CN109391523A - 用于监控网络中的网络成员之间的通信量的方法 - Google Patents
用于监控网络中的网络成员之间的通信量的方法 Download PDFInfo
- Publication number
- CN109391523A CN109391523A CN201810890270.2A CN201810890270A CN109391523A CN 109391523 A CN109391523 A CN 109391523A CN 201810890270 A CN201810890270 A CN 201810890270A CN 109391523 A CN109391523 A CN 109391523A
- Authority
- CN
- China
- Prior art keywords
- cam
- data transmission
- network
- connection
- status firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/142—Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/74591—Address table lookup; Address filtering using content-addressable memories [CAM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种借助于状态防火墙来监控尤其是在汽车网络中的由网络交换机(110)所连接的网络成员(142、152、162)之间的通信量的方法。在接收到两个网络成员(152、162)之间的数据传输时,网络交换机(110)的内容可寻址存储器CAM(130、220)根据CAM中的状态防火墙规则来判定是允许还是拒绝该所接收到的数据传输。
Description
技术领域
本发明涉及用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法,以及用于实行该方法的计算单元和计算机程序。
背景技术
所谓的内容可寻址存储器(CAM)是一种类型的存储器,该类型的存储器可以在一个时钟周期内对其整个内容进行搜索,在此过程中CAM通过内容而不是通过地址进行搜索。CAM将输入的搜索数据对着所存储的数据的表进行比较,并且返回匹配的数据的地址。
三态内容可寻址存储器(TCAM)具有存储和搜索三个不同输入0、1和x的能力,其中x表示所谓的“不关心”状态。例如,TCAM可能具有诸如“10xx0”之类的条目,其中“x”指示“不关心”状态。此条目将与下述四个搜索关键词中的任何关键词相匹配:“10000”、“10010”、“10100”或“10110”。二进制内容可寻址存储器仅可以存储和搜索0或1。
例如,在US 8 166 536 B1中描述了针对防火墙的CAM的使用,该防火墙用于在网络中过滤网络通信量。对应的过滤包括正则表达式,该正则表达式被防火墙转换成可以存储在三态内容可寻址存储器TCAM中的格式中。防火墙基于经转换的一个或多个输入正则表达式来对TCAM进行编程以实现过滤。
进一步改善防火墙中的内容可寻址存储器(CAM)特别地是三态内容可寻址存储器(TCAM)的使用,尤其是针对汽车网络中的使用是合期待的。
发明内容
根据本发明,提出了一种用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法,以及具有独立权利要求的特征的用于实行该方法的计算单元和计算机程序。有利的进一步的发展形成了从属权利要求的以及后续描述的主题。
不同网络成员与网络交换机尤其是以太网交换机相连接。特别地,每个网络成员与网络交换机的不同端口相连接。网络交换机包括处理器单元和内容可寻址存储器(CAM),特别地是三态内容可寻址存储器(TCAM)。处理器单元可以是单个中央处理单元(CPU)或者具有两个或更多个CPU的多核处理器。在以下描述中,该处理也被称为“交换机CPU”。
为了例如防止攻击以及有害内容的引入,借助于状态防火墙来监控网络的通信量。在网络交换机中实现此状态防火墙。以下述协同设计的方式在网络交换机中实现该状态防火墙:一方面通过在处理单元上执行的软件以及另一方面通过以CAM形式的硬件。
状态防火墙是一种始终监视从网络的一个端点到另一个端点的连接的防火墙。特别地,状态防火墙随着时间对传入和传出数据、数据单元或数据包以及网络成员之间的连接状态进行监控,并且将此信息存储在动态状态表中。
出于此目的,提供了一种所谓的状态防火墙状态表,在下文中也被称为“状态表”。此状态表的条目被称为状态防火墙规则,在下文中也被简称为“规则”。这些状态防火墙规则陈述了不同网络成员之间的连接和/或数据传输是被允许的还是被拒绝的。特别地,仅交换机CPU有权访问此状态表。例如,状态表可以存储在交换机CPU的内部存储器(例如,寄存器)中,或者在尤其是仅交换机CPU有权访问的比如闪速存储器、EEPROM等等的存储器单元中。
为了穿过状态防火墙在两个网络成员之间传输数据,首先需要在这两个网络成员之间建立连接。网络交换机的处理器单元被用于监控和验证该种类连接的建立。在连接被建立之后,CAM被用来对要在所连接的网络成员之间传输的数据或数据单元进行监控。出于此目的,根据本发明的方法包括以下步骤:
在接收到在两个网络成员之间建立连接的请求时,处理器单元根据状态防火墙状态表来判定是允许还是拒绝该连接。如果所请求的连接与状态表的状态防火墙规则相匹配并且根据状态表是被允许的,则处理器允许建立该连接。如果另一方面,所请求的连接与状态表的规则相匹配但是根据状态表是被拒绝的,则处理器不允许建立该连接。如果所请求的连接与状态表的任何状态防火墙规则都不匹配,则交换机CPU拒绝该连接。
如果连接是被允许的并且被建立,则处理器单元关于所建立的连接来更新状态防火墙状态表。此外,如果连接是被允许的并且被建立,则在接收到两个网络成员之间的数据传输时,CAM将此所接收到的数据传输与来自存储在CAM中的状态防火墙状态表的状态防火墙规则进行比较。取决于此比较的结果,所接收到的数据传输被允许或被拒绝或者被传递到处理器单元以用于进一步评估。
存储在CAM中的状态防火墙规则与对应的动作得当地相链接。特别地,此所存储的状态防火墙规则陈述了作为对应的动作是允许还是拒绝所接收到的数据传输或者是否要将所接收到的数据传输传递到处理器单元以用于进一步评估。CAM尤其将所接收到的数据传输的属性与对应的所存储的状态防火墙规则的属性进行比较。如果全部属性都匹配,则CAM特别地实行与状态防火墙规则相链接的对应的动作,即允许、拒绝数据传输或将数据传输传递到CPU。
应当理解的是,来自状态表的有关两个网络成员之间的不同种类的数据传输的两个或更多个状态防火墙规则可以存储在CAM中。例如,这些不同规则可以关系到不同种类的数据从两个网络成员中的第一个到第二个的传输以及反之亦然。如果所接收到的数据传输与存储在CAM中的状态防火墙规则相匹配并且根据该规则是被允许的,则CAM接受该数据并且允许其传过网络交换机。如果所接收到的数据传输与存储在CAM中的状态防火墙规则相匹配但是根据该规则是被拒绝的,则CAM特别地丢弃该数据并且拒绝其传过网络交换机。特别地,如果所接收到的数据传输与存储在CAM中的状态防火墙规则中的任何状态防火墙规则不匹配,则该数据传输被拒绝或者被传输到CPU,该CPU对该数据进行进一步评估并且判定是允许还是拒绝该数据传过网络交换机。如果所接收到的数据传输将触发所建立的连接的状态改变,则CAM尤其将所接收到的数据传输传送到处理器单元,该处理器单元对该数据进行进一步评估并且判定是允许还是拒绝该数据传过网络交换机,以及相应地尤其更新所建立的连接的状态。
因此,通过在处理单元上执行的软件来在网络交换机中实现状态防火墙的第一部分,即监控、允许、拒绝连接请求。通过以CAM形式的硬件来在网络交换机中实现状态防火墙的第二部分,即是对在所连接的网络成员之间的数据传输进行监控。因此,可以将对所连接的网络成员之间的通信量的此种监控从交换机CPU外包到CAM,特别地是在处理器单元的运行时间期间。
在普通状态防火墙中,状态防火墙的对应的CPU通常被用来监控和验证网络成员之间的连接以及监控、允许、拒绝所连接的网络成员之间的通信量。因此,通常仅通过在对应的CPU上执行的软件来实现普通状态防火墙。由于普通状态防火墙的对应的状态表通常被维持在仅仅来自交换机内部CPU才可访问的存储器单元中,因此仅该CPU了解网络成员的当前连接状态以及特定数据传输是否是被允许的。因此,在普通状态防火墙的端口处所接收到的每个数据传输需要被发送到CPU来判定是否允许包通过或者是否拒绝它。然而,将每个数据传输发送到CPU引入了延迟,这降低了带宽。当数据传输的到达率在该类型的普通状态防火墙的所有端口上都非常高时,即当在全部端口上都接收到大量数据或数据包时,则由于有限的处理能力,对应的CPU可能不能够处理全部到达的数据传输。因此,存在数据被丢失的危险。然而,数据包的延迟或丢失造成巨大问题,尤其是在比如车辆中的汽车网络之类的安全关键网络中。
与此形成对照,本发明提供了在具有少许或者甚至可能的最小延迟并且具有减少的数据丢失危险或没有数据丢失危险的情况下维持高带宽的网络中实现状态防火墙的可能性。尤其以小于线速的带宽来实行对借助于处理器单元在两个网络成员之间建立连接的监控。以线速或者具有少许或几乎没有延迟的近线速来特别地实行在连接被建立之后的借助于CAM的数据传输的监控。
根据本发明的通信量监控可以被用于不同种类的网络。对于在比如汽车网络之类的尤其是具有复杂的电气电子架构(E/E架构)的安全关键网络中的使用而言,本发明是特别优选的。特别地,借助于此汽车网络,车辆的不同部件彼此相连接。网络成员可以例如是车辆的ECU、传感器或致动器,或者也可以是不同子域。该种类的子域可以包括通过通信链路(例如以太网、CAN、LIN,等等)彼此相连接的不同部件。因此,不同子域可以具有不同通信链路。在所谓的域控制的架构的过程中,这些不同子域借助于网络交换机而彼此相连接。特别地,车辆外部的网络成员也可以与网络交换机相连接,并且从而与汽车网络(例如,外部服务器或云端)相连接。
在随着时间的推移汽车网络变得越来越复杂的情况下,汽车网络中的通信量增加,并且要被监控的安全关键数据量也增加。利用根据本发明所实现的状态防火墙,可以以线速或具有少许延迟的近线速来监控此数据量,并且可以满足汽车网络的严格安全条例。可以启用安全关键数据的严格防火墙阻挡(firewalling),以便例如防止攻击以及将有害内容引入到汽车网络中。例如,在具有域控制的架构的汽车网络中,可以对域间通信量以及从外部世界进入汽车网络的通信量进行严格地防火墙阻挡。
根据特别更优选的实施例,如果两个网络成员之间的连接是被允许的并且被建立,则处理器单元存储来自CAM中的状态防火墙状态表的有关两个网络成员之间的数据传输的状态防火墙规则。在处理器单元的运行时间期间特别地实行对应的规则的这种传递。应当理解的是,处理器单元还可以将两个或更多个状态防火墙规则从状态表传递到CAM。特别地,处理器单元可以将对应的状态防火墙规则与对应的动作(即,允许、拒绝或传递到CPU)相链接并且将该规则以及对应的动作作为条目存储在CAM中。
替换地,如果两个网络成员之间的连接是被允许的并且被建立,则处理器单元有利地启用来自存储在CAM中的状态防火墙状态表的有关两个网络成员之间的数据传输的状态防火墙规则。一个或若干状态防火墙规则被尤其预写在CAM中。特别地不预先启用预写的规则,而是在运行时间期间借助于处理器单元来启用该预写的规则。在这种情况下,处理器单元特别地不需要在运行时间期间传递规则,而仅仅通过写入一个寄存器位来特别地启用对应的预写规则。
根据特别有利的实施例,内容可寻址存储器(CAM)是三态内容可寻址存储器(TCAM)。靠其通过内容而不是通过地址进行自身搜索的能力,CAM可以将作为输入搜索数据的所接收到的数据传输的属性对着所存储的数据的表(即,以状态防火墙规则形式的所存储的数据传输的属性)进行比较。借助于三态内容可寻址存储器(TCAM),数据传输的某些属性可以特别地与TCAM的“不关心”状态相关联。
根据优选的实施例,如果所接收到的数据传输被传递到处理器单元以用于进一步评估,则处理器单元判定是允许还是拒绝该数据传输。有利地,处理器单元特别地在运行时间期间改变存储在CAM中的状态防火墙规则。因此,交换机CPU动态地更新CAM,以使得如果再次接收到这种特定数据传输,CAM将允许或者拒绝该传输而不咨询处理器单元。
存储在CAM中的状态防火墙规则优选地描述两个网络成员之间的特定数据传输的属性以及该特定数据传输是被允许的还是被拒绝的。在接收到两个网络成员之间的数据传输时,CAM有利地评估所存储的状态防火墙规则的属性是否与所接收到的两个网络成员之间的数据传输的对应的属性相匹配。特别地,CAM检查所接收到的数据传输的属性是否与全部存储在CAM中的规则中的一个的属性相匹配。如果是这样的话,则CAM实行与此匹配的规则相链接的对应的动作,并且因此根据该匹配的规则特别地允许或拒绝该数据传输传过网络交换机或者将其传递到处理器单元。
特别地,关于这两个网络成员的信息可以被提供为这些属性,例如,网络(例如IP)地址和/或网络交换机端口。此外,关于这两个网络成员之间的特定连接的信息可以被提供为比如被用于连接的通信协议(例如,TCP、UDP、ICMP)和/或由对应的通信协议设置的状态标志之类的属性。状态标志尤其描述了特定消息或数据包是否已经在两个网络成员之间进行交换。此外,该属性可以关系到要被传输的数据并且可以例如具体地描述数据或者描述特定种类的数据,或者描述两个网络成员中的哪个是源以及哪一个是传输的目的地。尤其地,其被提供为属性或动作,无论此特定数据传输是被允许的还是被拒绝的。
有利地,如果存储在CAM中的状态防火墙规则的特定属性与所接收到的数据传输的对应的属性不匹配,但是所存储的状态防火墙规则的剩余属性与所接收到的数据传输的对应的属性相匹配,则数据传输被传递到处理器单元以用于进一步评估。为了检测单个非匹配的属性,CAM可以例如将所接收到的数据传输与尤其仅在特定属性上不同的两个或更多个状态防火墙规则依次相互进行比较。特别地,当使用TCAM时,可以利用TCAM的“不关心”状态来指定特定属性。因此,如果根据对应的规则两个网络成员之间的数据传输是基本上被允许的,但是仅一个属性不匹配,则特别地咨询处理器单元来判定如何进一步进行该传输。此特定属性有利地是通信协议的状态标志。
优选地,如果所接收到的数据传输被传递到处理器单元以用于进一步评估,则处理器单元判定是允许还是拒绝该数据传输。有利地,处理器单元特别地在运行时间期间改变CAM中的状态防火墙规则的特定属性。因此,交换机CPU动态地更新CAM。
根据优选的实施例,如果连接是被允许的并且被建立,则在满足终止条件时,两个网络成员之间的连接被终止。优选地,处理器单元删除或者禁用存储在CAM中的状态防火墙规则。特别地,交换机CPU还关于被终止的连接来更新状态防火墙状态表。因此,由处理器单元来得当地实行对建立连接的过程的监控以及对终止所建立的连接的过程的监控以及因此以软件形式实现。
有利地,当超时计数器到期时满足此终止条件。如果连接被建立,则对应的超时计数器特别地被处理器单元优选地监控。如果超时计数器到期,则连接被终止并且处理器单元删除或禁用存储在CAM中的规则。借助于此超时计数器,可以尤其防止的是,网络成员之间的连接被维持,尽管它们并不再交换数据。
替换地或附加地,当接收到终止请求时优选地满足终止条件。可以将此终止请求从两个所连接的网络成员中的一个发送到另一个以便关闭所建立的连接。如果连接被建立,则有利地在接收到终止请求时,两个网络成员之间的连接被终止并且处理器单元删除或禁用存储在CAM中的规则。例如,对应的终止请求可以与CAM中的状态防火墙规则相匹配,该CAM中的状态防火墙规则与用以将此终止请求传输到处理器单元的动作相链接。
根据优选的实施例,传输控制协议(TCP)被用作针对两个网络成员的连接的通信协议。有利地,借助于根据TCP的三次握手(three way handshake)建立两个网络成员之间的连接。通过将TCP用于该连接,TCP状态标志可以被用来实现状态防火墙。然而,还可能的是,将其他通信协议用于两个网络成员的连接,该其他协议例如,通过使用伪状态的用户数据报协议(UDP)或者通过将ICMP序列号用作状态的互联网控制报文协议(ICMP)。
根据本发明的计算单元尤其是网络交换机特别地被计算机程序配置成实行发明性方法。
本发明以软件形式的实现方式是有利的,因为这允许特别低的成本,尤其是如果执行中的处理单元仍被用于其他任务并且因此无论如何都被呈现的话。用于提供计算机程序的适合的介质特别地是软磁盘、硬盘驱动器、闪速存储器、EEPROM、CD-ROM、DVD等等。经由计算机网络(互连网、内联网,等等)来下载程序是可能的。
在说明书和相关联的附图中详细说明了本发明另外的优点和发展。
不言而喻,在不超出本发明的范围的情况下,上文指出的以及下文仍要解释的特征可以被用在不仅分别指示的组合中,而且在其他组合中,或者以独立的方式使用。
根据示例性实施例在附图中示意性地图示了本发明,并且将参考附图在下文中详细地描述本发明。
附图说明
图1示意性地示出了被配置成实行根据本发明的方法的优选实施例的网络。
图2作为框图示意性地示出了根据本发明的方法的优选实施例。
具体实施方式
图1示意性地示出了一种被配置成实行根据本发明的方法的优选实施例的网络100。网络100尤其是汽车网络并且例如在车辆中实现。
提供了一种多个网络成员与其相连接的被实现为具有多个端口140、150、160的以太网交换机110的网络交换机。根据域控制的架构来特别地嵌入网络100,其中不同子域借助于以太网交换机110彼此相连接。
第一网络成员141在端口140处与网络交换机110相连接并且例如可以是第一子域141。此子域141本身可以包括若干成员,该若干成员借助于通信链路145(例如,CAN总线或以太网)彼此相连接。子域141可以包括域控制器142,例如,马达控制单元、若干传感器143和致动器144。
在端口150处与以太网交换机110相连接的第二网络成员151可以例如是第二子域,该第二子域具有经由比如CAN之类的总线系统155来连接的域控制器152(例如,车辆的电子控制单元(ECU))、传感器153和致动器154。此ECU 152可以例如控制车辆的娱乐系统。
在端口160处,第三网络成员161与以太网交换机110相连接。此第三网络成员161可以例如是车辆经由无线链路163与其相连接的外部服务器162。
应当理解的是,出于简单化的原因,网络可以包括图1中未示出的另外的端口和另外的网络成员。
为了防止攻击以及将有害内容引入到车辆网络100中,借助于在以太网交换机110中实现的状态防火墙来监控网络成员之间的通信量。出于此目的,以太网交换机110包括处理器单元120(例如,中央处理单元CPU)和内容可寻址存储器CAM 130,该内容可寻址存储器CAM 130优选地是三态内容可寻址存储器TCAM。以下述协同设计的方式在以太网交换机110中实现该状态防火墙:通过在CPU 120上执行的软件以及通过以TCAM 130形式的硬件。
提供存储器单元121,例如,CPU 120有权访问的闪速存储器。状态防火墙状态或状态表存储在此存储器121中。此状态表的条目是所谓的状态防火墙规则或者陈述了不同网络成员之间的连接和数据传输是被允许的还是被拒绝的规则。
这些规则中的每个关系到两个网络成员之间的特定连接和/或数据传输,并且描述了对应的连接/传输的属性。
例如,每个规则可以描述以下属性:
- 第一网络成员的IP地址和以太网交换机端口;
- 第二网络成员的IP地址和以太网交换机端口;
- 针对这两个网络成员之间的连接的协议;
- 要在这两个网络成员之间传输的数据或数据包;
- 对应的数据包传输的方向,即,从第一网络成员到第二网络成员或反之亦然;
- 允许还是拒绝此特定传输。
此后将参考图2来描述以太网交换机110中的状态防火墙的实现方式,该图2作为框图示意性地示出了根据本发明的方法的优选实施例。
在下文中,将对控制车辆娱乐系统的ECU 152与外部服务器162进行通信的示例进行描述。出于安全原因,根据状态表的特定规则,仅可以允许下述请求:ECU 152建立其自身与外部服务器162之间的连接。然而,根据状态表的特定规则必须拒绝下述请求:服务器162建立与CPU 152的连接。
在下文中,ECU 152因此也被称为“源”,以及外部服务器162也被称为“目的地”。
在步骤210中,建立两个网络成员152与162之间的连接,尤其是根据传输控制协议TCP的连接。借助于三次握手来特别地建立该连接。
出于此目的,源152在步骤211中将TCP同步标志或同步数据包SYN发送到目的地162。在以太网交换器110的端口150处接收此SYN标志。CPU 120根据状态表来检查SYN包从源152到目的地162的此传输是否是被允许的。因为是这种情况,所以CPU 120允许SYN包传过以太网交换机110到目的地162。
在接收到SYN包之后,在步骤212中,目的地162将同步确认包SYN-ACK往回发送到源152。在以太网交换机110的端口160处接收此SYN-ACK标志。CPU 120根据状态表来检查SYN-ACK包从目的地162到源152的此传输是否是被允许的。因为此传输是被允许的,所以CPU 120让SYN-ACK包传过以太网交换机110到源152。
在步骤213中,源152接收SYN-ACK包并且将确认包ACK发送到目的地162。在端口150中接收此包,并且因为根据状态表此传输是被允许的,所以CPU 120允许该传输通过。
在步骤214中,目的地162接收到ACK包并连接被建立。因此,由于根据状态表,全部的包SYN、SYN-ACK、ACK都被允许传输,所以在接收到以SYN、SYN-ACK、ACK包的形式的此请求时,CPU 120允许在该两个网络成员152、162之间建立连接。
然而,如果根据状态表,包SYN、SYN-ACK、ACK中的一个是不被允许传输的,则CPU120丢弃对应的包并且拒绝所请求的连接。
在连接是被允许的并且被建立之后,在步骤220中,CPU 120动态地更新TCAM 130,以使得TCAM 130可以监控所连接的源152与目的地162之间的通信量。
出于此目的,在步骤221中,CPU 120关于所建立的连接来更新状态防火墙状态表。在步骤222中,CPU 120将在运行时间期间的一个或多个状态防火墙规则从状态防火墙状态表传递到TCAM 130。也可能的是,对应的一个或多个状态防火墙规则已经存储在TCAM 130中但是被禁用,以及处理器单元此时启用了TCAM 130中的此预写规则。
这些规则中的每个关系到两个网络成员152、162之间的特定数据传输,并且描述了此特定数据传输的属性。
例如,这些规则中的每个可以描述以下属性:
- 源152的IP地址和以太网交换机端口;
- 目的地162的IP地址和以太网交换机端口;
- 数据传输的方向,即,从源152到目的地162或反之亦然;
- 针对源142和目的地152的连接的协议,在这种情况下是TCP;
- 连接的状态标志,例如,其最后的状态标志已经在网络成员142、152之间进行交换;
- 计数器,例如,超时计数器。
此外,特定动作与规则中的每个相链接,该特定动作特别地是允许还是拒绝此特定传输或者是否将该特定传输传递到CPU 120以用于进一步评估。
在建立了源152与目的地162之间的连接之后并且在将规则传递到TCAM 130之后,在步骤230中评估的是是否满足了终止条件,以及在步骤240中是否监控所连接的源152与目的地162之间的通信量,或者在步骤250中是否终止它们的连接。
如果满足了此条件,则在步骤251中,源152与目的地162之间的连接被终止,以及在步骤252中,CPU 120从TCAM 130中删除所传递的状态防火墙规则。
只要不满足此条件,则在步骤240中,对源152与目的地162之间的通信量进行监控。在步骤241中,在端口150处接收数据传输,例如,从源152发送到目的地162的数据包。
在步骤242中,TCAM 130评估存储在TCAM 130中的规则中的一个的全部属性是否与所接收到的数据传输的对应的属性相匹配。如果是这种情况,则TCAM 130实行与匹配的规则相链接的特定动作,并且因此在步骤243中特别地允许或拒绝数据包传过以太网交换机到目的地162。如果在步骤242中评估的是全部所接收到的数据传输的属性与全部存储在TCAM 130中的规则中的一个的属性都不匹配,则在步骤244中该数据传输被拒绝。然后再次实行步骤230中的终止条件的评估。
然而,如果存在一种规则,其中此规则的一个特定属性(特别地是描述状态标志的属性)与所接收到的数据传输的对应的属性不匹配,则数据传输被传送到CPU 120以用于进一步评估。为了检测这样的单个非匹配的属性,将数据传输与两个规则依次相互进行比较,其中这两个规则仅在描述状态标志的特定属性上不同。这两个规则中的第一个规则具有针对状态标志属性(例如ACK)的某个值。这些规则中的第二个规则具有针对此属性的“不关心”状态。
因此,在步骤245中,如果数据包与第一规则不匹配,因为该数据包描述状态标志的属性与此规则不同,所以它与第二规则相匹配。在步骤246中,TCAM 130实行与此第二规则相链接的动作并且将所接收到的数据包传递到CPU 120以用于进一步评估。
如果在步骤246中数据包被发送到CPU 120,则CPU 120在步骤247中判定是允许还是拒绝该传输以及在步骤248中更新存储在TCAM 130中的对应的规则。之后再次实行步骤230。
在步骤230中,可以评估的是,超时计数器是否到期。例如,在步骤214中,CPU 120可以对在建立了源152与162之间的连接之后所启动的对应的超时计数器进行监控。如果此超时计数器到期,则在步骤250中,CPU 120终止该连接。
替换地或附加地,可以在步骤230中评估的是,是否例如以根据TCP的四次握手的形式接收到终止请求。在此四次握手的过程中,两个所连接的网络成员中的一个(特别地是源152)将完成标志或完成数据包FIN发送到另一个网络成员(特别地是目的地162)。在端口150处接收此FIN标志。例如,与此FIN数据包相对应的状态防火墙规则可以存储在TCAM 130中并且与用以将此包传递到CPU 120的动作相链接。因此,在接收到FIN包之后,TCAM 130将其传递到CPU 120,由于根据状态表其是被尤其允许的,所以CPU 120允许FIN包的通过。
目的地162接收到此FIN包并且将确认标志或包ACK发送到源152。在端口160处接收ACK标志。存储在TCAM 130中的状态防火墙规则可以与此ACK数据包相对应并且还与用以将其传送到CPU 120的动作相链接。因此,ACK包被传递到CPU 120并且由于根据状态表其通过是被允许的,所以其被CPU 120允许通过。
在源152接收到此ACK包之后,目的地162还将完成标志发送到源152。在端口160处接收到此FIN标志并且将其传递到CPU 120,该CPU 120还特别地允许其传过以太网交换机110。
在源152接收到来自目的地162的此FIN标志之后,源152将ACK包发送到目的地162,该ACK包在端口150处被接收、被传递到CPU 120并且被允许通过。在目的地162接收到此ACK包之后,该连接被终止。
Claims (15)
1.一种用于借助于状态防火墙来监控在网络(100)尤其是在汽车网络中的网络成员(142、152、162)之间的通信量的方法,
其中在网络(100)中,不同网络成员(142、152、162)与网络交换机(110)相连接,所述网络交换机(110)包括处理器单元(120)和内容可寻址存储器CAM(130),所述处理器单元(120)有权访问具有陈述了不同网络成员(142、152、162)之间的连接和数据传输是被允许的还是被拒绝的状态防火墙规则的状态防火墙状态表;
其中所述方法包括以下步骤:
◦ 在接收到在两个网络成员(152、162)之间建立连接的请求时,所述处理器单元(120)根据所述状态防火墙状态表来判定是允许还是拒绝所述连接(210);
◦ 如果所述连接是被允许的并且被建立,则在接收到(241)所述两个网络成员(152、162)之间的数据传输时,所述CAM(130)将该所接收到的数据传输与来自存储在所述CAM(130)中的状态防火墙状态表的状态防火墙规则进行比较;以及
◦ 取决于该比较的结果,所述所接收到的数据传输被允许或被拒绝(243、244)或者被传递(246)到所述处理器单元(120)以用于进一步评估(240)。
2.根据权利要求1所述的方法,其中,如果所述连接是被允许的并且被建立,则所述处理器单元(120)
- 存储(222)来自所述CAM(130、220)中的状态防火墙状态表的有关所述两个网络成员之间的数据传输的状态防火墙规则,或者
- 启用来自存储在所述CAM(130、220)中的状态防火墙状态表的有关所述两个网络成员之间的数据传输的状态防火墙规则。
3.根据权利要求1或2所述的方法,其中,如果所述所接收到的数据传输被传递到所述处理器单元(120)以用于进一步评估(246),则所述处理器单元(120)判定(247)是允许还是拒绝所述数据传输并且改变(248)存储在所述CAM(130)中的状态防火墙规则。
4.根据前述权利要求中的任一项所述的方法,其中
- 存储在所述CAM(130)中的状态防火墙规则描述了所述两个网络成员(152、162)之间的数据传输的属性,以及该数据传输是被允许的还是被拒绝的或者被传输到所述处理器单元(120),以及
- 在接收到(241)所述两个网络成员(152、162)之间的数据传输时,所述CAM(130)评估(242)所存储的状态防火墙规则的属性是否与所接收到的所述两个网络成员(152、162)之间的数据传输的对应的属性相匹配。
5.根据权利要求4所述的方法,其中如果存储在所述CAM(130)中的状态防火墙规则的特定属性与所述所接收到的数据传输的对应的属性不匹配,但是所述所存储的状态防火墙规则的剩余属性与所述所接收到的数据传输的对应的属性相匹配(245),则所述数据传输被传递到所述处理器单元(120)以用于进一步评估(246)。
6.根据权利要求5所述的方法,其中如果所述所接收到的数据传输被传递到所述处理器单元(130)以用于进一步评估(246),则所述处理器单元(130)判定(247)是允许还是拒绝所述数据传输并且改变(248)存储在所述CAM(130)中的状态防火墙规则的特定属性。
7.根据权利要求5或6所述的方法,其中所述特定属性是通信协议的状态标志。
8.根据前述权利要求中的任一项所述的方法,其中如果所述连接是被允许的并且被建立,则在满足终止条件时,所述两个网络成员(152、162)之间的连接被终止(251)并且所述处理器单元(120)删除(252)或者禁用存储在所述CAM(130)中的状态防火墙规则。
9.根据权利要求8所述的方法,其中如果所述连接被建立,则对超时计数器进行监控(230),以及如果所述超时计数器到期,则所述两个网络成员(152、162)之间的连接被终止(251)并且所述处理器单元(120)删除(252)或禁用存储在所述CAM(130)中的状态防火墙规则。
10.根据权利要求8或9所述的方法,其中如果所述连接被建立,则在接收到终止请求时(230),所述两个网络成员(152、162)之间的连接被终止(251)并且所述处理器单元(120)删除(252)或禁用存储在所述CAM(130)中的状态防火墙规则。
11.根据前述权利要求中的任一项所述的方法,其中传输控制协议(TCP)被用作针对所述两个网络成员的连接的通信协议。
12.根据前述权利要求中的任一项所述的方法,其中所述内容可寻址存储器(130)是三态内容可寻址存储器TCAM(130)。
13.一种计算单元尤其是网络交换机(110)被适配成实行根据前述权利要求中的任一项所述的方法。
14.一种计算机程序,当其在计算单元(110)上执行时使所述计算单元(110)实行根据权利要求1至12中的任一项所述的方法。
15.一种机器可读存储介质,其上存储有根据权利要求14所述的计算机程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17185250.2 | 2017-08-08 | ||
| EP17185250.2A EP3442192B1 (en) | 2017-08-08 | 2017-08-08 | Method for monitoring traffic between network members in a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391523A true CN109391523A (zh) | 2019-02-26 |
| CN109391523B CN109391523B (zh) | 2023-04-18 |
Family
ID=59581743
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810890270.2A Active CN109391523B (zh) | 2017-08-08 | 2018-08-07 | 用于监控网络中的网络成员之间的通信量的方法 |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3442192B1 (zh) |
| CN (1) | CN109391523B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022090065A1 (de) * | 2020-10-28 | 2022-05-05 | Audi Ag | Verfahren zum überwachen eines datenverkehrs zwischen steuergeräten eines kraftfahrzeugs sowie entsprechend ausgestattetes kraftfahrzeug |
| WO2022090064A1 (de) * | 2020-10-28 | 2022-05-05 | Audi Ag | Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug |
| EP4170977A1 (de) * | 2021-10-22 | 2023-04-26 | Audi AG | Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113543063B (zh) * | 2020-04-21 | 2024-08-23 | 株式会社日立制作所 | 一种信息处理方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005053230A2 (en) * | 2003-11-28 | 2005-06-09 | Insightix Ltd. | Methods and systems for collecting information relating to a communication network and for collecting information relating to operating systems operating on nodes in a communication network |
| CN1855873A (zh) * | 2005-04-18 | 2006-11-01 | 阿尔卡特公司 | 用于实现高可用性虚拟局域网的方法和系统 |
| CN1926545A (zh) * | 2004-03-25 | 2007-03-07 | 英特尔公司 | 从随机存取存储器构建的内容可寻址存储器 |
| CN101116052A (zh) * | 2004-12-21 | 2008-01-30 | 米斯特科技有限公司 | 网络接口及防火墙设备 |
| CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
| CN204425370U (zh) * | 2014-12-09 | 2015-06-24 | 中国航空工业集团公司第六三一研究所 | 一种fc交换机监控电路 |
| US20150358288A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| CN106789396A (zh) * | 2016-11-25 | 2017-05-31 | 合肥海亚信息科技有限公司 | 一种具有监管功能的无线路由系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8260886B2 (en) * | 2005-12-30 | 2012-09-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Compiling method for command based router classifiers |
| US20090125470A1 (en) * | 2007-11-09 | 2009-05-14 | Juniper Networks, Inc. | System and Method for Managing Access Control Lists |
| US8166536B1 (en) | 2009-02-10 | 2012-04-24 | Juniper Networks, Inc. | Transformation of network filter expressions to a content addressable memory format |
| US9497119B2 (en) * | 2014-05-22 | 2016-11-15 | International Business Machines Corporation | Supporting access control list rules that apply to TCP segments belonging to ‘established’ connection |
-
2017
- 2017-08-08 EP EP17185250.2A patent/EP3442192B1/en active Active
-
2018
- 2018-08-07 CN CN201810890270.2A patent/CN109391523B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005053230A2 (en) * | 2003-11-28 | 2005-06-09 | Insightix Ltd. | Methods and systems for collecting information relating to a communication network and for collecting information relating to operating systems operating on nodes in a communication network |
| CN1926545A (zh) * | 2004-03-25 | 2007-03-07 | 英特尔公司 | 从随机存取存储器构建的内容可寻址存储器 |
| CN101116052A (zh) * | 2004-12-21 | 2008-01-30 | 米斯特科技有限公司 | 网络接口及防火墙设备 |
| CN1855873A (zh) * | 2005-04-18 | 2006-11-01 | 阿尔卡特公司 | 用于实现高可用性虚拟局域网的方法和系统 |
| CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
| US20150358288A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| CN204425370U (zh) * | 2014-12-09 | 2015-06-24 | 中国航空工业集团公司第六三一研究所 | 一种fc交换机监控电路 |
| CN106789396A (zh) * | 2016-11-25 | 2017-05-31 | 合肥海亚信息科技有限公司 | 一种具有监管功能的无线路由系统 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022090065A1 (de) * | 2020-10-28 | 2022-05-05 | Audi Ag | Verfahren zum überwachen eines datenverkehrs zwischen steuergeräten eines kraftfahrzeugs sowie entsprechend ausgestattetes kraftfahrzeug |
| WO2022090064A1 (de) * | 2020-10-28 | 2022-05-05 | Audi Ag | Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug |
| CN115380510A (zh) * | 2020-10-28 | 2022-11-22 | 奥迪股份公司 | 用于监测机动车的控制器之间的数据流量的方法以及相应配备的机动车 |
| CN115606156A (zh) * | 2020-10-28 | 2023-01-13 | 奥迪股份公司(De) | 用于监控机动车中的数据网络的方法和交换机装置以及机动车 |
| TWI807454B (zh) * | 2020-10-28 | 2023-07-01 | 德商奧迪股份有限公司 | 用於監測機動車輛的控制單元間的資料流量之方法以及經適當裝備之機動車輛 |
| TWI823161B (zh) * | 2020-10-28 | 2023-11-21 | 德商奧迪股份有限公司 | 用於在機動車輛中監測資料網路之方法,以及切換裝置和機動車輛 |
| CN115380510B (zh) * | 2020-10-28 | 2024-05-28 | 奥迪股份公司 | 用于监测机动车的控制器之间的数据流量的方法以及相应配备的机动车 |
| EP4170977A1 (de) * | 2021-10-22 | 2023-04-26 | Audi AG | Verfahren zum überwachen eines datennetzwerks in einem kraftfahrzeug sowie switchvorrichtung und kraftfahrzeug |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109391523B (zh) | 2023-04-18 |
| EP3442192A1 (en) | 2019-02-13 |
| EP3442192B1 (en) | 2022-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2020162146A (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| CN109391523A (zh) | 用于监控网络中的网络成员之间的通信量的方法 | |
| JP6581651B2 (ja) | マルチテナント環境においてセキュアなネットワーク通信のために統合型ファイアウォールを提供するためのシステムおよび方法 | |
| US11314614B2 (en) | Security for container networks | |
| JP6080313B2 (ja) | 仮想ネットワークを実装及び管理するシステム及び方法 | |
| EP3382989A1 (en) | Network interface device | |
| US9137204B2 (en) | Network security smart load balancing | |
| US8782239B2 (en) | Distributed router computing at network nodes | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| US20190089641A1 (en) | Stateful Connection Tracking | |
| US7127739B2 (en) | Handling information about packet data connections in a security gateway element | |
| CN116055254B (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| JP4120415B2 (ja) | トラフィック制御計算装置 | |
| Laraba et al. | Defeating protocol abuse with P4: Application to explicit congestion notification | |
| US7343485B1 (en) | System and method for maintaining protocol status information in a network device | |
| KR100334128B1 (ko) | 보안 정책 시스템 | |
| CN109995725B (zh) | 一种云计算状态防火墙的实现方法及装置 | |
| US8085765B2 (en) | Distributed exterior gateway protocol | |
| JP2023063811A (ja) | アクセス制御システム | |
| Lowth | Securing your network against Kazaa | |
| CN108683496A (zh) | 一种与路由解耦的统一威胁管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |