CN111835550B - 网络节点 - Google Patents
网络节点 Download PDFInfo
- Publication number
- CN111835550B CN111835550B CN202010292994.4A CN202010292994A CN111835550B CN 111835550 B CN111835550 B CN 111835550B CN 202010292994 A CN202010292994 A CN 202010292994A CN 111835550 B CN111835550 B CN 111835550B
- Authority
- CN
- China
- Prior art keywords
- rule
- network node
- rule set
- rules
- update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 claims abstract description 29
- 238000012545 processing Methods 0.000 claims abstract description 27
- 230000008859 change Effects 0.000 claims description 30
- 238000000034 method Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 5
- 238000012986 modification Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 description 24
- 238000007726 management method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
- G06N5/025—Extracting rules from data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/08—Interaction between the driver and the control system
- B60W50/14—Means for informing the driver, warning the driver or prompting a driver intervention
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/082—Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Transportation (AREA)
- Mechanical Engineering (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络节点,包括:消息处理模块,所述消息处理模块被配置成基于存储在所述网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;通信模块,所述通信模块被配置成从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;管理器模块,所述管理器模块被配置成验证所述更新指示的对所述规则集的改变遵守至少第一组规则遵守标准,并且若是,则所述网络节点被配置成修改所述规则集以实施所述更新的所述改变,并且若否,则所述网络节点被配置成不实施对所述规则集的所述改变。
Description
技术领域
本公开涉及一种网络节点。具体地说,本公开涉及可以基于不同网络节点建立的规则集发送消息的网络节点,所述发送消息可以包括修改或转发消息。本公开还涉及包括此类网络节点的网络和相关联方法。
背景技术
在控制网络节点发送消息方面,集中式网络技术可能是有利的。然而,网络的安全性也很重要。
发明内容
根据本公开的第一方面,提供了一种网络节点,所述网络节点包括:
消息处理模块,所述消息处理模块被配置成基于存储在所述网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;
通信模块,所述通信模块被配置成从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;
管理器模块,所述管理器模块被配置成验证所述更新指示的对所述规则集的改变遵守至少第一组规则遵守标准,并且若是,则所述网络节点被配置成修改所述规则集以实施所述更新的所述改变,并且若否,则所述网络节点被配置成不实施对所述规则集的所述改变。
在一个或多个实施例中,所述通信模块包括软件定义网络SDN代理。
在一个或多个实施例中,对发送所述一个或多个消息的所述控制包括以下中的一个或多个:
基于所述规则集中的一个或多个转发规则,控制将在所述网络节点处生成的一个或多个消息转发到所述一个或多个输出端口中的至少一个输出端口;
基于所述规则集中的一个或多个转发规则,控制将在所述网络节点的一个或多个输入端口处接收到的一个或多个消息转发到所述一个或多个输出端口之一;
基于所述规则集中的一个或多个带宽规则,控制所述一个或多个消息的流动;
基于所述规则集中的一个或多个寻址规则,控制对所述一个或多个消息的寻址;
基于所述规则集中的一个或多个调度规则,控制对所述一个或多个消息的所述转发的调度;以及
基于一个或多个修改规则控制所述一个或多个消息的格式化或内容。
在一个或多个实施例中,所述规则集仅由所述控制器节点确定。
在一个或多个实施例中,所述更新限定的对所述规则集的所述改变包括以下中的一个或多个:
替换所述规则集中的所述规则中的一个或多个规则;
对所述规则集中的所述规则进行添加;以及
移除所述规则集中的所述规则中的一个或多个规则。
在一个或多个实施例中,所述通信模块被配置成在所述网络节点与所述控制器节点之间建立用于接收对所述规则集的所述至少一个更新的安全通信信道。
在一个或多个例子中,所述规则遵守标准包括所述更新的规则必须满足以便被视为遵守的标准。
在一个或多个例子中,所述规则遵守标准包括所述更新的所述规则不得违反以便被视为遵守的标准。
在一个或多个例子中,所述规则遵守标准包括如果实施所述更新的所述改变,则所述规则集的所述规则必须共同满足以便被视为遵守的规则。
在一个或多个例子中,所述管理器模块包括由所述网络节点的处理器执行的软件或所述网络节点的硬件之一。
在一个或多个实施例中,所述网络节点被配置成通过验证所述规则遵守标准的真实性的过程来接收所述规则遵守标准。在一个或多个例子中,所述过程可以包括安全引导过程。
在一个或多个实施例中,所述管理器模块被配置成验证所述更新指示的对所述规则集的所述改变遵守至少第一组规则遵守标准,随后是第二组规则遵守标准,或遵守所述第二组规则遵守标准,随后是所述第一组规则遵守标准,其中
所述第一组规则遵守标准包括不得违反的标准(WSC);并且
所述第二组规则遵守标准包括必须满足的标准(NSC)。
在一个或多个实施例中,所述第一组规则遵守标准至少包括限定所述消息处理模块转发的所述一个或多个消息不应发送到何处的标准。
在一个或多个实施例中,所述第二组规则遵守标准包括限定所述消息处理模块转发的所述一个或多个消息必须发送到何处的标准。
在一个或多个例子中,所述第一组规则遵守标准包括限定所述网络节点形成一部分的网络的安全威胁的标准。在一个或多个例子中,所述第二组规则遵守标准包括限定规则集中所述网络节点形成一部分的所述网络的操作所需的一个或多个规则的标准。
在一个或多个实施例中,基于确定所述更新指示的对所述规则集的所述改变不遵守所述至少第一组规则遵守标准,所述网络节点被配置成发送警告消息,所述警告消息指示所述更新不遵守所述规则遵守标准。
在一个或多个例子中,所述警告消息可以发送到被配置成监测所述网络节点和所述控制器节点作为一部分的网络的安全性的实体。
根据本公开的第二方面,提供了一种网络,所述网络包括:
控制器节点;以及
多个根据在前的任一项权利要求所述的网络节点,其中网络节点中的每个网络节点的所述输出端口提供到所述多个网络节点中的另一个网络节点或所述集中式网络控制器的通信信道。
在一个或多个实施例中,所述网络包括汽车的网络,并且所述多个网络节点中的至少一个网络节点包括驾驶员辅助系统。
根据本公开的第三方面,提供了一种方法,所述方法包括:
基于存储在网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;
从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;
验证所述更新指示的对所述规则集的改变遵守至少第一组规则遵守标准,并且若是,则修改所述规则集以实施所述更新的所述改变,并且若否,则不实施对所述规则集的所述改变。
在一个或多个实施例中,基于确定所述更新指示的对所述规则集的所述改变不遵守所述至少第一组规则遵守标准,发送指示所述更新不遵守所述规则遵守标准的警告消息。
应了解,可以通过根据第三方面所述的方法来执行第一方面的任选特征。
根据本公开的第四方面,提供了一种汽车,所述汽车包括根据第二方面所述的网络。
在本公开的另外的方面,提供了一种包括处理器的网络节点,所述处理器被配置成:
基于存储在网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;
从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;并且
验证所述更新指示的对所述规则集的改变遵守至少第一组规则遵守标准,并且若是,则所述网络节点被配置成修改所述规则集以实施所述更新的所述改变,并且若否,则所述网络节点被配置成不实施对所述规则集的所述改变。
虽然本公开可采用各种修改和替代形式,但是在附图中已经通过举例示出了本公开的细节并且将对其进行详细描述。然而,应理解的是,除了所描述的具体实施例之外,其它实施例也是可能的。落入所附权利要求的精神和范围内的所有修改、等效物以及替代性实施例也被涵盖。
以上讨论不旨在表示当前或未来权利要求组的范围内的每个示例实施例或每种实施方案。随后的附图和具体实施方式也例示了各个示例实施例。结合附图考虑以下具体实施方式时,可以更彻底地理解各个示例实施例。
附图说明
现在将参考附图仅通过举例对一个或多个实施例进行描述,在附图中:
图1示出了包括多个网络节点和一个控制器节点的网络的示例实施例;
图2示出了网络节点的示例实施例;
图3示出了网络节点的管理器模块遵循的示例过程;
图4示出了第一组规则遵守标准和第二组规则遵守标准的例子;并且
图5示出了流程图,所述流程图示出了示例方法。
具体实施方式
网络可以属于对在网络的网络节点上路由消息的控制和对那些网络节点转发消息的控制集中在控制器节点处的类型,所述控制器节点可以包括集中式网络控制器(CNC)节点。CNC节点可以动态配置网络以满足不同的用例场景,使网络适应故障场景,并且为动态应用需求分配资源。除其它例子外,软件定义网络(SDN)是提供此类集中控制的技术。SDN网络可以使用如OpenFlow、netconf或restconf等协议来配置网络。尽管SDN网络传统上可以利用被称为“集中式网络控制器”的节点,但应了解,本文中对所述术语的使用不限于SDN型网络。
CNC重新配置整个网络的能力使其成为远程攻击者的重要目标。最先进的SDN配置协议(例如,OpenFlow、netconf、restconf等)全都要求使用安全传输协议(通常为TLS)以在CNC与要由CNC重新配置的网络节点之间建立信任。这种安全通信可以防止将假的CNC引入到网络中,但其不能针对所有威胁提供安全性,如在CNC可能已受到攻击者影响时。
这种集中式网络可以应用于基于汽车的网络领域。基于汽车的网络可以提供各种功能,如发动机管理功能、高级驾驶员辅助系统(ADAS),如自动制动、车道偏离警告、自动驾驶能力、自动泊车能力或发动机/电动机/电池诊断功能。在一个或多个例子中,网络节点可以各自执行一个或多个功能,或者获取或转发用于所述一个或多个功能或其它网络节点的要执行的一个或多个功能的数据。
在基于汽车的网络中,每个网络元件都可以被配置成在某种程度上对其安全性负责,以减少单点故障。因此,每个网络节点可以实施安全引导机制,所述安全引导机制检查网络节点执行的固件或软件的真实性或网络节点的配置。真实性由网络节点中的信任根通过在安全的后端设施中对固件进行签名来保证。允许可能受影响的CNC修改此类配置数据将破坏安全引导建立的安全性。因此,本文所描述的一个或多个例子涉及检查CNC指示的改变。所述例子可以提供集中式网络控制器的灵活性和可管理性优点,而且可以确保网络节点的安全性独立于集中式网络控制器的安全性。
示例图1示出了示例网络100,所述示例网络100包括多个网络节点,所述多个网络节点包括第一到第五网络节点101、102、103、104、105和控制器节点106。在下面的描述中,控制器节点可以被称为集中式网络控制器节点106,但是应当了解,在其它例子中,控制器节点106可以基于SDN或可以不基于SDN,并且在一个或多个例子中,其可以包括物理上远离网络100的服务器。网络节点101-105可以被布置成各种拓扑,如以集中式网络控制器106为中心的星形拓扑或网格拓扑等。在此例子中,第一网络节点101直接连接到第二网络节点102、第三网络节点103和CNC 106。第三网络节点103直接连接到CNC 106和第四网络节点104。第一到第四网络节点101、102、103、104全都直接连接到CNC 106。第五网络节点连接到第四网络节点104。应了解,所描绘的连接不是限制性的,而是提供示例网络以供进一步讨论。
网络100可以包括如上文提到的汽车110的网络。因此,网络节点101-105可以被配置成执行使汽车运行的不同功能,如驾驶员辅助系统(也称为高级驾驶员辅助系统(ADAS))、发动机管理、电池管理或牵引电动机管理以及其它示例功能。因此,每个网络节点可以包括具有存储器或微控制器或FPGA等的处理器,所述处理器可以被配置成托管和执行网络节点提供的功能。在一个或多个例子中,网络节点中的一个或多个网络节点可以被配置成托管执行特定功能的虚拟机,如本文所例示的。在一个或多个例子中,网络节点可以被配置成托管一个或多个虚拟机。这可能是有利的,因为如果一个网络节点发生故障,则可以由不同的网络节点执行提供所丢失功能的虚拟机。在一个或多个例子中,网络节点可以预加载有一个或多个备份虚拟机,以便为在其它网络节点处执行的对应活动虚拟机提供冗余。因此,如果网络节点丢失,则可以使对应的备份虚拟机成为所失去功能的活动虚拟机。然后,CNC106可以使所失去功能所需的消息路由和转发到现在托管虚拟机的网络节点。
总而言之,每个网络节点101-105可以本地存储规则集,所述规则集限定所述网络节点应将消息发送到何处和/或应如何向其它网络节点101-105或CNC106发送消息。规则集可以包括一个或多个规则。规则可以各自涉及不同类型或类别的消息。消息的类型可以由消息的内容(如数据内容)、或应将消息转发到何处(这可以根据消息的地址或消息中的任何其它字段确定)或消息源自哪个网络节点来限定。多个规则可以形成用于确定网络节点应如何或何时发送消息的一系列逻辑。
示例图2示出了网络节点101-105的示例功能结构。应了解,以下描述的功能块是为了帮助理解,并且网络节点的硬件的物理布置可以与本文的功能块描述一致或不一致。例如,功能块可以被具体化为硬件,并且可以存在或可以不存在执行如本文的例子中所布置的功能块的功能的单独的硬件组件。功能块可以被具体化为软件,并且可以存在用于执行所述软件的一个或多个处理器。软件本身可以被分离或可以不被分离成执行如本文的例子中所布置的功能块的功能的代码。
尽管示例图2表示网络节点101-105中的任何网络节点,但为简单起见,图2的网络节点将被称为网络节点101。网络节点101包括消息处理模块201,所述消息处理模块201被配置成控制将消息发送到网络节点的一个或多个输出端口202。所述一个或多个输出端口可以提供对到不同网络节点的一个或多个通信信道的接入。输出端口202可以包括以太网端口,但是可以使用其它网络技术。消息处理模块201被配置成基于存储在网络节点201处的规则集204控制向所述一个或多个输出端口202发送消息,所述规则集包括一个或多个规则。
对发送所述一个或多个消息的控制可以包括对以下中的一个或多个的控制:消息转发、消息流动(例如,发送多个消息的最小和最大速率,并且其还可以包括管制或整形)、消息寻址或发送消息的时间调度或消息计数。对跨网络节点中的一个或多个网络节点发送消息的控制可以实现对在网络中路由消息的控制。因此,所述控制可以包括对以下的控制:消息要发送到何处和应如何发送消息,以及在一个或多个例子中,是否要发送消息。例如,规则集中的规则可以限定消息处理模块201或更一般地网络节点101应如何控制将在网络节点101处生成的一个或多个消息转发到所述一个或多个输出端口202。规则集中与将消息转发到多个输出端口中的选定端口有关的规则可以称为转发规则。因此,消息处理模块201可以基于规则集的一个或多个转发规则转发在网络节点101处生成的消息。在一个或多个例子中,规则集中的规则可以包括在网络节点处生成的消息的类型与一个或多个输出端口202之间的映射。例如,网络节点101可以被配置成生成两种类型的消息,其中一种消息可以用于转发到在其它网络节点中的一个网络节点处托管的发动机管理单元,并且另一种消息可以用于转发到在其它节点中的不同的一个节点处托管的汽车牵引控制单元。消息处理模块201可以被配置成确定消息类型,并且然后基于所述一个或多个转发规则确定应将消息转发到输出端口202中的哪个输出端口。
规则集204中的规则可以限定消息处理模块201或更一般地网络节点101应如何控制将在网络节点101的一个或多个输入端口203处接收到的一个或多个消息转发到一个或多个输出端口202。因此,消息处理模块201可以基于规则集的所述一个或多个转发规则将网络节点101接收到的消息转发到其它网络节点。例如,可以在输入端口203中的特定一个输入端口处接收来自第三网络节点103的消息。所述一个或多个转发规则可以规定,在输入端口203中的所述特定一个输入端口处接收到的消息应转发到输出端口202中的特定一个输出端口,使得消息可以到达第二网络节点102。因此,在一个或多个例子中,规则集中的规则可以包括一个或多个输入端口203与一个或多个输出端口202之间的映射。
规则集204中的规则可以限定消息处理模块201或者更一般地网络节点101应如何控制所述一个或多个消息的流动。因此,网络节点的消息可以包含不同网络节点处至少以最小阈值速率需要的信息。在其它例子中,另一个网络节点可能要求不以超过最大阈值速率的速率接收消息。因此,消息处理模块201可以基于规则集中的一个或多个带宽规则控制消息如流到特定目的地网络节点。
规则集204中的规则可以限定消息处理模块201或者更一般地网络节点101应如何控制对所述一个或多个消息的寻址。因此,所述一个或多个消息可以由托管在其它网络节点之一上的虚拟机接收,并且规则集中的规则可以限定要用于将消息发送到托管虚拟机的网络节点的MAC地址或其它网络节点特定地址。因此,消息处理模块201可以基于规则集中的一个或多个寻址规则控制对消息的寻址。寻址规则可以涉及网络节点特定地址之间(例如,两个第2层地址之间);网络节点特定地址与网络节点托管的功能特定地址之间(例如,第2层地址与第3层地址之间);或网络节点托管的功能特定地址之间(例如,两个第3层地址之间)的寻址。寻址规则可以涉及包括在第4层信息和更高的OSI层中的信息。
规则集中的规则可以限定消息处理模块201或者更一般地网络节点101应如何控制对所述一个或多个消息的转发的调度。因此,在一个或多个例子中,在网络100上传递一个或多个消息可以是时间敏感的,如出于实时计算目的或为了满足通信协议中固有的时间约束。消息处理模块201可以基于规则集中的一个或多个调度规则控制消息的发送的定时或调度或相比其它消息对一些消息给予的优先级。
规则集204中的规则可以限定消息处理模块201或者更一般地网络节点101应如何控制消息的冗余。
规则集中的规则可以限定消息处理模块201或者更一般地网络节点101应如何基于一个或多个修改规则控制一个或多个消息的格式化或内容。因此,在一个或多个例子中,在消息被形成为帧的情况下,消息处理模块201可以在转发所述一个或多个消息之前控制帧修改,如通过推送和/或弹出VLAN(虚拟局域网)报头或标签。
网络节点101可以另外包括通信模块205,所述通信模块205被配置成通过通信信道206从控制器节点106接收用于改变规则集204的对规则集204的至少一个更新。如果网络100实施SDN网络技术,则通信模块205可以被视为包括SDN代理,所述SDN代理被配置成在南向SDN接口206上接收所述更新。在一个或多个例子中,如当网络不是基于SDN时,网络节点101可以包括通信模块205,所述通信模块205用于通过通信信道206从服务器接收用于改变规则集204的对规则集204的至少一个更新。因此,在此类例子中,CNC 106可以包括通过通信模块205与网络节点101通信的服务器,其中模块205可以提供到互联网的连接以便与服务器通信。
更新可以采用不同的形式,并且可以包括用于替换当前规则集的替换规则集。在一个或多个例子中,更新可以包括被配置成替换规则集204中的一个或多个当前规则的一个或多个规则。可替换的是,更新可以包括用于修改一个或多个现有规则由此用新规则替换现有规则的指令。在一个或多个例子中,更新可以包括被配置成添加到规则集204中的所述一个或多个当前规则的一个或多个规则。在一个或多个例子中,更新可以包括用于删除规则集204中的一个或多个当前规则的指令。应了解,在一个或多个例子中,CNC 106可以被配置成存储网络节点101的规则集204的副本。
在这个例子中,规则集204仅由集中式网络控制器节点106而非网络节点101确定。然而,在其它例子中,除了CNC 106之外,网络节点101也可以对规则集中的规则的设置具有有限控制或完全控制。
通信模块205可以被配置成在网络节点101与集中式网络控制器节点106之间建立安全的通信信道206,以接收对规则集的至少一个更新。安全通信信道可以使用传输层安全(TLS)协议或任何其它安全的对称加密方法或公钥/私钥加密方法。
网络节点101可以有利地包括管理器模块207,所述管理器模块207被配置成验证更新指示的对规则集的改变遵守至少第一组规则遵守标准。管理器模块207可以被视为包括分布式安全层,以使网络100能够检查CNC 106的禁止行为。规则遵守标准可以包括规则集中的各个规则必须满足或规则的组合必须满足的标准或标准列表。规则遵守标准可以是网络节点101的预先存储的信息,如在制造或调试时预先存储的信息。规则遵守标准的完整性很重要,并且因此可以将规则遵守标准安全地存储在网络节点101处。网络节点101可以被配置成通过安全引导过程接收规则遵守标准,以保证规则遵守标准的完整性。
管理器模块207可以被配置成确保在网络节点的操作期间遵守一个或多个更新。如果更新或其规则遵守规则遵守标准,则网络节点101被配置成修改规则集204以实施更新的改变。如果更新或其规则不遵守规则遵守标准,则网络节点101被配置成不实施对规则集的改变。在一个或多个例子中,在更新可以包括多个不同的改变的情况下,那些改变中的一些改变可以遵守规则遵守标准,而其它改变可以不遵守规则遵守标准。因此,在一个或多个例子中,在更新可以包括多个不同的改变的情况下,网络节点101可以被配置成仅对规则集实施遵守规则遵守标准的那些改变。
可以按照许多不同的方式限定规则遵守标准。例如,规则遵守标准可以指定,从特定网络节点101-105接收到的消息只能转发到其它网络节点的子集。因此,如果CNC尝试改变规则集以将消息发送到所述子集之外的网络节点,则管理器模块207将阻止实施那些改变。作为实际例子,规则遵守标准可以指定,源自提供调制解调器功能的网络节点的消息不可以转发到负责发动机管理的网络节点,因为可以认为,存在可以将来自汽车外部的信令用来控制发动机的安全风险。在另一个例子中,规则遵守标准可以指定,提供自动驾驶功能的网络节点必须以最小阈值速率从获取雷达数据的网络节点接收消息,因为在最小阈值速率以下,自动驾驶功能的有效性可能会受到影响。因此,如果来自CNC 106的更新试图将消息流速率控制在最小阈值速率以下,则管理器模块207可以不实施更新的改变。
在一个或多个例子中,所述规则遵守标准包括所述更新的规则必须满足以便被视为遵守的标准。因此,这种形式的规则遵守标准可以被视为限定网络100的网络节点101—106的使网络1OO有效运行的最低级别功能或者被视为对于网络100的操作是强制性的功能。
在一个或多个例子中,所述规则遵守标准包括所述更新的所述规则不得违反以便被视为遵守的标准。因此,这种形式的规则遵守标准可以被视为限定控制发送可能代表安全威胁的消息的方式。
应了解,规则集204中的各个规则本身可能不被视为安全威胁,但是规则的组合可能是安全威胁。因此,在一个或多个例子中,规则遵守标准可以包括如果更新中限定的改变要应用于规则集204,则规则集中的规则必须共同满足以便被视为遵守的标准。管理器模块207可以因此基于作出了更新的改变的当前规则集204来确定测试规则集。然后可以基于规则遵守标准考虑测试规则集以确定遵守。
管理器模块207可以在逻辑上定位于规则集204的存储位置与接收更新的通信模块205之间以防止管理器模块207的动作被颠覆。
示例图3示出了由网络节点的管理器模块207遵循的示例过程。在这个例子中,存在至少两组规则遵守标准。管理器模块207可以因此被配置成验证更新指示的对规则集204的改变遵守至少第一组规则遵守标准,随后是第二组规则遵守标准,或者遵守第二组规则遵守标准,随后是第一组规则遵守标准。
第一组规则遵守标准可以包括不得违反的标准。第一组规则遵守标准可以包括规则集的不违反基本的一组基于安全性的要求的可能最宽松的配置。在一个或多个例子中,第一组规则遵守标准可以被称为最宽安全配置(WSC)。在一个或多个例子中,第一组规则遵守标准可以至少包括限定由消息处理模块201转发的消息不应发送到何处或不应如何发送的一个或多个标准。
第二组规则遵守标准可以包括必须满足的标准。第二组规则遵守标准可以包括规则集的仍然提供网络100的强制功能或最低级别功能的可能最严格的配置。最低级别功能将根据网络所应用的领域发生变化。然而,在一个或多个例子中,其可以被视为限定必须存在如以便使网络节点中的至少一个网络节点执行其预期功能的转发规则、带宽规则或调度规则中的一个或多个。在一个或多个例子中,第二组规则遵守标准可以被称为最窄安全配置(NSC)。在一个或多个例子中,第二组规则遵守标准可以包括限定消息处理模块转发的消息必须发送到何处,如至少发送到网络节点的限定子集的一个或多个标准。
在一个或多个例子中,规则遵守标准包括以下中的一个或多个:
限定消息处理模块必须将消息转发到或不得将消息转发到的一个或多个输出端口或其它网络节点的标准;
限定消息处理模块转发到所述一个或多个输出端口中的一个或多个或另一个网络节点的消息的带宽下限或带宽上限的标准;
限定消息可以或不可以寻址到哪些网络节点的标准;以及
限定发送消息之前可以经过的最长时间的标准。
参考示例图3,可以在301处接收更新。决策框302可以接收更新301同时从框303接收第一组规则遵守标准。如果更新遵守第一组规则遵守标准,则过程继续到决策框304,所述决策框304接收更新并从框305接收第二组规则遵守标准。如果更新遵守第二组规则遵守标准,则过程进行到框306,在框306处,根据更新来更新规则集204。如果在决策框302或304处,更新不遵守相应的第一组规则遵守标准和第二组规则遵守标准,则在框307处,拒绝更新。
在一个或多个例子中,框307还可以表示被配置成发送指示更新不遵守规则遵守标准的警告消息的网络节点。警告消息可以发送到被配置为监测网络节点101和集中式网络控制器节点106作为一部分的网络100的安全性的实体。所述实体可以包括网络管理程序或CNC106的管理程序。警告消息可以被配置成引起控制CNC 106以将所述CNC 106从潜在的受影响状态恢复到未受影响状态。在具有至少一组规则遵守标准的其它例子中,不管所述例子是否基于SDN,都可以实施警告消息的发送。
示例图4以维恩图(Venn diagram)的形式示出了第一组规则遵守标准和第二组规则遵守标准相对于潜在更新的例子。
圆圈400可以表示第一组规则遵守标准。圆圈401可以表示当前规则集,所述当前规则集是遵守第一组规则遵守标准400的规则集并且如此完全包含在圆圈400中。圆圈402表示更新。圆圈402具有:与圆圈401重叠的部分403,所述部分403可以指示更新的规则中的一些规则为当前规则集中的规则共有;圆圈400内的部分404,所述部分404可以表示更新的规则中的一些规则遵守第一组规则遵守标准以及部分403中的标准;以及部分405。部分405位于圆圈400外部,并且因此表示更新的不遵守第一组规则遵守标准的规则。因此,由于存在圆圈400外部的部分405,因此可以将更新视为不遵守第一组规则遵守标准。
圆圈410可以表示第二组规则遵守标准。圆圈411可以表示当前规则集,所述当前规则集是遵守第二组规则遵守标准410的规则集并且如此是圆圈410的超集并且完全包含圆圈410。圆圈412表示更新。圆圈412不包括第二组规则遵守标准410的部分413,并且因此更新确实包含满足第二组规则遵守标准建立的最小/强制要求所需的所有规则。因此,更新可以被视为不遵守第二组规则遵守标准。
总而言之,更新必须包括第一组规则遵守标准的子集和第二组规则遵守标准的超集两者,才能遵守标准并被管理器模块207接受。
作为网络节点的操作的实际例子,可以假设网络100中存在降级的链路,从而需要重新配置CNC 106。因此,CNC可以将网络节点101对一个或多个消息的发送重定向到输出端口中的不同输出端口。例如,可以在更新中请求网络节点101将发动机控制消息转发到“端口2”而不是“端口1”。在管理器模块207确定这遵守规则遵守标准的情况下,操作可以继续,并且可以接受更新。然而,假设CNC受到影响,并且更新指示网络节点101将发动机控制消息转发到“端口3”而不是“端口1”,其中“端口3”是到远程信息处理发动机控制单元的通信信道。这将意味着不会将针对发动机的操作的潜在关键消息转发给发动机。规则遵守标准可以指定,发动机控制消息必须始终转发到发动机,并且因此管理器可以阻止接受此类更新,并且规则集可以保持不变。在例子中,在规则遵守标准包括第一集合和第二集合的情况下,第一组规则遵守标准可以指定,可以将发动机控制消息发送到端口1或端口2。第二组规则遵守标准可以指定,发动机控制消息必须发送到端口1或端口2中的至少一个端口或至少一个端口(而不是完全不转发)。
作为网络节点的操作的另外的实际例子,可以假设存在网络节点故障。因此,所述网络节点托管的虚拟机或功能必须移到不同的网络节点。虚拟机的这种实时迁移将导致在网络的不同部分中看到虚拟机的IP地址,并且所述IP地址与不同的网络节点的MAC地址相关联。因此,CNC106可以提供将所迁移的虚拟机或功能的IP地址映射到不同的网络节点地址(例如,MAC地址)的更新。在管理器模块207确定这遵守规则遵守标准的情况下,操作可以继续,并且可以接受更新。在其它例子中,受影响CNC可以使用此类更新将消息重定向到另外的受影响装置的地址。因此,管理器模块207和规则遵守标准可以限制特定IP地址可以映射到的网络节点地址(例如,MAC地址)。因此,受影响CNC可能无法使消息转发到另外的受影响装置,因为规则遵守标准和管理器模块207可能阻止在网络节点101处实施更新。
图5示出了示例流程图,所述示例流程图示出了示例方法。所述方法包括基于存储在网络节点处的规则集控制501向网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;从与网络节点分离的控制器节点接收502用于改变规则集的对规则集的至少一个更新;以及验证503更新指示的对规则集的改变遵守至少第一组规则遵守标准,并且若是,则修改规则集以实施更新的改变,若否,则不实施对规则集的改变。
除非明确说明具体顺序,否则上述附图中的指令和/或流程图步骤可以按任何顺序执行。而且,本领域的技术人员应认识到,虽然已经讨论了一个示例指令集/方法,但是本说明书中的材料可以通过各种方式组合以产生其它例子并且应在由此详细描述所提供的上下文中进行理解。
在一些示例实施例中,上文所述的指令集/方法步骤被实施为被具体化为一组可执行指令的功能和软件指令,所述功能和软件指令在使用所述可执行指令来编程并且受其控制的计算机或机器上实现。此类指令被加载以供在处理器(如一个或多个CPU)上执行。术语处理器包括微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器)或其它控制或计算装置。处理器可以指代单个组件或多个组件。
在其它例子中,本文所说明的指令集/方法以及与其相关联的数据和指令存储在相应的存储装置中,所述存储装置被实施为一个或多个非暂时性机器或计算机可读或计算机可用存储介质。此类一个或多个计算机可读或计算机可用存储介质被视为物品(或制品)的一部分。物品或制品可以指代任何制造的单个组件或多个组件。如本文所限定的一个或多个非暂时性机器或计算机可用介质不包括信号,但是一个或多个这种介质可以能够接收并处理来自信号和/或其它暂时性介质的信息。
本说明书中讨论的材料的示例实施例可以全部或部分地通过网络、计算机或基于数据的装置和/或服务实施。这些可以包括云、互联网、内联网、移动装置、台式计算机、处理器、查找表、微控制器、消费者设备、基础设施或者其它使能装置和服务。如本文中且在权利要求中所使用的,提供了以下非排他性定义。
在一个例子中,本文所讨论的一个或多个指令或步骤是自动化的。术语自动化的或自动地(以及其类似变体)意指在不需要人工干预、观察、努力和/或决策的情况下使用计算机和/或机械/电气装置对设备、系统和/或过程进行的受控操作。
应当理解的是,被称为被耦接的任何组件可以被直接或间接耦接或连接。在间接耦接的情况下,另外的组件可以定位在被称为被耦接的两个组件之间。
在本说明书中,已经就所选一组细节呈现了示例实施例。然而,本领域的普通技术人员应理解,可以实践包括这些细节中的不同的所选一组细节的许多其它示例实施例。以下权利要求旨在涵盖所有可能的示例实施例。
Claims (10)
1.一种网络节点,其特征在于,包括:
消息处理模块,所述消息处理模块被配置成基于存储在所述网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;
通信模块,所述通信模块被配置成从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;
管理器模块,所述管理器模块被配置成验证所述更新指示的对所述规则集的改变是否遵守第一组规则遵守标准和第二组规则遵守标准,所述第一组规则遵守标准包括不得违反的标准(WSC);并且所述第二组规则遵守标准包括必须满足的标准(NSC);
响应于所述更新指示的对所述规则集的所述改变遵守所述第一组规则遵守标准和所述第二组规则遵守标准,所述网络节点被配置成修改所述规则集以实施所述更新的所述改变;
响应于所述更新指示的对所述规则集的所述改变不遵守所述第一组规则遵守标准和所述第二组规则遵守标准,则所述网络节点被配置成不实施对所述规则集的所述改变。
2.根据权利要求1所述的网络节点,其特征在于,所述通信模块包括软件定义网络SDN代理。
3.根据权利要求1或权利要求2所述的网络节点,其特征在于,对发送所述一个或多个消息的所述控制包括以下中的一个或多个:
基于所述规则集中的一个或多个转发规则,控制将在所述网络节点处生成的一个或多个消息转发到所述一个或多个输出端口中的至少一个输出端口;
基于所述规则集中的一个或多个转发规则,控制将在所述网络节点的一个或多个输入端口处接收到的一个或多个消息转发到所述一个或多个输出端口之一;
基于所述规则集中的一个或多个带宽规则,控制所述一个或多个消息的流动;
基于所述规则集中的一个或多个寻址规则,控制对所述一个或多个消息的寻址;
基于所述规则集中的一个或多个调度规则,控制对所述一个或多个消息的所述转发的调度;以及
基于一个或多个修改规则控制所述一个或多个消息的格式化或内容。
4.根据权利要求1或权利要求2所述的网络节点,其特征在于,所述规则集仅由所述控制器节点确定。
5.根据权利要求1或权利要求2所述的网络节点,其特征在于,所述更新限定的对所述规则集的所述改变包括以下中的一个或多个:
替换所述规则集中的所述规则中的一个或多个规则;
对所述规则集中的所述规则进行添加;以及
移除所述规则集中的所述规则中的一个或多个规则。
6.根据权利要求1或权利要求2所述的网络节点,其特征在于,所述通信模块被配置成在所述网络节点与所述控制器节点之间建立用于接收对所述规则集的所述至少一个更新的安全通信信道。
7.根据权利要求1或权利要求2所述的网络节点,其特征在于,所述网络节点被配置成通过验证所述规则遵守标准的真实性的过程来接收所述规则遵守标准。
8.一种网络,其特征在于,包括:
控制器节点;以及
多个根据在前的任一项权利要求所述的网络节点,其中网络节点中的每个网络节点的所述输出端口提供到所述多个网络节点中的另一个网络节点或所述控制器节点的通信信道。
9.一种网络节点通信方法,其特征在于,包括:
基于存储在网络节点处的规则集控制向所述网络节点的一个或多个输出端口发送消息,所述规则集包括一个或多个规则;
从与所述网络节点分离的控制器节点接收用于改变所述规则集的对所述规则集的至少一个更新;
验证所述更新指示的对所述规则集的改变遵守是否遵守第一组规则遵守标准和第二组规则遵守标准,所述第一组规则遵守标准包括不得违反的标准(WSC);并且所述第二组规则遵守标准包括必须满足的标准(NSC);响应于所述更新指示的对所述规则集的所述改变遵守所述第一组规则遵守标准和所述第二组规则遵守标准,修改所述规则集以实施所述更新的所述改变;响应于所述更新指示的对所述规则集的所述改变不遵守所述第一组规则遵守标准和所述第二组规则遵守标准,则不实施对所述规则集的所述改变。
10.一种汽车,其特征在于,包括根据权利要求8所述的网络。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19169399.3A EP3726785A1 (en) | 2019-04-16 | 2019-04-16 | Network node |
| EP19169399.3 | 2019-04-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111835550A CN111835550A (zh) | 2020-10-27 |
| CN111835550B true CN111835550B (zh) | 2024-01-09 |
Family
ID=66396988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010292994.4A Active CN111835550B (zh) | 2019-04-16 | 2020-04-14 | 网络节点 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11676045B2 (zh) |
| EP (1) | EP3726785A1 (zh) |
| CN (1) | CN111835550B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114714912A (zh) * | 2022-05-07 | 2022-07-08 | 北京航天发射技术研究所 | 一种电驱车辆能源动力系统故障诊断方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103918221A (zh) * | 2011-10-03 | 2014-07-09 | 阿尔卡特朗讯公司 | 用于策略决定的规则引擎评估 |
| CN105939334A (zh) * | 2015-03-04 | 2016-09-14 | 费希尔-罗斯蒙特系统公司 | 工业通信网络中的异常检测 |
| WO2017071743A1 (en) * | 2015-10-28 | 2017-05-04 | Huawei Technologies Co., Ltd. | Control traffic in software defined networks |
| CN107835204A (zh) * | 2016-09-16 | 2018-03-23 | 苹果公司 | 配置文件策略规则的安全控制 |
| WO2018077376A1 (en) * | 2016-10-24 | 2018-05-03 | NEC Laboratories Europe GmbH | Method for managing data traffic within a network |
| CN109299029A (zh) * | 2017-07-24 | 2019-02-01 | 恩智浦有限公司 | 用于更新至少一个规则的节点、车辆、集成电路和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7904942B2 (en) * | 2008-02-22 | 2011-03-08 | Inventec Corporation | Method of updating intrusion detection rules through link data packet |
| US10715406B2 (en) * | 2014-04-25 | 2020-07-14 | Hewlett Packard Enterprise Development Lp | Flow sample |
| US9967257B2 (en) | 2016-03-16 | 2018-05-08 | Sprint Communications Company L.P. | Software defined network (SDN) application integrity |
| US10069844B2 (en) | 2016-07-21 | 2018-09-04 | Sprint Communications Company L.P. | Virtual network function (VNF) hardware trust in a network function virtualization (NFV) software defined network (SDN) |
| EP3479532B1 (en) * | 2016-07-27 | 2020-07-15 | Huawei Technologies Co., Ltd. | A data packet forwarding unit in software defined networks |
| US11267481B2 (en) * | 2017-07-14 | 2022-03-08 | Ccc Intelligent Solutions Inc. | Driver assist design analysis system |
-
2019
- 2019-04-16 EP EP19169399.3A patent/EP3726785A1/en not_active Withdrawn
-
2020
- 2020-04-08 US US16/843,731 patent/US11676045B2/en active Active
- 2020-04-14 CN CN202010292994.4A patent/CN111835550B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103918221A (zh) * | 2011-10-03 | 2014-07-09 | 阿尔卡特朗讯公司 | 用于策略决定的规则引擎评估 |
| CN105939334A (zh) * | 2015-03-04 | 2016-09-14 | 费希尔-罗斯蒙特系统公司 | 工业通信网络中的异常检测 |
| WO2017071743A1 (en) * | 2015-10-28 | 2017-05-04 | Huawei Technologies Co., Ltd. | Control traffic in software defined networks |
| CN107835204A (zh) * | 2016-09-16 | 2018-03-23 | 苹果公司 | 配置文件策略规则的安全控制 |
| WO2018077376A1 (en) * | 2016-10-24 | 2018-05-03 | NEC Laboratories Europe GmbH | Method for managing data traffic within a network |
| CN109299029A (zh) * | 2017-07-24 | 2019-02-01 | 恩智浦有限公司 | 用于更新至少一个规则的节点、车辆、集成电路和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111835550A (zh) | 2020-10-27 |
| EP3726785A1 (en) | 2020-10-21 |
| US20200334548A1 (en) | 2020-10-22 |
| US11676045B2 (en) | 2023-06-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230168917A1 (en) | Providing services with guest vm mobility | |
| US10742607B2 (en) | Application-aware firewall policy enforcement by data center controller | |
| CN102055667B (zh) | 用于实现网络规则的方法和设备 | |
| CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
| US20140280864A1 (en) | Methods of Representing Software Defined Networking-Based Multiple Layer Network Topology Views | |
| US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| EP3142303A1 (en) | Network control method and apparatus | |
| US7516202B2 (en) | Method and apparatus for defining failover events in a network device | |
| EP2999172A1 (en) | Method and devices to certify a trusted path in a software defined network | |
| WO2018146553A1 (en) | Method and device for providing a security service | |
| CN112751814B (zh) | 一种信息上报方法、数据处理方法及装置 | |
| CN111835550B (zh) | 网络节点 | |
| KR20210074067A (ko) | 차량용 이더넷 기반의 접근제어 목록 관리 방법 및 이를 위한 장치 | |
| US20150128260A1 (en) | Methods and systems for controlling communication in a virtualized network environment | |
| CN117061625A (zh) | 一种路径最大传输单元的探测方法和相关设备 | |
| CN117178535B (zh) | 通过sd-wan中的sd-wan边缘转发节点路由数据包的按需路由网格 | |
| CN114095357B (zh) | 一种业务系统 | |
| KR102136923B1 (ko) | Sdn 및 nfv를 이용한 도로 교통 네트워크의 보안 서비스 제공 시스템 및 그 방법 | |
| CN118631643A (zh) | 一种流量检测方法、装置、设备及介质 | |
| CN117812610A (zh) | 传输切片激活和去激活控制协议 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |