本發(fā)明提供了一種基于HIP協(xié)議的加密隧道通訊方法,在兩臺(tái)不支持主機(jī)標(biāo)識(shí)HIP協(xié)議的設(shè)備上，各自連接一臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)，兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)之間實(shí)現(xiàn)網(wǎng)絡(luò)連接；打開(kāi)兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)的地址解析APR的代理功能，在兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)上創(chuàng)建一個(gè)通用路由封裝協(xié)議GRE虛擬接口隧道；本發(fā)明所述的一種基于HIP協(xié)議的加密隧道通訊方法,配合使用主機(jī)標(biāo)識(shí)HIP交換機(jī)及通用路由封裝協(xié)議GRE虛擬接口隧道技術(shù)，可以實(shí)現(xiàn)不具備主機(jī)標(biāo)識(shí)HIP功能的設(shè)備間實(shí)現(xiàn)主機(jī)標(biāo)識(shí)HIP通信，實(shí)現(xiàn)不具備移動(dòng)互聯(lián)功能的設(shè)備進(jìn)行移動(dòng)互連組網(wǎng)，不同網(wǎng)絡(luò)之間的相互組網(wǎng)，具有應(yīng)用范圍廣及安全保密程度高的特點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)通訊安全領(lǐng)域，尤其是涉及一種基于HIP協(xié)議的加密隧道通訊方法。

背景技術(shù)

主機(jī)標(biāo)識(shí)HIP(Host Identity Protocol),主機(jī)標(biāo)識(shí)協(xié)議引進(jìn)一個(gè)新的加密命名空間，為Internet提供一個(gè)安全的主機(jī)移動(dòng)和多宿主的方法，更容易對(duì)通信雙方進(jìn)行認(rèn)證,從而實(shí)現(xiàn)安全可信任的網(wǎng)絡(luò)系統(tǒng)。主機(jī)標(biāo)識(shí)HIP利用IPSEC的ESP協(xié)議和傳輸模式，實(shí)現(xiàn)了端對(duì)端的安全通信。在移動(dòng)互聯(lián)網(wǎng)、IPv4和IPv6混合組網(wǎng)的情況下，能夠?qū)崿F(xiàn)通信數(shù)據(jù)的安全。但在一些網(wǎng)絡(luò)中，仍然存在傳統(tǒng)老舊的，無(wú)法實(shí)現(xiàn)自身改造(如國(guó)外廠(chǎng)家)的設(shè)備，這些設(shè)備無(wú)法自身支持主機(jī)標(biāo)識(shí)HIP協(xié)議，因此就無(wú)法利用主機(jī)標(biāo)識(shí)HIP的優(yōu)良特性，進(jìn)而無(wú)法融入到整個(gè)網(wǎng)絡(luò)中。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明旨在提出一種基于HIP協(xié)議的加密隧道通訊方法，配合使用主機(jī)標(biāo)識(shí)HIP交換機(jī)及通用路由封裝協(xié)議GRE虛擬接口隧道技術(shù)，可以實(shí)現(xiàn)不具備主機(jī)標(biāo)識(shí)HIP功能的設(shè)備間實(shí)現(xiàn)主機(jī)標(biāo)識(shí)HIP通信，達(dá)到不同網(wǎng)絡(luò)之間的安全融合。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

一種基于HIP協(xié)議的加密隧道通訊方法，包括：

步驟1：在兩臺(tái)不支持主機(jī)標(biāo)識(shí)HIP協(xié)議的設(shè)備上，各自連接一臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)，兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)之間實(shí)現(xiàn)網(wǎng)絡(luò)連接；

步驟2：打開(kāi)兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)的地址解析APR的代理功能，在兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)上創(chuàng)建一個(gè)通用路由封裝協(xié)議GRE虛擬接口隧道；

步驟3：將通用路由封裝協(xié)議GRE報(bào)文頭部前的外層目的IP和源IP更換為通信雙方兩臺(tái)主機(jī)標(biāo)識(shí)HIP交換機(jī)的目的局部標(biāo)識(shí)符LSI和源局部標(biāo)識(shí)符LSI；

步驟4：將兩臺(tái)不支持主機(jī)標(biāo)識(shí)HIP協(xié)議的設(shè)備的真實(shí)IP地址封裝在通用路由封裝協(xié)議GRE隧道內(nèi)部，即通用路由封裝協(xié)議GRE報(bào)文的數(shù)據(jù)部分；

步驟5：將完成封裝的通用路由封裝協(xié)議GRE報(bào)文交給主機(jī)標(biāo)識(shí)HIP交換機(jī)，源方的主機(jī)標(biāo)識(shí)HIP交換機(jī)首先會(huì)查詢(xún)局部標(biāo)識(shí)符LSI和IP地址的對(duì)應(yīng)表格，將外層的局部標(biāo)識(shí)符LSI轉(zhuǎn)換為可以在網(wǎng)絡(luò)上使用的IPv4地址或者IPv6地址，根據(jù)地址送達(dá)到目的方的主機(jī)標(biāo)識(shí)HIP交換機(jī)，目的方的主機(jī)標(biāo)識(shí)HIP交換機(jī)收到通用路由封裝協(xié)議GRE報(bào)文后，去除外層IP頭部，根據(jù)內(nèi)層IP頭部，可以將數(shù)據(jù)送達(dá)最終的不支持主機(jī)標(biāo)識(shí)HIP協(xié)議的目的設(shè)備上，實(shí)現(xiàn)兩個(gè)不具備主機(jī)標(biāo)識(shí)HIP功能的設(shè)備間主機(jī)標(biāo)識(shí)HIP通信。

本發(fā)明在實(shí)際使用中，解決了兩個(gè)現(xiàn)有技術(shù)中存在的常見(jiàn)問(wèn)題：ARP請(qǐng)求無(wú)應(yīng)答及容易丟失實(shí)際源IP地址和目的IP地址。

進(jìn)一步的，在步驟1中的網(wǎng)絡(luò)連接方式可以是：移動(dòng)互聯(lián)網(wǎng)或混合組網(wǎng)。

進(jìn)一步的，在步驟1中的不支持主機(jī)標(biāo)識(shí)HIP協(xié)議的設(shè)備可以是：數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)SCADA設(shè)備或可編程邏輯控制器PLC設(shè)備。

相對(duì)于現(xiàn)有技術(shù)，本發(fā)明所述的一種基于HIP協(xié)議的加密隧道通訊方法,具有以下優(yōu)勢(shì)：