NAT-PT網(wǎng)關(guān)的安全機(jī)制研究.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)規(guī)模的擴(kuò)大，IPv4已經(jīng)不能滿足網(wǎng)絡(luò)發(fā)展的要求。IPv6具有許多IPv4所不具備的新特性。但I(xiàn)Pv6取代IPv4不可能一蹴而就，在很長的時間里，IP網(wǎng)是一個包含IPv4和IPv6的異構(gòu)網(wǎng)絡(luò)。目前，主要有三種技術(shù)支持處于IPv6網(wǎng)絡(luò)的節(jié)點和處于IPv4網(wǎng)絡(luò)的節(jié)點之間的通信，即雙棧技術(shù)、隧道技術(shù)以及NAT-PT技術(shù)。其中NAT-PT技術(shù)能實現(xiàn)純IPv6節(jié)點與純IPv4節(jié)點間的透明通信，因而是一種實現(xiàn)異構(gòu)網(wǎng)絡(luò)通信的很有

2、實用價值的解決方案。 異構(gòu)網(wǎng)絡(luò)中，通信的安全是一個需要考慮的問題。目前的IP網(wǎng)絡(luò)中，由IPSec提供的安全保障已非常普遍。IPSec對于IPv6是強(qiáng)制性的安全協(xié)議，對于IPv4是可選的，它能在網(wǎng)絡(luò)層上保證通信主機(jī)間端到端的安全性。但是，基于NAT-PT轉(zhuǎn)換機(jī)制的異構(gòu)網(wǎng)絡(luò)卻與IPSec協(xié)議存在多個不兼容的問題，使IPSec不能應(yīng)用到異構(gòu)網(wǎng)絡(luò)的通信中去。因此實現(xiàn)IPSec穿越NMT-9PT網(wǎng)關(guān)，保障異構(gòu)網(wǎng)絡(luò)通信的安全，對目前IPv6

3、的發(fā)展和研究都具有很重要的意義。 RFC3947和RFC3948提出了“NAT-Traversal”，即一種IPSec穿越NAT網(wǎng)關(guān)的解決方案。該方案對IKE協(xié)議作了一些改進(jìn)，在IKE三協(xié)商過程中能發(fā)現(xiàn)NAT網(wǎng)關(guān)，并且在通信過程中采用了UDP封裝IPSec數(shù)據(jù)包的方式，從而使IPSec能應(yīng)用于同構(gòu)網(wǎng)絡(luò)中私網(wǎng)主機(jī)與公網(wǎng)主機(jī)間的相互通信。但由于“NlAT-Traversal”不能“發(fā)現(xiàn)NAT-PT網(wǎng)關(guān)”，所以此方案并不適用于異構(gòu)網(wǎng)絡(luò)

4、。另外NAT-PT對IP分組協(xié)議版本進(jìn)行轉(zhuǎn)換而造成與IPSec協(xié)議的不兼容，也是“NAT-Traversal”所無法解決的。 本文在RFC3947和RFC3948的基礎(chǔ)上，提出了IPSec穿越NAT-PT轉(zhuǎn)換網(wǎng)關(guān)的具體解決方案。其創(chuàng)新點有：在IKE協(xié)商的主模式階段，通過新增NATPT-D載荷，實現(xiàn)“NAT-PT的發(fā)現(xiàn)機(jī)制”；而IPSec保護(hù)下的通信階段中，檢測到NAT-PT網(wǎng)關(guān)后，計算AH的Authentication Data

5、時，用“偽IP頭”取代原來的IP頭，解決了AH與NAT-PT的不兼容問題。本文提出的是IPSec穿越NAT-PT的一套完整方案，解決了AH、ESP、IKE協(xié)議與NAT-PT的各種不兼容問題。應(yīng)用該方法，IPSec在AH傳輸模式、AH隧道模式、ESP傳輸模式、ESP隧道模式下都能夠穿越NAT-PT，從而使IPSec能夠應(yīng)用到異構(gòu)網(wǎng)絡(luò)的通信中，大大提高了異構(gòu)網(wǎng)絡(luò)通信的安全性，而且不需要在NAT-PT上增加IPSec的應(yīng)用層網(wǎng)關(guān)(IPSec-