CN113347511B - 一种光传输网络中防御逐跳攻击的方法、装置和系统 - Google Patents

一种光传输网络中防御逐跳攻击的方法、装置和系统 Download PDF

Info

Publication number
CN113347511B
CN113347511B CN202110565899.1A CN202110565899A CN113347511B CN 113347511 B CN113347511 B CN 113347511B CN 202110565899 A CN202110565899 A CN 202110565899A CN 113347511 B CN113347511 B CN 113347511B
Authority
CN
China
Prior art keywords
network
hop
equipment
interface
optical transport
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110565899.1A
Other languages
English (en)
Other versions
CN113347511A (zh
Inventor
蓝天宝
连伟华
黄国伦
蒋烨
吴斌
贺云
冯晓芳
赵晗祺
林和昀
李买林
潘信宏
杨乐
陈志君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Southern Power Grid Co Ltd
Guangxi Power Grid Co Ltd
Original Assignee
China Southern Power Grid Co Ltd
Guangxi Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Southern Power Grid Co Ltd, Guangxi Power Grid Co Ltd filed Critical China Southern Power Grid Co Ltd
Priority to CN202110565899.1A priority Critical patent/CN113347511B/zh
Publication of CN113347511A publication Critical patent/CN113347511A/zh
Application granted granted Critical
Publication of CN113347511B publication Critical patent/CN113347511B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q2011/0079Operation or maintenance aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种光传输网络中防御逐跳攻击的方法、装置和系统,光传输网络包括第一设备、第二设备和第三设备,所述第一设备和所述第二设备分别与所述第三设备连接,方法包括:所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。采用该技术方案,第三设备默认情况下关闭网络接口,仅支持本地访问,需要访问相连接的第二设备时,管理员通过第一设备打开第三设备的网络接口,提高了电网光传输网络末端设备的安全性。

Description

一种光传输网络中防御逐跳攻击的方法、装置和系统
技术领域
本发明涉及电网光通信传输网络,具体而言,涉及一种电网光传输设备安全风险的预防方法、装置和系统。
背景技术
光传输设备通常部署在城域网或者企业专用网络中,将有限宽带、移动承载上行方向业务进行汇聚后送至传送网汇聚节点或者核心节点。但是由于接入点位置的情况差异,既可能部署在有较为严格管理的核心机房中,也可能部署在末端位置如商业/居民楼的弱电柜中,甚至会作为专线租用设备放在办公室中。
部署在核心机房的光传输设备相对安全,但部署在商业/居民楼的弱电柜或者放置在办公室中的设备很容被人近距离物理接触,通过设备的物理接口进行登录,对该设备或网络中的其他设备进行攻击破坏。
目前的光传输设备普遍存在末端安全性不足的问题。
发明内容
本发明旨在解决现有光传输设备普遍存在末端安全性不足的问题。
为了解决上述技术问题,本发明第一方面提出一种光传输网络中防御逐跳攻击的方法,光传输网络包括第一设备、第二设备和第三设备,所述第一设备和所述第二设备分别与所述第三设备连接,方法包括:
所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;
当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
根据本发明的一种优选实施方式,所述第一设备为网管服务器,所述第二设备为光传输网络中与所述第三设备连接的网络单元,所述第三设备为网络单元。
根据本发明的一种优选实施方式,所述第一设备通过DCC通道与所述第三设备连接。
根据本发明的一种优选实施方式,所述第二设备的访问控制列表具体包括源地址、目的地址、源端口、目的端口和上层应用的IP地址的允许或禁止流入流出的策略。
根据本发明的一种优选实施方式,所述第一设备通过DCC通道与所述第二设备连接,可以修改所述第二设备的访问控制列表。
根据本发明的一种优选实施方式,所述第三设备的网络接口包括HTTPS协议接口,SNMP协议接口,NTP协议接口,RADIUS协议接口,SYSLOG协议接口,PCEP协议接口,以及调试接口。
本发明第二方面提出一种光传输网络中防御逐跳攻击的装置,光传输设备包括第一网络设备和第二网络设备,装置包括:
设置模块,所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;
管理模块,当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
本发明第三方面提出一种光传输网络中防御逐跳攻击的系统,包括:
存储单元,用于存储计算机可执行程序;
处理单元,用于读取所述存储单元中的计算机可执行程序,以执行光传输网络中防御逐跳攻击的方法。
本发明第四方面提出一种计算机可读介质,用于存储计算机可读程序,其特征在于,所述计算机可读程序用于执行光传输网络中防御逐跳攻击的方法。
采用该技术方案,第三设备默认情况下关闭网络接口,仅支持本地访问,需要访问相连接的第二设备时,管理员通过第一设备打开底第三设备的网络接口,提高了电网光传输网络末端设备的安全性。
附图说明
为了使本发明所解决的技术问题、采用的技术手段及取得的技术效果更加清楚,下面将参照附图详细描述本发明的具体实施例。但需声明的是,下面描述的附图仅仅是本发明的示例性实施例的附图,对于本领域的技术人员来讲,在不付出创造性劳动的前提下,可以根据这些附图获得其他实施例的附图。
图1是本发明光传输网络的网络示意图;
图2是本发明实施例中光传输网络中防御逐跳攻击的方法流程示意图;
图3是本发明实施例中光传输网络中防御逐跳攻击的装置的结构示意图;
图4是本发明实施例中光传输网络中防御逐跳攻击的系统的结构框架示意图;
图5是本发明实施例中计算机可读存储介质的结构示意图。
具体实施方式
现在将参考附图来更加全面地描述本发明的示例性实施例,虽然各示例性实施例能够以多种具体的方式实施,但不应理解为本发明仅限于在此阐述的实施例。相反,提供这些示例性实施例是为了使本发明的内容更加完整,更加便于将发明构思全面地传达给本领域的技术人员。
在符合本发明的技术构思的前提下,在某个特定的实施例中描述的结构、性能、效果或者其他特征可以以任何合适的方式结合到一个或更多其他的实施例中。
在对于具体实施例的介绍过程中,对结构、性能、效果或者其他特征的细节描述是为了使本领域的技术人员对实施例能够充分理解。但是,并不排除本领域技术人员可以在特定情况下,以不含有上述结构、性能、效果或者其他特征的技术方案来实施本发明。
附图中的流程图仅是一种示例性的流程演示,不代表本发明的方案中必须包括流程图中的所有的内容、操作和步骤,也不代表必须按照图中所显示的的顺序执行。例如,流程图中有的操作/步骤可以分解,有的操作/步骤可以合并或部分合并,等等,在不脱离本发明的发明主旨的情况下,流程图中显示的执行顺序可以根据实际情况改变。
附图中的框图一般表示的是功能实体,并不一定必然与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理单元装置和/或微控制器装置中实现这些功能实体。
各附图中相同的附图标记表示相同或类似的元件、组件或部分,因而下文中可能省略了对相同或类似的元件、组件或部分的重复描述。还应理解,虽然本文中可能使用第一、第二、第三等表示编号的定语来描述各种器件、元件、组件或部分,但是这些器件、元件、组件或部分不应受这些定语的限制。也就是说,这些定语仅是用来将一者与另一者区分。例如,第一器件亦可称为第二器件,但不偏离本发明实质的技术方案。此外,术语“和/或”、“及/或”是指包括所列出项目中的任一个或多个的所有组合。
图1是本发明光传输网络的网络示意图,如图1所示。电网的光通信网络中包括网络单元NE和网络控制设备NCE。其中网络单元NE与网络控制设备NCE通过VPN链接。网络单元NE布置在网络末端,网络控制设备NCE可以对网络单元NE进行控制和操作。
光传输设备主要的物理接口之一就是设备的网管口,它主要承担着连接网管或者近端接入管理传输设备的职责,当攻击者接入光传输设备的网管接口,就可以向该设备的主控板发出报文进行攻击,一旦攻击者获取接入设备的账号密码信息,顺利连接主控板,即可以接管该台设备,并且通过该设备与其他设备互联光路的DCC,进而可以访问到整个传输网络的其他在运设备从而对设备进行操作,例如交叉删除或网元初始化等恶意操作将造成大面积业务中断,以致威胁整个传输网络的安全。
图2是本发明实施例中光传输网络中防御逐跳攻击的方法流程示意图,如图2所示,本发明提供一种光传输网络中防御逐跳攻击的方法,光传输网络包括第一设备、第二设备和第三设备,方法包括:
S1、所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭。
在上述技术方案的基础上,进一步地,所述第一设备为网管服务器,所述第二设备为光传输网络中与所述第三设备连接的网络单元,所述第三设备为网络单元。
在本实施方式中,第一设备为网管服务器,第三设备为光网络中的网络单元,尤其是光网络中的末端设备,第二设备为其他与第三设备连接的网络单元,可以是网关设备,光传输设备以及其他的末端设备。
在上述技术方案的基础上,进一步地,所述第一设备通过DCC通道与所述第三设备连接。使用DCC通道具有较高的安全性,不容被黑客破解。
第三设备的网络接口默认为关闭状态,关闭网络接口的第三设备只能够通过DCC通道与第一设备,即网管服务器,进行通信,无法向网络中的其他设备发送数据。此时即使攻击者获取了设备的账号和密码也只能访问本地,使用命令行向其他设备发送的指令都会被屏蔽,提高了光网络的安全性。
在上述技术方案的基础上,进一步地,所述第二设备的访问控制列表具体包括源地址、目的地址、源端口、目的端口和上层应用的IP地址的允许或禁止流入流出的策略。
在本实施方式中,通过配置访问控制列表ACL可以限制相邻节点的访问,能够控制数据的传输方向。
在上述技术方案的基础上,进一步地,所述第一设备通过DCC通道与所述第二设备连接,可以修改所述第二设备的访问控制列表。
在本实施方式中,第一设备也能够配置第二设备中的ACL,能够根据需要对第二设备中的ACL策略进行修改。
在上述技术方案的基础上,进一步地,所述第三设备的网络接口包括HTTPS协议接口,SNMP协议接口,NTP协议接口,RADIUS协议接口,SYSLOG协议接口,PCEP协议接口,以及调试接口。
S2、当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
在本实施方式中,当需要从末端设备管理整个网络时,需要管理员在网管服务器中进行设置,打开末端设备的网络接口,使得数据能够传输到需要管理的第二设备。
在本实施方式中,为了保证末端设备管理网络中其他设备的安全性,在末端设备上除了通过账号密码进行验证外,还设置有生物特征采集装置,需要对用户的生物特征进行验证,通过专用通道,例如DCC通道传输到3A服务器进行验证。
在本实施方式中,在第一设备网管服务器中设置有显示面板,能够显示网络中第二设备的的ACL策略以及第三设备的端口状态。方便管理人员实时查看,对ACL策略进行调整,以及关闭或打开第三设备的网络接口。
在本实施方式中,为了保证网络设备的安全,同一个账号只能同时登陆一个第三设备。已经登录的账号,如果再其他第三设备上再次使用该账号登录时,网管服务器会收到提示告警,需要获得第一个登录人在网管服务器上确认后才允许第二个人抢占登录。未登录账号第一次登录,上报网管服务器报警,需要管理员在网管中心确认后,才可登录。
图3是本发明实施例中光传输网络中防御逐跳攻击的装置的结构示意图,如图3所示,本发明还提供一种光传输网络中防御逐跳攻击的装置300,光传输网络包括第一设备、第二设备和第三设备,所述第一设备和所述第二设备分别与所述第三设备连接,装置包括:
设置模块301,所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭。
在上述技术方案的基础上,进一步地,所述第一设备为网管服务器,所述第二设备为光传输网络中与所述第三设备连接的网络单元,所述第三设备为网络单元。
在本实施方式中,第一设备为网管服务器,第三设备为光网络中的网络单元,尤其是光网络中的末端设备,第二设备为其他与第三设备连接的网络单元,可以是网关设备,光传输设备以及其他的末端设备。
在上述技术方案的基础上,进一步地,所述第一设备通过DCC通道与所述第三设备连接。使用DCC通道具有较高的安全性,不容被黑客破解。
第三设备的网络接口默认为关闭状态,此时即使攻击者获取了设备的账号和密码也只能访问本地,使用命令行向其他设备发送的指令都会被屏蔽,提高了光网络的安全性。
在上述技术方案的基础上,进一步地,所述第二设备的访问控制列表具体包括源地址、目的地址、源端口、目的端口和上层应用的IP地址的允许或禁止流入流出的策略。
在本实施方式中,通过配置访问控制列表ACL可以限制相邻节点的访问,能够控制数据的传输方向。
在上述技术方案的基础上,进一步地,所述第一设备通过DCC通道与所述第二设备连接,可以修改所述第二设备的访问控制列表。
在本实施方式中,第一设备也能够配置第二设备中的ACL,能够根据需要对第二设备中的ACL策略进行修改。
在上述技术方案的基础上,进一步地,所述第三设备的网络接口包括HTTPS协议接口,SNMP协议接口,NTP协议接口,RADIUS协议接口,SYSLOG协议接口,PCEP协议接口,以及调试接口。
管理模块302,当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
在本实施方式中,当需要从末端设备管理整个网络时,需要管理员在网管服务器中进行设置,打开末端设备的网络接口,使得数据能够传输到需要管理的第二设备。
在本实施方式中,为了保证末端设备管理网络中其他设备的安全性,在末端设备上除了通过账号密码进行验证外,还设置有生物特征采集装置,需要对用户的生物特征进行验证,通过专用通道,例如DCC通道传输到3A服务器进行验证。
在本实施方式中,在第一设备网管服务器中设置有显示面板,能够显示网络中第二设备的的ACL策略以及第三设备的端口状态。方便管理人员实时查看,对ACL策略进行调整,以及关闭或打开第三设备的网络接口。
在本实施方式中,为了保证网络设备的安全,同一个账号只能同时登陆一个第三设备。已经登录的账号,如果再其他第三设备上再次使用该账号登录时,网管服务器会收到提示告警,需要获得第一个登录人在网管服务器上确认后才允许第二个人抢占登录。未登录账号第一次登录,上报网管服务器报警,需要管理员在网管中心确认后,才可登录。
如图4所示,本发明的一个实施例中还公开一种光传输网络中防御逐跳攻击的系统400,图4显示的基于机器学习的数字资源处理系统仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
光传输网络中防御逐跳攻击的系统400,包括存储单元420,用于存储计算机可执行程序;处理单元410,用于读取所述存储单元中的计算机可执行程序,以执行本发明各种实施方式的步骤。
在本实施方式中光传输网络中防御逐跳攻击的系统400还包括,连接不同系统组件(包括存储单元420和处理单元410)的总线430、显示单元440等。
其中,所述存储单元420存储有计算机可读程序,其可以是源程序或都只读程序的代码。所述程序可以被处理单元410执行,使得所述处理单元410执行本发明各种实施方式的步骤。例如,所述处理单元410可以执行如图2所示的步骤。
所述存储单元420可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)4201和/或高速缓存存储单元4202,还可以进一步包括只读存储单元(ROM)4203。所述存储单元420还可以包括具有一组(至少一个)程序模块4205的程序/实用工具4204,这样的程序模块4205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线430可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
光传输网络中防御逐跳攻击的系统400也可以与一个或多个外部设备470(例如键盘、显示器、网络设备、蓝牙设备等)通信,使得用户能经由这些外部设备470通过输入/输出(I/O)接口450进行与处理单元410进行交互,还可以通过网络适配器460与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)进行。网络适配器460可以通过总线430与光传输网络中防御逐跳攻击的系统400的其它模块通信。应当明白,尽管图中未示出,光传输网络中防御逐跳攻击的系统400中可使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
图5是本发明的一个计算机可读介质实施例的示意图。如图4所示,所述计算机程序可以存储于一个或多个计算机可读介质上。计算机可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储单元(RAM)、只读存储单元(ROM)、可擦式可编程只读存储单元(EPROM或闪存)、光纤、便携式紧凑盘只读存储单元(CD-ROM)、光存储单元件、磁存储单元件、或者上述的任意合适的组合。当所述计算机程序被一个或多个数据处理设备执行时,使得该计算机可读介质能够实现本发明的上述方法,即:
S1、所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;
S2、当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
通过以上的实施方式的描述,本领域的技术人员易于理解,本发明描述的示例性实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本发明实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个计算机可读的存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台数据处理设备(可以是个人计算机、服务器、或者网络设备等)执行根据本发明的上述方法。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上所述,本发明可以执行计算机程序的方法、装置、电子设备或计算机可读介质来实现。可以在实践中使用微处理单元或者数字信号处理单元(DSP)等通用数据处理设备来实现本发明的一些或者全部功能。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,本发明不与任何特定计算机、虚拟装置或者电子设备固有相关,各种通用装置也可以实现本发明。以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (7)

1.一种光传输网络中防御逐跳攻击的方法,其特征在于,光传输网络包括第一设备、第二设备和第三设备,所述第一设备和所述第二设备分别与所述第三设备连接,方法包括:
所述第一设备能够控制所述第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;所述第一设备为网管服务器,所述第二设备为光传输网络中与所述第三设备连接的网络单元,所述第三设备为网络单元;所述第一设备通过DCC通道与所述第三设备连接;为了保证网络设备的安全,同一个账号只能同时登陆一个第三设备;
当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
2.如权利要求1所述的光传输网络中防御逐跳攻击的方法,其特征在于,所述第二设备的访问控制列表具体包括源地址、目的地址、源端口、目的端口和上层应用的IP地址的允许或禁止流入流出的策略。
3.如权利要求2所述的光传输网络中防御逐跳攻击的方法,其特征在于,所述第一设备通过DCC通道与所述第二设备连接,可以修改所述第二设备的访问控制列表。
4.如权利要求1所述的光传输网络中防御逐跳攻击的方法,其特征在于,所述第三设备的网络接口包括HTTPS协议接口,SNMP协议接口,NTP协议接口,RADIUS协议接口,SYSLOG协议接口,PCEP协议接口,以及调试接口。
5.一种光传输网络中防御逐跳攻击的装置,其特征在于,光传输设备包括第一设备和第二设备,装置包括:
设置模块,所述第一设备能够控制第三设备的网络接口的开启或关闭,所述第二设备设置有访问控制列表,所述第三设备的网络接口默认设置为关闭;所述第一设备为网管服务器,所述第二设备为光传输网络中与所述第三设备连接的网络单元,所述第三设备为网络单元;所述第一设备通过DCC通道与所述第三设备连接;为了保证网络设备的安全,同一个账号只能同时登陆一个第三设备;
管理模块,当需要通过所述第三设备访问所述第二设备时,所述第一设备开启所述第三设备的网络接口。
6.一种光传输网络中防御逐跳攻击的系统,其特征在于,包括:
存储单元,用于存储计算机可执行程序;
处理单元,用于读取所述存储单元中的计算机可执行程序,以执行权利要求1至4中任一项所述的光传输网络中防御逐跳攻击的方法。
7.一种计算机可读介质,用于存储计算机可读程序,其特征在于,所述计算机可读程序用于执行权利要求1至4中任一项所述的光传输网络中防御逐跳攻击的方法。
CN202110565899.1A 2021-05-24 2021-05-24 一种光传输网络中防御逐跳攻击的方法、装置和系统 Active CN113347511B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110565899.1A CN113347511B (zh) 2021-05-24 2021-05-24 一种光传输网络中防御逐跳攻击的方法、装置和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110565899.1A CN113347511B (zh) 2021-05-24 2021-05-24 一种光传输网络中防御逐跳攻击的方法、装置和系统

Publications (2)

Publication Number Publication Date
CN113347511A CN113347511A (zh) 2021-09-03
CN113347511B true CN113347511B (zh) 2023-05-12

Family

ID=77471060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110565899.1A Active CN113347511B (zh) 2021-05-24 2021-05-24 一种光传输网络中防御逐跳攻击的方法、装置和系统

Country Status (1)

Country Link
CN (1) CN113347511B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859811A (zh) * 2006-03-15 2006-11-08 华为技术有限公司 一种无源光网络系统及其业务保护方法
CN101141305A (zh) * 2007-10-08 2008-03-12 福建星网锐捷网络有限公司 网络安全防御系统、方法和安全管理服务器
CN101489155A (zh) * 2006-03-15 2009-07-22 华为技术有限公司 一种无源光网络系统及其业务保护方法
CN101516046A (zh) * 2009-03-18 2009-08-26 深圳市讯达康通讯设备有限公司 以太网无源光网络传输方法
CN101873518A (zh) * 2010-05-28 2010-10-27 烽火通信科技股份有限公司 一种xg-pon系统或gpon系统中onu的节能方法
CN109347876A (zh) * 2018-11-29 2019-02-15 深圳市网心科技有限公司 一种安全防御方法及相关装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101005445B (zh) * 2006-01-18 2012-08-15 华为技术有限公司 一种将业务流映射到业务传输通道的方法及光网络终端
JP5154686B2 (ja) * 2008-03-17 2013-02-27 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 受動型光ネットワーク(pon)のための即時保護方式
CN101616340B (zh) * 2009-07-31 2012-01-25 北京科技大学 一种基于自动交换光网络的安全光路建立方法
CN104467951B (zh) * 2013-09-24 2019-08-16 中兴通讯股份有限公司 光网络单元管理方法及光网络单元
CN104883340B (zh) * 2014-02-28 2018-10-12 华为技术有限公司 防范入侵的方法及接入设备
CN107204886A (zh) * 2016-03-16 2017-09-26 中兴通讯股份有限公司 一种服务端口管理的方法及装置
US20180307844A1 (en) * 2017-04-21 2018-10-25 KnowBe4, Inc. Using smart groups for simulated phishing training and phishing campaigns

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1859811A (zh) * 2006-03-15 2006-11-08 华为技术有限公司 一种无源光网络系统及其业务保护方法
CN101489155A (zh) * 2006-03-15 2009-07-22 华为技术有限公司 一种无源光网络系统及其业务保护方法
CN101141305A (zh) * 2007-10-08 2008-03-12 福建星网锐捷网络有限公司 网络安全防御系统、方法和安全管理服务器
CN101516046A (zh) * 2009-03-18 2009-08-26 深圳市讯达康通讯设备有限公司 以太网无源光网络传输方法
CN101873518A (zh) * 2010-05-28 2010-10-27 烽火通信科技股份有限公司 一种xg-pon系统或gpon系统中onu的节能方法
CN109347876A (zh) * 2018-11-29 2019-02-15 深圳市网心科技有限公司 一种安全防御方法及相关装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Shashikala ; C Kavitha."A secured alternative path routing protocol against DoS attack".《2014 Eleventh International Conference on Wireless and Optical Communications Networks (WOCN)》.2014,全文. *
蓝天宝 ; 张志海 ; 蔡晓兰 ; 闫江毓 ; 谢欢."基于不良数据挖掘的电力通信传输网实时态势感知与评估".《电子设计工程》.2020,全文. *

Also Published As

Publication number Publication date
CN113347511A (zh) 2021-09-03

Similar Documents

Publication Publication Date Title
US9531753B2 (en) Protected application stack and method and system of utilizing
US7680925B2 (en) Method and system for testing provisioned services in a network
CN109995792B (zh) 一种存储设备的安全管理系统
GB2530616A (en) Process control software security architecture based on least privileges
CN112738200B (zh) 一种基于封闭式公网系统的便捷运维工具及方法
CN109639658B (zh) 用于电力二次系统运维的防火墙的数据传输方法及装置
Toosarvandani et al. The risk assessment and treatment approach in order to provide LAN security based on ISMS standard
Goni Implementation of Local Area Network (lan) And Build A Secure Lan System For Atomic Energy Research Establishment (AERE)
CN113347511B (zh) 一种光传输网络中防御逐跳攻击的方法、装置和系统
Bouras et al. Teaching network security in mobile 5G using ONOS SDN controller
KR200495991Y1 (ko) 공동주택 홈네트워크의 세대 내 네트워크에 보안기능을 추가하는 멀티플렉서
Yuan et al. Design and implementation of enterprise network security system based on firewall
Ali et al. Byod cyber forensic eco-system
CN113347166B (zh) 一种电网光传输设备安全风险的预防方法、装置和系统
Funmilola et al. Review of Computer Network Security System
Holmberg et al. Using the BACnet® firewall router
Heryanto et al. Application of Access Control List for Network Security At Cisco Router As a Firewall
Grøtan et al. The sesa method for assessing secure remote access to safety instrumented systems
CN113709157B (zh) 基于云路由和安全控制中心的电力安全研发网络结构
Veena et al. Detection and mitigation of security attacks using real time SDN analytics
US12010099B1 (en) Identity-based distributed cloud firewall for access and network segmentation
Rahman et al. VoIP on IP PBX system using secure VPN communication and delay analysis
Goni Design, Deployment and Implementation of Local Area Network (LAN) at BAEC Head Quarter
Gerome Small Business Office Network
Appukuttan et al. Operational considerations for substation security

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant