备向用户设备发送指示认证成功的响应报文;
同的情况下,转发数据报文。
预设端口且插入第二数据校验信息的数据报文。
属于同一网络。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
处理器1401执行的机器可执行指令。处理器1401被机器可执行指令促使实现如图4和图6所
示的任一步骤。
成相互间的通信,通信接口1403用于上述防火墙设备与其他设备之间的通信。
理器1501执行的机器可执行指令。处理器1501被机器可执行指令促使实现如图5和图7所示
的任一步骤。
相互间的通信,通信接口 1503用于上述用户设备与其他设备之间的通信。
指令促使实现如图4和图6所示的任一步骤。
指令促使实现如图5和图7所示的任一步骤。
线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10和图11中仅
用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、
FPGA(Field‑Programmable Gate Array,现场可编程门阵列) 或其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
理装置、防火墙设备、用户设备和机器可读存储介质实施例而言,由于其基本相似于报文处
理方法实施例,所以描述的比较简单,相关之处参见报文处理方法实施例的部分说明即可。
内。