公开(公告)号：CN115118756A

公开(公告)日：2022-09-27

申请号：CN202210552741.5

申请日：2022-05-19

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

发明人： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC分类号： H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

摘要： 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。

公开(公告)号：CN115118756B

公开(公告)日：2024-08-30

申请号：CN202210552741.5

申请日：2022-05-19

申请人： 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

发明人： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC分类号： H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

摘要： 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。

公开(公告)号：CN118487853A

公开(公告)日：2024-08-13

申请号：CN202410739018.7

申请日：2024-06-07

申请人： 中国电力科学研究院有限公司

发明人： 刘泽宇 ,  段斌斌 ,  张庚 ,  张佳宏 ,  余刚刚 ,  朱朝阳 ,  汪旭 ,  张大华 ,  朱亚运 ,  张梦迪 ,  蔺子卿 ,  胡柏吉 ,  李宇曜 ,  刘琼 ,  郝逸忱 ,  童陈敏 ,  唐琴 ,  白旭东 ,  吕建章

IPC分类号： H04L9/40 ,  H04L9/32 ,  H04L9/08

摘要： 本发明属于身份认证技术领域，具体涉及一种基于指静脉认证的操作系统登录方法及装置。由可信平台对指静脉认证程序进行可信校验，校验通过后指静脉认证程序启动并对外部输入设备进行安全接入验证；操作系统接收到用户的登录操作系统账户请求后，指静脉认证程序判断所述操作系统账户是否关联用户指静脉特征，若已关联，调用外部输入设备获取用户实时指静脉特征，并调用可信平台获取解密后的用户指静脉特征，将用户实时指静脉特征与解密后的用户指静脉特征进行比对，比对成功后由代填程序进行操作系统账户信息代填操作。本发明方法提高了登录安全性，有效避免了假冒身份的问题；认证过程不受个体和外部因素的影响，提高了登录方法的稳定性。

公开(公告)号：CN118094509A

公开(公告)日：2024-05-28

申请号：CN202410363442.6

申请日：2024-03-28

申请人： 中国电力科学研究院有限公司

发明人： 张佳宏 ,  余刚刚 ,  张庚 ,  刘泽宇 ,  段斌斌 ,  朱朝阳 ,  汪旭 ,  张大华 ,  张梦迪 ,  李宇曜 ,  刘琼 ,  郝逸忱 ,  童陈敏 ,  毛杰 ,  唐琴 ,  白旭东 ,  吕建章

IPC分类号： G06F21/32 ,  G06V40/12

摘要： 本发明属于身份认证技术领域，具体涉及一种结合指静脉识别的多因素身份认证方法及相关装置。获取用户安全性分析源数据和指静脉生物信息在内的用户安全因素信息集合，设置安全认证等级与安全认证策略规则集；计算用户可信度，使用融合函数融合全部采集周期内每个安全认证等级对应的所有用户可信度，得到融合结果集，根据融合结果集获得用户安全性度量结果；根据用户安全性度量结果在安全认证策略规则集中获取安全认证策略；提示用户根据获取的安全认证策略执行身份认证流程。本发明采用指静脉生物信息在内的多种安全因素认证方法，融合多组可信度数据，采用规则化的表达方式将安全认证等级与安全认证策略绑定，提供安全、高效、稳定的认证能力。

公开(公告)号：CN115189957A

公开(公告)日：2022-10-14

申请号：CN202210842344.1

申请日：2022-07-18

申请人： 浙江大学

发明人： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC分类号： H04L9/40 ,  H04L9/32

摘要： 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115189957B

公开(公告)日：2023-09-29

申请号：CN202210842344.1

申请日：2022-07-18

申请人： 浙江大学

发明人： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC分类号： H04L9/40 ,  H04L9/32

摘要： 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115632792A

公开(公告)日：2023-01-20

申请号：CN202211280152.2

申请日：2022-10-19

申请人： 浙江大学

发明人： 段斌斌 ,  赵成成 ,  王孟志 ,  杨泽域 ,  程鹏 ,  陈积明

IPC分类号： H04L9/32 ,  H04L67/12

摘要： 本发明公开了一种工控系统嵌入式装置TEE的实时分层调度方法。该方法面向工控系统中嵌入式装置的可信执行环境TEE，在安全环境中实现了仅根据优先级进行实时任务调度的安全调度器，有效保障了系统的实时可用性。采用两层分层调度设计，将安全性和实时性解耦，在安全环境中分别实现了安全调度器和环境调度器，降低了TCB的复杂度。该方法由环境调度器恢复安全环境或非安全环境，在系统协同工作的同时减少了两个环境间的交互，提高了系统安全性。该方法基于事件驱动，根据可预测的调度事件设置安全计时器，大幅减少了调度过程中的中断次数，显著降低了系统的中断开销。

公开(公告)号：CN114924537A

公开(公告)日：2022-08-19

申请号：CN202210646600.X

申请日：2022-06-08

申请人： 浙江大学

发明人： 汪京培 ,  江钰杰 ,  段斌斌 ,  白少杰 ,  程鹏

IPC分类号： G05B19/418

摘要： 本发明公开了一种工业控制系统异常行为可信防护的访问控制管理架构。本发明包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；工业控制系统中其他设置有计算设备的节点均部署有访问控制模块；总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器用于对监控网络的节点实施访问控制，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；在现场网络的各个域中分别部署对应的子策略服务器，每个子策略服务器用于对域内节点实施访问控制。本发明能精准地识别工业控制系统中的异常行为，并实施有效的措施，避免部署的访问控制策略影响工控系统的可用性。