公开(公告)号：CN119402247A

公开(公告)日：2025-02-07

申请号：CN202411511708.3

申请日：2024-10-28

Applicant: 泉城省实验室

Inventor： 王宇亮 ,  张嘉富 ,  滑翠云 ,  金辉 ,  李宗鹏 ,  徐明伟 ,  杨波

IPC: H04L9/40 ,  H04L9/08

Abstract: 本发明涉及一种基于流授权标签验证的园区网安全区域隔离方法，属于网络安全研究技术领域。在SDN控制器中开发一个园区网基于流授权标签验证的安全区域隔离应用，通过收集园区网络用户信息建立用户数据库，并且为每个用户生成唯一的授权码，同时还为用户划定其在园区网所允许访问的安全区域范围，SDN控制在感知用户接入之后，给接入交换机下发基于流授权标签验证的访问控制流表，接入交换机根据流表对用户在指定的安全区域通信进行访问控制，为实现在园区网阻止用户非法跨越安全区域访问园区网资源提供了保障。

公开(公告)号：CN119966726A

公开(公告)日：2025-05-09

申请号：CN202510138571.X

申请日：2025-02-08

Applicant: 泉城省实验室

Inventor： 张嘉富 ,  王宇亮 ,  李宗鹏 ,  滑翠云 ,  金辉

IPC: H04L9/40 ,  H04L67/12 ,  H04L41/122 ,  H04L41/14

Abstract: 本发明设计一种园区网分级多粒度访问控制方法及系统，属于网络安全领域，包括：创建Model模型，通过ORM关系模型映射建立关联数据库；管理员进行园区网的资源等级的划分与访问控制的下发；初始化网络拓扑数据结构，监听网络中的变化事件，更新并记录网络拓扑数据；管理员下发访问控制或SDN控制器感知到用户接入后，后台应用根据资源等级创建访问流表规则；SDN控制器创建通信流表并将两条流表下发给接入交换机，接入交换机根据接收到的流表规则，执行数据包转发操作；本发明实现针对用户访问特定资源的控制功能，并基于此建立多功能模块的分级多粒度流授权标签访问控制系统，为实现园区网阻止用户非法跨越安全区域访问园区网资源提供了可靠性保障。

公开(公告)号：CN118611955B

公开(公告)日：2024-11-15

申请号：CN202410817363.8

申请日：2024-06-24

Applicant: 泉城省实验室

Inventor： 国兴昌 ,  王宇亮 ,  李宗鹏 ,  李康 ,  张嘉富

IPC: H04L9/40

Abstract: 本发明涉及一种基于可编程数据平面的源地址流量识别和管控方法、装置、设备及介质，属于计算机网络安全领域，包括控制平面与数据平面，控制平面负责根据路由以及源地址认证信息生成源地址认证表项，数据平面负责根据控制平面生成的源地址认证表项对流量进行识别，并根据源地址认证表项的设置对流量进行阻断、降速、上报等操作，实现对恶意源地址流量的阻断和管控：本发明利用现存完善的网络入侵行为检测及捕获等安全防御功能设施，实现对大批量泛洪流量及恶意流量的防御。本发明基于可编程数据平面，提供了能够对端口类型进行更细粒度的划分，能够更加灵活的识别恶意流量，相较于传统数据平面动作灵活度更高、流量识别粒度更细的特点。

公开(公告)号：CN118611955A

公开(公告)日：2024-09-06

申请号：CN202410817363.8

申请日：2024-06-24

Applicant: 泉城省实验室

Inventor： 国兴昌 ,  王宇亮 ,  李宗鹏 ,  李康 ,  张嘉富

IPC: H04L9/40

Abstract: 本发明涉及一种基于可编程数据平面的源地址流量识别和管控方法、装置、设备及介质，属于计算机网络安全领域，包括控制平面与数据平面，控制平面负责根据路由以及源地址认证信息生成源地址认证表项，数据平面负责根据控制平面生成的源地址认证表项对流量进行识别，并根据源地址认证表项的设置对流量进行阻断、降速、上报等操作，实现对恶意源地址流量的阻断和管控：本发明利用现存完善的网络入侵行为检测及捕获等安全防御功能设施，实现对大批量泛洪流量及恶意流量的防御。本发明基于可编程数据平面，提供了能够对端口类型进行更细粒度的划分，能够更加灵活的识别恶意流量，相较于传统数据平面动作灵活度更高、流量识别粒度更细的特点。

公开(公告)号：CN117793128A

公开(公告)日：2024-03-29

申请号：CN202311831629.6

申请日：2023-12-28

Applicant: 泉城省实验室

Inventor： 王宇亮 ,  班寅虓 ,  李康 ,  张嘉富 ,  滑翠云 ,  李宗鹏 ,  徐明伟 ,  杨波

IPC: H04L67/1095 ,  H04L67/303 ,  H04L67/568 ,  H04J3/06 ,  H04L45/745

Abstract: 本发明涉及一种基于联机合作的RPKI依赖方缓存应急同步方法和装置，属于路由器研究领域。该方法通过在同一自治域内的依赖方之间创建联机合作机制，从域内选举出与资源库同步ROA信息良好的主要依赖方，主要依赖方把从资源库获取的ROA信息保存成本地化ROA信息文件，问题依方能够向主要依赖方请求获取其本地化ROA信息文件，更新其ROA信息缓存，并且将其发布给它所辖的路由器，最终实现在与资源库断开的情况下依然能够使用最新的ROA信息更新本地缓存的功能。本发明避免了路由器无法获取ROA信息进行路由信息真实性验证而导致的网络不可达故障的问题。