-
公开(公告)号:CN112799809A
公开(公告)日:2021-05-14
申请号:CN202110104237.4
申请日:2021-01-26
Applicant: 南京大学
Abstract: 本发明公开了一种基于高速缓存着色的资源共享和隔离的混合关键实时系统,包括cache着色模块和EDF‑VD‑C调度模块;EDF‑VD‑C调度模块用于调用调度点检测函数获取当前进程的最差执行时间、截止时间和已运行时间,计算当前时间加上最差执行时间再减去已运行时间的差值,结合计算得到的差值与截止时间的大小判断结果以及当前进程的关键等级,对cache资源进行调度,使锁定的cache资源只能赋予给非最低关键等级的当前进程使用,并且将执行当前进程后的剩余时长调度给比当前进程低等级的其他进程使用。本发明能够重点保护关键进程,同时也能够最低限度的保证非关键服务。基于资源隔离的方案,提高了系统的可预测性。
-
公开(公告)号:CN103955438A
公开(公告)日:2014-07-30
申请号:CN201410215459.3
申请日:2014-05-21
Applicant: 南京大学
IPC: G06F12/14
Abstract: 本发明是基于硬件辅助虚拟化的进程内存安全保护方法,包括步骤1:加载进程内存监控模块;步骤2:受保护进程在启动时通知监控模块;步骤3:为受保护进程的受保护内存空间创建加密拷贝;步骤4:利用影子页表机制实现对虚拟机系统的内存虚拟;步骤5:捕获CR3寄存器改写操作和页错误异常。优点:本发明创建了一个工作在Root级的监控模块监控所有进程的页目录、页表和页目录寄存器的修改以阻止受保护进程之外任何进程访问受保护进程内存空间中数据,在受保护进程切换到核心态时将替换用户态空间的页表来防止内核态代码注入攻击,并利用数据执行保护技术将受保护进程数据区页面设置为不可执行,从而防止用户态代码注入攻击。
-
公开(公告)号:CN108875370A
公开(公告)日:2018-11-23
申请号:CN201710350315.2
申请日:2017-05-15
Applicant: 南京大学
CPC classification number: G06F21/565 , G06F21/6218
Abstract: 本发明提供一种基于静态数据引用链的Linux文件系统完整性验证方法,属于计算机技术领域,尤其是系统与软件安全领域。包括如下模块:1)文件系统验证请求汇总与分发模块;2)高速缓存系统算法模块;3)查找与验证模块。本发明从静态数据对象目录项高速缓存首地址以及索引节点高速缓存首地址开始,验证文件系统不同系统调用下动态创建的数据对象以及它们之间的组织关系的完整性,全面且准确的检查文件系统在运行过程中状态的变化,有效的提高了Linux文件系统的完整性以及安全性。
-
公开(公告)号:CN106230774A
公开(公告)日:2016-12-14
申请号:CN201610554455.7
申请日:2016-07-11
Applicant: 南京大学
IPC: H04L29/06
CPC classification number: H04L63/20
Abstract: 本发明提供一种自动处理语义冲突的SeLinux策略模块合并方法,包括如下步骤:1)规则信息提取阶段:a.输入新旧SeLinux策略模块源代码文件;b.锁定规则关键词;c.依据规则依赖关系多遍扫描提取规则信息;d.结束。2)规则合并阶段:a.输入格式化的规则信息数据;b.合并元规则;c.消除转移规则语义歧义;d.处理访问向量规则冲突;e.合并安全上下文规则;f.结束。在应用SeLinux模块对操作系统安全管理目标增加新的安全需求时,本发明自动处理新增SeLinux策略模块与原策略模块之间的语义冲突,为迭代开发SeLinux策略模块提供了新的解决方案。避免了直接分析原策略模块中的复杂规则关系,对结构复杂,耦合度高的原策略模块语义进行了规避。
-
公开(公告)号:CN105843667A
公开(公告)日:2016-08-10
申请号:CN201610117437.2
申请日:2016-03-02
Applicant: 南京大学
IPC: G06F9/455
CPC classification number: G06F9/45533
Abstract: 本发明是在虚拟机管理器中动态无侵的应用进程函数调用监控方法,包括函数调用触发器插入算法、触发器代码的构造。在需要监控的时候,从被监控的应用程序的函数的入口地址开始处根据函数调用触发器插入算法选择的位置插入函数调用触发器代码,不需要监控时可以恢复原样,具有动态性和无侵性。优点:可在任何一个被监控函数的入口处开始寻找一个7字节或者9字节的位置,在这个位置根据这个位置原来的代码的情况选择长度分别为7字节和9字节两种函数调用触发代码之一进行插入。
-
Patent Agency Ranking
公开(公告)号:CN103746993A
公开(公告)日:2014-04-23
申请号:CN201410005893.9
申请日:2014-01-07
Applicant: 南京大学
Inventor: 黄皓
Abstract: 本发明是客户控制解密私钥且由服务器实施加解密的云存储数据加密方法,包括上载加密过程、密文存储过程、下载解密过程。在上载加密和下载解密短暂的过程中服务器上只有加解密进程可以接触到加密文件的一次性会话密钥,通过安全域隔离方法隔离服务器的加解密进程与其它进程,保护加解密进程在加解密过程中使用的一次性会话密钥的安全。在长期的密文存储过程中,服务器上没有任何能力可以解密客户的加密了的文件密文数据。优点:用户完全控制加解密的密钥,在文件数据存储期间服务端的任何用户都无法解密存储在云端的密文数据,服务端需要保证的唯一的安全服务功能是隔离数据加解密进程与其它进程,减少了服务端的安全管理的难度。
-
公开(公告)号:CN102184373A
公开(公告)日:2011-09-14
申请号:CN201110140909.3
申请日:2011-05-30
Applicant: 南京大学
IPC: G06F21/22
Abstract: 本发明是基于保护模式与虚拟化机制实现操作系统安全核设计方法,包括如下步骤:一、CPU保护模式提供了特权级0可以执行处理器的所有指令;非特权级1-N,只能执行处理器的部分指令;将操作系统划分成一个工作在特权级的安全核与工作在非特权级的若干个服务进程;二、安全核利用CPU保护模式,除安全核之外的进程只能做两件事:操纵自己的内存空间和向安全核发送消息。三、指定一个外存储区域存放安全核长久性数据,利用硬件虚拟化机制,保证只有安全核能访问这个区域,保障安全核的数据与代码的安全性。优点:安全核的数据与代码不会受到其它进程的破坏;资源访问都须在安全核的控制下进行;安全核非常小,便于进行形式化的描述与验证。
-
公开(公告)号:CN108875381A
公开(公告)日:2018-11-23
申请号:CN201710350406.6
申请日:2017-05-15
Applicant: 南京大学
IPC: G06F21/57
CPC classification number: G06F21/57
Abstract: 本发明公开了一种支持内核模块隔离的消息服务模块的设计方案。内核模块隔离是将内核的可划分模块利用内存页表的不可见性思想将其隔离,使得不同模块之间不能直接交互,保证对内核中某一模块的攻击所造成的影响不会扩散到其它模块。本发明主要为隔离后各个模块之间正常交互提供服务,包括两个交互点:一是将不同的系统调用通过消息分发给对应内核模块;二是不同模块之间函数调用必须借助消息服务完成信息交换。本发明主要创新点如下:1)解耦内核模块,提出借助消息服务模块完成解耦模块之间交互的方法;2)设计消息管理机制;3)针对消息管理设计进程间同步机制Msglock;4)针对消息接收方设计消息通知机制。
-
公开(公告)号:CN107194245A
公开(公告)日:2017-09-22
申请号:CN201710345893.7
申请日:2017-05-12
Applicant: 南京大学
IPC: G06F21/52
CPC classification number: G06F21/52
Abstract: 本发明公开了一种针对Linux内核页表隔离的功能调用改造方法。内核页表隔离通过将被隔离模块的代码和数据单独映射到由特定页表控制的物理地址空间中,并控制该页表的访问区间,以此实现模块间的隔离。本发明主要对Linux系统的模块间功能调用方式进行改造,以保证隔离后被隔离模块能正常访问内核中其它模块的代码和数据。主要步骤如下:(1)编写clang编译器插件获得被隔离模块的函数调用关系图;(2)编写查找算法查找接口函数调用点;(3)在被隔离模块和内核中分别实现存根子模块和回调子模块;(4)在每个调用点处用存根函数替换原接口函数;(5)重定向进程控制块以保证数据一致性。
-
公开(公告)号:CN103955438B
公开(公告)日:2016-11-23
申请号:CN201410215459.3
申请日:2014-05-21
Applicant: 南京大学
IPC: G06F12/14
Abstract: 本发明是基于硬件辅助虚拟化的进程内存安全保护方法,包括步骤1:加载进程内存监控模块;步骤2:受保护进程在启动时通知监控模块;步骤3:为受保护进程的受保护内存空间创建加密拷贝;步骤4:利用影子页表机制实现对虚拟机系统的内存虚拟;步骤5:捕获CR3寄存器改写操作和页错误异常。优点:本发明创建了一个工作在Root级的监控模块监控所有进程的页目录、页表和页目录寄存器的修改以阻止受保护进程之外任何进程访问受保护进程内存空间中数据,在受保护进程切换到核心态时将替换用户态空间的页表来防止内核态代码注入攻击,并利用数据执行保护技术将受保护进程数据区页面设置为不可执行,从而防止用户态代码注入攻击。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.018 seconds)
