内部地址分配方法、装置、服务器及系统的制作方法
【技术领域】
[0001]本发明涉及通信领域,具体而言,涉及一种内部地址分配方法、装置、服务器及系统。
【背景技术】
[0002]随着因特网的高速发展,网络协议(Internet Protocol,简称为IP)网络逐渐成为人们日常工作和生活中必不可少的工具,而在IP网络上进行数据传输的安全性保证的需求也日趋强烈。众所周知,IP网络是个开放的网络,不采取任何措施就利用IP网络进行数据通信是毫无安全性可言的。为了满足在IP网上获得安全通信的需要,互联网工程任务组的网络协议安全(Internet Protocol Security,简称为IPSec)工作组制定了一组基于密码学的开放网络安全协议,总称IPSec体系结构。IPSec协议提供了访问控制、无连接的数据完整性、数据保密性、数据源验证、防重放攻击、自动密钥管理等安全服务。
[0003]IPsec在对IP网络提供安全保护时需要一些参数,包括加解密算法及密钥,完整性验证算法及密钥等集合,称之为安全联盟(Security Associat1n,简称为SA)。生成SA有两种方法,手工配置和自动协商,在大型的网络部署中,需要采用自动协商方式为IPsec通讯两端生成SA。
[0004]互联网工程组指定了互联网密钥交换(Internet Key Exchange,简称为IKE)协议用于自动协商SA’目前已有两个版本IKEvl和IKEv2。IKEv2相对于IKEvl版本减少了协商报文个数,增加了一些新的功能。
[0005]内网地址分配功能是IKEv2协议提供的功能之一,发起端(客户端)通过在IKEv2协商过程中携带配置载荷(Config Payload,简称为CP),可以向响应端(服务器)请求一个私网地址,发起端可以使用分配到的私网地址与服务器所保护的内部网络进行通讯。响应端针对这种私网地址的请求,采取的有求必应和尽力而为的策略,这样会增加响应端的负担,同时也会使得响应端更容易被攻击。在大量发起端同时重新接入情况下,这种策略会导致响应端上的私网地址资源大量浪费;如果拥有一个合法身份的发起端发起拒绝服务(Denial of Service,简称为DOS)攻击或者众多的发起端发起分布式拒绝服务(Distributed Denial of Service, DD0S)攻击,也会导致响应端的私网地址资源极大浪费,影响正常发起端的接入。
[0006]现有的专利文献:专利申请号为201110171153.9的中国专利申请“IKE协商控制方法和设备”。该专利申请至少存在以下不足:一、该专利利用发起端协商请求中所携带的IP地址对发起端进行优先级排序,只能解决大量IKE协商请求并发对响应端中央处理器(Central Processing Unit,简称为CPU)资源的消耗,不能解决对私网地址资源的消耗问题。二、该专利实现中,按照IKE协商请求中所带IP地址进行优先级排序,更容易受到DOS攻击。
[0007]针对相关技术中存在的内部地址资源消耗大的问题,目前尚未提出有效的解决方案。
【发明内容】
[0008]本发明提供了一种内部地址分配方法、装置、服务器及系统,以至少解决相关技术中存在的内部地址资源消耗大的问题。
[0009]根据本发明的一个方面,提供了一种内部地址分配方法,包括:接收客户端发送的用于请求分配内部地址的协商报文;根据所述协商报文判断之前是否为所述客户端分配过内部地址;在判断结果为是的情况下,将分配过的所述内部地址重新分配给所述客户端。
[0010]优选地,所述协商报文至少包括标识符ID载荷,根据所述协商报文判断之前是否为所述客户端分配过所述内部地址包括:从所述ID载荷中获取所述客户端的身份标识;根据所述身份标识判断是否存在与所述身份标识相匹配的互联网密钥交互安全联盟IKE SA ;在存在与所述身份标识相匹配的所述IKE SA的情况下,判断在所述IKE SA中是否存在与所述客户端对应的内部地址;在判断结果为是时,确定为所述客户端分配过所述内部地址。
[0011]优选地,在接收客户端发送的用于请求分配内部地址的协商报文之前,还包括:记录已分配过内部地址的客户端与所分配的内部地址之间的对应关系。
[0012]优选地,所述内部地址分配方法中的互联网密钥交换协议为互联网密钥交换IKEv2协议。
[0013]根据本发明的另一方面,还提供了一种内部地址分配装置,包括:接收模块,用于接收客户端发送的用于请求分配内部地址的协商报文;判断模块,用于根据所述协商报文判断之前是否为所述客户端分配过内部地址;分配模块,用于在所述判断模块的判断结果为是的情况下,将分配过的所述内部地址重新分配给所述客户端。
[0014]优选地,所述协商报文至少包括标识符ID载荷,所述判断模块包括:获取单元,用于从所述ID载荷中获取所述客户端的身份标识;第一判断单元,用于根据所述身份标识判断是否存在与所述身份标识相匹配的互联网密钥交互安全联盟IKE SA ;第二判断单元,用于在所述第一判断单元的判断结果为是的情况下,判断在所述IKE SA中是否存在与所述客户端对应的内部地址;确定单元,用于在所述第二判断单元的判断结果为是时,确定为所述客户端分配过所述内部地址。
[0015]优选地,所述内部地址分配装置还包括:记录模块,用于记录已分配过内部地址的客户端与所分配的内部地址之间的对应关系。
[0016]优选地,所述内部地址分配装置中应用的互联网密钥交换协议为互联网密钥交换IKEv2协议。
[0017]根据本发明的再一方面,提供了一种服务器,包括上述任一项所述的内部地址分配装置。
[0018]根据本发明的又一方面,提供了一种系统,包括上述所述的服务器和一个或多个客户端。
[0019]通过本发明,采用接收客户端发送的用于请求分配内部地址的协商报文;根据所述协商报文判断之前是否为所述客户端分配过内部地址;在判断结果为是的情况下,将分配过的所述内部地址重新分配给所述客户端,解决了相关技术中存在的内部地址资源消耗大的问题,进而达到了减少了服务器上内部地址资源浪费的效果。
【附图说明】
[0020]此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0021]图1是根据本发明实施例的内部地址分配的流程图;
[0022]图2是根据本发明实施例的内部地址分配装置的结构框图;
[0023]图3是根据本发明实施例的内部地址分配装置中判断模块24的结构框图;
[0024]图4是根据本发明实施例的内部地址分配装置的优选结构框图;
[0025]图5是根据本发明实施例的服务器的结构框图;
[0026]图6是根据本发明实施例的系统的结构框图;
[0027]图7是根据本发明实施例的IKEv2协商过程中处理发起端的私网地址请求的方法流程图;
[0028]图8是根据本发明实施例的网络安全设备组网示意图;
[0029]图9是根据本发明实施例的IKEv2协商流程示意图;
[0030]图10是根据本发明实施例的IKEv2协商流程方法流程图;
[0031]图11是根据本发明实施例的策略分配方法的流程图。
【具体实施方式】
[0032]下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
[0033]在本实施例中提供了一种内部地址分配方法,图1是根据本发明实施例的内部地址分配的流程图,如图1所示,该流程包括如下步骤:
[0034]步骤S102,接收客户端发送的用于请求分配内部地址的协商报文;
[0035]步骤S104,根据协商报文判断之前是否为该客户端分配过内部地址;
[0036]步骤S106,在判断结果为是的情况下,将分配过的内部地址重新分配给该客户端。
[0037]通过上述步骤,接收客户端发送的用于请求分配内部地址的协商报文;根据协商报文判断之前是否为客户端分配过内部地址;在判断结果为是的情况下,将分配过的内部地址重新分配给客户端,实现了使得客户端在掉电或其他异常情况下重启并重新发起建链后能获取重启前的内部地址,一方面减少了服务器上内部地址资源的浪费,另一方面也让客户端减少了地址变动带来的影响,解决了相关技术中存在的内部地址资源消耗大的问题,进而达到了减少了服务器上内部地址资源浪费的效果。
[0038]在一个优选的实施例中,述协商报文至少包括标识符ID载荷,根据协商报文判断之前是否为该客户端分配过内部地址包括:从ID载荷中获取客户端的身份标识;根据身份标识判断是否存在与身份标识相匹配的互联网密钥交互安全联盟IKE SA ;在存在与身份标识相匹配的IKE SA的情况下,判断在IKE SA中是否存在与客户端对应的内部地址;在判断结果为是时,确定为客户端分配过内部地址。通过上述判断过程,可以确定为客户端已经分配过内网地址,进而达到已接入客户端重新接入时继承上传接入分配的地址,减少内网地址资源的浪费。
[0039]在一个优选的实施例中,在接收客户端发送的用于请求分配内部地址的协商报文之前,还包括:记录已分配过内部地址的客户端与所分配的内部地址之间的对应关系。这样就能够在已接入客户端重新接入时,快速的查找到与该客户端对应的内部网址。
[0040]其中,在上述内部地址分配方法中所应用的互联网密钥交换协议为互联网密钥交换IKEv2协议。
[0041]在本实施例中还提供了一种内部地址分配装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
[0042]图2是根据本发明实施例的内部地址分配装置的结构框图,如图2所示,该装置包括接收模块22、判断模块24和分配模块26。下面对该装置进行说明。
[0043]接收模块22,用于接收客户端发送的用于请求分配内部地址的协商报文;判断模块24,连接至上述接收模块22,用于根据协商报文判断之前是否为客户端分配过内部地址;分配模块26,连接至上述判断模块24,用于在判断模块24的判断结果为是的情况下,将分配过的内部地址重新分配给客户端。
[0044]图3是根据本发明实施例的内部地址分配装置中判断模块24的结构框图,如图3所示,该判断模块24包括获取单元32、第一判断单元34、第二判断单元36和确定单元38。下面对