適用於多種應用層協議的網絡地址轉換裝置和方法

2023-07-01 05:20:06 2

適用於多種應用層協議的網絡地址轉換裝置和方法
【專利摘要】本發明提供一種適用於多種應用層協議的網絡地址轉換裝置和方法，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了現有技術中功能單一的技術問題。
【專利說明】適用於多種應用層協議的網絡地址轉換裝置和方法
【技術領域】
[0001]本發明涉及通信技術，尤其涉及一種適用於多種應用層協議的網絡地址轉換裝置和方法。
【背景技術】
[0002]網絡地址轉換(Network Address Translation, NAT)是一種將報文中的私有IP位址和埠轉化為公網IP位址和埠的轉換技術。一般NAT僅用於實現對報文的報文頭中的IP位址和埠進行轉換，但對於一些應用層協議，如:多媒體協議H.323和會話發起協議(Session Initiation Protocol, SIP),以及文件傳輸協議(File Transfer Protocol,FTP)、簡單郵件傳送協議(Simple Mail Transfer Protocol, SMTP)等，由於在報文的載荷中帶有地址和埠信息，因而需要採用NAT應用層網關(Application Level Gateway,ALG)對採用上述應用層協議的報文進行應用層的解析和網絡地址轉換。
[0003]由於現有的NAT ALG，分別針對不同應用層協議設置不同的網絡地址轉換裝置，當增加了新的應用層協議時，需要開發針對新的應用層協議的新的網絡地址轉換裝置，導致網絡地址轉換裝置僅能夠適用於一種應用層協議，功能單一。

【發明內容】

[0004]本發明提供一種適用於多種應用層協議的適用於多種應用層協議的網絡地址轉換裝置和方法，用於解決現有網絡地址轉換裝置僅能夠適用於一種應用層協議，導致功能單一的技術問題。
[0005]本發明的第一個方面是提供一種適用於多種應用層協議的網絡地址轉換裝置，包括:
[0006]解碼模塊，用於利用控制連接，接收用於建立兩主機之間的數據連接的控制報文；識別所述控制報文所採用的目標應用層協議；在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢所述目標應用層協議的解碼策略，根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷；所述控制連接是在所述兩主機之間預先建立的；
[0007]轉換模塊，用於若所述控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係；利用關聯表中的關聯表項存儲所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係；
[0008]調整模塊，用於利用所述關聯表項中的所述目標IP位址和所述目標埠號，對所述控制數據包的載荷中的所述私網IP位址和所述私網埠號進行網絡地址轉換；發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接。[0009]本發明的另一個方面是提供一種適用於多種應用層協議的網絡地址轉換方法，包括:
[0010]利用控制連接，接收用於建立兩主機之間的數據連接的控制報文；所述控制連接是在所述兩主機之間預先建立的；
[0011 ] 識別所述控制報文所採用的目標應用層協議；
[0012]在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢所述目標應用層協議的解碼策略，根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷；
[0013]若所述控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係；
[0014]利用關聯表中的關聯表項存儲所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係；
[0015]利用所述關聯表項中的所述目標IP位址和所述目標埠號，對所述控制數據包的載荷中的所述私網IP位址和所述私網埠號進行網絡地址轉換；
[0016]發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接。
[0017]本發明提供的適用於多種應用層協議的網絡地址轉換裝置和方法，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了功能單一的技術問題。由於分別由解碼模塊和轉換模塊分別執行應用層協議的解碼和網絡地址轉換，隔離了具體應用層協議的解碼的部分和網絡地址轉換過程，另外，由於該適用於多種應用層協議的網絡地址轉換裝置可以支持通過對解碼策略庫的修改，完成對新的應用層協議的擴展，使得網絡地址轉換與各應用層協議之間的耦合度也較低。
【專利附圖】

【附圖說明】
[0018]圖1為本發明一實施例提供的適用於多種應用層協議的網絡地址轉換裝置的結構示意圖；
[0019]圖2為本發明一實施例提供的適用於多種應用層協議的網絡地址轉換方法的流程不意圖；
[0020]圖3為本發明另一實施例提供的一種適用於多種應用層協議的網絡地址轉換方法的流程示意圖；
[0021]圖4為本發明另一實施例提供的另一種適用於多種應用層協議的網絡地址轉換方法的流程示意圖。
【具體實施方式】
[0022]圖1為本發明一實施例提供的適用於多種應用層協議的網絡地址轉換裝置的結構示意圖，本實施例中的適用於多種應用層協議的網絡地址轉換裝置可安裝於應用層網關中，如圖1所示，適用於多種應用層協議的網絡地址轉換裝置，包括:解碼模塊11、轉換模塊12和調整模塊13。
[0023]解碼模塊11，用於利用控制連接，接收用於建立兩主機之間的數據連接的控制報文；識別控制報文所採用的目標應用層協議；在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對控制報文進行解碼，獲得控制報文的載荷。
[0024]其中，控制連接是在兩主機之間預先建立的。
[0025]轉換模塊12，與解碼模塊11連接，用於若控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成所述控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係；利用關聯表中的關聯表項存儲控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。
[0026]調整模塊13，與轉換模塊12連接，用於利用關聯表項中的目標IP位址和目標埠號，對控制數據包的載荷中的所述私網IP位址和所述私網埠號進行網絡地址轉換；發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接。
[0027]本實施例中，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了功能單一的技術問題。
[0028]本發明另一實施例提供的適用於多種應用層協議的網絡地址轉換裝置，在上一實施例所提供的適用於多種應用層協議的網絡地址轉換裝置的基礎上，解碼模塊11，還可進一步用於建立所述兩主機之間的數據連接之後，利用數據連接，接收用於在兩臺主機之間傳輸數據的數據報文，識別數據報文所採用的樣本應用層協議，在解碼策略庫中查詢樣本應用層協議的解碼策略，根據樣本應用層協議的解碼策略，對數據報文進行解碼，獲得數據報文的載荷。
[0029]轉換模塊12，還用於若數據報文的載荷中存在私網IP位址和私網埠號，根據所述數據報文的載荷中的私網IP位址和私網埠號，以及所述數據報文所採用的所述樣本應用層協議，在所述關聯表中進行匹配，獲得匹配中的目標關聯表項；利用所述目標關聯表項中的所述目標IP位址和所述目標埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0030]其中，目標關聯表項中的目標應用層協議、目標關聯表項中的私網IP位址和私網埠號和分別與樣本應用層協議、數據報文的載荷中的私網IP位址和私網埠號相同。
[0031]調整模塊13，還用於發送網絡地址轉換後的所述數據報文。
[0032]進一步，解碼模塊，還用於根據樣本應用層協議的解碼策略，對數據報文進行解碼，獲得數據報文的載荷之後，獲得數據報文的報文頭。
[0033]相應的，轉換模塊12，還用於在利用目標關聯表項中的私網IP位址和私網埠號，對數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換後，建立數據報文的報文頭中的公網IP位址和公網埠號，與目標關聯表項之間的對應關係，利用數據流表項存儲數據報文的報文頭中的公網IP位址和公網埠號，與目標關聯表項中的私網IP位址、私網埠號、目標IP位址、目標埠號和目標應用層協議之間的對應關係，以利用所述數據流表項，識別所述兩主機之間傳輸的數據流。
[0034]進一步，轉換模塊12，還用於獲得所述數據報文的報文頭之後，對所述數據報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。
[0035]相應的，解碼模塊11，還用於根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷之後，獲得所述控制報文的報文頭。轉換模塊，還用於對所述控制報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。
[0036]更近一步，調整模塊13，還用於在發送所述網絡地址轉換後的控制報文之前，根據所述目標應用層協議，對所述網絡地址轉換後的控制報文中的長度欄位進行調整；在發送所述網絡地址轉換後的數據報文之前，根據所述數據報文所採用的應用層協議，對所述網絡地址轉換後的數據報文中的長度欄位進行調整。
[0037]本實施例中，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了功能單一的技術問題。並且，該裝置層次分明，降低了應用層協議與該裝置之間的耦合度，提高了應用層協議的可擴展性。
[0038]圖2為本發明一實施例提供的適用於多種應用層協議的網絡地址轉換方法的流程示意圖，本實施例中的適用於多種應用層協議的網絡地址轉換方法可由應用層網關實施，如圖2所示，適用於多種應用層協議的網絡地址轉換方法，包括:
[0039]201、利用控制連接，接收用於建立兩主機之間的數據連接的控制報文。
[0040]其中，控制連接是在兩主機之間預先建立的。
[0041]202、識別控制報文所採用的目標應用層協議。
[0042]203、在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對控制報文進行解碼，獲得控制報文的載荷。
[0043]204、若控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。
[0044]需要說明的是，若所述控制報文的載荷中存在公網IP位址和公網埠號，利用關聯表項記錄該公網IP位址和公網埠號。
[0045]205、利用關聯表中的關聯表項存儲控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。
[0046]206、利用關聯表項中的目標IP位址和目標埠號，對控制數據包的載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0047]207、發送網絡地址轉換後的控制報文，以建立兩主機之間的數據連接。
[0048]本實施例中，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了功能單一的技術問題。
[0049]圖3為本發明另一實施例提供的一種適用於多種應用層協議的網絡地址轉換方法的流程示意圖，本實施例中的適用於多種應用層協議的網絡地址轉換方法可由應用層網關實施，如圖3所示,包括:
[0050]301、利用控制連接，接收用於建立兩主機之間的數據連接的控制報文。
[0051]其中，控制連接是在兩主機之間預先建立的。
[0052]302、識別控制報文所採用的目標應用層協議。
[0053]303、在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對控制報文進行解碼，獲得控制報文的載荷，控制報文的報文頭。
[0054]進一步，根據目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的報文頭之後，對控制報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。
[0055]需要說明的是，可將獲得的控制報文的載荷和控制報文的報文頭緩存在緩存表中，以便304中，根據緩存表中是否存在控制報文的載荷和控制報文判斷控制報文的載荷中存在私網IP位址和私網埠號。或者在獲得控制報文的載荷和控制報文的報文頭之後，若判斷出控制報文的載荷中存在私網IP位址和私網埠號，將該私網IP位址和私網埠號緩存在緩存表中，以便304中，根據緩存表中是否存在該私網IP位址和私網埠號，判斷控制報文的載荷中存在私網IP位址和私網埠號。
[0056]304、若控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。
[0057]305、利用關聯表中的關聯表項存儲控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。
[0058]306、利用關聯表項中的目標IP位址和目標埠號，對控制數據包的載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0059]進一步，根據所述目標應用層協議，對網絡地址轉換後的控制報文中的長度欄位進行調整。
[0060]307、發送網絡地址轉換後的控制報文，以建立兩主機之間的數據連接。
[0061]308、利用數據連接，接收用於在兩臺主機之間傳輸數據的數據報文。
[0062]309、識別數據報文所採用的樣本應用層協議。
[0063]310、在解碼策略庫中查詢樣本應用層協議的解碼策略。
[0064]311、根據樣本應用層協議的解碼策略，對數據報文進行解碼，獲得數據報文的載荷，數據報文的報文頭。
[0065]進一步，獲得數據報文的報文頭之後，對數據報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。[0066]312、若數據報文的載荷中存在私網IP位址和私網埠號，根據數據報文的載荷中的私網IP位址和私網埠號，以及所述數據報文所採用的所述樣本應用層協議，在所述關聯表中進行匹配，獲得匹配中的目標關聯表項。
[0067]其中，目標關聯表項中的目標應用層協議、所述目標關聯表項中的私網IP位址和私網埠號和分別與所述樣本應用層協議、所述數據報文的載荷中的私網IP位址和私網埠號相同。
[0068]313、利用所述目標關聯表項中的所述目標IP位址和所述目標埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0069]進一步，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換後，建立所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關聯表項之間的對應關係，利用數據流表項存儲所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關聯表項中的私網IP位址、私網埠號、目標IP位址、目標埠號和目標應用層協議之間的對應關係，以利用所述數據流表項，識別所述兩主機之間傳輸的數據流。
[0070]314、根據所述數據報文所採用的應用層協議，對所述網絡地址轉換後的數據報文中的長度欄位進行調整。
[0071]315、發送網絡地址轉換後的所述數據報文。
[0072]本實施例中，通過識別報文所採用的目標應用層協議，在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢目標應用層協議的解碼策略，根據目標應用層協議的解碼策略，對報文進行解碼，獲得報文的載荷，由於預先利用解碼策略庫存儲各個應用層協議的解碼策略，使得適用於多種應用層協議的網絡地址轉換裝置能夠適用各個應用層協議，從而解決了功能單一的技術問題。
[0073]為了清楚說明本實施例，本實施例還提供了另一種適用於多種應用層協議的網絡地址轉換方法，作為一種可實現方式，其中，接收的三條報文分別採用了 sip、h.323和FTP協議，圖4為本發明另一實施例提供的另一種適用於多種應用層協議的網絡地址轉換方法的流程示意圖，如圖4所示,包括:
[0074]401、識別各報文所採用的目標應用層協議。
[0075]其中，報文為控制報文或數據報文。
[0076]識別出三條報文分別採用了 sip、h.323和FTP協議，即目標應用層協議分別為sip、h.323和FTP協議，從而根據目標應用層協議，對各報文進行解碼。
[0077]402a、根據sip應用層協議的解碼策略進行解碼。
[0078]402b、根據h.323應用層協議的解碼策略進行解碼。
[0079]402c、根據FTP應用層協議的解碼策略進行解碼。
[0080]其中，402a、402b和402c可並行執行。
[0081 ] 403、獲得各報文的載荷和各報文的報文頭。
[0082]404、對各報文的載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0083]若該報文為控制報文，且控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號，生成控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。利用關聯表中的關聯表項存儲控制報文的載荷中的私網IP位址和私網埠號，與目標IP位址、目標埠號和目標應用層協議之間的對應關係。利用關聯表項中的目標IP位址和目標埠號，對控制數據包的載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0084]若該報文為數據報文，且數據報文的載荷中存在私網IP位址和私網埠號，根據數據報文的載荷中的私網IP位址和私網埠號，以及所述數據報文所採用的所述樣本應用層協議，在所述關聯表中進行匹配，獲得匹配中的目標關聯表項。利用所述目標關聯表項中的所述目標IP位址和所述目標埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換。
[0085]405a、根據sip應用層協議進行包調整。
[0086]405b、根據h.323應用層協議進行包調整。
[0087]405c、根據FTP應用層協議進行包調整。
[0088]其中，405a、405b和405c可並行執行，分別根據報文所採用的目標應用層協議，對報文中的長度欄位進行調整。
[0089]406、發送調整後的報文。
[0090]本領域普通技術人員可以理解:實現上述各方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成。前述的程序可以存儲於一計算機可讀取存儲介質中。該程序在執行時，執行包括上述各方法實施例的步驟；而前述的存儲介質包括:R0M、RAM、磁碟或者光碟等各種可以存儲程序代碼的介質。
[0091]最後應說明的是:以上各實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的範圍。
【權利要求】
1.一種適用於多種應用層協議的網絡地址轉換裝置，其特徵在於，包括: 解碼模塊，用於利用控制連接，接收用於建立兩主機之間的數據連接的控制報文；識別所述控制報文所採用的目標應用層協議；在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢所述目標應用層協議的解碼策略，根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷；所述控制連接是在所述兩主機之間預先建立的； 轉換模塊，與解碼模塊連接，用於接收解碼模塊獲得的所述控制報文的載荷，若所述控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號；生成所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係；利用關聯表中的關聯表項存儲所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係； 調整模塊，與轉換模塊連接，用於利用所述轉換模塊所存儲的所述關聯表項中的所述目標IP位址和所述目標埠號，對所述控制數據包的載荷中的所述私網IP位址和所述私網埠號進行網絡地址轉換；發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接。
2.根據權利要求1所述的適用於多種應用層協議的網絡地址轉換裝置，其特徵在於， 所述解碼模塊，還用於建 立所述兩主機之間的數據連接之後，利用所述數據連接，接收用於在所述兩臺主機之間傳輸數據的數據報文；識別所述數據報文所採用的樣本應用層協議；在解碼策略庫中查詢所述樣本應用層協議的解碼策略；根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的載荷； 所述轉換模塊，還用於若所述數據報文的載荷中存在私網IP位址和私網埠號，根據所述數據報文的載荷中的私網IP位址和私網埠號，以及所述數據報文所採用的所述樣本應用層協議，在所述關聯表中進行匹配，獲得匹配中的目標關聯表項；所述目標關聯表項中的目標應用層協議、所述目標關聯表項中的私網IP位址和私網埠號和分別與所述樣本應用層協議、所述數據報文的載荷中的私網IP位址和私網埠號相同；利用所述目標關聯表項中的所述目標IP位址和所述目標埠號，對所述數據報文的載荷中的私網IP位址和私網埠號進行網絡地址轉換； 所述調整模塊，還用於發送所述網絡地址轉換後的所述數據報文。
3.根據權利要求2所述的適用於多種應用層協議的網絡地址轉換裝置，其特徵在於， 所述解碼模塊，還用於根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的載荷之後，獲得所述數據報文的報文頭； 相應的，所述轉換模塊，還用於在利用所述目標關聯表項中的所述私網IP位址和所述私網埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換後，建立所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關聯表項之間的對應關係，利用數據流表項存儲所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關聯表項中的私網IP位址、私網埠號、目標IP位址、目標埠號和目標應用層協議之間的對應關係，以利用所述數據流表項，識別所述兩主機之間傳輸的數據流。
4.根據權利要求3所述的適用於多種應用層協議的網絡地址轉換裝置，其特徵在於，所述轉換模塊，還用於獲得所述數據報文的報文頭之後，對所述數據報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換； 相應的，所述解碼模塊，還用於根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷之後，獲得所述控制報文的報文頭； 所述轉換模塊，還用於對所述控制報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。
5.根據權利要求2-4任一項所述的適用於多種應用層協議的網絡地址轉換裝置，其特徵在於， 所述調整模塊，還用於在發送所述網絡地址轉換後的控制報文之前，根據所述目標應用層協議，對所述網絡地址轉換後的控制報文中的長度欄位進行調整；在發送所述網絡地址轉換後的數據報文之前，根據所述數據報文所採用的應用層協議，對所述網絡地址轉換後的數據報文中的長度欄位進行調整。
6.一種適用於多種應用層協議的網絡地址轉換方法，其特徵在於，包括: 利用控制連接，接收用於建立兩主機之間的數據連接的控制報文；所述控制連接是在所述兩主機之間預先建立的； 識別所述控制報文所採用的目標應用層協議； 在解碼策略庫所存儲的各個應用層協議的解碼策略中查詢所述目標應用層協議的解碼策略，根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷； 若所述控制報文的載荷中存在私網IP位址和私網埠號，從空閒的公網IP位址和空閒的公網埠號中確定目標IP位址和目標埠號； 生成所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係； 利用關聯表中的關聯表項存儲所述控制報文的載荷中的私網IP位址和私網埠號，與所述目標IP位址、所述目標埠號和所述目標應用層協議之間的對應關係； 利用所述關聯表項中的所述目標IP位址和所述目標埠號，對所述控制數據包的載荷中的所述私網IP位址和所述私網埠號進行網絡地址轉換； 發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接。
7.根據權利要求6所述的適用於多種應用層協議的網絡地址轉換方法，其特徵在於，所述發送網絡地址轉換後的所述控制報文，以建立所述兩主機之間的數據連接之後，還包括: 利用所述數據連接，接收用於在所述兩臺主機之間傳輸數據的數據報文； 識別所述數據報文所採用的樣本應用層協議； 在解碼策略庫中查詢所述樣本 應用層協議的解碼策略； 根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的載荷； 若所述數據報文的載荷中存在私網IP位址和私網埠號，根據所述數據報文的載荷中的私網IP位址和私網埠號，以及所述數據報文所採用的所述樣本應用層協議，在所述關聯表中進行匹配，獲得匹配中的目標關聯表項；所述目標關聯表項中的目標應用層協議、所述目標關聯表項中的私網IP位址和私網埠號和分別與所述樣本應用層協議、所述數據報文的載荷中的私網IP位址和私網埠號相同； 利用所述目標關聯表項中的所述目標IP位址和所述目標埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換； 發送所述網絡地址轉換後的所述數據報文。
8.根據權利要求7所述的適用於多種應用層協議的網絡地址轉換方法，其特徵在於，所述根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的載荷之後，還包括: 根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的報文頭； 相應的，所述利用所述目標關聯表項中的所述私網IP位址和所述私網埠號，對所述數據報文載荷中的私網IP位址和私網埠號進行網絡地址轉換後，還包括: 建立所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關聯表項之間的對應關係，利用數據流表項存儲所述數據報文的報文頭中的公網IP位址和公網埠號，與所述目標關 聯表項中的私網IP位址、私網埠號、目標IP位址、目標埠號和目標應用層協議之間的對應關係，以利用所述數據流表項，識別所述兩主機之間傳輸的數據流。
9.根據權利要求8所述的適用於多種應用層協議的網絡地址轉換方法，其特徵在於，所述根據所述樣本應用層協議的解碼策略，對所述數據報文進行解碼，獲得所述數據報文的報文頭之後，還包括: 對所述數據報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換； 相應的，所述根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的載荷之後，還包括: 根據所述目標應用層協議的解碼策略，對所述控制報文進行解碼，獲得所述控制報文的報文頭，對所述控制報文的報文頭中的私網IP位址和私網埠號進行網絡地址轉換。
10.根據權利要求7-9任一項所述的適用於多種應用層協議的網絡地址轉換方法，其特徵在於，所述發送所述網絡地址轉換後的控制報文之前，還包括: 根據所述目標應用層協議，對所述網絡地址轉換後的控制報文中的長度欄位進行調整； 相應的，所述發送所述網絡地址轉換後的數據報文之前，還包括: 根據所述數據報文所採用的應用層協議，對所述網絡地址轉換後的數據報文中的長度欄位進行調整。
【文檔編號】H04L29/12GK103561130SQ201310546119
【公開日】2014年2月5日 申請日期:2013年11月6日 優先權日:2013年11月6日
【發明者】高鵬舉 申請人:北京神州綠盟信息安全科技股份有限公司, 北京神州綠盟科技有限公司