公开(公告)号：CN101122988A

公开(公告)日：2008-02-13

申请号：CN200710122006.6

申请日：2007-09-19

Applicant: 中商流通生产力促进中心有限公司 ,  北京工业大学 ,  青岛海信智能商用设备有限公司 ,  北京雅普兰科技发展有限公司 ,  广东亿业科技有限公司

Inventor： 沈昌祥 ,  牛振勇 ,  张建标 ,  侍伟敏 ,  于书举 ,  马宁 ,  慕安臻 ,  许向众 ,  杜永萍 ,  田国文 ,  葛尊敏 ,  郭翔 ,  张磊

IPC: G06Q30/00 ,  H04L29/06

Abstract: 本发明公开一种网络税控系统中的安全处理方法。该方法包括：网络税控器通过存储用于完整性检测的度量值及税控数据采集模块发送的验证完整性的校验码对税控数据采集模块进行完整性校验。网络税控器对数据采集模块、税控服务器对网络税控器进行两级的在线状态监测。税控服务器和网络税控器通过身份认证和安全通讯层的方式，实现安全的数据传输。该安全处理方法从部件完整性验证、在线状态监测、税控数据安全传输三个方面进行处理，在不改变所处理的商业MIS系统的前提下保证了网络税控系统的安全，有效保证了整个网络税控系统控税的准确性。

公开(公告)号：CN1997026A

公开(公告)日：2007-07-11

申请号：CN200610169840.6

申请日：2006-12-29

Applicant: 北京工业大学

Inventor： 赖英旭 ,  李晨 ,  张建标 ,  张书杰 ,  李健

IPC: H04L29/06 ,  H04L12/56 ,  H04L9/32 ,  H04L12/28

Abstract: 一种基于802.1X协议的扩展安全认证方法涉及网络接入中的认证方法。目前网络存在多方面的脆弱性，主要体现在：1.操作系统漏洞；2.客户端感染病毒概率大大增加；3.客户端认证程序可能被病毒感染，其客户端的可信度受到质疑。为了解决以上涉及的安全问题，本发明采用认证和监控统一的思想，需要对操作系统、杀毒软件、客户端认证程序进行完整性度量，并将度量结果作为认证信息，只有客户端系统符合可信标准，并且通过用户密码验证才能成为合法用户，否则需要对系统升级。上述方案可以有效地控制接入网络客户端的安全指标，能够在一定组网条件下最大限度的提升网络安全程度。该方法可以有效地提高接入网络客户端的安全可信度。

公开(公告)号：CN114462006B

公开(公告)日：2024-12-24

申请号：CN202210144614.1

申请日：2022-02-17

Applicant: 北京工业大学

Inventor： 张建标 ,  臧燕燕 ,  张兆乾 ,  刘燕辉

IPC: G06F21/31 ,  G06F21/44 ,  G06F21/54

Abstract: 一种基于联盟链的智能合约可信保护方法，属于信息安全技术领域，实现步骤为：(1)构造一个以联盟链主控制器CPUs为中心、链上各相关合约的节点控制器CPUn为叶子节点的扇形二级网络系统，前者称中央控制子系统，后者称合约节点分布式系统，(2)CPUs定义主、客体的度量值，主体样本库，客体访问权限值，向全网发布，(3)在合约文本基础上，前者建立包括主体身份及主体环境在内的样本数据库，后者建立包括作为客体的、合约访问权限在内的样本可信客体数据库，向有关合约节点发布，(4)前后两个子系统内的访问控制模块分别对来访客户审查其可信主、客体权限，并向前者备案，确保非本节点合法人员不得调用合约文本，确保合约文件数据的安全性，(5)各合约节点可向CPUs上传新的主体样本，经全网确认后加入样本数据库中。

公开(公告)号：CN118484268A

公开(公告)日：2024-08-13

申请号：CN202410916512.6

申请日：2024-07-09

Applicant: 北京工业大学

Inventor： 张建标 ,  余乐浩 ,  韩宇飞

IPC: G06F9/455 ,  G06F21/53 ,  G06F21/64

Abstract: 本发明提供一种基于独立内核的Kata容器的完整性度量方法及装置，方法包括：在Kata容器的虚拟机启动前，对虚拟机镜像文件进行完整性度量，并在度量成功后启动虚拟机；在启动虚拟机后，获取容器基础镜像文件以及对容器基础镜像文件进行完整性度量，并在度量成功后创建并运行Kata容器；在Kata容器运行期间，对可执行文件进行摘要运算生成第一度量值，对库文件进行摘要运算生成第二度量值，对运行进程的代码段进行摘要运算生第三度量值，并分别基于第一度量值、第二度量值和第三度量值进行完整性度量。本发明通过引入可信完整性度量机制，保证Kata容器的可信启动及容器运行时数据不被篡改，防止容器逃逸问题。

公开(公告)号：CN117668821A

公开(公告)日：2024-03-08

申请号：CN202311660388.3

申请日：2023-12-05

Applicant: 北京工业大学

Inventor： 张建标 ,  刘海洋 ,  曹益浩 ,  王昱波

IPC: G06F21/52 ,  G06F9/50

Abstract: 本发明提供一种应用进程的度量方法及装置，涉及信息安全技术领域，包括：获取应用进程的度量信息；其中，度量信息包括应用进程的运行状态信息和度量次数；基于度量信息，判断是否需要对应用进程进行度量；若确定需要对应用进程进行度量，则对应用进程进行度量，获得度量结果。通过上述方式，在对应用进程进行度量之前，基于应用进程的运行状态信息和度量次数判断是否需要对应用进程进行度量，实现了对度量对象的选择，避免系统资源的浪费，减少度量时间，提高度量效率。

公开(公告)号：CN117609984A

公开(公告)日：2024-02-27

申请号：CN202311563316.7

申请日：2023-11-22

Applicant: 北京工业大学

Inventor： 张建标 ,  赵学栋 ,  刘燕辉

IPC: G06F21/51 ,  G06F21/57

Abstract: 本发明提供一种基于RISC‑V架构的代码校验方法及装置，属于计算机技术领域，所述方法包括：基于FSBL代码，校验OpenSBI代码；基于OpenSBI代码，确定启动程序代码的基准值和度量值；若其基准值和度量值一致，则确定该启动程序代码安全。本发明以OpenSBI代码为中心，对RISC‑V架构中的所有启动程序代码进行校验，考虑到了不同硬件环境下RISC‑V平台启动流程各不相同的情况，为RISC‑V提供了更好的可拓展和可移植性，在一定程度上降低了RISC‑V架构下启动程序代码的安全启动流程对RISC‑V平台启动效率的影响，提高了启动程序代码的安全启动流程和RISC‑V架构的相容性。

公开(公告)号：CN117592044A

公开(公告)日：2024-02-23

申请号：CN202311568009.8

申请日：2023-11-22

Applicant: 北京工业大学

Inventor： 张建标 ,  俞海涛 ,  曹益浩 ,  王昱波

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明提供一种进程控制信息的度量方法、装置、电子设备及存储介质，涉及信息安全技术领域，方法包括：获取待度量进程运行过程中的多个调用信息；基于所有调用信息的时间戳信息、系统调用名称、参数信息和输出参数，确定系统调用顺序；基于系统调用顺序，生成待度量进程对应的待度量进程控制流图；获取待度量进程的初始进程控制流图；基于待度量进程控制流图和初始进程控制流图进行对比度量，获得待度量进程的进程控制流度量结果。通过上述方式，无需对源代码进行修改，即可实现对进程控制流的度量，对于无法修改源代码的场景同样适用，扩大了应用范围，具有普适性和通用性。

公开(公告)号：CN112839051B

公开(公告)日：2023-11-03

申请号：CN202110081372.1

申请日：2021-01-21

Applicant: 北京工业大学

Inventor： 张建标 ,  赵宝霖 ,  公备

IPC: H04L9/40 ,  H04L41/14 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明提供一种基于卷积神经网络的加密流量实时分类方法及装置，该方法包括：在每一条加密流量中采样预设数量的数据包；将采样得到的数据包作为字节流，任意相连两个字节作为一个字节对，并确定所有字节对的频率特征；将所有字节对的频率特征，输入预训练的卷积神经网络模型，输出每一条加密流量的数据流类型。该方法对加密流量的原始字节信息采用基于频率特征的表示，而非原始字节直接构造输入特征，从而使卷积神经网络的学习效果加强，分类准确度更高。此外，采样的数据包数量可以根据实际流量捕获情况调整，而不需要重新设计网络模型的结构，具有更好的适用性。由于采用了字节对的频率特征，从而分类所需数据包少，有利于数据分类的实时性。

公开(公告)号：CN111158767B

公开(公告)日：2023-10-27

申请号：CN201911358516.2

申请日：2019-12-25

Applicant: 北京工业大学

Inventor： 张建标 ,  韩现群 ,  赵东浩 ,  韩利 ,  张璐

IPC: G06F9/4401 ,  G06F21/52

Abstract: 本发明实施例提供一种基于BMC的服务器安全启动方法及装置，方法包括：启动BMC管理系统和可信密码模块，基于BMC管理系统调用可信密码模块对CPLD和BIOS模块进行度量，获取CPLD和BIOS模块的度量结果；若根据CPLD和BIOS模块的度量结果获知CPLD和BIOS模块均未被恶意破坏，则控制CPLD给BIOS模块上电；基于BIOS模块对服务器的主机硬件进行状态检测，若状态检测通过则调用可信密码模块对服务器的主机操作系统的启动代码进行度量，获取启动代码的度量结果，若根据启动代码的度量结果获知启动代码未被修改，则启动主机操作系统。本发明实施例中不需要增加额外负载，实现服务器的安全启动。

公开(公告)号：CN116192446A

公开(公告)日：2023-05-30

申请号：CN202211627380.2

申请日：2022-12-16

Applicant: 北京工业大学

Inventor： 张建标 ,  张兆乾 ,  刘燕辉 ,  李铮

IPC: H04L9/40

Abstract: 本发明提供一种基于智能合约的联盟链系统，包括：可信策略管理中心、共识节点和多个组织；每个组织分别连接共识节点和可信策略管理中心，共识节点与可信策略管理中心连接；组织包括可信节点和普通节点，任一组织内的可信节点和普通节点之间相互连接；其中，可信策略管理中心、共识节点和可信节点均包括可信平台控制模块；可信策略管理中心生成系统策略；可信节点创建和调用智能合约，智能合约包括对应的合约策略；普通节点调用智能合约；共识节点基于系统策略和合约策略判定智能合约的创建和调用能否通过，并对智能合约进行发布。本发明可以实现智能合约从创建到调用全生命周期的可信性，防止恶意智能合约上链导致的权限判定失败等恶意事件。