IPSec和NAT協(xié)同工作問題的研究與設計.pdf

1、IPSec已經(jīng)成為一種成熟的信息安全技術，基于。IPSec的信息安全產(chǎn)品已經(jīng)被廣泛地用來保護信息傳輸?shù)陌踩AT是一個IETF(Internet Engineering Task Force，Interact工程任務組)標準，它允許一個整體機構以一個公用IP(Internet Protocol)，地址出現(xiàn)在Intemet上。它是一種把內(nèi)部私有網(wǎng)絡地址轉(zhuǎn)換成合法網(wǎng)絡IP地址的技術。NAT技術不但是提高IP地址使用效率的好方法，而且NAT

2、技術的另一個很有用的特性是能讓多臺計算機共用一個IP地址，這樣NAT網(wǎng)關可以起到屏蔽內(nèi)部網(wǎng)絡和公用網(wǎng)絡的作用，從而增強了系統(tǒng)的安全性。現(xiàn)在人們可以經(jīng)常在防火墻或者網(wǎng)關、路由器上看到NAT技術的應用，但由于目前IPSec和NAT技術的不兼容，使得這兩種優(yōu)秀的技術無法同時在網(wǎng)絡中并存。 本文在闡述了IPSec(VPN)和NAT技術原理的基礎上，對IPSec和與NAT協(xié)同工作問題進行了研究。因為IPSec技術對數(shù)據(jù)包進行加密和數(shù)字簽名

3、操作，將IP地址和端口號進行了變形或隱藏；而NAT的功能決定了NAT要讀取經(jīng)過它的數(shù)據(jù)包的TCP/UDP端口和IP地址并對他們進行修改映射，因此如何讓在NAT后面的IPSec產(chǎn)品進行正常的安全通信是一個重要的問題，本文以NAT穿越方案的總體架構為基礎，對數(shù)據(jù)封裝格式進行改進和相關協(xié)議的功能進行擴充，形成了一套完整的NAT穿越解決方案。 本文結合實際需求，在不需要對現(xiàn)有NAT設備進行重新部署的前提下，提出了使用UDP數(shù)據(jù)封裝和IK

4、E修改相結合的方法以完成IPSec和NAT技術的融合。為了使IKE能夠支持NAT穿越，必須對原IKE進行功能上的擴充和部分修改。本文分兩個階段對主模式和快速模式進行了修改。對于主模式的修改，給出了Vendor ID負載的處理過程；引入了2次HASH驗證，給出了探測通信雙方是否存在NAT的算法；一些NAT設備不改變源端口500，即使NAT后面有多個客戶機，這些NAT設備通過Cookie值而不是源端口完成與后面多個客戶機的映射，這樣IKE發(fā)