公开(公告)号：CN105072101B

公开(公告)日：2018-11-30

申请号：CN201510455076.8

申请日：2015-07-29

申请人： 中国科学院信息工程研究所

发明人： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC分类号： H04L29/06

摘要： 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN104378363B

公开(公告)日：2017-09-15

申请号：CN201410599147.7

申请日：2014-10-30

申请人： 中国科学院信息工程研究所

发明人： 马多贺 ,  徐震 ,  黄亮 ,  陈凯 ,  吕双双 ,  杨倩 ,  姜帆

IPC分类号： H04L29/06 ,  H04L29/12 ,  H04L9/08

摘要： 本发明涉及一种动态应用地址转换方法及其网关系统，实现一种新的Web应用攻击防御方法；通过动态转换URL地址，转换应用系统的攻击面，隐藏Web应用的脆弱性，增加攻击者的攻击难度，大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁，提高了Web应用系统的安全性。

公开(公告)号：CN105207950A

公开(公告)日：2015-12-30

申请号：CN201510590699.6

申请日：2015-09-16

申请人： 中国科学院信息工程研究所

发明人： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L12/813 ,  H04L12/937 ,  H04L29/06

摘要： 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN105207950B

公开(公告)日：2019-01-25

申请号：CN201510590699.6

申请日：2015-09-16

申请人： 中国科学院信息工程研究所

发明人： 宋晨 ,  杨倩 ,  王利明 ,  徐震 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L12/813 ,  H04L12/937 ,  H04L29/06

摘要： 本发明公开了一种基于SDN技术的通信数据保护方法。本方法为：1)控制器生成随机化标签和交换机标签；2)控制器根据定义的分割元组生成随机化策略与还原策略，并将其以流表的方式发送到交换机；3)交换机检测数据包是否带有随机化标签，如果是则进行步骤4)；否则进入源地址判断过程：判断该数据包源地址是否在传输列表中，如果在则执行随机化策略流表，新生成的数据包并将其转发给下一跳交换机；4)判断该数据包带有的随机化标签是否匹配随机化标签，如果匹配则判断该数据包的交换机标签是否正确，如果正确则根据网络拓扑判断其是否连接目的主机，如果是则执行还原策略流表，然后将还原数据发送给目的主机。本发明大大提高了通信安全性。

公开(公告)号：CN105553689B

公开(公告)日：2018-12-28

申请号：CN201510882758.7

申请日：2015-12-03

申请人： 中国科学院信息工程研究所

发明人： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC分类号： H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

摘要： 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105391690B

公开(公告)日：2018-11-13

申请号：CN201510679633.4

申请日：2015-10-19

申请人： 中国科学院信息工程研究所

发明人： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L29/06

摘要： 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。

公开(公告)号：CN105553689A

公开(公告)日：2016-05-04

申请号：CN201510882758.7

申请日：2015-12-03

申请人： 中国科学院信息工程研究所

发明人： 王利明 ,  姜帆 ,  荀浩 ,  马多贺 ,  徐震

IPC分类号： H04L12/24 ,  H04L12/801 ,  H04L29/08 ,  H04L29/12

CPC分类号： H04L41/14 ,  H04L41/0631 ,  H04L47/10 ,  H04L61/6018 ,  H04L67/2828

摘要： 本发明公开了一种openflow消息中流规则等价快速判定方法。本方法为：SDN网络中的代理接收到来自一Openflow消息后，将该消息与已收到会话消息中的流规则进行比较；如果均不一致，则为该消息创建一新会话，并设一随机初始种子值；如果与一已收到会话消息中包含的规则一致，则判定该消息中流规则与该会话消息中流规则等价；其中，比较的方法为：首先将该消息中流规则的匹配项和动作项每32bit划分一个单元，然后将所有单元和一已收到会话i的随机初始种子值进行计算，结果记为a，该会话i的Openflow消息流规则划分后的所有单元和该会话i的随机初始种子值的计算结果记为b，如果a等于b，则判定两条流规则等价。

公开(公告)号：CN105072101A

公开(公告)日：2015-11-18

申请号：CN201510455076.8

申请日：2015-07-29

申请人： 中国科学院信息工程研究所

发明人： 黄亮 ,  姜帆 ,  荀浩 ,  马多贺 ,  王利明 ,  徐震

IPC分类号： H04L29/06

CPC分类号： H04L63/0281 ,  H04L63/1425

摘要： 本发明涉及一种基于入侵容忍的SDN控制器端系统和安全通信方法。该系统包括SDN控制器群组、交换机和至少一个前置代理；所述前置代理位于SDN控制器群组和交换机之间，负责将交换机发出的Openflow请求消息发往SDN控制器群组中的多个SDN控制器，并提取各个SDN控制器发出的Openflow应答消息中的流规则，对提取的流规则进行比对，如果比对结果满足预设的入侵容忍策略，则向交换机转发正确的Openflow应答消息。本发明能够提高SDN控制器的可用性和可靠性，为SDN网络提供安全保证。

公开(公告)号：CN104378363A

公开(公告)日：2015-02-25

申请号：CN201410599147.7

申请日：2014-10-30

申请人： 中国科学院信息工程研究所

发明人： 马多贺 ,  徐震 ,  黄亮 ,  陈凯 ,  吕双双 ,  杨倩 ,  姜帆

IPC分类号： H04L29/06 ,  H04L29/12 ,  H04L9/08

CPC分类号： H04L61/25 ,  H04L63/02 ,  H04L63/1433

摘要： 本发明涉及一种动态应用地址转换方法及其网关系统，实现一种新的Web应用攻击防御方法；通过动态转换URL地址，转换应用系统的攻击面，隐藏Web应用的脆弱性，增加攻击者的攻击难度，大大提高攻击者利用URL对Web网站进行漏洞扫描、攻击注入的难度。本发明采用的DAAT方法能够动态能够有效降低攻击者对Web应用造成的安全威胁，提高了Web应用系统的安全性。

公开(公告)号：CN105391690A

公开(公告)日：2016-03-09

申请号：CN201510679633.4

申请日：2015-10-19

申请人： 中国科学院信息工程研究所

发明人： 王利明 ,  徐震 ,  宋晨 ,  马多贺 ,  杨倩 ,  姜帆 ,  黎海燕 ,  荀浩

IPC分类号： H04L29/06

CPC分类号： H04L63/1475 ,  H04L63/30

摘要： 本发明提供一种基于POF的网络窃听防御方法，包括以下步骤：在控制器收到传输路径请求时，计算网络架构中存在的所有传输备选路径；从中随机选取一条，并将该路径的传输方案下发至底层交换机；每隔指定时间，随机切换另一新路径，并以流表形式将该新路径的传输方案下发，并延迟一段时间后删除前次传输方案；每隔一指定时间，切换新的数据包承载协议类型，该新的协议类型使用带外安全的方式在网络数据收送端、接发端和控制器同步，控制器识别承载协议类型；底层交换机收到以切换后的协议类型封装的数据包后，将其上传，控制器根据切换后的协议类型下发对应的流表。还提供实现上述方法的系统。可适用任何互联网通信协议，可与现有加密技术兼容。