专利名称:Ike报文协商过程中的nat设备发现处理方法
技术领域:
本发明涉及网络技术领域,特别涉及一种IKE报文协商过程中的NAT设备发现处
理方法。
背景技术:
在互联网的安全通信过程中,“ Internet协议安全性(Internet ProtocolSecurity, IPSec) ”是一种开放标准的框架结构,其通过使用加密的安全服务以确保在IP网络上进行保密而安全的通讯,具体地,其主要是通过对IP协议的报文分组进行加密和认证来保护IP协议的网络传输协议族。IPSec通常由两大部分组成(I)建立安全分组流的密钥交换协议(Internet Key Exchange, IKE) ; (2)保护分组流的协议,包括加密分组流的封装安全载荷(Encapsulating Security Payload, ESP)协议或认证头(AuthenticationHeader, AH)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。其中,IKE是用来在两个对等体(PEER)之间协商建立一个隧道并协商加密报文的发送参数的,IKE的协商包括两个阶段第一阶段的协商是在两个PEER之间建立一个安全的通道,这个通道目的是为协商IPSEC的密钥等参数提供加密的参数;当IKE的通道协商成功之后,然后开始第二阶段的协商,目的是协商IPSec的加密参数。现有技术中,当IKE协商过程中发现网络中存在NAT (Network AddressTranslation,网络地址转换)设备时,会对协商报文的业务端口做一个转换,将控制流的IKE报文和数据流的ESP/AH报文都通过统一的UDP端口进行处理。该方式虽然一定程度上简化了报文发送的处理,但是,由于软硬件技术的进步,当前的网络设备、特别是NAT设备都已是多核多线程基于连接的设备,其通常会同时处理大量的网络数据。由于采用同样的UDP端口作为业务端口,当IKE报文和ESP/AH报文同时通过NAT设备时,由于数据流ESP/AH报文流量通常远大于控制流IKE报文的流量,数据流过大必然会影响控制流的收发,因而会导致IKE报文的丢失率大增,由于IKE报文是协商报文,主要承载了网络控制信息,比如其中包括了 keepalive (心跳或生命期管理)报文、notify (通知)报文和协商报文等,这种控制报文对网络通信起着直接的指导作用,一旦控制报文丢失会严重影响网络通信质量,甚至会导致断网,给通信带来的损失不可估量。
发明内容
(一 )要解决的技术问题针对现有技术的缺点,本发明为了解决现有技术中IKE协商过程中当发现NAT设备时IKE报文频繁丢失的问题,提供了一种IKE报文协商过程中的NAT设备发现处理方法。( 二 )技术方案为此解决上述技术问题,本发明具体采用如下方案进行首先,本发明提供一种IKE报文协商过程中的NAT设备发现处理方法,所述方法包括步骤
SI,通过设备发现,在两个对等设备之间建立一个安全的隧道;S2,在建立隧道过程中,当发现网络中存在NAT设备时,在设备间协商确定控制流报文处理端口和数据流报文处理端口 ;S3,报文发送过程中,NAT设备通过协商确定的所述控制流报文处理端口转发控制流报文,通过协商确定的所述数据流报文处理端口转发数据流报文。优选地,在步骤SI的设备发现过程中,通过供应商标识承载确认对端设备商;在步骤S2中,若对端设备商支持通过不同端口分别处理控制流和数据流的功能,则直接使用该功能;若对端设备商不支持该功能,则采用相同的端口处理控制流和数据流。优选地,所述协商确定的端口是UDP端口。优选地,协商确定的所述控制流报文处理端口为UDP端口号500,协商确定的所述数据流报文处理端口为m)P端口号4500。优选地,控制流报文包括IKE报文,数据流报文包括ESP和/或AH报文。优选地,所述NAT设备为多核多线程设备。优选地,所述NAT设备同时转发所述控制流报文和所述数据流报文。(三)有益效果本发明中,通过协商分别确定控制流报文和数据流报文的处理端口,使得NAT设备可以通过不同的端口转发控制流报文和数据流报文,更好地适应了 NAT设备并发处理的能力,提高了转发效率。此外,由于通过不同的端口分别处理控制流和数据流,保证了报文的独立性,避免了数据流流量过大对控制流的影响,降低了控制流报文的丢失率,保证了网络通信的质量和网络连接的可靠性。最后,本发明的协商过程还充分考虑了设备的兼容性和效率。
图I为本发明的一种IKE报文协商过程中的NAT设备发现处理方法流程示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明中,为了避免大量的数据流对控制流的IKE报文发送造成影响,提供了一种IKE报文协商过程中的NAT设备发现处理方法。具体地,参见图1,本发明的方法包括步骤通过设备发现,在两个对等设备之间建立一个安全的隧道;在建立隧道过程中,当发现网络中存在NAT设备时,在设备间协商确定控制流报文处理端口和数据流报文处理端口 ;报文发送过程中,NAT设备通过协商确定的所述控制流报文处理端口转发控制流报文,通过协商确定的所述数据流报文处理端口转发数据流报文。
其中,在设备发现过程中,通过供应商标识VID(vendor ID)承载确认对端设备商,若对端设备商支持通过不同端口分别处理控制流和数据流的功能,则直接使用该功能;若对端设备商不支持该功能,则采用相同的端口(如UDP端口 4500)处理控制流和数据流。优选地,所述协商确定的端口是UDP端口。更优选地,协商确定的所述控制流报文处理端口为UDP端口号500,协商确定的所述数据流报文处理端口为m)P端口号4500。其中,控制 流报文包括IKE报文,数据流报文包括ESP和/或AH报文。优选地,所述NAT设备为多核多线程设备。更优选地,所述NAT设备同时转发所述控制流报文和所述数据流报文。本发明中,通过协商分别确定控制流报文和数据流报文的处理端口,使得NAT设备可以通过不同的端口转发控制流报文和数据流报文,更好地适应了 NAT设备并发处理的能力,提高了转发效率。此外,由于通过不同的端口分别处理控制流和数据流,保证了报文的独立性,避免了数据流流量过大对控制流的影响,降低了控制流报文的丢失率,保证了网络通信的质量和网络连接的可靠性。最后,本发明的协商过程还充分考虑了设备的兼容性和效率。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的实际保护范围应由权利要求限定。
权利要求
1.一种IKE报文协商过程中的NAT设备发现处理方法,其特征在于,所述方法包括步骤 SI,通过设备发现,在两个对等设备之间建立一个安全的隧道; S2,在建立隧道过程中,当发现网络中存在NAT设备时,在设备间协商确定控制流报文处理端口和数据流报文处理端口 ; S3,报文发送过程中,NAT设备通过协商确定的所述控制流报文处理端口转发控制流报文,通过协商确定的所述数据流报文处理端口转发数据流报文。
2.根据权利要求I所述的方法,其特征在于,在步骤SI的设备发现过程中,通过供应商标识承载确认对端设备商;在步骤S2中,若对端设备商支持通过不同端口分别处理控制流和数据流的功能,则直接使用该功能;若对端设备商不支持该功能,则采用相同的端口处理 控制流和数据流。
3.根据权利要求I所述的方法,其特征在于,所述协商确定的端口是UDP端口。
4.根据权利要求3所述的方法,其特征在于,协商确定的所述控制流报文处理端口为UDP端口号500,协商确定的所述数据流报文处理端口为UDP端口号4500。
5.根据权利要求I所述的方法,其特征在于,控制流报文包括IKE报文,数据流报文包括ESP和/或AH报文。
6.根据权利要求I所述的方法,其特征在于,所述NAT设备为多核多线程设备。
7.根据权利要求6所述的方法,其特征在于,所述NAT设备同时转发所述控制流报文和所述数据流报文。
全文摘要
本发明涉及网络技术领域,提供了一种IKE报文协商过程中的NAT设备发现处理方法。所述方法包括步骤通过设备发现,在两个对等设备之间建立一个安全的隧道;在建立隧道过程中,当发现网络中存在NAT设备时,在设备间协商确定控制流报文处理端口和数据流报文处理端口;报文发送过程中,NAT设备通过协商确定的控制流报文处理端口转发控制流报文,通过协商确定的数据流报文处理端口转发数据流报文。本发明更好地适应了NAT设备并发处理的能力,提高了转发效率;通过不同的端口分别处理控制流和数据流,保证了报文的独立性,避免了数据流流量过大对控制流的影响,降低了控制流报文的丢失率,保证了网络通信的质量和网络连接的可靠性。
文档编号H04L29/12GK102624734SQ201210068588
公开日2012年8月1日 申请日期2012年3月15日 优先权日2012年3月15日
发明者陈海滨 申请人:汉柏科技有限公司