公开(公告)号：CN105207950B

公开(公告)日：2019-01-25

申请号：CN201510590699.6

申请日：2015-09-16

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L12/813 ,  H04L12/937 ,  H04L29/06

Abstract: 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN105553689B

公开(公告)日：2018-12-28

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105391690B

公开(公告)日：2018-11-13

申请号：CN201510679633.4

申请日：2015-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L29/06

Abstract: 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN108111404A

公开(公告)日：2018-06-01

申请号：CN201810034026.6

申请日：2018-01-15

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  宋晨 ,  胡亚辉

IPC: H04L12/58 ,  H04L29/06

Abstract: 本发明涉及一种基于安全标签的即时通信系统及方法，在即时通信客户端应用中为消息数据和聊天室获取可用的安全标签；在即时通信客户端应用中处理带有安全标签的消息数据；显示带有安全标签的聊天室；在即时通信服务器中为即时通信客户端应用的用户获取带有安全标签的通讯录资源；依据安全标签转发即时消息；为即时通信客户端应用获取用户及聊天室可用的安全标签列表；在即时通信管理服务器中为即时消息、聊天室生成可用的安全标签；创建、编辑即时通信系统所需要的安全标签，并根据即时通信客户端应用中的使用用户生成可用的通讯录；安全标签是和即时通信系统中消息数据、通讯录、聊天室绑定的一段数字实体。

公开(公告)号：CN107222433A

公开(公告)日：2017-09-29

申请号：CN201710253313.1

申请日：2017-04-18

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  谢德俊 ,  宋晨 ,  杨倩

IPC: H04L12/931 ,  H04L12/935 ,  H04L29/06 ,  H04L29/12

Abstract: 本发明提供一种基于SDN网络路径选择的网络访问控制方法，基于现有SDN架构，通过SDN交换机、SDN控制器、认证服务器、流量分析设备、ACA对接入网络的主机进行实时的流量监控，确保访问网络服务的用户主机接入网络进行认证和授权，建立用户和服务器之间的访问路径，根据用户的行为证据计算信任度，根据信任度采取针对该用户的访问控制策略，保证内网的安全。

公开(公告)号：CN106506264A

公开(公告)日：2017-03-15

申请号：CN201610929876.3

申请日：2016-10-31

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  王利明 ,  史淼 ,  荀浩 ,  杨倩 ,  谢德俊

IPC: H04L12/26

Abstract: 本发明公开了一种基于SDN的自定义数据包采样方法。本方法为：1)在控制器中设置一采样模块，控制器根据上层应用发来的采样配置信息对指定交换机进行配置；2)当控制器接收上层应用发来的采样开始指令时，将其发送给指定交换机；3)交换机收到采样开始指令时，启动设置的定时器，根据配置对每一数据包进行筛选，得到满足匹配规则的数据包，然后按照配置的采样方式从筛选出的数据包中提取所需内容，输出到指定端口；4)当控制器接收上层应用发来的采样停止指令时，根据采样停止指令向指定交换机下发采样停止指令；交换机收到停止采样指令时，停止采样并取消定时器。本发明不但保证采样内容更加精确，而且能最大程度的减小数据包的大小。

公开(公告)号：CN105553689A

公开(公告)日：2016-05-04

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

CPC classification number: H04L41/14 ,  H04L41/0631 ,  H04L47/10 ,  H04L61/6018 ,  H04L67/2828

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN109241783B

公开(公告)日：2021-04-06

申请号：CN201810924747.4

申请日：2018-08-14

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  李宏佳 ,  谭鑫睿 ,  杨畅

IPC: G06F21/74 ,  G06F21/64

Abstract: 本发明实施例提供一种移动终端管控策略的实施方法及装置，该方法包括：在可信执行环境下，计算当前获取的第一管控策略的摘要，若该摘要与第一目标摘要不一致，则获取预先存储并设置为只读的第二管控策略；在可信执行环境下，根据第二管控策略，修改管控对象对应的内存数据。由于第二管控策略是在可信执行环境下通过修改管控对象对应的内存实数据施的，从而使普通环境中的攻击者无法直接干预而导致管控失效，且第二管控策略是只读的，从而根本上保证了第二管控策略的完整和不被篡改。另外，由于移动终端根据第二管控策略实施管控，从而无需锁死移动终端，且不需要管控平台的参与，进而实现了对移动终端进行安全有效的管控。

公开(公告)号：CN110572357B

公开(公告)日：2020-09-18

申请号：CN201910675851.9

申请日：2019-07-25

Applicant: 中国科学院信息工程研究所 ,  中孚信息股份有限公司

Inventor： 王利明 ,  宋晨 ,  李栋 ,  朱启超 ,  孙宏跃

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明提供一种实现安全信息导出的装置及方法，装置包括验签设备，所述验签设备连接有内网脱敏信息发送服务器和外网脱敏信息接收服务器，内网脱敏信息发送服务器设置在内网，外网脱敏信息接收服务器设置在外网；所述验签设备包括FPGA，FPAG连接有内网通信接口和外网通信接口、管理员KEY接口以及算法芯片；内网通信接口与内网脱敏信息发送服务器连接，外网通信接口与外网脱敏信息接收服务器连接。本发明使用FPGA实现验签设备功能，保证了验签设备无法被黑客攻击和劫持，能有效保证脱敏信息审批节点签名的脱敏信息与导出到外网系统的脱敏信息的一致性，且本发明采用电子化管理，提高办公效率，节省办公成本。

公开(公告)号：CN109150290B

公开(公告)日：2020-09-15

申请号：CN201811234171.5

申请日：2018-10-23

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐建峰 ,  唐鼎

IPC: H04B7/185 ,  H04L29/06

Abstract: 本发明公开了一种卫星轻量化数据传输保护方法及地面安全服务系统，包括接入管理模块、身份管理模块、密钥管理模块、消息分发模块和状态审计模块。地面安全服务系统根据不同用户设备对同一卫星资源信息的访问请求构造新的资源请求消息，并替代众多用户设备向卫星发送请求消息，通过基于身份的转发机制与请求汇聚实现由多个请求‑多个响应转变为一个请求‑一个响应。此外，卫星的安全响应资源信息经过安全服务系统后，能够正确分发给全部请求同一资源信息的用户设备，并且资源信息合法性得到验证。本发明能够解决卫星在与地面传输信息过程中带来的高昂的链路带宽开销问题，实现轻量化卫星数据的传输保护。