IKEChecker:语法引导的IKE协议有状态模糊测试

互联网密钥交换(IKE,internet key exchange)协议用于在IPSec(internet protocol security)协议中进行身份验证和密钥协商,其安全性对保护IP通信至关重要,复杂的协议逻辑导致协议实现中难免存在安全漏洞。模糊测试是检测协议实现中潜在漏洞的有效手段,但将现有模糊测试工具直接应用于IKE协议时,存在生成测试用例质量不高、难以探索深层状态空间等局限性。针对上述问题,设计了基于IKE协议语法的变异策略来减少无效测试用例的生成,同时增加测试用例的多样性;引入了基于进化策略的变异调度方案来自动优化变异算子的概率分布,进一步提高生成高质量测试用例的概率;设计了消息处理器用来维护协议交互上下文信息并执行密码学相关的操作,从而支持在黑盒条件下对IKE协议进行测试,并实现对深层协议交互行为和状态空间的探索。基于上述方法实现了IKE协议有状态模糊测试工具IKEChecker,该工具支持对IKEv1和IKEv2协议进行测试。对两种广泛使用的支持IKE协议实现的开源软件strongSwan和Libreswan进行测试,发现4个未公开漏洞;通过与其他模糊测试工具对比,评估了IKEChecker在漏洞检测方面的效率。

铁死亡诱导剂咪唑酮埃拉斯汀(IKE)通过抑制IL-6、CCL5及CXCL9分泌缓解CIA小鼠的肺纤维化

目的 探索铁死亡诱导剂咪唑酮埃拉斯汀(IKE)对胶原蛋白诱发关节炎(CIA)小鼠肺纤维化的作用及潜在机制。方法 选取8周龄~10周龄DBA/1小鼠,按照完全Freund佐剂(CFA)与鸡Ⅱ型胶原蛋白混合乳化方法建立CIA小鼠模型,设置对照组、 CIA组、 CIA联合IKE组。每2 d进行关节评分与爪垫厚度测量,39 d后收集小鼠各脏器组织。HE染色、番红-固绿染色、甲苯胺蓝染色评价关节处组织病理改变;Masson染色评价肺部组织病理改变。免疫组织化学染色法检测肺组织α平滑肌肌动蛋白(α-SMA)、成纤维细胞活化蛋白α(FAPα)、转化生长因子β(TGF-β)及Ⅰ型胶原蛋白(Col1)、白细胞介素1(IL-1)、 IL-6、 IL-17及肿瘤坏死因子α(TNF-α)的表达水平;Olink mouse exploratory panel检测小鼠血清细胞因子IL-17α、 IL-17F、 TGF-β1、整合素亚基β6(ITG-β6)、 TNF受体超家族成员11B(TNFRSF11b)、 TNF受体超家族成员12A (TNFRSF12a)、 IL-6、 IL-1α、 IL-1β、 IL-10、 TNF-α、 CC趋化因子配体5(CCL5)、 CCL2、 CXC趋化因子配体9(CXCL9)、 CXCL1、烟酰胺腺嘌呤二核苷酸激酶(NADK)、促红细胞生成素(EPO)、集落刺激因子2(CSF2)、 TGF-α、 CCL20、 CCL3水平。结果 与CIA组相比,CIA联合IKE组治疗后关节炎症及关节损伤明显缓解;肺组织α-SMA、 FAPα、 TGF-β和Col1表达水平均呈下降趋势,表明CIA小鼠肺部胶原蛋白聚集减少,组织病变明显缓解;IL-6、 CCL5、 CXCL9、 IL-6水平显著下降表明CIA小鼠肺部炎症显著缓解。结论 IKE除缓解CIA小鼠关节炎症及关节损伤外,还可通过抑制IL-6、 CCL5及CXCL9表达缓解CIA伴发的肺纤维化。

世珠联会员单位阿联酋迪拜IKEN儿童技能发展培训中心开展鉴定和比赛活动

近日,世界珠算心算联合会(以下简称世珠联)会员单位阿联酋迪拜IKEN儿童技能发展培训中心(以下简称IKEN培训中心)举办了鉴定和比赛活动。2023年11月,IKEN培训中心举办第一届世珠联国际等级鉴定考试,来自迪拜、阿布扎比。

一种典型的IPSec VPN实验环境设计

作为一种应用非常广泛的VPN技术,IPSec VPN为通信流量在公共网络上的传输提供了安全性的保障。从教学角度出发,文章给出了一种典型的IPSec VPN实验环境,并对其进行了配置、测试以及结果分析,以期为学生更好地理解IPSec VPN相关的知识、掌握IPSec VPN的配置方法等提供帮助和支持。

IKEv2协议的SPIN模型检测

基于模型检测技术,使用SPIN对IKEv2协议进行了建模和分析。应用Promela语言描述了协议模型,并用LTL规约了该协议需要满足的认证性和秘密性,最后对检测结果进行了分析。

IKE中的身份认证技术研究

探讨了Ｉｎｔｅｒｎｅｔ密钥交换（ＩＫＥ）协议中所支持的身份认证技术，着重分析了基于预共享秘密的身份认证技术，并在此基础上提出了一个用于共享秘密自动更新的“状态转移通知”协议。

基于数字签名认证的IKE协议安全性分析及改进

IKE协议的复杂性使得其存在一些安全漏洞。简要介绍基于数字签名认证方式的IKE协议工作机制之后,分析了IKE协议容易遭受的两种中间人攻击,针对中间人攻击导致用户身份泄漏的安全缺陷,提出两种改进方案并给出改进前后定量的性能分析。

IPSec中基于IKE的安全防范机制

文章从IPSec中密钥管理协议(InternetKeyExchange,IKE)的安全机制入手,针对IKE可能遭受到的攻击和协商模式讨论其安全性能,指出了存在的安全缺陷,并给出了修改建议。

密钥交换协议IKE实现的可扩展设计

利用 IPSec进行安全通信的两个主机通过 IKE来进行身份认证、协商安全策略和生成密钥 .IKE是个较为复杂的协议 ,从可扩展的角度提出了一个设计框架 ,其优点在于充分考虑了协议特点 ,合理划分模块 ,为性能和功能上的扩展提供了有效的机制 .这个框架不仅降低了实现的难度 ,而且具有较强的可扩展性 .

IKE协议及其安全性分析

Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的。到目前为止,它依然存在安全缺陷。基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势:JFK和IKEv2。

IKE协议两种身份保护缺陷的改进

该文从身份保护的角度出发,对互联网密钥交换(IKE)协议主模式下数字签名认证方式和主模式下预共享密钥认证方式中存在的身份保护缺陷进行了分析,提出了新的修改建议。与其他文献只能保护单方身份的改进方法相比,该方法能够同时保护双方的身份,并不破坏ISAKMP框架及协议的对称性。

IPSec中IKE协议的安全性分析与改进

IKE协议是IPSec协议族中的自动密钥交换协议,用于动态地建立安全关联(SA)。对IKE协议的交换过程进行了安全性分析,并提出了两点改进建议:重新定义ISAKMP消息包头中消息ID字段的作用,提供了抗重放攻击的机制;对公钥签名主模式进行改进,以保护发起者的身份信息。

一种基于改进IKE的移动VPN密钥协商方案

对传统IKE协议进行了改进,改进后的协议在不降低安全性的前提下实现了移动用户远程安全接入,以便其获得内网信息;扩展了IKE的认证方式,使其具有更高的协商效率和更强的可控性;实现了相应的移动VPN接入系统,该系统既支持动态内网IP分配,又支持扩展用户身份认证,从而在接入服务器端可以方便地进行基于内网IP的访问控制管理。

Internet密钥交换协议IKEv2研究

2005年12月发布的Internet密钥交换协议IKE(InternetKey Exchange)第二版IKEv2在安全性和实现效率上得到提高,同时简化了原版本的复杂性。对IKEv2协议的密钥协商机制进行了分析。

一种改进的基于PKI/ECC的IKE协议设计

IKE协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsecVPN安全传输的先决条件和保证。文章在研究现有IKE协议的基础上,将公钥基础设施PKI体系引入其中,提出将ECC技术、X.509数字证书、访问控制技术同IKE协议相结合,设计了一个基于PKI身份认证和访问控制的增强型IKE协议,从而提高了IPsecVPN网关的安全性和可扩展性,有效保护了VPN网络资源的安全。最后给出了基于最新Linux2.6内核的实现方案,并对由此构建的IPsecVPN安全网关原型系统的工作过程作了说明。

IKE安全机制的研究

研究了Internet密钥交换协议(IKE)安全机制的体系结构,分析了利用主模式和积极模式进行认证密钥交换创建一个ISAKMP SA的第1阶段,以及用快模式协商一个非ISAKMP SA的第2阶段,并对IKE的4种认证算法进行了比较,分析了lKE存在的安全缺陷。

基于预共享密钥认证的IKE协议分析与改进

对基于预共享密钥认证的主模式IKE协议进行研究,针对其安全漏洞以及不支持移动用户的缺陷,提出相应的改进建议。该方案能及时发现并阻止中间人攻击和拒绝服务攻击,同时保护双方的身份,没有固定IP地址的限制。性能分析表明,该方案是安全、高效的。

一种基于ECDH方案实现IKE密钥交互的分析与设计

通过对目前IKE协商中DH密钥交换的过程和算法的分析,采用安全性和速度相对较高的ECC密钥交互算法ECDH替代原有的DH密钥交互算法,提高了IKE协商过程的安全性和协商速度。并对改进过程中涉及到的主要数据结构和函数进行分析和说明。

密钥交换与密钥管理协议-IKE研究

IKE是一种灵活而相对复杂的密钥管理和交换协议,它的交换主要分为主模式和快速模式,该文对这两种模的交换进行了分析,对4种认证方式的优劣进行了对比,归纳了其中的密钥衍生规律。对IKE的关键部分-策略的部进行了探讨,并结合实际进行了运用。

IKE协议主模式认证机制的分析与改进

文章深入分析研究了IKE协议主模式认证的交换过程及认证机理,针对基于预共享密钥认证方式中存在的仅适用于固定IP地址和不能保护通信双方身份信息,以及基于数字签名认证方式中存在的不能保护协议发起方身份信息的缺陷,分别给出了相应的改进方案,并与以往改进方案进行了分析比较。