IPSec与NAT协同工作的一种解决方案

Internet网络层安全协议IPSEC和网络地址协议NAT不兼容,这严重限制了IPSEC的应用范围.解决的方法必须是既能使IPSEC数据流穿越NAT,又不必修改路由器和NAT,部署方便.本文分析了现有解决方案的局限性,对IETF(因特网工程任务组)提出的基于UDP封装的IPSec穿越NAT方案进行了改进,提出了一种新的封装格式,即封装整个IPSec数据报,将主机自身的IP地址一同进行封装,经过UDP封装后,其源地址被更改为原始IP地址,保护了原始IP地址和端口号,了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

IPv6网络安全体系结构分析与应用研究

分析了下一代互联网通信协议:IPv6的网络安全体系结构IPSec,其中包括安全联盟(SA)、认证头(AH)、封装安全载荷(ESP)和Internet密钥交换(IKE);分析了实施IPSec的策略;最后对利用IPSec构建虚拟专用网(VPN)和IPSec在无线局域网(WLAN)的应用进行了研究。     

IPSec与NAT的冲突问题及其解决方案研究

分析了网络安全协议IPSec和网络地址转换协议NAT之间的冲突问题,并对IETF提出的现有UDP封装草案进行了改进,提出了一种新的封装格式,将主机自身的IP地址一同进行封装,以解决不兼容问题.从NAT网关内部发往NAT网关外部的数据包,在经过UDP解封装后,其源地址被更改为原始IP地址,因此目标主机的IP层以上各层将以原始地址为目的地址进行通信.利用改进后的UDP封装方案,实现了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

基于安全GRE隧道的Site-to-Site VPN构建方案研究与实现

为了实现经由Internet连接的两个私有网络之间能够利用隧道技术以私有IP地址的方式相互访问其内部资源,并且可以在隧道中传递动态路由协议信息,在基于Cisco路由器的配置过程中,通过利用GRE与IPSec两种技术共同构建Site—to—Site VPN,即首先使用GRE协议对用户数据和路由协议报文进行隧道封装。然后通过IPSec提供的数据机密性、数据完整性验证以及数据源认证功能保护在GRE隧道中传送的敏感数据,以实现GRE隧道的安全传输。通过结合GRE可支持承载IP组播流量与IPSec提供的安全特性创建Site-to-Site VPN,既解决动态路由协议在IPSec VPN隧道内正常通告的问题,又可以保护敏感数据穿越不安全通道的安全性。     

对IPSec与NAT协同工作的问题探讨

本文针对IPSec协议和NAT协议的冲突问题,对IETF的基于UDP封装的IPSec—NAT穿越方案,提出一种UDP封装的改进方案。该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT。     

Windows 2003 Server中IPSec的工作原理

介绍了IPS茂的应用范围和IPSec安全协议的工作原理．如验证报头（AH）封装安全措施负载量（ESP）．Windows 2003 IPSec通过与站点、域、组织单元和本地计算机相关的组策略来配置．     

利用SSL/IPSec VPN打造安全的数字图书馆

为了使校外老师或学生通过鉴权后可以访问校内图书资源数据库,介绍了虚拟专用网VPN技术,及其虚拟专用网的两种远程接入技术IPSec(Internet Protocal Security)和SSL(Secure Sockets Layer).分析了IPSec和SSL的工作原理及其优缺点.然后分析了校外各种用户如何采用IPSec/SSL通过internet如何访问学校的数字图书资源,并且能够保证数字图书馆的安全性.     

GRE over IPsec VPN结合NAT的构建方案研究与实现

IPSec和GRE均为构建虚拟专用网所采用的技术,其自身都有其局限性,IPSec不支持广播、组播和非IP数据流,而GRE不支持数据加密.分析了IPSec和GRE各自的优势,结合IPSec的安全性和GRE对广播、组播和非IP数据流支持的特点,提出了GRE over IPSec VPN结合NAT的构建方案,实现了两个局域网之间单播或组播数据的保密通讯,通过运行EIGRP协议交互内网路由信息,进而使用NAT技术实现局域网内部用户脱离VPN访问Internet.依据提出的构建方案,绘制了组网拓扑图,并基于GNS3进行了仿真实验,验证了方案的安全性和可实施性.该方案既满足了不同局域网之间安全通信的需要,也满足了局域网内部用户访问Internet的需求.     

基于Linux的IPSec实现技术研究

Internet VPN是专用网家族的最新发展成果,目前基于IPSec安全协议的VPN被广泛看好。文章在研究IPSec协议框架和Linux操作系统的基础上,提出了通过改造Linux内核以及在操作系统原来的TCP／IP协议栈上添加IPSec的实现方案,并对具体实现的关键技术作了进一步的研究。     

IPSec的抗重放原理及其实现

随着Internet日益普及，保障IP传输的安全性成为一个突出的问题．IPSec协议是由Internet工程任务组(IETF)开发的开放标准框架，主要在网络层对对等层设备之间传输的数据流进行保护和认证．通过IPSec可以“无缝”地为IP引入安全特性，防范数据受到来历不明的攻击．着重分析了重放攻击，研究了IPSec协议利用滑动重放窗口抗重放攻击的原理，并提出了滑动重放窗口的实现方法．结果表明，用IPSec能使接受方拒绝接受过时包或包拷贝，从而抵制重放攻击．     

Internet的安全性及IP安全策略

IP安全工具－IPSec使用了网络通信加密技术。IPsec本来是为下一代IP V6设计的安全协议,但是IPV6的推广速度较慢,而社会对安全的IP协议的要求十分迫切,于是把IPsec重新应用于IPV4。Microsoft和Cisco Systems Inc。共同开发了Windows 2000中的IPSec和相关的服务。但是不幸的是,北美地区以外的Linux发布版本的内核均不支持IPSec。你需要在内核中增加对IPSec的支持,才能使用IPSec软件。本文主要介绍了如何在Windows 2000中使用和配置安全策略,以及在Linux下安装和配置IPSec。     

基于IPSec的组播研究与实现

组播技术在Internet上的日益广泛应用,使人们对其安全性的重视程度也不断提高,本文在深入讨论了组播安全性等问题的基础上,结合单播系统中新一代安全标准IPSec,提出了组播安全的相应解决方法,并讨论了安全组播和IPSec的兼容性等问题,最后给出了相应的具体实现方法.     

移动IPv6原理和安全性的研究

IPv6是新一代的 IP协议 ,它对现有协议 IPv4进行改进 ,针对数据包的路由、安全性的改进提出一些新的方案 ,使得移动通信网络接入 ,数据包的路由实现起来更方便。文章介绍了移动 IPv6的协议原理 ,讨论了移动 IPv6的实现策略、机制及特点 ,对 IPv6安全做了分析 ,并对 IPsec安全机制进行了进一步探讨。     

基于IPSec的VPN实现技术研究

在虚拟专用网（VPN）所采用的安全协议中,IPSec协议提供了最高级别的安全性。探讨了基于IPSec的VPN实现技术,并给出了一个实现方案。     

IP层安全的研究和实现

IPSec协议体系是IETF制定的新一代网络安全协议标准.本文深入剖析了IPSec协议体系,结合网络层安全协议的特色,提出了基于IP(v4/v6)的IPSec实现方法和发展趋势.在此基础上,我们还自主设计和开发了基于IPSec的VPN组件,经测试取得了良好的效果.     

基于IPSec的虚拟专用网络密钥交换实现及其安全分析

本文研究了基于IPSec结构的虚拟专用网密钥交换的基本概念和原理，详细地阐述了通过一系列参数的协商在非安全的公共IP网络中建立安全通信的密钥交换机制，给出了基于Linux系统的客户机／服务器VPN密钥交换的软件实现，对其安全特性作出了分析，指出其具有抗服务拒绝攻击，抗中间人攻击，抗连接插入攻击和防止窍听等安全性能，最后对今后研究发展的方向作了进一步的展望。     

基于IPSec的VPN网络安全的实现

基于加密学基础的IPSec协议是解决公用网上IP数据传输安全性的一个有效手段。文章通过研究和分析IPSec协议,提出了Linux操作系统下IPSec安全网关和VPN(虚拟局域网)系统的构建方案,实现了一种根据信息安全技术的研究基础以及工程实际需求提出的基于IPSec的VPN的网络信息安全体系。     

IPsec在Linux内核2.4和2.6中实现之分析和比较

IPSec协议体系是IETF制定的新一代网络安全协议标准,首先概要介绍了IPSec,然后深入剖析了IPSec在Linux2.4和2.6下的实现方式(PF_KEY、IPsec Security Association,Security Policy,outputprocessing和input processing),并着重比较了二者的不同。