-
公开(公告)号:CN110968361B
公开(公告)日:2021-11-23
申请号:CN201911065973.2
申请日:2019-11-04
Applicant: 上海交通大学
Abstract: 本发明提供了一种隔离沙箱加载方法,基于多线程沙箱安全内存复用技术,包括如下步骤:步骤1、开发人员完成在隔离沙箱中运行的程序代码开发;步骤2、运行一个模板沙箱,运行开发人员开发和配置好的程序,等待用户发送程序运行请求;步骤3、用户发送函数调用请求,模板沙箱收到请求后通过内存复用,产生一个用于执行用户请求的实例沙箱;步骤4、实例沙箱对模板沙箱运行过程中执行系统调用造成的系统状态改变进行再处理,保证沙箱执行的正确性和安全性;步骤5、实例沙箱继续执行程序,直至执行完毕,将请求结果返回给用户或发送给用户指定的第三方,实例沙箱销毁。
-
公开(公告)号:CN113609492A
公开(公告)日:2021-11-05
申请号:CN202110896784.0
申请日:2021-08-05
Applicant: 上海交通大学
IPC: G06F21/57 , G06F21/60 , G06F16/242
Abstract: 本发明提供了一种面向TEE加密数据库接口攻击的防御方法及系统,在客户端和云端加密数据库之间建立安全代理对用户查询进行解析,将计算操作与比较操作拆分,计算操作由安全代理的计算程序执行,比较操作发送给云端加密数据库执行。本发明与现有的主流加密数据库对比,将计算与比较分离,不暴露计算接口,能抵御接口滥用攻击,安全性极大提升;可以提供丰富的SQL计算语义而不必担心信息泄漏,相比其他系统具有更丰富的功能性;具有低侵入性,不用修改原生数据库,具有良好的兼容性;避免了数据频繁地进出,能保证在多种负载(例如事务型或分析型)下的运行性能极大提升;设计不局限于某种特定的可信执行环境和硬件平台,具有通用性。
-
公开(公告)号:CN110134545A
公开(公告)日:2019-08-16
申请号:CN201910267393.5
申请日:2019-04-03
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于可信执行环境的提供虚拟NVRAM的方法,包括:内存区域建立步骤:在可信执行环境中划分预设大小的内存区域作为虚拟NVRAM的内存区域;读写操作步骤:虚拟NVRAM等待读写请求,在接收到读写请求时,执行相应的读写操作;关机备份步骤:设备关机时,在可信执行环境关闭前,将可信执行环境内划分的虚拟NVRAM中的数据备份入磁盘;开机读取步骤:设备开机时,先启动可信执行环境,将磁盘内备份的数据读取到虚拟NVRAM中,启动虚拟NVRAM。本发明具有不修改现有移动设备硬件,断电时不丢失数据,移动设备操作系统崩溃或发生错误时虚拟NVRAM中数据也不会丢失的优点,可提高移动设备的性能。
-
公开(公告)号:CN105912277A
公开(公告)日:2016-08-31
申请号:CN201610283714.7
申请日:2016-04-29
Applicant: 上海交通大学
IPC: G06F3/06
CPC classification number: G06F3/061 , G06F3/0667
Abstract: 本发明提供了一种在虚拟机镜像中实现文件系统单写日志的方法,包括步骤1:当虚拟机内部文件系统做检查点时,拦截检查点对应的I/O操作,并逆向成文件粒度语义;步骤2:判断I/O操作是否为针对虚拟机内部日志的拷贝操作并执行相应操作;步骤3:将虚拟块地址到物理地址映射表的修改先记录到同一个物理块上,当映射表的修改全部保存到同一个物理块上后,将物理块上的修改作用到实际映射表上。本发明在不修改客户虚拟机和文件系统的情况下,动态识别虚拟机内部日志操作,并通过修改虚拟机镜像中虚拟块地址和物理地址映射关系的方法,实现了文件系统单写日志机制,在保证虚拟机内部文件系统一致性的情况下,提升了虚拟化I/O性能。
-
公开(公告)号:CN105138284A
公开(公告)日:2015-12-09
申请号:CN201510490054.5
申请日:2015-08-11
Applicant: 上海交通大学
Abstract: 本发明提供了一种虚拟机磁盘镜像同步操作优化的系统,包括:虚拟机镜像内部日志模块、元数据日志模式和全数据日志模式动态切换模块、虚拟机镜像空间动态预分配模块;虚拟机镜像内部日志模块用于将虚拟机镜像的元数据修改和数据修改放在同一个日志事务中,减少同步操作;元数据日志模式和全数据日志模式动态切换模块用于减少磁盘带宽的消耗同时保证数据的完整性;虚拟机镜像空间动态预分配模块用于为镜像分配适量大于当前所需的预存空间,供下次镜像需要增长时使用,减少虚拟机镜像实际增长的次数。本发明还提供了应用上述系统的方法,解决了为保证虚拟机镜像一致性而引入大量额外同步操作的问题,极大的提高了虚拟化I/O的性能。
-
Patent Agency Ranking
公开(公告)号:CN119720297A
公开(公告)日:2025-03-28
申请号:CN202411800631.1
申请日:2024-12-09
Applicant: 上海交通大学
Abstract: 本发明提供了一种软硬协同的操作系统隔离性增强方法和系统,包括:驱动安全加载流程、内存隔离配置流程、指令集隔离配置流程与隔离域切换流程;进入驱动安全加载流程之后,进入指令集隔离配置流程;进入指令集隔离配置流程后,进入内存隔离配置流程;进入内存隔离配置流程后,进入隔离域切换流程,结束。本发明高效减少了跨域调用的高昂成本,具体而言,单次跨域调用成本为175cpu cycles,相较于现有使用虚拟化方法实现的隔离方案,即LVD,降低了221cpu cycles,隔离成本降低55.8%。
-
公开(公告)号:CN113609494B
公开(公告)日:2024-08-06
申请号:CN202110913971.5
申请日:2021-08-10
Applicant: 上海交通大学
Abstract: 本发明提供了一种适用于高性能场景下可信计算的软硬件系统及架构方法,包括硬件部分和软件开发部分,硬件部分包括主机和设备,主机包括基于RISC‑V架构的中央处理器,设备包括控制核、计算核以及使用控制核和计算核的架构,控制核负责双向的数据传输,配置计算核运行模式和分配计算任务;设备硬件向主机提供安全配置、指令队列和发送通知;软件开发部分包括使用C语言构建的主机应用、飞地进程和设备驱动,利用中央处理器的硬件特性将主机应用运行在飞地进程上,飞地进程通过设备驱动向设备请求服务。本发明在兼顾安全性的前提下,保证系统整体的吞吐,在飞地进程使用设备的同时,也允许运行在普通环境中的进程调用设备服务。
-
公开(公告)号:CN117521167A
公开(公告)日:2024-02-06
申请号:CN202311527819.9
申请日:2023-11-15
Applicant: 上海交通大学
Abstract: 本发明提供了一种高性能异构安全内存,包括:HSMEM传输引擎、多模式保护引擎和接口;HSMEM传输引擎建立一个HSMEM传输通道,实现CPU和GPU之间的高速传输,HSMEM传输通道位于芯片内部,并控制用于安全内存的DMA请求;多模式保护引擎支持的每种内存保护方案被称为一个模式,一个内存块通过不同的模式进行保护,包括模式选择模块,用于为内存块选择模式,数据加密模块,用于数据加密和解密,完整性树模块,用于维护不同模式的完整性树;通过接口,开发人员使用预设指令明确更改内存块的模式。本发明在异构的安全内存之间实现高性能的数据传输,用在CPU‑GPU传输的时间更少,使得应用整体的性能更高。
-
公开(公告)号:CN115756742A
公开(公告)日:2023-03-07
申请号:CN202211455079.8
申请日:2022-11-21
Applicant: 上海交通大学
IPC: G06F9/455 , G06F12/0882 , G06F12/0893 , G06F13/28
Abstract: 本发明提供了一种直通I/O虚拟化的性能优化设计方法、系统、介质及设备,包括:I/O页表配置步骤;DMA缓冲区检测步骤;DMA缓冲区动态迁移步骤。本发明关注到了现有技术并未关注到的性能开销,并且设计方案很好地解决了这部分开销;本发明的设计方案围绕I/O设备进行解决方案设计,相较于以往工作围绕CPU设计方案,更加符合当前硬件发展趋势;本发明的设计方案对于客户机虚拟机无感,客户虚拟机可以不需要修改源码,而可以享受到本发明涉及方案带来的性能提升。
-
公开(公告)号:CN115378677A
公开(公告)日:2022-11-22
申请号:CN202210982483.4
申请日:2022-08-16
Applicant: 上海交通大学
IPC: H04L9/40 , H04L9/32 , H04L67/1095
Abstract: 本发明提供了一种适用于用户端的个人数据收集方法、系统及其使用方法、系统,包括:步骤S1:采用可信执行环境和密码学技术构建安全可靠的个人数据盒;步骤S2:将用户端各类个人信息数据同步至个人数据盒中;步骤S3:第三方应用程序通过个人数据盒在访问控制约束下使用使用个人信息数据。
-
-
-
-
-
-
-
-
-
Search Results
89
records
(took 0.025 seconds)
