公开(公告)号：CN107948164A

公开(公告)日：2018-04-20

申请号：CN201711221952.6

申请日：2017-11-29

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 王琼霄 ,  林璟锵 ,  陈逸恺 ,  曹洪瑾

IPC分类号： H04L29/06 ,  H04W12/06

CPC分类号： H04L63/068 ,  H04L63/0846 ,  H04W12/06

摘要： 本发明公开了一种结合物理认证因素的Wi-Fi口令动态更新方法及系统。本方法为：移动终端获取无线接入点的初始Wi-Fi口令；其中，物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数，以及根据当前发布的所述物理认证参数和之前的Wi-Fi口令计算当前使用的Wi-Fi口令；移动终端收到Wi-Fi信号后，判断当前使用的Wi-Fi口令是否已更新，如果已更新，则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数；然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi-Fi口令计算当前使用的Wi-Fi口令。

公开(公告)号：CN105184154B

公开(公告)日：2017-06-20

申请号：CN201510586037.1

申请日：2015-09-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  祝凯捷 ,  张令臣 ,  罗勃 ,  蔡权伟 ,  李从午 ,  荆继武 ,  潘无穷

IPC分类号： G06F21/53

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F2009/45591 ,  H04L9/0816 ,  H04L9/088 ,  H04L9/3242

摘要： 本发明涉及一种在虚拟化环境中提供密码运算服务的系统和方法。该系统中，配置子系统为管理员和普通用户提供输入虚拟密码设备相关信息的接口；密钥文件存储子系统存储密钥文件，并使用保护口令进行保护；虚拟机运行子系统根据配置子系统的输入，从存储子系统中获取相应的密钥文件并为客户虚拟机创建虚拟密码设备，最后运行客户虚拟机，为客户虚拟机提供密码运算服务。采用本发明，管理员/普通用户可以通过相应的接口为客户虚拟机指定密钥文件和输入保护口令，以便创建虚拟的密码设备，能够友好地对虚拟密码设备进行集中化的管理；虚拟化管理平台中的客户虚拟机可以请求安全的密码运算服务，缓解了虚拟化环境中的密钥安全问题。

公开(公告)号：CN105515771A

公开(公告)日：2016-04-20

申请号：CN201610059463.4

申请日：2016-01-28

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 朱文涛 ,  林璟锵 ,  闫伸 ,  潘适然 ,  杨玲

IPC分类号： H04L9/30 ,  H04L9/08

CPC分类号： H04L9/3013 ,  H04L9/0825

摘要： 本发明涉及一种基于离散对数难题构造并关联公钥证书的方法，包括构造过程、替换过程和验证过程；与传统网络中每个用户拥有一张公钥证书的方式不同，本发明提供了一种高效但与传统PKI机制相兼容的公钥证书管理方式，使得即便单个用户也能拥有多张相互关联的公钥证书，并根据需要以一定的顺序来使用它们。本发明较传统的公钥证书管理有多方面优势，能为用户提供包括证书自行撤销与替换在内的灵活可控的自服务机制等。

公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

摘要： 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC分类号： H04L9/30 ,  G06F9/50

CPC分类号： G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

摘要： 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN111859362A

公开(公告)日：2020-10-30

申请号：CN202010517967.2

申请日：2020-06-09

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  蔡权伟 ,  王琼霄 ,  刘广祺 ,  郭娟娟 ,  宋利

IPC分类号： G06F21/45 ,  G06F21/31

摘要： 本发明提供一种移动环境下的多级身份鉴别方法及电子装置，该方法包括：分别采集用户的移动设备数据及相应电信运营商数据；通过设定风险评估维度，计算移动设备的环境安全等级；依据所述环境安全等级对应的系统安全策略，对该用户发出至少一级身份鉴定指令或禁止操作指令；根据用户会话中包含的鉴定指令及鉴定判决信息，对用户进行判定，并对判定成功的用户签发身份票据。本发明能够向用户提供多级的身份鉴别保护能力，弥补了现有技术不足，同时通过引入风险控制来保证用户使用环境安全。

公开(公告)号：CN109684829A

公开(公告)日：2019-04-26

申请号：CN201811471745.0

申请日：2018-12-04

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC分类号： G06F21/53

CPC分类号： G06F21/53

摘要： 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN106130719A

公开(公告)日：2016-11-16

申请号：CN201610580036.0

申请日：2016-07-21

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  赵原 ,  潘无穷 ,  荆继武 ,  郑昉昱 ,  薛聪 ,  王琼霄

IPC分类号： H04L9/06 ,  H04L9/08 ,  H04L29/06

CPC分类号： H04L9/0631 ,  H04L9/0894 ,  H04L63/0428 ,  H04L63/1441

摘要： 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息，交换到内存中的数据都要进行加密，将密码算法能够并行的部分拆分到多个CPU核心上同时运行，各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置，使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂，而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时，计算速度达到OpenSSL中算法实现的70％以上。

公开(公告)号：CN105743655A

公开(公告)日：2016-07-06

申请号：CN201610176957.0

申请日：2016-03-25

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 潘无穷 ,  王平建 ,  王展 ,  黎火荣 ,  关翀 ,  荆继武 ,  林璟锵

IPC分类号： H04L9/32 ,  H04L9/30

CPC分类号： H04L9/3236 ,  H04L9/3066 ,  H04L9/3252

摘要： 本发明涉及一种哈希计算和签名验签计算分离的SM2签名验签实现方法，该方法在实现哈希计算接口时记录消息与哈希值之间的对应关系，在实现签名和验签计算接口时根据哈希值查询对应的原消息并通过原消息计算得到SM2签名或验签所需的哈希值。从而分离了SM2算法的哈希计算与签名/验签计算，达到了哈希计算接口可以单独使用的目的并且签名/验签的哈希值输入可以直接使用哈希计算的结果的目的；在原本使用其他密码算法并且相应接口符合国际通用API接口规范的系统中，可以不修改上层代码，直接替换接口实现部分以达到使用SM2算法替换原有密码算法的目的。

公开(公告)号：CN105187203A

公开(公告)日：2015-12-23

申请号：CN201510609399.8

申请日：2015-09-22

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  王伟 ,  王展 ,  王泽 ,  赵宇航

IPC分类号： H04L9/08

摘要： 本发明公开了一种无线设备间基于接收信号强度的共享密钥建立方法。本方法为：1)为两无线设备创建一安全隔离环境；2)发起设备以设定发射功率、设定时间间隔向响应设备发送多个认证请求；3)响应设备计算接收信号强度的标准差；如果低于阈值，则向发起设备回复一认证通过信息，否则认证未通过；4)发起设备生成一长度为m比特的密钥K，然后向响应设备发送m个数据包；5)响应设备记录该m个数据包的信号接收强度，根据该m个接收信号强度恢复出一个长度为m比特的密钥K’，然后回复一条用密钥K’加密的消息；6)发起设备用密钥K对进行解密，如果解密成功，则回复一条认证成功消息，完成密钥共享。本发明大大提高了通信安全性。