家乡代理不支持EAP协议时的MIP6认证问题研究

针对Split场景下,家乡代理不支持EAP协议的问题,提出了一种基于diameter-EAP协议的认证方案。认证服务器在对移动节点进行认证时,通过支持EAP协议的接入路由器对移动节点进行身份认证,为移动节点和MIP6服务提供者配置共享密钥,用于服务提供者对移动节点的认证。采用BAN逻辑对协议的安全性进行了形式化证明,并比较分析了该方案的性能,分析结果表明,该协议的密钥性能达到了RFC4004的水平。

Linux下IKEv1和IKEv2协议的仿真分析

IETF对IKEv2协议的发布已经使IKEv2成为一个正式的RFC规范,正在逐步地取代IKEv1成为新一代互联网密钥交换标准。IKEv2对IKEv1进行了全面的优化和改进。为了对比IKEv2与IKEv1两版协议的密钥协商特性,提出了Linux下IKEv2的一种实现方案,并且基于这种方案对两版IKE协议进行了仿真测试,根据测试结果分析比较了IKEv1和IKEv2的密钥协商效率。

IKEv2中混合认证的研究与扩展设计

对最新IKEv2中的基本身份认证方式进行了研究,并针对基本认证方式的缺陷,提出通过IKEv2中EAP认证方式的扩展,在IKEv2中引入混合认证的具体方案,增强了IKEv2的灵活性,且弥补了单独使用PKI或预共享密钥的不足,拓展了IKEv2的应用领域。

IPSEC技术的研究及实现

介绍了IPSec技术的结构框架并详细讨论各个组成部分(包括认证协议头,安全加载封装安全保护机制,互联网密钥交换协议,解释域,策略等),讨论了IPSec的实现方式,重点指出了隧道实现方式,并提出了IPSec隧道模式的一个实现框架。

多等价路径场景下VoWi-Fi注册成功率提升的研究

3GPP的VoWi-FiS2b规范要求客户端用IPSec隧道通过城域网注册到局端的ePDG,其在大网多等价路径环境中面临某条路径转发故障时,无法主动规避,进而导致业务无法注册使用。对故障原因进行分析并提出了解决方案:通过在IKE_AUTH阶段改变客户端源端口实现路径更换,能显著改善VoWi-Fi注册成功率,并通过实验进行了验证。其次通过在城域网边缘和ePDG端之间的双向网络路径全遍历检测,能快速定位并消除故障。

浅析JFK协议

IPSec协议中的IKE(Internet密钥交换协议)实现了在不可信网络通道上的密钥交换的安全机制。尽管IKE已成为IPSec协议的一部分,它仍然有一些缺陷和不足,文章简单分析了传统IKE协议的缺陷,JFK密钥交换协议(包括JFKi协议、JFKr协议和内核安全),及其对传统IKE协议的改进。