公开(公告)号：CN118484268A

公开(公告)日：2024-08-13

申请号：CN202410916512.6

申请日：2024-07-09

Applicant: 北京工业大学

Inventor： 张建标 ,  余乐浩 ,  韩宇飞

IPC: G06F9/455 ,  G06F21/53 ,  G06F21/64

Abstract: 本发明提供一种基于独立内核的Kata容器的完整性度量方法及装置，方法包括：在Kata容器的虚拟机启动前，对虚拟机镜像文件进行完整性度量，并在度量成功后启动虚拟机；在启动虚拟机后，获取容器基础镜像文件以及对容器基础镜像文件进行完整性度量，并在度量成功后创建并运行Kata容器；在Kata容器运行期间，对可执行文件进行摘要运算生成第一度量值，对库文件进行摘要运算生成第二度量值，对运行进程的代码段进行摘要运算生第三度量值，并分别基于第一度量值、第二度量值和第三度量值进行完整性度量。本发明通过引入可信完整性度量机制，保证Kata容器的可信启动及容器运行时数据不被篡改，防止容器逃逸问题。

公开(公告)号：CN116108447A

公开(公告)日：2023-05-12

申请号：CN202211627495.1

申请日：2022-12-16

Applicant: 北京工业大学

Inventor： 张建标 ,  韩宇飞 ,  黄昊翔 ,  胡俊

IPC: G06F21/57 ,  G06F21/46 ,  G06F21/33

Abstract: 本发明提供一种可信证明方法、装置和电子设备，包括：响应于用户的登录指令，向可信管理平台发送背书密钥；接收可信管理平台发送的用户实例登录成功信息；基于与可信管理平台的交互信息实现平台身份密钥的签发与验证，存储平台身份密钥证书；接收可信管理平台发送的可信证明请求和度量策略；校验可信证明请求以及分析度量策略，并获取平台身份密钥和平台身份密钥证书；基于度量策略生成应用进程和数据资源的可信信息，基于可信信息和平台身份密钥生成平台配置寄存器摘要报告，以及基于平台身份密钥证书和可信信息生成可信报告；将平台配置寄存器摘要报告和可信报告发送至可信管理平台进行报告验证。本发明用以证明远程计算平台的安全可信。

公开(公告)号：CN115292715A

公开(公告)日：2022-11-04

申请号：CN202210921989.4

申请日：2022-08-02

Applicant: 北京工业大学 ,  支付宝(杭州)信息技术有限公司

Inventor： 胡俊 ,  付颖芳 ,  张磊 ,  张建标 ,  韩宇飞 ,  武鹏

IPC: G06F21/57 ,  G06F9/445 ,  G06F9/54

Abstract: 本说明书实施例公开了一种安全协作方法和可信系统，涉及计算机系统安全技术领域。安全协作方法可以通过可信系统实现，包括：获取对宿主设备的监控数据；基于所述监控数据生成消息；基于预设的消息路由信息将所述消息发送给所述可信系统中的安全功能组件，以便驱动所述安全功能组件运行或者驱动所述安全功能组件与所述可信系统中其他的一个或多个安全功能组件协同运行，进而生成响应于所述监控数据的控制策略；基于所述控制策略对宿主设备进行控制，以确保宿主设备的信息安全。由此，安全协作方法以消息作为组件运行的驱动，自动实现不同的安全处理机制，提供系统实现效率的同时增加了系统自身的安全性。

公开(公告)号：CN116112214A

公开(公告)日：2023-05-12

申请号：CN202211610336.0

申请日：2022-12-14

Applicant: 北京工业大学

Inventor： 张建标 ,  韩宇飞 ,  黄昊翔 ,  胡俊

IPC: H04L9/40

Abstract: 本发明提供一种跨网路边界的资源访问方法、装置和电子设备，方法包括：控制第一可信证明模块接收边界设备发送的网络连接请求；控制第一可信证明模块基于网络连接请求进行信息确认，并确定执行网络连接的进程；控制安全标记模块对进程进行本地安全标记，得到安全标记；控制访问控制模块基于安全标记对外部主机和内部主机进行合法性验证；控制安全预测模块基于可信证明信息、信任关系以及安全标记对网络连接请求进行安全状态预测，得到敏感性标记；控制访问控制模块基于安全标记和敏感性标记，确定对网络连接请求的资源访问策略。本发明用以提高跨网络执行资源访问的安全性。

公开(公告)号：CN116112214B

公开(公告)日：2024-08-23

申请号：CN202211610336.0

申请日：2022-12-14

Applicant: 北京工业大学

Inventor： 张建标 ,  韩宇飞 ,  黄昊翔 ,  胡俊

IPC: H04L9/40

Abstract: 本发明提供一种跨网路边界的资源访问方法、装置和电子设备，方法包括：控制第一可信证明模块接收边界设备发送的网络连接请求；控制第一可信证明模块基于网络连接请求进行信息确认，并确定执行网络连接的进程；控制安全标记模块对进程进行本地安全标记，得到安全标记；控制访问控制模块基于安全标记对外部主机和内部主机进行合法性验证；控制安全预测模块基于可信证明信息、信任关系以及安全标记对网络连接请求进行安全状态预测，得到敏感性标记；控制访问控制模块基于安全标记和敏感性标记，确定对网络连接请求的资源访问策略。本发明用以提高跨网络执行资源访问的安全性。

公开(公告)号：CN118519725A

公开(公告)日：2024-08-20

申请号：CN202410915965.7

申请日：2024-07-09

Applicant: 北京工业大学

Inventor： 张建标 ,  王一帆 ,  韩宇飞

IPC: G06F9/455 ,  G06F21/53 ,  G06F21/64

Abstract: 本发明提供一种基于共享内核的容器动态度量方法、装置，方法包括：通过将容器对应的命名空间标识符与容器运行时所需关键文件的基准值以及应用进程的代码段基准值进行组合，生成文件度量键值对和进程代码段度量键值对。基于钩子函数确定待度量容器；当待度量容器的当前命名空间标识符在预先存储的命名双向链表中时，基于关键文件的文件摘要值和待度量容器内运行的应用进程的进程代码段摘要值，与预先存储的度量键值对进行比对，得到比较结果。本发明提供的方法，基于命名空间标识符实现多容器文件的区分，进而实现多容器的动态度量，从而保障了基于共享内核的多容器环境下容器全生命周期运行的可信性和安全性。