公开(公告)号：CN111831609A

公开(公告)日：2020-10-27

申请号：CN202010559247.2

申请日：2020-06-18

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 蔡权伟 ,  林璟锵 ,  范浩玲 ,  刘广祺 ,  王琼霄 ,  王伟

IPC: G06F16/13 ,  G06F9/455

Abstract: 本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中，支持统一生成不同类型二进制文件的度量值；支持对不同类型二进制文件的度量值的存储；支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值，虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明，管理人员/普通用户可以在虚拟化环境对不同类型二进制文件度量值进行管理和分发；虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。

公开(公告)号：CN104883256B

公开(公告)日：2019-02-01

申请号：CN201410068010.9

申请日：2014-02-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN105703903B

公开(公告)日：2018-11-13

申请号：CN201410698853.7

申请日：2014-11-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 刘宗斌 ,  章庆隆 ,  韩晔 ,  向继 ,  高能 ,  马存庆 ,  王琼霄

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种基于公钥密码的多因素防伪方法和系统，于防伪模块表面形成承载有特征码的可识别标签，由出厂打标设备生成第一公私密钥对，由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对，通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书，以此构成了由根证书、厂商证书、商品证书的防伪体系，并在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息，进行逐次验证，由此提高了安全性。

公开(公告)号：CN106878319A

公开(公告)日：2017-06-20

申请号：CN201710127379.6

申请日：2017-03-06

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 王平建 ,  左石城 ,  王琼霄 ,  赵宇航 ,  曹宏瑾 ,  常欢

IPC: H04L29/06

CPC classification number: H04L67/42 ,  H04L63/0807 ,  H04L63/1441 ,  H04L63/306

Abstract: 本发明提供一种提供签名服务的方法及系统，该方法步骤包括：在待签名的Web网页中嵌入浏览器与本地HTTP服务通信的脚本代码；当待签名的Web网页获取数字签名时，浏览器先根据上述脚本代码与本地HTTP服务建立可靠通信信道，再向本地HTTP服务发送签名请求，本地HTTP服务依次检验请求发起方所在浏览器身份、请求签名服务的Web网页；如果上述检验通过，则本地HTTP服务向用户请求签名授权，签名授权后返回签名数据至上述浏览器。本发明无需对浏览器进行改动，只需在待签名Web网页中嵌入与本地HTTP服务通信的脚本代码和在本地运行一个HTTP服务，就可以实现浏览器调用本地服务的功能。

公开(公告)号：CN105703903A

公开(公告)日：2016-06-22

申请号：CN201410698853.7

申请日：2014-11-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 刘宗斌 ,  章庆隆 ,  韩晔 ,  向继 ,  高能 ,  马存庆 ,  王琼霄

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种基于公钥密码的多因素防伪方法和系统，于防伪模块表面形成承载有特征码的可识别标签，由出厂打标设备生成第一公私密钥对，由防伪模块根据出厂打标设备获取并生成的特征码变换结果、随机数和不可克隆响应多因素结合生成第二公私密钥对，通过在注册步骤生成根证书、与第一公钥相关的厂商证书、与第一私钥和第二公钥相关的商品证书，以此构成了由根证书、厂商证书、商品证书的防伪体系，并在验证步骤中生成随机挑战信息和与第二私钥相关的随机挑战响应信息，进行逐次验证，由此提高了安全性。

公开(公告)号：CN115225331B

公开(公告)日：2024-07-16

申请号：CN202210713608.3

申请日：2022-06-22

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 王琼霄 ,  王伟 ,  鲁琳俪 ,  滕亚均 ,  吴鹏一

IPC: H04L9/40 ,  H04L9/08 ,  H04L65/65 ,  H04L69/22

Abstract: 本发明公开了一种数据加密通信的方法，其步骤包括：数据发送方根据明文数据的长度判断待生成数据报文的长度是否超过网络传输最大长度MTU；如果不超过，则使用会话密钥对所述明文数据进行加密，生成数据报文；否则在应用层对所述明文数据进行拆分得到多个分片，然后对拆分后的每一分片进行加密生成一数据报文；其中，生成的每一所述数据报文的长度不超过网络传输最大长度MTU；接收方收到所述数据报文后，根据所述数据报文中的会话密钥标识查找对应的会话密钥对所述数据报文进行解密。本发明可用于各种通信协议，只要数据报文中包含数据分片的顺序信息，即可在解密后重组恢复原始数据。此外，若单一数据包丢失，不影响其他数据包解密。

公开(公告)号：CN110572258B

公开(公告)日：2021-12-14

申请号：CN201910671174.3

申请日：2019-07-24

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  荆继武 ,  郎帆 ,  任良钦 ,  吴鹏一 ,  王琼霄 ,  郑昉昱

IPC: H04L9/08 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明公开了一种云密码计算平台及计算服务方法。本方法为：1)将n台物理密码机开机组成密码机集群连接至资源管理模块；2)同步该n台密码机的主密钥，使其共享密码机主密钥Km；3)将收到密钥生成请求发送给一密码机A；4)密码机A用Km对请求中的用户身份处理生成对应的用户主密钥Ki；5)密码机A生成算法密钥AKi，用Ki对AKi加密并将其发送给资源管理模块；6)当用户i请求进行计算服务j时，利用密钥[AKi]Ki其加入用户请求加解密或签名验签的请求中并发送密码机B；7)密码机B根据请求中的身份和Km解密得到Ki，利用Ki对[AKi]Ki进行解密并利用AKi完成计算服务j。

公开(公告)号：CN109684829B

公开(公告)日：2020-12-04

申请号：CN201811471745.0

申请日：2018-12-04

Applicant: 中国科学院数据与通信保护研究教育中心 ,  中国科学院信息工程研究所

Inventor： 蔡权伟 ,  林璟锵 ,  江芳杰 ,  王琼霄

IPC: G06F21/53

Abstract: 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

公开(公告)号：CN106972931B

公开(公告)日：2020-05-15

申请号：CN201710096385.X

申请日：2017-02-22

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 荆继武 ,  林璟锵 ,  王琼霄 ,  王泽 ,  蔡权伟

IPC: H04L9/32

Abstract: 本发明提供一种PKI中证书透明化的方法，该方法设置一条证书区块链，证书订户在证书区块链中发布I型证书交易，声明所有自己目前在用的合法证书，以及发布II型证书交易，设置用来签名I型证书交易的发布密钥对，证书交易由其发布者签名，其他人无法冒充证书订户发布证书交易。证书用户验证证书时，从自己保存的证书区块链副本中寻找相应订户发布的证书交易，并检查待验证的证书是否存在于相应证书交易的有效证书列表中。本方法优点在于：证书订户在区块链中声明有效证书的信息；证书交易需要由发布者签名，签名的密钥可以通过证书交易改变；证书用户验证证书时，需要检查证书是否出现在证书区块链中，防止虚假证书造成的攻击。

公开(公告)号：CN110572258A

公开(公告)日：2019-12-13

申请号：CN201910671174.3

申请日：2019-07-24

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  荆继武 ,  郎帆 ,  任良钦 ,  吴鹏一 ,  王琼霄 ,  郑昉昱

IPC: H04L9/08 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明公开了一种云密码计算平台及计算服务方法。本方法为：1)将n台物理密码机开机组成密码机集群连接至资源管理模块；2)同步该n台密码机的主密钥，使其共享密码机主密钥Km；3)将收到密钥生成请求发送给一密码机A；4)密码机A用Km对请求中的用户身份处理生成对应的用户主密钥Ki；5)密码机A生成算法密钥AKi，用Ki对AKi加密并将其发送给资源管理模块；6)当用户i请求进行计算服务j时，利用密钥[AKi]Ki其加入用户请求加解密或签名验签的请求中并发送密码机B；7)密码机B根据请求中的身份和Km解密得到Ki，利用Ki对[AKi]Ki进行解密并利用AKi完成计算服务j。