公开(公告)号：CN108038026B

公开(公告)日：2021-11-30

申请号：CN201711144794.9

申请日：2017-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  夏鲁宁 ,  管乐 ,  林璟锵 ,  王沛莹 ,  马原 ,  王跃武

IPC: G06F11/14 ,  G06F12/02 ,  G06F12/06

Abstract: 本发明公开了一种基于闪存的数据快速恢复方法与系统，利用闪存数据非原位更新的特点，通过在基于闪存的存储设备中进行元数据备份、修改地址映射与垃圾回收等机制实现快速的数据恢复。在需恢复数据准备阶段，用户向基于闪存的存储设备中正常写入数据，在闪存转换层接收到来自上层系统的存储命令后，对需恢复数据的相关元数据进行备份。在需恢复数据修改阶段，合法或非合法用户对数据进行增删改操作，通过修改闪存转换层中的地址映射、垃圾回收机制保证需恢复数据的完整性。在需恢复数据恢复阶段，闪存转换层接收到来自上层系统的恢复命令，通过恢复需恢复数据的元数据来恢复需要恢复的数据。

公开(公告)号：CN104461678B

公开(公告)日：2017-11-24

申请号：CN201410609724.6

申请日：2014-11-03

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC: G06F9/455 ,  G06F21/31

Abstract: 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。

公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104461678A

公开(公告)日：2015-03-25

申请号：CN201410609724.6

申请日：2014-11-03

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC: G06F9/455 ,  G06F21/31

Abstract: 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC: H04L9/30 ,  G06F9/50

CPC classification number: G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN108052415B

公开(公告)日：2022-01-04

申请号：CN201711144811.9

申请日：2017-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  管乐 ,  林璟锵 ,  夏鲁宁 ,  龙飞 ,  马原 ,  王跃武

IPC: G06F11/14 ,  G06F21/57

Abstract: 本发明公开了一种恶意软件检测平台快速恢复方法及系统。本发明基于ARM构架中的TrustZone技术实现，由两部分组成：位于用户域操作系统中的具有转发指令功能的应用程序和位于安全域中的安全域操作系统。由位于用户域操作系统中的指令转发应用程序触发，它能转发备份或者恢复指令。位于安全域中的安全域操作系统在收到指令后，根据具体的指令可实现平台的备份与恢复。位于安全域的安全域操作系统收到备份指令时，将平台内存中的数据复制到特定的内存区域进行备份，并向平台的基于闪存的存储设备发出备份指令。当安全域的安全域操作系统收到恢复指令时，利用之前备份的内存数据恢复内存，并向平台的基于闪存的存储设备发出恢复指令。

公开(公告)号：CN103607279B

公开(公告)日：2017-01-04

申请号：CN201310565691.5

申请日：2013-11-14

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC: H04L9/30 ,  G06F9/50

CPC classification number: G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN108052415A

公开(公告)日：2018-05-18

申请号：CN201711144811.9

申请日：2017-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  管乐 ,  林璟锵 ,  夏鲁宁 ,  龙飞 ,  马原 ,  王跃武

IPC: G06F11/14 ,  G06F21/57

Abstract: 本发明公开了一种恶意软件检测平台快速恢复方法及系统。本发明基于ARM构架中的TrustZone技术实现，由两部分组成：位于用户域操作系统中的具有转发指令功能的应用程序和位于安全域中的安全域操作系统。由位于用户域操作系统中的指令转发应用程序触发，它能转发备份或者恢复指令。位于安全域中的安全域操作系统在收到指令后，根据具体的指令可实现平台的备份与恢复。位于安全域的安全域操作系统收到备份指令时，将平台内存中的数据复制到特定的内存区域进行备份，并向平台的基于闪存的存储设备发出备份指令。当安全域的安全域操作系统收到恢复指令时，利用之前备份的内存数据恢复内存，并向平台的基于闪存的存储设备发出恢复指令。

公开(公告)号：CN108038026A

公开(公告)日：2018-05-15

申请号：CN201711144794.9

申请日：2017-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  夏鲁宁 ,  管乐 ,  林璟锵 ,  王沛莹 ,  马原 ,  王跃武

IPC: G06F11/14 ,  G06F12/02 ,  G06F12/06

Abstract: 本发明公开了一种基于闪存的数据快速恢复方法与系统，利用闪存数据非原位更新的特点，通过在基于闪存的存储设备中进行元数据备份、修改地址映射与垃圾回收等机制实现快速的数据恢复。在需恢复数据准备阶段，用户向基于闪存的存储设备中正常写入数据，在闪存转换层接收到来自上层系统的存储命令后，对需恢复数据的相关元数据进行备份。在需恢复数据修改阶段，合法或非合法用户对数据进行增删改操作，通过修改闪存转换层中的地址映射、垃圾回收机制保证需恢复数据的完整性。在需恢复数据恢复阶段，闪存转换层接收到来自上层系统的恢复命令，通过恢复需恢复数据的元数据来恢复需要恢复的数据。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。