前端专利方向有哪些

服务器行业主要上市企业：浪潮信息(000977)、联想集团(00992HK)、神州数码(000034)、广电五舟(831619)、北京太速(873283)等。

本文核心数据：营业收入、营业利润、资产负债、专利数量

——发展历程对比：浪潮成立时间早

新华三集团作为数字化解决方案领导者，致力于成为客户业务创新、数字化转型值得信赖的合作伙伴。作为紫光集团旗下的核心企业，新华三通过深度布局“芯-云-网-边-端”全产业链，不断提升数字化和智能化赋能水平。新华三拥有芯片、计算、存储、网络、5G、安全、终端等全方位的数字化基础设施整体能力，提供云计算、大数据、人工智能、工业互联网、信息安全、智能联接、边缘计算等在内的一站式数字化解决方案，以及端到端的技术服务。同时，新华三也是HPE®服务器、存储和技术服务的中国独家提供商。

浪潮集团是中国领先的云计算、大数据服务商，拥有浪潮信息、浪潮软件、浪潮国际三家上市公司。主要业务涉及云计算、大数据、工业互联网、新一代通信及若干应用场景。已为全球一百二十多个国家和地区提供IT产品和服务。

——公司规模对比：浪潮信息公司整体规模更大，资产负债率更低

从两家公司的整体规模来看，浪潮信息的总资产及净资产水平都比新华三要高，且浪潮信息资产负债比较新华三低，反映浪潮信息举债经营规模处于相对合理范围，新华三举债经营规模相对较高，风险相对较大。

——经营情况对比：2021年浪潮信息营业收入略胜一筹

从两家公司的营业收入来看，2017-2021年两家公司的营业收入均呈上升趋势，浪潮信息的营业收入整体高于新华三。2021年浪潮信息营业收入为亿67048亿元，同比增长64%;新华三营业收入为44351亿元，同比增长205%。

——营业利润对比：新华三营业利润整体更高

从两家公司营业利润对比来看，2017-2021年新华三营业利润整体高于浪潮信息。2021年，浪潮信息营业利润为2153亿元，同比增长2352%;新华三营业利润为3663亿元，同比增长1755%。整体来看，浪潮信息营业收入高于新华三，但营业利润低于新华三，主要原因新华三产品毛利相对较高，公司主要以服务器销售及应用解决方案销售为主;而浪潮信息主要以服务器产品销售为主。

——服务器产品布局：浪潮信息处理器以英特尔为主

从两家公司的服务器产品类型对比来看，浪潮信息的服务器产品处理器及其他部件主要以英特尔核心产品为主，新华三使用的处理器包括英特尔、AMD，以及国产化的澜起津逮和鲲鹏处理器。两家公司均有边缘计算服务器产品，边缘计算服务器的处理器以英特尔为主。

——服务器应用案例对比：新华三更加注重AI服务器业务

从两家公司服务器应用案例对比来看，浪潮信息更加注重以高算力高存储能力的服务器支持企业进行大量业务，而新华三公司则更加注重AI服务器在云计算、人工智能方面的业务，为应用企业提供智能服务。此外，两家公司都有超融合一体机业务。

——服务器研发情况对比：浪潮信息服务器在研项目数量更多

从两家公司服务器研发项目来看，浪潮信息在研服务器项目数量比新华三更多在研项目覆盖通用服务器、高端服务器，以及AI服务器，新华三主要是服务器产品更新迭代。

——浪潮信息专利数量对比：浪潮信息专利数量是新华三专利数量3倍以上

从专利技术数量来看，根据“智慧芽”搜索的记录，浪潮信息与服务器相关的专利技术多达13000项，新华三服务器相关的专利数量为3740项，浪潮信息的专利数量是新华三的专利数量3倍以上。

——浪潮信息VS新华三对比总结

整体看来，尽管两家企业在行业内处于领先地位，当前综合公司规模、业务收入、研发项目和专利技术的层面来看浪潮信息更胜一筹，但从产品布局及应用案例上看，新华三产品相对更丰富，同时新华三营业利润较高且保持稳定增长，未来企业发展应当会稳步前进。

更多本行业研究分析详见前瞻产业研究院《中国服务器行业市场前瞻与投资战略规划分析报告》。

dns攻击主要有以下这几种方式：
DNS缓存感染
攻击者使用DNS请求，将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。
DNS信息劫持
TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行访问，这样他就被欺骗到了别处而无妨连接想要访问的那个域名。
DNS重定向
攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。
ARP欺骗
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。
ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，以使访问导向错误指向的情况。
本机劫持
本机的计算机系统被木马或流氓软件感染后，也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。
防范Arp攻击、采用UDP随机端口、建立静态IP映射、运行最新版本的BIND、限制查询、利用防火墙进行保护、利用交叉检验、使用TSIG机制、利用DNSSEC机制。
下面分别做出说明。
防范Arp攻击
主要是针对局域网的DNS ID欺骗攻击。如上所述，DNS ID欺骗是基于Arp欺骗的，防范了Arp欺骗攻击，DNS ID欺骗攻击是无法成功实施的。
采用UDP随机端口
不再使用默认的53端口查询，而是在UDP端口范围内随机选择，可使对ID与端口组合的猜解难度增加6万倍，从而降低使DNS缓存攻击的成功率。
建立静态IP映射
主要是指DNS服务器对少部分重要网站或经常访问的网站做静态映射表，使对这些网站的访问不再需要经过缓存或者向上一级的迭代查询，从而在机制上杜绝DNS欺骗攻击。
运行最新版本的BIND
使用最新版本的BIND，可以防止已知的针对DNS软件的攻击(如DoS攻击、缓冲区溢出漏洞攻击等)。应密切关注BIND安全公告，及时打好补丁。
限制查询
在BIND8和BIND9之后，BIND的allow-query子句允许管理员对到来的查询请求使用基于IP地址的控制策略，访问控制列表可以对特定的区甚至是对该域名服务器受到的任何查询请求使用限制策略。如限制所有查询、限制特定区的查询、防止未授权的区的查询、以最少权限运行BIND等。
利用防火墙进行保护
这种保护方式可以使受保护的DNS服务器不致遭受分布式拒绝服务攻击、软件漏洞攻击。原理是在DNS服务器主机上建立一个伪DNS服务器共外部查询，而在内部系统上建立一个真实的DNS服务器专供内部使用。配置用户的内部DNS客户机，用于对内部服务器的所有查询，当内部主机访问某个网站时，仅当内部DNS服务器上没有缓存记录时，内部DNS才将查询请求发送到外部DNS服务器上，以保护内部服务器免受攻击。
利用交叉检验
这种保护方式可以从一定程度上防范DNS欺骗攻击。原理是反向查询已得到的IP地址对应的主机名，用该主机名查询DNS服务器对应于该主机名的IP地址，如果一致，则请求合法，否则非法。
使用TSIG机制
TSIF(事物签名)机制(RFC2845)通过使用共享密钥(Secret Key)及单向散列函数(One-way hash function)提供信息的验证以及数据的完整性。当配置了TSIG后，DNS消息会增加一个TSIF记录选项，该选项对DNS消息进行签名，为消息发送者和接受者提供共享密钥，从而保证了传输数据不被窃取和篡改。TSIP机制的部署步骤不做赘述，相关RFC文档有详细说明。
利用DNSSEC机制
为保证客户机发送的解析请求的完整性，保护DNS服务器及其中的信息，防止入侵者冒充合法用户向他人提供虚假DNS信息，IETF(网络工程任务组)提出了DNS安全扩展(DNSSEC)的安全防范思想。
1、 DNSSEC工作原理
为提高DNS访问数据包的安全性，DNSSEC在兼容现有协议的基础上引入加密和认证体系，在每个区域都有一对区域级的密钥对，密钥对中的公钥对域名记录信息进行数字签名，从而使支持DNSSEC的接收者可以校验应答信息的可靠性。
BIND90支持DNS的安全扩展功能。DNSSEC引入两个全新的资源记录类型：KEY和SIG，允许客户端和域名服务器对任何DNS数据来源进行密钥验证。DNSSEC主要依靠公钥技术对于包含在DNS中的信息创建密钥签名，密钥签名通过计算出一个密钥Hash数来提供DNS中数据的完整性，并将该Hash数封装进行保护。私/公钥对中的私钥用来封装Hash数，然后可以用公钥把Hash数翻译出来。如果这个翻译出的Hash值匹配接收者计算出来的Hash数，那么表明数据是完整的、没有被篡改的。
2、 DNSSEC的实施
1)、创建一组密钥对
#cd/vat/named
#dnssec -keygen -a RSA -b 512 -n ZONE qfnueduKqfnuedu+002+27782
2)、生成密钥记录
#dnssec –makekeyset -t 172802 I
3)、发送密钥文件到上一级域管理员，以供签名使用
#dnssec -signkey keyset -qfnuedu Kedu+002+65396private
然后将返回qfnuedusignedkey文件
4)、在进行区域签名之前，必须先将密钥记录添加到区域数据文件之中
#cat“$include Kqfnnedu+002+27782key”>>dbqfnuedu
5)、对区域进行签名
#dnssec –signzone -O qfnuedu dbqfnuedu
6)、修改namedconf里的zone语句，系统将会载新的区域数据文件
3、 DNSSEC的不足
一方面，DNSSEC安全性虽然有所提高，但是标记和校验必然产生额外的开销，从而影响网络和服务器的性能，签名的数据量很大，家中了域名服务器对骨干网以及非骨干网连接的负担，同时简明校验也对CPU造成了很大的负担，同时签名和密钥也占用了占用的磁盘空间以及RAM容量。
另一方面，安全性能方面的考虑。绝大多数的DNS软件是美国出口的，它们为了通过美国政府的安全规定而被迫降低加密算法和过程的安全强度。
第三方面，RSA算法的使用。RSA拥有美国专利，与某些厂商和组织倡导的“免费/开放”目标有所冲突，但是同时又别无选择。在成本方面也是部署中的一个问题。

---