论文部分内容阅读
摘要:本文首先分别介绍了IPSEC和NAT-PT的基本原理和工作方式,然后,作者试图说明两者同时使用会出现的矛盾,提出了一种新的改进策略。多层安全机制的协议改进策略是针对翻译机制的安全问题提出的一种改进策略,该策略中包含IPSEC机制和SSL/TLS安全机制。
关键词:IPSEC;NAT-PT;SSL/TLS安全机制
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)11-20227-01
1 引言
随着Intenet的快速发展,自从20世纪70年代后就被广为使用的IPv4协议暴露出了越来越多的问题,例如地址短缺和缺乏安全性等。为了彻底解决IPv4存在的问题,IETF(InternetEngineer TaskForce)提出和设计了下一代网络协议,即IPv6。在IPv4向IPv6过渡的时期,采用NAT-PT翻译过渡机制,会产生NAT-PT网关设备对IPSec协议数据包转换失败的问题。因此,为实现IPv4向IPv6的平稳过渡,解决过渡时期的安全问题是过渡阶段待解决的首要问题。本文详细的分析了现有的IPSec协议,对IPv4向IPv6过渡阶段的NAP-PT进行了深入的探讨,然后,作者试图说明两者同时使用会出现的矛盾,提出了一种新的改进策略。
2 IPSEC(因特网网络安全)
IPSEC是IETF(因特网工程任务组)于1998年11月公布的IP安全标准。其目标是为IPv4和IPv6提供具有较强互操作能力的、基于密码的高质量的安全。IPSEC是一个能在Internet上保证通道安全的开放标准,它在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必单独设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。对于这些特征的支持,IPv6是强制性的,IPv4为可选的。在这两种情况下,安全特征作为扩展报头实现,它跟在主IP报头后面。身份验证的扩展报头称作AH(鉴定报头),加密报头称ESP(封装安全载荷)。
IPSEC有两种模式——传送模式(Transport Mode)和隧道模式(Tunnel Mode)。传送模式只对IP分组应用IPSEC协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPSEC虚拟专用网VPN中。隧道模式中IPSEC将原有的IP分组封装成带有新的IP报头的IPSEC分组,这样原有的IP分组就被有效地隐藏起来了。隧道模式主要应用于两个安全网关,两个防火墙,或者一个移动主机与远程接入服务器之间以及主机到网关的远程接入时的情况。
IPSEC协议中有两点是我们所关心的:鉴定报头AH(Authentication Header)和封装安全载荷ESP(Encapsulation Security Payload)。
鉴定报头AH可与很多各不相同的算法一起工作。AH应用得不多,它主要的功能是校验源地址和目的地址这些标明发送设备的字段,看它们是否在路由过程中被改变过。如果校验结果没通过,分组就会被抛弃。通过这种方式,AH为数据的完整性和原始性提供了可靠的鉴定方法。
封装安全载荷(ESP)信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意破坏,可靠性保证使用密码技术的安全。对IPv4和IPv6,ESP信头都列在其它IP信头后面。注意两种可选择的IP信头:段到段信头在每个段被路由器等立即系统处理,而终端信头只被接收端处理。ESP编码只有在不被任何IP信头干扰的情况下才能正确发送数据包。ESP协议非常灵活,可以在两种加密算法下工作。
3 NAT-PT(网络地址协议转换)
NAT-PT(网络地址转换一协议转换)包括两个组成部分:网络地址转换协议和协议转换。其中地址转化是指通过使用NAT网关将一种IP网络的地址转换为另一种lP网络的地址,它允许内部网络使用一组在公网中从不使用的保留地址。在使用这项技术是可以将将IPv6网视为一个独立而封闭的局域网,它需要使用一个地址翻译器进行地址翻译。当内网的主机向外发送数据包时,将内部的IP地址转换为外部的公网地址,当数据包从外部网络回复数据包时,再将公网地址转换为内部网络的地址。
协议转换是指根据IPv6和IPv4之间的差异对数据包的首部做相应的修改以符合对方网络的格式要求,并且由于网络层协议的改变要对上层的TCP、UDP、ICMP等数据包做相应的修改。将网络地址转换机制与协议转换机制相结合而产生的NAT-PT可以通过对协议、地址的转换实现IPv6和IPv4之间的相互通信。
4 存在的问题
NAT-PT翻译机制的安全问题主要表现为NAT-PT网关设备对IPSec协议数据包转换失败,其根本原因在于IP安全体系结构与NAT技术不兼容。IPSec协议的设计目标是保证数据传输安全,因此对数据包进行了最大程度的信息隐藏以防止信息泄漏,当外界包经过NAT-PT网关时,NAT-PT网关改变了接收包的IP地址域和TCP端口号,因为AH头的完整性鉴定过程把IP头和TCP端口号作为固定值,无论什么原因,接收端认为修改是不合法的。
负责机密性的ESP同样也存在这样的问题,带有ESP机制的TCP、UDP校验和的计算涉及一个虚构的IP包头,该包头含有IP源和目的地址。因此,当NAT-PT设备改变IP地址时也需要更新IP头和TCP、UDP校验和。如果采用ESP传输模式,IP包经过NAT-PT设备时,NAT-PT设备修改了IP包头,但TCP、UDP校验和由于处于加密负载中而无法被修改。这样,该信包经过IPSec层后将因为TCP协议层的校验和错误而被丢弃。
5 问题的解决
多层安全机制的协议改进策略是针对翻译机制的安全问题提出的一种改进策略,该策略中包含IPSec机制和SSL/TLS安全机制。在这个改进策略中,传输层使用SSL/TLS安全机制,用于保护用户数据,而IPSec用于保护包头。经NAT-PT网关修改的IP地址允许IPSec加密头访问它,用户数据是由传输层安全机制进行安全保证。这样,既可以保证了应用IPSee安全机制,又可以保证用户数据的安全传输。
来自应用层的数据分割成固定长度的数据块并压缩。通过校验运算得到SSL/TLS的校验值,在加密校验值之后,用户数据和附加的SSL/TLS包头将被传到底层协议栈,然后,在传输层和网络层分别加上TCP包头和IP包头,处理好的IP数据包将通过IPSee层,ESP安全服务的范围是传输层的数据和ESP尾。如果只是应用原始的安全范围,用户数据将被双重的加密或者解密。这个重复的过程降低了完成的效率,为了缩短数据包处理的时间,ESP安全服务中不包括用户数据字段,使用新增的一个字段来记录ESP加密字段的长度。NAT-PT网关对IP包头和TCP包头作相应的修改,不包括对应用层数据进行修改。
6 结束语
本文通过对IPSEC安全协议以及NAT-PT过渡阶段的过渡策略的研究,分析了IPv4向IPv6过渡阶段所存在的安全隐患,并针对NAT-PT过渡机制提出了改进策略,较好地实现了IPSEC和NAT-PT的结合。
参考文献:
[1] 蔡华. 基于NAT-PT的转换网络的安全机制的研究[D]. 重庆大学硕士学位论文.
[2] 张涛. IPv6若干安全问题研究[D]. 中国科学院研究生院硕士学位论文.
[3] 陈坚,王闽. IPSec安全策略及实现[J]. 情报探索.
关键词:IPSEC;NAT-PT;SSL/TLS安全机制
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)11-20227-01
1 引言
随着Intenet的快速发展,自从20世纪70年代后就被广为使用的IPv4协议暴露出了越来越多的问题,例如地址短缺和缺乏安全性等。为了彻底解决IPv4存在的问题,IETF(InternetEngineer TaskForce)提出和设计了下一代网络协议,即IPv6。在IPv4向IPv6过渡的时期,采用NAT-PT翻译过渡机制,会产生NAT-PT网关设备对IPSec协议数据包转换失败的问题。因此,为实现IPv4向IPv6的平稳过渡,解决过渡时期的安全问题是过渡阶段待解决的首要问题。本文详细的分析了现有的IPSec协议,对IPv4向IPv6过渡阶段的NAP-PT进行了深入的探讨,然后,作者试图说明两者同时使用会出现的矛盾,提出了一种新的改进策略。
2 IPSEC(因特网网络安全)
IPSEC是IETF(因特网工程任务组)于1998年11月公布的IP安全标准。其目标是为IPv4和IPv6提供具有较强互操作能力的、基于密码的高质量的安全。IPSEC是一个能在Internet上保证通道安全的开放标准,它在IP层上对数据包进行高强度的安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必单独设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。对于这些特征的支持,IPv6是强制性的,IPv4为可选的。在这两种情况下,安全特征作为扩展报头实现,它跟在主IP报头后面。身份验证的扩展报头称作AH(鉴定报头),加密报头称ESP(封装安全载荷)。
IPSEC有两种模式——传送模式(Transport Mode)和隧道模式(Tunnel Mode)。传送模式只对IP分组应用IPSEC协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPSEC虚拟专用网VPN中。隧道模式中IPSEC将原有的IP分组封装成带有新的IP报头的IPSEC分组,这样原有的IP分组就被有效地隐藏起来了。隧道模式主要应用于两个安全网关,两个防火墙,或者一个移动主机与远程接入服务器之间以及主机到网关的远程接入时的情况。
IPSEC协议中有两点是我们所关心的:鉴定报头AH(Authentication Header)和封装安全载荷ESP(Encapsulation Security Payload)。
鉴定报头AH可与很多各不相同的算法一起工作。AH应用得不多,它主要的功能是校验源地址和目的地址这些标明发送设备的字段,看它们是否在路由过程中被改变过。如果校验结果没通过,分组就会被抛弃。通过这种方式,AH为数据的完整性和原始性提供了可靠的鉴定方法。
封装安全载荷(ESP)信头提供集成功能和IP数据的可靠性。集成保证了数据没有被恶意破坏,可靠性保证使用密码技术的安全。对IPv4和IPv6,ESP信头都列在其它IP信头后面。注意两种可选择的IP信头:段到段信头在每个段被路由器等立即系统处理,而终端信头只被接收端处理。ESP编码只有在不被任何IP信头干扰的情况下才能正确发送数据包。ESP协议非常灵活,可以在两种加密算法下工作。
3 NAT-PT(网络地址协议转换)
NAT-PT(网络地址转换一协议转换)包括两个组成部分:网络地址转换协议和协议转换。其中地址转化是指通过使用NAT网关将一种IP网络的地址转换为另一种lP网络的地址,它允许内部网络使用一组在公网中从不使用的保留地址。在使用这项技术是可以将将IPv6网视为一个独立而封闭的局域网,它需要使用一个地址翻译器进行地址翻译。当内网的主机向外发送数据包时,将内部的IP地址转换为外部的公网地址,当数据包从外部网络回复数据包时,再将公网地址转换为内部网络的地址。
协议转换是指根据IPv6和IPv4之间的差异对数据包的首部做相应的修改以符合对方网络的格式要求,并且由于网络层协议的改变要对上层的TCP、UDP、ICMP等数据包做相应的修改。将网络地址转换机制与协议转换机制相结合而产生的NAT-PT可以通过对协议、地址的转换实现IPv6和IPv4之间的相互通信。
4 存在的问题
NAT-PT翻译机制的安全问题主要表现为NAT-PT网关设备对IPSec协议数据包转换失败,其根本原因在于IP安全体系结构与NAT技术不兼容。IPSec协议的设计目标是保证数据传输安全,因此对数据包进行了最大程度的信息隐藏以防止信息泄漏,当外界包经过NAT-PT网关时,NAT-PT网关改变了接收包的IP地址域和TCP端口号,因为AH头的完整性鉴定过程把IP头和TCP端口号作为固定值,无论什么原因,接收端认为修改是不合法的。
负责机密性的ESP同样也存在这样的问题,带有ESP机制的TCP、UDP校验和的计算涉及一个虚构的IP包头,该包头含有IP源和目的地址。因此,当NAT-PT设备改变IP地址时也需要更新IP头和TCP、UDP校验和。如果采用ESP传输模式,IP包经过NAT-PT设备时,NAT-PT设备修改了IP包头,但TCP、UDP校验和由于处于加密负载中而无法被修改。这样,该信包经过IPSec层后将因为TCP协议层的校验和错误而被丢弃。
5 问题的解决
多层安全机制的协议改进策略是针对翻译机制的安全问题提出的一种改进策略,该策略中包含IPSec机制和SSL/TLS安全机制。在这个改进策略中,传输层使用SSL/TLS安全机制,用于保护用户数据,而IPSec用于保护包头。经NAT-PT网关修改的IP地址允许IPSec加密头访问它,用户数据是由传输层安全机制进行安全保证。这样,既可以保证了应用IPSee安全机制,又可以保证用户数据的安全传输。
来自应用层的数据分割成固定长度的数据块并压缩。通过校验运算得到SSL/TLS的校验值,在加密校验值之后,用户数据和附加的SSL/TLS包头将被传到底层协议栈,然后,在传输层和网络层分别加上TCP包头和IP包头,处理好的IP数据包将通过IPSee层,ESP安全服务的范围是传输层的数据和ESP尾。如果只是应用原始的安全范围,用户数据将被双重的加密或者解密。这个重复的过程降低了完成的效率,为了缩短数据包处理的时间,ESP安全服务中不包括用户数据字段,使用新增的一个字段来记录ESP加密字段的长度。NAT-PT网关对IP包头和TCP包头作相应的修改,不包括对应用层数据进行修改。
6 结束语
本文通过对IPSEC安全协议以及NAT-PT过渡阶段的过渡策略的研究,分析了IPv4向IPv6过渡阶段所存在的安全隐患,并针对NAT-PT过渡机制提出了改进策略,较好地实现了IPSEC和NAT-PT的结合。
参考文献:
[1] 蔡华. 基于NAT-PT的转换网络的安全机制的研究[D]. 重庆大学硕士学位论文.
[2] 张涛. IPv6若干安全问题研究[D]. 中国科学院研究生院硕士学位论文.
[3] 陈坚,王闽. IPSec安全策略及实现[J]. 情报探索.