公开(公告)号：CN110572258A

公开(公告)日：2019-12-13

申请号：CN201910671174.3

申请日：2019-07-24

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  王伟 ,  荆继武 ,  郎帆 ,  任良钦 ,  吴鹏一 ,  王琼霄 ,  郑昉昱

IPC: H04L9/08 ,  H04L9/32 ,  H04L29/08

Abstract: 本发明公开了一种云密码计算平台及计算服务方法。本方法为：1)将n台物理密码机开机组成密码机集群连接至资源管理模块；2)同步该n台密码机的主密钥，使其共享密码机主密钥Km；3)将收到密钥生成请求发送给一密码机A；4)密码机A用Km对请求中的用户身份处理生成对应的用户主密钥Ki；5)密码机A生成算法密钥AKi，用Ki对AKi加密并将其发送给资源管理模块；6)当用户i请求进行计算服务j时，利用密钥[AKi]Ki其加入用户请求加解密或签名验签的请求中并发送密码机B；7)密码机B根据请求中的身份和Km解密得到Ki，利用Ki对[AKi]Ki进行解密并利用AKi完成计算服务j。

公开(公告)号：CN105912433B

公开(公告)日：2019-07-05

申请号：CN201610217237.4

申请日：2016-04-08

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 蔡权伟 ,  江芳杰 ,  侯岳晗 ,  王平建 ,  林璟锵 ,  夏鲁宁 ,  荆继武

IPC: G06F11/22 ,  G06F11/26

Abstract: 本发明公开了一种自适应的密码设备检测方法和系统。本系统包含检测机、被测密码设备和模式评估模块，检测机用来对被测密码设备进行性能测试和正确性测试，被测密码设备用来进行密码运算，模式评估模块用来评估模式匹配条件，并做出模式选择。模式评估模块通过评估检测机进行正确性验证测试的密码运算速度、检测机的数据存储速度和被测密码设备的密码运算速度的关系，自适应地选择检测模式，在不影响被测密码设备性能测试的情况下，完成对被测密码设备的正确性验证测试，使被测密码设备可以处于最佳速度进行密码运算，大大提高了性能测试的准确性，消除了检测机性能成为被测密码设备性能测试的瓶颈问题。

公开(公告)号：CN109547472A

公开(公告)日：2019-03-29

申请号：CN201811585948.2

申请日：2018-12-24

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 蔡权伟 ,  郭丞乾 ,  林璟锵 ,  孟令佳 ,  王琼霄

IPC: H04L29/06

Abstract: 本发明提供一种可隐藏用户登录轨迹的单点登录方法。该方法包含用户、身份提供方和身份依赖方三个参与方。在用户每次登录过程中，身份依赖方与用户协商生成临时应用标识；身份提供方认证用户身份成功之后向身份依赖方返回用户身份凭据，身份凭据中实现了用户唯一标识uid和临时应用标识的绑定；身份依赖方通过两次登录过程中的临时应用标识和用户身份凭据能够判断两次登录过程是否对应同一个用户。特别地，除用户和用户登录的身份依赖方外，其他实体无法明确用户登录的身份依赖方信息，也无法判断用户的两次登录过程是否对应同一个身份依赖方，从而隐藏了用户的登录轨迹，保护了用户隐私信息。

公开(公告)号：CN105930128B

公开(公告)日：2018-11-06

申请号：CN201610325863.5

申请日：2016-05-17

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 郑昉昱 ,  董建阔 ,  林璟锵 ,  荆继武 ,  蔡权伟 ,  赵原

IPC: G06F7/487

Abstract: 本发明公开了一种利用浮点数计算指令实现大整数乘法计算加速方法。本方法为：1)将长度为n比特的被乘数A分为N段，长度为m比特乘数B分为M段；每段的长度为w比特，M≥N；2)将被乘数A、乘数B的每段分别转化为一浮点数；3)采用熔加运算对转化后的被乘数A、乘数B进行乘法运算；并将运算结果转化为一定点数；4)将该定点数分为多段，每段长度为w比特；然后对每一段定点数R[u]：R[u]对2w进行求模运算，将求模结果保存到C[u]中；然后对R[u]右移w位，结果保存到Carry1中；然后将Carry1与R[u+1]作和，并保存到R[u+1]中。本发明减少了计算的复杂度，提升了计算速度。

公开(公告)号：CN108512656A

公开(公告)日：2018-09-07

申请号：CN201710113394.5

申请日：2017-02-28

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 马原 ,  荆继武 ,  陈天宇 ,  林璟锵

IPC: H04L9/08 ,  H04L9/06

Abstract: 本发明提出了一种高速足熵数字物理噪声源装置，包括：第一振荡器、第二振荡器、线性波转换器、模数转换器、熵估计电路、位宽转换器和随机数存储器。本发明通过模数转换器实现在非常短的采样间隔内收集足够多的随机量，从而显著地提高了噪声源的吞吐率；同时，利用熵估计电路和位宽转换器，在噪声源运行期间持续对其输出的熵值监控，确保了输出具有足熵特性，以提供高质量的随机数服务。而且，由于位宽转换器可以根据传来的测量结果，实时地调整满足足熵条件的位宽大小，因此增强了噪声源使用时的健壮性。

公开(公告)号：CN103942028B

公开(公告)日：2017-04-05

申请号：CN201410150320.5

申请日：2014-04-15

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 郑昉昱 ,  荆继武 ,  潘无穷 ,  林璟锵 ,  赵原

IPC: G06F7/537

Abstract: 本发明公开了一种应用在密码技术中的大整数乘法运算方法及装置，在密码技术中进行大整数乘法运算时，将被乘数和乘数拆分为若干字，利用高低位分离的带进位乘加指令，根据一定次序累加被乘数的一个字和乘数的一个字相乘的高位或低位乘积到结果的对应位置中，指令产生的进位将用于计算高一字结果的下一指令输入中；算法重复此类计算，直到被乘数的每一个字和乘数的每一个字的高低位结果均被累加到结果中。本发明实现的大整数乘法运算，可以减少大整数乘法计算的复杂度，提升计算速度。

公开(公告)号：CN103605597B

公开(公告)日：2017-01-18

申请号：CN201310587446.4

申请日：2013-11-20

Applicant: 中国科学院数据与通信保护研究教育中心 ,  赞嘉电子科技(北京)有限公司

Inventor： 荆继武 ,  张嘉纯 ,  郑昉昱 ,  刘宗斌 ,  汪婧 ,  林璟锵 ,  王鹏

IPC: G06F11/30 ,  G06F21/70

Abstract: 本发明公开了一种可配置的计算机保护系统及方法，其中可配置的计算机保护系统包括多个环境传感器、与多个环境传感器一一对应的使能开关、监测模块以及响应模块；多个环境传感器用于采集环境信息；多个使能开关用于分别控制对应环境传感器的使能状态或非使能状态；监测模块用于获取处于使能状态的环境传感器采集的环境信息，并判断是否存在环境异常，并在环境异常时向响应模块发出环境异常信号；响应模块用于在接收到环境异常信号后执行异常响应操作；采用本发明的一种计算机保护系统及方法，可以选择性地使用某些环境传感器，以实现计算机系统在多种应用环境下的物理安全。

公开(公告)号：CN105184154A

公开(公告)日：2015-12-23

申请号：CN201510586037.1

申请日：2015-09-15

Applicant: 中国科学院信息工程研究所 ,  中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  祝凯捷 ,  张令臣 ,  罗勃 ,  蔡权伟 ,  李从午 ,  荆继武 ,  潘无穷

IPC: G06F21/53

CPC classification number: G06F21/53 ,  G06F9/45558 ,  G06F2009/45591 ,  H04L9/0816 ,  H04L9/088 ,  H04L9/3242

Abstract: 本发明涉及一种在虚拟化环境中提供密码运算服务的系统和方法。该系统中，配置子系统为管理员和普通用户提供输入虚拟密码设备相关信息的接口；密钥文件存储子系统存储密钥文件，并使用保护口令进行保护；虚拟机运行子系统根据配置子系统的输入，从存储子系统中获取相应的密钥文件并为客户虚拟机创建虚拟密码设备，最后运行客户虚拟机，为客户虚拟机提供密码运算服务。采用本发明，管理员/普通用户可以通过相应的接口为客户虚拟机指定密钥文件和输入保护口令，以便创建虚拟的密码设备，能够友好地对虚拟密码设备进行集中化的管理；虚拟化管理平台中的客户虚拟机可以请求安全的密码运算服务，缓解了虚拟化环境中的密钥安全问题。

公开(公告)号：CN104883256A

公开(公告)日：2015-09-02

申请号：CN201410068010.9

申请日：2014-02-27

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 林璟锵 ,  管乐 ,  王琼霄 ,  汪婧 ,  荆继武

IPC: H04L9/32 ,  H04L9/08

CPC classification number: H04L9/0822 ,  G06F9/467 ,  G06F12/0806 ,  G06F2212/1052 ,  G06F2212/402 ,  G06F2212/60 ,  G06F2212/621 ,  H04L9/002 ,  H04L9/0894 ,  H04L9/14 ,  H04L9/30 ,  H04L9/32 ,  H04L9/3226

Abstract: 本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

公开(公告)号：CN103778449A

公开(公告)日：2014-05-07

申请号：CN201410024870.2

申请日：2014-01-20

Applicant: 中国科学院数据与通信保护研究教育中心

Inventor： 夏鲁宁 ,  荆继武 ,  嵇亚飞 ,  王秋晨 ,  王琼霄 ,  王平建 ,  王跃武 ,  王雷 ,  王展 ,  向继 ,  高能 ,  林璟锵

IPC: G06K17/00

Abstract: 本发明公开了一种区域内移动存储装置的跟踪监控系统和方法，该方法分为注册步骤和跟踪监控步骤；其中，注册步骤中，移动存储装置在区域监控装置内注册，区域监控装置向其写入属性信息和鉴别码；跟踪监控步骤中，在受控区域内，UHF电子标签读写器读取射频场范围内的移动存储装置的属性信息和鉴别码，并将数据上送至区域监控装置，区域监控装置根据接收的数据进行实时记录和分析，如果发现异常情况，则报警并给出告警辅助信息；由此，可实现跟踪指定区域内的移动存储装置，确保受监控的移动存储装置只在指定区域内使用，对于违规带离、非法隐藏等行为进行识别和告警。