[发明专利]网络安全监视器和监视方法

说明书

本发明涉及网络安全，具体地涉及防止在网络上非授权插入的安全，该网络能够建立其代表为IEEE1394的热插入。

考虑到它的简单配置和高性能，常将IEEE1394用作不同的即将来临的设备间插入装置，例如家庭内LAN。IEEE1394具有100Mbps或更高传输率，并且是一种适用于称为“等时的”多媒体数据传输的传输系统。还有，IEEE1394配备有热插入功能，能够在网络运行期间通过自动地识别设备的插入而允许增加或删除一个设备。此外，它组成一个树状拓扑结构网络并可用于不同用途。

作为IEEE1394的一个用途，可考虑一种使用摄象机的监视系统的配置。这归功于以下事实，即上述高速传输率有可能传输例如大量图像数据。一个常规监视系统需要具有监视所需数量的模拟输出摄象机及一个A/D转换机构，例如视频扑获板，其数量与模拟输出摄象机的数量相同。此外，常规监视系统需要一根用于在模拟输出摄象机与视频扑获板之间建立连接的电缆。此条件要求其数量与摄象机的数量相同的电缆应该选择路由。

然而，在利用网络的监视系统例如能够建立热插入的IEEE1394中，可做到以下事情。首先，作为网络监视设备，将至少一个个人计算机插入作接收用及将具有监视所需数量的数字输出摄象机作记录用，就已足够。其次，通过构作树状拓扑结构网络，有可能使用较少电缆来组成监视系统。

在能够建立热插入的网络中，有可能容易地将设备插入网络。的确这是一个方便的功能。然而，当一个外来者非授权地在要求安全的网络例如监视系统中插入一个设备时，此功能可能产生严重问题。此处严重问题的例子是在网络上信息的窃取或篡改和非授权包的传输。考虑到此点，在例如IEEE1394那样的能够建立热插入的网络中，希望以下列方法保持网络的安全。将待插入网络的设备监视以便判定它是否为一个非授权设备，从而阻止非授权设备插入。

本发明的一个目的是提供网络监视方法和设备，用于通过监视增加或删除设备至/自网络和网络配置中的变化而找出网络上非授权设备的插入。

原理上，当涉及一个用作网络上节点的设备时，如它的取决于每个端口的插入状态是可掌握的，则可获得网络配置的情况。在IEEE1394网络中，虽然单个设备具有多个端口，但可识别每个端口的插入状态。可利用此条件以识别网络配置。

在能够建立热插入的网络中，当一个设备增加或删除至/自网络时，需要将网络复位。这是因为网络需要启动，及需要确定设备的ID等。在复位后，交换相应设备的能力和状态及确定相应设备的ID以便确认网络配置。这些过程有可能获得网络配置和检测网络配置中的变化。

在IEEE1394网络中，当插入一个新设备或删除一个已经插入的设备时，将总线复位并开始识别网络配置。IEEE1394网络的节点具有阶层拓扑结构的父-子关系。在总线复位后，首先确定父-子关系。一个只有一个插入端口的节点称为“叶”，并能自发地成为子节点。该叶通知已插入一个插入端口的邻节点，报告该叶本身将变为子节点的事实。这个已收到报告的邻节点成为“一个父节点”。由于网络保证为树状拓扑结构，已变为父节点的节点迟早会遇到情况(A)或情况(B)。

(A)所有插至它的节点变为子节点。

(B)除一个插至它的节点以外，所有插至它的节点变为子节点。

在以上描述的情况(A)中，该节点成为一个根及其结果是完成了父子关系的构成。在上述情况(B)中，该节点通知一个插入余留的插入端口中的邻节点，报告该节点本身将成为一个子节点。此后，该节点以递归方式重复此操作，直至确定根。

一旦确定了父子关系，即根据父子关系顺序所确定的顺序广播称为“自识别包”的包，从而逐个节点地确定相应节点的ID。当已经确定所有节点的ID后，完成网络的构作。此后，以通常方式完成数据传输。自识别包为每个端口记录各相应节点的插入状态。一个具有称为“拓扑结构映象寄存器”的寄存器的设备收集自识别包，从而使网络配置清晰。拓扑结构映象寄存器存储自识别包。网络上的设备能参照拓扑结构映象寄存器来识别网络配置。此外，网络监视设备本身收集自识别包。这也允许识别网络配置。

如迄今所描述的，在IEEE1394网络中容易获得网络配置。此外，监视网络配置的变化，就可能检测已插入非授权设备的可能性。在能够建立热插入的网络中，不必独一地确定用于管理网络的设备，但在某些情况下，可通过某些协商确定管理程序。此时，通过监视管理程序，要求阻止有问题的设备成为管理程序。