IPv4IPv6过渡安全分析研究.docVIP

　毕 业 论 文（设计） 论文（设计）题目： IPv4/IPv6过渡安全研究 系 别： 　 专 业： 学 号： 姓 名： 指导教师： 时 间： 毕 业 论 文（设 计） 开 题 报 告 系别:计算机与信息科学系 专业:网络工程 学 号 姓 名 张克双 论文（设计）题目 IPv4/IPv6过渡安全研究 命题来源 教师命题 □学生自主命题 □教师课题 选题意义: 本选题的目的探讨基于NAT-PT的过渡策略，总结分析目前NAT-PT中存在的安全问题、IPSec与NAT-PT存在的各种矛盾，从而提出集成IPSec的NAT-PT的转换网关思想。 在IPv4向IPv6过渡期间，由于IPv4网络与IPv6网络共存，所以过渡期间存在IPv4网络一直存在的安全问题，比如拒绝服务攻击等。而IPv6也给过渡期间的网络带来了新的隐患，虽然IPv6强制实施IPSec来保护通信的安全，但是它的成功依赖于在所有应用和网络设备之上的IPSec的一致和正确的实现，这样就产生了IPv6和IPv4同样安全或不安全。 NAT-PT是IPv4向IPv6过渡时期主要采用的技术之一，它能够将数据包在IPv4和IPv6之间进行转换，实现IPv4节点和IPv6节点之间的透明的通信。IPSec是IETF(The Internet Engineering Task Force)为了在IP层提供安全可靠的传输而定义的一组相关协议，它能够提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的安全服务集。这些服务是基于IP层的，提供对IP层及其上层协议的保护。IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议，而基于NAT-PT转换机制的网络与IPSec存在许多不兼容，因此，研究IPSec与NAT-PT之间的不兼容及使它们能够协同运行、确保安全通信是非常有必要的。 研究综述: 在异构网络中，通信安全是一个需要考虑的问题，在RFC3947和RFC3948提出了“NAT-Traversal”方案来解决IPSec穿越NAT网关的问题。该方案对IKE协议作了一些改进，在IKE协商过程中能发现NAT网关，并且在通信过程中采用UDP封装IPSec数据包的方式，从而使IPSec能应用于同构网络中私网主机与公网主机间的相互通信。但由于“NAT-Traversal”不能“发现NAT-PT网关”，所以此方案并不适用于异构网络。另外NAT-PT对IP分组协议版本进行转换而造成与IPSec协议的不兼容，也是“NAT-Traversal”所无法解决的。国内也有学者提出在IKE协商的主模式阶段，通过新增NAT-PT-D载荷，实现“NAT-PT的发现机制”；而IPSec保护下的通信阶段中，检测到NAT-PT网关后，计算AH的Authentication Data时，用“伪IP头”取代原来的IP头来解决AN与NAT-PT的不兼容问题，但是此方法对AH等算法的修改和系统的修改过于复杂。 IPSec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的、基于加密的IP网络安全技术。它主要有以下特点： （1）IPSec模块包括安全协议认证头(AH)和封装安全载荷(ESP)、安全策略数据库(SPD)和安全关联数据库（SAD）、IKE密钥交换及加密和验证算法。 （2）认证头和封装安全载荷构成了基本的安全联盟（SA）。安全联盟(SA)是IPSec的基础，用来对在此连接上的数据传输提供安全保障。一个SA只能向AH或ESP之中的一个提供一个单向连接服务。 （3）一个安全联盟(SA)由一个三元来唯一标示—安全参数索引（SPI），目的IP地址，安全协议（AH或ESP）。SPI是为唯一标识SA而生成的一个32位整数。 （4）SA管理可以由手工操作完成，通信双方可以通过预先约定的SA字段取值，各自手动完成SA的建立。也可以在通信双方具备IKE模块的情况下，SA自动协商完成、产生密钥。自动管理方式不需要人工干预，具有更强的安全性和可扩展性。 研究的目标和主要内容： 本课题研究的目标是先通过分析IPSec和NAT-PT所存在的不兼容进而提出在NAT-PT异构网络的NAT-PT网关和两端网络分别部署IPSec，进而克服IPSec不能穿越NAT-PT网关的缺憾，以实现在Ipv4向Ipv6过渡期间Ipv4节点与Ipv6节点可以透明、安全的通信的方案。 本选题大体上探讨与方案实施包括以下几个方面： (1)讨论、分析IPS