-
公开(公告)号:CN115296839A
公开(公告)日:2022-11-04
申请号:CN202210728335.X
申请日:2022-06-24
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
Abstract: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质,涉及互联网通信技术领域,能够提高拓扑信息的完整性与正确性。本发明包括:在拟态路由器中,通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据,其中,所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体,所述拟态路由器与SDN控制器之间建立BGP‑LS连接;将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定,并记录异常数据;根据所记录的异常数据生成异常信息并发送给所述调度器,并触发所述调度器对拥有异常数据的路由执行体进行处理。
-
公开(公告)号:CN114866473A
公开(公告)日:2022-08-05
申请号:CN202210178025.5
申请日:2022-02-25
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L47/10 , H04L43/0894
Abstract: 本发明提供了一种转发装置及流量输出接口调节方法,本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表,此索引表中包含索引表类型Type、Key以及0~1023个Index值,且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率,一旦发现有成员接口出现超带宽的情况,就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口,将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题,有效的保护业务不受影响。
-
公开(公告)号:CN114531270A
公开(公告)日:2022-05-24
申请号:CN202111671863.8
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置,其中防御方法包括:集中式认证服务器验证网络中的所有接入设备的身份;接入设备根据设备信息生成设备指纹;获取转发流量包的特征;所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值;根据所述特征确定恶意流量;确定所述恶意流量的源IP地址,将源IP地址加入黑名单并设置期限;确定当前网络中的接入设备的设备指纹是否改变;本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量,从而对其进行防御,这样可以精确防御分段路由标签探测的攻击,可以提高目标网络的安全性,减少了网络被破坏的可能。
-
Patent Agency Ranking
公开(公告)号:CN114430376A
公开(公告)日:2022-05-03
申请号:CN202111665410.4
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L41/0896 , H04L41/12 , H04L45/00 , H04L47/215 , H04L47/25
Abstract: 本发明公开了一种带宽限制方法及装置,应用于SR Policy场景下,带宽限制方法包括:PCE设备接收网络拓扑结构、LSP信息以及带宽需求;PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽;PCE设备将路径及端口的剩余带宽发送给Headend设备;Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速;本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽,Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速,有效的保护SR Policy业务不受影响。
-
公开(公告)号:CN107071075A
公开(公告)日:2017-08-18
申请号:CN201611007703.2
申请日:2016-11-16
Applicant: 国家数字交换系统工程技术研究中心 , 上海红阵信息科技有限公司
Abstract: 本发明属于IP分组数据在传送过程中的IP地址变换实现方法技术领域,具体涉及一种网络地址动态跳变的装置及方法,基本思想就是策略管理下的按需通信。首先,当用户主机需要与外界进行通信时才将自己注册到网络中,并获得自己的网络身份;否则,用户主机在网络上不可见。其次,只有主机用户将自己的网络身份告知需要通信的对端,对端主机才能在网络中定位到该主机;其他任何主机在不知道该主机网络身份的条件下,无法访问到该主机。最后,主机的接入过程和主机之间的相互访问都严格受权限控制策略约束,一方面,非授权主机无法接入网络,另一方面,在授权接入的条件下,即使能够获得其他用户的网络标识,双方不属于同一个授权组,彼此之间也无法互访。
-
公开(公告)号:CN106713263A
公开(公告)日:2017-05-24
申请号:CN201611014427.2
申请日:2016-11-18
Applicant: 上海红阵信息科技有限公司 , 国家数字交换系统工程技术研究中心
CPC classification number: H04L61/1511 , H04L63/0236 , H04L63/104 , H04L63/1408 , H04L63/1441 , H04L67/1078
Abstract: 本发明涉及计算机网络领域,尤其涉及一种局域网内用户按需动态认证连接的系统及方法,包括三个平面组成,分别为数据平面、控制平面和管理平面,所述数据平面与控制平面之间通过Openflow协议通信,控制平面与管理平面运行在操作系统中,通过进程间通信进行交互,其中:数据平面包括一个Openflow交换机,用于负责与控制平面的数据交互,根据转发策略模块下发的流表进行数据转发;控制平面包括有用户名解析模块和转发策略模块;管理平面包括有用户管理模块、组管理模块和连接管理模块。本发明解决了普通局域网内用户主机长期在线,网络拓扑基本不变,攻击者可利用该条件进行攻击和信息窃取的风险问题。
-
公开(公告)号:CN106713131A
公开(公告)日:2017-05-24
申请号:CN201611015791.0
申请日:2016-11-18
Applicant: 上海红阵信息科技有限公司 , 国家数字交换系统工程技术研究中心
IPC: H04L12/703 , H04L12/741 , H04L12/751 , H04L29/14
Abstract: 本发明涉及网络空间安全防护技术领域,尤其涉及一种多BGP路由实例并行执行的装置,包括管理调度器、异常判决器、多个输入输出代理、多个端口和多个路由实例,端口连接至邻居路由器,所述每个端口上均设置一个输入输出代理,每个输入输出代理都与所有路由实例连接,输入输出代理用于对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发,所述路由实例为支持运行BGP协议的路由器或虚拟机,管理调度器与每个输入输出代理和每个路由实例连接,用于设定路由实例的角色,同时生成报文过滤和分发策略、并下发给各个输入输出代理,所述异常判决器与每个路由实例连接,用于读取每个路由实例的路由表,从而判决路由实例的路由表是否存在异常。
-
公开(公告)号:CN105306251A
公开(公告)日:2016-02-03
申请号:CN201510582300.X
申请日:2015-09-14
Applicant: 上海红神信息技术有限公司
IPC: H04L12/24
CPC classification number: H04L41/145 , H04L41/12 , H04L41/147
Abstract: 本发明开了一种拟态网络拓扑变换的方法,克服了现有技术中,网络结构动态变化有待解决的问题。该发明具有以下步骤:一次局部子网的等效变换步骤包括:A1.确定要进行拓扑等效变换的局部子网;A2.用网络描述方法对A1确定的局部子网进行抽象描述;A3.基于约束条件构建A2所描述局部子网的等效子网;A4.用新构建的子网替代原有子网。与现有技术相比,本发明拟态网络拓扑变换的方法具有以下优点:1.该方法通过多次对网络局部子网的拓扑等效变换达到整体网络拓扑变换的效果,由于拓扑变换的目标是网络中的子网,而非整个网络,因此大大减小了拓扑变换的网络规模,降低了网络拓扑变换的难度。
-
-
-
-
-
-
-
Search Results
28
records
(took 0.057 seconds)
