CN103210609B - 包括识别不期望数据的保护电路的用于在数据网络中进行通信的电子设备 - Google Patents
包括识别不期望数据的保护电路的用于在数据网络中进行通信的电子设备 Download PDFInfo
- Publication number
- CN103210609B CN103210609B CN201080070176.4A CN201080070176A CN103210609B CN 103210609 B CN103210609 B CN 103210609B CN 201080070176 A CN201080070176 A CN 201080070176A CN 103210609 B CN103210609 B CN 103210609B
- Authority
- CN
- China
- Prior art keywords
- data
- undesirably
- electronic equipment
- layer
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于在数据网络中进行通信的电子设备包括适于执行网络通信的通信电路,该通信包括控制多个网络层,所述层包括物理层(31)、链路层(32)以及至少一个更高等级的层(33,34,35,36,37),该通信电路包括用于识别不期望数据的保护电路。该电子设备的特征在于,该保护电路被配置为在从该电子设备进行数据传输的期间监视数据,并识别不期望数据,并且该通信电路适于避免该保护电路所识别的不期望数据的传输。以这种方式,网络相对例如拒绝服务攻击期间的过多流量而得到保护。
Description
技术领域
本发明涉及用于对计算机网络特别是以太网中的流量量进行限制的系统。本发明涉及一种在工业环境中使用的电子设备,尤其是用于连接至计算机网络并利用其进行通信的电子设备。特别地,其涉及一种在用于监视和控制的系统中使用或者与之相连接的电子设备,该系统诸如用于发电、电力传输或分布的系统或者用于工业处理控制系统的系统。
背景技术
现代控制系统中的许多电子设备被配备以一些类型的内建智能。这样的设备经常是嵌入式设备的一部分或者被称之为嵌入式设备。用于工业处理控制的控制系统以及用于电力发电、分布和传输中的控制的系统经常经由一个或多个数据通信网络连接至该控制系统所监视和控制的工业设备,上述数据通信网络使用诸如基于以太网的协议之类的工业标准。这出于监视和控制的目的而具有标准化且简化的工业数据通信。可以使用工业以太网标准而连接至控制系统的电子设备包括于许多和各种设备之中,例如诸如传感器或换能器的仪器,诸如阀门、电机、泵、开关之类的致动器,以及诸如发电机、变压器、断路器、传动系之类的主要设备上的控制,等等。
由于处理资源有限,所以受到资源约束的电子设备或嵌入式设备能够轻易地被有意(或无意)的过多网络流量所淹没。在这样的情况下,需要进行分组过滤以便限制流量数量。合理流量需要通过而同时必须要丢弃不期望流量。由于受到资源约束的电子设备的有限处理资源,所以实施针对过多流量进行保护的软件解决方案是具有挑战性的。
有意产生过多流量的示例是所谓的拒绝服务攻击,其中攻击方试图产生超出网络容量或者设备在能够按照规定进行通信的同时处理流量的能力的流量。例如,通过在由网络中的所有或许多电子设备进行响应时导致过多流量的广播。已知的用于网络流量过滤的方法是使用用于提供过滤的软件,或者外部防火墙,或者它们的组合。在这样的防火墙或软件过滤器中,在由过滤系统接收到分组之后进行网络流量的过滤。
US2006/0168273A1,文献1(D1),讨论了针对计算机网络上的敌对或其它不期望数据的保护,并且描述了用于从数据通信链路中去除数据帧或数据分组的方法和装置。D1的背景技术部分参考图2a和2b讨论了两种针对不期望数据进行保护的系统。D1使用OSI模型作为描述通信链路的架构,其中传送节点以帧或分组的形式向接收帧或分组的接收节点发送数据分段。这些分组随后在接收节点中逐层上移直至它们到达其目的地。在背景技术中的两个数据网络示例中,每个数据分段经由部署在节点之间的通信链路从一个通信节点传送至另一个通信节点,并且每个所传送的数据分段到达接收节点并被该接收节点进行处理。图2a图示了一种系统,其中利用防火墙(D1中的26,还参见§17)从通信链路(22)中去除数据帧或分组。防火墙(26)在传送器(25)和接收器(27)之间以中间节点的形式被插入在数据链路(22)中。防火墙(26)对数据分段(28)进行处理并且删除不期望的数据分段(28)。图2b图示了另一系统(参见§21),其中防火墙(25)实施OSI的七层机制以对通过通信链路(22)从传送器(21)所发送的数据进行缓冲。防火墙(25)对经由通信链路(22)所接收的数据进行处理,删除不期望数据,并且仅将所允许的数据通过另一通信链路(26)重新发送至接收节点(24)。在D1中,考虑到了这些系统的一些缺陷;采用多个OSI层的中间节点形式的防火墙(图2a中的26)必须被插入在第一系统(图2a)中的链路中,而防火墙(图2b中的25)对数据进行缓冲并且必须要采用附加的链路(图2b中的26)。
D1的发明通过针对通过数据通信链路所传送的不期望数据分段给出非入侵式保护而避免了这些缺陷。D1描述了一种用于从数据通信链路中去除数据帧或数据分组的方法和装置(参见§26-27),其中检测器检测不期望数据分段以及与检测器相关联的无效器使得不期望数据分段无效。该检测和无效并不与通过通信链路的数据流相干扰。D1的系统利用通信系统中已经存在的控制机制,例如OSI模型的层2中的错误控制机制(§60),以使得不期望数据分段被接收器所删除。通常,无效包括插入可检测的错误(参见§29)。该方法和装置基本上利用通信系统中所存在的错误检测机制,该错误检测机制丢弃错误的分组(§62)。可以通过在两个节点之间向通信链路添加包括检测器和无效器的装置来提供D1的机制,该装置通过向帧添加错误而使得不期望分组无效(图4,和§68)。该错误可以在不延迟流量的情况下进行添加。接收节点随后将在其正常操作中拒绝错误分组(§69)。这提供了简化的防火墙,并且提供了不延迟正常流量的过滤。
参考图3(参见§63-65)更为详细地对D1中的方法和装置的实施例进行说明,其图示了在接收器节点根据七层的OSI模型删除或丢弃不期望的帧/分组。所允许的数据分段(31)连同包含错误或杂质(32)的不期望数据分段一起穿过通信链路(35)。在接收器节点(36),根据OSI 7层模型实施方式,错误数据分段在其被接收器节点中所实施的通信层测试时被丢弃。所允许的或无错误的数据分段被接收器节点上的通信层送至上层并且由接收器节点处的应用有效处理。
D1的图4是用于针对不期望数据分段进行非入侵式保护的装置的框图。装置(40)包括检测器(41)。检测器(41)被用于检测通过通信链路(45)进行流动的数据帧。检测器(41)与无效器(42)相关联,该无效器(42)被配置为在数据分段被认为不期望时使得所检测的数据分段无效。该装置进一步包括与检测器(41)和无效器(42)相关联的决策逻辑模块(43),其被配置用于决定所检测的数据分段是否是不期望数据分段。
D1提供了一种针对敌对或任意其它不期望帧或分组进行保护并且通过使其无效因此指定其从通信链中去除而防止其到达目的地应用的装置。该装置对于通信链路是非入侵式的。该装置可以被定位或部署在连接两个通信节点的物理通信链路上的任意地方。不同于之前的防火墙,该装置通过使得分组/帧无效而对分组/帧进行标记,而并不终止、干扰或阻止分组/帧流向接收方。
因此,D1说明了针对不期望数据分段的非入侵式保护,其中传送器节点将各种帧或分组发送至目的地接收器。物理链路将这些帧或分组从传送器送至接收器。根据D1的保护装置被部署在链路中并且其装置允许所有分组/帧继续流向其各自接收方而并不拦截或无效不期望分组/帧。被保护装置所无效的不期望分组/帧被接收方节点处规律运行的应用所拒绝。
该方法的缺陷在于,仍然必须向通信链路添加类似防火墙这样的装置(参见§72)。此外,不期望数据仍然在链路上从传送器传送至接收方,并且因此链路上的流量包括不期望数据的传输。
发明内容
本发明对过多的网络流量进行限制以避免嵌入式设备被有意或无意的不期望流量所淹没。本发明通过例如在嵌入式设备或工业网络的其它电子设备中实施过滤而克服了现有技术的问题。流量在嵌入式设备的诸如传送部件的传送器进行过滤。通过丢弃已经处于传送节点中的不期望数据,链路上的流量受到限制并且避免了完成不期望数据分组的传输。
本发明提供了一种包括通信电路的用于在数据网络中进行通信的电子设备。该通信电路适于执行包括控制多个网络层、物理层、链路层以及至少一个更高等级的层在内的网络通信,并且包括用于识别不期望数据或数据的不期望传输的保护电路。特别地,该电子设备的保护电路被配置为在从该电子设备进行数据传输的期间监视数据,并识别不期望数据,并且该通信电路适于避免完成该保护电路所识别的不期望数据的传输,以使得不期望数据的向前传输得以被限制。因此,该电子设备并不会导致在拒绝服务攻击期间产生过多的流量。
以这种方式,该电子设备限制了由于不期望数据流量所导致的不必要的网络流量,并且避免了网络淹没消息的传输。而且,通过避免不期望数据在传输操作期间的向前传输,被授权的数据流量并不被延迟。
优选地,该通信电路使用以太网协议在物理层和链路层进行通信。更详细地,本发明可以在基于以太网的网络中实施,并且在从该电子设备进行传输期间利用物理层(PHY)和数据链路层(MAC)对流量进行过滤。此外,本发明可以被提供为数据链路层或MAC中的附加电路,该附加电路适于检测无效的不希望的帧并且物理层或PHY通过以其常规方式进行工作而停止传送该帧,上述方式即物理层认为该帧对于传输无效的无效装置。
在优选实施例中,保护电路通过声明控制信号(没有延迟)来无效不期望数据,从而通信电路(例如,PHY电路)通过停止传输而丢弃不期望数据。数据根据网络层栈的通信规则而针对通信被取消授权或无效,该网络层栈是通信电路所控制的分层栈。例如,根据通信电路所采用并强制的访问控制列表而对传输取消授权。
而且,优选地,保护电路被配置为在数据从链路层传输至物理层的期间对从链路层向物理层传输的该数据进行监视。
在优选实施例中,通过声明对物理层电路进行控制的控制信号而在从链路层到物理层的传输期间停止传输。
在优选实施例中,该通信电路包括用于控制物理层的传输的物理层传送器,用于控制数据链路层的传输的链路层传送器,以及将物理层传送器和链路层传送器通信互连的错误总线或控制信号总线,其中该保护电路操作连接至控制信号总线并且该保护电路适于通过声明控制信号而使得不期望数据无效,以使得物理层传送器丢弃不期望数据,因此停止不期望数据的传输。
在另一个优选实施例中,该通信电路包括用于控制物理层的传输的物理层传送器,用于控制数据链路层的传输的链路层传送器,以及将物理层传送器和链路层传送器通信互连的数据总线,其中该保护电路操作连接至该数据总线并且适于通过改变该数据总线上所传输的数据而使得不期望数据无效,以使得物理层传送器丢弃不期望数据。
在另一个优选实施例中,该电子设备使用通信协议在数据总线上进行传输,包括丢弃不允许数据的规则,所述保护电路适于将不期望数据改变为这样的该协议的不允许数据。一种识别不期望数据的适当标准是每时间单位的数据分组的数量。另一种标准可以是目的地地址。该电子设备可以被配置为仅向某些地址传送数据,并且如果更高层的设备试图向另一个非授权地址进行传送则传输停止。
该电子设备可以在适于在工业处理中进行操作的通信单元中实施,诸如传感器或IO设备,或者致动器或工业监视设备。其还能够在诸如网关、网络管理器、无线访问节点的网络设备中实施,或者在操作于工业环境中的其它通信单元中实施。
作为补充,也可以在诸如嵌入式电子设备的接收部件的接收节点中实施过滤,其中该接收部件的物理层中的检测电路检测不期望帧,并且该接收部件的链路层丢弃不期望帧,例如该接收部件的包括检测电路的物理层适于使得不期望帧无效以使得链路层将丢弃不期望且无效的帧。这样的添加在该电子设备的实施例中实施,其中保护电路被配置为还在电子设备的数据接收期间监视数据,并且识别所接收的不期望数据,并且通信电路适于避免将所接收的不期望数据传输至失少一个更高等级的层。因此,诸如在拒绝服务攻击期间,能够保持电子设备的更高层不被不期望流量的到来所影响。
附图说明
图1图示了用于分别对物理层和数据链路层进行控制的标准以太网物理层电路和链路层电路。
图2图示了依据本发明的物理层传送器、链路层传送器和保护电路。
图3图示了数据网络通信的OSI模型。
图4图示了以太网物理层电路和链路层电路,以及部署在物理层电路和链路层电路之间的本发明的保护电路。
具体实施方式
本发明提供了一种方法,其优选地在以太网通信节点中实施,该方法通过依赖于网络中出现的特征而阻止所选择的网络流量,上述网络优选地是以太网物理层PHY。所设计的PHY并不在MII接收错误总线线路TX_ERROR被声明时传播分组。在控制信号并不具有专门的独立总线线路的其它总线上,所设计的PHY并不传播利用指示错误的控制数据进行标记的分组。
本发明的优选实施方式是连接至以太网PHY和以太网MAC之间的电路。以太网帧由以太网MAC发送并且不期望帧被以太网PHY终止或丢弃而并不由以太网PHY进行传送,因此这些不期望帧并不会影响到网络流量,原因在于它们在传输期间被停止。在这种情况下,可以提供保护电路以接管(override)总线线路,例如通过设置错误总线线路,并且因此停止传输。本发明可以利用简单的半导体电路来实施,诸如仅需要有限数量的资源的现场可编程门阵列FPGA。可替换地,本发明可以被集成到PHY电路、MAC电路、CPU、电子设备的其它电路或者这些的组合之中。
图1示出了已知的标准以太网联网协议的一部分,其图示了物理层电路(PHY)到介质访问控制器(MAC)2的连接。PHY和MAC是数据链路层的子层并且在物理层和数据链路层之间提供接口。术语链路层和数据链路层可互换使用。即使这样的通信单元的优选实施例主要在物理层和数据链路层的控制中进行修改,但是依据本发明的通信单元的实施例还将包括用于在计算机网络中执行通信的其它器件。
图3图示了用于依据OSI模型进行计算机通信的七个网络层。参考该模型对本发明进行描述。然而,并非必然要依据该模型来实施网络层以从本发明获益。该OSI模型包括物理层31、数据链路层32、网络层33、传输层34、会话层35、表示层36和应用层7。物理层1和链路层2的主要功能在实施本发明时有所修改。OSI模型的物理层1处理比特,而链路层2则处理帧。用于在物理层1和数据链路层2中进行通信的网络示例是以太网(或IEEE 802.3)和令牌环。本发明将参考以太网进行示例。
在图3所示的OSI模型中,第一层是物理层31,其通过通信信道提供通信,并且对数据比特通过传输介质的传输进行处理,该传输介质例如线缆、光纤、双绞铜线或者类似无线电或微波传输的无线传输。第二层是数据链路层32,其被部署在物理层31之上并且将数据比特分组为帧,对传输错误进行处理并且在第三层(传送机器的网络层33)和接收机器的网络层33之间提供链路。OSI模型中更高等级的层是第四层(传输层34)、被称作会话层35的第五层、被称作表示层36的第六层而最后是被称作应用层37的第七层。当用户在应用中进行通信时,(用户的)计算机的应用层37与另一计算机的应用层37进行通信,由此通信从计算机的层到层37-31进行传输,从应用层37通过类似表示36、会话35、传输34和网络层33的更高层传输至数据链路层32并且进一步传输至物理层31,该通信从那里通过去往其它计算机的物理介质而被实现。其它计算机所接收的数据是从物理介质所接收并且由其它计算机的物理层31进行传输,并且到其数据链路层32并且从数据链路层32到网络层33并且随后通过更高层而层到层传输,始终通过每一层到达其它计算机的应用层34。不同网络以其各自的方式来组织其通信层。OSI模型是计算机网络的“通用”模型,并且网络在组织中并无需并且并不包括所有的OSI模型层。以太网是一种通信标准并且对物理层31和链路层32以及物理层31和数据链路层32之间的数据传输进行处理。以太网的数据链路层32包括被称作介质访问控制子层的子层,并且以太网链路层在这里被称作MAC。
对于本发明特别重要的是物理层1和链路层2之间的数据传输。图2图示了依据本发明实施例的电路3,该电路3连接至链路层电路2(MAC)和物理层电路1(PHY)之间的数据总线11(Tx_DATA)。电路3被配置为对链路层电路2和物理层电路1之间通过数据总线11、12的传输进行监视,并且在检测到不期望数据传输时使得该传输无效以使得传输被中断。电路3可以被视为保护电路3,其适于通过与从数据链路层传输到物理层的数据进行干扰而限制不必要的流量,即避免不期望数据的完整传输,并且防止不期望数据通过传输介质从设备的物理层(或者电子设备的物理层电路)进行传输,并且因此对网络流量进行限制。保护电路3并不延迟链路层和物理层之间的数据传输。可以通过声明控制信号并且中断不期望数据从数据链路层向物理层的传输来进行干扰。保护电路3适于对总线11、12上的数据执行非干扰监视,并且确定该数据是否是不期望的。当检测到不期望数据时,保护电路3适于使得该数据无效而使得PHY删除该不期望数据。可以通过设置错误线路12或者将数据信号线路11上的数据篡改为错误数据帧来实行无效。
保护电路3优选地与PHY 1和MAC 2单元之间连接的介质独立接口(MII)总线11相兼容。保护电路3可以利用MII来实现。PHY单元1和MAC单元2之间的MII总线11被配置以分别用于数据信号和控制信号的分开的数据线路Tx_DATA 11和控制线路Tx_ERROR 12。附图示出了该保护电路具有临时存储器或寄存器4、存储器6、到例如CPU的外部电路20的接口,并且保护电路或单元3还具有控制单元或控制逻辑8。MII中的错误检测接口,优选地为接收错误总线或线路Tx_ERROR 9,连接至MAC 2的信号线路。介质独立接口(MII)可以是精简介质独立接口(RMMI)或介质独立接口的另一种变化形式,例如千兆比特介质独立接口(GMII)、精简千兆比特介质独立接口(RGMII),或者具有分开的控制和数据线路的其它总线。
在图2中,PHY 1直接连接至MAC 2,并且电路3也连接至相同的总线。错误线路Tx_ERROR通过保护电路3连接在PHY和MAC之间。保护电路3被提供以流量规则的列表,其优选地存储在过滤器存储器存储设备6中,用于进行比较以检测不期望或所需网络流量,并且这些流量规则包括基于传输速率和地址的流量分析。控制传输速率的流量规则优选地包括每时间单位的数据传输的最大限制。例如提供有存储在存储器6中并且由控制单元8所执行的软件的保护电路3适于在超出最大限制时阻止进行传输。针对地址的流量规则适用于两个地址群组,第一组地址针对合理地址(白名单)而第二组地址则针对不期望地址(黑名单)。保护电路3适于允许针对合理地址的流量并且防止针对不期望地址的传输。
流量规则被适当更新。电子设备被调适以使得流量规则可以以不同方式进行更新,例如,规则由电子设备的嵌入式系统所更新,或者规则由供应商提供或者利用嵌入式系统在其中进行操作的环境来提供。
流量规则可以由系统进行更新和改变,例如由通过外部电路20或控制逻辑8路由的信息来更新和改变。此外,过滤可以被开启或关闭。在过滤关闭时,在没有声明总线控制线路的情况下进行传送,并且让不期望流量得以被传送。当开启时,在检测不期望数据时过滤声明总线控制线路Tx_ERROR。保护电路被提供以用于开启或关闭过滤方案的选择标准,其包括诸如对每时间单位的分组数量的限制之类的标准。该标准被提供于存储在保护电路中的软件之中,并且包括例如已经从嵌入式系统所提供或者由CPU所提供的每时间单位的分组数量。
每单位时间所接收的数据分组的数量被指出并且可以被记录。这可以在保护单元3的控制逻辑8内执行,或者其可以通过经到保护电路的线路从与分组速率相关的外部设备或电路(例如从外部电路20)接收信息来执行,该信息可以在控制逻辑8中进行计算或处理以得到每单位时间所接收的数据分组的速率。
当活动时,决策逻辑模块电路或控制逻辑8检查以太网帧的内容,并且将其与包含流量规则的访问控制列表进行比较。如果例如不与白名单中的任何数据相匹配,则电路3声明介质独立接口(MII)的Tx_ERROR线路9或者其它控制(Tx_ERROR)以指示以太网帧中的错误(如图2中所看到的)。
注意,可以任选地在每单位时间所接收的数据分组的数量达到或超过预定数量时开启过滤,该数量可以与用于停止传输的数量有所不同。丢弃不期望数据分组时的丢弃事件的数量可以被检测并且优选地被记录。涉及被丢弃的不期望数据分组的数据可以被记入日志,和/或是所记录的与诸如网络流量、数据分组丢弃时间之类的特征相关的信息。被丢弃的流量可以由过滤电路记入日志并且被存储以便随后进行处理。
明显地,保护电路3并不通过将以太网帧进行存储并随后将它们发送至PHY而令它们有所延迟。被拒绝的以太网帧被物理层中的PHY电路所丢弃、拒绝而并不进行传送。作为补充,通过连接至通信电路的MAC接收器和PHY接收器之间的数据总线Rx_Data、Rx_Error的信号线路(类似于图3),保护电路3可以包括到电子设备的接收部件的连接。在这种情况下,该保护电路应当适于在不期望数据从PHY接收器向MAC接收器进行传输的期间识别该数据并使得该不期望数据无效,以使得MAC接收器丢弃不期望数据并且避免进一步传输不期望数据。以这种方式,防止了不期望数据到达嵌入式网络设备的处理器的网络栈中的较高层(诸如符合OSI模型层33-37的层,参见图3)。
例如根据环境而在保护电路3中使用到Rx_Data_bus的连接来过滤流量以检测特定类型的不期望流量是特别有利的。这是因为诸如黑名单之类的所选择流量规则或最终访问控制列表可以在通信电路的接收器Rx部分中应用,而其它流量规则则在电路3的传送器(Tx)部分中应用。这可以被用来在电路中分布处理开销。其次,与所识别数据流量的数量、分组流模式、时间和类型相关的附加信息可以被记录并且例如用于更新流量规则或访问控制列表。与接收器Rx部分一起使用的通信电路流量规则的附加规则可以包括源地址,诸如为源地址的白和/或黑名单的形式。
Claims (13)
1.一种用于在数据网络中进行通信的电子设备,包括适于执行网络通信的通信电路,所述通信包括控制多个层,所述层包括物理层(31)、链路层(32)以及至少一个更高等级的层(33,34,35,36,37),所述通信电路包括用于识别不期望数据的保护电路(3),其特征在于
所述保护电路(3)被配置为在传输来自所述电子设备的数据期间监视数据,并识别不期望数据以允许向合理地址的传输并且阻止向不期望地址的传输,
并且所述通信电路适于避免由所述保护电路(3)所识别的所述不期望数据的传输。
2.根据权利要求1所述的电子设备,其中所述保护电路(3)被提供为使得所述不期望数据无效,以使得所述通信电路丢弃所述不期望数据。
3.根据权利要求1或2所述的电子设备,其中所述保护电路(3)被配置为在数据从所述链路层传输至所述物理层的期间对从所述链路层(32)向所述物理层(31)传输的该数据进行监视。
4.根据权利要求2所述的电子设备,其中所述无效是通过在从链路层向物理层进行传输的期间插入错误来执行,所述错误在所述物理层中可被检测。
5.根据权利要求4所述的电子设备,其中所述通信电路包括用于控制所述物理层(PHY)的传输的物理层传送器(1),用于控制所述数据链路层(MAC)的传输的链路层传送器(2),以及将所述物理层传送器和所述链路层传送器通信地互连的错误线路(12),并且其中所述保护电路(3)操作地连接至所述错误线路(12)并且适于通过对所述错误线路(12)进行设置而使得所述不期望数据无效,以使得所述物理层传送器(1)丢弃所述不期望数据。
6.根据权利要求4所述的电子设备,其中所述通信电路包括用于 控制所述物理层(PHY)的传输的物理层传送器(1),用于控制所述数据链路层(MAC)的传输的链路层传送器(2),以及将所述物理层传送器和所述链路层传送器通信地互连的数据线路,其中所述保护电路操作地连接至所述数据线路并且适于通过改变所述数据总线上所传输的数据而使得所述不期望数据无效,以使得所述物理层传送器丢弃所述不期望数据。
7.根据权利要求6所述的电子设备,其中使用通信协议在所述数据线路上进行传输,所述通信协议包括丢弃不期望数据的规则,所述保护电路适于将所述不期望数据改变为这样的所述通信协议的不允许数据。
8.根据权利要求1或2所述的电子设备,其中所述通信电路使用以太网协议在所述物理层(31)和所述链路层(32)中进行通信。
9.根据权利要求1或2所述的电子设备,其中识别不期望数据的标准是每时间单位的数据分组的数量。
10.根据权利要求1或2所述的电子设备,其中识别不期望数据的标准是地址列表。
11.根据权利要求10所述的电子设备,其中所述地址列表是接收地址的黑名单。
12.根据权利要求1或2所述的电子设备,其中所述保护电路被配置为在所述电子设备中接收数据的期间对数据进行监视,并且识别所接收的不期望数据,并且所述通信电路适于避免所接收的不期望数据被传输至所述至少一个更高等级的层(33,34,35,36,37)。
13.根据权利要求1或2所述的电子设备,其中所述电子设备是传感器或输入输出设备,或者致动器或监视设备。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2010/067608 WO2012065632A1 (en) | 2010-11-16 | 2010-11-16 | Electronic device for communication in a data network including a protective circuit for identifying unwanted data |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103210609A CN103210609A (zh) | 2013-07-17 |
| CN103210609B true CN103210609B (zh) | 2016-09-28 |
Family
ID=44315003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080070176.4A Active CN103210609B (zh) | 2010-11-16 | 2010-11-16 | 包括识别不期望数据的保护电路的用于在数据网络中进行通信的电子设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8997200B2 (zh) |
| EP (1) | EP2641358B1 (zh) |
| CN (1) | CN103210609B (zh) |
| WO (1) | WO2012065632A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| GB2508166B (en) * | 2012-11-21 | 2018-06-06 | Traffic Observation Via Man Limited | Intrusion prevention and detection in a wireless network |
| CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
| US10931636B2 (en) * | 2017-03-23 | 2021-02-23 | Pismo Labs Technology Limited | Method and system for restricting transmission of data traffic for devices with networking capabilities |
| GB201802454D0 (en) * | 2018-02-15 | 2018-04-04 | Sec Dep For Foreign And Commonwealth Affairs | Methods and devices for removing unwanted data from original data |
| CN110474823A (zh) * | 2019-08-22 | 2019-11-19 | 深圳市三旺通信股份有限公司 | 一种实现以太网信号线速采集监控和分析的装置 |
| CN110460499A (zh) * | 2019-08-22 | 2019-11-15 | 深圳市三旺通信股份有限公司 | 以太网信号线速采集监控和分析的方法 |
| CN110365556A (zh) * | 2019-08-22 | 2019-10-22 | 深圳市三旺通信股份有限公司 | 以太网信号线速采集监控和分析的实现方法 |
| CN110505121A (zh) * | 2019-08-22 | 2019-11-26 | 深圳市三旺通信股份有限公司 | 一种实现以太网信号线速采集监控和分析的方法 |
| CN110430099A (zh) * | 2019-08-22 | 2019-11-08 | 深圳市三旺通信股份有限公司 | 一种以太网信号线速采集监控和分析的方法 |
| CN110445693A (zh) * | 2019-08-22 | 2019-11-12 | 深圳市三旺通信股份有限公司 | 实现以太网信号线速采集监控和分析的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903562A (en) * | 1996-12-13 | 1999-05-11 | Hewlett-Packard Company | Multicasting employing publication title to create numeric destination address for computer network system frame |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
| CN1638361A (zh) * | 2003-12-31 | 2005-07-13 | 阿尔卡特公司 | 网络交换设备的并行数据链路层控制器 |
| US7706214B2 (en) * | 2004-04-14 | 2010-04-27 | Chopard Manufacture Sa | Perpetual calendar mechanism |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US7031267B2 (en) | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
| US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| US7269649B1 (en) * | 2001-08-31 | 2007-09-11 | Mcafee, Inc. | Protocol layer-level system and method for detecting virus activity |
| US7657938B2 (en) | 2003-10-28 | 2010-02-02 | International Business Machines Corporation | Method and system for protecting computer networks by altering unwanted network data traffic |
| US20050108434A1 (en) | 2003-11-13 | 2005-05-19 | Witchey Nicholas J. | In-band firewall for an embedded system |
| US20060168273A1 (en) | 2004-11-03 | 2006-07-27 | Ofir Michael | Mechanism for removing data frames or packets from data communication links |
| US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
| US7606214B1 (en) * | 2006-09-14 | 2009-10-20 | Trend Micro Incorporated | Anti-spam implementations in a router at the network layer |
| US8238278B2 (en) * | 2007-01-08 | 2012-08-07 | Hellosoft, Inc. | Hardware-based beacon processing |
| WO2008095340A1 (en) * | 2007-02-06 | 2008-08-14 | Huawei Technologies Co., Ltd. | Systems and methods for malware-contaminated traffic management |
-
2010
- 2010-11-16 WO PCT/EP2010/067608 patent/WO2012065632A1/en active Application Filing
- 2010-11-16 CN CN201080070176.4A patent/CN103210609B/zh active Active
- 2010-11-16 EP EP10778658.4A patent/EP2641358B1/en active Active
-
2013
- 2013-05-16 US US13/895,997 patent/US8997200B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903562A (en) * | 1996-12-13 | 1999-05-11 | Hewlett-Packard Company | Multicasting employing publication title to create numeric destination address for computer network system frame |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
| CN1638361A (zh) * | 2003-12-31 | 2005-07-13 | 阿尔卡特公司 | 网络交换设备的并行数据链路层控制器 |
| US7706214B2 (en) * | 2004-04-14 | 2010-04-27 | Chopard Manufacture Sa | Perpetual calendar mechanism |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130254869A1 (en) | 2013-09-26 |
| CN103210609A (zh) | 2013-07-17 |
| WO2012065632A1 (en) | 2012-05-24 |
| US8997200B2 (en) | 2015-03-31 |
| EP2641358A1 (en) | 2013-09-25 |
| EP2641358B1 (en) | 2014-03-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103210609B (zh) | 包括识别不期望数据的保护电路的用于在数据网络中进行通信的电子设备 | |
| CN101411156B (zh) | 对网络入侵者的自动阻止 | |
| CN1823496B (zh) | 交换机端口分析仪 | |
| CN109076001B (zh) | 帧传送阻止装置、帧传送阻止方法及车载网络系统 | |
| EP3361673B1 (en) | Security device, attack detection method, and program | |
| US8682514B2 (en) | Control network for a rail vehicle | |
| CN102317876B (zh) | 具有网络隔离和通信过滤器的通信模块 | |
| US20190356574A1 (en) | Motor vehicle comprising an internal data network and method for operating the motor vehicle | |
| KR100955370B1 (ko) | 다중 장해 대처 시스템 및 그것에 이용되는 공유 링크 종단장치 | |
| CN102474444B (zh) | 一种用于限制到达根据工业以太网协议操作的本地节点的网络业务量的方法 | |
| CN107852359A (zh) | 安全系统、通信控制方法 | |
| CN105991382B (zh) | 用于总线系统的用户站和总线系统中的数据传输的方法 | |
| CN110393002B (zh) | 用于在轨道车辆的第一网络和第二网络之间传输数据的方法和设备 | |
| US7593409B2 (en) | Apparatus and methods for monitoring network traffic | |
| CN102546592A (zh) | 智能电气装置和包括所述装置的网络系统 | |
| CN108881302A (zh) | 工业以太网与blvds总线互联通讯装置及工业控制系统 | |
| US10884966B2 (en) | Method and apparatus to prevent a node device from transmitting an unallowable message onto a CAN bus | |
| JP7428222B2 (ja) | 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム | |
| Kwon et al. | Mitigation mechanism against in-vehicle network intrusion by reconfiguring ECU and disabling attack packet | |
| CN106685760A (zh) | 链路状态的探测方法及装置 | |
| CN102918809B (zh) | 网络和扩展单元以及运行网络的方法 | |
| CN105580323A (zh) | 通过网络过滤装置过滤数据包 | |
| JP2010081009A (ja) | 通信ネットワーク試験方法およびネットワーク装置 | |
| KR20210085090A (ko) | 방화벽 기반의 선박 접근 제어 시스템 | |
| EP4109826A1 (en) | Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191129 Address after: Baden, Switzerland Patentee after: ABB Switzerland Co., Ltd. Address before: Zurich Patentee before: ABB Research Co., Ltd. |
|
| TR01 | Transfer of patent right |