KR101982960B1 - 불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선 - Google Patents

불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선 Download PDF

Info

Publication number
KR101982960B1
KR101982960B1 KR1020177030332A KR20177030332A KR101982960B1 KR 101982960 B1 KR101982960 B1 KR 101982960B1 KR 1020177030332 A KR1020177030332 A KR 1020177030332A KR 20177030332 A KR20177030332 A KR 20177030332A KR 101982960 B1 KR101982960 B1 KR 101982960B1
Authority
KR
South Korea
Prior art keywords
virtual machine
communication
hypervisor
same host
running
Prior art date
Application number
KR1020177030332A
Other languages
English (en)
Other versions
KR20170129255A (ko
Inventor
이고르 페인버그
후이-란 루
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20170129255A publication Critical patent/KR20170129255A/ko
Application granted granted Critical
Publication of KR101982960B1 publication Critical patent/KR101982960B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

불필요한 암호화 및 복호화 동작과 같은 불필요한 기능을 비활성화함으로써 개선된 가상화 애플리케이션 성능이 제공된다. 하이퍼바이저에 의해 수행되는 예시적인 방법은 제 1 가상 머신과 제 2 가상 머신 사이의 통신을 암호화하고 복호화하는 것 중 하나 이상에 대한 요청을 획득하는 단계와, (예를 들어, 통신의 콘텍스트를 평가함으로써) 제 1 가상 머신 및 제 2 가상 머신이 하이퍼바이저와 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계와, 제 1 가상 머신 및 제 2 가상 머신이 동일한 호스트 상에서 실행되면 통신을 암호화하거나 복호화하지 않고 통신을 처리하는 단계를 포함한다. 합법적 감청은 통신의 암호화되지 않은 버전을 공인 기관에 전달함으로써 수행된다. 통신이 제 1 가상 머신과 제 2 가상 머신 사이에서 스위치 및/또는 라우터를 통과하면, 통신의 암호화되지 않은 버전이 버퍼 내의 큐에 배치되고 랜덤 값 및/또는 올 제로 값이 호출자에게 반환된다.

Description

불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선
본 출원은 일반적으로 보안 데이터 통신에 관한 것으로, 보다 구체적으로 이러한 보안 데이터 통신의 성능을 향상시키는 기술에 관한 것이다.
이 섹션은 발명에 대한 더 나은 이해를 가능하게 하기 위해 도움이 될 수 있는 양상을 소개한다. 따라서, 이 섹션의 서술을 이러한 관점에서 읽어야 하며, 종래 기술에 있는 것 또는 종래 기술에 없는 것에 대한 인용으로서 이해해서는 안 된다.
네트워크 기능 가상화(Network Functional Virtualization: NFV)는 정보 기술(IT) 가상화 관련 기술을 사용하여 네트워크 노드 기능의 클래스를 통신 서비스를 생성하도록 접속될 수 있는 빌딩 블록으로 가상화한다. NFV 설계를 구현하는 서비스 제공자는 하나 이상의 가상화 네트워크 기능(Virtualized Network Function: VNF)을 구현(즉, 네트워크 기능의 소프트웨어 구현)할 것이다. 다수의 VNF는 주어진 서비스를 전달하기 위한 순서로 통상 사용된다.
합법적 감청(Lawful Interception: LI)은 분석 또는 증거를 위해 네트워크 관리 정보 또는 통신 콘텐츠와 같은 통신 데이터를 합법적으로 획득하는 작업이다. 합법적 감청은 법 집행 기관(law enforcement agencies: LEAs), 행정 기관, 정보 기관 또는 다른 공인 기관을 대신하여 원격통신을 감청하는 것을 포함할 수 있다.
범용 표준 하드웨어에 배포된 네트워크 기능의 가상화는 배포 및 유지보수 비용을 크게 줄이고 제품 개발 시간도 단축할 것으로 예상된다. 그럼에도 불구하고, NFV 환경에서는 암호화와 같은 불필요한 기능을 비활성화함으로써 성능 개선을 달성해야 할 필요가 여전히 있다. 또한, 가상화 환경에서 합법적 감청(LI)을 수행하기 위한 기술 개선에 대한 필요성이 존재한다.
본 발명의 예시적인 실시예는 불필요한 암호화 및 복호화 동작과 같은 불필요한 기능을 비활성화함으로써 개선된 가상화 애플리케이션 성능을 위한 기술 및 장치를 제공한다. 예를 들어, 일 실시예에서, 하이퍼바이저에 의해 수행되는 방법은 제 1 가상 머신과 제 2 가상 머신 사이의 통신을 암호화하고 복호화하는 것 중 하나 이상에 대한 요청을 획득하는 단계와, (예를 들어, 통신의 콘텍스트를 평가함으로써) 제 1 가상 머신 및 제 2 가상 머신이 하이퍼바이저와 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계와, 제 1 가상 머신 및 제 2 가상 머신이 동일한 호스트 상에서 실행되면 통신을 암호화하거나 복호화하지 않고 통신을 처리하는 단계를 포함한다. 합법적 감청은 통신의 암호화되지 않은 버전을 공인 기관에 전달함으로써 수행될 수 있다.
일 실시예에서, 통신이 제 1 가상 머신과 제 2 가상 머신 사이에서 스위치 및/또는 라우터를 통과하면, 통신의 암호화되지 않은 버전이 목적지 가상 머신 및 하이퍼바이저 중 하나 이상의 버퍼 내의 큐에 배치되고 랜덤 값 및 올 제로(all-zero) 값 중 하나 이상이 호출자에게 반환된다. 그런 다음 통신의 암호화되지 않은 버전이 큐에 위치되며 목적지 가상 머신으로 반환된다.
다른 실시예에서, 하나 이상의 소프트웨어 프로그램의 실행가능 코드가 인코딩된 유형의 프로세서 판독가능 저장 매체를 포함하는 제조품이 제공된다. 적어도 하나의 프로세싱 디바이스에 의해 실행될 때 하나 이상의 소프트웨어 프로그램은 전술한 방법의 단계들을 구현한다.
또 다른 실시예에서, 장치는 전술한 방법의 단계들을 수행하도록 구성된 메모리 및 적어도 하나의 하드웨어 디바이스를 포함한다.
본 발명의 이들 및 다른 특징 및 이점은 첨부 도면 및 후속하는 상세한 설명으로부터 더욱 명백해질 것이다.
도 1은 본 발명의 하나 이상의 실시예가 구현되는 예시적인 가상화 환경을 도시한다.
도 2는 도 1의 주어진 암호화된 파이프의 콘텍스트와 관련된 예시적인 의사 코드를 도시한다.
도 3 및 도 4는 각각 본 발명의 일 실시예에 따라 암호화 시스템 호출 및 복호화 시스템 호출에 대한 예시적인 의사 코드를 도시한다.
도 5는 본 발명의 하나 이상의 실시예가 구현될 수 있는 하나 이상의 가상 스위치 및/또는 라우터를 가진 다른 예시적인 가상화 환경을 도시한다.
도 6 및 도 7은 각각 도 5의 예시적인 가상화 환경에서 사용하기 위한 암호화 시스템 호출 및 복호화 시스템 호출에 대한 예시적인 의사 코드를 도시한다.
도 8은 본 발명의 하나 이상의 실시예가 구현되는 프로세싱 플랫폼을 도시한다.
본 발명의 예시적인 실시예는 예시적인 가상화 환경, 컴퓨팅 시스템, 통신 시스템, 프로세싱 플랫폼, 네트워크, 네트워크 노드, 네트워크 요소 및 관련 통신 프로토콜을 참조하여 본 명세서에 설명될 것이다. 그러나, 본 발명의 실시예는 설명된 특정 구성과 함께 사용하도록 제한되지 않는 것이 아니라, 불필요한 암호화 및 복호화와 같은 불필요한 기능을 비활성화함으로써 개선된 성능을 제공하는 것이 바람직한 임의의 가상화 환경에 보다 일반적으로 적용 가능하다는 것을 이해해야 한다.
본 발명의 양상은 가상화 환경에서 공통 호스트를 공유하고 따라서 동일한 하이퍼바이저의 제어하에 있는 2개의 가상 머신 사이의 트래픽에 대해 수행되는 리던던트 암호화 및 복호화 동작이 종종 존재한다는 것을 인식한다. 본 발명의 일 실시예에 따르면, 공통 호스트를 공유하는 2개의 가상 머신 간의 트래픽에 대해 리던던트 암호화 및 복호화 동작이 비활성화된다. 예를 들어, 하나의 예시적인 실시예에서, 하이퍼바이저는 주어진 통신에 대해 암호화 및/또는 복호화 동작이 필요한지 여부를 결정하기 위해 런타임에 통신의 콘텍스트를 검사하는 내성 기술을 사용한다.
도 1은 본 발명의 하나 이상의 실시예가 구현될 수 있는 예시적인 가상화 환경(100)을 도시한다. 도 1에 도시된 바와 같이, 적어도 2개의 예시적인 가상 머신(110-1 및 110-2)은 동일한 호스트(150) 상에 위치한다. 2개의 예시적인 가상 머신(110-1 및 110-2)은 하이퍼바이저(120)를 사용하여 구현되고 암호화된 파이프(135)를 통해 통신한다. 하이퍼바이저(120)는 호스트(150)의 물리적 인프라구조 상에서 동작한다. 암호화된 파이프(135)의 파라미터는 콘텍스트(140)를 포함한다. 암호화된 파이프(135)는 예를 들어 인터넷 프로토콜 보안(IPsec)을 이용하여 통신 세션의 각각의 IP 패킷을 인증하고 암호화함으로써 암호화된 파이프(135)를 보안할 수 있다. 추가 변형 예에서, 암호화된 파이프(135)는 예를 들어 전송 계층 보안(Transport Layer Security: TLS)를 이용하여 암호화된 파이프(135)를 보안할 수 있다. 그러나, 당업자에게 자명한 바와 같이, 본 발명은 엔드포인트들 간의 모든 가능한 터널링 프로토콜에 적용될 수 있음에 유의해야 한다.
하이퍼바이저(120) 및 가능하게는 본 발명의 하나 이상의 실시예에서 시스템의 다른 부분을 구현하는 데 사용될 수 있는 상용 가능한 하이퍼바이저 플랫폼의 예는 커널 기반 가상 머신(Kernel-based Virtual Machine: KVM) 하이퍼바이저 또는 XEN 하이퍼바이저이다. 또한, 도 5와 관련하여 이하에서 더 논의되는 바와 같이, 예시적인 하이퍼바이저(120)는 선택적으로 클라우드 조정 및 관리 시스템(예컨대, 프랑스 불로뉴비양쿠르의 알까뗄 루슨트에서 제공하는 CloudBandTM NFV 플랫폼) 또는 운영 지원 시스템(프랑스 불로뉴비양쿠르의 알까뗄 루슨트에서 제공하는 Service Aware ManagerTM(SAM))과 같은 관련 가상 인프라구조 관리 시스템을 가질 수 있다. 하부 물리적 머신(예를 들어, 호스트(150))은 스토리지 제품을 포함하는 하나 이상의 분산형 프로세싱 플랫폼을 포함할 수 있다.
예시적인 가상화 환경(100)은 하이퍼바이저(120)의 제어하에 가상 머신(110-1, 110-2) 상에서 실행되는 하나 이상의 애플리케이션(도시 생략)을 더 포함한다.
도 2와 관련하여 이하에서 더 논의되는 바와 같이, 암호화된 파이프(135)의 예시적인 콘텍스트(140)는 2개의 예시적인 가상 머신(110-1 및 110-2)의 IP 어드레스, 암호화된 파이프(135)에 필요한 암호화 키잉 재료, 포트 번호(예를 들어 TLS의 경우) 및 다른 터널 파라미터를 포함한다.
그러나, 2개의 가상 머신(110-1 및 110-2)이 공통 호스트(150)를 공유하는 도 1의 실시예에서, "메시지"는 하이퍼바이저(120)의 메모리의 세그먼트이므로, 암호화된 파이프(135)에는 실제 네트워킹이 포함되지 않는다. 예시적인 일 구현예에서, 2개의 예시적인 가상 머신(110-1 및 110-2) 간의 통신은 전송을 위해 메시지 버퍼(130)에 일시적으로 저장된다. 종래의 기술로, 가상 머신(110-1)과 같은 소스 가상 머신으로부터 수신된 각각의 프로토콜 데이터 유닛(즉, 각각의 메시지)은 하이퍼바이저(120)로 전달되고, 하이퍼바이저(120)는 수신된 메시지를 암호화하고 암호화된 메시지를 메시지 버퍼(130)에 저장한다. 그 다음에 하이퍼바이저(120)는 메시지 버퍼(130)의 콘텐츠를 복사하고 가상 머신(110-2)과 같은 목적지 가상 머신으로의 전달을 위해 암호화된 메시지를 복호화한다.
전술한 바와 같이, 본 발명의 양상은 공통 호스트를 가진 2개의 가상 머신(110-1 및 110-2) 사이에서 암호화된 파이프(135) 상의 트래픽에 대해 주어진 암호화 동작 및 연관된 복호화 동작을 비활성화함으로써 하나 이상의 리던던트 암호화 및 복호화 동작을 감소시킨다. 예시적인 일 실시예에서, 하이퍼바이저는 주어진 통신에 암호화 및/또는 복호화 동작이 필요한지 여부를 결정하기 위해 런타임에 통신의 콘텍스트(140)를 검사하는 데 내성 기술을 사용한다.
예시적인 일 구현예에서, 하이퍼바이저(120)는 암호화된 파이프(135)(예를 들어, 터널)를 수립하기 위해 TLS 또는 IPsec와 같은 암호화 터널링 프로토콜의 인보케이션을 중단함으로써 가상 머신(110-1)과 같은 하나의 가상 머신이 동일한 호스트(150) 상의 다른 가상 머신, 예컨대 가상 머신 (110-2)과 암호로 보호된 터널을 수립하려고 하고 있음을 검출한다. 암호화된 파이프(135)가 수립되면, 하이퍼바이저(120)는 콘텍스트(140)를 학습하고 두 가상 머신(110)을 연관시키는 데이터 구조에 콘텍스트(140)를 저장하며, 이 데이터 구조는 도 2와 관련하여 이하에서 더 논의된다.
도 3 및 도 4와 관련하여 이하에서 더 논의되는 바와 같이, 하이퍼바이저(120)는 암호화 인보케이션을 포함하는 (가상 머신(110-1 또는 110-2)으로부터의) 각각의 후속 시스템 호출에서 콘텍스트(140)를 평가한다. 그러나, 하이퍼바이저(120)는 가상 머신(110)이 동일한 호스트(120) 상에 있을 때 암호화/복호화 동작을 수행하지 않는다. 오히려, 암호화 호출에서, 예시적인 하이퍼바이저(120)는 암호화가 발생하였고 암호화되지 않은 메시지 버퍼(130)를 목적지 가상 머신으로 전달한 것처럼 시스템 호출(예를 들어, 확인응답)을 반환한다. 유사하게, 하이퍼바이저(120)는 메시지 버퍼(130)의 콘텐츠를 복호화하기 위해 이후의 호출을 무시한다.
또한, 도 1에 도시된 바와 같이, 예시적인 하이퍼바이저(120)는 특정 인스트럭션의 실행을 가상화하기 위해 하나 이상의 시스템 호출 트랩(160)을 사용한다. 이러한 방식으로, 인스트럭션이 발견되고 알려진 방식으로 소프트웨어로 에뮬레이트될 가상 머신 환경 내로 트랩(160)으로 대체된다.
또한, 도 2 내지 도 4는 본 발명의 예시적인 IPSec 구현을 위한 예시적인 의사 코드를 도시한다. TLS 구현과 같은 본 발명의 다른 구현을 위한 적합한 의사 코드는 본 개시내용에 기초하여 당업자에게 명백할 것이다. 예를 들어, TLS 구현의 경우, 당업자에게 명백한 바와 같이, 콘텍스트(140)는 발신-착신 포트를 포함한다.
도 2는 주어진 암호화된 파이프(135)의 콘텍스트(140)와 관련된 예시적인 의사 코드(200)를 도시한다. 도 2에 도시된 바와 같이, 예시적인 의사 코드(200)는 콘텍스트(140)를 저장하는 데이터 구조를 생성하는 코드(210)를 포함한다. 예시적인 콘텍스트(140)는 암호화된 파이프(135)에 필요한 암호화 키잉 재료가 저장되는 예시적인 IPsec 프로토콜 슈트의 인터넷 키 교환(IKE) 콘텍스트로의 포인터를 포함한다. 또한, 콘텍스트(140)에 대한 예시적인 데이터 구조는 암호화된 파이프(135)와 관련된 2개의 예시적인 가상 머신(110-1 및 110-2)의 IP 어드레스를 포함한다.
또한, 콘텍스트 데이터 구조를 생성하는 예시적인 코드(210)는 가상 환경(100)에서 합법적 감청(LI)을 가능하게 하는 부분을 포함한다.
예시적인 의사 코드(200)는 IPsec 키 교환 시스템 호출 인보케이션을 처리하기위한 핸들러 루틴(220)을 더 포함한다. 도 2에 도시된 바와 같이, IPsec 키 교환 시스템 호출에서, 목적지 주소가 로컬 가상 머신(100)에 속하면 IKE 콘텍스트가 수립된다.
도 3은 본 발명의 일 실시예에 따라 암호화 시스템 호출(300)에 대한 예시적인 의사 코드를 도시한다. 도 3에 도시된 바와 같이, 암호화 시스템 호출(300)에서, 핸들러는 현재 호스트(150) 상의 통신에 대한 콘텍스트(도 2의 의사 코드(200)에 의해 생성된 IKE_context)가 있는지 여부를 초기에 결정함으로써 착신 메시지를 처리한다. 콘텍스트가 있으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있는 경우), 예시적인 암호화 시스템 호출(300)은 통신을 암호화하지 않는다. 콘텍스트가 없으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있지 않는 경우), 예시적인 암호화 시스템 호출(300)은 종래의 방식으로 IPsec 암호화를 계속한다.
도 4는 본 발명의 일 실시예에 따라 복호화 시스템 호출(400)에 대한 예시적인 의사 코드를 도시한다. 도 4에 도시된 바와 같이, 복호화 시스템 호출(400)에서, 핸들러는 현재 호스트(150) 상의 통신에 대한 콘텍스트(도 2의 의사 코드(200)에 의해 생성된 IKE_context)가 있는지 여부를 초기에 결정함으로써 착신 메시지를 처리한다. 콘텍스트가 있으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있는 경우), 예시적인 복호화 시스템 호출(400)은 통신을 복호화하지 않는다. 콘텍스트가 없으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있지 않는 경우), 예시적인 복호화 시스템 호출(400)은 종래의 방식으로 IPsec 복호화를 계속한다.
도 5는 본 발명의 하나 이상의 실시예가 구현될 수 있는 하나 이상의 가상 스위치 및 라우터를 가진 다른 예시적인 가상화 환경(500)을 도시한다. 도 5에 도시된 바와 같이, 적어도 2개의 예시적인 가상 머신(510-1 및 510-2)은 동일한 호스트(550) 상에 위치한다. 2개의 예시적인 가상 머신(510-1 및 510-2)은 하이퍼바이저(520)를 사용하여 구현되고 암호화된 파이프(535)를 통해 통신한다. 하이퍼바이저(520)는 도 1의 실시예와 유사한 방식으로 호스트(550)의 물리적 인프라구조 상에서 실행된다. 암호화된 파이프(535) 및 관련 콘텍스트(540)는 도 1의 실시예와 유사한 방식으로 구현될 수 있다. 예시적인 가상화 환경(500)은 하이퍼바이저(520)의 제어하에 가상 머신(510-1, 510-2) 상에서 실행되는 하나 이상의 애플리케이션(도시 생략)을 더 포함한다.
도 5에 도시된 바와 같이, 예시적인 가상화 환경(500)은 하나 이상의 가상 스위치(537) 및/또는 하나 이상의 라우터(539)를 포함한다. 가상 스위치(537) 및/또는 라우터(539)가 존재하면, 메시지가 다른 가상 머신에 의해 감청되지 않을 수도 있도록 주의해야 한다. 합법적 감청의 경우, 이러한 메커니즘이 감청을 지원할 것이다.
도 5의 실시예에서, 2개의 가상 머신(510-1, 510-2)은 도 1의 실시예와 유사한 방식으로 공통 호스트(550)를 공유한다. 예시적인 일 구현예에서, 2개의 예시적인 가상 머신(510-1 및 510-2) 간의 통신은 전송을 위해 메시지 버퍼(530)에 일시적으로 저장된다. 전술한 바와 같이, 본 발명의 양상은, 공통 호스트를 가진 2개의 가상 머신(510-1 및 510-2) 사이에서 암호화된 파이프(535) 상의 트래픽에 대해 주어진 암호화 동작 및 연관된 복호화 동작을 비활성화함으로써 하나 이상의 리던던트 암호화 및 복호화 동작을 감소시킨다. 예시적인 일 실시예에서, 하이퍼바이저(520)는 주어진 통신에 암호화 및/또는 복호화 동작이 필요한지 여부를 결정하기 위해 런타임에 통신의 콘텍스트(540)를 검사하는 데 내성 기술을 사용한다.
예시적인 일 구현예에서, 하이퍼바이저(520)는 가상 머신(510-1)과 같은 하나의 가상 머신이 동일한 호스트(550) 상의 가상 머신(510-2)과 같은 다른 가상 머신과 암호로 보호된 터널을 수립하려고 시도하고 있음을 검출하고 콘텍스트(540)를 알게 된다. 그 후, 하이퍼바이저(520)는 메시지 버퍼(530)를 복사함으로써 가상 머신(510-1)과 가상 머신(510-2) 사이에서 실제 메시지를 직접 전달한다. 스위치(537) 및 라우터(539)에는 (예컨대, 랜덤 또는 올 제로 페이로드를 가진) 더미 메시지가 공급되고 수신시에 무시된다.
운영 지원 시스템(OSS)(560)은 통합 IP 네트워크의 모든 도메인에서 엔드 투 엔드 네트워크 및 서비스 관리를 가능하게 한다. 예시적인 동작 지원 시스템(560)은 네트워크 서비스가 가상화 환경에서 실행되는지 또는 특수 하드웨어 플랫폼 상에서 실행되는지와 관계없이 통일된 동작을 전달한다. 예시적인 동작 지원 시스템(560)은 예를 들어 알까뗄 루슨트의 SAM(Service Aware Manager)을 사용하여 구현될 수 있다.
클라우드 관리 시스템(570)은 선택적으로 서비스 제공자의 분산형 네트워크 및 데이터 센터에 걸쳐 가상 네트워크 기능을 조정, 자동화 및 향상시킨다. 클라우드 관리 시스템(570)은 예를 들어 알까뗄 루슨트의 클라우드밴드 관리 시스템(CloudBand Management System)을 사용하여 구현될 수 있다. 일반적으로, 클라우드 관리 시스템(570)은 선택적으로 분산형 클라우드 노드를 집합시키고, 전체 NFV 인프라구조의 뷰를 단일 캐리어급 풀(carrier-grade pool)로서 제공한다.
예시적인 동작 지원 시스템(560) 및/또는 예시적인 클라우드 관리 시스템(570)은 주어진 콘텍스트의 생성 및/또는 삭제를 위한 직접적인 인스트력선을 발행할 수 있다.
도 6은 도 5의 예시적인 가상화 환경(500)에서 사용할 암호화 시스템 호출(600)에 대한 예시적인 의사 코드를 도시한다. 도 6에 도시된 바와 같이, 암호화 시스템 호출(600)에서, 핸들러는 현재 호스트(550) 상의 통신에 대한 콘텍스트 (도 2의 의사 코드(200)에 의해 생성된 IKE_context)가 있는지 여부를 초기에 결정함으로써 착신 메시지를 처리한다. 콘텍스트가 있으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있는 경우), 예시적인 암호화 시스템 호출(600)은 암호화되지 않은 메시지를 목적지 가상 머신(510) 또는 버퍼(530) 내의 큐에 배치하고, 올 제로(또는 랜덤) 엔트리를 호출자에게 반환한다. 콘텍스트가 없으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있지 않는 경우), 예시적인 암호화 시스템 호출(600)은 종래의 방식으로 IPsec 암호화를 계속한다.
도 7은 도 5의 예시적인 가상화 환경(500)에서 사용할 복호화 시스템 호출 (700)에 대한 예시적인 의사 코드를 도시한다. 도 7에 도시된 바와 같이, 복호화 시스템 호출(700)에서, 핸들러는 현재 호스트(550) 상의 통신에 대한 콘텍스트(도 2의 의사 코드(200)에 의해 생성된 IKE_context)가 있는지 여부를 초기에 결정함으로써 착신 메시지를 처리한다. 콘텍스트가 있으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있는 경우), 예시적인 복호화 시스템 호출(700)은 메시지 버퍼(530) 내의 적합한 큐에 원래의 (암호화되지 않은) 메시지를 위치시키고 원래의 메시지를 반환한다(그리고 입력의 콘텐츠를 폐기한다). 콘텍스트가 없으면(즉, 통신에 포함된 2개의 가상 머신이 동일한 호스트 상에 있지 않은 경우), 예시적인 복호화 시스템 호출(700)은 종래의 방식으로 IPsec 복호화를 계속한다.
본 명세서에 설명된 가상 머신(110, 510) 중 하나가 다른 호스트(150, 550)로 이동되는 경우에, 더 이상 동일한 호스트 상에 존재하지 않는 2개의 가상 머신 사이에서 통신의 암호화로 되돌아가는 것이 중요하다. 이 경우에, 암호화를 비활성화한 하이퍼바이저(120, 520)는 가상 머신이 이동했음을 검출할 때 암호화를 복원할 것이다. 이 검출은 여러 수단(예를 들어, 가상 머신(510-2)과 같은 가상 머신의 종료, 또는 동작 지원 시스템(560) 또는 클라우드 조정 관리 시스템(570)으로부터의 액션)에 의해 시그널링된 콘텍스트(140, 540)의 변화에 의해 트리거될 수 있다.
합법적 감청의 경우에, 위의 메커니즘을 사용하여, 문제의 통신 스트림이 감청을 위해 암호화되지 않고 전달될 수 있다. 통신 스트림 선택의 세부사항을 선택적으로 특정 (IP 주소, 포트) 쌍으로 좁힐 수 있다. 이 구성은 성능 최적화에 대한 요구와 독립적으로 동작할 것이다. 이러한 방식으로, 감청된 통신 데이터가 공인 기관에 제공될 수 있다.
도 8은 본 발명의 하나 이상의 실시예가 구현되는 프로세싱 플랫폼(800)을 도시한다. 이 실시예에서 프로세싱 플랫폼(800)은 주어진 시스템의 적어도 일부를 포함하며, 네트워크(804)를 통해 서로 통신하는 802-1, 802-2, 802-3,...802-D로 표시된 복수의 프로세싱 디바이스를 포함한다. 네트워크(804)는 무선 영역 네트워크(WAN), 근거리 네트워크(LAN), 위성 네트워크, 전화 또는 케이블 네트워크, 셀룰러 네트워크, WiFi 또는 WiMAX와 같은 무선 네트워크, 또는 이들 및 다른 유형의 네트워크의 다양한 부분 또는 조합과 같은 임의의 유형의 네트워크를 포함할 수 있다.
프로세싱 플랫폼(800) 내의 프로세싱 디바이스(802-1)는 메모리(812)에 결합된 프로세서(810)를 포함한다. 프로세서(810)는 마이크로프로세서, 마이크로컨트롤러, 주문형 집적 회로(ASIC), 필드 프로그래머블 게이트 어레이(FPGA) 또는 다른 유형의 프로세싱 회로뿐만 아니라 그러한 회로 요소의 일부 또는 조합을 포함할 수 있고, 실행 가능한 컴퓨터 프로그램 코드가 저장된 "컴퓨터 프로그램 제품"의 예로서 볼 수 있는 메모리(812)는 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM) 또는 다른 유형의 메모리를 임의의 조합으로 포함할 수 있다.
또한 프로세싱 디바이스(802-1)에는 프로세싱 디바이스를 네트워크(804) 및 다른 시스템 구성요소와 인터페이싱하는 데 사용되는 네트워크 인터페이스 회로(814)가 포함되며 종래의 송수신기를 포함할 수 있다.
프로세싱 플랫폼(800)의 다른 프로세싱 디바이스(802)는 도면에서 프로세싱 디바이스(802-1)에 대해 도시된 것과 유사한 방식으로 구성되는 것으로 가정된다.
다시, 도면에 도시된 특정 프로세싱 플랫폼(800)은 예로써만 제시되고, 주어진 시스템은 추가의 또는 대안적인 프로세싱 플랫폼뿐만 아니라 임의의 조합으로 다수의 별개의 프로세싱 플랫폼도 포함할 수 있으며, 각각의 플랫폼은 하나 이상의 컴퓨터, 저장 디바이스 또는 다른 프로세싱 디바이스를 포함한다.
시스템의 다수의 요소는 도 1, 도 5 또는 도 8에 도시된 유형의 공통 프로세싱 플랫폼 상에 집합적으로 구현될 수 있거나, 또는 각각의 그러한 요소는 별개의 프로세싱 플랫폼 상에 구현될 수 있다.
당해 분야에 공지된 바와 같이, 본 명세서에서 논의된 방법 및 장치는 그 자체로 컴퓨터 판독가능 코드 수단이 저장된 컴퓨터 판독가능 매체를 포함하는 제조품으로서 배포될 수 있다. 컴퓨터 판독가능 프로그램 코드 수단은 컴퓨터 시스템과 관련하여 방법을 수행하거나 본 명세서에서 논의된 장치를 생성하기 위한 모든 단계 또는 일부 단계를 수행하도록 동작 가능하다. 컴퓨터 판독가능 매체는 유형의 기록 가능한 매체(예를 들어, 플로피 디스크, 하드 드라이브, 콤팩트 디스크, 메모리 카드, 반도체 디바이스, 칩, 주문형 집적 회로(ASIC))일 수 있거나 또는 전송 매체(예컨대, 광섬유, 월드 와이드 웹, 케이블, 또는 시분할 다중 액세스, 코드 분할 다중 액세스 또는 다른 무선 주파수 채널을 사용하는 무선 채널을 포함하는 네트워크)일 수 있다. 컴퓨터 시스템과 함께 사용하기에 적합한 정보를 저장할 수 있는 것으로 알려지거나 개발된 임의의 매체가 사용될 수 있다. 컴퓨터 판독가능 코드 수단은 컴퓨터로 하여금 자기 매체 상의 자기 변화 또는 콤팩트 디스크의 표면 상의 높이 변화와 같은 인스트럭션 및 데이터를 판독하게 하는 임의의 메커니즘이다.
특정 예시적인 실시예가 특정 통신 프로토콜을 이용하는 통신 네트워크 및 시스템의 맥락에서 본 명세서에 설명되었지만, 다른 유형의 네트워크 및 시스템이 다른 실시예에서 사용될 수 있다. 따라서, 전술한 바와 같이, 본 명세서에서 사용된 "네트워크" 또는 "시스템"이라는 용어는 광범위하게 해석되도록 의도된다. 또한, 전술한 실시예는 예시용일 뿐이며 어떠한 방식으로든 제한하는 것으로 해석되어서는 안 됨을 강조해야 한다. 다른 실시예는 상이한 유형의 네트워크, 시스템, 디바이스 및 모듈 구성 및 보안 기능을 구현하기 위한 대안적인 통신 프로토콜, 프로세스 단계 및 동작을 사용할 수 있다. 사용자 디바이스 및 네트워크 노드가 통신하는 특정 방식은 다른 실시예에서 변경될 수 있다. 또한, 예시적인 실시예를 설명하는 문맥에서 이루어진 특정 가정이 본 발명의 요구사항으로 해석되어서는 안 됨을 이해해야 한다. 본 발명은 이들 특정 가정이 적용되지 않는 다른 실시예에서 구현될 수 있다. 첨부된 청구범위의 범주 내에서 이들 및 다수의 다른 대안적인 실시예는 당업자에게 쉽게 자명할 것이다.

Claims (10)

  1. 하이퍼바이저에 의해 수행되는 방법으로서,
    제 1 가상 머신과 제 2 가상 머신 사이의 통신을 암호화하고 복호화하는 것 중 하나 이상에 대한 요청을 획득하는 단계와,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 방법을 수행하는 상기 하이퍼바이저와 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계와,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 동일한 호스트 상에서 실행되면 상기 통신을 암호화하거나 복호화하지 않고 상기 통신을 처리하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계는 상기 통신의 콘텍스트를 평가하는 단계를 포함하는
    방법.

  3. 제 1 항에 있어서,
    상기 제 1 가상 머신과 상기 제 2 가상 머신이 모두 상기 동일한 호스트 상에서 실행되지 않으면 상기 통신의 상기 암호화 및 상기 복호화 중 하나 이상을 수행하는 단계를 더 포함하는
    방법.
  4. 제 1 항에 있어서,
    상기 통신은 상기 제 1 가상 머신과 상기 제 2 가상 머신 사이의 적어도 하나의 스위치 및 적어도 하나의 라우터 중 하나 이상을 통과하며,
    상기 통신을 암호화하거나 복호화하지 않고 상기 통신을 처리하는 단계는 목적지 가상 머신 및 상기 하이퍼바이저 중 하나 이상의 버퍼 내의 큐에 상기 통신의 암호화되지 않은 버전을 배치하는 단계와, 랜덤 값 및 올 제로 값(all-zero value) 중 하나 이상을 호출자에게 반환하는 단계를 더 포함하는
    방법.
  5. 제 1 항에 있어서,
    상기 통신을 암호화하거나 복호화하지 않고 상기 통신을 처리하는 단계 이후에 상기 제 1 가상 머신과 상기 제 2 가상 머신 중 하나가 상기 동일한 호스트로부터 이동되면, 상기 제 1 가상 머신과 상기 제 2 가상 머신 사이의 추가적인 통신에 대한 암호화를 요청하는 단계를 더 포함하는
    방법.
  6. 장치로서,
    메모리와,
    상기 메모리에 동작 가능하게 결합된 적어도 하나의 하드웨어 디바이스를 포함하되,
    상기 적어도 하나의 하드웨어 디바이스는 방법을 수행하는 하이퍼바이저를 구현하도록 구성되고, 상기 방법은
    제 1 가상 머신과 제 2 가상 머신 사이의 통신을 암호화하고 복호화하는 것 중 하나 이상에 대한 요청을 획득하는 단계와,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 방법을 수행하는 상기 하이퍼바이저와 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계와,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 동일한 호스트 상에서 실행되면 상기 통신을 암호화하거나 복호화하지 않고 상기 통신을 처리하는 단계를 포함하는
    장치.

  7. 제 6 항에 있어서,
    상기 제 1 가상 머신 및 상기 제 2 가상 머신이 상기 동일한 호스트 상에서 실행되는지 여부를 결정하는 단계는 상기 통신의 콘텍스트를 평가하는 단계를 포함하는
    장치.
  8. 제 6 항에 있어서,
    상기 적어도 하나의 하드웨어 디바이스는 상기 제 1 가상 머신과 상기 제 2 가상 머신 사이의 전송을 위해 상기 통신의 통신 데이터를 상기 하이퍼바이저의 버퍼에 저장하도록 더 구성되는
    장치.
  9. 제 6 항에 있어서,
    상기 적어도 하나의 하드웨어 디바이스는 상기 제 1 가상 머신과 상기 제 2 가상 머신이 모두 상기 동일한 호스트 상에서 실행되지 않으면 상기 통신의 상기 암호화 및 상기 복호화 중 하나 이상을 수행하도록 더 구성되는
    장치.
  10. 제 6 항에 있어서,
    상기 적어도 하나의 하드웨어 디바이스는 상기 제 1 가상 머신과 상기 제 2 가상 머신 중 하나가 상기 동일한 호스트로부터 이동되면, 상기 제 1 가상 머신과 상기 제 2 가상 머신 사이의 추가적인 통신에 대한 암호화를 요청하도록 더 구성되는
    장치.
KR1020177030332A 2015-04-23 2016-04-19 불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선 KR101982960B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/694,015 2015-04-23
US14/694,015 US10645064B2 (en) 2015-04-23 2015-04-23 Virtualized application performance through disabling of unnecessary functions
PCT/US2016/028212 WO2016172068A1 (en) 2015-04-23 2016-04-19 Improved virtualized application performance through disabling of unnecessary functions

Publications (2)

Publication Number Publication Date
KR20170129255A KR20170129255A (ko) 2017-11-24
KR101982960B1 true KR101982960B1 (ko) 2019-05-27

Family

ID=55910381

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177030332A KR101982960B1 (ko) 2015-04-23 2016-04-19 불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선

Country Status (6)

Country Link
US (2) US10645064B2 (ko)
EP (1) EP3286646B1 (ko)
JP (1) JP6537630B2 (ko)
KR (1) KR101982960B1 (ko)
CN (1) CN107533471B (ko)
WO (1) WO2016172068A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10645064B2 (en) * 2015-04-23 2020-05-05 Alcatel Lucent Virtualized application performance through disabling of unnecessary functions
US10001981B2 (en) * 2016-05-26 2018-06-19 At&T Intellectual Property I, L.P. Autonomous server installation
US10855465B2 (en) * 2016-11-10 2020-12-01 Ernest Brickell Audited use of a cryptographic key
US11405201B2 (en) 2016-11-10 2022-08-02 Brickell Cryptology Llc Secure transfer of protected application storage keys with change of trusted computing base
US11398906B2 (en) 2016-11-10 2022-07-26 Brickell Cryptology Llc Confirming receipt of audit records for audited use of a cryptographic key
CN108459858B (zh) * 2018-04-02 2021-11-26 武汉斗鱼网络科技有限公司 一种应用程序的功能调整方法、装置、设备及存储介质
US20190372947A1 (en) * 2018-05-31 2019-12-05 Microsoft Technology Licensing, Llc Opportunistic encryption of a communication
US11563677B1 (en) 2018-06-28 2023-01-24 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network function
US11822946B2 (en) * 2018-06-28 2023-11-21 Cable Television Laboratories, Inc. Systems and methods for secure network management of virtual network functions
US11822681B1 (en) * 2018-12-31 2023-11-21 United Services Automobile Association (Usaa) Data processing system with virtual machine grouping based on commonalities between virtual machines
US11609776B1 (en) * 2019-12-23 2023-03-21 Cisco Technology, Inc. Elastic internet protocol (IP) address for hypervisor and virtual router management in a branch environment
WO2021155918A1 (en) * 2020-02-04 2021-08-12 Telefonaktiebolaget Lm Ericsson (Publ) Sending data to a network function
US11886899B2 (en) * 2020-04-30 2024-01-30 Red Hat, Inc. Privacy preserving introspection for trusted execution environments
KR20220101434A (ko) * 2021-01-11 2022-07-19 삼성전자주식회사 서비스 운용 방법 및 이를 지원하는 전자 장치
CN114726518B (zh) * 2022-03-31 2023-05-26 阿里云计算有限公司 用于云网络系统的通信方法、装置、系统及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120054741A1 (en) * 2010-08-31 2012-03-01 Hewlett-Packard Development Company, L.P. User authentication virtual machine
JP2012178010A (ja) 2011-02-25 2012-09-13 Ntt Data Corp 情報処理システム、及び情報処理方法
JP2014023089A (ja) 2012-07-23 2014-02-03 Sony Corp 情報処理装置、情報処理方法、情報処理システム、及びプログラム
US20140226820A1 (en) * 2013-02-12 2014-08-14 Vmware, Inc. Infrastructure level lan security

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5446736A (en) * 1993-10-07 1995-08-29 Ast Research, Inc. Method and apparatus for connecting a node to a wireless network using a standard protocol
US20040105546A1 (en) * 2002-11-19 2004-06-03 Leon Chernyak Geometry-Based Symmetric Cryptosystem Method
US8285269B2 (en) * 2008-06-02 2012-10-09 Airwide Solutions Uk Ltd. Statistical spam message detection
US8250356B2 (en) * 2008-11-21 2012-08-21 Motorola Solutions, Inc. Method to construct a high-assurance IPSec gateway using an unmodified commercial implementation
US20110302068A1 (en) * 2010-06-04 2011-12-08 David Garrett Method and system for multi-tier billing for downloading content via a broadband gateway
US8938723B1 (en) * 2009-08-03 2015-01-20 Parallels IP Holdings GmbH Use of GPU for support and acceleration of virtual machines and virtual environments
US8619779B2 (en) 2009-09-30 2013-12-31 Alcatel Lucent Scalable architecture for enterprise extension in a cloud topology
US9094210B2 (en) * 2009-10-26 2015-07-28 Citrix Systems, Inc. Systems and methods to secure a virtual appliance
US20110154023A1 (en) * 2009-12-21 2011-06-23 Smith Ned M Protected device management
US8977842B1 (en) * 2010-02-05 2015-03-10 Symantec Corporation Hypervisor enabled secure inter-container communications
WO2012011218A1 (en) 2010-07-21 2012-01-26 Nec Corporation Computer system and offloading method in computer system
TWI457000B (zh) * 2010-10-05 2014-10-11 Aten Int Co Ltd 訊號延伸器系統及其訊號延伸器以及其傳送與接收模組
JP2012213036A (ja) * 2011-03-31 2012-11-01 Panasonic Corp 通信装置及び通信システム
US20150372984A1 (en) * 2011-11-21 2015-12-24 Google Inc. Protecting against sniffing based on intervals between user input signals
US8938611B1 (en) * 2012-02-02 2015-01-20 Trend Micro, Inc. Enterprise cloud security gateway
US9008316B2 (en) * 2012-03-29 2015-04-14 Microsoft Technology Licensing, Llc Role-based distributed key management
US8966626B2 (en) * 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
TWI500359B (zh) * 2012-06-29 2015-09-11 Radiant Opto Electronics Corp 照明系統、照明燈具與其燈具控制模組
CN102752301A (zh) * 2012-07-04 2012-10-24 深圳市京华科讯科技有限公司 应用于虚拟化环境的数据传输系统及方法
US20140019745A1 (en) * 2012-07-12 2014-01-16 David S. Dodgson Cryptographic isolation of virtual machines
CN103593246B (zh) * 2012-08-15 2017-07-11 中国电信股份有限公司 虚拟机和宿主机之间的通信方法、宿主机和虚拟机系统
JP2014049944A (ja) 2012-08-31 2014-03-17 Hitachi Solutions Ltd 仮想クラウドコンピュータ及びプログラム
US8918473B1 (en) * 2012-10-09 2014-12-23 Whatsapp Inc. System and method for detecting unwanted content
CN103873245B (zh) * 2012-12-14 2017-12-22 华为技术有限公司 虚拟机系统数据加密方法及设备
KR101761836B1 (ko) 2013-01-16 2017-07-26 서울바이오시스 주식회사 광 검출 소자
KR20150000160A (ko) * 2013-06-24 2015-01-02 한국전자통신연구원 분산 가상 스위치를 이용한 네트워크 구현 방법, 이를 수행하는 네트워크 장치 및 분산 가상 스위치 기반 네트워크 시스템
CA2822146C (en) * 2013-07-26 2016-09-20 Julian Jameson Air heater systems and control methods
US9397946B1 (en) * 2013-11-05 2016-07-19 Cisco Technology, Inc. Forwarding to clusters of service nodes
US9658869B2 (en) * 2014-01-06 2017-05-23 International Business Machines Corporation Autonomously managed virtual machine anti-affinity rules in cloud computing environments
US20150200972A1 (en) * 2014-01-16 2015-07-16 Qualcomm Incorporated Methods and systems for facilitating decoding of application defined or proprietary protocols in lawful intercepts
US9794186B2 (en) * 2014-03-27 2017-10-17 Nicira, Inc. Distributed network address translation for efficient cloud service access
US9258303B1 (en) * 2014-08-08 2016-02-09 Cellcrypt Group Limited Method of providing real-time secure communication between end points in a network
US9780952B1 (en) * 2014-12-12 2017-10-03 Amazon Technologies, Inc. Binding digitally signed requests to sessions
US10230693B2 (en) * 2015-01-29 2019-03-12 WebCloak, LLC Safechannel encrypted messaging system
US10645064B2 (en) * 2015-04-23 2020-05-05 Alcatel Lucent Virtualized application performance through disabling of unnecessary functions
US20170277898A1 (en) * 2016-03-25 2017-09-28 Advanced Micro Devices, Inc. Key management for secure memory address spaces
US20180189677A1 (en) * 2017-01-05 2018-07-05 Cisco Technology, Inc. Training a machine learning-based traffic analyzer using a prototype dataset
US10509905B2 (en) * 2017-09-05 2019-12-17 Attivo Networks Inc. Ransomware mitigation system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120054741A1 (en) * 2010-08-31 2012-03-01 Hewlett-Packard Development Company, L.P. User authentication virtual machine
JP2012178010A (ja) 2011-02-25 2012-09-13 Ntt Data Corp 情報処理システム、及び情報処理方法
JP2014023089A (ja) 2012-07-23 2014-02-03 Sony Corp 情報処理装置、情報処理方法、情報処理システム、及びプログラム
US20140226820A1 (en) * 2013-02-12 2014-08-14 Vmware, Inc. Infrastructure level lan security

Also Published As

Publication number Publication date
US11095616B2 (en) 2021-08-17
KR20170129255A (ko) 2017-11-24
WO2016172068A1 (en) 2016-10-27
US20200287873A1 (en) 2020-09-10
JP6537630B2 (ja) 2019-07-03
US10645064B2 (en) 2020-05-05
EP3286646A1 (en) 2018-02-28
EP3286646B1 (en) 2021-11-24
CN107533471A (zh) 2018-01-02
US20170063801A1 (en) 2017-03-02
CN107533471B (zh) 2021-05-11
JP2018513498A (ja) 2018-05-24

Similar Documents

Publication Publication Date Title
KR101982960B1 (ko) 불필요한 기능의 비활성화를 통한 가상화 애플리케이션 성능 개선
JP6857193B2 (ja) 仮想化環境においてネットワークトラフィックを解読するためのシステムおよび方法
US10103892B2 (en) System and method for an endpoint hardware assisted network firewall in a security environment
US9231976B2 (en) Creating and managing a network security tag
US8281387B2 (en) Method and apparatus for supporting a virtual private network architecture on a partitioned platform
US8422678B2 (en) Method, apparatus and system for protecting security keys on a wireless platform
US20140115702A1 (en) Encrypted data inspection in a network environment
US8909939B1 (en) Distribution of cryptographic host keys in a cloud computing environment
US10542039B2 (en) Security against side-channel attack in real-time virtualized networks
CN109558739B (zh) 程序运行方法、装置、终端及可读介质
US9524394B2 (en) Method and apparatus for providing provably secure user input/output
US11575662B2 (en) Transmitting and storing different types of encrypted information using TCP urgent mechanism
US11487867B2 (en) Method and apparatus for creating virtualized network function instance
Majhi et al. An authentication framework for securing virtual machine migration
Angin et al. Tamper-resistant autonomous agents-based mobile-cloud computing
Lu et al. Storm: Enabling tenant-defined cloud storage middle-box services
Park et al. EnclaveVPN: Toward Optimized Utilization of Enclave Page Cache and Practical Performance of Data Plane for Security-Enhanced Cloud VPN
Maitra et al. Towards Shielding 5G Control Plane Functions
Majid et al. Using L2TP Protocol in Cloud Infrastructure with IoT for Secure and Robust Communication
CN105162796A (zh) 一种数据传输的方法与设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant