公开(公告)号：CN103607346A

公开(公告)日：2014-02-26

申请号：CN201310575258.X

申请日：2013-11-17

Applicant: 北京工业大学

Inventor： 赖英旭 ,  徐壮壮 ,  潘秋月 ,  邹起辰 ,  秦华 ,  李健 ,  刘静

IPC: H04L12/703 ,  H04L29/06

Abstract: 可信路由器的针对OSPF协议的异常和攻击检测方法属于信息安全领域。它首先利用路由器嵌入的TPM模块和内部的动态度量模块对路由器进行动态度量来防止路由器遭到操作系统层面的入侵，从而防止入侵后对系统配置甚至协议代码的篡改；然后利用外部攻击检测模块对常见的三种OSPF攻击手段进行检测，来防止中间人截获协议报文后篡改报文字段发起的外部攻击；最后利用内部监控模块来对路由器自身引发的异常状态转换和行为进行实时监控，从而能够及时发现路由器因为自身协议漏洞或人为操作造成的频繁异常状态，并且发出度量请求来触发动态度量模块，以检测路由器是否遭到入侵。

公开(公告)号：CN103023911A

公开(公告)日：2013-04-03

申请号：CN201210573116.5

申请日：2012-12-25

Applicant: 北京工业大学

Inventor： 赖英旭 ,  邹起辰 ,  潘秋月 ,  徐壮壮 ,  秦华 ,  李健 ,  刘静

IPC: H04L29/06

Abstract: 可信网络设备接入可信网络认证方法属于计算机安全领域。它利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证，然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信。首先，可信设备接入可信网络时在端口启用过滤器只允许本方法认证的帧通过，可信设备有对认证帧的寻址机制。然后，对平台进行认证，完毕后再通过绑定身份和平台做第二次认证。最后，通过两阶段认证保证网络设备平台与身份认证，从而达到网络设备可信接入网络。现有协议往往分别针对平台认证和身份认证，容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络，本发明解决该问题。

公开(公告)号：CN103023911B

公开(公告)日：2015-10-14

申请号：CN201210573116.5

申请日：2012-12-25

Applicant: 北京工业大学

Inventor： 赖英旭 ,  邹起辰 ,  潘秋月 ,  徐壮壮 ,  秦华 ,  李健 ,  刘静

IPC: H04L29/06

Abstract: 可信网络设备接入可信网络认证方法属于计算机安全领域。它利用可信模块提供平台启动的特征值连同其他信息一起在认证服务器端进行平台认证，然后把身份信息与平台信息绑定再进行一轮身份认证确保平台与身份的可信。首先，可信设备接入可信网络时在端口启用过滤器只允许本方法认证的帧通过，可信设备有对认证帧的寻址机制。然后，对平台进行认证，完毕后再通过绑定身份和平台做第二次认证。最后，通过两阶段认证保证网络设备平台与身份认证，从而达到网络设备可信接入网络。现有协议往往分别针对平台认证和身份认证，容易出现中间人攻击从而使不可信的用户在可信平台或可信用户在不可信平台的情况接入网络，本发明解决该问题。

公开(公告)号：CN103607346B

公开(公告)日：2016-11-09

申请号：CN201310575258.X

申请日：2013-11-17

Applicant: 北京工业大学

Inventor： 赖英旭 ,  徐壮壮 ,  潘秋月 ,  邹起辰 ,  秦华 ,  李健 ,  刘静

IPC: H04L12/703 ,  H04L29/06

Abstract: 可信路由器的针对OSPF协议的异常和攻击检测方法属于信息安全领域。它首先利用路由器嵌入的TPM模块和内部的动态度量模块对路由器进行动态度量来防止路由器遭到操作系统层面的入侵，从而防止入侵后对系统配置甚至协议代码的篡改；然后利用外部攻击检测模块对常见的三种OSPF攻击手段进行检测，来防止中间人截获协议报文后篡改报文字段发起的外部攻击；最后利用内部监控模块来对路由器自身引发的异常状态转换和行为进行实时监控，从而能够及时发现路由器因为自身协议漏洞或人为操作造成的频繁异常状态，并且发出度量请求来触发动态度量模块，以检测路由器是否遭到入侵。

公开(公告)号：CN103139219B

公开(公告)日：2016-03-02

申请号：CN201310064556.2

申请日：2013-02-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  潘秋月 ,  杨震 ,  李健 ,  刘静 ,  李哲

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明是一种基于可信交换机的生成树协议提出的攻击检测方法。它利用内部监控模块对由交换机自身引发的攻击行为进行监控，利用外部防护模块对来自交换机外部的攻击威胁进行检测，从而实现生成树协议的全面攻击检测。本方法首先按照交换机在不同阶段等待不同网桥协议数据单元（BPDU）的情况，画出状态图，根据状态转移条件对交换机整体运行行为进行监控，以检测设备自身发起的攻击行为。然后，对来自外部的BPDU进行分类，采用定时器并计数的方法对泛洪攻击进行检测。最后，在收到BID小于当前根BID的BPDU时，发送探测包对目标交换机进行合法性验证，若为根网桥，还需进行自我评估后决定是否更换根桥，以此检测根接管攻击。

公开(公告)号：CN103139219A

公开(公告)日：2013-06-05

申请号：CN201310064556.2

申请日：2013-02-28

Applicant: 北京工业大学

Inventor： 赖英旭 ,  潘秋月 ,  杨震 ,  李健 ,  刘静 ,  李哲

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明是一种基于可信交换机的生成树协议提出的攻击检测方法。它利用内部监控模块对由交换机自身引发的攻击行为进行监控，利用外部防护模块对来自交换机外部的攻击威胁进行检测，从而实现生成树协议的全面攻击检测。本方法首先按照交换机在不同阶段等待不同网桥协议数据单元（BPDU）的情况，画出状态图，根据状态转移条件对交换机整体运行行为进行监控，以检测设备自身发起的攻击行为。然后，对来自外部的BPDU进行分类，采用定时器并计数的方法对泛洪攻击进行检测。最后，在收到BID小于当前根BID的BPDU时，发送探测包对目标交换机进行合法性验证，若为根网桥，还需进行自我评估后决定是否更换根桥，以此检测根接管攻击。