VPN架構下基于IPSec協(xié)議的NAT-T研究與改進.pdf

1、近幾年,隨著IPSec技術與NAT技術應用越來越廣泛,同時兩者之間的矛盾越來越突出,IPSec技術與NAT技術結合使用即可以提高內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)通信安全性,又可以解決IPv4資源耗費和代價較高的問題。但是這兩種技術在各自的架構上,傳輸原理上,協(xié)議運行機制上等方面在兼容性上有著先天的不足。
　　本文充分收集國內(nèi)、國外對IPSec和NAT兼容性研究的理論及實踐文獻,深入了解IPSec技術與NAT技術,研究了IPSec技術與NAT技術共同

2、工作的方案和NAT-T機制,并針對NAT-T過程提出了改進。
　　1、研究了本課題的相關技術,VPN技術應用、IPSec安全體系、NAT工作機制。結合復雜工作流程分析了NAT和IPSec/IKE產(chǎn)生不兼容的方面及已有的解決方法。同時指出了這幾種方法各自的優(yōu)勢和劣勢。
　　2、重點分析了 IKE協(xié)商機制的第一階段和第二階段。在此基礎之上提出了針對NAT-D載荷二次散列計算,保證IKE協(xié)議數(shù)據(jù)的完整性,對防止旁路監(jiān)聽、網(wǎng)絡數(shù)據(jù)截

3、取篡改起到了一定的作用。
　　3、采用基于信任第三方改進NAT-T穿越?，F(xiàn)有UDP封裝實現(xiàn)IPSec和NAT兼容方案的不僅必須使用ESP封裝格式,還必須限定首先發(fā)起IKE協(xié)商的主機,首先發(fā)起IKE協(xié)商的主機必須位于NAT設備后面的內(nèi)網(wǎng)(私有網(wǎng)絡)中。根本原因在于該機制是實際應用在的單向NAT-T穿越,即“IPSec—NAT—公網(wǎng)—IPSec”模式。本論文提出基于信任第三方改進NAT-T穿越,實現(xiàn)了“結點—IPSec—NAT—公網(wǎng)—