-
公开(公告)号:CN117113332A
公开(公告)日:2023-11-24
申请号:CN202311023340.1
申请日:2023-08-14
Applicant: 北京交通大学
IPC: G06F21/53 , G06F21/55 , G06F21/57 , G06F21/44 , G06F9/455 , G06F21/62 , G06F21/60 , H04L9/08 , H04L9/32
Abstract: 本发明公开了一种可信机密虚拟机系统的实现方法,涉及计算机技术和信息安全领域,该方法针对AMD SEV机密虚拟机系统的可信执行环境架构,包括:1)可信第三方部署并初始化可信代理和服务主机代理;2)可信代理为远程用户准备可信机密虚拟机必要组件;3)可信代理为远程用户初始化机密虚拟机、验证启动过程并提供运行阶段持续度量验证功能。本发明通过由可信第三方为远程用户部署启动一台机密虚拟机并提供持续的度量验证功能保证机密虚拟机的可信性,解决了现存机密虚拟机系统缺少启动和运行阶段持续度量导致虚拟机缺乏可信性的问题,安全高效的实现了一种可信的机密虚拟机系统。
-
公开(公告)号:CN112822675B
公开(公告)日:2021-11-23
申请号:CN202110030236.X
申请日:2021-01-11
Applicant: 北京交通大学
IPC: H04W12/06 , H04W12/069 , H04L29/06 , G06F21/41 , G06F21/46
Abstract: 随着5G网络的飞速发展,传统云计算已无法满足边缘设备在计算分析、资源处理等方面的需求。因此,多接入边缘计算MEC(Multi‑Access Edge Computing)被提出。MEC技术具有开放性特点,其方便了各类服务运营商基于用户业务需求进行第三方应用的开发与部署。然而,这也使得存储在该环境下的资源数据不可避免地受到一些安全与隐私威胁。因此为确保MEC内隐私数据的安全性,本发明提出了面向MEC环境的基于OAuth2.0的单点登录机制。该机制(1)实现了面向MEC环境的用户身份认证与授权,通过对用户身份信息的真实性验证以及对该身份访问权限的授权,确保MEC内资源数据的安全性;(2)实现了统一认证,有效减少用户重复的注册流程,提升用户体验,同时降低服务运营商对账户信息的管理成本。
-
公开(公告)号:CN107038208B
公开(公告)日:2020-04-28
申请号:CN201710091069.3
申请日:2017-02-20
Applicant: 北京交通大学
Abstract: 本发明实施例提供了一种解析和还原TNS协议314版本中SQL命令和参数的方法。该方法包括:采用旁路获取网络中客户端向Oracle数据库服务器发送的TNS协议Data类型数据包,将Data类型数据包进行过滤获取Data类型数据包的负载部分数据,将所述Data类型数据包的负载部分解析到TNS协议的SQL语句软件中进行处理,获取0x035e命令位置后,通过五个模块的解析处理最终还原出客户端的SQL命令和包含参数的SQL语句。本发明通过分析Oracle数据库的应用系统客户端与Oracle数据库之间的通讯协议TNS的314版本的Data类型数据包的负载部分,将SQL语句进行有效的分解,分别分析出通讯报文长度小于255字节的SQL语句、长度大于255字节的SQL语句以及客户端可视操作生成SQL语句所带的参数。
-
公开(公告)号:CN107193902B
公开(公告)日:2020-04-17
申请号:CN201710328384.3
申请日:2017-05-11
Applicant: 北京交通大学
IPC: G06F16/242
Abstract: 本发明提供了一种解析和还原Caché数据库通讯协议中SQL命令的方法。该方法采用旁路获取网络中客户端向Caché数据库服务器发送的通信协议数据包,读取通讯协议数据包第1至第4个字节的值并赋给变量MsgLength中;跳过8个字节,读取第13、14个字节的值并赋给变量MsgType,判断所述MsgType的值,根据判断结果进行过滤和解析,再根据过滤和解析结果还原出客户端完整的SQL命令。本发明不需要对应用系统进行任何的配置改动和变更,对应用系统的正常运行没有任何影响,可以给用户、应用系统提供商及时了解系统运行状态提供有力的支持,同时可以为Caché数据库细粒度审计、精准化行为回溯、全方位风险控制功能和安全审计功能提供理论基础。
-
公开(公告)号:CN107038208A
公开(公告)日:2017-08-11
申请号:CN201710091069.3
申请日:2017-02-20
Applicant: 北京交通大学
Abstract: 本发明实施例提供了一种解析和还原TNS协议314版本中SQL命令和参数的方法。该方法包括:采用旁路获取网络中客户端向Oracle数据库服务器发送的TNS协议Data类型数据包,将Data类型数据包进行过滤获取Data类型数据包的负载部分数据,将所述Data类型数据包的负载部分解析到TNS协议的SQL语句软件中进行处理,获取0x035e命令位置后,通过五个模块的解析处理最终还原出客户端的SQL命令和包含参数的SQL语句。本发明通过分析Oracle数据库的应用系统客户端与Oracle数据库之间的通讯协议TNS的314版本的Data类型数据包的负载部分,将SQL语句进行有效的分解,分别分析出通讯报文长度小于255字节的SQL语句、长度大于255字节的SQL语句以及客户端可视操作生成SQL语句所带的参数。
-
Patent Agency Ranking
公开(公告)号:CN101539973B
公开(公告)日:2011-08-31
申请号:CN200910083082.X
申请日:2009-04-28
Applicant: 北京交通大学
Abstract: 本发明涉及一种完整性度量技术在可信虚拟域无缝运行的方法,基于现有的虚拟可信平台模块技术和完整性度量软件进行可信计算的客户虚拟域提供一种基于事件驱动的自适应方法,使得可信虚拟域不因为非虚拟环境下开发的完整性度量技术在可信虚拟域内核的无缝融合而发生系统启动崩溃,即完整性度量技术在可信虚拟域无缝运行。本发明的方法不需修改可信虚拟域的任何模块,只需修改特权虚拟域的模块,因此本发明的方法可扩展性强,在保障可信虚拟域正常启动的前提下,提高了软件利用率,降低了开发和维护费用;而且事件驱动机制使得实施本发明提供的方法的系统响应速度快,同时系统资源有效利用率高。
-
公开(公告)号:CN102137103A
公开(公告)日:2011-07-27
申请号:CN201110056214.7
申请日:2011-03-09
Applicant: 北京交通大学
Abstract: 本发明提供了一种通过扩展MIKEY协议实现VoIP媒体流可信传输的方法。本方法要求通信双方都配有可信安全芯片,并且安装了度量模块,能够对各自平台状态进行度量。本方法通过利用MIKEY密钥交换协议已有的数据结构传递通信双方的平台状态信息,来实现VoIP媒体流的可信传输。本方法不但实现了将可信计算的远程证明技术紧密地融入到MIKEY密钥交换协议,从而确保平台状态信息和安全信道的真实连接,而且它对标准MIKEY协议作了最少的修改并且没有增加额外的往返时间。同时,实施了本方法的系统还具有部分功能向后兼容性。
-
公开(公告)号:CN101599115B
公开(公告)日:2011-02-16
申请号:CN200910088133.8
申请日:2009-07-03
Applicant: 北京交通大学
Abstract: 本发明涉及一种响应TOCTOU攻击的轻量级方法,该方法在保证安全前提下充分考虑系统性能。方法中,特权域与虚拟机监控器之间额外定义了1个hypercall和数个虚拟中断(vIRQ),用于虚拟机监控器与特权域之间传递与本发明相关的信息。响应方法的组件包括在特权域的虚拟可信设备(vTPM)后端驱动中实现的四个模快和在虚拟机监控器中实现的攻击管理模块。实施了本发明提供的响应方法的系统比实施其他响应方法能抗击更多情形下的TOCTOU攻击;而且该响应方法实用性强,在没有收到攻击信号的情况下,系统不因为实施了该发明提供的响应方法而发生性能降低;此外该方法对原有系统修改少,可扩展性强;适用于多个可信客户虚拟域并行的环境。
-
公开(公告)号:CN101950333A
公开(公告)日:2011-01-19
申请号:CN201010246036.X
申请日:2010-08-05
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种响应Xen客户硬件虚拟域可信计算TOCTOU攻击的方法,该方法在有效防范攻击的前提下充分考虑系统性能。方法中,Xen特权域与虚拟机监控器之间定义了1个超级调用和10个虚拟中断,用于虚拟机监控器与特权域之间传递与本发明相关的信息;响应方法的组件包括在特权域可信仿真设备模块中实现的转发模块和攻击信号处理模块、在特权域内核空间实现的转发模块以及在虚拟机监控器中实现的攻击管理模块。实施了本发明的系统能有效地响应硬件虚拟域的可信计算TOCTOU攻击;而且本发明的响应方法实用性强,在没有收到攻击信号的情况下,该响应方法对系统性能影响非常小;此外该方法对原有系统修改少,可扩展性强,适用于多个可信客户硬件虚拟域并行工作环境。
-
公开(公告)号:CN101488173B
公开(公告)日:2010-10-27
申请号:CN200910076392.9
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明涉及支持零宕机的可信虚拟域启动文件完整性度量的方法。本方法通过修改特权域的虚拟域管理工具和虚拟域引导管理器,实现可信虚拟域系统启动文件在被加载时才进行完整性度量,克服了计算机启动时就对这些文件进行完整性度量所带来的安全和可扩展问题,增强了系统的灵活性,允许在计算机运行过程中动态地进行可信虚拟域部署,包括虚拟域内核系统的重新定制或升级,实现了可信虚拟域的启动不会间断同一硬件平台上的其它虚拟域的数据业务。可度量的启动文件包括了虚拟域配置文件、虚拟域引导配置文件以及该文件指定的需要度量的文件。本方法可以与虚拟环境下的其他可信计算技术协同工作来建立完整的虚拟域启动可信链。
-
-
-
-
-
-
-
-
-
Search Results
53
records
(took 0.01 seconds)
