CN102223377A - 一种Xen虚拟机可信域间网络连接的控制方法 - Google Patents
一种Xen虚拟机可信域间网络连接的控制方法 Download PDFInfo
- Publication number
- CN102223377A CN102223377A CN2011101732412A CN201110173241A CN102223377A CN 102223377 A CN102223377 A CN 102223377A CN 2011101732412 A CN2011101732412 A CN 2011101732412A CN 201110173241 A CN201110173241 A CN 201110173241A CN 102223377 A CN102223377 A CN 102223377A
- Authority
- CN
- China
- Prior art keywords
- information
- module
- network
- domain
- host system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 18
- 230000006854 communication Effects 0.000 claims abstract description 25
- 238000004891 communication Methods 0.000 claims abstract description 24
- 101100268514 Mus musculus Serpina1a gene Proteins 0.000 claims description 15
- ZACLXWTWERGCLX-MDUHGFIHSA-N dom-1 Chemical compound O([C@@H]1C=C(C([C@@H](O)[C@@]11CO)=O)C)[C@@H]2[C@H](O)C[C@@]1(C)C2=C ZACLXWTWERGCLX-MDUHGFIHSA-N 0.000 claims description 15
- 238000013475 authorization Methods 0.000 claims description 7
- 238000010200 validation analysis Methods 0.000 claims description 7
- 101100268515 Mus musculus Serpina1b gene Proteins 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000005259 measurement Methods 0.000 abstract description 3
- 230000007547 defect Effects 0.000 abstract 1
- 230000007123 defense Effects 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 6
- 230000007812 deficiency Effects 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 101100425739 Mus musculus Tnnc1 gene Proteins 0.000 description 2
- 101100260895 Mus musculus Tnnc2 gene Proteins 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000002596 correlated effect Effects 0.000 description 2
- 238000003780 insertion Methods 0.000 description 2
- 230000037431 insertion Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种Xen虚拟机可信域间网络连接的控制方法,通过在后端宿主系统中设置信息度量模块,在前端虚拟域中设置可信信息采集模块,以及设置基于I/O端口的通信信道为后端宿主系统和前端虚拟域的域间网络连接进行信息传递,并确定后端宿主系统作为域间网络连接的可信方,前端虚拟域通过通信信道向后端宿主系统提出网络访问请求以及相应的可信信息,后端宿主系统通过验证该可信信息,做出是否允许前端虚拟域访问访问的决策。本发明通过在前端虚拟域进行网络访问之前进行相关的安全可信信息的度量以及在前后端之间架设基于I/O端口的通信信道,比传统的Xen虚拟化网络环境的网络连接具有高的安全性,属于主动防御,同时极大地改善了前后端之间通信方面的不足。
Description
技术领域
本发明属于虚拟机的信息安全访问控制领域,特别是涉及一种Xen虚拟机可信域间网络连接的控制方法。
背景技术
在Xen虚拟化环境中,虚拟设备都是以分离模型的形式存在的,每一个虚拟设备的工作都是在前后端两个驱动程序的协同下完成的。其中,前端驱动运行在虚拟客户系统DomainU中。任何对此驱动的操作(比如I/O操作)都会被转发到后端,由后端驱动真正执行完成;但是这些转发过程对于DomainU是透明的。后端驱动部署在后端宿主系统Domain0上,接收来自前端驱动的操作请求,然后将此请求交由真实硬件驱动程序,最后将硬件驱动的执行结果反馈回前端驱动。
在虚拟化环境中,虚拟网络设备是虚拟机和外界通信的典型代表。虚拟网络设备的前后端驱动程序通过共享内存进行通信。虚拟网络设备后端为多个虚拟客户系统提供网络服务,因此,后端相当于一个网桥。每个虚拟客户系统都具有一个或者多个虚拟网络设备,通过使用以软件模拟的方式存在的网桥进行数据包的发送和接收。
可信网络连接TNC技术是TCG组织公布的开放的、支持异构环境的网络访问控制架构。完整的TNC架构的实体由访问请求者(AR)、策略执行点(PEP)、策略决策点(PDP)、元数据存取点(MAP)及元数据存取点(MAPC)5个实体组成。实体中的组件根据功能不同,可分为三个抽象层:网络访问层,完整性评估层以及完整性度量层。
基于Xen虚拟网络环境,有技术已经实现了多网隔离。基于每个DomU不同的安全级别和访问权限,把各个域的网络访问请求转发到不同的真实的物理网卡上。不同的物理网卡连接着不同信任级别的网络,虚拟机监控器根据客户操作系统的访问权限,控制客户系统后端网卡与物理网卡的绑定关系。由于客户系统与网络的连接必须经过通路“前端网卡→后端网卡→物理网卡”,使得客户系统只能连接到指定的网络。因此,如果一个虚拟域连接的最终的真实物理网卡连接的是内网,它(虚拟域)就不可能跟外网进行任何数据交互。同样,连接了私密网的DomU也是不可能跟外网进行数据交互的。这样,通过多网隔离技术就彻底阻止不可信用户访问可信网络,也能保护可信用户的数据不受来自不可信网络的攻击。基于Netfilter/Iptables框架,有技术提出了在宿主系统Dom0上构建防火墙用以对DomU的网络数据进行监控处理。文中提到的主要思路是:优先选择较为容易实现的以Iptables扩展模块方式来实现防火墙,其次才是Netfilter扩展模块。用户自定义防火墙规则,当网络数据包被防火墙拦截到时,防火墙就根据用户自定义规则去分析处理网络数据包,最后交由Netfilter层去决定丢弃还是接受网络数据包。
从以上分析可知,基于Xen的防火墙的实现是基于纯软件的接口的,且对于虚拟网络环境的模拟考虑到多网隔离技术,这些在一定程度上对基于Xen的网络环境的安全性有了很大的提高。但通过上述对基于Xen的虚拟网络环境的多网隔离技术以及防火墙技术的分析可以了解到,单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,基于Xen的虚拟网络环境的网络连接在安全上解决方案,并不能阻止来自内部的袭击,采用的也是被动的按照防火墙规则来进行防御,并不能保证终端本身的安全可信,仍然存在大概以下三个问题:缺乏必要的度量策略、防御被动、缺乏灵活的域间通信方式。
发明内容
本发明的目的在于克服现有技术的不足,提供一种有效提高域间网络连接的安全性的Xen虚拟机可信域间网络连接的控制方法。
为了实现上述目的,采用的技术方案如下:
一种Xen虚拟机可信域间网络连接的控制方法,通过在后端宿主系统中设置信息度量模块,在前端虚拟域中设置可信信息采集模块,以及设置基于I/O端口的通信信道为后端宿主系统和前端虚拟域的域间网络连接进行信息传递,并确定后端宿主系统作为域间网络连接的可信方,前端虚拟域通过通信信道向后端宿主系统提出网络访问请求以及相应的可信信息,后端宿主系统通过验证该可信信息,做出是否允许前端虚拟域访问访问的决策。
上述技术方案中,所述信息度量模块包括策略执行模块、网络访问授权模块、TNC服务器模块和完整性信息验证模块,所述可信信息采集模块包括网络访问请求模块、TNC客户端模块以及完整性信息收集模块;
所述策略执行模块将前端虚拟域的网络访问请求转发给网络访问授权模块进行相应的身份认证工作,以控制前端虚拟域对网络的访问;
所述网络访问授权模块对前端虚拟域进行身份认证;
所述TNC服务器模块对前端虚拟域进行平台信息验证;
所述完整性信息验证模块对前端虚拟域的完整性信息进行验证;
所述网络访问请求模块向后端宿主系统发送网络访问请求以及发送相应的身份认证信息;
所述TNC客户端模块收集前端虚拟域的平台验证信息;
所述完整性信息收集模块收集前端虚拟域的完整性信息。
所述后端宿主系统使用Netfilter程序模块来处理最终的网络连接决策。
进一步地,本发明的具体操作如下:
设定第一前端虚拟域Dom1要访问第二前端虚拟域Dom2所在的虚拟网络,则首先Dom1向后端宿主系统提出网络访问请求,后端宿主系统的信息度量模块根据具体虚拟网络的配置要求对Dom1提出安全可信信息的请求,Dom1根据该安全可信信息请求收集具体的安全可信信息并反馈给信息度量模块,后端宿主系统对这些安全可信信息进行度量,如果通过度量,则由策略执行模块启动Netfilter程序允许Dom1访问Dom2所在网络,否则拒绝访问。
本发明针对现有Xen虚拟化网络环境中网络连接的缺陷与不足,研究Xen虚拟化网络环境的框架实现以及当前TCG标准的可信网络连接(TNC)的框架体系,设计并实现了一种基于Xen虚拟化网络环境的域间可信网络连接的方法。前端的一个虚拟域如果想访问另一个虚拟域的时候,首先必须向后端信息度量模块提出申请,后端信息度量模块对访问申请进行处理,对前端信息收集模块收集的安全可信信息(身份认证信息,平台验证信息以及完整性验证信息)进行相关的度量,根据度量结果来控制前端系统是否可以访问另一个虚拟网络域。
本发明通过在前端虚拟域进行网络访问之前进行相关的安全可信信息的度量以及在前后端之间架设基于I/O端口的通信信道,比传统的Xen虚拟化网络环境的网络连接具有高的安全性,属于主动防御,同时极大地改善了前后端之间通信方面的不足。
本发明所述的域间可信网络连接的控制方法,实现了各个虚拟域之间通过架设可信信息验证体系达到控制网络连接的目的。与现有技术相比较,本发明的优点如下:
1、本发明所述的域间可信网络连接的控制方法定制了前后端信息度量策略,在前端部署安全可信信息的收集模块,在后端部署信息度量模块,通过对可信信息的度量结果来控制前端的网络连接,具有更高的安全性。
、通过定制前后端信息度量策略,在前端虚拟域进行网络连接之前进行安全可信信息的度量,属于一种主动防御策略。
、通过在前后端部署前后端通信驱动,实现一种基于I/O端口的通信信道,改善了原有前后端数据通信方式的不足。
附图说明
图1为本发明的总体网络架构示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
如图1所示,本发明的总体结构为:在后端宿主系统中,使用Netfilter程序模块来处理最终的网络连接决策,定制三大模块,即网络请求授权模块NAA、TNC服务器模块TNCS及完整性信息验证模块IMV,来对前端虚拟域的客户系统的完整性信息进行度量;在前端虚拟域的客户系统中,定制了相关的完整性信息采集模块来对自身的信息进行收集并反馈给后端进行度量决策。同时,为了改善域间通信方式,通过前后端分离机制的虚拟设备在前后端实现PCI驱动模型,本发明采用的PCI驱动模块命名为EMOS Platform;前后端的通信主要是基于I/O端口截获的方式。因此,本发明总体设计中包括三个重要组成部分:后端信息度量模块、前端信息采集模块以及前后端通信驱动模块EMOS Platform;其中EMOS Platform又包括后端驱动程序以及前端驱动程序两个组成部分。假如第一前端虚拟域Dom1要访问第二前端虚拟域Dom2所在虚拟网络,首先Dom1必须向后端提出网络访问请求,后端的信息度量模块就依据具体虚拟网络的配置要求对Dom1提出安全可信信息的请求,Dom1根据请求收集具体的安全可信信息并反馈给后端信息度量模块,后端对这些信息进行度量,如果最后通过度量,由策略执行模块PEP启动Netfilter程序允许Dom1访问Dom2所在网络,否则拒绝访问。
本发明的后端信息度量模块完整的度量流程如下:
后端度量模块的初始化,开始监听各自相关的fifo队列;
PEP模块把emos_EAP_fifo中的来自前端的网络连接请求数据包转发给NAA模块,具体实现为写进emos_PAN_fifo;
NAA模块对请求包中的相应源端进行身份认证,身份认证信息从emos_NAARtnFIFO中读取;
TNCS模块对请求包中的相应源端进行平台认证,平台验证信息从emos_TNCSRtnFIFO中读取;
IMV模块对请求包中的相应源端进行完整性信息认证,完整性验证信息从emos_IMVFIFO中读取;
PEP模块中的Netfileter程序读取emos_DecFIFO中的决策信息,并执行最后的网络接入决策。
本发明的前端信息收集模块的工作流程如下:
三大模块的初始化,包括NAR模块,TNCC模块,IMC模块;
NAR模块生成网络接入请求信息并发往后端;
NAR模块收到后端的身份认证请求,收集接入目标网络的特定的身份认证信息,发往后端;
TNCC模块收到后端的平台认证请求,生成平台验证信息并发往后端;
IMC模块收到后端的完整性信息请求,收集相关的完整性信息(比如杀毒软件信息、防火墙信息等)并发往后端。
另外,前后端在进行信息通信的时候,由于都不知道对方传递的是什么类型的信息,以及此信息一共有多大的字节量,为此,在实现中可以通过相应的机制在信息结构中加入表示信息类型和信息长度的域。对于后端信息度量模块的各个子模块之间通信采用fifo的方式,同时采用I/O多路复用的方式监听fifo。对于每个前端虚拟域,访问它所具备的安全要求配置在一个特定的文件的中,只有后端宿主系统才能访问,在进行信息度量的时候,找到相应的配置项然后进行对应的匹配度量。身份认证完成的主要就是对访问某一特定的网络需要的身份ID信息以及密码信息的度量;平台验证主要是前端采用RSA算法加密一个众所周知的字符串,然后后端使用前端虚拟域的公钥对加密后的密文进行解密,如果解密后的字符串与预期一致,就认为通过平台验证;完整性验证就是验证前端虚拟域的防火墙信息,杀毒软件信息等安全可信信息,这些完整性信息的收集使用Windows系统的wmic服务来获取。
本发明中前后端基于I/O端口的通信流程如下:
后端驱动初始化,通过PCI设备接口注册PCI总线设备;
后端填充PCI配置空间,设备类型为为自定义的Platform设备;
在VM中注册前后端通信驱动用于通信的设备指定I/O端口;
前端虚拟客户系统加载前端通信驱动;
前端驱动使用in/out指令操作指定I/O端口
Xen虚拟机监视器截获前端的I/O操作;
触发后端驱动调用I/O回调函数。
后端宿主系统中的通信驱动设备的主要工作在于PCI设备的实现、对指定I/O端口的注册和对I/O端口的读写操作。后端对通信设备的PCI空间进行必要的配置,比如中断线、中断引脚……后端使用register_ioport_read()以及register_ioport_write()对指定的读写I/O端口进行注册。前端通信设备的主要工作就是利用in/out指令对指定I/O端口进行读写操作。因为in/out指令每次读写的字节量相当有限,而前端信息采集模块向后端传输的信息量都不可能小于这个限制,锁在前端驱动程序中设计并实现了每次多字节量的传输机制。
Claims (4)
1.一种Xen虚拟机可信域间网络连接的控制方法,其特征在于通过在后端宿主系统中设置信息度量模块,在前端虚拟域中设置可信信息采集模块,以及设置基于I/O端口的通信信道为后端宿主系统和前端虚拟域的域间网络连接进行信息传递,并确定后端宿主系统作为域间网络连接的可信方,前端虚拟域通过通信信道向后端宿主系统提出网络访问请求以及相应的可信信息,后端宿主系统通过验证该可信信息,做出是否允许前端虚拟域访问访问的决策。
2.根据权利要求1所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于所述信息度量模块包括策略执行模块、网络访问授权模块、TNC服务器模块和完整性信息验证模块,所述可信信息采集模块包括网络访问请求模块、TNC客户端模块以及完整性信息收集模块;
所述策略执行模块将前端虚拟域的网络访问请求转发给网络访问授权模块进行相应的身份认证工作,以控制前端虚拟域对网络的访问;
所述网络访问授权模块对前端虚拟域进行身份认证;
所述TNC服务器模块对前端虚拟域进行平台信息验证;
所述完整性信息验证模块对前端虚拟域的完整性信息进行验证;
所述网络访问请求模块向后端宿主系统发送网络访问请求以及发送相应的身份认证信息;
所述TNC客户端模块收集前端虚拟域的平台验证信息;
所述完整性信息收集模块收集前端虚拟域的完整性信息。
3.根据权利要求1或2所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于所述后端宿主系统使用Netfilter程序模块来处理最终的网络连接决策。
4.根据权利要求3所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于具体操作如下:
设定第一前端虚拟域Dom1要访问第二前端虚拟域Dom2所在的虚拟网络,则首先Dom1向后端宿主系统提出网络访问请求,后端宿主系统的信息度量模块根据具体虚拟网络的配置要求对Dom1提出安全可信信息的请求,Dom1根据该安全可信信息请求收集具体的安全可信信息并反馈给信息度量模块,后端宿主系统对这些安全可信信息进行度量,如果通过度量,则由策略执行模块启动Netfilter程序允许Dom1访问Dom2所在网络,否则拒绝访问。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110173241 CN102223377B (zh) | 2011-06-25 | 2011-06-25 | 一种Xen虚拟机可信域间网络连接的控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201110173241 CN102223377B (zh) | 2011-06-25 | 2011-06-25 | 一种Xen虚拟机可信域间网络连接的控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102223377A true CN102223377A (zh) | 2011-10-19 |
| CN102223377B CN102223377B (zh) | 2013-10-30 |
Family
ID=44779805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201110173241 Expired - Fee Related CN102223377B (zh) | 2011-06-25 | 2011-06-25 | 一种Xen虚拟机可信域间网络连接的控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102223377B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015100681A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为技术有限公司 | Gpu虚拟化的实现方法及相关装置和系统 |
| CN105045727A (zh) * | 2015-08-14 | 2015-11-11 | 华为技术有限公司 | 一种访问共享内存的方法及设备 |
| CN106506543A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种云服务器中可信代理模块的实现方法 |
| CN110311922A (zh) * | 2019-07-16 | 2019-10-08 | 山东超越数控电子股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
| CN112491896A (zh) * | 2020-11-30 | 2021-03-12 | 超越科技股份有限公司 | 一种基于虚拟化网络的可信接入认证系统 |
| CN115396478A (zh) * | 2022-10-31 | 2022-11-25 | 长城汽车股份有限公司 | 用户域与设备的通信方法、装置以及汽车 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101008903A (zh) * | 2006-01-23 | 2007-08-01 | 联想(北京)有限公司 | 一种虚拟机系统及其设备访问方法 |
| CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙系统 |
| CN101834860A (zh) * | 2010-04-22 | 2010-09-15 | 北京交通大学 | 一种远程动态验证客户端软件完整性的方法 |
-
2011
- 2011-06-25 CN CN 201110173241 patent/CN102223377B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101008903A (zh) * | 2006-01-23 | 2007-08-01 | 联想(北京)有限公司 | 一种虚拟机系统及其设备访问方法 |
| CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙系统 |
| CN101834860A (zh) * | 2010-04-22 | 2010-09-15 | 北京交通大学 | 一种远程动态验证客户端软件完整性的方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015100681A1 (zh) * | 2013-12-31 | 2015-07-09 | 华为技术有限公司 | Gpu虚拟化的实现方法及相关装置和系统 |
| US10120705B2 (en) | 2013-12-31 | 2018-11-06 | Huawei Technologies Co., Ltd. | Method for implementing GPU virtualization and related apparatus, and system |
| CN105045727A (zh) * | 2015-08-14 | 2015-11-11 | 华为技术有限公司 | 一种访问共享内存的方法及设备 |
| CN105045727B (zh) * | 2015-08-14 | 2018-06-26 | 华为技术有限公司 | 一种访问共享内存的方法及设备 |
| CN106506543A (zh) * | 2016-12-20 | 2017-03-15 | 北京工业大学 | 一种云服务器中可信代理模块的实现方法 |
| CN106506543B (zh) * | 2016-12-20 | 2019-04-26 | 北京工业大学 | 一种云服务器中可信代理模块的实现方法 |
| CN110311922A (zh) * | 2019-07-16 | 2019-10-08 | 山东超越数控电子股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
| CN110311922B (zh) * | 2019-07-16 | 2021-11-09 | 超越科技股份有限公司 | 一种高并发策略决策系统、可信网络系统及接入方法 |
| CN112491896A (zh) * | 2020-11-30 | 2021-03-12 | 超越科技股份有限公司 | 一种基于虚拟化网络的可信接入认证系统 |
| CN115396478A (zh) * | 2022-10-31 | 2022-11-25 | 长城汽车股份有限公司 | 用户域与设备的通信方法、装置以及汽车 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102223377B (zh) | 2013-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102223377B (zh) | 一种Xen虚拟机可信域间网络连接的控制方法 | |
| CN112073400B (zh) | 一种访问控制方法、系统、装置及计算设备 | |
| CN101778099B (zh) | 可容忍非信任组件的可信网络接入架构及其接入方法 | |
| US8813189B2 (en) | System and method for capturing network traffic | |
| CN103747036B (zh) | 一种桌面虚拟化环境下的可信安全增强方法 | |
| CN100566252C (zh) | 一种基于三元对等鉴别的可信网络连接系统 | |
| US8438631B1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| US20090290501A1 (en) | Capture and regeneration of a network data using a virtual software switch | |
| CN106792692B (zh) | 一种基于sdn技术的物理切片方法 | |
| JP2016514295A5 (zh) | ||
| KR20100076071A (ko) | 삼원 동일 식별자 기반의 신뢰성 있는 네트워크 액세스 제어 시스템 | |
| CN101242401A (zh) | 一种增强安全性的可信网络连接系统 | |
| CN107196932A (zh) | 一种基于虚拟化的文档集中管控系统 | |
| Crossman et al. | Study of authentication with IoT testbed | |
| WO2014105914A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| US20120110657A1 (en) | Apparatus and method for host-based network separation | |
| Tabrizi et al. | A model for security analysis of smart meters | |
| Wu et al. | Edge computing security protection from the perspective of classified protection of cybersecurity | |
| CN101420299A (zh) | 提高智能密钥设备稳定性的方法和智能密钥设备 | |
| Liu et al. | A trusted access method in software-defined network | |
| JP6037460B2 (ja) | サービス提供装置、プログラム、及び、方法 | |
| Zhang et al. | A systematic approach to formal analysis of QUIC handshake protocol using symbolic model checking | |
| US9419800B2 (en) | Secure network systems and methods | |
| CN100446016C (zh) | 一种实现数据安全保护的系统 | |
| CN106302507A (zh) | 一种基于ssl网络数据解析技术的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131030 |