基于Java2的SSL代理的实现

针对网络传输安全问题是网络安全的重要内容，介绍了在密码技术中被广泛使用的SSL／TLS协议，并描述了SSL代理软件的实现方法。     

Web网站SSL/TLS协议配置安全研究

SSL/TLS协议是目前通信安全和身份认证方面应用最为广泛的安全协议之一,对于保障信息系统的安全有着十分重要的作用.然而,由于SSL/TLS协议的复杂性,使得Web网站在实现和部署SSL/TLS协议时,很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理问题等安全缺陷.这类安全问题在Web网站中经常发生,也造成了许多安全事件,影响了大批网站.因此,本文首先针对Web网站中安全检测与分析存在工具匮乏、检测内容单一、欠缺详细分析与建议等问题,设计并实现了Web网站SSL/TLS协议部署配置安全漏洞扫描分析系统,本系统主要从SSL/TLS协议基础配置、密码套件支持以及主流攻击测试三方面进行扫描分析;之后使用该检测系统对Alexa排名前100万网站进行扫描,并做了详细的统计与分析,发现了不安全密码套件3DES普遍被支持、关键扩展OCSP Stapling支持率不足25%、仍然有不少网站存在HeartBleed攻击等严重问题;最后,针对扫描结果中出现的主要问题给出了相应的解决方案或建议.     

基于SSL VPN的无线安全接入系统终端研究与实现

随着无线终端远程访问的日益普及,无线远程访问的安全性受到越来越多的关注,利用安全套接层协议（SSL）在公共网上建立虚拟专用通道来保护数据安全是一种有效的解决方法。背景为基于SSL协议在公用网络中建立和维护一个安全可信任的私有SSL VPN通道的途径,首先简要介绍SSL／TLS协议,然后阐述了一种基于SSL／TLS的安全接入系统的终端架构设计与实现分析。     

基于SSL/TLS的安全文件传输系统

为了保证Intemet上数据的安全传输，加密传输得到越来越多的应用。主要阐述了如何通过JSSE实现基于SSL／TLS协议的安全文件传输系统，给出了使用JSSE创建安全套接字连接的具体方法。系统具有跨平台、传输性能高效等特点。在此基础上分析了基于SSL／TLS协议的文件传输系统的安全性。由于数据加密往往是很耗时的，会在一定程度上影响传输效率，所以还通过将本系统与一般的文件传输系统相比较，分析了基于SSL／TLS安全文件传输系统的传输效率。     

配置SSL／TLS——保障Web流量的安全并不复杂

如果你是一名Web服务器的管理员，就必须采取有效措施来保证客户端的浏览器可以与Web服务器进行安全通讯。SSL／TLS就是用于实现这一需求的协议，它简单易用，安全高效，值得信赖。如果您对它的应用不甚了解，可以通过本文找到答案。[编者按]     

针对SSL/TLS协议会话密钥的安全威胁与防御方法

分析安全套接层/安全传输层(SSL/TLS)协议在客户端的具体实现,利用浏览器处理SSL/TLS协议会话主密钥和协议握手过程中传递安全参数存在的漏洞与缺陷,结合Netfilter机制进行会话劫持,提出一种针对SSL/TLS协议的安全威胁方案(SKAS)并对其进行安全研究,给出随机数单向加密、双向加密及保护会话主密钥安全的3种防御方法。经过实验验证了SKAS威胁的有效性,其攻击成功率达到90%以上且攻击范围广、威胁程度高,提出的3种防御方法均能抵御SKAS威胁,保证了客户端和服务器间SSL/TLS协议的数据通信安全。     

HTTPS/TLS协议设计和实现中的安全缺陷综述

SSL/TLS协议是目前广泛使用的HTTPS的核心,实现端到端通信的认证、保密性和完整性保护,也被大量应用到非web应用的其他协议（如SMTP）。因为SSL/TLS如此重要,它的安全问题也引起了研究者们的兴趣,近几年对于SSL/TLS协议的研究非常火热。本文总结了近几年四大安全顶级学术会议（Oakland,CCS,USENIX Secuity和NDSS）发表的相关论文,分析该协议设计的设计问题、实现缺陷以及证书方面的相关研究,希望对SSL/TLS协议的改进和其他协议的安全性设计有参考价值。     

基于VSFTPD的FTP服务器安全传输的实现

VSFTPD是基于GPL协议发布的FTP服务器程序,在类Unix操作系统中备受推崇的,以其安全性著称。本文主要结合CentOS操作系统,实现基于VSFTPD程序的SSL／TLS安全传输。     

基于SSL/TLS的安全文件传输系统

为了保证Internet上数据的安全传输,加密传输得到越来越多的应用。主要阐述了如何通过JSSE实现基于SSL/TLS协议的安全文件传输系统,给出了使用JSSE创建安全套接字连接的具体方法。系统具有跨平台、传输性能高效等特点。在此基础上分析了基于SSL/TLS协议的文件传输系统的安全性。由于数据加密往往是很耗时的,会在一定程度上影响传输效率,所以还通过将本系统与一般的文件传输系统相比较,分析了基于SSL/TLS安全文件传输系统的传输效率。     

WAP安全协议在移动终端中的研究与实现

分析WAP1.2与2 .0安全协议的差异,指出了WAP2 .0中的SSL/TLS协议具备的极大优势。在此基础上结合当前移动终端的特点,给出了一个完整的SSL/TLS客户端协议分析实现方案。     

一种高速安全反向代理服务器的设计与实现

安全反向代理服务器架设在真实网页服务器与用户浏览器之间靠近真实服务器的一侧,通过传输层安全协议保障用户与真实服务器之间的通信.作为基于传输层安全协议的虚拟专用网服务器的一个最重要的组成部分,安全反向代理有着极大的商业价值和技术含量.在FreeBSD-6.3的基础上设计并实现了一个与传统TCP/IP并行的TCP/IP跳转表.基于TCP/IP跳转表设计并实现了一种多加速卡调度算法.设计并实现了直接从加速卡队列获取数据包的代理转发协议栈.设计并实现了基于后台真实服务器反馈的负载均衡算法.测试表明,由这些算法和协议栈组成的高速安全反向代理服务器新进连接数达到了国内领先水平.     

适用于网络内容审计的SSL/TLS保密数据高效明文采集方法

为解决互联网上使用安全套接层/传输层安全(SSL/TLS)协议保密的数据难以审计的问题,提出了一种基于中间人原理的SSL/TLS保密网络数据的明文采集方法,将作为合法中间人的数据采集器串行接入服务端与客户端之间,在SSL/TLS握手阶段通过修改通信双方传输的握手消息,取得通信双方用于数据加密的密钥,达到解密保密数据、采集其明文的目的。该方法比已有的基于代理服务器原理的采集方法传输时延更短,SSL吞吐率更大,占用内存资源更少;比已有的采集器持有服务端私钥的方案应用范围更广,且不受网络丢包的影响。实验结果表明提出的方法与基于代理服务器原理的采集方法相比,传输时延降低了约27.5%;SSL吞吐率提高了约10.4%,且SSL吞吐率已接近理想情况下的上限值。     

SSL协议应用中安全技术问题探究

随着信息化浪潮的发展,SSL协议的应用非常普遍,但是在SSL协议应用的工程实践中也发现了一些应用模式所导致的问题,文章首先介绍了SSL协议的安全技术应用,重点分析了其中安全技术问题的表现,并通过国产密码算法与SSL协议之间应用兼容性的问题分析,提出了一些SSL协议应用模式的建议。     

一种安全的语义Web服务模型研究

语义Web作为一个新兴的研究方向发展迅速,语义Web服务技术也越来越受重视,同时安全问题也成为语义、Web服务技术中不容忽视的研究课题。分析了web服务的安全现状,根据语义Web服务的主要安全需求提出了一种安全的语义web服务模型,并详细介绍了模型的构成。模型应用安全本体并结合原有的安全基础设施,使用SSL／TLS协议保证传输层的数据安全,并使用XML数字签名规范、XML加密规范与SOAP消息相结合保证数据机密性、完整性和不可否认性,能够比较全面地为语义Web服务提供安全保障。     

基于SSL协议的客户端安全代理的研究与实现

对基于SSL协议的客户端安全代理进行了深入的理论研究,并给出了具体的实现方法.该客户端安全代理以Web通讯代理的形式,为浏览器提供128位以上高强度的数据加密传输能力以及身份认证功能等,提高了数据传输的安全性.     

基于流谱理论的SSL/TLS协议攻击检测方法

网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为。随着安全套接层/安全传输层（SSL/TLS）加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间,具象为“势变谱”,形成可分离、可观测的特征表示集合,实现对网络流的高效分析。流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下,针对特定威胁网络流找到势变基底矩阵。由于SSL/TLS协议在握手阶段存在着强时序关系与状态转移过程,同时部分SSL/TLS攻击间存在相似性,因此对于SSL/TLS攻击的检测不仅需要考虑时序上下文信息,还需要考虑对SSL/TLS网络流的高分离度的表示。基于流谱理论,采用威胁模板思想提取势变基底矩阵,使用基于长短时记忆单元的势变基底映射,将SSL/TLS攻击网络流映射到流谱域空间。...     

Why Johnny can't surf (safely)? Attacks and defenses for web users

In their seminal article “Why Johnny Can't Encrypt” [Whitten A, Tygar JD. Why Johnny can't encrypt: a usability case study of PGP 5.0. In: Proceedings of the eighth USENIX security symposium; August 1999.], Whitten and Tygar showed that usability weaknesses of encryption software may result in failure to protect users, in spite of good cryptography. A similar situation happens, on a huge scale, on the Web: the widely deployed SSL/TLS protocols provide good cryptography, yet there is a growing amount of successful attacks on web users, causing massive damages. In this article, we focus on password theft via fake websites, to which we refer as phishing. We believe that phishing is currently the most severe threat facing web users.We begin with a brief review of SSL/TLS. Many sensitive sites do not use SSL/TLS, or use it incorrectly (e.g. to encrypt password, filled into an unprotected login form); we explain why.Even if sites use SSL/TLS (correctly), this may not be enough to prevent phishing – at least, using the basic security and identification indicators of most browsers (URL, padlock and HTTPS). We discuss basic and advanced indicators, and their usability problems. We review recent usability studies, whose results are rather alarming, and put in question the ability of users to avoid phishing sites based on security and identification indicators.