-
公开(公告)号:CN114500001B
公开(公告)日:2024-04-26
申请号:CN202111671864.2
申请日:2021-12-31
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L9/40 , H04L45/50 , H04L45/745
摘要: 本发明公开了一种通信方法及装置,其中通信方法包括:网络设备接收SDN控制器下发的SID认证信息库;网络设备提取LSDB中的路由信息和设备标识;根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表;本发明通过在控制器侧实现SID认证信息的集中管理和下发,定义了认证信息所包含的字段和内容,并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。
-
公开(公告)号:CN114866473B
公开(公告)日:2024-04-12
申请号:CN202210178025.5
申请日:2022-02-25
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L47/10 , H04L43/0894
摘要: 本发明提供了一种转发装置及流量输出接口调节方法,本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表,此索引表中包含索引表类型Type、Key以及0~1023个Index值,且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率,一旦发现有成员接口出现超带宽的情况,就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口,将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题,有效的保护业务不受影响。
-
公开(公告)号:CN114531270B
公开(公告)日:2023-11-03
申请号:CN202111671863.8
申请日:2021-12-31
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
摘要: 本发明公开了一种针对分段路由标签探测的防御方法及装置,其中防御方法包括:集中式认证服务器验证网络中的所有接入设备的身份;接入设备根据设备信息生成设备指纹;获取转发流量包的特征;所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值;根据所述特征确定恶意流量;确定所述恶意流量的源IP地址,将源IP地址加入黑名单并设置期限;确定当前网络中的接入设备的设备指纹是否改变;本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量,从而对其进行防御,这样可以精确防御分段路由标签探测的攻击,可以提高目标网络的安全性,减少了网络被破坏的可能。
-
公开(公告)号:CN115499322B
公开(公告)日:2023-03-24
申请号:CN202211417485.5
申请日:2022-11-14
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L41/14 , H04L41/04 , H04L41/069
摘要: 本发明提供一种拟态设备集群的管理系统、方法和电子设备,涉及拟态设备管理技术领域,解决了如何对拟态设备集群进行统一管理的问题。该管理系统包括综合管理子系统和拟态设备管理子系统;其中,综合管理子系统,用于接收输入的操作指令;其中,操作指令包括待操作的目标拟态设备的类型和标识,操作指令包括接入操作指令、更改操作指令或者删除操作指令中的至少一种;并查找类型是否属于拟态设备集群对应的预设拟态设备类型;以及根据查找结果,触发拟态设备管理子系统根据操作指令,对目标拟态设备执行相应的操作,以对拟态设备集群中的拟态设备进行管理。这样通过综合管理子系统和拟态设备管理子系统,实现对拟态设备集群的统一管理。
-
公开(公告)号:CN115499323A
公开(公告)日:2022-12-20
申请号:CN202211431107.2
申请日:2022-11-16
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
摘要: 本发明提供一种目标虚拟场景的构建方法、装置和电子设备,涉及虚拟场景构建技术领域,解决了现有技术中无法灵活地构建虚拟场景的问题。该方法包括:在构建目标虚拟场景时,可以先接收输入的场景构建指示,场景构建指示中包括待构建的目标虚拟场景所需的目标设备的设备类型和用于指示目标设备的设备选型的第一字段,目标设备的设备选型包括拟态设备选型、非拟态设备选型或者自定义拟态设备选型;并根据目标设备的设备类型和设备选型,从预设的场景构建库中确定目标设备;再基于目标设备构建目标虚拟场景,这样可以根据用户的构建需求,灵活地构建不同的虚拟场景,从而有效地提高了虚拟场景构建的灵活度。
-
公开(公告)号:CN115499322A
公开(公告)日:2022-12-20
申请号:CN202211417485.5
申请日:2022-11-14
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L41/14 , H04L41/04 , H04L41/069
摘要: 本发明提供一种拟态设备集群的管理系统、方法和电子设备,涉及拟态设备管理技术领域,解决了如何对拟态设备集群进行统一管理的问题。该管理系统包括综合管理子系统和拟态设备管理子系统;其中,综合管理子系统,用于接收输入的操作指令;其中,操作指令包括待操作的目标拟态设备的类型和标识,操作指令包括接入操作指令、更改操作指令或者删除操作指令中的至少一种;并查找类型是否属于拟态设备集群对应的预设拟态设备类型;以及根据查找结果,触发拟态设备管理子系统根据操作指令,对目标拟态设备执行相应的操作,以对拟态设备集群中的拟态设备进行管理。这样通过综合管理子系统和拟态设备管理子系统,实现对拟态设备集群的统一管理。
-
公开(公告)号:CN115499253A
公开(公告)日:2022-12-20
申请号:CN202211442908.9
申请日:2022-11-18
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L9/40 , H04L41/044 , H04L41/0895 , H04L43/0876
摘要: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法,应用于网络安全技术领域,该试验场平台包括:基础互联层,用于基于试验场的基础设施,构建试验场的基础环境,并为所要搭建的目标场景提供互联功能;虚实网元层,用于提供多类网元设备,网元设备包括搭建目标场景所需要的设备;场景构建层,用于基于基础环境和互联功能,采用网元设备构建目标场景,并将目标场景中的网元设备和链路资源,映射为实际网元设备和实际链路资源;测试评估层,用于基于实际网元设备和实际链路资源,对目标场景进行测试,得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。
-
公开(公告)号:CN115296839A
公开(公告)日:2022-11-04
申请号:CN202210728335.X
申请日:2022-06-24
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
摘要: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质,涉及互联网通信技术领域,能够提高拓扑信息的完整性与正确性。本发明包括:在拟态路由器中,通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据,其中,所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体,所述拟态路由器与SDN控制器之间建立BGP‑LS连接;将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定,并记录异常数据;根据所记录的异常数据生成异常信息并发送给所述调度器,并触发所述调度器对拥有异常数据的路由执行体进行处理。
-
公开(公告)号:CN114866473A
公开(公告)日:2022-08-05
申请号:CN202210178025.5
申请日:2022-02-25
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC分类号: H04L47/10 , H04L43/0894
摘要: 本发明提供了一种转发装置及流量输出接口调节方法,本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表,此索引表中包含索引表类型Type、Key以及0~1023个Index值,且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率,一旦发现有成员接口出现超带宽的情况,就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口,将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题,有效的保护业务不受影响。
-
公开(公告)号:CN114531270A
公开(公告)日:2022-05-24
申请号:CN202111671863.8
申请日:2021-12-31
申请人: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
摘要: 本发明公开了一种针对分段路由标签探测的防御方法及装置,其中防御方法包括:集中式认证服务器验证网络中的所有接入设备的身份;接入设备根据设备信息生成设备指纹;获取转发流量包的特征;所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值;根据所述特征确定恶意流量;确定所述恶意流量的源IP地址,将源IP地址加入黑名单并设置期限;确定当前网络中的接入设备的设备指纹是否改变;本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量,从而对其进行防御,这样可以精确防御分段路由标签探测的攻击,可以提高目标网络的安全性,减少了网络被破坏的可能。
-
-
-
-
-
-
-
-
-