YDT1468-2006 IP安全协议(IPSec)穿越网络地址翻译(NAT)技术要求

本标准是IP安全协议（IPSec）系列标准之一。该系列标准的名称及结构预计如下： 1.（IP安全协议体系结构》（MOD IETF RFC2401） 2.（IP认证头（AH）》（MOD IETF RFC2402） 3.《IP 封装安全载荷（ESP）》（MOD IETF RFC2406） 4.《IP安全协议（IPSec）技术要求》 5.《IP安全协议（IPSec）测试方法》 6.《IP安全协议（IPSec）穿越网络地址翻译（NAT）技术要求》 7.《因特网密钥交换协议（IKEv2）第1部分：技术要求》 8.《因特网密钥交换协议（IKE v2）第2部分：测试方法》 本标准的附录A、附录B和附录C是资料性附录。 本标准由中国通信标准化协会提出并归口. 范围 本标准规定了IPSec穿越NAT的技术要求，包括IPSec穿越NAT存在的兼容性问题、兼容性要求、解决方法以及穿越NAT对IPSec的影响等。 本标准适用于支持IPSec穿越NAT的数据设备。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 1466-2006 IP 安全协议（IPSec）技术要求 IETF RFC 768（1980） 用户数据报协议（UDP）IETFRFC 1321（1992） MD5 消息摘要算法 IETFRFC 1828（1995） 使用 MD5 密钥的 IP 认证 IETFRFC 1829（1995） ESP DES-CBC 转换 IETF RFC 2085（1997）使用抗重播的 HMAC-MDSIP 认证 IETFRFC 2104（1997） HMAC：消息认证的密钥哈希 IETF RFC 2401（1998） IP 安全架构 IETFRFC 2402（1998） IP 认证头 IETF RFC 2403（1998） ESP和AH中HMAC-MD5-96的使用 IETF RFC 2404（1998）IETF RFC 2405（1998）IETF RFC 2406（1998） ESP 和 AH 中使用 HMAC-SHA-1-96 的使用帶有显式V的ESP DES-CBC密码算法 IP 封装安全载荷 IETF RFC 2407（1998） 对 ISAKMP 的因特网 IP 安全域解释 IETFRFC 2408（1998） 互联网安全联盟和密钥管理协议（ISAKMP）IETF RFC 2409（1998） 互联网密钥交换协议（IKE）IETFRFC 2410（1998）IETFRFC 2663（1999）IETFRFC 3022（2001） IPSec的空加密算法和使用 IP NAT 的术语和研究 传统IP NAT IETFRFC 3056（2001）IETFRFC 3103（2001） IPv4 网中连接 IPv6 域 城限定 IP：协议说明 IETFRFC 3715（2004） IPSec-NAT 兼容性要求 IETFRFC 3947（2005） IKE 中 NAT 地址穿越协商 IETFRFC 3948（2005） IPSec 数据包的 UDP 封装 PSc作为一种重要的安全技术得到越来越广泛的应用，面客户网络边缘大量使用的AT地址翻译操作，可能影响到PSC的正常操作。NAT分为基本NAT（网络地址翻译）和NAPT〔网络地址端口翻译） 两种类型。基本NAT只是对P地址进行翻译：而NAPT除了翻译地址外，还要翻译传输层标识，如TCP/UDP端口号、CMP的查询标识。本标准中NA（P）T表示为NAT或NAPT。 容前NAT和PSc之间存在的不兼容性题可以分为以下二类： （I）NA（P）T固有的问题。这类不兼容间题直接由NA（P）T与PS心协议本身不兼容产生，因此存在于所有的NA（P）T设备中： （2）NA（P）T实现上的问题。这类不兼容间题虽然不是NA（P）T协议所固有的，但却在大量的NA（P）T实现中存在。因为它们不是NA（P）T协议的锢有问题，因此原则上在以后的NA〔P）T设计实现中可以避免该类问题的产生。但由于这些问题已经广泛存在，因此在NA（P）T穿越方案中地必须考感这些间题。 〔3}辅助功能人的问题。这类不兼容问题出现在那些试图解决PS®cNA（P）T穿越问题的NA〔P） T设备中。在这些NAT设备中，可能由于设计部分穿越辅助功能而产生了新的不兼容性，造成更难于解决的问题。虽然不是所有的NA（P）T设备都提供这种所谓的辅助功能，但考虑到该类问题的普遍性，在NA （P）I穿越方案中也需要考虑这类间题。 NA（P）T协议固有的不兼容性包括。 （1）PSec AH和NAT的不兼容。由于AH所提供的完整性检验中包括了对P源地址和目的地址的检验，而NAT和反向NAT设备对地址域进行了悠玫，从而导致AH检验失效。ESP协议中对完整性的检验不包括P源地址和耳的地墟，因此在ESP中不存在这类不兼容问题。 （2）NAT与校验和的不兼容。由于TCP和UDP的校验和计算中包含了伪头部，因此校验和的计算结果依赖于P源地址和目的地址。因此。如果在传输过程中经过了NAT设备，则接收者对校验和的计算也存在问题。因此，PSec ESP只有在不涉及TCP/UDP协议或者不进行校验和计算时才能够颜利通过NAT（例如，PSec隧道模式、PSec/GRE隧道以及Pv4UDP应用）。 在Pv4中，TCP校验和必须进行计算和确认。在Pv6中，DP℃P校验和都必须计算和确认，因此上述问题广泛存在。 SCTP（Stream Control Transmission Protocol）中使用的CRC32C算法买对SCP包进行校验和计算，而没有包含P头部。因此，NAT不会使SCTP CRC无效，也就不会产生这类不兼容问题。 因为传输模式的PSεc通信流通过加密方式完成完整性保护和身份验证，在检查UDP/TCP校验和之前对数据包进行修改检测，因此校验和的确认仅用于防让内部处理的错误。 （3）承E地址标识符和NAT的不兼容。在KE主模式或快速模式交换中使用P地址作为标识符，而NAT或反拘NAT对P源1目的地址的修说使得标识符和P头部中的P地址不匹配，KE实现将丢弃存在该类问题的报文。