一种报文处理方法及装置转让专利
申请号 : CN201910458374.0
文献号 : CN110166474B
文献日 : 2021-07-09
发明人 : 岳炳词
申请人 : 新华三信息安全技术有限公司
摘要 :
本申请实施例提供了一种报文处理方法及装置。防火墙设备接收用户设备发送的认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息;根据第一IP地址对应的第一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;向用户设备发送指示认证成功的响应报文。用户设备根据响应报文,利用第一IP地址和第一用户信息确定第二数据校验信息,向防火墙设备发送携带第二数据校验信息的数据报文。若第二数据校验信息和第一数据校验信息相同,则转发数据报文。应用本申请实施例提供的技术方案,能够解决用户和IP地址的绑定缺乏唯一性的问题,提高网络安全性。
权利要求 :
1.一种报文处理方法,其特征在于,应用于防火墙设备,所述方法包括:接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
2.根据权利要求1所述的方法,其特征在于,在接收到所述认证报文之后,所述方法还包括:检测所述认证报文的目的端口是否为预设端口;若为预设端口,则从所述认证报文的载荷中提取所述第一IP地址和第一认证校验信息,执行所述判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系的步骤;
在接收到所述数据报文之后,所述方法还包括:检测所述数据报文的目的端口是否为预设端口;若为预设端口,则从所述数据报文的预设位置处提取所述第二数据校验信息,执行所述若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文的步骤。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息的哈希值,作为第二认证校验信息;
所述根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息和所述第一IP地址的哈希值,作为第一数据校验信息。
4.根据权利要求1所述的方法,其特征在于,所述根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息的步骤,包括:为所述用户设备分配临时密钥;根据所述第一IP地址、所述第一用户信息和所述临时密钥,确定第一数据校验信息;
所述向所述用户设备发送指示认证成功的响应报文的步骤,包括:向所述用户设备发送指示认证成功且携带所述临时密钥的响应报文。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一认证校验信息和所述第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关系,确定所述第一IP地址对应的第二IP地址;
所述向所述用户设备发送指示认证成功的响应报文的步骤,包括:向所述用户设备发送指示认证成功且携带所述第二IP地址的响应报文,以使所述用户设备从所述第二IP地址中选择一个IP地址,向所述防火墙设备发送目的地址为所选择的IP地址的数据报文。
6.一种报文转发方法,其特征在于,应用于用户设备,所述方法包括:根据所述用户设备的第二用户信息,确定第一认证校验信息;
向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
7.根据权利要求6所述的方法,其特征在于,所述向防火墙设备发送认证报文的步骤,包括:将认证报文的目的端口修改为预设端口;向防火墙设备发送目的端口为所述预设端口的认证报文;
所述向所述防火墙设备发送携带所述第二数据校验信息的数据报文的步骤,包括:将数据报文的目的端口修改为预设端口;将所述第二数据校验信息插入所述数据报文的预设位置处,向所述防火墙设备发送目的端口为预设端口且插入所述第二数据校验信息的数据报文。
8.根据权利要求6所述的方法,其特征在于,所述根据所述用户设备的第一用户信息,确定第一认证校验信息的步骤,包括:计算所述第一对应关系包括的第一用户信息的哈希值,作为第一认证校验信息;
所述根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息的步骤,包括:根据所述响应报文,计算所述第二用户信息和所述第一IP地址的哈希值,作为第二数据校验信息。
9.根据权利要求6所述的方法,其特征在于,所述响应报文还携带有所述防火墙设备为所述用户设备分配的临时密钥;
所述根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息的步骤,包括:
根据所述第一IP地址、所述第二用户信息和所述临时密钥,确定第二数据校验信息。
10.根据权利要求6所述的方法,其特征在于,所述响应报文还携带有允许所述第一IP地址访问的第二IP地址;
所述向所述防火墙设备发送携带所述第二数据校验信息的数据报文的步骤,包括:从所述第二IP地址选择一个IP地址;
向所述防火墙设备发送目的地址为所选择的IP地址的数据报文。
11.一种报文处理方法,其特征在于,应用于防火墙设备,所述方法包括:接收用户设备通过网络地址转换NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述NAT设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
12.一种报文转发方法,其特征在于,应用于用户设备,所述方法包括:根据所述用户设备的第二用户信息,确定第一认证校验信息;
通过网络地址转换NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证成功的响应报文;
根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
13.一种报文处理装置,其特征在于,应用于防火墙设备,所述装置包括:接收单元,用于接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
发送单元,用于向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
14.一种报文转发装置,其特征在于,应用于用户设备,所述装置包括:第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
第一发送单元,用于向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
第二发送单元,用于向所述防火墙设备发送携带所述第二数据校验信息的数据报文;
以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
15.一种报文处理装置,其特征在于,应用于防火墙设备,所述装置包括:接收单元,用于接收用户设备通过网络地址转换NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和第一认证校验信息;
判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
发送单元,用于通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述NAT设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
16.一种报文转发装置,其特征在于,应用于用户设备,所述装置包括:第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
第一发送单元,用于通过网络地址转换NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一网络协议IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证成功的响应报文;
第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
第二发送单元,用于通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况下,转发所述数据报文。
17.一种网络设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1‑12任一所述的方法步骤。
18.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有能够被处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1‑12任一所述的方法步骤。
说明书 :
一种报文处理方法及装置
技术领域
[0001] 本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术
[0002] 随着互联网技术的发展,接入互联网的设备越来越多,这使得IPv4(Internet Protocol version 4,网络协议第四版)地址资源越来越紧缺。为解决该问题,IPv6
(Internet Protocol version 6,网络协议第六版)地址逐渐被广泛使用。这使得互联网中
出现IPv4网络和IPv6网络共存的现象。
(Internet Protocol version 6,网络协议第六版)地址逐渐被广泛使用。这使得互联网中
出现IPv4网络和IPv6网络共存的现象。
[0003] 另外,在互联网中,为防止用户被假冒,提高网络安全性,一些服务器只允许认证成功的用户访问。具体的,防火墙设备记录认证成功的用户信息与用户使用设备的IP地址
的对应关系,将用户与IP地址绑定。当防火墙设备接收到一个数据报文的源IP地址包括在
记录的对应关系中时,确定该数据报文为合法报文,则转发该数据报文。在IPv4网络和IPv6
网络共存的互联网中,若IPv4网络中的设备和IPv6 网络中的设备互访,则NAT(Network
Address Translation,网络地址转换)设备会对报文的源IP地址进行NAT处理。这使得防火
墙设备对用户信息认证成功后,用户绑定的IP地址为NAT处理后的IP地址。
的对应关系,将用户与IP地址绑定。当防火墙设备接收到一个数据报文的源IP地址包括在
记录的对应关系中时,确定该数据报文为合法报文,则转发该数据报文。在IPv4网络和IPv6
网络共存的互联网中,若IPv4网络中的设备和IPv6 网络中的设备互访,则NAT(Network
Address Translation,网络地址转换)设备会对报文的源IP地址进行NAT处理。这使得防火
墙设备对用户信息认证成功后,用户绑定的IP地址为NAT处理后的IP地址。
[0004] 但是,NAT设备可能会将多个不同的源IP地址转换为同一IP地址,也可能会将同一的源IP地址转换为不同的IP地址,用户和IP地址的绑定缺乏唯一性,导致认证未通过的用
户的报文有可能被发送给服务器,认证成功的用户有可能无法正常访问服务器,进而导致
网络安全问题。另外,用户绑定的IP地址为NAT处理后的IP地址,这使得用户绑定的IP地址
容易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
户的报文有可能被发送给服务器,认证成功的用户有可能无法正常访问服务器,进而导致
网络安全问题。另外,用户绑定的IP地址为NAT处理后的IP地址,这使得用户绑定的IP地址
容易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
发明内容
[0005] 本申请实施例的目的在于提供一种报文处理方法及装置,以解决用户和IP地址的绑定缺乏唯一性的问题,提高网络安全性。具体技术方案如下:
[0006] 第一方面,本申请实施例提供了一种报文处理方法,应用于防火墙设备,所述方法包括:
[0007] 接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和第一认证校验信息;
[0008] 判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
[0009] 若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0010] 若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
[0011] 向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在接收到所述响应
报文后,利用所述第一IP地址和所述第一用户信息生成的;
报文后,利用所述第一IP地址和所述第一用户信息生成的;
[0012] 若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
[0013] 第二方面,本申请实施例提供了一种报文转发方法,应用于用户设备,所述方法包括:
[0014] 根据所述用户设备的第二用户信息,确定第一认证校验信息;
[0015] 向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问的IP地址与用
户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应
关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一
认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信
息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在所述第一对应
关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;若所述第一
认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信
息,确定第一数据校验信息;向所述用户设备发送指示认证成功的响应报文;
[0016] 根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
[0017] 向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同的情况
下,转发所述数据报文。
下,转发所述数据报文。
[0018] 第三方面,本申请实施例提供了一种报文处理装置,应用于防火墙设备,所述装置包括:
[0019] 接收单元,用于接收用户设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和第一认证校验信息;
[0020] 判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一 IP地址的第一对应关系;
[0021] 第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0022] 第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
[0023] 发送单元,用于向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信息为所述用户设备在
接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生成的;
[0024] 转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
[0025] 第四方面,本申请实施例提供了一种报文转发装置,应用于用户设备,所述装置包括:
[0026] 第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
[0027] 第一发送单元,用于向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一IP 地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有
允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关
系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认
证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP
地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的
响应报文;
允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关
系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认
证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP
地址和所述第一用户信息,确定第一数据校验信息;向所述用户设备发送指示认证成功的
响应报文;
[0028] 第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
[0029] 第二发送单元,用于向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校
验信息相同的情况下,转发所述数据报文。
验信息相同的情况下,转发所述数据报文。
[0030] 第五方面,本申请实施例提供了一种报文处理方法,应用于防火墙设备,所述方法包括:
[0031] 接收用户设备通过NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和第一认证校验信息;
[0032] 判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;
[0033] 若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0034] 若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
[0035] 通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述 NAT设备发送的携带第二数据检验信息的数据报文,所述第二数据检验信
息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生
成的;
息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第一用户信息生
成的;
[0036] 若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
[0037] 第六方面,本申请实施例提供了一种报文转发方法,应用于用户设备,所述方法包括:
[0038] 根据所述用户设备的第二用户信息,确定第一认证校验信息;
[0039] 通过NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和所述第一认证校验信息,以使所述防火墙设备判断预先存储有允许访问
的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在
所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信
息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所
述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证
成功的响应报文;
的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第一对应关系;若存在
所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信
息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所
述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户设备发送指示认证
成功的响应报文;
[0040] 根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
[0041] 通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息和所述第一数据校
验信息相同的情况下,转发所述数据报文。
验信息相同的情况下,转发所述数据报文。
[0042] 第七方面,本申请实施例提供了一种报文处理装置,应用于防火墙设备,所述装置包括:
[0043] 接收单元,用于接收用户设备通过NAT设备发送的认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和第一认证校验信息;
[0044] 判断单元,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一 IP地址的第一对应关系;
[0045] 第一确定单元,用于若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0046] 第二确定单元,用于若所述第一认证校验信息和所述第二认证校验信息相同,则根据所述第一IP地址和所述第一用户信息,确定第一数据校验信息;
[0047] 发送单元,用于通过所述NAT设备向所述用户设备发送指示认证成功的响应报文,并接收所述用户设备通过所述NAT设备发送的携带第二数据检验信息的数据报文,所述第
二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第
一用户信息生成的;
二数据检验信息为所述用户设备在接收到所述响应报文后,利用所述第一IP地址和所述第
一用户信息生成的;
[0048] 转发单元,用于若所述数据报文携带的所述第二数据校验信息和所述第一数据校验信息相同,则转发所述数据报文。
[0049] 第八方面,本申请实施例提供了一种报文转发装置,应用于用户设备,所述装置包括:
[0050] 第一确定单元,用于根据所述用户设备的第二用户信息,确定第一认证校验信息;
[0051] 第一发送单元,用于通过NAT设备向防火墙设备发送认证报文,所述认证报文的载荷包括所述用户设备的第一IP地址和所述第一认证校验信息,以使所述防火墙设备判断预
先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第
一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确
定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所
述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户
设备发送指示认证成功的响应报文;
先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括所述第一IP地址的第
一对应关系;若存在所述第一对应关系,则根据所述第一对应关系包括的第一用户信息,确
定第二认证校验信息;若所述第一认证校验信息和所述第二认证校验信息相同,则根据所
述第一IP地址和所述第一用户信息,确定第一数据校验信息;通过所述NAT设备向所述用户
设备发送指示认证成功的响应报文;
[0052] 第二确定单元,用于根据所述响应报文,利用所述第一IP地址和所述第二用户信息,确定第二数据校验信息;
[0053] 第二发送单元,用于通过所述NAT设备向所述防火墙设备发送携带所述第二数据校验信息的数据报文;以使所述防火墙设备在所述数据报文携带的所述第二数据校验信息
和所述第一数据校验信息相同的情况下,转发所述数据报文。
和所述第一数据校验信息相同的情况下,转发所述数据报文。
[0054] 第九方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所
述机器可执行指令促使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所
述的方法步骤。
述机器可执行指令促使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所
述的方法步骤。
[0055] 第十方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促
使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所述的方法步骤。
使:实现上述第一方面、第二方面、第五方面和第六方面提供的任一所述的方法步骤。
[0056] 本申请实施例提供的报文处理方法及装置,用户设备将自身的第一IP地址和第一认证校验信息携带在认证报文的载荷中发送给防火墙设备。防火墙设备根据预先存储的第
一IP地址对应的第一用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证
校验信息相同,则可确定对用户设备认证成功,根据第一IP地址和第一用户信息确定第一
数据校验信息,即通过第一数据校验信息,实现IP地址与用户信息的绑定。当用户设备发送
的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备转发该数据
报文。
一IP地址对应的第一用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证
校验信息相同,则可确定对用户设备认证成功,根据第一IP地址和第一用户信息确定第一
数据校验信息,即通过第一数据校验信息,实现IP地址与用户信息的绑定。当用户设备发送
的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备转发该数据
报文。
[0057] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0058] 当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
[0059] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
[0060] 图1为本申请实施例提供的网络架构的第一种架构示意图;
[0061] 图2为本申请实施例提供的网络架构的第二种架构示意图;
[0062] 图3为本申请实施例提供的网络架构的第三种架构示意图;
[0063] 图4为本申请实施例提供的报文处理方法的第一种流程示意图;
[0064] 图5为本申请实施例提供的报文处理方法的第二种流程示意图;
[0065] 图6为本申请实施例提供的报文处理方法的第三种流程示意图;
[0066] 图7为本申请实施例提供的报文处理方法的第四种流程示意图;
[0067] 图8为本申请实施例提供的数据认证的一种信令图;
[0068] 图9为本申请实施例提供的数据转发的一种信令图;
[0069] 图10为本申请实施例提供的报文处理装置的第一种结构示意图;
[0070] 图11为本申请实施例提供的报文处理装置的第二种结构示意图;
[0071] 图12为本申请实施例提供的报文处理装置的第三种结构示意图;
[0072] 图13为本申请实施例提供的报文处理装置的第四种结构示意图;
[0073] 图14为本申请实施例提供的防火墙设备的一种结构示意图;
[0074] 图15为本申请实施例提供的用户设备的一种结构示意图。
具体实施方式
[0075] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
[0076] 在IPv4网络和IPv6网络共存的互联网中,存在IPv4网络中的设备和IPv6网络中的设备互访的情况。以IPv6网络中的设备访问IPv4网络中的设备为例进行说明。如图1所示网
络架构,包括位于IPv4网络的用户设备100、NAT设备101和位于IPv6网络的服务器102。其
中,用户设备100的IP地址为IPv4 地址1。服务器102的地址为IPv6地址1。此时,用户设备
100访问服务器102时,将报文发送给NAT 设备101。NAT设备101从预设地址池中随机选择一
个IPv6地址,如IPv6地址2,将报文的源IP地址 (即IPv4地址1)转换为IPv6地址2,并将转换
地址后的报文发送给服务器102,即将源IP地址为IPv6 地址2的报文发送给服务器102。根
据配置的策略不同,NAT设备可以仅对用户设备100发送的报文的源地址进行NAT处理,也可
以对用户设备100发送的报文的源地址和目的地址均进行NAT处理。这里不做具体限定。
络架构,包括位于IPv4网络的用户设备100、NAT设备101和位于IPv6网络的服务器102。其
中,用户设备100的IP地址为IPv4 地址1。服务器102的地址为IPv6地址1。此时,用户设备
100访问服务器102时,将报文发送给NAT 设备101。NAT设备101从预设地址池中随机选择一
个IPv6地址,如IPv6地址2,将报文的源IP地址 (即IPv4地址1)转换为IPv6地址2,并将转换
地址后的报文发送给服务器102,即将源IP地址为IPv6 地址2的报文发送给服务器102。根
据配置的策略不同,NAT设备可以仅对用户设备100发送的报文的源地址进行NAT处理,也可
以对用户设备100发送的报文的源地址和目的地址均进行NAT处理。这里不做具体限定。
[0077] 在互联网中,为防止用户被假冒,提高网络安全性,一些服务器只允许认证成功的用户设备访问。此时,网络架构如图2所示,包括用户设备200、防火墙设备201和服务器202。
此时,用户设备200 访问服务器202时,将认证报文发送给防火墙设备201,其中,认证报文
包括用户设备200的用户信息。防火墙设备201判断预先存储的用户信息中是否存在该用户
信息。若存在,防火墙设备201记录认证报文的源IP地址(即用户设备200的IP地址)与用户
信息的对应关系。防火墙设备201接收到用户设备 200发送的数据报文后,若数据报文的源
IP地址包括在记录的对应关系中,则防火墙设备201将数据报文转发给服务器202。
此时,用户设备200 访问服务器202时,将认证报文发送给防火墙设备201,其中,认证报文
包括用户设备200的用户信息。防火墙设备201判断预先存储的用户信息中是否存在该用户
信息。若存在,防火墙设备201记录认证报文的源IP地址(即用户设备200的IP地址)与用户
信息的对应关系。防火墙设备201接收到用户设备 200发送的数据报文后,若数据报文的源
IP地址包括在记录的对应关系中,则防火墙设备201将数据报文转发给服务器202。
[0078] 结合上述两种情况下,即存在IPv4网络中的设备和IPv6网络中的设备互访,且服务器只允许认证成功的用户设备访问,则网络结构如图3所示,包括用户设备300、NAT设备
301、防火墙设备302和服务器303。其中,若用户设备300位于IPv6网络,则服务器303位于
IPv4网络。若用户设备300位于 IPv4网络,则服务器303位于IPv6网络。
301、防火墙设备302和服务器303。其中,若用户设备300位于IPv6网络,则服务器303位于
IPv4网络。若用户设备300位于 IPv4网络,则服务器303位于IPv6网络。
[0079] 此时,用户设备300在通过NAT设备301向防火墙设备302发送认证报文时,NAT设备301对认证报文进行NAT处理。NAT设备301可能会将多个不同的源IP地址转换为同一IP地
址,也可能会将同一的源IP地址转换为不同的IP地址。这使得防火墙设备302对认证报文包
括的用户信息认证成功后,记录的用户信息对应的IP地址不唯一,即用户和IP地址的绑定
缺乏唯一性,导致认证未通过的用户的报文有可能被发送给服务器,认证成功的用户有可
能无法正常访问服务器,进而导致网络安全问题。另外,用户绑定的IP地址为NAT处理后的
IP地址,NAT处理后的IP地址为对大众开放的地址池中的地址,这使得用户绑定的IP地址容
易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
址,也可能会将同一的源IP地址转换为不同的IP地址。这使得防火墙设备302对认证报文包
括的用户信息认证成功后,记录的用户信息对应的IP地址不唯一,即用户和IP地址的绑定
缺乏唯一性,导致认证未通过的用户的报文有可能被发送给服务器,认证成功的用户有可
能无法正常访问服务器,进而导致网络安全问题。另外,用户绑定的IP地址为NAT处理后的
IP地址,NAT处理后的IP地址为对大众开放的地址池中的地址,这使得用户绑定的IP地址容
易被窃取,进而被攻击者利用攻击服务器,导致网络安全问题。
[0080] 为了解决用户和IP地址的绑定缺乏唯一性的问题,提高网络安全性,本申请实施例提供的报文处理方法及装置,用户设备将自身的第一IP地址和第一认证校验信息携带在
认证报文的载荷中发送给防火墙设备。防火墙设备根据预先存储的第一IP地址对应的第一
用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证校验信息相同,则可确
定对用户设备认证成功,并根据第一IP地址和第一用户信息确定第一数据校验信息。当用
户设备发送的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备
转发该数据报文。
认证报文的载荷中发送给防火墙设备。防火墙设备根据预先存储的第一IP地址对应的第一
用户信息,确定第二认证校验信息,若第一认证校验信息和第二认证校验信息相同,则可确
定对用户设备认证成功,并根据第一IP地址和第一用户信息确定第一数据校验信息。当用
户设备发送的数据报文携带的第二数据校验信息和第一数据校验信息相同,则防火墙设备
转发该数据报文。
[0081] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0082] 下面通过具体实施例,对本申请实施例提供的报文处理方法进行详细说明。
[0083] 参考图4,图4为本申请实施例提供的报文处理方法的第一种流程示意图。该报文处理方法应用于防火墙设备,如图2所示的防火墙设备201。该报文处理方法包括如下步骤。
[0084] 步骤401,接收用户设备发送的认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息。
[0085] 其中,第一IP地址为用户设备的真实IP地址。第一IP地址和第一认证校验信息可以携带在认证报文的载荷(pay load字段)的任一位置。当用户设备需要访问服务器时,用
户设备根据用户设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和
第一认证校验信息携带在认证报文的载荷中发送给防火墙设备。其中,用户信息可以包括
用户名、用户密码和用户身份密钥等信息。
户设备根据用户设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和
第一认证校验信息携带在认证报文的载荷中发送给防火墙设备。其中,用户信息可以包括
用户名、用户密码和用户身份密钥等信息。
[0086] 一个示例中,用户设备可以将用户设备的第二用户信息作为第一认证校验信息。另一个示例中,为了提高网络安全性,用户设备可以将第二用户信息作为元素生成哈希
(hash)值,即计算第二用户信息的hash值,作为第一认证校验信息。再一个示例中,用户设
备可以将第二用户信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP
地址的hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高
了网络安全性。
(hash)值,即计算第二用户信息的hash值,作为第一认证校验信息。再一个示例中,用户设
备可以将第二用户信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP
地址的hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高
了网络安全性。
[0087] 本申请实施例中,若用户设备和服务器位于同一网络,如用户设备和服务器均位于IPv4网络,或用户设备和服务器均位于IPv6网络,则用户设备直接将认证报文发送给防
火墙设备。如图2所示,用户设备200可直接将认证报文发送给防火墙设备201。
火墙设备。如图2所示,用户设备200可直接将认证报文发送给防火墙设备201。
[0088] 本申请实施例中,第一IP地址为用户设备的真实IP地址,由于NAT设备是对报文头的IP地址进行转换,因此用户设备将第一IP地址携带在认证报文的载荷中,不必担心第一
IP地址被NAT设备进行 NAT处理,可成功的将第一IP地址发送给防火墙设备。
IP地址被NAT设备进行 NAT处理,可成功的将第一IP地址发送给防火墙设备。
[0089] 步骤402,判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系。若是,则执行步骤403。
[0090] 本申请实施例中,防火墙设备中预先存储有允许访问的IP地址与用户信息的对应关系。如表1所示。
[0091] 表1
[0092]User Password IP Address SecKey
[0093] 其中,User表示用户名。Password表示用户密码。IP Address表示用户设备的IP地址。SecKey表示用户身份密钥。其中,User、Password和SecKey其中之一或任意组合可统称
为用户信息。
为用户信息。
[0094] 一个可选的实施例中,用户设备在向防火墙设备发送认证报文时,将认证报文的目的端口修改为预设端口。用户设备向防火墙设备发送目的端口为预设端口的认证报文。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
[0095] 防火墙设备在接收到认证报文之后,检测认证报文的目的端口是否为预设端口。若检测到认证报文的目的端口为预设端口,则防火墙设备可确定需要对该认证报文进行认
证处理,即从认证报文的载荷中提取第一IP地址和第一认证校验信息。之后,防火墙设备可
执行步骤402,判断预先存储有允许访问的 IP地址与用户信息的对应关系中是否存在包括
第一IP地址的第一对应关系。若检测到认证报文的目的端口不是预设端口,则防火墙设备
可确定对认证报文认证失败,即对第二用户信息认证失败,向用户设备发送指示认证失败
的响应报文。
证处理,即从认证报文的载荷中提取第一IP地址和第一认证校验信息。之后,防火墙设备可
执行步骤402,判断预先存储有允许访问的 IP地址与用户信息的对应关系中是否存在包括
第一IP地址的第一对应关系。若检测到认证报文的目的端口不是预设端口,则防火墙设备
可确定对认证报文认证失败,即对第二用户信息认证失败,向用户设备发送指示认证失败
的响应报文。
[0096] 一个可选的实施例中,若不存在第一对应关系,则防火墙设备确定对第二用户信息认证失败,向用户设备发送指示认证失败的响应报文。
[0097] 步骤403,根据第一对应关系包括的第一用户信息,确定第二认证校验信息。
[0098] 当确定存在包括第一IP地址的第一对应关系时,防火墙设备从第一对应关系中提取到第一用户信息,根据第一用户信息确定第二认证校验信息。
[0099] 一个示例中,防火墙设备可以将第一用户信息作为第二认证校验信息。另一个示例中,为了提高网络安全性,防火墙设备可以将第一用户信息作为元素生成hash值,即计算
第一用户信息的hash值,作为第二认证校验信息。再一个示例中,防火墙设备可以将第一用
户信息和第一IP地址作为元素生成hash 值,即计算第一用户信息和第一IP地址的hash值,
作为第二认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络安全性。
第一用户信息的hash值,作为第二认证校验信息。再一个示例中,防火墙设备可以将第一用
户信息和第一IP地址作为元素生成hash 值,即计算第一用户信息和第一IP地址的hash值,
作为第二认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络安全性。
[0100] 本申请实施例中,对第二认证校验信息和第一认证校验信息的确定方式不做具体限定,只需保证第二认证校验信息和第一认证校验信息的确定方式相同即可。
[0101] 步骤404,检测第一认证校验信息和第二认证校验信息是否相同。若相同,则执行步骤405。
[0102] 防火墙设备检测第一认证校验信息和第二认证校验信息是否相同。若第一认证校验信息和第二认证校验信息相同,则防火墙设备可确定对第二用户信息认证成功,第一用
户信息和第二用户信息相同,执行步骤405和步骤406。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,向用户设备发送指示认证失败的响应报文。
户信息和第二用户信息相同,执行步骤405和步骤406。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,向用户设备发送指示认证失败的响应报文。
[0103] 步骤405,根据第一IP地址和第一用户信息,确定第一数据校验信息。
[0104] 防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息确定第一数据校验信息。
[0105] 一个示例中,防火墙设备可以拼接第一用户信息和第一IP地址,将拼接得到的字符串作为第一数据校验信息。另一个示例中,为了提高网络安全性,防火墙设备可以将第一
用户信息和第一IP地址作为元素生成hash值,即计算第一用户信息和第一IP地址的hash
值,作为第一数据校验信息。
用户信息和第一IP地址作为元素生成hash值,即计算第一用户信息和第一IP地址的hash
值,作为第一数据校验信息。
[0106] 一个实施例中,为了提高网络安全性,若确定第一认证校验信息和第二认证校验信息相同,防火墙设备为用户设备分配临时密钥,根据第一IP地址、第一用户信息和临时密
钥,确定第一数据校验信息。其中,临时密钥为用户设备本次登录使用的密钥,用户设备每
次登录时确定的临时密钥均不相同。另外,防火墙设备将临时密钥存储在响应报文的载荷
的任意位置处,进而将临时密钥发送给用户设备。
钥,确定第一数据校验信息。其中,临时密钥为用户设备本次登录使用的密钥,用户设备每
次登录时确定的临时密钥均不相同。另外,防火墙设备将临时密钥存储在响应报文的载荷
的任意位置处,进而将临时密钥发送给用户设备。
[0107] 一个示例中,防火墙设备可以将第一用户信息、第一IP地址和临时密钥作为元素生成hash值,即计算第一用户信息、第一IP地址和临时密钥的hash值,作为第一数据校验信
息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
[0108] 一个可选的实施例中,在确定第一认证校验信息和第二认证校验信息相同,对第二用户信息认证成功后,防火墙设备可记录用户登录信息表,以便于对数据报文进行认证
处理。该用户登录信息表可以包括第一用户信息、用户设备的第一IP地址、临时密钥和第一
数据校验信息等信息,如表2所示。
处理。该用户登录信息表可以包括第一用户信息、用户设备的第一IP地址、临时密钥和第一
数据校验信息等信息,如表2所示。
[0109] 表2
[0110]User IP Address SecKey TempSecKey DataHashKey
[0111] 其中,User表示用户名。IP Address表示用户设备的IP地址,也就是认证/数据报文的源IP地址。 SecKey表示用户身份密钥。TempSecKey表示临时密钥。DataHashKey表示第
一数据校验信息。
一数据校验信息。
[0112] 本申请实施例中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文的载荷中的真实
IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT设备对报文的源
IP地址进行NAT处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。另外,通过认证校
验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降低了NAT处理后的
IP地址容易被窃取的带来风险,提高了网络安全性。
IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT设备对报文的源
IP地址进行NAT处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。另外,通过认证校
验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降低了NAT处理后的
IP地址容易被窃取的带来风险,提高了网络安全性。
[0113] 步骤406,向用户设备发送指示认证成功的响应报文,并接收用户设备发送的携带第二数据检验信息的数据报文。其中,第二数据检验信息为用户设备在接收到响应报文后,
利用第一IP地址和第一用户信息生成的。
利用第一IP地址和第一用户信息生成的。
[0114] 具体的,防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则向用户设备发送指示认证成功的响应报文。用户设备接收到指示认证成功的响应报文后,根据
响应报文,确定对第二用户信息认证成功,然后利用第一IP地址和第一用户信息确定第二
数据校验信息,向防火墙设备发送携带第二数据校验信息的数据报文。
响应报文,确定对第二用户信息认证成功,然后利用第一IP地址和第一用户信息确定第二
数据校验信息,向防火墙设备发送携带第二数据校验信息的数据报文。
[0115] 一个示例中,用户设备可以拼接第二用户信息和第一IP地址,将拼接得到的字符串作为第二数据校验信息。另一个示例中,为了提高网络安全性,用户设备可以将第二用户
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
[0116] 一个实施例中,防火墙设备为用户设备分配了临时密钥,向用户设备发送指示认证成功且携带临时密钥的响应报文。用户设备根据第一IP地址、第二用户信息和临时密钥,
确定第二数据校验信息。一个示例中,用户设备可以将第二用户信息、第一IP地址和临时密
钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时密钥的hash值,作为第二
数据校验信息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
确定第二数据校验信息。一个示例中,用户设备可以将第二用户信息、第一IP地址和临时密
钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时密钥的hash值,作为第二
数据校验信息。此时增加了确定数据校验信息的数据,进一步提高了网络安全性。
[0117] 本申请实施例中,对第一数据校验信息和第二数据校验信息的确定方式不做具体限定,只需保证第一数据校验信息和第二数据校验信息的确定方式相同即可。另外,本申请
实施例不限定步骤405和步骤 406的执行顺序。
实施例不限定步骤405和步骤 406的执行顺序。
[0118] 步骤407,检测接收的数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若相同,则执行步骤408。
[0119] 防火墙设备在接收到数据报文后,检测数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若第二数据校验信息与第一数据校验信息相同,则防火墙设备
可确定该数据报文为合法报文,执行步骤408,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
可确定该数据报文为合法报文,执行步骤408,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
[0120] 一个可选的实施例中,用户设备在向防火墙设备发送数据报文时,将数据报文的目的端口修改为预设端口,并将第二数据校验信息插入数据报文的预设位置处。用户设备
向防火墙设备发送目的端口为预设端口且携带第二数据校验信息的数据报文。其中,预设
端口用于指示报文为需要认证的报文。预设位置可以为数据报文的载荷尾部,也可以为数
据报文的载荷中部,还可以为数据报文的载荷头部,本申请实施例对此不进行限定。
向防火墙设备发送目的端口为预设端口且携带第二数据校验信息的数据报文。其中,预设
端口用于指示报文为需要认证的报文。预设位置可以为数据报文的载荷尾部,也可以为数
据报文的载荷中部,还可以为数据报文的载荷头部,本申请实施例对此不进行限定。
[0121] 防火墙设备在接收到数据报文之后,检测数据报文的目的端口是否为预设端口。若检测到数据报文的目的端口为预设端口,则防火墙设备可确定需要对该数据报文进行认
证处理,即从数据报文的预设位置处提取第二数据校验信息。之后防火墙设备可执行步骤
407,检测数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若检测到数
据报文的目的端口不是预设端口,则防火墙设备可确定对数据报文认证失败,该数据报文
为非法报文,丢弃该数据报文。
证处理,即从数据报文的预设位置处提取第二数据校验信息。之后防火墙设备可执行步骤
407,检测数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若检测到数
据报文的目的端口不是预设端口,则防火墙设备可确定对数据报文认证失败,该数据报文
为非法报文,丢弃该数据报文。
[0122] 一个实施例中,用户设备在将第二数据校验信息插入数据报文的预设位置处时,获取第二数据校验信息和源端口,将第二数据校验信息和源端口拼接在一起放置在预设位
置处。防火墙设备在接收到数据报文之后,若检测到数据报文的目的端口为预设端口,则从
数据报文的预设位置处提取第二数据校验信息和源端口拼接的字符串,从该字符串中提取
出第二数据校验信息。这样,可以进一步提高数据传输的安全性。
置处。防火墙设备在接收到数据报文之后,若检测到数据报文的目的端口为预设端口,则从
数据报文的预设位置处提取第二数据校验信息和源端口拼接的字符串,从该字符串中提取
出第二数据校验信息。这样,可以进一步提高数据传输的安全性。
[0123] 步骤408,转发数据报文。
[0124] 在本申请的一个实施例中,防火墙设备中还可以预先存储允许访问的IP地址和允许该IP地址访问的IP地址的对应关系。其中,允许该IP地址访问的IP地址可以为一个,也可
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
[0125] 表3
[0126] User Password IP Address SecKey IP List
[0127] 其中,User表示用户名。Password表示用户密码。IP Address表示用户设备的IP地址,即为允许访问的IP地址。SecKey表示用户身份密钥。User、Password和SecKey其中之一
或任意组合可统称为用户信息。IP List表示IP地址列表,包括允许用户设备访问的服务器
的IP地址。
或任意组合可统称为用户信息。IP List表示IP地址列表,包括允许用户设备访问的服务器
的IP地址。
[0128] 本申请实施例中,用户设备和服务器位于同一网络,如图2所示。若用户设备和服务器均位于IPv4 网络,则IP List包括允许用户设备访问的服务器的IPv4地址。若用户设
备和服务器均位于IPv6网络,则IP List包括允许用户设备访问的服务器的IPv6地址。
备和服务器均位于IPv6网络,则IP List包括允许用户设备访问的服务器的IPv6地址。
[0129] 防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关系,确定第一IP地址对应的第
二IP地址,第二IP地址即为允许第一IP地址访问的IP地址。防火墙设备向用户设备发送指
示认证成功且携带第二IP地址的响应报文。其中,第二IP地址可以存储在响应报文的载荷
的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备从第
二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的IP地址的数据报文。
二IP地址,第二IP地址即为允许第一IP地址访问的IP地址。防火墙设备向用户设备发送指
示认证成功且携带第二IP地址的响应报文。其中,第二IP地址可以存储在响应报文的载荷
的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备从第
二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的IP地址的数据报文。
[0130] 以用户设备和服务器均位于IPv4网络为例进行说明。防火墙设备中配置的允许访问的IP地址和允许该IP地址访问的IP地址的对应关系,如表4所示。
[0131] 表4
[0132]
[0133] 用户设备的IPv4地址为IPv4_0(即第一IP地址)。防火墙设备若确定第一认证校验信息和第二认证校验信息相同,对用户设备的用户信息认证通过,确定IPv4_0对应的IP地
址(即第二IP地址)包括: IPv4_1、IPv4_2和IPv4_3。防火墙设备将IPv4_1、IPv4_2和IPv4_3
携带在响应报文的载荷中,发送给用户设备。用户设备从IPv4_1、IPv4_2和IPv4_3这3个地
址中选择一个地址,如选择IPv4_1,向防火墙设备发送源地址为IPv4_0、目的地址为IPv4_1
的数据报文。防火墙设备根据数据报文的源地址IPv4_0 和目的地址IPv4_1,结合表4,确定
IPv4_1为IPv4_0允许访问的IP地址,再结合数据报文携带的第二数据校验信息和第一数据
校验信息相同,防火墙设备将数据报文发送给对应的服务器。
址(即第二IP地址)包括: IPv4_1、IPv4_2和IPv4_3。防火墙设备将IPv4_1、IPv4_2和IPv4_3
携带在响应报文的载荷中,发送给用户设备。用户设备从IPv4_1、IPv4_2和IPv4_3这3个地
址中选择一个地址,如选择IPv4_1,向防火墙设备发送源地址为IPv4_0、目的地址为IPv4_1
的数据报文。防火墙设备根据数据报文的源地址IPv4_0 和目的地址IPv4_1,结合表4,确定
IPv4_1为IPv4_0允许访问的IP地址,再结合数据报文携带的第二数据校验信息和第一数据
校验信息相同,防火墙设备将数据报文发送给对应的服务器。
[0134] 本申请实施例中,防火墙设备结合预先存储允许访问的IP地址和允许该IP地址访问的IP地址的对应关系,进一步对数据报文进行校验,提高了网络的安全性。
[0135] 基于上述应用于防火墙设备的报文处理方法,本申请实施例还提供了一种应用于用户设备的报文处理方法。参考图5,图5为本申请实施例提供的报文处理方法的第二种流
程示意图。该方法应用于用户设备,包括如下步骤。
程示意图。该方法应用于用户设备,包括如下步骤。
[0136] 步骤501,根据用户设备的第二用户信息,确定第一认证校验信息。
[0137] 一个示例中,用户设备可以将用户设备的第二用户信息作为第一认证校验信息。另一个示例中,为了提高网络安全性,用户设备可以将第二用户信息作为元素生成hash值,
即计算第二用户信息的hash 值,作为第一认证校验信息。再一个示例中,用户设备可以将
第二用户信息和第一IP地址作为元素生成 hash值,即计算第二用户信息和第一IP地址的
hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络
安全性。
即计算第二用户信息的hash 值,作为第一认证校验信息。再一个示例中,用户设备可以将
第二用户信息和第一IP地址作为元素生成 hash值,即计算第二用户信息和第一IP地址的
hash值,作为第一认证校验信息。此时增加了确定认证校验信息的数据,进一步提高了网络
安全性。
[0138] 步骤502,向防火墙设备发送认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息。
[0139] 其中,第一IP地址为用户设备的真实IP地址。第一IP地址和第一认证校验信息可以携带在认证报文的载荷的任一位置。
[0140] 防火墙设备接收到认证报文后,判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在第一对应关系,则根据第一
对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证
校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;向用户设备发
送指示认证成功的响应报文。
对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证
校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;向用户设备发
送指示认证成功的响应报文。
[0141] 在本申请的一个实施例中,用户设备向防火墙设备发送认证报文可以包括:将认证报文的目的端口修改为预设端口,向防火墙设备发送目的端口为预设端口的认证报文。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
其中,预设端口为未被任何服务所占用的一个端口。预设端口用于指示报文为需要认证的
报文。例如,端口18889未被任何服务所占用,则可将端口18889作为预设端口。
[0142] 步骤503,根据响应报文,利用第一IP地址和第二用户信息,确定第二数据校验信息。
[0143] 一个示例中,用户设备可以拼接第二用户信息和第一IP地址,将拼接得到的字符串作为第二数据校验信息。另一个示例中,为了提高网络安全性,用户设备可以将第二用户
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
信息和第一IP地址作为元素生成hash值,即计算第二用户信息和第一IP地址的hash值,作
为第二数据校验信息。
[0144] 一个实施例中,防火墙设备为用户设备分配了临时密钥,向用户设备发送指示认证成功且携带临时密钥的响应报文。该临时密钥携带在响应报文的载荷的任意位置处,但
不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备根据第一IP地址、第二
用户信息和临时密钥,确定第二数据校验信息。一个示例中,用户设备可以将第二用户信
息、第一IP地址和临时密钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时
密钥的hash值,作为第二数据校验信息。此时增加了确定数据校验信息的数据,进一步提高
了网络安全性。
不与响应报文的载荷中携带的其他信息的存储位置重叠。用户设备根据第一IP地址、第二
用户信息和临时密钥,确定第二数据校验信息。一个示例中,用户设备可以将第二用户信
息、第一IP地址和临时密钥作为元素生成hash值,即计算第二用户信息、第一IP地址和临时
密钥的hash值,作为第二数据校验信息。此时增加了确定数据校验信息的数据,进一步提高
了网络安全性。
[0145] 步骤504,向防火墙设备发送携带第二数据校验信息的数据报文。防火墙设备在数据报文携带的第二数据校验信息和第一数据校验信息相同的情况下,转发数据报文。
[0146] 在本申请的一个实施例中,用户设备向防火墙设备发送携带第二数据校验信息的数据报文可以包括:将数据报文的目的端口修改为预设端口;将第二数据校验信息插入数
据报文的预设位置处,向防火墙设备发送目的端口为预设端口且插入第二数据校验信息的
数据报文。
据报文的预设位置处,向防火墙设备发送目的端口为预设端口且插入第二数据校验信息的
数据报文。
[0147] 在本申请的一个实施例中,防火墙设备中还可以预先存储允许访问的IP地址和允许该IP地址访问的IP地址的对应关系。防火墙设备若确定第一认证校验信息和第二认证校
验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关
系,确定第一IP地址对应的第二IP地址。其中,第二IP地址可以为一个,也可以为多个。防火
墙设备向用户设备发送指示认证成功且携带第二IP 地址的响应报文。第二IP地址可以存
储在响应报文的载荷的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置
重叠。用户设备从第二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的
IP地址的数据报文。
验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对应关
系,确定第一IP地址对应的第二IP地址。其中,第二IP地址可以为一个,也可以为多个。防火
墙设备向用户设备发送指示认证成功且携带第二IP 地址的响应报文。第二IP地址可以存
储在响应报文的载荷的任意位置处,但不与响应报文的载荷中携带的其他信息的存储位置
重叠。用户设备从第二IP地址中选择一个IP地址,向防火墙设备发送目的地址为所选择的
IP地址的数据报文。
[0148] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0149] 基于上述应用于防火墙设备的报文处理方法,本申请实施例还提供了一种应用于防火墙设备的报文处理方法。参考图6,图6为本申请实施例提供的报文处理方法的第三种
流程示意图。该方法应用于防火墙设备,如图3所示的防火墙设备302,包括如下步骤。
流程示意图。该方法应用于防火墙设备,如图3所示的防火墙设备302,包括如下步骤。
[0150] 步骤601,接收用户设备通过NAT设备发送的认证报文,认证报文的载荷包括用户设备的第一IP 地址和第一认证校验信息。
[0151] 其中,第一IP地址为用户设备的真实IP地址。第一IP地址和第一认证校验信息可以携带在认证报文的载荷的任一位置。当用户设备需要访问服务器时,用户设备根据用户
设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和第一认证校验信
息携带在认证报文的载荷中,通过NAT设备发送给防火墙设备。其中,用户信息可以包括用
户名、用户密码和用户身份密钥等信息。
设备的第二用户信息,确定第一认证校验信息。用户设备将第一IP地址和第一认证校验信
息携带在认证报文的载荷中,通过NAT设备发送给防火墙设备。其中,用户信息可以包括用
户名、用户密码和用户身份密钥等信息。
[0152] 本申请实施例中,若用户设备和服务器位于不同网络,如用户设备位于IPv4网络,服务器位于IPv6 网络,则用户设备通过NAT设备将认证报文发送给防火墙设备。如图3所
示,用户设备300可通过NAT 设备301将认证报文发送给防火墙设备302。
示,用户设备300可通过NAT 设备301将认证报文发送给防火墙设备302。
[0153] 步骤602,判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系。若是,则执行步骤603。
[0154] 本申请实施例中,防火墙设备中预先存储有允许访问的IP地址与用户信息的对应关系。如表1所示。
[0155] 防火墙设备接收到认证报文后,判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系。
[0156] 步骤603,根据第一对应关系包括的第一用户信息,确定第二认证校验信息。
[0157] 当确定存在包括第一IP地址的第一对应关系时,防火墙设备从第一对应关系中提取到第一用户信息,根据第一用户信息确定第二认证校验信息,对用户设备进行一步校验,
提高网络的安全性。
提高网络的安全性。
[0158] 步骤604,检测第一认证校验信息和第二认证校验信息是否相同。若相同,则执行步骤605。
[0159] 防火墙设备检测第一认证校验信息和第二认证校验信息是否相同。若第一认证校验信息和第二认证校验信息相同,则防火墙设备可确定对第二用户信息认证成功,第一用
户信息和第二用户信息相同,执行步骤605和步骤606。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,通过NAT设备向用户设备发送指示认证失败的响应报文。
户信息和第二用户信息相同,执行步骤605和步骤606。一个实施例中,若第一认证校验信息
和第二认证校验信息不同,则防火墙设备可确定对第二用户信息认证失败,第一用户信息
和第二用户信息不同,通过NAT设备向用户设备发送指示认证失败的响应报文。
[0160] 步骤605,根据第一IP地址和第一用户信息,确定第一数据校验信息。
[0161] 防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息确定第一数据校验信息。第一数据校验信息用于对后续接收到的数据报
文进行校验,提高网络的安全性。
文进行校验,提高网络的安全性。
[0162] 步骤606,通过NAT设备向用户设备发送指示认证成功的响应报文,并接收用户设备通过NAT设备发送的携带第二数据检验信息的数据报文。其中,第二数据检验信息为用户
设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的。
设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的。
[0163] 防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则通过NAT设备向用户设备发送指示认证成功的响应报文。用户设备根据响应报文,利用第一IP地址和第
一用户信息确定第二数据校验信息,通过NAT设备向防火墙设备发送携带第二数据校验信
息的数据报文。
一用户信息确定第二数据校验信息,通过NAT设备向防火墙设备发送携带第二数据校验信
息的数据报文。
[0164] 本申请实施例不限定步骤605和步骤606的执行顺序。
[0165] 步骤607,检测接收的数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若相同,则执行步骤608。
[0166] 防火墙设备在接收到数据报文后,检测数据报文中携带的第二数据校验信息与第一数据校验信息是否相同。若第二数据校验信息与第一数据校验信息相同,则防火墙设备
可确定该数据报文为合法报文,执行步骤608,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
可确定该数据报文为合法报文,执行步骤608,转发数据报文。一个实施例中,若第二数据校
验信息与第一数据校验信息不同,则防火墙设备可确定该数据报文为非法报文,丢弃该数
据报文。
[0167] 步骤608,转发数据报文。
[0168] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0169] 在本申请的一个实施例中,防火墙设备中还可以预先存储允许访问的IP地址和允许该IP地址访问的IP地址的对应关系。其中,允许该IP地址访问的IP地址可以为一个,也可
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
以为多个。一个示例中,预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的对
应关系,如表3所示。
[0170] 本申请实施例中,若用户设备和服务器位于不同网络,如图3所示。若用户设备位于IPv4网络,服务器位于IPv6网络,或用户设备位于IPv6网络,服务器位于IPv4网络,则IP
List包括允许用户设备访问的服务器IPv6地址和IPv4地址。本申请实施例中,为了保证用
户设备能够成功的访问服务器,在NAT 设备中配置有同样的IP List。
List包括允许用户设备访问的服务器IPv6地址和IPv4地址。本申请实施例中,为了保证用
户设备能够成功的访问服务器,在NAT 设备中配置有同样的IP List。
[0171] 防火墙设备若确定第一认证校验信息和第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址对的对应关系,确定第一IP地址对应的
第二IP地址对。其中,第二 IP地址对包括第三IP地址和第四IP地址,第三IP地址和第四IP
地址分别为服务器不同网络版本的IP 地址,第三IP地址的版本与用户设备所处网络的网
络版本相同,第三IP地址与用户设备的第一IP地址属于同一网络,第四IP地址的版本与服
务器所处网络的网络版本相同。防火墙设备通过NAT设备向用户设备发送指示认证成功且
携带第二IP地址对的响应报文。用户设备从第二IP地址对中选择一个IP地址对或一个第三
IP地址,通过NAT设备向防火墙设备发送目的地址为所选择的第三IP地址或IP地址对中第
三IP地址的数据报文。
第二IP地址对。其中,第二 IP地址对包括第三IP地址和第四IP地址,第三IP地址和第四IP
地址分别为服务器不同网络版本的IP 地址,第三IP地址的版本与用户设备所处网络的网
络版本相同,第三IP地址与用户设备的第一IP地址属于同一网络,第四IP地址的版本与服
务器所处网络的网络版本相同。防火墙设备通过NAT设备向用户设备发送指示认证成功且
携带第二IP地址对的响应报文。用户设备从第二IP地址对中选择一个IP地址对或一个第三
IP地址,通过NAT设备向防火墙设备发送目的地址为所选择的第三IP地址或IP地址对中第
三IP地址的数据报文。
[0172] 例如,用户设备位于IPv6网络,用户设备的IPv6地址为IPv6_1,即用户设备所处网络的网络版本为IPv6。服务器位于IPv4网络,服务器的IPv4地址为IPv4_1、IPv4_2和IPv4_
3,即服务器所处网络的网络版本为IPv4。防火墙设备中配置的允许访问的IP地址和允许该
IP地址访问的IP地址对的对应关系,如表5。
3,即服务器所处网络的网络版本为IPv4。防火墙设备中配置的允许访问的IP地址和允许该
IP地址访问的IP地址对的对应关系,如表5。
[0173] 表5
[0174]
[0175] 其中,IPv4_1以及IPv6_11为同一服务器位于不同网络的IP地址,IPv4_2以及IPv6_12为同一服务器位于不同网络的IP地址,IPv4_3以及IPv6_13为同一服务器位于不同
网络的IP地址。防火墙设备若确定第一认证校验信息和第二认证校验信息相同,确定IPv6_
1对应的IP地址对包括:IPv4_1‑IPv6_11、 IPv4_2‑IPv6_12、IPv4_3‑IPv6_13。防火墙设备
可以通过NAT设备将IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、 IPv4_3‑IPv6_13发送给用户设备。
用户设备从IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13这3个地址对中选择一个
IPv6地址,如选择IPv6_11,向NAT设备发送目的地址为IPv6_11、源地址为IPv6_1 的数据报
文。NAT设备中同样记录有IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13的对应关系,
根据记录的对应关系,将数据报文的目的地址转换为IPv4_1,进而向防火墙设备发送目的
地址为IPv4_1 的数据报文。防火墙设备根据数据报文的目的地址为IPv4_1,将数据报文发
送给对应的服务器。
网络的IP地址。防火墙设备若确定第一认证校验信息和第二认证校验信息相同,确定IPv6_
1对应的IP地址对包括:IPv4_1‑IPv6_11、 IPv4_2‑IPv6_12、IPv4_3‑IPv6_13。防火墙设备
可以通过NAT设备将IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、 IPv4_3‑IPv6_13发送给用户设备。
用户设备从IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13这3个地址对中选择一个
IPv6地址,如选择IPv6_11,向NAT设备发送目的地址为IPv6_11、源地址为IPv6_1 的数据报
文。NAT设备中同样记录有IPv4_1‑IPv6_11、IPv4_2‑IPv6_12、IPv4_3‑IPv6_13的对应关系,
根据记录的对应关系,将数据报文的目的地址转换为IPv4_1,进而向防火墙设备发送目的
地址为IPv4_1 的数据报文。防火墙设备根据数据报文的目的地址为IPv4_1,将数据报文发
送给对应的服务器。
[0176] 上述步骤601‑608部分描述的相对简单,具体可参考图4部分的相关描述。
[0177] 基于上述应用于用户设备的报文处理方法,本申请实施例还提供了一种应用于用户设备的报文处理方法。参考图7,图7为本申请实施例提供的报文处理方法的第四种流程
示意图。该方法应用于用户设备,包括如下步骤。
示意图。该方法应用于用户设备,包括如下步骤。
[0178] 步骤701,根据用户设备的第二用户信息,确定第一认证校验信息。
[0179] 在对用户设备进行认证时,用户设备获取自身的用户信息,即第二用户信息,根据第二用户信息,确定第一认证校验信息。
[0180] 步骤702,通过NAT设备向防火墙设备发送认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息。
[0181] 其中,第一IP地址为用户设备的真实IP地址。第一IP地址和第一认证校验信息可以携带在认证报文的载荷的任一位置。
[0182] 防火墙设备判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在第一对应关系,则根据第一对应关系包括的第
一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证校验信息相同,则根
据第一IP地址和第一用户信息,确定第一数据校验信息;通过NAT设备向用户设备发送指示
认证成功的响应报文。
一用户信息,确定第二认证校验信息;若第一认证校验信息和第二认证校验信息相同,则根
据第一IP地址和第一用户信息,确定第一数据校验信息;通过NAT设备向用户设备发送指示
认证成功的响应报文。
[0183] 步骤703,根据响应报文,利用第一IP地址和第二用户信息,确定第二数据校验信息。
[0184] 用户设备接收到指示认证成功的响应报文后,获取自身的第一IP地址和第二用户信息,根据第一IP 地址和第二用户信息,确定第二数据校验信息。
[0185] 步骤704,通过NAT设备向防火墙设备发送携带第二数据校验信息的数据报文。
[0186] 用户设备通过NAT设备向防火墙设备发送携带第二数据校验信息的数据报文。第二数据校验信息可以携带在数据报文的载荷尾部,也可以为数据报文的载荷中部,还可以
为数据报文的载荷头部,本申请实施例对此不进行限定。
为数据报文的载荷头部,本申请实施例对此不进行限定。
[0187] 防火墙设备接收到数据报文后,检测第二数据校验信息和第一数据校验信息是否相同。在数据报文携带的第二数据校验信息和第一数据校验信息相同的情况下,防火墙设
备转发数据报文。
备转发数据报文。
[0188] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0189] 上述步骤701‑704部分描述的相对简单,具体可参考图5部分的相关描述。
[0190] 下面结合图3所示的网络结构,以及图8所示的数据认证信令图,图9所示的数据转发信令图,对本申请实施例提供的报文处理方法进行详细说明。其中,用户设备300位于
IPv6网络,防火墙设备302 和服务器303位于IPv4网络。预设端口为18889。用户设备300的
地址为IPv6_a1,防火墙设备302的地址为IPv4_f1,其位于IPv6网络的地址为IPv6_f1,服务
器303的地址为IPv4_a1,其位于IPv6网络的地址为IPv6_a11。防火墙设备302中记录的信
息,如表6所示。
IPv6网络,防火墙设备302 和服务器303位于IPv4网络。预设端口为18889。用户设备300的
地址为IPv6_a1,防火墙设备302的地址为IPv4_f1,其位于IPv6网络的地址为IPv6_f1,服务
器303的地址为IPv4_a1,其位于IPv6网络的地址为IPv6_a11。防火墙设备302中记录的信
息,如表6所示。
[0191] 表6
[0192]
[0193] NAT设备301中预先记录服务器和防火墙设备位于不同网络的IP地址信息,如表7所示。
[0194] 表7
[0195]IPv6网络的IP地址 IPv4网络的IP地址
IPv6_a11 IPv4_a1
Pv6_a12 IPv4_a2
Pv6_a13 IPv4_a3
IPv6_a14 IPv4_a4
IPv6_f1 IPv4_f1
IPv6_a11 IPv4_a1
Pv6_a12 IPv4_a2
Pv6_a13 IPv4_a3
IPv6_a14 IPv4_a4
IPv6_f1 IPv4_f1
[0196] 为实现本申请实施例提供的报文处理方法,可在用户设备上安装安全插件。该安全插件的安全代理地址为防火墙设备302的地址IPv6_f1。
[0197] 数据认证的过程如下。
[0198] 步骤801,用户设备300获取用户信息1和用户设备300自身的IP地址IPv6_a1。用户信息1包括用户名10、用户密码10和用户密钥10。
[0199] 步骤802,用户设备300由用户信息1和IPv6_a1作为元素生成hash值1。hash值1即为第一认证校验信息。
[0200] 步骤803,用户设备300向NAT设备301发送认证报文11。其中,认证报文11的源地址为IPv6_a1,目的地址为IPv6_f1,目的端口为18889,认证报文11的载荷包括IPv6_a1和hash
值1。
值1。
[0201] 步骤804,NAT设备301接收到认证报文11后,从地址池中随机选择一个IPv4地址,如IPv4_a11,将认证报文11的源地址转换为IPv4_a11,并根据上述表7,将认证报文11的目
的地址转换为IPv4_f1,得到认证报文12。NAT设备301记录IPv6_a1与IPv4_a11的对应关系
1。
的地址转换为IPv4_f1,得到认证报文12。NAT设备301记录IPv6_a1与IPv4_a11的对应关系
1。
[0202] 一个实施例中,根据配置的策略不同,NAT设备可以对用户设备100发送的报文的源地址和目的地址均进行NAT处理,也可以仅对用户设备100发送的报文的源地址进行NAT
处理。例如,用户设备300 向NAT设备301发送认证报文13的源地址为IPv6_a1,目的地址为
IPv4_f1。NAT设备301接收到认证报文13后,从地址池中随机选择一个IPv4地址,如IPv4_
a11,将认证报文13的源地址转换为IPv4_a11,但对认证报文13的目的地址不做处理。
处理。例如,用户设备300 向NAT设备301发送认证报文13的源地址为IPv6_a1,目的地址为
IPv4_f1。NAT设备301接收到认证报文13后,从地址池中随机选择一个IPv4地址,如IPv4_
a11,将认证报文13的源地址转换为IPv4_a11,但对认证报文13的目的地址不做处理。
[0203] 以下仅以NAT设备可以对用户设备100发送的报文的源地址和目的地址均进行NAT处理为例进行说明。不起限定作用。
[0204] 步骤805,NAT设备301将认证报文12发送给防火墙设备302。
[0205] 步骤806,防火墙设备302接收到认证报文12后,检测认证报文12的目的端口是否为18889。如果不是18889,则执行步骤807。如果是18889,则执行步骤811。
[0206] 步骤807,防火墙设备302向NAT设备301发送指示认证失败的响应报文11。其中,响应报文11 的源地址为IPv4_f1,目的地址为IPv4_a11。
[0207] 步骤808,NAT设备301接收到响应报文11后,根据上述记录的对应关系1,将响应报文11的目的地址转换为IPv6_a1,根据表7,将响应报文11的源地址转换为IPv6_f1,得到响
应报文12。
应报文12。
[0208] 步骤809,NAT设备301将响应报文12发送给用户设备300。
[0209] 步骤810,用户设备300接收响应报文12,确定认证失败。
[0210] 步骤811,防火墙设备302从认证报文12的载荷中提取到IPv6_a1和hash值1,根据表6,确定IPv6_a1 对应用户信息2,用户信息2包括用户1、密码1和密钥1。防火墙设备302由
用户信息2和IPv6_a1作为元素生成hash值2。hash值2即为第二认证校验信息。
用户信息2和IPv6_a1作为元素生成hash值2。hash值2即为第二认证校验信息。
[0211] 步骤812,防火墙设备302判断hash值2和hash值1是否相同。若不同,则执行步骤807。若相同,则执行步骤813。
[0212] 步骤813,防火墙设备302确定对用户设备300认证成功,为用户设备300分配临时密钥1。
[0213] 步骤814,防火墙设备302由用户信息2、IPv6_a1和临时密钥1作为元素生成hash值3。hash值3 即为第一数据校验信息。另外,防火墙设备302向NAT设备301发送指示认证成功
的响应报文13。其中,响应报文13的源地址为IPv4_f1,目的地址为IPv4_a11。响应报文13的
载荷中携带临时密钥1,以及允许IPv6_a1访问的IP地址对,即IPv4_a1‑IPv6_a11和IPv4_
a2‑IPv6_a12。
的响应报文13。其中,响应报文13的源地址为IPv4_f1,目的地址为IPv4_a11。响应报文13的
载荷中携带临时密钥1,以及允许IPv6_a1访问的IP地址对,即IPv4_a1‑IPv6_a11和IPv4_
a2‑IPv6_a12。
[0214] 防火墙设备302记录计算得到的hash值3,将hash值3记录在用户登录信息表中,如表2所示。
[0215] 步骤815,NAT设备301接收到响应报文13后,根据上述记录的对应关系1,将响应报文13的目的地址转换为IPv6_a1,根据表7,将响应报文13的源地址转换为IPv6_f1,得到响
应报文14。
应报文14。
[0216] 步骤816,NAT设备301将响应报文14发送给用户设备300。
[0217] 步骤817,用户设备300接收响应报文14,确定认证成功,从响应报文14中获取到临时密钥1,以及允许IPv6_a1访问的IP地址对:IPv4_a1‑IPv6_a11和IPv4_a2‑IPv6_a12。
[0218] 数据转发的过程如下。
[0219] 步骤901,用户设备300获取用户信息1、IPv6_a1和临时密钥1,并从IPv4_a1‑IPv6_a11和 IPv4_a2‑IPv6_a12中选择一个地址,如选择了IPv6_a11,生成目的地址为IPv6_a11
的数据报文1。
的数据报文1。
[0220] 步骤902,用户设备300由用户信息1、IPv6_a1和临时密钥1作为元素生成hash值4,获取数据报文1的源端口SPort,拼接hash值4和Sport拼接,得到拼接字符串,将拼接字符串
插入数据报文1载荷的尾部。
插入数据报文1载荷的尾部。
[0221] 步骤903,用户设备300将插入拼接字符串的数据报文1发送给NAT设备301。其中,数据报文1 的源地址为IPv6_a1,目的地址为IPv6_a11,目的端口为18889。
[0222] 步骤904,NAT设备301接收到数据报文1后,从地址池中随机选择一个IPv4地址,如IPv4_a12,将数据报文1的源地址转换为IPv4_a12,并根据上述表7,将数据报文1的目的地
址转换为IPv4_a1,得到数据报文2。
址转换为IPv4_a1,得到数据报文2。
[0223] 步骤905,NAT设备301将数据报文2发送给防火墙设备302。
[0224] 步骤906,防火墙设备302接收到数据报文2后,检测数据报文2的目的端口是否为18889。如果是18889,则执行步骤907。如果否,则执行步骤911。
[0225] 步骤907,防火墙设备302从数据报文2载荷的尾部提取出拼接字符串,从拼接字符串中提取到hash 值4。
[0226] 步骤908,防火墙设备302检测用户登录信息表是否存在与hash值4相同的hash值,具体的检测 hash值4与hash值3是否相同。如果是,则执行步骤909。如果否,则执行步骤
911。
911。
[0227] 步骤909,防火墙设备302向服务器303发送数据报文2。
[0228] 步骤910,服务器303处理数据报文2。
[0229] 步骤911,防火墙设备302丢弃数据报文2。
[0230] 上述步骤801‑817,步骤901‑911部分的描述相对简单,具体可参考上述图4‑7部分的描述。
[0231] 与上述报文处理方法实施例对应,本申请实施例还提供了一种应用于防火墙设备的报文处理装置。参考图10,图10为本申请实施例提供的报文处理装置的第一种结构示意
图。该装置应用于防火墙设备,包括:接收单元1001、判断单元1002、第一确定单元1003、第
二确定单元1004、发送单元1005和转发单元1006。
图。该装置应用于防火墙设备,包括:接收单元1001、判断单元1002、第一确定单元1003、第
二确定单元1004、发送单元1005和转发单元1006。
[0232] 接收单元1001,用于接收用户设备发送的认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息;
[0233] 判断单元1002,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;
[0234] 第一确定单元1003,用于若存在第一对应关系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0235] 第二确定单元1004,用于若第一认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;
[0236] 发送单元1005,用于向用户设备发送指示认证成功的响应报文,并接收用户设备发送的携带第二数据检验信息的数据报文,第二数据检验信息为用户设备在接收到响应报
文后,利用第一IP地址和第一用户信息生成的;
文后,利用第一IP地址和第一用户信息生成的;
[0237] 转发单元1006,用于若数据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
[0238] 一个可选的实施例中,判断单元1002,具体可以用于在接收到认证报文之后,检测认证报文的目的端口是否为预设端口;若为预设端口,则从认证报文的载荷中提取第一IP
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
[0239] 转发单元1006,具体可以用于在接收到数据报文之后,检测数据报文的目的端口是否为预设端口;若为预设端口,则从数据报文的预设位置处提取第二数据校验信息,若数
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
[0240] 一个可选的实施例中,第一确定单元1003,具体可以用于计算第一对应关系包括的第一用户信息的哈希值,作为第二认证校验信息;
[0241] 第二确定单元1004,具体可以用于计算第一对应关系包括的第一用户信息和第一IP地址的哈希值,作为第一数据校验信息。
[0242] 一个可选的实施例中,第二确定单元1004,具体可以用于为用户设备分配临时密钥;根据第一IP 地址、第一用户信息和临时密钥,确定第一数据校验信息;
[0243] 发送单元1005,具体可以用于向用户设备发送指示认证成功且携带临时密钥的响应报文。
[0244] 一个可选的实施例中,发送单元1005,具体可以用于若第一认证校验信息和第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址的
对应关系,确定第一IP地址对应的第二IP地址;向用户设备发送指示认证成功且携带第二
IP地址的响应报文,以使用户设备从第二IP 地址中选择一个IP地址,向防火墙设备发送目
的地址为所选择的IP地址的数据报文。
对应关系,确定第一IP地址对应的第二IP地址;向用户设备发送指示认证成功且携带第二
IP地址的响应报文,以使用户设备从第二IP 地址中选择一个IP地址,向防火墙设备发送目
的地址为所选择的IP地址的数据报文。
[0245] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0246] 与上述报文处理方法实施例对应,本申请实施例还提供了一种应用于用户设备的报文处理装置。参考图11,图11为本申请实施例提供的报文处理装置的第二种结构示意图。
该装置应用于用户设备,包括:第一确定单元1101、第一发送单元1102、第二确定单元1103
和第二发送单元1104。
该装置应用于用户设备,包括:第一确定单元1101、第一发送单元1102、第二确定单元1103
和第二发送单元1104。
[0247] 第一确定单元1101,用于根据用户设备的第二用户信息,确定第一认证校验信息;
[0248] 第一发送单元1102,用于向防火墙设备发送认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息,以使防火墙设备判断预先存储有允许访问的IP地
址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在第一对应关
系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信
息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;
向用户设备发送指示认证成功的响应报文;
址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在第一对应关
系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一认证校验信
息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;
向用户设备发送指示认证成功的响应报文;
[0249] 第二确定单元1103,用于根据响应报文,利用第一IP地址和第二用户信息,确定第二数据校验信息;
[0250] 第二发送单元1104,用于向防火墙设备发送携带第二数据校验信息的数据报文;以使防火墙设备在数据报文携带的第二数据校验信息和第一数据校验信息相同的情况下,
转发数据报文。
转发数据报文。
[0251] 一个可选的实施例中,第一发送单元1102,具体可以用于将认证报文的目的端口修改为预设端口;向防火墙设备发送目的端口为预设端口的认证报文;
[0252] 第二发送单元1104,具体可以用于将数据报文的目的端口修改为预设端口;将第二数据校验信息插入数据报文的预设位置处,向防火墙设备发送目的端口为预设端口且插
入第二数据校验信息的数据报文。
入第二数据校验信息的数据报文。
[0253] 一个可选的实施例中,第一确定单元1101,具体可以用于计算第一对应关系包括的第一用户信息的哈希值,作为第一认证校验信息;
[0254] 第二确定单元1103,具体可以用于根据响应报文,计算第二用户信息和第一IP地址的哈希值,作为第二数据校验信息。
[0255] 一个可选的实施例中,响应报文还可以携带有防火墙设备为用户设备分配的临时密钥;
[0256] 第二确定单元1103,具体可以用于根据第一IP地址、第二用户信息和临时密钥,确定第二数据校验信息。
[0257] 一个可选的实施例中,响应报文还可以携带有允许第一IP地址访问的第二IP地址;
[0258] 第二发送单元1104,具体可以用于从第二IP地址选择一个IP地址;向防火墙设备发送目的地址为所选择的IP地址的数据报文。
[0259] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0260] 与上述报文处理方法实施例对应,本申请实施例还提供了一种应用于防火墙设备的报文处理装置。参考图12,图12为本申请实施例提供的报文处理装置的第三种结构示意
图。该装置应用于防火墙设备,包括:接收单元1201、判断单元1202、第一确定单元1203、第
二确定单元1204、发送单元1205和转发单元1206。
图。该装置应用于防火墙设备,包括:接收单元1201、判断单元1202、第一确定单元1203、第
二确定单元1204、发送单元1205和转发单元1206。
[0261] 接收单元1201,用于接收用户设备通过NAT设备发送的认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息;
[0262] 判断单元1202,用于判断预先存储有允许访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;
[0263] 第一确定单元1203,用于若存在第一对应关系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;
[0264] 第二确定单元1204,用于若第一认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数据校验信息;
[0265] 发送单元1205,用于通过NAT设备向用户设备发送指示认证成功的响应报文,并接收用户设备通过NAT设备发送的携带第二数据检验信息的数据报文,第二数据检验信息为
用户设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的;
用户设备在接收到响应报文后,利用第一IP地址和第一用户信息生成的;
[0266] 转发单元1206,用于若数据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
[0267] 一个可选的实施例中,判断单元1202,具体可以用于在接收到认证报文之后,检测认证报文的目的端口是否为预设端口;若为预设端口,则从认证报文的载荷中提取第一IP
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
地址和第一认证校验信息,判断预先存储有允许访问的IP地址与用户信息的对应关系中是
否存在包括第一IP地址的第一对应关系;
[0268] 转发单元1206,具体可以用于在接收到数据报文之后,检测数据报文的目的端口是否为预设端口;若为预设端口,则从数据报文的预设位置处提取第二数据校验信息,若数
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
据报文携带的第二数据校验信息和第一数据校验信息相同,则转发数据报文。
[0269] 一个可选的实施例中,第一确定单元1203,具体可以用于计算第一对应关系包括的第一用户信息的哈希值,作为第二认证校验信息;
[0270] 第二确定单元1204,具体可以用于计算第一对应关系包括的第一用户信息和第一IP地址的哈希值,作为第一数据校验信息。
[0271] 一个可选的实施例中,第二确定单元1204,具体可以用于为用户设备分配临时密钥;根据第一IP 地址、第一用户信息和临时密钥,确定第一数据校验信息;
[0272] 发送单元1205,具体可以用于通过NAT设备向用户设备发送指示认证成功且携带临时密钥的响应报文。
[0273] 一个可选的实施例中,发送单元1205,具体可以用于若第一认证校验信息和第二认证校验信息相同,则根据预先存储的允许访问的IP地址和允许该IP地址访问的IP地址对
的对应关系,确定第一IP地址对应的第二IP地址对;通过NAT设备向用户设备发送指示认证
成功且携带第二IP地址对的响应报文,以使用户设备从第二IP地址对中选择一个IP地址,
通过NAT设备向防火墙设备发送目的地址为所选择的 IP地址的数据报文,所选择的IP地址
与第一IP地址属于同一网络。
的对应关系,确定第一IP地址对应的第二IP地址对;通过NAT设备向用户设备发送指示认证
成功且携带第二IP地址对的响应报文,以使用户设备从第二IP地址对中选择一个IP地址,
通过NAT设备向防火墙设备发送目的地址为所选择的 IP地址的数据报文,所选择的IP地址
与第一IP地址属于同一网络。
[0274] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0275] 与上述报文处理方法实施例对应,本申请实施例还提供了一种应用于用户设备的报文处理装置。参考图13,图13为本申请实施例提供的报文处理装置的第四种结构示意图。
该装置应用于用户设备,包括:第一确定单元1301、第一发送单元1302、第二确定单元1303
和第二发送单元1304。
该装置应用于用户设备,包括:第一确定单元1301、第一发送单元1302、第二确定单元1303
和第二发送单元1304。
[0276] 第一确定单元1301,用于根据用户设备的第二用户信息,确定第一认证校验信息;
[0277] 第一发送单元1302,用于通过NAT设备向防火墙设备发送认证报文,认证报文的载荷包括用户设备的第一IP地址和第一认证校验信息,以使防火墙设备判断预先存储有允许
访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在
第一对应关系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一
认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数
据校验信息;通过NAT设备向用户设备发送指示认证成功的响应报文;
访问的IP地址与用户信息的对应关系中是否存在包括第一IP地址的第一对应关系;若存在
第一对应关系,则根据第一对应关系包括的第一用户信息,确定第二认证校验信息;若第一
认证校验信息和第二认证校验信息相同,则根据第一IP地址和第一用户信息,确定第一数
据校验信息;通过NAT设备向用户设备发送指示认证成功的响应报文;
[0278] 第二确定单元1303,用于根据响应报文,利用第一IP地址和第二用户信息,确定第二数据校验信息;
[0279] 第二发送单元1304,用于通过NAT设备向防火墙设备发送携带第二数据校验信息的数据报文;以使防火墙设备在数据报文携带的第二数据校验信息和第一数据校验信息相
同的情况下,转发数据报文。
同的情况下,转发数据报文。
[0280] 一个可选的实施例中,第一发送单元1302,具体可以用于将认证报文的目的端口修改为预设端口;通过NAT设备向防火墙设备发送目的端口为预设端口的认证报文;
[0281] 第二发送单元1304,具体可以用于将数据报文的目的端口修改为预设端口;将第二数据校验信息插入数据报文的预设位置处,通过NAT设备向防火墙设备发送目的端口为
预设端口且插入第二数据校验信息的数据报文。
预设端口且插入第二数据校验信息的数据报文。
[0282] 一个可选的实施例中,第一确定单元1301,具体可以用于计算第一对应关系包括的第一用户信息的哈希值,作为第一认证校验信息;
[0283] 第二确定单元1303,具体可以用于根据响应报文,计算第二用户信息和第一IP地址的哈希值,作为第二数据校验信息。
[0284] 一个可选的实施例中,响应报文还可以携带有防火墙设备为用户设备分配的临时密钥;
[0285] 第二确定单元1303,具体可以用于根据第一IP地址、第二用户信息和临时密钥,确定第二数据校验信息。
[0286] 一个可选的实施例中,响应报文还可以携带有允许第一IP地址访问的第二IP地址对;
[0287] 第二发送单元1104,具体可以用于从第二IP地址对选择一个IP地址;通过NAT设备向防火墙设备发送目的地址为所选择的IP地址的数据报文,所选择的IP地址与第一IP地址
属于同一网络。
属于同一网络。
[0288] 本申请实施例提供的技术方案中,用户设备将其真实IP地址携带在认证报文的载荷中发送给防火墙设备。此时,即使NAT设备对认证报文进行NAT处理,也不会改变认证报文
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
的载荷中的真实IP地址,实现了用户设备的真实IP地址与用户信息的绑定,解决了由于NAT
设备对报文的源IP地址进行NAT 处理,所引起的用户和IP地址的绑定缺乏唯一性的问题。
另外,通过认证校验信息对认证报文进行校验,通过数据校验信息对数据报文进行校验,降
低了NAT处理后的IP地址容易被窃取的带来风险,提高了网络安全性。
[0289] 与上述报文处理方法实施例对应,本申请实施例还提供了一种防火墙设备,如图14所示,包括处理器1401和机器可读存储介质1402,机器可读存储介质1002存储有能够被
处理器1401执行的机器可执行指令。处理器1401被机器可执行指令促使实现如图4和图6所
示的任一步骤。
处理器1401执行的机器可执行指令。处理器1401被机器可执行指令促使实现如图4和图6所
示的任一步骤。
[0290] 一个可选的实施例中,如图14所示,防火墙设备还可以包括:通信接口1403和通信总线1404;其中,处理器1401、机器可读存储介质1402、通信接口1403通过通信总线1404完
成相互间的通信,通信接口1403用于上述防火墙设备与其他设备之间的通信。
成相互间的通信,通信接口1403用于上述防火墙设备与其他设备之间的通信。
[0291] 与上述报文处理方法实施例对应,本申请实施例还提供了一种用户设备,如图15所示,包括处理器 1501和机器可读存储介质1502,机器可读存储介质1102存储有能够被处
理器1501执行的机器可执行指令。处理器1501被机器可执行指令促使实现如图5和图7所示
的任一步骤。
理器1501执行的机器可执行指令。处理器1501被机器可执行指令促使实现如图5和图7所示
的任一步骤。
[0292] 一个可选的实施例中,如图15所示,用户设备还可以包括:通信接口1503和通信总线1504;其中,处理器1501、机器可读存储介质1502、通信接口1503通过通信总线1504完成
相互间的通信,通信接口 1503用于上述用户设备与其他设备之间的通信。
相互间的通信,通信接口 1503用于上述用户设备与其他设备之间的通信。
[0293] 与上述报文处理方法实施例对应,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行
指令促使实现如图4和图6所示的任一步骤。
指令促使实现如图4和图6所示的任一步骤。
[0294] 与上述报文处理方法实施例对应,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令。处理器被机器可执行
指令促使实现如图5和图7所示的任一步骤。
指令促使实现如图5和图7所示的任一步骤。
[0295] 上述通信总线可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA (Extended Industry Standard Architecture,扩展工业标准结构)总
线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10和图11中仅
用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10和图11中仅
用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
[0296] 上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括 NVM(Non‑Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另
外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
外,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
[0297] 上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,
数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、
FPGA(Field‑Programmable Gate Array,现场可编程门阵列) 或其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。
数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、
FPGA(Field‑Programmable Gate Array,现场可编程门阵列) 或其他可编程逻辑器件、分
立门或者晶体管逻辑器件、分立硬件组件。
[0298] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖
非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0299] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处
理装置、防火墙设备、用户设备和机器可读存储介质实施例而言,由于其基本相似于报文处
理方法实施例,所以描述的比较简单,相关之处参见报文处理方法实施例的部分说明即可。
理装置、防火墙设备、用户设备和机器可读存储介质实施例而言,由于其基本相似于报文处
理方法实施例,所以描述的比较简单,相关之处参见报文处理方法实施例的部分说明即可。
[0300] 以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围
内。
内。