公开(公告)号：CN104601572B

公开(公告)日：2018-07-06

申请号：CN201510019460.3

申请日：2015-01-15

Applicant: 北京工业大学

Inventor： 胡俊 ,  陶政 ,  张松鸽 ,  赵勇

IPC: H04L29/06

Abstract: 本发明公开了一种基于可信架构的安全消息传递方法，涉及信息安全领域中安全消息传递问题，由可信总线、组件节点以及安全机制三部分组成，其中组件节点由可信服务节点，安全服务节点，消息发送和接收节点组成。本发明在可信网络环境下，通过可信总线中间件，根据安全组件为信息添加安全消息头和安全属性扩展项，形成安全消息，并根据安全消息的属性，为安全消息添加可信属性扩展项，并让安全消息在可信组件间传递，完成相关可信处理后返回该节点，发送经可信处理的安全消息，以实现对安全消息传递的可信支撑。本发明使用安全消息传递策略，实现可信总线系统中组件之间安全消息传递和分发处理，为可信网络中安全消息传递提供有效支持。

公开(公告)号：CN106803796A

公开(公告)日：2017-06-06

申请号：CN201710125690.7

申请日：2017-03-05

Applicant: 北京工业大学

Inventor： 王霞 ,  赵勇 ,  詹静 ,  林莉

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

CPC classification number: H04L41/12 ,  H04L41/28 ,  H04L43/045 ,  H04L63/02

Abstract: 本发明公开了基于云平台的多租户网络拓扑重构方法，属于可信云计算领域。由于云用户不能完全信任云平台提供的底层网络隔离环境。本方法基于Hypervisor获取云平台各个计算节点VM信息，基于底层设备命令获取虚拟网络设备信息，再根据VM和网络设备之间的连接关系，设计拓扑重构算法，直观表达当前云平台底层多租户网络隔离状态。与云平台提供给租户网络拓扑相比，本发明绕过云平台而直接从底层获取相关网络信息，能够有效地发现如从Hypervisor直接挂载到租户网络的VM，便于租户判断自己的底层网络是否被渗透，对云平台提供的底层网络隔离环境做出判断，同时也便于云平台管理员及时发现并解决问题，对于可信云的构建有重要意义。

公开(公告)号：CN104601572A

公开(公告)日：2015-05-06

申请号：CN201510019460.3

申请日：2015-01-15

Applicant: 北京工业大学

Inventor： 胡俊 ,  陶政 ,  张松鸽 ,  赵勇

IPC: H04L29/06

CPC classification number: H04L63/0218 ,  H04L63/20

Abstract: 本发明公开了一种基于可信架构的安全消息传递方法，涉及信息安全领域中安全消息传递问题，由可信总线、组件节点以及安全机制三部分组成，其中组件节点由可信服务节点，安全服务节点，消息发送和接收节点组成。本发明在可信网络环境下，通过可信总线中间件，根据安全组件为信息添加安全消息头和安全属性扩展项，形成安全消息，并根据安全消息的属性，为安全消息添加可信属性扩展项，并让安全消息在可信组件间传递，完成相关可信处理后返回该节点，发送经可信处理的安全消息，以实现对安全消息传递的可信支撑。本发明使用安全消息传递策略，实现可信总线系统中组件之间安全消息传递和分发处理，为可信网络中安全消息传递提供有效支持。

公开(公告)号：CN102270132B

公开(公告)日：2014-03-12

申请号：CN201110195920.X

申请日：2011-07-13

Applicant: 中国人民解放军海军计算技术研究所 ,  北京工业大学 ,  北京中软华泰信息技术有限责任公司

Inventor： 沈昌祥 ,  赵勇 ,  郑志蓉 ,  金刚 ,  蔡谊 ,  刘毅 ,  傅子奇 ,  黄强 ,  涂航

IPC: G06F9/44 ,  G06F9/445

Abstract: 一种Linux操作系统中脚本行为的控制方法，解释器级别为A，B，C，Z多级，其中A级解释器为管理员专用，仅能由管理员在本地登录使用；B级解释器无法将脚本与用户行为进行联系共用，但不允许管理员与其它用户同时使用；C级解释器将脚本与用户行为进行联系，可以同时由管理员和其它用户使用；以上所述级别的解释器一旦被审计到出现异常行为则划为Z级，禁止任何用户使用；包括安装/初始化步骤，新装/更新步骤；启动控制步骤和运行控制步骤。本方法能够实现对系统的保护，最大限度阻止恶意脚本的破坏行为。操作系统核心层实现控制功能，避免被恶意程序旁路。实现管理员仅有权安装、配置系统，无权访问用户业务文件。

公开(公告)号：CN101788915A

公开(公告)日：2010-07-28

申请号：CN201010108793.0

申请日：2010-02-05

Applicant: 北京工业大学

Inventor： 赵勇 ,  李瑜 ,  韩培胜

IPC: G06F9/445 ,  G06F21/00

Abstract: 本发明公开了一种基于可信进程树的白名单更新方法，包含监控模块、可信进程树的构建模块、可信报告模块、白名单更新模块；通过对程序间创建及调用关系的分析，准确的定位非白名单程序中的新安装合法程序和系统中的非法程序，收集到新安装程序的特征值，鉴别非法程序的特征值，使其无法加入白名单中；当新的程序安装或原有程序更新时，通过本发明中可信进程树等安全机制，安全顺利实现对白名单的更新。保证在安装及更新过程中，将特征值都不在白名单的新安装程序和计算机病毒区分开来，既能全部收集到新安装或更新的可执行程序的特征值，又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。

公开(公告)号：CN113221399B

公开(公告)日：2024-03-15

申请号：CN202110391927.2

申请日：2021-04-13

Applicant: 北京工业大学

Inventor： 李鹏飞 ,  李康宁 ,  赵晓勇 ,  赵勇 ,  刘建友 ,  贾子琦

IPC: G06F30/23 ,  G06F30/13 ,  E21D11/08 ,  G06F111/06 ,  G06F111/10 ,  G06F119/14

Abstract: 本发明公开了一种铁路隧道装配式衬砌构件划分方案决策方法，计算模型建立与求解。目标函数与计算结果提取；基于层次分析法的管片构件划分方案优选；隧道装配式衬砌的构件划分属于多目标元素且具有分层交错评价指标的决策问题，目标值难以仅通过定性或者定量描述。本发明根据“零弯矩点”概念对整体式衬砌进行备选划分方案的分块，然后综合考虑了结构安全性、防水工程难易程度、施工可行性以及经济合理性等决策因素，通过层次分析法计算各备选划分方案的权重大小以确定其优先级，可以更为准确和科学地对铁路隧道装配式衬砌构件划分方案进行决策，可为铁路隧道装配式衬砌结构的设计过程提供参考。

公开(公告)号：CN110022311B

公开(公告)日：2021-09-24

申请号：CN201910200929.1

申请日：2019-03-18

Applicant: 北京工业大学

Inventor： 樊旭东 ,  詹静 ,  赵勇 ,  高雅琪 ,  韩瑾

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法，基于数据流分析的覆盖云外包数据服务生命周期的数据泄露检测指标生成方法；基于数据泄漏攻击对象攻击树模型的攻击图自动化构建；基于攻击图及XML安全测试描述语言自动化生成XML安全测试用例；基于模板的安全测试脚本自动化生成；本发明基于数据流分析覆盖云外包数据服务生命周期的数据泄露威胁，自动化构建云平台外包数据服务场景下的数据泄露安全指标体系；基于数据泄漏攻击点攻击树模型构建攻击树以及攻击图，提高攻击检测效率；提出基于XML安全测试描述语言，自动化生成可执行安全测试用例脚本。

公开(公告)号：CN109561110B

公开(公告)日：2021-06-04

申请号：CN201910057918.2

申请日：2019-01-19

Applicant: 北京工业大学

Inventor： 詹静 ,  夏晓晴 ,  赵勇 ,  韩瑾 ,  张茜

IPC: H04L29/06

Abstract: 本发明公开了一种基于SGX的云平台审计日志保护方法，在假设云节点产生的原始审计日志真实可信的基础上，保证第三方使用的云平台审计日志真实有效。在审计日志从云节点传出前，对参与审计日志传输的云节点和第三方都进行身份验证和基于远程证明的状态可信性证明，从而保证参与审计日志传输节点的身份和状态都是可信的。本发明实现了所有产生日志的云节点及进行日志处理的第三方之间的身份验证和状态证明，从而保证所有参与云审计日志处理节点的身份不可冒充，日志处理涉及的计算环境可信。本发明基于enclave实现了审计日志处理程序关键代码的安全隔离执行，能够防止操作系统、VMM和BIOS等特权软件的攻击。

公开(公告)号：CN109766690A

公开(公告)日：2019-05-17

申请号：CN201910057386.2

申请日：2019-01-19

Applicant: 北京工业大学

Inventor： 詹静 ,  张茜 ,  赵勇 ,  韩瑾 ,  夏晓晴

IPC: G06F21/52 ,  G06F21/56

Abstract: 本发明公开了一种基于多策略指令检测的ROP及变种攻击动态检测方法，该方法基于二进制动态插桩技术拦截指令的方式，采用关键指令检测策略、攻击指令片段特征检测策略的两种策略判断方法来实现ROP攻击及变种攻击的检测。关键指令检测策略又根据指令地址及指令数量特征分析。攻击指令片断特征检测策略根据攻击功能及复杂度特征分析，包括攻击指令片段大小判断策略和攻击指令片段连续长度判断策略。本方法采用多层检测策略，从正常及异常指令特征两个角度、综合指令地址、数量、攻击功能、攻击复杂度等四类特征维度、结合确定性及不确定性两类检测方法综合实现ROP攻击及其变种攻击的检测。本方法性能消耗较低，占用内存空间小。

公开(公告)号：CN109561110A

公开(公告)日：2019-04-02

申请号：CN201910057918.2

申请日：2019-01-19

Applicant: 北京工业大学

Inventor： 詹静 ,  夏晓晴 ,  赵勇 ,  韩瑾 ,  张茜

IPC: H04L29/06

Abstract: 本发明公开了一种基于SGX的云平台审计日志保护方法，在假设云节点产生的原始审计日志真实可信的基础上，保证第三方使用的云平台审计日志真实有效。在审计日志从云节点传出前，对参与审计日志传输的云节点和第三方都进行身份验证和基于远程证明的状态可信性证明，从而保证参与审计日志传输节点的身份和状态都是可信的。本发明实现了所有产生日志的云节点及进行日志处理的第三方之间的身份验证和状态证明，从而保证所有参与云审计日志处理节点的身份不可冒充，日志处理涉及的计算环境可信。本发明基于enclave实现了审计日志处理程序关键代码的安全隔离执行，能够防止操作系统、VMM和BIOS等特权软件的攻击。