IPSec通信截获与阻断系统研究

由于IPSec协议本身具有的完备性和安全性,使得阻断IPSec通信非常困难,特别是在IPSec通信截获与阻断设备并联接入的情况下,一旦通信双方建立起IPSec安全关联再实施阻断几乎是不可能的。给出了一种截获并阻断IPSec通信的实现方案,在此基础上,介绍了发现并阻断IPSec通信的方法。

双向NAT环境下的IPSec隧道通信研究

随着Internet规模的快速增长 ,NAT作为解决IP地址短缺的有效方法被大量应用于网络拓扑中。但NAT的出现带来了网络安全的复杂性 ,尤其在广泛应用的基于IPSec的VPN系统中 ,NAT对于IP报文的修改处理与IPSec协议对于IP报文的安全控制产生了极大的冲突 ,降低了IPSec安全策略对于网络的适应性。该文分析并比较了现有NAT与IPSec兼容性解决方案的技术关键点及其局限性。针对IPSec隧道双向穿透NAT的具体应用 ,传统的基于设备的点对点隧道协商方式已经无法满足需求。因此该文从VPN系统的角度给出了协作方式基于隧道接力的IPSec解决方案并进行了设计实现。最后该文对该系统的安全性及效率进行了评估。

一包一密在IPSec中的实现

提出了一种在IPSec中实现一包一密的方案,在该方案中,当IPSec通信实体需要加密IP包时,其通过临时产生的随机数与预先分发的分割密钥进行运算导出工作密钥,从而实现对每个IP包采用不同的密钥加密.最后对该方案的正确性和安全性进行了分析,并指出了该方案的应用场合.

基于国密算法SM2的IPSecVPN技术

文章提出了一种基于国密算法SM2的IPSec VPN技术,该技术在Linux平台下完成了整个IPSec VPN的搭建[1-3],并进行了具体的实验。文章通过对应用层和内核层以及通信模块的有效设计完成了整个IPSec VPN的详细设计,其中内核设计包括内核NETKEY模块、IP数据包封装以及解封装、加密算法注册和管理、分组模式配置、数据完整性验证等部分,而IPSec通信模块包括了:环境部署、创建通信证书、密钥以及SA配置等部分。