IPSec与NAT协同工作的研究及改进.pdfVIP

]【Pgec与NAT协同工作的研究及改进 张学杰1 赵延博2’3。李大兴1 1山东大学网络信息安全研究所，济南，250100 2 中国海洋大学信息高等职业技术学院，青岛，266071 3山东省轻工工程学校信息技术部，青岛，266000 摘要IPSec和NAT存在本质上的不兼容性。对目前最流行的IETF提供 的UDP封装解决方案进行分析，并对它的一个改进方案进行了研究分析，找 出其不足。最后提出自己的解决方案，力求一种安全有效的解决方法，使IP— Sec和NAT协调工作。 关键词IP安全协议网络地址翻译NAT穿越UDP封装 一、引 言 随着因特网(Internet)用户及网络设备的迅猛增加，现行的第四版因特网协议 空问短缺的问题，但是从IPv4向IPv6迁移的过程需要对现行网络基础实施进行整体的 协议转换，所以这个过程非常缓慢。同时，由IETF提出的NAT协议田可以提供更多 的私有地址空间。NAT设备放置在私有网络连接因特网的网络边界，可以使私有网络 中的多个用户共享一个或几个的公网IP接人因特网。 end- to—end security)服务，其在IP网络层为通信双方提供数据的完整性、私密性和认 证性。 然而IPSec和NAT结合在一起使用将产生一系列严重问题，由于NAT地址翻译 的本质和IPSec保护数据包完整性、机密性相抵触的结果，在IPSec通信数据包通过基 于NAT的私有网络和因特网的网络边界时就会产生这种问题。IPSec也是IPV6的必 需组成部分，无论是现在还是将来都迫切需要一种解决方案，既可以提供地址转换的灵 活性又能提供安全的通信服务。 二、相关技术介绍 1．TPSec 提供保护的安全协议标准，其基本目的就是把安全机制引入TCP／IP协议，通过使用现 代密码学方法提供机密性、完整性和认证性服务，使用户能有选择的使用所提供的信息 安全服务，并得到所期望的效果。IPSec工作在网络层，独立于传输层协议和应用层协 议。IPSec本质上是一种封装协议，即是说它通过定义语法和语义把IP数据包放在它 ·212· head，AH)和封装安全载荷(encryptionpayload，ESP)这两种通信安全协 security 议以及Internet密钥交换(internetkey 责密钥管理，定义了通信实体问进行身份认证、协商密码算法以及生成共享的会话密钥 的方法。AH协议提供数据源认证，无连接的完整性，以及一个可选的抗重放服务。 ESP协议提供数据保密性，有限的数据流保密性，数据源认证，无连接的完整性，以 及抗重放服务。 AH和ESP这两个协议都是使用SA来保护通信，而IKE协议的主要功能就是在 通信双方协商SA。安全关联(security 输模式还是隧道模式)、认证算法、加密算法、加密密钥、密钥生成期、抗重放窗口、 计数器等。SA是构成IPSec的关键。SA是单向的，每个通信方都必须有两种SA，一 标识。 association 安全关联数据库(security 并利用这个三元组在SAD中查找一个SA。 安全策略(securitypolicy，SP)指对数据包提供何种保护，并以何种方式实施保 护。SP主要根据源IP地址、目的IP地址、人数据还是出数据等来标识。安全策略数 据库(security policy 表。当要发送或接受到IP包时，首先查找SPD来决定如何进行处理。存在3种可能的 处理方式：丢弃、不使用IPSec和使用IPSec处理。 图1简单描述了在IPSec体系下各部分如何联合起来协调工作。 2．NAT技术 Address NATEl]英文全称是Network (transmission 改变TU端口来完成从局域网地址空间到广域网地址空间的映射功能。在其实现中，