-
公开(公告)号:CN101789939A
公开(公告)日:2010-07-28
申请号:CN201010100818.2
申请日:2010-01-25
Applicant: 北京交通大学
Abstract: 本发明涉及一种有效的可信OpenSSH的实现方法,方法的组件包括功能增强的参数协商模块和功能增强的会话密钥交换模块,方法的具体步骤如下:步骤1,对身份认证算法协商串的形成过程进行修改,步骤2,对选择身份认证算法的过程进行修改,步骤3,在可信客户端增加两个变量,分别用客户类型和服务器类型表示,步骤4,在可信服务器端增加两个变量,分别用客户类型和服务器类型表示,步骤5,对可信客户端会话密钥交换处理模块进行修改,步骤6,对可信服务器端密钥交换处理模块进行修改。本发明在实现可信信道的同时充分考虑系统性能、可扩展性和功能向后兼容性。
-
公开(公告)号:CN101599115A
公开(公告)日:2009-12-09
申请号:CN200910088133.8
申请日:2009-07-03
Applicant: 北京交通大学
Abstract: 本发明涉及一种响应TOCTOU攻击的轻量级方法,该方法在保证安全前提下充分考虑系统性能。方法中,特权域与虚拟机监控器之间额外定义了1个hypercall和数个虚拟中断(vIRQ),用于虚拟机监控器与特权域之间传递与本发明相关的信息。响应方法的组件包括在特权域的虚拟可信设备(vTPM)后端驱动中实现的四个模快和在虚拟机监控器中实现的攻击管理模块。实施了本发明提供的响应方法的系统比实施其他响应方法能抗击更多情形下的TOCTOU攻击;而且该响应方法实用性强,在没有收到攻击信号的情况下,系统不因为实施了该发明提供的响应方法而发生性能降低;此外该方法对原有系统修改少,可扩展性强;适用于多个可信客户虚拟域并行的环境。
-
公开(公告)号:CN101488176A
公开(公告)日:2009-07-22
申请号:CN200910078201.2
申请日:2009-02-20
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括功能增强的虚拟TPM设备程序和特权域代理模块。和现有的方法一样采用了更新PCR寄存器信息的方式,但是更新事件的产生和执行方式不同,确保了下面两种情况的TPM指令都能正确地反映客户虚拟域平台当前状态:1在监测到TOCTOU攻击时TPM指令处理结果还没有被送出虚拟TPM设备程序的TPM指令,2在监测到TOCTOU攻击时还没有被虚拟TPM设备程序接收的TPM指令。本发明在考虑安全的同时充分考虑了系统性能,通过采用事件驱动、避免额外的用户空间进程调度措施来确保了系统资源有效利用率和可扩展性。
-
公开(公告)号:CN101488174A
公开(公告)日:2009-07-22
申请号:CN200910076393.3
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明在Xen虚拟机环境下提供了一种让基于TPM 1.2规范的可信应用软件可以在虚拟域无缝运行的方法,方法的组件包括在特权域中实现的虚拟TPM(vTPM)设备、vTPM设备管理工具、vTPM后端驱动、支持vTPM的虚拟域管理工具以及在虚拟域中实现的vTPM前端驱动。本发明在特权域为每个运行的虚拟域提供了一个独立的具有物理TPM所有的功能的vTPM设备,vTPM设备可以动态被创建和撤消;本发明通过各组件高效有机的配合,实现了可信数据流的复用和分用,保证了vTPM设备与相应虚拟域之间的通信,实现了虚拟域基于各自独立的TPM的可信计算。
-
公开(公告)号:CN101488173A
公开(公告)日:2009-07-22
申请号:CN200910076392.9
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明涉及支持零宕机的可信虚拟域启动文件完整性度量的方法。本方法通过修改特权域的虚拟域管理工具和虚拟域引导管理器,实现可信虚拟域系统启动文件在被加载时才进行完整性度量,克服了计算机启动时就对这些文件进行完整性度量所带来的安全和可扩展问题,增强了系统的灵活性,允许在计算机运行过程中动态地进行可信虚拟域部署,包括虚拟域内核系统的重新定制或升级,实现了可信虚拟域的启动不会间断同一硬件平台上的其它虚拟域的数据业务。可度量的启动文件包括了虚拟域配置文件、虚拟域引导配置文件以及该文件指定的需要度量的文件。本方法可以与虚拟环境下的其他可信计算技术协同工作来建立完整的虚拟域启动可信链。
-
Patent Agency Ranking
公开(公告)号:CN101789939B
公开(公告)日:2013-10-30
申请号:CN201010100818.2
申请日:2010-01-25
Applicant: 北京交通大学
Abstract: 本发明涉及一种有效的可信OpenSSH的实现方法,方法的组件包括功能增强的参数协商模块和功能增强的会话密钥交换模块,方法的具体步骤如下:步骤1,对身份认证算法协商串的形成过程进行修改,步骤2,对选择身份认证算法的过程进行修改,步骤3,在可信客户端增加两个变量,分别用客户类型和服务器类型表示,步骤4,在可信服务器端增加两个变量,分别用客户类型和服务器类型表示,步骤5,对可信客户端会话密钥交换处理模块进行修改,步骤6,对可信服务器端密钥交换处理模块进行修改。本发明在实现可信信道的同时充分考虑系统性能、可扩展性和功能向后兼容性。
-
公开(公告)号:CN101488175A
公开(公告)日:2009-07-22
申请号:CN200910078031.8
申请日:2009-02-10
Applicant: 北京交通大学
Abstract: 本发明涉及基于轮询机制的防止可信客户虚拟域启动崩溃的方法,该方法使得可信客户虚拟域在系统启动过程中不因为虚拟可信平台模块创建过程的缓慢而出现启动崩溃。本发明的方法采用了对虚拟域内核启动文件中的完整性度量软件进行功能扩充,因此方法简单,兼容性好,可扩展性强。功能增强的度量软件在被加载之后并不立即进行初始化工作,而是先对虚拟可信平台模块进行检测,即定期发出访问虚拟可信平台模块寄存器的请求,直到返回正确结果,才开始软件初始化。该方法将检测工作推迟到第一个访问虚拟可信平台模块的虚拟域软件的初始化之前,保持了原系统有效利用系统资源的优点。
-
公开(公告)号:CN102355459B
公开(公告)日:2014-04-09
申请号:CN201110296205.5
申请日:2011-09-27
Applicant: 北京交通大学
Abstract: 本发明涉及一种基于TPM的可信Web网页的实现方法,该方法的组件包括客户端、网页服务端和时间服务端,所述的网页服务端包括有网页证据生成器,所述的客户端包括网页证据验证器,所述的时间服务端包括可信时间生成器;其中可信时间生成器负责为网页证据生成器和网页证据验证器提供可信时间;网页证据生成器利用安装在网页服务端的TPM,为Web网页生成包含有可信时间和该网页内容的网页证据;网页证据验证器根据接收到的Web网页、网页证据以及可信时间,来验证该网页的可信性。通过三个组件的协同工作,使得用户在浏览Web网页的同时认证网页的完整性与真实性。
-
公开(公告)号:CN102355459A
公开(公告)日:2012-02-15
申请号:CN201110296205.5
申请日:2011-09-27
Applicant: 北京交通大学
Abstract: 本发明涉及一种基于TPM的可信Web网页的实现方法,该方法的组件包括客户端、网页服务端和时间服务端,所述的网页服务端包括有网页证据生成器,所述的客户端包括网页证据验证器,所述的时间服务端包括可信时间生成器;其中可信时间生成器负责为网页证据生成器和网页证据验证器提供可信时间;网页证据生成器利用安装在网页服务端的TPM,为Web网页生成包含有可信时间和该网页内容的网页证据;网页证据验证器根据接收到的Web网页、网页证据以及可信时间,来验证该网页的可信性。通过三个组件的协同工作,使得用户在浏览Web网页的同时认证网页的完整性与真实性。
-
公开(公告)号:CN101551839B
公开(公告)日:2010-10-27
申请号:CN200910080294.2
申请日:2009-03-17
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种多虚拟域环境下针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括特权域中实现的功能增强的特权域内核心文件、功能增强的虚拟域管理工具、功能增强的vTPM设备程序和特权域代理模块,以及虚拟机监控器中实现内存监控模块。特权域与虚拟机监控器之间额外定义了1个hypercall(T_hypercall),用于特权域向虚拟机监控器传递信息,定义10个虚拟中断(T_vIRQ),用于虚拟机监控器向特权域传递关于某个可信虚拟域的信息,每个虚拟中断对应一个运行的可信虚拟域。本发明的方法通过将虚拟TPM设备标识号与虚拟中断的绑定,解决了现有的针对TPM可信计算的TOCTOU攻击响应方法无法工作在多虚拟域环境的问题。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.019 seconds)
