公开(公告)号：CN112181513B

公开(公告)日：2023-04-21

申请号：CN202010960420.X

申请日：2020-09-14

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC分类号： G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

摘要： 本发明公开了一种基于硬件板卡的控制主机系统引导的可信度量方法，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止主机系统启动；若验签成功，则将控制权转交给主机系统，进行主机系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN112636946A

公开(公告)日：2021-04-09

申请号：CN202011245548.4

申请日：2020-11-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  陶洪铸 ,  刘苇 ,  孙连文 ,  张勃 ,  马增洲 ,  王海清 ,  祁龙云 ,  林学峰 ,  吴超 ,  朱世顺 ,  杨维永

IPC分类号： H04L12/24 ,  H04L29/06 ,  H02J13/00

摘要： 本发明公开了电力工控系统中边缘主节点选举方法，用于在部署于局域网内的多个终端设备中选举边缘主节点，包括：1、电力工控终端获取局域网段内所有的终端列表；2、在设定时间内终端广播自身IP和权重值，并接收其他终端的IP和权重值；将接收到的权重值最大的终端作为初步选举主节点；3、在设定时间内终端广播自身的初步选举主节点，并接收其他终端设备的初步选举主节点；4、终端设备统计接收到的初步选举主节点，将个数大于局域网内终端总数一半的终端作为最终选举的边缘主节点，其余终端设备为边缘从节点。该方法综合了网段内各终端设备的计算能力、安全性能、通信性能，以满足电力工控网络系统高实时性、高可靠性的要求。

公开(公告)号：CN112636946B

公开(公告)日：2023-04-28

申请号：CN202011245548.4

申请日：2020-11-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  陶洪铸 ,  刘苇 ,  孙连文 ,  张勃 ,  马增洲 ,  王海清 ,  祁龙云 ,  林学峰 ,  吴超 ,  朱世顺 ,  杨维永

IPC分类号： H04L41/00 ,  H04L9/40 ,  H02J13/00

摘要： 本发明公开了电力工控系统中边缘主节点选举方法，用于在部署于局域网内的多个终端设备中选举边缘主节点，包括：1、电力工控终端获取局域网段内所有的终端列表；2、在设定时间内终端广播自身IP和权重值，并接收其他终端的IP和权重值；将接收到的权重值最大的终端作为初步选举主节点；3、在设定时间内终端广播自身的初步选举主节点，并接收其他终端设备的初步选举主节点；4、终端设备统计接收到的初步选举主节点，将个数大于局域网内终端总数一半的终端作为最终选举的边缘主节点，其余终端设备为边缘从节点。该方法综合了网段内各终端设备的计算能力、安全性能、通信性能，以满足电力工控网络系统高实时性、高可靠性的要求。

公开(公告)号：CN112181513A

公开(公告)日：2021-01-05

申请号：CN202010960420.X

申请日：2020-09-14

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 祁龙云 ,  刘苇 ,  陶洪铸 ,  吕小亮 ,  杨维永 ,  魏兴慎 ,  闫珺 ,  朱世顺 ,  孙连文 ,  李向南 ,  叶洪波 ,  刘寅 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  王海清 ,  王元强

IPC分类号： G06F9/445 ,  G06F21/60 ,  G06F21/62 ,  G06F21/64 ,  H04L9/14

摘要： 本发明公开了一种基于硬件板卡的控制操作系统引导的可信度量方法及系统，包括步骤1：将部署有安全系统的具有只读存储的硬件板卡接入主机系统；步骤2：通过引导程序将主机系统的BIOS修改为从硬件板卡上的安全系统启动；步骤3：通过调用加密芯片接口采用私钥对主机系统的文件进行签名，其签名值作为可信度量的基准值加密保存于主机系统中；步骤4：主机系统上电，BIOS将控制权转交给硬件板卡中的安全系统，安全系统利用预制的公钥对主机系统的文件进行验签，若验签失败，则阻止系统启动；若验签成功，则将控制权转交给主机系统，进行系统的正常启动，以此达到对引导程序进行可信度量的目的。

公开(公告)号：CN112054895A

公开(公告)日：2020-12-08

申请号：CN202010793729.4

申请日：2020-08-10

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

发明人： 刘苇 ,  陶洪铸 ,  祁龙云 ,  王治华 ,  杨维永 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  朱世顺 ,  吕小亮 ,  闫珺 ,  王海清 ,  王晔 ,  叶金波 ,  金明辉 ,  高峰

IPC分类号： H04L9/08 ,  H04L9/06 ,  H04L9/30 ,  H04L9/32

摘要： 本发明公开了基于熔断机制和TPM芯片的硬件可信根构建方法及其应用，其中硬件可信根构建方法包括：1、根据公钥密码算法生成第一公钥；2、对第一公钥进行hash运算，得到第一公钥hash值；3、将第一公钥hash值烧入芯片的熔断区域；4、对芯片操作系统的内核镜像和初始文件系统进行拼接，生成第一拼接文件，并计算其hash值，采用第一私钥对第一拼接文件的hash值进行签名，生成签名文件；5、将第一拼接文件、第一公钥、签名文件拼接为第二拼接文件，将所述第二拼接文件作为系统镜像烧入芯片。该方法能够解决工控终端硬件可信根构建难题，保障整个工控终端可信计算的安全可信。

公开(公告)号：CN111565111A

公开(公告)日：2020-08-21

申请号：CN202010473253.6

申请日：2020-05-29

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC分类号： H04L9/32 ,  H04L29/06 ,  G06F21/64 ,  G06F21/33

摘要： 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN111565111B

公开(公告)日：2022-07-15

申请号：CN202010473253.6

申请日：2020-05-29

申请人： 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC分类号： H04L9/32 ,  H04L9/40 ,  G06F21/64 ,  G06F21/33

摘要： 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN113595790B

公开(公告)日：2024-04-05

申请号：CN202110861794.0

申请日：2021-07-29

申请人： 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网河北省电力有限公司信息通信分公司 ,  国家电网有限公司

发明人： 魏兴慎 ,  吴超 ,  张勃 ,  陈连栋 ,  曹永健 ,  王海清 ,  高鹏 ,  祁龙云 ,  马增洲 ,  葛国栋 ,  赵林丛 ,  杨维永 ,  刘苇 ,  朱世顺

IPC分类号： H04L41/12 ,  H04L9/40

摘要： 本发明公开了一种电力终端设备的安全访问评估方法及装置，该方法用于在零信任网络中对终端设备的信任度和安全威胁进行持续评估，该方法在终端设备上安装采集探针，采集终端的安全状态，基于电力业务系统上服务器的网络连接关系构建网络拓扑图，并采用WL子树核算法将所构建的网络拓扑图转化为R‑跳的带权攻击树；针对接入的终端设备计算服务器节点R‑跳内的风险值，对带权攻击树进行剪枝，得到最终安全可访问的电力业务系统。本发明不仅考虑终端设备的安全状态，同时考虑终端设备在云端的访问权限、业务系统的安全防护能力等，并最终给出终端可以安全访问的最小安全业务集。

公开(公告)号：CN114938303B

公开(公告)日：2023-10-20

申请号：CN202210550314.3

申请日：2022-05-20

申请人： 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

发明人： 曹永健 ,  魏兴慎 ,  杨维永 ,  高鹏 ,  吴超 ,  张勃 ,  朱世顺 ,  张浩天 ,  马增洲 ,  田秋涵 ,  刘苇 ,  祁龙云 ,  黄天明 ,  黄海东 ,  裴培 ,  霍雪松 ,  王海清

IPC分类号： H04L9/40

摘要： 本发明公开一种适用于电网调控云平台微隔离安全防护方法，包括：基于电网调控云平台管理的所有主机节点的节点运行信息分析得到主机节点之间的连接关系数据，进而分析确定调控云平台内的业务系统，以及各业务系统下的主机节点；基于已确定的业务系统及其主机节点，按照预设的微隔离原则生成对应调控云平台内业务系统的微隔离策略，下发至对应的业务系统下的主机节点，使得主机节点执行所述微隔离策略；根据主机节点的节点运行信息，判断主机节点之间的连接行为是否符合其应当正在执行的微隔离策略，得到主机节点的策略执行校核结果。本发明能够实现电网调控云平台对业务节点的业务类型识别，进而实现电网调控云平台内外的微隔离防护，有效调控云平台系统的安全性。

公开(公告)号：CN116841887A

公开(公告)日：2023-10-03

申请号：CN202310807011.X

申请日：2023-07-04

申请人： 南京南瑞信息通信科技有限公司 ,  国网电力科学研究院有限公司 ,  国网北京市电力公司 ,  国家电网有限公司

发明人： 俞建业 ,  李向南 ,  吕小亮 ,  曹昆 ,  祁龙云 ,  刘苇 ,  杨康乐 ,  犹锋 ,  王艳松 ,  杨维永 ,  刘寅 ,  张玉兵 ,  孙柏颜 ,  陈登洲 ,  解思江

IPC分类号： G06F11/36 ,  G06F8/65

摘要： 本发明公开了一种基于剖面建模的安全操作系统实时性测试方法及系统，包括：分析安全操作系统实时性测试需求，通过指标输入填写所需的测试参数和相关指标，生成安全操作系统实时性测试指标；根据安全操作系统实时性测试指标以及安全操作系统功能进行剖面建模，生成安全操作系统使用剖面，并根据使用剖面生成测试用例；执行测试用例，回传测试数据，对测试数据进行评估分析，得到评估结果，并根据评估结果生成测试报告；根据评估结果更新使用剖面和测试指标，并根据更新后的使用剖面和测试指标对测试系统进行升级迭代。本发明以解决安全操作系统实时性检测，为安全操作系统的实时性研究和性能提升提供安全、可靠、准确的参考数值和应用方法。