公开(公告)号：CN105187203B

公开(公告)日：2018-05-11

申请号：CN201510609399.8

申请日：2015-09-22

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  王展 ,  王泽 ,  赵宇航

IPC: H04L9/08

Abstract: 本发明公开了一种无线设备间基于接收信号强度的共享密钥建立方法。本方法为：1)为两无线设备创建一安全隔离环境；2)发起设备以设定发射功率、设定时间间隔向响应设备发送多个认证请求；3)响应设备计算接收信号强度的标准差；如果低于阈值，则向发起设备回复一认证通过信息，否则认证未通过；4)发起设备生成一长度为m比特的密钥K，然后向响应设备发送m个数据包；5)响应设备记录该m个数据包的信号接收强度，根据该m个接收信号强度恢复出一个长度为m比特的密钥K’，然后回复一条用密钥K’加密的消息；6)发起设备用密钥K对进行解密，如果解密成功，则回复一条认证成功消息，完成密钥共享。本发明大大提高了通信安全性。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104243456B

公开(公告)日：2017-11-03

申请号：CN201410437599.5

申请日：2014-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  马原 ,  荆继武 ,  王琼霄 ,  雷灵光 ,  蔡权伟 ,  王雷

IPC: H04L29/06 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明公开了适用于云计算的基于SM2算法的签名及解密方法和系统。具体地，可在通信双方分别存储部分私钥，两方联合才能对消息进行签名或解密等操作，通信双方均无法获取到对方私钥的任何信息，因此攻击者在入侵其中任何一方的情况下，都不能伪造签名或解密密文，从而提高了云计算环境中的私钥的安全性；而且，签名过程和解密过程中，通信双方仅需要进行很少的交互，从而能够满足云计算环境中低延迟、少交互的应用需求。

公开(公告)号：CN104580174A

公开(公告)日：2015-04-29

申请号：CN201410828184.0

申请日：2014-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  荆继武 ,  王琼霄 ,  王平建

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1441 ,  H04L63/08 ,  H04L67/10

Abstract: 本发明公开了一种防止恶意服务器攻击的敏感数据计算外包服务方法，在恶意服务器存在时，通过将用户敏感数据拆分成若干秘密分享，计算外包服务提供方通过在秘密分享上执行用户请求的计算操作，可提供的计算操作包括加法、减法、乘法、除法、求余、比较及其复合操作。各个服务器通过相互协作、验证，从而保证计算结果的正确性，实现为用户敏感数据提供连续的计算服务。

公开(公告)号：CN103870749A

公开(公告)日：2014-06-18

申请号：CN201410104267.5

申请日：2014-03-20

Applicant: 中国科学院信息工程研究所

Inventor： 潘无穷 ,  荆继武 ,  林璟锵 ,  高能 ,  夏鲁宁

IPC: G06F21/53 ,  G06F9/455

CPC classification number: G06F21/53 ,  G06F9/45504

Abstract: 本发明公开了一种实现虚拟机系统的安全监控系统及方法，本发明在虚拟机系统中为每个虚拟机设置安全增强模块，设置了针对虚拟机的安全监控策略，根据安全监控策略对虚拟机进行安全监控。其中，安全监控策略包括安全策略及安全插件，安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略，安全插件是统一设置的安全功能，用户虚拟机可以根据需要，进行选择配置。本发明可以根据虚拟机个性化需求进行安全监控，减少虚拟机监控器的安全监控功能，进一步使得虚拟机系统的自身结构变得简洁，整个虚拟机系统更加的安全可靠。

公开(公告)号：CN114928438B

公开(公告)日：2025-04-01

申请号：CN202210124541.X

申请日：2022-02-10

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  付裕 ,  林璟锵 ,  宋利 ,  王琼霄

IPC: H04L9/08 ,  H04L9/30 ,  H04L9/32 ,  H04L9/40

Abstract: 本发明公开了一种抗内存信息泄露攻击的椭圆曲线数字签名计算方法及装置，属于密码技术领域。所述方法包括：在初始化可信环境下，将对称密码算法密钥置于特权寄存器，并使用对称密码算法密钥生成随机数k1的密文与私钥的密文，及计算标量乘k1×G的值；每次签名时，基于选取的签名算法与所述标量乘k1×G的值，计算用于生成参数s的明文数据，其中所述用于生成参数s的明文数据包括：参数r或基于参数r计算的数据；寄存器根据所述明文数据、随机数k1的密文与私钥的密文，计算参数s；输出(r，s)作为消息的数字签名。本发明保证内存中的计算不会泄露随机数和私钥的信息，敏感数据的计算都在寄存器中完成，并且降低性能开销，提高了适用范围，具体良好的兼容性和可扩展性。

公开(公告)号：CN115021927B

公开(公告)日：2024-04-16

申请号：CN202210517940.2

申请日：2022-05-12

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  林璟锵 ,  李凯轩 ,  郎帆 ,  鲁琳俪

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/30 ,  H04L9/40

Abstract: 本发明公开了一种面向密码机集群的管理员身份管控方法及系统。本系统包括密钥管理系统、密码机集群，每台密码机下配有多个智能密码钥匙。本方法为：密钥管理系统下发密码机密钥、对密码机管理员的身份进行统一鉴别和管理；密码机向密钥管理系统发送创建管理员申请；智能密码钥匙作为管理员身份凭证协同密码机进行管理员的创建申请；密钥管理系统平台管理员审核密码机的管理员创建请求。同时也公布了创建管理员的权限管理策略，密钥管理系统根据此前存储的集群范围内管理员角色信息，结合权限管理策略对管理员创建请求进行审核。本发明解决了单一人员权限过大的问题，提高了密码设备的安全性。

公开(公告)号：CN115021927A

公开(公告)日：2022-09-06

申请号：CN202210517940.2

申请日：2022-05-12

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  林璟锵 ,  李凯轩 ,  郎帆 ,  鲁琳俪

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/30 ,  H04L9/40

Abstract: 本发明公开了一种面向密码机集群的管理员身份管控方法及系统。本系统包括密钥管理系统、密码机集群，每台密码机下配有多个智能密码钥匙。本方法为：密钥管理系统下发密码机密钥、对密码机管理员的身份进行统一鉴别和管理；密码机向密钥管理系统发送创建管理员申请；智能密码钥匙作为管理员身份凭证协同密码机进行管理员的创建申请；密钥管理系统平台管理员审核密码机的管理员创建请求。同时也公布了创建管理员的权限管理策略，密钥管理系统根据此前存储的集群范围内管理员角色信息，结合权限管理策略对管理员创建请求进行审核。本发明解决了单一人员权限过大的问题，提高了密码设备的安全性。

公开(公告)号：CN114928438A

公开(公告)日：2022-08-19

申请号：CN202210124541.X

申请日：2022-02-10

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  付裕 ,  林璟锵 ,  宋利 ,  王琼霄

IPC: H04L9/08 ,  H04L9/30 ,  H04L9/32 ,  H04L9/40

Abstract: 本发明公开了一种抗内存信息泄露攻击的椭圆曲线数字签名计算方法及装置，属于密码技术领域。所述方法包括：在初始化可信环境下，将对称密码算法密钥置于特权寄存器，并使用对称密码算法密钥生成随机数k1的密文与私钥的密文，及计算标量乘k1×G的值；每次签名时，基于选取的签名算法与所述标量乘k1×G的值，计算用于生成参数s的明文数据，其中所述用于生成参数s的明文数据包括：参数r或基于参数r计算的数据；寄存器根据所述明文数据、随机数k1的密文与私钥的密文，计算参数s；输出(r，s)作为消息的数字签名。本发明保证内存中的计算不会泄露随机数和私钥的信息，敏感数据的计算都在寄存器中完成，并且降低性能开销，提高了适用范围，具体良好的兼容性和可扩展性。

公开(公告)号：CN110855754B

公开(公告)日：2021-11-23

申请号：CN201911014984.8

申请日：2019-10-24

Applicant: 中国科学院信息工程研究所

Inventor： 贾东征 ,  刘丽敏 ,  贾世杰 ,  林璟锵 ,  陈天宇 ,  吕娜 ,  赵欣怡 ,  王平建 ,  钱文飞 ,  尤玮婧 ,  张阳

IPC: H04L29/08 ,  H04L29/06

Abstract: 本发明提出一种弱网络连接区域的IoT‑based云主机物理位置验证方法，用于解决时延与距离不呈强线性关系和由于地标主机不可靠及分布不均匀导致定位准确度低的问题，本方法采用挑战‑响应机制，实现云端对主机物理位置的验证，通过提取、验证、清理步骤，将广泛分布的IoT设备作为可靠地标主机，通过分层定位有效降低了网络测量及验证开销，通过时延阈值防御敌手的时延增加攻击、缩短攻击及常见的IP中间件攻击，采用基于投票的最短‑最近方法确定目标主机的位置。