公开(公告)号：CN101834853A

公开(公告)日：2010-09-15

申请号：CN201010140904.6

申请日：2010-04-02

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  张立武 ,  张严 ,  李强 ,  王鹏翩

IPC: H04L29/06

Abstract: 本发明公开了一种匿名资源共享方法和系统，属于计算机信息技术领域。所述资源共享方法包括：资源提供者向资源管理服务器发起资源发布请求；资源管理服务器对其进行匿名认证；资源提供者生成资源获取策略并以此为密钥加密资源，并将获取策略和加密资源发送给资源管理服务器；资源管理服务器储存该二元组并发布资源描述信息；资源获取者检索资源描述信息，发起资源获取请求；资源管理服务器对资源获取者进行匿名认证；资源获取者经过获取策略验证后获取并解密资源。本发明还公开与该方法相应的资源共享系统。本发明可用于网络资源共享等计算机信息技术应用。

公开(公告)号：CN101038556B

公开(公告)日：2010-05-26

申请号：CN200710098956.X

申请日：2007-04-30

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  徐震 ,  张立武 ,  秦宇 ,  汪丹

IPC: G06F9/445

Abstract: 本发明提供了一种利用可信平台模块完善系统引导过程的方法及其系统，将启动操作系统内核的引导过程分为几个相对独立的层，以可信平台模块(TPM)为信任根，下层度量验证上层完整性，传递系统的运行控制权，层层迭代，直至控制权传予操作系统内核，构建一条完善的信任链，同时完整性验证失败时给出相应的恢复方案，在进入操作系统之前将引导日志记录在文件系统中，为操作系统所用。本发明综合考虑了完整性验证、验证失败恢复以及启动日志与操作系统交互等情况，形成一个完整的引导体系，由此引导进入的操作系统，可被认为其最初环境是安全可信的，同时该操作系统还可以利用引导过程的日志文件向其他平台证明自身启动环境的安全性。

公开(公告)号：CN100592315C

公开(公告)日：2010-02-24

申请号：CN200810119404.7

申请日：2008-08-29

Applicant: 中国科学院软件研究所

Inventor： 王雅哲 ,  冯登国 ,  张立武 ,  张敏

IPC: G06F21/00

Abstract: 本发明提供了一种XACML策略规则检测方法，属于信息安全中的授权策略分析领域，该方法针对XACML策略规则进行了规则状态定义、规则状态相关性定义、冲突类型分析，在此基础上，建立了基于语义树的策略索引并实施具体的XACML策略规则检测，分析了规则冲突和规则冗余，检测方法包含两种类型：基于属性层次操作关联的冲突检测方法；基于状态相关性的其他类型冲突检测方法，冗余分析方面，分别在允许优先、拒绝优先和首次适用消解算法下给出规则冗余的分析判定方法。策略管理者通过检测方法可以准确定位引发冲突的规则以及引发冲突的原因；冗余分析方面，可以根据分析结果优化策略结构，删除不影响访问判定结果的冗余规则，提高策略判定效率。

公开(公告)号：CN101408955A

公开(公告)日：2009-04-15

申请号：CN200810224952.6

申请日：2008-10-28

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  高志刚 ,  张立武 ,  赵菁

IPC: G06Q10/00

Abstract: 本发明属于计算机技术领域，具体涉及一种基于策略的责任认定方法与系统。本发明收集应用系统运行过程中产生的各种事件信息，并把事件信息安全记录到审计信息库，若应用系统发生安全事故，系统管理员可以使用责任认定系统根据记录的审计信息进行安全事故的责任认定，以确定安全事故的责任人。本发明支持分布式应用环境，采用两级审计策略判断方法，避免在审计记录构件处形成瓶颈；同时在审计记录构件处过滤掉系统不关心的事件信息，防止审计库容量爆炸；有效降低管理节点的数量，大大降低系统的管理开销。

公开(公告)号：CN101399671A

公开(公告)日：2009-04-01

申请号：CN200810226845.7

申请日：2008-11-18

Applicant: 中国科学院软件研究所

Inventor： 张立武 ,  杨婧 ,  张严 ,  冯登国

IPC: H04L9/32 ,  H04L29/06 ,  H04L29/08

Abstract: 本发明公开了一种跨域认证方法及其系统，属于计算机技术领域。本发明方法包括：访问请求依次由目标域的应用系统和身份认证系统，域定位系统直至用户域的身份认证系统检测缓存中是否存在认证信息，是则直接提取；否则在用户域的身份认证系统进行身份认证，缓存认证信息后发送至目标域的身份认证系统；由其缓存后发送至应用系统；缓存并确认可否访问。本发明系统包括：一个域定位系统，一个或多个身份认证系统，一个域只包含一个身份认证系统，每个域包括一个或多个应用系统，每个应用系统上均含有一个认证状态过滤插件。本发明信任关系层次清晰，易于管理；功能全面，适用范围较广；支持灵活简便的跨域访问控制。

公开(公告)号：CN101039186A

公开(公告)日：2007-09-19

申请号：CN200710098998.3

申请日：2007-05-08

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  陈小峰 ,  张立武

IPC: H04L9/32 ,  H04L12/24

Abstract: 本发明属于计算机技术领域，涉及一种系统日志的安全审计方法，在基于可信计算的虚拟平台上创建系统日志和访问系统日志。本发明借助于可信平台模块这个硬件信任根，系统日志的创建过程都是在本地以可信的方式创建的，可以将以前对服务器的信任转移到可信平台上来，利用可信平台提供的远程证明和封装存储性质，提高可信平台日志存储的可信度，不需要依赖于可信的第三方服务器，本机平台便可完成高可信的安全审计。可广泛用于计算机系统的安全审计。