公开(公告)号：CN102769677A

公开(公告)日：2012-11-07

申请号：CN201210254415.2

申请日：2012-07-20

Applicant: 清华大学

Inventor： 毕军 ,  朱树永 ,  姚广 ,  孙雅媛 ,  周端奇 ,  张宝宝 ,  王优

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明公开了一种面向真实用户身份信息的IPv6地址设置方法，该方法包括：基于用户身份信息来生成用户身份标识号码，将IPv6地址的第一位置设置为所述用户身份标识号码；对除所述IPv6地址的第一位置以外的其他位置进行设置。本发明通过把用户的身份信息映射为用户身份标识号码，且将该用户身份标识号码作为IPv6地址的一部分，实现IPv6地址与真实用户身份信息的绑定，为互联网管理体系提供基础性身份标识服务，进一步增强网络的可管控性。

公开(公告)号：CN101610255A

公开(公告)日：2009-12-23

申请号：CN200910088189.3

申请日：2009-07-10

Applicant: 清华大学

Inventor： 毕军 ,  吴建平 ,  姚广

IPC: H04L29/06 ,  H04L29/12 ,  H04L9/32 ,  H04L9/30 ,  H04L12/56

Abstract: 本发明提出了一种源地址验证装置，包括主机模块和网关模块。其中，所述主机模块部署于主机上，用于生成公私钥对，生成密码学产生地址CGA地址，控制获取其他源地址，以及控制数据报文的发送；所述网关模块部署在验证网关上，用于完成授权地址使用，分配密钥种子，以及验证报文中的签名。本发明所提出的源地址验证装置可以不依赖于底层网络设备，具有主机级别粒度，并且支持所有源地址分配方式。

公开(公告)号：CN105447077B

公开(公告)日：2019-01-29

申请号：CN201510740631.1

申请日：2015-11-04

Applicant: 清华大学

Inventor： 姚广 ,  毕军

IPC: G06F16/953 ,  G06F16/835

Abstract: 本发明公开了一种基于OpenFlow的查询词抽取方法及系统，该方法包括以下步骤：在OpenFlow控制器中预先存储若干目标网站以形成目标网站集合和通过控制器在OpenFlow接入设备中预先设置所述接入设备的报文第一转发规则；控制器采集接入设备基于第一转发规则转发的包含查询词的报文，并结合目标网站集合对包含查询词的报文进行分析直到发现查询词。本发明的网络设备负担小、不依赖用户端和网站端，在OpenFlow的组网结构中均可以采用，同时，本发明只需要分析很少的报文就可以获取到查询词，且分析延时低。

公开(公告)号：CN101931662B

公开(公告)日：2015-05-13

申请号：CN201010267698.5

申请日：2010-08-30

Applicant: 清华大学

Inventor： 毕军 ,  姚广 ,  王森 ,  胡虹雨

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明公开了一种冲突地址检测/地址解析/地址不可达探测的系统，应用在IPv6协议栈的网络节点上，所述系统包括请求节点和响应节点，请求节点对生成的或者需要解析或探测的IP地址进行单向哈希值计算；将哈希值公布到同一链路的其他节点上；配置有与请求节点相同哈希值的IP地址的响应节点，在接收到请求节点的公布消息后向请求节点响应其对应的IP地址，请求节点根据响应的IP地址对应进行冲突地址检测、地址解析或地址不可达探测。本发明可以提高IPv6网络中无状态地址自动配置的可靠性、可用性。

公开(公告)号：CN102769621B

公开(公告)日：2015-03-04

申请号：CN201210254396.3

申请日：2012-07-20

Applicant: 清华大学

Inventor： 毕军 ,  王优 ,  孙雅媛 ,  姚广 ,  高凯 ,  朱树永 ,  张宝宝

IPC: H04L29/06

Abstract: 本发明公开了一种面向真实用户身份的主机移动方法，该方法包括：主机从离线状态接入第一网络时，主机与第一网络中的标识符服务器进行交互以验证主机的用户身份是否合法，若合法，则第一网络中的标识符服务器利用用户身份信息生成主机的标识符，然后基于标识符生成主机在第一网络中的IPv6地址；主机从第一网络移至第二网络时，主机与第二网络中的标识符服务器进行交互以验证主机的用户身份和主机的标识符是否合法，若合法，则第二网络中的标识符服务器基于标识符生成主机在第二网络中的IPv6地址。本发明方法通过将由用户身份信息所生成的标识符嵌入IPv6地址中以克服现有技术中IPv6地址缺乏安全性的问题，防止标识符伪造的发生。

公开(公告)号：CN101610255B

公开(公告)日：2012-10-24

申请号：CN200910088189.3

申请日：2009-07-10

Applicant: 清华大学

Inventor： 毕军 ,  吴建平 ,  姚广

IPC: H04L29/06 ,  H04L29/12 ,  H04L9/32 ,  H04L9/30 ,  H04L12/56

Abstract: 本发明提出了一种源地址验证装置，包括主机模块和网关模块。其中，所述主机模块部署于主机上，用于生成公私钥对，生成密码学产生地址CGA地址，控制获取其他源地址，以及控制数据报文的发送；所述网关模块部署在验证网关上，用于完成授权地址使用，分配密钥种子，以及验证报文中的签名。本发明所提出的源地址验证装置可以不依赖于底层网络设备，具有主机级别粒度，并且支持所有源地址分配方式。

公开(公告)号：CN100508453C

公开(公告)日：2009-07-01

申请号：CN200610113188.6

申请日：2006-09-19

Applicant: 清华大学

Inventor： 毕军 ,  吴建平 ,  叶明江 ,  任罡 ,  姚广

IPC: H04L9/32 ,  H04L29/06 ,  H04L12/24 ,  H04L12/56 ,  H04L12/66 ,  G06F17/30

Abstract: 本发明属于真实IPv6源地址过滤认证技术领域，其特征在于，在自治域边界路由器出口处的一个过滤设备上配置了一个与该路由器协同工作的过滤规则生成引擎和过滤引擎，前者根据自治域控制服务器的通讯报文生成某种真实源地址过滤策略的过滤规则表，并切换过滤策略，这些策略包括SPM、SAVE、入口过滤等等，也可以是嵌入的其他策略；后者具有互联网控制信息协议报文处理模块、签名处理模块和边界标记模块，可根据过滤策略对来自内部网络接口或来自边界路由器转发引擎的报文进行验证和过滤。本发明可灵活嵌入过滤策略，过滤规则表为各种过滤策略的嵌入提供了统一而且高效的数据层面支持。

公开(公告)号：CN1953373A

公开(公告)日：2007-04-25

申请号：CN200610113188.6

申请日：2006-09-19

Applicant: 清华大学

Inventor： 毕军 ,  吴建平 ,  叶明江 ,  任罡 ,  姚广

IPC: H04L9/32 ,  H04L29/06 ,  H04L12/24 ,  H04L12/56 ,  H04L12/66 ,  G06F17/30

Abstract: 本发明属于真实IPv6源地址过滤认证技术领域，其特征在于，在自治域边界路由器出口处的一个过滤设备上配置了一个与该路由器协同工作的过滤规则生成引擎和过滤引擎，前者根据自治域控制服务器的通讯报文生成某种真实源地址过滤策略的过滤规则表，并切换过滤策略，这些策略包括SPM、SAVE、入口过滤等等，也可以是嵌入的其他策略；后者具有互联网控制信息协议报文处理模块、签名处理模块和边界标记模块，可根据过滤策略对来自内部网络接口或来自边界路由器转发引擎的报文进行验证和过滤。本发明可灵活嵌入过滤策略，过滤规则表为各种过滤策略的嵌入提供了统一而且高效的数据层面支持。