公开(公告)号：CN112506531A

公开(公告)日：2021-03-16

申请号：CN202011440013.2

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  黄庆佳 ,  台建玮 ,  武希耀 ,  孙慧琪 ,  赵崇名

IPC: G06F8/61 ,  G06F21/44

Abstract: 本申请实施例提供了一种软件安装方法、装置、电子设备和存储介质，该软件安装方法应用于软件安装系统中的电子设备，所述软件安装系统还包括可信监视系统，所述电子设备包括可信执行系统，所述可信执行系统包括可信执行内核，电子设备在安装软件包之前，通过所述可信执行内核对待安装的软件包的签名信息进行签名验证，其中，签名信息是由可信监视系统对待安装的软件包进行可信应用签名获得的。在签名验证通过之后，再通过所述可信执行内核对待安装的软件包进行安装，若签名验证不通过，则可信执行内核阻止软件安装，从而可以避免在电子设备上安装一些恶意的或不可信的应用软件，避免用户的个人隐私和财产安全受到威胁。

公开(公告)号：CN112187734B

公开(公告)日：2021-12-14

申请号：CN202010943577.1

申请日：2020-09-09

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  侯锐 ,  孟慧石 ,  黄庆佳 ,  付玉霞 ,  孙慧琪 ,  张伟娟 ,  赵崇名

IPC: H04L29/06 ,  H04L12/46

Abstract: 本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。采用本申请中的方案，将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行，将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行，同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源，因此在VPN隧道建立过程中，其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中，因此IP协议数据包封装处理流程可置于REE驱动系统处理，实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度、提高处理效率以及降低开发成本的技术效果。

公开(公告)号：CN108197464A

公开(公告)日：2018-06-22

申请号：CN201711419211.9

申请日：2017-12-25

Applicant: 中国科学院信息工程研究所

Inventor： 贾晓启 ,  黄庆佳 ,  台建玮 ,  周广哲 ,  武希耀 ,  白璐 ,  赵崇名 ,  刘冠廷

IPC: G06F21/53 ,  G06F21/56

Abstract: 本发明涉及一种面向云环境的环境敏感型恶意软件分析检测方法和系统。该方法包括以下步骤：1)在用户无感知的前提下从客户虚拟机中提取可疑程序；2)将可疑程序置于多种操作环境中执行，使环境敏感型恶意软件触发回避行为，同时记录其行为序列；3)对可疑程序在多种操作环境下的行为序列进行分析，比较其行为序列的相似性，根据相似性判定该可疑程序是否为环境敏感型恶意软件。本发明充分地利用虚拟化技术，在用户无感知的前提下，从客户虚拟机中提取可疑程序，能够有效地自动化分析和检测环境敏感型恶意软件，提升了检测的正确性和有效性，并具有很好的可拓展性和可移植性。

公开(公告)号：CN112446033A

公开(公告)日：2021-03-05

申请号：CN202011450304.X

申请日：2020-12-11

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  黄庆佳 ,  谢静 ,  张伟娟 ,  王睿怡 ,  赵崇名

IPC: G06F21/57

Abstract: 本申请实施例提供了一种软件可信启动方法、装置、电子设备和存储介质，该方法应用于电子设备，电子设备包括可信执行环境，可信执行环境包括可信执行内核，电子设备首先通过可信执行内核获取请求启动的待启动程序，然后再通过可信执行内核对待启动程序进行可信启动校验，其中，可信启动校验包括可信白名单校验，以及完整性校验和/或权限校验；当可信校验通过后，通过可信执行内核启动待启动程序。上述方法在待启动程序请求启动时，对待启动程序进行多种不同方式的可信启动校验，多种可信启动校验方式可以组成一条可信启动链，确保恶意的应用程序无法启动，从而避免用户的个人隐私或商业秘密被窃取，以保障电子设备的信息安全。

公开(公告)号：CN112187734A

公开(公告)日：2021-01-05

申请号：CN202010943577.1

申请日：2020-09-09

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  贾晓启 ,  侯锐 ,  孟慧石 ,  黄庆佳 ,  付玉霞 ,  孙慧琪 ,  张伟娟 ,  赵崇名

IPC: H04L29/06 ,  H04L12/46

Abstract: 本申请实施例中提供了一种IPSec组件架构及VPN隧道建立方法。采用本申请中的方案，将包括IPSec核心组件的TEE侧模块组设置在TEE可信执行环境中运行，将包括IPSec协议封装模块及TCP/IP协议栈的REE侧模块组设置在REE驱动系统环境中运行，同时设置共用的存储单元以连接IPSec协议封装模块和IPSec核心组件。由于TEE驱动系统可独立于电子设备上的其它应用来访问硬件和软件安全资源，因此在VPN隧道建立过程中，其关键数据的处理过程可以避开常规操作系统的其它应用干扰。又因为IPSec协议封装模块及TCP/IP协议栈设置在REE驱动系统中，因此IP协议数据包封装处理流程可置于REE驱动系统处理，实现了在保证VPN隧道安全性的同时具备降低TEE驱动系统复杂度、负载度、提高处理效率以及降低开发成本的技术效果。