亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        CertShim:利用動(dòng)態(tài)鏈接鞏固SSL證書(shū)驗(yàn)證

        2016-11-22 06:24:13JingTian
        中國(guó)教育網(wǎng)絡(luò) 2016年8期
        關(guān)鍵詞:用戶

        文/Jing Tian

        CertShim:利用動(dòng)態(tài)鏈接鞏固SSL證書(shū)驗(yàn)證

        文/Jing Tian

        最近發(fā)現(xiàn)的一系列SSL軟件棧(OpenSSL/ GnuTLS)的漏洞嚴(yán)重威脅到互聯(lián)網(wǎng)通信的安全。其中最為顯著的漏洞是客戶端無(wú)法正確地驗(yàn)證服務(wù)器端的SSL證書(shū)。這些漏洞或者是庫(kù)函數(shù)實(shí)現(xiàn)本身的問(wèn)題,或者是由軟件工程師的錯(cuò)誤應(yīng)用而造成的[1]。雖然各種安全補(bǔ)丁和方案被提出來(lái)解決這個(gè)問(wèn)題,實(shí)際的安裝和應(yīng)用卻差強(qiáng)人意。用戶或者需要徹底替換現(xiàn)有的庫(kù)函數(shù)實(shí)現(xiàn),或者需要等待第三方的軟件提供商來(lái)增強(qiáng)現(xiàn)有的應(yīng)用版本來(lái)應(yīng)對(duì)潛在的攻擊。

        本文提出一種新的解決方案——CertShim,來(lái)針對(duì)如何正確的驗(yàn)證服務(wù)器端的SSL證書(shū)。CertShim的優(yōu)勢(shì)在于用戶不需要替換現(xiàn)有的庫(kù)函數(shù)實(shí)現(xiàn),或者升級(jí)現(xiàn)有的應(yīng)用, 即可隨時(shí)糾正現(xiàn)有軟件棧漏洞。

        CertShim的基本思想是利用軟件庫(kù)的動(dòng)態(tài)鏈接來(lái)隨時(shí)改變核心函數(shù)的行為,從而實(shí)現(xiàn)根據(jù)最新的安全分析來(lái)隨時(shí)更新本地實(shí)現(xiàn)而不需要改變上層應(yīng)用。如圖1所示,CertShim位于SSL庫(kù)函數(shù)和SSL應(yīng)用中間,相當(dāng)于一個(gè)中間層。所有SSL應(yīng)用對(duì)SSL庫(kù)函數(shù)的實(shí)現(xiàn)都會(huì)先經(jīng)過(guò)CertShim。

        作為一個(gè)中間層,CertShim主要起到以下三個(gè)作用:

        一是糾正應(yīng)用層對(duì)SSL實(shí)現(xiàn)層的錯(cuò)誤調(diào)用,例如通過(guò)改變應(yīng)用函數(shù)調(diào)用的參數(shù)來(lái)確定最基本的安全檢查被開(kāi)啟而不是被關(guān)閉。

        二是提供其他安全認(rèn)證策略和方案。例如,用戶可以根據(jù)不同的應(yīng)用來(lái)設(shè)置不同的安全策略和方案。CertShim既支持Covergence[2],也支持DANE[3]。

        三是支持庫(kù)函數(shù)的動(dòng)態(tài)補(bǔ)丁。例如,用戶可以添加自定義的主機(jī)名驗(yàn)證來(lái)增強(qiáng)原函數(shù)功能。

        目前版本的CertShim主要實(shí)現(xiàn)了以下庫(kù)函數(shù)調(diào)用的hook:

        除了C/C++常用的libssl、libgnutls,CertShim也提供對(duì)JDK6/7的支持。從SSL庫(kù)函數(shù)實(shí)現(xiàn)看,CertShim涵蓋了OpenSSL,GnuTLS和JSSE。從數(shù)據(jù)傳輸庫(kù)函數(shù)實(shí)現(xiàn)看,CertShim也涵蓋了對(duì)其他語(yǔ)言的支持,其中包括cURL、urllib、urllib2、httplib和python ssl等。從應(yīng)用程序看,CertShim支持Ubuntu常用軟件中的的95%。后續(xù)版本除了會(huì)涵蓋其他SSL庫(kù)函數(shù)實(shí)現(xiàn),也會(huì)添加對(duì)JDK8的支持。

        (作者單位為University of Florida)

        圖1

        [1] Georgiev, M., Iyengar, S., Jana, S., Anubhai, R., Boneh, D., and Shmatikov, V. The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software. In Proceedings of the 2012 ACM conference on Computer and communications security (Raleigh, NC, USA, 2012), CCS ’12, ACM, pp. 38-49

        [2] http://convergence.io/

        [3] https://datatracker.ietf.org/wg/dane/documents/

        [4] 詳細(xì)實(shí)現(xiàn)和論證,請(qǐng)參閱發(fā)表論文:https:// github.com/daveti/daveti/raw/master/paper/ccs14/ccs14a.pdf

        猜你喜歡
        用戶
        雅閣國(guó)內(nèi)用戶交付突破300萬(wàn)輛
        您撥打的用戶已戀愛(ài),請(qǐng)稍后再哭
        關(guān)注用戶
        關(guān)注用戶
        兩新黨建新媒體用戶與全網(wǎng)新媒體用戶之間有何差別
        關(guān)注用戶
        關(guān)注用戶
        挖掘用戶需求尖端科技應(yīng)用
        Camera360:拍出5億用戶
        100萬(wàn)用戶
        亚洲精品久久久久久| 日本在线一区二区三区不卡| 97se狠狠狠狠狼鲁亚洲综合色| 在线观看午夜亚洲一区| 国产人成亚洲第一网站在线播放| 精品一区二区三区女同免费| 极品人妻少妇av免费久久| 国产熟妇按摩3p高潮大叫| 久久综合给日咪咪精品欧一区二区三| 亚洲国产精品夜男人天堂| 亚洲日本一区二区三区四区| 国产两女互慰高潮视频在线观看| 国产精品午睡沙发系列| 熟女白浆精品一区二区| 国产影片一区二区三区| 亚洲中文字幕成人无码| 伊人22综合| 日本人妻系列一区二区| 人妻少妇久久精品一区二区 | av网站韩日在线观看免费| 国产乱人伦av在线麻豆a| 色一情一乱一伦一区二区三区日本 | 亚洲熟女精品中文字幕| 亚洲精品无码久久久久av麻豆| 欧美激情国产亚州一区二区| 精品熟女视频一区二区三区国产| 国产毛片av一区二区| 特级毛片爽www免费版| 國产AV天堂| 日本av第一区第二区| 亚洲无av在线中文字幕| 亚洲乱码日产精品bd在线观看| 无码AV无码免费一区二区| 国产视频在线播放亚洲| 精品国产午夜肉伦伦影院| 乱人妻中文字幕| 国产亚洲欧美在线观看的| 国产av大片久久中文字幕| 久久久国产精品va麻豆| 久久久久久av无码免费看大片| 亚洲一区二区女优av|