公开(公告)号：CN115189957A

公开(公告)日：2022-10-14

申请号：CN202210842344.1

申请日：2022-07-18

Applicant: 浙江大学

Inventor： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115118449A

公开(公告)日：2022-09-27

申请号：CN202210522282.6

申请日：2022-05-13

Applicant: 国网浙江省电力有限公司信息通信分公司 ,  浙江大学

Inventor： 张辰 ,  江钰杰 ,  毛冬 ,  饶涵宇 ,  何东 ,  汪京培 ,  王孟志 ,  杨楷翔

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/56 ,  H04L67/10 ,  H04L69/22 ,  H04L69/08 ,  G16Y10/75 ,  G16Y40/50

Abstract: 本发明公开了一种面向能源互联网安全高效交互的边缘代理服务器。包括：设备管理与安全模块、边缘计算模块、异常监测模块、服务保障模块。该服务器兼容不同接口及不同通信协议，与物联管理平台、终端设备进行身份验证并对通信报文进行加解密生成消息认证码保证其安全性；通过对多个业务的时延要求进行区分进一步实现云边结合的计算方式，满足能源互联网终端业务的实时性要求；通过对运行数据、日志、网络流量等实时监测实现对服务器、终端设备、APP的全方位检测；通过同类型服务器之间的协作，实现资源的动态分配和稳定的信息传输。本发明解决了云‑端交互模式实时性低、数据传输带宽不足、能耗过大以及部分安全性问题。

公开(公告)号：CN115102871B

公开(公告)日：2023-10-03

申请号：CN202210553312.X

申请日：2022-05-20

Applicant: 浙江大学 ,  国网浙江省电力有限公司信息通信分公司

Inventor： 凌佳杰 ,  张辰 ,  毕霁超 ,  毛冬 ,  饶涵宇 ,  汪京培 ,  杨楷翔

IPC: H04L43/04 ,  H04L43/08 ,  H04L69/08 ,  G06F16/2455 ,  G06N3/0455 ,  G06N3/048 ,  G06N3/08

Abstract: 本发明公开了一种基于业务特征向量的能源互联网控制终端业务处理方法。包括：1获取能源互联网的不同历史原始业务数据流；2对不同历史原始业务数据流分别进行预处理；3根据业务类别和业务需求参数对不同历史原始业务数据流分别进行业务特征向量标注，获得不同历史原始业务数据流对应的业务特征向量；4构建训练样本并输入到模型中进行训练，获得训练好的模型；5将模型部署到不同测量终端中，接着各个测量终端获取实时业务数据流并进行预处理，根据预处理后的实时业务数据流获得对应的业务特征向量；6对应控制终端根据对应高效交互协议中的业务特征向量对实时业务数据流进行处理。本发明通过业务特征向量的提取实现对业务数据流的可靠、高效处理。

公开(公告)号：CN115118449B

公开(公告)日：2023-06-27

申请号：CN202210522282.6

申请日：2022-05-13

Applicant: 国网浙江省电力有限公司信息通信分公司 ,  浙江大学

Inventor： 张辰 ,  江钰杰 ,  毛冬 ,  饶涵宇 ,  何东 ,  汪京培 ,  王孟志 ,  杨楷翔

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/56 ,  H04L67/10 ,  H04L69/22 ,  H04L69/08 ,  G16Y10/75 ,  G16Y40/50

Abstract: 本发明公开了一种面向能源互联网安全高效交互的边缘代理服务器。包括：设备管理与安全模块、边缘计算模块、异常监测模块、服务保障模块。该服务器兼容不同接口及不同通信协议，与物联管理平台、终端设备进行身份验证并对通信报文进行加解密生成消息认证码保证其安全性；通过对多个业务的时延要求进行区分进一步实现云边结合的计算方式，满足能源互联网终端业务的实时性要求；通过对运行数据、日志、网络流量等实时监测实现对服务器、终端设备、APP的全方位检测；通过同类型服务器之间的协作，实现资源的动态分配和稳定的信息传输。本发明解决了云‑端交互模式实时性低、数据传输带宽不足、能耗过大以及部分安全性问题。

公开(公告)号：CN115102871A

公开(公告)日：2022-09-23

申请号：CN202210553312.X

申请日：2022-05-20

Applicant: 浙江大学 ,  国网浙江省电力有限公司信息通信分公司

Inventor： 凌佳杰 ,  张辰 ,  毕霁超 ,  毛冬 ,  饶涵宇 ,  汪京培 ,  杨楷翔

IPC: H04L43/04 ,  H04L43/08 ,  H04L69/08 ,  G06F16/2455 ,  G06N3/04 ,  G06N3/08

Abstract: 本发明公开了一种基于业务特征向量的能源互联网控制终端业务处理方法。包括：1获取能源互联网的不同历史原始业务数据流；2对不同历史原始业务数据流分别进行预处理；3根据业务类别和业务需求参数对不同历史原始业务数据流分别进行业务特征向量标注，获得不同历史原始业务数据流对应的业务特征向量；4构建训练样本并输入到模型中进行训练，获得训练好的模型；5将模型部署到不同测量终端中，接着各个测量终端获取实时业务数据流并进行预处理，根据预处理后的实时业务数据流获得对应的业务特征向量；6对应控制终端根据对应高效交互协议中的业务特征向量对实时业务数据流进行处理。本发明通过业务特征向量的提取实现对业务数据流的可靠、高效处理。

公开(公告)号：CN115118756B

公开(公告)日：2024-08-30

申请号：CN202210552741.5

申请日：2022-05-19

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

Inventor： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC: H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

Abstract: 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。

公开(公告)号：CN114924537A

公开(公告)日：2022-08-19

申请号：CN202210646600.X

申请日：2022-06-08

Applicant: 浙江大学

Inventor： 汪京培 ,  江钰杰 ,  段斌斌 ,  白少杰 ,  程鹏

IPC: G05B19/418

Abstract: 本发明公开了一种工业控制系统异常行为可信防护的访问控制管理架构。本发明包括总访问控制服务器、外设访问控制服务器、子策略服务器和访问控制模块；工业控制系统中其他设置有计算设备的节点均部署有访问控制模块；总访问控制服务器和外设访问控制服务器均部署于工业控制系统的监控网络中，总访问控制服务器用于对监控网络的节点实施访问控制，外设访问控制服务器用于对工业控制系统外部的节点的远程访问实施访问控制；在现场网络的各个域中分别部署对应的子策略服务器，每个子策略服务器用于对域内节点实施访问控制。本发明能精准地识别工业控制系统中的异常行为，并实施有效的措施，避免部署的访问控制策略影响工控系统的可用性。

公开(公告)号：CN113824705A

公开(公告)日：2021-12-21

申请号：CN202111061932.3

申请日：2021-09-10

Applicant: 浙江大学

Inventor： 江钰杰 ,  汪京培 ,  汪慕峰 ,  赵成成 ,  车欣 ,  程鹏 ,  陈积明

IPC: H04L29/06 ,  H04L9/06 ,  H04L9/08 ,  H04L9/32 ,  H04L12/40

Abstract: 本发明公开了一种Modbus TCP协议的安全加固方法，解决了Modbus TCP协议缺乏认证、授权机制、缺乏完整性检测、数据包明文传输易被篡改的问题，能够有效地防范中间人攻击、重放攻击以及功能码滥用或操作人员误操作等攻击。该方法包括：添加时间戳机制，判断通信过程是否受到重放攻击；利用数字签名技术，完成对客户端的认证以及数据包的完整性检测，防止攻击者篡改数据或假冒客户端向服务器发送数据包；利用白名单技术进行访问控制，防止客户端对任一服务器进行任意操作，以及工作人员的误操作；利用密钥协商以及加解密机制，进行加密通信，防止攻击者截获数据包，轻易获得数据包通信内容。

公开(公告)号：CN115189957B

公开(公告)日：2023-09-29

申请号：CN202210842344.1

申请日：2022-07-18

Applicant: 浙江大学

Inventor： 汪京培 ,  段斌斌 ,  白少杰 ,  江钰杰 ,  程鹏

IPC: H04L9/40 ,  H04L9/32

Abstract: 本发明公开了一种工业控制系统主动可加载的访问控制引擎，包括TPM可信环境度量模块、细粒度访问控制功能模块、异常分析与追溯模块、访问控制策略动态调整与接口模块。访问控制引擎以嵌入式方式部署在工控系统各节点，对节点内和流经节点的控制数据实施访问控制，主动监测异常行为，有效识别控制数据的非授权访问、不合规访问、数据篡改/阻断等行为。同时，访问控制引擎与访问控制服务器联动，在节点资源或业务时延或业务连通性不满足工控系统可用性要求时，动态调整访问控制策略，实现可用性约束下的轻量化的防护效果。本发明解决了现有工控系统访问控制策略未考虑工控系统可用性优先的功能特征和异构数据的结构特征、缺乏动态调整机制等问题。

公开(公告)号：CN115118756A

公开(公告)日：2022-09-27

申请号：CN202210552741.5

申请日：2022-05-19

Applicant: 中国电力科学研究院有限公司 ,  浙江大学 ,  国家电网有限公司 ,  国网福建省电力有限公司电力科学研究院

Inventor： 朱朝阳 ,  周亮 ,  缪思薇 ,  张晓娟 ,  朱亚运 ,  汪京培 ,  吴丽进 ,  何金栋 ,  吴丹 ,  段斌斌

IPC: H04L67/125 ,  H04L69/08 ,  H04L9/00 ,  H04L9/32

Abstract: 本发明公开了一种能源互联网场景下安全交互协议设计方法及装置，能够有效地防范非授权用户解密信息、非授权用户获取敏感数据、字典攻击、重放攻击、抵赖等行为，同时保持了协议的高效运行。该方法包括：采用加法同态加密技术，解密者不需要知道加密者的信息的情况下可得到聚合结果，保护数据隐私，同时降低中间解密的负载；采用身份代理重加密机制，避免代理节点泄露数据，确保身份可认证、可追溯；采用多层次的哈希算法实现数据的完整性校验，并利用影子身份和跟踪序列号实现同步，避免了伪造攻击和重放攻击；采用基于属性的访问控制方法，实现了数据接收者的细粒度访问控制，避免了非授权操作。