公开(公告)号：CN103065100A

公开(公告)日：2013-04-24

申请号：CN201210573382.8

申请日：2012-12-26

申请人： 中国人民解放军总参谋部第六十一研究所 ,  中国人民解放军国防科学技术大学

发明人： 刘东红 ,  魏立峰 ,  童岚岚 ,  陈松政 ,  初宁 ,  丁滟 ,  曹江 ,  吴庆波 ,  李永红 ,  戴华东 ,  黄辰林 ,  付松龄 ,  董攀

IPC分类号： G06F21/62

摘要： 本发明公开了一种基于容器的用户私有数据保护方法，实施步骤如下：1）创建私有数据容器，为私有数据容器添加包含属主信息和访问授权信息的容器安全属性；2）检测用户的访问请求，当用户向私有数据容器发出访问请求时，如果当前用户是属主，则允许访问或修改访问授权信息；如果当前用户不是属主，则判断当前用户是否已经得到属主的访问授权，如果已经获得访问授权则返回私有数据容器的文件或目录信息，允许当前用户按照授权访问所述私有数据容器，否则不返回私有数据容器的文件或目录信息，将私有数据容器向当前用户隐藏。本发明具有安全可靠、访问控制方便、分享简单灵活、分享细粒度高、数据分享可控制性好、通用性好、适用范围广的优点。

公开(公告)号：CN103065100B

公开(公告)日：2015-07-22

申请号：CN201210573382.8

申请日：2012-12-26

申请人： 中国人民解放军总参谋部第六十一研究所 ,  中国人民解放军国防科学技术大学

发明人： 刘东红 ,  魏立峰 ,  童岚岚 ,  陈松政 ,  初宁 ,  丁滟 ,  曹江 ,  吴庆波 ,  李永红 ,  戴华东 ,  黄辰林 ,  付松龄 ,  董攀

IPC分类号： G06F21/62

摘要： 本发明公开了一种基于容器的用户私有数据保护方法，实施步骤如下：1）创建私有数据容器，为私有数据容器添加包含属主信息和访问授权信息的容器安全属性；2）检测用户的访问请求，当用户向私有数据容器发出访问请求时，如果当前用户是属主，则允许访问或修改访问授权信息；如果当前用户不是属主，则判断当前用户是否已经得到属主的访问授权，如果已经获得访问授权则返回私有数据容器的文件或目录信息，允许当前用户按照授权访问所述私有数据容器，否则不返回私有数据容器的文件或目录信息，将私有数据容器向当前用户隐藏。本发明具有安全可靠、访问控制方便、分享简单灵活、分享细粒度高、数据分享可控制性好、通用性好、适用范围广的优点。

公开(公告)号：CN104392159B

公开(公告)日：2018-02-06

申请号：CN201410780685.6

申请日：2014-12-17

申请人： 中国人民解放军国防科学技术大学

发明人： 吴庆波 ,  董攀 ,  孙利杰 ,  廖湘科 ,  罗军 ,  陈松政 ,  魏立峰 ,  黄辰林 ,  戴华东 ,  唐晓东 ,  丁滟

IPC分类号： G06F21/31 ,  G06F21/51

摘要： 本发明公开了一种支持最小特权的用户按需授权方法，其实施步骤如下：在操作系统中建立多个角色，分别为每一个角色设置验证密码；将不同应用程序运行所需要的不同权限分类定义为不同的权限类型；在登录时为用户关联角色及角色的权限类型，并可根据程序需要进行角色转换或者权限类型转换；最终提取用户当前的角色及其权限类型信息，基于用户当前的角色及其权限类型判断是否允许用户请求的程序执行，如果允许则执行用户请求的程序，否则禁止执行用户请求的程序。本发明能够针对不同应用的实际权限需求进行权限授予，确保用户执行应用时应用仅具有完成正常功能的相关权限，保证安全性的同时提高了系统的易用性、通用性好、适用范围广。

公开(公告)号：CN104394175B

公开(公告)日：2017-11-21

申请号：CN201410780465.3

申请日：2014-12-17

申请人： 中国人民解放军国防科学技术大学

发明人： 魏立峰 ,  王玉成 ,  王晓川 ,  黄辰林 ,  董攀 ,  丁滟 ,  陈松政 ,  罗军

IPC分类号： H04L29/06

摘要： 本发明公开了一种基于网络标记的报文访问控制方法，其实施步骤如下：1）预先在操作系统中设置访问控制策略并添加强制访问控制模块；在网络层的防火墙中添加用于对筛选通过的报文设置安全性网络标识的功能；2）通过防火墙对进出防火墙的网络报文流的每一个报文进行筛选过滤，对筛选通过的报文设置安全性网络标识；3）针对筛选通过的每一个当前报文，通过强制访问控制模块检查访问控制策略，如果访问控制策略中对应当前报文的允许访问状态为允许，则继续当前报文的后续收发处理；否则，丢弃当前报文。本发明具有访问控制与主机的强制访问控制技术结合、网络安全性高、不需要外部基础设施和标记协议、标记和实施隔离、易于扩展和实现的优点。

公开(公告)号：CN104462937A

公开(公告)日：2015-03-25

申请号：CN201410780531.7

申请日：2014-12-17

申请人： 中国人民解放军国防科学技术大学

发明人： 陈松政 ,  吴庆波 ,  宋川飞 ,  张卫华 ,  魏立峰 ,  董攀 ,  黄辰林 ,  罗军 ,  丁滟 ,  唐晓东

IPC分类号： G06F21/45

CPC分类号： G06F21/604 ,  G06F2221/2141

摘要： 本发明公开了一种基于用户的操作系统外设接入权限控制方法，实施步骤如下：1）建立设备特征数据库，将用户分类为不同的用户角色，建立设备使用策略、强制访问控制开关，分别建立用户访问控制列表、用户组访问控制列表、用户角色访问控制列表；更新所有强制访问控制开关的状态；2）建立并维持系统会话列表；3）实时监控操作系统中的设备变化，4）根据外设设备类型确定最终访问权限信息，基于强制访问控制开关和最终访问权限信息来控制操作系统中用户对外设的使用。本发明具有外设识别能力强、安全可靠、稳定性好、通用性好、扩展性强、防止恶意软件破坏能力强、控制粒度细、整体灵活度高的优点。

公开(公告)号：CN102880522B

公开(公告)日：2014-12-31

申请号：CN201210352537.5

申请日：2012-09-21

申请人： 中国人民解放军国防科学技术大学 ,  湖南麒麟信息工程技术有限公司

发明人： 党志强 ,  刘晓建 ,  颜跃进 ,  戴华东 ,  孔金珠 ,  吴庆波 ,  董攀

IPC分类号： G06F11/07 ,  G06F17/30

摘要： 本发明公开了一种面向硬件故障的系统关键文件故障纠正方法及装置，方法步骤如下：1）建立包含系统关键文件信息的备份文件表，为备份文件表的每一个目标文件建立副本文件并保持同步；2）实时检测操作系统文件操作故障并诊断故障原因，当发生操作故障的文件为备份文件表对应的目标文件且故障是由存储系统的硬件故障引起时执行下一步；3）使用对应的副本文件替代发生操作故障的文件并重试文件操作；装置包括副本文件管理模块、故障检测模块、故障诊断模块和故障处理模块。本发明能够防止由于文件访问失败而导致的系统宕机或者服务崩溃的问题，具有容错特性好、健壮性高、故障恢复实时、对用户透明、可扩展性强、通用性好的优点。

公开(公告)号：CN102662883B

公开(公告)日：2014-12-03

申请号：CN201210095029.3

申请日：2012-03-31

申请人： 中国人民解放军国防科学技术大学

发明人： 邵立松 ,  赵江涛 ,  孔金珠 ,  张卫华 ,  董攀 ,  赵自成 ,  薛晋泽 ,  何易泽

IPC分类号： G06F13/10

摘要： 本发明公开了一种用于多硬件平台的飞腾服务器的机器类型识别方法，其实施步骤如下：1）在计算机的扩展ROM中建立平台信息字段地址，虚拟机监控器将平台信息字段地址的读写接口函数进行封装并提供给操作系统内核调用；2）在操作系统启动过程中，首先获取操作系统接收的引导装入程序命令并分析引导装入程序命令的硬件平台参数，如果包含硬件平台参数则将硬件平台参数对应的硬件平台类型信息写入扩展ROM中的平台信息字段地址中；3）通过平台信息字段地址读写接口函数读取硬件平台字段地址中的硬件平台类型信息，根据硬件平台类型信息识别飞腾虚拟服务器的硬件平台。本发明具有兼容性好、使用方便、操作简单的优点。

公开(公告)号：CN104021335A

公开(公告)日：2014-09-03

申请号：CN201410246342.1

申请日：2014-06-05

申请人： 中国人民解放军国防科学技术大学

发明人： 戴华东 ,  廖湘科 ,  陈松政 ,  罗军 ,  付松龄 ,  魏立峰 ,  董攀 ,  黄辰林 ,  丁滟

IPC分类号： G06F21/46

CPC分类号： G06F21/46

摘要： 本发明公开了一种基于可扩展密码服务框架的密码服务方法，其实施步骤如下：构建包括跨Ring0～Ring3级别的API层、密码服务交换开关、MPI层和密码模块层的密码服务框架；当应用程序发出密码服务请求时，初始化密码服务框架实例，查询已注册的密码模块并进行完整性验证，将验证通过的密码模块挂接关联到密码服务框架，应用程序通过密码服务框架和密码模块建立会话并获取密码服务，并在使用完密码服务后关闭会话及密码服务框架。本发明能够使得密码服务提供者可以很方便地进行密码模块的扩展、替换以及删除等操作，实现现有密码服务和新型密码服务的即插即用，既能很好地保护密码资源又能灵活动态扩展密码服务框架。

公开(公告)号：CN102073545B

公开(公告)日：2013-02-13

申请号：CN201110047623.0

申请日：2011-02-28

申请人： 中国人民解放军国防科学技术大学

发明人： 董攀 ,  易晓东 ,  颜跃进 ,  刘晓建 ,  孔金珠

IPC分类号： G06F9/48

摘要： 本发明公开了一种操作系统中防止用户界面卡屏的进程调度方法及装置，所述方法的步骤包括：1）设定第一阈值；2）判断CPU资源占用率；操作系统当前的CPU资源占用率大于所述第一阈值时，执行步骤3）；3）获取面向用户感受进程；将当前处于用户界面顶层窗口的程序、拥有输入焦点窗口的程序、以及其它用户关心程序所对应的进程作为面向用户感受进程；4）调节面向用户感受进程；提高面向用户感受进程在操作系统任务调度中的相对优先级。所述装置包括任务调度器（1）、主引擎（2）和分别与主引擎（2）相连的内核信息探测器（3）、优先级随动器（4）、预设程序配置器（5）、窗口进程关联器（6）。本发明具有用户体验流畅、资源分配公平合理、软件开销小、适用范围广的优点。

公开(公告)号：CN102622245A

公开(公告)日：2012-08-01

申请号：CN201210043152.0

申请日：2012-02-24

申请人： 中国人民解放军国防科学技术大学

发明人： 董攀 ,  易晓东 ,  吴庆波 ,  戴华东 ,  颜跃进 ,  孔金珠 ,  刘晓建 ,  秦莹

IPC分类号： G06F9/445 ,  G06F9/455

摘要： 本发明公开了一种sun4v架构下的虚拟机自动启动控制方法，其实施步骤如下：1）控制域在加载物理磁盘驱动服务后加载逻辑域虚拟串口所对应逻辑域信道的驱动；2）控制域通过所述逻辑域信道向各客户域的虚拟串口写入回车控制符，然后读取各客户域的虚拟串口从逻辑域信道的返回数据，重复执行步骤2）直至客户域返回数据为操作系统加载器启动完毕的消息；3）控制域获取各客户域的操作系统启动命令，控制域以虚拟串口写方式通过逻辑域信道向操作系统加载器已经启动完毕的客户域的虚拟串口写入操作系统启动命令并发送回车控制符。本发明具有启动速度快、启动效率高、无需人工干预、适用范围广的优点。