郭 銳，馮志杰，高宗寧

(中國科學(xué)院 信息工程研究所，北京 100093)

一種新型網(wǎng)絡(luò)通信協(xié)議的設(shè)計(jì)與研究

郭 銳，馮志杰，高宗寧

(中國科學(xué)院 信息工程研究所，北京 100093)

互聯(lián)網(wǎng)發(fā)展至今，尤其是移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展極大地改善了人們的生活方式，但與之相伴的網(wǎng)絡(luò)安全問題也愈發(fā)嚴(yán)重。這就迫使人們思考現(xiàn)有互聯(lián)網(wǎng)體系架構(gòu)設(shè)計(jì)的弊端，進(jìn)而去尋求一種解決現(xiàn)有問題的途徑。新型網(wǎng)絡(luò)通信協(xié)議充分分析了現(xiàn)有TCP/IP網(wǎng)絡(luò)的優(yōu)缺點(diǎn)，針對其IP編址中存在的二義性問題展開思考，并結(jié)合通信市場上出現(xiàn)的各類終端的特點(diǎn)，提出了基于不同網(wǎng)絡(luò)類型的兩種數(shù)據(jù)包格式，在此基礎(chǔ)上引入了IPsec的相關(guān)技術(shù)，為數(shù)據(jù)包通信添加安全保障。分析了現(xiàn)有網(wǎng)絡(luò)存在的安全隱患，提出了加強(qiáng)安全通信的必要性。接著對新型網(wǎng)絡(luò)通信協(xié)議進(jìn)行了相關(guān)的探討和研究，重點(diǎn)闡述了新型網(wǎng)絡(luò)的特點(diǎn)及其與現(xiàn)有網(wǎng)絡(luò)的區(qū)別。隨后研究提出新型網(wǎng)絡(luò)的整體框架，詳細(xì)給出了各組成模塊的功能原理。通過搭建測試環(huán)境對新型網(wǎng)絡(luò)進(jìn)行測試，驗(yàn)證了新型網(wǎng)絡(luò)通信協(xié)議標(biāo)準(zhǔn)的可行性。

網(wǎng)絡(luò)安全；IP地址二義性；新型網(wǎng)絡(luò)通信協(xié)議；安全通信

0 引 言

自二十世紀(jì)七十年代至今，計(jì)算機(jī)網(wǎng)絡(luò)得到了快速普及，尤其是近年來移動(dòng)互聯(lián)網(wǎng)的迅速發(fā)展，給人們的生活帶來了極大便利，但現(xiàn)有互聯(lián)網(wǎng)體系暴露出的問題也越來越多。例如網(wǎng)絡(luò)安全性差、移動(dòng)支持性差、可控可管性差等，其中尤為突出的是網(wǎng)絡(luò)的安全性問題[1]。近幾年發(fā)生的網(wǎng)絡(luò)安全事件尤為頻繁：2014年2月，全球最大的比特幣交易平臺(tái)Mt.Gox自身賬號(hào)中約10萬個(gè)比特幣被竊，損失估計(jì)達(dá)到4.67億美元，被迫宣布破產(chǎn)；2014年4月發(fā)生的Heartbleed漏洞事件，影響范圍波及各大銀行、門戶網(wǎng)站等；2015年5月29日，某網(wǎng)絡(luò)安全公司發(fā)布報(bào)告披露了一起針對中國的國家級黑客攻擊細(xì)節(jié)，自2012年4月起境外名為“海蓮花”的黑客組織利用木馬病毒攻陷和控制政府人員、外包商、行業(yè)專家等目標(biāo)人群的電腦，意圖獲取受害者電腦中的機(jī)密資料。種種事件表明，現(xiàn)有網(wǎng)絡(luò)存在很大的安全隱患[2]。

上述安全問題的根源在于現(xiàn)有網(wǎng)絡(luò)體系架構(gòu)固有的設(shè)計(jì)缺陷，現(xiàn)有互聯(lián)網(wǎng)的體系架構(gòu)是基于TCP/IP協(xié)議族[3]的，而TCP/IP在設(shè)計(jì)之初是用于固定節(jié)點(diǎn)之間的通信，其IP地址具有雙重屬性[4]：IP地址既代表終端的身份又代表通信終端所處的位置。IP層的上層協(xié)議(如TCP、UDP、HTTP、FTP等協(xié)議)都使用IP地址來標(biāo)識(shí)通信終端，整個(gè)通信過程都和IP地址進(jìn)行綁定，這意味著IP地址是一種身份標(biāo)識(shí)。而TCP/IP協(xié)議族又使用IP地址來路由，可以通過某個(gè)IP地址找到其代表的網(wǎng)絡(luò)接口，這意味著IP地址同時(shí)又代表網(wǎng)絡(luò)端口的位置信息。隨著互聯(lián)網(wǎng)的不斷發(fā)展及其網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，基于IP地址的最初的互聯(lián)網(wǎng)設(shè)計(jì)弊端逐漸凸顯，移動(dòng)性、安全性、路由聚合等問題也越來越突出。因此，解決IP地址二義性問題，研究新型互聯(lián)網(wǎng)體系架構(gòu)，特別是研究和制定具有自主知識(shí)產(chǎn)權(quán)的新型互聯(lián)網(wǎng)體系標(biāo)準(zhǔn)已迫在眉睫。

1 新型網(wǎng)絡(luò)通信組網(wǎng)模型

新型網(wǎng)絡(luò)通信協(xié)議采用的組網(wǎng)模型如圖1所示。

圖1 新型網(wǎng)絡(luò)通信組網(wǎng)模型

新型網(wǎng)絡(luò)通信將整個(gè)網(wǎng)絡(luò)劃分為兩個(gè)部分：接入網(wǎng)和骨干網(wǎng)。接入網(wǎng)實(shí)現(xiàn)各類終端設(shè)備和各類子網(wǎng)的接入；骨干網(wǎng)負(fù)責(zé)數(shù)據(jù)包的路由和對終端設(shè)備的接入認(rèn)證等工作。

為避免現(xiàn)有網(wǎng)絡(luò)中IP地址存在的二義性缺陷，在新型網(wǎng)絡(luò)中使用兩類地址：終端地址和路由地址。在接入網(wǎng)中，為每個(gè)合法的終端分配一個(gè)終端地址，該終端地址會(huì)根據(jù)終端類型的不同而分為不同的長度，有8位、16位、32位、64位和128位之分，在接入網(wǎng)內(nèi)部終端間通信使用終端地址即可；在骨干網(wǎng)中，數(shù)據(jù)包從接入網(wǎng)經(jīng)過邊界路由器(連接接入網(wǎng)和骨干網(wǎng)的路由器定義為邊界路由器)到達(dá)骨干網(wǎng)時(shí)，邊界路由器要在數(shù)據(jù)包的外部封裝一個(gè)新的報(bào)頭，新報(bào)頭的地址為能在骨干網(wǎng)中進(jìn)行路由的路由地址，這樣設(shè)計(jì)的目的是為了解決現(xiàn)有互聯(lián)網(wǎng)中IP地址身份與位置綁定的缺陷。

1.1 新型網(wǎng)絡(luò)通信中數(shù)據(jù)包報(bào)頭格式設(shè)計(jì)

在借鑒現(xiàn)有網(wǎng)絡(luò)中數(shù)據(jù)包報(bào)頭格式設(shè)計(jì)[5]的優(yōu)缺點(diǎn)的基礎(chǔ)上，刪除一些不必要的字段，添加一些新型網(wǎng)絡(luò)中特有的字段，研究設(shè)計(jì)了兩種分別在接入網(wǎng)和骨干網(wǎng)中使用的數(shù)據(jù)包報(bào)頭格式，如圖2所示。

圖2 數(shù)據(jù)包格式

(1)接入網(wǎng)中數(shù)據(jù)包格式。

接入網(wǎng)數(shù)據(jù)包格式如圖2(a)所示，其中：

·版本號(hào)：3位，表示新型網(wǎng)絡(luò)通信協(xié)議的版本，值為1。

·載荷長度：13位，表示數(shù)據(jù)包載荷的總長度，以字節(jié)為單位，數(shù)據(jù)載荷的最大長度為8 KB。

·F：地址類型標(biāo)志位，用來標(biāo)志數(shù)據(jù)包中地址是終端標(biāo)識(shí)還是路由地址，值為0表示終端地址，值為1表示路由地址。

·跳數(shù)限制：7位，表示數(shù)據(jù)包在網(wǎng)絡(luò)中最長生存時(shí)間，每經(jīng)過一臺(tái)路由器該字段值減1，當(dāng)該字段減為零時(shí)，丟棄該數(shù)據(jù)包。

·下一個(gè)首部：8位，表示緊接在數(shù)據(jù)包報(bào)頭后的載荷數(shù)據(jù)所代表的協(xié)議類型或擴(kuò)展首部的類型。

·源地址長度：8位，表示源終端地址的長度。

·目的地址長度：8位，表示目的終端地址的長度。

·源地址：長度不固定，源地址會(huì)因通信終端類型的不同而分為不同的長度，長度有8位、16位、32位、64位和128位之分。

·目的地址：長度不固定，目的地址會(huì)因通信終端類型的不同而分為不同的長度，長度有8位、16位、32位、64位和128位之分。

(2)骨干網(wǎng)中數(shù)據(jù)包格式。

骨干網(wǎng)中數(shù)據(jù)包格式如圖2(b)所示，其中字段版本號(hào)、載荷長度、F、跳數(shù)限制和下一首部見接入網(wǎng)中數(shù)據(jù)包格式定義。源地址和目的地址長度為固定的128位。

之所以用兩種報(bào)頭格式是根據(jù)接入網(wǎng)和骨干網(wǎng)各自的網(wǎng)絡(luò)特征來決定的，隨著移動(dòng)通信網(wǎng)絡(luò)技術(shù)的發(fā)展，各種各樣的終端都可以接入到網(wǎng)絡(luò)中，終端類型不同，為其分配的終端地址的長度會(huì)有所差異，因此在接入網(wǎng)中加入了源地址長度和目的地址長度字段來標(biāo)識(shí)終端地址的長度。而在骨干網(wǎng)中采用固定的地址長度是為了減少路由條目，方便路由聚合。

1.2 新型網(wǎng)絡(luò)通信中數(shù)據(jù)包基本通信流程

新型網(wǎng)絡(luò)中數(shù)據(jù)包的一次完整通信流程如圖3所示。

圖3 新型網(wǎng)絡(luò)中數(shù)據(jù)包的基本通信流程圖

其中，接入認(rèn)證服務(wù)器[6]負(fù)責(zé)各類終端入網(wǎng)時(shí)的授權(quán)和認(rèn)證，地址映射服務(wù)器存儲(chǔ)各類終端的終端地址到其對應(yīng)的邊界路由器的路由地址之間的映射關(guān)系對，邊界路由器內(nèi)維護(hù)著兩張映射表：本地映射表和對端映射表[7]。本地映射表存儲(chǔ)的是該邊界路由器管轄范圍內(nèi)的各類終端與路由地址的映射關(guān)系對，而對端映射表存儲(chǔ)的則是不在本地管轄范圍內(nèi)的終端與路由地址的映射關(guān)系對。當(dāng)接入網(wǎng)中的數(shù)據(jù)包經(jīng)邊界路由器到達(dá)骨干網(wǎng)時(shí)，邊界路由器查詢地址映射服務(wù)器獲得與終端地址對應(yīng)的路由地址后，在接入網(wǎng)中的數(shù)據(jù)包頭部外再封裝一個(gè)骨干網(wǎng)中的數(shù)據(jù)包報(bào)頭，外層報(bào)頭中的地址為兩臺(tái)邊界路由器的路由地址，具體流程如下所示：

步驟1：通信終端A向邊界路由器BR1發(fā)送接入認(rèn)證請求數(shù)據(jù)包。

步驟2：邊界路由器BR1向接入認(rèn)證服務(wù)器發(fā)送認(rèn)證查詢消息，查看網(wǎng)絡(luò)是否允許終端A接入。

步驟3：接入認(rèn)證服務(wù)器將認(rèn)證結(jié)果通過邊界路由器BR1轉(zhuǎn)發(fā)給終端A。

步驟4：如果認(rèn)證通過，則終端A可以在該網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)包。當(dāng)終端A向終端B發(fā)送數(shù)據(jù)包時(shí)，發(fā)送的數(shù)據(jù)包的格式應(yīng)符合接入網(wǎng)中數(shù)據(jù)包的格式，數(shù)據(jù)包中的源和目的地址為通信雙方的終端地址，地址標(biāo)志位F的值為0。

步驟5：邊界路由器BR1收到該數(shù)據(jù)包，首先判斷該數(shù)據(jù)包的目的地址是否為本地接入網(wǎng)的其他終端，若是，則直接將該數(shù)據(jù)包轉(zhuǎn)發(fā)到目的終端；否則，邊界路由器BR1搜索對端映射表來查詢終端B的終端地址所對應(yīng)的路由地址。若查詢到終端B的終端地址對應(yīng)的路由地址，則邊界路由器BR1在收到的數(shù)據(jù)包的外層封裝一個(gè)骨干網(wǎng)的數(shù)據(jù)包報(bào)頭，報(bào)頭中地址標(biāo)志位F值為1，代表外層報(bào)頭的源和目的地址為通信雙方所在的兩臺(tái)邊界路由器的路由地址。若沒找到終端B的映射關(guān)系對，邊界路由器BR1則向地址映射服務(wù)器發(fā)起映射關(guān)系查詢消息。

步驟6：地址映射服務(wù)器將映射關(guān)系響應(yīng)消息傳給邊界路由器BR1。

步驟7：邊界路由器BR1將封裝好的數(shù)據(jù)包傳給骨干網(wǎng)中的路由器進(jìn)行路由，骨干網(wǎng)中的路由器根據(jù)路由地址進(jìn)行尋址路由。

步驟8：邊界路由器BR2收到數(shù)據(jù)包后，將數(shù)據(jù)包外層的骨干網(wǎng)報(bào)頭進(jìn)行剝離，然后根據(jù)內(nèi)層報(bào)頭的終端地址將數(shù)據(jù)包轉(zhuǎn)發(fā)給終端B。

以上是新型網(wǎng)絡(luò)中數(shù)據(jù)包的一次基本通信流程，新型網(wǎng)絡(luò)與現(xiàn)有傳統(tǒng)網(wǎng)絡(luò)相比，其優(yōu)點(diǎn)在于：

(1)將網(wǎng)絡(luò)分成接入網(wǎng)和骨干網(wǎng)，從而為不同網(wǎng)絡(luò)中各種技術(shù)的獨(dú)立演進(jìn)提供條件。

(2)網(wǎng)絡(luò)管理者可以對不同的網(wǎng)絡(luò)分別進(jìn)行不同的管理，加強(qiáng)了網(wǎng)絡(luò)的可控可管性能。

(3)根據(jù)各自網(wǎng)絡(luò)的特點(diǎn)創(chuàng)造性地提出了接入網(wǎng)報(bào)頭格式和骨干網(wǎng)報(bào)頭格式，接入網(wǎng)報(bào)頭格式的設(shè)計(jì)又充分兼顧了各種入網(wǎng)終端的特點(diǎn)。

(4)邊界路由器的引入解決了現(xiàn)有網(wǎng)絡(luò)中IP地址的二義性缺陷。

(5)通過引入現(xiàn)有網(wǎng)絡(luò)的安全機(jī)制IPSec[8-10]的相關(guān)技術(shù)，在新型網(wǎng)絡(luò)通信協(xié)議棧中設(shè)計(jì)相應(yīng)的安全模塊，可以進(jìn)一步增強(qiáng)新型網(wǎng)絡(luò)通信過程中的安全保證。

2 新型網(wǎng)絡(luò)通信協(xié)議的模塊化實(shí)現(xiàn)

為了實(shí)現(xiàn)上述提到的新型網(wǎng)絡(luò)通信協(xié)議的設(shè)計(jì)思想，提出了模塊化的實(shí)現(xiàn)方法。為了加強(qiáng)新型網(wǎng)絡(luò)通信中的安全性，借鑒了現(xiàn)有網(wǎng)絡(luò)中IPSec的相關(guān)概念，在Linux系統(tǒng)內(nèi)核[11-12]中固化了相應(yīng)的安全模塊[13]。如圖4所示，主要包括：地址封裝映射模塊、密鑰配置模塊、密鑰接口層、身份驗(yàn)證與加密模塊、算法模塊。

圖4 新型網(wǎng)絡(luò)通信中各模塊之間的關(guān)系示意圖

·密鑰配置模塊：該功能實(shí)體實(shí)現(xiàn)了用戶對數(shù)據(jù)包加密或認(rèn)證時(shí)的安全參數(shù)的配置，包括密鑰的選擇、安全通信方式的選擇、安全參數(shù)索引的配置等。

·密鑰接口層：負(fù)責(zé)用戶空間與Linux內(nèi)核之間的安全連接，通過密鑰管理套接字把用戶配置的安全參數(shù)傳遞給內(nèi)核。

·身份驗(yàn)證與加密模塊：該模塊負(fù)責(zé)對需要進(jìn)行安全處理的數(shù)據(jù)包進(jìn)行認(rèn)證或加密處理，包括查詢安全關(guān)聯(lián)數(shù)據(jù)庫、生成消息摘要等操作。

·算法模塊：該模塊為安全通信提供各種算法支持，如DES,3DES,MD5,SHA1等。

·封裝映射模塊：該模塊負(fù)責(zé)對通信數(shù)據(jù)包進(jìn)行封裝和解封裝操作，并維護(hù)地址映射表。

上層用戶可以根據(jù)自己的需要通過密鑰配置模塊給安全通信配置相應(yīng)的安全參數(shù)，系統(tǒng)內(nèi)核通過PF_

KEY套接字[14]將安全通信參數(shù)存儲(chǔ)在安全關(guān)聯(lián)數(shù)據(jù)庫中以便后續(xù)查找。當(dāng)有安全通信需求時(shí)，通過網(wǎng)絡(luò)層的相關(guān)調(diào)用函數(shù)觸發(fā)身份驗(yàn)證與加密模塊，身份驗(yàn)證與加密模塊查詢安全關(guān)聯(lián)數(shù)據(jù)庫，根據(jù)查詢到的結(jié)果調(diào)用相應(yīng)算法模塊對數(shù)據(jù)包進(jìn)行安全處理。在安全通信的發(fā)送端，內(nèi)核協(xié)議棧中的網(wǎng)絡(luò)層將上層傳下來的數(shù)據(jù)進(jìn)行加密或認(rèn)證并添加相應(yīng)的報(bào)頭后交給下層處理。在安全通信的接收端，將從網(wǎng)絡(luò)接口層傳上來的數(shù)據(jù)進(jìn)行解密或認(rèn)證后交由上層進(jìn)行后續(xù)處理。其中的封裝映射模塊是在邊界路由器上加載的，以此來完成對數(shù)據(jù)包的封裝與解封裝。

3 新型網(wǎng)絡(luò)通信協(xié)議測試與驗(yàn)證

對新型網(wǎng)絡(luò)通信協(xié)議的測試主要分為兩部分：協(xié)議的一致性測試和協(xié)議的功能性測試。一致性測試的目的是驗(yàn)證新型通信協(xié)議棧與新型通信協(xié)議標(biāo)準(zhǔn)的符合程度，驗(yàn)證新型網(wǎng)絡(luò)通信協(xié)議棧是否實(shí)現(xiàn)了新型網(wǎng)絡(luò)通信協(xié)議標(biāo)準(zhǔn)所規(guī)定的功能。協(xié)議的功能性測試的目的是驗(yàn)證新型網(wǎng)絡(luò)通信協(xié)議棧是否實(shí)現(xiàn)了地址封裝映射的功能。由于對實(shí)驗(yàn)數(shù)據(jù)的分析是基于Wireshark抓包軟件所抓到的數(shù)據(jù)的，但現(xiàn)有的Wireshark軟件還不能識(shí)別該新型網(wǎng)絡(luò)通信協(xié)議的數(shù)據(jù)包，為此擴(kuò)展了Wireshark的功能使之能解析新型網(wǎng)絡(luò)通信協(xié)議定義的數(shù)據(jù)包格式。

通過搭建相應(yīng)的測試環(huán)境，在接入網(wǎng)中Wireshark抓包結(jié)果如圖5所示。

在骨干網(wǎng)中Wireshark抓包結(jié)果如圖6所示。

由Wireshark抓包分析可知，在接入網(wǎng)和骨干網(wǎng)中抓到的數(shù)據(jù)包符合新型網(wǎng)絡(luò)通信協(xié)議中規(guī)定的報(bào)頭格式，在骨干網(wǎng)中數(shù)據(jù)包的外層報(bào)頭的下一個(gè)首部字段值為0表示載荷數(shù)據(jù)是接入網(wǎng)的數(shù)據(jù)包，數(shù)據(jù)包經(jīng)過

圖5 在接入網(wǎng)終端上的抓包結(jié)果

圖6 在邊界路由器上的抓包結(jié)果

邊界路由器的處理，在數(shù)據(jù)包的外層封裝了一個(gè)骨干網(wǎng)的報(bào)頭，外層報(bào)頭中的地址為兩臺(tái)邊界路由器的路由地址。新型網(wǎng)絡(luò)通信協(xié)議棧已經(jīng)基本完成了新型網(wǎng)絡(luò)通信協(xié)議標(biāo)準(zhǔn)的要求，實(shí)現(xiàn)了地址封裝映射的過程，達(dá)到了測試目的，從而驗(yàn)證了新型網(wǎng)絡(luò)通信協(xié)議標(biāo)準(zhǔn)的可行性。

4 結(jié)束語

分析了現(xiàn)有互聯(lián)網(wǎng)中存在的種種弊端，結(jié)合互聯(lián)網(wǎng)現(xiàn)狀和未來網(wǎng)絡(luò)發(fā)展趨勢，對設(shè)計(jì)一種具有自主知識(shí)產(chǎn)權(quán)的新型網(wǎng)絡(luò)通信協(xié)議進(jìn)行了大膽嘗試。從目前的研究成果看，新型網(wǎng)絡(luò)的設(shè)計(jì)還缺乏對移動(dòng)性、更強(qiáng)的安全性等的支持，目前還處于前期研究階段，后續(xù)的探索還將進(jìn)一步深入。

[1] CNCERT/CC.2014年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[R/OL].2015.http://www.cert.org.cn/publish/main/upload/File/2014%20Annual%20Report.pdf.

[2] CNCERT/CC.2015年5月CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告[R/OL].2015.http://www.cert.org.cn/publish/main/upload/File/2015monthly05.pdf.

[3] Socolofsky T,Kale C.A TCP/IP tutorial[S].[s.l.]:IETF,1991.

[4] Postel J.Internet protocol[S].[s.l.]:IETF,1981.

[5] Deering S, Hinden R.Internet Protocol,Version 6 (IPv6) specification[S].[s.l.]:IETF,1998.

[6] 蘇 偉,劉 琪,張宏科.一體化標(biāo)識(shí)網(wǎng)絡(luò)體系及關(guān)鍵技術(shù)[J].中興通訊技術(shù),2011,17(2):1-4.

[7] 王 上.一體化網(wǎng)絡(luò)接入交換路由器分離映射的設(shè)計(jì)與實(shí)現(xiàn)[D].北京:北京交通大學(xué),2008.

[8] Kent S,Atkinson R.Security architecture for the internet protocol[S].[s.l.]:IETF,1998.

[9] Kent S, Atkinson R.IP authentication header[S].[s.l.]:IETF,1998.

[10] Kent S,Atkinson R.IP Encapsulating Security Payload (ESP)[S].[s.l.]:IETF,1998.

[11] 肖宇峰,李 昕,時(shí) 巖.Linux網(wǎng)絡(luò)內(nèi)核分析與開發(fā)[M].北京:電子工業(yè)出版社,2010.

[12] 樊東東,莫 瀾.Linux內(nèi)核源碼剖析(上冊)[M].北京:機(jī)械工業(yè)出版社,2011.

[13] 許 濤.地址分離映射網(wǎng)IPSec-VPN的研究[D].北京:北京交通大學(xué),2009.

[14] Stevens W R,Fenner B,Rudoff A M.UNIX network programming volume 1:the sockets networking API[M].3rd ed.Beijing:Posts and Telecom Press,2014.

Design and Research of a New Network Communication Protocol

GUO Rui,FENG Zhi-jie,GAO Zong-ning

(Institute of Information Engineering,CAS,Beijing 100093,China)

With the rapid development of the Internet and the mobile Internet,the people’s life has been greatly improved,but network security issues have become increasingly serious.To improve the network status,people are forced to think about the disadvantages of the traditional network architecture design.The new network communication protocol analyzes the advantages and disadvantages of the existing TCP/IP network.Based on the double meanings of IP address and all kinds of mobile terminals,the two packet formats are put forward.By drawing on the relevant technology of IPsec,the corresponding security module is added to guarantee the network security communication.The potential safety hazards is analyzed in the traditional network and the significance of strengthening safety communication is proposed.In the introduction of the new network communication protocol,it concentrates on discussing the new characteristics of the new network and its difference to the traditional network.And then,the structure of the new network is researched,and the function principle of each module is presented.By building the testing environment,the feasibility of the new network communication protocol is verified.

network security;double meanings of IP address;new network communication protocol;secure communication

2015-12-16

2016-03-25

時(shí)間：2017-01-04

國家“863”高技術(shù)發(fā)展計(jì)劃項(xiàng)目(2013AA01A214)

郭 銳(1982-)，男，工程師，從事新型網(wǎng)絡(luò)通信和無線通信相關(guān)的安全問題研究。

http://www.cnki.net/kcms/detail/61.1450.TP.20170104.1023.034.html

TP393.0

A

1673-629X(2017)01-0075-05

10.3969/j.issn.1673-629X.2017.01.017