基于NAT-PT的轉換網絡的安全機制的研究.pdf

1、與IPv4相比，IPv6作為下一代互聯網的基礎協(xié)議，具有很多優(yōu)勢，首先，IPv6解決了IP地址數量短缺的問題；其次，IPv6對IPv4協(xié)議中諸多不完善之處進行了較大的改進，其中最為顯著的就是將Ipsec集成到協(xié)議內部，利用Ipsec實現網絡層的加密和認證，使Ipsec不再單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個應用領域。 IPv6協(xié)議的一個重要設計目標就是實現與IPv4的兼容。由于IPv6和IPv4共存到完

2、全過渡將是一個逐步實現的長期過程，因此IPv6地址域的節(jié)點不可避免地要和IPv4地址域的節(jié)點實現互相通信，由于兩種協(xié)議報文無論在地址空間還是在報頭格式上都不兼容，因此純IPv4節(jié)點和純IPv6節(jié)點之間必須經過網絡地址和協(xié)議的轉換（NAT-PT）才能實現通信。但是經研究發(fā)現，基于NAT-PT轉換網關的過渡網絡體系存在極大的安全漏洞，一個重要的原因就是Ipsec安全機制不能應用于基于NAT-PT的過渡網絡中。因此，為了保障下一代互聯網過渡期

3、間信息的安全，研究基于NAT-PT過渡網絡中的安全機制是很現實的，也是非常有必要的。 本文首先詳細分析了IPv6協(xié)議的安全特征，Ipsec安全協(xié)議的特點和實現機理，結合IPv4/IPv6過渡階段的需求以及存在的安全問題，提出了NAT-PT轉換網關集成Ipsec保障過渡網絡的安全的設想。在隨后的分析中，作者提出了實現AH認證是NAT-PT兼容Ipsec最好的解決方式，并指出密鑰交換協(xié)議（IKE）是解決Ipsec集成到NAT-PT轉

4、換網關的關鍵。本文重新設計了一個的IKE密鑰交換協(xié)議，還自定義了兩個ISAKMP負載：轉換網關查詢載荷（NATPT-Q）和轉換網關應答載荷（NATPT-R）。然后，本文提出了集成Ipsec具有AH認證功能的NAT-PT轉換網關的模型以及在此上的Ipsec入包和Ipsec出包處理算法。論文最后論述了在Linux平臺下Netfilter框架下實現整個模型的流程和各個模塊，并給出了部分實現的數據結構和核心代碼。 以下兩個方面是本文論述