公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC: H04L9/30 ,  G06F9/50

CPC classification number: G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN103607279B

公开(公告)日：2017-01-04

申请号：CN201310565691.5

申请日：2013-11-14

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC: H04L9/30 ,  G06F9/50

CPC classification number: G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104883256A

公开(公告)日：2015-09-02

申请号：CN201410068010.9

申请日：2014-02-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

CPC classification number: H04L9/0822 ,  G06F9/467 ,  G06F12/0806 ,  G06F2212/1052 ,  G06F2212/402 ,  G06F2212/60 ,  G06F2212/621 ,  H04L9/002 ,  H04L9/0894 ,  H04L9/14 ,  H04L9/30 ,  H04L9/32 ,  H04L9/3226

Abstract: 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN103532710B

公开(公告)日：2016-11-30

申请号：CN201310459734.1

申请日：2013-09-26

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 潘无穷 ,  荆继武 ,  管乐 ,  向继 ,  林璟锵 ,  余幸杰

IPC: H04L9/30

Abstract: 本发明公开了一种基于GPU的SM2算法的实现方法及装置，本发明由CPU接收SM2算法计算请求，调用GPU，由GPU执行该SM2算法后得到SM2算法计算结果，反馈给CPU。在具体实现上，CPU可以接收多个SM2算法计算请求并按照计算类型分类后，分别调用执行不同计算类型的SM2算法计算请求的GPU线程组，由相应的GPU线程组完成对应计算类型的SM2算法计算，得到SM2算法计算结果，反馈给CPU。GPU在计算SM2算法的过程中，都是并行计算执行，提高了SM2算法的计算效率。

公开(公告)号：CN104639313A

公开(公告)日：2015-05-20

申请号：CN201410743667.0

申请日：2014-12-08

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王琼霄 ,  管乐 ,  蔡权伟 ,  高能 ,  叶顶锋

IPC: H04L9/06

Abstract: 本发明涉及一种密码算法的检测方法，该方法通过虚拟化平台获取正在运行密码服务的操作系统的内存映像，根据特定密码算法运行时密钥在内存中的特征，确定该系统运行的密码算法。具体可以使用虚拟化平台的内存快照功能获取所述内存映像。本发明通过虚拟化实现获取操作系统的内存映像，不用直接对密码算法进行二进制分析或者源代码审查，对运行中操作系统的没有任何影响，可以准确获取运行时的系统内存状态行，能够快速、自动的确定系统运行过程中使用的密码算法。

公开(公告)号：CN104639313B

公开(公告)日：2018-03-09

申请号：CN201410743667.0

申请日：2014-12-08

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王琼霄 ,  管乐 ,  蔡权伟 ,  高能 ,  叶顶锋

IPC: H04L9/06

Abstract: 本发明涉及一种密码算法的检测方法，该方法通过虚拟化平台获取正在运行密码服务的操作系统的内存映像，根据特定密码算法运行时密钥在内存中的特征，确定该系统运行的密码算法。具体可以使用虚拟化平台的内存快照功能获取所述内存映像。本发明通过虚拟化实现获取操作系统的内存映像，不用直接对密码算法进行二进制分析或者源代码审查，对运行中操作系统的没有任何影响，可以准确获取运行时的系统内存状态行，能够快速、自动的确定系统运行过程中使用的密码算法。

公开(公告)号：CN103532710A

公开(公告)日：2014-01-22

申请号：CN201310459734.1

申请日：2013-09-26

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 潘无穷 ,  荆继武 ,  管乐 ,  向继 ,  林璟锵 ,  余幸杰

IPC: H04L9/30

Abstract: 本发明公开了一种基于GPU的SM2算法的实现方法及装置，本发明由CPU接收SM2算法计算请求，调用GPU，由GPU执行该SM2算法后得到SM2算法计算结果，反馈给CPU。在具体实现上，CPU可以接收多个SM2算法计算请求并按照计算类型分类后，分别调用执行不同计算类型的SM2算法计算请求的GPU线程组，由相应的GPU线程组完成对应计算类型的SM2算法计算，得到SM2算法计算结果，反馈给CPU。GPU在计算SM2算法的过程中，都是并行计算执行，提高了SM2算法的计算效率。

公开(公告)号：CN104883256B

公开(公告)日：2019-02-01

申请号：CN201410068010.9

申请日：2014-02-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。