公开(公告)号：CN115189957A

公开(公告)日：2022-10-14

申请号：CN202210842344.1

申请日：2022-07-18

Applicant: 浙江大学

Inventor： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115189957B

公开(公告)日：2023-09-29

申请号：CN202210842344.1

申请日：2022-07-18

Applicant: 浙江大学

Inventor： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115118756A

公开(公告)日：2022-09-27

申请号：CN202210552741.5

申请日：2022-05-19

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

Inventor： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC: H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

Abstract: 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。

公开(公告)号：CN115118756B

公开(公告)日：2024-08-30

申请号：CN202210552741.5

申请日：2022-05-19

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

Inventor： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC: H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

Abstract: 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。

公开(公告)号：CN115632792A

公开(公告)日：2023-01-20

申请号：CN202211280152.2

申请日：2022-10-19

Applicant: 浙江大学

Inventor： 段斌斌 ,  赵成成 ,  王孟志 ,  杨泽域 ,  程鹏 ,  陈积明

IPC: H04L9/32 ,  H04L67/12

Abstract: 本发明公开了一种工控系统嵌入式装置TEE的实时分层调度方法。该方法面向工控系统中嵌入式装置的可信执行环境TEE，在安全环境中实现了仅根据优先级进行实时任务调度的安全调度器，有效保障了系统的实时可用性。采用两层分层调度设计，将安全性和实时性解耦，在安全环境中分别实现了安全调度器和环境调度器，降低了TCB的复杂度。该方法由环境调度器恢复安全环境或非安全环境，在系统协同工作的同时减少了两个环境间的交互，提高了系统安全性。该方法基于事件驱动，根据可预测的调度事件设置安全计时器，大幅减少了调度过程中的中断次数，显著降低了系统的中断开销。

公开(公告)号：CN114924537A

公开(公告)日：2022-08-19

申请号：CN202210646600.X

申请日：2022-06-08

Applicant: 浙江大学

Inventor： 汪京培 ,  江钰杰 ,  段斌斌 ,  白少杰 ,  程鹏

IPC: G05B19/418

Abstract: 本发明公开了一种工业控制系统异常行为可信防护的访问控制管理架构。本发明包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；工业控制系统中其他设置有计算设备的节点均部署有访问控制模块；总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器用于对监控网络的节点实施访问控制，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；在现场网络的各个域中分别部署对应的子策略服务器，每个子策略服务器用于对域内节点实施访问控制。本发明能精准地识别工业控制系统中的异常行为，并实施有效的措施，避免部署的访问控制策略影响工控系统的可用性。