-
公开(公告)号:CN118585286A
公开(公告)日:2024-09-03
申请号:CN202410631666.0
申请日:2024-05-21
Applicant: 上海交通大学
Abstract: 本发明提供了一种微内核架构下的操作系统服务端资源隔离方法及系统,包括:应用程序端向内核端发起服务请求;以使所述内核端将所述服务请求转发至操作系统服务端;以使操作系统服务端处理来自应用程序的服务请求;其中,所述服务请求中携带执行请求、信息以及预设资源;所述内核端基于所述应用程序端发起的服务请求配置操作系统服务的执行环境,确保操作系统服务能够在不同应用程序间实现有效隔离。本发明通过引入ServerContext内核对象,确保了系统服务资源的严格隔离;这种隔离不仅限于运行时环境,还扩展到了数据访问和权限管理,从而在系统服务端有效避免了一个应用程序的行为影响到另一个应用程序。
-
公开(公告)号:CN114969753B
公开(公告)日:2025-03-25
申请号:CN202210523188.2
申请日:2022-05-13
Applicant: 上海交通大学
Abstract: 本发明提供了一种动态决定运行态的可加载系统模块实现方法及系统,包括:通过基于capability的访问控制实现内核向运行在内核态和用户态的系统模块提供统一的API;通过符号重定位技术,实现加载系统模块时动态决定其所调用的内核API采用内核态实现还是用户态实现;在内核中基于capability机制提供跨模块调用机制,采用共享内存页传递参数和返回值;通过提供预设接口,允许在跨模块调用的内核API中一次在多个连接上等待。本发明利用符号重定位技术、capability机制,提出了新的跨模块调用机制,最终实现了可加载系统模块在操作系统运行期可选地加载到内核态或用户态并进行相互通信的方法。
-
公开(公告)号:CN113064697A
公开(公告)日:2021-07-02
申请号:CN202110356366.2
申请日:2021-04-01
Applicant: 上海交通大学
Abstract: 本发明提供了一种利用多硬件特性加速微内核进程间通信的方法,涉及微内核进程通信技术领域,该方法包括:用户与系统步骤:在用户程序与系统服务之间,利用VMFUNC指令实现进程间通讯;系统服务步骤:在系统服务之间,将多个关联性强的系统服务模块放在同一个进程中,利用MPK技术保证不同系统服务模块组之间的隔离。本发明能够在不破坏微内核系统服务模块间隔离特性的基础上,大大提高微内核架构下进程间通信的效率,且能够结合使用VMFUNC,从而能够高效扩展Intel MPK能够支持隔离内存域的数量,从而满足更多进程内部隔离的场景需要。
-
公开(公告)号:CN112182560A
公开(公告)日:2021-01-05
申请号:CN202010982399.3
申请日:2020-09-17
Applicant: 上海交通大学
Abstract: 本发明提供了一种针对Intel SGX内部高效的隔离方法、系统及介质,包括:步骤S1:Enclave内部内存区域的划分,将Enclave内部的内存区域划分出一个可信的区域与多个互相不可信的区域,利用Intel MPK技术对其进行高效隔离,其中Enclave资源管理模块运行在可信区域中;步骤S2:SGX中Enclave安全启动机制的拓展,在安全启动的过程中,将内存页所属的内存页组信息纳入到Enclave安全验证码的计算与生成中。本发明解决了使用MPK和SGX威胁模型不兼容的问题,使得能够利用MPK的硬件特性实现用户应用与其所依赖的其他模块在同一个Enclave内的轻量级高效隔离。
-
公开(公告)号:CN118885331A
公开(公告)日:2024-11-01
申请号:CN202410769668.6
申请日:2024-06-14
Applicant: 上海交通大学
Abstract: 本发明提供了一种适用于通用图形处理器的状态保存与恢复方法和系统,在状态保存的过程中,该方法允许GPU应用继续执行,同时在发射GPGPU核函数前,该方法会预测核函数访问的内存,并通过写时拷贝、设置脏位等方法,保证状态保存数据的准确性;在状态恢复的过程中,该方法通过重执行核函数的方式恢复脏内存,以及借助按需装载的方式加速程序的恢复过程。与现有技术相比,本发明具有低开销、硬件和工作负载适配范围广的特点,可以用于支撑容灾备份、热迁移和快速启动等重要系统需求。
-
Patent Agency Ranking
公开(公告)号:CN117828625A
公开(公告)日:2024-04-05
申请号:CN202311369319.7
申请日:2023-10-20
Applicant: 上海交通大学
Abstract: 本发明提供了一种移动终端操作系统的多模态数据机密智能计算方法及系统,包括步骤S1:获取移动终端内操作系统的用户数据;步骤S2:在TEE硬件安全环境中部署基于端侧大模型的智能计算系统;所述智能计算系统处理用户提问,包括存储多模态数据的向量数据库;步骤S3:根据当前移动终端运行上下文的状态动态调节获取数据的频率;步骤S4:使用TEE进行设备间的安全认证,并构建分布式安全存储系统。本发明能够根据当前系统运行状态动态调整数据提取的频率,从而对数据进行筛选去重,且支持运行在TEE中的向量数据库把部分历史数据存储到其他个人设备的TEE存储中,以降低存储负担,保护了个人数据的存算安全。
-
公开(公告)号:CN116127445A
公开(公告)日:2023-05-16
申请号:CN202310011710.3
申请日:2023-01-05
Applicant: 上海交通大学
IPC: G06F21/53
Abstract: 本发明提供了一种基于内核态内存隔离硬件特性的eBPF内存隔离方法及系统,所述方法包括如下步骤:步骤S1:调用辅助函数;步骤S2:跳板函数检查辅助函数调用的参数是否合法;如果没有通过检查,则会进行错误处理,并结束整个eBPF程序的执行;如果通过检查,则进入步骤S3;步骤S3:更新PKRS临时退出沙箱;步骤S4:将影子对象同步回内核对象;步骤S5:调用真实辅助函数;步骤S6:将内核对象同步回影子对象;步骤S7:更新PKRS的值重新进入沙箱;步骤S8:结束调用辅助函数。本发明提出的PKS隔离沙箱减少了eBPF检查器的代码量,可以在运行过程中拦截恶意的eBPF程序访存,解决了“假阴性”问题。
-
公开(公告)号:CN112182560B
公开(公告)日:2022-04-26
申请号:CN202010982399.3
申请日:2020-09-17
Applicant: 上海交通大学
Abstract: 本发明提供了一种针对Intel SGX内部高效的隔离方法、系统及介质,包括:步骤S1:Enclave内部内存区域的划分,将Enclave内部的内存区域划分出一个可信的区域与多个互相不可信的区域,利用Intel MPK技术对其进行高效隔离,其中Enclave资源管理模块运行在可信区域中;步骤S2:SGX中Enclave安全启动机制的拓展,在安全启动的过程中,将内存页所属的内存页组信息纳入到Enclave安全验证码的计算与生成中。本发明解决了使用MPK和SGX威胁模型不兼容的问题,使得能够利用MPK的硬件特性实现用户应用与其所依赖的其他模块在同一个Enclave内的轻量级高效隔离。
-
公开(公告)号:CN110532767B
公开(公告)日:2021-06-11
申请号:CN201910765428.8
申请日:2019-08-19
Applicant: 上海交通大学
Abstract: 本发明提供了一种面向SGX安全应用的内部隔离方法,利用面向SGX安全应用的内部隔离系统,该系统能够实现设定的系统库,包括一个或多个enclave;所述enclave包括一个或多个线程;所述enclave中的每个线程均包括PKRU寄存器,且所述enclave中每个线程的PKRU寄存器值互不相同,从而所述enclave中的每个线程都能够都有私有的地址空间区域,只能由本线程访问;将运行enclave的操作系统记为不可信的操作系统;本发明利用MPK性能牺牲几乎为零的优势,能够进行内存区域划分,不仅进一步减小了enclave内部程序可信计算基,而且能够满足当前云计算服务应用的安全需求。
-
公开(公告)号:CN110515705A
公开(公告)日:2019-11-29
申请号:CN201910726002.1
申请日:2019-08-07
Applicant: 上海交通大学
Abstract: 本发明提供了一种可扩展的持久性事务内存及其工作方法,包括:非易失存储器和动态随机储存器;所述非易失存储器中包括:原始数据对象以及每个事务维护的日志,所述日志包含新的数据对象,在原始数据对象中使用指针next指向对应的新的数据对象;所述动态随机储存器中包括:每个线程维护的元数据。本发明提出了使用DVCC技术减少寻找版本的时间,同时将NVM中的日志作为新版本的方法,有效地减少了写操作次数。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.027 seconds)
