公开(公告)号：CN109753453A

公开(公告)日：2019-05-14

申请号：CN201811601919.0

申请日：2018-12-26

Applicant: 北京可信华泰信息技术有限公司 ,  北京可信华泰科技有限公司

Inventor： 孙瑜 ,  杨秩 ,  王强 ,  王涛

IPC: G06F12/14

Abstract: 本发明涉及一种存储隔离的可信系统，所述系统包括：中央处理器、可信平台控制模块(TPCM)；可信平台控制模块通过PCIE总线接入可信系统的主板；可信平台控制模块通过只读的访问中央处理器的存储空间以获取主动度量所需的数据，可信平台控制模块基于度量策略对所述数据进行度量，并将度量结果保存在所述可信平台控制模块的存储空间中。本发明能够将接入总线的存储器以及处理芯片内部的存储器均进行连续的存储空间映射，从而进行多存储器的集中管理；通过区别的地址映射，使得存储空间为对部分组件可见，而对其他不可见，过这样的方式使得中央处理器和可信平台控制模块之间存储隔离。

公开(公告)号：CN104298925B

公开(公告)日：2017-07-21

申请号：CN201410540720.7

申请日：2014-10-14

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  王大海 ,  李小刚 ,  王涛

IPC: G06F21/57

Abstract: 本发明公开了操作系统主动免疫平台的设计和实现方法，所述实现方法包括如下步骤：（1）初始化步骤；（2）控制机制步骤：截获系统调用行为，依据可信基准库提供的控制策略判定该调用行为是否被控制，如果该调用行为不被控制则允许执行，否则将该调用行为的主/客体信息传递给度量机制步骤；（3）度量机制步骤：依据可信基准库提供的度量策略判定度量该系统调用行为所需要的度量点，并将度量点信息传递给判定机制步骤；（4）判定机制步骤：依据度量机制步骤传递的度量点信息并根据可信基准库提供的判定策略决定调用相应的判定引擎进行判定，获得初步判定结果，并依据可信基准库提供的判定基准值调用综合判定引擎，综合判定引擎对各个初步判定结果进行综合判定并将综合判定结果返回给控制机制步骤，以及（5）执行步骤：控制机制步骤根据判定机制步骤返回的综合判定结果执行相应操作。

公开(公告)号：CN112306754B

公开(公告)日：2024-05-24

申请号：CN202011221194.X

申请日：2020-11-05

Applicant: 中国电子信息产业集团有限公司 ,  中国长城科技集团股份有限公司 ,  中电(海南)联合创新研究院有限公司 ,  北京可信华泰信息技术有限公司 ,  天津飞腾信息技术有限公司 ,  麒麟软件有限公司 ,  澜起科技股份有限公司 ,  迈普通信技术股份有限公司 ,  中软信息系统工程有限公司

Inventor： 成联国 ,  黎建根 ,  史阳 ,  林俊 ,  刘全仲 ,  黄明 ,  王涛 ,  李信德 ,  姬一文 ,  李毅 ,  雷晓龙 ,  符兴斌

IPC: G06F11/14 ,  G06F9/4401

Abstract: 本公开实施例提供了一种基于可信的UEFI固件恢复方法、装置、介质和设备，属于可信计算机技术领域。该方法包括：可信固件从固件存储器的可信只读区读取UEFI固件压缩数据至可信计算内存区；可信固件对所述UEFI固件压缩数据解压缩获得解压后的UEFI固件；可信固件将所述解压后的UEFI固件复制到通用计算内存区；可信固件对复制到通用计算内存区的UEFI固件进行度量；度量通过后，可信固件使能通用计算核启动所述通用计算内存区的UEFI固件以完成UEFI固件恢复。通过本公开实施例提供的技术方案，通过可信的环境，能够在UEFI固件损坏的情况下，提高UEFI固件恢复的效率与安全性。

公开(公告)号：CN112631661B

公开(公告)日：2024-04-02

申请号：CN202011486789.8

申请日：2020-12-16

Applicant: 中国电子信息产业集团有限公司 ,  中电(海南)联合创新研究院有限公司 ,  奇安信科技集团股份有限公司 ,  北京可信华泰信息技术有限公司 ,  澜起科技股份有限公司 ,  麒麟软件有限公司 ,  天津飞腾信息技术有限公司 ,  中国长城科技集团股份有限公司 ,  中软信息系统工程有限公司 ,  迈普通信技术股份有限公司

Inventor： 黄明 ,  徐贵斌 ,  王涛 ,  李毅 ,  姬一文 ,  冯彦朝 ,  成联国 ,  王定健 ,  胥攀

IPC: G06F9/38 ,  G06F21/52

Abstract: 本公开提供一种程序安全管控方法、装置、设备及存储介质，涉及计算机安全技术领域。该方法包括：安全管控模块获取运行程序执行的指令流；对所述指令流进行分割，获取指令流单元；根据所述指令流单元获得所述运行程序执行的流程；根据所述运行程序获取指令流程列表；所述安全管控模块在根据所述指令流程列表判定所述运行程序执行的流程异常时，进行异常处理。该方法实现了显卡、网卡等板卡以及虚拟机软件的安全管控。

公开(公告)号：CN111158906B

公开(公告)日：2023-04-28

申请号：CN201911316467.6

申请日：2019-12-19

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  王涛 ,  王强 ,  洪宇

IPC: G06F9/50 ,  G06F9/455 ,  H04L67/10

Abstract: 本发明公开了一种主动免疫可信云系统，包括：云平台系统和租户业务系统，云平台系统包括可信平台控制模块TPCM、物理机可信基础软件以及可信计算虚拟化支撑平台，通过TPCM和物理机可信基础软件保障底层云平台服务的安全运行，通过可信计算虚拟化支撑平台为每个虚拟机提供虚拟可信平台控制模块VTPCM；租户业务系统包括虚拟机可信基础软件，虚拟机可信基础软件用于在VTPCM支撑下对虚拟机可信计算环境进行主动防护。本发明通过TPCM和物理机可信基础软件保障物理计算环境可信，物理计算环境可信保障云平台服务和虚机运行环境可信，本发明为每个虚机建立虚拟VTPCM，为虚机可信提供支撑，虚拟机内部可信基础软件以VTPCM为支持，保障虚拟机计算环境可信。

公开(公告)号：CN111143030B

公开(公告)日：2023-04-28

申请号：CN201911317120.3

申请日：2019-12-19

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  王强 ,  王涛 ,  王大海

IPC: G06F9/455 ,  G06F9/48

Abstract: 本发明公开了一种云环境可信虚拟机的迁移方法，方法包括：S1、当可信虚拟机处理租户业务的时间间隔低于第一预设时间时，根据动态迁移模式将可信虚拟机从源物理机迁移至目的物理机；S2、当可信虚拟机处理租户业务的时间间隔达到第二预设时间时，根据静态迁移模式将可信虚拟机从源物理机迁移至目的物理机。本发明的可信虚拟机迁移包括动态迁移和静态迁移两种模式，动态迁移适用于租户业务时间连续性要求高的场景，静态迁移适用于租户业务时间连续性要求不高的场景。满足了虚拟机上租户业务的时间连续性的不同要求。

公开(公告)号：CN109861970B

公开(公告)日：2022-04-22

申请号：CN201811548177.X

申请日：2018-12-18

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  夏攀 ,  王强 ,  洪宇 ,  王大海 ,  王涛

IPC: H04L9/40 ,  H04L9/06

Abstract: 本发明涉及一种基于可信策略的系统，所述系统包括三个核心层，其中最底层需建立可信平台控制模块TPCM，属于可信操作系统的底层支持，中间层需在Windows平台下建立可信资源收集模块，将相关操作转换为属性集发送给策略度量点，最顶层需建立可信资源策略模型，用于评估文件执行的可行性，并将结果返回给可信软件基，通过本发明中的基于可信策略的系统，可实现策略许可集合到属性集合的高效转换，以及完成身份认证并逐步分析属性需求，从而确保了策略决策点和协调器之间的通信可信。

公开(公告)号：CN111310193B

公开(公告)日：2022-03-15

申请号：CN202010089058.3

申请日：2020-02-12

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  王涛 ,  李春燕 ,  于洪伟 ,  洪宇

IPC: G06F21/57

Abstract: 本发明公开了一种数据处理方法、装置、存储介质和处理器。其中，该方法包括：获取可信平台控制模块与外部对象之间的数据交互指令，其中，外部对象为可信计算平台中需要与可信平台控制模块进行数据交互的对象；从至少一个接口中确定与数据交互指令对应的目标接口，其中，可信平台控制模块包括至少一个接口；通过目标接口执行对应的数据交互功能，其中，数据交互功能用于使可信平台控制模块与外部对象之间进行数据交互。本发明解决了可信平台控制模块的适配性低的技术问题。

公开(公告)号：CN110334521B

公开(公告)日：2022-03-15

申请号：CN201910611570.7

申请日：2019-07-08

Applicant: 北京可信华泰信息技术有限公司

Inventor： 孙瑜 ,  王强 ,  洪宇 ,  王涛

IPC: G06F21/57

Abstract: 本申请公开了一种可信计算系统构建方法、装置、可信计算系统及处理器。该方法包括：建立目标芯片与外接持久化存储区之间的连接，以构建可信计算模块，其中，持久化存储区用于存储可信平台控制模块固件、可信软件基以及可信密码模块固件，目标芯片读取可信平台控制模块固件、可信软件基以及可信密码模块固件；通过PCIE接口和预置接口建立可信计算模块与计算机主板之间的连接，以构建可信计算系统，通过本申请，解决了相关技术中以TPM方式所实现的可信计算系统难以提升计算机系统的防御能力的问题。

公开(公告)号：CN110012074B

公开(公告)日：2021-11-30

申请号：CN201910183976.X

申请日：2019-03-12

Applicant: 北京可信华泰信息技术有限公司 ,  北京可信华泰科技有限公司

Inventor： 孙瑜 ,  田健生 ,  杨秩 ,  王涛

IPC: H04L29/08 ,  G06F9/455 ,  H04L29/06

Abstract: 本发明公开了一种云环境可信上下文管理方法，包括：S1、建立云环境系统，所述云环境系统包括：物理机和物理TPCM，以及多个虚拟机，每个虚拟机对应一个VTPCM；S2、给云环境系统添加可信上下文管理机制，包括：给物理TPCM添加上下文管理和任务调度，上下文管理包括：给物理机设置专用的TPCM上下文并保存在物理TPCM中，给每个虚拟机设置一个专用的VTPCM上下文并分别保存在每个虚拟机对应的VTPCM中；给物理机的可信支撑机制添加虚拟机上下文管理和命令发送并发处理；给每个虚拟机的VTPCM上下文添加命令转发和任务调度。本发明所提供的方法，能够并发处理来自物理机自身不同会话的命令和来自不同虚拟机的不同会话的命令，提高了处理效率。