| 题名 | Evaluation of Cyber Security Based on Niagara Framework |
| 作者 | 马和(ALBETTAR MAHER) |
| 答辩日期 | 2019 |
| 导师 | 冯涛 |
| 关键词 | 网络安全 物联网安全 Niagara框架 嵌入式系统 JACE控制器 |
| 学位名称 | 硕士 |
| 英文摘要 | 物联网(Internet of Things)作为新一代信息技术的重要组成部分,逐渐被应用到环境监测、智能交通、工业生产、物流跟踪等领域。Tridium公司研发了Niagara物联网框架用于搭建物联网监控系统,以实现泛在网络异构设备互联互通。Niagara框架作为一套开放的物联网平台,使用Java虚拟机作为跨操作系统和硬件平台的通用运行的环境,该框架设计兼容所有网络集成协议,也适用于能够运行Java虚拟机的嵌入式系统。该框架实现了自下而上各个功能的模块化开发和封装,并以Java库的方式开放出来,供第三方开发者调用。但是这给安全漏洞和隐患的产生提供了条件,基于Niagara框架的应用系统也将面临很多安全风险和威胁。目前,Niagara框架的研发和应用还处在起步阶段,框架本身也存在一些潜在安全漏洞,需要进一步的修复和完善工作。在2018年6月发布的新版本中,Tridium公司对Niagara AX和Niagara 4中存在的安全漏洞进行了修复工作。其中威胁级别较高的一个是路径遍历漏洞,该漏洞存在于Niagara 4 Framework 4.4之前版本中。该漏洞源于程序未能充分的过滤用户提交的输入。远程攻击者可借助合法的平台管理员凭证利用该漏洞获取敏感信息。目前Tridium公司已发布升级补丁修复了该安全漏洞。随着Niagara物联网框架的版本升级和监控系统中的应用部署,会出现各种不同类型的安全漏洞,需要研发人员持续的检查和修复工作,研究该框架的安全问题也是一项有意义的工作。本文分析了针对Niagara物联网框架的典型安全威胁和攻击方式,包括通过公司信息系统去访问未经授权访问工业网络,从而对Niagara框架及其网络系统进行攻击。本文首先描述了Niagara框架的基本组成结构,在此基础上讨论了与Niagara框架有关的典型威胁。针对不同安全威胁,本文提出了各自的解决方案。本文主要涉及三种安全威胁以及解决方案。第一种是Cookie和会话ID攻击。为了避免Cookie和会话ID攻击,我们需要避免会话劫持,并确保登录页面中涉及经过身份验证的Cookie。第二种是CSRF攻击,当使用Servlet页面时会发生该种攻击。为了避免这种攻击,本文提出了向Servlet页面添加一个身份验证令牌的方案。第三种攻击是网络攻击,发生在请求权限的时候,为了避免这种攻击,需要检查Niagara框架模块上的请求权限。本文对上述三种安全威胁做了安全评估,分析了存在的Niagara框架的潜在安全漏洞,研究了针对Niagara物联网框架可能攻击因素。针对三种不同的安全漏洞,提出了解决方案,并做了安全验证实验。测试实验表明,本文提出的应对方案是有效的,可以消除潜在的安全漏洞,在一定程度上可以提高Niagara框架的安全性能。 |
| 语种 | 中文 |
| 页码 | 84 |
| URL标识 | 查看原文 |
| 内容类型 | 学位论文 |
| 源URL | [http://ir.lut.edu.cn/handle/2XXMBERH/95548]  |
| 专题 | 兰州理工大学 |
| 作者单位 | 兰州理工大学 |
| 推荐引用方式 GB/T 7714 | Ma H. Evaluation of Cyber Security Based on Niagara Framework[D]. 2019. |
| 个性服务 |
| 查看访问统计 |
| 相关权益政策 |
| 暂无数据 |
| 收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论