-
公开(公告)号:CN102223635A
公开(公告)日:2011-10-19
申请号:CN201110190132.1
申请日:2011-07-07
Applicant: 北京交通大学
Abstract: 本发明涉及一种基于802.1x认证协议的WLAN可信传输的实现方法,该方法包括:当客户端和认证服务器端完成认证消息交互过程并分别计算出主会话密钥后,认证服务器端封装一个Request类型的EAP数据包,发送给认证者,其中Type字段的值为TPM,表示认证服务器端要对客户端进行远程证明,TypeData字段的值为所要验证的平台状态信息的类型。然后认证者将该Request包转发给客户端。客户端接收到该包后,根据Type字段的值和客户端的主会话密钥和客户端的平台信息生成客户端平台验证信息,并发送给认证者;再由认证者转发给认证服务器端。认证服务器端收到客户端平台验证信息后,根据认证服务器端的主会话密钥对客户端平台验证信息进行验证,验证通过后向客户端发送Success类型的EAP数据包。
-
公开(公告)号:CN101197856B
公开(公告)日:2011-04-20
申请号:CN200710304313.6
申请日:2007-12-27
Applicant: 北京交通大学
Abstract: 本发明公开了属于计算机网络技术领域的一种VPN网络间IP地址空间免规划及私有域名访问的方法。本发明的方法用一个中心服务器来统一调配各个VPN独立网络间的IP地址空间,在此基础上使用域名解析系统实现网络间私有域名的访问。本发明广泛应用于VPN系统等点到点互联系统。在保留VPN各独立网络间原有配置的基础上,用很低的代价加入和移除一个独立的网络;通过一个中心管理系统来管理和配置互联的各个网络的网关信息和网络构架信息,提高了管理效率,简化了配置步骤;通过私有域名访问的方式,让各个网络间共享资源的访问符合平常的访问习惯,使操作简单化。
-
公开(公告)号:CN101789939A
公开(公告)日:2010-07-28
申请号:CN201010100818.2
申请日:2010-01-25
Applicant: 北京交通大学
Abstract: 本发明涉及一种有效的可信OpenSSH的实现方法,方法的组件包括功能增强的参数协商模块和功能增强的会话密钥交换模块,方法的具体步骤如下:步骤1,对身份认证算法协商串的形成过程进行修改,步骤2,对选择身份认证算法的过程进行修改,步骤3,在可信客户端增加两个变量,分别用客户类型和服务器类型表示,步骤4,在可信服务器端增加两个变量,分别用客户类型和服务器类型表示,步骤5,对可信客户端会话密钥交换处理模块进行修改,步骤6,对可信服务器端密钥交换处理模块进行修改。本发明在实现可信信道的同时充分考虑系统性能、可扩展性和功能向后兼容性。
-
公开(公告)号:CN101719203A
公开(公告)日:2010-06-02
申请号:CN200910241783.1
申请日:2009-12-07
Applicant: 北京交通大学
Abstract: 本发明公开了属于信息安全可信计算技术领域的EFI下可信链建立的一种方法。通过操作系统下的初始化模块对安全U盘进行初始化,设置启动过程中需要验证的各模块的完整性校验信息。利用EFI启动U盘对机器进行启动,利用安全U盘对启动过程中的各模块进行可信验证,建立可信链,为后续操作系统的可信启动奠定基础。本发明在操作系统启动前的引导过程中对所调度的关键文件进行完整性校验,增强了系统的可信性,使用安全U盘作为可信根,增强了系统的实用性和便利性,更符合用户的使用习惯。
-
公开(公告)号:CN101645127A
公开(公告)日:2010-02-10
申请号:CN200910086668.1
申请日:2009-06-17
Applicant: 北京交通大学
Abstract: 本发明公开了属于信息安全认证系统范围的一种建立基于EFI的可信引导系统的方法。通过Linux操作系统下的初始化模块对安全U盘进行初始化,设置需要验证的操作系统内核模块的完整性校验信息。对系统固件支持EFI的机器进行启动,将ELilo以及操作系统内核模块和相关的initrd模块存放在EFI启动U盘上,使用EFI Shell命令装载EFI下的安全U盘驱动程序;利用安全U盘对启动用户进行认证并对操作系统内核进行可信验证。在Linux系统启动前对启动用户进行认证并对关键的配置文件以及操作系统内核文件进行校验,确保启动的Linux操作系统是一个干净、可信的操作系统。
-
Patent Agency Ranking
公开(公告)号:CN101599115A
公开(公告)日:2009-12-09
申请号:CN200910088133.8
申请日:2009-07-03
Applicant: 北京交通大学
Abstract: 本发明涉及一种响应TOCTOU攻击的轻量级方法,该方法在保证安全前提下充分考虑系统性能。方法中,特权域与虚拟机监控器之间额外定义了1个hypercall和数个虚拟中断(vIRQ),用于虚拟机监控器与特权域之间传递与本发明相关的信息。响应方法的组件包括在特权域的虚拟可信设备(vTPM)后端驱动中实现的四个模快和在虚拟机监控器中实现的攻击管理模块。实施了本发明提供的响应方法的系统比实施其他响应方法能抗击更多情形下的TOCTOU攻击;而且该响应方法实用性强,在没有收到攻击信号的情况下,系统不因为实施了该发明提供的响应方法而发生性能降低;此外该方法对原有系统修改少,可扩展性强;适用于多个可信客户虚拟域并行的环境。
-
公开(公告)号:CN101582765A
公开(公告)日:2009-11-18
申请号:CN200910087555.3
申请日:2009-06-29
Applicant: 北京交通大学
Abstract: 本发明涉及一种绑定用户的便携式可信移动装置(PTPM),属于信息安全保护领域。现有技术中,可信终端与可信平台模块(TPM)是1:1对应关系,与用户是1:N对应关系,即可信终端、TPM和用户的关系是1:1:N,无法方便安全地实现一个用户在安全域中对多个终端中TPM的使用。本发明所述的PTPM在其独立的运行环境中具有安全计算能力,具有密钥管理能力,具有签名及身份认证能力,具有专用密码算法下载执行及高速率数据加解密能力,具有高低电压、频率检测的安全防护能力。采用本发明的方法,可以在现有条件下实现用户绑定PTPM并能够实现单用户在安全域中对不同可信终端安全、简单使用。
-
公开(公告)号:CN100521772C
公开(公告)日:2009-07-29
申请号:CN200710118640.2
申请日:2007-07-11
Applicant: 北京交通大学
Abstract: 一种限制用户同时收看频道数目的方法,属于电视广播接收技术领域。本发明的技术方案是通过增加密钥层次,采用哈希函数生成控制字,提高控制字更新频率,并且限制控制字更新周期内用户卡发送的控制字数目等手段来限制用户同时收看频道数目。本发明的效果和优点是一个用户只需要一个机顶盒就可以供该用户的所有电视机收看节目,同时,有限电视运营商可以根据用户的电视机数目和定购的节目数目收取相关费用。这就一方面减少了用户在机顶盒方面的投入,另一方面保证了运营商的收益。其安全性仅仅取决于用户卡,而与机顶盒或者电视机终端无关。
-
公开(公告)号:CN101488176A
公开(公告)日:2009-07-22
申请号:CN200910078201.2
申请日:2009-02-20
Applicant: 北京交通大学
IPC: G06F21/00
Abstract: 本发明涉及一种针对TPM可信计算的TOCTOU攻击响应方法,方法组件包括功能增强的虚拟TPM设备程序和特权域代理模块。和现有的方法一样采用了更新PCR寄存器信息的方式,但是更新事件的产生和执行方式不同,确保了下面两种情况的TPM指令都能正确地反映客户虚拟域平台当前状态:1在监测到TOCTOU攻击时TPM指令处理结果还没有被送出虚拟TPM设备程序的TPM指令,2在监测到TOCTOU攻击时还没有被虚拟TPM设备程序接收的TPM指令。本发明在考虑安全的同时充分考虑了系统性能,通过采用事件驱动、避免额外的用户空间进程调度措施来确保了系统资源有效利用率和可扩展性。
-
公开(公告)号:CN101488174A
公开(公告)日:2009-07-22
申请号:CN200910076393.3
申请日:2009-01-15
Applicant: 北京交通大学
Abstract: 本发明在Xen虚拟机环境下提供了一种让基于TPM 1.2规范的可信应用软件可以在虚拟域无缝运行的方法,方法的组件包括在特权域中实现的虚拟TPM(vTPM)设备、vTPM设备管理工具、vTPM后端驱动、支持vTPM的虚拟域管理工具以及在虚拟域中实现的vTPM前端驱动。本发明在特权域为每个运行的虚拟域提供了一个独立的具有物理TPM所有的功能的vTPM设备,vTPM设备可以动态被创建和撤消;本发明通过各组件高效有机的配合,实现了可信数据流的复用和分用,保证了vTPM设备与相应虚拟域之间的通信,实现了虚拟域基于各自独立的TPM的可信计算。
-
-
-
-
-
-
-
-
-
Search Results
69
records
(took 0.025 seconds)
