公开(公告)号：CN104883256B

公开(公告)日：2019-02-01

申请号：CN201410068010.9

申请日：2014-02-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN105703903B

公开(公告)日：2018-11-13

申请号：CN201410698853.7

申请日：2014-11-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 刘宗斌 ,  章庆隆 ,  韩晔 ,  向继 ,  高能 ,  马存庆 ,  王琼霄

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种基于公钥密码的多因素防伪方法和系统，于防伪模块表面形成承载有特征码的可识别标签，由出厂打标设备生成第一公私密钥对，由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对，通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书，以此构成了由根证书、厂商证书、商品证书的防伪体系，并在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息，进行逐次验证，由此提高了安全性。

公开(公告)号：CN108737103A

公开(公告)日：2018-11-02

申请号：CN201810257242.7

申请日：2018-03-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  马原 ,  吴鑫莹 ,  陈天宇 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种应用于CS架构的SM2算法签名方法。本方法为：1)客户端生成子私钥D1，服务器生成子私钥D2；2)客户端生成待签名消息M的消息摘要e，生成签名请求e'＝e||b，将e'发送给服务器；b为客户端向服务器注册时设置的口令；3)服务器从e'提取口令b并验证其是否正确，如果错误则结束签名；如果正确，则反馈确认信息给客户端，客户端生成第一部分签名Q1并将其发送给服务器；4)服务器根据Q1和消息摘要e生成第二部分签名r，并根据D2生成第三部分签名s2和第四部分签名s3，将r、s2和s3发送给客户端；5)客户端根据D1、r、s2和s3生成消息M的签名。本发明提高了签名算法的安全性。

公开(公告)号：CN108345445A

公开(公告)日：2018-07-31

申请号：CN201710060581.1

申请日：2017-01-25

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 马原 ,  荆继武 ,  陈天宇 ,  林璟锵

IPC: G06F7/58 ,  H04L9/08

Abstract: 本发明提出了一种足熵数字物理噪声源装置，包括：第一振荡器、第二振荡器、第一单沿计数器、第二单沿计数器、采样控制单元、计数结果保存器、熵估计电路、判断模块和随机数存储模块。通过熵估计电路，实现了在所述噪声源运行期间，对内部的熵值变化的监测；通过采用两个结构相同的振荡器，消除了确定性干扰对计数结果的影响，解决了噪声源输出存在确定性的问题；在采样过程中通过使用单沿计数方法，解决了由于被采样信号的周期内占空比不均匀而导致的噪声源的输出的均衡性差的问题；本发明能保证所述噪声源输出的随机数具有足熵性质。

公开(公告)号：CN108173639A

公开(公告)日：2018-06-15

申请号：CN201810060113.9

申请日：2018-01-22

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 穆永恒 ,  徐海霞 ,  李佩丽 ,  马添军 ,  付烁

IPC: H04L9/00 ,  H04L9/08 ,  H04L9/32

CPC classification number: H04L9/0869 ,  H04L9/008 ,  H04L9/0891 ,  H04L9/3252

Abstract: 本发明公开了一种基于SM9签名算法的两方合作签名方法。本方法为：KGC将用户私钥dsA的系数t2进行乘法拆分，即t2＝(a‑1)·(at2)；将a‑1作为签名者A1的私钥[at2]P1作为签名者A2的私钥A1将加密后的r1发送给A2，A2对r3(r1r2‑h)加密得到c3，计算并将c3和c4发送给A1，A1通过解密得到s1＝r3(r1r2‑h)，但得不到r2和r3，A1计算并验证(h,S)是否为合法签名，若是，则A1和A2合作签名成功；否则，中止签名。

公开(公告)号：CN105187203B

公开(公告)日：2018-05-11

申请号：CN201510609399.8

申请日：2015-09-22

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  王展 ,  王泽 ,  赵宇航

IPC: H04L9/08

Abstract: 本发明公开了一种无线设备间基于接收信号强度的共享密钥建立方法。本方法为：1)为两无线设备创建一安全隔离环境；2)发起设备以设定发射功率、设定时间间隔向响应设备发送多个认证请求；3)响应设备计算接收信号强度的标准差；如果低于阈值，则向发起设备回复一认证通过信息，否则认证未通过；4)发起设备生成一长度为m比特的密钥K，然后向响应设备发送m个数据包；5)响应设备记录该m个数据包的信号接收强度，根据该m个接收信号强度恢复出一个长度为m比特的密钥K’，然后回复一条用密钥K’加密的消息；6)发起设备用密钥K对进行解密，如果解密成功，则回复一条认证成功消息，完成密钥共享。本发明大大提高了通信安全性。

公开(公告)号：CN104580188B

公开(公告)日：2017-11-07

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104408620B

公开(公告)日：2017-09-22

申请号：CN201410640133.5

申请日：2014-11-13

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 荆继武 ,  雷灵光 ,  王平建 ,  周健 ,  王跃武 ,  夏鲁宁 ,  曹雷 ,  马瑞

IPC: G06Q20/38 ,  G06Q20/34

Abstract: 本发明公开了一种安全的NFC支付方法及系统，在NFC支付卡表面设置承载有第一支付密钥的视频识别码标签，在NFC支付卡内的NFC模块内存储第二支付密钥，在进行支付时，利用第一支付密钥和第二支付密钥进行认证，确保只有当用户取出NFC支付卡并对准刷卡设备时，刷卡设备以扫描或拍照的方式读取并识别NFC卡表面的视频识别码标签才能与NFC支付卡进行交互并完成支付过程。由此，有效防止了放在钱包或口袋中的NFC卡被盗刷，具有更好的安全性。

公开(公告)号：CN106878319A

公开(公告)日：2017-06-20

申请号：CN201710127379.6

申请日：2017-03-06

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 王平建 ,  左石城 ,  王琼霄 ,  赵宇航 ,  曹宏瑾 ,  常欢

IPC: H04L29/06

CPC classification number: H04L67/42 ,  H04L63/0807 ,  H04L63/1441 ,  H04L63/306

Abstract: 本发明提供一种提供签名服务的方法及系统，该方法步骤包括：在待签名的Web网页中嵌入浏览器与本地HTTP服务通信的脚本代码；当待签名的Web网页获取数字签名时，浏览器先根据上述脚本代码与本地HTTP服务建立可靠通信信道，再向本地HTTP服务发送签名请求，本地HTTP服务依次检验请求发起方所在浏览器身份、请求签名服务的Web网页；如果上述检验通过，则本地HTTP服务向用户请求签名授权，签名授权后返回签名数据至上述浏览器。本发明无需对浏览器进行改动，只需在待签名Web网页中嵌入与本地HTTP服务通信的脚本代码和在本地运行一个HTTP服务，就可以实现浏览器调用本地服务的功能。

公开(公告)号：CN106790274A

公开(公告)日：2017-05-31

申请号：CN201710089728.X

申请日：2017-02-20

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 王平建 ,  刘坤 ,  常冰

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明涉及一种一次性密码登录无线局域网的方法，步骤为：客户端根据共享密钥、路由器SSID和UNIX时间戳，使用一次性密码生成算法生成一个一次性密码，然后在登录路由器时输入用户名及该一次性密码，路由器把用户名传给认证服务器，认证服务器根据用户名在数据库中取到共享密钥，然后再根据路由器SSID及系统时间也生成一个密码，比较客户端提交的密码与认证服务器生成的密码是否一致，一致则认证成功。