公开(公告)号：CN115268983A

公开(公告)日：2022-11-01

申请号：CN202210948370.2

申请日：2022-08-09

Applicant: 清华大学

Inventor： 李琦 ,  何艺 ,  徐恪 ,  张晗 ,  刘卓涛 ,  邹振华

IPC: G06F8/70 ,  G06F8/71 ,  G06F8/41 ,  G16Y30/10

Abstract: 本发明公开了一种针对嵌入式物联网设备漏洞的热修复方法及装置，其中，该方法包括：获取物联网设备待修复的漏洞信息；基于漏洞信息不同的漏洞类型选择对应的漏洞修复模式，根据漏洞修复模式从服务器中获取第一修复代码和第一修复代码配置文件；基于第一修复代码和第一修复代码配置文件对第一代码进行编译，生成第二修复代码和第二修复代码的配置信息；以及，基于配置信息和漏洞修复模式，对第二修复代码执行不同的指令进行漏洞信息的修复。本发明能够在不中断软件服务或重启系统的情况下自动、快速地完成固件漏洞修复工作，适用于各类物联网设备的实时操作系统，且具有较小的开销。

公开(公告)号：CN114338076A

公开(公告)日：2022-04-12

申请号：CN202111334887.4

申请日：2021-11-11

Applicant: 清华大学

Inventor： 李琦 ,  何艺 ,  徐恪 ,  张晗

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/1095 ,  H04L67/1097 ,  H04L67/146 ,  H04L67/566

Abstract: 本申请公开了一种适用于智能家居环境的分布式跨设备访问控制方法及装置，其中，方法包括：访问主体与被访问客体获取访问控制规则；主体与客体建立连接，主体发送连接请求，客体对其身份和权限进行合法性验证通过后，向主体发送访问验证凭证和更新凭证；主体接收后向客体发送携带有访问验证凭证的请求，同时在请求包内加入随机数；客体对访问验证凭证及随机数进行合法与有效性验证通过后，执行请求的内容，并向主体返回请求结果；在访问验证凭证过期时，主体向客体发送更新凭证，同时发送随机数；在更新凭证及随机数的合法性与有效性验证通过后，客体重新基于访问控制规则生成新的访问验证凭证和与之对应的更新凭证；主体将原有的访问验证凭证和更新凭证进行替换，以进行后续请求。由此，可有效加强智能家居跨设备通信的安全性，防止恶意设备的连接和恶意应用的请求。

公开(公告)号：CN115268983B

公开(公告)日：2023-04-07

申请号：CN202210948370.2

申请日：2022-08-09

Applicant: 清华大学

Inventor： 李琦 ,  何艺 ,  徐恪 ,  张晗 ,  刘卓涛 ,  邹振华

IPC: G06F8/70 ,  G06F8/71 ,  G06F8/41 ,  G16Y30/10

Abstract: 本发明公开了一种针对嵌入式物联网设备漏洞的热修复方法及装置，其中，该方法包括：获取物联网设备待修复的漏洞信息；基于漏洞信息不同的漏洞类型选择对应的漏洞修复模式，根据漏洞修复模式从服务器中获取第一修复代码和第一修复代码配置文件；基于第一修复代码和第一修复代码配置文件对第一代码进行编译，生成第二修复代码和第二修复代码的配置信息；以及，基于配置信息和漏洞修复模式，对第二修复代码执行不同的指令进行漏洞信息的修复。本发明能够在不中断软件服务或重启系统的情况下自动、快速地完成固件漏洞修复工作，适用于各类物联网设备的实时操作系统，且具有较小的开销。

公开(公告)号：CN114338076B

公开(公告)日：2023-04-07

申请号：CN202111334887.4

申请日：2021-11-11

Applicant: 清华大学

Inventor： 李琦 ,  何艺 ,  徐恪 ,  张晗

IPC: H04L9/40 ,  H04L9/32 ,  H04L67/1095 ,  H04L67/1097 ,  H04L67/146 ,  H04L67/566

Abstract: 本申请公开了一种适用于智能家居环境的分布式跨设备访问控制方法及装置，其中，方法包括：访问主体与被访问客体获取访问控制规则；主体与客体建立连接，主体发送连接请求，客体对其身份和权限进行合法性验证通过后，向主体发送访问验证凭证和更新凭证；主体接收后向客体发送携带有访问验证凭证的请求，同时在请求包内加入随机数；客体对访问验证凭证及随机数进行合法与有效性验证通过后，执行请求的内容，并向主体返回请求结果；在访问验证凭证过期时，主体向客体发送更新凭证，同时发送随机数；在更新凭证及随机数的合法性与有效性验证通过后，客体重新基于访问控制规则生成新的访问验证凭证和与之对应的更新凭证；主体将原有的访问验证凭证和更新凭证进行替换，以进行后续请求。由此，可有效加强智能家居跨设备通信的安全性，防止恶意设备的连接和恶意应用的请求。

公开(公告)号：CN119854762A

公开(公告)日：2025-04-18

申请号：CN202411818208.4

申请日：2024-12-11

Applicant: 清华大学

Inventor： 李琦 ,  车熙嘉 ,  何艺 ,  冯学伟 ,  徐恪

IPC: H04W4/80 ,  H04W12/122 ,  H04W12/47 ,  H04W12/03 ,  H04W12/121

Abstract: 本申请提出一种状态感知的轻量级蓝牙安全框架，包括：基于状态的规则构建模块，用于从蓝牙低功耗攻击数据库中提取攻击步骤和攻击数据包，基于蓝牙规范构建有限状态机模型，通过定义正常状态、非法状态及状态间的转移路径，生成针对恶意路径的状态转换规则；eBPF规则部署模块，用于利用LLVM编译器将状态转换规则编译为eBPF字节码，并通过蓝牙服务将eBPF字节码传输至目标BLE设备，将eBPF字节码加载至目标BLE设备内核环境中，以使eBPF规则实时生效；会话状态提取模块，用于在链路层和安全管理协议层部署钩子捕获会话流量，根据部署的eBPF规则分析捕获的会话事件以实时更新有限状态机状态，并在检测到恶意路径时触发防御机制，阻止攻击行为并重置有限状态机状态。