IPSec安全技术的研究与实现

IPSec是一整套协议包而不只是一个单独的协议,IPSec协议把多种安全技术集合在一起,建立起一个安全、可靠的隧道.该文对IPSec安全协议簇、安全关联技术以及安全数据库技术进行了详细的研究和探讨,给出IPSec数据处理的实现方法,从而保证网上信息的安全性.     

基于IPv6协议的IPSec与防火墙协同工作设计与实现

IPSec通过对IP报文的加密和验证,保证数据在传输过程中的安全.由于IPSec封装了报文中一些重要信息,使得IPSec与防火墙不能同时有效地工作.利用IPv6的Hop-by-Hop扩展报头存放端口信息,并建立验证关联以保证端口信息的完整性.把这种方案与防火墙技术结合起来,设计实现网关防火墙的主要功能,并对系统的时延和吞吐量进行了测试与分析,证明了该策略的可行性.     

一种实现IPSec和主机防火墙的设计

该文考虑到主机通信安全和防护安全的整体性和一致性要求,对IPSec与软件防火墙在终端主机上的应用所存在的问题进行了分析;探讨了将两者进行框架整合的优势;给出了一种实现IPSec安全协议和主机软件防火墙的设计方案,以及关键技术。     

IPSec与自主可控VPN关键技术

P安全协议(IPSec) IPSec是由IETF提出的一套Internet安全协议标准族,可以“无缝”地为IP网络和服务引入比较完备的安全特性和互操作性。利用IPSec提供的安全服务可以实施不同的安全配置:端到端安全可通过在主机上配置IPSec组件的方式获得;在路由器或防火墙设备中配置     

基于IPSec协议的VPN在防火墙中的应用研究

文章重点研究了IPSec协议标准,阐述了IPSec协议集中的AH协议和ESP协议,指出了IPSec协议常用的传输模式和隧道模式两种方式,给出了IPSec安全机制。文章还介绍了VPN,分析VPN的优点。最后以一个实际网络环境为例,介绍在防火墙中配制基于IPSec的VPN的常见步骤。     

ML—IKE：一种改进的卫星链路分层密钥分配协议

传统的IKE协议不能适用于分层IPSec协议,为了解决卫星链路中基于PEP中间节点的TcP加速技术同端到端IP安全协议IPsec之间的矛盾,本文对传统IKE主模式和快速模式进行了扩展,提出了一种改进的分层密钥分配协议：ML—IKE。该密钥分发协议用于对两端节点和中间节点分别进行密钥交换,使得不同节点具有不同安全关联SA,而不同的SA分别对应分层IPSec中不同IP包字段,因此拥有不同安全关联sA的节点具有对IP包中不同数据段的权限。ML—IKE协议适用于分层IPSec,使得分层IPSec能够进行自动的密钥分发和更新。     

IPSec研究及实现

虚拟专用网（VPN）技术是在开放的网络上实现专用信息传输的一种网络安全技术,IPSec（IP安全体系结构）是实现VPN技术的有效手段.它是针对IPv4存在的安全问题,提出的一种标准的、健壮的以及包容广泛的安全机制,可以为IP及上层协议（如UDP和TCP）提供安全保证.详细地介绍了在网络层提供安全服务的IPSec安全体系结构及其安全协议的工作原理,并对其中的AH协议、ESP协议、安全关联、安全策略及其处理过程进行了深入的研究.最后,着重介绍了IPSec主要模块在Linux下的实现.     

一种新的基于IPSec over Http协议的VPN通信研究

首先针对防火墙等设备的网络访问控制,讨论了穿越防火墙的隐蔽通信常用的方法例如HTTP隧道.接着在对IPSec体系进行剖析的基础上,指出了IPSec协议网络兼容性较差,从而提出了新的结合IPSec隧道和HTTP隧道的IPSec over Http协议,并给出了协议实现的结构和流程.为了对协议模型进行验证,文章以FreeSWAN软件为基础,对IPSec over Http协议进行了设计和实现,并提供了性能测试数据作为比较,最后文章对新系统的性能进行了理论分析.     

IPSec协议及其实现的研究

IPSec是新一代因特网安全协议套件,它在IP层提供安全服务,IPSec提供的安全服务包括：访问控制,数据源验证,重放包拒绝以及杨密性保证机制,本文介绍了IPSrc结构,IPSec基本协议;身份验证报头（AH）和封装安全载荷（ESP）;Internet密钥交换（IKE）,安全策略数据库（SPD）,安全联盟数据库（SADB）,以及IPSec在防火墙中的应用。     

基于IPSec的分布式防火墙安全体系框架

介绍了分布式防火墙的基本概念和自身存在的安全威胁，描述了基于IPsec的分布式防火墙安全体系框架，包括框架的内、外部设计，阐明了结合IPSec协议的安全体系框架为分布式防火墙提供的安全功能。     

一种基于IPSec的宽带无线IP网络匿名方案与实现

宽带无线IP(BroadbandWirelessIP,BWIP)是结合无线通信和Internet的新技术,其安全性研究已成为全球关注的焦点,目前提出的许多安全解决方案对用户匿名性考虑较少。文中结合IPSec的ESP和AH协议,利用MobileIP中FA与HA的代理功能,提出一种基于IPSec的BWIP网络匿名方案,该方案可以提供双向、实时的宽带无线Internet匿名通信,可以有效地阻止宽带无线Internet中流量分析攻击。文中先给出匿名方案的实现原理和匿名通道建立协议,然后给出实现本匿名方案的数据封装格式。分析表明,该匿名方案在支持IPSec的IP路由器和IP网关上容易实现,可以作为BWIP网络匿名基础设施。     

一种改进的IPSec密钥恢复技术

该文主要介绍了关于密钥恢复的一种加密解决方案和一种通过在IP数据报加入密钥恢复信息提供密钥恢复能力的密钥恢复的方式。描述了一种以字节形式携带密钥恢复信息的技术,这从某种意义上说与IPSec的结构是一致的。另设计了一种比其它密钥恢复协议更健壮的协议。     

基于IPSec的移动IP安全体系框架

1.引言让人们能够随时、随地访问Internet,是当前Internet研究的一个热点,也是下一代真正的个人通信技术的目标。移动IP就是这样的一种技术.它也是目前唯一可以在Internet上为移动计算机提供无缝漫游的协议。由于移动IP通信往往既经过有线链路,又通过无线链路,被攻击的概率比普通IP通信大大增加,因此面临着更大的网络信息安全方面的威胁。由此可见,考虑在移动IP通信     

基于IPSec协议的VPN安全网关设计

随着Intemet技术在各行业信息系统中的广泛应用,企业内部网络和应用系统的安全保密问题日益突出。在研究IP安全协议和虚拟专用网（YEN）技术的基础上,提出一种集防火墙技术和网络加密技术于一体的VPN安全网关的设计方案,给出主要软件模块的设计,对安全网关在实际应用系统中的应用模式进行了分析。     

基于代理机制改进UDP封装方式实现VPN穿越NAT

NAT设备需要改变数据包的IP地址和端口号，而端口号等信息在IPSec协议中是经过加密的，这导致了NAT和IPSec协议的不兼容性。介绍了采用UDP封装方式实现VPN穿越NAT的方法，以及采用代理机制对其改进，并通过实例对改进的方法优缺点进行了分析，使其能解决IKE协商的响应者在NAT设备后的问题。     

针对ICMP报文处理问题的IPSec协议改进方案

IPSec应用在通道模式下时，对原始IP数据报另外封装了一个外部通道IP头(其中的源、目的地址分别指向实施IPSec的起始、终止端点的地址)，导致报文传输途中的路由器对其封装的IP数据报所产生的ICMP差错报文不能在因特网上进行正确转发。该问题是一个难解决的问题，目前暂无成熟可行的方案。针对此问题，本文提出两种对IPSec协议进行改进的方案，均能保证在不影响原有IPSec实施效率的前提下，解决该难题。     

IPSec中PAI鉴别模型的研究

目前,IP网络面临着安全问题需要解决,IPSec(IPSecurity)是一个适合于IP层安全性问题的标准解决方案,但IPSec不适合进行大规模部署和有效管理。针对该问题,给出了一个应用于IPSec的PAI鉴别模型,该模型包含策略管理、鉴别服务和IKE扩展等部分。最后给出了该模型关键部分的实现方法。