改进传输层安全协议在提高风电场数据通信安全中的应用

首先分析风电场中数据通信的安全需求,然后依据IEC62351-3,利用改进的传输层安全(transport layer security,TLS)协议(即在原有TLS内部引入数字签名机制)防止各种威胁和攻击,实现数据通信过程中的认证、完整性、机密性和不可否认性。最后,基于OpenSSL0.9.8e开发包实现改进的TLS,并构建了利用代理模式集成改进TLS的模型,来加强风电场中数据的通信安全。

受限环境下委托握手DTLS协议的形式化分析与改进

物联网设备有着资源受限的特性,往往处于受限的网络环境中,在这之上又面临着安全的挑战。目前常见的受限网络协议栈为CoAP-DTLS/UDP-6LoWPAN,传输层使用UDP,其安全性由DTLS协议维持。但DTLS协议作为TLS在UDP上的扩展,基于PKI连接建立的方式使其在直接应用到受限环境下会产生诸多性能上的问题。针对DTLS协议在受限环境下的性能问题,国内外的研究学者提出了诸多解决方式,包括但不限于改进加密算法、使用特定硬件、优化证书链、委托可信三方进行密钥协商(即将DTLS握手委托给第三方)。因此,对委托握手的DTLS协议使用Scyther进行形式化分析,得出其交付密钥材料时使用长期预共享密钥存在的安全问题,并提出重用TLS/DTLS协议中PRF函数的改进方式,对改进后的方法进行分析,证明了该方法能有效降低交付密钥材料时存在的风险。

一种用于多方通信的新的SMC安全协议

对主流安全协议在多方通信环境下的应用进行分析,总结其各自优缺点。在综合各个协议优点的基础上,提出并介绍了一个用于多方通信环境下的SMC(securing multi-party communications)协议,该协议工作在传输层之上,具有更强的可部署性。SMC协议被设计用来取代当前用于多方通信环境的MSEC协议族。通过将SMC协议与MSEC协议族进行比较,证明SMC协议具有与MSEC协议族一致的安全性,并且具有更强的可部署性。

IPSec安全协议标准

IPSec的基本思想就是利用认证、加密等方法在IP层为数据传输提供一个安全屏障.虽然我们可以在TCP/IP协议中的任何层次实现认证与加密,但许多安全协议都是在IP层次上实现的,如PGP、SSH安全远程登录以及SSL在Socket层实现安全功能.

一种基于DTLS协议的VPN方案设计

DTLS(Datagram Transport Layer Security)协议是TLS协议的变体,用于在不可靠传输网络上对应用层数据提供安全保护。文中介绍了DTLS协议,提出一种基于DTLS协议的应用层VPN解决方案,并进行了仿真。

适用于网络内容审计的SSL/TLS保密数据高效明文采集方法

为解决互联网上使用安全套接层/传输层安全(SSL/TLS)协议保密的数据难以审计的问题,提出了一种基于中间人原理的SSL/TLS保密网络数据的明文采集方法,将作为合法中间人的数据采集器串行接入服务端与客户端之间,在SSL/TLS握手阶段通过修改通信双方传输的握手消息,取得通信双方用于数据加密的密钥,达到解密保密数据、采集其明文的目的。该方法比已有的基于代理服务器原理的采集方法传输时延更短,SSL吞吐率更大,占用内存资源更少;比已有的采集器持有服务端私钥的方案应用范围更广,且不受网络丢包的影响。实验结果表明提出的方法与基于代理服务器原理的采集方法相比,传输时延降低了约27.5%;SSL吞吐率提高了约10.4%,且SSL吞吐率已接近理想情况下的上限值。

状态机无关的TLS数据采集方法研究

网络安全审计系统用于监督规范用户行为,防止内部人员对网络的损害,对于保障内网安全有着重要的意义.传输层安全协议是网络上应用广泛的安全协议,由于协议对数据进行加密传输,在审计系统中需要采取一定的技术手段将其转化为相应的明文后才能进行分析审计工作.本文基于多核网络处理器实现传输层安全协议数据采集,提出了一种状态机无关的数据采集方法,使得系统具有更高的灵活性和可维护性.针对私钥操作,提出一种结构化私钥信息缓存算法,提高了系统的性能,实验表明当配置1024位和2048位RSA证书时,系统每秒新建连接数性能分别提升了130%和50%.

基于哈希的TLS会话重用数据采集方法

网络安全审计系统用以审计用户行为保障内网安全,已受到越来越多的关注和重视。数据采集作为后续分析审计工作的基础,对系统起着至关重要的作用。传输层安全协议TLS是网络上应用广泛的安全协议,为建立起一条安全的TLS连接,客户端和服务器需要额外的握手过程进行协商,这一过程是十分耗时的。TLS会话重用特性使得双方重用已经协商好的会话参数,从而减轻握手开销。作为提高TLS性能的有效方式,会话重用已得到广泛的支持和应用。本文讨论了TLS协议重用会话的数据采集问题,通过分析session ID和session ticket两种会话重用方式的流程和特性,提出了基于哈希的会话重用采集方法。最后,在多核网络处理器平台上实现了该方法,实验证明了方法的有效性。

基于IP协议的隐蔽通道的研究与实现

网络隐蔽通道是评估入侵检测系统和防火墙系统安全性能的一种重要手段。IP协议中存在的漏洞为建立隐蔽通道提供了很好的场所。

无线应用协议浅析

WAP是为无线设备提供Internet服务而开发的新协议。本文简明描述了无线应用协议的体系结构及其发展,并给出了WAP的应用实例。

一种增强的DTLS密钥交换协议

数据报传输层安全(Datagram Transport Layer Security,DTLS)协议基于用户数据报(User Datagram Protocol,UDP)协议套接字(socket),在传输层和应用层之间构建了一个端到端的安全通道,保证了传输数据的机密性。DTLS提供了基于椭圆曲线迪菲-赫尔曼(Elliptic Curve Diffie-Hellman,ECDH)和预共享密钥(Pre-Shared Key,PSK)两种密钥交换协议,前者安全性好但耗时长开销大,后者效率高但安全级别低。因此,在ECDH和PSK基础上,提出了一种增强的密钥交换协议,该协议在不改变密钥交换流程且不增加网络传输开销的前提下,通过PSK存储于密钥池以及使用时动态选取和使用后滚动更新的方式,有效地抵御了前向和后向安全攻击,并避免了数据被窃听或篡改。

SSL安全通信杂谈

SSL安全套接层 SSL安全套接层（Secure Socket Layer）为Netspace所研发，用以保证伍Internet上数据传输的完整性和保密性，目前版本为3．0，最新版本为TLS1．2安全传输层协议（Transport Layer Security）。TLS和SSL两者差别极小可以将其理解为SSL的更新版本。

TCP/IP网络通信中各层的安全性

简单介绍TCP/IP协议的分层结构,并论述在TCP/IP的各层实现通信安全的技术。

Linux下增强SSH安全四招

SSH是一个建立在应用层和传输层基础上的安全协议，它与FTP、POP和Telnet这些用明文在网络上传送数据的传统网络服务程序相比，具有更加安全和可靠的优势。

基于IPSec协议的网络安全技术

1.引言众所周知,IP或TCP/IP协议是互联网Internet发展的基础。IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力。然而,在开放透明的同时,也往往更容易"充分暴露",自然也容易受到攻击。目前,黑客、病毒似乎愈杀愈烈。

高性能HTTPS服务中的TLS Record Size优化分析

为优化HTTPS性能,研究了TCP特性对TLS性能的影响.通过数学模型分析,指出了2种不同条件下,TLS Record Size选择对用户首数据响应延时(TTFB)、首页面响应延时(TTFP)、网络效益、吞吐率等参数指标的影响.大的TLS Record Size提高网络吞吐和利用率,但增加了用户首数据响应延时,适合需要高吞吐但响应延时不敏感的场景;小的TLS Record Size降低用户响应延时却降低了网络吞吐和利用率,适合对用户响应时间敏感的场景.

大型指纹库场景中加密视频识别方法

加密视频识别是网络安全和网络管理领域亟待解决的问题,已有的方法是将视频的加密传输指纹与视频指纹库中的视频指纹进行匹配,从而识别出加密传输的视频.现有工作主要集中在匹配识别算法的研究上,但是没有专门针对待匹配数据源的研究,也缺少在大型视频指纹库里对这些算法的查准率和假阳率指标的分析,由此造成现有成果的实用性不能保证.针对这一问题,首先分析使用安全传输层协议加密的应用数据单元(application data unit,简称ADU)密文长度相对明文长度发生漂移的原因,首次将HTTP头部特征和TLS片段特征作为ADU长度复原的拟合特征,提出了一种对加密ADU指纹精准复原方法HHTF,并将其应用于加密视频识别.基于真实Facebook视频模拟构建了20万级的大型指纹库.从理论上推导并计算出:只需已有方法十分之一的ADU数目,在该指纹库中视频识别准确率、查准率、查全率达到100%,假阳率达到0.在模拟大型视频指纹库中的实验结果与理论推导结果一致.HHTF方法的应用,使得在大规模视频指纹库场景中识别加密传输的视频成为可能,具有很强的实用性和应用价值.

现代营销渠道——Internet的网络体系结构(下)

安全性、可靠性、容异性、互通、互操作性将成为interner的关键和热点。 IPV4已不适应现代信息社会广泛应用的需求,因此开发internet下一代基本通信协议IPV6将是当前的迫切任务。从IPV4向IPV6过渡,据专家估计至少得有十年左右时间。由于IPV6向下兼容IPV4,所以,即使IPV6可以取代IPV4,用户也不必担心自己的利益是否会受到损害。 TCP/IP网络协议是指TCP传输控制协议和IP网际协议两个基本协议,这是internet网络协议的核心。目前的Internet仅是信息高速公路的雏形,人类社会企望的信息高速公路尚待九转功成。

基于IPv6的防火墙技术

针对传统的防火墙缺少认证和加密功能之缺点,本文提出了一种基于IPv6的防火墙技术。结合IPv6中的认证和加密功能,防火墙的安全性得到了极大的提高,防火墙系统的功能更加完善。