网络装置、使用其的系统及相关的通道建立方法

网络装置、使用其的系统及相关的通道建立方法【专利摘要】本发明公开了一种网络装置、使用其的系统及相关的通道建立方法，该装置用以连接多个从属网络装置。各从属网络装置使用因特网协议(Internet?Protocol,IP)地址与网络装置沟通，网络装置包括因特网协议安全性(Internet?Protocol?Security,IPsec)模块及网络地址转换(Network?Address?Translation,NAT)模块。IPsec模块用以于因特网中建立IPsec通道至网络闸道，并取得对应至此IPsec通道的IPsec?IP地址。NAT模块用以转换这些从属网络装置的IP地址为此IPsec?IP地址，使得这些从属网络装置以此IPsec?IP地址透过IPsec通道连接至网络闸道。【专利说明】网络装置、使用其的系统及相关的通道建立方法【
技术领域：
】[0001]本发明是有关于一种网络装置，且特别是有关于一种因特网协议安全性的网络装置、使用其的因特网协议安全性系统及建立因特网协议安全性通道的方法。【
背景技术：
】[0002]随着网络发展以及移动通讯普及，对于网络中数据传输的安全性要求也与日俱增。因此，采用因特网协议安全性(InternetProtocolSecurity,IPsec)传输方式传送数据渐趋重要。而如何在IPsec传输方式中有效降低硬体成本，并且方便于一般使用者使用，乃目前业界所致力的课题之一。【
发明内容】[0003]本发明有关于一种网络装置、使用其的因特网协议安全性系统及建立因特网协议安全性通道的方法。[0004]根据本发明的第一方面，提出一种网络装置，其用以连接多个从属网络装置。各从属网络装置使用因特网协议(InternetProtocol,IP)地址与网络装置沟通，网络装置包括因特网协议安全性(InternetProtocolSecurity,IPsec)模块及网络地址转换(NetworkAddressTranslation,NAT)模块。IPsec模块用以于因特网中建立一IPsec通道至一网络闸道，并取得对应至此IPsec通道的一IPsecIP地址。NAT模块用以转换这些从属网络装置的IP地址为此IPsecIP地址，使得当这些从属网络装置透过IPsec模块建立IPsec通道连接至网络闸道时，这些从属网络装置以此IPsecIP地址连接至网络闸道。[0005]根据本发明的另一方面，提出一种因特网协议安全性系统，其包括一网络闸道以及一网络装置。网络闸道用以连接至一内部网络(intranet)，内部网络系透过网络闸道连接至因特网。网络装置用以连接多个从属网络装置，各从属网络装置系使用一IP地址与该网络装置沟通，网络装置包括一IPsec模块以及一NAT模块。IPsec模块用以于因特网中建立一IPsec通道至网络闸道，并取得对应至IPsec通道的一IPsecIP地址。NAT模块用以转换这些从属网络装置的IP地址为此IPsecIP地址，使得当这些从属网络装置透过IPsec模块建立IPsec通道连接至网络闸道时，这些从属网络装置以此IPsecIP地址连接至网络闸道。[0006]根据本发明的另一方面，提出一种建立因特网协议安全性通道的方法，方法包括:从一网络装置建立一IPsec通道至一网络闸道，并取得对应IPsec通道的一IPsecIP地址，网络装置用以连接多个从属网络装置，各从属网络装置系使用一IP地址与网络装置沟通；以及转换这些从属网络装置的IP地址为此IPsecIP地址，使得当这些从属网络装置透过网络装置建立IPsec通道连接至网络闸道时，这些从属网络装置以此IPsecIP地址连接至网络闸道。[0007]为了对本发明的上述及其他方面有更佳的了解，下文特举较佳实施例，并配合所附图式，作详细说明如下:【专利附图】【附图说明】[0008]图1绘示依照本发明实施例的网络装置与其所应用的因特网协议安全性系统的示意图。[0009]图2绘示网络装置传送封包至因特网的示意图。[0010]图3绘示网络闸道从因特网接收封包的示意图。[0011]图4绘示网络闸道传送封包至因特网的示意图。[0012]图5绘示网络装置从因特网接收封包的示意图。[0013]其中，附图标记:[0014]10:网络装置12:网络闸道[0015]14:因特网16:1Psec通道[0016]18:内部网络102:1Psec模块[0017]104:NAT模块106、122:加密单元[0018]108、124:解密单元[0019]112?114:从属网络装置[0020]180:远端主机[0021]202、204、206、208、212、214、216、218:封包【具体实施方式】[0022]图1绘示依照本发明实施例的网络装置与其所应用的因特网协议安全性系统的示意图。网络装置10连接多个从属网络装置112?114，各从属网络装置112?114使用因特网协议(InternetProtocol,IP)地址与网络装置10沟通。网络装置10包括因特网协议安全性(InternetProtocolSecurity,IPsec)模块102以及网络地址转换(NetworkAddressTranslation,NAT)模块104。IPsec模块102用以于因特网14中建立一IPsec通道16至一网络闸道12，并取得对应至IPsec通道16的一IPsecIP地址。NAT模块104用以转换从属网络装置112?114的IP地址为此IPsecIP地址，使得从属网络装置112?114以此IPsecIP地址透过IPsec通道16连接至网络闸道12。[0023]本文所述“连接”可为直接或间接连接，亦可为有线连接或无线连接。例如网络装置10与从属网络装置112?114之间，可以透过电缆线连接，亦可以透过无线网络的方式连接，并不加以限制。而图1中绘示3个从属网络装置仅为例示性说明，实际可使用的从属网络装置可以多于3个或小于3个，并不加以限制。[0024]网络装置10例如为蜂巢式基地台(cellularbasestation)、路由器(router)或无线网络存取点(wirelessAP)。从属网络装置112?114例如为蜂巢式基地台、路由器、无线网络存取点、电脑主机或移动装置。各个从属网络装置112?114可以不相同或相同。举例而言，在一般使用者家用环境中，网络装置10可以是一台毫微微蜂巢式基地台(femtocell)之类的小型蜂巢式基地台(smallcell)，而网络装置10所连接的从属网络装置112可以是路由器、从属网络装置113可以是无线网络存取点、从属网络装置114可以是使用者的移动电话。[0025]从属网络装置112?114与网络装置10可构成一个区域网络的一部分，各个从属网络装置112?114具有不同的私有(private)IP地址，例如为使用192.168.0.0?192.168.255.255区段的IP地址，而网络装置10亦具有一个私有IP地址。于图1中，从属网络装置112?114的私有IP地址例如分别是192.168.1.2?192.168.1.4，而网络装置10的私有IP地址例如是192.168.1.1。在此区域网络中，从属网络装置112?114与网络装置10以私有IP地址彼此沟通。而从属网络装置112?114经由网络装置10以连接至因特网14，网络装置10于因特网14中具有一个公有IP地址，即真实(Global)IP地址。网络装置10的真实IP地址例如是200.0.0.3ο[0026]网络闸道12连接至一内部网络18，内部网络18系透过网络闸道12连接至因特网14。内部网络18可以是企业内的区域网络，也可以是电信业者的核心网络(corenetwork)。例如在4G长期演进技术(LongTermEvolution,LTE)无线通讯系统中，内部网络18可以是演进数据封包核心网(EvolvedPacketCore,EPC),网络闸道12控制从外部的因特网14欲连进内部网络18的封包传输。网络闸道12例如为安全闸道(securitygateway)。[0027]当从属网络装置112欲建立安全性连线至内部网络18当中的远端主机180时，使用IPsec协议中的IPsec通道模式(tunnelmode)以建立安全性连线。从属网络装置112需经过网络装置10以连接至因特网14，从因特网14连接至内部网络18必须经过网络闸道12。网络装置10当中的IPsec模块102使用IPsec通道模式建立IPsec通道16至网络闸道12，而网络装置10当中的NAT模块104转换从属网络装置112的IP地址。其详细运作方式说明如下。[0028]请同时参考图2，图2绘示网络装置传送封包至因特网的示意图。当从属网络装置112以IPsec协议欲传送数据至远端主机180时，从属网络装置112传送一封包202至网络装置10，封包202内记载目标IPsecIP地址栏位DI，以及来源私有IP地址栏位SP。其中，IPsecIP地址所使用的范围，是IP规范中保留给私有IP地址的范围，于此例示实施例中，IPsecIP地址例如使用10.0.0.0?10.255.255.255区段的IP地址。欲连线的目标远端主机180其IPsecIP地址例如为10.0.0.2，发出请求的从属网络装置112其私有IP地址例如为192.168.1.2，因此封包202内目标IPsecIP地址栏位DI记载10.0.0.2，来源私有IP地址栏位SP记载192.168.1.2，从属网络装置112将封包202传送至网络装置10。[0029]网络装置10接收到封包202后，NAT模块104会将从属网络装置112的私有IP地址转换成网络装置10所使用的IPsecIP地址，关于网络装置10的IPsecIP地址的取得方式说明如下。[0030]当网络装置10当中的IPsec模块102经由因特网14向网络闸道12发出建立IPsec通道16的请求时，网络闸道12发出一个凭证(certificate)进行身份验证,验证成功之后分派一个IPsecIP地址给网络装置10。如此IPsec模块102于因特网14中建立IPsec通道16至网络闸道12，并取得对应至IPsec通道16的IPsecIP地址。于此例示实施例中，IPsec模块102所取得的IPsecIP地址例如为10.0.0.3。[0031]NAT模块104对封包202内的栏位SP，即从属网络装置112的私有IP地址192.168.1.2进行转换，转换成网络装置10的IPsecIP地址10.0.0.3，记载于封包204当中的来源IPsecIP地址栏位SI，NAT模块104将封包204传送至IPsec模块102。[0032]NAT模块104转换从属网络装置112?114的私有IP地址为网络装置10的IPsecIP地址，并将从属网络装置112~114的私有IP地址与网络装置10的端口(port)之间的对应关系记录于一NAT查找表(lookuptable)中，其一例子系如以下表一所不。【权利要求】1.一种网络装置，用以连接至多个从属网络装置，各该些从属网络装置使用一因特网协议地址与该网络装置沟通，其特征在于，该网络装置包括:一因特网协议安全性模块，用以于因特网中建立一IPsec通道至一网络闸道，并取得对应至该IPsec通道的一IPsecIP地址；以及一网络地址转换模块，用以转换该些从属网络装置的该些IP地址为该IPsecIP地址，使得该些从属网络装置以该IPsecIP地址透过该IPsec通道连接至该网络闸道。2.如权利要求1所述的网络装置，其特征在于，该网络装置为蜂巢式基地台、路由器或无线网络存取点，各该些从属网络装置系蜂巢式基地台、路由器、无线网络存取点、电脑主机或移动装置，该网络闸道为安全闸道。3.如权利要求1所述的网络装置，其特征在于，该IPsec模块包括一加密单元及一解密单元，该加密单元用以加密透过该IPsec模块传送至该网络闸道的一封包，该解密单元用以解密自该网络闸道接收的一加密后封包。4.如权利要求1所述的网络装置，其特征在于，该些从属网络装置以不同的私有IP地址与该网络装置沟通，该NAT模块转换该些从属网络装置的私有IP地址为该IPsecIP地址，该NAT模块并将该些从属网络装置的私有IP地址与该网络装置的端口之间的对应关系记录于一NAT查找表中。5.如权利要求1所述的网络装置，其特征在于，该些从属网络装置以不同的私有IP地址与该网络装置沟通，该NAT模块转换该IPsecIP地址为该些从属网络装置的私有IP地址，该NAT模块并将该些从属网络装置的私有IP地址与该网络装置的端口之间的对应关系记录于一NAT查找表中。6.如权利要求1所述的网络装置，其特征在于，该IPsec模块使用IPsec通道模式来于因特网中建立该IPsec通道至该网络闸道。7.一种因特网协议安全性系统，其特征在于，包括:一网络闸道，用以连接至一内部网络，该内部网络透过该网络闸道连接至因特网；以及一网络装置，用以连接至多个从属网络装置，各该些从属网络装置使用一IP地址与该网络装置沟通，该网络装置包括:一因特网协议安全性模块，用以于因特网中建立一IPsec通道至该网络闸道，并取得对应至该IPsec通道的一IPsecIP地址；以及一网络地址转换模块，用以转换该些从属网络装置的该些IP地址为该IPsecIP地址，使得该些从属网络装置以该IPsecIP地址透过该IPsec通道连接至该网络闸道。8.如权利要求7所述的因特网协议安全性系统，其特征在于，该网络装置为蜂巢式基地台、路由器或无线网络存取点，各该些从属网络装置为蜂巢式基地台、路由器、无线网络存取点、电脑主机或移动装置，该网络闸道为安全闸道。9.如权利要求7所述的因特网协议安全性系统，其特征在于，该IPsec模块包括一加密单元及一解密单元，该加密单元用以加密透过该IPsec模块传送至该网络闸道的一封包，该解密单元用以解密自该网络闸道接收的一加密后封包。10.如权利要求7所述的因特网协议安全性系统，其特征在于，该些从属网络装置以不同的私有IP地址与该网络装置沟通，该NAT模块转换该些从属网络装置的私有IP地址为该IPsecIP地址，该NAT模块并将该些从属网络装置的私有IP地址与该网络装置的端口之间的对应关系记录于一NAT查找表中。11.如权利要求7所述的因特网协议安全性系统，其特征在于，该些从属网络装置以不同的私有IP地址与该网络装置沟通，该NAT模块转换该IPsecIP地址为该些从属网络装置的私有IP地址，该NAT模块并将该些从属网络装置的私有IP地址与该网络装置的端口之间的对应关系记录于一NAT查找表中。12.如权利要求7所述的因特网协议安全性系统，其特征在于，该网络闸道包括一加密单元及一解密单元，该加密单元用以加密透过该网络闸道传送至该网络装置的一封包，该解密单元用以解密自该网络装置接收的一加密后封包。13.如权利要求7所述的因特网协议安全性系统，其特征在于，该IPsec模块使用IPsec通道模式来于因特网中建立该IPsec通道至该网络闸道。14.一种建立因特网协议安全性通道的方法，其特征在于，包括:从一网络装置建立一IPsec通道至一网络闸道，并取得对应该IPsec通道的一IPsecIP地址，该网络装置用以连接至多个从属网络装置，各该些从属网络装置系使用一IP地址与该网络装置沟通；以及转换该些从属网络装置的该些IP地址为该IPsecIP地址，使得该些从属网络装置以该IPsecIP地址透过该IPsec通道连接至该网络闸道。15.如权利要求14所述的建立因特网协议安全性通道的方法，其特征在于，于从该网络装置建立该IPsec通道至该网络闸道的步骤中，使用IPsec通道模式来从该网络装置建立该IPsec通道至该网络闸道。16.如权利要求14所述的建立因特网协议安全性通道的方法，其特征在于，于转换该些从属网络装置的该些IP地址为该IPsecIP地址的步骤中，使用NAT方法来转换该些从属网络装置的该些IP地址为该IPsecIP地址。17.如权利要求16所述的建立因特网协议安全性通道的方法，其特征在于，于该NAT方法中，转换该些从属网络装置不同的私有IP地址为该IPsecIP地址，并将该些从属网络装置的私有IP地址与该网络装置的端口之间的对应关系记录于一NAT查找表中。【文档编号】H04L29/08GK103618750SQ201310683325【公开日】2014年3月5日申请日期:2013年12月13日优先权日:2013年5月23日【发明者】连家豪申请人:中怡(苏州)科技有限公司,中磊电子股份有限公司