-
公开(公告)号:CN110532767B
公开(公告)日:2021-06-11
申请号:CN201910765428.8
申请日:2019-08-19
Applicant: 上海交通大学
Abstract: 本发明提供了一种面向SGX安全应用的内部隔离方法,利用面向SGX安全应用的内部隔离系统,该系统能够实现设定的系统库,包括一个或多个enclave;所述enclave包括一个或多个线程;所述enclave中的每个线程均包括PKRU寄存器,且所述enclave中每个线程的PKRU寄存器值互不相同,从而所述enclave中的每个线程都能够都有私有的地址空间区域,只能由本线程访问;将运行enclave的操作系统记为不可信的操作系统;本发明利用MPK性能牺牲几乎为零的优势,能够进行内存区域划分,不仅进一步减小了enclave内部程序可信计算基,而且能够满足当前云计算服务应用的安全需求。
-
公开(公告)号:CN110134545B
公开(公告)日:2020-12-22
申请号:CN201910267393.5
申请日:2019-04-03
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于可信执行环境的提供虚拟NVRAM的方法,包括:内存区域建立步骤:在可信执行环境中划分预设大小的内存区域作为虚拟NVRAM的内存区域;读写操作步骤:虚拟NVRAM等待读写请求,在接收到读写请求时,执行相应的读写操作;关机备份步骤:设备关机时,在可信执行环境关闭前,将可信执行环境内划分的虚拟NVRAM中的数据备份入磁盘;开机读取步骤:设备开机时,先启动可信执行环境,将磁盘内备份的数据读取到虚拟NVRAM中,启动虚拟NVRAM。本发明具有不修改现有移动设备硬件,断电时不丢失数据,移动设备操作系统崩溃或发生错误时虚拟NVRAM中数据也不会丢失的优点,可提高移动设备的性能。
-
公开(公告)号:CN111651778A
公开(公告)日:2020-09-11
申请号:CN202010456182.9
申请日:2020-05-26
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于RISC-V指令架构的物理内存隔离方法,是一种在RISC-V指令架构现有的Machine mode可配置的物理内存隔离技术PMP的基础之上,增加了Supervisor mode可配置的物理内存隔离技术sPMP;所述物理内存隔离技术sPMP:依赖于只有Machine mode程序和Supervisor mode程序可以读写的几组sPMP寄存器。本发明突破了现有基于PMP寄存器组的TEE系统的安全应用数量的限制,并且能够提供高效安全应用启动,高效安全应用间通信,细粒度安全应用内存资源分配等特性。本系统对于现有TEE设计在安全性和可扩展性上均有极大的提升。
-
公开(公告)号:CN108733455B
公开(公告)日:2020-08-18
申请号:CN201810549087.6
申请日:2018-05-31
Applicant: 上海交通大学
IPC: G06F9/455
Abstract: 本发明提供了一种基于ARM TrustZone的容器隔离性增强系统,包括:运行于用户端的容器管理客户端;运行于服务器端普通世界中的不可信操作系统、不可信容器管理模块以及可信执行环境;运行于服务器端安全世界中的页表管理模块、寄存器保护模块、系统调用挟持模块、文件系统安全增强模块、执行流同步服务安全增强模块、进程间通讯服务安全增强模块、可信容器镜像下载模块以及安全容器启动模块。本发明将现有应用程序安全运行在被攻击者完全控制的恶意操作系统之上;使得容器内不同用户的不同应用能够进行安全的通信与控制流同步;用户无需对现有镜像做任何修改。
-
Patent Agency Ranking
公开(公告)号:CN110968361A
公开(公告)日:2020-04-07
申请号:CN201911065973.2
申请日:2019-11-04
Applicant: 上海交通大学
Abstract: 本发明提供了一种隔离沙箱加载方法,基于多线程沙箱安全内存复用技术,包括如下步骤:步骤1、开发人员完成在隔离沙箱中运行的程序代码开发;步骤2、运行一个模板沙箱,运行开发人员开发和配置好的程序,等待用户发送程序运行请求;步骤3、用户发送函数调用请求,模板沙箱收到请求后通过内存复用,产生一个用于执行用户请求的实例沙箱;步骤4、实例沙箱对模板沙箱运行过程中执行系统调用造成的系统状态改变进行再处理,保证沙箱执行的正确性和安全性;步骤5、实例沙箱继续执行程序,直至执行完毕,将请求结果返回给用户或发送给用户指定的第三方,实例沙箱销毁。
-
公开(公告)号:CN110069920A
公开(公告)日:2019-07-30
申请号:CN201910169082.5
申请日:2019-03-06
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于虚拟化保证SGX安全性的方法和系统,运行虚拟机监控程序,监控操作系统及操作系统上的应用运行,在应用运行过程中,虚拟机监控程序借助CPU硬件辅助虚拟化对执行指令进行监察,根据监察中断不安全代码的执行。监察通过特权指令判断,对包含特权指令的执行进行虚拟下陷,进一步判断敏感指令,对包含敏感指令的执行进行异常报告。本发明具有能够保障开发者模式飞地的安全性、性能影响小、延展性良好的特点,并且采用软件方法,适用性十分广泛。
-
公开(公告)号:CN106598713A
公开(公告)日:2017-04-26
申请号:CN201611052841.2
申请日:2016-11-24
Applicant: 上海交通大学
CPC classification number: G06F9/4856 , G06F9/45558 , G06F2009/4557 , G06F2009/45587
Abstract: 本发明提供了一种虚拟机安全动态迁移的方法及系统,包括如下任一种或者任多种步骤:平台验证步骤:验证虚拟机迁移的源和目的地是否可信;权限控制步骤:由管理员发起限制虚拟机迁移操作的角色;数字签名验证步骤:在迁移数据中设置数字签名,保证虚拟机迁移的数据的完整;加密解密步骤:对虚拟机迁移的数据进行加密处理;侵入检测步骤:实时监测侵入的程序,发送监测报告至服务器;病毒防御步骤:在虚拟机内部安装病毒防御系统,所述病毒防御系统包括:杀毒软件。本发明能够有效解决虚拟机迁移过程中的多种安全性问题,从而全面提升迁移过程的安全性。
-
公开(公告)号:CN106203082A
公开(公告)日:2016-12-07
申请号:CN201610497325.4
申请日:2016-06-29
Applicant: 上海交通大学
Abstract: 本发明提供了一种基于虚拟化硬件特性的高效隔离内核模块的系统及方法,其设计了一种安全的高效的针对不可信的内核模块的强隔离机制,并且能够满足当下对于安全性和功能性方面的需求。本发明相对现有的解决方法,具有更好的性能、更强的隔离性、更高的向后兼容性。本发明提出的机制易于在当下主流的云计算平台中部署,进而可以带来可观的社会效益及经济效益。在本发明提出的机制中,当不可信的内核模块需要调用内核核心的函数,或者内核核心需要调用不可信的内核模块中的函数时,建立一套基于虚拟化硬件特性安全且高效的控制流转换机制,使得在该切换中不会暴露更多的攻击面。
-
公开(公告)号:CN105550014A
公开(公告)日:2016-05-04
申请号:CN201510901658.4
申请日:2015-12-08
Applicant: 上海交通大学
CPC classification number: G06F9/45558 , G06F9/547 , G06F21/51 , G06F2209/544 , G06F2221/033
Abstract: 本发明提供了一种灵活高效的跨权限级与域的调用方法,在进行跨权限级与地址空间调用时通过减少权限级与地址空间的切换来提高调用性能;通过采用认证与授权分离的方式,保证调用的灵活性与安全性。传统计算机处理器的跨域调用机制只有有限的几条调用路径,不同域的调用需要多次复用已有的调用路径才能完成,从而导致许多额外的跨权限级与地址空间的切换,而本发明所提出的方法能够有效地较少这种不必要的切换,在保证安全性的同时提高系统的性能,促进具有高性能需求的关键服务在基于虚拟化平台或高性能操作系统的服务器、嵌入式设备等场景的应用,进而带来可观的社会效益和经济效益。
-
-
-
-
-
-
-
-
Search Results
89
records
(took 0.025 seconds)
