公开(公告)号：CN109902508A

公开(公告)日：2019-06-18

申请号：CN201910048838.0

申请日：2019-01-18

Applicant: 中国科学院软件研究所

Inventor： 张严 ,  张立武 ,  张敏 ,  陈华 ,  冯登国

IPC: G06F21/62

Abstract: 本发明公开了一种凭证签发者匿名的实体鉴别方法及系统。其步骤为：1)加入系统的每一凭证签发者根据系统公开参数生成该凭证签发者的私有密钥与公开密钥；2)凭证签发者I根据输入的用户身份标识、凭证签发者I的私有密钥和系统公开参数，生成该用户的身份凭证并传送给该用户；3)该用户选取多个凭证签发者构成一混淆集合；然后根据系统公开参数、所有被选取的凭证签发者的公开密钥和该用户所持有的身份凭证，生成该用户的匿名身份证明并发送给身份验证方；其中，该混淆集合中包括为该用户签发用户凭证的凭证签发者I；4)身份验证方根据系统公开参数与该混淆集合中各凭证签发者的公开密钥对收到的匿名身份证明进行验证，确定是否有效。

公开(公告)号：CN109815730A

公开(公告)日：2019-05-28

申请号：CN201811631193.5

申请日：2018-12-29

Applicant: 中国科学院软件研究所

Inventor： 迟佳琳 ,  冯登国 ,  张敏 ,  李昊 ,  张立武

IPC: G06F21/62 ,  G06F16/2458

Abstract: 本发明公开了一种支持skyline查询的可搜索加密方法与系统。其步骤为：1)客户端生成元组的用于最近邻查询的安全索引 和用于支配查询的安全索引然后将元组的密文数据、和 发送给云存储系统；2)客户端根据查询条件生成用于最近邻查询的安全陷门 3)云存储系统根据用于最近邻查询的安全索引和 找到匹配元组的密文数据返回给客户端；4)客户端对密文数据解密；若继续查找则生成用于支配查询的安全陷门 5)云存储系统根据用于支配查询的安全索引和 确定被支配的元组并剔除；6)将已返回和已被剔除的元组之外的元组构成一集合；7)如果该集合不为空，则对集合中的元组重复步骤3)～6)。

公开(公告)号：CN106911627A

公开(公告)日：2017-06-30

申请号：CN201510970179.8

申请日：2015-12-22

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  张严 ,  张立武 ,  高志刚

IPC: H04L29/06

Abstract: 本发明公开了一种基于eID的真实身份安全控制方法及其系统。本系统包括目标应用系统AS的虚拟身份管理系统VIMS和真实身份管理系统EMS；其中，VIMS用于对用户进行认证；认证通过，则生成绑定请求发送至EMS；当该用户访问该AS时，生成登录请求发送给该EMS；EMS用于根据绑定请求对用户进行认证；验证通过则返回该用户的eID身份Ie，然后将该Ie和绑定请求中包含的账号Iv、V进行绑定，然后将绑定结果发送至该VIMS；以及根据登录请求对用户进行认证；验证通过，则根据返回虚拟账号集合{I}、该EMS的标识E生成认证结果信息返回给该VIMS；该VIMS获取其中包含的虚拟账号Iv对该用户的访问进行处理。

公开(公告)号：CN103312675B

公开(公告)日：2016-05-18

申请号：CN201210065687.8

申请日：2012-03-13

Applicant: 中国科学院软件研究所

Inventor： 朱玉涛 ,  张立武 ,  武传坤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向属性保护的数字身份服务方法及其系统，属于信息安全领域。本方法为：将属性提供方与信任提供方共同构成信任域，为所在的管理域内的应用系统以及用户提供属性服务以及信任凭证服务；身份服务提供方与应用系统共同部署在业务域，为应用系统提供身份管理服务，同时通过调用信任域内的属性提供方的服务代替业务系统完成对用户属性的请求服务。本系统包括至少一个信任域，至少一业务域；信任域分别通过网络与业务域连接；每一业务域包括一身份服务提供方和与其数据连接的若干应用系统，每一信任域包括一信任提供方及与其数据连接的一属性提供方。本发明可以在保障用户隐私安全的前提下，满足业务的用户属性需求。

公开(公告)号：CN103312675A

公开(公告)日：2013-09-18

申请号：CN201210065687.8

申请日：2012-03-13

Applicant: 中国科学院软件研究所

Inventor： 朱玉涛 ,  张立武 ,  武传坤

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种面向属性保护的数字身份服务方法及其系统，属于信息安全领域。本方法为：将属性提供方与信任提供方共同构成信任域，为所在的管理域内的应用系统以及用户提供属性服务以及信任凭证服务；身份服务提供方与应用系统共同部署在业务域，为应用系统提供身份管理服务，同时通过调用信任域内的属性提供方的服务代替业务系统完成对用户属性的请求服务。本系统包括至少一个信任域，至少一业务域；信任域分别通过网络与业务域连接；每一业务域包括一身份服务提供方和与其数据连接的若干应用系统，每一信任域包括一信任提供方及与其数据连接的一属性提供方。本发明可以在保障用户隐私安全的前提下，满足业务的用户属性需求。

公开(公告)号：CN101876994B

公开(公告)日：2012-02-15

申请号：CN200910242956.1

申请日：2009-12-22

Applicant: 中国科学院软件研究所

Inventor： 王雅哲 ,  冯登国 ,  张立武 ,  王鹏翩

IPC: G06F17/30

Abstract: 本发明公开了一种多层次优化的策略评估引擎的建立方法及其实施方法，属于信息安全领域。本发明首先对策略评估引擎策略库内的访问控制规则进行精化；然后建立判定结果缓存机制、属性缓存机制和策略缓存机制，得到该引擎；其实施方法为：该引擎根据访问请求的主体标识和会话标识在判定结果缓存中查找相同访问请求的判定结果；如果有则将其作为本次访问请求的判定结果返回；如果没有则在属性缓存中检索主体标识相应的属性缓存，然后将资源标识和动作标识组成权限原语，获取该权限原语的主体属性列表，并用主体属性依次在属性缓存中匹配检索；引擎将首次适用的主体属性所附带的判定类型返回。本发明可降低通信损耗，提高策略匹配的速度和准确率。

公开(公告)号：CN101399671B

公开(公告)日：2011-02-02

申请号：CN200810226845.7

申请日：2008-11-18

Applicant: 中国科学院软件研究所

Inventor： 张立武 ,  杨婧 ,  张严 ,  冯登国

IPC: H04L9/32 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种跨域认证方法及其系统，属于计算机技术领域。本发明方法包括：访问请求依次由目标域的应用系统和身份认证系统，域定位系统直至用户域的身份认证系统检测缓存中是否存在认证信息，是则直接提取；否则在用户域的身份认证系统进行身份认证，缓存认证信息后发送至目标域的身份认证系统；由其缓存后发送至应用系统；缓存并确认可否访问。本发明系统包括：一个域定位系统，一个或多个身份认证系统，一个域只包含一个身份认证系统，每个域包括一个或多个应用系统，每个应用系统上均含有一个认证状态过滤插件。本发明信任关系层次清晰，易于管理；功能全面，适用范围较广；支持灵活简便的跨域访问控制。

公开(公告)号：CN101398771B

公开(公告)日：2010-08-18

申请号：CN200810226844.2

申请日：2008-11-18

Applicant: 中国科学院软件研究所

Inventor： 吴槟 ,  冯登国 ,  张立武 ,  王雅哲

IPC: G06F9/46

Abstract: 本发明公开了一种基于构件的分布式系统访问控制方法，属于计算机软件技术领域。本发明方法包括下列步骤：a)用户发起访问请求；b)标准授权决策接口获得该访问请求中的用户属性信息并将其重组为策略决策请求后提交给策略决策服务；c)策略决策服务根据该策略决策请求检索已有策略并获得和该策略决策请求相匹配的策略；d)若策略决策请求缺少所述相匹配的策略所需的用户属性信息，则策略决策服务调用属性检索模块检索所需的用户属性信息并更新策略决策请求；e)策略决策服务根据更新后的策略决策请求和匹配的策略作出决策；f)标准授权决策接口根据该决策授权或忽略用户的访问请求。本发明可用于分布式系统的访问控制。

公开(公告)号：CN101039186B

公开(公告)日：2010-08-04

申请号：CN200710098998.3

申请日：2007-05-08

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  陈小峰 ,  张立武

IPC: H04L9/32 ,  H04L12/24

Abstract: 本发明属于计算机技术领域，涉及一种系统日志的安全审计方法，在基于可信计算的虚拟平台上创建系统日志和访问系统日志。本发明借助于可信平台模块这个硬件信任根，系统日志的创建过程都是在本地以可信的方式创建的，可以将以前对服务器的信任转移到可信平台上来，利用可信平台提供的远程证明和封装存储性质，提高可信平台日志存储的可信度，不需要依赖于可信的第三方服务器，本机平台便可完成高可信的安全审计。可广泛用于计算机系统的安全审计。

公开(公告)号：CN110401627A

公开(公告)日：2019-11-01

申请号：CN201910194486.X

申请日：2019-03-14

Applicant: 中国科学院软件研究所 ,  南方电网科学研究院有限责任公司

Inventor： 冯婧怡 ,  陈华 ,  焦志鹏 ,  匡晓云 ,  习伟 ,  范丽敏 ,  张立武 ,  于杨

IPC: H04L29/06 ,  H04L9/06

Abstract: 本发明公开了一种适用于分组密码算法感染防护的抗差分故障攻击安全性评估方法和系统。本方法为：1)根据分组密码算法、故障注入目标中间值和故障模型，计算原始密文差分的先验信息；2)计算在待评估感染防护中信息熵的数值；3)根据分组密码算法、故障注入目标中间值和故障模型，计算在安全感染防护中信息熵的数值下界；4)通过比较待评估感染防护中信息熵的数值与所述数值下界的关系，判定待评估感染防护的安全性。该方法以信息熵度量感染防护的安全性，使评估过程独立于具体的密钥恢复策略，使评估结果更加准确。同时该方法将感染函数从感染防护的分组密码实现中分离出来，使评估通用于多种不同的感染防护，并提高评估效率。