CN1209712C - 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关 - Google Patents

Abstract

一种网络地址转换网关(20)，为从使用本地IP地址的局域网(10)向外部网络(30)传播的IP数据报提供常规网络转换，但当端口为特定协议预留时，例如作为IPSec协议模型一部分的ISAKMP“握手”协议，却挂起源服务地址(端口)的转换(图2和图3)。ISAKMP交换需要源计算机和目标计算机都使用相同的服务地址(端口)。通过提供不转换源服务地址(端口)的网络接口，本网关能够发起并维持在使用本地IP地址的局域网和Internet服务器之间使用IPSec协议的安全加密传输。

Description

用于使用本地IP地址和不可转换端口地址的局域网的网址转换网关

技术领域

虚拟专用网络(VPN)采用TCP/IP协议，利用Internet作为通信介质，能够使远程计算站点之间进行安全、高速通信。可以使用多种安全措施来保护Internet上站点之间流动的信息，防止不希望的窃听者或恶意黑客拦截。有效的安全措施必须(至少)具有以下确保任何或全部防护的功能：防止传输过程中无意或恶意修改数据以保持数据完整性；使用抗重复措施防止拒绝服务(DOS，denial-of-service)攻击；源认证；传输过程中源地址和其它报头信息的机密性；以及防止有害窃听保护分组的有效负载。提供Internet安全的标准模型之一是IPSec(因特网协议安全组)。IPSec与TCP/IP传输协议一起工作，为连接在Internet或自身连接到Internet的专用局域网(LAN)上的设备之间提供安全通信。

背景技术

TCP/IP(传输控制协议/网际协议)协议组利用IP地址识别网络上的每个设备。全球性IP地址唯一地确定Internet上的设备。该设备可以是计算机，打印机，路由器，交换器，网关，或其它网络设备。在Internet上，拥有全球性IP地址的设备可以作为源或目的地被直接访问。但是，TCP/IP通信协议并非专门用于Internet，而也可用于专用局域网。使用TCP/IP的专用局域网通常为网络设备使用“本地”IP地址。尽管专用局域网中没有两个设备可以共用同一个本地IP地址，专用局域网还是与Internet隔绝，并且从Internet上也看不见局域网上的本地设备。因此，本地设备的IP地址不需要“全球性”的唯一性。使用本地IP地址的局域网可以通过网关连接到Internet上，网关是一种可以对局域网和Internet之间的消息进行过滤或路由的设备。由于网关直接连接在Internet上，并由Internet上可视，所以为通过Internet进行通信，网关必须拥有全球唯一的IP地址。然而，由于从Internet不能直接看到局域网，所以局域网上的本地机器并不需要全球唯一的IP地址。

TCP/IP是Internet上使用的通信协议。使用TCP/IP进行通信的信息包含在“数据报”中。数据报由添加了一个或多个报头的离散信息“分组”构成。报头含有TCP/IP所需要的信息，用来引导分组到达其预期目的地并确保其在传输过程中得到正确处理。每个数据报都单独设定地址，可以是面向连接的TCP数据报，也可以是无连接的UDP(用户数据报协议)数据报。每个UDP数据报都含有一个IP报头和一个UDP报头。IP报头至少含有“源”IP地址和“目的地”IP地址，而UDP报头含有源服务地址和目的地服务地址(端口地址，以数字形式给出)。在IPv4中，IP地址的长度是32位，其格式是现在所熟悉的xxx.xxx.xxx.xxx。该格式中，每三个数字的字段是一个介于0和255之间的二进制八位字节(binary octet)。完整的IP地址将合理的网络或网段地址与网络“节点”(设备)地址结合在一起。网络或网段的地址可以包括IP地址的前3，6或9位数。网络或网段上的设备由节点地址(含有网络或网段地址中没有使用的那些其余数字)识别。

包含在UDP报头中的源服务地址和目的地服务地址是16位的数字，在不同情况下被称为“端口”或“接口(socket)”，用来把分组导引到发送或接收设备中运行的预期进程中。此处所用的术语“端口”或“端口地址”涉及到UDP报头中的服务地址字段。虽然理论上16位的数中有多少端口就有同样多的地址，但根据惯例通常为所建立的进程预留了许多端口地址。因此，例如，端口80为HTTP预留，端口20和21为FTP预留。通过使用端口地址，数据抵达运行着多于一个进程的本地设备后，可以被导引到预期的进程中。当本地主机上运行的进程不是所预留进程之一时，本地主机将从大量的未预留的端口号中挑选任一端口号来识别“源”进程。涉及“目的地”字段中该端口号的回复分组将被直接引导进该进程中。

随着最近十年Internet应用的爆炸性增长和未来的预期增长，全球唯一性IP地址已经成为稀缺资源。另外，许多维持专用局域网的企业很少或根本不需要其局域网上的计算机和设备拥有全球唯一的IP地址。在任何情况下，许多这样的企业更宁愿维持他们计算机IP地址的机密性。许多专用局域网给局域网上的设备使用本地IP地址，而不是给每个本地设备提供一个全球唯一IP地址，浪费有限的全球性资源。为了提供到Internet的连通性，这种局域网将在分隔其与Internet的网关上使用一个全球唯一的地址。

通过应用网址转换技术(NAT)，分隔局域网与Internet的网关设备能够提供防火墙的安全性，使拥有本地IP地址的机器能够通过网关的全球唯一地址访问Internet。局域网上的设备可以拥有静态本地IP地址，也可以拥有登录时动态分配的本地IP地址。网关用局域网上每个设备的本地IP地址维持转换表。由本地机器发往Internet的UDP分组含有本地IP地址和端口地址，它们分别在IP和UDP报头的源字段中识别。网关接收来自本地机器的分组，并把外部全球唯一IP地址和新的端口地址(从大量的未使用也未预留的端口地址中挑选)代入IP和UDP报头的源字段中。接下来，网关将更新循环冗余校验(CRC)，并为保证数据完整进行所必需的任何其它改变，然后向Internet发送分组。作为处理过程的一部分，网关将用以下内容更新其本地转换表以对应本地机器的IP地址：该机器最初报告的源端口地址；分配给Internet范围传播的分组的新源端口地址；以及目的地IP地址。接收到来自Internet的回应后，网关将从分组报头中识别出它自己的IP地址，并检查所接收分组的目的地端口地址。若发现目的地端口地址位于其内部表中，网关将把对照后的本地机器IP地址和原始端口地址代入分组的目的地字段中，并将更新CRC以及其它任何所必须更新的参数，然后把分组分派到局域网，在那里分组将被本地机器接收并导引到合适的进程中。通过这种方式，仅拥有本地IP地址的局域网上的一系列计算机就可以通过一个全球唯一的IP地址与Internet通信。

虽然应用网址转换技术(NAT)的网关提供了防火墙安全性，防止从Internet直接访问局域网，但其不能在Internet上传输过程中防止截听或更改发往局域网的分组，也不能确保源自局域网本地的询问的可信性。因此，对于连接到Internet时必须保持安全性的局域网，由IPSec提供的安全性是其必要保护。

通常，实施IPSec是为由至少一个主计算站点和一个或多个远程局域网构成的虚拟专用网络(VPN)提供安全性。主站点和远程局域网通过Internet连接，用这种高速介质代替明显昂贵的专用租借线路来实现站点之间的通信。但是，用Internet作为传输介质的缺点是其与生俱来的不安全性，以及很少或根本没有内在保护来防止侦听，探测，欺骗，或超级偷窃，以及黑客更改或转移信息。因此，需要安全数据传输的地方就需要全面的安全措施。IPSec协议实行安全措施以确保数据认证和数据完整。

IPSec协议组在多层OSI(开放系统互联)网络参考模型的网络层上实现安全性。该组包含一些相互关联的独立协议，用来确保携带信息穿越Internet的UDP数据报的安全。IPSec兼容系统的基本体系由RFC2401(《Security Architecture for the Internet Protocol》S.Kent和R.Atkinson著，1998年11月)解释。AH(验证报头)协议确保数据完整，源认证，并结合“抗重复”措施阻止拒绝服务(DOS)攻击。ESP(封装安全载荷)协议提供了与AH协议相似的防护，但增加了有效负载加密的其它特征。AH和ESP报头都有SPI(安全参数索引)字段。SPI是一个伪随机的32位数值，用来为数据报识别SA(安全联盟)。关于这些协议的更多信息可以在RFC1826(《IP AuthenticationHeader》R.Atkinson著，1995年8月)和RFC2406(《IP EncapsulatingSecurity Payload(ESP)，S.Kent和R.Atkinson著，1998年11月》)中找到。ISAKMP/Oakley(因特网安全协会和密钥管理协议，一般还称为因特网密钥交换-IKE)是一个握手协议，用来为两主机之间的安全会话设立参数，并交换密钥和其它安全信息，用来实现安全会话并允许传输加密数据。ISAKMP/Oakley协议(此后简称为ISAKMP)包括未加密消息的原始交换，用来为两主机提供原始数据，由这些原始数据可以建立认证并产生加密数据的密钥。所述处理过程的解释可以在RFC2409(《The Internet Key Exchange》，D.Harkins和.D.Carrel，1998年11月)中找到。一旦安全参数足以确定：在主机之间的SA(安全联盟)已经交换后，所有后来的传输将被加密并根据所述协议进行充分认证。此时ISAKMP协议终止。根据该会话中每台机器的IP地址和机器的SPI进行后续寻址工作。每个会话中每台机器的SPI是唯一的。专用局域网的网关将维持一个内部表，其中SPI-In在对应于本地机器IP地址的数值中，SPI-Out对应于与本地机器通信的Internet上机器的IP地址。每台机器的SPI由ISAKMP传输过程中交换的信息计算出，并在附加于UDP分组的AH或ESP报头中携带。因为IPSec协议可以通过嵌套为多种环境提供安全性，所以一个单独的数据报可以包含AH和ESP报头，也可以加密某些报头信息。

所述每个安全协议都通过以下方式修改UDP分组：在分组上放置新报头信息，为遵守所用协议修改分组的特定字段，某些情况下加密有效负载以及部分或全部其它分组的报头。因此，IPSec中，当UDP数据报离开“安全”区域而在不可信赖的网络上传输时，IPSec通常包括IP报头，AH或ESP报头(或二者皆有)，以及加密的有效负载。报头信息将包括目的地地址，SPI，和足够的SA信息，用来确保数据报能够到达其目的地并被目的地主机认证。加密有效负载确保包含在有效负载中的信息可以拒绝不需要的窃听者和黑客。数据报的原始目的地主机可以是路由器，网关，或局域网与Internet之间的防火墙。到达局域网和Internet的边界的设备后，数据报可以被打开，检验，部分或全部解密，为寻求更多地址信息而进行分析，向LAN上的本地IP地址进行路由引导。

IPSec中应用的ISAKMP握手协议要求建立安全会话的两台主机都使用特殊进程端口(地址端口500)进行原始消息交换。因此，端口500就被专门分配给ISAKMP协议专用了。通常，试图使用ISAKMP协议协商安全通信参数的计算机必须直接通过每台计算机的端口500进行通信。即，来自任一计算机的ISAKMP信息必须把端口500识别为源和目的地端口地址。若任一计算机接收到的分组的源和目的地都没有指定为端口500，则该分组将被丢弃。

但是，这种协议仅确保两台主机之间相互通信，而当其中一台主机位于使用本地IP地址和NAT网关的局域网上时，则该协议不能实行。例如，主机A，在由NAT网关保护的的远程LAN上拥有本地IP地址，希望与主机B建立安全会话，主机B位于主办公计算站点上。主机A将通过向主机B发送未加密的UDP数据报启用该协议，同时给出主机B的IP地址作为目的地，以及端口500作为目的地端口地址。然而，当数据报到达把远程局域网连接到Internet的网关时，该网关将把目的地端口地址转换为任意端口号。当数据报到达主机B时，ISAKMP协议将不被识别，主机B也没有响应。计算机将不能建立安全会话。迄今为止，由于这种困难，人们一直相信ISAKMP协议不能用来建立使用NAT网关并且远程LAN上的每台计算机都使用本地而非全球性IP地址的VPN(虚拟专用网)。

因此，本发明的一个目的是提供一种网关，通过使用Internet作为传输介质，该网关允许拥有非全球性IP地址的计算机与主计算机之间利用ISAKMP协议进行认证并交换密钥。

本发明更深一层的目的是提供一种允许使用本地IP地址的专用LAN上任意数量的计算机都能使用ISAKMP协议通过Internet发送和接收消息的网关。

本发明的另一个目的是提供一种能够在Internet上两个或多个LAN站点之间使用虚拟专用网、使用ISAKMP协议发送安全通信的方法。

本发明的所述和其它目的在下面的描述中显而易见。

发明内容

根据本发明，连接到外部网络(例如通过NAT网关连接到Internet)的远程局域网上使用本地IP地址的计算机将利用ISAKMp协议交换密钥并建立SA(安全联盟)，这将支持IPSec下的安全会话。对于非ISAKMP业务，网关象平常一样进行地址转换。然而，只要局域网上的机器发出ISAKMP协议信息，网关将识别含有端口500的端口地址的数据报。遇到这样的数据报时，网关将转换源IP地址，但不转换源端口地址，将其预留在端口500，并把分组和端口500(指定为源和目的地端口地址)发往Internet。网关也将更新其内部表以将端口500绑定到本地IP地址，并在预定长度时间内将绑定与目的地机器的外部IP地址结合起来。如果预定长度时间内没有接收到有效回复，端口500和本地IP地址之间的绑定将被解除。这种特征对确保端口500不被不确定性地占用是必要的，例如，在ISAKMP协议传输被发往错误的目的地IP地址的情况下。这种条件下，网关将接收不到有效回复。若在没接收到有效回复的一定时间后，定时器没有释放端口500，则网关重新启动以前该端口将被束缚在本地IP地址上。大多数情况下，等待有效回复时，2秒钟足以保持端口500和本地IP地址之间的绑定。

在端口500被绑定到本地IP地址上的那段时间内，网关一边等待有效回复，一边继续处理没有端口500地址的数据报。有效回复是含有源IP地址的数据报，其源IP地址和与端口500相关的外部IP地址相同，而且源和目的地端口地址皆为端口500。等待有效回复时，网关将忽略来自外部网络的源和目的地端口地址皆为端口500的其它UDP数据报，但正确的源IP地址除外。同样，当端口500绑定到本地IP地址后，含有源和目的地端口地址皆为端口500的来自局域网的数据报将经历常规的地址转换，其中，端口500源端口地址在发往外部网络前将被转换为任意未使用的端口地址。因为这种数据报的源和目的地端口地址不都是端口500的，所以它不是有效的ISAKMP数据报，其到达目的地IP地址后将被忽略。若绑定端口500到本地IP地址的时间终止，而网关仍然没有接收到有效数据报，绑定将被解除，下一个源和目的地端口地址皆为端口500的数据报将可以使用端口500。

端口500被绑定时，接收到含有源和目的地端口地址皆为端口500以及正确的源IP地址的有效回复数据报后，网关将把本地机器的IP地址代入数据报报头的目的地IP地址字段，从而处理数据报，然后将数据报传播到局域网以发送给本地机器。数据报离开网关后，网关将释放本地IP地址与端口500的绑定，并恢复常规的数据报处理。

若从外部网络没有收到含有正确源IP地址且端口地址为端口500的回复，网关在短的预定时间后将终止连接。若网关在收到有效回复之前终止连接，那个ISAKMP消息交换就不能完成并需要重发。

ISAKMP协议一旦完成、且加密安全会话正在进行时，网关将通过参照流入和流出的数据报的ESP报头的SPI执行本地地址转换。网关也将确保流过网关的数据报的每个分组的类型(ESP分组的类型是50)正确。有时候，跨越VPN的安全会话会被打断，或启动新会话。网关对这种情况第一个表示将是接收到50型数据报，其中IP地址可以识别，而其内部表中没有出现与目的地相关联的SPI。发生这种情况时，网关将用新的SPI将数据报发往目的地IP地址，在表中把目的地SPI值(根据传输方向选择SPI-In或SPI-Out)设为新的值，并把源SPI值设置为0。收到传输的回应后，网关将用目的地IP地址的新SPI替换SPI字段表中的0。

因为本发明的网关不加密或解密消息，仅把有效负载(其可以加密或不加密)传输给局域网或Internet在接收机器上进行处理，其不需要强大的处理功能，并可以在需要考虑安装和维护费用和易用性的专用LAN中使用。

附图说明

在优选实施例的详细说明中联系附图可以发现本发明的其它目的和优点。其中：

图1描述了虚拟专用网，其中，使用本地IP地址的远程局域网通过外部网络(可以是Internet)与主计算站点联网；局域网通过NAT网关连接到外部网络；

图2描述了本发明的网关为处理来自局域网发往Internet的数据报所使用的决策图；

图3描述了本发明的网关处理来自Internet发往局域网设备的数据报的步骤的决策图；

图4为后图如图5，6和7提供了参考；图4是一个表，含有局域网(从L-1到L-3)上本地机器的IP地址，网关的本地和外部IP地址，以及外部网络上外部机器(从目标T-1到T-3)的IP地址；

图5a-5c显示了网关内部表的典型字段，用于认证加密数据报的安全参数索引(SPI)对照局域网(L-1，L-2，……L-x)上机器的本地IP地址和外部设备(T-1到T-3)的外部IP地址。SPI-Out代表由网关发往Internet上的设备的加密数据报的SPI，而SPI-In则代表发往局域网本地机器的加密数据报的SPI；表a，b和c表示了源报头值，目的地的报头值，以及不同时间点的SPI；数值的变化表示本地机器和目标机器之间开始了新会话；

图6A-6B表示了在一台本地机器和外部网络上的一台设备之间交换的数据报报头的典型字段。报头值由本发明网关处理后修正。

图7A-7B表示了在LAN上在三台本地机器(L-1到L-3)和外部网络上的三个目标(T-1到T-3)之间交换的数据报报头的典型字段。报头值由本发明的网关处理后修正。

图8是一个示意图，显示了数据报处理功能和定时器之间流动的信号。

优选实施例说明

图1显示了虚拟专用网(VPN)，其中，专用局域网(LAN)10连接到Internet 50上的计算站点30。LAN10使用本地IP地址，通过本发明的网址转换网关(NAT)20连接到Internet 50。计算站点30可以是商业总部，或跨国公司的任一专用LAN，教育设备，或远程频繁访问的任何站点。这些站点通常有能够运行加密或其它安全程序的防火墙或网关35。这种网关可以打开分组，解密，或访问其内容，并执行地址转换，形成路由，解封，以及数据处理功能。虽然这些设备可以支持ISAKMP和其它IPSec协议，但是它们要通过打开并解密分组以及处理数据才能够支持ISAKMP及其它IPSec协议，并且一般来说，它们因为太昂贵和功能过于强大而基本上不会被需要在主计算站点上建立VPN的远程局域网站点有效地采用。

主站点的服务器40运行VPN服务器软件程序。远程站点的每台计算机15都运行适当的VPN客户端软件程序，这种程序在每台计算机上都执行IPSec安全协议。

LAN 10上的计算机15通过网关20向计算站点30的服务器40发送IP数据报，从而与Internet上的设备进行通信。

根据图2和3所示的决策图处理网关20接收的数据报。虽然流程图图2和3都显示了处理步骤和步骤顺序，但执行某些功能的顺序并不严格，某些步骤能够以不同于流程图所示的顺序执行，而不影响最终结果。例如，图2和3显示了网关接收到数据报后的第一步是判断数据报类型，而最后一步是执行数据报传送到网关前所必须进行的IP地址转换。然而，某些实施例，可以把地址转换步骤在处理过程中提前放置，这将不影响处理结果。由于对整个过程而言，IP地址的转换的顺序并不严格，决定何时执行转换步骤是工程选择的事情。

如图2所示，接收到来自LAN的数据报后，网关将检查数据报是否加密。网关通过检查IP地址的“下一个报头”字段而判断它所处理的数据报的类型，并判断数据报是否被加密。50型数据报(ESP)表明数据报已经加密，端口地址信息不可用。

继续进行图2的决策树，若数据报加密，网关将检查数据报的SPI，了解其是否出现在网关的内部表的SPI-Out字段中。这种表的典型字段如图5a-5c所示。若数据报的SPI出现在内部表的SPI-Out字段中，网关将把数据报的源IP地址修改为网关的外部IP地址，并把数据报发往外部网络，传输给外部设备。

若数据报加密，但SPI没有出现在网关的内部表中，那么，根据图2的决策图，网关将假定数据报正在启动新会话。这种情况下，网关将把内部表的SPI-In字段设置为0，并把SPI-Out设置为来自数据报的新SPI。图5a和5b反应了内部表的这些修改，其中，图5b显示了“新”SPI(14662，其在图5a网关内部表SPI-Out字段中没有出现)已经进入SPI-Out字段，而且SPI-In已经设置为0。源IP地址由本地设备的IP地址转换为网关的外部IP地址后，加密数据报将被发往外部网关。图5b和5c显示了这些步骤。

继续如图2的决策图，若数据报没有加密，接下来，网关将检查数据报的目的地端口地址。若端口地址不是端口500，网关将把源端口地址加入其内部表中，用(本地)源IP地址对照此表，然后把任一没使用的端口地址代入到IP报头的源端口地址字段中。网关也将把新的端口地址加入其内部表，重复对照(本地)源IP地址。该处理过程，其用于端口地址不是端口500的未加密数据报，被称为源自LAN的数据报的“常规地址转换”。图6的第1和第2行显示了这种转换。数据报将被发往Internet，并向目的地IP地址导引路由。

图2中，所接收数据报的源和目的地端口地址都是端口500，接下来，网关必须检查其表，判断端口500是否已经绑定到IP地址上。若端口500空闲，那么，网关将把端口500绑定到数据报的(本地)源IP地址上，在端口和(外部)目的地IP地址之间制造关联，并发送信号启动本地定时器。网关也通过用网关的外部IP地址替换源IP地址字段的本地IP地址的方式处理数据报。但是，网关不转换源端口地址。通过延缓源端口地址的“常规”转换，网关确保目标机器能够把数据报识别为ISAKMP数据报。图6的第5行和第6行显示了所述步骤。

图2中，若来自LAN的数据报的源和目的地端口都是端口500，但端口500已经被绑定到其它本地IP地址，那么，网关不能为所处理的消息绑定端口500。这种情况下，网关将“正常”处理数据报，好像它不是ISAKMP数据报。即，网关将把数据报的源端口地址转换为任意数值，并把源IP地址转换为网关外部IP地址。然后，网关将向Internet发送数据报，在这里因其不符合ISAKMP数据报而将被目标机器拒绝接收。图7的第15行和第16行描述了所述事件。

图3显示的是决策图，其概述了网关在处理来自Internet的数据报时所遵循的步骤。接收到数据报后，网关将首先检查其类型，并且，若数据报加密，将检查SPI是否出现在其内部表中。若识别出SPI，其目的地IP地址将被转换为本地设备的IP地址，数据报被传给LAN，并向本地机器传送。若没有识别出SPI，接下来，网关将检查对应于数据报的源IP地址的SPI-In字段是否为0。若SPI-In是0，网关将假定该数据报是新会话的第一个回复，并用数据报的SPI替换SPI-In字段中的0。网关将把目的地IP地址转换为LAN上设备的本地IP地址，并向LAN发送数据报以备传送。图5b和5c显示了这个事件。图5b中，本地机器L-1的SPI-In已被设置为0。网关在接收到来自Internet的SPI为3288的数据报后，在SPI-In字段中网关找不到此SPI。接下来，网关将判断SPI-In字段是否保持为0。若判断本地机器L-1的SPI-In为0，网关将用数据报的SPI(“3288”)替换0，并把数据报发往LAN。图5c显示了所述内容。

图3中，若来自Internet的数据报没有加密，网关将检查并判断其端口地址是否为500。若否，数据报将经历对来自外部网络的数据报进行的“常规”地址转换，即，LAN上设备的本地端口地址和本地IP地址将被替换为数据报的目的字段，数据报被发往LAN。图6第3行和第4行显示了这种来自Internet的数据报的“常规”地址转换。

仍然参考图3，若数据报的端口地址的确是500，接下来，网关必须检查端口500是否被绑定到本地IP地址上，以及是否与数据报的(外部)源IP地址相关联。若是，那么，该数据报有效，在目的地IP地址由外部网关的IP地址转换为本地设备的IP地址后，数据报被发往LAN。数据报传往LAN后，网关将释放端口500。图6的第7行和第8行解释了所述事件。

图3中，若端口500被绑定到本地IP地址，并与外部IP地址相关联，而不是出现在数据报的源IP地址中，那么，该数据报无效，随后也不会被网关处理。图7的25-31行可以看到此事件。在第25-26行，本地机器L-1向目标T-1发送ISAKMP数据报。此时，端口500与本地机器L-1的IP地址绑定，并与目标T-1的IP地址相关联，但是，如图7所示，网关收到来自T-1的回复之前定时器已经超时，而且，在第27行，端口500被释放。在第28行和第29行，本地机器L-3向目标T-3发送ISAKMP数据报，将端口500绑定到L-3的IP地址上，并与T-3的IP地址相关联。端口500绑定后，接收到来自T-1的回复。但是，因为端口500被绑定，并与T-3的IP地址相关联，来自T-1的回复被丢弃。图7的第30和31行显示了所述内容。

图5a-5c描述了网关的内部表，其中维持着本地计算机与Internet目标之间进行加密通信所使用的IP地址和SPI号码。简单起见，“L-1”，“L-2”，“L-x”以及“T-1”到“T-3”包含的字段不在网关的内部表中出现。图5中，在与LAN上特定计算机安全会话中，“SPI-Out”字段为每台目标机器预留SPI。“SPI-In”字段给出了相应的SPI，其将被本地计算机识别，表示期望的有效数据报。图5a表示了初始阶段的表。在表中数据存在期间，8台本地计算机与3个目标(T-1到T-3)一起参与保密会话。这通过每台本地机器有一个与其IP地址相关联的SPI-In字段的事实表现出来。虽然表中仅表示了3台目标，但可以注意到，每台目标机器与每台本地机器进行通信时都使用不同的SPI-Out。这样，目标机器就可以知道从哪个源产生了加密数据报。

图5b显示了与图5a相同的本地和目标计算机。但是，在这里，L-1和T-1之间会话的SPI-Out是新的SPI，其表明计算机之间的新会话。表明产生新会话的网关的第一个表示是其从LAN接收的加密数据报，其SPI(“14662”)不在表中。网关向Internet传输数据报，但也为该数据报修改数据报的表，在源和目的地IP地址相关的SPI-Out字段中设置新SPI。网关也把SPI-In字段设置为0，以此作为标记，表明需要新SPI-In。图5c显示了来自T-1的数据报含有新SPI(“3288”)。该SPI已进入网关的SPI-In字段，本会话中，L-1和T-1之间的后续通信将使用这些SPI来认证它们的消息。

利用LAN上的一台计算机与Internet上一台远程目标进行通信，图6表明了流经本发明网关的典型数据报的流程。图表的每一行代表到达带有网关的LAN接口或带有网关的Internet接口的数据报的信息。连续的行代表进入网关的一端又从另一端流出的数据。网关有一个IP地址，它可以是本地IP地址(在与LAN的接口)和一个全球性IP地址(在与Internet的接口)。图6的列描述了数据报穿过的网关边缘，数据报类型，数据报的源IP地址和端口地址，数据报的目的地IP地址和端口地址，以及使用ESP(封闭安全载荷)协议的50型加密数据报的安全参数索引(SPI)。

图6第一行显示了到达网关本地接口的UDP数据报，该数据报有对应于本地计算机L-1的源IP地址，和Internet上目标T-1的目的地IP地址。为方便阅读，对应于本地名称L-1到L-3和目标名称T-1到T-3，图4提供了IP地址列表。L-1的源端口地址是端口6404，其目标机器的端口是端口80。由于数据报没有加密，也没有表示出端口500号，数据报经历了常规转换，其中，任意端口号，如端口10425，被代入源端口地址字段，网关的外部IP地址由数据报的源IP地址所代替。虽说转换后的源端口地址是“任意”的，但其通常是网关所维护的大量的未预留且目前也未使用的端口地址序列中的下一个端口地址。

在数据报离开网关时，如图6第2行所示，网关的地址转换功能把网关的外部IP地址代入数据报报头，成为源IP地址，并把一个任意号码分配给源端口。第3行和第4行显示了来自目标的回复数据报。第3行中，来自目标的UDP数据报显示了目的地IP地址，即为网关的外部IP地址，也显示了目的地端口，即由网关分配的任意端口地址。由于数据报没有加密，也没有端口地址500，数据报经历了目的地端口地址和IP地址的常规转换，然后被发往LAN。第4行中，在数据报被发往LAN之前，网关将本地计算机的本地IP地址和端口地址代入报头的目的地字段。

图6第5行中，本地计算机与目标之间启用了ISAKMP协议。所示数据报类型是ISAKMP。源和目的地端口地址皆为端口500。网关判断目的地端口地址是端口500时，将检查端口500是否正绑定到任何IP地址上。因为端口500没有绑定，网关将传送该数据报，并仅转换源IP地址字段以表示出网关的外部IP地址，但不改变源端口地址。

图6的5-16行表示了6个标准ISAKMP握手数据报的交换，这对建立安全联盟(SA)以支持数据报的全面加密和认证是必须的。虽然ISAKMP的某些模型使用较少交换，图6描述了主要的模型。SA建立后，本地计算机和目标开始使用ESP协议加密数据报进行通信。这里，通过使用数据报报头的SPI字段中的安全参数索引(SPI)号码维护数据报的有效性。每台主机都可以识别对应于其SPI“寻址”的数据报，在会话中，当需要确保连续安全性时，双方主机都同意后可以修改数据报。当加密数据报流过网关时，如图6中第17和18行所示，虽然数据报的源IP地址被转换为网关的外部IP地址，但源和目的地SPI都没有被网关修改。

因此，当网关接收到加密数据报时，数据报将被表示为50型数据报(ESP)。遇到这种类型的数据报时，网关将检查数据报的安全参数索引(SPI)，判断该SPI是否被记录在网关的内部表中。若是，网关将适当转换数据报的源或目的地IP地址，并根据传输方向给LAN或Internet发送数据报。然而，若来自LAN的数据报的SPI没有出现在网关的内部表中，且源和目的地是已识别的IP地址，网关将假定已经启用新会话。这种情况下，网关将给外部网络传送数据报，使新SPI完整无缺，但在其内部表的“SPI-Out”字段中记录新的SPI，并在“SPI-In”字段中写入0。在第25和26行中，可以发现已经出现了表明新会话的新SPI。图5b对应于这个事件，其中，“SPI-In”字段中的0对应于新SPI-Out中的“14662”。在第27和28行中，来自外部网络的回复分组表明“老”的SPI“9802”已经被“新”的SPI“3288”所代替。

图7说明了数据报所经过的本发明网关的通道。除此之外，图7与图6相似，这些数据报在LAN上三台计算机(命名为L-1，L-2和L-3)与Internet上有全球唯一IP地址的三台目标(命名为T-1 T-2和T-3)之间传输。为简化起见，图4中给出了含有所述设备IP地址的表。如图7所示，命名为“L-1 out”的传输代表从L-1本地计算到网关的传输。“T-1 in”代表从网关到目标T-1的传输。“T-1 out”代表从目标T-1到网关的传输，而“L-1 in”代表从网关到L-1计算机的传输。

如图7第1-8行所示，L-1和L-2计算机与目标T-1he T-2之间进行“不受阻碍”(in the clear)的通信。在第9行，L-1开始与T-1进行ISAKMP会话。9-14行显示了ISAKMP协议中L-1和T-1之间交换的头三个信息。在第15行，L-3计算机开始与T-3计算机进行ISAKMP-1消息交换。然而，此时，端口500被绑定到L-1，且与T-1的IP地址相关联，等待来自T-1的ISAKMP-4回复。在这种情况下，来自L-3的数据报不可能绑定端口500，其源端口地址也将被转换。象这样，L-3就完不成第15行开始的传输。

此后，在第17-18行，T-1的回复(ISAKMP-4)由网关接收并发送给L-1，且端口500立刻可用。因此，在第19行，当L-3再次尝试其ISAKMP-1传输时，传输就成功了。

在图7的第19-20行，L-3的ISAKMP-1传输将端口500与L-3的IP地址绑定在一起。因此，当K-1尝试其ISAKMP-5传输时，在第21-22行，端口500不可用，网关仅将目的地端口地址由端口500转换为任意端口号(此时为“9603”)，并将数据报发往Internet，在这里目标T-1将不会将其识别为ISAKMP数据报。然而，在第23-24行，L-3释放端口500后，L-1的下一步传输ISAKMP-5被T-1成功接收。但是，T-1的回复很慢，在第27行，端口500从其与L-1的绑定中释放出来，在第28-29行，为进行ISAKMP-3传输，端口500被L-3迅速夺取。因此，当T-1的ISAKMP-6回复到达网关后，如第30和31行所示，端口500被阻塞，数据报就被忽视了。此后，L-1没有收到对其ISAKMP-5信息的回复，就再次发送，如第34-35行所示，在第36-37行，L-1收到T-1的回复。在38-39和42-43行，根据其ISAKMP握手，通过使用ESP协议，L-1和T-1能够安全通信。

图7的38-57行说明了网关对许多本地计算机与目标之间的多种数据报的处理过程。第40-41行显示了UDP数据报，第42-43行和52-53行显示了ESP数据报，第44-45行显示了ISAKMP数据报。虽然图7显示了每台设备的不同IP地址，但实际上，许多处理过程可以在其它相同设备上运行。网关对唯一源端口的替换，以及使用SPI区分不同加密传输确保了源自一台机器上运行的多个进程的数据报不会被误导。

图8描述了数据报处理电路100和定时器110之间的信号的初始化和传输。当出现需要将端口地址绑定到IP地址的事件时，信号120将被发往定时器110开始记时。当超过合适的时间间隔后，定时器110将发送信号140，表示时间已到，这种情况下，被绑定的所有端口都将被释放。在过渡时期，若预期的数据报到达，并且先前绑定的端口将要被释放，失效信号130将被发往定时器110，表明定时器110需要重新记时并等待下一个信号开始记时。显然，本领域中有许多已知记时电路，图8所示的特定配置仅是许多可能的实施例中的一种。

由上所述，本领域的技术人员可以理解，这里所描述的优选实施例并非是实现本发明的唯一方法，并且在不脱离本发明的精神和范围的情况下，可用许多其它实施例来实现本发明。例如，所述优选实施例涉及端口500(为使用ISAKMP协议而专门预留)，可以用相同方式使用本发明处理指定其它端口地址的数据报，这些端口将来可以被分配给其它进程或协议。特别的，许多Internet上玩的游戏需要在本地和外部机器上使用特定端口，其地址不能被正常转换。另外，虽然本发明已被描述为主要关于专用LAN和Internet之间的通信，很显然，本发明的网关能够使用在两个网络间的任何接口，并拥有前述相同的功能。

到此为止，所附权利要求意在涵盖本发明的精神和范围内的修改和变化。

Claims (17)

1.一种把LAN连接到外部网络的网址转换网关装置，所述LAN使用本地IP地址，所述网关装置具有本地IP地址，其可被所述LAN上的设备引用，以及外部IP地址，其可被所述外部网络上的设备引用，所述网关装置维护

多个内部表，它和所述LAN上本地设备的本地IP地址、所述外部网络上外部设备的外部IP地址、SPI-In值、SPI-Out值、源端口地址、目的地端口地址、预留端口地址的组合相关联，并维护预留端口地址的列表，

所述网关装置包括：

一种装置，用于对从所述LAN流向所述外部网络，以及从所述外部网络流向所述LAN的数据报进行常规地址转换，

一种装置，用于通过接收来自所述LAN上本地设备的打算发往所述外部网络上的外部设备的数据报，把来自所述LAN上的本地设备的数据报传送到所述外部网络上的外部设备，并且确定所述数据报的目的地端口地址是否包含在所述预留端口地址列表中，若所述目的地端口地址不包括在所述预留端口地址列表中，则对所述数据报执行常规地址转换，并将该数据报传送到所述外部网络，以便路由并发往所述外部设备，

若所述目的地端口地址包含在所述预留端口地址列表内，则确定所述目的地端口地址是否绑定到本地IP地址，若所述目的地端口地址绑定到本地IP地址，则对该数据报执行常规地址转换，并将该数据报传送到所述外部网络，

若所述目的地端口地址没有绑定到本地IP地址，则把包含在所述数据报的IP报头的源IP地址字段中的源IP地址修改为所述网关装置的所述外部IP地址，并把所述目的地端口地址绑定到所述本地设备的本地IP地址，创建所述目的地端口地址与所述外部设备的外部IP地址之间的关联，并把该数据报传送到所述外部网络，以便路由并发送给所述外部设备。

2.根据权利要求1所述的网址转换网关装置，其中，所述用于把来自所述LAN上的本地设备的数据报传送到外部设备的装置还包括用于确定所述数据报是否加密的装置，若所述数据报加密，则确定所述数据报的SPI是否被记录在所述内部表的SPI-Out字段中，若所述SPI被记录在所述SPI-Out字段中，则把包含在所述数据报的IP报头中的源IP地址字段中的所述源IP地址修改为所述网关装置的所述外部IP地址，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备。

3.根据权利要求2所述的网址转换网关装置，还包括一种装置，若所述SPI没有记录在所述内部表的所述SPI-Out字段中，则把对应于所述本地设备的本地IP地址的SPI-In字段设置为0，并设置所述SPI-Out字段等于所述SPI，把所述数据报的所述源IP地址修改为所述网关装置的所述外部IP地址，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备。

4.根据权利要求1所述的网址转换网关装置，其中，该网址转换网关装置还包括：一种装置，用于通过接收来自所述外部网络上的外部设备的打算发送给所述LAN上的所述本地设备的数据报，把来自所述外部设备的数据报发送到所述本地设备；一种装置，用于确定所述数据报是否加密，若所述数据报加密，则确定该数据报的SPI是否被记录在所述内部表的所述SPI-In字段中，若所述SPI被记录在所述SPI-In字段中，则把所述数据报的目的地IP地址修改为所述本地设备的本地IP地址，并把该数据报传送到所述LAN，以便路由并发送给所述本地设备，

若所述SPI没有记录在所述内部表的所述SPI-In字段中，则确定对应于所述外部设备的所述IP地址的所述SPI-In字段是否为0，若所述SPI-In字段不是0，则丢弃该数据报，若所述SPI-In字段为0，则设置所述SPI-In字段等于所述SPI，把所述数据报的目的地IP地址修改为所述本地设备的本地IP地址，并把该数据报传送到所述LAN，以便路由并发送给所述本地设备，

若所述数据报没有加密，则确定所述数据报的目的地端口地址是否包含在所述预留端口地址列表中，若所述目的地端口地址没有包含在所述预留端口地址列表中，则对所述数据报执行常规地址转换，并将该数据报传送到所述LAN，以发送给所述本地设备，

若所述目的地端口地址包含在所述预留端口地址列表中，则判断所述目的地端口地址是否绑定到本地IP地址，若所述目的地端口地址没有绑定到本地IP地址，则丢弃该数据报，若所述目的地端口地址绑定到本地IP地址，则确定所述目的地端口地址是否与所述外部设备的外部IP地址相关联，若所述目的地端口地址与所述外部设备的外部IP地址相关联，则把所述数据报的目的地IP地址修改为所述本地设备的绑定的本地IP地址，并释放所述目的地端口地址与所述本地IP地址的绑定，然后将该数据报传送到所述LAN以发送给所述本地设备。

5.根据权利要求1所述的网址转换网关装置，还包含定时器，其中，收到表明端口地址已经绑定到IP地址的信号时，所述定时器将开始在一段预定长度时间内记时，当超过所述预定长度时间后，定时器将发出信号，使所述端口地址与所述IP地址松开绑定，当收到表示所述端口地址已经与所述IP地址松开绑定的信号后，所述定时器将停止记时并复位。

6.根据权利要求1所述的网址转换网关装置，其中，所述外部网络是Internet。

7.根据权利要求6所述的网址转换网关装置，其中，所述LAN是虚拟专用网。

8.一种处理从使用本地IP地址的LAN上的本地设备经过网址转换网关装置发往外部网络上外部设备的IP数据报的方法，包含以下步骤：

维护多个内部表，该内部表和所述LAN上的本地设备的本地IP地址、所述外部网络上外部设备的外部IP地址、所述本地设备的端口地址、所述外部设备的端口地址、SPI-In值、SPI-Out值、预留的端口地址相关联，以及维护预留端口地址的列表，

接收来自所述LAN的数据报，

判断所述数据报的目的地端口地址是否被包含在所述预留端口地址列表中，若所述目的地端口地址没有包含在所述预留端口地址列表中，则对所述数据报执行常规地址转换，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备，

若所述目的地端口地址包含在所述预留端口地址列表中，则判断所述目的地端口地址是否绑定到一个IP地址，若所述目的地端口地址绑定在一个IP地址，则对所述数据报执行常规地址转换，并将该数据报传送到所述外部网络，

若所述目的地端口地址没有绑定到IP地址，则把包含在IP报头的源IP地址字段中的所述源IP地址修改为所述网关装置的所述外部IP地址，把所述目的地端口地址绑定到所述本地设备的本地IP地址，创建所述目的地端口地址与所述外部设备的所述外部IP地址之间的关联，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备。

9.根据权利要求8所述的方法，还包含下述步骤：

判断所述数据报是否加密，若所述数据报加密，则判断所述数据报的SPI是否被记录在所述多个内部表的其中一个内部表的SPI-Out字段中，若所述SPI记录在所述内部表的所述SPI-Out字段中，则把源IP地址修改为所述网关装置的外部IP地址，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备，若所述SPI没有记录在所述内部表的SPI-Out字段中，则把对应于所述外部设备的IP地址的所述SPI-Out字段设置为与所述SPI相等，并把所述内部表的所述SPI-In字段设为0，把所述源IP地址修改为所述网关装置的所述外部IP地址，并将该数据报传送到所述外部网络，以便路由并发送给所述外部设备。

10.根据权利要求8所述的方法，还包括以下步骤：

当所述目的地端口地址绑定到所述本地设备的所述本地IP地址时，启动定时器，

当所述目的地端口地址释放后，复位所述的定时器，

当所述定时器在工作且从定时器记时开始的预定长度时间超时时，发出信号。

11.根据权利要求9所述的方法，该方法还包括以下步骤：

当所述目的地端口地址绑定到所述本地设备的所述本地IP地址时，启动定时器，

当所述目的地端口地址释放后，复位所述的定时器，

当所述定时器在工作且从定时器记时开始的预定长度时间超时时，发出信号。

12.根据权利要求10所述的方法，其中，所述外部网络是Internet。

13.根据权利要求10所述的方法，其中，所述LAN是虚拟专用网。

14.一种处理从外部网络上的外部设备经过网址转换网关装置传送到使用本地IP地址的LAN上本地设备的数据报的方法，该方法包括以下步骤：

维护多个内部表，该内部表和所述LAN上本地设备的本地IP地址、所述外部网络上外部设备的外部IP地址、所述本地设备的端口地址、所述外部设备的端口地址、SPI-In值、SPI-Out值、以及预留端口地址相关联，以及维护预留端口地址的列表，

接收来自所述外部网络的数据报，

判断所述数据报是否加密，若所述数据报没有加密，则判断所述数据报的目的地端口地址是否包含在所述预留端口地址列表中，若所述目的地端口地址没有包含在所述预留端口地址列表中，则执行常规地址转换，并将该数据报传送到所述LAN，以便路由并发送给所述本地设备，

若所述目的地端口地址包含在所述预留端口地址列表中，则判断所述数据报的所述目的地端口地址是否绑定到本地IP地址，若所述目的地端口没有绑定到本地IP地址，则丢弃该数据报，

若所述目的地端口地址绑定到本地IP地址，则确定所述目的地端口地址是否与所述外部设备的外部IP地址相关联，若所述目的地端口地址与所述外部设备的所述外部IP地址相关联，则把所述目的地IP地址修改为所述本地设备的绑定的本地IP地址，释放所述目的地端口地址与所述本地IP地址之间的绑定，并将该数据报传送到所述LAN，以便路由并发送给所述本地设备。

15.根据权利要求14所述的方法，其中，如果所述数据报加密，则该方法还包括以下步骤：

判断所述数据报的SPI是否被记录在所述多个内部表的其中一个内部表的SPI-In字段中，若所述SPI被记录在所述内部表的SPI-In字段中，则把目的地IP地址修改为所述本地设备的本地IP地址，并将该数据报传送到所述LAN，以便路由并发送给所述本地设备，

若所述SPI没有记录在所述内部表的所述SPI-In字段中，则判断对应于所述外部设备的IP地址的所述SPI-In字段是否为0，若所述SPI-In字段不是0，则丢弃该数据报，

若所述SPI-In字段为0，则把所述SPI-In字段修改为所述SPI，把所述目的地IP地址修改为所述本地设备的本地IP地址，并将该数据报传送到所述LAN，以便路由并发送给所述本地设备。

16.根据权利要求15所述的方法，其中，所述外部网络是Internet。

17.根据权利要求15所述的方法，其中，所述LAN是虚拟专用网。

Images