公开(公告)号：CN116055146A

公开(公告)日：2023-05-02

申请号：CN202211718131.4

申请日：2022-12-29

Applicant: 浙江大学

Inventor： 李孟明 ,  卜凯 ,  缪晨露 ,  任奎

IPC: H04L9/40

Abstract: 一种基于数据隐藏的缓存侧信道攻击防御方法，在现有缓存层次架构的外部设置一个独立的数据隐藏缓冲区，用于隐藏被驱逐出末级缓存的数据块；所述的数据隐藏缓冲区包含被缓冲的数据块、与每个数据块相关联的安全状态、用于筛选缓冲数据块的安全放置策略、用于控制缓冲区内数据替换的安全替换策略和基于索引的全相联数据块搜寻策略；其中，安全状态保存了数据隐藏缓冲区执行安全替换策略时需要用到的元数据；安全放置策略和安全替换策略在末级缓存发生缓存行驱逐时使用，全相联数据块搜寻策略在末级缓存缺失时访问数据隐藏缓冲区时使用。利用本发明，不仅可以同时防御两种类型的缓存侧信道攻击，还免于损伤性能和修改操作系统。

公开(公告)号：CN115801280A

公开(公告)日：2023-03-14

申请号：CN202211506128.6

申请日：2022-11-28

Applicant: 浙江大学嘉兴研究院

Inventor： 任奎 ,  何安潇 ,  傅建栋 ,  卜凯 ,  缪晨露

IPC: H04L9/32 ,  H04L9/08 ,  H04L9/40

Abstract: 本发明公开了一种基于隐藏概率采样的动态网络路径认证方法及装置，该方法包括：源从输入队列中取出数据包,初始化生成数据包元数据以及供目的地验证的证明，对数据包进行采样并生成供下一跳验证用的路径证明，将数据包转发至下一跳；中间路由器从输入队列中取出数据包，依据等概率采样决定是否对数据包进行采样，若不则路由器生成路径证明并用其替换数据包原有的路径证明；否则验证数据包原有的路径证明的有效性并在验证通过后对数据包原有的路径证明进行更新，将更新后的数据包转发至下一跳；目的地路由器对数据包原有的路径证明进行验证，并执行终点验证，若验证均通过，目的地路由器接收数据包。

公开(公告)号：CN111639364A

公开(公告)日：2020-09-08

申请号：CN202010485222.2

申请日：2020-06-01

Applicant: 浙江大学

Inventor： 徐寅健 ,  卜凯

IPC: G06F21/62 ,  G06F21/60 ,  G06F3/06

Abstract: 本发明公开了一种云数据访问模式的分布式高效混淆方法，应用于包括服务端和客户端构成的系统；服务端部署在两台互不通信、互相独立的云服务器上，服务端的数据结构包括分区和缓冲区；客户端的数据结构包括本地缓存和数据块的位置映射表；目标数据块在本系统进行读写的具体过程为：(1)根据目标的位置，对云服务器进行访问，获取目标数据块至本地；(2)在本地读取目标数据块的值，若操作为写，则将数据块更新为写入的值，然后对给数据块随机分配新的分区，写入本地缓存；(3)按照顺序，以一定速率对每个分区进行驱逐操作。本发明具有安全性高，高效，所需资源少的优点，极大提升了云数据访问模式混淆方法的实用性。

公开(公告)号：CN110213242B

公开(公告)日：2020-09-08

申请号：CN201910386189.5

申请日：2019-05-09

Applicant: 浙江大学

Inventor： 卜凯 ,  马麟 ,  吴宁超 ,  罗天翔

IPC: H04L29/06 ,  H04L12/721 ,  H04L12/715 ,  H04L9/06

Abstract: 本发明公开了一种多路路由背景下的高效路径验证方法，包括：(1)对于源节点S、目标节点D以及两点之间被允许的多路路径集合M，将多路路径划分为有层级先后的单路路段，并为每个路段设置标签；(2)在密钥交换配置过程中，源节点将划分的单路路段和相应的标签结果发送给中间路由器，各路由器在本地存储有自身的路段；(3)完成密钥交换配置后，源节点开始初始化协议包头；(4)协议包头初始化完成后，将协议包头与有效载荷一起封装成IP包并发送至网络，当中间路由器Ri收到数据包时，执行路径验证。本发明具有通信开销低、初始化协议头快、整体验证时间短等普通方法不具备的优点，有助于在实际中进行推广。

公开(公告)号：CN110442469B

公开(公告)日：2020-06-30

申请号：CN201910666998.1

申请日：2019-07-23

Applicant: 浙江大学

Inventor： 卜凯 ,  谭钦翰 ,  曾治华

IPC: G06F11/07 ,  G06F16/2455

Abstract: 本发明公开了一种基于局部随机映射的缓存侧信道攻击防御方法，包括：(1)构建由CPU、一级缓存、二级缓存、终极缓存、存储控制器和内存组成的系统；(2)为每个物理地址计算生成n个备选缓存组；(3)发生缓存访问时，首先根据物理地址计算出其n个备选缓存组对应的n个备选缓存组索引并保存在n个索引寄存器中，并行查找n个缓存组确定是缓存命中还是缓存丢失；缓存丢失时，从n个备选缓存组中随机选择一个作为最终映射到的目标缓存组；(5)在目标缓存组中，若存在有效位为0的记录，则将从内存中取来的内存块写入其中，否则选取一条记录来替换一个已有的内存块。本发明具有安全性高，速度快，终级缓存友好等现有方法所不具备的优点。

公开(公告)号：CN108551447A

公开(公告)日：2018-09-18

申请号：CN201810319872.2

申请日：2018-04-11

Applicant: 浙江大学

Inventor： 卜凯 ,  杨昱天 ,  郭梓轩

IPC: H04L29/06

Abstract: 本发明公开了一种基于SDN的中间设备路径认证方法，可以检验并强制数据包按照用户既定的顺序和规则经过SDN网络中的各个中间设备。本发明在每个数据包上写入标签来代表数据包的网络路径状态，并在每个中间设备上添加标签生成和标签检测模块。每一个中间设备上分布式地检测标签的正确性，即可确保数据包的实际路径合法性。考虑到出口交换机需要最终认证数据包的实际路径，本发明结合映射表和多级流表的技术，使得出口交换机可以在使用较少内存的情况下，模拟加密运算以实现路径认证。本发明具有细粒度，实时性，硬件兼容性等现有方法所不具备的优点，有助于在实际中进行推广。

公开(公告)号：CN108366068A

公开(公告)日：2018-08-03

申请号：CN201810159706.0

申请日：2018-02-26

Applicant: 浙江大学

Inventor： 冷雪 ,  陈焰 ,  侯开宇 ,  卜凯 ,  李星

IPC: H04L29/06 ,  G06F17/27

Abstract: 本发明公开了一种软件定义网络下基于策略语言的云端网络资源管理控制系统，包括策略语言解释器、策略数据库、策略执行引擎以及访问过滤器；该系统能够隔离云端网络资源的错误配置和非法访问。针对云端网络资源的细粒度的访问控制语言，本发明能够表达云服务提供商网络管理员对云端网络资源的访问控制意图，语言能够针对不同云端用户、用户组、网络资源及其属性描述不同的访问控制规则。为实现软件定义网络下云端网络资源访问控制系统，本发明还给出了其所需要的具体实施细节，包括系统在软件定义网络控制器中的插入方法、语言解释器及策略执行引擎的设计方案。

公开(公告)号：CN118611958A

公开(公告)日：2024-09-06

申请号：CN202410827204.6

申请日：2024-06-25

Applicant: 浙江大学

Inventor： 任铭 ,  王婕 ,  何安潇 ,  卜凯 ,  任奎

IPC: H04L9/40 ,  H04L41/12

Abstract: 本发明公开了一种基于拓扑结构的高效安全BGP保护方法及系统，包括：(1)在RPKI框架中引入邻居关系表；(2)利用新的RPKI，构建和维护全网的AS拓扑图；(3)在AS接收到BGP消息前，使用ROA表和邻居关系表来验证消息的源和路径是否合法，将合法消息进行传递；验证消逻辑如下：(3‑1)对于路径长度小于或等于五跳的短路径BGP消息，AS将通过基于二维数组查询的方式进行轻量级的拓扑验证；(3‑2)对于路径长度超过五跳的长路径BGP消息，从第五跳的AS开始，使用BGPSec协议进行加密传输；(3‑3)对于未通过消息验证的非法BGP消息直接进行过滤。利用本发明，可以在有效预防前缀劫持、子前缀劫持等攻击的同时满足效率的要求，并可达到轻量化部署。

公开(公告)号：CN116208356B

公开(公告)日：2023-09-29

申请号：CN202211325209.6

申请日：2022-10-27

Applicant: 浙江大学

Inventor： 付添翼 ,  席少珂 ,  卜凯 ,  任奎 ,  张帆

IPC: H04L9/40 ,  H04L43/04 ,  H04L43/0876 ,  G06N3/0464 ,  G06N3/08

Abstract: 本发明公开了一种基于深度学习的虚拟货币挖矿流量检测方法，包括：(1)预先抓取挖矿流量以及正常流量，抓取的每个数据流中包含若干个数据包，提取出每个数据包的相关信息并保存；(2)构建基于神经网络的检测模型，并利用每个数据包的包长、时间戳、目标地址信息将每个网络连接的数据流处理成若干个检测输入，随后利用检测输入对检测模型进行训练；其中，检测模型的结构包括两个卷积层、两个池化层以及三个全连接层；(3)搭建实时检测系统，在实时检测系统中利用训练好的检测模型对实时数据流进行检测，判断出是否为挖矿流量。本发明具有检测准确率高、检测实时性强、方便部署和移植、适用于加密网络环境等优点。

公开(公告)号：CN113507473B

公开(公告)日：2022-06-14

申请号：CN202110790384.1

申请日：2021-07-13

Applicant: 浙江大学

Inventor： 卜凯 ,  何安潇 ,  傅建栋 ,  周瑞祺 ,  缪晨露

IPC: H04L9/40 ,  H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种基于聚合认证的高效网络路径认证方法，包括：(1)源在处理数据包时先依据生成的特殊标识符将若干个数据包聚合成一组，对组进行路径认证计算后发送至下一跳；(2)路由器在收到数据包后将它们在输入队列中聚合成组，取出这一组数据包作为单个输入进行处理；(3)路由器重新计算路径认证，将得到的路径证明与从所有数据包中提取的各单个数据包携带证明拼接而成的完整证明进行比较；如果匹配，则整组数据包通过验证；验证成功后，则路由器进一步用自身凭证来更新路径证明并将其重新分割到组内的所有数据包中；(4)路由器将这组数据包放入输出队列中并转发至下一跳。利用本发明，可以在不牺牲安全性的同时极大的提升效率。