Journal of KIISE:Information Networking (한국정보과학회논문지:정보통신)

Korean Institute of Information Scientists and Engineers (한국정보과학회)
권호 표지

An End-to-end IPSec Security Mechanism considering NAT-PT

NAT-PT를 고려한 단대단 IPSec 보안 메커니즘

  • 현정식 (충북대학교 전자계산학과) ;
  • 황윤철 (충북대학교 전자계산학과) ;
  • 정윤수 (충북대학교 전자계산학과) ;
  • 이상호 (충북대학교 전기전자컴퓨터공학부)
  • Published : 2003.10.01
Download PDF
⟨ Previous Next ⟩

Abstract

Network Address Translation-Protocol Translation(NAT-PT) is an IPv4/IPv6 translation mechanism, as defined in RFC2766, allowing IPv6-only devices to communicate with IPv4-only devices and vice versa. But NAT-PT has the restriction that applies to IPv4 NAT where NAT-PT does not provide end-to-end security, which is a major goal of IPSec. Therefore it cannot support security services such as confidentiality, authentication, and integrity. In this paper, we propose secure NAT-PT(SNAT-PT) and the corresponding secure host architecture to support IPSec security service. And also tunneling scheme using dummy IP header is presented to show the valid operation of end-to-end IPSec protocol on the proposed architectures.

RFC2766에 정의된 NAT-PT(Network Address Translation-Protocol Translation)는 IPv6 디바이스들이 IPv4 디바이스들과 서로 통신할 수 있도록 제공된 IPv4/IPv6 변환 메커니즘이다. 그러나 NAT-PT는 IPSec의 주요 목적인 종단간 보안을 제공하기 못하는 제약을 가지고 있으므로 기밀성, 인증, 무결성과 같은 보안 서비스를 제공하지 못한다. 이 논문에서는 IPSec 보안 서비스를 제공하기 위한 SNAT-PT(Secure NAT-PT)와 이를 기반으로 동작하는 보안 호스트 구조를 제안한다. 그리고 제안된 구조에서 종단간 IPSec 프로토콜이 동작함을 보이기 위하여 더미(dummy) IP헤더를 이용한 터널링 기법을 제시한다.

Keywords

References

  1. S. Deering, R. Hinden, 'Internet Protocol, Version 6(IPv6) Specification,' RFC1883, 1995. 12
  2. G. Tsirtsis, P. Srisuresh, 'Network Address Translation Protocol Translation(NAT-PT),' RFC2766, 2000. 2
  3. M. Borella, J. Lo, D. Grabelsky, G. Montenegro, 'Realm Specific IP: Framework,' RFC3102, October 2001
  4. Harkins, D., and D. Carrel, D., 'The Inernet Key Exchange(IKE),' RFC2409, November 1998
  5. Kent, S., and R. Atkinson, 'IP Authentication Header,' RFC2402, November 1998
  6. Kent, S., and R. Atkinson, 'IP Encapsulating Security Payioad (ESP),' RFC2406, November 1998
  7. Egevang, K. and P. Francis, 'The IP Network Address Translator (NAT),' RFC1631, 1994. 5
  8. Nordmark, E., 'Stateless IP/ICMP Translator(SIIT),' RFC2765, 2000. 2
  9. Srisurech, P. and M. Holdrege, 'IP Network Address Translator (NAT) Teriminology and Considerations,' RFC2663, 1999. 8
  10. Piper, D., 'The Internet IP Security Domain of Interpretation for ISAKMP,' RFC 2407, November 1998
  11. Maughan, D., Schertler, M., Schneider, M., and J. Turner, 'Internet Security Association and Key Management Protocol(ISAKMP),' RFC 2408, November 1998
  12. Bernard Aboba, William Dixon, 'IPSec-NAT Compatibility Requirments,' draft-ieft-ipsec-nat-reqts-02.txt, August 2002