CN117353989B - 基于安全信任评估的访问准入身份认证系统 - Google Patents
基于安全信任评估的访问准入身份认证系统 Download PDFInfo
- Publication number
- CN117353989B CN117353989B CN202311244315.6A CN202311244315A CN117353989B CN 117353989 B CN117353989 B CN 117353989B CN 202311244315 A CN202311244315 A CN 202311244315A CN 117353989 B CN117353989 B CN 117353989B
- Authority
- CN
- China
- Prior art keywords
- module
- evaluation
- virus type
- type code
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000011156 evaluation Methods 0.000 title claims abstract description 228
- 241000700605 Viruses Species 0.000 claims description 242
- 230000000875 corresponding effect Effects 0.000 claims description 13
- 238000002955 isolation Methods 0.000 claims description 11
- 238000013210 evaluation model Methods 0.000 claims description 6
- 230000002596 correlated effect Effects 0.000 claims description 2
- 230000003612 virological effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,尤其涉及基于安全信任评估的访问准入身份认证系统,该系统包括接收模块,用以接收用户终端发起的访问请求信息;评估模块,用以对网络信息进行初步安全评估以及二次评估;反馈模块,用以发送反馈信息;认证模块,用以对待身份认证用户进行身份认证;分析模块,用以对未知网络信息进行分析并更新评估模块的标准列表;控制模块,用以根据实时数据调整评估条件和判断条件;判断模块根据调整后的判断条件对身份信息进行二次判断并得到判断结果,对已通过安全评估并已完成身份认证的用户终端执行访问准入。本发明通过自适应动态调节评估条件,实现了对访问信息的二次评估,提高了访问准入身份认证的安全性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及基于安全信任评估的访问准入身份认证系统。
背景技术
随着网络技术的发展,接入网络的终端可能会给网络带来各种安全威胁。在互联网环境下,相关设备、系统间的数据交互更加容易受到木马病毒、数据窃取等网络攻击。网络安全技术对互联网环境的健康发展尤为重要。
公开号为CN1 04660523A的专利文献公开了一种网络准入控制系统,包括:准入认证客户端,设置于接入终端,用于对接入终端的网络资源访问进行认证;网络准入控制网关,接入到接入终端访问网络资源的关键路径上的节点,用于对访问网络资源的接入终端发起认证,根据接入终端的认证状态控制接入终端的网络资源访问;以及认证服务器,用于向所述准入认证客户端下发安全策略,对所述准入认证客户端的身份与安全策略检查状态进行检查,下发相应的网络资源访问控制指令给所述网络准入控制网关。
但是,现有技术中网络访问准入认证安全策略采用静态的设置方式,不具备动态自适应的多维度访问准入身份认证调节控制能力,导致准入认证效率低。
发明内容
为此,本发明提供基于安全信任评估的访问准入身份认证系统,用以解决现有技术中准入认证效率低的问题。
为实现上述目的,本发明提供基于安全信任评估的访问准入身份认证系统,该系统包括:接收模块,与用户终端连接,用以接收所述用户终端发起的访问请求信息,所述访问请求信息包括所述用户终端的网络信息和身份信息,所述网络信息为所述用户终端的IP地址和所述用户终端内的病毒种类代码集;所述病毒种类代码集包括若干病毒种类代码;
评估模块,与所述接收模块连接,用以根据第一评估条件对所述IP地址进行安全评估得到未知IP地址、根据第二评估条件对所述病毒种类代码集进行安全评估得到未知病毒种类代码,并将所述未知IP地址和所述未知病毒种类代码进行隔离,以及根据评估模型得到所述网络信息的安全评估结果;所述第一评估条件为所述IP地址预设第一标准IP地址列表,所述第二评估条件为强等级病毒种类代码/>预设第一标准病毒种类代码集;
反馈模块,与所述评估模块连接,用以根据所述评估结果向所述接收模块发送反馈信息;
判断模块,与所述评估模块连接,用以根据第一判断条件判断待身份认证的用户终端并通知认证单元对所述待身份认证的用户终端发起身份认证;所述第一判断条件为所述身份信息预设标准访问准入身份信息列表;
认证模块,与所述判断模块连接,用以根据身份信息对所述身份认证状态为待身份认证的用户终端进行身份认证并在设定时间间隔将实时IP地址列表发送至分析模块,以及将身份信息列表发送至所述判断模块;
分析模块,分别与所述评估模块和所述认证模块连接,用以接收所述评估模块发来的未知IP地址和未知病毒种类、接收所述认证模块的实时IP地址列表以及获取网络环境的实时病毒种类代码集并对所述未知IP地址和未知病毒种类进行分析得到分析结果,以及将实时IP地址列表发送至所述评估模块与所述第一标准IP地址列表融合并生成第二标准IP地址列表,以及将实时病毒种类代码集发送至所述评估模块与所述第一标准病毒种类代码集融合并生成第二标准病毒种类代码集;
控制模块,分别与所述评估模块和所述判断模块连接,用以向所述评估模块发送第一控制指令调整所述第一评估条件为第一二次评估条件,以及向所述评估模块发送第二控制指令调整所述第二评估条件为第二二次评估条件,以及向所述判断模块发送第三控制指令调整所述第一判断条件为第二判断条件;所述第一二次评估条件为IP地址第二标准IP地址列表,所述第二二次评估条件为强等级病毒种类代码HJq/>第二标准病毒种类代码集;所述第二判断条件为身份信息/>第二标准身份信息列表;
所述评估模块根据所述第一二次评估条件和所述第二二次评估条件对所述访问信息进行二次评估;
所述判断模块根据所述第二判断条件对所述身份信息进行二次判断并对已身份认证的用户终端执行访问准入。
进一步地,所述评估模块包括第一评估单元、第二评估单元和隔离单元,其中,
所述第一评估单元用以根据第一评估条件对所述IP地址进行安全评估,在所述第一评估单元预设标准IP地址列表{IP10},
当所述IP地址∈预设第一标准IP地址列表{IP10}时,所述检测单元判定所述IP地址为第一安全地址信息,记为SIP=1;
当所述IP地址预设第一标准IP地址列表{IP10}时,所述检测单元判定所述IP地址为第一未知地址信息,记为SIP=0;
所述第二评估单元用以根据第二评估条件对所述病毒种类代码集进行安全评估;
所述第二评估单元包括识别器和判别器,其中,所述识别器用以根据所述病毒种类代码的字符长度确定所述病毒种类代码的病毒强度,所述判别器用以根据病毒强度确定病毒强度等级;
所述病毒强度与所述字符长度呈正相关D=λ×L,其中L为任一所述病毒种类代码的字符长度,D为任一所述病毒种类代码对应的病毒强度,入为病毒强度与字符长度的正相关系数;
在所述判别器预设标准病毒等级D0,
当D>D0时,所述判别器判断所述病毒强度为强等级病毒并将对应的病毒种类代码标记为强等级病毒种类代码HJq;所述强等级病毒种类代码HJq为待评估病毒种类代码;
当0<D≤D0时,所述判别器判断所述病毒强度为弱等级病毒并将对应的病毒种类代码标记为弱等级病毒HJr;所述弱等级病毒种类代码HJq为第一安全病毒种类代码,记为SHJ=1;
在所述第二评估单元预设第一标准病毒种类代码集{HJ10},
当所述强等级病毒种类代码HJq∈预设第一标准病毒种类代码集{HJ10}时,所述检测单元判定所述病毒种类代码为第二安全病毒种类代码,记为SHJ=1;
当所述强等级病毒种类代码HJq预设第一标准病毒种类代码集{HJ10}时,所述检测单元判定所述病毒种类代码集为未知病毒种类代码,记为SHJ=0;
所述隔离单元,用以对未知IP地址和未知病毒种类代码进行隔离并将隔离后的信息发送至所述分析模块;
在所述评估模块预设安全评估模型P=(SIP,SHJ),
当P=(1,1)时,所述评估单元评估所述访问请求信息为信任请求信息;
当P=(1,0)时,所述评估单元评估所述访问请求信息为未知病毒请求信息;
当P=(0,1)时,所述评估单元评估所述访问请求信息为未知地址请求信息;
当P=(0,0)时,所述评估单元评估所述访问请求信息为不信任请求信息。
进一步地,当所述访问请求信息为未知病毒请求信息时,所述反馈模块向所述接收模块发送第一反馈信息;所述第一反馈信息为访问请求信息包含未知病毒种类代码;
当所述访问请求信息为未知地址请求信息时,所述反馈模块向所述接收模块发送第二反馈信息;所述第二反馈信息为访问请求信息包含未知地址;
当所述访问请求信息为不信任请求信息时,所述反馈模块向所述接收模块发送第三反馈信息;所述第三反馈信息为停止接收所述访问终端的访问请求信息。
进一步地,所述判断模块根据所述身份信息判断所述用户终端的身份认证状态,所述身份认证状态为已身份认证和待身份认证;
所述身份信息包括身份证号信息,记为ID,在所述判断模块预设第一标准访问准入身份信息列表{ID0},当ID∈{ID0}时,所述判断模块判断所述用户终端的身份认证状态为已身份认证并对所述已身份认证的用户终端执行访问准入;
当ID{ID0}时,所述判断模块判断所述用户终端的身份认证状态为待身份认证并通知所述认证单元对所述待身份认证的用户终端发起身份认证。
进一步地,所述认证模块包括获取单元、对比单元、生成单元和存储单元,其中,所述获取单元,用以获取所述待身份认证用户的所述身份信息;
所述对比单元,与所述获取单元连接,用以根据所述身份信息确定所述待身份认证用户的真实身份信息和所述真实身份信息对应的关联信息,以及将所述真实身份信息以及所述关联信息与所述用户终端发来的身份信息进行一一比较并得到比较结果;当所述比较结果为完全一致时,完成所述用户终端的身份认证;
所述生成单元,与所述对比单元连接,用以为已完成身份认证的用户生成IP地址区间;
所述存储单元, 所述生成单元连接,用以将已完成身份认证的用户生成IP地址区间存储为实时IP地址列表,以及将已完成身份认证的身份信息存储为实时身份信息列表;所述存储单元在设定时间间隔将所述实时IP地址列表发送至所述分析模块,以及将所述身份信息列表发送至所述判断模块,用以调整所述判断模块的标准访问准入身份信息列表。
进一步地,所述分析模块包括第一分析单元和第二分析单元,其中,所述第一分析单元,用以对所述第一未知IP地址进行分析得到第二安全IP地址和第二未知IP地址,包括:
所述第一分析单元在预设时间间隔接收认证模块发送的实时IP地址列表{IPT},当所述第一未知IP地址∈实时IP地址列表{IPT}时,所述第一分析单元分析所述第一未知IP地址为第二安全IP地址;
当所述第一未知IP地址实时IP地址列表{IPT}时,所述第一分析单元分析所述第一未知IP地址为第二未知IP地址;
所述第二分析单元,用以对所述第一未知病毒种类代码进行分析得到第二安全病毒种类代码和第二未知病毒种类代码,包括:
所述第二分析单元在预设时间间隔在网络环境接收实时病毒种类代码列表集{HJT},当所述第一未知病毒种类代码∈实时病毒种类代码列表集{HJT}时,所述第二分析单元分析所述第一未知病毒种类代码为第二安全病毒种类代码;
当所述第一未知病毒种类代码实时病毒种类代码列表集{HJT}时,所述第二分析单元分析所述第一未知病毒种类代码为第二未知病毒种类代码;
所述分析模块将所述实时IP地址列表{IPT}与所述评估模块中的所述第一标准IP地址列表{IP10}融合并生成第二标准IP地址列表{IP20}={IP10}+{IPT};
所述分析模块将所述实时病毒种类代码集{HJT}与所述评估模块中的所述第一标准病毒种类代码集{HJ10}融合并生成第二标准病毒种类代码集{HJ20}={HJ10}+{HJT}。
进一步地,所述隔离模块根据所述分析模块的分析结果释放所述第二安全IP地址返回至所述第一评估单元以及释放所述第二安全病毒种类代码返回至所述第二评估单元。
进一步地,所述控制模块向所述评估模块发出第一控制指令,所述第一控制指令为调整所述第一评估条件为第一二次评估条件,所述第一二次评估条件为所述IP地址第二标准IP地址列表{IP20};
所述控制模块向所述评估模块发出第二控制指令,所述第二控制指令为调整所述第二评估条件为第二二次评估条件,所述第二二次评估条件为所述强等级病毒种类代码HJq第二标准病毒种类代码集{IP20}。
进一步地,所述评估模块接收所述第一控制指令对所述IP地址进行二次评估,以及接收所述第二控制指令对所述强等级病毒代码进行二次评估并得到二次评估结果。
进一步地,所述判断模块在设定时间间隔接收所述认证模块发来的实时身份信息列表并将所述实时身份信息列表{IDT}与所述判断模块中的所述第一标准身份信息列表{ID10}融合并生成第二标准身份信息列表{ID20}={ID10}+{IDT};
所述控制模块向所述判断模块发出第三控制指令,所述第三控制指令为调整所述第一判断条件为第二判断条件,所述第二判断条件为所述身份信息第二标准身份信息列表{ID20};
所述判断模块接收所述第三控制指令并对所述身份信息进行二次判断。
与现有技术相比,本发明的有益效果在于,通过评估模块对网络信息进行安全评估,保障了用户终端访问准入的网络安全;通过反馈模块向接收模块发送评估后的反馈信息,能够及时停止接收不信任信息,使得系统能够及时避免受到不信任的网络信息攻击;通过判断模块根据身份信息判断身份认证状态,能够准确判断待身份认证用户并发起认证;通过认证模块对待身份认证用户进行认证并将生成的IP地址实时发送至分析模块,使得分析模块能够根据最新的IP地址分析未知IP地址;通过分析模块获取实时病毒种类代码集,能够实现根据最新的病毒种类代码集分析未知病毒代码种类;通过分析模块将实时IP地址列表和实时病毒种类代码集发送至评估模块并生成第二标准IP地址列表和第二标准病毒种类代码集,实现了评估模块的标准列表能够实时更新;通过控制模块分别向评估模块和判断模块发送控制指令调整评估条件和判断条件,使得系统具备动态自适应的多维度访问准入身份认证调节控制能力,提高了系统的访问准入身份认证效率。
尤其,通过第一评估单元对IP地址评估,避免受到不信任的用户终端攻击;通过第二评估单元根据病毒强弱对病毒种类代码进行评估,提高了对病毒种类代码评估的效率;通过隔离单元隔离未知网络信息,保障系统的安全性。
尤其,通过反馈模块向接收模块发送评估后的反馈信息,能够及时停止接收不信任信息,使得系统能够及时避免受到不信任的网络信息攻击。
尤其,通过判断模块根据身份信息判断身份认证状态,能够准确判断待身份认证用户并发起认证。
尤其,通过认证模块对待身份认证用户进行认证并将生成的IP地址实时发送至分析模块,使得分析模块能够根据最新的IP地址分析未知IP地址。
尤其,通过第一分析单元分析根据最新的IP地址分析未知IP地址、通过第二分析单元根据实时病毒种类代码集分析未知病毒种类代码,提高了对未知网络信息分析的准确性。
尤其,通过分析模块将实时IP地址列表和实时病毒种类代码集发送至评估模块并生成第二标准IP地址列表和第二标准病毒种类代码集,实现了评估模块的标准列表能够实时更新。
尤其,通过控制模块分别向评估模块和判断模块发送控制指令调整评估条件和判断条件,使得系统具备动态自适应的多维度访问准入身份认证调节控制能力,提高了系统的访问准入身份认证效率。
尤其,通过评估模块根据调整后的评估条件对网络信息进行二次评估,提高了对网络信息安全评估的准确度。
尤其,通过判断模块根据第二判断条件对身份信息进行二次判断,提高了判断模块对身份信息判断的准确度。
附图说明
图1为本发明所述基于安全信任评估的访问准入身份认证系统结构示意图;
图2为本发明所述基于安全信任评估的访问准入身份认证系统的评估模块结构示意图;
图3为本发明所述基于安全信任评估的访问准入身份认证系统的认证模块结构示意图;
图4为本发明所述基于安全信任评估的访问准入身份认证系统的分析模块结构示意图;
附图标记:1、接收模块;2、评估模块;3、反馈模块;4、判断模块;5、认证模块;6、分析模块;7、控制模块;201、第一评估单元;202、第二评估单元;203、隔离单元;501、获取单元;502、对比单元;503、生成单元;504、存储单元;601、第一分析单元;602、第二分析单元。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
基于安全信任评估的访问准入认证系统,请参阅图1-4所示,可以按照如下方式予以实施:
如图1所示,该系统包括接收模块1,与用户终端连接,用以接收用户终端发起的访问请求信息,访问请求信息包括用户终端的网络信息和身份信息,网络信息为用户终端的IP地址和用户终端内的病毒种类代码集;病毒种类代码集包括若干病毒种类代码;
评估模块2,与接收模块连接,用以根据第一评估条件对IP地址进行安全评估得到未知IP地址、根据第二评估条件对病毒种类代码集进行安全评估得到未知病毒种类代码,并将未知IP地址和未知病毒种类代码进行隔离,以及根据评估模型得到网络信息的安全评估结果;第一评估条件为IP地址预设第一标准IP地址列表,第二评估条件为强等级病毒种类代码/>预设第一标准病毒种类代码集;
反馈模块3,与评估模块连接,用以根据评估结果向接收模块发送反馈信息;
判断模块4,与评估模块连接,用以根据第一判断条件判断待身份认证的用户终端并通知认证单元对待身份认证的用户终端发起身份认证;第一判断条件为身份信息预设标准访问准入身份信息列表;
认证模块5,与判断模块连接,用以根据身份信息对身份认证状态为待身份认证的用户终端进行身份认证并在设定时间间隔将实时IP地址列表发送至分析模块,以及将身份信息列表发送至判断模块;
分析模块6,分别与评估模块和认证模块连接,用以接收评估模块发来的未知IP地址和未知病毒种类、接收认证模块的实时IP地址列表以及获取网络环境的实时病毒种类代码集并对未知IP地址和未知病毒种类进行分析得到分析结果,以及将实时IP地址列表发送至评估模块与第一标准IP地址列表融合并生成第二标准IP地址列表,以及将实时病毒种类代码集发送至评估模块与第一标准病毒种类代码集融合并生成第二标准病毒种类代码集;
控制模块7,分别与评估模块和判断模块连接,用以向评估模块发送第一控制指令调整第一评估条件为第一二次评估条件,以及向评估模块发送第二控制指令调整第二评估条件为第二二次评估条件,以及向判断模块发送第三控制指令调整第一判断条件为第二判断条件;第一二次评估条件为IP地址第二标准IP地址列表,第二二次评估条件为强等级病毒种类代码HJq/>第二标准病毒种类代码集;第二判断条件为身份信息/>第二标准身份信息列表;
评估模块根据第一二次评估条件和第二二次评估条件对访问信息进行二次评估;
判断模块根据第二判断条件对身份信息进行二次判断并对已身份认证的用户终端执行访问准入。
通过评估模块对网络信息进行安全评估,保障了用户终端访问准入的网络安全;通过反馈模块向接收模块发送评估后的反馈信息,能够及时停止接收不信任信息,使得系统能够及时避免受到不信任的网络信息攻击;通过判断模块根据身份信息判断身份认证状态,能够准确判断待身份认证用户并发起认证;通过认证模块对待身份认证用户进行认证并将生成的IP地址实时发送至分析模块,使得分析模块能够根据最新的IP地址分析未知IP地址;通过分析模块获取实时病毒种类代码集,能够实现根据最新的病毒种类代码集分析未知病毒代码种类;通过分析模块将实时IP地址列表和实时病毒种类代码集发送至评估模块并生成第二标准IP地址列表和第二标准病毒种类代码集,实现了评估模块的标准列表能够实时更新;通过控制模块分别向评估模块和判断模块发送控制指令调整评估条件和判断条件,使得系统具备动态自适应的多维度访问准入身份认证调节控制能力,提高了系统的访问准入身份认证效率。
具体而言,如图2所示,评估模块包括第一评估单元201、第二评估单元202和隔离单元203,其中,
第一评估单元用以根据第一评估条件对IP地址进行安全评估,在第一评估单元预设标准IP地址列表{IP10},
当IP地址∈预设第一标准IP地址列表{IP10}时,检测单元判定IP地址为第一安全地址信息,记为SIP=1;
当IP地址预设第一标准IP地址列表{IP10}时,检测单元判定IP地址为第一未知地址信息,记为SIP=0;
第二评估单元用以根据第二评估条件对病毒种类代码集进行安全评估;
第二评估单元包括识别器和判别器,其中,识别器用以根据病毒种类代码的字符长度确定病毒种类代码的病毒强度,判别器用以根据病毒强度确定病毒强度等级;
病毒强度与字符长度呈正相关D=λ×L,其中L为任一病毒种类代码的字符长度,D为任一病毒种类代码对应的病毒强度,入为病毒强度与字符长度的正相关系数;
在判别器预设标准病毒等级D0,
当D>D0时,判别器判断病毒强度为强等级病毒并将对应的病毒种类代码标记为强等级病毒种类代码HJq;强等级病毒种类代码HJq为待评估病毒种类代码;
当0<D≤D0时,判别器判断病毒强度为弱等级病毒并将对应的病毒种类代码标记为弱等级病毒HJr;弱等级病毒种类代码HJq为第一安全病毒种类代码,记为SHJ=1;
在第二评估单元预设第一标准病毒种类代码集{HJ10},
当强等级病毒种类代码HJq∈预设第一标准病毒种类代码集{HJ10}时,检测单元判定病毒种类代码为第二安全病毒种类代码,记为SHJ=1;
当强等级病毒种类代码HJq预设第一标准病毒种类代码集{HJ10}时,检测单元判定病毒种类代码集为未知病毒种类代码,记为SHJ=0;
隔离单元,用以对未知IP地址和未知病毒种类代码进行隔离并将隔离后的信息发送至分析模块;
在评估模块预设安全评估模型P=(SIP,SHJ),
当P=(1,1)时,评估单元评估访问请求信息为信任请求信息;
当P=(1,0)时,评估单元评估访问请求信息为未知病毒请求信息;
当P=(0,1)时,评估单元评估访问请求信息为未知地址请求信息;
当P=(0,0)时,评估单元评估访问请求信息为不信任请求信息。
通过第一评估单元对IP地址评估,避免受到不信任的用户终端攻击;通过第二评估单元根据病毒强弱对病毒种类代码进行评估,提高了对病毒种类代码评估的效率;通过隔离单元隔离未知网络信息,保障系统的安全性。
具体而言,当访问请求信息为未知病毒请求信息时,反馈模块向接收模块发送第一反馈信息;第一反馈信息为访问请求信息包含未知病毒种类代码;
当访问请求信息为未知地址请求信息时,反馈模块向接收模块发送第二反馈信息;第二反馈信息为访问请求信息包含未知地址;
当访问请求信息为不信任请求信息时,反馈模块向接收模块发送第三反馈信息;第三反馈信息为停止接收访问终端的访问请求信息。
通过反馈模块向接收模块发送评估后的反馈信息,能够及时停止接收不信任信息,使得系统能够及时避免受到不信任的网络信息攻击。
具体而言,判断模块根据身份信息判断用户终端的身份认证状态,身份认证状态为已身份认证和待身份认证;
身份信息包括身份证号信息,记为ID,在判断模块预设第一标准访问准入身份信息列表{ID0},当ID∈{ID0}时,判断模块判断用户终端的身份认证状态为已身份认证并对已身份认证的用户终端执行访问准入;
当ID{ID0}时,判断模块判断用户终端的身份认证状态为待身份认证并通知认证单元对待身份认证的用户终端发起身份认证。
通过判断模块根据身份信息判断身份认证状态,能够准确判断待身份认证用户并发起认证。
具体而言,如图3所示,认证模块包括获取单元501、对比单元502、生成单元503和存储单元504,其中,获取单元,用以获取待身份认证用户的身份信息;
对比单元,与获取单元连接,用以根据身份信息确定待身份认证用户的真实身份信息和真实身份信息对应的关联信息,以及将真实身份信息以及关联信息与用户终端发来的身份信息进行一一比较并得到比较结果;当比较结果为完全一致时,完成用户终端的身份认证;
生成单元,与对比单元连接,用以为已完成身份认证的用户生成IP地址区间;
存储单元,与生成单元连接,用以将已完成身份认证的用户生成IP地址区间存储为实时IP地址列表,以及将已完成身份认证的身份信息存储为实时身份信息列表;存储单元在设定时间间隔将实时IP地址列表发送至分析模块,以及将身份信息列表发送至判断模块,用以调整判断模块的标准访问准入身份信息列表。
通过认证模块对待身份认证用户进行认证并将生成的IP地址实时发送至分析模块,使得分析模块能够根据最新的IP地址分析未知IP地址。
具体而言,如图4所示,分析模块包括第一分析单元601和第二分析单元602,其中,第一分析单元,用以对第一未知IP地址进行分析得到第二安全IP地址和第二未知IP地址,包括:
第一分析单元在预设时间间隔接收认证模块发送的实时IP地址列表{IPT},当第一未知IP地址∈实时IP地址列表{IPT}时,第一分析单元分析第一未知IP地址为第二安全IP地址;
当第一未知IP地址实时IP地址列表{IPT}时,第一分析单元分析第一未知IP地址为第二未知IP地址;
第二分析单元,用以对第一未知病毒种类代码进行分析得到第二安全病毒种类代码和第二未知病毒种类代码,包括:
第二分析单元在预设时间间隔在网络环境接收实时病毒种类代码列表集{HJT},当第一未知病毒种类代码∈实时病毒种类代码列表集{HJT}时,第二分析单元分析第一未知病毒种类代码为第二安全病毒种类代码;
当第一未知病毒种类代码实时病毒种类代码列表集{HJT}时,第二分析单元分析第一未知病毒种类代码为第二未知病毒种类代码;
分析模块将实时IP地址列表{IPT}与评估模块中的第一标准IP地址列表{IP10}融合并生成第二标准IP地址列表{IP20}={IP10}+{IPT};
分析模块将实时病毒种类代码集{HJT}与评估模块中的第一标准病毒种类代码集{HJ10}融合并生成第二标准病毒种类代码集{HJ20}={HJ10}+{HJT}。
通过第一分析单元分析根据最新的IP地址分析未知IP地址、通过第二分析单元根据实时病毒种类代码集分析未知病毒种类代码,提高了对未知网络信息分析的准确性。
通过分析模块将实时IP地址列表和实时病毒种类代码集发送至评估模块并生成第二标准IP地址列表和第二标准病毒种类代码集,实现了评估模块的标准列表能够实时更新。
具体而言,隔离模块根据分析模块的分析结果释放第二安全IP地址返回至第一评估单元以及释放第二安全病毒种类代码返回至第二评估单元。
具体而言,控制模块向评估模块发出第一控制指令,第一控制指令为调整第一评估条件为第一二次评估条件,第一二次评估条件为IP地址第二标准IP地址列表{IP20};
控制模块向评估模块发出第二控制指令,第二控制指令为调整第二评估条件为第二二次评估条件,第二二次评估条件为强等级病毒种类代码HJq第二标准病毒种类代码集{IP20}。
通过控制模块分别向评估模块和判断模块发送控制指令调整评估条件和判断条件,使得系统具备动态自适应的多维度访问准入身份认证调节控制能力,提高了系统的访问准入身份认证效率。
具体而言,评估模块接收第一控制指令对IP地址进行二次评估,以及接收第二控制指令对强等级病毒代码进行二次评估并得到二次评估结果。
通过评估模块根据调整后的评估条件对网络信息进行二次评估,提高了对网络信息安全评估的准确度。
具体而言,判断模块在设定时间间隔接收认证模块发来的实时身份信息列表并将实时身份信息列表{IDT}与判断模块中的第一标准身份信息列表{ID10}融合并生成第二标准身份信息列表{ID20}={ID10}+{IDT};
控制模块向判断模块发出第三控制指令,第三控制指令为调整第一判断条件为第二判断条件,第二判断条件为身份信息第二标准身份信息列表{ID20};
判断模块接收第三控制指令并对身份信息进行二次判断。
通过判断模块根据第二判断条件对身份信息进行二次判断,提高了判断模块对身份信息判断的准确度。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.基于安全信任评估的访问准入身份认证系统,其特征在于,包括:接收模块,与用户终端连接,用以接收所述用户终端发起的访问请求信息,所述访问请求信息包括所述用户终端的网络信息和身份信息,所述网络信息为所述用户终端的IP地址和所述用户终端内的病毒种类代码集;所述病毒种类代码集包括若干病毒种类代码;
评估模块,与所述接收模块连接,用以根据第一评估条件对所述IP地址进行安全评估得到未知IP地址、根据第二评估条件对所述病毒种类代码集进行安全评估得到未知病毒种类代码,并将所述未知IP地址和所述未知病毒种类代码进行隔离,以及根据评估模型得到所述网络信息的安全评估结果;所述第一评估条件为所述IP地址∉预设第一标准IP地址列表,所述第二评估条件为强等级病毒种类代码∉预设第一标准病毒种类代码集;
反馈模块,与所述评估模块连接,用以根据所述评估结果向所述接收模块发送反馈信息;
判断模块,与所述评估模块连接,用以根据第一判断条件判断用户终端的身份认证状态并通知认证模块对所述待身份认证的用户终端发起身份认证;所述第一判断条件为所述身份信息∉预设标准访问准入身份信息列表;
认证模块,与所述判断模块连接,用以根据身份信息对身份认证状态为待身份认证的用户终端进行身份认证并在设定时间间隔将实时IP地址列表发送至分析模块,以及将实时身份信息列表发送至所述判断模块;所述实时IP地址列表为完成身份认证的用户终端的IP地址区间,所述实时身份信息列表为完成身份认证的用户终端的身份信息;
分析模块,分别与所述评估模块和所述认证模块连接,用以接收所述评估模块发来的未知IP地址和未知病毒种类代码、接收所述认证模块的实时IP地址列表以及获取网络环境的实时病毒种类代码集并对所述未知IP地址和未知病毒种类代码进行分析得到分析结果,以及将实时IP地址列表发送至所述评估模块与所述第一标准IP地址列表融合并生成第二标准IP地址列表,以及将实时病毒种类代码集发送至所述评估模块与所述第一标准病毒种类代码集融合并生成第二标准病毒种类代码集;
控制模块,分别与所述评估模块和所述判断模块连接,用以向所述评估模块发送第一控制指令调整所述第一评估条件为第一二次评估条件,以及向所述评估模块发送第二控制指令调整所述第二评估条件为第二二次评估条件,以及向所述判断模块发送第三控制指令调整所述第一判断条件为第二判断条件;所述第一二次评估条件为IP地址∉第二标准IP地址列表,所述第二二次评估条件为强等级病毒种类代码∉第二标准病毒种类代码集;所述第二判断条件为所述身份信息∉第二标准访问准入身份信息列表;
所述评估模块根据所述第一二次评估条件和所述第二二次评估条件对所述访问请求信息进行二次评估;
所述判断模块根据所述第二判断条件对所述身份信息进行二次判断并对已身份认证的用户终端执行访问准入;
其中,所述评估模块包括第一评估单元、第二评估单元和隔离单元,其中,
所述第一评估单元用以根据第一评估条件对所述IP地址进行安全评估,在所述第一评估单元预设第一标准IP地址列表,
当所述IP地址∈预设第一标准IP地址列表时,所述第一评估单元判定所述IP地址为第一安全IP地址,记为SIP=1;
当所述IP地址∉预设第一标准IP地址列表时,所述第一评估单元判定所述IP地址为未知IP地址,记为SIP=0;
所述第二评估单元用以根据第二评估条件对所述病毒种类代码集进行安全评估;
所述第二评估单元包括识别器和判别器,其中,所述识别器用以根据所述病毒种类代码的字符长度确定所述病毒种类代码的病毒强度,所述判别器用以根据病毒强度确定病毒强度等级;
所述病毒强度与所述字符长度呈正相关D=λ×L,其中L为任一所述病毒种类代码的字符长度,D为任一所述病毒种类代码对应的病毒强度,λ为病毒强度与字符长度的正相关系数;
在所述判别器预设标准病毒等级D0,
当D>D0时,所述判别器判断所述病毒强度为强等级病毒并将对应的病毒种类代码标记为强等级病毒种类代码;所述强等级病毒种类代码为待评估病毒种类代码;
当0<D≤D0时,所述判别器判断所述病毒强度为弱等级病毒并将对应的病毒种类代码标记为弱等级病毒种类代码;所述弱等级病毒种类代码为第一安全病毒种类代码,记为SHJ=1;
在所述第二评估单元预设第一标准病毒种类代码集,
当所述强等级病毒种类代码∈预设第一标准病毒种类代码集时,所述第二评估单元判定所述病毒种类代码为第一二安全病毒种类代码,记为SHJ=1;
当所述强等级病毒种类代码∉预设第一标准病毒种类代码集时,所述第二评估单元判定所述病毒种类代码为未知病毒种类代码,记为SHJ=0;
所述隔离单元,用以对未知IP地址和未知病毒种类代码进行隔离并将隔离后的信息发送至所述分析模块;
在所述评估模块预设安全评估模型P=(SIP,SHJ),
当P=(1,1)时,所述评估模块评估所述访问请求信息为信任请求信息;
当P=(1,0)时,所述评估模块评估所述访问请求信息为未知病毒请求信息;
当P=(0,1)时,所述评估模块评估所述访问请求信息为未知地址请求信息;
当P=(0,0)时,所述评估模块评估所述访问请求信息为不信任请求信息;
其中,所述判断模块在设定时间间隔接收所述认证模块发来的实时身份信息列表并将所述实时身份信息列表与所述判断模块中的所述标准访问准入身份信息列表融合并生成第二标准访问准入身份信息列表。
2.根据权利要求1所述的基于安全信任评估的访问准入身份认证系统,其特征在于,当所述访问请求信息为未知病毒请求信息时,所述反馈模块向所述接收模块发送第一反馈信息;所述第一反馈信息为访问请求信息包含未知病毒种类代码;
当所述访问请求信息为未知地址请求信息时,所述反馈模块向所述接收模块发送第二反馈信息;所述第二反馈信息为访问请求信息包含未知地址;
当所述访问请求信息为不信任请求信息时,所述反馈模块向所述接收模块发送第三反馈信息;所述第三反馈信息为停止接收所述用户终端发起的访问请求信息。
3.根据权利要求2所述的基于安全信任评估的访问准入身份认证系统,其特征在于,所述判断模块根据所述身份信息判断所述用户终端的身份认证状态,所述身份认证状态为已身份认证和待身份认证;
所述身份信息包括身份证号信息,在所述判断模块预设标准访问准入身份信息列表,当所述身份信息∈标准访问准入身份信息列表时,所述判断模块判断所述用户终端的身份认证状态为已身份认证并对所述已身份认证的用户终端执行访问准入;
当所述身份信息∉标准访问准入身份信息列表时,所述判断模块判断所述用户终端的身份认证状态为待身份认证并通知所述认证模块对所述待身份认证的用户终端发起身份认证。
4.根据权利要求3所述的基于安全信任评估的访问准入身份认证系统,其特征在于,所述认证模块包括获取单元、对比单元、生成单元和存储单元,其中,所述获取单元,用以获取所述待身份认证的用户终端的所述身份信息;
所述对比单元,与所述获取单元连接,用以根据所述身份信息确定所述待身份认证的用户终端的真实身份信息和所述真实身份信息对应的关联信息,以及将所述真实身份信息以及所述关联信息与所述用户终端发来的身份信息进行一一比较并得到比较结果;当所述比较结果为完全一致时,完成所述用户终端的身份认证;
所述生成单元,与所述对比单元连接,用以为完成身份认证的用户终端的IP地址生成IP地址区间;
所述存储单元,与所述生成单元连接,用以将完成身份认证的用户终端的IP地址区间存储为实时IP地址列表,以及将完成身份认证的用户终端的身份信息存储为实时身份信息列表;所述存储单元在设定时间间隔将所述实时IP地址列表发送至所述分析模块,以及将所述实时身份信息列表发送至所述判断模块,用以调整所述判断模块的标准访问准入身份信息列表。
5.根据权利要求4所述的基于安全信任评估的访问准入身份认证系统,其特征在于,所述分析模块包括第一分析单元和第二分析单元,其中,所述第一分析单元,用以对未知IP地址进行分析得到第二安全IP地址和第二未知IP地址,包括:
所述第一分析单元在预设时间间隔接收认证模块发送的实时IP地址列表,当所述未知IP地址∈实时IP地址列表时,所述第一分析单元分析所述未知IP地址为第二安全IP地址;
当所述未知IP地址∉实时IP地址列表时,所述第一分析单元分析所述未知IP地址为第二未知IP地址;
所述第二分析单元,用以对未知病毒种类代码进行分析得到第二安全病毒种类代码和第二未知病毒种类代码,包括:
所述第二分析单元在预设时间间隔在网络环境接收实时病毒种类代码集,当所述未知病毒种类代码∈实时病毒种类代码集时,所述第二分析单元分析所述未知病毒种类代码为第二安全病毒种类代码;
当所述未知病毒种类代码∉实时病毒种类代码集时,所述第二分析单元分析所述未知病毒种类代码为第二未知病毒种类代码;
所述分析模块将所述实时IP地址列表与所述评估模块中的所述第一标准IP地址列表融合并生成第二标准IP地址列表;
所述分析模块将所述实时病毒种类代码集与所述评估模块中的所述第一标准病毒种类代码集融合并生成第二标准病毒种类代码集。
6.根据权利要求5所述的基于安全信任评估的访问准入身份认证系统,其特征在于,所述隔离单元根据所述分析模块的分析结果将所述第二安全IP地址释放并将所述第二安全IP地址返回至所述第一评估单元,以及将所述第二安全病毒种类代码释放并将所述第二安全病毒种类代码返回至所述第二评估单元。
7.根据权利要求6所述的基于安全信任评估的访问准入身份认证系统,其特征在于,所述评估模块接收所述第一控制指令对所述IP地址进行二次评估,以及接收所述第二控制指令对所述强等级病毒代码进行二次评估并得到二次评估结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244315.6A CN117353989B (zh) | 2023-09-25 | 2023-09-25 | 基于安全信任评估的访问准入身份认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311244315.6A CN117353989B (zh) | 2023-09-25 | 2023-09-25 | 基于安全信任评估的访问准入身份认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117353989A CN117353989A (zh) | 2024-01-05 |
| CN117353989B true CN117353989B (zh) | 2024-05-28 |
Family
ID=89362285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311244315.6A Active CN117353989B (zh) | 2023-09-25 | 2023-09-25 | 基于安全信任评估的访问准入身份认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117353989B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| KR20230072648A (ko) * | 2021-11-18 | 2023-05-25 | (주)디에스멘토링 | 다중 신뢰도 기반 접근통제 시스템 |
| CN116192497A (zh) * | 2023-02-20 | 2023-05-30 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
| CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
-
2023
- 2023-09-25 CN CN202311244315.6A patent/CN117353989B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| KR20230072648A (ko) * | 2021-11-18 | 2023-05-25 | (주)디에스멘토링 | 다중 신뢰도 기반 접근통제 시스템 |
| CN116192497A (zh) * | 2023-02-20 | 2023-05-30 | 大连理工大学 | 一种基于零信任体系的网络准入和用户认证的安全交互方法 |
| CN116319024A (zh) * | 2023-03-23 | 2023-06-23 | 北京神州泰岳软件股份有限公司 | 零信任系统的访问控制方法、装置及零信任系统 |
| CN116545731A (zh) * | 2023-05-29 | 2023-08-04 | 中科天御(苏州)科技有限公司 | 一种基于时间窗动态切换的零信任网络访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117353989A (zh) | 2024-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8312540B1 (en) | System for slowing password attacks | |
| US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
| CN111917714B (zh) | 一种零信任架构系统及其使用方法 | |
| CN111510453B (zh) | 业务系统访问方法、装置、系统及介质 | |
| CN112926056A (zh) | 基于速度事件检测对于云应用的未授权访问的方法和系统 | |
| US20020023227A1 (en) | Systems and methods for distributed network protection | |
| JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
| CN115189927A (zh) | 一种基于零信任的电力网络安全防护方法 | |
| US20150350249A1 (en) | Determining trustworthiness of api requests based on source computer applications' responses to attack messages | |
| CN112653714A (zh) | 一种访问控制方法、装置、设备及可读存储介质 | |
| CN112613020A (zh) | 一种身份验证方法及装置 | |
| CN115622803B (zh) | 基于协议分析的权限控制系统及方法 | |
| CN114978670B (zh) | 一种基于堡垒机的身份认证方法及装置 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN113572773A (zh) | 一种接入设备及终端接入控制方法 | |
| CN107786489B (zh) | 访问请求验证方法及装置 | |
| KR101268298B1 (ko) | 위치정보 기반 인증 관제 시스템 및 방법 | |
| JP2002297543A (ja) | 不正ログイン検出装置 | |
| CN117353989B (zh) | 基于安全信任评估的访问准入身份认证系统 | |
| US10412097B1 (en) | Method and system for providing distributed authentication | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| Wu et al. | Research on security strategy of power internet of things devices based on zero-trust | |
| WO2019159809A1 (ja) | アクセス分析システム及びアクセス分析方法 | |
| CN109510828B (zh) | 一种网络中的威胁处置效果的确定方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |