公开(公告)号：CN117955709A

公开(公告)日：2024-04-30

申请号：CN202410063819.6

申请日：2024-01-16

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈文华 ,  陈鸿杰 ,  李志龙 ,  景寅洛 ,  蒋春元

IPC分类号： H04L9/40 ,  H04L45/76 ,  H04L47/125

摘要： 本申请涉及一种工作负载间的通信控制方法、装置、计算机设备、存储介质和计算机程序产品，应用于部署在目标业务应用系统中的工作负载上的安全代理。方法包括：接收策略控制服务器下发的至少一个安全策略；每个安全策略存在匹配的业务访问类型；业务访问类型为安全代理监控的工作负载与其他工作负载之间的业务访问类型；业务访问类型响应于工作负载向目标工作负载发起的互访通信请求，将目标业务访问类型与至少一个安全策略进行匹配，得到目标安全策略；目标业务访问类型为发送端的工作负载和接收端的目标工作负载之间的业务访问类型；执行目标安全策略所指示的业务访问操作。采用本方法能够提高工作负载间通信的安全性。

公开(公告)号：CN117749423A

公开(公告)日：2024-03-22

申请号：CN202311589440.0

申请日：2023-11-27

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈文华 ,  李志龙 ,  李澄宇 ,  蒋春元 ,  陈鸿杰

IPC分类号： H04L9/40 ,  H04L67/12 ,  G06F9/455

摘要： 本申请涉及一种容器管控方法、装置、计算机设备和存储介质，涉及容器安全技术领域。方法包括：微隔离客户端确定处于被监控状态下的目标进程所对应的目标容器，获取目标容器的容器信息，并向云管平台上报目标容器的容器信息和目标进程的进程记录，以指示云管平台在基于容器信息和进程记录识别到目标容器为危险容器的情况下，删除目标容器的通信资源信息；其中，目标容器的通信资源信息用于供目标容器建立容器间通信。采用本方法可以实时将目标进程所对应的进程记录和目标容器的容器信息上报至云管平台，使得云管平台可以对微隔离客户端中的危险容器进行及时管控，避免危险容器与其他容器之间建立通信，能够保障容器间通信的安全性。

公开(公告)号：CN117749356A

公开(公告)日：2024-03-22

申请号：CN202311588181.X

申请日：2023-11-24

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈鸿杰 ,  陈文华 ,  蒋春元 ,  李澄宇 ,  李志龙

IPC分类号： H04L9/08 ,  H04L9/32 ,  H04L9/40 ,  H04L67/141 ,  H04L67/146 ,  G06F9/455

摘要： 本申请涉及一种虚拟机通信方法、装置、计算机设备和存储介质，涉及通信安全技术领域。方法包括：接收第一虚拟机发送的请求与第二虚拟机进行通信的建立会话请求，进而生成建立会话请求对应的签名校验规则，以及基于第一虚拟机标识生成会话密钥，进一步的，向第一虚拟机发送签名校验规则和会话密钥，以及向第二虚拟机发送签名校验规则和第一虚拟机标识；签名校验规则用于指示第一虚拟机基于会话密钥对数据包进行签名，并将签名后的数据包发送至第二虚拟机；签名校验规则还用于指示第二虚拟机基于第一虚拟机标识对签名后的数据包进行校验。采用本方法可以为虚拟机提供特定的签名校验规则，以实现虚拟机间数据包传输的可靠性和安全性。

公开(公告)号：CN117093328A

公开(公告)日：2023-11-21

申请号：CN202311120361.5

申请日：2023-08-31

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 李志龙 ,  陈文华 ,  李澄宇 ,  蒋春元 ,  魏俊

IPC分类号： G06F9/455 ,  G06F11/30

摘要： 本申请涉及网络技术与安全技术领域，特别是涉及一种容器监控方法、装置、计算机设备和存储介质。该方法包括：检测与目标容器的网卡设备之间的通信状态；在通信状态符合预设通信要求的情况下，获取目标容器的网卡设备对应的网卡信息；对宿主机中的容器存放信息目录进行监听，以获取目标容器的状态信息；采用进程事件连接器，获取目标容器对应的进程事件；根据目标容器的状态信息、网卡信息和进程事件，对目标容器进行监控。本申请能够提高对容器监控准确性。

公开(公告)号：CN117294649A

公开(公告)日：2023-12-26

申请号：CN202311270789.8

申请日：2023-09-27

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 李志龙 ,  陈文华 ,  李澄宇 ,  蒋春元 ,  陈鸿杰

IPC分类号： H04L45/76 ,  H04L67/146 ,  H04L67/63

摘要： 本申请实施例提供了一种容器通信方法、装置、设备及介质，在本申请实施例中，工作节点不会删除每个容器内部的网络，而是在管理节点中保存通信过的两个容器的访问连接关系，使得后续在进行容器间的通信时，可以基于该访问连接关系获取访问路径，并根据访问路径，将数据包发送给目标容器，在不删除容器的路由信息和网络信息的前提下，实现了容器间的通信，避免了资源和时间浪费。并且，在本申请实施例中，在进行容器互访时，管理节点中保存历史访问连接关系，在二次访问时不需要再次安全认证，访问更加安全、高效。

公开(公告)号：CN117176659A

公开(公告)日：2023-12-05

申请号：CN202311199785.5

申请日：2023-09-15

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈文华 ,  蒋春元 ,  王爱宝 ,  陈鸿杰 ,  李志龙

IPC分类号： H04L47/125 ,  H04L9/32 ,  H04L67/1004

摘要： 本发明公开了一种基于零信任环境的负载均衡方法及装置，所述方法应用于零信任安全网关，包括：零信任安全网关获取客户端发送的业务流量；零信任安全网关根据预设流量攻击特征验证业务流量中的业务请求；若确定业务请求验证通过，则零信任安全网关根据负载均衡策略将业务请求发送至目标服务器，以此避免应用服务器受到攻击，提升应用服务器的安全性。其中负载均衡策略是根据多个应用服务器的规格信息和负载信息周期性生成的，表示多个应用服务器的流量分配策略，目标服务器为多个应用服务器中负载均衡策略指向的应用服务器。以此在应用服务器的规格信息、负载信息或应用服务器数量发生变化时，周期性的更新负载均衡策略，保证负载均衡的准确性。

公开(公告)号：CN116707833A

公开(公告)日：2023-09-05

申请号：CN202310878706.7

申请日：2023-07-17

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈文华 ,  王爱宝 ,  陈鸿杰 ,  李澄宇 ,  李志龙

IPC分类号： H04L9/32 ,  H04L9/40

摘要： 本公开提供了一种基于零信任机制的会话处理方法、装置、设备和介质，涉及网络与安全技术领域。该方法包括：接收宽带接入网关设备转发的会话请求，会话请求为客户端通过宽带接入网关设备向目标应用服务器发起的会话请求，会话请求中包含目标应用服务器的域名和/或网络地址；根据域名和/或网络地址，验证目标应用服务器是否属于预设白名单；在目标应用服务器属于预设白名单的情况下，判断目标应用服务器当前接入的会话请求数量是否超过预设阈值；若目标应用服务器当前接入的会话请求数量未超过预设阈值，则将会话请求转发至目标应用服务器。本公开能够基于零信任机制确保应用系统保持最大负荷处理会话访问请求，提高会话处理效率。

公开(公告)号：CN117955713A

公开(公告)日：2024-04-30

申请号：CN202410088138.5

申请日：2024-01-22

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 陈文华 ,  陈鸿杰 ,  李志龙 ,  景寅洛 ,  蒋春元

IPC分类号： H04L9/40 ,  H04L45/76 ,  H04L47/125

摘要： 本申请涉及一种工作负载间的通信控制方法、装置、计算机设备、存储介质和计算机程序产品，应用于SDN控制器。方法包括：接收策略控制服务器下发的针对待通信的工作负载间的转发控制策略；转发控制策略为基于待通信的工作负载间的安全策略生成的；安全策略为根据待通信的工作负载的状态信息和待通信的工作负载之间的组织逻辑关系确定得到的；组织逻辑关系用于表征各工作负载的功能以及各工作负载之间的关系；根据转发控制策略，对待通信的工作负载之间的转发路径上的OVS转发流表进行更新；根据更新后的OVS转发流表，对待通信的工作负载进行通信控制。采用本方法能够提高工作负载间通信的安全性。

公开(公告)号：CN117749422A

公开(公告)日：2024-03-22

申请号：CN202311583704.1

申请日：2023-11-24

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 景寅洛 ,  陈文华 ,  蒋春元 ,  陈鸿杰 ,  李志龙

IPC分类号： H04L9/40 ,  G06N3/045 ,  G06N3/08

摘要： 本申请涉及一种流量控制方法、装置、计算机设备、存储介质和程序产品。通过利用网络集群节点间对应的多个周期流量数据序列，由流量预测模型将多个周期流量数据序列中每个周期流量数据序列中的流量数据堆叠为二维数据，根据每个二维数据预测每个周期在未来预设时间段对应的流量数据预测结果，融合多个周期对应的多个流量数据预测结果后输出流量预测数据序列。并根据流量预测数据序列控制节点间在未来预设时间段的通信。相较于传统的集群内部节点间的通信方式，本方案通过利用节点间多个周期的流量数据预测节点间流量的趋势，基于流量数据的趋势序列控制节点间的通信，提高了集群内部节点间通信的安全性。

公开(公告)号：CN117336257A

公开(公告)日：2024-01-02

申请号：CN202311278010.7

申请日：2023-09-28

申请人： 中国电信股份有限公司技术创新中心 ,  中国电信股份有限公司

发明人： 李志龙 ,  陈文华 ,  李澄宇 ,  蒋春元 ,  陈鸿杰

IPC分类号： H04L47/762 ,  H04L67/10 ,  H04L41/0654 ,  H04L41/0668

摘要： 本公开涉及通信技术领域，提供了一种容器间的通信方法、容器间的通信装置、计算机存储介质、电子设备，其中，容器间的通信方法包括：通过所述微隔离客户端对所述至少一个容器进行多维度监控，以获得每个容器对应的多维度监控信息；所述多维度监控信息包括以下至少两项：所述每个容器的状态信息、所述每个容器内的进程信息和所述每个容器的资源使用情况；根据所述多维度监控信息判断所述每个容器是否为异常容器；在判断出目标容器为所述异常容器时，向云管理平台上报所述目标容器的网络标识，以使所述云管理平台从可信访问关系列表中删除与所述网络标识相关的可信访问关系。本公开能够实现容器间安全通信。