公开(公告)号：CN107147751A

公开(公告)日：2017-09-08

申请号：CN201710329266.4

申请日：2017-05-11

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 贺磊 ,  李军飞 ,  马海龙 ,  董永吉 ,  陈博 ,  周锟 ,  刘宗海

IPC: H04L29/12

CPC classification number: H04L61/1511 ,  H04L61/10

Abstract: 本申请实施例公开了一种域名解析方法及装置，其通过从多个域名解析服务器中选择一个或多个，作为域名解析目标服务器，将同一域名解析请求分别分发至每个域名解析目标服务器，通过这些域名解析目标服务器对同一待解析域名进行解析，得到多个域名解析响应，在从这多个域名解析响应中选择一个，作为目标响应。相对于现有技术中长期且固定采用一个域名解析服务器进行域名解析的情况，本申请实施例可以避免某一域名解析服务器出现安全问题时造成大量域名解析错误的情况，提高域名解析结果的正确率，提高访问安全性。

公开(公告)号：CN106656835A

公开(公告)日：2017-05-10

申请号：CN201611007781.2

申请日：2016-11-16

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  崔世建 ,  马海龙 ,  张校辉 ,  李玉峰 ,  王鹏 ,  张鹏

IPC: H04L12/775 ,  H04L12/751

CPC classification number: H04L45/583 ,  H04L45/026

Abstract: 本发明涉及一种多OSPF协议执行单元的并行单一呈现系统，包括中间代理单元和OSPF协议执行单元；所述中间代理单元是一个透明的逻辑实体，实质为主机中的一个进程，没有IP地址，仅仅负责处理所有进出OSPF协议执行单元的OSPF协议消息，每个OSPF协议执行单元独立完成OSPF协议消息处理、路由计算；一种利用上述的多OSPF协议执行单元的并行单一呈现系统的方法，包括如下步骤：步骤1：消息传输方向确定；步骤2：执行单元状态判定；步骤3：角色切换；步骤4：动态调度；步骤5：消息分类处理；步骤6：消息分发。本发明系统容错能力强、易于扩展、安全性高、支持热插拔。

公开(公告)号：CN106656834A

公开(公告)日：2017-05-10

申请号：CN201611007704.7

申请日：2016-11-16

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 马海龙 ,  罗伟 ,  白冰 ,  于婧 ,  陈祥 ,  袁征

IPC: H04L12/775 ,  H04L29/06

CPC classification number: H04L45/583 ,  H04L63/0281

Abstract: 本发明属于网络空间安全防护技术领域，具体的涉及一种IS‑IS路由协议异构功能等价体并行归一化装置及方法，装置内部有多个IS‑IS协议异构等价体并行运行，等价体的运行状态是不断动态随机的变化的，而对外部而言，始终只能看到一个设备在运行，无法发现内部的变化，在保证原有路由功能不变的条件下，充分利用动态性、多样性、随机性来隐藏等价体内部存在的各种漏洞和后门，在发现等价体异常后，可迅速进行切换使得原有攻击失去目标，使得攻击者很难建立起持续可靠的攻击链，极大的降低了系统被攻击成功的概率。通过进一步引入多模判决机制，对多执行体的输出结果进行多模判决输出，可有效防止路由篡改等攻击。通过上述手段，相较传统路由设备，本装置显著提高了在路由控制平面上的抗攻击能力。

公开(公告)号：CN106534063A

公开(公告)日：2017-03-22

申请号：CN201610853938.7

申请日：2016-09-27

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 邬江兴 ,  季新生 ,  贺磊 ,  伊鹏 ,  马海龙 ,  张铮 ,  斯雪明

IPC: H04L29/06

Abstract: 公开了一种封装异构功能等价体的装置、方法及设备，装置包括冗余控制器，输入代理器和输出代理器，其中，冗余控制器用于根据控制参数生成代理策略，输入代理器用于接收外部服务请求和代理策略，建立与异构功能等价体间的通信连接，和去协同所述异构功能等价体之间控制关系，并将外部服务请求分配给异构功能等价体；输出代理器用于接收代理策略和异构功能等价体的输出，根据归一策略选择目标服务响应并对外输出，以及去协同所述目标服务响应。本申请通过输入代理器和输出代理器封装多个异构功能等价体，使得装置支持适配、归一和去协同化，斩断攻击者通信链条，使攻击者难以嗅探和利用未知缺陷或后门，进而降低攻击者对信息系统攻击的成功率。

公开(公告)号：CN114430376B

公开(公告)日：2023-08-25

申请号：CN202111665410.4

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙

IPC: H04L41/0896 ,  H04L41/12 ,  H04L45/00 ,  H04L47/215 ,  H04L47/25

Abstract: 本发明公开了一种带宽限制方法及装置，应用于SR Policy场景下，带宽限制方法包括：PCE设备接收网络拓扑结构、LSP信息以及带宽需求；PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽；PCE设备将路径及端口的剩余带宽发送给Headend设备；Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速；本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽，Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速，有效的保护SR Policy业务不受影响。

公开(公告)号：CN106534063B

公开(公告)日：2019-11-12

申请号：CN201610853938.7

申请日：2016-09-27

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 邬江兴 ,  季新生 ,  贺磊 ,  伊鹏 ,  马海龙 ,  张铮 ,  斯雪明

IPC: H04L29/06

Abstract: 公开了一种封装异构功能等价体的装置、方法及设备，装置包括冗余控制器，输入代理器和输出代理器，其中，冗余控制器用于根据控制参数生成代理策略，输入代理器用于接收外部服务请求和代理策略，建立与异构功能等价体间的通信连接，和去协同所述异构功能等价体之间控制关系，并将外部服务请求分配给异构功能等价体；输出代理器用于接收代理策略和异构功能等价体的输出，根据归一策略选择目标服务响应并对外输出，以及去协同所述目标服务响应。本申请通过输入代理器和输出代理器封装多个异构功能等价体，使得装置支持适配、归一和去协同化，斩断攻击者通信链条，使攻击者难以嗅探和利用未知缺陷或后门，进而降低攻击者对信息系统攻击的成功率。

公开(公告)号：CN105306251B

公开(公告)日：2018-12-18

申请号：CN201510582300.X

申请日：2015-09-14

Applicant: 上海红神信息技术有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 赵靓 ,  张校辉 ,  马海龙 ,  张鹏 ,  江逸茗 ,  董永吉 ,  白冰 ,  李艳捷

IPC: H04L12/24

Abstract: 本发明开了一种拟态网络拓扑变换的方法，克服了现有技术中，网络结构动态变化有待解决的问题。该发明具有以下步骤：一次局部子网的等效变换步骤包括：A1.确定要进行拓扑等效变换的局部子网；A2.用网络描述方法对A1确定的局部子网进行抽象描述；A3.基于约束条件构建A2所描述局部子网的等效子网；A4.用新构建的子网替代原有子网。与现有技术相比，本发明拟态网络拓扑变换的方法具有以下优点：1．该方法通过多次对网络局部子网的拓扑等效变换达到整体网络拓扑变换的效果，由于拓扑变换的目标是网络中的子网，而非整个网络，因此大大减小了拓扑变换的网络规模，降低了网络拓扑变换的难度。

公开(公告)号：CN113949661B

公开(公告)日：2024-04-02

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN106656834B

公开(公告)日：2019-07-23

申请号：CN201611007704.7

申请日：2016-11-16

Applicant: 上海红阵信息科技有限公司 ,  国家数字交换系统工程技术研究中心

Inventor： 马海龙 ,  罗伟 ,  白冰 ,  于婧 ,  陈祥 ,  袁征

IPC: H04L12/775 ,  H04L29/06

Abstract: 本发明属于网络空间安全防护技术领域，具体的涉及一种IS‑IS路由协议异构功能等价体并行归一化装置及方法，装置内部有多个IS‑IS协议异构等价体并行运行，等价体的运行状态是不断动态随机的变化的，而对外部而言，始终只能看到一个设备在运行，无法发现内部的变化，在保证原有路由功能不变的条件下，充分利用动态性、多样性、随机性来隐藏等价体内部存在的各种漏洞和后门，在发现等价体异常后，可迅速进行切换使得原有攻击失去目标，使得攻击者很难建立起持续可靠的攻击链，极大的降低了系统被攻击成功的概率。通过进一步引入多模判决机制，对多执行体的输出结果进行多模判决输出，可有效防止路由篡改等攻击。通过上述手段，相较传统路由设备，本装置显著提高了在路由控制平面上的抗攻击能力。

公开(公告)号：CN110380961B

公开(公告)日：2021-05-07

申请号：CN201910603728.6

申请日：2019-07-05

Applicant: 中国人民解放军战略支援部队信息工程大学 ,  珠海高凌信息科技股份有限公司

Inventor： 马海龙 ,  伊鹏 ,  江逸茗 ,  冯志峰 ,  郭义伟 ,  张鹏 ,  陈祥 ,  韩伟涛 ,  鲍尚策

IPC: H04L12/707 ,  H04L12/771 ,  H04L12/801 ,  H04L29/06

Abstract: 本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法，该装置包括：传统路由器，作为路由计算主执行体；多个异构路由计算执行体，作为路由计算副执行体；数据分合路单元，用于对输入数据进行操作后分流转发，并将来自不同单元的数据进行合路输出；输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及中央控制单元，用于管理其他单元。本发明通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。