公开(公告)号：CN109766268B

公开(公告)日：2019-10-25

申请号：CN201811543051.3

申请日：2018-12-17

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司南通供电分公司 ,  国家电网有限公司

发明人： 祁龙云 ,  杨维永 ,  刘苇 ,  路红 ,  吕小亮 ,  魏兴慎 ,  李云鹏 ,  唐伟 ,  周峰 ,  朱世顺 ,  闫珺

IPC分类号： G06F11/36

摘要： 本发明公开了一种顺序汇编指令程序的验证方法与系统，其中方法包括：对每一条汇编指令建立一个语义规则；依次读取每一条汇编指令，获取每一条指令的所有的操作数，并记录每个操作数的地址、操作数的初始数值和长度；对程序的所有指令依次将所有操作数‑的数值规约为它们的初始值的表达式；对于每一条指令按照顺序依次根据相应的指令语义规则，生成相应的证明脚本。本发明方法从比较简单的汇编指令的语义规则、简单的单条汇编指令的语义证明脚本的生成方法出发，利用归纳技术方法得到整个顺序汇编指令程序语义的规约和验证脚本生成的方法，可以大大减少形式化工作的工作量。

公开(公告)号：CN109766268A

公开(公告)日：2019-05-17

申请号：CN201811543051.3

申请日：2018-12-17

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网江苏省电力有限公司南通供电分公司 ,  国家电网有限公司

发明人： 祁龙云 ,  杨维永 ,  刘苇 ,  路红 ,  吕小亮 ,  魏兴慎 ,  李云鹏 ,  唐伟 ,  周峰 ,  朱世顺 ,  闫珺

IPC分类号： G06F11/36

摘要： 本发明公开了一种顺序汇编指令程序的验证方法与系统，其中方法包括：对每一条汇编指令建立一个语义规则；依次读取每一条汇编指令，获取每一条指令的所有的操作数，并记录每个操作数的地址、操作数的初始数值和长度；对程序的所有指令依次将所有操作数-的数值规约为它们的初始值的表达式；对于每一条指令按照顺序依次根据相应的指令语义规则，生成相应的证明脚本。本发明方法从比较简单的汇编指令的语义规则、简单的单条汇编指令的语义证明脚本的生成方法出发，利用归纳技术方法得到整个顺序汇编指令程序语义的规约和验证脚本生成的方法，可以大大减少形式化工作的工作量。

公开(公告)号：CN108388793B

公开(公告)日：2022-03-01

申请号：CN201810018832.4

申请日：2018-01-09

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司信息通信分公司 ,  国家电网有限公司

发明人： 刘苇 ,  吕小亮 ,  姚一杨 ,  祁龙云 ,  赵保华 ,  丁晓玉 ,  栾国强 ,  刘行 ,  魏兴慎 ,  从正海 ,  屠正伟

IPC分类号： G06F21/55 ,  G06F21/53

摘要： 本发明公开了一种基于主动防御的虚拟机逃逸防护方法，包括自主学习Hypervisor程序和虚拟机模拟器程序的可信度量值和正常执行时的所有行为，并生成系统日志；解析系统日志，更新可信策略配置文件和强制访问控制策略配置文件；将可信策略配置文件和强制访问控制策略配置文件以强制模式加载到内核增强模块中；内核增强模块根据加载的可信度量值和系统行为，阻止被修改的程序执行，阻止程序的异常行为。本发明采用可信计算和自学习的强制访问控制，保证了被修改的Hypervisor程序或者虚拟机模拟器程序不能被运行，限制异常行为，有效的遏制虚拟机非法权限状态转换。

公开(公告)号：CN110611659A

公开(公告)日：2019-12-24

申请号：CN201910771750.1

申请日：2019-08-21

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网山东省电力公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

发明人： 刘苇 ,  陶洪铸 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  杨维永 ,  朱世顺 ,  祁龙云 ,  吕小亮 ,  闫珺 ,  王海清 ,  刘勇 ,  裴培

IPC分类号： H04L29/06

摘要： 本发明公开一种电力监控系统业务本质保护方法、装置及系统，包括如下内容：通过编译阶段的安全检查确保代码安全、进程无病毒感染、进程空间强隔离和程序执行流符合预定轨迹保护业务软件进程安全；通过设备指纹生成密钥的数据加密接口，确保存在本机的敏感数据的存储安全，通过双向认证，以及通信处理函数不可落地执行代码的方式保证通信安全；通过可信授权验证的方式保证服务安全；通过融合操作系统与业务应用用户的统一身份认证和授权管理保护业务软件人机交互安全。本发明通过对进程、存储、通信、服务和人机交互这五个本质方面共同提供安全保护，实现电力监控系统业务本质的安全保护。

公开(公告)号：CN110611659B

公开(公告)日：2022-08-09

申请号：CN201910771750.1

申请日：2019-08-21

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网山东省电力公司 ,  国网江苏省电力有限公司 ,  国家电网有限公司

发明人： 刘苇 ,  陶洪铸 ,  魏兴慎 ,  周劼英 ,  汪明 ,  张晓 ,  杨维永 ,  朱世顺 ,  祁龙云 ,  吕小亮 ,  闫珺 ,  王海清 ,  刘勇 ,  裴培

IPC分类号： H04L9/40

摘要： 本发明公开一种电力监控系统业务本质保护方法、装置及系统，包括如下内容：通过编译阶段的安全检查确保代码安全、进程无病毒感染、进程空间强隔离和程序执行流符合预定轨迹保护业务软件进程安全；通过设备指纹生成密钥的数据加密接口，确保存在本机的敏感数据的存储安全，通过双向认证，以及通信处理函数不可落地执行代码的方式保证通信安全；通过可信授权验证的方式保证服务安全；通过融合操作系统与业务应用用户的统一身份认证和授权管理保护业务软件人机交互安全。本发明通过对进程、存储、通信、服务和人机交互这五个本质方面共同提供安全保护，实现电力监控系统业务本质的安全保护。

公开(公告)号：CN108388793A

公开(公告)日：2018-08-10

申请号：CN201810018832.4

申请日：2018-01-09

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司信息通信分公司 ,  国家电网有限公司

发明人： 刘苇 ,  吕小亮 ,  姚一杨 ,  祁龙云 ,  赵保华 ,  丁晓玉 ,  栾国强 ,  刘行 ,  魏兴慎 ,  从正海 ,  屠正伟

IPC分类号： G06F21/55 ,  G06F21/53

摘要： 本发明公开了一种基于主动防御的虚拟机逃逸防护方法，包括自主学习Hypervisor程序和虚拟机模拟器程序的可信度量值和正常执行时的所有行为，并生成系统日志；解析系统日志，更新可信策略配置文件和强制访问控制策略配置文件；将可信策略配置文件和强制访问控制策略配置文件以强制模式加载到内核增强模块中；内核增强模块根据加载的可信度量值和系统行为，阻止被修改的程序执行，阻止程序的异常行为。本发明采用可信计算和自学习的强制访问控制，保证了被修改的Hypervisor程序或者虚拟机模拟器程序不能被运行，限制异常行为，有效的遏制虚拟机非法权限状态转换。

公开(公告)号：CN110035071A

公开(公告)日：2019-07-19

申请号：CN201910230483.7

申请日：2019-03-26

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司

发明人： 祁龙云 ,  吕小亮 ,  刘苇 ,  魏兴慎 ,  闫珺 ,  孙连文 ,  王海清

IPC分类号： H04L29/06 ,  H04L9/32 ,  H04L9/08

摘要： 本发明公开一种双因子双向认证方法、客户端及服务端，包括如下过程：生成认证请求，获取USBKey的授权，提取USBKey中的用户证书和用户私钥，接收来自服务端的服务端证书，接收随机数S，利用服务端公钥对随机数S验签，利用用户私钥对经过验签的随机数S签名，生成随机数C，利用用户私钥对随机数C签名，发送用户证书、经过用户私钥签名的随机数C和经过用户私钥签名的随机数S至服务端，接收随机数C，利用服务端公钥对经过服务端私钥签名后的随机数C验签，比对验签后的随机数C与之前的随机数C是否一致，根据比对结果判断服务端的合法性。本发明有效防止任一端被劫持或者重放攻击，极大地增强了用户远程认证的安全性。

公开(公告)号：CN109460673A

公开(公告)日：2019-03-12

申请号：CN201811229445.1

申请日：2018-10-22

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司 ,  国网浙江省电力有限公司电力科学研究院

发明人： 宋子锋 ,  刘苇 ,  祁龙云 ,  黄益彬 ,  吕小亮 ,  魏兴慎 ,  韩勇 ,  刘周斌 ,  李沁园

IPC分类号： G06F21/62

摘要： 本发明公开了一种基于强制访问控制保护移动终端敏感数据的方法，包括分析在标准Linux内核上集成安全模块框架所做的修改；对比标准Linux内核与Android Linux内核，将安全模块框架作为内核补丁移植到Android Linux内核中；在安全模块框架上构建访问控制模块和加密模块，通过访问控制模块设计文件访问控制权限，通过加密模块对敏感文件进行加密；其中敏感文件为访问控制权限超过预设等级的文件。同时也公开了相应的系统。本发明将安全模块框架添加到Android Linux内核中，并设计访问控制模块，能有效限定了特权程序的访问权限，实现了强制访问控制，提升了操作系统的安全性。

公开(公告)号：CN116820896B

公开(公告)日：2023-11-24

申请号：CN202311103329.6

申请日：2023-08-30

申请人： 南京南瑞信息通信科技有限公司 ,  南瑞集团有限公司

发明人： 杨维永 ,  刘苇 ,  李科 ,  祁龙云 ,  魏兴慎 ,  孙连文 ,  吕小亮 ,  曹永健

IPC分类号： G06F11/30 ,  G06N3/0455 ,  G06N3/08

摘要： 本发明公开了一种基于物理信号的非侵入式工控终端异常检测方法，包括：针对终端功耗以及CPU运行状态进行物理信号采集；对工控终端正常运行周期内的物理信号进行采集，并通过网络传输给计算设备进行模型训练，构建业务正常运行的完整画像，并以此为基线实现工控终端的异常检测；对工控终端进行实时检测，计算t时刻的预测值，根据预测值和实际值的差异大小判断t时刻是否为正常样本；在固定长度的时间窗口内检测出的异常次数超过预先设置的告警上限数值，则判定终端运行状态出现了异常，发出告警。本发明异常检测准确率高，通用性强，灵活性高，适合各种工控终端的异常检测场合。

公开(公告)号：CN109508550A

公开(公告)日：2019-03-22

申请号：CN201811229452.1

申请日：2018-10-22

申请人： 南瑞集团有限公司 ,  南京南瑞信息通信科技有限公司 ,  国网浙江省电力有限公司 ,  国网浙江省电力有限公司电力科学研究院

发明人： 吕小亮 ,  宋子锋 ,  刘苇 ,  祁龙云 ,  魏兴慎 ,  黄益彬 ,  韩勇 ,  韩嘉佳 ,  孙歆 ,  戴桦

IPC分类号： G06F21/60

摘要： 本发明公开了一种基于SEAndroid的用户隐私保护方法，包括响应于应用程序安装，根据用户允许的隐私权限列表生成此应用程序的安全标签和安全策略；响应于应用程序进程创建，获取此应用程序的安全标签并设置到进程的安全上下文中；响应于用户允许的隐私权限列表变化，根据变化后的用户允许的隐私权限列表，重新生成此应用程序的安全标签和安全策略；响应于应用程序运行过程中隐私权限被阻止，通知用户应用程序被阻止的原因。同时也公开了用户隐私保护系统。本发明改进了SEAndroid系统须由开发者来预定义安全策略的弊端，使得策略的关联和使用更加的灵活可控，同时免去了对底层安全策略文件的反复烧写的麻烦和不可操作性。