双层IPSec与防火墙协同工作的一个设计方案

IPSec是为Internet通信提供安全服务的一组标准协议,它封装了传输层中的一些重要信息,而防火墙则需要访问报文中的信息进行控制处理。针对如何能够让IPSec和防火墙协同工作提出一种双层IPSec处理思想：将IP报文分为协议头和数据两部分,使用复合安全关联(Composite SA)对其进行安全处理,使IPSec和防火墙可以各取所需,从而给出上述问题的一个解决方案。该方案的优点在于安全主机与防火墙之间复合安全关联的协商灵活多变,与传统IPSec相比协议格式变化不大,传输效率较高。     

针对ICMP报文处理问题的IPSec协议改进方案

IPSec应用在通道模式下时,对原始IP数据报另外封装了一个外部通道IP头(其中的源、目的地址分别指向实施IPSec的起始、终止端点的地址),导致报文传输途中的路由器对其封装的IP数据报所产生的ICMP差错报文不能在因特网上进行正确转发。该问题是一个难解决的问题,目前暂无成熟可行的方案。针对此问题,本文提出两种对IPSec协议进行改进的方案,均能保证在不影响原有IPSec实施效率的前提下,解决该难题。     

NAT与IPSec协议兼容性问题及解决方案

概要介绍了IPSec协议和网络地址转换(NAT)协议的基本原理,着重介绍了IPSec协议与NAT协议所存在的矛盾,最后介绍了采用UDP封装方式实现IPSec报文穿越NAT的完整方案。     

一种改进的ICMP差错报文处理的IPSec协议

本文分析了IPSec协议在通道模式下对ICMP差错报文不能正确转发的问题,并对原IPSec协议进行改进,提出了一种对SA改进的IPSec解决方案。改进后的方案能够在保持原IPSec特性的基础上解决该问题,并能够与已有的IPSec实施方案兼容。     

一种直接基于IP封装的VPN模型

首先介绍IPSec协议，包括AH(Authentlcation Header)协议和ESP(Encapsulation Security Protocol)协议，讨论了IPSec实现VPN的复杂性，然后从发送模块和接收模块两部分来着手分析Linux操作系统IP-in-IP隧道封装的原理．综合对IPSec和IP封装的分析，提出一种直接基于Llnux的IP封装来实现VPN的框架，介绍了扩展的IPIP报文结构和系统处理流程．最后对目前Linux系统上的VPN实现FreeS／WAN进行了分析，并对直接基于IP封装的VPN和FreeS／WAN实现之间进行了比较，得出新的系统在实现上和性能上都具有一定的优势。     

基于防火墙钩子的IPSec VPN研究与实现

针对采用网络驱动接口规范（NDIS）实现IPSec VPN系统过程中存在的问题,提出一种基于防火墙钩子的IPSecVPN系统,研究了Windows网络层防火墙钩子数据包过滤技术,将IPSec封包处理提升到网络层中加以实现。该系统能有效解决由NDIS实现方式引起的MTU处理、路由和数据包分片、重组等问题,提高了系统处理效率,且具有较好的应用特性。     

IP报文分片技术及其在故障分析中的应用

TCP/IP协议采用分片机制来解决传输层报文与MTU的适配问题及适应传输链路上MTU的变化,但传输层大包产生的连续分片会引起与分片相关的新问题,在网络建设和运行中这类问题往往被忽视。结合某专有网络实际应用中的典型分片相关故障,在对IP报文分片的机理和不同网络设备的分片处理机制差异性简单介绍的基础上,重点分析了故障机理并给出了相应处理措施。测试结果表明：这些措施可有效解决和预防与分片有关的故障,提高了网络的可用性。     

IPSEC与NAT兼容性研究

VPN中要实现NAT的透明穿越,要解决的主要问题是如何实现IPSec和NAT的协同工作。本文在分析IPSec与NAT兼容性问题的基础上,讨论了现有几种解决方法,设计了一个UDP封装IPSec数据的改进方案,较好地解决了多个内部主机与同一个外部设备通信时的冲突(collision/conflict)和SPD重叠(overlap)的问题     

IPSec协议及其实现的研究

IPSec是新一代因特网安全协议套件,它在IP层提供安全服务,IPSec提供的安全服务包括：访问控制,数据源验证,重放包拒绝以及杨密性保证机制,本文介绍了IPSrc结构,IPSec基本协议;身份验证报头（AH）和封装安全载荷（ESP）;Internet密钥交换（IKE）,安全策略数据库（SPD）,安全联盟数据库（SADB）,以及IPSec在防火墙中的应用。     

IPSec穿越NAT的设计与实现

概要介绍了IPSec协议和网络地址转换（NAT）协议的基本原理，着重介绍了IPSec协议与NAT协议所存在的矛盾，并阐述了解决矛盾所采用的方法，最后介绍了采用UDP封装方式实现IPSec报文处穿越NAT的完整方案。     

IPSec的NAT穿越方法的改进研究

提出了一种改进的方法,用以解决IPSec和NAT的冲突问题。该方法引入了标识域和会话域。IPSec接收端通过会话域中载荷的TAG_VALUE的后6个字节来识别源IP地址和端口信息,通过标识域识别IKE报文和IPSec报文。报文对NAT是透明的。实验证明该方法能很好地解决在传输模式下多用户接入的问题而且方便实现。     

IKE积极模式群不一致的改进方法

因特网密钥交换协议IKE（interne Key Exchenge：是为IPSec (IP Security)提供协商密钥的协议。通过IKE协商．能够为IPSec生成安全可靠的密钥信息。IKE协商过程分为第一阶段和第二阶段．第一阶段建立IKE安全联盟（Security Association),并以此为第二阶段提供保护,第一阶段的协商有两种模式．分别为积极模式和主模式,其中积极模式由于协商只需要三条报文就能完成第一阶段交换,相对主模式的六条报文,其协商更加快速高效。     

基于IPv6协议的IPSec与防火墙协同工作设计与实现

IPSec通过对IP报文的加密和验证,保证数据在传输过程中的安全.由于IPSec封装了报文中一些重要信息,使得IPSec与防火墙不能同时有效地工作.利用IPv6的Hop-by-Hop扩展报头存放端口信息,并建立验证关联以保证端口信息的完整性.把这种方案与防火墙技术结合起来,设计实现网关防火墙的主要功能,并对系统的时延和吞吐量进行了测试与分析,证明了该策略的可行性.     

AES加密机制在IPSec协议中的应用研究

研究了在IPSec封装安全载荷（ESP）中应用AES加密机制。AES是一个对称分组密码算法,有多个操作模式可供选择。针对建立基于AES加密机制的IPSecVPN情况,着重探讨了使用CBC和CTR两种操作模式时值得注意的一些问题。同时分析了AES算法的性能。     

基于多核的IPSec并行处理技术研究与实现

IPSec VPN网关需要进行大量加解密运算,对网络传输带宽产生较大影响。该文提出基于多核处理器的IPSec协议并行处理模型,将IPSec网络报文调度到多个处理器单元上运行,从而提高传输带宽。在Linux操作系统上对该模型进行具体实现,经过测试,在双核处理器上,IPSec VPN网关获得了接近倍速的性能提升。     

Linux 2.6内核IPSec支持机构的研究与分析

新的Linux2.6内核提供了对IPSec的支持机构,文中对Linux 2.6内核中新加入的IPSec代码进行了深入分析。对比先前不支持IPSec的网络协议栈的Linux内核,揭示了Linux 2.6内核“无缝”接入IPSec处理的方法;阐述了内核中IPSec重要组件——安全关联SA、安全策略的设计思想以及相关数据库SAD和SPD的构建方法;分析了基于Netlink套接字通信的内核IPSec管理模块、内核加密算法函数库,总结出一套Linux 2.6内核IPSec支持机构提供给用户进程的调用方法。     

IPSEC与防火墙协同工作设计与实现

IPSEC提供网络层的安全服务，通过对IP报文的加密和验证，保证数据在传输过程中的安全．由于IPSEC封装了报文中一些重要信息，使得IPSEC与防火墙不能同时有效地工作．本文提出一种分层IPSEC(Layered IP Security，L_IPSEC)思想，即将协议头和数据部分分别进行安全处理．并将这种分层思想与分布式处理技术结合，设计与实现一种IPSEC与防火墙协同工作方案．     

基于缓冲聚类的分片报文乱序处理算法

本文首先介绍了并行入侵检测系统,其负载均衡器在分配流量时需完成分片报文的端口映射。但分片报文乱序严重影响负载均衡器的分片报文端口映射准确性。针对这一问题提出了基于缓冲聚类的分片报文乱序处理算法,该算法设置三个缓冲聚类缓冲区：首片、中间片和尾片缓冲区。当分片报文到达时,首先判断其是首片、中间片还是尾片,然后将其放入对应的缓冲区中。当某个缓冲区中的分片数目达到缓冲聚类深度时,分片报文端口映射逻辑按照首片、中间片、尾片的顺序依次处理三个缓冲区中的分片报文,来纠正首片与其他片以及中间片与尾片间的报文乱序。经实验验证该算法大大提高了分片报文端口映射的准确性。     

Linux 2.6内核IPSec支持机构的研究与分析

新的Linux2．6内核提供了对IPSec的支持机构，文中对Linux2．6内核中新加入的IPSec代码进行了深入分析。对比先前不支持IPSec的网络协议栈的Linux内核，揭示了Linux 2．6内核“无缝”接入IPSec处理的方法；阐述了内核中IPSec重要组件——安全关联SA、安全策略的设计思想以及相关数据库SAD和SPD的构建方法；分析了基于Netlink套接字通信的内核IPSec管理模块、内核加密算法函数库，总结出一套Linux 2．6内核IPSec支持机构提供给用户进程的调用方法。     

面向密码协议的半实物网络仿真方法

针对常用仿真工具在进行面向密码协议的半实物（Hardware-in-the-loop,HIL）网络仿真时接口不支持、密码协议仿真资源缺失、无法实现密码协议处理等问题,提出一种面向密码协议的HIL网络仿真方法。在形式化分析面向密码协议HIL网络仿真建模环境的基础上,给出了密码协议HIL网络仿真过程中用到的关键技术,构建了基于OMNeT 的HIL网络仿真模型。然后,就仿真过程中存在的关键问题进行了分析,提出了有效的解决方案。最后,以网际控制报文协议（Internet Control Message Protocol,ICMP）在测试主机连通性中的应用为例,基于封装安全载荷（Encapsulate Security Payload,ESP）协议,对面向密码协议的HIL网络仿真方法进行了仿真测试。实验结果表明,与现有HIL网络仿真方法相比,该方法可以对经ESP协议处理后的ICMP询问报文进行响应,有效地使虚实主机基于密码协议进行保密通信。