本站联系方式
   联系QQ  :1095080675
   联系QQ  :1223950575
  技术指导:1353934434
  
  电子邮箱:1095080675@qq.com
标题  基于中间件的NAT与IPSEC兼容性问题的研究
编号  22101
资料明细  学术论文
推荐指数  ★★★★★
论文内容

1 前言:
目前,地址转换NAT与网络安全协议IPSEC已得到广泛的应用。随着越来越多的用户使用网络,以 及 IPV4 在设计上的局限性,引发了网络地址不足的危机, NAT 有效解决了 IP 地址紧缺的问题。 NAT 技术的广泛采用,与当今主流网络安全协议 IPSEC却产生了冲突, IPSEC 旨在网络层为 IP 分组提供 安 全服务。由于 NAT 和 IPSEC 两个协议本身架构的 原因与缺少同时支持两者的设备, IPSEC与NAT协同工作时就出现了一些问题。
目前对 IPSEC 与 NAT 不兼容问题的解决方法主 要有两种:
一种是用 RSIP 代替 NAT ;另一种是 UDP封装的方法。但现有的研究成果还都存在一定的局 限性。例如, RSIP 协议的实现要求修改所有的终端系统以在终端完成地址转换,即要求 NAT 设备和主 机都进行修改,降低了该方法的可行性; UDP 封 装方案虽然具有更高的可行性,但仍然存在一定的局限性。
本文通过对 NAT 与 IPSEC 协议不兼容问题的分析,结合 UDP 封装的思想和地址通告技术,提出了 基于中间件的 NAT 与 IPSEC 协同工作的解决方案。本方案在不消减 IPSEC 安全性的基础上,实现了 IPSEC 数据流传输路径中的 NAT 穿越,支持 NAT的各种转换方式,且实现简单,快速。
2 IPSEC与NAT协议的原理
IPSEC 工作在网络层,目的是在网络层为 IP 分 组提供安全服务,这些服务包括访问控制、数据完整 性、身份验证、防止重放和数据机密性。 IPSEC 是一个协议簇,包含三个重要的协议: AH 、 ESP和IKE 。 AH 和 ESP 两种安全协议为通信双方提供安全保护;IKE 密钥管理通过两阶段信息交换,定义了通信实 体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。
IPSEC 对传输数据的保护通过安全协议的两种操作模式来实现:传输模式和隧道模式。也就是 AH 和 ESP 分别有两种操作模式。传输模式只对 IP 分 组应用 IPSEC 协议,对 IP 头不进行任何修改,通常 应 用于主机对主机的 IPSEC 虚拟专用网 VPN 中。隧 道模式中将原有的 IP 分组封装成带有新的 IP 报头的 IPSEC 分组,这样原有的 IP 分组就被隐藏起来, 它主要应用于主机到网关的远程接入的情况。
NAT 的功能是把内网 IP 地址转换为合法 IP 地址 ,实现内网用户访问互联网资源的目的。 NAT 技术是 一种解决当前 IP 地址紧缺,而 IPV6 在近几年又不能被应用的有效措施。
NAT 分三种类型:静态 NAT ,动态地址 NAT 和网络地址端口转换 NAPT 。静态 NAT 是在内网用 户 经过 NAT 时,内网 IP 地址到合法 IP 地址的转换是固定的,内网中的每一个主机都被永久映射成外部 网络中某个合法的 IP 地址。动态地址 NAT 是在外部网络定义一系列合法的 IP 地址,采用动态分配 的 方法映射到内网中的主机。 NAPT 则是把内网主机的 IP 地址映射到外部网络的一个 IP 地址的不同端口上。
3 IPSEC IPSEC IPSEC 和 NAT NAT NAT 不能协同工作的问题分析:
AH 的作用是为 IP 数据流提供高强度的密码认证,确保数据报在传输过程中没有被修改。无论在传输 模式还是在隧道模式下, AH 都是对整个 IP 数据报进行验证,包括 IP 数据包报头的源 IP 地址与目的 IP 地址。而 NAT 设备在内网主机联入 Internet 时,会把私有地址转化为合法 IP 地址,同样在 Internet 的数据进入内网主机时 , 目的 IP 地址也会进行相应的改变。显然, IPSEC 和 AH 相互矛盾,不能协同工作。

说明
 以上是论文部分内容。如果对以上内容感兴趣,可以QQ:1095080675或邮件1095080675@qq.com继续联系我们。
  • 上一篇:SVDD在类别不平衡学习中的应用研究
  • 下一篇:基于相关系数的加权朴素贝叶斯分类算法