-
公开(公告)号:CN109766688A
公开(公告)日:2019-05-17
申请号:CN201811488026.X
申请日:2018-12-06
Applicant: 中国科学院软件研究所 , 南方电网科学研究院有限责任公司 , 深圳供电局有限公司
Abstract: 本发明属于计算机操作系统安全增强技术领域,具体涉及一种基于Merkle树的Linux程序运行时验证与管控方法和系统。本发明借鉴了IMA架构和Merkle哈希树方法,将程序度量时机由启动时转变为真正载入内存时和运行时,将程序度量对象由程序代码段转变为程序代码段的片段。由于Linux应用程序一般由操作系统切分为多个片段,且各片段只在实际被访问时从磁盘加载入内存,因而本发明不再采用IMA在程序启动时验证整个可执行程序文件的方式,转而在程序片段实际载入时验证该片段的完整性,并进行管控处理。本发明为使用Linux操作系统的计算机设备提供一个安全可靠的程序运行时度量与管控机制。
-
公开(公告)号:CN108154032A
公开(公告)日:2018-06-12
申请号:CN201711136462.6
申请日:2017-11-16
Applicant: 中国科学院软件研究所
IPC: G06F21/57
Abstract: 本发明提供一种基于可信执行环境的具有内存完整性保障功能的计算机系统信任根构建方法。该方法包括:对计算机的操作系统进行改造,将更改操作系统状态、配置的处理器指令更改为工作模式切换指令,将操作系统中的页表设置为只读模式;操作系统和应用程序执行处理器的工作模式切换指令并附带参数以完成注册;在计算机的操作系统启动时,将内存配置划分为可信执行环境的安全区域和对应的非安全区域;利用内存的安全区域和处理器的安全模式运行的功能的程序,即构成计算机系统信任根组件。本发明基于可信执行环境技术为计算机系统提供信任根组件,能够对操作系统内核以及用户所指定的应用程序的完整性进行保障。
-
公开(公告)号:CN102096778B
公开(公告)日:2013-01-23
申请号:CN201010588240.X
申请日:2010-12-07
Applicant: 中国科学院软件研究所
IPC: G06F21/62
Abstract: 本发明公开一种基于椭圆曲线和双线性对密码体制的直接匿名证明方法,包括如下步骤:1)证书颁发方系统初始化,将公共参数发送给证明方和验证方;2)颁发匿名凭证;3)证明方匿名证明DAACert;4)验证方匿名验证证明方的匿名凭证DAACert。本发明的直接匿名证明方法,证明方向验证方进行证明验证的同时保持高度匿名性,完成证明的信息存储在安全芯片中,不会外泄。即使外泄,本发明的方法也能检测到这种真实但已被攻破的证明方,保证了证明信息的安全性。同时,本发明的运算速度快、通信量小。当采用128比特安全强度时,本发明的运算速度至少为基于有限域运算的方案的14倍,而通信量不超过基于有限域运算的方案的10%。
-
公开(公告)号:CN103150514B
公开(公告)日:2015-09-09
申请号:CN201310072567.5
申请日:2013-03-07
Applicant: 中国科学院软件研究所
IPC: G06F21/57
Abstract: 本发明公开了一种基于移动设备的可信模块及其可信服务方法。本发明的可信模块包括一移动设备和一可信平台模块;所述移动设备上构建有安全世界和正常世界,所述可信平台模块部署在所述移动设备的安全世界;所述可信平台模块包括可信服务进程、可信模块库和密码库;其中:可信服务进程负责监听并解析来自各种计算平台的可信命令请求,并根据可信命令的类型信息交给可信模块库中相应的可信功能模块进行处理;可信模块库包括多个可信功能模块,每个可信功能模块完成与各种选定安全芯片兼容的可信功能;密码库包括多个密码算法,为可信模块库提供支撑的密码服务。本发明真正地实现了跨多种平台的便携式可信模块,能够为各种应用提供安全和可信保障。
-
公开(公告)号:CN103152350A
公开(公告)日:2013-06-12
申请号:CN201310082307.6
申请日:2013-03-14
Applicant: 中国科学院软件研究所
Abstract: 本发明涉及一种保护终端配置隐私的可信网络接入方法及系统,可信网络接入系统由以下的实体组成:接入终端、策略执行点、策略判定点和网络服务,方法为:1)接入终端获取平台身份后接入网络,建立安全信道;没有平台身份的接入终端需要申请获得平台身份;2)接入终端通过策略执行点进行平台安全属性证明和平台身份验证;3)所述接入终端接入网络服务,验证成功后对网络进行访问。为网络服务提供了终端安全属性证明服务,保护了终端平台的配置隐私。
-
Patent Agency Ranking
公开(公告)号:CN103150514A
公开(公告)日:2013-06-12
申请号:CN201310072567.5
申请日:2013-03-07
Applicant: 中国科学院软件研究所
IPC: G06F21/57
Abstract: 本发明公开了一种基于移动设备的可信模块及其可信服务方法。本发明的可信模块包括一移动设备和一可信平台模块;所述移动设备上构建有安全世界和正常世界,所述可信平台模块部署在所述移动设备的安全世界;所述可信平台模块包括可信服务进程、可信模块库和密码库;其中:可信服务进程负责监听并解析来自各种计算平台的可信命令请求,并根据可信命令的类型信息交给可信模块库中相应的可信功能模块进行处理;可信模块库包括多个可信功能模块,每个可信功能模块完成与各种选定安全芯片兼容的可信功能;密码库包括多个密码算法,为可信模块库提供支撑的密码服务。本发明真正地实现了跨多种平台的便携式可信模块,能够为各种应用提供安全和可信保障。
-
公开(公告)号:CN108171042B
公开(公告)日:2021-07-30
申请号:CN201711137938.8
申请日:2017-11-16
Applicant: 中国科学院软件研究所
Abstract: 本发明是一种基于可信执行环境的系统配置属性证明方法。该方法包括:1)在证明方的计算机系统启动时,利用可信执行环境技术将内存和外设配置划分为安全区域和非安全区域;2)在安全区域内部署密码学服务程序、非易失性存储设备的驱动程序、安全区域完整性证明程序;3)在非安全区域部署实现配置属性证明协议的主体程序;4)在配置属性证明协议运行之前,证明方首先运行安全区域中的完整性证明程序,向验证方证实自身的安全区域的完整性;5)依次执行配置属性证明协议的初始化过程、证书颁发过程、证明过程和验证过程。采用本发明,证明方可以证明自己的计算机系统的配置满足特定的安全属性,同时能够保护配置的隐私性。
-
公开(公告)号:CN109766688B
公开(公告)日:2021-05-18
申请号:CN201811488026.X
申请日:2018-12-06
Applicant: 深圳供电局有限公司 , 中国科学院软件研究所 , 南方电网科学研究院有限责任公司
Abstract: 本发明属于计算机操作系统安全增强技术领域,具体涉及一种基于Merkle树的Linux程序运行时验证与管控方法和系统。本发明借鉴了IMA架构和Merkle哈希树方法,将程序度量时机由启动时转变为真正载入内存时和运行时,将程序度量对象由程序代码段转变为程序代码段的片段。由于Linux应用程序一般由操作系统切分为多个片段,且各片段只在实际被访问时从磁盘加载入内存,因而本发明不再采用IMA在程序启动时验证整个可执行程序文件的方式,转而在程序片段实际载入时验证该片段的完整性,并进行管控处理。本发明为使用Linux操作系统的计算机设备提供一个安全可靠的程序运行时度量与管控机制。
-
公开(公告)号:CN108171042A
公开(公告)日:2018-06-15
申请号:CN201711137938.8
申请日:2017-11-16
Applicant: 中国科学院软件研究所
Abstract: 本发明是一种基于可信执行环境的系统配置属性证明方法。该方法包括:1)在证明方的计算机系统启动时,利用可信执行环境技术将内存和外设配置划分为安全区域和非安全区域;2)在安全区域内部署密码学服务程序、非易失性存储设备的驱动程序、安全区域完整性证明程序;3)在非安全区域部署实现配置属性证明协议的主体程序;4)在配置属性证明协议运行之前,证明方首先运行安全区域中的完整性证明程序,向验证方证实自身的安全区域的完整性;5)依次执行配置属性证明协议的初始化过程、证书颁发过程、证明过程和验证过程。采用本发明,证明方可以证明自己的计算机系统的配置满足特定的安全属性,同时能够保护配置的隐私性。
-
公开(公告)号:CN103095462A
公开(公告)日:2013-05-08
申请号:CN201310027966.X
申请日:2013-01-24
Applicant: 中国科学院软件研究所
Abstract: 本发明公开一种基于代理重加密和安全芯片的数据广播分发保护方法,其步骤包括:数据使用者采用配备有安全芯片的通用计算机系统作为计算设备;数据分发之前,数据所有者和使用者商定双方的公共安全参数和密码学算法且该安全芯片获得加密密钥;数据所有者生成数据加密包并将对硬件的配置要求与其绑定,然后广播至公共渠道,数据使用者从公共渠道获取数据加密包;安全芯片进行计算机系统配置检查,如果符合配置要求则对数据加密包进行重加密,然后数据使用者对重加密的数据进行解密,如果不符合配置要求则拒绝解密。本发明方法可以确保数据使用方的计算平台只有满足特定配置时才能够得到和使用分发的数据,保护力度强,实施成本低。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.021 seconds)
