DNS信道传输加密技术: 现状、趋势和挑战

DNS作为重要的互联网基础设施, 其明文传输的特点带来很多隐私安全风险. DoH、DoT、DoQ等DNS信道传输加密技术致力于防止DNS数据被泄露或篡改, 并保证DNS消息来源的可靠性. 首先从DNS消息格式、数据存储和管理、系统架构和部署等6个方面分析明文DNS存在的隐私安全问题, 并对已有的相关技术和协议进行总结. 其次分析DNS信道传输加密技术的实现原理及应用现状, 进而基于多角度评测指标对各加密协议在不同网络条件下的性能表现进行讨论. 同时通过填充机制的局限性、加密流量识别和基于指纹的加密活动分析等方向探讨DNS信道传输加密技术的隐私保护效果. 此外从部署规范、恶意流量对加密技术的利用和攻击、隐私和网络安全管理之间的矛盾, 以及加密后影响隐私安全的其他因素等方面总结DNS信道传输加密技术存在的问题、挑战和相关解决方案. 最后总结加密DNS服务的发现、递归解析器到权威服务器之间的加密、服务器端的隐私保护、基于HTTP/3的DNS等后续需要着重关注的研究方向.     

LIPPS：基于二维码技术的个人信息隐私保护物流系统

针对不法快递人员将快递单信息用以市场交易,甚至根据快递单信息跟踪、骚扰收件人、发件人的违法行为,提出并实现了基于二维码技术的个人信息隐私保护物流系统（LIPPS）。采用分段加密技术对物流信息进行分层加密后转储到二维码进行二次封装,并设计不同等级授权机制解密相应信息完成物流业务操作。系统通过分层加密方案和权限分级设计解决了物流信息加密与物流业务流程的矛盾,实现了物流个人信息隐私保护,其方法可推广应用到其他需要分段封装的领域。     

数据库加密系统的设计与实现

互联网的广泛应用已经渗入到了各行各业中,随之而来的数据库的安全问题也越来越引起人们的重视,目前依靠传统的数据库本身的安全机制已经不能很好的保护数据库的安全,我们需要在数据库本身的安全机制基础之上再次建立数据安全层,进一步保护数据库的安全。文章介绍了数据库加密的必要性,分析了数据库加密系统的具体实现,使得读者对数据库加密技术有一个更深的了解。     

同态加密的硬件卸载及其在隐私保护计算中的应用

同态加密可以满足计算外包、数据共享、数据交易等应用对隐私保护计算的需要,但是同态加密的高计算开销限制了它在实际生产中的应用.本文从硬件卸载的角度解决同态加密的高性能计算问题,基于Intel QAT加速卡实现了一个半同态加密的高性能异步卸载框架QHCS. QHCS通过重构同态加密应用的软件栈来实现高效的异步卸载,并通过引入协程机制、批量加密技术等实现加密性能的最大化.本文同时给出了偏好不同性能指标(吞吐量、延迟)的两种卸载方案.进一步地,在由GPU及QAT组成的异构计算系统中,利用QHCS完整地实现了一个隐私保护的线性回归应用.实验结果表明,QHCS的吞吐量是目前软件实现的110倍,在百万量级的高维数据上实施隐私保护的线性回归计算只需十几分钟,可以较好地满足实际应用的需要.     

一种改进的H0neypot系统的设计

为了优化传统蜜罐系统反馈数据的应用价值以及提高蜜罐工作效率,通过将IDS技术和数据挖掘技术结合引入到蜜罐应用中,着重研究了如何通过IDS模型来实现蜜罐数据反馈和联动;实际应用中基于IDS和数据挖掘技术的新型蜜罐系统不仅能够提高IDS的性能,同时也有效地增进了蜜罐的诱骗功能,很大程度上加强了蜜罐系统对实际目标资源的保护和对攻击数据的分析能力。     

一种基于广义混沌同步系统的图像加密方案

传统图像加密技术和低维混沌加密技术都有各自的局限性,而高维混沌映射比低维映射具有更复杂的动力学行为以及更好的随机性。在离散混沌广义同步定理的基础上构造了一种四维离散广义混沌同步系统,并设计了一种图像加密方案。 对加密图像进行了安全性测试,如分布直方图、相邻像素相关系数、密文信息熵、密钥敏感性、密钥空间和雪崩效应等。理论分析和数值实验表明,该加密方案的密钥空间达到10²⁸⁸,具有较强的抗攻击性能;对混沌系统参数及初始条件极其敏感,符合保密通信的要求。     

基于数据包分片的工控蜜罐识别方法

蜜罐是一种用于安全威胁发现与攻击特征提取的主动防御技术,能够提供高价值且低误报率的攻击流量和样本。蜜罐的应用压缩了网络黑客的隐匿空间,攻击者可通过蜜罐识别技术来发现和规避蜜罐。因此,安全人员有必要从攻击者的角度深入研究蜜罐识别的方法,以便优化蜜罐系统的设计与实现。本文从蜜罐的结构出发,总结了8种蜜罐识别要素,并评估了不同识别要素的准确性和隐蔽性。结合互联网蜜罐分布特点,归纳了一种互联网中的蜜罐识别流程,并基于Conpot工控蜜罐架构的固有缺陷,提出了一种基于数据包分片的工控蜜罐识别方法。通过三次互联网扫描,共发现2432个Conpot工控蜜罐,并进一步分析了其分布特点。     

Android平台下文件透明加密技术的研究与实现

目前,透明加密技术在Windows平台下已经得到了广泛的应用,但在移动平台下的应用还有待探索。针对目前日益突出的手机数据安全问题,在对比分析了钩子透明加密和驱动透明加密这两种主要透明加密技术的基础上,设计了一种基于Android平台的文件透明加密系统。为了与传统手机加密系统区别开来,系统的身份验证环节被转移到Android手机自带的屏幕解锁环节上,有效提高了加密效率和用户体验。文中描述了该系统的总体设计方案和各个模块的设计方法,并给出了内核模块所使用的一些关键技术和重要的实现方法。测试数据表明,该系统能有效对手机应用程序和文件进行透明加密,同时又有较好的加密效率和用户体验。     

一种有效的分布式数据存储保密方案设计

结合对称加密技术和门限加密技术,提出了一种适用于分布式数据存储需要的有效的系统机密性保护方案,其中对称加密技术用于对所存储的文件进行加密,分布式门限加密技术则对对称加密方案中所用的密钥进行保护,可在不带来密钥存储问题情况下满足恶意环境中分布式数据存储系统的机密性要求。     

基于加密传输的标识解析模型研究

标识解析系统是互联网稳定运行和发展的基石,其隐私保护和数据安全问题日益引起关注。基于签名技术的DNSSEC和基于加密技术的DoT等机制解决了部分安全问题,但无法实现标识解析全流程的用户隐私保护。结合当前技术研究现状,提出一种新的基于加密传输的标识解析信任模型,建立信任链实现标识解析系统各节点的信任传递,通过全流程加密通信,保护标识解析过程中用户隐私和数据安全。首先简要介绍域名领域安全技术的研究现状,然后详细描述模型的整体架构、信任链模型和工作流程,最后通过5组实验,对模型在不同加密方法和传输协议下的时延、性能、安全性进行测试和分析,并结合现网DNS测试结果对模型的现实可行性进行验证。     

基于智能卡实现的分组加密算法的功耗分析

针对基于智能卡硬件实现的SM4分组加密算法的物理泄露安全问题,提出了一种快速、高效的相关功耗分析方法,通过理论分析和实验研究,暴露了即使是理论上非常安全的SM4加密算法,在物理实现过程中也会泄露重要的敏感信息。首先,通过分析SM4算法的实现流程和加密特性,建立功耗分析的数学模型,并推导出解密流程和优化算法;其次,结合理论物理泄露点,搭建完整的智能卡硬件功耗分析实验系统,通过智能卡的功耗数据采集、分析、优化,研究真实智能卡的侧信道安全漏洞;最后,结合实验结果,进一步优化功耗分析,探讨嵌入式系统环境下的SM4算法安全性能。与Mifare DESFire MF3ICD40智能卡三重数据加密标准(3DES)算法侧信道分析相比,所提方法将功耗数据量从25万条降低到不足一千条,分析时间从7个多小时,减小到几分钟,并且完整地恢复了SM4的原始密钥,能有效提高硬件环境下的功耗分析效率,降低计算复杂度。     

基于CTCA的智能卡协调管理器的设计与实现

根据中国电信CA中心的数字证书存储介质规范、加解密标准和国际通用的智能卡加密标准PKCS11,结合国内各智能卡厂商的产品特点,提出了基于CTCA的智能卡协调管理器,它能够屏蔽不同智能卡访问接口的差异,为基于CTCA的应用提供了统一的智能卡访问接口,并给出了协调管理器模型的设计以及具体实现思路。     

基于混沌和细胞自动机的图像加密算法

为了设计加密性能好、容易实现的加密系统,充分利用混沌系统的密码学特性和细胞自动机良好的加密性能,提出了一种基于混沌系统和触发细胞自动机的图像加密算法.算法先利用混沌序列对图像进行加密处理;通过构造反转规则建立触发细胞自动机,并根据触发细胞自动机的迭代规则对图像进行二次加密.加密过程简单高效,且具有较大的密钥空间,可以保证系统的安全性.实验结果表明,该算法具有较好的加解密性能,且较小的邻域半径即可得到良好的加密效果,因此非常便于硬件实现.     

基于物理层密钥的消息加密和认证机制

针对传统高层消息认证存在密钥泄露隐患、物理层消息认证无法防止被动窃听的问题,提出一种基于无线物理层特征的消息加密和认证机制。通过提取无线信道特征生成物理层密钥,并与身份密钥结合生成种子密钥;随后根据提取的种子通过密钥流生成器产生密钥流对消息进行加解密,对传输数据的私密性进行保护;最后接收方通过 CRC 校验结果对接收消息的真实性、完整性进行认证。仿真结果表明,该方法在防止被动窃听和主动攻击上具有更好的性能,密钥流随机性显著提高,认证漏检率降低约12。     

面向移动支付的RF-SIM卡文件系统设计

RF-SIM卡越来越广泛的走向市场,与一般的SIM卡相比,RF-SIM卡多了于刷卡支付应用功能,基于RF-SIM卡移动支付应用方案,本文设计了移动支付应用文件系统,该应用文件系统的设计包括需搭建的文件系统的平台基础、访问命令处理过程的实现、安全报文数据的加解密设计、人机交互的菜单的实现几个部分,通过调试、脚本验证和模拟器模拟,该系统设计实现了支付应用的基本功能。     

手机SIM卡售卡控件的设计与实现

文中为了拓展运营商号卡销售的渠道,实现现场制卡售卡的功能,设计了手机SIM卡售卡控件。该设计采用ActiveX控件、串口通信、Windows网络编程、金融级别加解密算法、ADO数据库等技术实现控件的功能。管理平台网页加载该售卡控件,控件将获取到的用户选定的号码、套餐、身份证照片等信息进行组包加密,通过单独的TCP链路发往特定的平台接口,收到平台回复的IMSI、短信中心号码,利用串口通信将这些信息写入手机白卡。借助此控件,可制成一张能够通话、发短信的标准手机卡。     

带标签的基于证书密钥封装机制

基于证书加密方案通常将消息空间限制于某个特殊的群并且不适合大块消息加密.为了解决这一问题,将带标签的密钥封装机制引入到基于证书系统中,提出了带标签的基于证书密钥封装机制的形式化定义及安全模型.在此基础上构造了一个带标签的基于证书密钥封装方案,并证明了该方案在随机预言模型下是自适应选择密文不可区分的.     

面向企业应用集成的ESB框架的研究

企业服务总线(ESB)是基于事件驱动的消息传递机制的标准软件架构,消息总线是ESB的基础。为实现高效、安全、可靠的ESB,分折了传统ESB框架中消息传递的关键组件及其工作原理,并在此基础上设计并实现了消息切分、压缩、加密、断点续传,以及集群队列等功能的企业级消息传递系统。实验结果表明,通过改进消息传递模型,可进一步提升ESB的性能。     

一种无线射频识别认证协议

RFID系统一般包括标签、读写器、后端数据库三部分,其中标签与读写器之间通过无线方式通信,存在一定的安全隐患。为确保通信信息的安全性,提出一种适用于标签与读写器之间的双向认证协议,能够解决该安全隐患问题。双向认证协议采用对消息加密后再传输的机制,使得攻击者窃听的信息并非明文,从而保证信息的安全性。     

网络远程教学代理服务器的数据安全性研究

结合互联远程教学网系统对远程教学代理服务的安全机制,特别是数据传输机制展开研究,在认证和信息加密、实时侵入检测、IP层加密、防病毒侵入等一系列反破坏性实验结果的基础上,提出了一整套代理服务器的数据安全保障方案,以保证代理服务器数据安全系统的设计与实现。