VPN架構(gòu)下基于IPSec協(xié)議的NAT-T研究與改進(jìn).pdf

1、近幾年,隨著IPSec技術(shù)與NAT技術(shù)應(yīng)用越來(lái)越廣泛,同時(shí)兩者之間的矛盾越來(lái)越突出,IPSec技術(shù)與NAT技術(shù)結(jié)合使用即可以提高內(nèi)網(wǎng)與外網(wǎng)數(shù)據(jù)通信安全性,又可以解決IPv4資源耗費(fèi)和代價(jià)較高的問(wèn)題。但是這兩種技術(shù)在各自的架構(gòu)上,傳輸原理上,協(xié)議運(yùn)行機(jī)制上等方面在兼容性上有著先天的不足。
　　本文充分收集國(guó)內(nèi)、國(guó)外對(duì)IPSec和NAT兼容性研究的理論及實(shí)踐文獻(xiàn),深入了解IPSec技術(shù)與NAT技術(shù),研究了IPSec技術(shù)與NAT技術(shù)共同

2、工作的方案和NAT-T機(jī)制,并針對(duì)NAT-T過(guò)程提出了改進(jìn)。
　　1、研究了本課題的相關(guān)技術(shù),VPN技術(shù)應(yīng)用、IPSec安全體系、NAT工作機(jī)制。結(jié)合復(fù)雜工作流程分析了NAT和IPSec/IKE產(chǎn)生不兼容的方面及已有的解決方法。同時(shí)指出了這幾種方法各自的優(yōu)勢(shì)和劣勢(shì)。
　　2、重點(diǎn)分析了 IKE協(xié)商機(jī)制的第一階段和第二階段。在此基礎(chǔ)之上提出了針對(duì)NAT-D載荷二次散列計(jì)算,保證IKE協(xié)議數(shù)據(jù)的完整性,對(duì)防止旁路監(jiān)聽(tīng)、網(wǎng)絡(luò)數(shù)據(jù)截

3、取篡改起到了一定的作用。
　　3、采用基于信任第三方改進(jìn)NAT-T穿越?，F(xiàn)有UDP封裝實(shí)現(xiàn)IPSec和NAT兼容方案的不僅必須使用ESP封裝格式,還必須限定首先發(fā)起IKE協(xié)商的主機(jī),首先發(fā)起IKE協(xié)商的主機(jī)必須位于NAT設(shè)備后面的內(nèi)網(wǎng)(私有網(wǎng)絡(luò))中。根本原因在于該機(jī)制是實(shí)際應(yīng)用在的單向NAT-T穿越,即“IPSec—NAT—公網(wǎng)—IPSec”模式。本論文提出基于信任第三方改進(jìn)NAT-T穿越,實(shí)現(xiàn)了“結(jié)點(diǎn)—IPSec—NAT—公網(wǎng)—