公开(公告)号：CN101706808A

公开(公告)日：2010-05-12

申请号：CN200910238152.4

申请日：2009-11-17

Applicant: 中国科学院软件研究所

Inventor： 张颖君 ,  张德胜 ,  陈驰 ,  张敏 ,  张妍 ,  洪澄 ,  王伏根

IPC: G06F17/30

Abstract: 本发明公开了一种基于索引树的海量数据库访问控制方法，属于数据处理技术领域。本发明旨在将传统的访问控制方法中对数据对象实施访问控制进行的两次检索合并为一次检索，以提高访问控制实施效率。本发明方法包括a)为数据库建立索引树，b)在索引树的每个节点上建立一授权信息集合，该集合包括用户对所述节点及其子节点中的全部数据对象的操作权限，c)用户提出访问请求后，自索引树的根节点逐层向下至数据对象所在的节点，依次检索各个节点的授权信息集合，直至根据某一节点的授权信息集合可获得确定的访问控制结果，所述确定的访问控制结果包括接受或拒绝所述访问请求。本发明可用于各种海量数据库，尤其适用于空间数据库。

公开(公告)号：CN100583057C

公开(公告)日：2010-01-20

申请号：CN200810104596.4

申请日：2008-04-22

Applicant: 中国科学院软件研究所

Inventor： 陈小峰 ,  冯登国 ,  张敏 ,  初晓博 ,  李昊

IPC: G06F11/36 ,  G06F21/00

Abstract: 本发明公开了一种可信密码模块的测试用例生成方法及其测试系统，属于计算机技术领域。本发明的方法为：在可信密码模块划分的子系统内部进行建模，生成该子系统的扩展有限状态机，然后通过扩展有限状态机生成测试用例；本发明的测试系统包括：脚本解析引擎、结果分析引擎和通信模块。与现有技术相比，本发明的测试用例可以以自动化的方式生成，避免了手工测试用例无法保证测试完整性无法保证从而造成测试结果的可信度不高的问题，并且本发明给出的系统是一个自动化的测试系统，减少了一些人工的干预，节省了成本。

公开(公告)号：CN101504706A

公开(公告)日：2009-08-12

申请号：CN200910078781.5

申请日：2009-03-03

Applicant: 中国科学院软件研究所

Inventor： 陈驰 ,  张敏 ,  咸鹤群 ,  安然

IPC: G06F21/00

Abstract: 本发明公开了一种数据库信息加密方法和使用该方法的数据库信息加密系统，属于信息安全技术领域。本发明方法包括：通过密码设备单元加密数据表中的敏感字段，并为其创建指向加密后的数据表的同名视图；维护用户对密钥的使用权限，和加密所使用的密码设备单元、加密方式和密钥；对于有权限的用户，允许其顺利读取并修改加密信息；对于无权限的用户，读取加密信息时使用随机密钥错误解密，修改加密信息时则返回获取密钥失败信息。本发明系统包括一个安全管理主机和一个或多个数据库服务器主机，并设置抽象密码设备组件提供统一的加解密接口并调用一个或多个不同的密码设备单元实现加解密。本发明可用于数据库信息的加密。

公开(公告)号：CN101464902A

公开(公告)日：2009-06-24

申请号：CN200910076040.3

申请日：2009-01-06

Applicant: 中国科学院软件研究所 ,  中国科学院地理科学与资源研究所 ,  中国人民解放军国防科学技术大学

Inventor： 张敏 ,  陈驰 ,  冯登国 ,  洪澄 ,  张德胜 ,  陈荣国 ,  张明波 ,  谢炯 ,  程昌秀 ,  卢战伟 ,  景宁 ,  熊伟 ,  邓亚丹

IPC: G06F17/30

Abstract: 本发明公开了一种外包数据库查询结果验证方法及其系统，属于计算机软件技术领域。本发明的方法为：首先对外包数据库进行封装，嵌入顺序标记属性和验证对象属性；然后修改查询语句，利用返回的元组验证对象属性验证返回结果集的真实性、利用返回的元组顺序标记属性验证返回结果集的完备性；本发明的系统包括外包数据库封装器、查询改写模块、完备性验证模块、真实性验证模块，所述外包数据库封装器包括顺序对象嵌入组件和验证对象嵌入组件。与现有技术相比，本发明可以在不改变现有数据库管理系统功能的前提下，允许普通用户对外包数据库SQL查询结果的真实性与完备性进行验证，具有DBMS透明、灵活性高、可以精确定位数据篡改位置的特点。

公开(公告)号：CN107679099B

公开(公告)日：2021-07-30

申请号：CN201710815136.1

申请日：2017-09-12

Applicant: 中国科学院软件研究所

Inventor： 李昊 ,  陈震宇 ,  张敏 ,  付艳艳

IPC: G06F16/901

Abstract: 本发明公开了一种访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架。本发明的访问控制方法为：创建访问控制要素图的节点索引和主客体状态变迁索引；对于收到的访问请求，根据节点索引，通过节点ID在访问控制要素图中查找该主体、客体的存储位置；然后根据该主客体状态变迁索引查找该主体状态变化成的最新主体、该客体状态变化成的最新客体；查找访问控制判定结果与最新主体、最新客体以及操作同时相关的访问控制策略；逐条按照得到的访问控制策略中访问控制条件部分的路径模式，对访问控制要素图中最新主体、最新客体之间的路径进行匹配，如果发现任意一条符合该路径模式的路径，则允许该访问请求，否则拒绝该访问请求。

公开(公告)号：CN109740362B

公开(公告)日：2021-02-26

申请号：CN201910004029.X

申请日：2019-01-03

Applicant: 中国科学院软件研究所

Inventor： 冯登国 ,  张敏 ,  李昊 ,  迟佳琳

IPC: G06F21/60 ,  H04L29/06

Abstract: 本发明公开了一种基于熵编码的密文索引生成与检索方法及系统。本系统包括：密文索引生成模块，用于对待上传的二元组(kw,data)，为关键字kw计算生成核心码字，对数据项data加密生成Enc(data)、计算kw的填充码，然后根据核心码字、填充码生成向量P并进行加密，得到P*；然后将(P*，Enc(data))发送至服务器端；陷门生成模块，用于计算出查询关键字kw对应的查询编码；选择一查询编码填充向量Q并加密生成Q*，将其作为陷门向量发送至服务器端；陷门检索模块，用于根据Q*对所有加密二元组(P*,Enc(data))进行运算，找到包含kw的二元组，并将所有满足条件的二元组中的加密数据项返回给客户端。

公开(公告)号：CN106789007B

公开(公告)日：2020-02-11

申请号：CN201611166813.3

申请日：2016-12-16

Applicant: 中国科学院软件研究所

Inventor： 洪澄 ,  迟佳琳 ,  惠榛 ,  付艳艳 ,  李昊 ,  张敏 ,  冯登国

IPC: H04L9/08 ,  H04L29/06

Abstract: 本发明公开了一种基于密文检索的网络信息审查方法与系统，使用权责分离的方法构造信息审查接口，可以在实现高效网络信息审查的同时，保护用户的个人隐私，保证审查权限不会被滥用。本系统的原理是在对用户在网络中传输的信息构造基于密文的索引，然后由信息审查者构造审查条件，对信息进行审查。其具体过程为：(1)初始化；(2)索引构造；(3)审查条件构造；(4)信息审查。本系统包括服务器端、若干客户端和审查端，客户端和审查端通过网络与服务器端连接。本系统的优势是审查效率高、避免传统审查机制中各部门之间无谓的沟通；安全性强、审查者不干预审查条件之外的信息，保护用户隐私。

公开(公告)号：CN107679099A

公开(公告)日：2018-02-09

申请号：CN201710815136.1

申请日：2017-09-12

Applicant: 中国科学院软件研究所

Inventor： 李昊 ,  陈震宇 ,  张敏 ,  付艳艳

IPC: G06F17/30

CPC classification number: G06F17/30333 ,  G06F17/30595 ,  G06F17/30958

Abstract: 本发明公开了一种访问控制要素图构建方法、策略描述方法、访问控制判定方法及框架。本发明的访问控制方法为：创建访问控制要素图的节点索引和主客体状态变迁索引；对于收到的访问请求，根据节点索引，通过节点ID在访问控制要素图中查找该主体、客体的存储位置；然后根据该主客体状态变迁索引查找该主体状态变化成的最新主体、该客体状态变化成的最新客体；查找访问控制判定结果与最新主体、最新客体以及操作同时相关的访问控制策略；逐条按照得到的访问控制策略中访问控制条件部分的路径模式，对访问控制要素图中最新主体、最新客体之间的路径进行匹配，如果发现任意一条符合该路径模式的路径，则允许该访问请求，否则拒绝该访问请求。

公开(公告)号：CN106790037A

公开(公告)日：2017-05-31

申请号：CN201611166811.4

申请日：2016-12-16

Applicant: 中国科学院软件研究所

Inventor： 洪澄 ,  迟佳琳 ,  惠榛 ,  付艳艳 ,  李昊 ,  张敏 ,  冯登国

IPC: H04L29/06 ,  H04L9/08 ,  H04L12/58

Abstract: 本发明公开了一种用户态加密的即时通讯方法与系统，使用用户可控的加密技术保护用户的即时通讯信息，可以有效的保护用户的个人隐私。本系统的原理是构造一套用户独有的特征密码，并基于此密码加密用户的通讯信息，保证仅有此密码的合法拥有者能够解密。其具体过程为：(1)初始化；(2)消息加密；(3)消息传输；(4)消息解密。本系统包括服务器端和若干客户端，客户端通过网络与服务器端连接。本系统的优势是安全性强，即使是通讯服务器也无法了解用户传输的信息内容，效率高，具有和同类非加密产品持平的通讯效率。

公开(公告)号：CN106789007A

公开(公告)日：2017-05-31

申请号：CN201611166813.3

申请日：2016-12-16

Applicant: 中国科学院软件研究所

Inventor： 洪澄 ,  迟佳琳 ,  惠榛 ,  付艳艳 ,  李昊 ,  张敏 ,  冯登国

IPC: H04L9/08 ,  H04L29/06

Abstract: 本发明公开了一种基于密文检索的网络信息审查方法与系统，使用权责分离的方法构造信息审查接口，可以在实现高效网络信息审查的同时，保护用户的个人隐私，保证审查权限不会被滥用。本系统的原理是在对用户在网络中传输的信息构造基于密文的索引，然后由信息审查者构造审查条件，对信息进行审查。其具体过程为：(1)初始化；(2)索引构造；(3)审查条件构造；(4)信息审查。本系统包括服务器端、若干客户端和审查端，客户端和审查端通过网络与服务器端连接。本系统的优势是审查效率高、避免传统审查机制中各部门之间无谓的沟通；安全性强、审查者不干预审查条件之外的信息，保护用户隐私。