SSL/TLS握手协议的分析与研究

通过对SSL/TLS安全协议的介绍,阐述了其握手协议的功能和作用.重点分析了握手的过程,同时对服务器端和客户端在握手过程中的性能进行了分析,提出采用会话恢复机制,可有效地提高整个SSL握手协议的性能.     

基于VSFTPD的FTP服务器安全传输的实现

VSFTPD是基于GPL协议发布的FTP服务器程序,在类Unix操作系统中备受推崇的,以其安全性著称。本文主要结合CentOS操作系统,实现基于VSFTPD程序的SSL／TLS安全传输。     

基于SSL VPN的无线安全接入系统终端研究与实现

随着无线终端远程访问的日益普及,无线远程访问的安全性受到越来越多的关注,利用安全套接层协议（SSL）在公共网上建立虚拟专用通道来保护数据安全是一种有效的解决方法。背景为基于SSL协议在公用网络中建立和维护一个安全可信任的私有SSL VPN通道的途径,首先简要介绍SSL／TLS协议,然后阐述了一种基于SSL／TLS的安全接入系统的终端架构设计与实现分析。     

一种基于SSL/TLS的Web安全代理的设计与实现

SSL Web代理能有效保护Internet上数据传输和存有敏感信息的Web服务器的安全。但是SSL协议中大量的数据处理带来的性能瓶颈和协议实现中受到的安全威胁将严重影响SSL Web代理的效用。该文在分析SSL／TLS协议性能和安全的基础上，设计并实现了一种高效的、安全的SSL／TLS Web代理。     

一种基于XML技术的安全传输协议设计

XML可跨越不同平台和设备,具有数据可移植性和可重用性,由于其良好的灵活性和可扩展性得到了广泛的应用.应用W3C的加密规范,并针对XML在电子商务信息传输中的问题,提出了一种使用XML加密与认证操作的安全传输协议.     

SSL安全代理多重认证分析与实现

SSL安全代理是用来实现SSL安全通信功能的一种方式。该文讨论TSSL安全代理如何解决多重身份认证，并详细分析了实现方法、安全性及其性能等。     

基于SSL的Agent安全通信

Agent平台之间通过公共通信设施进行通信。Agent和通信服务协议自身不提供加密和签名等功能,这给Agent的通信带来了威胁。SSL是一种在客户端和服务器端建立安全通道的协议,通过对SSL协议的分析,认为SSL的加密套件与身份认证安全机制可以为Agent平台之间的通信提供安全通道,提出了将SSL协议架设在Agent平台之下通信协议之上的安全通信方案,给出了基于SSL协议的Agent通信代码,保证了Agent平台间的通信安全。     

电子银行系统的通讯安全问题研究

本文介绍了目前我国电子银行系统所采用的体系结构,讨论了现有结构所采用的通讯技术以及存在的安全问题,并总结了目前电子银行等电子商务应用中被广泛使用的核心技术.     

支持SSL的高性能通信服务器设计与实现

为满足项目中对通信服务器的性能和通信内容安全性的要求,在基于WINSOCK的网络通信中引入安全套接字层(SSL).选择I/O完成端口作为服务器模型,设计并实现了该模型下的SSL通信,讨论了提升服务器性能的方法.实验结果表明,所实现的通信服务器,既有较高性能,又能保证通信内容的安全性,能够满足项目的要求.     

基于SSL协议的网上证券交易系统的安全方案

目前,为解决身份识别和通信信道的安全问题,国际上普遍采用由Netscape公司开发部的安全套接层协议(SSL).SSL是在国际互连网上解决身份识别和通信信道的安全问题的国际标准,SSL定义了一套完善的、成熟的、安全的密钥管理机制以及数据加密机制,特别适合于Client/Server结构的各种应用环境.本文讨论如何将SSL协议实际运用在证券交易的通信系统中,解决重要业务数据的传输安全,保证数据的有效性.     

TLS协议组密底泄露缺陷及改进

提出了TLS协议组（SSL 3.0和TLS 1．0及其衍生的系列协议）共同存在的一个安全缺陷：密文的最前面4个字节其底码是可以猜测的。攻击者利用该缺陷蛮力搜索密钥攻击该类协议时可以大幅度减少工程量。给出了协议改进方案；针对改进前后的协议，详细描述了蛮力攻击方法，并进行了攻击复杂度分析。     

基于通行字的传输层安全

SSL协议在实际使用中存在着一些问题，该文提出的基于通行字的加密密钥交换协议可以克服这些问题，通过把改进的DH－EKE集成到TLS协议中，参与通信的双方可以实现身份认证和在公共信道上建立安全通道。     

用.NET Remoting构建安全的Web服务

分析了．NET Remoting与web服务的安全性，利用NET Remoting具有可扩展性的特点创建自己的信道接收器，并将加密技术应用于自定义信道接收器中从而得到更加安全可靠的web服务。同时也给出了用．NET Remoting构建web服务的一般方法。     

基于SSL／TLS的安全应用中独立端口和磋商升级的研究与实现

基于SSL／TLS构建的安全应用中通常采用了独立端口和磋商升级的策略。本文详细论述了这两种策略的基本原理，比较了它们各自的优缺点，进而对实施过程中遇到降级攻击以及因代理语义不能交互而导致连接失败的问题进行了分析，并针对这些问题提出了相应的解决办法。     

基于OpenSSL的SM2与RSA自动切换算法的设计

为了SSL/TLS协议的安全性与性能能同时满足用户的需求,基于国家商用密码算法（国密算法）的安全性强于通用密码算法、性能弱于通用密码算法的现状,在OpenSSL基础上设计一种SM2与RSA自动切换的算法以满足在性能达标的前提下提高系统的安全性。SSL/TLS握手协议在性能满足需求的前提下,优先使用国密SM2算法,当每秒新建连接数达到一定峰值时,SM2的性能满足不了需求,则系统自动切换到RSA算法,满足更高每秒新建连接数的性能需求。该算法在OpenSSL的数据结构和函数上进行扩展,经过测试实现了在每秒新建SSL/TLS连接数达到一定数值时,SM2算法与RSA算法的自动切换。该算法在满足性能需求的前提下能有效提高系统的安全性。     

模糊控制在网络安全协议中的应用

随着目前网上商务的发展，安全已变得越来越重要。网景公司开发出的安全套接字协议(Secure Sockets Layer Protocol，SSL)很好地实现了这一点，同时它也是在电子商务及网络安全通讯中使用的最为广泛的安全协议。然而，SSL协议本身还有一些不足和有待改进的地方，本文深入地研究分析了SSL协议的原理和存在的问题，给出了相应改进方案，并用模糊控制算法将这些改进方案应用于SSL协议中，模拟试验表明，改进的SSL协议具有明显的优点。     

基于SSL的移动VPN系统的设计与实现

移动办公正迅速成为现在办公的一种主要方式,但其安全性却存在诸多问题。虚拟专用网络(VPN,Virtual Private Network)则是提供安全远程访问应用中最为普及的一种方法;安全套接层协议SSL是用来保障数据安全传输的协议,目前已经成为事实上的工业标准;三者的结合--移动SSL VPN(Secure Socket LayerVirtual Private Network)正成为无线远程安全接入市场上的一个热点。该文设计实现了使用于无线局域网的SSL VPN服务器,该方案使用隧道连接方式,能够在不更改应用程序的条件下,为企业提供安全的无线接入能力。     

HTTPS/TLS协议设计和实现中的安全缺陷综述

SSL/TLS协议是目前广泛使用的HTTPS的核心,实现端到端通信的认证、保密性和完整性保护,也被大量应用到非web应用的其他协议（如SMTP）。因为SSL/TLS如此重要,它的安全问题也引起了研究者们的兴趣,近几年对于SSL/TLS协议的研究非常火热。本文总结了近几年四大安全顶级学术会议（Oakland,CCS,USENIX Secuity和NDSS）发表的相关论文,分析该协议设计的设计问题、实现缺陷以及证书方面的相关研究,希望对SSL/TLS协议的改进和其他协议的安全性设计有参考价值。     

An Approach to Security Requirements Engineering for a High Assurance System*

Requirements specifications for high-assurance secure systems are rare in the open literature. This paper examines the development of a requirements document for a multilevel secure system that must meet stringent assurance and evaluation requirements. The system is designed to be secure, yet combines popular commercial components with specialised high-assurance ones. Functional and non-functional requirements pertinent to security are discussed. A multidimensional threat model is presented. The threat model accounts for the developmental and operational phases of system evolution and for each phase accounts for both physical and non-physical threats. We describe our team-based method for developing a requirements document and relate that process to techniques in requirements engineering. The system requirements document presented provides a calibration point for future security requirements engineering techniques intended to meet both functional and assurance goals. RID="*" ID="*"The views expressed in this paper are those of the authors and should not be construed to reflect those of their employers or the Department of Defense. This work was supported in part by the MSHN project of the DARPA/ITO Quorum programme and by the MYSEA project of the DARPA/ATO CHATS programme. Correspondence and offprint requests to: T. Levin, Department of Computer Science, Naval Postgraduate School, Monterey, CA 93943-5118, USA. Tel.: +1 831 656 2339; Fax: +1 831 656 2814; Email: levin@nps.navy.mil     

Internet安全体系结构的分析与比较

本文简要介绍了Internet的网络安全体系结构的现状和发展趋势,其中重点分析和比较了IPSec和SSL/TLS。文中详细阐述了IPSec和SSL/TLS的体系结构、它们所采用的安全技术、所能提供的安全服务以及它们的实现方式;并且对这两种协议的特点、应用范围、优缺点进行了介绍和比较。