[发明专利]一种基于身份标识的跨网隧道传输方法

权利要求书

1.一种基于身份标识的跨网隧道传输方法，其特征在于，包括以下步骤：

S1、在不同网域中配置具有私有隧道协议的额外网关单元；

S2、通过额外网关单元分别为同网域中终端用户生成唯一的身份标识，将终端用户的真实IP和身份标识进行映射存储并发送给其他网域中的额外网关单元；

S3、通过传输代理设备解析原始报文并将其通信目的IP和通信源IP发送给源网域的额外网关单元，通过源网域的额外网关单元查询通信源IP对应的身份标识；其中通信目的IP为接收方的身份标识，通信源IP为发送方的真实IP；

S4、通过源网域的额外网关查询通信目的IP是否上线，若是则进入步骤S5，否则终止数据传输且不返回查询结果给源网域的传输代理设备；

S5、通过源网域的额外网关单元将其自身的身份标识和通信源IP对应的身份标识返回给源网域的传输代理设备；

S6、通过源网域的传输代理设备根据额外网关单元和通信源IP对应的身份标识对原始报文进行私有隧道协议封装并路由到源网域的额外网关单元；

S7、通过源网域的额外网关单元将封装后的报文传输到目的网域的额外网关单元；

S8、通过目的网域的额外网关单元将接收到的报文传输至目的网域的传输代理设备；

S9、通过目的网域的传输代理设备对报文进行脱隧道封装，并根据解封装后报文的通信目的IP查询接收方的真实IP，并选择路由进行转发，完成跨网隧道传输。

2.根据权利要求1所述的基于身份标识的跨网隧道传输方法，其特征在于，步骤S1中私有隧道协议的封装格式为：

外IP+UDP+N2N_TUN+内IP+Data；其中：

外IP采用标准Ipv4协议头部，外IP中的目的IP字段为通信目的IP，协议字段填充为UDP，外IP中其余字段与需要进行跨网传输的数据报文的相应字段相同；

UDP采用标准UDP协议头部，源端口固定为6061，目的端口固定为8787；

N2N_TUN为私有隧道协议认证头，为四层结构，第一层包括并列的Sign_head字段、Len字段和Reserved字段，依次用于标识认证头部、标识认证头长度和保留使用；第二层包括SPI字段，用于标识安全参数；第三层包括Sequence num字段，用于抗重放攻击；第四层包括Authentication data字段，用于计算内IP报文的摘要值，校验报文完整性；

内IP用于记录通信源IP对应的身份标识；

Data为数据部分，用于存放需要进行跨网传输的数据内容。

3.根据权利要求2所述的基于身份标识的跨网隧道传输方法，其特征在于，Sign_head字段为一个字节，固定为0xaa；Len字段为一个字节，默认值为0x7；Reserved字段为两个字节；SPI字段为四个字节并采用随机数；Sequence num字段为四个字节，采用序列号；Authentication data字段为20个字节，用于计算内IP报文的摘要值的默认算法为SHA1。

4.根据权利要求1所述的基于身份标识的跨网隧道传输方法，其特征在于，步骤S2中身份标识的生成方法为：

对终端用户生成一个28位的随机数，将该随机数与0xDCFFFFFF做与运算，将运算结果作为该终端用户对应的身份标识；其中终端用户的真实IP与身份标识之间的映射关系采用m-tree格式进行存储。

5.根据权利要求1所述的基于身份标识的跨网隧道传输方法，其特征在于，步骤S6的具体方法为：

按照私有隧道协议的封装格式对需要进行跨网传输的数据进行私有隧道协议封装，并将发送方的原始报文中的通信源IP替换为其对应的身份标识，将同网域的额外网关单元的真实IP作为私有隧道协议中的目的地址，将发送方的身份标识作为私有隧道协议中的源地址，得到第一次处理后的报文，并将第一次处理后的报文路由到源网域的额外网关单元。