-
公开(公告)号:CN102509040A
公开(公告)日:2012-06-20
申请号:CN201110308169.X
申请日:2011-10-12
Applicant: 北京工业大学
Abstract: 一种安全操作系统中的审计信息处理方法属于安全操作系统领域。本方法使用了两个接口函数、两个缓冲区、两个守护进程、一个定时器。将可信计算基中产生的审计信息区分为没有实时性要求和有实时性要求这两种,并分别通过普通审计接口和关键审计接口送入,接收到的审计信息在同步机制的控制下被写入缓冲区,进而由守护进程将缓冲区中的元素写入磁盘文件,定时器可控制关键审计守护进程周期性地写文件而不必等待缓冲区满,这种设计可以将并发的审计信息生成转化成对审计信息文件的串行写入,满足可信计算基对普通审计的高效性需求和对关键审计的实时性需求。
-
公开(公告)号:CN101788915A
公开(公告)日:2010-07-28
申请号:CN201010108793.0
申请日:2010-02-05
Applicant: 北京工业大学
Abstract: 本发明公开了一种基于可信进程树的白名单更新方法,包含监控模块、可信进程树的构建模块、可信报告模块、白名单更新模块;通过对程序间创建及调用关系的分析,准确的定位非白名单程序中的新安装合法程序和系统中的非法程序,收集到新安装程序的特征值,鉴别非法程序的特征值,使其无法加入白名单中;当新的程序安装或原有程序更新时,通过本发明中可信进程树等安全机制,安全顺利实现对白名单的更新。保证在安装及更新过程中,将特征值都不在白名单的新安装程序和计算机病毒区分开来,既能全部收集到新安装或更新的可执行程序的特征值,又保证在此过程中不会将病毒等不相关的程序的特征值误引入白名单中。
-
公开(公告)号:CN101281570B
公开(公告)日:2010-07-28
申请号:CN200810113127.9
申请日:2008-05-28
Applicant: 北京工业大学
Abstract: 一种可信计算系统属于信息安全领域。其特征在于:设置安全控制器,该安全控制器通过通讯线连接到系统主板南桥控制器上,再通过通信线将BOOT ROM连接到安全控制器上;该安全控制器还分别通过通讯线连接可信安全模块以及主板外围设备;所述安全控制器包括总线地址映射单元、安全隔离单元、策略执行单元、固化策略单元和动态策略单元组成。通过该方案中的可信安全模块和安全控制器的协助,提供了一种对主板外围设备的访问控制策略,为BIOS代码管理操作提供了实时保护的方法,同时也提供了对主板外围设备通讯数据的实时病毒检测功能。
-
公开(公告)号:CN101281577A
公开(公告)日:2008-10-08
申请号:CN200810111682.8
申请日:2008-05-16
Applicant: 北京工业大学
Abstract: 一种对BIOS进行保护的可信计算系统及其应用方法属于信息安全领域,特征在于可信计算模块与BOOT ROM的物理连接方式:先将所述可信计算模块连接到系统主板上,再通过通信总线将BOOT ROM连接到可信计算模块上。可信计算模块包括DMA控制器、FIFO单元、安全隔离单元;DMA控制器用于将BIOS代码读入到可信计算模块的FIFO单元或者将BIOS代码从FIFO单元中读出到可信计算模块I/O总线上;FIFO用于暂存待处理的BIOS代码;安全隔离单元用于防止可信计算模块外部恶意程序读取可信计算模块内部存储单元机密信息。本发明对BIOS代码的读写和更新都需要对当前操作用户进行身份认证和口令认证,保证BIOS关键代码自身的安全性;通过硬件方法实现设备访问控制,达到对主板外围设备进行主动控制的效果。
-
公开(公告)号:CN102034052A
公开(公告)日:2011-04-27
申请号:CN201010579978.X
申请日:2010-12-03
Applicant: 北京工业大学
IPC: G06F21/20
Abstract: 一种基于三权分立的操作系统体系结构及实现方法,其权限被分为系统管理权、安全管理权、安全审计权;系统管理权对应于操作系统中的管理子系统,安全安全管理权对应于操作系统中的安全管理子系统,安全审计权对应于操作系统中的审计子系统;删除管理员,将登录操作系统进行实际操作的用户命名为操作员;运行在WINDOWS内核层的文件过滤驱动程序PriKernel,完成三权分立的控制体系,在加载安全策略后,通过上层可信代理,截获操作系统应用层与底层文件系统间的通信信息,然后送至三权分立的三个子系统进行判定;彻底去除了管理员角色,实现了权限分离。降低了管理员误判导致的系统安全事故,也禁止了管理员由于某种目的而进行的非法操作。
-
Patent Agency Ranking
公开(公告)号:CN101281577B
公开(公告)日:2010-06-23
申请号:CN200810111682.8
申请日:2008-05-16
Applicant: 北京工业大学
Abstract: 一种对BIOS进行保护的可信计算系统及其应用方法属于信息安全领域,特征在于可信计算模块与BOOT?ROM的物理连接方式:先将所述可信计算模块连接到系统主板上,再通过通信总线将BOOT?ROM连接到可信计算模块上。可信计算模块包括DMA控制器、FIFO单元、安全隔离单元;DMA控制器用于将BIOS代码读入到可信计算模块的FIFO单元或者将BIOS代码从FIFO单元中读出到可信计算模块I/O总线上;FIFO用于暂存待处理的BIOS代码;安全隔离单元用于防止可信计算模块外部恶意程序读取可信计算模块内部存储单元机密信息。本发明对BIOS代码的读写和更新都需要对当前操作用户进行身份认证和口令认证,保证BIOS关键代码自身的安全性;通过硬件方法实现设备访问控制,达到对主板外围设备进行主动控制的效果。
-
公开(公告)号:CN101281570A
公开(公告)日:2008-10-08
申请号:CN200810113127.9
申请日:2008-05-28
Applicant: 北京工业大学
Abstract: 一种可信计算系统属于信息安全领域。其特征在于:设置安全控制器,该安全控制器通过通讯线连接到系统主板南桥控制器上,再通过通信线将BOOT ROM连接到安全控制器上;该安全控制器还分别通过通讯线连接可信安全模块以及主板外围设备;所述安全控制器包括总线地址映射单元、安全隔离单元、策略执行单元、固化策略单元和动态策略单元组成。通过该方案中的可信安全模块和安全控制器的协助,提供了一种对主板外围设备的访问控制策略,为BIOS代码管理操作提供了实时保护的方法,同时也提供了对主板外围设备通讯数据的实时病毒检测功能。
-
公开(公告)号:CN102509040B
公开(公告)日:2014-12-10
申请号:CN201110308169.X
申请日:2011-10-12
Applicant: 北京工业大学
Abstract: 一种安全操作系统中的审计信息处理方法属于安全操作系统领域。本方法使用了两个接口函数、两个缓冲区、两个守护进程、一个定时器。将可信计算基中产生的审计信息区分为没有实时性要求和有实时性要求这两种,并分别通过普通审计接口和关键审计接口送入,接收到的审计信息在同步机制的控制下被写入缓冲区,进而由守护进程将缓冲区中的元素写入磁盘文件,定时器可控制关键审计守护进程周期性地写文件而不必等待缓冲区满,这种设计可以将并发的审计信息生成转化成对审计信息文件的串行写入,满足可信计算基对普通审计的高效性需求和对关键审计的实时性需求。
-
公开(公告)号:CN102034052B
公开(公告)日:2014-04-16
申请号:CN201010579978.X
申请日:2010-12-03
Applicant: 北京工业大学
Abstract: 一种基于三权分立的操作系统体系结构及实现方法,其权限被分为系统管理权、安全管理权、安全审计权;系统管理权对应于操作系统中的管理子系统,安全安全管理权对应于操作系统中的安全管理子系统,安全审计权对应于操作系统中的审计子系统;删除管理员,将登录操作系统进行实际操作的用户命名为操作员;运行在WINDOWS内核层的文件过滤驱动程序PriKernel,完成三权分立的控制体系,在加载安全策略后,通过上层可信代理,截获操作系统应用层与底层文件系统间的通信信息,然后送至三权分立的三个子系统进行判定;彻底去除了管理员角色,实现了权限分离。降低了管理员误判导致的系统安全事故,也禁止了管理员由于某种目的而进行的非法操作。
-
公开(公告)号:CN201203867Y
公开(公告)日:2009-03-04
申请号:CN200820108099.7
申请日:2008-05-28
Applicant: 北京工业大学
Abstract: 一种可信计算系统属于信息安全领域。其特征在于:设置安全控制器,该安全控制器通过通讯线连接到系统主板南桥控制器上,再通过通信线将BOOT ROM连接到安全控制器上;该安全控制器还分别通过通讯线连接可信安全模块以及主板外围设备;所述安全控制器包括总线地址映射单元、安全隔离单元、策略执行单元、固化策略单元和动态策略单元组成。通过该方案中的可信安全模块和安全控制器的协助,提供了一种对主板外围设备的访问控制策略,为BIOS代码管理操作提供了实时保护的方法,同时也提供了对主板外围设备通讯数据的实时病毒检测功能。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.023 seconds)
