IPSec与和NAT兼容性问题的研究201349885615177.docVIP

IPSec与和NAT兼容性问题的研究 1 引言 基于IP技术的虚拟专用网（Virtual Professional Network，简称VPN）是通过Internet平台将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的方法。随着网络安全技术的飞快发展，越来越多大型企业利用互联网采用IPSec技术建立VPN网络，IPSec已逐渐成为VPN构建的主流技术。IP安全协议（IP Security Protocol，简称IPSec）是由互联网工程工业组（Internet Engineering Task Force，简称IETF）1998年底规划并制定的网络IP层标准。IPSec不仅可以为IP协议层以上所有的高层协议和应用提供一致性的安全保护，而且除了可用于IPv4之外，也可用于下一代IP协议IPv6。 另外，NAT（Network Address Translation）技术通过改变进出内部网络的IP数据包的源和目的地址，把无效的内部网络地址翻译成合法的IP地址在Internet上使用。该技术一方面可以把私有IP地址隐藏起来，使外界无法直接访问内部网络，对内部网络起到保护作用；另一方面，它可以缓解由于IPv4先天设计上的不足，而导致的IP地址严重短缺的现状。 但是，被广泛使用的网络地址转换（NAT）设备却制约着基于IPSec技术的VPN的发展，这是因为IPSec 协议在VPN 中承担保护传输数据的安全性任务。在数据传输过程中，任何对IP 地址及传输标志符的修改，都被视作对该协议的违背，并导致数据包不能通过安全检查而被丢弃。但在VPN 中运用NAT技术，则不可避免地要将私网地址映射为公网地址，即对IP 地址要进行修改。因此，在VPN网络中如何使IPSec和NAT协同工作，实现NAT的透明穿透具有现实意义。 2 协议介绍 2.1 IPSec IPSec包括安全协议和密钥管理两部分。其中，AH和ESP是两个安全协议，提供数据源验证、面向无连接的数据完整性、抗重放、数据机密性和有限抗流量分析等安全任务。为了能够将相应的安全服务、算法和密钥应用于需要保护的安全通道，IPSec 规定两个通信实体进行IPSec 通信之前首先构建安全关联SA。SA 规定了通信实体双方所需要的具体安全协议、加密算法、认证算法以及密钥。IKE提供了用来协商、交换和更新SA 以及密钥的完整机制。 IPSec定义了两种类型的封装模式——传输模式和隧道模式。传输模式只对IP分组应用IPSec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPSec虚拟专用网VPN中。隧道模式中IPSec将原有的IP分组封装成带有新的IP报头的IPSec分组，这样原有的IP分组就被有效地隐藏起来了。隧道主要应用于主机到网关的远程接入的情况。 2.2 NAT NAT能解决目前IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址或用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，三种NAT方案各有利弊。 3 IPSec与NAT的不兼容性分析 根据协议的定义，我们知道IPSec 和NAT 两个协议之间存在一定的不兼容性。其不兼容性主要有以下几种形式： 1） NAT对AH的影响 IPSec AH进行验证的时候，处理的是整个IP包，包括源地址和目的地址。如果IPSec通信双方存在NAT设备，NAT设备就会修改外层IP包头的源地址并修改其校验和，这样接收方会因认证失败而丢弃该包。 2） NAT对ESP的影响 TCP/UDP校验和地计算涉及一个虚构的IP包头，该包头含有IP源和目的地址。因此，当NAT设备改变IP地址时也需要更新IP头和TCP/UDP校验和。如果采用ESP传输模式，IP包经过NAT设备时，NAT设备修改了IP包头，但是TCP/UDP校验和由于处于加密负载中而无法被修改。这样，该信包经过IPSec层后将因为TCP协议层的校验和的错误而被丢弃。 另外，由于TCP/UDP校验和只与内层原始IP包头有关