資源描述:
《udp封裝實(shí)現(xiàn)ipsec的nat穿越應(yīng)用研究》由會(huì)員上傳分享�����,免費(fèi)在線(xiàn)閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)��。
1��、重慶大學(xué)工程碩士學(xué)位論文UDP封裝實(shí)現(xiàn)IPSec的NAT穿越應(yīng)用研究碩士研究生:樊子牛指導(dǎo)教師:向宏教授兼職導(dǎo)師:繆秦高級(jí)工程師工程領(lǐng)域:軟件工程重慶大學(xué)軟件學(xué)院二OO七年十月ProjectMasterDissertationofChongqingUniversityNAT-TraversalWithUDPEncapsulationMasterCandidate:FanZiniuSupervisor:Prof.XiangHongPluralitySupervisor:SeniorEngineerMiaoQingSpecialt
2���、y:SoftwareEngineeringCollegeofSoftwareEngineeringChongqingUniversityOct.2007摘要IPSec是構(gòu)建VPN(VirtualPrivateNetwork虛擬專(zhuān)用網(wǎng))的常用技術(shù)���,它可以較好地解決目前Internet上面臨的各種安全威脅,有效地保證數(shù)據(jù)的安全傳輸�。但在實(shí)際的應(yīng)用中,IPSec技術(shù)與用于解決IPv4地址匱乏的NAT技術(shù)存在嚴(yán)重的不兼容性�。因?yàn)镮PSec協(xié)議在VPN中用于保護(hù)傳輸數(shù)據(jù)的完整性,傳輸過(guò)程中,任何對(duì)IP地址及傳輸標(biāo)志位的修改�,都被視作對(duì)該
3、協(xié)議的違背���,并導(dǎo)致數(shù)據(jù)包不能通過(guò)安全檢查而被丟棄��。但在VPN中運(yùn)用NAT技術(shù)�,則不可避免地要對(duì)私有地址映射為公有地址��,即對(duì)IP地址要進(jìn)行修改�。這一不兼容性已經(jīng)嚴(yán)重地限制了NAT和IPSec的應(yīng)用范圍,特別是對(duì)遠(yuǎn)程用戶(hù)訪(fǎng)問(wèn)VPN服務(wù)器造成很大的不便���。在網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域,往往需要NAT網(wǎng)關(guān)和IPSec網(wǎng)關(guān)能夠協(xié)同工作����。為此,本人提出的基于X.509證書(shū)的UDP封裝方案穿越NAT的技術(shù)����,在IKE協(xié)商SA的過(guò)程中增加載荷以探測(cè)網(wǎng)關(guān)之間的VPN是否支持NAT穿越以及網(wǎng)關(guān)之間是否存在NAT;增加了對(duì)ESP報(bào)文進(jìn)行UDP封裝和解封裝的處理�����;
4、并對(duì)整個(gè)過(guò)程進(jìn)行了詳細(xì)地測(cè)試與分析��;同時(shí)也分析了采用UDP封裝穿越NAT方案中有待解決的問(wèn)題�����。本文結(jié)合目前我院校園網(wǎng)絡(luò)的實(shí)際需求��,在不需要對(duì)現(xiàn)有NAT設(shè)備進(jìn)行重新部署的前提下���,提出了使用UDP數(shù)據(jù)封裝穿越NAT的方法來(lái)完成VPN和NAT技術(shù)的融合����。以NAT穿越方案的總體架構(gòu)為基礎(chǔ)�����,對(duì)數(shù)據(jù)封裝格式進(jìn)行改進(jìn)和相關(guān)協(xié)議的功能進(jìn)行擴(kuò)充�,可以形成一套完整的NAT穿越解決方案。關(guān)鍵字:IPSec����,NAT�,IKE�����,UDP封裝����,安全關(guān)聯(lián)(SA),SPDIAbstractIPSecisacommontechniquewhichisanimpor
5���、tantpartofVPN(VirtualPrivateNetwork).ItcanhelpusnotonlydealwithvarioussecuritythreatsonInternet,butalsoensureeffectivelysafedatatransmissions.However,inapplicationsthetechniqueofIPSecisnotcompatiblewiththetechniqueofNAT,whichisusedtosolveproblemsofIPv4addresslack.Th
6��、eagreementofIPSecinVPNisusedtokeepthedataintegralityintransmissions,butanychangetoIPaddressortransmissiontagsintransmissionswillberegardedasaviolationtothisagreementandcausetheresultthatdatapackagescannotbepassedbysecuritychecksandwillbelost.TheapplicationofNATinVPN
7����、isinevitabletomapprivateaddressestopublicaddresses,whichchangesIPaddress.TheincompatibilityhaslimitedtheapplicationscopeofNATandIPSec,andespeciallyisinconvenientforremoteuserstovisitVPNservers.ThecooperationbetweenNATgatewayandIPSecgatewayisnecessaryintheapplication
8����、fieldofnetworksecurity.Therefore,IputforwardthetechniqueofUDPEncapsulationacrossNATbasedontheX.509Certificateandincreasingloadstoexploreif
