IKEChecker:语法引导的IKE协议有状态模糊测试

互联网密钥交换(IKE,internet key exchange)协议用于在IPSec(internet protocol security)协议中进行身份验证和密钥协商,其安全性对保护IP通信至关重要,复杂的协议逻辑导致协议实现中难免存在安全漏洞。模糊测试是检测协议实现中潜在漏洞的有效手段,但将现有模糊测试工具直接应用于IKE协议时,存在生成测试用例质量不高、难以探索深层状态空间等局限性。针对上述问题,设计了基于IKE协议语法的变异策略来减少无效测试用例的生成,同时增加测试用例的多样性;引入了基于进化策略的变异调度方案来自动优化变异算子的概率分布,进一步提高生成高质量测试用例的概率;设计了消息处理器用来维护协议交互上下文信息并执行密码学相关的操作,从而支持在黑盒条件下对IKE协议进行测试,并实现对深层协议交互行为和状态空间的探索。基于上述方法实现了IKE协议有状态模糊测试工具IKEChecker,该工具支持对IKEv1和IKEv2协议进行测试。对两种广泛使用的支持IKE协议实现的开源软件strongSwan和Libreswan进行测试,发现4个未公开漏洞;通过与其他模糊测试工具对比,评估了IKEChecker在漏洞检测方面的效率。

铁死亡诱导剂咪唑酮埃拉斯汀(IKE)通过抑制IL-6、CCL5及CXCL9分泌缓解CIA小鼠的肺纤维化

目的 探索铁死亡诱导剂咪唑酮埃拉斯汀(IKE)对胶原蛋白诱发关节炎(CIA)小鼠肺纤维化的作用及潜在机制。方法 选取8周龄~10周龄DBA/1小鼠,按照完全Freund佐剂(CFA)与鸡Ⅱ型胶原蛋白混合乳化方法建立CIA小鼠模型,设置对照组、 CIA组、 CIA联合IKE组。每2 d进行关节评分与爪垫厚度测量,39 d后收集小鼠各脏器组织。HE染色、番红-固绿染色、甲苯胺蓝染色评价关节处组织病理改变;Masson染色评价肺部组织病理改变。免疫组织化学染色法检测肺组织α平滑肌肌动蛋白(α-SMA)、成纤维细胞活化蛋白α(FAPα)、转化生长因子β(TGF-β)及Ⅰ型胶原蛋白(Col1)、白细胞介素1(IL-1)、 IL-6、 IL-17及肿瘤坏死因子α(TNF-α)的表达水平;Olink mouse exploratory panel检测小鼠血清细胞因子IL-17α、 IL-17F、 TGF-β1、整合素亚基β6(ITG-β6)、 TNF受体超家族成员11B(TNFRSF11b)、 TNF受体超家族成员12A (TNFRSF12a)、 IL-6、 IL-1α、 IL-1β、 IL-10、 TNF-α、 CC趋化因子配体5(CCL5)、 CCL2、 CXC趋化因子配体9(CXCL9)、 CXCL1、烟酰胺腺嘌呤二核苷酸激酶(NADK)、促红细胞生成素(EPO)、集落刺激因子2(CSF2)、 TGF-α、 CCL20、 CCL3水平。结果 与CIA组相比,CIA联合IKE组治疗后关节炎症及关节损伤明显缓解;肺组织α-SMA、 FAPα、 TGF-β和Col1表达水平均呈下降趋势,表明CIA小鼠肺部胶原蛋白聚集减少,组织病变明显缓解;IL-6、 CCL5、 CXCL9、 IL-6水平显著下降表明CIA小鼠肺部炎症显著缓解。结论 IKE除缓解CIA小鼠关节炎症及关节损伤外,还可通过抑制IL-6、 CCL5及CXCL9表达缓解CIA伴发的肺纤维化。

世珠联会员单位阿联酋迪拜IKEN儿童技能发展培训中心开展鉴定和比赛活动

近日,世界珠算心算联合会(以下简称世珠联)会员单位阿联酋迪拜IKEN儿童技能发展培训中心(以下简称IKEN培训中心)举办了鉴定和比赛活动。2023年11月,IKEN培训中心举办第一届世珠联国际等级鉴定考试,来自迪拜、阿布扎比。

Internet密钥交换协议IKEv2研究

2005年12月发布的Internet密钥交换协议IKE(InternetKey Exchange)第二版IKEv2在安全性和实现效率上得到提高,同时简化了原版本的复杂性。对IKEv2协议的密钥协商机制进行了分析。

IKE协议协商效率和安全性分析与改进

基于嵌入式VPN网关的实时性和安全性要求,本文分析了IKEv1和IKEv2协商效率的优缺点和安全性,对IKEv1主模式提出了改进方案;同时,针对VPN网关对动态IP支持的需求,分析并改进了IKEv1预共享密钥验证方式下的主模式。

新一代动态密钥协商协议IKEv2的研究与分析

IKE协议作为IPSec体系中动态密钥协商机制,极大地增强了IPSec体系的安全性。而IEKv2作为IKE的替代者,对原有的IKE协议进行了诸多方面的改进。本文首先简单介绍了IKE协议,然后重点分析了IKEv2具体协商过程,最后阐述了IKEv2的发展趋势。

ML-IKE:一种改进的卫星链路分层密钥分配协议

传统的IKE协议不能适用于分层IPSec协议,为了解决卫星链路中基于PEP中间节点的TCP加速技术同端到端IP安全协议IPSec之间的矛盾,本文对传统IKE主模式和快速模式进行了扩展,提出了一种改进的分层密钥分配协议:ML-IKE。该密钥分发协议用于对两端节点和中间节点分别进行密钥交换,使得不同节点具有不同安全关联SA,而不同的SA分别对应分层IPSec中不同IP包字段,因此拥有不同安全关联SA的节点具有对IP包中不同数据段的权限。ML-IKE协议适用于分层IPSec,使得分层IPSec能够进行自动的密钥分发和更新。

IKEv2协议的SPIN模型检测

基于模型检测技术,使用SPIN对IKEv2协议进行了建模和分析。应用Promela语言描述了协议模型,并用LTL规约了该协议需要满足的认证性和秘密性,最后对检测结果进行了分析。

IKE中的身份认证技术研究

探讨了Ｉｎｔｅｒｎｅｔ密钥交换（ＩＫＥ）协议中所支持的身份认证技术，着重分析了基于预共享秘密的身份认证技术，并在此基础上提出了一个用于共享秘密自动更新的“状态转移通知”协议。

IPSec中基于IKE的安全防范机制

文章从IPSec中密钥管理协议(InternetKeyExchange,IKE)的安全机制入手,针对IKE可能遭受到的攻击和协商模式讨论其安全性能,指出了存在的安全缺陷,并给出了修改建议。

IKEv2协议分析与安全性研究

对第二代因特网密钥交换协议IKEv2进行了分析与研究,介绍了IKEv2协议的新特点,并对IKEv2协议抵御中间人攻击,拒绝服务攻击等安全性问题进行了相应分析。

IKE协议两种身份保护缺陷的改进

该文从身份保护的角度出发,对互联网密钥交换(IKE)协议主模式下数字签名认证方式和主模式下预共享密钥认证方式中存在的身份保护缺陷进行了分析,提出了新的修改建议。与其他文献只能保护单方身份的改进方法相比,该方法能够同时保护双方的身份,并不破坏ISAKMP框架及协议的对称性。

一种基于IKE协议的移动VPN安全通信方案

实现移动终端的安全接入、移动通信的安全传输是智能移动终端普及和移动业务扩展的重要环节。以保证移动数据安全交换为目的,针对移动终端接入企业内网所面临的安全问题,提出了一种移动VPN(Virtual PrivateNetwork)通信方案。方案对IPSec VPN的IKE(Internet Key Exchange)协商流程进行了改进,能支持多因子认证和基于角色的访问控制。分析和实验测试证明了方案的安全性和可行性。

IKE2协议的安全性分析

本文首先扩展了串空间的理想理论,然后应用此扩展理论分析IKE2协议的核心安全:秘密性和认证性。通过分析,证明了IKE2协议的密钥交换和认证安全性,但同时发现它不能在主动攻击模式下保护发起者身份,对此我们提出了一个修改意见。对IKE2的分析也为扩展串空间理论在复杂协议分析中的应用提供了一个实践基础。

密钥交换协议IKE实现的可扩展设计

利用 IPSec进行安全通信的两个主机通过 IKE来进行身份认证、协商安全策略和生成密钥 .IKE是个较为复杂的协议 ,从可扩展的角度提出了一个设计框架 ,其优点在于充分考虑了协议特点 ,合理划分模块 ,为性能和功能上的扩展提供了有效的机制 .这个框架不仅降低了实现的难度 ,而且具有较强的可扩展性 .

基于数字签名认证的IKE协议安全性分析及改进

IKE协议的复杂性使得其存在一些安全漏洞。简要介绍基于数字签名认证方式的IKE协议工作机制之后,分析了IKE协议容易遭受的两种中间人攻击,针对中间人攻击导致用户身份泄漏的安全缺陷,提出两种改进方案并给出改进前后定量的性能分析。

IPSec中IKE协议的安全性分析与改进

IKE协议是IPSec协议族中的自动密钥交换协议,用于动态地建立安全关联(SA)。对IKE协议的交换过程进行了安全性分析,并提出了两点改进建议:重新定义ISAKMP消息包头中消息ID字段的作用,提供了抗重放攻击的机制;对公钥签名主模式进行改进,以保护发起者的身份信息。

对于IKE的分析及改进

介绍了IKE的协商过程，并对其进行了分析，然后提出了对相关方面的建议和改进，其中包括：对cookies的建议，签名验证主模式的改进，签名验证积极模式的改进及预共享方式的改进。通过改进，协议会更加安全、实用。

一种基于改进IKE的移动VPN密钥协商方案

对传统IKE协议进行了改进,改进后的协议在不降低安全性的前提下实现了移动用户远程安全接入,以便其获得内网信息;扩展了IKE的认证方式,使其具有更高的协商效率和更强的可控性;实现了相应的移动VPN接入系统,该系统既支持动态内网IP分配,又支持扩展用户身份认证,从而在接入服务器端可以方便地进行基于内网IP的访问控制管理。

一种改进的基于PKI/ECC的IKE协议设计

IKE协议是IPsec协议簇的重要组成部分,用来动态地建立和维护安全关联SA,是IPsecVPN安全传输的先决条件和保证。文章在研究现有IKE协议的基础上,将公钥基础设施PKI体系引入其中,提出将ECC技术、X.509数字证书、访问控制技术同IKE协议相结合,设计了一个基于PKI身份认证和访问控制的增强型IKE协议,从而提高了IPsecVPN网关的安全性和可扩展性,有效保护了VPN网络资源的安全。最后给出了基于最新Linux2.6内核的实现方案,并对由此构建的IPsecVPN安全网关原型系统的工作过程作了说明。