IPSec和NAT协同工作问题的研究与设计

IPSec和NAT协同工作问题的研究与设计

论文摘要

IPSec已经成为一种成熟的信息安全技术,基于IPSec的信息安全产品已经被广泛地用来保护信息传输的安全。NAT是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,它允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。它是一种把内部私有网络地址转换成合法网络IP地址的技术。NAT技术不但是提高IP地址使用效率的好方法,而且NAT技术的另一个很有用的特性是能让多台计算机共用一个IP地址,这样NAT网关可以起到屏蔽内部网络和公用网络的作用,从而增强了系统的安全性。现在人们可以经常在防火墙或者网关、路由器上看到NAT技术的应用,但由于目前IPSec和NAT技术的不兼容,使得这两种优秀的技术无法同时在网络中并存。本文在阐述了IPSec(VPN)和NAT技术原理的基础上,对IPSec和与NAT协同工作问题进行了研究。因为IPSec技术对数据包进行加密和数字签名操作,将IP地址和端口号进行了变形或隐藏;而NAT的功能决定了NAT要读取经过它的数据包的TCP/UDP端口和IP地址并对他们进行修改映射,因此如何让在NAT后面的IPSec产品进行正常的安全通信是一个重要的问题,本文以NAT穿越方案的总体架构为基础,对数据封装格式进行改进和相关协议的功能进行扩充,形成了一套完整的NAT穿越解决方案。本文结合实际需求,在不需要对现有NAT设备进行重新部署的前提下,提出了使用UDP数据封装和IKE修改相结合的方法以完成IPSec和NAT技术的融合。为了使IKE能够支持NAT穿越,必须对原IKE进行功能上的扩充和部分修改。本文分两个阶段对主模式和快速模式进行了修改。对于主模式的修改,给出了Vendor ID负载的处理过程;引入了2次HASH验证,给出了探测通信双方是否存在NAT的算法;一些NAT设备不改变源端口500,即使NAT后面有多个客户机,这些NAT设备通过Cookie值而不是源端口完成与后面多个客户机的映射,这样IKE发现NAT设备的能力就会受到影响,本文给出了NAT端口转换的一种方法。对于快速模式的修改,通过在SA载荷中增加字段的方法来进行数据包(UDP)封装方式的协商;在封装方式协商的过程中,通过使用NAT-OA数据包,使得通信双方即使经过了NAT转换,依然可以进行正确的校验,解决了NAT无法更新上层校验和的问题。

论文目录

  • 摘要
  • ABSTRACT
  • 前言
  • 第一章 IPSec综述
  • 1.1 IPSec协议
  • 1.1.1 安全联结SA
  • 1.1.2 IPSec的两个重要数据库(SPD和SAD)
  • 1.1.3 认证头协议AH
  • 1.1.4 安全封装载荷ESP
  • 1.1.5 AH协议和ESP协议比较
  • 1.1.6 密钥交换协议IKE
  • 1.1.7 加密和认证算法
  • 1.1.8 IPSec的模式
  • 1.2 IPSec运行机制
  • 1.3 IPSec小结
  • 第二章 虚拟专用网VPN
  • 2.1 VPN概念
  • 2.2 VPN的类型与应用方式
  • 2.3 VPN中的安全技术
  • 2.4 实现VPN的隧道技术
  • 第三章 NAT技术介绍
  • 3.1 NAT协议概述
  • 3.1.1 NAT定义
  • 3.1.2 NAT特性
  • 3.1.3 NAT的分类
  • 3.2 NAT的应用现状
  • 3.3 NAT的安全策略
  • 3.3.1 应用NAT技术的安全问题
  • 3.3.2 应用NAT技术的安全策略
  • 第四章 IPSec和NAT不兼容原因和解决办法
  • 4.1 IPSec和NAT不兼容的原因
  • 4.1.1 概述
  • 4.1.2 固有的不兼容性
  • 4.1.3 解决方案之间的不兼容性
  • 4.2 已有的几种解决方法
  • 4.2.1 RSIP方法
  • 4.2.2 "6to4"方法
  • 4.2.3 专用NAT方法
  • 4.2.4 UDP封装方法
  • 4.3 解决方案的研究和设计
  • 4.3.1 UDP封装需要考虑的问题及解决方案
  • 4.3.2 解决方案的设计
  • 4.4 UDP数据包封装方法
  • 4.5 UDP封装穿越NAT方案评价
  • 4.5.1 IPSec和NAT兼容性的评价
  • 4.5.2 UDP封装穿越NAT方案可能产生的安全性问题
  • 第五章 结束语
  • 参考文献
  • 致谢
  • 相关论文文献

    • [1].数据包来回路径不一致造成网络不稳定[J]. 网络安全和信息化 2019(11)
    • [2].航天型号外包产品数据包的研究与实践[J]. 机械制造 2015(10)
    • [3].移动网络优化与加速策略探讨[J]. 电脑迷 2018(11)
    • [4].6LoWPAN中优化多路径路由吞吐率的数据包分片方案[J]. 电子与信息学报 2014(08)
    • [5].多径传输下的数据包重排序性能分析[J]. 信息工程大学学报 2010(06)
    • [6].两种数据包评分方案比较分析[J]. 通信技术 2009(09)
    • [7].网络入侵检测系统中数据包捕获的分析与设计[J]. 计算机与数字工程 2008(08)
    • [8].基于局域网的IP数据包监控软件的实现[J]. 电子技术与软件工程 2019(04)
    • [9].云计算下均衡传输链路数据包快速检索方法[J]. 内蒙古民族大学学报(自然科学版) 2019(05)
    • [10].探讨免费ARP数据包[J]. 网络安全和信息化 2017(08)
    • [11].基于数据包污染的局域网络监听探测[J]. 软件导刊 2014(08)
    • [12].基于数据包的中间人攻击分析[J]. 福建电脑 2013(02)
    • [13].移动无线传感网恶意数据包传播随机模型[J]. 电子与信息学报 2013(06)
    • [14].基于零拷贝数据包捕获机制的研究与改进[J]. 计算机安全 2012(09)
    • [15].一种支持用户快速移动的二层数据包转发策略[J]. 铁道学报 2010(06)
    • [16].在线长视频流的短数据包分类[J]. 电声技术 2020(02)
    • [17].基于数据包分析的网络攻击诊断研究[J]. 网络空间安全 2016(07)
    • [18].一种数据包合并跨层优化编码方案[J]. 电讯技术 2015(03)
    • [19].基于局域网的IP数据包监控软件实现[J]. 数码世界 2018(05)
    • [20].一种新的数据包公平抽样算法[J]. 计算机光盘软件与应用 2014(06)
    • [21].一种新的串行通讯数据包格式设计及实现[J]. 电工技术 2008(07)
    • [22].灵活匹配数据包 强化网络安全控制[J]. 网络安全和信息化 2018(11)
    • [23].伯克利数据包过滤器的探索与研究[J]. 科技创新与应用 2014(33)
    • [24].避免数据包重复采集的分布式流量测量算法[J]. 计算机工程与设计 2015(03)
    • [25].基于C++技术的局域网数据包截取与分析系统的设计与实现[J]. 电脑知识与技术 2013(28)
    • [26].基于数据包丢失和时延的基因调控网络的网络化H_∞滤波[J]. 福州大学学报(自然科学版) 2020(05)
    • [27].一种用于小流估计的数据包公平抽样算法[J]. 电子科技大学学报 2014(04)
    • [28].基于数据包分析的网页还原技术研究[J]. 中国科技信息 2011(16)
    • [29].局域网数据包抓取与分析器的设计[J]. 科技资讯 2011(32)
    • [30].一种不定时延与数据包丢失的统一建模方法[J]. 石河子大学学报(自然科学版) 2009(01)

    标签:;  ;  ;  

    IPSec和NAT协同工作问题的研究与设计
    下载Doc文档

    猜你喜欢