分布式电源(distributed resources,DR)中智能边缘设备数据传输的安全问题为电力系统带来了安全隐患。Modbus TCP(transmission control protocol)协议作为边缘设备采用的通信手段之一,其协议安全性的不足使得系统易遭到网络空间的攻击...分布式电源(distributed resources,DR)中智能边缘设备数据传输的安全问题为电力系统带来了安全隐患。Modbus TCP(transmission control protocol)协议作为边缘设备采用的通信手段之一,其协议安全性的不足使得系统易遭到网络空间的攻击。为保障电力设备数据传输安全,对现有安全手段进行整理,分析现有安全手段在DR应用场景下的不足,提出一种非侵入式Modbus TCP协议安全增强方法。该方法采用云边协同的架构,利用电力控制中心云平台管理访问控制原则,将实际访问控制决策模块部署在边缘设备,并通过细粒度的访问控制组合限制恶意行为。依据Modbus协议参考指南,搭建DR应用场景进行渗透测试,验证该方法能有效防御重放攻击和中间人攻击,可将安全开销控制在百微秒以内,显著优于其他安全手段,满足DR对实时性的需求。展开更多
The industrial Internet of Things(IIoT)is a new indus-trial idea that combines the latest information and communica-tion technologies with the industrial economy.In this paper,a cloud control structure is designed for...The industrial Internet of Things(IIoT)is a new indus-trial idea that combines the latest information and communica-tion technologies with the industrial economy.In this paper,a cloud control structure is designed for IIoT in cloud-edge envi-ronment with three modes of 5G.For 5G based IIoT,the time sensitive network(TSN)service is introduced in transmission network.A 5G logical TSN bridge is designed to transport TSN streams over 5G framework to achieve end-to-end configuration.For a transmission control protocol(TCP)model with nonlinear disturbance,time delay and uncertainties,a robust adaptive fuzzy sliding mode controller(AFSMC)is given with control rule parameters.IIoT workflows are made up of a series of subtasks that are linked by the dependencies between sensor datasets and task flows.IIoT workflow scheduling is a non-deterministic polynomial(NP)-hard problem in cloud-edge environment.An adaptive and non-local-convergent particle swarm optimization(ANCPSO)is designed with nonlinear inertia weight to avoid falling into local optimum,which can reduce the makespan and cost dramatically.Simulation and experiments demonstrate that ANCPSO has better performances than other classical algo-rithms.展开更多
传统TCP(transmission control protocol)本是为有线网络设计,它假设包丢失全是由网络拥塞引起,这个假设不能适应于MANET (mobile ad hoc network),因为MANET 中除了拥塞丢包以外,还存在由于较高比特误码率、路由故障等因素引起的丢包现...传统TCP(transmission control protocol)本是为有线网络设计,它假设包丢失全是由网络拥塞引起,这个假设不能适应于MANET (mobile ad hoc network),因为MANET 中除了拥塞丢包以外,还存在由于较高比特误码率、路由故障等因素引起的丢包现象.当出现非拥塞因素丢包时,传统 TCP 将错误地触发拥塞控制,从而引起TCP 性能低下.任何改进机制都可以分为发现问题和解决问题两个阶段.首先概括了 MANET 中影响 TCP 性能的若干问题;然后针对发现问题和解决问题两个阶段,详细地对每一阶段中存在的各种可行方法进行了分类、分析和比较;最后指出了 MANET 中 TCP 性能优化的研究方向.展开更多
针对在8/16位低速处理器上实现传输控制协议(Transfer Control Protocol TCP)过于复杂的问题,通过对TCP协议进行简化,减轻了微处理器的运算负担,降低了对系统存储空间的要求,使得TCP协议能够在8/16位低速处理器上实现.嵌入式网络中大量...针对在8/16位低速处理器上实现传输控制协议(Transfer Control Protocol TCP)过于复杂的问题,通过对TCP协议进行简化,减轻了微处理器的运算负担,降低了对系统存储空间的要求,使得TCP协议能够在8/16位低速处理器上实现.嵌入式网络中大量使用长度很小的数据帧,使得网络带宽利用率极低,为此在协议中应用了Na-gle算法,减少了协议所需带宽,提高了协议的吞吐率.采用NS-2(Network Simulator-2)进行的仿真结果表明:该方案是有效的,现已经在普通8位处理器上实现,并通过了在多种宽带网络上进行的测试,在网络电能表中得到了实际应用.展开更多
由于工业控制系统(industrial control system,ICS)系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协...由于工业控制系统(industrial control system,ICS)系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协议,提高使用专用通信协议的ICS网络安全性。修改了ICS网络中现场设备和控制设备中原有Modbus/TCP通信栈以达到双向认证的目的。利用远程证明方法基于白名单对Modbus/TCP客户机、服务器双方身份和安全状态信息进行认证。这些信息的更新由在线的证明服务器维护并推送给现场设备以减轻通信负担。协议数据通过2种方式受到保护:一是,通信过程中的消息认证密钥由可信硬件保护,只有拥有可信硬件绑定密钥的合法设备才能解密,保证通信数据无法在不被发现的情况下被篡改;二是,加密协议的敏感操作信息的密钥也受到可信硬件的保护。目前,还没有其他公开文献将可信组件引入Modbus/TCP通信环境中以保证其安全性。提出的可信Modbus/TCP协议具备完整性、可认证性、新鲜性和机密性4个安全属性。协议由HLPSL语言描述,使用SPAN工具验证,未发现可被攻击者利用的入侵路径。协议性能消耗最大的是认证子协议密码相关功能,但该消耗仅存在于首次通信前和周期性验证失败后。若采用针对ICS环境优化后的专用可信硬件,替代本文使用的通用可信硬件,相关开销将大幅降低。因协议字段的增加造成通信开销较小,仅为μs级。提出的可信Modbus/TCP协议能够满足ICS正常业务性能要求,既能防范非法通信实体,又能防范原本合法但因系统被篡改后不再可信的通信实体对协议通信发起的攻击。展开更多
提出了一种基于端到端的AdHoc网络TCP拥塞控制改进算法IADTCP(Improvement AD hoc net work TCP congestion control)。对现有AdHoc网络慢启动方案进行改进,以解决拥塞窗口增长不够平滑的问题;利用两连续数据包单向传输延迟差异IDD和短...提出了一种基于端到端的AdHoc网络TCP拥塞控制改进算法IADTCP(Improvement AD hoc net work TCP congestion control)。对现有AdHoc网络慢启动方案进行改进,以解决拥塞窗口增长不够平滑的问题;利用两连续数据包单向传输延迟差异IDD和短期吞吐量STT两个度量参数,联合判断网络拥塞状态;用丢包率PLR和包错序率POR判断信道错误、路由改变等网络状态;通过回送的ACK数据包携带网络状态信息,以便让发送端采取适当的控制措施。仿真结果表明,该方案是可行和有效的。展开更多
文摘The industrial Internet of Things(IIoT)is a new indus-trial idea that combines the latest information and communica-tion technologies with the industrial economy.In this paper,a cloud control structure is designed for IIoT in cloud-edge envi-ronment with three modes of 5G.For 5G based IIoT,the time sensitive network(TSN)service is introduced in transmission network.A 5G logical TSN bridge is designed to transport TSN streams over 5G framework to achieve end-to-end configuration.For a transmission control protocol(TCP)model with nonlinear disturbance,time delay and uncertainties,a robust adaptive fuzzy sliding mode controller(AFSMC)is given with control rule parameters.IIoT workflows are made up of a series of subtasks that are linked by the dependencies between sensor datasets and task flows.IIoT workflow scheduling is a non-deterministic polynomial(NP)-hard problem in cloud-edge environment.An adaptive and non-local-convergent particle swarm optimization(ANCPSO)is designed with nonlinear inertia weight to avoid falling into local optimum,which can reduce the makespan and cost dramatically.Simulation and experiments demonstrate that ANCPSO has better performances than other classical algo-rithms.
文摘针对在8/16位低速处理器上实现传输控制协议(Transfer Control Protocol TCP)过于复杂的问题,通过对TCP协议进行简化,减轻了微处理器的运算负担,降低了对系统存储空间的要求,使得TCP协议能够在8/16位低速处理器上实现.嵌入式网络中大量使用长度很小的数据帧,使得网络带宽利用率极低,为此在协议中应用了Na-gle算法,减少了协议所需带宽,提高了协议的吞吐率.采用NS-2(Network Simulator-2)进行的仿真结果表明:该方案是有效的,现已经在普通8位处理器上实现,并通过了在多种宽带网络上进行的测试,在网络电能表中得到了实际应用.
文摘由于工业控制系统(industrial control system,ICS)系统中的通信协议在设计之初很少考虑安全性,传统的ICS网络专用协议很容易遭到来自TCP/IP网络的远程攻击。本文通过增加可信硬件,结合远程证明方法设计了一种新的可信Modbus/TCP通信协议,提高使用专用通信协议的ICS网络安全性。修改了ICS网络中现场设备和控制设备中原有Modbus/TCP通信栈以达到双向认证的目的。利用远程证明方法基于白名单对Modbus/TCP客户机、服务器双方身份和安全状态信息进行认证。这些信息的更新由在线的证明服务器维护并推送给现场设备以减轻通信负担。协议数据通过2种方式受到保护:一是,通信过程中的消息认证密钥由可信硬件保护,只有拥有可信硬件绑定密钥的合法设备才能解密,保证通信数据无法在不被发现的情况下被篡改;二是,加密协议的敏感操作信息的密钥也受到可信硬件的保护。目前,还没有其他公开文献将可信组件引入Modbus/TCP通信环境中以保证其安全性。提出的可信Modbus/TCP协议具备完整性、可认证性、新鲜性和机密性4个安全属性。协议由HLPSL语言描述,使用SPAN工具验证,未发现可被攻击者利用的入侵路径。协议性能消耗最大的是认证子协议密码相关功能,但该消耗仅存在于首次通信前和周期性验证失败后。若采用针对ICS环境优化后的专用可信硬件,替代本文使用的通用可信硬件,相关开销将大幅降低。因协议字段的增加造成通信开销较小,仅为μs级。提出的可信Modbus/TCP协议能够满足ICS正常业务性能要求,既能防范非法通信实体,又能防范原本合法但因系统被篡改后不再可信的通信实体对协议通信发起的攻击。
文摘提出了一种基于端到端的AdHoc网络TCP拥塞控制改进算法IADTCP(Improvement AD hoc net work TCP congestion control)。对现有AdHoc网络慢启动方案进行改进,以解决拥塞窗口增长不够平滑的问题;利用两连续数据包单向传输延迟差异IDD和短期吞吐量STT两个度量参数,联合判断网络拥塞状态;用丢包率PLR和包错序率POR判断信道错误、路由改变等网络状态;通过回送的ACK数据包携带网络状态信息,以便让发送端采取适当的控制措施。仿真结果表明,该方案是可行和有效的。
