本发明涉及到通信领域， 特别涉及到一种实现 IPSEC在 AH模式下网 络地址转换（NAT, Network Address Translation )穿越的方法、设备及系统。 背景技术

Internet十办议安全性（IPsec, Internet Protocol Security ), 是通过^ f IP十办 议（互联网协议 ) 的分组进行加密和认证来保护 IP协议的网络传输协议族

(一些相互关联的协议的集合）。 IPsec基于 Internet工程任务组（IETF, Internet Engineering Task Force )开发的标准， 可以在一个公共 IP网络上确 保数据通讯的可靠性和完整性。 IPsec对于实现通用的安全策略所需要的基 于标准的灵活的解决方案提供了一个必备的要 素。

IPsec主要包括两个安全协议： AH ( Authentication Header, 认证^ =艮头） 和 ESP ( Encapsulating Security Payload, 封装安全载荷协议）、 以及 IKE ( Internet Key Exchange, 密钥管理协议）。 AH提供无连接的完整性、 数据 发起验证和重放保护。 ESP还可另外提供加密。 密钥管理协议 IKE提供安 全可靠的算法和密钥协商。 这些机制均独立于算法， 这种模块化的设计允 许只改变不同的算法而不影响实现的其它部分 。 协议的应用与具体加密算 法的使用取决于用户和应用程序的安全性要求 。

由于 IPsec的 AH模式（ AH Tunnel/Transport Mode )会针对整个封包（包 括 IP Header及 Data Payload )做资料完整性的检查，因此，当作完 IPsec-AH、 又再执行 NAT的源 IP /源端口的转换后， 此封包在抵达远端的目的终端时， AH的检验必定失败， 导致 IPsec-AH + NAT的结合方式将无法运作。 发明内容

本发明的主要目的为提供一种实现 IPSEC在 AH模式下 NAT穿越的方 法、 设备及系统， 实现 IPsec在 AH模式下穿越 NAT设备。

本发明提出一种实现 IPsec在 AH模式下 NAT穿越的方法， 包括： NAT设备对收到的 AH报文进行 NAT转换后， 发送至目的终端； 目的终端根据通过 NAT转换建立的 AH报文参数的映射关系表， 还原 NAT转换前的 AH报文参数；

对还原后的 AH报文参数进行认证。

优选地， 所述 NAT设备对收到的 AH 艮文进行 NAT转换包括： 根据 NAT转换表， 将所述 AH报文的第一参数替换为第二参数； 所述 第一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第 二源 IP、 第二源端口和第二检验和； 所述 NAT转换表包括第一参数和第二 参数的映射关系。

优选地， 在执行所述 NAT设备对收到的 AH报文进行 NAT转换之后， 发送至目的终端之前， 还包括：

NAT设备发送所述第一参数和第二参数至所述目 的终端；

所述目的终端建立所述第一参数和第二参数的 映射关系表。

优选地， 所述目的终端根据通过 NAT转换建立的 AH报文参数的映射 关系表， 还原 NAT转换前的 AH报文参数包括：

查找所述映射关系表中第二参数对应的第一参 数；

将所述 AH报文的第二参数替换为第一参数。

本发明还提出一种 NAT设备， 包括：

接收模块， 用于接收 AH报文；

转换模块， 用于将所述 AH报文进行 NAT转换；

发送模块， 用于将所述 NAT转换后的 AH报文发送至目的终端； 供目 的终端根据通过 NAT转换建立的 AH报文参数的映射关系表， 还原 NAT 转换前的 AH报文参数； 以及对还原后的 AH报文参数进行认证。

优选地， 所述转换模块具体用于：

根据 NAT转换表， 将所述 AH报文的第一参数替换为第二参数； 所述 第一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第 二源 IP、 第二源端口和第二检验和； 所述 NAT转换表包括第一参数和第二 参数的映射关系。

优选地， 所述发送模块还用于：

发送所述第一参数和第二参数至所述目的终端 ； 供目的终端建立所述 第一参数和第二参数的映射关系表。

本发明还提出一种终端， 包括：

接收模块， 用于接收 NAT设备发送的 AH报文；

还原模块， 用于通过 NAT转换建立的 AH报文参数的映射关系表， 还 原 NAT转换前的 AH报文参数；

认证模块， 用于对还原后的 AH报文参数进行认证。

优选地， 所述终端还包括：

映射模块， 用于建立所述第一参数和第二参数的映射关系 表； 所述第 一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第二 源 IP、 第二源端口和第二检验和。

优选地， 所述还原模块包括：

查找单元， 用于查找所述映射关系表中第二参数对应的第 一参数； 转换单元， 用于将所述 AH报文的第二参数替换为第一参数。

本发明还提出一种实现 IPsec在 AH模式下 NAT穿越的系统，包括 NAT 设备和与所述 NAT设备建立连接的终端， 所述 NAT设备包括：

接收模块， 用于接收 AH报文； 转换模块， 用于将所述 AH报文进行 NAT转换；

发送模块， 用于将所述 NAT转换后的 AH报文发送至目的终端； 供目 的终端根据通过 NAT转换建立的 AH报文参数的映射关系表， 还原 NAT 转换前的 AH报文参数； 以及对还原后的 AH报文参数进行认证。

优选地， 所述转换模块具体用于：

根据 NAT转换表， 将所述 AH报文的第一参数替换为第二参数； 所述 第一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第 二源 IP、 第二源端口和第二检验和； 所述 NAT转换表包括第一参数和第二 参数的映射关系。

优选地， 所述发送模块还用于：

发送所述第一参数和第二参数至所述目的终端 ； 供目的终端建立所述 第一参数和第二参数的映射关系表。

所述终端包括：

接收模块， 用于接收 NAT设备发送的 AH报文；

还原模块， 用于通过 NAT转换建立的 AH报文参数的映射关系表， 还 原 NAT转换前的 AH报文参数；

认证模块， 用于对还原后的 AH报文参数进行认证。

优选地， 所述终端还包括：

映射模块， 用于建立所述第一参数和第二参数的映射关系 表； 所述第 一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第二 源 IP、 第二源端口和第二检验和。

优选地， 所述还原模块包括：

查找单元， 用于查找所述映射关系表中第二参数对应的第 一参数； 转换单元， 用于将所述 AH报文的第二参数替换为第一参数。

本发明提出的一种实现 IPsec在 AH模式下 NAT穿越的方法、 设备及 系统， 通过对 AH报文参数的还原， 可以实现 AH模式下穿越 NAT设备， 改变现在 AH模式下无法支持 NAT转换的不足。 附图说明

图 1为本发明实现 IPsec在 AH模式下 NAT穿越的方法一实施例的流 程示意图；

图 2为图 1所示之 AH报文在 NAT转换前后之变化示意图； 图 3为本发明实现 IPsec在 AH模式下 NAT穿越的方法一实施例中还 原的流程示意图；

图 4为本发明实现 IPsec在 AH模式下 NAT穿越的方法又一实施例的 流程示意图；

图 5为本发明 NAT设备一实施例的结构示意图；

图 6为本发明终端一实施例的结构示意图；

图 7为本发明终端一实施例中还原模块的结构示� �图；

图 8为本发明终端又一实施例的结构示意图；

图 9为本发明实现 IPsec在 AH模式下 NAT穿越的系统一实施例的流 程示意图。 具体实施方式

应当理解， 此处所描述的具体实施例仅仅用以解释本发明 ， 并不用于 限定本发明。

参照图 1 ,提出本发明实现 IPsec在 AH模式下 NAT穿越的方法一实施 例， 包括：

步驟 S10、 NAT设备对收到的 AH报文进行 NAT转换；

步驟 S 11、 发送 NAT转换后的 AH报文至目的终端；

步驟 S12、 目的终端根据通过 NAT转换建立的 AH报文参数的映射关 系表， 还原 NAT转换前的 AH报文参数；

步驟 S13、 对还原后的 AH报文参数进行认证。

当源终端发送 AH报文到 NAT设备后， NAT设备对该报文进行 NAT 转换， AH报文参数发生变化， 如图 2所示， 左边为源终端发送的 AH报文 内容， 右边为目的终端收到的 AH报文内容， 其中经过 NAT设备后报文的 源 IP、 检险和字段和 TCP/UDP头的源端口、 检验和字段发生了变化。

NAT设备将 NAT转换后的 AH报文发送至该报文的目的终端。 目的终 端根据通过 NAT转换建立的 AH报文参数的映射关系表对 AH报文参数进 行还原并且重新计算校验和， 上述映射关系表保存有 NAT转换前后的 AH 报文参数的映射关系。还原后的 AH报文和源终端发送出来的 AH报文完全 一样的。 目的终端对还原后的 AH ^艮文进行认证。

本实施例中， 通过对 AH报文参数的还原， 可以实现 AH模式下穿越 NAT设备， 改变现在 AH模式下无法支持 NAT转换的不足。

在一实施例中， 步驟 S10可包括： 根据 NAT转换表， 将所述 AH报文 的第一参数替换为第二参数； 所述第一参数包括第一源 IP、 第一源端口和 第一检验和（即 NAT转换前的源 IP、 源端口和检验和）， 所述第二参数包 括第二源 ip、 第二源端口和第二检验和（即 NAT转换后的源 IP、 源端口和 检验和）； 所述 NAT转换表包括第一参数和第二参数的映射关系 。

参照图 3 , 在上述实施例中， 步驟 S12可包括：

步驟 S121、 查找所述映射关系表中第二参数对应的第一参 数； 步驟 S122、 将所述 AH报文的第二参数替换为第一参数。

目的终端接收到 NAT设备发送的已转换的 AH报文后， 用报文中的源 IP和源端口作为关键值在映射关系表内查找 NAT转换前的源 IP和源端口， 如果查找成功， 则进行源 IP和源端口的转换， 转换后做 AH认证处理。 如 果映射关系表查找失败， 直接做 AH认证处理。 参照图 4, 在上述实施例中， 步驟 S10之后， 步驟 S11之前， 还包括： 步驟 S14、 NAT设备发送所述第一参数和第二参数至所述目 的终端； 步驟 S15、 所述目的终端建立所述第一参数和第二参数的 映射关系表。 在收到来自所述源终端的第一个 AH报文时， 需建立第一参数和第二 参数的映射关系表，即建立 AH报文参数在 NAT转换前和 NAT转换后的线 性关系。 NAT设备在收到第一个 AH报文时， 查找 NAT转换表， 将第一参 数（包括 NAT转换前的源 IP、 源端口、 检验和 )和第二参数 (包括 NAT 转换后的源 IP、 源端口、 检验和）构造到一协议报文里， 发送到目的终端。 目的终端收到协议报文后， 将报文里的第一参数和第二参数用链表的形式 组织记录到内存中。 目的终端发送确认报文给 NAT设备， 确认收到。 NAT 设备收到确认报文后停止发送协议报文， 否则每隔 3 秒钟重新发送一次协 议报文。

参照图 5, 提出本发明一种 NAT设备 100—实施例， 包括：

接收模块 10, 用于接收 AH报文；

转换模块 20, 用于将所述 AH报文进行 NAT转换；

发送模块 30, 用于将所述 NAT转换后的 AH报文发送至目的终端； 供 目的终端根据通过 NAT转换建立的 AH报文参数的映射关系表，还原 NAT 转换前的 AH报文参数； 以及对还原后的 AH报文参数进行认证。

当接收模块 10接收源终端发送的 AH报文后， 转换模块 20对该报文 进行 NAT转换， AH报文参数发生变化， 如图 2所示， 左边为源终端发送 的 AH报文内容， 右边为目的终端收到的 AH报文内容， 其中经过 NAT设 备 100后报文的源 IP、检验和字段和 TCP/UDP头的源端口、检验和字段发 生了变化。

发送模块 30将 NAT转换后的 AH报文发送至该报文的目的终端。目的 终端根据通过 NAT转换建立的 AH报文参数的映射关系表对 AH报文参数 进行还原并且重新计算校验和， 上述映射关系表保存有 NAT 转换前后的 AH报文参数的映射关系。还原后的 AH报文和源终端发送出来的 AH报文 完全一样的。 目的终端对还原后的 AH ^艮文进行认证。

本实施例中，通过对 AH报文参数的转换及还原 ,可以实现 AH模式下 穿越 NAT设备 100, 改变现在 AH模式下无法支持 NAT转换的不足。

在一实施例中， 转换模块 20具体用于：

根据 NAT转换表， 将所述 AH报文的第一参数替换为第二参数； 所述 第一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第 二源 IP、 第二源端口和第二检验和； 所述 NAT转换表包括第一参数和第二 参数的映射关系。

在一实施例中， 发送模块 30还用于：

发送所述第一参数和第二参数至所述目的终端 ； 供目的终端建立所述 第一参数和第二参数的映射关系表。

在收到来自所述源终端的第一个 AH报文时， 需建立第一参数和第二 参数的映射关系表，即建立 AH报文参数在 NAT转换前和 NAT转换后的线 性关系。 NAT设备 100在收到第一个 AH报文时， 查找 NAT转换表， 将第 一参数（包括 NAT转换前的源 IP、 源端口、 检验和）和第二参数（包括 NAT转换后的源 IP、 源端口、 检验和）构造到一协议报文里， 发送模块 30 发送到目的终端。 目的终端收到协议报文后， 将报文里的第一参数和第二 参数用链表的形式组织记录到内存中。 目的终端发送确认报文给 NAT设备 100, 确认收到。 NAT设备 100收到确认艮文后停止发送协议艮文， 否则每 隔 3 秒钟重新发送一次协议 ^艮文。 本实施例通过发送协议 4艮文， 供目的终 端建立映射关系表， 以便后续还原 AH报文参数。

参照图 6, 提出本发明一种终端 200的一实施例， 包括：

接收模块 40, 用于接收 NAT设备发送的 AH报文； 还原模块 50, 用于通过 NAT转换建立的 AH报文参数的映射关系表， 还原 NAT转换前的 AH报文参数；

认证模块 60, 用于对还原后的 AH报文参数进行认证。

当源终端发送 AH报文到 NAT设备后， NAT设备对该报文进行 NAT 转换， AH报文参数发生变化， 如图 2所示， 左边为源终端发送的 AH报文 内容，右边为接收模块 40收到的 AH报文内容，其中经过 NAT设备后报文 的源 IP、 检验和字段和 TCP/UDP头的源端口、 检验和字段发生了变化。

NAT设备将 NAT转换后的 AH报文发送至终端 200。还原模块 50根据 通过 NAT转换建立的 AH报文参数的映射关系表对 AH报文参数进行还原 并且重新计算校验和， 上述映射关系表保存有 NAT转换前后的 AH报文参 数的映射关系。还原后的 AH ^艮文和源终端发送出来的 AH ^艮文完全一样的。 认证模块 60对还原后的 AH报文进行认证。

本实施例中， 通过对 AH报文参数的还原， 可以实现 AH模式下穿越 NAT设备， 改变现在 AH模式下无法支持 NAT转换的不足。

参照图 7, 在一实施例中， 还原模块 50包括：

查找单元 51 , 用于查找所述映射关系表中第二参数对应的第 一参数； 转换单元 52, 用于将所述 AH报文的第二参数替换为第一参数。

参照图 8, 提出本发明一种终端 200的又一实施例， 在上述实施例中， 还包括：

映射模块 70, 用于建立所述第一参数和第二参数的映射关系 表； 所述 第一参数包括第一源 IP、 第一源端口和第一检验和， 所述第二参数包括第 二源 IP、 第二源端口和第二检验和。

在收到来自所述源终端的第一个 AH报文时， 映射模块 70需建立第一 参数和第二参数的映射关系表， 即建立 AH报文参数在 NAT转换前和 NAT 转换后的线性关系。 NAT设备在收到第一个 AH报文时，查找 NAT转换表， 将第一参数 (包括 NAT转换前的源 IP、 源端口、 检验和）和第二参数 (包 括 NAT转换后的源 IP、 源端口、 检验和 )构造到一协议报文里， 发送到终 端 200的接收模块 40。 接收模块 40收到协议报文后， 映射模块 70将报文 里的第一参数和第二参数用链表的形式组织记 录到内存中。 终端 200发送 确认^艮文给 NAT设备， 确认收到。

参照图 9,提出本发明实现 IPsec在 AH模式下 NAT穿越的系统一实施 例， 包括 NAT设备 100和与所述 NAT设备 100建立连接的终端 200。 NAT 设备 100的结构和工作原理与图 5所示之 NAT设备 100一致， 终端 200的 结构和工作原理与图 6至图 8所示之终端 200—致， 此处不再赘述。

以上所述仅为本发明的优选实施例， 并非因此限制本发明的专利范围 , 凡是利用本发明说明书及附图内容所作的等效 结构或等效流程变换， 或直 接或间接运用在其他相关的技术领域， 均同理包括在本发明的专利保护范 围内。