公开(公告)号：CN103607279B

公开(公告)日：2017-01-04

申请号：CN201310565691.5

申请日：2013-11-14

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC分类号： H04L9/30 ,  G06F9/50

CPC分类号： G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

摘要： 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

摘要： 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

申请人： 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC分类号： H04L29/06 ,  H04L9/32

CPC分类号： H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

摘要： 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

申请人： 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

发明人： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC分类号： H04L9/30 ,  G06F9/50

CPC分类号： G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

摘要： 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN103605597A

公开(公告)日：2014-02-26

申请号：CN201310587446.4

申请日：2013-11-20

申请人： 中国科学院数据与通信保护研究教育中心 ,  赞嘉电子科技(北京)有限公司

发明人： 荆继武 ,  张嘉纯 ,  郑昉昱 ,  刘宗斌 ,  汪婧 ,  林璟锵 ,  王鹏

IPC分类号： G06F11/30 ,  G06F21/70

摘要： 本发明公开了一种可配置的计算机保护系统及方法，其中可配置的计算机保护系统包括多个环境传感器、与多个环境传感器一一对应的使能开关、监测模块以及响应模块；多个环境传感器用于采集环境信息；多个使能开关用于分别控制对应环境传感器的使能状态或非使能状态；监测模块用于获取处于使能状态的环境传感器采集的环境信息，并判断是否存在环境异常，并在环境异常时向响应模块发出环境异常信号；响应模块用于在接收到环境异常信号后执行异常响应操作；采用本发明的一种计算机保护系统及方法，可以选择性地使用某些环境传感器，以实现计算机系统在多种应用环境下的物理安全。

公开(公告)号：CN104883256B

公开(公告)日：2019-02-01

申请号：CN201410068010.9

申请日：2014-02-27

申请人： 中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC分类号： H04L9/32 ,  H04L9/08

摘要： 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN103605597B

公开(公告)日：2017-01-18

申请号：CN201310587446.4

申请日：2013-11-20

申请人： 中国科学院数据与通信保护研究教育中心 ,  赞嘉电子科技(北京)有限公司

发明人： 荆继武 ,  张嘉纯 ,  郑昉昱 ,  刘宗斌 ,  汪婧 ,  林璟锵 ,  王鹏

IPC分类号： G06F11/30 ,  G06F21/70

摘要： 本发明公开了一种可配置的计算机保护系统及方法，其中可配置的计算机保护系统包括多个环境传感器、与多个环境传感器一一对应的使能开关、监测模块以及响应模块；多个环境传感器用于采集环境信息；多个使能开关用于分别控制对应环境传感器的使能状态或非使能状态；监测模块用于获取处于使能状态的环境传感器采集的环境信息，并判断是否存在环境异常，并在环境异常时向响应模块发出环境异常信号；响应模块用于在接收到环境异常信号后执行异常响应操作；采用本发明的一种计算机保护系统及方法，可以选择性地使用某些环境传感器，以实现计算机系统在多种应用环境下的物理安全。

公开(公告)号：CN104883256A

公开(公告)日：2015-09-02

申请号：CN201410068010.9

申请日：2014-02-27

申请人： 中国科学院数据与通信保护研究教育中心

发明人： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC分类号： H04L9/32 ,  H04L9/08

CPC分类号： H04L9/0822 ,  G06F9/467 ,  G06F12/0806 ,  G06F2212/1052 ,  G06F2212/402 ,  G06F2212/60 ,  G06F2212/621 ,  H04L9/002 ,  H04L9/0894 ,  H04L9/14 ,  H04L9/30 ,  H04L9/32 ,  H04L9/3226

摘要： 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN104461678B

公开(公告)日：2017-11-24

申请号：CN201410609724.6

申请日：2014-11-03

申请人： 中国科学院信息工程研究所

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC分类号： G06F9/455 ,  G06F21/31

摘要： 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。

公开(公告)号：CN104461678A

公开(公告)日：2015-03-25

申请号：CN201410609724.6

申请日：2014-11-03

申请人： 中国科学院信息工程研究所

发明人： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC分类号： G06F9/455 ,  G06F21/31

摘要： 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。