公开(公告)号：CN119602993A

公开(公告)日：2025-03-11

申请号：CN202411559993.6

申请日：2024-11-04

Applicant: 上海交通大学

Inventor： 陈海波 ,  冯二虎 ,  杜冬冬 ,  夏虞斌

IPC: H04L9/40 ,  H04L9/32 ,  G07C9/00 ,  G06F21/53

Abstract: 本发明提供了一种基于神经网络处理器NPU的安全隔离系统和装置，包括：将NPU访存控制器集成在NPU内部，NPU访存控制器将检查寄存器和翻译寄存器集成在NPU核心内部，并将内存权限检查和内存地址翻译放在直接内存访问DMA引擎之前；对NPU SRAM进行静态划分隔离，以及基于ID的动态划分隔离；通过门禁机制，并结合离线路由完整性检查，门禁机制在NPU发送核心上，为NoC数据包生成一个身份标识，该标识随数据包在NoC网络中传输；NPU与CPU之间通过内存映射I/O接口和预设指令进行交互。本发明所提出的安全隔离机制，在保证隔离性的前提下，可以最小化运行时性能开销，实现更高的资源利用率。

公开(公告)号：CN112817780A

公开(公告)日：2021-05-18

申请号：CN202110136600.0

申请日：2021-02-01

Applicant: 上海交通大学

Inventor： 夏虞斌 ,  杨璧丞 ,  杜东 ,  冯二虎 ,  江学强 ,  陈海波

IPC: G06F9/54 ,  G06F9/50 ,  G06F9/48

Abstract: 本发明提供了一种实现安全与高性能进程间通信的方法和系统，该方法包括：开发人员完成飞地进程Enclave开发，加载至计算系统；由计算系统加载宿主进程Host程序，启动飞地进程Enclave；宿主进程Host程序启动与飞地进程Enclave的通信，调用Monitor来请求进程间通信；Monitor确保接力页只有一个内存映射，将Monitor的所有权由宿主进程Host转移至飞地进程Enclave；飞地进程Enclave程序启动与另一飞地进程Enclave的进程间通信，Monitor建立飞地进程Enclave 1与Name Server的连接；飞地进程Enclave 1向Name Server请求飞地进程Enclave 2的Capability；Monitor重新映射接力页来实现飞地进程Enclave 1与飞地进程Enclave 2之间的消息传递。本发明使用接力页与软硬件协同提供完整性保护实现的在可信计算场景下，令飞地(Enclave)进程进行高性能进程间通信(IPC)。

公开(公告)号：CN119271580A

公开(公告)日：2025-01-07

申请号：CN202410638160.2

申请日：2024-05-21

Applicant: 平头哥(上海)半导体技术有限公司 ,  上海交通大学 ,  阿里巴巴达摩院(杭州)科技有限公司

Inventor： 冯二虎 ,  请求不公布姓名 ,  杜冬冬 ,  夏虞斌 ,  陈海波 ,  郑文斌 ,  赵思齐

IPC: G06F12/14 ,  G06F21/78

Abstract: 本申请公开了一种设备的内存访问权限的确定方法、系统和电子设备。其中，该方法应用于输入输出物理内存保护IOPMP单元，可以包括：获取设备的内存访问请求，且确定设备在IOPMP单元中匹配的至少一IOPMP条目，其中，内存访问请求用于使设备请求访问IOPMP单元对应的内存地址中存储的数据，IOPMP条目用于表示IOPMP单元的数据结构；将内存访问请求，在至少一IOPMP条目中进行验证，得到至少一验证结果，其中，验证结果用于表示设备在对应的IOPMP条目中是否具有访问权限；基于验证结果，生成内存访问请求对应的访问权限结果，其中，访问权限结果用于表示是否允许设备访问内存地址中存储的数据。本申请解决了无法有效确定设备的内存访问权限的技术问题。

公开(公告)号：CN116192505A

公开(公告)日：2023-05-30

申请号：CN202310167289.5

申请日：2023-02-24

Applicant: 上海交通大学

Inventor： 冯二虎 ,  杜冬冬 ,  夏虞斌

IPC: H04L9/40 ,  G06F12/14

Abstract: 本发明提供了一种传递加密内存的方法及系统，包括：发起方建立和接收方的通信信道；设定共同的密钥，作为完整性保护树的根密钥；发起方将数据大小告知接收方，接收方分配接收缓存；发起方将数据对应的完整性保护树的状态设置为只读并设置根密钥，接收方将接收缓存对应完整性保护树的状态设置为等待并设置相同的根密钥；发起方将完整性保护树的根节点用密钥加密后传递给接收方；发起方将加密内存和所有的完整性保护树的中间节点发送给接收方；接收方收到所有数据后，返回ACK信号给发起方。本发明提出并设计实现了高效的远端加密内存传递方式，减少了冗余的软件加密，从而极大的提升了加密数据传递的效率，减少了一次传输所需的时间。

公开(公告)号：CN112817780B

公开(公告)日：2022-03-11

申请号：CN202110136600.0

申请日：2021-02-01

Applicant: 上海交通大学

Inventor： 夏虞斌 ,  杨璧丞 ,  杜东 ,  冯二虎 ,  江学强 ,  陈海波

IPC: G06F9/54 ,  G06F9/50 ,  G06F9/48

Abstract: 本发明提供了一种实现安全与高性能进程间通信的方法和系统，该方法包括：开发人员完成飞地进程Enclave开发，加载至计算系统；由计算系统加载宿主进程Host程序，启动飞地进程Enclave；宿主进程Host程序启动与飞地进程Enclave的通信，调用Monitor来请求进程间通信；Monitor确保接力页只有一个内存映射，将Monitor的所有权由宿主进程Host转移至飞地进程Enclave；飞地进程Enclave程序启动与另一飞地进程Enclave的进程间通信，Monitor建立飞地进程Enclave 1与Name Server的连接；飞地进程Enclave 1向Name Server请求飞地进程Enclave 2的Capability；Monitor重新映射接力页来实现飞地进程Enclave 1与飞地进程Enclave 2之间的消息传递。本发明使用接力页与软硬件协同提供完整性保护实现的在可信计算场景下，令飞地(Enclave)进程进行高性能进程间通信(IPC)。