CN103095701A - 开放流表安全增强方法及装置 - Google Patents
开放流表安全增强方法及装置 Download PDFInfo
- Publication number
- CN103095701A CN103095701A CN2013100111300A CN201310011130A CN103095701A CN 103095701 A CN103095701 A CN 103095701A CN 2013100111300 A CN2013100111300 A CN 2013100111300A CN 201310011130 A CN201310011130 A CN 201310011130A CN 103095701 A CN103095701 A CN 103095701A
- Authority
- CN
- China
- Prior art keywords
- security
- secure
- safety
- message
- vpn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种开放流表安全增强方法,使安全控制功能及安全执行功能分离;所述方法包括:获取各安全业务对应的安全应用,并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库;对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。本发明同时公开了一种开放流表安全增强装置。本发明中,安全执行和安全应用可独立进行演化、升级,便于开展新的安全业务;并且,能根据安全策略集中地进行安全管理,抵御零日攻击,减缓分布式拒绝服务攻击;也支持虚拟化多租户安全方式。
Description
技术领域
本发明涉及安全检测技术,尤其涉及一种开放流表安全增强方法及装置。
背景技术
如图1所示,传统的安全设备,如防火墙、入侵检测预防、安全虚拟专用网、统一威胁管理等均是整体式架构,其中的接口板100、安全业务板102、主控板106及交换板104是紧耦合连接的,通常位于一个物理盒子中;其中,接口板100提供安全设备的接口并将数据流提交给安全业务板102,接口板100通常由网络处理器(NP,Network Processor)或应用专用集成芯片(ASIC,Application Specific Integrated Circuit)实现。安全业务板102完成访问策略控制、网络地址转换、入侵检测防御、防病毒、安全虚拟专用网(VPN,Virtual PrivateNetwork)等功能,安全业务板102通常由通用CPU或多核处理器实现。主控板106完成整台设备的管理配置、路由学习及配置发送等。交换板104使多线卡之间可以同时通信。
传统的安全设备整体的、紧耦合的架构,用户难以部署新的安全业务。对于部署了多个安全执行单元的企业,在企业的安全管理中心对各个安全执行单元进行配置管理。这种架构存在以下局限性:(1)企业难以在安全执行单元上部署新的安全应用,通常需要购买整个设备才能完成新特性的升级;(2)不同厂商提供的安全执行单元差异比较大,安全策略不一致,难以实现互操作,难以实现集中控制和管理;(3)传统的安全执行单元通常部署在企业的边缘处,对于虚拟化多租户的场景难以胜任。
发明内容
有鉴于此,本发明的主要目的在于提供一种开放流表安全增强方法及装置,能使安全设备实现安全控制功能及安全执行功能分离,能兼容各种安全应用,支持各种安全业务。
为达到上述目的,本发明的技术方案是这样实现的:
一种开放流表安全增强方法,使安全控制功能及安全执行功能分离;所述方法包括:
获取各安全业务对应的安全应用,并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库;
对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;
根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
优选地,上述技术方案中,所述安全控制功能及安全执行功能之间通过报文转发及控制分离的协议进行信息交互。
优选地,上述技术方案中,所述报文转发及控制分离的协议包括开放流表OpenFlow协议,转发和控制件分离ForCES协议。
优选地,上述技术方案中,所述对安全业务的安全策略进行解析,生成安全流表,包括:
解析遵循特定语法的安全策略文件,转换成流表的规则定义及条目。
优选地,上述技术方案中,所述安全流表包括以下流表中的至少一种:
流状态表,用于提供状态防火墙功能,抵御拒绝服务攻击DoS的恶意攻击;
防火墙流表,用于提供访问控制表ACL功能;
安全VPN流表,用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能,为报文提供端到端的安全保护;
深度报文检测流表,用于提供应用识别和入侵检测功能。
优选地,上述技术方案中,所述方法还包括:
对未知报文进行深度解析,生成所述未知报文的深度解析条目,并将所述深度解析条目发送至深度报文检测流表或防火墙流表。
优选地,上述技术方案中,所述安全应用具体提供以下功能的至少一种:
安全策略,用于为各安全应用提供安全规则;
防火墙,用于配置管理访问控制和基本的抵御DoS攻击;
入侵检测预防,用于为恶意代码攻击、拒绝服务攻击提供特征库;
安全VPN,用于配置管理IPsec VPN和SSL VPN,提供密钥管理协商的控制面的协议;
防病毒,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库;
用户认证授权,用于识别合法用户,与安全流表建立关联;
应用识别,用于设定允许或不允许的应用标识,并对应用进行统计分析,进行合规性检查。
一种开放流表安全增强装置,包括安全应用单元、安全控制单元和安全执行单元,其中:
安全应用单元,用于提供各种安全业务的安全应用,以及与所述各种安全业务对应的安全策略、安全协议及特征库;
安全控制单元,用于对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;并将所述安全流表发送至所述安全执行单元;
安全执行单元,用于根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
优选地,上述技术方案中,所述安全控制单元与所述安全执行单元之间通过报文转发及控制分离的协议接口连接。
优选地,上述技术方案中,所述安全控制单元包括安全策略引擎子单元、安全资源调度子单元和报文深度解析子单元,其中:
安全策略引擎子单元,用于解析遵循特定语法的安全策略文件,转换成流表的规则定义及条目;
安全资源调度子单元,用于根据安全执行单元的运行状态和业务的安全需求,动态调度安全执行单元;
报文深度解析子单元,用于接收来自所述安全执行单元转发的未能识别的报文,根据设定的安全策略对所述未识别的报文进行解析,通过所述安全策略引擎子单元生成流表条目,并发送给所述安全执行单元。
优选地,上述技术方案中,所述安全流表包括以下流表中的至少一种:
流状态表,用于提供状态防火墙功能,抵御拒绝服务攻击DoS的恶意攻击;
防火墙流表,用于提供访问控制表ACL功能;
安全VPN流表,用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能,为报文提供端到端的安全保护;
深度报文检测流表,用于提供应用识别和入侵检测功能。
优选地,上述技术方案中,所述安全应用单元具体提供以下功能:
安全策略,用于为各安全应用提供安全规则;
防火墙,用于配置管理访问控制和基本的抵御DoS攻击;
入侵检测预防,用于为恶意代码攻击、拒绝服务攻击提供特征库;
安全VPN,用于配置管理IPsec VPN和SSL VPN,提供密钥管理协商的控制面的协议;
防病毒,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库;
用户认证授权,用于识别合法用户,与安全流表建立关联;
应用识别,用于设定允许或不允许的应用标识,并对应用进行统计分析,进行合规性检查。
本发明中,使安全控制功能及安全执行功能分离;安全设备能兼容各种安全应用,以支持各种安全业务,对安全业务的安全策略进行解析,生成安全流表,并在安全流表中创建匹配规则;根据安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全VPN和深度报文的检测等。本发明中,安全执行和安全应用可独立进行演化、升级,便于开展新的安全业务;并且,能根据安全策略集中地进行安全管理,抵御零日攻击,减缓分布式拒绝服务攻击;也支持虚拟化多租户安全方式。
附图说明
图1为现有安全设备的组成结构示意图;
图2本发明实施例的开放流表安全增强装置的组成结构示意图;
图3为本发明实施例的开放流表安全增强装置细化结构示意图;
图4为本发明实施例的流表扩展示意图;
图5为本发明实施例的防火墙的处理流程图;
图6为本发明实施例的安全VPN的处理流程图;
图7为本发明实施例的深度报文检测的处理流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图2本发明实施例的开放流表安全增强装置的组成结构示意图,如图2所示,本发明实施例的开放流表安全增强装置包括安全应用单元150、安全控制单元152和安全执行单元154,其中:
安全应用单元150,用于提供各种安全业务的安全应用,以及与所述各种安全业务对应的安全策略、安全协议及特征库;
安全控制单元152,用于对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;并将所述安全流表发送至所述安全执行单元154;
安全执行单元154,用于根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
本发明的开放流表安全增强装置是软件定义网络(SDN,Software DefinedNetwork)/开放流表(OpenFlow)的架构,其支持报文控制和转发的物理分离,安全控制单元152和安全执行单元154之间采用OpenFlow协议进行通信。
接口2(156)是安全控制单元152提供给安全应用150的开放接口;接口1(158)是安全控制单元152和安全执行单元154之间的接口,目前采用转发与控制分离协议(如OpenFlow协议,转发和控制件分离(ForCES,Forwardingand Control Element Separation)协议等),安全控制单元152通过接口1控制流表的创建和修改,安全执行单元154向安全控制单元152报告状态和发送报文。安全控制单元152可以部署多个,安全控制单元152可以控制一个或多个安全执行单元。
图3为本发明实施例的开放流表安全增强装置细化结构示意图,如图3所示,安全执行单元154中存储有安全流表,根据流表中定义的匹配规则执行相关的安全策略,对报文进行不同的处理,完成访问控制功能、状态防火墙、安全VPN和深度报文检测等功能。安全执行单元154可以是物理的,也可以是虚拟的,如可以为虚拟防火墙。
安全流表主要包括有流状态表222、防火墙流表224、安全VPN流表226、深度报文检测流表228等。
流状态表222是对OpenFlow流表进行扩展而得到的,其使得安全执行单元154支持状态防火墙的能力,用来抵御拒绝服务(DoS,Denial of Service)等恶意攻击。
防火墙流表224是直接重用OpenFlow的流表,提供访问控制列表(ACL,Access Control List)的功能。
安全VPN流表226是对OpenFlow流表进行扩展而得到的,其使得安全执行单元154支持互联网协议安全性(IPsec,Internet Protocol security)VPN、安全套接层(SSL,Secure Sockets Layer)VPN的能力,为报文提供端到端的安全保护。
深度报文检测流表228是对OpenFlow流表进行扩展而得到的,其使得安全执行单元154支持数据包层4(L4)至层7(L7)层协议和应用解析的能力,为安全应用提供应用识别和入侵检测的功能。
安全控制单元152对安全策略进行处理,生成安全流表、在流表中创建匹配规则。安全控制单元的提供资源管理、安全基本能力如深度报文检测、安全策略解析转换。
安全控制单元152包括有安全策略引擎子单元216、安全资源调度子单元218和报文深度解析子单元220,其中:
安全策略引擎子单元216,用于解析遵循特定语法的安全策略文件,转换成流表的规则定义和条目。
安全资源调度子单元218,用于根据安全执行单元154的运行状态和业务的安全需求,动态调度安全执行单元154,并对安全执行单元154进行部署。
报文深度解析子单元220还接收来自安全执行单元154转发的未能识别的报文,根据设定的安全策略对所接收的未知报文进行解析,然后通过安全策略引擎子单元216生成流表条目,并发送到安全执行单元154的深度报文检测流表228中,或者,当需要对该未能识别的报文进行隔离时,将所生成的流表条目发送到防火墙流表224。报文深度解析子单元220为上层的安全应用单元150的开放接口提供报文解析结果。
本发明中,安全应用单元150提供安全策略定义、安全协议、特征库和各种安全业务。具体的,安全应用单元150提供并支持以下功能:
安全策略200,其定义了安全规则,这些安全规则满足用户业务的各种安全需求,可以采用图形化或高级语言进行描述,输出安全策略的描述文件后由安全策略引擎216进行解释执行。安全策略200的定义由各个安全应用的策略构成。
防火墙202,用于配置管理访问控制和基本的防御DoS攻击。
入侵检测预防204,用于配置管理更全面的恶意代码攻击、拒绝服务攻击,提供特征库。
安全VPN206,用于配置管理IPsec VPN和SSL VPN,提供密钥管理协商等控制面的协议,如IPsec中的互联网密钥交换协议(IKE)。
防病毒210,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库。
用户认证授权214,用于识别合法用户,与安全流表(如流状态表222,防火墙流表等)建立关联。
应用识别212,用于设定允许或不允许的应用标识,作为安全策略的一部分,对应用进行统计分析,进行合规性检查。
图4为本发明实施例的流表扩展示意图,如图4所示,图4(a)定义了状态防火墙流表,用来跟踪连接状态,对新建的连接,检查预先设置的安全规则,允许符合规则的连接通过,并记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态表,就可以通过。状态防火墙中流表中定义的字段如下:
用户标识300:用来标识用户身份一串字符,在新建连接时,先进行用户认证授权,认证通过后,用户身份记录在连接状态表中。
流基本字段302:主要是指源地址、目的地址、源端口、目的端口、协议类型等信息,与基本的OpenFlow流表的信息一致。
流状态字段304:主要是指传输层协议(如传输层控制协议TCP)的连接状态信息(如TCP的初始序列号、应答号和标志位)和超时时间等。
图4(b)定义了安全VPN流表,用来提供IPsec VPN,SSL VPN等安全VPN业务。安全VPN流表中定义的字段如下:
VPN标识320:用来标识安全VPN的一串字符,将VPN标识、流基本字段中的IP地址和安全参数索引组合在一起,作为唯一地标识VPN。
流基本字段322:主要是指源地址、目的地址、源端口、目的端口、协议类型等信息,与基本的OpenFlow流表的信息一致。
安全参数索引324:指IPsec报文协议头的安全参数索引字段,是个32比特的信息。
安全服务326:主要是指报文的机密性和完整性服务,来自安全VPN中安全参数协商中确定的安全参数,如密码算法、密钥长度等。
图4(c)定义了深度报文检测流表,定义了应用标识、特征数据和元数据。深度报文检测流表中定义的字段如下:
应用标识340:用来标识应用的一串字符。
特征数据342:主要是指特定应用的特征码,如真值表达式。
元数据344:主要是指特定应用相关联的描述信息,如收件人,发件人,用户标识等。
图5为本发明实施例的防火墙的处理流程图,如图5所示,该防火墙的处理流程分为两个阶段:安全流表定义阶段;流规则匹配执行阶段。
在安全流表定义阶段:
在安全策略200中,管理员根据业务的安全需求制定一组安全规定,输出安全策略描述文件400;安全策略描述文件400可以采用自然语言描述;
防火墙202调用网络操作系统提供的不同接口如访问控制、地址转换等,通过建模工具或编程语言对安全策略进行描述,输出符合语法规范的策略描述文件402。
安全策略引擎216对安全策略描述文件402进行解析转换,通过开放接口404将流表发送到防火墙流表224、流状态表222中。
在流规则匹配执行阶段:
安全执行单元的接口接收到入口流量(报文数据流等)410后,由防火墙流表224进行基本的访问控制匹配,匹配后的流量412进入流状态表222。对于新建连接流量,安全执行单元154将流量转发到安全策略引擎子单元216,由安全策略引擎子单元216决定是否生成流状态表条目,若是则生成,并通过接口408并发送到流状态表中。对于已建连接流量,直接与状态表匹配规则进行匹配,根据匹配的结果执行相应的动作。最后输出出口流量414。
需要说明的是,404、406和408均为开放接口(如OpenFlow)的一部分,防火墙流表224和流状态表222在实际应用中只采用流状态表。
图6为本发明实施例的安全VPN的处理流程图,如图6所示,该安全VPN的处理流程包括:安全流表定义阶段和流规则匹配执行阶段。
在安全流表定义阶段:
在安全策略200中,管理员根据业务的安全需求制定一组安全规定,输出安全策略描述文件600;安全策略描述文件600可以采用自然语言描述;
安全VPN206调用网络操作系统提供的接口,通过建模工具或编程语言对安全策略进行描述,输出符合语法规范的策略描述文件602。
安全策略引擎216对安全策略描述文件602进行解析转换,通过开放接口604将流表发送到安全VPN流表226中。
在流规则匹配执行阶段:
安全执行单元154的接口接收到入口流量(报文数据流等)610后,由安全VPN流表226进行匹配,如根据VPN标识、流表基本字段和安全参数索引对流量中的报文进行匹配。对于满足匹配规则的流量,根据安全VPN流表中匹配的结果执行相应的动作,如执行安全服务,进行完整性保护或机密性保护,最后输出出口流量612。
通过以上描述可知,本发明的技术方案中,安全执行功能和安全应用可独立进行演化、升级,便于开展新的安全业务;并且,能根据安全策略集中地进行安全管理,抵御零日攻击,减缓分布式拒绝服务攻击;也支持虚拟化多租户安全方式。
图7为本发明实施例的深度报文检测的处理流程图,如图7所示,该深度报文检测的处理流程包括安全流表定义阶段和流规则匹配执行阶段。
在安全流表定义阶段:
在安全策略200中,管理员根据业务的安全需求制定一组安全规定,输出安全策略描述文件500;安全策略描述文件500可以采用自然语言描述;
入侵检测预防204或应用识别212调用网络操作系统提供的不同接口如深度报文检测接口,通过建模工具或编程语言对安全策略进行描述,输出符合语法规范的策略描述文件502。
安全策略引擎216对安全策略描述文件502进行解析转换,通过开放接口508将流表下到深度报文检测流表228中。另外,安全策略引擎子单元216通过内部接口504将安全策略发送到安全执行单元154的深度报文检测流表228中。
在流规则匹配执行阶段:
安全执行单元的接口接收到入口流量512后,由深度报文检测流表228进行匹配。对于满足匹配规则的流量,根据深度报文检测流表中匹配的结果执行相应的动作,最后输出出口流量514。对于无法识别的流量,缺省通过接口510转发到安全控制单元152的深度报文检测模块220,然后将识别的结果通过内部接口传递到安全策略引擎子单元216,然后生成新的报文条目后,通过接口508下到深度报文检测流表228中。对于需要实时阻断的流量,安全策略引擎子单元216同时将新的条目下到防火墙流表224中。
需要说明的是,508、510是开放接口(如OpenFlow)的一部分。
显然,本领域的技术人员应该明白,上述的本发明的各处理单元或各步骤可以用通用的计算装置来实现,其可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,其可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (12)
1.一种开放流表安全增强方法,其特征在于,使安全控制功能及安全执行功能分离;所述方法包括:
获取各安全业务对应的安全应用,并从各安全应用中提取与各种安全业务对应的安全策略、安全协议及特征库;
对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;
根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
2.根据权利要求1所述的方法,其特征在于,所述安全控制功能及安全执行功能之间通过报文转发及控制分离的协议进行信息交互。
3.根据权利要求2所述的方法,其特征在于,所述报文转发及控制分离的协议包括开放流表OpenFlow协议,转发和控制件分离ForCES协议。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述对安全业务的安全策略进行解析,生成安全流表,包括:
解析遵循特定语法的安全策略文件,转换成流表的规则定义及条目。
5.根据权利要求4所述的方法,其特征在于,所述安全流表包括以下流表中的至少一种:
流状态表,用于提供状态防火墙功能,抵御拒绝服务攻击DoS的恶意攻击;
防火墙流表,用于提供访问控制表ACL功能;
安全VPN流表,用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能,为报文提供端到端的安全保护;
深度报文检测流表,用于提供应用识别和入侵检测功能。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
对未知报文进行深度解析,生成所述未知报文的深度解析条目,并将所述深度解析条目发送至深度报文检测流表或防火墙流表。
7.根据权利要求4所述的方法,其特征在于,所述安全应用具体提供以下功能的至少一种:
安全策略,用于为各安全应用提供安全规则;
防火墙,用于配置管理访问控制和基本的抵御DoS攻击;
入侵检测预防,用于为恶意代码攻击、拒绝服务攻击提供特征库;
安全VPN,用于配置管理IPsec VPN及SSL VPN,提供密钥管理协商的控制面的协议;
防病毒,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库;
用户认证授权,用于识别合法用户,与安全流表建立关联;
应用识别,用于设定允许或不允许的应用标识,并对应用进行统计分析,进行合规性检查。
8.一种开放流表安全增强装置,其特征在于,所述装置包括安全应用单元、安全控制单元和安全执行单元,其中:
安全应用单元,用于提供各种安全业务的安全应用,以及与所述各种安全业务对应的安全策略、安全协议及特征库;
安全控制单元,用于对安全业务的安全策略进行解析,生成安全流表,并在所述安全流表中创建匹配规则;并将所述安全流表发送至所述安全执行单元;
安全执行单元,用于根据所述安全流表中的匹配规则,对报文执行访问控制,以及状态防火墙、安全虚拟专用网VPN和深度报文的检测。
9.根据权利要求8所述的装置,其特征在于,所述安全控制单元与所述安全执行单元之间通过报文转发及控制分离的协议接口连接。
10.根据权利要求8或9所述的装置,其特征在于,所述安全控制单元包括安全策略引擎子单元、安全资源调度子单元和报文深度解析子单元,其中:
安全策略引擎子单元,用于解析遵循特定语法的安全策略文件,转换成流表的规则定义及条目;
安全资源调度子单元,用于根据安全执行单元的运行状态和业务的安全需求,动态调度安全执行单元;
报文深度解析子单元,用于接收来自所述安全执行单元转发的未能识别的报文,根据设定的安全策略对所述未识别的报文进行解析,通过所述安全策略引擎子单元生成流表条目,并发送给所述安全执行单元。
11.根据权利要求10所述的装置,其特征在于,所述安全流表包括以下流表中的至少一种:
流状态表,用于提供状态防火墙功能,抵御拒绝服务攻击DoS的恶意攻击;
防火墙流表,用于提供访问控制表ACL功能;
安全VPN流表,用于提供互联网协议安全性IPsec VPN、安全套接层SSLVPN功能,为报文提供端到端的安全保护;
深度报文检测流表,用于提供应用识别和入侵检测功能。
12.根据权利要求10所述的装置,其特征在于,所述安全应用单元具体提供以下功能:
安全策略,用于为各安全应用提供安全规则;
防火墙,用于配置管理访问控制和基本的抵御DoS攻击;
入侵检测预防,用于为恶意代码攻击、拒绝服务攻击提供特征库;
安全VPN,用于配置管理IPsec VPN及SSL VPN,提供密钥管理协商的控制面的协议;
防病毒,用于配置管理病毒攻击、恶意软件的策略,提供病毒特征库;
用户认证授权,用于识别合法用户,与安全流表建立关联;
应用识别,用于设定允许或不允许的应用标识,并对应用进行统计分析,进行合规性检查。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310011130.0A CN103095701B (zh) | 2013-01-11 | 2013-01-11 | 开放流表安全增强方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310011130.0A CN103095701B (zh) | 2013-01-11 | 2013-01-11 | 开放流表安全增强方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103095701A true CN103095701A (zh) | 2013-05-08 |
| CN103095701B CN103095701B (zh) | 2016-04-13 |
Family
ID=48207834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310011130.0A Active CN103095701B (zh) | 2013-01-11 | 2013-01-11 | 开放流表安全增强方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103095701B (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414631A (zh) * | 2013-07-16 | 2013-11-27 | 国家电网公司 | 一种适用于电力应用的Openflow控制器通道加密优化方法 |
| CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN103581189A (zh) * | 2013-11-06 | 2014-02-12 | 东软集团股份有限公司 | 应用策略的匹配方法及系统 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| CN103684905A (zh) * | 2013-11-27 | 2014-03-26 | 北京邮电大学 | 一种网络虚拟化平台的流规则冲突检测及处理方法 |
| WO2015014187A1 (zh) * | 2013-07-31 | 2015-02-05 | 华为技术有限公司 | 一种支持多租户的数据转发方法和装置 |
| CN104361296A (zh) * | 2014-11-14 | 2015-02-18 | 武汉烽火网络有限责任公司 | 一种并行的大容量访问控制列表的查找方法 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| CN104734988A (zh) * | 2013-12-23 | 2015-06-24 | 杭州华为数字技术有限公司 | 软件定义网络中路由控制的方法和开放流控制器 |
| CN104883362A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为控制方法及装置 |
| CN104901799A (zh) * | 2014-03-04 | 2015-09-09 | 中兴通讯股份有限公司 | 一种实现sdn证书资源配置的方法及装置 |
| WO2015145209A1 (en) * | 2014-03-27 | 2015-10-01 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a vpn gateway |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| CN105871811A (zh) * | 2015-02-09 | 2016-08-17 | 华为技术有限公司 | 控制应用程序权限的方法及控制器 |
| WO2016150057A1 (zh) * | 2015-03-20 | 2016-09-29 | 中兴通讯股份有限公司 | 访问控制列表acl的发送方法及装置 |
| CN106101070A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的数据完整性的检查方法 |
| CN106100996A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的交换机、控制器及检查系统 |
| CN106911572A (zh) * | 2017-02-24 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种基于sdn架构实现的虚拟机的报文处理方法及装置 |
| CN107147578A (zh) * | 2017-03-27 | 2017-09-08 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
| CN108023889A (zh) * | 2017-12-08 | 2018-05-11 | 浙江广播电视集团 | 一种基于InfiniBand技术星型构架高速安全调度平台 |
| US10313494B2 (en) | 2014-03-27 | 2019-06-04 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a VPN gateway |
| CN109936557A (zh) * | 2018-11-12 | 2019-06-25 | 浙江工商大学 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 |
| CN109995717A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种网页篡改处置系统及方法 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN111083148A (zh) * | 2019-12-19 | 2020-04-28 | 紫光云技术有限公司 | 一种基于云计算领域实现vpn网关的方法 |
| US11252195B2 (en) * | 2016-06-09 | 2022-02-15 | Caci, Inc.-Federal | Methods and systems for establishment of VPN security policy by SDN application |
| US11606394B2 (en) | 2016-06-09 | 2023-03-14 | CACI, Inc.—Federal | Methods and systems for controlling traffic to VPN servers |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108234223B (zh) * | 2018-04-19 | 2021-09-07 | 郑州云海信息技术有限公司 | 一种数据中心综合管理系统的安全服务设计方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
| CN1835508A (zh) * | 2006-02-24 | 2006-09-20 | 浙江工商大学 | 转发与控制分离网络件内信息交换的方法 |
| CN1913500A (zh) * | 2005-08-12 | 2007-02-14 | 华为技术有限公司 | 基于转发控制分离协议的系统及接入方法 |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| CN101729544A (zh) * | 2009-05-21 | 2010-06-09 | 中兴通讯股份有限公司 | 一种安全能力协商方法和系统 |
-
2013
- 2013-01-11 CN CN201310011130.0A patent/CN103095701B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1581803A (zh) * | 2004-05-20 | 2005-02-16 | 中国科学院软件研究所 | 用于网络数据交换的安全平台 |
| CN1913500A (zh) * | 2005-08-12 | 2007-02-14 | 华为技术有限公司 | 基于转发控制分离协议的系统及接入方法 |
| CN1835508A (zh) * | 2006-02-24 | 2006-09-20 | 浙江工商大学 | 转发与控制分离网络件内信息交换的方法 |
| US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN101729544A (zh) * | 2009-05-21 | 2010-06-09 | 中兴通讯股份有限公司 | 一种安全能力协商方法和系统 |
Cited By (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103414631A (zh) * | 2013-07-16 | 2013-11-27 | 国家电网公司 | 一种适用于电力应用的Openflow控制器通道加密优化方法 |
| CN103414631B (zh) * | 2013-07-16 | 2016-09-28 | 国家电网公司 | 一种适用于电力应用的Openflow控制器通道加密优化方法 |
| WO2015014187A1 (zh) * | 2013-07-31 | 2015-02-05 | 华为技术有限公司 | 一种支持多租户的数据转发方法和装置 |
| CN104348724A (zh) * | 2013-07-31 | 2015-02-11 | 华为技术有限公司 | 一种支持多租户的数据转发方法和装置 |
| CN103491095A (zh) * | 2013-09-25 | 2014-01-01 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN103607379A (zh) * | 2013-11-04 | 2014-02-26 | 中兴通讯股份有限公司 | 一种软件定义网络安全实施方法、系统及控制器 |
| CN103581189A (zh) * | 2013-11-06 | 2014-02-12 | 东软集团股份有限公司 | 应用策略的匹配方法及系统 |
| CN103581189B (zh) * | 2013-11-06 | 2017-01-04 | 东软集团股份有限公司 | 应用策略的匹配方法及系统 |
| CN103684905A (zh) * | 2013-11-27 | 2014-03-26 | 北京邮电大学 | 一种网络虚拟化平台的流规则冲突检测及处理方法 |
| CN103684905B (zh) * | 2013-11-27 | 2015-10-14 | 北京邮电大学 | 一种网络虚拟化平台的流规则冲突检测及处理方法 |
| WO2015096574A1 (zh) * | 2013-12-23 | 2015-07-02 | 华为技术有限公司 | 软件定义网络中路由控制的方法和开放流控制器 |
| CN104734988B (zh) * | 2013-12-23 | 2018-10-30 | 杭州华为数字技术有限公司 | 软件定义网络中路由控制的方法和开放流控制器 |
| CN104734988A (zh) * | 2013-12-23 | 2015-06-24 | 杭州华为数字技术有限公司 | 软件定义网络中路由控制的方法和开放流控制器 |
| US10237181B2 (en) | 2013-12-23 | 2019-03-19 | Huawei Technologies Co., Ltd. | Routing control method in software defined networking and openflow controller |
| US10757021B2 (en) | 2013-12-23 | 2020-08-25 | Huawei Technologies Co., Ltd. | Routing control method in software defined networking and OpenFlow controller |
| CN104901799A (zh) * | 2014-03-04 | 2015-09-09 | 中兴通讯股份有限公司 | 一种实现sdn证书资源配置的方法及装置 |
| CN104901799B (zh) * | 2014-03-04 | 2019-11-26 | 中兴通讯股份有限公司 | 一种实现sdn证书资源配置的方法及装置 |
| GB2538931A (en) * | 2014-03-27 | 2016-12-07 | Pismo Labs Technology Ltd | Methods and systems for identifying data sessions at a VPN gateway |
| GB2538931B (en) * | 2014-03-27 | 2021-08-25 | Pismo Labs Technology Ltd | Methods and systems for identifying data sessions at a VPN gateway |
| US10313494B2 (en) | 2014-03-27 | 2019-06-04 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a VPN gateway |
| US9674316B2 (en) | 2014-03-27 | 2017-06-06 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a VPN gateway |
| WO2015145209A1 (en) * | 2014-03-27 | 2015-10-01 | Pismo Labs Technology Limited | Methods and systems for identifying data sessions at a vpn gateway |
| CN104361296B (zh) * | 2014-11-14 | 2017-03-15 | 武汉烽火网络有限责任公司 | 一种并行的大容量访问控制列表的查找方法 |
| CN104361296A (zh) * | 2014-11-14 | 2015-02-18 | 武汉烽火网络有限责任公司 | 一种并行的大容量访问控制列表的查找方法 |
| CN105871811A (zh) * | 2015-02-09 | 2016-08-17 | 华为技术有限公司 | 控制应用程序权限的方法及控制器 |
| WO2016127555A1 (zh) * | 2015-02-09 | 2016-08-18 | 华为技术有限公司 | 控制应用程序权限的方法及控制器 |
| US10785226B2 (en) | 2015-02-09 | 2020-09-22 | Huawei Technologies Co., Ltd. | Method for controlling permission of application program and controller |
| CN105871811B (zh) * | 2015-02-09 | 2019-04-26 | 华为技术有限公司 | 控制应用程序权限的方法及控制器 |
| CN104683333A (zh) * | 2015-02-10 | 2015-06-03 | 国都兴业信息审计系统技术(北京)有限公司 | 基于sdn的实现异常流量拦截的方法 |
| WO2016150057A1 (zh) * | 2015-03-20 | 2016-09-29 | 中兴通讯股份有限公司 | 访问控制列表acl的发送方法及装置 |
| CN104883362A (zh) * | 2015-05-11 | 2015-09-02 | 北京交通大学 | 异常访问行为控制方法及装置 |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| CN106100996A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的交换机、控制器及检查系统 |
| CN106101070A (zh) * | 2016-05-30 | 2016-11-09 | 上海斐讯数据通信技术有限公司 | 基于软件定义网络的数据完整性的检查方法 |
| US11700281B2 (en) | 2016-06-09 | 2023-07-11 | CACI, Inc.—Federal | Methods and systems for enhancing cyber security in networks |
| US11683346B2 (en) | 2016-06-09 | 2023-06-20 | CACI, Inc.—Federal | Methods and systems for establishment of VPN security policy by SDN application |
| US11606394B2 (en) | 2016-06-09 | 2023-03-14 | CACI, Inc.—Federal | Methods and systems for controlling traffic to VPN servers |
| US11252195B2 (en) * | 2016-06-09 | 2022-02-15 | Caci, Inc.-Federal | Methods and systems for establishment of VPN security policy by SDN application |
| CN106911572A (zh) * | 2017-02-24 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种基于sdn架构实现的虚拟机的报文处理方法及装置 |
| CN107147578A (zh) * | 2017-03-27 | 2017-09-08 | 联想(北京)有限公司 | 信息处理方法及电子设备 |
| CN108023889A (zh) * | 2017-12-08 | 2018-05-11 | 浙江广播电视集团 | 一种基于InfiniBand技术星型构架高速安全调度平台 |
| CN109995717A (zh) * | 2017-12-29 | 2019-07-09 | 中移(杭州)信息技术有限公司 | 一种网页篡改处置系统及方法 |
| CN109936557A (zh) * | 2018-11-12 | 2019-06-25 | 浙江工商大学 | 一种基于ForCES架构中利用sFlow防御DDoS攻击的方法及系统 |
| CN110198313B (zh) * | 2019-05-23 | 2021-12-24 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| CN110198313A (zh) * | 2019-05-23 | 2019-09-03 | 新华三信息安全技术有限公司 | 一种策略生成的方法及装置 |
| CN110768975A (zh) * | 2019-10-21 | 2020-02-07 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN110768975B (zh) * | 2019-10-21 | 2022-05-31 | 杭州迪普科技股份有限公司 | 流量清洗方法、装置、电子设备及机器可读存储介质 |
| CN111083148A (zh) * | 2019-12-19 | 2020-04-28 | 紫光云技术有限公司 | 一种基于云计算领域实现vpn网关的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103095701B (zh) | 2016-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103095701B (zh) | 开放流表安全增强方法及装置 | |
| US10367811B2 (en) | Methods for internet communication security | |
| US10630642B2 (en) | Methods for internet communication security | |
| US10270810B2 (en) | Data socket descriptor based policies for application and data behavior and security | |
| US10929538B2 (en) | Network security protection method and apparatus | |
| JP6910348B2 (ja) | サービスルール処理のための、サービスノードへのリモートデバイス管理属性の分配 | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| JP6634009B2 (ja) | ハニーポートが有効なネットワークセキュリティ | |
| US10652281B1 (en) | Network policy implementation in a tag-based policy architecture | |
| US20070022474A1 (en) | Portable firewall | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| CN104767752A (zh) | 一种分布式网络隔离系统及方法 | |
| US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
| CN105122727A (zh) | 用于检测并减轻对结构化数据存储系统的威胁的系统和方法 | |
| CN104994094B (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
| KR101286015B1 (ko) | 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 | |
| CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN107979581A (zh) | 僵尸特征的检测方法和装置 | |
| CN109688153A (zh) | 使用主机应用/程序到用户代理的映射的零日威胁检测 | |
| CN104202206A (zh) | 报文处理装置及方法 | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN101242409B (zh) | 一种多语言的网络数据包高效过滤的方法 | |
| CN110099056B (zh) | 一种IPSec安全网关的策略冲突动态检测方法 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| CN106302520B (zh) | 一种远控类木马清除方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |