公开(公告)号：CN108322432A

公开(公告)日：2018-07-24

申请号：CN201711338674.2

申请日：2017-12-14

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  孙荣辛 ,  蔡权伟 ,  赵宇航 ,  王琼霄 ,  王平建 ,  林璟锵

IPC: H04L29/06 ,  G06F21/60 ,  G06F21/62

Abstract: 本发明公开了一种基于树形组织模型的机构应用权限管理方法及服务系统。本方法为：建立机构之间的树形组织模型，即机构树；其中，每一机构对应于所述机构树中的一节点，为机构设置应用和人员，根据人员所属机构为对应人员设置其所属机构的公共应用访问权限；对于每一人员设定一对应属性等级，对于每一应用，依据用户属性等级分别设置对应访问策略；每个机构具有唯一机构ID和从属路径，机构的从属路径表示该机构在机构树上的位置，即从机构树根节点出发到达该机构对应的节点所要经过的机构ID。本发明通过树形组织模型来管理不同层级的机构、下属人员以及应用三者之间的从属关系，简化应用权限管理操作的同时又满足访问权限差异性的需求。

公开(公告)号：CN106130719A

公开(公告)日：2016-11-16

申请号：CN201610580036.0

申请日：2016-07-21

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  赵原 ,  潘无穷 ,  荆继武 ,  郑昉昱 ,  薛聪 ,  王琼霄

IPC: H04L9/06 ,  H04L9/08 ,  H04L29/06

CPC classification number: H04L9/0631 ,  H04L9/0894 ,  H04L63/0428 ,  H04L63/1441

Abstract: 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息，交换到内存中的数据都要进行加密，将密码算法能够并行的部分拆分到多个CPU核心上同时运行，各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置，使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂，而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时，计算速度达到OpenSSL中算法实现的70％以上。

公开(公告)号：CN105989392A

公开(公告)日：2016-10-05

申请号：CN201510077263.7

申请日：2015-02-13

Applicant: 中国科学院信息工程研究所

Inventor： 夏鲁宁 ,  荆继武 ,  王琼霄 ,  王平建 ,  向继 ,  高能 ,  林璟锵

IPC: G06K19/067

Abstract: 本发明提供一种外形符合ISO7810标准的移动存储系统，该系统包括通用串行总线(USB)传输控制模块、闪存模块和微处理器模块。本发明还提供了上述移动存储系统的存取控制方法和实现移动存储系统外形符合ISO7810标准的制造方法。本发明提供的移动存储系统相比现有的诸如U盘的存储系统，可以应用在卡式装置中，放入到用户的钱包中，便于携带，并且可以在用户使用方便的前提下，保证安全存储。

公开(公告)号：CN104980438A

公开(公告)日：2015-10-14

申请号：CN201510328899.4

申请日：2015-06-15

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  李冰雨 ,  王展 ,  荆继武 ,  李从午 ,  夏鲁宁 ,  王琼霄

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3268 ,  G06F9/45545 ,  G06F9/45558 ,  G06F21/33 ,  G06F2009/45583 ,  H04L9/006 ,  H04L9/0891 ,  H04L9/30 ,  H04L63/0823

Abstract: 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为：1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件：a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回；b)如果没有对应CRL文件，则下载并验证对应的CRL文件返回，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回。本发明大大提高了查询效率。

公开(公告)号：CN111428249B

公开(公告)日：2022-06-28

申请号：CN202010063866.2

申请日：2020-01-20

Applicant: 中国科学院信息工程研究所 ,  北京数字认证股份有限公司

Inventor： 林璟锵 ,  林雪焰 ,  王伟 ,  蔡权伟 ,  宋天林 ,  王琼霄 ,  鲁琳俪

IPC: G06F21/60 ,  G06F21/62 ,  G06F16/27

Abstract: 本发明涉及一种基于区块链保护用户隐私的匿名注册方法和系统。该方法涉及实体身份激活流程和匿名账号注册流程：用户的实体身份证件在经过一个实体身份认证机构的验证之后，可将身份证件信息的承诺发布至区块链上；用户在完成实体身份激活后，在某个网站上进行匿名注册时，可利用零知识证明技术证明自己的实体身份的合法性以及属性的合规性。本发明可以避免在注册过程中将用户身份证件的非必要的隐私信息泄露给注册服务器，能够使得注册服务器在确信用户身份属性符合要求的同时，无法获知冗余的身份隐私信息。

公开(公告)号：CN113962693A

公开(公告)日：2022-01-21

申请号：CN202111110004.1

申请日：2021-09-18

Applicant: 中国科学院信息工程研究所

Inventor： 王琼霄 ,  宋利 ,  林璟锵 ,  郭娟娟

IPC: G06Q20/38 ,  G06F7/58

Abstract: 本发明公开了一种用于区块链系统的私钥托管、恢复方法及系统，包括利用私钥di与随机数k对交易消息Mi签名后，将交易消息Mi与签名值(ri，si)存储在区块链中；存储签名值(ri，si)所在区块的唯一标识hi及唯一标识hi与私钥di的对应关系；将随机数k的N个份额kj存储于相应托管方pj，其中j∈[1，N]；恢复私钥时，利用唯一标识hi在区块链中检索，获取交易消息Mi与签名值(ri，si)；通过存储于托管方pj的份额kj，恢复随机数k；基于交易消息Mi、签名值(ri，si)、随机数k及唯一标识hi与私钥di的对应关系，恢复私钥di。本发明可以使用同一个随机数k对多个私钥di进行批量托管，避免了对用户分别对多个私钥进行托管所带来的繁重开销。

公开(公告)号：CN109522736B

公开(公告)日：2021-12-10

申请号：CN201811525467.2

申请日：2018-12-13

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  荆继武 ,  李文强 ,  李从午 ,  王建民 ,  王琼霄

IPC: G06F21/60 ,  G06F21/71 ,  G06F12/02 ,  H04L9/06

Abstract: 本发明公开一种在操作系统中进行密码运算的方法和系统。本方法在操作系统初始化可信环境下生成保护密钥，将保护密钥存储在操作系统保留的特权寄存器中。用户密钥可由用户输入的数据或密码运算内核模块的内部随机数生成，生成后由保护密钥加密后导出。系统向用户提供密码运算内核模块，当用户需要使用用户密钥进行密码运算时，用户态调用程序向密码运算内核模块发起请求，提供计算源数据以及密文的用户密钥，保护密钥在密码运算内核模块中对用户密钥进行解密，然后使用用户密钥完成用户请求的密码运算。本发明可防御用户态的各种攻击程序实施的内存信息泄漏攻击，保护密钥以及用户密钥可抵抗Meltdown和Spectre攻击。

公开(公告)号：CN111432408B

公开(公告)日：2021-07-06

申请号：CN202010110203.1

申请日：2020-02-23

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  王明月 ,  李文渊 ,  鲁琳俪 ,  王琼霄 ,  林璟锵

IPC: H04W12/06

Abstract: 本发明公开了一种基于无线Wi‑Fi流量分析的双因子认证方法及电子装置，该方法的步骤包括：接收并验证一登录端的一请求登录信息，向通过验证的所述登录端发送一标识以及向相应辅助端发送一带有所述标识符的第一挑战码；接收所述登录端的依据所述标识得到的第二挑战码与所述相应辅助端的第一挑战码，计算所述第一挑战码与所述第二挑战码的相似性数值，并通过一设定阈值判断是否通过所述登录端认证请求。本发明采用服务器通过无线信道向辅助端下发挑战码，登录端通过无线网卡抓取并解析的方式实现，操作简单易实现，用户与辅助端无交互；增加了第二个因子挑战码，该挑战码不重复使用且足够长，使得敌手通过穷举法猜测出变得不可行，安全性高。

公开(公告)号：CN107948164B

公开(公告)日：2021-04-20

申请号：CN201711221952.6

申请日：2017-11-29

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 王琼霄 ,  林璟锵 ,  陈逸恺 ,  曹洪瑾

IPC: H04L29/06 ,  H04W12/06

Abstract: 本发明公开了一种结合物理认证因素的Wi‑Fi口令动态更新方法及系统。本方法为：移动终端获取无线接入点的初始Wi‑Fi口令；其中，物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数，以及根据当前发布的所述物理认证参数和之前的Wi‑Fi口令计算当前使用的Wi‑Fi口令；移动终端收到Wi‑Fi信号后，判断当前使用的Wi‑Fi口令是否已更新，如果已更新，则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数；然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi‑Fi口令计算当前使用的Wi‑Fi口令。

公开(公告)号：CN111432408A

公开(公告)日：2020-07-17

申请号：CN202010110203.1

申请日：2020-02-23

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  王明月 ,  李文渊 ,  鲁琳俪 ,  王琼霄 ,  林璟锵

IPC: H04W12/06

Abstract: 本发明公开了一种基于无线Wi-Fi流量分析的双因子认证方法及电子装置，该方法的步骤包括：接收并验证一登录端的一请求登录信息，向通过验证的所述登录端发送一标识以及向相应辅助端发送一带有所述标识符的第一挑战码；接收所述登录端的依据所述标识得到的第二挑战码与所述相应辅助端的第一挑战码，计算所述第一挑战码与所述第二挑战码的相似性数值，并通过一设定阈值判断是否通过所述登录端认证请求。本发明采用服务器通过无线信道向辅助端下发挑战码，登录端通过无线网卡抓取并解析的方式实现，操作简单易实现，用户与辅助端无交互；增加了第二个因子挑战码，该挑战码不重复使用且足够长，使得敌手通过穷举法猜测出变得不可行，安全性高。