Analysis and Application of Covert Channels of Internet Control Message Protocol

Based on the analysis of the covert channel＇s working mechanism of the internet control message protocol （ICMP） in internet protocol version 4 （IPv4） and Internet Protocol version 6 （IPv6）, the ICMP covert channd＇s algorithms of the IPv4 and IPv6 are presented, which enable automatic channeling upon IPv4/v6 nodes with non-IPv4-compatible address, and the key transmission is achieved by using this channel in the embedded Internet terminal. The result shows that the covert channel＇s algorithm, which we implemented if, set correct, the messages of this covert channel might go through the gateway and enter the local area network.

A Dual-Channel Secure Transmission Scheme for Internet-Based Networked Control Systems

Two significant issues in Internet-based networked control systems （ INCSs）, transport performance of different protocols and security breach from Internet side, are investigated. First, for improving the performance of data transmission, user datagram protocol （UDP） is adopted as the main stand for controllers and plants using INCSs. Second, a dual-channel secure transmission scheme （DCSTS）based on data transmission characteristics of INCSs is proposed, in which a raw UDP channel and a secure TCP （transmission control protocol） connection making use of SSL/TLS （secure sockets layer/transport layer security） are included. Further, a networked control protocol （NCP） at application layer for supporting DCSTS between the controllers and plants in INCSs is designed, and it also aims at providing a universal communication mechanism for interoperability of devices among the networked control laboratories in Beijing Institute of Technology of China, Central South University of China and Tokyo University of Technology of Japan. By means of a networked single-degree-of-free- dom robot arm, an INCS under the new protocol and security environment is created. Compared with systems such as IPSec or SSL/TLS, which may cause more than 91% network throughput deduction, the new DCSTS protocol may yield results ten times better, being just 5.67%.

SSL协议在现场总线远程控制中的应用

针对现场总线远程控制中涉及到的网络安全问题,提出并实现了SSL协议,完成了身份认证、传输数据的加密和完整性检测。可以为现场总线的远程控制提供高级别的安全保护。

基于国家标准的SSL VPN安全网关研究与实现

SSL VPN安全网关为传输层和应用层协议提供安全隧道,利用安全隧道技术,在传输层实现互联网网络信息的安全保护,能够利用公共网络为用户建立虚拟的专用网络,提供比专网更加安全的通信信道。SSL VPN安全网关以国家密码管理局审批的密码卡为基础密码器件,为其提供密钥运算、密钥保护、密钥备份恢复等功能;操作系统采用裁剪的Linux系统,同时,严格遵循国家密码管理政策和相关设计规范,实现了基于传输层的SSL VPN安全网关,为各种应用提供了身份认证和安全传输的需求。在政府、金融、运营商、能源、交通等领域具有广泛的用途,有明显的社会效益和经济效益。文章对此展开了分析。

基于模糊测试技术的工控协议安全性分析系统

随着网络犯罪和网络威胁的不断演化,工控系统的安全性已经成为一个紧迫的问题。因此,设计安全性分析引擎用于检测协议中的潜在漏洞,利用模糊测试生成的数据包进行深入分析。实验结果表明,针对3种不同协议,本文提出的方法拒绝率分别达到了30.7%、41%和42.1%。特别是在Modbus协议下,拒绝率约为30%。此外,本文方法显著增加了协议覆盖路径的数量,平均提高了23.7%。因此,通过协议模糊测试提高工控系统的安全性,有助于减少潜在的威胁和漏洞,确保系统的可靠性。

IPSec VPN的研究和分析

在扼要介绍虚拟专用网VPN安全机制的基础上,详细研究和分析了VPN系统中的四项主要安全技术;然后,在提出IPSec协议体系结构的同时,重点分析了IPSec协议以及实现问题,最后,指出了用IPSec协议实现VPN的优越性。

基于Agent的网络安全系统协同控制研究

提出一种基于代理的协同控制架构,并且描述了该协同控制架构、代理与系统之间的通信协议、系统之间的报文交换协议、加密认证策略、控制中心的保护、协同响应等。该框架不仅能从底层提供了智能协同控制的功能,而且有利于采用统一的加密认证策略,使系统的安全性得到加强。同时系统的消息定义和协同控制具有可扩充性特点,增强了框架的适应能力。

模糊控制在网络安全协议中的应用

深入地研究分析了SSL协议的原理和存在的问题,给出了相应改进方案,并用模糊控制算法将这些改进方案应用于SSL协议中,模拟试验表明, 改进的SSL协议具有明显的优点。

模糊控制在电子商务中的应用

随着网上商务的发展,安全已变得越来越重要。网景(Netscape)公司开发出的安全套接字协议(SecureSocketsLayerprotocol,SSL)很好地实现了这一点,同时它也是电子商务中使用最为广泛的安全协议。然而,SSL协议本身还有一些不足和待改进的地方,本文深入研究分析了SSL协议的原理和存在的问题,给出了相应改进方案,并用模糊控制算法将这些改进方案应用于SSL协议中,模拟实验表明,改进的SSL协议具有明显的优点。

模糊控制在网络安全协议中的应用

随着目前网上商务的发展,安全已变得越来越重要。网景公司开发出的安全套接字协议(Secure Sockets Layer protocol,SSL)很好地实现了这一点,同时它也是在电子商务及网络安全通讯中使用的最为广泛的安全协议。然而,SSL协议本身还有一些不足和有待改进的地方,本文深入地研究分析了SSL协议的原理和存在的问题,给出了相应改进方案,并用模糊控制算法将这些改进方案应用于SSL协议中,模拟试验表明,改进的SSL协议具有明显的优点。

安全网络数学计算协议(英文)

讨论了网络数学计算框架 IAMC的安全性问题,给出了一个用安全协议 SSL/TIS提高数学计算协议MCP安全性的实现方案.改进后的网络数学计算框架可有效地提供计算数据的机密性、完整性和用户认证等安全功能.

基于Windows 2000 Web访问控制的探讨

本文对当前存在的有关Web安全问题进行了分析,特别是Web访问控制的问题,提出了关于解决访问控制常用的几种方案。

一种基于CPK的传输协议

为提高VxWorks中数据传输的效率,结合组合公钥算法的原理和加密通信方法,设计一种高效、安全的嵌入式安全传输(EST)协议。EST协议能够在VxWorks环境下快速建立端到端的通信,实现保密通信,满足实时操作系统的安全需求。给出该协议的设计与实现及相应结果分析,证明了该协议的可行性、有效性。

基于循环神经网络的Modbus/TCP模糊测试算法

Modbus/TCP安全漏洞挖掘的相关协议包常采用随机方式生成,易产生过多无效包,降低漏洞挖掘效率。为此,基于循环神经网络(RNN)提出结构性模糊算法Fuzzy-RNN。从Modbus/TCP训练集中学习协议包各部分的概率分布,并考虑极端参数条件,实现针对性的模糊生成。实验结果表明,与通用模糊测试器GPF相比,Fuzzy-RNN算法在Modbus Slave、xMasterSlave等多种仿真软件上能以更高概率实现合法协议包的模糊生成,测试时间缩减50 %以上,测试效率明显提高。

针对TCP/IP漏洞的航天测控通信网安全防护

航天测控通信网自建成以来,整体运行较为稳定,但在网络安全方面也暴露出了一些问题,为研究和解决目前航天测控通信网中存在的网络安全问题,在分析TCP/IP(Transmission Control Protocol/Intcrnct Protocol,传输控制协议/互联网协议)分层协议基本原理的基础上,研究了IP网数据链路层、网络层和传输层的协议漏洞及常见攻击方法,详细介绍了当前航天测控通信网的网络安全部署情况,根据网络现状分别对航天测控通信网上数据链路层、网络层和传输层存在的安全问题进行了纵向分析,针对分析出的各类安全问题,进一步给出了有效的防御措施和防护方法。最后,探讨提出了一套航天测控通信网配置维护管理系统的设计方案,通过建立设备配置信息库、检查信息记录库及网络故障库等,实现了对航天测控通信网安全稳定运行的有效管理。

移动互联网医院信息安全与监管平台

随着移动互联网的发展,医院服务的互联网化是大势所趋,但是由于医疗行业的特殊性,其对安全性和专业性都提出了更高的要求。本文针对目前移动互联网医院面临的主要安全问题进行详细分析,提出建立一个统一的安全与监管平台,用以解决移动互联网医院的身份认证、机密性、抗抵赖、可审计等安全问题。平台使用成熟的数字证书体系以及SSL VPN协议作为技术基础,结合医院应用现状,设计新的安全保障体系和移动互联网医院安全流程,使用安全中间件和客户端控件相结合的方式打造安全环境,并辅以数据收集和监控体系,成功解决目前移动互联网医院的安全问题和监管诉求,从而促使移动互联网医院向着有序、安全、健康的方向发展。

基于ICE的安全中间件的研究与实现

分布式系统平台间的差异增加了分布式安全服务的开发复杂性,通过对网络安全技术及面向对象中间件技术的研究,结合ICE技术的优势,提出一种基于ICE的安全中间件架构模型。该方案可以降低各模块间的耦合度,提高系统安全服务的健壮性和可扩展性。同时采用ICE的分布式通信代理模块技术,实现各节点间的安全透明通信。

基于CFL的工控系统认证通信方案

针对工控系统(ICS)中广泛采用的中心认证方案所存在的密钥泄露、单点失效、通信开销大的问题,将具有国内自主知识产权的密码基础逻辑(CFL)认证技术引入ICS的认证与通信过程中,并提出一种基于CFL的ICS认证通信方案。首先,通信双方通过交换并验证基于彼此身份标识和权限信息所生成的动态含权证书,实现双方身份的去中心认证和会话密钥的协商;然后,通过会话密钥、CFL动态签名和访问控制规则保证双方的安全通信;最后,将控制过程详细日志进行加密存储,以实现可溯源过程。理论分析和实验结果表明,所提方案在身份验证阶段不再需要远程认证中心的参与,并实现了工控设备间的本地高效认证。在面对大量认证请求时,与公钥基础设施(PKI)方案、基于身份加密(IBE)方案相比,所提方案的系统吞吐量分别至少提升了92.53%和141.37%,意味着所提方案能够更好地满足ICS的大规模认证和毫秒级安全通信的需求。

工业物联网网关的研究与实现

工业物联网是工业领域的物联网技术,是新一代信息技术的重要组成部分。在工业物联网体系架构中,感知层网络和工业互联网之间需要一个网关设备,实现工业互联网与传感层网络的互联互通。工业物联网网关旨在解决当前感知层网络设备的横向不关联,无法联动控制和统一管理的问题。网关以工业互联网为载体进行信息交换,把分散在各种工业现场的感知网络设备信息进行采集、存储、分析、管理。本文研究了一种工业物联网网关设计及实现方案。该方案设计基于ARM9平台,采用Linux操作系统,集成多种通用工控通讯协议、物联网通讯协议及互联网通讯协议,实现物联网感知层与工业互联网应用层之间的无缝对接。

面向工业物联网的协议漏洞检测技术研究

针对物联网环境中传统模糊测试方法效率低的问题,提出一种基于模糊测试的工业物联网协议漏洞检测技术。该技术使用Seq2Seq模型进行二次学习,构建以协议管理、策略配置、详情查询模块为核心的物联网协议漏洞检测系统。经过测试,该技术可有效提高协议检测效率和漏洞挖掘能力。