本发明专利技术涉及一种用于监控机动车(10)中的数据网络(11)的方法,其中,在数据网络(11)中运行交换机装置(15),在交换机装置中,用于接收和发送数据包(18)的物理端口(16、17)通过交换电路(20)互连。网络处理器(21)在数据包(18)的监控位置(29)上读取探测数据,并且从探测数据形成用于关联存储器(22)的伪目标确定数据(26),关联存储器应处理实际的目标确定数据(26)以确定目标端口,并且通过将伪目标确定数据(26)输入关联存储器(22)中来检查是否产生指示需要探测动作的确定的行动数据(32)。指示需要探测动作的确定的行动数据(32)。指示需要探测动作的确定的行动数据(32)。
【技术实现步骤摘要】
【国外来华专利技术】用于监控机动车中的数据网络的方法和交换机装置以及机动车
[0001]本专利技术涉及一种用于监控机动车中的数据网络的方法。在在数据网络的网络分支之间传送数据包的交换机装置中进行监控。在在此不导致在转送中的滞后或延迟的情况下,应该检查数据包或至少其中一些是否为预定的非期望的数据通信,这种非期望的数据通信例如可能是黑客攻击的一部分或者由于机动车的被篡改的和/或损坏的控制器引起。本专利技术也包括可在机动车的数据网络中用于监控的交换机装置以及具有数据网络和交换机装置的机动车。
技术介绍
[0002]在机动车中,控制器可通过数据网络相互耦联,以便交换数据包,由此,可实现包括多个控制器的车辆功能。这种数据网络的示例是以太网。这种数据网络的网络分支可通过交换机装置(也简称为“交换机”)、即数据交换机互连。为此,每个网络分支可联接在相应的端口上,该端口是用于网络分支的物理接口以及用于发送和接收数据包的电路。如果数据包到达交换机的端口,则确定数据包必须被转送至哪个另外的网络分支中或哪些另外的网络分支中。于是,在交换机装置之内借助交换电路将数据包转送或发送给相应的端口。交换电路通过确定相应的目标端口的网络处理器控制。
[0003]为了确定必须将接收的数据包转送到哪里,即必须在哪个目标端口处通过交换电路引导接收的数据包,可设置所谓的关联存储器。这种关联存储器的另一名称也是CAM过滤器(CAM
‑
内容可寻址存储器)、例如TCAM(三态内容可寻址存储器)。利用这种关联存储器可控制在交换机装置的交换电路中的所谓的交换或路由。通过以交换的方式转送数据包,可保持网络分支彼此逻辑分离,由此也可实现防火墙功能。在关联存储器中,作为输入数据可输入来自接收的数据包的有限数量的位或字节,以便获得描述至少一个待使用的目标端口的目标端口数据。关联存储器应能处理的来自接收的数据包的这种目标确定数据越多,即应能处理的来自接收数据包的数据越长或越多,那么在关联存储器中需要的芯片面积和功率消耗越多。因此,在交换机装置中提供复杂的关联存储器是成本昂贵的,因此希望避免这种情况。
[0004]相反地,为了识别数据网络中的篡改,即所谓的IDS(入侵检测系统)和防火墙功能,令人感兴趣的是从接收的数据包分析尽可能多的数据包数据。这与尽可能低成本地提供关联存储器的要求矛盾。由此,仅当关联存储器相应复杂地设计并且进而成本昂贵时,才能利用关联存储器分析例如更高的协议层。
[0005]例如可借助关联存储器检查E
‑
Mail数据通信是否来自非期望的发送地址,这在US 2005/0 216 770 A1中进行了描述。然而,这需要相应成本昂贵的TCAM。
[0006]从US 2007/022474 A1中已知,可将关联的CAM存储器用于同时存储用于不同的过滤应用的数据。
技术实现思路
[0007]本专利技术的目的是,借助关联存储器和与关联存储器连接的网络处理器的有限的资源监控数据网络,用以发现非期望的数据包或数据内容。
[0008]该目的通过独立权利要求的主题实现。通过从属权利要求、以下的说明以及附图描述本专利技术的有利的实施方式。
[0009]通过本专利技术描述了一种用于监控机动车中的数据网络的方法,其中,在数据网络中运行交换机装置,在交换机装置中,用于接收和发送数据包的物理端口通过交换电路(也就是说实际的交换机或实际的数据交换机)互连,并且在该方法中,通过所述网络处理器从通过端口中的一个接收到的相应的数据中包读取目标确定数据。目标确定数据是在数据包的预定的选择位置处、例如在预定的字节位置(例如第5至11字节)处读取的数据。随后,通过关联存储器将目标确定数据与所谓的目标端口数据相关联,目标端口数据说明了用于数据包的至少一个目标端口。随后,根据目标端口数据从现有的端口中选择至少一个端口作为目标端口。随后,通过交换电路将接收到的数据包引导/传送到用于发送的所述至少一个目标端口。因此,本专利技术的出发点是已知的交换机装置、即所谓的交换机,数据网络的网络分支可通过该交换机彼此互连。为此,为了确定目标端口,在数据包的选择位置上从数据包读取目标确定数据。通过关联存储器,将目标确定数据与所需的目标端口数据相关联,目标端口数据说明,通过哪个目标端口将数据包再次输出到数据网络中,也就是说应将数据包转送到哪个网络分支中。仅举例而言,数据包的选择位置例如可描述来自数据包的MAC地址(MAC
‑
媒体访问控制)和/或IP地址(IP
‑
因特网协议)。在此,可实现从现有技术已知的“交换”和/或“路由”。每个物理端口可以以所述的方式设置用于网络分支的网络缆线的机械接口和/或用于以已知的方式接收和发送数据包的收发器电路。
[0010]现在,为了利用所述的资源实现根据本专利技术的目的,本专利技术规定,附加地作为可能的目标确定数据,待监控的和/或待探测的包类型和/或数据内容的至少一个数据模式分别与相应关联的行动数据一起保持存储在关联存储器中。即换句话说,关联存储器不仅准备有用于引导到用于转送接收的数据包的目标端口数据的目标确定数据的数据模式,而且附加地,当在接收的数据包中识别出相应的数据模式时,利用这种应导致行动数据的数据模式占据关联存储器的另外的存储单元或存储寄存器。相应地,本专利技术此外规定,在网络处理器中,除了用于所述的目标确定数据的选择位置以外,还确定用于待监控的探测数据的监控位置,即接收的数据包中的存在能表明数据网络的篡改的数据的位置。于是,此外规定,网络处理器在监控位置上从数据包读取探测数据,并且由此形成在此被称为伪目标确定数据的数据,因为伪目标确定数据与目标确定数据自身一样用作关联存储器的输入数据。在此,在硬件技术上,不必以另外的方式设计关联存储器。通过将伪目标确定数据输入关联存储器中,检查产生了哪些行动数据。换句话说,在网络处理器中,定义在此被称为监控位置或探测位置的另外的选择位置。同样,应在这些监控位置处,即在数据包的预定的位或字节上读取数据包的数据内容。于是,通过所读取的数据产生探测数据。该探测数据可以如目标确定数据那样被处理,也就是说,探测数据可以作为结果数据输入或提供给关联存储器。随后,关联存储器以相同的方式对目标确定数据做出反应,即在与关联存储器中的数据模式之一一致时,关联存储器输出相关联的数据,但是该相关联的数据现在不是目标端口数据,而是所述的行动数据。因为探测数据可以如目标确定数据那样被使用,所以在此探测数据
也被称为伪目标确定数据,即通过本专利技术不必以任何方式特殊地装配或扩展关联存储器。数据模式可以是位模式或字节模式。
[0011]于是,如果存在行动数据(因为在数据包中其探测数据相应于用于行动数据的数据模式),那么规定,根据产生的行动数据控制或开始用于该数据包的探测动作,并且将从该探测动作产生的结果数据在数据接口处提供给通过数据接口与交换机装置耦联的计算单元。可通过网络处理器自身或者通过交换机装置的附加的处理器执行该探测动作。例如可以基于用于网络处理器的软件实现探测动作。通过数据接口耦联的计算单元可以以微处理器、本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于监控机动车(10)中的数据网络(11)的方法,其中,在数据网络(11)中运行交换机装置(15),在所述交换机装置中,用于接收和发送数据包(18)的物理端口(16、17)通过交换电路(20)互连,在所述方法中,通过网络处理器(21)从通过端口(16、17)中的一个接收到的相应的数据包(18)中在该数据包(18)的预定的选择位置(25)处读取目标确定数据(26);通过关联存储器(22)使目标确定数据(26)与目标端口数据(27)相关联,所述目标端口数据说明/给出用于数据包(18)的至少一个目标端口(19);根据目标端口数据(27)选择所述端口(16、17)中的至少一个作为相应的目标端口(19);通过交换电路(20)将所接收的数据包(18)引导到用于发送的所述至少一个目标端口(19)处,其中,附加地作为可能的目标确定数据,待监控的和/待探测的包类型和/或数据内容的至少一个数据模式(23)分别与相应关联的行动数据(32)一起保持存储在所述关联存储器(22)中,在所述网络处理器(21)中,除了用于相应数据包(18)的目标确定数据(26)的选择位置(25)以外,还确定相应数据包(18)的待监控的探测数据(30)的监控位置(29),所述网络处理器(21)在所述监控位置(29)处从数据包(18)读取探测数据(30)并从探测数据(30)中形成伪目标确定数据(26'),其中,从数据包(18)的探测数据(30)中形成伪目标确定数据(26)包括,借助移位运算(31)重新排布探测数据(30)和/或借助至少一个组合规则组合探测数据;所述网络处理器(21)通过将伪目标确定数据(26)输入关联存储器(22)中来检查产生了哪些行动数据(32),根据所产生的行动数据(32)控制用于数据包(18)的探测动作(33),并且将所述探测动作的结果数据(37)通过数据接口(34)传递给通过数据接口(34)与交换机装置(15)耦联的微处理器(35)。2.根据权利要求1所述的方法,其中,...
【专利技术属性】
技术研发人员:K,
申请(专利权)人:TTTECH汽车股份公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。