基于量子安全的电力信息系统安全增强方法研究

电力系统是国家发展的重要基石,电力信息系统的安全必须得到保障。现有电力信息系统的安全主要基于RSA等加密算法,面临互联网算力提升和量子计算机的威胁。根据电力系统对信息安全的迫切需求,以及量子保密通信技术在信息安全领域中的无条件安全性,探索量子保密通信技术在电力信息系统中的应用。通过对作为互联网信息技术基础的标准SSL协议过程及其安全要素解析,设计了同互联网基础相容的量子安全增强方法——利用预置量子随机数(基于量子随机数发生设备、量子密钥分发网络)进行随机数源强化,在开源OPENSSL VPN平台上进行相应实验验证。实验结果表明,提出的利用量子随机数源进行量子化改造的方案能实现系统安全的根本性改善,同时不显著增加系统复杂度或系统开销,对电力信息系统安全实现增强。

基于MQTT协议的电力系统数据安全传输研究与应用

随着物联网的发展,电力物联网的应用也越来越多,其中MQTT通信协议因其占用资源少、效率高、适应低带宽和不稳定网络的特点而被广泛应用。电力系统基于安全考虑分为安全Ⅰ区、Ⅱ区、Ⅲ区、Ⅳ区和互联网大区,物联设备运行于互联网大区,而互联网大区为公共网络区。基于实际需要,安全Ⅳ区的生产指挥管控系统需与互联网区的物联设备通信,需要保证数据的安全和高效传输,因此重点研究安全Ⅳ区系统与互联网区物联设备的通信安全和效率。在电力系统安全Ⅳ区部署MQTT Broker服务器,支持SSL连接;同时部署安全网关,把MQTT Broker映射到安全网关,支持物联设备连接;部署MQTT客户端,采用国密算法,增加CA证书、数字签名、数字验证、散列加密等,物联设备通过SM2国密证书校验才允许通信,采用双向证书验证机制。同时定义MQTT通信的JSON格式,保证通信双方数据交互的一致性。

基于SSL VPN的高校教师远程办公系统设计与实现——以新冠防控背景下的河套学院为例

在新冠疫情防控情势下,为了满足高校教师“零接触”远程办公和线上教学需求,设计并实现一种基于SSLVPN技术的高校教师远程办公系统。首先介绍几种主流的远程办公技术,考虑到新冠疫情时期高校业务的特殊性,以本地高校信息化工程实践项目为背景,在对本校教师进行远程办公需求抽样调研的基础上,以需求导向为出发点,对校园网络安全架构的SSL VPN进行部署配置和测试优化。研究结果表明,该文设计的远程办公系统具有易操作性和安全性等特点。

基于SSL和国密算法的安全传输系统设计

针对某政务系统数据安全传输的需求,设计基于SSL及国密算法的数据安全传输系统。通过对SSL、SM3、SM4、防中间人攻击、防重放攻击的研究,设计一套通过SSL通道交换预分配密钥加密的随机数,完成系统间双向握手,建立会话过程的系统实现机制。采用国密算法SM4,既保证数据的安全,又因为采用对称加密算法,保证了数据加解密传输效率。通过时间戳有效防止应用数据重放攻击,通过消息鉴别码有效防止应用数据中间人攻击,增强了系统的安全性,达到了数据安全传输的设计目的。

基于深度学习的SSL VPN加密流量的分类识别

随着虚拟专用网技术的广泛使用,VPN加密流量的分类识别对于网络安全管理的重要性愈发明显,而传统流量分类技术在提取特征和关键协议字段时效率较低.因此,本文提出一种基于卷积神经网络的深度学习模型,用以实现SSL VPN加密流量的分类识别,并减少特征工程中的人力成本.首先,将流量区分为VPN加密流量和非VPN加密流量,并且确定出这两类流量所属的服务类型;然后对所有流量进行分类,识别出产生流量的应用类型.考虑到网络流量中存在的时序关系,采用一维卷积神经网络作为深度学习的模型,通过构建Pytorch的实验环境,采用ISCX2016数据集,实现对VPN加密流量的分类任务.通过参数优化,除数据量较小的数据类型外,应用识别的平均F1-score为91.73%,流量识别的平均F1-score为91.13%.实验结果表明,基于一维卷积神经网络的深度学习方法对于识别SSL VPN流量是可行和有效的.

基于国密SM2算法的证书透明日志系统设计

证书透明日志系统具有广泛应用前景,但当前的证书透明日志系统多采用存在一定局限性的RSA算法和ECC算法,且无法识别基于国密算法的SSL证书。文章提出了一种基于国密SM2算法的证书透明日志系统设计方法,采用SM2算法生成日志系统签名密钥和数字签名证书透明日志数据,采用SM3算法作为系统的摘要算法来计算日志签名数据的哈希值,实现支持国密SSL证书的证书透明日志系统,用于保障国密SSL证书的安全可信。

一种面向类别不平衡SSL VPN加密流量识别方法

传统方法在处理不平衡的海量高维数据时存在特征提取困难、检测率低的问题。对此,提出一种先使用基于遗传染色体理论的数据合成过采样技术(NEDIL)平衡原始数据集,再利用基于注意力机制的双向GRU网络流量识别模型识别SSL VPN流量的方法。不仅解决了样本不平衡造成的模型拟合问题,同时能够增强关键特征的区分度,解决一般识别模型无法区分时间序列数据重要程度的差异性的问题。对比实验结果表明,该方法在公开的流量数据集上取得了比当前典型方法更好的识别精度,实现了整体高于92%的应用识别准确度。

基于注意力机制的图神经网络加密流量分类研究

对于加密流量的精确化识别,现有的基于机器学习和基于图的解决方案需要人工进行特征选择或者精度较低.使用一种基于图神经网络的加密流量识别方法,通过将网络流量数据转换为图数据,保留了网络数据流的丰富表示,将网络流量分类问题转换为图分类问题.并设计了一个基于自注意力机制的图分类模型进行加密流量的分类.实验结果表明,该方法对基于安全套接层(secure socket layer,SSL)的虚拟专用网(virtual private network,VPN)加密流量具有较好的分类效果,分类准确率有较大提高.

自训练新类探测半监督学习算法

传统的半监督学习算法(SSL)存在适用范围有限和泛化能力不足的缺陷,尤其是当训练数据集中出现未见标签的新类样本时,算法的性能将在很大程度上受到影响。基于人工标注的有标记样本获取方式需要领域专家的参与,消耗了高昂的时间和财力成本,且由于专家背景知识的局限,无法避免标记过程中的人为错标现象。为此,以提高对未见标签样本标注正确性为出发点的半监督学习算法具有迫切的实际需要。在对自训练算法进行了详细剖析之后,提出了一种有效的新类探测半监督学习算法(NCD-SSL)。首先,基于经典的极限学习机模型,构造了可处理标签增量和样本增量学习的通用增量极限学习机;然后,对自训练算法进行改进,利用标注可信度高的样本进行样本增量学习,同时设置了缓存池用以存储标注可信度低的样本;之后,使用聚类和分布一致性判定方法进行新类探测,进而实现类增量学习;最后,在仿真数据集和真实数据集上对提出算法的可行性和有效性进行了实验验证,实验结果显示在缺失类别数为3、2、1时,新算法的测试精度普遍比其他6种半监督学习算法高出30、20、10个百分点左右,从而证实了提出的算法能够获得更好的新类探测半监督学习表现。

券商行业商用密码应用与实践

介绍了商用密码应用工作的背景,分析了证券网上交易系统的密码应用现状与存在的安全风险,提出了一种新的网上交易密码应用方案,从系统架构、涉及的关键密码技术、重点密码应用场景3个方面进行详细说明,论证了商密在加强用户身份认证、数据传输加密方面发挥的重要作用,改进了传统方案需要依靠硬件USB-Key才能实现密码功能的弊端,对其他行业推广商密应用也有借鉴作用.

基于深信服AF设备VPN技术的异地网络互联设计

为满足企业对异地组网、移动办公的需求,对当前主流VPN的概念、技术、协议(PPTP、L2TP、IPSec、SSL)及其应用的优势和特点进行分析,采用基于深信服AF设备设计跨域组网方案,并开展了实验验证。实验结果表明,在电信城域网专线的基础上建立虚拟专用网络(VPN),传输带宽可达到理想带宽的94.49%,在保障数据传递安全的前提下,能够较好地满足企业网络建设需求。

RSA加密算法在私有云平台中的应用

全球计算机网络以及云计算平台智能化的不断普及,尤其是基于SSL协议的迭代升级和快速蔓延,促使数据信息安全在日常开发应用体系中变得尤为重要。传统云计算平台采用CA加密证书保证数据传输安全,文章提出一种基于RSA加密算法的私有云平台架构,使用基于SpringBoot框架快速搭建私有云平台,形成对私有云网络传输安全、高性能、高可用的一套解决方案。最后,通过搭建原型系统,对系统进行功能测试和性能测试。实验证明,文章提出的私有云平台架构比传统的私有云平台具有更高的下载速度,下载速度可达每秒百兆级别。

Zabbix分布式监控系统在域名证书监控预警上的应用

域名证书广泛应用于各种Web系统中,域名证书过期将导致系统无法正常使用。Zabbix分布式监控系统广泛应用于互联网等各行各业,针对Web应用中的安全套接字层(SSL)域名证书过期时间存在的问题,通过搭建Zabbix分布式监控系统并结合自动化脚本采集SSL域名证书过期时间,将以往只能通过人工方式进行的巡检,提升为自动化巡检预警方式,从而保障了系统的高可用性。

专网场景下非现场办公的一种实现方法

特殊时期专网场景下无法现场办公往往给各行各业的生产活动带来困难。文章在调研部分行业成功案例的基础上,介绍一种基于SSL VPN通道技术的专网场景下非现场办公的实现方法,并分析其存在的主要风险,针对性地提出风险防控建议。

省级数据中心“最小暴露式”远程运维安全接入方案探讨

文章结合业内网络攻防实战经验,对在现有条件下安全开展远程运维存在的难点问题进行分析,充分挖掘利用网络运营者省级数据中心互联网专线地址资源、VPN网关和堡垒机等安全设备资源以及机房“7×24”小时值班人力资源,基于网络、系统和数据的多层面纵深访问控制原则,设计出“最小暴露式”远程运维安全接入方案和应急处置流程,从时间和空间两个维度实现访问资源暴露面的最小化,在适配各类应急场景的同时最大程度地保障远程运维的安全性和可行性,有效提升基层网络运营者科技条线的应急响应速度和业务保障能力。

污染源自动监测系统中的数据安全传输设计与实践

污染源自动监测系统是生态环境管理中的一项重要应用,其数据安全传输对生态环境管理有着非常重要的意义。目前,监测数据基于HJ212协议传输,数据的真实性、完整性、机密性尚有不足。由于污染源监测设备软硬件产品化程度高,并且设备数量多及产权属性等因素,存在二次开发困难的问题。文章就这些问题结合浙江省污染源自动监测系统提出了一种基于通信密码模块的安全数据传输改造方案,选取试点开展实践应用,并验证方案的可行性。

基于SSL的安全WWW系统的研究与实现

文中提出并实现了一个基于安全套接字层（ＳＳＬ）技术的安全ＷＷＷ系统．该系统可为ＷＷＷ客户机和服务器的应用层通信应用软件提供数据加密、信息完整性、实体鉴别和非抵赖等安全服务．利用流机制和层服务者技术将安全套接字层嵌入操作系统内核，从而使安全服务对上层的所有应用软件透明．为提高浏览器的通信效率，文中提出了适合于系统内核实现的面向进程的握手保密会话．文中实现的安全ＷＷＷ系统可跨Ｗｉｎ３２（９５，９８，ＮＴ）和ＵＮＩＸ平台运行，并可对ｈｔｐ、电子邮件、ＦＴＰ和ｔｅｌｎｅｔ等提供安全保护．

基于虚拟服务的SSL VPN研究

基于对标准SSLVPN(SecureSocketLayerVirtualPrivateNetwork)的研究分析,提出了基于虚拟服务的SSLVPN结构.该结构包含两项关键性技术:虚拟服务和基于VPN流的访问控制模型.一方面,通过在客户端动态生成虚拟服务来支持传统应用软件安全透明地访问VPN内部服务群;另一方面,针对VPN流的特点,将访问控制与VPN隧道、转发机制紧耦合,从而实现了细粒度的访问控制及应用层入侵检测.最后,给出了一个实现原型及相关性能测试.

PKI技术的近年研究综述

公钥基础设施(Public Key Infrastructure,PKI)是典型的密码应用技术.在PKI系统中,由证书认证机构(Certification Authority,CA)签发数字证书、绑定PKI用户的身份信息和公钥.PKI依赖方(Relying Party)预先存储有自己所信任的根CA自签名证书,用来验证与之通信的PKI用户的证书链,从而可信地获得该用户的公钥、用于各种安全服务.近5年来,随着PKI系统的深入应用,围绕各种应用场景、出现了新的技术研究成果,主要包括:SSL/TLS协议过程中的证书验证和证书管理、PKI系统的大规模实施部署、以及新的证书撤销方案.首先,在SSL/TLS协议的相关研究上,主要包括了客户端证书验证漏洞而导致的中间人攻击和相应解决方案;Certificate Transparency技术及其改进,则是考虑了被攻击CA签发虚假网站证书的威胁,公开地审计CA的证书签发过程、及时发现虚假证书;此外,通过依赖方客户端的CA证书管理,也可以有效降低CA被攻击情况下的危害.其次,PKI系统的大规模实施部署研究,主要包括跨国/跨域互操作、ICAO电子护照、互联网路由安全、互联网DNS安全等应用场景.第三,近年来的证书撤销相关研究集中在特定需求场景(RFID、电子护照、密钥托管和浏览器隐身模式等)的方案设计和分析.本文对上述PKI技术研究进展进行了详细的分析和总结.

P2P网络中对等节点间安全通信研究

网络安全对于商业P2P应用生存至关重要。要求对等节点之间能够相互认证以及在对等节点之间建立安全隧道,保证数据在传输过程中的完整性和机密性。本文讨论了P2P应用的安全通信要求,提出了三种实现P2P安全通信的隧道机制;然后,介绍了目前常用的几种安全P2P实现工具,并讨论了如何利用安全隧道机制增强现有P2P应用的安全性;最后,本文对三种隧道实现技术进行了评估。