-
公开(公告)号:CN114500001A
公开(公告)日:2022-05-13
申请号:CN202111671864.2
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L9/40 , H04L45/50 , H04L45/745
Abstract: 本发明公开了一种通信方法及装置,其中通信方法包括:网络设备接收SDN控制器下发的SID认证信息库;网络设备提取LSDB中的路由信息和设备标识;根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表;本发明通过在控制器侧实现SID认证信息的集中管理和下发,定义了认证信息所包含的字段和内容,并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。
-
公开(公告)号:CN114430376B
公开(公告)日:2023-08-25
申请号:CN202111665410.4
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L41/0896 , H04L41/12 , H04L45/00 , H04L47/215 , H04L47/25
Abstract: 本发明公开了一种带宽限制方法及装置,应用于SR Policy场景下,带宽限制方法包括:PCE设备接收网络拓扑结构、LSP信息以及带宽需求;PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽;PCE设备将路径及端口的剩余带宽发送给Headend设备;Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速;本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽,Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速,有效的保护SR Policy业务不受影响。
-
公开(公告)号:CN114500001B
公开(公告)日:2024-04-26
申请号:CN202111671864.2
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L9/40 , H04L45/50 , H04L45/745
Abstract: 本发明公开了一种通信方法及装置,其中通信方法包括:网络设备接收SDN控制器下发的SID认证信息库;网络设备提取LSDB中的路由信息和设备标识;根据路由信息在SID认证信息库中查找是否存在对应的路由,当找到对应的认证信息且设备标识是相同时,生成前缀路由表;提取LSDB中SID信息,将路由信息和SID信息的组合,在SID认证信息库中查找是否存在对应的路由和SID值,当找到对应的认证信息且设备标识是相同时,生成MPLS标签表;本发明通过在控制器侧实现SID认证信息的集中管理和下发,定义了认证信息所包含的字段和内容,并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。
-
公开(公告)号:CN114866473B
公开(公告)日:2024-04-12
申请号:CN202210178025.5
申请日:2022-02-25
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L47/10 , H04L43/0894
Abstract: 本发明提供了一种转发装置及流量输出接口调节方法,本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表,此索引表中包含索引表类型Type、Key以及0~1023个Index值,且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率,一旦发现有成员接口出现超带宽的情况,就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口,将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题,有效的保护业务不受影响。
-
公开(公告)号:CN114531270B
公开(公告)日:2023-11-03
申请号:CN202111671863.8
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置,其中防御方法包括:集中式认证服务器验证网络中的所有接入设备的身份;接入设备根据设备信息生成设备指纹;获取转发流量包的特征;所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值;根据所述特征确定恶意流量;确定所述恶意流量的源IP地址,将源IP地址加入黑名单并设置期限;确定当前网络中的接入设备的设备指纹是否改变;本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量,从而对其进行防御,这样可以精确防御分段路由标签探测的攻击,可以提高目标网络的安全性,减少了网络被破坏的可能。
-
Patent Agency Ranking
公开(公告)号:CN115296839A
公开(公告)日:2022-11-04
申请号:CN202210728335.X
申请日:2022-06-24
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
Abstract: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质,涉及互联网通信技术领域,能够提高拓扑信息的完整性与正确性。本发明包括:在拟态路由器中,通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据,其中,所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体,所述拟态路由器与SDN控制器之间建立BGP‑LS连接;将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定,并记录异常数据;根据所记录的异常数据生成异常信息并发送给所述调度器,并触发所述调度器对拥有异常数据的路由执行体进行处理。
-
公开(公告)号:CN114866473A
公开(公告)日:2022-08-05
申请号:CN202210178025.5
申请日:2022-02-25
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L47/10 , H04L43/0894
Abstract: 本发明提供了一种转发装置及流量输出接口调节方法,本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表,此索引表中包含索引表类型Type、Key以及0~1023个Index值,且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率,一旦发现有成员接口出现超带宽的情况,就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口,将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题,有效的保护业务不受影响。
-
公开(公告)号:CN114531270A
公开(公告)日:2022-05-24
申请号:CN202111671863.8
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置,其中防御方法包括:集中式认证服务器验证网络中的所有接入设备的身份;接入设备根据设备信息生成设备指纹;获取转发流量包的特征;所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值;根据所述特征确定恶意流量;确定所述恶意流量的源IP地址,将源IP地址加入黑名单并设置期限;确定当前网络中的接入设备的设备指纹是否改变;本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量,从而对其进行防御,这样可以精确防御分段路由标签探测的攻击,可以提高目标网络的安全性,减少了网络被破坏的可能。
-
公开(公告)号:CN114430376A
公开(公告)日:2022-05-03
申请号:CN202111665410.4
申请日:2021-12-31
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L41/0896 , H04L41/12 , H04L45/00 , H04L47/215 , H04L47/25
Abstract: 本发明公开了一种带宽限制方法及装置,应用于SR Policy场景下,带宽限制方法包括:PCE设备接收网络拓扑结构、LSP信息以及带宽需求;PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽;PCE设备将路径及端口的剩余带宽发送给Headend设备;Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速;本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽,Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速,有效的保护SR Policy业务不受影响。
-
公开(公告)号:CN113949661A
公开(公告)日:2022-01-18
申请号:CN202111140372.0
申请日:2021-09-27
Applicant: 网络通信与安全紫金山实验室 , 国家数字交换系统工程技术研究中心
IPC: H04L45/50 , H04L45/745 , H04L45/30 , H04L9/40
Abstract: 本发明公开了一种数据转发方法及装置,数据转发方法包括:转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略;根据所述MPLS安全策略生成MPLS安全策略表;若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息,将所述MPLS标签栈信息与所述MPLS安全策略表匹配,匹配通过则按照所述转发路径转发所述数据包;本发明的转发器在接收MPLS数据包时进行安全策略检查,提取完整的MPLS标签栈信息,与MPLS安全策略匹配进行匹配若匹配通过则进行转发,否则数据包被认为不安全的而丢弃,这样能够解决SR‑MPLS基于源路由特性的漏洞,保证了所转发的数据包都是确定和可信的。
-
-
-
-
-
-
-
-
-
Search Results
28
records
(took 0.068 seconds)
