CN103828307A - 网络环境分离 - Google Patents
网络环境分离 Download PDFInfo
- Publication number
- CN103828307A CN103828307A CN201280046710.7A CN201280046710A CN103828307A CN 103828307 A CN103828307 A CN 103828307A CN 201280046710 A CN201280046710 A CN 201280046710A CN 103828307 A CN103828307 A CN 103828307A
- Authority
- CN
- China
- Prior art keywords
- network
- packet
- mark
- network equipment
- separation module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开的主题尤其包括分离模块,分离模块在工作上可连接到可被操作用以便利于通信网络中的数据通信的网络设备,分离模块被配置成控制通信网络中的数据通信,分离模块被分配有将分离模块与给定网络环境相关联的网络id;分离模块被进一步配置成:标记由网络设备从第一方向接收到的数据包,以便将数据包与给定网络环境相关联;并且确定与由网络设备从第二方向接收到的数据包相关联的标记是否与被分配的网络id兼容,并且如果是,则从数据包去除标记并且允许数据包的传送。
Description
技术领域
本发明涉及信息安全性领域,并且更具体地涉及网络环境分离领域。
背景技术
在通信网络内的节点的组之间进行分离正成为信息安全性领域中的关键要素,其中每个组构成分离的网络环境。考虑例如图1中示出的网络架构,图1示出了由两个接入路由器(R1和R2)建立的通过经加密的虚拟专用网络(VPN)通道连接的局域网LAN1和LAN2(LAN-局域网)。例如,LAN1和LAN2可以表示位于地球上的不同位置处的同一组织的局域网。在图1中可以看出,在该网络的任一侧的路由器R1和R2每个都连接到多个节点。LAN1和LAN2中的节点被划分成部门A(例如工程)和部门B(例如会计)这些部门。LAN1和LAN2二者中被分配给部门A的节点构成第一网络环境并且LAN1和LAN2二者中被分配给部门B的节点构成第二网络环境。
由于各种原因,在同一组织中的不同部门之间维持清晰的分离并且建立分离的网络环境常常是有利的,这防止了从一个环境到另一个环境的未授权的数据传递。然而,虽然从一个LAN向另一LAN传递的数据可被加密,但是在数据进入了目标LAN的内部域时,它被解密并且变得易受未授权的环境的访问的攻击。
下面列出被认为与本发明公开的主题相关的公开参考文献来作为背景。本文中对参考文献的引用不应该被推断出意味着这些参考文献以任何方式与本发明公开的主题的可专利性相关。
针对局域网和城域网的虚拟桥接局域网IEEE标准:IEEE标准802.1QTM-2005、IEEE标准802.1Q-1998、IEEE标准802.1uTM-2001、IEEE标准802.1vTM-2001以及IEEE标准802.1sTM-2002。
发明内容
根据本发明公开的主题的一个方面,提供有一种分离模块:该分离模块在工作上可连接到可被操作用以便利于通信网络中的数据通信的网络设备,该分离模块被配置成控制通信网络中的数据通信,该分离模块被分配有将分离模块与给定网络环境相关联的网络id;该分离模块被进一步配置成:在网络id的帮助下标记由网络设备从第一方向接收到的数据包,以便将数据包与给定网络环境相关联;并且确定与由网络设备从第二方向接收到的数据包相关联的标记是否与被分配的网络id兼容,并且如果是,则从数据包去除标记并且允许数据包的传送。
根据本发明公开的主题的特定实施方式,分离模块是内部分离模块,其中,第一方向是朝着网络设备的上行链路方向,并且第二方向是远离网络设备的下行链路方向。
根据本发明公开的主题的特定实施方式,分离模块是外部分离模块,其中,第一方向是远离网络设备的下行链路方向,并且第二方向是朝着网络设备的上行链路方向。
根据本发明公开的主题的特定实施方式,分离模块包括被配置成使分离模块适于匹配第一方向性或第二方向性中的一个方向性的方向确定模块,其中,在第一方向性中,第一方向是朝着网络设备的上行链路方向并且第二方向是远离网络设备的下行链路方向,而在第二方向性中,第一方向是远离网络设备的下行链路方向并且第二方向是朝着网络设备的上行链路方向。
根据本发明公开的主题的特定实施方式,标记被施加于数据包的有效载荷。
根据本发明公开的主题的特定实施方式,根据权利要求1所述的分离模块进一步包括:
用于存储网络id的数据储存库和与被配置成进行标记的标记模块相关联的处理器;以及被配置成确定标记是否与分离模块兼容的验证模块。
根据本发明公开的主题的特定实施方式,分离模块被合并在安全性管理器中;安全性管理器在工作上连接到网络设备和外部网络、并且可被操作用以控制网络设备与外部网络之间的数据传送;安全性管理器包括被配置用于存储网络id的数据储存库或者以其它方式与被配置用于存储网络id的数据储存库相关联;分离模块被配置成:接收经由网络设备中的外部分离模块发送的数据包;数据包包括第一标记和第二标记;确定与数据包相关联的第二标记是否与存储在数据储存库中的网络id中的任何一个网络id兼容;如果是,则从数据包去除标记;并且确定与数据包相关联的第一标记是否与存储在数据储存库中的网络id中的任何一个网络id兼容;如果是,则从数据包去除标记;并且允许数据包向外部网络的传送。
根据本发明公开的主题的另一方面,提供有一种被配置成控制与一个或多个网络环境相关联的节点之间的数据通信的网络设备;该网络设备包括:至少第一分离模块和第二分离模块,第一分离模块在工作上连接到与网络设备相连接的第一节点;第一分离模块被配置成:在被分配给第一分离模块的网络id的帮助下标记从第一节点接收到的数据包,标记指示第一节点的相应的网络环境;并且朝着第二分离模块传送数据包。
根据本发明公开的主题的特定实施方式,第二分离模块与连接到网络设备的第二节点相关联;第二分离模块被配置成:接收数据包;确定与数据包相关联的标记是否与第二分离模块兼容;并且如果是,则从数据包去除标记并且允许数据包向第二节点的传送。
根据本发明公开的主题的特定实施方式,第二分离模块是与将网络设备连接到第二网络设备的外部通信网络相关联的外部分离模块;外部分离模块被配置成:用第二标记来标记从第一分离模块接收到的数据包,第二标记指示网络设备的相应的网络环境;并且朝着第二网络设备传送数据包。
根据本发明公开的主题的又一方面,一种安全小形状因子可插拔收发器(SFP)包括上述分离模块,SFP在工作上可连接到网络设备以便利于通信网络中的与网络设备的数据通信。
根据本发明公开的主题的再一方面,提供有一种控制通信网络中的数据传送的方法,该方法包括:
标记在通信网络中由网络设备从第一方向接收到的数据包;所述标记是在被分配给网络设备的网络id的帮助下进行的,网络id指示了数据包与给定网络环境相关联;并且确定与由网络设备从第二方向接收到的数据包相关联的标记是否与被分配给目标设备的网络id兼容,并且如果是,则从数据包去除标记并且允许数据包向目标设备的传送。
根据本发明公开的主题的特定实施方式,第一方向是朝着网络设备的上行链路方向,并且第二方向是远离网络设备的下行链路方向。
根据本发明公开的主题的特定实施方式,第一方向是远离网络设备的下行链路方向,并且第二方向是朝着网络设备的上行链路方向。
根据本发明公开的主题的特定实施方式,其中,网络设备连接到第一节点和第二节点,该方法包括:对从连接到网络设备的第一节点接收到的数据包进行标记;并且对向连接到网络设备的第二节点传送的数据包进行确定;从而控制第一节点与第二节点之间的数据传送。
根据本发明公开的主题的再一方面,提供有一种控制经由网络设备的在通信网络中的数据传送的方法,该方法包括:从连接到网络设备的第一节点接收目的地是连接到第二网络设备的第二节点的数据包;网络设备和第二网络设备通过通信网络相连接;用指示第一节点的相应的网络环境的标记来标记从第一节点接收到的数据包;用指示网络设备的相应的网络环境的第二标记来标记数据包;并且将数据包经由通信网络传送到第二网络设备;从而使得第二网络设备能够确定是否允许数据包的传送。
根据本发明公开的主题的特定实施方式,该方法进一步包括:接收来自第二网络设备的、目的地是连接到网络设备的节点的数据包;数据包包括第一标记和第二标记;在与数据包相关联的第二标记与网络设备兼容的情况下:从数据包去除标记;在与数据包相关联的第一标记与节点兼容的情况下:从数据包去除标记;并且允许数据包向节点的传送。
附图说明
为了理解本发明公开的主题并且为了了解在实际中如何进行本发明,现在将参照附图通过仅非限制性示例来描述主题,在附图中:
图1是示意性地示出了本领域中已知的网络架构的示例的框图;
图2是示意性地示出了根据本发明公开的主题的路由器和安全SFP收发器的功能框图;
图3是示意性地示出了根据本发明公开的主题的网络环境分离模块的功能框图;
图4是示意性地示出了根据本发明公开的主题的网络架构的功能框图;
图5是示出了根据本发明公开的主题进行的操作的流程图;
图6是示意性地示出了根据本发明公开的主题的另一网络架构的功能框图;
图7是示出了根据本发明公开的主题进行的操作的流程图;
图8是示意性地示出了根据本发明公开的主题的另一网络架构的功能框图;
图9是示出了根据本发明公开的主题进行的操作的流程图;
图10是示意性地示出了根据本发明公开的主题的安全性管理器的功能框图;以及
图11是示出了根据本发明公开的主题进行的操作的流程图。
具体实施方式
在附图和所阐述的描述中,相同的附图标记表示这些部件通用于不同的实施方式或配置。
除非特别声明,否则,在根据以下论述中显而易见,应该理解,贯穿本说明书,利用了术语例如“控制”、“标记”、“允许”、“验证”、“确定”等的论述包括操纵数据和/或将数据变换成其它数据的计算机的动作和/或过程,所述数据被表示为物理量例如电子量和/或所述数据表示物理对象。
如本文所使用的那样,短语“例如”、“比如”及其变型描述了本发明公开的主题的非限制性实施方式。本说明书中对“一个情况”、“一些情况”、“其它情况”或其变型的参照意味着关于一个或多个实施方式描述的特定的特征、结构或特性包括在本发明公开的主题的至少一个实施方式中。因此,短语“一个情况”、“一些情况”、“其它情况”或其变型的出现并不一定是指相同的一个或多个实施方式。
应该理解,为清楚起见在单独实施方式的上下文中描述的本发明公开的主题的一些特征也可以设置在单个实施方式的组合中。相反地,为了简便起见在单个实施方式的上下文中描述的本发明公开的主题的各种特征也可以单独地设置或设置在任何合适的子组合中。
在本发明公开的主题的实施方式中,可以执行比图5、图7、图9以及图11中示出的阶段更少、更多和/或不同的阶段。在本发明公开的主题的实施方式中,可以按不同的次序执行图5、图7、图9以及图11中示出的一个或多个阶段和/或可以同时执行一个或多个组的阶段。图2、图3、图4、图6、图8以及图10示出了根据本发明公开的主题的实施方式的系统和/或网络架构的一般示意图。图2、图3、图4、图6、图8以及图10中的模块可以由进行本文所限定并且说明的功能的软件、硬件和/或固件的任何组合组成。图2、图3、图4、图6、图8以及图10可以集中在一个位置或分散在多于一个位置的位置处。在本发明公开的主题的其它实施方式中,系统可以包括比图2、图3、图4、图6、图8以及图10中示出的模块更少、更多和/或不同的模块。
如上所述,往往期望创建组织内的分离的网络环境,并且从而防止未授权的数据在组织内的被分配给不同网络环境的不同节点之间传递。为此,本发明公开的主题的教示包括可被合并在网络设备内并且可以控制不同网络环境之间的数据传送的安全网络分离模块。本文所公开的安全网络分离模块适于使得能够验证在不同节点之间传送的数据包并且从而约束不同网络环境之间的数据包的未授权的传送。本发明公开的主题的安全网络分离模块(或简称为“分离模块”)可作为网络设备(例如交换机、路由器、介质转换器、先进的通信卡(ATC)等)的一部分被合并,并且可以被配置为写保护的仅可以由授权的人员并且用特定装备以安全方式访问和改变的指定可编程模块。特别地,安全网络分离模块被配置成被保护以免受经由相关联的网络通过远程访问修改其预编程的参数。
例如,可以将分离模块制造为写保护的存储器设备,例如具有高速可编程逻辑(取决于SFP带宽)的一次性可编程非易失性存储器(OTPNVM)。或者,分离模块可以是应用严格的写保护机制的可重新编程存储器设备,例如仅接受具有预加载的(及烧焦的)密钥的经加密的二进制的可编程FPGA。
分离模块可被合并在小形状因子(small form-factor)可插拔(SFP)收发器内以创建安全SFP。通常,SFP可以插入到标准SFP使能网络设备,并且用于为网络设备提供与光纤或铜网络电缆的接口以便利于网络中的不同节点之间的通信。本文所公开的安全SFP适于便利于分离模块的功能性并且使得能够验证在不同节点之间传送的数据包并且从而约束不同网络环境之间的数据包的未授权的传送。安全SFP可维持先前已知的SFP的核心结构,并且因此与现有的网络基础设施装备兼容。
在以下论述中,参照安全SFP来描述本发明公开的主题。然而,应该指出,安全SFP是非限制性的示例,并且本发明公开的主题构想了分离模块的其它实现方式,例如,在可被集成作为网络设备的主板的一部分的印刷电路板中。
还应该注意,虽然参照有线通信网络描述了本发明公开的主题的一些方面,但是这不应该被理解为限制,并且可以在有线通信网络或无线通信网络中实现本发明公开的主题,并且本发明公开的主题不限于任何特定类型的通信网络或协议。
图2是示意性地示出了根据本发明公开的主题的路由器和安全SFP收发器的框图。图2示出了包括适于在连接到路由器202的多个安全SFP(2061-n)之间进行互连并且使得能够进行数据传送的交换结构204的路由器202。图2还示出了一个安全SFP210的详细视图。安全SFP210包括用于与输入电缆物理地连接并且接收传入通信的物理接口212。物理接口连接到可被配置成例如对传入通信信号和传出通信信号分别进行模拟到数字转换和数字到模拟转换的物理层(Phy)214。
根据本发明公开的主题,SFP210进一步包括被配置成通过SFP210来控制数据传送的网络环境分离模块216(或简称为“分离模块”)。为此,分离模块216预编程有识别安全SFP210并且将安全SFP210分配给特定网络环境的“网络id”。
分离模块216被配置成接收由节点发送到路由器202的数据包(在交换结构方向上发送的上行链路数据包)并且基于其相应的网络id来标记数据包以指示节点的相应的网络环境。分离模块216被进一步配置成在相反方向上即从路由器202传送的数据包(远离交换结构发送的下行链路数据包)并且再次基于其相应的网络id来验证正被分配给同一网络环境的节点之间传送数据包。
在下行链路数据包的标记与被分配给接收SFP的网络id匹配的情况下,这意味着传送了数据的节点被分配给被分配给接收SFP的同一网络环境,并且因此分离模块216允许数据包向所请求的目标的传送。否则,在下行链路数据包的标记与被分配给接收SFP的网络id不匹配的情况下,这意味着将传送数据的节点和接收SFP分配给不同的网络环境,并且因此分离模块216拒绝数据包的传送。数据包可被丢弃或者被保存以用于监视的目的。
在安全SFP210内分离模块216的具体位置可以不同,例如,在安全SFP210包括用于存储MAC地址的网络接口卡(NIC)的情况下,分离模块216可以位于NIC卡的前边或后边。然而,为了使得能够控制到交换结构的数据的传送,分离模块216位于交换结构的前边。
图3是示意性地示出了根据本发明公开的主题的网络环境分离模块的功能框图。根据图3中示出的示例,网络环境分离模块216包括标记模块301、验证模块303以及剥离模块305。分离模块216还可以包括用于存储其网络id的非易失性计算机存储器309。在一些情况下,分离模块216还可以包括方向确定模块307。在一些配置中,可以将本文参照分离模块216描述的不同模块分布到分离的单元。因此,例如,可以在一个单元中配置标记模块301,并且可以在第二单元中配置验证模块303和剥离模块305。分离模块216可以与处理器(例如,位于SFP210中)相关联以获得处理能力。下面参照图5来提供对分离模块216中的不同模块的操作的更详细的描述。
图4是示意性地示出了根据本发明公开的主题的网络架构的功能框图。所示出的网络架构包括连接到多个节点(例如,计算机终端、计算机服务器、计算机设备如打印机或传真机等)的单个路由器R3。将连接到路由器R3的节点分配给不同的组(由字母A、B以及C表示),每个组构成不同的网络环境。如上所述,例如每个节点的组可以对应于同一组织中的不同部门。
在图4中可以看出,每个节点连接到路由器R3中的相应的安全SFP端口。在一些情况下,可以首先将被分配给同一组的部分节点或全部节点连接到进而可以将其连接到路由器R3的一个或多个中间路由器,而不是直接连接路由器R3的每个节点。此外,应该指出,可以使用多个互连的路由器,而不是如图4所公开的单个路由器(路由器R3)。
根据本发明公开的主题的教示来配置路由器R3以获得网络环境分离并且避免被分配给不同组的节点之间的数据传递。用如上所述的分离模块216来配置安全SFP端口(sSFP1-8)。
图5是示出了根据本发明公开的主题进行的操作的流程图。参照图4中呈现的网络架构来描述图5中的操作。例如,考虑从连接到路由器R3的第一计算机终端到连接到路由器R3的第二计算机终端的数据的通信。首先,将数据包从第一计算机终端传送到该第一计算机连接到其的路由器R3中的安全SFP210(例如SFP1)。
在块501处,在SFP1中接收数据包。如上所述,为了使得能够在不同组的节点之间进行网络环境分离,给每个组分配使得能够在由不同组的节点传送的数据包之间进行区分的不同的网络id。当在SFP1内的分离模块216中接收到数据包时,在被分配给传送节点的相应的网络环境的网络id(在此情况下,是被分配给组A的网络id)的帮助下标记上行链路数据包(块503)。例如,可以在将传送计算机连接到路由器R3的SFP1中(例如,在数据储存库309中)存储网络id。
数据包包括有效载荷和头部,其中有效载荷是实际数据并且头部承载包括数据包的目的地和源的元数据。根据本发明公开的主题,数据包的有效载荷可被标记,而头部保持不变。
可以通过标记模块301来进行对上行链路数据包的标记。不同类型的网络id和不同的方法可以用于标记数据包。例如,网络id可以是指定头部(例如,VLAN标准头部(802.1Q)可以用于标记4字节长的数据包),其中,可以通过将指定头部添加到有效载荷来标记数据包。在一些情况下,代之或此外,可以在弱加密(例如,网络id是具有固定密钥的弱一次一密加密)或强加密(通过使用具有匹配密钥的强加密模型)的帮助下标记数据包。
当由分离模块216来标记上行链路数据包时,将上行链路数据包转发到路由器R3中的交换结构202,在路由器R3中将上行链路数据包路由到将目标计算机终端连接到路由器R3的安全SFP(块505)。可以基于剩下未修改的数据包头部中的信息来完成路由。
接收安全SFP中的分离模块216被配置成验证数据包的标记与预编程在接收安全SFP中的网络id兼容(块507),并且如上所述那样识别接收安全SFP的网络环境。对数据包的标记的验证可以由分离模块216中的验证模块303来进行。
在一些情况下,可以允许单个网络环境与多个不同的其它网络环境(以下简称为“附属网络环境”)通信。在此情况下,单个分离模块216可以被配置成允许来自多个不同网络环境的数据的传送。由于可以给每个网络环境分配预定的网络id,所以可以给单个分离单元216提供关于附属网络环境的信息。为此,数据储存库309可以存储被分配给附属网络环境的一系列网络id。验证模块303可以被配置成在验证阶段期间(块507)确定数据包的标记是否与存储在数据储存库309中的附属网络环境的网络id中的任何一个网络id兼容。在传入数据包的标记与存储在数据储存库309中的网络id中的一个网络id兼容的情况下,允许数据包的通信。
验证的方式依赖于所使用的标记的类型。例如,在已经将指定头部添加到有效载荷的情况下,验证模块303可以简单地在附接到包的指定头部与由接收安全SFP预期的头部之间进行比较。
在标记更复杂的情况下,例如一些类型的加密,例如,验证模块303可以被配置成检查所使用的加密密钥是否是被分配给了接收安全SFP的同一加密密钥。例如,可以通过尝试对经加密的有效载荷进行解密来进行对数据的验证。在此情况下,分离模块216可以被配置成尝试对经加密的有效载荷进行解密。在解密成功的情况下,允许传送,并且在解密失败的情况下,拒绝数据的传送。
在验证表明数据包的标记与被分配给接收SFP的网络id(或在一些情况下,存储在数据储存库309中的任何其它网络id)匹配的情况下,去除标记并且将所剥离的数据包传送到目标节点例如目的地计算机终端(块509)。例如,可以在接收安全SFP的分离模块216的剥离模块305的帮助下完成对标记的去除。否则,如果验证表明下行链路数据包的标记与被分配给接收SFP的网络id不兼容,则拒绝到目标节点的数据包数据传送(块511)。
上述参照图5描述的机制使得能够强制执行网络环境分离。例如,由于基于嵌入到SFP端口内的网络id并且不是基于封装在数据包的头部中的节点的身份而通过标记数据包来维持网络环境分离,所以在另一网络环境中通过改变发送者的地址将数据从一个节点发送到另一节点的故意尝试(即,欺骗攻击)将会失败。
如上所述,仅通过非限制性示例来进行在描述中进行的对安全SFP的任何参考,并且本发明公开的主题构想了分离模块的其它实现方式,例如,在可被集成作为网络设备的主板的一部分的印刷电路板中。
图6是示意性地示出了根据本发明公开的主题的另一网络架构的功能框图。图6示出了与之前在图1中呈现的架构类似的架构。如上面参照图1所说明的,图6示出了由两个接入路由器(R11和R21)建立的通过经加密的VPN通道连接的局域网LAN11和局域网LAN21这两个局域网的示例。例如,LAN11和LAN21可以表示位于地球上的不同位置处的同一组织的由广域网(WAN)连接的局域网。根据当前示例,在网络的任一侧的路由器R11和路由器R21每个都连接到多个节点。根据所示出的示例,将LAN11和LAN21中的节点划分成部门A(例如工程)和部门B(例如会计)这两个部门。
每个组中的节点可以连接到有利于到路由器R11和路由器R21的连接的中间路由器(未示出)。为了约束不同组的节点之间的数据传送并且维持网络环境分离,路由器R11和路由器R21中的SFP是根据本文所公开的教示配置的安全SFP。
图7是示出了根据本发明公开的主题进行的操作的流程图。参照图6中呈现的网络架构来描述图7中的操作。
为了示例,假设数据正从LAN11中的组A中的计算机终端(在本文中,是“传送计算机终端”)向LAN21中的计算机终端传送。在块701处,从传送计算机终端传送上行链路数据包并且由路由器R11中的相应的安全SFP210来接收上行链路数据包。由安全SFP210中的分离模块216来处理上行链路数据包,然后给上行链路数据包标记被分配给该安全SFP210的网络id(块703)。
由于数据包是以位于通过WAN连接的另一LAN中的计算机终端为目标的,所以将数据包从内部安全SFP传送到外部安全SFP(块705)。如本文所使用的那样,术语“内部安全SFP”指的是连接在同一LAN中的节点之间的安全SFP。上面参照图4和图5描述了内部安全SFP。术语“外部安全SFP”指的是在到外部域的LAN例如另一LAN、公共网络(如因特网)或任何种类的共享资源之间连接的安全SFP。
在当前示例中,第一外部安全SFP将LAN11中的路由器R11连接到WAN(广域网)连接(ESFP1),并且第二外部安全SFP在其它侧(ESFP2)将LAN21中的路由器R21连接到WAN。将数据包从LAN11中的内部安全SFP转发到将路由器R11连接到外部网络的外部安全SFP。注意,已经由内部安全SFP第一次标记了从内部安全SFP传送到外部安全SFP的数据包(下行链路数据包)。
在块707处,由外部安全SFP用第二标记来第二次标记由外部安全SFP(ESFP1)接收到的下行链路数据包。第二标记是基于被分配给外部SFP的网络id的,并且第二标记识别数据包以作为由外部SFP发送到外部网络的数据包。由于仅由外部安全SFP来分配第二标记,所以不能由其它内部SFP来访问数据,除非该第二标记首先被剥离。例如这有助于防止到错误目标的数据的意外传送或故意传送。
例如可以在存储于外部安全SFP可访问的数据储存库309中的外部网络id的帮助下完成第二标记。在第二次标记了数据之后,将数据通过WAN传送到其目的地,在当前示例中,目的地是路由器R21中的外部安全SFP(ESFP2)(块709)。
在LAN21内的路由器R21中的外部安全SFP(ESFP2)处接收所传送的数据包(块711),其中接收SFP被配置成验证第二标记(块713)。在确定了上行链路数据包的标记与被分配给LAN21中的外部安全SFP(ESFP2)的网络id不兼容的情况下,拒绝数据包的传送(块715)。否则,在确定了上行链路数据包的标记与外部安全SFP(ESFP2)的外部网络id兼容的情况下,分离模块216被配置成从数据包中剥离第二标记并且基于数据包的头部中的信息将数据包转发到其目标内部安全SFP(块717)。
注意,不同地配置外部安全SFP和内部安全SFP。虽然这两种类型的SFP进行类似的操作,但是反转了操作的方向性。内部SFP标记上行链路数据包,并且从下行链路数据包中剥离标记。外部安全SFP标记(用第二标记)下行链路数据包,并且从上行链路数据包中剥离标记。
因此,根据本发明公开的主题,不同地配置外部安全SFP和内部安全SFP以适于其相应的功能性。为此,分离模块216可以可选地包括方向确定模块307。可以根据分离模块216所需要的功能性来配置方向确定模块307,并且方向确定模块307适应于分离模块216的方向性。
此外或替代地,可以制造内部分离模块和外部分离模块这两种类型的分离模块而不是方向确定模块307。然而,内部分离模块被配置成标记上行链路数据包并且剥离下行链路数据包,外部分离模块被配置成剥离上行链路数据包并且标记下行链路数据包。外部安全SFP可以包括外部分离模块,并且内部安全SFP可以包括内部分离模块。
回到图7,在块719处,在连接到目标节点的内部安全SFP处接收现在仅标记有单个标记的数据包,其中验证有效载荷的第一标记(块719)。
在验证表明下行链路数据包的标记与被分配给内部安全SFP的一个或多个网络id兼容的情况下,去除标记并且将所剥离的数据包传送到目标节点(块723)。这可以在接收内部安全SFP中的剥离模块305的帮助下完成。否则,如果验证表明传入数据包的标记与被分配给接收内部SFP的网络id不兼容,则拒绝到目标节点的数据包的传送(块721)。
如上所述,在存在有多个附属网络环境的情况下,验证模块303可以被配置成在验证阶段期间(块713和块719)确定数据包的标记是否与存储在数据储存库309中的附属网络环境的网络id中的任何一个网络id兼容。在传入数据包的标记与存储在数据储存库309中的网络id中的一个网络id兼容的情况下,允许数据包的通信。
图8是示意性地示出了根据本发明公开的主题的又一类型的网络架构的框图。图8示出了被划分成二者都连接到路由器R23的组A和组B这两个组的LAN(LAN23)。路由器R23经由防火墙FW连接到非军事区(DMZ)。FW也连接到位于DMZ内的安全性管理器SM并且连接到某种类型的外部共享资源例如公共网络(如因特网)或者共享的打印机或传真机。
防火墙FW被配置用于在组织的局域网与不可靠的外部资源之间添加额外的安全性层。防火墙FW被配置成强制执行安全性策略以给LAN提供更好的安全性,限制从LAN到外部资源的信息的泄漏以及限制从外部资源(如外部网络)攻击LAN的能力。为此,防火墙可以操作一个或多个防火墙应用程序以及其它可能的安全性措施,例如入侵检测和防御设备,抗病毒和垃圾邮件过滤器。
安全性管理器SM被配置成根据本发明公开的主题提供附加的安全性。如图8所示,安全性管理器SM可被实现为驻留在DMZ中的独立处理单元。在其它情况下,安全性管理器SM可作为FW的组成部分被合并。
防火墙FW和安全性管理器SM可以是,但不限于个人计算机或便携式计算机、服务器计算机或具有用于运行所需要的操作的适当的处理能力并且装备有合适的通信设备和计算机存储器(包括非暂态计算机存储器)的任何其它装置。一般而言,通常将服务器实现为其特点是更快的CPU、高性能的RAM以及可能多个硬盘驱动器和大容量存储空间的专用服务器计算机。防火墙FW和安全性管理器SM与被配置成管理和控制相关部件和操作并且响应于指令来执行任务的至少一个处理器相关联。
图10是示意性地示出了根据本发明公开的主题的安全性管理器SM的功能框图。SM可以包括包含标记模块301、验证模块303以及剥离模块305的分离模块216或类似的部件。安全性管理器SM还包括网络id确定模块1010和用于存储网络中的不同设备(例如,节点和网络设备)的地址以及其对应的网络id的数据储存库1012。安全性管理器还可以包括处理单元1014。下面参照图9来提供对安全性管理器中的不同模块的操作的更详细的描述。
图9是示出了根据本发明公开的主题进行的操作的流程图。参照图8中呈现的网络架构来描述图9中的操作。
在块901处,在安全性管理器SM中接收从LAN23外部的源(例如因特网)传送的数据包。数据包的目的地是LAN23中的节点。安全性管理器SM利用在数据包的头部中指定的目标节点的目的地地址,以在数据储存库1012中搜索并且定位被分配给连接到所请求的目标节点的内部安全SFP的相应的网络id。安全性管理器SM以类似的方式来识别被分配给将安全性管理器SM连接到路由器R23的外部安全SFP(ESFP)的网络id(块903)。这可以在网络id确定模块1010的帮助下完成。安全性管理器SM基于所识别的网络id用第一标记(对应于目标内部安全SFP)和第二标记(对应于目标外部安全SFP)来标记传入数据包(块905)。
可选地,SM可以确定是否授权了将目的地是某个目标设备的传入数据包发送到所请求的目标。例如,这可以由FW来完成。在确定了可以将数据包(例如,它不包括恶意的内容)转发到所请求的目标的情况下,可以如上所述地标记数据包。否则,可以拒绝数据的传送。
然后由安全性管理器SM将双重标记的数据包传送到在当前示例中是LAN23中的路由器R1的连接到目标LAN的外部安全SFP(块907)。在外部安全SFP中接收数据包(块909),其中,例如在验证模块303的帮助下,SFP确定数据包的第二标记是否与被分配给外部资源SFP的网络id一致(块911)。
在验证表明传入数据包的第二标记与被分配给外部安全SFP的网络id兼容的情况下,从数据包去除第二标记并且将数据包传送到是连接到目标节点的SFP的目标内部安全SFP(块913)。可以在外部SFP(ESFP)中的剥离模块305的帮助下完成对标记的去除。否则,如果验证表明传入数据包的标记与被分配给外部SFP(ESFP)的网络id不兼容,则拒绝数据包的进一步传送(块915)。
在块917处,由连接到目标节点的内部安全SFP(图8中的ISFP)来接收现在仅标记有第一标记的数据包,其中,例如在验证模块303的帮助下验证有效载荷的第一标记。在验证表明传入数据包的标记与被分配给内部安全SFP(ISFP)的网络id兼容的情况下,从数据包去除第一标记并且将所剥离的数据包传送到目标节点(块921)。否则,如果验证表明传入数据包的标记与被分配给内部SFP的网络id不兼容,则拒绝数据包的进一步传送并且丢弃数据包(块923)。
这种配置的DMZ可以有助于确保仅允许将通过DMZ(以及DMZ中的FW)的数据包传送到所请求的目的地(在此情况下,是LAN23)。
图11是示出了根据本发明公开的主题进行的操作的流程图。参照图8中呈现的网络架构并且参照经由安全性管理器SM从LAN23朝着外部资源的数据传送来描述图11中的操作。
在块1101处,从节点传送数据包并且由路由器R23中的相应的内部安全SFP来接收数据包。由位于内部安全SFP(例如ISFP)中的分离模块216来处理上行链路数据包,并且基于被分配给内部安全SFP210的网络id来标记传出数据包的有效载荷(块1103)。
由于数据包的目的地是位于LAN23外边(例如通过因特网连接)的节点,所以将数据包从内部安全SFP传送到连接到DMZ中的安全性管理器SM的外部安全SFP(图8中的ESFP)(块1105)。
如上面参照图7所说明的,由外部安全SFP用第二标记来第二次标记由外部安全SFP接收到的被标记了的数据包(块1107)。第二标记识别数据包以作为由外部SFP发送到外部资源的数据包。在第二次标记了数据之后,将数据传送到安全性管理器SM(块1109)。
在安全性管理器处接收所传送的数据块(块1111),其中,例如,安全性管理器被配置成在验证模块303的帮助下验证数据包的第二标记(块1113)。为此,网络id确定模块1010用于在数据储存库1012中定位源外部安全SFP(ESFP)的网络id。安全性管理器SM使用网络id来验证有效载荷的第二标记。
在确定了传入数据包的有效载荷的第二标记与被分配给源外部安全SFP(ESFP)的外部网络id不兼容的情况下,拒绝数据包的进一步传送(块1115)。否则,在确定了数据包的标记与源外部安全SFP(ESFP)的外部网络id兼容的情况下,安全性管理器中的剥离模块被配置成从数据包去除第二标记(块1117)。
在块1119处,例如,在验证模块303的帮助下,安全性管理器验证数据包的第一标记。如前面所描述的,网络id确定模块1010用于在数据储存库1012中定位源内部安全SFP的网络id。安全性管理器SM使用网络id来验证有效载荷的第二标记。
在确定了数据包的第一标记与被分配给源外部安全SFP的内部网络id不兼容的情况下,拒绝数据包的进一步传送(块1121)。否则,在确定了数据包的第一标记与源外部安全SFP(ISFP)的内部网络id兼容的情况下,安全性管理器中的剥离模块被配置成从有效载荷去除第一标记并且将数据包转发到外部资源(块1123)。
例如,数据储存库1012可以包括指示是否允许将从与某个网络环境相关联的设备(例如,节点或网络设备)传送的数据传送到连接到SM的外部网络的数据。这样,由验证模块303进行的验证包括确定第一标记和第二标记是否识别允许其将数据传送到外部网络的网络环境中的设备。
如上所述,在存在有多个附属网络环境的情况下,验证模块303可以被配置成在验证阶段期间(图9中的块911和块917以及图11中的块1113和块1119)确定数据包的标记是否与存储在数据储存库309中的附属网络环境的网络id中的任何一个网络id兼容。在传入数据包的标记与存储在数据储存库309中的网络id中的一个网络id兼容的情况下,允许数据包的通信。
上面参照图8和图11描述的机制使得能够强制执行对数据通信的约束。例如,由于基于嵌入到SFP端口内的网络id并且不是基于封装在数据包的头部中的节点的身份而通过标记数据包来维持网络环境分离,所以通过改变发送者的地址将数据从LAN23内的未授权的节点发送到位于LAN23外边的另一节点的故意尝试(即,欺骗攻击)将会被安全性监测器SM拦截。
还应该理解,可以以适当编程的计算机来实现本发明公开的主题。同样地,本发明公开的主题包括用于执行本发明公开的主题的方法的计算机可读的计算机程序。本发明公开的主题还构想了有形地体现了用于执行本发明公开的主题的方法的机器可执行的指令的程序的机器可读存储器。例如,机器可读存储器包括非暂态机器可读计算机存储器,例如CD-ROM、存储器设备、硬盘驱动器等。
要理解,本发明公开的主题不限于其到本文包含的描述中阐述的或附图中示出的细节的应用。本发明公开的主题能够具有其它实施方式,并且能够以各种方式来实践和进行。因此,要理解,本文所采用的措辞和术语是出于描述的目的,并且不应该被视为限制。正因为如此,本领域的普通技术人员将理解,可以将本公开内容基于其的构思容易地用作为用于设计用于进行本发明公开的主题的多个目的的其它结构、方法和系统的基础。
Claims (22)
1.一种分离模块:
所述分离模块在工作上能够连接到能够被操作用以便利于通信网络中的数据通信的网络设备,所述分离模块被配置成控制所述通信网络中的数据通信,所述分离模块被分配有将所述分离模块与给定网络环境相关联的网络id;所述分离模块被进一步配置成:
在所述网络id的帮助下标记由所述网络设备从第一方向接收到的数据包,以便将所述数据包与所述给定网络环境相关联;并且
确定与由所述网络设备从第二方向接收到的数据包相关联的标记是否与被分配的所述网络id兼容,并且如果是,则从所述数据包去除所述标记并且允许所述数据包的传送。
2.根据权利要求1所述的分离模块是内部分离模块,其中,所述第一方向是朝着所述网络设备的上行链路方向,并且所述第二方向是远离所述网络设备的下行链路方向。
3.根据权利要求1所述的分离模块是外部分离模块,其中,所述第一方向是远离所述网络设备的下行链路方向,并且所述第二方向是朝着所述网络设备的上行链路方向。
4.根据权利要求1所述的分离模块,包括被配置成使所述分离模块适于匹配第一方向性或第二方向性中的一个方向性的方向确定模块,其中,在所述第一方向性中,所述第一方向是朝着所述网络设备的上行链路方向并且所述第二方向是远离所述网络设备的下行链路方向,而在所述第二方向性中,所述第一方向是远离所述网络设备的下行链路方向并且所述第二方向是朝着所述网络设备的上行链路方向。
5.根据权利要求1所述的分离模块,其中,所述标记被施加于所述数据包的有效载荷。
6.根据权利要求1所述的分离模块被配置为一次性编程设备。
7.根据权利要求1所述的分离模块与多个网络id相关联,每个网络id被分配给相应的网络环境;所述分离模块被进一步配置成确定与由所述网络设备从所述第二方向接收到的数据包相关联的标记是否与所述多个网络id中的任何一个网络id兼容,并且如果是,则从所述数据包去除所述标记并且允许所述数据包的传送。
8.根据权利要求7所述的分离模块,包括用于存储所述多个网络id的数据储存库。
9.根据权利要求1所述的分离模块,进一步包括:
用于存储所述网络id的数据储存库和与被配置成进行所述标记的标记模块相关联的处理器;以及被配置成确定所述标记是否与所述分离模块兼容的验证模块。
10.一种被配置成控制与一个或多个网络环境相关联的节点之间的数据通信的网络设备;所述网络设备包括:
至少第一分离模块和第二分离模块,所述第一分离模块在工作上连接到与所述网络设备相连接的第一节点;
所述第一分离模块被配置成:在被分配给所述第一分离模块的网络id的帮助下标记从所述第一节点接收到的数据包,所述标记指示所述第一节点的相应的网络环境;并且朝着所述第二分离模块传送所述数据包。
11.根据权利要求10所述的网络设备,其中,所述第二分离模块与连接到所述网络设备的第二节点相关联;
所述第二分离模块被配置成:
接收所述数据包;
确定与所述数据包相关联的所述标记是否与所述第二分离模块兼容;并且如果是,
则从所述数据包去除所述标记并且允许所述数据包向所述第二节点的传送。
12.根据权利要求10所述的网络设备,其中,所述第二分离模块是与将所述网络设备连接到第二网络设备的外部通信网络相关联的外部分离模块;
所述外部分离模块被配置成:
用第二标记来标记从所述第一分离模块接收到的所述数据包,所述第二标记指示所述网络设备的相应的网络环境;并且朝着所述第二网络设备传送所述数据包。
13.根据权利要求12所述的网络设备,其中,所述第二外部分离模块被配置成:
接收从连接到所述第二网络设备的第二节点发送的数据包;所述数据包包括第一标记和第二标记;
确定与所述数据包相关联的所述第二标记是否与所述外部分离模块兼容;
如果是,则从所述数据包去除所述标记;
将所述数据包传送到所述分离模块;所述分离模块被配置成:
确定与所述数据包相关联的所述第一标记是否与所述分离模块兼容;
如果是,则从所述数据包去除所述标记;并且
将所述数据包传送到连接到所述网络设备的节点。
14.一种安全小形状因子可插拔收发器(SFP),包括根据权利要求1所述的分离模块,所述SFP在工作上能够连接到网络设备以便利于通信网络中的与所述网络设备的数据通信。
15.根据权利要求1所述的分离模块被合并在安全性管理器中;
所述安全性管理器在工作上连接到网络设备和外部网络、并且能够被操作用以控制所述网络设备与所述外部网络之间的数据传送;所述安全性管理器包括被配置用于存储网络id的数据储存库或者以其它方式与被配置用于存储网络id的数据储存库相关联;
所述分离模块被配置成:
接收经由所述网络设备中的外部分离模块发送的数据包;所述数据包包括第一标记和第二标记;
确定与所述数据包相关联的所述第二标记是否与存储在所述数据储存库中的网络id中的任何一个网络id兼容;
如果是,则从所述数据包去除所述标记;并且
确定与所述数据包相关联的所述第一标记是否与存储在所述数据储存库中的网络id中的任何一个网络id兼容;
如果是,则从所述数据包去除所述标记;并且
允许所述数据包向所述外部网络的传送。
16.一种控制通信网络中的数据传送的方法,所述方法包括:
标记在所述通信网络中由网络设备从第一方向接收到的数据包;所述标记是在被分配给所述网络设备的网络id的帮助下进行的,所述网络id指示了所述数据包与给定网络环境相关联;并且
确定与由所述网络设备从第二方向接收到的数据包相关联的标记是否与被分配给目标设备的网络id兼容,并且如果是,则从所述数据包去除所述标记并且允许所述数据包向所述目标设备的传送。
17.根据权利要求16所述的方法,其中,所述第一方向是朝着所述网络设备的上行链路方向,并且所述第二方向是远离所述网络设备的下行链路方向。
18.根据权利要求16所述的方法,其中,所述第一方向是远离所述网络设备的下行链路方向,并且所述第二方向是朝着所述网络设备的上行链路方向。
19.根据权利要求16所述的方法,其中,所述标记是对所述数据包的有效载荷进行的。
20.根据权利要求16所述的方法,其中,所述网络设备连接到第一节点和第二节点,所述方法包括:
对从连接到所述网络设备的第一节点接收到的数据包进行所述标记;并且
对向连接到所述网络设备的第二节点传送的所述数据包进行所述确定;从而控制所述第一节点与所述第二节点之间的数据传送。
21.一种控制经由网络设备的在通信网络中的数据传送的方法,所述方法包括:
从连接到所述网络设备的第一节点接收目的地是连接到第二网络设备的第二节点的数据包;所述网络设备和所述第二网络设备通过通信网络相连接;
用指示所述第一节点的相应的网络环境的标记来标记从所述第一节点接收到的所述数据包;
用指示所述网络设备的相应的网络环境的第二标记来标记所述数据包;并且将所述数据包经由所述通信网络传送到所述第二网络设备;
从而使得所述第二网络设备能够确定是否允许所述数据包的传送。
22.根据权利要求21所述的方法,进一步包括:
接收来自所述第二网络设备的、目的地是连接到所述网络设备的节点的数据包;所述数据包包括第一标记和第二标记;
在与所述数据包相关联的所述第二标记与所述网络设备兼容的情况下:
从所述数据包去除所述标记;
在与所述数据包相关联的所述第一标记与所述节点兼容的情况下:
从所述数据包去除所述标记;并且
允许所述数据包向所述节点的传送。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IL214830 | 2011-08-25 | ||
| IL214830A IL214830A0 (en) | 2011-08-25 | 2011-08-25 | Network environment separation |
| PCT/IL2012/050321 WO2013027218A2 (en) | 2011-08-25 | 2012-08-22 | Network environment separation |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103828307A true CN103828307A (zh) | 2014-05-28 |
Family
ID=45855129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280046710.7A Pending CN103828307A (zh) | 2011-08-25 | 2012-08-22 | 网络环境分离 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9515992B2 (zh) |
| EP (1) | EP2748981B1 (zh) |
| KR (1) | KR20140059818A (zh) |
| CN (1) | CN103828307A (zh) |
| IL (2) | IL214830A0 (zh) |
| SG (2) | SG10201604184RA (zh) |
| WO (1) | WO2013027218A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795705A (zh) * | 2012-10-31 | 2014-05-14 | 波音公司 | 用于交换安全的数据包的时间锁定的网络和节点 |
| CN106302157A (zh) * | 2015-05-11 | 2017-01-04 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IL214867A0 (en) | 2011-08-29 | 2012-01-31 | Elta Systems Ltd | Moving cellular communicatio system |
| US9549234B1 (en) * | 2012-12-28 | 2017-01-17 | Enginuity Communications Corporation | Methods and apparatuses for implementing a layer 3 internet protocol (IP) echo response function on a small form-factor pluggable (SFP) transceiver and providing a universal interface between an SFP transceiver and network equipment |
| US9424937B2 (en) * | 2013-02-25 | 2016-08-23 | U.S. Department Of Energy | Method for programming a flash memory |
| US10110710B2 (en) | 2014-04-03 | 2018-10-23 | Centurylink Intellectual Property Llc | System and method for implementing extension of customer LAN at provider network service point |
| US10698569B2 (en) | 2014-04-03 | 2020-06-30 | Centurylink Intellectual Property Llc | System and method for implementing customer control point or customer portal |
| US10481938B2 (en) | 2015-05-06 | 2019-11-19 | Centurylink Intellectual Property Llc | System and method for implementing network experience shifting |
| US10673978B2 (en) | 2015-05-06 | 2020-06-02 | Centurylink Intellectual Property Llc | Method and system for implementing network experience shifting using shared objects |
| US10673893B2 (en) * | 2016-08-31 | 2020-06-02 | International Business Machines Corporation | Isolating a source of an attack that originates from a shared computing environment |
| US10374835B2 (en) * | 2017-06-12 | 2019-08-06 | Centurylink Intellectual Property Llc | Universal broadband network gateway |
| US10667118B2 (en) * | 2018-04-10 | 2020-05-26 | C LAN Wireless, Inc. | Synchronous communications in a multiple-input synchronous transfer network |
| US11218494B2 (en) * | 2019-07-26 | 2022-01-04 | Raise Marketplace, Llc | Predictive fraud analysis system for data transactions |
| KR102422152B1 (ko) * | 2022-04-20 | 2022-07-18 | 아토리서치(주) | SDN 기반 ITS 네트워크에서 현장 인프라 관리자에 따라 가상 네트워크를 분리하는 vCPE 디바이스와 그 동작 방법 |
| KR20240105074A (ko) | 2022-12-28 | 2024-07-05 | 아토리서치(주) | Its 도로 네트워크 환경에서의 sdn 및 nfv 기반 종단간 통신 서비스 제공 시스템 및 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020091795A1 (en) * | 2001-01-05 | 2002-07-11 | Michael Yip | Method and system of aggregate multiple VLANs in a metropolitan area network |
| WO2002079949A2 (en) * | 2001-03-30 | 2002-10-10 | Netscreen Technologies, Inc. | Internet security system |
| CN1606849A (zh) * | 2001-12-20 | 2005-04-13 | 克雷耐特系统公司 | 个人虚拟桥接局域网 |
| US20060294297A1 (en) * | 2005-06-22 | 2006-12-28 | Pankaj Gupta | Access control list processor |
| WO2009039374A1 (en) * | 2007-09-21 | 2009-03-26 | Anda Networks, Inc. | Data flow mirroring |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7782784B2 (en) * | 2003-01-10 | 2010-08-24 | Cisco Technology, Inc. | Port analyzer adapter |
| FI116382B (fi) | 2003-04-22 | 2005-11-15 | Liekki Oy | Menetelmä hiukkasten varaamiseksi materiaalin valmistusprosessissa sekä hiukkasten varauslaite |
| US7869450B2 (en) * | 2004-04-05 | 2011-01-11 | Verizon Business Global Llc | Method and apparatus for processing labeled flows in a communication access network |
| US9497039B2 (en) | 2009-05-28 | 2016-11-15 | Microsoft Technology Licensing, Llc | Agile data center network architecture |
-
2011
- 2011-08-25 IL IL214830A patent/IL214830A0/en unknown
-
2012
- 2012-08-22 KR KR1020147007583A patent/KR20140059818A/ko not_active Application Discontinuation
- 2012-08-22 US US14/240,863 patent/US9515992B2/en active Active
- 2012-08-22 CN CN201280046710.7A patent/CN103828307A/zh active Pending
- 2012-08-22 SG SG10201604184RA patent/SG10201604184RA/en unknown
- 2012-08-22 SG SG11201400190VA patent/SG11201400190VA/en unknown
- 2012-08-22 EP EP12768907.3A patent/EP2748981B1/en not_active Not-in-force
- 2012-08-22 WO PCT/IL2012/050321 patent/WO2013027218A2/en active Application Filing
-
2014
- 2014-02-24 IL IL231099A patent/IL231099A/en active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020091795A1 (en) * | 2001-01-05 | 2002-07-11 | Michael Yip | Method and system of aggregate multiple VLANs in a metropolitan area network |
| WO2002079949A2 (en) * | 2001-03-30 | 2002-10-10 | Netscreen Technologies, Inc. | Internet security system |
| CN1606849A (zh) * | 2001-12-20 | 2005-04-13 | 克雷耐特系统公司 | 个人虚拟桥接局域网 |
| US20060294297A1 (en) * | 2005-06-22 | 2006-12-28 | Pankaj Gupta | Access control list processor |
| WO2009039374A1 (en) * | 2007-09-21 | 2009-03-26 | Anda Networks, Inc. | Data flow mirroring |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795705A (zh) * | 2012-10-31 | 2014-05-14 | 波音公司 | 用于交换安全的数据包的时间锁定的网络和节点 |
| CN103795705B (zh) * | 2012-10-31 | 2018-06-05 | 波音公司 | 用于交换安全的数据包的时间锁定的网络和节点 |
| CN106302157A (zh) * | 2015-05-11 | 2017-01-04 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2748981A2 (en) | 2014-07-02 |
| EP2748981B1 (en) | 2017-11-22 |
| WO2013027218A2 (en) | 2013-02-28 |
| US9515992B2 (en) | 2016-12-06 |
| IL214830A0 (en) | 2012-02-29 |
| IL231099A0 (en) | 2014-04-30 |
| IL231099A (en) | 2017-08-31 |
| KR20140059818A (ko) | 2014-05-16 |
| SG10201604184RA (en) | 2016-07-28 |
| US20150052600A1 (en) | 2015-02-19 |
| WO2013027218A3 (en) | 2013-07-04 |
| SG11201400190VA (en) | 2014-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103828307A (zh) | 网络环境分离 | |
| EP3228054B1 (en) | Inter-domain service function chaining | |
| CN101300806B (zh) | 用于处理安全传输的系统和方法 | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| US9184995B2 (en) | Traffic visibility in an open networking environment | |
| US10091102B2 (en) | Tunnel sub-interface using IP header field | |
| EP2782309B1 (en) | Bidirectional forwarding detection (bfd) session negotiation method, device and system | |
| CN107005483B (zh) | 用于高性能网络结构安全的技术 | |
| EP3016332B1 (en) | Multi-connection system and method for service using internet protocol | |
| CN112385185B (zh) | 基于软件定义网络的业务功能链的实现 | |
| CN105591926A (zh) | 一种流量保护方法及装置 | |
| US9015825B2 (en) | Method and device for network communication management | |
| CN109474507B (zh) | 一种报文转发方法及装置 | |
| US11025639B2 (en) | Security access for a switch device | |
| US20210234812A1 (en) | Traffic broker for routing data packets through sequences of in-line tools | |
| TWI510956B (zh) | 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法 | |
| CN105743863A (zh) | 一种对报文进行处理的方法及装置 | |
| US20150143516A1 (en) | Session hopping | |
| US9455957B2 (en) | Map sharing for a switch device | |
| CN104092708A (zh) | 对转发报文加密的方法和设备、及报文转发的方法和设备 | |
| Leischner et al. | Security through VLAN segmentation: Isolating and securing critical assets without loss of usability | |
| CN108462702B (zh) | 用于运行总线上的控制设备的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140528 |