IPv4与IPv6网络通信方法及NAT-PT网关的制作方法

IPv4与IPv6网络通信方法及NAT-PT网关的制作方法
【专利摘要】一种基于NAT-PT网关的IPv4与IPv6网络通信方法及NAT-PT网关，所述方法包括步骤：接收IPv4或IPv6节点发送的通信请求；根据所述通信请求检测是否记录有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证。本发明根据节点发送的通信请求判断是否需要对所述源节点以及目标节点进行身份认证，解决了目前IPv4与IPv6网络安全中靠网络防火墙无法对数据进行过滤的缺陷，通过对通信双方身份的认证，有效保障了通信数据的安全。
【专利说明】IPv4与IPv6网络通信方法及NAT-PT网关
【技术领域】
[0001]本发明涉及互联网设备【技术领域】，特别是涉及一种基于NAT-PT网关的IPv4与IPv6网络通信方法、用于IPv4与IPv6网络通信的NAT-PT网关。
【背景技术】
[0002]网络安全中系统安全产品使用最广泛的技术就是防火墙技术，即在Internet (Internetwork,国际互联网)和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有三分之一是处于防火墙保护之下。
[0003]防火墙的技术实现通常是基于所谓〃包过滤〃技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有:包的源地址；包的目的地址；连接请求的方向(连入或连出)；数据包协议，如TCP/IP (Transmission Control Protocol/Internet Protocol,传输控制协议/因特网互联协议)等；服务请求的类型，如ftp (FileTransfer Protocol,文件传输协议)、www(万维网)等。
[0004]目前，数据网络中以IPv4(互联网协议第四版)技术为主导，随着网络规模的扩大，IPv6 (互联网协议第六版)技术以其庞大的地址空间等优势将逐渐取代目前的IPv4技术。然而，这种彻底的取代需要长期的过程。在这个长期由IPv4向IPv6演进的过程中，为了共享网络资源，需要解决IPv4网络和IPv6网络互相通信以及通信安全的问题。
[0005]为保障IPv4网络和IPv6网络能互相通信，需要在互通网关处进行协议转换，需要对IP报文头进行修改，有时甚至需要修改应用相关数据。这样网络防火墙收到的数据的IP地址经过修改，破坏了完整性检查，不能达到数据过滤的效果，从而也就无法保障IPv4网络和IPv6网络通信数据的安全。

【发明内容】

[0006]基于此，有必要针对上述问题，提供一种保障通信数据安全的IPv4与IPv6网络通信方法、用于IPv4与IPv6网络通信的NAT-PT网关。
[0007]一种基于NAT-PT网关的IPv4与IPv6网络通信方法，包括步骤:
[0008]接收IPv4或IPv6节点发送的通信请求,其中所述通信请求包括所述节点的IP地址和/或域名、目标节点的域名；
[0009]根据所述通信请求检测是否记录有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证，其中所述身份认证信息是节点是否为合法节点。
[0010]本发明基于NAT-PT网关的IPv4与IPv6网络通信方法，根据节点发送的通信请求检测NAT-PT网关是否存储有源节点及目标节点的身份认证信息，从而判断是否需要对所述源节点以及目标节点进行身份认证，解决了目前IPv4与IPv6网络安全中靠网络防火墙无法对数据进行过滤的缺陷，通过对通信双方身份的认证，有效保障了通信数据的安全。
[0011]一种用于IPv4与IPv6网络通信的NAT-PT网关，包括:
[0012]通信请求接收模块，用于接收IPv4或IPv6节点发送的通信请求，其中所述通信请求包括所述节点的IP地址和/或域名、目标节点的域名；
[0013]认证信息存储模块，用于存储节点的身份认证信息，其中所述身份认证信息是节点是否为合法节点；
[0014]认证信息检测模块，用于根据所述通信请求检测所述认证信息存储模块是否存储有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证。
[0015]本发明用于IPv4与IPv6网络通信的NAT-PT网关，通过检测是否存储有通信请求对应的所述节点及所述目标节点的身份认证信息，从而判断是将所述通信请求转发给所述目标节点，或是先对所述节点和/或所述目标节点进行身份认证，有效确保了通信双方的身份，保障了通信数据的安全。
【专利附图】

【附图说明】
[0016]图1为本发明方法实施例的流程示意图；
[0017]图2为本发明节点或目标节点身份认证实施例的流程示意图；
[0018]图3为本发明节点与目标节点通信具体实施例的结构图；
[0019]图4为本发明NAT-PT网关实施例一的结构示意图；
[0020]图5为本发明NAT-PT网关实施例二的结构示意图。
【具体实施方式】
[0021]下面结合附图对本发明基于NAT-PT网关的IPv4与IPv6网络通信方法的【具体实施方式】做详细描述。
[0022]如图1所示，一种基于NAT-PT网关的IPv4与IPv6网络通信方法，包括步骤:
[0023]S100、接收IPv4或IPv6节点发送的通信请求,其中所述通信请求包括所述节点的IP(Internet Protocol,网络协议)地址和/或域名、目标节点的域名；
[0024]NAT-PT(Network Address Translation-Protocol,附带协议转换器的网络地址转换器)网关负责完成IPv4和IPv6包括地址、协议在内的转换工作，具有IPv4地址池，在从IPv6向IPv4中转发包时使用，地址池中的地址是用来转换IPv6报文中的源地址，支持DNS-ALG (Domain Name System-Application Layer Gateway,域名系统-应用层网关)，实现由IPv4节点发起的与IPv6节点之间的通信；
[0025]S200、根据所述通信请求检测是否记录有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则进入步骤S300，否则进入步骤S400 ；其中所述身份认证信息是节点是否为合法节点；
[0026]根据通信请求的所述节点的IP地址或域名、目标节点的域名检测所述NAT-PT网关是否存储有对应的身份认证信息；进入步骤S400的条件为只记录有所述节点的身份认证信息，或者只记录有所述目标节点的身份认证信息，或者所述节点及所述目标节点的身份认证信息均没有被记录；
[0027]S300、转发所述通信请求至所述目标节点；转发所述通信请求至所述目标节点及所述目标节点根据所述通信请求返回的应答可以根据现有技术中已知方案实现；
[0028]S400、通知所述节点和/或所述目标节点进行身份认证；没有经过身份验证的节点和/或目标节点通过所述NAT-PT网关向认证服务器发出身份认证请求进行认证。
[0029]所述节点和目标节点身份认证可以通过很多方式实现，例如，在一个实施例中，如图2所示，所述节点或所述目标节点身份认证的步骤可以包括:
[0030]S410、接收所述节点或所述目标节点发送的身份认证请求,其中所述身份认证请求包含所述节点或所述目标节点的身份标识；
[0031]需要进行身份认证的节点或目标节点将身份认证请求发送给NAT-PT网关；所述身份标识包括所述节点或所述目标节点的数字证书，和/或MAC (Media Access Control,介质访问控制)地址等；[0032]S420、将NAT-PT网关的身份标识与所述身份认证请求转发给认证服务器；
[0033]NAT-PT网关的身份标识包括所述NAT-PT网关的数字证书，和/或MAC地址等；NAT -P T网关可以根据节点或目标节点的协议完成其自身协议的转换，例如，所述节点为IPv4网络节点，所述目标节点为IPv6网络节点，则NAT-PT网关转发所述节点的身份认证请求时将其自身的身份标识转化为IPv4协议的格式，转发所述目标节点的身份认证请求时将自身的身份标识转化为IPv6协议的格式，其中NAT-PT网关的协议转化可以通过现有技术实现；
[0034]S430、接收所述认证服务器发送的认证结果，其中所述认证结果包含所述节点或所述目标节点的身份认证信息，以及所述NAT-PT网关的身份认证信息；
[0035]所述NAT-PT网关的身份认证信息是网关是否为合法网关；
[0036]S440、记录所述节点或目标节点的身份认证信息并转发所述认证结果至所述节点或目标节点。
[0037]所述节点或所述目标节点身份认证完成后，为了使通信两端及时通信，在一个实施例中，步骤S440之后，还可以包括步骤:所述节点或目标节点记录所述NAT-PT网关的身份认证信息，并返回身份认证结束消息至所述NAT-PT网关；所述NAT-PT网关接收所述身份认证结束消息，并通知所述节点重新发送所述通信请求。
[0038]由于涉及两个不同网络(IPv4和IPv6)节点的身份认证，所述认证服务器需要支持IPv4和IPv6两种协议，即双协议栈，可以同时认证不同网络的节点，其中支持双协议栈的认证服务器可以通过现有技术中已知的方法实现。
[0039]为了更好的理解本发明IPv4与IPv6网络通信方法的【具体实施方式】，下面结合一个具体实施例详细说明。
[0040]如图3所示，处于IPv4网络的节点10要与处于IPv6网络的节点60通信，节点10需要首先用节点60的域名查询到节点60的IP地址，这个过程需要借助DNS服务器来完成。
[0041]为方便说明，假设IPv4网络和IPv6网络均只有一台DNS服务器，分别是DNS服务器20和DNS服务器50，同时假设节点B的域名为www.abc.com,其IPv6的地址为2001::1。
[0042]节点10要查询节点60的IP地址，首先向DNS服务器20发送DNS查询请求，所述查询请求包含有节点10的IP地址、域名以及节点60的域名等信息，DNS服务器20发现没有上述域名记录，于是向DNS服务器50查询；
[0043]该查询请求到达NAT-PT网关30时，所述NAT-PT网关30分别检测是否存储有所述节点10和节点60的身份认证信息，发现所述节点10和节点60均没有经过身份认证，则所述NAT-PT网关30分别向节点10和节点60发送身份认证请求通知；
[0044]所述节点10接收到所述身份认证请求通知，发送身份认证请求给所述NAT-PT网关30,其中所述身份认证请求包括所述节点10的数字证书或MAC地址等；
[0045]所述NAT-PT网关30将接收到的节点10发送的身份认证请求和自己的身份标识转发给认证服务器40，其中所述认证服务器40支持双协议栈；
[0046]所述认证服务器40对所述NAT-PT网关30转发的信息进行认证，并将认证结果返回给所述NAT-PT网关30，其中认证结果包括节点10的身份认证信息及所述NAT-PT网关30的身份认证信息；
[0047]所述NAT-PT网关30接收到所述认证结果，记录节点10是否是合法节点，并转发认证结果给节点10 ；
[0048]节点10记录所述NAT-PT网关30的身份是否合法，并返回一个身份认证结束消息至所述NAT-PT网关30 ;
[0049]同时，所述节点60接收到所述身份认证请求通知，发送身份认证请求给所述NAT-PT网关30，其中所述身份认证请求包括所述节点60的数字证书或MAC地址等；
[0050]所述NAT-PT网关30将接收到的节点60发送的身份认证请求和自己的身份标识转发给认证服务器40，其中所述认证服务器40支持双协议栈；
[0051]所述认证服务器40对所述NAT-PT网关30转发的信息进行认证，并将认证结果返回给所述NAT-PT网关30，其中认证结果包括节点60的身份认证信息及所述NAT-PT网关30的身份认证信息；
[0052]所述NAT-PT网关30接收到所述认证结果，记录节点60是否是合法节点，并转发认证结果给节点60 ；
[0053]节点60记录所述NAT-PT网关30的身份是否合法，并返回一个身份认证结束消息至所述NAT-PT网关30 ;
[0054]所述NAT-PT网关30接收到节点10和节点60返回的身份认证结束消息，通知节点10重新发送所述查询请求给所述NAT-PT网关30 ;
[0055]所述NAT-PT网关30检测到已记录有节点10和节点60的身份认证信息，且节点10和节点60是合法节点，就转发所述查询请求到节点60所在的IPv6网络；
[0056]DNS服务器50查询到节点60域名对应的IP地址为2001:: 1，向DNS服务器20发
送应答消息；
[0057]所述应答消息经过所述NAT-PT网关30时，所述NAT-PT网关30从其维护的地址池中找到一个可用的IPv4地址(假设为202.116.78.10)作为节点60的IPv4地址，并创建相应的映射记录；
[0058]修改后的应答消息返回节点10，节点10就可以通过202.116.78.10与节点60通?目。 [0059]类似的，如果节点60要查询节点10的IP地址，应答消息返回至所述NAT-PT网关30时，所述NAT-PT网关30会在节点10的IPv4地址前面加上96位的NAT-PT网关前缀作为节点10的IPv6地址，从而节点60就可以通过所述节点10的IPv6地址与节点10通信。
[0060]基于同一发明构思，本发明还提供一种用于IPv4与IPv6网络通信的NAT-PT网关，下面结合附图对本发明网关的【具体实施方式】做详细描述。
[0061]如图4所示，一种用于IPv4与IPv6网络通信的NAT-PT网关，包括:
[0062]通信请求接收模块110，用于接收IPv4或IPv6节点发送的通信请求，其中所述通信请求包括所述节点的IP地址和/或域名、目标节点的域名；
[0063]认证信息存储模块120，用于存储节点的身份认证信息，其中所述身份认证信息是节点是否为合法节点；
[0064]认证信息检测模块130，用于根据所述通信请求检测所述认证信息存储模块120是否存储有所述节点及所述目标节点的身份认证信息，若是，且所述节点及目标节点是合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证。
[0065]所述节点和目标节点的身份认证可以通过很多方式实现，例如，在一个实施例中，如图5所示，所述NAT-PT网关还可以包括:
[0066]认证请求接收模块140,用于接收所述节点或目标节点发送的身份认证请求,其中所述身份认证请求包含所述节点或目标节点的身份标识；
[0067]认证请求转发模块150，用于将NAT-PT网关的身份标识与所述身份认证请求转发给认证服务器200 ；
[0068]认证结果接收模块160，用于接收所述认证服务器200发送的认证结果，其中所述认证结果包含所述节点或所述目标节点的身份认证信息，以及所述NAT-PT网关的身份认证信息；
[0069]认证结果转发模块170，用于将所述节点或目标节点的身份认证信息存储在所述认证信息存储模块120，并转发所述认证结果至所述节点或目标节点。
[0070]所述节点或所述目标节点身份认证完成后，为了使通信两端及时通信，在一个实施例中，所述NAT-PT网关还可以包括认证消息接收模块，用于在所述节点或所述目标节点记录所述NAT-PT网关的身份认证信息后，接收所述节点或所述目标节点返回的身份认证结束消息；与所述认证消息接收模块相连的消息通知模块，用于在接收到所述身份认证结束消息时，通知所述节点重新发送所述通信请求。
[0071]由于涉及两个不同网络(IPv4和IPv6)节点的身份认证，所述认证服务器需要支持IPv4和IPv6两种协议，即双协议栈，可以同时认证不同网络的节点，其中支持双协议栈的认证服务器可以通过现有技术中已知的方法实现。
[0072]本发明用于IPv4与IPv6网络通信的NAT-PT网关的其它技术特征与本发明方法相同，在此不予赘述。
[0073]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种基于NAT-PT网关的IPv4与IPv6网络通信方法，其特征在于，包括步骤: 接收IPv4或IPv6节点发送的通信请求,其中所述通信请求包括所述节点的IP地址和/或域名、目标节点的域名； 根据所述通信请求检测是否记录有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证，其中所述身份认证信息是节点是否为合法节点。
2.根据权利要求1所述的基于NAT-PT网关的IPv4与IPv6网络通信方法，其特征在于，所述节点或所述目标节点身份认证的步骤包括: 接收所述节点或所述目标节点发送的身份认证请求，其中所述身份认证请求包含所述节点或所述目标节点的身份标识； 将NAT-PT网关的身份标识与所述身份认证请求转发给认证服务器； 获取所述认证服务器发送的认证结果，其中所述认证结果包含所述节点或所述目标节点的身份认证信息，以及所述NAT-PT网关的身份认证信息； 记录所述节点或所述目标节点的身份认证信息并转发所述认证结果至所述节点或所述目标节点。
3.根据权利要求2所述的基于NAT-PT网关的IPv4与IPv6网络通信方法，其特征在于，转发所述认证结果至所述节点或所述目标节点步骤之后，还包括步骤: 所述节点或目标节点记录所述NAT-PT网关的身份认证信息，并返回身份认证结束消息至所述NAT-PT网关； 所述NAT-PT网关接收所述身份认证结束消息，并通知所述节点重新发送所述通信请求。
4.根据权利要求2或3所述的IPv4与IPv6网络通信方法，其特征在于，所述认证服务器支持IPv4和IPv6两种协议。
5.一种用于IPv4与IPv6网络通信的NAT-PT网关，其特征在于，包括: 通信请求接收模块，用于接收IPv4或IPv6节点发送的通信请求，其中所述通信请求包括所述节点的IP地址和/或域名、目标节点的域名； 认证信息存储模块，用于存储节点的身份认证信息，其中所述身份认证信息是节点是否为合法节点； 认证信息检测模块，用于根据所述通信请求检测所述认证信息存储模块是否存储有所述节点及所述目标节点的身份认证信息，若是，且所述节点及所述目标节点为合法节点，则转发所述通信请求至所述目标节点，否则通知所述节点和/或所述目标节点进行身份认证。
6.根据权利要求5所述的用于IPv4与IPv6网络通信的NAT-PT网关，其特征在于，还包括: 认证请求接收模块，用于接收所述节点或目标节点发送的身份认证请求，其中所述身份认证请求包含所述节点或所述目标节点的身份标识； 认证请求转发模块，用于将NAT-PT网关的身份标识与所述身份认证请求转发给认证服务器；认证结果接收模块，用于接收所述认证服务器发送的认证结果，其中所述认证结果包含所述节点或所述目标节点的身份认证信息，以及所述NAT-PT网关的身份认证信息； 认证结果转发模块，用于将所述节点或所述目标节点的身份认证信息存储在所述认证信息存储模块，并转发所述认证结果至所述节点或所述目标节点。
7.根据权利要求6所述的用于IPv4与IPv6网络通信的NAT-PT网关，其特征在于，还包括: 认证消息接收模块，用于在所述节点或所述目标节点记录所述NAT-PT网关的身份认证信息后，接收所述节点或所述目标节点返回的身份认证结束消息； 与所述认证消息接收模块相连的消息通知模块，用于在接收到所述身份认证结束消息时，通知所述节点重新发送所述通信请求。
8.根据权利要求6或7所述的用于IPv4与IPv6网络通信的NAT-PT网关，其特征在于，所述认证服务 器支持IPv4和IPv6两种协议。
【文档编号】H04L29/06GK103957152SQ201410165306
【公开日】2014年7月30日 申请日期:2014年4月22日 优先权日:2014年4月22日
【发明者】杨峰, 陈康先, 张会锋 申请人:广州杰赛科技股份有限公司