-
公开(公告)号:CN114386016B
公开(公告)日:2024-03-22
申请号:CN202210035587.4
申请日:2022-01-13
Applicant: 北京工业大学
Abstract: 基于可信计算的应用程序安全访问的全过程控制方法,属于应用程序访问控制领域。特征在于系统CPUS把待测访问者的主体特征值通过可信计算得到主体度量值,同理把客体特征值转换为客体度量值,客体中作为各访问操作的数据文件特征值转换为子客体度量值,访问控制CPUC把存储在存取服务CPUN控制的缓存子模块内的已测志愿者的与待测者的三项度量值的相比较。首先,判断样本数据库中的各种主体度量值与待测访问者之间是否相等,若无便报警;否则,再依次判断客体度量值和子客体度量值,若无便依次报警;否则,待测访问者在访问全过程中所有访问操作均通过,便通过CPUC的代理访问模块请求CPUs从硬盘中取出对应客体输出。本发明具有简洁、快速、精准的特点。
-
公开(公告)号:CN111159713A
公开(公告)日:2020-05-15
申请号:CN201911341073.6
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种基于SELinux的自学习可信策略构建方法及系统,该方法包括:获取需要添加进策略文件的应用程序;进入策略学习模式,将SELinux设置为宽容模式;允许并执行应用程序的所有操作,获取日志文件里记录的拒绝信息;读取拒绝信息,将拒绝信息转化成策略文件;将策略文件加载至内核。本发明实施例提供的自学习可信策略构建方法及系统,对新安装的应用程序,通过将SELinux设置为宽容模式,以一个训练过程构建策略文件,执行需要添加进策略文件的应用程序操作,在不添加前置操作策略的情况下,后置操作仍被允许执行而不会使学习过程停止,实现在不影响程序运行的情况下,构建应用程序所需的可信策略。
-
公开(公告)号:CN111125793A
公开(公告)日:2020-05-08
申请号:CN201911340046.7
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供的一种访问控制中客体内存可信验证方法及系统,该方法包括:获取访问控制过程中的客体内存,并将所述客体内存划分为客体进程内存和IPC对象共享内存;分别对客体进程内存和IPC对象共享内存进行可信验证。本发明实施例提供的访问控制中客体内存可信验证方法及系统,通过将客体内存数据分为充当主体服务对象的客体进程内存以及充当进程间通信的IPC对象共享内存,并分别对两种客体内存分别进行可信验证,实现了对被现有方案所忽略的不定客体数据的可信校验,保证了应用程序在运行过程中的动态可信。
-
公开(公告)号:CN109783474A
公开(公告)日:2019-05-21
申请号:CN201910014157.2
申请日:2019-01-08
Applicant: 北京工业大学
Abstract: 虚拟可信根实例及其自身状态数据的安全迁移方法属于信息安全领域,尤其涉及虚拟可信根安全迁移技术,其特征在于是在控制节点和计算节点组成的系统中实现的,无论是按控制节点指令还是应计算节点请求迁移,vTPCM实例及其自身状态数据,都是用加密算法对源数据进行加密打包后送往控制节点指定的具有相同或相似功能、内存空间充足、且在控制节点控制下由称为源平台的计算节点以网络方式迁移到称为目标平台的计算节点上的,本发明使用可信平台控制模块TPCM和KVM的虚拟化架构,与使用可信平台模块TPM和Xen的虚拟化架构相比,有在更新虚拟机监视器时,无需重新编译整个操作系统内核的优点,同时又能保证了迁移数据的安全。
-
公开(公告)号:CN109766702A
公开(公告)日:2019-05-17
申请号:CN201910025912.7
申请日:2019-01-11
Applicant: 北京工业大学
IPC: G06F21/57 , G06F9/4401 , G06F9/455
Abstract: 基于虚拟机状态数据的全过程可信启动检验方法属于信息安全领域,其特征在于,针对虚拟机开源的基本输入输出系统SeaBIOS子系统、主引导记录MBR子系统及虚拟机磁盘镜像的数据簇cluster等三类不同的子系统状态数据按执行函数代码的码长,分别使用不同的哈希算法,用TPCM可信控制平台计算模块在可信启动初始时刻t0、t1获取子系统状态数据的基准值并判断其是否相等,如若相等,则依次按SeaBIOS、MBR、cluster簇进行可信启动检验,如若中间有一个状态数据在t0、t1时刻与基准值不同,则说明系统遭受篡改,程序终止;与现有技术相比,状态数据采集的更为全面与完善,与现有技术中对状态数据的镜像值来进行哈希运算相比,运算速率更快,效率更高。
-
Patent Agency Ranking
公开(公告)号:CN111159762B
公开(公告)日:2022-08-12
申请号:CN201911341090.X
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/62
Abstract: 本发明实施例提供的一种强制访问控制下的主体可信验证方法及系统,该方法包括:初始化阶段和权限审核阶段;具体包括:获取应用程序的二进制文件和对应的动态链接库并进行度量,获取初始基准值;权限审核阶段包括:将应用程序的进程加载至内存,并在加载过程中度量应用程序的ELF文件,并将度量结果与初始基准值进行比对,获取第一比对结果;根据所述第一比对结果,对应用程序的加载进行控制。本发明实施例提供的主体可信验证方法及系统,通过在强制访问控制模型中,在进程加载前、加载时以及运行时进行主体可信验证,实现了对进程加载阶段的可信验证,有效避免了加载进程的系统调用被篡改而导致基准值错误情况的发生,增强了系统的安全防护。
-
公开(公告)号:CN111159713B
公开(公告)日:2022-05-10
申请号:CN201911341073.6
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种基于SELinux的自学习可信策略构建方法及系统,该方法包括:获取需要添加进策略文件的应用程序;进入策略学习模式,将SELinux设置为宽容模式;允许并执行应用程序的所有操作,获取日志文件里记录的拒绝信息;读取拒绝信息,将拒绝信息转化成策略文件;将策略文件加载至内核。本发明实施例提供的自学习可信策略构建方法及系统,对新安装的应用程序,通过将SELinux设置为宽容模式,以一个训练过程构建策略文件,执行需要添加进策略文件的应用程序操作,在不添加前置操作策略的情况下,后置操作仍被允许执行而不会使学习过程停止,实现在不影响程序运行的情况下,构建应用程序所需的可信策略。
-
公开(公告)号:CN111159714B
公开(公告)日:2022-03-11
申请号:CN201911341087.8
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种访问控制中主体运行时可信验证方法及系统,该方法包括:加载应用程序,并获取所述应用程序在运行阶段的系统调用;判定所述系统调用的等级;基于所述等级,度量所述系统调用的主体进程内存数据;确定所述度量结果为合格,则允许所述应用程序继续运行。该系统包括:系统调用获取模块、等级判定模块、度量模块和进程控制模块。本发明实施例提供的访问控制中主体运行时可信验证方法及系统,综合重要性和频率两个要素,设计并定义了系统调用的动态等级描述,以区别对待主体进程内存数据的度量步骤,在保证安全的同时,最大限度地降低了由频繁度量主体所产生的性能损耗。
-
公开(公告)号:CN111159691B
公开(公告)日:2022-03-11
申请号:CN201911341086.3
申请日:2019-12-23
Applicant: 北京工业大学
Abstract: 本发明实施例提供一种应用程序动态可信验证方法及系统,该方法包括:为应用程序构建可信运行环境;在强制访问控制状态,基于可信运行环境对应用程序进行动态可信验证。其中,为应用程序构建可信运行环境,包括:操作系统可信启动、构建策略文件以及构建可信基准库;对应用程序进行动态可信验证,包括:基于可信基准库、策略文件和安全增强模块,验证四要素的完整性。本发明实施例提供的应用程序动态可信验证方法及系统,在不修改应用程序本身的前提下,能够通过完整性度量机制、强制访问控制机制对应用程序从磁盘被加载到内存的过程、应用程序被加载到内存后的整个运行过程进行动态可信验证。
-
公开(公告)号:CN111159714A
公开(公告)日:2020-05-15
申请号:CN201911341087.8
申请日:2019-12-23
Applicant: 北京工业大学
IPC: G06F21/57
Abstract: 本发明实施例提供的一种访问控制中主体运行时可信验证方法及系统,该方法包括:加载应用程序,并获取所述应用程序在运行阶段的系统调用;判定所述系统调用的等级;基于所述等级,度量所述系统调用的主体进程内存数据;确定所述度量结果为合格,则允许所述应用程序继续运行。该系统包括:系统调用获取模块、等级判定模块、度量模块和进程控制模块。本发明实施例提供的访问控制中主体运行时可信验证方法及系统,综合重要性和频率两个要素,设计并定义了系统调用的动态等级描述,以区别对待主体进程内存数据的度量步骤,在保证安全的同时,最大限度地降低了由频繁度量主体所产生的性能损耗。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.021 seconds)
