公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

摘要： 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN106130719A

公开(公告)日：2016-11-16

申请号：CN201610580036.0

申请日：2016-07-21

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  赵原 ,  潘无穷 ,  荆继武 ,  郑昉昱 ,  薛聪 ,  王琼霄

IPC分类号： H04L9/06 ,  H04L9/08 ,  H04L29/06

CPC分类号： H04L9/0631 ,  H04L9/0894 ,  H04L63/0428 ,  H04L63/1441

摘要： 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息，交换到内存中的数据都要进行加密，将密码算法能够并行的部分拆分到多个CPU核心上同时运行，各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置，使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂，而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时，计算速度达到OpenSSL中算法实现的70％以上。

公开(公告)号：CN105743655A

公开(公告)日：2016-07-06

申请号：CN201610176957.0

申请日：2016-03-25

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 潘无穷 ,  王平建 ,  王展 ,  黎火荣 ,  关翀 ,  荆继武 ,  林璟锵

IPC分类号： H04L9/32 ,  H04L9/30

CPC分类号： H04L9/3236 ,  H04L9/3066 ,  H04L9/3252

摘要： 本发明涉及一种哈希计算和签名验签计算分离的SM2签名验签实现方法，该方法在实现哈希计算接口时记录消息与哈希值之间的对应关系，在实现签名和验签计算接口时根据哈希值查询对应的原消息并通过原消息计算得到SM2签名或验签所需的哈希值。从而分离了SM2算法的哈希计算与签名/验签计算，达到了哈希计算接口可以单独使用的目的并且签名/验签的哈希值输入可以直接使用哈希计算的结果的目的；在原本使用其他密码算法并且相应接口符合国际通用API接口规范的系统中，可以不修改上层代码，直接替换接口实现部分以达到使用SM2算法替换原有密码算法的目的。

公开(公告)号：CN104980438A

公开(公告)日：2015-10-14

申请号：CN201510328899.4

申请日：2015-06-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  李冰雨 ,  王展 ,  荆继武 ,  李从午 ,  夏鲁宁 ,  王琼霄

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3268 ,  G06F9/45545 ,  G06F9/45558 ,  G06F21/33 ,  G06F2009/45583 ,  H04L9/006 ,  H04L9/0891 ,  H04L9/30 ,  H04L63/0823

摘要： 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为：1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件：a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回；b)如果没有对应CRL文件，则下载并验证对应的CRL文件返回，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回。本发明大大提高了查询效率。

公开(公告)号：CN105743655B

公开(公告)日：2019-07-16

申请号：CN201610176957.0

申请日：2016-03-25

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 潘无穷 ,  王平建 ,  王展 ,  黎火荣 ,  关翀 ,  荆继武 ,  林璟锵

IPC分类号： H04L9/32 ,  H04L9/30

摘要： 本发明涉及一种哈希计算和签名验签计算分离的SM2签名验签实现方法，该方法在实现哈希计算接口时记录消息与哈希值之间的对应关系，在实现签名和验签计算接口时根据哈希值查询对应的原消息并通过原消息计算得到SM2签名或验签所需的哈希值。从而分离了SM2算法的哈希计算与签名/验签计算，达到了哈希计算接口可以单独使用的目的并且签名/验签的哈希值输入可以直接使用哈希计算的结果的目的；在原本使用其他密码算法并且相应接口符合国际通用API接口规范的系统中，可以不修改上层代码，直接替换接口实现部分以达到使用SM2算法替换原有密码算法的目的。

公开(公告)号：CN104980438B

公开(公告)日：2018-07-24

申请号：CN201510328899.4

申请日：2015-06-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  李冰雨 ,  王展 ,  荆继武 ,  李从午 ,  夏鲁宁 ,  王琼霄

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3268 ,  G06F9/45545 ,  G06F9/45558 ,  G06F21/33 ,  G06F2009/45583 ,  H04L9/006 ,  H04L9/0891 ,  H04L9/30 ,  H04L63/0823

摘要： 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为：1)在宿主机上创建多个客户虚拟机，在该宿主机的虚拟机监控器内设置一证书撤销列表管理器；2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求；3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件：a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回；b)如果没有对应CRL文件，则下载并验证对应的CRL文件返回，或查找该CRL文件中是否存在对应的证书序列号，然后将查询结果返回。本发明大大提高了查询效率。

公开(公告)号：CN103607279B

公开(公告)日：2017-01-04

申请号：CN201310565691.5

申请日：2013-11-14

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC分类号： H04L9/30 ,  G06F9/50

CPC分类号： G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

摘要： 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN105184154B

公开(公告)日：2017-06-20

申请号：CN201510586037.1

申请日：2015-09-15

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  祝凯捷 ,  张令臣 ,  罗勃 ,  蔡权伟 ,  李从午 ,  荆继武 ,  潘无穷

IPC分类号： G06F21/53

CPC分类号： G06F21/53 ,  G06F9/45558 ,  G06F2009/45591 ,  H04L9/0816 ,  H04L9/088 ,  H04L9/3242

摘要： 本发明涉及一种在虚拟化环境中提供密码运算服务的系统和方法。该系统中，配置子系统为管理员和普通用户提供输入虚拟密码设备相关信息的接口；密钥文件存储子系统存储密钥文件，并使用保护口令进行保护；虚拟机运行子系统根据配置子系统的输入，从存储子系统中获取相应的密钥文件并为客户虚拟机创建虚拟密码设备，最后运行客户虚拟机，为客户虚拟机提供密码运算服务。采用本发明，管理员/普通用户可以通过相应的接口为客户虚拟机指定密钥文件和输入保护口令，以便创建虚拟的密码设备，能够友好地对虚拟密码设备进行集中化的管理；虚拟化管理平台中的客户虚拟机可以请求安全的密码运算服务，缓解了虚拟化环境中的密钥安全问题。

公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

摘要： 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC分类号： H04L9/30 ,  G06F9/50

CPC分类号： G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

摘要： 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。