-
公开(公告)号:CN101539864B
公开(公告)日:2011-11-23
申请号:CN200910078030.3
申请日:2009-02-10
Applicant: 北京交通大学
Abstract: 本发明涉及一种自适应的保障可信客户虚拟域正常启动的方法,该方法通过对现有的虚拟可信平台模块技术和完整性度量软件进行功能增强来实现保障。在该方法中,完整性度量软件被客户虚拟域内核加载后,首先进入睡眠状态以使系统启动暂停;直到特权域的虚拟可信平台模块开始工作,完整性度量软件才被唤醒,进而虚拟域系统继续启动过程。本发明的方法不仅保证可信客户虚拟域系统启动不因为虚拟可信平台模块创建过程的缓慢而崩溃,而且通过采用事件驱动工作模式和将虚拟域启动过程的暂停推迟到第一个访问虚拟可信平台模块的虚拟域软件的初始化部分之前,一方面保持原系统充分利用系统资源的特点,另一方面保持原系统的响应速度。
-
公开(公告)号:CN101488174B
公开(公告)日:2010-07-14
申请号:CN200910076393.3
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明在Xen虚拟机环境下提供了一种让基于TPM 1.2规范的可信应用软件可以在虚拟域无缝运行的方法,方法的组件包括在特权域中实现的虚拟TPM(vTPM)设备、vTPM设备管理工具、vTPM后端驱动、支持vTPM的虚拟域管理工具以及在虚拟域中实现的vTPM前端驱动。本发明在特权域为每个运行的虚拟域提供了一个独立的具有物理TPM所有的功能的vTPM设备,vTPM设备可以动态被创建和撤消;本发明通过各组件高效有机的配合,实现了可信数据流的复用和分用,保证了vTPM设备与相应虚拟域之间的通信,实现了虚拟域基于各自独立的TPM的可信计算。
-
公开(公告)号:CN101551839B
公开(公告)日:2010-10-27
申请号:CN200910080294.2
申请日:2009-03-17
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种多虚拟域环境下针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括特权域中实现的功能增强的特权域内核心文件、功能增强的虚拟域管理工具、功能增强的vTPM设备程序和特权域代理模块,以及虚拟机监控器中实现内存监控模块。特权域与虚拟机监控器之间额外定义了1个hypercall(T_hypercall),用于特权域向虚拟机监控器传递信息,定义10个虚拟中断(T_vIRQ),用于虚拟机监控器向特权域传递关于某个可信虚拟域的信息,每个虚拟中断对应一个运行的可信虚拟域。本发明的方法通过将虚拟TPM设备标识号与虚拟中断的绑定,解决了现有的针对TPM可信计算的TOCTOU攻击响应方法无法工作在多虚拟域环境的问题。
-
公开(公告)号:CN101488175B
公开(公告)日:2010-08-11
申请号:CN200910078031.8
申请日:2009-02-10
Applicant: 北京交通大学
Abstract: 本发明涉及基于轮询机制的防止可信客户虚拟域启动崩溃的方法,该方法使得可信客户虚拟域在系统启动过程中不因为虚拟可信平台模块创建过程的缓慢而出现启动崩溃。本发明的方法采用了对虚拟域内核启动文件中的完整性度量软件进行功能扩充,因此方法简单,兼容性好,可扩展性强。功能增强的度量软件在被加载之后并不立即进行初始化工作,而是先对虚拟可信平台模块进行检测,即定期发出访问虚拟可信平台模块寄存器的请求,直到返回正确结果,才开始软件初始化。该方法将检测工作推迟到第一个访问虚拟可信平台模块的虚拟域软件的初始化之前,保持了原系统有效利用系统资源的优点。
-
公开(公告)号:CN101551839A
公开(公告)日:2009-10-07
申请号:CN200910080294.2
申请日:2009-03-17
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种多虚拟域环境下针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括特权域中实现的功能增强的特权域内核心文件、功能增强的虚拟域管理工具、功能增强的vTPM设备程序和特权域代理模块,以及虚拟机监控器中实现内存监控模块。特权域与虚拟机监控器之间额外定义了1个hypercall(T_hypercall),用于特权域向虚拟机监控器传递信息,定义10个虚拟中断(T_vIRQ),用于虚拟机监控器向特权域传递关于某个可信虚拟域的信息,每个虚拟中断对应一个运行的可信虚拟域。本发明的方法通过将虚拟TPM设备标识号与虚拟中断的绑定,解决了现有的针对TPM可信计算的TOCTOU攻击响应方法无法工作在多虚拟域环境的问题。
-
Patent Agency Ranking
公开(公告)号:CN101539973A
公开(公告)日:2009-09-23
申请号:CN200910083082.X
申请日:2009-04-28
Applicant: 北京交通大学
Abstract: 本发明涉及一种完整性度量技术在可信虚拟域无缝运行的方法,基于现有的虚拟可信平台模块技术和完整性度量软件进行可信计算的客户虚拟域提供一种基于事件驱动的自适应方法,使得可信虚拟域不因为非虚拟环境下开发的完整性度量技术在可信虚拟域内核的无缝融合而发生系统启动崩溃,即完整性度量技术在可信虚拟域无缝运行。本发明的方法不需修改可信虚拟域的任何模块,只需修改特权虚拟域的模块,因此本发明的方法可扩展性强,在保障可信虚拟域正常启动的前提下,提高了软件利用率,降低了开发和维护费用;而且事件驱动机制使得实施本发明提供的方法的系统响应速度快,同时系统资源有效利用率高。
-
公开(公告)号:CN101539864A
公开(公告)日:2009-09-23
申请号:CN200910078030.3
申请日:2009-02-10
Applicant: 北京交通大学
Abstract: 本发明涉及一种自适应的保障可信客户虚拟域正常启动的方法,该方法通过对现有的虚拟可信平台模块技术和完整性度量软件进行功能增强来实现保障。在该方法中,完整性度量软件被客户虚拟域内核加载后,首先进入睡眠状态以使系统启动暂停;直到特权域的虚拟可信平台模块开始工作,完整性度量软件才被唤醒,进而虚拟域系统继续启动过程。本发明的方法不仅保证可信客户虚拟域系统启动不因为虚拟可信平台模块创建过程的缓慢而崩溃,而且通过采用事件驱动工作模式和将虚拟域启动过程的暂停推迟到第一个访问虚拟可信平台模块的虚拟域软件的初始化部分之前,一方面保持原系统充分利用系统资源的特点,另一方面保持原系统的响应速度。
-
公开(公告)号:CN101488175A
公开(公告)日:2009-07-22
申请号:CN200910078031.8
申请日:2009-02-10
Applicant: 北京交通大学
Abstract: 本发明涉及基于轮询机制的防止可信客户虚拟域启动崩溃的方法,该方法使得可信客户虚拟域在系统启动过程中不因为虚拟可信平台模块创建过程的缓慢而出现启动崩溃。本发明的方法采用了对虚拟域内核启动文件中的完整性度量软件进行功能扩充,因此方法简单,兼容性好,可扩展性强。功能增强的度量软件在被加载之后并不立即进行初始化工作,而是先对虚拟可信平台模块进行检测,即定期发出访问虚拟可信平台模块寄存器的请求,直到返回正确结果,才开始软件初始化。该方法将检测工作推迟到第一个访问虚拟可信平台模块的虚拟域软件的初始化之前,保持了原系统有效利用系统资源的优点。
-
公开(公告)号:CN101488176A
公开(公告)日:2009-07-22
申请号:CN200910078201.2
申请日:2009-02-20
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括功能增强的虚拟TPM设备程序和特权域代理模块。和现有的方法一样采用了更新PCR寄存器信息的方式,但是更新事件的产生和执行方式不同,确保了下面两种情况的TPM指令都能正确地反映客户虚拟域平台当前状态:1在监测到TOCTOU攻击时TPM指令处理结果还没有被送出虚拟TPM设备程序的TPM指令,2在监测到TOCTOU攻击时还没有被虚拟TPM设备程序接收的TPM指令。本发明在考虑安全的同时充分考虑了系统性能,通过采用事件驱动、避免额外的用户空间进程调度措施来确保了系统资源有效利用率和可扩展性。
-
公开(公告)号:CN101488174A
公开(公告)日:2009-07-22
申请号:CN200910076393.3
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明在Xen虚拟机环境下提供了一种让基于TPM 1.2规范的可信应用软件可以在虚拟域无缝运行的方法,方法的组件包括在特权域中实现的虚拟TPM(vTPM)设备、vTPM设备管理工具、vTPM后端驱动、支持vTPM的虚拟域管理工具以及在虚拟域中实现的vTPM前端驱动。本发明在特权域为每个运行的虚拟域提供了一个独立的具有物理TPM所有的功能的vTPM设备,vTPM设备可以动态被创建和撤消;本发明通过各组件高效有机的配合,实现了可信数据流的复用和分用,保证了vTPM设备与相应虚拟域之间的通信,实现了虚拟域基于各自独立的TPM的可信计算。
-
-
-
-
-
-
-
-
-
Search Results
14
records
(took 0.102 seconds)
