针对SSL/TLS协议会话密钥的安全威胁与防御方法

分析安全套接层/安全传输层(SSL/TLS)协议在客户端的具体实现,利用浏览器处理SSL/TLS协议会话主密钥和协议握手过程中传递安全参数存在的漏洞与缺陷,结合Netfilter机制进行会话劫持,提出一种针对SSL/TLS协议的安全威胁方案(SKAS)并对其进行安全研究,给出随机数单向加密、双向加密及保护会话主密钥安全的3种防御方法。经过实验验证了SKAS威胁的有效性,其攻击成功率达到90%以上且攻击范围广、威胁程度高,提出的3种防御方法均能抵御SKAS威胁,保证了客户端和服务器间SSL/TLS协议的数据通信安全。     

基于流谱理论的SSL/TLS协议攻击检测方法

网络攻击检测在网络安全中扮演着重要角色.网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为.随着安全套接层/安全传输层(SSL/TLS)加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集.针对当...     

一种基于SSL/TLS的Web安全代理的设计与实现

SSL Web代理能有效保护Internet上数据传输和存有敏感信息的Web服务器的安全。但是SSL协议中大量的数据处理带来的性能瓶颈和协议实现中受到的安全威胁将严重影响SSL Web代理的效用。该文在分析SSL／TLS协议性能和安全的基础上，设计并实现了一种高效的、安全的SSL／TLS Web代理。     

HTTPS/TLS协议设计和实现中的安全缺陷综述

SSL/TLS协议是目前广泛使用的HTTPS的核心,实现端到端通信的认证、保密性和完整性保护,也被大量应用到非web应用的其他协议（如SMTP）。因为SSL/TLS如此重要,它的安全问题也引起了研究者们的兴趣,近几年对于SSL/TLS协议的研究非常火热。本文总结了近几年四大安全顶级学术会议（Oakland,CCS,USENIX Secuity和NDSS）发表的相关论文,分析该协议设计的设计问题、实现缺陷以及证书方面的相关研究,希望对SSL/TLS协议的改进和其他协议的安全性设计有参考价值。     

基于Web服务的校园数据集成的安全模型设计与实现

Web服务被广泛应用于校园数据集成当中,其安全问题也日益受到重视.在分析现有的安全解决方案SSL/TLS存在的缺陷的基础上,以教务管理信息系统和财务管理信息系统的数据共享服务为背景,研究了WS-Security及以其为基础的WS-SecureConversation、WS-Trust等规范.结合SSL/TLS优势,设计了基于WS-*的Web服务安全模型,并在.NET平台上使用WSE3.0实现了该模型,对于数字化校园及企业信息集成的安全解决方案有参考价值.     

TLS1.3协议更新发展及其攻击与防御研究

SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议旨在为网络通信提供安全的信道,为通信双方提供认证、机密性和完整性。由于协议的复杂及其设计和实现上的漏洞导致许多安全隐患,新版本TLS1.3的制定引起信息安全学术界和产业界广泛的关注。概述TLS1.3的协议结构。在此基础上,对TLS1.3几个革新性的改变:密钥编排表、PSK和0-RTT进行了系统性地分析与梳理。对近10年协议受到的攻击按照协议的层次分类进行概述,提炼出每种攻击的原理以及TLS1.3针对这些攻击作出的应对措施。对TLS协议的未来发展作出预测并提出建议。     

WAP安全协议在移动终端中的研究与实现

分析WAP1.2与2 .0安全协议的差异,指出了WAP2 .0中的SSL/TLS协议具备的极大优势。在此基础上结合当前移动终端的特点,给出了一个完整的SSL/TLS客户端协议分析实现方案。     

TLS协议组密底泄露缺陷及改进

提出了TLS协议组（SSL 3.0和TLS 1．0及其衍生的系列协议）共同存在的一个安全缺陷：密文的最前面4个字节其底码是可以猜测的。攻击者利用该缺陷蛮力搜索密钥攻击该类协议时可以大幅度减少工程量。给出了协议改进方案；针对改进前后的协议，详细描述了蛮力攻击方法，并进行了攻击复杂度分析。     

基于Java2的SSL代理的实现

针对网络传输安全问题是网络安全的重要内容，介绍了在密码技术中被广泛使用的SSL／TLS协议，并描述了SSL代理软件的实现方法。     

RSA-CRT密码防御算法的故障注入攻击

RSA 密码是在 TLS、SSL、IPSec 等网络安全协议中广泛使用的密码算法,其安全性至关重要。在FDTC 2014会议上,Rauzy和Guilley提出了改进的基于中国剩余定理的RSA密码实现算法,用于抵抗故障注入攻击。针对Rauzy和Guilley的两个RSA-CRT安全防御算法,提出了相应的故障注入攻击方法,在RSA密码运算过程中注入一个永久性错误,并利用错误的RSA运算结果,计算出RSA私钥。此攻击表明,Rauzy和Guilley的两个RSA安全实现算法不能抵抗故障注入攻击。     

Secure and Light Weight Elliptic Curve Cipher Suites in SSL/TLS

In the current circumstance, e-commerce through an online banking system plays a significant role. Customers may either buy goods from E-Commerce websites or use online banking to move money to other accounts. When a user participates in these types of behaviors, their sensitive information is sent to an untrustworthy network. As a consequence, when transmitting data from an internal browser to an external E-commerce web server using the cryptographic protocol SSL/TLS, the E-commerce web server ensures the security of the user’s data. The user should be pleased with the confidentiality, authentication, and authenticity properties of the SSL/TLS on both the user’s web browser and the remote E-commerce web server. E-Commerce web servers should choose the best SSL/TLS cipher suites for negotiating the user in order to attain such optimistic scenarios, as the cipher suite used in SSL/TLS plays an important role in securing E-Commerce web servers. The paper primarily focuses on analyzing the SSL/TLS cipher and elliptic curves. The paper also recommends the best elliptic curve cipher suites for E-Commerce and online banking servers, based on their power consumption, handshake execution time, and key exchange and signature verification time.     

Internet安全体系结构的分析与比较

本文简要介绍了Internet的网络安全体系结构的现状和发展趋势,其中重点分析和比较了IPSec和SSL/TLS。文中详细阐述了IPSec和SSL/TLS的体系结构、它们所采用的安全技术、所能提供的安全服务以及它们的实现方式;并且对这两种协议的特点、应用范围、优缺点进行了介绍和比较。     

Why Johnny can't surf (safely)? Attacks and defenses for web users

In their seminal article “Why Johnny Can't Encrypt” [Whitten A, Tygar JD. Why Johnny can't encrypt: a usability case study of PGP 5.0. In: Proceedings of the eighth USENIX security symposium; August 1999.], Whitten and Tygar showed that usability weaknesses of encryption software may result in failure to protect users, in spite of good cryptography. A similar situation happens, on a huge scale, on the Web: the widely deployed SSL/TLS protocols provide good cryptography, yet there is a growing amount of successful attacks on web users, causing massive damages. In this article, we focus on password theft via fake websites, to which we refer as phishing. We believe that phishing is currently the most severe threat facing web users.We begin with a brief review of SSL/TLS. Many sensitive sites do not use SSL/TLS, or use it incorrectly (e.g. to encrypt password, filled into an unprotected login form); we explain why.Even if sites use SSL/TLS (correctly), this may not be enough to prevent phishing – at least, using the basic security and identification indicators of most browsers (URL, padlock and HTTPS). We discuss basic and advanced indicators, and their usability problems. We review recent usability studies, whose results are rather alarming, and put in question the ability of users to avoid phishing sites based on security and identification indicators.     

基于OpenSSL的SM2与RSA自动切换算法的设计

为了SSL/TLS协议的安全性与性能能同时满足用户的需求,基于国家商用密码算法（国密算法）的安全性强于通用密码算法、性能弱于通用密码算法的现状,在OpenSSL基础上设计一种SM2与RSA自动切换的算法以满足在性能达标的前提下提高系统的安全性。SSL/TLS握手协议在性能满足需求的前提下,优先使用国密SM2算法,当每秒新建连接数达到一定峰值时,SM2的性能满足不了需求,则系统自动切换到RSA算法,满足更高每秒新建连接数的性能需求。该算法在OpenSSL的数据结构和函数上进行扩展,经过测试实现了在每秒新建SSL/TLS连接数达到一定数值时,SM2算法与RSA算法的自动切换。该算法在满足性能需求的前提下能有效提高系统的安全性。     

TCP/IP网络安全协议分析

本文对TCP/IP不同协议层次的网络安全协议进行归纳,对它们的优缺点进行了分析。包括Internet层的IPSec;传输层的TLS,SSL;应用层的S-HTTP,SET,S/MIME。     

高速网络安全协处理器中PCI-X接口设计

介绍高速网络安全协处理器中PCI-X接口模块的设计方法,利用IPSec和SSL／TLS2种协议优化系统,并配置各种算法引擎。协处理器采用具有更高性能的PCI-X总线接口及SoC芯片,能够同时满足PCI-X总线协议和协处理器内部的特殊传输要求。实验结果表明,该设计方法是可行的。     

SSL协议应用中安全技术问题探究

随着信息化浪潮的发展,SSL协议的应用非常普遍,但是在SSL协议应用的工程实践中也发现了一些应用模式所导致的问题,文章首先介绍了SSL协议的安全技术应用,重点分析了其中安全技术问题的表现,并通过国产密码算法与SSL协议之间应用兼容性的问题分析,提出了一些SSL协议应用模式的建议。     

SSL协议安全缺陷分析

近年来,随着对Internet上传输数据保密性的需要,安全套接字层(SSL)被广泛地使用。SSL协议基于公开密钥技术,提供了一种保护客户端/服务器通信安全的机制。但是,SSL协议仍存在一些安全缺陷,对使用SSL协议的通信带来安全隐患。文中简要介绍了SSL 3.0协议的内容,重点讨论了SSL 3.0协议的安全缺陷并针对缺陷提出了相应的改进方法,为协议的实现提供了参考。