网络安全协议IPSec的研究与探讨

IPSec是由国际互联网工程技术小组提出的使用密码学保护IP层通信的安全保密架构,提供了IP层上的多种安全服务,如数据认证、保密性、反重放保护、数据私密性、访问控制、IP包的点对点安全性及安全隧道,可保护运行在IP层上的的协议如TCP、UDP和ICMP并适用于IP当前的任何版本,是目前最易扩展和最完整的网络安全方案。文章对IPSec的功能、体系结构、工作模式、认证和管理方式等方面进行了分析与探讨。     

在Internet上构建主动节点的研究与设计

提出了利用扩展IP选项实现IP协议与ANEP协议兼容的方法,解决了主动网数据包在Internet上的传输问题,并设计了兼容主动网数据包和一般IP数据包的主动节点上的存储链表及转发算法·最后仿真测试了主动节点和非主动节点的传输效率,表明两者传输时间的平均差值对总传输时间影响不大,并通过模拟主动节点的建立验证了将主动网技术与Internet技术相融合的可行性·     

基于Linux的IPSec实现技术研究

Internet VPN是专用网家族的最新发展成果,目前基于IPSec安全协议的VPN被广泛看好。文章在研究IPSec协议框架和Linux操作系统的基础上,提出了通过改造Linux内核以及在操作系统原来的TCP／IP协议栈上添加IPSec的实现方案,并对具体实现的关键技术作了进一步的研究。     

一种改进的移动IP注册认证协议

通过分析一种移动IP注册认证协议的安全性,提出了一种新的移动IP注册认证模型.该协议在保持原有协议特点的同时,能够提供更高的安全性,从而有效地抵御重放攻击和中间人攻击等安全威胁.     

基于安全GRE隧道的Site-to-Site VPN构建方案研究与实现

为了实现经由Internet连接的两个私有网络之间能够利用隧道技术以私有IP地址的方式相互访问其内部资源,并且可以在隧道中传递动态路由协议信息,在基于Cisco路由器的配置过程中,通过利用GRE与IPSec两种技术共同构建Site—to—Site VPN,即首先使用GRE协议对用户数据和路由协议报文进行隧道封装。然后通过IPSec提供的数据机密性、数据完整性验证以及数据源认证功能保护在GRE隧道中传送的敏感数据,以实现GRE隧道的安全传输。通过结合GRE可支持承载IP组播流量与IPSec提供的安全特性创建Site-to-Site VPN,既解决动态路由协议在IPSec VPN隧道内正常通告的问题,又可以保护敏感数据穿越不安全通道的安全性。     

基于Linux的IPSec VPN网关中IKE协议的设计

介绍了在IPSec VPN（IP Security Virtual Private Net）安全网关中动态密钥交换协议IKE（Internet Key Exchange）的设计方法．深入研究了IKE协议组成、协商过程、密钥管理等若干问题,对IKE的系统设计提出全新的模块架构和实现方案。     

用IPSec来构造安全的企业VPN

本文在分析IPSec协议的基础上，给出了一种利用IPSec协议隧道模式构造企业安全VPN的模型．该模型实现了网络层的保密传送，同时提供了对真实通讯主机的IP地址的屏蔽和保护．     

IPSec与NAT协同工作的一种解决方案

Internet网络层安全协议IPSEC和网络地址协议NAT不兼容,这严重限制了IPSEC的应用范围.解决的方法必须是既能使IPSEC数据流穿越NAT,又不必修改路由器和NAT,部署方便.本文分析了现有解决方案的局限性,对IETF(因特网工程任务组)提出的基于UDP封装的IPSec穿越NAT方案进行了改进,提出了一种新的封装格式,即封装整个IPSec数据报,将主机自身的IP地址一同进行封装,经过UDP封装后,其源地址被更改为原始IP地址,保护了原始IP地址和端口号,了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

基于IPSec的VPN网络安全的实现

基于加密学基础的IPSec协议是解决公用网上IP数据传输安全性的一个有效手段。文章通过研究和分析IPSec协议,提出了Linux操作系统下IPSec安全网关和VPN(虚拟局域网)系统的构建方案,实现了一种根据信息安全技术的研究基础以及工程实际需求提出的基于IPSec的VPN的网络信息安全体系。     

一种改进的用户数据报协议封装方案

提出一种改进的用户数据报协议(UDP)封装方案．该方案使用UDP／IP头对施加了IP安全协议(IPSec)保护的整个IP包进行封装,解决了IETF的为解决网络地址转换(NAT)应用和基于IPSec技术的虚拟专用网(VPN)不兼容的UDP封装方案建议中存在认证头包(AH)失败、TCP校验和出错等问题。对改进方案的具体实现细节进行了规范化描述,使得新的改进方案比原方案更易实现。最后讨论了改进UDP封装方案在实施过程中可能对网络性能和安全所造成的影响。     

基于嵌入式系统的身份认证和密钥协商算法

随着接入到互联网中的嵌入式设备越来越普遍,嵌入式系统的网络安全问题也越来越引起人们的关注。文章针对嵌入式系统的网络安全需求和有限计算能力的特点,提出了一个基于有限域上离散对数的身份认证和密钥协商算法。分析表明该算法能有效抵御网络中的消息重放攻击和中间人攻击。该算法在基于ucLinux系统上的嵌入式IPSec框架中实现,具有较低的系统资源开销和较高的运行效率。     

基于IPSec的虚拟专用网络密钥交换实现及其安全分析

本文研究了基于IPSec结构的虚拟专用网密钥交换的基本概念和原理，详细地阐述了通过一系列参数的协商在非安全的公共IP网络中建立安全通信的密钥交换机制，给出了基于Linux系统的客户机／服务器VPN密钥交换的软件实现，对其安全特性作出了分析，指出其具有抗服务拒绝攻击，抗中间人攻击，抗连接插入攻击和防止窍听等安全性能，最后对今后研究发展的方向作了进一步的展望。     

IPSec的NAT兼容性改进

通过分析Internet网络层安全协议(IPSec)工作机制提出 一种改进的隧道封装方法. 通过数据发送方在数据包中封装本主机的IP地址, 并在接收方对 其进行相应的处理, 在解决IPSec与网络地址翻译技术NAT兼容性问题的基础上, 使得通 信双方可以灵活决定对通信的保护方式. 与Internet工程任务组的解决方案相比, 在不损失 安全性及只增加很小开销的前提下, 保持了灵活设置安全策略的能力.     

重放攻击下雷达组网系统的目标跟踪性能

作为一种复杂的分布式系统,雷达组网系统受到各种攻击的威胁。为了研究赛博攻击对雷达组网系统性能的影响,提出一种针对雷达组网系统的重放攻击方式。首先建立目标运动模型和系统模型,其次分析了重放攻击对单站雷达位置估计误差的影响,基于此扩展到对雷达组网系统目标跟踪性能的影响,最后研究了攻击参数与位置估计误差的关系。通过仿真分别展示了单站雷达和雷达组网系统受到重放攻击时的状态估计误差,以及单站雷达和雷达网估计误差与攻击强度的关系。仿真结果表明:对于单站雷达,重放攻击可以造成巨大的跟踪误差,且攻击效果与攻击强度成正比关系。当攻击的对象是雷达组网系统时,需要合理地选择攻击参数才能产生明显的攻击效果。     

基于 IPSec 环境下实现虚拟私网技术的应用

IP安全体系结构是由IPSec工作组制定的开放性标准框架,它能为网络层安全提供长期、稳定的基础,从而为创建安全连接的虚拟私网提供了灵活的实现手段;使用户可以避免租用昂贵的专线而采用公网就可以实现广泛的电子商务活动;论文在对IP安全体系结构协议进行研究的基础上,通过实例对采用IP安全协议的虚拟私网技术应用进行了实现,并讨论了密钥、数字签名等技术在提高通信系统安全、满足用户电子商务要求方面的应用前景.     

Analysis and Improvement on a Hash-Based Authentication Scheme for Multi-Server Architecture

In order to meet people's demand for various types of network services, researchers have conducted extensive research on authentication schemes for multi-server architecture. Although various schemes have been proposed, most of them still have safety defects and fail to meet safety requirements. Recently, Haq et al presented an efficient Hash-based authenticated key agreement scheme for multi-server scheme and claimed that their scheme can withstand all well-known attacks. However, we find that their scheme is vulnerable to replay attack, tracking attack and malicious server impersonation user attack. Then we propose an improved scheme. We also analyze the security of the improved scheme and compare with Haq et al's scheme in security and computational efficiency. Furthermore, we use the AVISPA(Automated Validation of Internet Security Protocols and Applications) tool to verify the security of the improved scheme.     

基于MPLS的VPDN网络研究与实现

虚拟拨号专用网络(VPDN:Virtual Private Dialup Network)是VPN(Virtual Private Network)应用扩展.为有效地降低封装开销,在简要介绍了VPDN第2层实现的基本原理基础上,对VPDN关键技术进行了分析,比较了PPTP(Point to Point Tunneling Protocol)和L2TP(Layer 2 Tunneling Protocol)隧道协议封装形式以及IPSec的安全特点.提出了第3层基于MPLS(Multi Protocol Label Switch)实现VPDN的设计方法以及VPDN需要进一步研究的问题.该方案可降低封装开销约5.8%,为第3层VPDN研究提供了一个有益的设计思路.     

基于状态机的802.1X协议攻击检测方法

针对802.1X协议存在一定漏洞且易受重放、拒绝服务等攻击,结合802.1X协议的认证过程,抽象出802.1X协议认证的状态转移过程,同时针对802.1X协议的功能性攻击,构造出一套攻击状态转移机制:分析802.11报文和基于局域网的扩展认证协议(EAPOL)/扩展认证协议(EAP)报文的结构;剔除出重传的报文,逐个字段解析出关键字并存入链表中;将根据EAPOL/EAP报文格式取得检测所需的EAP报文存入缓存.据此,设计出基于状态机的802.1X的攻击检测方法.实验结果表明,在实际组网环境下的重放/DoS等802.1X功能性攻击能够得到准确的检测,并具有有效、统一的检测结果.     

移动IPv6原理和安全性的研究

IPv6是新一代的 IP协议 ,它对现有协议 IPv4进行改进 ,针对数据包的路由、安全性的改进提出一些新的方案 ,使得移动通信网络接入 ,数据包的路由实现起来更方便。文章介绍了移动 IPv6的协议原理 ,讨论了移动 IPv6的实现策略、机制及特点 ,对 IPv6安全做了分析 ,并对 IPsec安全机制进行了进一步探讨。     

一种基于IPSec的新型IPv6实验原型系统

根据IPv4向IPv6网络过渡的策略 ,在分析了NAT PT技术和移动IPv6技术的前提下 ,实现了NAT PT技术和MobileIPv6技术二者在网络层的结合 ,采用IPSec的技术框架 ,设计并实现了一个Linux平台下基于Netfilter框架的安全实验原型系统