收藏
下载资源 加入会员免费下载

一种同一安全域内虚机之间流量的防护方法.pdf

上传人:奻奴 文档编号:4844400 上传时间:2018-11-17 格式:PDF 页数:7 大小:1.25MB
返回 下载 相关 举报
摘要
申请专利号:

CN201410291666.7

 申请日:

2014.06.26
公开号:

CN104023035A

 公开日:

2014.09.03
当前法律状态:

撤回

 有效性:

无权
法律详情:

发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20140903|||实质审查的生效IPC(主分类):H04L 29/06申请日:20140626|||公开
IPC分类号:

H04L29/06

 主分类号:

H04L29/06
申请人:

浪潮电子信息产业股份有限公司
发明人:

魏道通
地址:

250014 山东省济南市高新区舜雅路1036号
优先权:

专利代理机构:

济南信达专利事务所有限公司 37100

 代理人:

姜明
PDF下载: PDF下载
内容摘要

本发明提供一种同一安全域内虚机之间流量的防护方法,其具体实现过程如下:流量接入引擎接受流量拦截引擎提供的流量,把流量引入安全虚机中;流量分析引擎对虚机之间的流量根据预设规则执行访问控制;响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎;响应接入引擎负责把安全虚机执行正常响应的流量交予目的虚机。该一种同一安全域内虚机之间流量的防护方法和现有技术相比,可及时发现并维护虚机之间流量的安全性,数据传输安全性高,实用性强,易于推广。

权利要求书

权利要求书1.  一种同一安全域内虚机之间流量的防护方法,其特征在于包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为:一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎;二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机;三、源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息;四、虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎;五、检测虚拟流量,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作;六、响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎;七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。2.  根据权利要求1所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加到待防护列表中。3.  根据权利要求2所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。4.  根据权利要求3所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。5.  根据权利要求3所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。

说明书

说明书一种同一安全域内虚机之间流量的防护方法
技术领域
本发明涉及计算机信息安全技术领域,具体的说是一种实用性强、同一安全域内虚机之间流量的防护方法。
背景技术
云计算和大数据时代,虚拟化技术应用正以非常快速的速度发展,虚拟化技术中应用最广泛的当属服务器虚拟化,这种技术通过一台或多台物理服务器构建成一个虚拟化环境,在这个虚拟化环境中虚拟出多个虚拟系统,每个虚拟系统对外提供一种或多种服务,各个系统之间相互独立。
网络边界的虚拟化使传统网络边界的防护手段失效,“东西向”流量监控成为盲点:在传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。
但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护;特别多个虚机在同一个安全域内,虚机之间流量通过虚拟交换进行转发。
鉴于此,本发明提供了一种使用在虚拟化平台中部署安全虚机防护虚机之间流量的方法,目的在于解决同一安全域内虚拟交换机之间流量缺乏安全防护的问题。
发明内容
本发明的技术任务是解决现有技术的不足,提供一种安全性强、同一安全域内虚机之间流量的防护方法。
本发明的技术方案是按以下方式实现的,该一种同一安全域内虚机之间流量的防护方法,包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为:
一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎;
二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机;
三、源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息;
四、虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎;
五、检测虚拟流量,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作;
六、响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎;
七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。
所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加到待防护列表中。
所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。
所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。
所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。
本发明与现有技术相比所产生的有益效果是:
本发明的一种同一安全域内虚机之间流量的防护方法使用基于虚拟环境的流量访问控制技术实现对虚机之间访问控制,通过虚拟化安全防护层将虚机流量牵引到安全虚机中,根据策略库中的安全策略,对同一安全域内虚机之间的流量进行检查,只有符合安全规则的流量才可以到达目的虚机,保证了流量转发传输过程的安全性,防护能力强,保证数据安全性,实用性强,易于推广。
附图说明
附图1为本发明的实现示意图。
附图2是本发明的实现流程图。
具体实施方式
下面结合附图对本发明的一种同一安全域内虚机之间流量的防护方法作以下详细说明。
本发明提供了一种同一安全域内虚机之间流量的防护方法,使用基于虚拟环境的流量访问控制技术实现对虚机之间访问控制,通过虚拟化安全防护层将虚机流量牵引到安全虚机中,根据策略库中的安全策略,对同一安全域内虚机之间的流量进行检查。只有符合安全规则的流量才可以到达目的虚机。基于该设计思路,如附图1、图2所示,该方法包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为:
一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎。
其中流量接入引擎负责流量接入的功能。
流量分析引擎负责流量的检测并生成响应动作。
响应引擎负责执行检测引擎的动作。
二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机。
也就是说,该虚拟安全防护层部署在虚拟平台中的虚拟交换机和需要防护的虚机的虚拟网卡之间,通过流量拦截技术,把流量转发到安全虚机中;并接受安全虚机所传达的响应。
三、虚机流量拦截:源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息。
四、虚机流量接入:虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎。
五、虚机流量检测:安全虚机接受接入引擎转发的数据,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作。
六、虚机流量响应:响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎。
七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。
所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加到待防护列表中;虚拟防护层遍历已有虚机列表,并自动添加默认全局安全规则。
所述虚拟防护层具备自动防护功能,即虚机防护层与虚拟层进行通信,自动检测新建或者复制过来的虚机,并自动应用全局安全策略,满足数据中心的自动化扩展需求。
所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。
所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。
所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。
本发明的的流量防护方法通过在虚拟层部署虚拟安全防护层,对虚机之间的流量进行拦截实现访问控制。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

一种同一安全域内虚机之间流量的防护方法.pdf_第1页
第1页 / 共7页
一种同一安全域内虚机之间流量的防护方法.pdf_第2页
第2页 / 共7页
一种同一安全域内虚机之间流量的防护方法.pdf_第3页
第3页 / 共7页
点击查看更多>>
资源描述

《一种同一安全域内虚机之间流量的防护方法.pdf》由会员分享,可在线阅读,更多相关《一种同一安全域内虚机之间流量的防护方法.pdf(7页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 104023035 A (43)申请公布日 2014.09.03 CN 104023035 A (21)申请号 201410291666.7 (22)申请日 2014.06.26 H04L 29/06(2006.01) (71)申请人 浪潮电子信息产业股份有限公司 地址 250014 山东省济南市高新区舜雅路 1036 号 (72)发明人 魏道通 (74)专利代理机构 济南信达专利事务所有限公 司 37100 代理人 姜明 (54) 发明名称 一种同一安全域内虚机之间流量的防护方法 (57) 摘要 本发明提供一种同一安全域内虚机之间流量 的防护方法, 其具体实现过程如。

2、下 : 流量接入引 擎接受流量拦截引擎提供的流量, 把流量引入安 全虚机中 ; 流量分析引擎对虚机之间的流量根据 预设规则执行访问控制 ; 响应引擎把流量分析引 擎执行的动作交予虚拟安全防护层的响应接入引 擎 ; 响应接入引擎负责把安全虚机执行正常响应 的流量交予目的虚机。该一种同一安全域内虚机 之间流量的防护方法和现有技术相比, 可及时发 现并维护虚机之间流量的安全性, 数据传输安全 性高, 实用性强, 易于推广。 (51)Int.Cl. 权利要求书 1 页 说明书 3 页 附图 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书1页 说明书3页 附图2页 (10。

3、)申请公布号 CN 104023035 A CN 104023035 A 1/1 页 2 1. 一种同一安全域内虚机之间流量的防护方法, 其特征在于包括发送流量的源虚机、 接收流量的目的虚机和可安全防护的安全虚机, 这里的虚机是指虚拟交换机, 其具体防护 过程为 : 一、 在虚拟化平台的虚拟层上部署安全虚机, 该安全虚机内置流量接入引擎、 流量分析 引擎和响应引擎 ; 二、 在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层, 该虚拟安 全防护层包括流量拦截引擎和响应接入引擎, 所述待防护虚机即为源虚机和目的虚机 ; 三、 源虚机发起网络数据, 虚拟防护层的流量拦截引擎截获源虚机的虚。

4、拟网卡到虚拟 交换机之间的流量, 获取源虚机、 目的虚机和协议信息 ; 四、 虚拟防护层代理端接受虚机网卡的数据, 通过数据转发操作交予安全虚机的流量 接入引擎 ; 五、 检测虚拟流量, 由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检 测, 并生成响应动作 ; 六、 响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎 ; 七、 响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。 2. 根据权利要求 1 所述的一种同一安全域内虚机之间流量的防护方法, 其特征在于 : 所述虚拟安全防护层内还设置有虚机自动发现引擎, 该虚机自动发现引擎检查在虚拟化平 台上的所有虚机并添加。

5、到待防护列表中。 3. 根据权利要求 2 所述的一种同一安全域内虚机之间流量的防护方法, 其特征在于 : 所述安全虚机使用虚拟防火墙, 该防火墙过滤虚机之间的流量, 隔断并阻断所保护的虚机, 配合虚拟安全防护层, 根据预设的安全规则分析处理所转发的通信流量, 产生响应。 4. 根据权利要求 3 所述的一种同一安全域内虚机之间流量的防护方法, 其特征在于 : 所述响应包括 : 正常响应, 即转发和通过 ; 异常响应, 即报警和 / 或丢弃。 5. 根据权利要求 3 所述的一种同一安全域内虚机之间流量的防护方法, 其特征在于 : 所述预定义的安全规则储存在策略库内, 该策略库分为针对全局和单个虚机。

6、的全局和个性 两种, 在策略库内设置规则字段, 该规则字段包括源虚机、 目的虚机、 协议、 端口和动作。 权 利 要 求 书 CN 104023035 A 2 1/3 页 3 一种同一安全域内虚机之间流量的防护方法 技术领域 0001 本发明涉及计算机信息安全技术领域, 具体的说是一种实用性强、 同一安全域内 虚机之间流量的防护方法。 背景技术 0002 云计算和大数据时代, 虚拟化技术应用正以非常快速的速度发展, 虚拟化技术中 应用最广泛的当属服务器虚拟化, 这种技术通过一台或多台物理服务器构建成一个虚拟化 环境, 在这个虚拟化环境中虚拟出多个虚拟系统, 每个虚拟系统对外提供一种或多种服务,。

7、 各个系统之间相互独立。 0003 网络边界的虚拟化使传统网络边界的防护手段失效,“东西向” 流量监控成为盲 点 : 在传统的网络结构中, 网络边界一般通过物理的服务器、 网络设备、 网络接口进行识别, 防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策 略执行防护动作。 0004 但随着虚拟化实施之后, 系统之间的边界不单单是以物理设备的形式存在。比如 在物理服务器中虚拟出多个服务器, 这些虚拟机之间以及虚拟机与宿主机之间的通信都只 会在服务器内完成, 不会与外部网络发生交互, 传统的边界防护设备捕捉不到这些流量, 也 就不能进行防护 ; 特别多个虚机在同一个安全域。

8、内, 虚机之间流量通过虚拟交换进行转发。 0005 鉴于此, 本发明提供了一种使用在虚拟化平台中部署安全虚机防护虚机之间流量 的方法, 目的在于解决同一安全域内虚拟交换机之间流量缺乏安全防护的问题。 发明内容 0006 本发明的技术任务是解决现有技术的不足, 提供一种安全性强、 同一安全域内虚 机之间流量的防护方法。 0007 本发明的技术方案是按以下方式实现的, 该一种同一安全域内虚机之间流量的防 护方法, 包括发送流量的源虚机、 接收流量的目的虚机和可安全防护的安全虚机, 这里的虚 机是指虚拟交换机, 其具体防护过程为 : 一、 在虚拟化平台的虚拟层上部署安全虚机, 该安全虚机内置流量接入。

9、引擎、 流量分析 引擎和响应引擎 ; 二、 在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层, 该虚拟安 全防护层包括流量拦截引擎和响应接入引擎, 所述待防护虚机即为源虚机和目的虚机 ; 三、 源虚机发起网络数据, 虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟 交换机之间的流量, 获取源虚机、 目的虚机和协议信息 ; 四、 虚拟防护层代理端接受虚机网卡的数据, 通过数据转发操作交予安全虚机的流量 接入引擎 ; 五、 检测虚拟流量, 由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检 测, 并生成响应动作 ; 说 明 书 CN 104023035 A 3 2/3 页 4 。

10、六、 响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎 ; 七、 响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。 0008 所述虚拟安全防护层内还设置有虚机自动发现引擎, 该虚机自动发现引擎检查在 虚拟化平台上的所有虚机并添加到待防护列表中。 0009 所述安全虚机使用虚拟防火墙, 该防火墙过滤虚机之间的流量, 隔断并阻断所保 护的虚机, 配合虚拟安全防护层, 根据预设的安全规则分析处理所转发的通信流量, 产生响 应。 0010 所述响应包括 : 正常响应, 即转发和通过 ; 异常响应, 即报警和 / 或丢弃。 0011 所述预定义的安全规则储存在策略库内, 该策略库分。

11、为针对全局和单个虚机的全 局和个性两种, 在策略库内设置规则字段, 该规则字段包括源虚机、 目的虚机、 协议、 端口和 动作。 0012 本发明与现有技术相比所产生的有益效果是 : 本发明的一种同一安全域内虚机之间流量的防护方法使用基于虚拟环境的流量访问 控制技术实现对虚机之间访问控制, 通过虚拟化安全防护层将虚机流量牵引到安全虚机 中, 根据策略库中的安全策略, 对同一安全域内虚机之间的流量进行检查, 只有符合安全规 则的流量才可以到达目的虚机, 保证了流量转发传输过程的安全性, 防护能力强, 保证数据 安全性, 实用性强, 易于推广。 附图说明 0013 附图 1 为本发明的实现示意图。 。

12、0014 附图 2 是本发明的实现流程图。 具体实施方式 0015 下面结合附图对本发明的一种同一安全域内虚机之间流量的防护方法作以下详 细说明。 0016 本发明提供了一种同一安全域内虚机之间流量的防护方法, 使用基于虚拟环境的 流量访问控制技术实现对虚机之间访问控制, 通过虚拟化安全防护层将虚机流量牵引到安 全虚机中, 根据策略库中的安全策略, 对同一安全域内虚机之间的流量进行检查。 只有符合 安全规则的流量才可以到达目的虚机。 基于该设计思路, 如附图1、 图2所示, 该方法包括发 送流量的源虚机、 接收流量的目的虚机和可安全防护的安全虚机, 这里的虚机是指虚拟交 换机, 其具体防护过程。

13、为 : 一、 在虚拟化平台的虚拟层上部署安全虚机, 该安全虚机内置流量接入引擎、 流量分析 引擎和响应引擎。 0017 其中流量接入引擎负责流量接入的功能。 0018 流量分析引擎负责流量的检测并生成响应动作。 0019 响应引擎负责执行检测引擎的动作。 0020 二、 在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层, 该虚 拟安全防护层包括流量拦截引擎和响应接入引擎, 所述待防护虚机即为源虚机和目的虚 机。 说 明 书 CN 104023035 A 4 3/3 页 5 0021 也就是说, 该虚拟安全防护层部署在虚拟平台中的虚拟交换机和需要防护的虚机 的虚拟网卡之间, 通过流量。

14、拦截技术, 把流量转发到安全虚机中 ; 并接受安全虚机所传达的 响应。 0022 三、 虚机流量拦截 : 源虚机发起网络数据, 虚拟防护层的流量拦截引擎截获源虚机 的虚拟网卡到虚拟交换机之间的流量, 获取源虚机、 目的虚机和协议信息。 0023 四、 虚机流量接入 : 虚拟防护层代理端接受虚机网卡的数据, 通过数据转发操作交 予安全虚机的流量接入引擎。 0024 五、 虚机流量检测 : 安全虚机接受接入引擎转发的数据, 由流量分析引擎对虚机之 间的流量依据预定义的安全规则进行检测, 并生成响应动作。 0025 六、 虚机流量响应 : 响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的 响应接。

15、入引擎。 0026 七、 响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。 0027 所述虚拟安全防护层内还设置有虚机自动发现引擎, 该虚机自动发现引擎检查在 虚拟化平台上的所有虚机并添加到待防护列表中 ; 虚拟防护层遍历已有虚机列表, 并自动 添加默认全局安全规则。 0028 所述虚拟防护层具备自动防护功能, 即虚机防护层与虚拟层进行通信, 自动检测 新建或者复制过来的虚机, 并自动应用全局安全策略, 满足数据中心的自动化扩展需求。 0029 所述安全虚机使用虚拟防火墙, 该防火墙过滤虚机之间的流量, 隔断并阻断所保 护的虚机, 配合虚拟安全防护层, 根据预设的安全规则分析处理所转发的。

16、通信流量, 产生响 应。 0030 所述响应包括 : 正常响应, 即转发和通过 ; 异常响应, 即报警和 / 或丢弃。 0031 所述预定义的安全规则储存在策略库内, 该策略库分为针对全局和单个虚机的全 局和个性两种, 在策略库内设置规则字段, 该规则字段包括源虚机、 目的虚机、 协议、 端口和 动作。 0032 本发明的的流量防护方法通过在虚拟层部署虚拟安全防护层, 对虚机之间的流量 进行拦截实现访问控制。 0033 以上实施方式仅用于说明本发明, 而并非对本发明的限制, 有关技术领域的普通 技术人员, 在不脱离本发明的精神和范围的情况下, 还可以做出各种变化和变型, 因此所有 等同的技术方案也属于本发明的范畴, 本发明的专利保护范围应由权利要求限定。 说 明 书 CN 104023035 A 5 1/2 页 6 图 1 说 明 书 附 图 CN 104023035 A 6 2/2 页 7 图 2 说 明 书 附 图 CN 104023035 A 7 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1