一种新的轻量级安全代理协议

作     者：吕英豪 陈嘉耕 LV Yinghao;CHEN Jiageng

作者机构：华中师范大学计算机学院信息安全系武汉430079 

出 版 物：《信息安全学报》 (Journal of Cyber Security)

年 卷 期：2021年第6卷第3期

页      面：106-124页

核心收录：

学科分类：0808[工学-电气工程] 08[工学] 0402[教育学-心理学(可授教育学、理学学位）] 0303[法学-社会学] 0810[工学-信息与通信工程] 1205[管理学-图书情报与档案管理] 0832[工学-食品科学与工程（可授工学、农学学位）] 0302[法学-政治学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 0837[工学-安全科学与工程] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金(No.61702212)资助。 

主　　题：代理 流量整形 流量混淆 TLS Socks5 DPI 

摘      要：随着网络技术的发展和广泛应用,在互联网环境下建立安全信道愈发显得重要。我们设计了一种采用TLSv1.3的握手协议框架的轻量级安全代理协议,在安全性的基础上提供了更好的隐蔽性和性能。代理程序的用户接口基于Socks5协议,保障了通用性。握手过程模拟TLS,将实际参数填充在TLSv1.3握手包内的随机区域和加密区域中来完成基于ECDHE密钥交换和挑战响应机制的握手。后续的代理转发过程中通过额外判断避免了加密数据的重复处理,大大提高了通信效率。针对主动检测,设计了基于TCP转发的主动对抗措施。健壮性方面,可作为服务器的反向代理,亦可作为基于TCP转发的反向代理服务器的后端,可灵活构建冗余信道。依据实现原理,命名为FTLSocks,意为Fake TLS Socks。使用了协程池、空间重用、最少拷贝和无锁的设计,实测高并发下资源消耗、吞吐量、响应时间等均优于现有流行工具。