CN115102720B - 虚拟机安全管理方法、系统和计算机设备 - Google Patents

虚拟机安全管理方法、系统和计算机设备 Download PDF

Info

Publication number
CN115102720B
CN115102720B CN202210609631.8A CN202210609631A CN115102720B CN 115102720 B CN115102720 B CN 115102720B CN 202210609631 A CN202210609631 A CN 202210609631A CN 115102720 B CN115102720 B CN 115102720B
Authority
CN
China
Prior art keywords
access request
virtual machine
security management
security
management platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210609631.8A
Other languages
English (en)
Other versions
CN115102720A (zh
Inventor
张彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202210609631.8A priority Critical patent/CN115102720B/zh
Publication of CN115102720A publication Critical patent/CN115102720A/zh
Application granted granted Critical
Publication of CN115102720B publication Critical patent/CN115102720B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及一种虚拟机安全管理方法、系统和计算机设备。所述方法包括:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,及安全管理员对应所述虚拟机的操作权限,将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。基于云安全管理平台的特定性需求生成切面拦截器,基于云安全管理平台以虚拟机为核心的特点,直接对应地建立起用户‑虚拟机之间的逻辑关系,直接、高效地提升了云安全管理平台的安全性。

Description

虚拟机安全管理方法、系统和计算机设备
技术领域
本申请涉及信息安全技术领域,特别是涉及一种虚拟机安全管理方法、系统和计算机设备。
背景技术
随着社会科技的发展,人们对于网络安全和主机安全的重视度越来越高,特别是在云化领域,安全管理平台在日常的安全运维中扮演着重要的作用。
现有技术中,为了确保云安全管理平台可以安全运行通常会借助外部代理的方式,即采用与系统本身的业务程序相互区分的代理程序,虽然在一定程度上确保云安全管理平台的安全运行,但是却存在许多弊端,其弊端主要表现在以下几点。首先,采用外部代理程序势必会增加多余的系统组件,会增加业务管理信息系统的复杂性;其次,代理程序的稳定性较差,一旦代理程序崩溃业务管理信息系统也无法正常安全运行;然后,本领域的技术人员在提升业务管理信息系统的安全性时,一味地追求代理程序的通用性,而不考虑业务管理信息系统的健壮性、稳定性和可读性,导致业务管理信息系统抵御非法攻击的能力大大降低;最后,代理程序与业务管理信息系统的个体匹配度低,无法实现与业务管理信息系统实现动态匹配,即现有的代理程序会处理很多原本不需要数据验证的请求,从而会导致业务管理信息系统处理速度减慢。
因此,急需提出一种能够提升云安全管理平台安全性、降低分离逻辑带来的风险的虚拟机安全管理方法、系统和计算机设备。
发明内容
基于此,有必要针对上述技术问题,提供一种能够提升云安全管理平台安全性的虚拟机安全管理方法、系统和计算机设备。
一方面,提供一种虚拟机安全管理方法,所述方法应用于云安全管理平台,所述云安全管理平台包括至少一个虚拟机,所述方法还包括:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
在其中一个实施例中,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求前,所述方法还包括:实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;若监测到所述用户发送访问请求至所述云安全管理平台,则判断所述用户是否为安全管理员;若所述用户为安全管理员,则基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;若所述用户不为安全管理员,则发送所述访问请求至所述云安全管理平台。
在其中一个实施例中,获取所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,所述访问请求类型包括操作类访问请求和非操作类访问请求,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;基于所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,部署任一所述访问请求的行为特征至接口,生成切面拦截切点;聚合所述切面拦截点,生成所述切面拦截器。
在其中一个实施例中,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求后,所述方法还包括:获取所述访问请求的访问请求类型;当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
在其中一个实施例中,获取所述访问请求的访问请求类型后,所述方法还包括:当所述访问请求类型为操作类访问请求时,则判断所述操作类访问请求中是否包含虚拟机信息标识;若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
在其中一个实施例中,判断所述操作类访问请求中是否包含安全域信息标识时,所述方法还包括:若所述操作类访问请求中包含安全域信息标识,则基于所述安全域信息标识获取虚拟机信息标识,并基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;若所述访问请求中不包含安全域信息标识,则发送所述访问请求至所述云安全管理平台。
在其中一个实施例中,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限后,所述方法包括:基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;若存在被所述操作权限覆盖的访问请求,则将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;若不存在被所述操作权限覆盖的访问请求,则返回拒绝访问请求响应至所述安全管理员。
在其中一个实施例中,获取所述访问请求的访问请求类型,包括:基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求的访问请求类型。
另一方面,提供了一种虚拟机安全管理系统,所述系统应用于云安全管理平台,所述云安全管理平台包括至少一个虚拟机,所述系统包括:
切面拦截器生成部署单元,以用于按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
切面拦截器,以用于拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
信息获取单元,所述信息获取单元与所述切面拦截器通信连接,所述信息获取单元以基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,还基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
信息发送单元,所述信息发送单元与所述信息获取单元通信连接,以用于将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
再一方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
又一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
上述虚拟机安全管理方法、系统和计算机设备,所述方法包括:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。基于云安全管理平台的特定性需求生成切面拦截器,避免了在提升云安全管理平台安全性时程序的抽象性,提升了切面拦截器与所述云安全管理平台的一致性,减少了云安全管理平台的逻辑处理量;将所述切面拦截器部署至所述云安全管理平台的业务线程,避免了分离云安全管理平台处理逻辑时带来的风险;基于云安全管理平台以虚拟机为核心的特点,直接对应地建立起用户-虚拟机之间的逻辑关系,直接、高效地提升了云安全管理平台的安全性。
附图说明
图1为一个实施例中虚拟机安全管理方法的应用环境图;
图2为一个实施例中虚拟机安全管理方法的流程示意图;
图3为一个实施例中虚拟机安全管理的流程示意图;
图4为一个实施例中虚拟机安全管理方法的流程示意图;
图5为一个实施例中虚拟机安全管理方法的流程示意图;
图6为一个实施例中虚拟机安全管理系统的结构框图;
图7为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的虚拟机安全管理方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。用户通过终端102通过网络与设置于服务器104上的云安全管理平台进行通信。其中,终端102可以但不限于是各种个人计算机、笔记本电脑和平板电脑,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种虚拟机安全管理方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程。
其中,所述切面拦截器是基于切面编程思想创建的拦截器,以用于基于实际应用需要对请求进行拦截并进行权限验证,所述切面编程思想即为在不修改源代码的情况下,为程序动态统一地添加功能。将生成的切面拦截器部署至云安全管理平台的业务线程后,所述切面拦截器即是基于业务程序而运行的,在不增加额外组件的情况下,以实现了切面拦截器与业务程序的逻辑关联度。
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截。
具体地,云安全管理平台的用户至少包含:系统管理员、审计管理员和安全管理员。其中,系统管理员主要是负责对云安全管理平台进行配置的,例如用户管理和磁盘管理等;审计管理员是负责对云安全管理平台的操作日志进行审计;安全管理员是针对虚拟机进行安全功能配置的。也就是请求中如果当前发送访问请求的用户是安全管理员时才需要进行访问权限控制,也就是说,如果发送当前访问请求的用户为安全管理员时,切面拦截器才会对所述访问请求进行拦截。访问请求类型包括操作类访问请求和非操作类访问请求,所述非操作类访问请求也可以成为查询类访问请求。基于访问请求的行为特征对操作类访问请求和非操作类访问请求进行二次划分,操作类访问请求的行为特征包括新增操作、编辑操作和删除操作;非操作类访问请求的行为特征包括查询操作。其中,新增操作、编辑操作和删除操作会实现对虚拟机的直接操作,因此基于切面拦截器实现对操作类访问请求的二次拦截。
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置。
需要理解的是,在实际应用场景中,无论是操作类访问请求还是非操作类访问请求,其具体的请求报文中不会显示出想要访问的虚拟机信息标识,即访问请求的请求报文中会存在不包含虚拟机信息标识但是包含安全域信息标识的情况,其本质上来讲,安全域就是众多虚拟机构成的。也就是说,请求报文中包含的安全域信息标识其实就间接包含了虚拟机信息标识。因此无论是访问请求的请求报文中是直接包含虚拟机信息标识和间接的包含安全域信息标识,其本质都为用户想要实现对云安全管理平台上的虚拟机的访问。
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
其中,将被所述操作权限覆盖的访问请求发送至与所述云安全管理平台,即为间接或直接获取到虚拟机信息标识后,查询当前安全管理员是否有对应的虚拟机的访问权限,如果存在安全管理员有访问权限的虚拟机,则将对应的访问请求发送至云安全管理平台。更进一步地将,获取被所述操作权限覆盖的访问请求即为获取所述访问请求中请求访问的虚拟机信息标识和实际安全管理员有访问权限的虚拟机标识之间的交集,将与所述交集内的虚拟机信息标识对应的访问请求发送至云安全管理平台。
上述虚拟机安全管理方法中,按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。基于云安全管理平台的特定性需求生成切面拦截器,避免了在提升云安全管理平台安全性时程序的抽象性,提升了切面拦截器与所述云安全管理平台的一致性,减少了云安全管理平台的逻辑处理量;将所述切面拦截器部署至所述云安全管理平台的业务线程,避免了分离云安全管理平台处理逻辑时带来的风险;基于云安全管理平台以虚拟机为核心的特点,直接对应地建立起用户-虚拟机之间的逻辑关系,直接、高效地提升了云安全管理平台的安全性。
在其中一个实施例中,如图3和图4所示,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求后,所述方法还包括:获取所述访问请求的类型,所述访问请求类型包括操作类访问请求和非操作类访问请求;当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
具体地,所述访问请求为http请求(全称:Hyper Text Transfer Protocol,中文:超文本传输协议),当切面拦截器拦截到安全管理员发送至云安全管理平台的访问请求后,获取所述访问请求的请求类型。http协议的报文为ASCII码(全称:American StandardCode for Information Interchange,中文:美国信息交换标准代码),建立于TCP(全称:Transmission Control Protocol,中文:传输控制协议)协议之上。http请求包括请求行、请求头和请求体。其中请求行包括请求方式、URL(全称:uniform resource locator,中文:统一资源定位)、http协议的版本。请求方式就是指查询操作、新增操作、删除操作,和/或,编辑操作。
在其中一个实施例中,如图5所示,基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识前,所述方法还包括:判断所述操作类访问请求中是否包含虚拟机信息标识;若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
在其中一个实施例中,获取所述访问请求的类型,包括:基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求类型。
在其中一个实施例中,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限后,所述方法包括:基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;若存在被所述操作权限覆盖的访问请求,则将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;若不存在被所述操作权限覆盖的访问请求,则返回拒绝访问请求响应至所述安全管理员。
在其中一个实施例中,判断所述操作类访问请求中是否包含安全域信息标识时,所述方法还包括:若所述操作类访问请求中包含安全域信息标识,则基于所述安全域信息标识获取虚拟机信息标识;若所述访问请求中不包含安全域信息标识,则发送所述访问请求至所述云安全管理平台。
在其中一个实施例中,按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程,包括:基于所述访问请求的访问请求类型,获取每一所述访问请求类型的行为特征,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;基于所述访问请求的行为特征,部署任一所述访问请求至接口,生成切面拦截切点;聚合所述切面拦截点,生成所述切面拦截器。其中,所述接口为restful接口,所述restful接口即为满足约束条件和原则的应用程序或设计的接口,其实质为一种网络应用程序的设计风格和开发方式。
在其中一个实施例中,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求前,所述方法还包括:实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;若监测到所述用户发送访问请求至所述云安全管理平台,则判断所述用户是否为安全管理员;若所述用户为安全管理员,则基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;若所述用户不为安全管理员,则发送所述访问请求至所述云安全管理平台。
具体地,判断所述用户是否为安全管理员为:用户在登录云安全管理平台后,就会生成并维持一个会话,之后每次用户发起的访问请求都会携带这个会话的信息标识,基于会话的信息标识就可以知道这个会话是谁创建的,即就可以知道创建这个会话的是安全管理员、审计管理员还是系统管理员。
应该理解的是,虽然图2-5的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图2-5中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
在一个实施例中,如图6所示,提供了一种虚拟机安全管理系统,所述系统应用于云安全管理平台,所述云安全管理平台包括至少一个虚拟机,所述系统包括:切面拦截器生成部署单元、切面拦截器、信息获取单元和信息发送单元;其中:
切面拦截器生成部署单元,以用于按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
切面拦截器,以用于拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
信息获取单元,所述信息获取单元与所述切面拦截器通信连接,所述信息获取单元以基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,还基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
信息发送单元,所述信息发送单元与所述信息获取单元通信连接,以用于将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
在其中一个实施例中,所述信息获取单元还用于获取所述访问请求的类型,所述访问请求类型包括操作类访问请求和非操作类访问请求;
所述系统还包括判断单元,以用于当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;
所述信息发送单元,还用于若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
在其中一个实施例中,所述判断单元,还用于判断所述操作类访问请求中是否包含虚拟机信息标识;
信息获取单元,还用于若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;
判断单元,还用于若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
在其中一个实施例中,信息获取单元,还用于基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;信息获取单元,还用于提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求类型。
在其中一个实施例中,所述判断单元,还用于基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;
若存在被所述操作权限覆盖的访问请求,信息发送单元,还用于将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;
若不存在被所述操作权限覆盖的访问请求,信息发送单元,还用于返回拒绝访问请求响应至所述安全管理员。
在其中一个实施例中,若所述操作类访问请求中包含安全域信息标识,信息获取单元还用于基于所述安全域信息标识获取虚拟机信息标识;
若所述访问请求中不包含安全域信息标识,信息发送单元还用于发送所述访问请求至所述云安全管理平台。
在其中一个实施例中,信息获取单元还用于基于所述访问请求的访问请求类型,获取每一所述访问请求类型的行为特征,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;
拦截器生成部署单元还用于基于所述访问请求的行为特征,部署任一所述访问请求至接口,生成切面拦截切点;还用于聚合所述切面拦截点,生成所述切面拦截器。
在其中一个实施例中,所述系统还包括监测单元,以用于实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;
若监测到所述用户发送访问请求至所述云安全管理平台,判断单元还用于判断所述用户是否为安全管理员;
若所述用户为安全管理员,信息发送单元还用于基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;
若所述用户不为安全管理员,信息发送单元还用于发送所述访问请求至所述云安全管理平台。
关于虚拟机安全管理系统的具体限定可以参见上文中对于XXX方法的限定,在此不再赘述。上述虚拟机安全管理系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
实施例三
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种虚拟机安全管理方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图7中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取所述访问请求的类型,所述访问请求类型包括操作类访问请求和非操作类访问请求;当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
判断所述操作类访问请求中是否包含虚拟机信息标识;若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求类型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;若存在被所述操作权限覆盖的访问请求,则将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;若不存在被所述操作权限覆盖的访问请求,则返回拒绝访问请求响应至所述安全管理员。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若所述操作类访问请求中包含安全域信息标识,则基于所述安全域信息标识获取虚拟机信息标识;若所述访问请求中不包含安全域信息标识,则发送所述访问请求至所述云安全管理平台。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于所述访问请求的访问请求类型,获取每一所述访问请求类型的行为特征,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;基于所述访问请求的行为特征,部署任一所述访问请求至接口,生成切面拦截切点;聚合所述切面拦截点,生成所述切面拦截器。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;若监测到所述用户发送访问请求至所述云安全管理平台,则判断所述用户是否为安全管理员;若所述用户为安全管理员,则基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;若所述用户不为安全管理员,则发送所述访问请求至所述云安全管理平台。
实施例四
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
步骤A:按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
步骤B:基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
步骤C:基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
步骤D:将被所述操作权限覆盖的访问请求发送至所述云安全管理平台。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取所述访问请求的类型,所述访问请求类型包括操作类访问请求和非操作类访问请求;当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
判断所述操作类访问请求中是否包含虚拟机信息标识;若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求类型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;若存在被所述操作权限覆盖的访问请求,则将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;若不存在被所述操作权限覆盖的访问请求,则返回拒绝访问请求响应至所述安全管理员。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若所述操作类访问请求中包含安全域信息标识,则基于所述安全域信息标识获取虚拟机信息标识;若所述访问请求中不包含安全域信息标识,则发送所述访问请求至所述云安全管理平台。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于所述访问请求的访问请求类型,获取每一所述访问请求类型的行为特征,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;基于所述访问请求的行为特征,部署任一所述访问请求至接口,生成切面拦截切点;聚合所述切面拦截点,生成所述切面拦截器。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;若监测到所述用户发送访问请求至所述云安全管理平台,则判断所述用户是否为安全管理员;若所述用户为安全管理员,则基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;若所述用户不为安全管理员,则发送所述访问请求至所述云安全管理平台。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (9)

1.一种虚拟机安全管理方法,其特征在于,所述方法应用于云安全管理平台,所述云安全管理平台包括至少一个虚拟机,所述方法包括:
按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;
其中,按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程,包括:
获取所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,所述访问请求类型包括操作类访问请求和非操作类访问请求,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;
基于所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,部署任一所述访问请求的行为特征至接口,生成切面拦截切点;
聚合所述切面拦截切点,生成所述切面拦截器。
2.根据权利要求1所述的虚拟机安全管理方法,其特征在于,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求前,所述方法还包括:
实时监测用户是否发送访问请求至所述云安全管理平台,所述用户包括系统管理员、审计管理员和安全管理员;
若监测到所述用户发送访问请求至所述云安全管理平台,则判断所述用户是否为安全管理员;
若所述用户为安全管理员,则基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求;
若所述用户不为安全管理员,则发送所述访问请求至所述云安全管理平台。
3.根据权利要求1~2任一项所述的虚拟机安全管理方法,其特征在于,基于所述切面拦截器拦截安全管理员发送至所述云安全管理平台的访问请求后,所述方法还包括:
获取所述访问请求的访问请求类型;
当所述访问请求类型为非操作类访问请求时,则判断是否存在所述安全管理员有访问权限的虚拟机;
若存在所述安全管理员有访问权限的虚拟机,则获取所述虚拟机的虚拟机信息标识,并将所述虚拟机信息标识返回至所述安全管理员;
若不存在所述安全管理员有访问权限的虚拟机,则返回拒绝访问请求响应至所述安全管理员。
4.根据权利要求3所述的虚拟机安全管理方法,其特征在于,获取所述访问请求的访问请求类型后,所述方法还包括:
当所述访问请求类型为操作类访问请求时, 则判断所述操作类访问请求中是否包含虚拟机信息标识;
若所述访问请求中包含虚拟机信息标识,则基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;
若所述访问请求中不包含虚拟机信息标识,则判断所述操作类访问请求中是否包含安全域信息标识,所述安全域包含至少一个虚拟机。
5.根据权利要求4所述的虚拟机安全管理方法,其特征在于,判断所述操作类访问请求中是否包含安全域信息标识时,所述方法还包括:
若所述操作类访问请求中包含安全域信息标识,则基于所述安全域信息标识获取虚拟机信息标识,并基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限;
若所述访问请求中不包含安全域信息标识,则发送所述访问请求至所述云安全管理平台。
6.根据权利要求4或5所述的虚拟机安全管理方法,其特征在于,基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限后,所述方法包括:
基于所述操作权限和所述访问请求,判断是否存在被所述操作权限覆盖的访问请求;
若存在被所述操作权限覆盖的访问请求,则将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;
若不存在被所述操作权限覆盖的访问请求,则返回拒绝访问请求响应至所述安全管理员。
7.根据权利要求6所述的虚拟机安全管理方法,其特征在于,获取所述访问请求的访问请求类型,包括:
基于所述访问请求,获取所述访问请求的请求报文,所述请求报文包括请求行、请求头和请求体;
提取所述请求报文的请求行,基于所述请求报文的请求行,获取所述访问请求的访问请求类型。
8.一种虚拟机安全管理系统,其特征在于,所述系统应用于云安全管理平台,所述云安全管理平台包括至少一个虚拟机,所述系统包括:
切面拦截器生成部署单元,以用于按照预设的访问请求拦截规则,生成切面拦截器并部署所述切面拦截器至所述云安全管理平台的业务线程;
切面拦截器,以用于拦截安全管理员发送至所述云安全管理平台的访问请求,并对操作类访问请求进行二次拦截;
信息获取单元,所述信息获取单元与所述切面拦截器通信连接,所述信息获取单元以基于反射机制获取所述操作类访问请求中包含的虚拟机信息标识,还基于所述虚拟机信息标识获取所述安全管理员对应所述虚拟机的操作权限,所述信息标识与虚拟机一一对应设置;
信息发送单元,所述信息发送单元与所述信息获取单元通信连接,以用于将被所述操作权限覆盖的访问请求发送至所述云安全管理平台;
其中,所述切面拦截器生成部署单元还用于:
获取所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,所述访问请求类型包括操作类访问请求和非操作类访问请求,所述操作类访问请求的行为特征包括新增操作、编辑操作和删除操作,所述非操作类访问请求的行为特征包括查询操作;
基于所述访问请求的访问请求类型及每一所述访问请求类型的行为特征,部署任一所述访问请求的行为特征至接口,生成切面拦截切点;
聚合所述切面拦截切点,生成所述切面拦截器。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
CN202210609631.8A 2022-05-31 2022-05-31 虚拟机安全管理方法、系统和计算机设备 Active CN115102720B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210609631.8A CN115102720B (zh) 2022-05-31 2022-05-31 虚拟机安全管理方法、系统和计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210609631.8A CN115102720B (zh) 2022-05-31 2022-05-31 虚拟机安全管理方法、系统和计算机设备

Publications (2)

Publication Number Publication Date
CN115102720A CN115102720A (zh) 2022-09-23
CN115102720B true CN115102720B (zh) 2023-08-11

Family

ID=83288511

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210609631.8A Active CN115102720B (zh) 2022-05-31 2022-05-31 虚拟机安全管理方法、系统和计算机设备

Country Status (1)

Country Link
CN (1) CN115102720B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116127413A (zh) * 2022-12-14 2023-05-16 支付宝(杭州)信息技术有限公司 移动端安全切面防护方法、装置、存储介质及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018027586A1 (zh) * 2016-08-09 2018-02-15 华为技术有限公司 云计算系统中虚拟机访问物理服务器的方法、装置和系统
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法
CN109976914A (zh) * 2019-04-01 2019-07-05 北京百度网讯科技有限公司 用于控制资源访问的方法和装置
CN111385264A (zh) * 2018-12-29 2020-07-07 卓望数码技术(深圳)有限公司 一种通信业务数据访问系统和方法
CN113486326A (zh) * 2021-07-02 2021-10-08 重庆沄析工业互联网有限公司 一种基于Mybatis拦截器实现数据行权限的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018027586A1 (zh) * 2016-08-09 2018-02-15 华为技术有限公司 云计算系统中虚拟机访问物理服务器的方法、装置和系统
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法
CN111385264A (zh) * 2018-12-29 2020-07-07 卓望数码技术(深圳)有限公司 一种通信业务数据访问系统和方法
CN109976914A (zh) * 2019-04-01 2019-07-05 北京百度网讯科技有限公司 用于控制资源访问的方法和装置
CN113486326A (zh) * 2021-07-02 2021-10-08 重庆沄析工业互联网有限公司 一种基于Mybatis拦截器实现数据行权限的方法

Also Published As

Publication number Publication date
CN115102720A (zh) 2022-09-23

Similar Documents

Publication Publication Date Title
US11314723B1 (en) Anomaly detection
US10868673B2 (en) Network access control based on distributed ledger
US10127401B2 (en) Redacting restricted content in files
WO2021012470A1 (zh) 网页数据监控方法、装置、计算机设备和存储介质
CN109873805A (zh) 基于云安全的云桌面登陆方法、装置、设备和存储介质
CN111698126B (zh) 信息监控方法、系统及计算机可读存储介质
EP2972728B1 (en) Tracking application usage in a computing environment
US12088583B2 (en) Permissions for backup-related operations
CN111680900A (zh) 一种工单发布方法、装置、电子设备及存储介质
CN115102720B (zh) 虚拟机安全管理方法、系统和计算机设备
CN113469866A (zh) 数据处理方法、装置和服务器
CN112150113A (zh) 档案数据的借阅方法、装置和系统、资料数据的借阅方法
CN113626882A (zh) 一种生成设备标识符的方法、装置、介质
CN114626026A (zh) 对安全敏感计算系统的api访问
CN114595481A (zh) 一种应答数据的处理方法、装置、设备和存储介质
JP2008015733A (ja) ログ管理計算機
CN107231245B (zh) 上报监控日志的方法及装置、处理监控日志的方法及装置
CN110941412A (zh) 基于图片化实现多终端动画协同浏览的方法、系统及终端
CN114189515B (zh) 基于sgx的服务器集群日志获取方法和装置
CN112953951B (zh) 一种基于国产cpu的用户登录验证和安全性检测方法及系统
CN110430211B (zh) 一种虚拟化云桌面系统及操作方法
CN115840939A (zh) 安全漏洞处理方法、装置、计算机设备和存储介质
CN115774581A (zh) 执行机器人脚本方法及相关装置
CN111552551A (zh) 基于主从系统的用户管理方法、装置、计算机设备和介质
CN110083584A (zh) 文件重建方法、装置、设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant