SSL/TLS握手协议的分析与研究

通过对SSL/TLS安全协议的介绍,阐述了其握手协议的功能和作用.重点分析了握手的过程,同时对服务器端和客户端在握手过程中的性能进行了分析,提出采用会话恢复机制,可有效地提高整个SSL握手协议的性能.     

基于ECC带缓存的快速SSL握手协议

标准安全套接层(SSL)握手协议带宽开销大且网络数据通信效率低。该文提出一种基于椭圆曲线密码体制、带缓存的快速SSL握手协议。该协议将服务器端的配置和初始会话时建立的各种协商参数存储于客户端,减少了会话协商时的通信流量。实验结果表明,使用该协议能节省约20%的网络流量,提高了文件传输效率。     

基于标识密码的数据报传输层安全协议

TLS作为目前应用最为广泛的安全传输协议,只能保证可靠传输TCP上数据的安全性.DTLS（datagram TLS）在TLS协议架构上进行了修改,能够为UDP提供安全保护.但DTLS在会话建立过程中仍然需要依赖第三方认证中心和证书完成通信双方的认证,连接建立过程时间长,安全开销大,不能满足物联网等资源受限的网络通信环境.将标识密码引入DTLS中,避免了握手协议中处理证书所带来的各种开销,在计算会话密钥的同时完成通信双方的认证;并使用新的密钥协商协议重新设计DTLS的握手协议,减少交互次数和消息数量,缩短连接建立时间.实验结果表明,基于标识密码的DTLS在不降低安全性的同时,将通信建立时间缩短了近50%.     

基于 ECC算法的TLS协议设计与优化

为解决TLS协议存在的握手交互次数多、密钥计算开销大等诸多性能问题,在对TLS协议进行分析的基础上,设计了一种基于ECC算法的TLS协议,用ECC算法代替原协议中的RSA算法,充分发挥ECC算法的优越性,提高协议的性能。使用缓存握手参数的方法对协议交互过程进行优化,通过SVO逻辑对优化后的协议进行形式化证明,证明协议是安全的。通过实验将改进后的协议与原协议进行了比较分析,结果表明,随着协议安全等级的提高,改进后的协议在性能上具有明显的优越性。     

IEEE802.11i中四次握手过程的安全分析和改进

对IEEE802.11i协议中四次握手过程的临时会话密钥的协商和建立过程中的安全性进行了分析，发现在四次握手过程中存在安全隐患，并因此可能受到DoS(拒绝服务)攻击。在此基础上提出了一种改进方法，使四次握手过程的安全性得到进一步增强。     

针对SSL/TLS协议会话密钥的安全威胁与防御方法

分析安全套接层/安全传输层(SSL/TLS)协议在客户端的具体实现,利用浏览器处理SSL/TLS协议会话主密钥和协议握手过程中传递安全参数存在的漏洞与缺陷,结合Netfilter机制进行会话劫持,提出一种针对SSL/TLS协议的安全威胁方案(SKAS)并对其进行安全研究,给出随机数单向加密、双向加密及保护会话主密钥安全的3种防御方法。经过实验验证了SKAS威胁的有效性,其攻击成功率达到90%以上且攻击范围广、威胁程度高,提出的3种防御方法均能抵御SKAS威胁,保证了客户端和服务器间SSL/TLS协议的数据通信安全。     

基于参数优化批处理的TLS协议

TLS(transport layer security)协议的基本设计目标是为两个通信实体之间提供数据的保密性和完整性.由于在传输层安全握手协议中最耗费计算资源的步骤是服务器RSA解密运算,优化的批处理的RSA方法提出可以用于加速TLS会话的初始化.首先指出了以前的批处理方法由于要求多证书实现而实用性不强.然后提出了单一证书策略的方法,从而克服了这一问题.还提出结合用户对于因特网服务质量的要求优化了批处理参数.为了选择优化的批处理的参数,不仅考虑了服务器的性能,而且还考虑了客户可容忍的等待时间.通过分析并在阐述平均排队时间、批处理服务时间和系统稳定性的基础上提出了一种新颖的优化批处理调度算法,已部署在服务器上.最后通过分析和模拟两种方法验证了所提出方案的实用性和有效性.     

SSL握手协议的分析及改进

文章对SSL握手协议进行深入研究,并针对协议在应用上的局限性,提出了基于PKI双证书机机制和PMI属性证书对SSL握手协议的改进方案。改进后的SSL握手协议,不但密钥协商的过程更加安全可靠,而且具备了对网络资源细粒度的访问控制功能。     

Web环境下提高TLS性能的研究

分析了Web环境下传输层安全(TLS)协议的性能问题,指出了原因所在。给出了从改进协议和使用硬件设备两方面来提高TLS性能的整体解决方案。     

基于EAP-TLSE的移动节点永久在线安全性研究

为解决永久在线的移动节点的信息安全问题,提出了一种基于TLS Extensions的EAP-TLSE认证方法,并对其性能和安全性进行了分析,表明该认证方法能够在不影响安全性的同时降低对网络带宽、计算资源和电力供应的要求.     

基于IBC的TLS握手协议设计与分析

为了克服当前广泛使用的传输层安全协议存在的证书管理复杂和握手延迟高的缺点,通过分析基于身份的密码体制的特点,设计了使用基于身份的加密方案的握手协议,以及适合双向认证条件的使用基于身份的认证的密钥协商方案的握手协议。安全性分析和性能仿真实验结果表明,在同等安全强度下,与基于证书的方案相比,基于IBC的握手协议具有相称的密码算法处理开销,但是减少了协议通信量,明显降低了握手延迟,提高了协议的运行效率。     

适用于网络内容审计的SSL/TLS保密数据高效明文采集方法

为解决互联网上使用安全套接层/传输层安全(SSL/TLS)协议保密的数据难以审计的问题,提出了一种基于中间人原理的SSL/TLS保密网络数据的明文采集方法,将作为合法中间人的数据采集器串行接入服务端与客户端之间,在SSL/TLS握手阶段通过修改通信双方传输的握手消息,取得通信双方用于数据加密的密钥,达到解密保密数据、采集其明文的目的。该方法比已有的基于代理服务器原理的采集方法传输时延更短,SSL吞吐率更大,占用内存资源更少;比已有的采集器持有服务端私钥的方案应用范围更广,且不受网络丢包的影响。实验结果表明提出的方法与基于代理服务器原理的采集方法相比,传输时延降低了约27.5%;SSL吞吐率提高了约10.4%,且SSL吞吐率已接近理想情况下的上限值。     

一种新的轻量级安全代理协议

随着网络技术的发展和广泛应用,在互联网环境下建立安全信道愈发显得重要。我们设计了一种采用TLSv1.3的握手协议框架的轻量级安全代理协议,在安全性的基础上提供了更好的隐蔽性和性能。代理程序的用户接口基于Socks5协议,保障了通用性。握手过程模拟TLS,将实际参数填充在TLSv1.3握手包内的随机区域和加密区域中来完成基于ECDHE密钥交换和挑战响应机制的握手。后续的代理转发过程中通过额外判断避免了加密数据的重复处理,大大提高了通信效率。针对主动检测,设计了基于TCP转发的主动对抗措施。健壮性方面,可作为服务器的反向代理,亦可作为基于TCP转发的反向代理服务器的后端,可灵活构建冗余信道。依据实现原理,命名为FTLSocks,意为Fake TLS Socks。使用了协程池、空间重用、最少拷贝和无锁的设计,实测高并发下资源消耗、吞吐量、响应时间等均优于现有流行工具。     

TLS1.3后量子安全迁移方案、实现和性能评测

本文分析了NIST量子安全标准化进程第二轮和中国密码算法设计竞赛获奖的格基后量子密码算法,并从性能、安全级别和消息长度等方面对它们进行了比较;探讨了将这些算法集成到TLS 1.3的可行性和途径,通过将后量子密钥封装算法和签名算法及其混合模式集成到标准TLS 1.3,我们实现了一个后量子安全TLS 1.3软件库,可以进行后量子安全握手以对抗量子对手.此外,我们构建了一个测试TLS 1.3协议在各种网络条件下性能的实验框架,允许我们独立控制链路延迟和丢包率等变量,隔离出单独的网络特性,从而在一台电脑上模拟客户机-服务器网络实验,检查各种后量子算法对建立TLS 1.3连接产生的影响.实验结果表明,TCP的分段机制可以保证具有超长公钥/密文/签名的后量子格基密码算法在TLS 1.3协议正常运行;尽管网络延迟会隐藏大部分后量子算法的性能差异,但是在高质量的链路上,计算速度是决定因素;当网络丢包率较大时,具有较短传输数据的后量子算法将展现出带宽优势.我们的实验结果也为在不同网络条件下如何选择后量子算法提供指导,有助于将后量子算法进一步标准化和将TLS 1.3向后量子安全发展和迁移.     

TLS1.3后量子安全迁移方案、实现和性能评测

本文分析了NIST量子安全标准化进程第二轮和中国密码算法设计竞赛获奖的格基后量子密码算法,并从性能、安全级别和消息长度等方面对它们进行了比较;探讨了将这些算法集成到TLS 1.3的可行性和途径,通过将后量子密钥封装算法和签名算法及其混合模式集成到标准TLS 1.3,我们实现了一个后量子安全TLS 1.3软件库,可以进行后量子安全握手以对抗量子对手.此外,我们构建了一个测试TLS 1.3协议在各种网络条件下性能的实验框架,允许我们独立控制链路延迟和丢包率等变量,隔离出单独的网络特性,从而在一台电脑上模拟客户机-服务器网络实验,检查各种后量子算法对建立TLS 1.3连接产生的影响.实验结果表明,TCP的分段机制可以保证具有超长公钥/密文/签名的后量子格基密码算法在TLS 1.3协议正常运行;尽管网络延迟会隐藏大部分后量子算法的性能差异,但是在高质量的链路上,计算速度是决定因素;当网络丢包率较大时,具有较短传输数据的后量子算法将展现出带宽优势.我们的实验结果也为在不同网络条件下如何选择后量子算法提供指导,有助于将后量子算法进一步标准化和将TLS 1.3向后量子安全发展和迁移.     

用BAN逻辑方法分析TLS协议

密码协议的形式化正在成为国际上研究的热点，通过形式化分析密码协议来判断密码协议是否安全可靠。BAN逻辑是最早提出、最为重要的一种安全协议分析方法，被广泛地用于密码协议的安全性证明。文章介绍了BAN逻辑和TLS协议，用BAN逻辑分析TLS协议，从而证明TLS协议的双方认证协议是完整的、没有漏洞的。     

结合多特征识别的恶意加密流量检测方法

随着加密流量的广泛使用,越来越多恶意软件也利用加密流量来传输恶意信息,由于其传输内容不可见,传统的基于深度包分析的检测方法带来精度下降和实时性不足等问题。本文通过分析恶意加密流量和正常流量的会话和协议,提出了一种结合多特征的恶意加密流量检测方法,该方法提取了加密流量会话的包长与时间马尔科夫链、包长与时间分布及包长与时间统计等方面的统计特征,结合握手阶段的TLS加密套件使用、证书及域名等协议特征,构建了863维的特征向量,利用机器学习方法对加密流量进行检测,从而发现恶意加密流量。测试结果表明,结合多特征的恶意加密流量检测方法能达到98%以上的分类准确性及99.8%以上召回率,且在保持相当的分类准确性基础上,具有更好的鲁棒性,适用性更广。