公开(公告)号：CN113949661A

公开(公告)日：2022-01-18

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN114500001B

公开(公告)日：2024-04-26

申请号：CN202111671864.2

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张凯

IPC: H04L9/40 ,  H04L45/50 ,  H04L45/745

Abstract: 本发明公开了一种通信方法及装置，其中通信方法包括：网络设备接收SDN控制器下发的SID认证信息库；网络设备提取LSDB中的路由信息和设备标识；根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；提取LSDB中SID信息，将路由信息和SID信息的组合，在SID认证信息库中查找是否存在对应的路由和SID值，当找到对应的认证信息且设备标识是相同时，生成MPLS标签表；本发明通过在控制器侧实现SID认证信息的集中管理和下发，定义了认证信息所包含的字段和内容，并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。

公开(公告)号：CN114866473B

公开(公告)日：2024-04-12

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。

公开(公告)号：CN114531270B

公开(公告)日：2023-11-03

申请号：CN202111671863.8

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 荆文韬 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。

公开(公告)号：CN116743832A

公开(公告)日：2023-09-12

申请号：CN202310760842.6

申请日：2023-06-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  李宗政 ,  卢珊萍 ,  马海龙

IPC: H04L67/133 ,  H04L41/0803 ,  H04L41/08

Abstract: 本申请公开了一种网元业务接口创建方法，所述网元包括主控单元和执行体，所述方法应用于所述主控单元，包括：创建第一业务接口；生成所述第一业务接口的配置信息；根据所述配置信息生成RPC报文；将所述RPC报文发送至所述执行体，以使所述执行体利用所述RPC报文创建与所述第一业务接口对应的第二业务接口。应用本申请所提供的技术方案，可以实现快速高效的网元业务接口创建，有效降低研发成本。本申请还公开了一种网元业务接口创建装置、电子设备以及计算机可读存储介质，同样具有上述技术效果。

公开(公告)号：CN114745128B

公开(公告)日：2023-07-07

申请号：CN202210309072.9

申请日：2022-03-28

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  网络通信与安全紫金山实验室

Inventor： 江逸茗 ,  马海龙 ,  王亮 ,  伊鹏 ,  陈博 ,  袁征 ,  丁瑞浩 ,  张德升 ,  唐寅

IPC: H04L9/32 ,  H04L9/40

Abstract: 本发明公开一种面向网络终端设备的信任估值方法及装置，该方法结合网络终端设备历史行为对其信任进行估值计算，并对其进行基于信任的安全管控，因此，将该节点从接入域到评估时刻的通信时段视为评估区间T，将其划分为t段评估间隔，认为正常设备节点有如下特征：倾向于忠诚、即大概率(概率不小于0.5)地正常转发数据；其面向域内交换设备节点的入向流量序列平稳，不得突发增长至域内服务资源承受阈值以上。本发明可支持网络基于终端设备历史行为对其实施基于信任的安全管控，并可应用于多种威胁场景、满足实际场景需求。

公开(公告)号：CN115987923A

公开(公告)日：2023-04-18

申请号：CN202211548444.X

申请日：2022-12-05

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  钱永娜 ,  李宗政 ,  卢珊萍

IPC: H04L49/354 ,  H04L9/40 ,  H04L69/16

Abstract: 本申请公开了一种开放虚拟网络系统、一种通信方法及设备和存储介质，该系统包括主控制面和执行体组，主控制面包括主执行体、第一开放虚拟交换机数据库协议代理、第二开放虚拟交换机数据库协议代理、数据库裁决器，执行体组包括多个异构的执行体；主执行体和执行体组中的执行体用于对接收到的业务报文进行翻译；数据库裁决器用于通过对比执行体组中多个执行体的翻译结果和主执行体的翻译结果判断主执行体的翻译结果是否异常；若异常，则基于执行体组中多个执行体的翻译结果修正主执行体的翻译结果；第二开放虚拟交换机数据库协议代理用于将主执行体的翻译结果发送至第二传输方。本申请避免了数据翻译错误，进而提高了开放虚拟网络的安全性。

公开(公告)号：CN115296839A

公开(公告)日：2022-11-04

申请号：CN202210728335.X

申请日：2022-06-24

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卢珊萍 ,  唐寅 ,  江逸茗 ,  张进 ,  张鹏

IPC: H04L9/40 ,  H04L45/02

Abstract: 本发明实施例公开了一种基于BGP‑LS裁决的拟态路由方法、装置及存储介质，涉及互联网通信技术领域，能够提高拓扑信息的完整性与正确性。本发明包括：在拟态路由器中，通过BGP‑LS裁决器从各个路由执行体获取BGP‑LS数据，其中，所述拟态路由器包括输入/输出代理、所述BGP‑LS裁决器、调度器和至少3个路由执行体，所述拟态路由器与SDN控制器之间建立BGP‑LS连接；将具有相同的键值组合的BGP‑LS数据放入同一个裁决队列并进行裁决判定，并记录异常数据；根据所记录的异常数据生成异常信息并发送给所述调度器，并触发所述调度器对拥有异常数据的路由执行体进行处理。

公开(公告)号：CN114866473A

公开(公告)日：2022-08-05

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。

公开(公告)号：CN114531270A

公开(公告)日：2022-05-24

申请号：CN202111671863.8

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 荆文韬 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L9/40 ,  H04L45/00

Abstract: 本发明公开了一种针对分段路由标签探测的防御方法及装置，其中防御方法包括：集中式认证服务器验证网络中的所有接入设备的身份；接入设备根据设备信息生成设备指纹；获取转发流量包的特征；所述特征为预设时间内向路由器发送的流量包的次数以及所述流量包的IPv4层的TTL值；根据所述特征确定恶意流量；确定所述恶意流量的源IP地址，将源IP地址加入黑名单并设置期限；确定当前网络中的接入设备的设备指纹是否改变；本发明通过获取转发流量的频率以及数据包中IPv4层的TTL值来判断恶意流量，从而对其进行防御，这样可以精确防御分段路由标签探测的攻击，可以提高目标网络的安全性，减少了网络被破坏的可能。