公开(公告)号：CN108322432B

公开(公告)日：2020-05-22

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN107707356B

公开(公告)日：2019-11-26

申请号：CN201710872839.8

申请日：2017-09-25

Applicant: 中国科学院信息工程研究所

Inventor： 孙荣辛 ,  蔡权伟 ,  王琼霄 ,  赵宇航 ,  林璟锵 ,  荆继武

IPC: H04L9/32 ,  H04L9/08 ,  H04L29/06 ,  G06K7/14

Abstract: 本发明提出一种基于二维码识别的移动设备安全绑定方法，适于对移动设备与一应用系统的身份账号进行绑定，包括以下步骤：应用系统生成的上传二维码供移动设备识别，并根据识别结果使移动设备将设备公钥上传至应用系统；应用系统生成的验证二维码供移动设备识别，并根据识别结果验证移动设备是否持有公钥所对应的私钥，如是，则应用系统将其身份账号与移动设备进行绑定。适用于各种支持公私密钥对存储的移动设备，通过多次二维码识别将移动设备与提供服务的应用系统的用户账号身份进行绑定，解决了使用U‑key鉴别用户身份的局限和不便，并保证安全性。同时提供适用上述方法的应用系统。

公开(公告)号：CN109684829A

公开(公告)日：2019-04-26

申请号：CN201811471745.0

申请日：2018-12-04

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC: G06F21/53

CPC classification number: G06F21/53

Abstract: 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN108322432A

公开(公告)日：2018-07-24

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN111428249B

公开(公告)日：2022-06-28

申请号：CN202010063866.2

申请日：2020-01-20

Applicant: 中国科学院信息工程研究所 ,  北京数字认证股份有限公司

Inventor： 林璟锵 ,  林雪焰 ,  王伟 ,  蔡权伟 ,  宋天林 ,  王琼霄 ,  鲁琳俪

IPC: G06F21/60 ,  G06F21/62 ,  G06F16/27

Abstract: 本发明涉及一种基于区块链保护用户隐私的匿名注册方法和系统。该方法涉及实体身份激活流程和匿名账号注册流程：用户的实体身份证件在经过一个实体身份认证机构的验证之后，可将身份证件信息的承诺发布至区块链上；用户在完成实体身份激活后，在某个网站上进行匿名注册时，可利用零知识证明技术证明自己的实体身份的合法性以及属性的合规性。本发明可以避免在注册过程中将用户身份证件的非必要的隐私信息泄露给注册服务器，能够使得注册服务器在确信用户身份属性符合要求的同时，无法获知冗余的身份隐私信息。

公开(公告)号：CN109522736B

公开(公告)日：2021-12-10

申请号：CN201811525467.2

申请日：2018-12-13

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  荆继武 ,  李文强 ,  李从午 ,  王建民 ,  王琼霄

IPC: G06F21/60 ,  G06F21/71 ,  G06F12/02 ,  H04L9/06

Abstract: 本发明公开一种在操作系统中进行密码运算的方法和系统。本方法在操作系统初始化可信环境下生成保护密钥，将保护密钥存储在操作系统保留的特权寄存器中。用户密钥可由用户输入的数据或密码运算内核模块的内部随机数生成，生成后由保护密钥加密后导出。系统向用户提供密码运算内核模块，当用户需要使用用户密钥进行密码运算时，用户态调用程序向密码运算内核模块发起请求，提供计算源数据以及密文的用户密钥，保护密钥在密码运算内核模块中对用户密钥进行解密，然后使用用户密钥完成用户请求的密码运算。本发明可防御用户态的各种攻击程序实施的内存信息泄漏攻击，保护密钥以及用户密钥可抵抗Meltdown和Spectre攻击。

公开(公告)号：CN109800584A

公开(公告)日：2019-05-24

申请号：CN201811431816.4

申请日：2018-11-28

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  黎火荣 ,  蔡权伟 ,  欧阳文宜 ,  荆继武 ,  王伟

IPC: G06F21/60 ,  H04L9/06 ,  H04L9/30

Abstract: 本发明公开了一种基于Intel SGX机制的身份或属性加密计算方法和系统。本方法为：1)将Public enclave部署在消息发送者终端、Private enclave部署在消息接收者终端，分别基于Intel SGX机制提供隔离执行的应用程序运行环境；2)Private enclave首次启动时向PKG请求私钥；Public enclave首次启动时向PKG请求系统参数和主密钥，生成用户的公钥；3)Public enclave根据输入的ID或属性推导出对应公钥后用公钥对消息加密；消息接收者终端的Private enclave的解密接口用私钥对消息解密。本发明安全、高效地实现了公钥密码计算。

公开(公告)号：CN109510708A

公开(公告)日：2019-03-22

申请号：CN201811432010.7

申请日：2018-11-28

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  黎火荣 ,  蔡权伟 ,  欧阳文宜 ,  荆继武 ,  王伟

IPC: H04L9/30 ,  H04L9/32 ,  H04L9/08 ,  H04L9/06

Abstract: 本发明公开了一种基于Intel SGX机制的公钥密码计算方法和系统。本方法为：1)生成相互独立的Public enclave和Private enclave，分别为基于Intel SGX机制提供隔离执行的应用程序运行环境；将Public enclave部署在加密消息发送者终端或签名消息验证者终端、Private enclave部署在加密消息接收者终端或签名消息生成者终端；2)Private enclave首次启动时，生成私钥；Public enclave首次启动时，向Private enclave执行SGX远程认证请求与该私钥相同的公钥。本发明安全、高效地实现了公钥密码计算。

公开(公告)号：CN109684829B

公开(公告)日：2020-12-04

申请号：CN201811471745.0

申请日：2018-12-04

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC: G06F21/53

Abstract: 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN111428249A

公开(公告)日：2020-07-17

申请号：CN202010063866.2

申请日：2020-01-20

Applicant: 中国科学院信息工程研究所 ,  北京数字认证股份有限公司

Inventor： 林璟锵 ,  林雪焰 ,  王伟 ,  蔡权伟 ,  宋天林 ,  王琼霄 ,  鲁琳俪

IPC: G06F21/60 ,  G06F21/62 ,  G06F16/27

Abstract: 本发明涉及一种基于区块链保护用户隐私的匿名注册方法和系统。该方法涉及实体身份激活流程和匿名账号注册流程：用户的实体身份证件在经过一个实体身份认证机构的验证之后，可将身份证件信息的承诺发布至区块链上；用户在完成实体身份激活后，在某个网站上进行匿名注册时，可利用零知识证明技术证明自己的实体身份的合法性以及属性的合规性。本发明可以避免在注册过程中将用户身份证件的非必要的隐私信息泄露给注册服务器，能够使得注册服务器在确信用户身份属性符合要求的同时，无法获知冗余的身份隐私信息。