公开(公告)号：CN116208383A

公开(公告)日：2023-06-02

申请号：CN202310058311.2

申请日：2023-01-17

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国网新疆电力有限公司

发明人： 孙连文 ,  刘苇 ,  祁龙云 ,  犹锋 ,  张晓 ,  王宁 ,  於湘涛 ,  李向南 ,  魏兴慎 ,  徐楷 ,  孙柏颜 ,  吕小亮 ,  陈艳霞

IPC分类号： H04L9/40 ,  H04L67/02 ,  H04L67/1095

摘要： 本发明公开了云安全技术领域的一种基于webhook的云原生可信度量方法、系统及存储介质，在Kubernetes集群中动态部署有可信度量准入控制器，所述方法包括：从Kube接口服务获取所有的镜像部署请求；从可信基准值安全发布与验证服务获取与镜像部署请求相匹配的可信度量基准值；利用可信度量基准值验证镜像部署请求中请求部署的镜像是否可信，若可信，则允许镜像部署请求。本发明首次在Kubernetes中增加可信度量机制，具有通用性强，兼容性好，灵活性高等特点，可以在较小改造的基础上，实现云原生的可信度量，保证部署人员部署的镜像安全可信，实现云计算应用场景下的容器内容安全可信。

公开(公告)号：CN116841887A

公开(公告)日：2023-10-03

申请号：CN202310807011.X

申请日：2023-07-04

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 俞建业 ,  李向南 ,  吕小亮 ,  曹昆 ,  祁龙云 ,  刘苇 ,  杨康乐 ,  犹锋 ,  王艳松 ,  杨维永 ,  刘寅 ,  张玉兵 ,  孙柏颜 ,  陈登洲 ,  解思江

IPC分类号： G06F11/36 ,  G06F8/65

摘要： 本发明公开了一种基于剖面建模的安全操作系统实时性测试方法及系统，包括：分析安全操作系统实时性测试需求，通过指标输入填写所需的测试参数和相关指标，生成安全操作系统实时性测试指标；根据安全操作系统实时性测试指标以及安全操作系统功能进行剖面建模，生成安全操作系统使用剖面，并根据使用剖面生成测试用例；执行测试用例，回传测试数据，对测试数据进行评估分析，得到评估结果，并根据评估结果生成测试报告；根据评估结果更新使用剖面和测试指标，并根据更新后的使用剖面和测试指标对测试系统进行升级迭代。本发明以解决安全操作系统实时性检测，为安全操作系统的实时性研究和性能提升提供安全、可靠、准确的参考数值和应用方法。

公开(公告)号：CN117592126A

公开(公告)日：2024-02-23

申请号：CN202311373426.7

申请日：2023-10-20

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 韩盟 ,  张晓 ,  祁龙云 ,  梅文明 ,  刘苇 ,  程长春 ,  犹锋 ,  魏兴慎 ,  杨维永 ,  孙连文 ,  周献飞 ,  刘寅 ,  王元强 ,  潘恒 ,  吕小亮 ,  唐金宝

IPC分类号： G06F21/72 ,  G06F21/60

摘要： 本发明公开一种可信密码模块的仿真测试方法、装置及存储介质，方法包括：根据获取到的测试参数，从预设的可信计算功能库中选择对应的可信计算关联功能函数；基于测试参数利用所选择的可信计算关联功能函数组装得到命令包；在模拟处理器中运行待测试可信密码模块的可执行文件，或者，运行预先根据待测试可信密码模块的可执行文件编写的可信计算软件，以对所述命令包进行读取和解析，并根据解析结果执行对应的可信计算操作，得到执行结果数据；对执行结果数据进行校核，若校核通过则对应的可信计算功能通过测试。本发明能够不依赖物理芯片对可信计算模块的功能进行仿真测试，方便测试功能的移植以及可信计算功能的扩展。

公开(公告)号：CN116126624A

公开(公告)日：2023-05-16

申请号：CN202211463664.2

申请日：2022-11-22

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司

发明人： 刘苇 ,  祁龙云 ,  吕小亮 ,  孙连文 ,  杨维永 ,  周献飞 ,  李向南 ,  朱世顺 ,  杨康乐 ,  刘寅 ,  孙柏颜 ,  俞建业 ,  徐志超 ,  霍洪强

IPC分类号： G06F11/30 ,  G06F21/31 ,  G06F21/60 ,  G06F21/64 ,  G06F7/58 ,  H04L9/40 ,  H04L67/55

摘要： 本发明公开了一种物联网设备的软件完整性监控方法、装置及系统，所述方法包括向边缘服务器订阅完整性主题，使得边缘服务器基于接受到的完整性主题，将获取到的由设备节点推送的完整性度量信息推送至监控管理节点；接收边缘服务器推送的完整性度量信息，并基于所述完整性度量信息进行设备节点的软件完整性验证。本发明采用物联网通信协议的发布订阅模式，有效应对海量设备的远程证明应用需求。

公开(公告)号：CN115659288A

公开(公告)日：2023-01-31

申请号：CN202211336797.3

申请日：2022-10-28

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司

发明人： 祁龙云 ,  刘苇 ,  李向南 ,  白晶 ,  张晓 ,  吕小亮 ,  杨维永 ,  陈奕倩 ,  孙连文 ,  朱世顺 ,  刘寅 ,  成刚 ,  孙柏颜 ,  杨康乐

IPC分类号： G06F21/12 ,  G06F21/53 ,  G06F21/64 ,  G06F21/46 ,  G06F21/33

摘要： 本发明公开了一种变电站嵌入式装置软件版本管控方法、终端及存储介质，所述变电站嵌入式装置预部署有可信执行环境；可信执行环境包括数字证书系统、可信管理中心和可信策略库；所述方法包括：周期性地启动可信管理中心的校验程序，对当前所要运行的软件的合法性进行验证；对于合法性验证通过的软件，允许继续运行；对于合法性验证未通过的软件，阻止其运行；通过可信管理中心对最新版本的软件的签名信息进行验证；接收并安装可信管理中心转发的签名信息验证通过的最新版本的软件，并将软件安装路径和所安装软件的签名信息加载到可信策略库中。本发明能够防御软件下发传输过程中可能出现的软件替换或版本替换攻击行为。

公开(公告)号：CN116841971A

公开(公告)日：2023-10-03

申请号：CN202310231453.4

申请日：2023-03-10

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 孙柏颜 ,  孙连文 ,  祁龙云 ,  要天乐 ,  犹锋 ,  刘苇 ,  俞建业 ,  刘家铭 ,  吕小亮 ,  魏兴慎 ,  杨维永 ,  杨康乐 ,  李向南 ,  徐项帅 ,  李晨

IPC分类号： G06F16/17 ,  G06F16/18

摘要： 本发明公开了一种监控linux操作系统用户异常行为的方法、系统、存储器及电子设备，该方法包括通过日志监控及分析模块获取源日志并进行解析，得到日志解析后的数据记录文件；通过audit插件日志监控及分析a模块日志解析后的数据记录文件进行监视；当监视的数据记录文件变化时，通过与预先配置的异常行为判定规则进行匹配，确定异常行为，并按照配置的处理方式进行处理。本发明方法结合了日志分析功能与linux系统审计功能，通过对异常行为的预定义，实时监控用户对系统的操作，当检测到异常行为时，系统可以主动做出处理，避免造成更加严重的后果。

公开(公告)号：CN114511227A

公开(公告)日：2022-05-17

申请号：CN202210134208.7

申请日：2022-02-14

申请人： 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网上海市电力公司 ,  国家电网有限公司

发明人： 张鸿鹏 ,  祁龙云 ,  刘苇 ,  杨维永 ,  孙阳盛 ,  肖飞 ,  魏兴慎 ,  金明辉 ,  杨康乐 ,  闫珺 ,  朱世顺 ,  胡友琳 ,  孙连文 ,  张骞 ,  李向南 ,  孙柏颜 ,  吕小亮 ,  徐志超 ,  刘春志

IPC分类号： G06Q10/06 ,  G06Q50/06 ,  G06Q50/26 ,  H02J13/00 ,  G06N3/12

摘要： 本发明公开了电力监控系统网络安全策略编排及处置方法和系统，监测电力监控系统内部设备的安全事件；匹配安全事件与预设策略库，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，匹配不成功则基于遗传算法计算策略近似解；根据策略近似解采用可视化编排安全事件对应的安全处置策略；基于获得的安全处置策略实现安全处置。本发明实现对电力监控系统内部设备的行为分析与监测预警，基于遗传算法的匹配方法从海量告警中高效计算近似处置策略，真正实现电力监控系统的主动防御，从监测预警和应急处置的角度解决当前电力监控系统面临的主要安全威胁。

公开(公告)号：CN114816549B

公开(公告)日：2024-04-02

申请号：CN202210583967.1

申请日：2022-05-27

申请人： 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

发明人： 吕小亮 ,  祁龙云 ,  刘苇 ,  黄海东 ,  霍雪松 ,  李向南 ,  孙连文 ,  杨维永 ,  朱世顺 ,  孙柏颜 ,  张骞 ,  魏兴慎 ,  张鸿鹏 ,  裴培 ,  白晨阳 ,  杨康乐 ,  闫珺 ,  徐志超 ,  胡天昊

IPC分类号： G06F9/4401 ,  G06F21/60

摘要： 本发明提供一种保护bootloader及其环境变量的方法及系统，可在保证安全性的前提下，可以保护bootloader及其环境变量不被篡改。所述方法包括以下步骤：获取加密后的bootloader的镜像；所述加密后的bootloader内存储有加密后的内部环境变量；对加密后的bootloader的镜像进行验签；若验签失败，阻止系统启动；若验签成功，则在bootloader运行时对内部环境变量进行解密。采用本方法，可以有效提高安全性，保护bootloader及其环境变量不被篡改。

公开(公告)号：CN114969712A

公开(公告)日：2022-08-30

申请号：CN202210574800.9

申请日：2022-05-25

申请人： 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

发明人： 李向南 ,  刘苇 ,  祁龙云 ,  王治华 ,  吕小亮 ,  闫珺 ,  杨维永 ,  杨康乐 ,  魏兴慎 ,  张鸿鹏 ,  朱世顺 ,  孙连文 ,  徐志超 ,  孙柏颜 ,  汪洋 ,  纪元 ,  练永兵

IPC分类号： G06F21/44 ,  G06F21/57 ,  G06F12/0877

摘要： 本发明公开了一种基于LSM框架的可信程序动态度量方法及装置，当进程运行时被调用，如果进程不存在于dm_add_list缓存列表中，则被调用进程不需要被度量，被调用进程安全运行。如果存在，根据被调用进程的页表获取被调用进程的内存段对应的目标页地址，利用国密算法计算目标页地址空间内每个线性内存区域中数据的哈希值，并将哈希值求和，得到被调用进程的度量值。将被调用进程的度量值与度量基准值进行比较，如果相同，则被调用进程继续运行。如果不相同，则根据度量模式，对被调用进程进行处理。本发明对操作系统的运行产生最小的影响，实现进程的实时度量和验证，从而防止系统中出现越权操作、防止系统漏洞被攻击者利用。

公开(公告)号：CN117251874A

公开(公告)日：2023-12-19

申请号：CN202310977088.1

申请日：2023-08-04

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网江苏省电力有限公司电力科学研究院 ,  国网江苏省电力有限公司

发明人： 吕小亮 ,  祁龙云 ,  刘苇 ,  梅文明 ,  陈登洲 ,  杨维永 ,  魏兴慎 ,  孙连文 ,  俞建业 ,  李向南 ,  孙柏颜 ,  刘益敏 ,  李科 ,  杨康乐 ,  徐志超

IPC分类号： G06F21/62 ,  G06N5/01

摘要： 本发明公开了一种容器运行时的可信安全防护方法、系统及存储介质，本发明方法中，获取预设类型的文件，并将该文件路径作为可信策略存入容器可信策略库；生成容器的可信控制文件，所述可信控制文件用于描述容器执行不可信数据操作时选择的安全防护行为；容器运行时若执行数据操作，则在内核模块中基于容器可信策略库查找被操作数据的路径是否存在可信策略，若是则放行，若否则根据可信控制文件执行对应安全防护行为，所述数据操作具体为对所述预设类型的文件的操作或程序/动态库操作。本发明可以实现对容器运行时的可信防护，对新加入到容器内的程序和动态库可以有效的防护措施，安全性高。