基于NAT-PT的轉(zhuǎn)換網(wǎng)絡(luò)的安全機制的研究.pdf

1、與IPv4相比，IPv6作為下一代互聯(lián)網(wǎng)的基礎(chǔ)協(xié)議，具有很多優(yōu)勢，首先，IPv6解決了IP地址數(shù)量短缺的問題；其次，IPv6對IPv4協(xié)議中諸多不完善之處進行了較大的改進，其中最為顯著的就是將Ipsec集成到協(xié)議內(nèi)部，利用Ipsec實現(xiàn)網(wǎng)絡(luò)層的加密和認證，使Ipsec不再單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個應(yīng)用領(lǐng)域。 IPv6協(xié)議的一個重要設(shè)計目標就是實現(xiàn)與IPv4的兼容。由于IPv6和IPv4共存到完

2、全過渡將是一個逐步實現(xiàn)的長期過程，因此IPv6地址域的節(jié)點不可避免地要和IPv4地址域的節(jié)點實現(xiàn)互相通信，由于兩種協(xié)議報文無論在地址空間還是在報頭格式上都不兼容，因此純IPv4節(jié)點和純IPv6節(jié)點之間必須經(jīng)過網(wǎng)絡(luò)地址和協(xié)議的轉(zhuǎn)換（NAT-PT）才能實現(xiàn)通信。但是經(jīng)研究發(fā)現(xiàn)，基于NAT-PT轉(zhuǎn)換網(wǎng)關(guān)的過渡網(wǎng)絡(luò)體系存在極大的安全漏洞，一個重要的原因就是Ipsec安全機制不能應(yīng)用于基于NAT-PT的過渡網(wǎng)絡(luò)中。因此，為了保障下一代互聯(lián)網(wǎng)過渡期

3、間信息的安全，研究基于NAT-PT過渡網(wǎng)絡(luò)中的安全機制是很現(xiàn)實的，也是非常有必要的。 本文首先詳細分析了IPv6協(xié)議的安全特征，Ipsec安全協(xié)議的特點和實現(xiàn)機理，結(jié)合IPv4/IPv6過渡階段的需求以及存在的安全問題，提出了NAT-PT轉(zhuǎn)換網(wǎng)關(guān)集成Ipsec保障過渡網(wǎng)絡(luò)的安全的設(shè)想。在隨后的分析中，作者提出了實現(xiàn)AH認證是NAT-PT兼容Ipsec最好的解決方式，并指出密鑰交換協(xié)議（IKE）是解決Ipsec集成到NAT-PT轉(zhuǎn)

4、換網(wǎng)關(guān)的關(guān)鍵。本文重新設(shè)計了一個的IKE密鑰交換協(xié)議，還自定義了兩個ISAKMP負載：轉(zhuǎn)換網(wǎng)關(guān)查詢載荷（NATPT-Q）和轉(zhuǎn)換網(wǎng)關(guān)應(yīng)答載荷（NATPT-R）。然后，本文提出了集成Ipsec具有AH認證功能的NAT-PT轉(zhuǎn)換網(wǎng)關(guān)的模型以及在此上的Ipsec入包和Ipsec出包處理算法。論文最后論述了在Linux平臺下Netfilter框架下實現(xiàn)整個模型的流程和各個模塊，并給出了部分實現(xiàn)的數(shù)據(jù)結(jié)構(gòu)和核心代碼。 以下兩個方面是本文論述