公开(公告)号：CN103561011B

公开(公告)日：2016-09-07

申请号：CN201310516638.6

申请日：2013-10-28

Applicant: 中国科学院信息工程研究所

Inventor： 马多贺 ,  徐震 ,  黄亮 ,  杨婧 ,  李乃山

IPC: H04L29/06

Abstract: 本发明涉及一种SDN控制器盲DDoS攻击防护方法及系统，系统包括：SDN控制器资源池监控器、部署在SDN交换机上的控制器列表动态切换模块以及与控制器通过数据接口进行数据交互攻击检测应用模块；所述SDN控制器资源池监控器，用于维护多个物理机和/或虚拟机控制器的创建、数据同步、IP地址分配以及状态列表下发交换机；所述攻击检测应用模块对SDN网络中控制器与交换机的通信数据流进行检测，当检测到针对控制器的盲DDoS攻击流时，所述SDN控制器资源池监控器根据发生盲DDoS攻击时的攻击流量大小，动态调节控制器的数量。本发明采用的方法能够动态调节控制器的数量，有效防护针对控制器的盲DDoS攻击，保障SDN网络的可用性。

公开(公告)号：CN103095530B

公开(公告)日：2016-09-07

申请号：CN201310022141.9

申请日：2013-01-21

Applicant: 中国科学院信息工程研究所

Inventor： 宋晨 ,  马多贺 ,  徐震 ,  杨婧 ,  黄亮

IPC: H04L12/26 ,  H04L12/66 ,  H04L29/06

Abstract: 本发明涉及基于前置网关的敏感信息检测及防泄露方法及系统，系统包括配置模块、非信任列表生成模块和敏感信息防泄漏模块，其步骤为：1）在Web网站服务器的数据流链路中设置一前置网关，前置网关代理客户端向网站服务器发送和/或接受请求；2）前置网关配置该代理网站需要监测的敏感信息，配置成功后开始监测敏感信息；3）前置网关将包含敏感信息的URL作为网站的非信任URL并建立非信任列表，当客户端请求该URL内容时，前置网关代替网站响应该请求，防止敏感信息泄露。本发明不依赖于网站的构建系统，不干扰网站的管理方式，能够不间断对Web网站包含敏感信息的情况进行监测，同时通过前置网关代理响应的方式确保敏感信息不泄露。

公开(公告)号：CN105809624A

公开(公告)日：2016-07-27

申请号：CN201610127287.3

申请日：2016-03-07

Applicant: 中国科学院信息工程研究所

Inventor： 刘延伟 ,  要瑞宵 ,  徐震

IPC: G06T3/40

CPC classification number: G06T3/4084

Abstract: 本发明公开了一种依赖观看条件的图像显示适配方法。本方法为：1)计算图像中傅里叶域中任一点处对应的图像模式的真实对比度、空间频率；2)计算缩放处理的最优缩放比例，根据该最优缩放比例对该图像进行缩放，得到一中间图像；然后对该中间图像进行变形处理，在变形过程中尽量保持每一受关注区域si形状不变，得到一与目标屏幕适配的目标图像。本方法利用对比敏感性概念首先建立图像观看条件与人类视觉系统响应的关系。然后决策图像受关注区域的最优目标缩放比例。得到最优目标缩放比例后，对不同图像区域朝着目标显示尺寸进行变形变换处理，得到最优的适配观看条件和显示设备的图像显示。

公开(公告)号：CN105722145A

公开(公告)日：2016-06-29

申请号：CN201610102413.X

申请日：2016-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 李宏佳 ,  杨畅 ,  王泽珏 ,  徐震

IPC: H04W28/06 ,  H04L12/741 ,  H04W92/04

Abstract: 本发明公开了一种基于S1接口的数据通信方法及基站，所述方法包括：根据S1接口协议解析基站发送至边缘服务节点的数据包，得到TEID字段和IP包头字段；将所述TEID字段修改为与所述TEID字段的上行TEID字段对应的下行TEID字段，并将所述IP包头字段中的目的地址修改为边缘服务节点对应的IP地址，以使处理后的数据包根据所述IP地址发送至所述边缘服务节点。本发明根据S1接口协议对数据包进行解析，同时对解析得到的TEID字段和IP包头字段进行修改后可直接进行通信，只需采用一种协议对数据包进行处理，无需借助两种不同的协议进行通信，大大节省了基站的资源消耗，提高了基站的处理速度，从而增强了用户体验。

公开(公告)号：CN105553689A

公开(公告)日：2016-05-04

申请号：CN201510882758.7

申请日：2015-12-03

Applicant: 中国科学院信息工程研究所

Inventor： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC: H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

CPC classification number: H04L41/14 ,  H04L41/0631 ,  H04L47/10 ,  H04L61/6018 ,  H04L67/2828

Abstract: 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105260663A

公开(公告)日：2016-01-20

申请号：CN201510586671.5

申请日：2015-09-15

Applicant: 中国科学院信息工程研究所

Inventor： 田琛 ,  王雅哲 ,  徐震 ,  蔡智强

IPC: G06F21/60

Abstract: 一种基于TrustZone技术的安全存储服务系统及方法，包括数据请求模块、普通应用程序、安全存储服务、可信应用程序；数据请求模块负责普通应用程序与可信应用程序间数据安全存储服务请求的封装与调用，为普通应用程序提供统一的数据存储、数据加载和数据销毁的服务请求接口；安全存储服务包括合法性检测模块、数据处理模块和秘钥管理模块。本发明目的在于为支持TrustZone技术的终端设备上的应用程序提供统一的数据安全存储接口，既解决应用程序敏感数据的安全存储问题，又保证应用程序开发的便捷性。

公开(公告)号：CN103179115B

公开(公告)日：2015-12-23

申请号：CN201310086122.2

申请日：2013-03-18

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  王瑜 ,  徐震 ,  林东岱

IPC: H04L29/06

Abstract: 本发明公开了一种面向云电视终端跨云应用的云服务访问控制方。本方法为：1)云电视终端通过云服务商的云服务App客户端向统一身份认证中心系统申请一身份断言凭证；2)App客户端将该凭证发送给该云服务商的IdP中心；3)IdP中心为该云电视终端创建一账号，然后对该凭证和账号绑定并创建一云访问控制令牌返回给App客户端；4)App客户端对令牌进行本地存储；5)该云电视终端访问该云服务商提供的云服务时，App客户端监测本地是否存在该令牌，若不存在则拒绝该访问；若存在则将该令牌发送给IdP中心进行验证确定是否允许该访问。本发明保证了多系统的互联互通，简化了用户登录过程，用户体验效果好、业务耦合性低。

公开(公告)号：CN104318135A

公开(公告)日：2015-01-28

申请号：CN201410585071.2

申请日：2014-10-27

Applicant: 中国科学院信息工程研究所

Inventor： 王雅哲 ,  徐震 ,  胡铭铭 ,  王瑜

IPC: G06F21/14 ,  G06F21/64 ,  G06F9/445

Abstract: 一种基于可信执行环境的Java代码安全动态载入方法，在所述移动智能设备中预置有可信执行环境，所述可信执行环境用于将可信区域内存划分为多个任务共存空间，支持多个独立的安全应用程序运行。本发明在保证安卓程序正常运行的前提下，通过从服务端动态下载加密过的核心代码并将加密过的核心功能代码在可信执行环境中解密，使破解者很难利用当前主流的安卓应用程序分析技术和破解工具对受保护的核心功能代码分析篡改，保护核心功能代码的安全性。

公开(公告)号：CN103701607A

公开(公告)日：2014-04-02

申请号：CN201310728458.4

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网浙江省电力公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  周晓湄 ,  赵保华 ,  王志皓

IPC: H04L9/32 ,  H04L29/06 ,  H04L29/08 ,  G06F9/455

Abstract: 本发明提供一种虚拟机环境下可信平台模块的虚拟化方法，包括以下步骤：对虚拟平台配置寄存器vPCR进行保存、恢复和迁移；生成且迁移虚拟身份认证密钥vAIK，并进行虚拟机身份认证。本发明提供一种虚拟机环境下可信平台模块的虚拟化方法，模拟传统可信平台模块的平台配置寄存器功能，为虚拟机的迁移、保存和恢复等操作提供支持。在虚拟机迁移或恢复时，它保证存储在虚拟平台配置寄存器vPCR中的完整性测试结果代表虚拟机之前的状态。支持平台间虚拟机迁移时平台身份的建立与认证，便于用户基于远程证明等技术对自己的虚拟机状态进行检查与验证。

公开(公告)号：CN103647654A

公开(公告)日：2014-03-19

申请号：CN201310726584.6

申请日：2013-12-25

Applicant: 国家电网公司 ,  中国电力科学研究院 ,  中国科学院信息工程研究所 ,  国网浙江省电力公司

Inventor： 徐震 ,  于爱民 ,  汪丹 ,  周启惠 ,  王志皓 ,  赵保华

IPC: H04L9/32 ,  H04L9/08

Abstract: 本发明涉及一种基于可信计算的配电终端密钥管理方法，所述方法包括：（1）根据配电终端构建ETM密钥结构；（2）生成基于ETM密钥的配电终端身份证书；（3）基于ETM密钥存储并管理配电终端数据；（4）基于ETM密钥远程证明配电终端状态。本发明配电终端所涉及的密钥都存储在电力可信模块ETM中，ETM为密钥提供硬件级别的保护，密钥的安全进一步保证了密钥操作结果的安全；基于配电终端身份密钥签名的终端完整性状态，可实现电网通信中配电终端的身份与状态认证，进一步增强电网通信安全。