公开(公告)号：CN104168257B

公开(公告)日：2018-08-17

申请号：CN201410042475.7

申请日：2014-01-28

Applicant: 广东电网公司电力科学研究院

Inventor： 梁智强 ,  胡朝辉 ,  江泽鑫 ,  梁志宏 ,  陈炯聪 ,  黄曙 ,  余南华 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06

Abstract: 本发明提供一种基于非网络方式的数据隔离装置及其隔离方法与系统，包括内网主机、外网主机和隔离通信模块，内外网主机均网络协议栈，并分别维护TCP代理客户端模块和TCP代理服务端模块。TCP代理服务端模块与业务数据包客户端建TCP连接socket1及数据转发，TCP代理客户端模块负责与业务数据包服务端建立TCP连接socket2及数据转发，隔离通信模块使用私有协议，剥除了业务数据包TCP头及以下的报文头，仅进行纯业务数据载荷转发。整体上实现内、外端主机之间的四层隔离子系统通信，有效阻止除“基于私有协议内部的攻击”之外的所有网络攻击，确保内部网络与外部网络物理隔绝的前提下，网络数据交互的高效率。

公开(公告)号：CN103780395B

公开(公告)日：2017-11-10

申请号：CN201410036844.1

申请日：2014-01-24

Applicant: 广东电网公司电力科学研究院 ,  中标软件有限公司

Inventor： 胡朝辉 ,  梁志宏 ,  梁智强 ,  江泽鑫 ,  林丹生 ,  李闯 ,  崔善童 ,  孟德伟 ,  王超

IPC: H04L9/32 ,  H04L29/06

Abstract: 本发明提供一种网络接入证明双向度量的方法和系统，在访问终端对内部网络发起网络访问请求时，内部网络度量服务器不仅度量访问终端的可信平台可信属性，确定请求端的是否可信，而且度量内部网络各功能节点的可信状态。当访问终端通过了可信平台的可信度量，允许访问终端接入到内部网络时，发送内部网络各功能节点的可信状态给访问终端，实现了双向可信证明，避免了单独度量外部访问终端的可信状态而忽略了内部网络节点的度量，保证了内外部网络的双向可信。

公开(公告)号：CN103795719B

公开(公告)日：2017-09-19

申请号：CN201410033245.4

申请日：2014-01-23

Applicant: 广东电网公司电力科学研究院

Inventor： 陈炯聪 ,  曾强 ,  苏扬 ,  谢善益 ,  李海涛 ,  黄曙 ,  余南华 ,  梁智强 ,  胡朝辉 ,  江泽鑫 ,  梁志宏 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06 ,  H04L12/46

Abstract: 本发明提供一种终端安全设备精简配置管理方法与系统，设置数字证书系统，通过数字证书系统自动配置终端安全设备与主站安全设备之间相互通信的IPSec VPN通信参数，数字证书系统生成终端安全设备、主站安全设备的数字证书文件完成终端安全设备的初始化，将终端安全设备的证书文件和IPSec VPN通信参数发送到主站安全设备上，以使终端安全设备和主站安全设备都能识别通信的IPSec VPN通信参数，当终端安全设备上电工作时，终端安全设备读取相应的通信的IPSec VPN通信参数，实现IPSec VPN通信。上述精简配置的管理方法，不需要在终端安全设备上开发WEB管理程序，无需复杂的页面操作流程，无需复杂的CONSOLE配置命令，简化终端安全装置配置管理流程和方法，减小了由于配置管理带来的系统负担，增强了对整个网络设备的集中管理。

公开(公告)号：CN103929423B

公开(公告)日：2017-08-25

申请号：CN201410151025.1

申请日：2014-04-15

Applicant: 广东电网公司电力科学研究院

Inventor： 胡朝辉 ,  梁志宏 ,  梁智强 ,  陈炯聪 ,  余南华 ,  江泽鑫 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06 ,  H04L12/46

Abstract: 本发明提供一种处理电力规约的IPSec VPN安全转发方法与系统，在IP数据包在进入IPSEC VPN设备时，根据IP报文分组信息在安全策略库SPD库中查找符合IP数据包的安全策略SP，根据安全策略SP对IP报文分组信息进行数据解密处理，得到原始数据报文，再根据安全策略SP中的特征值信息对原始数据报文进行电力规约特征值信息识别，判断当前IP数据包报文是否需要转发。电力规约特征识别的安全策略，实现对承载电力业务的IP数据包进行细粒度检查匹配，防止数据包的隧道内攻击，避免在IPSec VPN设备中添加大量防火墙策略以及数据包两次进入协议栈所带来的性能下降和增加运行维护难度等问题，提升了IPSEC VPN数据包转发的性能及安全性。

公开(公告)号：CN103763301B

公开(公告)日：2017-06-13

申请号：CN201310530738.4

申请日：2013-10-31

Applicant: 广东电网公司电力科学研究院

Inventor： 江泽鑫 ,  余南华 ,  陈炯聪 ,  黄曙 ,  梁智强 ,  胡朝辉 ,  梁志宏 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06 ,  H04W12/02 ,  H04W12/04 ,  H04W12/06

Abstract: 本发明涉及一种采用ppp协议封装IPsec框架结构的系统，所述系统包括用户空间及内核空间，所述用户空间包括管理模块、业务模块、密钥协议模块、以及拨号模块；所述内核空间包括内核驱动模块、内核任务模块、内核配置与状态存储模块、内核接口、以及内核算法调度模块。本发明还涉及一种采用所述IPsec框架结构系统的业务数据收发方法。所述系统和方法采用国家密码管理局的SM系列算法实现基于ppp协议封装的IPsec框架结构，从而实现工业终端的通信安全；另外其可实现对网口型、串口型、工业总线等多种形态业务终端设备的安全保护，而不限于传统网络设备或网络主站的保护，因此具有应用广泛的优点。

公开(公告)号：CN103812861B

公开(公告)日：2017-02-08

申请号：CN201410025959.0

申请日：2014-01-20

Applicant: 广东电网公司电力科学研究院

Inventor： 胡朝辉 ,  梁智强 ,  江泽鑫 ,  梁志宏 ,  陈炯聪 ,  黄曙 ,  余南华 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06

Abstract: 本发明提供一种IPSEC VPN设备及其隔离方法与系统，设备包括内端主机、外端主机和非网络隔离卡，内、外端主机分别维护了相同的IP映射表，每一条表项定义了原地址、目的地址及IP映射ID等信息，数据包经过IP头剥离及重组，IP映射表检索过滤，私有协议封转及解封装，非网络隔离卡传输等方式实现网络隔离，数据包在内网主机上对IPsec VPN网络数据包进行加解密，设备能抵抗恶意攻击行为，抵抗病毒、木马、恶意插件的传播，从真正意义上达到内外网连接时的安全隔离，实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN隔离设备。

公开(公告)号：CN103532951B

公开(公告)日：2016-11-30

申请号：CN201310482962.0

申请日：2013-10-15

Applicant: 广东电网公司电力科学研究院

Inventor： 江泽鑫 ,  谢善益 ,  苏扬 ,  曾强 ,  李海涛 ,  钟志明 ,  周安 ,  梁智强 ,  胡朝辉 ,  梁志宏 ,  陈炯聪 ,  黄曙 ,  余南华 ,  林丹生 ,  李闯 ,  石炜君 ,  梁毅成 ,  黄岳峰

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明提供一种工业终端设备的离线初始化方法，包括：管理终端获取输入的工业终端设备的初始化信息；管理终端与所述工业终端设备建立连接，并将初始化命令发送给所述工业终端设备；工业终端设备响应所述初始化命令；管理终端接收所述响应命令，获取服务器密码机生成的数字证书并签名；管理终端将所述数字证书和初始化信息发送给工业终端设备；所述工业终端设备接收所述数字证书和初始化信息进行初始化操作，并反馈初始化结果给所述管理终端。本发明还提供对应的系统，能对工业终端设备进行离线初始化，工作效率和安全性能高。

公开(公告)号：CN103780395A

公开(公告)日：2014-05-07

申请号：CN201410036844.1

申请日：2014-01-24

Applicant: 广东电网公司电力科学研究院 ,  中标软件有限公司

Inventor： 胡朝辉 ,  梁志宏 ,  梁智强 ,  江泽鑫 ,  林丹生 ,  李闯 ,  崔善童 ,  孟德伟 ,  王超

IPC: H04L9/32 ,  H04L29/06

Abstract: 本发明提供一种网络接入证明双向度量的方法和系统，在访问终端对内部网络发起网络访问请求时，内部网络度量服务器不仅度量访问终端的可信平台可信属性，确定请求端的是否可信，而且度量内部网络各功能节点的可信状态。当访问终端通过了可信平台的可信度量，允许访问终端接入到内部网络时，发送内部网络各功能节点的可信状态给访问终端，实现了双向可信证明，避免了单独度量外部访问终端的可信状态而忽略了内部网络节点的度量，保证了内外部网络的双向可信。

公开(公告)号：CN104202161B

公开(公告)日：2018-05-04

申请号：CN201410384614.4

申请日：2014-08-06

Applicant: 广东电网公司电力科学研究院

Inventor： 梁智强 ,  胡朝辉 ,  江泽鑫 ,  陈炯聪 ,  黄曙 ,  余南华 ,  林丹生 ,  李闯 ,  伍晓泉

IPC: H04L9/32 ,  H04L9/06 ,  G06F21/72

Abstract: 本发明公开了一种SoC密码芯片，包括：CPU核、接口、非易失存储器、片内存储器、定时器、功耗管理模块、时钟复位模块、通信总线、随机数发生器和加解密模块；其中，所述随机数发生器，用于产生随机数；所述加解密模块，用于对所述SoC密码芯片接收到的目标数据根据所述随机数发生器产生的随机数进行加解密运算；本发明提供的SoC密码芯片从最底层保证了数据的安全性，不但满足了高性能、高集成度、小型化的需求，还具备对数据传输安全保护的功能，从而提高了工业控制系统的安全性。

公开(公告)号：CN104202300B

公开(公告)日：2018-01-30

申请号：CN201410384892.X

申请日：2014-08-06

Applicant: 广东电网公司电力科学研究院

Inventor： 胡朝辉 ,  梁智强 ,  江泽鑫 ,  陈炯聪 ,  黄曙 ,  余南华 ,  林丹生 ,  李闯 ,  伍晓泉

IPC: H04L29/06

Abstract: 本发明公开了一种基于网络隔离装置的通信方法和装置，所述方法包括：内端主机建立与内网终端的内网连接；外端主机根据从内端主机收到的第一数据包与外网终端建立外网连接；所述内端主机通过所述内网连接接收内网终端发送的内网数据包并将所述内网数据包封装生成第二数据包发送至外端主机；所述外端主机对所述第二数据包中的内网载荷数据进行封装和地址转换依次生成第一内网网络数据包、第二内网网络数据包和链路数据包；之后外端主机通过所述外网连接将所述内网链路数据包发送至对应的外网终端。相对于现有技术，本发明提供的方法在外端主机无需配置网络地址的情况下，内网终端和外网终端可以正常通信。