-
公开(公告)号:CN113703924B
公开(公告)日:2024-07-26
申请号:CN202111109365.4
申请日:2021-09-22
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于可信执行环境的安全虚拟机系统设计方法及系统,包括:将可信虚拟机监控器划分为普通世界虚拟机监控器和安全世界虚拟机监控器:所述普通世界虚拟机监控器负责基础的虚拟机调度、内存管理、设备管理等管理功能;在普通世界虚拟机监控器完成配置时进入可信虚拟机,并触发跨世界切换;所述安全世界虚拟机监控器负责安全性检查,协同保障可信虚拟机的可用性和安全性;安全世界虚拟机监控器使用半虚拟化等方法给可信虚拟机提供I/O功能;普通世界虚拟机监控器和安全世界虚拟机监控器协同动态管理物理内存资源。本发明充分利用了ARM现有的TrustZone硬件特性,对虚拟机透明,这意味着对底层硬件和上层虚拟机都不需要修改,体现了本设计方案的可用性。
-
公开(公告)号:CN113971070B
公开(公告)日:2024-05-28
申请号:CN202111264923.4
申请日:2021-10-28
Applicant: 上海交通大学
Abstract: 本发明提供了一种适用于多虚拟机同屏显示的方法及系统,包括如下步骤:将dma区域同时映射给service VM与user VM;user VM申请framebuffer;user VM内部的图形应用对framebuffer的数据进行修改;user VM将framebuffer数据修改提交到service VM;service VM获取framebuffer数据修改提交;在service VM内插入对所提交user VM显示的缩放指令;在service VM内,将显示进行合成输出到屏幕。本发明具有不依赖于具体GPU硬件、提高了传统前后端分离设备驱动模型方法的性能、显示具有灵活性的优点。
-
公开(公告)号:CN117828625A
公开(公告)日:2024-04-05
申请号:CN202311369319.7
申请日:2023-10-20
Applicant: 上海交通大学
Abstract: 本发明提供了一种移动终端操作系统的多模态数据机密智能计算方法及系统,包括步骤S1:获取移动终端内操作系统的用户数据;步骤S2:在TEE硬件安全环境中部署基于端侧大模型的智能计算系统;所述智能计算系统处理用户提问,包括存储多模态数据的向量数据库;步骤S3:根据当前移动终端运行上下文的状态动态调节获取数据的频率;步骤S4:使用TEE进行设备间的安全认证,并构建分布式安全存储系统。本发明能够根据当前系统运行状态动态调整数据提取的频率,从而对数据进行筛选去重,且支持运行在TEE中的向量数据库把部分历史数据存储到其他个人设备的TEE存储中,以降低存储负担,保护了个人数据的存算安全。
-
公开(公告)号:CN117150527A
公开(公告)日:2023-12-01
申请号:CN202311161405.9
申请日:2023-09-08
Applicant: 上海交通大学
Abstract: 本发明提供了一种加密数据库密态算子安全运维方法及系统,涉及加密数据库的安全运维技术领域,包括:在数据库运行时记录数据库引擎对密态算子的密态算子请求日志;在算子运行故障,需要对算子进行运维调试时,通过生成一组与原输入等价的、可复现运行故障的明文输入交由运维人员进行调试,同时保证生成明文结果满足用户定义的脱敏规则。本发明能够解决加密数据库中密态算子无法运维的问题,同时利用脱敏规则保证用户的隐私安全,并且通过日志批处理的方法,具有良好的处理速度。
-
公开(公告)号:CN113965328B
公开(公告)日:2023-05-26
申请号:CN202111228125.6
申请日:2021-10-21
Applicant: 上海交通大学
IPC: H04L9/32 , H04L9/08 , H04L9/00 , H04W4/40 , H04W4/80 , H04W12/0471 , H04W12/069 , H04W12/121
Abstract: 本发明提供了一种可信执行环境的数字钥匙离线情况的权限转移方法及系统,包括:步骤S1:在车端产线阶段导入云端根密钥以及车辆识别码,将车辆识别码与SE ID进行绑定,并给SE灌入根证书,生成车端根密钥;步骤S2:基于车端根密钥产生车端数字钥匙密钥并导出车端数字钥匙密钥;步骤S3:生成手机端数字钥匙密钥,将生成的手机端数字钥匙密钥与车端数字钥匙密钥进行认证;步骤S4:通过可信执行环境和可信时钟技术特征,基于生成的车端根密钥以及车端数字钥匙实现离线情况下数字钥匙的权限转移。
-
Patent Agency Ranking
公开(公告)号:CN116127445A
公开(公告)日:2023-05-16
申请号:CN202310011710.3
申请日:2023-01-05
Applicant: 上海交通大学
IPC: G06F21/53
Abstract: 本发明提供了一种基于内核态内存隔离硬件特性的eBPF内存隔离方法及系统,所述方法包括如下步骤:步骤S1:调用辅助函数;步骤S2:跳板函数检查辅助函数调用的参数是否合法;如果没有通过检查,则会进行错误处理,并结束整个eBPF程序的执行;如果通过检查,则进入步骤S3;步骤S3:更新PKRS临时退出沙箱;步骤S4:将影子对象同步回内核对象;步骤S5:调用真实辅助函数;步骤S6:将内核对象同步回影子对象;步骤S7:更新PKRS的值重新进入沙箱;步骤S8:结束调用辅助函数。本发明提出的PKS隔离沙箱减少了eBPF检查器的代码量,可以在运行过程中拦截恶意的eBPF程序访存,解决了“假阴性”问题。
-
公开(公告)号:CN115344871A
公开(公告)日:2022-11-15
申请号:CN202210988426.7
申请日:2022-08-17
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于ARM架构的机密计算环境构建方法和系统,包括:步骤1:基于Normal World中的EL2虚拟机监控器,构建物理资源隔离域;步骤2:在机密计算域启动阶段,通过EL2虚拟机监控器对机密计算域加载的安全镜像进行基于哈希算法的完整性度量,并使用TrustZone内的安全私钥对度量生成的哈希进行签名,提供给远端用户可信的远程证明凭证;步骤3:在机密计算域运行阶段,通过EL2虚拟机监控器对机密计算域的内存进行透明加解密,机密计算域用户动态配置加密内存的百分比。本发明采用成熟的硬件虚拟化方案实现不同域的物理资源隔离,安全隔离性强、性能影响小,同时部署方便、成本低廉。
-
公开(公告)号:CN115098233A
公开(公告)日:2022-09-23
申请号:CN202210724191.0
申请日:2022-06-24
Applicant: 上海交通大学
Abstract: 本发明提供一种缓存分区感知的调度方法及系统,包括:在系统中分配一个全局映射数据结构,记录各个缓存分区中的相关任务数量;应用程序在启动时调用register_related_threads在操作系统中注册任务组,标识为相关任务,调度器依据此信息进行缓存分区感知的调度;为每个相关任务组分配一个任务映射数据结构,记录一个相关任务组中任务在各个缓存分区中的分布情况;内核调度器在为任务选核时参考任务映射记录的数据,将相关任务调度到同一缓存分区;内核调度器在为任务选核后进行任务映射的更新与全局映射的更新;内核调度器遍历全局映射,若发现缓存分区过载,则通知该缓存分区的任务进行任务迁移。本发明能够提升频繁访问共享变量的任务组的性能。
-
公开(公告)号:CN113239347B
公开(公告)日:2022-06-28
申请号:CN202110680426.6
申请日:2021-06-18
Applicant: 上海交通大学
Abstract: 本发明提供了一种适用于TEE安全应用实例的启动方法及装置。该方法将现有的TEE实例分为寄主实例和插件实例,所述寄主实例所有的加密内存页的内容均不允许共享,生成的实例哈希在生命周期内始终保持不变,所述插件实例的哈希和内容在初始化完成后不允许进行更新,但允许使用硬件的映射原语将插件实例添加入寄主实例中;所述寄主实例复用插件实例的内容和哈希,避免冗长的启动时间。与现有技术相比,本发明具有低启动时延、低内存占用率、低运行时开销的优点,同时具有良好的安全共享特性。
-
公开(公告)号:CN112182560B
公开(公告)日:2022-04-26
申请号:CN202010982399.3
申请日:2020-09-17
Applicant: 上海交通大学
Abstract: 本发明提供了一种针对Intel SGX内部高效的隔离方法、系统及介质,包括:步骤S1:Enclave内部内存区域的划分,将Enclave内部的内存区域划分出一个可信的区域与多个互相不可信的区域,利用Intel MPK技术对其进行高效隔离,其中Enclave资源管理模块运行在可信区域中;步骤S2:SGX中Enclave安全启动机制的拓展,在安全启动的过程中,将内存页所属的内存页组信息纳入到Enclave安全验证码的计算与生成中。本发明解决了使用MPK和SGX威胁模型不兼容的问题,使得能够利用MPK的硬件特性实现用户应用与其所依赖的其他模块在同一个Enclave内的轻量级高效隔离。
-
-
-
-
-
-
-
-
-
Search Results
89
records
(took 0.023 seconds)
