[发明专利]实施因特网安全协议的方法、系统、网关及网络节点

说明书

技术领域

本发明涉及网络技术，尤其涉及一种实施因特网安全协议的方法、系统、NAT-PT网关及网络节点。 

背景技术

随着网络规模的飞速扩大，因特网协议版本4(Internet Protocol version 4，IPv4)由于地址空间太少、安全性低等因素，已经不能够满足当今和未来网络发展的需求。随着网络技术的迅速发展，出现了因特网协议版本6(InternetProtocol version 6，IPv6)，IPv6作为IPv4的升级版本，提供了巨大的地址空间，大大丰富了地址资源。但是，鉴于IPv4属于相当成熟的技术，应用普及广泛，且IPv6技术及相关设备不完备，IPv6网络不可能立刻完全取代IPv4网络，还需要很长一段时间与IPv4网络共存，实现IPv4网络向IPv6网络的过渡。 

IPv6网络与IPv4网络共存阶段，使二者实现互通的技术有：双栈技术、隧道技术和网络地址转换-协议转换(NAT-PT)技术，其中，NAT-PT技术具体为：在IPv4网络和IPv6网络之间设置NAT-PT网关，对不同协议版本的数据包进行地址转换和协议转换。为便于描述，将基于NAT-PT网关的网络即NAT-PT网关及两端的网络通称为NAT-PT网络。NAT-PT网关负责维护一个IPv4地址池和一张IPv4地址和IPv6地址的映射表，对于IPv4到IPv6的地址转换，NAT-PT网关在IPv4地址前加上一个96位的NAT-PT前缀，实现从IPv4网络到IPv6网络的通信；对于IPv6到IPv4的地址转换，NAT-PT网关从地址池中分配一个可用的IPv4地址来映射IPv6地址，任何从该IPv6地址来的数据包都被替换成该IPv4地址，实现从IPv6网络到IPv4网络的通 信。这些映射信息都记录在映射表里，以供NAT-PT网关查询。通过NAT-PT网关实现IPv4网络与IPv6网络的互通，从而带来了NAT-PT网关在IPv4网络与IPv6网络之间进行数据传输的安全问题，即NAT-PT网络的安全问题。 

目前，解决NAT-PT网络的安全问题是通过在NAT-PT网络中使用因特网安全协议(Internet Protocol Security，IPSec)来实现的，即IPSec穿越NAT-PT网关，具体为：在因特网密钥交换(Internet Key Exchange，IKE)协商的主模式阶段，通过新增NATPT-Detect的IKE载荷(以下简称NATPT-D载荷)，实现NAT-PT的发现机制；IPSec保护下的通信阶段，检测到NAT-PT网关后，用“伪IP头”取代原来的IP头计算验证头部(Authentication Header，AH)的验证数据(Authentication Data)，解决了AH与NAT-PT的不兼容问题。 

IPSec是由因特网工程任务组(Internet Engineering Task Force，IETF)设计的一套在网络层提供IP安全性服务的协议，为IP及上层协议提供了无连接的数据完整性、数据源身份认证、抗重放攻击、数据保密性、有限的数据流保密性以及访问控制等安全服务。IPSec由AH协议、封装安全载荷(Encapsulating Security Payload，ESP)协议、IKE协议及用于网络认证和加密的一些算法组成，其中，AH能提供无连接的数据完整性、数据源身份认证、抗重放攻击服务以及访问控制，AH头的完整性检查覆盖了IP头中的某些域；ESP的功能主要是加密，除提供AH的功能外还提供数据保密性、有限的数据流保密性，ESP同时也有认证功能，但认证范围不包括IP头。 

通过现有的NAT-PT网络中IPSec的使用方法，IPSec在AH传输模式、AH隧道模式、ESP传输模式、ESP隧道模式下都能够穿越NAT-PT网关，应用到异构网络的通信中，大大提高了异构网络通信的安全性。 

在实现本发明的过程中，发明人发现现有技术至少存在以下缺点：引入了新的Authentication Data算法，对标准的算法做了修改，导致了算法的复杂性增加；利用“伪IP头”取代原来的IP头，针对不同的分组采用不同的Authentication Data算法，增加了处理时间；在IKE协商的主模式阶段增加 NATPT-D载荷发现NAT-PT的存在，影响了带宽的利用，同时由于IKE的协商报文采用UDP封装的方法穿过NAT-PT，IKE包的UDP源端口可能会被修改，并且要求响应者能够处理端口号并非“UDP500”的IKE请求，由此采用了NATPT-OA封装，但所有的这些措施需对标准IKE协商做额外的处理，大大增加了系统的复杂度。