公开(公告)号：CN111831609B

公开(公告)日：2024-01-02

申请号：CN202010559247.2

申请日：2020-06-18

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 蔡权伟 ,  林璟锵 ,  范浩玲 ,  刘广祺 ,  王琼霄 ,  王伟

IPC分类号： G06F16/13 ,  G06F9/455

摘要： 本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中，支持统一生成不同类型二进制文件的度量值；支持对不同类型二进制文件的度量值的存储；支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值，虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明，管理人员/普通用户可以(56)对比文件meng xu .el.Toward Engineering aSecure Android Ecosystem: A Survey ofExisting Techniques《.Toward Engineering aSecure Android Ecosystem: A Survey ofExisting Techniques》.2016,全文.Chilingirian, Berj Krikor.Hashinghardware : identifying hardware duringboot-time system verification《.MITLibraries》.2017,全文.蔡梦娟.基于硬件虚拟化的虚拟机进程代码分页式度量方法《.计算机应用》.2018,第305-309页.盛志凡,王东飞,解伟.智能电视操作系统TVOS1.0安全技术体系《.广播与电视技术》.2015,全文.胡伟,姬东耀.基于信息流模型的TCB完整性策略分析方法与工具《.武汉大学学报(理学版)》.2013,全文.曲海鹏,敖赢戈,晏敏.基于上下文的Android移动终端可信运行控制系统的设计与实现《.北京交通大学学报》.2013,全文.陈兴蜀,王伟,金鑫.基于标签的vTPM私密信息保护方案《.通信学报》.2018,全文.蔡权伟.分布式Byzantine容错系统研究.《中国博士学位论文全文数据库》.2015,全文.Jiang, Fangjie, et al.TF-BIV:transparent and fine-grained binaryintegrity verification in the cloud.《Proceedings of the 35th Annual ComputerSecurity Applications Conference》.2019,全文.林杰;刘川意;方滨兴.IVirt:基于虚拟机自省的运行环境完整性度量机制.计算机学报.2014,(第01期),全文.张磊;陈兴蜀;刘亮;李辉.基于虚拟机的内核完整性保护技术.电子科技大学学报.2015,(第01期),全文.曲海鹏;敖赢戈;晏敏;于爱民;赵保华.基于上下文的Android移动终端可信运行控制系统的设计与实现.北京交通大学学报.2013,(第05期),全文.

公开(公告)号：CN111831609A

公开(公告)日：2020-10-27

申请号：CN202010559247.2

申请日：2020-06-18

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 蔡权伟 ,  林璟锵 ,  范浩玲 ,  刘广祺 ,  王琼霄 ,  王伟

IPC分类号： G06F16/13 ,  G06F9/455

摘要： 本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中，支持统一生成不同类型二进制文件的度量值；支持对不同类型二进制文件的度量值的存储；支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值，虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明，管理人员/普通用户可以在虚拟化环境对不同类型二进制文件度量值进行管理和分发；虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。

公开(公告)号：CN105184154B

公开(公告)日：2017-06-20

申请号：CN201510586037.1

申请日：2015-09-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  祝凯捷 ,  张令臣 ,  罗勃 ,  蔡权伟 ,  李从午 ,  荆继武 ,  潘无穷

IPC分类号： G06F21/53

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F2009/45591 ,  H04L9/0816 ,  H04L9/088 ,  H04L9/3242

摘要： 本发明涉及一种在虚拟化环境中提供密码运算服务的系统和方法。该系统中，配置子系统为管理员和普通用户提供输入虚拟密码设备相关信息的接口；密钥文件存储子系统存储密钥文件，并使用保护口令进行保护；虚拟机运行子系统根据配置子系统的输入，从存储子系统中获取相应的密钥文件并为客户虚拟机创建虚拟密码设备，最后运行客户虚拟机，为客户虚拟机提供密码运算服务。采用本发明，管理员/普通用户可以通过相应的接口为客户虚拟机指定密钥文件和输入保护口令，以便创建虚拟的密码设备，能够友好地对虚拟密码设备进行集中化的管理；虚拟化管理平台中的客户虚拟机可以请求安全的密码运算服务，缓解了虚拟化环境中的密钥安全问题。

公开(公告)号：CN111859362A

公开(公告)日：2020-10-30

申请号：CN202010517967.2

申请日：2020-06-09

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  蔡权伟 ,  王琼霄 ,  刘广祺 ,  郭娟娟 ,  宋利

IPC分类号： G06F21/45 ,  G06F21/31

摘要： 本发明提供一种移动环境下的多级身份鉴别方法及电子装置，该方法包括：分别采集用户的移动设备数据及相应电信运营商数据；通过设定风险评估维度，计算移动设备的环境安全等级；依据所述环境安全等级对应的系统安全策略，对该用户发出至少一级身份鉴定指令或禁止操作指令；根据用户会话中包含的鉴定指令及鉴定判决信息，对用户进行判定，并对判定成功的用户签发身份票据。本发明能够向用户提供多级的身份鉴别保护能力，弥补了现有技术不足，同时通过引入风险控制来保证用户使用环境安全。

公开(公告)号：CN109684829A

公开(公告)日：2019-04-26

申请号：CN201811471745.0

申请日：2018-12-04

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC分类号： G06F21/53

CPC分类号： G06F21/53

摘要： 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN109684829B

公开(公告)日：2020-12-04

申请号：CN201811471745.0

申请日：2018-12-04

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC分类号： G06F21/53

摘要： 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN105184154A

公开(公告)日：2015-12-23

申请号：CN201510586037.1

申请日：2015-09-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  祝凯捷 ,  张令臣 ,  罗勃 ,  蔡权伟 ,  李从午 ,  荆继武 ,  潘无穷

IPC分类号： G06F21/53

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F2009/45591 ,  H04L9/0816 ,  H04L9/088 ,  H04L9/3242

摘要： 本发明涉及一种在虚拟化环境中提供密码运算服务的系统和方法。该系统中，配置子系统为管理员和普通用户提供输入虚拟密码设备相关信息的接口；密钥文件存储子系统存储密钥文件，并使用保护口令进行保护；虚拟机运行子系统根据配置子系统的输入，从存储子系统中获取相应的密钥文件并为客户虚拟机创建虚拟密码设备，最后运行客户虚拟机，为客户虚拟机提供密码运算服务。采用本发明，管理员/普通用户可以通过相应的接口为客户虚拟机指定密钥文件和输入保护口令，以便创建虚拟的密码设备，能够友好地对虚拟密码设备进行集中化的管理；虚拟化管理平台中的客户虚拟机可以请求安全的密码运算服务，缓解了虚拟化环境中的密钥安全问题。

公开(公告)号：CN105912433A

公开(公告)日：2016-08-31

申请号：CN201610217237.4

申请日：2016-04-08

申请人： 中国科学院数据与通信保护研究教育中心

发明人： 蔡权伟 ,  江芳杰 ,  侯岳晗 ,  王平建 ,  林璟锵 ,  夏鲁宁 ,  荆继武

IPC分类号： G06F11/22 ,  G06F11/26

CPC分类号： G06F11/2273 ,  G06F11/26

摘要： 本发明公开了一种自适应的密码设备检测方法和系统。本系统包含检测机、被测密码设备和模式评估模块，检测机用来对被测密码设备进行性能测试和正确性测试，被测密码设备用来进行密码运算，模式评估模块用来评估模式匹配条件，并做出模式选择。模式评估模块通过评估检测机进行正确性验证测试的密码运算速度、检测机的数据存储速度和被测密码设备的密码运算速度的关系，自适应地选择检测模式，在不影响被测密码设备性能测试的情况下，完成对被测密码设备的正确性验证测试，使被测密码设备可以处于最佳速度进行密码运算，大大提高了性能测试的准确性，消除了检测机性能成为被测密码设备性能测试的瓶颈问题。

公开(公告)号：CN105303117B

公开(公告)日：2019-04-09

申请号：CN201510594331.7

申请日：2015-09-17

申请人： 中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  王琼霄 ,  夏鲁宁 ,  蔡权伟 ,  赵晨晓 ,  叶顶锋 ,  马存庆 ,  马自强

IPC分类号： G06F21/60 ,  H04L9/32 ,  H04L9/30

摘要： 本发明公开了一种SM2算法程序的检测方法和系统。本系统包括检测机和待检测的存储单元，检测机用于扫描存储单元中文件包含的数据。当存在数据与SM2算法中至少一个椭圆曲线参数完全匹配、或者存在数据与SM2算法椭圆曲线基点G的倍点[K]G列表中xK项或yK项中至少一项完全匹配时，则判定存储单元中有实现SM2算法的程序。其中，倍点[K]G在二维坐标系下的坐标表示为(xK,yK)，[K]G列表为xK项和yK项的集合，K为正整数，K

公开(公告)号：CN109547472B

公开(公告)日：2021-07-27

申请号：CN201811585948.2

申请日：2018-12-24

申请人： 中国科学院数据与通信保护研究教育中心

发明人： 蔡权伟 ,  郭丞乾 ,  林璟锵 ,  孟令佳 ,  王琼霄

IPC分类号： H04L29/06

摘要： 本发明提供一种可隐藏用户登录轨迹的单点登录方法。该方法包含用户、身份提供方和身份依赖方三个参与方。在用户每次登录过程中，身份依赖方与用户协商生成临时应用标识；身份提供方认证用户身份成功之后向身份依赖方返回用户身份凭据，身份凭据中实现了用户唯一标识uid和临时应用标识的绑定；身份依赖方通过两次登录过程中的临时应用标识和用户身份凭据能够判断两次登录过程是否对应同一个用户。特别地，除用户和用户登录的身份依赖方外，其他实体无法明确用户登录的身份依赖方信息，也无法判断用户的两次登录过程是否对应同一个身份依赖方，从而隐藏了用户的登录轨迹，保护了用户隐私信息。