A survey of edge computing-based designs for IoT security

Pervasive IoT applications enable us to perceive,analyze,control,and optimize the traditional physical systems.Recently,security breaches in many IoT applications have indicated that IoT applications may put the physical systems at risk.Severe resource constraints and insufficient security design are two major causes of many security problems in IoT applications.As an extension of the cloud,the emerging edge computing with rich resources provides us a new venue to design and deploy novel security solutions for IoT applications.Although there are some research efforts in this area,edge-based security designs for IoT applications are still in its infancy.This paper aims to present a comprehensive survey of existing IoT security solutions at the edge layer as well as to inspire more edge-based IoT security designs.We first present an edge-centric IoT architecture.Then,we extensively review the edge-based IoT security research efforts in the context of security architecture designs,firewalls,intrusion detection systems,authentication and authorization protocols,and privacy-preserving mechanisms.Finally,we propose our insight into future research directions and open research issues.

Security Considerations Based on PKI/CA in Manufacturing Grid

In the manufacturing grid environment, the span of the consideration of security issues is more extensive, and the solutions for them are more complex, therefore these problems in manufacturing grid can＇t longer be addressed by existing security technologies. In order to solve this problem, the paper first puts forward the security architecture of manufacturing grid on the basis of the proposal of the security strategies for manufacturing grid; then the paper introduces key technologies based on public key infrastructure-certificate authority （PKI/CA） to ensure the security of manufacturing grid, such as single sign-on, security proxy, independent authentication and so on. Schemes discussed in the paper have some values to settle security problems in the manufacturing grid environment.

Research on secure buyer-seller watermarking protocol

A new buyer-seller watermarking protocol is proposed by applying a double encryption method and a novel mechanism of embedding a buyer＇s watermark. The protocol can effectively prevent against collusion attacks and the man in the middle attack if the third party is not trusted. Also, based on the proposed scheme for the first-hand transaction, a new buyer-reseller watermarking protocol and a formal multi-party watermarking protocol are also proposed. The proposed buyer-resell watermarking protocol only needs the original seller to provide transfer certificate and encryption-decryption service to support the second-hand transaction, and the multi-party watermarking protocol with distributed certificate authorities can overcome the difficulty in the combination of multicast mechanism with multiple unique watermarks and allow a seller to multicast the watermarked digital contents and key transaction information to n buyers. Furthermore, the idea of zero knowledge proof is also applied into the proposed scheme to allow the seller to take an effective control on the task performed by the third party.

策略动态更新的变电站安全通信体系研究

针对变电站单一固定的加解密算法应对第三方截取和暴力破解能力不足的问题,本文梳理变电站网络通信构架特点,提出动态更新安全策略的变电站安全体系方案:首先构建全站统一的安全策略库,通过证书授权机和密钥代理机进行管理,为每个设备建立与其通信能力匹配的策略库子集;通信设备在线动态选择适合自身能力的安全策略,并对当前安全策略进行时效管理,实现安全策略的自适应动态更新,提升变电站信息安全主动防护的能力。通过设计测试平台,对策略动态更新功能、通信性能及设备功能进行实测,证明策略动态更新机制不影响设备核心功能的正常运行,对设备通信实时性有轻微影响。

医疗卫生领域商用密码安全的评估与建设

目的为规范医疗卫生领域商用密码安全的评估与建设,解决商用密码建设不能在医疗环境和生命周期全流程广覆盖等问题,达成商用密码不断迭代完善的目标。方法遵循以评促建、以评促用、以评促改和三同步、一评估的原则,使用密码技术和管理、基础和部署相结合的方法,落实统筹规划、分布建设、运行与密评深度结合的措施,建立密码安全建设的基础支撑、技术保障、统筹管理方法,完成密码产品的部署。结果通过密码安全保护持续改进,使医院网络安全具备态势感知的能力,数据安全具备证书授权电子签名防篡改的能力。提高了密码安全的保护能力,实现医疗业务的可信互联、安全互通,保障系统的稳定运行、数据安全无泄露。结论发挥商用密码在网络安全防护中的重要作用,筑牢智慧医院密码安全的最后一道防线屏障,切实保障患者医疗数据安全。

一种用于移动IPv6的混合认证方法

随着移动通信的快速发展,通信实体的身份认证日益成为研究人员面临的巨大挑战.在IETF(Internetengineeringtaskforce)的移动IPv6草案中,IPSec(IPsecurity)协议和RR(returnroutability)机制被用于保护相关通信节点之间的通信信令,但解决通信实体身份认证问题的方法存在一定的不足.首先分析了基于证书和基于身份的认证技术的优点和不足.基于证书的认证方法有很好的可扩展性,但PKI(publickeyinfrastructure)的部署和证书的分发代价较高.反之,由于相关节点需要共享一组系统参数,基于身份的认证方法可扩展性差,但克服了基于证书的认证方法的不足.然后,提出一种同时使用上述两种认证方法的混合认证方法.该混合认证方法为实现安全、快速、低成本和可扩展性好的身份认证提供了一种新的思路.最后,将这种混合技术用于改进移动IPv6安全关联的协商过程,并讨论了该技术的安全性.

云计算网络安全关键技术应用研究

文章深入研究了云计算平台中网络安全的关键技术应用,包括认证与授权、加密技术、防火墙与防入侵检测技术以及虚拟化安全技术等多个方面。通过综合应用这些技术,可以有效增强云计算平台的安全性,以保障用户数据的安全与隐私。

电力系统通信网络的信息安全与防护机制研究

深入研究电力系统通信网络的信息安全与防护机制,以应对不断增长的网络威胁。文章详细分析电力系统通信网络的结构、拓扑、协议与标准以及恶意攻击的类型和潜在路径,并在认证与授权、加密与解密算法、安全协议应用以及网络入侵检测与防御等方面,提出具有创新性的安全机制。实施和优化已有的防护机制,对网络监控与日志记录以及攻击应对与应急响应进行实验和案例研究,以验证其在真实场景下的有效性。调研结果表明,所提出的安全机制可有效增强电力系统通信网络的安全防范能力,对各类恶意攻击起到有效的防御作用,为保持电力系统的稳定运行提供有力保障。

基于公开密钥基础设施的单点登录系统的设计

研究一种安全性高、应用范围广的单点登录系统 .通过使用公开密钥基础设施和中间件技术 ,设计并实现了一种基于公开密钥基础设施的单点登录系统 .通过实现授权应用登录代理、基于安全套接字层 ( SSL)协议的身份认证及登录凭证库的集中管理 ,能够完成对授权应用的安全、透明登录 .构建了独立的认证机构 ( CA) ,不需要对现有应用做任何改动 ,就能实现一个安全、透明。

基于CA的电子印章系统设计与实现

针对分布式层次化网络安全应用,提出了一种分布式简化严格层次结构的PKI信任体系模型,为网络应用提供有效的认证、访问控制、授权、机密性、完整性、非否认服务。在该信任体系模型基础上,提出并建立了由CA签发的发章证书概念,来保证CA所辖域中印章文件的安全。系统通过CA签发的电子印章来对网络中电子公文和印章文件进行数字签名、验证,并由加密证书保护电子公文加密密钥,通过授权服务器管理用户打印印章权限。

基于PKI的网络信息安全模型的研究与设计

Internet/Intranet的引入为企业实现信息化,提供了一个快捷、高效、方便的网络环境,但网络信息安全问题越来越突出。PKI为基于网络的安全应用提供了一个真正可靠、稳定、安全的平台。通过对当前网络存在的安全性问题分析,首先探讨PKI/CA的体系结构并对其进行了改进,提出了一种基于PKI的可靠的网络信息安全模型,并按照此模型架构企业的PKI应用体系,并结合企业网上电子商务实例进行分析和讨论。

PEM标准下证书中心构建

本文分析了电子邮件ＳＭＴＰ、ＰＯＰ３ 协议、ＰＥＭ 标准中存在的安全性问题，应用密码技术构建了ＰＥＭ

基于PKI实现网络通信安全性的研究

基于公钥基础结构PKI,该文研究了PKI的核心部分CA,并结合对称加密体制,探讨了保障网络安全通信的关键技术,最后展望了PKI的应用前景。

PKI中几个安全问题的研究

重点分析了ＰＫＩ中可能出现的几个安全问题并给出了相应的改进措施，这些攻击包括基于证书持有者态度实施的攻击、基于ＣＲＬ的攻击及刊用定制协议进行的攻击。这些安全问题在ＣＡ和ＰＫ１设计中必须给予关注和解决。

基于证书权威(CA)中心的时间戳服务系统的实现

介绍了数字签名不具有抗抵赖的问题 ,以及数据抗抵赖在信息安全中的重要性。在对原有的时间戳协议缺乏可靠的身份认证和可信性分析后 ,提出了一种新的基于证书权威 (CA)中心的时间戳服务协议。利用CA中心的信任原理和数字证书的身份认证作用 ,使提供时间戳服务的服务方具备了可靠的身份鉴别和可信性。并利用XML标记对时间戳的数据内容进行描述 ,形成简单、直观的时间戳 ,且无需复杂的编解码过程。通过正确和可信的时间戳可以判定用户数据产生的时间 ,防止用户事后的抵赖行为 ,为网络应用提供更为安全的数据。

基于CA的移动终端安全邮件系统的研究与设计

研究了CA的通信结构,安全通信机制,加密原理以及主要算法,采用高效可靠的椭圆曲线算法,设计了一种基于第三方认证中心(CA)的移动终端电子邮件系统,保证了邮件的安全。

公钥基础设施在网络安全中的研究与应用

文章提出了一种基于ＰＫＩ的网络安全模型，旨在为网络服务提供有效认证、访问控制、授权、传输机密性、不可否认性等安全机制。该模型在 ＰＫＩ的基础上，结合了 Ｋｅｒｂｅｒｏｓ的优势，并扩展了其机制中服务票据的思想，提出了由授权服务器签名的授权证书的概念，以保证自治式与集中式访问控制相结合的安全管理模式。

基于PKI的内网信息安全访问控制体系设计与实现

为解决内网信息安全管理问题,依据安全等级防护标准和信息安全技术的研究,提出了一种基于公开密钥基础设施(PKI)在内部网构建信息安全访问控制体系的设计模型。该模型通过身份认证、终端防护、SSL安全认证网关的有效结合,建立由终端至涉密资源之间可信、完整、有效的信息安全传输机制。应用实例表明了该方法在实际信息安全访问控制中的可靠性和有效性。

基于数字证书认证的电力安全拨号认证系统

针对电力远程拨号系统的安全防护需求,对其相关安全隐患进行了分析,并设计和实现了基于数字证书认证的电力安全拨号认证系统,分析了其技术特点。该系统可对拨号客户端和拨号网关进行数字证书互验及客户端可信接入,对传输数据进行加密、签名,避免敏感信息泄漏及篡改,并可进行细粒度访问控制和用户行为审计,有效地解决了电力远程拨号系统相关安全隐患,对电力二次系统安全防护具有重要意义。

实现双向认证的安全电子邮件系统的研究

分析了目前广泛应用的几种安全电子邮件协议在实际应用中存在的不足,特别是在安全机制方面的不足,提出了一种基于认证中心(CA)的在线认证的安全电子邮件系统实现方案,该系统实现了安全电子邮件系统中收、发邮件的双向不可否认性和不可抵赖性。