CN106656792A - 一种基于sdn架构的bgp路由可信验证方法 - Google Patents
一种基于sdn架构的bgp路由可信验证方法 Download PDFInfo
- Publication number
- CN106656792A CN106656792A CN201611083324.1A CN201611083324A CN106656792A CN 106656792 A CN106656792 A CN 106656792A CN 201611083324 A CN201611083324 A CN 201611083324A CN 106656792 A CN106656792 A CN 106656792A
- Authority
- CN
- China
- Prior art keywords
- bgp
- centralized control
- control point
- neighbor information
- routing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/562—Brokering proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于SDN架构的BGP路由可信验证方法,其步骤为:第一步,构建基于SDN架构的BGP路由可信验证环境;第二步,集中控制点采集BGP邻居信息;第三步,集中控制点集中检测异常,验证BGP路由是否可信,若BGP路由可信,结束,若BGP路由不可信,进入第四步;第四步,集中控制点生成阻断异常的安全策略;第五步,集中控制点下发安全策略阻断异常路由;第六步,集中控制点验证异常路由是否被阻断,方法是:代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。与现有BGP路由可信验证方法相比,本发明能够降低部署开销、提高异常检测性能和实时性、闭环控制阻断异常、向前兼容高可扩展、使系统整体性价比大幅提升。
Description
技术领域
本发明主要涉及到网络安全领域,特指一种基于SDN(Software DefinedNetwork,软件定义网络)架构的BGP(Border Gateway Protocol,边界网关协议)路由可信验证方法。
背景技术
域间路由安全对于整个互联网的安全具有重要的意义。增强域间路由安全的关键之一就是提高域间路由协议的安全性。BGP协议作为当前唯一的域间路由协议,其安全性是整个Internet路由系统安全的关键。而BGP路由是否可信又是保证BGP协议安全的基础,然而在BGP设计之初,并没有充分考虑可信路由问题,只有一些简单的认证机制保证安全。在目前复杂的网络环境下,这种简单的认证机制既不能确保路由信息的可靠性,也不能满足可信路由的需求。
BGP路由可信的核心问题就是确保信息发布的可靠性,其中最重要的就是源地址信息和路径属性,至今提出的多种BGP路由可信方法,多数都采用基于信息认证的数字签名认证方法,包括对源地址签名、路径属性签名、路由策略签名来保证信息的安全可信。这种方法存在以下不足:在数字签名认证方法中,要求每台设备都有公钥和私钥两种密钥,密钥产生、分配、维护工作繁琐,密钥系统难以部署,开销很大;而随着网络规模增大,网络设备成指数级增长,大大增加了密钥系统的部署管理难度,降低了系统的整体性价比。因此,数字签名认证方法代价太大,难于部署。
另一种常见的保证BGP路由可信的方法是采用BGP路由检测系统检测路由异常,这种方法存在以下不足:1、已有的路由安全监测系统只提供异常发现和报警服务,没有阻断异常功能,即没有形成自动的反馈控制。与此同时,在监测异常时,需要参考已有异常类型知识库确定系统是否存在异常,这种方法依赖于知识库的准确性和完整性,且只能检测异常,没有自动反馈机制。2、已有的路由安全监测系统只有在网络应用所需服务得不到保证、网络状态出现波动的情况下才能检测出异常,这种被动异常监测不具备很好的实时性和前瞻性,难以满足目前网络安全的实时性需求。3、已有的路由安全监测系统种类繁多、各成体系,系统之间互通性差,难以兼容。且系统大多只向后兼容,不具备向前兼容的特性。
发明内容
本发明要解决的技术问题就在于:针对现有技术存在的问题,本发明提供一种基于SDN架构的BGP路由可信验证方法,该方法能够降低部署开销、提高异常检测性能和实时性、闭环控制阻断异常、向前兼容高可扩展、使系统整体性价比大幅提升。
为解决上述技术问题,本发明采用以下技术方案:
一种基于SDN架构的BGP路由可信验证方法,实施步骤如下:
1.一种基于SDN架构的BGP路由可信验证方法,其特征在于,实施步骤如下:
第一步,构建基于SDN架构的BGP路由可信验证环境,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;
第二步、集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型;
第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;
第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信;
第五步、集中控制点下发安全策略阻断异常路由;
第六步、集中控制点验证异常路由是否被阻断,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。
作为本发明的进一步改进,所述第二步集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型,具体流程为:
2.1使用YANG数据建模语言对BGP邻居信息表进行建模,得到YANG模型,包括以下步骤:
2.1.1定义邻居为一个容器节点聚集所有的邻居信息;
2.1.2定义邻居表中每一行的条目为一个列节点,并用邻居ID唯一标识;
2.1.3定义条目中的每个属性为一个叶子节点;
2.2集中控制点向代理发送配置请求,请求获取BGP邻居信息表,包括以下步骤:
2.2.1集中控制点收到请求BGP邻居信息的命令后,自动生成XML格式的配置请求;
2.2.2集中控制点通过NETCONF协议将配置请求发往代理;
2.3代理响应集中控制点的请求,将邻居信息表发送给集中控制点,包括以下步骤:
2.3.1代理收到集中控制点的配置请求后,通过对BGP协议进程进行读操作,获取BGP邻居信息表;
2.3.2代理将BGP邻居信息表用XML进行编码,然后通过NETCONF协议发往集中控制点。
所述第三步集中控制点集中检测异常,验证BGP路由是否可信,具体流程为:
3.1集中控制点从代理收到XML编码的BGP邻居信息表后,从XML中解析出邻居信息,存储于邻居信息数据库中;
3.2集中控制点管辖范围内所有运行BGP的路由器的邻居信息都采集完成后,得到邻居信息数据库;然后,对比分析邻居信息数据库,判断互为邻居的路由器是否存在对方的邻居表中,验证BGP路由是否可信:如果互为邻居的路由器存在于对方的邻居表中,则BGP路由可信,结束;否则,此BGP路由不可信,进入第四步。
所述第四步集中控制点生成阻断异常的安全策略,具体流程为:
4.1集中控制点检测到某路由器的BGP邻居表中存在多余的邻居信息,则生成安全路由策略删除该邻居信息以阻断异常路由;
4.2集中控制点根据NETCONF协议规范以及第一步的YANG模型,将安全路由策略转换成XML编码的配置文件。
所述第五步集中控制点下发安全策略阻断异常路由,具体流程为:
5.1集中控制点生成XML编码的安全路由策略之后,通过标准的NETCONF协议将其发送给代理;
5.2代理收到安全路由策略之后,与BGP协议进程交互,通过对BGP邻居信息表进行写操作,执行安全路由策略,删除多余的邻居。
与现有技术相比,本发明的优点在于:
1、本发明在每台路由器上部署一个代理,代理自动采集路由信息、集中检测异常并下发安全路由策略阻断异常,这种集中闭环控制结构能够形成自动的反馈控制,确保路由安全可信。
2、本发明第三步集中控制点随时请求路由信息并进行异常检测,与传统的监测系统相比,具有更高的实时性。
3、本发明第三步在采集完BGP邻居信息表之后,对BGP邻居信息表进行对比分析判断,验证BGP是否可信。与传统的数字签名认证方法相比,大大提高了可信路由的验证效率;同时本发明只需要在每台路由器上部署一个代理,与传统的安全增强协议机制相比,大大降低了部署开销。
4、本发明采用NETCONF协议,提供认证、数据完整性、机密性和应答保护等机制确保BGP邻居信息安全传输;采用YANG数据建模语言,可以更好地描述数据之间的层次性和限制关系。同时NETCONF协议和YANG数据建模语言作为下一代网络管理的既定标准,使得本发明具有更好的通用性和可扩展性。
附图说明
图1是本发明方法的流程示意图;
图2是本发明具体应用时的系统结构示意图;
图3是本发明具体应用时的设计实现模块示意图;
图4是本发明YANG语言对BGP邻居建模示意图;
图5是本发明具体应用时的拓扑示意图;
图6是本发明具体应用时的配置示意图;
图7是本发明具体应用时节点伪造BGP路由时的邻居表示意图;
图8是本发明具体应用时节点异常阻断后的邻居表示意图;
图9是本发明具体应用时阻断异常的安全路由策略示意图。
具体实施方式
以下将结合说明书附图和具体实施案例对本发明做进一步详细说明。
如图1所示,本发明的一种基于SDN架构的BGP路由可信验证方法,其步骤为:
第一步,构建基于SDN架构的BGP路由可信验证环境,如图2所示,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF(Network Configuration Protocol,网络配置协议)周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;
第二步、集中控制点与代理交互,从BGP协议进程处获取BGP邻居信息,将BGP邻居信息表建模得到YANG模型,结合图3,包含以下步骤:
2.1使用YANG数据建模语言对BGP邻居信息表进行建模,得到YANG模型。YANG是一种用于对NETCONF协议操作的配置和管理数据进行建模的语言。它可以描述数据之间层次性和限制关系。YANG定义了数据模型以及NETCONF协议操作。如图4所示,在充分分析BGP邻居结构之后,BGP邻居信息表被形式化成YANG模型。定义邻居为一个容器节点(图4中“container bgp-neighbor”)聚集所有邻居信息。由于邻居包含很多条目,我们定义每个条目为一个列节点(图4中“list neighbor”),并用邻居ID(图4中“key neighbor”)唯一标识。考虑到每个条目又包含很多属性:邻居ID(图4中“leaf neighbor”)、版本号(图4中“leafv”)、AS号(图4中“leaf as”),每个属性有一个值且没有孩子节点,我们用叶子节点(leaf)定义属性。
2.2集中控制点向代理发送配置请求,请求获取BGP邻居信息表。集中控制点是一个软件模块,包含邻居验证器、邻居信息数据库和邻居监测器三个组件,邻居验证器负责验证BGP是否可信,邻居监测器负责生成对应XML格式的邻居信息请求,邻居信息数据库采用文件方式存储XML中解析的邻居信息。邻居监测器按照YANG语言对BGP邻居信息建模的结果,生成对应XML格式的邻居信息请求,然后将XML编码于<rpc>消息体中,通过标准的NETCONF协议发送给代理。
2.3代理响应集中控制点的请求,将邻居信息表发送给集中控制点。代理是一个软件模块,包含邻居采集器和邻居发送器两个组件。邻居发送器响应集中控制点的请求,将该请求发送给邻居采集器,邻居采集器和BGP协议进程通信,读取BGP邻居信息表,保留数据原格式发送给邻居发送器。邻居发送器组件按照YANG语言对BGP邻居信息建模,将收到的邻居信息表转换成对应的XML格式。最后,邻居发送器将XML编码于<rpc-reply>消息体中,通过标准的NETCONF协议发送给集中控制点。图3中的双向数据流表示了集中控制点向代理请求邻居信息,以及代理与BGP协议进程交互后,将获取到的邻居信息发送给集中控制点的过程。
第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;具体流程如下:
3.1集中控制点从代理收到XML编码的BGP邻居信息表后,从XML中解析出邻居信息,存储于邻居信息数据库中。集中控制点的邻居监测器组件收到代理的响应消息,从XML中解析出邻居信息,存储于邻居信息数据库中。邻居信息数据库采用文件存储方式,既方便读写,也可以作为日志供以后查询。
3.2集中控制点检测异常,验证BGP是否可信。当集中控制点管辖范围内运行BGP协议的路由器的邻居信息表都采集完成后,得到邻居信息数据库,邻居验证器以邻居信息数据库作为输入,验证BGP是否可信。方法是:集中控制点在采集完所有运行BGP协议的路由器的邻居信息表后,对比分析判断互为邻居的路由器是否存在对方的邻居表中,验证BGP路由是否可信,如果BGP路由可信,结束;否则,进入第四步。因为BGP要建立邻居表首先要建立TCP会话,然后建立BGP的邻居关系,进而会把邻居关系记录到邻居表中,即两台运行BGP协议的路由器A和路由器B,路由器A在路由器B的邻居表中,如果路由器B也在路由器A的邻居表中,则两台路由器的BGP路由可信;如果路由器B不在路由器A的邻居表中,则路由器A伪造了一条到路由器B的BGP路由,即路由器A的BGP路由不可信。
第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信,流程如下:
4.1集中控制点检测到某路由器的BGP邻居表中存在多余的邻居信息,则生成安全路由策略删除该邻居信息以阻断异常路由;
4.2集中控制点根据NETCONF协议规范以及第二步的YANG模型,将安全路由策略转换成XML编码的配置文件,删除多余的邻居。
第五步、集中控制点下发安全路由策略阻断异常路由,流程如下:
5.1集中控制点生成XML编码的安全路由策略之后,通过标准的NETCONF协议将其发送给代理;
5.2代理收到安全路由策略之后,与BGP协议进程交互,通过对BGP邻居信息表进行写操作,执行安全路由策略,删除多余的邻居。
第六步、集中控制点验证是否阻断异常,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。
采用本发明进行可信BGP路由验证与异常阻断的一个具体实施例如下:
系统配置:(1)硬件:DELL服务器一台(2)软件:Linux操作系统Red Hat和Ubuntu,VM VirtualBox软件,Quagga软件路由器。
第一步、搭建应用环境
本应用由七台路由器构成,依次命名为Victim、A、B、C、D、E和Dest。连接关系如图5所示。名字为Fake Dest的路由器实际不存在,它是当A被攻击并且其BGP路由不可信之后,由A指向的伪造路由器。从Victim指向Dest的带箭头实线表示在所有路由器都可信的情况下,由Victim到Dest的BGP路径。从Victim指向Fake Dest的带箭头实线表示A被攻击且其BGP路由不可信之后,由Victim到Dest的BGP路径。
集中控制点部署在Red Hat上。此外,我们用三步部署代理。首先,使用OracleVMVirtualBox创建七个节点,每个节点上运行Ubuntu。然后,我们在每个节点上运行Quagga,并启动BGPD进程。最后,我们在每个节点上部署代理与BGPD和集中控制点交互。数据流从BGPD到代理到集中控制点,再从集中控制点到代理到BGPD,这种闭环控制结构能够实时检测和阻断异常路由。
第二步、伪造BGP路由
如图5所示,正常情况下,从Victim指向Dest的带箭头实线表示由Victim到Dest的BGP路径。为了将该数据流变成从Victim指向Fake Dest的带箭头实线,我们选择路由器A进行BGP路由伪造。首先配置A的接口Serial0/2IP地址为70.1.1.2,这和Dest的接口Serial0/2在同一个网段。然后将A的该接口加入到BGP区域中。各路由器的详细配置如图6所示。例如路由器A,配置路由器ID为2.2.2.2,所在的AS为AS200,有三个接口Serial 0/0、Serial 0/1和Serial 0/2,IP地址分别为10.1.1.3、20.1.1.2和70.1.1.2。
第三步、检测异常
集中控制点周期性的采集所有路由器的BGP邻居信息表进行对比。在某一时刻,我们发现Dest在A的BGP邻居信息表中,而Dest的邻居信息表中只有路由器C一个条目。结果如图7所示,路由器A中的邻居表第一项为Dest,而路由器Dest的邻居表中只有一项,即路由器C。此时我们认为路由器A伪造了一条到Dest的BGP路由。为了验证该推断,我们使用从Victim到Dest的Traceroute命令,发现数据流确实改变成了从Victim到Fake Dest。
第四步、阻断异常
为了阻断这次异常,我们决定将Dest从A的BGP邻居信息表中删除。对应的XML配置文件如图9所示,该配置文件定义的操作为将路由器ID为7.7.7.7的邻居从BGP邻居信息表中删除。使用标准的NETCONF协议下发该安全路由策略。然后我们检查路由器的BGP邻居信息表,发现Dest已不在A的表中,如图8所示,路由器A的邻居信息表中只剩下两项,已将Dest成功删除。此时我们认为A可信且网络恢复正常,结束。从Victim到Dest的Traceroute结果也验证了我们的推断。
以上仅是本发明的优选实施方式,本发明的保护范围并不仅局限于上述实施例,凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理前提下的若干改进和润饰,应视为本发明的保护范围。
Claims (5)
1.一种基于SDN架构的BGP路由可信验证方法,其特征在于,实施步骤如下:
第一步,构建基于SDN架构的BGP路由可信验证环境,BGP路由可信验证环境包括:为每台路由器部署的一个代理,以及部署在客户端的集中控制点;代理负责与BGP协议进程交互,读写BGP邻居信息表;集中控制点是一个软件模块,负责使用网络配置协议NETCONF周期性地与代理交互,获取管辖范围内所有路由器的BGP邻居信息表,生成邻居信息数据库;
第二步、集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型;
第三步、集中控制点集中检测异常,验证BGP路由是否可信,如果BGP路由可信,则结束;否则,BGP路由不可信,进入第四步;
第四步、集中控制点生成阻断异常的安全策略,确保BGP路由可信;
第五步、集中控制点下发安全策略阻断异常路由;
第六步、集中控制点验证异常路由是否被阻断,方法是:安全路由策略下发成功后,代理再次读取BGP邻居信息表,并通过NETCONF协议发送给集中控制点,转第三步。
2.根据权利要求1所述的基于SDN架构的BGP路由可信验证方法,其特征在于,所述第二步集中控制点采集BGP邻居信息,将BGP邻居信息表建模得到YANG模型,具体流程为:
2.1使用YANG数据建模语言对BGP邻居信息表进行建模,得到YANG模型,包括以下步骤:
2.1.1定义邻居为一个容器节点聚集所有的邻居信息;
2.1.2定义邻居表中每一行的条目为一个列节点,并用邻居ID唯一标识;
2.1.3定义条目中的每个属性为一个叶子节点;
2.2集中控制点向代理发送配置请求,请求获取BGP邻居信息表,包括以下步骤:
2.2.1集中控制点收到请求BGP邻居信息的命令后,自动生成XML格式的配置请求;
2.2.2集中控制点通过NETCONF协议将配置请求发往代理;
2.3代理响应集中控制点的请求,将邻居信息表发送给集中控制点,包括以下步骤:
2.3.1代理收到集中控制点的配置请求后,通过对BGP协议进程进行读操作,获取BGP邻居信息表;
2.3.2代理将BGP邻居信息表用XML进行编码,然后通过NETCONF协议发往集中控制点。
3.根据权利要求1所述的基于SDN架构的BGP路由可信验证方法,其特征在于,所述第三步集中控制点集中检测异常,验证BGP路由是否可信,具体流程为:
3.1集中控制点从代理收到XML编码的BGP邻居信息表后,从XML中解析出邻居信息,存储于邻居信息数据库中;
3.2集中控制点管辖范围内所有运行BGP的路由器的邻居信息都采集完成后,得到邻居信息数据库;然后,对比分析邻居信息数据库,判断互为邻居的路由器是否存在对方的邻居表中,验证BGP路由是否可信:如果互为邻居的路由器存在于对方的邻居表中,则BGP路由可信,结束;否则,此BGP路由不可信,进入第四步。
4.根据权利要求1所述的基于SDN架构的BGP路由可信验证方法,其特征在于,所述第四步集中控制点生成阻断异常的安全策略,具体流程为:
4.1集中控制点检测到某路由器的BGP邻居表中存在多余的邻居信息,则生成安全路由策略删除该邻居信息以阻断异常路由;
4.2集中控制点根据NETCONF协议规范以及第二步的YANG模型,将安全路由策略转换成XML编码的配置文件,删除多余的邻居。
5.根据权利要求1所述的基于SDN架构的BGP路由可信验证方法,其特征在于,所述第五步集中控制点下发安全策略阻断异常路由,具体流程为:
5.1集中控制点生成XML编码的安全路由策略之后,通过标准的NETCONF协议将其发送给代理;
5.2代理收到安全路由策略之后,与BGP协议进程交互,通过对BGP邻居信息表进行写操作,执行安全路由策略,删除多余的邻居。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611083324.1A CN106656792B (zh) | 2016-11-30 | 2016-11-30 | 一种基于sdn架构的bgp路由可信验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611083324.1A CN106656792B (zh) | 2016-11-30 | 2016-11-30 | 一种基于sdn架构的bgp路由可信验证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106656792A true CN106656792A (zh) | 2017-05-10 |
CN106656792B CN106656792B (zh) | 2019-06-28 |
Family
ID=58813420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611083324.1A Active CN106656792B (zh) | 2016-11-30 | 2016-11-30 | 一种基于sdn架构的bgp路由可信验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106656792B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989232A (zh) * | 2017-05-31 | 2018-12-11 | 中兴通讯股份有限公司 | Sdn中的报文交互方法及装置 |
CN109040143A (zh) * | 2018-10-18 | 2018-12-18 | 中国联合网络通信集团有限公司 | 一种bgp异常事件的检测方法和装置 |
WO2020207051A1 (zh) * | 2019-04-11 | 2020-10-15 | 华为技术有限公司 | 网络验证的方法和装置 |
WO2021027941A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 学习路由的方法、转发报文的方法、设备和存储介质 |
WO2021057605A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 设备管理方法、装置、系统、设备及存储介质 |
WO2022002123A1 (zh) * | 2020-06-30 | 2022-01-06 | 华为技术有限公司 | 网络配置的验证方法和装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889569A (zh) * | 2006-07-14 | 2007-01-03 | 清华大学 | 边界网关协议中失效路由的快速清除方法 |
CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
CN105516028A (zh) * | 2015-12-03 | 2016-04-20 | 浙江工商大学 | 一种bgp协议的主从控制方法 |
-
2016
- 2016-11-30 CN CN201611083324.1A patent/CN106656792B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1889569A (zh) * | 2006-07-14 | 2007-01-03 | 清华大学 | 边界网关协议中失效路由的快速清除方法 |
CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
CN105516028A (zh) * | 2015-12-03 | 2016-04-20 | 浙江工商大学 | 一种bgp协议的主从控制方法 |
Non-Patent Citations (1)
Title |
---|
胡宁,朱培栋,邹鹏: "域间路由协同监测中的信息共享机制", 《软件学报》 * |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108989232A (zh) * | 2017-05-31 | 2018-12-11 | 中兴通讯股份有限公司 | Sdn中的报文交互方法及装置 |
CN109040143A (zh) * | 2018-10-18 | 2018-12-18 | 中国联合网络通信集团有限公司 | 一种bgp异常事件的检测方法和装置 |
CN109040143B (zh) * | 2018-10-18 | 2020-12-29 | 中国联合网络通信集团有限公司 | 一种bgp异常事件的检测方法和装置 |
WO2020207051A1 (zh) * | 2019-04-11 | 2020-10-15 | 华为技术有限公司 | 网络验证的方法和装置 |
CN111835532A (zh) * | 2019-04-11 | 2020-10-27 | 华为技术有限公司 | 网络验证的方法和装置 |
CN111835532B (zh) * | 2019-04-11 | 2022-04-05 | 华为技术有限公司 | 网络验证的方法和装置 |
US11909744B2 (en) | 2019-04-11 | 2024-02-20 | Huawei Technologies Co., Ltd. | Network verification method and apparatus |
WO2021027941A1 (zh) * | 2019-08-15 | 2021-02-18 | 华为技术有限公司 | 学习路由的方法、转发报文的方法、设备和存储介质 |
US11799756B2 (en) | 2019-08-15 | 2023-10-24 | Huawei Technologies Co., Ltd. | Route learning method, packet forwarding method and device, and storage medium |
WO2021057605A1 (zh) * | 2019-09-29 | 2021-04-01 | 华为技术有限公司 | 设备管理方法、装置、系统、设备及存储介质 |
US11956114B2 (en) | 2019-09-29 | 2024-04-09 | Huawei Technologies Co., Ltd. | Device management method, apparatus, and system, device, and storage medium |
WO2022002123A1 (zh) * | 2020-06-30 | 2022-01-06 | 华为技术有限公司 | 网络配置的验证方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN106656792B (zh) | 2019-06-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106656792A (zh) | 一种基于sdn架构的bgp路由可信验证方法 | |
CN112765245A (zh) | 一种电子政务大数据处理平台 | |
CN109831327A (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
CA2138058C (en) | Method for controlling computer network security | |
US20090198707A1 (en) | System and method for managing firewall log records | |
CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
CN110521170A (zh) | 网络的静态网络策略分析 | |
US20070100994A1 (en) | Modeling Interactions with a Computer System | |
CN108764719A (zh) | 基于区块链的套筒灌浆质量追溯方法、系统及采集终端 | |
CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
CN107277049A (zh) | 一种应用系统的访问方法及装置 | |
CN101635730A (zh) | 中小企业内网信息安全托管方法与系统 | |
CN103413083A (zh) | 单机安全防护系统 | |
CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
CN102611713A (zh) | 基于熵运算的网络入侵检测方法和装置 | |
US10192262B2 (en) | System for periodically updating backings for resource requests | |
US10013237B2 (en) | Automated approval | |
CN108712369A (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
CN112468464B (zh) | 基于服务链的状态机完整性验证系统及方法 | |
CN114172731A (zh) | IPv6地址的快速验证溯源方法、装置、设备及介质 | |
CN112437070B (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
Hasan et al. | Intrusion detection in a private network by satisfying constraints | |
Helmer | Intelligent multi-agent system for intrusion detection and countermeasures | |
Cintron et al. | Modeling liability data collection systems for intelligent transportation infrastructure using hyperledger fabric | |
CN115051851B (zh) | 物联网场景下的用户访问行为管控系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |