公开(公告)号：CN105975878A

公开(公告)日：2016-09-28

申请号：CN201610370911.2

申请日：2016-05-30

Applicant: 中国科学院信息工程研究所

Inventor： 夏鲁宁 ,  汤胜军 ,  贾世杰 ,  张琼露 ,  张国柱 ,  嵇亚飞 ,  林璟锵

IPC: G06F21/78

CPC classification number: G06F21/78

Abstract: 本发明公开一种基于Nand Flash闪存的安全存储方法及系统，基于机密数据在闪存中的物理存储位置不断变化的思想，保证机密数据存储的安全性。初始化阶段，在闪存转换层中设置触发器来控制机密数据的位置移动机制；在闪存设备工作时，启动触发器，闪存转换层监听上层文件系统的读、写等操作命令。当满足触发机密数据移动机制的条件时，启动机密数据移动操作。机密数据移动阶段，重新选择合适的安全存储区存放机密数据，对安全块进行垃圾回收后将机密数据转移到安全块。机密数据移动完成后，伪装安全块的状态，避免暴露机密数据的存放位置。本方法增加了机密数据存储位置的不确定性和不可预见性，实现了机密数据在闪存设备中的安全存储。

公开(公告)号：CN105515771A

公开(公告)日：2016-04-20

申请号：CN201610059463.4

申请日：2016-01-28

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 朱文涛 ,  林璟锵 ,  闫伸 ,  潘适然 ,  杨玲

IPC: H04L9/30 ,  H04L9/08

CPC classification number: H04L9/3013 ,  H04L9/0825

Abstract: 本发明涉及一种基于离散对数难题构造并关联公钥证书的方法，包括构造过程、替换过程和验证过程；与传统网络中每个用户拥有一张公钥证书的方式不同，本发明提供了一种高效但与传统PKI机制相兼容的公钥证书管理方式，使得即便单个用户也能拥有多张相互关联的公钥证书，并根据需要以一定的顺序来使用它们。本发明较传统的公钥证书管理有多方面优势，能为用户提供包括证书自行撤销与替换在内的灵活可控的自服务机制等。

公开(公告)号：CN104580188A

公开(公告)日：2015-04-29

申请号：CN201410849125.1

申请日：2014-12-29

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  李冰雨 ,  汪婧 ,  潘无穷 ,  王跃武

IPC: H04L29/06 ,  H04L9/32

CPC classification number: H04L9/3263 ,  G06F9/45504 ,  G06F21/602 ,  G06F21/73 ,  H04L9/32 ,  H04L9/3268 ,  H04L29/06 ,  H04L63/062 ,  H04L63/0823 ,  H04L63/20

Abstract: 本发明涉及一种在虚拟化环境中保护根CA证书的方法和系统。该方法在宿主机上设置根CA证书安全管理器，其内存储根证书列表，并通过只读接口为客户虚拟机提供根证书服务；客户虚拟机进行证书验证时，向根CA证书安全管理器提出证书服务请求，根CA证书安全管理器响应该请求并向客户虚拟机提供证书服务。本发明的虚拟的根证书列表具有以下特点：通过只读的接口为客户虚拟机提供根证书服务；将根证书列表从客户虚拟机中隔离出来；客户虚拟机对根证书列表的访问只能以Read Only的方式进行，所有对根CA证书的配置修改只能在宿主机中通过操作接口访问根CA证书安全管理器来完成；客户虚拟机灵活选择验证证书的方式。

公开(公告)号：CN104461678A

公开(公告)日：2015-03-25

申请号：CN201410609724.6

申请日：2014-11-03

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  荆继武 ,  管乐 ,  汪婧 ,  李冰雨 ,  王跃武 ,  潘无穷

IPC: G06F9/455 ,  G06F21/31

Abstract: 本发明涉及一种在虚拟化环境中提供密码服务的方法和系统。通过虚拟密码设备管理器管理宿主机上可用的密码计算资源，并提供虚拟的密码运算设备，供客户虚拟机访问；客户虚拟机向虚拟的密码运算设备提出密码服务请求，虚拟密码设备管理器使用虚拟机自省方法主动检查客户虚拟机提出的密码服务请求是否有效，如果检查通过，则在虚拟密码设备管理器中完成密码运算，并将运算结果返回给客户虚拟机；如果检查未通过则不完成密码运算服务。本发明提供了在虚拟化环境中为客户虚拟机提供密码运算服务的方案，可以在虚拟密码设备管理器上对每个客户虚拟机的虚拟密码设备进行按需分配，同时对客户虚拟机对虚拟密码设备的访问进行审计和主动的检查。

公开(公告)号：CN103607279A

公开(公告)日：2014-02-26

申请号：CN201310565691.5

申请日：2013-11-14

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  管乐 ,  汪婧 ,  王琼霄 ,  荆继武 ,  李宝

IPC: H04L9/30 ,  G06F9/50

CPC classification number: G06F21/72 ,  G06F9/5044 ,  G06F21/74 ,  H04L9/0894 ,  H04L9/30

Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统，通过设置承载于多核处理器的操作系统，使多核处理器中的一个核作为密码运算核，该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算，并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性。

公开(公告)号：CN114697080A

公开(公告)日：2022-07-01

申请号：CN202210185790.X

申请日：2022-02-28

Applicant: 中国科学院信息工程研究所

Inventor： 王伟 ,  王一鸣 ,  王文杰 ,  林璟锵 ,  郭丞乾

IPC: H04L9/40 ,  H04L43/50 ,  G06F9/50

Abstract: 本发明公开了一种网络密码设备分布式性能测试系统的测试配置调整方法。本方法为：1)选取N个测试代理并分别与控制中心、待测试的网络密码设备连接；2)控制中心将网络密码设备的信息与测试接口发送给各测试代理；3)控制中心将测试的初始测试配置发送给N个测试代理，测试代理依据收到的配置信息设置相应线程数启动测试；4)控制中心设定测试周期的时长，根据各代理在测试周期Tj内的测试能力，为对应测试代理在测试周期Tj+1内配置线程数；其中，控制中心在每个测试周期增加若干个线程，第i个测试代理在Tj+1内增加的线程数量与其在测试周期Tj内的测试能力成正比；当N个测试代理上测试线程的总数到达最大线程总数后，停止测试。

公开(公告)号：CN114611078A

公开(公告)日：2022-06-10

申请号：CN202011409117.7

申请日：2020-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王琼霄 ,  黄婉玲 ,  林璟锵 ,  王伟 ,  万会庆

IPC: G06F21/31 ,  G06F21/45 ,  G06F21/64

Abstract: 本发明公开了一种隐式证书的透明化方法及系统，支持将隐式证书提交至多个证书透明化公开日志服务器，兼容不支持证书透明化的隐式证书验证。本发明将隐式证书透明化的同时不用带来新的签名和签名验证开销，也不需要分别验证是否提交给单个公开日志服务器，在验证隐式证书是否有效的同时即可验证是否提交给多个公开日志服务器。

公开(公告)号：CN108038026B

公开(公告)日：2021-11-30

申请号：CN201711144794.9

申请日：2017-11-17

Applicant: 中国科学院信息工程研究所

Inventor： 贾世杰 ,  夏鲁宁 ,  管乐 ,  林璟锵 ,  王沛莹 ,  马原 ,  王跃武

IPC: G06F11/14 ,  G06F12/02 ,  G06F12/06

Abstract: 本发明公开了一种基于闪存的数据快速恢复方法与系统，利用闪存数据非原位更新的特点，通过在基于闪存的存储设备中进行元数据备份、修改地址映射与垃圾回收等机制实现快速的数据恢复。在需恢复数据准备阶段，用户向基于闪存的存储设备中正常写入数据，在闪存转换层接收到来自上层系统的存储命令后，对需恢复数据的相关元数据进行备份。在需恢复数据修改阶段，合法或非合法用户对数据进行增删改操作，通过修改闪存转换层中的地址映射、垃圾回收机制保证需恢复数据的完整性。在需恢复数据恢复阶段，闪存转换层接收到来自上层系统的恢复命令，通过恢复需恢复数据的元数据来恢复需要恢复的数据。

公开(公告)号：CN111859362A

公开(公告)日：2020-10-30

申请号：CN202010517967.2

申请日：2020-06-09

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 林璟锵 ,  蔡权伟 ,  王琼霄 ,  刘广祺 ,  郭娟娟 ,  宋利

IPC: G06F21/45 ,  G06F21/31

Abstract: 本发明提供一种移动环境下的多级身份鉴别方法及电子装置，该方法包括：分别采集用户的移动设备数据及相应电信运营商数据；通过设定风险评估维度，计算移动设备的环境安全等级；依据所述环境安全等级对应的系统安全策略，对该用户发出至少一级身份鉴定指令或禁止操作指令；根据用户会话中包含的鉴定指令及鉴定判决信息，对用户进行判定，并对判定成功的用户签发身份票据。本发明能够向用户提供多级的身份鉴别保护能力，弥补了现有技术不足，同时通过引入风险控制来保证用户使用环境安全。

公开(公告)号：CN109800584B

公开(公告)日：2020-10-16

申请号：CN201811431816.4

申请日：2018-11-28

Applicant: 中国科学院信息工程研究所

Inventor： 林璟锵 ,  黎火荣 ,  蔡权伟 ,  欧阳文宜 ,  荆继武 ,  王伟

IPC: G06F21/60 ,  H04L9/06 ,  H04L9/30

Abstract: 本发明公开了一种基于Intel SGX机制的身份或属性加密计算方法和系统。本方法为：1)将Public enclave部署在消息发送者终端、Private enclave部署在消息接收者终端，分别基于Intel SGX机制提供隔离执行的应用程序运行环境；2)Private enclave首次启动时向PKG请求私钥；Public enclave首次启动时向PKG请求系统参数和主密钥，生成用户的公钥；3)Public enclave根据输入的ID或属性推导出对应公钥后用公钥对消息加密；消息接收者终端的Private enclave的解密接口用私钥对消息解密。本发明安全、高效地实现了公钥密码计算。