IPv4 IPv6过渡安全研究

毕业论文（设计）论文（设计）题目：IPv4/IPv6过渡安全研究系别：专业：学号：姓名：指导教师：时间：毕业论文（设计）开题报告系别:计算机与信息科学系专业:网络工程学号姓名张克双论文（设计）题目IPv4/IPv6过渡安全研究命题来源□√教师命题□学生自主命题□教师课题选题意义:本选题的目的探讨基于NAT-PT的过渡策略，总结分析目前NAT-PT中存在的安全问题、IPSec与NAT-PT存在的各种矛盾，从而提出集成IPSec的NAT-PT的转换网关思想。在IPv4向IPv6过渡期间，由于IPv4网络与IPv6网络共存，所以过渡期间存在IPv4网络一直存在的安全问题，比如拒绝服务攻击等。而IPv6也给过渡期间的网络带来了新的隐患，虽然IPv6强制实施IPSec来保护通信的安全，但是它的成功依赖于在所有应用和网络设备之上的IPSec的一致和正确的实现，这样就产生了IPv6和IPv4同样安全或不安全。NAT-PT是IPv4向IPv6过渡时期主要采用的技术之一，它能够将数据包在IPv4和IPv6之间进行转换，实现IPv4节点和IPv6节点之间的透明的通信。IPSec是IETF(TheInternetEngineeringTaskForce)为了在IP层提供安全可靠的传输而定义的一组相关协议，它能够提供包括访问控制、无连接的完整性、数据源认证、抗重播保护、保密性和有限传输流保密性在内的安全服务集。这些服务是基于IP层的，提供对IP层及其上层协议的保护。IPSec是IPv6的一个组成部分，也是IPv4的一个可选扩展协议，而基于NAT-PT转换机制的网络与IPSec存在许多不兼容，因此，研究IPSec与NAT-PT之间的不兼容及使它们能够协同运行、确保安全通信是非常有必要的。研究综述:在异构网络中，通信安全是一个需要考虑的问题，在RFC3947和RFC3948提出了“NAT-Traversal”方案来解决IPSec穿越NAT网关的问题。该方案对IKE协议作了一些改进，在IKE协商过程中能发现NAT网关，并且在通信过程中采用UDP封装IPSec数据包的方式，从而使IPSec能应用于同构网络中私网主机与公网主机间的相互通信。但由于“NAT-Traversal”不能“发现NAT-PT网关”，所以此方案并不适用于异构网络。另外NAT-PT对IP分组协议版本进行转换而造成与IPSec协议的不兼容，也是“NAT-Traversal”所无法解决的。国内也有学者提出在IKE协商的主模式阶段，通过新增NAT-PT-D载荷，实现“NAT-PT的发现机制”；而IPSec保护下的通信阶段中，检测到NAT-PT网关后，计算AH的AuthenticationData时，用“伪IP头”取代原来的IP头来解决AN与NAT-PT的不兼容问题，但是此方法对AH等算法的修改和系统的修改过于复杂。IPSec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的、基于加密的IP网络安全技术。它主要有以下特点：（1）IPSec模块包括安全协议认证头(AH)和封装安全载荷(ESP)、安全策略数据库(SPD)和安全关联数据库（SAD）、IKE密钥交换及加密和验证算法。（2）认证头和封装安全载荷构成了基本的安全联盟（SA）。安全联盟(SA)是IPSec的基础，用来对在此连接上的数据传输提供安全保障。一个SA只能向AH或ESP之中的一个提供一个单向连接服务。（3）一个安全联盟(SA)由一个三元来唯一标示—安全参数索引（SPI），目的IP地址，安全协议（AH或ESP）。SPI是为唯一标识SA而生成的一个32位整数。（4）SA管理可以由手工操作完成，通信双方可以通过预先约定的SA字段取值，各自手动完成SA的建立。也可以在通信双方具备IKE模块的情况下，SA自动协商完成、产生密钥。自动管理方式不需要人工干预，具有更强的安全性和可扩展性。研究的目标和主要内容：本课题研究的目标是先通过分析IPSec和NAT-PT所存在的不兼容进而提出在NAT-PT异构网络的NAT-PT网关和两端网络分别部署IPSec，进而克服IPSec不能穿越NAT-PT网关的缺憾，以实现在Ipv4向Ipv6过渡期间Ipv4节点与Ipv6节点可以透明、安全的通信的方案。本选题大体上探讨与方案实施包括以下几个方面：(1)讨论、分析IPSec技术的应用和在安全方面的优势，NAT-PT在Ipv4网络向Ipv6网络过渡与其他技术相比所存在的突出优势。(2)分析IPSec与NAT-PT之间存在的不兼容问题，提出在NAT-PT两端与端到端部署IPSec解决IPSec无法穿越NAT-PT网关的方案。(3)设计相应的NAT-PT网络，写出NAT-PT、IPV6网段和Ipv4网段相应的SA、SP，并且写出合适的配置方案。(4)在DynamipsGUI、VmwareWorkstation、CiscoPacketTracer5.3等模拟工具上部署Ipv4/Ipv6网络，测试它们之间的连通性。（5）在模拟的NAT-PT网络上分段部署IPSec并且测试Ipv4节点与Ipv6节点之间的连通性。（6）详述在实验过程中遇到的问题，做出详细的分析，并给出相应的解决方法。(7)通过对NAT-PT网络上的数据包进行分析，验证在NAT-PT上分段部署的IPSec是否有助于NAT-PT网络的安全通信，记录相应数据。拟采用的研究方法：a）查找并阅读相关资料，了解基本的内容,利用需求分析文档，对整个系统有个初步的架构。b）搜寻实验用的文件文档集和研究过程中用到的各种工具软件。c)对搜寻到的资料进行分析，做出研究和实验的安排计划。d）采用DynamipsGUI、VMwareWorkstation、CiscoPacketTracer5.3等工具完成整个策略的编写与测试。研究工作的进度安排：2010年11月与指导老师沟通交流，完成毕业论文选题。2010年12月搜集资料，查阅文献，完成开题报告。2010年12月－2011年1月完成文献综述2011年2月—3月完成实验设计2011年2月—4月总结毕业设计的整个过程，完成毕业设计论文初稿2011年5月—6月修改毕业论文定稿，打印装订，参加答辩参考文献：[1]李振强，赵晓宇，马严IPv6技术揭秘[M].北京：人民邮电出版社，2006.4[2]徐宇杰IPv6深入分析[M].北京：清华大学出版社，2009.2[3](美)波波维亚(Popoviciu,C.)等著；王玲芳等译部署IPv6网络[M].北京：人民邮电出版社，2007.1[4]张爱科IPSec双边穿越NAT解决方案探讨[J].计算机系统应用2009年第8期193-195[5]张志龙，杜学绘，钱雁斌增强的NAT-PT和IPSec兼容解决方案[J].计算机工程第22期，2008年11月148-152[6]李洪波李中帅魏卓基于IPSec的NAT-PT转换网关的研究[J].科技信息2009年第27期58-59[7]赖济海，罗万伯，王丹霞IPv4/IPv6过渡的安全评估[J].四川大学计算机学院61-63[8]解晨光，张宇，张延松校园网IPv4-IPv6过渡阶段的安全性问题研究[J].哈尔滨金融高等专科学院学报，2007年12月，第4期44-45指导教师意见该生的选题通过对过渡期间的安全研究，提出了以分段式的方法在NAT-PT实现IPSec，提高以NAT-PT方式过渡的安全性，技术上比较新颖，难度适中，也有实用价值，工作量符合要求，同意开题。签名：年月日教研室主任意见同意指导教师意见，同意开题。签名：年月日目录摘要......................................................................1关键字....................................................................1引言......................................................................11.过渡期间所面临的安全问题及解决方案......................................11.1过渡期间面临的安全问题............................................11.2解决方案..........................................................12.NAT-PT..................................................................22.1地址转换（NAT）...................................................32.2协议翻译（PT）....................................................32.3IP报头翻译........................................................32.4UDP、TCP校验和更新及ICMP报头翻译.................................42.5SIIT技术..........................................................52.6NAT-PT分类........................................................53.IPSec..................................................................53.1安全联盟(SA)......................................................63.2封装安全有效负载(ESP).............................................63.3验证报头(AH)......................................................73.4IPSec传输模式.....................................................73.5IPSec隧道模式.....................................................74.IPSec和NAT—PT的兼容性................................................95.部署NAT-PT和IPSec...................................................105.1部署静态NAT-PT...................................................105.2部署IPSec........................................................125.3网络测试及结果分析................................................136.总结...................................................................13参考文献.................................................................13Abstract.................................................................14Keywords...............................................