CN110177046B - 基于拟态思想的安全交换芯片、实现方法及网络交换设备 - Google Patents
基于拟态思想的安全交换芯片、实现方法及网络交换设备 Download PDFInfo
- Publication number
- CN110177046B CN110177046B CN201910312692.6A CN201910312692A CN110177046B CN 110177046 B CN110177046 B CN 110177046B CN 201910312692 A CN201910312692 A CN 201910312692A CN 110177046 B CN110177046 B CN 110177046B
- Authority
- CN
- China
- Prior art keywords
- message
- data
- module
- mimicry
- descriptor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
- H04L49/109—Integrated on microchip, e.g. switch-on-chip
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/30—Peripheral units, e.g. input or output ports
- H04L49/3009—Header conversion, routing tables or routing tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络交换技术领域,特别涉及一种基于拟态思想的安全交换芯片、实现方法及网络交换设备,该方法包含:各端口报文数据依据输入调度进行调度处理;针对各报文数据,提取报文头并缓存报文数据;通过异构解析算法进行解析,针对解析结果进行拟态判决;根据判决结果生成报文描述符,该报文描述符至少包含与报文转发策略行为相关的报文特征信息;查找基于拟态表项校验的表项缓存获取转发策略行为数据并更新报文描述符;从缓存报文数据中提取对应报文数据,将提取到的报文数据以数据包形式发送至相应端口。本发明通过引入去协同缓存、拟态转发引擎以及拟态表项校验等技术,增强交换芯片安全性和可靠性,对网络交换技术发展具有重要的指导意义。
Description
技术领域
本发明属于网络交换技术领域,特别涉及一种基于拟态思想的安全交换芯片、实现方法及网络交换设备。
背景技术
在互联网高速发展的今天,网络交换技术是网络通信的重要枢纽,因此交换设备特别是交换芯片的安全性和可靠性显得格外重要。在网络交换领域,安全事件层出不跌,2018年初,思科自曝318款交换机有漏洞,可能已遭渗透等等。交换设备的安全可靠性成为当前网络交换设备设计的重中之重。同时,随着网络的日益复杂以及数据流量的飙升,交换芯片的设计复杂度也在升高,因此交换芯片的设计可能会涉及到第三方IP,导致交换芯片的硬件设计存在一定的安全隐患。
在传统的设计当中,极少考虑从交换硬件层面增加安全性的防护,而是通过在控制层施加安全防御模块或者通过控制器配置交换芯片相应的安全策略达到防御目的。并未针对硬件可能存在的安全隐患、未知漏洞、木马以及后门做针对性的防护,因此传统的防御设计针对交换芯片可能存在的未知漏洞、木马以及后门所作的防护作用有限。当前交换芯片的防御技术特点,由于交换系统的日益复杂以及可编程转发技术的发展,转发引擎系统日益复杂,转发引擎极有可能存在未知漏洞抑或不可靠设计思想,如何实现对转发引擎存在潜在漏洞的防护进而提高转发引擎设计的可靠性显得尤为重要;随着IC技术的发展,配置信息下发到交换芯片中后,极有可能在硬件层面受到篡改或者破坏,从而改变数据流向,因此,如何通过在交换芯片中实现对重要配置信息的防护成为急需解决的重要问题之一;在设计复杂的交换系统时,使用第三方通用IP,特别是数据缓存模块,成为一种趋势,这样可以缩减研发周期,然而如何避免由于第三方IP预留的后门而触发的软硬件协同攻击也是当前需要重视的问题。
发明内容
为此,本发明提供一种基于拟态思想的安全交换芯片、实现方法及网络交换设备,针对交换芯片硬件层面存在的未知漏洞、木马以及后门等情形,通过引入拟态等安全思想来增强交换芯片的安全特性,进一步保证网络通信的安全性和可靠性。
按照本发明所提供的设计方案,一种基于拟态思想的安全交换芯片,包含:输入调度、报文处理和输出调度,其中,
输入调度,用于对端口报文数据进行调度处理;
报文处理,用于对输入调度传输的各报文进行报文头提取并缓存报文数据;通过异构解析算法拟态解析提取的报文头生成报文描述符;通过报文描述符提取对应报文信息,并根据报文描述符规则指示发送控制数据包至输出调度模块,报文描述符至少包含与报文转发策略行为相关的报文特征信息;
输出调度,用于按照报文描述符规则指示发送数据包至相应端口。
上述的,所述报文处理包含报文缓存模块、转发引擎模块和表项缓存模块,其中,
报文缓存模块,用于对输入调度传输的各报文进行报文头提取并缓存报文数据,将提取的报文头传输至转发引擎模块;
表项缓存模块,用于通过拟态表项的动态异构冗余架构对生成后的表项数据进行保护;
转发引擎模块,用于对接收到的报文头通过异构解析算法进行拟态解析,生成对应报文描述符,并查找表项缓存模块获取转发策略行为数据并更新报文描述符;依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
优选的,报文缓存模块包含变码子模块、缓存子模块和解码子模块,其中,
变码子模块,用于对报文数据进行数据变码;
缓存子模块,用于对变码后的数据进行数据缓存;
解码子模块,用于依据报文描述符从缓存数据中提取并解码报文数据。
优选的,所述表项缓存模块包含校验算法池、校验码生成子模块、校验码组合子模块和表项校验子模块,其中,
校验算法池,设置有多种异构校验算法;
校验码生成子模块,用于依据校验策略选择一种或多种校验算法组合生成校验码;
表项校验子模块,用于依据校验码和校验策略对表项数据进行验证。
优选的,转发引擎模块包含拟态解析子模块、层级处理子模块和报文头修改子模块,其中,
拟态解析子模块,用于通过设定异构解析算法对接收到的报文头进行解析处理并通过判决获取最终报文头解析数据;
层级处理子模块,用于依据解析数据生成对应的报文描述符,并通过查找表项缓存模块获取转发策略行为数据;
报文头修改子模块,用于依据转发策略行为数据对生成的报文描述符进行更新,依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
更进一步,所述拟态解析子模块包含输入代理、n个异构转发引擎执行体、拟态判决单元和输出代理,其中,
输入代理,用于将接收到的报文头分发给n个异构转发引擎执行体;
异构转发引擎执行体,用于通过对n个异构转发引擎执行体设定若干不同解析算法对报文头进行数据解析;
拟态判决单元,用于通过表决算法对n个异构转发引擎执行体解析结果进行判决;
输出代理,用于将判决后的最终结果输出至层级处理子模块。
更进一步,异构转发引擎执行体个数n不小于3,n数值根据系统安全性要求及系统资源情况进行设定。
更进一步,表决算法为大数表决算法,或为基于历史信息的择多判决算法。
进一步,本发明还提供一种基于拟态思想的网络交换芯片数据安全交换实现方法,包含:
各端口报文数据依据输入调度进行调度处理;
针对调度处理后接收到的各报文数据,提取报文头并缓存报文数据;
对提取到的报文头,通过异构解析算法进行解析,针对解析结果进行拟态判决;根据判决结果生成报文描述符,该报文描述符至少包含与报文转发策略行为相关的报文特征信息;
依据报文描述符,查找基于拟态表项校验的表项缓存获取转发策略行为数据并更新报文描述符;
依据更新后的报文描述符从缓存报文数据中提取对应报文数据,将提取到的报文数据以数据包形式发送至相应端口。
进一步,本发明还提供一种网络交换设备,包含上述的基于拟态思想的安全交换芯片。
本发明的有益效果:
本发明在交换芯片内部,通过设定拟态思想,增强数据交换的安全性;引入去协同缓存、拟态转发引擎以及拟态表项校验等技术,增强交换芯片安全性和可靠性;通过引入去协同技术,使得攻击者无法通过外部操作触发内部硬件木马的触发条件,即无法达到激活硬件木马的目的;转发引擎可靠性增加,拟态转发引擎模块与传统转发引擎相比,通过引入异构执行体使得攻击者攻击转发引擎的难度大大提升,进而增加转发引擎的安全性;防表项篡改,通过拟态策略的引入,防止攻击者通过表项校验策略攻破校验机制,从而增强了表项的防篡改能力,增强表项校验可靠性,对网络交换技术发展具有重要的指导意义。
附图说明:
图1为实施例中安全交换芯片示意图之一;
图2为实施例中安全交换芯片示意图之二;
图3为实施例中报文缓存模块示意图;
图4为实施例中拟态解析子模块示意图;
图5为实施例中表项缓存模块示意图;
图6为实施例中安全交换芯片示意图之三;
图7为实施例中数据安全交换实现方法流程图。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
网络交换是指通过交换机等设备,将不同的信号或者信号形式转换为对方可识别的信号类型从而达到通信目的的一种交换形式,常见的有:数据交换,线路交换,报文交换,分组交换。在计算机网络中,按照交换层次的不同,网络交换可以分为物理层交换(如电话网)、链路层交换(二层交换,对MAC地址进行变更)、网络层交换(三层交换,对IP地址进行变更)、传输层交换(四层交换,对端口进行变更,比较少见)和应用层交换(似乎可以理解为Web网关等)。随着网络的日益复杂以及数据流量的飙升,交换设备特别是交换芯片的安全性和可靠性显得格外重要。为此,本发明实施例中,参见图1所示,提供一种基于拟态思想的安全交换芯片,包含:输入调度、报文处理和输出调度,其中,
输入调度,用于对端口报文数据进行调度处理;
报文处理,用于对输入调度传输的各报文进行报文头提取并缓存报文数据;通过异构解析算法拟态解析提取的报文头生成报文描述符;通过报文描述符提取对应报文信息,并根据报文描述符规则指示发送控制数据包至输出调度模块,报文描述符至少包含与报文转发策略行为相关的报文特征信息;
输出调度,用于按照报文描述符规则指示发送数据包至相应端口。
针对交换芯片硬件层面存在的未知漏洞、木马以及后门等,通过在交换芯片内部,通过设定拟态思想技术,增强网络交换设备数据交换的安全性。
进一步地,参见图2所示,报文处理包含报文缓存模块、转发引擎模块和表项缓存模块,其中,
报文缓存模块,用于对输入调度传输的各报文进行报文头提取并缓存报文数据,将提取的报文头传输至转发引擎模块;
表项缓存模块,用于通过拟态表项的动态异构冗余架构对生成后的表项数据进行保护;
转发引擎模块,用于对接收到的报文头通过异构解析算法进行拟态解析,生成对应报文描述符,并查找表项缓存模块获取转发策略行为数据并更新报文描述符;依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
输入调度、报文缓存模块、转发引擎模块、输出调度模块依次连接,转发引擎模块还连接表项缓存模块。
各端口的报文数据经过输入调度进行调度处理;基于去协同的报文缓存模块对各报文进行报头提取并缓存报文数据,所提取的报头信息发送到拟态转发引擎模块,进行报头解析,并生成对应的报文描述符,报文描述符用于描述对应报文的标志信息,例如报文ID、端口数据、报文长度、报文大小、报文用途等等;拟态转发引擎模块在提取关键信息后,该处关键信息根据实际应用环境可为报文ID,通过查找基于拟态表项校验的表项缓存模块获取到报文描述符信息的端口数据,并修改报文描述符中原始端口数据;拟态转发引擎完成报文描述符修改后,从基于去协同的报文缓存模块提取对应的报文信息,并根据报文描述符的规则指示进行数据包的发送控制,最后将数据包输出到输出调度模块,由输出调度模块按照规则发送到相应的端口。
进一步地,参见图3所示,报文缓存模块包含变码子模块、缓存子模块和解码子模块,其中,
变码子模块,用于对报文数据进行数据变码;
缓存子模块,用于对变码后的数据进行数据缓存;
解码子模块,用于依据报文描述符从缓存数据中提取并解码报文数据。
变码和解码模块是一对互逆操作,变码算法可以是简单的异或操作,也可引入分组密码型算法和流密码型算法等,这样攻击者在不知道密钥的情况下,无法向数据缓存模块发送设定的数据流;硬件潜在的木马在数据模块植入触发条件,一旦通过外界发送触发条件,硬件木马就可以进行数据窃取或者破坏工作,去协同技术则通过变码的方式破坏了触发条件,使得攻击者在不知道变码算法的情况下无法通过发送触发条件来达到触发硬件木马的目的。报文数据经过变码子模块将数据变码缓存到缓存子模块,当拟态转发引擎完成对报文头的解析后,报文数据从缓存子模块经过解码子模块的解码后与处理过的报文头进行组合发送到输出调度,以完成网络数据交换。
进一步地,参见图5所示,表项缓存模块包含校验算法池、校验码生成子模块、校验码组合子模块和表项校验子模块,其中,
校验算法池,设置有多种异构校验算法;
校验码生成子模块,用于依据校验策略选择不少于三种校验算法组合生成校验码;
表项校验子模块,用于依据校验码和校验策略对表项数据进行验证。
表项校验码的生成根据校验策略选择一种或多种校验算法组合,校验算法池中校验算法可包含目前常见的CRC循环冗余校验、MD文件摘要校验等。充分利用拟态表项校验的特性,表项校验的动态异构冗余架构对生成后表项进行保护,通过表项校验算法的动态随机性和校验结构的异构冗余特性,来提高校验码的复杂度,增强表项的安全性;表项校验码的生成根据校验策略选择一种或多种校验算法组合,这种组合可以随着校验策略的动态变化而变化,校验策略也会同步加到每个表项后面。同时,每种校验算法由三种不同的实现方式来实现,由系统随机选择,通过这种异构冗余的结构提高校验码生成过程的安全性。
进一步地,参见图6所示,转发引擎模块包含拟态解析子模块、层级处理子模块和报文头修改子模块,其中,
拟态解析子模块,用于通过设定异构解析算法对接收到的报文头进行解析处理并通过判决获取最终报文头解析数据;
层级处理子模块,用于依据解析数据生成对应的报文描述符,并通过查找表项缓存模块获取转发策略行为数据;
报文头修改子模块,用于依据转发策略行为数据对生成的报文描述符进行更新,依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
图6中,在交换芯片内部引入去协同缓存、拟态转发引擎以及拟态表项校验等技术,增强了交换芯片的安全性。
进一步的,拟态解析子模块包含输入代理、n个异构转发引擎执行体、拟态判决单元和输出代理,其中,
输入代理,用于将接收到的报文头分发给n个异构转发引擎执行体;
异构转发引擎执行体,用于通过对n个异构转发引擎执行体设定若干不同解析算法对报文头进行数据解析;
拟态判决单元,用于通过表决算法对n个异构转发引擎执行体解析结果进行判决;
输出代理,用于将判决后的最终结果输出至层级处理子模块。
输入代理负责将报头数据分发给n个异构转发引擎执行体;n个异构转发引擎执行体使用不用的解析算法进行报头数据的解析,该不同算法当中包括但不局限于:并行解析算法、串行解析算法、可编程解析算法等,利用报头信息向基于拟态表项校验的表项缓存模块获取报文描述符信息的先后顺序等,n的取值不小于3,具体值根据系统的安全性要求以及系统资源情况进行取舍;拟态判决单元是使用相应的表决算法对异构执行体的结果进行判决,所提表决算法可以是大数表决算法、基于历史信息的择多判决算法等;输出代理负责将拟态判决后的最终结果输出。
基于上述的安全交换芯片,本发明实施例还提供一种基于拟态思想的网络交换芯片数据安全交换实现方法,参见图7所示,包含:
S101、各端口报文数据依据输入调度进行调度处理;
S102、针对调度处理后接收到的各报文数据,提取报文头并缓存报文数据;
S103、对提取到的报文头,通过异构解析算法进行解析,针对解析结果进行拟态判决;根据判决结果生成报文描述符,该报文描述符至少包含与报文转发策略行为相关的报文特征信息;包括但不限于VLAN信息、MAC地址信息、IP地址信息、隧道协议信息。
S104、依据报文描述符,查找基于拟态表项校验的表项缓存获取转发策略行为数据并更新报文描述符;转发策略行为数据包括但不限于限流信息、转发行为(镜像上送、丢弃、转发)、转发属性(端口信息)、目的ID信息(目的MAC地址、目的IP地址等信息)。
S105、依据更新后的报文描述符从缓存报文数据中提取对应报文数据,将提取到的报文数据以数据包形式发送至相应端口。
进一步,基于上述的安全交换芯片和方法,本发明实施例还提供一种网络交换设备,包含上述实施例中的基于拟态思想的安全交换芯片。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的方法,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的方法。
基于上述的方法,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的方法。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种基于拟态思想的安全交换芯片,其特征在于,包含:输入调度、报文处理和输出调度,其中,
输入调度,用于对端口报文数据进行调度处理;
报文处理,用于对输入调度传输的各报文进行报文头提取并缓存报文数据;通过异构解析算法拟态解析提取的报文头生成报文描述符;通过报文描述符提取对应报文数据,并根据报文描述符规则指示发送控制数据包至输出调度模块,报文描述符至少包含与报文转发策略行为相关的报文特征信息;
输出调度,用于按照报文描述符规则指示发送数据包至相应端口;
所述报文处理包含报文缓存模块、转发引擎模块和表项缓存模块,其中,
报文缓存模块,用于对输入调度传输的各报文进行报文头提取并缓存报文数据,将提取的报文头传输至转发引擎模块;
表项缓存模块,用于通过拟态表项的动态异构冗余架构对生成后的表项数据进行保护;
转发引擎模块,用于对接收到的报文头通过异构解析算法进行拟态解析,生成对应报文描述符,并查找表项缓存模块获取转发策略行为数据并更新报文描述符;依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
2.根据权利要求1所述的基于拟态思想的安全交换芯片,其特征在于,报文缓存模块包含变码子模块、缓存子模块和解码子模块,其中,
变码子模块,用于对报文数据进行数据变码;
缓存子模块,用于对变码后的数据进行数据缓存;
解码子模块,用于依据报文描述符从缓存数据中提取并解码报文数据。
3.根据权利要求1所述的基于拟态思想的安全交换芯片,其特征在于,所述表项缓存模块包含校验算法池、校验码生成子模块、校验码组合子模块和表项校验子模块,其中,
校验算法池,设置有多种异构校验算法;
校验码生成子模块,用于依据校验策略选择至少三种校验算法组合生成校验码;
表项校验子模块,用于依据校验码和校验策略对表项数据进行验证。
4.根据权利要求1所述的基于拟态思想的安全交换芯片,其特征在于,转发引擎模块包含拟态解析子模块、层级处理子模块和报文头修改子模块,其中,
拟态解析子模块,用于通过设定异构解析算法对接收到的报文头进行解析处理并通过判决获取最终报文头解析数据;
层级处理子模块,用于依据解析数据生成对应的报文描述符,并通过查找表项缓存模块获取转发策略行为数据;
报文头修改子模块,用于依据转发策略行为数据对生成的报文描述符进行更新,依据更新后的报文描述符提取报文缓存模块的报文数据并以数据包形式输出至输出调度。
5.根据权利要求4所述的基于拟态思想的安全交换芯片,其特征在于,所述拟态解析子模块包含输入代理、n个异构转发引擎执行体、拟态判决单元和输出代理,其中,
输入代理,用于将接收到的报文头分发给n个异构转发引擎执行体;
异构转发引擎执行体,用于通过对n个异构转发引擎执行体设定若干不同解析算法对报文头进行数据解析;
拟态判决单元,用于通过表决算法对n个异构转发引擎执行体解析结果进行判决;
输出代理,用于将判决后的最终结果输出至层级处理子模块。
6.根据权利要求5所述的基于拟态思想的安全交换芯片,其特征在于,异构转发引擎执行体个数n不小于3,n数值根据系统安全性要求及系统资源情况进行设定。
7.根据权利要求5所述的基于拟态思想的安全交换芯片,其特征在于,表决算法为大数表决算法,或为基于历史信息的择多判决算法。
8.一种基于拟态思想的网络交换芯片数据安全交换实现方法,其特征在于,包含
各端口报文数据依据输入调度进行调度处理;
针对调度处理后接收到的各报文数据,提取报文头并缓存报文数据;
对提取到的报文头,通过异构解析算法进行解析,针对解析结果进行拟态判决;根据判决结果生成报文描述符,该报文描述符至少包含与报文转发策略行为相关的报文特征信息;
依据报文描述符,查找基于拟态表项校验的表项缓存获取转发策略行为数据并更新报文描述符;
依据更新后的报文描述符从缓存报文数据中提取对应报文数据,将提取到的报文数据以数据包形式发送至相应端口。
9.一种网络交换设备,其特征在于,包含权利要求1~7任一项所述的基于拟态思想的安全交换芯片。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910312692.6A CN110177046B (zh) | 2019-04-18 | 2019-04-18 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910312692.6A CN110177046B (zh) | 2019-04-18 | 2019-04-18 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110177046A CN110177046A (zh) | 2019-08-27 |
| CN110177046B true CN110177046B (zh) | 2021-04-02 |
Family
ID=67689664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910312692.6A Active CN110177046B (zh) | 2019-04-18 | 2019-04-18 | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110177046B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111030998B (zh) * | 2019-11-15 | 2021-10-01 | 中国人民解放军战略支援部队信息工程大学 | 一种可配置的协议解析方法及系统 |
| CN111416865B (zh) * | 2020-03-24 | 2022-12-13 | 河南信大网御科技有限公司 | 一种基于拟态防御的协议代理处理方法及系统 |
| CN112350996A (zh) * | 2020-10-15 | 2021-02-09 | 中国船舶重工集团公司第七一六研究所 | 一种可适应协议升级的通信报文解析系统及方法 |
| CN112653707B (zh) * | 2020-12-31 | 2022-08-16 | 河南信大网御科技有限公司 | 一种增强型拟态输入代理 |
| CN113079096B (zh) * | 2021-03-19 | 2022-06-03 | 烽火通信科技股份有限公司 | 一种转发流表的内生安全实现装置与方法 |
| CN113300903A (zh) * | 2021-03-29 | 2021-08-24 | 井芯微电子技术(天津)有限公司 | 数据特征计算一致性的实现方法、装置、设备及存储介质 |
| CN113132358A (zh) * | 2021-03-29 | 2021-07-16 | 井芯微电子技术(天津)有限公司 | 策略分发器、拟态交换机及网络系统 |
| CN115174345B (zh) * | 2022-06-16 | 2023-11-03 | 珠海高凌信息科技股份有限公司 | 一种fpga透明代理系统、方法及装置 |
| CN115225586B (zh) * | 2022-07-14 | 2024-04-26 | 中科驭数(北京)科技有限公司 | 数据包发送方法、装置、设备及计算机可读存储介质 |
| CN115277607B (zh) * | 2022-07-15 | 2023-12-26 | 天津市滨海新区信息技术创新中心 | 一种异构系统复杂流量情况下的两级拟态判决方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100512203C (zh) * | 2003-01-27 | 2009-07-08 | 四川南山之桥微电子有限公司 | 一种实现基于源ip地址路由的方法 |
| US8457131B2 (en) * | 2005-02-18 | 2013-06-04 | Broadcom Corporation | Dynamic table sharing of memory space within a network device |
| CN1972240A (zh) * | 2005-11-24 | 2007-05-30 | 武汉烽火网络有限责任公司 | 快速包过滤处理方法及其装置 |
| CN102957616B (zh) * | 2011-08-18 | 2015-09-23 | 盛科网络(苏州)有限公司 | 在asic中转发trill网络报文的方法及系统 |
| CN108833299B (zh) * | 2017-12-27 | 2021-12-28 | 北京时代民芯科技有限公司 | 一种基于可重构交换芯片架构的大规模网络数据处理方法 |
| CN108521378A (zh) * | 2018-04-23 | 2018-09-11 | 天津芯海创科技有限公司 | 异构协议报文的转发方法、装置和网络交换设备 |
| CN108881221A (zh) * | 2018-06-14 | 2018-11-23 | 浙江远望信息股份有限公司 | 一种基于数据包过滤的物联网设备通信安全芯片 |
| CN109218301B (zh) * | 2018-09-05 | 2021-01-15 | 天津市滨海新区信息技术创新中心 | 多协议间软件定义的帧头映射的方法和装置 |
| CN109450900B (zh) * | 2018-11-09 | 2020-12-01 | 天津市滨海新区信息技术创新中心 | 拟态判决方法、装置及系统 |
-
2019
- 2019-04-18 CN CN201910312692.6A patent/CN110177046B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110177046A (zh) | 2019-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110177046B (zh) | 基于拟态思想的安全交换芯片、实现方法及网络交换设备 | |
| US10243732B1 (en) | Cryptographic key management for end-to-end communication security | |
| CN110324146B (zh) | 对离线唯密文攻击的缓解 | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| CN110855629B (zh) | Ip地址的匹配方法、匹配表的生成方法及相关装置 | |
| JP6188832B2 (ja) | データベース・クライアント要求を処理するための方法、コンピュータ・プログラム製品、データ処理システム、およびデータベース・システム | |
| KR101811325B1 (ko) | 네트워크 환경에서의 악성 스크립트 언어 코드의 검출 | |
| CN108881101B (zh) | 一种基于文档对象模型的跨站脚本漏洞防御方法、装置以及客户端 | |
| JP2017506846A (ja) | 公開鍵を基礎とするデジタル署名を使用してソースルーティングを保全するためのシステムおよび方法 | |
| Jyv et al. | Run time mitigation of performance degradation hardware trojan attacks in network on chip | |
| KR20200138092A (ko) | 블록체인 네트워크를 이용하는 시큐어 데이터 쉐어링을 위한 방법, 전자 디바이스, 컴퓨터 프로그램, 및 시스템 | |
| WO2019137554A1 (zh) | 一种保证环网协议运行安全的方法及装置 | |
| CN112235269B (zh) | 一种分布式模式的拟态括号实现装置及方法 | |
| Yuan et al. | Bringing execution assurances of pattern matching in outsourced middleboxes | |
| Azad et al. | CAESAR-MPSoC: Dynamic and efficient MPSoC security zones | |
| JP5889218B2 (ja) | データ転送装置及びデータ転送方法 | |
| CN112235104B (zh) | 一种数据加密传输方法、系统、终端及存储介质 | |
| CN104378327A (zh) | 网络攻击防护方法、装置及系统 | |
| TWI682644B (zh) | 網路節點的移動防護方法及網路防護伺服器 | |
| US20190334998A1 (en) | Sensor For Detecting Measured Values; Method, Device And Computer-Readable Storage Medium With Instructions For Processing Measured Values From A Sensor | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| CN105471839B (zh) | 一种判断路由器数据是否被窜改的方法 | |
| CN107888624B (zh) | 一种防护网络安全的方法和装置 | |
| CN117240603B (zh) | 数据传输方法、系统、装置、电子设备及存储介质 | |
| CN114553452B (zh) | 攻击防御方法及防护设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |