因特网密钥交换协议的远程用户认证技术

在Internet密钥交换协议的基础上引入扩展IKE协议和混合认证方式,解决了IPsec协议中远程用户认证的问题,同时根据公钥基础设施PKI部署的不同情况提出了远程用户接入基于IPsec协议的VPN网络的解决方案。     

基于PKI的IPSec-VPN的研究与设计

虽然将IPSec用在虚拟专用N（VPN）是一种很好的网络安全解决方案,极大地改进了传统IP协议缺乏安全机制的问题,但因其身份鉴别不完善而影响到在复杂环境下的网络安全。PKI是由公开密钥密码技术、数字证书、证书认证机构等基本成分组成的一套安全平台,可提供身份认证和角色控制服务。该文分析了IPsec和PKI在安全上的技术特点,提出了一种如何将PKI证书机制应用到IPsec-VPN中,实现强身份认证和访问控制机制,进而完善VPN安全的方案。     

IKE的研究及其在IPSec中的应用

分析了IKE协议及IKE协议中的验证方式。将IKE以一种模块架构应用于IPSec,实现了自动协商功能,提高了IP隧道协商效率。提供基于PKI的身份认证技术,支持X.509和PKCS12证书格式。     

IPsecVPN的设计

互联网上构筑应用系统已成为必然趋势。IP VPN可以通过开放的IP网络建立私有数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,因此基于IP的VPN业务有很大的增长空间。但是,传统的IPv4协议不能满足对IP网络应用安全性的要求,IPsec隧道协议的出现为IPVPN提供了安全保障。《IPsec VPN的设计》一文针对IPsec VPN网络设计中的动态路由选择和网络地址转换问题,给出了北电网络的Contivity解决方案,这对电信运营商和网络规划设计人员有着一定的参考价值。     

基于IPsec VPN的实现

介绍VPN的基础和实现,并比较了常规与基于IPsec的VPN特性及技术。通过研究IPsec,我们提出了设计端-端VPN系统用IPsec的安全关联SA的做法,而分析它的安全特性。     

基于MPLS骨干网络的VPN解决方案

现有的虚拟专用网(VPN)方案大多基于IP协议,这种结构的VPN在数据包转发速度、扩展性、服务质量等方面都存在欠缺,所以本文提出了基于多协议标记交换(MPLS)骨干网络的VPN解决方案.由于MPLS和IPSec在身份认证方面都没有定义,所以我们在方案中把认证中心(CA)的证书管理引入进来.该方案的核心思想是:利用MPLS在传输效率上的优势,通过CA进行身份认证、IKE协议^[1]进行密钥协商以及IPSec协议^[2]进行数据包加密,从而在MPLS骨干网络上建立一个安全高效的VPN.本文对实现MPLS VPN的每个关键部件都做了进一步的描述.     

NETGEAR双WAN千兆防火墙FVS336G支持SSL＆IPSEC VPN

NETGEAR ProSafe双WAN千兆端口防火墙FVS336G采用SSL＆IPsec VPN技术,提供2种类型的虚拟专用网（VPN）隧道,SSL VPN、IPsec VPN,使网络达到最佳安全连接。SSL VPN的隧道提供无需任何客户端远程访问企业数据的安全功能,IPsec VPN技术提供安全的站点至站点间的隧道和支持基于客户端的远程访问,     

SKIP密钥管理协议在宽带VPN中的应用研究

在对目前几种密钥管理协议特点进行分析的基础上，给出了能适应宽带虚拟专用网（VPN）环境，具有更高安全性的SKIP密钥管理协议。文中对该协议及其特点进行了讨论，并研究了将SKIP密钥管理协议应用于支持IPsec的VPN设备，给出了SKIP协议与IPsec结合的体系结构。     

神獒VPN为网络安全保驾护航

S系列VPN技术方案S系列神獒VPN是主要应用于网关-网关模式,同时也支持客户-网关工作模式。S系列神獒VPN采用IPSEC协议和IKE协议,实现了不同的远程局域网内主机的相互访问及移动用户对远程局域网内主机的访问。在安全方面,S系列神獒VPN使用CA进行用户身份认证,使用DES,3DES     

Diameter协议的端到端安全研究

Diameter协议中关于安全性的说明如下，设定Diameter基础协议假设消息使用IPsec或者TLS进行安全保护。该安全机制在没有可靠的第三方Proxy的环境中是可接受的。在其他情况下，需要端到端安全。Diameter客户，例如网络接入服务器和移动性Proxy支持IP安全，并且可以支持TLS。Diameter服务器必须同时支持TLS和IPsec.Diameter实施必须在每条链接上使用某种类型（IPsec或TLS）的传输层安全。然而，在实际运营环境中，如运营商生产网络环境中，数以万记的交换机，服务器，由于设备更新，升级并不统一，导致在整个网络体系内，不能完全实现IPsec的VPN安全防护策略。而运营商所使用的Diameter协议，则需要运行在这样的环境下。本文就在此背景下，探讨如何实现更高层次的，基于不可信任的端到端Diameter安全性。     

Building an Application-Aware IPsec Policy System

As a security mechanism at the network-layer, the IP security protocol (IPsec) has been available for years, but its usage is limited to virtual private networks (VPNs). The end-to-end security services provided by IPsec have not been widely used. To bring the IPsec services into wide usage, a standard IPsec API is a potential solution. However, the realization of a user-friendly IPsec API involves many modifications on the current IPsec and Internet key exchange (IKE) implementations. An alternative approach is to configure application-specific IPsec policies, but the current IPsec policy system lacks the knowledge of the context of applications running at upper layers, making it infeasible to configure application-specific policies in practice. In this paper, we propose an application-aware IPsec policy system on the existing IPsec/IKE infrastructure, in which a socket monitor running in the application context reports the socket activities to the application policy engine. In turn, the engine translates the application policies into the underlying security policies, and then writes them into the IPsec security policy database (SPD) via the existing IPsec policy management interface. We implement a prototype in Linux (Kernel 2.6) and evaluate it in our testbed. The experimental results show that the overhead of policy translation is insignificant, and the overall system performance of the enhanced IPsec is comparable to those of security mechanisms at upper layers. Configured with the application-aware IPsec policies, both secured applications at upper layers and legacy applications can transparently obtain IP security enhancements.     

解决IPsec/VPN安全策略问题的新方法

提出了一种解决IPsec／VPN安全策略问题的新方法。根据安全策略来决定对所有进入或外出的通信量进行安全操作，因此正确地指定与配置安全策略显得非常重要。目前针对单个安全网关是通过手工配置IPsec安全策略，这样效率非常低且易出错。在该方法中根据给定的要求，通过把整个通信量流分成互不相关的束，找出满足每束要求的子集，然后生成每束要求操作的策略。这样不仅减少了管理员的大量工作，而且还保证了策略的正确。     

IP VPN—基于IP网络的虚拟专用网

ＩＰ ＶＰＮ能为用户在ＩＰ网络之上构筑一个安全可靠、方便快捷的企业专用网络，并为企业节省资金。本文从ＩＰ ＶＰＮ的概念、分类、组建ＩＰ ＶＰＮ的隧道技术，以及在ＶＰＮ上传送的数据的安全性保证等几个方面介绍了ＩＰ ＶＰＮ技术。     

基于国家标准的SSL VPN安全网关研究与实现

SSL VPN安全网关为传输层和应用层协议提供安全隧道,利用安全隧道技术,在传输层实现互联网网络信息的安全保护,能够利用公共网络为用户建立虚拟的专用网络,提供比专网更加安全的通信信道。SSL VPN安全网关以国家密码管理局审批的密码卡为基础密码器件,为其提供密钥运算、密钥保护、密钥备份恢复等功能;操作系统采用裁剪的Linux系统,同时,严格遵循国家密码管理政策和相关设计规范,实现了基于传输层的SSL VPN安全网关,为各种应用提供了身份认证和安全传输的需求。在政府、金融、运营商、能源、交通等领域具有广泛的用途,有明显的社会效益和经济效益。文章对此展开了分析。     

Analysis and improvement of the Internet‐Draft IKEv3 protocol

Internet protocol (IP) is the kernel of the TCP/IP protocol family. Because IP is the only one that is shared by all high‐level protocols in TCP/IP. So the security of the IP is particularly important to the whole communication network. Fortunately, IPsec provides excellent protection for the kIP security. As a part of the IPsec, Internet Key Exchange (IKE) protocol can achieve security association negotiation, key generation, and identity authentication. The study of IKEv2, both in its application and security analysis, has been relatively mature. When the Internet Engineering Task Force published the Internet‐Draft IKEv3 protocol, there is not much attention and research on it. In this paper, we analyze the security and authentication of IKEv3 by formal verification and show that IKEv3 is susceptible to reflection attack and DoS attack. Then we propose a new variant of the IKEv3 protocol, which both resists reflection attack and mitigates the impact of the DoS attack.     

基于IKE的安全远程接入

为了解决在主机IP地址不固定的情况下如何保证网络的安全性问题,介绍了IKE利用经典认证机制来支持外部接入的各种方法,详细阐述了各种方法的工作原理和优缺点,并对它们的适用环境做了分析,说明在IP地址不固定的网络中,IKE也可以提供良好的安全服务。     

Scalability implications of virtual private networks

This article gives an overview of the most promising technologies for service providers to offer virtual private network services. The focus is on the analysis of the scalability implications of these virtual private network mechanisms on existing service provider backbone networks. Very often, when deploying VPN services, service providers will be confronted with a trade-off between scalability and security. VPNs that require site-to-site interconnectivity without strong (cryptographic) security can be deployed in a scalable way based on the network-based VPN model, as long as the interaction between the customer and provider routing dynamics are controlled. VPNs that require strong (end-to-end) cryptographic security should be deployed according to the CPE-based VPN model, using the available IPsec protocol suite