公开(公告)号：CN116074049A

公开(公告)日：2023-05-05

申请号：CN202211644207.3

申请日：2022-12-20

Applicant: 北京工业大学

Inventor： 张建标 ,  李泓豪 ,  刘燕辉 ,  韩现群 ,  王昱波

IPC: H04L9/40 ,  H04L9/08 ,  G06F21/60

Abstract: 本发明提供一种可信计算双体系架构系统的通信方法、系统及服务器，包括：发送端基于第一密钥和第一加密算法对需要发送的数据进行加密得到密文，并将密文发送给接收端；接收端基于所述第一密钥和第一加密算法对密文进行解密，还原数据；其中，当计算部件为发送端时，防护部件为接收端；当防护部件为发送端时，计算部件为接收端；防护部件的第一密钥是防护部件调用可信密码模块生成随机数，并基于随机数和密钥生成机制生成的；计算部件的第一密钥是计算部件接收防护部件发送的所述随机数，并基于随机数和密钥生成机制生成的。确保计算部件与防护部件之间传输数据的保密性和有效性，实现了安全通信，为可信计算双体系架构系统提供有效的安全支撑。

公开(公告)号：CN114546745A

公开(公告)日：2022-05-27

申请号：CN202210197811.X

申请日：2022-03-02

Applicant: 北京工业大学

Inventor： 张建标 ,  张恒 ,  韩现群 ,  刘燕辉

IPC: G06F11/22 ,  G06F9/4401

Abstract: 一种能在可信启动的过程中辨别故障程序段的方法，属于启动故障识别领域，其特征在于在启动过程中将可信BIOS程序按照语句的分段标识符对可信BIOS程序进行整体分段。以可信BIOS各段程序的码长为变量；用可信计算方法得到每个程序段初始码长所对应的标准基准值；将BIOS程序各个分段所对应的码长的标准基准值作为样本值；系统实测各个待验证BIOS分段程序的码长实测值，再计算其度量值；系统比较各个可信BIOS分段程序与待测BIOS分段程序所对应的各个样本值和度量值。按照BIOS分段程序的分段次序进行样本值与度量值依次比较。相等，则待测的BIOS分段程序可信，否则，不可信。本发明实现了可信启动过程中对BIOS程序具体故障段的发现。

公开(公告)号：CN114528544A

公开(公告)日：2022-05-24

申请号：CN202210155238.6

申请日：2022-02-21

Applicant: 北京工业大学

Inventor： 张建标 ,  张硕 ,  韩现群 ,  刘燕辉

IPC: G06F21/52 ,  G06F21/57 ,  G06F21/64

Abstract: 一种基于统一可扩展固件接口的固件文件可信验证方法，属于文件信息动态安全领域，其特征在于，这是一种UEFI BIOS在启动早期PEI‑DXE阶段的固件文件加载时用的方法，本发明以文件外在标准作为验证必要条件，以文件hash值作为文件内容的验证充分条件，在可信根BMC内建立了以GUID、hash值双参数作为标准基准值，存入双参数基准表的存储模块，分别以PEI核心、DXE核心作为对应阶段起始点，通过各自的PEI、DXE核心调用相应的调度器来加载文件，并由相应调度器把文件的GUID及文件内容送往UEFI BIOS系统中建立的扩展度量模块，与其中BMC通信模块从BMC调用的标准基准值作比对，若固件文件既满足必要性又符合充分性，则允许加载，本发明弥补了当前仅对硬盘文件作静态保护方法的不足。

公开(公告)号：CN104618333B

公开(公告)日：2017-09-22

申请号：CN201410842862.9

申请日：2014-12-30

Applicant: 北京工业大学

Inventor： 张建标 ,  阎林 ,  公备 ,  刘燕辉 ,  林莉

IPC: H04L29/06 ,  H04L29/08 ,  G06Q10/10

Abstract: 一种移动终端安全办公系统属于移动设备安全办公技术领域，其特征在于，是由一个移动安全办公服务器端和多个移动安全办公终端共同组成的系统，服务器端用部门标识符限定部门职责权限及其所能下载的软件；用由部门标识符和员工终端的PIN码连接组成的用户身份验证码来识别用户身份，用在硬盘上设定的双操作系统来确保办公用的工作区和活动用的用户区之间的数据互访控制，用终端中用户设定的硬盘过滤驱动模块中的中断处理构造IRP的格式及用户身份验证码、软件属性参数序列、访问控制标识符以及读写操作标识来控制外部中断处理操作的访问。本发明同时实现了服务器端的下载安全；工作区与用户区之间的数据流的安全以及对外部中断处理的安全控制。

公开(公告)号：CN104580185A

公开(公告)日：2015-04-29

申请号：CN201410843266.2

申请日：2014-12-30

Applicant: 北京工业大学

Inventor： 张建标 ,  柴锐 ,  阎林 ,  林莉 ,  刘燕辉

IPC: H04L29/06

CPC classification number: H04L63/101 ,  H04L43/08 ,  H04L63/0876 ,  H04L67/02 ,  H04L67/04

Abstract: 本发明提出了一种网络访问控制的方法和系统，涉及网络传输安全技术领域。在移动办公终端受到严格的网络访问控制情况下，对终端的网络连接状态进行动态检测并根据所得到的相应检测状态能够让终端顺利通过Web和网关认证。本发明提供的方法，在保障设备的网络安全的同时，在复杂多变的网络环境下更兼容，可以提高网络访问控制的有效性，减少安全管理员的维护工作，也为设备的可访问网络资源提供支持和保障。

公开(公告)号：CN104573494A

公开(公告)日：2015-04-29

申请号：CN201410842891.5

申请日：2014-12-30

Applicant: 北京工业大学

Inventor： 张建标 ,  雷声威 ,  阎林 ,  刘燕辉 ,  公备

IPC: G06F21/51 ,  G06F21/52

CPC classification number: G06F21/51 ,  G06F21/53 ,  G06F2221/033 ,  G06F2221/2149

Abstract: 一种基于WMI软件白名单机制的移动安全办公方法，属于终端设备安全办公技术领域，其特征在于：将软件多种属性作为软件属性参数序列和设置的编号拼成应用软件白名单，加上计算机初装机时的系统PE文件拼成的系统软件白名单共同组成总体的软件白名单。按部门的需求划分成各部门的软件白名单下发到部门员工移动安全办公终端中。用户根据部门识别码、员工PIN码组成身份验证码向服务器端发起软件请求。在移动安全办公终端基于WMI建立监控程序对软件安装与运行进行启动检测，比对软件白名单，比对通过后则允许安装与运行。与现有的应用程序的安装控制方法相比，具有较好的稳定性、安全性以及兼容性，提高了安装与运行效率。