浅谈IPSec VPN技术及应用过程

VPN是隧道技术和加密技术相结合的产物,它能够确保私有数据在共享网络设施上安全传输.本文介绍了IPSec和IPSecVPN的相关概念和基本原理,然后分析了IPSec VPN的一些安全协议集和工作模式,最后应用IPSec VPN技术,实现外出员工通过Internet网络对公司内网安全访问的过程,并给出了IP-Sec VPN的关键配置步骤.     

基于IPSec VPN应用研究

以IPSecVPN系统为研究,重点分析了IPSec协议协议标准、安全服务、安全关联和密钥管理。分析了基于IPSec的VPN系统中的隧道、加解密、用户认证和访问控制等四项关键技术。最后给出了实现IPSecVPN系统的一个设计实例。     

IPv6的安全机制——IPSec协议的分析与研究

IPv6被称为下一代互联网的标准协议,它的出现标志着网络技术史上的重要升级．它将逐步取代IPv4成为网络的基础设施,并将对网络技术产生积极的影响。着重对基于IPv6的安全机制——IPsec协议进行研究,分析IPSec的基本架构,以及其中包含的三种协议——AH、ESP和IKE。通过实验,分别在Windows和Linux下实现了IPSecVPN,并验证了VPN在保护网络通信安全方面的功能,得出一些定性和定量的结论。     

基于PKI的IPSesVPN网关研究与设计

随着VPN技术的发展，越来越多的科研机构致力于相关协议的开发和研究。该文通过分析PKI和IPSec的发展状态、趋势、技术特点以及在网络安全中所起到的作用，提出将PKI应用到IPSec网关构建高安全VPN的思想。然后认真分析了将PKI应用到IPSecVPN网关的技术要点，认为构建一个安全的认证中心和设计适用于IPSec应用的数字证书是实现该技术的一个关键。     

基于IPSecVPN系统中的IKE模块设计

IKE为IPSec的密钥管理协议,是IPSec体系结构中的一种主要协议。虽然不一定要使用IKE,但是由于手工配置安全关联是非常困难和复杂的,无疑使用IKE会大大降低系统的复杂度。本文介绍了基于IPSecVPN系统中IKE模块的一种设计方法。     

SSL VPN的相关介绍与安全性研究

随着因特网的快速发展,近几年不断出现了一些新的网络协议,包括点对点隧道协议(PPTP)、第2层隧道协议(L2TP)、安全IP(IPSec)协议等。其中PPTP协议允许对IP,IPX或NetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送;L2TP协议允许对IP,IPX或NetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IP,X.25,帧中继或ATM;IPSec协议允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。VPN利用各种安全协议,在公众网络中建立安全隧道,提供专用网络的功能和作用。本文总结了SSLVPN的基本原理,研究了SSLVPN的安全性,并与IPSecVPN做了相关比较。     

基于IPSec的VPN技术的应用研究

IPSec VPN是采用IPSec协议来实现远程接入的VPN技术,极大地提高了TCP／IP协议的安全可靠性。文中首先对VPN、IPSec技术进行了介绍,分析了IPSec VPN的特点,对IPSec协议的体系结构、工作模式等进行了研究,给出了IPSec的具体实现步骤和方法,并通过IPSec VPN技术,提出了一个实现内网跨公网安全可靠传输数据的具体方案,结果证明了该技术的可行性和可靠性。总之,IPSec VPN保证在Intemet网络传输数据安全性的基础上,节省了大量的网络费用。     

支持多路负载平衡的IPSec VPN系统的设计与实现

VPN解决全球化企业联网的能力使其越来越受到关注.IPSec作为网络层的安全协议族,是实现VPN的重要途径.文章针对现有IPSecVPN系统存在的问题,提出并实现了一种基于Linux平台的、支持多路负载平衡功能的IPSecVPN网关系统.该系统利用Netfilter框架的HOOK机制实现IP层处理、IPSec处理及多路负载平衡功能的有机结合,使VPN网关之间的流量能够在多条链路之间合理分配,提高了VPN系统的性能和可靠性.     

基于SOC的IPSec协议实现技术

本文在分析了IPSec协议的基础上,提出了基于SOC的全新IPSec协议实现架构。该架构可消除协议处理的瓶颈问题,极大地提高IPSec协议的处理性能。该技术可应用于各种高速安全网络接入设备的设计。     

基于防火墙钩子的IPSec VPN研究与实现

针对采用网络驱动接口规范（NDIS）实现IPSec VPN系统过程中存在的问题,提出一种基于防火墙钩子的IPSecVPN系统,研究了Windows网络层防火墙钩子数据包过滤技术,将IPSec封包处理提升到网络层中加以实现。该系统能有效解决由NDIS实现方式引起的MTU处理、路由和数据包分片、重组等问题,提高了系统处理效率,且具有较好的应用特性。     

保障QoS的实时Linux系统设计

为了在综合业务网络中保障实时多媒体业务的服务质量(QoS),设计了软实时Linux系统。系统中将网络接受中断的推后执行工作校由工作队列来执行,而非传统的由网络接受软中断处理。工作队列是Linux2.6内核的进程调度机制,对实时多媒体任务和数据任务实施不同的优先级调度,以保证实时多媒体任务的优先处理而不是尽力而为(BestEffort),保障其服务质量。通过简单的测试证明本系统运行稳定,能够保障实时多媒体业务的服务质量,尤其对解决延迟抖动问题有明显的效果。     

Mitigating starvation of Linux CPU-bound processes in the presence of network I/O

In prior research work, it has been demonstrated that Linux can starve CPU-bound processes in the presence of network I/O. The starvation of Linux CPU-bound processes occurs under the two Linux schedulers, namely the 2.6 O(1) scheduler and the more recent 2.6 Completely Fair Scheduler (CFS). In this paper, we analyze the underlying root causes of this starvation problem and we propose effective solutions that can mitigate such starvation. We present detailed implementations of our proposed solutions for both O(1) and CFS Linux schedulers. We empirically evaluate the effectiveness of our proposed solutions in terms of execution time and incoming traffic load. For our experimental study and analysis, we consider two types of mainboard architectures: Uni-Processing (UP) and Symmetric Multi-Processing (SMP). Our empirical results show that the proposed solutions are highly effective in mitigating the starvation problem for CPU-bound processes with no negative impact on the performance of network I/O-bound processes.     

On Linux starvation of CPU-bound processes in the presence of network I/O

Process starvation is a critical and challenging design problem in operating systems. A slight starvation of processes can lead to undesirable response times. In this paper, we experimentally demonstrate that Linux can starve CPU-bound processes in the presence of network I/O-bound processes. Surprisingly, the starvation of CPU-bound processes can be encountered at only a particular range of traffic rates being received by network processes. Lower or higher traffic rates do not exhibit starvation. We have analyzed it under different network applications, system settings and network configurations. We show that such starvation may exist for the two Linux scheduler, namely the 2.6 O(1) scheduler and the more recent 2.6 Completely Fair Scheduler (CFS). We instrumented and profiled the Linux kernel to investigate the underlying root causes of such starvation. In addition, we suggest possible mitigation solutions for both schedulers.     

Linux内核802.11无线网络协议栈的设计与实现

对Linux(2.6版)内核中IEEE 802.11无线网络协议栈的设计和实现进行了介绍,包括无线网络协议栈在内核中的位置和主要功能、与底层硬件设备的协作和与用户配置工具的交互等。根据无线网卡硬件的特点,如延迟性大、可靠性差等阐明了该协议栈的设计要领和技术细节,并着重对其重要实现部分进行了数据结构的介绍和代码分析。     

基于嵌入式Linux 2.6的实时优化

在分析了国内外嵌入式Linux实时技术的基础上,根据Linux 2.6内核和嵌入式实时操作系统的特点,采用直接修改Linux内核的方式,从中断线程化、自旋锁可抢占、优化O(1)调度算法三个方面提出了一种针对Linux 2.6的实时优化方案。该方案的提出使得Linux2.6的实时性能在内核可抢占的基础上得到了进一步的提高,扩充了Linux在嵌入式领域的实时应用。     

一种直接基于IP封装的VPN模型

首先介绍IPSec协议，包括AH(Authentlcation Header)协议和ESP(Encapsulation Security Protocol)协议，讨论了IPSec实现VPN的复杂性，然后从发送模块和接收模块两部分来着手分析Linux操作系统IP-in-IP隧道封装的原理．综合对IPSec和IP封装的分析，提出一种直接基于Llnux的IP封装来实现VPN的框架，介绍了扩展的IPIP报文结构和系统处理流程．最后对目前Linux系统上的VPN实现FreeS／WAN进行了分析，并对直接基于IP封装的VPN和FreeS／WAN实现之间进行了比较，得出新的系统在实现上和性能上都具有一定的优势。     

基于协议转换的安全网关原型系统设计与实现

提出了一种IPv4,IPv6混合网络下基于协议转换的安全网关原型系统设计（Hybrid-SG）,并基于Linux 2.6内核Netfilter框架实现了基本功能。Hybrid-SG在协议转换的基础上跟踪UDP/TCP连接会话,并可实施简单的端到端的安全访问控制策略。实验测试结果表明, Hybrid-SG对端到端数据包传输的时延影响不大,可满足企业组网及安全控制的实际需要。     

基于Netfilter框架的VPN网关的一体化设计

随着Linux版本的升级,Linux下的防火墙技术也在不断地成熟。当前,基于netfilter框架的iptables防火墙,具有轨迹跟踪的功能,实现了基于状态检测的包过虑处理,成为近年来比较盛行的防火墙。该文就netfilter框架和轨迹跟踪技术进行了分析,同时,研究了网桥和防火墙的结合方式,提出了基于轨迹跟踪的VPN处理模式,最后,对支持路由和网桥两种模式的VPN处理且集成状态检测防火墙的安全网关进行了研究和一体化的设计。     

Linux 2.6内核IPSec支持机构的研究与分析

新的Linux2.6内核提供了对IPSec的支持机构,文中对Linux 2.6内核中新加入的IPSec代码进行了深入分析。对比先前不支持IPSec的网络协议栈的Linux内核,揭示了Linux 2.6内核“无缝”接入IPSec处理的方法;阐述了内核中IPSec重要组件——安全关联SA、安全策略的设计思想以及相关数据库SAD和SPD的构建方法;分析了基于Netlink套接字通信的内核IPSec管理模块、内核加密算法函数库,总结出一套Linux 2.6内核IPSec支持机构提供给用户进程的调用方法。