(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210342362.3 (22)申请日 2022.04.02 (71)申请人 国电南瑞南京控制系统有限公司 地址 211106 江苏省南京市江宁区诚信大 道19号 申请人 国电南瑞科技股份有限公司 　 国网电力科 学研究院有限公司 　 国网浙江省电力有限公司 　 广州思唯奇计算机科技有限公司 (72)发明人 张敏　沈健　罗华峰　窦仁晖　 阮黎翔　竹之涵　王德辉　侯明国　 汪鹤　罗凌璐　左欢欢　李超　 相蓉　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 张倩倩(51)Int.Cl. G06F 21/33(2013.01) G06F 21/44(2013.01) G06F 13/40(2006.01) G06F 9/445(2018.01) G06F 1/26(2006.01) (54)发明名称 一种变电站自动化装置可信硬件架构及可 信控制方法 (57)摘要 本发明公开一种变电站自动化装置可信硬 件架构及可信控制方法， 可信硬件架构包括主控 板卡、 电源板卡、 多个业务板卡以及电源总线、 板 间通信总线和可信安全控制总线； 主控板卡和各 业务板卡上分别设有可信安全控制电路； 主控板 卡和各业务板卡的可信安全控制电路分别对应 包括可信计算芯片和可信身份芯片； 主控板卡包 括处理器， 主控板卡中可信安全控制电路控制其 他电路的电源通断， 处理器通过可信安全控制总 线与其它板卡的可信身份芯片交互， 以对相应板 卡进行身份认证， 进而控制电源板卡向身份认证 通过的业务板卡提供工作电源； 上电完成的业务 板卡从主控板卡获取对应的可信业务程序并加 载运行。 本发 明可实现变电站自动化装置内多板 卡的硬件可信身份认证， 提升变电站自动化装置 内生安全的主动免疫能力。 权利要求书2页 说明书6页 附图2页 CN 115270098 A 2022.11.01 CN 115270098 A 1.一种变电站自动化装置可信硬件架构， 包括主控板卡、 电源板卡、 多个业务板卡， 其 特征是， 还包括电源总线、 板间通信总线和可信安全控制总线； 主控板卡和各业务板卡上还 分别设有可信安全控制电路； 主控板卡与各业务板卡之间通过板间通信总线传输业务数 据； 所述主控板卡包括处理器， 主控板卡中的可信安全控制电路包括可信计算芯片， 各业 务板卡的可信安全 控制电路包括可信身份芯片； 各业务板卡中， 可信安全控制电路均由可信安全控制总线提供工作电源， 其他电路均 由电源板卡 通过电源总线提供工作电源； 主控板卡中， 可信安全控制电路控制其他电路的 电源通断， 处理器通过可信安全控制 总线与其它板卡的可信身份芯片交互， 获取身份认证数据以对相应板卡进行身份认证， 并 根据身份认证结果， 向电源板卡发送电源控制信号， 电源板卡被配置为响应于接 收到电源 控制信号， 根据电源控制 信号向身份认证通过的业务板卡中除可信安全控制电路以外的其 他电路提供工作电源； 上电完成的业 务板卡从主控板卡获取对应的可信业 务程序并加载运行。 2.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 各板卡分别安装 于对应的背板卡槽中， 各板卡设有板内总线， 各板卡的板内总线分别通过背板卡槽接口与 电源总线、 板间通信总线和可信安全 控制总线通信连接； 所述背板卡槽接口中用于连接业务板卡可信安全控制电路与可信安全控制总线的端 口中， 包括在位状态检测端口。 3.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 主控板卡的可信 安全控制电路由可信安全控制总线提供工作电源， 其他电路由电源板卡提供工作电源， 可 信安全控制总线随变电站自动化装置上电而上电； 或者， 主控板卡的所有电路均由 电源板卡提供工作电源， 主控板卡的可信安全控制电 路以及可信安全 控制总线均随变电站自动化装置上电而上电。 4.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 主控板卡的可信 安全控制电路中， 可信计算芯片被 配置为： 在上电运行时， 对主控板卡处理器的引导程序进行可信度量， 若可信度量通过则控制 主控板卡的其 他电路通电； 处理器通电后， 可信计算芯片对处理器中的驱动程序、 可信控制程序、 主控板业务应用 程序以及业务板应用程序分别进行可信度量， 若任一度量不通过则装置启动失败， 停止装 置运行并输出告警， 否则装置继续 运行。 5.根据权利要求4所述的变电站自动化装置可信 硬件架构， 其特征是， 所述上电完成的 业务板卡从主控板卡 获取对应的可信业务程序并加载运行为： 主控板卡的处理器通过可信 安全控制总线将度量 通过的业 务板应用程序发送至身份认证通过的对应业 务板卡。 6.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 主控板卡上的可 信计算芯片采用TPCM芯片， 其他板卡上的可信身份芯片采用TPCM芯片或者加密芯片； 可信 身份芯片上 预存储有所在板卡的加密认证 证书， 主控板处 理器中预存有对应的密钥； 业务板卡处理器通过可信安全控制总 线与其它板卡的可信身份芯片交互， 获取身份认 证数据以对相应板卡进行身份认证， 包括：权　利　要　求　书 1/2 页 2 CN 115270098 A 2获取板卡可信身份芯片中预存 储的加密认证 证书； 利用预存的密钥对获取到的加密认证证书进行解密和身份鉴别， 若解密成功且身份鉴 别通过， 则对相应板卡的身份认证成功。 7.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 电源板卡包括电 源控制单元， 主控板卡对任一业务板卡身份认证通过后， 向电源板卡发送用于控制相 应业 务板卡通电的控制指令， 电源板卡响应于接 收到该控制指令， 则通过电源控制单元控制电 源通过电源总线传输 至相应的业 务板卡。 8.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 电源板卡还包括 可信身份芯片， 电源板卡的可信身份芯片通过可信安全控制总线与主控板的处理器通信连 接； 主控板卡的处理器还被配置用于： 在上电运行后， 获取电源板上可信身份芯片中预存 储的加密认证证书进 行解密认证， 若认证通过， 则进 行对各业务板卡的身份认证， 否则装置 启动失败。 9.根据权利要求1所述的变电站自动化装置可信 硬件架构， 其特征是， 业务板卡还包括 处理器， 业务板卡的可信安全控制电路还包括可信计算芯片， 该可信计算芯片用于对业务 板卡处理器的引导程序进 行安全度量， 以及在度量通过后控制业务板卡的其他电路能够与 电源总线之间连通而通电； 业务板卡的处理器通电后， 运行度量通过的引导程序， 并通过安全可信控制总线向主 控板卡的处 理器请求度量 通过的对应业 务程序， 后加载业 务程序并运行。 10.一种变电站自动化装置可信硬件架构的可信控制方法， 由主控板卡执行， 其特征 是， 方法包括： 在装置上电时， 主控板卡的可信计算芯片上电运行， 对主控板卡处理器的引导程序进 行可信度量， 若可信度量 通过则控制主控板卡中包括处 理器的其 他电路通电； 处理器通电后， 可信计算芯片对处理器中的驱动程序、 可信控制程序、 主控板业务应用 程序以及业务板应用程序分别进行可信度量， 若任一度量不通过则装置启动失败， 停止装 置运行并输出告警， 否则装置继续 运行； 主控板卡处理器程序度量完成后， 主控板卡处理器通过可信安全控制总 线获取各业务 板卡的身份认证信息进 行身份认证， 且对于任一业务板卡， 若身份认证通过， 则主控板卡处 理器向电源板卡发送电源控制信号， 使得电源板卡响应于接 收到电源控制信号， 则向身份 认证通过的对应业 务板卡中除可信安全 控制电路以外的其 他电路提供工作电源； 主控板卡的处理器通过可信安全控制总线将度量通过的业务板应用程序发送至身份 认证通过的对应业 务板卡， 使得业 务板卡能够加载相应的业 务程序并运行。 11.根据权利要求10所述的可信控制方法， 其特征是， 电源板卡包括可信身份芯片， 电 源板卡的可信身份芯片通过 可信安全 控制总线与主控板卡的处 理器通信连接； 方法还包括： 主控板卡处理器程序度量完成后， 在对业务板卡进行身份认证前， 获取电 源板上可信身份芯片 中预存储的加密认证证书进行解密认证， 若认证通过， 则继续进行对 各业务板卡的身份认证， 否则装置启动失败。权　利　要　求　书 2/2 页 3 CN 115270098 A 3