公开(公告)号：CN107547520B

公开(公告)日：2020-07-07

申请号：CN201710642192.X

申请日：2017-07-31

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  杨莹 ,  金昊 ,  马宇晨

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种Flask安全模块、构建方法及移动Web系统，其中Flask安全模块包括：安全服务器，用于提供安全策略决策，保持安全标识符和安全上下文之间的映射，为新建的客体分配安全标识符，控制访问向量缓存的内容正确一致；客体管理器，分别与安全服务器、访问向量缓存器和移动Web系统中的钩子通信连接，用于提供从一个安全服务器重新访问、标记和多实例决策的接口，提供一个访问向量缓存器允许客体管理器缓存访问决策结果，及提供客体管理器接收和处理安全策略变动通知，其中多实例决策规定多实例资源集的哪个成员被特定的请求所访问；访问向量缓存器用于缓存预设的安全策略。能解决当前移动Web系统采用自主访问控制带来安全性不足的问题。

公开(公告)号：CN107277023B

公开(公告)日：2020-04-10

申请号：CN201710509196.0

申请日：2017-06-28

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  杨莹 ,  金昊 ,  马宇晨

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种基于Web的移动瘦终端访问控制方法、系统及瘦终端，所述方法包括：S1、将移动瘦终端Web系统中的组件抽象为模型中的基本元素，获取主体及客体的机密性标记集合和完整性标记集合；S2、将系统中的操作抽象为访问模式；S3、根据Web系统的特点定义自主访问控制策略；S4、根据LBAC模型，结合BLP模型基于机密性、Biba模型基于完整性的强制访问控制策略，形成安全标记格，并基于安全标记格定义强制访问控制策略；S5、通过RBAC模型对自主访问控制策略和强制访问控制策略进行配置。具有更好的策略一致性，使得新模型在形式上能够适用于网络连接以及与云存储架构中应用的ABAC等安全模型匹配。

公开(公告)号：CN107016283B

公开(公告)日：2019-09-10

申请号：CN201710082058.9

申请日：2017-02-15

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  李莹 ,  冯维淼 ,  杨莹 ,  金昊

IPC: G06F21/55 ,  G06F21/57

Abstract: 本发明涉及一种基于完整性验证的Android权限提升攻击安全防御方法和装置，该方法包括：实时检测应用程序是否正在执行与敏感内核函数相关的系统调用；对系统调用要执行的敏感内核函数进行完整性验证；检测所述敏感内核函数相对应的内核函数指针的准确性和可靠性；判断所述内核函数指针所指向的内存区域是否存在具备权限提升攻击特征的指令；对检测到的应用程序权限提升攻击行为进行告警和拦截。本发明实时检测恶意程序的权限提升攻击行为并进行告警和拦截，防止攻击行为对Android系统造成的破坏，有效保护了应用和数据的安全。本发明降低了权限提升漏洞给Android系统带来的安全威胁，提升了Android系统的安全性。

公开(公告)号：CN107547520A

公开(公告)日：2018-01-05

申请号：CN201710642192.X

申请日：2017-07-31

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  杨莹 ,  金昊 ,  马宇晨

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明提供一种Flask安全模块、构建方法及移动Web系统，其中Flask安全模块包括：安全服务器，用于提供安全策略决策，保持安全标识符和安全上下文之间的映射，为新建的客体分配安全标识符，控制访问向量缓存的内容正确一致；客体管理器，分别与安全服务器、访问向量缓存器和移动Web系统中的钩子通信连接，用于提供从一个安全服务器重新访问、标记和多实例决策的接口，提供一个访问向量缓存器允许客体管理器缓存访问决策结果，及提供客体管理器接收和处理安全策略变动通知，其中多实例决策规定多实例资源集的哪个成员被特定的请求所访问；访问向量缓存器用于缓存预设的安全策略。能解决当前移动Web系统采用自主访问控制带来安全性不足的问题。

公开(公告)号：CN105848158A

公开(公告)日：2016-08-10

申请号：CN201610282165.1

申请日：2016-04-29

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  邵京 ,  金昊 ,  乔荣 ,  杨莹 ,  马宇晨

IPC: H04W12/12

Abstract: 本发明涉及一种伪基站识别方法及装置，包括：获取第一用户设备UE检测的预设基站样本的基站特征参数、网络制式切换信息以及所述第一UE在预设方向上的加速度变化信息，并构建伪基站第一判别模型和伪基站第二判别模型；获取第二用户设备UE在第二预设时间内检测的所述目标基站的基站特征参数、网络制式切换信息以及所述第二UE在所述预设方向上的加速度变化信息，并采用所述伪基站第一判别模型或所述伪基站第二判别模型对所述目标基站进行识别。本发明可快速、简便的实现伪基站识别，并且仅需要UE和数据处理器即可完成，消除了现有技术单一地从功率状态或是基站特征参数对伪基站进行识别的误判率和漏网率较高的弊端，提升了伪基站识别的准确率。

公开(公告)号：CN107016289A

公开(公告)日：2017-08-04

申请号：CN201710081870.X

申请日：2017-02-15

Applicant: 中国科学院信息工程研究所

Inventor： 朱大立 ,  杨莹 ,  金昊 ,  李莹

IPC: G06F21/57 ,  H04L29/08

Abstract: 本发明实施例公开了一种基于Web操作系统的移动瘦终端安全模型建立方法及装置，方法包括：根据符号映射规则，将系统中的组件映射为对应的符号，根据访问模式映射规则，将系统中的操作映射为对应的访问模式；根据访问模式确定系统的目标访问控制策略；根据机密性模型中的机密性元素和完整性模型中的完整性元素，采用符号确定系统的安全标记；根据访问控制策略和安全标记，建立基于Web系统的移动瘦终端安全模型。通过将组件符号化，引入机密性模型和完整性模型中的元素，采用符号确定系统的安全标记，并基于访问模式确定系统的目标访问控制策略，解决了机密性模型和完整性模型信息流相反的问题，同时兼顾了系统的机密性和完整性，保证了系统的安全。