[发明专利]网络地址转换穿越方法和系统

说明书

技术领域

本发明涉及通信领域，尤其是一种网络地址转换(Network AddressTranslation，NAT)穿越方法和系统。

背景技术

基于IP技术的虚拟专用网(Virtual Professional Network，VPN)是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IP安全(IP Security，IPSec)协议技术建立VPN网络，IPSec协议已逐渐成为VPN构建的主流技术。IPSec协议是由互联网工程工业组(Internet Engineering Task Force，IETF)1998年底规划并制定的网络IP层标准，为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IpSec协议通过AH(Authentication Header，认证头)协议和ESP(Encapsulating SecurityPayload，封装安全载荷)两个安全协议实现了上述目标。AH协议为IP数据包提供无连接的数据完整性和数据源身份认证，同时具有防重放攻击的能力；ESP协议为IP数据包提供数据的保密性(加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。AH和ESP都有两种工作模式，即传输模式和隧道模式，传输模式为上层载荷提供安全保护，隧道模式为上层载荷以及IP包头同时提供安全保护。

另外，NAT技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4设计上的不足，而导致的IP地址严重短缺的现状。

但是，被广泛使用的NAT设备却制约着基于IPSec技术的VPN的发展，这是因为IPsec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。

现有技术中，解决方案是采用UDP封装法实现NAT的透明穿透，不需要修改现有的NAT网关和路由器。隧道模式下ESP封装的步骤为：普通的ESP封装处理；插入一个适当格式的UDP头部。该UDP封装法是在原有的IP包的IP头和ESP的数据之间再封装一个UDP头，这样封装后的数据包端口值对NAT可见，就可以正确的实现端口转换。

但是上述现有技术的方案还不完善，至少存在以下问题：

IPSec隧道两端必须支持相关RFC(Request For Comments)；

由于添加了一个UDP报文头，从而导致加大了带宽开销；

增加的UDP字段可能导致报文分片，影响传输效率，并增加了IPSec隧道对端设备的负荷。

发明内容

本发明实施例提供一种网络地址转换穿越方法和系统，用以对隧道模式下ESP报文进行NAT转换，实现隧道模式下ESP报文的NAT穿越，而且IPSec隧道两端无需支持RFC。

本发明实施例提供了一种网络地址转换穿越方法，包括：

根据接收到的IP安全隧道的出隧道方向的封装安全载荷报文和入隧道方向的封装安全载荷报文分别创建出隧道方向的状态会话流表和入隧道方向的状态会话流表；以及

根据所述出隧道方向的状态会话流表和所述入隧道方向的状态会话流表对接收到的所述IP安全隧道的其他封装安全载荷报文进行IP地址转换。

本发明实施例提供了一种网络地址转换穿越系统，包括：

创建模块，用于根据接收到的IP安全隧道的出隧道方向的封装安全载荷报文和入隧道方向的封装安全载荷报文分别创建出隧道方向的状态会话流表和入隧道方向的状态会话流表；以及

转换模块，用于根据所述出隧道方向的状态会话流表和所述入隧道方向的状态会话流表对接收到的所述IP安全隧道的其他封装安全载荷报文进行IP地址转换。