ＮＡＰ－ＰＴ協(xié)議轉(zhuǎn)換的安全問題的思考

摘要：本文首先分別介紹了IPSEC和NAT-PT的基本原理和工作方式，然后，作者試圖說明兩者同時使用會出現(xiàn)的矛盾，提出了一種新的改進(jìn)策略。多層安全機(jī)制的協(xié)議改進(jìn)策略是針對翻譯機(jī)制的安全問題提出的一種改進(jìn)策略，該策略中包含IPSEC機(jī)制和SSL/TLS安全機(jī)制。

關(guān)鍵詞：IPSEC；NAT-PT；SSL/TLS安全機(jī)制

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)11-20227-01

1 引言

隨著Intenet的快速發(fā)展，自從20世紀(jì)70年代后就被廣為使用的IPv4協(xié)議暴露出了越來越多的問題，例如地址短缺和缺乏安全性等。為了徹底解決IPv4存在的問題，IETF(InternetEngineer TaskForce)提出和設(shè)計了下一代網(wǎng)絡(luò)協(xié)議，即IPv6。在IPv4向IPv6過渡的時期，采用NAT-PT翻譯過渡機(jī)制，會產(chǎn)生NAT-PT網(wǎng)關(guān)設(shè)備對IPSec協(xié)議數(shù)據(jù)包轉(zhuǎn)換失敗的問題。因此，為實現(xiàn)IPv4向IPv6的平穩(wěn)過渡，解決過渡時期的安全問題是過渡階段待解決的首要問題。本文詳細(xì)的分析了現(xiàn)有的IPSec協(xié)議，對IPv4向IPv6過渡階段的NAP-PT進(jìn)行了深入的探討，然后，作者試圖說明兩者同時使用會出現(xiàn)的矛盾，提出了一種新的改進(jìn)策略。

2 IPSEC（因特網(wǎng)網(wǎng)絡(luò)安全）

IPSEC是IETF（因特網(wǎng)工程任務(wù)組）于1998年11月公布的IP安全標(biāo)準(zhǔn)。其目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)互操作能力的、基于密碼的高質(zhì)量的安全。IPSEC是一個能在Internet上保證通道安全的開放標(biāo)準(zhǔn)，它在IP層上對數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源地驗證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用IP層提供的安全服務(wù)和密鑰管理，而不必單獨設(shè)計和實現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。對于這些特征的支持，IPv6是強(qiáng)制性的，IPv4為可選的。在這兩種情況下，安全特征作為擴(kuò)展報頭實現(xiàn)，它跟在主IP報頭后面。身份驗證的擴(kuò)展報頭稱作AH（鑒定報頭），加密報頭稱ESP（封裝安全載荷）。

IPSEC有兩種模式——傳送模式（Transport Mode）和隧道模式（Tunnel Mode）。傳送模式只對IP分組應(yīng)用IPSEC協(xié)議，對IP報頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對主機(jī)的IPSEC虛擬專用網(wǎng)VPN中。隧道模式中IPSEC將原有的IP分組封裝成帶有新的IP報頭的IPSEC分組，這樣原有的IP分組就被有效地隱藏起來了。隧道模式主要應(yīng)用于兩個安全網(wǎng)關(guān)，兩個防火墻，或者一個移動主機(jī)與遠(yuǎn)程接入服務(wù)器之間以及主機(jī)到網(wǎng)關(guān)的遠(yuǎn)程接入時的情況。

IPSEC協(xié)議中有兩點是我們所關(guān)心的：鑒定報頭AH（Authentication Header）和封裝安全載荷ESP（Encapsulation Security Payload）。

鑒定報頭AH可與很多各不相同的算法一起工作。AH應(yīng)用得不多，它主要的功能是校驗源地址和目的地址這些標(biāo)明發(fā)送設(shè)備的字段，看它們是否在路由過程中被改變過。如果校驗結(jié)果沒通過，分組就會被拋棄。通過這種方式，AH為數(shù)據(jù)的完整性和原始性提供了可靠的鑒定方法。

封裝安全載荷（ESP）信頭提供集成功能和IP數(shù)據(jù)的可靠性。集成保證了數(shù)據(jù)沒有被惡意破壞，可靠性保證使用密碼技術(shù)的安全。對IPv4和IPv6，ESP信頭都列在其它IP信頭后面。注意兩種可選擇的IP信頭：段到段信頭在每個段被路由器等立即系統(tǒng)處理，而終端信頭只被接收端處理。ESP編碼只有在不被任何IP信頭干擾的情況下才能正確發(fā)送數(shù)據(jù)包。ESP協(xié)議非常靈活，可以在兩種加密算法下工作。

3 NAT-PT（網(wǎng)絡(luò)地址協(xié)議轉(zhuǎn)換）

NAT-PT（網(wǎng)絡(luò)地址轉(zhuǎn)換一協(xié)議轉(zhuǎn)換）包括兩個組成部分：網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議和協(xié)議轉(zhuǎn)換。其中地址轉(zhuǎn)化是指通過使用NAT網(wǎng)關(guān)將一種IP網(wǎng)絡(luò)的地址轉(zhuǎn)換為另一種lP網(wǎng)絡(luò)的地址，它允許內(nèi)部網(wǎng)絡(luò)使用一組在公網(wǎng)中從不使用的保留地址。在使用這項技術(shù)是可以將將IPv6網(wǎng)視為一個獨立而封閉的局域網(wǎng)，它需要使用一個地址翻譯器進(jìn)行地址翻譯。當(dāng)內(nèi)網(wǎng)的主機(jī)向外發(fā)送數(shù)據(jù)包時，將內(nèi)部的IP地址轉(zhuǎn)換為外部的公網(wǎng)地址，當(dāng)數(shù)據(jù)包從外部網(wǎng)絡(luò)回復(fù)數(shù)據(jù)包時，再將公網(wǎng)地址轉(zhuǎn)換為內(nèi)部網(wǎng)絡(luò)的地址。

協(xié)議轉(zhuǎn)換是指根據(jù)IPv6和IPv4之間的差異對數(shù)據(jù)包的首部做相應(yīng)的修改以符合對方網(wǎng)絡(luò)的格式要求，并且由于網(wǎng)絡(luò)層協(xié)議的改變要對上層的TCP、UDP、ICMP等數(shù)據(jù)包做相應(yīng)的修改。將網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制與協(xié)議轉(zhuǎn)換機(jī)制相結(jié)合而產(chǎn)生的NAT-PT可以通過對協(xié)議、地址的轉(zhuǎn)換實現(xiàn)IPv6和IPv4之間的相互通信。

4 存在的問題

NAT-PT翻譯機(jī)制的安全問題主要表現(xiàn)為NAT-PT網(wǎng)關(guān)設(shè)備對IPSec協(xié)議數(shù)據(jù)包轉(zhuǎn)換失敗，其根本原因在于IP安全體系結(jié)構(gòu)與NAT技術(shù)不兼容。IPSec協(xié)議的設(shè)計目標(biāo)是保證數(shù)據(jù)傳輸安全，因此對數(shù)據(jù)包進(jìn)行了最大程度的信息隱藏以防止信息泄漏，當(dāng)外界包經(jīng)過NAT-PT網(wǎng)關(guān)時，NAT-PT網(wǎng)關(guān)改變了接收包的IP地址域和TCP端口號，因為AH頭的完整性鑒定過程把IP頭和TCP端口號作為固定值，無論什么原因，接收端認(rèn)為修改是不合法的。

負(fù)責(zé)機(jī)密性的ESP同樣也存在這樣的問題，帶有ESP機(jī)制的TCP、UDP校驗和的計算涉及一個虛構(gòu)的IP包頭，該包頭含有IP源和目的地址。因此，當(dāng)NAT-PT設(shè)備改變IP地址時也需要更新IP頭和TCP、UDP校驗和。如果采用ESP傳輸模式，IP包經(jīng)過NAT-PT設(shè)備時，NAT-PT設(shè)備修改了IP包頭，但TCP、UDP校驗和由于處于加密負(fù)載中而無法被修改。這樣，該信包經(jīng)過IPSec層后將因為TCP協(xié)議層的校驗和錯誤而被丟棄。

5 問題的解決

多層安全機(jī)制的協(xié)議改進(jìn)策略是針對翻譯機(jī)制的安全問題提出的一種改進(jìn)策略，該策略中包含IPSec機(jī)制和SSL/TLS安全機(jī)制。在這個改進(jìn)策略中，傳輸層使用SSL/TLS安全機(jī)制，用于保護(hù)用戶數(shù)據(jù)，而IPSec用于保護(hù)包頭。經(jīng)NAT-PT網(wǎng)關(guān)修改的IP地址允許IPSec加密頭訪問它，用戶數(shù)據(jù)是由傳輸層安全機(jī)制進(jìn)行安全保證。這樣，既可以保證了應(yīng)用IPSee安全機(jī)制，又可以保證用戶數(shù)據(jù)的安全傳輸。

來自應(yīng)用層的數(shù)據(jù)分割成固定長度的數(shù)據(jù)塊并壓縮。通過校驗運(yùn)算得到SSL/TLS的校驗值，在加密校驗值之后，用戶數(shù)據(jù)和附加的SSL/TLS包頭將被傳到底層協(xié)議棧，然后，在傳輸層和網(wǎng)絡(luò)層分別加上TCP包頭和IP包頭，處理好的IP數(shù)據(jù)包將通過IPSee層，ESP安全服務(wù)的范圍是傳輸層的數(shù)據(jù)和ESP尾。如果只是應(yīng)用原始的安全范圍，用戶數(shù)據(jù)將被雙重的加密或者解密。這個重復(fù)的過程降低了完成的效率，為了縮短數(shù)據(jù)包處理的時間，ESP安全服務(wù)中不包括用戶數(shù)據(jù)字段，使用新增的一個字段來記錄ESP加密字段的長度。NAT-PT網(wǎng)關(guān)對IP包頭和TCP包頭作相應(yīng)的修改，不包括對應(yīng)用層數(shù)據(jù)進(jìn)行修改。

6 結(jié)束語

本文通過對IPSEC安全協(xié)議以及NAT-PT過渡階段的過渡策略的研究，分析了IPv4向IPv6過渡階段所存在的安全隱患，并針對NAT-PT過渡機(jī)制提出了改進(jìn)策略，較好地實現(xiàn)了IPSEC和NAT-PT的結(jié)合。

參考文獻(xiàn)：

[1] 蔡華. 基于NAT-PT的轉(zhuǎn)換網(wǎng)絡(luò)的安全機(jī)制的研究[D]. 重慶大學(xué)碩士學(xué)位論文.

[2] 張濤. IPv6若干安全問題研究[D]. 中國科學(xué)院研究生院碩士學(xué)位論文.

[3] 陳堅，王閩. IPSec安全策略及實現(xiàn)[J]. 情報探索.