带冗余策略的分布式IPSec网关配置

IPSec协议的一种实现模式是采用IPSec网关间隔各个网络段,通过网关的策略配置,满足安全通信需求。然而,策略交叉会导致破坏安全需求的信息回流,拆分策略是避免信息回流的有效方法,但拆分过细,会引发额外的密码计算。提出一种带冗余策略的IPSec网关的分布式配置方法,在自动分布式生成无冲突的IPSec策略集基础上,引入冗余策略以减少IPSec网关的密码计算负荷。模拟实验验证了这种方法的可行性。     

一种支持IPSec的NAT网关

NAT技术与基于IPSec的安全技术在目前的Internet中得到了广泛的应用。但它们之间还存在很大不兼容性，这严重阻碍了两种技术的发展。文章分别介绍了NAT和IPSec协议，然后进一步分析两个协议之间的不兼容性，最后给出了一个支持IPSec的NAT网关模型结构，并在Linux系统中得到了实现。     

IPSec安全策略自动生成机制的研究

IPSec是一个策略驱动的安全机制,只有当安全策略被正确定义和配置时才能保证IPSec的功能被正确执行。如何正确地生成IPSec策略并避免策略冲突,在实际应用中依然存在复杂性。在讨论了IPSec策略配置过程中可能出现的冲突及相应的解决方法之后,给出了一个自动生成零冲突IPSec策略的算法,并与文献中的其他方法进行了比较。     

面向应用的IPSec系统策略管理机制

针对现有IPSec系统策略机制的不足,本文提出了一种面向应用的IPSec系统策略管理机制,通过监视应用程序的socket活动,实时地设置好相应的IPSec策略,对IP流实施细粒度的、不同等级的保护;同时,提供高级语言形式的策略设置语句,以满足用户添加和修改细粒度IPSec策略的需要;提供解决策略冲突的算法,将相互冲突的需求转化为无冲突的策略。该机制可以提高现有IPSec系统的性能,使其更好地满足网络实际环境的需要。     

基于IPSec的VPN网关设计*

基于IPSec的VPN网关实现方案包括通过插入IPSec模块和融合IPSec在系统内核中的两种方法。通过修改Linux内核实现IPSec具有处理速度快,可避免来自操作系统的安全漏洞的优点。讨论了在Linux系统下采用融合IPSec的VPN网关实现。     

基于IPSec的VPN网关设计与实现

本文首先介绍了VPN网关及其重要性,然后对IPSec协议进行了详细的介绍,最后设计实现了基于IPSec的VPN网关.在设计VPN安全网关时采用IPSec协议,使用ESP对传输的数据进行严格的保护,使用AH进行用户与数据认证,能够较好地增强IP站点间安全性.基于IPSec协议的VPN安全网关设计对于实现Intemet网络安全具有重要意义.     

IPSec客户端自动认证配置方式的研究与实现

本文阐述现阶段IPSec远程访问模式下客户端的自动配置方法ISAKMP和DHCP,并针对它们存在的问题提出了一种改进的IPSec隧道模式下客户端自动配置的认证配置方法。实践表明,这一方法不仅安全有效,而且更方便,可扩展性好。     

基于uClinux的嵌入式无线IPSec VPN网关

介绍一种基于uClinux的嵌入式无线IPSecVPN网关的实现方法。它采用IJnux2．6内核上的IPSec标准实现,具有较低的成本和强大的功能;同时有很强的扩展性,可以适应下一带网络IPv6的需求。     

一种IPSec IKE协议的实现方法

通过IPSec协议来保护数据包的安全时，实现Internet密钥交换协议IKE是有必要的。该文详细描述了如何使用多线程技术来实现典型的IKE交换。     

一种支持分布式网络测量的自配置系统

提出了一种支持广域网环境下进行分布式网络测量的自配置系统SSDNM。设置一个建立在目录服务基础上的注册服务器,分布在广域网中的测量组件能够根据目录树上的有关参数自行进行配置并加入到测量系统中,从而大大增加系统的易用性和可扩展性。描述了SSDNM的系统模型和运行模型,给出了适应于X．500目录服务的信息表示结构。介绍了一个实际的基于SSDNM的分布式网络测量系统。     

基于IPSec策略的网络安全性研究

IPSec策略对于加强网络安全性有着非常重要的作用,因此该文结合IPSec策略通过3个方面对网络安全中所出现的问题以及如何加强网络的安全性进行了讨论。首先,详细总结了常用的网络攻击手段;其次,介绍了用来衡量网络安全性的几个标准;最后,针对上述的网络攻击手段和网络安全标准来具体制定几个IPSec策略实例,以便更好地说明IPSec策略是如何提升网络安全性的．这对今后的网络安全工作也有一定的实用价值。     

基于多核处理器的IPSec VPN系统安全策略检索研究

为满足现代高带宽互联网应用环境中的安全性保障要求,提出了一种基于Tilera　GX36多核网络处理平台的IPSec VPN系统结构,利用SDN思想设计了系统控制面和数据面的程序功能模块,实现网络流量安全的灵活控制。针对系统中安全策略检索性能要求,提出一种基于Hash的三级安全策略流表存储结构,并以各Tile CPU缓存中的安全关联流表为快速检索数据源设计一种安全策略检索方法。测试结果表明,对于互联网中典型的小包、中包和大包应用场景,该系统均能达到近40 Gb/s的处理性能。     

IPSec安全策略冲突分析技术的研究

IPSec为网络安全提供了丰富的安全保护模式和操作,但其策略配置是非常复杂和易出错的一项工作.采用安全策略形式化模型和有序两元判定图表(OBDD)方法对在企业网络中不同IPSec设备间的策略间冲突进行分类和分析,开发了一组在IPSec策略配置过程中发现策略间冲突问题的技术.并通过开发的安全策略测试工具软件包的运行分析证明了该方法模型在发现和解决不同IPSec设备间的策略间冲突问题的有效性.     

一个IPSec在Linux平台上的实现框架

提出了一个在Linux平台上实现IPSec的框架，给出了安全策略数据库(SPD)和安全关联数据库(SAD)记录的细节；分析了Linux的网络IP层的代码；给出了IPSec主要函数的原型，它们的功能和在核心的嵌入点。     

Linux 2.6内核IPSec支持机构的研究与分析

新的Linux2.6内核提供了对IPSec的支持机构,文中对Linux 2.6内核中新加入的IPSec代码进行了深入分析。对比先前不支持IPSec的网络协议栈的Linux内核,揭示了Linux 2.6内核“无缝”接入IPSec处理的方法;阐述了内核中IPSec重要组件——安全关联SA、安全策略的设计思想以及相关数据库SAD和SPD的构建方法;分析了基于Netlink套接字通信的内核IPSec管理模块、内核加密算法函数库,总结出一套Linux 2.6内核IPSec支持机构提供给用户进程的调用方法。     

IPSec安全策略形式化技术的研究

IPSec安全策略配置是一项复杂和易出错的工作。为解决这问题,提出了通过有序两元判定图表(OBDD)提供全面的IPSec安全策略冲突识别和分类的通用架构模型,并基于该架构模型,开发了一组在通用IPSec策略配置过程中发现策略内部的冲突问题的技术。实验测试证明了该架构模型和技术在发现和解决策略冲突问题的有效性。     

基于IXP2400的安全网关实现研究

讨论了在IXP2400上应用IPSec实现安全网关的一种方案,可为通过的业务流提供较强的安全性。