公开(公告)号：CN108429746A

公开(公告)日：2018-08-21

申请号：CN201810182419.1

申请日：2018-03-06

Applicant: 华中科技大学

Inventor： 代炜琦 ,  金海 ,  夏妍 ,  邹德清

IPC: H04L29/06

Abstract: 本发明涉及一种面向云租户的隐私数据保护方法及系统，其特征在于，所述方法至少包括：分析请求信息的事件句柄信息和/或行为特征信息并确定执行模式，选取无行为特征图的至少一个节点执行所述租户请求并记录执行结果，基于所述执行结果生成行为特征图，和基于所述行为特征图动态检测安全敏感行为。本发明基于行为特征图保证了云服务处理安全敏感数据过程中的数据安全，防止攻击者利用漏洞绕过安全限制实施恶意操作。特别对于无特征图的情况，选择多个节点处理事件句柄，基于行为特征图动态保护隐私数据，对安全敏感行为提供细粒度保护，从而保证数据安全同时维持较小的性能开销。

公开(公告)号：CN104539575A

公开(公告)日：2015-04-22

申请号：CN201410652353.X

申请日：2014-11-17

Applicant: 华中科技大学

Inventor： 金海 ,  邹德清 ,  赵考 ,  代炜琦

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种基于云存储的智能手机隐私保护追溯方法，包括：为移动设备注册云存储服务，连接到云存储服务端，申请云存储服务API的应用密钥，设置用于加密位置信息和时间信息的密码Password，向云存储服务端发送请求，与云存储服务端建立连接，持续监听移动设备的位置信息，基于位置感应的算法进行位置信息收集，判断是否需要进行位置更新，若需要进行位置更新，则根据接收的位置信息和时间信息，使用PBE算法加密位置信息和时间信息，得到密文文本文件，将包含位置信息和时间信息的密文文本文件发送至云存储端对应的目录下。本发明可以摆脱对不可信第三方服务器的依赖，最大限度的保护用户位置隐私信息不被泄露，提高位置追踪效率。

公开(公告)号：CN114866323B

公开(公告)日：2023-09-29

申请号：CN202210490126.6

申请日：2022-04-29

Applicant: 华中科技大学

Inventor： 代炜琦 ,  于亮亮 ,  金海 ,  邹德清

IPC: H04L9/40 ,  H04L9/08 ,  H04L9/32 ,  H04L67/10

Abstract: 本发明涉及一种用户可控的隐私数据授权共享系统及方法，系统至少包括：区块链节点，用于记录验证交易信息和/或完成支付，用户端，用于将对称密钥加密为发送至IPFS节点的重加密密钥，在其向IPFS节点发送的重加密请求验证正确后向服务端发送对称密钥；IPFS节点，用于响应于用户端的重加密请求，向区块链节点调用零知识证明验证合约并进行授权验证；服务端，用于向IPFS节点发送涉及用户授权的第一加密数据，和/或获取由用户端发送的能够解密授权数据的对称密钥。本发明将授权内容的控制权从服务商的手中转移到了用户手中，实现了用户对于授权的掌控。在授权过程中，本发明隐藏了授权数据内容、数据流向和用户行为，使数据的使用不再受到服务商的窥探。

公开(公告)号：CN114866323A

公开(公告)日：2022-08-05

申请号：CN202210490126.6

申请日：2022-04-29

Applicant: 华中科技大学

Inventor： 代炜琦 ,  于亮亮 ,  金海 ,  邹德清

IPC: H04L9/40 ,  H04L9/08 ,  H04L9/32 ,  H04L67/10

Abstract: 本发明涉及一种用户可控的隐私数据授权共享系统及方法，系统至少包括：区块链节点，用于记录验证交易信息和/或完成支付，用户端，用于将对称密钥加密为发送至IPFS节点的重加密密钥，在其向IPFS节点发送的重加密请求验证正确后向服务端发送对称密钥；IPFS节点，用于响应于用户端的重加密请求，向区块链节点调用零知识证明验证合约并进行授权验证；服务端，用于向IPFS节点发送涉及用户授权的第一加密数据，和/或获取由用户端发送的能够解密授权数据的对称密钥。本发明将授权内容的控制权从服务商的手中转移到了用户手中，实现了用户对于授权的掌控。在授权过程中，本发明隐藏了授权数据内容、数据流向和用户行为，使数据的使用不再受到服务商的窥探。

公开(公告)号：CN109670801B

公开(公告)日：2021-02-12

申请号：CN201811502165.3

申请日：2018-12-10

Applicant: 华中科技大学

Inventor： 代炜琦 ,  包庆华 ,  金海 ,  邹德清

IPC: G06Q20/06 ,  G06Q20/38 ,  G06Q20/40

Abstract: 本发明公开了一种针对区块链的数字加密货币转移方法，包括：用户终端向区块链网络发送数字加密货币转移请求，请求包括第一时间戳、一个或多个第一私钥签名以及源交易地址和目的交易地址；第一私钥签名为其他用户终端的私钥签名；区块链网络根据源交易地址读取数字加密货币转移策略，并对数字加密货币转移请求进行验证；数字加密货币转移策略包括一个或多个第一公钥，以及转移条件；第一公钥为其他用户终端的公钥；若验证合法，则将数字加密货币从源交易地址转移至目的交易地址，并记录交易行为，交易结束；否则，交易结束。本发明能够使得用户在私钥丢失的情况下仍可使用数字加密货币，并避免用户将数字资产托管在第三方平台，从而提高安全性。

公开(公告)号：CN108647513B

公开(公告)日：2020-04-28

申请号：CN201810249221.0

申请日：2018-03-22

Applicant: 华中科技大学

Inventor： 代炜琦 ,  金海 ,  邓俊 ,  邹德清

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明提供一种基于TrustZone的共享库安全隔离系统，其特征在于，所述系统至少包括：沙盒环境构建器、库控制器和拦截器。沙盒环境构建器，在普通域中动态构建与Rich OS隔离的沙盒。拦截器，基于进程间堆栈检测的方式拦截相对应的系统调用信息和/或Android framework APIs。库控制器，基于拦截的所述系统调用信息和/或Android framework APIs进行分析，对所述沙盒中库函数的调用状态进行切换并设置库权限。本发明的通用性好，系统性能开销低，安全性高，在尽可能的不增加TrustZone中Secure World可信基的前提下，实现库的隔离，有效的降低被攻击的风险。

公开(公告)号：CN107194247B

公开(公告)日：2020-02-21

申请号：CN201710287868.8

申请日：2017-04-27

Applicant: 华中科技大学

Inventor： 金海 ,  代炜琦 ,  杜玉堃 ,  邹德清

IPC: G06F21/53

Abstract: 本发明公开了一种针对虚拟机回滚的软件补偿方法及系统，属于虚拟化安全技术领域。本发明方法首先由目标软件源码生成代码信息，代码信息包括控制流信息，数据依赖信息以及抽象语法信息，再在线下预处理阶段采用代码分析技术抽取软件回滚敏感变量和控制流路径并生成回滚敏感状态表和回滚敏感控制流表，在软件运行时从域外虚拟机对目标软件中的回滚敏感状态进行监控记录，在监控到虚拟机回滚事件时从域外虚拟机对目标软件中回滚敏感状态进行补偿。本发明还实现了一种针对虚拟机回滚的软件补偿系统。本发明技术方案不需要对目标软件做特殊的改动，可从目标软件所在虚拟机外进行实时回滚保护。

公开(公告)号：CN107102888B

公开(公告)日：2019-11-22

申请号：CN201710273274.1

申请日：2017-04-25

Applicant: 华中科技大学

Inventor： 金海 ,  代炜琦 ,  曹涌 ,  邹德清

IPC: G06F9/455 ,  G06F9/46 ,  G06F21/52 ,  G06F21/56

Abstract: 本发明公开了一种基于硬件虚拟化技术的共享库隔离保护方法，包括：提出了一种新型的应用程序地址空间模型，能够更加准确和清晰的描绘应用程序与共享库之间的内存映射关系；根据地址空间模型提出了一种基于硬件虚拟化技术的隔离机制，能够高效的将共享库放置到另外一个隔离的地址空间中；提出了一种隔离地址空间交互控制机制，在共享库与其他的模块进行正常交互时切换地址空间，同时对共享库运行时出现的恶意代码执行以及数据存取行为进行检测。相应的，本发明还实现了对应的系统。本发明适用于对一系列标准以及商用共享库进行安全隔离保护，能够避免应用程序漏洞对共享库造成的安全威胁。

公开(公告)号：CN107104963A

公开(公告)日：2017-08-29

申请号：CN201710273734.0

申请日：2017-04-25

Applicant: 华中科技大学

Inventor： 金海 ,  代炜琦 ,  万鹏飞 ,  邹德清

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/24

CPC classification number: H04L63/10 ,  H04L41/28 ,  H04L63/123 ,  H04L63/1466 ,  H04L67/10 ,  H04L67/1095

Abstract: 本发明公开了一种面向云环境多租户网络的可信控制器架构，包括：提出了一种租户网络抽象的安全规范说明，它指明了在多租户环境下租户网络应该满足安全需求；根据安全规范说明提出了一个通用的SDN租户网络控制器架构，能够提高多租户网络管理的安全性；提出一个新的网络管理权限模型，隔离云管理员的网络权限，防止云管理员滥用权限攻击租户网络，同时赋予TN管理员必要的网络权限用于租户网络自主管理；在本发明中，控制器可以利用安全设备实时监控网络状态被恶意攻击或篡改，同时TN管理员和云管理员可向控制器验证网络是否处于一个安全状态。本发明适用于多租户云网络，能够防止恶意的云管理员危害租户网络安全和隐私。

公开(公告)号：CN102521547A

公开(公告)日：2012-06-27

申请号：CN201110423115.8

申请日：2011-12-16

Applicant: 华中科技大学

Inventor： 金海 ,  邹德清 ,  杨凯 ,  段培 ,  胡刚 ,  项国富 ,  陈刚 ,  代炜琦

IPC: G06F21/20 ,  G06F9/455

Abstract: 本发明公开了一种虚拟域内访问控制系统的保护系统，包括策略执行模块、策略决策缓存模块、策略服务器模块和内存保护模块，策略执行模块用于拦截低级语义，将拦截的低级语义转换为高级语义，将高级语义传送到策略决策缓存模块，并从策略决策缓存模块获取策略决策结果，策略决策缓存模块用于从策略执行模块接收高级语义，将高级语义传送到策略服务器模块，策略决策缓存模块从策略服务器模块获取策略决策结果，将策略决策结果传送到策略执行模块，并对策略决策结果进行缓存，策略服务器模块用于根据高级语义查找其安全策略库，以生成策略决策结果。本发明能够保护虚拟域内访问控制系统，使其免于遭遇攻击，提高虚拟域内访问控制系统的安全性。