CN101764798A - 一种基于客户端的安全管理系统和方法 - Google Patents
一种基于客户端的安全管理系统和方法 Download PDFInfo
- Publication number
- CN101764798A CN101764798A CN200910087629A CN200910087629A CN101764798A CN 101764798 A CN101764798 A CN 101764798A CN 200910087629 A CN200910087629 A CN 200910087629A CN 200910087629 A CN200910087629 A CN 200910087629A CN 101764798 A CN101764798 A CN 101764798A
- Authority
- CN
- China
- Prior art keywords
- security
- client
- level
- safety management
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开一种基于客户端的安全管理系统和方法。该系统包括服务器和至少一客户端,所述服务器包括管理中心,用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别,并设置所述客户端的安全管理属性;所述客户端包括执行中心,用于进行安全管理时,从服务器中读取相应的安全标识和安全级别,截获操作请求,并根据相应的安全管理属性而对所述客户端进行安全管理。其确保了安全保密的精准和有效性,能够实现真正的安全且可管理的安全。
Description
技术领域
本发明属于信息安全管理技术领域,特别是涉及一种基于客户端的安全管理系统和方法。
背景技术
任何一种安全管理体系的建立取决于它的完备性和非二义性,同时要体现它的科学性、实用性和可实现性。中办27号文明确要求:“信息化发展的不同阶段和不同信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统。”同时指出:“重点保护;谁主管谁负责、谁运营谁负责;分区域保护;同步建设;动态调整等原则。”这就是信息安全等级保护要求的精髓,它企业/机构信息技术主管部门对IT系统进行有效的区域划分,实行重点区域重点保护的保护策略。
随着网络技术的发展,安全管理中的失泄密管理已经摆到了非常重要的位置了,网络层面的控制、加解密技术的应用能够在一定的程度上发挥失泄密管理的作用。
现有技术中,存在的通过区域划分而进行安全管理的技术有基于安全网闸的物理隔离(网间隔离),基于防火墙的边界管理(网内分区),基于三层交换机的VLAN技术(分区内构建VLAN),基于监控审计技术的安全管理技术,即:
(1)利用物理隔离器进行网络的物理隔离。(网络级)
(2)利用防火墙进行网络安全边界划分;(防火墙端口级)
(3)利用三层交换机的虚拟局域网(VLAN)功能进行虚拟局域网划分。(交换机端口级)
物理隔离技术,将不同性质的网络利用物理隔离技术进行隔离,是更粗犷的网段划分方法。网间的通信交互主要依赖物理隔离设备的“摆渡”技术实现。
防火墙技术,按照防火墙的物理接口将网络划分成多个网段,利用防火墙的安全规则进行区域间交互的安全管理与控制;防火墙技术划分网段的粒度比物理隔离技术要细一些。
三层交换机的VLAN技术,将通过交换机接入的客户端划分成多个VLAN,通过设置ACL规则来管理和控制不同VALN间交互的安全管理与控制;三层交换机的网段划分粒度比防火墙要更细一些。
而在计算机安全管理中,计算机客户端之间通信的管理、安全文档的流转、移动存储介质的管理以及输出设备(如打印机)的管理是失泄密防护和安全管理的主要方面。
然而,网络隔离器(网闸)、防火墙、三层交换机都是网络端口级别的区域划分设备,实施访问控制和安全管理的是网闸、防火墙和三层交换机;都是网络级的不同性质网络、网段划分方法,只能能够实现网络间、网段间的访问控制,无法对客户端自身进行更精细的管理。具体存在的问题如下:
无法控制安全文档的流转;
无法控制移动存储介质的有序使用;
无法控制输出设备的安全输出;
无法控制在拔掉网线后的任何行为等。
也就是说,现有的通过区域划分进行安全管理的技术的实施安全策略比较粗犷,很难精细到用户终端或具体内容,其都是不成体系和粗粒度的,很难起到真正的安全保密作用。
而且,依靠现有的安全管理技术实现安全区域划分的安全管理,要实现网络通信、安全文档、移动存储介质和输出设备的安全管理与控制,必须要选用多重技术来实现,进一步地,能够实现安全管理,其系统之间的管理信息是孤立的和分离的,不具备可管理性。
发明内容
本发明的目的就是针对现有的按区域划分的安全管理系统中存在的不足进行改进,提供一种基于客户端的安全管理系统和方法。
为实现本发明的目的而提供的一种基于客户端的安全管理系统,包括服务器和至少一客户端,所述服务器包括管理中心,用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别,并设置所述客户端的安全管理属性;所述客户端包括执行中心,用于进行安全管理时,从服务器中读取相应的安全标识和安全级别,截获操作请求,并根据相应的安全管理属性而对所述客户端进行安全管理。
为实现本发明目的还提供一种基于客户端的安全管理方法,包括下列步骤:
步骤S100,服务器配置管理域中的客户端、所述客户端对应的安全域、所述安全域对应的桌面虚拟保密子网的安全标识和安全级别;
步骤S200,所述服务器设置所述客户端的安全管理属性;
步骤S300,在所述客户端进行安全管理时,由所述客户端从所述服务器读取所述客户端、安全域和桌面虚拟保密子网的安全标识和安全级别,并获取所配置的所述客户端安全管理属性,进行安全管理。
本发明的有益效果:本发明的基于客户端的安全管理系统和方法,以客户端为核心的虚拟保密子网建立的统一管理体系,精细到客户端,可以根据客户端的重要性来确定以它自己为核心的通信“圈子”,由他自己的特性决定移动存储介质的使用、安全文档的流转、网络通信和输出设备(如打印机)的使用。这样无论网络结构如何,无论在线还是离线,决定权在客户端自己(客户端的策略),这样确保了安全保密的精准和有效性,能够实现真正的安全且可管理的安全。
本发明的基于客户端的安全管理系统和方法,将企业的客户端系统根据其安全级别和敏感程度,精细地构建成客户端-安全域-虚拟保密子网(E-S-V)的管理体系,并为客户端定制三级管理策略(客户端级、安全域级、虚拟保密子网级),同时安全策略由客户端实施,这样保证安全保密的精确性和有效性。
本发明的基于客户端的安全管理系统和方法,是以客户端为核心进行虚拟保密子网的划分,将网络和客户端的等级划分、密码技术和访问控制技术进行系统的结合;其大大减少了客户端的部署系统的数目,提高客户端的运行效率,减少企业的资金投入,减少了管理的复杂度,能够大大提高企业的安全保密性能、客户端的运行效率和企业整体的运作效率。
附图说明
下面结合附图和实施例对本发明做进一步详细的说明。
图1为本发明实施例的基于客户端的安全管理系统结构示意图;
图2为本发明实施例的基于客户端的安全管理方法流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明的一种基于客户端的安全管理系统和方法进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明基于客户端的安全管理系统,以客户端为核心,基于客户端的虚拟保密子网技术,由客户端根据具体策略要求,决定网络通信、安全文档管理、存储介质管理和输出设备管理的具体事务,同时通过管理中心11与其他客户端保持紧密联系,而构建的相互依赖的安全保密与安全管理体系。
下面通过具体实施例,详细说明本发明的客户端的安全管理系统。
本发明实施例的基于客户端的安全管理系统,如图1所示,包括服务器1和至少一客户端(B/S)2,所述服务器1包括管理中心11,用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别,并设置所述客户端2的安全管理属性。
所述客户端2包括执行中心21,用于在进行安全管理时,从服务器1中读取相应的安全标识和安全级别,截获操作请求,并根据相应的安全管理属性而对所述客户端2进行安全管理。
下面详细说明本发明的服务器1中的管理中心11。
虚拟保密子网技术(Virtual Confidentiality Network,VCN)是一个安全管理系统,要实现虚拟保密子网,首先要明确一个具体的管理域(Enterprise Managed Domain,EMD,如一企业内部所有计算机终端构成一管理域),在本发明实施例中,就是明确一个管理域具有那些具体的客户端2需要管理,明确一个管理域的管理范围;以及明确在这个管理域中的客户端2需要管理的客体(包括网络通信、安全文档、存储介质、输出设备)。
本发明实施例中的管理中心11,包括DBVCN配置中心111,用于将管理域配置为多个桌面虚拟保密子网(DBVCN),并配置所述虚拟保密子网(DBVCN)的安全标识和安全级别。
管理域(EMD)是一项安全管理活动需要管理的全部内容,就是将所管理要素纳入一个封闭的管理体系。
在管理域(EMD)内,将管理的要素进行安全密级划分,本发明实施例中,按照国家规定划分为五个级别:普通级、敏感级、秘密级、机密级、绝密级。在本发明实施例中,将密级相同客户端2归并为一个虚拟保密子网(VCN),称为桌面虚拟保密子网(Desktop Based Virtual Confidentiality Network,DBVCN)。
在本发明实施例中,在一个确定的管理域EMD内,最多配置五个桌面虚拟保密子网(DBVCN),即:EMD(DBVCN1,DBVCN2,DBVCN3,DBVCN4,DBVCN5),或者表示为:
管理域EMD{
DBVCN1;
DBVCN2;
DBVCN3;
DBVCN4;
DBVCN5;
};
每个虚拟保密子网配置一个安全标识DBVCNID和安全级别DBVCNSLevel。其中,安全标识DBVCNID的取值范围为1,2,3,4,5,即DBVCNID={1,2,3,4,5};安全级别DBVCNSLevel的取值范围为1,2,3,4,5,即DBVCNSLevel={1,2,3,4,5},或者表示为:
DBVCN{
DBVCNID;
DBVCNSLevel;
}
则管理域EMD{
DBVCN1(DBVCNID1,DBVCNSLevel1);
DBVCN2(DBVCNID2,DBVCNSLevel2);
DBVCN3(DBVCNID3,DBVCNSLevel3);
DBVCN4(DBVCNID4,DBVCNSLevel4);
DBVCN5(DBVCNID5,DBVCNSLevel5);
};
即EMD=DBVCN1∪DBVCN2∪DBVCN3∪DBVCN4∪DBVCN5;
这样,在一个管理域里,至少包括一个级别的DBVCN(如:普通级),最多包括五个级别的DBVCN(如:普通级、敏感级、秘密级、机密级、绝密级)。
在本发明实施例中,任何一个客户端2属于且仅属于一个DBVCN(i),i=1,2,...5。
本发明实施例中的管理中心11,还包括SD配置中心112,用于将桌面虚拟保密子网(DBVCN)配置为多个安全域(SD),并配置所述安全域的安全标识和安全级别。
为了更精细化的管理,在桌面虚拟保密子网(DBVCN)中,将工作性质相近、业务相关的客户端2分组成为多个安全域(Security Domain,SD)。这样一个DBVCN内可以划分为多个安全域(SD),但这些安全域的安全级别跟它所属的桌面虚拟保密子网DBVCN的安全域(SD)是一致的。如DBVCN(i)中有n个安全域,表示为:SD(i,j)i=1,2,3,4,5;j=1,2,...,n;
SD(i,j)∈DBVCN(i)
DBVCN(i)=SD(i,1)∪SD(i,2)∪SD(i,3)∪SD(i,4)∪...∪SD(i,n)
由于安全域SD的安全级别与所属的DBVCN的安全级别一致。则:
DBVCN(i){
SD(i,j);
i∈{1,2,3,4,5},对应五个安全级别;
j∈n,n为确定的桌面虚拟保密子网内安全域的数量;
};
本发明实施例中的管理中心11,还包括客户端配置中心113,用于将安全域配置为多个客户端2,并配置所述客户端的安全标识和安全级别。
客户端2是管理域中安全管理的终端。根据本发明实施例的安全管理密级划分,每一客户端2有且仅有一个安全级别,它属于一个具体的DBVCN,为了更精细的管理,本发明实施例中,把客户端2划归为一个具体的DBVCN内的一个具体的SD,配置客户端2E(i,j,k)∈SD(i,j)∈DBVCN(i);
其中,E(i,j,k)表示安全级别为i的虚拟保密子网内的第j个安全域的第k个客户端2。
E(i,j,k)属于SD(i,j),同时属于VCN(i),表示为E(i,j,k)∈SD(i,j)∈VCN(i);
则客户端2的安全级别就是所属桌面虚拟保密子网(DBVCN)的安全级别:
ESCLevel(i,j,k)=SDSCLevel(i,j)=DBVCNSCLevel(i);
其中ESCLevel(i,j,k)为客户端2的安全级别;SDSCLevel(i,j)为客户端2所在安全域的安全级别;DBVCNSCLevel(i)为安全域所在DBVCN的安全级别。
如果SD(i,j)中有m个客户端2,客户端2表示为E(i,j,k)k=1,2,...,m;其所属的安全域表示为:SD(i,j)=E(i,j,1)∪E(i,j,2)∪...∪E(i,j,m)
或表示为SD(i,j){
E(i,j,k);
i∈{1,2,3,4,5},对应五个安全级别;
j∈n,n是确定的所属虚拟保密子网内安全域的数量;
k∈m,m是确定的所属安全域内客户端2的数量;
};
在确定一个管理域EMD中,基于客户端2的桌面虚拟保密子网DBVCN设置后,从安全管理角度看,还要设置客户端2的安全管理属性,即网络通信、安全文档、存储介质、以及输出设备的安全管理属性。在本发明实施例中,设置客户端2的安全管理属性,就是对所述网络通信、安全文档、存储介质以及输出设备的安全管理属性进行设置。
所述管理中心11,还包括网络通信属性设置模块114,用于根据客户端2的MAC地址设置客户端2中的网络连接的安全级别,并根据安全级别设置网络连接方式。
管理域内的客户端2之间的通信连接是可控制的,将每一客户端2的MAC地址和客户端2的安全等级进行绑定。有MAC地址就可以识别出该客户端2的安全级别SCLevel(Eijk)。
本发明实施例中,对于网络连接的安全管理,设置:1)根据不同的安全级别,采用访问控制列表(Access Control List,ACL)设定不同DBVCN之间的访问控制;级别越高,访问控制越严格;2)如果越级,那么低级别的DBVCN不允许访问高级别的DBVCN;高级别的DBVCN允许访问高级别的DBVCN;3)同级别的DBVCN之间被授权的网络通信连接采用SSL协议进行安全通信保障。
所述管理中心11,还包括安全文档属性设置模块115,用于设置客户端2中的安全文档的安全文档标识和安全级别,并根据所述安全级别设置所述安全文档的流转方式。
安全文档是企业最为富贵的资源,也是安全管理的重要要素,在桌面虚拟保密子网(DBVCN),安全文档需要设置安全文档标识(SDDocID)和安全级别(ScLevel),以便在DBVCN中进行精细化管理。
安全文档SDOC{
SDDocID;文档标识
SCLevel;安全级别,在{1,2,3,4,5}中取值,对应的是普通级、敏感级、秘密级、机密级、绝密级
}
在本发明实施例中,对于安全文档的流转方式,设置:1)同级别使用;2)如果越级,那么高密级的安全文档不能流转到低密级的DBVCN中去,低密级的文档,允许流转到高密级的DBVCN中去。
所述管理中心11,还包括存储介质属性设置模块116,用于设置客户端2中的存储介质的存储介质标识和安全级别,并根据所述安全级别设置所述存储介质的业务操作方式。
存储介质的安全管理也是安全管理的重要要素,在桌面虚拟保密子网(DBVCN)中,存储介质需要设置存储介质标识(SMSMID)和安全级别(ScLevel),以便在DBVCN中进行精细化的管理。
存储介质SMSM{
SMSMID;存储介质标识
ScLevel;安全级别,在{1,2,3,4,5}中取值,对应的是普通级、敏感级、秘密级、机密级、绝密级
OpDomain;操作属性
}
在本发明实施例中,对于存储介质的业务操作方式,设置:1)同级使用;2)如果越级,那么高密级的存储介质不能在低密级的DBVCN中使用,或者只能执行写操作;低密级的移动存储介质,不能在高密级的DBVCN中进行操作,或者只能执行读操作。
所述管理中心11,还包括输出设备属性设置模块117,用于设置客户端2中的输出设备的输出设备标识和安全级别,并根据所述安全级别设置所述输出设备的业务操作方式。
输出设备的安全管理也是安全管理的重要要素,在桌面虚拟保密子网(DBVCN)中,输出设备需要设置输出设备标识(SprtID)和安全级别(ScLevel),以便在DBVCN中进行精细化管理。
输出设备SPrt{
SprtID;输出设备标识
ScLevel;安全级别,在{1,2,3,4,5}中取值,对应的是普通级、敏感级、秘密级、机密级、绝密级
OpDomain;操作属性
}
本发明实施例中,对于输出设备的安全管理,设置:1)同级使用;2)如果越级,那么高密级的DBVCN不允许使用低密级的输出设备;低密级的DBVCN可以使用高密级的输出设备。
下面详细说明本发明的基于客户端的安全管理方法,如图2所示,包括如下步骤:
步骤S100,服务器1配置管理域中的客户端2、所述客户端2对应的安全域、所述安全域对应的桌面虚拟保密子网的安全标识和安全级别;
所述步骤S100包括下列步骤:
步骤S110,对每个客户端E(i,j,k)设置一个安全标识EID(i,j,k)和一个安全级别为ESCLevel(i,j,k);并对每个客户端E(i,j,k)的MAC地址进行捆绑绑定;
步骤S120,将工作性质相近、业务相关的客户端2设置为安全域(SD),用SD(i,j)表示;并对每个安全域SD(i,j)设置一个安全标识SDID(i,j)和一个安全级别为SDSCLevel(i,j);
步骤S130,将安全域(SD)中所需保密级别相同的安全域(SD)设置成桌面虚拟保密子网(DBVCN),用DBVCN(i)表示;并对每个所述桌面虚拟保密子网(DBVCN)设置一个安全标识DBVCNID(i)和一个安全级别为DBVCNSCLevel(i);
其中,DBVCN(i)表示安全级别为i的桌面虚拟保密子网,i表示安全级别;i越大,表示虚拟保密子网安全级别越高。
步骤S200,服务器1设置客户端的安全管理属性;
步骤S210,设置客户端的网络通信的安全管理属性;
在基于终端的安全管理系统的物理设备部署完毕后,管理域内的客户端之间的通信连接的建立是可控制的,将每一客户端的MAC地址和客户端的安全等级进行绑定。有MAC地址就可以识别出该客户端的安全级别SCLevel(Eijk)。
步骤S220,设置客户端的安全文档的安全管理属性;
在基于终端的安全管理系统的物理设备部署完毕后,安全文档Sdoc都进行安全标记和密级划分,也就是每一个需要保护的安全文档都给它分配唯一的安全标识SDDocID,和设置安全级别SCLevel,无论在这一管理域中如何流转,这两个标记不会改变。
步骤S230,设置客户端的存储介质的安全管理属性;
在基于终端的安全管理系统的物理设备部署完毕后,存储介质(包括移动硬盘、移动USB等)在它下发给管理域内的用户时,要分配安全标识SMSMID,设置安全级别SCLevel,无论这些存储设备在这一管理域内如何流转,安全标识SMSMID,设置安全级别SCLevel都不会变化。
步骤S240,设置客户端的输出设备的安全管理属性。
在基于终端的安全管理系统的物理设备部署完毕后,给管理域内的每一输出设备分配安全标识SPrnID,和安全级别SPrnSClevel。在管理域中输出设备的配置变更前,这些输出设备的安全标识SPrnID,和安全级别SPrnSClevel不会改变。
步骤S300,在客户端2进行安全管理时,由客户端2从服务器1读取所述客户端2、安全域和桌面虚拟保密子网的安全标识和安全级别,并获取所配置的客户端2安全管理属性,进行安全管理。
本发明的基于客户端的安全管理方法,是由客户端2实施的,其读取所述客户端2、安全域和桌面虚拟保密子网的安全标识和安全级别,并获取所配置的客户端2安全管理属性,然后客户端2根据自身的状态(在线、商旅、脱管)进行安全管理。
作为一种可实施方式,网络通信、安全文档、存储介质和输出设备都是分别由客户端2内置的不同驱动模块在底层实施的。
步骤S310,在客户端2进行网络连接时,从服务器1中读取相应的安全标识和安全级别,截获网络连接操作请求,并根据相应的安全管理属性而对所述客户端2的网络连接进行安全管理。
网络通信的安全管理分为管理域内部客户端2之间的通信,以及管理域内部客户端2与管理域外部的客户端2之间的通信两种情况。
所述步骤S310,是一个客户端E(i,j,k)对该系统内的另一个客户端E(x,y,z)发起连接,客户端2之间的网络通信的安全管理流程,包括如下步骤:
步骤S311:客户端2截获客户端E(i,j,k)对管理域内的客户端E(x,y,z)的连接请求;
步骤S312:客户端2从连接请求中读取所述两个客户端2的安全标识,根据所述安全标识比较桌面虚拟安全子网、安全域和客户端2的安全级别,根据不同的比较结果,以及网络连接的安全属性进行安全管理操作;
所述安全管理操作,包括如下步骤:
步骤S3121,如果i不等于x,则根据DBVCN(i)和DBVCN(x)的网络连接方式,判断DBVCN(i)是否可以访问DBVCN(x);如果不允许DBVCN(i)访问VCN(x),则终止发起连接;
如果允许DBVCN(i)访问DBVCN(x);则根据SD(i,j)和SD(x,y)的网络连接方式,判断SD(i,j)是否可以访问SD(x,y);如果不允许SD(i,j)访问SD(x,y),则终止发起连接;
如果允许SD(i,j)访问SD(x,y);则根据E(i,j,k)和E(x,y,z)的网络连接方式,判断E(i,j,k)是否可以访问E(x,y,z);如果不允许E(i,j,k)访问E(x,y,z),则终止发起连接;
如果允许E(i,j,k)访问E(x,y,z),则允许E(i,j,k)向E(x,y,z)发起连接;
步骤S3122,如果i=x,则继续比较j和y;如果j不等于y,则根据SD(i,j)和SD(x,y)的网络连接方式,判断安全域SD(i,j)是否可以访问安全域SD(x,y);
如果不允许SD(i,j)访问SD(x,y),则终止发起连接;
如果允许SD(i,j)访问SD(x,y);则根据E(i,j,k)和E(x,y,z)的网络连接方式,判断E(i,j,k)是否可以访问E(x,y,z);
如果不允许E(i,j,k)访问E(x,y,z),则终止发起连接;
如果允许E(i,j,k)访问E(x,y,z),则允许E(i,j,k)向E(x,y,z)发起连接;
步骤S2133,如果i=x,j=y,则继续比较k和z,如果k不等于z,则根据E(i,j,k)和E(x,y,z)的网络连接方式,判断客户端E(i,j,k)是否可以访问客户端E(x,y,z);如果不允许E(i,j,k)访问E(x,y,z),则终止发起连接;
如果允许E(i,j,k)访问E(x,y,z),则允许E(i,j,k)向E(x,y,z)发起连接;
作为一种可实施方式,所述网络连接可由安装在客户端2的网络驱动过滤程序NetFilter负责实现。
对于任何管理体系内部的通信双方,DBVCN系统是能够实时获取通信双方的MAC地址:源地址SMac,目标地址OMac。
NetFilter(VCNPolicy,SDPolicy,EndpointPolicy,SMac,OMac,Sport,OPort,Protocol){
VCNPolicy;DBVCN间网络通信连接方式;
SDPolicy;VCN内安全域间的网络通信连接方式;
EndpointPolicy;安全域内客户端间的网络通信连接方式;
SMac;源MAC地址;
OMac;目的MAC地址;
Sport;源端口;
OPort;目的通信端口;
Protocol;协议;
}
步骤S320,在进行安全文档访问请求时,从服务器1中读取相应的安全标识和安全级别,截获安全文档流转访问请求,并根据相应的安全管理属性而对所述文档访问请求进行安全管理。
作为一种可实施方式,所述安全文档可以是由管理域发布的,存放在具体位置,设置了安全文档安全标识ID和安全级别Dlevel的,供管理域中有权限浏览的人员浏览的格式化文档。
SDOC={
SDOCID:安全文档标识;
SDOCSCLevel:安全级别(普通1,敏感2,秘密3,机密4,绝密5)
}
安全文档安全管理需要进行全局配置,由客户端2具体实施。根据实际情况为每一个客户端2确定允许访问的安全文档,为每一个客户端2设置允许访问的安全文档列表,实现不同DBVCN之间的安全文档的控制,包括安全文档(SDOCID,SDOCSCLevel)与客户端(EID,ESCLevel)的结合关系控制;客户端2是否能够访问该安全文档、是否可以存储该安全文档、是否允许接受(流进)该安全文档、是否可以传出(流出)该安全文档。
所述步骤S320,是从一个客户端E(i,j,k)流出安全文档的管理流程,包括如下步骤:
步骤S321,客户端2截获安全文档的访问请求;
步骤S322,客户端2从访问请求中检查安全级别及流出方式,并读取所述客户端2的安全标识,根据安全文档的流转方式进行安全管理操作。
所述安全文档的流转方式进行安全管理操作,包括如下步骤:
步骤S3221,如果安全文档将要通过网络传输至客户端E(x,y,z),则比较客户端E(x,y,z)和安全文档的安全级别;
如果客户端E(x,y,z)的安全级别小于安全文档的安全级别,即SCLevel(Exyz)<SCLevel(SDOC),则终止传输;
如果客户端E(x,y,z)的安全级别等于或大于安全文档的安全级别,即SCLevel(Exyz)≥SCLevel(SDOC),则允许传输;
步骤S3222,如果安全文档将要通过输出设备输出,则比较输出设备和安全文档的安全级别;
如果输出设备安全级别小于安全文档的安全级别,即SCLevel(Sprt)<SCLevel(SDOC),则终止输出;
如果输出设备的安全级别等于或大于安全文档的安全级别,即SCLevel(Sprt)≥SCLevel(SDOC),则允许输出;
步骤S3223,如果安全文档将要复制至移动存储介质,则比较安全移动存储介质和安全文档的安全级别;
如果安全移动存储介质的级别小于安全文档的安全级别,即SCLevel(SMSM)<SCLevel(SDOC),则终止复制;
如果安全移动存储介质的安全级别等于或大于安全文档的安全级别,即SCLevel(SMSM)≥SCLevel(SDOC),则允许复制。
作为一种可实施方式,可以由由安装在客户端2的文件系统驱动过滤程序FSFilter负责实现。
FSFilter(VCNPolicy,SDPolicy,EndpointPolicy,SDOCID){
VCNPolicy:VCN间安全文档流转方式;
SDPolicy:VCN内安全域间安全文档流转方式;
EndpointPolicy:安全域内客户端间安全文档流转方式;
SDOCID:安全文档标识;
SDOCSCLevel:安全文档安全级别;
}
步骤S330,在进行存储介质访问请求时,从服务器1中读取相应的安全标识和安全级别,截获存储介质访问请求,并根据相应的安全管理属性而对所述存储介质访问请求进行安全管理。
作为一种可实施方式,本发明实施例的存储介质可以是由企业管理部门采购、登记、注册、分区、密级定义、规定使用范围等,然后分发给管理域内用户使用的移动USB盘、移动硬盘和软盘。
SMSM={
SMSMID:移动存储介质标识;
SMSMSCLevel:安全级别(1,2,3,4,5)
SMSMTime:使用期限;
SMSMOwner:使用者;
}
存储介质的安全管理需要进行全局配置,并由客户端2具体实施。根据实际情况为每一个客户端2确定允许使用的存储介质,通过Web管理控制台为每一个客户端2设置允许使用的存储介质列表,通过这种方法来实现不同DBVCN之间的存储介质的控制,即存储介质与客户端2的结合关系控制;文件进出移动存储介质控制(含加、解密)、共享区、高密区的使用控制;外来未注册移动存储介质的控制。
所述步骤S330,是在一个客户端2E(i,j,k)中插入使用安全移动存储介质的安全管理流程,包括如下步骤:
步骤S331,客户端2截获存储介质的访问请求;
步骤S332,客户端2从访问请求中读取存储介质的的安全标识,并比较存储介质和客户端的安全级别,根据不同的比较结果利用存储介质的业务操作方式进行安全管理操作;
所述根据不同的比较结果利用存储介质的业务操作方式进行安全管理操作,包括下列步骤:
步骤S3321,如果客户端的安全级别小于安全移动存储介质的安全级别时,即SCLevel(SMSM)<SCLevel(Eijk),则检查安全移动存储介质是否存在分区,即高密区和共享区;
如果不存在共享区,则禁止客户端使用安全存储介质;
如果存在共享区,则允许客户端使用共享区读写非保密文件;
步骤S3322,如果客户端的安全级别等于安全移动存储介质的安全级别时,即SCLevel(SMSM)=SCLevel(Eijk),则检查安全移动存储介质是否存在分区,即高密区和共享区;
如果不存在共享区,则允许客户端使用高密区读、写;
如果存在共享区,则允许客户端使用共享区读写非密级文件;
步骤S3323,如果客户端的安全级别大于安全移动存储介质的安全级别时,即SCLevel(SMSM)>SCLevel(Eijk)则检查安全移动存储介质是否存在分区,即高密区和共享区;
如果不存在共享区,则允许客户端以只读模式使用高密区;
如果存在共享区,则允许客户端使用共享区读写非密级文件。
作为一种可实施方式,在本发明实施例中,可由安装在客户端的外设接口及文件系统驱动过滤程序MSMFilter负责实现:
MSMFilter(VCNPolicy,SDPolicy,EndpointPolicy,MSMID){
VCNPolicy:VCN间存储介质业务操作方式;
SDPolicy:VCN内安全域间存储介质业务操作方式;
EndpointPolicy:安全域内客户端间存储业务操作方式;
SMSMID:存储介质标识;
SMSMSCLevel:存储介质安全级别;
}
步骤S340,在进行输出设备访问请求时,从服务器1中读取相应的安全标识和安全级别,截获输出设备访问请求,并根据相应的安全管理属性而对所述输出设备访问请求进行安全管理。
作为一种可实施方式,本发明实施例中,输出设备的安全管理是由企业管理机构设置,分配安全标识,安全级别等属性,根据客户端2的安全属性确定安全策略,控制是否可以使用相关安全输出设备的过程。
输出设备的安全管理需要进行全局配置,并由客户端2具体实施,根据实际情况为每一个客户端2确定允许使用的输出设备,为每一个客户端2设置允许使用的输出设备的列表,通过这种方法来实现不同虚拟保密子网之间的输出设备的控制,即列表输出设备之外,客户端2无法安装配置其他输出设备;输出设备与DBVCN之间的结合关系控制、与客户端2之间的结合关系控制;
所述步骤S340,是在一个客户端2E(i,j,k)使用输出设备(如打印机)输出文件的安全管理流程,包括如下步骤:
步骤S341,客户端2截获访问请求:
步骤S342,客户端2从访问请求中读取所述客户端的安全标识,并比较客户端和输出设备的安全级别,根据不同的比较结果利用输出设备的业务操作方式进行安全管理操作。
所述根据不同的比较结果利用输出设备的业务操作方式进行安全管理操作,包括如下步骤:
步骤S3421,客户端的安全级别小于或等于安全输出设备的安全级别时,即SCLevel(Eijk)≤SCLevel(Sprt),允许客户端自由使用和输出;
步骤S3422,客户端的安全级别大于输出设备的安全级别时,即SCLevel(Eijk)>SCLevel(Sprt),比较输出设备和输出安全文档的安全级别;
如果输出安全文档的安全级别大于输出设备的安全级别时,即SCLevel(SDoc)>SCLevel(Sprt),禁止输出;
如果输出安全文档的安全级别小于或等于输出设备的安全级别时,即SCLevel(SDoc)≤SCLevel(Sprt),允许客户端自由使用和输出。
作为一种可实施方式,本发明实施例由安装在客户端2的输出设备及文件系统驱动过滤程序PrtFilter负责实现。
PrtFilter(VCNPolicy,SDPolicy,EndpointPolicy,SPrtID,SPrtSCLevel){
VCNPolicy:VCN间输出设备的业务操作方式;
SDPolicy:VCN内安全域间输出设备的业务操作方式;
EndpointPolicy:安全域内客户端间输出设备的业务操作方式;
SPrtID:输出设备标识;
SPrtSCLevel:输出设备安全级别;
}
本发明实施例的基于客户端的安全管理系统,将管理域的客户端根据其安全级别和敏感程度,精细地构建成客户端-安全域-桌面虚拟保密子网(E-S-V)的管理体系,并为客户端设置三级管理方式(客户端级、安全域级、桌面虚拟保密子网级),同时安全管理由客户端实施,保证安全管理的精确性和有效性。
本发明实施例的基于客户端的安全管理系统,将网络和客户端的等级划分、密码技术和访问控制技术进行结合,构成一个完备的安全管理体系,同时将网络通信、安全文档、存储介质、打印设备等四个安全管理中重要的要素纳入管理中,实现安全管理的完美应用。
本发明实施例的基于客户端的安全管理系统,以客户端为核心进行保密子网的划分,实施访问控制和安全管理就是客户端自己,这样确保了安全管理的精准和有效性。
本发明实施例的基于客户端的安全管理系统,大大减少了客户端的部署系统的数目,提高客户端的运行效率,减少管理域(如企业)的资金投入,减少了管理的复杂度,能够大大提高企业的安全保密性能,客户端的运行效率和管理域的整体的运行效率。其以客户端为核心的虚拟保密子网安全保密和安全管理系统非常适合党、政、军、警等机要保密部门及航天军工等核心高科技单位。
最后应当说明的是,很显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变形。
Claims (8)
1.一种基于客户端的安全管理系统,包括服务器和至少一客户端,其特征在于:
所述服务器包括管理中心,用于配置管理域的桌面虚拟保密子网、安全域和客户端的安全标识和安全级别,并设置所述客户端的安全管理属性;
所述客户端包括执行中心,用于进行安全管理时,从所述服务器中读取相应的安全标识和安全级别,截获操作请求,并根据相应的安全管理属性而对所述客户端进行安全管理。
2.根据权利要求1所述的基于客户端的安全管理系统,其特征在于,所述管理中心包括DBVCN配置中心,SD配置中心,客户端配置中心,其中:
所述DBVCN配置中心,用于将管理域配置为多个桌面虚拟保密子网,并配置所述虚拟保密子网的安全标识和安全级别;
所述SD配置中心,用于将所述桌面虚拟保密子网配置为多个安全域,并配置所述安全域的安全标识和安全级别;
所述客户端配置中心,用于将所述安全域配置为多个客户端,并配置所述客户端的安全标识和安全级别。
3.根据权利要求1或2所述的基于客户端的安全管理系统,其特征在于,所述管理中心还包括网络通信属性设置模块,安全文档属性设置模块,存储介质属性设置模块,输出设备属性设置模块,其中:
所述网络通信属性设置模块,用于根据所述客户端的MAC地址,设置所述客户端中的网络连接的安全级别,并根据安全级别设置网络连接方式;
所述安全文档属性设置模块,用于设置所述客户端中的安全文档的安全文档标识和安全级别,并根据所述安全级别设置所述安全文档的流转方式;
所述存储介质属性设置模块,用于设置所述客户端中的存储介质的存储介质标识和安全级别,并根据所述安全级别设置所述存储介质的业务操作方式;
所述输出设备属性设置模块,用于设置所述客户端中的输出设备的输出设备标识和安全级别,并根据所述安全级别设置所述输出设备的业务操作方式。
4.一种基于客户端的安全管理方法,其特征在于,包括下列步骤:
步骤S100,服务器配置管理域中的客户端、所述客户端对应的安全域、所述安全域对应的桌面虚拟保密子网的安全标识和安全级别;
步骤S200,所述服务器设置所述客户端的安全管理属性;
步骤S300,在所述客户端进行安全管理时,由所述客户端从所述服务器读取所述客户端、安全域和桌面虚拟保密子网的安全标识和安全级别,并获取所配置的所述客户端安全管理属性,进行安全管理。
5.根据权利要求4所述的基于客户端的安全管理方法,其特征在于,所述步骤S100包括下列步骤:
步骤S110,对每个客户端E(i,j,k)设置一个安全标识EID(i,j,k)和一个安全级别为ESCLevel(i,j,k);并对每个客户端E(i,j,k)的MAC地址进行捆绑绑定;
步骤S120,将工作性质相近、业务相关的客户端设置为安全域,用SD(i,j)表示;并对每个安全域SD(i,j)设置一个安全标识SDID(i,j)和一个安全级别为SDSCLevel(i,j);
步骤S130,将安全域中所需保密级别相同的安全域设置成桌面虚拟保密子网,用DBVCN(i)表示;并对每个所述桌面虚拟保密子网设置一个安全标识DBVCNID(i)和一个安全级别为DBVCNSCLevel(i)。
6.根据权利要求4或5所述的基于客户端的安全管理方法,其特征在于,所述步骤S200包括下列步骤:
步骤S210,设置所述客户端的网络通信的安全管理属性;
步骤S220,设置所述客户端的安全文档的安全管理属性;
步骤S230,设置所述客户端的存储介质的安全管理属性;
步骤S240,设置所述客户端的输出设备的安全管理属性。
7.根据权利要求6所述的基于客户端的安全管理方法,其特征在于,所述步骤S300包括下列步骤:
步骤S310,在所述客户端进行网络连接时,从所述服务器中读取相应的安全标识和安全级别,截获网络连接操作请求,并根据相应的安全管理属性而对所述客户端的网络连接进行安全管理;
步骤S320,在进行安全文档访问请求时,从所述服务器中读取相应的安全标识和安全级别,截获安全文档流转访问请求,并根据相应的安全管理属性而对所述文档访问请求进行安全管理;
步骤S330,在进行存储介质访问请求时,从所述服务器中读取相应的安全标识和安全级别,截获存储介质访问请求,并根据相应的安全管理属性而对所述存储介质访问请求进行安全管理;
步骤S340,在进行输出设备访问请求时,从所述服务器中读取相应的安全标识和安全级别,截获输出设备访问请求,并根据相应的安全管理属性而对所述输出设备访问请求进行安全管理。
8.根据权利要求7所述的基于客户端的安全管理方法,其特征在于:
所述步骤S310包括下列步骤:
步骤S311:所述客户端截获客户端E(i,j,k)对管理域内的客户端E(x,y,z)的连接请求;
步骤S312:所述客户端从连接请求中读取所述两个客户端的安全标识,根据所述安全标识比较桌面虚拟安全子网、安全域和客户端的安全级别,根据不同的比较结果,以及网络连接的安全属性进行安全管理操作;
所述步骤S320包括下列步骤:
步骤S321,所述客户端截获安全文档的访问请求;
步骤S322,所述客户端从访问请求中检查安全级别及流出方式,并读取所述客户端的安全标识,根据安全文档的流转方式进行安全管理操作;
所述步骤S330包括下列步骤:
步骤S331,所述客户端截获存储介质的访问请求;
步骤S332,所述客户端从访问请求中读取存储介质的的安全标识,并比较存储介质和客户端的安全级别,根据不同的比较结果利用存储介质的业务操作方式进行安全管理操作;
所述步骤S340包括下列步骤:
步骤S341,所述客户端截获访问请求:
步骤S342,所述客户端从访问请求中读取所述客户端的安全标识,并比较客户端和输出设备的安全级别,根据不同的比较结果利用输出设备的业务操作方式进行安全管理操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910087629 CN101764798B (zh) | 2009-07-01 | 2009-07-01 | 一种基于客户端的安全管理系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910087629 CN101764798B (zh) | 2009-07-01 | 2009-07-01 | 一种基于客户端的安全管理系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101764798A true CN101764798A (zh) | 2010-06-30 |
| CN101764798B CN101764798B (zh) | 2012-10-24 |
Family
ID=42495786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910087629 Active CN101764798B (zh) | 2009-07-01 | 2009-07-01 | 一种基于客户端的安全管理系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101764798B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413198A (zh) * | 2011-09-30 | 2012-04-11 | 山东中创软件工程股份有限公司 | 一种基于安全标记的访问控制方法和相关系统 |
| CN102833239A (zh) * | 2012-08-15 | 2012-12-19 | 公安部第三研究所 | 基于网络身份标识实现客户端账户信息嵌套保护的方法 |
| CN103716328A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN104618313A (zh) * | 2013-11-05 | 2015-05-13 | 华为技术有限公司 | 安全管理系统和方法 |
| CN104660578A (zh) * | 2014-04-22 | 2015-05-27 | 董唯元 | 一种实现数据安全存储及数据访问控制的系统及其方法 |
| WO2015131811A1 (en) * | 2014-03-04 | 2015-09-11 | Hangzhou H3C Technologies Co., Ltd. | Virtual desktopaccess control |
| CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| WO2017162113A1 (zh) * | 2016-03-25 | 2017-09-28 | 阿里巴巴集团控股有限公司 | 一种风险信息输出、风险信息构建方法及装置 |
| CN108710807A (zh) * | 2018-07-16 | 2018-10-26 | 国网安徽省电力有限公司亳州供电公司 | 基于地区电能系统越权管理方法及其系统 |
| CN109714308A (zh) * | 2018-08-20 | 2019-05-03 | 平安普惠企业管理有限公司 | 网络架构中数据的监控方法、装置、设备及可读存储介质 |
| CN109992424A (zh) * | 2017-12-29 | 2019-07-09 | 北京华胜天成科技股份有限公司 | 本地网络的业务关联关系的确定方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434256B2 (en) * | 2003-12-18 | 2008-10-07 | Intel Corporation | Security management for wireless clients |
| CN100484024C (zh) * | 2005-08-19 | 2009-04-29 | 华为技术有限公司 | 提供不同安全级别的应用服务的系统和方法 |
-
2009
- 2009-07-01 CN CN 200910087629 patent/CN101764798B/zh active Active
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413198A (zh) * | 2011-09-30 | 2012-04-11 | 山东中创软件工程股份有限公司 | 一种基于安全标记的访问控制方法和相关系统 |
| CN102833239A (zh) * | 2012-08-15 | 2012-12-19 | 公安部第三研究所 | 基于网络身份标识实现客户端账户信息嵌套保护的方法 |
| CN102833239B (zh) * | 2012-08-15 | 2015-03-25 | 公安部第三研究所 | 基于网络身份标识实现客户端账户信息嵌套保护的方法 |
| CN103905402A (zh) * | 2012-12-27 | 2014-07-02 | 北京中船信息科技有限公司 | 一种基于安全标签的保密安全管理方法 |
| CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| CN105247832B (zh) * | 2013-04-03 | 2019-06-14 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
| CN104618313A (zh) * | 2013-11-05 | 2015-05-13 | 华为技术有限公司 | 安全管理系统和方法 |
| WO2015067037A1 (zh) * | 2013-11-05 | 2015-05-14 | 华为技术有限公司 | 安全管理系统和方法 |
| CN104618313B (zh) * | 2013-11-05 | 2018-02-13 | 华为技术有限公司 | 安全管理系统和方法 |
| CN103716328B (zh) * | 2014-01-03 | 2017-01-25 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| CN103716328A (zh) * | 2014-01-03 | 2014-04-09 | 天地融科技股份有限公司 | 一种操作请求处理方法和系统 |
| WO2015131811A1 (en) * | 2014-03-04 | 2015-09-11 | Hangzhou H3C Technologies Co., Ltd. | Virtual desktopaccess control |
| US10270782B2 (en) | 2014-03-04 | 2019-04-23 | Hewlett Packard Enterprise Development Lp | Virtual desktopaccess control |
| CN104660578B (zh) * | 2014-04-22 | 2017-12-19 | 董唯元 | 一种实现数据安全存储及数据访问控制的系统及其方法 |
| CN104660578A (zh) * | 2014-04-22 | 2015-05-27 | 董唯元 | 一种实现数据安全存储及数据访问控制的系统及其方法 |
| WO2017162113A1 (zh) * | 2016-03-25 | 2017-09-28 | 阿里巴巴集团控股有限公司 | 一种风险信息输出、风险信息构建方法及装置 |
| CN109992424A (zh) * | 2017-12-29 | 2019-07-09 | 北京华胜天成科技股份有限公司 | 本地网络的业务关联关系的确定方法及装置 |
| CN109992424B (zh) * | 2017-12-29 | 2024-04-02 | 北京华胜天成科技股份有限公司 | 本地网络的业务关联关系的确定方法及装置 |
| CN108710807A (zh) * | 2018-07-16 | 2018-10-26 | 国网安徽省电力有限公司亳州供电公司 | 基于地区电能系统越权管理方法及其系统 |
| CN108710807B (zh) * | 2018-07-16 | 2023-06-30 | 国网安徽省电力有限公司亳州供电公司 | 基于地区电能系统越权管理方法及其系统 |
| CN109714308A (zh) * | 2018-08-20 | 2019-05-03 | 平安普惠企业管理有限公司 | 网络架构中数据的监控方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101764798B (zh) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101764798B (zh) | 一种基于客户端的安全管理系统和方法 | |
| US10021143B2 (en) | Method and apparatus for multi-tenancy secrets management in multiple data security jurisdiction zones | |
| AU2020200073B2 (en) | Method and apparatus for multi-tenancy secrets management | |
| US11962571B2 (en) | Ecosystem per distributed element security through virtual isolation networks | |
| CN107153565B (zh) | 配置资源的方法及其网络设备 | |
| CN116938558A (zh) | 向网络的每个节点提供访问的计算机实施方法和核心网络访问系统 | |
| US10897467B2 (en) | Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure | |
| US11381603B2 (en) | User-based visibility and control of a segmentation policy | |
| Golightly et al. | Securing distributed systems: A survey on access control techniques for cloud, blockchain, IoT and SDN | |
| CN109413080B (zh) | 一种跨域动态权限控制方法及系统 | |
| CN106445399A (zh) | 一种存储系统的控制方法及存储系统 | |
| Singh et al. | Security concerns at various levels of cloud computing paradigm: A review | |
| CN110990858A (zh) | 一种基于分布式信息流控制的跨云资源共享系统及方法 | |
| Brucker et al. | Attribute-based encryption with break-glass | |
| Peng et al. | A blockchain‐based mobile crowdsensing scheme with enhanced privacy | |
| MXPA04007410A (es) | Movimiento de principales a traves de limites de seguridad sin interrupcion de servicio. | |
| CN111083088A (zh) | 基于多安全域的云平台分级管理方法及装置 | |
| De Salve et al. | Content privacy enforcement models in decentralized online social networks: State of play, solutions, limitations, and future directions | |
| Chandersekaran et al. | Use case based access control | |
| CN109033872A (zh) | 一种基于身份的安全运行环境构造方法 | |
| Wrona et al. | Integrated content-based information security for future military systems | |
| Bistarelli et al. | A Military IdAM System Based on SSI and ORCON | |
| US20230362066A1 (en) | Segmentation Using Infrastructure Policy Feedback | |
| JP2001312466A (ja) | 携帯コンピューター情報管理システム | |
| You et al. | HP-SDDAN: High-Performance Software-Defined Data Access Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |