公开(公告)号：CN109905241B

公开(公告)日：2020-08-28

申请号：CN201910067861.4

申请日：2019-01-24

Applicant: 中国科学院信息工程研究所

Inventor： 王斌 ,  顾小卓 ,  荆继武 ,  马原 ,  杨颖珊 ,  陈朝晖 ,  李彦初

IPC: H04L9/30

Abstract: 本发明公开了一种椭圆曲线公钥的短汉字编码、解码方法。本发明编码方法为：1)使用椭圆曲线上点压缩方法对公钥P进行压缩，得到压缩后的公钥P’；2)选取2k个汉字组成数组C，根据公钥P’的长度确定编码公钥P所需汉字个数n；3)设置一保留位OP，然后根据该公钥P’与该保留位OP生成一比特串M；4)将比特串M以每块k位按序拆分为n块，对于每一块中的k位比特串，将其转化为十进制数i，取出数组C中第i个字符C[i]表示该块数据，于是依次将代表n块数据的n个字符拼接后形成新的字符串S；5)用该字符串S表示该公钥P。本发明公开的方法使得公钥信息可以以短汉字文本的形式方便地传递，为使用公钥密码保密通信奠定基础。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104243456B

公开(公告)日：2017-11-03

申请号：CN201410437599.5

申请日：2014-08-29

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  马原 ,  荆继武 ,  王琼霄 ,  雷灵光 ,  蔡权伟 ,  王雷

IPC: H04L29/06 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明公开了适用于云计算的基于SM2算法的签名及解密方法和系统。具体地，可在通信双方分别存储部分私钥，两方联合才能对消息进行签名或解密等操作，通信双方均无法获取到对方私钥的任何信息，因此攻击者在入侵其中任何一方的情况下，都不能伪造签名或解密密文，从而提高了云计算环境中的私钥的安全性；而且，签名过程和解密过程中，通信双方仅需要进行很少的交互，从而能够满足云计算环境中低延迟、少交互的应用需求。

公开(公告)号：CN103593627B

公开(公告)日：2016-08-17

申请号：CN201310547995.9

申请日：2013-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 高能 ,  屠晨阳 ,  马原 ,  刘宗斌 ,  荆继武

IPC: G06F21/71 ,  G06F21/79

CPC classification number: H04L9/003 ,  G06F21/755 ,  G09C5/00 ,  H04L2209/12

Abstract: 本发明公开了一种双层复合寄存器系统及抵抗能量分析攻击的方法，通过控制单元在一个时钟周期内的前半个周期中，控制取值互补的工作寄存器和补偿寄存器工作，输出寄存器和输出补偿寄存器复位，在后半个周期中控制取值互补的输出寄存器和输出补偿寄存器工作，工作寄存器和补偿寄存器复位，由此使系统工作时的汉明距离值以及汉明重量值恒定，在满足系统抵抗能量分析攻击的同时，把输出一组数据的周期压缩为一个时钟周期，从而提高整个芯片硬件设备的吞吐率；而且，本发明所述方案中的双层复合寄存器系统所使用的元件符合标准的电路元件库要求，可以正常地与芯片硬件设备电路接合，具有很好的兼容性。

公开(公告)号：CN104951409A

公开(公告)日：2015-09-30

申请号：CN201510321019.0

申请日：2015-06-12

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  夏鲁宁 ,  王平建 ,  刘宗斌 ,  马存庆 ,  韩晔

IPC: G06F12/14

Abstract: 本发明公开了一种基于硬件的全盘加密系统及加密方法。本方法为：1)注册中心对主机空白的加密硬盘和认证UKey进行注册和绑定；将认证程序以及身份密钥保存到该加密硬盘的保留区；UKey保存身份密钥和加密密钥Key，以及认证程序；2)在该主机上电前，将UKey插到该主机上；3)上电后，执行该加密硬盘与UKey双向认证；4)认证通过后加密硬盘将从UKey获得的密钥Key存入掉电丢失的缓冲区存储器；加解密模块用密钥Key解密数据，启动主机的操作系统；5)操作系统启动后，该加解密模块利用该密钥Key对读出数据进行解密、对写入数据进行加密后保存到该加密硬盘的该加密数据存储区。本发明大大提高了硬盘数据的安全性。

公开(公告)号：CN102479301B

公开(公告)日：2015-07-15

申请号：CN201010568383.4

申请日：2010-11-26

Applicant: 中国科学院信息工程研究所

Inventor： 荆继武 ,  马存庆 ,  高能 ,  向继 ,  夏鲁宁

IPC: G06F21/85 ,  G06F13/38

Abstract: 本发明公开了一种通用串行总线(USB)存储设备，包括：USB插头、USB控制模块和USB存储模块；所述USB插头上设置有访问控制引脚，所述USB存储设备通过所述USB插头与主机设备相连；所述USB控制模块检测所述访问控制引脚的电平值，并根据检测结果的不同对所述USB存储模块实施不同的访问控制策略。本发明同时公开了一种USB存储设备的访问控制方法。应用本发明所述的技术方案，能够缩短时延和提高安全性。

公开(公告)号：CN104580174A

公开(公告)日：2015-04-29

申请号：CN201410828184.0

申请日：2014-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  荆继武 ,  王琼霄 ,  王平建

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1441 ,  H04L63/08 ,  H04L67/10

Abstract: 本发明公开了一种防止恶意服务器攻击的敏感数据计算外包服务方法，在恶意服务器存在时，通过将用户敏感数据拆分成若干秘密分享，计算外包服务提供方通过在秘密分享上执行用户请求的计算操作，可提供的计算操作包括加法、减法、乘法、除法、求余、比较及其复合操作。各个服务器通过相互协作、验证，从而保证计算结果的正确性，实现为用户敏感数据提供连续的计算服务。

公开(公告)号：CN103870749A

公开(公告)日：2014-06-18

申请号：CN201410104267.5

申请日：2014-03-20

Applicant: 中国科学院信息工程研究所

Inventor： 潘无穷 ,  荆继武 ,  林璟锵 ,  高能 ,  夏鲁宁

IPC: G06F21/53 ,  G06F9/455

CPC classification number: G06F21/53 ,  G06F9/45504

Abstract: 本发明公开了一种实现虚拟机系统的安全监控系统及方法，本发明在虚拟机系统中为每个虚拟机设置安全增强模块，设置了针对虚拟机的安全监控策略，根据安全监控策略对虚拟机进行安全监控。其中，安全监控策略包括安全策略及安全插件，安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略，安全插件是统一设置的安全功能，用户虚拟机可以根据需要，进行选择配置。本发明可以根据虚拟机个性化需求进行安全监控，减少虚拟机监控器的安全监控功能，进一步使得虚拟机系统的自身结构变得简洁，整个虚拟机系统更加的安全可靠。

公开(公告)号：CN103593627A

公开(公告)日：2014-02-19

申请号：CN201310547995.9

申请日：2013-11-06

Applicant: 中国科学院信息工程研究所

Inventor： 高能 ,  屠晨阳 ,  马原 ,  刘宗斌 ,  荆继武

IPC: G06F21/71 ,  G06F21/79

CPC classification number: H04L9/003 ,  G06F21/755 ,  G09C5/00 ,  H04L2209/12 ,  G06F21/75

Abstract: 本发明公开了一种双层复合寄存器系统及抵抗能量分析攻击的方法，通过控制单元在一个时钟周期内的前半个周期中，控制取值互补的工作寄存器和补偿寄存器工作，输出寄存器和输出补偿寄存器复位，在后半个周期中控制取值互补的输出寄存器和输出补偿寄存器工作，工作寄存器和补偿寄存器复位，由此使系统工作时的汉明距离值以及汉明重量值恒定，在满足系统抵抗能量分析攻击的同时，把输出一组数据的周期压缩为一个时钟周期，从而提高整个芯片硬件设备的吞吐率；而且，本发明所述方案中的双层复合寄存器系统所使用的元件符合标准的电路元件库要求，可以正常地与芯片硬件设备电路接合，具有很好的兼容性。

公开(公告)号：CN109522736B

公开(公告)日：2021-12-10

申请号：CN201811525467.2

申请日：2018-12-13

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  荆继武 ,  李文强 ,  李从午 ,  王建民 ,  王琼霄

IPC: G06F21/60 ,  G06F21/71 ,  G06F12/02 ,  H04L9/06

Abstract: 本发明公开一种在操作系统中进行密码运算的方法和系统。本方法在操作系统初始化可信环境下生成保护密钥，将保护密钥存储在操作系统保留的特权寄存器中。用户密钥可由用户输入的数据或密码运算内核模块的内部随机数生成，生成后由保护密钥加密后导出。系统向用户提供密码运算内核模块，当用户需要使用用户密钥进行密码运算时，用户态调用程序向密码运算内核模块发起请求，提供计算源数据以及密文的用户密钥，保护密钥在密码运算内核模块中对用户密钥进行解密，然后使用用户密钥完成用户请求的密码运算。本发明可防御用户态的各种攻击程序实施的内存信息泄漏攻击，保护密钥以及用户密钥可抵抗Meltdown和Spectre攻击。