公开(公告)号：CN115981726A

公开(公告)日：2023-04-18

申请号：CN202211691428.6

申请日：2022-12-27

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  张鹏 ,  张士军 ,  徐伟海 ,  江逸茗 ,  马海龙 ,  伊鹏

IPC: G06F9/30

Abstract: 本发明提供一种基于FPGA的正则表达式匹配引擎、方法及电子设备，所述引擎包括：配置模块、字符匹配模块、状态转换模块和报告模块；配置模块，用于根据获取的正则表达式所对应的配置数据，对字符匹配模块和状态转换模块的配置进行更新；字符匹配模块，用于对输入字符进行匹配，确定匹配向量；状态转换模块，用于基于匹配向量，确定当前周期的活跃状态；报告模块，用于基于当前周期的活跃状态，在确定预设接受状态被激活的情况下，上报匹配信号。本发明提供的基于FPGA的正则表达式匹配引擎，通过支持快速重配置，实现自动机逻辑在多条正则表达式规则间的复用，提升了FPGA资源利用效率，满足正则表达式规则集较大时的匹配需求。

公开(公告)号：CN113542123B

公开(公告)日：2022-11-29

申请号：CN202110603972.X

申请日：2021-05-31

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  卢珊萍 ,  夏慧莉

IPC: H04L45/302 ,  H04L45/30 ,  H04L45/12 ,  H04L43/08

Abstract: 本发明公开了一种转发路径的确定方法及装置，属于通信技术领域，其中，确定方法包括：SR Policy设定网络服务质量参数；SR Policy生成至少一条候选路径；对所有的候选路径进行网络质量检测；将所述网络质量检测的结果与设定的网络服务质量参数进行对比从而确定最优路径；该确定方法在不改变SR Policy架构体系的情况下，通过对SR Policy扩展增加服务质量参数，提升了分段路由场景下转发器对业务需求定制化的能力，解决了当前分段路由PCE方式实现存在的瓶颈，增强了转发器对网络质量的检测和感知能力，减少了对PCE的依赖。

公开(公告)号：CN111431946B

公开(公告)日：2020-09-04

申请号：CN202010523054.1

申请日：2020-06-10

Applicant: 网络通信与安全紫金山实验室

Inventor： 夏慧莉 ,  张进 ,  江逸茗 ,  马海龙 ,  伊鹏 ,  朱绪全

IPC: H04L29/06

Abstract: 本发明公开一种拟态路由器执行体调度方法和拟态路由器，属于网络通信技术领域。针对现有技术中存在的基于执行体可信度的调度策略只考虑单个执行体的可信度，并没有考虑整个系统的可信度和执行体之间相关性的问题，本发明在现有的调度策略方法的基础上，增加执行体群体的可靠性以及执行体间的相关性两个决定因素，先获取执行体的状态与数据信息，计算各个执行体的可信度，根据执行体的可信度计算所有可信度值大于临界值的执行体随机组合的执行体群体可信度，同时计算执行体间的相关性，综合上述的计算方法生成调度策略方法，最终决策执行体的上下线情况，提高系统监测异常信息的准确度，提高系统的安全性。

公开(公告)号：CN111541617A

公开(公告)日：2020-08-14

申请号：CN202010305885.1

申请日：2020-04-17

Applicant: 网络通信与安全紫金山实验室

Inventor： 张进 ,  杨盾 ,  裴学武 ,  江逸茗 ,  卜佑军 ,  马海龙 ,  伊鹏

IPC: H04L12/743 ,  H04L12/747 ,  H04L12/741

Abstract: 本发明实施例公开了一种用于高速大规模并发数据流的数据流表处理方法及装置，涉及网络通信技术领域，能够避免在高速网络中由于数据流表操作时间的不确定，降低报文处理时延，以及缓减丢包的问题。本发明包括：根据待插入数据流的数据流标识，获取指纹表中的候选桶的地址和数据流指纹；检测指纹表的候选桶是否存在非空单元，若存在非空单元，则选择存在空闲单元的一个候选桶作为目标桶；从目标桶的底部单元向顶部单元依次查询空单元，当查询到目标桶中的空单元时，将待插入数据流的数据流指纹写入查询到的空单元，并将待插入数据流的流记录写入与候选桶对应的记录桶。本发明适用于高速大规模并发数据流的场景。

公开(公告)号：CN114430376B

公开(公告)日：2023-08-25

申请号：CN202111665410.4

申请日：2021-12-31

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 李宗政 ,  唐寅 ,  江逸茗 ,  张进 ,  马海龙

IPC: H04L41/0896 ,  H04L41/12 ,  H04L45/00 ,  H04L47/215 ,  H04L47/25

Abstract: 本发明公开了一种带宽限制方法及装置，应用于SR Policy场景下，带宽限制方法包括：PCE设备接收网络拓扑结构、LSP信息以及带宽需求；PCE设备根据LSP信息及带宽需求计算路径并计算路径上的端口的剩余带宽；PCE设备将路径及端口的剩余带宽发送给Headend设备；Headend设备根据端口的剩余带宽在对应端口上将除了走SR Policy路径的流量限速；本发明通过PCE设备根据每条SR Policy路径的带宽需求计算出SR Policy路径对应端口的剩余带宽，Headend设备根据报文中携带的端口剩余带宽值对特定端口进行额外流量的限速，有效的保护SR Policy业务不受影响。

公开(公告)号：CN111935004A

公开(公告)日：2020-11-13

申请号：CN202011083003.8

申请日：2020-10-12

Applicant: 网络通信与安全紫金山实验室

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L12/707 ,  H04L12/721 ,  H04L12/741

Abstract: 本发明提供一种基于SR Policy的自动引流扩展方法、路由器及路由系统，头端设备接收到路由后，判断该路由的扩展团体属性是否进行了扩展，即，判断是否设置了备份保护标识，如果设置了备份保护标识，查看与该路由匹配的本地配置的SR Policy配置中是否存在备份有效候选路径，如果存在备份有效候选路径，则根据SR Policy配置生成路由转发表，如果没有设置备份保护标识，直接根据匹配的SR Policy配置生成路由转发表。本发明提升SR Policy架构下可靠性的精细化定制，对于部分高优先级业务路由使用SR Policy时可以通过设置备份保护标识，对可靠性提出要求。

公开(公告)号：CN115941769A

公开(公告)日：2023-04-07

申请号：CN202211537253.3

申请日：2022-12-02

Applicant: 网络通信与安全紫金山实验室

Inventor： 包婉宁 ,  朱绪全 ,  张思绮 ,  张进 ,  丁建 ,  江逸茗

IPC: H04L67/142 ,  H04L67/1095

Abstract: 本申请公开了一种标签同步方法、系统、设备及计算机可读存储介质，应用于目标拟态设备，获取与目标拟态设备连接的邻居设备发送的LDP Hello消息并保存；分发LDP Hello消息至自身所有在线的目标执行体，以使目标执行体基于LDP Hello消息发现和维持邻居设备；获取TCP链接状态管理报文，并基于TCP链接状态管理报文管理目标执行体与邻居设备间的TCP链接；获取LDP会话管理消息，并基于LDP会话管理消息管理目标执行体与邻居设备间的LDP会话；获取邻居地址管理消息，并基于邻居地址管理消息管理目标执行体中的邻居地址信息；获取标签管理信息，并基于标签管理信息同步目标执行体与邻居设备间的标签。

公开(公告)号：CN115499323B

公开(公告)日：2023-03-24

申请号：CN202211431107.2

申请日：2022-11-16

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 卜佑军 ,  马海龙 ,  伊鹏 ,  邬江兴 ,  张进 ,  刘慧 ,  余蕾蕾 ,  张鹏 ,  陈博 ,  陈祥 ,  江逸茗 ,  周锟 ,  胡先君 ,  陈韵 ,  陈垚 ,  蔡翰智 ,  王涵

IPC: H04L41/14 ,  H04L9/40

Abstract: 本发明提供一种目标虚拟场景的构建方法、装置和电子设备，涉及虚拟场景构建技术领域，解决了现有技术中无法灵活地构建虚拟场景的问题。该方法包括：在构建目标虚拟场景时，可以先接收输入的场景构建指示，场景构建指示中包括待构建的目标虚拟场景所需的目标设备的设备类型和用于指示目标设备的设备选型的第一字段，目标设备的设备选型包括拟态设备选型、非拟态设备选型或者自定义拟态设备选型；并根据目标设备的设备类型和设备选型，从预设的场景构建库中确定目标设备；再基于目标设备构建目标虚拟场景，这样可以根据用户的构建需求，灵活地构建不同的虚拟场景，从而有效地提高了虚拟场景构建的灵活度。

公开(公告)号：CN113949661A

公开(公告)日：2022-01-18

申请号：CN202111140372.0

申请日：2021-09-27

Applicant: 网络通信与安全紫金山实验室 ,  国家数字交换系统工程技术研究中心

Inventor： 唐寅 ,  江逸茗 ,  张进 ,  马海龙 ,  韩伟涛 ,  谢记超 ,  张鹏

IPC: H04L45/50 ,  H04L45/745 ,  H04L45/30 ,  H04L9/40

Abstract: 本发明公开了一种数据转发方法及装置，数据转发方法包括：转发器接收转发路径、转发路径的标签栈信息以及转发路径所经过的节点的MPLS安全策略；根据所述MPLS安全策略生成MPLS安全策略表；若所述数据包为MPLS数据包则提取所述数据包中的MPLS标签栈信息，将所述MPLS标签栈信息与所述MPLS安全策略表匹配，匹配通过则按照所述转发路径转发所述数据包；本发明的转发器在接收MPLS数据包时进行安全策略检查，提取完整的MPLS标签栈信息，与MPLS安全策略匹配进行匹配若匹配通过则进行转发，否则数据包被认为不安全的而丢弃，这样能够解决SR‑MPLS基于源路由特性的漏洞，保证了所转发的数据包都是确定和可信的。

公开(公告)号：CN111431946A

公开(公告)日：2020-07-17

申请号：CN202010523054.1

申请日：2020-06-10

Applicant: 网络通信与安全紫金山实验室

Inventor： 夏慧莉 ,  张进 ,  江逸茗 ,  马海龙 ,  伊鹏 ,  朱绪全

IPC: H04L29/06

Abstract: 本发明公开一种拟态路由器执行体调度方法和拟态路由器，属于网络通信技术领域。针对现有技术中存在的基于执行体可信度的调度策略只考虑单个执行体的可信度，并没有考虑整个系统的可信度和执行体之间相关性的问题，本发明在现有的调度策略方法的基础上，增加执行体群体的可靠性以及执行体间的相关性两个决定因素，先获取执行体的状态与数据信息，计算各个执行体的可信度，根据执行体的可信度计算所有可信度值大于临界值的执行体随机组合的执行体群体可信度，同时计算执行体间的相关性，综合上述的计算方法生成调度策略方法，最终决策执行体的上下线情况，提高系统监测异常信息的准确度，提高系统的安全性。