CN1855924A - 网络层安全报文穿越地址变换设备的方法 - Google Patents
网络层安全报文穿越地址变换设备的方法 Download PDFInfo
- Publication number
- CN1855924A CN1855924A CN 200510068224 CN200510068224A CN1855924A CN 1855924 A CN1855924 A CN 1855924A CN 200510068224 CN200510068224 CN 200510068224 CN 200510068224 A CN200510068224 A CN 200510068224A CN 1855924 A CN1855924 A CN 1855924A
- Authority
- CN
- China
- Prior art keywords
- message
- address
- ipsec
- sec
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种保证网络层安全报文穿越地址变换设备的方法,应用于发送端通过地址变换NAT设备向接收端发送网络层安全IP Sec报文的过程中,该方法包括:A.在发送端,利用预先设置的固定值作为IP Sec报文中IP地址/端口号计算完整性验证字;B.在接收端,利用所述固定值作为接收到的IP Sec报文中IP地址/端口号计算完整性验证字。本发明可以解决IPSec报文通过NAT设备时由于NAT变换带来IPSec应用问题,而且实现简单,对现有的设备和网络影响小,应用广泛,可以应用在所有通信系统中,支持多种方式,包括手工配置、IKE协商或应用层的协商等其它方式来建立IPSec的安全联盟等。
Description
技术领域
本发明涉及网络层安全(IPSec)技术领域,特别是指一种IPSec报文穿越网络地址变换(NAT)设备的方法。
背景技术
IPSec是Internet Protocol Security的缩写,它是为IPv4和IPv6协议提供基于加密安全的协议。IPSec它使用AH和ESP协议来实现其安全,使用ISAKMP/Oakley及SKIP进行密钥交换、管理及安全协商(SecurityAssociation)。
IPSec包括两个子协议,分别是认证头(AH)协议和安全载荷封装(ESP)协议。AH协议完成对通信报文的完整性保护,即保证通信报文在传送过程中不被第三方篡改,一旦被认证保护的报文被篡改,接收方判断重新计算报文的鉴别字(需要密钥)与认证头中的鉴别字将无法匹配,从而丢弃报文;ESP协议在提供对通信报文完整性保护的同时,提供加密保护。
参见图1和2所示,ESP协议和AH协议对报文的完整性保护的范围不同。AH协议报文的封装格式包括原始IP地址头(Orig IP Hdr)、验证头(AH)、TCP/UDP端口号以及数据包(Data)。AH的完整性保护范围是整个IP报文,包括IP地址头和端口号。ESP协议报文的封装格式包括原始IP地址头、ESP协议头、TCP/UDP端口号、数据包、ESP填充部分(ESP trlr)以及ESP认证部分。ESP协议完整性保护的范围是ESP头、TCP/UDP端口号、数据包以及ESP填充部分,但不包括IP地址头和尾部的ESP认证部分。
当设备A和设备B通信,并且采用IPSec保护时,由于IPSec AH和ESP协议都将报文的端口号作为保护范围,AH同时保护IP地址,因此,如果设备A和设备B中间没有NAT设备,是没有问题的。但当设备A和设备B中间加入NAT设备时,由于NAT设备会改变报文的IP地址或端口号,因此导致设备接收端在对报文进行完整性鉴别时,重新计算出报文的鉴别字与报文中携带的鉴别字不匹配,结果将报文丢弃。
目前,在下一代网络(NGN)及IP多媒体子系统(IMS)等各种基于分组网的业务网络安全架构中,IPSec成为一种常用的安全技术,但是由于IP地址的缺乏,在分组承载网络中部署了大量的NAT设备。从上述IPSec完整性保护方案中可知,报文在经过NAT设备时,NAT设备对报文的IP头进行地址或端口变换,最终导致接收方在收到报文后,对报文进行完整性校验失败而将报文丢弃,使得IPSec无法在实际网络中得到有效的应用。
为解决上述问题,可以采用IETF中的三个RFC,一个是RFC3715(IPsec-Network Address Translation(NAT) Compatibility Requirements),一个是RFC3947(Negotiation of NAT-Traversal in the IKE),另一个是RFC3948(UDP Encapsulation of IPsec ESP Packets)。这三个RFC相互配合,实现IPSec ESP的NAT穿越,第一个RFC描述IPSec穿越NAT的需求,第二个RFC描述用于IPSec协商SA的IKE(internet key exchange-internet密钥交换协议)对NAT穿越的支持,第三个描述如何通过IPSec ESP的UDP封装来穿越NAT。
参见图3所示,IPSec ESP的UDP封装格式包括:原始IP地址头、UDP协议头、ESP协议头、TCP/UDP端口号、数据包、ESP填充部分以及ESP认证部分。
IPSec UDP封装穿越NAT的基本原理如下:IPSec通常采用IKE来进行密钥协商,对IKE进行升级支持NAT转换时的转换端口协商,IPSec ESP封装的UDP头中的源端口号和目的端口号与IKE协商时采用的源/目的端口号一致,使得封装后的IPSec ESP报文在穿越NAT时,NAT变换的IP地址和端口号与IKE协商时的一致,报文接收端能通过和IKE协商时的报文IP头比较来确认对端是与IKE协商时的对端是一致的,同时对ESP封装的认证和加密数据没有影响,来完成对NAT的穿越,同时为防止NAT设备上NAT表项的老化,保证后续通信报文也能穿越NAT设备,定期发送NAT表项保活报文(keep alive packet),确保NAT设备上的NAT表项不给老化,NAT保活报文的地址和端口号与IKE报文和IPSec ESP的UDP封装报文的IP报文头都是一致的。
上述采用UDP封装穿越NAT的方案,要求通信设备采用支持NAT穿越的IKE版本(相当于IKEv2),而且密钥协商或安全联盟建立必须通过IKE来完成,不支持手工配置方式来建立安全联盟,或其它应用层的安全联盟建立方式,如3GPP规范中定义的IMS AKA安全联盟建立方式。并且,该方法实现过于复杂,要求通信设备双方定期发送NAT保活报文,确保NAT设备上的NAT表项不被老化,当NAT设备一旦故障重起或异常时,安全联盟必须重新协商建立。并且该方法只支持IPSec ESP协议,还不支持IPSec AH的NAT穿越。
发明内容
有鉴于此,本发明的目的在于提供一种IPSec报文穿越NAT设备的方法,该方法能不要求采用支持NAT穿越的IKE版本,就能使IPSec报文穿越后能通过完整性验证。
为了达到上述目的,本发明提供了一种IPSec报文穿越NAT设备的方法,应用于发送端通过地址变换NAT设备向接收端发送网络层安全IP Sec报文的过程中,该方法包含:
A.在发送端,利用预先设置的固定值作为IP Sec报文中IP地址/端口号计算完整性验证字;
B.在接收端,利用所述固定值作为接收到的IP Sec报文中IP地址/端口号计算完整性验证字。
所述固定值为预先配置在发送端和接收端的,或在发送IP Sec报文前的安全联盟建立过程中协商,并保存在发送端和接收端的。
所述安全联盟采用IKE方式,或手工配置方式,或应用层协商等其它方式。
所述发送端采用IPSec传输模式或隧道模式发送IP Sec报文。
所述发送端采用IPSec AH或ESP协议封装IP Sec报文。
所述IP地址采用IPv4或IPv6格式。
通过上述方案可知,本发明具有如下优点和特点:
(1)本发明实现简单,对现有的设备和网络影响小。
(2)本发明可以支持多种协议的IPSec报文,如IPSec AH和ESP协议,以及采用多种方式传输,如传输模式和隧道模式。而且,本发明还可以支持多种配置方式,包括手工配置、IKE协商或应用层的协商等其它方式来建立IPSec的安全联盟等。
(3)本发明应用广泛,该方法可以应用在所有通信系统中,如NGN、IMS等,解决IPSec在实际网络中由于NAT变换带来IPSec应用问题。
附图说明
图1为IPSec报文AH封装格式示意图;
图2为IPSec报文ESP封装格式示意图;
图3为IPSec ESP的UDP封装格式示意图;
图4为实现本发明方法的流程示意图;
图5为本发明计算报文验证字时IPSec报文中参数的取值。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明的核心思想是:在发送端通过地址变换NAT设备向接收端发送IP Sec报文的过程中,发送端利用预先设置的固定值作为IP Sec报文中IP地址/端口号计算完整性验证字,同样,接收端也利用与发送端一样的固定值作为接收到的IP Sec报文中IP地址/端口号计算完整性验证字。
参见图4所示,实现本发明的方法包括以下步骤:
步骤401:在发送端,利用预先设置的固定值作为IPSec报文中IP地址/端口号计算完整性验证字;
步骤402:在接收端,利用所述固定值作为接收到的IP Sec报文中IP地址/端口号计算完整性验证字。
在本发明中,可以在发送端和接收端预先配置固定值作为完整性验证字时所使用的IP地址/端口号,也可以通过安全联盟建立过程中协商某个固定值作为完整性验证字时所使用的IP地址/端口号。而且,可以采用IKE方式、手工配置方式或应用层协商方式建立安全联盟。
本发明中发送端可以采用IPSec传输模式或隧道模式向接收端发送IP Sec报文,可以采用IPSec AH或ESP协议封装IP Sec报文。并且,IPSec报文中的IP地址格式可以采用IPv4或IPv6格式。
并且,在实际应用过程中,可以将所有发送端和接收端中配置相同的固定值,也可以在发送端和接收端通信之前建立安全联盟中协商两者所使用的固定值。
下面以采用IPSec传输模式为例说明本发明的技术方案。
例如:通信设备A通过NAT设备向通信设备B发送IPSec报文,该报文采用AH封装格式,参见图3所示。
由于通信设备A需要利用报文中的部分内容和预先协商好的密钥输入HMAC算法,计算出消息验证字(MAC)。而且,报文中的部分内容包括IP地址/端口号,而这里通信设备A将预先设置的一个固定值作为IP地址/端口号计算出MAC。
该固定值既可以为一个在规范中定义的缺省值,如设置为全0x00或全0xFF,作为一种事实标准在实现支持IPSec的设备上应用,或者在密钥协商过程中建立安全联盟时,作为安全联盟的一项参数指定,这样可以在安全联盟建立过程中动态设定该值。
由于IPSec报文经过NAT设备地址转换后,IPSec报文的IP地址/端口号已经被更改,因此,通信设备B接收到IPSec报文后,也需要利用预先配置的固定值作为计算MAC的IP地址/端口号,并且算法与发送端一致。此时,接收端再比较自己计算出的MAC值和发送端计算出的MAC值是一样的,因此完整性验证通过,从而保证IPSec报文在经过NAT变换后,不会因IP地址或端口号的变化导致验证失败而被丢弃。
参见图5所示,当采用IPSec ESP协议时,即采用ESP格式,由于ESP封装格式的IPsec完整性的保护范围中不包括IP头,因此,在发送端和接收端只需要将端口号设置为一个固定值,即可保证两端计算出的MAC值一致。
另外,对于IPSec ESP协议的加密保护,由于经过NAT变换后,可能端口号发生了变化,无法获得原始报文的源端口号,这是本方案无法解决的问题。但这一问题在大多数应用中是微不足道的,或者说是可以不用关心的,因为尽管源端口号发生了变化,报文中携带的有效数据Data部分仍然能被有效的还原,并不会影响设备间的有效通信。
另外,对于安全保护中的源认证问题(IPSec协议中AH具有源认证功能,ESP没有该功能),即对报文的发源地进行认证,如对IP地址的认证,本发明方案IP地址中如果采用在安全协商中获得的值来计算报文验证字,也能解决源认证问题,此时,需要通过对应用层数据报文的验证(基于密钥的验证)和报文中的时间戳(防重放攻击)的配合来一起完成对用户的源认证功能。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (6)
1、一种保证网络层安全报文穿越地址变换设备的方法,应用于发送端通过地址变换NAT设备向接收端发送网络层安全IP Sec报文的过程中,其特征在于:该方法包括以下步骤:
A.在发送端,利用预先设置的固定值作为IP Sec报文中IP地址/端口号计算完整性验证字;
B.在接收端,利用所述固定值作为接收到的IP Sec报文中IP地址/端口号计算完整性验证字。
2、根据权利要求1所述的方法,其特征在于:所述固定值为预先配置在发送端和接收端的,或在发送IP Sec报文前的安全联盟建立过程中协商,并保存在发送端和接收端的。
3、根据权利要求2所述的方法,其特征在于,所述安全联盟采用IKE方式,或手工配置方式,或应用层协商方式。
4、根据权利要求1所述的方法,其特征在于,所述发送端采用IPSec传输模式或隧道模式发送IP Sec报文。
5、根据权利要求1所述的方法,其特征在于,所述发送端采用IPSec AH或ESP协议封装IP Sec报文。
6、根据权利要求1所述的方法,其特征在于,所述IP地址采用IPv4或IPv6格式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510068224 CN1855924A (zh) | 2005-04-27 | 2005-04-27 | 网络层安全报文穿越地址变换设备的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200510068224 CN1855924A (zh) | 2005-04-27 | 2005-04-27 | 网络层安全报文穿越地址变换设备的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1855924A true CN1855924A (zh) | 2006-11-01 |
Family
ID=37195756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200510068224 Pending CN1855924A (zh) | 2005-04-27 | 2005-04-27 | 网络层安全报文穿越地址变换设备的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1855924A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030935B (zh) * | 2007-04-05 | 2010-11-17 | 中山大学 | 一种IPSec穿越NAT-PT的方法 |
| CN102231763A (zh) * | 2011-06-20 | 2011-11-02 | 北京思创银联科技股份有限公司 | 一种基于nat穿透的共享方法 |
| CN101426030B (zh) * | 2008-12-09 | 2012-06-27 | 华为技术有限公司 | 一种获取网络地址的方法和终端 |
| CN101999120B (zh) * | 2008-04-04 | 2013-01-30 | 微软公司 | 用于启用直接访问和安全评估共享的硬件接口 |
| CN104468519A (zh) * | 2014-11-12 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种嵌入式电力安全防护终端加密装置 |
| WO2019153994A1 (zh) * | 2018-02-06 | 2019-08-15 | 华为技术有限公司 | 安全协商方法及装置 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| WO2021082879A1 (zh) * | 2019-11-01 | 2021-05-06 | 华为技术有限公司 | 传输组播报文的方法和相关装置 |
| CN117134991A (zh) * | 2023-10-16 | 2023-11-28 | 北京环宇博亚科技有限公司 | 一种针对交通信息发布系统的安全加密防护系统 |
-
2005
- 2005-04-27 CN CN 200510068224 patent/CN1855924A/zh active Pending
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101030935B (zh) * | 2007-04-05 | 2010-11-17 | 中山大学 | 一种IPSec穿越NAT-PT的方法 |
| CN101999120B (zh) * | 2008-04-04 | 2013-01-30 | 微软公司 | 用于启用直接访问和安全评估共享的硬件接口 |
| CN101426030B (zh) * | 2008-12-09 | 2012-06-27 | 华为技术有限公司 | 一种获取网络地址的方法和终端 |
| CN102231763A (zh) * | 2011-06-20 | 2011-11-02 | 北京思创银联科技股份有限公司 | 一种基于nat穿透的共享方法 |
| CN104468519A (zh) * | 2014-11-12 | 2015-03-25 | 成都卫士通信息产业股份有限公司 | 一种嵌入式电力安全防护终端加密装置 |
| CN104468519B (zh) * | 2014-11-12 | 2017-10-27 | 成都卫士通信息产业股份有限公司 | 一种嵌入式电力安全防护终端加密装置 |
| WO2019153994A1 (zh) * | 2018-02-06 | 2019-08-15 | 华为技术有限公司 | 安全协商方法及装置 |
| US11765578B2 (en) | 2018-02-06 | 2023-09-19 | Huawei Technologies Co., Ltd. | Security negotiation method and apparatus |
| WO2021082879A1 (zh) * | 2019-11-01 | 2021-05-06 | 华为技术有限公司 | 传输组播报文的方法和相关装置 |
| CN112769745A (zh) * | 2019-11-01 | 2021-05-07 | 华为技术有限公司 | 传输组播报文的方法和相关装置 |
| CN112769745B (zh) * | 2019-11-01 | 2022-07-22 | 华为技术有限公司 | 传输组播报文的方法和相关装置 |
| CN111147382A (zh) * | 2019-12-31 | 2020-05-12 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN111147382B (zh) * | 2019-12-31 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN117134991A (zh) * | 2023-10-16 | 2023-11-28 | 北京环宇博亚科技有限公司 | 一种针对交通信息发布系统的安全加密防护系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1855924A (zh) | 网络层安全报文穿越地址变换设备的方法 | |
| US8843738B2 (en) | TLS abbreviated session identifier protocol | |
| Raza et al. | Secure communication for the Internet of Things—a comparison of link‐layer security and IPsec for 6LoWPAN | |
| EP1186146B1 (en) | A method and arrangement for providing security through network address translations using tunneling and compensations | |
| Hennebert et al. | Security protocols and privacy issues into 6LoWPAN stack: A synthesis | |
| US8549614B2 (en) | Establishing internet protocol security sessions using the extensible messaging and presence protocol | |
| US7743245B2 (en) | Security protocols on incompatible transports | |
| US20010009025A1 (en) | Virtual private networks | |
| CN1643947A (zh) | 用于提供动态互联网协议安全策略服务的方法 | |
| MXPA04000800A (es) | Metodo que autentifica cargas utiles de paquete. | |
| WO2004114631A1 (en) | System and method for dynamically creating pinholes in a firewall of a sip-based | |
| US11924248B2 (en) | Secure communications using secure sessions | |
| Raza et al. | 6LoWPAN extension for IPsec | |
| EP1402350B1 (en) | Method and system for acces in open service architecture | |
| CN113746861A (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
| KR20070121323A (ko) | IPⅴ6 네트워크와 IPⅴ4 네트워크 연동을 위한NAT-PT에서의 IPsec 지원 방법 | |
| Annapurna et al. | Data link layer-security issues | |
| Ertekin et al. | Integration of robust header compression over IPsec security associations | |
| Thanthry et al. | A novel mechanism for improving performance and security of tcp flows over satellite links | |
| Hares et al. | SSE BOF R. Moskowitz Internet-Draft HTT Consulting Intended status: Standards Track I. Faynberg Expires: August 7, 2016 H. Lu Alcatel-Lucent | |
| BOF | Session Security Envelope draft-moskowitz-sse-01 | |
| Hares et al. | SSE BOF B. Moskowitz Internet-Draft HTT Consulting Intended status: Standards Track I. Faynberg Expires: September 30, 2015 H. Lu Alcatel-Lucent | |
| Herrero et al. | Network and Transport Layers | |
| Lindskog et al. | A comparison of end-to-end security solutions for sctp | |
| Brower et al. | Integrating header compression with ipsec |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |