本發明涉及一種借助于狀態防火墻來監控尤其是在汽車網絡中的由網絡交換機（110）所連接的網絡成員（142、152、162）之間的通信量的方法。在接收到兩個網絡成員（152、162）之間的數據傳輸時，網絡交換機（110）的內容可尋址存儲器CAM（130、220）根據CAM中的狀態防火墻規則來判定是允許還是拒絕該所接收到的數據傳輸。

技術領域

本發明涉及用于借助于狀態防火墻來監控在網絡尤其是在汽車網絡中的網絡成員之間的通信量的方法，以及用于實行該方法的計算單元和計算機程序。

背景技術

所謂的內容可尋址存儲器（CAM）是一種類型的存儲器，該類型的存儲器可以在一個時鐘周期內對其整個內容進行搜索，在此過程中CAM通過內容而不是通過地址進行搜索。CAM將輸入的搜索數據對著所存儲的數據的表進行比較，并且返回匹配的數據的地址。

三態內容可尋址存儲器（TCAM）具有存儲和搜索三個不同輸入0、1和x的能力，其中x表示所謂的“不關心”狀態。例如，TCAM可能具有諸如“10xx0”之類的條目，其中“x”指示“不關心”狀態。此條目將與下述四個搜索關鍵詞中的任何關鍵詞相匹配：“10000”、“10010”、“10100”或“10110”。二進制內容可尋址存儲器僅可以存儲和搜索0或1。

例如，在US?8?166?536?B1中描述了針對防火墻的CAM的使用，該防火墻用于在網絡中過濾網絡通信量。對應的過濾包括正則表達式，該正則表達式被防火墻轉換成可以存儲在三態內容可尋址存儲器TCAM中的格式中。防火墻基于經轉換的一個或多個輸入正則表達式來對TCAM進行編程以實現過濾。

進一步改善防火墻中的內容可尋址存儲器（CAM）特別地是三態內容可尋址存儲器（TCAM）的使用，尤其是針對汽車網絡中的使用是合期待的。

發明內容

根據本發明，提出了一種用于借助于狀態防火墻來監控在網絡尤其是在汽車網絡中的網絡成員之間的通信量的方法，以及具有獨立權利要求的特征的用于實行該方法的計算單元和計算機程序。有利的進一步的發展形成了從屬權利要求的以及后續描述的主題。

不同網絡成員與網絡交換機尤其是以太網交換機相連接。特別地，每個網絡成員與網絡交換機的不同端口相連接。網絡交換機包括處理器單元和內容可尋址存儲器（CAM），特別地是三態內容可尋址存儲器（TCAM）。處理器單元可以是單個中央處理單元（CPU）或者具有兩個或更多個CPU的多核處理器。在以下描述中，該處理也被稱為“交換機CPU”。

為了例如防止攻擊以及有害內容的引入，借助于狀態防火墻來監控網絡的通信量。在網絡交換機中實現此狀態防火墻。以下述協同設計的方式在網絡交換機中實現該狀態防火墻：一方面通過在處理單元上執行的軟件以及另一方面通過以CAM形式的硬件。

狀態防火墻是一種始終監視從網絡的一個端點到另一個端點的連接的防火墻。特別地，狀態防火墻隨著時間對傳入和傳出數據、數據單元或數據包以及網絡成員之間的連接狀態進行監控，并且將此信息存儲在動態狀態表中。

出于此目的，提供了一種所謂的狀態防火墻狀態表，在下文中也被稱為“狀態表”。此狀態表的條目被稱為狀態防火墻規則，在下文中也被簡稱為“規則”。這些狀態防火墻規則陳述了不同網絡成員之間的連接和/或數據傳輸是被允許的還是被拒絕的。特別地，僅交換機CPU有權訪問此狀態表。例如，狀態表可以存儲在交換機CPU的內部存儲器（例如，寄存器）中，或者在尤其是僅交換機CPU有權訪問的比如閃速存儲器、EEPROM等等的存儲器單元中。

為了穿過狀態防火墻在兩個網絡成員之間傳輸數據，首先需要在這兩個網絡成員之間建立連接。網絡交換機的處理器單元被用于監控和驗證該種類連接的建立。在連接被建立之后，CAM被用來對要在所連接的網絡成員之間傳輸的數據或數據單元進行監控。出于此目的，根據本發明的方法包括以下步驟：