公开(公告)号：CN109684829A

公开(公告)日：2019-04-26

申请号：CN201811471745.0

申请日：2018-12-04

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC: G06F21/53

CPC classification number: G06F21/53

Abstract: 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN108322432A

公开(公告)日：2018-07-24

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN104717070B

公开(公告)日：2018-07-24

申请号：CN201510079911.2

申请日：2015-02-13

Applicant: 中国科学院信息工程研究所

Inventor： 朱文涛 ,  林璟锵 ,  潘适然 ,  杨玲

IPC: H04L9/32

Abstract: 本发明涉及一种利用单向哈希函数关联数字证书的方法，证书持有者基于单向哈希树生成并关联数字证书，证书与树的节点一一对应，一张证书的单向哈希值嵌入在对应父节点证书中公钥N的指定部分。验证某一节点的证书时，沿从该节点到根节点的路径，依次验证路径上每张证书的单向哈希值与路径上低一层节点对应证书中公钥N的特定部分是否相同，并验证根节点证书是否合法，若验证全部通过则判定待验证证书合法，否则判定非法。本发明以高效的方式使得即使单个用户也能拥有多张相互关联的数字证书，且能在预计的N被分解之时前就先行更换证书，具有能够避免使用长N造成的高通信与计算开销，以及能为用户提供灵活可控的匿名性等多方面的优势。

公开(公告)号：CN103870749B

公开(公告)日：2017-11-07

申请号：CN201410104267.5

申请日：2014-03-20

Applicant: 中国科学院信息工程研究所

Inventor： 潘无穷 ,  荆继武 ,  林璟锵 ,  高能 ,  夏鲁宁

IPC: G06F21/53 ,  G06F9/455

Abstract: 本发明公开了一种实现虚拟机系统的安全监控系统及方法，本发明在虚拟机系统中为每个虚拟机设置安全增强模块，设置了针对虚拟机的安全监控策略，根据安全监控策略对虚拟机进行安全监控。其中，安全监控策略包括安全策略及安全插件，安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略，安全插件是统一设置的安全功能，用户虚拟机可以根据需要，进行选择配置。本发明可以根据虚拟机个性化需求进行安全监控，减少虚拟机监控器的安全监控功能，进一步使得虚拟机系统的自身结构变得简洁，整个虚拟机系统更加的安全可靠。

公开(公告)号：CN106130719A

公开(公告)日：2016-11-16

申请号：CN201610580036.0

申请日：2016-07-21

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  赵原 ,  潘无穷 ,  荆继武 ,  郑昉昱 ,  薛聪 ,  王琼霄

IPC: H04L9/06 ,  H04L9/08 ,  H04L29/06

CPC classification number: H04L9/0631 ,  H04L9/0894 ,  H04L63/0428 ,  H04L63/1441

Abstract: 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息，交换到内存中的数据都要进行加密，将密码算法能够并行的部分拆分到多个CPU核心上同时运行，各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置，使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂，而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时，计算速度达到OpenSSL中算法实现的70％以上。

公开(公告)号：CN105989392A

公开(公告)日：2016-10-05

申请号：CN201510077263.7

申请日：2015-02-13

Applicant: 中国科学院信息工程研究所

Inventor： 夏鲁宁 ,  荆继武 ,  王琼霄 ,  王平建 ,  向继 ,  高能 ,  林璟锵

IPC: G06K19/067

Abstract: 本发明提供一种外形符合ISO7810标准的移动存储系统，该系统包括通用串行总线(USB)传输控制模块、闪存模块和微处理器模块。本发明还提供了上述移动存储系统的存取控制方法和实现移动存储系统外形符合ISO7810标准的制造方法。本发明提供的移动存储系统相比现有的诸如U盘的存储系统，可以应用在卡式装置中，放入到用户的钱包中，便于携带，并且可以在用户使用方便的前提下，保证安全存储。

公开(公告)号：CN105743655A

公开(公告)日：2016-07-06

申请号：CN201610176957.0

申请日：2016-03-25

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 潘无穷 ,  王平建 ,  王展 ,  黎火荣 ,  关翀 ,  荆继武 ,  林璟锵

IPC: H04L9/32 ,  H04L9/30

CPC classification number: H04L9/3236 ,  H04L9/3066 ,  H04L9/3252

Abstract: 本发明涉及一种哈希计算和签名验签计算分离的SM2签名验签实现方法，该方法在实现哈希计算接口时记录消息与哈希值之间的对应关系，在实现签名和验签计算接口时根据哈希值查询对应的原消息并通过原消息计算得到SM2签名或验签所需的哈希值。从而分离了SM2算法的哈希计算与签名/验签计算，达到了哈希计算接口可以单独使用的目的并且签名/验签的哈希值输入可以直接使用哈希计算的结果的目的；在原本使用其他密码算法并且相应接口符合国际通用API接口规范的系统中，可以不修改上层代码，直接替换接口实现部分以达到使用SM2算法替换原有密码算法的目的。

公开(公告)号：CN105187203A

公开(公告)日：2015-12-23

申请号：CN201510609399.8

申请日：2015-09-22

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  王展 ,  王泽 ,  赵宇航

IPC: H04L9/08

Abstract: 本发明公开了一种无线设备间基于接收信号强度的共享密钥建立方法。本方法为：1)为两无线设备创建一安全隔离环境；2)发起设备以设定发射功率、设定时间间隔向响应设备发送多个认证请求；3)响应设备计算接收信号强度的标准差；如果低于阈值，则向发起设备回复一认证通过信息，否则认证未通过；4)发起设备生成一长度为m比特的密钥K，然后向响应设备发送m个数据包；5)响应设备记录该m个数据包的信号接收强度，根据该m个接收信号强度恢复出一个长度为m比特的密钥K’，然后回复一条用密钥K’加密的消息；6)发起设备用密钥K对进行解密，如果解密成功，则回复一条认证成功消息，完成密钥共享。本发明大大提高了通信安全性。

公开(公告)号：CN104980438A

公开(公告)日：2015-10-14

申请号：CN201510328899.4

申请日：2015-06-15

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  李冰雨 ,  王展 ,  荆继武 ,  李从午 ,  夏鲁宁 ,  王琼霄

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3268 ,  G06F9/45545 ,  G06F9/45558 ,  G06F21/33 ,  G06F2009/45583 ,  H04L9/006 ,  H04L9/0891 ,  H04L9/30 ,  H04L63/0823

Abstract: 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为：1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件：a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回；b)如果没有对应CRL文件，则下载并验证对应的CRL文件返回，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回。本发明大大提高了查询效率。

公开(公告)号：CN114611078B

公开(公告)日：2025-05-13

申请号：CN202011409117.7

申请日：2020-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王琼霄 ,  黄婉玲 ,  林璟锵 ,  王伟 ,  万会庆

IPC: G06F21/31 ,  G06F21/45 ,  G06F21/64

Abstract: 本发明公开了一种隐式证书的透明化方法及系统，支持将隐式证书提交至多个证书透明化公开日志服务器，兼容不支持证书透明化的隐式证书验证。本发明将隐式证书透明化的同时不用带来新的签名和签名验证开销，也不需要分别验证是否提交给单个公开日志服务器，在验证隐式证书是否有效的同时即可验证是否提交给多个公开日志服务器。