Internet与Intranet网间文件安全交换方法研究

军工企业按照国家相关部门的要求,涉密信息系统必须与国际互联网及其他公共信息网物理隔离。因此这些企业的内部资料外发和外来资料接收,通常要经过复杂的审批、交换流程。为了提高这种网间文件交换管理工作的便捷性及安全性,我们设计了一套"Internet与Intranet网间文件交换系统"。该系统基于B/S模式,采用Java及Sql Server等技术开发,分为内网系统和外网系统两部分。对于其中应用到的"内外网间文件交换"相关技术进行了阐述,给出了实现方法。通过对该系统的运行情况分析,这种文件交换方法在很大程度上解决了军工企业内外网间文件交换的便捷性和安全性之间的矛盾,可以在更多行业内推广应用。

通用可组合安全的Internet密钥交换协议

通过对新一代Internet密钥交换协议(IKEv2)进行分析,指出了其初始交换过程中存在发起者身份暴露和认证失败问题.而在无线接入网络环境下,对发起者身份等敏感信息进行主动保护是十分必要的.提出了一种适用于无线网络环境下的Internet密钥交换协议,该协议让响应者显式地证明自己的真实身份,实现了对发起者主动身份保护.并通过重新构造认证载荷,有效防止了认证失败问题.在通用可组合安全模型下,证明了该协议达到了通用可组合安全.性能分析和仿真实验表明,该协议具有较少的计算量和通信量.

Internet密钥交换协议安全性分析

ＲＦＣ ２４０９（ＩＫＥ）提供了一组Ｉｎｔｅｒｎｅｔ密钥交换协议，目的是在ＩＰＳｅｃ通信双方之间建立安全联盟和经过认证的密钥材料。文章分析了ＩＫＥ协议安全特性，以及两个阶段中实现各种安全机制的工作原理。同时，发现了存在的安全缺陷，并给出了修改建议。

Internet密钥交换协议的安全性分析

Internet密钥交换(IKE)协议是IPSec协议体系中最重要的部分,对于在不安全网络上安全地进行通信具有重要的意义。文章从主模式交换协商过程的分析入手,分析比较了几种验证算法的安全强度,之后从防止中间人的攻击,复杂性,防止DOS攻击等方面指出了IKE协议的缺陷和不足,并提出了相应的改进意见。

Internet密钥交换(IKE)及其在Linux系统中的实现

介绍了Internet密钥交换协议（Internet Key Exchange, IKE）在IPSEC中的地位和作用，分析了IKE协商安全关联（SA）的过程；提出了IKE在Linux系统中的实现方案，着重分析了进程与内核之间进行通信所采用的消息队列的实现方法。

IPsec的Internet密钥交换

介绍了IPsec的基本组成和一组IKE协议.分析了IKE协议的安全特性,以及IKE的协商过程.其中包括:在主模式中建立ISAKMP SA的过程和在快速模式中利用已建立好的ISAKMP SA完成IPsec SA的协商.通过详细分析主模式中用于完成SA要交换的六个消息的发送步骤、属性、结构来说明安全性的实现.

EBAKE-SE: A novel ECC-based authenticated key exchange between industrial IoT devices using secure element

Industrial IoT(IIoT)aims to enhance services provided by various industries,such as manufacturing and product processing.IIoT suffers from various challenges,and security is one of the key challenge among those challenges.Authentication and access control are two notable challenges for any IIoT based industrial deployment.Any IoT based Industry 4.0 enterprise designs networks between hundreds of tiny devices such as sensors,actuators,fog devices and gateways.Thus,articulating a secure authentication protocol between sensing devices or a sensing device and user devices is an essential step in IoT security.In this paper,first,we present cryptanalysis for the certificate-based scheme proposed for a similar environment by Das et al.and prove that their scheme is vulnerable to various traditional attacks such as device anonymity,MITM,and DoS.We then put forward an interdevice authentication scheme using an ECC(Elliptic Curve Cryptography)that is highly secure and lightweight compared to other existing schemes for a similar environment.Furthermore,we set forth a formal security analysis using the random oracle-based ROR model and informal security analysis over the Doleve-Yao channel.In this paper,we present comparison of the proposed scheme with existing schemes based on communication cost,computation cost and security index to prove that the proposed EBAKE-SE is highly efficient,reliable,and trustworthy compared to other existing schemes for an inter-device authentication.At long last,we present an implementation for the proposed EBAKE-SE using MQTT protocol.

A Novel Formal Theory for Security Protocol Analysis of Denial of Service Based on Extended Strand Space Model

Denial of Service Distributed Denial of Service （DOS） attack, especially （DDoS） attack, is one of the greatest threats to Internet. Much research has been done for it by now, however, it is always concentrated in the behaviors of the network and can not deal with the problem exactly. In this paper, we start from the security of the protocol, then we propose a novel theory for security protocol analysis of Denial of Service in order to deal with the DoS attack. We first introduce the conception of weighted graph to extend the strand space model, then we extend the penetrator model and define the goal of anti-DoS attack through the conception of the DoS-stop protocol, finally we propose two kinds of DoS test model and erect the novel formal theory for security protocol analysis of Denial of Service. Our new formal theory is applied in two example protocols. It is proved that the Internet key exchange （IKE） easily suffers from the DoS attacks, and the efficient DoS- resistant secure key exchange protocol （JFK） is resistant against DoS attack for the server, respectively.

基于可信身份的文件传输助手产品设计与实现

随着互联网移动终端的普及以及新冠疫情持久化的影响,移动办公已经成为一种常态化办公形式。国家电网公司以投资、建设、运营电网作为主要的核心业务,对信息安全高度重视,为了强化网络边界安全,采用逻辑强隔离策略进行内网外隔离。通过可信身份的文件传输助手的建设,提供包括内外网文件传输、文件传输记录等功能,提升企业员工内外网文件传输的效率,保障企业文件传输的安全。

基于半可信离线第三方的公平交易协议

电子商务是 Internet应用的发展趋势 ,它的基础之一是公平的交易协议 .提出一种新的解决方案 ,它所依赖的第三方不必完全可信 ,且只需离线工作 .协议还是高效的 ,表现为在一般情况下 ,一次交易只需交互 4条信息 .同时 ,交互的信息都自然地被加密 ,因而特别适合 Internet这种几乎没有物理安全性的公共网络 .

基于IPSec的安全路由器设计与实现

在介绍IETF制订的IPSec协议簇基础上，以上海交通大学金桥网络中心研制开发的BQ2800/BQ5000系列路由器为例，详细介绍了通过引入IPSec技术构建安全路由器的原理，并给出了协议实现的总体结构，分析了BQ2800/BQ5000路由器的安全特性，以及安全功能的增加对其性能的影响。

IPSec密钥交换的分析

在对IKE进行分析的基础上，讨论了怎样在安全密钥协商过程中对发起者身份进行保护，并给出了具体实施步骤。针对IKE中在标准公钥加密认证中发起方也可能有多个公钥，而响应方并没有具体指出使用哪个公钥的问题，提出修改建议，使发起方通知对方使用自己哪个公钥进行解密。

IPSec穿越NAT的设计与实现

概要介绍了协议和网络地址转换()协议的基本原理。着重介绍了协议与协议所存在的矛盾,并阐述了解决矛IPSecNATIPSecNAT盾所采用的方法。最后介绍了采用封装方式实现报文处穿越的完整方案。

内网敏感大数据跨网域跨密区数据交换需求及方法策略研究

针对内网敏感大数据治理和应用,分析阐述了数据采集报送、引接汇聚、分发共享、综合应用过程中跨网域跨密区数据流转和信息交互需求,对比研究了各类跨网域跨密区数据交换技术方法,并提出了面向应用需求实现跨网域跨密区数据交换的方法策略,为内网大数据建设运用提供技术支持和策略建议。

IPSec密钥交换(IKE)协议的分析与改进

基于加密的安全通信产生了对密钥管理的要求。分析了和的协商过程。讨论了建立过程中认证环节的缺陷 IKE SAIPSec SAIKE SA和改进的方法。

基于IPSec的网络安全系统的分析与设计

针对软件加密解密时发送和接收数据包速率较低的问题,利用IPSec协议和密码卡相结合,提出一种高速、高性能和适应于各种安全需求的网络安全系统,包括标准IPSec的本地化改造,ESP协议和IKE协议自由使用密码卡上的专用算法等关键技术。测试和分析结果表明,该系统与软件加密系统相比具有比较明显的优势。

在Linux平台下的IPSec实现技术研究

InternetVPN是专用网家族的最新发展。基于IPSec(IP安全协议)的VPN被广泛看好。该文在研究IPSec协议框架和Linux操作系统的基础上,提出了通过改造Linux内核以及在操作系统原来的TCP/IP协议栈上添加IPSec的实现方案,并对具体实现中的关键技术作了进一步的研究。

OpenBSD下基于IPSec协议的VPN研究与设计

IPSec提供一种对用户透明的IP层安全服务 ,包括机密性、完整性、可认证性和数据重放保护。IPSec可用于保护主机间、安全网关间或安全网关—主机间的一条或多条路径的安全通信。文章对IPSec的结构与组成 ,IPSec在OPENBSD下的实现进行了较为详细的研究 ;并对系统的利弊进行了评价。

VPN网关中IKE协议的实现方案研究

该文研究了VPN网关中IKE协议的设计与实现方法。首先,介绍了VPN网关的基本框架,并对整个系统的层次结构做了描述;其次,说明了IKE模块的主要功能,并分析了该模块与其他模块的相互关系;最后提出了基于VPN的IKE协议的实现方案。

IPSec技术分析及其应用

本文详细讨论了IPSec的架构以及它的三大组成部分:认证头标AH,封装安全净荷ESP和密钥交换协议IKE,以及不同模式下的头标格式。IPSec协议为互操作性设计,它不会影响现有网络以及网络中那些并不支持IPSec的主机。IPSec独立于具体的加密算法,它不仅适用于IPv4也适用于IPv6。实际上IPSec已经成为IPv6必备的组成部分。文中还对虚拟专网VPN及其应用作了讨论。