-
公开(公告)号:CN112882799A
公开(公告)日:2021-06-01
申请号:CN202110239790.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移系统,涉及虚拟化安全领域,该系统包括内置安全芯片、服务器操作系统、虚拟机管理器,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN112860380A
公开(公告)日:2021-05-28
申请号:CN202110240840.5
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移方法,涉及虚拟化安全领域,在源服务器的虚拟机管理器中设置虚拟度量设备模块,对虚拟机内存进行读取和度量,将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中,再加密传输给目的服务器的内置安全芯片中;当刷新脏页至设定阈值以下时,使源服务器的虚拟机进入挂起状态,然后加密传输虚拟机的剩余内存信息;目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,并根据恢复情况执行对应操作。本发明可以防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN106844002B
公开(公告)日:2019-12-31
申请号:CN201611201662.0
申请日:2016-12-23
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于虚拟化技术的云平台客户机系统可用性提升方法。该方法包括:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据可疑进程与其它进程的行为交互形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报则杀死可疑进程及与其存在依赖关系的进程;若为虚报则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。本发明能够在安全防护工具发生误报时确保客户机持续不断地运行,不用进行回滚、暂停、重启等操作,并维护客户机系统应有的状态。
-
公开(公告)号:CN107622199B
公开(公告)日:2019-12-17
申请号:CN201710859852.X
申请日:2017-09-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种云环境中Flush‑Reload缓存侧信道攻击防御方法和装置。该方法包括:1)选取要保护的安全敏感模块;2)防护进程和目标进程共用CPU缓存;3)防护进程和目标进程共享安全敏感模块的内存;4)当目标进程运行安全敏感模块时,防护进程以一定策略混淆共享的该安全敏感模块的内存,对缓存状态进行干扰,从而防御Flush‑Reload缓存侧信道攻击。本发明主要通过不断在Flush‑Reload攻击所利用的高速缓存信道引入噪声来干扰攻击实例,能够有效地保护用户隐私信息。
-
公开(公告)号:CN107239696A
公开(公告)日:2017-10-10
申请号:CN201710233167.6
申请日:2017-04-11
Applicant: 中国科学院信息工程研究所
CPC classification number: G06F21/53 , G06F21/577
Abstract: 本发明涉及一种针对虚拟化超级调用函数的漏洞热修复方法。该方法包括:1)根据Xen系统的e820表计算Xen物理内存起始地址;2)根据计算出的Xen物理内存起始地址及Xen内存分布,计算超级调用表的虚拟地址所映射到的物理地址;3)通过特权域Domain0获取补丁机器码,并将补丁写入内存,记录补丁函数的物理地址;4)根据待修复的超级调用处理函数对应的超级调用号,计算待修复的超级调用处理函数在超级调用表中对应的物理地址;5)通过特权域Domain0更新超级调用表,从而实现对超级调用处理函数的漏洞热修复。本发明能够准确地修复虚拟化平台漏洞,无需重启机器,保证了虚拟化平台上虚拟机的正常运行。
-
Patent Agency Ranking
公开(公告)号:CN106845245A
公开(公告)日:2017-06-13
申请号:CN201611191813.9
申请日:2016-12-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于Xen虚拟化平台的漏洞热修复方法。该方法通过特权域Dom0修复Xen平台漏洞,无需重启机器和暂停平台上虚拟机的运行,实现了基于Xen的虚拟化平台漏洞热修复功能;该方法通过特权域Dom0完成补丁的插入和应用,保证了补丁的可控性和安全性;该方法中新增的Xen超级调用操作,用来实现Xen与Dom0间通信,在补丁插入前和插入后分别设置标志位,不包含补丁的增删改查操作,避免了恶意攻击者利用虚拟机申请超级调用的方式破坏Xen内核函数。本发明能够准确地修复虚拟化平台漏洞,无需重启机器,保证了虚拟化平台上虚拟机的正常运行,且利用Dom0进行修复更加安全。
-
公开(公告)号:CN103559235A
公开(公告)日:2014-02-05
申请号:CN201310507897.2
申请日:2013-10-24
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种在线社交网络恶意网页检测识别方法,步骤为:1)对在线社交网络中任意一个待检测识别的网页,统计该网页中所有关键字的出现频率;根据网页中源代码将网页分成:HTML标签集合或JavaScript集合或URL集合中一种或者多种不同类型的集合;2)从上述不为空的集合中提取辨别混淆性质得到网页的关联性特征;3)创建关联信息数据库并实时更新数据库中的网页的关联性特征,根据关联性特征提取得到网页传播速度;4)根据页传播速度,并结合统计得到的上述特征检测识别出恶意网页。本发明不但具有很好的普适性能够较准确的描述在线社交网络恶意网页的特征,而且对恶意网页的检测识别更加准确、效率更高、分析成本更低。
-
公开(公告)号:CN113127148B
公开(公告)日:2024-04-09
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN115242596A
公开(公告)日:2022-10-25
申请号:CN202210664510.3
申请日:2022-06-13
Applicant: 中国科学院信息工程研究所
IPC: H04L41/0246 , H04L41/044 , H04L41/0823 , H04L41/12 , H04L43/08 , H04L67/30 , H04L67/60 , H04L9/40
Abstract: 本发明提供了一种面向用户的网络测试床场景业务调度方法及装置,所述方法包括:创建项目场景,并接收用户的场景资源申请;资源池中的现有资源满足所述场景资源申请时,基于用户的网络需求与终端设备需求,绘制网络拓扑,以得到用户需求描述性文件;解析用户需求描述性文件,生成子任务系统,并根据各子任务系统所需信息拆解测试任务,且并行分发至各个消息队列,以使各子任务系统接受并执行测试任务。本发明解决了现有方法不够多元化及大规模网络构建功能空缺的问题。
-
公开(公告)号:CN115001744A
公开(公告)日:2022-09-02
申请号:CN202210457030.X
申请日:2022-04-27
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L67/1097
Abstract: 本发明公开了一种云平台数据完整性验证方法及系统。本发明将Intel SGX提供的硬件级安全机制与PDP方案结合部署,提出了基于硬件可信执行环境的具备安全性、通用性、实用性的云平台数据完整性保护框架‑EnclavePDP,该框架支持在SGX内执行PDP方案中安全敏感的计算并保护安全敏感的数据,消除PDP方案存在的隐私威胁,将网络级通信转为进程间通信,显著地降低了通信开销。该框架提炼了PDP方案的通用计算过程并封装为通用基础计算服务,经典密码学库被优化适配到SGX中兼容新旧PDP方案,框架支持与云存储系统进行高效部署,解决了实际应用部署PDP方案复杂低效的问题,具备实际应用部署价值。
-
-
-
-
-
-
-
-
-
Search Results
80
records
(took 0.03 seconds)
