網(wǎng)絡(luò)環(huán)境分離的制作方法
【專利摘要】本發(fā)明公開的主題尤其包括分離模塊,分離模塊在工作上可連接到可被操作用以便利于通信網(wǎng)絡(luò)中的數(shù)據(jù)通信的網(wǎng)絡(luò)設(shè)備��,分離模塊被配置成控制通信網(wǎng)絡(luò)中的數(shù)據(jù)通信,分離模塊被分配有將分離模塊與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的網(wǎng)絡(luò)id��;分離模塊被進一步配置成:標記由網(wǎng)絡(luò)設(shè)備從第一方向接收到的數(shù)據(jù)包,以便將數(shù)據(jù)包與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)��;并且確定與由網(wǎng)絡(luò)設(shè)備從第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與被分配的網(wǎng)絡(luò)id兼容,并且如果是��,則從數(shù)據(jù)包去除標記并且允許數(shù)據(jù)包的傳送��。
【專利說明】網(wǎng)絡(luò)環(huán)境分離
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全性領(lǐng)域��,并且更具體地涉及網(wǎng)絡(luò)環(huán)境分離領(lǐng)域��。
【背景技術(shù)】
[0002]在通信網(wǎng)絡(luò)內(nèi)的節(jié)點的組之間進行分離正成為信息安全性領(lǐng)域中的關(guān)鍵要素��,其中每個組構(gòu)成分離的網(wǎng)絡(luò)環(huán)境��。考慮例如圖1中示出的網(wǎng)絡(luò)架構(gòu),圖1示出了由兩個接入路由器(Rl和R2)建立的通過經(jīng)加密的虛擬專用網(wǎng)絡(luò)(VPN)通道連接的局域網(wǎng)LANl和LAN2(LAN-局域網(wǎng))��。例如,LANl和LAN2可以表示位于地球上的不同位置處的同一組織的局域網(wǎng)��。在圖1中可以看出,在該網(wǎng)絡(luò)的任一側(cè)的路由器Rl和R2每個都連接到多個節(jié)點��。LANl和LAN2中的節(jié)點被劃分成部門A (例如工程)和部門B (例如會計)這些部門。LANl和LAN2二者中被分配給部門A的節(jié)點構(gòu)成第一網(wǎng)絡(luò)環(huán)境并且LANl和LAN2 二者中被分配給部門B的節(jié)點構(gòu)成第二網(wǎng)絡(luò)環(huán)境��。
[0003]由于各種原因,在同一組織中的不同部門之間維持清晰的分離并且建立分離的網(wǎng)絡(luò)環(huán)境常常是有利的��,這防止了從一個環(huán)境到另一個環(huán)境的未授權(quán)的數(shù)據(jù)傳遞��。然而,雖然從一個LAN向另一 LAN傳遞的數(shù)據(jù)可被加密��,但是在數(shù)據(jù)進入了目標LAN的內(nèi)部域時��,它被解密并且變得易受未授權(quán)的環(huán)境的訪問的攻擊��。
[0004]下面列出被認為與本發(fā)明公開的主題相關(guān)的公開參考文獻來作為背景��。本文中對參考文獻的引用不應(yīng)該被推斷出意味著這些參考文獻以任何方式與本發(fā)明公開的主題的可專利性相關(guān)��。
[0005]針對局域網(wǎng)和城域網(wǎng)的虛擬橋接局域網(wǎng)IEEE標準:IEEE標準802.lQ?-2005、IEEE 標準 802.1Q-1998��、IEEE 標準 802.lu?-2001、IEEE 標準 802.lv?-2001 以及 IEEE 標準802.ls?-2002o
【發(fā)明內(nèi)容】
[0006]根據(jù)本發(fā)明公開的主題的一個方面��,提供有一種分離模塊:該分離模塊在工作上可連接到可被操作用以便利于通信網(wǎng)絡(luò)中的數(shù)據(jù)通信的網(wǎng)絡(luò)設(shè)備��,該分離模塊被配置成控制通信網(wǎng)絡(luò)中的數(shù)據(jù)通信��,該分離模塊被分配有將分離模塊與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的網(wǎng)絡(luò)id ;該分離模塊被進一步配置成:在網(wǎng)絡(luò)id的幫助下標記由網(wǎng)絡(luò)設(shè)備從第一方向接收到的數(shù)據(jù)包��,以便將數(shù)據(jù)包與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)��;并且確定與由網(wǎng)絡(luò)設(shè)備從第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與被分配的網(wǎng)絡(luò)id兼容,并且如果是��,則從數(shù)據(jù)包去除標記并且允許數(shù)據(jù)包的傳送。
[0007]根據(jù)本發(fā)明公開的主題的特定實施方式��,分離模塊是內(nèi)部分離模塊,其中��,第一方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向,并且第二方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向��。
[0008]根據(jù)本發(fā)明公開的主題的特定實施方式,分離模塊是外部分離模塊��,其中,第一方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向��,并且第二方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向。
[0009]根據(jù)本發(fā)明公開的主題的特定實施方式��,分離模塊包括被配置成使分離模塊適于匹配第一方向性或第二方向性中的一個方向性的方向確定模塊��,其中��,在第一方向性中��,第一方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向并且第二方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向,而在第二方向性中��,第一方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向并且第二方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向。
[0010]根據(jù)本發(fā)明公開的主題的特定實施方式��,標記被施加于數(shù)據(jù)包的有效載荷。
[0011]根據(jù)本發(fā)明公開的主題的特定實施方式,根據(jù)權(quán)利要求1所述的分離模塊進一步包括:
[0012]用于存儲網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫和與被配置成進行標記的標記模塊相關(guān)聯(lián)的處理器��;以及被配置成確定標記是否與分離模塊兼容的驗證模塊��。
[0013]根據(jù)本發(fā)明公開的主題的特定實施方式,分離模塊被合并在安全性管理器中��;安全性管理器在工作上連接到網(wǎng)絡(luò)設(shè)備和外部網(wǎng)絡(luò)、并且可被操作用以控制網(wǎng)絡(luò)設(shè)備與外部網(wǎng)絡(luò)之間的數(shù)據(jù)傳送��;安全性管理器包括被配置用于存儲網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫或者以其它方式與被配置用于存儲網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫相關(guān)聯(lián);分離模塊被配置成:接收經(jīng)由網(wǎng)絡(luò)設(shè)備中的外部分離模塊發(fā)送的數(shù)據(jù)包��;數(shù)據(jù)包包括第一標記和第二標記;確定與數(shù)據(jù)包相關(guān)聯(lián)的第二標記是否與存儲在數(shù)據(jù)儲存庫中的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��;如果是,則從數(shù)據(jù)包去除標記��;并且確定與數(shù)據(jù)包相關(guān)聯(lián)的第一標記是否與存儲在數(shù)據(jù)儲存庫中的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容;如果是��,則從數(shù)據(jù)包去除標記;并且允許數(shù)據(jù)包向外部網(wǎng)絡(luò)的傳送��。
[0014]根據(jù)本發(fā)明公開的主題的另一方面��,提供有一種被配置成控制與一個或多個網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的節(jié)點之間的數(shù)據(jù)通信的網(wǎng)絡(luò)設(shè)備��;該網(wǎng)絡(luò)設(shè)備包括:至少第一分離模塊和第二分離模塊��,第一分離模塊在工作上連接到與網(wǎng)絡(luò)設(shè)備相連接的第一節(jié)點��;第一分離模塊被配置成:在被分配給第一分離模塊的網(wǎng)絡(luò)id的幫助下標記從第一節(jié)點接收到的數(shù)據(jù)包,標記指示第一節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境��;并且朝著第二分離模塊傳送數(shù)據(jù)包��。
[0015]根據(jù)本發(fā)明公開的主題的特定實施方式��,第二分離模塊與連接到網(wǎng)絡(luò)設(shè)備的第二節(jié)點相關(guān)聯(lián)��;第二分離模塊被配置成:接收數(shù)據(jù)包;確定與數(shù)據(jù)包相關(guān)聯(lián)的標記是否與第二分離模塊兼容��;并且如果是,則從數(shù)據(jù)包去除標記并且允許數(shù)據(jù)包向第二節(jié)點的傳送��。
[0016]根據(jù)本發(fā)明公開的主題的特定實施方式,第二分離模塊是與將網(wǎng)絡(luò)設(shè)備連接到第二網(wǎng)絡(luò)設(shè)備的外部通信網(wǎng)絡(luò)相關(guān)聯(lián)的外部分離模塊��;外部分離模塊被配置成:用第二標記來標記從第一分離模塊接收到的數(shù)據(jù)包,第二標記指示網(wǎng)絡(luò)設(shè)備的相應(yīng)的網(wǎng)絡(luò)環(huán)境��;并且朝著第二網(wǎng)絡(luò)設(shè)備傳送數(shù)據(jù)包。
[0017]根據(jù)本發(fā)明公開的主題的又一方面��,一種安全小形狀因子可插拔收發(fā)器(SFP)包括上述分離模塊��,SFP在工作上可連接到網(wǎng)絡(luò)設(shè)備以便利于通信網(wǎng)絡(luò)中的與網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)通信。
[0018]根據(jù)本發(fā)明公開的主題的再一方面��,提供有一種控制通信網(wǎng)絡(luò)中的數(shù)據(jù)傳送的方法��,該方法包括:
[0019]標記在通信網(wǎng)絡(luò)中由網(wǎng)絡(luò)設(shè)備從第一方向接收到的數(shù)據(jù)包;所述標記是在被分配給網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)id的幫助下進行的��,網(wǎng)絡(luò)id指示了數(shù)據(jù)包與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián);并且確定與由網(wǎng)絡(luò)設(shè)備從第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與被分配給目標設(shè)備的網(wǎng)絡(luò)id兼容��,并且如果是,則從數(shù)據(jù)包去除標記并且允許數(shù)據(jù)包向目標設(shè)備的傳送��。[0020]根據(jù)本發(fā)明公開的主題的特定實施方式��,第一方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向��,并且第二方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向��。
[0021]根據(jù)本發(fā)明公開的主題的特定實施方式,第一方向是遠離網(wǎng)絡(luò)設(shè)備的下行鏈路方向��,并且第二方向是朝著網(wǎng)絡(luò)設(shè)備的上行鏈路方向��。
[0022]根據(jù)本發(fā)明公開的主題的特定實施方式��,其中,網(wǎng)絡(luò)設(shè)備連接到第一節(jié)點和第二節(jié)點��,該方法包括:對從連接到網(wǎng)絡(luò)設(shè)備的第一節(jié)點接收到的數(shù)據(jù)包進行標記��;并且對向連接到網(wǎng)絡(luò)設(shè)備的第二節(jié)點傳送的數(shù)據(jù)包進行確定��;從而控制第一節(jié)點與第二節(jié)點之間的數(shù)據(jù)傳送。
[0023]根據(jù)本發(fā)明公開的主題的再一方面��,提供有一種控制經(jīng)由網(wǎng)絡(luò)設(shè)備的在通信網(wǎng)絡(luò)中的數(shù)據(jù)傳送的方法,該方法包括:從連接到網(wǎng)絡(luò)設(shè)備的第一節(jié)點接收目的地是連接到第二網(wǎng)絡(luò)設(shè)備的第二節(jié)點的數(shù)據(jù)包;網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備通過通信網(wǎng)絡(luò)相連接��;用指示第一節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境的標記來標記從第一節(jié)點接收到的數(shù)據(jù)包��;用指示網(wǎng)絡(luò)設(shè)備的相應(yīng)的網(wǎng)絡(luò)環(huán)境的第二標記來標記數(shù)據(jù)包��;并且將數(shù)據(jù)包經(jīng)由通信網(wǎng)絡(luò)傳送到第二網(wǎng)絡(luò)設(shè)備;從而使得第二網(wǎng)絡(luò)設(shè)備能夠確定是否允許數(shù)據(jù)包的傳送��。
[0024]根據(jù)本發(fā)明公開的主題的特定實施方式��,該方法進一步包括:接收來自第二網(wǎng)絡(luò)設(shè)備的��、目的地是連接到網(wǎng)絡(luò)設(shè)備的節(jié)點的數(shù)據(jù)包��;數(shù)據(jù)包包括第一標記和第二標記��;在與數(shù)據(jù)包相關(guān)聯(lián)的第二標記與網(wǎng)絡(luò)設(shè)備兼容的情況下:從數(shù)據(jù)包去除標記;在與數(shù)據(jù)包相關(guān)聯(lián)的第一標記與節(jié)點兼容的情況下:從數(shù)據(jù)包去除標記��;并且允許數(shù)據(jù)包向節(jié)點的傳送。
【專利附圖】
【附圖說明】
[0025]為了理解本發(fā)明公開的主題并且為了了解在實際中如何進行本發(fā)明��,現(xiàn)在將參照附圖通過僅非限制性示例來描述主題��,在附圖中:
[0026]圖1是示意性地示出了本領(lǐng)域中已知的網(wǎng)絡(luò)架構(gòu)的示例的框圖��;
[0027]圖2是示意性地示出了根據(jù)本發(fā)明公開的主題的路由器和安全SFP收發(fā)器的功能框圖��;
[0028]圖3是示意性地示出了根據(jù)本發(fā)明公開的主題的網(wǎng)絡(luò)環(huán)境分離模塊的功能框圖;
[0029]圖4是示意性地示出了根據(jù)本發(fā)明公開的主題的網(wǎng)絡(luò)架構(gòu)的功能框圖��;
[0030]圖5是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖;
[0031]圖6是示意性地示出了根據(jù)本發(fā)明公開的主題的另一網(wǎng)絡(luò)架構(gòu)的功能框圖��;
[0032]圖7是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖;
[0033]圖8是示意性地示出了根據(jù)本發(fā)明公開的主題的另一網(wǎng)絡(luò)架構(gòu)的功能框圖��;
[0034]圖9是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖;
[0035]圖10是示意性地示出了根據(jù)本發(fā)明公開的主題的安全性管理器的功能框圖��;以及
[0036]圖11是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖。
【具體實施方式】
[0037]在附圖和所闡述的描述中��,相同的附圖標記表示這些部件通用于不同的實施方式或配置。
[0038]除非特別聲明��,否則,在根據(jù)以下論述中顯而易見��,應(yīng)該理解��,貫穿本說明書��,利用了術(shù)語例如“控制”、“標記”��、“允許”、“驗證”��、“確定”等的論述包括操縱數(shù)據(jù)和/或?qū)?shù)據(jù)變換成其它數(shù)據(jù)的計算機的動作和/或過程,所述數(shù)據(jù)被表示為物理量例如電子量和/或所述數(shù)據(jù)表示物理對象��。
[0039]如本文所使用的那樣��,短語“例如”��、“比如”及其變型描述了本發(fā)明公開的主題的非限制性實施方式。本說明書中對“一個情況”��、“一些情況”、“其它情況”或其變型的參照意味著關(guān)于一個或多個實施方式描述的特定的特征��、結(jié)構(gòu)或特性包括在本發(fā)明公開的主題的至少一個實施方式中。因此��,短語“一個情況”��、“一些情況”��、“其它情況”或其變型的出現(xiàn)并不一定是指相同的一個或多個實施方式��。
[0040]應(yīng)該理解,為清楚起見在單獨實施方式的上下文中描述的本發(fā)明公開的主題的一些特征也可以設(shè)置在單個實施方式的組合中��。相反地,為了簡便起見在單個實施方式的上下文中描述的本發(fā)明公開的主題的各種特征也可以單獨地設(shè)置或設(shè)置在任何合適的子組
由
口卞ο
[0041]在本發(fā)明公開的主題的實施方式中��,可以執(zhí)行比圖5、圖7、圖9以及圖11中示出的階段更少��、更多和/或不同的階段。在本發(fā)明公開的主題的實施方式中��,可以按不同的次序執(zhí)行圖5��、圖7��、圖9以及圖11中示出的一個或多個階段和/或可以同時執(zhí)行一個或多個組的階段��。圖2、圖3��、圖4��、圖6、圖8以及圖10示出了根據(jù)本發(fā)明公開的主題的實施方式的系統(tǒng)和/或網(wǎng)絡(luò)架構(gòu)的一般示意圖��。圖2、圖3��、圖4、圖6��、圖8以及圖10中的模塊可以由進行本文所限定并且說明的功能的軟件、硬件和/或固件的任何組合組成。圖2��、圖3、圖
4��、圖6��、圖8以及圖10可以集中在一個位置或分散在多于一個位置的位置處��。在本發(fā)明公開的主題的其它實施方式中,系統(tǒng)可以包括比圖2��、圖3��、圖4、圖6��、圖8以及圖10中示出的模塊更少、更多和/或不同的模塊��。
[0042]如上所述,往往期望創(chuàng)建組織內(nèi)的分離的網(wǎng)絡(luò)環(huán)境��,并且從而防止未授權(quán)的數(shù)據(jù)在組織內(nèi)的被分配給不同網(wǎng)絡(luò)環(huán)境的不同節(jié)點之間傳遞。為此��,本發(fā)明公開的主題的教示包括可被合并在網(wǎng)絡(luò)設(shè)備內(nèi)并且可以控制不同網(wǎng)絡(luò)環(huán)境之間的數(shù)據(jù)傳送的安全網(wǎng)絡(luò)分離模塊。本文所公開的安全網(wǎng)絡(luò)分離模塊適于使得能夠驗證在不同節(jié)點之間傳送的數(shù)據(jù)包并且從而約束不同網(wǎng)絡(luò)環(huán)境之間的數(shù)據(jù)包的未授權(quán)的傳送��。本發(fā)明公開的主題的安全網(wǎng)絡(luò)分離模塊(或簡稱為“分離模塊”)可作為網(wǎng)絡(luò)設(shè)備(例如交換機、路由器��、介質(zhì)轉(zhuǎn)換器、先進的通信卡(ATC)等)的一部分被合并��,并且可以被配置為寫保護的僅可以由授權(quán)的人員并且用特定裝備以安全方式訪問和改變的指定可編程模塊。特別地��,安全網(wǎng)絡(luò)分離模塊被配置成被保護以免受經(jīng)由相關(guān)聯(lián)的網(wǎng)絡(luò)通過遠程訪問修改其預(yù)編程的參數(shù)。
[0043]例如��,可以將分離模塊制造為寫保護的存儲器設(shè)備��,例如具有高速可編程邏輯(取決于SFP帶寬)的一次性可編程非易失性存儲器(OTP NVM)0或者,分離模塊可以是應(yīng)用嚴格的寫保護機制的可重新編程存儲器設(shè)備��,例如僅接受具有預(yù)加載的(及燒焦的)密鑰的經(jīng)加密的二進制的可編程FPGA。
[0044]分離模塊可被合并在小形狀因子(small form-factor)可插拔(SFP)收發(fā)器內(nèi)以創(chuàng)建安全SFP��。通常,SFP可以插入到標準SFP使能網(wǎng)絡(luò)設(shè)備��,并且用于為網(wǎng)絡(luò)設(shè)備提供與光纖或銅網(wǎng)絡(luò)電纜的接口以便利于網(wǎng)絡(luò)中的不同節(jié)點之間的通信。本文所公開的安全SFP適于便利于分離模塊的功能性并且使得能夠驗證在不同節(jié)點之間傳送的數(shù)據(jù)包并且從而約束不同網(wǎng)絡(luò)環(huán)境之間的數(shù)據(jù)包的未授權(quán)的傳送��。安全SFP可維持先前已知的SFP的核心結(jié)構(gòu)��,并且因此與現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施裝備兼容��。
[0045]在以下論述中,參照安全SFP來描述本發(fā)明公開的主題��。然而��,應(yīng)該指出,安全SFP是非限制性的示例��,并且本發(fā)明公開的主題構(gòu)想了分離模塊的其它實現(xiàn)方式,例如��,在可被集成作為網(wǎng)絡(luò)設(shè)備的主板的一部分的印刷電路板中。
[0046]還應(yīng)該注意��,雖然參照有線通信網(wǎng)絡(luò)描述了本發(fā)明公開的主題的一些方面,但是這不應(yīng)該被理解為限制��,并且可以在有線通信網(wǎng)絡(luò)或無線通信網(wǎng)絡(luò)中實現(xiàn)本發(fā)明公開的主題,并且本發(fā)明公開的主題不限于任何特定類型的通信網(wǎng)絡(luò)或協(xié)議��。
[0047]圖2是示意性地示出了根據(jù)本發(fā)明公開的主題的路由器和安全SFP收發(fā)器的框圖��。圖2示出了包括適于在連接到路由器202的多個安全SFP (206i_n)之間進行互連并且使得能夠進行數(shù)據(jù)傳送的交換結(jié)構(gòu)204的路由器202��。圖2還示出了一個安全SFP210的詳細視圖��。安全SFP210包括用于與輸入電纜物理地連接并且接收傳入通信的物理接口 212。物理接口連接到可被配置成例如對傳入通信信號和傳出通信信號分別進行模擬到數(shù)字轉(zhuǎn)換和數(shù)字到模擬轉(zhuǎn)換的物理層(Phy) 214��。
[0048]根據(jù)本發(fā)明公開的主題��,SFP210進一步包括被配置成通過SFP210來控制數(shù)據(jù)傳送的網(wǎng)絡(luò)環(huán)境分離模塊216 (或簡稱為“分離模塊”)。為此��,分離模塊216預(yù)編程有識別安全SFP210并且將安全SFP210分配給特定網(wǎng)絡(luò)環(huán)境的“網(wǎng)絡(luò)id”。
[0049]分離模塊216被配置成接收由節(jié)點發(fā)送到路由器202的數(shù)據(jù)包(在交換結(jié)構(gòu)方向上發(fā)送的上行鏈路數(shù)據(jù)包)并且基于其相應(yīng)的網(wǎng)絡(luò)id來標記數(shù)據(jù)包以指示節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境��。分離模塊216被進一步配置成在相反方向上即從路由器202傳送的數(shù)據(jù)包(遠離交換結(jié)構(gòu)發(fā)送的下行鏈路數(shù)據(jù)包)并且再次基于其相應(yīng)的網(wǎng)絡(luò)id來驗證正被分配給同一網(wǎng)絡(luò)環(huán)境的節(jié)點之間傳送數(shù)據(jù)包��。
[0050]在下行鏈路數(shù)據(jù)包的標記與被分配給接收SFP的網(wǎng)絡(luò)id匹配的情況下,這意味著傳送了數(shù)據(jù)的節(jié)點被分配給被分配給接收SFP的同一網(wǎng)絡(luò)環(huán)境��,并且因此分離模塊216允許數(shù)據(jù)包向所請求的目標的傳送。否則��,在下行鏈路數(shù)據(jù)包的標記與被分配給接收SFP的網(wǎng)絡(luò)id不匹配的情況下,這意味著將傳送數(shù)據(jù)的節(jié)點和接收SFP分配給不同的網(wǎng)絡(luò)環(huán)境��,并且因此分離模塊216拒絕數(shù)據(jù)包的傳送��。數(shù)據(jù)包可被丟棄或者被保存以用于監(jiān)視的目的��。
[0051]在安全SFP210內(nèi)分離模塊216的具體位置可以不同��,例如��,在安全SFP210包括用于存儲MAC地址的網(wǎng)絡(luò)接口卡(NIC)的情況下��,分離模塊216可以位于NIC卡的前邊或后邊。然而��,為了使得能夠控制到交換結(jié)構(gòu)的數(shù)據(jù)的傳送,分離模塊216位于交換結(jié)構(gòu)的前邊。
[0052]圖3是示意性地示出了根據(jù)本發(fā)明公開的主題的網(wǎng)絡(luò)環(huán)境分離模塊的功能框圖��。根據(jù)圖3中示出的示例��,網(wǎng)絡(luò)環(huán)境分離模塊216包括標記模塊301��、驗證模塊303以及剝離模塊305。分離模塊216還可以包括用于存儲其網(wǎng)絡(luò)id的非易失性計算機存儲器309��。在一些情況下,分離模塊216還可以包括方向確定模塊307��。在一些配置中��,可以將本文參照分離模塊216描述的不同模塊分布到分離的單元。因此��,例如,可以在一個單元中配置標記模塊301��,并且可以在第二單元中配置驗證模塊303和剝離模塊305。分離模塊216可以與處理器(例如��,位于SFP210中)相關(guān)聯(lián)以獲得處理能力。下面參照圖5來提供對分離模塊216中的不同模塊的操作的更詳細的描述��。
[0053]圖4是示意性地示出了根據(jù)本發(fā)明公開的主題的網(wǎng)絡(luò)架構(gòu)的功能框圖。所示出的網(wǎng)絡(luò)架構(gòu)包括連接到多個節(jié)點(例如,計算機終端��、計算機服務(wù)器��、計算機設(shè)備如打印機或傳真機等)的單個路由器R3��。將連接到路由器R3的節(jié)點分配給不同的組(由字母A、B以及C表示)��,每個組構(gòu)成不同的網(wǎng)絡(luò)環(huán)境。如上所述��,例如每個節(jié)點的組可以對應(yīng)于同一組織中的不同部門��。
[0054]在圖4中可以看出,每個節(jié)點連接到路由器R3中的相應(yīng)的安全SFP端口��。在一些情況下,可以首先將被分配給同一組的部分節(jié)點或全部節(jié)點連接到進而可以將其連接到路由器R3的一個或多個中間路由器��,而不是直接連接路由器R3的每個節(jié)點。此外��,應(yīng)該指出��,可以使用多個互連的路由器��,而不是如圖4所公開的單個路由器(路由器R3)��。
[0055]根據(jù)本發(fā)明公開的主題的教示來配置路由器R3以獲得網(wǎng)絡(luò)環(huán)境分離并且避免被分配給不同組的節(jié)點之間的數(shù)據(jù)傳遞��。用如上所述的分離模塊216來配置安全SFP端口(SSFP1^8)0
[0056]圖5是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖。參照圖4中呈現(xiàn)的網(wǎng)絡(luò)架構(gòu)來描述圖5中的操作��。例如��,考慮從連接到路由器R3的第一計算機終端到連接到路由器R3的第二計算機終端的數(shù)據(jù)的通信。首先��,將數(shù)據(jù)包從第一計算機終端傳送到該第一計算機連接到其的路由器R3中的安全SFP210 (例如SFP1X
[0057]在塊501處��,在SFP1中接收數(shù)據(jù)包。如上所述��,為了使得能夠在不同組的節(jié)點之間進行網(wǎng)絡(luò)環(huán)境分離,給每個組分配使得能夠在由不同組的節(jié)點傳送的數(shù)據(jù)包之間進行區(qū)分的不同的網(wǎng)絡(luò)id��。當在 SFP1內(nèi)的分離模塊216中接收到數(shù)據(jù)包時,在被分配給傳送節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)id (在此情況下��,是被分配給組A的網(wǎng)絡(luò)id)的幫助下標記上行鏈路數(shù)據(jù)包(塊503)。例如��,可以在將傳送計算機連接到路由器R3的SFP1中(例如��,在數(shù)據(jù)儲存庫309中)存儲網(wǎng)絡(luò)id。
[0058]數(shù)據(jù)包包括有效載荷和頭部��,其中有效載荷是實際數(shù)據(jù)并且頭部承載包括數(shù)據(jù)包的目的地和源的元數(shù)據(jù)。根據(jù)本發(fā)明公開的主題��,數(shù)據(jù)包的有效載荷可被標記��,而頭部保持不變。
[0059]可以通過標記模塊301來進行對上行鏈路數(shù)據(jù)包的標記��。不同類型的網(wǎng)絡(luò)id和不同的方法可以用于標記數(shù)據(jù)包��。例如��,網(wǎng)絡(luò)id可以是指定頭部(例如��,VLAN標準頭部(802.1Q)可以用于標記4字節(jié)長的數(shù)據(jù)包),其中��,可以通過將指定頭部添加到有效載荷來標記數(shù)據(jù)包。在一些情況下��,代之或此外��,可以在弱加密(例如��,網(wǎng)絡(luò)id是具有固定密鑰的弱一次一密加密)或強加密(通過使用具有匹配密鑰的強加密模型)的幫助下標記數(shù)據(jù)包��。
[0060]當由分離模塊216來標記上行鏈路數(shù)據(jù)包時��,將上行鏈路數(shù)據(jù)包轉(zhuǎn)發(fā)到路由器R3中的交換結(jié)構(gòu)202,在路由器R3中將上行鏈路數(shù)據(jù)包路由到將目標計算機終端連接到路由器R3的安全SFP (塊505)��。可以基于剩下未修改的數(shù)據(jù)包頭部中的信息來完成路由��。
[0061]接收安全SFP中的分離模塊216被配置成驗證數(shù)據(jù)包的標記與預(yù)編程在接收安全SFP中的網(wǎng)絡(luò)id兼容(塊507),并且如上所述那樣識別接收安全SFP的網(wǎng)絡(luò)環(huán)境��。對數(shù)據(jù)包的標記的驗證可以由分離模塊216中的驗證模塊303來進行。
[0062]在一些情況下��,可以允許單個網(wǎng)絡(luò)環(huán)境與多個不同的其它網(wǎng)絡(luò)環(huán)境(以下簡稱為“附屬網(wǎng)絡(luò)環(huán)境”)通信。在此情況下��,單個分離模塊216可以被配置成允許來自多個不同網(wǎng)絡(luò)環(huán)境的數(shù)據(jù)的傳送��。由于可以給每個網(wǎng)絡(luò)環(huán)境分配預(yù)定的網(wǎng)絡(luò)id,所以可以給單個分離單元216提供關(guān)于附屬網(wǎng)絡(luò)環(huán)境的信息��。為此,數(shù)據(jù)儲存庫309可以存儲被分配給附屬網(wǎng)絡(luò)環(huán)境的一系列網(wǎng)絡(luò)id。驗證模塊303可以被配置成在驗證階段期間(塊507)確定數(shù)據(jù)包的標記是否與存儲在數(shù)據(jù)儲存庫309中的附屬網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容。在傳入數(shù)據(jù)包的標記與存儲在數(shù)據(jù)儲存庫309中的網(wǎng)絡(luò)id中的一個網(wǎng)絡(luò)id兼容的情況下��,允許數(shù)據(jù)包的通信��。
[0063]驗證的方式依賴于所使用的標記的類型��。例如��,在已經(jīng)將指定頭部添加到有效載荷的情況下��,驗證模塊303可以簡單地在附接到包的指定頭部與由接收安全SFP預(yù)期的頭部之間進行比較��。
[0064]在標記更復(fù)雜的情況下,例如一些類型的加密��,例如��,驗證模塊303可以被配置成檢查所使用的加密密鑰是否是被分配給了接收安全SFP的同一加密密鑰��。例如,可以通過嘗試對經(jīng)加密的有效載荷進行解密來進行對數(shù)據(jù)的驗證��。在此情況下,分離模塊216可以被配置成嘗試對經(jīng)加密的有效載荷進行解密��。在解密成功的情況下��,允許傳送��,并且在解密失敗的情況下��,拒絕數(shù)據(jù)的傳送。
[0065]在驗證表明數(shù)據(jù)包的標記與被分配給接收SFP的網(wǎng)絡(luò)id (或在一些情況下��,存儲在數(shù)據(jù)儲存庫309中的任何其它網(wǎng)絡(luò)id)匹配的情況下,去除標記并且將所剝離的數(shù)據(jù)包傳送到目標節(jié)點例如目的地計算機終端(塊509)��。例如��,可以在接收安全SFP的分離模塊216的剝離模塊305的幫助下完成對標記的去除��。否則,如果驗證表明下行鏈路數(shù)據(jù)包的標記與被分配給接收SFP的網(wǎng)絡(luò)id不兼容��,則拒絕到目標節(jié)點的數(shù)據(jù)包數(shù)據(jù)傳送(塊511)��。
[0066]上述參照圖5描述的機制使得能夠強制執(zhí)行網(wǎng)絡(luò)環(huán)境分離��。例如,由于基于嵌入到SFP端口內(nèi)的網(wǎng)絡(luò)id并且不是基于封裝在數(shù)據(jù)包的頭部中的節(jié)點的身份而通過標記數(shù)據(jù)包來維持網(wǎng)絡(luò)環(huán)境分離��,所以在另一網(wǎng)絡(luò)環(huán)境中通過改變發(fā)送者的地址將數(shù)據(jù)從一個節(jié)點發(fā)送到另一節(jié)點的故意嘗試(即��,欺騙攻擊)將會失敗��。
[0067]如上所述��,僅通過非限制性示例來進行在描述中進行的對安全SFP的任何參考,并且本發(fā)明公開的主題構(gòu)想了分離模塊的其它實現(xiàn)方式��,例如,在可被集成作為網(wǎng)絡(luò)設(shè)備的主板的一部分的印刷電路板中��。
[0068]圖6是示意性地示出了根據(jù)本發(fā)明公開的主題的另一網(wǎng)絡(luò)架構(gòu)的功能框圖。圖6示出了與之前在圖1中呈現(xiàn)的架構(gòu)類似的架構(gòu)��。如上面參照圖1所說明的��,圖6示出了由兩個接入路由器(Rll和R21)建立的通過經(jīng)加密的VPN通道連接的局域網(wǎng)LANll和局域網(wǎng)LAN21這兩個局域網(wǎng)的示例。例如��,LANll和LAN21可以表示位于地球上的不同位置處的同一組織的由廣域網(wǎng)(WAN)連接的局域網(wǎng)��。根據(jù)當前示例��,在網(wǎng)絡(luò)的任一側(cè)的路由器Rll和路由器R21每個都連接到多個節(jié)點��。根據(jù)所示出的示例��,將LANll和LAN21中的節(jié)點劃分成部門A (例如工程)和部門B (例如會計)這兩個部門��。
[0069]每個組中的節(jié)點可以連接到有利于到路由器Rll和路由器R21的連接的中間路由器(未示出)。為了約束不同組的節(jié)點之間的數(shù)據(jù)傳送并且維持網(wǎng)絡(luò)環(huán)境分離��,路由器Rll和路由器R21中的SFP是根據(jù)本文所公開的教示配置的安全SFP。
[0070]圖7是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖��。參照圖6中呈現(xiàn)的網(wǎng)絡(luò)架構(gòu)來描述圖7中的操作。[0071 ] 為了示例��,假設(shè)數(shù)據(jù)正從LANl I中的組A中的計算機終端(在本文中,是“傳送計算機終端”)向LAN21中的計算機終端傳送。在塊701處��,從傳送計算機終端傳送上行鏈路數(shù)據(jù)包并且由路由器Rll中的相應(yīng)的安全SFP210來接收上行鏈路數(shù)據(jù)包。由安全SFP210中的分離模塊216來處理上行鏈路數(shù)據(jù)包��,然后給上行鏈路數(shù)據(jù)包標記被分配給該安全SFP210的網(wǎng)絡(luò)id (塊703)。
[0072]由于數(shù)據(jù)包是以位于通過WAN連接的另一 LAN中的計算機終端為目標的��,所以將數(shù)據(jù)包從內(nèi)部安全SFP傳送到外部安全SFP (塊705)��。如本文所使用的那樣��,術(shù)語“內(nèi)部安全SFP”指的是連接在同一 LAN中的節(jié)點之間的安全SFP。上面參照圖4和圖5描述了內(nèi)部安全SFP。術(shù)語“外部安全SFP”指的是在到外部域的LAN例如另一 LAN��、公共網(wǎng)絡(luò)(如因特網(wǎng))或任何種類的共享資源之間連接的安全SFP。
[0073]在當前示例中��,第一外部安全SFP將LANll中的路由器Rll連接到WAN(廣域網(wǎng))連接(ESFP1),并且第二外部安全SFP在其它側(cè)(ESFP2)將LAN21中的路由器R21連接到WAN。將數(shù)據(jù)包從LANll中的內(nèi)部安全SFP轉(zhuǎn)發(fā)到將路由器Rll連接到外部網(wǎng)絡(luò)的外部安全SFP��。注意��,已經(jīng)由內(nèi)部安全SFP第一次標記了從內(nèi)部安全SFP傳送到外部安全SFP的數(shù)據(jù)包(下行鏈路數(shù)據(jù)包)。
[0074]在塊707處��,由外部安全SFP用第二標記來第二次標記由外部安全SFP (ESFP1)接收到的下行鏈路數(shù)據(jù)包��。第二標記是基于被分配給外部SFP的網(wǎng)絡(luò)id的��,并且第二標記識別數(shù)據(jù)包以作為由外部SFP發(fā)送到外部網(wǎng)絡(luò)的數(shù)據(jù)包��。由于僅由外部安全SFP來分配第二標記,所以不能由其它內(nèi)部SFP來訪問數(shù)據(jù)��,除非該第二標記首先被剝離��。例如這有助于防止到錯誤目標的數(shù)據(jù)的意外傳送或故意傳送。
[0075]例如可以在存儲于外部安全SFP可訪問的數(shù)據(jù)儲存庫309中的外部網(wǎng)絡(luò)id的幫助下完成第二標記��。在第二次標記了數(shù)據(jù)之后,將數(shù)據(jù)通過WAN傳送到其目的地��,在當前示例中,目的地是路由器R21中的外部安全SFP (ESFP2)(塊709)��。
[0076]在LAN21內(nèi)的路由器R21中的外部安全SFP (ESFP2)處接收所傳送的數(shù)據(jù)包(塊711)��,其中接收SFP被配置成驗證第二標記(塊713)��。在確定了上行鏈路數(shù)據(jù)包的標記與被分配給LAN21中的外部安全SFP (ESFP2)的網(wǎng)絡(luò)id不兼容的情況下��,拒絕數(shù)據(jù)包的傳送(塊715)。否則��,在確定了上行鏈路數(shù)據(jù)包的標記與外部安全SFP (ESFP2)的外部網(wǎng)絡(luò)id兼容的情況下��,分離模塊216被配置成從數(shù)據(jù)包中剝離第二標記并且基于數(shù)據(jù)包的頭部中的信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到其目標內(nèi)部安全SFP (塊717)��。
[0077]注意��,不同地配置外部安全SFP和內(nèi)部安全SFP��。雖然這兩種類型的SFP進行類似的操作,但是反轉(zhuǎn)了操作的方向性��。內(nèi)部SFP標記上行鏈路數(shù)據(jù)包,并且從下行鏈路數(shù)據(jù)包中剝離標記��。外部安全SFP標記(用第二標記)下行鏈路數(shù)據(jù)包,并且從上行鏈路數(shù)據(jù)包中剝離標記。
[0078]因此��,根據(jù)本發(fā)明公開的主題��,不同地配置外部安全SFP和內(nèi)部安全SFP以適于其相應(yīng)的功能性。為此��,分離模塊216可以可選地包括方向確定模塊307?�?梢愿鶕?jù)分離模塊216所需要的功能性來配置方向確定模塊307,并且方向確定模塊307適應(yīng)于分離模塊216的方向性。
[0079]此外或替代地��,可以制造內(nèi)部分離模塊和外部分離模塊這兩種類型的分離模塊而不是方向確定模塊307��。然而��,內(nèi)部分離模塊被配置成標記上行鏈路數(shù)據(jù)包并且剝離下行鏈路數(shù)據(jù)包,外部分離模塊被配置成剝離上行鏈路數(shù)據(jù)包并且標記下行鏈路數(shù)據(jù)包��。外部安全SFP可以包括外部分離模塊,并且內(nèi)部安全SFP可以包括內(nèi)部分離模塊��。
[0080]回到圖7��,在塊719處,在連接到目標節(jié)點的內(nèi)部安全SFP處接收現(xiàn)在僅標記有單個標記的數(shù)據(jù)包��,其中驗證有效載荷的第一標記(塊719)��。
[0081]在驗證表明下行鏈路數(shù)據(jù)包的標記與被分配給內(nèi)部安全SFP的一個或多個網(wǎng)絡(luò)id兼容的情況下��,去除標記并且將所剝離的數(shù)據(jù)包傳送到目標節(jié)點(塊723)。這可以在接收內(nèi)部安全SFP中的剝離模塊305的幫助下完成��。否則��,如果驗證表明傳入數(shù)據(jù)包的標記與被分配給接收內(nèi)部SFP的網(wǎng)絡(luò)id不兼容,則拒絕到目標節(jié)點的數(shù)據(jù)包的傳送(塊721)��。
[0082]如上所述,在存在有多個附屬網(wǎng)絡(luò)環(huán)境的情況下��,驗證模塊303可以被配置成在驗證階段期間(塊713和塊719)確定數(shù)據(jù)包的標記是否與存儲在數(shù)據(jù)儲存庫309中的附屬網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��。在傳入數(shù)據(jù)包的標記與存儲在數(shù)據(jù)儲存庫309中的網(wǎng)絡(luò)id中的一個網(wǎng)絡(luò)id兼容的情況下,允許數(shù)據(jù)包的通信��。
[0083]圖8是示意性地示出了根據(jù)本發(fā)明公開的主題的又一類型的網(wǎng)絡(luò)架構(gòu)的框圖。圖8示出了被劃分成二者都連接到路由器R23的組A和組B這兩個組的LAN(LAN23)��。路由器R23經(jīng)由防火墻FW連接到非軍事區(qū)(DMZ)��。Fff也連接到位于DMZ內(nèi)的安全性管理器SM并且連接到某種類型的外部共享資源例如公共網(wǎng)絡(luò)(如因特網(wǎng))或者共享的打印機或傳真機。
[0084]防火墻FW被配置用于在組織的局域網(wǎng)與不可靠的外部資源之間添加額外的安全性層��。防火墻FW被配置成強制執(zhí)行安全性策略以給LAN提供更好的安全性��,限制從LAN到外部資源的信息的泄漏以及限制從外部資源(如外部網(wǎng)絡(luò))攻擊LAN的能力��。為此��,防火墻可以操作一個或多個防火墻應(yīng)用程序以及其它可能的安全性措施��,例如入侵檢測和防御設(shè)備,抗病毒和垃圾郵件過濾器��。
[0085]安全性管理器SM被配置成根據(jù)本發(fā)明公開的主題提供附加的安全性。如圖8所示��,安全性管理器SM可被實現(xiàn)為駐留在DMZ中的獨立處理單元��。在其它情況下��,安全性管理器SM可作為FW的組成部分被合并��。
[0086]防火墻FW和安全性管理器SM可以是��,但不限于個人計算機或便攜式計算機、服務(wù)器計算機或具有用于運行所需要的操作的適當?shù)奶幚砟芰Σ⑶已b備有合適的通信設(shè)備和計算機存儲器(包括非暫態(tài)計算機存儲器)的任何其它裝置��。一般而言��,通常將服務(wù)器實現(xiàn)為其特點是更快的CPU��、高性能的RAM以及可能多個硬盤驅(qū)動器和大容量存儲空間的專用服務(wù)器計算機。防火墻FW和安全性管理器SM與被配置成管理和控制相關(guān)部件和操作并且響應(yīng)于指令來執(zhí)行任務(wù)的至少一個處理器相關(guān)聯(lián)��。
[0087]圖10是示意性地示出了根據(jù)本發(fā)明公開的主題的安全性管理器SM的功能框圖��。SM可以包括包含標記模塊301��、驗證模塊303以及剝離模塊305的分離模塊216或類似的部件。安全性管理器SM還包括網(wǎng)絡(luò)id確定模塊1010和用于存儲網(wǎng)絡(luò)中的不同設(shè)備(例如��,節(jié)點和網(wǎng)絡(luò)設(shè)備)的地址以及其對應(yīng)的網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫1012��。安全性管理器還可以包括處理單元1014��。下面參照圖9來提供對安全性管理器中的不同模塊的操作的更詳細的描述��。
[0088]圖9是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖��。參照圖8中呈現(xiàn)的網(wǎng)絡(luò)架構(gòu)來描述圖9中的操作��。
[0089]在塊901處��,在安全性管理器SM中接收從LAN23外部的源(例如因特網(wǎng))傳送的數(shù)據(jù)包。數(shù)據(jù)包的目的地是LAN23中的節(jié)點��。安全性管理器SM利用在數(shù)據(jù)包的頭部中指定的目標節(jié)點的目的地地址,以在數(shù)據(jù)儲存庫1012中搜索并且定位被分配給連接到所請求的目標節(jié)點的內(nèi)部安全SFP的相應(yīng)的網(wǎng)絡(luò)id��。安全性管理器SM以類似的方式來識別被分配給將安全性管理器SM連接到路由器R23的外部安全SFP (ESFP)的網(wǎng)絡(luò)id (塊903)��。這可以在網(wǎng)絡(luò)id確定模塊1010的幫助下完成��。安全性管理器SM基于所識別的網(wǎng)絡(luò)id用第一標記(對應(yīng)于目標內(nèi)部安全SFP)和第二標記(對應(yīng)于目標外部安全SFP)來標記傳入數(shù)據(jù)包(塊905)��。
[0090]可選地��,SM可以確定是否授權(quán)了將目的地是某個目標設(shè)備的傳入數(shù)據(jù)包發(fā)送到所請求的目標。例如��,這可以由FW來完成��。在確定了可以將數(shù)據(jù)包(例如��,它不包括惡意的內(nèi)容)轉(zhuǎn)發(fā)到所請求的目標的情況下,可以如上所述地標記數(shù)據(jù)包。否則��,可以拒絕數(shù)據(jù)的傳送��。
[0091]然后由安全性管理器SM將雙重標記的數(shù)據(jù)包傳送到在當前示例中是LAN23中的路由器Rl的連接到目標LAN的外部安全SFP (±夾907)。在外部安全SFP中接收數(shù)據(jù)包(塊909)��,其中,例如在驗證模塊303的幫助下��,SFP確定數(shù)據(jù)包的第二標記是否與被分配給外部資源SFP的網(wǎng)絡(luò)id—致(塊911)��。
[0092]在驗證表明傳入數(shù)據(jù)包的第二標記與被分配給外部安全SFP的網(wǎng)絡(luò)id兼容的情況下��,從數(shù)據(jù)包去除第二標記并且將數(shù)據(jù)包傳送到是連接到目標節(jié)點的SFP的目標內(nèi)部安全SFP (塊913)?�?梢栽谕獠縎FP (ESFP)中的剝離模塊305的幫助下完成對標記的去除��。否則��,如果驗證表明傳入數(shù)據(jù)包的標記與被分配給外部SFP (ESFP)的網(wǎng)絡(luò)id不兼容��,則拒絕數(shù)據(jù)包的進一步傳送(塊915 )。
[0093]在塊917處��,由連接到目標節(jié)點的內(nèi)部安全SFP (圖8中的ISFP)來接收現(xiàn)在僅標記有第一標記的數(shù)據(jù)包,其中��,例如在驗證模塊303的幫助下驗證有效載荷的第一標記��。在驗證表明傳入數(shù)據(jù)包的標記與被分配給內(nèi)部安全SFP (ISFP)的網(wǎng)絡(luò)id兼容的情況下,從數(shù)據(jù)包去除第一標記并且將所剝離的數(shù)據(jù)包傳送到目標節(jié)點(塊921)��。否則,如果驗證表明傳入數(shù)據(jù)包的標記與被分配給內(nèi)部SFP的網(wǎng)絡(luò)id不兼容��,則拒絕數(shù)據(jù)包的進一步傳送并且丟棄數(shù)據(jù)包(塊923)��。
[0094]這種配置的DMZ可以有助于確保僅允許將通過DMZ (以及DMZ中的FW)的數(shù)據(jù)包傳送到所請求的目的地(在此情況下,是LAN23)��。
[0095]圖11是示出了根據(jù)本發(fā)明公開的主題進行的操作的流程圖��。參照圖8中呈現(xiàn)的網(wǎng)絡(luò)架構(gòu)并且參照經(jīng)由安全性管理器SM從LAN23朝著外部資源的數(shù)據(jù)傳送來描述圖11中的操作。
[0096]在塊1101處��,從節(jié)點傳送數(shù)據(jù)包并且由路由器R23中的相應(yīng)的內(nèi)部安全SFP來接收數(shù)據(jù)包。由位于內(nèi)部安全SFP (例如ISFP)中的分離模塊216來處理上行鏈路數(shù)據(jù)包��,并且基于被分配給內(nèi)部安全SFP210的網(wǎng)絡(luò)id來標記傳出數(shù)據(jù)包的有效載荷(塊1103)��。
[0097]由于數(shù)據(jù)包的目的地是位于LAN23外邊(例如通過因特網(wǎng)連接)的節(jié)點��,所以將數(shù)據(jù)包從內(nèi)部安全SFP傳送到連接到DMZ中的安全性管理器SM的外部安全SFP (圖8中的ESFP)(塊 1105)��。
[0098]如上面參照圖7所說明的,由外部安全SFP用第二標記來第二次標記由外部安全SFP接收到的被標記了的數(shù)據(jù)包(塊1107)��。第二標記識別數(shù)據(jù)包以作為由外部SFP發(fā)送到外部資源的數(shù)據(jù)包��。在第二次標記了數(shù)據(jù)之后��,將數(shù)據(jù)傳送到安全性管理器SM (塊1109)。
[0099]在安全性管理器處接收所傳送的數(shù)據(jù)塊(塊1111 )��,其中,例如��,安全性管理器被配置成在驗證模塊303的幫助下驗證數(shù)據(jù)包的第二標記(塊1113)��。為此��,網(wǎng)絡(luò)id確定模塊1010用于在數(shù)據(jù)儲存庫1012中定位源外部安全SFP (ESFP)的網(wǎng)絡(luò)id��。安全性管理器SM使用網(wǎng)絡(luò)id來驗證有效載荷的第二標記��。
[0100]在確定了傳入數(shù)據(jù)包的有效載荷的第二標記與被分配給源外部安全SFP (ESFP)的外部網(wǎng)絡(luò)id不兼容的情況下��,拒絕數(shù)據(jù)包的進一步傳送(塊1115)。否則��,在確定了數(shù)據(jù)包的標記與源外部安全SFP (ESFP)的外部網(wǎng)絡(luò)id兼容的情況下,安全性管理器中的剝離模塊被配置成從數(shù)據(jù)包去除第二標記(塊1117)��。
[0101]在塊1119處��,例如��,在驗證模塊303的幫助下��,安全性管理器驗證數(shù)據(jù)包的第一標記��。如前面所描述的,網(wǎng)絡(luò)id確定模塊1010用于在數(shù)據(jù)儲存庫1012中定位源內(nèi)部安全SFP的網(wǎng)絡(luò)id��。安全性管理器SM使用網(wǎng)絡(luò)id來驗證有效載荷的第二標記。
[0102]在確定了數(shù)據(jù)包的第一標記與被分配給源外部安全SFP的內(nèi)部網(wǎng)絡(luò)id不兼容的情況下��,拒絕數(shù)據(jù)包的進一步傳送(塊1121)��。否則��,在確定了數(shù)據(jù)包的第一標記與源外部安全SFP (ISFP)的內(nèi)部網(wǎng)絡(luò)id兼容的情況下��,安全性管理器中的剝離模塊被配置成從有效載荷去除第一標記并且將數(shù)據(jù)包轉(zhuǎn)發(fā)到外部資源(塊1123)��。
[0103]例如,數(shù)據(jù)儲存庫1012可以包括指示是否允許將從與某個網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的設(shè)備(例如��,節(jié)點或網(wǎng)絡(luò)設(shè)備)傳送的數(shù)據(jù)傳送到連接到SM的外部網(wǎng)絡(luò)的數(shù)據(jù)。這樣��,由驗證模塊303進行的驗證包括確定第一標記和第二標記是否識別允許其將數(shù)據(jù)傳送到外部網(wǎng)絡(luò)的網(wǎng)絡(luò)環(huán)境中的設(shè)備��。
[0104]如上所述��,在存在有多個附屬網(wǎng)絡(luò)環(huán)境的情況下��,驗證模塊303可以被配置成在驗證階段期間(圖9中的塊911和塊917以及圖11中的塊1113和塊1119)確定數(shù)據(jù)包的標記是否與存儲在數(shù)據(jù)儲存庫309中的附屬網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��。在傳入數(shù)據(jù)包的標記與存儲在數(shù)據(jù)儲存庫309中的網(wǎng)絡(luò)id中的一個網(wǎng)絡(luò)id兼容的情況下��,允許數(shù)據(jù)包的通信��。
[0105]上面參照圖8和圖11描述的機制使得能夠強制執(zhí)行對數(shù)據(jù)通信的約束。例如��,由于基于嵌入到SFP端口內(nèi)的網(wǎng)絡(luò)id并且不是基于封裝在數(shù)據(jù)包的頭部中的節(jié)點的身份而通過標記數(shù)據(jù)包來維持網(wǎng)絡(luò)環(huán)境分離��,所以通過改變發(fā)送者的地址將數(shù)據(jù)從LAN23內(nèi)的未授權(quán)的節(jié)點發(fā)送到位于LAN23外邊的另一節(jié)點的故意嘗試(即,欺騙攻擊)將會被安全性監(jiān)測器SM攔截��。
[0106]還應(yīng)該理解��,可以以適當編程的計算機來實現(xiàn)本發(fā)明公開的主題。同樣地��,本發(fā)明公開的主題包括用于執(zhí)行本發(fā)明公開的主題的方法的計算機可讀的計算機程序��。本發(fā)明公開的主題還構(gòu)想了有形地體現(xiàn)了用于執(zhí)行本發(fā)明公開的主題的方法的機器可執(zhí)行的指令的程序的機器可讀存儲器。例如��,機器可讀存儲器包括非暫態(tài)機器可讀計算機存儲器��,例如⑶-ROM��、存儲器設(shè)備��、硬盤驅(qū)動器等��。
[0107]要理解��,本發(fā)明公開的主題不限于其到本文包含的描述中闡述的或附圖中示出的細節(jié)的應(yīng)用��。本發(fā)明公開的主題能夠具有其它實施方式��,并且能夠以各種方式來實踐和進行��。因此��,要理解,本文所采用的措辭和術(shù)語是出于描述的目的��,并且不應(yīng)該被視為限制��。正因為如此��,本領(lǐng)域的普通技術(shù)人員將理解��,可以將本公開內(nèi)容基于其的構(gòu)思容易地用作為用于設(shè)計用于進行本發(fā)明公開的主題的多個目的的其它結(jié)構(gòu)、方法和系統(tǒng)的基礎(chǔ)��。
【權(quán)利要求】
1.一種分離模塊: 所述分離模塊在工作上能夠連接到能夠被操作用以便利于通信網(wǎng)絡(luò)中的數(shù)據(jù)通信的網(wǎng)絡(luò)設(shè)備��,所述分離模塊被配置成控制所述通信網(wǎng)絡(luò)中的數(shù)據(jù)通信,所述分離模塊被分配有將所述分離模塊與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的網(wǎng)絡(luò)id ;所述分離模塊被進一步配置成: 在所述網(wǎng)絡(luò)id的幫助下標記由所述網(wǎng)絡(luò)設(shè)備從第一方向接收到的數(shù)據(jù)包��,以便將所述數(shù)據(jù)包與所述給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)��;并且 確定與由所述網(wǎng)絡(luò)設(shè)備從第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與被分配的所述網(wǎng)絡(luò)id兼容,并且如果是��,則從所述數(shù)據(jù)包去除所述標記并且允許所述數(shù)據(jù)包的傳送。
2.根據(jù)權(quán)利要求1所述的分離模塊是內(nèi)部分離模塊��,其中��,所述第一方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向,并且所述第二方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向��。
3.根據(jù)權(quán)利要求1所述的分離模塊是外部分離模塊��,其中,所述第一方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向��,并且所述第二方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向。
4.根據(jù)權(quán)利要求1所述的分離模塊��,包括被配置成使所述分離模塊適于匹配第一方向性或第二方向性中的一個方向性的方向確定模塊��,其中,在所述第一方向性中��,所述第一方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向并且所述第二方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向��,而在所述第二方向性中��,所述第一方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向并且所述第二方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向��。
5.根據(jù)權(quán)利要求1所述的分離模塊��,其中��,所述標記被施加于所述數(shù)據(jù)包的有效載荷��。
6.根據(jù)權(quán)利要求1所述的分離模塊被配置為一次性編程設(shè)備。
7.根據(jù)權(quán)利要求1·所述的分離模塊與多個網(wǎng)絡(luò)id相關(guān)聯(lián)��,每個網(wǎng)絡(luò)id被分配給相應(yīng)的網(wǎng)絡(luò)環(huán)境��;所述分離模塊被進一步配置成確定與由所述網(wǎng)絡(luò)設(shè)備從所述第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與所述多個網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��,并且如果是��,則從所述數(shù)據(jù)包去除所述標記并且允許所述數(shù)據(jù)包的傳送��。
8.根據(jù)權(quán)利要求7所述的分離模塊��,包括用于存儲所述多個網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫。
9.根據(jù)權(quán)利要求1所述的分離模塊��,進一步包括: 用于存儲所述網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫和與被配置成進行所述標記的標記模塊相關(guān)聯(lián)的處理器;以及被配置成確定所述標記是否與所述分離模塊兼容的驗證模塊��。
10.一種被配置成控制與一個或多個網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)的節(jié)點之間的數(shù)據(jù)通信的網(wǎng)絡(luò)設(shè)備��;所述網(wǎng)絡(luò)設(shè)備包括: 至少第一分離模塊和第二分離模塊,所述第一分離模塊在工作上連接到與所述網(wǎng)絡(luò)設(shè)備相連接的第一節(jié)點��; 所述第一分離模塊被配置成:在被分配給所述第一分離模塊的網(wǎng)絡(luò)id的幫助下標記從所述第一節(jié)點接收到的數(shù)據(jù)包��,所述標記指示所述第一節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境;并且朝著所述第二分離模塊傳送所述數(shù)據(jù)包��。
11.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)設(shè)備��,其中��,所述第二分離模塊與連接到所述網(wǎng)絡(luò)設(shè)備的第二節(jié)點相關(guān)聯(lián)��; 所述第二分離模塊被配置成: 接收所述數(shù)據(jù)包; 確定與所述數(shù)據(jù)包相關(guān)聯(lián)的所述標記是否與所述第二分離模塊兼容��;并且如果是��,則從所述數(shù)據(jù)包去除所述標記并且允許所述數(shù)據(jù)包向所述第二節(jié)點的傳送。
12.根據(jù)權(quán)利要求10所述的網(wǎng)絡(luò)設(shè)備��,其中,所述第二分離模塊是與將所述網(wǎng)絡(luò)設(shè)備連接到第二網(wǎng)絡(luò)設(shè)備的外部通信網(wǎng)絡(luò)相關(guān)聯(lián)的外部分離模塊��; 所述外部分離模塊被配置成: 用第二標記來標記從所述第一分離模塊接收到的所述數(shù)據(jù)包��,所述第二標記指示所述網(wǎng)絡(luò)設(shè)備的相應(yīng)的網(wǎng)絡(luò)環(huán)境;并且朝著所述第二網(wǎng)絡(luò)設(shè)備傳送所述數(shù)據(jù)包��。
13.根據(jù)權(quán)利要求12所述的網(wǎng)絡(luò)設(shè)備��,其中��,所述第二外部分離模塊被配置成: 接收從連接到所述第二網(wǎng)絡(luò)設(shè)備的第二節(jié)點發(fā)送的數(shù)據(jù)包;所述數(shù)據(jù)包包括第一標記和第二標記��; 確定與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第二標記是否與所述外部分離模塊兼容��; 如果是��,則從所述數(shù)據(jù)包去除所述標記��; 將所述數(shù)據(jù)包傳送到所述分離模塊��;所述分離模塊被配置成: 確定與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第一標記是否與所述分離模塊兼容��; 如果是��,則從所述數(shù)據(jù)包去除所述標記;并且 將所述數(shù)據(jù)包傳送到連接到所述網(wǎng)絡(luò)設(shè)備的節(jié)點��。
14.一種安全小形狀因子可插拔收發(fā)器(SFP)��,包括根據(jù)權(quán)利要求1所述的分離模塊��,所述SFP在工作上能夠連接到網(wǎng)絡(luò)設(shè)備以便利于通信網(wǎng)絡(luò)中的與所述網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)通?目��。`
15.根據(jù)權(quán)利要求1所述的分離模塊被合并在安全性管理器中; 所述安全性管理器在工作上連接到網(wǎng)絡(luò)設(shè)備和外部網(wǎng)絡(luò)��、并且能夠被操作用以控制所述網(wǎng)絡(luò)設(shè)備與所述外部網(wǎng)絡(luò)之間的數(shù)據(jù)傳送��;所述安全性管理器包括被配置用于存儲網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫或者以其它方式與被配置用于存儲網(wǎng)絡(luò)id的數(shù)據(jù)儲存庫相關(guān)聯(lián)��; 所述分離模塊被配置成: 接收經(jīng)由所述網(wǎng)絡(luò)設(shè)備中的外部分離模塊發(fā)送的數(shù)據(jù)包��;所述數(shù)據(jù)包包括第一標記和第二標記��; 確定與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第二標記是否與存儲在所述數(shù)據(jù)儲存庫中的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��; 如果是,則從所述數(shù)據(jù)包去除所述標記��;并且 確定與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第一標記是否與存儲在所述數(shù)據(jù)儲存庫中的網(wǎng)絡(luò)id中的任何一個網(wǎng)絡(luò)id兼容��; 如果是,則從所述數(shù)據(jù)包去除所述標記;并且 允許所述數(shù)據(jù)包向所述外部網(wǎng)絡(luò)的傳送��。
16.一種控制通信網(wǎng)絡(luò)中的數(shù)據(jù)傳送的方法��,所述方法包括: 標記在所述通信網(wǎng)絡(luò)中由網(wǎng)絡(luò)設(shè)備從第一方向接收到的數(shù)據(jù)包;所述標記是在被分配給所述網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)id的幫助下進行的��,所述網(wǎng)絡(luò)id指示了所述數(shù)據(jù)包與給定網(wǎng)絡(luò)環(huán)境相關(guān)聯(lián)��;并且 確定與由所述網(wǎng)絡(luò)設(shè)備從第二方向接收到的數(shù)據(jù)包相關(guān)聯(lián)的標記是否與被分配給目標設(shè)備的網(wǎng)絡(luò)id兼容,并且如果是��,則從所述數(shù)據(jù)包去除所述標記并且允許所述數(shù)據(jù)包向所述目標設(shè)備的傳送��。
17.根據(jù)權(quán)利要求16所述的方法,其中��,所述第一方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向,并且所述第二方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向��。
18.根據(jù)權(quán)利要求16所述的方法,其中��,所述第一方向是遠離所述網(wǎng)絡(luò)設(shè)備的下行鏈路方向��,并且所述第二方向是朝著所述網(wǎng)絡(luò)設(shè)備的上行鏈路方向��。
19.根據(jù)權(quán)利要求16所述的方法��,其中��,所述標記是對所述數(shù)據(jù)包的有效載荷進行的��。
20.根據(jù)權(quán)利要求16所述的方法,其中��,所述網(wǎng)絡(luò)設(shè)備連接到第一節(jié)點和第二節(jié)點��,所述方法包括: 對從連接到所述網(wǎng)絡(luò)設(shè)備的第一節(jié)點接收到的數(shù)據(jù)包進行所述標記��;并且對向連接到所述網(wǎng)絡(luò)設(shè)備的第二節(jié)點傳送的所述數(shù)據(jù)包進行所述確定��;從而控制所述第一節(jié)點與所述第二節(jié)點之間的數(shù)據(jù)傳送��。
21.—種控制經(jīng)由網(wǎng)絡(luò)設(shè)備的在通信網(wǎng)絡(luò)中的數(shù)據(jù)傳送的方法��,所述方法包括: 從連接到所述網(wǎng)絡(luò)設(shè)備的第一節(jié)點接收目的地是連接到第二網(wǎng)絡(luò)設(shè)備的第二節(jié)點的數(shù)據(jù)包;所述網(wǎng)絡(luò)設(shè)備和所述第二網(wǎng)絡(luò)設(shè)備通過通信網(wǎng)絡(luò)相連接��; 用指示所述第一節(jié)點的相應(yīng)的網(wǎng)絡(luò)環(huán)境的標記來標記從所述第一節(jié)點接收到的所述數(shù)據(jù)包��; 用指示所述網(wǎng)絡(luò)設(shè)備的相應(yīng)的網(wǎng)絡(luò)環(huán)境的第二標記來標記所述數(shù)據(jù)包��;并且將所述數(shù)據(jù)包經(jīng)由所述通信網(wǎng)絡(luò) 傳送到所述第二網(wǎng)絡(luò)設(shè)備��; 從而使得所述第二網(wǎng)絡(luò)設(shè)備能夠確定是否允許所述數(shù)據(jù)包的傳送��。
22.根據(jù)權(quán)利要求21所述的方法��,進一步包括: 接收來自所述第二網(wǎng)絡(luò)設(shè)備的、目的地是連接到所述網(wǎng)絡(luò)設(shè)備的節(jié)點的數(shù)據(jù)包��;所述數(shù)據(jù)包包括第一標記和第二標記; 在與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第二標記與所述網(wǎng)絡(luò)設(shè)備兼容的情況下: 從所述數(shù)據(jù)包去除所述標記��; 在與所述數(shù)據(jù)包相關(guān)聯(lián)的所述第一標記與所述節(jié)點兼容的情況下: 從所述數(shù)據(jù)包去除所述標記;并且 允許所述數(shù)據(jù)包向所述節(jié)點的傳送��。
【文檔編號】H04L12/46GK103828307SQ201280046710
【公開日】2014年5月28日 申請日期:2012年8月22日 優(yōu)先權(quán)日:2011年8月25日
【發(fā)明者】烏迪·溫斯貝格 申請人:埃爾塔系統(tǒng)有限公司