-
公开(公告)号:CN111159713A
公开(公告)日:2020-05-15
申请号:CN201911341073.6
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种基于SELinux的自学习可信策略构建方法及系统,该方法包括:获取需要添加进策略文件的应用程序;进入策略学习模式,将SELinux设置为宽容模式;允许并执行应用程序的所有操作,获取日志文件里记录的拒绝信息;读取拒绝信息,将拒绝信息转化成策略文件;将策略文件加载至内核。本发明实施例提供的自学习可信策略构建方法及系统,对新安装的应用程序,通过将SELinux设置为宽容模式,以一个训练过程构建策略文件,执行需要添加进策略文件的应用程序操作,在不添加前置操作策略的情况下,后置操作仍被允许执行而不会使学习过程停止,实现在不影响程序运行的情况下,构建应用程序所需的可信策略。
-
公开(公告)号:CN111125793A
公开(公告)日:2020-05-08
申请号:CN201911340046.7
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供的一种访问控制中客体内存可信验证方法及系统,该方法包括:获取访问控制过程中的客体内存,并将所述客体内存划分为客体进程内存和IPC对象共享内存;分别对客体进程内存和IPC对象共享内存进行可信验证。本发明实施例提供的访问控制中客体内存可信验证方法及系统,通过将客体内存数据分为充当主体服务对象的客体进程内存以及充当进程间通信的IPC对象共享内存,并分别对两种客体内存分别进行可信验证,实现了对被现有方案所忽略的不定客体数据的可信校验,保证了应用程序在运行过程中的动态可信。
-
公开(公告)号:CN109783474A
公开(公告)日:2019-05-21
申请号:CN201910014157.2
申请日:2019-01-08
Applicant: 北京工业大学
Abstract: 虚拟可信根实例及其自身状态数据的安全迁移方法属于信息安全领域,尤其涉及虚拟可信根安全迁移技术,其特征在于是在控制节点和计算节点组成的系统中实现的,无论是按控制节点指令还是应计算节点请求迁移,vTPCM实例及其自身状态数据,都是用加密算法对源数据进行加密打包后送往控制节点指定的具有相同或相似功能、内存空间充足、且在控制节点控制下由称为源平台的计算节点以网络方式迁移到称为目标平台的计算节点上的,本发明使用可信平台控制模块TPCM和KVM的虚拟化架构,与使用可信平台模块TPM和Xen的虚拟化架构相比,有在更新虚拟机监视器时,无需重新编译整个操作系统内核的优点,同时又能保证了迁移数据的安全。
-
公开(公告)号:CN109766702A
公开(公告)日:2019-05-17
申请号:CN201910025912.7
申请日:2019-01-11
Applicant: 北京工业大学
IPC: G06F21/57 , G06F9/4401 , G06F9/455
Abstract: 基于虚拟机状态数据的全过程可信启动检验方法属于信息安全领域,其特征在于,针对虚拟机开源的基本输入输出系统SeaBIOS子系统、主引导记录MBR子系统及虚拟机磁盘镜像的数据簇cluster等三类不同的子系统状态数据按执行函数代码的码长,分别使用不同的哈希算法,用TPCM可信控制平台计算模块在可信启动初始时刻t0、t1获取子系统状态数据的基准值并判断其是否相等,如若相等,则依次按SeaBIOS、MBR、cluster簇进行可信启动检验,如若中间有一个状态数据在t0、t1时刻与基准值不同,则说明系统遭受篡改,程序终止;与现有技术相比,状态数据采集的更为全面与完善,与现有技术中对状态数据的镜像值来进行哈希运算相比,运算速率更快,效率更高。
-
公开(公告)号:CN109766702B
公开(公告)日:2021-02-05
申请号:CN201910025912.7
申请日:2019-01-11
Applicant: 北京工业大学
IPC: G06F21/57 , G06F9/4401 , G06F9/455
Abstract: 基于虚拟机状态数据的全过程可信启动检验方法属于信息安全领域,其特征在于,针对虚拟机开源的基本输入输出系统SeaBIOS子系统、主引导记录MBR子系统及虚拟机磁盘镜像的数据簇cluster等三类不同的子系统状态数据按执行函数代码的码长,分别使用不同的哈希算法,用TPCM可信控制平台计算模块在可信启动初始时刻t0、t1获取子系统状态数据的基准值并判断其是否相等,如若相等,则依次按SeaBIOS、MBR、cluster簇进行可信启动检验,如若中间有一个状态数据在t0、t1时刻与基准值不同,则说明系统遭受篡改,程序终止;与现有技术相比,状态数据采集的更为全面与完善,与现有技术中对状态数据的镜像值来进行哈希运算相比,运算速率更快,效率更高。
-
Patent Agency Ranking
公开(公告)号:CN109710386B
公开(公告)日:2020-08-28
申请号:CN201910003503.7
申请日:2019-01-03
Applicant: 北京工业大学
IPC: G06F9/455
Abstract: 一种虚拟机VM的虚拟可信根vTPCM实例的整体动态迁移方法,属于系统运行状态信息的可信安全迁移技术领域,其特征在于,这是一种在按控制节点管理员指令式应计算节点的请求而确定的由作为迁出节点的源平台、迁入节点的目标平台以及控制节点基于已知可信平台控制模块TPCM的迁移系统中实现的vTPCM实例整体动态迁移方法,是迁出、迁入双方在各自可信平台控制模块TPCM及控制节点CPU共同控制下,用对称和非对称加密算法、散列算法以及mkImage工具的影像值形成方法按被控制系统在整个运行过程中不同状态下采集的运行状态数据为基准值用可信计算方法实现的,与现有的vTPCM实例整体动态迁移方法相比,具有更加安全、更为简捷且迁移效率高的优点。
-
公开(公告)号:CN109783474B
公开(公告)日:2020-08-21
申请号:CN201910014157.2
申请日:2019-01-08
Applicant: 北京工业大学
Abstract: 虚拟可信根实例及其自身状态数据的安全迁移方法属于信息安全领域,尤其涉及虚拟可信根安全迁移技术,其特征在于是在控制节点和计算节点组成的系统中实现的,无论是按控制节点指令还是应计算节点请求迁移,vTPCM实例及其自身状态数据,都是用加密算法对源数据进行加密打包后送往控制节点指定的具有相同或相似功能、内存空间充足、且在控制节点控制下由称为源平台的计算节点以网络方式迁移到称为目标平台的计算节点上的,本发明使用可信平台控制模块TPCM和KVM的虚拟化架构,与使用可信平台模块TPM和Xen的虚拟化架构相比,有在更新虚拟机监视器时,无需重新编译整个操作系统内核的优点,同时又能保证了迁移数据的安全。
-
公开(公告)号:CN109977665A
公开(公告)日:2019-07-05
申请号:CN201910219861.1
申请日:2019-03-22
Applicant: 北京工业大学
IPC: G06F21/52 , G06F21/60 , G06F21/64 , G06F9/4401
Abstract: 基于TPCM的云服务器启动过程防窃取和防篡改方法,属于信息安全和可信计算领域,尤其属于用TPCM保障云服务器启动过程相关软/固件可信启动和运行的安全范围,其特征在于,用防盗启动指令代替软/固件原有启动指令,将软/固件的度量值作为其标识码,通过防盗启动指令中的度量值与软/固件程序入口地址的一一映射关系,确保只有度量值通过完整性验证后才能读取软/固件程序入口地址;同时把防盗启动指令加密存储到外部存储器中,确保其安全性;同时在软/固件启动时利用可变内存地址载入防盗启动指令,并在启动完成后释放防盗启动指令的内存空间,使黑客无法找到防盗启动指令,更加无法读取软/固件程序入口地址,具有静态存储和动态运行的双重安全性。
-
公开(公告)号:CN109710386A
公开(公告)日:2019-05-03
申请号:CN201910003503.7
申请日:2019-01-03
Applicant: 北京工业大学
IPC: G06F9/455
Abstract: 一种虚拟机VM的虚拟可信根vTPCM实例的整体动态迁移方法,属于系统运行状态信息的可信安全迁移技术领域,其特征在于,这是一种在按控制节点管理员指令式应计算节点的请求而确定的由作为迁出节点的源平台、迁入节点的目标平台以及控制节点基于已知可信平台控制模块TPCM的迁移系统中实现的vTPCM实例整体动态迁移方法,是迁出、迁入双方在各自可信平台控制模块TPCM及控制节点CPU共同控制下,用对称和非对称加密算法、散列算法以及mkImage工具的影像值形成方法按被控制系统在整个运行过程中不同状态下采集的运行状态数据为基准值用可信计算方法实现的,与现有的vTPCM整体动态迁移方法相比,具有更加安全、更为简捷且迁移效率高的优点。
-
公开(公告)号:CN111125793B
公开(公告)日:2022-03-11
申请号:CN201911340046.7
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供的一种访问控制中客体内存可信验证方法及系统,该方法包括:获取访问控制过程中的客体内存,并将所述客体内存划分为客体进程内存和IPC对象共享内存;分别对客体进程内存和IPC对象共享内存进行可信验证。本发明实施例提供的访问控制中客体内存可信验证方法及系统,通过将客体内存数据分为充当主体服务对象的客体进程内存以及充当进程间通信的IPC对象共享内存,并分别对两种客体内存分别进行可信验证,实现了对被现有方案所忽略的不定客体数据的可信校验,保证了应用程序在运行过程中的动态可信。
-
-
-
-
-
-
-
-
-
Search Results
19
records
(took 0.022 seconds)
