公开(公告)号：CN110611659B

公开(公告)日：2022-08-09

申请号：CN201910771750.1

申请日：2019-08-21

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网山东省电力公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

Inventor： 刘苇 ,  陶洪铸 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  杨维永 ,  朱世顺 ,  祁龙云 ,  吕小亮 ,  闫珺 ,  王海清 ,  刘勇 ,  裴培

IPC: H04L9/40

Abstract: 本发明公开一种电力监控系统业务本质保护方法、装置及系统，包括如下内容：通过编译阶段的安全检查确保代码安全、进程无病毒感染、进程空间强隔离和程序执行流符合预定轨迹保护业务软件进程安全；通过设备指纹生成密钥的数据加密接口，确保存在本机的敏感数据的存储安全，通过双向认证，以及通信处理函数不可落地执行代码的方式保证通信安全；通过可信授权验证的方式保证服务安全；通过融合操作系统与业务应用用户的统一身份认证和授权管理保护业务软件人机交互安全。本发明通过对进程、存储、通信、服务和人机交互这五个本质方面共同提供安全保护，实现电力监控系统业务本质的安全保护。

公开(公告)号：CN114816549A

公开(公告)日：2022-07-29

申请号：CN202210583967.1

申请日：2022-05-27

Applicant: 国网电力科学研究院有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

Inventor： 吕小亮 ,  祁龙云 ,  刘苇 ,  黄海东 ,  霍雪松 ,  李向南 ,  孙连文 ,  杨维永 ,  朱世顺 ,  孙柏颜 ,  张骞 ,  魏兴慎 ,  张鸿鹏 ,  裴培 ,  白晨阳 ,  杨康乐 ,  闫珺 ,  徐志超 ,  胡天昊

IPC: G06F9/4401 ,  G06F21/60

Abstract: 本发明提供一种保护bootloader及其环境变量的方法及系统，可在保证安全性的前提下，可以保护bootloader及其环境变量不被篡改。所述方法包括以下步骤：获取加密后的bootloader的镜像；所述加密后的bootloader内存储有加密后的内部环境变量；对加密后的bootloader的镜像进行验签；若验签失败，阻止系统启动；若验签成功，则在bootloader运行时对内部环境变量进行解密。采用本方法，可以有效提高安全性，保护bootloader及其环境变量不被篡改。

公开(公告)号：CN111565111B

公开(公告)日：2022-07-15

申请号：CN202010473253.6

申请日：2020-05-29

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司

Inventor： 张晓 ,  闫珺 ,  祁龙云 ,  刘苇 ,  魏兴慎 ,  吕小亮 ,  孙柏颜 ,  徐志超 ,  杨康乐 ,  赵华 ,  李向南 ,  胡俊军 ,  巫乾军

IPC: H04L9/32 ,  H04L9/40 ,  G06F21/64 ,  G06F21/33

Abstract: 本发明公开了一种基于C/S架构的可信计算管理系统及管理方法，包括：一、可信管理中心为可信计算管理节点安装可信计算功能并配置可信策略，内容包括文件路径、文件摘要、策略模式；二、可信管理中心对策略文件签名后将其同公钥证书一起下发到可信计算管理节点，可信计算客户端验签可信策略文件，验签通过后将其加载至可信计算模块；三、如文件摘要与内核中可信策略对应的文件摘要不一致，可信计算模块根据可信策略模式对异常文件进行处理，并记录告警日志，告警日志由可信计算客户端上报到可信管理中心。本发明通用性强，兼容性好，灵活性高，可以在较小改造的基础上，实现多节点的可信计算管理，适合多节点环境复杂情况下的可信计算安全防护场合。

公开(公告)号：CN112054895A

公开(公告)日：2020-12-08

申请号：CN202010793729.4

申请日：2020-08-10

Applicant: 国电南瑞科技股份有限公司 ,  南京南瑞信息通信科技有限公司 ,  国家电网有限公司

Inventor： 刘苇 ,  陶洪铸 ,  祁龙云 ,  王治华 ,  杨维永 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  朱世顺 ,  吕小亮 ,  闫珺 ,  王海清 ,  王晔 ,  叶金波 ,  金明辉 ,  高峰

IPC: H04L9/08 ,  H04L9/06 ,  H04L9/30 ,  H04L9/32

Abstract: 本发明公开了基于熔断机制和TPM芯片的硬件可信根构建方法及其应用，其中硬件可信根构建方法包括：1、根据公钥密码算法生成第一公钥；2、对第一公钥进行hash运算，得到第一公钥hash值；3、将第一公钥hash值烧入芯片的熔断区域；4、对芯片操作系统的内核镜像和初始文件系统进行拼接，生成第一拼接文件，并计算其hash值，采用第一私钥对第一拼接文件的hash值进行签名，生成签名文件；5、将第一拼接文件、第一公钥、签名文件拼接为第二拼接文件，将所述第二拼接文件作为系统镜像烧入芯片。该方法能够解决工控终端硬件可信根构建难题，保障整个工控终端可信计算的安全可信。

公开(公告)号：CN108388793A

公开(公告)日：2018-08-10

申请号：CN201810018832.4

申请日：2018-01-09

Applicant: 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司信息通信分公司 ,  国家电网有限公司

Inventor： 刘苇 ,  吕小亮 ,  姚一杨 ,  祁龙云 ,  赵保华 ,  丁晓玉 ,  栾国强 ,  刘行 ,  魏兴慎 ,  从正海 ,  屠正伟

IPC: G06F21/55 ,  G06F21/53

Abstract: 本发明公开了一种基于主动防御的虚拟机逃逸防护方法，包括自主学习Hypervisor程序和虚拟机模拟器程序的可信度量值和正常执行时的所有行为，并生成系统日志；解析系统日志，更新可信策略配置文件和强制访问控制策略配置文件；将可信策略配置文件和强制访问控制策略配置文件以强制模式加载到内核增强模块中；内核增强模块根据加载的可信度量值和系统行为，阻止被修改的程序执行，阻止程序的异常行为。本发明采用可信计算和自学习的强制访问控制，保证了被修改的Hypervisor程序或者虚拟机模拟器程序不能被运行，限制异常行为，有效的遏制虚拟机非法权限状态转换。