IPsec Support for NAT-PT in IPv6 Transition Mechanisms

IPv6 전환 기술 중 NAT-PT에서의 IPsec 적용 방안

  • 최인석 (숭실대학교 정보통신전자공학부) ;
  • 김영한 (숭실대학교 정보통신전자공학부) ;
  • 박용석 ((주)삼성전자 정보통신 연구개발센터) ;
  • 정수환 (숭실대학교 정보통신전자공학부)
  • Published : 2005.11.01

Abstract

NAT-PT is one of the IPv6 transition mechanisms, as defined in RFC2766, allowing IPv6-only devices to communicate with IPv4-only devices and vice versa. In NAT-PT, sender fail to verify TCP/UDP checksum and authentication data due to IP translation in the NAT-PT server The NAT-PT, therefore, has a limit to applying the IPsec that provides the end-to-end security such as confidentiality, authentication, and integrity. This paper proposes a scheme to apply the IPsec using IP HTI in NAT-PT environment.

IPv6 전환 기술 중 NAT-PT에서 양단간의 보안을 위해 IPsec을 적용하는 경우 NAT-PT 서버에서의 IP 헤더변환으로 인해 수신 측에서 TCP/UDP checksum과 인증 데이터에 대한 검증이 실패하는 문제가 발생한다. 본 연구에서는, NAT-PT 서버에서 IP Header Translation Information (HTI)를 IKE 수행 중에 NAT-PT 노드에게 제공하고, NAT-PT 노드가 이를 사용하여 TCP/UDP checksum과 인증 데이터를 생성함으로써 수신 측의 검증과정을 성공적으로 통과하는 방법을 제안하였다. 또한, 기존의 NAT 환경에서 IPsec 적용을 위해 제안되었던 방법들과의 비교를 통해 본 논문에서 제안하는 방법이 효과적인 것을 알 수 있다.

Keywords

References

  1. G. Tsirtsis, P. Srisuresh, 'Network Address Translation Protocol Translation (NAT-PT),' RFC 2766, February 2000
  2. S. Satapati, 'NAT-PT Applicability,' draftsa­tapati-v60ps-natpt-applicability-00, October 2003
  3. Egevang, K. and P. Francis, 'The IP Network Address Translator (NAT),' RFC 1631, May 1994
  4. Kivinen, T., 'Negotiation of NAT-Traversal in the IKE,' draft-ietf-IPsec-nat-t-ike-08, Fe­bruary 2004
  5. Huttunen, A. et. al., 'UDP Encapsulation of IPsec Packets,' Internet Draft, draft-ietf-IPsec-udp-encaps-6.txt, January 2003
  6. G. Montenegro, M. Borella, 'RSIP Support for End-to-end IPsec,' RFC 3104, October 2001
  7. E. Nordmark., 'Stateless IP/ICMP Transla­tion Algorithm (SIlT),' RFC 2765, February 2000
  8. S. Kent, R. Atkinson, 'Security Architec­ture for the Internet Protocol,' RFC 2401, November 1998
  9. S. Kent, R. Atkinson., 'IP Encapsulating Security Payload (ESP),' RFC 2406, Novem­ber 1998
  10. S. Kent, R. Atkinson., 'IP Authentication Header,' RFC 2402, November 1998
  11. D. Harkins, D. Carrel., 'The Internet Key Exchange (IKE),' RFC 2409, November 1998
  12. Aboba, B. et. Al., 'IPsec-Network Address Translation (NAT) Compatibility Require­ments,' RFC 3715, March 2004