关注IPv6的安全——IPSec对网络层的保护

随着IPv4地址空间耗尽的迫近，人们加紧了对下一代互联网协议——IPv6的研究。到2004年初．IPv6协议的基本框架已经逐步成熟，在越来越广泛的范围内得到实践。由于IPv4设计时，只考虑了信息资源的共享。没有太多考虑安全的需求，这样在IPv4安全性先天不足的情况下，新推出的IPv6在安全性方面作了较大的改动。本文以IPv6为技术研究核心，详细分析了IPv6下的安全协议——IPSec的安全能力．IPSec安全体系的构成、IPSec的工作方式以及IPSec实现方式，论述了IPSec在IP报文的完整性．机密性、数据来源认证和抗伪地址等方面的能力以及IPSec的基本协议——认证报头(AH)和安全封装载荷报头(ESP)。     

移动IPv6快速切换在无线局域网中的实现

基本的移动IPv6切换延迟太大，不能满足实时业务的要求．因此IETF提出了基于隧道的移动IPv6快速切换协议．对移动IPv6的切换性能进行了分析，在无线局域网环境下提出了一种实现基于隧道的移动IPv6快速切换的方法．这种方法通过结合使用链路连接触发器和快速路由器公告，实现了将无线接入点链路地址快速映射成其连接的接入路由器信息，并且使用接入路由器信息缓存机制来优化切换过程．实验结果表明，该方法实现了移动IPv6快速切换，达到了很好的切换性能．     

IPSec和IP Filter在路由器中部署策略的研究

IPSec和IP Filter是IPv6路由器中的重要安全部件．IPSec的安全关联查找引擎具有类似于IP Filter的功能,也需要对IP包进行过滤和匹配,路由器中流动的IP包可能需要经过这两个部件的重复过滤,因此,这两个部件之间的部署策略将会直接影响到IP包的处理效率．从路由器整体安全的角度分析了两个安全部件之间的相互关系,提出了一个新的部署策略．与国际上著名的开放源码IPv6协议栈KAME相比较,该部署策略可以提高IPSec的处理效率,减轻IP Filter对IPSec的负面影响,同时,也减少了IP包在路由器中的重复过滤,提高了IP包的处理效率．     

基于移动IPv6注册过程的安全方案研究

移动IPv6协议作为一个路由协议,只解决了节点移动过程中如何保持连接的问题,对安全方面的考虑相对不足。针对移动IPv6注册过程中的安全威胁,定义了IP—IN—IP封装的注册请求报文,给出了移动节点和家乡代理对注册请求消息的保护过程,家乡代理对注册应答消息IPSec保护过程,从而提高了移动IPv6注册过程的安全性．     

移动IPv6中IPSec的优化方案

移动IPv6是新一代互联网移动通信协议,一经定义便被3G标准技术框架所采纳和推广。但因其移动性、无线链路接入及协议自身的复杂性等特点,移动IPv6也带来了一系列新的安全问题。从其工作机制出发揭示了移动IPv6的安全漏洞,总结了其自身提供的安全措施。其中IPSec是作为一种安全机制被引入IPv6并强制实施。重点分析了IPSec和移动IPv6融合时存在的问题,有针对性地给出了在移动IPv6中应用IPSec的两种优化方案。     

基于插件的双协议栈安全路由器框架结构研究

传统的路由器在软件上是一个整体,且软件不易扩展和升级。另外IPv4过渡到IPv6已成为历史的必然,而如何保证路由器的安全也是较为困难的事情。因此,需要研究一种新型的路由器结构来解决以上问题。文中首先阐述了安全路由器的设计原则,然后研究了基于插件的安全路由器的框架结构,并解释了该框架结构所运用的双协议栈结构和IPSec,最后给出了运用该安全路由器构建虚拟专用网的一个实例。该安全路由器结构对构建一个安全的Internet有一定的理论和现实意义。     

分布式IPv6路由器转发系统设计与实现

为了实施下一代互联网络，需要实现IPv6协议的高性能路由器．转发系统负责路由器的核心功能——IPv6分组的转发，提出了一种分布式高性能IPv6路由器的转发系统的设计和实现方案，包括分布式的IPv6分组转发机制，用于板间IPv6分组传递的分布式分组缓冲管理机制，基于分布式的结构实现的IPv6核心协议，以及用于转发系统的协议数据和配置信息管理的分布式控制消息通信机制．该系统已经在国家“八六三”重大科技项目“高性能IPv6路由器”上得到实现和应用．     

基于虚接口的移动IPv6协议的设计与实现

随着基于无线接入的IP业务应用需求不断增长,在下一代互联网中实现对移动性的支持变得越来越重要．本文介绍了在面向边缘网络接入应用的IPv6路由器原型系统中移动IPv6协议的具体实现．为了实现这一协议,文章分析了移动IPv6协议的特点,并借鉴虚拟网络（Virtual Networks）的思想提出了基于虚接口的设计和实现方岳,其主要优点是降低了协议开发的复杂度．该方法也可以用于实现其它的Internet高层协议．     

基于NAT-PT的分段IPSec隧道建立技术

NAT-PT技术解决了IPv4/IPv6之间的通信问题,但是通信过程中的安全却没有得到保证。对基于NAT-PT的IPv4/IPv6网络通信原理及存在问题进行分析,并进行了IPSec安全协议的应用实施分析后,提出一种分段的IPSec安全隧道建立技术,实现在NAT-PT特殊网络环境下部署IPSec安全隧道从而保证通信数据的安全。     

基于IPv6-IPSec的网络安全访问的实现

本文首先介绍了IPv6环境下使用IPSec实施网络安全的好处,并简要阐述了IPSec协议以及其安全协议和工作模式,然后详细说明了基于IPSec的网络安全访问方案的设计思路.最后就IPv6环境下针对不同的网络安全访问方案的特点利用IPSec在不同的操作平台上(Windows或Linux))给出了相应的解决方案和实现方法.     

一种用于移动IPv6的混合认证方法

随着移动通信的快速发展,通信实体的身份认证日益成为研究人员面临的巨大挑战.在IETF(Internet engineering task force)的移动IPv6草案中,IPSec(IP security)协议和RR(return routability)机制被用于保护相关通信节点之间的通信信令,但解决通信实体身份认证问题的方法存在一定的不足.首先分析了基于证书和基于身份的认证技术的优点和不足.基于证书的认证方法有很好的可扩展性,但PKI(public key infrastructure)的部署和证书     

基于移动IPV6/IPsec的虚拟专网模型设计

IPv6是由IETF(InternetEngineeringTaskForce)定义下一代因特网络的标准,它继承了IPv4的优点并进行了很大程度的修改和功能扩充。本文主要研究了移动IPv6的机制以及如何利用移动IPv6机制来构建包括移动节点在内的VPN,并利用IETF所制定的IPsec标准来完成资料传输的保密性与完整性。     

基于NAI的HMIPv6认证的设计与实现

扩展了移动IPv6的RFC4285认证机制,采用通用AAA认证平台,提出一种适合层次移动IPv6和移动IPv6的认证方案,并进行了软件实现。初步测试结果表明,经过认证的移动节点,可以使用层次移动IPv6和移动IPv6服务。     

移动IPV6越区切换管理模型的研究

移动IPv6为IPv6节点提供了在Internet中使用固定的家乡地址在不同子网中进行漫游通信的能力,然而当节点在网络间越区切换的时候,容易引起通信质量的下降或中断。针对标准移动IPv6和HMIPv6（层次化移动IPv6管理模型）对节点切换管理的不足,提出了一种新的越区切换管理模型方案,通过非固定的移动锚节点（MAP,Mobility Anchor Point）管理域,以及动态的MAP切换时机的选择,来达到降低切换行为的发生频率、保持切换发生时通信的连续性、使MAP负载均衡等目的。     

蜂窝移动IPv6的一个切换优化方案

在移动环境中的两个主要问题是分组的丢失和传递。为了解决这些问题,本文提出一个新的解决移动IPv6迁移的方法——蜂窝移动IPv6（CMIv6）,它可以解决移动结点在小的无线信元间高速移动时所带来的中断问题。CMIv6能够解决在较小的蜂窝覆盖面之内,高速移动过程中,传送分组交换数据或实时语音信息时,所产生的通信中断问题。这对未来的移动通信趋势来说是非常重要的。     

蜂窝移动IPv6的一个切换优化方案

在移动环境中的两个主要问题是分组的丢失和传递。为了解决这些问题,本文提出一个新的解决移动IPv6迁移的方法——蜂窝移动IPv6(CMIv6),它可以解决移动结点在小的无线信元间高速移动时所带来的中断问题。CMIv6能够解决在较小的蜂窝覆盖面之内,高速移动过程中,传送分组交换数据或实时语音信息时,所产生的通信中断问题。这对未来的移动通信趋势来说是非常重要的。     

基于移动IPv6的分层式路由

移动节点在两个不同子网之间移动时将产生切换,这里简单介绍了移动IPv6的原理,对移动节点越区切换技术作了详细的分析HMIPv6,提出一种基于分层机制的移动IPv6路由管理模型。该模型支持路由优化,能在域内、域问移动时实现快速切换以减少延迟,提高网络资源利用率。     

移动IPv6下基于流的快速切换方法

基于流的快速切换技术可以减少移动IPv6协议下行流的切换延迟。为此,提出一种新的基于流的快速切换方法,增强交叉路由器的功能,移动节点移到一个新位置只需要向交叉路由器注册,从而在交叉路由器和移动节点的新转交地址间建立隧道。分析结果表明,该方法能在一定程度上减少信令开销和会话中断时间,提高通信质量。