CN117118755B - 网卡链路层组间路由安全级别审核方法及系统 - Google Patents
网卡链路层组间路由安全级别审核方法及系统 Download PDFInfo
- Publication number
- CN117118755B CN117118755B CN202311375726.9A CN202311375726A CN117118755B CN 117118755 B CN117118755 B CN 117118755B CN 202311375726 A CN202311375726 A CN 202311375726A CN 117118755 B CN117118755 B CN 117118755B
- Authority
- CN
- China
- Prior art keywords
- security level
- network card
- router
- group
- inter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012545 processing Methods 0.000 claims abstract description 10
- 238000012544 monitoring process Methods 0.000 claims abstract description 6
- 238000012550 audit Methods 0.000 abstract description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 239000010410 layer Substances 0.000 description 27
- 230000007246 mechanism Effects 0.000 description 14
- 238000004519 manufacturing process Methods 0.000 description 9
- 238000011161 development Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012827 research and development Methods 0.000 description 7
- 238000012360 testing method Methods 0.000 description 4
- 241001522296 Erithacus rubecula Species 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网卡链路层组间路由安全级别审核方法及系统,包括如下所述网卡被配置为接收端时的监控安全级别处理步骤:解析发送端发来的报文的以太网帧的安全级别信息域,得到所述发送端的安全级别信息,所述安全级别信息包括组间安全级别和组内安全级别;将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;如果符合安全要求,判断所述报文为RIP报文并为所述RIP报文移除以太网帧的安全级别信息域。有益效果包括在网卡数据链路层对以太网帧提前实施路由安全级别审核,既提高了内网路由器自身抵抗攻击和欺骗的防御能力,也加强了网络报文路由的安全性和可靠性。
Description
技术领域
本发明属于网卡技术领域,特别涉及一种网卡链路层组间路由安全级别审核方法及系统。
背景技术
局域网络(内网)被广泛用来连接个人计算机和消费类电子设备,使它们能够共享资源和交换信息,当局域网被用于公司时,它们就称为企业网络。现有内网的路由机制的实现是依靠硬路由或者软硬结合的软路由来实现的,路由协议包括距离矢量算法RIP(Routing Information Protocol)路由协议V1V2和OSPF( Open Shortest Path First)路由协议等。然而,现有内网路由机制对路由功能模块自身的并没有一个安全保护机制,虚假的路由更新信息可能被执行,这将易导致网络报文被路由到恶意目标主机或被丢弃掉;另外,内网的普通网络报文达到路由器后,被路由器路由后发往目标设备,这个过程缺乏智能的负载均衡优化处理和路由安全保护机制,既增加了路由器流量负荷又增加了报文被恶意路由到安全级别较高的设备或者是恶意目标设备的风险,因此,第一需要解决对路由更新协议报文(此处没有涉及到对普通报文的路由)的风险防控;第二需要解决对普通报文路由的安全防控和负载均衡实现机制。
发明内容
为了解决本发明所提出的至少一个技术问题,本发明的第一方面提供了一种网卡链路层组间路由安全级别审核方法,该方法包括如下所述网卡被配置为接收端时的监控安全级别处理步骤:
解析发送端发来的RIP报文(协议报文)的以太网帧的安全级别信息域,得到所述发送端的安全级别信息,所述安全级别信息包括组间安全级别和组内安全级别;
将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;
如果不符合安全要求,废弃所述发送端发来的所述报文,或者判断所述报文为普通报文并为所述普通报文确定目标路由器;
如果符合安全要求,判断所述报文为RIP报文并为所述RIP报文移除以太网帧的安全级别信息域,再将移除了安全级别信息域的以太网帧上传给网络层协议栈。
本发明的第二个方面提供了一种网卡链路层组间路由安全级别审核系统,所述网卡包括至少一个处理器;以及存储器,其存储有指令,当通过至少一个处理器来执行该指令时,实施按照前述的方法的步骤。
本发明的有益效果在于,在网卡数据链路层对以太网帧提前实施路由安全级别审核,既提高了内网路由器自身抵抗攻击和欺骗的防御能力,也加强了网络报文路由的安全性和可靠性,实际测试中至少可以减少90%的路由器RIP攻击。
附图说明
图1现有技术局域网拓扑图;
图2包括安全路由网卡的局域网拓扑图;
图3一些实施例的网卡被配置为接收端时的监控安全级别处理步骤流程图;
图4 一些实施例的网卡被配置为所述发送端时的追加安全级别处理步骤流程图;
图5一些实施例的发送端网卡追加安全级别处理流程图;
图6-1一些实施例的接收端监控安全级别处理流程图1;
图6-2一些实施例的接收端监控安全级别处理流程图2;
图7-1一些实施例的动态加权轮询机制的详细过程图1;
图7-2一些实施例的动态加权轮询机制的详细过程图2;
图8一些实施例的链路层组间路由安全级别审核系统示意图。
具体实施方式
虽然本发明实施例阐述了许多细节,但应当理解,本发明公开的一些方面可在没有这些细节的情况下被实施。在其他情况下,未详细示出熟知的通讯协议、电路等技术,以免模糊对该描述的理解。
术语解释:
链路层为OSI模型的第二层,即数据链路层。
网卡即网络适配器,属于数据链路层设备。
协议栈(Protocol stack),又称协议堆叠,是计算机网络协议套件的一个具体的软件实现。
组间 是指局域网内部门安全级别相同或不同的各个部门(组)的计算机设备之间通讯,以企业为例,比如研发部跟总经办之间就是安全级别相同的组间,再比如研发部跟生产部就是安全级别不同的组间。
如图1所示,为已知的局域网的拓扑图,包括网络中心、若干组间路由器和组内路由器,以及若干配置了普通网卡的计算机设备,网络中心包括中心路由器,以企业内网为例,企业内网普通网络报文达到中心路由器后,被中心路由器路、组间路由器、组内路由器等路由后发往目标计算机设备。已知的内网的路由机制的实现是依靠硬路由或者软硬结合的软路由来实现的,本发明不做具体限定,路由协议包括距离矢量算法RIP(RoutingInformation Protocol)路由协议V1V2和OSPF( Open Shortest Path First)路由协议等。然而,现有内网路由机制对路由功能模块自身的并没有一个安全保护机制,虚假的路由更新信息可能被执行,这将易导致网络报文被路由到恶意目标主机或被丢弃掉。另外,内网的普通网络报文达到路由器后,被路由器路由后发往目标计算机设备,这个过程缺乏智能的负载均衡优化处理和路由安全保护机制,既增加了路由器流量负荷又增加了报文被恶意路由到安全级别较高的计算机设备或者是恶意目标计算机设备。
本发明的构思在于提供了一种替代普通网卡的配置了链路层组间路由安全级别审核方法和系统的网卡(简称安全路由网卡),如图2所示,内网中的计算机设备被配置了安全路由网卡。
下面通过具体实施例介绍链路层组间路由安全级别审核方法和系统。
在一些实施例中,如图3所示,网卡链路层组间路由安全级别审核方法为,包括如下所述网卡被配置为接收端时的监控安全级别处理步骤:
S1:解析发送端发来的RIP报文的以太网帧的安全级别信息域,得到所述发送端的安全级别信息,所述安全级别信息包括组间安全级别和组内安全级别;
S2:将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;
S3:如果不符合安全要求,废弃所述发送端发来的所述报文,或者判断所述报文为普通报文并为所述普通报文确定目标路由器;
S4:如果符合安全要求,判断所述报文为RIP报文并为所述RIP报文移除以太网帧的安全级别信息域,再将移除了安全级别信息域的以太网帧上传给网络层协议栈。
在这些实施例中,由于在网卡数据链路层对以太网帧提前实施路由安全级别审核,既提高了内网路由器自身抵抗攻击和欺骗的防御能力,也加强了网络报文路由的安全性和可靠性,实际测试中至少可以减少90%的路由器RIP攻击。
在以上任一实施例的基础上,如图4所示,网卡链路层组间路由安全级别审核方法为,包括如下所述网卡被配置为所述发送端时的追加安全级别处理步骤:
S5:将安全级别信息标识追加到所述RIP报文的以太网帧得到具有安全级别信息域的以太网帧;所述安全级别信息标识包括组间安全级别标识和组内安全级别标识;
S6:将与所述具有安全级别信息域的以太网帧相应的所述RIP报文发送给所述接收端。
在这些实施例中,安全路由网卡对普通以太网帧进行了调整,追加了组间安全级别标识和组内安全级别标识。比如,安全路由网卡可内置组间安全级别共3档(3绝密级、2机密级、1普密级),组内安全级别共4档(4到1安全级别逐渐降低)。下表示例说明以太网帧RIP报文封装格式。
6字节源MAC地址 | 6字节目标MAC地址 | 2字节以太网报文类型 | 4字节安全级别前导标识 | 2字节安全级别标识1字节组间安全级别1字节组内安全级别 | IPV4报文,包含RIPV1,V2报文 | 4字节32位以太网帧校验和 |
5853C00A0B0C | 5853C00A0E0C | 0800 | 5853C0EE | 0302 | 89ABCDEF |
其中,5853C00A0B0C表示发送方MAC地址;5853C00A0E0C表示接收方MAC地址;0800表示以太网;5853C0EE 表示安全级别前导标识;0302中,03表示绝密级组,02表示组内安全级别。
在以上任一实施例的基础上,网卡链路层组间路由安全级别审核方法为,所述发送端的所述安全级别信息标识还包括安全级别前导标识;
所述接收端解析发送端发来的RIP报文的以太网帧的安全级别信息域,得到所述发送端的安全级别前导信息;
比较所述发送端的安全级别前导信息与所述接收端的安全级别前导信息是否一致;
如果一致,再将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较;
如果不一致,废弃所述发送端发来的所述RIP报文。
在这些实施例中,安全级别前导标识好处是可以确切检测出携带安全级别信息的网络报文,该网络报文包括RIP报文(协议报文)和普通网络报文。
在以上任一实施例的基础上,网卡链路层组间路由安全级别审核方法为,所述网卡配置有MAC地址与安全级别前导标识、组间安全级别和组内安全级别的对照表。
在这些实施例中,安全路由网卡内部维护一张MAC地址与安全级别对照表,比如如下表所示。
部 门 | 小 组 | MAC地址 | 组间安全级别 | 组内安全级别 |
研发部 | 芯片架构组 | 张三A 5853C00A0B0C | 绝密级- 3 | 4 |
研发部 | 硬件测试组 | 张三B 5853C00A0B0D | 绝密级- 3 | 1 |
销售部 | 国内各区域 | 李四A 5853C00A0C0C | 机密级- 2 | 2 |
销售部 | 国际贸易 | 李四B 5853C00A0C0D | 绝密级- 3 | 3 |
生产部 | 成品检测 | 赵三A 5853C00A0D0C | 普密级- 1 | 1 |
生产部 | 贴片车间 | 王二A 5853C00A0D0D | 机密级- 2 | 4 |
网管中心 | 监控中心 | 四喜A 5853C00A0E0C | 绝密级- 3 | 4 |
在以上任一实施例的基础上,参考图6-1、图6-2所示,网卡链路层组间路由安全级别审核方法为,所述接收端被配置为当前网卡路由器;所述路由安全级别包括组间安全级别和组内安全级别;
将所述发送端的所述组间安全级别和所述组内安全级别与所述当前网卡路由器的所述路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;
如果所述发送端的所述组间安全级别和所述组内安全级别分别小于所述当前网卡路由器的所述组间安全级别和所述组内安全级别,则判断为不符合安全要求;
如果所述发送端的所述组间安全级别和所述组内安全级别分别大于或等于所述当前网卡路由器的所述组间安全级别和所述组内安全级别,则判断为符合安全要求。
在这些实施例中,安全路由网卡在流量被路由之前进行安全级别匹配(同时比较组间和组内安全级别)对安全级别小于当前网卡路由器安全级别的报文,确定最终的目标路由器。级别大于等于当前网卡路由器安全级别的报文,直接放行本机路由,即,网络报文(RIP报文或者普通报文)被本机网卡权限审核通过(放行),然后恢复为原有报文并继续向上传递给协议层。
在以上任一实施例的基础上,网卡链路层组间路由安全级别审核方法为,所述网卡被配置为网卡路由器,所述网卡路由器在局域网内实现组内路由和/或组间路由。
在这些实施例中,所述网卡被配置有路由器列表,此时网卡称为网卡路由器(为了表述方便,有时简称为路由器)。除本发明实施例给出路由器列表的配置方法以外,可以采用已知的路由器的路由器列表配置,本发明不做具体限定。
在以上任一实施例的基础上,网卡链路层组间路由安全级别审核方法为,为所述发送端发来的所述普通报文确定目标路由器的算法为加权轮询算法,所述加权轮询算法包括如下步骤:
加载N台所述路由器信息S,S={S0,S1,S2,…,Sn-1},其中,S0表示内网中的第1台网卡路由器、S1表示内网中的第2台网卡路由器、S2表示内网中的第3台网卡路由器、Sn-1表示内网中的第n台网卡路由器;
加载N台所述网卡路由器的默认权重W;W ={W0,W1,W2,…,Wn-1},其中,W0表示内网中的第1台网卡路由器的默认权重、W1表示内网中的第2台网卡路由器的默认权重、W2表示内网中的第3台网卡路由器的默认权重、Wn-1表示内网中的第n台网卡路由器的默认权重;
初始化所述当前网卡路由器的路由器列表,将W0个S0加入至所述路由器列表,将W1个S1加入至所述路由器列表,依据此规则,将Wn-1个Sn-1加入至所述路由器列表;
从所述路由器列表的S0 开始依序调度;
若所有所述网卡路由器都已被调度过,则从头重新开始,循环调度。
在这些实施例中,采用加权轮询算法实现了对普通报文的路由机制。
在以上任一实施例的基础上,如图7-1、图7-2所示,网卡链路层组间路由安全级别审核方法为,为所述发送端发来的所述普通报文确定目标路由器的算法为动态加权轮询算法,所述动态加权轮询算法包括如下步骤:
加载N台所述网卡路由器信息S,S={S0,S1,S2,…,Sn-1},其中,S0表示内网中的第1台网卡路由器、S1表示内网中的第2台网卡路由器、S2表示内网中的第3台网卡路由器、Sn-1表示内网中的第n台网卡路由器;
加载N台所述网卡路由器的默认权重W;W ={W0,W1,W2,…,Wn-1},其中,W0表示内网中的第1台网卡路由器的默认权重、W1表示内网中的第2台网卡路由器的默认权重、W2表示内网中的第3台网卡路由器的默认权重、Wn-1表示内网中的第n台网卡路由器的默认权重;
加载N台所述网卡路由器的初始安全级别权重Wj;Wj={Wj0,Wj1,…,Wjn-1},其中,Wj0表示内网中的第1台网卡路由器的初始安全级别权重、Wj1表示内网中的第2台路由器的初始安全级别权重、Wj2表示内网中的第3台路由器的初始安全级别权重、Wjn-1表示内网中的第n台路由器的初始安全级别权重,0<Wjn<1,Wjn=Gn/(G0+G1+…+Gn-1),且Wj0+Wj1+…+Wjn-1 = 1;Gn-1代表组间路由器n的组间安全级别可调系数,有初始值,在路由器运行中会不断根据组间安全级别调整而调整。
在这些实施例中,在数据链路层进行路由安全级别审核不但隔离了对路由器自身的攻击,也有效降低了路由器的负荷,同时也加快了报文转发。实际测试中采用动态加权轮询(Dynamic Weight Round)算法,可以隔离95%的不符合安全级别的路由请求。
下面进一步动态加权轮询算法说明。
1)Wn是已经初始化设定好具体数值,比如按照加权轮询机制原有W0个S0路由器,W1个S1路由器放入路由器列表ServerList中。在企业局域网的具体示例中,S0对应中心路由器数目,W0取值1;S1对应研发部组间路由器数目,W1取值2;生产部内部组内路由器S2对应的路由器数目,W2取值4,放入列表ServerList中就是{1,2,4…}
2)按照动态加权轮询算法:
ServerList 演变为{7,14,28……};G0, G1, G2初始值就是原来的ServerList中的元素值;G0=1,G1=2,G2=4,Wj0初始化为 G0/(G0+G1+G2)=1/(1+2+4) = 1/7;
Wj1初始化为 G1/(G0+G1+G2)= 2/(1+2+4) = 2/7;
Wj2初始化为G2/(G0+G1+G2)=4/(1+2+4)= 4/7;
这样一来动态加权轮询算法路由器列表Wj的元素初始化取值为{ W0 Wj0,W1
Wj1,W2 Wj2} = {7(1/7),7(2/7),7(4/7)}。
实际路由器运行过程中,Wjn会随着部门(组间)安全级别的变化而变化。
进一步举例说明变化调整原则如下:
1)低组间安全级别终端原则上不允许访问比他级别高的路由器,例如生产部报文不允许访问研发部路由器,或者某些时间段必须要访问研发路由器,或者某些时间端段必须限制访问研发部的流量。
2)针对这种情况需要分别调整路由器列表
(1)Wj1 = 0,此时生产部路由器列表为Wj={1,0,4},因为研发部路由器数目为0,生产部报文无法路由到研发部。
(2)Wj1 = 2/7 ,此时研发部路由器数目恢复为初始值2,生产部可以正常访问研发部。
(3)Wj1 = 1/7 ,此时研发部路由器数目只有一台,依据加权轮询机制,该路由器被检索的几率变为初始值的一半。在流量上很好的控制了生产部对研发部的网络访问。
在以上任一实施例的基础上,网卡链路层组间路由安全级别审核方法为,所述发送端将所述RIP报文的以太网帧的安全级别信息域加密后发送给所述接收端;所述接收端将所述发送端发来的RIP报文的以太网帧的安全级别信息域解密后再解析所述发送端发来的RIP报文。
在本发明的另外一些实施例中,提供了如图8的网卡链路层组间路由安全级别审核系统1,其包括至少一个处理器2;以及存储器3和网络接口4和系统接口5,存储器3存储有指令,当通过至少一个处理器2来执行该指令时,实施按照前述的方法的步骤。
本说明书中描述的主题的实施方式和功能性操作可以在以下中实施:数字电子电路,有形实施的计算机软件或者固件,计算机硬件,包括本说明书中公开的结构及其结构等同体,或者上述中的一者以上的组合。本说明书中描述的主题的实施方式可以被实施为一个或多个计算机程序,即,一个或多个有形非暂时性程序载体上编码的计算机程序指令的一个或多个模块,用以被数据处理设备执行或者控制数据处理设备的操作。
虽然本说明书包含很多具体的实施细节,但是这些不应当被解释为对任何发明的范围或者对可以要求保护的内容的范围的限制,而是作为可以使特定发明的特定实施方式具体化的特征的说明。在独立的实施方式的语境中的本说明书中描述的特定特征还可以与单个实施方式组合地实施。相反地,在单个实施方式的语境中描述的各种特征还可以独立地在多个实施方式中实施,或者在任何合适的子组合中实施。此外,虽然以上可以将特征描述为组合作用并且甚至最初这样要求,但是来自要求的组合的一个或多个特征在一些情况下可以从该组合去掉,并且要求的组合可以转向子组合或者子组合的变形。
Claims (8)
1.一种网卡链路层组间路由安全级别审核方法,其特征在于,该方法包括如下所述网卡被配置为接收端时的监控安全级别处理步骤:
解析发送端发来的报文的以太网帧的安全级别信息域,得到所述发送端的安全级别信息,所述安全级别信息包括组间安全级别和组内安全级别;
将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;
如果不符合安全要求,废弃所述发送端发来的所述报文,或者判断所述报文为普通报文并为所述普通报文确定目标路由器;
如果符合安全要求,判断所述报文为RIP报文并为所述RIP报文移除以太网帧的安全级别信息域,再将移除了安全级别信息域的以太网帧上传给网络层协议栈;
所述的网卡链路层组间路由安全级别审核方法还包括如下所述网卡被配置为所述发送端时的追加安全级别处理步骤:
将安全级别信息标识追加到所述RIP报文的以太网帧得到具有安全级别信息域的以太网帧;所述安全级别信息标识包括组间安全级别标识和组内安全级别标识;
将与所述具有安全级别信息域的以太网帧相应的所述RIP报文发送给所述接收端;
所述发送端的所述安全级别信息标识还包括安全级别前导标识;
所述接收端解析发送端发来的RIP报文的以太网帧的安全级别信息域,得到所述发送端的安全级别前导信息;
比较所述发送端的安全级别前导信息与所述接收端的安全级别前导信息是否一致;
如果一致,再将所述发送端的所述组间安全级别和所述组内安全级别与所述接收端的路由安全级别比较;
如果不一致,废弃所述发送端发来的所述RIP报文。
2.如权利要求1所述的网卡链路层组间路由安全级别审核方法,其特征在于,所述网卡配置有MAC地址与安全级别前导标识、组间安全级别和组内安全级别的对照表。
3.如权利要求1~2任一项所述的网卡链路层组间路由安全级别审核方法,其特征在于,所述网卡被配置为网卡路由器,所述网卡路由器在局域网内实现组内路由和/或组间路由。
4.如权利要求3所述的网卡链路层组间路由安全级别审核方法,其特征在于,所述接收端被配置为当前网卡路由器;所述路由安全级别包括组间安全级别和组内安全级别;
将所述发送端的所述组间安全级别和所述组内安全级别与所述当前网卡路由器的所述路由安全级别比较,判断所述发送端组间安全级别和组内安全级别是否符合安全要求;
如果所述发送端的所述组间安全级别和所述组内安全级别分别小于所述当前网卡路由器的所述组间安全级别和所述组内安全级别,则判断为不符合安全要求;
如果所述发送端的所述组间安全级别和所述组内安全级别分别大于或等于所述当前网卡路由器的所述组间安全级别和所述组内安全级别,则判断为符合安全要求。
5.如权利要求4所述的网卡链路层组间路由安全级别审核方法,其特征在于,为所述发送端发来的所述普通报文确定目标路由器的算法为加权轮询算法,所述加权轮询算法包括如下步骤:
加载N台所述路由器信息S,S={S0,S1,S2,…,Sn-1},其中,S0表示内网中的第1台网卡路由器、S1表示内网中的第2台网卡路由器、S2表示内网中的第3台网卡路由器、Sn-1表示内网中的第n台网卡路由器;
加载N台所述网卡路由器的默认权重W;W ={W0,W1,W2,…,Wn-1},其中,W0表示内网中的第1台网卡路由器的默认权重、W1表示内网中的第2台网卡路由器的默认权重、W2表示内网中的第3台网卡路由器的默认权重、Wn-1表示内网中的第n台网卡路由器的默认权重;
初始化所述当前网卡路由器的路由器列表,将W0个S0加入至所述路由器列表,将W1个S1加入至所述路由器列表,依据此规则,将Wn-1个Sn-1加入至所述路由器列表;
从所述路由器列表的S0 开始依序调度;
若所有所述网卡路由器都已被调度过,则从头重新开始,循环调度。
6.如权利要求3所述的网卡链路层组间路由安全级别审核方法,其特征在于,为所述发送端发来的所述普通报文确定目标路由器的算法为动态加权轮询算法,所述动态加权轮询算法包括如下步骤:
加载N台所述网卡路由器信息S,S={S0,S1,S2,…,Sn-1},其中,S0表示内网中的第1台网卡路由器、S1表示内网中的第2台网卡路由器、S2表示内网中的第3台网卡路由器、Sn-1表示内网中的第n台网卡路由器;
加载N台所述网卡路由器的默认权重W;W ={W0,W1,W2,…,Wn-1},其中,W0表示内网中的第1台网卡路由器的默认权重、W1表示内网中的第2台网卡路由器的默认权重、W2表示内网中的第3台网卡路由器的默认权重、Wn-1表示内网中的第n台网卡路由器的默认权重;
加载N台所述网卡路由器的初始安全级别权重Wj;Wj={Wj0,Wj1,…,Wjn-1},其中,Wj0表示内网中的第1台网卡路由器的初始安全级别权重、Wj1表示内网中的第2台路由器的初始安全级别权重、Wj2表示内网中的第3台路由器的初始安全级别权重、Wjn-1表示内网中的第n台路由器的初始安全级别权重,0<Wjn<1,Wjn=Gn/(G0+G1+…+Gn-1),且Wj0+Wj1+…+Wjn-1= 1;Gn-1代表组间路由器n的组间安全级别可调系数,有初始值,在路由器运行中会不断根据组间安全级别调整而调整。
7.如权利要求1~2任一项所述的网卡链路层组间路由安全级别审核方法,其特征在于,所述发送端将所述RIP报文的以太网帧的安全级别信息域加密后发送给所述接收端;所述接收端将所述发送端发来的RIP报文的以太网帧的安全级别信息域解密后再解析所述发送端发来的RIP报文。
8.一种网卡链路层组间路由安全级别审核系统,其特征在于,所述网卡包括至少一个处理器;以及存储器,其存储有指令,当通过至少一个处理器来执行该指令时,实施按照权利要求1-7任一项所述的方法的步骤。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311375726.9A CN117118755B (zh) | 2023-10-23 | 2023-10-23 | 网卡链路层组间路由安全级别审核方法及系统 |
CN202410387338.0A CN118199997A (zh) | 2023-10-23 | 2023-10-23 | 一种用于链路层组间路由安全级别审核的网卡 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311375726.9A CN117118755B (zh) | 2023-10-23 | 2023-10-23 | 网卡链路层组间路由安全级别审核方法及系统 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410387338.0A Division CN118199997A (zh) | 2023-10-23 | 2023-10-23 | 一种用于链路层组间路由安全级别审核的网卡 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117118755A CN117118755A (zh) | 2023-11-24 |
CN117118755B true CN117118755B (zh) | 2024-04-19 |
Family
ID=88798750
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311375726.9A Active CN117118755B (zh) | 2023-10-23 | 2023-10-23 | 网卡链路层组间路由安全级别审核方法及系统 |
CN202410387338.0A Pending CN118199997A (zh) | 2023-10-23 | 2023-10-23 | 一种用于链路层组间路由安全级别审核的网卡 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410387338.0A Pending CN118199997A (zh) | 2023-10-23 | 2023-10-23 | 一种用于链路层组间路由安全级别审核的网卡 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN117118755B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
WO2013023153A1 (en) * | 2011-08-10 | 2013-02-14 | Marvell World Trade Ltd. | Intelligent phy with security detection for ethernet networks |
CN104618244A (zh) * | 2015-01-19 | 2015-05-13 | 迈普通信技术股份有限公司 | 一种sdn网络与传统ip网络互通的方法及系统 |
CN105187209A (zh) * | 2015-07-21 | 2015-12-23 | 中国航天科工集团第三研究院第八三五七研究所 | 一种以太网通信安全保护的方法 |
CN112655184A (zh) * | 2020-08-31 | 2021-04-13 | 华为技术有限公司 | 一种安全保护方法、设备以及存储介质 |
CN114867077A (zh) * | 2022-04-12 | 2022-08-05 | 中国电信股份有限公司 | 多跳路由实现方法、装置、设备及存储介质 |
-
2023
- 2023-10-23 CN CN202311375726.9A patent/CN117118755B/zh active Active
- 2023-10-23 CN CN202410387338.0A patent/CN118199997A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
WO2013023153A1 (en) * | 2011-08-10 | 2013-02-14 | Marvell World Trade Ltd. | Intelligent phy with security detection for ethernet networks |
CN103875214A (zh) * | 2011-08-10 | 2014-06-18 | 马维尔国际贸易有限公司 | 用于以太网网络的具有安全检测的智能phy |
CN104618244A (zh) * | 2015-01-19 | 2015-05-13 | 迈普通信技术股份有限公司 | 一种sdn网络与传统ip网络互通的方法及系统 |
CN105187209A (zh) * | 2015-07-21 | 2015-12-23 | 中国航天科工集团第三研究院第八三五七研究所 | 一种以太网通信安全保护的方法 |
CN112655184A (zh) * | 2020-08-31 | 2021-04-13 | 华为技术有限公司 | 一种安全保护方法、设备以及存储介质 |
CN114867077A (zh) * | 2022-04-12 | 2022-08-05 | 中国电信股份有限公司 | 多跳路由实现方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN118199997A (zh) | 2024-06-14 |
CN117118755A (zh) | 2023-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10057164B2 (en) | Apparatus and methods to aggregate FCoE (fibre channel over ethernet) filter rules of a single interface in a single or few rules on a first-hop FCoE networking element | |
EP2224645B1 (en) | A method and equipment for transmitting a message based on the layer-2 tunnel protocol | |
EP2100406B1 (en) | Method and apparatus for implementing multicast routing | |
US7936670B2 (en) | System, method and program to control access to virtual LAN via a switch | |
US8054833B2 (en) | Packet mirroring | |
CN105991655B (zh) | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 | |
US20060174324A1 (en) | Method and system for mitigating denial of service in a communication network | |
CN109525601B (zh) | 内网中终端间的横向流量隔离方法和装置 | |
EP2164228A1 (en) | Hierarchical application of security services with a computer network | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
CN1938982A (zh) | 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置 | |
US20080247380A1 (en) | Locating original port information | |
CN105337890B (zh) | 一种控制策略生成方法以及装置 | |
KR20140059818A (ko) | 네트워크 환경 분리 | |
CN101635731A (zh) | 一种抵御mac地址欺骗攻击的方法及设备 | |
CN101808097B (zh) | 一种防arp攻击方法和设备 | |
US20130305347A1 (en) | Methods, Systems, and Computer Readable Media for Adaptive Assignment of an Active Security Association Instance in a Redundant Gateway Configuration | |
CN117118755B (zh) | 网卡链路层组间路由安全级别审核方法及系统 | |
US11552878B1 (en) | Managing replay windows in multipath connections between gateways | |
EP2893674B1 (en) | A method of operating a switch or access node in a network and a processing apparatus configured to implement the same | |
KR102046612B1 (ko) | Sdn 기반의 dns 증폭 공격 방어시스템 및 그 방법 | |
US7920564B1 (en) | Differential services support for control traffic from privileged nodes in IP networks | |
CN111385120B (zh) | 一种确定转发故障位置的方法和设备 | |
US11044197B2 (en) | System and method for protecting resources using network devices | |
US11929920B2 (en) | Managing processing queue allocation based on addressing attributes of an inner packet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |