-
公开(公告)号:CN113051563B
公开(公告)日:2024-10-01
申请号:CN202110214223.8
申请日:2021-02-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种跨容器软件运行检测方法及系统,属于系统安全技术领域,根据目标容器构建一个同镜像源的攻击容器;选取将要监控的目标软件,获取目标软件的监控地址和版本号并存入配置文件中,将该目标软件及其配置文件复制到攻击容器中;测试目标容器和攻击容器所在服务器的性能,获取读取内存和读取缓存的时间,确定区分读取内存和读取缓存的阈值η;将目标软件的监控地址对应的内存行从所有级别的缓存中清除,等待一段时间后运行该目标软件,记录重新加载到内存行的时间T,若T>η,则判为从内存中读取,在上述等待时间内目标软件没有读取该内存行;若T
-
-
公开(公告)号:CN114978589B
公开(公告)日:2023-08-08
申请号:CN202210387630.3
申请日:2022-04-13
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06F9/455 , H04L67/10 , H04L67/133 , H04L67/63
Abstract: 本发明涉及一种轻量级云操作系统及其构建方法。该轻量级云操作系统包含服务域和应用域,其构建步骤包括:构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。本发明提出的轻量级云操作系统能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。
-
公开(公告)号:CN112905300A
公开(公告)日:2021-06-04
申请号:CN202110239800.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种虚拟机的可信启动方法及系统,包括:宿主机启动过程中,通过服务器内置安全芯片对宿主机系统进行安全度量,确保宿主机系统的可信;在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动,并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件,生成度量值;所述度量值经至虚拟机监视器,传递给服务器内置安全芯片;依据所述度量值及服务器内置安全芯片中度量基准值,判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题,结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中,确保度量基准值的存储安全性,使用虚拟UEFI对虚拟机核心文件做度量,精简了可信启动流程。
-
公开(公告)号:CN112187734A
公开(公告)日:2021-01-05
申请号:CN202010943577.1
申请日:2020-09-09
Applicant: 中国科学院信息工程研究所
Abstract: 本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。采用本申请中的方案,将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行,将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行,同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源,因此在VPN隧道建立过程中,其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中,因此IP协议数据包封装处理流程可置于REE驱动系统处理,实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度、提高处理效率以及降低开发成本的技术效果。
-
Patent Agency Ranking
公开(公告)号:CN113127148B
公开(公告)日:2024-04-09
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN115001744A
公开(公告)日:2022-09-02
申请号:CN202210457030.X
申请日:2022-04-27
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L67/1097
Abstract: 本发明公开了一种云平台数据完整性验证方法及系统。本发明将Intel SGX提供的硬件级安全机制与PDP方案结合部署,提出了基于硬件可信执行环境的具备安全性、通用性、实用性的云平台数据完整性保护框架‑EnclavePDP,该框架支持在SGX内执行PDP方案中安全敏感的计算并保护安全敏感的数据,消除PDP方案存在的隐私威胁,将网络级通信转为进程间通信,显著地降低了通信开销。该框架提炼了PDP方案的通用计算过程并封装为通用基础计算服务,经典密码学库被优化适配到SGX中兼容新旧PDP方案,框架支持与云存储系统进行高效部署,解决了实际应用部署PDP方案复杂低效的问题,具备实际应用部署价值。
-
公开(公告)号:CN114978589A
公开(公告)日:2022-08-30
申请号:CN202210387630.3
申请日:2022-04-13
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06F9/455 , H04L67/10 , H04L67/133 , H04L67/63
Abstract: 本发明涉及一种轻量级云操作系统及其构建方法。该轻量级云操作系统包含服务域和应用域,其构建步骤包括:构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。本发明提出的轻量级云操作系统能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。
-
公开(公告)号:CN112446033A
公开(公告)日:2021-03-05
申请号:CN202011450304.X
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本申请实施例提供了一种软件可信启动方法、装置、电子设备和存储介质,该方法应用于电子设备,电子设备包括可信执行环境,可信执行环境包括可信执行内核,电子设备首先通过可信执行内核获取请求启动的待启动程序,然后再通过可信执行内核对待启动程序进行可信启动校验,其中,可信启动校验包括可信白名单校验,以及完整性校验和/或权限校验;当可信校验通过后,通过可信执行内核启动待启动程序。上述方法在待启动程序请求启动时,对待启动程序进行多种不同方式的可信启动校验,多种可信启动校验方式可以组成一条可信启动链,确保恶意的应用程序无法启动,从而避免用户的个人隐私或商业秘密被窃取,以保障电子设备的信息安全。
-
公开(公告)号:CN106850732B
公开(公告)日:2019-08-23
申请号:CN201611078449.5
申请日:2016-11-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种面向PaaS云环境的高同驻概率实例部署方法。该方法包括:1)在PaaS云上创建或选定至少一个目标实例;2)在目标实例创建之后的一定的时间间隔(较短的时间间隔)内,快速启动和目标实例相同应用类型的实例(称作检测实例);3)在检测实例启动之后进行同驻检测,找出和目标实例同驻的检测实例。本发明能有效提高检测实例和目标实例达到同驻的概率,缩短达到同驻的时间,节约成本。
-
-
-
-
-
-
-
-
-
Search Results
34
records
(took 0.038 seconds)
