公开(公告)号：CN104318171A

公开(公告)日：2015-01-28

申请号：CN201410527988.7

申请日：2014-10-09

Applicant: 中国科学院信息工程研究所

Inventor： 汪丹 ,  于爱民 ,  周晓湄

IPC: G06F21/62

Abstract: 本发明公开了一种基于权限标签的Android隐私数据保护方法及系统。本方法为：1)设置应用访问文件的访问策略规则，并将其加载至移动终端操作系统的内核模块中；2)该移动终端操作系统上安装每一应用时，应用框架层的包管理服务模块调用内核层接口为该应用的应用进程及其文件打上权限标签；3)当该移动终端中的一应用访问某一文件时，内核模块根据所述访问策略规则和该应用的应用进程权限标签、该文件的权限标签，判定执行访问操作或者拒绝访问；4)如果允许执行该访问操作，则在该应用成功访问该文件后，内核模块根据访问操作类型更新该文件权限标签。本发明有效避免了隐私数据在内核层遭受泄露，进一步提高了对内核层的访问实施控制。

公开(公告)号：CN103701607A

公开(公告)日：2014-04-02

申请号：CN201310728458.4

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网浙江省电力公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  周晓湄 ,  赵保华 ,  王志皓

IPC: H04L9/32 ,  H04L29/06 ,  H04L29/08 ,  G06F9/455

Abstract: 本发明提供一种虚拟机环境下可信平台模块的虚拟化方法，包括以下步骤：对虚拟平台配置寄存器vPCR进行保存、恢复和迁移；生成且迁移虚拟身份认证密钥vAIK，并进行虚拟机身份认证。本发明提供一种虚拟机环境下可信平台模块的虚拟化方法，模拟传统可信平台模块的平台配置寄存器功能，为虚拟机的迁移、保存和恢复等操作提供支持。在虚拟机迁移或恢复时，它保证存储在虚拟平台配置寄存器vPCR中的完整性测试结果代表虚拟机之前的状态。支持平台间虚拟机迁移时平台身份的建立与认证，便于用户基于远程证明等技术对自己的虚拟机状态进行检查与验证。

公开(公告)号：CN103647654A

公开(公告)日：2014-03-19

申请号：CN201310726584.6

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网浙江省电力公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  周启惠 ,  王志皓 ,  赵保华

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明涉及一种基于可信计算的配电终端密钥管理方法，所述方法包括：（1）根据配电终端构建ETM密钥结构；（2）生成基于ETM密钥的配电终端身份证书；（3）基于ETM密钥存储并管理配电终端数据；（4）基于ETM密钥远程证明配电终端状态。本发明配电终端所涉及的密钥都存储在电力可信模块ETM中，ETM为密钥提供硬件级别的保护，密钥的安全进一步保证了密钥操作结果的安全；基于配电终端身份密钥签名的终端完整性状态，可实现电网通信中配电终端的身份与状态认证，进一步增强电网通信安全。

公开(公告)号：CN103646214A

公开(公告)日：2014-03-19

申请号：CN201310700306.3

申请日：2013-12-18

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网辽宁省电力有限公司

Inventor： 徐震 ,  杨文思 ,  于爱民 ,  汪丹 ,  赵保华 ,  王志皓

IPC: G06F21/57 ,  G06F21/51

CPC classification number: G06F21/57 ,  Y04S40/24 ,  G06F21/575 ,  G06F21/51

Abstract: 本发明提供一种在配电终端中建立可信环境的方法，通过在配电终端中增加可信芯片作为硬件信任根，里面存储有预置的完整性参考值，然后在系统中加入安全启动模块，作为系统的初始运行模块。在系统启动过程中，通过对系统状态及关键的系统镜像进行完整性度量，从而保护配电终端上运行系统的完整性，构建信任，最终得以建立可信运行环境，从源头上遏止恶意软件破坏系统完整性的能力，提高配电终端系统的安全等级。