CN103875214B - 用于以太网网络的具有安全检测的智能phy - Google Patents
用于以太网网络的具有安全检测的智能phy Download PDFInfo
- Publication number
- CN103875214B CN103875214B CN201280049544.6A CN201280049544A CN103875214B CN 103875214 B CN103875214 B CN 103875214B CN 201280049544 A CN201280049544 A CN 201280049544A CN 103875214 B CN103875214 B CN 103875214B
- Authority
- CN
- China
- Prior art keywords
- packet
- module
- physical layer
- control module
- bus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2878—Access multiplexer, e.g. DSLAM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Small-Scale Networks (AREA)
Abstract
一种物理层设备包括存储器、存储器控制模块、以及物理层模块。该存储器控制模块被配置为控制对该存储器的访问。该物理层模块被配置为经由该存储器控制模块将分组存储在该存储器中。该物理层模块包括被配置为经由网络从网络设备接收这些分组的接口以及接口总线。该接口总线包括控制模块和正则表达式模块中的至少一个模块。该控制模块和该正则表达式模块中的该至少一个模块被配置为,检查这些分组以确定这些分组的安全级别。网络接口被配置为,基于该安全级别向与该物理层设备分离的设备提供这些分组。
Description
相关申请的交叉引用
本申请要求对2012年8月10日提交的美国非临时申请No.13/571,870的优先权,并且也要求2011年8月10日提交的美国临时申请No.61/522,158、2011年9月12日提交的美国临时申请No.61/533,436、以及2011年10月21日提交的美国临时申请No.61/550,315的权益。上述申请的公开内容以它们的整体通过引用并入本文。
技术领域
本公开内容涉及网络设备内的安全检测系统。
背景技术
本文所提供的背景技术描述是为了一般性地呈现公开内容的背景的目的。当前名义的发明人的工作,到这一背景技术章节中描述该工作的程度上,以及该描述的可能在提交时以其他方式不够资格作为现有技术的方面,既不明确地也不隐含地承认为相对于本公开内容的现有技术。
接入网络提供两个或者更多网络设备之间和/或网络设备与因特网之间的连接。这些网络设备可以包括例如用户设备、外围设备、以及数据存储设备。这些设备可以位于一个或多个网络中。在这些设备之间和/或在这些设备与因特网之间对上行链路和/或下行链路信号建立这些连接。
作为示例,基于以太网的接入网络可以包括接入机架。接入机架提供网络设备之间和/或这些网络设备与因特网之间的连接。接入机架可以包括例如结构卡(例如,2个结构卡)和线路卡(例如,16个线路卡)。这些结构卡中的每个结构卡能够连接到这些线路卡中的每个线路卡。这些线路卡经由以太网网络连接到这些网络设备。这些线路卡中的一个或多个线路卡的预定端口或者上行链路端口可以连接到因特网。这些结构卡提供这些线路卡之间的连接。这些线路卡提供这些网络设备与这些结构卡之间和/或这些结构卡与因特网之间的连接。
这些结构卡中的每个结构卡通常包括聚合交换机和中央控制模块。聚合交换机在线路卡之间提供连接,用以例如从a)连接到第一线路卡的第一用户设备向b)连接到第二线路卡的第二用户设备或者因特网路由信号。中央控制模块控制这些连接的状态和这些线路卡之间的分组传送。这些线路卡中的每个线路卡通常包括接入交换机和多个PHY设备(例如,6个PHY设备)。这些PHY设备中的每个PHY设备包括一个或多个PHY模块。接入交换机提供位于结构卡上的聚合交换机与这些PHY模块之间的连接。
发明内容
一种物理层设备被提供并且包括存储器、存储器控制模块、以及物理层模块。该存储器控制模块被配置为控制对该存储器的访问。该物理层模块被配置为经由该存储器控制模块将分组存储在该存储器中。该物理层模块包括被配置为经由网络从网络设备接收这些分组的接口以及接口总线。该接口总线包括控制模块和正则表达式模块中的至少一个模块。该控制模块和该正则表达式模块中的该至少一个模块被配置为,检查这些分组以确定这些分组的安全级别。网络接口被配置为,基于该安全级别向与该物理层设备分离的设备提供这些分组。
在其他特征中,一种方法被提供并且包括在物理层模块的接口处经由网络从网络设备接收分组。从物理层设备向存储器控制模块传送这些分组以将这些分组存储在存储器中。该物理层设备包括该物理层模块。该物理层模块包括接口总线。经由控制模块和正则表达式模块中的至少一个模块来检查这些分组,以确定这些分组的安全级别。该接口总线包括该控制模块和该正则表达式模块中的该至少一个模块。基于该安全级别,经由物理层接口向与该物理层设备分离的设备提供这些分组。
在其他特征中,一种物理层设备也被提供并且包括存储器接口、存储器控制模块、物理层模块、以及第二网络接口。该存储器接口连接到该存储器。该存储器控制模块被配置为控制对该存储器的访问。该物理层模块被配置为,在第一网络接口处经由网络从网络设备接收分组,并且经由该存储器控制模块将这些分组存储在该存储器中。该物理层模块与该存储器分离。该第二网络接口被配置为,向与该物理层设备和该存储器分离的设备提供这些分组。
根据详细描述、权利要求和附图,本公开内容的进一步适用性领域将变得清楚。详细描述和具体示例意图为仅用于举例说明的目的并且不意图为限制本公开内容的范围。
附图说明
从详细描述和附图,本公开内容将变得更完全地被理解,在这些附图中:
图1是根据本公开内容的并入接入机架的接入网络的功能框图;
图2是图1的接入机架的一部分的功能框图;
图3是根据本公开内容的并入PHY设备的另一接入网络的功能框图;
图4是根据本公开内容的PHY设备的功能框图;
图5是根据本公开内容的提供多级别安全检测的PHY模块的入口部分的功能框图;
图6是根据本公开内容的网络接口的功能框图;以及
图7图示了根据本公开内容的包括安全检测方法的网络接入方法。
具体实施方式
接入网络可以包括具有结构卡和线路卡的接入机架。这些结构卡可以每个都包括聚合交换机和中央控制模块。这些线路卡可以每个都包括接入交换机和多个PHY设备。因为结构卡中的每个结构卡包括中央控制模块和聚合交换机并且线路卡中的每个线路卡包括接入交换机,所以与接入机架相关联的控制平面是复杂的。这些线路卡由于包括和操作接入交换机而可以被称为高成本和/或高功率卡。接入机架可能升级受限制,因为需要更换线路卡中的每个线路卡以便于执行控制特定升级(例如,为了改变如何提供交换机连接的升级)。
在下列示例中,提供了多个接入网络。第一接入网络在图1-2中被公开并且包括不包括接入交换机的线路卡。经由结构卡来提供这些线路卡之间、网络设备之间、以及这些网络设备与因特网之间的切换。作为结果,这些线路卡可以被称为低成本和/或低功率线路卡。这些线路卡包括可以被配置为执行深度分组检查(DPI)的PHY模块。DPI包括检查分组以确定分组是否为有效分组或者无效分组。当分组具有不正确格式、包含与攻击和/或病毒相关联的模式、具有不恰当的(多个)值、包括垃圾信息、引入安全威胁和/或不满足预定义准则时,该分组可能是无效分组。DPI可以包括检查一个或多个分组的头部和/或有效载荷。这些头部可以包括例如网际协议(IP)头部、传输控制协议(TCP)、用户数据报协议(UDP)、和/或其他头部。
因为这些线路卡不包括接入交换机并且这些结构卡控制用于这些线路卡、网络设备、以及因特网的接入、聚合和切换功能,所以该接入网络机架可容易升级。在升级期间,可以更改和/或更换控制逻辑、软件、和/或硬件。可以通过简单地更换结构卡而不是线路卡中的一个或多个来升级该接入网络。此外,减少了与接入网络相关联的控制平面的复杂度,因为如与在多个线路卡和结构卡中执行对照地,在一个或多个集中位置中执行连接切换。下文描述了图1-2的接入网络以及其他示例接入网络和关联特征。
在图1中,示出了接入网络10。作为示例,接入网络10可以是应用感知网络。应用感知网络是与应用和服务直接协作以最大化网络对应用特定要求的响应性的网络。应用感知网络中的模块可以运送对象,这些对象包括将在网络中的不同点处被调用的方法。根据这些方法来执行对交换机和处理设备的应用特定编程。这些模块执行定制的计算和资源管理以满足应用特定要求。应用感知网络可以被用来管理专有网络和/或局域网(LAN)的安全。
接入网络10可以包括接入机架12、网络14、因特网16、以及网络设备18(示出了p个网络设备)。接入机架12经由网络14连接到这些网络设备18。网络14可以是例如以太网网络。接入机架12在这些网络设备18之间和/或在这些网络设备18与因特网16之间路由信号。这些网络设备18可以包括用户设备、外围设备、和/或数据存储设备。这些用户设备可以包括计算机、蜂窝电话、机顶盒、电视等。
接入机架12包括一个或多个结构卡20(示出了2个)和一个或多个线路卡22(示出了n个)。这些线路卡22包括PHY设备24。在图4中示出了PHY设备的示例。在所示出的示例中,线路卡22中的每个线路卡包括m个PHY设备。作为示例,接入机架12可以包括48个线路卡,其中这些线路卡中的每个线路卡包括一个或多个PHY设备(例如,6个PHY设备)。结构卡20中的每个结构卡包括聚合交换机26,聚合交换机26提供这些线路卡22之间、在相同线路卡上的这些PHY设备24之间、和/或在线路卡22中的不同线路卡上的PHY设备之间的连接。
现在也参考图2,示出了接入机架12的一部分30。部分30包括结构卡20之一(指定为32)和线路卡22之一(指定为34)。结构卡20中的每个结构卡可以包括中央控制模块36、聚合交换机(在图2中指定为38)、以及存储器设备40。在一个实施方式中,在聚合交换机38中不包括中央控制模块36。聚合交换机38在线路卡22上的PHY设备24之间切换并且提供集中式切换。中央控制模块36可以控制聚合交换机38中的交换机42中的状态。
存储器设备40可以每个都包括例如双倍数据速率类型3(DDR3)同步随机存取存储器(SRAM)和/或其他适当存储器,诸如动态随机存取存储器(DRAM)。线路卡22中的每个线路卡包括PHY设备24中的相应PHY设备(在图2中第一线路卡34的示例PHY设备被指定为44)并且不包括接入交换机。接入交换机指代位于线路卡上并且被配置为提供该线路卡与接入机架的结构卡之间的连接的交换机。
PHY设备44使得集中式切换成为可能。切换不在PHY设备44处被执行,而是在结构卡20处被执行。PHY设备44向结构卡44转发所接收的分组,以然后向所预期的或者原始选择的目的地转发。PHY设备44中的每个PHY设备可以执行DPI。这在接入网络30的边缘处提供了DPI。接入网络的边缘可以指代接入机架32与网络14之间的边界和/或接入机架32与网络设备18之间的边界。DPI可以包括,当PHY设备44之一的PHY模块不能确定分组是否为有效分组或者无效分组时,向中央控制模块36发送分组。作为示例,可以经由聚合交换机38从PHY模块向中央控制模块36转发分组用于检查。中央控制模块36可以检查该分组以确定该分组的有效性,并且然后基于该检查的结果来指令PHY模块丢弃(即删除和/或防止与该分组类似的分组的进一步传输)或者转发与第一分组类似的分组。可以丢弃无效分组,而可以转发有效分组。类似的分组可以指代具有相同格式、源地址、目的地地址、和/或其他分组参数和/或字段的分组。
PHY模块可以检查入口分组、朝向聚合交换机38转发这些入口分组、向中央控制模块36用隧道传输这些入口分组、和/或丢弃这些入口分组中的无效或者不安全的入口分组。在分组检查期间,PHY设备44的PHY硬件将入口分组标识为:有效分组;将对其执行进一步的本地化检查的分组;将对其执行集中式检查的分组;或者无效分组。本地化检查指代在PHY设备44内和/或由在PHY设备44内的模块所执行的检查。集中式检查指代在PHY设备44外部并且在例如中央控制模块36中所执行的检查。有效分组可以指代快速(在预定时段内)和/或清楚地被确定为是安全和正确的(不具有一个或多个错误)和/或具有恰当格式、签名、和/或模式的分组。作为示例,从特定本地源所接收的分组可以基于所接收的源的地址而被确定为有效。
对其将执行进一步集中式检查的分组可以指代如下的分组,该分组已经被PHY硬件和/或关联PHY设备的模块检查,但是没有快速和/或清楚地被确定为是有效分组。这样的分组可能具有一个或多个错误、未知格式,包括可疑内容,或者来自在本地网络以外的远程源。由于这一原因,该分组可以由中央控制模块36进一步检查。
隧道分组指代如下的分组:该分组对PHY设备和/或PHY设备的模块是不可识别的;可能已经被PHY设备和/或PHY设备的模块检查;和/或PHY设备和/或PHY设备的模块不能确定该分组是否为有效分组或者无效分组。隧道分组可能没有被PHY设备和/或PHY设备的模块检查并且可以简单地被转发给中央控制模块36。无效分组是通过检查而被确定为无效的分组。无效分组可能具有不恰当格式、签名、模式、和/或值。如果分组由PHY设备和/或PHY设备的模块确定为无效,则该分组可以被丢弃、被删除、被防止转发给接入机架中的设备或模块,和/或可以不被转发给结构卡20之一。隧道分组和将对其执行进一步本地化检查的分组可以被称为可疑分组。
PHY设备24、44中的每个PHY设备可以包括通向结构卡20中的每个结构卡的通信链路。在图2中,FC1指代结构卡1。FC2指代结构卡2。通信链路FC1、FC2中的每个通信链路的下标指代PHY设备44之一。例如,FC1指代结构卡1与PHY设备1之间的通信链路。提供了两个通信链路用于负载平衡和/或接口冗余性。负载平衡可以包括在相同时间段期间通过两个或者更多链路传送相等数量的数据。接口冗余性可以指代包括两个或者更多接口(或者通信链路),其中假如接口被禁用或者不可用,则提供这些接口中的一个或多个接口作为备份。
存储器设备40可以被用来存储指令、代码、规则、表格、和/或分组数据。这些指令、代码、规则、和/或表格可以由中央控制模块36、聚合交换机38、和/或PHY设备44在执行DPI时和/或在控制交换机42的状态时使用。存储器设备40可以被用来存储:正在被检查的分组;将被检查的所选分组的副本;和/或将被转发、上行链路传输和/或下行链路传输的分组。当分组从网络设备18之一经由接入机架12被转发给因特网16时,该分组被上行链路传输。当分组从因特网16经由接入机架12被转发给网络设备18之一时,该分组被下行链路传输。
在图3中,示出了另一接入网络50。作为示例,接入网络50可以是应用感知网络并且包括一个或多个接入机架52(示出了m个)、网络14、因特网16、以及网络设备18。接入机架52可以包括路由器、交换机、计算机、服务器、或者其他适当接入设备。接入机架52中的每个接入机架包括线路卡54。线路卡54中的每个线路卡包括一个或多个PHY设备56。在图4中示出了PHY设备的示例。PHY设备56中的每个PHY设备包括一个或多个PHY模块。在图4中示出了示例PHY模块。PHY设备56经由网络14与网络设备18通信。
接入机架52可以提供相互之间、相同接入机架的PHY设备之间、不同接入机架的PHY设备之间、和/或这些PHY设备与因特网16之间的连接。在这样做时,接入机架52可以提供这些网络设备18之间和/或这些网络设备18与因特网16之间的连接。
接入网络50还可以包括中央网络设备60。中央网络设备60可以被用来控制接入机架52、执行DPI、和/或检查接入机架52不可辨认的分组(被称为隧道分组)。隧道分组可以是不能被接入机架、PHY设备、和/或PHY设备的模块确定为有效或者无效的分组。
中央网络设备60可以位于远离接入机架52的网络中和/或可以位于接入机架52的本地网络中。中央网络设备60可以设置于接入机架52中的一个或多个接入机架内。中央网络设备60和/或接入机架52中的一个或多个接入机架可以共同地是向这些网络设备18提供一个或多个服务的服务提供者。
图1-3的PHY设备24、44、56和PHY设备24、44、56的模块可以位于和/或连接于例如a)网络14或者因特网16与b)线路卡22、34和接入机架52中的MAC设备和/或其他更高层设备之间。PHY设备24、44、56可以指代线路卡22、34和接入机架52的物理层中的设备。
也参考图4,示出了PHY设备100。PHY设备100可以被使用:来提供网络之间的安全防火墙;用于零日攻击防止;在接入企业网络中;等等。PHY设备100可以被称为PHY封装中的防火墙。PHY设备100可以在功能上提供跨越多个国际标准化组织(ISO)和/或开放系统互连(OSI)层而不是仅跨越PHY层操作的防火墙。跨越PHY层和比PHY层更高的层(例如,MAC层)来提供防火墙功能。零日攻击是利用计算机应用中的先前未知漏洞的攻击。零日攻击在感知漏洞“当天(day zero)”出现。这意味着只有零天来解决和修补漏洞。零日攻击利用使用安全漏洞的软件来执行攻击。零日攻击防止指代对零日攻击的防止。这可以包括防止无效分组(诸如与病毒或者蠕虫相关联的分组)扩散(即在网络中进一步被传递下去)。这包括在检测到攻击时丢弃(或者删除)这些无效分组。可以由PHY设备100和/或PHY设备100的设备和/或模块之一来执行对这些分组的这一检测和丢弃。
在接入企业网络中,PHY设备100和/或PHY设备100的一个或多个设备和/或模块可以被用来:防止网络设备接入因特网16;和/或提供对因特网16的受限接入。下文描述了PHY设备100的示例设备和模块。
PHY设备100包括PHY模块102(可以被称为PHY信道)、存储器控制模块104、PHY存储器106、以及网络接口108(可以被称为结构接口)。PHY设备100经由这些PHY模块102与网络14通信,并且经由网络接口108与例如聚合交换机(例如,聚合交换机38)或者中央网络设备(例如,中央网络设备60)通信。在图4中,聚合交换机和中央网络设备被示出为接入设备112。聚合交换机可以提供切换,用以在这些PHY模块102之间和/或在不同PHY设备的PHY模块之间路由分组。
PHY模块102中的每个PHY模块可以包括取决于介质的接口(MID)114(或者第一网络接口)、入口模块116、接口总线118、以及出口模块120。MDI 14例如经由网络14从一个或多个网络设备接收分组并且向入口模块116转发这些分组。MDI 114还经由网络14从出口模块120接收分组并且例如向这些网络设备传输这些分组。在一个实施方式中,MDI 114中的每个MDI连接到双绞线。在所示出的实施方式中,PHY设备100包括8个MDI或者(多个)其他适当接口。
PHY模块102中的每个PHY模块的除了接口总线118之外的入口模块116、出口模块120和/或其他模块和/或设备可以共同地被称为PHY硬件。入口模块116可以包括入口正则表达式(RegEx)模块116-1、入口解析模块116-2、第一接收模块116-3、接收先入先出(FIFO)模块116-4、以及第一传输模块116-5。PHY模块102可以不包括入口模块116中的一个或多个入口模块。入口RegEx模块116-1在被包括时执行RegEx过程以审查分组。RegEx过程包括将字符、字词、签名或者数据模式与预定字符、字词、签名和数据模式相比较。可以作为DPI过程的一部分来执行RegEx过程。可以执行入口RegEx过程以快速标识有效或者无效的分组。
入口解析模块116-2可以抛弃无效分组并且可以向接口总线118和第一接收模块116-3转发无效分组和/或这些无效分组的头部。第一接收模块116-3可以是直接存储器访问(DMA)设备,并且把从入口解析模块116-2和/或接口总线118所接收的分组、这些分组的部分、分组描述符和/或分组信息复制和/或存储在PHY存储器106中和/或接口总线118的总线存储器130中。接口总线118的总线控制模块132可以控制总线存储器130中的数据存储。可以经由存储器控制模块104来执行PHY存储器106中的存储。这些分组的这些部分可以包括这些分组的一个或多个头部和/或有效载荷。分组信息可以包括在这些头部内所包括的信息和/或其他信息,诸如该分组的检查级别、源地址、目的地地址、源ID、目的地ID、协议ID、该分组的长度等。检查级别可以指示该分组是否为:有效分组;将由总线控制模块132和/或总线正则表达式模块134执行附加检查的分组;将向中央控制模块(例如,中央控制模块62)用隧道传输的分组;或者将被丢弃的无效分组。
入口解析模块116-2还可以向接口总线118和/或总线控制模块132指示分组是否应当由接口总线118和/或总线控制模块132检查。第一接收模块116-3可以基于来自接口总线118的指令,a)将分组存储在PHY存储器106中和/或将分组复制到PHY存储器106,和/或b)将分组转发给接收FIFO模块116-4。
接收FIFO模块116-4在被包括时存储将被转发给网络接口108(或者第二网络接口)的分组。总线存储器130和/或PHY存储器106中所存储的分组、分组描述符、和/或分组信息可以被存储在接收FIFO模块116-4中用于由接口总线118的总线控制模块132和/或总线RegEx模块134检查。总线控制模块132和/或总线RegEx模块134可以个别地或者共同地被称为本地控制模块,并且可以执行分组本地化检查。
第一传输模块116-5也可以是DMA设备,并且可以向网络接口108传输从接收FIFO模块116-4、PHY存储器106、和/或接口总线118所接收的分组。第一传输模块116-5可以基于从接口总线118和/或接口总线118的模块所接收的指令,a)访问PHY存储器106中所存储的分组,和/或b)向网络接口108转发分组。第一传输模块116-5可以向网络接口108、接入设备112指示分组是否应当由聚合交换机和/或中央控制模块检查。
接口总线118可以是高级可扩展接口(AXI)并且/或者具有高级微控制器总线架构(AMBA)并且使用AMBA协议。接口总线118可以包括总线存储器130、总线控制模块132、以及总线RegEx模块134。总线存储器130可以包括例如SRAM或者其他适当存储器。总线存储器130可以由接入设备112和/或PHY设备110在执行DPI时和/或在控制聚合交换机中的交换机、中央网络设备(例如,中央网络设备60)、和/或接入设备(例如,接入设备112)中的状态时使用。
总线控制模块132和/或总线RegEx模块134可以执行DIP以确定所接收的分组的安全级别、丢弃无效分组、转发无效分组、和/或将分组隧道传输到中央控制模块用于进一步检查。总线控制模块132可以控制由总线RegEx模块134所执行的RegEx解析。总线控制模块132可以在执行零日攻击防止时使用总线存储器130、存储器控制模块104和/或PHY存储器106。因为PHY模块102中的每个PHY模块可以包括总线控制模块和/或一个或多个RegEx模块,所以可以为MDI 114中的每个MDI提供总线控制模块和RegEx模块。这提供了接口或者端口特定分组检查和RegEx解析。
总线控制模块132可以针对基于应用的联网和网络安全应用来执行内容签名识别任务。总线控制模块132可以以接线速度(例如,1Gbps)检查分组。总线控制模块132可以分析分组并且以接线速度确定是否丢弃、转发和/或标记分组为不可辨认。总线控制模块132可以是32位处理器。PHY模块102中的每个PHY模块中的每个总线控制模块可以与接入设备112通信。这一通信可以包括:从中央控制模块接收用于分组检查的规则和/或表格更新;以及从PHY模块102向中央控制模块重新路由和/或报告异常和/或可疑分组。
出口模块120可以包括出口RegEx模块120-1、出口解析模块120-2、第二接收模块120-3、传输FIFO模块120-4、以及第二传输模块120-5。PHY模块102可以不包括出口模块120中的一个或多个出口模块。出口RegEx模块120-1在被包括时执行RegEx过程,以审查经由网络接口108从PHY模块102之一所接收的分组。RegEx过程包括将字符、字词、签名或者数据模式与预定字符、字词、签名和数据模式相比较。可以作为DPI过程的一部分来执行RegEx过程。可以执行出口RegEx过程以快速标识有效或者无效的分组。
RegEx模块116-1、130-1、134可以基于RegEx匹配来执行分组过滤。RegEx模块116-1、130-1、134可以分析一个或多个分组,以确定每个分组中的和/或跨越多个分组的头部和/或有效载荷中的模式。可以执行RegEx搜索以检测在序列分组上和/或在非序列分组上的模式,以提供完全周界防火墙。这可以包括完整的分组网际协议(IP)阻止,用以阻止去往预定目的地和/或计算机的分组。RegEx模块116-1、130-1、134可以停止或者暂时抑制攻击,直至能够部署系统性的纠正动作。这允许了攻击的误报并且防止了漏报(或者指示攻击的错误)。RegEx模块116-1、130-1、134可以每个都包括一个或多个三态内容可寻址存储器(TCAM)、被替换为一个或多个TCAM、或者与一个或多个TCAM组合使用。在图4中,示出了单个TCAM135。
内容可寻址存储器(CAM)是允许它的全部内容在单个时钟周期内被搜索的应用特定存储器。二态CAM执行确切匹配搜索,而TCAM使用“不在意”来允许模式匹配。“不在意”在搜索期间被用作通配符,并且在路由表中实施最长前缀匹配搜索时是有用的。上文所提到的TCAM可以被用于分组分类和用于硬件匹配加速。TCAM可以被用来存储在RegEx分组检查期间所使用的正则表达式的确定性有限自动机(DFA)表示。DFA是5元组(例如,Q、∑、δ、q0、A),其中Q是状态集,∑是字母表,δ是基于Q和∑的转变函数,q0是开始状态,并且A是接受状态集。
出口解析模块120-2可以抛弃无效分组并且可以向接口总线118和第二接收模块120-3转发有效分组和/或这些有效分组的头部。第二接收模块120-3可以是DMA设备,并且把从出口解析模块120-2和/或接口总线118所接收的分组、这些分组的部分、分组描述符、和/或分组信息复制和/或存储在总线存储器130和/或PHY模块106中。可以经由总线控制模块132来执行总线存储器130中的存储。可以经由存储器控制模块104来执行PHY存储器106中的存储。这些分组的部分可以包括这些分组的一个或多个头部和/或有效载荷。分组信息可以包括这些头部内所包括的信息和/或其他信息,诸如该分组的检查级别、源地址、目的地地址、源ID、目的地ID、协议ID、该分组的长度等。
出口解析模块120-2还可以向接口总线118和/或总线控制模块132指示分组是否应当由接口总线118和/或总线控制模块132检查。第二接收模块120-3可以基于来自接口总线118的指令,将分组存储在PHY存储器106中,和/或将分组复制到PHY存储器106,和/或将分组转发给传输FIFO模块120-4。
传输FIFO模块120-4存储将向第二传输模块120-5转发的分组。在总线存储器130和/或PHY存储器106中所存储的分组、分组描述符、和/或分组信息可以被存储在传输FIFO模块120-4中,以用于由总线控制模块132和/或总线RegEx模块134检查。第二传输模块120-5也可以是DMA设备,并且可以向MDI 114中的相应MDI传输从传输FIFO模块120-4、PHY存储器106、和/或接口总线118所接收的分组。第二传输模块120-5可以基于从接口总线118、总线控制模块132和/或总线RegEx模块134所接收的指令,来访问PHY存储器106中所存储的分组并且/或者向MDI 114中的相应MDI转发分组。
存储器控制模块104可以作为仲裁器而执行,以控制PHY模块102与PHY存储器106之间的访问。存储器控制模块104可以准许PHY模块102中的一个或多个PHY模块具有对PHY存储器106的访问并且防止PHY模块102中的一个或多个PHY模块具有对PHY存储器106的访问。存储器控制模块104为PHY模块102中的每个PHY模块确定访问时间,并且相应地准许对PHY存储器106的访问。当PHY模块102中的第二PHY模块102具有对PHY存储器106的访问时,存储器控制模块104可以准许PHY模块102中的第一PHY模块具有对PHY存储器106的访问。备选地,当PHY模块102中的第二PHY模块具有对PHY存储器106的访问时,存储器控制模块104可以防止PHY模块102中的第一PHY模块具有对PHY存储器106的访问。
PHY存储器106可以包括例如DDR3SRAM和/或其他适当存储器,诸如DRAM。PHY存储器106可以具有例如用于并行传送32比特数据的32比特存储器接口。PHY存储器106可以在PHY设备100的外部和/或集成地形成于PHY设备100上或者作为PHY设备100的一部分。在一个实施方式中,PHY设备100是集成电路(IC)或者封装中的系统(SIP),并且PHY存储器106是与PHY设备100分离的IC。PHY设备100经由存储器控制模块104和/或对应的存储器接口148与PHY存储器106通信。存储器接口148可以连接于存储器控制模块104与PHY存储器106之间。
在另一实施方式中,PHY设备100是第一IC,PHY存储器106是第二IC,并且第一IC和第二IC形成为SIP的一部分。在又另一实施方式中,PHY设备100是第一SIP,PHY存储器106是第二SIP,并且使用封装上的封装(package-on-package,POP)工艺来集成地封装第一SIP和第二SIP。第二SIP可以堆叠于第一SIP上而SIP之间的存储器接口(例如,存储器接口148)用以在第一SIP与第二SIP之间路由信号。第一SIP和第二SIP可以是例如存储器球栅阵列(BGA)封装。
PHY存储器106可以被用来在入口模块116或者出口模块120中的一个或多个模块中拥塞的情况下缓冲分组。PHY存储器106可以被用来存储指令、代码、规则、表格、和/或分组数据。这些指令、代码、规则、和/或表格可以由中央控制模块、聚合交换机、和/或模块116-1、120-1、132、134在执行DIP时和/或在控制交换机(例如,结构控制模块和/或网络接口108中的交换机)的状态时使用。在一个实施方式中,这些指令、代码、规则、和/或表格在例如总线存储器130中没有可用空间时被存储在PHY存储器106中。在另一实施方式中,这些指令、代码、规则、和/或表格在例如PHY存储器106中没有可用空间时被存储在总线存储器130中。
总线存储器130和PHY存储器106可以被用来存储:正在被检查的分组;将被检查的所选分组的副本;和/或将被转发、上行链路传输、和/或下行链路传输的分组。总线存储器130和PHY存储器106可以被用于在接入网络(例如,接入网络10、50之一)中的点处暂时拥塞的情况下的分组缓冲。总线存储器130可以对特定PHY模块(例如,PHY模块PHY1)是特定的,而可以与PHY模块102中的每个PHY模块共享PHY存储器106。这最小化了用于单个PHY设备100的PHY存储器数目。
在所示出的示例中,网络接口108包括第一介质访问控制(MAC)接口140、第二MAC接口142、第一四串行吉比特介质独立接口(QSGMII)144、以及第二QSGMII 146。MAC接口140、142可以是10吉比特以太网接口。第一和第二MAC接口140、142可以每个都执行MAC的功能并且提供经由接入设备112通向例如结构卡的通信链路。第一和第二MAC接口140可以具有例如用于通过后平面连接接入设备112的10GE-KR接口,以使得经由模块接入机架(例如,图1的接入机架12)的低成本DPI成为可能。第一和第二GSGMII 144、146可以提供通向接入设备112的两个并行通信链路。
在操作期间并且作为示例,MDI 114中的每个MDI可以接收或者传输1吉比特数据每秒(Gbps),而接口140、142、144、146中的每个接口可以接收或者传输10Gbps。MDI 114可以是1Gbps以太网(GE)端口,并且接口140、142、144、146可以具有10GE端口。经由MDI 114和网络接口108的PHY设备100作为结果可以提供1GE端口到10GE接口140、142、144、146的动态绑定。这可以包括负载平衡、接口冗余性、用于针对上行链路所交织的分组的时分复用调度、在PHY存储器中对数据的缓冲、以及向PHY存储器缓冲数据以克服或者处置数据突发。负载平衡可以包括在相同时间段期间通过两个或者更多接口来运输相等数量的数据。接口冗余性可以指代包括两个或者更多接口,其中提供这些接口中的一个或多个接口作为备份。
PHY设备100、PHY模块102、和/或第一和第二MAC接口140、142可以执行电气和电子工程师协会(IEEE)1588-2008标准的基于网络地址的定时和同步。这可以包括使用精确时间协议(PTP)以用于将总线控制模块(例如,总线控制模块132)的时钟与在PHY设备100外部的控制模块(例如,中央控制模块62)同步。PHY设备100、PHY模块102、和/或第一和第二MAC接口140、142还可以提供满足IEEE 802.1AE-2006安全标准的MAC安全(MACSec)支持,该安全标准为独立于介质访问的协议定义了无连接数据机密性和完整性。
PHY设备100还可以包括安全高速缓存模块(SCM)150。可以在解析模块116-2、120-2和/或接口总线118与安全高速缓存模块150之间传输分组和/或分组信息。安全高速缓存模块150可以存储字符、数据模式、源地址、目的地地址和/或指示分组类型的其他分组信息。PHY模块102中的每个PHY模块的解析模块116-2、120-2可以基于这一分组信息来确定分组是否有效或者无效。
现在参考图1-4,PHY设备24、44、56、100和/或PHY模块102可以作为分布式传感器而执行,以用于检测沿着接入网络的周界上的实行点(enforcement point)的攻击。中央控制模块36、62在被包括时可以从这些分布式传感器收集信息,诸如分组信息和攻击信息。攻击信息可以包括攻击模式、签名、和/或本文所公开的其他攻击信息。中央控制模块36、62然后可以应用规则和/或分析所收集的信息,以确定是否存在攻击和/或分组是否有效和/或无效。可以确定这些分组的类型,并且可以基于这一分析的结果来转发这些分组。可以从中央控制模块36、62向这些分布式传感器提供这一分析的结果,以用于分组转发确定目的。中央控制模块36、62可以指令这些分组类型的分布式传感器以及如何处置这些类型的分组。可以例如在PHY存储器106中、在总线存储器130中、和/或在安全高速缓存模块150中收集这一信息以用于将来使用。
现在也参考图5,示出了提供多级别安全检测的PHY模块(例如,PHY模块102之一)的入口部分170。入口部分170包括帧间有限状态机(FSM)模块172,帧间有限状态机模块172可以被包括在例如入口RegEx模块(例如,入口RegEx模块116-1)中,或者与入口RegEx模块分离。入口部分170可以包括入口(第一)RegEx模块116-1、入口解析模块116-2、总线控制模块132、安全高速缓存模块150、以及总线(第二)RegEx模块134。
帧间FSM模块172和入口RegEx模块116-1提供第一安全级别。帧间FSM模块172将入口RegEx模块116-1用于模式和签名查找。第一安全级别包括在由帧间FSM模块172所接收的分组中以线路速率(例如,1Gbps)检测零日RegEx攻击模式和签名。可以从MDI(例如,MDI0)接收这些分组。入口RegEx模块116-1被配置为监测预定模式和签名,以在补丁被安装在中央控制模块36、62之一中之前检测分组。入口RegEx模块116-1可以可编程为允许用户添加或者改变正在被监测的签名和模式。
入口RegEx模块116-1可以用锚和通配符来执行RegEx解析。锚指代原子零宽度断言(atomic zero-width assertion),该原子零宽度断言取决于分组的字符串中的当前位置而促使匹配成功或者失败。锚不促使入口RegEx模块116-1经过串前进或者消耗字符。通配符指代与零个或者更多字符匹配的字符,该字符被用来有效率地检测模式或者签名。
入口RegEx模块116-1可以搜索分组的头部和/或有效载荷以及序列分组和/或非序列分组。帧间FSM模块172基于由入口RegEx模块116-1的比较和/或所确定的匹配来生成第一命令信号173。
入口解析模块116-2和安全高速缓存模块150提供第二安全级别。入口解析模块116-2和/或总线控制模块132可以向SCM 150推送被卸载和被验证的数据分组和/或不可辨认分组。入口解析模块116-2和/或安全高速缓冲模块150然后可以将这些分组的模式与即将到来的分组相比较。作为示例,入口解析模块116-2可以不分析如下的所接收的分组,该分组具有在SCM 150中所存储的不可辨认分组类型的模式。入口解析模块116-2可以替代地向中央控制模块直接传送该分组以用于评估。这减少了入口解析模块116-2的RegEx处理时间。
入口解析模块116-2可以针对在接线速度(例如,1Gbps)的被卸载的数据流来执行分组解析。入口解析模块116-2(被称为硬件解析器)可以从分组提取5元组值并且扫描SCM150寻找匹配。SCM 150中所存储的值可以与5元组值相比较。5元组值可以被用来补足传输控制协议(TCP)或者网际协议(IP),并且可以包括例如源IP地址、目的地IP地址、源端口号、目的地端口号、以及协议ID。SCM 150可以具有用于接口114中的每个接口的接口特定条目。例如,被信任的接口可以具有与不被信任的接口不同的用于SCM 150的许可。由入口解析模块116-2所执行的这些比较可以包括,在确定SCM 150中所存储的某些值和/或在5元组值是否能够与该接口相关联地被访问中,比较与所接收的分组相关联的该接口的标识。入口解析模块116-2基于所执行的这些比较和SCM 150中所存储的这些指令来生成第二命令信号175。
总线控制模块132和/或总线RegEx模块134提供第三安全级别。总线控制模块132可以检查所接收的数据流并且(i)转发这些数据流,和/或(ii)向中央控制模块用隧道传输和/或复制被验证的和/或未知的数据流(不可辨认分组的流)。作为分组检查的结果,总线控制模块132可以将先前未知流的附加模式存储在SCM 150中,以便关于在接收到具有这些相同模式的附加分组时将被采取的动作来指令入口解析模块116-2。中央控制模块可以另外或者备选地提供将被存储在SCM 150中的指令。
总线存储器130和/或PHY存储器106可以存储一个哈希表,可以基于所提供的指令和最近所学习的数据流来更新该哈希表。这些指令可以指示当总线控制模块132检测到具有某个模式的分组时将被执行的动作(例如,丢弃或者转发)。RegEx模块116-1、120-1、134和SCM 150可以可编程为,允许用户添加或者改变所存储的模式、签名和/或指令。这些指令可以指向确定所评估的分组的安全级别。总线控制模块132可以使用总线RegEx模块134以检测所接收的分组中的模式,并且然后相应地生成第三命令信号177。总线控制模块132可以继续跟踪未验证的分组流(不可辨认的分组的流)以检测攻击。
虽然针对PHY模块的入口部分示出了图5的多级别安全检测,但是也可以针对PHY模块的出口部分来提供多级别安全检测。作为示例,出口RegEx模块120-1和出口解析模块120-2可以执行如由帧间FSM模块172、入口RegEx模块116-1、以及入口解析模块116-2所执行的第一和第二安全级别。总线控制模块132和总线RegEx模块134可以提供如上文所描述的用于出口目的的第三安全级别。
用于入口部分的安全级别中的每个安全级别的命令信号173、175、177被示出为丢弃-隧道-本地控制模块检查-前向(DTLF)信号。这些命令信号被提供给安全级别模块180。安全级别模块180基于这三个命令信号173、175、177来确定安全级别并且生成安全级别信号182。
在该示例中,安全级别模块180包括“或”门。命令信号中的每个命令信号指示所接收的分组的如由这些安全级别中的相应安全级别所确定的安全级别。这些命令信号可以每个都指示第一级别和第二级别之一。第一级别指示无效分组。第二级别指示有效分组。安全级别中的每个安全级别可以提供用于每个分组或者用于分组系列或分组的所选组的命令信号。
作为第一示例,这些命令信号在指示该分组无效或者应当被丢弃时可以被设置为1。这些命令信号在指示该分组有效或者应当被转发时可以被设置为0。作为结果,如果命令信号中的任何命令信号指示该分组应当被丢弃,则该分组被丢弃。这由安全级别模块180或者“或”门的输出来提供。
作为另一示例,可以使用四个安全级别。第一级别指示无效或者丢弃分组。第二级别指示隧道分组。第三级别指示将由例如总线RegEx模块134的总线控制模块132本地检查的分组。第四级别指示有效或者转发分组。在这一实施方式中,安全级别模块180确定由这三个命令信号所指示的最低级别。所指示的最低级别然后由安全级别模块180报告并且由例如图4的第一传输模块116-5用来确定是否指令中央控制模块进一步检查该分组。在一个实施方式中,在最低级别是第二级别或者第三级别时可以报告最低级别,并且在最低级别是第一级别或者第四级别时可以不报告最低级别。在另一实施方式中,独立于安全级别模块180的所确定的最低级别来报告最低级别。
再次参考图1-3,因为PHY设备24、44、56、100和/或PHY模块102的一个或多个模块和/或设备可以是可编程的,所以可以提供在接入网络10、50的边缘处包括DPI的定制安全平台。
在图6中,示出了网络接口200。网络接口200可以被使用在图1-3的网络接口108中和/或PHY设备24、44、56、100之一中。网络接口200包括第一复用模块202、第一QSGMII 204、第二复用模块206、以及第二QSGMII 208。第一和第二复用模块202、206执行复用和解复用。
第一复用模块202可以将来自第一PHY模块集合的信号(例如,8个PHY模块输出信号)复用为由第一QSGMII 204所接收的复用信号(例如,4个复用信号)。第二复用模块206可以将来自第二PHY模块集合的信号(例如,8个PHY设备输出信号)复用为由第二QSGMII 208所接收的复用信号(例如,4个复用信号)。第一PHY模块集合可以与第二PHY模块集合相同或者不同。第一复用模块202可以解复用来自第一QSGMII 204的输出信号,以生成由第一PHY模块集合所接收的输入信号。第二复用模块206可以解复用来自第二QSGMII 208的输出信号,以生成由第二PHY模块集合所接收的输入信号。第一和第二QSGMII 204、208的输出可以与聚合交换机和/或中央控制模块通信。
网络接口200允许以第一速度操作的PHY模块的端口连接到第一QSGMII 204或者第二QSGMII 208,其中第一QSGMII 204和第二QSGMII 208中的每个QSGMII在与这些MDI不同的速度操作。作为示例,第一速度可以是1Gbps,并且第二速度可以是10Gbps。由复用模块202、206所执行的复用和解复用能够消除对于在网络接口处缓冲数据信号的需要。
可以使用许多方法来操作上文所描述的接入网络10、50和PHY设备24、44、56、100,图7的方法提供了一种示例方法。在图7中,示出了包括安全检测方法的网络接入方法。虽然关于图1-5的实施方式主要描述了下列任务,但是可以容易地修改这些任务以应用至本公开内容的其他实施方式。可以迭代地执行和/或按不同顺序来执行这些任务。该方法可以在300处开始。虽然下列任务302-322是入口任务,但是在执行出口任务(诸如由出口模块120所执行的出口任务)时可以类似反向地执行这些任务。另外,虽然关于单个分组描述了下列任务,但是可以对于多个分组和/或分组的所选组来执行这些任务。这些分组可以是序列系列分组或者非序列系列分组。
在302处,入口RegEx模块116-1从MDI0接收分组。可以从经由网络14与PHY模块PHY1通信的网络设备(例如,网络设备18之一)接收该分组。入口RegEx模块116-1可以执行对该分组的初始检查,以快速确定是否丢弃或者转发该分组。入口RegEx模块116-1可以基于该初始检查的结果来生成第一命令信号和/或第一分组信息信号。第一命令信号可以指示该分组的安全级别的第一估计。第一估计可以是四个上文所描述的安全级别之一。第一分组信息信号可以包括如上文所描述的分组信息,并且/或者指示接口总线118和/或总线控制模块132是否应当检查该分组。分组信息可以包括源地址和目的地地址、协议ID、分组长度、分组描述符等。初始检查可以包括丢弃或者转发该分组。该分组在被转发时被提供给入口解析模块116-2。
在304处,入口解析模块116-2可以基于在安全高速缓存模块150中所存储的信息、第一命令信号、和/或第一分组信息信号来执行第二分组检查,并且生成第二命令信号。第二分组检查可以包括丢弃或者转发该分组。该分组在被转发时可以被提供给第一接收模块116-3和/或接口总线118。入口解析模块116-2可以基于第二分组检查的结果来生成第二命令信号和/或第二分组信息信号。第二命令信号可以指示该分组的安全级别的第二估计。第二估计可以是四个上文所描述的安全级别之一并且可以基于第一估计。第二分组信息信号可以包括如上文所描述的分组信息,并且/或者指示接口总线118和/或总线控制模块132是否应当检查该分组。
在305处,RegEx模块116-1确定该分组是否具有不安全模式和/或属于安全数据流(例如,在SCM 150的表格中具有对应的“允许”条目)。如果该分组不具有不安全模式和/或该分组属于安全数据流,则跳过该分组的本地化检查,并且能够执行任务314以使得该分组安全地被转发。当该分组属于未知数据流和/或由RegEx模块116-1和/或SCM 150设置为将被进一步检查时,可以执行本地化检查。如果该分组:具有不安全(或者危险)模式;该分组的对应SCM条目指示该分组不安全;和/或不属于安全数据流,则可以执行任务306以使得该分组被用隧道传输给中央控制模块或者被丢弃。
在306处,第一接收模块116-3可以将该分组和其他信息存储在总线存储器130和/或PHY存储器106中。该其他信息可以包括该分组的描述符、第一和第二命令信号和/或第一和第二分组信息信号。
在308处,接口总线118基于第一命令信号、第二命令信号、第一分组信息信号、和/或第二分组信息信号来执行对该分组的第三检查。总线控制模块132和/或总线RegEx模块134可以执行第三分组检查。可以使用一个或多个TCAM来执行第三分组检查。总线控制模块132可以基于对该分组的第三检查的结果来生成第三命令信号和第三分组信息信号。
第三命令信号可以指示该分组的安全级别的第三估计。第三估计可以是四个上文所描述的安全级别之一,并且可以基于第一估计和/或第二估计。作为备选或者除了生成第三估计之外,安全级别模块180可以生成安全级别信号。可以基于第一命令信号、第二命令信号、以及第三命令信号来生成安全级别信号。第三分组信息信号可以包括如上文所描述的分组信息,并且/或者指示中央控制模块36或62是否应当检查该分组。当接口总线118和/或总线控制模块132不能确定是否:丢弃该分组;或者从PHY模块PHY1(第一PHY模块)向另一(第二)PHY模块(例如,PHY模块m)或者向与PHY设备100分离的网络设备转发该分组时,可以指令中央控制模块36、62检查该分组。
可以周期性地、随机地、在接收到预定数目的分组之后、在接收到预定数目的字节之后、在接收到预定数目的有效和/或无效分组之后、和/或以预定时间间隔,来执行在302、304、以及308处所执行的这些检查。可以执行在302、304、以及308处所描述的检查中的一个或多个检查并且可以不执行其他检查。在任务302、304、以及308中的每个任务处,可以检查所接收的分组中的一些分组或者所有分组。另外,在302、304和308之一处所检查的分组可以在任务302、304、308中的其他任务中的一个或多个任务处不被检查。
在310处,该分组在被转发给中央控制模块36、62、第二PHY设备和/或与PHY设备100分离的网络设备转发时可以被存储在接收FIFO模块116-4中。在312处,然后可以向第一传输模块116-5提供该分组和其他信息。该其他信息可以包括例如上文所描述的第一、第二、和/或第三命令信号、安全级别信号、和/或其他分组信息。在314处,第一传输模块116-5确定该分组是否将被转发给第二PHY模块和/或与PHY设备100分离的网络设备。这一确定可以基于在312处所提供的第三命令信号、安全级别信号、和/或其他信息。在转发该分组时可以执行任务316,否则可以执行任务315。
分组可以如下文所描述的在316处被转发,并且如关于任务322所描述的被发送给中央控制模块以用于进一步的检查。当该分组既在316处被转发又在322处被检查时,该分组可以被复写以便向多个目的地(例如,原始目的地和中央控制模块)提供该分组。
在315处,第一传输模块116-5确定该分组是否将由中央控制模块36、62进一步检查。这一确定可以基于在312处所提供的第三命令信号、安全级别信号和/或其他信息。在该分组将被进一步检查时可以执行任务322,否则可以执行任务330。
在316处,可以从第一PHY模块PHY1向所预期的和/或原始选择的目的地转发该分组。可以例如从网络14向接入设备112、聚合交换机26、38之一、结构卡20、32之一、和/或中央网络设备60转发入口分组。可以例如从接入设备112、聚合交换机26、38之一、结构卡20、32之一、和/或中央网络设备60向网络14转发出口分组。该方法可以在320处结束。
在322处,该分组可以经由网络接口108被用隧道传输给中央控制模块36、62。具有PHY设备100的MAC地址的MAC头部可以被添加至该分组(第一分组)以形成第二分组。第二分组经由网络接口108被转发给中央控制模块36、62。在324处,中央控制模块36、62可以执行对该分组的第四分组检查。中央控制模块36、62可以周期性地、随机地、在接收到预定数目的分组之后、在接收到预定数目的字节之后、在接收到预定数目的有效和/或无效分组之后、和/或以预定时间间隔来执行检查。这些分组可以独立于由PHY设备100所确定的安全级别而被转发给中央控制模块36、62。
在326处,中央控制模块36、62指令第一PHY模块PHY1丢弃和/或不转发与第一分组类似的分组。该方法可以在执行任务326之后在320处结束。在丢弃该分组时执行任务330,否则执行任务316。
在330处,从PHY设备100的总线存储器130、PHY存储器106和/或其他存储器、模块和/或设备删除该分组。这可以包括从一个或多个PHY模块以及对应存储器、模块、以及设备删除该分组。该方法可以在任务330之后在320处结束。
上文所描述的这些任务意在作为说明性的示例;取决于应用可以序列地、同步地、同时地、连续地、在重叠时间段期间或者按照不同的顺序来执行这些任务。另外,取决于实施方式和/或事件序列,这些任务中的任何任务可能不被执行或者被跳过。
除了上文所描述的特征之外,文本所公开的这些实施方式在接入网络的边缘处提供了经由多个PHY模块所执行的分组检查。这允许了对分组的检查被分布至多个PHY模块并且在这些分组被接收时并且以这些分组被接收的速率被执行。这将检查处理从中央控制模块卸载到多个PHY设备内的多个设备和/或模块。
前述描述本质上仅为说明性的并且决不意图为限制本公开内容、它的应用、或者使用。能够以多种形式来实施本公开内容的宽泛教导。因此,尽管本公开内容包括特定的示例,但是不应当如此限制本公开内容的真实范围,因为其他修改将在研究附图、说明书、以及下列权利要求时变得清楚。为了清楚的目的,相同的参考标号在附图中将被用来标识类似的元素。如本文所使用的,短语A、B和C中的至少一个应当被解释为使用非排他逻辑“或”来意指逻辑的(A或B或C)。应当理解,不更改本公开内容的原理,可以按照不同顺序(或者并发地)执行方法内的一个或多个步骤。
虽然术语第一、第二、第三等在本文可以被用来描述各种设备、模块、信号、元件、和/或部件,但是这些项目不应当受这些术语所限制。这些术语可以仅被用来区分一个项目与另一项目。术语,诸如“第一”、“第二”和其他数值术语当在本文被使用时不暗示序列或者顺序,除非由上下文清楚地指示。因此,不偏离示例实施方式的教导,下文所讨论的第一项目可以被称为第二项目。
另外,在下列描述中公开了各种可变标记和值。仅作为示例来提供这些可变标记和值。这些可变标记任意地被提供,并且可以每个都被用来标识或者指代不同的项目。例如,可变标记n可以被用来指代多个模块或者多个设备。这些值也任意地被提供并且可以按照应用而变化。
如文本所使用的,术语模块可以指代以下各项、是以下各项的一部分、或者包括以下各项:专用集成电路(ASIC);电子电路;组合逻辑电路;现场可编程门阵列(FPGA);执行代码的处理器(共享的、专用的、或者组);提供所描述的功能的其他适当硬件部件;或者上述中的一些或者全部的组合,诸如在片上系统中。术语模块可以包括存储由处理器所执行的代码的存储器(共享的、专用的、或者组)。
如上文所使用的,术语代码可以包括软件、固件、和/或微代码,并且可以指代程序、例程、函数、类、和/或对象。如上文所使用的,术语共享意味着可以使用单个(共享)处理器来执行来自多个模块的一些或者所有代码。另外,单个(共享)存储器可以存储来自多个模块的一些或者所有代码。如上文所使用的,术语组意味着可以使用处理器组来执行来自单个模块的一些或者所有代码。另外,可以使用存储器组来存储来自单个模块的一些或者所有代码。
文本所描述的这些装置和方法可以由一个或多个处理器所执行的一个或多个计算机程序来实施。这些计算机程序包括存储在非瞬态有形计算机可读介质上的处理器可执行指令。这些计算机程序还可以包括所存储的数据。非瞬态有形计算机可读介质的非限制示例是非易失性存储器、磁性存储装置、以及光学存储装置。
Claims (15)
1.一种物理层设备(100),被配置为实施在第一线路卡中,所述物理层设备包括:
存储器(106);
存储器控制模块(104),被配置为控制对所述存储器的访问;
第一物理层模块(102),被配置为(i)接收传输给所述第一线路卡的分组,并且(ii)经由所述存储器控制模块将分组存储在所述存储器中,其中所述第一物理层模块包括
至少一个接口(108),被配置为经由网络(14)从网络设备(18)接收所述分组,以及
接口总线,包括总线控制模块(132)和总线RegEx模块(134)中的至少一个模块,其中所述总线控制模块和所述总线RegEx模块中的所述至少一个模块被配置为检查所述分组以确定所述分组的安全级别;以及
网络接口(108),被配置为基于所述安全级别向与所述物理层设备分离的设备提供所述分组;以及
第二物理层模块,被配置为与所述第一物理层模块共享所述存储器。
2.根据权利要求1所述的物理层设备(100),其中所述存储器包括双倍数据速率存储器并且经由在所述物理层模块与所述存储器之间所连接的存储器接口是可访问的。
3.根据权利要求1所述的物理层设备(100),其中:
在第一封装内系统中实施所述物理层设备;
在第二封装内系统中实施所述存储器;并且
堆叠所述第一封装内系统和所述第二封装内系统。
4.根据权利要求1所述的物理层设备(100),其中所述总线控制模块和所述总线RegEx模块中的所述至少一个模块被配置为将所述分组中的每个分组的所述安全级别确定为以下各项之一:
有效;
经由所述总线控制模块和所述总线RegEx模块中的所述至少一个模块将被进一步检查的分组;
将被用隧道传输给中央控制模块(36;62)以用于进一步检查的分组,其中所述中央控制模块与所述物理层设备分离;以及
无效;
其中
从所述物理层设备向与所述物理层模块分离的所述设备转发所述分组中具有有效安全级别的每个分组,并且
丢弃所述分组中具有无效安全级别的每个分组。
5.根据权利要求1所述的物理层设备(100),其中:
所述设备与所述第一线路卡分离;
与所述第一线路卡分离的所述设备是聚合交换机(26;38),其中所述聚合交换机被实施在结构卡(20;32)中;并且
所述物理层模块与所述结构卡通信。
6.根据权利要求5所述的物理层设备(100),其中:
所述网络接口(108)被配置为向中央控制模块(36;62)提供所述分组中的选择的分组;
所述中央控制模块(36;62)(i)与所述物理层设备分离,并且(ii)被实施在所述结构卡中;并且
所述网络接口被配置为,基于由所述中央控制模块所执行的对所述分组中的所述选择的分组的所述检查,来转发除了所述分组中的所述选择的分组之外的分组。
7.根据权利要求1所述的物理层设备(100),进一步包括三态内容可寻址存储器(135),其中所述总线控制模块和所述总线RegEx模块中的所述至少一个模块被配置为,检查所述分组以使用所述三态内容可寻址存储器来确定所述分组的所述安全级别。
8.根据权利要求1所述的物理层设备(100),其中:
所述存储器(106)是第一存储器;
所述接口总线包括第二存储器(130);
所述总线控制模块和所述总线RegEx模块中的所述至少一个模块被配置为,(i)确定所述分组是否不安全,以及(ii)如果所述分组不安全,则将所述分组和对应的分组信息存储在所述第一存储器和所述第二存储器中的至少一个存储器中;并且
所述分组信息包括所述分组的所述安全级别。
9.根据权利要求1所述的物理层设备(100),进一步包括:
安全高速缓存模块(150),被配置为存储规则和表格中的至少一项;以及
入口解析模块(116-2),被配置为基于所述规则和表格来检查所述分组;
其中
所述接口总线包括所述总线控制模块,并且
所述总线控制模块被配置为,检查所述分组以生成检查结果并且基于所述结果来更新所述安全高速缓存模块。
10.根据权利要求1所述的物理层设备(100),其中所述物理层模块(102)进一步包括:
第一检查模块,被配置为(i)检查所述分组以生成第一命令信号(173),以及(ii)基于对所述分组的所述检查,来转发或丢弃所述分组;
第二检查模块,被配置为(i)接收从所述第一检查模块转发的分组,(ii)检查从所述第一检查模块转发的所述分组以生成第二命令信号(175),以及(iii)转发或丢弃从所述第一检查模块转发的所述分组,
其中所述总线控制模块和所述总线RegEx模块中的所述至少一个模块被配置为(i)接收从所述第二检查模块转发的分组,(ii)检查从所述第二检查模块转发的所述分组以生成第三命令信号(177),以及(iii)转发或丢弃从所述第二检查模块转发的所述分组;以及
安全级别模块(180),被配置为基于所述第一命令信号、所述第二命令信号、以及所述第三命令信号来生成安全级别信号(182),
其中所述网络接口基于所述安全级别信号来向与所述物理层设备分离的所述设备提供从所述总线控制模块和所述总线RegEx模块中的至少一个模块转发的分组。
11.根据权利要求1至10中的任一项所述的物理层设备(100),其中:
所述物理层模块包括多个模块;
所述多个模块中的每个模块被配置为检查所述分组并且生成多个安全级别估计;
安全级别模块,被配置为基于所述多个安全级别估计来生成安全级别信号;并且
基于所述安全级别信号,所述网络接口被配置为向与所述物理层设备分离的所述设备提供所述分组;
其中
所述网络接口被配置为向中央控制模块提供所述分组中的选择的分组以用于检查,
所述中央控制模块与所述物理层设备分离,并且
所述物理层模块被配置为,基于在所述中央控制模块处所执行的所述检查来从所述中央控制模块接收指令信号,并且基于所述指令信号来转发除了所述分组中的所述选择的分组之外的分组。
12.一种接入机架(12),包括:
根据权利要求1所述的物理层设备;
包括所述第一线路卡和第二线路卡的多个线路卡(22),其中所述多个线路卡被配置为从所述网络设备(18)接收所述分组并且向与所述物理层设备(24;100)分离的所述设备传输所述分组;以及
至少一个结构卡(20),被配置为(i)提供在所述第一线路卡与所述第二线路卡之间的切换连接,并且(ii)从所述第一线路卡向所述第二线路卡转发所述分组。
13.根据权利要求12所述的接入机架(12),其中:
所述至少一个结构卡(20;32)包括中央控制模块(36);
所述物理层模块(102)的入口模块和出口模块中的一个模块被配置为,确定所述分组中的选择的分组是否将由所述中央控制模块检查;并且
所述中央控制模块被配置为,基于所述分组中的所述选择的分组是否将由所述中央控制模块检查的所述确定,来检查所述分组中的所述选择的分组;
其中
所述中央控制模块被配置为生成指令信号,所述指令信号指示是否丢弃或者转发具有与所述分组中的所述选择的分组相类似的格式的分组,并且
基于所述指令信号,所述物理层设备被配置为丢弃或者转发具有与所述分组中的所述选择的分组相类似的格式的所述分组。
14.一种用于操作物理层设备的方法,其中所述物理层设备包括第一物理层模块、第二物理层模块、存储器控制模块、以及存储器,其中所述物理层设备被实施在线路卡中,其中所述第一物理层模块包括接口总线,并且其中所述接口总线包括总线控制模块和总线RegEx模块中的至少一个模块,所述方法包括:
在所述第一物理层模块的接口处接收所述物理层设备中的从网络设备经由网络传输给所述线路卡的分组(302);
从所述物理层模块向所述存储器控制模块(306)传送所述分组以将所述分组存储在所述存储器中,其中所述第一物理层模块与所述第二物理层模块共享所述存储器;
经由所述总线控制模块和所述总线RegEx模块中的至少一个模块检查(302、304、308)所述分组以确定所述分组的安全级别;以及
基于所述安全级别,经由网络接口向与所述物理层设备分离的设备提供所述分组,其中所述物理层设备包括所述网络接口。
15.根据权利要求14所述的方法,进一步包括:
经由第一检查模块来检查(302)所述分组以生成第一命令信号;
经由第二检查模块来检查(304)所述分组以生成第二命令信号;
经由所述总线控制模块和所述总线RegEx模块中的所述至少一个模块来检查(308)所述分组以生成第三命令信号;
基于所述第一命令信号、所述第二命令信号、以及所述第三命令信号来生成安全级别信号;以及
基于所述安全级别信号,向与所述物理层设备分离的所述设备提供所述分组。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161522158P | 2011-08-10 | 2011-08-10 | |
| US61/522,158 | 2011-08-10 | ||
| US201161533436P | 2011-09-12 | 2011-09-12 | |
| US61/533,436 | 2011-09-12 | ||
| US201161550315P | 2011-10-21 | 2011-10-21 | |
| US61/550,315 | 2011-10-21 | ||
| US13/571,870 US8839405B2 (en) | 2011-08-10 | 2012-08-10 | Intelligent PHY with security detection for ethernet networks |
| PCT/US2012/050373 WO2013023153A1 (en) | 2011-08-10 | 2012-08-10 | Intelligent phy with security detection for ethernet networks |
| US13/571,870 | 2012-08-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103875214A CN103875214A (zh) | 2014-06-18 |
| CN103875214B true CN103875214B (zh) | 2017-05-03 |
Family
ID=46750470
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280049544.6A Active CN103875214B (zh) | 2011-08-10 | 2012-08-10 | 用于以太网网络的具有安全检测的智能phy |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8839405B2 (zh) |
| EP (1) | EP2742649B1 (zh) |
| JP (1) | JP6074776B2 (zh) |
| KR (1) | KR101989586B1 (zh) |
| CN (1) | CN103875214B (zh) |
| WO (1) | WO2013023153A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130085570A (ko) * | 2011-12-22 | 2013-07-30 | 한국전자통신연구원 | 단말 중심 사이버 공격 방지 방법 및 그에 따른 단말 장치 |
| US9544273B2 (en) * | 2012-07-31 | 2017-01-10 | Trend Micro Incorporated | Network traffic processing system |
| WO2014113056A1 (en) * | 2013-01-17 | 2014-07-24 | Xockets IP, LLC | Offload processor modules for connection to system memory |
| US9264357B2 (en) * | 2013-04-30 | 2016-02-16 | Xpliant, Inc. | Apparatus and method for table search with centralized memory pool in a network switch |
| CN104268165B (zh) * | 2014-09-09 | 2017-12-29 | 华为技术有限公司 | 一种在线查询方法及设备 |
| KR20160036201A (ko) * | 2014-09-25 | 2016-04-04 | 한국전자통신연구원 | 비정상 통신 차단 장치 및 방법 |
| US9525697B2 (en) * | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
| WO2017117670A1 (en) * | 2016-01-07 | 2017-07-13 | Genetec Inc. | Network sanitization for dedicated communication function and edge enforcement |
| US10417458B2 (en) * | 2017-02-24 | 2019-09-17 | Microsoft Technology Licensing, Llc | Securing an unprotected hardware bus |
| US11212257B2 (en) * | 2018-06-22 | 2021-12-28 | Aeronix, Inc. | Multi-level secure ethernet switch |
| US11424953B2 (en) * | 2018-11-28 | 2022-08-23 | Kinnexa, Inc. | Modular physical layer and integrated connector module for local area networks |
| CN109194591A (zh) * | 2018-12-03 | 2019-01-11 | 济南浪潮高新科技投资发展有限公司 | 一种100g与10g以太互通系统及方法 |
| US11115389B2 (en) * | 2019-05-17 | 2021-09-07 | Juniper Networks, Inc. | Media access control security (MACsec) enabled links of a link aggregation group (LAG) |
| CN118199997A (zh) * | 2023-10-23 | 2024-06-14 | 北京光润通科技发展有限公司 | 一种用于链路层组间路由安全级别审核的网卡 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466317A (zh) * | 2002-06-27 | 2004-01-07 | 深圳市中兴通讯股份有限公司 | 多路解复用发送受控器 |
| CN1883154A (zh) * | 2003-09-30 | 2006-12-20 | 思科技术公司 | 向物理层收发器传输安全性/加密信息的方法和装置 |
| CN1953407A (zh) * | 2005-10-17 | 2007-04-25 | 杭州华为三康技术有限公司 | 网络接入设备及其数据转发方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8656488B2 (en) * | 2005-03-11 | 2014-02-18 | Trend Micro Incorporated | Method and apparatus for securing a computer network by multi-layer protocol scanning |
| US7890991B2 (en) * | 2005-08-19 | 2011-02-15 | Cpacket Networks, Inc. | Apparatus and method for providing security and monitoring in a networking architecture |
| US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US7849503B2 (en) * | 2007-06-01 | 2010-12-07 | Hewlett-Packard Development Company, L.P. | Packet processing using distribution algorithms |
| US8097956B2 (en) * | 2009-03-12 | 2012-01-17 | Apple Inc. | Flexible packaging for chip-on-chip and package-on-package technologies |
| US8478982B2 (en) | 2009-08-06 | 2013-07-02 | Broadcom Corporation | Media access control security management in physical layer |
-
2012
- 2012-08-10 US US13/571,870 patent/US8839405B2/en active Active
- 2012-08-10 KR KR1020147004063A patent/KR101989586B1/ko active IP Right Grant
- 2012-08-10 JP JP2014525176A patent/JP6074776B2/ja active Active
- 2012-08-10 WO PCT/US2012/050373 patent/WO2013023153A1/en active Application Filing
- 2012-08-10 EP EP12751206.9A patent/EP2742649B1/en active Active
- 2012-08-10 CN CN201280049544.6A patent/CN103875214B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466317A (zh) * | 2002-06-27 | 2004-01-07 | 深圳市中兴通讯股份有限公司 | 多路解复用发送受控器 |
| CN1883154A (zh) * | 2003-09-30 | 2006-12-20 | 思科技术公司 | 向物理层收发器传输安全性/加密信息的方法和装置 |
| CN1953407A (zh) * | 2005-10-17 | 2007-04-25 | 杭州华为三康技术有限公司 | 网络接入设备及其数据转发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6074776B2 (ja) | 2017-02-08 |
| US8839405B2 (en) | 2014-09-16 |
| US20130212670A1 (en) | 2013-08-15 |
| WO2013023153A4 (en) | 2013-04-11 |
| EP2742649A1 (en) | 2014-06-18 |
| EP2742649B1 (en) | 2015-06-03 |
| JP2014525703A (ja) | 2014-09-29 |
| WO2013023153A1 (en) | 2013-02-14 |
| CN103875214A (zh) | 2014-06-18 |
| KR20140048284A (ko) | 2014-04-23 |
| KR101989586B1 (ko) | 2019-06-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103875214B (zh) | 用于以太网网络的具有安全检测的智能phy | |
| US10735221B2 (en) | Flexible processor of a port extender device | |
| US11374858B2 (en) | Methods and systems for directing traffic flows based on traffic flow classifications | |
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| US8826447B2 (en) | Intelligent connectors integrating magnetic modular jacks and intelligent physical layer devices | |
| US11381504B2 (en) | Identifying congestion in a network | |
| EP1976195B1 (en) | Method and apparatus for Mac address learning | |
| US10284471B2 (en) | AIA enhancements to support lag networks | |
| CN107925595B (zh) | 网关装置以及运算装置 | |
| US9813342B2 (en) | Method and system for improved load balancing of received network traffic | |
| US11818022B2 (en) | Methods and systems for classifying traffic flows based on packet processing metadata | |
| WO2014000669A1 (en) | Ternary content-addressable memory assisted packet classification | |
| US9094375B2 (en) | WAN transport of frames with MAC security | |
| CN108833430B (zh) | 一种软件定义网络的拓扑保护方法 | |
| CN107360056A (zh) | 基于rfc2544的afdx性能测试方法 | |
| CN110352586A (zh) | 用于保留网络中的数据分组的相对定时和排序的方法和装置 | |
| US20150010023A1 (en) | Packet protocol processing with precision timing protocol support | |
| CN111683018A (zh) | 镜像丢弃的分组 | |
| US9258229B2 (en) | Systems and methods for accessing a multi-bank SRAM | |
| Yilmaz | Firewall and Intrusion Detection and Prevention Concept for Automotive Ethernet | |
| US8625624B1 (en) | Self-adjusting load balancing among multiple fabric ports | |
| Sobh | A Real-Time Hardware Intrusion Detection System and a Classifying Features Algorithm | |
| Latifi et al. | Increasing the efficiency of IDS systems by hardware implementation of packet capturing | |
| Huang et al. | On the design of a cost effective network security switch architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200426 Address after: Singapore City Patentee after: Marvell Asia Pte. Ltd. Address before: Ford street, Grand Cayman, Cayman Islands Patentee before: Kaiwei international Co. Effective date of registration: 20200426 Address after: Ford street, Grand Cayman, Cayman Islands Patentee after: Kaiwei international Co. Address before: Hamilton, Bermuda Patentee before: Marvell International Ltd. Effective date of registration: 20200426 Address after: Hamilton, Bermuda Patentee after: Marvell International Ltd. Address before: Babado J San Mega Le Patentee before: MARVELL WORLD TRADE Ltd. |
|
| TR01 | Transfer of patent right |