IPSec

摘要： 在企业级的网络部署中,为了保证公司总部和分支机构的正常通信,同时为了节省开支,可利用互联网平台,采取加密通信的方式保证网络和通信安全。采用IPsec VPN实现站点间安全通信是有效的部署方法,分析IPsec的工作原理,简化拓扑模型,根据IP地址规划和相应的IKE策略,分步实施并进行验证测试,证明部署模型是正确的,验证了IPsec隧道通信是安全可靠的。

摘要： 目前工业信息安全性越来越重要,施耐德电气可编程逻辑控制器ePAC M580使用IPsec对数据加密,保证数据传输的安全可靠。文章在阐述IPSec协议理论基础上,结合施耐德电气目前主推的ePAC M580控制器及配套的以太网模块BMENOC0301搭建控制平台实现上位机与控制器经过IPSec加密的数据通讯,通过抓取报文分析基于BMENOC0301模块的IPSec通讯机制和验证IPSec数据加密报文。目的是提升工业控制领域的安全访问等级,防止网络中被其他数据的干扰或者篡改,响应国家对信息安全重视的号召。

摘要： 移动通信技术和我们的日常生活息息相关,因此文章聚焦移动通信网络安全,旨在保证移动通信安全的情况下提高传输效率。文章主要使用IPSec协议簇进行加密,确保传输数据的保密性、真实性和完整性,并针对IPSec在面对吞吐海量数据的时候会造成高延迟的问题提出解决方案,使用数据平面开发工具DPDK设计架构,解决由内核和上下文切换的分层网络数据包处理造成的瓶颈问题。

摘要： 本文针对数据备份中心数据同步安全保护,设计了在纵深体系下基于国密IPSec的数据备份传输加密,包含网络地址规划、对等体设置以及NAT穿透等相关技术,以及国产密码和数字证书认证等方面,较好地满足了网络拓扑结构改动小、明文形式传输路径短,可穿透边界路由器等要求。

摘要： 针对因特网密钥交换协议(internet key exchange,IKE)在抗攻击方面的不足,提出了一个在多核处理器上抗拒绝访问攻击(denial of service,DOS)的解决方案。首先介绍了IKE协议及其实现细节,重点对IKE协商第一阶段进行了分析,并简要阐述了IKE协议面临的各种攻击威胁,然后结合LINUX系统对IKE协议在单核处理器和多核处理器上的具体实现进行了分析,最后应用多核编程、多线程编程和共享内存技术,结合多处理器的应用特点,通过对多个处理器核心的高效调度实现了对IKE协商DOS攻击的有效防御。

摘要： 在网络通信日益发达的今天,通信安全变得越来越重要。Ipsec在IP层对IP报文提供安全服务来保证IP数据包的完整性、私有性和真实性。在IPsec协议实现过程中如何快速地根据报文特征搜索到相应的安全策略是影响高速网络数据包处理性能的关键技术。目前TCAM芯片以其优异的性能广泛用于Ipsec协议的安全策略搜索,但是TCAM存在造价高且功耗高的缺点。针对微型IPsec设备体积小、功耗低的特点,采用并行查找及流水线的思路,提出了一种基于FPGA的安全策略搜索设计方法,该方法不仅实现简单且易于扩展,可实现1K条以上的模糊安全策略搜索,性能达到1Gbps以上。该设计在FPGA上已经实现,经过仿真测试性能达到设计目标。

摘要： 近年来,电力网络安全事件频发,电力系统所面临的安全威胁日益增加。IPSec技术作为虚拟专用网实现的重要技术,被广泛应用到电力系统的安全接入中。主流的IPSec框架Openswan和strongSwan采用传统的基于Linux协议栈的数据包捕获方式,需要进行多次数据复制,效率较低。文章提出一种基于PF_RING的电力安全网关的实现方法,通过PF_RING框架进行底层数据包捕获和转发,实现了数据快速处理。经过测试表明,该系统实现了对数据包的加密传输,性能优于开源框架Openswan和strongSwan,能有效保障通信安全。

摘要： 介绍了SD-WAN技术现状,比较了SD-WAN相对传统专线的优势,描述了SD-WAN的基本技术特征,对SD-WAN的软件定义网络控制器、安全加密与租户隔离、SD-WAN业界标准进行了说明.通过分析与SD-WAN主流厂商相关的技术,对SD-WAN所用的隧道技术进行比较,对不同厂商选用的私有IPSec隧道、VxLAN over IPSec、NvGRE over IPSec、SSL隧道等组网方案做了分析比较,给出了优选的隧道技术方案.并进一步针对如何应用隧道技术实现组网,结合运营商组建SD-WAN的优势,提出优化意见,给出了POP点组网和点对点组网方案.最后对SD-WAN未来标准的制定、运营商与SD-WAN厂商的未来发展趋势进行了展望.

摘要： 本文针对企业服务器直接放置在公网存在的安全隐患问题、企业类关键数据在交互时容易导致数据的泄露问题进行分析,通过采用防火墙的NAT技术,以及L2TP OVER IPSec和GRE OVER IPSec实现企业私网数据穿越公网,在公网中屏蔽了企业服务器地址,使公网不能直接攻击企业服务器,实现了对企业服务器的安全加固.加强了企业总部与个人及分支机构间交互数据时的安全性,采用域管理机制及数字证书与端口隔离技术来加强企业内部网的安全性.通过上述安全策略手段构建了一个安全、健壮、稳定的企业网络,提升了企业的服务品质.

摘要： 国家及各级地方政府对加强社会治理和智慧社区建设提出明确要求,并出台了一系列政策文件,智慧社区建设正在我国拉开帷幕.智慧社区所采集的数据都是与居民息息相关的数据,不仅关系到公民的个人隐私,更关系到公民的生命财产和安全.目前已建成的大多数智慧社区并不能保证这些数据的安全,本文提出并设计了一款应用于智慧社区的安全接入网关,支持采用国密算法建立IPSec加密通道对数据进行加密保护,并支持对前端设备及中心侧平台进行身份认证,确保全链条数据安全可靠.

摘要： 在企业信息化建设高速发展的今天，跨地区企业的内部网络建设必须要解决分支机构与总部之间的网络连接问题，不仅要实现资源的共享，同时更要保证网络传输的安全和高效。VPN技术为跨地区企业提供了技术领先、高性价比的解决方案。本文通过开滦集团公司VPN网络的组建过程探讨了目前流行的几种VPN技术，提出了具体方案，并通过该方案的实施解决了开滦集团公司分支机构的远程接入问题。

摘要： 在企业信息化建设高速发展的今天，跨地区企业的内部网络建设必须要解决分支机构与总部之间的网络连接问题，不仅要实现资源的共享，同时更要保证网络传输的安全和高效。VPN技术为跨地区企业提供了技术领先、高性价比的解决方案。本文通过开滦集团公司VPN网络的组建过程探讨了目前流行的几种VPN技术，提出了具体方案，并通过该方案的实施解决了开滦集团公司分支机构的远程接入问题。

摘要： 在企业信息化建设高速发展的今天，跨地区企业的内部网络建设必须要解决分支机构与总部之间的网络连接问题，不仅要实现资源的共享，同时更要保证网络传输的安全和高效。VPN技术为跨地区企业提供了技术领先、高性价比的解决方案。本文通过开滦集团公司VPN网络的组建过程探讨了目前流行的几种VPN技术，提出了具体方案，并通过该方案的实施解决了开滦集团公司分支机构的远程接入问题。

摘要： 在企业信息化建设高速发展的今天，跨地区企业的内部网络建设必须要解决分支机构与总部之间的网络连接问题，不仅要实现资源的共享，同时更要保证网络传输的安全和高效。VPN技术为跨地区企业提供了技术领先、高性价比的解决方案。本文通过开滦集团公司VPN网络的组建过程探讨了目前流行的几种VPN技术，提出了具体方案，并通过该方案的实施解决了开滦集团公司分支机构的远程接入问题。

摘要： IPv6 协议,作为下一代的因特网协议,已在互联网中得到一定程度的应用,但仍然存在着很多有待改进和完善的地方,IPv4 像IPV6的过渡不可能一蹴而就,实现从IPV4到IPV6的完全过渡还需要很长的时间,不同的网络结构也会有各自不同的过渡策略。文章在分析各种过渡技术的基础上,结合校园网的特点,提出了一种适合校园网的从IPv4到IPv6的过渡策略。

摘要： IPv6 协议,作为下一代的因特网协议,已在互联网中得到一定程度的应用,但仍然存在着很多有待改进和完善的地方,IPv4 像IPV6的过渡不可能一蹴而就,实现从IPV4到IPV6的完全过渡还需要很长的时间,不同的网络结构也会有各自不同的过渡策略。文章在分析各种过渡技术的基础上,结合校园网的特点,提出了一种适合校园网的从IPv4到IPv6的过渡策略。

摘要： IPv6 协议,作为下一代的因特网协议,已在互联网中得到一定程度的应用,但仍然存在着很多有待改进和完善的地方,IPv4 像IPV6的过渡不可能一蹴而就,实现从IPV4到IPV6的完全过渡还需要很长的时间,不同的网络结构也会有各自不同的过渡策略。文章在分析各种过渡技术的基础上,结合校园网的特点,提出了一种适合校园网的从IPv4到IPv6的过渡策略。

摘要： IPv6 协议,作为下一代的因特网协议,已在互联网中得到一定程度的应用,但仍然存在着很多有待改进和完善的地方,IPv4 像IPV6的过渡不可能一蹴而就,实现从IPV4到IPV6的完全过渡还需要很长的时间,不同的网络结构也会有各自不同的过渡策略。文章在分析各种过渡技术的基础上,结合校园网的特点,提出了一种适合校园网的从IPv4到IPv6的过渡策略。

摘要： ISCSI以其灵活、高效、可靠性高和可扩展性强等特点，解决了数字图书馆数字信息的存储，备份、灾难恢复和资源的有效利用等问题；VPN通过附加安全隧道、用户认证和访问控制等技术实现iSCSI的安全性能，从而实现了对重要信息的安全传输．

摘要： ISCSI以其灵活、高效、可靠性高和可扩展性强等特点，解决了数字图书馆数字信息的存储，备份、灾难恢复和资源的有效利用等问题；VPN通过附加安全隧道、用户认证和访问控制等技术实现iSCSI的安全性能，从而实现了对重要信息的安全传输．

摘要： 本发明公开了一种VPN服务器中批量处理网络隔离空间的方法及VPN服务器，其中，所述IPsec VPN服务器上设有多个网络隔离空间，所述方法包括：为各个所述网络隔离空间分配唯一标识符，并设置各个所述网络隔离空间的配置文件；其中，所述网络隔离空间的配置文件中包括至少一个隧道的配置信息，所述隧道的配置信息中包含所述网络隔离空间的唯一标识符；接收IPsec VPN的控制器发来的控制指令，所述控制指令中携带指向网络隔离空间的若干个唯一标识符；按照所述控制指令对所述若干个唯一标识符分别指向的网络隔离空间以及所述指向的网络隔离空间的配置文件进行批量处理。本申请提供的技术方案，能够对VPN服务器中的网络隔离空间进行批量处理。

摘要： 本发明公开了一种IPSEC隧道恢复方法、分支出口设备和IPSEC VPN系统，涉及通信领域，用于解决长UDP流被中间网络设备丢弃或抑制导致IPSEC隧道断开需要人工介入恢复的问题。IPSEC隧道恢复方法包括：分支出口设备随机创建IPSEC备用端口；分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行IKE协商以建立第一IPSEC隧道；IKE协商成功后，分支出口设备与总部设备通过第一IPSEC隧道进行第一内网报文的通信；当第一内网报文的时间戳无更新时，分支出口设备触发第一DPD探测；如果第一DPD探测失败，则分支出口设备断开第一IPSEC隧道，并分别使用IPSEC默认端口和IPSEC备用端口作为源端口与总部出口设备进行IKE协商以建立第二IPSEC隧道。本发明实施例应用于IPSEC VPN。

摘要： 本发明提供了一种能够防止在通信设备之间出现设置不一致的IPsec设置服务器设备。IPsec处理部分使从接口部分接收到的数据通信包受到IPsec处理。从IPsec处理部分查阅SPD，该SPD记录用于应用IPsec的策略。从IPsec处理部分查阅SAD，该SAD记录使每种通信都受到IPsec处理所必需的SA。请求处理部分从IPsec处理设备中接收设置请求消息并返回分配消息。确定所请求的设置所必需的IPsec策略被存储在分配策略存储部分中。与所请求进行设置的各种SA通信有关的信息被存储在管理表中。

摘要： 本发明公开了一种VPN服务器中批量处理网络隔离空间的方法及VPN服务器，其中，所述IPsec VPN服务器上设有多个网络隔离空间，所述方法包括：为各个所述网络隔离空间分配唯一标识符，并设置各个所述网络隔离空间的配置文件；其中，所述网络隔离空间的配置文件中包括至少一个隧道的配置信息，所述隧道的配置信息中包含所述网络隔离空间的唯一标识符；接收IPsec VPN的控制器发来的控制指令，所述控制指令中携带指向网络隔离空间的若干个唯一标识符；按照所述控制指令对所述若干个唯一标识符分别指向的网络隔离空间以及所述指向的网络隔离空间的配置文件进行批量处理。本申请提供的技术方案，能够对VPN服务器中的网络隔离空间进行批量处理。

摘要： 本发明公开了一种IPSEC隧道恢复方法、分支出口设备和IPSEC VPN系统，涉及通信领域，用于解决长UDP流被中间网络设备丢弃或抑制导致IPSEC隧道断开需要人工介入恢复的问题。IPSEC隧道恢复方法包括：分支出口设备随机创建IPSEC备用端口；分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行IKE协商以建立第一IPSEC隧道；IKE协商成功后，分支出口设备与总部设备通过第一IPSEC隧道进行第一内网报文的通信；当第一内网报文的时间戳无更新时，分支出口设备触发第一DPD探测；如果第一DPD探测失败，则分支出口设备断开第一IPSEC隧道，并分别使用IPSEC默认端口和IPSEC备用端口作为源端口与总部出口设备进行IKE协商以建立第二IPSEC隧道。本发明实施例应用于IPSEC VPN。

摘要： 本发明提出了一种解决IPSec Client地址冲突的方法及IPSec Client，上述方法为：IPSec Client需要与IPSec网络中的IPSec Server进行数据交互时，自动生成唯一且合法的VPN IP地址，并用上述生成的VPN IP地址取代UDP封装的ESP隧道模式报文中Original IP Header内上述IPSec Client终端的真实IP地址；上述IPSec Client包括地址生成模块和地址替换模块。本发明提高了IPSecClient的兼容性，扩大了IPSec Client的应用范围。

摘要： 本申请涉及一种管控IPSEC隧道数据按需分配的方法、系统、终端及存储介质，属于IPSEC隧道管控领域，其方法包括获取数据包；基于预设的打标规则为各个所述数据包增加识别标签；在所述识别标签符合预设的加密条件时，将对应的所述数据包传输至IPSEC隧道进行加密；否则，将对应的所述数据包传输至其他传输路径，不经过所述IPSEC隧道进行加密。通过对每个数据包增加识别标签，依此判断各个数据包是否需要进行IPSEC隧道的加密步骤，有助于对已经加密过的数据包进行精确的传输控制。本申请具有IPSEC隧道的管控精度高和管控灵活性高的效果。

摘要： 本申请涉及一种IPsec数据处理方法、终端及存储介质，属于网络安全的技术领域，其方法包括：获取当前数据流的第一个数据包；记录第一个数据包的五元组信息，获得会话五元组；查找SA；基于会话五元组建立会话；将SA记录到会话中；获取当前数据流的后续数据包；记录后续数据包的五元组信息，获得后续五元组；判断后续五元组与会话五元组是否匹配；若是，则提取会话中的SA；基于SA对后续数据包进行加密或解密。本申请具有提高IPsec加密或解密的速度，降低IPsec协议栈处理数据包的开销的效果。

摘要： 本实用新型公开了一种IPSec VPN子卡以及运用IPSec VPN子卡的量子加密通信系统，包括CPU，PHY模块、安全存储模块，内存模块，运算模块和接口模块，所述CPU分别与PHY模块、安全存储模块，内存模块，运算模块和接口模块连接，所述的CPU为多核网络处理器XLR732，CPU采用USB2.0接口和安全存储模块相连，所述CPU提供IPSec VPN功能的控制和转发功能，完成数据通信的协议栈及转发功能。本实用新型通过将IPSec VPN功能子卡化，将量子密钥分发、密钥管理和VPN等多功能集成为一体，增加设备集成度，大大降低了设备管理复杂度。

摘要： 本申请实施例提供一种ipsec隧道协商方法、装置、电子设备及存储介质，其中，该方法包括：建立与对端设备连接的ipsec隧道，ipsec隧道存储一对保护子网结构，保护子网结构包含多个保护子网信息；发送包含多个保护子网信息的第一协商报文至对端设备，以使对端设备根据第一协商报文返回第二协商报文；接收第二协商报文；根据第二协商报文下发转发表项；根据转发表项向对端设备发送第三协商报文。实施本申请实施例，使得发送协商报文的频率变小，提升协商速度，节省内存资源。