有关于解决方案基于不同网络环境的IPSec试述解决案例论文提纲范文

有关于解决方案基于不同网络环境的IPSec试述解决案例论文提纲范文

文章导读:不同的端口号来区分不同的连接,这样就会出现问题。  2.3 IPSec穿越NAT的解决方案  基于前文分析,AH协议与NAT完全不兼容,ESP协议在有限条件下可与NAT兼容。该文基于IETF提出的UDP封装法,实现ESP协议对NAT的穿越,但该方法需要IKE协商的配合。  1)IKE协商  通过IKE协商探测通信路径中是否存在NAT设备,是否需要进行UDP封
  摘要:对于存在NAT设备的网络环境、组播网络环境和VLAN TRUNK等复杂网络环境,IPSec协议支持得不是很完善。该文针对这三种网络环境提出具体的IPSec解决方案,使IPSec设备具有更好的网络环境适应性。

  关键词:IPSec;NAT;组播;VLAN TRUNK

  1009-3044(2013)26-5833-04

  随着网络技术的发展和网络的大规模建设,各种应用系统逐步转移到了网络平台上,具体业务对网络的依赖程度日益加深,网上涉密信息越来越多。针对这些有价值信息的各种网络攻击也层出不穷,网络的安全性和可靠性问题愈发突出。作为网络安全的关键技术,IPSec协议已广泛用于保障网络数据的安全。

  IPSec协议为端到端的安全协议。对于复杂的网络环境,如存在NAT设备的网络环境、组播网络环境、VLAN TRUNK网络环境,IPSec协议支持得不是很完善。为了使IPSec协议在上述网络环境下能正常工作,为IP层数据报提供安全防护,该文针对NAT设备穿越、组播报文的处理、带VLAN标记的报文处理提供具体的解决方案,使集成IPSec功能的安全网关设备具有更好的网络环境适应性,应用范围更广。

  1 IPSec协议简介

  IPSec协议是由IETF(Internet Engineering Task Force)制定的一套用于保护IP层通信安全的协议。该协议可实现包括访问控制、无连接的完整性、数据源验证、抗重播、数据机密性等多种安全服务。

  IPSec是一种协议套件,给出了应用于IP层上网络数据安全的一整套体系结构,包括ESP(封装安全载荷)协议、AH(验证头)协议、IKE(Internet密钥交换)协议和用于网络认证及加密的一些算法等

源于:论文的格式要求http://www.ihrd.com.cn

组成。

  ESP协议和AH协议是IPSec体系的主体,它们分别定义了协议的载荷头格式以及所能提供的服务,另外还定义了数据报的处理规则。正是这两个安全协议为数据报提供了网络层的安全服务。ESP协议为IP层及其上层数据提供机密性、数据源验证、抗重播以及数据完整性等安全服务。AH协议为IP层提供数据完整性、数据原始身份验证和一些可选的抗重播服务。AH协议不对受保护的IP数据报的任何部分进行加密。除了机密性之外,AH提供ESP能够提供的一切东西。AH提供的数据完整性与ESP提供的数据完整性稍有不同,AH对外部IP头各部分进行身份验证。

  ESP协议和AH协议都支持传输模式和隧道模式。传输模式主要用于两台终端主机之间,保护传输层协议数据,实现端到端的安全。隧道模式用于主机与子网或两个子网之间的通信,保护整个IP数据报。

  IPSec可以在终端主机、安全网关或两者中同时进行实施和配置。该文论及的IPSec协议的设计主要针对安全网关模式,在主机模式下实现IPSec协议穿越NAT设备时可以借鉴使用。

  2 NAT设备穿越

  2.1 NAT介绍

  NAT(Network Address Translation,网络地址转换)是一种将私有地址转化为合法公有IP地址的转换技术。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。该技术一方面可以屏蔽私有地址,保护内部网络;另一方面可以缓解IP地址不足的问题。

  NAT的实现方式有三种:静态NAT、动态地址NAT、网络端口地址转换NAPT。这三种NAT实现方式都会分析IP数据报的报头,匹配地址转换表中的规则,修改满足匹配规则的IP数据报报头。并根据协议的需要重新计算IP数据报的校验和。

  2.2 IPSec与NAT的兼容性分析

  NAT与IPSec的兼容性问题主要体现在以下几个方面:[3]

  1)AH与NAT

  AH协议对数据报的完整性保护包括IP头部分,而NAT在进行转换时,需要修改IP头中的IP地址,这样就会导致AH协议的完整性验证失败,因此,AH协议不管是在传输模式下还是在隧道模式下,与NAT都不兼容。

  2)ESP与NAT

  ESP协议的完整性验证不包括外部的IP头部分,NAT进行地址转换修改IP地址不会影响ESP协议的完整性验证。

  在传输模式下,如果原始数据报为传输层带有校验和的TCP或UDP协议,而TCP和UDP的校验和又与IP头中的地址相关,这样NAT转换更改了外层的IP地址后,将导致TCP或UDP校验和的失败,从而导致数据报被丢弃。如果关闭TCP和UDP头部校验和的检验,可规避这一问题。隧道模式下,不存在TCP/UDP校验和问题。

  当NAT的实现方式为NAPT时,NAPT需要更改传输层的端口号。ESP协议在传输模式和隧道模式下,传输层的端口号都一定会受到完整性保护。当NAPT对端口号进行修改后,接收方会因完整性验证不通过而丢弃该IPSec报。

  3)IKE与NAT

  IKE协商时,进行的UDP通信的端口号一般是固定的(通常是500),而NAPT的工作原理是通过不同的端口号来区分不同的连接,这样就会出现问题。

  2.3 IPSec穿越NAT的解决方案

  基于前文分析,AH协议与NAT完全不兼容,ESP协议在有限条件下可与NAT兼容。该文基于IETF提出的UDP封装法,实现ESP协议对NAT的穿越,但该方法需要IKE协商的配合。

  1)IKE协商

  通过IKE协商探测通信路径中是否存在NAT设备,是否需要进行UDP封装,并将该指示信息集成在SA中,通知线路中要进行IPSec应用的数据包。

  IKE协商分两个阶段,具体实施见参考文献[3]。

  2)UDP封装

源于:论文 格式http://www.ihrd.com.cn

上一篇:浅议算法基于K—means与FCA的网页文本聚类算法的研究硕士论文答辩 下一篇:阐述家庭理财基于VisualStudio的家庭理财体系设计及实现大学毕业论文
相关文章
华融论文网专注********服务