Web网站SSL/TLS协议配置安全研究

SSL/TLS协议是目前通信安全和身份认证方面应用最为广泛的安全协议之一,对于保障信息系统的安全有着十分重要的作用.然而,由于SSL/TLS协议的复杂性,使得Web网站在实现和部署SSL/TLS协议时,很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理问题等安全缺陷.这类安全问题在Web网站中经常发生,也造成了许多安全事件,影响了大批网站.因此,本文首先针对Web网站中安全检测与分析存在工具匮乏、检测内容单一、欠缺详细分析与建议等问题,设计并实现了Web网站SSL/TLS协议部署配置安全漏洞扫描分析系统,本系统主要从SSL/TLS协议基础配置、密码套件支持以及主流攻击测试三方面进行扫描分析;之后使用该检测系统对Alexa排名前100万网站进行扫描,并做了详细的统计与分析,发现了不安全密码套件3DES普遍被支持、关键扩展OCSP Stapling支持率不足25%、仍然有不少网站存在HeartBleed攻击等严重问题;最后,针对扫描结果中出现的主要问题给出了相应的解决方案或建议.     

安全套接层协议SSL协议的分析

通过密码算法和密码协议,初步介绍SSL协议。然后通过公开源代码库的OpenSSL协议的具体实现,使大家更加深入的理解SSL协议。     

基于SSL的VPN隧道技术及实现

OpenVPN是一种基于SSL协议的新型VPN实现技术,其加密解密建立在OpenSSL之上。OpenVPN在用户空间运行,不需要修改系统内核,配置容易,对NAT支持优秀。本文对OpenVPN的功能、特点作了介绍,并给出了一种基于OpenVPN技术的VPN隧道的实现。     

NAP-PT协议转换的安全问题的思考

本文首先分别介绍了IPSEC和NAT-PT的基本原理和工作方式,然后,作者试图说明两者同时使用会出现的矛盾,提出了一种新的改进策略。多层安全机制的协议改进策略是针对翻译机制的安全问题提出的一种改进策略,该策略中包含IPSEC机制和SSL/TLS安全机制。     

SSL协议安全研究

SSL协议是目前保护Internet上最为流行的Web应用的重要安全机制与工业标准,本文对SSL协议规范进行了介绍,描述了其功能框架与安全机制及相关技术.     

TLS协议组密底泄露缺陷及改进

提出了TLS协议组（SSL 3.0和TLS 1．0及其衍生的系列协议）共同存在的一个安全缺陷：密文的最前面4个字节其底码是可以猜测的。攻击者利用该缺陷蛮力搜索密钥攻击该类协议时可以大幅度减少工程量。给出了协议改进方案;针对改进前后的协议,详细描述了蛮力攻击方法,并进行了攻击复杂度分析。     

基于SSL／TLS的安全应用中独立端口和磋商升级的研究与实现

基于SSL／TLS构建的安全应用中通常采用了独立端口和磋商升级的策略。本文详细论述了这两种策略的基本原理，比较了它们各自的优缺点，进而对实施过程中遇到降级攻击以及因代理语义不能交互而导致连接失败的问题进行了分析，并针对这些问题提出了相应的解决办法。     

SSL安全传输协议在网络通信中的应用分析

当前在网络环境中基于Internet技术的发展,在TCP/IP协议的基础上发展了一种SSL协议,该协议最大的特点是具有安全性,在网络技术平台下促进通信技术的进一步发展。SSL协议属于会话层,被广泛应用于商用浏览器和Web服务器中,它已经成为当前最流行的WWW安全协议。SSL安全协议的实施过程中,确保Web通信安全高效使用,实现了信息安全的机密性,身份认证以及完整性的优势,并且该协议在通信技术中对系统的改造比较小,使用方便,灵活性较强,因此这就开启了当前网络技术平台下的通信技术应用。     

SSL协议的安全性分析与应用

本文论述了SSL协议的特点与原理，重点分析了SSL协议的安全机制及其应用。     

一种基于SSL/TLS的Web安全代理的设计与实现

SSL Web代理能有效保护Internet上数据传输和存有敏感信息的Web服务器的安全。但是SSL协议中大量的数据处理带来的性能瓶颈和协议实现中受到的安全威胁将严重影响SSL Web代理的效用。该文在分析SSL／TLS协议性能和安全的基础上,设计并实现了一种高效的、安全的SSL／TLS Web代理。     

SSL/TLS握手协议的分析与研究

通过对SSL/TLS安全协议的介绍,阐述了其握手协议的功能和作用.重点分析了握手的过程,同时对服务器端和客户端在握手过程中的性能进行了分析,提出采用会话恢复机制,可有效地提高整个SSL握手协议的性能.     

基于SSL/TLS的安全文件传输系统

为了保证Intemet上数据的安全传输，加密传输得到越来越多的应用。主要阐述了如何通过JSSE实现基于SSL／TLS协议的安全文件传输系统，给出了使用JSSE创建安全套接字连接的具体方法。系统具有跨平台、传输性能高效等特点。在此基础上分析了基于SSL／TLS协议的文件传输系统的安全性。由于数据加密往往是很耗时的，会在一定程度上影响传输效率，所以还通过将本系统与一般的文件传输系统相比较，分析了基于SSL／TLS安全文件传输系统的传输效率。     

基于SSL/TLS的安全文件传输系统

为了保证Internet上数据的安全传输,加密传输得到越来越多的应用。主要阐述了如何通过JSSE实现基于SSL/TLS协议的安全文件传输系统,给出了使用JSSE创建安全套接字连接的具体方法。系统具有跨平台、传输性能高效等特点。在此基础上分析了基于SSL/TLS协议的文件传输系统的安全性。由于数据加密往往是很耗时的,会在一定程度上影响传输效率,所以还通过将本系统与一般的文件传输系统相比较,分析了基于SSL/TLS安全文件传输系统的传输效率。     

基于流谱理论的SSL/TLS协议攻击检测方法

网络攻击检测在网络安全中扮演着重要角色。网络攻击检测的对象主要为僵尸网络、SQL注入等攻击行为。随着安全套接层/安全传输层（SSL/TLS）加密协议的广泛使用,针对SSL/TLS协议本身发起的SSL/TLS攻击日益增多,因此通过搭建网络流采集环境,构建了包含4种SSL/TLS攻击网络流与正常网络流的网络流数据集。针对当前网络攻击流检测的可观测性有限、网络流原始时空域分离性有限等问题,提出流谱理论,将网络空间中的威胁行为通过“势变”过程从原始时空域空间映射到变换域空间,具象为“势变谱”,形成可分离、可观测的特征表示集合,实现对网络流的高效分析。流谱理论在实际网络空间威胁行为检测中的应用关键是在给定变换算子的情况下,针对特定威胁网络流找到势变基底矩阵。由于SSL/TLS协议在握手阶段存在着强时序关系与状态转移过程,同时部分SSL/TLS攻击间存在相似性,因此对于SSL/TLS攻击的检测不仅需要考虑时序上下文信息,还需要考虑对SSL/TLS网络流的高分离度的表示。基于流谱理论,采用威胁模板思想提取势变基底矩阵,使用基于长短时记忆单元的势变基底映射,将SSL/TLS攻击网络流映射到流谱域空间。...     

基于通行字的传输层安全

SSL协议在实际使用中存在着一些问题，该文提出的基于通行字的加密密钥交换协议可以克服这些问题，通过把改进的DH－EKE集成到TLS协议中，参与通信的双方可以实现身份认证和在公共信道上建立安全通道。     

用BAN逻辑方法分析TLS协议

密码协议的形式化正在成为国际上研究的热点，通过形式化分析密码协议来判断密码协议是否安全可靠。BAN逻辑是最早提出、最为重要的一种安全协议分析方法，被广泛地用于密码协议的安全性证明。文章介绍了BAN逻辑和TLS协议，用BAN逻辑分析TLS协议，从而证明TLS协议的双方认证协议是完整的、没有漏洞的。     

Multi core SSL/TLS security processor architecture and its FPGA prototype design with automated preferential algorithm

In this paper a pipelined architecture of a high speed network security processor (NSP) for SSL/TLS protocol is implemented on a system on chip (SoC) where hardware information of all encryption, hashing and key exchange algorithms are stored in Secure Digital (SD) card in terms of bit files, in contrary to recent ones where all are actually implemented in hardware. The SoC works as NSP for the system (PC), which is running the application. Through the SoC the security algorithms are implemented and it also provides the Ethernet communication interface. The NSP finds applications in e-commerce, virtual private network (VPN) and in other fields that require data confidentiality.The motivation of the present work is to dynamically execute applications in embedded systems having strict resource and power budgets maintaining a stipulated throughput. An appropriate cipher suite is chosen following a proposed preferential algorithm based on Efficient System Index (ESI) budget comprising of throughput, power and resource given by the user. The bit files of the chosen security algorithms are downloaded from the SD card to the partial region of Field Programmable Gate Array (FPGA). The proposed SoC controls data communication between an application running in a system through a PCI and an Ethernet interface of a network. The proposed design uses partial reconfiguration feature of ISE14.4 suite with ZYNQ 7z020-clg484 FPGA platform. The performances of the implemented crypto algorithms are considerably better in terms of power throughput and resource than the existing works reported in literatures.