公开(公告)号：CN101621513A

公开(公告)日：2010-01-06

申请号：CN200910089448.4

申请日：2009-07-20

Applicant: 清华大学

Inventor： 吴建平 ,  毕军

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明提出一种规范接入子网内源地址验证方案的方法，包括以下步骤：在交换机上将IP源地址与网络层以下的信息进行绑定，所述交换机根据绑定关系判断报文所携带的所述源地址的正确性，并对假冒IP源地址的报文进行过滤；规定源地址验证方案与四种地址分配方式兼容；描述四种特殊情形；定义解决方案空间。通过本发明的框架实现了对接入子网内源地址验证方案的工作场景、工作原理、地址分配方案的兼容性和处理特殊情形等的规范，促进了对接入子网内源地址验证方案的明确理解与评价。

公开(公告)号：CN100452799C

公开(公告)日：2009-01-14

申请号：CN200610113192.2

申请日：2006-09-19

Applicant: 清华大学

Inventor： 毕军 ,  吴建平 ,  解利忠

IPC: H04L29/06 ,  H04L12/56 ,  H04L9/32

Abstract: IPv6子网内基于签名认证的防止源地址伪造的方法属于网络安全领域。本发明特征在于：该方法中，用户主机发往外网的报文携带一个由会话密钥、源地址、目的地址及报文序列号等使用消息摘要函数MD5或SHA1形成的签名，部署在IPv6子网边界路由器入口处的安全认证网关对该报文签名进行认证，以确认该报文源地址没有被伪造；同时，安全认证网关通过校验报文的序列号在会话密钥的生命期内是否是递增的来判断报文是否为重放报文。该方法能够有效防止IPv6子网内的源地址伪造，性能也足以满足现有子网的要求，同时支持增量部署，可以通过逐步在某些IPv6子网内部署安全认证网关来进行推广。

公开(公告)号：CN100413289C

公开(公告)日：2008-08-20

申请号：CN200510086984.0

申请日：2005-11-25

Applicant: 清华大学 ,  比威网络技术有限公司

Inventor： 毕军 ,  章淼 ,  吴建平 ,  冷晓翔

IPC: H04L12/56 ,  H04L29/06 ,  H04L12/66

Abstract: 本发明属于网络互联技术，IPv4/IPv6过渡初期形成的IPv6“孤岛”将大量的存在于IPv4网络中，一般通过IPv6配置隧道或隧道代理接入到IPv6网络，“孤岛”间的流量将占用相当大一部分IPv6接入节点的转发流量，形成网络瓶颈。本发明的特征在于：将这些IPv6“孤岛”的边界网关在IPv4网络上连成一个P2P的重叠网络，通过该网络交互可达信息，自动建立IPv6“孤岛”间的IPv6-in-IPv4隧道；边界网关接收到发往“孤岛”外部的IPv6数据分组时，优先选用“孤岛”间的隧道进行转发。该方法能够缓解IPv6接入节点的压力，同时配置简单、即插即用，适合增量部署，可以通过逐步升级IPv6“孤岛”边界网关软件来进行推广。

公开(公告)号：CN100387020C

公开(公告)日：2008-05-07

申请号：CN200610011503.4

申请日：2006-03-17

Applicant: 清华大学 ,  比威网络技术有限公司

Inventor： 毕军 ,  章淼 ,  吴建平 ,  冷晓翔

IPC: H04L12/46 ,  H04L12/56

Abstract: 本发明涉及互联网技术领域，其特征在于：这是一种运行于IPv4/IPv6双栈路由器和IPv4/IPv6双栈三层交换机上利用P2P重叠网络在IPv4上传递IPv6 over IPv4隧道端点信息的方法。为此，在P2P重叠网络节点上设置了6种控制分组和4种邻接状态，同时设置一个中心注册机来接受新节点的加入请求，并设计了建立、维护P2P重叠网络、保持邻居关系和传递隧道端点信息的有关协议过程，协议分组类型和协议状态机。经过实验验证，该方法可以完成隧道端点信息的扩散和更新同时可以保证P2P重叠网络100%连通，具有分布式、高可靠性的特点。

公开(公告)号：CN100364306C

公开(公告)日：2008-01-23

申请号：CN200610113190.3

申请日：2006-09-19

Applicant: 清华大学

Inventor： 吴建平 ,  叶明江 ,  毕军 ,  章淼 ,  徐恪

IPC: H04L29/06 ,  H04L12/56 ,  H04L9/32

Abstract: 本发明属于网络安全技术。互联网现有的转发模型并不检查分组的源地址的真实性，使得大量伪造源地址的攻击危害网络。本发明的特征为：将部署本方案的自治系统组成一个信任联盟，联盟内的自治系统的控制服务器通过点到点的交互自治系统的地址空间信息和协商签名信息，然后由自治系统的边界路由器在发送的IPv6分组中增加IPv6逐跳扩展报头存放签名，并由自治系统的边界路由器在接收的IPv6分组中检查IPv6逐跳扩展报头中的签名是否正确来验证分组源地址的合法性。该方法为自治系统间的IPv6真实源地址验证提供了一种高性能，可以增量部署的方法，能够在IPv6网络中广泛使用，在自治域间验证分组源地址的合法性。

公开(公告)号：CN1819542A

公开(公告)日：2006-08-16

申请号：CN200610011503.4

申请日：2006-03-17

Applicant: 清华大学 ,  比威网络技术有限公司

Inventor： 毕军 ,  章淼 ,  吴建平 ,  冷晓翔

IPC: H04L12/46 ,  H04L12/56

Abstract: 本发明涉及互联网技术领域，其特征在于：这是一种运行于IPv4/IPv6双栈路由器和IPv4/IPv6双栈三层交换机上利用P2P重叠网络在IPv4上传递IPv6 over IPv4隧道端点信息的方法。为此，在P2P重叠网络节点上设置了6种控制分组和4种邻接状态，同时设置一个中心注册机来接受新节点的加入请求，并设计了建立、维护P2P重叠网络、保持邻居关系和传递隧道端点信息的有关协议过程，协议分组类型和协议状态机。经过实验验证，该方法可以完成隧道端点信息的扩散和更新，同时可以保证P2P重叠网络100％连通，具有分布式、高可靠性的特点。

公开(公告)号：CN112367278A

公开(公告)日：2021-02-12

申请号：CN202011212405.3

申请日：2020-11-03

Applicant: 清华大学

Inventor： 刘莹 ,  操佳敏 ,  徐明伟 ,  毕军 ,  周禹 ,  张乙然

IPC: H04L12/931 ,  H04L12/935 ,  H04L12/939 ,  H04L29/08

Abstract: 本发明提供一种基于可编程数据交换机的云网关系统及其报文处理方法，该系统包括可编程交换机和后端服务器，可编程交换机与后端服务器连接；可编程交换机用于接收外部的数据包，检测外部的数据包的报文是否为控制报文，当数据包的报文为控制报文时，将控制报文发送至后端服务器；接收后端服务器发送的控制报文和第三存储索引值，根据第三存储索引值和控制报文更新可编程交换机的连接状态信息；后端服务器用于接收可编程交换机发送的控制报文，当控制报文对应的连接的第一存储索引值与已有的连接的第二存储索引值存在冲突时，对控制报文对应的连接重新计算获得第三存储索引值，将第三存储索引值和控制报文发送至可编程交换机。

公开(公告)号：CN112087449A

公开(公告)日：2020-12-15

申请号：CN202010938169.7

申请日：2020-09-08

Applicant: 清华大学

Inventor： 张梦豪 ,  李冠宇 ,  白家松 ,  刘畅 ,  毕军

IPC: H04L29/06 ,  H04L29/12

Abstract: 本申请涉及数据处理技术领域，具体涉及一种源地址的验证方法、系统、存储介质及电子设备。该方法包括：接收数据包，数据包包含的源地址；根据预先建立的IP2HC表判断数据包的合法性，其中，IP2HC表包含源地址与跳计数的映射关系，并通过Update表以周期T进行更新，其中，T大于0；若判定数据包为合法数据包，则转发合法数据包到端主机，该方法通过采用Update表以周期T进行更新IP2HC表的方式，实现了使用可编程交换机运行数据包合法性验证系统，使检测程序脱离端主机，减少了端主机的运算负担，并在判定数据包为合法数据包后，才转发合法数据包到端主机，降低了网络负载，进一步提高了端主机的用户体验。

公开(公告)号：CN105447077B

公开(公告)日：2019-01-29

申请号：CN201510740631.1

申请日：2015-11-04

Applicant: 清华大学

Inventor： 姚广 ,  毕军

IPC: G06F16/953 ,  G06F16/835

Abstract: 本发明公开了一种基于OpenFlow的查询词抽取方法及系统，该方法包括以下步骤：在OpenFlow控制器中预先存储若干目标网站以形成目标网站集合和通过控制器在OpenFlow接入设备中预先设置所述接入设备的报文第一转发规则；控制器采集接入设备基于第一转发规则转发的包含查询词的报文，并结合目标网站集合对包含查询词的报文进行分析直到发现查询词。本发明的网络设备负担小、不依赖用户端和网站端，在OpenFlow的组网结构中均可以采用，同时，本发明只需要分析很少的报文就可以获取到查询词，且分析延时低。

公开(公告)号：CN108965121A

公开(公告)日：2018-12-07

申请号：CN201710359609.1

申请日：2017-05-19

Applicant: 华为技术有限公司 ,  清华大学

Inventor： 袁峰 ,  李兆耕 ,  毕军

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/801 ,  H04L12/803 ,  H04L12/807 ,  H04L12/841 ,  H04L12/855 ,  H04L12/947

CPC classification number: H04L47/12 ,  H04L45/123 ,  H04L45/24 ,  H04L47/125 ,  H04L47/193 ,  H04L47/2466 ,  H04L47/27 ,  H04L47/283 ,  H04L47/33 ,  H04L49/25

Abstract: 本发明实施例中提供了一种传输数据的方法，该方法包括：第一主机在第一数据流的第一切片的每个报文中添加第一索引，该第一索引用于交换机在该第一主机到第二主机的多条可用路径中确定该第一索引对应的第一路径；向该交换机发送该第一数据流的第一切片，该第一切片的最后一个报文是该第一主机根据转发该第一切片的第一路径的路径状况信息确定的，以便该交换机通过所述第一路径向该第二主机转发该第一切片。在本发明实施例中，该第一主机通过在第一数据流的每个切片中增加索引，能够知道每个切片的传输路径的路径状况信息，进而能够避免该第一数据流的实际传输路径与主机侧拥塞窗口指示的路径不一致的问题。