CN110266639B - 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 - Google Patents
用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 Download PDFInfo
- Publication number
- CN110266639B CN110266639B CN201910393758.9A CN201910393758A CN110266639B CN 110266639 B CN110266639 B CN 110266639B CN 201910393758 A CN201910393758 A CN 201910393758A CN 110266639 B CN110266639 B CN 110266639B
- Authority
- CN
- China
- Prior art keywords
- traffic flow
- memory
- host
- application
- environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
在一个示例实施例中提供了一种方法,并且该方法包括:在防篡改环境中从应用接收业务流,其中防篡改环境与主机操作系统分离。该方法还包括:将安全标记应用于业务流;以及将业务流发送到服务器。在具体的实施例中,安全模块可以将与应用有关的信息添加到业务流。俘获模块可以监控存储器状况并且识别存储器状况。俘获模块还可以响应于识别出存储器状况而发起针对应用的虚拟环境;以及检查业务流的完整性。
Description
本申请为分案申请,其原申请是于2015年6月23日(国际申请日为2014年1月23日)向中国专利局提交的专利申请,申请号为201480003631.7,发明名称为“用于安全环境中的端点硬件辅助的网络防火墙的系统和方法”。
技术领域
本公开概括而言涉及网络安全领域,并且更具体地涉及使用防篡改环境来管理业务流。
背景技术
在当今社会中网络安全领域已经变得日益重要。互联网使得在世界范围内能够实现不同计算机网络的互连。然而,互联网也为恶意操作者提供了许多机会以利用这些网络。在一些实例中,一旦恶意软件(本文还称为‘malware’)已经感染了主计算机,则恶意操作者可以从远程计算机发布命令来控制恶意软件。在其他情况下,软件可以固有地被配置为执行一些动作,而不必响应于操作者的命令。恶意软件能够被配置为执行任意数量的恶意动作,诸如从主计算机发出垃圾电子邮件或恶意电子邮件,从与主计算机相关联的企业或个人盗窃敏感信息,传播到其他主计算机,和/或辅助分布式的拒绝服务攻击。在其他情况下,恶意软件能够配置为以存储盘的某些区域为目标,以便获得对主计算机及其资源的未经授权的控制。因此,有效地保护和维持稳定的计算机和系统的能力继续对部件制造商、系统设计者和网络操作者提出了巨大的挑战。
附图说明
为了提供对本公开及其特征和优点的更全面的理解,结合附图参考了下面的说明,其中相似的附图标记表示相似的元件,其中:
图1是根据实施例的网络体系结构的简化示出;
图2是根据示例性实施例的客户端和服务器的简化图;
图3是根据一个实施例的用于实现用于管理诸如利用加密、用户身份验证和密码保护方案来保护设备的动作的安全分区的简化虚拟机环境;
图4是示出了可以与用于在网络环境中发送业务流的安全引擎相关联的示例流程的简化流程图;
图5是示出了根据实施例的可以与用于俘获应用信息的俘获模块相关联的示例流程的简化流程图;
图6是示出了根据实施例的可以与用于获取应用信息的安全引擎相关联的示例流程的流程图;以及
图7是示出了根据实施例的以点对点配置进行布置的计算系统的框图。
具体实施方式
概述
在一个示例实施例中提供了一种方法,并且该方法包括:在防篡改环境中从应用接收业务流,其中防篡改环境与主机操作系统分离。该方法还包括:将安全标记应用于业务流,以及将业务流发送到服务器。
在具体实施例中,安全模块可以将与应用有关的信息添加到业务流。俘获模块可以监控主机存储器的存储器状况,识别该状况,以及响应于识别出状况而发起针对应用的虚拟环境;以及检查业务流的完整性。
示例实施例
图1示出了根据一个实施例的网络体系结构100。如所示出的,在网络体系结构100的上下文中,提供了多个网络102。网络102的每一个可以呈现为包括但不限于局域网(LAN)、无线网络、诸如互联网的广域网(WAN)、对等网络等任意形式。
与网络102耦合的是服务器104,服务器104能够经由网络102进行通信。还与服务器104和网络102耦合的是多个客户端106。这样的服务器104和/或客户端106的每一个可以包括台式计算机、膝上型计算机、手持式计算机、移动电话、平板电脑、个人数字助理(PDA)、外围设备(例如,打印机等)、计算机的任意部件、和/或能够利于进行如本文所述的端点硬件辅助的网络防火墙活动的任意类型的逻辑(或代码)。为了利于网络102当中的通信,至少一个网关108任选地耦合在它们之间。
图1的元件可以通过采用任意适合的连接(有线的或无线的)的一个或多个接口彼此耦合,所述元件为诸如业务流(网络流、网络业务、分组数据等)的电子通信提供了可使用的通路。另外,图1的这些元件中的任意一个或多个可以基于特定的配置需要而组合到体系结构中或者从体系结构中去除。
一般地,网络体系结构100可以通过包括有线通信和/或无线通信的任何适当类型或拓扑结构的网络(例如,内联网、外联网、LAN、WAN、WLAN、MAN、VLAN、VPN、蜂窝网络等)或其适当的组合来实现。在网络体系结构100中,可以根据任何适合的通信消息传输协议来发送和接收包含分组数据、帧、信号、数据等的业务流。适合的通信消息传输协议可以包括多层方案,诸如开放式系统互连(OSI)模型或其任意衍生物或变型(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。此外,还可以在网络体系结构100中提供通过蜂窝网络的无线信号通信。可以提供适当的接口和基础结构以使蜂窝网络与分组数据网络之间的通信能够实现。
分组数据是能够在分组数据交换网络上的起始地址和目的地之间进行路由的数据单位。分组数据包括源网络地址和目的地网络地址。在TCP/IP消息传输协议中,这些网络地址可以是互联网协议(IP)地址。如本文所使用的术语‘数据’是指任意类型的二进制、数值、语音、视频、文本或脚本数据、或者任意类型的源代码或目标代码,或者以可以从电子设备和/或网络中的一点到另一点通信的任何适当格式的任何其他适当的信息。此外,消息、请求、响应和询问是网络业务的形式,并且因此,可以包括分组数据、帧、信号、数据等。
本公开的一个或多个实施例识别并考虑防火墙能力,所述防火墙能力能够理解发起业务流的应用和用户是现有能力。但是,如果主机设备的操作系统(OS)受到损害,则存在固有的脆弱性。在该场景中,可能伪造与业务流相关联的带外元数据,或者将恶意代码注入合法应用,以便利用该应用通过防火墙策略并且漏出数据或者发出基于网络的攻击。
本公开的一个或多个实施例描述了一系列的技术,其通过确保应用(及其相关联的通信流)将应用的散列或图像连同过程所有者信息以及其他元数据一起从硬件直接断言到防火墙,使客户端(也称为主机或端点)的底层硬件能够将完整性断言到通信中。另外,通过防止修改,设备标识符能够通过防篡改环境来进行断言,以便确保通信源自于已知实体并且确保来自另一设备的假冒是不可能的。具有防篡改环境(或诸如VMM的监督软件)提供了完整性检查,并且网络数据的带外通信确保仅通过某些用户在特定设备上执行的经许可应用可以被防火墙准许。应用和设备可以由安全策略来进行限定。
转到图2,图2是根据示例性实施例的客户端200和服务器201的简化图。客户端200可以是任意类型的具有至少一个处理器202和至少一个存储器203的计算设备。在实施例中,客户端200包括台式计算机、膝上型计算机、或手持式和/或移动计算设备,诸如蜂窝电话、智能电话、平板式计算机、个人设备助理(PDA)、上网本,等等。客户端200还可以包括虚拟环境206和具有安全引擎210的芯片组208。
本公开的实施例可以使用安全引擎(SE)210来提供安全执行和存储环境,例如用于制止受限制软件的非授权使用的防篡改环境212。在实施例中,安全引擎210可以实现为芯片组208内的可管理性引擎(ME)硬件部件(未示出)内的功能。安全引擎210可以是运行独立固件栈的嵌入式微控制器。在其他实施例中,安全引擎210可以实现为芯片组208内的除了ME之外的电路。安全引擎210可以包括在防篡改环境212中的微控制器上运行的固件并且提供受保护以防用户级程序、操作系统或在客户端200内的处理器上运行的基本输入/输出系统(BIOS)窜改的安全存储区域。在实施例中,安全存储可以存储用来在安全标记数据库218中生成加密密钥的安全标记219。安全标记数据库218可以包括任意类型的存储器。
业务流207可以通过安全引擎210移动,以实现将与应用215有关的元数据应用并添加到业务流207以产生业务流222的目的。元数据可以是与应用215有关的信息,诸如应用215的散列/图像以及过程所有者信息。取决于特定的实现,与应用相关联的其他信息也可以包括在元数据中。通过使防篡改环境212断言业务流222与何种应用相关联,允许基础结构(例如,服务器中的防火墙)来确定允许、记录或阻挡业务流222是否适当。安全引擎210可以利用网络控制器220来在带外通信中提供该信息。通过使安全引擎210施加安全标记219,服务器201上的防火墙可以准许业务流222,因为业务流222的完整性已由安全引擎210来确保。
另外,在实施例中,在业务流207被传送到安全引擎210之前,俘获模块216可以确保业务流207的完整性。虚拟环境206可以包括防篡改环境213。在防篡改环境213内运行的是俘获模块216。俘获模块216可以被配置为监控存储器203的存储器状况。例如,如果某存储器位置被访问,则俘获模块216可以从处理器202请求对存储器203进行控制。俘获模块216可以被配置为通过访问存储器203来获得关于应用215的信息,并且将该信息发送到安全引擎210。
在另一实施例中,安全引擎210可以直接扫描存储器203并且获得关于应用215的信息。防篡改环境212可能需要理解并行主机OS 204中的虚拟存储器和分页复杂性。
在操作性术语中,并且特别是在一个实施例中,俘获模块216可以选择仅在小(但是随机)百分比的时间内执行完整性检查。这使得能够以最小开销实现完整性,并且这对于不能将未受损图像的重新安装与随机完整性检查相关的攻击者而言将是不可预测的。
本公开的一个或多个实施例认识到并考虑到每当出现诸如客人访问具体存储器位置或具体指令的执行的具体情景时,在当前防护技术中发射该虚拟俘获。在本公开的实施例中,俘获模块216可以指定当条件满足时何种时间百分比俘获应当发射。从内部,CPU核心可以产生随机号并且以当俘获被配置时以所指定的关联速率进行发射。该实施例使得能够相对于当前技术提高性能,因为除了当所要求的俘获需要满足俘获发射分布时,VMM出口不会出现。
图3示出了根据一个实施例的用于实现用于管理诸如利用加密、用户身份验证和密码保护方案来保护设备的动作的安全分区的虚拟机环境。如果平台300被虚拟化,则其可以仅包括单个处理器,但是主机上的虚拟机监控器(“VMM 330”)可以呈现主机的多个抽象物和/或视图,使得主机的底层硬件能够表现为一个或多个独立操作的虚拟机(“VM”)。VMM330可以通过软件(例如,作为独立的程序和/或主机操作系统的部件)、硬件、固件和/或其任意组合来实现。VMM 330管理在主机上的资源分配并且根据需要执行上下文切换,以根据循环法或其他预定方案在各VM之间循环。本领域普通技术人员显而易见的是,虽然仅示出了一个处理器(“处理器305”),但是本发明的实施例不受此限制,并且还可以在虚拟环境内使用多个处理器。
虽然仅示出了两个VM分区(“VM 310”和“VM 320”,下文统称为“VM”),但是这些VM仅为示例性的,并且可以将附加的虚拟机添加到主机。VM 310和VM 320可以分别充当独立包含的平台,运行其自身的“来宾操作系统”(即,由VMM 330托管的操作系统,示出为“来宾OS 311”和“来宾OS 321”,并且下文统称为“来宾OS”)以及其他软件(示出为“来宾软件312”和“来宾软件322”,下文统称为“来宾软件”)。
每一个来宾OS和/或来宾软件就好像其在专用计算机而不是虚拟机上运行一样地操作。也即,每一个来宾OS和/或来宾软件可以期望控制各种事件并且对诸如例如存储器(未示出)的平台300上的硬件资源进行访问。在每一个VM内,来宾OS和/或来宾软件可以表现得好像它们实际上在平台300的物理硬件(“主机硬件340”,其可以包括网络控制器360)上运行一样。
本领域的普通技术人员显而易见的是,具有诸如芯片组208的专用处理器的物理硬件分区可以提供高安全级。本领域的普通技术人员还显而易见的是,防篡改环境213可以在虚拟环境内实现。例如,VM 320可以专用为主机上的防篡改环境213,而VM 310在主机上运行典型的应用。在该情景中,主机可以包括或者可以不包括多个处理器。例如,如果主机包括两个处理器,则VM 320可以被分配另一个处理器,而VM 310(以及主机上的其他VM)可以共享处理器305的资源。另一方面,如果主机仅包括单个处理器,则处理器可以充当两个VM,但是VM 320仍可以通过VMM 330的配合而与主机上的其他VM隔离。出于简化的目的,在安全引擎(或可管理性引擎)环境中描述了本公开的实施例,但是可以不限于这些实施例。相反,对安全引擎、可管理性引擎(ME)、“分区”、“安全分区”、“安全性分区”和/或“管理分区”的任何提及应当包括任何物理的和/或虚拟的分区(如上所述)。
在俘获模块216识别出由系统、用户、制造商或某些其他实体指定的存储器状况时,VMM 330将应用215分配给VM 310或320。为了在诸如图3所描述的虚拟环境中的防篡改环境213内执行审计,VMM 330针对VM 310和320中的每一个来管理审计屏蔽简档。当设备被分配给VM 310或320时,用于VM的相应的审计屏蔽简档与防篡改环境213相关联。每当与防篡改环境213相关联的VM审计屏蔽简档改变时,VMM 330生成审计事件记录。以这种方式,发起可审计事件的VM在审计事件记录中呈现。例如,如果VM 310发出存储I/O命令,则在审计事件记录中识别出VM 310。
转向图4,流程示出了可以与用于在网络环境中发送业务流的安全引擎210相关联的示例流程400。在实施例中,流程400表示由客户端200中的安全引擎210执行的一项或多项活动。
流程400可以开始于402,当安全引擎210在防篡改环境中从应用接收业务流时。业务流可以在主机操作系统内通过应用来生成。在一个或多个实施例中,如果应用是可疑应用,则业务流可以仅通过安全引擎210来进行路由。在其他实施例中,来自任何应用的任意业务流可以通过安全引擎210来进行路由。在不同的实施例中,如果业务流在列表上或者不在另一列表上,则该业务流可以通过安全引擎210来进行路由。
在404,安全引擎210可以将安全标记应用于业务流。安全标记可以向业务流的接收者指示,该业务流来自所指示的源。在一个或多个实施例中,安全标记可以从增强的隐私标识中获得,以证实防篡改环境可信。防篡改环境可以证实其为可信的特定类型的防篡改环境。增强的隐私标识可以是加密方案,其能够实现硬件设备的远程验证,同时保留设备所有者的隐私。当安全引擎210应用安全标记时,安全引擎210可以利用公共密钥加密来对元数据进行数字签名。数字签名是用于验证数字消息或文档的真实性的数学方案。公共密钥加密是指需要两个单独的密钥的加密系统,其中一个是私有的,而另一个是公共的。虽然不同,但是密钥对的两个部分在数学上是关联的。一个密钥对明文进行锁定或加密,而另一个密钥对密文进行解锁或解密。任一密钥都不能通过其自身来执行两种功能。公共密钥可以在不损害安全性的情况下被公开,而私有密钥一定不能呈现给未被授权阅读该消息的任何人。
在406,安全引擎210可以将与应用有关的信息添加到业务流。该信息可以是与应用有关的元数据。另外,406可以发生在流程400中的其他点。例如,406可以发生在404之前以及402之后。
在408,安全引擎210可以将业务流发送到服务器。安全引擎210可以使用位于防篡改环境内的网络控制器来发送业务流。在另一实施例中,安全引擎210可以对业务流进行加密并且将其发送到位于防篡改环境之外的另一网络控制器。
图5是示出了根据实施例的可以与用于俘获应用信息的俘获模块相关联的示例流程的简化流程图。在实施例中,流程500表示在客户端300中通过俘获模块216执行的一项或多项活动。
流程500可以开始于502,当俘获模块216可以监控由应用正在访问的存储器的存储器状况时。在一个或多个实施例中,俘获模块216可以监控存储器的与用来发送/传输存储器状况的数据的缓冲区相关联的区域。存储器可以是客户端(主机)存储器。
在504,俘获模块216可以识别存储器状况。在506中,俘获模块216可以针对应用发起虚拟环境。当发起虚拟环境时,可以发射虚拟化俘获。在一个或多个实施例中,仅当基于配置的概率配置来断言状况时,才可以发射虚拟化俘获。概率配置可以是由制造商、用户动态地、随机地或者通过某些其他方法阐述的策略。在508,俘获模块216可以检查业务流的完整性。
在操作术语中,在实施例中,当应用215经由网络连接来发送或接收业务流时,能够通过诸如虚拟化技术的技术来俘获硬件和驱动器堆栈处理事件。能够建立在网络上俘获的配置,并且防篡改环境213中的俘获模块216能够分析对发送/接收业务流207的应用215进行分析。防篡改环境213可以在虚拟环境206或者相似的软件解决方案或安全引擎内。当发生俘获时,与网络交互的应用215将在处理器202的上下文中,这使得扫描和证实更容易。
图6是示出了根据实施例的可以与用于获得应用信息的安全引擎210相关联的示例流程600的流程图。在实施例中,流程600表示由客户端200中的安全引擎210执行的一项或多项活动。
流程600可以开始于602,当安全引擎210监控由应用正在访问的存储器的存储器状况时。在604,安全引擎210可以识别存储器状况。在606,安全引擎210可以针对完整性来扫描存储器。
在操作术语中,在实施例中,安全引擎210能够直接地扫描/查看存储器203并且在平台上独立地创建对所有可执行指令的映射和评估。在该情况下,防篡改环境212可能需要与OS并行地理解虚拟存储器和分页复杂性。
图7示出了根据实施例的以点对点(PtP)配置进行布置的计算系统700。特别地,图7示出了一种系统,其中通过多个点对点接口将处理器、存储器、和输入/输出设备进行互连。一般地,通信系统10的网络元件可以以与计算系统700相同或相似的方式来配置。例如,如本文所述的,客户端200和服务器201的每一个可以为计算系统,诸如示例性计算系统700。
如图7所示,系统700可以包括多个处理元件,其中为清晰起见仅示出了两个处理元件770和780。虽然仅示出了两个处理元件770和780,但是应当理解的是系统700的实施例还可以包括仅一个这样的处理元件。处理元件770和780的每一个可以包括执行程序的多个线程的处理器核774a和784a。处理器770和780的每一个还可以包括与存储器元件732和734进行通信的集成存储器控制器逻辑(MC)772和782。存储器元件732和/或734可以存储各种数据。在可替代的实施例中,存储器控制器逻辑772和782可以是与处理元件770和780分离的分立逻辑。
处理元件770和780可以是任意类型的处理元件(本文也称为‘处理器’)。处理元件770和780可以分别利用点对点接口电路778和788经由点对点(PtP)接口750来交换数据。处理元件770和780的每一个可以利用点对点接口电路776、786、794和798经由单个的点对点接口722和724与芯片组790交换数据。芯片组790还可以利用可以为PtP接口电路的接口电路792经由高性能图形接口739来与高性能图形电路738交换数据。在可替代的实施例中,图7所示的任意的或全部的PtP链路可以被实现为多点分支总线,而不是PtP链路。
如图7所示,处理元件770和780中的每一个可以是多核处理器,包括第一处理器核和第二处理器核(即,处理器核774a和774b以及处理器核784a和784b)。这样的核可以被配置为以与上文参考图1-6所述的相似的方式来执行指令代码。每一个处理元件770、780可以包括至少一个共享高速缓存796。共享高速缓存771、781可以存储由诸如核774a、774b、784a和784b的处理器元件770、780的一个或多个部件使用的数据(例如,指令)。
芯片组790可以经由接口电路796来与总线720通信。总线716可以具有经由其通信的一个或多个设备,诸如总线桥718和I/O设备716。通过总线710,总线桥718可以与其它设备进行通信,所述其它设备诸如键盘/鼠标712(或者诸如触摸屏、跟踪球等其他输入设备)、通信设备726(诸如调制解调器、网络接口设备或可以通过计算机网络通信的其他类型的通信设备)、音频I/O设备714和/或数据存储设备728。数据存储设备728可以存储代码730,代码730可以通过处理元件770和/或780来执行。在可选的实施例中,总线体系结构的任意部分可以利用一个或多个PtP链路来实现。
在一个示例实现中,通信系统10的网络元件可以包括软件,以便实现本文所概述的防篡改环境。这些活动可以由各种模块(例如,俘获模块216、和/或安全引擎210等)实施,这些模块可以通过任何适当的方式进行组合,并且这些模块可以基于特定的配置和/或供应需要。在其他实施例中,这些防篡改环境可以在这些元件的外部执行,或者包括在某其他网络元件中以实现该预期功能。在另外的实施例中,客户端200中的元件可以包括该软件(或往复式软件),该软件能够与其他网络元件协同以便实现如本文所概述的操作。此外,模块能够被实现为软件、硬件、固件或其任意适合的组合。
注意的是,在一些示例实现中,本文概述的防篡改环境可以通过在一个或多个有形的、非暂时性介质中编码的逻辑(例如,在专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、待由处理器(例如,处理元件770、780)执行的软件(可能包含目标代码和源代码)、或其他类似的机器等)来实现。在这些实例中的一些实例中,一个或多个存储器元件(如图7所示)能够存储用于本文所述的操作的数据。这包括能够存储被执行以实施在本说明书中描述的活动的软件、逻辑、代码或处理器指令的存储器元件。
处理器(如图7所示)能够执行与实现如本说明书中在此详述的操作的数据相关联的任意类型的指令。在一个示例中,处理器可以将元件或物品(例如,数据)从一种状况或事物变换成另一状况或事物。在另一示例中,在此概述的活动可以通过固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文所标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM))或包括数字逻辑、软件、代码、电子指令或其任意适合的组合的ASIC。在本说明书中描述的任意可能的处理元件、模块和机器应当被解释为包含在宽泛术语‘处理器’内。
客户端200中的网络元件可以进一步将待用于实现如本文所述的相关活动的信息保存在任何适合的存储器元件(随机存取存储器(RAM)、只读存储器(ROM)、EPROM、EEPROM、ASIC等)、软件、硬件、或者适当的以及基于特定需要的任何其他适合的部件、设备、元件或对象中。而且,在客户端200中使用、跟踪、发送或接收到的信息可以被提供在任意的数据库、寄存器、队列、表格、高速缓存或其他存储结构中,所有这些可以以任何适合的时间表来提供。任意的存储器项或存储选项可以包括在如本文所使用的宽泛术语‘存储器元件’内。
值得注意的是,通过本文提供的示例,可以以两个、三个或更多的网络元件的形式来描述交互。但是,这仅是为了清晰和示例的目的而进行。在一些情况下,可以更易于通过仅参考有限数量的网络元件来描述既定组流程的一项或多项功能。应当理解的是,客户端200及其教导是易于可升级的并且能够容纳大量的部件,以及更多复杂的/尖端的布置和配置。因此,所提供的示例不应限制范围或抑制如可能应用于多种其他体系结构的客户端200的宽泛教导。
还值得注意的是,前面的流程图中的步骤仅示出了可以由客户端200执行或者在客户端200内执行的可能的防篡改环境中的一些。可以适当地删除或去除这些步骤中的一些步骤,或者可以适当地修改或更改这些步骤,而不偏离本公开的范围。另外,已经描述了与一个或多个附加的操作同时执行的多个这样的操作或者与一个或多个附加的操作并行地执行的多个这样的操作。但是,这些操作的时序可以适当地改变。为了示例和论述的目的而提供了前面的操作流程。客户端200提供了实质上的灵活性,这是因为可以在不偏离本公开的教导的情况下提供任何适合的布置、按时间顺序编制、配置和时序机制。
虽然已经参考特定的布置和配置详细地描述了本公开,但是这些示例配置和布置可以进行大幅地改变,而不偏离本公开的范围。而且,一些部件可以基于特定的需要和实现来进行组合、分离、消除或添加。例如,网络控制器220可以与芯片组208分离。还可以组合数据存储元件。另外,虽然已经参考利于通信过程的特定的元件和操作示出了客户端200,但是这些元件和操作可以由实现客户端200的预期功能的任何适合的体系结构、协议、和/或过程来替代。
虽然已经参考有限数量的实施例描述了本发明,但是本领域的技术人员将意识到由其得出的多个改进例和变型例。目的在于使随附的权利要求书涵盖落在本发明的真正的精神和范围内的所有这样的改进例和变型例。
下面的示例属于根据本说明书的实施例。一个或多个实施例可以提供一种方法,包括:在防篡改环境中从应用接收业务流,其中防篡改环境与主机的操作系统分离;将安全标记应用于业务流;以及将业务流发送到服务器。
在一个实施例的示例中,安全标记从增强的隐私标识获得以证实防篡改环境可信。
在一个实施例的示例中,安全标记由防篡改环境获得,其中业务流包括元数据,并且其中将安全标记应用于业务流包括利用公共密钥加密来对元数据进行数字签名。
在一个实施例的示例中,该方法还包括:将与应用有关的信息添加到业务流。
在一个实施例的示例中,该方法还包括:针对存储器状况来监控主机的存储器;识别存储器状况;响应于识别出存储器状况,发起针对应用的虚拟环境;以及检查业务流的完整性。
在一个实施例的示例中,该方法还包括:针对存储器状况来监控主机的存储器;识别存储器状况;以及响应于识别出存储器状况,针对完整性扫描存储器。
在一个实施例的示例中,监控存储器状况包括监控存储器的与用于发送存储器状况的数据的缓冲区相关联的区域。
在一个实施例的示例中,发起针对应用的虚拟环境包括:响应于识别出状况而随机地发起针对应用的虚拟环境。
在一个实施例的示例中,发起针对应用的虚拟环境包括:仅当基于配置的概率配置对条件进行断言时,才发射虚拟俘获。
在一个实施例的示例中,检查业务流的完整性包括:随机地检查业务流的完整性。
一个或多个实施例可以提供至少一个非暂时性计算机可读介质,其包括用于执行的代码并且所述代码当由处理器执行时可操作用于实施操作,所述操作包括:在防篡改环境中从应用接收业务流,其中防篡改环境与主机的操作系统分离;将安全标记应用于业务流;以及将业务流发送到服务器。
在一个实施例的示例中,安全标记从增强的隐私标识获得以证实防篡改环境可信。
在一个实施例的示例中,安全标记由防篡改环境获得,其中业务流包括元数据,并且其中将安全标记应用于业务流的代码包括利用公共密钥加密来对元数据进行数字签名的代码。
在一个实施例的示例中,处理器可操作用于执行另外的操作,包括将与应用有关的信息添加到业务流。
在一个实施例的示例中,处理器可操作用于执行另外的操作,包括:针对存储器状况来监控主机的存储器;识别存储器状况;响应于识别出存储器状况,发起针对应用的虚拟环境;以及检查业务流的完整性。
在一个实施例的示例中,处理器可操作用于执行另外的操作包括:针对存储器状况来监控主机的存储器;识别存储器状况;响应于识别出存储器状况,针对完整性扫描存储器。
在一个实施例的示例中,用于监控存储器状况的代码包括用于监控存储器的与用来发送存储器状况的数据的缓冲区相关联的区域的代码。
一个或多个实施例可以提供一种装置,包括:存储器元件,其被配置为存储数据;处理器,其可操作用于执行与所述数据相关联的指令;以及安全引擎,其被配置为与存储器元件和处理器进行连接以用于:在防篡改环境中从应用接收业务流,其中防篡改环境与主机的操作系统分离;将安全标记应用于业务流;以及将业务流发送到服务器。
在一个实施例的示例中,该装置还包括俘获模块,该俘获模块被配置为:针对存储器状况来监控主机的存储器;识别存储器状况;响应于识别出存储器状况,发起针对应用的虚拟环境;以及检查业务流的完整性。
在一个实施例的示例中,安全引擎进一步被配置为:针对存储器状况来监控主机的存储器;识别存储器状况;以及响应于识别出存储器状况,针对完整性扫描存储器。
在一个实施例的示例中,安全标记从增强的隐私标识获得以证实防篡改环境可信。
在一个实施例的示例中,安全标记由防篡改环境获得,其中业务流包括元数据,并且其中将安全标记应用于业务流包括利用公共密钥加密来对元数据进行数字签名。
在一个实施例的示例中,方法、介质和/或装置还包括将与应用有关的信息添加到业务流。
在一个实施例的示例中,方法、介质和/或装置还包括:针对存储器状况来监控主机的存储器;识别存储器状况;响应于识别出存储器状况,发起针对应用的虚拟环境;以及检查业务流的完整性。
在一个实施例的示例中,方法、介质和/或装置还包括:针对存储器状况来监控主机的存储器;识别存储器状况;以及响应于识别出存储器状况,针对完整性扫描存储器。
在一个实施例的示例中,监控存储器状况包括监控存储器的与用来发送存储器状况的数据的缓冲区相关联的区域。
在一个实施例的示例中,发起针对应用的虚拟环境包括:响应于识别出状况,随机地发起针对应用的虚拟环境。
在一个实施例的示例中,发起针对应用的虚拟环境包括:仅当基于配置的概率配置来对状况进行断言时,才发射虚拟俘获。
在一个实施例的示例中,检查业务流的完整性包括随机地检查业务流的完整性。
Claims (20)
1.一种用于使用防篡改环境来管理业务流的方法,包括:在主机上的防篡改环境处从所述主机的虚拟环境接收与在所述主机上执行的应用相关联的信息;在所述防篡改环境处从所述应用接收业务流,其中,所述防篡改环境与所述主机的操作系统分离;通过将安全标记应用于接收的业务流并且通过将所述信息添加到所述接收的业务流来创建修改的业务流;并且将所述修改的业务流发送到服务器。
2.如权利要求1所述的方法,其中,所述安全标记是从增强的隐私标识得到的,以证明所述防篡改环境是能够相信的。
3.如权利要求1所述的方法,其中,所述安全标记是由所述防篡改环境得到的,其中,添加到所述接收的业务流的所述信息包括元数据,并且其中,将所述安全标记应用于所述接收的业务流包括:利用公共密钥加密来对所述元数据进行数字签名。
4.如权利要求1所述的方法,还包括:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;基于识别出所述存储器状况将所述应用分配给所述虚拟环境中的虚拟机;在所述虚拟环境中捕获与所述业务流相关联的处理事件;以及在所述业务流被传送到所述防篡改环境之前检查所述业务流的完整性。
5.如权利要求1所述的方法,还包括:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;并且基于识别出所述存储器状况,针对完整性来扫描所述存储器。
6.如权利要求4所述的方法,其中,监控所述存储器状况包括:监控所述存储器的与用于发送针对所述存储器状况的数据的缓冲区相关联的区域。
7.如权利要求4所述的方法,其中,发起针对所述应用的虚拟环境包括:基于识别出所述存储器状况,随机地将所述应用分配给所述虚拟机。
8.如权利要求4所述的方法,其中,在所述业务流被传送到所述防篡改环境之前检查所述业务流的完整性包括:随机地检查所述业务流的完整性。
9.至少一个包括用于执行的代码的非暂时性计算机可读介质,并且所述代码当由处理器执行时能够操作用于执行包括如下的操作:在主机上的防篡改环境处从所述主机上的虚拟环境接收与在所述主机上执行的应用相关联的信息;在所述防篡改环境处从所述应用接收业务流,其中,所述防篡改环境与所述主机的操作系统分离;通过将安全标记应用于接收的业务流并且通过将所述信息添加到所述接收的业务流来创建修改的业务流;并且将所述修改的业务流发送到服务器。
10.如权利要求9所述的计算机可读介质,其中,所述安全标记是从增强的隐私标识中得到的,以证实所述防篡改环境是能够相信的。
11.如权利要求9所述的计算机可读介质,其中,所述安全标记是由所述防篡改环境得到的,其中,添加到所述接收的业务流的所述信息包括元数据,并且其中,将所述安全标记应用于所述接收的业务流的代码包括用于以下的代码:利用公共密钥加密来对所述元数据进行数字签名。
12.如权利要求9所述的计算机可读介质,其中,所述代码在由所述处理器执行时能够操作用于执行进一步的操作,包括:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;基于识别出所述存储器状况将所述应用分配给所述虚拟环境中的虚拟机;在所述虚拟环境中捕获与所述业务流相关联的处理事件;以及在所述业务流被传送到所述防篡改环境之前检查所述业务流的完整性。
13.如权利要求9所述的计算机可读介质,其中,所述代码在由所述处理器执行时能够操作用于执行进一步的操作,包括:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;并且基于识别出所述存储器状况,针对完整性来扫描所述存储器。
14.如权利要求12所述的计算机可读介质,其中,用于监控所述存储器状况的代码,当由所述处理器执行时能够操作用于执行进一步的操作,包括:监控所述存储器的与用于发送针对所述存储器状况的数据的缓冲区相关联的区域。
15.如权利要求12所述的计算机可读介质,其中,所述代码在由所述处理器执行时能够操作用于执行进一步的操作,包括:通过基于识别出所述存储器状况,随机地将所述应用分配给所述虚拟机来发起针对所述应用的虚拟环境。
16.如权利要求12所述的计算机可读介质,其中,所述代码在由所述处理器执行时能够操作用于执行进一步的操作,包括:仅当基于配置的概率配置而对状况进行断言时,才发射虚拟化俘获。
17.如权利要求12所述的计算机可读介质,其中,在所述业务流被传送到所述防篡改环境之前检查所述业务流的完整性包括:随机地检查所述业务流的完整性。
18.一种用于使用防篡改环境来管理业务流的装置,包括:存储器元件,其被配置为存储数据;处理器,其能够操作用于执行与所述数据相关联的指令;以及安全引擎,其被配置为与所述存储器元件和所述处理器接合,以用于:从主机的虚拟环境接收与在所述主机上执行的应用相关联的信息;在所述防篡改环境处从所述应用接收业务流,其中,所述防篡改环境与所述主机的操作系统分离;通过将安全标记应用于接收的业务流并且通过将所述信息添加到所述接收的业务流来创建修改的业务流;并且将所述修改的业务流发送到服务器。
19.如权利要求18所述的装置,还包括:俘获模块,其被配置为:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;基于识别出所述存储器状况来将所述应用分配给所述虚拟环境中的虚拟机;在所述虚拟环境中俘获与所述业务流相关联的处理事件;以及在所述业务流被传送到所述防篡改环境之前检查所述业务流的完整性。
20.如权利要求18所述的装置,其中,所述安全引擎还被配置为:针对存储器状况来监控所述主机的存储器;识别出所述存储器状况;并且基于识别出所述存储器状况,针对完整性来扫描所述存储器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/748,578 | 2013-01-23 | ||
| US13/748,578 US9560014B2 (en) | 2013-01-23 | 2013-01-23 | System and method for an endpoint hardware assisted network firewall in a security environment |
| CN201480003631.7A CN104871484B (zh) | 2013-01-23 | 2014-01-23 | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480003631.7A Division CN104871484B (zh) | 2013-01-23 | 2014-01-23 | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110266639A CN110266639A (zh) | 2019-09-20 |
| CN110266639B true CN110266639B (zh) | 2021-12-14 |
Family
ID=51208833
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480003631.7A Active CN104871484B (zh) | 2013-01-23 | 2014-01-23 | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 |
| CN201910393758.9A Active CN110266639B (zh) | 2013-01-23 | 2014-01-23 | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480003631.7A Active CN104871484B (zh) | 2013-01-23 | 2014-01-23 | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9560014B2 (zh) |
| EP (2) | EP3736720B1 (zh) |
| KR (1) | KR101713045B1 (zh) |
| CN (2) | CN104871484B (zh) |
| WO (1) | WO2014116769A1 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9560014B2 (en) | 2013-01-23 | 2017-01-31 | Mcafee, Inc. | System and method for an endpoint hardware assisted network firewall in a security environment |
| RU2531861C1 (ru) * | 2013-04-26 | 2014-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса |
| US20170070521A1 (en) * | 2015-09-05 | 2017-03-09 | Nudata Security Inc. | Systems and methods for detecting and scoring anomalies |
| US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| US10547594B2 (en) | 2017-08-17 | 2020-01-28 | Domanicom Corporation | Systems and methods for implementing data communication with security tokens |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| US11934540B2 (en) | 2018-05-28 | 2024-03-19 | Royal Bank Of Canada | System and method for multiparty secure computing platform |
| DE102018120344A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| US10999251B2 (en) | 2018-09-28 | 2021-05-04 | Juniper Networks, Inc. | Intent-based policy generation for virtual networks |
| US10833949B2 (en) | 2018-11-20 | 2020-11-10 | Amazon Technologies, Inc | Extension resource groups of provider network services |
| US12106132B2 (en) | 2018-11-20 | 2024-10-01 | Amazon Technologies, Inc. | Provider network service extensions |
| US11520530B2 (en) | 2019-09-24 | 2022-12-06 | Amazon Technologies, Inc. | Peripheral device for configuring compute instances at client-selected servers |
| US11064017B2 (en) | 2019-09-24 | 2021-07-13 | Amazon Technologies, Inc. | Peripheral device enabling virtualized computing service extensions |
| US11650869B2 (en) | 2019-11-27 | 2023-05-16 | Amazon Technologies, Inc. | Quantum computing service with local edge devices supporting multiple quantum computing technologies |
| US11605016B2 (en) | 2019-11-27 | 2023-03-14 | Amazon Technologies, Inc. | Quantum computing service supporting local execution of hybrid algorithms |
| US11704715B2 (en) | 2019-11-27 | 2023-07-18 | Amazon Technologies, Inc. | Quantum computing service supporting multiple quantum computing technologies |
| US11605033B2 (en) | 2019-11-27 | 2023-03-14 | Amazon Technologies, Inc. | Quantum computing task translation supporting multiple quantum computing technologies |
| US11569997B1 (en) | 2020-03-09 | 2023-01-31 | Amazon Technologies, Inc. | Security mechanisms for data plane extensions of provider network services |
| EP4211586A4 (en) * | 2020-09-11 | 2024-09-18 | Royal Bank Of Canada | SYSTEM AND METHOD FOR SECURE MULTI-PARTY COMPUTER PLATFORM |
| KR20220039905A (ko) | 2020-09-21 | 2022-03-30 | 이재욱 | 인공신경망 기반의 업무 시점에 맞춘 엔드포인트 보안을 위한 장치 및 이를 위한 방법 |
| US11893597B2 (en) | 2021-03-22 | 2024-02-06 | Royal Bank Of Canada | System and method for loading secure data in multiparty secure computing environment |
| US11977957B2 (en) | 2021-08-03 | 2024-05-07 | Amazon Technologies, Inc. | Quantum computing program compilation using cached compiled quantum circuit files |
| US11797276B1 (en) | 2021-09-30 | 2023-10-24 | Amazon Technologies, Inc. | Assisted composition of quantum algorithms |
| US11870642B2 (en) | 2021-10-04 | 2024-01-09 | Juniper Networks, Inc. | Network policy generation for continuous deployment |
| US11907092B2 (en) | 2021-11-12 | 2024-02-20 | Amazon Technologies, Inc. | Quantum computing monitoring system |
| US20230418930A1 (en) * | 2022-06-22 | 2023-12-28 | Arm Limited | Methods and apparatus for managing trusted devices |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US6931545B1 (en) | 2000-08-28 | 2005-08-16 | Contentguard Holdings, Inc. | Systems and methods for integrity certification and verification of content consumption environments |
| US6782477B2 (en) * | 2002-04-16 | 2004-08-24 | Song Computer Entertainment America Inc. | Method and system for using tamperproof hardware to provide copy protection and online security |
| US7559082B2 (en) | 2003-06-25 | 2009-07-07 | Microsoft Corporation | Method of assisting an application to traverse a firewall |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
| US8121146B2 (en) | 2005-09-21 | 2012-02-21 | Intel Corporation | Method, apparatus and system for maintaining mobility resistant IP tunnels using a mobile router |
| GB0603781D0 (en) * | 2006-02-24 | 2006-04-05 | Nokia Corp | Application verification |
| US7944834B2 (en) * | 2006-03-06 | 2011-05-17 | Verizon Patent And Licensing Inc. | Policing virtual connections |
| US7845009B2 (en) | 2006-05-16 | 2010-11-30 | Intel Corporation | Method and apparatus to detect kernel mode rootkit events through virtualization traps |
| US8584109B2 (en) * | 2006-10-27 | 2013-11-12 | Microsoft Corporation | Virtualization for diversified tamper resistance |
| US8856782B2 (en) | 2007-03-01 | 2014-10-07 | George Mason Research Foundation, Inc. | On-demand disposable virtual work system |
| EP1975830A1 (en) | 2007-03-30 | 2008-10-01 | British Telecommunications Public Limited Company | Distributed computer system |
| WO2009022333A2 (en) | 2007-08-13 | 2009-02-19 | Aladdin Knowledge Systems Ltd. | Virtual token for transparently self-installing security environment |
| US20090323128A1 (en) | 2008-06-27 | 2009-12-31 | Hari Asuri | System, method, and computer program product for scanning |
| CN101478533B (zh) * | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN101610264B (zh) * | 2009-07-24 | 2011-12-07 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| US8490189B2 (en) * | 2009-09-25 | 2013-07-16 | Intel Corporation | Using chipset-based protected firmware for host software tamper detection and protection |
| US9087188B2 (en) | 2009-10-30 | 2015-07-21 | Intel Corporation | Providing authenticated anti-virus agents a direct access to scan memory |
| US20110154023A1 (en) | 2009-12-21 | 2011-06-23 | Smith Ned M | Protected device management |
| EP2388728A1 (en) | 2010-05-17 | 2011-11-23 | Gemalto SA | Security token for securely executing an application on a host computer |
| US8477610B2 (en) * | 2010-05-31 | 2013-07-02 | Microsoft Corporation | Applying policies to schedule network bandwidth among virtual machines |
| US9350705B2 (en) * | 2010-06-25 | 2016-05-24 | Salesforce.Com, Inc. | Methods and systems for providing a token-based application firewall correlation |
| US8516551B2 (en) * | 2010-07-28 | 2013-08-20 | Intel Corporation | Providing a multi-phase lockstep integrity reporting mechanism |
| US9087199B2 (en) | 2011-03-31 | 2015-07-21 | Mcafee, Inc. | System and method for providing a secured operating system execution environment |
| US8661246B1 (en) * | 2012-04-09 | 2014-02-25 | Rockwell Collins, Inc. | System and method for protecting certificate applications using a hardened proxy |
| US9560014B2 (en) | 2013-01-23 | 2017-01-31 | Mcafee, Inc. | System and method for an endpoint hardware assisted network firewall in a security environment |
-
2013
- 2013-01-23 US US13/748,578 patent/US9560014B2/en active Active
-
2014
- 2014-01-23 KR KR1020157016622A patent/KR101713045B1/ko active IP Right Grant
- 2014-01-23 EP EP20182290.5A patent/EP3736720B1/en active Active
- 2014-01-23 EP EP14743962.4A patent/EP2949077B8/en active Active
- 2014-01-23 WO PCT/US2014/012642 patent/WO2014116769A1/en active Application Filing
- 2014-01-23 CN CN201480003631.7A patent/CN104871484B/zh active Active
- 2014-01-23 CN CN201910393758.9A patent/CN110266639B/zh active Active
-
2017
- 2017-01-06 US US15/400,311 patent/US10103892B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2949077A1 (en) | 2015-12-02 |
| KR20150090154A (ko) | 2015-08-05 |
| CN104871484B (zh) | 2019-04-16 |
| US9560014B2 (en) | 2017-01-31 |
| EP2949077B1 (en) | 2020-12-30 |
| EP2949077A4 (en) | 2016-07-06 |
| US10103892B2 (en) | 2018-10-16 |
| EP2949077B8 (en) | 2021-03-10 |
| CN104871484A (zh) | 2015-08-26 |
| US20140208413A1 (en) | 2014-07-24 |
| WO2014116769A1 (en) | 2014-07-31 |
| EP3736720B1 (en) | 2021-10-20 |
| CN110266639A (zh) | 2019-09-20 |
| US20170126413A1 (en) | 2017-05-04 |
| KR101713045B1 (ko) | 2017-03-07 |
| EP3736720A1 (en) | 2020-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110266639B (zh) | 用于安全环境中的端点硬件辅助的网络防火墙的系统和方法 | |
| Khan | A survey of security issues for cloud computing | |
| RU2738021C2 (ru) | Система и способы для дешифрования сетевого трафика в виртуализированной среде | |
| US10742624B2 (en) | Sentinel appliance in an internet of things realm | |
| US9231976B2 (en) | Creating and managing a network security tag | |
| Jamil et al. | Security issues in cloud computing and countermeasures | |
| US11171985B1 (en) | System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints | |
| Xu et al. | Data-provenance verification for secure hosts | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| JP2015531928A (ja) | セキュアな計算環境を提供するシステム及び方法 | |
| Varadharajan et al. | Counteracting security attacks in virtual machines in the cloud using property based attestation | |
| Mukherjee et al. | Security and privacy issues and solutions for fog | |
| US10440038B2 (en) | Configuration management for network activity detectors | |
| Gu et al. | Secure mobile cloud computing and security issues | |
| Manaa | Data encryption scheme for large data scale in cloud computing | |
| Varadharajan et al. | TREASURE: Trust enhanced security for cloud environments | |
| Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment | |
| Oktay et al. | Circular chain VM protection in AdjointVM | |
| Abd et al. | Using energy efficient security technique to protect live virtual machine migration in cloud computing infrastructure | |
| Babu et al. | A secure virtualized cloud environment with pseudo-hypervisor IP based technology | |
| Kumar | Possible solutions on security and privacy issues in fog computing | |
| Patidar et al. | An efficient approach for cloud computing based on hierarchical secure paravirtualization system resource model | |
| Dumka et al. | Security and Challenges in Mobile Cloud Computing | |
| Mukherjee et al. | A noble approach toward security implementation in cloud virtualization framework | |
| WO2024107088A1 (en) | Methods and network devices for supporting integrity verification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: MCAFEE, Inc. Address before: California, USA Applicant before: MCAFEE, Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230807 Address after: California, USA Patentee after: MASA ROBRA USA LLC Address before: California, USA Patentee before: MCAFEE, Inc. |
|
| TR01 | Transfer of patent right |