公开(公告)号：CN114430376B

公开(公告)日：2023-08-25

申请号：CN202111665410.4

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙

IPC: H04L41/0896 ,  H04L41/12 ,  H04L45/00 ,  H04L47/215 ,  H04L47/25

Abstract: 本发明公开了一种带宽限制方法及装置，应用于SR Policy场景下，带宽限制方法包括：PCE设备接收网络拓扑结构、LSP信息以及带宽需求；PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽；PCE设备将路径及端口的剩余带宽发送给Headend设备；Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速；本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽，Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速，有效的保护SR Policy业务不受影响。

公开(公告)号：CN115499323B

公开(公告)日：2023-03-24

申请号：CN202211431107.2

申请日：2022-11-16

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卜佑军 ,  马海龙 ,  伊鹏 ,  邬江兴 ,  张进 ,  刘慧 ,  余蕾蕾 ,  张鹏 ,  陈博 ,  陈祥 ,  江逸茗 ,  周锟 ,  胡先君 ,  陈韵 ,  陈垚 ,  蔡翰智 ,  王涵

IPC: H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种目标虚拟场景的构建方法、装置和电子设备，涉及虚拟场景构建技术领域，解决了现有技术中无法灵活地构建虚拟场景的问题。该方法包括：在构建目标虚拟场景时，可以先接收输入的场景构建指示，场景构建指示中包括待构建的目标虚拟场景所需的目标设备的设备类型和用于指示目标设备的设备选型的第一字段，目标设备的设备选型包括拟态设备选型、非拟态设备选型或者自定义拟态设备选型；并根据目标设备的设备类型和设备选型，从预设的场景构建库中确定目标设备；再基于目标设备构建目标虚拟场景，这样可以根据用户的构建需求，灵活地构建不同的虚拟场景，从而有效地提高了虚拟场景构建的灵活度。

公开(公告)号：CN113949661A

公开(公告)日：2022-01-18

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN113949661B

公开(公告)日：2024-04-02

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN112187825B

公开(公告)日：2022-08-02

申请号：CN202011091422.6

申请日：2020-10-13

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 王涵 ,  卜佑军 ,  江逸茗 ,  陈博 ,  陈韵 ,  蔡翰智

IPC: H04L9/40

Abstract: 本发明公开了一种基于拟态防御的蜜罐防御方法、系统、设备及介质，应用于网络安全技术领域，所述蜜罐系统中在控制应用层内设置虚拟化管理子系统，虚拟化管理子系统包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器，镜像管理模块通过KVM虚拟机镜像技术构建拟态蜜罐镜像，获取若干个虚拟高交互的蜜罐及拟态蜜罐系统，蜜罐均为拟态蜜罐；蜜罐管理模块对蜜罐进行管理操作和监控蜜罐状态；虚拟网络管理模块控制蜜罐系统进行数据访问与网络通信；控制调度器根据拟态蜜罐的输出裁决结果，对拟态蜜罐和网络进行动态切换。本发明通过将拟态防御与蜜罐系统相结合，提高网络空间安全防御的安全性和可控性。

公开(公告)号：CN112187825A

公开(公告)日：2021-01-05

申请号：CN202011091422.6

申请日：2020-10-13

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 王涵 ,  卜佑军 ,  江逸茗 ,  陈博 ,  陈韵 ,  蔡翰智

IPC: H04L29/06

Abstract: 本发明公开了一种基于拟态防御的蜜罐防御方法、系统、设备及介质，应用于网络安全技术领域，所述蜜罐系统中在控制应用层内设置虚拟化管理子系统，虚拟化管理子系统包括依次连接的镜像管理模块、蜜罐管理模块、虚拟网络管理模块和控制调度器，镜像管理模块通过KVM虚拟机镜像技术构建拟态蜜罐镜像，获取若干个虚拟高交互的蜜罐及拟态蜜罐系统，蜜罐均为拟态蜜罐；蜜罐管理模块对蜜罐进行管理操作和监控蜜罐状态；虚拟网络管理模块控制蜜罐系统进行数据访问与网络通信；控制调度器根据拟态蜜罐的输出裁决结果，对拟态蜜罐和网络进行动态切换。本发明通过将拟态防御与蜜罐系统相结合，提高网络空间安全防御的安全性和可控性。

公开(公告)号：CN115499253B

公开(公告)日：2023-04-14

申请号：CN202211442908.9

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  卜佑军 ,  马海龙 ,  邬江兴 ,  张进 ,  胡先君 ,  陈韵 ,  江逸茗 ,  周锟 ,  张鹏 ,  陈博 ,  陈祥 ,  陈垚 ,  刘慧 ,  王涵 ,  蔡翰智

IPC: H04L9/40 ,  H04L41/044 ,  H04L41/0895 ,  H04L43/0876

Abstract: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法，应用于网络安全技术领域，该试验场平台包括：基础互联模块，用于基于试验场的基础设施，构建试验场的基础环境，并为所要搭建的目标场景提供互联功能；虚实网元模块，用于提供多类网元设备，网元设备包括搭建目标场景所需要的设备；场景构建模块，用于基于基础环境和互联功能，采用网元设备构建目标场景，并将目标场景中的网元设备和链路资源，映射为实际网元设备和实际链路资源；测试评估模块，用于基于实际网元设备和实际链路资源，对目标场景进行测试，得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。

公开(公告)号：CN114500001A

公开(公告)日：2022-05-13

申请号：CN202111671864.2

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张凯

IPC: H04L9/40 ,  H04L45/50 ,  H04L45/745

Abstract: 本发明公开了一种通信方法及装置，其中通信方法包括：网络设备接收SDN控制器下发的SID认证信息库；网络设备提取LSDB中的路由信息和设备标识；根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；提取LSDB中SID信息，将路由信息和SID信息的组合，在SID认证信息库中查找是否存在对应的路由和SID值，当找到对应的认证信息且设备标识是相同时，生成MPLS标签表；本发明通过在控制器侧实现SID认证信息的集中管理和下发，定义了认证信息所包含的字段和内容，并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。

公开(公告)号：CN114500001B

公开(公告)日：2024-04-26

申请号：CN202111671864.2

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张凯

IPC: H04L9/40 ,  H04L45/50 ,  H04L45/745

Abstract: 本发明公开了一种通信方法及装置，其中通信方法包括：网络设备接收SDN控制器下发的SID认证信息库；网络设备提取LSDB中的路由信息和设备标识；根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；提取LSDB中SID信息，将路由信息和SID信息的组合，在SID认证信息库中查找是否存在对应的路由和SID值，当找到对应的认证信息且设备标识是相同时，生成MPLS标签表；本发明通过在控制器侧实现SID认证信息的集中管理和下发，定义了认证信息所包含的字段和内容，并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。

公开(公告)号：CN114866473B

公开(公告)日：2024-04-12

申请号：CN202210178025.5

申请日：2022-02-25

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  张进 ,  江逸茗 ,  张鹏 ,  马海龙

IPC: H04L47/10 ,  H04L43/0894

Abstract: 本发明提供了一种转发装置及流量输出接口调节方法，本申请技术方案根据每个Eth‑Trunk接口或者每条ECMP路由创建一个索引表，此索引表中包含索引表类型Type、Key以及0~1023个Index值，且每个Index值对应分配一个成员接口,同时设备实时计算对应Eth‑Trunk或者ECMP成员接口的带宽使用率以及Index值对应的带宽使用率，一旦发现有成员接口出现超带宽的情况，就根据每个Index值对应的带宽使用率动态调整Index值对应的成员输出接口，将部分本来Index值对应超带宽的成员口调整为带宽充足的成员口。此方案可以有效的保护在HASH不均的情况下业务不受影响。解决网络中流量复杂导致HASH不均接口超带宽丢包问题，有效的保护业务不受影响。