基于IPSec的VPN网关设计与实现

本文首先介绍了VPN网关及其重要性,然后对IPSec协议进行了详细的介绍,最后设计实现了基于IPSec的VPN网关.在设计VPN安全网关时采用IPSec协议,使用ESP对传输的数据进行严格的保护,使用AH进行用户与数据认证,能够较好地增强IP站点间安全性.基于IPSec协议的VPN安全网关设计对于实现Intemet网络安全具有重要意义.     

基于HCR路由器的IPSec系统设计与实现

IPSec VPN和分布式路由器技术为网络的安全做出了重大贡献。在路由器上实现IPSec VPN功能模块有着更为重要的意义,这不仅可以保护重要的网络路由数据包及各种网络业务数据包,还可以和其它的VPN技术融合来共同构筑整个IP传输网的安全。本文提出一种基于HCR路由器技术的IPSec VPN系统方案,给出IPSec VPN系统在网络处理器（NPC）上的处理流程以及SPDB/SADB模块和加密/解密模块的设计方案。     

基于硬件加密的嵌入式VPN网关实现

处理速度成为制约基于软件加/解密的VPN网关性能提高的瓶颈。文中提出了网络主处理器和加密卡并行处理IPSec数据的嵌入式VPN网关实现方案。在该实现方案中,IPSec数据包的加/解密以及认证等高强度的计算均由硬件加密卡完成,而使网络主处理器更专注于对IPSec数据包的封装处理。试验数据表明,这种实现方案运行稳定,能够满足高速网络的需求。     

基于IXP2400网络处理器的IPSec VPN网关设计

VPN网关系统在网络安全中有着非常重要的应用.为了解决采用X86 CPU或ASIC平台设计VPN网关所存在的速度或灵活性上的不足,提出了一种采用网络处理器 IXP2400的高速IPSec VPN网关设计与实现方案.仿真实验表明,系统达到了千兆级VPN网关要求,为研发高速VPN网关系统提供了一条新途径.     

多核系统下的IPSec VPN网关的研究和实现

由于传统IPSec VPN网关面临新业务计算能力的困难,提出了多核系统系统下的IPSec VPN网关的实现方法.在Linux系统下通过对单处理器系统的IPSec VPN网关的报文处理流程的改进,实现了多核系统下的IPSec VPN网关,再通过多处理器间负载均衡和多核软件可执行级代码兼容性改进,进一步提高了多核系统下IPSec VPN网关的处理能为.最终测试结果表明,不仅在双核系统、四核系统上获得极高性能的提升,而且实现了可执行级代码的兼容性,并根据测试结果,在技术领域首次提出多核系统性能边际效益递减的规律.     

一种嵌入式VPN网关系统的设计与实现

在分析IPSec协议数据处理基础上，提出采用嵌入式主处理器和协处理器分别处理IPSec协议中控制层面任务和数据层面任务的方案，并实现了一种基于S3C2510网络处理器和μCLinux操作系统的嵌入式IPSec VPN网关系统。     

基于多核处理器的网络安全协议并行处理研究

网络安全协议的处理过程通常需要进行大量加解密运算,会对网络传输带宽产生较大影响。文章研究了基于多核处理器的网络安全协议并行处理技术,提出了针对IPSec和SSL协议的并行处理模型,这些模型可以有效改进协议处理效率,提高网络的整体性能。     

基于Netfilter框架的VPN网关实现技术研究

VPN是在开放网络环境下向用户提供类似专用网络的信息传输框架的安全体系。VPN解决全球化企业联网的能力正使其越来越受到关注。IPSec协议良好的体系结构及解决端对端通信的能力使其已经成为开发VPN的事实标准。该文在深入研究IPSec协议以及Netfilter框架的基础上,提出了一种全新的基于Netfilter框架实现VPN网关的实现方案,并在工程中进行了实施。     

IPSec在MPLS VPN中的应用

随着MPLS技术在骨干网上的广泛使用,网络服务商向用户提供基于MPLS技术的虚拟专用网服务.基于MPLS网络的VPN服务在传输用户数据时存在一定的安全漏洞,文中分析了MPLS VPN的结构及存在的安全缺陷,提出一种方法,把IPSec应用在MPLS VPN中以加强用户数据传输的安全性.对IPSec的安全功能及应用场合进行了研究,给出在用户管理的网络边缘设备CE上配置IPSec的方法.实现了VPN用户数据分组进入骨干网之前的安全保护措施,并对IPSec分组的工作过程做了解释.     

基于Linux的XFRM框架下IPSec VPN的研究

针对现有 IPSec VPN 系统在效率和可靠性方面存在的问题,提出并改进了一种基于Linux最新内核平台的 IPSec VPN网关系统。给出Linux 的XFRM 框架结构和函数调用结构的表述,其中包括XFRM框架模块与内核中IPSec进入外出处理的交互结合和VPN 网关安全隧道的构建,利用 XFRM 框架实现 IP 层处理和IPSec 处理。对新系统进行了仿真实现与性能评价,结果表明,它是可行和有效的。     

基于Linux的IPSec VPN网关的设计与实现

重点研究了IPSee协议及其体系结构、工作模式和相关协议。详细分析了利用IPSec建立虚拟专用网络网关的优点。提出利用KAME—tools工具设置Linux2．6内核的方式来实现Linux系统中基于IPSee的虚拟专用网络网关的方法。并给出了配茸虚拟专用网络网关的具体过程,最后在Linux上实现了一种基于IPSee的虚拟专用网络网关。     

IPSec VPN安全网关的LDAP接口优化设计与实现

LDAP协议是Internet快速目录数据查询访问的重要协议.IPSec VPN网关在IKE交互中用证书对IPSec对等实体(远程用户、远程VPN网关)进行身份认证建立安全关联.为了提高实用性和查找效率,本文将LDAP引入IPSec VPN网关的设计中,证书及证书撤销列表存放采用本地和LDAP服务器相结合的设计,以本地优先的原则.所做的相应设计减轻了网关和LDAP服务器的通信负担,显著地提高网关对证书的处理效率,加快了认证速度.     

基于IPSec的VPN网关设计*

基于IPSec的VPN网关实现方案包括通过插入IPSec模块和融合IPSec在系统内核中的两种方法。通过修改Linux内核实现IPSec具有处理速度快,可避免来自操作系统的安全漏洞的优点。讨论了在Linux系统下采用融合IPSec的VPN网关实现。     

基于EP80579集成处理器的VPN的设计与实现

为了解决网络流量的快速增长对VPN(虚拟专用网)网关速度和性能要求日益提高的问题,提出一种基于Intel集成处理器EP80579的系统设计方案,充分利用该硬件平台上专用协处理器对网络数据包转发、加解密等操作进行处理的能力设计软件栈,解放CPU处理网络数据包的压力.实验结果表明,Linux上的以Openswan实现的IPSec VPN在性能上得到显著提高,从而论证了复杂指令集的X86体系结构和精简指令集的协处理器的协同工作成为网络安全处理上一种高效的解决方案.     

Securing VPN from insider and outsider bandwidth flooding attack

Globalization is the order of the day. Linking globally dispersed corporate offices and securing the data transferred between them is a critical activity. Virtual Private Network (VPN) is a viable and low cost option. VPN is cost effective as the Internet is its backbone. In addition to security, corporate needs uninterrupted and guaranteed service. Internet Protocol Security (IPSec) VPN can live up to their expectations by having reserved bandwidth. IPSec VPN provides confidentiality, availability and integrity. However it does not protect the network from spoofed packet attacks. These attacks target the bandwidth allocated to VPN and degrade the performance of the VPN. Bandwidth Flooding attack on VPN represents a major threat. In this paper we focus on making the reserved bandwidth available fully to the legitimate VPN users. Source end protection architecture is proposed to maximize the utilization of the reserved bandwidth by protecting VPN sites from insider and outsider attacks. The protection from insider attack is based on a probability based rate limiting model. The protection from outsider attack is based on an Access Token Embedded Encapsulating Security Payload (ATEESP) header. We analyze the effectiveness of our proposed architecture through simulation.