-
公开(公告)号:CN112615878B
公开(公告)日:2022-09-06
申请号:CN202011562001.7
申请日:2020-12-25
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明公开了一种基于加解密的SRv6路径认证方法、系统、设备及介质,方法包括:生成并向SR节点下发加密Segment List,加密Segment List中包括使用预设传输路径中当前SR节点的密钥对下一跳SR节点的SID的加密,预设传输路径中包括SR头节点、SR中间节点和SR尾节点;SR节点使用自身密钥对加密Segment List进行解密,若解密得到合法的下一跳SR节点的SID,则对当前SR节点认证成功,转发到下一跳SR节点继续进行认证;若不能解密得到合法的下一跳SR节点的SID,则对当前SR节点认证失败,结束转发。本发明可以对SR传输路径进行认证,保证网络流量沿着预先规划的路径有序转发。
-
公开(公告)号:CN112437009B
公开(公告)日:2022-07-01
申请号:CN202011351930.3
申请日:2020-11-27
Applicant: 网络通信与安全紫金山实验室
IPC: H04L45/00 , H04L41/084
Abstract: 本发明公开了一种SRv6端到端流策略的方法,包括以下步骤:S1、配置流分类模板,匹配项为接入用户业务流量的实际目的地址;S2、配置流动作模板,将步骤S1中的流分类模板和步骤S2中的流动作模板关联形成流策略模板,并将流策略模板配置到节点的接口上;S3、被配置流策略模板的节点收到报文后,获取该报文的目的地址;S4、如果步骤S3中被配置流策略模板的节点获取的目的地址与S1中接入用户业务流量的实际目的地址一致,则被配置流策略模板的节点执行步骤S2中的流动作;如果不一致,则被配置流策略模板的节点正常转发该报文。本发明同时提供一种路由器、路由系统和存储介质,能够实现在SRv6场景中,SRv6路径节点上支持用户流量端到端的流策略。
-
公开(公告)号:CN114584338A
公开(公告)日:2022-06-03
申请号:CN202111669420.5
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明实施例公开了一种基于Nftables的白盒交换机安全防护方法、装置及存储介质,涉及通信安全技术领域,能够识别、阻断针对白盒交换机操作系统的恶意Flood攻击,为白盒交换机提供实时攻击防御。本发明包括:白盒交换机通过Nftables为本地的INPUT节点注册安全防护策略,所述白盒交换机对于接收到的数据,执行注册在所述INPUT节点上的安全防护策略,其中,所述安全防护策略包括:黑白名单过滤环节、Flood保护环节和协议限速环节。对于通过所述黑白名单过滤环节并且通过所述Flood保护环节的数据,进一步执行所述协议限速环节。
-
公开(公告)号:CN114401227A
公开(公告)日:2022-04-26
申请号:CN202111580906.1
申请日:2021-12-22
Applicant: 网络通信与安全紫金山实验室
IPC: H04L47/22 , H04L47/2408 , H04L47/56 , H04L45/30
Abstract: 本发明公开了一种数据转发方法及装置,其中数据转发方法包括:路由器接收上一节点发送的数据包;数据包包括数据的传输路径信息以及队列分组序号;路由器根据传输路径信息将数据包转发至路由器出口,并根据队列分组序号将数据包转发至与队列分组序号对应的分组;路由器根据确定性网络机制将报文转发至下一节点;本发明通过在在路由器出端口处定义出口整形机制,将出口队列分为多个分组,每组队列以特定的时隙长度进行数据的转发,使系统可以同时以多种时隙长度进行工作,实现多种服务质量的同时保障,适配多种不同服务质量要求的多业务流共存场景。
-
公开(公告)号:CN113206790A
公开(公告)日:2021-08-03
申请号:CN202110484975.6
申请日:2021-04-30
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/721 , H04L29/06 , G06F21/44
Abstract: 本发明涉及网络通信技术领域,尤其是基于时间周期的SRv6传输路径认证方法、系统及存储介质,现提出如下方案,认证方法,包括如下步骤:控制器按照指定的时间周期向预置路径上的所有SR节点下发专属于此预置路径的Authen‑SID并向预置路径SR头节点下发用于控制报文转发路径的SegmentList,SegmentList能够携带在报文中并随着报文转发,所述SR头节点在发送报文时,利用所述SegmentList和所述预置路径对应的Authen‑SID进行计算并生成报文SRH的第一认证码,SR中间节点和SR尾节点在转发所述报文时需要对第一认证码进行认证。本发明通过周期性变化的认证SID,既校验了SegmentList的完整性(防止被非法篡改),又能防止重放攻击,保证报文沿着控制器预定的转发路径转发,降低被非法攻击的风险。
-
Patent Agency Ranking
公开(公告)号:CN112866106A
公开(公告)日:2021-05-28
申请号:CN202011621000.5
申请日:2020-12-31
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/721 , H04L12/753
Abstract: 本发明实施例公开了一种兴趣包缓存方法、装置、设备及存储介质,其中,所述兴趣包缓存方法,包括:CP选举;CP汇聚路由的生成;执行源路由注册机制;CPT树生成,目的是提供一个CP(Convergent Point)节点,通过在CP节点上保存兴趣报文的注册请求,并生成注册CP点的注册PIT,来解决兴趣包丢失问题。
-
公开(公告)号:CN112437009A
公开(公告)日:2021-03-02
申请号:CN202011351930.3
申请日:2020-11-27
Applicant: 网络通信与安全紫金山实验室
IPC: H04L12/721 , H04L12/24
Abstract: 本发明公开了一种SRv6端到端流策略的方法,包括以下步骤:S1、配置流分类模板,匹配项为接入用户业务流量的实际目的地址;S2、配置流动作模板,将步骤S1中的流分类模板和步骤S2中的流动作模板关联形成流策略模板,并将流策略模板配置到节点的接口上;S3、被配置流策略模板的节点收到报文后,获取该报文的目的地址;S4、如果步骤S3中被配置流策略模板的节点获取的目的地址与S1中接入用户业务流量的实际目的地址一致,则被配置流策略模板的节点执行步骤S2中的流动作;如果不一致,则被配置流策略模板的节点正常转发该报文。本发明同时提供一种路由器、路由系统和存储介质,能够实现在SRv6场景中,SRv6路径节点上支持用户流量端到端的流策略。
-
公开(公告)号:CN111614538A
公开(公告)日:2020-09-01
申请号:CN202010364666.0
申请日:2020-04-30
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明提供一种基于IPsec封装协议的报文转发方法,该方法基于一种带拓展控制字段的封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议头,并封装对应的TLV控制头,基于IPsec隧道封装功能的扩展协议,提升隧道的控制能力,为上层应用提供必要的信息,能够实现指定路径的流量调度策略。
-
公开(公告)号:CN111614463A
公开(公告)日:2020-09-01
申请号:CN202010366790.0
申请日:2020-04-30
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明提供一种基于IPsec封装功能的密钥更新方法及装置,该方法基于一种新的IPsec封装协议,在现有IPsec封装协议封装头部分的下一个报文头中增加控制协议,并封装对应的TLV控制头。在更新密钥时,先通过确认是否接收到含有更新密钥控制协议的IPsec报文,再确认是否接收到新的密钥,在未接收到含有更新密钥控制协议的IPsec报文时,继续使用旧的密钥发送和接收原来的数据报文,保证转发面仍然正常加解密,直到含有更新密钥控制协议的IPsec报文和新的密钥都接收到之后,才使用新的密钥来发送和接收原来的数据报文,保证IPsec隧道两端的转发流量不会因为密钥的刷新问题而出现断流。
-
公开(公告)号:CN110737530A
公开(公告)日:2020-01-31
申请号:CN201910908694.1
申请日:2019-09-25
Applicant: 网络通信与安全紫金山实验室
Abstract: 本发明公开一种提升HANDLE标识解析系统收包能力的方法,根据当今CPU的NUMA架构、网卡多队列技术和端口重用技术,充分利用现在多核多线程的硬件资源,通过划分线程资源和绑定CPU占用达到提升HANDLE标识解析系统的收包能力。本发明提出了将硬件网卡队列和软件接收线程绑定在CPU同一个NUMA节点上,减少资源切换的损耗,提升软件收包性能的方法。
-
-
-
-
-
-
-
-
-
Search Results
125
records
(took 0.05 seconds)
