公开(公告)号：CN102622548A

公开(公告)日：2012-08-01

申请号：CN201210072509.8

申请日：2012-03-19

Applicant: 中国科学院信息工程研究所

Inventor： 田雪 ,  徐震 ,  陈驰 ,  李乃山

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明公开了一种数据库隐蔽信道检测方法，其步骤为：首先建立数据库隐蔽信道场景，包括高安全级主体发送信号0和发送信号1对应的数据库操作以及低安全级主体接收信号0和接收信号1对应的数据库操作。其次进行数据库隐蔽信道检测配置。然后按照数据库隐蔽信道场景，高安全级主体发送信号0，低安全级主体接收信号0；高安全级主体发送信号1，低安全级主体接收信号1。若高安全级主体能成功发送信号0和信号1，同时低安全级主体能成功接收信号0和信号1，则存在可用该场景实现的数据库隐蔽信道，否则不存在可用该场景实现的数据库隐蔽信道。本发明实施代价小，能够检测由于系统缺陷引起的数据库隐蔽信道。

公开(公告)号：CN112862670A

公开(公告)日：2021-05-28

申请号：CN202110179069.5

申请日：2021-02-08

Applicant: 中国科学院信息工程研究所

Inventor： 张云剑 ,  刘延伟 ,  王利明 ,  徐震

IPC: G06T3/00 ,  G06T1/00 ,  G06T5/50

Abstract: 本发明提出一种基于多视角融合的360°图像对抗样本生成方法，包括如下步骤：步骤1、通过视角投影的几何模型推导出视角域图像的失真补偿公式，对视角图像进行失真矫正；步骤2、在矫正后的视角图像上利用2D攻击方法生成对抗样本；步骤3、对多个视点采样得到的多个视角图像同时进行攻击，将攻击得到的多视角对抗样本基于视角图像融合算法重建球面对抗样本，融合到球面图像的不同区域，使得融合得到的球面图像能够覆盖整个球面。本方法可以直接在视角图上发起攻击，复用现有的2D方法，计算开销小，攻击成本低，对当前针对360°图像的深度学习系统具有较大的威胁。

公开(公告)号：CN108494683B

公开(公告)日：2021-01-15

申请号：CN201810239351.6

申请日：2018-03-22

Applicant: 中国科学院信息工程研究所

Inventor： 蔡宁 ,  韩言妮 ,  刘鹤煜 ,  安伟 ,  徐震

IPC: H04L12/721 ,  H04L12/741 ,  H04L12/935

Abstract: 本发明提出了一种软件定义网络中基于图着色的可扩展路径控制方法，该方法基于源端路由的方式，并受XPath方法的启发，采用基于路径ID的路径控制策略，但在聚合流表项时使用通配符聚合共享相同链路的路径ID，将路径ID分配问题分解为链路ID分配问题，并基于图顶点着色模型，在使用较少流表项保障SDN的可扩展性的前提下，解决软件定义网络中路径ID的高效分配问题。

公开(公告)号：CN108337266B

公开(公告)日：2020-08-11

申请号：CN201810186292.0

申请日：2018-03-07

Applicant: 中国科学院信息工程研究所

Inventor： 周晓军 ,  王利明 ,  徐震 ,  陈凯

IPC: H04L29/06

Abstract: 本发明涉及一种高效的协议客户端漏洞发掘方法与系统，包括：协议结构识别；测试数据包生成；测试引擎；测试代理；测试目标监控。协议结构识别是基于生物信息学中基因序列比对算法，对协议数据包进行自动化分析，将数据包结构分成：会话相关数据域、数据包长度数据域、固定不变数据域、模糊测试数据域；测试数据包生成是基于前述部分获得的数据包结构，采取不同的处理方法，生成测试数据包；测试引擎对涉及到的程序进行调用，测试代理监控漏洞发掘系统的状态；试目标监控用来保存引发协议客户端漏洞的配置现场信息，对导致异常的数据包进行定位，最终确定触发的漏洞类型。本发明测试的效率和准确性高，尽早发现安全漏洞，采取相应的安全补救措施。

公开(公告)号：CN105207950B

公开(公告)日：2019-01-25

申请号：CN201510590699.6

申请日：2015-09-16

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L12/813 ,  H04L12/937 ,  H04L29/06

Abstract: 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN105553689B

公开(公告)日：2018-12-28

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105391690B

公开(公告)日：2018-11-13

申请号：CN201510679633.4

申请日：2015-10-19

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC: H04L29/06

Abstract: 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN108769097A

公开(公告)日：2018-11-06

申请号：CN201810279630.5

申请日：2018-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 张棪 ,  刘畅 ,  杨慧然 ,  徐震 ,  谭倩 ,  崔华俊 ,  杨兴华

IPC: H04L29/08 ,  H04L12/741

CPC classification number: H04L67/32 ,  H04L45/74 ,  H04L67/2814 ,  H04L67/2842 ,  H04L67/2852 ,  H04L67/327

Abstract: 本发明提供一种支持网络控制的内容分发网络系统，包括：控制器，用于向交换节点下发第一内容资源管理策略和第一内容路由策略，以及向内容节点下发第二内容资源管理策略和第二内容路由策略；交换节点用于对本地存储的第一内容路由策略进行管理；还用于当客户端请求内容资源的内容请求到达时，根据记录于本地的第一内容路由策略将内容请求重定向到拥有请求内容的其它节点；内容节点用于存储内容资源并根据第二内容资源管理策略，对本地存储的内容资源进行管理，还用于当作为目标节点时，根据第二内容路由策略获得对应该内容请求的执行动作并执行。本发明的内容分发网络系统，在内容控制和网络控制上提供更高的灵活性、提升互联网的内容服务质量。

公开(公告)号：CN108712458A

公开(公告)日：2018-10-26

申请号：CN201810290895.5

申请日：2018-03-30

Applicant: 中国科学院信息工程研究所

Inventor： 杨慧然 ,  刘畅 ,  蔡宁 ,  徐震 ,  张棪 ,  崔华俊 ,  杨兴华

IPC: H04L29/08 ,  H04L12/725 ,  H04L12/751

CPC classification number: H04L67/141 ,  H04L45/02 ,  H04L45/306 ,  H04L67/143 ,  H04L67/2852

Abstract: 本发明提供一种支持内容控制的软件定义网络控制器，控制器包括核心服务提供层，核心服务提供层包括：网络内容路由控制服务模块，用于通过南向控制接口层采集和管理设备的内容路由控制信息以及通过北向接口层接收上层应用发送的内容路由控制策略添加/删除消息，并将内容路由控制策略解析为相应内容路由控制添加/删除消息发送至设备；网络内容管理服务模块，用于通过南向控制接口层采集设备的存储内容信息、根据接收到的存储内容信息查询消息返回相应的存储内容信息以及主动推送及删除设备的指定存储内容。本发明实现对内容节点和交换机的软件定义化控制，并实现对网络七层的数据面控制的可编程能力，为软件定义化的内容网络控制面提供承载。

公开(公告)号：CN105049945B

公开(公告)日：2018-05-11

申请号：CN201510498588.2

申请日：2015-08-13

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  徐震 ,  寇睿明 ,  王瑜

IPC: H04N21/478 ,  H04N21/4415 ,  H04N21/254 ,  H04N21/258 ,  G06Q20/32 ,  G06Q20/40 ,  H04L29/06

Abstract: 本发明公开了一种基于智能电视多屏互动的安全支付系统及方法，引入了“业务委托”的方法，通过多屏互动的理念，将位于智能电视端的身份认证需求委托给安全性更高且支持多种生理信息认证的用户智能终端进行处理，并最终将处理结果返回给智能电视端。用户智能终端则通过非对称密钥的形式，结合内置或者外接的生物信息认证设备与身份认证服务器进行协商认证，从而最终实现智能电视端的安全支付系统。通过本发明，用户可以借助智能终端便利安全的生物信息认证设备，完成智能电视端的身份认证和事务确认，取代了传统用户名密码的身份验证方式。在保证用户体验的同时，大大提高了认证过程中信息的安全性。