公开(公告)号：CN112181513B

公开(公告)日：2023-04-21

申请号：CN202010960420.X

申请日：2020-09-14

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC: G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

Abstract: 本发明公开了一种基于硬件板卡的控制主机系统引导的可信度量方法，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止主机系统启动；若验签成功，则将控制权转交给主机系统，进行主机系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN111565111A

公开(公告)日：2020-08-21

申请号：CN202010473253.6

申请日：2020-05-29

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

Inventor： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC: H04L9/32 ,  H04L29/06 ,  G06F21/64 ,  G06F21/33

Abstract: 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN111565111B

公开(公告)日：2022-07-15

申请号：CN202010473253.6

申请日：2020-05-29

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

Inventor： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC: H04L9/32 ,  H04L9/40 ,  G06F21/64 ,  G06F21/33

Abstract: 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN112054895A

公开(公告)日：2020-12-08

申请号：CN202010793729.4

申请日：2020-08-10

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 刘苇 ,  陶洪铸 ,  祁龙云 ,  王治华 ,  杨维永 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  朱世顺 ,  吕小亮 ,  闫珺 ,  王海清 ,  王晔 ,  叶金波 ,  金明辉 ,  高峰

IPC: H04L9/08 ,  H04L9/06 ,  H04L9/30 ,  H04L9/32

Abstract: 本发明公开了基于熔断机制和TPM芯片的硬件可信根构建方法及其应用，其中硬件可信根构建方法包括：1、根据公钥密码算法生成第一公钥；2、对第一公钥进行hash运算，得到第一公钥hash值；3、将第一公钥hash值烧入芯片的熔断区域；4、对芯片操作系统的内核镜像和初始文件系统进行拼接，生成第一拼接文件，并计算其hash值，采用第一私钥对第一拼接文件的hash值进行签名，生成签名文件；5、将第一拼接文件、第一公钥、签名文件拼接为第二拼接文件，将所述第二拼接文件作为系统镜像烧入芯片。该方法能够解决工控终端硬件可信根构建难题，保障整个工控终端可信计算的安全可信。

公开(公告)号：CN112181513A

公开(公告)日：2021-01-05

申请号：CN202010960420.X

申请日：2020-09-14

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC: G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

Abstract: 本发明公开了一种基于硬件板卡的控制操作系统引导的可信度量方法及系统，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止系统启动；若验签成功，则将控制权转交给主机系统，进行系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN114511227A

公开(公告)日：2022-05-17

申请号：CN202210134208.7

申请日：2022-02-14

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网上海市电力公司 ,  国家电网有限公司

Inventor： 张鸿鹏 ,  祁龙云 ,  刘苇 ,  杨维永 ,  孙阳盛 ,  肖飞 ,  魏兴慎 ,  金明辉 ,  杨康乐 ,  闫珺 ,  朱世顺 ,  胡友琳 ,  孙连文 ,  张骞 ,  李向南 ,  孙柏颜 ,  吕小亮 ,  徐志超 ,  刘春志

IPC: G06Q10/06 ,  G06Q50/06 ,  G06Q50/26 ,  H02J13/00 ,  G06N3/12

Abstract: 本发明公开了电力监控系统网络安全策略编排及处置方法和系统，监测电力监控系统内部设备的安全事件；匹配安全事件与预设策略库，匹配成功则从预设策略库中获取安全事件对应的安全处置策略，匹配不成功则基于遗传算法计算策略近似解；根据策略近似解采用可视化编排安全事件对应的安全处置策略；基于获得的安全处置策略实现安全处置。本发明实现对电力监控系统内部设备的行为分析与监测预警，基于遗传算法的匹配方法从海量告警中高效计算近似处置策略，真正实现电力监控系统的主动防御，从监测预警和应急处置的角度解决当前电力监控系统面临的主要安全威胁。

公开(公告)号：CN113221076A

公开(公告)日：2021-08-06

申请号：CN202110494759.X

申请日：2021-05-07

Applicant: 南京南瑞信息通信科技有限公司

Inventor： 祁龙云 ,  罗黎明 ,  刘寅 ,  刘苇 ,  吕小亮 ,  徐项帅 ,  孙连文 ,  杨维永 ,  朱世顺 ,  李向南 ,  魏兴慎 ,  黄天明 ,  徐志超 ,  张鸿鹏 ,  杨康乐 ,  闫珺 ,  孙柏颜 ,  金建龙

IPC: G06F21/14 ,  G06F21/60 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种防止ELF程序被逆向分析的方法、装置及系统，所述方法包括在ELF程序编译生成之后，利用其自身的信息，经过变换后，生成级联密钥；利用所述级联秘钥对ELF程序的关键头部和信息进行加密处理，形成加密的ELF程序；当执行所述加密的ELF程序时，通过内核对其进行加载、解密和执行。本发明有效地解决了防止ELF执行程序被逆向的问题，避免程序逻辑外泄，减小系统和装置被攻击的风险。

公开(公告)号：CN109766268B

公开(公告)日：2019-10-25

申请号：CN201811543051.3

申请日：2018-12-17

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司南通供电分公司 ,  国家电网有限公司

Inventor： 祁龙云 ,  杨维永 ,  刘苇 ,  路红 ,  吕小亮 ,  魏兴慎 ,  李云鹏 ,  唐伟 ,  周峰 ,  朱世顺 ,  闫珺

IPC: G06F11/36

Abstract: 本发明公开了一种顺序汇编指令程序的验证方法与系统，其中方法包括：对每一条汇编指令建立一个语义规则；依次读取每一条汇编指令，获取每一条指令的所有的操作数，并记录每个操作数的地址、操作数的初始数值和长度；对程序的所有指令依次将所有操作数‑的数值规约为它们的初始值的表达式；对于每一条指令按照顺序依次根据相应的指令语义规则，生成相应的证明脚本。本发明方法从比较简单的汇编指令的语义规则、简单的单条汇编指令的语义证明脚本的生成方法出发，利用归纳技术方法得到整个顺序汇编指令程序语义的规约和验证脚本生成的方法，可以大大减少形式化工作的工作量。

公开(公告)号：CN114969712A

公开(公告)日：2022-08-30

申请号：CN202210574800.9

申请日：2022-05-25

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

Inventor： 李向南 ,  刘苇 ,  祁龙云 ,  王治华 ,  吕小亮 ,  闫珺 ,  杨维永 ,  杨康乐 ,  魏兴慎 ,  张鸿鹏 ,  朱世顺 ,  孙连文 ,  徐志超 ,  孙柏颜 ,  汪洋 ,  纪元 ,  练永兵

IPC: G06F21/44 ,  G06F21/57 ,  G06F12/0877

Abstract: 本发明公开了一种基于LSM框架的可信程序动态度量方法及装置，当进程运行时被调用，如果进程不存在于dm_add_list缓存列表中，则被调用进程不需要被度量，被调用进程安全运行。如果存在，根据被调用进程的页表获取被调用进程的内存段对应的目标页地址，利用国密算法计算目标页地址空间内每个线性内存区域中数据的哈希值，并将哈希值求和，得到被调用进程的度量值。将被调用进程的度量值与度量基准值进行比较，如果相同，则被调用进程继续运行。如果不相同，则根据度量模式，对被调用进程进行处理。本发明对操作系统的运行产生最小的影响，实现进程的实时度量和验证，从而防止系统中出现越权操作、防止系统漏洞被攻击者利用。

公开(公告)号：CN113220415A

公开(公告)日：2021-08-06

申请号：CN202110449233.X

申请日：2021-04-25

Applicant: 南京南瑞信息通信科技有限公司

Inventor： 孙连文 ,  张骞 ,  潘恒 ,  刘苇 ,  祁龙云 ,  丁晓玉 ,  栾国强 ,  吕小亮 ,  杨维永 ,  杨康乐 ,  闫珺 ,  魏兴慎 ,  朱世顺 ,  刘寅 ,  李向南 ,  孙柏颜 ,  张鸿鹏 ,  徐志超 ,  胡天昊

IPC: G06F9/455 ,  G06F21/60 ,  G06F21/53

Abstract: 本发明公开了面向kata容器持久化数据保护方法及装置，kata容器启动时，kata容器检查业务数据文件中的业务数据信息，确保业务数据文件中的业务数据信息均为加密数据；kata容器内读取业务数据文件时，kata容器将待读取业务数据文件发送至与其对应的虚拟机内核中的解密模块，使得解密模块对待读取的业务数据文件进行解密；kata容器内发生写业务数据到本地时，kata容器将待发生写业务数据发送至与其对应的虚拟机内核中加密模块，使得加密模块对待写到本地的业务数据进行加密，由kata容器将加密后的业务数据写到本地业务数据文件中。本发明能够实现容器内对业务数据透明加/解密，对容器内业务数据持久化保护能力有显著提高，减少业务信息泄露的风险。