用于监控网络中的网络成员之间的通信量的方法技术

本发明专利技术涉及一种借助于状态防火墙来监控尤其是在汽车网络中的由网络交换机（110）所连接的网络成员（142、152、162）之间的通信量的方法。在接收到两个网络成员（152、162）之间的数据传输时，网络交换机（110）的内容可寻址存储器CAM（130、220）根据CAM中的状态防火墙规则来判定是允许还是拒绝该所接收到的数据传输。

【技术实现步骤摘要】
用于监控网络中的网络成员之间的通信量的方法
本专利技术涉及用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法，以及用于实行该方法的计算单元和计算机程序。
技术介绍
所谓的内容可寻址存储器（CAM）是一种类型的存储器，该类型的存储器可以在一个时钟周期内对其整个内容进行搜索，在此过程中CAM通过内容而不是通过地址进行搜索。CAM将输入的搜索数据对着所存储的数据的表进行比较，并且返回匹配的数据的地址。三态内容可寻址存储器（TCAM）具有存储和搜索三个不同输入0、1和x的能力，其中x表示所谓的“不关心”状态。例如，TCAM可能具有诸如“10xx0”之类的条目，其中“x”指示“不关心”状态。此条目将与下述四个搜索关键词中的任何关键词相匹配：“10000”、“10010”、“10100”或“10110”。二进制内容可寻址存储器仅可以存储和搜索0或1。例如，在US8166536B1中描述了针对防火墙的CAM的使用，该防火墙用于在网络中过滤网络通信量。对应的过滤包括正则表达式，该正则表达式被防火墙转换成可以存储在三态内容可寻址存储器TCAM中的格式中。防火墙基于经转换的一个或多个输入正则表达式来对TCAM进行编程以实现过滤。进一步改善防火墙中的内容可寻址存储器（CAM）特别地是三态内容可寻址存储器（TCAM）的使用，尤其是针对汽车网络中的使用是合期待的。
技术实现思路
根据本专利技术，提出了一种用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法，以及具有独立权利要求的特征的用于实行该方法的计算单元和计算机程序。有利的进一步的发展形成了从属权利要求的以及后续描述的主题。不同网络成员与网络交换机尤其是以太网交换机相连接。特别地，每个网络成员与网络交换机的不同端口相连接。网络交换机包括处理器单元和内容可寻址存储器（CAM），特别地是三态内容可寻址存储器（TCAM）。处理器单元可以是单个中央处理单元（CPU）或者具有两个或更多个CPU的多核处理器。在以下描述中，该处理也被称为“交换机CPU”。为了例如防止攻击以及有害内容的引入，借助于状态防火墙来监控网络的通信量。在网络交换机中实现此状态防火墙。以下述协同设计的方式在网络交换机中实现该状态防火墙：一方面通过在处理单元上执行的软件以及另一方面通过以CAM形式的硬件。状态防火墙是一种始终监视从网络的一个端点到另一个端点的连接的防火墙。特别地，状态防火墙随着时间对传入和传出数据、数据单元或数据包以及网络成员之间的连接状态进行监控，并且将此信息存储在动态状态表中。出于此目的，提供了一种所谓的状态防火墙状态表，在下文中也被称为“状态表”。此状态表的条目被称为状态防火墙规则，在下文中也被简称为“规则”。这些状态防火墙规则陈述了不同网络成员之间的连接和/或数据传输是被允许的还是被拒绝的。特别地，仅交换机CPU有权访问此状态表。例如，状态表可以存储在交换机CPU的内部存储器（例如，寄存器）中，或者在尤其是仅交换机CPU有权访问的比如闪速存储器、EEPROM等等的存储器单元中。为了穿过状态防火墙在两个网络成员之间传输数据，首先需要在这两个网络成员之间建立连接。网络交换机的处理器单元被用于监控和验证该种类连接的建立。在连接被建立之后，CAM被用来对要在所连接的网络成员之间传输的数据或数据单元进行监控。出于此目的，根据本专利技术的方法包括以下步骤：在接收到在两个网络成员之间建立连接的请求时，处理器单元根据状态防火墙状态表来判定是允许还是拒绝该连接。如果所请求的连接与状态表的状态防火墙规则相匹配并且根据状态表是被允许的，则处理器允许建立该连接。如果另一方面，所请求的连接与状态表的规则相匹配但是根据状态表是被拒绝的，则处理器不允许建立该连接。如果所请求的连接与状态表的任何状态防火墙规则都不匹配，则交换机CPU拒绝该连接。如果连接是被允许的并且被建立，则处理器单元关于所建立的连接来更新状态防火墙状态表。此外，如果连接是被允许的并且被建立，则在接收到两个网络成员之间的数据传输时，CAM将此所接收到的数据传输与来自存储在CAM中的状态防火墙状态表的状态防火墙规则进行比较。取决于此比较的结果，所接收到的数据传输被允许或被拒绝或者被传递到处理器单元以用于进一步评估。存储在CAM中的状态防火墙规则与对应的动作得当地相链接。特别地，此所存储的状态防火墙规则陈述了作为对应的动作是允许还是拒绝所接收到的数据传输或者是否要将所接收到的数据传输传递到处理器单元以用于进一步评估。CAM尤其将所接收到的数据传输的属性与对应的所存储的状态防火墙规则的属性进行比较。如果全部属性都匹配，则CAM特别地实行与状态防火墙规则相链接的对应的动作，即允许、拒绝数据传输或将数据传输传递到CPU。应当理解的是，来自状态表的有关两个网络成员之间的不同种类的数据传输的两个或更多个状态防火墙规则可以存储在CAM中。例如，这些不同规则可以关系到不同种类的数据从两个网络成员中的第一个到第二个的传输以及反之亦然。如果所接收到的数据传输与存储在CAM中的状态防火墙规则相匹配并且根据该规则是被允许的，则CAM接受该数据并且允许其传过网络交换机。如果所接收到的数据传输与存储在CAM中的状态防火墙规则相匹配但是根据该规则是被拒绝的，则CAM特别地丢弃该数据并且拒绝其传过网络交换机。特别地，如果所接收到的数据传输与存储在CAM中的状态防火墙规则中的任何状态防火墙规则不匹配，则该数据传输被拒绝或者被传输到CPU，该CPU对该数据进行进一步评估并且判定是允许还是拒绝该数据传过网络交换机。如果所接收到的数据传输将触发所建立的连接的状态改变，则CAM尤其将所接收到的数据传输传送到处理器单元，该处理器单元对该数据进行进一步评估并且判定是允许还是拒绝该数据传过网络交换机，以及相应地尤其更新所建立的连接的状态。因此，通过在处理单元上执行的软件来在网络交换机中实现状态防火墙的第一部分，即监控、允许、拒绝连接请求。通过以CAM形式的硬件来在网络交换机中实现状态防火墙的第二部分，即是对在所连接的网络成员之间的数据传输进行监控。因此，可以将对所连接的网络成员之间的通信量的此种监控从交换机CPU外包到CAM，特别地是在处理器单元的运行时间期间。在普通状态防火墙中，状态防火墙的对应的CPU通常被用来监控和验证网络成员之间的连接以及监控、允许、拒绝所连接的网络成员之间的通信量。因此，通常仅通过在对应的CPU上执行的软件来实现普通状态防火墙。由于普通状态防火墙的对应的状态表通常被维持在仅仅来自交换机内部CPU才可访问的存储器单元中，因此仅该CPU了解网络成员的当前连接状态以及特定数据传输是否是被允许的。因此，在普通状态防火墙的端口处所接收到的每个数据传输需要被发送到CPU来判定是否允许包通过或者是否拒绝它。然而，将每个数据传输发送到CPU引入了延迟，这降低了带宽。当数据传输的到达率在该类型的普通状态防火墙的所有端口上都非常高时，即当在全部端口上都接收到大量数据或数据包时，则由于有限的处理能力，对应的CPU可能不能够处理全部到达的数据传输。因此，存在数据被丢失的危险。然而，数据包的延迟或丢失造成巨大问题，尤其是在比如车辆中的汽车网络之类的安全关本文档来自技高网...

【技术保护点】
1.一种用于借助于状态防火墙来监控在网络（100）尤其是在汽车网络中的网络成员（142、152、162）之间的通信量的方法，其中在网络（100）中，不同网络成员（142、152、162）与网络交换机（110）相连接，所述网络交换机（110）包括处理器单元（120）和内容可寻址存储器CAM（130），所述处理器单元（120）有权访问具有陈述了不同网络成员（142、152、162）之间的连接和数据传输是被允许的还是被拒绝的状态防火墙规则的状态防火墙状态表；其中所述方法包括以下步骤：◦ 在接收到在两个网络成员（152、162）之间建立连接的请求时，所述处理器单元（120）根据所述状态防火墙状态表来判定是允许还是拒绝所述连接（210）；◦ 如果所述连接是被允许的并且被建立，则在接收到（241）所述两个网络成员（152、162）之间的数据传输时，所述CAM（130）将该所接收到的数据传输与来自存储在所述CAM（130）中的状态防火墙状态表的状态防火墙规则进行比较；以及◦ 取决于该比较的结果，所述所接收到的数据传输被允许或被拒绝（243、244）或者被传递（246）到所述处理器单元（120）以用于进一步评估（240）。...

【技术特征摘要】
2017.08.08 EP 17185250.21.一种用于借助于状态防火墙来监控在网络（100）尤其是在汽车网络中的网络成员（142、152、162）之间的通信量的方法，其中在网络（100）中，不同网络成员（142、152、162）与网络交换机（110）相连接，所述网络交换机（110）包括处理器单元（120）和内容可寻址存储器CAM（130），所述处理器单元（120）有权访问具有陈述了不同网络成员（142、152、162）之间的连接和数据传输是被允许的还是被拒绝的状态防火墙规则的状态防火墙状态表；其中所述方法包括以下步骤：◦在接收到在两个网络成员（152、162）之间建立连接的请求时，所述处理器单元（120）根据所述状态防火墙状态表来判定是允许还是拒绝所述连接（210）；◦如果所述连接是被允许的并且被建立，则在接收到（241）所述两个网络成员（152、162）之间的数据传输时，所述CAM（130）将该所接收到的数据传输与来自存储在所述CAM（130）中的状态防火墙状态表的状态防火墙规则进行比较；以及◦取决于该比较的结果，所述所接收到的数据传输被允许或被拒绝（243、244）或者被传递（246）到所述处理器单元（120）以用于进一步评估（240）。2.根据权利要求1所述的方法，其中，如果所述连接是被允许的并且被建立，则所述处理器单元（120）-存储（222）来自所述CAM（130、220）中的状态防火墙状态表的有关所述两个网络成员之间的数据传输的状态防火墙规则，或者-启用来自存储在所述CAM（130、220）中的状态防火墙状态表的有关所述两个网络成员之间的数据传输的状态防火墙规则。3.根据权利要求1或2所述的方法，其中，如果所述所接收到的数据传输被传递到所述处理器单元（120）以用于进一步评估（246），则所述处理器单元（120）判定（247）是允许还是拒绝所述数据传输并且改变（248）存储在所述CAM（130）中的状态防火墙规则。4.根据前述权利要求中的任一项所述的方法，其中-存储在所述CAM（130）中的状态防火墙规则描述了所述两个网络成员（152、162）之间的数据传输的属性，以及该数据传输是被允许的还是被拒绝的或者被传输到所述处理器单元（120），以及-在接收到（241）所述两个网络成员（152、162）之间的数据传输时，所述CAM（130）评估（242）...

【专利技术属性】
技术研发人员：M撒尔斯特罗姆，S舒克拉，
申请(专利权)人：罗伯特·博世有限公司，
类型：发明
国别省市：德国,DE