与IPv4 相比,IPv6 作为下一代互联网的基础协议,具有很多优势,首先,IPv6解决了IP 地址数量短缺的问题;其次,IPv6 对IPv4 协议中诸多不完善之处进行了较大的改进,其中最为显著的就是将IPsec 集成到协议内部,利用IPsec 实现网络层的加密和认证,使IPsec 不再单独存在,而是作为IPv6 协议固有的一部分贯穿于IPv6 的各个应用领域。IPv6 协议的一个重要设计目标就是实现与IPv4 的兼容。由于IPv6 和IPv4 共存到完全过渡将是一个逐步实现的长期过程,因此IPv6 地址域的节点不可避免地要和IPv4 地址域的节点实现互相通信,由于两种协议报文无论在地址空间还是在报头格式上都不兼容,因此纯IPv4 节点和纯IPv6 节点之间必须经过网络地址和协议的转换(NAT-PT)才能实现通信。但是经研究发现,基于NAT-PT 转换网关的过渡网络体系存在极大的安全漏洞,一个重要的原因就是IPsec 安全机制不能应用于基于NAT-PT 的过渡网络中。因此,为了保障下一代互联网过渡期间信息的安全,研究基于NAT-PT 过渡网络中的安全机制是很现实的,也是非常有必要的。本文首先详细分析了IPv6 协议的安全特征,IPsec 安全协议的特点和实现机理,结合IPv4/IPv6 过渡阶段的需求以及存在的安全问题,提出了NAT-PT 转换网关集成IPsec 保障过渡网络的安全的设想。在随后的分析中,作者提出了实现AH认证是NAT-PT 兼容Ipsec 最好的解决方式,并指出密钥交换协议(IKE)是解决IPsec 集成到NAT-PT 转换网关的关键。本文重新设计了一个的IKE 密钥交换协议,还自定义了两个ISAKMP 负载:转换网关查询载荷(NATPT-Q)和转换网关应答载荷(NATPT-R)。然后,本文提出了集成IPsec 具有AH 认证功能的NAT-PT 转换网关的模型以及在此上的IPsec 入包和IPsec 出包处理算法。论文最后论述了在Linux 平台下Netfilter 框架下实现整个模型的流程和各个模块,并给出了部分实现的数据结构和核心代码。以下两个方面是本文论述的重点:第一,重新设计的IKE 密钥交换协议以及它所交换的两个新负载;第二,集成IPsec 具有AH 认证能力的转换网关的模型。