一種跨公共網絡的標識網絡間的端到端的通信方法和系統的製作方法

2023-07-27 19:42:16 1

專利名稱：一種跨公共網絡的標識網絡間的端到端的通信方法和系統的製作方法
技術領域：
本發明實施例涉及計算機網絡技術，尤其涉及一種跨公共網絡的標識網絡間的端到端的通信方法和系統。
背景技術：
標識網絡是一種實現位置/身份分離機制的網絡，其通信的雙方只需獲知對方的身份，便可以與對方進行通信。其中，標識表示為通信身份實體。但是，由於商業等原因，標識網絡還難以大規模部署，因此，目前一種較為可行的部署方式為是將多個小規模的標識網絡通過傳輸控制協議(Transmission Control Protocol ；簡稱=TCP)/網絡之間互連的協議(Internet Protocol ；簡稱:IP)協議的公共網絡互連。在該模式下，需要解決跨TCP/IP網絡的標識網絡間端到端通信問題。目前主要通過隧道模式實現跨不同協議網絡間通信，具體的，隧道模式通過在私有協議報文外面封裝其他網絡協議的報文頭方式，實現跨公關網絡的私有協議網絡之間的通信，並能保證通信過程的安全。但目前存在的問題是隧道模式對跨公關網絡的私有協議網絡之間的端到端通信過程不可控制，即存在跨公共網絡的不同私有協議網絡之間的網絡攻擊的威脅。另外，由於標識網絡採用位置/身份分離的通信模式，與現有的IP通信模式並不相同，簡單的IP隧道難以解決問題，因此，現有技術中還沒有方法實現對於該部署下的如何跨TCP/IP協議的公共網絡的標識網絡間端到端的安全可控的通信。

發明內容
本發明實施例提供一種跨公共網絡的標識網絡間的端到端的通信方法和系統，用以實現跨公網網絡的標識網絡間端到端的安全可控的通信。本發明實施例提供一種跨公共網絡的標識網絡間的端到端的通信方法，其中，所述標識網絡包括網關和端系統，所述網關包括網關內網和網關外網，則所述方法包括所述網關外網接收所述網關內網發送的端到端通信報文，所述端到端通信報文包括源端系統的標識和目的端系統的標識；所述網關外網查詢預先存儲的訪問控制規則表，若從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，且獲取到與所述源端系統的標識匹配的第二端系統的標識時，則從所述訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的IP位址，所述訪問控制規則表包括所述網關外網的訪問控制規則和其他網關外網的訪問控制規則，所述第一端系統的標識為允許被訪問的端系統的標識，所述第二端系統的標識為允許訪問其他標識網絡的端系統的標識；所述網關外網對所述端到端通信報文進行封裝處理，獲取第一 IP報文，所述第一 IP報文的IP報文頭部中的源地址為所述網關外網的IP位址，所述IP報文頭部中的目的地址為所述目的網關外網的IP位址；
所述網關外網發送所述第一 IP報文到所述目的地址對應的目的網關外網。本發明實施例提供一種跨公共網絡的標識網絡間的端到端的通信系統，包括網關，所述網關包括網關內網和網關外網，其中，所述網關內網，用於接收與端系統直連的路由交換機轉發的端到端通信報文；並將所述端到端通信報文發送給所述網關外網；所述端到端通信報文包括源端系統的標識和目的端系統的標識；所述網關外網包括報文擺渡模塊，用於接收所述端到端的通信報文；查詢獲取模塊，用於查詢預先存儲的訪問控制規則表，若從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，且獲取到與所述源端系統的標識匹配的第二端系統的標識時，則從所述訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的IP位址，所述訪問控制規則表包括所述網關外網的訪問控制規則和其他網關外網的訪問控制規則，所述第一端系統的標識為允許被訪問的端系統的標識，所述第二端系統的標識為允許訪問其他標識網絡的端系統的標識；報文處理模塊，用於對所述端到端的通信報文進行封裝處理，獲取第一 IP報文， 所述第一 IP報文的IP報文頭部中的源地址為所述網關外網的IP位址，所述IP報文頭部中的目的地址為所述目的網關外網的IP位址；報文收發模塊，用於發送所述第一 IP報文到所述目的地址對應的目的網關外網。本發明實施例的跨公共網絡的標識網絡間的端到端的通信方法和系統，通過接收網關內網發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識；查詢預先存儲的訪問控制規則表，若從該訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且獲取到與源端系統的標識匹配的第二端系統的標識時，則從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址，其中，第一端系統的標識為允許被訪問的端系統的標識，第二端系統的標識為允許訪問其他標識網絡的端系統的標識；再對端到端通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網IP位址；發送第一 IP報文到目的地址對應的目的網關外網，從而實現了跨公網網絡的標識網絡間端到端的安全可控的通信。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本發明端到端的通信方法所基於標識網絡的網絡架構的結構示意圖；圖2為本發明跨公共網絡的標識網絡間的端到端的通信方法的一個實施例的流程圖；圖3為本發明跨公共網絡的標識網絡間的端到端的通信方法的另一個實施例的流程圖4為本發明跨公共網絡的標識網絡間的端到端的通信系統的一個實施例的結構示意圖。
具體實施例方式為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。圖1為本發明端到端的通信方法所基於標識網絡的網絡架構的結構示意圖，圖2 為本發明跨公共網絡的標識網絡間的端到端的通信方法的一個實施例的流程圖，如圖1所示，標識網絡包括網關11、端系統12(端系統的數量可以為多個)和路由交換機13(路由交換機的數量也可以為多個)，該網關11包括網關內網111和網關外網112，則如圖2所示， 本實施例的方法包括步驟101、網關外網112接收網關內網111發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識。在本實施例中，標識網絡中的路由交換機13可以與端系統12直連，且每個路由交換機13上配置有本標識網絡中的端系統的標識。當標識網絡中的一個端系統12發送端到端通信報文給與該端系統12直連的路由交換機13時，路由交換機13在接收到該端到端通信報文後，判斷端到端通信報文中的目的端系統標識是否是本標識網絡中的其他端系統的標識，如果不是，則將該端到端通信報文轉發給網關內網111。網關內網111再將該端到端通信報文擺渡到網關外網112。需要說明的是，本實施例中的端到端通信報文還包括源端系統的標識，其中，該源端系統即為端系統12。步驟102、網關外網112查詢預先存儲的訪問控制規則表，若從該訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且獲取到與源端系統的標識匹配的第二端系統的標識時，則從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址。在本實施例中，網關外網112上可以配置有訪問控制規則表，該訪問控制規則表中包括本網關11的訪問控制規則和其他網關外網的訪問控制規則，本網關11的訪問控制規則包括本網關外網112的IP位址和第一端系統的標識。其他網關外網的訪問控制規則包括其他網關外網的IP位址和第一端系統的標識；具體的，第一端系統的標識為其他網關中允許被訪問的端系統的標識。另外，本網關11的訪問控制規則和其他網關外網的訪問控制規則還包括第二端系統的標識，該第二端系統的標識為允許訪問其他標識網絡中的端系統的標識。另外，網關外網112還可以將該本網關11的訪問控制規則發送給其他網關外網， 其具體的實現方式可以為首先，多個標識網絡的網關外網可以構成一個地址環，在地址環上的每個網關外網可以被配置一個環上地址，具體的，可以使用特定的哈希函數(例如 SHA-I哈希算法)將本網關外網112的IP位址哈希成環上地址，再將網關外網112記錄的與之相鄰的網關外網的IP位址哈希成環上地址，並將與之相鄰網關外網的IP位址和其對應的環上地址的映射關係保存在該網關外網112的相鄰地址表中。
然後，網關外網112將本網關11的訪問控制規則中的第一端系統的標識作為鍵值，再使用特定的哈希函數計算出可以存儲該訪問控制規則的網關外網所在的環上地址， 並發送攜帶有該本網關外網112的訪問控制規則的報文給相鄰地址表上距離環上地址最近的網關外網。還需要說明的是，其他網關外網發送攜帶有的訪問控制規則的報文給網關外網 112的方式與上述網關外網112發送攜帶有的訪問控制規則表的報文給其他網關的方式相同，此處不再贅述。步驟103、網關外網112對端到端的通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網112的IP位址，該IP報文頭部中的目的地址為目的網關外網的IP位址。步驟104、網關外網112發送該第一 IP報文到該目的地址對應的目的網關外網。在本實施例中，網關外網112從內外網隔離接口接收到端到端通信報文後，需要將該端到端通信報文進行封裝處理，獲取第一 IP報文，具體的，即在端到端通信報文基礎上添加一個IP報文頭部，以用於在公共網絡(例如TCP/IP網絡)中傳輸，更為具體的，該 IP報文頭部中的源地址是本網關外網112的IP位址，目的地址是該目的端系統所在的標識網絡中的網關外網的IP位址，即從控制規則表中獲取的與目的端系統對應的目的網關外網的IP位址。然後將該第一 IP報文發送給該目的網關外網。在本實施例中，通過接收網關內網發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識；查詢預先存儲的訪問控制規則表，若從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且獲取到與源端系統的標識匹配的第二端系統的標識時，則從訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址；再對端到端通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網IP位址；發送第一 IP報文到目的地址對應的目的網關外網，從而實現了跨公網網絡的標識網絡間端到端的安全可控的通信。圖3為本發明跨公共網絡的標識網絡間的端到端的通信方法的另一個實施例的流程圖，在上述圖2所示的網絡架構示意圖的基礎上，如圖3所示，本實施例的方法包括步驟201、網關外網112接收網關內網111發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識。在本實施例中，步驟201的實現方式與圖1所示的步驟101的實現方式相類似，此處不再贅述。步驟202、網關外網112查詢預先存儲的訪問控制規則表，判斷是否從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識；若獲取到與目的端系統的標識匹配的第一端系統的標識，則執行步驟203 ；若沒有獲取到與目的端系統的標識匹配的第一端系統的標識，則執行步驟207。需要說明的是，第一端系統的標識為允許被訪問的端系統的標識。步驟203、判斷是否從該訪問控制規則中獲取到與源端系統的標識匹配的第二端系統的標識，若獲取到與源端系統的標識匹配的第二端系統的標識，則執行步驟204 ；若沒有獲取到與源端系統的標識匹配的第二端系統的標識，則執行步驟210。
8
步驟204、網關外網112從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址。步驟205、網關外網112對端到端的通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網111的IP位址，該IP報文頭部中的目的地址為目的網關外網的IP位址。步驟206、網關外網112發送該第一 IP報文到該目的IP位址對應的目的網關外網；結束。步驟207、網關外網112生成第一查詢報文，並發送該第一查詢報文給預設相鄰表上距離環上地址最近的其他網關外網，該第一查詢報文包括目的端系統的標識。步驟208、網關外網112判斷是否在預設的時間內，接收到其他網關外網返回的第一查詢應答報文若在預設的時間內，接收到第一查詢應答報文，則執行步驟209 ；若沒有在預設的時間內，接收到第一查詢應答報文，則執行步驟210。步驟209、網關外網112獲取第一查詢應答報文中的其他網關外網的訪問控制規則，並執行步驟204。步驟210、網關外網112丟棄該端到端通信報文。需要說明的是，該其他網關外網的訪問控制規則中包括該目的端系統的標識。在本實施例中，通過接收網關內網發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識；查詢預先存儲的訪問控制規則表，判斷是否從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，若獲取到，且從該訪問控制規則中獲取到與源端系統的標識匹配的第二端系統的標識時，則從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址；若沒有從該訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，則生成第一查詢報文，並發送給其他網關外網，並從獲取的其他網關外網的訪問控制規則中，獲取與目的端系統的標識對應的目的網關外網的IP位址；再對端到端通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網IP位址；發送第一 IP報文到目的地址對應的目的網關外網，從而實現了跨公網網絡的標識網絡間端到端的安全可控的通信。進一步的，在本發明的又一個實施例中，該方法還可以包括網關外網112接收其他網關發送的第二查詢報文；網關外網112判斷第二查詢報文中的源地址是否為網關外網的IP位址；若不是，則網關外網112查詢網關11的訪問控制規則中是否存在於第二查詢報文中的目的端系統的標識匹配的允許訪問的端系統的標識，且是否存在與第二查詢報文中的源端系統的標識匹配的允許訪問其他標識網絡端系統的標識；若均存在，則網關外網112將網關11的訪問控制規則攜帶在第二查詢應答報文中，並將第二查詢應答報文的目的地址設置為第二查詢報文中的源地址，並將第二查詢應答報文返回給與第二查詢應答報文的目的地址對應的網關外網。在本實施例中，當網關外網112接收到第二查詢報文時，首先根據該第二查詢報文中的源地址是否為本網關外網112的IP位址，即判斷是否是自身之前發送的查詢報文， 如果是，則丟棄該第二查詢報文；若不是，則查詢網關11的訪問控制規則中是否存在於第二查詢報文中的目的端系統的標識匹配的允許訪問的端系統的標識，如果存在，則發送攜帶有網關11的訪問控制規則的第二查詢應答報文；如果不存在，則將第二查詢報文中的目的端系統作為鍵值，使用特定的哈希函數，計算出可能存儲有該目的端系統的標識的環上地址，並將該第二查詢報文發送給相鄰地址表上距離環上地址最近的其他網關外網，其他網關外網的處理方式與上述相同，此處不再贅述。進一步的，在本發明的又一個實施例中，該方法還可以包括網關外網112接收第二 IP報文；網關外網112查詢訪問控制規則表，若在一條訪問控制規則中存在與第二 IP報文中的目的端系統的標識匹配的第一端系統的標識，且存在與第二 IP報文中的源端系統的標識匹配的第二端系統的標識，則獲取第二 IP報文中的端到端通信報文；其中，第一端系統的標識為允許被訪問的端系統的標識。網關外網112發送第二 IP報文中的端到端通信報文給網關內網111，以供網關內網111將端到端通信報文發送給與第二 IP報文中的端到端通信報文中的目的端系統的標識對應的端系統。在本實施例中，網關外網接收到第二 IP報文後，可以根據該第二 IP報文的目的端系統的標識，判斷該第二 IP報文是否為合法報文，具體的，網關外網112查詢訪問控制規則表，若在一條訪問控制規則中存在與第二 IP報文中的目的端系統的標識匹配的第一端系統的標識，且存在與第二 IP報文中的源端系統的標識匹配的第二端系統的標識，則該第二 IP報文為合法報文，則獲取該第二 IP報文中的端到端通信報文，並擺渡給網關內網111，網關內網111再將給該端到端通信報文發送給目的端系統的標識對應的目的端系統直連的路由交換機上，再由路由交換機將其轉發到目的端系統上。若不存在於與第二 IP報文中的端到端通信報文中的目的端系統的標識匹配的第一端系統的標識，則該報文為不合法報文，則將其丟棄。圖4為本發明跨公共網絡的標識網絡間的端到端的通信系統的一個實施例的結構示意圖，如圖4所示，本系統包括網關21，該網關21包括網關內網211和網關外網212。 其中，網關外網212包括報文擺渡模塊2121、查詢獲取模塊2122、報文處理模塊2123和報文收發模塊21M。具體的，網關內網211用於接收與端系統直連的路由交換機轉發的端到端通信報文；並將端到端通信報文發送給網關外網212 ；該端到端通信報文包括源端系統的標識和目的端系統的標識；報文擺渡模塊2121用於接收該端到端的通信報文；查詢獲取模塊2122 用於查詢預先存儲的訪問控制規則表，若從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且獲取到與源端系統的標識匹配的第二端系統的標識時，則從訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP 地址，該訪問控制規則表包括網關外網的訪問控制規則和其他網關外網的訪問控制規則， 第一端系統的標識為允許被訪問的端系統的標識，第二端系統的標識為允許訪問其他標識網絡的端系統的標識；報文處理模塊2123用於對該端到端的通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網IP位址；報文收發模塊21M用於發送該第一 IP報文到所述目的地址對應的目的網關外網。
本實施例的跨公共網絡的標識網絡間的端到端的通信系統可以執行圖2所示的方法實施例的技術方案，其原理相類似，此處不再贅述。在本實施例中，通過接收網關內網發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識；查詢預先存儲的訪問控制規則表，若從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且獲取到與源端系統的標識匹配的第二端系統的標識時，則從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址；再對端到端通信報文進行封裝處理，獲取第一 IP報文，該第一 IP報文的IP報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網IP位址；發送第一 IP報文到目的地址對應的目的網關外網，從而實現了跨公網網絡的標識網絡間端到端的安全可控的通信。進一步的，在本發明的另一個實施例中，查詢獲取模塊2122用於若沒有獲取到與目的端系統的標識匹配的第一端系統的標識，則生成第一查詢報文，並通過報文收發模塊 2124發送該第一查詢報文給預設相鄰表上距離環上地址最近的其他網關外網；該第一查詢報文包括目的端系統的標識；若在預設的時間內，報文收發模塊21M接收到其他網關外網返回的第一查詢應答報文，該第一查詢應答報文包括與目的端系統的標識匹配的其他網關訪問控制規則，則從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的 IP位址。另外，若在預設的時間內，報文收發模塊21M沒有接收到其他網關外網返回的第一查詢應答報文，則報文處理模塊2123丟棄該端到端通信報文。需要說明的是，報文處理模塊2123還用於若查詢獲取模塊2122從該訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，且沒有獲取到與源端系統的標識匹配的第二端系統的標識，則丟棄該端到端的通信報文。本實施例的跨公共網絡的標識網絡間的端到端的通信系統可以執行圖3所示的方法實施例的技術方案，其原理相類似，此處不再贅述。在本實施例中，通過接收網關內網發送的端到端通信報文，該端到端通信報文包括源端系統的標識和目的端系統的標識；查詢預先存儲的訪問控制規則表，判斷是否從訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的第一端系統的標識，若獲取到，則判斷是否從該訪問控制規則中獲取到與源端系統的標識匹配的第二端系統的標識，且在判斷出獲取到與源端系統的標識匹配的第二端系統的標識時，從該訪問控制規則中獲取與目的端系統的標識對應的目的網關外網的IP位址；若沒有獲取到與目的端系統的標識匹配的第一端系統的標識，則生成第一查詢報文，並發送給其他網關外網， 並從獲取的其他網關外網的訪問控制規則中，獲取與目的端系統的標識對應的目的網關外網的IP位址；再對該端到端通信報文進行封裝處理，獲取第一IP報文，該第一IP報文的IP 報文頭部中的源地址為網關外網的IP位址，該IP報文頭部中的目的地址為目的網關外網 IP位址；發送第一 IP報文到目的地址對應的目的網關外網，從而實現了跨公網網絡的標識網絡間端到端的安全可控的通信。更進一步的，在本發明的又一個實施例中，該報文收發模塊21M還用於接收其他網關發送的第二查詢報文，則該系統還可以包括判斷模塊和查詢模塊；其中，判斷模塊用於判斷第二查詢報文中的源IP位址是否為網關外網212的IP位址；查詢模塊用於判斷模塊判斷出不是時，則查詢網關21的訪問控制規則中是否存在與第二查詢報文中的目的端系統的標識匹配的允許被訪問的端系統的標識，且是否存在與第二查詢報文中的源端系統的標識匹配的允許訪問其他標識網絡端系統的標識；若均存在，則報文收發模塊21M將網關 21外網的訪問控制規則攜帶在第二查詢應答報文中，並將第二查詢應答報文的目的地址設置為第二查詢報文中的源地址，並將第二查詢應答報文返回給與第二查詢應答報文的目的地址對應的網關外網。更進一步的，在本發明的又一個實施例中，該報文收發模塊21M還用於接收第二 IP報文；則報文處理模塊2123還用於查詢訪問控制規則表，若在一條訪問控制規則中存在與第二 IP報文中的目的端系統的標識匹配的第一端系統的標識，且存在與第二 IP報文中的源端系統的標識匹配的第二端系統的標識時，則獲取第二 IP報文中的端到端通信報文； 報文擺渡模塊2121還用於發送該第二 IP報文中的端到端通信報文給網關內網211，以供網關內網211將端到端通信報文發送給與第二 IP報文中的端到端通信報文中的目的端系統的標識對應的端系統。本領域普通技術人員可以理解實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括R0M、RAM、磁碟或者光碟等各種可以存儲程序代碼的介質。最後應說明的是以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。
權利要求
1.一種跨公共網絡的標識網絡間的端到端的通信方法，其特徵在於，所述標識網絡包括網關和端系統，所述網關包括網關內網和網關外網，則所述方法包括所述網關外網接收所述網關內網發送的端到端通信報文，所述端到端通信報文包括源端系統的標識和目的端系統的標識；所述網關外網查詢預先存儲的訪問控制規則表，若從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，且獲取到與所述源端系統的標識匹配的第二端系統的標識時，則從所述訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的網際網路協議地址，所述訪問控制規則表包括所述網關外網的訪問控制規則和其他網關外網的訪問控制規則，所述第一端系統的標識為允許被訪問的端系統的標識，所述第二端系統的標識為允許訪問其他標識網絡的端系統的標識；所述網關外網對所述端到端通信報文進行封裝處理，獲取第一網際網路協議報文，所述第一網際網路協議報文的報文頭部中的源地址為所述網關外網的網際網路協議地址，所述網際網路協議報文頭部中的目的地址為所述目的網關外網的網際網路協議地址；所述網關外網發送所述第一網際網路協議報文到所述目的地址對應的目的網關外網。
2.根據權利要求1所述的跨公共網絡的標識網絡間的端到端的通信方法，其特徵在於，還包括所述網關外網若沒有從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，則生成第一查詢報文，並發送所述第一查詢報文給預設相鄰表上距離環上地址最近的其他網關外網；所述第一查詢報文包括所述目的端系統的標識；所述網關外網若在預設的時間內，接收到所述其他網關外網返回的第一查詢應答報文，所述第一查詢應答報文包括與所述目的端系統的標識匹配的其他網關外網訪問控制規則，則從所述其他網關外網訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的網際網路協議地址。
3.根據權利要求2所述的跨公共網絡的標識網絡間的端到端的通信方法，其特徵在於，還包括所述網關外網若在預設的時間內，沒有接收到所述其他網關外網返回的第一查詢應答報文，則丟棄所述端到端通信報文。
4.根據權利要求1所述的跨公共網絡的標識網絡間的端到端的通信方法，其特徵在於，還包括所述網關外網接收所述其他網關發送的第二查詢報文；所述網關外網判斷所述第二查詢報文中的源地址是否為所述網關外網的網際網路協議地址；若不是，則所述網關外網查詢所述網關外網的訪問控制規則中是否存在與所述第二查詢報文中的目的端系統的標識匹配的允許被訪問的端系統的標識，且是否存在與所述第二查詢報文中的源端系統的標識匹配的允許訪問其他標識網絡端系統的標識；若均存在，則所述網關外網將所述網關外網的訪問控制規則攜帶在第二查詢應答報文中，並將所述第二查詢應答報文的目的地址設置為所述第二查詢報文中的源地址，並將所述第二查詢應答報文返回給與所述第二查詢應答報文的目的地址對應的網關外網。
5.根據權利要求1所述的跨公共網絡的標識網絡間的端到端的通信方法，其特徵在於，還包括所述網關外網接收第二網際網路協議報文；所述網關外網查詢所述訪問控制規則表，若在一條訪問控制規則中存在與所述第二網際網路協議報文中的目的端系統的標識匹配的第一端系統的標識，且存在與所述第二網際網路協議報文中的源端系統的標識匹配的第二端系統的標識時，則獲取所述第二網際網路協議報文中的端到端通信報文；所述網關外網發送所述第二網際網路協議報文中的端到端通信報文給所述網關內網，以供所述網關內網將所述端到端通信報文發送給與所述第二網際網路協議報文中的端到端通信報文中的目的端系統的標識對應的端系統。
6.一種跨公共網絡的標識網絡間的端到端的通信系統，其特徵在於，包括網關，所述網關包括網關內網和網關外網，其中，所述網關內網，用於接收與端系統直連的路由交換機轉發的端到端通信報文；並將所述端到端通信報文發送給所述網關外網；所述端到端通信報文包括源端系統的標識和目的端系統的標識；所述網關外網包括報文擺渡模塊，用於接收所述端到端的通信報文；查詢獲取模塊，用於查詢預先存儲的訪問控制規則表，若從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，且獲取到與所述源端系統的標識匹配的第二端系統的標識時，則從訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的網際網路協議地址，所述訪問控制規則表包括所述網關外網的訪問控制規則和其他網關外網的訪問控制規則，所述第一端系統的標識為允許被訪問的端系統的標識，所述第二端系統的標識為允許訪問其他標識網絡的端系統的標識；報文處理模塊，用於對所述端到端的通信報文進行封裝處理，獲取第一網際網路協議報文，所述第一網際網路協議報文的網際網路協議報文頭部中的源地址為所述網關外網的網際網路協議地址，所述網際網路協議報文頭部中的目的地址為所述目的網關外網的網際網路協議地址；報文收發模塊，用於發送所述第一網際網路協議報文到所述目的地址對應的目的網關外網。
7.根據權利要求6所述的跨公共網絡的標識網絡間的端到端的通信系統，其特徵在於，所述查詢獲取模塊用於若沒有從所述訪問控制規則表中的一條訪問控制規則中獲取到與所述目的端系統的標識匹配的第一端系統的標識，則生成第一查詢報文，並通過所述報文收發模塊發送所述第一查詢報文給預設相鄰表上距離環上地址最近的其他網關外網；所述第一查詢報文包括所述目的端系統的標識；若在預設的時間內，所述報文收發模塊接收到所述其他網關外網返回的第一查詢應答報文，所述第一查詢應答報文包括與所述目的端系統的標識匹配的其他網關外網訪問控制規則，則從所述其他網關外網訪問控制規則中獲取與所述目的端系統的標識對應的目的網關外網的網際網路協議地址。
8.根據權利要求7所述的跨公共網絡的標識網絡間的端到端的通信系統，其特徵在於，所述報文收發模塊若在預定的時間內，沒有接收到所述其他網關外網返回的第一查詢應答報文，則報文處理模塊丟棄所述端到端通信報文。
9.根據權利要求8所述的跨公共網絡的標識網絡間的端到端的通信系統，其特徵在於，所述報文收發模塊還用於接收所述其他網關發送的第二查詢報文； 則所述端到端的通信系統還包括判斷模塊，用於判斷所述第二查詢報文中的源地址是否為所述網關外網的網際網路協議地址；查詢模塊，用於所述判斷模塊判斷出不是時，則查詢所述網關外網的訪問控制規則中是否存在與所述第二查詢報文中的目的端系統的標識匹配的允許被訪問的端系統的標識， 且是否存在與所述第二查詢報文中的源端系統的標識匹配的允許訪問其他標識網絡端系統的標識；所述報文收發模塊還用於若所述查詢模塊查詢出存在與所述第二查詢報文中的目的端系統的標識匹配的允許被訪問的端系統的標識，且存在與所述第二查詢報文中的源端系統的標識匹配的允許訪問其他標識網絡端系統的標識時，則將所述網關外網的訪問控制規則攜帶在第二查詢應答報文中，並將所述第二查詢應答報文的目的地址設置為所述第二查詢報文中的源地址，並將所述第二查詢應答報文返回給與所述第二查詢應答報文的目的地址對應的網關外網。
10.根據權利要求6所述的跨公共網絡的標識網絡間的端到端的通信系統，其特徵在於，所述報文收發模塊，還用於接收第二網際網路協議報文；所述報文處理模塊還用於查詢所述訪問控制規則表，若在一條訪問控制規則中存在與所述第二網際網路協議報文中的目的端系統的標識匹配的允許被訪問的端系統的標識，且存在與所述第二網際網路協議報文中的源端系統的標識匹配的允許訪問其他標識網絡的端系統的標識時，則獲取所述第二網際網路協議報文中的端到端通信報文；所述報文擺渡模塊還用於發送所述第二網際網路協議報文中的端到端通信報文給所述網關內網，以供所述網關內網將所述端到端通信報文發送給與所述第二網際網路協議報文中的端到端通信報文的目的端系統的標識對應的端系統。
全文摘要
本發明提供一種跨公共網絡的標識網絡間的端到端的通信方法和系統，標識網絡包括網關和端系統，網關包括網關內網和網關外網。則該方法包括接收網關外網發送的攜帶有目的端系統的標識的端到端通信報文；若從預先存儲的訪問控制規則表中的一條訪問控制規則中獲取到與目的端系統的標識匹配的允許被訪問的端系統的標識，且獲取到與源端系統的標識匹配的允許訪問其他標識網絡的端系統的標識，則從該規則中獲取與目的端系統標識對應的目的網關外網的IP位址；對端到端通信報文進行封裝處理，獲取並發送第一IP報文給目的網關外網的IP位址對應的目的網關外網，該第一IP報文的IP報文頭部中的源地址為網關外網的IP位址，目的地址為目的網關外網的IP位址。
文檔編號H04L12/56GK102231702SQ201110171940
公開日2011年11月2日 申請日期2011年6月23日 優先權日2011年6月23日
發明者劉亞萍, 廖海寧, 張曉哲, 張碩, 王寶生, 胡寧, 酈蘇丹, 陳曉梅, 陳琳 申請人:中國人民解放軍國防科學技術大學