专利名称:网络地址转换设备传输ip数据包的方法
技术领域:
本发明涉及一种数据传输方法,特别是一种网络地址转换设备传输IP数据包的方法。
背景技术:
以下描述本发明所涉及的定义及名词解释IP数据包头的格式参见附图1,IP数据包包括IP包头及数据,其中IP包头包括有Identification域值;IP网络设备指使用IP网络协议实现数据通讯的设备;Identification域值(标识字段)是IP包头中一个16位的字段,标识字段含有一个唯一标识该数据报的整数。发送IP数据报的IP网络设备必须在主存中保持一个全局的计数器,同一个IP网络设备每产生一个新的数据报,计数器加1,并将该值分配给新产生的IP数据报的标识字段。
现有技术中在网络地址转换设备后的IP网络设备是无法直接对互联网发送IP数据包的,这是由于处于网络地址转换设备后的IP网络设备的实际网址在互联网上是不被承认的,只有通过其连接的网络地址转换设备对所要发送的IP数据包进行地址转换,成为互联网承认的地址后,其数据才可以在互联网上进行传输。
除了转换地址以外,IP数据包通过网络地址转换设备传输数据时还需要对IP包头做一些保证数据包传输可靠性和安全性的变换。然而,现有技术的这种通过网络地址转换设备传输IP数据包的方法仍然存在着安全隐患,这是因为传统的网络地址转换设备对IP包头中的Identification域值不作任何修改。根据IETF的IP协议的规定,同一台IP设备在对外发送新产生的IP包时,其发送的新产生的IP包包头中Identification域值是按照顺序加一递增的。但该数据包经过网络地址转换设备时,Identifaction字段的内容没有变化。正因为Identification域值的这些特性,通过分析网络地址转换设备转发出来IP包头中的Identification字段的内容,就可以分析网络地址转换设备后的计算机数量以及活动的情况,这样就会对网络地址转换设备后的计算机造成可能潜在的安全问题。
发明构成本发明的目的在于克服现有技术中的不足之处而提供一种可以使IP数据包的传输更为安全、可靠的网络地址转换设备传输IP数据包的方法。
本发明的目的是通过以下途径来实现的网络地址转换设备传输IP数据包的方法,包括如下步骤1、提供一种包括有中央处理装置和存储装置的网络地址转换设备;2、中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;3、存储装置中包括有一存储有新的Identification域值的存储单元,该存储装置与中央处理装置中的数据处理装置电连接;4、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域值字段;5、数据处理装置将提取存储装置中所存储的Identification域值替换所寻找到的Identification域值;6、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
在现有技术中,Identification域的值是国际IETF规定好的IP数据包头中一段用于标识的数值,根据国际规定,该数值在网络地址转换设备中是不需要也不用被改变的一个值,因此本领域的技术人员自然而然就遵从了该规定,从不对该字符串进行处理,但随着网络技术的发展,网络安全越来越为人们所重视,可总有一些网络安全措施不够到位,原因就在于不能突破所谓的国际规定,该国际规定引导本领域的其他技术人员不去考虑该国际规定以外、可用于改变并解决技术问题一些条例,自然也就不会从实际出发来维护本可做到的安全防范。本发明的技术人员正是突破了所谓国际规定的思想限制,本领域技术人员的技术偏见,大胆地改变国际中一些可进一步保证网络安全的规定措施,从而达到本发明所带来的技术效果,即在IP数据包经由网络地址转换设备传输时,通过对IP包包头的Identification域值的改变,防止其他网络设备通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,从而使IP数据包的传输更为安全、可靠,进一步保证了通过网络地址转换设备传输的IP数据包的安全。
本发明可以进一步具体为网络地址转换设备存储装置中所存储的新的Identification域值为该网络地址转换设备根据一定规律重新分配或计算的值。
或者网络地址转换设备存储装置中所存储的新的Identification域值为该网络地址转换设备随机分配的值。
本发明所述存储装置中所存储的新的Identification域值是经过变换产生的、用于替换中央处理装置原有的Identification域值的值。该新的Identification域值的产生可以是有规律的,根据一定算法或其他方式所形成或计算出来的值,也可以是无规律的,随机分配产生的值。但只要该值的变化达到可防止通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠的效果即可。
综上所述,本发明的要点在于对通过网络地址转换设备传输的IP数据包进行处理,既在传输过程中改变IP数据包包头的Identification域值,从而屏蔽了通过分析IP包的Identification域的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠。另外,本发明的发明人克服了现有本领域技术人员的技术偏见,大胆地突破国际规定,改变国际规定,从而可在原有的基础上进一步保证了网络数据传输的安全性。
图1所示为本发明背景技术中所述的IP数据包头的格式图;图2所示为本发明所述网络地址转换设备传输IP数据包时变换Identification域值的结构示意图。
下面结合实施例对本发明做进一步描述。
具体实施例实施例1参照附图2,网络地址转换设备上具有中央处理装置和存储装置,该中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;存储装置中具有一个全局存储单元用来存放Identification域值,该存储装置与中央处理装置中的数据处理装置电连接。
上述网络地址转换设备在传输IP数据包时,具有如下步骤1、在网络地址转换设备刚启动的时候,存储装置中的全局存储单元中存放有一个固定的Identification域值;2、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域值字段;3、数据处理装置将提取存储装置中全局存储单元所存储的Identification域值替换所寻找到的Identification域值;4、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
以后每经过一个IP数据包,该网络地址转换设备中用于存放Identification的存储单元中的Identification域值就自动加一(或则加上其他的固定值),然后如上述步骤把经过的IP数据包头中的Identification域值替换为网络地址转换设备中存储单元所存储的Identification域值。
本发明未述部分与现有技术相同。
最佳实施例网络地址转换设备保存有一个存储单元用来存放Identification域值,以后每经过一个IP数据包,该网络地址转换设备中存放Identification域值的存储单元中的值就采用随机函数生成一个,并把经过的IP数据包中的Identification域值替换为网络地址转换设备中存储单元所存储的Identification值。
本实施例未述部分与实施例1相同。
权利要求
1.网络地址转换设备传输IP数据包的方法,其特征在于,包括如下步骤a、提供一种包括有中央处理装置和存储装置的网络地址转换设备;b、中央处理装置包括有依序电连接的数据接收装置、数据处理装置以及数据发送装置;c、存储装置中包括有一存储有新的Identification域值的存储单元,该存储装置与中央处理装置中的数据处理装置电连接;d、数据接收装置接收来自网络地址转换设备后的IP网络设备发出的IP数据包,并将该数据包传输给数据处理装置,数据处理装置寻找出IP包头中的Identification域值字段;e、数据处理装置将提取存储装置中所存储的Identification域值替换所寻找到的Identification域值;f、通过数据处理装置将变换后的IP数据包进行重新组合,然后把转换后的IP数据包通过数据发送装置转发出去。
2.根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置中所存储的新的Identification域值为中央处理装置根据一定规律重新分配的值。
3.根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置所存储的新的Identification域值为中央处理装置随机分配的值。
4.根据权利要求1所述的网络地址转换设备传输IP数据包的方法,其特征在于,网络地址转换设备存储装置中所存储的新的Identification域值为中央处理装置根据原有IP包头中的Identification域值中的值进行变换的值。
全文摘要
本发明涉及一种数据传输方法,特别是一种网络地址转换设备传输IP数据包的方法。本发明的要点在于对通过网络地址转换设备传输的IP数据包进行处理,既在传输过程中改变IP数据包包头的Identification域值,从而屏蔽了通过分析IP包的Identification域值的数值来分析网络地址转换设备后的计算机数量以及活动的情况,使IP数据包的传输更为安全、可靠。另外,本发明的发明人克服了现有本领域技术人员的技术偏见,大胆地突破国际规定,改变国际规定,从而可在原有的基础上进一步保证了网络数据传输的安全性。
文档编号H04L29/06GK1909505SQ200610019679
公开日2007年2月7日 申请日期2006年7月17日 优先权日2006年7月17日
发明者朱琼英 申请人:朱琼英