SSL中针对伪装攻击的技术改进

SSL协议是在TCP/IP的IP套接层的安全协议,应用越来越广泛,但是在实际应用过程中遇到的一些非法攻击,本文并对本文针对在SSL连接中出现的伪装攻击,提出一种安全可行的解决方案.     

一种加强SSL协议安全性的解决方案

安全套接层SSL协议是实现电子商务安全交易的关键技术之一。本文在对SSL协议进行深入研究的基础上,分析了SSL安全隐患并给出了一种解决方案。     

一种改善SSL服务器性能的模型

SSL协议为网络中数据的安全传输提供了有利的保障,但是大量SSL连接所引起的开销,导致了服务器性能的急剧下降.根据标准的SSL协议,提出了一个建立连接的优化模型,它将协议改进和功能分化融合到原有的协议中,以重用和分化的思想提高SSL服务器的性能.     

LINUX下一种安全的SSLVPN设计与研究

结合SSL VPN的实现，本文介绍了SSL的概念和协议，详细阐述了一种SSL VPN服务器的具体架构设计与实现。SSL VPN能够提供更安全的连接。     

一种新型的按需计算的SSL实施方案

SSL协议被广泛地应用于保证Web通信协议HTTP的安全性。然而实施SSL导致的开销非常巨大,严重地影响了服务器的性能。该文在SSL协议的基础上提出了一种新的实施方案。这种方案能够动态地根据实际情况决定是否需要建立SSL连接,从而省去了不必要的SSL会话,节约了开销,能够有效地减少由于实施SSL导致的服务器性能下降。该设计已成功地应用在实际系统中的SSL通信模块。     

基于SSL协议的VPN技术及应用

本文简要介绍了SSL协议及基于该协议的SSL VPN原理,对实际应用及安全性进行了分析,指出SSLVPN是实现企业远程办公的有效解决方案。     

基于身份公钥体制的新型SSL协议设计与实现

安全套接层（Secure Socket Layer, SSL）协议是当前广泛使用的安全连接协议,现有SSL协议中的公钥密码大部分是基于证书服务来实现。基于身份加密为代表的新型非证书公钥体制可以在保证较高安全性的前提下,尽可能降低计算开销和网络负载,并避免对证书的管理。本文提出一种基于身份公钥体制的新型SSL协议IBE-SSL,并使用开源的OpenSSL库和PBC库对其进行实现,通信过程数据包捕获分析结果表明,所提的IBE-SSL协议在取消证书操作的基础上依然可以建立安全的SSL连接。     

SSL中分级加密的实现

SSL协议广泛用来保护Web通信的安全,但高强度的加密操作会大大降低SSL连接的速度,严重影响服务器的性能。提出一种即时更改SSL连接加密级别的方法,为不同的资源提供不同级别的安全保护,实现加密的灵活性,从而大大增强服务器的性能。     

基于SSL的安全邮件解决方案

分析了现存的安全电子邮件解决方案，发现它们一般只对邮件体进行加密和签名，而没有考虑邮件头的安全性。在某些环境下，邮件头也需要安全保密。研究了安全套接字层协议(SSL)，提出了一种基于SSL协议的安全邮件解决方案，既增强了邮件体的安全性，也保证了邮件头的安全性。     

一种基于属性证书的安全服务解决方案

当前国际上广泛采用SSL协议来开发网络应用和增值服务。本文介绍了一种基于授权证书的网络安全服务解决方案，使SSL协议提供的安全信道不仅具有私密性、确认性和可靠性等安全特性，而且还可以实现授权和访问控制。     

基于批量化密钥重分配的SSL握手协议*

SSL(安全套接层)握手协议利用公开密钥体制(RSA)保护通信实体之间传输信息的机密性和完整性,其存在信息处理速度过慢的缺点,基于batch RSA的SSL握手协议能较好地解决这一问题,但当服务器收到大量客户端请求或遭受DoS攻击时,易导致服务器性能下降。为此,提出一种基于批量化密钥重分配 (batch key redistribution)的改进协议。协议将密钥分解成两个密钥序列分支,并将一个密钥序列分支发送至客户端,由客户端来部分解密,以减少服务器的计算开销,从而克服服务器性能下降的问题。分析和实验结果表明,协议能很好地保证信息传输的安全,且有效提高了信息处理的速度。     

层次化的主机抗DoS攻击能力测试方法

在基于协议的DoS攻击分类方法完备性分析和针对主机的DoS攻击效果层次性分析的基础上,建立了TCP/IP协议层次与常用DoS攻击方法及其对主机影响的指标集的层次性对应关系,提出了针对重要主机的层次化抗DoS攻击能力综合测试方法及其流程,并结合实例说明了层次化主机抗DoS攻击能力测试的完备性及其有效性.     

Probabilistic model checking for the quantification of DoS security threats

Secure authentication features of communication and electronic commerce protocols involve computationally expensive and memory intensive cryptographic operations that have the potential to be turned into denial-of-service (DoS) exploits. Recent proposals attempt to improve DoS resistance by implementing a trade-off between the resources required for the potential victim(s) with the resources used by a prospective attacker. Such improvements have been proposed for the Internet Key Exchange (IKE), the Just Fast Keying (JFK) key agreement protocol and the Secure Sockets Layer (SSL/TLS) protocol. In present article, we introduce probabilistic model checking as an efficient tool-assisted approach for systematically quantifying DoS security threats. We model a security protocol with a fixed network topology using probabilistic specifications for the protocol participants. We attach into the protocol model, a probabilistic attacker model which performs DoS related actions with assigned cost values. The costs for the protocol participants and the attacker reflect the level of some resource expenditure (memory, processing capacity or communication bandwidth) for the associated actions. From the developed model we obtain a Discrete Time Markov Chain (DTMC) via property preserving discrete-time semantics. The DTMC model is verified using the PRISM model checker that produces probabilistic estimates for the analyzed DoS threat. In this way, it is possible to evaluate the level of resource expenditure for the attacker, beyond which the likelihood of widespread attack is reduced and subsequently to compare alternative design considerations for optimal resistance to the analyzed DoS threat. Our approach is validated through the analysis of the Host Identity Protocol (HIP). The HIP base-exchange is seen as a cryptographic key-exchange protocol with special features related to DoS protection. We analyze a serious DoS threat, for which we provide probabilistic estimates, as well as results for the associated attacker and participants' costs.     

SSL VPN技术研究

伴随企业信息化程度的加深,远程安全访问、协同工作需求的日益明显,SSL VPN技术逐渐成为企业用户远程安全接入的重要方式.VPN是利用公有网资源为客户建立的一种虚拟私网.SSL协议是基于Web应用的安全协议,指定了在应用程序协议和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证.SSL VPN的安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全.     

安全套接层分析及研究

安全套接层(Secure Sockets Layer,SSL)是基于Internet基础的一种保证私秘性的安全协议,它能使客户服务应用间的通信不被窃听,并能始终对服务器和客户端进行认证。SSL协议要求建立在可靠的传输层协议之上。SSL协议是与应用层协议独立无关的,高层的应用协议能透明的建立于SSL协议上。SSL协议在应用层协议通信之前就已完成加密算法、通信密钥的协商及服务器认证工作,在此后应用层协议所传送的数据都会被加密,从而保证通信的私密性。     

PSO-SFDD: Defense against SYN flooding DoS attacks by employing PSO algorithm

A DoS attack can be regarded as an attempt of attackers to prevent legal users from gaining a normal network service. The TCP connection management protocol sets a position for a classic DoS attack, namely, the SYN flood attack. In this attack some sources send a large number of TCP SYN segments, without completing the third handshake step to quickly exhaust connection resources of the under attack system. This paper models the under attack server by using the queuing theory in which attack requests are recognized based on their long service time. Then it proposes a framework in which the defense issue is formulated as an optimization problem and employs the particle swarm optimization (PSO) algorithm to optimally solve this problem. PSO tries to direct the server to an optimum defense point by dynamically setting two TCP parameters, namely, maximum number of connections and maximum duration of a half-open connection. The simulation results show that the proposed defense strategy improves the performance of the under attack system in terms of rejection probability of connection requests and efficient consumption of buffer space.     

一种安全实用的大规模选举协议

基于强(t,n)密钥绝缘的盲签名算法和哈希函数设计了一种安全实用的大规模选举协议.与现有的电子选举协议相比,该方案增强了签证机构签名私钥的安全性,其私钥每个阶段演化一次,而计票机构的验证公钥保持不变.投票人在不同的时段申请签名和进行投票,可以有效地抵御拒绝服务攻击.同时,利用单向哈希函数的连接构造选票,保证了选票的秘密性.