公开(公告)号：CN106911627B

公开(公告)日：2019-09-17

申请号：CN201510970179.8

申请日：2015-12-22

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  张严 ,  张立武 ,  高志刚

IPC: H04L29/06

Abstract: 本发明公开了一种基于eID的真实身份安全控制方法及其系统。本系统包括目标应用系统AS的虚拟身份管理系统VIMS和真实身份管理系统EMS；其中，VIMS用于对用户进行认证；认证通过，则生成绑定请求发送至EMS；当该用户访问该AS时，生成登录请求发送给该EMS；EMS用于根据绑定请求对用户进行认证；验证通过则返回该用户的eID身份Ie，然后将该Ie和绑定请求中包含的账号Iv、V进行绑定，然后将绑定结果发送至该VIMS；以及根据登录请求对用户进行认证；验证通过，则根据返回虚拟账号集合{I}、该EMS的标识E生成认证结果信息返回给该VIMS；该VIMS获取其中包含的虚拟账号Iv对该用户的访问进行处理。

公开(公告)号：CN106533681A

公开(公告)日：2017-03-22

申请号：CN201510578953.0

申请日：2015-09-11

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  高志刚 ,  张立武 ,  张严

IPC: H04L9/30 ,  H04L9/06

Abstract: 本发明涉及一种属性证明方法及系统，该系统支持基于RSA算法和ECC算法的公钥密码系统。在该系统中，属性服务提供方为用户签发属性证书，用户在需要出示相关属性时，通过出示协议向依赖方提供属性证明，向依赖方证明其拥有合法的由属性服务提供方签发的属性证书。通过这种方法与系统，一个属性证书中可以签发多个属性，用户在出示时可以仅出示其中的部分属性而保持其它属性的机密性；在属性出示过程中用户不出示身份信息，仅出示属性信息，具有用户隐私保护能力。

公开(公告)号：CN102035838B

公开(公告)日：2014-02-19

申请号：CN201010588248.6

申请日：2010-12-07

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  张立武 ,  汪丹 ,  李昊 ,  张倩颖

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明提供了一种基于平台身份的信任服务连接方法和信任服务系统，其方法包括1)终端设备发送长期身份请求信息给颁证方，由颁证方向终端设备发送平台长期身份证书信息；2)终端设备发送请求临时身份信息给颁证方，由颁证方向终端设备发送临时身份信息；3)终端设备发送请求访问信息给设置在网络服务上的验证方，验证方发送一个验证信息给颁证方，验证终端设备的平台临时身份和平台长期身份证书有效性；4)在验证通过后终端设备与网络服务之间建立信任连接；本发明的方法可以建立基于平台身份的网络空间信任服务框架，保证参与网络活动的终端设备安全可信，从而有效的提高网络的防御能力。

公开(公告)号：CN102025741B

公开(公告)日：2013-06-05

申请号：CN201010588222.1

申请日：2010-12-07

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  王雅哲 ,  张立武 ,  朱玉涛

IPC: H04L29/06 ,  H04L9/32 ,  H04L12/24

Abstract: 本发明公开了一种两层架构的可信身份服务平台及其构建方法，属于计算机技术与信息安全领域。本方法为：1)建立一业务帐号管理系统，为注册的业务用户生成一帐户标识；建立一网络身份证系统，为注册的真实用户生成一真实身份标识；2)将业务帐号管理系统注册到所述网络身份证系统，获取一系统标识；3)根据系统标识，将注册的业务帐户与注册的用户真实身份进行绑定；4)该业务帐号管理系统将已绑定用户的状态改为已绑定。本平台包括包括一网络身份证系统、一个或多个业务帐号管理系统；所述网络身份证系统与所述业务帐号管理系统通过网络连接。本发明在新型网络环境下提供用户管理的便捷性，同时保障网络的安全性。

公开(公告)号：CN101339591A

公开(公告)日：2009-01-07

申请号：CN200810119404.7

申请日：2008-08-29

Applicant: 中国科学院软件研究所

Inventor： 王雅哲 ,  冯登国 ,  张立武 ,  张敏

IPC: G06F21/00

Abstract: 本发明提供了一种XACML策略规则检测方法，属于信息安全中的授权策略分析领域，该方法针对XACML策略规则进行了规则状态定义、规则状态相关性定义、冲突类型分析，在此基础上，建立了基于语义树的策略索引并实施具体的XACML策略规则检测，分析了规则冲突和规则冗余，检测方法包含两种类型：基于属性层次操作关联的冲突检测方法；基于状态相关性的其他类型冲突检测方法，冗余分析方面，分别在允许优先、拒绝优先和首次适用消解算法下给出规则冗余的分析判定方法。策略管理者通过检测方法可以准确定位引发冲突的规则以及引发冲突的原因；冗余分析方面，可以根据分析结果优化策略结构，删除不影响访问判定结果的冗余规则，提高策略判定效率。

公开(公告)号：CN101038556A

公开(公告)日：2007-09-19

申请号：CN200710098956.X

申请日：2007-04-30

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  徐震 ,  张立武 ,  秦宇 ,  汪丹

IPC: G06F9/445

Abstract: 本发明提供了一种利用可信平台模块完善系统引导过程的方法及其系统，将启动操作系统内核的引导过程分为几个相对独立的层，以可信平台模块(TPM)为信任根，下层度量验证上层完整性，传递系统的运行控制权，层层迭代，直至控制权传予操作系统内核，构建一条完善的信任链，同时完整性验证失败时给出相应的恢复方案，在进入操作系统之前将引导日志记录在文件系统中，为操作系统所用。本发明综合考虑了完整性验证、验证失败恢复以及启动日志与操作系统交互等情况，形成一个完整的引导体系，由此引导进入的操作系统，可被认为其最初环境是安全可信的，同时该操作系统还可以利用引导过程的日志文件向其他平台证明自身启动环境的安全性。