ＮＡＰ－ＰＴ协议转换的安全问题的思考.docVIP

ＮＡＰ－ＰＴ协议转换的安全问题的思考 　　摘要：本文首先分别介绍了IPSEC和NAT-PT的基本原理和工作方式，然后，作者试图说明两者同时使用会出现的矛盾，提出了一种新的改进策略。多层安全机制的协议改进策略是针对翻译机制的安全问题提出的一种改进策略，该策略中包含IPSEC机制和SSL/TLS安全机制。 　　关键词：IPSEC；NAT-PT；SSL/TLS安全机制 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)11-20227-01 　　 　　1 引言 　　 　　随着Intenet的快速发展，自从20世纪70年代后就被广为使用的IPv4协议暴露出了越来越多的问题，例如地址短缺和缺乏安全性等。为了彻底解决IPv4存在的问题，IETF(InternetEngineer TaskForce)提出和设计了下一代网络协议，即IPv6。在IPv4向IPv6过渡的时期，采用NAT-PT翻译过渡机制，会产生NAT-PT网关设备对IPSec协议数据包转换失败的问题。因此，为实现IPv4向IPv6的平稳过渡，解决过渡时期的安全问题是过渡阶段待解决的首要问题。本文详细的分析了现有的IPSec协议，对IPv4向IPv6过渡阶段的NAP-PT进行了深入的探讨，然后，作者试图说明两者同时使用会出现的矛盾，提出了一种新的改进策略。 　　 　　2 IPSEC（因特网网络安全） 　　 　　IPSEC是IETF（因特网工程任务组）于1998年11月公布的IP安全标准。其目标是为IPv4和IPv6提供具有较强互操作能力的、基于密码的高质量的安全。IPSEC是一个能在Internet上保证通道安全的开放标准，它在IP层上对数据包进行高强度的安全处理，提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必单独设计和实现自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。对于这些特征的支持，IPv6是强制性的，IPv4为可选的。在这两种情况下，安全特征作为扩展报头实现，它跟在主IP报头后面。身份验证的扩展报头称作AH（鉴定报头），加密报头称ESP（封装安全载荷）。 　　IPSEC有两种模式――传送模式（Transport Mode）和隧道模式（Tunnel Mode）。传送模式只对IP分组应用IPSEC协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSEC虚拟专用网VPN中。隧道模式中IPSEC将原有的IP分组封装成带有新的IP报头的IPSEC分组，这样原有的IP分组就被有效地隐藏起来了。隧道模式主要应用于两个安全网关，两个防火墙，或者一个移动主机与远程接入服务器之间以及主机到网关的远程接入时的情况。 　　IPSEC协议中有两点是我们所关心的：鉴定报头AH（Authentication Header）和封装安全载荷ESP（Encapsulation Security Payload）。 　　鉴定报头AH可与很多各不相同的算法一起工作。AH应用得不多，它主要的功能是校验源地址和目的地址这些标明发送设备的字段，看它们是否在路由过程中被改变过。如果校验结果没通过，分组就会被抛弃。通过这种方式，AH为数据的完整性和原始性提供了可靠的鉴定方法。 　　封装安全载荷（ESP）信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意破坏，可靠性保证使用密码技术的安全。对IPv4和IPv6，ESP信头都列在其它IP信头后面。注意两种可选择的IP信头：段到段信头在每个段被路由器等立即系统处理，而终端信头只被接收端处理。ESP编码只有在不被任何IP信头干扰的情况下才能正确发送数据包。ESP协议非常灵活，可以在两种加密算法下工作。 　　 　　3 NAT-PT（网络地址协议转换） 　　 　　NAT-PT（网络地址转换一协议转换）包括两个组成部分：网络地址转换协议和协议转换。其中地址转化是指通过使用NAT网关将一种IP网络的地址转换为另一种lP网络的地址，它允许内部网络使用一组在公网中从不使用的保留地址。在使用这项技术是可以将将IPv6网视为一个独立而封闭的局域网，它需要使用一个地址翻译器进行地址翻译。当内网的主机向外发送数据包时，将内部的IP地址转换为外部的公网地址，当数据包从外部网络回复数据包时，再将公网地址转换为内部网络的地址。 　　协议转换是指根据IPv6和IPv4之间的差异对数据包的首部做相应的修改以符合对方网络的格式要求，并且由于网络层协议的改变要对上层的TCP、UDP、ICMP等数据包做相应的修改。将网络地址转换机制与协议转换机制相结合而产生的NAT-PT可以通过对协议、地址的转换实现IPv6