專利名稱:具有增強的安全特性的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)傳輸網(wǎng)絡(luò)中的數(shù)據(jù)交換,特別涉及提供增強的網(wǎng)絡(luò)安全性的方法和裝置。
背景技術(shù):
在通過數(shù)據(jù)傳輸網(wǎng)絡(luò)傳輸數(shù)據(jù)時,使用數(shù)據(jù)交換節(jié)點來引導(dǎo)在相互連接的數(shù)據(jù)通信鏈路上的數(shù)據(jù)傳輸流。每個數(shù)據(jù)鏈路通過一個物理通信端口連接到數(shù)據(jù)交換節(jié)點上,所述物理通信端口具有一個端口標識符。
所述待被傳輸?shù)臄?shù)據(jù)一般被分為有效負載數(shù)據(jù)單元(PDUs),例如數(shù)據(jù)包,幀,單元等等。每個PDU包括路線信息和一個有效載荷。所述路線信息一般存儲在PDU首部。例如所述路線信息包括媒體訪問控制地址(MAC ADDR)。所述媒體訪問控制地址是唯一的并且與和數(shù)據(jù)網(wǎng)絡(luò)節(jié)點相連的數(shù)據(jù)網(wǎng)絡(luò)接口裝置相連。網(wǎng)絡(luò)接口裝置的一個例子就是網(wǎng)絡(luò)接口板(NIC)。因此一個媒體訪問控制地址標識一個數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符。在所述路徑信息中的MAC ADDR與被認為是源地址和目的地地址的地址相連。
數(shù)據(jù)交換節(jié)點利用MAC ADDR信息,用于相連的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的動態(tài)拓撲搜索以及用于將數(shù)據(jù)流傳輸?shù)教囟ǖ哪康牡孛襟w訪問控制地址。這種數(shù)據(jù)交換節(jié)點保持一個交換數(shù)據(jù)庫,并被稱為進行“層2交換”,層2指的是開放式系統(tǒng)互聯(lián)(OSI)協(xié)議堆棧,其說明可在數(shù)據(jù)交換和傳輸?shù)默F(xiàn)有技術(shù)中得知,并被包括在此文中作為參考。
一個交換數(shù)據(jù)庫的示例性實施例是一個表格,具有交換數(shù)據(jù)庫入口,每個入口說明MAC ADDR和端口標識符之間的聯(lián)系。任何一個接收到的PDU被交換到在相應(yīng)的數(shù)據(jù)庫入口中指定的端口標識符中,所述接收到的PDU說明存儲在交換數(shù)據(jù)庫中的媒體訪問控制地址。
沒有交換數(shù)據(jù)庫,所述數(shù)據(jù)交換節(jié)點就會向一個集線器,其使每個PDU在所有的與其相連的物理通信端口上傳輸,除了那個接收PDU的物理通信端口。這種傳輸操作被稱為“擴散”。具有交換數(shù)據(jù)庫可以減小“擴散法”對下列情況的影響性,在所述情況中,所接收的PDU具有交換數(shù)據(jù)庫中不存在的未知目的地MAC ADDR。
在構(gòu)造一個交換數(shù)據(jù)庫時,所述過程也被稱作拓撲搜索,一個與數(shù)據(jù)交換節(jié)點相關(guān)的控制器取出在每個物理通信端口上接收的PDU的源MAC ADDR。如果在交換數(shù)據(jù)庫中沒有發(fā)現(xiàn)MAC ADDR端口標識符對,所述控制器在交換數(shù)據(jù)庫中建立一個入口存儲新的MAC ADDR端口標識符關(guān)聯(lián)。這種建立交換數(shù)據(jù)庫的能力也提供了對數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的動態(tài)發(fā)現(xiàn),所述數(shù)據(jù)網(wǎng)絡(luò)節(jié)點是最新加到與數(shù)據(jù)交換節(jié)點相連的數(shù)據(jù)網(wǎng)絡(luò)部分。動態(tài)發(fā)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)節(jié)點和建立一個交換數(shù)據(jù)庫提供了提供了這種數(shù)據(jù)交換設(shè)備的即插即用操作,否則需要大量的人工交互以及數(shù)據(jù)傳輸網(wǎng)絡(luò)中的連接的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的絕對知識。
所述即插即用操作經(jīng)常延伸至使數(shù)據(jù)交換節(jié)點在數(shù)據(jù)網(wǎng)絡(luò)節(jié)點連接到與數(shù)據(jù)交換節(jié)點相連的數(shù)據(jù)傳輸網(wǎng)絡(luò)的不同部分上時,知道所述數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的移動。當從具有不同的端口標識符而不是在其中說明的端口標識符的不同物理通信端口接收具有在入口中指明的所述MAC ADDR的PDU時,MAC ADDR和端口標識符之間的關(guān)聯(lián)在交換數(shù)據(jù)庫中變化。在這種情況下,新的端口標識符就會簡單的改寫先前存儲在入口處的端口標識符說明。
雖然由于數(shù)據(jù)網(wǎng)絡(luò)節(jié)點在相關(guān)聯(lián)的數(shù)據(jù)網(wǎng)絡(luò)中移動,即插即用功能減小了在構(gòu)建和重建交換數(shù)據(jù)庫中相關(guān)聯(lián)的數(shù)據(jù)傳輸網(wǎng)絡(luò)中數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的發(fā)現(xiàn)過程中所需的人力,但是所述即插即用功能使數(shù)據(jù)網(wǎng)絡(luò)節(jié)點易受到非友好的MAC ADDR的襲擊。當數(shù)據(jù)交換節(jié)點建立起兩個數(shù)據(jù)傳輸網(wǎng)絡(luò)之間的連接,就會有遇到非友好環(huán)境的情況,但不限于此。
例如,在非友好環(huán)境下,一非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點通過利用數(shù)據(jù)交換節(jié)點的自動交換數(shù)據(jù)庫重建特征可以試著去監(jiān)察到特定的MACADDR的通信量。
根據(jù)一個示例性的方案,所述非友好的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點朝向數(shù)據(jù)交換節(jié)點發(fā)送一個數(shù)據(jù)包,所述數(shù)據(jù)包具有對應(yīng)于待被沖擊的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的MAC ADDR的源MAC ADDR。所述數(shù)據(jù)交換節(jié)點記錄數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的移動,并且通過以對應(yīng)于與非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點相連的物理通信端口的端口標識符來重寫端口標識符說明、對應(yīng)于所述MAC ADDR修改所述交換數(shù)據(jù)庫入口。因此所有的指向受沖擊的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的MAC ADDR的PDUs通過數(shù)據(jù)交換節(jié)點傳輸?shù)椒怯押玫臄?shù)據(jù)交換節(jié)點。所述MAC ADDR沖擊能廣至非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點取代了受沖擊的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的功能。所述情況完全符合當前采用的數(shù)據(jù)交換設(shè)備的預(yù)定操作,否則就會漏檢。
因此需要使數(shù)據(jù)交換節(jié)點同時在友好和非友好的環(huán)境下操作,同時檢測、預(yù)防和報告非友好MAC ADDR沖擊事件。
發(fā)明概述根據(jù)本發(fā)明的一個方面,提供一種安全數(shù)據(jù)交換節(jié)點。所述數(shù)據(jù)交換節(jié)點維護具有交換數(shù)據(jù)庫入口的交換數(shù)據(jù)庫。每個數(shù)據(jù)庫入口具有相應(yīng)的入口保護標志。每個入口保護標志用于選擇性地禁止相應(yīng)的數(shù)據(jù)庫入口的編輯,并使數(shù)據(jù)交換節(jié)點能安全地同時在友好和非友好的數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下操作。
根據(jù)本發(fā)明的另一個方面,提供一安全的數(shù)據(jù)交換節(jié)點。所述數(shù)據(jù)交換節(jié)點在多個物理通信端口之間,特別是在通過物理通信端口連接到數(shù)據(jù)網(wǎng)絡(luò)部分上的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點之間傳輸數(shù)據(jù)流。每個物理通信端口具有相關(guān)的端口標識符(PortID)。基于PortID至PortID,通過使用每個都與端口標識符相連的拓撲搜索抑制標志能抑制數(shù)據(jù)交換節(jié)點的數(shù)據(jù)網(wǎng)絡(luò)拓撲搜索特性。所述拓撲搜索抑制特性防止非友好的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點參與到數(shù)據(jù)傳輸網(wǎng)絡(luò)中,使數(shù)據(jù)交換節(jié)點同時在友好和非友好的數(shù)據(jù)網(wǎng)絡(luò)環(huán)境中操作。
根據(jù)本發(fā)明的另一個特征,提供一個安全數(shù)據(jù)交換節(jié)點。當接收具有未知目的地的數(shù)據(jù)流時,所述數(shù)據(jù)交換節(jié)點利用選定的流量控制機制傳輸數(shù)據(jù)流。當所述選擇性的流量控制機制被激活時,所述數(shù)據(jù)流輸送到除源物理通信端口之外的所有物理通信端口,并且使具有拓撲搜索抑制特征的端口標識符激活。所選則的流量控制機制防止非友好的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點接收未知的目的地數(shù)據(jù)流,使得數(shù)據(jù)交換節(jié)點能同時安全地在友好和非友好數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下運行。
這種數(shù)據(jù)交換節(jié)點具有優(yōu)點,其能同時在友好和非友好環(huán)境下運行的數(shù)據(jù)交換節(jié)點并檢測,預(yù)防和報告非友好的MAC ADDR攻擊事件。
附圖簡述通過下面參照附圖對本發(fā)明優(yōu)選實施例的描述,本發(fā)明的特征和優(yōu)點將更加清楚。
圖1是示意性的網(wǎng)絡(luò)圖,其示出了相互連接的數(shù)據(jù)網(wǎng)絡(luò)元件,所述元件同時在友好和非友好的網(wǎng)絡(luò)環(huán)境下運行;圖2是示出由數(shù)據(jù)交換節(jié)點維護的交換數(shù)據(jù)庫的詳細示圖,所述交換數(shù)據(jù)庫具有根據(jù)本發(fā)明的示例性實施例的交換數(shù)據(jù)庫入口保護特性;圖3是示出由數(shù)據(jù)交換節(jié)點維護的交換數(shù)據(jù)庫的詳細示圖,所述交換數(shù)據(jù)庫具有根據(jù)本發(fā)明的示例性實施例的用于每個物理通信端口的控制特性;圖4是示出根據(jù)本發(fā)明的示例性實施例的數(shù)據(jù)交換節(jié)點的控制特性的示意圖;圖5是示出根據(jù)本發(fā)明的示例性實施例的安全PDU傳輸過程的流程圖,所述安全PDU傳輸過程實施MAC ADDR攻擊檢測,預(yù)防以及在數(shù)據(jù)交換節(jié)點處報告。
可以注意到,在附圖中相同的標號表示相同的特征。
實施例的詳細描述附圖1是示出同時在友好和非友好數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下操作的相互連接的數(shù)據(jù)網(wǎng)絡(luò)元件的示意性網(wǎng)絡(luò)圖。
一具有控制器101的數(shù)據(jù)交換節(jié)點100維護一個交換數(shù)據(jù)庫(SW DB)102。下面將參照圖2,圖3和圖4描述所述SW DB102,所述SW DB存儲連接到數(shù)據(jù)交換節(jié)點100上的數(shù)據(jù)網(wǎng)絡(luò)部分的電路結(jié)構(gòu)(拓撲布局)。存儲在SW DB102中的拓撲結(jié)構(gòu)信息說明了通過哪個物理端口106可以到達哪個數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104。當數(shù)據(jù)網(wǎng)絡(luò)部分可以有多過一個的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點時,存在數(shù)據(jù)網(wǎng)絡(luò)節(jié)點結(jié)構(gòu),其中多過一個的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104與一物理端口106相連。
每個數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104通過一個專門的通信鏈路,例如如圖中所示出的用于數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-B的網(wǎng)絡(luò)電纜108,連接到一個單獨的物理通信端口106上。本發(fā)明同樣適用于連接到如圖1所示的數(shù)據(jù)交換節(jié)點100上的總線網(wǎng)絡(luò)部分110,環(huán)形網(wǎng)絡(luò)部分112等。
圖中示出數(shù)據(jù)交換節(jié)點100,其同時在友好和非友好網(wǎng)絡(luò)環(huán)境下運行。更具體而言,具有MAC ADDR X的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-A、具有MAC ADDR Y的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-B、具有MAC ADDR W的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-C等是友好的,數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-E傳輸數(shù)據(jù),如同具有MAC ADDR Y的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點,這種數(shù)據(jù)網(wǎng)絡(luò)節(jié)點被認為是非友好的計算機。
圖2是示出由數(shù)據(jù)交換節(jié)點維護的交換數(shù)據(jù)庫的細節(jié)的示意圖,根據(jù)本發(fā)明的示例性實施例,所述交換數(shù)據(jù)庫具有交換數(shù)據(jù)庫入口保護特性。
SW DB102的示例性解釋是一個總的標為200的查詢表。所述表200包括行交換數(shù)據(jù)庫入口202;每個入口存儲一個MAC地址,一個相關(guān)的端口標識符和一個交換數(shù)據(jù)庫入口保護識別器,所述識別器也被認為是標志。
如圖2所示,表格200包括在圖1中出現(xiàn)的網(wǎng)絡(luò)結(jié)構(gòu),其中,入口202-0對應(yīng)于有MAC ADDR X并連接到物理通訊端口106-1上的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-A,入口202-1對應(yīng)于有MAC ADDR Y并與物理通信端口106-2相連的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-B,入口202-2對應(yīng)于有MAC ADDR W并與物理通信端口106-3相連的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-C,入口202-3對應(yīng)于有MAC ADDR Z并與物理通信端口106-3相連的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-D,等等。
在本技術(shù)領(lǐng)域中,每個入口保護狀態(tài)標志可以被稱作數(shù)據(jù)庫入口保護位。每個入口保護狀態(tài)標志能說明,例如當設(shè)定所述保護位時,所相連的交換數(shù)據(jù)庫入口202是被保護的,當重新設(shè)定所述保護位時,所相連的入口202是未被保護的。更具體而言,圖2示出了為入口202-1和202-3設(shè)定的入口保護位。具有相關(guān)聯(lián)的保護位的受到保護的交換數(shù)據(jù)庫入口不能被改變,由此鎖定MAC ADDR和端口標識符之間的聯(lián)系。
如果所述非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點104-E試著發(fā)送一個具有MACADDR Y的PDU到端口標識符N,數(shù)據(jù)交換節(jié)點100的控制器101查詢所述SW DB102,并且試著對應(yīng)于MAC ADDR Y來修改所述入口202-1,以從2至N改變端口標識符關(guān)聯(lián)性。通過設(shè)定入口保護位能阻止所述嘗試。所述失敗的嘗試被檢測出來作為潛在的侵入事件,并且利用本領(lǐng)域已知的方法來報告所述事件,例如產(chǎn)生警告信號或警告?zhèn)鞑シ椒ā?br>
所述交換數(shù)據(jù)庫入口保護特征等同于一個人工設(shè)定的交換數(shù)據(jù)庫入口,并且提供具有人工設(shè)定的交換數(shù)據(jù)庫入口固有的安全特性,所述人工設(shè)定的交換數(shù)據(jù)庫入口位于有操作者的交換表中,在所述交換表中數(shù)據(jù)網(wǎng)絡(luò)節(jié)點和數(shù)據(jù)交換節(jié)點之間的聯(lián)系能被明確地確定。
所述入口保護狀態(tài)標志能通過一個控制界面、例如管理控制臺設(shè)定。也存在其它的方法,將負載包含到保護入口的交換數(shù)據(jù)庫102中,形成一種安全的長期存儲,例如硬盤,電可改寫可編程只讀存儲器,E(E)PROM,但不限于此。
如果在SW DB102中的入口如上所述被保護起來,其不能防止其它的MAC ADDR與如在入口202-2和202-3中的端口標識符相同的端口標識符關(guān)聯(lián)起來。當數(shù)據(jù)交換節(jié)點100的物理通信端口106與多一節(jié)點數(shù)據(jù)網(wǎng)絡(luò)部分(112,110)相連時,多過一個的MAC ADDR與一個端口標識符相連。
一般,由于在表200上的存儲限制,只能存儲有限數(shù)量的入口。如果在已經(jīng)到達表200中的最大入口數(shù)量的數(shù)據(jù)交換節(jié)點100處接收一個新的源MAC ADDR,那么或者最舊的或者最少使用的入口從SW DB102中除去,以容納新的MAC ADDR。所述非友好的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點102-E可以試著通過發(fā)送大量的有偽造的MAC ADDR的PDU監(jiān)測通過所述數(shù)據(jù)交換節(jié)點100的數(shù)據(jù)流,所述偽造的MAC ADDR然后由數(shù)據(jù)交換節(jié)點100獲取,最終刪除SW DB102中合法的入口。所述過程被稱作將合法的MAC ADDR“沖洗”出SW DB102。
一旦刪除合法的路徑入口,具有合法的MAC ADDR目的地的PDUs對應(yīng)于所刪除的路徑入口傳輸至所有的物理通信端口,其包括與非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點相連的物理通信端口。因此所述非友好的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點能監(jiān)測由數(shù)據(jù)交換節(jié)點100處理的數(shù)據(jù)流。
圖3是示出由數(shù)據(jù)交換節(jié)點維護的交換數(shù)據(jù)庫細節(jié)的示意圖,所述交換數(shù)據(jù)庫具有根據(jù)本發(fā)明的示例性實施例的用于每個物理通信端口的控制特征。
通過控制位(或標志位)可以實施一拓撲搜索抑制特征,每個控制位與一個端口標識符相連,其它的實施方法也是可行的,不限于示出的表格式的表述方式300。當拓撲搜索不能用于一個特定的端口標識符時,例如端口標識符3,防止與端口標識符相連的額外的數(shù)據(jù)庫入口添加到SW DB102上。
例如可以在網(wǎng)絡(luò)設(shè)立時使用拓撲搜索,然后抑制拓撲搜索以防止與特定的端口標識符相關(guān)的SW DB102的進一步的變化。在有拓撲發(fā)現(xiàn)特征被抑制的物理通信端口上的數(shù)據(jù)交換節(jié)點100處,如果接收到額外的源MAC ADDR,那么將產(chǎn)生警告信號。
根據(jù)本發(fā)明的另一個實施例,所述拓撲搜索特征可以允許與物理通信端口相連的MAC ADDR動態(tài)增加到基于每個端口標識符的上限上,使得搜索的數(shù)量能被控制,又能防止沖洗SW DB102中的所有的合法的入口。
一個未知的目的地流控制特征也能被實施,作為每個通信端口的控制位(或標志位),但不限于此。當設(shè)定所述控制位時,所述未知的目地流動控制特征被激活,當所述控制位被重新設(shè)定時,所述未知目的地流動控制特征被抑制。
所述未知的目的地流控制特征被用于防止PDU復(fù)制到選定的通信端口。所述特征防止連接到選定的通信端口上的非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點接收未知的目的地數(shù)據(jù)流。
圖4是根據(jù)本發(fā)明的其它示例性實施例的數(shù)據(jù)交換節(jié)點的控制特性的示意圖。
根據(jù)本發(fā)明的另一個實施例,所述控制特性具有全程作用域,是數(shù)據(jù)交換節(jié)點的所述物理通信端口的安全資源。
全局控制特性總的在400處示出,其包括一個全局拓撲搜索發(fā)現(xiàn)控制位。當所述全局拓撲搜索控制位被設(shè)定為否時,交換數(shù)據(jù)庫入口可以自動加入到SW DB102中。
當然通過一個管理控制臺增加的交換數(shù)據(jù)庫入口不會受到影響。當重新設(shè)定全局拓撲搜索控制位時,在如上所說的在端口—端口的基礎(chǔ)之上實施拓撲搜索控制。
在圖4A示出全局未知目的地流控制特征與拓撲搜索抑制特征相結(jié)合,并提供以下優(yōu)點。
如果已經(jīng)搜索到所有的與特定的物理端口相連的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點之后,那么就沒有必要將未知的目的地PDUs傳輸?shù)侥莻€通信端口,因為所有的連接到其上的數(shù)據(jù)網(wǎng)絡(luò)節(jié)點都是已知的。這減小了復(fù)制這種PDU到物理通信端口時處理的PDU的數(shù)量。
根據(jù)本發(fā)明的另一個實施例,所述的上述的控制特征可以通過如圖4所示的單一控制位激活。
圖5是示出根據(jù)本發(fā)明的一個示例性實施例的、安全PDU傳輸過程的流程圖,所述傳輸過程實施MAC地址攻擊監(jiān)測,預(yù)防和在數(shù)據(jù)交換節(jié)點處報告的功能。
所述安全PDU傳輸過程在步驟500通過接收來自源物理通信端口的PDU開始,所述源物理通信端口具有源端口ID。所述與數(shù)據(jù)交換節(jié)點100連接的控制器101監(jiān)視用于路徑信息的所接收的PDU的首部,在步驟502取出至少一個源MAC地址。在步驟504基于源MAC地址,查詢所述SW DB102。
如果在步驟504發(fā)現(xiàn)在SW DB102中有對應(yīng)于源MAC地址的交換數(shù)據(jù)庫入口,所述過程在步驟506繼續(xù)進行以確定在入口中存儲的端口ID和源端口ID是否匹配。
如果端口ID在步驟506中匹配,所述過程從步驟508開始傳輸PDU。
如果端口ID在步驟506中不匹配,如果入口沒有被保護,并且這一事實在步驟510中得到確認,所述過程通過嘗試著在步驟512修改交換數(shù)據(jù)庫而進行。
如果在步驟510沒有發(fā)現(xiàn)所述交換入口被保護,在步驟512修改所述入口,所述過程從步驟508繼續(xù)進行傳輸PDU。
如果在步驟510發(fā)現(xiàn)所述交換入口被保護,所述過程在步驟514繼續(xù)進行,觸發(fā)一個報警信號。所述過程通過刪除所述PDU并從步驟500從新開始來繼續(xù)進行。
如果在步驟504,在SW DB102中沒有發(fā)現(xiàn)對應(yīng)于源MAC地址的交換數(shù)據(jù)庫入口,根據(jù)在步驟515和516中實施的拓撲搜索是否由于源端口ID受到抑制,所述過程嘗試著向SW DB102中增加一個新的入口。
如果拓撲搜索對整個數(shù)據(jù)交換節(jié)點100不能全局化,那么所述過程在步驟514通過觸發(fā)一個報警信號而重新開始;否則實施用于源端口ID的拓撲搜索控制。
如果拓撲搜索能在步驟516能用于源端口識別符,在步驟518向SW DB102增加一個新的入口,所述過程從步驟508繼續(xù)傳輸所述PDU。
如果拓撲搜索在步驟516由于源端口ID被抑制,在步驟514通過觸發(fā)一個報警信號而重新開始。
在傳輸PDU的過程中,所述控制器101監(jiān)視PDU路徑信息,所述PDU路徑信息取出至少所述目的地MAC地址。在步驟520中所述過程基于目的地MAC地址查詢SW DB102。
如果所述SW DB102包括一個對應(yīng)于目的地MAC地址的交換入口,然后將PDU傳輸?shù)皆诓襟E522中指定的端口ID。在步驟522傳輸PDU之后,所述過程從步驟500繼續(xù)進行。
如果SW DB102不包括對應(yīng)于所述目的地MAC地址的交換入口,那么在步驟524產(chǎn)生包括所有物理通訊端口的端口流列表,并且在步驟526將源端口ID從中去除。在步驟527中,所有的具有端口未知目的地流動控制位的端口ID也從端口流列表中去除。
在全局未知目的地流動控制特征被激活、在步驟528確認所述事實的條件下,復(fù)制所述PDU并在步驟532將其傳輸?shù)蕉丝诹髁斜碇械奈锢硗ㄐ哦丝谔帯?br>
如果所述全局未知目的地流動控制特征被激活,在在步驟532處擴散所有的物理通信端口之前,在步驟530處,從端口流動列表中去除所有的有拓撲搜索被抑制的端口。
在將PDU傳輸?shù)绞S嗟亩丝诹髁斜碇械亩丝谥?,所述過程從步驟500重新開始。
此處給出的實施例僅僅是示例性的,并且本領(lǐng)域技術(shù)人員可以理解在不脫離本發(fā)明的實質(zhì)和所附權(quán)利要求書所限定的本發(fā)明的保護范圍的前提下,可以對上述實施例進行各種變化和修改。
權(quán)利要求
1.一種安全數(shù)據(jù)交換節(jié)點,其包括a. 多個通信端口;b. 具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系;c. 多個交換入口保護標志,多個交換入口保護標志中的每一個都與一個交換入口相連;和d. 一個控制器,其實施一安全交換數(shù)據(jù)庫的更新過程,其中當設(shè)定所述保護標志時,禁止非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點對保護的交換入口實施修改,使得數(shù)據(jù)交換節(jié)點能同時在友好和非友好數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下運行。
2.如權(quán)利要求1所述的安全數(shù)據(jù)交換節(jié)點,其中所述通信端口通過端口標識符表示在所述交換入口中。
3.一種安全數(shù)據(jù)交換節(jié)點,其包括a.多個物理通信端口;b.具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系;c.多個拓撲搜索抑制標志,多個拓撲搜索抑制標志中的每一個都與一個通信端口相連;和d.一個控制器,其實施一安全數(shù)據(jù)傳輸網(wǎng)絡(luò)拓撲結(jié)構(gòu)的更新過程,其中非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點作用于至少一個其它的交換入口的嘗試被阻止,使得數(shù)據(jù)交換節(jié)點能同時在友好和非友好數(shù)據(jù)網(wǎng)絡(luò)環(huán)境下運行,所述至少一個其它的交換入口確定了與拓撲搜索抑制的物理通信端口相連的通信端口。
4.一種安全數(shù)據(jù)交換節(jié)點,其包括a.多個物理通信端口;b.具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系;c.多個拓撲搜索抑制標志,多個拓撲搜索抑制標志中的每一個都與一個通信端口相連;和d.一個全局未知目的地流控制標志,和e.一個實施安全有效負載數(shù)據(jù)單元(PDU)傳輸過程的控制器,其中所接收的具有目的地數(shù)據(jù)節(jié)點標識符且未存儲在交換數(shù)據(jù)庫中的PDU僅僅被復(fù)制到、已重置拓撲搜索抑制標志的物理通信端口,以防止與其連接的非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點接收未知目的地的數(shù)據(jù)流。
5.一種安全數(shù)據(jù)交換節(jié)點,其包括a.多個物理通信端口;b.具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系;c.多個未知目的地流控制標志,所述多個標志中的每一個都與一個通信端口相連;和d.一個控制器,其實施一個安全有效負載數(shù)據(jù)單元(PDU)的傳輸過程,其中所接收的具有目的地數(shù)據(jù)節(jié)點標識符且未存儲在交換數(shù)據(jù)庫中的PDU僅僅被復(fù)制到、已重置未知目的地流控制標志的物理通信端口,以防止與其連接的非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點接收未知目的地數(shù)據(jù)流。
6.一種安全更新在數(shù)據(jù)傳輸網(wǎng)絡(luò)中傳輸數(shù)據(jù)流的數(shù)據(jù)交換節(jié)點的交換數(shù)據(jù)庫的方法,所述方法包括以下步驟a.從數(shù)據(jù)交換節(jié)點的源物理通信端口上所接收的數(shù)據(jù)流中摘出源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符;b.查詢具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系,所述查詢以被摘出的源數(shù)據(jù)網(wǎng)絡(luò)標識符作為關(guān)鍵詞;c.如果在交換數(shù)據(jù)庫中沒有發(fā)現(xiàn)對應(yīng)于源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符的交換入口,那么向交換數(shù)據(jù)庫增加一個新的交換入口;和d. 如果一個與所發(fā)現(xiàn)的交換入口相關(guān)的交換入口保護標志被重新設(shè)定,那么修改所發(fā)現(xiàn)的與所摘出的源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點相對應(yīng)的交換入口的通信端口說明,由此防止通過數(shù)據(jù)交換節(jié)點處理的數(shù)據(jù)流的重新定向。
7.一種安全更新數(shù)據(jù)傳輸網(wǎng)絡(luò)拓撲信息的方法,所述拓撲信息存儲在與數(shù)據(jù)傳輸網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)交換節(jié)點的交換數(shù)據(jù)庫中,所述方法包括以下步驟a.從數(shù)據(jù)交換節(jié)點的源物理通信端口上所接收的數(shù)據(jù)流中摘出源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符;b.查詢具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系,所述查詢以被摘出的源數(shù)據(jù)網(wǎng)絡(luò)標識符作為關(guān)鍵詞;c.如果在交換數(shù)據(jù)庫中沒有發(fā)現(xiàn)對應(yīng)于源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符的交換入口并且一相關(guān)的拓撲搜索已知標志被抑制,那么向交換數(shù)據(jù)庫增加一個新的交換入口;和由此防止非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點連接到源物理通信端口上。
8.如權(quán)利要求7所述的方法,其中所述拓撲搜索抑制標志與源通信端口相連。
9.如權(quán)利要求7所述的方法,其中所述拓撲搜索抑制標志與數(shù)據(jù)交換節(jié)點的所有物理通信端口相連。
10.一種安全的傳輸具有相對于數(shù)據(jù)交換節(jié)點目的地未知的數(shù)據(jù)流的方法,所述方法包括以下步驟a.從數(shù)據(jù)交換節(jié)點的源物理通信端口上所接收的未知目的地數(shù)據(jù)流中摘出源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符;b.查詢具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系,所述查詢以被摘出的源數(shù)據(jù)網(wǎng)絡(luò)標識符作為關(guān)鍵詞;c.如果重新設(shè)定一個與數(shù)據(jù)交換節(jié)點相關(guān)的全局未知目的地流控制標志,那么將所接收的數(shù)據(jù)流復(fù)制到數(shù)據(jù)交換節(jié)點的多個物理通信端口中的每一個;d,如果設(shè)定全局未知目的地流控制標志,那么將所接收的數(shù)據(jù)流復(fù)制到除具有拓撲搜索抑制特征的物理通信端口之外的每一個物理通信端口,由此防止連接到具有拓撲搜索抑制標志被設(shè)定的物理通信端口上的非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點監(jiān)測未知目的地數(shù)據(jù)流。
11.如權(quán)利要求10所述的方法,其中復(fù)制所述未知目的地數(shù)據(jù)流,所述方法還包括禁止所述數(shù)據(jù)流向所述源通信端口的復(fù)制的步驟。
12.如權(quán)利要求10所述的方法,其中每個物理通信端口還包括一個相關(guān)的未知目的地流控制位,所述方法還包括以下步驟,禁止所述數(shù)據(jù)流向具有相關(guān)的未知目的地流控制位設(shè)定的通信端口的復(fù)制。
13.一種安全地傳輸具有相對于數(shù)據(jù)交換節(jié)點目的地未知的數(shù)據(jù)流的方法,所述方法包括以下步驟a.從數(shù)據(jù)交換節(jié)點的源物理通信端口上所接收的數(shù)據(jù)流中摘出源數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符;b.查詢具有多個交換入口的交換數(shù)據(jù)庫,多個交換入口中的每一個都說明數(shù)據(jù)網(wǎng)絡(luò)節(jié)點標識符和一個通信端口之間的聯(lián)系,所述查詢以被摘出的源數(shù)據(jù)網(wǎng)絡(luò)標識符作為關(guān)鍵詞;c.如果重新設(shè)定一個與物理通信端口相關(guān)的未知目的地流控制標志,那么將所接收的數(shù)據(jù)流復(fù)制到數(shù)據(jù)交換節(jié)點的多個通信端口中的每一個;d,將所接收的數(shù)據(jù)流復(fù)制到除具有未知目的地流控制標志的物理通信端口之外的每個物理通信端口,由此防止連接到具有拓撲搜索抑制標志被設(shè)定的物理通信端口上的非友好數(shù)據(jù)網(wǎng)絡(luò)節(jié)點監(jiān)測未知目的地數(shù)據(jù)流。
14.如權(quán)利要求13所述的方法,其中復(fù)制所述未知目的地數(shù)據(jù)流,所述方法還包括禁止所述數(shù)據(jù)流向源通信端口復(fù)制的步驟。
全文摘要
本發(fā)明提供一種在數(shù)據(jù)傳輸網(wǎng)絡(luò)中的數(shù)據(jù)交換節(jié)點處安全地傳輸數(shù)據(jù)包的裝置和方法。所述數(shù)據(jù)交換節(jié)點維護交換入口的交換數(shù)據(jù)庫。每個交換入口具有修改保護特征,防止所述入口被激活時被修改。通過與數(shù)據(jù)交換節(jié)點的每個物理通信端口相關(guān)的拓撲搜索控制標志能抑制數(shù)據(jù)網(wǎng)絡(luò)節(jié)點的動態(tài)拓撲發(fā)現(xiàn)。未知目的地數(shù)據(jù)流不會被復(fù)制到如下的物理通信端口,所述物理通信端口具有被抑制的拓撲發(fā)現(xiàn),或者明確這種未知目的地數(shù)據(jù)流的復(fù)制被抑制。其優(yōu)點在于數(shù)據(jù)交換節(jié)點能同時在友好和非友好環(huán)境下運行,同時監(jiān)測、預(yù)防和報告非友好MAC ADDR攻擊的發(fā)生。
文檔編號H04L29/06GK1388683SQ0211975
公開日2003年1月1日 申請日期2002年5月17日 優(yōu)先權(quán)日2001年5月25日
發(fā)明者易正修, 林長華 申請人:扎爾林克半導(dǎo)體V.N.股份有限公司