RDMA协议应用及安全防护技术综述

远程直接内容读写技术是一种有效提升数据传输速率、降低CPU占用率的通信方式,在跨区域数据中心之间的转存、高性能计算、快速数据读写等领域起着重要的作用。然而,作为新兴技术,RDMA缺少得到业界广泛认同的安全方案,目前,随着大量RDMA应用逐渐从专用网络环境向一般以太网拓展,关注其安全风险、为其设置一套在不影响传输效率的前提下保障安全性的防护措施是很有必要的;此外,由于采用了特殊的底层实现和协议设计,RDMA技术不仅无法兼容现有的成熟安全方案,还面临其他特殊安全风险的挑战。为梳理RDMA攻防技术的发展,向即将到来的RDMA技术的大规模应用提供安全保障:以无线带宽协议和基于以太网的RDMA协议第2版为例介绍了RDMA技术及其实现原理,调查了在相关场景下RDMA应用面临的安全风险,总结了近年来RDMA安全领域的攻防研究进展,汇总了能够应对这些安全风险的有效安全方案;在证明其有效防御能力的基础上,结合理论分析和实验数据,对比了这些方案的优劣;提出了RDMA攻防领域后续的改进方案和技术优化前景。

基于国产FPGA的UDP协议栈IP核设计与实现

为了解决国外芯片供应的不稳定性以及满足设计自主可控的要求,在国产FPGA上采用硬件方式实现基于以太网的UDP通信协议,利用SystemVerilog语言设计了一种UDP协议栈IP核.该IP核支持主动ARP请求、被动ARP应答、ARP表查询、ICMP协议、IP协议、UDP协议以及协议间的仲裁控制;同时支持AMD公司的三速以太网IP核,可以直接与三速以太网IP核适配.该协议栈IP核只采用常用的FIFO IP,其余均以源码形式设计,便于在其他国产FPGA上进行移植部署.最后将设计完成的IP核放在国微SMQ7K325TFFG900芯片上进行了测试.测试结果表明,该IP核可以实现UDP协议通信,性能良好.

基于DCL浅谈两类数据传输协议的应用

计算机网络结构复杂,协议多样,随着科技的发展,针对不同场景有各种不同的通信协议。本文重点针对民航空管数字放行系统,对比区分了网络架构中较为基础的用户数据报协议与传输控制协议的区别和应用,分析了两个协议的具体使用环境以及各自的优缺点。

CARINA:一种高效的解决IoT互操作性的应用层协议转换方案

为了解决物联网设备众多、协议众多,以及协议架构和应用场景不同引发的物联网设备互操作性问题,针对应用层使用广泛的HTTP等4种协议,提出了一种基于协议包解析和关键方法映射的高效可扩展的应用层协议转换方案。考虑到4种协议的基础架构、消息格式、通信模式以及应用场景具有较大差异,该方案通过对协议原始数据包进行解析和关键信息提取,然后统一以键值对的形式进行信息存储,解决了不同协议信息存储的统一性问题。通过构造关键方法映射表,将不同协议的方法进行映射,实现了不同协议之间的互联。实验结果表明,基于所提方案实现的协议转换系统能很好地完成4种协议之间的消息转换。相比同类型的Ponte方法,在相同实验条件下,所提方案的转换速度都优于Ponte,甚至在某些情况下表现出了将近10倍的速度差距,同时支持多出一倍的转换类型。实验结果验证了所提方法在可扩展性和转换时间等效率方面相比同类型的协议转换算法具有显著提升。

基于多协议融合的弱电机房一体化管控及其策略研究

随着高校信息化建设和应用的深入,弱电机房及其内部的智能化设备数量与日俱增。设备的安全运行状态监测和机房环境监测报警成为学校信息化运维管理工作中的重要内容。不同类型监测设备、管控设备之间的通信协议严重影响了运维管理效率和质量。通过构建多协议融合一体化管控平台,可实现数据传输、协议转换、数据分析预警、智能管控一体化,加强不同系统间设备的互联互通,提升管理效率和水平。

IKEChecker:语法引导的IKE协议有状态模糊测试

互联网密钥交换(IKE,internet key exchange)协议用于在IPSec(internet protocol security)协议中进行身份验证和密钥协商,其安全性对保护IP通信至关重要,复杂的协议逻辑导致协议实现中难免存在安全漏洞。模糊测试是检测协议实现中潜在漏洞的有效手段,但将现有模糊测试工具直接应用于IKE协议时,存在生成测试用例质量不高、难以探索深层状态空间等局限性。针对上述问题,设计了基于IKE协议语法的变异策略来减少无效测试用例的生成,同时增加测试用例的多样性;引入了基于进化策略的变异调度方案来自动优化变异算子的概率分布,进一步提高生成高质量测试用例的概率;设计了消息处理器用来维护协议交互上下文信息并执行密码学相关的操作,从而支持在黑盒条件下对IKE协议进行测试,并实现对深层协议交互行为和状态空间的探索。基于上述方法实现了IKE协议有状态模糊测试工具IKEChecker,该工具支持对IKEv1和IKEv2协议进行测试。对两种广泛使用的支持IKE协议实现的开源软件strongSwan和Libreswan进行测试,发现4个未公开漏洞;通过与其他模糊测试工具对比,评估了IKEChecker在漏洞检测方面的效率。

基于HSA技术的IEC104协议安全设计方案

以电力行业广泛使用的IEC104协议为研究对象,对该协议的报文结构进行分析并找出其存在的安全隐患和漏洞;提出增加安全信息控制字段,对核心数据进行加密处理,形成安全通信协议APDUSec;在不改变原有传输模式下,采用了RSA加密算法和HMAC认证算法,确保了协议的保密性、完整性和不可否认性;为解决电力通信系统中存在的通信链路故障,借助HSA技术来解决环路检测和分片安全问题.仿真测试结果表明:APDUSec在一定程度上能有效满足信息保密与身份认证的需要,HSA技术在检测环路、传输效率等方面具有一定的优势.本文结果对IEC104协议运行的安全性和可靠性研究具有一定的参考价值.

单区域OSPF协议配置在路由器中的应用研究

计算机网络之所以能在全球范围内畅通无阻,一个很重要的原因是具有路由器这种网络设备,而路由器能够进行数据转发和路由选择的原因是路由器内部有路由表,路由表的生成是因为有路由协议。路由协议分为静态路由协议和动态路由协议,而开放式最短路径优先(OSPF)协议属于动态路由协议。该协议功能强大、实用性强。H-路由协议的原理、网络拓扑图、路由配置命令、路由协议查看等方面论述了多区域的OSPF协议。

《民法典》中的继承协议:发现、证成与适用

继承协议是具备合同与死因处分双重性质的法律行为.«民法典»对继承协议的沉默不代表对其效力的否认,基于对被继承人意思的尊重与社会的养老现实需求,应当通过法律解释技术实质性地承认继承协议制度.仅仅参照适用合同编通则以及典型合同规则无法实现继承协议的制度功能.由于«民法典»规定了作为典型有偿继承协议的遗赠扶养协议,其他继承协议在效力优先性、解除、生前处分限制以及形式强制等利益状况相似的问题上,可以首先参照适用遗赠扶养协议的规则;在遗赠扶养协议规则也付之阙如时,可以借由«民法典»第464条第2款的通道,根据其性质参照适用合同编的不安抗辩权与违约责任等一般规则.

一种支持不确定性协议的船载网络数据集中方法

文中针对船载网络数据集中过程中因设备通信方式不同,协议具有异构性,不确定性设备协议变动使数据接入系统复杂的问题,提出一种基于TCP/IP协议的可配置数据集中方法。首先增加采集适配层将设备通信接口统一成工业以太网,船载设备通过转以太网模块实现物理层接入,使数据经以太网传输到数据管理平台;其次将网络协议解析处理过程描述成解析配置表,引入用户配置机制,实现对新设备协议的按需变动;最后借鉴有限状态及思想设计不确定协议的解析和数据抽取算法。实验结果表明:该船载设备数据集中方法可对采集数据字段颗粒度抽取,避免因通信协议变动重新编写解析和处理程序,具有良好的灵活性和普适性。

网络协议软件漏洞挖掘技术综述

网络协议软件部署和应用非常广泛,在网络空间提供了诸如通信、传输、控制、管理等多样化的功能.近年来,其安全性逐渐受到学术界和工业界的重视,及时发现和修补网络协议软件漏洞,成为一项重要的课题.网络协议软件由于部署形态多样、协议交互过程复杂、相同协议规范的多个协议实现存在功能差异等特点,使得其漏洞挖掘技术面临诸多挑战.首先对网络协议软件漏洞挖掘技术进行分类,对已有关键技术的内涵进行界定.其次,进一步综述网络协议软件漏洞挖掘4个方面的技术进展,包括网络协议描述方法、挖掘对象适配技术、模糊测试技术和基于程序分析的漏洞挖掘方法,通过对比分析归纳不同方法的技术优势及评价维度.最后,总结网络协议软件漏洞挖掘的技术现状和挑战,并提炼5个潜在研究方向.

工控协议安全研究综述

工控协议安全是保障ICS稳定运行的关键,大量工控协议在设计阶段忽视了对安全性的考量,导致目前大部分主流工控协议普遍存在脆弱性问题。结合ICS架构和工控协议的发展特征,深入解析目前工控协议普遍面临的脆弱性问题和攻击威胁。同时,针对工控协议的潜在漏洞,深入分析基于静态符号执行、代码审计和模糊测试等工控协议漏洞挖掘技术,并从工控协议的规范设计、通信机制以及第三方中间件3个方面全面剖析协议设计的安全防护技术。另外,从沙箱研制、安全防护及漏洞挖掘等方面,对工控协议安全的未来发展趋势进行展望。

面向能源互联网的多协议处理服务系统的设计与实现

能源互联网作为一种新型的智能电力系统,已经越来越受到人们的重视。在能源互联网中,多种不同的协议处理已经成为了一种重要的需求。根据不同协议的终端设备,不同的需求场景,定制化研发相应的逻辑处理流程,同时频繁地进行功能优化,加入新的技术元素,以此来满足日益增长的数据和不断变化的需求。文章基于能源互联网的特点和技术要求,分析了能源互联网多协议处理的相关内容,以期为相关人员提供参考。

一种适配多协议的水利物联网平台架构方案研究

本文聚焦智慧水利感知网建设,提出一种适配多协议的水利物联网平台架构方案,通过分层标准化架构和高度灵活的配置化、插件化设计,实现不同协议的差异化管理。详细阐述了方案的技术背景、设计细节及测试方案,并对方案性能进行了深入分析和评估。实验结果验证了本方案在兼容性、拓展性方面的较大优势,能够解决大规模终端设备接入带来的协议多样性问题,显著降低了水利物联网平台的运维成本。

互不挖人协议《反垄断法》规制的理据与进路

认定和规制互不挖人协议,是《反垄断法》亟须回应的现实问题。互不挖人协议分为横向互不挖人协议与纵向互不挖人协议。其中,纵向互不挖人协议兼具横向垄断协议与纵向垄断协议的部分特征,故超出了《反垄断法》的规制框架。回归垄断协议的实质性判断标准,运用劳动经济学分析工具,可证成互不挖人协议的《反垄断法》规制正当性。借鉴域外经验,回归我国劳动力市场特征,可从短期、长期两个角度为我国互不挖人协议的《反垄断法》规制找到理想路径。在未来的法律修订中,《反垄断法》应从价值目标、分析方法、豁免规则三个方面作出整全的制度回应:一是明确劳动者利益保护之立场,二是重设相关市场之分析方法,三是调整针对垄断协议的豁免规则。

基于MQTT协议和Vuejs框架在精炼炉RH液压系统设计与实现

介绍MQTT协议概念及应用,并使用MQTT服务工具软件在云服务器中搭建服务。基于MQTTNet SDK工具包、OPC协议与精炼炉RH PLC进行实时数据交换。移动端App采用基于Vuejs框架的H5 App开发模板,集成MQTT开发插件,快速实现移动端App与MQTT服务器进行信息的发布/订阅,实时控制与监控精炼炉RH液压系统过程数据。系统主要介绍搭建精炼炉RH液压系统总体网络结构、MQTT协议及关键技术、MQTT服务器搭建及关键技术、Vuejs框架及关键技术实现和主界面功能实现。

5G协议栈SDAP与PDCP层分析

移动通信系统的演进,离不开先进技术的应用、网络结构的升级和协议栈的改进。文章结合第三代合作伙伴计划(the 3rd Generation Partner Project,3GPP)标准讨论了第五代移动通信(the 5th Generation Mobile Communication Technology,5G)协议栈的总体架构。以服务数据适配协议(Service Data Adaptation Protocol,SDAP)层和分组数据汇聚协议(Packet Data Convergence Protocol,PDCP)层为例,阐述接入网协议栈的改进。分析了2个子层的功能、架构、实体、数据传输流程以及协议数据单元(Protocol Data Unit,PDU)格式,为移动通信系统的优化奠定基础。

基于信息熵与闭合频繁序列的密码协议逆向方法

未知密码协议被广泛用于敏感信息的安全传输,对其进行逆向分析对攻防双方都具有重要意义。为从网络流量中推断结构复杂的密码协议格式,提出了一种基于信息熵与闭合频繁序列的密码协议逆向方法。利用字节信息熵划分报文的明文域与密文域,使用BIDE算法挖掘闭合频繁序列,划分报文的动态域和静态域;设计了一种长度域识别算法,对报文进行字节片切,将片切后的字段值与长度域取值集合进行循环比对,实现了密码协议中多种形式的长度域识别;设计了启发策略,用于对加密套件、加密算法等密码协议特有的关键字段进行语义识别。实验结果表明,该方法可以有效地对密码协议进行域划分,提取密码协议的格式,并且在长度域识别和密码协议特有关键字段的语义识别上优于现有方法。

基于深度学习的二进制变种协议字段划分方法

为提高二进制变种协议字段格式划分的准确率,提出一种基于深度学习的方法,能够自动挖掘协议报文序列的深层字段特征完成协议的字段格式划分。引入一种字段列特征数据集的提取方法,在传统的双向长短期记忆条件随机场网络模型的基础上增加协议字段列特征提取模块,搭建一种专门解决二进制变种协议字段格式划分的神经网络PRO-BILSTM-CRF。与二进制未知协议字段格式划分方法以及几种主流网络模型的对比实验结果表明,在变种协议字段格式划分任务上,提出模型能够取得更高准确率。

基于数理逻辑的安全协议本征逻辑分析方法

本文提出了一种基于数理逻辑的安全协议本征逻辑分析方法—SPALL方法.该方法在一阶谓词逻辑的基础上,增加了基于密码学的若干新语义,包括新的密码函数项、与密码学和安全协议分析相关的一阶谓词和二阶谓词等,并给出了十三类二十九条公理,仍使用谓词逻辑的分离规则和概括规则,形成新的安全协议分析系统,称为本征(latent)逻辑系统(也称本征逻辑或L逻辑).该系统是一阶谓词系统的扩充,以密码学和安全协议为“特定解释”,并定义了“概率真”的概念,力求每条公理在“特定解释”下是概率真的,而分离和概括规则又能保证从概率真演绎出概率真,从而使每条定理都概率真,以保证公理系统的可靠性.清晰的语义可以精确描述安全协议的前提与目标,基于公理和定理的协议分析,可简洁有效地推导出协议自身具有的安全特性.本文给出了详细的语义和公理,以及若干实用定理,然后对著名的密钥建立协议进行了详细分析,并对比了可证安全方法的分析结果,展示了本文方法的优势.此外还分析了电子选举协议和非否认协议,展示了本文方法有着广泛的适用范围.