[发明专利]用于监控网络中的网络成员之间的通信量的方法

说明书

本发明涉及一种借助于状态防火墙来监控尤其是在汽车网络中的由网络交换机（110）所连接的网络成员（142、152、162）之间的通信量的方法。在接收到两个网络成员（152、162）之间的数据传输时，网络交换机（110）的内容可寻址存储器CAM（130、220）根据CAM中的状态防火墙规则来判定是允许还是拒绝该所接收到的数据传输。

技术领域

本发明涉及用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法，以及用于实行该方法的计算单元和计算机程序。

背景技术

所谓的内容可寻址存储器（CAM）是一种类型的存储器，该类型的存储器可以在一个时钟周期内对其整个内容进行搜索，在此过程中CAM通过内容而不是通过地址进行搜索。CAM将输入的搜索数据对着所存储的数据的表进行比较，并且返回匹配的数据的地址。

三态内容可寻址存储器（TCAM）具有存储和搜索三个不同输入0、1和x的能力，其中x表示所谓的“不关心”状态。例如，TCAM可能具有诸如“10xx0”之类的条目，其中“x”指示“不关心”状态。此条目将与下述四个搜索关键词中的任何关键词相匹配：“10000”、“10010”、“10100”或“10110”。二进制内容可寻址存储器仅可以存储和搜索0或1。

例如，在US 8 166 536 B1中描述了针对防火墙的CAM的使用，该防火墙用于在网络中过滤网络通信量。对应的过滤包括正则表达式，该正则表达式被防火墙转换成可以存储在三态内容可寻址存储器TCAM中的格式中。防火墙基于经转换的一个或多个输入正则表达式来对TCAM进行编程以实现过滤。

进一步改善防火墙中的内容可寻址存储器（CAM）特别地是三态内容可寻址存储器（TCAM）的使用，尤其是针对汽车网络中的使用是合期待的。

发明内容

根据本发明，提出了一种用于借助于状态防火墙来监控在网络尤其是在汽车网络中的网络成员之间的通信量的方法，以及具有独立权利要求的特征的用于实行该方法的计算单元和计算机程序。有利的进一步的发展形成了从属权利要求的以及后续描述的主题。

不同网络成员与网络交换机尤其是以太网交换机相连接。特别地，每个网络成员与网络交换机的不同端口相连接。网络交换机包括处理器单元和内容可寻址存储器（CAM），特别地是三态内容可寻址存储器（TCAM）。处理器单元可以是单个中央处理单元（CPU）或者具有两个或更多个CPU的多核处理器。在以下描述中，该处理也被称为“交换机CPU”。

为了例如防止攻击以及有害内容的引入，借助于状态防火墙来监控网络的通信量。在网络交换机中实现此状态防火墙。以下述协同设计的方式在网络交换机中实现该状态防火墙：一方面通过在处理单元上执行的软件以及另一方面通过以CAM形式的硬件。

状态防火墙是一种始终监视从网络的一个端点到另一个端点的连接的防火墙。特别地，状态防火墙随着时间对传入和传出数据、数据单元或数据包以及网络成员之间的连接状态进行监控，并且将此信息存储在动态状态表中。

出于此目的，提供了一种所谓的状态防火墙状态表，在下文中也被称为“状态表”。此状态表的条目被称为状态防火墙规则，在下文中也被简称为“规则”。这些状态防火墙规则陈述了不同网络成员之间的连接和/或数据传输是被允许的还是被拒绝的。特别地，仅交换机CPU有权访问此状态表。例如，状态表可以存储在交换机CPU的内部存储器（例如，寄存器）中，或者在尤其是仅交换机CPU有权访问的比如闪速存储器、EEPROM等等的存储器单元中。

为了穿过状态防火墙在两个网络成员之间传输数据，首先需要在这两个网络成员之间建立连接。网络交换机的处理器单元被用于监控和验证该种类连接的建立。在连接被建立之后，CAM被用来对要在所连接的网络成员之间传输的数据或数据单元进行监控。出于此目的，根据本发明的方法包括以下步骤：