[发明专利]基于IPv4/IPv6协议翻译的IPSec穿越互连方法

说明书

技术领域

本发明涉及IPv4/IPv6协议翻译互连技术NAT-PT与IPSec协议，特别是涉及到解决IPSec协议与NAT-PT机制之间兼容互连问题的改进技术。

背景技术

IPv4地址的急剧耗竭使得互联网规模的可扩展性受到了严重影响，同时其基础协议机制对IP移动网络、自组网络等新兴业务的支持也相对匮乏，全面采用IPv6势在必行。

然而长久以来，人们在IPv4网络基础上积累了大量的资源、投资与应用，鉴于IPv4设施及应用过渡至IPv6的规模与成本，其面向IPv6的过渡过程绝不可能一蹴而就，二者之间势必存在着相当长一段并存过渡时期。而在这一过渡时期中，如何保障异构IP协议节点及网络之间协议转换互连的安全性，成为IPv6应用推广过程中所需面临的一个关键问题。

这一问题继而在IPv4/IPv6迁徙过程中引发了一系列显著的需求，其大致可分为两个方面：一方面，人们期望纯IPv4与纯IPv6主机间端对端协议翻译互连的安全性能够得到保障；而另一方面，在IPv4/IPv6并存的过渡网络环境中，人们希望在IPv4、IPv6私有网络之间实现可跨协议域边界的透明转发，以尽可能重用已有的IPv4 VPN服务，削减部署、改造及管理成本。

考虑到统一IP承载的网络整体演进趋势，IPSec协议为满足上述安全应用需求提供了一种适当的技术手段，它既可用于实现端对端的可信传输通信，同时也被广泛地应用于三层VPN隧道互连与远程接入场合。但遗憾的是，作为一种网络层安全扩展机制，IPSec并不完全独立于底层IP协议，即，在IPv4/IPv6过渡网络中，即便在网络层上实施了IP协议翻译操作(NAT-PT)，也无法实现跨IP协议域的IPSec实体之间的互连，这一关键局限则为上述需求的实现制造了极大障碍。

NAT-PT是当前唯一一种支持异构IP网络直接互连的IPv4/IPv6过渡机制，然而它却无法与IPSec实现互操作。这一机制兼容性问题主要源于二者功能性的本质矛盾：一方面，地址-协议翻译将导致IPSecAH/ESP封装的完整性验证失败，而另一方面，IPSec分组封装与加密也将使得NAT-PT无法获取必要的信息，从而妨碍其转换操作的实施。上述问题极大限制了IPSec在跨IP协议域过渡互连场合中的安全服务能力。

目前主要存在着两种基本思路，一种是双栈部署方式，即在所有设备上均配备双栈，这一IPSec互连实施方式最为直观，但其缺陷在于它将显著地增加部署和改造成本，并且令网络及安全管理的复杂度翻倍，而这在IPv4/IPv6过渡过程中往往是难以接受、应当尽量避免的。

此外，还存在着一类以IP HTI为代表的技术改进思路；让NAT-PT设备被动介入IPSec协商过程，进而由发端根据NAT-PT所提供的信息来调整发送数据，从而向收端隐藏地址-协议翻译细节并实现IPSec协议的有效穿越，是其基本思路；此类技术多以NAT-PT机制改进为根本出发点，其不仅需要升级已部署的NAT-PT设备，同时还必须辅以部分的IPSec协议栈修改，同时，它只能实现AH传输模式穿越而无法实现不同协议子网的隧道互连，且不能穿越端口转换设备，除此之外，作为“中间人”的NAT-PT设备由于无法获悉IKE会话密钥而只能以明文形式向发端发送转换信息，因而还引入了额外的安全隐患；综合其各方面缺陷可见，以NAT-PT改造方式来实现IPSec跨协议域互连在实际应用中并不具备足够的可行性.

发明内容

本发明提出通过IPSec协议及互连方式改进途径来解决其与NAT-PT的机制兼容性问题，从而实现IPv4/IPv6过渡网络中跨协议边界的主机、或子网安全互连。

本发明提出基于IPv4/IPv6协议翻译的IPSec穿越互连的方法，包括IKE SA协商和IPSec SA协商操作，具体包括以下步骤：将以普通的UDP-IKE形式发送IKE消息；在IKE SA协商过程中，IPSec双方交换VID载荷来检测彼此的NAT-PT穿越能力；在IKE SA协商过程中，IPSec双方交换TD载荷来检测传输沿途NAT-PT设备的存在性，当沿途存在NAT或NAT-PT设备时，后继协商信令采用UDP-non-ESP-IKE封装格式；在IPSec SA协商过程中，交换IRA载荷以确认发端所使用的IP协议和确切地址，收端依照IRA载荷对其传输层CRC进行纠正。