IPvIPv过渡安全研究.docx
- 文档编号:9601807
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:20
- 大小:35.84KB
IPvIPv过渡安全研究.docx
《IPvIPv过渡安全研究.docx》由会员分享,可在线阅读,更多相关《IPvIPv过渡安全研究.docx(20页珍藏版)》请在冰点文库上搜索。
IPvIPv过渡安全研究
封面
作者:
PanHongliang
仅供个人学习
毕业论文(设计)
论文(设计)题目:
IPv4/IPv6过渡安全研究
系别:
专业:
学号:
姓名:
指导教师:
时间:
毕业论文(设计)开题报告
系别:
计算机与信息科学系专业:
网络工程
学号
姓名
张克双
论文(设计)题目
IPv4/IPv6过渡安全研究
命题来源
教师命题□学生自主命题□教师课题
选题意义:
本选题的目的探讨基于NAT-PT的过渡策略,总结分析目前NAT-PT中存在的安全问题、IPSec与NAT-PT存在的各种矛盾,从而提出集成IPSec的NAT-PT的转换网关思想。
在IPv4向IPv6过渡期间,由于IPv4网络与IPv6网络共存,所以过渡期间存在IPv4网络一直存在的安全问题,比如拒绝服务攻击等。
而IPv6也给过渡期间的网络带来了新的隐患,虽然IPv6强制实施IPSec来保护通信的安全,但是它的成功依赖于在所有应用和网络设备之上的IPSec的一致和正确的实现,这样就产生了IPv6和IPv4同样安全或不安全。
NAT-PT是IPv4向IPv6过渡时期主要采用的技术之一,它能够将数据包在IPv4和IPv6之间进行转换,实现IPv4节点和IPv6节点之间的透明的通信。
IPSec是IETF(TheInternetEngineeringTaskForce)为了在IP层提供安全可靠的传输而定义的一组相关协议,它能够提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的安全服务集。
这些服务是基于IP层的,提供对IP层及其上层协议的保护。
IPSec是IPv6的一个组成部分,也是IPv4的一个可选扩展协议,而基于NAT-PT转换机制的网络与IPSec存在许多不兼容,因此,研究IPSec与NAT-PT之间的不兼容及使它们能够协同运行、确保安全通信是非常有必要的。
研究综述:
在异构网络中,通信安全是一个需要考虑的问题,在RFC3947和RFC3948提出了“NAT-Traversal”方案来解决IPSec穿越NAT网关的问题。
该方案对IKE协议作了一些改进,在IKE协商过程中能发现NAT网关,并且在通信过程中采用UDP封装IPSec数据包的方式,从而使IPSec能应用于同构网络中私网主机与公网主机间的相互通信。
但由于“NAT-Traversal”不能“发现NAT-PT网关”,所以此方案并不适用于异构网络。
另外NAT-PT对IP分组协议版本进行转换而造成与IPSec协议的不兼容,也是“NAT-Traversal”所无法解决的。
国内也有学者提出在IKE协商的主模式阶段,通过新增NAT-PT-D载荷,实现“NAT-PT的发现机制”;而IPSec保护下的通信阶段中,检测到NAT-PT网关后,计算AH的AuthenticationData时,用“伪IP头”取代原来的IP头来解决AN与NAT-PT的不兼容问题,但是此方法对AH等算法的修改和系统的修改过于复杂。
IPSec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的、基于加密的IP网络安全技术。
它主要有以下特点:
(1)IPSec模块包括安全协议认证头(AH)和封装安全载荷(ESP)、安全策略数据库(SPD)和安全关联数据库(SAD)、IKE密钥交换及加密和验证算法。
(2)认证头和封装安全载荷构成了基本的安全联盟(SA)。
安全联盟(SA)是IPSec的基础,用来对在此连接上的数据传输提供安全保障。
一个SA只能向AH或ESP之中的一个提供一个单向连接服务。
(3)一个安全联盟(SA)由一个三元来唯一标示—安全参数索引(SPI),目的IP地址,安全协议(AH或ESP)。
SPI是为唯一标识SA而生成的一个32位整数。
(4)SA管理可以由手工操作完成,通信双方可以通过预先约定的SA字段取值,各自手动完成SA的建立。
也可以在通信双方具备IKE模块的情况下,SA自动协商完成、产生密钥。
自动管理方式不需要人工干预,具有更强的安全性和可扩展性。
研究的目标和主要内容:
本课题研究的目标是先通过分析IPSec和NAT-PT所存在的不兼容进而提出在NAT-PT异构网络的NAT-PT网关和两端网络分别部署IPSec,进而克服IPSec不能穿越NAT-PT网关的缺憾,以实现在Ipv4向Ipv6过渡期间Ipv4节点与Ipv6节点可以透明、安全的通信的方案。
本选题大体上探讨与方案实施包括以下几个方面:
(1)讨论、分析IPSec技术的应用和在安全方面的优势,NAT-PT在Ipv4网络向Ipv6网络过渡与其他技术相比所存在的突出优势。
(2)分析IPSec与NAT-PT之间存在的不兼容问题,提出在NAT-PT两端与端到端部署IPSec解决IPSec无法穿越NAT-PT网关的方案。
(3)设计相应的NAT-PT网络,写出NAT-PT、IPV6网段和Ipv4网段相应的SA、SP,并且写出合适的配置方案。
(4)在DynamipsGUI、VmwareWorkstation、CiscoPacketTracer5.3等模拟工具上部署Ipv4/Ipv6网络,测试它们之间的连通性。
(5)在模拟的NAT-PT网络上分段部署IPSec并且测试Ipv4节点与Ipv6节点之间的连通性。
(6)详述在实验过程中遇到的问题,做出详细的分析,并给出相应的解决方法。
(7)通过对NAT-PT网络上的数据包进行分析,验证在NAT-PT上分段部署的IPSec是否有助于NAT-PT网络的安全通信,记录相应数据。
拟采用的研究方法:
a)查找并阅读相关资料,了解基本的内容,利用需求分析文档,对整个系统有个初步的架构。
b)搜寻实验用的文件文档集和研究过程中用到的各种工具软件。
c)对搜寻到的资料进行分析,做出研究和实验的安排计划。
d)采用DynamipsGUI、VMwareWorkstation、CiscoPacketTracer5.3等工具完成整个策略的编写与测试。
研究工作的进度安排:
2010年11月 与指导老师沟通交流,完成毕业论文选题。
2010年12月 搜集资料,查阅文献,完成开题报告。
2010年12月-2011年1月 完成文献综述
2011年2月—3月完成实验设计
2011年2月—4月总结毕业设计的整个过程,完成毕业设计论文初稿
2011年5月—6月 修改毕业论文定稿,打印装订,参加答辩
参考文献:
[1]李振强,赵晓宇,马严IPv6技术揭秘[M].北京:
人民邮电出版社,2006.4
[2]徐宇杰IPv6深入分析[M].北京:
清华大学出版社,2009.2
[3](美)波波维亚(Popoviciu,C.)等著;王玲芳等译部署IPv6网络[M].北京:
人民邮电出版社,2007.1
[4]张爱科IPSec双边穿越NAT解决方案探讨[J].计算机系统应用2009年第8期193-195
[5]张志龙,杜学绘,钱雁斌增强的NAT-PT和IPSec兼容解决方案[J].计算机工程第22期,2008年11月148-152
[6]李洪波李中帅魏卓基于IPSec的NAT-PT转换网关的研究[J].科技信息2009年第27期58-59
[7]赖济海,罗万伯,王丹霞IPv4/IPv6过渡的安全评估[J].四川大学计算机学院61-63
[8]解晨光,张宇,张延松校园网IPv4-IPv6过渡阶段的安全性问题研究[J].哈尔滨金融高等专科学院学报,2007年12月,第4期44-45
指导教师意见
该生的选题通过对过渡期间的安全研究,提出了以分段式的方法在NAT-PT实现IPSec,提高以NAT-PT方式过渡的安全性,技术上比较新颖,难度适中,也有实用价值,工作量符合要求,同意开题。
签名:
年月日
教研室主任意见
同意指导教师意见,同意开题。
签名:
年月日
目录
摘要1
关键字1
引言1
1.过渡期间所面临的安全问题及解决方案1
1.1过渡期间面临的安全问题1
1.2解决方案1
2.NAT-PT2
2.1地址转换(NAT)3
2.2协议翻译(PT)3
2.3IP报头翻译3
2.4UDP、TCP校验和更新及ICMP报头翻译4
2.5SIIT技术5
2.6NAT-PT分类5
3.IPSec5
3.1安全联盟(SA)6
3.2封装安全有效负载(ESP)6
3.3验证报头(AH)7
3.4IPSec传输模式7
3.5IPSec隧道模式7
4.IPSec和NAT—PT的兼容性9
5.部署NAT-PT和IPSec10
5.1部署静态NAT-PT10
5.2部署IPSec12
5.3网络测试及结果分析13
6.总结13
参考文献13
Abstract14
Keywords14
致谢14
IPv4/IPv6过渡安全研究
网络工程专业指导教师
[摘要]IPv6取代IPv4是互联网发展的必然趋势,IPv6增强了协议的安全性,提供了更加可靠的传输层安全服务机制。
但IPv6不能从根本上解决互联网的安全风险问题,在当前阶段、过渡阶段、IPv6正式运行阶段还有很多安全问题需要关注。
通过对过渡期间的安全研究,提出了以分段式的方法在NAT-PT实现IPSec,提高以NAT-PT方式过渡的安全性。
[关键词]IPv4,IPv6,NAT-PT,过渡安全。
引言
当今社会,网络技术突飞猛进,网络在社会经济中发挥的作用越来越大。
随着网络的迅速普及,IPv4已不能满足发展的需要。
IPv6取代IPv4已是大势所趋,但是现今所使用的网络设备大都属于IPv4网络,对这些设备的更新不是一朝一夕能实现的,所以IPv6取代IPv4将是一个长时间的过程。
在IPv4向IPv6过渡期间,IPv4网络和IPv6网络将会共同存在,各种网络技术的共同存在和应用会给网络带来各种技术上的不兼容和安全问题。
这些问题将会给IPv4网络向IPv6网络的过渡带来不少阻力。
在我的论文里主要对IPv4向IPv6过渡所采用主要技术之一—NAT-PT和网络安全协议IPSec进行研究,对IPv4向IPv6过渡期间存在的安全问题进行研究和分析,重点研究NAT-PT与IPSec存在的不兼容问题。
1过渡期间所面临的安全问题
1.1过渡期间面临的安全问题
IPv6协议要取代现行的IPv4协议,成为21世纪主要的计算机网络层的通信协议,安全性是不可忽视、迫在眉睫需要解决的问题。
IPv6协议对目前的IPv4协议进行了改进,它可以与IPv4协议兼容,像一般的软件升级一样能在Internet设备上进行升级安装。
IPv6协议既可在高性能网络(如ATM网络)上有效地进行,也可在低带宽的网络(如无线网络)上有效地进行;同时,它也为人们开发新的网络功能提供了相应的操作平台。
但是IPv6协议同样是基于ISO的OSI/R(开放式互连参考模型)的,所以在开放的系统互连环境下实现网络信息的安全也有一定的困难。
安全性既涉及网络安全又涉及信息安全,是发展IPv6应该注意的最关键问题。
随着互联网的大规模商用化和在国民经济中地位的重要性,安全威胁成为一个必须解决的问题。
IPv6协议最初设计用于教育科研网和企业网,因此协议的设计中很少关注网络的安全性。
目前在被广泛使用的IPv4协议中存在很多安全威胁问题,主要包括IP地址欺骗、数据源的认证、电子窃听、源路由选择欺骗、TCP序列号欺骗和会话窃夺等。
正是由于使用IPv4会出现这些安全问题,为了加强互联网的安全性,在IPv6协议中采用了IPSec(IP安全)技术。
IPSec是IPv6的一个有机组成部分,是IPv6协议族的一个子集,对于所有IPv6网络结点,IPSec是强制实现的,不像在IPv4中只是一个可选项。
IPSec体系结构实现了网络层的基本安全功能,而且这些功能对应用层的每种应用都适用。
很多的网络攻击都是在网络层上对远程主机或本地主机进行攻击,因此,在网络层上实现的安全特性,可以更为有效的抵御各种网络攻击,以增加计算机通信网络的安全性。
1.2解决方案
在IPv4向IPv6过渡期间主要所使用的过渡技术主要可以分为三类:
双栈协议技术,隧道技术和地址/协议转换技术。
但是过渡技术本身也会存在一些安全隐患,同时对过渡技术的配置应用也会出现各种各样的安全缺陷。
因此,IPv6的过渡机制可能面临包括拒绝服务攻击在内的许多安全问题。
双协议栈主机上既有IPv4又有IPv6,在双协议栈结构中必须同时考虑IPv4和IPv6的安全性,一种协议的漏洞往往会殃及另一种,这使得网络存在着不确定的安全隐患给了恶意用户更多的攻击机会。
隧道技术是将IPv6的数据包封装入IPv4中,将隧道入口和出口的IPv4地址作为IPv4分组的源地址和目的地址,从而实现IPv6数据包的传输。
但是,将IPv6协议封装在IPv4协议的数据包中会使得过滤分组的安全机制失效,攻击者可以建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
协议转换技术(NAT-PT)通过与SIIT协议转换和传统的IPv4下的动态地址翻译(NAT)以及适当的应用层网关(ALG)相结合,利用转换网关在IPv4和IPv6网络之间转换IP报头的地址,同时根据协议不同对分组做相应的语义翻译,就能使纯IPv4和纯IPv6站点之间透明通信。
NAT-PT方式的优点是不需要进行IPv4、IPv6节点的升级改造.但是NAT-PT与IPv6中IPSec存在兼容性问题,使得IPv4节点与IPv6节点之间的安全通信存在威胁。
对于协议转换技术(NAT-PT)与IPSec所存在的不兼容,有学者提出通过对IKE协议进行改进,在IKE协商过程中将翻译信息发送到发起方,发起方在发送数据包之前生成接收方验证正确的ICV值及TCP/UDP校验和的计算问题。
在我的论文中将采用在NAT-PT转换网关和IPv6、IPv4节点之间手工配置IPSec隧道,从而达到在NAT-PT部署IPSec的目的,实现IPv4节点与IPv6节点间安全通信的目的。
2NAT-PT
网络地址翻译和协议翻译(NetworkAddressTranslationandProtocolTranslation)是一种纯IPv4应用和纯IPv6应用之间的互通方式,通过NAT-PT,可以实现IPv4节点和IPv6节点的互相访问。
IP地址的转换,以及协议的转换工作都由加载在边界网关路由器上的NAT-PT设备实现。
翻译网关要向IPv6域中发布一个路有前缀Prefix,凡是具有该前缀的IPv6包都被发往网关路由。
2.1地址转换(NAT)
与IPv4网络中的地址转换不同,在过渡技术中的NAT是把IPv4地址翻译成为IPv6地址,或反之。
在NAT-PT中预留了一部分全球唯一的IPv4地址作为地址池。
由于预留的IPv4地址数量少于IPv6地址数量,所以通常采用为IPv6节点动态分配IPv4地址的方式来及时释放地址资源,从而使得每一IPv6主机可以与IPv4主机实现通信。
NAT中还包含有一个地址映射表,当通信报文数据从IPv4网络传入到翻译网关时,NAT根据地址映射关表查找对应的地址映射关系,同时对地址池的地址做动态的管理分配,然后与协议转换模块共同完成报文的转换过程。
另外,在通信发起时,NAT需要与DNS-ALG通信,做地址分配的工作,同时对自己的地址映射表进行更新。
2.2协议翻译(PT)
协议翻译主要是指将IPv4报文转换成为等效的IPv6报文,反之亦然。
协议翻译的具体准备是遵循SIIT协议翻译算法实现的。
协议翻译主要针对IP报头和ICMP报头,从而使得IPv6节点与IPv4节点的相互通信成为现实。
2.3IP报头翻译
通过对IPv4报头和IPv6报头格式的比较可以发现它们存在相应关系的字段可以一一对应。
IPv6增加了扩展首部,对需要使用的功能由扩展首部提供。
实行了地址转换和相应的NAT-PT之后,上层TCP/UDP报头会产生变化,所以,TCP、UDP报文也要做相应调整才能实现通信。
图1IPv4报头结构
图2IPv6报头结构
2.4UDP、TCP校验和更新及ICMP报头翻译
UDP和TCP在计算校验和时引入了伪头部校验和,伪头部包含了源地址和目的地址的信息,IPv4和IPv6的地址有所不同,需要重新计算伪头部,由翻译网关对校验和进行更新。
更新的方法为:
新校验和=原校验和-原伪头部校验和+新伪头部检验和。
在IPv6中,ICMP的校验和计算包括一个伪头部:
源地址、目的地址、协议号、ICMP包长度;在IPv4中,ICMP的头部校验和计算不包含伪头部。
所以,所有经过转换设备的ICMP的校验和都需要从新计算。
图3IPv6中TCP/UDP伪报头结构
2.5SIIT技术
无状态IP/ICMP翻译技术是对IP/ICMP报文进行协议转换的技术,它并不记录一个流的状态。
在SIIT网络中,IPv6节点需要配置成格式:
:
FFFF:
0:
W.X.Y.Z的IPv4翻译地址,其中W.X.Y.Z是IPv4节点认为IPv6节点在IPv4网络中的地址;IPv6节点访问IPv4节点时则通过映射地址:
:
FFFF:
0:
W.X.Y.Z来表示IPv4节点。
SIIT技术使用特定的地址空间来完成地址与IPv6地址的转换。
SIIT需要有一个全局的IPv4地址池给与IPv4节点通信的IPv6节点分配IPv4地址。
因为SIIT无法进行地址复用,所以地址池的空间限制了IPv6节点的数量。
同时,当SIIT的IPv4地址池的地址分配完后,新的IPv6节点如果需要同IPv4节点通信,就会因为没有足够的IPv4地址空间导致SIIT无法进行协议转换,造成通信中断。
2.6NAT-PT分类
NAT-PT分为静态NAT-PT和动态NAT-PT。
静态NAT-PT技术是在翻译网关静态配置IPv6和IPv4地址的一一对应关系。
当IPv4节点与IPv6节点互相通信时,翻译网关根据配置的一一对应关系进行转换,且任何一侧主机可主动发起连接。
静态NAT-PT原理简单,但当大量主机需要转换时,配置和维护复杂,且消耗较多的IPv4地址,不适合在大规模的网络中使用。
动态NAT-PT采用动态地址映射和上层协议映射的方法,当报文进行互通时,NAT-PT设备动态进行选择地址池中地址作为映射地址,不需要配置IPv6和IPv4地址的映射关系,使得大量的IPv6可以通过少量的IPv4地址进行转换。
3IPSec
IPSec是IETFIPSec工作组定义的一套安全协议。
IPSec模块包括安全协议认证头(AH)和封装安全载荷(ESP)、安全策略数据库(SPD)和安全关联数据库(SAD)、IKE密钥交换和验证算法。
认证头和封装安全载荷构成了基本的安全联盟(SA)的手段。
IPSec旨在在网络层为IP分组提供安全服务,这些服务包括访问控制、数据完整性、身份验证、防止重放和数据机密性。
封装安全有效载荷(ESP)和报头验证(AH)是两种IPSec安全协议,用于为IP数据报提供数据的安全传输。
3.1安全联盟(SA)
安全联盟(SecurityAssociation,SA)是IPSec的基础。
SA实质上就是指一个IPSec的连接。
IKE的主要功能就是建立维护安全联盟SA。
SA是一个单向的“连接”,用来对在此连接上的数据传输提供安全保障。
AH和ESP是利用这个安全联盟SA进行安全数据通信的两个协议。
一个SA只能向AH或者ESP之中的一个提供一个单向连接服务。
所以为了保证一对通信实体之间相互通信的安全,需要在每个通信实体上分别建立2个SA,以在接收和发送两个不同的方向上应用不同的SA对IP数据报进行安全处理。
为了提高工作效率,IKE在一个双工通信过程中每次总是协商成对的SA。
一个安全联盟(SA)由一个三元组来唯一标识:
安全参数索引(SPI),目的IP地址,安全协议(AH或者ESP)。
SPI是为唯一标识SA而生成的一个32位整数,SA的发送端要在AH和ESP头中添加SPI,SA的接收端根据SPI可以很容易的识别出所收到的IPSec数据报属于哪个SA。
从连接方式上看,AH和ESP都有两种安全联盟模式:
传输模式和隧道模式。
SA的管理可以由手工操作完成,通信双方的管理员通过事先约定好的SA字段取值,各自手动完成SA的创建。
在通信双方具备IKE模块的情况下,SA管理工作也可以自动协商完成,当系统需要某个SA而系统中又没有时,IPSec内核自动调用IKE模块和通信对方的IKE模块进行协商,产生密钥。
3.2封装安全有效负载(ESP)
ESP提供了机密性、数据完整性以及可选的数据来验证和反冲放服务,这是通过对原始有效负载进行加密并将分组封装在一个报头和报尾之间实现的。
在IP报头中,用50表示ESP。
ESP报头被插入到IP报头和上层协议报头之间。
在隧道模式下,IP报头是新的;在传输模式下,是原始IP分组的报头。
ESP报头中的安全参数索引(SPI)是一个32位的值,它同前面的IP报头中的,它同前面的IP报头中的目标地址和协议一起指出了用于处理分组的安全关联(SA)。
SPI是目标对等体在Internet密钥交换(IKE)协商期间随意选择的一个数字。
其功能类似于索引号,可用于在安全关联数据库(SADB)中查找SA。
序列号是由发送方插入到ESP报头中的,它是一个唯一的单调递增数字。
序列号和接收滑动窗口一起提供反重放服务。
被保护的数据位于有效负载数据字段中。
用来对有效负载进行加密的算法可能需要一个初始化向量(IV),它也放在有效负载数据字段中。
3.3验证报头(AH)
AH提供无连接完整性、数据验证和可选的反重放保护,但不同于ESP,它不提供机密性。
因而其报头比ESP报头简单得多。
如果通信端点也是IPSec端点,则传输模式下的AH很有用。
在隧道模式下,AH封装IP分组,并在AH报头前面加入一个新的IP报头。
虽然AH隧道模式可用于提供IPSecVPN端到端安全,但它不提供数据机密性服务,因此不是很有用。
3.4IPSec传输模式
在传输模式下,在IP报头和高层协议报头之间插入一个IPSec报头(AH或ESP),图1说明了使用传输模式IPSec保护的IP分组。
(a)
(b)
(c)
图4(a)原始IP分组;(b)、(c)IP传输模式中的IP分组
在这种模式中,IP报头与原始IP分组中的IP报头相同,只是IP协议字段被改为ESP(50)或AH(51),并重新计算IP报头的校验和。
IPSec假定IP端点是可达的。
在这种模式下,IPSec源端点不会修改IP报头中的目标IP地址,因此这种模式只能用于IP端点和IPSec端点相同的情形。
传输模式另一种局限是,不能同时对IPSec对等体之间的分组进行NAT转换。
另外,对于大多数硬件加密引擎来说,在传输模式下加密的效率比在隧道模式下低,因为传输模式要求移动IP报头,为ESP或AH报头腾出空间。
3.5IPSec隧道模式
在隧道模式下,原始IP分组被封装成一个新的IP数据报,并在内部报头和外部报头之间插入一个IPSec报头(AH或ESP)。
图2说明了在隧道模式下被IPSec保护的IP分组。
由于这种封装包含一个外部IP报头,因此隧道模式可被用于在场点之间提高服务安全质量,而场点代表了网关路由器后面的IP节点。
另外,这种模式也可用于远程办公人员通过终端主机连接到站点中的IPSec网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- IPvIPv 过渡 安全 研究