加速网络安全监控制造技术

本发明专利技术涉及加速网络安全监控。在本文中一般性讨论的是用于网络安全监控（NSM）的系统、设备和方法。硬件队列管理器（HQM）可以包括：输入接口，用以接收来自至少第一工作器线程的第一数据；队列复制电路，用以生成第一数据的至少一部分的拷贝来创建第一拷贝数据；以及输出接口，用以（a）向第二工作器线程提供第一拷贝数据，和/或（b）向第三工作器线程提供第一数据的至少一部分。

【技术实现步骤摘要】
加速网络安全监控
实施例一般涉及诸如为了安全而监控网络。一个或多个实施例与电信（例如，第三代合作伙伴计划（3GPP）、长期演进（LTE）等等）网络或其他网络中的网络安全监控有关。
技术介绍
一些当前广泛使用的用于业务监控/遥测的机制包括使用比如来自sFlow.org联盟的sFlow、来自美国加利福尼亚州圣荷塞的思科系统（CiscoSystems®）公司的Netflow等等的既定协议，以用于收集遥测数据并且将所收集的遥测数据输送给分析系统。分析系统可以对遥测数据实行网络安全分析法。通常由使用端口镜像的物理交换机、使用物理交换机/路由器内的专用硬件引擎进行的基本过滤/统计信息聚合、或者经过专用业务复制硬件来收集业务数据。当前，专利技术人并不知道存在下述已知解决方案：其用于在通用通信平台上以高分组处理速率提供线路速率、安全的网络安全监控能力并且对所讨论的工作量没有明显影响。附图说明在不一定按比例绘制的附图中，相同的附图标记可以在不同视图中描述类似的部件。具有不同字母下标的相同数字可以表示类似部件的不同实例。附图一般作为示例而不是作为限制图示了在本文档中所讨论的各种实施例。图1作为示例图示了用于仅使用软件机制进行安全监控的连同连接线路一起的系统的实施例的示图。图2作为示例图示了包括硬件加速的系统的实施例的示图。图3作为示例图示了用于硬件加速的系统的实施例的示意图。图4作为示例图示了形成图3中示出的较大系统的一部分的较小系统的分解图。图5作为示例图示了系统的实施例的示意图。图6作为示例图示了系统的实施例的示意图。图7作为示例图示了用于对网络安全监控（NSM）进行硬件加速的方法的实施例的示图。图8作为示例图示了系统的实施例的框图。具体实施方式本文中所讨论的是涉及加速NSM的系统和方法。一个或多个实施例包括用以改善这样的加速的硬件解决方案，诸如硬件队列管理器（HQM）。实施例可以在可扩展的运营商网络内帮助输送平台能力（通信平台核心、部件块、CSME/ME/IE）、针对安全部署NSM的增强以及先进的非侵入式调试能力。可以针对来自网络接口控制器（NIC）/交换机的单流处理来对通信平台进行优化。然而，比如网络安全监控（NSM）、平台外遥测数据的安全输送、在实行网络监控的同时维持SLA灵敏度等等的运营安全机制都是可以帮助网络功能虚拟化（NFV）、LTE、3GPP、虚拟演进分组核心（vEPC）和/或虚拟客户端驻地设备（vCPE）网络可见性的任务。因此，解决这些问题可以帮助降低平台上的工作量。本文中讨论的实施例可以通过提供可以解决这些差距中的一个或多个差距的一般机制来帮助解决这种工作量和可见性差距。一个或多个实施例可以安全地将比如融合安全性和可管理性引擎（CSME）、管理引擎（ME）、IE以及软件防护扩展（SGX）之类的平台可信元件与基于电气或电子部件（例如，HQM、高速缓存控制器、密码处理器等等）/现场可编程门阵列（FPGA）的安全和压缩处理进行绑定。当交换功能延伸到诸如使用来自美国马里兰州福利斯特希尔（ForestHill）的Apache®软件基金会的OpenvSwitch(OvS®)或路由器软件的虚拟机（VM）之间的服务器时，在软件中实行相同动作是非常低效率的，并且导致平台分组处理降级。这种降级对于例如租户（例如，基础架构即服务（Iaas）租户）或服务消费器而言可能是显著的。使用交换端口分析器（SPAN）和/或终端接入点（TAP）以及然后使用利用当前通信平台纯软件机制的NSM业务保护（例如，加密、源认证等）来实行端口镜像跨越许多核心消耗了许多计算周期，并且增加了核心对核心通信。考虑到调制解调器服务器上正在增加的分组处理速率（超过每秒100千兆比特（Gbps）并且预计到2020年要达到400Gbps），这是不可持续的。在没有硬件加速的情况下，明文业务入口到业务出口的当前性能水平被干扰，并且可能影响整个平台性能的性能降级限制了可扩展性并且约束了租户负载能力（例如，带宽）或者导致较差的服务水平协议（SLA）输送。通过在精心设计的软件框架中卸载这些能力以及通过对现有HQM的修改，可以经由经改善的系统性能在花费最少的通信平台软件周期、利用HQM卸载以及提供经改善的客户端价值的情况下构造安全网络监控和调试能力。此外，比如SGX和CSME之类的通信平台安全技术可以被用于安全地供应HQM业务策略和存储器区域，以用于将复制的业务进行分流（fork）（例如，“T形分流（teeing）”）。基于SGX和VM的存储器加密技术可以提供一些置信度量度，但是并不保护策略路径和策略处理免受其他VM/虚拟网络功能（VNF）、系统管理员、NFV基础架构管理器等等的影响。NFV通常将网络功能的软件实现方式与用来实行软件的操作的网络功能的硬件实现方式进行解耦。NSM在现有的3GPP/LTE网络中可以是有用的安全提供方。NSM可以包括针对安全威胁来对网络遥测进行安全监控的能力，该安全威胁诸如恶意软件入侵、异常和零日攻击，除了别的以外。随着现有LTE/3GPP系统移至NFV和软件定义系统（SDS），可以提供NSM，同时维持与现有系统中相同的线路速率和相同的功能性。随着平台上核心的数量增加，可以预期的是，比如vEPC或vCPE之类的所有电信基础架构都将在同一平台上运行。因此，在平台上监控vEPC和vCPE网络可能是有用的。当前，在至少一些平台上，该整个处理在平台外的物理网络上是不可见的。因此，在平台上添加比如NSM之类的部件可以帮助增加安全性。换言之，在将VNF（实行特定网络功能的VM）链接到服务功能链（SFC）中的环境中，用以检查和调试每个阶段之间的业务的能力可以帮助针对全面（full-scale）部署来改善安全性。可以由一个或多个实施例来解决这些问题中的一个或多个问题。为了节约计算（例如，中央处理单元（CPU））周期，其可以帮助以通用方式来加速操作，以免从更高级别的计算作业或分组处理工作量取走周期。通过使用在以下部分中所描述的技术，实施例可以帮助实现这些目标。可以将应当针对除现有物理网络功能/系统之外的NFV/SDN系统而解决的一些要求和问题概述如下。这些安全和性能要求取自于由运营商针对通信平台上的NFV/SDN部署所开发的欧洲电信标准协会（ETSI）NFV规范（例如，ETSINFVSEC013、SEC012、SEC001）：1.NFV工作量可以跨平台迁移。这意味着可以将NSM能力连同工作量一起进行复制/迁移。因此，NSM可以在工作量可能迁移到的每个平台上一致地存在。2.NFV/SDN平台支持异构工作量（例如，包括vEPC、vCPE、视频、网络、租户应用等等）。另外，NFV控制平面和数据平面处于完全不同的平台上。这些条件一起可能使NSM性能降级，从而影响SLA和业务，以及使得以确定性方式在所有平台上实行NSM是有用的，从而支持具有低抖动的SLA。3.针对NSM的安全要求（来自ETSINFVSEC013标准规范）需要利用平台信任能力，以便能够安全地输送和实现NSM策略。实施例可以通过诸如从覆盖到物理网络上的动态的、虚拟的网络收集遥测数据来起作用。一个或多个实施例将来自开放的虚拟交换机/路由器的策略引擎集成到通信平台中。一个或多个实施例可以附加地或替换本文档来自技高网...

【技术保护点】
1.一种硬件队列管理器，包括：输入接口，用以接收来自至少第一工作器线程的第一数据；队列复制电路，用以生成所述第一数据的至少一部分的拷贝来创建第一拷贝数据；以及输出接口，用以（a）向第二工作器线程提供所述第一拷贝数据，以及（b）向第三工作器线程提供所述第一数据。

【技术特征摘要】
2017.05.26 US 15/6071211.一种硬件队列管理器，包括：输入接口，用以接收来自至少第一工作器线程的第一数据；队列复制电路，用以生成所述第一数据的至少一部分的拷贝来创建第一拷贝数据；以及输出接口，用以（a）向第二工作器线程提供所述第一拷贝数据，以及（b）向第三工作器线程提供所述第一数据。2.根据权利要求1所述的装置，其中所述第一工作器线程在第一处理核心上执行，所述第二工作器线程在第二处理核心上执行以及所述第三工作器线程在第三处理核心上执行，所述第一、第二和第三处理核心包括单独的处理核心。3.根据权利要求1所述的装置，其中所述第一工作器线程在第一虚拟机上执行，所述第二工作器线程在第二虚拟机上执行以及所述第三工作器线程在第三虚拟机上执行，所述第一、第二和第三处理虚拟机包括单独的虚拟机。4.根据权利要求1所述的装置，其中所述队列复制电路用以拷贝指向所述第一数据的指针。5.根据权利要求4所述的装置，进一步包括用以拷贝所述第一数据的数据拷贝电路。6.根据权利要求1所述的装置，进一步包括队列路由控制电路，用以将所述第一数据和所述第一拷贝数据路由到耦合于第二和第三处理核心与所述硬件队列管理器之间的相应输出队列。7.根据权利要求6所述的装置，进一步包括定序器电路，用以接收用以指示要从多个输入队列拷贝的数据的指示信息，以及向所述第三处理核心提供要被拷贝的数据，以及向所述复制电路提供要被拷贝的数据的拷贝。8.一种包括指令的非临时性机器可读介质，所述指令当在机器上执行时使所述机器实行包括以下各项的操作：接收来自至少第一工作器线程的第一数据；生成所述第一数据的至少一部分的拷贝来创建第一拷贝数据；以及（a）向第二工作器线程提供所述第一拷贝数据，以及（b）向第三工作器线程提供所述第一数据。9.根据权利要求8所述的非临时性机器可读介质，其中所述第二工作器线程是调试线程，以及所述第三工作器线程包括分组检查、网络地址转换、入侵检测、广告插入或路由。10.根据权利要求8所述的非临时性机器可读介质，其中所述第一工作器线程在第一处理核心上执行，所述第二工作器线程在第二处理核心上执行以及所述第三工作器线程在第三处理核心上执行，所述第一、第二和第三处理核心包括单独的处理核心。11.根据权利要求8所述的非临时性机器可读介质，其中所述第一工作器线程在第一虚拟机上执行，所述第二工作器线程在第二虚拟机上执行以及所述第三工作器线程在第三虚拟机上执行，所述第一、第二和第三处理虚拟机包括单独的虚拟机。12.根据权利要求8所述的非临时性机器可读介质，其中生成所述第一数据的至少一部分的拷贝包括拷贝指向所述第一数据的指针。13.根据权利要求8所述的非临时性机器可读介质，其中所述操作进一步...

【专利技术属性】
技术研发人员：K苏德，AJ赫德里希，SP杜巴尔，PL康诺，JR赫恩，ND麦克唐奈，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国,US