用于跨多层网络的协调安全性的系统和方法与流程
本申请案主张2018年3月13日申请的标题为“用于跨多层网络的协调安全性的系统(systemforcoordinativesecurityacrossmulti-levelnetworks)”的第62/642,484号美国临时专利申请的权益和优先权,其全文以引用的方式并入本文中。
本公开大体上涉及用于提供跨多层网络的网络和通信安全的系统和方法。
背景技术:
多层网络通常组织成分层网络拓扑,其从例如云服务器等数据源经由中间网络节点延伸到最终客户端装置。此类网络的典型实例是由缆线、电信、无线和卫星服务提供商操作的宽带接入和视频网络。
这些网络可针对归因于其非均质分层性质而导致的安全性威胁和攻击途径的监视、分析和减轻呈现特有的挑战。
技术实现要素:
一方面,本发明提供一种用于跨多层网络的协调安全性的系统,其包括:由第一装置执行的安全性中介,其与第二装置和第三装置通信,所述第一装置、第二装置和第三装置中的每一者在多层网络中,所述第一装置和第二装置具有第一共享密码机密,且所述第一装置和所述第三装置具有第二共享密码机密;其中所述安全性中介经配置以经由所述第一共享密码机密用所述第二装置执行验证,且经由所述第二共享密码机密用所述第三装置执行验证。
另一方面,本发明提供一种用于网络装置的分层安全链监视的方法,其包括:通过控制服务器装置从安放在物理多层层级中的多个额外装置中的每一者接收所述多个额外装置中的每一者的安全性能力的识别,其中所述物理多层层级的第一等级处的第一额外装置转发来自所述物理多层层级的第二较低等级处的第二额外装置的安全性能力的识别;通过所述控制服务器装置,确定所述第二额外装置的安全性能力超过所述第一额外装置的安全性能力;响应于所述确定,通过所述控制服务器装置,将所述第二额外装置指派给逻辑多层层级的第一等级,且将所述第一额外装置指派给所述逻辑多层层级的第二较低等级,其中所述第一额外装置是所述逻辑多层层级中的所述第二额外装置的子级,所述逻辑多层层级是基于每一额外装置的安全性能力;其中响应于所述第一额外装置是所述逻辑多层层级中的所述第二额外装置的子级,所述第二额外装置通过第三装置将一或多个安全策略应用于与所述第一额外装置传送的数据。
附图说明
通过参考结合附图进行的详细描述,本公开的各种目标、方面、特征和优点将变得更明显且更好理解,其中类似参考标号始终识别对应元件。在图中,相同附图编号通常指示相同、功能上相似和/或结构上相似的元件。
图1是分层网络拓扑的实施例的框图;
图2是用于网络范围验证的方法的实施例的流程图;
图3是同轴电缆厂网络环境的实施例的框图;
图4是说明虚拟网状模型的实施例的框图;
图5是说明远程phy装置(rpd)/收敛缆线接入平台(ccap)网络的框图;
图6是描绘网络环境的实施例中的潜在攻击途径的说明。
图7是描绘并入有安全性代理的经修改网络环境的说明;
图8a是用于云辅助的监视和滤波的系统的实施例的框图;
图8b是供用于云辅助的监视和滤波的系统使用的检查点的实施方案的框图;
图8c是云控制服务器的实施方案的框图;
图8d是根据一些实施方案的控制客户端与控制服务器之间的通信流的说明;
图8e是在一些实施方案中配置使用率控制的说明;
图8f是根据一些实施方案的可缩放监视链的层级的说明;
图9是用于使用可缩放监视链和协调安全性来进行云辅助的监视和滤波的方法的实施方案的流程图;
图10a是描绘包含与一或多个装置或站通信的一或多个接入点的网络环境的实施例的框图;以及
图10b和10c是描绘结合本文所述的方法和系统有用的计算装置的实施例的框图。
所述方法和系统的各种实施例的细节在附图和下文的描述中进行陈述。
具体实施方式
以下docsis标准,包含此类标准的任何草案版本特此以全文引用的方式并入本文中,且出于所有目的成为本公开的一部分:docsis2.0/3.0/3.1;以及docsis3.1fdx。尽管本公开可参考这些标准的方面,但本发明决不受这些标准限制。
出于读取下文的各种实施例的描述的目的,本说明书及其相应内容的章节的以下描述可为有帮助的:
-章节a描述用于协调安全性的系统和方法的实施例;
-章节b描述具有多层触发器的用于云辅助的监视和滤波的系统和方法的实施例;以及
-章节c描述可对实践本文所述的实施例有用的网络环境和计算环境。
a.用于跨多层网络的协调安全性的系统和方法
本文中论述的系统和方法提供跨多层网络的网络装置中的芯片上系统(soc)之间的协调安全性。网络装置中的这些soc之间的共享密码机密用作网络装置之间的相互安全验证和对等互连的基础。密码机密嵌入于网络装置的soc中,或基于这些soc的唯一识别信息和属性而动态地产生。用于验证和对等互连的消息可直接在网络装置中的soc之间传送,或经由充当消息接发代理的云安全性门户实体传送。所述相互验证和对等互连过程可以一对一网状关系或以过渡性分层关系,在网络装置和云安全性门户中的soc之间协调地进行,其中网络装置中的每一soc验证多层网络中的直接下级,并与之对等互连。
在各种实施例中,本文所述的系统经由以下主要机制中的一或多者,独自或以组合方式增强网络范围安全性:
网络范围验证、对等互连和信任
●网络节点装置与网络层级中的所有其直接下级节点装置共享密码机密。此共享可通过这些装置的特定设计来实现,或经由某些通信协议来产生。
●使用所述共享机密,网络节点装置中的soc执行与网络层级中的其直接下级节点装置中的soc的相互验证和对等互连程序。
●网络层级的每个等级中的每一节点装置协调并执行上述相互验证和对等互连,使得网络中的所有最终装置和中间节点装置从根装置一路安全地链接到云服务器。跨网络的此链接安全性关系实现了网络范围验证、对等互连和信任。
网络范围安全监视
●每一最终装置和中间节点装置执行其自身操作的网络诊断和安全监视,以检测指示安全违反和恶意入侵的任何异常。
●网络节点装置协调并征求诊断和监视状态信息,并与网络层级中的其直接下级节点装置交换所述诊断和监视状态信息。
●每一最终装置和直接节点装置基于其自身的及其上级和下级的诊断和监视状态来执行减轻功能。
●所有这些可由对应装置内的soc执行。
基于云的安全性协调
●基于网络或基于云的安全性协调门户提取和接收所推送的消息,并结合网络范围验证、对等互连和信任以及网络范围安全监视,分析来自最终装置和中间节点装置的相关联数据。
●安全性协调门户通过使来自多个等级的最终装置和中间节点装置的分析数据相关,来检测网络范围安全性异常。
安全性协调门户充当无法直接彼此通信但可与门户本身通信的最终装置和中间节点装置的代理。代理功能支持这些装置的一般通信需要,且明确地说,允许其交换网络范围验证、对等互连和信任以及网络范围安全监视所需的消息。
图1中示出说明所公开的系统的网络拓扑的实例实施例的框图。如所示出,实例网络具有包括4个等级的基于树的分层结构:
●客户端装置(最底部)等级表示网络树的叶,且由最终用户的客户端装置以及类似此类装置(家用电器、最终装置、客户端等)组成。
●两个中间节点等级(1级节点和2级节点)。
●云等级,其连接到较宽网络(例如广域网,例如因特网),云服务器和内容服务器,以及安全性协调门户,其由网络可接入的计算装置(例如虚拟机、云服务、网络服务等)提供。
每一最终装置和中间节点装置在其soc中具有嵌入式安全性中介(sa),其负责其嵌入主机装置的相关安全功能。对于每一非叶节点装置,其sa含有与所有其直接下级共享的密码机密或具有对其的存取权,如图1中所指示;所述机密可在产生后即刻嵌入于装置的soc中,或经由密钥分布协议产生。
在操作中,每一非叶节点装置执行验证程序,以使用它们全部共享的机密来相互验证所有直接下级。成功的验证建立这些节点装置之间的安全对等互连和信任。跨网络层级的所有等级的成功验证建立从叶装置一路到云安全性协调门户的安全链接。跨所述网络的此安全链路反过来建立跨整个网络的安全对等互连和信任。
图2是用于网络范围验证的方法的实施例的流程图。在步骤1,在一些实施方案中,安全性协调门户验证其直接下级(例如2级节点上),且记录验证结果。如果成功,那么门户请求其直接下级起始其自身直接下级(例如1级节点上)的其个别验证,并向所述门户报告其验证状态。
反过来,在步骤2,在一些实施方案中,门户请求每一成功地验证的节点装置(例如1级节点上)执行与其自身的直接下级(例如叶装置)的相互验证,并向门户发送回验证状态。这可反复地重复,直到全部叶节点装置都经验证为止。
在步骤3,在一些实施方案中,门户基于从所有所涉及装置接收到的状态信息,构建经成功验证的最终装置和中间节点装置的树。作为此过程的一部分,门户还检测网络中未能通过所述验证的装置。
在以上程序中,如果两个装置不具有直接ip连接性,那么它们可使用安全性协调门户充当代理,彼此间接地交换验证相关消息。
跨所述网络,嵌入于最终装置和中间节点装置的soc中的安全性中介还执行自身个别主机的网络诊断和安全性监视。所有安全性中介向安全性协调门户报告安全性监视分析数据和状态。对于收集到的分析数据,门户执行全局(网络等级)安全性监视任务,并协调这些中介的安全功能,其包含:
-节点及其直接下级的联合安全性分析,包含下级的安全性状态改变对其上级的影响;以及上级的安全性状态改变对所连接的下级的影响的分析;
-跨网络的经协调安全性性检测/评定和减轻动作。
举例来说,如果节点的安全性严重受损,那么门户使所有其下游节点和装置离线。
网络诊断
例如同轴电缆厂等网络上的传统的数据收集和诊断工具通常是基于单探针点,其调查网络的个别客户驻地设备(cpe)或某些探测点内的问题,如图3的同轴电缆厂的框图中所示。可将cpe设定在诊断模式,以判断此位置处的装置(例如电缆调制解调器或双向机顶盒,或其它具有电缆调制解调器功能的装置)的潜在问题,和/或搜索来自同轴电缆厂的干扰。
此方法对相对简单的网络有用且有效。然而,同轴电缆厂可因为放大器、双工器、分路器、缆线,以及缆线和/或连接件以及中间设备中的许多缺陷而复杂。
在许多实施方案中,网络拓扑从节点到节点且从厂到厂不同。举例来说,同轴电缆厂可具有从低于30到超过1000cpe变化的节点大小,且许多布线元件可埋在地下。基本缆线节点拓扑是树结构,其中物理媒体路径在所述节点和许多最终用户房屋之间共享。然而,每一房屋或其它客户位置内部的布线归因于许多因素而趋向于显著变化,例如建造的年份、用户自安装、改建或重建等。在世界上的许多位置,同轴厂是通过复杂的过程形成的,这使得诊断工具非常难以用于合理的模型。另一常见问题与安全性或其它未预期的时间变化干扰相关联。单点诊断策略将受限。
实情为,本文中论述的系统和方法实现三个部分的诊断策略:时间同步的数据收集;虚拟物理模型形成;以及网络健康监视。
时序同步的数据收集
数据收集对于任何诊断工具来说是关键的。在本文呈现的系统和方法中,所提出的数据收集系统提供网络装置中的多个soc之间的基于时间的信息的同步收集。云中的控制服务器向这些网络装置(例如cpe装置)发送控制消息,其起始其之间的时间经协调的数据收集过程。来自时间服务器的控制消息包含例如以下信息:
a)执行数据收集的时间。所述时间可基于分布式时戳或集中式“壁时钟”。在任一情况下,数据收集网络装置在确定其个别时间基础时,考虑与信息传播相关联的等待时间因子、soc中的cpu/gpu/dsp和其它处理功能以及存储器存取。
b)将收集的数据(例如rf频谱信息、信道响应等)的识别。
c)触发信号的来源的类型(例如“受控触发源”、“未知触发源”)。触发信号影响将收集的数据参数。举例来说,一个源网络装置所产生的脉冲信号触发在其它网络装置处测得的信道响应。
d)对于受控来源,触发信号的源识别以及相关联参数。
在多数情况下归因于物理距离或拓扑限制,实现完美的时序同步是不切实际的。因此,收集到的物理层数据可偏移少量时间。此类时间偏移保持在可接受范围内,使得从网络装置中的不同soc收集到的数据中保留必要的时间相关。所述相关提供关于网络(例如物理电缆厂)条件的重要信息。
收集到的数据可根据触发信号的源类型:未知触发源和受控触发源,分类成两个类别。对于未知触发源,相关数据是在控制服务器未命令已知网络实体(例如cpe或光纤节点)发射触发信号的时隙期间收集到的信息。这种类型的数据是极其有用的,例如在用来识别健康的电缆厂且识别潜在问题时。通过交叉相关来自网络装置中的不同soc的数据,与单点数据收集相比,可映射丰富得多的网络图片。
相比之下,受控触发源数据是在已知装置正发射触发信号(例如从光纤节点发射的缆线下游经正交调幅(qam)信号,或来自一个特定cpe的上游信号)时所收集的信息。对于缆线网络厂,每一个别cpe和光纤节点可用作信号源,其提供来自不同角度的不同网络快照。通过将从不同cpe收集到的数据与从不同受控来源收集到的数据进行比较,可建构具体网络模型。
有许多方式来使来自网络装置中的各种soc(例如cpe和光纤节点)的数据收集(包含docsis上游时序)同步,使得数据收集与docsis上游时隙对准;或经由触发每一cpe处的数据收集的预定义广播消息。
对于缆线网络,基本上所有物理层参数均可用于诊断,且时间同步的数据模式可提供额外细节来分析。有用信息中的一些包含:下游逐信道信号强度、逐信道下游均衡器系数、下游频谱捕获、具有不同cpe作为信号源的上游频谱捕获等。
通过使用网络装置(例如cpe和光纤节点)的时序同步数据和位置(数据和边界条件),可为每一特定部位建构网络模型,而不实际进入现场来测量地下电缆长度。通过收集更多数据且执行更多相关计算,可建构较高准确性模型。对于缆线网络,此模型包含同轴电缆物理长度、互连和各种有源和无源组件。此模型可用于诊断。
网络诊断
可通过持续数据收集来监视网络条件。在一些实施方案中,可进行此操作来进一步确认网络模型,和/或监视器网络条件来寻找若干不同参数中的任一者的改变。
举例来说,通过收集来自每一同轴电缆节点内的各种装置的分散数据,可产生虚拟网状模型,其可充当参考来跟踪任何网络变化。通过收集来自所有最终cpe装置(例如电缆调制解调器(cm)、机顶盒等)和节点装置(例如远程物理层(phy)装置,被称作rpd,或远程mac和phy层装置,被称作rmd)的信息,可通过对分布式信息的谨慎分析来检测同轴电缆厂的变化或改变。图4是说明一种此类虚拟网状模型的实施例的框图。
本文所提供的(当应用于远程phy缆线网络时)的数据收集和网络监视机制的主要特性包含以下各项:
a)共享相同缆线媒体的cm之间的带时戳触发信号矩阵的有源产生;
b)所产生的矩阵信号的时间相关分析以探索缆线信道拓扑和rf条件;
c)对(来自cm或信号产生器的)干扰的存在的检测;
d)对(来自cm或信号产生器的)干扰的发起位置的检测;以及
e)对抗rpd或rmd的物理攻击的检测和定位;
这些系统通过提供预警和远程诊断能力来帮助运营商减少缆线运营商的维修复杂性,且通过快速识别任何未预期干扰源来增加网络安全性。
经时间同步的数据对时变干扰源(例如蜂窝式lte侵入噪声)极其有用。干扰信号随时间而变化,单点诊断工具极难捕获干扰信号。还可经由线路上运载的频谱中的波纹来检测故障,例如破损线路或不良屏蔽。
通过跟踪来自每一个别装置的信息,可经由分布式信息之间的相关来找到有用的信息。在一些实施方案中,可利用神经网或机器学习工具来逐渐形成对潜在问题的早期诊断有用的算法。这种类型的早期诊断将节约相当大的运营商维修资源,并通过提供较准确的位置信息和故障原因来改进维修效率。
安全性监视
由安全性中介提供的安全性监视功能可包含:
a)监视验证,例如监视和确保装置验证不被绕过,来防止非法用户获得对网络和服务的接入权;
b)监视授权,例如在装置实现初始授权时,监视所述装置,且根据运营商要求来周期性地寻求重新授权。
c)监视数据隐私,例如监视根据运营商策略为数据业务加密和密钥保护选择的有效加密算法和密钥长度的使用;
d)监视cm安全提供,例如监视dhcp、tftp等中的提供过程,以保护所述装置和所述网络免于攻击且防止服务被窃取;
e)监视安全启动和安全软件下载,例如监视和验证任何下载代码的发起者是已知且可信的来源,监视仅经检验的代码安装在所述装置上,且所述装置从可信的硬件根启动,并强制执行软件信任链。
应用实例:电缆调制解调器(cm)和远程phy装置(rpd)/收敛缆线接入平台(ccap)安全性弱点的减轻
在此章节中,提供示出应用协调安全性性来减轻docsiscm和rpd/ccap安全性弱点的具体实例。在一些实施方案中,可分别经由cm和节点芯片上系统(soc)来提供cm和rpd功能。图5的框图中说明rpd/ccap网络。网络的各个部分可具有不同弱点。举例来说,ip不可接入部分可因恶意电缆调制解调器或信号产生装置而经受rf-相关扰乱(例如噪声干扰);以及ccap核心可受恶意电缆调制解调器或电缆调制解调器后面的黑客攻击。ip可接入部分,包含rpd和ccap核心因为经由因特网的恶意作用者而经受常见ip起始的攻击(例如拒绝服务攻击等)。然而,可提供rpd的验证以及rpd与ccap核心之间的数据保护,作为r-phy安全要求的一部分。类似地,bpi+协议可实现对电缆调制解调器的验证和数据保护。
在图5中,对应于上文所述的协调安全性网络,电缆调制解调器是叶装置,rpd是1级节点中间节点装置,且ccap核心是2级节点中间节点装置。未说明的额外网络实体(例如计算装置、服务器、网络服务等)将连接到网络,以执行安全性协调门户的功能。
图6是描绘网络环境的实施例中的潜在攻击途径的说明。这些潜在攻击途径和对应防御包含以下:
■rpd不暴露于来自cm侧的ip起始的攻击,但易受物理层干扰:黑客可尝试通过劫持cm或使用信号产生器将噪声/干扰注入到电缆厂中来打断正常rpd操作。然而,cm与rpd之间不存在直接ip可接入性,且rpd并不处理docsismac层信息,并将整个数字信息传递到ccap/服务器。使用docsisphy位的攻击几乎是不可能的,尤其在docsis数据被bpi+加扰的情况下。
■cm后面的黑客有可能起始对ccap的ip相关攻击(类似于电缆调制解调器终端系统(cmts)情况)。黑客的数据由ccap处理为ip包,且因此,一些典型ip起始攻击(例如dos)是可能的。
■黑客可从因特网/服务器侧起始对rpd控制平面的攻击。rpd与ccap核心之间的控制平面是经扩展和分布式的,经由控制平面对rpd的攻击将要求黑客对ccap核心与rpd之间的通信协议作出妥协。然而,由于来自因特网的黑客的docsis数据作为经包封phy数据穿过rpd的数据平面,因此通过docsis数据流来攻击rpd的数据平面几乎是不可能的。
■由于rpd与ccap之间的连接/网络不是物理上安全的,所以黑客可通过非docsis数据路径,在链接的此节段内对rdp和ccap发起ip攻击。
为了解决这些安全性威胁,电缆调制解调器和rpd中的安全性中介可支持以下机制,如图7的说明所示。
cm安全性中介
soc中的安全性中介(sa)可基于硬化属性和根机密来唯一地识别调制解调器及其相关联装置(例如机顶盒等)。调制解调器sa还强制执行从链接到cm硅的图像的调制解调器启动,且在所述启动期间强制执行固件和软件图像的真实性和完整性。此外,调制解调器本身可包含具有存储器区保护的用于加密操作的硬件加速器。这提供可用于数据分析和监视的额外cpu带宽。
rpd安全性中介
rpdsoc装置唯一地编程有硬根机密。所述装置可包含用于安全性资源管理的专用硬件,以及用于加密操作的硬件加速器。soc中的rpdsa监视所有重要安全性操作,且在许多实施方案中,将通过专用安全性硬件来执行限制操作。rpdsa还监视来自可信图像的cm的启动,且在所述启动期间确保固件和软件图像的真实性和完整性。rpd还为应用程序提供受信任执行环境(tee)。
图7的说明描绘根据一个实施方案的并入有安全性中介的经修改网络环境,其向docsisrpd/ccap网络提供协调安全性。
如所示出,cm和rpd中的安全性中介无法直接彼此通信(例如所述装置之间无ip连接性)。实情为,基于云的安全性协调门户使cm和rpd(其具有到门户的ip连接性)中的所有安全性中介之间的代理和协调器作用。
因此,本文中论述的系统和方法提供跨多层网络的网络装置之间的协调安全性。所述网络装置之间的共享密码机密用作这些装置之间的相互安全验证和对等互连的基础。密码机密嵌入于这些装置的soc中,或基于这些soc装置的唯一识别信息和属性而动态地产生。用于验证和对等互连的消息可直接在网络装置之间传送,或经由充当消息接发代理的云安全性门户实体间接地传送。相互验证和对等互连过程可在网络装置与成一对一网状关系或成过渡性分层关系的云安全性门户之间协调地进行,其中每一网络实体验证其在多层网络中的直接下级并与之对等互连。
云安全性门户基于来自所有网络装置的验证和对等互连状态消息,来建立总网络范围验证和对等互连。网络装置还个别地实施安全性监视,且将监视状态信息传送到云安全性门户。云安全性门户基于来自所有网络装置的状态消息,来维持总网络范围诊断和安全性监视,并协调跨网络的网络和安全性问题的任何必需减轻。
对于网络诊断,共享相同通信媒体的cm之间的带时戳触发信号和响应测量值的矩阵的有源产生实现所产生的矩阵信号和响应的时间相关分析,以探索网络拓扑和信道条件。所收集的带时戳矩阵数据的分析允许(来自网络实体或外来信号产生器的)干扰的检测和定位。
网络节点经由监视验证来提供安全性监视,例如监视和确保装置验证不被绕过,以防止未经授权的用户获得对网络和服务的接入权。节点还监视授权,例如监视器装置实现初始授权,且周期性地寻求操作策略所需的重新授权。节点还监视数据隐私,例如监视策略所需的有效加密算法和密钥长度数据业务加密以及密钥保护。节点还监视cm设备的安全提供,例如监视dhcp、tftp等中的提供过程,以保护装置和网络免受攻击且防止服务窃取。节点还监视安全启动和安全软件下载,例如监视和验证任何下载代码的发起者是已知且可信的来源,且仅经检验的代码安装在所述装置上,且装置从可信硬件和软件启动。
因此,在一些方面,本公开是针对一种用于跨多层网络的协调安全性的系统。所述系统包含由与第二装置和第三装置通信的第一装置执行的安全性中介,所述第一装置、第二装置和第三装置中的每一者在多层网络中,第一装置和第二装置具有第一共享密码机密,且第一装置和第三装置具有第二共享密码机密。第一装置中的安全性中介经配置以经由第一共享密码机密执行与第二装置的验证,且经由第二共享密码机密执行与第三装置的验证。
在一些实施方案中,第一装置是多层网络中的第二装置的父级;并且第三装置是多层网络中的第一装置的父级。
在一些实施方案中,第一装置的安全性中介经由充当代理的第四装置与第二装置和第三装置通信。在另一实施方案中,第一装置和第二装置经由第一物理层接口连接。在又另一实施方案中,经由第一物理层接口上的穿入连接,通过第四装置来将与第一共享密码机密相关联的验证请求传送到第一装置,第四装置将来自第二装置的验证请求转发到第一装置。在另一进一步实施方案,第一装置中的安全性中介进一步经配置以向第四装置提供第二装置和第三装置的成功验证的识别。在另一进一步实施方案中,第四装置包括安全性门户。在再一进一步实施方案,第一装置的安全性中介经配置以向第四装置提供安全性测量数据,所述第四装置使安全性测量数据与来自第二装置和第三装置的安全性测量数据相关。
b.用于使用多层触发来进行云辅助的监视和滤波的系统和方法
上文所论述架构的实施方案还可用以提供对跨网络的所有层的网络通信的安全监视和滤波。具体地说,在许多实施方案中,上文所论述可信链架构可用于经由网络中的通信来提供可信监视和滤波。云辅助的监视和滤波可基于从ip装置(例如docsis电缆调制解调器,或远程phy节点)收集到的数据业务上的多层触发。ip装置中的控制客户端可与一组监视器交互,所述监视器收集来自所述装置中的各种功能模块的分析信息,并将此信息发送到基于云的控制服务器。服务器反过来执行所述接收到的分析数据的分析。所述分析可与装置或总网络的安全性和性能有关。基于分析结果,触发服务器来建构滤波规则以满足装置或网络的新条件。将所建构的规则发送回到控制客户端,控制客户端接着将其安装到沿装置中的数据路径的各种检查点,监视并滤波穿越装置的接口的业务。
通过控制服务器调用触发来构造滤波规则。这些触发是基于多个逻辑层的数据分析方法,具有增加的复杂度。这些方法包含:
●简单静态配置方法
●传统统计方法
●现代机器学习方法
系统允许监视和滤波从面向lan的接口(例如wifi、以太网、moca)进入ip装置的出埠业务。此外,所述系统允许监视和滤波来自面向wan的接口(例如docsis)或ip装置上暴露的其它接口(例如经由jtag、uart)的入埠业务。
明确地说,系统允许网络节点的监视链以及病毒感染或其它恶意软件的业务模式辨识。在网络节点的监视链的一些实施方案中,云控制服务器根据其个别安全性能力,将监视和滤波功能分配在分层网络节点(例如ccap、rpd或rmd和cm)之间。在组织所有监视节点之间的监视链时,服务器可将较重要的功能分配给具有较强安全性能力的节点,并将更多控制角色指派给这些节点。云控制服务器还可收集病毒扫描日志数据或关于来自家用网络上的用户装置(例如pc)的其它恶意攻击的数据。服务器可应用此数据来驱动从家用网络节点(例如cm)收集到的数据业务统计的标记和训练。可经由神经网络或其它机器学习架构使用训练模型来检测病毒或其它恶意软件或任何其它不合意的业务模式。
图8a是用于云辅助的监视和滤波的系统的实施例的框图。控制客户端800可由计算装置执行,例如桌上型计算机、膝上型计算机、机顶盒、docsis调制解调器或其它这类装置。控制客户端800可包括用于监视安全性和监视操作的应用程序、服务器、服务、后台程序、例程或其它可执行逻辑,所述操作包含从云控制服务器802或其它装置或经由计算装置的用户接口接收监视信息,安装滤波规则或滤波器,以及与云控制服务器802通信。控制客户端可基于或锚定到装置的平台安全机构(例如可信平台模块、加密硬件等)。
检查点804可安装在系统内的各种位置,例如wan检查点804a、lan检查点804b、入埠ip检查点804c、出埠ip检查点804d和/或其它检查点804n,每一检查点804对应于网络堆叠的一接口和/或部分。检查点804可包括用于将滤波规则或滤波器应用于入埠和/或出埠数据(例如以太网包、ip包,或其它类型的数据)的应用程序、服务、服务器、后台程序、例程或其它可执行逻辑。滤波器可含有数据包匹配规则,以及当识别到包与滤波器或规则之间的匹配时将采取的任何动作(例如丢弃、转发、修改等)。
图8b是供用于云辅助的监视和滤波的系统使用的检查点804的实施方案的框图。输入数据包可由输入包剖析模块剖析,其可包括用于剖析包的标头字段的可执行逻辑和/或硬件。输入包剖析模块可将所提取或复制的经剖析信息提供到包滤波模块,其可包括用于使经剖析信息与存储在装置的存储器中的一或多个预定滤波器匹配的可执行逻辑和/或硬件。包滤波模块可尝试使剖析信息与入埠(如果数据来源于wan侧)或出埠(如果数据来源于lan侧)自适应滤波器匹配。可将滤波器应用于包的包含源或目的地地址和/或端口、有效负载类型和/或大小、vlan识别符、装置识别符、mac地址或任何其它类型和形式的信息的任何部分。如果建立包与滤波器之间的匹配,那么提取与匹配的滤波器相关联的对应动作规则,并将其传递到动作产生模块,其可包括用于将所述规则映射到输出包处理模块的可执行动作的可执行逻辑和/或硬件。输出包处理模块可包括用于对输出数据包进行对应动作的可执行逻辑和/或硬件。此外,每一检查点可包含对应检查点监视器,其用于收集关于检查点的状态和操作的分析信息以及穿越检查点的输入/输出包的统计数据(例如数据通过量、接收到的包、所发射的包、所阻止的包、所匹配的滤波器等)。
返回到图8a,ip装置还可包含一或多个cpu/存储器监视器,其可包括用于收集来自计算资源(例如cpu、ram、数据存储装置、gpu、协处理器或其它这类装置)的数据的应用程序、服务器、服务、后台程序、例程或其它可执行逻辑。cpu/存储器监视器可向控制客户端800提供测得的数据,其可包括性能特性、通过量、等待时间、使用率或任何其它此类信息。
云控制服务器802可包括与如上文所论述的ip装置通信的计算装置。在一些实施方案中,云控制服务器802可包括如上文所论述的安全性协调门户,且可经由到客户端装置上的安全性中介的rf接口或其它这类接口,经由穿入通信来通信。云控制服务器802可负责分析所接收到的来自控制客户端800的监视数据以及多层触发的实施方案来构造滤波规则。
图8c是云控制服务器的实施方案的框图。所接收到的来自控制客户端800的分析数据可首先由数据预处理模块处理或格式化,所述数据预处理模块可包括用于滤波和/或聚集分析数据的应用程序、服务器、服务、后台程序、例程或可执行逻辑。可将经滤波或经预处理的数据提供到多层分析模块以供分析,且提供到时间序列数据存储装置以供长期存储。多层分析模块可包括用于通过将分析方法应用于多个功能层(例如网络级通过量、系统资源使用率等),来分析传入数据或使传入数据相关以检测装置的任何异常或状态改变的应用程序、服务器、服务、后台程序、例程或可执行逻辑。一旦检测到,就产生对应触发,并将其发送到自适应滤波器产生模块,用于构造相关联的自适应滤波器。可将所产生的滤波器提供到控制客户端800,来应用于未来的包。
返回到图8a,沿ip装置内的数据路径设置多个数据检查点。所述数据路径包含入埠和出埠ip业务,去往和来自lan的以太网业务,以及跨例如jtag、gpio、uart等混杂接口de数据移动。检查点804强制执行由云控制服务器802提供的检查点滤波器或自适应滤波器,如上文所论述。
所述滤波器含有数据匹配规则,且指定在建立规则匹配或确定包与所述数据匹配规则匹配后将即刻采取的任何动作。可将滤波规则应用于osi模型的一或多个层(例如mac、ip、udp/tcp、http应用程序)处的标头字段。所采取的动作可包含常见的滤波动作,例如转发或丢弃匹配的ip包,以及匹配包的标头字段的修改。另外,云控制服务器802还可自适应性地指定以下动作,作为滤波规则的一部分:
●执行速率控制来限制数据速率不超过给定的可动态配置的阈值。此动作允许动态地节流接口和系统数据加载,从而限制注入到网络中的业务。
●通过接受或拒绝新的tcp会话请求来执行会话准入控制。此动作提供会话级数据节流,限制为新会话的处理分配的计算资源(cpu和存储器)。
●启用/停用接口。此动作控制总接口的启用来调节跨装置的数据流。
●将报告发送到云控制服务器。可在数据检查点中产生事件,以经由控制客户端将检查点数据发送到云控制服务器。
通过其对应监视器来监视装置中的各种功能模块(内部处理元件、接口和检查点)。这些监视器所收集的分析信息可包含以下动态数据:模块状态信息、业务统计、活动/事件登入、资源使用率统计、错误计数等。
所监视的信息由控制客户端收集和聚集,所述控制客户端还可对所收集的信息执行预处理。控制客户端为来自所监视的功能模块的信息设置条件;举例来说,所述条件可基于所收集并经预处理的数据值的阈值。如果满足任何预设条件,那么控制客户端调用与云控制服务器的通信会话。在所述会话期间,控制客户端将所收集的动态数据发送到控制服务器;所述数据可含有高速缓存的所监视参数(短期历史)。
在接收到所述数据后,控制服务器即刻执行对新接收到的信息以及在过去接收到并保存的适当信息(长期历史)的分析。所述分析是检测所述装置的任何异常或操作状态改变,并建构适当的自适应滤波器来满足检测到的异常或操作状态改变。异常或装置操作状态改变的检测构成触发。在三个逻辑层上创建触发,具有增加的复杂性和复杂度。每一层由其相关联的分析方法表示:
层1:静态配置方法。静态地提供触发,且其更新并不反映和适应装置的动态状态改变。
层2:统计方法。所述触发是基于从给定装置或来自所有目标装置收集的动态数据的传统统计分析,包含随时间而收集并保存的对应历史数据。
层3:机器学习方法。所述触发由机器学习算法(例如神经网络和专家系统系统)产生,所述机器学习算法对从给定装置或从所有目标装置收集到的动态数据操作,包含随时间收集并保存的对应历史数据。对于神经网络实施方案,可在控制服务器中,通过将云计算资源应用于所述接收到的分析数据,来进行训练阶段;可通过控制客户端在装置中执行推理阶段。在此情况下,将推理结果发送到控制服务器以用于自适应滤波器产生,如图8d中所说明,图8d说明根据一些实施方案的控制客户端与控制服务器之间的通信流。
在完成多层分析后,将任何所建构的自适应滤波器发送回到装置的控制客户端,如上文所论述,其可在装置中的对应检查点上安装和应用滤波器。从那时起,装置基于经更新的过滤规则来执行滤波,直到它们由控制服务器再次改变为止。
当起始装置(电力循环或软件/硬件复位)时,所有检查点均配置有其特定默认滤波器。此外,可使通过控制服务器建构的适当的自适应滤波器跨初始化而持久(例如通过保存在非易失性存储器中且在初始化后即刻重新加载)。
家用网络可特别易受入侵(例如经由无保护或弱保护的wifi网络,或归因于缺乏对弱点的有效管理或修补)。此外,家用客户端可相对容易被盗用。在任一情况下,恶意攻击者可对作为家用网络的网关的ip装置发起攻击,从而潜在地获得对家庭的接入权且对抗运营商核心网络和服务。本文中论述的系统和方法提供面对此类攻击的安全保护:
●lan检查点监视来源于家用网络的所有出埠业务,并产生出埠业务的概述,包含例如出埠以太网/wifi包的源/目标mac地址的信息。
●出埠ip检查点监视来源于家用网络的所有出埠业务,并产生出埠业务的概述,包含出埠ip包的信息:源/目的地ip地址、源/目的端口编号、协议id。
●周期性地或按需,控制客户端将来自检查点的上述分析数据的概要发送到控制服务器。
●控制服务器对所述接收到的业务概要数据执行多层分析,以为正常业务模式构造模型。使用所述模型来检测与正常模式偏离的任何业务模式。在检测后,出发自适应滤波器产生以为检测到的异常建构适当的滤波器。
●所述接收到的业务概要数据可用以训练神经网络,以为业务模式构造神经网络模型。将神经网络模型发送到控制客户端,其使用神经网络模型,通过对所监视的来自lan检查点和出埠ip检查点的数据执行神经网络推理,来检测异常业务模式。将推理结果发送回到控制服务器,以建构对应的自适应滤波器。
●将所建构的自适应滤波器发送到控制客户端,使得它们可安装在lan和出埠ip检查点处。
●所安装的滤波器采取动作来阻挡促成异常业务模式的包。
因此,甚至可检测从新装置到网络的正常和异常业务。举例来说,在安装新连网的电器或物联网(iot)装置(例如家庭自动化装置)后,可即刻监视来自所述装置的业务,并将其匹配到滤波器。即使最初未辨识到业务(例如对于非常新的装置),随时间的过去,来自多个客户端位置中的此类装置的网络业务也可聚集,且神经网络经训练以将此类业务辨识为正常,且可产生自适应滤波器。因此,如果所述装置在将来的某一点被盗用,那么系统可能够快速辨识异常业务,即使没有手动配置或编程也是如此。这可允许非常快地检测和减轻零天攻击或其它新的恶意活动。
控制客户端可收集关于以下所监视参数中的一或多者的统计:a)cpu加载、b)ram使用率、c)5元组(源极/目的地ip地址、源极/目的端口编号、协议)所识别的数据会话的数目。这些参数中的任一者与上限阈值的交叉可触发与控制服务器的联系。到控制服务器的联系消息可含有所监视参数的高速缓存历史,包含上文所论述那些中的一或多者。控制服务器可分析所述接收到的统计,并确定潜在动作。举例来说,如果cpu加载或ram使用率的相当大的高度伴有数据会话的数目中的尖峰,那么其可为服务拒绝(dos)攻击在进行中的强指示。为了减轻攻击,控制服务器为入埠或出埠ip检查点指定必要的自适应滤波器(取决于攻击是来自wan还是lan):例如“拒绝来源于非运营商地址空间的任何新会话”和/或“丢弃来源于非运营商地址空间的可疑活动中数据会话”。控制服务器可将新的滤波器发送到装置,且控制客户端可将所述滤波器安装在沿数据路径的对应检查点处。因此,入埠和出埠业务经受经更新的滤波规则。
类似地,三个所提到的参数中的一或多者与下限阈值的交叉可触发与控制服务器的新的联系,这反过来可指令装置去除较早的滤波器,如果其根据新的统计确定dos攻击风险已减小。这可通过监视和滤波过程来降低处理要求,降低不再需要滤波器的情形中的存储器要求,且允许处理和存储器资源用于其它功能,潜在地加速合法业务的响应时间。
图8e是在一些实施方案中配置使用率控制的说明。用户或运营商可登录控制服务器(直接或经由运营商代理门户),且配置所要的使用率控制设定:例如“对于cpe客户端x来说,下午11点之后不接入社交媒体站点”;为给定时间窗提供每cpe装置的黑名单或白名单站点或域的列表;等。控制服务器可将所述接收到的使用率控制设定映射到过滤规则:“对于mac地址x,在晚上11点之后,阻止接入到社交媒体域实例.com、实例.net”,在时间t1到t2期间对mac地址x阻止/允许域名xyz,等。控制服务器可将所建构的自适应滤波器发送到装置。装置中的控制客户端将所述接收到的滤波器安装在沿数据路径的对应检查点处。入埠/出埠业务经受沿数据路径的经更新的滤波规则。在后续用户或运营商配置后,即刻改变用于使用率控制的滤波器。
可使用监视链来提供大部署中的可缩放性和效率。控制服务器可经由其控制中介,收集来自网络中的所有监视装置的关于装置安全性能力的信息。安全性能力可包含硬件/软件安全性处理简档、所支持的加密套件等。
服务器可根据其个别安全性能力,来在分层网络节点(例如ccap、rpd或rmd,和cm)之间分配监视和滤波任务。举例来说,在一些实施方案中,当组织所有监视节点之间的分层监视链时,服务器可将较多的重要任务分配给具有较强安全性能力的节点;或将较多控制角色指派给具有较强安全性能力的节点。取决于装置安全性能力的分布,监视链的层级可不同于物理网络的层级。
图8f说明控制服务器从物理网络层级到监视链层级的映射,使用假定的docsis缆线网络作为实例。缆线网络可包括一ccap核心、两个rpd(远程phy装置)和4个cm(电缆调制解调器),其中示出这些装置的安全性能力等级。不同等级的安全性能力可由用于这些装置中的特定芯片上软件(soc)产生。举例来说,不同soc可拥有不同的安全性硬件和软件处理功能。如所示出,物理网络层级可不同于监视链层级,其可改为聚焦于每一装置的安全性能力。因此,举例来说,根据物理部署,cm3可为最终叶节点,但具有强安全性能力,且因此根据监视链逻辑部署,可为基本分支节点。可利用cm3来为监视链层级中的其儿童装置提供安全性监视和功能性,不管其在物理部署中的位置如何。
如上文所论述,在一些实施方案中,系统可经由异常业务模式的辨识来检测恶意攻击者或软件。在一些实施方案中,控制服务器可从家用网络上的用户装置(例如pc)收集病毒扫描日志数据。服务器应用所收集的病毒扫描日志数据来标记从连接到用户装置的家用网络装置(例如cm)收集到的数据业务统计。服务器用所收集的业务数据和相关联的标签来执行机器学习模型的训练。可将训练模型发送到监视装置的控制中介。监视装置中的训练模型用于通过使用局部数据业务统计作为输入数据集,来进行机器学习系统的推理操作,以检测病毒或其它恶意软件或利用以及任何不合意的业务模式。
因此,这些系统实现经由控制客户端控制且由云控制服务器辅助的ip装置中的监视和数据业务滤波。安全检查点沿装置内的ip数据路径设置,其中每一检查点对其输入数据强制执行自适应滤波。控制客户端接收来自与各种装置模块相关联的数据监视器的装置分析数据。除了别的以外,所述数据还包含模块状态信息(例如启用/停用、操作统计等);业务统计(例如数据速率、错误率、数据会话源/目的地地址、数据协议等);以及资源使用率统计(例如cpu加载、作用中进程、存储器使用率和接口加载)。在发生预定义事件后,控制客户端即刻将所收集的动态分析信息发送到控制服务器。所述事件的实例包含:与预定义上部和下部阈值交叉的所监视参数;和/或指示预定义分类或与正常业务流偏离的神经网络推理结果。在接收到来自控制客户端的分析数据后,控制服务器可即刻执行对新接收到的信息以及在过去接收到的分析信息的分析。所述分析可检测装置的任何异常或操作状态改变并建构适当的自适应滤波器,其发送回到控制客户端,以在对应检查点处强制执行。在所述检查点处,自适应滤波器对一组匹配规则实施包或接口状态匹配,其中经匹配的数据包或接口经受滤波动作。
除覆盖数据包上的常见滤波动作(例如丢弃/转发包)以外,滤波动作还可覆盖以下各项:执行速率控制来限制数据速率不超过给定的可动态配置的阈值(此动作允许接口和系统数据加载动态地节流,因此限制注入到网络中的业务);通过接受或拒绝新tcp会话请求来执行会话准入控制(此动作提供会话级数据节流,限制为新会话的处理分配的计算资源(cpu和存储器);启用/停用所述接口(此动作控制总接口的启用来调节跨装置的数据流);或将报告发送到云(可在数据检查点中产生事件,以经由控制客户端将检查点数据发送到云控制服务器)。
异常或装置操作状态改变的检测构成触发。在三个逻辑层上创建触发,具有增加的复杂度。每一层由其相关联的分析方法表示:
●静态配置方法。静态地提供触发,且其更新并不反映和适应装置的动态状态改变;
●统计方法。所述触发是基于从给定装置或从所有目标装置收集到的动态数据的传统统计分析,包含随时间而收集和保存的对应历史数据;以及
●机器学习方法。所述触发由机器学习算法(例如神经网络和专家系统系统)产生,所述机器学习算法对从给定装置或从所有目标装置收集到的动态数据操作,包含随时间收集并保存的对应历史数据。
对于基于神经网络的实施方案,可在控制服务器中,通过将云计算资源应用于所述接收到的分析数据,来进行训练阶段;可通过控制客户端在装置中执行推理阶段。在此情况下,将推理结果发送到控制服务器以用于自适应滤波器产生。
为了确保安全操作,控制客户端和控制服务器基于两侧上的平台安全机构,执行相互验证和数据加密。
可跨多个网络节点应用监视链,以提供可缩放性和效率。在此类实施方案中,控制服务器可经由其控制中介收集来自网络中的所有监视装置的关于装置安全性能力的信息。安全性能力包含硬件/软件安全性处理简档、所支持的加密套件等。服务器可根据其个别安全性能力,来在分层网络节点(例如ccap、rpd和cm)之间分配监视和滤波任务。明确地说,当在所有监视节点之间组织分层-链时,将较重要的任务分配给具有较强安全性能力的节点;以及将较多控制角色指派给此类节点。
可监视业务模式,并基于监视从装置接收到的信息来识别恶意业务。具体地说,在一些实施方案中,控制服务器从家用网络上的用户装置(例如pc)收集病毒扫描日志数据。服务器应用所收集的病毒扫描日志数据来标记从连接到用户装置的家用网络装置(例如cm)收集到的数据业务统计。服务器用业务数据和相关联的标签来执行机器学习模型的训练。将训练模型发送到监视装置的控制中介。通过使用局部数据业务统计作为输入数据集,监视装置中的训练模型用于机器学习的推理操作来检测病毒和任何不合意的业务模式。
图9是用于使用可缩放监视链和协调安全性来进行云辅助的监视和滤波的方法的实施方案的流程图。如上文结合章节a所论述,系统可经由共享密码机密的层级建立可信装置链。在步骤902,控制服务器可验证物理上连接到逻辑拓扑的第一层中的控制服务器的装置。所述验证可经由与共享密码机密相关联的信息的交换,例如可经由共享密码机密解密的经加密识别符的交换。在步骤904处,控制服务器可从第一层装置中的一或多者,接收来自物理层级的下部层的装置(例如连接到第一层装置中的一者的装置)的验证的识别。所述下部层装置和第一层装置的验证可以与步骤902处的第一层装置的验证类似的方式执行。此过程可针对装置的每一下部层反复。
如果任何装置都不可信(例如控制服务器并未接收到任何装置的成功验证的识别),那么在步骤906处,将不可信的装置从监视排除。可采取其它安全性减轻步骤,包含对去往和来自不可信装置的通信进行滤波,停用不可信的装置,或以其它方式阻止不可信装置接入到系统。
在步骤908处,控制服务器可接收来自每一装置的安全性能力。可经由ip网络来传送所述安全性能力,如上文所论述。在许多实施方案中,如上文所论述,装置可具有不同的安全性能力(例如较旧的装置可具有较低能力的处理器,较少的存储器等)。可在步骤910处,按照能力来对装置进行分类。在一些实施方案中,可直接对装置进行分类,而在其它实施方案中,可基于预定阈值来将装置分类成若干层。举例来说,具有大于第一阈值的存储器的装置可放入第一层中;具有小于第一阈值但大于第二阈值的存储器的装置可放入第二层中;以及具有小于第二阈值的存储器的装置可放入第三层中;等等。相同的分类可应用于处理器能力,装置上的加密硬件的存在等。在一些实施方案中,可给定装置的每一特性或能力一得分,且可将合计得分与对装置进行分类的阈值进行比较。可取决于能力,来对所述得分进行加权或给予不同的点总数(例如装置上的tpm模块的存在可导致其被给予高得分;或与装置上的自由存储器的量相比,可更高地评级处理器速度)。
在步骤912到914,可将装置添加到逻辑安全性层级的层,其中将最高能力装置添加到第一层;添加较低能力装置作为下部层中的子级。在具有三个层的实施方案中,可添加具有适中能力的装置作为第一层的子级,其中添加具有低能力的装置作为第二层的子级。下部层的装置可经由任何合适途经分布在父节点之间,例如轮循或经平衡的分布,或不平衡分布(例如其中被识别为具有高能力的一些装置具有比具有高能力的其它装置甚至更高的能力;可为此类较高能力装置分配额外的子节点)。
在步骤916处,控制服务器可接收从第一逻辑层次装置中的每一者聚集的监视数据,所述监视数据包含来自所述第一逻辑层装置的子节点中的每一者以及所述子节点中的任何子节点的数据。所述层级中的每一装置可收集和聚集来自其子级的监视数据,并将所聚集的监视数据及其自己的本机监控数据转发到父节点。通过此重复过程,控制服务器可以能够支持数千或甚至数百万个装置的高效且可缩放方式,接收从所有节点聚集的监视数据。
在步骤918,控制服务器可基于所聚集的监视数据而产生安全策略来在每一层应用。在一些实施方案中,控制服务器可使用在先前接收的经聚集监视数据上训练的机器学习系统来产生安全策略。此类实施方案可用于自动检测异常或可能恶意行为。可如上文所论述应用安全策略,且可包含用于匹配包的滤波器,以及相关联的规则,包含转发或阻止规则、加密规则、启用或停用装置等。在步骤920处,可经由逻辑层级将安全策略提供给第一层装置以用于本地应用,和/或转发到下部层处的装置。所述安全策略可包含所述装置或为其指定策略的装置的识别符,使得层级中的每一父级装置可确定是否将所述策略转发到所述层级中的子级装置。
因此,一旦建立信任链,就可响应于每一装置的能力,经由监视链提供监视,所述监视链可包括与装置的物理层级或拓扑不同的逻辑层级。
因此,在一些方面,本公开是针对一种用于网络装置的分层监视链的方法。所述方法包含通过来自部署在物理多层层级中的多个额外装置中的每一者的控制服务器装置,接收所述多个额外装置中的每一者的安全性能力的识别,其中所述物理多层层级的第一级处的第一额外装置转发来自物理多层层级的第二较低级处的第二额外装置的安全性能力的识别。所述方法还包含通过控制服务器装置,确定第二额外装置的安全性能力超过第一额外装置的安全性能力。所述方法还包含响应于所述确定,通过控制服务器装置,将第二额外装置指派给逻辑多层层级的第一级且将第一额外装置指派给逻辑多层层级的第二较低级,其中所述第一额外装置在逻辑多层层级中是第二额外装置的子级。响应于第一额外装置在逻辑多层层级中是第二额外装置的子级,第二额外装置将一或多个安全策略应用于通过第三装置与第一额外装置传送的数据。
在一些实施方案中,安全策略包括将滤波策略应用于发射到第一额外装置或从第一额外装置发射的包。在另一实施方案中,通过从所述多个额外装置所传送的数据的历史记录训练的控制服务器装置的机器学习系统产生滤波策略。
在一些实施方案中,第二额外装置是物理多层层级中的第一额外装置的子级。在另一实施方案中,第二额外装置从第一额外装置接收发射到第一额外装置或从第一额外装置发射的包的识别;并且其中第二额外装置引导第一额外装置丢弃发射到第一额外装置或从第一额外装置发射的包的对应于滤波策略的子集。在又另一实施方案中,第二额外装置引导第一额外装置响应于发射到第一额外装置或从第一额外装置发射的包而丢弃所述包的超过对应于滤波策略的阈值的子集。
在一些实施方案中,第二额外装置在物理多层层级中不是第一额外装置的子级。在另一实施方案中,第二额外装置经由第二额外装置的第一物理层接口接收经由第一额外装置的第二物理层接口发射到第一额外装置或从第一额外装置发射的包的识别,所述第一物理接口不与第二物理层接口通信。在又另一实施方案中,所述方法包含:通过来自第一额外装置的控制服务器装置,接收发射到第一额外装置或从第一额外装置发射的包的识别;以及通过所述控制服务器装置,经由第一物理层接口将所述接收到的识别转发到第二额外装置。在另一进一步实施方案中,所述方法包含通过控制服务器装置,使用控制服务器装置和第一额外装置的第一共享加密机密来验证第一额外装置。在又另一实施方案中,所述方法包含通过控制服务器装置,使用控制服务器装置和第三额外装置的第二共享加密机密,来验证物理多层层级的第一级处的第三额外装置,其中所述第二额外装置是物理多层层级中的第三额外装置的子级。在又另一实施方案中,所述方法包含:通过来自第三额外装置的控制服务器装置,接收第二额外装置的验证的指示,其由第三额外装置响应于第三额外装置经由第二额外装置和第三额外装置的第三共享加密机密验证第二额外装置而发射。
另一方面,本公开是针对一种用于网络装置的分层监视链的系统。所述系统包含与部署在物理多层层级中的多个额外装置中的每一者通信的控制服务器装置。控制服务器装置经配置以接收所述多个额外装置中的每一者的安全性能力的识别,其中物理多层层级的第一级处的第一额外装置转发来自物理多层层级的第二较低级处的第二额外装置的安全性能力的识别。控制服务器装置进一步经配置以确定第二额外装置的安全性能力超过第一额外装置的安全性能力。所述控制服务器装置进一步经配置以响应于所述确定,将第二额外装置指派给逻辑多层层级的第一级,并将第一额外装置指派给逻辑多层层级的第二较低级,其中第一额外装置在逻辑多层层级中是第二额外装置的子级。响应于第一额外装置在逻辑多层层级中是第二额外装置的子级,第二额外装置将一或多个安全策略应用于通过第三装置与第一额外装置传送的数据。
在一些实施方案中,安全策略包括将滤波策略应用于发射到第一额外装置或从第一额外装置发射的包。在另一实施方案中,通过从所述多个额外装置所传送的数据的历史记录训练的控制服务器装置的机器学习系统产生滤波策略。
在一些实施方案中,第二额外装置是物理多层层级中的第一额外装置的子级。在另一实施方案中,第二额外装置从第一额外装置接收发射到第一额外装置或从第一额外装置发射的包的识别;并且其中第二额外装置引导第一额外装置丢弃发射到第一额外装置或从第一额外装置发射的包的对应于滤波策略的子集。在又另一实施方案中,第二额外装置引导第一额外装置响应于发射到第一额外装置或从第一额外装置发射的包而丢弃所述包的超过对应于滤波策略的阈值的子集。
在一些实施方案中,第二额外装置在物理多层层级中不是第一额外装置的子级。在另一实施方案中,第二额外装置经由第二额外装置的第一物理层接口接收经由第一额外装置的第二物理层接口发射到第一额外装置或从第一额外装置发射的包的识别,所述第一物理接口不与第二物理层接口通信。在又另一实施方案中,控制服务器装置进一步经配置以从第一额外装置接收发射到第一额外装置或从第一额外装置发射的包识别;以及通过控制服务器装置,经由第一物理层接口将所述接收到的识别转发到第二额外装置。在另一进一步实施方案中,所述控制服务器装置进一步经配置以使用控制服务器装置和第一额外装置的第一共享加密机密来验证第一额外装置。在又另一实施方案中,所述控制服务器装置进一步经配置以使用控制服务器装置和第三额外装置的第二共享加密机密,来验证物理多层层级的第一级处的第三额外装置,其中所述第二额外装置是物理多层层级中的第三额外装置的子级。在又另一实施方案中,所述控制服务器装置进一步经配置以从第三额外装置接收第二额外装置的验证的指示,其由第三额外装置响应于第三额外装置经由第二额外装置和第三额外装置的第三共享加密机密验证第二额外装置而发射。
c.计算和网络环境
已论述本发明的解决方案的具体实施例,可有助于结合本文所述的方法和系统来描述操作环境以及相关联系统组件(例如硬件元件)的方面。参看图10a,描绘网络环境的实施例。在简要概述中,网络环境包含无线通信系统,其包含一或多个接入点1006、一或多个无线通信装置1002和网络硬件组件1092。无线通信装置1002可例如包含膝上型计算机1002、平板计算机1002、个人计算机1002和/或蜂窝式电话装置1002。参考图10b和10c更详细地描述每一无线通信装置和/或接入点的实施例的细节。在一个实施例中,网络环境可为特用网路环境、基础设施无线网络环境、子网环境等。
接入点(ap)1006可经由局域网连接可操作地耦合到网络硬件1092。网络硬件1092,其可包含路由器、网关、交换器、桥接器、调制解调器、系统控制器、电器等,可为通信系统提供局域网连接。接入点1006中的每一者可具有相关联的天线或天线阵列,以与其区域中的无线通信装置1002通信。无线通信装置1002可向特定接入点1006登记,以从通信系统(例如经由su-mimo或mu-mimo配置)接收服务。对于直接连接(例如点到点通信),一些无线通信装置1002可经由所分配的信道和通信协议直接通信。无线通信装置1002中的一些可相对于接入点1006移动或相对静止。
在一些实施例中,接入点1006包含允许无线通信装置1002使用wi-fi或其它标准连接到有线网络的装置或模块(包含硬件与软件的组合)。接入点1006可有时被称作无线接入点(wap)。接入点1006可经配置、设计和/或建构来在无线局域网(wlan)中操作。在一些实施例中,接入点1006可作为独立装置连接到路由器(例如经由有线网络)。在其它实施例中,接入点可为路由器的组件。接入点1006可向多个装置1002提供对网络的接入权。接入点1006可例如连接到有线以太网连接,并使用射频链路为其它装置1002提供无线连接来利用所述有线连接。接入点1006可经建构和/或经配置以支持用于使用一或多个射频来发送和接收数据的标准。那些标准及其使用频率可由ieee(例如ieee802.11标准)来定义。接入点可经配置和/或用以支持公用因特网热点,和/或在内部网络上延伸网络的wi-fi信号射程。
在一些实施例中,接入点1006可用于(例如家中或建筑物内)无线网络(例如ieee802.11、蓝牙、紫蜂、任何其它类型的基于射频的网络协议和/或其变化)。无线通信装置1002中的每一者可包含内置无线电,和/或耦合到无线电。此类无线通信装置1002和/或接入点1006可根据如本文呈现的本公开的各个方面来操作,以增强性能,降低成本和/或减小大小,和/或增强宽带应用。每一无线通信装置1002可具有能力来充当经由一或多个接入点1006寻求对资源(例如数据,以及到例如服务器等连网节点的连接)的接入权的客户端节点。
网络连接可包含任何类型和/或形式的网络,且可包含以下各项中的任一者:点到点网络、广播网络、电信网络、数据通信网络、计算机网络。网络的拓扑可为总线、星形或环网拓扑。所述网络可具有如能够支持本文所述的操作的所属领域的那些普通技术人员已知的任何此类网络拓扑。在一些实施例中,可经由不同协议发射不同类型的数据。在其它实施例中,可经由不同协议发射相同类型的数据。
通信装置1002和接入点1006可部署为任何类型和形式的计算装置和/或在其上执行,例如能够在任何类型和形式的网络上传送且执行本文所述的操作的计算机、网络装置或电器。图10b和10c描绘对实践无线通信装置1002或接入点1006的实施例有用的计算装置1000的框图。如图10b和10c所示,每一计算装置1000包含中央处理单元1021和主存储器单元1022。如图10b所示,计算装置1000可包含存储装置1028、安装装置1016、网络接口1018、i/o控制器1023、显示装置1024a-1024n、键盘1026和指向装置1027,例如鼠标。存储装置1028可包括(但不限于)操作系统和/或软件。如图10c所示,每一计算装置1000还可包含与中央处理单元1021通信的额外任选元件,例如存储器端口1003、桥接器1070、一或多个输入/输出装置1030a-1030n(通常使用参考标号1030来指代),以及高速缓冲存储器1040。
中央处理单元1021是响应并处理从主存储器单元1022获取的指令的任何逻辑电路。在许多实施例中,中央处理单元1021由微处理器单元提供,例如:由加利福尼亚州山景城的因特尔公司制造的那些微处理器单元;由纽约州白原市的国际商业机器(internationalbusinessmachines)制造的那些微处理器单元;或由加利福尼亚州森尼韦尔市的超微装置(advancedmicrodevices)制造的那些微处理器单元。计算装置1000可基于这些处理器中的任一者,或能够如本文所述操作的任何其它处理器。
主存储器单元1022可为能够存储数据并允许微处理器1021直接存取任何存储位置的一或多个存储器芯片,例如任何类型或变型的静态随机存取存储器(sram)、动态随机存取存储器(dram)、铁电ram(fram)、nand快闪存储器、nor快闪存储器以及固态驱动器(ssd)。主存储器1022可基于上文所描述的存储器芯片中的任一者,或能够如本文所述操作的任何其它可用存储器芯片。在图10b中示出的实施例中,处理器1021经由系统总线1050(下文更详细地描述)与主存储器1022通信。图10c描绘计算装置1000的实施例,其中处理器经由存储器端口1003与主存储器1022直接通信。举例来说,在图10c中,主存储器1022可为drdram。
图10c描绘其中主处理器1021经由次要总线(有时被称作后侧总线)与高速缓冲存储器1040直接通信的实施例。在其它实施例中,主处理器1021使用系统总线1050与高速缓冲存储器1040通信。高速缓冲存储器1040通常具有比主存储器1022快的响应时间,且由例如sram、bsram或edram提供。在图10c中示出的实施例中,处理器1021经由局部系统总线1050与各种i/o装置1030通信。各种总线可用于将中央处理单元1021连接到i/o装置1030中的任一者,例如vesavl总线、isa总线、eisa总线、微通道架构(mca)总线、pci总线、pci-x总线、pci-快速总线或nubus。对于其中i/o装置是视频显示器1024的实施例,处理器1021可使用高级图形端口(agp)来与显示器1024通信。图10c描绘其中主处理器1021可例如经由hypertransport、rapidio或infiniband通信技术,直接与i/o装置1030b通信的计算机1000的实施例。图10c还描绘其中局部总线与直接通信混合的实施例:处理器1021使用局部互连件总线与i/o装置1030a通信,而直接与i/o装置1030b通信。
各种各样的i/o装置1030a-1030n可存在于计算装置1000中。输入装置包含键盘、鼠标、轨迹板、轨迹球、麦克风、拨号盘、触摸板、触摸屏和绘图平板计算机。输出装置包含视频显示器、扬声器、喷墨打印机、激光印刷机、投影仪和染料升华打印机。i/o装置可由i/o控制器1023控制,如图10b所示。i/o控制器可控制一或多个i/o装置,例如,键盘1026和指向装置1027,例如,鼠标或光学笔。此外,i/o装置还可为计算装置1000提供存储和/或安装媒体1016。在其它实施例中,计算装置1000可提供usb连接(未图示)来接收手持式usb存储装置,例如由加利福尼亚州洛阿拉米托斯市的双子技术产业公司(twintechindustry,inc.)制造的装置的usb快闪驱动线。
再次参看图10b,计算装置1000可支持任何合适的安装装置1016,例如磁盘驱动器、cd-rom驱动器、cd-r/rw驱动器、dvd-rom驱动器、快闪存储器驱动器、各种格式的磁带驱动器、usb装置、硬盘驱动器、网络接口,或适合于安装软件和程序的任何其它装置。计算装置1000可进一步包含存储装置,例如一或多个硬盘驱动器或独立磁盘冗余阵列,用于存储操作系统和其它相关软件,且用于存储应用软件程序,例如用于实施(例如经配置和/或经设计以用于)本文所述的系统和方法的任何程序或软件1020。任选地,安装装置1016中的任一者还可用作存储装置。另外,操作系统和软件可从可启动媒体运行。
此外,计算装置1000可包含网络接口1018以通过多种连接介接到网络1004,所述连接包含(但不限于)标准电话线、lan或wan链路(例如802.11、t1、t3、56kb、x.25、sna、decnet)、宽带连接(例如isdn、帧中继、atm、千兆以太网、经由sonet的以太网)、无线连接,或某种组合上述各项中的任一个或全部。可使用多种通信协议(例如tcp/ip、ipx、spx、netbios、以太网、arcnet、sonet、sdh、光纤分布式数据接口(fddi)、rs232、ieee802.11、ieee802.11a、ieee802.11b、ieee802.11g、ieee802.11n、ieee802.11ac、ieee802.11ad、cdma、gsm、wimax以及直接异步连接)来建立连接。在一个实施例中,计算装置1000经由任何类型和/或形式的网关或穿隧协议(例如,安全套接层(ssl)或输送层安全(tls))与其它计算装置1000'通信。网络接口1018可包含内置网络适配器、网络接口卡、pcmcia网卡、卡总线网络适配器、无线网络适配器、usb网络适配器、调制解调器,或适合于将计算装置1000介接到能够通信且执行本文所述的操作的任何类型的网络的任何其它装置。
在一些实施例中,计算装置1000可包含或连接到一或多个显示装置1024a-1024n。由此,i/o装置1030a-1030n和/或i/o控制器1023中的任一者可包含任何类型和/或形式合适硬件、软件,或硬件与软件的组合,来支持、启用或实现计算装置1000对显示装置1024a-1024n的连接和使用。举例来说,计算装置1000可包含任何类型和/或形式的视频适配器、视频卡、驱动器和/或库来介接、通信、连接或以其它方式使用显示装置1024a-1024n。在一个实施例中,视频适配器可包含多个连接件以介接到多个显示装置1024a-1024n。在其它实施例中,计算装置1000可包含多个视频适配器,其中每一视频适配器连接到显示装置1024a-1024n。在一些实施例中,计算装置1000的操作系统的任一部分可配置成用于使用多个显示器1024a-1024n。所属领域的普通技术人员将认识到并了解,计算装置1000可配置成具有一或多个显示装置1024a-1024n的各种方式和实施例。
在另外的实施例中,i/o装置1030可为系统总线1050与外部通信总线(例如usb总线、苹果桌上型总线、rs-232串联、scsi总线、火线总线、火线1000总线、以太网总线、aplletalk总线、千兆以太网总线、非同步传输模式总线、光线信道总线、串联附接小型计算机系统接口总线、usb连接或hdmi总线)之间的桥接器。
图10b和10c中描绘的种类的计算装置1000可在操作系统的控制下操作,其控制任务的调度以及对系统资源的存取。计算装置1000可运行任何操作系统,例如微软视窗操作系统的版本中的任一者、尤尼克斯(unix)和哩纳克斯(linux)操作系统、麦金托什机计算机的macos的任何版本、任何嵌入式操作系统、任何实时操作系统、任何开源操作系统、任何专有操作系统、移动计算装置的任何操作系统,或能够在计算装置上运行且执行本文所述的操作的任何其它操作系统。典型的操作系统包含(但不限于):由谷歌公司生产的安卓;由华盛顿州雷德蒙德市的微软公司生产的视窗7和8;由加利福尼亚州库比蒂诺市的苹果计算机生产的macos;由动态研究公司(rim)生产的webos;由纽约州阿蒙克市的国际商业机器生产的os/2;以及哩纳克斯,由犹他州盐湖市的卡尔德拉公司(calderacorp.)配销的一种自由可用操作系统,或任何类型和/或形式的尤尼克斯操作系统,等等。
计算机系统1000可为任何工作站、电话、桌上型计算机、膝上型计算机或笔记本计算机、服务器、手持式计算机、移动电话或其它便携式电信装置、媒体播放装置、游戏系统、移动计算装置,或能够通信的任何其它类型和/或形式的计算、电信或媒体装置。计算机系统1000具有充足的处理器能力和存储器容量来执行本文所述的操作。
在一些实施例中,计算装置1000可具有与所述装置一致的不同处理器、操作系统和输入装置。举例来说,在一个实施例中,计算装置1000是智能电话、移动装置、平板计算机或个人数字助理。在其它实施例中,计算装置1000是基于安卓的移动装置、由加利福尼亚州库比蒂诺市的苹果计算机制造的iphone智能电话,或黑莓或基于webos的手持式装置或智能电话,例如由动态研究公司制造的装置。此外,计算装置1000可为任何工作站、桌上型计算机、膝上型计算机或笔记本计算机、服务器、手持式计算机、移动电话、任何其它计算机,或其它形式的计算或电信装置,其能够通信,且具有充足的处理器能力和存储器容量来执行本文所述的操作。
尽管本发明可提到一或多个“用户”,但此类“用户”可指用户相关联装置或站(sta),例如与通常用于多用户多输入多输出(mu-mimo)环境的上下文中的术语“用户”和“多用户”一致。
尽管上文所述的通信系统的实例可包含根据802.11标准操作的装置和ap,但应理解,所描述的系统和方法的实施例可根据其它标准来操作,且使用不同于配置为装置和ap的装置的无线通信装置。举例来说,在不脱离本文所述的系统和方法的范围的情况下,与蜂窝式网络、卫星通信、交通工具通信网络和其它非802.11无线网络相关联的多单元通信接口可利用本文所述的系统和方法来实现改进的总容量和/或链路质量。
应注意,出于识别或区分一者与另一者或与其它者的目的,本公开的某些段落可结合装置、操作模式、发射链、天线等提到例如“第一”和“第二”的术语。这些术语无意仅按时序或根据序列来使实体(例如第一装置和第二装置)有关,但在一些情况下,这些实体可包含此类关系。这些术语也不限制可在系统或环境内操作的可能实体(例如装置)的数目。
应理解,上文所述的系统可提供那些组件中的任一者或每一者的多个组件,且这些组件可在独立机器或在一些实施例中在分布式系统中的多个机器上提供。另外,上文所述的系统和方法可作为在一或多个制品上或一或多个制品中体现的一或多个计算机可读程序或可执行指令提供。所述制品可为软性磁盘、硬盘、cd-rom、快闪存储器卡、prom、ram、rom或磁带。一般来说,计算机可读程序可用任何编程语言来实施,例如lisp、perl、c、c++、c#、prolog,或以例如java的任何字节代码语言来实施。软件程序或可执行指令可作为目标代码存储在一或多个制品上或一或多个制品中。
虽然所述方法和系统的前述书面描述能够使所属领域的一般技术人员制作并且使用被认为是目前最佳的模式,但是所属领域的一般技术人员将理解和了解,在本说明书中存在变化、组合和具体实施例的等效物、方法和实例。因此本发明的方法和系统不应受上述实施例、方法和实例限制,而是受本公开的范围和精神内的全部实施例和方法限制。
- 还没有人留言评论。精彩留言会获得点赞!