（计算机软件与理论专业论文）网络地址转换与ip安全协议冲突问题分析与解决.pdf

华中科技大学硕士学位论文 一= ：= = 口= 2 = = ；= = = = = = = ；口= = = = = = = ；= = = = = = = 一 摘要 国际互联网的快速发展导致了i p s e c 技术和n a t 技术的广泛应用。i p s e c 技术能够 为i p 报文提供数据源身份验证，数据完整性检查和数据保密功能。n a t 技术能有效的 缓解目前国际互联网地址资源紧缺问题。它们都是很有用的技术，但由于n a t 需要修改 i p 报文。而i p s e c 则要保护i p 报文，防止它受到修改，因此它们不能一起友好工作，这 将会影响国际互联网的发展，必须设计一个能让它们一起友好工作的解决方案。 目前主要有两种思路能让它们一起友好工作：r s i p 和n a t t r a v e r s a l 。r s i p 是通过 对n a t 进行更改来解决它们之间的不兼容问题，而n a t t r a v e r s a l 是对i p s e c 进行扩展 来解决这个问题。通过对它们进行比较，n a t t r a v e r s a l 具有实施代价低和与普通i p s e c 系统互操作性好等优点。 通过对n a t t r a v e r s a l 的分析与改进提出了一种基于n a t t r a v e r s a l 的解决方案。 在该方案中采用名字标识位于内部网络中的主机，并在i k e 协商过程中建立名。字和i p 地址与端口号的对应关系，解决了内部主机的标识问题。通过对标准i k e 的扩展实现了 探测对方是否支持n a t t r a v e r s a l ，探测 p s e c 保护通路上是否存在n a t 以及探测n a t 位置的功能。采用u d p 封装技术使得n a t 网关把u d p 封装的i p s e c 包当成普通的u d p 包，这样能让i p s e c 包穿越n a t 网关。并利用内建n a t 技术解决了n a t t r a v e r s a l 的传 输模式下- 端口冲突问题。最后应用n a t k e e p l i v e 技术保证了i p s e c 保护的通讯连接在 通讯过程中，n a t 网关不会更改该通讯连接在该n a t 网关中对应的地址映射关系。 关键词：因特网安全协议：网络地址转换；域限定因特网协议；网络地址转换穿越 u d p 封装 华中科技大学硕士学位论文 a b s t r a c t f h er a p i dd e v e l o p m e n to fi n t e r n e tb r i n g so nw i d ea p p l i c a t i o no fn a t a n di p s e c t e c h n o l o g i e s i p s e cc a np r o v i d ed a t as o u r c ea u t h e n t i c a t i o n ，d a t ai n t e g r i t ya u t h e n t i c a t i o n a n d d a t ae n c r y p t i o nf o ri pp a c k e t s n a tc a l ll i g h t e nt h ep r e s s u r eo fi pa d d r e s ss h o r t a g ew h i c h r e s u l t sf r o mt h ei n c r e a s eo fh o s t sc o n n n e c t i n gt o 州t e r n e tb o t ho ft h e ma r ev e r yu s e f u l t e c h n o l o g i e s ，b u tn a t n e e dt oa m e n di pp a c k e t s ，i p s e cw i l lk e e pi pp a c k e t sf r o mb e i n g a m e n d e d ，s oi p s e ca n dn a tc a nn o tc o o p e r a t e t h i sw i l lc u m b e rt h ed e v e l o p m e n to f i n t e r n e t s oi ti sn e c e s s a r yt od e s i g nas c h e m et om a k et h e mc o o p e r a t e t h e r ea r et w os c h e m e st h a tc a nm a k et h e mc o o p e r a t e ：r s l pa n dn a t - t r a v e r s a l r s i pr e s o l v e st h e i n c o m p a t i b i l i t y b e t w e e nt h e m b yc h a n g i n g t h e n a t , w h i l e n a t - t r a v e r s a l b ye x t e n d i n gi p s e c a f t e rc o m p a r i n gr s i pa n dn a t - t r a v e r s a l ， n a t - t r a v e r s a lh a sm a n ya d v a n t a g e s ：t h ec o s to fi t s i m p l e m e n t a t i o ni s l o wa n di tc a n c o o p e r a t ew i t hn o r m a li p s e c e t c as c h e m eb a s e do nn a t _ t r a v e r s a li sp u tf o r w a r da f t e ra n a l y s i n ga n da m e l i o r a t i n g n a l 二t r a v e r s a lt h i ss c h e m er e s o l v e sh o s td e n o t i n gp r o b l e mb yu s i n gn a m et od e n o t e t h eh o s tl o e a t e di ni n t e r n a ln e t i t i m p l e m e n t sd e t e c t i n g i fi t s p e e rs u p p o r t s n a t _ t r a v e r s a l d e t e c t i n g i ft h e r ei sn a t g a t e w a yo n t h er o u t ep r o t e c t e db yi p s e ca n d d e t e c t i n g t h e1 0 c a t i o no ft h en a tg a t e w a y b ye x t e n d i n g s t a n d a r di k e i tu s e su i ) p e n c a p s u l a t i o nt e c h n o l o g yt om a k en a tq a t e w a yt r e a t ei p s e cp a c k e t se n c a p s u l a t e di nu d p h e a r d sa sn o r m a lu d p p a c k e t s s oi p s e cp a c k e t sc a np a s st h r o u g hn a tg a t e w a y i tr e s o l v e s n a r - t r a v e r s a l sp o r tc o l l i s i o nt h r o u g hb u i l d e d i nn a ta n di tu s e sn a r - k e e p l l v et o m a k et h en a tg a t e w a ym a i n t a i nt h ea d d r e s s m a p p i n gr e l a t i o n s h i pb e l o n g i n g t ot h e c o m m u n i c a t i o ni i n kp r o t c e t e db yi p s e c d u r i n gc o m m u n i c a t i n go f t h el i n k k e yw o r d s ：i ps e c u r i t yp r o t o c o l ；n e t w o r ka d d r e s st r a n s l a t i o n ；r e a l ms p e c i f i ci n t e m e t p r o t o c 0 1 ：n a t t r a v e r s a l ：u d pe n c a p s u l a t i o n l l 华中科技大学硕士学位论文 1 1 课题背景 1 1 1i p v 4 地址短缺问题 l绪论 随着国际互联网的飞速发展，越来越多的用户加入到国际互联网的使用中。目前全 球i 二网人数已经超过4 亿，到2 0 0 5 年将达到1 0 亿，2 0 1 0 年达到3 0 亿。如此惊人的增 长速度，使得网络本身的发展遇到了障碍，最主要的两个问题是： i 路由表的快速增长。有数据表明，1 9 9 0 年，只有大约5 0 0 0 条路由被存放在路由 表中，到1 9 9 5 年，这个数字达到了3 5 0 0 0 ，而2 0 0 0 年则达到了1 2 0 0 0 0 条，而且这个 数值会保持6 0 1 0 0 的增长率。这使得大量的网络设备由于处理速度跟不上而很快被 淘汰。 2 i p 地址即将耗尽。现在广泛采用的i p v 4 设计于1 9 8 1 年，使用3 2 位二进制数。 从9 5 年开始全球的i p 地址以平均每年6 0 0 0 万8 0 0 0 万的速度被消耗。直到目前，i p v 4 所提供的4 0 亿个地址已被用去了一半。有专家预测，到2 0 0 5 年全球地址将全部用完。 面对这些问题，业界提供了大量的解决方案。对于路由表膨胀的问题，可以使用v l s m ， c i d r 等技术以及各种路由协议的特性来缓解。 对于i p 地址的耗尽问题，i p v 6 应该是最终的解决手段。但是，由于现有网络都是 使用i p v 4 ，几乎所有的现有设备都不支持i p v 6 ，要升级设备需要大量的资金，而且改 造整个网络也是一项浩大且复杂的工程。同时，虽然亚太和欧洲地区的地址资源稀缺， 但是美国拥有充沛的地址资源，所以很多大型美国厂商如c i s c o 等并不急于推行l p v 6 。 各种因素的作用，延缓了i p v 6 的实施。所以i p v 6 的全面实现还需要一段很长的时间。 这样，就需要一种过渡的解决手段来暂时解决i p 地址耗尽的问题。 1 1 2 网络地址转换的出现及简介 n a t l l l ( n e t w o r ka d d r e s st r a n s l a t i o n ) 作为这样一种过渡解决手段，可以用来减少对 全球合法注册地址的需求。简单的说，n a t 就是在内部专用网络中使用内部地址( 不 可路由) ，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将 内部地址替换成全局地址一合法地址( 可路由) ，从而在外部公共网上正常使用。这里 华中科技大学硕士学位论文 需要解释一下，内部地址是指在内部网络中分配给节点的私有i p 地址，这个地址只能 在内部网络中使用，不能被路由。i a n a ( i n t e m e t a s s i g n e dn u m b e r s a u t h o r i t y ) 在i p 地址 空间中为私有内部网络保留了三块地址作为其专用地址1 2 1 ：1 0 0 0 0 1 0 2 5 5 2 5 5 2 5 5 ， 1 7 2 1 6 0 o 1 7 2 1 6 2 5 5 2 5 5 ，1 9 2 1 6 8 0 0 - - 1 9 2 1 6 8 2 5 5 2 5 5 。全局地址，是指合法的i p 地址，它是由n i c 或者网络服务提供商分配的地址，对外代表个或多个内部局部地 址，是全球统一的可寻址的地址。 n a t 具有以下的三个作用： 1 n a t 的主要作用是节约地址空间。在任一时刻，如果内部网络中只有少数节点 与外界建立连接，那么就只有少数的内部地址需要被转化成全局地址，可以减少对合法 地址的需求。它允许在内部网络使用未经注册的i p 地址，进入i n t e r n e t 时，则将这些 内部地址转换成注册i p 地址，反之亦然【3 1 。 2 能简化配置，增加网络规划的灵活性。使用n a t ，可以在规划地址时有更大的 灵活性，从而简化内部网的设计。另外，当两个有地址重叠的私有内部网要连接在一起 时可以使用n a t 来防止地址冲突，而避免逐个改变节点的地址这个繁杂的工作。 3 增加网络的安全性，直接把一个公司的内部网络连接到因特网上意味着它们要 面临各种各样的网络攻击，这很危险。而采用n a t 技术把整个公司的内部网络隐藏在 n a t 网关的后面，可以起到隐藏内部网络地址结构的作用，能够起到一定的安全保护功 能。 1 1 3 目前网络安全面临的各种威胁 t c p i p 协议族提供了一个开放式的协议平台，正将越来越多的部f t s t 】人员用网络 连接起来，网络正在快速地改变着我们的工作和生活方式。但是t c p i p 协议本身存在 的缺陷导致了i n t e m e t 的不安全，典型的网络威胁主要有：拒绝接受服务，冒充，修改，重 复播发，窃听1 4 j 。 1 保密数据的泄露。一个罪犯可能会在公网上窃听保密性数据。这个可能是目前 互相通信之间的最大障碍。没有加密，每个发送的信息可能被一个未被授权的组织所窃 听。由于早期协议对安全考虑的匮乏，各种用户验证信息如用户名或1 2 1 令均以明码在网 络上传输，窃听者可以很容易得到用户的账户信息。 2 数据完整性的破坏。即使数据不是保密的，还要确保数据完整性。也许你不在 华中科技大学硕士学位论文 乎剖人看见你的交易过程，但你肯定在意交易是否被篡改。如果一旦你能向银行验证你 的身份，你一定想确保交易本身的内容不会以某种方式被修改，如存款数额不会被修改。 3 身份伪装。除了保护数据本身以外，你肯定还要保护自己的身份。一个聪明的 入侵者可能会伪造你的有效身份，存取只限于你本人可存取的保密信息。目前许多安全 系统依赖于i p 地址来惟一地识别用户。不幸的是，这种系统很容易被欺骗并导致侵入。 4 拒绝服务。一旦联网之后，必须确保系统随时可以工作。在过去数年内，攻击 者已在t c p i p 协议族及其具体实现中发现若干弱点，以使他们可造成某些计算机系统 崩溃。 1 1 - 4 i p 安全协议 对于抵抗上述威胁保障网络安全并没有一个简单的答案。加密和验证是抵抗上述威 胁保障的关键服务。很明显，如果数据在传输过程中加密，那么s n i f f e r 就不能侦听和 篡改。而网络层验证可以防止身份伪装和拒绝服务。如果设备能正确识别数据的来源， 那么就很难模仿一个友好的设备去实现拒绝服务的攻击。 为实现i p 网络上的安全，i e t f 建立了一个i n t e m e t 安全协议工作组负责i p 安全协 议和密钥管理机制的制定。经过几年的努力，该工作组提出一系列的协议，构成一个安 全体系，总称为i ps e c u r i t yp r o t o c o l j ，简称为i p s e c 。 i p s e c 采用端对端加密模式，其基本工作原理是：发送方在数据传输前( 即到 达网线之前) 对数据实施加密，在整个传输过程中，报文都是以密文方式传输，直到数 据到达目的节点，才由接收端对其进行解密。i p s e c 对数据的加密以数据包而不是整个 数据流为单位，这不仅更灵活，也有助于进一步提高i p 数据包的安全性。通过提供强 有力的加密保护，i p s e c 可以有效防以下的范网络攻击： 1 s n i f f e r ：s n i f f e r 可以读取数据包中的任何信息，因此对抗s n i f i e r ，最有效的方 法就是对数据进行加密。i p s e c 的封装安全载荷e s p 协议通过对i p 包进行加密来保 汪数据的私密性。 2 数据篡改：i p s e c 用密钥为每个i p 包生成一个数字校验和，该密钥为且仅为数 据的发送方和接收方共享。对数据包的任何篡改，都会改变校验和，从而可以让接收方 得知包在传输过程中遭到了修改。 3 身份欺骗，盗用口令：i p s e c 的身份交换和认证机制不会暴露任何信息，不给攻 击者有可趁之机，双向认证在通信系统之间建立信任关系，只有可信赖的系统才能彼此 逋信。 华中科技大学硕士学位论文 4 中间人攻击：i p s e c 结合双向认证和共享密钥，足以抵御中间人攻击。 5 拒绝服务攻击：i p s e c 使用i p 包过滤法，依据i p 地址范围，协议，甚至特定的 协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦 截， 同时i p s e c 是在i p 层即第三层进行安全保护，它能在几乎不需要什么额外开销就可 以实现为绝大多数应用系统、服务和上层协议提供较高级别的保护。为现有的应用系统 和操作系统配置i p s e c 几乎无须做任何修改。 1 1 5i p 安全协议与网络地址转换的不兼容问题 n a t 和i p s e c 中的a h ( a u t h e n t i c a t i o nh e a d e r 认证头) 协议无法一起运行，因为根 据定义，n a t 会改变i p 分组的i p 地址，而i p 分组的任何改变都会被a h 协议认为受 到r 非法的修改。另外，在传输模式下，e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d 封装安全 载荷1 不能和n a p t 一起工作，因为在传输模式下，传输层端口号受到e s p 的保护，对 端i 号的任何改变都会被认为是破坏【6 】。在隧道模式下，受到e s p 保护的i p 包中的 t c p u d p 报头是不可见的，但是在n a t 进行地址转换的时候需要从中提取端口号信息， 因此就存在矛盾和冲突。总之如果i p 包被i p s e c 保护，则其中的高层协议信息一定被 隐藏，要么被加密不可见，要么被验证而不能被n a t 网关修改，使得n a t 网关不能获 得足够的信息来完成它的地址转换功能1 6 l 。除此之外，因为n a t 的存在还会出现与安 全i p s e c 中的安全策略相关的问题等。要让i p s e c 与n a t 一起能够友好工作是一件不 容易的事情。 因此能够找到一种能够让n a t 和 p s e c 技术一起友好工作的方案是一种很有意义 的 ：作。 1 2 国内外研究概况 目前解决n a t 与1 p s e c 不兼容问题的思路主要有三种：把n a t 网关放置在i s p e c 后面，r s i p 技术，n a t - t r a v e r s a l 技术。这三种方法都能从一定的程度上解决n a t 与i p s e c 的不兼容问题，但是都有自己的缺点和不足之处，离真正实用都还有一定的 距离。下面简单的介绍这三种思路。 华中科技大学硕士学位论文 2 1 通过适当的放置网络地址转换和i p 安全协议的位置来避免该问题 这是现有条件下最简单的一种解决方案：通过适当放置n a t 与i p s e c 的位置，让 n a t 转换发生在i p s e c 处理之前，就避免了被i p s e c 保护后的i p 包被n a t 修改。 i e t f 的网络工作组提出了这样一种方案，即在隧道模式下使用i p cn a t ( i p s e c c o n t r o ln a t ) ，n a t 在i p s e c 控制下，先进行必要的地址转换，然后再进行i p s e c 处理。n a t 与应用网关联合工作，协调处理i k e 中所有牵涉到内部地址的转换1 7 j 。 根据该思路设计一种i p s e c - - n a t 集成网关【8 1 。在这种网关中集成了n a t 和i p s e c 的的功能，不过n a t 的转换发生在i p s e c 处理之前。 现在有很多网络设备都采用方法2 ，它们即支持i p s e c 也支持n a t 。在这种设备 中对外出包的处理是先进行地址转换，再进行安全保护，而对进入包则先进行安全处理， 再进行地址的转换。目前支持这种方式的设备有：c i s c o 和e n t e r a s y s 的路由器， w a t c h g u a r d 和a x e n t 的防火墙等。 这种方法虽然简单，但是只是避免了该问题，而没有真正的解决该问题，存在 些缺点： 1 这种方式的解决方法只适用于“a n y 二a n y ”的粗粒度安全策略，而不适合于细 粒度安全策略。这是因为用户配置i p s e c 的安全策略时，一般都是用i p 地址来作为标 识，而位于n a t 网关后面的主机是共享n a t 网关的外部地址的，因此不好把i p s e c 的策略的粒度配置得很细。 2 不能做到端到端的安全保护。i p s e c 保护的范围只能是从i p s e c n a t 网关到 对方的i p s e c 端点，而从内部主机到i p s e c n a t 网关的这一段范围之间的通讯就处于二 没有受到安全保护的范围之内，很容易受到内部网络主机发起的攻击。 1 2 2 域限定i p 技术 r s i p ( r e a l ms p e c i f i ci n t e m e tp r o t o c 0 1 ) 是n a t 技术的变体，它所起到的功能和 n a t 一样，也是能让内部网络中的多台主机共享一个或者是少量的外部网络地址。不 过它能保证端到端的i p 包的完整性1 9 j 。 在n a t 中，内部网络中的主机不需要知道n a t 网关的存在，也不需要和n a t 网 关进行交互，由n a t 网关负责对内部网络主机发出去的j p 包，和外部网络主机发给n a t 网关的l p 包，根据n a t 网关中的地址映射关系表进行地址的转换和i p 包的转发。l p 包地址的修改发生在n a t 网关处。 但是在r s i p 中，内部网络主机上必须安装r s i p 客户端软件，而在网关处安装r s i p 华中科技大学硕士学位论文 服务器软件。当内部网络主机要和外部网络机器进行通讯的时候，必须首先通过r s i p 客户机向r s i p 服务器申请外部网络地址资源，在内部网络主机申请到外部网络地址资 源爵，内部主机发送给外部网络中的i p 包的源地址就为申请到的外部网络地址，而不 是自己的内部网地址。然后r s i p 客户端软件通过隧道的方法把该包发送给r s i p 网关， 最后由r s i p 网关转发出去。 因此采用r s i p 系统，就不存在在内部网和外部网的网关处修改i p 包包头。因此可 以很好的解决n a t 和i p s e c 的不兼容的问题。但是这个解决方法的一个缺点是，实施 起来难度很大，因为目前在实际的网络中已经部署了很多的n a t 网关，要把这些网关 全部升级为r s i p 系统是一件很困难的事情。 】2 3 网络地址转换穿越 和r s i p 修改n a t 不一样，n a t - t r a v e r s a l 方案对i p s e c 协议进行扩展来解决 这个问题，它的核心思想是对普通的i p s e c 包增加一个新的u d p 头，即对i p s e c 包进行 一次u d p 封装。它解决i p s e c 与n a t 的不兼容问题的原理是：考虑到由于a h 和e s p 协议对数据包高层协议信息( t c p m d p ) 的封装，高层协议信息被隐藏，导致n a t 设 备不具有对i p s e c 协议数据的感知能力，因而无法对i p s e c 协议数据包进行分析以获 取转换所需要的端口信息。为此，通过u d p 封装方法，对i p s e c 协议数据包进行二度 封装，在i p 头与紧跟其后的a 忱s p 头之间再封装一个u d p 头。经过u d p 封装之后， a k b q 3 s p 头及其封装内容成为了u d p 协议负载，数据包对外表现为一个普通的u d p 包。 n a t 设备可以用常规的方式进行处理，对i p 头地址和u d p 头的端口号进行转换。 这种方案的特点是不需要对已经存在的n a t 系统进行任何的修改，因此实施起来的 难度比较小，是一种比较有前途的解决方案。但是利用这种思想来解决这个问题，在实 施的方案中还存在一些问题。 1 3 论文的主要工作 1 分析问题 分析i p s e c 和n a t 起工作时会存在哪些问题。这是解决i p s e c 和n a t 不兼 容问题的前提和基础，只有分析清楚了存在的问题，才能知道为了解决这个问题需 要解决哪些潜在的技术难点。同时也可以作为衡量一个解决方案的参考。 2 比较各种解决思路 华中科技大学硕士学位论文 目前虽然存在多种解决的思路和方法，但是它们各有各的优点和缺点。为了找 到一种比较优秀的解决方案，需要对这些解决思路进行评价和比较，以从中选出一 种比较好的解决思路。从而以该思路作为解决本问题的出发点，在详细考察该思路 目前还存在的问题的基础上，提出一个比较完整的解决方案和实现方案。 3 设计一个完整可行的解决方案 采用上面选出来的解决思路为基础，详细分析利用该思路解决本问题，还会遇 到哪些需要解决的问题。并在给出这些问题的解决方法的基础上，最后给出一个比 较完整的，可行的解决方案。 华中科技大学硕士学位论文 2i p 安全协议与网络地址转换技术 2 1i p 安全协议 因现有的t c p i p 协议在设计时没有充分考虑到安全问题，t c p i p 存在很多严重的 安全漏洞【1 0 】。比如在传输中的任何一个i p 包都面对着下面的安全威胁：拦截并查看包 的内容，修改包的内容，伪造i p 包的地址，拷贝并重播以前的i p 包。这些安全威胁最 终会导致我们不能担保我们接受到的i p 包：该包是否真的是由该包的源地址所指示的 机器发出，该包中的内容是否被更改，该包中的机密信息是否被别人看过。 为了解决这些问题i e t f 提出了i p s e c 协议，i p s e c 是对网络层的i p 协议进行安 全扩展，加入安全联盟协商，数据包的加密，认证和面向主机的访问控制等安全措施，为 上层的协议和应用程序提供i n t e m e t 上一致的安全保护。i p s e c 通过a h ( a u t h e n t i c a t i o n h e a d e r 认证头1 提供无连接的数据完整性认证，数据源认证和反重放服务；通过e s p ( e n c a p s u l a t i n g s e c u r i t y p a y l o a d 封闭安全负荷) 提供整个i p 数据包的加密保证i 。图2 1 表示了i p s e c 协议的结构。 图2 1i p s e c 协议的结构图 华中科技大学硕士学位论文 2 。1 1i p 安全协议中的基本概念 1 安全策略 安全策略定义了对一个i p 包应该实施什么样的安全服务。它是用户和i p s e c 协议之 间进行交互的接口。用户可以通过配置安全策略来表达自己的安全需求，而i p s e c 对于 外出的i p 包则需要根据对安全策略的检索知道它要如何对该i p 包进行处理：丢弃，不作 任何的安全保护还是要进行安全保护。如果需要进行安全保护则安全策略规定了保护的 力式，比如是采用e s p 协议还是a h 协议，是采用传输方式还是隧道方式，以及加密的 算法和认证的算法等。 所有的安全策略都被保存在一个数据库中，这个数据库名为s p d ( s e c u r i t y p o l i c y d a t a b a s e ) 。我们从i p 包取出源地址，目的地址，协议，端口等信息作为“选择符”去对 该数据库进行检索，i p s e c 协议根据检索的结果来处理该i p 包。 i p 包的外出和进入处理都需要查询安全策略。对外出的i p 包需要检索s p d 的目的是 找出处理该i p 包的方式，进入处理时检索s p d 的目的是核对对该i p 包采取的安全措施是 否符合安全策略的规定。为了提供对非对称策略的支持( 即在两个主机之间，分别为进 入和外出的数据包提供不同的安全服务) ，可以为进入与外出的数据包分别维持不同的 s p d 。 ：安全关联 安全策略数据库只是规定了对i p 包进行安全保护的方式，但是真要进行i p s e c 保护 时却还需要通讯的双方协商出双方都满意的保护措施和参数，比如加密算法，认证算法， 保护模式等，同时如果要加密则要协商好加密的密钥。我们把这些协商后的参数组合起 来，就称为安全关联或s a ( s e c u r i t ya s s o c i a t i o n ) 。安全关联是安全策略的具体化和实例化， 它提供了保护通讯的具体细节。不过s a 是单向连接，如果两台主机正在利用e s p 进行通 讯，那么主机a 需要个用来处理外出数据包的s a ( o u t ) ，还需要一个用来处理进入数据包 的s a ( i n ) 。主机a 的s a ( o u t ) ；f l j 主机b 的s a ( i n ) 共享加密参数，主机a 的s a ( i n ) 年l j 主机b 的 s a ( o u t ) 共享加密参数【1 2 】。安全关联保存在安全关联数据库( s a d ) “0 。 3 传输模式与遂道模式 在i p s e c 协议中存在两种保护模式：传输模式和隧道模式。传输模式只保护i p 包中 的载荷，而遂道模式则保护整个i p 包。用户可以根据实际的安全需求选择不同的模式。 在传输模式中，i p 头与上层协议头之问需插入一个特殊的i p s e c 头。在遂道模式中，要 把需要受到保护的整个i p 包封装到另一个i p 数据包里，同时在外部与内部i p 头之间插入 一个i p s e c 头。传输模式和隧道模式的格式可以参看下面的图2 2 。 华中科技大学硕士学位论文 原始i p 包 受传输模式 保护的i p 包 受隧道模式 保护的i p 包 图2 2 传输模式与隧道模式示意图 对于传输模式所保护的数据包而言，其通信终点是安全终点。而受隧道模式保护的 i p 包，通信终点是内部i p 头指定的地点，而安全终点则是外部i p 头指定的地点。在i p s e c 处理结束的时候，安全网关会剥离出内部l p 包，再将那个i p 包转发到它最终的目的地 1 3 1 一般而言传输模式保护端到端之间的网络通讯，而隧道模式则保护安全网关与安全 网关之间的通讯。 4 因特网络密钥交换 i k e ( i n t e m e tk e ye x c h a n g e ) 用来动态协商建立安全关联。它分为两个阶段，第一阶 段建立i k e 安全联盟，第二阶段利用i k e 的安全联盟，为i p s e c 协商i p s e c 的安全联盟。 阶段一建立一个保密和验证无误的通信信道，以及生成验证过的密钥，为双方的i k e 通 信提供机密性、消息完整性和消息源验证服务。阶段二在阶段一的基础上，通信双方需 要协商好i p s e c 安全联盟的各个参数，并生成密钥【1 4 。”。i k e 是一种“混合型”协议， 它用了i s a k m p 的基础，o a k l e y 的模式和s k e m e 的共享和密钥更新技术，从而定义出自 己独一无二的验证加密材料生成技术，以及协商共享策略。其中i s a k m p 定义了双方 如何沟通，如何构建彼此间用以沟通的消息，还定义了保障通信安全所需的状态变换。 2 1 2 封装安全载荷 e s p 是1 p s e c 协议中的一种保护i p 包的方式，它为i p 包提供机密性，数据源验证，抗重 播以及数据完整性等安全服务。e s p 用一个加密器提供机密性，数据完整性则由身份验 证器提供。e s p 协议的格式参考图2 3 。下面介绍e s p 中的各个字段： s p i ( s e c u r i t yp a r a m e t e ri n d e x ) 字段，该字段和i p 头的目标地址以及协议结合起来用来 标识处理该l p 包的安全联盟。 0 华中科技大学硕士学位论文 序列号字段，该字段通过序列号，e s p 具有抵抗重播攻击的能力。这个序列号是一个 独一无二的，单向递增的，并由发送端插在e s p 头的一个号码。序列号经过了验证，但 却没有加密。 初始化向量：加密算法可能需要用到的初始化向量a 填充项，该字段用于在e s p 保证边界的正确。某些加密算法模式要求密码的输入 是其块大小的倍。填充项就是用来完成这一任务的。 填充项长度，该字段定义了添加多少填充，因此，接收端可以恢复载荷数据的真实 长度。 下一个头，该字段表示跟在e s p 头后面的报头的类型：比如在隧道模式下使用e s p ， 这个值就会是4 ，表示i p i n i p ：如果在传送模式下使用e s p ，且e s p 头后面跟着t c p 头， 则该字段的值就是6 。 验证数据，该字段身份验证数据字段用于容纳数据完整性的检验结果，它是利用一 个密钥处理的散列函数对e s p 包进行运算后的结果。这一字段的长度由s a 所用的身份验 证算法决定，这一算法用于处理数据包。如果对e s p 数据包进行处理的s a 中没有指定身 份验证器，就不会有身份验证数据字段 安全参数索 i ( s h ) 序列号 初始化向量 被保护数据 填充项填充项长度下一个头 验证数据 图2 3e s p 协议的格式 一一_ _ _ _ _ _ _ _ - - 一 l l 华中科技大学硕士学位论文 = = ：= = = = 4 ；= = = ；= 1 被 加 密 ， 十 被 加 密 图2 4 传输模式下受e s p 保护的i p 包示意图 i p 头 安全参数索引 序列号 初始化向量 i p 头 t c p 头 数据 填充项填充项氏度f 一个头 验证数据 图2 ：隧重燕萎王显竖埕垃的l 包丞意图 1 2 jiij被验证iii上 华中科技大学硕士学位论文 = = = = = = = = = = = ；= 。= = = = = = = = ；= ；= = = = 一 e s p 协议即可以用于传输模式下，也可以用于隧道模式下，传输模式与隧道模式下 的受e s p 保护的i p 包的格式分别如图2 4 和图2 5 所示。 2 1 3 验证头 验证头是i p s e c 协议中另外的一种保护i p 包的方式，它只为i p 提供数据完整性，数 据原始身份验证和一些可选的，和有限的抗重播服务m l 。a h 提供的数据完整性与e s p 提供的数据完整性不同之处是a h 保护整个i p 包丽e s p 贝, 1 不对i p 头进行完整行保护。a h 不对受保护的i p 数据报的任何部分进行加密。由于a h 不提供机密性保证，所以它也不 需要加密算法( 加密器) ，不过需要一个验证器( 身份验证器) 。a h 定义了身份验证的覆盖 范围以及输出和输入处理规则，但没有对所用的身份验证算法进行定义，不过a h 默认 和强制实行的认证算法是h m a c m d 5 1 1 8 埽i ：i h m a c s h a i l 9 1 。a h 协议格式如图2 6 所示。 0 71 52 33 1 下一个头载荷长度保留 安全参数索o l ( s p l ) 序列号 验证数据 图2 6 a h 协议的格式 下一个头，该字段表示a h 头之后是什么协议。在传送模式下，将是处于保护中的上 层协议的值，k l ! f l u d p 或t c p 协议的值。遂道模式下，它的值是4 ，表示i p i n - i p ( i p v 4 ) 。 载荷长度，该字段表示采用3 2 位的字减2 表示头本身的长度。a h 头是一个i p v 6 扩展 头，按照r f c 2 4 6 0 ，它的长度是从6 4 位字表示的头长度中减去一个6 4 位字而来的。但a h 采) j j 3 2 位字来计算，因此，我们减去两个3 2 位字( 或一个6 4 位字) 。没有使用预留字段 时，必须将它设成0 。 s p i 字段和外部i p 头的目的地址一起，用于识别对这个包进行身份验证的安全联盟。 序列号，该字段一个单向递增的计算器，等同于e s p o 使用的序列号。序列号提供 的抗重播功能。身份验证数据，该字段是一个不固定长度的字段，它保存完整性校检的 结果。a h 没有定义身份验证器，但有两个强制实施身份验证器：h m a c s h a 9 6 和 华中科技大学硕士学位论文 一：= = = = = = = = = = = = = = = = = = 2 = ；= = = = = = 2 i = = = 一 h m c md 5 9 6 。矛i e s p 一样，这些都是键控式的m a c 功能，输出结果被切短成9 6 个位。 同时，也没有针对a h 的使用，定义公共密钥身份验证算法( 比如r s a 和d d s ) 。 a h 协议也可以即用在传输模式下，又用在隧道模式下。图2 7 与图2 8 表示了传输模 式下和隧道模式下的受到a h 协议保护的i p 包的格式。 图2 7 传输模式下受a h 保护的i p 包示意图 图2 8 隧道模式下受a h 保护的i p 包示意图 华中科技大学硕士学位论文 需要指出的是a h 会对第一个i p 头进行完整性保护，但是由于第一个i p 头中的某些 字段在网络的传输的过程需要发生些合法的变化，比如i p 头中的存活时间，校验和， 分段偏移等f 2 。j 。因此在a h 进行完整性计算的过程中，不能把这些字段也包括在其中， 而黾在计算的时候把这些会在传输途中发生变化的字段的值都调整为零。同样在接收方 进行校验的时候，也相应的把这些字段的值调整为零。 这种调整只针对第一个i p 头，如果在隧道模式下，则不需要对内部i p 头中的这些字 段进行这种调整，因为内部的i p 头中的这些字段在隧道中间传输的时候是不会发生变化 的 2 1 4i p 安全协议的处理流程简单描述 对外出包的处理 ( i ) 根据i p 包的地址信息查询安全策略数据库，根据找到的策略进行相应的处理： 饶过安全处理，丢弃该包，或者是实施安全保护。 ( 2 ) 如果是要实施安全保护，查看是否存在对应的s a ，如果不存在则通知i k e 进行 安全协商建立s a 。根据s a 对包进行相应的安全保护处理。 ( 3 ) 把进行保护后的包发送出去。 2 对进入包的处理 ( 1 ) 根据接受到的包的地址信息，保护的协议和安全参数索引去查询s a d ，如果不 存在s a ，则丢弃该包。 ( 2 ) 如果存在，则利用该s a 中的密钥和算法对包进行完整性验证或解密处理。如 果验证失败或者是解密不成功则丢弃该包。 ( 3 ) 对进行了处理后的包，根据包的选择符查询s p d ，检查采用的安全保护策略是 否符合s p d 中的安全策略，如果不符合则丢弃该包。 ( 4 ) 如果通过了上面的检查则把包传递给上一层。 2 1 5i p 安全协议的特点 1 p s e c 是在网络层实施安全保护的，在这一层实现安全服务具有多方面的优点。 首先，密钥协商的开销被大大地削减了。这是由于多种传送协议和应用程序可共享由网 华中科技大学硕士学位论文 络层提供的密钥管理架构。其次，假如安全服务在较低层实现，那么需要改动的应用程 序便要少得多。通过它，我们不必集中在较高的层实现大量安全协议。假如安全协议在 较高的层实现那么每个应用都必须设计自己的安全机制。这样做除极易产生安全漏洞 以外，而且出现犯错误的机率也会大增。 2 它是一种开放性的标准框架，之所以把它叫做个框架是因为它能为网络层安 全提供一个长期的，稳定的基础。它不但可以使用现今的密码学算法，而且如果将来出 现了更新，更强的密码算法，同样可以用于该体系结构，因为它是开放的2 ”。 2 2 网络地址转换技术 随着i n t e m e t 的日益普及和飞速发展，上网已经成为一种流行趋势，连入因特网的局 域网数量日益增长，造成目前i n t e m e t i p 地址严重短缺，为每一台访问i n t e m e t 的网络工作 站分配一个全球唯一的i p 地址几乎是不可能的。为了解决这个问题，出现了许多解决方 案，网络地址翻译( n a t ) 技术是较为突出的一种解决方案。用一句简单的话来描述n a t , 它就是在内部网络的主机需要与外部网络通信时，利用1 个或几个i p 地址来实现局域网 上的所有主机都可以访问i n t e m e t 。使用n a t 技术时，好像n a t 设备根本就不存在，面向 用尸一这个技术完全是透明的1 2 ”。 n a t 技术除了可以解决地址紧缺问题之外还可以为内部局域网中的用户