一种改进的ＵＤＰ封装法在网络安全协议与地址冲突中的应用.docVIP

一种改进的ＵＤＰ封装法在网络安全协议与地址冲突中的应用 　　摘要：该方案是将主机自身的IP地址一同进行封装，从NAT网关内部发往NAT网关外部的数据包，在经过UDP解封装后，其源地址更改为原始IP地址，因此目标主机的IP层以上各层会认为通讯对方的IP地址为内部主机原始IP地址，它发送的数据包也将以该原始IP地址为目的地址。利用改进后的UDP封装方案，实现了IPSec报文对NAT设备的透明穿越。 　　关键词：网络地址；封装；透明穿越 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)35-2403-01 　　An Improved UDP Encapsulation Method Used in the Conflict between IPSecurity and Network Address Translation 　　SUN Guang-hui1, WANG Li-juan2 　　(Hunan University of Arts and Science, Changde 415000, China) 　　Abstract: If the improved encapsulation method is used, the packets source address will be changed from a illegal address to an legal address when it is sent out from the host behind the NAT device, and changed back from a legal address to an illegal original address after be striped of the UDP head at the host outside. So the upper protocol layers above the network layer of the host outside will think that they are communicating with a host with that illegal address and the packet it send out will have the destination to that illegal address. By the amelioration, the data can t raverse the NAT Gateway transpar-ently. 　　Key words: network address; encapsulation; traverse transparently 　　 　　1 引言 　　 　　网络安全协议IPSec是目前适用于所有Internet通信的新一代安全技术标准，它可以“无缝”地为IP引入安全特性，并为数据提供身份认证，完整性检验，抗重播攻击以及加密等机制。网络地址转换NAT和IPSec一直都有矛盾，NAT进行地址映射的时候，要对IP包进行修改，然而对于IPSec报文，这些信息无法修改，所以普通的IPSec报文无法穿越NAT设备，这是一个急需解决的问题，也是目前研究的一个难点。 　　目前几种解决IPSec与NAT不兼容问题的思路中，UDP封装法是比较好的一种方案，我们需要一个不用对NAT设备位置进行控制的“主动”的解决方法，用UDP协议封装IPSec数据包可以满足这个要求。 　　 　　2 因特网工程任务组的UDP封装法草案 　　 　　UDP封装方法是一种比较新的建议，由F-Secure、Microsoft、Cisco、Nortel和SSH Communications联合推出。 　　2.1 因特网工程任务组UDP封装格式 　　UDP封装的核心思想是把IPSec信包装入一个UDP/IP分组，然后让NAT去修改附加的UDP/IP分组。在IETF的一个草案中，提出了一种封装的方法，并给出了数据包的封装格式，如图1所示。其中前8个字节为标准的UDP包头，源端口与目的端口采用与IKE相同的值，校验和为0。非IKE标志为全0的8个字节，以与发起者的IKE的cookie保持对齐。 　　2.2 因特网工程任务组UDP封装法中存在的问题 　　经过分析，IETF UDP封装法方案在解决兼容性方面仍然存在着几个问题： 　　1) 在IPSec中，进入的安全关联SA由三个参数确定，即地址、协议、安全参数索引SPI。若采用NAPT，在外部主机上面会有多个地址相同，SPI不同的SA。在处理进入数据包的时候，可以用SPI值的不同来定位SA，而在处理外出数据包的时候，就