基于Manager/Agent模型的工业远程控制VPN的设计

工业远程控制网关是用来解决数据采集与监控系统和工业计算机之间网络通信的安全问题,给工业网络连接到因特网的时候提供安全保证。该网关普遍适用各类的工业环境,且支持任何工业设备和所有类型的数据采集与监控系统,在工业设备和SCADA设备之间处理数据包。由于工业设备无法安装使用VPN软件,因此本设计运用Manager/Agent模型的方式来实现VPN的功能。     

典型安全网关的形式化设计与证明

传统上依靠经验设计的安全网关侧重于功能实现,缺少严格的安全模型。对此,针对一种典型安全网关,首先根据其安全需求给出相应的安全策略,然后利用BLP模型对给出的安全策略进行形式化建模并对安全模型的内部一致性进行证明,最后对安全网关的功能规约和安全模型的一致性进行验证。为保证推理过程的正确性,使用定理证明器Isabelle/HOL对上述过程进行描述和推理,保证了安全网关顶层设计的安全性。研究结果为安全网关的形式化设计 提供了一定的借鉴意义。     

网络隔离系统中策略管理平台设计与实现

在分析了跨信任域环境下利用网络隔离系统实现数据可控交换过程中的安全需求的基础上,本文设计并实现安全策略管理平台为隔离系统提供整体安全策略。通过集中部署和协同响应,解决分布式异构网络安全网关配置管理,实现安全策略协同与综合管理,提高系统整体防御性。     

跨平台嵌入式安全网关的研究与实现

随着信息安全技术的发展,一种跨平台的、可进行远程控制的、通用的、支持嵌入式平台的安全网关控制系统必不可少.本文就是在这种背景下提出了关于跨平台嵌入式安全网关控制系统的方案.以控制代码的跨平台为设计目标.实现其在不同底层嵌入式控制模块上的实时运行.通过主控机与运行在各网关的虚拟机系统进行控制信息的交互,完成安全网关和安全策略的统一化控制和实施.     

OSI网络与TCP/IP网络的安全互联

为了集成OSI网络与TCP／IP网络，人们使用了应用网关技术。但网关的微管理性会导致高通信流量和长延时。由于这两个域使用不同的安全策略，它们之间需要某种机制来映射访问控制策略。该文提出一种应用网关，能减少网络管理的开销与延时，并提出了安全策略的转换机制以保证这两个域之间的安全通信。     

基于身份认证的嵌入式Web网关安全机制的实现

在电力远程监控系统的安全需求背景下，首先分析嵌入式网关面临的网络安全威胁，然后针对嵌入式系统资源有限及具体应用环境提出了“紧凑安全策略”，最后利用HTTP摘要认证和SSL安全协议实现了基于身份认证的嵌入式网关的安全，达到安全和资源使用的最佳平衡。     

基于工业可信接入的可信网关研究和开发

文章从可信接入的系统架构出发,分析了边缘设备层的安全接入对系统安全性的影响,从而提出了针对工业可信接入的边缘侧可信网关的研究和开发,从可信网关的硬件、软件和上位机等方面进行设计,并针对可信系统中的安全识别技术进行研究分析,以实现对待保护网络的安全防护,达到工厂内网的信息安全隔离,实现可信的工业通信系统。     

EPA安全网关原理与应用设计

根据用于工业测量和控制系统的EPA网络安全规范,探讨EPA安全网关的功能需求,解决了EPA网络中的报文转发、安全隔离等关键技术问题,介绍了EPA安全网关的硬件和软件技术实现.将开发的EPA安全网关用于一个小型的工业控制网络实验系统中,测试表明,EPA安全网关起到了良好的报文转发和安全隔离作用.     

基于WIA PA的工业无线网络网关设备

阐述基于WIA PA的工业无线网络系统及其网关的总体设计,给出WIA PA网关架构。分析网关设备的软硬件系统,对模块进行划分,并给出模块设计与处理流程。搭建系统对网关设备进行了测试,测试结果表明了网关设备设计的正确性和合理性。     

802.11b接入EPA的安全策略

文章介绍了EPA网络和WLAN安全体系,分析了802.11b的安全措施.针对802.11b现存的安全缺陷,结合工业现场实际应用,提出了工业现场802.11b无线设备接入EPA网络的安全策略.     

SOA架构下的强制访问控制模型研究与实现

采用Web Service技术,以TOMCAT为平台构建了一个包含服务提供者、服务使用者及服务注册中心的SOA原型系统。基于BLP模型提出了一种SOA架构下的强制访问控制模型,使用多级安全策略,结合XML加密/解密、SOAP扩展等安全技术,提出并设计了客户端安全代理和XML安全代理网关两个功能模块,将系统的控制点前移,对服务资源及使用者进行细粒度的访问控制,能够很好地满足SOA的安全特性。     

一个无线安全网关的设计和实现

作为传统局域网的补充和扩展，IEEE802.11得到了迅猛的发展，与此同时无线网络的安全问题得到了广泛的关注。网络安全研究者已经达成共识：无线网络提供了到原有布线网络的入口，和Internet一样，无线网络要当作不信任源来看待。本文描述了一个无线安全网关，它提供多种灵活的安全机制，包括用户认证、授权和加密。网络管理人员可以选择其中某一种或者多种机制来实现其安全策略，而对客户端的要求很少，一般除操作系统自带的软件（包括浏览器、Ipsec）外不需要安装新的客户方软件。这使得无线安全网关非常适合用于提供公共的无线接入。     

应用区域边界授权模型

应用区域边界安全系统是一个关防系统,它在使用过程中能否达到保护应用环境安全的目标是由其安全授权规则集的完备性和一致性及对其授权的简便性决定的。应用环境中的主体是通过各种不同的应用协议对客体进行访问的,它们在通过应用区域边界安全系统时,应用区域边界安全系统将根据安全授权规则集对其访问请求进行检验,若满足安全授权规则集要求,则允许通过,反之拒绝。因此,我们根据访问请求所涉及的主体、客体、协议、安全策略等部件,给出了应用区域边界授权的体系结构,同时在给出刻画它们特性的谓词基础上,提出了易于表达安全策略的应用区域边界形式化授权模型。对此形式化模型进行编译不仅可以根据安全策略对授权的合法性进行检验,而且也可以及时发现安全策略中存在的漏洞,从而可以得到一个正确的安全授权规则集。     

使用IPSec保护网络安全的研究和实践

该文首先探讨了使用IPSec(Internet协议安全)及其筛选规则对网络的进出通信进行过滤和筛选的方法,并叙述了在windows2000server网关服务器中创建和配置IPSec规则的步骤,通过在网关服务器上正确的设置IPSec可以用来保护小型局域网的网络安全。     

基于Peach Fuzz的媒体网关安全测试

随着互联网技术和计算机技术的发展,软件在各行各业的应用越来越广泛。随之而来的软件安全问题也越来越突出。在常见的软件安全测试工具中,Peach Fuzz是一款优秀的安全测试工具,能在多种操作系统上运行,支持多种协议的模糊测试。结合媒体网关安全测试工作实践,介绍了Peach Fuzz测试的基本结构和特点;介绍了H.248协议和SCTP协议;叙述了媒体网关的测试模型;详细叙述了基于Peach Fuzz的媒体网关安全测试过程,其主要内容包括搭建和部署Peach Fuzz测试执行机、测试执行机对接测试环境、Peach Fuzz测试套的调试和连跑、Peach Fuzz测试的观测方法、测试结果分析。最后介绍了一个测试案例。工作实践表明采用Peach Fuzz工具进行媒体网关安全测试,有助于提高媒体网关产品的安全可靠性,提升产品质量。     

基于Linux和IPSec的VPN安全网关设计与实现*

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务,可以保证数据在传输过程中的安全;Linux是一个开放的操作系统,在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关,并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程,同时对这种安全网关性能进行了分析。     

基于Linux和IPSec的VPN安全网关设计与实现

IPSec协议通过对IP数据包的加密和认证能够提供网络层的安全服务，可以保证数据在传输过程中的安全；Linux是一个开放的操作系统，在开放的操作系统平台上开发的安全系统具有更高的可靠性和安全性。在此基础上设计了一种基于Linux和IPSec协议的VPN安全网关，并详细阐述设计原则、功能、安全机制以及VPN安全网关实现过程，同时对这种安全网关性能进行了分析。     

DECENT: Secure and fine-grained data access control with policy updating for constrained IoT devices

The Internet of Things (IoT) is a novel paradigm where many of the objects that surround us can be connected to the internet. Since IoT is always related to user’s personal information, it raises lot of data security and privacy issues. In this paper, we present a secure and fine-grained data access control scheme for constrained IoT devices and cloud computing based on hierarchical attribute-based encryption, which reduces the key management by introducing hierarchical attribute authorities. In order to relieve local computation burden, we propose an outsourced encryption and decryption construction by delegating most of laborious operations to gateway and cloud server. Further, our scheme achieves efficient policy updating, which allows the sender device to update access policies without retrieving and re-encrypting the data. The security and performance analysis results show that our scheme is secure and efficient.     

万兆时代的安全网关

随着互联网应用越来越广泛,骨干网上的数据量越来越大,致使相应的网络安全产品规格也越来越高。作为企业内网与外网连接的咽喉要道—安全网关,自然需要承载更多的任务,于是从百兆到千兆、再到万兆的安全网络产品纷到沓来。文中以联想万兆级安全网关产品为例,论证了万兆安全网关的出现不仅仅是带宽上的简单变化,更多的是核心技术的发展和更新。