公开(公告)号：CN113114563A

公开(公告)日：2021-07-13

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/703 ,  H04L12/707 ,  H04L12/721 ,  H04L12/725 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN111935004B

公开(公告)日：2020-12-22

申请号：CN202011083003.8

申请日：2020-10-12

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/741

Abstract: 本发明提供一种基于SR Policy的自动引流扩展方法、路由器及路由系统，头端设备接收到路由后，判断该路由的扩展团体属性是否进行了扩展，即，判断是否设置了备份保护标识，如果设置了备份保护标识，查看与该路由匹配的本地配置的SR Policy配置中是否存在备份有效候选路径，如果存在备份有效候选路径，则根据SR Policy配置生成路由转发表，如果没有设置备份保护标识，直接根据匹配的SR Policy配置生成路由转发表。本发明提升SR Policy架构下可靠性的精细化定制，对于部分高优先级业务路由使用SR Policy时可以通过设置备份保护标识，对可靠性提出要求。

公开(公告)号：CN110868329A

公开(公告)日：2020-03-06

申请号：CN202010020240.3

申请日：2020-01-09

Applicant: 网络通信与安全紫金山实验室

Inventor： 裴学武 ,  张进 ,  伊鹏 ,  马海龙 ,  江逸茗 ,  朱绪全 ,  钱永娜

IPC: H04L12/24

Abstract: 本发明公开一种路由器接口类型的动态调整方法和系统，其中调整方法在路由器的配置层执行以下步骤，建立包含多种接口类型的基础接口数据模型，为多种接口类型设置过滤条件；每个路由器根据各自需求，通过对基础接口数据模型中相应接口类型的过滤条件进行裁剪，使得路由器增加或删除对相应接口类型的支持。本发明将路由器对各种接口类型的限制放在配置管理层，无需控制面程序为支持的接口类型做特殊处理。

公开(公告)号：CN117319477A

公开(公告)日：2023-12-29

申请号：CN202311264807.1

申请日：2023-09-26

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 卢珊萍 ,  江逸茗 ,  张进 ,  唐寅

IPC: H04L67/141 ,  H04L67/133 ,  H04L67/56 ,  H04L61/25

Abstract: 本申请公开了一种拟态控制器与外部设备的通信方法、装置、设备及介质，涉及互联网通信技术领域，应用于拟态控制器中的协议代理，包括：通过目标侦听端口获取目标控制器执行体发送的连接建立请求并建立第一通信连接；确定与目标侦听端口匹配的目标外部设备端口地址；若为主控制器执行体，则与端口地址对应的目标外部设备建立第二通信连接，以实现主控制器执行体与目标外部设备通信；若为从控制器执行体且第二通信连接已建立，则通过第一通信连接和第二通信连接实现从控制器执行体与目标外部设备通信；若第二通信连接未建立，则继续等待第二通信连接建立完成。通过协议代理实现控制器执行体与外部设备的交互。

公开(公告)号：CN117061484A

公开(公告)日：2023-11-14

申请号：CN202311171200.9

申请日：2023-09-11

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L61/5014 ,  H04L9/40

Abstract: 本申请公开了DHCP处理方法、装置、攻击防御方法、设备及介质，DHCP处理方法能够针对外部设备发送的第一DHCP报文和拟态设备内部执行体发送的第二DHCP报文分别处理，处理时结合了拟态设备类型、报文类型、接口信息、缓存信息以及主、从执行体等信息，确保了拟态设备及外部设备之间的DHCP数据交互的有效性。动态主机配置协议攻击防御方法，基于上述DHCP处理方法，使得各个执行体输入相同的来自外部设备的DHCP报文，将各个执行体的输出结果进行拟态裁决，根据裁决结果发现并防御DHCP攻击。这样，基于DHCP协议的拟态设备能够在正常提供DHCP服务的情况下，有效预防DHCP攻击。

公开(公告)号：CN116743454A

公开(公告)日：2023-09-12

申请号：CN202310690290.6

申请日：2023-06-09

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张鹏

IPC: H04L9/40 ,  H04L69/22 ,  H04L69/163

Abstract: 本发明公开了一种PCEP协议代理方法、装置、设备及可读存储介质，应用于通信技术领域，包括：获取原始PCEP协议报文；根据报文属性对原始PCEP协议报文中的目标报文进行处理，得到目标存储PCEP协议报文；根据建链拆链信息对原始PCEP协议报文中的建链拆链报文进行处理，得到链路报文信息；将目标存储PCEP协议报文和所述链路报文信息复制分发到各异构执行体。和当前利用PCEP协议进行通信代理时，根据已知风险进行防范相比，本发明对原始PCEP协议报文进行处理，进而复制分发到各异构执行体上，由于异构执行体可以通过异构化的执行过程保证系统在遭受未知威胁攻击时，可以应对未知威胁，故提高了PCEP拟态代理的安全性。

公开(公告)号：CN116032610A

公开(公告)日：2023-04-28

申请号：CN202211704450.X

申请日：2022-12-29

Applicant: 网络通信与安全紫金山实验室 ,  中国人民解放军战略支援部队信息工程大学

Inventor： 朱绪全 ,  杨盾 ,  张思绮 ,  黄诗丰 ,  张进 ,  江逸茗 ,  马海龙

IPC: H04L9/40 ,  H04L45/74

Abstract: 本申请公开了一种路由攻击安全防护方法、装置、设备及存储介质，应用于路由节点，包括：对流入自身节点的用于对等体间路由信息交换的目标报文进行字段解析，得到所述目标报文的目标字段特征；将所述目标字段特征与规则库中基于可传递路由属性特性构造的攻击特征进行匹配，如果匹配成功，则判定所述目标报文为基于可传递路由属性特性构造的路由攻击报文；控制自身节点对所述目标报文进行丢包处理，使得自身节点不对所述目标字段特征进行存储及转移。本申请能够对路由攻击进行有效防护，从而保障网络安全性和稳定性。

公开(公告)号：CN115499253B

公开(公告)日：2023-04-14

申请号：CN202211442908.9

申请日：2022-11-18

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 伊鹏 ,  卜佑军 ,  马海龙 ,  邬江兴 ,  张进 ,  胡先君 ,  陈韵 ,  江逸茗 ,  周锟 ,  张鹏 ,  陈博 ,  陈祥 ,  陈垚 ,  刘慧 ,  王涵 ,  蔡翰智

IPC: H04L9/40 ,  H04L41/044 ,  H04L41/0895 ,  H04L43/0876

Abstract: 本发明提供一种用于测试防御技术的试验场平台和防御技术的测试方法，应用于网络安全技术领域，该试验场平台包括：基础互联模块，用于基于试验场的基础设施，构建试验场的基础环境，并为所要搭建的目标场景提供互联功能；虚实网元模块，用于提供多类网元设备，网元设备包括搭建目标场景所需要的设备；场景构建模块，用于基于基础环境和互联功能，采用网元设备构建目标场景，并将目标场景中的网元设备和链路资源，映射为实际网元设备和实际链路资源；测试评估模块，用于基于实际网元设备和实际链路资源，对目标场景进行测试，得到目标防御技术的评估结果。本发明可以实现为拟态防御技术的测试提供安全稳定环境的试验场平台的目的。

公开(公告)号：CN113114563B

公开(公告)日：2022-10-21

申请号：CN202110400806.X

申请日：2021-04-14

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/28 ,  H04L45/247 ,  H04L45/24 ,  H04L45/00 ,  H04L45/30 ,  H04L12/46

Abstract: 本发明公开基于分段路由策略的流量回切延时方法、设备、存储介质，该方法包括以下步骤：对定义的SRPolicy的候选路径模板进行扩展，候选路径模板中增加延时回切时间参数，并在BGPSRPolicy的隧道封装属性中新增定义Sub‑TLV，以支持SRPolicy的参数传递，通过BGPSRpolicy扩展传递给转发器，当检测机制通知业务流量可以回切时，检查SRPolicy当前生效候选路径的RetrieveTime值是否为0，当检测机制通知业务流量可以回切时，显示SRPolicy当前主备候选路径的生效情况，是主候选路径生效/备候选路径生效，并显示回切等待剩余时间。本发明通过对SRPolicy候选路径模板的扩展，以及相应的BGPSRPolicy中隧道封装属性的扩展，解决了链路/节点频繁发生故障又恢复时，业务流量频繁切换的问题。

公开(公告)号：CN114500001A

公开(公告)日：2022-05-13

申请号：CN202111671864.2

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  张凯

IPC: H04L9/40 ,  H04L45/50 ,  H04L45/745

Abstract: 本发明公开了一种通信方法及装置，其中通信方法包括：网络设备接收SDN控制器下发的SID认证信息库；网络设备提取LSDB中的路由信息和设备标识；根据路由信息在SID认证信息库中查找是否存在对应的路由，当找到对应的认证信息且设备标识是相同时，生成前缀路由表；提取LSDB中SID信息，将路由信息和SID信息的组合，在SID认证信息库中查找是否存在对应的路由和SID值，当找到对应的认证信息且设备标识是相同时，生成MPLS标签表；本发明通过在控制器侧实现SID认证信息的集中管理和下发，定义了认证信息所包含的字段和内容，并解释了网络设备运行的IGP路由协议如何根据认证信息来保证SID信息的合法性。