技術領域

一般來說，本發明涉及因特網的連網，確切地說，涉及網絡地址和端口轉換所導致的尋址沖突。

背景技術

按照形成因特網通信基礎的因特網和TCP/IP協議描述問題和解決方案。不過，本發明也可以應用到其他通信協議，取決于這些協議的細節。

使用因特網網絡地址轉換有幾個理由。主要理由是為了節省對公共地址的使用。一般來說，網絡地址轉換器(NAT)的因特網協議(IP)地址是公共地址。也就是說，外部世界知道的是所述NAT?IP地址，而在NAT背后的所有服務器或客戶機是專用地址，外部世界不知道它們。在這種情況下，外部世界與NAT通信，而NAT控制著與其后的適當服務器和客戶機的通信。這意味著NAT背后設備的IP地址僅僅在該系列內必須是唯一的，但是可以與世界上其余系列中的其他IP地址重復。NAT僅僅涉及IP地址的轉換。還存在著稱為網絡地址端口轉換(NAPT)的轉換類型，其中對IP地址和端口號雙方都進行了轉換。在因特網工程任務組(IETF)RFC?3022中闡述了網絡地址轉換(NAT)和網絡地址端口轉換(NAPT)的標準，標題為“TraditionalIP?Network?Address?Translation”。

設計最初的因特網時并未將安全作為主要因素。事實上，當時有目的地使因特網相對地開放，作為對科學和教育通信的輔助工具。不過，網絡及其商業使用的出現已經增加了對安全的因特網通信的需求。針對這些問題定義了因特網安全協議，通常稱為IPsec。例如，IPsec提供了對網絡設備的鑒別和/或對傳輸數據的加密。源與目的地地址之間的IPsec通信按照安全聯合(SA)進行管理；SA是一種或多種規則，它們定義了應用到通信中的IPsec處理。IPsec在RFC?2401和其他RFC中定義。通過將分組的屬性與安全策略數據庫(SPD)中的安全規則進行匹配而確定是拒絕分組、不經過IPsec處理即許可分組還是經過IPsec處理再許可分組。為了進行這種判斷，已知技術按照對輸出和輸入分組都以從最明確屬性到最不明確屬性的次序對靜態和動態的規則都進行搜索。一組靜態規則本質上是安全策略。靜態規則是預定義的，并且一般來說不經常改變。動態規則是IKE(因特網鍵交換)處理期間根據需要在節點之間所協商并且被增加到安全策略數據庫的規則。授予國際商用機器公司的美國專利6,347,376介紹了搜索SPD動態規則的優選方法，這個專利的全部內容在此引用作為參考。

在網絡地址或端口轉換與IPsec處理之間存在著固有的不兼容性。這些不兼容性是部署IPsec的屏障。RFC?3175認識到并討論了這些不兼容性的一部分，但是卻未提供一般的解決方案。例如，RFC?3175的4.1節參考了在RFC?3456“Dynamic?Host?Configuration?Protocol(DHCPv4，Configuration?of?IPsec?Tunnel?Mode”)中提出的有限解決方案，但是卻指出需要更一般的解決方案。此外，來自IETF的IPsec工作組、標題為“UDP?Encapsulation?of?IPsec?Packet”的RFC?3948的第5節同樣涉及了某些不兼容性問題。確切地說，RFC?3948的5.2節簡要地介紹了判斷在至NAPT所服務的客戶機的連接上使用何種IPsec安全聯合時面臨的問題。該節還介紹了在NAPT也處理Ipsec流量時，許可與NAPT背后的客戶機進行明文連接時的另一個問題。

因此，由NAPT服務客戶機時，存在著處理避免重復源問題的需求。任何有關的IETF?RFC都未提供對這種問題的任何解決方案。為了本說明書的目的，重復源被定義為具有相同源地址(如由NAPT分配給IPsec封裝的原始分組的IP地址)、相同傳輸協議和相同原始源端口號(即在IPsec封裝分組的傳輸頭中的端口號)的分組。

重復源導致了破壞網絡完整性的重復連接。例如，分組可能會發送到錯誤的目的地。