支持可信认证的移动IPSec VPN系统设计

基于IPSec协议的移动VPN系统为移动终端的远程接入提供了可行的解决方案,但IPSec协议的普通身份认证没有考虑移动终端系统的完整性和可信性,造成终端安全漏洞,给被接入系统和被访问信息带来安全隐患。针对这个问题,提出支持可信认证的移动IPSec VPN系统,并给出其系统架构和关键技术。该系统在实现了普通IPSec VPN系统的安全功能之外,增加了多因子与可信证明相结合的复合认证功能、基于信任的动态访问控制功能。并对其进行了原型实现和性能测试及分析,表明了在将时间代价合理控制的前提下,该系统有效确保了终端的可信接入、通信信道中数据传输的安全可靠以及被接入网络的资源安全及应用服务的可用性和可管控性。

IKEv2中混合认证的研究与扩展设计

对最新IKEv2中的基本身份认证方式进行了研究,并针对基本认证方式的缺陷,提出通过IKEv2中EAP认证方式的扩展,在IKEv2中引入混合认证的具体方案,增强了IKEv2的灵活性,且弥补了单独使用PKI或预共享密钥的不足,拓展了IKEv2的应用领域。

家乡代理不支持EAP协议时的MIP6认证问题研究

针对Split场景下,家乡代理不支持EAP协议的问题,提出了一种基于diameter-EAP协议的认证方案。认证服务器在对移动节点进行认证时,通过支持EAP协议的接入路由器对移动节点进行身份认证,为移动节点和MIP6服务提供者配置共享密钥,用于服务提供者对移动节点的认证。采用BAN逻辑对协议的安全性进行了形式化证明,并比较分析了该方案的性能,分析结果表明,该协议的密钥性能达到了RFC4004的水平。

Linux下IKEv1和IKEv2协议的仿真分析

IETF对IKEv2协议的发布已经使IKEv2成为一个正式的RFC规范,正在逐步地取代IKEv1成为新一代互联网密钥交换标准。IKEv2对IKEv1进行了全面的优化和改进。为了对比IKEv2与IKEv1两版协议的密钥协商特性,提出了Linux下IKEv2的一种实现方案,并且基于这种方案对两版IKE协议进行了仿真测试,根据测试结果分析比较了IKEv1和IKEv2的密钥协商效率。

IPSEC技术的研究及实现

介绍了IPSec技术的结构框架并详细讨论各个组成部分(包括认证协议头,安全加载封装安全保护机制,互联网密钥交换协议,解释域,策略等),讨论了IPSec的实现方式,重点指出了隧道实现方式,并提出了IPSec隧道模式的一个实现框架。

基于硬件平台的IPSec VPN系统的实现

IPSec是实现VPN安全的关键技术之一。该文简单介绍了IPSec协议的架构,提出了IPSec协议处理的软件硬件化思路,即通过硬件处理的方式来提高IPSec协议的处理速度和处理容量,并给出了相应的IPSec VPN系统的硬件部分和软件部分的具体设计和实现,最后是关于该系统的总结。

隐藏IKE协商端口方法研究

互联网密钥交换(Internet Key Exchange,IKE)协商端口为用户数据报协议(User Datagram Protocol,UDP)的500端口和4500端口,攻击者根据端口很容易发现IKE的协商包,并可根据截获的协商包,对协商过程进行破坏和攻击。因此,文章提出一种隐藏IKE协商端口的方法,可以防止攻击者轻易发现并截获IKE协商包,从而保护系统安全。

多等价路径场景下VoWi-Fi注册成功率提升的研究

3GPP的VoWi-FiS2b规范要求客户端用IPSec隧道通过城域网注册到局端的ePDG,其在大网多等价路径环境中面临某条路径转发故障时,无法主动规避,进而导致业务无法注册使用。对故障原因进行分析并提出了解决方案:通过在IKE_AUTH阶段改变客户端源端口实现路径更换,能显著改善VoWi-Fi注册成功率,并通过实验进行了验证。其次通过在城域网边缘和ePDG端之间的双向网络路径全遍历检测,能快速定位并消除故障。

浅析JFK协议

IPSec协议中的IKE(Internet密钥交换协议)实现了在不可信网络通道上的密钥交换的安全机制。尽管IKE已成为IPSec协议的一部分,它仍然有一些缺陷和不足,文章简单分析了传统IKE协议的缺陷,JFK密钥交换协议(包括JFKi协议、JFKr协议和内核安全),及其对传统IKE协议的改进。