基于NAT-PT分段IPSec隧道建立技术.docVIP

基于NAT-PT分段IPSec隧道建立技术 　　摘 要：NAT-PT技术解决了IPv4/IPv6之间的通信问题，但是通信过程中的安全却没有得到保证。对基于NAT-PT的IPv4/ IPv6网络通信原理及存在问题进行分析，并进行了IPSec安全协议的应用实施分析后，提出一种分段的IPSec安全隧道建立技术，实现在NAT-PT特殊网络环境下部署IPSec安全隧道从而保证通信数据的安全。 　　关键词：NAT-PT; IPSec隧道; 转换网关; IKE 　　中图分类号：TP393.08 文献标识码：a DoI: 10.3969/j.issn.1003-6970.2012.02.046 　　The establishment of technology based on the IPSec tunnel section of the NAT-PT 　　GU huan(Jiangsu Automation Research Institute, Jiangsu Lianyungang 222006) 　　【Abstract】Nat-Pt technology to solve the communication problems between the IPv4/IPv6, but the security of the communication process but not guaranteed. analysis of Nat-Pt IPv4/IPv6 network communication principles and problems,and after the application of the IPSec security protocol implementation analysis,Proposed a sub-IPSec tunnel establishment of technical, the Nat-Pt special network environment deploying IPSec tunnel in order to ensure the safety of the communication data. 　　【Key words】Nat-Pt; IPSec tunnel; Conversion Gateway; IKe 　　 0 引 言 　　NAT-PT技术是边缘网络过渡的主要解决方案，主要用于解决IPv4/IPv6网络之间的直接通信问题，但是不能防篡改、不能提供认证及加密，缺乏安全性。IPSec协议可应用于IPV6网络并提供安全保证。但是在NAT-PT环境下不能直接应用。因此，需要在NAT-PT环境下采用合理的部署方案来实现IPSec VPN，从而保证数据的安全。 　　 1 概述 　　NAT-PT技术主要利用IPv4/IPv6 NAT进行IPv4地址和IPv6地址的转换，与SIIT的IP协议转换结合实现协议的转换，同时采用DNS-ALG技术实现IPv4/IPv6间的域名解析和寻址[1]。 　　（1）地址转换：NAT-PT网关设有IPv4地址池，需要将IPv6地址转换为IPv4地址时从中动态获取一个IPv4地址，把IPv6源地址转换成该IPv4地址并提取IPv6目的地址中的主机地址部分作为IPv4的目的地址，对包头校验和重新计算，在地址转换映射表中记录该地址转换信息。当需要把IPv4地址转换成IPv6地址时，则根据地址转换映射表中的地址转换记录把IPv4地址转换成相应的IPv6地址。 　　（2）协议转换：NAT-PT的协议转换基于SIIT协议，SIIT定义了IPv4/IPv6包头转换的方法。在IPv4网络中IPv4包头的标志字段中有一个不分片DF位，可根据是否要进行数据包分片的需要来对该位进行确认设定。在IPv6网络中数据包的分片在主机上完成，IPv6路由器不会进行包的分片，因此在进行IPv4/IPv6包头转换过程中当DF为0或IPv4包己被分片时需要将分片扩展头加在IPv6包头后。 　　（3）DNS-ALG：在纯IPv4网络中，其网络节点只能发送和接收IPv4地址类型的IP包；同样纯IPv6网络中的节点也只能发送和接收IPv6地址类型的IP包。因此在纯IPv4主机和纯IPv6主机之间无法直接通过IP地址进行通信。由于IPv4和IPv6具有相同的域名结构，IPv4和IPv6可以使用相同的域名空间，因此可以利用域名系统在应用层上屏蔽IP地址，通过DNS-ALG进行IPv4地址与IPv6地址之间的映射从而实现纯IPv4主机和纯IPv6主机之间的直接通信。 　　 2 现有问题分析及解决方法 　　解决NAT-PT网络的安全问题主要依靠在NAT-PT网络中部署IP