DE102019000823B4

DE102019000823B4 - System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke

Info

Publication number: DE102019000823B4
Application number: DE102019000823.5A
Authority: DE
Inventors: Yong Li; Xuemin Chen; Weimin Zhang; Victor Liang; Binfan Liu
Original assignee: Avago Technologies International Sales Pte Ltd
Current assignee: Avago Technologies International Sales Pte Ltd
Priority date: 2018-03-13
Filing date: 2019-02-05
Publication date: 2022-06-02
Anticipated expiration: 2039-02-06
Also published as: CN110278075B; CN110278075A; DE102019000823A1

Abstract

System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke, das Folgendes aufweist:
einen Sicherheitsagenten, der durch eine erste Vorrichtung ausgeführt wird, in Kommunikation mit einer zweiten Vorrichtung und einer dritten Vorrichtung, wobei sich jede von der ersten Vorrichtung, der zweiten Vorrichtung und der dritten Vorrichtung in einem mehrschichtigen Netzwerk befindet, wobei die erste Vorrichtung und die zweite Vorrichtung ein erstes gemeinsam genutztes kryptographisches Geheimnis haben und die erste Vorrichtung und die dritte Vorrichtung ein zweites gemeinsam genutztes kryptographisches Geheimnis haben;
wobei der Sicherheitsagent dafür konfiguriert ist, eine Authentifizierung mit der zweiten Vorrichtung über das erste gemeinsam genutzte kryptographische Geheimnis und mit der dritten Vorrichtung über das zweite gemeinsam genutzte kryptographische Geheimnis durchzuführen;
wobei die erste Vorrichtung und die zweite Vorrichtung über eine erste Bitübertragungsschicht-Verbindung verbunden sind; und wobei die erste Vorrichtung und die zweite Vorrichtung Daten auf einer Schicht oberhalb der Bitübertragungsschicht über eine zweite Verbindung über eine vierte Vorrichtung kommunizieren, die als ein Proxy agiert.

Description

Die vorliegende Offenbarung bezieht sich allgemein auf Systeme und Verfahren zum Bereitstellen einer Netzwerk- und Kommunikationssicherheit quer durch mehrschichtige Netzwerke (Multi-Level-Netzwerke).
Mehrschichtige Netzwerke sind für Gewöhnlich in eine hierarchische Netzwerktopologie organisiert, die sich von Datenquellen, wie etwa Cloud-Servern, bis zu Endkundengeräten über dazwischen liegende Netzwerkknoten erstreckt. Typische Beispiele für solche Netzwerke sind Breitbandzugangs- und Videonetzwerke, die von den Kabel-, Telekommunikations-, Drahtlos- und Satelliten-Dienstanbietern betrieben werden.
Diese Netzwerke können aufgrund ihrer inhomogenen, geschichteten Natur besondere Herausforderungen in Bezug auf die Überwachung, Analyse und Entschärfung bzw. Schadensminimierung von Sicherheitsbedrohungen und Angriffsvektoren darstellen.
US 2016/ 0 365 975 A1 beschreibt ein Verfahren, welches die folgenden Schritte umfasst: Empfangen einer Anfrage nach einem Gruppenschlüssel in einer ersten Schlüsselverwaltungsvorrichtung (SVV) eines ersten autonomen Netzwerks, das einem ersten Bereich zugeordnet ist, um zu ermöglichen, dass Inhalt zwischen einer oder mehreren ersten Vorrichtungen des ersten autonomen Netzwerks und einer oder mehreren zweiten Vorrichtungen eines zweiten autonomen Netzwerks geteilt wird, die einem zweiten Bereich zugeordnet sind, wobei das zweite autonome Netzwerk eine zweite SVV aufweist; Erstellen des Gruppenschlüssels und Bereitstellen des Gruppenschlüssels für die eine oder die mehreren ersten Vorrichtungen der ersten SVV; Einrichten eines temporären Schlüssels, der verwendet werden soll, um einen sicheren Kanal zwischen der ersten SVV und der zweiten SVV einzurichten; und Übermitteln des Gruppenschlüssels an die zweite SVV von der ersten SVV über den sicheren Kanal, um es der zweiten SVV zu ermöglichen, den Gruppenschlüssel an die eine oder die mehreren zweiten Vorrichtungen bereitzustellen.
US 6 092 191 A beschreibt ein Paketauthentifizierungs- und Paketverschlüsselungs-/Entschlüsselungsschema für ein Sicherheitsgateway, das für ein hierarchisch organisiertes Netzwerksystem und eine mobile Computerumgebung geeignet ist. Für die Paketauthentifizierung wird zusätzlich zu der End-to-End-Authentifizierung an der zielseitigen Paketverarbeitungsvorrichtung die Link-to-Link-Authentifizierung an jeder zwischengeschalteten Paketverarbeitungsvorrichtung in der Paketübertragungsroute verwendet. Die Link-to-Link-Authentifizierungsdaten, die von Zwischenknoten geprüft werden, und die End-to-End-Daten (die sich von den Link-to-Link-Daten unterscheiden), die von Zielknoten geprüft werden, aber nicht von Zwischenknoten geprüft werden. Für die Paketverschlüsselung/-entschlüsselung bestimmt jede Paketverarbeitungsvorrichtung, ob das Paket verschlüsselt/entschlüsselt werden soll oder nicht, gemäß einer Information über die Computer, die direkt von dieser Paketverarbeitungsvorrichtung verwaltet werden, gemäß den im Paket bereitgestellten Verschlüsselungsinformationen und Signaturinformationen oder gemäß den Verschlüsselungsinformationen, den Signaturinformationen und den Verschlüsselungs-/Entschlüsselungsstufeninformationen, die in dem Packer bereitgestellt werden.
US 2016/ 0 219 051 A1 beschreibt eine Relaisvorrichtung, die ihre eigenen Authentifizierungsinformationen und von einer Endgerätevorrichtung gesammelte Authentifizierungsinformationen an eine Authentifizierungsvorrichtung überträgt. Die Authentifizierungsvorrichtung bestimmt auf der Grundlage der empfangenen Authentifizierungsinformationen, ob die Relaisvorrichtung und die Endgerätevorrichtung authentische Vorrichtungen sind. Die Relaisvorrichtung unterbricht die Kommunikation zwischen sich selbst und einer Vorrichtung, die basierend auf einem Ergebnis der Bestimmung als nicht authentisch bestimmt wurde, und überträgt Kommunikationssteuerinformationen, um die Kommunikation mit der Vorrichtung, die als nicht authentisch bestimmt wurde, zu unterbrechen. Das Endgerät beendet die Kommunikation zwischen sich selbst und der Vorrichtung, die auf der Grundlage der Kommunikationssteuerinformationen als nicht authentisch bestimmt wurde.
In Übereinstimmung mit der vorliegenden Erfindung ist ein System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke bereitgestellt, das Folgendes aufweist:

einen Sicherheitsagenten, der durch eine erste Vorrichtung ausgeführt wird, in Kommunikation mit einer zweiten Vorrichtung und einer dritten Vorrichtung, wobei sich jede von der ersten Vorrichtung, der zweiten Vorrichtung und der dritten Vorrichtung in einem mehrschichtigen Netzwerk befindet, wobei die erste Vorrichtung und die zweite Vorrichtung ein erstes gemeinsam genutztes kryptographisches Geheimnis haben und die erste Vorrichtung und die dritte Vorrichtung ein zweites gemeinsam genutztes kryptographisches Geheimnis haben;
wobei der Sicherheitsagent dafür konfiguriert ist, eine Authentifizierung mit der zweiten Vorrichtung über das erste gemeinsam genutzte kryptographische Geheimnis und mit der dritten Vorrichtung über das zweite gemeinsam genutzte kryptographische Geheimnis durchzuführen;
wobei die erste Vorrichtung und die zweite Vorrichtung über eine erste Bitübertragungsschicht-Verbindung verbunden sind; und wobei die erste Vorrichtung und die zweite Vorrichtung Daten auf einer Schicht oberhalb der Bitübertragungsschicht über eine zweite Verbindung über eine vierte Vorrichtung kommunizieren, die als ein Proxy agiert.

Vorteilhafterweise ist die erste Vorrichtung der Vorgänger (Parent, Vater) der zweiten Vorrichtung in dem mehrschichtigem Netzwerk; und wobei die dritte Vorrichtung der Vorgänger der ersten Vorrichtung in dem mehrschichtigen Netzwerk ist.
Vorteilhafterweise kommuniziert der Sicherheitsagent der ersten Vorrichtung mit der zweiten Vorrichtung und der dritten Vorrichtung über die vierte Vorrichtung, die als der Proxy (Vermittler) agiert.
Vorteilhafterweise wird eine Authentifizierungsanforderung, die mit dem ersten gemeinsam genutzten kryptographischen Geheimnis verknüpft ist, an die erste Vorrichtung durch die vierte Vorrichtung über eine Verbindung zwischen der ersten Vorrichtung und der vierten Vorrichtung kommuniziert, wobei die vierte Vorrichtung die Authentifizierungsanforderung von der zweiten Vorrichtung an die erste Vorrichtung weiterleitet.
Vorteilhafterweise ist der Sicherheitsagent der ersten Vorrichtung des Weiteren dafür konfiguriert, der vierten Vorrichtung eine Identifikation einer erfolgreichen Authentifizierung der zweiten Vorrichtung bereitzustellen.
Vorteilhafterweise weist die vierte Vorrichtung ein Sicherheitsportal auf.
Vorteilhafterweise ist der Sicherheitsagent der ersten Vorrichtung dafür konfiguriert, der vierten Vorrichtung Sicherheitsmessdaten bereitzustellen, wobei die vierte Vorrichtung die Sicherheitsmessdaten mit Sicherheitsmessdaten von der zweiten Vorrichtung und der dritten Vorrichtung korreliert.
Figurenliste
Verschiedene Aufgaben, Aspekte, Merkmale und Vorteile der Offenbarung werden unter Bezugnahme auf die ausführliche Beschreibung, die in Verbindung mit den beigefügten Zeichnungen vorgenommen wird, offensichtlicher und besser verstanden werden, wobei gleiche Bezugszeichen durchwegs entsprechende Elemente kennzeichnen. In den Zeichnungen geben gleiche Bezugszeichen im Allgemeinen identische, funktionell ähnliche und/oder strukturell ähnliche Elemente an.

1 ist ein Blockdiagramm einer Ausführungsform einer hierarchischen Netzwerktopologie;
2 ist ein Ablaufdiagramm einer Ausführungsform eines Verfahrens für eine netzwerkweite Authentifizierung;
3 ist ein Blockdiagramm einer Ausführungsform einer Koaxialkabelanlagenumgebung;
4 ist ein Blockdiagramm, das eine Ausführungsform eines virtuellen Mesh-Modells (Maschenmodells) veranschaulicht;
5 ist ein Blockdiagramm, das eine Ausführungsform eines RPD-(Remote PHY Device; Remote-PHY-Vorrichtung)/CCAP-(Converged Cable Access Platform; konvergierte Kabelzugangsplattform)-Netzwerks veranschaulicht;
6 ist eine Veranschaulichung, die potentielle Angriffsvektoren in einer Ausführungsform einer Netzwerkumgebung darstellt.
7 ist eine Veranschaulichung, die eine modifizierte Netzwerkumgebung darstellt, die Sicherheitsagenten enthält;
8A ist ein Blockdiagramm einer Ausführungsform eines Systems für eine Cloud-gestützte Überwachung und Filterung;
8B ist ein Blockdiagramm einer Implementierung eines Kontrollpunkts für die Verwendung durch ein System für eine Cloud-gestützte Überwachung und Filterung;
8C ist ein Blockdiagramm einer Implementierung eines Cloud-Kontroll-Servers;
8D ist eine Veranschaulichung von Kommunikationsflüssen zwischen dem Kontroll-Client und dem Kontroll-Server in Übereinstimmung mit einigen Implementierungen;
8E ist eine Veranschaulichung der Konfigurierung einer Benutzungsregelung in einigen Implementierungen;
8F ist eine Veranschaulichung einer Hierarchie für eine skalierbare Überwachungskette in Übereinstimmung mit einigen Implementierungen;
9 ist ein Ablaufdiagramm einer Implementierung eines Verfahrens für eine Cloud-gestützte Überwachung und Filterung unter Verwendung einer skalierbaren Überwachungskette und einer koordinativen Sicherheit;
10A ist ein Blockdiagramm, das eine Ausführungsform einer Netzwerkumgebung darstellt, die einen oder mehrere Zugangspunkte in Kommunikation mit einer bzw. einem oder mehreren Vorrichtungen bzw. Geräten oder Stationen aufweist; und
10B und 10C sind Blockdiagramme, die Ausführungsformen von Computervorrichtungen darstellen, die in Verbindung mit den hier beschriebenen Verfahren und Systemen verwendbar sind.

Die Einzelheiten von verschiedenen Ausführungsformen der Verfahren und Systeme sind in den beigefügten Zeichnungen und in der Beschreibung unten dargelegt.
Ausführliche Beschreibung
Für die Zwecke des Lesens der Beschreibung der verschiedenen Ausführungsformen unten können die folgenden Beschreibungen der Abschnitte der Patentspezifikation und ihrer jeweiligen Inhalte hilfreich sein:

- Der Abschnitt A beschreibt Ausführungsformen von Systemen und Verfahren für eine koordinative Sicherheit;
- Der Abschnitt B beschreibt Ausführungsformen von Systemen und Verfahren für eine Cloud-gestützte Überwachung und Filterung mit Mehrschicht-Triggern (-Auslösern); und
- Der Abschnitt C beschreibt eine Netzwerkumgebung und eine Computerumgebung, die für das Praktizieren der hier beschriebenen Ausführungsformen verwendbar sein können.

A. Systeme und Verfahren für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke
Die hier erörterten Systeme und Verfahren stellen eine koordinative Sicherheit zwischen SoCs (System-on-Chips; Systemen auf einem Chip bzw. Ein-Chip-Systemen) in Netzwerkvorrichtungen quer durch mehrschichtige Netzwerke bereit. Gemeinsam genutzte kryptographische Geheimnisse unter diesen SoCs in Netzwerkvorrichtungen werden als die Basis für eine gegenseitige Sicherheitsauthentifizierung und das Peering zwischen den Netzwerkvorrichtungen verwendet. Die kryptographischen Geheimnise sind in den SoCs für die Netzwerkvorrichtungen eingebettet oder werden dynamisch auf der Grundlage von eindeutigen Identifikationsinformationen und Attributen dieser SoCs erzeugt. Die Nachrichten für die Authentifizierung und das Peering können direkt unter den SoCs in den Netzwerkvorrichtungen oder indirekt über eine Cloud-Sicherheitsportal-Entität, die als ein Nachrichtenvermittlungs-Proxy agiert, kommuniziert werden. Der gegenseitige Authentifizierungs- und Peering-Prozess kann koordiniert zwischen den SoCs in den Netzwerkvorrichtungen und einem Cloud-Sicherheitsportal in einer Eins-zu-eins-Mesh-Beziehung oder in einer transitiven Schichtungsbeziehung ausgeführt werden, in der jedes SoC in der Netzwerkvorrichtung eine Authentifizierung und ein Peering mit seinen direkten untergeordneten Vorrichtungen in einem mehrschichtigen Netzwerk durchführt.
Das hier beschriebene System verbessert die netzwerkweite Sicherheit über einen oder mehrere der folgenden Hauptmechanismen alleine oder in Kombination in verschiedenen Ausführungsformen:
Netzwerkweite(s) Authentifizierung, Peering und Vertrauen

• Eine Netzwerkknotenvorrichtung nutzt ein kryptographisches Geheimnis gemeinsam mit allen seinen direkten untergeordneten Knotenvorrichtungen in der Netzwerkhierarchie. Diese gemeinsame Nutzung kann durch das spezielle Design dieser Vorrichtungen realisiert werden oder diese kann über ein bestimmtes Kommunikationsprotokoll erzeugt werden.
• Mit dem gemeinsam genutzten Geheimnis führt ein SoC in der Netzwerkknotenvorrichtung eine gegenseitige Authentifizierungs- und Peering-Prozedur mit SoCs in deren direkten untergeordneten Knotenvorrichtungen in der Netzwerkhierarchie aus.
• Jede Knotenvorrichtung auf jeder Ebene der Netzwerkhierarchie koordiniert die/das oben erwähnte gegenseitige Authentifizierung und Peering und führt diese durch, so dass alle Endgeräte und Zwischenknotenvorrichtungen in dem Netzwerk von den Ursprungsvorrichtungen den ganzen Weg hoch bis zu den Cloud-Servern sicher verkettet sind. Diese verketteten Sicherheitsbeziehungen quer durch das Netzwerk verwirklichen die/das netzwerkweite Authentifizierung, Peering und Vertrauen.

Netzwerkweite sichere Überwachung

• Jedes Endgerät und jede Zwischenknotenvorrichtung führt eine Netzwerkdiagnose und eine sichere Überwachung seines bzw. ihres eigenen Betriebs durch, um jegliche Abnormalität zu entdecken, die die Sicherheitsverletzung und ein böswilliges Eindringen anzeigen.
• Eine Netzwerknotenvorrichtung koordiniert Diagnose- und Überwachungsstatusinformationen mit ihren direkten untergeordneten Knotenvorrichtungen in der Netzwerkhierarchie und fordert diese Informationen von diesen an und tauscht diese Informationen mit diesen aus.
• Jedes Endgerät und jede Zwischenknotenvorrichtung führt Entschärfungs- bzw. Schadensminimierungsfunktionen auf der Grundlage des Diagnose- und Überwachungsstatus von sich selbst und von seinen übergeordneten und untergeordneten Vorrichtungen aus.
• Dies alles kann von SoCs innerhalb der entsprechenden Vorrichtungen durchgeführt werden.

Cloud-basierte Sicherheitskoordination

• Ein webbasiertes oder Cloud-basiertes Sicherheitskoordinationsportal zieht Nachrichten und damit verknüpfte Analysedaten über eine Push-Funktion aus den Endgeräten und Zwischenknotenvorrichtungen und empfängt diese, in Verbindung mit einer/einem netzwerkweiten Authentifizierung, Peering und Vertrauen sowie auch einer netzwerkweiten sicheren Überwachung,
• Das Sicherheitskoordinationsportal entdeckt netzwerkweite Sicherheitsabnormalitäten durch das Korrelieren der Analysedaten von mehreren Ebenen von Endgeräten und Zwischenknotenvorrichtungen.

Das Sicherheitskoordinationsportal agiert als ein Proxy für die Endgeräte und die Zwischenknotenvorrichtungen, die nicht direkt miteinander kommunizieren können, aber mit dem Portal selbst kommunizieren können. Die Proxy-Funktionen unterstützen allgemeine Kommunikationsbedürfnisse dieser Vorrichtungen, und insbesondere erlauben sie es diesen, Nachrichten auszutauschen, die für die/das netzwerkweite Authentifizierung, Peering und Vertrauen sowie auch für das netzwerkweite sichere Überwachen benötigt werden.
Ein Blockdiagramm, das eine beispielhafte Ausführungsform einer Netzwerktopologie für das offenbarte System veranschaulicht, ist in 1 gezeigt. Wie gezeigt ist, hat das beispielhafte Netzwerk eine baumbasierte hierarchische Struktur, die vier Ebenen aufweist:

• Die Client-Vorrichtungs-Ebene (unterste Ebene) repräsentiert die Blätter des Netzwerkbaums und besteht aus Client-Vorrichtungen für Endbenutzer und ähnlichen solchen Vorrichtungen (Einrichtungen bzw. Geräten, Endgeräten, Clients, etc.).
• Zwei Zwischenknotenebenen (Knotenebene 1 und Knotenebene 2).
• Die Cloud-Ebene, die eine Verbindung zu größeren Netzwerken (z.B. Weitbereichsnetzwerken wie etwa das Internet), Cloud-Servern und Inhalts-Servern und zu dem Sicherheitskoordinationsportal herstellt, bereitgestellt durch eine von einem Netzwerk aus zugängliche Computervorrichtung (z.B. eine virtuelle Maschine, ein Cloud-Dienst, ein Web-Dienst, etc.).

Jedes Endgerät und jede Zwischenknotenvorrichtung hat einen eingebetteten Sicherheitsagenten (SA) in seinem bzw. ihrem SoC, der für die relevanten Sicherheitsfunktionen für seine/ihre eingebettete Host-Vorrichtung zuständig ist. Für jede Nicht-Blatt-Knotenvorrichtung enthält ihr SA ein kryptographisches Geheimnis oder hat einen Zugriff darauf, das sie mit allen ihren direkten untergeordneten Vorrichtungen gemeinsam nutzt, wie dies in 1 angezeigt ist; das Geheimnis kann in dem SoC der Vorrichtung bei der Herstellung eingebettet werden oder es kann über ein Schlüsselverteilungsprotokoll erzeugt werden.
Während des Betriebs führt jede Nicht-Blatt-Knotenvorrichtung eine Authentifizierungsprozedur durch, um eine gegenseitige Authentifizierung aller direkten untergeordneten Vorrichtungen unter Verwendung des Geheimnisses, dass sie alle gemeinsam nutzen, durchzuführen. Die erfolgreiche Authentifizierung stellt das sichere Peering und Vertrauen unter diesen Knotenvorrichtungen her. Die erfolgreiche Authentifizierung quer durch alle Ebenen der Netzwerkhierarchie stellt die sichere Verkettung von den Blatt-Vorrichtungen den ganzen Weg hinauf bis zu dem Cloud-Sicherheitskoordinationsportal her. Eine solche sichere Verkettung quer durch das Netzwerk wiederum stellt ein sicheres Peering und Vertrauen quer durch das gesamte Netzwerk her.
2 ist ein Ablaufdiagramm einer Ausführungsform eines Verfahrens für eine netzwerkweite Authentifizierung. Im Schritt 1 authentifiziert das Sicherheitskoordinationsportal in einigen Implementierungen seine direkten untergeordneten Vorrichtungen (z.B. auf der Knotenebene 2) und zeichnet die Authentifizierungsergebnisse auf. Wenn die Authentifizierung erfolgreich war, fordert das Portal seine direkten untergeordneten Vorrichtungen auf, ihre individuelle Authentifizierung ihrer eigenen direkten untergeordneten Vorrichtungen (z.B. auf der Knotenebene 1) zu initiieren und ihre Authentifizierungsstatus an das Portal zu berichten.
Im Schritt 2 wiederum wird in einigen Implementierungen jede erfolgreich authentifizierte Knotenvorrichtung (z.B. auf der Knotenebene 1) durch das Portal aufgefordert, eine gegenseitige Authentifizierung mit ihren eigenen direkten untergeordneten Vorrichtungen (z.B. Blatt-Vorrichtungen) durchzuführen und den Authentifizierungsstatus an das Portal zurückzusenden. Dies kann iterativ wiederholt werden, bis alle Blatt-Knotenvorrichtungen authentifiziert sind.
Beim Schritt 3 baut in einigen Implementierungen das Portal einen Baum von erfolgreich authentifizierten Endgeräten und Zwischenknotenvorrichtungen auf der Grundlage der Statusinformationen auf, die es von allen beteiligten Vorrichtungen bzw. Geräten erhalten hat. Als Teil dieses Prozesses erfasst das Portal auch die Vorrichtungen bzw. Geräte in dem Netzwerk, bei denen die Authentifizierung fehlgeschlagen ist.
In der oben genannten Prozedur können zwei Vorrichtungen bzw. Geräte, falls sie keine direkte IP-Konnektivität haben, authentifizierungsbezogene Nachrichten miteinander indirekt durch das Sicherheitskoordinationsportal, das als der Proxy agiert, austauschen.
Quer durch das Netzwerk führen die Sicherheitsagenten, die in den SOCs der Endgeräte und Zwischenknotenvorrichtungen eingebettet sind, auch eine Netzwerkdiagnose und eine Sicherheitsüberwachung der eigenen individuellen Hosts durch. Alle Sicherheitsagenten berichten die Sicherheitsüberwachungs-Analysedaten und den Sicherheitsüberwachungs-Analysestatus an das Sicherheitskoordinationsportal. Mit den gesammelten Analysedaten führt das Portal eine globale Sicherheitsüberwachungsaufgabe (auf Netzwerkebene) durch und koordiniert die Sicherheitsfunktionen dieser Agenten, wobei diese Sicherheitsfunktionen Folgende umfassen:

- Gemeinsame Sicherheitsanalyse eines Knotens und seiner direkten untergeordneten Vorrichtungen, einschließlich der Analyse des Einflusses einer Sicherheitsstatusänderung einer untergeordneten Vorrichtung auf deren übergeordnete Vorrichtung; und des Einflusses einer Sicherheitsstatusänderung einer übergeordneten Vorrichtung auf damit verbundene untergeordnete Vorrichtungen;
- Koordinierte Sicherheitserfassungs-/-Einschätzungs- und Entschärfungs- bzw. Schadensminimierungsaktionen quer durch das Netzwerk. Wenn zum Beispiel die Sicherheit eines Knotens ernsthaft gefährdet ist, nimmt das Portal alle Downstream-Knoten und - Vorrichtungen bzw. -Geräte davon vom Netz, also schaltet diese auf offline.

Netzwerkdiagnose
Traditionelle Datensammlungs- und Diagnose-Tools in einem Netzwerk, wie etwa einer Koaxialkabelanlage, basieren normalerweise auf einzelnen Prüfstellen und untersuchen Probleme entweder innerhalb eines einzelnen Kundenendgeräts bzw. CPE (Customer Premises Equipment) oder innerhalb von gewissen Prüfstellen des Netzwerks, wie dies in dem Blockdiagramm von 3 für eine Koaxialkabelanlage gezeigt ist. Ein CPE kann in einen Diagnosemodus versetzt werden, um eine Diagnose in Bezug auf ein potentielles Problem mit dem Gerät bzw. der Vorrichtung an diesem Standort durchzuführen (z.B. ein Kabelmodem oder ein Zweiwege-Digitalempfänger oder andere durch ein Kabelmodem aktivierte Vorrichtungen bzw. Geräte) und/oder nach einer Störung ausgehend von der Koaxialkabelanlage zu suchen.
Dieser Lösungsansatz ist zweckdienlich und effektiv für relativ einfache Netzwerke, Aber Koaxialkabelanlagen können mit Verstärkern, Diplexern, Splittern, Kabeln und vielen Defekten in einem Kabel und/oder Verbindungselementen sowie auch in den dazwischen liegenden Vorrichtungen kompliziert sein.
In vielen Implementierungen variiert die Netzwerktopologie von Knoten zu Knoten und von Anlage zu Anlage. Koaxialkabelanlagen können zum Beispiel Knotengrößen haben, die von unter 30 bis über 1000 CPEs variieren, und viele Verkabelungselemente können unterirdisch, also erdverlegt sein. Die Basis-Kabelknotentopologie ist eine Baumstruktur, bei der ein physischer Medienpfad von dem Knoten und vielen Endbenutzerhäusern gemeinsam genutzt wird. Aber eine Verkabelung innerhalb jedes Hauses oder eines anderen Kundenstandorts tendiert dazu, aufgrund von vielen Faktoren, wie etwa das Baujahr, eine Benutzerselbstinstallation, eine Umgestaltung oder ein Umbau, etc., dramatisch zu variieren. An vielen Standorten um die ganze Welt wurden Koaxialanlagen durch einen komplizierten Prozess gebildet, der es für das Diagnose-Tool schwierig macht, ein vernünftiges Modell zu bilden. Das andere weitverbreitete Problem ist mit der Sicherheit oder einer anderen unterwarteten Zeitvariantenstörung verknüpft. Eine Einzelpunkt-(Single-Point)-Diagnosestrategie wird begrenzt sein.
Stattdessen stellen die hier erörterten Systeme und Verfahren eine dreiteilige Diagnosestrategie bereit: eine zeitsynchronisierte Datensammlung; eine Bildung eines virtuellen physikalischen Modells; und eine Überwachung des Netzwerkzustands.
Zeitsynchronisierte Datensammlung
Die Datensammlung ist für jedes Diagnose-Tool äußerst wichtig. In den hier präsentierten Systemen und Verfahren stellt das vorgeschlagene Datensammlungssystem eine synchronisierte Sammlung von zeitbasierten Informationen unter mehreren SoCs in Netzwerkvorrichtungen bereit. Ein Kontroll-Server in der Cloud sendet Kontrollnachrichten an diese Netzwerkvorrichtungen (z.B. CPE-Vorrichtungen), die einen in Bezug auf die Zeit koordinierten Datensammlungsprozess unter diesen initiieren. Eine Kontrollnachricht von dem Zeit-Server umfasst Informationen wie etwa die Folgenden:

a) Die Zeit, zu der die Datensammlung durchgeführt wird. Die Zeit kann auf verteilten Zeitstempeln basiert sein oder sie kann auf einer zentralisierten „Wanduhr“ basiert sein. In beiden Fällen werden Latenzfaktoren, die mit der Informationsverbreitung verknüpft sind, CPU/GPU/DSP- und andere Verarbeitungsfunktionen in SoCs und der Speicherzugriff durch die Datensammlungsnetzwerkvorrichtungen bei der Bestimmung ihrer individuellen Zeitbasen berücksichtigt.
b) Die Identifikation der Daten, die gesammelt werden sollen (z.B. RF-Spektrumsinformationen, Kanalantwort, etc.).
c) Der Typ der Quelle für Triggersignale bzw. Auslösesignale (z.B. „Gesteuerte Triggerquelle“, „Unbekannte Triggerquelle“). Ein Triggersignal beeinflusst die Datenparameter, die gesammelt werden sollen. Zum Beispiel löst ein Impulsssignal, das durch eine Quellennetzwerkvorrichtung erzeugt wird, Kanalreaktionen aus, die an anderen Netzwerkvorrichtungen gemessen werden.
d) Für angesteuerte Quellen die Quellenidentifikation und die damit verknüpften Parameter für das Triggersignal.

In vielen Fällen ist es aufgrund der physischen Distanz oder der Topologieeinschränkung praktisch unmöglich, eine perfekte Timing- bzw. Zeitsteuerungs-Synchronisierung zu erzielen. Deshalb können gesammelte Daten der Bitübertragungsschicht um einen kleinen Betrag an Zeit versetzt sein. Solche zeitlichen Versätze werden innerhalb eines akzeptablen Bereichs gehalten, so dass die notwendige Zeitkorrelation bei den Daten, die von unterschiedlichen SoCs in Netzwerkvorrichtungen gesammelt werden, bewahrt wird. Die Korrelation liefert wichtige Informationen über die Netzwerkbedingungen (z.B. die Bedingungen der physischen Kabelanlage).
Gesammelte Daten können in zwei Klassen entsprechend des Quellentyps von Triggersignalen kategorisiert werden: Unbekannte Triggerquellen und gesteuerte Triggerquellen. Für unbekannte Triggerquellen sind die zugehörigen Daten die Informationen, die während des Zeitschlitzes gesammelt werden, in dem keiner Netzwerkentität (z.B. CPE oder Faserknoten) von dem Kontroll-Server befohlen wird, ein Triggersignal zu übertragen. Dieser Typ von Daten ist extrem nützlich, z.B. wenn er verwendet wird, um zu identifizieren, ob eine Kabelanlage in einem gesunden Zustand ist und um potentielle Probleme zu identifizieren. Durch eine Kreuzkorrelierung der Daten von verschiedenen SoCs in Netzwerkvorrichtungen kann ein viel reichhaltigeres Netzwerkbild abgebildet werden als im Vergleich dazu durch eine Einzelpunkt-Datensammlung.
Im Vergleich dazu sind die Daten von der gesteuerten Triggersignalquelle die Informationen, die gesammelt werden, wenn eine bekannte Vorrichtung gerade ein Triggersignal überträgt (zum Beispiel ein Kabel-Downstream-QAM-(quadraturamplitudenmoduliertes)-Signal, das von einem Faserknoten gesendet wird, oder ein Upstream-Signal von einem bestimmten CPE). Für eine Kabelnetzwerkanlage können jedes einzelne CPE und jeder einzelne Faserknoten als Signalquelle verwendet werden, was unterschiedliche Netzwerkschnappschüsse aus unterschiedlichen Winkeln bereitstellt. Durch das Vergleichen von gesammelten Daten von unterschiedlichen CPEs mit unterschiedlichen gesteuerten Quellen kann ein detailliertes Netzwerkmodell aufgebaut werden.
Es gibt viele Möglichkeiten, eine Datensammlung von verschiedenen SoCs in Netzwerkvorrichtungen (z.B. CPE und Faserknoten) zu synchronisieren, einschließlich der DOCSIS-Upstream-Zeitsteuerung, so dass eine Datensammlung mit einem DOCSIS-Upstream-Zeitschlitz übereinstimmt; oder über eine vordefinierte Rundsendenachricht, die eine Datensammlung an jedem CPE auslöst.
Für ein Kabelnetzwerk sind im Wesentlichen alle Parameter der Bitübertragungsschicht für die Diagnose nützlich, und das zeitsynchronisierte Datenmuster kann zusätzliche Einzelheiten für die Analyse bereitstellen. Einige der nützlichen Informationen umfassen: die Downstream-Kanal-um-Kanal-Signalstärke, die Downstream-Entzerrer-Koeffizienten Kanal um Kanal, die Downstream-Spektrumserfassung, die Upstream-Spektrumserfasssung mit unterschiedlichen CPE als Signalquellen, etc.
Durch die Verwendung von zeitsynchronisierten Daten und der Standorte von Netzwerkvorrichtungen wie etwa CPEs und Faserknoten (Daten und Randbedingung) kann man ein Netzwerkmodell für jede bestimmte Stelle aufbauen, ohne tatsächlich vor Ort zu gehen, um die Untergrundkabellängen zu messen. Durch das Sammeln von mehr Daten und das Durchführen von mehr Korrelationsberechnungen kann ein Modell mit einer höheren Genauigkeit aufgebaut werden. Für Kabelnetzwerke umfasst dieses Modell die physische Länge des Koaxialkabels, Querverbindungen und verschiedene aktive und passive Komponenten. Dieses Modell kann für die Diagnose verwendet werden.
Netzwerkdiagnose
Netzwerkbedingungen können durch eine fortgesetzte Datensammlung überwacht werden. Dies kann in einigen Implementierungen durchgeführt werden, um das Netzwerkmodell weiter zu bestätigen und/oder um die Netzwerkbedingungen auf Änderungen in irgendeinem von mehreren unterschiedlichen Parametern zu überwachen.
Zum Beispiel könnte durch das Sammeln von gestreuten Daten von verschiedenen Vorrichtungen in jedem Koaxialkabelknoten ein virtuelles Mesh- bzw. Maschen-Modell erzeugt werden, das als ein Bezug dienen kann, um jegliche Netzwerkänderungen zu verfolgen. Durch das Sammeln von Informationen von allen End-CPE-Vorrichtungen (z.B. Kabelmodems (CMs; cable modems), Digitalempfänger, etc.) und Knotenvorrichtungen (z.B. Remote-PHY-(physical layer; Bitübertragungsschicht)-Vorrichtungen, RPDs genannt, oder Remote-MAC- und -PHY-Schichtenvorrichtungen, RMDs genannt) können Schwankungen oder Änderungen der Koaxialkabelanlage durch eine sorgfältige Analyse für verteilte Informationen entdeckt werden. 4 ist ein Blockdiagramm, das eine Ausführungsform eines solchen virtuellen Mesh-Modells bzw. Maschen- Modells veranschaulicht.
Die Hauptcharakteristiken der Datensammlungs- und Netzwerküberwachungsmechanismen, die hier bereitgestellt werden (wenn sie auf die Remote-PHY-Kabelnetzwerke angewendet werden), umfassen die Folgenden:

a) Aktive Erzeugung einer Matrix von mit Zeitstempeln versehenen Triggersignalen unter CMs, die das gleiche Kabelmedium gemeinsam nutzen;
b) Zeitkorrelationsanalyse der erzeugten Matrixsignale, um die Kabelkanaltopologie und RF-Bedingungen zu entdecken;
c) Entdeckung des Vorhandenseins einer Störung (ausgehend von einem CM oder einem Signalgenerator);
d) Entdeckung des Herkunftsorts einer Störung (ausgehend von einem CM oder einem Signalgenerator); und
e) Entdeckung und Standort bzw. Lokalisierung von physischen Angriffen auf eine RPD oder RMD.

Diese Systeme helfen den Betreibern, die Reparaturkomplexität eines Kabelbetreibers durch das Bereitstellen einer Frühwarn- und Ferndiagnosefähigkeit zu reduzieren und die Netzwerksicherheit zu erhöhen, indem eine unerwartete Störungsquelle schnell identifiziert wird.
Zeitsynchronisierte Daten sind extrem nützlich für in der Zeit variierende Störungsquellen, wie etwa ein zelluläres LTE-Eintrittsrauschen. Störsignale variieren mit der Zeit, was die Erfassung durch ein Einzelpunkt-Diagnose-Tool extrem schwierig macht. Defekte wie etwa ein gebrochener Draht oder eine schlechte Abschirmung können auch über die Welligkeiten in dem Spektrum, das über den Draht übertragen wird, entdeckt werden.
Durch das Verfolgen von Informationen von jeder einzelnen Vorrichtung könnten nützliche Informationen durch Korrelationen zwischen den verteilten Informationen gefunden werden. In einigen Implementierungen kann ein neuronales Netzwerk oder ein Tool für das maschinelle Lernen verwendet werden, um allmählich einen brauchbaren Algorithmus für eine Frühdiagnose der potentiellen Probleme zu bilden. Diese Art von früher Diagnose wird beträchtliche Betreiberreparaturressourcen einsparen und die Effizienz von Reparaturen verbessern, indem sie genauere Lageinformationen und Gründe für den Defekt bereitstellt.
Sicherheitsüberwachung
Die Sicherheitsüberwachungsfunktionen, die durch die Sicherheitsagenten bereitgestellt werden, können die Folgenden umfassen:

a) Überwachung der Authentifizierung, z.B. Überwachung und Gewährleistung, dass die Vorrichtungs- bzw. Geräteauthentifizierung nicht umgangen wird, um unbefugte Benutzer daran zu hindern, Zugang zu dem Netzwerk und den Diensten zu erlangen;
b) Überwachung der Autorisierung, z.B. Überwachung der Vorrichtung bzw. des Geräts, während sie bzw. es eine anfängliche Autorisierung erzielt, und Streben in regelmäßigen Abständen nach einer erneuten Autorisierung entsprechend den Anforderungen des Betreibers;
c) Überwachung des Datenschutzes, z.B. Überwachung der Verwendung von gültigen kryptographischen Algorithmen und Schlüssellängen, die für die Datenverkehr-Verschlüsselung und den Schlüsselschutz gemäß den Richtlinien des Betreibers ausgewählt wurden;
d) Überwachung der sicheren Bereitstellung eines CM, z.B. Überwachung des Bereitstellungsprozesses in DHCP, TFTP und anderen, um die Vorrichtung bzw. das Gerät und das Netzwerk vor Angriffen zu schützen und einen Dienstediebstahl zu verhindern;
e) Überwachung des sicheren Bootens und des sicheren Software-Downloads, z.B. Überwachen und Authentifizieren, dass der Urheber irgendeines Download-Codes eine bekannte und vertrauenswürdige Quelle ist, Überwachen, dass nur verifizierte Codes in der Vorrichtung bzw. dem Gerät installiert werden, und dass die Vorrichtung bzw. das Gerät ausgehend von einem vertrauenswürdigen Hardware-Ursprung hochfährt bzw. booted und die Software-Vertrauenskette durchgesetzt wird.

Anwendungsbeispiel: Entschärfung von Sicherheitsschwachstellen eines Kabelmodems (CM; Cable Modem) und einer RPD-(Remote-PHY-Vorrichtung)/CCAP-(konvergierten Kabelzugangsplattform)
In diesem Abschnitt wird ein konkretes Beispiel bereitgestellt, das die Anwendung der koordinativen Sicherheit auf die Entschärfung von Sicherheitsschwachstellen bei einem DOCSIS-CM und bei einer RPD/CCAP zeigt. In einigen Implementierungen können die CM- und RPD-Funktionen jeweils über CM- und Knoten-SoCs bereitgestellt werden. Das RPD/CCAP-Netzwerk ist in dem Blockdiagramm von 5 veranschaulicht. Die verschiedenen Abschnitte des Netzwerks können unterschiedliche Schwachstellen haben. Zum Beispiel kann der über IP nicht zugängliche Abschnitt durch ein defektes oder nicht autorisiertes Kabelmodem oder eine Signalerzeugungsvorrichtung einer RF-bezogenen Unterbrechung (z.B. Rausch-Schnittstelle) ausgesetzt werden; und der CCAP-Kern kann durch ein defektes oder nicht autorisiertes Kabelmodem oder einen Hacker hinter einem Kabelmodem angegriffen werden. Der IPzugängliche Abschnitt, einschließlich der RPD und des CCAP-Kerns, sind allgemeinen IP-initiierten Angriffen durch böswillige Akteure über das Internet ausgesetzt (z.B. Denial-of-Service-Angriffe bzw. Dienstverweigerungsangriffe, etc.). Aber eine Authentifizierung der RPD und ein Datenschutz zwischen der RPD und dem CCAP-Kern können als Teil der R-PHY-Sicherheitsanforderungen bereitgestellt sein. In ähnlicher Weise können BPI+-Protokolle eine Authentifizierung und einen Datenschutz für die Kabelmodems bereitstellen.
In 5 sind entsprechend dem oben beschriebenen koordinativen Sicherheitsnetzwerk die Kabelmodems Blatt-Vorrichtungen, die RPD ist eine Zwischenknotenvorrichtung der Knotenebene 1, und der CCAP-Kern ist eine Zwischenknotenvorrichtung der Knotenebene 2. Eine zusätzliche Netzwerkentität (z.B. Computervorrichtung, Server, Webdienst, etc.), die nicht veranschaulicht ist, würde sich mit dem Netzwerk verbinden, um die Funktionen des Sicherheitskoordinationsportals durchzuführen.
6 ist eine Veranschaulichung, die potentielle Angriffsvektoren in einer Ausführungsform einer Netzwerkumgebung darstellt. Diese potentiellen Angriffsvektoren und entsprechende Verteidigungen umfassen die Folgenden:

■ Die RPD wird zwar keinen IP-initiierten Angriffen von Seiten des Kabelmodems ausgesetzt, aber sie ist anfällig für eine Bitübertragungsschicht-Störung: ein Hacker kann versuchen, einen normalen RPD-Betrieb zu stören, indem er das CM kapert oder einen Signalgenerator verwendet, um ein Rauschen/eine Störung in die Kabelanlage einzuspeisen. Aber es gibt keine direkte IP-Erreichbarkeit zwischen dem CM und der RPD, und die RPD verarbeitet keine DOCSIS-MAC-Schicht-Informationen und leitet die gesamten digitalen Informationen an die/den CCAP/Server weiter. Angriffe unter Verwendung von DOCSIS-PHY-Bits sind praktisch unmöglich, vor allem dann, wenn die DOCSIS-Daten durch BPI+ verschlüsselt sind.
■ Für den Hacker hinter dem CM ist es möglich, IP-bezogene Angriffe gegen die CCAP zu initiieren (ähnlich wie bei dem Fall des Kabelmodemterminierungssystems (CMTS)). Die Daten des Hackers werden von der CCAP als IP-Pakete verarbeitet, und dementsprechend sind einige typische IP-initiierte Angriffe (z.B. DoS) möglich.
■ Hacker können Angriffe gegen die RPD-Steuerebene von Seiten des Internets/Servers her initiieren. Die Steuerebene zwischen der RPD und dem CCAP-Kern ist erweitert und verteilt, Angriffe gegen die RPD über die Steuerebene würden es erfordern, dass der Hacker das Kommunikationsprotokoll zwischen dem CCAP-Kern und der RPD manipuliert. Aber da die DOCSIS-Daten des Hackers aus dem Internet durch die Datenebene der RPD als eingekapselte PHY-Daten wandern, sind die Angriffe gegen die Datenebene der RPD durch einen DOCSIS-Datenstrom praktisch unmöglich.
■ Da die Verbindung/das Netzwerk zwischen der RPD und der CCAP physisch nicht abgesichert ist, kann der Hacker IP-Angriffe gegen die RPD und die CCAP innerhalb dieses Segments der Verbindung durch Nicht-DOCSIS-Datenpfade starten.

Um diese Sicherheitsbedrohungen anzugehen, können die folgenden Mechanismen durch die Sicherheitsagenten in dem Kabelmodem und der RPD unterstützt werden, wie dies in der Veranschaulichung von 7 gezeigt ist.
Kabelmodem-Sicherheitsagent (CM-Sicherheitsagent)
Der Sicherheitsagent (SA) im SoC kann das Modem und seine zugehörigen Vorrichtungen (z.B. Digitalempfänger, etc.) auf der Grundlage von erhärteten Attributen und Root-Geheimnissen eindeutig identifizieren. Der Modem-SA erzwingt auch das Modem-Booten ausgehend von einem Image (Speicherabbild), das mit der CM-Hardware verknüpft ist, und setzt eine Authentizität und Integritäten von Firmware- und Software-Images während des Bootens durch.
Des Weiteren kann das Modem selbst einen Hardware-Beschleuniger für Kryptooperationen mit Speicherbereichsschutz aufweisen. Dies stellt eine Extra-CPU-Bandbreite bereit, die für die Datenanalyse und die Überwachung zur Verfügung steht.
RPD-Sicherheitsagent
Die RPD-SoC-Vorrichtung ist eindeutig mit erhärteten Root-Geheimnissen programmiert. Die Vorrichtung kann eine dedizierte Hardware für die Sicherheitsressourcenverwaltung und einen Hardware-Beschleuniger für Kryptooperationen aufweisen. Der RPD-SA im SoC überwacht alle kritischen Sicherheitsoperationen, und in vielen Implementierungen schränkt er Operationen ein, die durch die dedizierte Sicherheits-Hardware durchgeführt werden sollen. Der RPD-SA überwacht auch das Booten (Urladen, Hochfahren) von CMs ausgehend von vertrauenswürdigen Images, und er gewährleistet die Authentizität und die Integritäten der Firmware- und Software-Images während des Bootens. Die RPD stellt auch eine TEE (Trusted Execution Environment; vertrauenswürdige Ausführungsumgebung) für Anwendungen bereit.
Die Veranschaulichung von 7 stellt eine modifizierte Netzwerkumgebung dar, die Sicherheitsagenten in Übereinstimmung mit einer Implementierung enthält, die dem DOCSIS-RPD/CCAP-Netzwerk eine koordinative Sicherheit bereitstellen.
Wie gezeigt ist, können die Sicherheitsagenten in dem CM und der RPD nicht direkt miteinander kommunizieren (es gibt z.B. keine IP-Konnektivität zwischen den Vorrichtungen). Stattdessen agiert das Cloud-basierte Sicherheitskoordinationsportal als ein Proxy und ein Koordinator zwischen allen Sicherheitsagenten in den CMs und RPDs (die eine IP-Konnektivität zu dem Portal haben).
Somit stellen die hier erörterten Systeme und Verfahren eine koordinative Sicherheit unter Netzwerkvorrichtungen quer durch mehrschichtige Netzwerke bereit. Gemeinsam genutzte kryptographische Geheimnisse zwischen den Netzwerkvorrichtungen werden als die Grundlage für eine gegenseitige Sicherheitsauthentifizierung und für ein gegenseitiges Peering unter diesen Vorrichtungen verwendet. Die kryptographischen Geheimnisse sind in den SoCs für diese Vorrichtungen bzw. Geräte eingebettet oder werden dynamisch auf der Grundlage von eindeutigen Identifikationsinformationen und Attributen dieser SoC-Vorrichtungen erzeugt. Die Nachrichten über die Authentifizierung und das Peering können unter den Netzwerkvorrichtungen direkt kommuniziert werden oder sie können indirekt über eine Cloud-Sicherheitsportal-Entität kommuniziert werden, die als ein Nachrichtenübermittlungs-Proxy agiert. Der gegenseitige Authentifizierungs- und Peering-Prozess kann koordiniert zwischen den Netzwerkvorrichtungen und einem Cloud-Sicherheitsportal in einer Eins-zu-eins-Mesh-Beziehung oder in einer transitiven Schichtungsbeziehung ausgeführt werden, wobei jede Netzwerkentität eine Authentifizierung und ein Peering mit ihren direkten untergeordneten Entitäten bzw. Vorrichtungen in einem mehrschichtigen Netzwerk durchführt.
Das Cloud-Sicherheitsportal schafft eine gesamte netzwerkweite Authentifizierung und ein gesamtes netzwerkweites Peering auf der Grundlage der Authentifizierungs- und Peering-Status-Nachrichten von allen Netzwerkvorrichtungen. Die Netzwerkvorrichtungen implementieren auch die Sicherheitsüberwachung individuell und kommunizieren die Überwachungsstatusinformationen an das Cloud-Sicherheitsportal. Das Cloud-Sicherheitsportal hält eine gesamte netzwerkweite Diagnose und Sicherheitsüberwachung auf der Grundlage der Statusnachrichten von allen Netzwerkvorrichtungen aufrecht und koordiniert jegliche notwendige Entschärfung bzw. Schadensminimierung der Netzwerk- und Sicherheitsprobleme quer durch das Netzwerk.
Für die Netzwerkdiagnose erlaubt eine aktive Erzeugung einer Matrix von mit Zeitstempeln versehenen Triggersignalen und Reaktionsmessungen unter den CMs, die das gleiche Kommunikationsmedium gemeinsam nutzen, eine zeitkorrelierte Analyse der erzeugten Matrixsignale und Reaktionen, um die Netzwerktopologie und Kanalbedingungen zu entdecken. Eine Analyse der gesammelten, mit Zeitstempeln versehenen Matrixdaten erlaubt die Entdeckung und die Lokalisierung einer Störung (ausgehend von einer Netzwerkentität oder von einem externen Signalgenerator).
Netzwerkknoten sehen eine Sicherheitsüberwachung über eine Überwachungsauthentifizierung vor, z.B. durch eine Überwachung und Gewährleistung, dass eine Geräte- bzw. Vorrichtungsauthentifizierung nicht umgangen wird, um zu verhindern, dass unbefugte Benutzer Zugang zu dem Netzwerk und den Diensten erlangen. Knoten überwachen auch die Autorisierung, z.B. überwachen sie Vorrichtungen, die eine anfängliche Autorisierung erzielen und in regelmäßigen Abständen nach einer erneuten Autorisierung streben, wie dies von Betriebsrichtlinien gefordert wird. Knoten überwachen auch den Datenschutz, z.B. indem sie gültige Kryptoalgorithmen und Schlüssellängen-Datenverkehr-Verschlüsselung und Schlüsselschutz, wie diese von den Richtlinien gefordert werden, überwachen. Knoten überwachen auch die sichere Bereitstellung von CM-Ausstattungen, zum Beispiel überwachen sie den Bereitstellungsprozess in DHCP, TFTP und anderen, um die Vorrichtung und das Netzwerk vor Angriffen zu schützen und einen Dienstediebstahl zu verhindern. Knoten überwachen auch ein sicheres Booten und einen sicheren Software-Download, z.B. überwachen und authentifizieren sie, dass der Urheber jeglichen Download-Codes eine bekannte und vertrauenswürdige Quelle ist, und dass nur verifizierte Codes in der Vorrichtung installiert werden, und dass die Vorrichtung ausgehend von vertrauenswürdiger Hardware und Software gebootet (urgeladen, hochgefahren) wird.
Somit ist die vorliegende Offenbarung in einigen Aspekten auf ein System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke gerichtet. Das System weist einen Sicherheitsagenten, der durch eine erste Vorrichtung ausgeführt wird, in Kommunikation mit einer zweiten Vorrichtung und einer dritten Vorrichtung auf, wobei sich jede von der ersten Vorrichtung, der zweiten Vorrichtung und der dritten Vorrichtung in einem mehrschichtigen Netzwerk befindet, wobei die erste Vorrichtung und die zweite Vorrichtung ein erstes gemeinsam genutztes kryptographisches Geheimnis haben und die erste Vorrichtung und die dritte Vorrichtung ein zweites gemeinsam genutztes kryptographisches Geheimnis haben. Der Sicherheitsagent in der ersten Vorrichtung ist dafür konfiguriert, eine Authentifizierung mit der zweiten Vorrichtung über das erste gemeinsam genutzte kryptographische Geheimnis und mit der dritten Vorrichtung über das zweite gemeinsam genutzte kryptographische Geheimnis durchzuführen.
In einigen Implementierungen ist die erste Vorrichtung der Vorgänger der zweiten Vorrichtung in dem mehrschichtigen Netzwerk; und die dritte Vorrichtung ist der Vorgänger der ersten Vorrichtung in dem mehrschichtigen Netzwerk.
In einigen Implementierungen kommuniziert der Sicherheitsagent der ersten Vorrichtung mit der zweiten Vorrichtung und der dritten Vorrichtung über eine vierte Vorrichtung, die als ein Proxy agiert. In einer weiteren Implementierung sind die erste Vorrichtung und die zweite Vorrichtung über eine erste Bitübertragungsschicht-Schnittstelle verbunden. In noch einer weiteren Implementierung wird eine Authentifizierungsanforderung, die mit dem ersten gemeinsam genutzten kryptographischen Geheimnis verknüpft ist, an die erste Vorrichtung durch die vierte Vorrichtung über eine getunnelte Verbindung über die erste Bitübertragungsschicht-Schnittstelle kommuniziert, wobei die vierte Vorrichtung die Authentifizierungsanforderung von der zweiten Vorrichtung an die erste Vorrichtung weiterleitet. In einer anderen weiteren Implementierung ist der Sicherheitsagent in der ersten Vorrichtung des Weiteren dafür konfiguriert, der vierten Vorrichtung eine Identifikation einer erfolgreichen Authentifizierung der zweiten Vorrichtung und der dritten Vorrichtung bereitzustellen. In noch einer anderen weiteren Implementierung weist die vierte Vorrichtung ein Sicherheitsportal auf. In noch einer weiteren anderen Implementierung ist der Sicherheitsagent der ersten Vorrichtung dafür konfiguriert, der vierten Vorrichtung Sicherheitsmessdaten bereitzustellen, wobei die vierte Vorrichtung die Sicherheitsmessdaten mit den Sicherheitsmessdaten von der zweiten Vorrichtung und der dritten Vorrichtung korreliert.
B. Systeme und Verfahren für eine Cloud-gestützte Überwachung und Filterung mit Mehrschicht-Triggern
Implementierungen der oben erörterten Architektur können auch verwendet werden, um eine sichere Überwachung und Filterung von Netzwerkkommunikationen quer durch alle Stufen des Netzwerks bereitzustellen. Insbesondere kann in vielen Implementierungen die Architektur der vertrauenswürdigen Kette, die oben erörtert worden ist, eingesetzt werden, um eine vertrauenswürdige Überwachung und Filterung über Kommunikationen in dem Netzwerk bereitzustellen. Eine Cloud-gestützte Überwachung und Filterung kann auf Multi-Layer- bzw. Mehrschicht-Triggern bei Datenverkehr basieren, der von einer IP-Vorrichtung (z.B. DOCSIS-Kabelmodem oder ein Remote-PHY-Knoten) gesammelt wird. Ein Kontroll-Client in der IP-Vorrichtung kann mit einem Satz von Überwachungsvorrichtungen interagieren, die analytische Informationen von verschiedenen Funktionsmodulen in der Vorrichtung sammeln und solche Informationen an einen Cloud-basierten Kontroll-Server senden. Der Server wiederum führt eine Analyse der empfangenen analytischen Daten durch. Die Analyse kann auf die Sicherheit und die Leistung der Vorrichtung oder des gesamten Netzwerks bezogen sein. Auf der Grundlage der Analyseergebnisse wird bei dem Server die Aktion ausgelöst, Filterungsregeln aufzubauen, die sich mit den neuen Bedingungen der Vorrichtung oder des Netzwerks befassen. Die aufgebauten Regeln werden an den Kontroll-Client zurückgesendet, der diese dann an verschiedenen Kontrollpunkten entlang der Datenpfade in der Vorrichtung installiert, wodurch der Verkehr, der die Schnittstellen der Vorrichtung durchquert, überwacht und gefiltert wird.
Trigger bzw. Auslöser werden für den Aufbau von Filterungsregeln durch den Kontroll-Server aufgerufen. Diese Trigger basieren auf Datenanalyseverfahren von mehreren logischen Schichten, mit zunehmender Raffinesse. Diese Verfahren umfassen:

• Ein einfaches statisches Konfigurationsverfahren
• Ein klassisches statistisches Verfahren
• Ein modernes Verfahren für das maschinelle Lernen

Das System erlaubt eine Überwachung und Filterung des abgehenden Verkehr, der die IP-Vorrichtung von den dem LAN zugewandten Schnittstellen her (z.B. WiFi, Ethernet, MoCA) betritt. Des Weiteren erlaubt das System eine Überwachung und Filterung des ankommenden Verkehrs von der dem WAN zugewandten Schnittstelle her (z.B. DOCSIS) oder anderen Schnittstellen (z.B. über JTAG, UART), die an der IP-Vorrichtung exponiert sind.
Insbesondere erlaubt das System eine Überwachungskette von Netzwerkknoten und eine Verkehrsmustererkennung in Bezug auf eine Virusinfektion oder eine andere Malware bzw. Schadsoftware. In einigen Implementierungen einer Überwachungskette von Netzwerkknoten weist ein Cloud-Kontroll-Server Überwachungs- und Filterungsfunktionen unter hierarchischen Netzwerkknoten (z.B. CCAPs, RPDs oder RMDs und CMs) entsprechend deren individuellen Sicherheitsfähigkeiten zu. Der Server kann kritischere bzw. wichtigere Funktionen den Knoten mit den stärkeren Sicherheitsfähigkeiten zuordnen, und er weist diesen Knoten mehr Kontrollrollen zu, wenn er die Überwachungskette unter allen Überwachungsknoten organisiert. Der Cloud-Kontroll-Server kann auch Virenprüfungs-Protokolldaten oder Daten, die andere heimtückische Angriffe von den Benutzervorrichtungen in dem Heimnetzwerk (z.B. PC) betreffen, sammeln. Der Server kann diese Daten anwenden, um die Kennzeichnung (das Labeling) und das Training von Datenverkehrstatistiken anzutreiben, die von den Heimnetzwerkknoten (z.B. CM) gesammelt werden. Das trainierte Modell kann über ein neuronales Netzwerk oder eine andere Architektur für das maschinelle Lernen verwendet werden, um Viren oder eine andere Malware bzw. Schadsoftware oder irgendwelche anderen unterwünschten Verkehrsmuster zu entdecken.
8A ist ein Blockdiagramm einer Ausführungsform eines Systems für eine Cloud-gestützte Überwachung und Filterung. Ein Kontroll-Client 800 kann von einer Computervorrichtung, wie etwa einem Bürocomputer, einem Laptop-Computer, einem Digitalempfänger, einem DOCSIS-Modem, oder einer anderen solchen Vorrichtung ausgeführt werden. Der Kontroll-Client 800 kann eine Anwendung, einen Server, einen Dienst, einen Daemon bzw. ein Hintergrundprogramm, eine Routeine oder eine andere ausführbare Logik zur Überwachung der Sicherheit und zur Überwachung von Operationen bzw. Vorgängen umfassen, die das Empfangen von Überwachungsinformationen von einem Cloud-Kontroll-Server 802 oder einer anderen Vorrichtung oder über eine Benutzerschnittstelle der Computervorrichtung, das Installieren von Filterungsregeln oder von Filtern und das Kommunizieren mit dem Cloud-Kontroll-Server 802 einschließen. Der Kontroll-Client kann auf den Plattform-Sicherheitsmechanismen der Vorrichtung (z.B. einem vertrauenswürdigen Plattformmodul, einer Verschlüsselungshardware, etc.) basieren.
Kontrollpunkte 804 können an verschiedenen Stellen innerhalb des Systems installiert sein, wie etwa ein WAN-Kontrollpunkt 804a, ein LAN-Kontrollpunkt 804b, ein Kontrollpunkt 804c für ankommenden IP-Verkehr, ein Kontrollpunkt 804d für abgehenden IP-Verkehr und/oder andere Kontrollpunkte 804n, wobei jeder Kontrollpunkt 804 einer Schnittstelle und/oder einem Abschnitt eines Netzwerk-Stacks entspricht. Ein Kontrollpunkt 804 kann eine Anwendung, einen Dienst, einen Server, einen Daemon bzw. ein Hintergrundprogramm, eine Routine oder eine andere ausführbare Logik zum Anwenden von Filterungsregeln oder Filtern auf ankommende und/oder abgehende Daten (z.B. Ethernet-Pakete, IP-Pakete oder andere Arten von Daten) aufweisen. Die Filter können Datenpaket-Abgleichregeln sowie auch jegliche Aktionen (z.B. Verwerfen, Weiterleiten, Modifizieren, etc.) enthalten, die ergriffen werden müssen, wenn eine Übereinstimmung zwischen einem Paket und einem Filter oder einer Regel identifiziert wird.
8B ist ein Blockdiagramm einer Implementierung eines Kontrollpunkts 804 zur Verwendung durch ein System für eine Cloud-gestützte Überwachung und Filterung. Ein Eingangsdatenpaket kann von einem Eingangspaket-Parsing-Modul geparst werden, das eine ausführbare Logik und/oder Hardware für das Parsing von Header-Feldern des Pakets aufweisen kann. Das Eingangspaket-Parsing-Modul kann die extrahierten oder kopierten geparsten Informationen dem Paketfilterungsmodul bereitstellen, das eine ausführbare Logik und/oder Hardware für das Abgleichen von geparsten Informationen mit einem oder mehreren vorbestimmten Filtern aufweisen kann, die in dem Speicher der Vorrichtung gespeichert sind. Das Paketfilterungsmodul kann versuchen, die Parsing-Informationen mit adaptiven Filtern für den ankommenden Verkehr (wenn Daten von der WAN-Seite ausgehen) oder den abgehenden Verkehr (wenn Daten von der LAN-Seite ausgehen) abzugleichen. Filter können an jeden Abschnitt eines Pakets angelegt werden, einschließlich an Quell- oder Ziel-Adressen und/oder -Ports, Nutzlasttypen und/oder Größen, VLAN-Kennungen, Gerätekennungen, MAC-Adressen oder jede andere Art und Form von Informationen. Wenn eine Übereinstimmung zwischen dem Paket und dem Filter nachgewiesen ist, werden entsprechende Aktionsregeln, die mit den abgeglichenen Filtern verknüpft sind, extrahiert und an ein Aktionserzeugungsmodul geleitet, das eine ausführbare Logik/und oder Hardware für den Abgleich der Regeln mit ausführbaren Aktionen für ein Ausgangspaket-Verarbeitungsmodul aufweisen kann. Das Ausgangspaket-Verarbeitungsmodul kann eine ausführbare Logik und/oder Hardware für das Ausführen der entsprechenden Aktionen bei den Ausgangsdatenpaketen umfassen. Des Weiteren kann jeder Kontrollpunkt eine entsprechende Kontrollpunkt- Überwachungsvorrichtung zum Sammeln von analytischen Informationen über den Status und den Betrieb des Kontrollpunkts und der Statistiken der Eingangs-/Ausgangspakete, die den Kontrollpunkt durchqueren, zu sammeln (z.B. den Datendurchsatz, empfangene Pakete, gesendete Pakete, blockierte Pakete, abgeglichene Filter, etc.).
Unter erneutem Rückbezug auf 8A kann die IP-Vorrichtung auch eine oder mehrere CPU-/Speicher-Überwachungsvorrichtungen aufweisen, die Anwendungen, Server, Dienste, Daemons bzw. Hintergrundprogramme, Routinen oder eine andere ausführbare Logik zum Sammeln von Daten von Rechenressourcen, wie etwa einer CPU, einem RAM, einer Datenspeichervorrichtung, einem GPU, einem Koprozessor oder einer anderen solchen Vorrichtung, umfassen kann. Die gemessenen Daten, die Leistungseigenschaften, Durchsatz, Latenz, Verwendung oder irgendwelche anderen solchen Informationen umfassen können, können von den CPU-/Speicher-Überwachungsvorrichtungen einem Kontroll-Client 800 bereitgestellt werden.
Der Cloud-Kontroll-Server 802 kann eine Computervorrichtung in Kommunikation mit der IP-Vorrichtung aufweisen, wie dies oben erörtert worden ist. In einigen Implementierungen kann der Cloud-Kontroll-Server 802 ein Sicherheitskoordinationsportal aufweisen, wie dies oben erörtert worden ist, und er kann über getunnelte Kommunikationen über eine RF-Schnittstelle oder eine andere solche Schnittstelle mit einem Sicherheitsagenten in einer Client-Vorrichtung kommunizieren. Der Cloud-Kontroll-Server 802 kann für die Analyse der empfangenen Überwachungsdaten von dem Kontroll-Client 800 und die Implementierung von Mehrschicht-Triggern für den Aufbau von Filterungsregeln zuständig sein.
8C ist ein Blockdiagramm einer Implementierung eines Cloud-Kontroll-Servers. Die empfangenen analytischen Daten von dem Kontroll-Client 800 können zuerst durch ein Daten-Vorverarbeitungsmodul verarbeitet oder formatiert werden, das eine Anwendung, einen Server, einen Dienst, einen Daemon, eine Routine oder eine ausführbare Logik für die Filterung und/oder die Ansammlung von Analysedaten aufweisen kann. Die gefilterten oder vorverarbeiteten Daten können einem Mehrschicht-Analysemodul (Multi-Layer-Analysemodul) für eine Analyse und einer Zeitreihen-Datenspeicherungsvorrichtung für eine Langzeitspeicherung bereitgestellt werden. Das Mehrschicht-Analysemodul kann eine Anwendung, einen Server, einen Dienst, einen Daemon, eine Routine oder eine ausführbare Logik für die Analyse oder Korrelierung der ankommenden Daten aufweisen, um jegliche Abnormalität oder Statusänderung der Vorrichtung zu entdecken, indem es Analyseverfahren in mehreren Funktionsschichten anwendet (z.B. Netzwerkebenen-Durchsatz, Systemressourcenverwendung, etc.). Wenn die Entdeckung erfolgt ist, werden die entsprechenden Trigger erzeugt und an das Modul zur Erzeugung adaptiver Filter für den Aufbau von assoziierten adaptiven Filtern gesendet. Die erzeugten Filter können dem Kontroll-Client 800 zur Anwendung bei zukünftigen Paketen bereitgestellt werden.
Unter Rückbezug auf 8A sind mehrere Daten-Kontrollpunkte entlang der Datenpfade innerhalb der IP-Vorrichtung eingerichtet. Die Datenpfade umfassen den ankommenden und den abgehenden IP-Verkehr, den Ethernet-Verkehr zu und von dem LAN sowie auch die Datenbewegungen quer durch die verschiedenen Schnittstellen wie etwa JTAG, GPIO, UART, etc. Die Kontrollpunkte 804 setzen Kontrollpunktfilter oder adaptive Filter, die von dem Cloud-Kontroll-Server 802 bereitgestellt werden, durch, wie dies oben erörtert worden ist.
Die Filter enthalten Datenabgleichregeln und spezifizieren alle Aktionen, die beim Herstellen eines Regelabgleichs oder beim Feststellen, dass ein Paket mit den Datenabgleichregeln übereinstimmt, ergriffen werden sollen. Die Filterregeln können an die Header-Felder in einer oder mehreren Schichten des OSI-Modells (z.B. MAC, IP, UDP/TCP, HTTP, Anwendungen) angelegt werden. Die ergriffenen Aktionen können die allgemeinen Filterungsaktionen wie etwa das Weiterleiten oder das Verwerfen des übereinstimmenden IP-Pakets und das Modifizieren der Header-Felder des übereinstimmenden Pakets umfassen. Außerdem kann der Cloud-Kontroll-Server 802 auch adaptiv die folgenden Aktionen als Teil der Filterungsregeln spezifizieren:

• Eine Übertragungsratenregelung durchführen, um die Datenübertragungsrate so zu begrenzen, dass sie nicht mehr als ein vorgegebener, dynamisch konfigurierbarer Schwellenwert ist. Diese Aktion erlaubt es, dass das Laden von Daten in Schnittstellen und Systeme dynamisch gedrosselt werden kann, wodurch der Verkehr, der in das Netzwerk eingespeist wird, begrenzt wird.
• Eine Sitzungszulassungssteuerung und -regelung durchführen, indem neue TCP-Sitzungsanfragen akzeptiert oder abgelehnt werden. Diese Aktion stellt eine Datendrosselung auf Sitzungsebene bereit, wodurch die Rechenressourcen (CPU und Speicher) begrenzt werden, die für das Verarbeiten der neuen Sitzungen zugewiesen werden.
• Aktivieren/Deaktivieren der Schnittstelle. Diese Aktion steuert bzw. regelt die Aktivierung der gesamten Schnittstelle, um die Datenströme quer durch die Vorrichtung zu regulieren.
• Berichte an den Cloud-Kontroll-Server senden. Ein Ereignis kann in einem DatenKontrollpunkt erzeugt werden, um Kontrollpunktdaten an den Cloud-Kontroll-Server über den Kontroll-Client zu senden.

Verschiedene Funktionsmodule (interne Verarbeitungselemente, Schnittstellen und Kontrollpunkte) in der Vorrichtung werden durch ihre entsprechenden Überwachungsvorrichtungen überwacht. Die analytischen Informationen, die von diesen Überwachungsvorrichtungen gesammelt werden, können die folgenden dynamischen Daten umfassen: Modulstatusinformationen, Verkehrsstatistiken, Aktivitätsprotokolle/Ereignisprotokolle, Ressourcennutzungsstatistiken, Fehlerzählungen, etc.
Die überwachten Informationen werden von dem Kontroll-Client gesammelt und angesammelt, der auch eine Vorverarbeitung bei den gesammelten Informationen durchführen kann. Der Kontroll-Client setzt Bedingungen für Informationen von den überwachten Funktionsmodulen fest: zum Beispiel können die Bedingungen auf Schwellenwerten der gesammelten und vorverarbeiteten Datenwerte basieren. Wenn irgendeine vorher eingestellte Bedingung erfüllt ist, ruft der Kontroll-Client eine Kommunikationssitzung mit dem Cloud-Kontroll-Server auf. Während der Sitzung sendet der Kontroll-Client die gesammelten dynamischen Daten an den Kontroll-Server; die Daten können die gecacheden bzw. zwischengespeicherten überwachten Parameter enthalten (Kurzzeithistorie).
Nach dem Empfang der Daten führt der Kontroll-Server eine Analyse der neu empfangenen Informationen sowie auch von geeigneten Informationen, die in der Vergangenheit empfangen und gespeichert wurden (Langzeithistorie), durch. Die Analyse dient dazu, jegliche Abnormalität oder Betriebsstatusänderung der Vorrichtung zu erfassen und geeignete adaptive Filter aufzubauen, um die erfasste Abnormalität oder Betriebsstatusänderung anzugehen. Die Entdeckung einer Abnormalität oder Betriebsstatusänderung schafft einen Trigger. Die Trigger werden in drei logischen Schichten erzeugt, mit zunehmender Komplexität und Raffinesse. Jede Schicht wird durch ihre zugehörigen Analyseverfahren repräsentiert:

Schicht 1: Statische Konfigurationsverfahren. Die Trigger sind statisch bereitgestellt, und ihre Aktualisierung reflektiert nicht die dynamischen Statusänderungen der Vorrichtung und sie ist auch nicht daran angepasst.
Schicht 2: Statistische Verfahren. Die Trigger basieren auf der traditionellen statistischen Analyse der gesammelten dynamischen Daten von einer bestimmten Vorrichtung oder von allen anvisierten Vorrichtungen, einschließlich der entsprechenden Historiendaten, die im Laufe der Zeit gesammelt und abgespeichert worden sind.
Schicht 3: Verfahren für das maschinelle Lernen. Die Trigger ergeben sich aus den Algorithmen für das maschinelle Lernen (z.B. neuronale Netzwerke und Expertensysteme), die auf der Basis von gesammelten dynamischen Daten von einer bestimmten Vorrichtung oder von allen anvisierten Vorrichtungen, einschließlich der entsprechenden Historiendaten, die im Laufe der Zeit gesammelt und abgespeichert worden sind, arbeiten. Für Implementierungen mit neuronalen Netzwerken kann die Trainingsphase in dem Kontroll-Server ausgeführt werden, indem die Cloud-Rechenressourcen an die empfangenen analytischen Daten angelegt werden; die Schlußfolgerungsphase kann in der Vorrichtung durch den Kontroll-Client durchgeführt werden. In diesem Fall wird das Schlussfolgerungsergebnis an den Kontroll-Server für die Erzeugung von adaptiven Filtern gesendet, wie dies in 8D veranschaulicht ist, die die Kommunikationsflüsse zwischen dem Kontroll-Client und dem Kontroll-Server entsprechend einigen Implementierungen veranschaulicht.

Nach Beendigung der Mehrschicht-Analyse werden alle aufgebauten adaptiven Filter zurück an den Kontroll-Client der Vorrichtung gesendet, wie dies oben erörtert worden ist, der die Filter an den entsprechenden Kontrollpunkten in der Vorrichtung installieren und anwenden kann. Von da ab führt die Vorrichtung die Filterung auf der Grundlage der aktualisierten Filterregeln durch, bis diese von dem Kontroll-Server erneut geändert werden.
Alle Kontrollpunkte sind mit ihren spezifischen Standardfiltern konfiguriert, wenn die Vorrichtung initiiert wird (Power Cycle (Neustart durch Aus- und sofortiges Wiedereinschalten) oder Software-/Hardware-Reset). Des Weiteren können geeignete adaptive Filter, die von dem Kontroll-Server aufgebaut werden, gegenüber den Initialisierungen persistent gemacht werden (z.B. durch Abspeichern in einem nichtflüchtigen Speicher und erneutes Laden nach der Initialisierung).
Heimnetzwerke können besonders anfällig für unbefugtes Eindringen sein (z.B. über ungeschützte oder schwach geschützte WiFi-Netzwerke, oder aufgrund eines Mangels an aktiver Administration oder Ausbesserung bzw. Patchen von Schwachstellen). Des Weiteren können Heim-Clients relativ leicht manipuliert werden. In jedem Fall kann ein böswilliger Angreifer Angriffe gegen die IP-Vorrichtung in die Wege leiten, die ein Gateway (Tor) zu dem Heimnetzwerk ist, wodurch er potentiell Zugang zu dem Heimnetzerk und gegen die Betreiber-Kern-Netzwerke und -Dienste erlangt. Die hier erörterten Systeme und Verfahren stellen eine Schutzmaßnahme gegenüber solchen Angriffen bereit:

• Die LAN-Kontrollpunkte überwachen den gesamten abgehenden Verkehr, der von dem Heimnetzwerk ausgeht, und erzeugen Zusammenfassungen des abgehenden Verkehrs, einschließlich von Informationen wie etwa Quell-/Ziel-MAC-Adressen der abgehenden Ethernet-/WiFi-Pakete.
• Der Kontrollpunkt für den abgehenden IP-Verkehr überwacht den gesamten abgehenden Verkehr, der von dem Heimnetzwerk ausgeht, und erzeugt Zusammenfassungen des abgehenden Verkehrs, einschließlich von Informationen für abgehende IP-Pakete: Quell-/Ziel-IP-Adressen, Quell-/Ziel-Portnummern, Protokoll-ID.
• In regelmäßigen Abständen oder auf Abruf sendet der Kontroll-Client die Zusammenfassungen von den oben erwähnten analytischen Daten von den Kontrollpunkten zu dem Kontroll-Server.
• Der Kontroll-Server führt eine Mehrschicht-Analyse bei den empfangenen Verkehrszusammenfassungsdaten durch, um ein Modell für die normalen Verkehrsmuster zu bauen. Das Modell wird verwendet, um alle Verkehrsmuster zu entdecken, die von den normalen Mustern abweichen. Nach der Entdeckung wird die Erzeugung von adaptiven Filtern ausgelöst, um die geeigneten Filter für die erfasste Abnormalität aufzubauen.
• Die empfangenen Verkehrszusammenfassungsdaten können verwendet werden, um ein neuronales Netzwerk zu trainieren, um ein neuronales Netzwerkmodell für die Verkehrsmuster zu bauen. Das neuronale Netzwerkmodell wird an den Kontroll-Client gesendet, der dieses verwendet, um abnormale Verkehrsmuster zu entdecken, indem er eine neuronale Netzwerkschlussfolgerung bei den überwachten Daten von den LAN-Kontrollpunkten und den Kontrollpunkten für den abgehenden IP-Verkehr durchführt. Die Schlussfolgerungsergebnisse werden an den Kontroll-Server zurückgesendet, um die entsprechenden adaptiven Filter aufzubauen.
• Die aufgebauten adaptiven Filter werden an den Kontroll-Client gesendet, damit diese an den LAN-Kontrollpunkten und den Kontrollpunkten für den abgehenden IP-Verkehr installiert werden können.
• Die installierten Filter führen Aktionen durch, um Pakete zu blockieren, die zu den abnormalen Verkehrsmustern beitragen.

Dementsprechend kann ein normaler Verkehr und ein abnormaler Verkehr selbst von neuen Vorrichtungen in dem Netzwerk entdeckt werden. So kann zum Beispiel nach der Installation eines neuen vernetzten Geräts oder einer neuen „IoT“-(Internet-of-Things; Internet der Dinge)-Vorrichtung wie etwa ein Hausautomationsgerät der Verkehr ausgehend von der Vorrichtung überwacht werden und mit Filtern abgeglichen werden. Selbst wenn der Verkehr anfänglich nicht erkannt wird (z.B. für eine sehr neue Vorrichtung), kann der Netzwerkverkehr von solchen Vorrichtungen im Laufe der Zeit in einer Vielzahl von Client-Standorten angesammelt werden und ein neuronales Netzwerk kann trainiert werden, um einen solchen Verkehr als normal zu erkennen, und adaptive Filter können erzeugt werden. Dementsprechend kann das System dann, wenn die Vorrichtung an irgendeinem Zeitpunkt in der Zukunft manipuliert wird, in der Lage sein, einen abnormalen Verkehr schnell zu erkennen, und zwar sogar ohne dass eine manuelle Konfiguration oder Programmierung benötigt wird. Dies kann eine sehr schnelle Entdeckung und Entschärfung bzw. Schadensminimierung von Zero-Day-Exploits (Null-Tage-Angriffe durch Ausnutzung einer Sicherheitslücke) oder einer anderen böswilligen Aktivität gestatten.
Der Kontroll-Client kann Statistiken über einen oder mehrere der folgenden überwachten Parameter sammeln: a) CPU-Ladung, b) RAM-Benutzung, c) Anzahl an Datensitzungen, die durch ein 5-Tupel identifiziert sind (Quell-/Ziel-IP-Adressen, Quell-/Ziel-Portnummen, Protokoll). Das Überqueren der Schwellenwert-Obergrenze durch irgendeinen dieser Parameter kann einen Kontakt mit dem Kontroll-Server auslösen. Die Kontaktnachricht an den Kontroll-Server kann die gecachede Historie der überwachten Parameter enthalten, die einen oder mehrere der oben erörterten Parameter einschließen. Der Kontroll-Server kann die empfangenen Statistiken analysieren und potentielle Aktionen festlegen. Wenn zum Beispiel die wesentliche Erhöhung der CPU-Ladung oder der RAM-Benutzung von der Steigerung in der Anzahl an Datensitzungen begleitet wird, kann dies ein starkes Indiz dafür sein, dass ein Dos-(Denial of Service; Dienstverweigerungs)-Angriff im Gange ist. Zur Entschärfung bzw. Schadensminimierung des Angriffs spezifiziert der Kontroll-Server die notwendigen adaptiven Filter für den Kontrollpunkt für den ankommenden oder abgehenden IP-Verkehr (in Abhängigkeit davon, ob der Angriff vom WAN oder LAN kommt): z.B. „Alle neuen Sitzungen verweigern, die von einem Nicht-Betreiber-Adressenraum stammen,“ und/oder „Verdächtige aktive Datensitzungen fallen lassen, die von einem Nicht-Betreiber-Adressraum stammen“. Der Kontroll-Server kann die neuen Filter an die Vorrichtung senden, und der Kontroll-Client kann die Filter an entsprechenden Kontrollpunkten entlang des Datenpfads installieren. Dementsprechend wird der ankommende und der abgehende Verkehr den aktualisierten Filterungsregeln unterworfen.
In ähnlicher Weise kann das Überqueren der Untergrenze von Schwellenwerten durch einen oder mehrere der drei erwähnten Parameter einen neuen Kontakt mit dem Kontroll-Server auslösen, der wiederum die Vorrichtung instruieren kann, die früheren Filter zu entfernen, wenn er entsprechend den neuen Statistiken feststellt, dass das DoS-Angriffsrisiko reduziert worden ist. Dies kann Verarbeitungsanforderungen durch den Überwachungs- und Filterungsprozess reduzieren, Speicheranforderungen in Fällen reduzieren, in denen Filter nicht mehr länger benötigt werden, und gestatten, dass Verarbeitungs- und Speicherressourcen für andere Funktionen verwendet werden, was potentiell Reaktionszeiten für zulässigen Verkehr beschleunigt.
8E ist eine Veranschaulichung der Konfiguration einer Benutzungsregelung in einigen Implementierungen. Ein Benutzer oder Betreiber können sich in den Kontroll-Server einloggen (entweder direkt oder über ein Betreiber-Proxy-Portal) und die gewünschten Benutzungsregelungseinstellungen konfigurieren: z.B. „kein Zugriff auf eine Social-Media-Seite nach 23.00 Uhr für den CPE-Client X“; Bereitstellen einer Liste von Seiten oder Domains, die auf die schwarze Liste oder die weiße Liste gesetzt worden sind, pro CPE-Vorrichtung für ein vorgegebenes Zeitfenster; etc. Der Kontroll-Server kann die empfangenen Benutzungsregelungseinstellungen auf die Filterregeln abbilden: „Zugriff auf Social-Media-Domains example.com, example.net nach 23.00 Uhr für die MAC-Adresse X blockieren“, Domain-Namen xyz für die MAC-Adresse X während der Zeit T1 bis T2 blockieren/zulassen, etc. Der Kontroll-Server kann die aufgebauten adaptiven Filter an die Vorrichtung senden. Der Kontroll-Client in der Vorrichtung installiert die empfangenen Filter an entsprechenden Kontrollpunkten entlang des Datenpfads. Ankommender/abgehender Verkehr wird den aktualisierten Filterungsregeln entlang des Datenpfads unterworfen. Die Filter für die Benutzungsregelung werden nach einer späteren Konfiguration durch einen Benutzer oder einen Betreiber geändert.
Eine Überwachungskette kann verwendet werden, um eine Skalierbarkeit und Effizienz in großen Anwendungen bereitzustellen. Der Kontroll-Server kann Informationen über Vorrichtungssicherheitsfähigkeiten von allen Überwachungsvorrichtungen in dem Netzwerk über deren Kontrollagenten sammeln. Die Sicherheitsfähigkeiten können Hardware-/Software-Sicherheits-verarbeitungsprofile, unterstützte Krypto-Suites, etc. umfassen.
Der Server kann Überwachungs- und Filterungsaufgaben unter hierarchischen Netzwerkknoten (z.B. CCAPs, RPDs oder RMDs und CMs) entsprechend deren individuellen Sicherheitsfähigkeiten zuweisen. Der Server kann zum Beispiel in einigen Implementierungen Knoten mit stärkeren Sicherheitsfähigkeiten kritischere Aufgaben zuweisen; oder mehr Kontrollrollen an die Knoten mit stärkeren Sicherheitsfähigkeiten zuweisen, wenn er die hierarchische Überwachungskette unter allen Überwachungsknoten organisiert. In Abhängigkeit von der Verteilung von Vorrichtungssicherheitsfähigkeiten kann die Hierarchie für die Überwachungskette anders als die des physischen Netzwerks sein.
8F veranschaulicht die Abbildung durch den Kontroll-Server von einer physischen Netzwerkhierarchie auf eine Hierarchie der Überwachungskette, wobei ein hypothetisches DOCSIS-Kabelnetzwerk als ein Beispiel verwendet wird. Das Kabelnetzwerk kann einen CCAP-Kern, zwei RPDs (Remote-PHY Devices; Remote-PHY-Vorrichtungen) und 4 CMs (Cable-Modems; Kabelmodem) aufweisen, wobei die Ebenen der Sicherheitsfähigkeiten dieser Vorrichtungen gezeigt sind. Die unterschiedlichen Ebenen von Sicherheitsfähigkeiten können sich aus der spezifischen SoC (Software auf einem Chip) ergeben, die in diesen Vorrichtungen verwendet wird. Unterschiedliche SoCs können zum Beispiel variierende Sicherheits-Hardware- und -Software-Verarbeitungsfunktionen besitzen. Wie gezeigt ist, kann die physische Netzwerkhierarchie verschieden sein von der Hierarchie der Überwachungskette, die stattdessen auf Sicherheitsfähigkeiten jeder Vorrichtung fokussiert sein kann. Somit kann das CM3 zum Beispiel ein Endblattknoten entsprechend einer physischen Aufstellung sein, aber starke Sicherheitsfähigkeiten haben und somit ein primärer Zweigknoten entsprechend einer logischen Aufstellung der Überwachungskette sein. Der CM3 kann wirksam eingesetzt werden, um eine Sicherheitsüberwachung und eine Sicherheitsfunktionalität für seine Nachfolgervorrichtungen in der Hierarchie der Überwachungskette bereitzustellen, und zwar ungeachtet seiner Lage in der physischen Aufstellung.
Wie oben erörtert worden ist, kann das System in einigen Implementierungen böswillige Angreifer oder Software über die Erkennung von abnormalen Verkehrsmustern entdecken. In einigen Implementierungen kann der Kontroll-Server Virenprüfungs-Protokolldaten von Benutzergeräten in dem Heimnetzwerk (z.B. PC) sammeln. Der Server wendet die gesammelten Virenprüfungs-Protokolldaten an, um die Datenverkehrsstatistiken zu kennzeichnen (mit einem Label zu versehen), die von den Heimnetzwerkvorrichtungen (z.B. CM) gesammelt werden, die mit den Benutzergeräten verbunden sind. Der Server führt das Training eines Modells für das maschinelle Lernen mit den gesammelten Verkehrsdaten und zugewiesenen Kennzeichnungen (Labels) durch. Das trainierte Modell kann an die Kontrollagenten der Überwachungsvorrichtungen gesendet werden. Das trainierte Modell in den Überwachungsvorrichtungen wird für einen Schlussfolgerungsvorgang des Systems für das maschinelle Lernen zur Entdeckung von Viren oder einer anderen bösartigen Software oder anderen bösartigen Exploits und von allen unerwünschten Verkehrsmustern verwendet, indem die lokalen Datenverkehrsstatistiken als Eingabedatensätze verwendet werden.
Dementsprechend stellen diese Systeme eine Überwachung und Datenverkehrsfilterung in einer IP-Vorrichtung bereit, die über einen Kontroll-Client kontrolliert werden und die durch einen Cloud-Kontroll-Server unterstützt werden. Sicherheits-Kontrollpunkte sind entlang der IP-Datenpfade innerhalb der Vorrichtung eingerichtet, wobei jeder Kontrollpunkt adaptive Filter bei seinen Eingangsdaten durchsetzt. Der Kontroll-Client empfängt Vorrichtungsanalysedaten von Datenüberwachungsvorrichtungen, die mit verschiedenen Vorrichtungsmodulen verknüpft sind. Die Daten schließen unter anderem Modulstatusinformationen (z.B. Aktivieren/Deaktiveren, Operations- bzw. Vorgangsstatistiken, etc.); Verkehrsstatistiken (z.B. Datenübertragungsrate, Fehlerrate, Datensitzungs-Quell-/-Ziel-Adressen, Datenprotokolle, etc.); und Ressourcennutzungsstatistiken (z.B. CPU-Ladung, aktive Prozesse, Speicherverwendung und Schnittstellenladung) ein. Der Kontroll-Client sendet die gesammelten dynamischen analytischen Informationen an den Kontroll-Server bei Auftreten der vorab definierten Ereignisse. Die Beispiele der Ereignisse umfassen die Folgenden: das Überschreiten der überwachten Parameter von vorab definierten oberen und unteren Schwellenwerten; und/oder das Angeben durch die Schlussfolgerungsresultate aus dem neuronalen Netzwerk einer vorab definierten Klassifikation oder einer Abweichung von einem normalen Verkehrsfluss. Nach dem Empfangen der Analysedaten von dem Kontroll-Client kann der Kontroll-Server eine Analyse der neu empfangenen Informationen sowie auch der in der Vergangenheit empfangenen analytischen Informationen durchführen. Die Analyse kann jede Abnormalität oder jede Betriebsstatusänderung der Vorrichtung entdecken und geeignete adaptive Filter aufbauen, die zu dem Kontroll-Client zurückgesendet werden, um an entsprechenden Kontrollpunkten in Kraft gesetzt zu werden. An den Kontrollpunkten implementieren die adaptiven Filter den Paket- oder Schnittstellen-Zustands-Abgleich gegenüber einem Satz von Abgleichregeln, wobei die abgeglichenen Datenpakete oder die abgeglichene Schnittstelle Filterungsaktionen unterzogen werden.
Abgesehen von dem Abdecken von allgemeinen Filterungsaktionen bei den Datenpaketen (z.B. Verwerfen/Weiterleiten des Pakets) können die Filterungsaktionen auch das Folgende abdecken: Durchführen einer Übertragungsratenregelung, um die Datenübertragungsrate so zu begrenzen, dass sie nicht mehr als ein vorgegebener, dynamisch konfigurierbarer Schwellenwert ist (diese Aktion erlaubt es, dass das Laden von Daten in Schnittstellen und Systeme dynamisch gedrosselt werden kann, wodurch der Verkehr, der in das Netzwerk eingespeist wird, begrenzt wird); Durchführen einer Sitzungszulassungssteuerung bzw. -regelung, indem neue TCP-Sitzungsanfragen akzeptiert oder abgelehnt werden (diese Aktion stellt eine Datendrosselung auf Sitzungsebene bereit, wodurch die Rechenressourcen (CPU und Speicher) begrenzt werden, die für das Verarbeiten der neuen Sitzungen zugewiesen werden); Aktivieren/Deaktivieren der Schnittstelle (diese Aktion steuert bzw. regelt die Aktivierung der gesamten Schnittstelle, um die Datenströme quer durch die Vorrichtung zu regulieren); oder Senden von Berichten an die Cloud (ein Ereignis kann in einem Datenkontrollpunkt erzeugt werden, um Kontrollpunktdaten an den Cloud-Kontroll-Server über den Kontroll-Client zu senden).
Die Entdeckung einer Abnormalität oder einer Vorrichtungs-Betriebsstatusänderung schafft einen Trigger. Die Trigger werden in drei logischen Schichten erzeugt, mit zunehmender Raffinesse. Jede Schicht wird durch ihre zugehörigen Analyseverfahren repräsentiert:

• Statische Konfigurationsverfahren. Die Trigger sind statisch bereitgestellt, und ihre Aktualisierung reflektiert nicht die dynamischen Statusänderungen der Vorrichtung und sie ist nicht daran angepasst;
• Statistische Verfahren. Die Trigger basieren auf der traditionellen statistischen Analyse der gesammelten dynamischen Daten von einer bestimmten Vorrichtung oder von allen anvisierten Vorrichtungen, einschließlich der entsprechenden Historiendaten, die im Laufe der Zeit gesammelt und abgespeichert worden sind; und
• Verfahren für das maschinelle Lernen: Die Trigger ergeben sich aus den Algorithmen für das maschinelle Lernen (z.B. neuronales Netzwerk und Expertensysteme), die auf der Basis der gesammelten dynamischen Daten von einer bestimmten Vorrichtung oder von allen anvisierten Vorrichtungen, einschließlich der entsprechenden Historiendaten, die im Laufe der Zeit gesammelt und abgespeichert worden sind, arbeiten.

Für eine neuronale netzwerkbasierte Implementierung kann die Trainingsphase in dem Kontroll-Server ausgeführt werden, indem die Cloud-Rechenressourcen an die empfangenen analytischen Daten angelegt werden; die Schlussfolgerungsphase kann in der Vorrichtung durch den Kontroll-Client durchgeführt werden. In diesem Fall wird das Schlussfolgerungsergebnis an den Kontroll-Server für die Erzeugung von adaptiven Filtern gesendet.
Um einen sicheren Betrieb zu gewährleisten, führen der Kontroll-Client und der Kontroll-Server eine gegenseitige Authentifizierung und Datenverschlüsselung auf der Basis der Plattform-Sicherheitsmechanismen auf beiden Seiten durch.
Eine Überwachungskette kann quer durch eine Vielzahl von Netzwerkknoten angelegt werden, um eine Skalierbarkeit und Effizienz bereitzustellen. In solchen Implementierungen kann der Kontroll-Server Informationen über Vorrichtungssicherheitsfähigkeiten von allen Überwachungsvorrichtungen in dem Netzwerk über deren Kontrollagenten sammeln. Die Sicherheitsfähigkeiten umfassen Hardware-/Software-Sicherheits-Verarbeitungsprofile, unterstützte Krypto-Suites, etc. Der Server weist Überwachungs- und Filterungsaufgaben unter den hierarchischen Netzwerknoten (z.B. CCAPs, RPDs und CMs) entsprechend deren individuellen Sicherheitsfähigkeiten zu. Insbesondere weist er kritischere Aufgaben den Knoten mit stärkeren Sicherheitsfähigkeiten zu; und weist solchen Knoten mehr Kontrollrollen zu, wenn er die hierarchische Überwachungskette unter allen Überwachungsknoten organisiert.
Verkehrsmuster können überwacht werden und böswilliger Verkehr kann auf der Grundlage von Überwachungsinformationen identifiziert werden, die von den Vorrichtungen empfangen werden. Insbesondere sammelt der Kontroll-Server in einigen Implementierungen die Virenprüfungs-Protokolldaten von Benutzergeräten in dem Heimnetzwerk (z.B. PC). Der Server legt die gesammelten Virenprüfungs-Protokolldaten an, um die Datenverkehrsstatistiken, die von den Heimnetzwerkvorrichtungen (z.B. CM) gesammelt worden sind, die mit den Benutzergeräten verbunden sind, zu kennzeichnen bzw. mit Labeln zu versehen. Der Server führt das Training eines Modells für das maschinelle Lernen mit den Verkehrsdaten und zugehörigen Kennzeichnungen (Labels) durch. Das trainierte Modell wird an die Kontrollagenten der Überwachungsvorrichtungen gesendet. Das trainierte Modell in der Überwachungsvorrichtung wird für den Schlussfolgerungsvorgang des maschinellen Lernens zur Entdeckung von Viren und allen unerwünschten Verkehrsmustern verwendet, indem die lokalen Datenverkehrsstatistiken als Eingabedatensätze verwendet werden.
9 ist ein Ablaufdiagramm einer Implementierung eines Verfahrens für die Cloud-gestützte Überwachung und Filterung unter Verwendung einer skalierbaren Überwachungskette und einer koordinativen Sicherheit. Wie oben in Verbindung mit dem Abschnitt A erörtert worden ist, kann das System eine vertrauenswürdige Kette von Vorrichtungen über eine Hierarchie von gemeinsam genutzten kryptographischen Geheimnissen einrichten. Im Schritt 902 kann der Kontroll-Server Vorrichtungen authentifizieren, die physisch mit dem Kontroll-Server in einer ersten Stufe einer physikalischen Topologie verbunden sind. Die Authentifizierung kann über einen Austausch von Informationen erfolgen, die mit einem gemeinsam genutzten kryptographischen Geheimnis assoziiert sind, wie etwa einen Austausch von verschlüsselten Kennungen, die über das gemeinsam genutzte kryptographische Geheimnis entschlüsselt werden können. Im Schritt 904 kann der Kontroll-Server von einer oder mehreren der Vorrichtungen der ersten Stufe Identifikationen von Authentifizierungen von Vorrichtungen niedrigerer Stufen der physikalischen Hierarchie empfangen (z.B. Vorrichtungen, die mit einer der Vorrichtungen der ersten Stufe verbunden sind). Die Authentifizierungen dieser Vorrichtungen der niedrigeren Stufe und der Vorrichtungen der ersten Stufe können in einer ähnlichen Art und Weise wie die Authentifizierung der Vorrichtungen der ersten Stufe im Schritt 902 durchgeführt werden. Dieser Prozess kann für jede niedrigere Stufe von Vorrichtungen wiederholt werden.
Wenn irgendwelche Vorrichtungen nicht vertrauenswürdig sind (z.B. empfängt der Kontroll-Server keine Identifikation einer erfolgreichen Authentifizierung für irgendeine Vorrichtung), dann kann bzw. können die nicht vertrauenswürdige(n) Vorrichtung(en) im Schritt 906 von der Überwachung ausgeschlossen werden. Andere Schritte für die Schadensminimierung in Bezug auf die Sicherheit können ergriffen werden, die Filterungskommunikationen zu und von der/den nicht vertrauenswürdigen Vorrichtung(en), das Deaktivieren der nicht vertrauenswürdigen Vorrichtung(en) oder das Verhindern auf andere Weise, dass die nicht vertrauenswürdige(n) Vorrichtung(en) Zugang zu dem System erhalten, umfassen.
Beim Schritt 908 kann der Kontroll-Server Sicherheitsfähigkeiten von jeder Vorrichtung empfangen. Die Sicherheitsfähigkeiten können über ein IP-Netzwerk kommuniziert werden, wie dies oben erörtert worden ist. In vielen Implementierungen können Vorrichtungen, wie dies oben erörtert worden ist, unterschiedliche Sicherheitsfähigkeiten haben (zum Beispiel können ältere Vorrichtungen Prozessoren mit einer niedrigeren Fähigkeit, weniger Speicher, etc. haben). Die Vorrichtungen können im Schritt 910 nach Fähigkeit sortiert werden. In einigen Implementierungen können die Vorrichtungen direkt sortiert werden, wohingegen in anderen Implementierungen die Vorrichtungen in Stufen basierend auf vorbestimmten Schwellenwerten sortiert werden. Zum Beispiel können Vorrichtungen, die einen Speicher haben, der größer als ein erster Schwellenwert ist, in einer ersten Stufe platziert werden; Vorrichtungen, die einen Speicher haben, der kleiner als der erste Schwellenwert, aber größer als ein zweiter Schwellenwert ist, können in einer zweiten Stufe platziert werden; und Vorrichtungen, die einen Speicher haben, der kleiner als der zweite Schwellenwert ist, können in einer dritten Stufe platziert werden; etc. Das gleiche Sortieren kann bei einer Prozessorfähigkeit, bei dem Vorhandensein einer kryptographischen Hardware in der Vorrichtung, etc. angewendet werden. In einigen Implementierungen kann jede Eigenschaft oder Fähigkeit einer Vorrichtung eine Punktzahl erhalten, und die Gesamtpunktzahlen können mit Schwellenwerten verglichen werden, um die Vorrichtungen zu sortieren. In Abhängigkeit von der Fähigkeit können die Punktzahlen gewichtet werden oder es können ihnen unterschiedliche Punktgesamtsummen verliehen werden (zum Beispiel das Vorhandensein eines TPM-Moduls in einer Vorrichtung kann bewirken, dass diese eine höhere Punktzahl erhält; oder eine Prozessorgeschwindigkeit kann höher eingeschätzt werden als ein Betrag an freiem Speicher in einer Vorrichtung).
Die Vorrichtungen können zu Stufen einer logischen Sicherheitshierarchie bei den Schritten 912-914 hinzugefügt werden, wobei die Vorrichtungen mit der höchsten Fähigkeit zu der ersten Stufe hinzugefügt werden; Vorrichtungen mit einer niedrigeren Fähigkeit werden als Nachfolger in niedrigeren Stufen hinzugefügt. In Implementierungen mit drei Stufen können Vorrichtungen, die eine mittelmäßige Fähigkeit haben, als Nachfolger der ersten Stufe hinzugefügt werden, wobei Vorrichtungen, die eine niedrige Fähigkeit haben, als Nachfolger der zweiten Stufe hinzugefügt werden. Die Vorrichtungen von niedrigeren Stufen können unter Vorgängerknoten über jegliche geeignete Mittel verteilt werden, wie etwa eine Round-Robin-Verteilung oder eine ausgewogene Verteilung oder eine unausgewogene Verteilung (z.B. wo einige Vorrichtungen, die als eine hohe Fähigkeit aufweisend identifiziert wurden, sogar eine höhere Fähigkeit als andere Vorrichtungen haben, die eine hohe Fähigkeit aufweisen; solche Vorrichtungen mit einer höheren Fähigkeit können zusätzlichen Nachfolgerknoten zugeordnet werden).
Beim Schritt 916 kann der Kontroll-Server angesammelte Überwachungsdaten von jeder der Vorrichtungen der ersten logischen Stufe empfangen, wobei die Überwachungsdaten Daten von jedem der Nachfolgerknoten der Vorrichtungen der ersten logischen Stufe sowie auch von irgendwelchen Nachfolgerknoten dieser Nachfolgerknoten einschließen. Jede Vorrichtung in der Hierarchie kann Überwachungsdaten von ihren Nachfolgern sammeln und ansammeln und die angesammelten Überwachungsdaten und ihre eigenen lokalen Überwachungsdaten an einen Vorgängerknoten weiterleiten. Durch diesen iterativen Prozess kann der Kontroll-Server angesammelte Überwachungsdaten von allen Knoten in einer höchst effizienten und skalierbaren Art und Weise empfangen, wodurch er in der Lage ist, Tausende oder sogar Millionen von Vorrichtungen zu unterstützen.
Beim Schritt 918 kann der Kontroll-Server Sicherheitsrichtlinien, die an jede Stufe angelegt werden sollen, auf der Grundlage der angesammelten Überwachungsdaten erzeugen. In einigen Implementierungen kann der Kontroll-Server ein System für das maschinelle Lernen verwenden, das mit früher empfangenen angesammelten Überwachungsdaten trainiert worden ist, um Sicherheitsrichtlinien zu erzeugen. Solche Implementierungen können verwendet werden, um automatisch ein abnormales oder möglicherweise böswilliges Verhalten zu entdecken. Sicherheitsrichtlinien können wie oben erörtert angewendet werden, und sie können Filter für den Abgleich von Paketen und damit verknüpfte Regeln enthalten, die Weiterleitungs- oder Blockierregeln, Verschlüsselungsregeln, das Aktivieren oder Deaktivieren von Vorrichtungen, etc. umfassen. Beim Schritt 920 können die Sicherheitsrichtlinien den Vorrichtungen der ersten Stufe für die lokale Anwendung und/oder zur Weiterleitung an Vorrichtungen auf niedrigeren Stufen über die logische Hierarchie bereitgestellt werden. Die Sicherheitsrichtlinien können eine Kennung der Vorrichtung bzw. der Vorrichtungen umfassen, für die die Richtlinie bestimmt ist, so dass jede Vorgängervorrichtung in der Hierarchie bestimmen kann, ob die Richtlinie an eine Nachfolgervorrichtung in der Hierarchie weitergeleitet werden soll oder nicht.
Dementsprechend kann dann, wenn eine Vertrauenskette eingerichtet ist, eine Überwachung über eine Überwachungskette, die eine andere logische Hierarchie als eine physische Hierarchie oder Topologie der Vorrichtungen haben kann, in Reaktion auf Fähigkeiten jeder Vorrichtung bereitgestellt werden.
Somit ist die vorliegende Offenbarung in einigen Aspekten auf ein Verfahren für eine hierarchische Überwachungskette von Netzwerkvorrichtungen gerichtet. Das Verfahren umfasst das Empfangen durch eine Kontroll-Server-Vorrichtung von jeder von einer Vielzahl von zusätzlichen Vorrichtungen, die in einer physikalischen mehrstufigen Hierarchie eingesetzt werden, einer Identifikation von Sicherheitsfähigkeiten von jeder von der Vielzahl von zusätzlichen Vorrichtungen, wobei eine erste zusätzliche Vorrichtung auf einer ersten Ebene der physikalischen mehrstufigen Hierarchie eine Identifikation von Sicherheitsfähigkeiten von einer zweiten zusätzlichen Vorrichtung auf einer zweiten, niedrigeren Ebene der physikalischen mehrstufigen Hierarchie weiterleitet. Das Verfahren umfasst auch das Feststellen durch die Kontroll-Server-Vorrichtung, dass eine Sicherheitsfähigkeit der zweiten zusätzlichen Vorrichtung eine Sicherheitsfähigkeit der ersten zusätzlichen Vorrichtung übersteigt. Das Verfahren umfasst auch in Reaktion auf die Feststellung das Zuweisen der zweiten zusätzlichen Vorrichtung zu einer ersten Ebene einer logischen mehrstufigen Hierarchie und der ersten zusätzlichen Vorrichtung zu einer zweiten, niedrigeren Ebene der logischen mehrstufigen Hierarchie durch die Kontroll-Server-Vorrichtung, wobei die erste zusätzliche Vorrichtung ein Nachfolger der zweiten zusätzlichen Vorrichtung in der logischen mehrstufigen Hierarchie ist. Die zweite zusätzliche Vorrichtung wendet eine oder mehrere Sicherheitsrichtlinien auf Daten, die mit der ersten zusätzlichen Vorrichtung durch eine dritte Vorrichtung kommuniziert werden, in Reaktion darauf an, dass die erste zusätzliche Vorrichtung ein Nachfolger der zweiten zusätzlichen Vorrichtung in der logischen mehrstufigen Hierarchie ist.
In einigen Implementierungen umfassen die Sicherheitsrichtlinien das Anwenden von Filterungsrichtlinien auf Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden. In einer weiteren Implementierung werden die Filterungsrichtlinien durch ein System für das maschinelle Lernen der Kontroll-Server-Vorrichtung erzeugt, das ausgehend von einer historischen Aufzeichnung von Daten trainiert worden ist, die von der Vielzahl von zusätzlichen Vorrichtungen kommuniziert worden sind.
In einigen Implementierungen ist die zweite zusätzliche Vorrichtung ein Nachfolger der ersten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie. In einer weiteren Implementierung empfängt die zweite zusätzliche Vorrichtung eine Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, von der ersten zusätzlichen Vorrichtung; und wobei die zweite zusätzliche Vorrichtung die erste zusätzliche Vorrich- tung anweist, eine Untermenge der Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, entsprechend einer Filterungsrichtlinie zu verwerfen. In noch einer weiteren Implementierung weist die zweite zusätzliche Vorrichtung die erste zusätzliche Vorrichtung an, die Untermenge der Pakete in Reaktion darauf zu verwerfen, dass die Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, einen Schwellenwert entsprechend der Filterungsrichtlinie überschreiten.
In einigen Implementierungen ist die zweite zusätzliche Vorrichtung kein Nachfolger der ersten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie. In einer weiteren Implementierung empfängt die zweite zusätzliche Vorrichtung über eine erste Bitübertragungsschicht-Schnittstelle der zweiten zusätzlichen Vorrichtung die Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung über eine zweite Bitübertragungsschicht-Schnittstelle der ersten zusätzlichen Vorrichtung übertragen werden, wobei die erste Bitübertragungsschicht-Schnittstelle nicht mit der zweiten Bitübertragungsschicht-Schnittstelle in Kommunikation steht. In noch einer weiteren Implementierung umfasst das Verfahren das Empfangen durch die Kontroll-Server-Vorrichtung von der ersten zusätzlichen Vorrichtung der Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden; und das Weiterleiten der empfangenen Identifikation durch die Kontroll-Server-Vorrichtung zu der zweiten zusätzlichen Vorrichtung über die erste Bitübertragungsschicht-Schnittstelle. In noch einer anderen Implementierung umfasst das Verfahren das Authentifizieren durch die Kontroll-Server-Vorrichtung der ersten zusätzlichen Vorrichtung unter Verwendung eines ersten gemeinsam genutzten kryptographischen Geheimnisses der Kontroll-Server-Vorrichtung und der ersten zusätzlichen Vorrichtung. In noch einer weiteren Implementierung umfasst das Verfahren das Authentifizieren durch die Kontroll-Server-Vorrichtung einer dritten zusätzlichen Vorrichtung auf der ersten Ebene der physikalischen mehrstufigen Hierarchie unter Verwendung eines zweiten gemeinsam genutzten kryptographischen Geheimnisses der Kontroll-Server-Vorrichtung und der dritten zusätzlichen Vorrichtung, wobei die zweite zusätzliche Vorrichtung ein Nachfolger der dritten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie ist. In noch einer anderen Implementierung umfasst das Verfahren das Empfangen durch die Kontroll-Server-Vorrichtung von der dritten zusätzlichen Vorrichtung einer Anzeige der Authentifizierung der zweiten zusätzlichen Vorrichtung, die durch die dritte zusätzliche Vorrichtung in Reaktion darauf übertragen wird, dass die dritte zusätzliche Vorrichtung die zweite zusätzliche Vorrichtung über ein drittes gemeinsam genutztes kryptographisches Geheimnis der zweiten zusätzlichen Vorrichtung und der dritten zusätzlichen Vorrichtung authentifiziert.
In einem anderen Aspekt ist die vorliegende Offenbarung auf ein System für eine hierarchische Überwachungskette von Netzwerkvorrichtungen gerichtet. Das System weist eine Kontroll-Server-Vorrichtung in Kommunikation mit jeder von einer Vielzahl von zusätzlichen Vorrichtungen auf, die in einer physikalischen mehrstufigen Hierarchie eingesetzt werden. Die Kontroll-Server-Vorrichtung ist dafür konfiguriert, eine Identifikation von Sicherheitsfähigkeiten von jeder von der Vielzahl von zusätzlichen Vorrichtungen zu empfangen, wobei eine erste zusätzliche Vorrichtung auf einer ersten Ebene der physikalischen mehrstufigen Hierarchie eine Identifikation von Sicherheitsfähigkeiten von einer zweiten zusätzlichen Vorrichtung auf einer zweiten, niedrigeren Ebene der physikalischen mehrstufigen Hierarchie weiterleitet. Die Kontroll-Server-Vorrichtung ist des Weiteren dafür konfiguriert, festzustellen, dass eine Sicherheitsfähigkeit der zweiten zusätzlichen Vorrichtung eine Sicherheitsfähigkeit der ersten zusätzlichen Vorrichtung übersteigt. Die Kontroll-Server-Vorrichtung ist des Weiteren dafür konfiguriert, in Reaktion auf die Feststellung die zweite zusätzliche Vorrichtung einer ersten Ebene einer logischen mehrstufigen Hierarchie und die erste zusätzliche Vorrichtung einer zweiten, niedrigeren Ebene der logischen mehrstufigen Hierarchie zuzuweisen, wobei die erste zusätzliche Vorrichtung ein Nachfolger der zweiten zusätzlichen Vorrichtung in der logischen mehrstufigen Hierarchie ist. Die zweite zusätzliche Vorrichtung wendet eine oder mehrere Sicherheitsrichtlinien auf Daten, die mit der ersten zusätzlichen Vorrichtung durch eine dritte Vorrichtung kommuniziert werden, in Reaktion darauf an, dass die erste zusätzliche Vorrichtung ein Nachfolger der zweiten zusätzlichen Vorrichtung in der logischen mehrstufigen Hierarchie ist.
In einigen Implementierungen umfassen die Sicherheitsrichtlinien das Anwenden von Sicherheitsrichtlinien auf Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden. In einer weiteren Implementierung werden die Filterungsrichtlinien durch ein System für das maschinelle Lernen der Kontroll-Server-Vorrichtung erzeugt, das ausgehend von einer historischen Aufzeichnung von Daten trainiert worden ist, die von der Vielzahl von zusätzlichen Vorrichtungen kommuniziert worden sind.
In einigen Implementierungen ist die zweite zusätzliche Vorrichtung ein Nachfolger der ersten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie. In einer weiteren Implementierung epfängt die zweite zusätzliche Vorrichtung eine Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, von der ersten zusätzlichen Vorrichtung; und wobei die zweite zusätzliche Vorrichtung die erste zusätzliche Vorrichtung anweist, eine Untermenge der Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, entsprechend einer Filterungsrichtlinie zu verwerfen. In noch einer weiteren Implementierung weist die zweite zusätzliche Vorrichtung die erste zusätzliche Vorrichtung an, die Untermenge der Pakete in Reaktion darauf zu verwerfen, dass die Pakete, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, einen Schwellenwert entsprechend der Filterungsrichtlinie überschreiten.
In einigen Implementierungen ist die zweite zusätzliche Vorrichtung kein Nachfolger der ersten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie. In einer weiteren Implementierung empfängt die zweite zusätzliche Vorrichtung über eine erste Bitübertragungsschicht-Schnittstelle der zweiten zusätzlichen Vorrichtung die Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung über eine zweite Bitübertragungsschicht-Schnittstelle der ersten zusätzlichen Vorrichtung übertragen werden, wobei die erste Bitübertragungsschicht-Schnittstelle nicht in Kommunikation mit der zweiten Bitübertragungsschicht-Schnittstelle steht. In noch einer weiteren Implementierung ist die Kontroll-Server-Vorrichtung des Weiteren dafür konfiguriert, von der ersten zusätzlichen Vorrichtung die Identifikation von Paketen, die zu oder von der ersten zusätzlichen Vorrichtung übertragen werden, zu empfangen; und die empfangene Identifikation durch die Kontroll-Server-Vorrichtung zu der zweiten zusätzlichen Vorrichtung über die erste Bitübertragungsschicht-Schnittstelle weiterzuleiten. In noch einer anderen Implementierung ist die Kontroll-Server-Vorrichtung des Weiteren dafür konfiguriert, die erste zusätzliche Vorrichtung unter Verwendung eines ersten gemeinsam genutzten kryptographischen Geheimnisses der Kontroll-Server-Vorrichtung und der ersten zusätzlichen Vorrichtung zu authentifizieren. In noch einer weiteren Implementierung ist die Kontroll-Server-Vorrichtung des Weiteren dafür konfiguriert, eine dritte zusätzliche Vorrichtung auf der ersten Ebene der physikalischen mehrstufigen Hierarchie unter Verwendung eines zweiten gemeinsam genutzten kryptographischen Geheimnisses der Kontroll-Server-Vorrichtung und der dritten zusätzlichen Vorrichtung zu authentifizieren, wobei die zweite zusätzliche Vorrichtung ein Nachfolger der dritten zusätzlichen Vorrichtung in der physikalischen mehrstufigen Hierarchie ist. In noch einer anderen Implementierung ist die Kontroll-Server-Vorrichtung des Weiteren dafür konfiguriert, von der dritten zusätzlichen Vorrichtung eine Anzeige der Authentifizierung der zweiten zusätzlichen Vorrichtung zu empfangen, die durch die dritte zusätzliche Vorrichtung in Reaktion darauf übertragen wird, dass die dritte zusätzliche Vorrichtung die zweite zusätzliche Vorrichtung über ein drittes gemeinsam genutztes kryptographisches Geheimnis der zweiten zusätzlichen Vorrichtung und der dritten zusätzlichen Vorrichtung authentifiziert.
C. Computer- und Netzwerkumgebung
Nachdem nun spezifische Ausführungsformen der vorliegenden Lösung erörtert worden sind, kann es hilfreich sein, Aspekte der Betriebsumgebung sowie auch der dazugehörigen Systemkomponenten (z.B. Hardware-Elemente) in Verbindung mit den hier beschriebenen Verfahren und Systemen zu beschreiben. Unter Bezugnahme auf 10A ist eine Ausführungsform einer Netzwerkumgebung dargestellt. In einem kurzen Überblick weist die Netzwerkumgebung ein drahtloses Kommunikationssystem auf, das einen oder mehrere Zugangspunkte 1006, eine oder mehrere Vorrichtungen 1002 für eine drahtlose Kommunikation und eine Netzwerk-Hardware-Komponente 1092 einschließt. Die Vorrichtungen 1002 für eine drahtlose Kommunikation können zum Beispiel Laptop-Computer 1002, Tablets 1002, persönliche Computer bzw. PCs 1002 und/oder Funktelefonvorrichtungen 1002 einschließen. Die Einzelheiten einer Ausführungsform jeder Vorrichtung für eine drahtlose Kommunikation und/oder jedes Zugangspunkts werden ausführlicher unter Bezugnahme auf 10B und 10C beschrieben werden. Die Netzwerkumgebung kann in einer Ausführungsform eine Ad-hoc-Netzwerkumgebung, eine drahtlose Infrastruktur-Netzwerkumgebung, eine Teilnetzumgebung, etc. sein.
Die Zugangspunkte (APs; Access Points) 1006 können betriebsmäßig mit der Netzwerk-Hardware 1092 über Lokalbereichsnetzwerk-Verbindungen gekoppelt sein. Die Netzwerk-Hardware 1092, die einen Router, ein Gateway, einen Switch, eine Bridge, ein Modem, einen System-Controller, eine Anwendung etc. umfassen kann, kann eine Lokalbereichsnetzwerk-Verbindung für das Kommunikationssystem bereitstellen. Jeder der Zugangspunkte 1006 kann eine zugehörige Antenne oder ein Antennen-Array haben, um mit den Vorrichtungen 1002 für eine drahtlose Kommunikation in seinem Bereich kommunizieren zu können. Die Vorrichtungen 1002 für eine drahtlose Kommunikation können sich bei einem bestimmten Zugangspunkt 1006 registrieren, um Dienste von dem Kommunikationssystem (z.B. über eine SU-MIMO- oder MU-MIMO-Konfiguration) zu erhalten. Für direkte Verbindungen (z.B. Punkt-zu-Punkt-Verbindungen) können einige Vorrichtungen 1002 für eine drahtlose Kommunikation direkt über einen zugeordneten Kanal und ein zugeordnetes Kommunikationsprotokoll kommunizieren. Einige der Vorrichtungen 1002 für eine drahtlose Kommunikation können mobil oder relativ statisch im Hinblick auf den Zugangspunkt 1006 sein.
In einigen Ausführungsformen schließt ein Zugangspunkt 1006 eine Vorrichtung oder ein Modul (einschließlich einer Kombination aus Hardware und Software) ein, die es den Vorrichtungen 1002 für eine drahtlose Kommunikation erlaubt, sich mit einem verdrahteten Netzwerk unter Verwendung von Wi-Fi oder anderen Standards zu verbinden. Ein Zugangspunkt 1006 kann manchmal auch als ein Funk-Zugangspunkt (WAP; Wireless Access Point) bezeichnet werden. Ein Zugangspunkt 1006 kann so konfiguriert, entworfen und/oder aufgebaut sein, dass er in einem WLAN (Wireless Local Area Network; drahtlosen Nahbereichsnetzwerk) arbeiten kann. Ein Zugangspunkt 1006 kann in einigen Ausführungsformen an einen Router (z.B. über ein verdrahtetes Netzwerk) als eine eigenständige Vorrichtung angeschlossen werden. In anderen Ausführungsformen kann ein Zugangspunkt eine Komponente eines Routers sein. Ein Zugangspunkt 1006 kann mehreren Vorrichtungen 1002 einen Zugang zu einem Netzwerk bereitstellen. Ein Zugangspunkt 1006 kann zum Beispiel an eine verdrahtete Ethernet-Verbindung angeschlossen werden und drahtlose Verbindungen unter Verwendung von Radiofrequenzverknüpfungen für andere Vorrichtungen 1002 bereitstellen, damit diese diese verdrahtete Verbindung nutzen können. Ein Zugangspunkt 1006 kann so aufgebaut und/oder konfiguriert sein, dass er einen Standard für das Senden und das Empfangen von Daten unter Verwendung von einer oder mehreren Radiofrequenzen unterstützt. Diese Standards und die Frequenzen, die sie verwenden, können durch IEEE (z.B. IEEE 802.11 Standards) definiert sein. Ein Zugangspunkt kann konfiguriert und/oder verwendet werden, um öffentliche Internet-Hotspots zu unterstützen und/oder ein internes Netzwerk zu unterstützen, um die Wi-Fi-Signalreichweite des Netzwerks zu erweitern.
In einigen Ausführungsformen können die Zugangspunkte 1006 für (z.B. heiminterne oder gebäudeinterne) drahtlose Netzwerke (z.B. IEEE 802.11, Bluetooth, ZigBee, jede andere Art von einem auf einer Radiofrequenz basierenden Netzwerkprotokoll und/oder Variationen davon) verwendet werden. Jede der Vorrichtungen 1002 für eine drahtlose Kommunikation kann einen eingebauten Funk einschließen und/oder ist mit einem Funk gekoppelt. Solche Vorrichtungen 1002 für eine drahtlose Kommunikation und/oder Zugangspunkte 1006 können in Übereinstimmung mit den verschiedenen Aspekten der Offenbarung arbeiten, wie diese hierin präsentiert sind, um die Leistung zu verbessern, Kosten und/oder die Größe zu reduzieren und/oder Breitbandanwendungen zu verbessern. Jede der Vorrichtungen 1002 für eine drahtlose Kommunikation kann die Kapazität haben, als ein Client-Knoten zu funktionieren, der Zugang zu Ressourcen (z.B. Daten und eine Verbindung mit vernetzten Knoten wie etwa Servern) über einen oder mehrere Zugangspunkte 1006 sucht.
Die Netzwerkverbindungen können jeden Typ und/oder jede Form von Netzwerk einschließen und können jede der Folgenden einschließen: ein Punkt-zu-Punkt-Netzwerk, ein Rundsendenetzwerk, ein Telekommunikationsnetzwerk, ein Datenkommunikationsnetzwerk, ein Computernetzwerk. Die Topologie des Netzwerks kann eine Bus-, Stern- oder Ring-Netzwerktopologie sein. Das Netzwerk kann von jeder derartigen Netzwerktopologie sein, wie sie den Durchschnittsfachleuten auf dem Gebiet bekannt ist und wie sie in der Lage ist, die hier beschriebenen Vorgänge zu unterstützen. In einigen Ausführungsformen können unterschiedliche Arten von Daten über unterschiedliche Protokolle übertragen werden. In anderen Ausführungsformen können die gleichen Arten von Daten über unterschiedliche Protokolle übertragen werden.
Die Kommunikationsvorrichtung(en) 1002 und der bzw. die Zugangspunkt(e) 1006 können verwendet werden als und/oder ausgeführt werden in jedem Typ und jeder Form von Computervorrichtung, wie etwa ein Computer, eine Netzwerkvorrichtung oder eine Anwendung, die in der Lage sind, in jedem Typ und jeder Form von Netzwerk zu kommunizieren und die hier beschriebenen Vorgänge durchzuführen. 10B und 10C stellen Blockdiagramme einer Computervorrichtung 1000 dar, die für das Praktizieren einer Ausführungsform der Vorrichtungen 1002 für eine drahtlose Kommunikation oder des Zugangspunkts 1006 verwendbar ist. Wie in 10B und 10C gezeigt ist, weist jede Computervorrichtung 1000 eine zentrale Verarbeitungseinheit CPU 1021 und eine Hauptspeichereinheit 1022 auf. Wie in 10B gezeigt ist, kann eine Computervorrichtung 1000 eine Speichervorrichtung 1028, eine Installationsvorrichtung 1016, eine Netzwerkschnittstelle 1018, einen E/A-Controller 1023, Anzeigevorrichtungen 1024a-1024n, eine Tastatur 1026 und ein Zeigegerät 1027 wie etwa eine Maus aufweisen. Die Speichervorrichtung 1028 kann ohne Einschränkung ein Betriebssystem und/oder eine Software enthalten. Wie in 10C gezeigt ist, kann jede Computervorrichtung 1000 auch zusätzliche optionale Elemente wie etwa einen Speicher-Port 1003, eine Bridge 1070, eine oder mehrere Eingabe-/Ausgabe-Vorrichtungen 1030a-1030n (die im Allgemeinen unter Verwendung des Bezugszeichens 1030 bezeichnet werden) und einen Cache-Speicher 1040 in Kommunikation mit der zentralen Verarbeitungseinheit 1021 aufweisen.
Die zentrale Verarbeitungseinheit 1021 ist jegliche logische Schaltung, die auf Anweisungen reagiert und diese verarbeitet, die aus der Hauptspeichereinheit 1022 abgerufen werden.
In vielen Ausführungsformen ist die zentrale Verarbeitungseinheit 1021 durch eine Mikroprozessoreinheit bereitgestellt, wie etwa: durch solche, die von der Firma Intel Corporation mit Sitz in Mountain View, Kalifornien, hergestellt werden; durch solche, die von der Firma International Business Machines mit Sitz in White Plains, New York, hergestellt werden; oder durch solche, die durch die Firma Advanced Micro Devices mit Sitz in Sunnyvale, Kalifornien, hergestellt werden. Die Computervorrichtung 1000 kann auf jedem dieser Prozessoren oder auf irgendeinem anderen Prozessor basieren, die wie hier beschrieben betrieben werden bzw. arbeiten können.
Die Hauptspeichereinheit 1022 kann ein oder mehrere Speicherchips sein, die Daten speichern können und es erlauben, dass auf jede Speicherstelle durch den Mikroprozessor 1021 direkt zugegriffen werden kann, wie etwa jegliche Art oder Variante eines statischen RAM-Speichers (SRAM), eines dynamischen RAM-Speichers (DRAM), eines ferroelektrischen RAM-Speichers (FRAM), eines NAND-Flash-Speichers, eines NOR-Flash-Speichers und von Festkörperlaufwerken (SSD; Solid State Drives). Der Hauptspeicher 1022 kann auf irgendeinem der oben beschriebenen Speicherchips oder auf irgendwelchen anderen verfügbaren Speicherchips basieren, die in der Lage sind, wie hier beschrieben arbeiten zu können. In der in 10B gezeigten Ausführungsform kommuniziert der Prozessor 1021 mit dem Hauptspeicher 1022 über ein Bussystem 1050 (das unten noch ausführlicher beschrieben wird). 10C stellt eine Ausführungsform einer Computervorrichtung 1000 dar, in der der Prozessor direkt mit dem Hauptspeicher 1022 über einen Speicher-Port 1003 kommuniziert. In 10C kann der Hauptspeicher 1002 zum Beispiel ein DRDRAM sein.
10C stellt eine Ausführungsform dar, in der der Hauptprozessor 1021 direkt mit dem Cache-Speicher 1050 über einen sekundären Bus kommuniziert, der manchmal als ein Backside-Bus bzw. Rückseiten-Bus, also ein Bus zwischen Mikroprozessor und prozessorexternem Cache, bezeichnet wird. In anderen Ausführungsformen kommuniziert der Hauptprozessor 1021 mit dem Cache-Speicher 1040 unter Verwendung des Systembusses 1050. Der Cache-Speicher 1040 hat typischerweise eine schnellere Reaktionszeit als der Hauptspeicher 1022 und ist zum Beispiel durch einen SRAM, BSRAM oder EDRAM bereitgestellt. In der in 10C gezeigten Ausführungsform kommuniziert der Prozessor 1021 mit verschiedenen E/A-Vorrichtungen 1030 über einen lokalen Systembus 1050. Es können verschiedene Busse verwendet werden, um die zentrale Verarbeitungseinheit 1021 mit irgendeiner der E/A-Vorrichtungen 1030 zu verbinden, zum Beispiel ein VESA-VL-Bus, ein ISA-Bus, ein EISA-Bus, ein MCA-(Micro Channel Architecture; Mikrokanalarchitektur)-Bus, ein PCI-Bus, ein PCI-X-Bus, ein PCI-Express-Bus oder ein NuBus. Für Ausführungsformen, in denen die E/A-Vorrichtung eine Videoanzeige 1024 ist, kann der Prozessor 1021 einen Advanced Graphics Port (AGP) verwenden, um mit der Anzeige 1024 zu kommunizieren. 10C stellt eine Ausführungsform eines Computers 1000 dar, in der der Hauptprozessor 1021 direkt mit der E/A-Vorrichtung 1030b zum Beispiel über die HYPERTRANSPORT-, RAPIDIO- oder INFINIBAND-Kommunikationstechnologie kommunizieren kann. 10C stellt auch eine Ausführungsform dar, in der lokale Busse und eine direkte Kommunikation gemischt sind: der Prozessor 1021 kommuniziert mit der E/A-Vorrichtung 1030a unter Verwendung eines lokalen Verbindungsbusses, während er mit der E/A-Vorrichtung 1030b direkt kommuniziert.
Eine breite Vielfalt von E/A-Vorrichtungen 1030a-1030n kann in der Computervorrichtung 1000 vorhanden sein. Eingabevorrichtungen schließen Tastaturen, Mäuse, Trackpad-Geräte Trackball- bzw. Rollkugel-Geräte, Mikrofone, Wähleinrichtungen, Touch Pads, Touch Screens und Zeichen-Tablets ein. Ausgabevorrichtungen schließen Videoanzeigen, Lautsprecher, Tintenstrahldrucker, Laserdrucker, Projektoren und Farb-Sublimationsdrucker ein. Die E/A-Vorrichtungen können durch einen E/A-Controller 1023 gesteuert werden, wie in 10B gezeigt ist. Der E/A-Controller kann eine oder mehrere E/A-Vorrichtungen wie etwa eine Tastatur 1026 und ein Zeigegerät 1027, z.B. eine Maus oder einen optischen Stift, steuern. Des Weiteren kann eine E/A-Vorrichtung auch eine Speicherung und/oder ein Installationsmedium 1016 für die Computervorrichtung 1000 bereitstellen. In noch anderen Ausführungsformen kann die Computervorrichtung 1000 USB-Anschlüsse (nicht gezeigt) bereitstellen, um Handheld-USB-Speichervorrichtungen (USB-Speichervorrichtungen im Taschenformat) wie etwa die USB-Flash-Drive-Gerätelinie aufzunehmen, die von der Firma Twintech Industry, Inc. mit Sitz in Los Alamitos, Kalifornien, hergestellt wird.
Unter erneuter Bezugnahme auf 10B kann die Computervorrichtung 1000 jede geeignete Installationsvorrichtung 1016 unterstützen, wie etwa ein Platten -bzw. Diskettenlaufwerk, ein CD-ROM-Laufwerk, ein CD-R/RW-Laufwerk, ein DVD-ROM-Laufwerk, ein Flash-Speicher-Laufwerk, Bandlaufwerke verschiedener Formate, ein USB-Gerät, eine Festplatte, eine Netzwerkschnittstelle oder irgendeine andere Vorrichtung, die für das Installieren von Software und Programmen geeignet ist. Die Computervorrichtung 1000 kann des Weiteren eine Speicherungsvorrichtung wie etwa ein oder mehrere Festplattenlaufwerke oder redundante Arrays von unabhängigen Platten oder Disketten für das Speichern eines Betriebssystems und anderer zugehöriger Software und für das Speichern von Anwendungssoftwareprogrammen wie etwa jegliches Programm oder jegliche Software 1020 zum Implementieren der (z.B. konfiguriert und/oder entworfen für die) Systeme und Verfahren, die hier beschrieben sind. Optional kann auch jede der Installationsvorrichtungen 1016 als die Speicherungsvorrichtung verwendet werden. Zusätzlich können das Betriebssystem und die Software ausgehend von einem urladefähigen bzw. bootfähigen Medium betrieben werden.
Des Weiteren kann die Computervorrichtung 1000 eine Netzwerkschnittstelle 1018 zur Verbindung mit dem Netzwerk 1004 durch eine Vielfalt von Verbindungen einschließen, die Standard-Telefonleitungen, LAN- oder WAN-Verbindungen (z.B. 802.11, T1, T3, 56kb, X.25, SNA, DECNET), Breitbandverbindungen (z.B. ISDN, Frame Relay, ATM, Gigabit Ethernet, Ethernet-over-SONET), drahtlose Verbindungen oder irgendeine Kombination von irgendwelchen oder von allen der oben genannten Verbindungen einschließen, ohne darauf beschränkt zu sein. Verbindungen können unter Verwendung einer Vielfalt von Kommunikationsprotokollen (z.B. TCP/IP, IPX, SPX, NetBIOS, Ethernet, ARCNET, SONET, SDH, FDDI-(Fiber Distributed Data Interface; verteilte Lichtwellenleiter)-Netzschnittstelle, RS232, IEEE 802.11, IEEE 802.11a, IEEE 802.11b, IEEE 802.11g, IEEE 802.11n, IEEE 802.11ac, IEEE 802.11ad, CDMA, GSM, WiMax und direkte asynchrone Verbindungen) hergestellt werden. In einer Ausführungsform kommuniziert die Computervorrichtung 1000 mit anderen Computervorrichtungen 1000' über jede Art und/oder Form von Gateway oder Tunneling-Protokoll wie etwa Secure Socket Layer (SSL) oder Transport Layer Security (TLS). Die Netzwerk-Schnittstelle 1018 kann einen eingebauten Netzwerkadapter, eine Netzwerk-Schnittstellenkarte, eine PCMCIA-Netzwerkkarte, einen Kartenbusnetzwerkadapter, einen drahtlosen Netzwerkadapter, einen USB-Netzwerkadapter, ein Modem oder irgendeine andere Vorrichtung umfassen, die dafür geeignet ist, die Computervorrichtung 1000 mit irgendeiner Art von Netzwerk zu koppeln, das in der Lage ist, zu kommunizieren und die hier beschriebenen Vorgänge durchzuführen.
In einigen Ausführungsformen kann die Computervorrichtung 1000 eine oder mehrere Anzeigevorrichtungen 1024a-1024n aufweisen oder damit verbunden sein. Somit kann jede von den E/A-Vorrichtungen 1030a-1030n und/oder der E/A-Controller 1023 jede Art und/oder Form von geeigneter Hardware, Software oder eine Kombination aus Hardware und Software aufweisen, um die Verbindung und die Verwendung der Anzeigevorrichtung(en) 1024a-1024n durch die Computervorrichtung 1000 zu unterstützen, zu aktivieren oder bereitzustellen. Die Computervorrichtung 1000 kann zum Beispiel jede Art und/oder Form von Videoadapter, Videokarte, Treiber und/oder Bibliothek für die Verbindung, die Kommunikation und den Anschluss oder die anderweitige Verwendung der Anzeigevorrichtung(en) 1024a-1024n einschließen. In einer Ausführungsform kann ein Videoadapter mehrere Anschlüsse für die Verbindung mit der/den Anzeigevorrichtung(en) 1024a-1024n aufweisen. In anderen Ausführungsformen kann die Computervorrichtung 1000 mehrere Videoadapter aufweisen, wobei jeder Videoadapter an die Anzeigevorrichtung(en) 1024a-1024n angeschlossen ist. In einigen Ausführungsformen kann jeder Abschnitt des Betriebssystems der Computervorrichtung 1000 dafür konfiguriert sein, mehrere Anzeigen 1024a-1024n zu verwenden. Ein Durchschnittsfachmann auf dem Gebiet wird die verschiedenen Möglichkeiten und Ausführungsformen, in denen eine Computervorrichtung 1000 konfiguriert sein kann, um eine oder mehrere Anzeigevorrichtungen 1024a-1024n zu haben, erkennen und schätzen.
In weiteren Ausführungsformen kann eine E/A-Vorrichtung 1030 eine Bridge bzw. Brücke zwischen dem Systembus 1050 und einem externen Kommunikationsbus, wie etwa ein USB-Bus, ein Apple Desktop-Bus, eine RS-232-Reihenschaltung, ein SCSI-Bus, ein FireWire-Bus, ein FireWire 1000-Bus, ein Ethernet-Bus, ein AppleTalk-Bus, ein Gigabit Ethernet-Bus, ein Asynchronous-Transfer-Mode-(synchroner Übertragungsmodus)-Bus, ein Glasfaserkanal-Bus, ein seriell angebrachter Systemschnittstellen-Bus für kleine Computer, ein USB-Anschluss oder ein HDMI-Bus, sein.
Eine Computervorrichtung 1000 der Sorte, die in 10B und in 10C dargestellt ist, kann unter der Steuerung eines Betriebssystems arbeiten, wobei diese Steuerung Aufgaben und den Zugang zu Systemressourcen plant. Die Computervorrichtung 1000 kann mit jedem Betriebssystem arbeiten, wie etwa mit irgendeiner der Versionen der MICROSOFT WINDOWS-Betriebssysteme, den verschiedenen Freigaben der Unix- und Linux-Betriebssysteme, jeder Version des MAC OS für Macintosh-Computer, jedem eingebetteten Betriebssystem, jedem Echtzeit-Betriebssystem, jedem Open-Source-Betriebssystem, jedem proprietäres Betriebssystem, jedem Betriebssystem für mobile Computervorrichtungen oder jedem anderen Betriebssystem, das auf der Computervorrichtung laufen kann und die hier beschriebenen Vorgänge durchführen kann. Typische Betriebssysteme umfassen, ohne darauf beschränkt zu sein; Android, produziert von der Firma Google Inc.; WINDOWS 7 und 8, produziert von der Firma Microsoft Corporation, mit Sitz in Redmond, Washington; MAC OS, produziert von der Firma Apple Computer, mit Sitz in Cupertino, Kalifornien; WebOS, produziert von der Firma Research In Motion (RIM); OS/2, produziert von der Firma International Business Machines, mit Sitz in Armonk, New York; und Linux, ein frei verfügbares Betriebssystem, das von der Firma Caldera Corp., mit Sitz in Salt Lake City, Utah, vertrieben wird, oder jede Art und/oder Form eines Unix-Betriebssystems, unter anderen.
Das Computersystem 1000 kann jede Workstation, jedes Telefon, jeder Schreibtischcomputer, jeder Laptop- oder Notebook-Computer, jeder Server, jeder tragbare Computer, jedes Mobiltelefon oder jede andere tragbare Telekommunikationsvorrichtung, jedes Medienwiedergabegerät, ein Spielsystem, jede mobile Computervorrichtung oder jede andere Art und/oder Form einer Computer-, Telekommunikations- oder Medienvorrichtung, die kommunizieren kann, sein. Das Computersystem 1000 hat ausreichend Prozessorleistung und Speicherkapazität, um die hier beschriebenen Vorgänge durchzuführen.
In einigen Ausführungsformen kann die Computervorrichtung 1000 unterschiedliche Prozessoren, Betriebssysteme und Eingabevorrichtungen haben, die mit der Vorrichtung konsistent sind. So ist die Computervorrichtung 1000 in einer Ausführungsform ein Smartphone, ein mobiles Gerät, ein Tablet oder ein persönlicher digitaler Assistent. In noch anderen Ausführungsformen ist die Computervorrichtung 1000 ein auf Android basierendes mobiles Gerät, ein iPhone-Smartphone, das von der Firma Apple Computer mit Sitz in Cupertino, Kalifornien, hergestellt wird, oder ein Blackberry oder ein WebOS-basiertes Gerät im Taschenformat oder Smartphone, wie etwa die Geräte, die von der Firma Research In Motion Limited hergestellt werden. Darüber hinaus kann die Computervorrichtung 1000 jede Workstation, jeder Schreibtischcomputer, jeder Laptop- oder Notebook-Computer, jeder Server, jeder Computer im Taschenformat, jedes Mobiltelefon, jeder andere Computer oder jede andere Form von Computer- oder Telekommunikationsvorrichtung sein, die kommunizieren kann und die ausreichend Prozessorleistung und Speicherkapazität hat, um die hier beschriebenen Vorgänge durchzuführen.
Obwohl die Offenbarung einmal oder mehrmals auf „Benutzer“ Bezug nehmen kann, können sich solche „Benutzer“ auf benutzerassoziierte Vorrichtungen bzw. Geräte oder Stationen (STAs) beziehen, zum Beispiel konsistent mit den Begriffen „Benutzer“ und „Multi-Benutzer“, die typischerweise in dem Kontext einer MU-MIMO-(Multi-User Multiple-Input and Multiple-Output; Multi-Benutzer, mehrere Eingänge und mehrere Ausgänge)-Umgebung verwendet werden.
Obwohl Beispiele von Kommunikationssystemen, die oben beschrieben worden sind, Vorrichtungen und Zugangspunkte einschließen können, die entsprechend einem 802.11-Standard arbeiten, sollte es klar sein, dass Ausführungsformen der Systeme und Verfahren, die beschrieben worden sind, auch entsprechend anderen Standards arbeiten können und andere drahtlose Kommunikationsvorrichtungen als diejenigen Vorrichtungen, die als Vorrichtungen und Zugangspunkte konfiguriert sind, verwenden können. Zum Beispiel können Mehreinheiten-Kommunikationsschnittstellen, die mit zellularen Netzwerken, Satellitenkommunikationen, Fahrzeugkommunikationsnetzwerken und andernen Nicht-802.11-Drahtlos-Netzwerken verknüpft sind, die hier beschriebenen Systeme und Verfahren verwenden, um eine verbesserte Gesamtkapazität und/oder Verbindungsqualität zu erzielen, ohne von dem Schutzumfang der hier beschriebenen Systeme und Verfahren abzuweichen.
Es sollte angemerkt werden, dass gewisse Passagen der vorliegenden Offenbarung auf Begriffe wie etwa ein „erster“ und „zweiter“ in Verbindung mit Vorrichtungen bzw. Geräten, mit einem Betriebsmodus, mit Übertragungsketten, Antennen, etc. zum Zwecke der Identifizierung oder Differenzierung des einen von einem anderen oder von anderen Bezug nehmen kann. Diese Begriffe sind nicht dazu gedacht, sich vorübergehend oder gemäß einer Reihenfolge lediglich auf Entitäten zu beziehen (z.B. eine erste Vorrichtung und eine zweite Vorrichtung), obwohl in einigen Fällen diese Entitäten eine solche Beziehung einschließen können. Noch begrenzen diese Begriffe die Anzahl an möglichen Entitäten (z.B. Vorrichtungen bzw. Geräte), die innerhalb eines Systems oder einer Umgebung arbeiten können.
Es sollte klar sein, dass die oben beschriebenen Systeme mehrere von einer oder jeder dieser Komponenten bereitstellen können und dass diese Komponenten entweder in einer einzelnen Maschine oder in einigen Ausführungsformen in mehreren Maschinen in einem verteilten System bereitgestellt sein können. Außerdem können die oben beschriebenen Systeme und Verfahren als ein oder mehrere computerlesbare Programme oder ausführbare Anweisungen bereitgestellt werden, die in einem oder mehreren Erzeugnissen verkörpert sind. Dieses Erzeugnis kann eine Floppy Disk, eine Festplatte, eine CR-ROM, eine Flash-Speicherkarte, ein PROM, ein RAM, ein ROM oder ein Magnetband sein. Im Allgemeinen können die computerlesbaren Programme in jeder Programmiersprache implementiert sein, wie etwa LISP, PERL, C, C++, C#, PROLOG, oder in jeder Byte-Code-Sprache wie etwa JAVA. Die Softwareprogramme oder ausführbaren Anweisungen können auf oder in einem Erzeugnis oder mehreren Erzeugnissen als Objektcode gespeichert sein.

Claims

System für eine koordinative Sicherheit quer durch mehrschichtige Netzwerke, das Folgendes aufweist: einen Sicherheitsagenten, der durch eine erste Vorrichtung ausgeführt wird, in Kommunikation mit einer zweiten Vorrichtung und einer dritten Vorrichtung, wobei sich jede von der ersten Vorrichtung, der zweiten Vorrichtung und der dritten Vorrichtung in einem mehrschichtigen Netzwerk befindet, wobei die erste Vorrichtung und die zweite Vorrichtung ein erstes gemeinsam genutztes kryptographisches Geheimnis haben und die erste Vorrichtung und die dritte Vorrichtung ein zweites gemeinsam genutztes kryptographisches Geheimnis haben; wobei der Sicherheitsagent dafür konfiguriert ist, eine Authentifizierung mit der zweiten Vorrichtung über das erste gemeinsam genutzte kryptographische Geheimnis und mit der dritten Vorrichtung über das zweite gemeinsam genutzte kryptographische Geheimnis durchzuführen; wobei die erste Vorrichtung und die zweite Vorrichtung über eine erste Bitübertragungsschicht-Verbindung verbunden sind; und wobei die erste Vorrichtung und die zweite Vorrichtung Daten auf einer Schicht oberhalb der Bitübertragungsschicht über eine zweite Verbindung über eine vierte Vorrichtung kommunizieren, die als ein Proxy agiert.
System nach Anspruch 1, wobei die erste Vorrichtung der Vorgänger der zweiten Vorrichtung in dem mehrschichtigen Netzwerk ist; und wobei die dritte Vorrichtung der Vorgänger der ersten Vorrichtung in dem mehrschichtigen Netzwerk ist.
System nach Anspruch 1, wobei der Sicherheitsagent der ersten Vorrichtung mit der zweiten Vorrichtung und der dritten Vorrichtung über die vierte Vorrichtung kommuniziert, die als der Proxy agiert.
System nach Anspruch 1, wobei eine Authentifizierungsanforderung, die mit dem ersten gemeinsam genutzten kryptographischen Geheimnis verknüpft ist, an die erste Vorrichtung durch die vierte Vorrichtung über eine Verbindung zwischen der ersten Vorrichtung und der vierten Vorrichtung kommuniziert wird, wobei die vierte Vorrichtung die Authentifizierungsanforderung von der zweiten Vorrichtung an die erste Vorrichtung weiterleitet.
System nach Anspruch 3, wobei der Sicherheitsagent der ersten Vorrichtung des Weiteren dafür konfiguriert ist, der vierten Vorrichtung eine Identifikation einer erfolgreichen Authentifizierung der zweiten Vorrichtung bereitzustellen.
System nach Anspruch 3, wobei die vierte Vorrichtung ein Sicherheitsportal aufweist.
System nach Anspruch 3, wobei der Sicherheitsagent der ersten Vorrichtung dafür konfiguriert ist, der vierten Vorrichtung Sicherheitsmessdaten bereitzustellen, wobei die vierte Vorrichtung die Sicherheitsmessdaten mit Sicherheitsmessdaten von der zweiten Vorrichtung und der dritten Vorrichtung korreliert.