设备安全协议书

2024-04-15

设备安全协议书（精选8篇）

篇1：设备安全协议书

设备搬迁安全协议书

甲方：广州帕卡汽车零部件有限公司乙方：

现乙方在甲方场地进行设备搬迁就安全生产、防火及治安问题，经双方友好协商，达成协议如下：

一、设备搬迁安全要求：

1、乙方在施工前要认真勘察现场，施工项目由乙方按甲方的要求自行编制施工组织设计，制定有针对性的安全技术措施计划，并严格按施工组织设计和有关安全要求施工，作为安全管理的主体单位，乙方对拆除、搬迁施工全过程的安全负全部责任。

2、施工期间,乙方指派__________ ___(电话_______________)为专职安全人员，负责现场有关安全、防火及文明施工工作，对施工过程中以及施工机具的安全及隐患问题，应及时纠正、整改。

3、乙方在施工期间必须严格执行和遵守甲方的安全生产、文明施工及防火管理的各项规定；

4、督促施工现场人员自觉穿戴好个人防护用品；

5、特种作业必须执行国家《特种作业人员安全技术培训考核管理规定》,持证上岗并按规定定期审证；机械作业必须做到“定机定人”和持证操作；起重吊装作业人员必须遵守“十不吊”规定,严禁违章、无证操作；严禁不懂电器、机械设备的人擅自操作使用电器、机械设备。

6、乙方必须按照甲方要求，保障甲方设备的搬运的及时、安全，不得损坏、丢失，并按要求将设备摆放到指定位置。

7、乙方应当接受甲方的安全管理监督，对甲方安全检查人员依法实施的安全生产、防火及治安监督检查，要给予支持和配合，采取必要的预防措施，消除事故隐患。

8、设备装、卸过程中，严格遵守安全规章制度，不违章作业、违章蛮干，听从甲方及装卸地现场管理人员指挥的，如有违反，甲方有权要求乙方停止作业，严重的可禁止乙方进场。

9、进入甲方厂区，乙方运输车辆必须服从甲方的统一管理、调度和指挥，严格遵守厂区交通规则，积极维护厂区交通秩序，保证厂区道路的畅通和运输安全，不得乱停、乱靠、乱装、乱卸，不得争道抢行，不得超速超载。

10、设备拆卸、安装过程需确保设备本身的安全装置完好。

二、相关责任：

1、拆除、搬运工程的现场情况甲方要向乙方进行技术交底，并协助乙方做好现场安全管理工作。

2、在搬运期间乙方人员、车辆及财产等所出现的安全问题由乙方全权负责。如在搬运过程中乙方造成人身伤害、交通事故或机器设备车辆及工器具的损坏等事情，由此产生的责任和费用一切由乙方承担。

3、乙方人员对所在施工区域、作业环境、操作设施设备及工具等必须认真检查,发现隐患立外包工程安全生产、防火、治安承包协议书

即停止施工,落实整改后方准施工。一经施工,就表示施工单位确认施工场所、作业环境、设施设备、工具用具等符合安全要求和处于安全状态。施工单位对施工过程中由于上述因素不良而导致的事故后果负全责。

4、施工期间，乙方应对施工人员进行安全教育，并对他们的安全负责，不得违反安全管理规定强行施工，期间因乙方责任导致的安全事故（人身、设备和机械等伤害）、交通事故和因此发生的所有费用由乙方承担。

5、所吊、运设备、物品出现丢失、损坏的，由乙方负责全额赔偿。

6、乙方必须对其所有的运输装卸人员负责，造成的人身伤亡、安全事故、火灾事故，乙方应按有关规定立即上报有关部门并及时通知甲方，并有关法律、法规要求处理。由于乙方安全措施不力造成事故的，由乙方承担所有责任；造成甲方损失的，乙方负责全部赔偿，并承担一切法律责任。

7、乙方人员发生工伤事故，或因乙方责任造成甲方人员发生工伤事故，视为乙方违约，甲方有权中止合同，所有损失由乙方负责。

8、违反上述规定的，甲方有权对乙方酌情处以100~10000元人民币违约金，发现一次处罚一次。乙方不交纳违约金的，甲方可以从乙方货款中扣除。

三、解决争议方式：

对安全生产、防火及治安事故责任有争议时，双方先友好协商，协商不成的，应按政府有关部门的认定处理。

四、本协议经双方代表签字后生效。协议一式两份，甲乙双方各执一份，此协议作为合同附件具有同等法律效力。

甲方：广州帕卡汽车零部件有限公司乙方：

(盖章)(盖章)

签字代表：签字代表：

签字日期：年月日签字日期：年月日

外包工程安全生产、防火、治安承包协议书

篇2：设备安全协议书

甲方：

乙方：

为了保证建筑机械的正确、安全使用，发挥机械性能，确保安全生产，经甲乙双方协商，特制定机械操作安全协议书。

1、乙方操作人员应体检合格，无妨碍作业的疾病和生理缺陷，并经过专业培训考试合格取得建设行政主管部门颁发的操作证后，方可持证上岗。乙方将上岗人员的操作证复印件交给甲方设备管理员存档。

2、操作人员操作设备要做好班前、班中和班后的检查，认真执行清洁、润滑、紧固、调整、防腐等设备保养的十字方针，保证设备的机身清洁，状况良好，确保设备的安全正常使用。在作业过程中，应集中精力正确操作，注意机械状况，不得擅自离开工作岗位或将机械交给其他无证人员操作，严禁无关人员进入作业区域操作室内。

3、甲方负责对乙方所有机械操作者进行应知考试，对不及格者禁止上岗操作机械设备。负责对机械设备每月进行安全检查，对查出的安全隐患限期整改，对重大安全隐患可以责令停工整改。

4、操作人员应遵守机械有关保养规定，认真及时做好各项保养工作，经常保持机械的完好状态。操作人员应熟悉作业环境和施工条件，听从指挥，遵守现场安全、生产规程。施工设备的卷扬机、搅拌机、翻斗车乙方要按甲方的要求填好“机械履历书”，每天工作台时，各级保养要认真填写。

5、乙方进入施工现场的机械设备必须配备专职维修人员，负责设备的维修保养，发现机械故障和事故隐患，及时上报施工队负责人和甲方设备管理人员。

6、塔式起重机信号指挥人员必须持证上岗，穿反炮背心或带袖标，对无证指挥造成人身、机械事故的，施工队负全责，并接受相关部门的处理。

7、乙方施工人员必须使用双重绝缘或加强绝缘的电动工具，使用前应检查外壳，手柄是否出现裂缝、破损，电缆软线及插头等是否完好无损，保护接零连接正常，牢固可靠，防护罩齐全牢固，电器装置安全可靠。如使用I类工具，必须采用其它安全措施，如漏电保护电器、安全隔离变压器等，否则使用者必须戴绝缘手套，穿绝缘胶鞋或站在绝缘垫上，确认安全后方可使用。

8、机械设备、电动工具不得带病运转，运转中发现不正常时，应先停机检查，排除故障后方可使用。

9、各种配电箱、开关箱应配备安全锁，箱内不得存放任何其他物件，并应保持清洁，非本岗作业人员不得擅自开箱合闸。每班工作完毕后应切断电源锁好箱门。

10、电器设备或线路发生火警时，应首先切断电源，在未切断电源之前，不得使身体接触导线或电气设备。也不得用水或泡沫灭火器进行灭火。

11、使用机械与安全生产发生矛盾时，必须首先服从安全要求。

12、当机械发生重大事故时，必须及时上报和组织抢救，保护现场、查明原因、落实及完善安全措施，并按事故性质严肃处理。

13、乙方使用甲方的、或外租设备时，严格按照操作规程操作。设备发生故障要及时通知甲方，雨雪天电机及设备要覆盖。设备存在故障时，强行使用的，雨雪天电机及设备未覆盖，造成设备、电机损坏的，机械设备配件丢失的，由乙方负责设备配件及维修费用。

14、乙方进入施工现场的中小型设备，安装后应报甲方安全和机械设备管理员，验收合格后方可使用。

15、所有外施队进入现场的设备都必须符合安全操作规程，要做到“轴有套，轮有罩”，对不按规定擅自将不安全的设备进入施工现场，所发生的人身机械事故由施工队负全责，并接受项目及安全部门的处罚。

16、乙方的锅炉、压力容器等进入施工现场必须执行北京市技术监督局文件《关于进一步加强特种设备安全监察工作的决定》（京质监特发[2004]366号）。未经检测不准在施工现场使用。压力表每年检测一次，不得随意调压，要求每天将气罐内杂质放掉，及时填加空压机机油。

17、乙方的搅拌机棚和木工加工棚必须采取降低噪音和粉尘的措施，达到环保要求。

18、本协议及甲方提供给乙方设备安全操作规程，乙方操作人员必须学习遵守，因操作人员违反本协议及操作规程而引发的机械、安全事故，由乙方负责，并接受项目及相关部门的处理。

本协议一式二份，甲乙双方各执一份。

本协议与双方经济合同时效相同，签订经济合同的同时，签订本协议，经济合同到期，本协议同时终止。

附：违章、违规使用机械设备的处罚条例

甲方单位（章）乙方单位（章）

项目负责人：项目负责人：

年月日年月日

机械操作安全保证书

1、为了保证建筑机械的正确、安全使用，发挥机械性能，确保安全生产，特制定机械操作安全保证书。

2、操作人员应体检合格，无妨碍作业的疾病和生理缺陷，并经过专业培训考试合格取得建设行政主管部门颁发的操作证后，方可持证上岗。

3、操作人员在作业过程中，应集中精力正确操作，注意机械工况，不得擅自离开工作岗位或将机械交给其他无证人员操作，严禁无关人员进入作业区域或操作室内。

4、操作人员应遵守机械有关保养规定，认真及时做好各项保养工作，经常保持机械的完好状态。操作人员应熟悉作业环境和施工条件，听从指挥，遵守现场安全、生产规程。

5、机械不得带病运转，运转中发现不正常时，应先停机检查，排除故障后方可使用。

6、各种配电箱、开关箱应配备安全锁，箱内不得存放任何其他物件，并应保持清洁，非本岗作业人员不得擅自开箱合闸。每班工作完毕后应切断电源锁好箱门。

7、电器设备或线路发生火警时，应首先切断电源，在未切断电源之前，不得使身体接触导线或电气设备。也不得用水或泡沫灭火器进行灭火。

8、使用机械与安全生产发生矛盾时，必须首先服从安全要求。

9、当机械发生重大事故时，必须及时上报和组织抢救、保护现场、查明原因、落实及完善安全措施，并按事故性质严肃处理。

10、因操作人违反操作规程，造成机械的损坏，修理及配件费用由操作人的施工队全部负担、赔偿，并在与项目部结算时扣除赔偿费。

甲方单位（章）乙方单位（章）

项目负责人：项目负责人：

年月日年月日

违章、违规使用机械设备的处罚条例

为保障施工安全生产的需要，充分发挥机械的效能，杜绝机械事故和人身伤害的发生，特制定以下条例：

一、严格执行国家“建筑机械使用安全技术操作规程”，违反本规程、发号命令人和操作及其它人员，都进行必要的处罚。

二、机械设备操作人员经培训后持证上岗，合理使用机械设备，并专人负责，对无证驾驶操作设备或将设备交给无证人员操作者，罚款50-100元。机械运转中精力不集中擅离工作岗位，超载作业和任意扩大使用范围，造成一般机械事故者，罚款100-200元，严重事故者200-500元。

三、施工现场的机械设备应保持完好无损、规范，做到清洁、润滑到位，紧固调正符合技术要求，机械周围环境干净利索，无污染，凡经检查和抽查不合格者对操作人员罚款50元。

四、塔式起重机信号指挥人员必须持证上岗，必须穿反光背心或带袖标，对无证指挥的信号工罚款50-100元。

五、外施队自带机械设备应服从管理并持有正规厂家新产品合格证书，并符合安全生产的要求，经机械设备部门检验合格后方可使用，擅自使用“三无、仿造、伪劣”产品，出现安全事故延误生产，视其程度给予100-200元罚款。并责令三无、伪劣设备退出施工现场。

六、机械设备安全防护装置、指示、警报、仪表、限位标识、安全操作规程牌、信号等，不得随意拆卸和损坏，无此装置或失效不得使用，继续使用者罚款50-100元。各种指示标识、限位标识、安全操作规程牌损坏或丢失的，罚款50-100元。

七、机械设备出现故障苗头，应及时排除，带病强行作业，发号命令指示他人违规使用造成重大机械事故或报废，甚至造成人身伤害的责任人，要严肃处理，重罚500-1000元，并承担刑事责任，后果自负。

以上条款各施工队认真遵照执行，真心理解与合作。

对那些违章、违规后不交罚款者，将通过财务从工程款中扣除。

篇3：设备安全协议书

具有联网功能的嵌入式设备在日常生产、工业控制等领域的应用日益广泛。远程软件更新功能既可用于产品的缺陷修正, 也可以对产品功能进行远程升级, 已成为嵌入式产品中的重要功能模块, 随之大量的更新方案被提出。这些更新方案各自的侧重不同, 有专门针对通信手段的研究, 有专门针对通信帧的设计[1，2], 也有各种解决更新失败问题的可靠性方案[3 - 5]。但是, 针对远程更新过程中的安全性研究还较少, 没有安全防护的远程更新很有可能成为黑客攻击的突破口。

北京深思洛克数据保护中心曾提出过一种信息安全设备的远程升级方法[6], 是基于密码算法对软件进行数字签名来保护其安全性, 此方法安全性高, 但设备需要配置多种密码算法, 占用资源较多, 实现较复杂, 不适用于资源较少的嵌入式设备。

本文分析了远程更新的安全风险, 以远程更新过程中的相互认证和软件完整性保护为重点, 提出了一种轻量级的基于Hash函数的嵌入式设备远程安全更新协议。

1 普通远程更新过程

普通远程更新过程如图1 所示。设备管理系统负责嵌入式设备软件版本的维护和更新过程的发起, 嵌入式设备上的软件一般分成两个部分: Boot Loader和待更新软件, 其中Boot Loader负责软件的校验和更新。为防止软件在传输过程中产生误码影响软件的正确性, 通信协议中都加入了校验和字段, 校验和的计算方式一般都采用CRC校验, 这种校验方式能较好地防止软件传输错误, 实现可靠更新, 但没有考虑安全措施, 无法对接收到的更新信息进行任何合法性验证, 从而使得网络中的攻击者能够利用或破坏嵌入式设备。

2 安全问题分析

由于专用网络建设和维护费用较高, 一般嵌入式设备更新都基于公用网络进行, 而公用网络的开放性使得更新过程容易遭到各种安全攻击。

例如, 在更新信息的传输过程中, 攻击者可截获并篡改软件信息, 重新计算校验和, 并将篡改后的更新信息发送至嵌入式设备, 或者直接伪造更新信息发送至嵌入式设备, 而嵌入式设备通过更新接口接收到篡改或伪造的升级信息后, 不进行任何合法性认证即直接对其内部软件进行升级, 从而使得该设备被攻击者利用或破坏。

由此可见, 大部分嵌入式设备远程更新的可信性不高, 无法保证远程更新后设备的安全性。为保证嵌入式设备远程更新的安全性, 安全更新协议设计要满足以下两个方面的需求:

1) 相互可认证性: 嵌入式设备要能对更新信息的来源进行合法性验证, 防止攻击者冒充设备管理系统发起更新; 设备管理系统要能对设备进行认证, 防止设备假冒, 在设备已被控制的情况下告知管理系统更新成功。

2) 完整性保护: 对传输的更新信息利用密码算法进行完整性保护, 在数据遭到误码或篡改时能够检测到, 并拒绝更新。

基于传统的PKI体系架构来解决身份认证、完整性、机密性等安全需求无疑是目前最好的解决方案。但是, 支撑PKI体系的公钥密码算法、数字证书解析与验证等多种技术实现较为复杂, 而嵌入式设备的硬件资源和空间一般都比较受限, 不适合采用复杂的安全协议。

本文提出一种轻量级的嵌入式设备安全更新协议, 仅需要嵌入式设备具备伪随机数发生器和Hash函数运算能力。

3 安全更新协议设计

3. 1 Hash函数

Hash函数是现代密码学重要的密码算法, 它将任意长度的消息压缩到固定长度的信息摘要, 任意比特的变化即可导致摘要结果变化, 可用于验证信息来源的真实性和数据的完整性, 一个函数h为密码学安全Hash函数具有以下安全属性:

1) 给定x, 计算h ( x) 容易, 但给定h ( x) , 求x计算上不可行。

2) 对于任意x, 找到一个y, 且y≠x使得h ( x) = h ( y) , 计算上是不可行的; 同时, 发现一对 ( x, y) 使得h ( x) = h ( y) , 计算上也是不可行的。

常用的Hash函数由MD5、SHA-1、SHA-256, 由于MD5、SHA-1 已存在风险, 建议采用SHA-256 作为更新用的Hash函数。

3. 2 安全协议设计

在初始状态下, 每台嵌入式设备在生产时均保存自身的唯一编码No, 内含伪随机数发生器和Hash运算函数。设备编码应至少32 字节长度, 编码规则应较为复杂, 建议采用随机序列。设备管理系统存储着所有设备的编号以及部署位置等相关信息, 能够进行复杂的运算。

按照消息传递的顺序, 本协议与安全相关的主要步骤如图2 所示。

步骤1: Query

设备管理系统生成一个伪随机数Rg, 向嵌入式设备发送认证请求, 同时将随机数Rg发送给设备。

步骤2: Response

设备生成一个伪随机数Rd, 计算Res = h ( h ( No) ⊕ Rg ⊕Rd) , 其中h为Hash函数, No为设备的唯一编码。设备将Res发送到管理系统。

设备管理系统接收到Res后, 在相应的后台数据库中去查找是否存在某个设备编码Noj ( 1≤j≤n) , 使得h ( h ( Noj) ⊕ Rg⊕ Rd) = h ( h ( No) ⊕ Rg ⊕ Rd) 成立。若找到这样的Noj, 则管理系统通过对设备的认证, 并计算Rep = h ( h ( No) ⊕ Rd) , 发送给设备; 若找不到这样的Noj, 则管理系统保持沉默, 认证过程终止。

步骤3: Reply

设备管理系统将Rep = h ( h ( No) ⊕ Rd) 发送给设备后, 设备验证h ( h ( Noj) ⊕ Rd) = h ( h ( No) ⊕ Rd) 是否成立。若两式相等, 则设备对管理系统的认证通过, 准备接收新版本软件, 否则返回拒绝更新的消息。

步骤4: Soft Ware Update

设备管理系统根据新版本软件和设备唯一编码计算h ( Soft Ware‖h ( No) ) , 将软件和h ( Soft Ware‖h ( No) ‖Rd) ) 一并发送给设备。设备收到后验证h ( Soft Ware‖h ( No) ‖Rd) ) = h ( Soft Ware‖h ( Noj) ‖Rd) ) 是否成立。若两式相等, 则表明软件未经过篡改和误码, 开始擦除原有软件, 写入新软件; 否则拒绝更新发送告警信息。

3. 3 协议安全性分析

本协议是基于Hash函数和静态设备编码的协议, 具有以下安全性质和特点。

1) 成本低。嵌入式设备只需要存储自身的设备编码, 并实现Hash函数和伪随机数发生器, 不需要复杂的基于公钥密码算法的数字签名运算, 占用代码空间小, 运算简单, 成本低。

2) 双向认证。本协议中设备管理系统与嵌入式设备之间通过相互挑战和相应来进行相互认证。在每次认证过程中, 管理系统和设备都产生新的随机数Rg和Rd发出挑战, 所以攻击者不能通过侦听并重传来进行攻击。只要攻击者不知道设备编码就无法假冒管理系统和设备通过认证, 设备编码设计使得通过猜测重试的方法在计算量上不具备现实性。所以, 该协议实现了双向认证, 对重传攻击和假冒攻击具有安全性。

3) 带密钥的完整性保护。本协议中设备管理系统向嵌入式设备发送新版本软件时, 不单纯对新版本软件直接计算摘要值, 而是用设备编码、伪随机数作为密钥参与计算过程, 将密钥和软件连接后生成摘要值, 避免了攻击者了解所使用的Hash函数后可以伪造软件和摘要, 这也是传统更新方式中仅采用CRC校验存在的安全风险。所以, 该协议实现了带密钥的完整性保护, 能够解决软件传输过程中的误码或恶意篡改。

通过上述分析, 可以看出本协议实现了双向认证、完整性保护、可用性, 较好地满足了嵌入式设备远程更新过程中的安全需求。

3. 4 协议形式化证明

在众多认证协议的形式化分析方法中, 最有影响的是1989年由Burrows等人提出的BAN逻辑[7]。由于BAN的简单性带来的局限性, 出现了各种不同类型BAN逻辑的增强与推广, 其中GNY逻辑[8]就是著名的影响力最大的BAN类逻辑之一。

本文的远程安全更新协议前三个步骤就是典型的认证协议, 第四步是在认证通过的基础上进行完整性保护。本文在GNY逻辑符号和逻辑公理[8，9]的基础上, 使用GNY逻辑对本文的认证协议进行形式化的分析与证明。

1) 协议的形式化

把协议的3 条消息按照传递顺序转换成GNY的逻辑符号, 描述如下:

M1: D*Rg, 其中D代表设备。

M2: G*h ( h ( No) ⊕ Rg ⊕ Rd) , * Rd, 其中G代表管理系统。

M3: D*h ( h ( No) ⊕ Rd) 。

2) 证明目标

本文认证协议的证明目标主要有两个: 即交互实体之间对交互信息新鲜性的相信。

G1:G|≡D|~# (h (h (No) ⊕Rg⊕Rd) )

G2:D|≡G|~# (h (h (No) ⊕Rd) )

3) 初始假设

初始假设条件如下:

A1:D∈ (No, Rd) A2:D∈h (x)

A3:G∈ (No, Rg) A4:G∈h (x)

A5: D | ≡# ( Rg, Rd) A6: G | ≡# ( Rd, Rg)

其中, A1 - A4 是设备D、管理系统G的拥有, A5 - A6 是设备D、管理系统G对拥有的新鲜性的相信。

4) 证明过程

证明过程是在初始假设的基础上进行的, 严格遵循文献[8, 9]中所述的逻辑公理来进行证明。Mn表示第n条形式化消息, An表示第n条初始假设, T1、P1、F1 等符号则引用了文献中GNY逻辑推理规则的书写形式。

若G找到某一Noj使得h ( h ( No) ⊕ Rg ⊕ Rd) = h ( h ( Noj) ⊕ Rg ⊕ Rd) , 那么此时No = Noj, 所以有:

如上所示, 证明目标G1 在步骤k) 完成, 证明目标G2 在步骤s) 完成。

4 在嵌入式设备中的实现

本节将具体说明该协议在嵌入式设备中的实现过程。某矿井监控设备主要实现对瓦斯浓度、烟雾、温度等环境参数的监控, 其硬件结构框图如图3 所示。为了能够远程监控, 采用以太网进行组网, 以太网控制器选用RTL8019AS, TCP/IP协议栈选用开源的u IP。

本节重点介绍与安全协议相关部分的实现。

1) 程序的组织方式

CPU中程序分为两部分: Boot Loader和应用程序, Boot Loader负责应用程序的启动和更新, 应用程序实现监控功能, 本文的安全协议在Boot Loader中实现。当CPU复位时, Boot Loader开始运行, 在对寄存器和外围设备初始化后, 向设备管理系统询问是否有升级程序, 若有则开始升级处理, 若没有则跳转到应用程序执行。在应用程序执行时, 若接收到设备管理系统的升级命令时, 停止监控处理, 软复位设备, 由Boot Loader进行升级。

Boot Loader的地址空间分配为0-0x4000, 共16K, 应用程序的地址空间分配为0x4000-0xffff, 共48K, 分别编译链接。

W78E516B支持ISP功能, 设备出厂时Boot Loader通过ISP方式烧写到FLASH中的相应地址, 应用程序由Boot Loader烧写到相应地址。

该设备的应用程序为21K, 为确保能烧写成功, 设计了备份机制。应用程序地址空间分为相等的两部分, 其中后一部分为备份区。烧写时首先写入备份区, 等成功后再写入实际程序区, 必要时可利用备份区的程序更新实际程序。

2) 伪随机数发生器

该设备选用了线性叠加伪随机数的产生方法, 该方法的计算公式为: 种子= A × 种子+ C, 此公式在几何图中表示一条直线, 而且新种子由旧种子反复相加得来, 所以叫线性叠加。

在常数的选择上, 根据前人的经验值, A选择1664525, C选择1, 可以获得较好的随机性。

该设备采用了定时器输出和A/D转换器输出相异或的值作为随机数的第一个种子。

3) Hash函数

该设备选用了SHA-256 算法作为Hash函数, 该算法有常见的C语言版本, 移植较为容易。

4) 安全协议

该设备完全按照上文的安全协议实现。需要注意的是, 在协议的第4 步, 由于嵌入式协议栈不能缓存较多数据, 应用程序要分包发送, 设备需要将接收到的软件暂时保存到外部RAM中, 全部接收并校验通过后才可进行FLASH擦除和烧写。

5 结语

缺少安全协议的嵌入式设备远程更新方案在网络安全形势日益严峻的情况下已面临诸多威胁。本文在分析远程更新安全需求的基础上, 考虑到嵌入式设备资源受限特殊情况, 以双方相互认证和完整性保护为重点, 提出了一种基于Hash函数的轻量级安全协议, 通过安全分析和形式化证明, 表明该安全协议能够解决远程更新过程中的安全问题。该协议已在某矿井监控设备中实现, 效果良好。

参考文献

[1]章杰.基于ARM7的远程升级的实现[J].福建电脑, 2009, 25 (11) :175-176.

[2]周立功.深入浅出ARM7[M].北京:北京航空航天大学出版社, 2005:426-438.

[3]王恒.基于Bootloader的可靠嵌入式软件远程更新机制[J].微计算机信息, 2007, 23 (20) :57-59.

[4]王恒.一种高可靠的嵌入式软件远程自更新机制的研究与实现[J].工业控制计算机, 2007, 20 (9) :39-43.

[5]库少平, 田云芳.基于Nand Flash的VIVI装载器的分析与改进[J].微计算机信息, 2009, 25 (8) :76-78.

[6]孙吉平.信息安全设备的远程升级方法及系统:中国, 200710177208[P].2008-04-16.

[7]Burrows M.A Logic of Authentication[J].ACM Transactions on Computer Systems, 1990, 8 (1) :18-36.

[8]Gong L, Needham R.Reasoning About Belief in Cryptographic Protocols[C]//Proceedings of the 1990 IEEE Computer Society Symposium on Research in Security and Privacy, IEEE Computer Society Press, Los Alamitos, California, 1990, 5:234-248.

篇4：设备安全协议书

OXC主要应用于格形骨干网、城域网和骨干网与城域网汇接处。通过波长路由优化算法(RWS)，OXC可以动态重构网络。当网络发生故障时，OXC可以为故障段的光通道重选路由，实现网络的自动恢复，从而提高了网络的生存性。

OXC的交换核心可以在电域或光域完成。电域的交换核心要求OXC具有O/E、E/O的能力，允许信号再生，改善信号传输质量，但造成电子瓶颈；光域的交换核心主要依靠空间光开关矩阵来实现，对业务具有透明传输的特性，光域交换的OXC的交换粒度可以分为波长、波长组和光纤级别，不同交换粒度的OXC结构不同。

光分插复用设备

光分插复用设备(OADM，Optical Add－Drop Multiplexer)是光网络内重要的网元设备之一。它可以看成是OXC在功能上的简化，其主要功能是实现上下路，即从传输的多波长信号中选择通往本地的下路的光信号，同时上路本地光信号，而不影响其他信道，并保持光域的透明性。OADM在环形网中有重要的应用。

OADM可分为非重构型和可重构型。非重构型的OADM上下路的波长固定，上下业务的路由固定，通常由解复用器、复用器和固定滤波器构成，特点是没有延时，性能稳定可靠，但缺乏灵活性；可重构型的OADM上下路波长和业务路由可以选择，通常由光开关、可调谐滤波器等构成，结构较前者复杂，但能对光网络动态重构，组网灵活。

自动交换光网络

自动交换光网络 (ASON，Automatic Switched Optical Network)是在2000年3月的ITU－T SG13会议上正式提出并开始规范的。它的诞生是为了适应光传送网在发展过程中对智能化和自动化的迫切需求。在ITU的2001年到2004年的研究周期内，ASON的研究由ITU－T SG15承担。目前涉及ASON标准化工作的组织有ITU－T、OIF、IETF等。

ASON显著特点是具有提供动态连接的能力，能够支持多种类型的业务，可根据实际的需求对带宽进行实时分配以实现光通道中的流量工程，有利于更迅速地引入各种新的增值业务。

ASON网络结构主要包括3个独立的平面：传送平面(TP)、控制平面(CP)和管理平面(MP)。控制平面是ASON的核心。控制平面主要包括资源发现、状态信息分发、路径选择和路径管理4个基本模块，能够提供快速和更加灵活的连接建立功能。

ASON能较好地符合光网的发展需求和网络业务、网络结构多样性的特点，被认为是下一代光传送网的发展方向。

多协议标记交换

多协议标记交换(MPLS，Multi－Protocol Label Switching)是由IETF于1997年提出的技术，它是面向连接的分组转发技术和IP路由协议的结合。MPLS采用ATM中的标记交换思想和高速分组转发技术，为数据分组在通过网络时提供有效的选路和转发功能，同时能有效地应用于网络的流量工程中。MPLS中的多协议是指MPLS所支持的协议不仅包括IP，而且还包括ATM、帧中继等其他协议。MPLS中的标记是指在MPLS网络中，边缘标记交换路由器(LER)根据数据分组的地址等信息为该分组分配的一个简单的固定长度的标记，并加贴在该分组的前面，分组的转发是根据标记值来进行的。

MPLS网络中的操作步骤包括：标记的创建和分发、标记表的建立、标记交换路径的建立、标记插入/查表、分组转发。

篇5：设备安装安全协议书

甲乙双方依照《安全生产法》等有关规定，为确保施工现场安全生产，双方就设备现场安装事项协商一致，订立本协议书。

1、乙方在甲方现场安装设备必须认真贯彻执行国家及地方政府有关安全生产的法规制度，建立健全施工现场安全生产保证体系，对施工现场的安全生产负总责。

2、乙方制定施工现场安全管理制度，布置、实施、检查施工的安全生产情况，对设备的现场安装进行监督、检查和管理。

3、甲方提供施工用电源，配电箱以下的部分由乙方负责，自带功率表配电盘；

4、甲方对乙方的施工现场有监督检查权，对检查中发现的隐患有权责令整改、停工整顿。

5、乙方负责对施工人员进行安全教育。确保现场施工人员安全施工。杜绝施工人员违章指挥、违章作业等行为。

6、乙方要保障施工现场的消防安全。

7、乙方对的施工用电设备和用电安全全面负责。

8、乙方自带设备和雇佣设备的安全性和使用、维修安全全面负责。

9、乙方负责为本单位施工人员提供符合国家标准的个人劳动防护用品，如工作服、安全帽等，并监督、教育其正确佩戴和使用。

10、乙方施工人员及雇佣的人员在施工时不允许喝酒。

11、高空作业必须佩戴安全带，安全帽等，并正确使用。

12、乙方要对自己施工范围内的施工人员的安全、使用设备的安全负全责，出现的任何问题均由乙方负责，甲方不负任何责任。

13、乙方要对所施工的设备的安全、质量负全责。

14、乙方在施工中不得损坏甲方的设施，出现问题要照价赔偿。

15、乙方施工人员要搞好团结，不允许打架斗殴，出现问题乙方自己处理并负责。

14、乙方要服从甲方统一的协调和管理，并对所施工区域内的文明施工负责，保证施工区域内的设施完好、道路畅通、环卫卫生符合要求。

15、本协议自签订之日起生效，双方代表签字后与经济合同具有同等效力。

本协议一式两份，甲乙双方各保存一份。

甲方：北京国能子金电气技术有限公司乙方

责任代表签字责任代表签字

篇6：食堂设备维修安全协议书

甲方：淄博外国语实验学校

乙方：

为了进一步加强学校食堂设备安全管理，切实保障设备使用安全，根据有关规定，结合我校实际，甲、乙双方签订食堂设备维修安全协议书，主要事项如下：

一、乙方必须持有工商营业执照、有效个人证件，负责为甲方维修、维护食堂设备。

二、乙方必须严把质量关，维修、维护的设备必须符合相关安全要求。在规定的条件和期限内不发生安全问题，否则赔偿甲方的全部损失，并承担相应的法律责任。

三、乙方必须根据甲方提出的要求进行设备维修及维护，并在甲方规定的时间内及时维修。甲方配合乙方在维修过程中，提供必要的维修帮助。

四、乙方要树立服务意识，虚心听取甲方意见，自觉接受甲方监督管理，保证甲方食堂设备安全运行。如因质量问题出现不安全事故要承担全部责任。

五、甲方按照相关安全要求，严把验收关，如发现不合格情况，经提醒、警告后仍未改进的，甲方有权终止协议。

六、本协议一式二份，甲、乙双方各持一份，自盖章（签字）之日起生效。有效期一学期。

甲方（签章）：乙方(签章）：

篇7：设备租赁(使用)安全协议书.

一、甲方权利与义务

1、甲方提供符合起重设备拆装的场地。

2、甲方有权利对进场的起重设备进行检查、验收,对不符合使用要求或存在缺陷的起重机,甲方有权利要求乙方更换符合使用要求的起重设备。

3、甲方有经常对操作人员进行安全教育与培训的权利。

4、甲方可以根据实际情况制定安全管理制度,负责起重机的安全管理,保证使用安全,乙方必须服从甲方管理制度。

5、甲方有权利更换不符合要求的起重机操作者。

5、甲方为设备提供良好的工作条件,确保设备安全正常运行。

二、乙方权利

1、乙方提供的起重设备应各种安全设施齐全、有效,符合技术要求。

2、乙方必须每台设备配备专业的两名人员持证上岗。否则造成的一切安全事故由乙方承担。

3、凡在施工中因乙方操作人员违章作业挥造成的安全事故,乙方承担一切事故责任。

4、乙方在安装及拆卸过程中负责起重设备巡检、维修、保养及安全保护装置校验工作保证设备的安全操作和良好的技术性能。

5、乙方负责对设备进行日常维护等工作,由专人维修,如发生机械故障,应及时修理必须随叫随到,严禁设备带病运行。

6、乙方严格遵守塔吊安全操作规程和“十不吊”(1>被吊物重量超出机械承载范围不吊2>信号不清不吊3>重量不明不吊4>吊物下方站人不吊5>吊物上方站人不吊6>立式构件不吊7>散物捆绑不牢不吊8>零碎物无容器不吊9>大模板无卡环不吊10>埋在地下物不吊。

7、乙方应定期接受甲方对起重机操作、指挥人员进行安全教育和培训,确保安全生产。

8、针对六级以上强风、暴雨等恶劣天气下乙方有权利止起重作业,并采取相对防护措施。

9、乙方应当根据不同施工阶段、周围环境以及不同季节、气象条件变化的情况,在施工现场对起重机械采取相应的安全防护措施。

10、施工现场暂时停工时,应当做好起重机械的现场防护工作与安全管理工作。

三、上述条款中未尽事宜,双方另行协商解决。

四、本协议一式二份,甲方留存一份,乙方留存一份。甲方(盖章:乙方(盖章: 代表(签字:代表(签字: 电话:电话:

篇8：网关设备H.248协议的实现

基于IP网络的软交换技术正在逐步取代电路交换技术,成为公众交换电话网/公众陆地移动电话网(Public Switched Telephone Network/Public Land Mobile Network, PSTN/PLMN)的主流技术。软交换系统在运营商的核心控制网络已经得到大规模的部署,在其他行业(如电力系统、银行系统等)也逐渐开始应用。和基于电路交换技术的程控数字交换机相比,软交换系统由不同设备实现呼叫控制、终端接入等功能,各种设备之间使用标准的接口或协议,这样,软交换系统就提供了开放的功能及业务扩展能力。在此基础上,各种增值业务(如视频业务、统一通信业务等)也可以得到快速地发展。

1软交换

软交换是下一代网络(Next Generation Network,NGN)的控制功能实体,为NGN具有实时性要求的业务提供呼叫控制和连接控制功能,是下一代网络呼叫与控制的核心。简单地看,软交换是实现传统程控交换机的“呼叫控制”功能的实体,设计思想是:呼叫和承载分离、业务和呼叫分离。

软交换设备是多种逻辑功能实体的集合,提供综合业务的呼叫控制、连接以及部分业务功能,是软交换网络中语音/视频/数据业务呼叫、控制和业务提供的核心设备,也是目前电路交换网向分组网演进的主要设备之一。软交换各实体之间通过标准的协议进行连接和通信[1]。

软交换体系结构分4层:应用层、控制层、传输层和接入层。

应用层设备包括各种业务服务器,如计费服务器、应用服务器和网管服务器等,这些服务器控制软交换核心实现各种业务功能,如会议、统一通信和号码簿等。

控制层设备包括软交换设备,也称作媒体网关控制器(Media Gateway Controller,MGC),是整个软交换系统的控制核心。

传输层指的是IP网络层,包括万维网及各行业自建的专用数据网等网络。

接入层设备包括:中继网关(Trunk Gateway,TG)、信令网关(Signal Gateway,SG)、接入网关(Access Gateway,MG)和各种IP终端。

TG:位于NGN的边缘接入层,连接PSTN和NGN网络,实现IP包转时分复用模式(TDM)的功能[2]。

SG:用于完成与PSTN/PLMN电话交换机的信令连接,将电话交换机采用的基于TDM电路的7号信令信息转换为IP包。

AG:用于直接将普通电话用户接入到NGN网络。

软交换系统的体系结构如图1所示。

2H.248协议

由图1可知,媒体网关(Media Gateway,MG)在软交换体系结构中位于接入层。软交换设备通过媒体网关控制协议(Media Gateway Control Protocol,MEGACO)/H.248协议控制网关进行各种动作(如控制接入网关检测终端的摘机、挂机、拍叉簧、拨号和向终端发送各种信号音等;控制中继网关进行媒体流的转换等)。MEGACO是Internet工程任务组(Internet Engineering Task Force)制定的标准,H.248是国际电信联盟标准化部门(International Telecommunication Union - Telecommunication Standardization)制定的标准。H.248和MECACO在协议文本上相同,只是在协议消息传输语法上有所区别,H.248采用ASN.1语法格式(ITU-T X.680 1997),MEGACO采用ABNF语法格式(RFC2234)。

Megaco/H.248 通过一系列命令处理终端( Termination)、上下文(Context)、事件(Event)以及信号(Signal)等。

Add 命令负责添加 Termination 到 Context。Context 中的第一个 Termination 上的 Add 命令可以用于创建一个 Context[3]。

Modify 命令用于更改 Termination 的属性、事件和信号。

Subtract 命令用于断开 Context 中的 Termination 连接,并返回加入 Context 的关于 Termination 的统计值。Context 中最后一个 Termination 上的 Subtract 命令用以删除 Context 。

Move 命令自动将 Termination 移动到其他 context 。

AuditValue 命令用以返回 Termination 的属性、事件、信号和统计值的当前状态。

AuditCapabilities 命令返回媒体网关所支持的关于 Termination 属性、事件及信号等的所有可能值。

Notify 命令允许媒体网关通知媒体网关控制器关于媒体网关中发生的事件。

ServiceChange 命令允许媒体网关通告媒体网关控制器一个或一组 Termination 将退出服务或返回到服务。此外 MG 利用 ServiceChange 命令通告 MGC(注册) 它的可用性,并通告MGC它将或已重启。MGC 可能通过向 MG 发送 ServiceChange 命令而通告 MG 其移交过程。 MGC 还可能使用 ServiceChange 命令通知 MG 将一个或一组 Termination 加入或退出服务。

Notify 命令(MG 通过该命令通知 MGC 关于 MGC 所关心的某事件已经发生)由 MG 发送到达 MGC。ServiceChange命令可以由MG发送到MGC,也可以由MGC发送到MG。其余命令则是由MGC发送到MG。

3网关

接入媒体网关用于为各类用户提供多种类型的业务接入[4]。中继媒体网关位于电路交换网和IP分组网络之间,用来终结大量的数字电路[5]。

接入网关、中继网关都由硬件、软件组成。接入网关的硬件负责检测终端的摘机、挂机、拍叉簧、拨号、向终端发送各种信号音、对媒体流进行格式转换。中继网关的功能除对DSS1消息进行适配外,也要对媒体流进行格式转换。所以接入网关、中继网关的功能及软硬件组成基本一致。

3.1硬件结构

网关的硬件结构如图2所示。

公共控制板:网关的核心硬件,由中央处理器、内存、硬盘和网卡等设备组成,运行软件系统,通过总线和其他外围板卡进行通信,接收板卡发送的数据、控制板卡的动作。为了提高网关设备的稳定性,公共控制板可冗余配置,使用热备份方式,一旦主用控制板出现故障,备用控制板可以马上接管服务。

模拟接入板:用于接入模拟终端。模拟接入板通过背板总线使用音频线和模拟终端连接,为模拟终端提供电压、检测终端的摘机、挂机事件,并可以检测终端所拨数字,以及向终端播放拨号音、忙音等各种信号音。

数字中继板:用于和PSTN通过E1进行互联,互联信令一般采用综合业务数字网(Integrated Services Digital Network,ISDN)信令或中国7号信令(Signalling System No.7,SS7)。使用ISDN信令时,一般采用集群速率接口(Primary Rate Access,PRA)。使用SS7信令时,一般采用ISDN用户部分(ISDN User Part,ISUP)协议。

媒体处理板:用于将媒体流在脉冲编码调制(Pulse Code Modulation,PCM)格式和实时传输协议(Real Time Transfer,RTP)格式之间进行转换。媒体处理板由嵌入式处理器、高性能数字信号处理(Digital Signal Processing,RTP)组成。嵌入式处理器完成和公共控制板的通信、对DSP的控制,DSP完成语音的编解码。

外网控制板:用于在公共控制板和外网机架之间建立通信通道。一般的通信设备是由多个机架或机框组成,便于用户端口需求的扩展。

网络交换板:用于媒体网关和软交换设备及其他IP网元(网关、终端)之间通信。媒体网关和软交换设备的控制协议必须承载在IP网络之上,而语音流的传输也必须依赖于IP网络。

3.2软件结构

网关的软件结构如图3所示。

呼叫控制模块:网关的核心控制软件,运行于公共控制板上,处理模拟终端的各种事件(摘机、挂机和拨号),并根据软交换设备的命令指示模拟接入板对终端播放各种信号音。对终端的事件处理后,将事件映射成H.248协议模块的内部消息,并发送到H.248协议模块。在呼叫建立过程中,根据终端所处的呼叫阶段,对收到的消息(接入模块、H.248协议模块)进行不同的处理。如果网关配置为冗余系统,则主、备呼叫控制模块之间定时发送心跳消息,一旦备用模收不到主用模块的响应,则立即迁移至主用状态。

H.248协议模块:网关的协议处理模块,由H.248协议栈部分、协议栈管理部分、网关管理部分组成、媒体控制部分。H.248协议栈部分负责对呼叫控制模块的消息进行编码,对软交换设备的消息进行解码。协议栈管理部分负责对协议栈进行初始化、配置和维护等管理工作。网关管理部分则完成资源的状态管理,包括:注册、心跳和双归属等功能。媒体控制部分完成根据软交换设备的命令申请媒体资源、变更媒体模式。

媒体资源管理模块:媒体处理板管理模块,包括资源分配、资源维护和资源统计等。媒体网关可配置多块媒体处理板,此模块根据预先配置的资源分配算法(负荷分担等)分配媒体端口,并控制DSP创建RTP、激活RTP和变更媒体流的模式。同时对通话过程中的丢包率、发送及接收的RTP个数等进行统计,并上报到软交换设备。软交换设备根据统计情况决定是否采用相应的处理措施,如当丢包率比较高时,表明网络状况可能不太好,此时应对呼叫进行限制。

网络管理模块:管理网关和软交换设备之间的通信通道、在网关和软交换设备之间收发协议数据。H.248协议模块启动后,通知网络管理模块建立用户数据包协议(User Datagram Protocol,UDP)监听端口。

以上各模块以任务形式存在,通过邮箱机制进行通信。

3.3注册

网关启动时,必须向软交换设备进行注册,通知软交换设备网关上资源的状态。MG可以使用 ServiceChange命令向MGC报告一个终结点或一组终结点将要退出服务或者刚刚返回服务[6]。

网关注册流程如图4所示。

① 网关启动,网关管理部分判断是主用机架还是备用机架。如果是主用机架,则通知协议栈管理部分向软交换设备进行整体注册。

② 协议栈管理部分调用协议栈进行ServiceChange消息的编码,ServiceChange中的TerminationId为Root,Method为Restart。编码完成后,通过网络管理模块将注册消息发送到软交换设备;

③ 网络管理模块收到软交换设备的Reply消息后,发送到协议栈模块;

④ 协议栈管理部分调用协议栈进行消息解码,并通知网关管理部分。网关管理部分则通知相关模块注册已成功。

3.4呼叫建立

呼叫流程如图5所示。

① 模拟接入模块检测到终端摘机,上报到呼叫控制模块;