-
公开(公告)号:CN109977665B
公开(公告)日:2021-01-01
申请号:CN201910219861.1
申请日:2019-03-22
Applicant: 北京工业大学
IPC: G06F21/52 , G06F21/60 , G06F21/64 , G06F9/4401
Abstract: 基于TPCM的云服务器启动过程防窃取和防篡改方法,属于信息安全和可信计算领域,尤其属于用TPCM保障云服务器启动过程相关软/固件可信启动和运行的安全范围,其特征在于,用防盗启动指令代替软/固件原有启动指令,将软/固件的度量值作为其标识码,通过防盗启动指令中的度量值与软/固件程序入口地址的一一映射关系,确保只有度量值通过完整性验证后才能读取软/固件程序入口地址;同时把防盗启动指令加密存储到外部存储器中,确保其安全性;同时在软/固件启动时利用可变内存地址载入防盗启动指令,并在启动完成后释放防盗启动指令的内存空间,使黑客无法找到防盗启动指令,更加无法读取软/固件程序入口地址,具有静态存储和动态运行的双重安全性。
-
公开(公告)号:CN111159762A
公开(公告)日:2020-05-15
申请号:CN201911341090.X
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/62
Abstract: 本发明实施例提供的一种强制访问控制下的主体可信验证方法及系统,该方法包括:初始化阶段和权限审核阶段;具体包括:获取应用程序的二进制文件和对应的动态链接库并进行度量,获取初始基准值;权限审核阶段包括:将应用程序的进程加载至内存,并在加载过程中度量应用程序的ELF文件,并将度量结果与初始基准值进行比对,获取第一比对结果;根据所述第一比对结果,对应用程序的加载进行控制。本发明实施例提供的主体可信验证方法及系统,通过在强制访问控制模型中,在进程加载前、加载时以及运行时进行主体可信验证,实现了对进程加载阶段的可信验证,有效避免了加载进程的系统调用被篡改而导致基准值错误情况的发生,增强了系统的安全防护。
-
公开(公告)号:CN109684044A
公开(公告)日:2019-04-26
申请号:CN201910003762.X
申请日:2019-01-03
Applicant: 北京工业大学
IPC: G06F9/455
Abstract: 静态迁移过程中虚拟机与vTPCM的绑定方法,属于信息安全领域,其特征在于,通过在含有目标平台及源平台主机的计算节点中的虚拟可信根管理器中增加虚拟机实例及其对应的虚拟可信根vTPCM绑定关系的映射列表,并设计相关待迁移虚拟机及虚拟可信根vTPCM状态数据的加解密机制及验证所述状态数据的唯一性和二者绑定关系的对比机制来保证被迁移虚拟机实例及其对应的虚拟可信根的绑定关系的唯一性以及它们的原子性,从而能够保证虚拟机迁移至目标平台后能够重新建立起从底层硬件芯片到上层云平台虚拟机中的完整可信链。
-
公开(公告)号:CN111159691B
公开(公告)日:2022-03-11
申请号:CN201911341086.3
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供一种应用程序动态可信验证方法及系统,该方法包括:为应用程序构建可信运行环境;在强制访问控制状态,基于可信运行环境对应用程序进行动态可信验证。其中,为应用程序构建可信运行环境,包括:操作系统可信启动、构建策略文件以及构建可信基准库;对应用程序进行动态可信验证,包括:基于可信基准库、策略文件和安全增强模块,验证四要素的完整性。本发明实施例提供的应用程序动态可信验证方法及系统,在不修改应用程序本身的前提下,能够通过完整性度量机制、强制访问控制机制对应用程序从磁盘被加载到内存的过程、应用程序被加载到内存后的整个运行过程进行动态可信验证。
-
公开(公告)号:CN111159714A
公开(公告)日:2020-05-15
申请号:CN201911341087.8
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种访问控制中主体运行时可信验证方法及系统,该方法包括:加载应用程序,并获取所述应用程序在运行阶段的系统调用;判定所述系统调用的等级;基于所述等级,度量所述系统调用的主体进程内存数据;确定所述度量结果为合格,则允许所述应用程序继续运行。该系统包括:系统调用获取模块、等级判定模块、度量模块和进程控制模块。本发明实施例提供的访问控制中主体运行时可信验证方法及系统,综合重要性和频率两个要素,设计并定义了系统调用的动态等级描述,以区别对待主体进程内存数据的度量步骤,在保证安全的同时,最大限度地降低了由频繁度量主体所产生的性能损耗。
-
Patent Agency Ranking
公开(公告)号:CN111159691A
公开(公告)日:2020-05-15
申请号:CN201911341086.3
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供一种应用程序动态可信验证方法及系统,该方法包括:为应用程序构建可信运行环境;在强制访问控制状态,基于可信运行环境对应用程序进行动态可信验证。其中,为应用程序构建可信运行环境,包括:操作系统可信启动、构建策略文件以及构建可信基准库;对应用程序进行动态可信验证,包括:基于可信基准库、策略文件和安全增强模块,验证四要素的完整性。本发明实施例提供的应用程序动态可信验证方法及系统,在不修改应用程序本身的前提下,能够通过完整性度量机制、强制访问控制机制对应用程序从磁盘被加载到内存的过程、应用程序被加载到内存后的整个运行过程进行动态可信验证。
-
公开(公告)号:CN115270157A
公开(公告)日:2022-11-01
申请号:CN202210923503.0
申请日:2022-08-02
Applicant: 北京工业大学 , 支付宝(杭州)信息技术有限公司
IPC: G06F21/60
Abstract: 本说明书实施例公开了一种访问控制方法及系统,涉及计算机系统安全技术领域,包括:获取访问请求属性数据;所述访问请求属性数据与宿主设备中的访问请求对应,包括访问请求中访问要素的属性信息以及可信属性信息;进行访问请求安全等级评估,以获得评估结果;基于所述评估结果修改或不修改所述访问请求属性数据中的可信属性值;基于所述访问请求属性数据以及预设的访问管理策略生成对应于所述访问请求的控制策略;所述控制策略用于控制宿主设备响应所述访问请求的方式,进而确保宿主设备的信息安全。
-
公开(公告)号:CN109766702B
公开(公告)日:2021-02-05
申请号:CN201910025912.7
申请日:2019-01-11
Applicant: 北京工业大学
IPC: G06F21/57 , G06F9/4401 , G06F9/455
Abstract: 基于虚拟机状态数据的全过程可信启动检验方法属于信息安全领域,其特征在于,针对虚拟机开源的基本输入输出系统SeaBIOS子系统、主引导记录MBR子系统及虚拟机磁盘镜像的数据簇cluster等三类不同的子系统状态数据按执行函数代码的码长,分别使用不同的哈希算法,用TPCM可信控制平台计算模块在可信启动初始时刻t0、t1获取子系统状态数据的基准值并判断其是否相等,如若相等,则依次按SeaBIOS、MBR、cluster簇进行可信启动检验,如若中间有一个状态数据在t0、t1时刻与基准值不同,则说明系统遭受篡改,程序终止;与现有技术相比,状态数据采集的更为全面与完善,与现有技术中对状态数据的镜像值来进行哈希运算相比,运算速率更快,效率更高。
-
公开(公告)号:CN109710386B
公开(公告)日:2020-08-28
申请号:CN201910003503.7
申请日:2019-01-03
Applicant: 北京工业大学
IPC: G06F9/455
Abstract: 一种虚拟机VM的虚拟可信根vTPCM实例的整体动态迁移方法,属于系统运行状态信息的可信安全迁移技术领域,其特征在于,这是一种在按控制节点管理员指令式应计算节点的请求而确定的由作为迁出节点的源平台、迁入节点的目标平台以及控制节点基于已知可信平台控制模块TPCM的迁移系统中实现的vTPCM实例整体动态迁移方法,是迁出、迁入双方在各自可信平台控制模块TPCM及控制节点CPU共同控制下,用对称和非对称加密算法、散列算法以及mkImage工具的影像值形成方法按被控制系统在整个运行过程中不同状态下采集的运行状态数据为基准值用可信计算方法实现的,与现有的vTPCM实例整体动态迁移方法相比,具有更加安全、更为简捷且迁移效率高的优点。
-
公开(公告)号:CN109783474B
公开(公告)日:2020-08-21
申请号:CN201910014157.2
申请日:2019-01-08
Applicant: 北京工业大学
Abstract: 虚拟可信根实例及其自身状态数据的安全迁移方法属于信息安全领域,尤其涉及虚拟可信根安全迁移技术,其特征在于是在控制节点和计算节点组成的系统中实现的,无论是按控制节点指令还是应计算节点请求迁移,vTPCM实例及其自身状态数据,都是用加密算法对源数据进行加密打包后送往控制节点指定的具有相同或相似功能、内存空间充足、且在控制节点控制下由称为源平台的计算节点以网络方式迁移到称为目标平台的计算节点上的,本发明使用可信平台控制模块TPCM和KVM的虚拟化架构,与使用可信平台模块TPM和Xen的虚拟化架构相比,有在更新虚拟机监视器时,无需重新编译整个操作系统内核的优点,同时又能保证了迁移数据的安全。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.018 seconds)
