专利名称:逻辑分区媒体访问控制冒名者检测器的制作方法
技术领域:
本发明涉及对冒名者的检测。更具体地说,本发明涉及逻辑分区媒体访问控制系统中的冒名者检测。
背景技术:
随着处理需求的增加,计算系统变得更加复杂,互连程度也更高。例如,可将特定计算设备分为多个逻辑分区或“LPAR”,其中每个逻辑分区包括虚拟化为单独计算机的计算设备资源子集。此外,通过诸如局域网(LAN)和因特网之类的各种网络,计算系统的互连程度变得日益更高。这种复杂性和互连性导致若干与计算机安全相关的问题。美国专利7,386,698公开了一种用于自动定义、部署及管理逻辑分区(LPAR)计算机系统中的硬件和软件资源的方法;以及用于管理目标计算机系统的解决方案简档。美国专利7,188,198公开了一种用于实现动态虚拟通道缓冲区重新配置的方法;其具有LPAR实现和LPAR地址。美国专利6,226,744公开了用于使用智能卡在网络上认证用户的方法;其具有访问码和LPAR实现。“Improving Data Quality !Consistency and Accuracy,,(提高数据质量一致性和准确性,Cong, G.等人,2007)和“Realization of Natural Language Interfaces UsingLazy Functional Programming”(使用惰性函数式编程实现自然语言界面,Frost, RA等人,2006)公开了 LPAR伪造或虚假表示及其检测(Cong等人);和/或变化环境中的LPAR实现(Frost)。
发明内容
提供了用于监视若干计算设备以检测安全攻击的方法、装置和制造方法。所公开的技术包括(除了其他内容外)建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,所述多个被监视设备中的每个被监视设备与唯一的地址关联;通过多个安全通道中对应于多个被监视设备中的第一被监视设备的第一安全通道将心跳(heartbeat)从所述监视设备发送到所述第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗(spoofing)检测方案,包括通过与第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。因此在一个方面,本发明提供一种方法,包括建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,所述多个被监视设备中的每个被监视设备与唯一的地址关联;通过多个安全通道中对应于第一被监视设备的第一安全通 道将心跳从所述监视设备发送到所述多个被监视设备中的第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。因此在另一方面,本发明提供了一种计算系统,包括处理器;与所述处理器相连的计算机可读存储介质;以及存储在所述计算机可读存储介质上并在所述处理器上执行的逻辑,用于建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联;通过多个安全通道中对应于第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述多个被监视设备中的第一被监视设备;如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备;以及如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备;接收对所述第二心跳的响应;以及通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。本发明内容并非旨在对所请求保护的主题进行全面描述,而是旨在简单概述与其 关联的某些功能。通过参考下面的附图和详细描述,所请求保护的主题的其他系统、方法、功能、特征和优点对于本领域的技术人员而言将显而易见或将变得显而易见。
现在仅参考附图借助示例描述本发明的优选实施例,在所述附图中图I是适合于本发明的实施例的计算体系结构的一个示例的方块图;图2是根据本发明的优选实施例的心跳产生和监视系统(HBGM)的方块图;图3是对应于图2中的HBGM的设置HBGM过程的流程图;图4是对应于图2中的HBGM的操作HBGM过程的流程图;图5是与图4中的操作HBGM过程关联的异常处理的一个示例的流程图;以及图6是与图4中的操作HBGM过程关联的异常处理的第二示例的流程图。
具体实施例方式本领域的技术人员将理解,本发明的各方面可以实现为系统、方法或计算机程序产品。因此,本发明的各方面可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或组合了软件和硬件方面的实施例的形式,所有软件和硬件方面在此通常被称为“电路”、“模块”或“系统”。此外,本发明的各方面可以采取体现在一个或多个计算机可读介质(在介质中具有体现在其中的计算机可读程序代码)中的计算机程序产品的形式。根据所请求保护的主题的一个实施例涉及用于检测采用逻辑分区的系统上的攻击的程序化(programmed)方法。如在此使用的,术语“程序化方法”被定义为意指当前执行的一个或多个过程步骤;或者替代地,被启用将在将来的时刻上执行的一个或多个过程步骤。术语“程序化方法”具有三种替代形式。第一,程序化方法包括当前执行的过程步骤。第二,程序化方法包括体现计算机指令的计算机可读介质,所述计算机指令当被计算机执行时,执行一个或多个处理步骤。最后,程序化方法包括通过软件、硬件、固件或它们的任何组合被编程为执行一个或多个过程步骤的计算机系统。应该理解,术语“程序化方法”不应被构想为同时具有一个以上的替代形式,而应在替代形式的最真实意义中被构想,其中在任何给定时刻只存在所述多个替代形式中的一个。可以使用一个或多个计算机可读介质的任何组合。所述计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以是(例如但不限于)电、磁、光、电磁、红外线或半导体系统、装置、设备或上述介质的任何适当组合。计算机可读存储介质的更具体的示例(非穷举列表)包括以下项具有一条或多条线的电连接、便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦写可编程只读存储器(EPR0M或闪存)、光纤、便携式光盘只读存储器(CD-ROM)、光存储设备、磁存储设备或上述介质的任何适当组合。在本文档的上下文中,计算机可读存储介质可以是任何能够包含或存储由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合使用的程序的有形介质。计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号, 其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括一但不限于一电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括一但不限于一无线、电线、光缆、RF等等,或者上述的任意合适的组合。可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言一诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言一诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络一包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。下面将参照本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些计算机程序指令通过计算机或其它可编程数据处理装置执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置(instructionmeans)的制造品(manufacture)。也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。提供了使得虚拟输入/输出服务器(VIOS)建立与目标LPAR的密码安全信号以检测冒名者(imposter)或欺骗性LPAR的技术。
所述安全信号或“心跳”可以被配置为互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)连接或隧道。在所述隧道内,VIOS对每个目标LPAR执行ping操作,且如果心跳中断,则VIOS判定是隧道中断,对应的LPAR出现故障还是发生媒体访问控制(MAC)欺骗攻击。现在参考附图,图I是可以实现所请求保护的主题的计算体系结构100的一个示例的方块图。计算体系结构100包括计算设备102,所述计算设备通常包括处理器、存储器、数据总线、这些元件均未示出,但计算领域的技术人员都应非常熟悉。与计算系统102关联的处理空间被组织为多个逻辑分区(LPAR),为本示例的目的,所述逻辑分区包括LPAR 130和LPAR 140。如上面在发明内容中所述,LPAR是虚拟化为单独计算系统的计算资源子集。虚拟输入/输出服务器(VIOS) 120与管理程序(hypervisor) 100结合使得LPAR 130和40以协作方式工作。管理程序110通过可借助网络150访问的管理程序管理控制台(HMC)104被访问。HMC 104与交换机106相连,该交换机通过弹性服务处理器(FSP)108与管理程序100相连。尽管未示出,HMC 104通常至少包括监视器、键盘和指点设备或“鼠标”以实现与人类交互。HMC 104通常还包括存储器和处理器。管理程序110通过若干虚拟局域网(VLAN) 112、114和116与诸如VIOS 120和LPAR 130和140之类的计算系统102的其他组件进行通信连接。具体而言,在本示例中,VLAN 112与虚拟以太网(VEN) 123 (与VIOS 120关联)和VEN 132(与 LPAR 130 关联)相连。VLAN 114 与 VEN 133 (与 LPAR 130 关联)和 VEN 142 (与 LPAR140 关联)相连。VLAN 116 与 VEN 122 (与 VIOS 120 关联)和 VEN 143 (与 LPAR 140 关联)相连。VIOS 120的VEN 122和123还与提供到真实以太网(REN)124的连接的桥接器126相连。LPAR 140还包括与网络152相连的REN 144。应该理解,VLAN 112、114和116,VEN122、123、132、133、142和143,REN 124和144以及桥接器126在整个说明书中仅用作可以实现所请求保护的主题的体系结构100和计算系统102的组件的示例。换言之,如计算和通信领域的技术人员应该理解的,体系结构100、计算系统102和组件112、114、116、122、123、124、126、132、133、142和143及144为各种组件提供了很大程度的灵活性来相互通信以及通过网络150和152与用户和其他计算设备通信。VIOS 120还包括心跳产生和监视(HBGM)组件128。HBGM组件128为所请求保护的主题的一个实现提供了存储器和逻辑。下面结合图2-6更详细地介绍HBGM组件128。图2是上面首先参考图I介绍的可用于实现所请求保护的主题的HBGM 128的方块图。HBGM 128包括输入/输出(I/O)模块162、数据模块164、心跳(HB)产生模块166、HB分析模块168、密码(密码的)模块170和图形用户界面(GUI) 172。为下面示例的目的,假设HBGM 128在与计算系统102 (图I)关联的处理器上执行并存储在与计算系统102关联的数据存储(未示出)中。应该理解,所请求保护的主题可以在许多类型计算系统和数据存储结构中实现,但是为了简单起见,仅根据计算机102和系统体系结构100 (图I)进行描述。进一步地,图2中的HBGM 128表示是逻辑模型。换言之,组件162、164、166、168、170和172可以存储在同一个或不同的单独文件中并且可以在系统100内加载和/或执行,作为单个系统或作为通过任何可用的进程间通信(IPC)技术交互的分别的进程。I/O模块162处理HBGM 128和计算系统102的其他组件间的任何通信,包括发送HB产生模块166产生的心跳。数据模块164是信息的数据储存库,所述信息包括HBGM 128在正常操作时所需的参数、设置和列表。数据模块164中存储的信息类型示例包括HBGM配置数据182、系统配置数据184、数据密钥安全列表186和数据缓存188。HBGM配置数据182存储可由用户或系统管理员设置以控制HBGM 128的操作的参数(参见图3中的204)。示例包括但不限于确定在采动行动前被忽略心跳数的参数( 参见图4和5)以及与授权用户相关的信息。系统配置数据184存储与计算系统102(包括HBGM 128在操作期间使用的各种组件)相关的信息(参见图3中的206)。数据密钥186是用于存储实现HBGM 128和计算系统102的其他组件(包括LPAR 130和140)间的安全通信的会话密钥的密码安全区。数据缓存188存储HBGM 128执行的处理的任何中间结果。HB产生模块166执行用于产生从HBGM 128和VIOS 120 (图I)和LPAR 130和140发送的心跳(参见图4中的234)的逻辑。HB分析模块168分析对模块166所产生的心跳的响应,包括响应于异常或丢失的心跳而启动操作(参见图4中的238和240)。密码(密码的)模块170使用数据密钥186中存储的会话密钥,对HBGM 128和计算系统102的其他组件间的通信进行加密和解密。⑶I组件172可使HBGM 128的管理员和其他用户与HBGM128进行交互以及定义其所需功能。替代地,用于与HBGM 128进行交互的⑶I可以并入到HMC 104 (图I)中。下面结合图3-5更详细地描述组件162、164、166、168、170、172、182、184、186 和 188。图3是对应于图I和2中的HBGM 128的设置HBGM过程200的流程图。在本示例中,与过程200关联的逻辑作为HBGM 128 (图I和2)的一部分存储在计算系统102 (图I)上并在上面执行。过程200从方块202 “开始设置心跳产生监视系统(HBGM)”开始并立即进行到方块204“检索HBGM数据”。在方块204中,过程200检索控制HBGM 128的操作(参见图4中的230)的配置数据(参见图2中的182)。如上面参考图2所述,配置数据的示例包括但不限于确定在采取行动前被忽略心跳数的参数(参见图4和5)以及与授权用户相关的信息。在方块206 “检索系统数据”中,过程200检索与上面安装并被期望执行监视的HBGM 128的系统相关的信息(参见图2中的184),包括使得HBGM 128建立与每个被监视设备的通信通道的信息。此信息一般包括保护所建立通道安全的密码信息(参见图2中的186)。在方块208 “建立连接”中,HBGM 128通过使用在方块204和206检索的信息建立与诸如LPAR 130和140 (图I)之类的每个被监视设备的安全通信通道。在本说明书其余部分中出于说明目的而使用的适当安全连接的一个示例是互联网密钥交换/互联网协议安全(IKE/IPsec)封包(ESP)连接/隧道,尽管计算或通信领域的技术人员应该知道其他适当的技术。每个被监视LPAR 130和140可以共享同一 IKE密钥,因为IKE协议为每个连接建立唯一的会话密钥。还可以在每个LPAR 130和140和VIOS 120 (图I)之间使用唯一的预共享密钥。在一个实施例中,初始握手使用DifTie-Hellman来保护通信。
在方块210 “是否有设置问题? ”中,过程200判定方块208的通道建立活动是否已成功完成。可出现的众多可能通信问题示例之一是无法创建与特定设备的安全连接。如果检测到设置问题,则过程200进行到方块212“解决问题”,在其中,通过编程操作、通过通知执行操作的系统管理员或通过这两种方法的某种组合来解决问题。一旦在方块212中解决完所有设置问题,或者如果过程200在方块210中判定未检测到问题,则控制进行到方块214 “创建(spawn)操作过程”,在其中创建操作过程(参见图4中的230)。一旦启动操作过程,便会在方块216 “通知HMC”中将此信息的通知发送到HMC 104 (图I)以及系统管理员、日志文件或这两者。最后,过程200进行到方块219 “结束设置HBGM”,在其中,过程200完成。图4是对应于图I和2中的HBGM 128的操作HBGM过程230的流程图。与过程200 (图3)类似,与过程230关联的逻辑作为HBGM 128 (图I和2)的一部分存储在计算 系统102 (图I)上并在其上执行。过程230从方块232 “开始操作HBGM”开始并立即进行到方块234 “轮询LPAR”。在方块234中,过程230在本示例中通过在为特定LPAR建立的IKE/IPsec ESP隧道(参见图3中的208)上发送信号或“心跳”来轮询诸如LPAR 130或140 (图I)之类的LPAR。在方块236 “等待响应”中,过程230等待来自对方块234中发送的信号的响应。一般而言,通过发送心跳会有三(3)种可能的结果1)超时,2)指示正确的LPAR已做出响应的正确响应;或者3)可疑的响应。在方块238 “是否超时? ”中,过程230判定是否足够的时间已过去而仍没有对方块234中发送的心跳的响应。如果诸如LPAR 130或140之类的一个LPAR截获针对另一个的发送,则通常不会有任何一个LPAR对心跳做出响应。如果过程230判定已发生超时,则控制会进行到转换点“A”,将在下面参考图5对此做出更详细地介绍。如果未检测到超时,则控制进行到方块240 “是否为正确响应? ”,在其中,过程230判定已接收的心跳是否适合于为该心跳所预期的特定LPAR 130或140。如果发生欺骗,例如LPAR 130截获预期为LPAR 140的通信,则LPAR 130无法对心跳做出正确的响应,因为欺骗性LPAR 130没有被冒名LPAR 140的必要唯一会话密钥。如果过程230检测到对方块234中所发送心跳的不正确或不适当的响应,则控制进行到转换点“B”,将在下面参考图6对此做出更详细地介绍。如果过程230在方块240判定已接收到正确的心跳,或者在与转换点A和B关联且经过转换点C的过程已完成之后,过程230进行到方块242 “重置计数”,在其中,过程230重置与作为心跳发送目标的LPAR关联的计数(参见图5)。在方块244 “移到下一 LPAR”中,过程230选择另一 LPAR,返回方块134并且处理如上面描述的那样继续。下一 LPAR的选择可以基于循环方案或另一方案。例如,选择可依赖于优先级方案或基于检测到特定LPAR的可能问题。最后,过程230通过异步中断248停止,该中断将控制传递到方块249 “结束操作HBGM”,过程230在此完成。中断248通常在过程230作为其一部分的OS、VIOS或HBGM本身被系统管理员显式停止或因为断电情况而停止时产生。在正常操作期间,过程230连续循环执行方块234、236、238、240、242和244,将心跳发送到每个被保护设备。图5是与图4中的操作HBGM过程230关联的异常处理代码的一个示例250的流程图。处理代码250从转换点A (图4)开始并立即进行到方块262 “递增计数”。在方块252中,处理代码250递增与作为心跳发送目标的LPAR关联的计数参数。在方块264 “计数 > 阈值? ”中,过程代码250判定计数是否超过预设参数(参见图2中的182)。参数的值可设为“I”以指示在检测到单个丢失的心跳时采取行动,或者根据所需的系统灵敏度设为某一更大的值。如果计数超过允许的计数,则控制进行到转换点B (图4),将在下面参考图6对此做出更详细地介绍。如果计数未超过阈值,则控制进行到转换点C (图4),并且控制返回到过程230 (图4)。图6是与图4中的操作HBGM过程230关联 的异常处理代码的第二示例260的流程图。处理代码260从转换点B (图4)开始并立即进行到方块262 “通知管理程序管理控制台(HMC)”。在方块262中,处理代码260将带有已发生异常事件的指示的通知发送到HMC104 (图I)。此时,系统管理员可以决定调查。在方块264 “准备IPsec/ESP心跳(HB)”中自动响应开始执行。在方块264中,VIOS 120 (图I)针对目标系统准备IPsec/ESP心跳。但是,媒体访问控制(MAC)地址被设为疑似欺骗性设备的MAC地址。由于该MAC地址不是IPsec/ESP包的一部分,因此欺骗性设备将能够对心跳做出响应,而原始目标将不能。换言之,被发送的心跳被设计为除非被欺骗性设备接收到,否则失败。当然,欺骗性设备将无法做出此判定,因此会对心跳做出响应,从而暴露了攻击。在方块266 “是否接收到确认? ”中,处理代码260判定是否已接收到确认心跳。如果是,则控制进行到方块268 “通知发生欺骗事件”,在其中,HBGM 128 (图I和2)通知HMC 104已确认发生在方块262中警告HMC 104的欺骗攻击。如果否,则在方块270 “通知无欺骗”中,通知HMC 104在方块262发送的警告已解决。最后,处理代码260进行到转换点C (图4),并且控制返回到过程230。在此使用的术语仅出于描述特定实施例的目的,并非对本发明进行限制。如在此使用的,单数形式的“一”、“一个”和“所述”旨在也包括复数形式,除非上下文另外明确指出。将进一步理解的是,当在本说明书中使用时,术语“包括”和/或“包含”指定存在所述特性、整体、步骤、操作、元件和/或组件,但并不排除存在或附加一个或多个其他特性、整体、步骤、操作、元件、组件和/或由此构成的组。下面权利要求中的所有装置或步骤加功能元件的对应结构、材料、操作和等同物旨在包括用于与如具体声明的其他所声明的元件结合执行所述功能的任何结构、材料或操作。出于说明和描述目的给出了对本发明的描述,但是所述描述并非旨在是穷举的或是将本发明限于所公开的形式。在不偏离本发明的范围的情况下,许多修改和变化对于本领域的技术人员来说都将是显而易见的。实施例的选择和描述是为了最佳地解释本发明的原理、实际应用,并且使得本领域的其他技术人员能够理解本发明的适合于所构想的特定使用的具有各种修改的各种实施例。附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实 现。
权利要求
1.一种方法,包括 建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,所述多个被监视设备中的每个被监视设备与唯一的地址关联; 通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述第一被监视设备; 如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备; 如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括 通过与第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备; 接收对所述第二心跳的响应;以及 通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
2.如权利要求I中所述的方法,其中所述被监视设备是计算设备的逻辑分区(LPAR)。
3.如权利要求I中所述的方法,其中所述监视设备是计算设备的虚拟输入/输出服务器(VIOS)。
4.如权利要求I中所述的方法,进一步包括通过未接收到对所述第二心跳的响应的事实,判定所述第一安全通道断开。
5.如权利要求I中所述的方法,其中所述密码安全通道基于互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)协议。
6.一种计算系统,包括 处理器; 与所述处理器相连的计算机可读存储介质;以及 存储在所述计算机可读存储介质上并在所述处理器上执行的逻辑,用于 建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联; 通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述第一被监视设备; 如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备; 如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括 通过与第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备; 接收对所述第二心跳的响应;以及 通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
7.如权利要求6中所述的系统,其中所述被监视设备是计算设备的逻辑分区(LPAR)。
8.如权利要求6中所述的系统,其中所述监视设备是计算设备的虚拟输入/输出服务器(VIOS)。
9.如权利要求6中所述的系统,所述逻辑进一步包括用于通过未接收到对所述第二心跳的响应的事实,判定所述第一安全通道断开的逻辑。
10.如权利要求6中所述的系统,其中所述密码安全通道基于互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)协议。
11.一种计算编程产品,包括 计算机可读存储介质;以及 存储在所述计算机可读存储介质上并用于在处理器上执行的逻辑,用于 建立多个密码安全通道,每个通道位于监视设备和多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联; 通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述第一被监视设备; 如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备; 如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括 通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备; 接收对所述第二心跳的响应;以及 通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
12.如权利要求11中所述的计算编程产品,其中所述被监视设备是计算设备的逻辑分区(LPAR)。
13.如权利要求11中所述的计算编程产品,其中所述监视设备是计算设备的虚拟输入/输出服务器(VIOS)。
14.如权利要求11中所述的计算编程产品,所述逻辑进一步包括用于通过未接收到对所述第二心跳的响应的事实,判定所述第一安全通道断开的逻辑。
15.如权利要求11中所述的计算编程产品,其中所述密码安全通道基于互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)协议。
16.—种方法,包括 由与计算系统相连的管理程序建立多个密码安全通道,每个通道位于所述计算系统的监视设备和所述计算系统的多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联; 通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将心跳从所述监视设备发送到所述第一被监视设备; 如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述监视设备发送到所述多个被监视设备中的第二被监视设备; 如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括 通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备; 接收对所述第二心跳的响应;以及 通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
17.如权利要求16中所述的方法,其中所述被监视设备是计算设备的逻辑分区(LPAR)。
18.如权利要求17中所述的方法,其中所述监视设备是与所述管理程序关联的虚拟输入/输出服务器(VIOS)。
19.如权利要求16中所述的方法,进一步包括通过未接收到对所述第二心跳的响应的事实,判定所述第一安全通道断开。
20.如权利要求16中所述的方法,其中所述密码安全通道基于互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)协议。
21.—种方法,包括 建立多个密码安全通道,每个通道位于虚拟输入/输出服务器(VIOS)和多个被监视设备中的一个被监视设备之间,每个被监视设备与唯一的地址关联; 通过多个安全通道中对应于所述多个被监视设备中的第一被监视设备的第一安全通道将心跳从所述VIOS发送到所述第一被监视设备; 如果接收到对所述心跳的响应,则通过所述第一安全通道将第二心跳从所述VIOS发送到所述多个被监视设备中的第二被监视设备; 如果未接收到对所述心跳的响应,则执行欺骗检测方案,包括 通过与所述第二被监视设备关联的地址将第二心跳发送到所述第一被监视设备; 接收对所述第二心跳的响应;以及 通过接收到对所述第二心跳的响应的事实,判定已发生欺骗攻击。
22.如权利要求21中所述的方法,其中所述被监视设备是计算设备的逻辑分区(LPAR)。
23.如权利要求21中所述的方法,其中所述VIOS与管理程序关联。
24.如权利要求21中所述的方法,进一步包括通过未接收到对所述第二心跳的响应的事实,判定所述第一安全通道断开。
25.如权利要求21中所述的方法,其中所述密码安全通道基于互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)协议。
全文摘要
提供了使得虚拟输入/输出服务器(VIOS)建立发送到目标LPAR的密码安全信号以检测冒名者或欺骗性LPAR的技术。所述安全信号或“心跳”可以被配置为互联网密钥交换/互联网协议安全(IKE/IPSec)封包(ESP)连接或隧道。在所述隧道内,VIOS对每个目标LPAR执行ping操作,且如果心跳中断,则VIOS判定是隧道中断、对应的LPAR出现故障还是发生媒体访问控制(MAC)欺骗攻击。此判定是通过发送被设计为除非被欺骗性设备接收到、否则失败的心跳来做出的。
文档编号H04L29/06GK102668502SQ201080058140
公开日2012年9月12日 申请日期2010年12月8日 优先权日2009年12月24日
发明者G·F·麦克布瑞尔蒂, J·C·穆里洛, J·M-H·谢, S·M·基奥恩, S·P·马伦 申请人:国际商业机器公司