公开(公告)号：CN109800584B

公开(公告)日：2020-10-16

申请号：CN201811431816.4

申请日：2018-11-28

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  黎火荣 ,  蔡权伟 ,  欧阳文宜 ,  荆继武 ,  王伟

IPC: G06F21/60 ,  H04L9/06 ,  H04L9/30

Abstract: 本发明公开了一种基于Intel SGX机制的身份或属性加密计算方法和系统。本方法为：1)将Public enclave部署在消息发送者终端、Private enclave部署在消息接收者终端，分别基于Intel SGX机制提供隔离执行的应用程序运行环境；2)Private enclave首次启动时向PKG请求私钥；Public enclave首次启动时向PKG请求系统参数和主密钥，生成用户的公钥；3)Public enclave根据输入的ID或属性推导出对应公钥后用公钥对消息加密；消息接收者终端的Private enclave的解密接口用私钥对消息解密。本发明安全、高效地实现了公钥密码计算。

公开(公告)号：CN108322432B

公开(公告)日：2020-05-22

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN107707356B

公开(公告)日：2019-11-26

申请号：CN201710872839.8

申请日：2017-09-25

Applicant: 中国科学院信息工程研究所

Inventor： 孙荣辛 ,  蔡权伟 ,  王琼霄 ,  赵宇航 ,  林璟锵 ,  荆继武

IPC: H04L9/32 ,  H04L9/08 ,  H04L29/06 ,  G06K7/14

Abstract: 本发明提出一种基于二维码识别的移动设备安全绑定方法，适于对移动设备与一应用系统的身份账号进行绑定，包括以下步骤：应用系统生成的上传二维码供移动设备识别，并根据识别结果使移动设备将设备公钥上传至应用系统；应用系统生成的验证二维码供移动设备识别，并根据识别结果验证移动设备是否持有公钥所对应的私钥，如是，则应用系统将其身份账号与移动设备进行绑定。适用于各种支持公私密钥对存储的移动设备，通过多次二维码识别将移动设备与提供服务的应用系统的用户账号身份进行绑定，解决了使用U‑key鉴别用户身份的局限和不便，并保证安全性。同时提供适用上述方法的应用系统。

公开(公告)号：CN108881300A

公开(公告)日：2018-11-23

申请号：CN201810870012.8

申请日：2018-08-02

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  马原 ,  王斌 ,  陈天宇 ,  顾小卓 ,  吴鑫莹

IPC: H04L29/06 ,  H04L9/08 ,  H04L29/08

Abstract: 本发明公开了一种支持手机端安全协作的文件加密和共享方法及系统。本方法为：1)手机端的公私钥管理模块为用户生成唯一的公私钥对，手机端对该公私钥对中的公钥进行共享；2)对于目标设备上的一目标用户待加密的文件；该目标设备生成一加密请求；3)该手机端获取该加密请求，与目标设备建立连接，生成对称密钥K，根据K与R计算得到一结果KR；然后用目标用户的公私钥对中的公钥加密K，得到加密结果PK；然后将PK与KR一起发送给该目标设备；4)该目标设备根据收到的KR与R计算得到K，然后用K加密该文件，并将PK保存至加密后的文件中。本发明可以有效的保证文件信息的安全。

公开(公告)号：CN108322432A

公开(公告)日：2018-07-24

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN103870749B

公开(公告)日：2017-11-07

申请号：CN201410104267.5

申请日：2014-03-20

Applicant: 中国科学院信息工程研究所

Inventor： 潘无穷 ,  荆继武 ,  林璟锵 ,  高能 ,  夏鲁宁

IPC: G06F21/53 ,  G06F9/455

Abstract: 本发明公开了一种实现虚拟机系统的安全监控系统及方法，本发明在虚拟机系统中为每个虚拟机设置安全增强模块，设置了针对虚拟机的安全监控策略，根据安全监控策略对虚拟机进行安全监控。其中，安全监控策略包括安全策略及安全插件，安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略，安全插件是统一设置的安全功能，用户虚拟机可以根据需要，进行选择配置。本发明可以根据虚拟机个性化需求进行安全监控，减少虚拟机监控器的安全监控功能，进一步使得虚拟机系统的自身结构变得简洁，整个虚拟机系统更加的安全可靠。

公开(公告)号：CN106130719A

公开(公告)日：2016-11-16

申请号：CN201610580036.0

申请日：2016-07-21

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  赵原 ,  潘无穷 ,  荆继武 ,  郑昉昱 ,  薛聪 ,  王琼霄

IPC: H04L9/06 ,  H04L9/08 ,  H04L29/06

CPC classification number: H04L9/0631 ,  H04L9/0894 ,  H04L63/0428 ,  H04L63/1441

Abstract: 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息，交换到内存中的数据都要进行加密，将密码算法能够并行的部分拆分到多个CPU核心上同时运行，各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置，使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂，而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时，计算速度达到OpenSSL中算法实现的70％以上。

公开(公告)号：CN105989392A

公开(公告)日：2016-10-05

申请号：CN201510077263.7

申请日：2015-02-13

Applicant: 中国科学院信息工程研究所

Inventor： 夏鲁宁 ,  荆继武 ,  王琼霄 ,  王平建 ,  向继 ,  高能 ,  林璟锵

IPC: G06K19/067

Abstract: 本发明提供一种外形符合ISO7810标准的移动存储系统，该系统包括通用串行总线(USB)传输控制模块、闪存模块和微处理器模块。本发明还提供了上述移动存储系统的存取控制方法和实现移动存储系统外形符合ISO7810标准的制造方法。本发明提供的移动存储系统相比现有的诸如U盘的存储系统，可以应用在卡式装置中，放入到用户的钱包中，便于携带，并且可以在用户使用方便的前提下，保证安全存储。

公开(公告)号：CN105743655A

公开(公告)日：2016-07-06

申请号：CN201610176957.0

申请日：2016-03-25

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 潘无穷 ,  王平建 ,  王展 ,  黎火荣 ,  关翀 ,  荆继武 ,  林璟锵

IPC: H04L9/32 ,  H04L9/30

CPC classification number: H04L9/3236 ,  H04L9/3066 ,  H04L9/3252

Abstract: 本发明涉及一种哈希计算和签名验签计算分离的SM2签名验签实现方法，该方法在实现哈希计算接口时记录消息与哈希值之间的对应关系，在实现签名和验签计算接口时根据哈希值查询对应的原消息并通过原消息计算得到SM2签名或验签所需的哈希值。从而分离了SM2算法的哈希计算与签名/验签计算，达到了哈希计算接口可以单独使用的目的并且签名/验签的哈希值输入可以直接使用哈希计算的结果的目的；在原本使用其他密码算法并且相应接口符合国际通用API接口规范的系统中，可以不修改上层代码，直接替换接口实现部分以达到使用SM2算法替换原有密码算法的目的。

公开(公告)号：CN104980438A

公开(公告)日：2015-10-14

申请号：CN201510328899.4

申请日：2015-06-15

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  李冰雨 ,  王展 ,  荆继武 ,  李从午 ,  夏鲁宁 ,  王琼霄

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3268 ,  G06F9/45545 ,  G06F9/45558 ,  G06F21/33 ,  G06F2009/45583 ,  H04L9/006 ,  H04L9/0891 ,  H04L9/30 ,  H04L63/0823

Abstract: 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为：1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件：a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回；b)如果没有对应CRL文件，则下载并验证对应的CRL文件返回，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回。本发明大大提高了查询效率。