[发明专利]一种基于HIP协议的加密隧道通讯方法

说明书

本发明提供了一种基于HIP协议的加密隧道通讯方法,在两台不支持主机标识HIP协议的设备上，各自连接一台主机标识HIP交换机，两台主机标识HIP交换机之间实现网络连接；打开两台主机标识HIP交换机的地址解析APR的代理功能，在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道；本发明所述的一种基于HIP协议的加密隧道通讯方法,配合使用主机标识HIP交换机及通用路由封装协议GRE虚拟接口隧道技术，可以实现不具备主机标识HIP功能的设备间实现主机标识HIP通信，实现不具备移动互联功能的设备进行移动互连组网，不同网络之间的相互组网，具有应用范围广及安全保密程度高的特点。

技术领域

本发明属于网络通讯安全领域，尤其是涉及一种基于HIP协议的加密隧道通讯方法。

背景技术

主机标识HIP(Host Identity Protocol),主机标识协议引进一个新的加密命名空间，为Internet提供一个安全的主机移动和多宿主的方法，更容易对通信双方进行认证,从而实现安全可信任的网络系统。主机标识HIP利用IPSEC的ESP协议和传输模式，实现了端对端的安全通信。在移动互联网、IPv4和IPv6混合组网的情况下，能够实现通信数据的安全。但在一些网络中，仍然存在传统老旧的，无法实现自身改造(如国外厂家)的设备，这些设备无法自身支持主机标识HIP协议，因此就无法利用主机标识HIP的优良特性，进而无法融入到整个网络中。

发明内容

有鉴于此，本发明旨在提出一种基于HIP协议的加密隧道通讯方法，配合使用主机标识HIP交换机及通用路由封装协议GRE虚拟接口隧道技术，可以实现不具备主机标识HIP功能的设备间实现主机标识HIP通信，达到不同网络之间的安全融合。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于HIP协议的加密隧道通讯方法，包括：

步骤1：在两台不支持主机标识HIP协议的设备上，各自连接一台主机标识HIP交换机，两台主机标识HIP交换机之间实现网络连接；

步骤2：打开两台主机标识HIP交换机的地址解析APR的代理功能，在两台主机标识HIP交换机上创建一个通用路由封装协议GRE虚拟接口隧道；

步骤3：将通用路由封装协议GRE报文头部前的外层目的IP和源IP更换为通信双方两台主机标识HIP交换机的目的局部标识符LSI和源局部标识符LSI；

步骤4：将两台不支持主机标识HIP协议的设备的真实IP地址封装在通用路由封装协议GRE隧道内部，即通用路由封装协议GRE报文的数据部分；

步骤5：将完成封装的通用路由封装协议GRE报文交给主机标识HIP交换机，源方的主机标识HIP交换机首先会查询局部标识符LSI和IP地址的对应表格，将外层的局部标识符LSI转换为可以在网络上使用的IPv4地址或者IPv6地址，根据地址送达到目的方的主机标识HIP交换机，目的方的主机标识HIP交换机收到通用路由封装协议GRE报文后，去除外层IP头部，根据内层IP头部，可以将数据送达最终的不支持主机标识HIP协议的目的设备上，实现两个不具备主机标识HIP功能的设备间主机标识HIP通信。

本发明在实际使用中，解决了两个现有技术中存在的常见问题：ARP请求无应答及容易丢失实际源IP地址和目的IP地址。

进一步的，在步骤1中的网络连接方式可以是：移动互联网或混合组网。

进一步的，在步骤1中的不支持主机标识HIP协议的设备可以是：数据采集与监视控制系统SCADA设备或可编程逻辑控制器PLC设备。

相对于现有技术，本发明所述的一种基于HIP协议的加密隧道通讯方法,具有以下优势：