一、一种扩展代理服务器认证能力的方法研究(论文文献综述)
李飞阳[1](2021)在《基于标识的天空地网络网管协议的设计与实现》文中进行了进一步梳理当前,互联网能够不受空间限制地进行信息交换的能力,使得人们对互联网的需求不断增加。但传统互联网在发展过程中一直存在信息覆盖不全的弊端,不能满足用户任意时间、任意地点的接入需求,因此不受天气环境因素影响的天空地网络出现在人们的视野里,该网络具备全球无缝的常态化覆盖能力。然而传统互联网的IP地址双重身份存在的诸多问题并不能很好的适应天空地网络,为此,国内外许多研究学者都对该网络架构做出了改进,其中较为典型的一种架构是采用用户空间和网络空间分离的思想,提出了“接入标识”“路由标识”及其分离解析映射机制为核心的标识网络架构,运用该架构与天空地网络结合一方面解决了传统互联网架构问题,另一方面满足不同用户的接入需求。实现基于标识的天空地网络的管理机制是掌握网络数据走向的重要手段。因此本文的工作内容是“基于标识协议栈的天空地网络原型系统”项目的一部分,完成基于标识协议栈的天空地网络的管理协议的设计实现工作。本文工作内容如下:1.该管理协议针对传输层接口增加了适应性传输模块,主要对空间网络协议栈的数据包发送模块和接收模块进行了设计实现工作,实现了对16位地址空间的数据信息的发送接收功能;2.针对标识映射服务器的扩展代理模块,编写相应的标识映射管理信息库,如标识映射条目、用户数据表等信息,空中的卫星中的接入路由器向映射服务器的本地代理通过简单网络管理扩展协议注册新的管理信息库节点,本地代理将处理结果通过该网管协议发送给网管服务器,进而能够获取标识映射条目信息;3.在网络管理端修改管理信息库的配置文件,设置设备故障等阈值告警标准使映射服务器端可以主动上报告警信息,进而通知相对应的网络管理端。在实验室模拟环境中部署网管协议的测试环境,对改造后的Net-SNMP软件进行测试显示支持16位协议栈的数据;对Wireshark抓包工具截取到的映射数据包的端口地址和端口号进行分析,结果显示能够收集并设置对应的映射信息;对设备故障的阈值告警的上报功能进行了功能测试,测试结果显示可以收到十六位传输模块的告警信息,并且当卫星的接入路由器有用户接入时,网络管理端收到告警信息,信息中包含故障标识信息和端口号,可以快速解决问题。
徐小强[2](2021)在《从外网突破到内网纵深的自动化渗透测试方法设计与实现》文中指出互联网技术的快速发展,为人类生产和生活提供极大便利的同时,也带来了巨大的网络安全挑战。渗透测试技术通过模拟黑客攻击方法来检测系统漏洞,可以快速发现网络安全问题,避免造成不可逆损失。近年来,网络安全行业高速发展,涌现出了众多渗透测试工具,大大方便了渗透测试人员对企业网络进行安全性测试的工作。但是,大多数工具只能针对可以直接访问的网络进行渗透测试,而绝大部分安全问题往往存在于测试工具无法直接访问的内部网络。针对这一问题,本文结合PTES渗透测试执行标准和ATT&CK攻击矩阵模型,设计了一种从外网突破到内网纵深的自动化渗透测试系统。该系统包含信息收集、漏洞探测、漏洞利用、权限提升、后渗透测试和痕迹清理六个部分。在信息收集环节,系统会对给定目标进行子域名信息收集、端口扫描和服务识别,特别是针对网站服务进行CMS指纹识别,为漏洞探测和漏洞利用奠定基础。在后渗透测试环节,为了规避WAF、IDS、IPS等安全设备的检查,系统构建了基于HTTP协议的隐蔽信道,打通了从外网到内网的流量转发路径,实现了对内网的自动化安全测试。在痕迹清理阶段,系统会自动清理在渗透测试过程中产生的临时文件,避免这些文件被恶意利用。本文模拟中小型企业内网拓扑结构,构建了存在漏洞的靶场环境,并在这种环境下进行了系统功能测试。测试实验结果表明,该系统实现了自动发现外网安全漏洞、自动构建内外网流量转发信道、进一步对内网进行自动化渗透测试的功能。达到了对企业内外网进行自动全面、高效准确的漏洞检测的标准,从而协助企业尽早进行漏洞修复和网络加固,避免因为安全漏洞造成的严重损失。
陈洪波[3](2021)在《面向物联网的消息队列传输协议安全性的研究》文中研究说明随着基本通信网络的发展,越来越多的物联网设备需要与用户进行交互。另一方面,由于物联网中的设备计算性能,内存存储性能和网络带宽资源都有限,所以提出MQTT的基于发布/订阅的轻量级数据传输协议,同时近几年随着物联网的发展,MQTT协议也被越来越多的用到物联网系统中,因此使用MQTT的进行传送的数据的安全性也被越来越多的讨论。本文中提出了两个关于MQTT协议的安全性的相关方案,第一个方案基于物联网设备的计算能力和带宽能力有限,提出了轻量级密钥协商方案,该方案基于中国剩余理论和ECDH算法,ECDH算法基于椭圆曲线用于客户端与代理服务端进行密钥协商,然后使用中国剩余理论带上客户端与代理服务端的相关参数,进一步增强ECDH密钥协商过程的安全性。从安全性,计算性能,存储性能和通信性能方面对该轻量级密钥协商方案与其他方案进行对比,通过安全分析,该轻量级密钥协商方案能够抵抗重放攻击,中间人攻击等,并能够成功的进行共享密钥的协商,证明该方案是适合于MQTT协议客户端和代理端的密钥协商的。然后,通过对MQTT协议的分析,当前越来越多的需求需要MQTT进行大块数据的传输,而当前MQTT协议中,并没有针对大块数据传输的相关方案,因此提出了数据分组加密传输的方案,该方案基于AES加密的CBC工作模式进行分析,每一个分组的被加密后的密文数据组都与上一个明文数据组有关,这样就可以保证了被发送数据的一致性问题。该方案也引入了作为向量的时间戳,对数进行异或操作,这样便一定程度抵抗重放攻击;同时,该方案对组内数据举行加密传输,数据的机密性也得到了有效的保证。综上两种方案,基于中国剩余理论的ECDH轻量级密钥协商方案和基于CBC的数据分组加密传输方案,方案的数据交互次数较少,并且计算开销和内存开销较小,并能够抵抗中间人攻击,重放攻击和身份伪装等攻击问题,实现了数据的安全传输。
普黎明[4](2021)在《拟态云服务架构及关键技术研究》文中研究指明当前,云计算先进的技术优势、灵活的部署模式、按需提供的计算能力、高性价比的使用成本等特点吸引着越来越多的用户将其业务上云,基于云计算的服务模式得到广泛应用和发展,人们的日常生活已经和基于云计算提供的各类信息服务息息相关。在云服务技术快速发展并向各领域广泛运用的同时,云服务所面临的安全问题也日益突出,包括了传统网络空间安全威胁和云服务场景所带来的新挑战,这些威胁产生的根源主要是来自已知或未知的各类软硬件部件的漏洞和后门。而且,云服务平台通过集成现有技术的软硬件基础设施进行构建,各部件已有的漏洞和后门也加剧向云服务平台聚集,其每个层面或部件出现的漏洞和后门都将直接影响整个平台的正常安全运作。漏洞和后门已经成为影响云服务安全的重要问题,该安全问题已经成为阻碍用户将应用迁移至云平台的重要因素之一。然而,现有的云服务安全防护技术大多是基于威胁特征、行为感知等需要先验知识的被动式防御,这类技术需要不停的找漏洞并给系统打补丁,难以有效抵御基于软硬件未知漏洞或后门等的不确定威胁。国内团队提出的网络空间拟态防御(Cyber Mimic Defense,CMD)技术克服了传统安全方法的诸多问题,面对未知漏洞后门、病毒木马等不确定威胁时具有显着效果,该技术和云服务平台动态池化资源的异构冗余特性也较为契合。因此,本文基于CMD技术理论研究云服务的拟态防御技术,利用云服务的技术和模型特点,研究拟态化云服务的构造方法以及拟态执行体的调度方法和输出裁决方法,并提出一种基于拟态云服务架构的5G核心网统一数据管理(Unified Data Management,UDM)网元构建方法,最后,研究实现一个轻便的拟态云服务仿真环境。本文的主要研究内容包括:1.针对当前云服务节点采用静态单一的执行体结构,难以应对未知安全威胁的问题,提出一种拟态云服务架构,从结构上提升云服务防御漏洞和后门的能力。首先,对云服务的特点和面临的安全威胁进行分析,找到安全薄弱点并针对其提出可行的拟态化云服务构造方法。然后通过梳理拟态防御相关理论,设计了一种面向云服务节点的拟态化云服务架构,改变了现有服务节点的单一静态结构。该架构把云服务节点改造为拟态服务包,以拟态服务包的模式向用户提供原节点的服务,拟态服务包以动态异构冗余(Dynamical,Heterogeneous and Redundant,DHR)构造为基础架构,利用云平台提供的异构冗余计算资源作为其执行体,通过执行体调度机制提供其动态性,通过拟态裁决机制保障其输出一致性。最后,利用本文设计的拟态云服务仿真环境对架构的安全性做了测试和分析。2.针对拟态云服务架构中执行体的调度机制,提出一种基于时空相似度模型的执行体调度方法。首先分析现有的执行体相似度模型和调度机制,针对现有相似度模型不能全面反映共有漏洞的时空特性,且调度机制没有综合兼顾动态性和异构性的平衡问题,提出一种时空相似度模型。然后依据该模型给出执行体调度指标,并利用该指标提出一种基于优先级和时间片的执行池调度算法,该算法基于执行池相似性指标进行优先级预排序,结合时间片等策略进行执行池调度。最后,对算法动态性、相似度及耗时进行了实验和分析比较,结果表明,所提的调度方法有较好的动态性,结合时间片策略能够获得动态性和异构性的综合平衡,且调度的耗时较低。3.针对拟态云服务架构中执行体的输出裁决机制,提出一种基于模板和置信度的输出裁决方法。首先分析了现有的执行体输出裁决方法和机制,针对执行体输出不规则数据给裁决机制带来较高复杂性,且现有可信度评分方法存在不足的问题,对面向应用的云服务接口特点进行了分析,结合云服务接口标准化、传输数据结构化的特点,提出基于模板的响应数据裁决方法。然后,针对大数裁决失效问题,提出基于置信度指标的裁决修正方法;其中,该置信度指标综合了执行体历史表现和漏洞评分因子,能够动态兼顾执行体的历史表现和漏洞评分,进而可动态化的反映执行体的可信度。最后,通过实验对置信度机制的有效性进行了测试和分析。4.针对5G核心网UDM网元面临的安全威胁,提出一种基于拟态云服务架构的UDM网元构建方法。首先简要介绍5G系统的UDM网元服务模型和其面临的数据泄露和数据篡改威胁,然后基于拟态云服务架构提出拟态UDM网元的构建方法,并通过实验测试了拟态UDM的网元功能以及其针对数据泄露和数据篡改的安全防护能力。结果表明,构建的拟态UDM能够履行其网元的正常服务功能,并且能够对数据泄露和数据篡改安全威胁起到防护作用,为通过拟态防御技术提高5G核心网的安全性提供了一种实践方法。5.针对拟态云服务研究工作缺少便捷高效的实验评估工具的现实需求,提出并实现一种拟态云服务仿真环境。首先,分析了当前拟态防御相关研究在开展实验评估工作时,大都需要构建价格高昂且组成复杂的实体环境的现状。然后,分析了当前面向云计算的各类模拟仿真环境和工具的发展现状。通过对拟态云服务仿真环境的需求分析和技术选型,提出基于Cloud Sim工具进行扩展开发,设计实现了一种拟态云服务仿真环境,期望为基于云计算的拟态防御相关机制和技术研究提供一种轻量便捷且高效廉价的建模仿真工具。该仿真环境按照DHR架构设计实现,本文分别对系统各组成部分的设计实现进行了介绍,并通过接口模式提供对用户自定义策略的支持。最后,通过裁决机制演示了仿真环境的功能,并测试其性能。
张春辉[5](2021)在《基于Kubernetes的高可用容器云的设计与实现》文中提出随着容器技术和Kubernetes的兴起,全球众多的云厂商纷纷推出属于自己的容器云服务。容器技术的浪潮从Docker的普及开始,直到Kubernetes的逐渐成熟才真正的落地,才开始真正实现从传统的应用部署管理模式向容器服务模式转变。2020双11期间,阿里已经将80%的核心业务部署到容器云平台当中,Google更是已经在生产环境当中积累了数十年的容器服务经验,而Kubernetes正是其开源的容器编排项目。Kubernetes位于云计算Iaa S基础设施层之上,屏蔽了底层硬件的复杂性,为用户提供容器化应用的自动部署、扩展和管理。Kubernetes的兴起也正是因为传统的应用架构正在向微服务架构进行转变,而Kubernetes正好契合微服务和Dev Ops的思想和最佳实践。对于如何将传统应用迁移至Kubernetes容器云平台是众多企业面临的难题。而如何构建一个基于Kubernetes的容器云平台也成为了一个热门的研究方向。开源的Kubernetes提供了强大的容器编排和管理功能,但是在高可用性、多租户和应用生命周期管理方面还不够完善。本文在实验室现有Iaa S层云平台基础之上,设计和实现了一个基于Kubernetes的高可用容器云平台,提供高可用的容器云服务、统一的多租户管理和全生命周期的应用和容器镜像管理。本文主要从三个维度对容器云服务的高可用性进行了设计和实现。首先,在存储维度上设计了etcd存储管理模块提供对外部etcd集群的健康检查和故障恢复,提升存储层的高可用性。其次,在控制节点层次提出了一种基于Keepalived和HAProxy结合的高可用解决方案和多控制节点部署拓扑架构。第三,在工作节点层次,设计实现了一个高可用弹性伸缩模块,提供对Kubernetes集群节点的自动弹性伸缩,并且基于Kubernetes调度器框架实现了一个对Pod进行二次调度优化的调度器。此外,本文也设计了统一的多租户模块,为原生Kubernetes引入了多租户的功能,实现基于Open ID Connect的开放式统一身份认证和基于用户角色的权限控制。最后,从系统实现的完整性角度出发,实现了应用与容器镜像管理模块,做到了对Kubernetes应用和镜像的全生命周期管理。
吴昌政[6](2020)在《基于前后端分离技术的web开发框架设计》文中研究说明Web开发框架是一种“半成品”,封装应用的基础能力,如访问数据库、访问消息队列和缓存、安全认证等。企业应用基于开发框架进行二次开发可避免从零开始,降低建设成本,减少新业务上线时间。运营商大量的IT系统基于传统的“一体化”开发框架,这些系统建设初期效率较高,经过长期的运营,出现一系列问题:(1)随着功能的扩展,系统越来越庞大、维护困难、发布周期长。(2)系统能力不开放,不能被其他系统快速使用,涉及跨系统交互的需求支撑效率低下。(3)单系统建设运营团队能力存在瓶颈,不能很好兼顾用户使用体验提升和业务逻辑的优化。为此,运营商IT架构正在向“平台+应用”的模式演进,通过微服务架构分解为一系列子模块,形成一系列能力中心,敏捷支撑新的应用场景。为适应新的模式,新一代的Web应用要具备以下特点:(1)微服务架构:系统被分解为一系列可独立部署的子模块,但对用户来说是一个整体。(2)开放性:系统的能力通过restful协议开放,支持远程访问,对周边系统透明。(3)前后端分离:支持用户交互界面和业务逻辑被划分到不同的子模块中,独立建设和运营。(4)可扩展性:支持通过增加模块的方式扩展系统的功能,不改变现有模块的部署。(5)安全性:保护开放的能力免受非授权访问,支持用户一点登陆,所有子模块通过认证。(6)云原生:系统能够在容器中部署,支持集中监控所有模块的运行状态,支持基于容器技术一键发布、负载均衡、动态伸缩。(7)灰度发布:每个模块均可根据工号配置不同的版本,达到无风险发布的目的。本文通过对新一代Web应用的主流技术的分析、比对、选型和集成,实现了一套满足上述需求的开发框架,具备员工工号管理、权限管理、角色管理、安全认证、模块管理、菜单管理、公告管理、部署环境管理等基础功能,详细介绍了系统总体架构、功能架构、技术架构、数据模型、功能实现和实现效果。相比于传统框架,新一代Web开发框架具有轻量级、开放、可扩展、云原生的特点。通过对新一代Web开发框架的研究,从实操层面对“平台+应用”的演进思路进行POC验证,为企业传统IT系统演进提供技术模板支持,减少新应用的上线时间,提升运营效率。
戴厚乐[7](2020)在《基于倒排索引的多关键词并行密文检索系统设计与实现》文中研究说明随着信息技术的发展,在生产生活中产生的数据量日益增长。由于大数据以及云计算技术的持续发展,使得更多的个人或企业趋向于将本地数据迁移到云端存储和管理。然而,这些数据中不乏各种账户、病人就诊资料等隐私数据。为了应对云环境中隐私数据存储所产生的安全性问题,将数据加密并且以密文形式实现数据管理和存储可以有效保证数据安全性,但对于密文数据的检索操作会变得更加难以实现。本文从加密数据的可检索性具体需求出发,针对于单机资源局限性和多关键词检索效率等问题,设计并实现了一种多关键词并行密文检索系统。首先根据软件设计开发的流程,对系统做了需求分析,通过流程图确定模块之间的依赖关系和整体流程,并设计系统基本模型和结构。然后对系统主要模块进行详细设计,针对SSE-1方案的性能缺陷,基于Luence采用不同的索引加密方式构建密文索引,并且与Map Reduce并行计算模型相结合实现了密文索引的并行构建方案。通过结合多种加密算法,基于代理模式实现数据共享场景下的密钥和用户管理,实现安全、有效的用户访问控制。利用基于关键词的倒排索引切分算法实现分块检索,克服了单机资源的局限性。通过结合并行模型实现了多关键词的并行检索,有效提高了检索效率。基于Swing设计并实现了友好的人机交互界面,提高系统易用性。最后说明了该系统的开发环境,并且分别对系统的空间性能和检索效率进行测试和分析。
谷正川[8](2020)在《面向零信任的MQTT安全关键技术研究》文中研究说明MQTT(Message Queuing Telemetry Transport)协议作为物联网通信的主流协议,近年来伴随物联网高速发展浪潮在医疗、工业、家居等智能领域和即时通讯社交网络得到广泛的应用。MQTT协议轻量级特性、解耦合的发布/订阅范式以及受限设备应用场景为协议的安全实现带来挑战,因此MQTT通信网络安全技术研究成为当下的一个研究热点。现有的研究工作中,通常面向传统的边界网络安全模型,对MQTT消息的集散中心(代理)授予隐式信任,并缺乏对网络内部合法设备发布/订阅消息的流量检查,这使得安全解决方案在内部威胁突出和业务深度云化的企业网络中的安全防护效果受到限制。本文在深入研究MQTT应用领域存在的安全威胁基础上,分析了MQTT通信网络的安全需求,使用零信任网络安全策略与方法作为指导,围绕消除MQTT各通信实体的隐式信任,提出更高效的轻量级安全解决方案。主要研究内容包括以下五点:1.分析新的安全形势下面向传统边界安全架构进行的MQTT安全技术研究所提解决方案存在的不足,指出构建面向零信任的MQTT安全架构需要提出合理的端到端安全性解决方案和可实施细粒度动态访问控制的信任计算模型。2.研究基于MQTT协议的通信网络中发布者与订阅者间的端到端安全性问题。根据MQTT的物联网应用场景,基于安全的密码原语提出轻量级MQTT端到端安全解决方案,由发布/订阅者端点系统执行认证和加密,该方案包含代理重加密、Schnorr签名和AES对称加密三种安全密码算法。最后,通过分别与现有不提供端到端机密性的轻量级安全解决方案和提供端到端机密性的安全解决方案进行性能表现和开销方面的对比,以及方案对抗攻击的启发式分析,表明方案取得了端到端安全性和轻量级特性。3.针对企业使用MQTT协议进行数据传输和共享的实际应用中设备计算、通信和存储开销的承载能力不同以及传输数据保密等级需求的不同,在端到端的安全方案基础上设计分级的加密传输方案。其中包含:安全级别1,通过Schnorr数字签名提供数据完整性、来源真实性和不可否认性;安全级别2,在安全级别1的基础上通过AES加密数据、代理重加密算法保护AES对称加密需要的会话密钥相结合的方式提供端到端的数据机密性;安全级别3,在安全级别1的基础上直接使用代理重加密算法加密传输数据,提供端到端的数据机密性。4.按照零信任网络构建的原则,在数据分级加密传输方案基础上添加认证授权、访问控制、发布/订阅消息持续验证、系统监视、恶意数据发布反馈、权限撤销等功能,并按照功能扩展需求有针对性地调整MQTT协议部分字段的定义和组成,提出面向零信任的分级安全MQTT协议框架。最后,通过理论分析对协议进行性能评估和安全讨论。5.提出一种基于多源输入信任计算的动态访问控制模型。选取面向零信任的分级安全MQTT协议框架中发布/订阅消息具有代表性的参数和发布/订阅者一定时间范围内的异常行为比率作为当前发布/订阅行为评估的属性,并进行直接信任值计算。记录发布/订阅者一段时间内其他发布/订阅行为的直接信任值,结合时间衰减函数计算出可评估发布/订阅者当前可信度的综合信任值,并基于综合信任值进行主题发布/订阅的细粒度动态访问控制。通过仿真实验结果分析表明,提出的信任计算模型能够对发布/订阅者当前行为特征和历史行为表现做出及时反应,可用于动态访问控制的实现。
李加浩[9](2020)在《基于区块链优化物联网数据汇聚安全机制》文中研究说明在物联网中,数据汇聚机制是形成数据网络的基础,是物联网发展和应用的保障。但是数据汇聚机制的安全性受到多种因素的影响,其中数据传输过程和存储过程中的安全缺陷,极大的威胁着数据安全,降低了物联网系统的可靠性。CoAP是一种应用于受限网络和结点的网络传输协议,并针对受限M2M(Machine to Machine,物与物)场景进行优化,并使用CoRE链接格式描述和发现受限物联网环境的资源。CoRE工作组以CoAP协议为基础提出资源目录实体RD(Resource Directory),资源目录拥有其他终端受限节点的资源描述,支持其他终端受限节点发现资源目录、注册资源、对资源目录上的注册资源进行操作,从而实现资源发现与访问。CoAP及其资源目录在物联网数据汇聚过程中起着数据传输和存储的功能,是物联网体系中的重要组成部分。由于资源目录缺少安全相关的内容,因此还存在一些安全上的问题。问题之一是容易受到攻击,因为缺乏设备认证过程,某些攻击节点可能会伪装成受限设备对资源目录进行攻击,或者伪装成资源目录与设备不断交互,占用设备的资源,造成网络瘫痪;问题之二是数据存储的不安全,受限网络中的传感设备计算能力和存储能力十分有限,在数据传递过程中可能被窃取,此外集中式的数据管理模式也有巨大风险,一旦存储平台遭到攻击,可能会造成数据的损坏或丢失。针对以上问题,本文尝试给出解决方法,通过引入区块链技术,对数据汇聚机制进行安全语义拓展,实现设备认证和安全存储。本文研究内容与工作如下:第一,研究物联网数据汇聚机制的安全问题并完成安全语义扩展。首先通过对CoAP资源目录的研究,发现其存在的问题。以语义物联网为基础,在CoAP资源目录中加入安全语义,通过SC属性来为资源目录提供安全能力,在此基础上对at属性进行扩展,根据不同的数字来标识不同的安全级别,提高系统的安全性能。同时以医疗场景为基础,结合安全语义建立语义模型,为系统的实现提供参考。第二,建立基于区块链的物联网认证和存储模型,完成安全性分析。在RD的基础上加入区块链代理模块,由代理对设备进行身份认证,同时物联网数据保存到区块链中。通过分析区块链底层原理和系统认证机制,对于系统的安全性能进行了形式化的验证。第三,在开源平台Californium中完成区块链模块和安全语义属性的编码扩展,进行了相关的功能和性能测试。以Californium平台为基础,使用Java语言并结合以太坊及智能合约实现系统功能。在笔记本实验环境下模拟医疗场景进行功能测试和性能测试,与原有资源目录进行比较并得出相关结论。
李杰[10](2020)在《TLS加密流量处理关键技术研究》文中认为随着计算机和网络技术的不断发展,人们对通信数据安全和隐私的重视程度也与日俱增。在此背景下,TLS(Transport Layer Security)协议得到广泛应用。TLS在端到端会话中的实体认证、流量机密性和完整性等方面起到重要作用。同时,计算机网络中还有很多不同功能的网络中间设备,如入侵检测设备、家长过滤系统等,对于维护网络安全、实现网络功能和提高网络性能具有不可替代的作用。TLS加密网络流量对于保护用户流量安全至关重要,但如果直接部署,将使得很多应用层网络中间设备无法正常工作。因此,如何解决这一问题,缓解TLS协议与目前网络中间设备之间的矛盾关系,对于网络技术的应用和发展具有重要意义。一方面,本文研究如何设计能够兼容网络中间设备的TLS变种协议或流量处理机制,另一方面,针对传统基于硬件的网络中间设备中存在的资金开销大、管理难度高、开发周期长、容错率和灵活性低等缺陷,本文研究如何利用学术界近年提出的网络功能虚拟化技术,将网络中间设备的功能以软件服务的形式,在通用服务器或云平台中实现。本文的研究工作聚焦在TLS加密流量处理问题上。本文提出了多种TLS加密流量处理机制,可以在不同的应用场景中,使能网络中间设备处理TLS流量;同时,本文结合网络功能虚拟化技术,研究如何设计实现能够处理TLS加密流量的虚拟化网络中间设备,以及如何部署和管理虚拟网络中间设备。具体来讲,本文主要工作和贡献包含以下几个方面:(1)提出了TLS加密流量处理的协议兼容机制针对TLS连接分割、服务器私钥内嵌、TLS变种协议等现有TLS加密流量处理方案中存在的安全性缺陷、TLS协议兼容性和通用性差等问题,本文提出了一种TLS加密流量处理的协议兼容机制Pass Box。在Pass Box机制中,网络中间设备通过被动监听连接握手报文,还原TLS会话密钥,不需要在客户端安装定制的根证书,不依赖带外安全信道传输会话密钥给网络中间设备。Pass Box机制可应用于TLS 1.2和1.3协议,具有良好的协议通用性。此外,应用Pass Box机制的终端能够与标准TLS终端进行正常交互,良好的协议兼容性使得Pass Box机制具有大规模部署使用的潜力。在处理性能方面,应用Pass Box机制不给终端引发额外的通信开销,给网络中间设备带来的计算开销亦可忽略不计。(2)提出了TLS加密流量处理的访问控制机制针对如何在保持TLS 1.3协议高效握手框架的前提下,终端用户在会话中以可认证的方式选择引入网络中间设备,并细粒度控制网络中间设备对流量的读写权限的问题,本文提出了一种TLS加密流量处理访问控制机制ME-TLS。本文结合标识密码技术,设计和实现ME-TLS机制。ME-TLS机制中实现了隐式版本协商功能,应用该机制的终端能够发现对方终端是否支持ME-TLS机制,能够与标准TLS终端进行正常交互;此外,具备ME-TLS机制的终端,能够对会话中引入的多个网络中间设备构成的网络功能服务链进行验证,保证流量被按照预期的顺序处理。(3)提出了TLS加密流量处理的隐私保护机制针对如何在保护用户流量以及流量审查隐私的前提下,虚拟网络中间设备对TLS加密流量进行审查的问题,本文提出了TLS加密流量处理的隐私保护机制Cloud DPI。在该机制中,客户端和服务器使用标准TLS协议进行交互,即该机制同样具有良好的协议兼容性,具备实际部署使用的潜力。Cloud DPI机制支持多种流量审查规则,包括带有多个判定条件、带有负载定位描述符和报文域描述符的规则、跨连接流量审查规则等。Cloud DPI机制的底层密码技术计算开销小,从而提高虚拟网络中间设备的流量审查效率。(4)提出了TLS加密流量处理中间设备的部署和管理方法针对本文提出的以上三种TLS加密流量审查机制,本文结合网络功能虚拟化技术,对相关机制工作在虚拟网络中间设备中的设计实现、部署和管理等问题进行研究,提出基于云服务平台的Dynamic NF框架和一种虚拟网络中间设备通用编程模型,设备厂商使用该编程模型实现的虚拟网络中间设备,可部署于Dynamic NF系统中,由Dynamic NF进行自动化的生命周期管理。Dynamic NF系统提供了网络中间设备配置协议,终端用户可使用该协议在访问网络时根据特定的应用场景,为不同会话配置所需的虚拟网络中间设备。
二、一种扩展代理服务器认证能力的方法研究(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、一种扩展代理服务器认证能力的方法研究(论文提纲范文)
(1)基于标识的天空地网络网管协议的设计与实现(论文提纲范文)
致谢 |
摘要 |
ABSTRACT |
1 引言 |
1.1 研究背景 |
1.2 国内外研究现状 |
1.2.1 天空地网络研究现状 |
1.2.2 天空地网络管理协议研究现状 |
1.3 论文选题目的与意义 |
1.4 论文的主要工作与组织架构 |
2 基于标识协议栈的天空地网络介绍 |
2.1 基于标识协议栈的天空地网络通信系统协议体系 |
2.1.1 基于标识的天空地网络介绍 |
2.1.2 基于标识协议栈的天空地网络的协议结构 |
2.2 网络管理重要概念介绍 |
2.2.1 SNMP主要框架 |
2.2.2 SNMP功能介绍 |
2.3 SMUX协议及其工作原理 |
2.4 INMP管理协议及相关软件Net-SNMP |
2.4.1 INMP管理协议 |
2.4.2 Net-SNMP概述 |
2.4.3 Net-SNMP安全模型 |
2.4.4 Net-SNMP源码构成 |
2.5 本章小结 |
3 基于标识的天空地网管协议需求与架构设计 |
3.1 天空地网络网管协议需求分析 |
3.2 天空地网络网管协议模型与交互流程 |
3.2.1 天空地网络网管协议模型 |
3.2.2 天空地网络网管协议交互流程 |
3.3 天空地网络网管协议的设计 |
3.3.1 针对16 位协议栈的网管协议设计 |
3.3.2 针对标识映射扩展代理设计 |
3.3.3 标识天空地信息网络Trap信息设计 |
3.4 本章小结 |
4 基于标识的天空地信息网络管理协议实现 |
4.1 针对16 位协议栈的网管协议实现 |
4.1.1 模块的初始化 |
4.1.2 创建会话机制 |
4.1.3 主要的函数构成 |
4.2 INMP协议扩展代理实现 |
4.2.1 建立映射MIB模块 |
4.2.2 映射MIB的模块函数实现 |
4.2.3 处理请求流程 |
4.3 IDP环境下的Trap消息实现 |
4.4 本章小结 |
5 基于标识的天空地网络网管协议测试 |
5.1 测试环境搭建 |
5.2 INMP协议的IDP模块传输功能测试 |
5.2.1 IDP版本的Net-SNMP软件功能测试 |
5.2.2 INMP协议在服务器端信息测试 |
5.2.3 INMP协议在客户端信息测试 |
5.3 INMP协议收集映射信息测试 |
5.3.1 两台虚拟机联通 |
5.3.2 使用Net-SNMP收集映射信息 |
5.3.3 使用Net-SNMP设置映射信息 |
5.4 INMP协议收集Trap信息测试 |
5.4.1 在IDP环境下Trap信息发送接收测试 |
5.4.2 阈值周期告警发送信息测试 |
5.5 测试结果分析 |
6 总结与展望 |
6.1 总结 |
6.2 展望 |
参考文献 |
作者简历及攻读硕士学位期间取得的研究成果 |
学位论文数据集 |
(2)从外网突破到内网纵深的自动化渗透测试方法设计与实现(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 研究背景及意义 |
1.2 国内外研究现状 |
1.3 课题研究内容 |
1.4 论文整体结构 |
第二章 相关技术 |
2.1 PTES渗透测试执行标准 |
2.1.1 前期交互阶段 |
2.1.2 信息搜集阶段 |
2.1.3 威胁建模阶段 |
2.1.4 漏洞分析阶段 |
2.1.5 渗透攻击阶段 |
2.1.6 后渗透测试阶段 |
2.1.7 漏洞报告阶段 |
2.2 代理技术 |
2.2.1 正向代理 |
2.2.2 反向代理 |
2.3 隐蔽信道 |
2.3.1 ICMP协议隐蔽信道 |
2.3.2 DNS隐蔽信道 |
2.3.3 HTTP协议隐蔽信道 |
2.4 ATT&CK攻击矩阵 |
2.5 本章小结 |
第三章 从外网到内网渗透测试系统设计 |
3.1 整体设计 |
3.2 自动化渗透测试流程设计 |
3.2.1 信息收集模块设计 |
3.2.2 漏洞探测模块设计 |
3.2.3 漏洞利用模块设计 |
3.2.4 权限提升模块设计 |
3.2.5 后渗透测试模块设计 |
3.2.6 痕迹清理模块设计 |
3.3 人机交互模块设计 |
3.4 数据库设计 |
3.5 本章小结 |
第四章 自动化渗透测试系统实现 |
4.1 自动化渗透测试平台整体实现方案 |
4.2 人机交互模块实现 |
4.2.1 访问控制模块实现 |
4.2.2 系统配置模块实现 |
4.2.3 插件管理模块实现 |
4.2.4 任务下发模块实现 |
4.2.5 任务监控模块实现 |
4.2.6 结果展示模块实现 |
4.3 自动化渗透测试模块实现 |
4.3.1 信息收集子模块实现 |
4.3.2 漏洞探测子模块实现 |
4.3.3 漏洞利用子模块实现 |
4.3.4 权限提升子模块实现 |
4.3.5 后渗透测试子模块实现 |
4.3.6 痕迹清理模子模块实现 |
4.4 第三方插件模块实现 |
4.4.1 子域名收集插件 |
4.4.2 端口服务识别插件 |
4.4.3 漏洞插件 |
4.4.4 权限提升插件 |
4.5 本章小结 |
第五章 系统测试与实验分析 |
5.1 靶机实验环境构建 |
5.2 系统功能测试 |
5.3 后台功能模块测试 |
5.4 实验结果分析 |
5.5 本章小结 |
第六章 总结与展望 |
6.1 论文工作总结 |
6.2 问题和展望 |
参考文献 |
致谢 |
(3)面向物联网的消息队列传输协议安全性的研究(论文提纲范文)
摘要 |
ABSTRACT |
第1章 绪论 |
1.1 研究背景与意义 |
1.2 国内外研究现状 |
1.3 本文的主要工作 |
1.4 本文的组织结构 |
第2章 相关研究综述 |
2.1 MQTT协议 |
2.1.1 MQTT的通信架构 |
2.1.2 MQTT报文结构 |
2.2 加解密相关 |
2.2.1 对称加密 |
2.2.2 非对称加密 |
2.3 ECDH密钥协商算法 |
2.4 孙子定理(中国剩余定理) |
2.5 本章小结 |
第3章 轻量级密钥磋商方案 |
3.1 问题分析 |
3.1.1 MQTT运行现状 |
3.1.2 SSL/TLS方案不足 |
3.2 轻量型密钥磋商方案 |
3.2.1 系统模型和设计目标 |
3.2.2 客户端注册 |
3.2.3 密钥协商与认证 |
3.3 方案分析 |
3.3.1 安全性分析 |
3.3.2 性能分析 |
3.3.3 实验分析 |
3.4 本章小结 |
第4章 数据分组加密的数据传输方案 |
4.1 问题分析 |
4.1.1 MQTT数据传输现状分析 |
4.1.2 动态树链数据传输方案不足 |
4.2 数据分组加密的数据传输方案 |
4.2.1 系统模型和设计目标 |
4.2.2 数据分组加密传输 |
4.3 方案分析 |
4.3.1 安全性分析 |
4.3.2 实验性能分析 |
4.4 本章小结 |
第5章 总结与展望 |
5.1 主要工作与创新分析 |
5.2 展望 |
参考文献 |
致谢 |
学位论文评阅及答辩情况表 |
(4)拟态云服务架构及关键技术研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景及意义 |
1.1.1 云计算 |
1.1.2 云服务 |
1.1.3 云平台的安全威胁 |
1.1.4 5G核心网安全威胁 |
1.1.5 课题来源与研究意义 |
1.2 研究现状 |
1.2.1 传统被动式防御 |
1.2.2 移动目标防御技术 |
1.2.3 可信计算技术 |
1.2.4 安全模式设计 |
1.2.5 网络空间拟态防御 |
1.3 问题的提出 |
1.4 主要研究内容 |
1.5 本文组织结构 |
第二章 拟态云服务架构 |
2.1 引言 |
2.2 相关概念 |
2.2.1 DHR构造简介 |
2.2.2 攻击链简介 |
2.2.3 概念定义 |
2.3 拟态云服务架构 |
2.3.1 控制器 |
2.3.2 服务代理 |
2.3.3 执行池 |
2.3.4 虚拟节点 |
2.4 运行机制 |
2.4.1 服务配置与流程 |
2.4.2 执行体调度机制 |
2.4.3 输出裁决机制 |
2.5 安全性测试与分析 |
2.6 小结 |
第三章 基于时空相似度的执行体调度方法 |
3.1 引言 |
3.2 执行体调度指标 |
3.3 执行池调度算法 |
3.4 实验分析 |
3.4.1 算法动态性比较 |
3.4.2 算法相似度比较 |
3.4.3 算法耗时比较 |
3.5 小结 |
第四章 基于模板与置信度的输出裁决方法 |
4.1 引言 |
4.2 服务接口分析 |
4.2.1 RESTful接口特点分析 |
4.2.2 JSON数据格式 |
4.3 问题描述 |
4.4 输出裁决方法 |
4.4.1 裁决模型 |
4.4.2 接口规范 |
4.4.3 裁决流程 |
4.5 输出裁决修正方法 |
4.5.1 置信度指标 |
4.5.2 裁决修正机制 |
4.6 实验分析 |
4.7 小结 |
第五章 基于拟态云服务架构的UDM网元构建方法 |
5.1 引言 |
5.2 UDM网元简介 |
5.3 拟态UDM网元架构 |
5.4 拟态UDM网元构建 |
5.4.1 控制器构建方法 |
5.4.2 服务代理构建方法 |
5.4.3 UDM执行体池构建方法 |
5.5 实验分析 |
5.5.1 网元功能测试 |
5.5.2 数据泄露防护测试 |
5.5.3 数据篡改防护测试 |
5.6 小结 |
第六章 拟态云服务仿真环境设计与实现 |
6.1 引言 |
6.2 相关工作 |
6.3 技术选型与需求分析 |
6.4 仿真器架构 |
6.5 设计与实现 |
6.6 工作流程 |
6.7 实验评估 |
6.7.1 裁决机制测试 |
6.7.2 成本与便捷性讨论 |
6.7.3 性能评估 |
6.8 小结 |
第七章 总结与展望 |
7.1 论文主要研究成果和创新点 |
7.2 下一步的研究展望 |
致谢 |
参考文献 |
作者简历 |
(5)基于Kubernetes的高可用容器云的设计与实现(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景和意义 |
1.2 国内外研究现状 |
1.3 论文工作内容 |
1.4 论文组织结构 |
第二章 相关技术概述 |
2.1 高可用性介绍 |
2.2 Docker容器技术 |
2.2.1 Namespace命名空间 |
2.2.2 CGroup资源隔离 |
2.3 Kubernetes容器编排 |
2.3.1 Kubernetes架构 |
2.3.2 Kubernetes对象和控制器模式 |
2.3.3 Kubernetes工作负载 |
2.4 本章小结 |
第三章 容器云平台需求分析和总体设计 |
3.1 容器云平台需求分析 |
3.2 容器云平台整体架构设计 |
3.2.1 容器云高可用设计 |
3.2.2 多租户管理设计 |
3.2.3 应用与容器镜像管理设计 |
3.3 本章小结 |
第四章 容器云的高可用性设计与实现 |
4.1 存储高可用性 |
4.1.1 存储高可用拓扑设计 |
4.1.2 存储管理模块实现 |
4.2 控制节点高可用性 |
4.2.1 VRRP协议工作原理 |
4.2.2 控制节点高可用设计与实现 |
4.3 工作节点高可用性 |
4.3.1 Kubernetes调度器框架 |
4.3.2 集群资源弹性伸缩模块设计与实现 |
4.3.3 调度器设计与实现 |
4.4 本章小结 |
第五章 多租户管理设计与实现 |
5.1 Kubernetes API访问控制概述 |
5.2 多租户管理设计 |
5.3 多租户管理实现 |
5.3.1 租户管理 |
5.3.2 用户认证 |
5.3.3 用户授权 |
5.4 本章小结 |
第六章 应用与容器镜像管理设计与实现 |
6.1 容器镜像管理模块设计与实现 |
6.1.1 Harbor架构 |
6.1.2 统一用户认证实现 |
6.1.3 镜像控制器设计与实现 |
6.2 应用管理模块设计与实现 |
6.3 本章小结 |
第七章 测试与分析 |
7.1 测试环境 |
7.1.1 机器配置 |
7.1.2 集群部署 |
7.2 容器云平台高可用性测试 |
7.2.1 存储节点高可用测试 |
7.2.2 控制节点高可用测试 |
7.2.3 工作节点高可用测试 |
7.3 多租户管理测试 |
7.4 应用与容器镜像管理测试 |
7.5 本章小结 |
第八章 总结与展望 |
8.1 工作总结 |
8.2 工作展望 |
致谢 |
参考文献 |
(6)基于前后端分离技术的web开发框架设计(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 课题背景 |
1.2 研究的目的和意义 |
1.3 国内外研究现状 |
1.4 研究的主要内容 |
1.5 本文的组织结构 |
第二章 相关技术介绍 |
2.1 Web框架基础技术 |
2.1.1 HTTP |
2.1.2 HTML |
2.2 Web后端技术 |
2.2.1 Restful API |
2.2.2 Spring |
2.2.3 Spring Boot |
2.2.4 Spring Security |
2.2.5 OAuth2.0 |
2.2.6 JSON Web Token |
2.2.7 Java Persistent API |
2.2.8 MySQL |
2.3 Web前端技术 |
2.3.1 Vue |
2.3.2 Element UI |
2.4 Web部署技术 |
2.4.1 Docker |
2.4.2 Docker Swarm Service |
2.4.3 NGINX+OPENRESTY |
2.5 本章小结 |
第三章 系统概要设计 |
3.1 总体架构 |
3.2 功能架构 |
3.2.1 安全控制 |
3.2.2 权限管理 |
3.2.3 公共功能 |
3.2.4 AB版本控制 |
3.3 技术架构设计 |
3.4 数据模型设计 |
3.4.1 权限管理模型 |
3.4.2 公共功能模型 |
3.4.3 安全控制模型 |
3.4.4 AB版本控制模型 |
3.5 主要流程设计 |
3.5.1 口令认证流程 |
3.5.2 单点认证流程 |
3.5.3 前后端交互流程 |
3.5.4 前端模块环境切换流程 |
3.5.5 后端模块环境切换流程 |
3.6 本章小结 |
第四章 系统功能实现 |
4.1 前端实现 |
4.1.1 口令认证 |
4.1.2 单点认证 |
4.1.3 令牌认证 |
4.1.4 用户、角色、权限管理 |
4.1.5 模块及部署环境管理 |
4.2 后端实现 |
4.2.1 口令认证 |
4.2.2 单点认证 |
4.2.3 令牌认证 |
4.2.4 用户、角色、权限管理 |
4.2.5 模块及部署环境管理 |
4.3 基于容器部署实现 |
4.3.1 总体部署架构 |
4.3.2 环境准备 |
4.3.3 镜像构建 |
4.3.4 应用部署 |
4.3.5 集群管理 |
4.3.6 负载均衡 |
4.3.7 前端AB环境切换 |
4.3.8 后端AB环境切换 |
4.4 本章小结 |
第五章 总结与展望 |
5.1 总结 |
5.2 展望 |
参考文献 |
致谢 |
(7)基于倒排索引的多关键词并行密文检索系统设计与实现(论文提纲范文)
摘要 |
abstract |
第一章 绪论 |
1.1 研究背景与意义 |
1.2 研究现状 |
1.2.1 云计算与云安全 |
1.2.2 可搜索加密技术 |
1.3 论文结构 |
第二章 相关背景知识介绍 |
2.1 云计算 |
2.1.1 云计算定义 |
2.1.2 云计算特征 |
2.1.3 云计算服务模式 |
2.1.4 云计算部署模型 |
2.2 云安全 |
2.2.1 云安全威胁 |
2.2.2 云安全架构 |
2.2.3 云安全关键技术 |
2.3 可搜索加密扩展 |
2.3.1 可搜索加密架构 |
2.3.2 可搜索加密应用场景 |
2.3.3 数据共享场景下的相关问题分析 |
2.4 本章小结 |
第三章 Hadoop与 Luence技术介绍 |
3.1 Hadoop |
3.1.1 HDFS |
3.1.2 Map Reduce |
3.2 倒排索引 |
3.2.1 倒排索引定义与结构 |
3.2.2 Luence |
3.3 本章小结 |
第四章 并行密文检索系统需求分析 |
4.1 系统目标设计 |
4.2 系统需求分析 |
4.2.1 系统功能性需求 |
4.2.2 系统非功能性需求 |
4.3 系统动态建模 |
4.3.1 系统基本模型 |
4.3.2 系统数据流向 |
4.4 本章小结 |
第五章 并行密文检索系统详细设计 |
5.1 体系结构 |
5.2 系统初始化 |
5.3 密文倒排索引 |
5.3.1 密文倒排索引 |
5.3.2 密文倒排索引的构建 |
5.3.3 并行密文倒排索引 |
5.4 相关模块设计 |
5.4.1 索引切分模块 |
5.4.2 加密模块 |
5.4.3 密钥管理模块 |
5.4.4 用户管理模块 |
5.4.5 人机交互模块 |
5.5 多关键词并行检索方案 |
5.5.1 并行检索模型 |
5.5.2 多关键词并行检索模型 |
5.6 方案安全性分析 |
5.7 本章小结 |
第六章 并行密文检索系统实现与测试 |
6.1 IKAnalyzer |
6.2 Swing |
6.3 系统实现 |
6.3.1 系统实现环境 |
6.3.2 密文索引构建模块 |
6.3.3 加解密模块 |
6.3.4 密钥管理模块 |
6.3.5 用户管理模块 |
6.3.6 人机交互功能模块 |
6.4 系统测试 |
6.4.1 测试环境 |
6.4.2 密文索引构建性能 |
6.4.3 密文检索时间性能 |
6.5 本章小结 |
第七章 总结与展望 |
参考文献 |
附录1 攻读硕士学位期间撰写的论文 |
附录2 攻读硕士学位期间申请的专利 |
附录3 攻读硕士学位期间参加的科研项目 |
致谢 |
(8)面向零信任的MQTT安全关键技术研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景 |
1.1.1 MQTT的广泛应用 |
1.1.2 MQTT安全性问题 |
1.1.3 零信任 |
1.2 研究意义 |
1.3 研究现状 |
1.3.1 身份认证与授权 |
1.3.2 访问控制 |
1.3.3 加密技术应用 |
1.3.4 现有研究的不足 |
1.4 研究内容 |
1.5 论文安排 |
第二章 相关理论基础 |
2.1 MQTT协议及其可用安全技术 |
2.1.1 MQTT协议 |
2.1.2 MQTT相关安全解决方案 |
2.2 相关密码学理论 |
2.2.1 群相关概念 |
2.2.2 代理重加密体制 |
2.2.3 Schnorr签名算法 |
2.2.4 AES对称加密体制 |
2.3 零信任架构 |
2.3.1 架构组件 |
2.3.2 信任算法及其变种 |
2.4 本章小结 |
第三章 基于代理重加密的MQTT端到端安全解决方案 |
3.1 引言 |
3.2 MQTT端到端安全解决方案 |
3.2.1 使用的符号与密码学 |
3.2.2 方案概述 |
3.2.3 具体流程 |
3.3 性能评估与安全讨论 |
3.3.1 性能评估 |
3.3.2 安全性讨论 |
3.4 本章小结 |
第四章 面向零信任的分级安全MQTT协议框架 |
4.1 引言 |
4.2 零信任安全策略与目标 |
4.3 分级的安全MQTT协议框架 |
4.3.1 方案概述 |
4.3.2 方案假设 |
4.3.3 用户与设备的认证 |
4.3.4 访问控制 |
4.3.5 分级有效载荷加密 |
4.3.6 监视 |
4.3.7 反馈与撤销 |
4.4 性能评估与安全讨论 |
4.4.1 性能评估 |
4.4.2 安全性分析 |
4.5 本章小结 |
第五章 基于信任计算的MQTT动态访问控制模型 |
5.1 引言 |
5.2 MQTT访问控制模型的特征 |
5.3 基于多源信任计算的MQTT动态访问控制模型 |
5.3.1 信任评估行为属性选取与属性信息提取 |
5.3.2 信任值计算 |
5.3.3 动态授权与访问控制 |
5.4 仿真实验分析 |
5.5 本章小结 |
第六章 总结与展望 |
6.1 总结 |
6.2 下一步工作 |
致谢 |
参考文献 |
作者简历 |
(9)基于区块链优化物联网数据汇聚安全机制(论文提纲范文)
摘要 |
ABSTRACT |
第一章 绪论 |
1.1 论文的研究背景 |
1.2 国内外研究现状 |
1.2.1 医疗场景与受限网络的研究 |
1.2.2 区块链及物联网相关研究 |
1.3 论文研究内容 |
1.4 论文的组织结构 |
第二章 物联网数据汇聚的安全与语义研究 |
2.1 CoAP协议及资源目录 |
2.1.1 CoAP协议 |
2.1.2 基于CoAP的资源目录 |
2.2 语义物联网的相关研究 |
2.2.1 本体论 |
2.2.2 语义物联网 |
2.3 需解决的关键问题 |
2.3.1 物联网数据汇聚机制的安全问题 |
2.3.2 CoAP资源目录的语义扩展及缺点 |
2.4 物联网数据汇聚机制的安全语义扩展 |
2.4.1 基于CoAP安全语义增强的资源目录 |
2.4.2 安全语义在资源目录中的作用 |
2.4.3 基于医疗场景的安全语义模型 |
2.5 本章小结 |
第三章 基于区块链的物联网数据汇聚机制研究 |
3.1 区块链及以太坊 |
3.1.1 区块链技术 |
3.1.2 以太坊 |
3.1.3 智能合约 |
3.2 基于区块链的物联网数据汇聚模型 |
3.2.1 服务端和客户端 |
3.2.2 代理和存储模块 |
3.3 系统功能模型 |
3.3.1 服务端注册 |
3.3.2 服务端数据存储和更新 |
3.3.3 客户端注册 |
3.3.4 客户端发送请求 |
3.4 本章小结 |
第四章 基于区块链的物联网数据汇聚机制安全性分析 |
4.1 系统运行原理概述 |
4.1.1 以太坊系统运行原理 |
4.1.2 系统所用算法 |
4.2 系统运行机制 |
4.2.1 系统模型 |
4.2.2 系统初始化阶段 |
4.2.3 创建信任域阶段 |
4.2.4 关联信任域阶段 |
4.2.5 身份认证阶段 |
4.3 系统安全性分析 |
4.4 本章小结 |
第五章 基于区块链的物联网数据汇聚安全机制的实现与评估 |
5.1 基于Californium平台的系统实现 |
5.1.1 所用技术介绍 |
5.1.2 智能合约的编写 |
5.1.3 Java类的实现 |
5.2 系统测试和评估准备 |
5.2.1 Cooper插件 |
5.2.2 Charles工具 |
5.2.3 实验平台介绍 |
5.3 基于区块链的物联网数据汇聚安全机制验证 |
5.3.1 实验的实际应用场景 |
5.3.2 对资源目录的测试 |
5.3.3 系统安全能力的验证 |
5.4 基于区块链的物联网数据汇聚安全机制性能测试 |
5.4.1 系统的延时性 |
5.4.2 系统的吞吐率 |
5.5 本章小结 |
第六章 总结与展望 |
6.1 工作总结 |
6.2 未来展望 |
参考文献 |
致谢 |
攻读学位期间取得的研究成果 |
(10)TLS加密流量处理关键技术研究(论文提纲范文)
摘要 |
Abstract |
第一章 绪论 |
1.1 研究背景 |
1.2 研究问题 |
1.2.1 TLS加密流量处理机制设计 |
1.2.2 虚拟网络中间设备中的安全问题 |
1.2.3 虚拟网络中间设备部署管理技术 |
1.3 本文研究内容与主要贡献 |
1.4 论文组织结构 |
第二章 相关研究 |
2.1 网络中间设备处理TLS加密流量相关技术 |
2.1.1 基于TLS连接分割的相关技术 |
2.1.2 基于服务器私钥内嵌的相关技术 |
2.1.3 基于带外密钥传输的相关技术 |
2.1.4 基于修改定制TLS协议的相关技术 |
2.1.5 基于隐式会话密钥还原的相关技术 |
2.2 网络功能虚拟化中的隐私保护相关技术 |
2.2.1 网络功能虚拟化流量重定向技术 |
2.2.2 防火墙安全外包技术 |
2.2.3 深度报文检测安全外包技术 |
2.2.4 外包虚拟网络中间设备执行结果验证 |
2.3 网络中间设备部署管理相关技术 |
2.3.1 基于SDN的网络中间设备部署管理技术 |
2.3.2 云环境中网络功能服务链的部署管理技术 |
2.3.3 高性能网络中间设备部署平台 |
2.3.4 其他相关技术 |
第三章 TLS加密流量处理的协议兼容机制 |
3.1 问题描述 |
3.1.1 系统模型 |
3.1.2 安全模型 |
3.1.3 设计目标 |
3.2 机制设计 |
3.2.1 TLS1.3 握手协议概览 |
3.2.2 Pass Box机制概览 |
3.2.3 Pass Box机制细节 |
3.3 机制优化 |
3.3.1 支持服务器端网络中间设备 |
3.3.2 实现前向安全性 |
3.3.3 Pass Box机制的局限性 |
3.4 实验评估 |
3.4.1 连接建立时间 |
3.4.2 数据传输速率 |
3.4.3 HTTPS响应时间 |
3.4.4 原型系统内存消耗 |
3.5 本章小结 |
第四章 TLS加密流量处理的访问控制机制 |
4.1 密码协议基础 |
4.1.1 双线性映射 |
4.1.2 BF-IBE |
4.1.3 分布式标识密码 |
4.2 系统模型 |
4.2.1 系统结构 |
4.2.2 安全目标 |
4.2.3 威胁模型 |
4.3 机制设计 |
4.3.1 机制概览 |
4.3.2 握手协议 |
4.3.3 记录协议 |
4.3.4 安全性分析 |
4.4 理论分析 |
4.4.1 前向安全性和实体认证 |
4.4.2 会话恢复 |
4.4.3 握手阶段计算复杂性 |
4.4.4 方案功能对比 |
4.5 实验评估 |
4.5.1 连接建立时间 |
4.5.2 握手阶段通信开销 |
4.5.3 数据传输 |
4.6 本章小结 |
第五章 TLS加密流量处理的隐私保护机制 |
5.1 预备知识 |
5.2 系统模型 |
5.2.1 系统结构 |
5.2.2 安全假设 |
5.2.3 设计目标 |
5.3 机制设计 |
5.3.1 机制概览 |
5.3.2 规则预处理 |
5.3.3 可逆概述实现 |
5.3.4 扩展AC算法实现 |
5.4 机制优化 |
5.4.1 处理带有负载定位和域描述符的规则 |
5.4.2 处理跨连接规则 |
5.5 实验评估 |
5.5.1 虚拟网络中间设备构建时间 |
5.5.2 虚拟网络中间设备传输开销 |
5.5.3 流量审查吞吐率 |
5.6 本章小结 |
第六章 TLS加密流量处理中间设备的部署和管理 |
6.1 系统结构 |
6.2 网络中间设备功能抽象 |
6.2.1 网络中间设备分类 |
6.2.2 网络中间设备编程模型 |
6.3 网络中间设备配置协议 |
6.4 原型系统实现 |
6.4.1 CPU核心管理 |
6.4.2 虚拟网络中间设备实现 |
6.4.3 虚拟网络中间设备管理和会话管理 |
6.4.4 技术讨论 |
6.5 实验评估 |
6.5.1 多语境TLS虚拟网络中间设备实现 |
6.5.2 性能评估 |
6.6 本章小结 |
第七章 总结与展望 |
7.1 本文总结 |
7.2 未来工作展望 |
致谢 |
参考文献 |
作者在学期间取得的学术成果 |
四、一种扩展代理服务器认证能力的方法研究(论文参考文献)
- [1]基于标识的天空地网络网管协议的设计与实现[D]. 李飞阳. 北京交通大学, 2021
- [2]从外网突破到内网纵深的自动化渗透测试方法设计与实现[D]. 徐小强. 北京邮电大学, 2021(01)
- [3]面向物联网的消息队列传输协议安全性的研究[D]. 陈洪波. 山东大学, 2021(12)
- [4]拟态云服务架构及关键技术研究[D]. 普黎明. 战略支援部队信息工程大学, 2021
- [5]基于Kubernetes的高可用容器云的设计与实现[D]. 张春辉. 电子科技大学, 2021(01)
- [6]基于前后端分离技术的web开发框架设计[D]. 吴昌政. 南京邮电大学, 2020(03)
- [7]基于倒排索引的多关键词并行密文检索系统设计与实现[D]. 戴厚乐. 南京邮电大学, 2020(03)
- [8]面向零信任的MQTT安全关键技术研究[D]. 谷正川. 战略支援部队信息工程大学, 2020(03)
- [9]基于区块链优化物联网数据汇聚安全机制[D]. 李加浩. 北京邮电大学, 2020(05)
- [10]TLS加密流量处理关键技术研究[D]. 李杰. 国防科技大学, 2020(01)
标签:kubernetes论文; 渗透测试论文; 商标设计论文; 网络节点论文; 拟态环境论文;