-
公开(公告)号:CN111158767B
公开(公告)日:2023-10-27
申请号:CN201911358516.2
申请日:2019-12-25
Applicant: 北京工业大学
IPC: G06F9/4401 , G06F21/52
Abstract: 本发明实施例提供一种基于BMC的服务器安全启动方法及装置,方法包括:启动BMC管理系统和可信密码模块,基于BMC管理系统调用可信密码模块对CPLD和BIOS模块进行度量,获取CPLD和BIOS模块的度量结果;若根据CPLD和BIOS模块的度量结果获知CPLD和BIOS模块均未被恶意破坏,则控制CPLD给BIOS模块上电;基于BIOS模块对服务器的主机硬件进行状态检测,若状态检测通过则调用可信密码模块对服务器的主机操作系统的启动代码进行度量,获取启动代码的度量结果,若根据启动代码的度量结果获知启动代码未被修改,则启动主机操作系统。本发明实施例中不需要增加额外负载,实现服务器的安全启动。
-
公开(公告)号:CN109743319B
公开(公告)日:2021-02-05
申请号:CN201910003517.9
申请日:2019-01-03
Applicant: 北京工业大学
Abstract: 联网式专用服务器的BMC可信启动和安全运行方法属于BMC可信启动领域其特征在于,构建一个由互联网中央控制器和各专用服务器构成的二级系统网,为一对多、一对一的通信分别提供了不同密级的通信方式,在启动时刻t1使用在初始时刻t0时储存到中控器的各个BMC操作系统内核,文件系统目录树和设备树等镜像值得到的基准值映射表来校验t0时刻存到中控器的同一映射表是否相同的方法来检验t0‑t1时刻系统软件是否受到外来攻击,还提出了校验失败时系统软件故障所在的预测方法,运行后,中控器若有故障时转移到指定的专用服务器来完成中央控制以及主动修改系统程序的方法;本发明解决了集群化的专用服务器在联网时BMC是否可信启动、故障所在及运行时如何应急的问题。
-
公开(公告)号:CN114398154B
公开(公告)日:2024-11-22
申请号:CN202210086193.1
申请日:2022-01-25
Applicant: 北京工业大学
Abstract: 云存储中虚拟机容器架构的远程可信运行的控制方法属于容器架构可信运行领域,其特征在于实体机借助主、客体度量值模块形成本地发明人和应用程序的度量值载入本地样本数据库,再由访问控制模块对本地客户进行主、客体身份验证,合格后再由客体在CPUS和虚拟机CPUV之间客体的地址映射表经双通道通信线路发往两个CPUV所在的中控节点以最短路径发往非特许或特许存储小区内相应节点CPUm,从容器内对应地址中取出,发回CPUS,转发本单位客户。蠕虫网形式的容器架构的两个CPUV,在非特许小区的左下角,形成中控节点,为地址起点,而特许小区的地址起点设在右上角,二者分别沿容器轴向的增址或减址,具有:系统与用户,特许与非特许小区间隔离好,网内传输快的优点。
-
公开(公告)号:CN112800429B
公开(公告)日:2024-05-24
申请号:CN202110121999.5
申请日:2021-01-28
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 一种基于基础性的UEFI BIOS固件系统中驱动程序保护的方法属于BIOS中固件文件驱动程序保护技术领域,其特征在于,基于现有的UEFI BIOS固件系统中硬盘文件协议栈驱动程序易受外来攻击的现实,基于驱动文件可信度量技术,同时提出了一个具有可信度量基准值储备功能的基础版BMC固件系统和一个既能度量现有UEFI BIOS系统闪存中硬盘文件协议栈驱动程序基准值,又能动态地量测可信启动时从所述固件文件系统中提取的所述驱动程序是否被攻击过的基础版UEFI BIOS固件系统,然后再借助于所述的基准值来判别对应文件协议栈驱动程序的动态度量值,就能判断出所述驱动文件再可信启动前是否被攻击过,从而达到了提前从固件层面对UEFI BIOS系统的块设备文件可信驱动检验的目的。
-
公开(公告)号:CN114546745B
公开(公告)日:2024-03-22
申请号:CN202210197811.X
申请日:2022-03-02
Applicant: 北京工业大学
IPC: G06F11/22 , G06F9/4401
Abstract: 一种能在可信启动的过程中辨别故障程序段的方法,属于启动故障识别领域,其特征在于在启动过程中将可信BIOS程序按照语句的分段标识符对可信BIOS程序进行整体分段。以可信BIOS各段程序的码长为变量;用可信计算方法得到每个程序段初始码长所对应的标准基准值;将BIOS程序各个分段所对应的码长的标准基准值作为样本值;系统实测各个待验证BIOS分段程序的码长实测值,再计算其度量值;系统比较各个可信BIOS分段程序与待测BIOS分段程序所对应的各个样本值和度量值。按照BIOS分段程序的分段次序进行样本值与度量值依次比较。相等,则待测的BIOS分段程序可信,否则,不可信。本发明实现了可信启动过程中对BIOS程序具体故障段的发现。
-
Patent Agency Ranking
公开(公告)号:CN116150761A
公开(公告)日:2023-05-23
申请号:CN202211652014.2
申请日:2022-12-21
Applicant: 北京工业大学
Abstract: 本发明提供一种度量日志的生成方法、装置、服务器及存储介质,包括:在服务器的安全固件引导层完成可信度量后,以安全固件引导层为可信根,对服务器中的每个系统固件进行可信度量;对系统固件的度量基本信息进行哈希计算,获取第一哈希值;对系统固件的固件代码段进行哈希计算,获取第二哈希值;将第一哈希值确定为固定头部信息,将第二哈希值确定为固件参数信息;基于固定头部信息和固件参数信息,生成系统固件的度量日志。通过以哈希值的方式可以将录度量整个过程所涉及的所有信息清晰记录在度量日志,从而能够对后续进行可信度量状态分析和度量过程的异常处理提供信息支持;并且,生成的度量日志的文件大小较小,能够有效节约内存空间。
-
公开(公告)号:CN116049829A
公开(公告)日:2023-05-02
申请号:CN202211627964.X
申请日:2022-12-16
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本申请涉及信息安全领域,提供一种可信基准值管理方法、装置、电子设备及存储介质,包括:接收访问指令,确定所述访问指令对应实体的策略信息;所述访问指令用于请求访问可信密码模块的非易失性存储器空间中,与所述访问指令对应实体的可信基准值;根据所述访问指令对应实体的策略信息确定会话摘要;将所述会话摘要与所述非易失性存储器空间中所述访问指令对应实体的策略摘要进行信息匹配;若确定所述会话摘要与所述策略摘要一致,则授权所述访问指令对应实体访问所述可信基准值。本申请通过在对可信基准值进行访问时进行可信校验,可以避免固件可信基准值被恶意读取,由此可以提高可信基准值的安全性。
-
公开(公告)号:CN114398154A
公开(公告)日:2022-04-26
申请号:CN202210086193.1
申请日:2022-01-25
Applicant: 北京工业大学
Abstract: 云存储中虚拟机容器架构的远程可信运行的控制方法属于容器架构可信运行领域,其特征在于实体机借助主、客体度量值模块形成本地发明人和应用程序的度量值载入本地样本数据库,再由访问控制模块对本地客户进行主、客体身份验证,合格后再由客体在CPUS和虚拟机CPUV之间客体的地址映射表经双通道通信线路发往两个CPUV所在的中控节点以最短路径发往非特许或特许存储小区内相应节点CPUm,从容器内对应地址中取出,发回CPUS,转发本单位客户。蠕虫网形式的容器架构的两个CPUV,在非特许小区的左下角,形成中控节点,为地址起点,而特许小区的地址起点设在右上角,二者分别沿容器轴向的增址或减址,具有:系统与用户,特许与非特许小区间隔离好,网内传输快的优点。
-
公开(公告)号:CN112800429A
公开(公告)日:2021-05-14
申请号:CN202110121999.5
申请日:2021-01-28
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 一种基于基础性的UEFI BIOS固件系统中驱动程序保护的方法属于BIOS中固件文件驱动程序保护技术领域,其特征在于,基于现有的UEFI BIOS固件系统中硬盘文件协议栈驱动程序易受外来攻击的现实,基于驱动文件可信度量技术,同时提出了一个具有可信度量基准值储备功能的基础版BMC固件系统和一个既能度量现有UEFI BIOS系统闪存中硬盘文件协议栈驱动程序基准值,又能动态地量测可信启动时从所述固件文件系统中提取的所述驱动程序是否被攻击过的基础版UEFI BIOS固件系统,然后再借助于所述的基准值来判别对应文件协议栈驱动程序的动态度量值,就能判断出所述驱动文件再可信启动前是否被攻击过,从而达到了提前从固件层面对UEFI BIOS系统的块设备文件可信驱动检验的目的。
-
公开(公告)号:CN111158767A
公开(公告)日:2020-05-15
申请号:CN201911358516.2
申请日:2019-12-25
Applicant: 北京工业大学
IPC: G06F9/4401 , G06F21/52
Abstract: 本发明实施例提供一种基于BMC的服务器安全启动方法及装置,方法包括:启动BMC管理系统和可信密码模块,基于BMC管理系统调用可信密码模块对CPLD和BIOS模块进行度量,获取CPLD和BIOS模块的度量结果;若根据CPLD和BIOS模块的度量结果获知CPLD和BIOS模块均未被恶意破坏,则控制CPLD给BIOS模块上电;基于BIOS模块对服务器的主机硬件进行状态检测,若状态检测通过则调用可信密码模块对服务器的主机操作系统的启动代码进行度量,获取启动代码的度量结果,若根据启动代码的度量结果获知启动代码未被修改,则启动主机操作系统。本发明实施例中不需要增加额外负载,实现服务器的安全启动。
-
-
-
-
-
-
-
-
-
Search Results
14
records
(took 0.019 seconds)
