-
公开(公告)号:CN107948164A
公开(公告)日:2018-04-20
申请号:CN201711221952.6
申请日:2017-11-29
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
CPC classification number: H04L63/068 , H04L63/0846 , H04W12/06
Abstract: 本发明公开了一种结合物理认证因素的Wi-Fi口令动态更新方法及系统。本方法为:移动终端获取无线接入点的初始Wi-Fi口令;其中,物理认证参数生成及发布设备按照设定时间周期更新并在设定的受控物理环境中发布物理认证参数,以及根据当前发布的所述物理认证参数和之前的Wi-Fi口令计算当前使用的Wi-Fi口令;移动终端收到Wi-Fi信号后,判断当前使用的Wi-Fi口令是否已更新,如果已更新,则在所述受控物理环境中获取所述物理认证参数生成及发布设备当前发布的所述物理认证参数;然后所述移动终端根据当前收到的所述物理认证参数和之前使用的Wi-Fi口令计算当前使用的Wi-Fi口令。
-
公开(公告)号:CN103607279A
公开(公告)日:2014-02-26
申请号:CN201310565691.5
申请日:2013-11-14
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
CPC classification number: G06F21/72 , G06F9/5044 , G06F21/74 , H04L9/0894 , H04L9/30
Abstract: 本发明提供了一种基于多核处理器的密钥保护方法及系统,通过设置承载于多核处理器的操作系统,使多核处理器中的一个核作为密码运算核,该密码运算核被禁止运行操作系统的其它进程、并被专用于执行公钥密码运算,并将私钥以及计算过程中使用的中间变量存放于该核独占的高速缓冲存储器中,可以防止攻击者直接从物理内存中窃取私钥信息,从而保障公钥密码算法在计算机系统环境下实现的安全性。
-
公开(公告)号:CN111831609B
公开(公告)日:2024-01-02
申请号:CN202010559247.2
申请日:2020-06-18
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中,支持统一生成不同类型二进制文件的度量值;支持对不同类型二进制文件的度量值的存储;支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值,虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明,管理人员/普通用户可以(56)对比文件meng xu .el.Toward Engineering aSecure Android Ecosystem: A Survey ofExisting Techniques《.Toward Engineering aSecure Android Ecosystem: A Survey ofExisting Techniques》.2016,全文.Chilingirian, Berj Krikor.Hashinghardware : identifying hardware duringboot-time system verification《.MITLibraries》.2017,全文.蔡梦娟.基于硬件虚拟化的虚拟机进程代码分页式度量方法《.计算机应用》.2018,第305-309页.盛志凡,王东飞,解伟.智能电视操作系统TVOS1.0安全技术体系《.广播与电视技术》.2015,全文.胡伟,姬东耀.基于信息流模型的TCB完整性策略分析方法与工具《.武汉大学学报(理学版)》.2013,全文.曲海鹏,敖赢戈,晏敏.基于上下文的Android移动终端可信运行控制系统的设计与实现《.北京交通大学学报》.2013,全文.陈兴蜀,王伟,金鑫.基于标签的vTPM私密信息保护方案《.通信学报》.2018,全文.蔡权伟.分布式Byzantine容错系统研究.《中国博士学位论文全文数据库》.2015,全文.Jiang, Fangjie, et al.TF-BIV:transparent and fine-grained binaryintegrity verification in the cloud.《Proceedings of the 35th Annual ComputerSecurity Applications Conference》.2019,全文.林杰;刘川意;方滨兴.IVirt:基于虚拟机自省的运行环境完整性度量机制.计算机学报.2014,(第01期),全文.张磊;陈兴蜀;刘亮;李辉.基于虚拟机的内核完整性保护技术.电子科技大学学报.2015,(第01期),全文.曲海鹏;敖赢戈;晏敏;于爱民;赵保华.基于上下文的Android移动终端可信运行控制系统的设计与实现.北京交通大学学报.2013,(第05期),全文.
-
公开(公告)号:CN111831609A
公开(公告)日:2020-10-27
申请号:CN202010559247.2
申请日:2020-06-18
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统。该方法中,支持统一生成不同类型二进制文件的度量值;支持对不同类型二进制文件的度量值的存储;支持由虚拟化管理平台主动向各个虚拟机管理器推送二进制文件度量值,虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。采用本发明,管理人员/普通用户可以在虚拟化环境对不同类型二进制文件度量值进行管理和分发;虚拟机管理器能够根据文件度量值对虚拟机中运行程序的完整性进行度量。
-
公开(公告)号:CN115225331A
公开(公告)日:2022-10-21
申请号:CN202210713608.3
申请日:2022-06-22
Applicant: 中国科学院信息工程研究所 , 中国科学院数据与通信保护研究教育中心
Abstract: 本发明公开了一种数据加密通信的方法,其步骤包括:数据发送方根据明文数据的长度判断待生成数据报文的长度是否超过网络传输最大长度MTU;如果不超过,则使用会话密钥对所述明文数据进行加密,生成数据报文;否则在应用层对所述明文数据进行拆分得到多个分片,然后对拆分后的每一分片进行加密生成一数据报文;其中,生成的每一所述数据报文的长度不超过网络传输最大长度MTU;接收方收到所述数据报文后,根据所述数据报文中的会话密钥标识查找对应的会话密钥对所述数据报文进行解密。本发明可用于各种通信协议,只要数据报文中包含数据分片的顺序信息,即可在解密后重组恢复原始数据。此外,若单一数据包丢失,不影响其他数据包解密。
-
公开(公告)号:CN111859362A
公开(公告)日:2020-10-30
申请号:CN202010517967.2
申请日:2020-06-09
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
Abstract: 本发明提供一种移动环境下的多级身份鉴别方法及电子装置,该方法包括:分别采集用户的移动设备数据及相应电信运营商数据;通过设定风险评估维度,计算移动设备的环境安全等级;依据所述环境安全等级对应的系统安全策略,对该用户发出至少一级身份鉴定指令或禁止操作指令;根据用户会话中包含的鉴定指令及鉴定判决信息,对用户进行判定,并对判定成功的用户签发身份票据。本发明能够向用户提供多级的身份鉴别保护能力,弥补了现有技术不足,同时通过引入风险控制来保证用户使用环境安全。
-
公开(公告)号:CN109684829A
公开(公告)日:2019-04-26
申请号:CN201811471745.0
申请日:2018-12-04
Applicant: 中国科学院数据与通信保护研究教育中心 , 中国科学院信息工程研究所
IPC: G06F21/53
CPC classification number: G06F21/53
Abstract: 本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为:1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库;2)该被监控客户虚拟机启动后,服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置,使内存页上的代码在执行前,对内存中关键代码段的完整性进行校验;3)服务调用监控器检测到服务调用发生时,根据该服务调用的特征获取调用进程的页目录地址,当该调用进程的页目录地址在白名单进程链表中时,允许执行该服务调用;当检测到服务调用的返回结果事件发生时,根据返回结果事件的特征获取调用进程的信息,当调用进程在白名单进程链表中时,允许该返回结果通过。
-
公开(公告)号:CN106130719A
公开(公告)日:2016-11-16
申请号:CN201610580036.0
申请日:2016-07-21
Applicant: 中国科学院信息工程研究所 , 中国科学院数据与通信保护研究教育中心
CPC classification number: H04L9/0631 , H04L9/0894 , H04L63/0428 , H04L63/1441
Abstract: 本发明涉及一种抵抗内存泄漏攻击的密码算法多核实现方法及装置。该方法将CPU所有核心能够使用的寄存器作为多核寄存器缓存来存储密码计算过程中的敏感信息,交换到内存中的数据都要进行加密,将密码算法能够并行的部分拆分到多个CPU核心上同时运行,各核心的寄存器缓存通过内存交换敏感数据的密文。该装置为抵抗内存泄露攻击的RSA高速计算装置,使用CPU两个核心的寄存器缓存分别计算两个蒙哥马利模幂,而后用其中一个CPU核心的寄存器缓存读取模幂结果并计算RSA结果。该装置在保证抵抗内存泄露攻击的同时,计算速度达到OpenSSL中算法实现的70%以上。
-
公开(公告)号:CN104980438A
公开(公告)日:2015-10-14
申请号:CN201510328899.4
申请日:2015-06-15
Applicant: 中国科学院信息工程研究所 , 中国科学院数据与通信保护研究教育中心
CPC classification number: H04L9/3268 , G06F9/45545 , G06F9/45558 , G06F21/33 , G06F2009/45583 , H04L9/006 , H04L9/0891 , H04L9/30 , H04L63/0823
Abstract: 本发明公开了一种虚拟化环境中数字证书撤销状态检查的方法和系统。本方法为:1)在宿主机上创建多个客户虚拟机,在该宿主机的虚拟机监控器内设置一证书撤销列表管理器;2)客户虚拟机中的证书依赖方向证书撤销列表管理器发出证书撤销状态检查服务请求;3)证书撤销列表管理器根据该证书撤销状态检查服务请求在本地查找是否有对应CRL文件:a)如果有则将该CRL文件返回给该客户虚拟机中的证书依赖方,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回;b)如果没有对应CRL文件,则下载并验证对应的CRL文件返回,或查找该CRL文件中是否存在对应的证书序列号,然后将查询结果返回。本发明大大提高了查询效率。
-
公开(公告)号:CN115225331B
公开(公告)日:2024-07-16
申请号:CN202210713608.3
申请日:2022-06-22
Applicant: 中国科学院信息工程研究所 , 中国科学院数据与通信保护研究教育中心
Abstract: 本发明公开了一种数据加密通信的方法,其步骤包括:数据发送方根据明文数据的长度判断待生成数据报文的长度是否超过网络传输最大长度MTU;如果不超过,则使用会话密钥对所述明文数据进行加密,生成数据报文;否则在应用层对所述明文数据进行拆分得到多个分片,然后对拆分后的每一分片进行加密生成一数据报文;其中,生成的每一所述数据报文的长度不超过网络传输最大长度MTU;接收方收到所述数据报文后,根据所述数据报文中的会话密钥标识查找对应的会话密钥对所述数据报文进行解密。本发明可用于各种通信协议,只要数据报文中包含数据分片的顺序信息,即可在解密后重组恢复原始数据。此外,若单一数据包丢失,不影响其他数据包解密。
-
-
-
-
-
-
-
-
-