公开(公告)号：CN102137103A

公开(公告)日：2011-07-27

申请号：CN201110056214.7

申请日：2011-03-09

Applicant: 北京交通大学

Inventor： 常晓林 ,  秦英 ,  韩臻 ,  刘吉强

IPC: H04L29/06 ,  H04M7/00

Abstract: 本发明提供了一种通过扩展MIKEY协议实现VoIP媒体流可信传输的方法。本方法要求通信双方都配有可信安全芯片，并且安装了度量模块，能够对各自平台状态进行度量。本方法通过利用MIKEY密钥交换协议已有的数据结构传递通信双方的平台状态信息，来实现VoIP媒体流的可信传输。本方法不但实现了将可信计算的远程证明技术紧密地融入到MIKEY密钥交换协议，从而确保平台状态信息和安全信道的真实连接，而且它对标准MIKEY协议作了最少的修改并且没有增加额外的往返时间。同时，实施了本方法的系统还具有部分功能向后兼容性。

公开(公告)号：CN101493875B

公开(公告)日：2011-04-20

申请号：CN200910078904.5

申请日：2009-02-27

Applicant: 北京交通大学 ,  深圳市惠尔顿信息技术有限公司

Inventor： 刘吉强 ,  韩磊 ,  韩臻 ,  陈雪志

IPC: G06F21/00 ,  G06F12/14

Abstract: 具有丢失注销功能的USB接口硬件存储装置及实现方法，涉及计算机安全领域，解决了目前USBKey丢失后的非授权访问和存在的安全隐患问题。USB接口硬件存储装置，包括USB接口电路、电源电路、注销电路装置、加密CPU、加密CPU外围电路和闪存电路。硬件上设计了注销电路，可以实现物理上的注销；软件上将存储区域划分为：虚拟光盘驱、隐藏区、存储区，将客户端软件存储于虚拟光盘驱中防止篡改，将USBKey-B盘对USBKey-A盘的注销权限通过上层软件写入USBKey CPU内部，保证权限的可执行性。同时实现了Windows开机认证。

公开(公告)号：CN101599115B

公开(公告)日：2011-02-16

申请号：CN200910088133.8

申请日：2009-07-03

Applicant: 北京交通大学

Inventor： 常晓林 ,  韩臻 ,  刘吉强 ,  邢彬

IPC: G06F21/00 ,  G06F9/455

Abstract: 本发明涉及一种响应TOCTOU攻击的轻量级方法，该方法在保证安全前提下充分考虑系统性能。方法中，特权域与虚拟机监控器之间额外定义了1个hypercall和数个虚拟中断(vIRQ)，用于虚拟机监控器与特权域之间传递与本发明相关的信息。响应方法的组件包括在特权域的虚拟可信设备(vTPM)后端驱动中实现的四个模快和在虚拟机监控器中实现的攻击管理模块。实施了本发明提供的响应方法的系统比实施其他响应方法能抗击更多情形下的TOCTOU攻击；而且该响应方法实用性强，在没有收到攻击信号的情况下，系统不因为实施了该发明提供的响应方法而发生性能降低；此外该方法对原有系统修改少，可扩展性强；适用于多个可信客户虚拟域并行的环境。

公开(公告)号：CN101950333A

公开(公告)日：2011-01-19

申请号：CN201010246036.X

申请日：2010-08-05

Applicant: 北京交通大学

Inventor： 常晓林 ,  邢彬 ,  左向晖 ,  韩臻 ,  刘吉强 ,  窦招辉

IPC: G06F21/00

Abstract: 本发明涉及一种响应Xen客户硬件虚拟域可信计算TOCTOU攻击的方法，该方法在有效防范攻击的前提下充分考虑系统性能。方法中，Xen特权域与虚拟机监控器之间定义了1个超级调用和10个虚拟中断，用于虚拟机监控器与特权域之间传递与本发明相关的信息；响应方法的组件包括在特权域可信仿真设备模块中实现的转发模块和攻击信号处理模块、在特权域内核空间实现的转发模块以及在虚拟机监控器中实现的攻击管理模块。实施了本发明的系统能有效地响应硬件虚拟域的可信计算TOCTOU攻击；而且本发明的响应方法实用性强，在没有收到攻击信号的情况下，该响应方法对系统性能影响非常小；此外该方法对原有系统修改少，可扩展性强，适用于多个可信客户硬件虚拟域并行工作环境。

公开(公告)号：CN101488173B

公开(公告)日：2010-10-27

申请号：CN200910076392.9

申请日：2009-01-15

Applicant: 北京交通大学

Inventor： 刘吉强 ,  韩臻 ,  常晓林 ,  邢彬 ,  刘博 ,  何帆

IPC: G06F21/00 ,  G06F9/445 ,  G06F9/455

Abstract: 本发明涉及支持零宕机的可信虚拟域启动文件完整性度量的方法。本方法通过修改特权域的虚拟域管理工具和虚拟域引导管理器，实现可信虚拟域系统启动文件在被加载时才进行完整性度量，克服了计算机启动时就对这些文件进行完整性度量所带来的安全和可扩展问题，增强了系统的灵活性，允许在计算机运行过程中动态地进行可信虚拟域部署，包括虚拟域内核系统的重新定制或升级，实现了可信虚拟域的启动不会间断同一硬件平台上的其它虚拟域的数据业务。可度量的启动文件包括了虚拟域配置文件、虚拟域引导配置文件以及该文件指定的需要度量的文件。本方法可以与虚拟环境下的其他可信计算技术协同工作来建立完整的虚拟域启动可信链。

公开(公告)号：CN101488176B

公开(公告)日：2010-06-02

申请号：CN200910078201.2

申请日：2009-02-20

Applicant: 北京交通大学

Inventor： 常晓林 ,  刘吉强 ,  韩臻 ,  刘博 ,  何帆 ,  邢彬

IPC: G06F21/00

Abstract: 本发明涉及一种针对TPM可信计算的TOCTOU攻击响应方法，方法组件包括功能增强的虚拟TPM设备程序和特权域代理模块。和现有的方法一样采用了更新PCR寄存器信息的方式，但是更新事件的产生和执行方式不同，确保了下面两种情况的TPM指令都能正确地反映客户虚拟域平台当前状态：1在监测到TOCTOU攻击时TPM指令处理结果还没有被送出虚拟TPM设备程序的TPM指令，2在监测到TOCTOU攻击时还没有被虚拟TPM设备程序接收的TPM指令。本发明在考虑安全的同时充分考虑了系统性能，通过采用事件驱动、避免额外的用户空间进程调度措施来确保了系统资源有效利用率和可扩展性。

公开(公告)号：CN101493875A

公开(公告)日：2009-07-29

申请号：CN200910078904.5

申请日：2009-02-27

Applicant: 北京交通大学 ,  深圳市惠尔顿信息技术有限公司

Inventor： 刘吉强 ,  韩磊 ,  韩臻 ,  陈雪志

IPC: G06F21/00 ,  G06F12/14

Abstract: 具有丢失注销功能的USB接口硬件存储装置及实现方法，涉及计算机安全领域，解决了目前USB Key丢失后的非授权访问和存在的安全隐患问题。USB接口硬件存储装置，包括USB接口电路、电源电路、注销电路装置、加密CPU、加密CPU外围电路和闪存电路。硬件上设计了注销电路，可以实现物理上的注销；软件上将存储区域划分为：虚拟光盘驱、隐藏区、存储区，将客户端软件存储于虚拟光盘驱中防止篡改，将USB Key－B盘对USB Key－A盘的注销权限通过上层软件写入USB Key CPU内部，保证权限的可执行性。同时实现了Windows开机认证。

公开(公告)号：CN101436208A

公开(公告)日：2009-05-20

申请号：CN200810239416.3

申请日：2008-12-09

Applicant: 北京交通大学

Inventor： 刘吉强 ,  杨光 ,  韩臻

IPC: G06F17/30

Abstract: 本发明在不改变数据库管理系统内部运行机制的前提下，利用结构化的附加数据结构实现密文数据库表单查询，它包括含有索引查询结构的密文数据生成方法、以及全密文查询处理过程。数据库服务器首先判断用户持有的一定等级的密钥可检索的信息范围，之后在这个信息范围中进行快速信息检索，从而保护了数据库中信息的隐私性。

公开(公告)号：CN101197856A

公开(公告)日：2008-06-11

申请号：CN200710304313.6

申请日：2007-12-27

Applicant: 北京交通大学

Inventor： 杨武杰 ,  刘吉强 ,  熊鹰 ,  韩臻 ,  陈雪志

IPC: H04L29/12 ,  H04L12/46

Abstract: 本发明公开了属于计算机网络技术领域的一种VPN网络间IP地址空间免规划及私有域名访问的方法。本发明的方法用一个中心服务器来统一调配各个VPN独立网络间的IP地址空间，在此基础上使用域名解析系统实现网络间私有域名的访问。本发明广泛应用于VPN系统等点到点互联系统。在保留VPN各独立网络间原有配置的基础上，用很低的代价加入和移除一个独立的网络；通过一个中心管理系统来管理和配置互联的各个网络的网关信息和网络构架信息，提高了管理效率，简化了配置步骤；通过私有域名访问的方式，让各个网络间共享资源的访问符合平常的访问习惯，使操作简单化。