IPSec与NAT兼容性问题研究.docVIP

IPSec与NAT兼容性问题研究 　　摘 要：网络地址转换技术 (NAT) 与IPSec在因特网上都是得到广泛应用的技术，但是它们之间却是不兼容的。分析了两者的不兼容性，讨论了解决该问题必须满足的要求，给出了利用UDP封装实现NAT透明穿透的解决方案。?? 　　关键词：IPSec;NAT;IKE;传输模式;隧道模式;UDP封装?? 　　中图分类号：TP393.01 文献标识码：A 文章编号：1672-7800（2011）03-0019-03?お? 　　?? 　　作者简介：徐颂（1979-），男，山东泰安人，硕士，上海贝尔股份有限公司工程师，研究方向为软件开发。 　　 　　0 引言?? 　　基于IP技术的虚拟专用网（Virtual Professional Network，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐 渐成为VPN构建的主流技术。IP安全协议（IP Security Protocol，简称IPSec）是由互联网工程工业组 （Internet Engineering Task Force，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP 协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。?? 　　NAT（Network Address Translation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译 成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面， 它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。?? 　　但是，被广泛使用的网络地址转换（NAT）设备却制约着 基于IPSec技术的VPN的发展，这是因为IPSec协议在VPN中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP地址及传输标志 符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即 对IP地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。?? 　　1 IPSEC和NAT的不兼容性问题?? 　　IPSec技术想要保护IP报文中的端地址，在大多数应用中不能与NAT一起工作。 AH 和ESP这样的技术是要保护IP头的内容（包括源、目的地址）以防止修改。然而，NAT 的基本角色是修改报文IP头中的地址。其不兼容性主要有以下几种形式：?? 　　1.1 NAT对AH的影响?? 　　AH利用消息摘要算法对整个IP包产生一个加密后的散列值。该散列值的作用范围是整个IP包，包括那些不发生变化的IP头，如源IP地址和目的IP地址。接收方利用该散列值认证收到的IP包。如果在发送过程中原始IP包中的任何字段（不包括可变字段，如TTL等）发生变化，都将会导致接收方的认证失败，接收方将据此丢弃该包。AH的目的是为了防止对IP包的未授权的修改、源地址欺骗以及中间人攻击。但NAT将会改变IP包的地址字段的值，从而导致消息完整性认证失效。因此，AH协议与NAT协议之间显然存在兼容性问题。 　　1.2 NAT对ESP的影响?? 　　ESP也采用消息摘要算法做IP包的认证，但与AH不同的是ESP并未把IP源和目的地址字段包含在它的加密消息完整性验证中，因此ESP没有类似的问题，但存在其它新问题。?? 　　IPSec支持两种模式：传输模式和隧道模式。传输模式在主机之间提供端到端的安全性服务；隧道模式在安全网关（如两个防火墙）之间提供安全性服务。当使用ESP传输模式，碰到传输层协议（如TCP、UDP）时，就会出现新的问题。因为NAT重新计算TCP校验和字段，就修改了传输层报文，这将直接导致ESP数据完整性认证的失败；而如果NAT不进行校验和更新，则将导致TCP校验的失败。?? 　　 当然如果传输端点控制在用户手中，则用户可以选择把传输层校验和验证关闭。换句话说，ESP在隧道模式下能够穿越NAT，或者ESP在传输模式下关闭或接收端忽略TCP校验和时也能够穿越NAT。因此，ESP协议只有在不牵涉到传输层协议TCP、UDP协议（如IPSec隧道模式），或者不做传输层验证时，才能畅通无阻地通过NAT。?? 　　需要注意的是：传输模式IPSec数据流是有完整性保护的，并用强认证算法做了认证。因此如果传输中数据完整性遭到