基于远程证明的可信Modbus/TCP协议研究 被引量：13

1

作者 詹静 杨静 《工程科学与技术》 EI CAS CSCD 北大核心 2017年第1期197-205,共9页

由于工业控制系统(industrial control system,ICS)系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协... 由于工业控制系统(industrial control system,ICS)系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协议,提高使用专用通信协议的ICS网络安全性。修改了ICS网络中现场设备和控制设备中原有Modbus/TCP通信栈以达到双向认证的目的。利用远程证明方法基于白名单对Modbus/TCP客户机、服务器双方身份和安全状态信息进行认证。这些信息的更新由在线的证明服务器维护并推送给现场设备以减轻通信负担。协议数据通过2种方式受到保护:一是,通信过程中的消息认证密钥由可信硬件保护,只有拥有可信硬件绑定密钥的合法设备才能解密,保证通信数据无法在不被发现的情况下被篡改;二是,加密协议的敏感操作信息的密钥也受到可信硬件的保护。目前,还没有其他公开文献将可信组件引入Modbus/TCP通信环境中以保证其安全性。提出的可信Modbus/TCP协议具备完整性、可认证性、新鲜性和机密性4个安全属性。协议由HLPSL语言描述,使用SPAN工具验证,未发现可被攻击者利用的入侵路径。协议性能消耗最大的是认证子协议密码相关功能,但该消耗仅存在于首次通信前和周期性验证失败后。若采用针对ICS环境优化后的专用可信硬件,替代本文使用的通用可信硬件,相关开销将大幅降低。因协议字段的增加造成通信开销较小,仅为μs级。提出的可信Modbus/TCP协议能够满足ICS正常业务性能要求,既能防范非法通信实体,又能防范原本合法但因系统被篡改后不再可信的通信实体对协议通信发起的攻击。 展开更多

关键词 通信安全 安全协议 工业控制系统 MODBUS/TCP 远程证明

下载PDF 职称材料

Algebra model and security analysis for cryptographic protocols 被引量：8

2

作者 HUAIJinpeng LIXianxian 《Science in China(Series F)》 2004年第2期199-220,共22页

More and more cryptographic protocols have been used to achieve various security requirements of distributed systems in the open network environment. However cryptographic protocols are very difficult to design and an... More and more cryptographic protocols have been used to achieve various security requirements of distributed systems in the open network environment. However cryptographic protocols are very difficult to design and analyze due to the complexity of the cryptographic protocol execution, and a large number of problems are unsolved that range from the theory framework to the concrete analysis technique. In this paper, we build a new algebra called cryptographic protocol algebra (CPA) for describing the message operations with many cryptographic primitives, and proposed a new algebra model for cryptographic protocols based on the CPA. In the model, expanding processes of the participants knowledge on the protocol runs are characterized with some algebraic notions such as subalgebra, free generator and polynomial algebra, and attack processes are modeled with a new notion similar to that of the exact sequence used in homological algebra. Then we develope a mathematical approach to the cryptographic protocol security analysis. By using algebraic techniques, we have shown that for those cryptographic protocols with some symmetric properties, the execution space generated by an arbitrary number of participants may boil down to a smaller space generated by several honest participants and attackers. Furthermore we discuss the composability problem of cryptographic protocols and give a sufficient condition under which the protocol composed of two correct cryptographic protocols is still correct, and we finally offer a counterexample to show that the statement may not be true when the condition is not met. 展开更多

关键词 cryptographic protocol formal analysis information security algebra system.

原文传递

基于协议解析的工控网络安全仿真平台设计 被引量：7

3

作者 方捷睿 曹卫民 +2 位作者 白建涛 熊智华 杨帆 《自动化仪表》 CAS 2021年第2期102-106,共5页

工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该... 工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该方案在工业防火墙的基础上,通过对工控网络通信协议的报文深入解析,直接在报文层面解析过滤,从而拦截与功能实现无关的报文,并发现隐藏较深的威胁。以OPC协议为例,搭建了基于应用层协议深度解析的工控网络安全仿真测试平台,并利用石化企业现场设备的通信数据对该平台进行了验证。所提出的安防策略为工控网络安全设备的设计和制造提供了一种基于应用层协议解析的方案,具备较高级别的安全性能。 展开更多

关键词 工控网络 信息安全 OPC协议 协议解析 网络报文 仿真平台 安全生产 工业控制系统

下载PDF 职称材料

一种可信虚拟机迁移模型构建方法 被引量：6

4

作者 石源 张焕国 吴福生 《计算机研究与发展》 EI CSCD 北大核心 2017年第10期2284-2295,共12页

虚拟机的安全迁移是保障云环境安全可信的重要需求之一.对于包含虚拟可信平台模块(virtual TPM,vTPM)的可信虚拟机,还需要考虑vTPM的安全迁移问题.目前,已有一些针对可信虚拟机的安全迁移的研究,但是由于研究可信虚拟机的模型不统一,导... 虚拟机的安全迁移是保障云环境安全可信的重要需求之一.对于包含虚拟可信平台模块(virtual TPM,vTPM)的可信虚拟机,还需要考虑vTPM的安全迁移问题.目前,已有一些针对可信虚拟机的安全迁移的研究,但是由于研究可信虚拟机的模型不统一,导致迁移模型解决问题的方案不能适用所有的迁移方案,存在一定的局限性.针对可信虚拟机的迁移缺乏统一的安全模型及测试方法的问题,参考虚拟机迁移中普遍存在的安全问题以及可信计算和云的相关规范,从整体系统层面对可信虚拟机的迁移进行安全需求分析;提出一种可信虚拟机迁移框架,将可信迁移的参与组件进行了抽象并描述了迁移协议中的关键步骤和状态;以标号迁移系统LTS为操作语义描述工具对可信迁移系统进行进一步的描述,以系统中迁移进程组件的建模为基础构建出动态的迁移系统状态迁移树;分析了LTS模型可以用于可信迁移协议的一致性测试,并通过与其他相关工作的比较说明了模型在考虑安全属性方面的完备性. 展开更多

关键词 可信虚拟机 虚拟机迁移 安全协议 标号迁移系统 安全模型

下载PDF 职称材料

基于IPSec网络协议的VPN测试系统 被引量：5

5

作者 陆敏锋 平玲娣 李卓 《计算机工程》 CAS CSCD 北大核心 2010年第3期156-158,161,共4页

针对基于IPSec协议的VPN产品的测试问题,设计并实现一个面向基于IPSec协议的运行在Linux上的VPN测试系统。介绍IPSec协议和体系结构,对IPSec协议工作原理进行分析,给出面向IPSec协议VPN测试系统的设计与实现。实验结果表明,该测试方法... 针对基于IPSec协议的VPN产品的测试问题,设计并实现一个面向基于IPSec协议的运行在Linux上的VPN测试系统。介绍IPSec协议和体系结构,对IPSec协议工作原理进行分析,给出面向IPSec协议VPN测试系统的设计与实现。实验结果表明,该测试方法有效、可行。 展开更多

关键词 信息安全 IPSEC协议 VPN测试系统

下载PDF 职称材料

网络安全技术与应用 被引量：3

6

作者 黄艳 石永革 《计算机与现代化》 2002年第9期46-49,共4页

介绍了网络安全的概念 ,全面论述了当前各种网络安全技术与安全协议的基本原理、主要特点。

关键词 网络安全 计算机网络 安全协议 安全系统 认证 防火墙

下载PDF 职称材料

远程电力监控系统中的用户认证与鉴别 被引量：3

7

作者 赵跃华 蒋军 蔡贵贤 《计算机工程与设计》 CSCD 北大核心 2006年第9期1673-1674,1677,共3页

针对电力监控系统中的安全问题,介绍了基于Kerberos的用户认证和数据加密传输的设计与实现。系统以模块化方式加载了裁减后的Kerberos,有效地防止了非授权用户窃取电网数据或利用电网控制功能破坏电网正常运作,并保证了安全性和实时性... 针对电力监控系统中的安全问题,介绍了基于Kerberos的用户认证和数据加密传输的设计与实现。系统以模块化方式加载了裁减后的Kerberos,有效地防止了非授权用户窃取电网数据或利用电网控制功能破坏电网正常运作,并保证了安全性和实时性的平衡。 展开更多

关键词 远程电力监控系统 安全认证 KERBEROS协议 嵌入式系统

下载PDF 职称材料

SecSPS: A Secure and Privacy-Preserving Framework for Smart Parking Systems 被引量：2

8

作者 Ali Alqazzaz Ibrahim Alrashdi +2 位作者 Esam Aloufi Mohamed Zohdy Hua Ming 《Journal of Information Security》 2018年第4期299-314,共16页

Smart parking systems are a crucial component of the “smart city” concept, especially in the age of the Internet of Things (IoT). They aim to take the stress out of finding a vacant parking spot in city centers, due... Smart parking systems are a crucial component of the “smart city” concept, especially in the age of the Internet of Things (IoT). They aim to take the stress out of finding a vacant parking spot in city centers, due to the increasing number of cars, especially during peak hours. To realize the concept of smart parking, IoT-enabling technologies must be utilized, as the traditional way of developing smart parking solutions entails a lack of scalability, compatibility with IoT-constrained devices, security, and privacy awareness. In this paper, we propose a secure and privacy-preserving framework for smart parking systems. The framework relies on the publish/subscribe communication model for exchanging a huge volume of data with a large number of clients. On one hand, it provides functional services, including parking vacancy detection, real-time information for drivers about parking availability, driver guidance, and parking reservation. On the other hand, it provides security approaches on both the network and application layers. In addition, it supports mutual authentication mechanisms between entities to ensure device/ data authenticity, and provide security protection for users. That makes our proposed framework resilient to various types of security attacks, such as replay, phishing, and man-in-the-middle attacks. Finally, we analyze the performance of our framework, which is suitable for IoT devices, in terms of computation and network overhead. 展开更多

关键词 IoT PUBLISH/SUBSCRIBE MESSAGING protocol security PARKING system

下载PDF 职称材料

安全策略系统的研究及其在IPsec中的应用 被引量：1

9

作者 汤隽 赵荣彩 宋成杰 《信息工程大学学报》 2002年第3期31-34,共4页

在基于策略的互连网络中 ,一致性的安全策略系统 (SPS)的存在是非常必要的。本文简述SPS的一般结构与功能需求 ,讨论SPS的关键问题 ,并就SPS在网络访问控制的功能扩展方面提出一些建议 ,例示SPS在IPsec中的应用。

关键词 网络安全 IP安全 安全策略系统

下载PDF 职称材料

即时通信监控系统的设计与实现 被引量：2

10

作者 严华 蔡瑞英 《计算机技术与发展》 2009年第7期242-244,248,共4页

针对中小规模企业网(Intranet)对即时通信安全的实际需求,对企业广泛使用的MSN Messenger进行协议分析,然后基于网络嗅探(Sniffer)技术,设计并实现了一个MSN协议监控分析系统——MSNAnalyzer。该系统以监控内部网络和预防资料泄露为目的... 针对中小规模企业网(Intranet)对即时通信安全的实际需求,对企业广泛使用的MSN Messenger进行协议分析,然后基于网络嗅探(Sniffer)技术,设计并实现了一个MSN协议监控分析系统——MSNAnalyzer。该系统以监控内部网络和预防资料泄露为目的,主要针对即时通信的文字信息和文件传输。对影响系统性能的关键部分(如数据存储和数据分析)进行了分析,并给出了相应的解决方案。最后对设计的系统进行了性能测试,测试结果显示该系统具有良好的性能,系统可以在不改变现有网络配置,不影响网络运行效率的前提下,满足中小规模企业网对即时通信的安全需求。 展开更多

关键词 网络安全 MSN协议 监控系统 中小规模企业网

下载PDF 职称材料

云计算环境下的网络安全协议及计算机通信系统应用 被引量：1

11

作者 乔兴隆 《自动化应用》 2023年第14期228-230,233,共4页

针对互联网发展中存在的安全性问题,以及网络安全协议制定的不健全现象,本文提出并制定相应的网络安全协议应用对策和分析,首先阐述了云计算环境下网络安全协议的发展概况及发展趋势,然后阐明了网络安全协议在计算机通信系统中发挥的重... 针对互联网发展中存在的安全性问题,以及网络安全协议制定的不健全现象,本文提出并制定相应的网络安全协议应用对策和分析,首先阐述了云计算环境下网络安全协议的发展概况及发展趋势,然后阐明了网络安全协议在计算机通信系统中发挥的重要影响,并有针对性地对云计算环境下的网络安全协议及计算机通信系统应用进行了分析与研究。 展开更多

关键词 云计算 网络安全协议 通信系统

下载PDF 职称材料

基于靶场技术的DNC网络安全分析 被引量：1

12

作者 阎诗晨 张定华 +1 位作者 曹国彦 潘泉 《信息安全研究》 2017年第6期560-567,共8页

随着网络技术在分布式控制系统(distributed numerical control,DNC)中的使用与普及,传统的DNC系统面临越来越严峻的信息安全问题.为了深入分析网络化DNC系统的通信安全风险隐患,提出利用靶场技术构建DNC高逼真半实物平台的方法,分析DN... 随着网络技术在分布式控制系统(distributed numerical control,DNC)中的使用与普及,传统的DNC系统面临越来越严峻的信息安全问题.为了深入分析网络化DNC系统的通信安全风险隐患,提出利用靶场技术构建DNC高逼真半实物平台的方法,分析DNC系统内的工业通信协议和文件传输协议及其安全性,特别得出了等时同步协议、DHCP和SSHv2面对的安全风险基于安全性分析,提出相应的DNC系统安全防护建议,为现实网络化制造系统的安全防护提供借鉴. 展开更多

关键词 络信息安全 分布式数控 网络化数控靶场 协议安全分析 DNC系统安全防护

下载PDF 职称材料

协议组合逻辑安全的WMN认证密钥协商方案 被引量：1

13

作者 张冰涛 王小鹏 王履程 《计算机应用研究》 CSCD 北大核心 2017年第8期2473-2477,共5页

IEEE P802.11 sTM/D1.01中EMSA认证协议是无线网状网络(WSN)安全的重要保证。基于协议组合逻辑形式化分析了EMSA协议的安全性,发现EMSA协议存在密钥泄露伪装攻击。针对该安全威胁,运用协议演绎系统提出了一种新的WSN安全认证密钥协商方... IEEE P802.11 sTM/D1.01中EMSA认证协议是无线网状网络(WSN)安全的重要保证。基于协议组合逻辑形式化分析了EMSA协议的安全性,发现EMSA协议存在密钥泄露伪装攻击。针对该安全威胁,运用协议演绎系统提出了一种新的WSN安全认证密钥协商方案,并使用协议组合逻辑对新方案进行了形式化的安全性证明分析。最终表明新协议相对于EMSA协议更加安全,具有前向安全性,可抵御密钥泄露伪装攻击,更适合WSN应用环境。 展开更多

关键词 无线网状网络安全 协议组合逻辑 协议演绎系统 密钥泄露伪装攻击

下载PDF 职称材料

信息安全关键技术演示系统的设计与实现 被引量：1

14

作者 李月寒 郑议天 《合肥师范学院学报》 2008年第6期57-60,共4页

研究了缓冲区溢出攻击、木马和远程控制技术、蠕虫病毒原理、PGP、SSL和IPSec安全协议6类信息安全技术的原理,并实现了基于B/S结构的信息安全技术演示系统,充分利用生动的多媒体教学形式,由浅入深、在理论分析的基础上完成了基于缓冲区... 研究了缓冲区溢出攻击、木马和远程控制技术、蠕虫病毒原理、PGP、SSL和IPSec安全协议6类信息安全技术的原理,并实现了基于B/S结构的信息安全技术演示系统,充分利用生动的多媒体教学形式,由浅入深、在理论分析的基础上完成了基于缓冲区溢出攻击的演示系统的设计和实现。 展开更多

关键词 信息安全技术 缓冲区溢出 安全协议 演示系统

下载PDF 职称材料

Advanced Transition/Cluster Key Management Scheme for End-System Multicast Protocol

15

作者 Ayman El-Sayed 《International Journal of Communications, Network and System Sciences》 2012年第5期286-297,共12页

The recent growth of the World Wide Web has sparked new research into using the Internet for novel types of group communication, like multiparty videoconferencing and real-time streaming. Multicast has the potential t... The recent growth of the World Wide Web has sparked new research into using the Internet for novel types of group communication, like multiparty videoconferencing and real-time streaming. Multicast has the potential to be very useful, but it suffers from many problems like security. To achieve secure multicast communications with the dynamic aspect of group applications due to free membership joins and leaves in addition to member's mobility, key management is one of the most critical problems. So far, a lot of multicast key management schemes have been proposed and most of them are centralized, which have the problem of 'one point failure' and that the group controller is the bottleneck of the group. In order to solve these two problems, we propose a Key Management Scheme, using cluster-based End-System Multicast (ESM). The group management is between both 1) the main controller (MRP, Main Rendezvous Point) and the second controllers (CRP, Cluster RP), and 2) the second controllers (CRPs) and its members. So, ESM simplifies the implementation of group communication and is efficient ways to deliver a secure message to a group of recipients in a network as a practical alternative to overcome the difficulty of large scale deployment of traditional IP multicast. In this paper, we analyze different key management schemes and propose a new scheme, namely Advanced Transition/Cluster Key management Scheme (ATCKS) and find it has appropriate performance in security. 展开更多

关键词 MULTICAST protocol End-system MULTICAST Application-Level MULTICAST security Group KEY Management

下载PDF 职称材料

一种基于π^t演算的安全协议建模方法

16

作者 韩进 蔡圣闻 +2 位作者 王崇峻 赖海光 谢俊元 《计算机研究与发展》 EI CSCD 北大核心 2010年第4期613-620,共8页

安全协议模型是安全协议分析与验证的基础,现有的建模方法中存在着一些缺点,如:建模复杂、重用性差等.为此提出了一种类型化的π演算:πt演算,并给出了相应类型推理规则和求值规则,πt演算的安全性也得到了证明.πt演算可以对安全协议... 安全协议模型是安全协议分析与验证的基础,现有的建模方法中存在着一些缺点,如:建模复杂、重用性差等.为此提出了一种类型化的π演算:πt演算,并给出了相应类型推理规则和求值规则,πt演算的安全性也得到了证明.πt演算可以对安全协议、协议攻击者进行形式化建模.基于πt演算的安全协议模型及其建模过程使用NRL协议为例做出了说明.同时给出了攻击者模型,并证明了基于πt演算的安全协议攻击者模型与D-Y攻击者模型在行动能力上是一致的.这保证了基于πt演算的安全协议模型的验证结果的正确性.基于πt演算的建模方法能在协议数据语义、协议参与者知识方面实现细致的描述.与同类方法相比,该方法可提供多种分析支持,具有更好的易用性、重用性.分析表明,该方法可以在建模中发现一定的安全协议漏洞. 展开更多

关键词 安全协议模型 πt演算 安全协议验证 类型化系统 形式化方法

下载PDF 职称材料

安全协议系统安全属性定量计算方法

17

作者 李云辉 古天龙 《桂林电子科技大学学报》 2007年第6期487-490,共4页

定量分析安全协议系统是保证协议安全的必要环节。根据建立的安全协议系统的SMRP模型,给出了安全协议系统安全属性的计算方法,并从攻击者的角度讨论其累积报酬计算问题,通过NS协议(公钥协议)实例给出了分析过程,很好地解释了以NS协议为... 定量分析安全协议系统是保证协议安全的必要环节。根据建立的安全协议系统的SMRP模型,给出了安全协议系统安全属性的计算方法,并从攻击者的角度讨论其累积报酬计算问题,通过NS协议(公钥协议)实例给出了分析过程,很好地解释了以NS协议为基础的安全协议系统未产生重大损失的原因。结果表明,SMRP模型可以较好地定量分析安全协议系统。 展开更多

关键词 安全协议系统 定量计算 安全属性 SMRP

下载PDF 职称材料

一种基于模重写系统的攻击者推理方法

18

作者 李大海 韩继红 +1 位作者 王亚弟 王静 《计算机应用研究》 CSCD 北大核心 2011年第5期1918-1921,1936,共5页

为了解决安全协议验证中攻击者模等式理论推理的可操作性问题,提出并设计了一种基于模重写系统的攻击者推理方法。该方法建立在一个反映两种密码原语代数特性的联合理论实例之上,由一组定向的重写规则和非定向的等式构成,前者进一步转... 为了解决安全协议验证中攻击者模等式理论推理的可操作性问题,提出并设计了一种基于模重写系统的攻击者推理方法。该方法建立在一个反映两种密码原语代数特性的联合理论实例之上,由一组定向的重写规则和非定向的等式构成,前者进一步转换为项重写系统(term rewriting system,TRS),而后者则转换为有限等价类理论,通过定义项间的模重写关系,使两者构成一个可以反映攻击者针对联合理论代数项操作能力的模重写系统。实例分析表明,该模型为攻击者模等式推理规则赋予了明确的操作语义,可以使攻击者达到对安全协议代数项规约、推理的目的。 展开更多

关键词 安全协议 等式理论 代数特性 模重写系统

下载PDF 职称材料

基于协议实现的网络安全测试 被引量：8

19

作者 刘洪霞 赵保华 《小型微型计算机系统》 CSCD 北大核心 2007年第4期619-621,共3页

随着网络的普及和社会的发展,网络安全已经越来越受到人们的重视.本文通过一个基于协议测试的分布式虚拟测试平台,从协议实现的角度对网络安全进行测试,并通过对具体网络设备的地址解析协议(ARP)的协议实现的安全测试,对基于协议实现的... 随着网络的普及和社会的发展,网络安全已经越来越受到人们的重视.本文通过一个基于协议测试的分布式虚拟测试平台,从协议实现的角度对网络安全进行测试,并通过对具体网络设备的地址解析协议(ARP)的协议实现的安全测试,对基于协议实现的网络安全测试的可行性和必要性进行了验证. 展开更多

关键词 网络安全 协议测试 地址解析协议 分布式虚拟测试平台

下载PDF 职称材料

基于PUF的低成本RFID系统安全协议 被引量：10

20

作者 杨灵 闫大顺 《计算机工程》 CAS CSCD 北大核心 2010年第15期148-150,155,共4页

针对低成本无线射频识别(RFID)系统存在的安全性问题,提出一种基于PUF的低成本RFID安全协议。利用PUF的物理不可克隆性识别标签的身份,并利用线性反馈移位寄存器(LFSR)产生随机系列,加密阅读器与标签之间的通信,能抵抗重放攻击、跟踪攻... 针对低成本无线射频识别(RFID)系统存在的安全性问题,提出一种基于PUF的低成本RFID安全协议。利用PUF的物理不可克隆性识别标签的身份,并利用线性反馈移位寄存器(LFSR)产生随机系列,加密阅读器与标签之间的通信,能抵抗重放攻击、跟踪攻击、物理攻击、窃听攻击等多种攻击。在Altera DE2板上使用FPGA实现PUF和LFSR,采用Quartus II 8.0编程。实验结果证明,该协议的执行时间和门电路数量能达到低成本标签的要求。 展开更多

关键词 PUF电路 线性反馈移位寄存器 安全协议 低成本无线射频识别系统

下载PDF 职称材料