受信任的远程管理单元、网络交换机以及远程访问方法与流程

1.本公开总体涉及通信领域，更具体地，涉及网络交换机以及用于网络交换机中的远程访问的方法。


背景技术：

2.远程管理单元(rmu)是在马维尔汽车(marvell automotive)bu的多个汽车和soho网络交换机中设计的功能块，以用于通过以太网帧访问其内部寄存器。除了串行管理接口(smi)之外，它还旨在成为访问寄存器和状态的更有效的方式。与由两个引脚组成的smi相比，使用以太网帧可以更快地访问大型信息数据库，而无需外部smi主控。


技术实现要素：

3.本发明的目的之一在于解决网络通信中的有效性问题。
4.根据本公开的第一方面，提供了网络交换机，其包括：用于通过网络进行通信的多个端口；处理电路系统，与中央处理单元(cpu)分开，处理电路系统被配置为处理经由端口从网络接收到的入站帧、并且经由端口将出站帧发送到网络；以及远程管理电路系统(rmu)，响应从网络交换机外部的主机设备接收到的命令，rmu与cpu分离，并且被配置为：经由端口中的一个端口从主机设备接收远程访问请求帧，其中远程访问请求帧的至少一部分被加密；解密远程访问请求帧；以及响应于远程访问请求帧的一部分的成功解密，根据远程访问请求帧、独立于访问任何cpu来访问网络交换机的一个或多个配置寄存器，组建远程访问响应帧，远程访问响应帧的至少一部分被加密，并且将远程访问响应帧发送给主机设备。
5.在本公开的某些实施例，远程管理电路系统被配置为独立于任何cpu，来对远程访问请求帧的一部分解密，并对远程访问响应帧的一部分加密。
6.在本公开的某些实施例，网络交换机被设置在不存在cpu电路系统的一个或多个集成电路上。
7.在本公开的某些实施例，远程访问请求帧还携带认证信息，并且其中远程管理电路系统被配置为使用认证信息来认证主机设备，并且仅响应于以下两项来组建远程访问响应帧：(i)远程访问请求帧的一部分的成功解密，以及(ii)主机设备的成功认证。
8.在本公开的某些实施例，远程管理电路系统被配置为使用对称加密方案来解密远程访问请求帧的一部分，并且使用非对称加密方案来认证主机设备。
9.在本公开的某些实施例，网络是车辆中的汽车网络，并且其中远程管理电路系统被配置为从车辆外部或从车辆内部接收远程访问请求帧。
10.根据本公开的第二方面，提供了用于网络交换机中的远程访问的方法，方法包括：经由网络交换机的端口，从网络交换机外部的主机设备接收远程访问请求帧，其中远程访问请求帧的至少一部分被加密；与任何中央处理单元(cpu)分离地解密远程访问请求帧；以及响应于远程访问请求帧的一部分的成功解密，独立于访问任何cpu而执行：根据远程访问请求帧来访问网络交换机的一个或多个配置寄存器，组建远程访问响应帧，远程访问响应
帧的至少一部分被加密，并且将远程访问响应帧发送给主机设备。
11.在本公开的某些实施例中，解密远程访问请求帧的一部分以及加密远程访问响应帧的一部分是独立于任何cpu而被执行的。
12.在本公开的某些实施例中，远程访问请求帧还携带认证信息，并且其中方法还包括：使用认证信息来认证主机设备；以及仅响应于以下两项来组建远程访问响应帧：(i)远程访问请求帧的一部分的成功解密，以及(ii)主机设备的成功认证。
13.在本公开的某些实施例中，解密远程访问请求帧的一部分包括应用对称加密方案，并且其中认证主机设备包括应用非对称加密方案。
附图说明
14.结合附图并参考以下详细说明，本公开内容的各实施方式的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的要素，其中：
15.图1是示意性地示出具有本地连接主机的rmu的示例实施例的框图；
16.图2是示意性示出具有远程连接主机的rmu的示例实施例的框图；
17.图3是示意性示出具有dsa标签的rmu请求帧的示例实施例的框图；
18.图4是示意性示出具有以太类型dsa标签的rmu请求帧的示例实施例的框图；
19.图5是示意性示出具有dsa标签的rmu响应帧的示例实施例的框图；
20.图6是示意性地示出了通信上的安全风险的示例的框图；
21.图7是示意性示出受信任的rmu架构的示例实施例的框图；以及
22.图8是示意性地示出了受信任的rmu访问流的示例实施例的流程图。
具体实施方式
23.下面将参照附图更详细地描述本公开内容的实施方式。虽然附图中显示了本公开内容的某些实施方式，然而应当理解的是，本公开内容可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施方式，相反提供这些实施方式是为了更加透彻和完整地理解本公开内容。应当理解的是，本公开内容的附图及实施方式仅用于示例性作用，并非用于限制本公开内容的保护范围。
24.在本公开内容的实施方式的描述中，术语“包括”及其类似用语应当理解为开放性包含，即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例/实施方式”或“该实施例/实施方式”应当理解为“至少一个实施例/实施方式”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
25.rmu(远程管理单元，在本文中也被称为“远程管理电路系统”)是网络交换机(诸如以太网交换机)中的功能块，该功能块被配置为处理来自外部主机设备的远程访问请求以太网帧，并配置网络交换机和/或返回响应以太网帧中的配置/状态。
26.为了防止未经认证的设备操纵和窃听请求/响应以太网帧，受信任的访问机制被应用于rmu中，以执行对远程访问请求以太网帧的认证。
27.此机制利用了非对称密码，其中源设备使用私人密钥用于加密，并且rmu使用公共密钥哈希值(存储在设备上)来验证公共密钥(在以太网帧上传送)并使用公共密钥用于解
密。
28.rmu还使用该公共密钥对响应以太网帧进行加密，该响应以太网帧传递私人密钥哈希值(存储在设备上)和其他信息，以用于设置后续的安全通信(例如，使用适当的加密密钥设置mac安全(macsec))。
29.rmu的各种任务通常仅在硬件或固件中执行，而无需访问与网络交换机相关联的任何cpu。在一些实施例中，网络交换机包括cpu，在这种情况下，所公开的技术减轻了cpu的远程管理任务的负担。
30.rmu从外部主机设备接受远程访问请求以太网帧，对远程访问请求以太网帧进行解码以配置网络交换机(为简便起见，在本文中也被称为“设备”)或获取设备配置/状态信息，并且构造远程访问响应以太网帧，以传送所获取的设备配置/状态信息(返回给发起远程访问请求的主机)。
31.此外，利用马维尔(marvell)分布式交换架构(dsa)标签，可以将用于rmu的以太网帧与正常流量区分开。与交换机功能配合使用，可以将远程管理帧转发到任何连接的交换机，这意味着可以使用单个cpu以在本地或远程控制单个设备或一组设备。
32.在没有对远程访问请求和响应以太网帧的额外保护的情况下，以太网帧的内容将能够由中间设备完全观察到，并且可以通过某些技术从媒体中恢复。由于内容是可见的，因此恶意设备可以伪造或操纵远程访问请求/响应以太网帧。
33.在一些实施例中，为了防止远程访问请求/响应以太网帧受到未认证设备的影响(其可能操纵和/或窃听远程访问请求/响应以太网帧)，利用认证信息对在主机设备和rmu之间通信的远程访问请求和响应以太网帧进行加密。rmu还执行远程访问请求以太网帧的认证和解密。
34.rmu功能概述
35.在一些实施例中，rmu的基本功能是利用以太网帧将配置信息传送到目标设备(支持rmu的目标网络交换机)和从目标设备传送配置/状态信息。以太网帧可以来自连接到目标设备的以太网端口的本地(但仍然是外部)主机，或者来自与目标设备以及之间的其他设备进行通信的远程主机。下图说明了实施例中配备有rmu的网络交换机。除rmu外，交换机通常还包括多个端口和处理电路系统。处理电路系统被配置为处理经由端口从网络接收到的入站帧，并且被配置为经由端口将出站帧发送到网络。
36.图1是示意性地示出具有本地连接主机的rmu的示例实施例的框图。图2是示意性示出具有远程连接主机的rmu的示例实施例的框图。
37.当在启用了rmu功能的设备的物理端口上接收到以太网帧时，该帧将被呈现给进入(ingress)逻辑，该逻辑检查帧的da(sfd之后的前6个字节的帧数据)和dsa或以太类型(ethertype)dsa标签(sfd之后的13到16或20个字节)，以确定该帧是否是远程访问请求或响应帧(rmu请求帧或rmu响应帧)，以及该帧是否以设备为目标。如果该帧是远程访问请求并以设备为目标，则将该帧呈现给rmu块以进行进一步处理。否则，将正常转发该帧。下面的三张图显示了针对该帧的所需的dsa或以太类型dsa标签，因此该帧可以被分类为rmu请求帧或rmu响应帧。
38.图3是示意性地示出具有dsa标签的rmu请求帧的示例实施例的框图。图4是示意性地示出具有以太类型dsa标签的rmu请求帧的示例实施例的框图。图5是示意性地示出具有
dsa标签的rmu响应帧的示例实施例的框图。
39.当帧被标识为rmu请求帧时，rmu块将解析mac客户端数据字段中的前6个字节，以确定rmu请求帧的类型并确定应访问哪些寄存器。并且rmu块使用从设备获取的信息构造rmu响应帧，并在物理端口上发送出去该帧。
40.rmu安全性考虑
41.通过使用rmu块，可以通过本地或远程cpu(或可以发起rmu请求帧和/或接受rmu响应帧的其他类型的设备)有效地配置和检查目标设备。但是，这种便利性给外部主机(本地或远程)与目标设备之间的通信引入了安全风险。
42.当在远程主机和目标设备之间的通信中使用rmu帧时，连接到中间设备(在远程主机和目标设备之间)的任何设备(其了解rmu帧格式)都可以伪造rmu请求帧来操纵目标设备的配置和获取设备的状态。此外，恶意设备还可以伪造rmu响应帧，以在恶意设备看到rmu请求帧时欺骗远程主机。即使当主机被直接连接到目标设备的以太网端口时，也可能通过某些技术窃听线路上传输的数据。
43.图6是示意性地示出了通信上的安全风险的示例的框图。
44.为了防范安全风险，应该对rmu帧中传送配置和/或状态信息的“mac客户端数据”部分进行加密，以使恶意设备在不知道秘密的情况下无法检查和操纵内容。此外，应在“mac客户端数据”部分上传送其他认证信息(也被加密)，以便主机和目标设备都可以知道rmu请求帧和响应帧是否来自真正的对方。
45.用于rmu帧的密码
46.通常，用于加密和解密的密码类型有两种：对称密钥密码和非对称密钥密码。
47.对于对称密钥密码，消息的发送者和接收者使用单个公共密钥来加密和解密消息。
48.对于非对称密钥密码，使用一对密钥(公共密钥和私人密钥)来加密和解密消息。公共密钥和私人密钥是不同的。公共密钥用于加密，并且私人密钥用于解密，反之亦然。
49.对称密钥密码比非对称密钥密码更快并且更简单，但是问题在于发送者和接收者必须以某种安全的方式交换密钥。在这种情况下，在通信之前主机和rmu块都需要知道对称密钥。如果对称密钥长时间使用而不刷新，将存在安全隐患。
50.与对称密钥密码相比，即使非对称密钥密码的复杂性更高，非对称密钥密码也可以是针对rmu帧的更好解决方案。由于用于加密和解密的密钥不同，因此，如果rmu帧的内容对设备不敏感，则不必担心公开一个密钥(例如，公共密钥)。例如，rmu请求帧用于发起主机和目标设备的rmu块之间的通信。
51.可以在rmu请求帧上传送公共密钥，而无需在通信之前进行同步，并且只要主机发起与目标设备的rmu块的通信，就可以使用不同的密钥对(假定rmu块具有足够的信息来区分rmu请求帧是否来自经过认证的主机)。
52.目标设备的rmu块也可以使用公用密钥来加密响应帧，以传送设备敏感信息。例如，随机对称密钥可以由rmu块生成，并(通过使用接收到的公共密钥)在加密的响应帧上传送，以用于保证在一定时间或一定数目的请求/响应帧中的后续通信的安全。
53.受信任的rmu架构
54.下图显示了根据实施例的受信任的rmu的总体架构，该总体架构具有用于初始和
后续通信的非对称和对称解密/加密引擎两者(以绿色背景突出显示)。rmu完全由硬件和/或固件实现，并且其运行不依赖或不涉及交换机的任何cpu(如果cpu存在)。
55.图7是示意性的示出受信任的rmu架构的示例实施例的框图。
56.当rmu块被配置为不受信任的rmu(遗留的rmu)时，设备的以太网端口上的接收到的请求帧被存储在rmu存储器中(参见箭头1)，并且由请求帧解码引擎进行处理(参见箭头4)，无论整个请求帧何时被存储。请求帧解码引擎处理所存储的请求帧并且访问交换机寄存器，以应用新的配置或获取设备状态(参见箭头5)，并且还使用适当的数据(参见箭头6)通知响应帧生成引擎以在rmu存储器上构造响应帧(参见箭头7)。当响应帧的构造完成后，从rmu存储器中读出帧并将其在以太网端口上发送出去(参见箭头10)。
57.当rmu块被配置为受信任的rmu时，在由请求帧解码引擎进行处理之前，所存储的请求帧应当被解密(参见箭头2a/3a或2b/3b)。如果帧可以被正确地解密，并被验证为来自经过认证的主机，则解密引擎应同时通知请求帧解码引擎和响应帧生成引擎以继续该过程。否则，解密引擎应当通知请求帧解码引擎不进行进一步处理，并且通知响应帧生成引擎构建错误响应帧以指示解密过程和/或认证过程的失败。如果允许该过程继续进行，并且随后的响应帧是在rmu存储器上构建的，则应在将响应帧在设备的以太网端口上发送出去之前对其进行加密(参见箭头8a/9a或8b/9b)。
58.(1)受信任的通信请求
59.通过使用非对称密钥密码，用于设置受信任的通信的请求帧可以用于传送公共密钥，因为该请求帧仅需要包含例如rmu请求帧的类型(例如，指示请求帧是用于设置受信任的通信)的设备不敏感信息以及一些加密数据，以区分所传送的公共密钥是否正确。
60.当所请求的帧被标识用于受信任的通信设置时，rmu块应当通过使用公共密钥(均在请求帧上传送)解密所加密的数据，并执行以下两项检查(公共密钥验证)：
61.1)将解密的数据与公共密钥或其哈希值(由某些算法计算)进行比较。
62.2)将公共密钥或其哈希值与设备上的预存储的值进行比较。
63.任何设备都可以通过监测请求帧来查看公共密钥和解密数据的值，但是如果它们不知道私人密钥，则无法伪造不同的请求帧。第一个检查可以确保公共密钥确实与用于加密的私人密钥相对应，并且第二个检查可以确保公共密钥来自经过认证的主机(假设只有主机具有一对私人密钥和公共密钥)。
64.通过使用预存储的公共密钥或其哈希值，rmu块可以区分用于设置受信任的通信的请求帧是否来自经过认证的主机。
65.如果公共密钥验证通过，则rmu应该在设备的以太网端口上发送响应帧，以确认受信任的通信设置的接受。否则，应当构建响应帧以指示受信任的通信设置的拒绝，并在设备的以太网端口上将该响应帧发送出去。
66.(2)受信任的通信响应
67.通过使用非对称密钥密码，用于确认受信任的通信设置的接受的响应帧可以通过从接收到的请求帧中提取的公共密钥来加密其安全/设备敏感数据。在这种情况下，不知道私人密钥的所有其他设备都无法解密响应帧。
68.响应帧上的安全/设备敏感数据应包括以下两个部分：
69.1)随机生成的对称密钥。
70.2)加密的秘密标识符(通过生成的对称密钥)。
71.当主机接收到受信任的通信设置响应帧时，可以通过使用私人密钥来恢复对称密钥，并且可以通过使用私人密钥然后通过使用恢复的对称密钥来恢复秘密标识符。
72.秘密标识符(例如，所使用的私人密钥或其哈希值)应该被预先存储在目标设备上并且仅对于主机是已知的。因为秘密标识符不仅由公共密钥加密，而且还由随机生成的对称密钥加密，所以其他设备在不知道秘密标识符的情况下，无法使用不同的对称密钥(即使他们知道公共密钥)来操纵响应帧。通过这种方式，主机可以区分受信任的通信设置响应帧是否来自目标设备的rmu块。
73.(3)安全通信
74.在主机确认受信任的通信设置响应帧是来自目标设备的rmu块后，受信任的通信的建立完成。主机和rmu块使用对称密钥来保护后续通信，在后续通信中，后续请求和响应帧上的设备敏感数据由对称密钥加密。
75.另外，主机可以在安全通信的一定时间之后重新发送用于设置受信任的通信的请求帧，以重新开始受信任的通信设置过程。在这种情况下，rmu块可以生成另一个随机对称密钥以用于进一步的通信。
76.图8是示意性地示出了受信任的rmu访问流的示例实施例的流程图。
77.图8的左侧示出了在主机设备中执行的过程的一部分。图8的右侧示出了在rmu中执行的过程的一部分。最初，主机发送请求以设置与rmu的受信任的通信会话。rmu验证请求的真实性，并且如果成功，则发送响应帧。该过程的设置部分使用非对称加密。
78.一旦建立会话，主机将发送远程访问请求帧。rmu解密该请求帧，并且如果成功，则访问相关的寄存器，并且组成并发送远程访问响应帧。该过程的这一部分使用对称加密。在同一会话中，主机可以发送任何所需数目的远程访问请求帧。
79.以上所述仅为本公开的可选实施例，并不用于限制本公开，对于本领域的技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原则之内，所作的任何修改、等效替换、改进等，均应包含在本公开的保护范围之内。