-
公开(公告)号:CN114265775B
公开(公告)日:2024-05-24
申请号:CN202111576319.5
申请日:2021-12-21
Applicant: 中国科学院信息工程研究所
IPC: G06F11/36
Abstract: 本发明涉及一种硬件辅助虚拟化环境核心检测方法及系统,其方法包括:S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同的返回值,根据返回值,从而判断虚拟化环境是否存在;S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对系统性能的影响,从而判断虚拟化环境是否存在;S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在。
-
公开(公告)号:CN114265775A
公开(公告)日:2022-04-01
申请号:CN202111576319.5
申请日:2021-12-21
Applicant: 中国科学院信息工程研究所
IPC: G06F11/36
Abstract: 本发明涉及一种硬件辅助虚拟化环境核心检测方法及系统,其方法包括:S1:当检测程序拥有普通权限对VMCALL操作时,基于VMCALL虚拟化扩展指令主动地进行VMExit,向Hypervisor中Hypercall处理函数发送调用,根据默认返回值,从而判断虚拟化环境是否存在;S2:当检测程序拥有特权权限对VMCALL操作时,调用VMCALL并通过通用寄存器传递参数,可以获得不同的返回值,根据返回值,从而判断虚拟化环境是否存在;S3:当检测程序拥有特权权限对CR0操作时,通过改变CR0寄存器的CD位来检查对系统性能的影响,从而判断虚拟化环境是否存在;S4:当检测程序拥有特权权限对L2C操作时,通过驱逐特定的L2C的Cache组,根据Cache组的驱逐情况,从而判断虚拟化环境是否存在。
-
公开(公告)号:CN107070895B
公开(公告)日:2020-05-22
申请号:CN201710160267.0
申请日:2017-03-17
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种基于SDN的数据流溯源方法,其步骤包括:1)SDN交换机对指定的字段进行定期采样,得到数据包信息Flow_ID和交换机信息,其中交换机信息包括交换机标识Switch_ID和数据包入端口input port;2)以Flow_ID为Key对上述数据包信息Flow_ID和交换机信息进行分组得到每个分组的数据集SAi,其中下标i标记不同分组的数据集;3)根据SDN的网络拓扑结构G对上述每个分组的数据集SAi进行路径分析;4)根据上述路径分析结果确定路径起点,进行路径重构,得到数据包或数据流的路径。该方法通过实现数据包或数据流路径的重构,从而能够追溯到攻击源的源头。
-
公开(公告)号:CN106790219B
公开(公告)日:2019-11-26
申请号:CN201710018099.1
申请日:2017-01-10
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种SDN控制器的访问控制方法及系统。本系统包括SDN控制器、交换机和至少一项北向应用;北向应用分为三种安全级别:管理员类别、网络配置类别和用户类别;其中,管理员类别允许读写数据平面中的设备数据;网络配置类别的北向应用允许读写数据平面中的用于管理转发数据包的控制数据,以及数据平面中的用于控制数据包转发的控制数据;用户类别允许读写数据平面中的转发数据;所述北向应用将用户分类在对应用的安全级别中;以及将用户信息以及访问请求发送给SDN控制器中对应的基础应用;该基础应用根据用户的安全级别确定该用户是否具有对所请求访问数据的访问权限,进行访问控制。本发明提高了SDN网络中网络信息的机密性。
-
公开(公告)号:CN105207950B
公开(公告)日:2019-01-25
申请号:CN201510590699.6
申请日:2015-09-16
Applicant: 中国科学院信息工程研究所
IPC: H04L12/813 , H04L12/937 , H04L29/06
Abstract: 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为:1)控制器生成随机化标签和交换机标签;2)控制器根据定义的分割元组生成随机化策略与还原策略,并将其以流表的方式发送到交换机;3)交换机检测数据包是否带有随机化标签,如果是则进行步骤4);否则进入源地址判断过程:判断该数据包源地址是否在传输列表中,如果在则执行随机化策略流表,新生成的数据包并将其转发给下一跳交换机;4)判断该数据包带有的随机化标签是否匹配随机化标签,如果匹配则判断该数据包的交换机标签是否正确,如果正确则根据网络拓扑判断其是否连接目的主机,如果是则执行还原策略流表,然后将还原数据发送给目的主机。本发明大大提高了通信安全性。
-
Patent Agency Ranking
公开(公告)号:CN105391690B
公开(公告)日:2018-11-13
申请号:CN201510679633.4
申请日:2015-10-19
Applicant: 中国科学院信息工程研究所
IPC: H04L29/06
Abstract: 本发明提供一种基于POF的网络窃听防御方法,包括以下步骤:在控制器收到传输路径请求时,计算网络架构中存在的所有传输备选路径;从中随机选取一条,并将该路径的传输方案下发至底层交换机;每隔指定时间,随机切换另一新路径,并以流表形式将该新路径的传输方案下发,并延迟一段时间后删除前次传输方案;每隔一指定时间,切换新的数据包承载协议类型,该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步,控制器识别承载协议类型;底层交换机收到以切换后的协议类型封装的数据包后,将其上传,控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议,可与现有加密技术兼容。
-
公开(公告)号:CN107222433A
公开(公告)日:2017-09-29
申请号:CN201710253313.1
申请日:2017-04-18
Applicant: 中国科学院信息工程研究所
IPC: H04L12/931 , H04L12/935 , H04L29/06 , H04L29/12
Abstract: 本发明提供一种基于SDN网络路径选择的网络访问控制方法,基于现有SDN架构,通过SDN交换机、SDN控制器、认证服务器、流量分析设备、ACA对接入网络的主机进行实时的流量监控,确保访问网络服务的用户主机接入网络进行认证和授权,建立用户和服务器之间的访问路径,根据用户的行为证据计算信任度,根据信任度采取针对该用户的访问控制策略,保证内网的安全。
-
公开(公告)号:CN106506264A
公开(公告)日:2017-03-15
申请号:CN201610929876.3
申请日:2016-10-31
Applicant: 中国科学院信息工程研究所
IPC: H04L12/26
Abstract: 本发明公开了一种基于SDN的自定义数据包采样方法。本方法为:1)在控制器中设置一采样模块,控制器根据上层应用发来的采样配置信息对指定交换机进行配置;2)当控制器接收上层应用发来的采样开始指令时,将其发送给指定交换机;3)交换机收到采样开始指令时,启动设置的定时器,根据配置对每一数据包进行筛选,得到满足匹配规则的数据包,然后按照配置的采样方式从筛选出的数据包中提取所需内容,输出到指定端口;4)当控制器接收上层应用发来的采样停止指令时,根据采样停止指令向指定交换机下发采样停止指令;交换机收到停止采样指令时,停止采样并取消定时器。本发明不但保证采样内容更加精确,而且能最大程度的减小数据包的大小。
-
公开(公告)号:CN114500051B
公开(公告)日:2022-10-11
申请号:CN202210096517.X
申请日:2022-01-26
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , H04L9/32 , H04L67/104
Abstract: 本发明涉及一种基于区块链的证书管理方法及系统,其方法包括:S1:服务器在证书注册申请过程中用私钥向CA发送签名,CA使用私钥进行签名,然后发给区块链的peer节点;peer节点验证服务器和CA对证书的签名均正确后,生成CertInfo数据结构,并将证书指纹插入到validCertCF中;S2:服务器或CA发现待撤销证书时,签名后发给peer节点;peer节点验证签名之一正确后,peer节点将证书指纹从validCertCF删除后插入revokedCertCF;S3:客户端向peer节点发送证书验证请求,peer节点根据Hashcert查询revokedCertCF或validCertCF是否存在证书指纹,结合区块链交易信息确定证书状态;S4:CA将删除请求发送给peer节点,peer节点验证证书的有效期后,将过期证书的指纹从validCertCF或revokedCertCF中删除。
-
公开(公告)号:CN104378363B
公开(公告)日:2017-09-15
申请号:CN201410599147.7
申请日:2014-10-30
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种动态应用地址转换方法及其网关系统,实现一种新的Web应用攻击防御方法;通过动态转换URL地址,转换应用系统的攻击面,隐藏Web应用的脆弱性,增加攻击者的攻击难度,大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁,提高了Web应用系统的安全性。
-
-
-
-
-
-
-
-
-
Search Results
29
records
(took 0.033 seconds)
