公开(公告)号：CN111865814B

公开(公告)日：2022-04-29

申请号：CN202010759118.8

申请日：2020-07-31

Applicant: 浙江大学 ,  光通天下网络科技股份有限公司

Inventor： 席少珂 ,  卜凯 ,  毛文森 ,  张潇予 ,  任奎 ,  赵俊 ,  单夏烨 ,  任新新 ,  段吉瑞

IPC: H04L47/10 ,  H04L9/40

Abstract: 本发明公开了一种软件定义网络中异常转发流量的自动化过滤方法，属于网络安全技术领域，通过采用数据包头部分析方法，构建规则依赖关系图，为存在匹配域重叠的不同优先级规则添加标签值以进行区分；进而，通过预先向数据包头部编码路径规则标签值的方法，确保流量转发的合法性，可以检测出数据平面规则安装错误并阻断异常流量的转发。本发明的方法，在模拟器环境下进行了原型系统验证，能够实现预期功能，经开源数据集测评，规则更新和检测的效率能满足实际需求，单跳设备标签编码值最多仅需4比特，具有在实际中推广的可行性。

公开(公告)号：CN113507473A

公开(公告)日：2021-10-15

申请号：CN202110790384.1

申请日：2021-07-13

Applicant: 浙江大学

Inventor： 卜凯 ,  何安潇 ,  傅建栋 ,  周瑞祺 ,  缪晨露

IPC: H04L29/06 ,  H04L9/32 ,  H04L9/08

Abstract: 本发明公开了一种基于聚合认证的高效网络路径认证方法，包括：(1)源在处理数据包时先依据生成的特殊标识符将若干个数据包聚合成一组，对组进行路径认证计算后发送至下一跳；(2)路由器在收到数据包后将它们在输入队列中聚合成组，取出这一组数据包作为单个输入进行处理；(3)路由器重新计算路径认证，将得到的路径证明与从所有数据包中提取的各单个数据包携带证明拼接而成的完整证明进行比较；如果匹配，则整组数据包通过验证；验证成功后，则路由器进一步用自身凭证来更新路径证明并将其重新分割到组内的所有数据包中；(4)路由器将这组数据包放入输出队列中并转发至下一跳。利用本发明，可以在不牺牲安全性的同时极大的提升效率。

公开(公告)号：CN108551447B

公开(公告)日：2020-05-12

申请号：CN201810319872.2

申请日：2018-04-11

Applicant: 浙江大学

Inventor： 卜凯 ,  杨昱天 ,  郭梓轩

IPC: H04L29/06

Abstract: 本发明公开了一种基于SDN的中间设备路径认证方法，可以检验并强制数据包按照用户既定的顺序和规则经过SDN网络中的各个中间设备。本发明在每个数据包上写入标签来代表数据包的网络路径状态，并在每个中间设备上添加标签生成和标签检测模块。每一个中间设备上分布式地检测标签的正确性，即可确保数据包的实际路径合法性。考虑到出口交换机需要最终认证数据包的实际路径，本发明结合映射表和多级流表的技术，使得出口交换机可以在使用较少内存的情况下，模拟加密运算以实现路径认证。本发明具有细粒度，实时性，硬件兼容性等现有方法所不具备的优点，有助于在实际中进行推广。

公开(公告)号：CN110442469A

公开(公告)日：2019-11-12

申请号：CN201910666998.1

申请日：2019-07-23

Applicant: 浙江大学

Inventor： 卜凯 ,  谭钦翰 ,  曾治华

IPC: G06F11/07 ,  G06F16/2455

Abstract: 本发明公开了一种基于局部随机映射的缓存侧信道攻击防御方法，包括：(1)构建由CPU、一级缓存、二级缓存、终极缓存、存储控制器和内存组成的系统；(2)为每个物理地址计算生成n个备选缓存组；(3)发生缓存访问时，首先根据物理地址计算出其n个备选缓存组对应的n个备选缓存组索引并保存在n个索引寄存器中，并行查找n个缓存组确定是缓存命中还是缓存丢失；缓存丢失时，从n个备选缓存组中随机选择一个作为最终映射到的目标缓存组；(5)在目标缓存组中，若存在有效位为0的记录，则将从内存中取来的内存块写入其中，否则选取一条记录来替换一个已有的内存块。本发明具有安全性高，速度快，终级缓存友好等现有方法所不具备的优点。

公开(公告)号：CN107276764B

公开(公告)日：2019-10-18

申请号：CN201710533821.5

申请日：2017-07-03

Applicant: 浙江大学 ,  实创时新(北京)科技有限公司

Inventor： 卜凯 ,  杨昱天 ,  王展

IPC: H04L9/32 ,  H04L9/14 ,  H04L9/08 ,  H04L29/06 ,  G06K7/10

Abstract: 本发明公开了一种基于RFID的供应链路径管控方法，包括如下步骤：(1)基于产品指定路径上每一步的标识符及其密钥生成路径密文信息M0；(2)每一步所设置的阅读器在认证产品时，首先读出产品的路径密文信息；(3)阅读器对路径密文信息执行路径认证操作，即认证本步是否为指定路径的当前步，如是，路径认证通过；(4)路径认证通过后，阅读器对路径密文信息进行更新，即生成指定下一步及其路径密文信息，并将所得的路径密文信息写回产品及向下一步发送产品；(5)每一步重复步骤(2)‑(4)，直至指定路径终点，实现了在基于RFID的供应链中对指定路径的高效、安全、分布式管控。

公开(公告)号：CN110213242A

公开(公告)日：2019-09-06

申请号：CN201910386189.5

申请日：2019-05-09

Applicant: 浙江大学

Inventor： 卜凯 ,  马麟 ,  吴宁超 ,  罗天翔

IPC: H04L29/06 ,  H04L12/721 ,  H04L12/715 ,  H04L9/06

Abstract: 本发明公开了一种多路路由背景下的高效路径验证方法，包括：(1)对于源节点S、目标节点D以及两点之间被允许的多路路径集合M，将多路路径划分为有层级先后的单路路段，并为每个路段设置标签；(2)在密钥交换配置过程中，源节点将划分的单路路段和相应的标签结果发送给中间路由器，各路由器在本地存储有自身的路段；(3)完成密钥交换配置后，源节点开始初始化协议包头；(4)协议包头初始化完成后，将协议包头与有效载荷一起封装成IP包并发送至网络，当中间路由器Ri收到数据包时，执行路径验证。本发明具有通信开销低、初始化协议头快、整体验证时间短等普通方法不具备的优点，有助于在实际中进行推广。

公开(公告)号：CN105119910A

公开(公告)日：2015-12-02

申请号：CN201510439035.X

申请日：2015-07-23

Applicant: 浙江大学

Inventor： 陈焰 ,  高泓彧 ,  卜凯 ,  朱添田

IPC: H04L29/06

CPC classification number: H04L63/1416

Abstract: 本发明公开了一种基于模板的在线社交网络垃圾信息实时检测方法，进行检测前先初始化一个空的垃圾模板库，检测时利用垃圾模板库对待检测信息进行模板匹配以进行垃圾信息过滤：匹配成功，则认为该信息为垃圾信息，并利用垃圾模板库对后续待检测信息进行垃圾信息过滤；否则，对该待检测信息进行辅助过滤以确定其是否为垃圾信息，以及为垃圾信息时的所属类别并按类别对垃圾信息进行缓存；在根据缓存结果更新垃圾模板库，并利用更新后的垃圾模板库对后续待检测信息进行模板匹配。本发明的检测方法可识别的信息的范围，检测准确率高，速度快，能够实现在线实时检测。

公开(公告)号：CN111865814A

公开(公告)日：2020-10-30

申请号：CN202010759118.8

申请日：2020-07-31

Applicant: 浙江大学 ,  光通天下网络科技股份有限公司

Inventor： 席少珂 ,  卜凯 ,  毛文森 ,  张潇予 ,  任奎 ,  赵俊 ,  单夏烨 ,  任新新 ,  段吉瑞

IPC: H04L12/801 ,  H04L29/06

Abstract: 本发明公开了一种软件定义网络中异常转发流量的自动化过滤方法，属于网络安全技术领域，通过采用数据包头部分析方法，构建规则依赖关系图，为存在匹配域重叠的不同优先级规则添加标签值以进行区分；进而，通过预先向数据包头部编码路径规则标签值的方法，确保流量转发的合法性，可以检测出数据平面规则安装错误并阻断异常流量的转发。本发明的方法，在模拟器环境下进行了原型系统验证，能够实现预期功能，经开源数据集测评，规则更新和检测的效率能满足实际需求，单跳设备标签编码值最多仅需4比特，具有在实际中推广的可行性。

公开(公告)号：CN108366068B

公开(公告)日：2020-10-13

申请号：CN201810159706.0

申请日：2018-02-26

Applicant: 浙江大学

Inventor： 冷雪 ,  陈焰 ,  侯开宇 ,  卜凯 ,  李星

IPC: H04L29/06 ,  G06F40/253

Abstract: 本发明公开了一种软件定义网络下基于策略语言的云端网络资源管理控制系统，包括策略语言解释器、策略数据库、策略执行引擎以及访问过滤器；该系统能够隔离云端网络资源的错误配置和非法访问。针对云端网络资源的细粒度的访问控制语言，本发明能够表达云服务提供商网络管理员对云端网络资源的访问控制意图，语言能够针对不同云端用户、用户组、网络资源及其属性描述不同的访问控制规则。为实现软件定义网络下云端网络资源访问控制系统，本发明还给出了其所需要的具体实施细节，包括系统在软件定义网络控制器中的插入方法、语言解释器及策略执行引擎的设计方案。

公开(公告)号：CN109936479B

公开(公告)日：2020-09-01

申请号：CN201910204272.6

申请日：2019-03-18

Applicant: 浙江大学

Inventor： 陈焰 ,  于银菠 ,  李星 ,  卜凯 ,  杨剑锋 ,  冷雪

IPC: H04L12/24

Abstract: 本发明公开了一种差分检测的控制平面故障诊断系统及其实现方法。本发明包括数据采集模块、在线监控模块、离线故障诊断模块和网络事件重放引擎。通过在线监控模块和数据采集模块，获取控制器内部的代码调用、状态变化信息，构建上下文感知的系统行为模型；当前系统无异常时，提取系统行为模型存入参考库中，作为参考模型；当系统发现异常时，根据故障的症状找到发生故障的系统行为模型以及对应的参考模型；随后从上向下地对其进行差分比对，找出异常节点；然后在异常节点处进行静态分析，在代码层面找出故障发生的根源，在模拟环境中通过网络事件重放引擎确认之后，作为故障诊断报告，提交给管理员。本发明能够对故障根源进行定位，且适用性强。