【技术实现步骤摘要】
本申请涉及通信,具体而言,涉及一种nat穿越的isakmp协商方法及相关装置。
技术介绍
1、目前,ip通信可能会遭受到窃听、篡改等攻击,因此缺乏一定的安全保障,目前一般可以通过ipsec(internet protocol security,互联网安全协议)解决ip层的安全性问题。是一种ip安全协议标准,用于给ipv4和ipv6数据提供高质量、可互操作的、基于密码学的安全性。
2、ipsec可通过密码学方法支持机密性和认证性服务,使用户能有选择地使用,并得到所期望的安全服务,但由于国内ip资源匮乏,因此在实际应用中需要进行nat(networkaddress translation,网络地址转换)穿越。
3、现有技术中,一个ipsec节点需要经过nat设备与另一个ipsec节点建立ipsec连接,此时这两个ipsec节点之间需要进行isakmp(internet secrity assocaition and keymanagement protocol,互联网安全联盟和密钥管理协议)协商,对于发起协商报文的ipsec节点,其保护的数据流量可确定为该ipsec节点到另一ipsec节点,而对于接收协商报文的ipsec节点,其保护的数据流量为该ipsec节点到nat设备,因此在isakmp协商二阶段时,接收到协商报文的ipsec节点会认为协商报文中的数据流量和其预期需要保护的数据流量不符,从而导致协商失败,无法成功建立ipsec连接。
技术实现思路
1、有鉴于
2、为了实现上述目的,本申请实施例采用的技术方案如下:
3、第一方面,本申请提供一种nat穿越的isakmp协商方法,应用于ipsec节点,所述ipsec节点与nat设备通信连接,所述nat设备与至少一个对端ipsec节点通信连接,所述方法包括:
4、接收所述nat设备发送的一阶段isakmp协商报文;
5、若所述一阶段isakmp协商报文满足预设条件且接收到所述nat设备发送的与所述一阶段isakmp协商报文对应的二阶段isakmp协商报文,则确定协商成功;所述预设条件包括所述一阶段isakmp协商报文为所述对端ipsec节点发送的协商报文,且所述对端ipsec节点位于所述nat设备的内部网络侧。
6、在可选的实施方式中,所述一阶段isakmp协商报文中包括源哈希值以及目的哈希值,所述源哈希值根据生成所述一阶段isakmp协商报文的设备的源地址和源端口号生成,所述目的哈希值根据所述一阶段isakmp协商报文对应的目的地址和目的端口号生成;
7、在接收所述nat设备发送的一阶段isakmp协商报文之后,所述方法还包括:
8、从所述一阶段isakmp协商报文的报文头中获取源地址、源端口号、目的地址以及目的端口号,并根据所述源地址和所述源端口号计算待检测源哈希值,根据所述目的地址和目的端口号计算待检测目的哈希值;
9、若所述待检测源哈希值与所述源哈希值不同且所述待检测目的哈希值与所述目的哈希值相同,则确定所述一阶段isakmp协商报文满足所述预设条件。
10、在可选的实施方式中,在接收所述nat设备发送的一阶段isakmp协商报文之后,所述方法还包括:
11、生成一阶段isakmp协商应答报文并发送至所述nat设备;
12、接收所述nat设备基于所述一阶段isakmp协商应答报文发送的与所述一阶段isakmp协商报文对应的二阶段isakmp协商报文;所述二阶段isakmp协商报文由所述nat设备在根据所述一阶段isakmp协商应答报文中的目的地址、目的端口号以及预存的地址转换表将所述一阶段isakmp协商应答报文发送至所述对端ipsec节点后,通过所述对端ipsec节点生成并发送到所述nat设备。
13、在可选的实施方式中,所述ipsec节点中还存储有网段信息与安全策略之间的对应关系,其中,一个所述网段信息对应一个所述安全策略,所述方法还包括:
14、根据所述二阶段isakmp协商报文中的二阶段流量地址中的源地址以及所述nat设备的ip地址,生成所述二阶段流量地址中的源地址对应的路由信息;其中,所述二阶段流量地址中的源地址为目的地址,所述nat设备的ip地址为所述目的地址对应的下一跳设备地址;
15、确定所述二阶段流量地址中的源地址所属的网段信息,并根据所述对应关系确定所述所属的网段信息对应的安全策略,根据所述安全策略生成所述二阶段流量地址中的源地址对应的策略信息。
16、在可选的实施方式中,所述方法还包括:
17、获取待转发报文;所述待转发报文中包括待转发目的地址;
18、若所述待转发目的地址存在对应的策略信息,则根据所述待转发目的地址对应的路由信息转发所述待转发报文。
19、在可选的实施方式中,所述方法还包括:
20、若当前时刻距协商成功的时刻的时长达到预设时长,则删除所述二阶段流量地址中的源地址对应的路由信息和策略信息;
21、生成isakmp协商请求报文并发送至所述nat设备;
22、接收所述nat设备基于所述isakmp协商请求报文发送的一阶段isakmp协商报文;所述一阶段isakmp协商报文由所述nat设备在根据所述isakmp协商请求报文中的目的地址、目的端口号以及预存的地址转换表将所述isakmp协商请求报文发送至所述对端ipsec节点后,通过所述对端ipsec节点重新生成并发送到所述nat设备。
23、第二方面,本申请提供一种nat穿越的isakmp协商装置,应用于ipsec节点,所述ipsec节点与nat设备通信连接,所述nat设备与至少一个对端ipsec节点通信连接,所述装置包括:
24、接收模块,用于接收所述nat设备发送的一阶段isakmp协商报文;
25、确定模块,用于若所述一阶段isakmp协商报文满足预设条件且接收到所述nat设备发送的与所述一阶段isakmp协商报文对应的二阶段isakmp协商报文,则确定协商成功;所述预设条件包括所述一阶段isakmp协商报文为所述对端ipsec节点发送的协商报文,且所述对端ipsec节点位于所述nat设备的内部网络侧。
26、在可选的实施方式中,所述一阶段isakmp协商报文中包括源哈希值以及目的哈希值,所述源哈希值根据生成所述一阶段isakmp协商报文的设备的源地址和源端口号生成,所述目的哈希值根据所述一阶段isakmp协商报文对应的目的地址和目的端口号生成;
27、所述确定模块,还用于从所述一阶段isakmp协商报文的报文头中获取源地址、源端口号、目的地址以及目的端口号,并根据所述源地址和所述源端口号计算待检测本文档来自技高网...
【技术保护点】
1.一种NAT穿越的ISAKMP协商方法,其特征在于,应用于IPSec节点,所述IPSec节点与NAT设备通信连接,所述NAT设备与至少一个对端IPSec节点通信连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述一阶段ISAKMP协商报文中包括源哈希值以及目的哈希值,所述源哈希值根据生成所述一阶段ISAKMP协商报文的设备的源地址和源端口号生成,所述目的哈希值根据所述一阶段ISAKMP协商报文对应的目的地址和目的端口号生成;
3.根据权利要求1所述的方法,其特征在于,在接收所述NAT设备发送的一阶段ISAKMP协商报文之后,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述IPSec节点中还存储有网段信息与安全策略之间的对应关系,其中,一个所述网段信息对应一个所述安全策略,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
7.一种NAT穿越的ISAKMP协商装置,其特征在于,应用于IPSec
8.根据权利要求7所述的装置,其特征在于,所述一阶段ISAKMP协商报文中包括源哈希值以及目的哈希值,所述源哈希值根据生成所述一阶段ISAKMP协商报文的设备的源地址和源端口号生成,所述目的哈希值根据所述一阶段ISAKMP协商报文对应的目的地址和目的端口号生成;
9.一种IPSec节点,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序,所述处理器可执行所述计算机程序以实现权利要求1-6任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的方法。
...【技术特征摘要】
1.一种nat穿越的isakmp协商方法,其特征在于,应用于ipsec节点,所述ipsec节点与nat设备通信连接,所述nat设备与至少一个对端ipsec节点通信连接,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述一阶段isakmp协商报文中包括源哈希值以及目的哈希值,所述源哈希值根据生成所述一阶段isakmp协商报文的设备的源地址和源端口号生成,所述目的哈希值根据所述一阶段isakmp协商报文对应的目的地址和目的端口号生成;
3.根据权利要求1所述的方法,其特征在于,在接收所述nat设备发送的一阶段isakmp协商报文之后,所述方法还包括:
4.根据权利要求1所述的方法,其特征在于,所述ipsec节点中还存储有网段信息与安全策略之间的对应关系,其中,一个所述网段信息对应一个所述安全策略,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
6.根...
【专利技术属性】
技术研发人员:李海威,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。