[发明专利]用于高性能网络结构安全的技术

权利要求书

1.一种用于结构安全的网络设备，所述网络设备包括：

端口管理模块，所述端口管理模块用于：

启用所述网络设备的第一端口，其中，所述第一端口耦合至链路伙伴；并且

在启用所述第一端口的过程中判定所述第一端口是否是边缘端口，其中，判定所述第一端口是否是边缘端口包括安全地识别耦合至所述第一端口的所述链路伙伴是否是计算节点；以及

分区模块，所述分区模块用于响应于确定所述第一端口是边缘端口而在所述第一端口处实施结构管理分区，其中，所述第一端口与所述管理分区的受限成员相关联，并且所述受限成员被阻止与管理分区的其他受限成员进行通信；

其中安全地识别耦合至所述第一端口的所述链路伙伴是否是计算节点包括：使用所述第一端口与所述链路伙伴的主机结构接口建立反向信道通信会话；以及通过所述反向信道通信会话从所述主机结构接口接收节点类型指示符。

2.如权利要求1所述的网络设备，其中：

启用所述网络设备的所述第一端口包括：将所述结构管理分区的受限成员关系分区密钥与所述第一端口相关联。

3.如权利要求2所述的网络设备，其中在所述第一端口处实施所述结构管理分区包括：

判定在所述第一端口处接收的数据分组的分区密钥是否与所述受限成员关系分区密钥匹配；以及

响应于确定所述数据分组的所述分区密钥与所述受限成员关系分区密钥不匹配而丢弃所述数据分组。

4.如权利要求2所述的网络设备，其中在所述第一端口处实施所述结构管理分区包括：

判定有待从所述第一端口发射的数据分组的分区密钥是否与所述受限成员关系分区密钥匹配；以及

响应于确定所述数据分组的所述分区密钥与所述受限成员关系分区密钥匹配而丢弃所述数据分组。

5.如权利要求1所述的网络设备，其中：

所述端口管理模块进一步用于启用所述网络设备的第二端口，其中，所述第二端口耦合至管理节点，并且其中，所述管理节点是所述结构管理分区的正式成员，并且所述管理节点被允许与所述管理分区的受限成员以及所述管理分区的正式成员进行通信；以及

所述分区模块进一步用于在所述第二端口处实施所述结构管理分区。

6.如权利要求5所述的网络设备，其中：

启用所述网络设备的所述第一端口包括：将所述结构管理分区中的受限成员关系分区密钥与所述第一端口相关联；以及

启用所述网络设备的所述第二端口包括：将所述结构管理分区中的正式成员关系分区密钥与所述第二端口相关联。

7.如权利要求5所述的网络设备，进一步包括：

管理模块，用于从管理节点接收管理消息；

其中，启用所述第二端口包括：响应于接收到所述管理消息而启用所述第二端口。

8.如权利要求1所述的网络设备，进一步包括源身份模块，所述源身份模块用于：

判定在所述第一端口处接收的数据分组的源本地标识符是否匹配与所述第一端口相关联的预定义源本地标识符；以及

响应于确定所述数据分组的所述源本地标识符不匹配所述预定义源本地标识符而丢弃所述数据分组。

9.如权利要求1所述的网络设备，进一步包括流量控制模块，所述流量控制模块用于：

通过所述第一端口接收管理消息；以及

响应于接收到所述管理消息而减小所述第一端口的信用回报率。