高速边缘路由器中IPSec安全引擎实现技术分析

在分析高速边缘路由器的功能和IPSec协议本身结构的前提下，给出了通用的IPSec处理框架，对目前各种基于路由器的IPSec实现方式进行详细的分析，并对今后的技术发展进行了展望。     

高性能安全路由器BW7000的设计与实现

高性能和安全是计算机网络研究的两个主要问题。路由器在保证转发性能的前提下提供网络安全保护已经成为当前的研究热点。文章介绍了在完成国家"八六三"计划重大课题"高性能安全路由器"的过程中解决的若干关键技术问题。高性能安全路由器BW7000基于自主设计的高性能路由器操作系统HEROS。为保证高性能的路由转发,设计实现了基于RAM的高性能路由查找算法;为支持服务质量控制和安全管理,设计实现了基于无冲突HashTrie树的分组分类算法和基于反馈的分布式分组调度算法;为保证网络安全,提出了基于分布式密钥管理的路由器安     

IPSec与NAT协同工作的一种解决方案

Internet网络层安全协议IPSEC和网络地址协议NAT不兼容,这严重限制了IPSEC的应用范围.解决的方法必须是既能使IPSEC数据流穿越NAT,又不必修改路由器和NAT,部署方便.本文分析了现有解决方案的局限性,对IETF(因特网工程任务组)提出的基于UDP封装的IPSec穿越NAT方案进行了改进,提出了一种新的封装格式,即封装整个IPSec数据报,将主机自身的IP地址一同进行封装,经过UDP封装后,其源地址被更改为原始IP地址,保护了原始IP地址和端口号,了IPSec报文对NAT设备的透明穿越.该方案通过对IPSec协议的扩展,有效地支持了IPSec数据流传输路径中的NAT转换.     

基于IPSec的Ad Hoc网络安全系统的研究

分析了Ad Hoc无线多跳网络的安全问题和IPSec技术,提出了一种基于IPSec的、分布式的AdHoc网络的安全解决方案,建立了一个3跳无线WLAN(W ireless Local Area Network)Ad Hoc网络,并在网络上部署了作者提出的网络层安全方案,同时对网络的安全性和传输性能进行了相应的测试和评估。测试结果表明,提出的分布式IPSec安全方案在网络层上有效的加强了Ad Hoc网络的安全性能,对Ad Hoc网络本身的性能仅有轻微的影响。     

面向路由器的分布式实时操作系统HEROS

分布式实时操作系统是高性能分布式路由器的控制核心。为了保证路由器系统的整体性能和安全性 ,设计并实现了实时分布式操作系统 (highly efficient router operat-ing system ,HEROS)。 HEROS基于微内核体系结构 ,其多任务内核实现了基于优先级的抢先式调度 ,高效率的任务间同步和通信原语 ,实时的中断处理和高效的内存管理机制。为了更好地服务于分布式路由器体系结构 ,HEROS实现了一种基于消息传递的分布式任务通信机制和面向网络协议的高性能的缓冲管理机制。基于 HEROS的高性能安全路由器原型系统已经设计完成     

基于安全GRE隧道的Site-to-Site VPN构建方案研究与实现

为了实现经由Internet连接的两个私有网络之间能够利用隧道技术以私有IP地址的方式相互访问其内部资源,并且可以在隧道中传递动态路由协议信息,在基于Cisco路由器的配置过程中,通过利用GRE与IPSec两种技术共同构建Site—to—Site VPN,即首先使用GRE协议对用户数据和路由协议报文进行隧道封装。然后通过IPSec提供的数据机密性、数据完整性验证以及数据源认证功能保护在GRE隧道中传送的敏感数据,以实现GRE隧道的安全传输。通过结合GRE可支持承载IP组播流量与IPSec提供的安全特性创建Site-to-Site VPN,既解决动态路由协议在IPSec VPN隧道内正常通告的问题,又可以保护敏感数据穿越不安全通道的安全性。     

IP层安全的研究和实现

IPSec协议体系是IETF制定的新一代网络安全协议标准.本文深入剖析了IPSec协议体系,结合网络层安全协议的特色,提出了基于IP(v4/v6)的IPSec实现方法和发展趋势.在此基础上,我们还自主设计和开发了基于IPSec的VPN组件,经测试取得了良好的效果.     

基于IPSec的虚拟专用网（VPN）的研究与实现

文章首先简单介绍虚拟专用网（VPN）核心技术，然后详细分析了IPSec协议的体系结构、IPSec的工作模式，最后给出了一个在思赞路由器上利用IPSec技术实现VPN的方案。     

基于IPSec的组播研究与实现

组播技术在Internet上的日益广泛应用,使人们对其安全性的重视程度也不断提高,本文在深入讨论了组播安全性等问题的基础上,结合单播系统中新一代安全标准IPSec,提出了组播安全的相应解决方法,并讨论了安全组播和IPSec的兼容性等问题,最后给出了相应的具体实现方法.     

基于IPSec的安全集中管理系统设计与实现

介绍基于IPSec的安全集中管理系统 ,简单阐明VPN及其隧道协议IPSec ,提出安全集中管理 (SCM )系统的体系结构 ,给出了实现这个系统的功能模块的实现     

IPSec VPN的研究与实现

先介绍了VPN和IPSec协议应用的背景，然后详细分析了这两种协议的详细内容并给出了在思科路由器上面实现IPSecVPN的一种方法。     

IPsec在Linux内核2.4和2.6中实现之分析和比较

IPSec协议体系是IETF制定的新一代网络安全协议标准,首先概要介绍了IPSec,然后深入剖析了IPSec在Linux2.4和2.6下的实现方式(PF_KEY、IPsec Security Association,Security Policy,outputprocessing和input processing),并着重比较了二者的不同。     

TCP/IP协议族的安全架构

给出了TCP/IP协议族的整体安全架构,讨论了网络层安全协议IPSec和传输层安全协议TLS,以实现在网络层和传输层提供加密和认证等安全服务。阐述了IPSec提供安全服务之前如何通过ISAKMP协议进行SA的协商以及TLS如何通过握手协议进行安全协商的问题。     

IP安全机制的一种简化实现

给出了IP安全机制的一种简化实现。在保障安全性能的前提下，采用了隧道工作模式和封装安全负荷协议，给出了实现模型及各部分功能说明，阐述了实现IP安全机制的核心技术——封包解包技术。     

面向 IPSec 的关联数据库结构的研究

在分析IP安全机制、网络密钥交换和安全关联的基础上，确定了基于IP安全机制的关联数据库所应包含的基本数据结构，并给出了在Linux环境下的结构说明及其中每个参数的具体含义和作用.     

一种面向MILS的多级安全文件系统的架构设计

提出一种基于MILS(Multiple Independent Levels of Security,多级独立安全)高可靠架构的多级安全文件系统架构。文件系统应用分区与其他分区间的通信采用严格的两级消息处理机制,MMR组件进行消息路由,Guard组件执行安全策略检查。并提出目录视图的概念确保文件对不同等级用户的透明性。     

基于Linux的IPSec实现技术研究

Internet VPN是专用网家族的最新发展成果,目前基于IPSec安全协议的VPN被广泛看好。文章在研究IPSec协议框架和Linux操作系统的基础上,提出了通过改造Linux内核以及在操作系统原来的TCP／IP协议栈上添加IPSec的实现方案,并对具体实现的关键技术作了进一步的研究。