CN103621038B - 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 - Google Patents
中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 Download PDFInfo
- Publication number
- CN103621038B CN103621038B CN201280030334.2A CN201280030334A CN103621038B CN 103621038 B CN103621038 B CN 103621038B CN 201280030334 A CN201280030334 A CN 201280030334A CN 103621038 B CN103621038 B CN 103621038B
- Authority
- CN
- China
- Prior art keywords
- smp
- main frame
- secure firmware
- subnet
- stop
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
系统和方法可在中间件机器环境中提供子网管理数据包(SMP)防火墙限制。可在主机通道适配器(HCA)上提供安全固件实现,其中HCA与中间件机器环境中的主机相关联。安全固件实现操作来接收来自或发往主机的至少一个SMP,并阻止主机发送或接收至少一个SMP。此外,安全固件实现可包括能代表主机与外部管理组件通信的代理功能。系统和方法可在中间件机器环境中提供基于交换机的SMP业务保护。中间件机器环境包括操作来接收发往子网管理代理(SMA)组件的至少一个SMP的网络交换机。网络交换机可检查至少一个SMP是否包括正确的管理密钥,并当其不包括正确的管理密钥时,阻止其转发到目的地SMA。此外,网络交换机还能为每个外部端口指定不同的管理密钥,并能对特定外部端口处的进入和外出SMP业务强制单独的限制。
Description
版权声明
本专利文献公开的一部分包含受版权保护的材料。版权所有者不反对任何人复制本专利文献或专利公开,只要它出现在专商局专利文件或记录中,但保留所有其他版权。
技术领域
本发明总体上涉及诸如中间件之类的计算机系统和软件,特别地,涉及支持中间件机器环境。
背景技术
互连网络在下一代超级计算机、群集以及数据中心中扮演着有益的角色。在高带宽和低延迟是关键要求的高性能计算领域,诸如InfiniBand(IB)技术之类的高性能网络技术正在替代专有的或低性能的解决方案。例如,IB安装用于诸如洛斯阿拉莫斯国家实验室的Roadrunner、得克萨斯高级计算中心的Ranger以及尤里希研究中心的JuRoPa之类的超级计算机中。
IB在2000年10月首先被标准化为称为未来I/O和下一代I/O的两种旧式技术的合并。由于其低延迟、高带宽以及主机侧处理资源的有效利用,高性能计算(HPC)界接受其作为构建大型可缩放计算机群集的解决方案。IB的事实上的系统软件是OpenFabrics EnterpriseDistribution(OFED),其由专门的专业人员开发并由OpenFabrics联盟维护。OFED是开源的,可用于GNU/Linux和Microsoft Windows二者。
发明内容
此处描述了在中间件机器环境中提供子网管理数据包(SMP)防火墙限制的系统和方法。可以在主机通道适配器(HCA)上提供安全固件实现,其中HCA与中间件机器环境中的主机相关联。安全固件实现操作来接收来自主机或发往主机的至少一个SMP,并且阻止所述主机发送或接收所述至少一个SMP。此外,安全固件实现可包括可以代表主机与外部管理组件进行通信的代理功能。
此处还描述了在中间件机器环境中提供基于交换机的子网管理数据包(SMP)业务保护的系统和方法。中间件机器环境包括操作来接收发往子网管理代理(SMA)组件的至少一个SMP的网络交换机。网络交换机可以检查至少一个SMP是否包括正确的管理密钥,并且当至少一个SMP不包括正确的管理密钥时,阻止至少一个SMP被转发到预定的SMA。此外,网络交换机可以为每一个外部端口指定不同的管理密钥,并且可以对特定外部端口处的进入和外出SMP业务强制单独的限制。
附图说明
图1示出了根据本发明一实施例在中间件机器平台中支持管理密钥保护模型的图示。
图2示出了根据本发明一实施例在中间件机器环境中提供SMP防火墙限制的图示。
图3示出了根据本发明一实施例在中间件机器环境中提供SMP防火墙限制的示例性流程图。
图4示出了根据本发明一实施例在中间件机器环境中提供基于交换机的SMP业务保护的图示。
图5示出了根据本发明一实施例在中间件机器环境中提供基于交换机的SMP业务保护的示例性流程图。
具体实施方式
此处描述了用于提供中间件机器或类似平台的系统和方法。根据本发明一实施例,系统包括高性能硬件例如64位处理器技术、高性能大容量存储器以及冗余InfiniBand和以太联网与应用程序服务器或诸如WebLogic套件之类的中间件环境的组合,以提供完整的Java EE应用程序服务器综合体,该综合体包括可以快速地提供并可以按需缩放的大规模并行存储器中网格(in-memory grid)。根据一实施例,系统可以部署为完全、半或四分之一机架或其他配置,其提供应用程序服务器网格、存储区域网络以及InfiniBand(IB)网络。中间件机器软件可以提供应用程序服务器、中间件和其他功能,诸如,例如WebLogic Server、JRockit或Hotspot JVM、Oracle Linux或Solaris以及Oracle VM。根据一实施例,系统可包括通过IB网络彼此通信的多个计算节点、IB交换机网关以及存储器节点或单元。当实现为机架配置时,机架的未使用的部分可以是空的或用填充物来填充。
根据本发明一实施例,此处称为“Sun Oracle Exalogic”或“Exalogic”的系统是用于托管诸如Oracle Middleware SW套件或WebLogic之类的中间件或应用程序服务器软件的易于部署的解决方案。如此处所描述的那样,根据一实施例,系统是包括一台或多台服务器、存储器单元、用于存储器联网的IB交织(fabric)、以及托管中间件应用程序所需的所有其他组件的“盒中网格”。可以使用例如Real Application Cluster以及Exalogic Open存储器,通过利用大规模平行网格架构,为各种类型的中间件应用程序提供显著的性能。系统提供改善的性能和线性I/O可缩放性,易于使用和管理,并提供任务关键的可用性和可靠性。
M_Key保护模型
图1示出了根据本发明一实施例的中间件机器平台中支持管理密钥保护模型的图示。如图1所示,可以使用诸如M_Key102之类的管理密钥来保护IB交织(或IB子网)100。M_Key102的值可以仅由交织管理员110知道,交织管理员110可以具有对交换机103-104以及IB子网/交织100中指定的子网管理器(SM)节点101的管理员访问权。M_Key102的完整性取决于交织管理员110所使用的交织级别的管理密码的完整性以及IB子网/交织100中(例如,在数据中心中)的交换机103-104的物理访问保护。
在IB交织100中,HCA121-124中的安全HCA固件实现可以使各种交织节点的类型和身份被明确定义。HCA121-124中的每一个可以实现子网管理代理(SMA)组件131-134,其每一个都可以与M_Key141-144相关联。此外,连接的交换机A-B103-104可以由交织管理员110控制。如此,任何非法SMA实现131-134都可以不损害交织管理员110定义的用于IB子网/交织100中的M_Key102值。
在2012年6月4日提交的题为“SYSTEM AND METHOD FORPROVIDING SECURE SUBNET MANAGEMENT AGENT(SMA)IN AN INFINIBAND(IB)NETWORK”的美国专利申请13/487973中提供了在中间件机器平台中使用安全HCA固件实现的各种实施例的额外描述,该申请通过引用合并于此。
此外,交织管理员110可以确保,IB子网/交织100的新M_Key值102带外(out-of-band)安装在交换机103-104上(以及用于相关子网管理器实例101)。另外,交织管理员110可以确保,在交换机103-104上有无限的M_Key102租用时间。如此,基于主机的软件161-164,例如不同主机111-114上的基于主机的子网管理器(包括操作系统151-154),不能劫持对IB子网/交织100中任何交换机103-104的控制。
根据本发明一实施例,基于IB规范定义的访问限制,单个M_Key102值(或单组M_Key值)可以用于IB子网/交织100中的各种节点。当前M_Key102的正确值可能需要在读取或更新M_Key102之前指定,因为安全HCA固件可以确保分配给本地HCA121-124的“读取保护”M_Key不暴露到基于本地主机的软件。
另外,在HCA端口的当前M_Key值在运行时定义的情况下,不同主机111-114上的本地软件161-164能够通过设置其自己的M_Key值来劫持HCA端口。此外,主机本地软件161-164可以使HCA端口对于指定的子网管理器101是不可管理的,例如,在指定的子网管理器101设置用于HCA121-124的任何M_Key102之前。
根据本发明一实施例,指定的子网管理器101可以忽略具有未知M_Key值的任何HCA端口,并保留对应的链路未被初始化。被劫持的HCA端口M_Key的唯一影响可以是,HCA端口可能不操作,指定的子网管理器101可以防止基于主机的软件使用普通通信(即,非SMP/VL15类的通信)通过此HCA端口来进行通信。
此外,当主机软件111-114破坏本地HCA M_Key值时,违规的主机软件能够用激活的本地标识符(LID)和分区成员资格使HCA端口进入操作状态。在这种情况下,如果连接到HCA121-124的交换机103-104上的交换机端口由损害了本地HCA M_Key值的主机软件111-114不知道的不同M_Key值控制,那么违规的主机软件111-114可能不能使链路进入允许正常数据业务的完全操作状态。
根据本发明一实施例,IB交织100可以防止各种主机111-114之间的直接路由SMP,以便避免各种潜在的威胁情况。在一种情况下,在远程主机112和/或远程HCA122复位之后,主机(例如主机111)可以使用直接路由SMP来劫持远程主机(例如112)上的HCA端口的M_Key。这会导致远程HCA122端口变得无法从SM101访问,并由此阻止远程主机112参与正常IB通信,即拒绝服务(DoS)攻击。在另一种情况下,当两个主机(例如主机111和主机114)被黑客所破坏时,IB交织100中的依赖于直接路由SMP的协作管理可以允许两个被损害的主机使用直接路由SMP来交换信息。
IB交织100可以支持协作管理以用于在不同主机111-114之间交换信息而不依赖于直接路由SMP。例如,主机的管理员可以访问因特网上的共享网络页面,代替依赖于IB交织100中的直接路由SMP。从交织安全的角度来看,将直接路由SMP保留为IB交织上的安全漏洞可以视为比允许两个主机管理员访问因特网上的共享网络页面更差的情况。
根据本发明一实施例,可以利用M_Key102上的有限的租用时间来设置HCA端口,例如,由于维护M_Key102租用时间长度的子网管理器101的高可得性顾虑。如此,M_Key102可以过期,而不会有相关联的链路失效。因此,HCA121-124的状态(例如分区成员资格)可以更新,而链路仍处于有效模式,所涉及的端口的LID路由仍可操作。然后,没有M_Key保护的IB交织100可以错误地允许被劫持的主机和其他分区中的主机之间的正常IB业务。
此外,如果M_Key102在链路失效之前过期,则本地HCA(例如HCA121)和任何远程HCA(例如HCA124)可能被劫持,分区成员资格可能被修改。如果相关联的交换机端口(例如交换机103-104上的)没有被设置以执行分区强制,那么带有非请求的分区成员资格的业务可以到达交织中的任何其他节点。
另外,IB交织100内的子网管理器101可以依赖于指定的虚拟车道(VL),例如VL15缓冲,以便正确地监视和控制IB交织100,并与IB交织100中的其他子网管理器协商。由于IB交织100内的VL15缓冲是共享资源,因此对来自任何主机的SMP的不受控制的使用可以表示DoS攻击。这会影响子网管理器101的操作,因为IB交织100内的M_Key保护可能会阻止主机改变任何节点上的任何SMA状态。如此,需要在IB交织100中提供SMP业务保护。
根据本发明一实施例,M_Key102可由交织管理员110创建和管理,并且存储在交换机A-B103-104和/或HCA121-124上的安全存储器中。交换机A-B103-104或HCA121-124上的微处理器可以访问存储器,以便读出M_Key102或将M_Key102写入到存储器中。
SMP防火墙限制
根据本发明一实施例,安全HCA固件可以使用SMP防火墙限制,以防止基于主机的软件劫持本地或远程HCA端口。SMP防火墙限制可以防止主机软件在交织上发出SMP请求,并可以拒绝否则将被转发到主机软件的任何SMP。
图2示出了根据本发明一实施例在中间件机器环境中提供SMP防火墙限制的图示。如图2所示,中间件机器环境200可以包括一个或多个主机203-204以及与子网管理器201相关联的IB交织210。每一个主机203-204都通过实现了HCA固件215-216的HCA211-212连接到IB交织210。
HCA固件215-216可包括SMP防火墙组件213-214,它们可以有效地防止任何基于SMP的拒绝服务(DoS)攻击,例如以子网管理器201的操作为目标,并允许来自交织200中的受信任节点合法地使用基于SMP的工具。HCA SMP防火墙组件213-214可以防止主机堆栈软件205-206向IB交织210发送SMP220。此外,为了防止远程节点例如主机204的信息被非法提供给本地主机软件,例如主机软件205,安全HCA固件215可以拒绝从IB交织210接收到的SMP230,否则其将被转发到主机软件205。
另外,SMP防火墙组件213-214还可以防止主机堆栈软件205-206的各种基于SMP的操作,例如,当子网管理器201不可操作时观察本地连接的交换机端口的身份。此外,可以防止来自子网管理器201或交织中的其他合法组件的与主机堆栈软件205的任何基于SMP的通信。
根据本发明一实施例,安全HCA固件215-216可以实现特定规则,作为SMP防火墙组件213-214的一部分,以便确保对于主机堆栈软件205-206,合法的操作被允许。这些规则允许特定的基于SMP的请求和响应类型被以严格控制的速率发送和接收。此外,这些规则可以定义用于直接路由和LID路由SMP二者的源和目的地限制。
另外,这些规则可以允许对当前正在控制与HCA实例211-212相关联的物理主机203和204的OS207和208或管理程序实例的基于SMP的认证。在2012年6月4日提交的题为“SYSTEM ANDMETHOD FOR AUTHENTICATING IDENTITY OF DISCOVEREDCOMPONENT IN AN INFINIBAND(IB)NETWORK”的美国专利申请13/488040中提供了在中间件机器平台中认证所发现的组件的各种实施例的进一步描述,该申请通过引用合并于此。
根据本发明一实施例,安全HCA固件215可以实现代理功能217-218,以便确保对于主机堆栈软件205-206,合法的操作被允许。诸如子网管理器201之类的外部管理组件可以通过代理功能217-218向主机堆栈软件205-206发送供应商SMP221。主机堆栈软件205-206可以通过HCA固件215-216和主机堆栈软件205-206之间的本地带外接口223-224与代理功能217-218进行通信。然后,此代理功能217-218可以代表主机堆栈软件205-206来负责实施特定的合法操作,并代表远程交织管理组件例如子网管理器201来负责与主机堆栈软件205-206进行通信。
安全HCA固件215-216可以保护IB交织210免于未授权的对配置信息的检索,例如防止本地主机软件观察有关远程IB节点的信息,诸如可以潜在地用作针对远程IB节点的DOS攻击的基础的全局唯一标识符(GUID)、LID以及分区成员资格。此外,安全HCA固件215-216还允许本地HCA211-212通过限制观察可以被用来允许与有效子网管理器背后的远程节点的正常数据通信的有关远程节点的信息的能力,来适当地保护其本地M_Key202设置免于被本地主机访问。
另外,安全HCA固件215-216还可以防止旧式基于SMP的诊断和监视工具从不受信任的主机使用(或不能工作),因为安全HCA可以阻止从不受信任的主机发送的任何SMP操作。此外,M_Key方案还可以与完全读保护一起使用,这可以限制使用依赖于SMP的旧式工具的能力。
此外,安全HCA固件215还可保护IB交织200免于不受信任的主机之间进行的未授权的基于SMP的通信。安全HCA固件215可以保护IB交织210免于未授权的SMP业务,其可能对例如以SM201的操作为目标的DoS攻击敏感。各种准入控制策略可以将不同主机203-204的SMP注入速率限制到可接受的水平。可另选地,单个子网的配置可以阻止来自未受信任的主机的所有SMP操作,例如使用安全HCA固件中的SMP阻止特征,以便进一步防止DOS攻击。
另外,安全HCA固件215可以保护IB交织210免受针对子网管理员(SA)访问权的DoS攻击。安全HCA固件215可以保证访问SA的QoS/公平性和可缩放性。此外,为了提供DoS保护,SM201可以被允许关闭正在生成SA请求的“过载”的HCA端口,例如,超出某时间间隔的请求速率阈值。
图3示出了根据本发明一实施例在中间件机器环境中提供SMP防火墙限制的示例性流程图。如图3所示,在步骤301中,可以在连接到infiniband(IB)交织的主机通道适配器(HCA)上提供安全固件实现,其中HCA与主机相关联。然后,在步骤302中,安全固件实现可以接收至少一个SMP,其中该至少一个SMP要么被从主机接收到,要么以主机为目的地。另外,在步骤303中,安全固件实现可以阻止主机向IB交织发送该至少一个SMP或接收以主机为目的地的该至少一个SMP。
基于交换机的代理M_key保护
根据本发明的一实施例,可以在IB交织中的中间交换机节点中执行对SMP的M_Key检查,以确保本地交换机M_Key设置可以保护没有建立M_Key的远程HCA端口。
图4示出了根据本发明一实施例在中间件机器环境中提供基于交换机的SMP业务保护的图示。如图4所示,中间件机器环境400可以包括通过HCA402连接到主机403的IB交换机401。主机403可包括在操作系统407上运行的主机堆栈软件405。IB交换机401可包括一个或多个交换机端口411-416,每一个交换机端口都可以用于与IB交织400中的单独的节点或实体进行连接,例如交换机端口411与HCA402连接。
在HCA402上的固件404中实现的子网管理代理(SMA)组件406可以通过交换机端口411与IB交织400中的其他节点进行通信。此外,IB交织400中指定的子网管理器408还可以使用特定交换机端口例如端口411用于向任何SMA406发送直接路由SMP请求以及从SMA406接收直接路由SMP响应。
交换机401可以阻止不想要的SMP业务出现在IB交织400中,无需依赖于要求所有HCA都具有带SMP控制的受信任的固件。例如,交换机401可以过滤与IB交织400的交织策略不一致的直接路由SMP业务。
交换机401可以使用过滤方案来阻止远程HCA端口402被入侵者劫持。过滤方案可以基于标识以设置SMA406属性为目标的任何直接路由SMP请求。另外,过滤方案可以与目的地无关,对所有直接路由SMP请求执行相同的M_Key检查,并可以要求直接路由SMP请求包括用于本地交换机401的正确的M_Key409,与SMP针对的目的地无关。
单个M_Key409可以用在包括交换机401和直接连接到交换机401的HCA端口402的IB交织400中。如果主机堆栈软件405能够损害保护本地HCA402的M_Key419,那么主机堆栈软件405也可能损害保护本地交换机401的M_Key409,因为IB交织400中的SMP业务包括本地交换机M_Key409。
根据本发明一实施例,交换机401的实现可以为每一个外部端口指定可选的M_Key值,例如用于外部端口411-416的M_Key421-426。另外,交换机401的实现可以确保,从交换机端口例如交换机端口411发出的任何SMP以及从此端口接收到的任何SMP都具有与为交换机端口411指定的M_Key421匹配的M_Key值。此外,网络交换机401还可以对从外部端口414发送的SMP420和在外部端口414处接收到的SMP410强制单独的限制。
利用此机制,合法的子网管理器408可以确保,所有潜在不受信任的远程HCA端口或其他潜在不受信任的远程端口只有在指定了与交换机端口相关联的正确的本地M_Key时才可被允许发出SMP。此外,访问远程端口的尝试可能需要具有子网管理器408为该端口定义的M_Key,而与远程端口的M_Key是否被劫持无关。另外,此机制还可以指定定义远程端口可以多快地生成SMP的SMP速率,以防止或降低交织中来自不受信任的端口基于SMP的DoS攻击的机率。
2004年6月2日提交并且在2008年7月8日公告的题为“SYSTEMAND METHOD FOR AUTHENTICATING NODES IN ACOMMUNICATION NETWORK”的美国专利No.7398394中提供了在中间件机器平台中使用SMP过滤的各种实施例的额外描述,该申请通过引用合并于此。
根据本发明一实施例,过滤方案可以基于将交换机端口声明为“受信任的”或者“不受信任的”,来阻止非法的基于主机-主机的直接路由SMP业务。对交换机端口或连接到交换机端口的实体是否受信任的判断可以基于输入到本地交换机401的显式策略或者远程端口的自动认证。
如图4所示,交换机端口411、413-414以及416是受信任的交换机端口,而交换机端口412和415是不受信任的。过滤方案可以仅允许SMP请求从受信任的端口发送(离开交换机),由受信任的端口接收SMP响应(进入交换机)。另外,只有一开始就从受信任的端口进入子网的SMA请求可以被允许外出到不受信任的端口。如此,可以使过滤方案独立于任何当前M_Key设置,还可以与上面的基于M_Key的过滤方案一起使用。
根据本发明一实施例,在整个IB子网/交织400中使用单个M_Key409或单组M_Key的能力取决于是否IB交织400中的所有节点是受信任的并且不向没有所要求的特权的任何实体暴露在使用中的M_Key。子网管理器408在请求中包括当前M_Key的先决条件是,子网管理器408可以确信,目标和任何中间代理不会损害M_Key的完整性。在一示例中,可以在在任何SMP中包括当前M_Key之前建立这样的信任性。如此,交织配置可以要求在可以发生任何基于M_Key的通信之前,IB交织中的所有节点(包括HCA)被认证(或声明)为受信任的,而不是先验地假设所有SMA实例都是可信任的。
根据本发明一实施例,可以提供通过交换机管理接口来发送和接收基于供应商的SMP的机制。这样的机制允许交换机嵌入式认证机制作为交换机本地软件的一部分来操作,由此与嵌入式子网管理器以及嵌入式交换机驱动器和SMA堆栈协调地操作。
图5示出了根据本发明一实施例在中间件机器环境中提供基于交换机的SMP业务保护的示例性流程图。如图5所示,在步骤501中,网络交换机可以接收发往子网管理代理(SMA)的一个或多个SMP。然后在步骤502中,网络交换机可以检查一个或多个SMP是否包括正确的管理密钥。另外,在步骤503中,当一个或多个SMP不包括正确的管理密钥时,网络交换机可以阻止所述一个或多个SMP被转发到目的地SMA。
一般而言,本发明涉及在运行于一个或多个微处理器上的中间件机器环境中提供子网管理数据包(SMP)防火墙限制的系统,包括:
用于在连接到infiniband(IB)交织的主机通道适配器(HCA)上提供安全固件实现的装置,其中所述HCA与主机相关联;
用于通过所述安全固件实现来接收至少一个SMP的装置,其中所述至少一个SMP是从所述主机接收的或者发往所述主机的;以及
用于通过所述安全固件实现来防止所述主机向所述IB交织发送所述至少一个SMP或接收发往所述主机的所述至少一个SMP的装置。
所述系统还包括用于在所述安全固件实现中包括SMP防火墙组件的装置。
所述系统还包括用于允许所述SMP防火墙组件阻止一个或多个基于SMP的操作的装置。
所述系统还包括用于允许所述SMP防火墙组件阻止主机软件和子网管理器之间的基于SMP的通信的装置。
所述系统还包括用于实现特殊规则作为所述SMP防火墙组件的一部分的装置。
所述系统还包括用于允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地标识符路由SMP二者定义源和目的地限制的装置。
所述系统还包括用于允许所述安全固件实现包括代理功能的装置,其中所述代理功能可以通过本地带外接口来接收与所述主机软件的通信。
所述系统还包括用于允许子网管理器通过所述代理功能来向所述主机软件发送SMP的装置。
所述系统还包括用于阻止从远程IB节点对配置信息的未经授权的检索的装置。
所述系统还包括用于允许子网管理器关闭正在生成子网管理员(SA)请求的过载的HCA端口的装置。
一般而言,本发明涉及用于阻止基于子网管理数据包(SMP)的攻击的方法,包括:
通过安全固件实现,接收至少一个SMP,其中所述至少一个SMP是从主机接收的或者发往主机的;以及
通过所述安全固件实现,防止所述主机向IB交织发送所述至少一个SMP或接收发往所述主机的所述至少一个SMP。
所述方法还包括在所述安全固件实现中包括SMP防火墙组件。
所述方法还包括允许所述SMP防火墙组件阻止一个或多个基于SMP的操作。
所述方法还包括允许所述SMP防火墙组件阻止主机软件和子网管理器之间的基于SMP的通信。
所述方法还包括实现特殊规则作为所述SMP防火墙组件的一部分。
所述方法还包括允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地标识符路由SMP二者定义源和目的地限制。
所述方法还包括允许所述安全固件实现包括代理功能,其中所述代理功能可以通过本地带外接口来接收与所述主机软件的通信。
一般而言,本发明涉及用于阻止基于子网管理数据包(SMP)的攻击的系统,包括:
用于通过安全固件实现,接收至少一个SMP的装置,其中所述至少一个SMP是从主机接收的或者发往主机的;以及
用于通过所述安全固件实现,防止所述主机向IB交织发送所述至少一个SMP或接收发往所述主机的所述至少一个SMP的装置。
所述系统还包括用于在所述安全固件实现中包括SMP防火墙组件的装置。
所述系统还包括用于允许所述SMP防火墙组件阻止一个或多个基于SMP的操作的装置。
所述系统还包括用于允许所述SMP防火墙组件阻止主机软件和子网管理器之间基于SMP的通信的装置。
所述系统还包括用于实现特殊规则作为所述SMP防火墙组件的一部分的装置。
所述系统还包括用于允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地标识符路由SMP二者定义源和目的地限制的装置。
所述系统还包括用于允许所述安全固件实现包括代理功能的装置,其中所述代理功能可以通过本地带外接口来接收与所述主机软件的通信。
一般而言,本发明涉及在运行于一个或多个微处理器上的中间件机器环境中提供基于交换机的子网管理数据包(SMP)业务保护的方法,包括:
用于通过网络交换机,接收发往子网管理代理(SMA)组件的一个或多个SMP的装置;
用于通过所述网络交换机,检查所述一个或多个SMP是否包括正确的管理密钥的装置;以及
用于当所述一个或多个SMP不包括正确的管理密钥时,通过所述网络交换机阻止所述一个或多个SMP被转发到目的地SMA组件的装置。
所述系统还包括用于根据交织策略过滤所述一个或多个SMP的装置。
所述系统还包括用于允许所述一个或多个SMP中的每一个都是直接路由SMP的装置。
所述系统还包括用于允许子网管理器使用一个或多个SMP来通过所述网络交换机上的特定交换机端口与子网管理代理(SMA)组件进行通信的装置。
所述系统还包括用于为所述网络交换机上的每一个外部端口定义不同的管理密钥的装置。
所述系统还包括用于允许所述网络交换机对从外部端口向所述SMA组件发送的SMP以及在所述外部端口从所述SMA组件接收到的SMP强制单独的限制的装置。
所述系统还包括用于通过子网管理器,确保与所述SMA组件相关联的不受信任的远程主机通道适配器(HCA)只有在指定了正确的管理密钥的情况下才能发出一个或多个SMP的装置。
所述系统还包括用于指定定义远程HCA端口被允许多快地生成SMP的SMP速率的装置。
所述系统还包括用于声明一个或多个交换机端口被信任并允许下列各项的装置:
SMP请求被从受信任的端口发送,以及
在受信任的端口处接收SMP响应。
所述系统还包括用于只允许SMA组件请求从受信任的端口发送到不受信任的端口的装置。
一般而言,本发明涉及在一个或多个微处理器上运行的网络交换机,包括:
用于接收发往子网管理代理(SMA)组件的一个或多个SMP的装置;
用于检查所述一个或多个SMP是否包括正确的管理密钥的装置;以及
用于当至少一个SMP不包括所述正确的管理密钥时,阻止所述一个或多个SMP被转发到目的地SMA组件的装置。
本发明可以使用一个或多个常规通用或专用数字计算机、计算设备、机器或微处理器,包括一个或多个处理器、存储器和/或根据本公开的教导编程的计算机可读存储介质,来方便地实现。对于软件领域的技术人员而言显而易见的是,可由有经验的程序员基于本发明的教导轻松地准备适当的软件代码。
在某些实施例中,本发明包括计算机程序产品,该产品是其中存储了指令的存储介质或计算机可读介质,这些指令可以用来对计算机进行编程,以执行本发明的任何过程。存储介质可以包括但不限于任何类型的盘,包括软盘、光盘、DVD、CD-ROM、微驱动,以及磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪存设备、磁卡或光卡、纳米系统(包括分子存储器IC)、适于存储指令和/或数据的任何类型的介质或设备。
前面对本发明的描述仅用于说明和示范。它不是详尽的说明或将本发明限于所公开的准确形式。本技术技术人员将认识到,可以进行许多修改。所选择和描述的实施例只是为了最好地说明本发明的原理以及其实际应用,并使本技术技术人员理解,带有适合于特定用途的各种修改的各实施例的本发明也是可以接受的。本发明的范围由下面的权利要求以及它们的等效内容进行定义。
Claims (35)
1.一种在运行于一个或多个微处理器上的中间件机器环境中提供子网管理数据包SMP防火墙限制的方法,包括:
在与主机相关联并且连接到infiniband IB交织的主机通道适配器HCA上提供安全固件实现,所述安全固件实现包括代理功能,所述代理功能使得所述主机上的软件能够通过本地带外接口来从子网管理器接收SMP;
通过所述安全固件实现,接收至少一个SMP,其中所述至少一个SMP是从所述主机接收的或者发往所述主机的;以及
通过所述安全固件实现,防止所述主机向所述IB交织发送所述至少一个SMP或接收发往所述主机的所述至少一个SMP。
2.根据权利要求1所述的方法,还包括:
在所述安全固件实现中包括SMP防火墙组件。
3.根据权利要求2所述的方法,还包括:
允许所述SMP防火墙组件阻止一个或多个基于SMP的操作。
4.根据权利要求2所述的方法,还包括:
允许所述SMP防火墙组件阻止所述主机上的软件和子网管理器之间的基于SMP的通信。
5.根据权利要求2所述的方法,还包括:
实现特殊规则作为所述SMP防火墙组件的一部分。
6.根据权利要求5所述的方法,还包括:
允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地标识符路由SMP二者定义源和目的地限制。
7.根据权利要求1所述的方法,还包括:
阻止从远程IB节点对配置信息的未经授权的检索。
8.根据权利要求1所述的方法,还包括:
允许所述代理功能负责代表主机堆栈软件来实施特定合法操作。
9.一种在运行于一个或多个微处理器上的中间件机器环境中提供子网管理数据包SMP防火墙限制的系统,包括:
与主机通道适配器HCA相关联的一个或多个主机;以及
所述HCA上的安全固件实现,所述安全固件实现包括代理功能,所述代理功能使得所述主机上的软件能够通过本地带外接口来从子网管理器接收SMP;
其中,所述安全固件实现操作来
接收来自所述主机或发往所述主机的至少一个SMP;以及
阻止所述主机发送或接收所述至少一个SMP。
10.根据权利要求9所述的系统,其中:
所述安全固件实现包括SMP防火墙组件。
11.根据权利要求10所述的系统,其中:
所述SMP防火墙组件能阻止一个或多个基于SMP的操作。
12.根据权利要求10所述的系统,其中:
所述SMP防火墙组件能阻止所述主机上的软件和子网管理器之间的基于SMP的通信。
13.根据权利要求10所述的系统,还包括:
实施为所述SMP防火墙组件的一部分的特殊规则。
14.根据权利要求13所述的系统,其中:
所述特殊规则允许特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地ID路由SMP二者定义源和目的地限制。
15.根据权利要求9所述的系统,其中:
所述安全固件实现操作为阻止从远程IB节点对配置信息的未经授权的检索。
16.一种在运行于一个或多个微处理器上的中间件机器环境中提供子网管理数据包SMP防火墙限制的系统,包括:
用于在与主机相关联并且连接到infiniband IB交织的主机通道适配器HCA上提供安全固件实现的装置,所述安全固件实现包括代理功能,所述代理功能使得所述主机上的软件能够通过本地带外接口来从子网管理器接收SMP;
用于通过所述安全固件实现,接收至少一个SMP的装置,其中所述至少一个SMP是从所述主机接收的或者发往所述主机的;
用于通过所述安全固件实现,防止所述主机向所述IB交织发送所述至少一个SMP或接收发往所述主机的所述至少一个SMP的装置。
17.根据权利要求16所述的系统,还包括:
用于在所述安全固件实现中包括SMP防火墙组件的装置。
18.根据权利要求17所述的系统,还包括:
用于允许所述SMP防火墙组件阻止一个或多个基于SMP的操作的装置。
19.根据权利要求17所述的系统,还包括:
用于允许所述SMP防火墙组件阻止所述主机上的软件和子网管理器之间的基于SMP的通信的装置。
20.根据权利要求17所述的系统,还包括:
用于实现特殊规则作为所述SMP防火墙组件的一部分的装置。
21.根据权利要求20所述的系统,还包括:
用于允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地标识符路由SMP二者定义源和目的地限制的装置。
22.根据权利要求16所述的系统,还包括:
用于阻止从远程IB节点对配置信息的未经授权的检索的装置。
23.根据权利要求16所述的系统,还包括:
用于允许所述代理功能负责代表主机堆栈软件来实施特定合法操作的装置。
24.一种用于防止基于子网管理数据包SMP的攻击的方法,包括:
通过与主机相关联并且连接到infiniband IB交织的主机通道适配器HCA上的安全固件实现,接收至少一个SMP,其中所述至少一个SMP是从主机接收的或发往主机的,所述安全固件实现包括代理功能,所述代理功能使得所述主机上的软件能够通过本地带外接口来从子网管理器接收SMP;以及
通过所述安全固件实现,阻止所述主机发送所述至少一个SMP至IB交织或接收发往所述主机的所述至少一个SMP。
25.根据权利要求24所述的方法,还包括:
在所述安全固件实现中包括SMP防火墙组件。
26.根据权利要求25所述的方法,还包括:
允许所述SMP防火墙组件阻止一个或多个基于SMP的操作。
27.根据权利要求25所述的方法,还包括:
允许所述SMP防火墙组件阻止所述主机的软件和子网管理器之间的基于SMP的通信。
28.根据权利要求25所述的方法,还包括:
实施特殊规则作为所述SMP防火墙组件的一部分。
29.根据权利要求28所述的方法,还包括:
允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地ID路由SMP二者定义源和目的地限制。
30.一种用于防止基于子网管理数据包SMP的攻击的系统,包括:
用于通过与主机相关联并且连接到infiniband IB交织的主机通道适配器HCA上的安全固件实现,接收至少一个SMP的装置,其中所述至少一个SMP是从主机接收的或发往主机的,所述安全固件实现包括代理功能,所述代理功能使得所述主机上的软件能够通过本地带外接口来从子网管理器接收SMP;以及
用于通过所述安全固件实现,阻止所述主机发送所述至少一个SMP至IB交织或接收发往所述主机的所述至少一个SMP的装置。
31.根据权利要求30所述的系统,还包括:
用于在所述安全固件实现中包括SMP防火墙组件的装置。
32.根据权利要求31所述的系统,还包括:
用于允许所述SMP防火墙组件阻止一个或多个基于SMP的操作的装置。
33.根据权利要求31所述的系统,还包括:
用于允许所述SMP防火墙组件阻止所述主机的软件和子网管理器之间的基于SMP的通信的装置。
34.根据权利要求31所述的系统,还包括:
用于实施特殊规则作为所述SMP防火墙组件的一部分的装置。
35.根据权利要求34所述的系统,还包括:
用于允许所述特殊规则定义特定的基于SMP的请求和响应类型以严格控制的速率发送和接收,和/或为直接路由SMP和本地ID路由SMP二者定义源和目的地限制的装置。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161506557P | 2011-07-11 | 2011-07-11 | |
| US61/506,557 | 2011-07-11 | ||
| US201261645517P | 2012-05-10 | 2012-05-10 | |
| US61/645,517 | 2012-05-10 | ||
| US13/545,796 | 2012-07-10 | ||
| US13/545,796 US8739273B2 (en) | 2011-07-11 | 2012-07-10 | System and method for supporting subnet management packet (SMP) firewall restrictions in a middleware machine environment |
| US13/545,803 US9332005B2 (en) | 2011-07-11 | 2012-07-10 | System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment |
| US13/545,803 | 2012-07-10 | ||
| PCT/US2012/046219 WO2013009846A1 (en) | 2011-07-11 | 2012-07-11 | System and method for supporting at least one of subnet management packet (smp) firewall restrictions and traffic protection in a middleware machine environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103621038A CN103621038A (zh) | 2014-03-05 |
| CN103621038B true CN103621038B (zh) | 2016-08-17 |
Family
ID=47519735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280030334.2A Active CN103621038B (zh) | 2011-07-11 | 2012-07-11 | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8739273B2 (zh) |
| EP (1) | EP2754278B1 (zh) |
| JP (2) | JP6043349B2 (zh) |
| CN (1) | CN103621038B (zh) |
| WO (1) | WO2013009846A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2617159B1 (en) | 2010-09-17 | 2018-04-04 | Oracle International Corporation | System and method for facilitating protection against run-away subnet manager instances in a middleware machine environment |
| WO2012167268A1 (en) | 2011-06-03 | 2012-12-06 | Oracle International Corporation | System and method for authenticating components in a network |
| US9397954B2 (en) | 2012-03-26 | 2016-07-19 | Oracle International Corporation | System and method for supporting live migration of virtual machines in an infiniband network |
| US9584605B2 (en) | 2012-06-04 | 2017-02-28 | Oracle International Corporation | System and method for preventing denial of service (DOS) attack on subnet administrator (SA) access in an engineered system for middleware and application execution |
| US9665719B2 (en) * | 2012-06-04 | 2017-05-30 | Oracle International Corporation | System and method for supporting host-based firmware upgrade of input/output (I/O) devices in a middleware machine environment |
| US9559990B2 (en) | 2013-08-27 | 2017-01-31 | Oracle International Corporation | System and method for supporting host channel adapter (HCA) filtering in an engineered system for middleware and application execution |
| US9843512B2 (en) | 2013-08-27 | 2017-12-12 | Oracle International Corporation | System and method for controlling a data flow in an engineered system for middleware and application execution |
| US9723008B2 (en) * | 2014-09-09 | 2017-08-01 | Oracle International Corporation | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment |
| EP3397495A1 (en) * | 2015-12-28 | 2018-11-07 | The Procter and Gamble Company | Method and apparatus for applying a material onto articles with a pre-distorted transfer component |
| EP3397494A1 (en) * | 2015-12-28 | 2018-11-07 | The Procter and Gamble Company | Method and apparatus for applying a material onto articles using a transfer component that deflects on both sides |
| US10440152B2 (en) | 2016-01-27 | 2019-10-08 | Oracle International Corporation | System and method of initiating virtual machine configuration on a subordinate node from a privileged node in a high-performance computing environment |
| US10178027B2 (en) * | 2016-01-27 | 2019-01-08 | Oracle International Corporation | System and method for supporting inter subnet partitions in a high performance computing environment |
| US10972375B2 (en) * | 2016-01-27 | 2021-04-06 | Oracle International Corporation | System and method of reserving a specific queue pair number for proprietary management traffic in a high-performance computing environment |
| US11018947B2 (en) | 2016-01-27 | 2021-05-25 | Oracle International Corporation | System and method for supporting on-demand setup of local host channel adapter port partition membership in a high-performance computing environment |
| US10673644B2 (en) * | 2017-03-24 | 2020-06-02 | Oracle International Corporation | System and method to provide homogeneous fabric attributes to reduce the need for SA access in a high performance computing environment |
| US10868685B2 (en) | 2017-03-24 | 2020-12-15 | Oracle International Corporation | System and method to provide explicit multicast local identifier assignment for per-partition default multicast local identifiers defined as subnet manager policy input in a high performance computing environment |
| US11968132B2 (en) | 2017-03-24 | 2024-04-23 | Oracle International Corporation | System and method to use queue pair 1 for receiving multicast based announcements in multiple partitions in a high performance computing environment |
| CN106982232B (zh) * | 2017-05-23 | 2023-04-18 | 信联安宝(北京)科技有限公司 | 分立安全管理交换机 |
| CN112329024B (zh) * | 2020-11-17 | 2024-07-05 | 国网北京市电力公司 | 漏洞的检测方法及装置 |
| RU2757927C1 (ru) * | 2020-12-22 | 2021-10-25 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Министерства обороны Российской Федерации | Система управления защитой информации |
| CN113114698B (zh) * | 2021-04-21 | 2022-10-14 | 恒安嘉新(北京)科技股份公司 | 一种网络数据请求方法、系统、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
| US7113995B1 (en) * | 2000-10-19 | 2006-09-26 | International Business Machines Corporation | Method and apparatus for reporting unauthorized attempts to access nodes in a network computing system |
| US7290277B1 (en) * | 2002-01-24 | 2007-10-30 | Avago Technologies General Ip Pte Ltd | Control of authentication data residing in a network device |
Family Cites Families (102)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5758083A (en) | 1995-10-30 | 1998-05-26 | Sun Microsystems, Inc. | Method and system for sharing information between network managers |
| US6308148B1 (en) | 1996-05-28 | 2001-10-23 | Cisco Technology, Inc. | Network flow data export |
| JP3531367B2 (ja) | 1996-07-04 | 2004-05-31 | 株式会社日立製作所 | トランスレータ |
| US6012100A (en) | 1997-07-14 | 2000-01-04 | Freegate Corporation | System and method of configuring a remotely managed secure network interface |
| US6098098A (en) | 1997-11-14 | 2000-08-01 | Enhanced Messaging Systems, Inc. | System for managing the configuration of multiple computer devices |
| US6148336A (en) | 1998-03-13 | 2000-11-14 | Deterministic Networks, Inc. | Ordering of multiple plugin applications using extensible layered service provider with network traffic filtering |
| US6343320B1 (en) | 1998-06-09 | 2002-01-29 | Compaq Information Technologies Group, L.P. | Automatic state consolidation for network participating devices |
| US6286038B1 (en) | 1998-08-03 | 2001-09-04 | Nortel Networks Limited | Method and apparatus for remotely configuring a network device |
| US6697360B1 (en) | 1998-09-02 | 2004-02-24 | Cisco Technology, Inc. | Method and apparatus for auto-configuring layer three intermediate computer network devices |
| US6314531B1 (en) | 1998-09-29 | 2001-11-06 | International Business Machines Corporation | Method and system for testing and debugging distributed software systems by using network emulation |
| US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
| US6282678B1 (en) | 1999-01-08 | 2001-08-28 | Cisco Technology, Inc. | Generic test execution method and apparatus |
| US20020133620A1 (en) | 1999-05-24 | 2002-09-19 | Krause Michael R. | Access control in a network system |
| US6944158B1 (en) | 2000-02-18 | 2005-09-13 | Alcatel | Flow integrity for path transitioning data switch |
| US6658579B1 (en) | 2000-05-20 | 2003-12-02 | Equipe Communications Corporation | Network device with local timing systems for automatic selection between redundant, synchronous central timing systems |
| US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
| US9444785B2 (en) | 2000-06-23 | 2016-09-13 | Cloudshield Technologies, Inc. | Transparent provisioning of network access to an application |
| US6907470B2 (en) * | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
| US6941350B1 (en) | 2000-10-19 | 2005-09-06 | International Business Machines Corporation | Method and apparatus for reliably choosing a master network manager during initialization of a network computing system |
| US7409432B1 (en) | 2000-10-19 | 2008-08-05 | International Business Machines Corporation | Efficient process for handover between subnet managers |
| US7636772B1 (en) | 2000-10-19 | 2009-12-22 | International Business Machines Corporation | Method and apparatus for dynamic retention of system area network management information in non-volatile store |
| US6981025B1 (en) | 2000-10-19 | 2005-12-27 | International Business Machines Corporation | Method and apparatus for ensuring scalable mastership during initialization of a system area network |
| US7023795B1 (en) | 2000-11-07 | 2006-04-04 | Schneider Automation Inc. | Method and apparatus for an active standby control system on a network |
| US6772320B1 (en) | 2000-11-17 | 2004-08-03 | Intel Corporation | Method and computer program for data conversion in a heterogeneous communications network |
| US20040213220A1 (en) | 2000-12-28 | 2004-10-28 | Davis Arlin R. | Method and device for LAN emulation over infiniband fabrics |
| US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| WO2002088875A2 (en) * | 2001-04-27 | 2002-11-07 | The Boeing Company | Communicating data through a network |
| US20030005039A1 (en) | 2001-06-29 | 2003-01-02 | International Business Machines Corporation | End node partitioning using local identifiers |
| WO2003100622A1 (en) * | 2002-05-22 | 2003-12-04 | Procera Networks | Switch for local area network |
| US20040078709A1 (en) | 2002-07-11 | 2004-04-22 | International Business Machines Corporation | System, method, and product for providing a test mechanism within a system area network device |
| US7233570B2 (en) | 2002-07-19 | 2007-06-19 | International Business Machines Corporation | Long distance repeater for digital information |
| US7339929B2 (en) | 2002-08-23 | 2008-03-04 | Corrigent Systems Ltd. | Virtual private LAN service using a multicast protocol |
| US20040168089A1 (en) * | 2003-02-19 | 2004-08-26 | Hyun-Sook Lee | Security method for operator access control of network management system |
| US7792987B1 (en) | 2003-04-21 | 2010-09-07 | Juniper Networks, Inc. | Supporting virtual private networks using a first network topology for forwarding and a subset of the first network topology or a smaller topology for signaling |
| US7839843B2 (en) | 2003-09-18 | 2010-11-23 | Cisco Technology, Inc. | Distributed forwarding in virtual network devices |
| US7934020B1 (en) | 2003-09-19 | 2011-04-26 | Vmware, Inc. | Managing network data transfers in a virtual computer system |
| US20050071709A1 (en) | 2003-09-30 | 2005-03-31 | Rosenstock Harold N. | InfiniBand architecture subnet derived database elements |
| US7555002B2 (en) | 2003-11-06 | 2009-06-30 | International Business Machines Corporation | Infiniband general services queue pair virtualization for multiple logical ports on a single physical port |
| US20050108434A1 (en) * | 2003-11-13 | 2005-05-19 | Witchey Nicholas J. | In-band firewall for an embedded system |
| US7428598B2 (en) | 2003-11-20 | 2008-09-23 | International Business Machines Corporation | Infiniband multicast operation in an LPAR environment |
| US7843906B1 (en) | 2004-02-13 | 2010-11-30 | Habanero Holdings, Inc. | Storage gateway initiator for fabric-backplane enterprise servers |
| US8990430B2 (en) | 2004-02-19 | 2015-03-24 | Cisco Technology, Inc. | Interface bundles in virtual network devices |
| US7721324B1 (en) * | 2004-03-18 | 2010-05-18 | Oracle America, Inc. | Securing management operations in a communication fabric |
| US7398394B1 (en) | 2004-06-02 | 2008-07-08 | Bjorn Dag Johnsen | Method and apparatus for authenticating nodes in a communications network |
| US20070022479A1 (en) | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| US20060215673A1 (en) | 2005-03-11 | 2006-09-28 | Interdigital Technology Corporation | Mesh network configured to autonomously commission a network and manage the network topology |
| US7200704B2 (en) | 2005-04-07 | 2007-04-03 | International Business Machines Corporation | Virtualization of an I/O adapter port using enablement and activation functions |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US20070038703A1 (en) | 2005-07-14 | 2007-02-15 | Yahoo! Inc. | Content router gateway |
| US8601159B2 (en) | 2005-09-27 | 2013-12-03 | Microsoft Corporation | Distributing and arbitrating media access control addresses on ethernet network |
| US7548964B2 (en) | 2005-10-11 | 2009-06-16 | International Business Machines Corporation | Performance counters for virtualized network interfaces of communications networks |
| US7730286B2 (en) | 2005-12-30 | 2010-06-01 | Intel Corporation | Software assisted nested hardware transactions |
| US20070280104A1 (en) | 2006-06-01 | 2007-12-06 | Takashi Miyoshi | System and Method for Managing Forwarding Database Resources in a Switching Environment |
| US7519711B2 (en) * | 2006-06-15 | 2009-04-14 | International Business Machines Corporation | Method for middleware assisted system integration in a federated environment |
| US7660303B2 (en) | 2006-08-22 | 2010-02-09 | Corrigent Systems Ltd. | Point-to-multipoint functionality in a bridged network |
| US7898937B2 (en) | 2006-12-06 | 2011-03-01 | Cisco Technology, Inc. | Voting to establish a new network master device after a network failover |
| US20080159277A1 (en) | 2006-12-15 | 2008-07-03 | Brocade Communications Systems, Inc. | Ethernet over fibre channel |
| US8149834B1 (en) | 2007-01-25 | 2012-04-03 | World Wide Packets, Inc. | Forwarding a packet to a port from which the packet is received and transmitting modified, duplicated packets on a single port |
| US8706914B2 (en) | 2007-04-23 | 2014-04-22 | David D. Duchesneau | Computing infrastructure |
| US7975109B2 (en) | 2007-05-30 | 2011-07-05 | Schooner Information Technology, Inc. | System including a fine-grained memory and a less-fine-grained memory |
| US8135007B2 (en) | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
| US8589578B2 (en) | 2007-06-29 | 2013-11-19 | Toshiba America Research, Inc. | Streaming video over multiple network interfaces |
| US8645524B2 (en) | 2007-09-10 | 2014-02-04 | Microsoft Corporation | Techniques to allocate virtual network addresses |
| US8250641B2 (en) * | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
| US8068416B2 (en) | 2007-09-20 | 2011-11-29 | At&T Intellectual Property I, L.P. | System and method of communicating a media stream |
| DE102007052128A1 (de) * | 2007-10-31 | 2009-05-14 | Concept04 Gmbh | Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung |
| GB2458154B (en) | 2008-03-07 | 2012-06-27 | Hewlett Packard Development Co | Routing across a virtual network |
| US8516096B2 (en) | 2008-07-09 | 2013-08-20 | In Motion Technology Inc. | Cognitive wireless system |
| US8385202B2 (en) | 2008-08-27 | 2013-02-26 | Cisco Technology, Inc. | Virtual switch quality of service for virtual machines |
| US7966620B2 (en) | 2008-11-07 | 2011-06-21 | Microsoft Corporation | Secure network optimizations when receiving data directly in a virtual machine's memory address space |
| EP2192721A1 (en) | 2008-11-28 | 2010-06-02 | Thomson Licensing | A method of operating a network subnet manager |
| US8054832B1 (en) | 2008-12-30 | 2011-11-08 | Juniper Networks, Inc. | Methods and apparatus for routing between virtual resources based on a routing location policy |
| US20100228961A1 (en) | 2009-03-03 | 2010-09-09 | Erf Wireless, Inc. | Hierarchical secure networks |
| US7894440B2 (en) | 2009-03-13 | 2011-02-22 | Freescale Semiconductor, Inc. | Programmable hash-tuple generation with parallel rule implementation independence |
| US9817695B2 (en) | 2009-04-01 | 2017-11-14 | Vmware, Inc. | Method and system for migrating processes between virtual machines |
| US8589919B2 (en) | 2009-04-28 | 2013-11-19 | Cisco Technology, Inc. | Traffic forwarding for virtual machines |
| US8429647B2 (en) | 2009-05-06 | 2013-04-23 | Vmware, Inc. | Virtual machine migration across network by publishing routes to the associated virtual networks via virtual router after the start of migration of the virtual machine |
| US9497039B2 (en) | 2009-05-28 | 2016-11-15 | Microsoft Technology Licensing, Llc | Agile data center network architecture |
| US8589302B2 (en) | 2009-11-30 | 2013-11-19 | Intel Corporation | Automated modular and secure boot firmware update |
| US8654680B2 (en) | 2010-03-16 | 2014-02-18 | Force10 Networks, Inc. | Packet forwarding using multiple stacked chassis |
| US8887227B2 (en) | 2010-03-23 | 2014-11-11 | Citrix Systems, Inc. | Network policy implementation for a multi-virtual machine appliance within a virtualization environtment |
| JP5190084B2 (ja) | 2010-03-30 | 2013-04-24 | 株式会社日立製作所 | 仮想マシンのマイグレーション方法およびシステム |
| US8989187B2 (en) | 2010-06-04 | 2015-03-24 | Coraid, Inc. | Method and system of scaling a cloud computing network |
| WO2012006170A2 (en) | 2010-06-29 | 2012-01-12 | Huawei Technologies Co., Ltd. | Layer two over multiple sites |
| US8339951B2 (en) | 2010-07-28 | 2012-12-25 | Hewlett-Packard Development Company, L.P. | Method for configuration of a load balancing algorithm in a network device |
| EP2617159B1 (en) | 2010-09-17 | 2018-04-04 | Oracle International Corporation | System and method for facilitating protection against run-away subnet manager instances in a middleware machine environment |
| CN102457583B (zh) | 2010-10-19 | 2014-09-10 | 中兴通讯股份有限公司 | 一种虚拟机移动性的实现方法及系统 |
| US8391289B1 (en) | 2010-10-29 | 2013-03-05 | Hewlett-Packard Development Company, L.P. | Managing a forwarding table in a switch |
| US8453493B2 (en) | 2010-11-02 | 2013-06-04 | Agilent Technologies, Inc. | Trace gas sensing apparatus and methods for leak detection |
| US8756602B2 (en) | 2010-11-14 | 2014-06-17 | Brocade Communications Systems, Inc. | Virtual machine and application migration over local and wide area networks without timeout |
| US8718061B2 (en) | 2010-11-19 | 2014-05-06 | Industrial Technology Research Institute | Data center network system and packet forwarding method thereof |
| US8699499B2 (en) | 2010-12-08 | 2014-04-15 | At&T Intellectual Property I, L.P. | Methods and apparatus to provision cloud computing network elements |
| US20120173757A1 (en) | 2011-01-05 | 2012-07-05 | International Business Machines Corporation | Routing optimization for virtual machine migration between geographically remote data centers |
| US8875240B2 (en) | 2011-04-18 | 2014-10-28 | Bank Of America Corporation | Tenant data center for establishing a virtual machine in a cloud environment |
| US20120287931A1 (en) | 2011-05-13 | 2012-11-15 | International Business Machines Corporation | Techniques for securing a virtualized computing environment using a physical network switch |
| JP2012243254A (ja) | 2011-05-24 | 2012-12-10 | Intelligent Willpower Corp | バーチャルマシン提供システム |
| JP5776337B2 (ja) | 2011-06-02 | 2015-09-09 | 富士通株式会社 | パケット変換プログラム、パケット変換装置、及びパケット変換方法 |
| US8842671B2 (en) | 2011-06-07 | 2014-09-23 | Mellanox Technologies Ltd. | Packet switching based on global identifier |
| EP2719124B1 (en) | 2011-06-07 | 2018-04-11 | Hewlett-Packard Enterprise Development LP | A scalable multi-tenant network architecture for virtualized datacenters |
| US9766947B2 (en) | 2011-06-24 | 2017-09-19 | At&T Intellectual Property I, L.P. | Methods and apparatus to monitor server loads |
| US9363207B2 (en) | 2011-06-24 | 2016-06-07 | Cisco Technology, Inc. | Private virtual local area network isolation |
| JP2013033345A (ja) | 2011-08-01 | 2013-02-14 | Internatl Business Mach Corp <Ibm> | トランザクション処理システム、方法及びプログラム |
-
2012
- 2012-07-10 US US13/545,796 patent/US8739273B2/en active Active
- 2012-07-10 US US13/545,803 patent/US9332005B2/en active Active
- 2012-07-11 WO PCT/US2012/046219 patent/WO2013009846A1/en active Application Filing
- 2012-07-11 JP JP2014520272A patent/JP6043349B2/ja active Active
- 2012-07-11 CN CN201280030334.2A patent/CN103621038B/zh active Active
- 2012-07-11 EP EP12736044.4A patent/EP2754278B1/en active Active
-
2016
- 2016-09-26 JP JP2016186926A patent/JP6276358B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7113995B1 (en) * | 2000-10-19 | 2006-09-26 | International Business Machines Corporation | Method and apparatus for reporting unauthorized attempts to access nodes in a network computing system |
| US7290277B1 (en) * | 2002-01-24 | 2007-10-30 | Avago Technologies General Ip Pte Ltd | Control of authentication data residing in a network device |
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20130019303A1 (en) | 2013-01-17 |
| JP6043349B2 (ja) | 2016-12-14 |
| JP2014529370A (ja) | 2014-11-06 |
| EP2754278A2 (en) | 2014-07-16 |
| CN103621038A (zh) | 2014-03-05 |
| US8739273B2 (en) | 2014-05-27 |
| US20130019302A1 (en) | 2013-01-17 |
| US9332005B2 (en) | 2016-05-03 |
| WO2013009846A1 (en) | 2013-01-17 |
| WO2013009846A9 (en) | 2013-03-07 |
| JP6276358B2 (ja) | 2018-02-07 |
| JP2017059242A (ja) | 2017-03-23 |
| EP2754278B1 (en) | 2019-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103621038B (zh) | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 | |
| CN103597795B (zh) | 无限带宽(ib)网络中认证所发现的组件的身份的系统和方法 | |
| TWI733867B (zh) | 塊鏈實施之方法及系統 | |
| CN102422595B (zh) | 网络业务速率限制系统和方法 | |
| US7644168B2 (en) | SAS expander | |
| CN103650428B (zh) | 网络检疫系统、网络检疫方法及其程序 | |
| US20130081103A1 (en) | Enhanced Security SCADA Systems and Methods | |
| KR20130101107A (ko) | 유틸리티 애플리케이션을 위한 물리적으로 보증된 인가 | |
| CN105516091B (zh) | 一种基于sdn控制器的安全流过滤器及过滤方法 | |
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| CN106027463A (zh) | 一种数据传输的方法 | |
| CN1953449A (zh) | 一种核心、用于因特网的恶意软件问题的解决方案 | |
| CN105991647A (zh) | 一种数据传输的方法 | |
| CN106027476A (zh) | 一种身份证云认证系统及读卡系统 | |
| Dineva et al. | Security in IoT systems | |
| CN108322454B (zh) | 一种网络安全检测方法及装置 | |
| Furtak et al. | Procedures for sensor nodes operation in the secured domain | |
| CN109905408A (zh) | 网络安全防护方法、系统、可读存储介质及终端设备 | |
| EP3322131A1 (en) | Central switch device | |
| RU2509425C1 (ru) | Способ и устройство управления потоками данных распределенной информационной системы | |
| US8856882B2 (en) | Method of management in security equipment and security entity | |
| US8881260B1 (en) | High assurance guard for security applications utilizing authentication and authorization services for sources of network data | |
| Praus et al. | Secure Control Applications in Smart Homes and Buildings. | |
| JP2000354056A (ja) | 計算機ネットワークシステムおよびそのアクセス制御方法 | |
| Zhang et al. | Unified Modeling of Physical-Cyber-Logic-Attack-Protection for Digital Substation by Extension of IEC61850 Logic Space Model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |