公开(公告)号：CN115296839A

公开(公告)日：2022-11-04

申请号：CN202210728335.X

申请日：2022-06-24

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卢珊萍 ,  唐寅 ,  江逸茗 ,  张进 ,  张鹏

IPC: H04L9/40 ,  H04L45/02

Abstract: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质，涉及互联网通信技术领域，能够提高拓扑信息的完整性与正确性。本发明包括：在拟态路由器中，通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据，其中，所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体，所述拟态路由器与SDN控制器之间建立BGP‑LS连接；将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定，并记录异常数据；根据所记录的异常数据生成异常信息并发送给所述调度器，并触发所述调度器对拥有异常数据的路由执行体进行处理。

公开(公告)号：CN114866473A

公开(公告)日：2022-08-05

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。

公开(公告)号：CN114531270A

公开(公告)日：2022-05-24

申请号：CN202111671863.8

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 荆文韬 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。

公开(公告)号：CN114430376A

公开(公告)日：2022-05-03

申请号：CN202111665410.4

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙

IPC: H04L41/0896 ,  H04L41/12 ,  H04L45/00 ,  H04L47/215 ,  H04L47/25

Abstract: 本发明公开了一种带宽限制方法及装置，应用于SR Policy场景下，带宽限制方法包括：PCE设备接收网络拓扑结构、LSP信息以及带宽需求；PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽；PCE设备将路径及端口的剩余带宽发送给Headend设备；Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速；本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽，Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速，有效的保护SR Policy业务不受影响。

公开(公告)号：CN107071075A

公开(公告)日：2017-08-18

申请号：CN201611007703.2

申请日：2016-11-16

Applicant: 国家数字交换系统工程技术研究中心 ,  上海红阵信息科技有限公司

Inventor： 马海龙 ,  江逸茗 ,  胡宇翔 ,  卜佑军 ,  白冰 ,  贺磊

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明属于IP分组数据在传送过程中的IP地址变换实现方法技术领域，具体涉及一种网络地址动态跳变的装置及方法，基本思想就是策略管理下的按需通信。首先，当用户主机需要与外界进行通信时才将自己注册到网络中，并获得自己的网络身份；否则，用户主机在网络上不可见。其次，只有主机用户将自己的网络身份告知需要通信的对端，对端主机才能在网络中定位到该主机；其他任何主机在不知道该主机网络身份的条件下，无法访问到该主机。最后，主机的接入过程和主机之间的相互访问都严格受权限控制策略约束，一方面，非授权主机无法接入网络，另一方面，在授权接入的条件下，即使能够获得其他用户的网络标识，双方不属于同一个授权组，彼此之间也无法互访。

公开(公告)号：CN106713263A

公开(公告)日：2017-05-24

申请号：CN201611014427.2

申请日：2016-11-18

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 张建辉 ,  李晨晖 ,  江逸茗 ,  陈祥 ,  张霞 ,  周锟

IPC: H04L29/06 ,  H04L29/08 ,  H04L29/12

CPC classification number: H04L61/1511 ,  H04L63/0236 ,  H04L63/104 ,  H04L63/1408 ,  H04L63/1441 ,  H04L67/1078

Abstract: 本发明涉及计算机网络领域，尤其涉及一种局域网内用户按需动态认证连接的系统及方法，包括三个平面组成，分别为数据平面、控制平面和管理平面，所述数据平面与控制平面之间通过Openflow协议通信，控制平面与管理平面运行在操作系统中，通过进程间通信进行交互，其中：数据平面包括一个Openflow交换机，用于负责与控制平面的数据交互，根据转发策略模块下发的流表进行数据转发；控制平面包括有用户名解析模块和转发策略模块；管理平面包括有用户管理模块、组管理模块和连接管理模块。本发明解决了普通局域网内用户主机长期在线，网络拓扑基本不变，攻击者可利用该条件进行攻击和信息窃取的风险问题。

公开(公告)号：CN106713131A

公开(公告)日：2017-05-24

申请号：CN201611015791.0

申请日：2016-11-18

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 江逸茗 ,  于婧 ,  马海龙 ,  张风雨 ,  李晨晖 ,  李艳捷

IPC: H04L12/703 ,  H04L12/741 ,  H04L12/751 ,  H04L29/14

CPC classification number: H04L45/08 ,  H04L45/28 ,  H04L45/54 ,  H04L69/40

Abstract: 本发明涉及网络空间安全防护技术领域，尤其涉及一种多BGP路由实例并行执行的装置，包括管理调度器、异常判决器、多个输入输出代理、多个端口和多个路由实例，端口连接至邻居路由器，所述每个端口上均设置一个输入输出代理，每个输入输出代理都与所有路由实例连接，输入输出代理用于对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发，所述路由实例为支持运行BGP协议的路由器或虚拟机，管理调度器与每个输入输出代理和每个路由实例连接，用于设定路由实例的角色，同时生成报文过滤和分发策略、并下发给各个输入输出代理，所述异常判决器与每个路由实例连接，用于读取每个路由实例的路由表，从而判决路由实例的路由表是否存在异常。

公开(公告)号：CN113014356B

公开(公告)日：2022-05-27

申请号：CN202110179236.6

申请日：2021-02-09

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  珠海高凌信息科技股份有限公司

Inventor： 贺磊 ,  邬江兴 ,  任权 ,  马海龙 ,  江逸茗 ,  张鹏 ,  谢记超 ,  郭义伟 ,  冯志峰

IPC: H04L1/00 ,  H04L1/08

Abstract: 本申请提供了一种基于数据编码的数据处理方法及装置、设备，对待处理信息中的待处理数据进行N路纠错编码，得到N个编码待处理数据，并使用纠错编码得到的编码元信道数据对编码待处理数据进行冗余处理，得到N个响应数据，再对N个响应数据进行纠错译码，得到待处理信息的处理结果信息，因为N个编码待处理数据异构，且N路处理使用的编码元信道数据异构，因此，能够增加处理过程的随机性，再结合纠错编译码的方式，能够纠正数据处理过程中的广义扰动，从而提高数据处理的安全性。

公开(公告)号：CN113014356A

公开(公告)日：2021-06-22

申请号：CN202110179236.6

申请日：2021-02-09

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  珠海高凌信息科技股份有限公司

Inventor： 贺磊 ,  邬江兴 ,  任权 ,  马海龙 ,  江逸茗 ,  张鹏 ,  谢记超 ,  郭义伟 ,  冯志峰

IPC: H04L1/00 ,  H04L1/08

Abstract: 本申请提供了一种基于数据编码的数据处理方法及装置、设备，对待处理信息中的待处理数据进行N路纠错编码，得到N个编码待处理数据，并使用纠错编码得到的编码元信道数据对编码待处理数据进行冗余处理，得到N个响应数据，再对N个响应数据进行纠错译码，得到待处理信息的处理结果信息，因为N个编码待处理数据异构，且N路处理使用的编码元信道数据异构，因此，能够增加处理过程的随机性，再结合纠错编译码的方式，能够纠正数据处理过程中的广义扰动，从而提高数据处理的安全性。

公开(公告)号：CN110380961A

公开(公告)日：2019-10-25

申请号：CN201910603728.6

申请日：2019-07-05

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  珠海高凌信息科技股份有限公司

Inventor： 马海龙 ,  伊鹏 ,  江逸茗 ,  冯志峰 ,  郭义伟 ,  张鹏 ,  陈祥 ,  韩伟涛 ,  鲍尚策

IPC: H04L12/707 ,  H04L12/771 ,  H04L12/801 ,  H04L29/06

Abstract: 本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法，该装置包括：传统路由器，作为路由计算主执行体；多个异构路由计算执行体，作为路由计算副执行体；数据分合路单元，用于对输入数据进行操作后分流转发，并将来自不同单元的数据进行合路输出；输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及中央控制单元，用于管理其他单元。本发明通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。