JP6276358B2 - ミドルウェアマシン環境においてサブマネジメントパケット(smp)のトラフィックの保護をサポートするためのシステムおよび方法 - Google Patents

ミドルウェアマシン環境においてサブマネジメントパケット(smp)のトラフィックの保護をサポートするためのシステムおよび方法 Download PDF

Info

Publication number
JP6276358B2
JP6276358B2 JP2016186926A JP2016186926A JP6276358B2 JP 6276358 B2 JP6276358 B2 JP 6276358B2 JP 2016186926 A JP2016186926 A JP 2016186926A JP 2016186926 A JP2016186926 A JP 2016186926A JP 6276358 B2 JP6276358 B2 JP 6276358B2
Authority
JP
Japan
Prior art keywords
smp
smps
switch
key
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016186926A
Other languages
English (en)
Other versions
JP2017059242A (ja
Inventor
ヨンセン,ビョルン−ダグ
アルンツェン,ロイ
フセ,ラーズ・ポール
ブリーン,デイビッド
トルドバッケン,オラ
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2017059242A publication Critical patent/JP2017059242A/ja
Application granted granted Critical
Publication of JP6276358B2 publication Critical patent/JP6276358B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

著作権に関する注意
本特許文献の開示の一部には、著作権保護の対象となるものが含まれている。著作権者は、この特許文献または特許開示の何人かによる複製が、特許商標庁の特許ファイルまたは記録にある限り、それに対して異議を唱えないが、そうでなければ、いかなる場合もすべての著作権を保有する。
発明の分野:
本発明は、概してコンピュータシステムおよびミドルウェアのようなソフトウェアに関し、特にミドルウェアマシン環境をサポートすることに関する。
背景:
相互接続ネットワークは、次世代のスーパコンピュータ、クラスタ、およびデータセンタにおいて有益な役割を果たす。インフィニバンド(登録商標)(InfiniBand:IB)技術のような高性能のネットワーク技術は、高帯域幅および少ない待ち時間が重要な要件である高性能コンピューティングドメインにおいて独自のまたは低性能の解決手段に取って代わりつつある。たとえば、IB装置は、ロスアラモス国立研究所(Los Alamos National Laboratory)のロードランナー(Roadrunner)、テキサスアドバンスコンピュータセンタ(Texas Advanced Computing Center)のレンジャー(Ranger)、およびユーリヒ総合研究機構(Forschungszcntrum Juelich)のジュロパ(JuRoPa)のようなスーパコンピュータに用いられる。
IBは、フューチャ(Future)I/Oおよびネクストジェネレーション(Next Generation)I/Oと呼ばれる2つの古い技術を統合して2000年10月に最初に標準化された。その少ない待ち時間、高帯域幅、およびホスト側のプロセス資源の効率的な利用のために、大型で拡張可能なコンピュータクラスタを構築するための解決手段として高性能コンピューティング(High Performance Computing::HPC)コミュニティで受け入れられつつある。事実上のIBのためのシステムソフトウェアは、オープンファブリクス企業配布(OpenFabrics Eenterprise Distribution:OFED)であり、それは、献身的な専門家によって開発され、オープンファブリクス提携(OpenFabrics Alliance)によって維持される。OFEDは、オープンソースであり、GNU/リナックス(Linux)(登録商標)とマイクロソフトウィンドウズ(Microsoft Windows)(登録商標)との両方で使用できる。
要約:
本明細書では、ミドルウェアマシン環境におけるサブネットマネジメントパケット(SMP:subnet management packet)のファイアウォールの制限をもたらすためのシステムおよび方法について説明する。安全なファームウェアの実装は、ホストチャンネルアダプタ(HCA:Host Channel Adaptor)で提供され得、HCAは、ミドルウェアマシン環境のホストに関連付けられる。安全なファームウェアの実装は、ホストからの、またはホストに宛てられた少なくとも1つのSMPを受信するように動作し、ホストが少なくとも1つのSMPを送信または受信することを防止するように動作する。さらに、安全なファームウェアの実装は、ホストの代わりに外部マネジメントコンポーネントと通信できるプロキシ機能を含んでもよい。
また、本明細書では、ミドルウェアマシン環境におけるスイッチベースのサブネットマネジメントパケット(SMP)のトラフィックの保護をもたらすためのシステムおよび方法について説明する。ミドルウェアマシン環境は、サブネットマネジメントエージェント(SMA)のコンポーネントに宛てられた少なくとも1つのSMPを受信するように動作するネットワークスイッチを含む。ネットワークスイッチは、少なくとも1つのSMPが正確なマネジメントキーを含んでいるかどうかをチェックでき、少なくとも1つのSMPが正確なマネジメントキーを含まない場合に、少なくとも1つのSMPが宛てられたSMAに転送されることを防止する。さらに、ネットワークスイッチは、外部ポートごとに異なるマネジメントキーを特定でき、入口および出口のSMPのトラフィックの別個の制限を固有の外部ポートで強制できる。
本発明の一実施の形態に従うミドルウェアマシンのプラットフォームにおけるマネジメントキーの保護モデルをサポートしていることを示す図である。 本発明の一実施の形態に従うミドルウェアマシン環境におけるSMPのファイアウォール制限をもたらしていることを示す図である。 本発明の一実施の形態に従うミドルウェアマシン環境におけるSMPのファイアウォール制限をもたらすためのフローチャートの一例を示す。 本発明の一実施の形態に従うミドルウェアマシン環境におけるスイッチベースのSMPのトラフィックの保護をもたらしていることを示す図である。 本発明の一実施の形態に従うミドルウェアマシン環境におけるスイッチベースのSMPのトラフィックの保護を提供するためのフローチャートの一例を示す。
詳細な説明:
本明細書では、ミドルウェアマシンまたは同様のプラットフォームを提供するためのシステムおよび方法について説明する。本発明の一実施の形態に従うと、本システムは、たとえば64ビットプロセッサ技術、高性能大型メモリ、ならびに冗長インフィニバンドおよびイーサネット(登録商標)ネットワーキングといった高性能ハードウェアと、ウェブロジックスイート(WebLogic Suite)といったアプリケーションサーバまたはミドルウェア環境との組合せを備えることにより、完全なJava(登録商標) EEアプリケーションサーバ複合体を提供する。この複合体は、大規模並列処理インメモリグリッド(massively parallel in-memory grid)を含み、素早くプロビジョニングすることができ、要求に応じて拡大縮小できる。一実施の形態に従うと、本システムは、アプリケーションサーバグリッド、ストレージエリアネットワーク、およびインフィニバンド(IB)ネットワークを提供する、フルの、2分の1の、もしくは4分の1のラックまたはその他の構成として準備できる。ミドルウェアマシンソフトウェアは、アプリケーションサーバの、ミドルウェアの、または、たとえばウェブロジック(WebLogic)サーバ、ジェイロキット(JRockit)もしくはホストポット(Hostpot)JVM、オラクルリナックス(Linux)(登録商標)もしくはソラリス(Solaris)、およびオラクルVMといった他の機能の実行を提供できる。一実施の形態に従うと、本システムは、IBネットワークを介して互いに通信する、複数のコンピュータノード、IBスイッチゲートウェイ、およびストレージノードまたはユニットを含んでもよい。ラック構成として実装された場合には、その未使用部分は、空のままであってもよく、または、フィラー(filler)によって占められてもよい。
本願明細書において「サンオラクルエクサロジック(Sun Oracle Exalogic」または「エクサロジック(Exalogic)」と称される本発明の一実施の形態に従うと、本システムは、オラクルミドルウェアSWスイート(Oracle Middleware SW suite)またはウェブロジック(Weblogic)といったミドルウェアまたはアプリケーションサーバソフトウェアをホスティングするための、展開が容易なソリューションである。本明細書に記載されるように、一実施の形態に従うと、本システムは、1つ以上のサーバと、ストレージユニットと、ストレージネットワーキングのためのIBファブリックと、ミドルウェアアプリケーションをホストするために要求されるすべての他のコンポーネントとを備える「グリッド・イン・ア・ボックス(grid in a box)」である。たとえば、リアルアプリケーションクラスタ(Real Application Clusters)およびエクサロジックオープンストレージ(Exalogic open storage)を用いて大規模並列グリッドアーキテクチャを活用することにより、すべてのタイプのミドルウェアアプリケーションのために有意な性能が与えられ得る。本システムは、リニアI/Oスケーラビリティ(linerar I/O scalability)とともに向上した性能を与え、使用および管理が簡易であり、重要な役割を担う(mission-critical)可用性および信頼性を与える。
M_キーの保護モデル
図1は、本発明の一実施の形態に従うミドルウェアマシンのプラットフォームにおけるマネジメントキーの保護モデルのサポートを示す図である。図1に示されるように、M_キー102のようなマネジメントキーは、IBファブリック(またはIBサブネット)100を保護するために用いられ得る。M_キー102の値は、ファブリックアドミニストレイタ110しか知らないことがあり、ファブリックアドミニストレイタ110は、IBサブネット/ファブリック100の、スイッチ103−104と、指定されたサブネットマネージャ(SM)ノード101とへのアドミニストレイタアクセスをすることができる。M_キー102の完全性は、たとえばデータセンタにおけるIBサブネット/ファブリック100のスイッチ103−104の物理的なアクセス保護と、ファブリックアドミニストレイタ110によって用いられるファブリックレベルのアドミニストレイタパスワードの完全性とに依存する。
IBファブリック100において、HCA121−124における安全なHCAファームウェアの実装により、適切に定義された様々なファブリックノードのタイプおよび識別(identity)を保持することができる。HCA121−124の各々は、サブネットマネジメントエージェント(SMA)のコンポーネント131−134を実装でき、各SMAのコンポーネントは、M_キー141−144に関連付けられ得る。さらに、接続されたスイッチA103およびB104は、ファブリックアドミニストレイタ110によってコントロールされ得る。それゆえに、任意の不正なSMAの実装131−134は、ファブリックアドミニストレイタ110が定義し、IBサブネット/ファブリック100で用いられるM_キー102値を危殆化しないかもしれない。
ミドルウェアマシンのプラットフォームにおける安全なHCAファームウェアの実装を用いる様々な実施の形態のさらに他の説明が、2012年6月4日に出願された「インフィニバンド(IB)ネットワークにおける安全なサブネットマネジメントエージェント(SMA)を提供するためのシステムおよび方法」と題された米国特許出願第13/487,973号において提供され、その出願は、引用により本出願に援用される。
さらに、ファブリックアドミニストレイタ110は、IBサブネット/ファブリック100の新しいM_キー値102がスイッチ103−104に帯域外でインストールされることを確実にできる(対応するサブネットマネージャインスタンス101のためにも)。さらに、ファブリックアドミニストレイタ110は、無限のM_キー102のリース時間(lease time)がスイッチ103−104に存在することを確実にする。それゆえに、ホストベースのソフトウェア161−164、たとえば、(オペレーティングシステム151−154を含む)異なるホスト111−114のホストベースのサブネットマネージャは、IBサブネット/ファブリック100の任意のスイッチ103−104のコントロールをハイジャック(hijack)できない。
本発明の一実施の形態に従えば、単一のM_キー102の値(または、M_キー値の単一の組)は、IB仕様で定義されたアクセス制限に基づいて、IBサブネット/ファブリック100における様々なノードのために用いられ得る。現在のM_キー102の正確な値は、M_キー102を読み込む前、または更新する前に特定される必要があるかもしれない。なぜならば、安全なHCAファームウェアは、ローカルHCA121−124に割り当てられ「読み込み保護された」M_キーがローカルホストベースのソフトウェアから見えないことを確実にできるからである。
さらに、HCAポートの現在のM_キー値がランタイム(run-time)で定義されている場合には、異なるホスト111−114上のローカルソフトウェア161−164は、それ自身のM_キー値をセットアップすることによって、HCAポートをハイジャックできる可能性がある。また、ホストローカルソフトウェア161−164は、たとえば、指定されたサブネットマネージャ101がHCA121−124のために任意のM_キー102をセットアップする前に、指定されたサブネットマネージャ101のためにHCAポートをマネジメントできないようにする。
本発明の一実施の形態に従えば、指定されたサブネットマネージャ101は、未知のM_キー値を有する任意のHCAを無視でき、対応するリンクを初期化されないままにできる。ハイジャックされたHCAポートのM_キーにおけるただ1つの影響は、HCAポートが動作できないようになる可能性があることであり、指定されたサブネットマネージャ101は、通常の通信、すなわち、SMP/VL15を基にしない通信、を用いるこのHCAポートを介してホストベースのソフトウェアが通信することを妨げ得る。
さらに、ホストソフトウェア111−114がローカルHCAのM_キー値を危殆化する場合には、問題を起こしているホストソフトウェアは、HCAポートを、活性化されたローカル識別子(LID)およびパーティションメンバシップ(partition membership)を有する動作状態にさせることができ得る。そのような場合において、もしHCA121−124に接続するスイッチ103−104のスイッチポートが、ローカルHCA M_キー値を危殆化したホストソフトウェア111−114に知られていない異なるM_キー値によってコントロールされるならば、その時には、問題を起こしているホストソフトウェア111−114は、リンクを、通常のデータトラフィックを可能にする完全な動作状態にできない可能性がある。
本発明の一実施の形態に従えば、IBファブリック100は、様々な潜在的に脅威的な状況を回避するために、様々なホスト111−114の間の直接ルート(direct route)のSMPを防止できる。ある状況において、ホスト、たとえば、ホスト111は、遠隔のホスト112および/または遠隔のHCA122がリセットされた後に、遠隔のホスト、たとえば、112のHCAポートのM_キーをハイジャックするために直接ルートのSMPを使用できる。これにより、遠隔のHCA122ポートは、SM101からアクセスできなくなり、それによって、遠隔のホスト112が通常のIB通信に加わること、すなわち、サービス妨害(Dos)攻撃、を防止できる。別の状況において、2つのホスト、たとえば、ホスト111およびホスト114、がハッカーによって危殆化された場合において、直接ルートのSMPに依存するIBファブリック100における協同管理は、2つの危殆化されたホストが直接ルートのSMPを用いる情報を交換することを可能にしてもよい。
IBファブリック100は、直接ルートのSMPに依存することなしに異なるホスト111−114間で情報を交換するために共同管理をサポートしてもよい。たとえば、ホストのためのアドミニストレイタは、IBファブリック100における直接ルートのSMPに依存する代わりに、インターネットの共有ウェブページにアクセスできる。ファブリックのセキュリティの観点から、直接ルートのSMPをIBファブリック上のセキュリティホールのままにすることは、両方のホストアドミニストレイタがインターネットの共有ウェブページにアクセスすることを可能にするよりもより悪い状況と考えられ得る。
本発明の一実施の形態に従えば、たとえば、M_キー102のリース期間を維持するサブネットマネージャ101についての高い有効性に起因して、HCAポートは、M_キー102に有限のリース時間をセットアップされ得る。それゆえに、M_キー102は、関連付けられたリンクがダウンすることなしに失効し得る。その結果、HCA121−124の状態、たとえば、パーティションメンバシップは、リンクがいまでもアクティブモードであり、関係するポートのためのLIDルートがいまでも動作可能な間に更新され得る。その後、M_キーによる保護がないIBファブリック100は、ハイジャックされたホストと他のパーティションのホストとの間の通常のIBトラフィックを誤って可能にする可能性がある。
さらに、もしリンクがダウンする前にM_キー102が失効すると、ローカルHCA、たとえば、HCA121、と任意の遠隔のHCA、HCA124、との両方はハイジャックされ得、パーティションメンバシップは修正され得る。もし、たとえば、スイッチ103−104などの関連付けられたスイッチポートが、パーティション強制(partition enforcement)を実行するためにセットアップされないならば、要求されていないパーティションメンバシップを有するトラフィックは、ファブリックにおける任意の他のノードに到達できる。
さらに、IBファブリック100内のサブネットマネージャ101は、指定された仮想レーン(VL)、たとえば、VL15バッファリング、に依存して、IBファブリック100を正確にモニターおよびコントロールし、かつIBファブリック100の他のサブネットマネージャと交渉することができる。IBファブリック100内のVL15のバッファリングは共有資源であるので、任意のホストからのSMPのコントロールされていない使用は、DoS攻撃を示し得る。これは、サブネットマネージャ101の動作に影響し得る。なぜならば、IBファブリック100内のM_キーの保護により、ホストが任意のノード上の任意のSMAの状態を変化させることを防止できるからである。それゆえに、IBファブリック100におけるSMPのトラフィックを保護する必要がある。
本発明の一実施の形態に従えば、M_キー102は、ファブリックアドミニストレイタ110によって作成および管理され、スイッチA103およびB104および/またはHCA121−124の安全なメモリに格納され得る。HCA121−124またはスイッチA103およびB104のマイクロプロセッサは、M_キー102を読み出すため、またはM_キー102をメモリに書き込むためにメモリにアクセスできる。
SMPのファイアウォール制限
本発明の一実施の形態に従えば、安全なHCAファームウェアは、SMPのファイアウォール制限を使用して、ホストベースのソフトウェアがローカルまたは遠隔のHCAポートのいずれかをハイジャックすることを防止できる。SMPのファイアウォール制限は、ホストソフトウェアがSMPリクエストをファブリックに送信することを防止でき、さもなければホストソフトウェアに転送されるであろういずれのSMPも拒否できる。
図2は、本発明の一実施の形態に従うミドルウェアマシン環境におけるSMPのファイアウォール制限をもたらしていることを示す。図2に示されるように、ミドルウェアマシン環境200は、1つ以上のホスト203−204と、サブネットマネージャ201に関連付けられるIBファブリック210とを備え得る。ホスト203−204の各々は、HCAファームウェア215−216を実装するHCA211−212を介してIBファブリック210に接続する。
HCAファームウェア215−216は、任意のSMPベースのサービス妨害(DoS)攻撃、たとえば、サブネットマネージャ201の動作を標的にすること、を効果的に防止し、ファブリック200の信頼性のあるノードによるSMPベースのツールを適法に使用することを許可することができるSMPのファイアウォールコンポーネント213−214を含み得る。HCAのSMPファイアウォールコンポーネント213−214は、ホストスタックソフトウェア205−206がSMP220をIBファブリック210に送信することを防止する。さらに、遠隔のノード、たとえば、ホスト204の情報がローカルホストソフトウェア、たとえば、ホストソフトウェア205に不当に提供されることを防止するために、安全なHCAファームウェア215は、さもなければホストソフトウェア205に転送されるであろうIBファブリック210から受信されたSMP230を拒否できる。
さらに、SMPのファイアウォールコンポーネント213−214は、サブネットマネージャ201が動作しない場合に、たとえば、ローカルに接続されたスイッチポートの識別を監視することで、ホストスタックソフトウェア205−206による様々なSMPベースの動作を防止できる。さらに、サブネットマネージャ201からの、ホストスタックソフトウェア205−206、または、ファブリックにおける他の正当なコンポーネントとの任意のSMPベースの通信が防止され得る。
本発明の一実施の形態に従えば、安全なHCAファームウェア215−216は、SMPファイアウォールコンポーネント213−214の一部として、特定のルールを実装し、正当な動作がホストスタックソフトウェア205−206のために可能にされることを確実にできる。これらのルールは、特定のSMPベースのリクエストおよび応答のタイプがタイトにコントロールされた速度で送信され、受信されることを可能にする。さらに、これらのルールは、直接ルートとLIDルートとの両方のSMPの送信元および送信先の制限を定義できる。
さらに、これらのルールは、HCAインスタンス211−212に関連付けられている物理的なホスト203および204を現在コントロールしているハイパーバイザインスタンス、またはOS207および208のSMPベースの認証を可能にできる。ミドルウェアマシンのプラットフォームにおいて、発見されたコンポーネントの認証の様々な実施の形態のさらに他の説明が、2012年6月4日に出願された「インフィニバンド(IB)ネットワークにおいて発見されたコンポーネントの識別を認証するためのシステムおよび方法」と題された米国特許出願第13/488,040号において提供され、その出願は、引用により本出願に援用される。
本発明の一実施の形態に従えば、安全なHCAファームウェア215は、プロキシ機能217−218を実装して、正当な動作がホストスタックソフトウェア205−206のために可能にされることを確実にすることができる。サブネットマネージャ201のような外部マネジメントコンポーネントは、プロキシ機能217−218を介してベンダーのSMP221をホストスタックソフトウェア205−206に送信できる。ホストスタックソフトウェア205−206は、HCAファームウェア215−216とホストスタックソフトウェア205−206との間のローカルの帯域外のインタフェイス223−224を介してプロキシ機能217−218と通信できる。そして、このプロキシ機能217−218は、ホストスタックソフトウェア205−206の代わりに特定の適法な動作を実装する責任を負い、遠隔のファブリックマネジメントコンポーネント、たとえば、サブネットマネージャ201、の代わりにホストスタックソフトウェア205−206と通信する責任を負うことができる。
安全なHCAファームウェア215−216は、認証されていない構成情報の検索からIBファブリック210を保護することができる、たとえば、ローカルホストソフトウェアがグローバルに一意な識別子(GUID)、LID、および、遠隔のIBノードに対するDOS攻撃のための基礎として潜在的に用いられ得るパーティションメンバシップのような遠隔のIBノードについての情報を監視することを防止する)。また、安全なHCAファームウェア215−216は、アクティブなサブネットマネージャのバックで、遠隔のノードに対する正常なデータ通信を可能にするために用いられ得る遠隔のノードについての情報を監視する能力を制限することによって、ローカルホストのアクセスからの、そのローカルM_キー202の設定をローカルHCA211−212が十分に保護することを可能にする。
さらに、安全なHCAファームウェア215−216は、レガシーSMPを基にする診断およびモニタリングツールが信頼性のないホストに用いられるのを防止し得る(または作動しないことがある)。なぜならば、安全なHCAは、信頼性のないホストから送信された任意のSMP動作をブロックできるからである。また、M_キー方式(scheme)は、SMPに依存してレガシーツールを使用する能力を限定し得る、完全な読み込み保護と共に用いられ得る。
さらに、安全なHCAファームウェア215は、信頼性のないホスト間の、認証されていないSMPベースの通信からIBファブリック200を保護できる。安全なHCAファームウェア215は、たとえば、SM201の動作を標的にするDoS攻撃に対して脆弱な認証されていないSMPトラフィックからIBファブリックを保護できる。様々なアドミッションコントロールポリシが異なるホスト203−204のためのSMP注入率(injection rates)を許容レベルに制限できる。代わりに、DOS攻撃をさらに防止するために、たとえば、安全なHCAファームウェアのSMPブロック特徴を活用して、単一のサブネット構成によって、信頼性のないホストからの全てのSMPの動作がブロックされてもよい。
さらに、安全なHCAファームウェア215は、サブネットアドミニストレイタ(SA)のアクセスを標的にするDoS攻撃からIBファブリック210を保護できる。安全なHCAファームウェア215は、SAにアクセスするために、QoS/公正(fairness)および拡張性を保証できる。また、DoSを防止するために、SM201は、たとえば、ある時間間隔のリクエスト速度の閾値を越える、SAリクエストの「過負荷」を生じさせているHCAポートをシャットダウンすることを許され得る。
図3は、本発明の一実施の形態に従うミドルウェアマシン環境におけるSMPのファイアウォール制限をもたらすためのフローチャートの一例を示す。図3に示されるように、ステップ301で、安全なファームウェアの実装が、インフィニバンド(IB)ファブリックに接続するホストチャンネルアダプタ(HCA)で提供され得、HCAは、1つのホストに関連付けられる。その後、ステップ302で、安全なファームウェアの実装は、少なくとも1つのSMPを受信でき、少なくとも1つのSMPは、ホストから受信されるか、ホストに宛てられる。さらに、ステップ303で、安全なファームウェアの実装は、ホストが、少なくとも1つのSMPをIBファブリックに送信すること、またはホストに宛てられた少なくとも1つのSMPを受信することを防止する。
スイッチベースのプロキシM_キー保護
本発明の一実施の形態に従えば、SMPのM_キーチェックは、IBファブリックにおける中間スイッチノードで実行されて、M_キーをセットアップさせない遠隔のHCAポートをローカルスイッチのM_キーの設定が保護できることを確実にすることができる。
図4は、本発明の一実施の形態に従うミドルウェアマシン環境におけるスイッチベースのSMPのトラフィックの保護をもたらしていることを示す。図4に示されるように、ミドルウェアマシン環境400は、HCA402を介してホスト403に接続するIBスイッチ401を含み得る。ホスト403は、オペレーティングシステム407上で動作するホストスタックソフトウェア405を含み得る。IBスイッチ401は、1つ以上のスイッチポート411−416を含んでもよく、各スイッチポートは、個別のノード、またはIBファブリック400におけるエンティティと接続するために用いられ得る、たとえば、スイッチポート411は、HCA402に接続される。
サブネットマネジメントエージェント(SMA)のコンポーネント406は、HCA402のファームウェア404で実装され、スイッチポート411を介してIBファブリック400における他のノードと通信できる。また、IBファブリック400における指定されたサブネットマネージャ408は、直接ルートのSMPリクエストを任意のSMA406に送信することと、SMA406からの直接ルートのSMP応答を受信することとの両方のために、特定のスイッチポート(たとえば、ポート411)を使用できる。
スイッチ401は、全てのHCAがSMPコントロールを有する信頼性のあるファームウェアを有することを要件とすることに依存することなしに、IBファブリック400で生じる意図されていないSMPトラフィックを防止できる。たとえば、スイッチ401は、IBファブリック400のためのファブリックポリシに一致しない直接ルートのSMPトラフィックを除去できる。
スイッチ401は、遠隔のHCAポート402が侵入者によってハイジャックされることを防止するための除去方式(filtering scheme)を使用できる。除去方式は、SMA406の属性を設定することを標的にする任意の直接ルートのSMPリクエストを識別することに基づき得る。さらに、除去方式は、送り先とは独立して、全ての直接ルートのSMPリクエストのために同一のM_キーのチェックを実行でき、SMPがどの宛先を標的にしているかとは独立して直接ルートのSMPリクエストがローカルスイッチ401のために正確なM_キー409を含むことを要件とし得る。
単一のM_キー409は、IBファブリック400で使用され得、IBファブリック400は、スイッチ401と、スイッチ401に直接的に接続するHCAポート402とを含む。もし、ホストスタックソフトウェア405がローカルHCA402を保護するM_キー419を危殆化し得ると、ホストスタックソフトウェア405は、ローカルスイッチ401を保護するM_キー409も危殆化し得る。なぜならば、IBファブリック400における全てのSMPトラフィックは、ローカルスイッチのM_キー409を含むからである。
本発明の一実施の形態に従えば、スイッチ401の実装は、各外部ポートのためのオプションのM_キー値、たとえば、外部ポート411−416のためのM_キー421−426、を特定できる。さらに、スイッチ401の実装は、スイッチポート、たとえば、スイッチポート411、から送信された任意のSMPと、このポートから受信した任意のSMPとが、全て、スイッチポート411のために特定されたM_キー421に一致するM_キー値を有することを確実にできる。さらに、ネットワークスイッチ401は、SMP420が外部ポート414から送信することと、SMP410が外部ポート414で受信することとの個別の制限を強制できる。
このメカニズムを用いることで、スイッチポートに関連付けられている正確なローカルM_キーが特定された場合に、正当なサブネットマネージャ408は、全ての潜在的に信頼性のない遠隔のHCAポートまたは他の潜在的に信頼性のない遠隔ポートがSMPを送信することのみを許され得ることを確実にできる。また、遠隔のポートにアクセスする試みは、遠隔のポートのM_キーがハイジャックされたかどうかとは独立して、そのポートについてサブネットマネージャ408の定義されたM_キーを有することを必要とし得る。さらに、このメカニズムは、ファブリックにおいて信頼性のないポートからSMPベースのDoS攻撃の機会を防止するか、減らすために、どれくらいの速さで遠隔のポートがSMPを生じさせ得るのかを定義するSMPの速度も特定できる。
ミドルウェアマシンのプラットフォームにおけるSMP除去を用いる様々な実施の形態の付加的な説明が、2004年6月2日に出願され、2008年7月8日に発行された「通信ネットワークにおいてノードを認証するためのシステムおよび方法」と題された米国特許第7,398,394号において提供され、その出願は、引用により本出願に援用される。
本発明の一実施の形態に従えば、除去方式は、スイッチポートが「信頼性がある」または「信頼性がない」と明らかにしたことに基づく、ホスト−ホストベースの直接ルートの不適法なSMPトラフィックを防止できる。スイッチポート、またはスイッチポートに接続するエンティティが信頼性を有するか否かの判断は、ローカルスイッチ401に対する明示的なポリシの入力または遠隔のポートの自動的な認証に基づき得る。
図4に示されるように、スイッチポート411、413−414、および416は、信頼性のあるスイッチポートであり、一方で、スイッチポート412および415は信頼性がない。除去方式は、信頼性のあるポート(スイッチからの出口)からSMPリクエストが送信されること、および、信頼性のあるポート(スイッチへの入口)によってSMP応答が受信されることのみを可能にし得る。さらに、第1の場所における信頼性のあるポートからサブネットに入ったただ1つのSMAリクエストは、信頼性のないポートに向けて出ることを許され得る。それゆえに、除去方式は、任意の現在のM_キー設定とは独立してなされ得、上記のM_キーベースの除去方式と共に用いられ得る。
本発明の一実施の形態に従えば、単一のM_キー409、または単一の組のM_キーを使用できることは、IBサブネット/ファブリック400を通して、IBファブリック400における全てのノードが信頼されるかどうか、および、要求される特権を有さない任意のエンティティに対して使用中のM_キーを露出しないかどうかに依存する。サブネットマネージャ408がリクエスト中に現在のM_キーを含むための必要条件は、標的および任意の中間エージェントがM_キーの完全性を危殆化し得ないことをサブネットマネージャ408が保証され得るようにすることである。一例では、そのような全面的な信頼性は、任意のSMPにおける現在のM_キーを含むよりも前に確立され得る。それゆえに、ファブリックの構成は、HCAを含む、IBファブリック中の全てのノードが、全てのSMAインスタンスが全面的に信頼性のあることを推測的に仮定する代わりに、任意のM_キーを基にする通信が起こり得る前に、信頼性があるものとして認証される(または明らかにされる)ことを要件とし得る。
本発明の一実施の形態に従えば、ベンダーを基にするSMPを、スイッチマネジメントインタフェイスを介して送信および受信するためのメカニズムが提供され得る。そのようなメカニズムは、スイッチ内蔵認証メカニズムがスイッチのローカルソフトウェアの一部として動作し、それによって、内蔵サブネットマネージャおよび内蔵スイッチドライバおよびSMAと協力して動作をすることを可能にする。
図5は、本発明の一実施の形態に従うミドルウェアマシン環境におけるスイッチベースのSMPのトラフィックを保護するためのフローチャートの一例を示す。図5に示されるように、ステップ501で、ネットワークスイッチは、サブネットマネジメントエージェント(SMA)に宛てられた1つ以上のSMPを受信できる。その後、ステップ502で、ネットワークスイッチは、1つ以上のSMPが正確なマネジメントキーを含むかどうかをチェックできる。さらに、ステップ503で、ネットワークスイッチは、1つ以上のSMPが正確なマネジメントキーを含まない場合に、1つ以上のSMPが宛てられたSMAに転送されることを防止できる。
概して、本発明は、1つ以上のマイクロプロセッサで動作可能なミドルウェアマシン環境におけるサブネットマネジメントパケット(SMP)のファイアウォール制限を提供するためのシステムに関し、システムは、
インフィニバンド(IB)ファブリックに接続するホストチャンネルアダプタ(HCA)に安全なファームウェアの実装を提供するための手段を含み、HCAは、ホストに関連付けられており、さらに、
安全なファームウェアの実装を介して少なくとも1つのSMPを受信するための手段を含み、少なくとも1つのSMPは、ホストから受信されるか、ホストに宛てられ、さらに、
安全なファームウェアの実装を介して、ホストが少なくとも1つのSMPをIBファブリックに送信すること、またはホストに宛てられた少なくとも1つのSMPを受信することを防止するための手段を含む。
上記システムは、さらに、安全なファームウェアの実装においてSMPのファイアウォールコンポーネントを含むための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントが1つ以上のSMPベースの動作を防止することを可能にするための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントがホストソフトウェアとサブネットマネージャとの間のSMPベースの通信を防止することを可能にするための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントの一部として特別なルールを実装するための手段を含む。
上記システムは、さらに、特別なルールが特定のSMPベースのリクエストおよび応答タイプがタイトにコントロールされた速度で送信され、受信されることを定義する、および/または、直接ルートのSMPとローカルの識別子ルートのSMPとの両方のための送信元および送信先の制限を定義することを可能にするための手段を含む。
上記システムは、さらに、安全なファームウェアの実装がプロキシ機能を含むことを可能にするための手段を含み、プロキシ機能は、ローカルの帯域外のインタフェイスを通して、ホストソフトウェアとの通信を受信できる。
上記システムは、さらに、サブネットマネージャがプロキシ機能を介してホストソフトウェアにSMPを送信することを可能にするための手段を含む。
上記システムは、さらに、遠隔のIBノードからの構成情報の、認証されていない検索を防止するための手段を含む。
上記システムは、さらに、サブネットマネージャが、サブネットアドミニストレイタ(SA)のリクエストの過負荷を生じさせているHCAポートをシャットダウンすることを可能にするための手段を含む。
概して、本発明は、サブネットマネジメントパケット(SMP)ベースの攻撃を防止するための方法に関し、当該方法は、
安全なファームウェアの実装を介して少なくとも1つのSMPを受信することを含み、少なくとも1つのSMPは、ホストから受信されるか、ホストに宛てられ、さらに、
安全なファームウェアの実装を介して、ホストが少なくとも1つのSMPをIBファブリックに送信すること、または、ホストに宛てられた少なくとも1つのSMPを受信することを防止することを含む。
上記方法は、さらに、SMPのファイアウォールコンポーネントを安全なファームウェアの実装に含めることを含む。
上記方法は、さらに、SMPのファイアウォールコンポーネントが1つ以上のSMPベースの動作を防止するのを可能にすることを含む。
上記方法は、さらに、SMPのファイアウォールコンポーネントがホストソフトウェアとサブネットマネージャとの間のSMPベースの通信を防止するのを可能にすることを含む。
上記方法は、さらに、SMPのファイアウォールコンポーネントの一部として特別なルールを実装することを含む。
上記方法は、さらに、特別なルールが、特定のSMPベースのリクエストおよび応答タイプがタイトにコントロールされた速度で送信され、受信されることを定義する、および/または、直接ルートのSMPとローカルの識別子ルートのSMPとの両方のための送信元および送信先の制限を定義することを可能にすることを含む。
上記方法は、さらに、安全なファームウェアの実装がプロキシ機能を含むのを可能にすることを含み、プロキシ機能は、ローカルの帯域外のインタフェイスを通してホストソフトウェアとの通信を受信できる。
概して、本発明は、サブネットマネジメントパケット(SMP)ベースの攻撃を防止するためのシステムに関し、当該システムは、
安全なファームウェアの実装を介して、少なくとも1つのSMPを受信するための手段を含み、少なくとも1つのSMPは、ホストから受信されるか、ホストに宛てられ、さらに、
安全なファームウェアの実装を介して、ホストが、少なくとも1つのSMPをIBファブリックに送信すること、または、ホストに宛てられた少なくとも1つのSMPを受信することを妨げるための手段を含む。
上記システムは、さらに、安全なファームウェアの実装にSMPのファイアウォールコンポーネントを含むための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントが1つ以上のSMPベースの動作を防止することを可能にするための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントがホストソフトウェアとサブネットマネージャとの間のSMPベースの通信を防止することを可能にするための手段を含む。
上記システムは、さらに、SMPのファイアウォールコンポーネントの一部として特別なルールを実装にするための手段を含む。
上記システムは、さらに、特別なルールが特定のSMPベースのリクエストおよび応答タイプがタイトにコントロールされた速度で送信され、受信されることを定義する、および/または、直接ルートのSMPとローカルの識別子ルートのSMPとの両方のための送信元および送信先の制限を定義することを可能にするための手段を含む。
上記システムは、さらに、安全なファームウェアの実装がプロキシ機能を含むことを可能にするための手段を含み、プロキシ機能は、ローカルの帯域外のインタフェイスを通して、ホストソフトウェアとの通信を受信できる。
概して、本発明は、1つ以上のマイクロプロセッサで動作可能なミドルウェアマシン環境におけるスイッチベースのサブネットマネジメントパケット(SMP)のトラフィック保護を提供するための方法に関し、当該方法は、
ネットワークスイッチを介して、サブネットマネジメントエージェント(SMA)のコンポーネントに宛てられた1つ以上のSMPを受信するための手段と、
ネットワークスイッチを介して、1つ以上のSMPが正確なマネジメントキーを含むかどうかをチェックするための手段と、
ネットワークスイッチを介して、1つ以上のSMPが正確なマネジメントキーを含まない場合に、1つ以上のSMPが宛てられたSMAコンポーネントに転送されることを防止するための手段とを含む。
上記システムは、さらに、ファブリックポリシに従って1つ以上のSMPを除去するための手段を含む。
上記システムは、さらに、1つ以上のSMPの各々が直接ルートのSMPであることを可能にするための手段を含む。
上記システムは、さらに、サブネットマネージャが、ネットワークスイッチの特有のスイッチポートを介してサブネットマネジメントエージェント(SMA)のコンポーネントと通信するために、1つ以上のSMPを用いるのを可能にするための手段を含む。
上記システムは、さらに、ネットワークスイッチの各外部ポートのための異なるマネジメントキーを定義するための手段を含む。
上記システムは、さらに、ネットワークスイッチが、外部ポートからSMAコンポーネントに送信されたSMP、およびSMAコンポーネントからの、外部ポートで受信されたSMPに個別の制限を強制するのを可能にするための手段を含む。
上記システムは、さらに、正確なマネジメントキーが特定された場合に、サブネットマネージャを介して、SMAコンポーネントに関連付けられている信頼性のない遠隔のホストチャンネルアダプタ(HCA)が1つ以上のSMPを送信することのみを確実にするための手段を含む。
上記システムは、さらに、どれくらいの速さで遠隔のHCAのポートがSMPを生じさせ得るのかを定義するSMPの速度を特定するための手段を含む。
上記システムは、さらに、1つ以上のスイッチポートが信頼性のあることを明らかにし、かつ、
SMPリクエストが信頼性のあるポートから送信され、
SMP応答が信頼性のあるポートで受信されることを可能にする手段を含む。
上記システムは、さらに、ただ1つのSMAコンポーネントのリクエストが、信頼性のあるポートから信頼性のないポートに送信されることを可能にするための手段を含む。
概して、本発明は、1つ以上のマイクロプロセッサで動作するネットワークスイッチに関し、当該ネットワークスイッチは、
サブネットマネジメントエージェント(SMA)のコンポーネントに宛てられた1つ以上のSMPを受信するための手段と、
1つ以上のSMPが正確なマネジメントキーを含むかどうかをチェックするための手段と、
少なくとも1つのSMPが正確なマネジメントキーを含まない場合に、1つ以上のSMPが、宛てられたSMAコンポーネントに転送されることを防止するための手段とを含む。
本発明は、1つ以上のプロセッサ、メモリ、および/または本開示の教示に従いプログラムされたコンピュータ可読記憶媒体を含む、従来の汎用または専用デジタルコンピュータ、コンピューティングデバイス、マシン、またはマイクロプロセッサを1つ以上用いて、適宜実現し得る。適切なソフトウェアコーディングは、ソフトウェア技術の当業者には明らかであるように、熟練したプログラマが本開示の教示に基づいて容易に準備できる。
実施の形態によっては、本発明は、本発明のプロセスのうちいずれかを実行するためにコンピュータをプログラムするのに使用できる命令がその上に/中に格納された記憶媒体または1つもしくは複数のコンピュータ可読媒体であるコンピュータプログラムプロダクトを含む。この記憶媒体は、フロッピー(登録商標)ディスク、光ディスク、DVD、CD−ROM、マイクロドライブ、および光磁気ディスクを含む、任意の種類のディスク、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、フラッシュメモリデバイス、磁気もしくは光カード、ナノシステム(分子メモリICを含む)、または、命令および/もしくはデータを格納するのに適した任意の種類の媒体もしくはデバイスを含み得るものの、これらに限定されない。
本発明のこれまでの記載は例示および説明を目的として提供されている。すべてを網羅するよう意図されておらず、または本発明を開示された形態そのものに限定するよう意図されていない。当業者には数多くの変更および変形が明らかであろう。実施の形態は、本発明の原理およびその実際の応用を最もうまく説明することによって当業者がさまざまな実施の形態および意図している特定の用途に適したさまざまな変形を用いて本発明を理解できるようにするために、選択され説明された。本発明の範囲は、添付の特許請求の範囲およびその均等物によって定められることが意図されている。

Claims (7)

  1. 1つ以上のマイクロプロセッサで動作するミドルウェアマシン環境におけるスイッチベースのサブネットマネジメントパケット(SMP)のトラフィック保護を提供するための方法であって、
    ネットワークスイッチを介して、サブネットマネジメントエージェント(SMA)に宛てられた1つ以上のSMPを受信することと、
    前記ネットワークスイッチを介して、前記1つ以上のSMPが正確なマネジメントキーを含むかどうかをチェックすることと、
    前記ネットワークスイッチを介して、前記1つ以上のSMPが前記正確なマネジメントキーを含まない場合に、前記1つ以上のSMPが前記宛てられたSMAに転送されることを防止することとを含む、方法。
  2. ファブリックポリシに従って前記1つ以上のSMPを除去することをさらに含む、請求項1に記載の方法。
  3. 前記1つ以上のSMPの各々が直接ルートのSMPであるのを可能にすることをさらに含む、請求項1または2に記載の方法。
  4. サブネットマネージャが、前記ネットワークスイッチの固有のスイッチポートを介してサブネットマネジメントエージェント(SMA)と通信するために、1つ以上のSMPを用いるのを可能にすることをさらに含む、請求項1〜3のいずれか1項に記載の方法。
  5. 前記ネットワークスイッチの外部ポートごとに異なるマネジメントキーを定義することをさらに含む、請求項1〜4のいずれか1項に記載の方法。
  6. ミドルウェアマシン環境におけるスイッチベースのサブネットマネジメントパケットのトラフィック保護を提供するためのシステムであって、
    サブネットマネジメントエージェント(SMA)コンポーネントと、
    1つ以上のマイクロプロセッサで動作するネットワークスイッチとを備え、
    前記ネットワークスイッチは、
    前記SMAコンポーネントに宛てられた1つ以上のSMPを受信するように動作し、
    前記1つ以上のSMPが正確なマネジメントキーを含むかどうかをチェックするように動作し、
    少なくとも1つのSMPが前記正確なマネジメントキーを含まない場合に、前記1つ以上のSMPが前記宛てられたSMAに転送されることを防止するように動作する、システム。
  7. 請求項1〜5のいずれか1項に記載の方法を実行するための、1つ以上のプロセッサによって実行するための命令を備える、コンピュータプログラム。
JP2016186926A 2011-07-11 2016-09-26 ミドルウェアマシン環境においてサブマネジメントパケット(smp)のトラフィックの保護をサポートするためのシステムおよび方法 Active JP6276358B2 (ja)

Applications Claiming Priority (8)

Application Number Priority Date Filing Date Title
US201161506557P 2011-07-11 2011-07-11
US61/506,557 2011-07-11
US201261645517P 2012-05-10 2012-05-10
US61/645,517 2012-05-10
US13/545,796 US8739273B2 (en) 2011-07-11 2012-07-10 System and method for supporting subnet management packet (SMP) firewall restrictions in a middleware machine environment
US13/545,803 US9332005B2 (en) 2011-07-11 2012-07-10 System and method for providing switch based subnet management packet (SMP) traffic protection in a middleware machine environment
US13/545,796 2012-07-10
US13/545,803 2012-07-10

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014520272A Division JP6043349B2 (ja) 2011-07-11 2012-07-11 ミドルウェアマシン環境においてサブマネジメントパケット(smp)のファイアウォール制限をサポートするためのシステムおよび方法

Publications (2)

Publication Number Publication Date
JP2017059242A JP2017059242A (ja) 2017-03-23
JP6276358B2 true JP6276358B2 (ja) 2018-02-07

Family

ID=47519735

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014520272A Active JP6043349B2 (ja) 2011-07-11 2012-07-11 ミドルウェアマシン環境においてサブマネジメントパケット(smp)のファイアウォール制限をサポートするためのシステムおよび方法
JP2016186926A Active JP6276358B2 (ja) 2011-07-11 2016-09-26 ミドルウェアマシン環境においてサブマネジメントパケット(smp)のトラフィックの保護をサポートするためのシステムおよび方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014520272A Active JP6043349B2 (ja) 2011-07-11 2012-07-11 ミドルウェアマシン環境においてサブマネジメントパケット(smp)のファイアウォール制限をサポートするためのシステムおよび方法

Country Status (5)

Country Link
US (2) US8739273B2 (ja)
EP (1) EP2754278B1 (ja)
JP (2) JP6043349B2 (ja)
CN (1) CN103621038B (ja)
WO (1) WO2013009846A1 (ja)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5893628B2 (ja) 2010-09-17 2016-03-23 オラクル・インターナショナル・コーポレイション ミドルウェアマシン環境における部分的なサブネット初期化の実行
US8886783B2 (en) 2011-06-03 2014-11-11 Oracle International Corporation System and method for providing secure subnet management agent (SMA) based fencing in an infiniband (IB) network
US9432304B2 (en) 2012-03-26 2016-08-30 Oracle International Corporation System and method for supporting live migration of virtual machines based on an extended host channel adaptor (HCA) model
US9584605B2 (en) 2012-06-04 2017-02-28 Oracle International Corporation System and method for preventing denial of service (DOS) attack on subnet administrator (SA) access in an engineered system for middleware and application execution
US9665719B2 (en) * 2012-06-04 2017-05-30 Oracle International Corporation System and method for supporting host-based firmware upgrade of input/output (I/O) devices in a middleware machine environment
US9843512B2 (en) 2013-08-27 2017-12-12 Oracle International Corporation System and method for controlling a data flow in an engineered system for middleware and application execution
US9559990B2 (en) 2013-08-27 2017-01-31 Oracle International Corporation System and method for supporting host channel adapter (HCA) filtering in an engineered system for middleware and application execution
US9723009B2 (en) * 2014-09-09 2017-08-01 Oracle International Corporation System and method for providing for secure network communication in a multi-tenant environment
US11141995B2 (en) * 2015-12-28 2021-10-12 The Procter & Gamble Company Method and apparatus for applying a material onto articles with a pre-distorted transfer component
US10940685B2 (en) * 2015-12-28 2021-03-09 The Procter & Gamble Company Method and apparatus for applying a material onto articles using a transfer component that deflects on both sides
US11018947B2 (en) 2016-01-27 2021-05-25 Oracle International Corporation System and method for supporting on-demand setup of local host channel adapter port partition membership in a high-performance computing environment
US10972375B2 (en) * 2016-01-27 2021-04-06 Oracle International Corporation System and method of reserving a specific queue pair number for proprietary management traffic in a high-performance computing environment
US10594547B2 (en) 2016-01-27 2020-03-17 Oracle International Corporation System and method for application of virtual host channel adapter configuration policies in a high-performance computing environment
US10355992B2 (en) * 2016-01-27 2019-07-16 Oracle International Corporation System and method for supporting router SMA abstractions for SMP connectivity checks across virtual router ports in a high performance computing environment
US10630499B2 (en) * 2017-03-24 2020-04-21 Oracle International Corporation System and method to provide path records derived from ARP responses and peer-to-peer negotiation based on homogeneous fabric attribute in a high performance computing environment
US11968132B2 (en) 2017-03-24 2024-04-23 Oracle International Corporation System and method to use queue pair 1 for receiving multicast based announcements in multiple partitions in a high performance computing environment
US10868685B2 (en) 2017-03-24 2020-12-15 Oracle International Corporation System and method to provide explicit multicast local identifier assignment for per-partition default multicast local identifiers defined as subnet manager policy input in a high performance computing environment
CN106982232B (zh) * 2017-05-23 2023-04-18 信联安宝(北京)科技有限公司 分立安全管理交换机
CN112329024A (zh) * 2020-11-17 2021-02-05 国网北京市电力公司 漏洞的检测方法及装置
RU2757927C1 (ru) * 2020-12-22 2021-10-25 Федеральное государственное казенное военное образовательное учреждение высшего образования "Военный учебно-научный центр Военно-воздушных сил "Военно-воздушная академия имени профессора Н.Е. Жуковского и Ю.А. Гагарина" (г. Воронеж) Министерства обороны Российской Федерации Система управления защитой информации
CN113114698B (zh) * 2021-04-21 2022-10-14 恒安嘉新(北京)科技股份公司 一种网络数据请求方法、系统、装置、设备及存储介质

Family Cites Families (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5758083A (en) 1995-10-30 1998-05-26 Sun Microsystems, Inc. Method and system for sharing information between network managers
US6308148B1 (en) 1996-05-28 2001-10-23 Cisco Technology, Inc. Network flow data export
JP3531367B2 (ja) 1996-07-04 2004-05-31 株式会社日立製作所 トランスレータ
US6012100A (en) 1997-07-14 2000-01-04 Freegate Corporation System and method of configuring a remotely managed secure network interface
US6098098A (en) 1997-11-14 2000-08-01 Enhanced Messaging Systems, Inc. System for managing the configuration of multiple computer devices
US6148336A (en) 1998-03-13 2000-11-14 Deterministic Networks, Inc. Ordering of multiple plugin applications using extensible layered service provider with network traffic filtering
US6343320B1 (en) 1998-06-09 2002-01-29 Compaq Information Technologies Group, L.P. Automatic state consolidation for network participating devices
US6286038B1 (en) 1998-08-03 2001-09-04 Nortel Networks Limited Method and apparatus for remotely configuring a network device
US6697360B1 (en) 1998-09-02 2004-02-24 Cisco Technology, Inc. Method and apparatus for auto-configuring layer three intermediate computer network devices
US6314531B1 (en) 1998-09-29 2001-11-06 International Business Machines Corporation Method and system for testing and debugging distributed software systems by using network emulation
US6826694B1 (en) 1998-10-22 2004-11-30 At&T Corp. High resolution access control
US6282678B1 (en) 1999-01-08 2001-08-28 Cisco Technology, Inc. Generic test execution method and apparatus
US20020133620A1 (en) 1999-05-24 2002-09-19 Krause Michael R. Access control in a network system
US6944158B1 (en) 2000-02-18 2005-09-13 Alcatel Flow integrity for path transitioning data switch
US6658579B1 (en) 2000-05-20 2003-12-02 Equipe Communications Corporation Network device with local timing systems for automatic selection between redundant, synchronous central timing systems
US9444785B2 (en) 2000-06-23 2016-09-13 Cloudshield Technologies, Inc. Transparent provisioning of network access to an application
US8204082B2 (en) 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
US6907470B2 (en) * 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
US7113995B1 (en) * 2000-10-19 2006-09-26 International Business Machines Corporation Method and apparatus for reporting unauthorized attempts to access nodes in a network computing system
US7409432B1 (en) 2000-10-19 2008-08-05 International Business Machines Corporation Efficient process for handover between subnet managers
US7636772B1 (en) 2000-10-19 2009-12-22 International Business Machines Corporation Method and apparatus for dynamic retention of system area network management information in non-volatile store
US6941350B1 (en) 2000-10-19 2005-09-06 International Business Machines Corporation Method and apparatus for reliably choosing a master network manager during initialization of a network computing system
US6981025B1 (en) 2000-10-19 2005-12-27 International Business Machines Corporation Method and apparatus for ensuring scalable mastership during initialization of a system area network
US7023795B1 (en) 2000-11-07 2006-04-04 Schneider Automation Inc. Method and apparatus for an active standby control system on a network
US6772320B1 (en) 2000-11-17 2004-08-03 Intel Corporation Method and computer program for data conversion in a heterogeneous communications network
US20040213220A1 (en) 2000-12-28 2004-10-28 Davis Arlin R. Method and device for LAN emulation over infiniband fabrics
US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
AU2002258931A1 (en) * 2001-04-27 2002-11-11 The Boeing Company Method and system for virtual addressing in a communications network
US20030005039A1 (en) 2001-06-29 2003-01-02 International Business Machines Corporation End node partitioning using local identifiers
US7290277B1 (en) 2002-01-24 2007-10-30 Avago Technologies General Ip Pte Ltd Control of authentication data residing in a network device
EP1514190A4 (en) * 2002-05-22 2006-09-20 Procera Networks SWITCH FOR A LOCAL NETWORK
US20040078709A1 (en) 2002-07-11 2004-04-22 International Business Machines Corporation System, method, and product for providing a test mechanism within a system area network device
US7233570B2 (en) 2002-07-19 2007-06-19 International Business Machines Corporation Long distance repeater for digital information
US7339929B2 (en) 2002-08-23 2008-03-04 Corrigent Systems Ltd. Virtual private LAN service using a multicast protocol
US20040123142A1 (en) 2002-12-18 2004-06-24 Dubal Scott P. Detecting a network attack
US20040168089A1 (en) * 2003-02-19 2004-08-26 Hyun-Sook Lee Security method for operator access control of network management system
US7792987B1 (en) 2003-04-21 2010-09-07 Juniper Networks, Inc. Supporting virtual private networks using a first network topology for forwarding and a subset of the first network topology or a smaller topology for signaling
US7839843B2 (en) 2003-09-18 2010-11-23 Cisco Technology, Inc. Distributed forwarding in virtual network devices
US7934020B1 (en) 2003-09-19 2011-04-26 Vmware, Inc. Managing network data transfers in a virtual computer system
US20050071709A1 (en) 2003-09-30 2005-03-31 Rosenstock Harold N. InfiniBand architecture subnet derived database elements
US7555002B2 (en) 2003-11-06 2009-06-30 International Business Machines Corporation Infiniband general services queue pair virtualization for multiple logical ports on a single physical port
US20050108434A1 (en) * 2003-11-13 2005-05-19 Witchey Nicholas J. In-band firewall for an embedded system
US7428598B2 (en) 2003-11-20 2008-09-23 International Business Machines Corporation Infiniband multicast operation in an LPAR environment
US7843906B1 (en) 2004-02-13 2010-11-30 Habanero Holdings, Inc. Storage gateway initiator for fabric-backplane enterprise servers
US8990430B2 (en) 2004-02-19 2015-03-24 Cisco Technology, Inc. Interface bundles in virtual network devices
US7721324B1 (en) * 2004-03-18 2010-05-18 Oracle America, Inc. Securing management operations in a communication fabric
US7398394B1 (en) 2004-06-02 2008-07-08 Bjorn Dag Johnsen Method and apparatus for authenticating nodes in a communications network
US20070022479A1 (en) * 2005-07-21 2007-01-25 Somsubhra Sikdar Network interface and firewall device
US20060215673A1 (en) 2005-03-11 2006-09-28 Interdigital Technology Corporation Mesh network configured to autonomously commission a network and manage the network topology
US7200704B2 (en) 2005-04-07 2007-04-03 International Business Machines Corporation Virtualization of an I/O adapter port using enablement and activation functions
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US20070038703A1 (en) 2005-07-14 2007-02-15 Yahoo! Inc. Content router gateway
US8601159B2 (en) 2005-09-27 2013-12-03 Microsoft Corporation Distributing and arbitrating media access control addresses on ethernet network
US7548964B2 (en) 2005-10-11 2009-06-16 International Business Machines Corporation Performance counters for virtualized network interfaces of communications networks
US7730286B2 (en) 2005-12-30 2010-06-01 Intel Corporation Software assisted nested hardware transactions
US20070280104A1 (en) 2006-06-01 2007-12-06 Takashi Miyoshi System and Method for Managing Forwarding Database Resources in a Switching Environment
US7519711B2 (en) * 2006-06-15 2009-04-14 International Business Machines Corporation Method for middleware assisted system integration in a federated environment
US7660303B2 (en) 2006-08-22 2010-02-09 Corrigent Systems Ltd. Point-to-multipoint functionality in a bridged network
US7898937B2 (en) 2006-12-06 2011-03-01 Cisco Technology, Inc. Voting to establish a new network master device after a network failover
US20080159277A1 (en) 2006-12-15 2008-07-03 Brocade Communications Systems, Inc. Ethernet over fibre channel
US8149834B1 (en) 2007-01-25 2012-04-03 World Wide Packets, Inc. Forwarding a packet to a port from which the packet is received and transmitting modified, duplicated packets on a single port
US8706914B2 (en) 2007-04-23 2014-04-22 David D. Duchesneau Computing infrastructure
US7975109B2 (en) 2007-05-30 2011-07-05 Schooner Information Technology, Inc. System including a fine-grained memory and a less-fine-grained memory
US8135007B2 (en) 2007-06-29 2012-03-13 Extreme Networks, Inc. Method and mechanism for port redirects in a network switch
US8589578B2 (en) 2007-06-29 2013-11-19 Toshiba America Research, Inc. Streaming video over multiple network interfaces
US8645524B2 (en) 2007-09-10 2014-02-04 Microsoft Corporation Techniques to allocate virtual network addresses
US8250641B2 (en) * 2007-09-17 2012-08-21 Intel Corporation Method and apparatus for dynamic switching and real time security control on virtualized systems
US8068416B2 (en) 2007-09-20 2011-11-29 At&T Intellectual Property I, L.P. System and method of communicating a media stream
DE102007052128A1 (de) * 2007-10-31 2009-05-14 Concept04 Gmbh Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
GB2458154B (en) 2008-03-07 2012-06-27 Hewlett Packard Development Co Routing across a virtual network
US8516096B2 (en) 2008-07-09 2013-08-20 In Motion Technology Inc. Cognitive wireless system
US8385202B2 (en) 2008-08-27 2013-02-26 Cisco Technology, Inc. Virtual switch quality of service for virtual machines
US7966620B2 (en) 2008-11-07 2011-06-21 Microsoft Corporation Secure network optimizations when receiving data directly in a virtual machine's memory address space
EP2192721A1 (en) 2008-11-28 2010-06-02 Thomson Licensing A method of operating a network subnet manager
US8054832B1 (en) 2008-12-30 2011-11-08 Juniper Networks, Inc. Methods and apparatus for routing between virtual resources based on a routing location policy
US20100228961A1 (en) 2009-03-03 2010-09-09 Erf Wireless, Inc. Hierarchical secure networks
US7894440B2 (en) 2009-03-13 2011-02-22 Freescale Semiconductor, Inc. Programmable hash-tuple generation with parallel rule implementation independence
US9817695B2 (en) 2009-04-01 2017-11-14 Vmware, Inc. Method and system for migrating processes between virtual machines
US8589919B2 (en) 2009-04-28 2013-11-19 Cisco Technology, Inc. Traffic forwarding for virtual machines
US8429647B2 (en) 2009-05-06 2013-04-23 Vmware, Inc. Virtual machine migration across network by publishing routes to the associated virtual networks via virtual router after the start of migration of the virtual machine
US9497039B2 (en) 2009-05-28 2016-11-15 Microsoft Technology Licensing, Llc Agile data center network architecture
US8589302B2 (en) 2009-11-30 2013-11-19 Intel Corporation Automated modular and secure boot firmware update
US8654680B2 (en) 2010-03-16 2014-02-18 Force10 Networks, Inc. Packet forwarding using multiple stacked chassis
US8887227B2 (en) 2010-03-23 2014-11-11 Citrix Systems, Inc. Network policy implementation for a multi-virtual machine appliance within a virtualization environtment
JP5190084B2 (ja) 2010-03-30 2013-04-24 株式会社日立製作所 仮想マシンのマイグレーション方法およびシステム
US8989187B2 (en) 2010-06-04 2015-03-24 Coraid, Inc. Method and system of scaling a cloud computing network
CN102971992B (zh) 2010-06-29 2016-03-09 华为技术有限公司 虚拟专用局域网设备、网络组件和数据帧转发方法
US8339951B2 (en) 2010-07-28 2012-12-25 Hewlett-Packard Development Company, L.P. Method for configuration of a load balancing algorithm in a network device
JP5893628B2 (ja) 2010-09-17 2016-03-23 オラクル・インターナショナル・コーポレイション ミドルウェアマシン環境における部分的なサブネット初期化の実行
CN102457583B (zh) 2010-10-19 2014-09-10 中兴通讯股份有限公司 一种虚拟机移动性的实现方法及系统
US8391289B1 (en) 2010-10-29 2013-03-05 Hewlett-Packard Development Company, L.P. Managing a forwarding table in a switch
US8453493B2 (en) 2010-11-02 2013-06-04 Agilent Technologies, Inc. Trace gas sensing apparatus and methods for leak detection
US8756602B2 (en) 2010-11-14 2014-06-17 Brocade Communications Systems, Inc. Virtual machine and application migration over local and wide area networks without timeout
US8718061B2 (en) 2010-11-19 2014-05-06 Industrial Technology Research Institute Data center network system and packet forwarding method thereof
US8699499B2 (en) 2010-12-08 2014-04-15 At&T Intellectual Property I, L.P. Methods and apparatus to provision cloud computing network elements
US20120173757A1 (en) 2011-01-05 2012-07-05 International Business Machines Corporation Routing optimization for virtual machine migration between geographically remote data centers
US8799997B2 (en) 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture
US20120287931A1 (en) 2011-05-13 2012-11-15 International Business Machines Corporation Techniques for securing a virtualized computing environment using a physical network switch
JP2012243254A (ja) 2011-05-24 2012-12-10 Intelligent Willpower Corp バーチャルマシン提供システム
JP5776337B2 (ja) 2011-06-02 2015-09-09 富士通株式会社 パケット変換プログラム、パケット変換装置、及びパケット変換方法
CN103563329B (zh) 2011-06-07 2017-04-12 慧与发展有限责任合伙企业 用于虚拟化数据中心的可扩缩多租户网络架构
US8842671B2 (en) 2011-06-07 2014-09-23 Mellanox Technologies Ltd. Packet switching based on global identifier
US9766947B2 (en) 2011-06-24 2017-09-19 At&T Intellectual Property I, L.P. Methods and apparatus to monitor server loads
US9363207B2 (en) 2011-06-24 2016-06-07 Cisco Technology, Inc. Private virtual local area network isolation
JP2013033345A (ja) 2011-08-01 2013-02-14 Internatl Business Mach Corp <Ibm> トランザクション処理システム、方法及びプログラム

Also Published As

Publication number Publication date
EP2754278A2 (en) 2014-07-16
US20130019302A1 (en) 2013-01-17
WO2013009846A9 (en) 2013-03-07
US20130019303A1 (en) 2013-01-17
JP6043349B2 (ja) 2016-12-14
CN103621038B (zh) 2016-08-17
US8739273B2 (en) 2014-05-27
CN103621038A (zh) 2014-03-05
WO2013009846A1 (en) 2013-01-17
EP2754278B1 (en) 2019-09-25
US9332005B2 (en) 2016-05-03
JP2014529370A (ja) 2014-11-06
JP2017059242A (ja) 2017-03-23

Similar Documents

Publication Publication Date Title
JP6276358B2 (ja) ミドルウェアマシン環境においてサブマネジメントパケット(smp)のトラフィックの保護をサポートするためのシステムおよび方法
US10691839B2 (en) Method, apparatus, and system for manageability and secure routing and endpoint access
EP2716003B1 (en) System and method for authenticating components in a network
CN107079003B (zh) 在多租户环境中提供用于安全网络通信的集成防火墙的系统和方法
US9665719B2 (en) System and method for supporting host-based firmware upgrade of input/output (I/O) devices in a middleware machine environment
US7913077B2 (en) Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests
US8825889B2 (en) Network traffic rate limiting system and method
US8713649B2 (en) System and method for providing restrictions on the location of peer subnet manager (SM) instances in an infiniband (IB) network
US20080240432A1 (en) Method and system for security protocol partitioning and virtualization
Mireles et al. Securing an InfiniBand network and its effect on performance

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180111

R150 Certificate of patent or registration of utility model

Ref document number: 6276358

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250