密钥交换协议IKE实现的可扩展设计

利用IPSec进行安全通信的两个主机通过IKE来进行身份认证、协商安全策略和生成密钥,IKE是个较为复杂的协议，从可扩展的角度提出了一个设计框架，其优点在于充分考虑了协议特点，合理划分模块，为性能和功能上的扩展提供了有效的机制．这个框架不仅降低了实现的难度，而且具有较强的可扩展性。     

Internet密钥交换协议中主密钥的安全保护策略

讨论了主密钥安全保护在密钥管理中的重要地位，研究了IPSec及IKE协议的工作机制，分析了使用预共享密钥认证的IKE协议密钥存储的安全隐患，并给出了一种主密钥的安全保护方案。     

NAT-PT协议转换网关的设计与实现

介绍NAT-PT的技术原理,给出NAT-PT协议转换网关的概念和系统结构。根据RFC2766文档和RFC2765文档的相关说明,参照Linux内核关于IPv4／IPv6网络实现部分的源代码,设计并实现NAT-PT网关应用程序。该程序由主体模块、应用层网关模块、网络地址转换模块和协议转换模块组成。     

NAT-PT转换网关上SNMP代理的设计

NAT-PT转换网关基于NAT-PT技术实现了IPv4/IPv6网络的互通,为了保证其正常运行以及监测两网连接情况,NAT-PT设备需要支持网络管理功能。该文针对NAT-PT特殊的架构,提出了一种分布的MIB采集方案,在此基础上设计实现了SNMP代理。     

密钥交换与密钥管理协议-IKE研究

IKE是一种灵活而相对复杂的密钥管理和交换协议,它的交换主要分为主模式和快速模式,该文对这两种模的交换进行了分析,对4种认证方式的优劣进行了对比,归纳了其中的密钥衍生规律。对IKE的关键部分-策略的部进行了探讨,并结合实际进行了运用。     

安全VPN服务器中IKE协议的设计与实现

研究了安全VPN服务器中IKE协议的设计与实现方法。首先介绍了安全VPN服务器的基本框架 ,并对整个系统的工作流程作了说明 ;其次分析了IKE协议在系统中的位置与作用 ,并对IKE模块的主要功能以及与其它模块的关系进行了分析与描述 ;最后提出了IKE协议的设计与实现方案     

基于IPSec的安全路由器设计与实现

在介绍IETF制订的IPSec协议簇基础上,以上海交通大学金桥网络中心研制开发BQ2800／BQ5000系列路由器为例,详细介绍了通过引入IPSec技术构建安全路由器的原理,并给出了协议实现的总体结构,分析了BQ2800／BQ5000路由器的安全特性,以及安全功能的增加对其性能的影响。     

安全档案管理系统的设计

基于公开密钥密码体制、会议会话密钥及基于角色的存取控制技术设计了一个3层的安全档案管理系统。在系统中提供了一个密钥交换协议使得档案文件能够安全地存储在客户端以避免每次下载相同文件档案所带来的资源浪费。在存取控制中，通过在中间层建立RBAC授权数据库及采用SQL语言来描述系统的约束限制策略使得基于角色的存取控制机制可以在系统中得到有效地执行。     

基于安全代理的ATM网络安全通信的研究

ATM网络作为高速骨干网的重要组成部分，其面临的首要问题是安全性。该通过分析其协议栈，提出了．以安全代理SA为核心的安全通信模型，并分别就安全代理SA之间的安全信息交换协议，安全参数协商方式，会话密钥更换等进行了探讨。     

基于NAT-PT的IPv4/IPv6转换网关的安全机制研究

基于网络地址协议转换(NAT-PT)的转换网关是目前IPv4向IPv6过渡的主要形式之一。IPv6强制实施的IPSec不能与NAT-PT协同工作。本文结合安全协议集IPSec和NAT-PT的特点,构建了一个增加安全机制的转换网关的模型。     

高性能NAT-PT应用层网关设计

NAT-PT是IPv4/v6过渡时期的一种协议转换技术,用于实现纯v4网络和纯v6网络的互连互通。应用层网关(Application Layer Gateway)的性能直接影响到跨v4/v6网络业务的性能,因此提高应用层网关性能对NAT-PT网关的设计有重要意义。本文从NAT-PT设备体系结构设计上、数据传输优化、ALG程序实现等多个方面全面分析了如何设计高性能的ALG,并最终在NAT-PT原型系统中实现了高性能ALG。测试表明,优化后的ALG性能能够提高了6倍。     

网络处理器NP1-c上实现NAT-PT网关的问题和解决方法

NP1-c是一款高性能的网络处理器。在NP1-c上实现NAT-PT网关是一项极具挑战性的任务。本文对设计中的关键问题如硬件责源的限制，程序模块化差等进行讨论，提出解决方法。     

应用Netfilter框架基于NAT-PT的IPv4/IPv6转换网关的实现

在IPv4向IPv6过渡的过程中,必须解决纯IPv4节点与纯IPv6节点之间的通信问题。基于NAT-PT机制的转换网关是解决这一问题的一种方法。该文对NAT-PT机制进行了深入的分析,在应用Netfilter功能框架的基础上,提出了基于NAT-PT机制的转换网关的一种模块化设计。     

一种适应于NAT-PT簇的负载平衡方法

NAT-PT是IPv4过渡到IPv6时互访的关键技术,但单一的NAT-PT负载过重。为了提高跨域访问通信质量,解决其负载过重的问题,特引用NAT-PT簇,详细地设计出NAT-PT簇系统的软件和建立了硬件模型,提出基于DN S-ALG为中心的扩展加权系数的轮转调度算法和动态阀值算法相结合负载平衡策略,实验证明,该方法很好地解决了单一NAT-PT的负载过重问题。     

基于NAT-PT的分段IPSec隧道建立技术

NAT-PT技术解决了IPv4/IPv6之间的通信问题,但是通信过程中的安全却没有得到保证。对基于NAT-PT的IPv4/IPv6网络通信原理及存在问题进行分析,并进行了IPSec安全协议的应用实施分析后,提出一种分段的IPSec安全隧道建立技术,实现在NAT-PT特殊网络环境下部署IPSec安全隧道从而保证通信数据的安全。     

NAT-PT簇的负载均衡

NAT-PT是实现IPv4/IPv6互访的关键技术,但单一的NAT-PT存在较多的缺点。该文引入NAT-PT簇来解决单一NAT-PT存在的问题,设计以DNS-ALG为调度中心的硬件结构和3层结构的软件系统,提出扩展加权系数轮转调度算法和动态阈值算法相结合的调度策略。实验证明,该软、硬件结构和调度策略可以弥补单一NAT-PT的缺点。     

基于Linux的VPN网关研究与实现

本文在Linux 2.6内核中的IPsec支持机制作了深入的研究和分析,给出了一个全面构建VPN网关的设计方法,包括用户网关控制台,内核模块的通信和IKE模块,设计并实施一个IPsec VPN安全网关原型。     

Linux VPN网关密钥交换机制的设计

介绍了在Linux平台上实现VPN安全网关的总体设计思想以及通过IKE动态协商安全关联SA的主要过程,重点讨论了所采用的椭圆曲线密钥交换方案,并给出了有效的点乘运算快速实现算法。由于椭圆曲线密码体制具有每比特最高安全强度,因此大大提高了密钥分配的效率。