公开(公告)号：CN112636946B

公开(公告)日：2023-04-28

申请号：CN202011245548.4

申请日：2020-11-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  陶洪铸 ,  刘苇 ,  孙连文 ,  张勃 ,  马增洲 ,  王海清 ,  祁龙云 ,  林学峰 ,  吴超 ,  朱世顺 ,  杨维永

IPC分类号： H04L41/00 ,  H04L9/40 ,  H02J13/00

摘要： 本发明公开了电力工控系统中边缘主节点选举方法，用于在部署于局域网内的多个终端设备中选举边缘主节点，包括：1、电力工控终端获取局域网段内所有的终端列表；2、在设定时间内终端广播自身IP和权重值，并接收其他终端的IP和权重值；将接收到的权重值最大的终端作为初步选举主节点；3、在设定时间内终端广播自身的初步选举主节点，并接收其他终端设备的初步选举主节点；4、终端设备统计接收到的初步选举主节点，将个数大于局域网内终端总数一半的终端作为最终选举的边缘主节点，其余终端设备为边缘从节点。该方法综合了网段内各终端设备的计算能力、安全性能、通信性能，以满足电力工控网络系统高实时性、高可靠性的要求。

公开(公告)号：CN112181513A

公开(公告)日：2021-01-05

申请号：CN202010960420.X

申请日：2020-09-14

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC分类号： G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

摘要： 本发明公开了一种基于硬件板卡的控制操作系统引导的可信度量方法及系统，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止系统启动；若验签成功，则将控制权转交给主机系统，进行系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN112181513B

公开(公告)日：2023-04-21

申请号：CN202010960420.X

申请日：2020-09-14

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC分类号： G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

摘要： 本发明公开了一种基于硬件板卡的控制主机系统引导的可信度量方法，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止主机系统启动；若验签成功，则将控制权转交给主机系统，进行主机系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN112636946A

公开(公告)日：2021-04-09

申请号：CN202011245548.4

申请日：2020-11-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  陶洪铸 ,  刘苇 ,  孙连文 ,  张勃 ,  马增洲 ,  王海清 ,  祁龙云 ,  林学峰 ,  吴超 ,  朱世顺 ,  杨维永

IPC分类号： H04L12/24 ,  H04L29/06 ,  H02J13/00

摘要： 本发明公开了电力工控系统中边缘主节点选举方法，用于在部署于局域网内的多个终端设备中选举边缘主节点，包括：1、电力工控终端获取局域网段内所有的终端列表；2、在设定时间内终端广播自身IP和权重值，并接收其他终端的IP和权重值；将接收到的权重值最大的终端作为初步选举主节点；3、在设定时间内终端广播自身的初步选举主节点，并接收其他终端设备的初步选举主节点；4、终端设备统计接收到的初步选举主节点，将个数大于局域网内终端总数一半的终端作为最终选举的边缘主节点，其余终端设备为边缘从节点。该方法综合了网段内各终端设备的计算能力、安全性能、通信性能，以满足电力工控网络系统高实时性、高可靠性的要求。

公开(公告)号：CN112054895A

公开(公告)日：2020-12-08

申请号：CN202010793729.4

申请日：2020-08-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 刘苇 ,  陶洪铸 ,  祁龙云 ,  王治华 ,  杨维永 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  朱世顺 ,  吕小亮 ,  闫珺 ,  王海清 ,  王晔 ,  叶金波 ,  金明辉 ,  高峰

IPC分类号： H04L9/08 ,  H04L9/06 ,  H04L9/30 ,  H04L9/32

摘要： 本发明公开了基于熔断机制和TPM芯片的硬件可信根构建方法及其应用，其中硬件可信根构建方法包括：1、根据公钥密码算法生成第一公钥；2、对第一公钥进行hash运算，得到第一公钥hash值；3、将第一公钥hash值烧入芯片的熔断区域；4、对芯片操作系统的内核镜像和初始文件系统进行拼接，生成第一拼接文件，并计算其hash值，采用第一私钥对第一拼接文件的hash值进行签名，生成签名文件；5、将第一拼接文件、第一公钥、签名文件拼接为第二拼接文件，将所述第二拼接文件作为系统镜像烧入芯片。该方法能够解决工控终端硬件可信根构建难题，保障整个工控终端可信计算的安全可信。

公开(公告)号：CN111565111A

公开(公告)日：2020-08-21

申请号：CN202010473253.6

申请日：2020-05-29

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC分类号： H04L9/32 ,  H04L29/06 ,  G06F21/64 ,  G06F21/33

摘要： 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN111565111B

公开(公告)日：2022-07-15

申请号：CN202010473253.6

申请日：2020-05-29

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC分类号： H04L9/32 ,  H04L9/40 ,  G06F21/64 ,  G06F21/33

摘要： 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN118054928A

公开(公告)日：2024-05-17

申请号：CN202311815775.X

申请日：2023-12-27

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 顾一凡 ,  魏兴慎 ,  刘苇 ,  周剑 ,  曹永健 ,  田秋涵 ,  董佳涵 ,  朱溢铭 ,  王胜 ,  李慧水 ,  郭楠楠

IPC分类号： H04L9/40 ,  G06F18/20

摘要： 本发明公开了一种基因序列HMM的加密恶意流量检测方法及系统，包括：获取历史的流量数据；根据历史数据训练改进的隐马尔可夫模型；采集实时流量信息，利用训练后的模型对实时流量进行检测。为对抗恶意软件通过加密技术躲避检测提供了新颖的可行方案。能够检测识别多种恶意软件家族产生的加密恶意流量，而不仅仅识别流量是否具有恶意性。

公开(公告)号：CN117879910A

公开(公告)日：2024-04-12

申请号：CN202311819812.4

申请日：2023-12-27

申请人： 南京南瑞信息通信科技有限公司 ,  国网辽宁省电力有限公司 ,  国家电网有限公司

发明人： 刘剑 ,  周小明 ,  郭靓 ,  张付存 ,  张文杰 ,  刘苇 ,  朱江 ,  俞皓 ,  宋为 ,  魏兴慎 ,  曹永健 ,  田秋涵 ,  祁龙云 ,  李慧水 ,  曹永明 ,  顾一凡

IPC分类号： H04L9/40

摘要： 本发明公开了一种重放攻击的水印检测防御方法及系统，包括：构建单区域负荷频率控制系统模型，通过单区域负荷频率控制系统模型建立重放攻击模型；建立卡尔曼滤波器观测系统状态，通过观测结果设置线性二次高斯控制器；为单区域负荷频率控制系统模型中待检测信号添加编码水印，利用K‑L散度检测器判断系统是否受到重放攻击并反馈周期水印生成策略；根据系统参数判断攻击是否造成系统不稳定，通过判断的结果决定是否启动防御策略；本发明添加的编码水印不会对系统造成性能损失且避免了连续添加水印的成本问题，检测器也提升了对重放攻击的灵敏度，多步状态预估补偿防御方法为维护系统提供了一定时间，从而实现对重放攻击的高效检测和防御。

公开(公告)号：CN117592126A

公开(公告)日：2024-02-23

申请号：CN202311373426.7

申请日：2023-10-20

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 韩盟 ,  张晓 ,  祁龙云 ,  梅文明 ,  刘苇 ,  程长春 ,  犹锋 ,  魏兴慎 ,  杨维永 ,  孙连文 ,  周献飞 ,  刘寅 ,  王元强 ,  潘恒 ,  吕小亮 ,  唐金宝

IPC分类号： G06F21/72 ,  G06F21/60

摘要： 本发明公开一种可信密码模块的仿真测试方法、装置及存储介质，方法包括：根据获取到的测试参数，从预设的可信计算功能库中选择对应的可信计算关联功能函数；基于测试参数利用所选择的可信计算关联功能函数组装得到命令包；在模拟处理器中运行待测试可信密码模块的可执行文件，或者，运行预先根据待测试可信密码模块的可执行文件编写的可信计算软件，以对所述命令包进行读取和解析，并根据解析结果执行对应的可信计算操作，得到执行结果数据；对执行结果数据进行校核，若校核通过则对应的可信计算功能通过测试。本发明能够不依赖物理芯片对可信计算模块的功能进行仿真测试，方便测试功能的移植以及可信计算功能的扩展。