CN105681345A - 一种加强rpki中ca证书签发安全的事前控制方法 - Google Patents

一种加强rpki中ca证书签发安全的事前控制方法 Download PDF

Info

Publication number
CN105681345A
CN105681345A CN201610139810.4A CN201610139810A CN105681345A CN 105681345 A CN105681345 A CN 105681345A CN 201610139810 A CN201610139810 A CN 201610139810A CN 105681345 A CN105681345 A CN 105681345A
Authority
CN
China
Prior art keywords
resource
entity
rpki
subordinate
distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610139810.4A
Other languages
English (en)
Other versions
CN105681345B (zh
Inventor
李晓东
刘晓伟
延志伟
耿光刚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
China Internet Network Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Internet Network Information Center filed Critical China Internet Network Information Center
Priority to CN201610139810.4A priority Critical patent/CN105681345B/zh
Publication of CN105681345A publication Critical patent/CN105681345A/zh
Application granted granted Critical
Publication of CN105681345B publication Critical patent/CN105681345B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种加强RPKI中CA证书签发安全的事前控制方法。在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过以下两个条件对待分配的资源进行检测:<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;在满足两个条件之后,进行资源的分配和CA证书的签发。本发明能够防止资源重复分配和未获授权资源分配这两种操作风险,保证RPKI路由起源认证功能的安全性和可靠性。

Description

一种加强RPKI中CA证书签发安全的事前控制方法
技术领域
本发明属于网络技术、信息技术领域,具体涉及一种加强RPKI中CA证书签发安全的事前控制方法。
背景技术
整个互联网被划分成许多自治系统AS(AutonomousSystem),目前,AS之间的路由选择协议采用的是边界网关协议BGP(BorderGatewayProtocol),BGP协议本身在安全方面存在较大的问题:BGP协议默认接受AS发起的所有路由通告,这就意味着,即使一个AS在网络上中发起一个不属于自己的IP地址前缀的路由通告,这一路由通告也会被其他的AS接受并继续在网络中传播。BGP协议在安全方面的这一设计缺陷容易引发一种严重的互联网安全威胁——路由劫持。现已发生的典型的路由劫持事件主要有:1997年4月的AS7007事件、2004年12月的土耳其电信劫持互联网事件、2008年2月的巴基斯坦劫持YouTube事件,和2014年2月的加拿大流量劫持事件等。
路由劫持的发生对互联网的正常、安全运行影响非常大,可能会造成网络中的路由黑洞、数据窃听以及大范围的拒绝服务攻击等。RPKI的提出正是为了防止路由劫持的发生,目前,与RPKI相关的国际技术标准在IETFSIDR工作组中得到了迅速的发展和积极的推进,相关的国内技术标准也在CCSA中逐步引起关注并得到立项。并且,RPKI在全球的部署脚步也正在加快,尤其是在欧洲、南美洲,以及全球多个国家和地区都已经开始了RPKI的部署。
为了解决互联网域间路由系统存在的安全问题,资源公钥基础设施RPKI(ResourcePublicKeyInfrastructure)通过构建一个公钥证书体系来完成对互联网码号资源INR(InternetNumberResource,包括IP地址前缀和AS号)的所有权和使用权(分别对应于分配关系和路由源授权)的认证,并通过这种“认证信息”来指导域间路由系统中边界路由器的路由决策,实现其验证BGP报文中路由源信息的正确性和合法性的功能,以此防止路由劫持的发生。
RPKI依附于互联网码号资源的分配过程:在互联网码号资源的分配层次中,如图1所示,最上层的是互联网号码分配机构IANA(InternetAssignedNumbersAuthority),IANA将互联网码号资源分配给5个地区性互联网注册机构RIR(RegionalInternetRegistry),包括AFRINIC、ARIN、APNIC、LACNIC和RIPE,RIR又可以将自己的资源向其下级实体(包括本地互联网注册机构LIR(LocalInternetRegistry)、国家级互联网注册机构NIR(NationalInternetRegistry)和互联网服务提供商ISP(InternetServiceProvider))进行资源再分配,继而下级实体再依次向下分配。图1中SubscriberOrganizations表示直接从RIR或NIR获取资源的组织和机构。
为了实现互联网码号资源所有权和使用权的可认证,RPKI机制要求每一层在向下层进行资源分配的过程中,必须签发相应的资源证书,RPKI中的证书主要包括两种:认证权威CA(CertificationAuthority)证书和端实体EE(EndEntity)证书。CA证书用于实现互联网码号资源所有权(分配关系)的认证,端实体证书则主要用于对路由源授权ROA(RouteOriginAuthorization)的认证。RPKI路由起源认证过程中最重要的数字签名对象就是ROA,它用于表明该资源的合法持有者授权哪个(或哪些)AS,允许其针对特定的IP地址前缀在网络中进行路由起源通告。
完整的RPKI体系结构如图2所示,RPKI包括认证权威CA、资料库Repository和依赖方RP(RelyingParty)三个基本的功能模块。这三个模块之间通过签发、存储、验证RPKI中的各种数字对象来互相合作,共同完成RPKI的路由起源认证功能。
IETFSIDR(SecureInter-DomainRouting)工作组密切关注资源公钥基础设施RPKI中由于认证权威CA的错误操作所引起的各种潜在的严重安全隐患。CA操作潜在的安全风险可能会对资源持有者造成严重的影响,例如:增加一个新的路由源授权ROA可能会导致真实网络环境中合法的路由被判定为无效(Invalid);删除合法的资源证书意味着资源持有者所持有资源的撤销,并可能会导致该资源的合法持有者在互联网络中的访问不可达。更为严重的是,一个CA实体错误的资源分配和证书签发操作所影响的并不仅仅是该CA实体本身,也包括该实体范围内的各个实体及资源持有者。这也就意味着,发生资源分配和证书签发错误操作的CA实体在RPKI层次结构(如图1所示)中的位置越靠近顶端,则该CA实体所造成的安全影响也会越大。例如,如果发生错误操作的CA实体是一个处于较低层次的互联网服务提供商ISP,那么该错误操作所导致的安全影响只会限制在该ISP的有限范围内;然而,如果进行错误操作的CA实体是地区性互联网注册机构RIR或国家级互联网注册机构NIR,那么这种错误操作所导致的安全影响会对该区域中所有的相关实体,也包括从属于这些实体的下级实体,造成严重的安全影响。
在RPKI中CA实体所进行的操作,主要包括伴随资源分配过程中的资源证书的签发、ROA等数字签名对象的签发以及RPKI资料库的管理等。这些操作依附于资源分配这一过程,只有上级CA实体向下级CA实体分配资源、并且下级CA实体获得资源后,才能进行资源的再次分配以及各种RPKI数字签名对象的签发、资料库管理等操作。因此,RPKI中CA实体资源分配过程中各种操作的安全性和准确性,是RPKI正确实现其路由起源认证功能的重要基础和前提。
在RPKI中CA向其下级实体进行资源分配的过程中,存在资源重复分配和未获授权资源分配两种重要的操作风险:
1)资源的重复分配操作,指的是同一资源被分配两次或多次到不同的下级CA实体。如图3所示,假设资源ASN65540-65550和IP地址块203.0.113.128/26经由APNIC分配给了其下级CA实体JPNIC,当APNIC对其另一下级CA实体CNNIC进行资源分配时,APNIC由于错误的资源分配操作(误操作或恶意操作)将已经分配给JPNIC实体的资源ASN65540和IP地址块203.0.113.128/26重复分配给了CNNIC实体。因此,当CNNIC实体和JPNIC实体在使用这些资源时,就会出现资源冲突以及资源不可用等严重问题。
2)未获授权的资源分配操作,指的是CA实体将不属于自身的资源分配给其下级CA实体。如图4所示,假设APNIC实体并不是ASN65551和IP地址块192.0.3.128/26的合法资源持有者。当APNIC实体向其下级CA实体TWNIC进行资源分配时,由于错误的资源分配操作将这部分未获授权的资源(不属于APNIC实体的资源)分配给了TWNIC实体。因此,当TWNIC实体在实际使用这些资源时,就会出现资源不可用等严重问题。
发明内容
为了防止在RPKI中CA实体向其下级实体进行资源分配的过程中,资源重复分配和未获授权资源分配这两种操作风险,本发明旨在设计并实现一种“事前控制机制”,防止资源分配过程中的重要安全问题,从而保证RPKI路由起源认证功能的安全性和可靠性。
本发明采用的技术方案如下:
一种加强RPKI中CA证书签发安全的事前控制方法,其步骤包括:
1)在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过以下两个条件对待分配的资源进行检测:
<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;
<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;
2)在满足步骤1)所述的两个条件之后,进行资源的分配和CA证书的签发。
进一步地,在资源迁移这一特殊应用场景中,允许处于资源迁移过程中的资源被多个不同的CA实体共同所有。具体地,只允许用于表征资源迁移过程的TAO对象中ipAddrBlocks和asIdentifiers两个字段所指定的资源被重复分配到不同的CA实体,而其他不处于资源迁移过程中的资源仍然保证满足步骤1)所述的两个条件。
与现有技术相比,本发明的有益效果如下:
本发明针对在RPKI中CA向其下级实体进行资源分配的过程中潜在的资源重复分配和未获授权资源分配两种重要的操作风险,通过实验测试对两种操作风险进行验证,并针对CA实体在资源分配过程中的这两种操作风险提出了一种具有可行性和有效性的解决方案——事前控制机制。这种机制可以在资源分配的过程中、CA证书签发之前进行控制,避免由于CA的错误操作导致非法资源证书的生成,从而可以有效地防止资源重复分配和未获授权资源分配两种操作风险的发生,并减少由于CA的错误操作所导致的错误恢复所需的等待时间。
附图说明
图1是RPKI层次结构示意图。
图2是RPKI体系结构示意图。
图3是资源重复分配示意图。
图4是未获授权资源分配示意图。
图5是事前控制原理实现流程图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施例和附图,对本发明做进一步说明。
1.基本原理
本发明提出并实现了一种用于保证RPKI中认证权威资源分配过程CA操作的安全性和准确性的事前控制机制。该“事前控制”机制的基本原理是,一个正确的资源分配和证书签发过程应该满足以下两个条件:
<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身,从而防止未获授权资源分配的发生;
<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体,从而防止资源的重复分配的发生。
针对事前控制机制中条件<2>的一种特殊情况是:在资源迁移这一应用场景的过程中,允许某个中间状态,由多个不同CA实体签发的CA证书中包含对同一块码号资源的声明(也就是对应于上述的资源重复分配的情况)。但资源迁移的最终结果仍然需要保证,资源迁移的发起者和接收者都必须重新签发一个新的资源证书用于验证新的资源分配关系,且资源迁移发起者的新的资源证书中不能再包含有已经被迁移到接收者的那些资源,资源迁移接收者的新的资源证书中必须包含从资源迁移发起者转移过来的那些资源。
因此,资源迁移这一特殊场景体现在事前控制中,则是允许处于资源迁移过程中的资源被多个不同的CA实体共同所有。针对这一特殊场景的一种可行的解决方案是:只允许用于表征资源迁移过程的TAO(TransferAuthorizationObject)对象中ipAddrBlocks和asIdentifiers两个字段所指定的资源被重复分配到不同的CA实体,而其他不处于资源迁移过程中的资源仍然需要保证满足上述事前控制机制的两个条件。从而,保证事前控制机制能够兼容资源迁移这种特殊场景需求,并有效地防止CA实体资源分配过程中的错误操作。其中,ipAddrBlocks是指处于资源迁移过程中的IP地址前缀,asIdentifiers是指处于资源迁移过程中的AS(自治系统)号。
准确性和可行性:本发明所提出的这一事前控制机制是在证书签发之前必须进行的验证操作,也就是说只有同时满足上述事前控制机制的两个条件,才能进行后续的资源分配和证书签发操作,这也就确保了该机制对资源的重复分配和未获授权资源分配两种操作风险的有效检测和规避,从而保证CA资源分配、证书签发过程中CA操作的安全性和准确性。
2.事前控制机制原理实现流程
事前控制机制的原理实现流程如图5所示,采用本发明提出的事前控制机制,在进行资源分配的过程中(在证书签发之前)就会对要进行分配的资源进行检测,防止资源的重复分配和未获授权资源分配的发生:
首先是对条件<1>也就是未获授权资源分配的检查,如果在资源分配文件.csv文件中存在不属于当前CA实体的资源(通过将资源分配文件中欲分配的资源与从注册数据库中获取的当前CA实体持有的资源进行比对,判断欲分配的资源是否属于当前CA实体),则发出“UnauthorizedResourcesDetected”警告,也即“检测到未获授权的资源”警告,显示检测到的不属于当前CA实体所拥有的资源,并要求对资源分配文件进行修改。
如果条件<1>满足(即没有检测到未获授权资源分配),则进行条件<2>也就是资源的重复分配的检查,如果在资源分配文件中存在某一部分资源被两次或多次分配到不同的下级CA实体(在资源分配文件中查看欲分配给每个CA实体的资源,如果不同的CA实体对应的资源中存在重叠,则表示该资源被多次分配到不同的CA实体),则发出“ResourcesRe-AllocationDetected”警告,也即“检测到重复分配的资源”警告,显示被重复分配的资源,并要求修改资源分配文件。当资源分配文件满足事前控制的两个条件之后,才能够完成资源的正确分配和证书的签发。
本发明通过进一步的实验测试,验证、分析了这种“事前控制”机制的有效性和可行性。采用本发明提出的事前控制机制,能够在证书签发之前就有效地检测到资源重复分配和未获授权资源分配两种错误操作,从而防止错误资源证书的生成。此外,这种事前控制机制能够尽可能地减少不必要的等待操作,省去了由于错误的证书签发、RP的验证以及错误恢复所需的时间延迟。
本发明中对于资源重复分配和未获授权资源分配两种错误操作的“事前控制”,是通过判断资源分配文件中是否存在被重复分配的资源和不属于当前CA实体的资源的方式实现的。而在其他的资源分配方式中(例如通过网页接口进行资源分配和证书签发操作),这种“事前控制”可以通过逐条验证等方式实现。然而,这些不同的实现方式在本质上都是通过“事前控制”(也就是在证书签发之前进行控制)来实现的。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (5)

1.一种加强RPKI中CA证书签发安全的事前控制方法,其步骤包括:
1)在RPKI中CA实体向其下级实体进行资源分配的过程中,在CA证书签发之前,通过以下两个条件对待分配的资源进行检测:
<1>分配给下级CA实体的所有资源,必须全部从属于当前CA实体本身;
<2>满足条件<1>的所有资源,不能被分配两次或多次到不同的下级CA实体;
2)在满足步骤1)所述的两个条件之后,进行资源的分配和CA证书的签发。
2.如权利要求1所述的方法,其特征在于:在资源迁移这一应用场景中,允许处于资源迁移过程中的资源被多个不同的CA实体共同所有。
3.如权利要求2所述的方法,其特征在于:在资源迁移这一应用场景中,只允许用于表征资源迁移过程的TAO对象中ipAddrBlocks和asIdentifiers两个字段所指定的资源被重复分配到不同的CA实体,而其他不处于资源迁移过程中的资源仍然保证满足步骤1)所述的两个条件,其中ipAddrBlocks是指处于资源迁移过程中的IP地址前缀,asIdentifiers是指处于资源迁移过程中的AS号。
4.如权利要求1至3中任一权利要求所述的方法,其特征在于:步骤1)进行条件<1>即未获授权资源分配的检查时,如果在资源分配文件.csv文件中存在不属于当前CA实体的资源,则发出“检测到未获授权的资源”警告,显示检测到的不属于当前CA实体所拥有的资源,并要求对资源分配文件进行修改。
5.如权利要求4所述的方法,其特征在于:如果条件<1>满足,即没有检测到未获授权资源分配,则进行条件<2>即资源的重复分配的检查;如果在资源分配文件中存在某一部分资源被两次或多次分配到不同的下级CA实体,则发出“检测到重复分配的资源”警告,显示被重复分配的资源,并要求修改资源分配文件。
CN201610139810.4A 2016-03-11 2016-03-11 一种加强rpki中ca证书签发安全的事前控制方法 Active CN105681345B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610139810.4A CN105681345B (zh) 2016-03-11 2016-03-11 一种加强rpki中ca证书签发安全的事前控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610139810.4A CN105681345B (zh) 2016-03-11 2016-03-11 一种加强rpki中ca证书签发安全的事前控制方法

Publications (2)

Publication Number Publication Date
CN105681345A true CN105681345A (zh) 2016-06-15
CN105681345B CN105681345B (zh) 2019-06-11

Family

ID=56307597

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610139810.4A Active CN105681345B (zh) 2016-03-11 2016-03-11 一种加强rpki中ca证书签发安全的事前控制方法

Country Status (1)

Country Link
CN (1) CN105681345B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130766A (zh) * 2019-11-25 2020-05-08 广州大学 一种基于区块链的资源公钥基础设施双向授权的方法
CN111262683A (zh) * 2020-01-15 2020-06-09 中南大学 一种rpki中认证机构资源异常分配的检测方法
CN112003822A (zh) * 2020-07-15 2020-11-27 互联网域名系统北京市工程研究中心有限公司 路由起源授权的质量检测方法和装置
US20210158346A1 (en) * 2019-11-25 2021-05-27 Guangzhou University Method for certificate transaction validation of blockchain-based resource public key infrastructure

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101335618A (zh) * 2008-07-09 2008-12-31 南京邮电大学 一种使用证书对对等网节点进行评价和授权的方法
CN101984590A (zh) * 2010-03-29 2011-03-09 北京邮电大学 一种基于信任证书的网格业务资源分配和调度方法
CN102158469A (zh) * 2011-01-27 2011-08-17 电子科技大学 一种边界网关协议前缀劫持攻击防范方法
US8879392B2 (en) * 2012-04-26 2014-11-04 Hewlett-Packard Development Company, L.P. BGP security update intercepts
CN104580188A (zh) * 2014-12-29 2015-04-29 中国科学院信息工程研究所 一种在虚拟化环境中保护根ca证书的方法与系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101335618A (zh) * 2008-07-09 2008-12-31 南京邮电大学 一种使用证书对对等网节点进行评价和授权的方法
CN101984590A (zh) * 2010-03-29 2011-03-09 北京邮电大学 一种基于信任证书的网格业务资源分配和调度方法
CN102158469A (zh) * 2011-01-27 2011-08-17 电子科技大学 一种边界网关协议前缀劫持攻击防范方法
US8879392B2 (en) * 2012-04-26 2014-11-04 Hewlett-Packard Development Company, L.P. BGP security update intercepts
CN104580188A (zh) * 2014-12-29 2015-04-29 中国科学院信息工程研究所 一种在虚拟化环境中保护根ca证书的方法与系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
M.S.SIDDIQUI等: "A survey on the recent efforts of the Internet Standardization", 《COMPUTER NETWORKS》 *
马迪等: "基于本地信任锚点管理的RPKI安全运行机制研究", 《电信科学》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111130766A (zh) * 2019-11-25 2020-05-08 广州大学 一种基于区块链的资源公钥基础设施双向授权的方法
US20210158346A1 (en) * 2019-11-25 2021-05-27 Guangzhou University Method for certificate transaction validation of blockchain-based resource public key infrastructure
CN111130766B (zh) * 2019-11-25 2022-11-04 广州大学 一种基于区块链的资源公钥基础设施双向授权的方法
US11521205B2 (en) * 2019-11-25 2022-12-06 Guangzhou University Method for certificate transaction validation of blockchain-based resource public key infrastructure
CN111262683A (zh) * 2020-01-15 2020-06-09 中南大学 一种rpki中认证机构资源异常分配的检测方法
CN112003822A (zh) * 2020-07-15 2020-11-27 互联网域名系统北京市工程研究中心有限公司 路由起源授权的质量检测方法和装置
CN112003822B (zh) * 2020-07-15 2022-11-01 互联网域名系统北京市工程研究中心有限公司 路由起源授权的质量检测方法和装置

Also Published As

Publication number Publication date
CN105681345B (zh) 2019-06-11

Similar Documents

Publication Publication Date Title
Lu et al. DRRS-BC: Decentralized routing registration system based on blockchain
Li et al. A blockchain based new secure multi-layer network model for internet of things
CN105681345A (zh) 一种加强rpki中ca证书签发安全的事前控制方法
CN109714344A (zh) 基于“端-管-云”的智能网联汽车信息安全平台
CN101540676B (zh) 一种适合三元对等鉴别可信网络连接架构的平台鉴别方法
CN101714927B (zh) 内网安全综合管理的网络接入控制方法
CN106982136B (zh) 一种多域分层的多域物联网平台及多域管理方法
CN102722667B (zh) 基于虚拟数据库和虚拟补丁的数据库安全防护系统和方法
CN102035838B (zh) 一种基于平台身份的信任服务连接方法与信任服务系统
US11368450B2 (en) Method for bidirectional authorization of blockchain-based resource public key infrastructure
US11521205B2 (en) Method for certificate transaction validation of blockchain-based resource public key infrastructure
CN102158469A (zh) 一种边界网关协议前缀劫持攻击防范方法
CN108809892A (zh) 一种ip白名单生成方法和装置
US20220029988A1 (en) System and method for zero trust network security
CN108011873B (zh) 一种基于集合覆盖的非法连接判断方法
CN106888191A (zh) 等级保护多级安全互联系统及其互联方法
CN111031010A (zh) 一种基于区块链的资源公钥基础设施的证书交易告警方法
CN103051643A (zh) 云计算环境下虚拟主机安全连接动态建立方法与系统
CN115361186A (zh) 一种面向工业互联网平台的零信任网络架构
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN113194027A (zh) 面向自动化码头工业互联网的安全通信网关系统
CN112015111B (zh) 基于主动免疫机理的工业控制设备安全防护系统和方法
CN104410642B (zh) 基于arp协议的设备接入感知方法
CN113630409B (zh) 基于dns解析流量和ip流量融合分析的异常流量识别方法
CN111262683A (zh) 一种rpki中认证机构资源异常分配的检测方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant