CN108282337B - 一种基于可信密码卡的路由协议加固方法 - Google Patents
一种基于可信密码卡的路由协议加固方法 Download PDFInfo
- Publication number
- CN108282337B CN108282337B CN201711256023.9A CN201711256023A CN108282337B CN 108282337 B CN108282337 B CN 108282337B CN 201711256023 A CN201711256023 A CN 201711256023A CN 108282337 B CN108282337 B CN 108282337B
- Authority
- CN
- China
- Prior art keywords
- routing
- routing protocol
- timestamp
- trusted
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于可信密码卡的路由协议加固方法,包括对路由协议进行可信加固处理和对路由协议进行安全解析。与现有技术相比,本发明的积极效果是:本发明在以下几个方面显著提升了网络的安全性:1)抗重放攻击;2)防假冒攻击;3)信息不被窃取;4)路由算法可信度支持。本发明与其他路由协议安全措施相比,具备的主要技术优势:(1)路由设备内生安全性;(2)降低网络维护成本;(3)自适应多种路由协议;(4)动态调整路由节点可信度。本发明大幅提升了路由设备上路由协议的安全性,保证整个网络的高安全性和高可靠性要求,适用于军队保密通信高安全需求场景,同时在防范网络信息窃取攻击等高安全目标领域也有重要应用前景。
Description
技术领域
本发明涉及一种基于可信密码卡的路由协议加固方法。
背景技术
随着互联网的急剧膨胀,加之复杂网络环境的异构性、动态性、欺骗性等特点,网络的信息安全问题日益突出。路由设备作为重要的网络组成节点,提供了异构网的互联机制,路由协议通过在路由设备之间共享路由信息,根据拓扑信息选择其到其他路由设备之间的最佳路径,其重要性在整个通信网络中不言而喻。然而路由协议设计之初将各个节点都认为是可信的,路由协议本身存在许多安全缺陷,而且当前的安全措施注重业务数据加密,网络节点间无认证、路由协议未保护,易被攻击或监控。攻击者很容易利用各种路由协议的漏洞发起网络攻击,比如针对OSPF路由协议攻击(Hello报文重放攻击、Max Age攻击、最大序列号攻击、伪造LSA攻击等)、IS-IS路由协议攻击、BGP路由协议攻击(伪造合法节点),达到降低网络性能和破坏网络的目的。路由协议的安全是保证网络安全的重要因素之一,因此对于路由协议的安全改造成为了当前研究的热点之一。
近年来,国内外许多研究机构着重在路由协议的分析和改造上提升整个网络通信安全的能力,许多成果已应用于各类涉密网络系统。通过对目前的公开文献和技术资料进行梳理可以发现国内外对路由协议安全防护主要集中在两方面策略,一是针对具体路由协议增加安全措施,研究思路和研究方法上依然是针对路由协议本身所发现的安全漏洞进行修补和完善,需要修改具体协议内容,方法相对复杂,同时存在引入新安全问题的隐患;二是在网络中增加信任管理系统(TMS),通过路由设备与TMS交互,验证路由协议数据来源的可靠性和路由协议数据的完整性,该策略依赖路由设备与TMS交互,TMS成为整个网络扩展的瓶颈,同时增加了网络的维护成本。
发明内容
在高安全性要求的保密通信网络中,典型的军事领域急需安全、可靠、高效的路由通信设备构建一个稳定、安全的保密通信网络。本发明的目的在于提供一种基于可信密码卡的路由协议加固方法,针对路由协议攻击解决以下问题:
(1)解决路由设备节点实体身份认证问题,确保只有经过身份认证的节点才能接入网络,阻挡非法节点的数据侵入抢占网络带宽,防止其发起洪泛攻击影响网络性能。
(2)保证路由协议数据的机密性,不允许非法分子捕获数据并分析出其中的协议内容,阻止其根据路由信息窥探网络分布发起有针对性的攻击。
(3)增加路由协议完整性校验,防止非法分子发送伪造或篡改的路由协议数据包破坏网络中节点路由表项等关键信息,同时阻挡重放攻击破坏路由节点正常功能。
(4)自动调整邻居节点的可信度,在传统的路由协议算法中引入可信度这个约束条件,衡量路径的可信度,从而计算出最佳可信路径。
本发明解决其技术问题所采用的技术方案是:一种基于可信密码卡的路由协议加固方法,包括如下内容:
一、可信密码卡集成在路由设备内部:
在路由设备硬件上,可信密码卡与路由设备主板组成可信硬件平台。可信密码卡工作所需的密码资源在初始化时被注入。
二、路由设备间的实体身份认证:
在进行路由协议加固前,路由协议交互的网络节点需先通过实体身份认证流程,以确保双方的节点合法性,同时在该过程中获得对端路由设备的证书,即对端公钥。在认证通过之前,只允许身份认证协议数据通过路由设备端口,认证通过以后,路由协议数据才可以顺利通过路由设备以太网端口。
三、对路由协议进行可信加固处理:
(1)在路由协议数据末补充时间戳值;
(2)采用可信密码模块提供的签名算法,对路由协议数据及时间戳进行HASH后计算获取数字签名,并将结果附加在时间戳后;
(3)对路由协议数据和时间戳采用可信密码模块提供的对称加密算法加密;
(4)将加密后的路由协议数据、时间戳及数字签名的总长度值附加在信息头处;
四、对路由协议进行安全解析:
(1)根据总长度取数据,定位获取加密的路由协议数据、时间戳和数字签名;
(2)利用可信密码模块提供的对称解密算法对路由协议数据和时间戳解密;
(3)判断时间戳的合法性,如果不合法,则丢弃协议数据并修改数据源节点的可信度值,如果合法,则进行下一步;
(4)进行完整性验证,对解密后的协议数据和时间戳计算消息摘要,采用可信密码模块和节点身份认证过程中获得的对方证书解密数字签名,与计算的消息摘要比对,不同则丢弃协议数据并修改数据源节点的可信度值,相同则进行下一步;
(5)去时间戳,成功获取明文协议数据。
与现有技术相比,本发明的积极效果是:
本发明在以下几个方面显著提升了网络的安全性:
1)抗重放攻击
在路由协议加固过程中,每条路由消息都会携带时间戳,同样将该时间戳用在消息报文中作为数字签名字段的一部分,每次过程中的消息报文都是不同的,因此能够很好地抵抗路由协议重放攻击。
2)防假冒攻击
路由协议加固消息都采用了证书系统的数字签名,任何第三方都不可能伪造合法用户的消息,因此整个过程中能够很好地抵抗假冒攻击。
3)信息不被窃取
整个路由信息交互过程中,路由协议数据都是通过可信密码卡提供的加密功能加密传输,无明文在链路上传输,同时数据加密密钥保存于密钥卡,不在链路上传输,规避密钥被窃取风险,有效地防止路由信息被窃取和篡改。
4)路由算法可信度支持
在标准动态路由协议IS-IS、OSPF、BGP的基础上改造,通过引入信任和基于数字签名的安全认证机制实现可信链路状态协议,在路由协议解析过程中利用解析结果动态调整路由节点的可信度值,在计算路由时考虑可信度的约束条件,综合考虑可信度、代价、带宽等因素,决策出最佳路由。
本发明与其他路由协议安全措施相比,具备的主要技术优势:
(1)路由设备内生安全性:将可信密码卡集成到路由设备主板上,硬件和软件一体化设计,通过一体化设计去解决因通信与安防难以协同造成效率低、管控难等问题,既能确保接入网络的路由设备可靠性,也能满足路由设备之间发送的路由协议消息可信的需求。
(2)降低网络维护成本:本方法中通过路由设备内部集成可信密码卡,且可信密码卡工作所需的系统卡文件、密钥卡文件和用户卡文件等密码资源在初始化时已被注入,不需要在设备运行或者网络数据交换过程中与集中控制的信任管理系统(TMS)交互,避免了集中控制服务器带来了网络性能瓶颈问题,提高整个安全加固过程效率,同时也避免了可能因其故障带来的整个网络瘫痪的问题,降低了网络维护成本,利于网络的扩展。
(3)自适应多种路由协议:本方法不需要修改路由协议自身格式,可适用于多种路由协议,利于协议扩展,使得路由协议加固过程变得简单,同时规避了由于修改路由协议具体内容而引入新的安全问题隐患。
(4)动态调整路由节点可信度:在路由协议交互期间,根据对加固的协议消息安全解析过程中消息的合法性自动调整节点的可信度,利用该可信度动态调整路由,路由路径中最大可能的绕过存在安全隐患的路由节点,降低其对网络的影响。
本发明大幅提升了路由设备上路由协议的安全性,保证整个网络的高安全性和高可靠性要求,适用于军队保密通信高安全需求场景,同时在防范网络信息窃取攻击等高安全目标领域也有重要应用前景。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为基于可信密码卡的路由协议加固设备网络示意图;
图2为集成可信密码卡的路由设备平台架构示意图;
图3为路由协议加固示意图;
图4为路由协议加固信息格式;
图5为路由协议加固及安全解析流程示意图。
具体实施方式
本发明提出通信网络中路由设备集成可信密码卡,采用可信密码卡作为内置可信根,结合可信密码模块提供的可信度量、安全存储、完整性验证、数据加解密等服务,实现路由设备之间端到端的实体身份认证和协议消息安全传送与控制,实现路由协议数据源验证、抗重放、协议数据完整性校验和机密性保障等功能,网络节点动态维护对邻居的可信度,依靠可信识别率动态调整路由,保证整个通信网络的高安全性和高可靠性。该网络示意图如图1所示。
可信密码卡的功能实现由硬件和主机软件模块两个部分组成。在路由设备硬件上,可信密码卡与路由设备主板组成可信硬件平台,可用诸如Mini PCI-E接口与CPU进行数据交换。可信密码软件模块由可信密码驱动程序和封装的标准库与操作系统协议栈通信,为整个路由设备提供可信度量、安全存储、完整性验证、数据加解密等服务。可信密码软件模块由TDD(可信密码模块设备驱动)、TDDL(可信密码模块设备驱动库)和辅助管理工具组成。TDD是可信密码卡的驱动程序,TDDL将可信密码卡硬件驱动封装为标准的接口库以实现与操作系统协议栈的通信;辅助管理工具可将工作程序、算法、密钥及预期值导入到可信密码卡,并为用户提供基本的模块管理功能。可信密码卡工作所需的系统卡文件、密钥卡文件和用户卡文件等密码资源在初始化时被注入。集成可信密码卡的路由设备实现架构如图2所示。
基于上面介绍的硬件和软件平台,下面重点介绍基于可信密码卡路由协议加固的流程。
(1)路由设备间的实体身份认证
路由协议加固过程中需要用到对端路由设备的证书在该过程中获得,所以基于可信密码模块实现路由设备间的实体身份认证是路由协议安全加固的前提条件。
首先在路由设备上采用基于端口的网络访问控制体系,在路由设备对指定端口开展业务之前,对连接到路由设备端口上的对端设备进行节点身份认证。在认证通过之前,只允许认证协议数据通过路由设备端口,认证通过以后,路由协议数据和正常的业务数据才可以顺利通过路由设备以太网端口。该身份认证协议是基于物理端口的认证策略,该协议认证的最终目的是确定一个端口是否可用。对于一个端口,如果认证不成功就使这个端口保持“关闭”,此时只允许身份认证协议报文通过。如果认证成功使端口保持“开启”状态,允许数据业务包通过。
连接的路由设备互相通过节点身份认证,确保对端节点的合法性,同时获取到对端的证书,即对端公钥,该公钥将在后续利用公钥证书认证体系对路由协议加固流程中使用。
(2)加固的路由协议消息格式
路由设备间通过实体身份认证后,打开链路业务数据包通道,路由协议消息可进行交互。路由协议的可信加固以路由协议消息为对象,承载于TCP/IP协议栈之上,其协议可信加固和解析过程如图3所示。
路由协议可信加固处理都采用统一格式,协议加固后的信息格式如图4所示:
长度:加固完成后从协议数据到数字签名的总长度,长度为2个字节。
路由协议数据:等待加固处理的协议信息,长度可变,在发送时采用可信密码模块提供的对称加密算法进行加密处理,在接收时采用可信密码模块进行解密处理。
时间戳:长度为4个字节时间戳。在发送方向上,发送一个加固协议消息,获取时间戳,此后每发送该加固协议消息,值加1。在接收方向,采用滑动窗口检测机制防重放,该序号值应该在上一成功解析的可信加固协议包序号值基础上增加,且增加值不大于64,否则作为重放包丢弃。默认成功解析的第一个加固协议包时间戳合法,作为有效序号值记录。
数字签名:可信密码模块提供的签名算法对数据(协议数据|时间戳字段)进行HASH后的签名。
(3)加固的路由协议交互流程
对于路由协议加固(出方向)处理流程:
步骤1:路由协议数据末补充4字节长时间戳值;
步骤2:采用可信密码模块提供的签名算法,对协议数据及时间戳部分进行HASH后计算获取数字签名,结果附加在时间戳后。
步骤3:对路由协议数据及时间戳采用可信密码模块提供的对称加密算法加密。
步骤4:将从加密后的路由协议数据到数字签名的整个信息长度值附加在信息头处。
路由协议安全解析(入方向)处理流程:
步骤1:根据总长度取数据,定位获取加密的协议数据和时间戳部分、数字签名部分。
步骤2:利用可信密码模块的对称解密算法对协议数据和时间戳部分解密。
步骤3:判断时间戳的有效性,采用滑动窗口机制判断时间戳的合法性,丢弃重放协议数据,如果无效则修改数据源节点的可信度值,有效则进行下一步。
步骤4:进行完整性验证,对解密后的协议数据和时间戳计算消息摘要,采用可信密码模块和节点身份认证过程中获得的对方证书(即对端公钥)解密数字签名,与计算的消息摘要判断,不同则验签失败,丢弃协议数据,并且修改数据源节点的可信度值,相同则签名合法并进行下一步。
步骤5:去时间戳部分,成功获取明文协议数据。
路由协议加固和安全解析具体处理过程如图5所示。
(4)路由算法可信度计算
在路由协议安全解析过程中,当某一节点有完整性破坏时对其进行了记录,当其非法行为超过一定的限度,则对其信任值进行修改,在动态路由路径计算时降低其可信度,实现动态维护对邻居的可信度,依靠可信识别率进行动态调整。
以标准OSPF为例,通过引入信任和基于数字签名的安全认证机制实现可信链路状态协议,在计算路由时考虑可信度的约束条件,计算路径的可信路径代价。
设vs,vd∈V,且vs≠vd,分别表示源和目的节点,若构成可信路径的各节点能够满足信息传输的保密性、可用性和完整性要求,并能够提供可预期的安全可信服务,则称P(vs,vd)={vs,...,vd}为网络G中节点vs与vd间的可信路径。
可信路径的代价用C来表示,其表达式为
其中,O∈(0,1),为常量,Ti为可信路径中节点i可信度,C(vs,vd,O)表示节点vs和vd间满足节点可信度为O约束条件下的可信路径的代价,C∈(0,MAX),MAX为系统设定的上限值。在路由协议安全解析过程中,某一节点i完整性破坏时降低其可信度Ti。
OSPF计算路由时,以节点综合可信度为基础,选择C最小的路径。当vs与vd之间仅1条满足要求的可信路径时,该路径为最优路径;当vs与vd间有多条满足要求的可信路径时,除C外,还需要结合可信路径的长度、可信度均值和可信度抖动进行综合考虑,增强了路由协议交互的安全性,能提高系统的安全性。
Claims (5)
1.一种基于可信密码卡的路由协议加固方法,其特征在于:包括如下内容:
一、所述可信密码卡集成在路由设备内部,可信密码卡工作所需的密码资源在初始化时被注入;
二、对路由协议进行可信加固处理:
(1)在路由协议数据末补充时间戳值;
(2)采用可信密码模块提供的签名算法,对路由协议数据及时间戳进行HASH后计算获取数字签名,并将结果附加在时间戳后;
(3)对路由协议数据和时间戳采用可信密码模块提供的对称加密算法加密;
(4)将加密后的路由协议数据、时间戳及数字签名的总长度值附加在信息头处;
三、对路由协议进行安全解析:
(1)根据总长度取数据,定位获取加密的路由协议数据、时间戳和数字签名;
(2)利用可信密码模块提供的对称解密算法对路由协议数据和时间戳解密;
(3)判断时间戳的合法性,如果不合法,则丢弃协议数据,如果合法,则进行下一步;
(4)进行完整性验证,对解密后的协议数据和时间戳计算消息摘要,采用可信密码模块和节点身份认证过程中获得的对方证书解密数字签名,与计算的消息摘要比对,不同则丢弃协议数据,相同则进行下一步;
(5)去时间戳,成功获取明文协议数据。
2.根据权利要求1所述的一种基于可信密码卡的路由协议加固方法,其特征在于:进行路由协议加固前,路由协议交互的网络节点需要先通过实体身份认证流程以确保双方节点的合法性,同时获取对端路由设备的证书。
3.根据权利要求1所述的一种基于可信密码卡的路由协议加固方法,其特征在于:采用滑动窗口机制判断时间戳的合法性。
4.根据权利要求1所述的一种基于可信密码卡的路由协议加固方法,其特征在于:在判断时间戳的合法性时,若不合法,则在丢弃协议数据的同时修改数据源节点的可信度值。
5.根据权利要求1所述的一种基于可信密码卡的路由协议加固方法,其特征在于:在进行消息摘要比对时,若不同则在丢弃协议数的同时修改数据源节点的可信度值。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711256023.9A CN108282337B (zh) | 2017-12-04 | 2017-12-04 | 一种基于可信密码卡的路由协议加固方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711256023.9A CN108282337B (zh) | 2017-12-04 | 2017-12-04 | 一种基于可信密码卡的路由协议加固方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108282337A CN108282337A (zh) | 2018-07-13 |
CN108282337B true CN108282337B (zh) | 2021-04-13 |
Family
ID=62801274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711256023.9A Active CN108282337B (zh) | 2017-12-04 | 2017-12-04 | 一种基于可信密码卡的路由协议加固方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108282337B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112130798B (zh) * | 2020-09-23 | 2024-04-02 | 华东计算技术研究所(中国电子科技集团公司第三十二研究所) | 武器装备控制内生安全计算机设计系统及方法 |
CN113505349A (zh) * | 2021-07-24 | 2021-10-15 | 山东三未信安信息科技有限公司 | 一种嵌入式uboot下Mini PCI-E密码卡运行方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808100A (zh) * | 2010-01-26 | 2010-08-18 | 北京深思洛克软件技术股份有限公司 | 一种解决信息安全设备远程升级重放性的方法和系统 |
CN101888328A (zh) * | 2010-03-02 | 2010-11-17 | 北京邮电大学 | 基于信任管理系统的ip路由协议的可信改造方法 |
CN105791244A (zh) * | 2014-12-26 | 2016-07-20 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040025018A1 (en) * | 2002-01-23 | 2004-02-05 | Haas Zygmunt J. | Secure end-to-end communication in mobile ad hoc networks |
-
2017
- 2017-12-04 CN CN201711256023.9A patent/CN108282337B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101808100A (zh) * | 2010-01-26 | 2010-08-18 | 北京深思洛克软件技术股份有限公司 | 一种解决信息安全设备远程升级重放性的方法和系统 |
CN101888328A (zh) * | 2010-03-02 | 2010-11-17 | 北京邮电大学 | 基于信任管理系统的ip路由协议的可信改造方法 |
CN105791244A (zh) * | 2014-12-26 | 2016-07-20 | 中国电信股份有限公司 | 用于控制域间路由变更的方法、边界路由器和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108282337A (zh) | 2018-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10652015B2 (en) | Confidential communication management | |
Bhargavan et al. | On the practical (in-) security of 64-bit block ciphers: Collision attacks on HTTP over TLS and OpenVPN | |
US9553892B2 (en) | Selective modification of encrypted application layer data in a transparent security gateway | |
AlFardan et al. | On the security of RC4 in TLS and WPA | |
US8302170B2 (en) | Method for enhancing network application security | |
US7039713B1 (en) | System and method of user authentication for network communication through a policy agent | |
US20080025515A1 (en) | Systems and Methods for Digitally-Signed Updates | |
CN111245862A (zh) | 一种物联网终端数据安全接收、发送的系统 | |
US20060190723A1 (en) | Payload layer security for file transfer | |
CN112615866B (zh) | Tcp连接的预认证方法、装置和系统 | |
US7290281B1 (en) | Method and apparatus for cryptographically blocking network denial of service attacks based on payload size | |
Cho et al. | Securing ethernet-based optical fronthaul for 5g network | |
Alwazzeh et al. | Man in the middle attacks against SSL/TLS: Mitigation and defeat | |
Hu et al. | Gatekeeper: A gateway-based broadcast authentication protocol for the in-vehicle Ethernet | |
CN108282337B (zh) | 一种基于可信密码卡的路由协议加固方法 | |
Keerthi | Taxonomy of SSL/TLS attacks | |
Lau et al. | Blockchain‐based authentication and secure communication in IoT networks | |
EP1845468B1 (en) | Method, computer network system and gate for identifying and controlling unsolicited traffic | |
US20240154949A1 (en) | Devices and Methods for Performing Cryptographic Handshaking | |
Shojaie et al. | Enhancing EAP-TLS authentication protocol for IEEE 802.11 i | |
Zuo et al. | A novel software-defined network packet security tunnel forwarding mechanism | |
CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
Bäumer et al. | Terrapin Attack: Breaking {SSH} Channel Integrity By Sequence Number Manipulation | |
Bozkurt et al. | Exploring the Vulnerabilities and Countermeasures of SSL/TLS Protocols in Secure Data Transmission Over Computer Networks | |
Cho et al. | Practical authentication and access control for software-defined networking over optical networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |