多核系统下的IPSec VPN网关的研究和实现

由于传统IPSec VPN网关面临新业务计算能力的困难,提出了多核系统系统下的IPSec VPN网关的实现方法.在Linux系统下通过对单处理器系统的IPSec VPN网关的报文处理流程的改进,实现了多核系统下的IPSec VPN网关,再通过多处理器间负载均衡和多核软件可执行级代码兼容性改进,进一步提高了多核系统下IPSec VPN网关的处理能为.最终测试结果表明,不仅在双核系统、四核系统上获得极高性能的提升,而且实现了可执行级代码的兼容性,并根据测试结果,在技术领域首次提出多核系统性能边际效益递减的规律.     

基于IPSec的VPN网关设计与实现

本文首先介绍了VPN网关及其重要性,然后对IPSec协议进行了详细的介绍,最后设计实现了基于IPSec的VPN网关.在设计VPN安全网关时采用IPSec协议,使用ESP对传输的数据进行严格的保护,使用AH进行用户与数据认证,能够较好地增强IP站点间安全性.基于IPSec协议的VPN安全网关设计对于实现Intemet网络安全具有重要意义.     

基于VPN的空气监测系统的设计

本文在对本需求分析的基础上给出了一个基于VPN网络的环境自动监测系统的总体设计方案.对于监测系统终端,本文详细介绍了采集电路.网关主要从硬件结构设计和软件结构设计两个方面,本文的工作重点是实现基于IPSec的VPN安全网关设计,因此在系统的软件实现部分重点介绍了IPSec VPN的具体实现模型.并描述了数据在VPN网关中进行IPSec处理时的流程.     

可升级的虚拟专用网络在全球信息栅格中的应用

在民用网络安全通信中,虚拟专用网络(Virtual Private Network,VPN)是一种优先选择的通信机制;传统的VPN网关配置是按照手动进行的;然而,在网关静态配置的通信传输中,由美国国防部研制开发的全球信息栅格(Global Information Grid,GIG)存在一定的局限性;一方面GIG VPN由成千个可靠的网络组成,网关的配置要比以前的配置在数量级上要大的多;另一方面在由陆军集团或舰艇组成的可靠网络的作战领域中,由于作战单元是动态的,要求在GIG网络通信中实现无缝链接;为了解决当前VPN在动态网络中存在的可测量性和支持性问题;通过使用动态路由器协议,提出了一种利用安全广告前缀在VPN网关内部网络中实现与同级别网关的链接;实验结果表明,在由成千上万个VPN网关协议组成的GIG网络体系结构通信信息传输过程中,该方法是切实可行的.     

IPsec VPN安全网关的认证优化设计与实现

IPsec VPN网关在使用数字证书对IPsec对等实体(远程用户、远程VPN网关)进行身份认证建立安全关联时,存在有效CRL及时性差、IPsec VPN安全网关开销过大和IKE认证时延过长等问题.为解决此类问题,给出了两种设计方案,分别为根据静态固定查询周期和根据自适应算法动态调整查询周期从LDAP服务器上获取CRL.这两种方案能有效平衡网关开销、提高认证速度并能较大提高有效CRL的及时性.     

一种基于VPN网关的电原理设计与实现

随着VPN安全网关广泛应用于企事业单位,高安全性、高可靠性和高性价比是提高VPN网关竞争力的重要手段。本文研究了VPN网关电原理设计,提出了VPN网关和硬件加密模块的实现方法。     

利用Kerberos协议实现端到端的网络安全系统

一、前言目前,保证网络私有性的最有效方法是利用VPN技术建立虚拟私有网。但是,目前的VPN技术中存在着诸多的不足之处,主要表现在以下几个方面: (1)信息的保密性无法保障。VPN技术的最为重要的作用在于对机密信息进行保密,然而通常这些VPN对传输数据的保密性仅限于两个安全网关之间的通路上,在内部网中,所有信息都以明文的形式在整个局域网中广播,造成巨大的安全隐患。 (2)密钥交换过程复杂,管理烦琐。VPN技术得以运行的一个重要前提是在位于不同地点的子网之间交换SA,建立策略库。主要有两种方式:手工配置和IKE协商。利用手工进行安全关联库的生成,操作上比较简单,但效率极低;而利用IKE协议进行协商过程又相当烦琐。不能有效地交换密钥是目前VPN技术未能得到普遍应用的主要因素所在。 (3)降低了网络性能。网络中的所有安全操作都集中在安全网关处,这样在网关处就会造成传输的显著延迟,整个网络的性能降低了。 (4)由于Ipv4的不安全性,极有可能造成检索条     

IKE协议协商效率和安全性分析与改进

基于嵌入式VPN网关的实时性和安全性要求,本文分析了IKEv1和IKEv2协商效率的优缺点和安全性,对IKEv1主模式提出了改进方案;同时,针对VPN网关对动态IP支持的需求,分析并改进了IKEv1预共享密钥验证方式下的主模式。     

捷普SSL VPN网关技术综述

捷普SSL VPN网关是捷普公司融合多款安全产品新近推出的最新一代网络安全接入产品。该系列产品在一台安全网关里面实现了IPSec/SSL/PPTP三套主流VPN技术的完美结合。该产品采用开放性的系统架构及模块化的设计,融合了身份认证、访问控制等安全手段,具有安全、高效、易于管理和扩展等特点。     

基于Linux的VPN网关研究与实现

本文在Linux 2.6内核中的IPsec支持机制作了深入的研究和分析,给出了一个全面构建VPN网关的设计方法,包括用户网关控制台,内核模块的通信和IKE模块,设计并实施一个IPsec VPN安全网关原型。     

支持多路负载平衡的IPSec VPN系统的设计与实现

VPN解决全球化企业联网的能力使其越来越受到关注.IPSec作为网络层的安全协议族,是实现VPN的重要途径.文章针对现有IPSecVPN系统存在的问题,提出并实现了一种基于Linux平台的、支持多路负载平衡功能的IPSecVPN网关系统.该系统利用Netfilter框架的HOOK机制实现IP层处理、IPSec处理及多路负载平衡功能的有机结合,使VPN网关之间的流量能够在多条链路之间合理分配,提高了VPN系统的性能和可靠性.     

VPN的NAT穿越解决方案

IPSec(IPsecurity protocol)保证数据通过网络安全的传输。网络中的NAT(Network Address Translator)设备改变数据包头中的内容，使用IPSec创建的VPN隧道穿过NAT设备时，产生很多IPSec和NAT之间的不兼容问题。讨论了IPSec和NAT之间的不兼容性，描述了使用IPSec的VPN穿越NAT设备的具体实现方案。这个方案在Ⅵ‘N网关上实现，可以较好地解决IPSec和NAT之间的不兼容问题。     

基于Linux的VPN网关的设计与实现

阐述了虚拟专用网络(VPN)技术的基本概念和特点,以IP安全协议体系IPSec为基础,对虚拟专用网(VPN)这一目前广泛流行的信息安全技术及其实现方案进行了研究,对IPSec进行了分析,介绍了IPSec协议的实现方法.最后利用IPSec设计和构造了VPN网关,并对其进行了安全性能测试.     

一种IPv6环境下面向Linux内核包过滤机制的混合模式IPSec-VPN实现

随着IPv6协议带来网络地址的增长和智能网络设备的发展,各种专有网络同外界设备,特别是具有单独地址的个人设备的互联成为网络互连中的重要应用场景,保证其安全性和可控性成为考虑的主要因素.IPSec-VPN是当下主流的专用网络安全通信技术,但存在安全控制粒度不灵活,支持的网络拓扑结构不灵活等问题.本文提出一种新的IPSec包封装模式-混合模式,并给出基于Linux内核包过滤机制的混合模式IPSec VPN的设计与实现.该方案能支持LAN-to-LAN环境和远程访问IPSec VPN环境下的安全通信并实现网关对访问者的完全透明,是一种新型的IPSec-VPN解决方案.     

基于Windows Server 2003上启用IPSEC保证数据传输安全的分析

IPSec(IPSecurity Protcol,IP安全协议)是一组开放标准集,它们协同地工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙、VPN集中器等等),或者它们可能在一个主机和一个安全网关之间,就像远程访问VPN这种情况。IPSec能够保护对等实体之间的多个数据流,并且一个单一网关能够支持不同的成对的合作伙伴之间的多条并发安全IPSec隧道。     

Distributed Automatic Configuration of Complex IPsec-Infrastructures

The Internet Protocol Security Architecture IPsec is hard to deploy in large, nested, or dynamic scenarios. The major reason for this is the need for manual configuration of the cryptographic tunnels, which grows quadratically with the total amount of IPsec gateways. This way of configuration is error-prone, cost-intensive and rather static. When private addresses are used in the protected subnetworks, the problem becomes even worse as the routing cannot rely on public infrastructures. In this article, we present a fully automated approach for the distributed configuration of IPsec domains. Utilizing peer-to-peer technology, our approach scales well with respect to the number of managed IPsec gateways, reacts robust to network failures, and supports the configuration of nested networks with private address spaces. We analyze the security requirements and further desirable properties of IPsec policy negotiation, and show that the distribution of security policy configuration does not impair security of transmitted user data in the resulting virtual private network (VPN). Results of a prototype implementation and simulation study reveal that the approach offers good characteristics for example with respect to quick reconfiguration of all gateways after a central power failure (robustness), or after insertion of new gateways (scalability and agility).     

动态IP环境下IKEv2扩展设计与改进

IKEv2作为IKE的替代者极大地增强了IPSecVPN网关之间隧道建立过程的安全性。但IKEv2和IKE一样都不能在动态IP环境下进行密钥交换。介绍了IKEv2的协商过程,在此基础上讨论了文中提出的动态IP环境下IKEv2扩展方案的设计与改进。经过改进的扩展方案可以很好地适应动态IP环境下的协商过程,扩大了IKEv2的应用范围。     

IPSec-VPN与几种典型网络协议的互操作问题

分析了IPSec-VPN在一些特殊网络应用场景中与几种典型网络协议的互操作问题,并讨论了一些可行的解决方案。研究内容包括：在IPv4网络中与NAT网关互操作问题;在无线网络场景中与性能提升代理互操作问题;在动态拓扑VPN网络环境中与动态路由协议互操作问题;在移动网络环境中与移动IP协议互操作问题。     

Wireless Security — what is out there?

Frost & Sullivan have recently released a report on the European Wireless Security Market and this has revealed some interesting findings with regards to wireless security. A selection of technologies that can be deployed to secure wireless environments are examined below, including the wireless transport layer security (WTLS), virtual private networks (VPN), wireless public key infrastructure (WPKI) and authentication systems. It is vital to ensure that all parts of the wireless security framework are secured, including mobile devices, wireless transmissions and networks, gateways and servers, and backend systems.     

可信计算在VPN中的应用

对虚拟专用网VPN进行了研究。VPN使用户远程办公成为可能,但是VPN不能认证主机的配置,入侵者通过有VPN访问权限的主机获得非法的访问权限,使得终端不安全,同时相应的使网络接入也不安全。可以利用可信计算技术解决这些问题,其中可信平台模块通过绑定密钥认证VPN完整性,而可信网络连接认证网络连接安全性,以确保终端、网络接入和通信的安全可信。