认证和数据通道控制的制作方法

1.本公开总体上涉及联网，并且尤其涉及联网装置、交换机和适配器。


背景技术：

2.交换机和类似的网络装置代表许多通信、安全和计算网络的核心部件。交换机通常用于连接多种装置、装置类型、网络和网络类型。随着网络和网络装置的适应和发展，用于连接这些装置的机械和电接口也会发生变化。
3.可插拔模块(例如，小型可插拔(sfp)模块、四小型可插拔(qspf)模块、qsfp+等)已经被开发成对接在网络装置(例如，交换机、网络接口卡(nic)、路由器等)中的印刷电路板和网络线缆之间。网络线缆可以被配置为使用电信号或光信号将信号从一个装置传送到另一装置。可插拔模块提供适当的机械部件和电部件，使网络装置能够与网络线缆对接。可插拔模块非常有用，因为它们可以使单个交换机与多种不同的网络类型对接，其中用于不同网络类型的网络线缆符合不同的通信协议，具有不同的机械接口，具有不同的电接口等。


技术实现要素：

4.随着可插拔模块的不断发展和新网络技术的进步，出现了安全风险。具体来说，可插拔模块表示网络中可能发起“中间人”攻击的一个点。因为可插拔模块有如此多的数据通过它们，并且因为可插拔模块通常是简单的机电装置，所以攻击者有可能替换或修改可插拔模块以复制通过其中的数据，然后在没有检测或许可的情况下在网络外部重放或共享复制的数据。可插拔模块还没有开发出能够证明其真实性或对使用它们的交换机没有篡改的能力。交换机执行的唯一真实性检查是通过允许适当的数据在网络线缆和交换机内部电路之间传递来确定可插拔模块是否以预期的方式运行。因此，交换机及其部件目前盲目地相信可插拔模块是真实的，并且不对通过其中的数据执行任何恶意操作。
5.本公开的实施方式旨在解决与可插拔模块和使用它们的网络装置相关联的上述缺点和其他问题。具体地，本公开的实施方式设置在使敏感数据能够通过之前认证可插拔模块、交换机、nic等的能力。
6.在说明性示例中，公开了一种在网络交换机中使用的认证方法，所述方法包括：接收指示数据通道被激活并且被配置为将数据从第一端口传输到第二端口的第一信号；接收指示在网络交换机中建立认证通道的第二信号，其中认证通道不同于数据通道；并且仅响应于接收到指示认证通道正在建立的第二信号而启用跨数据通道的数据传输。
7.在另一示例中，公开了一种网络交换机，其包括：第一端口；第二端口；网络适配器装置，其连接在第一端口和第二端口之间；数据通道，其建立在网络适配器装置中并且被配置为将数据从第一端口传送到第二端口；以及认证通道，其作为确定网络适配器装置的真实性的一部分而被分析。
8.在又一示例中，公开了一种装置，其包括：第一组端子，其被配置为与第一网络接口配合；第二组端子，其被配置为与第二网络接口配合；数据通道，其用于将数据从第一组
端子传送到第二组端子；以及认证通道，其作为确定装置真实性的一部分而被分析。
9.本文描述了另外的特征和优点，并且从下面的描述和附图中将变得明显。
附图说明
10.本公开结合附图进行描述，附图不一定按比例绘制：
11.图1是描绘根据本公开的至少一些实施方式的通信系统的第一说明性配置的框图；
12.图2是描绘根据本公开的至少一些实施方式的在网络交换机的第一端口和第二端口之间建立的认证通道的一个可能实现方式的框图；
13.图3是描绘根据本公开的至少一些实施方式的在网络交换机的第一端口和第二端口之间建立的多个认证通道的另一可能实现方式的框图；
14.图4是描绘根据本公开的至少一些实施方式的在网络交换机的第一端口和第二端口之间建立的认证通道的又一可能实现方式的框图；
15.图5是描绘根据本公开的至少一些实施方式的在网络交换机中建立的多个认证通道的另一可能实现方式的框图；
16.图6是描绘根据本公开的至少一些实施方式的在网络交换机中建立的多个认证通道的又一可能实现方式的框图；
17.图7是描绘根据本公开的至少一些实施方式的通信系统的第二说明性配置的框图；
18.图8是描绘根据本公开的至少一些实施方式的在适配器装置中建立的认证通道的可能实现方式的框图；
19.图9是描绘根据本公开的至少一些实施方式的在适配器装置中建立的认证通道的另一可能实现方式的框图；
20.图10是描绘根据本公开的至少一些实施方式的在适配器装置中建立的多个认证通道的又一可能实现方式的框图；
21.图11是描绘根据本公开的至少一些实施方式的在适配器装置中建立的认证通道的另一可能实现方式的框图；以及
22.图12是描绘根据本公开的至少一些实施方式的认证方法的流程图。
具体实施方式
23.随后的描述仅提供实施方式，并不意图限制权利要求的范围、适用性或配置。相反，随后的描述将为本领域技术人员提供用于实现所描述的实施方式的使能描述。应理解，在不脱离所附权利要求的精神和范围的情况下，可以对元件的功能和布置进行各种改变。
24.从下面的描述将会理解，并且出于计算效率的原因，系统的部件可以在不影响系统的操作的情况下被布置在分布式部件网络内的任何适当位置。
25.此外，应理解，连接元件的各种链路可以是有线、迹线或无线链路，或它们的任何适当组合，或能够向所连接的元件供应数据和/或从所连接的元件传送数据的任何其他适当的已知或以后开发的元件。例如，用作链路的传输介质可以是任何合适的电信号载体，包括同轴电缆、铜线和光纤、pcb上的电迹线等。
26.如本文所使用的，短语“至少一个”、“一个或多个”、“或”以及“和/或”是开放式表达式，其在操作中既是连接的又是分离的。例如，表述“a、b和c中的至少一者”、“a、b或c中的至少一者”、“a、b和c中的一者或多者”、“a、b或c中的一者或多者”、“a、b和/或c”和“a、b或c”中的每个是指：a单独；b单独；c单独；a和b一起；a和c一起；b和c一起；或a、b和c一起。
27.如本文所用，术语“自动”及其变型是指当执行过程或操作时，在没有大量人类输入的情况下完成的任何适当的过程或操作。然而，如果输入是在过程或操作执行之前接收的，则过程或操作可以是自动的，即使过程或操作的执行使用实质或非实质的人类输入。如果人类输入影响过程或操作的执行方式，则所述输入被认为是实质的。同意执行过程或操作的人类输入不被认为是“实质的”28.如本文所用，术语“确定”、“核算”和“计算”及其变型可互换使用，并且包括任何适当类型的方法、过程、操作或技术。
29.本文将参考作为理想化配置的示意图的附图来描述本公开的各个方面。
30.除非另有限定，本文使用的全部术语(包括技术和科学术语)具有与本公开本领域的普通技术人员通常理解的相同的含义。将进一步理解，诸如在常用词典中限定的那些术语应被解释为具有与它们在相关领域和本公开的上下文中的含义一致的含义。
31.如本文所用，除非上下文清楚地另外指出，否则单数形式“一”、“一个”和“所述”还意图包括复数形式。还将理解，当在本说明书中使用时，术语“包括”、“包含”和/或“含有”指定所陈述的特征、整数、步骤、操作、元件和/或部件的存在，但是不排除一个或多个其他特征、整数、步骤、操作、元件、部件和/或其组合的存在或添加。术语“和/或”包括一个或多个相关联列出项目的任何和所有组合。
32.现在参考图1至图12，将描述用于认证和数据通道控制的各种系统和方法。尽管将结合认证网络交换机的某些部件或可附接到网络交换机的某些部件来描述各种实施方式，但是应理解，本公开的实施方式不限于本文所描述的那些示例。相反，为了确认装置的真实性和/或为了控制通过装置的数据流的目的，本公开的实施方式可以应用于任何适当类型的装置或装置的集合。因此，尽管将结合交换机、nic、适配器装置、可插拔模块等的认证来描述特定实施方式，但是应理解，权利要求不限于此。
33.首先参考图1至图6，将根据本公开的至少一些实施方式描述通信系统100的第一个可能的配置。应理解，参考图1至图6描述的部件也可以用于或不用于如图7至图10中所示的通信系统100。
34.在图1的配置中，通信系统100被示为包括网络交换机104，所述网络交换机104连接一个或多个计算装置112和/或一个或多个不同网络108a、108b。网络交换机104可以包括电路120，所述电路120被配置为管理不同计算装置112之间的数据流、分组传输等。在一些实施方式中，网络交换机104的电路120可以以nic、多个nic、集成电路、多个不同的电路板、交换机、数据处理单元(dpu)等的形式提供。电路120可在网络交换机104内建立交换架构或通信总线。在一些实施方式中，电路120可以包括相对简单的模拟电路部件(例如，电阻器、电容器、电感器等)、数字电路部件(例如，晶体管、逻辑门、交换机等)、集成电路(ic)芯片、存储器装置、现场可编程门阵列(fpga)、专用集成电路(asic)、其组合等。
35.图1中描绘的计算装置112可以是相同类型的计算装置或不同类型的计算装置。计算装置112不一定需要使用相同的通信协议进行通信。在一些实施方式中，一些计算装置
112可以与第一网络108a连接，这使得能够使用第一通信协议进行通信，而其他计算装置112可以与第二网络108b连接，这使得能够使用第二通信协议进行通信。网络交换机104可以被配置为连接不同类型的网络108a、108b，并且便于计算装置112(即使此类装置112连接到不同的网络)之间的机器对机器通信。
36.在一些实施方式中，第一网络108a可以对应于第一网络类型，并且第二网络108b可以对应于第二网络类型。在一些实施方式中，第一网络108a和第二网络108b可以对应于相同的网络类型并且利用相同的通信协议。网络108a、108b的非限制性示例包括互联网协议(ip)网络、以太网网络、无限带宽(ib)网络、光纤信道网络、互联网、蜂窝通信网络、无线通信网络、其组合(例如，以太网光纤信道)、其变型等。
37.计算装置112可以被认为是主机装置、服务器、网络装置、数据存储装置或其组合。在一些实施方式中，计算装置112可以对应于个人计算机(pc)、膝上型计算机、平板计算机、智能电话、服务器、服务器的集合等中的一者或多者。应理解，计算装置112可以被称为主机，其可以包括网络主机、以太网主机、ib主机等。作为另一特定但非限制性示例，计算装置112中的一个或多个可以对应于向通信系统100中的用户装置、客户端装置或其他主机提供信息资源、服务和/或应用程序的服务器。应理解，计算装置112可以被分配至少一个网络地址，并且分配给它的网络地址的格式可以取决于计算装置112所连接的网络108a、108b的性质。
38.如上所述，网络交换机104可以包括电路120，所述电路120便于计算装置112的互连，并且所述电路120管理计算装置112之间的数据流/分组流。网络交换机104的电路120可以经由一个或多个端口116a-n与网络108a、108b对接。具体地，在图1示出的示例中，网络交换机104的第一端口116a被示为将网络交换机104与第一网络108a连接，网络交换机104的第二端口116b被示为将网络交换机104连接到第二网络108b，第三端口116c被示为直接连接到计算装置112(例如，在网络交换机104和计算装置112之间没有提供更宽的网络)，并且第n端口116n被示为打开并且可用于接收新的网络连接。每个端口116a-n可以包括一个或多个机械、电和/或光部件，所述一个或多个机械、电和/或光部件与设计的网络线缆对接。因此，端口116a-n可以被设计成便于电通信、光通信或其组合。如本文将进一步详细讨论的，端口116a-n可以包括多个端子，所述多个端子与由网络线缆提供的网络接口配合，并且不同的端口116a-n可以被配置为使用不同数量的通信信道(这可能取决于它们所连接的网络108a、108b的性质)进行通信。例如，第一端口116a可以被配置为与使用第一数量的信道(例如，1信道、2信道、4信道、8信道、16信道、
…
、m信道(其中m是大于或等于1的整数值)等)通信的网络接口配合，而第二端口116b可以被配置为与使用第二数量的信道通信的不同网络接口配合。
39.电路120可以被配置为经由多个数据通道124在端口116a-n之间传送数据。可在每对端口116之间建立一个或多个数据通道124。图1绘示了可在端口116a-n之间建立的一些数据通道124，但是并不意图描述可以建立的所有可能的数据通道124。具体地，图1绘示了第一端口116a和其他端口116b、116c、116n中的每一个之间的单个数据通道124。应理解，可在第一端口116a和其他端口116b、116c、116n中的一个之间建立多个数据通道124。还应理解，一些端口116可能不具有建立在其他端口的任何数据通道124。例如，第二端口116b不一定需要具有与第三端口116c建立的数据通道124。
40.可以使用光和/或电子电路部件在电路120中建立数据通道124。可在电路120中提供以建立数据通道124的部件的示例包括但不限于电阻器、电感器、电容器、其他模拟电路部件、二极管、晶体管、放大器、集成电路(ic)、微处理器、其他数字电路部件、光电探测器、光电二极管、激光器、光源、其他光电装置、导线、迹线、光缆等。电路120还可以包括根据从处理器132接收到的控制信号来启用数据通道124的移动、切换、禁用和启用的部件。
41.除了数据通道124之外，电路120还可以用于在网络交换机104中建立一个或多个认证通道128。在一些实施方式中，并且如本文将进一步详细描述的，认证通道128可以类似于数据通道124，因为认证通道128可以穿过电路120的一个或多个部件，并且可以由于穿过电路120的特定部件而表现出一些电或信令特性。例如，认证通道128可以穿过第一端口116a和第二端口116b之间的特定迹线、电阻器、电容器和/或电感器。在信号通过认证通道128时，认证通道128的特性可以通过测量信号(或在从一个端口116传输时，或在另一端口116接收时)的特性来测量。
42.穿过认证通道128的信号的特性可以用于确认认证通道128是真实的、有效的，并且端口116a、116b之间的连接没有受到篡改。如果检测到有效的认证通道128流经第一端口116a和第二端口116b之间的电路120，则可以确定在第一端口116a和第二端口116b之间建立的数据通道124是真实的、有效的，并且不受篡改。分析源自第一端口116a的认证通道128还可以使得能够确定第一端口116a和连接到其上的联网线缆是真实的、有效的并且不受篡改，这可以使得能够肯定地确定连接到第一端口116a的所有数据通道124都是真实的、有效的并且不受篡改。在一些实施方式中，认证通道128最初可以建立在最终将被数据通道124穿过的路径上。认证通道128可以用于认证网络交换机104中的任何适当数量的部件(例如，nic、端口116、电路120等)或连接到网络交换机104的部件(例如，网络线缆、适配器装置等)，因为只要网络交换机104和连接到网络交换机的部件按预期设计并按预期使用，认证通道128将表现出特定的一组特性(例如，传输时间、噪声、抖动、幅度、频率、电阻、电容、电感等)。以此方式，认证通道128可以用于检测由在网络交换机104中放置意外部件或附接到网络交换机104的某人引起的可能的“中间人”攻击。在一些实施方式中，认证通道128可以包括在第一端口116a和第二端口116b之间不传送数据的冗余路径。相反，认证通道128可以被设计成仅传送认证信号，并且可能永远不会被实际用于在网络交换机104中传送数据。
43.在一些实施方式中，处理器132可以被配置为分析认证通道128，并且确定由认证通道128传送的信号是否有效，并且表现出适当的预期的特性。尽管被描绘为与电路120分开，但是应理解，处理器132可以集成到电路120中或作为电路120的一部分提供。处理器132可以被配置为通过执行存储在存储器136中的通道认证指令140来分析认证通道128的特性。在一些实施方式中，通道认证指令140在由处理器132执行时，还可以使处理器132能够根据分析认证通道128的结果来激活、停用、禁用或启用一个或多个数据通道124。换句话说，处理器132可以被配置为分析认证通道128，然后根据认证通道128是否通过认证过程来控制数据通道124是否被允许在网络交换机104内传送数据。
44.通道认证指令140可以被配置为在引导操作或其中端口116试图建立数据通道124的任何其他适当操作期间执行。例如，当网络交换机104正在初始化并且处理器132可以为具有与其连接的网络接口(例如，具有插入其中的联网线缆或适配器装置)的端口116a-n中的一些或全部执行通道认证指令140时，可以发生引导操作。在完成引导操作之前，处理器
132可在允许数据通道124将数据(例如，数据分组)从一个端口116传送到另一端口116之前检查(一个或多个)认证通道128。作为另一示例，当网络交换机104具有连接到其的新网络接口时，可以发生引导操作，并且可以对接收网络接口的端口116执行引导操作。作为另一示例，当网络交换机104断电并且在断电之后重新初始化时，可以发生引导操作。在一些实施方式中，响应于检测到特定事件，处理器132可在运行期间以周期性间隔和/或随机地执行通道认证指令140。
45.处理器132可以设置在电路板(例如，印刷电路板(pcb))上，所述电路板通过一个或多个导线或迹线连接到电路120。在一些实施方式中，电路120和处理器132可以设置在公共载板上，或处理器132的部件可以安装到同样容纳电路120的同一结构。
46.处理器132可以被配置为执行存储在存储器136中的指令。作为一些非限制性示例，处理器132可以对应于微处理器、ic芯片、中央处理单元(cpu)、图形处理单元(gpu)等。存储器136可以对应于被配置为存储指令的任何适当类型的存储器装置或存储器装置的集合。可以用于存储器136的合适存储器装置的非限制性示例包括快闪存储器、随机存取存储器(ram)、只读存储器(rom)、其变型、其组合等。在一些实施方式中，存储器136和处理器132可以集成到公共装置中(例如，微处理器可以包括集成存储器)。
47.尽管被描绘为设置在网络交换机104中，但是处理器132和/或通道认证指令140可以设置在单独的计算装置112中(例如，不在网络交换机104内)。例如，处理器132和通道认证指令140可以设置在由为网络交换机104提供托管服务的实体操作的管理装置中。管理装置可以经由端口116连接到网络交换机104。
48.现在参考图2至图6，将根据至少一些实施方式描述(一个或多个)认证通道128的各种配置。首先参考图2，示出了第一配置，其中在第一端口116a和第二端口116b之间建立了认证通道128。在所示配置中，认证通道128穿过电路120，并且与数据通道124并行建立。尽管仅描绘了一个数据通道124，但是应理解，可在第一端口116a和第二端口116b之间建立一个以上的数据通道124。
49.第一端口116a被描绘为包括第一组端子204，而第二端口116b被描绘为包括第二组端子212。第一组端子204被示为包括第一端子208a、第二端子208b、第三端子208c和第四端子208d。第二组端子212被示为包括第一端子216a、第二端子216b、第三端子216c和第四端子216d。尽管第一组端子204和第二组端子212被示为包括相同数量的端子，但是应理解，第一组端子204可以具有与第二组端子212不同数量的端子。例如，第一组端子可以具有四个端子，而第二组端子212可以具有四个以上端子或四个以下端子。
50.尽管两个端口116a、116b被示为包括相同数量的端子，但是应理解，不是所有的端子都可以被第一端口116a或第二端口116b使用。例如，第一端口116a可以与使用第一数量的信道(例如，四个信道)通信的第一网络接口连接(例如，配合)，而第二端口116b可以与使用第二数量的信道(例如，一个信道)通信的第二网络接口连接(例如，配合)。在此情况下，因为第二端口116b将仅使用其端子中的一个(例如，第四端子216d)来支持单个信道上的通信，所以在第一端口116a和第二端口116b之间不需要另外的数据通道124。第一组端子204和第二组端子212中未使用或冗余端子的存在提供在第一端口116a的未使用的第一端子208a和第二端口116b的未使用的第一端子216a之间建立认证通道128的机会。只要建立了数据通道124，就可以建立认证通道128，或可以仅出于完成引导操作和认证端口116a、116b
之间的电路120的目的而临时建立认证通道128。一旦引导操作完成并且认证通道128已经被确定为真实/有效，认证通道128可以被停用/禁用而数据通道124可以继续在第一端口116a和第二端口116b之间持续存在。因为认证通道128可能不需要在第一端口116a和第二端口116b之间传送数据，所以不需要维护认证通道128，尽管如果在运行期间需要进一步认证，维护认证通道128可以是有用的。
51.如从图3中可以看出，可在第一端口116a和第二端口116b之间建立多个认证通道128。作为示例，第一组端子204或第二组端子212中未被分配给数据通道124的所有端子可以被配置为具有在它们之间建立的认证通道128。在所描绘的示例中，第一端子208a、216a具有通过其间的第一认证通道128，第二端子208b、216b具有通过其间的第二认证通道128，第三端子208c、216c具有通过其间的第三认证通道128。如果第一端口116a在第一组端子204中具有的端子数量少于第二端口116在第二组端子212中具有的端子数量，则在第一端口116a和第二端口116b之间建立的认证通道的数量可以是受第一组端子204中冗余/未使用端子数量的限制。在所描绘的示例中，多个认证通道128中的每一个都与数据通道124并行建立，并且所有认证通道128都通过电路120。应理解，每个认证通道128不一定需要通过相同的电路120部件。相反，认证通道128中的每一个可以穿过通过电路120的专用路径。
52.图4绘示了其中认证通道128从第一端口116a中的第一端子208a交叉到第二端口116b中不同于第一端子216a的端子另一可能的配置。在此特定示例中，认证通道128在第一端口116a中的第一端子208a和第二端口116b中的第三端子216c之间通过。
53.图5绘示了其中在端口116之间建立多个数据通道124并且另外的认证通道128建立在电路120内的另一可能的配置。然而，所示的认证通道128不连接到在其间建立数据通道124的任何端口。相反，图5的配置设置在不占用具有认证通道128的端子中的至少一个的情况下将一个端口的所有端子连接到另一端口的所有端子的能力。
54.在说明性示例中，四个数据通道124被示为在第一端口116a和第二端口116b之间通过。图5还绘示了具有在其间通过的四个数据通道124的第三端口116c和第四端口116d。第三端口116c被示为包括第三组端子220，所述第三组端子220具有第一端子224a、第二端子224b、第三端子224c和第四端子224d。第四端口116d被示为包括第四组端子228，所述第四组端子228具有第一端子232a、第二端子232b、第三端子232c和第四端子232d。在一些实施方式中，可在第一端口116a和第二端口116b之间建立最大数量的数据通道124，并且也可在第三端口116c和第四端口116d之间建立最大数量的数据通道124。在一些实施方式中，可在第一端口116a、第二端口116b、第三端口116c和第四端口116d之间建立多达m个数据通道124，其中m是大于1的整数。一个或多个认证通道128可以设置在电路120中，并且可以用于认证端口之间的连接，而不占用端口的端子。换句话说，(一个或多个)认证通道128可以被配置为穿过不包括在m个通道中的任一个中的通过电路120的路径。
55.在一些实施方式中，不同的认证通道128可以用于认证每个端口对。作为一个示例，一个认证通道128可以用于控制第一端口116a和第二端口116b之间的数据通道124是否被建立，而另一认证通道128可以用于控制第三端口116c和第四端口116d之间的其他数据通道124是否被建立。在其他实施方式中，两个认证通道128都可以用于认证电路120，并且跨任何数据通道124传输数据的能力可以取决于通过认证过程的每个/所有认证通道128。
56.尽管未描绘，可由处理器132发出的控制信号激活认证通道128中的一个或两个。
替代地或另外地，电路120可以包括ic芯片、微处理器等，其发出控制信号以选择性地激活和停用认证通道128中的一者或两者。在一些实施方式中，(一个或多个)认证通道128可以被选择性地激活以改变数据通道124的一个或多个特性。例如，当认证通道128中的一个或两个被激活时，跨数据通道124传输的信号的信噪比或误码率可能改变。可在数据通道124中测量此变化，以检测认证通道128。甚至更具体地，如果响应于处理器132响应于执行通道认证指令140而发出的控制信号来激活认证通道128，则认证通道128的激活可以改变一个或多个数据通道124的误码率。即使(一个或多个)认证通道128不一定将一个端子连接到另一端子，也可由处理器132测量误码率的变化以检测(一个或多个)认证通道128的存在。可以响应于认证通道128的选择性激活而改变的数据通道124的其他特性包括但不限于抖动、噪声、分组丢失、分组延迟等。当认证通道128被停用时，(一个或多个)数据通道124的特性可以返回到正常或一些其他预期的行为。
57.图6绘示了其中一个认证通道128与在不同端口之间建立的另一认证通道128交叉的四端口配置。具体地，但不限于，一个认证通道128可以建立在第一端口116a和第四端口116d之间，而另一认证通道128可以建立在第三端口116c和第二端口116b之间。在所示示例中，一个认证通道128从第一端口116a的第四端子208d行进到第四端口116d的第一端子232a，而另一认证通道128从第三端口116c的第一端子224a行进到第二端口116b的第四端子216d。认证通道128可以用于在启用建立数据通道的任何适当组合并且在第一端口116a、第二端口116b、第三端口116c和/或第四端口116d之间传送数据之前确保跨端口连接是真实的。例如，绘示的认证通道128可以用于控制是否建立了如图5绘示的数据通道124。
58.现在参考图7至图11，将根据本公开的至少一些实施方式描述通信系统100的另一可能的配置。图7的通信系统100配置类似于图1绘示的通信系统100配置的配置。图7还绘示了适配器装置708，所述适配器装置708将第一端口116a连接到第一网络104a的联网线缆704。
59.联网线缆704可以对应于具有被配置为支持在第一网络108a上的通信的网络接口的线缆(例如，电缆、光缆、光纤线缆等)。作为示例，如果第一网络108a被配置为以太网网络，则联网线缆704可以对应于任何适当类型的以太网线缆、cat5线缆、cat5e线缆、cat6线缆、cat6a线缆、cat7线缆或cat8线缆。联网线缆704可以具有连接器，所述连接器被配置为从联网线缆704向适配器装置708呈现联网接口。可在联网线缆704上提供的联网接口的示例包括但不限于usb接口、rj45连接器、gc45连接器等。如上所述，联网线缆704可以替代地或另外地被配置为具有光纤，并且因此可以被配置为具有光联网接口以与适配器装置708连接。
60.尽管仅第一网络108a被示为通过适配器装置708连接到第一端口116a，但是应理解，多个不同的适配器装置708可以连接到网络交换机104的不同端口116a-n，从而使得网络交换机104能够互连这些不同类型网络上的多个不同类型的网络和计算装置112。
61.图7还绘示了其中每个端口116a-n直接连接到处理器132从而使处理器132能够直接分析每个端口116a-n的真实性并且分析连接到端口116a-n中任一个的适配器装置708的真实性的配置。为了便于呈现和理解，在图7中未绘示电路120，但是应理解，可在端口116a-n之间提供电路120以在端口116a-n之间递送交换结构或拓扑。
62.图8绘示了根据本公开的至少一些实施方式的用于将联网线缆704连接到端口116
的适配器装置708的另外的细节。适配器装置708可以对应于任何适当类型的已知或尚待开发的网络线缆适配器或适配器装置的集合。适配器装置708的非限制性示例是网络线缆适配器，诸如美国专利第7,934,959号中描绘和描述的用于可插拔模块的适配器，其全部内容通过引用并入本文。适配器装置的其他示例可以包括usb到以太网适配器、usb到千兆以太网适配器、以太网适配器、pcie适配器、光纤信道适配器等。适配器装置708可以包括另外的电缆(例如，作为加密狗装置)、板和芯片、机械接口装置、电接口装置、光接口装置或其组合。
63.在图8示出的示例中，适配器装置708包括第一组适配器端子804和第二组适配器端子808。第一组适配器端子804被配置为提供与由端口116呈现的所述一组端子204的接口。如上所述，设置在端口116中的端子组204可以包括第一端子208a、第二端子208b、第三端子208c和第四端子208d。当然，所述一组端子204可以包括比图8中描绘的更多或更少数量的端子。
64.第一组适配器端子804可以包括与设置在端口116中的所述一组端子204相同数量的端子，尽管此类配置不是必需的。说明性地，第一组适配器端子包括第一端子816a、第二端子816b、第三端子816c和第四端子816d。第一组适配器端子804中的每一个端子可以提供与设置在端口116中的所述一组端子204中的相应端子的电和/或光联接。
65.第二组适配器端子808被示为包括第一端子820a、第二端子820b、第三端子820c和第四端子820d。第二组适配器端子808可以被配置为与联网线缆704的网络接口812配合。在一些实施方式中，网络接口812可以包括与第二组适配器端子808中提供的相同数量的端子。例如，网络接口812可以包括第一端子824a、第二端子824b、第三端子824c和第四端子824d。第二组适配器端子808中的每一个端子可以提供与网络接口812中的相应端子的电和/或光联接。
66.应理解，第一组适配器端子804中的端子数量不必等于第二组适配器端子808中的端子数量。在一些实施方式中，联网线缆704或端口116可以被配置为使用不同数量的信道进行通信，这意味着适配器装置708中的端子中的一个可以是冗余的或不用于数据通道124。在此类配置中，第一组适配器端子804中的未使用端子中的一个和第二组适配器端子808中的未使用端子中的一个可以用于建立认证通道128。在所描绘的示例中，数据通道124建立在第一组适配器端子804的第四端子816d和第二组适配器端子808的第四端子820d之间。
67.数据通道124可以用于在联网线缆704和端口116之间传送数据(例如，数据分组)。另一方面，认证通道128可由处理器132分析以确定适配器装置708的真实性。在处理器132不能对认证通道128成功认证的情况下，适配器装置708可能没有被认证，并且数据通道124可能被禁止在端口116和联网线缆704之间传送数据。在一些实施方式中，处理器132可以报告可能有欺诈性的适配器装置708已经被插入到端口116中，或数据通道124没有被成功建立。在确定适配器装置708没有通过认证过程时，或在预定次数的失败认证尝试之后，可以立即将报告提供给管理装置(例如，计算装置112)。所述报告还可以识别适配器装置708所连接的端口116以及适配器装置708所连接的网络。
68.适配器装置708还可以包括集成处理器828。处理器828可以对应于ic芯片、微处理器、asic、现场可编程门阵列(fpga)等。尽管被描绘为处理器828，但是由处理器828表示的
部件可以具有很少或没有处理能力，而是可以被提供为简单的可控存储器、可编程存储器、处理器的集成存储器等。处理器828可以连同电路板一起设置在适配器装置708的壳体内，所述电路板将处理器828与来自第一组适配器端子804和/或第二组适配器端子808的一个或多个端子连接。在一些实施方式中，处理器828可以是数据通道124或认证通道128穿过的电路的一部分。在一些实施方式中，处理器828可以对应于适配器装置708的控制认证通道128的激活/停用的部件。处理器828可以被配置为独立地操作或响应于从网络交换机104的处理器132接收到的控制信号而操作。
69.如图9中所示，认证通道128不一定需要在第一组适配器端子804和第二组适配器端子808中的对应端子之间建立。例如，认证通道128可以建立在第一组适配器端子804中的第一端子816a和第二组适配器端子808中的第二端子820b之间。此类型的认证通道128可以为认证通道128提供另一替代路径，所述另一替代路径可以表现出或不表现出与在第一组适配器端子804的第一端子816a、820a和第二组适配器端子808之间建立的认证通道128相同的特性。
70.图10绘示了出于认证适配器装置708的目的，认证通道128的数量不必限于单个认证通道128。相反，可以使用第一组适配器端子804和第二组适配器端子808中的任意数量的端子通过适配器装置708建立多个认证通道128。在一些实施方式中，认证通道128的数量可以是可调整的或可以进行修改，使得用于认证适配器装置708的认证通道128的数量变得不太可预测。使认证通道128的数量和/或配置经受调整有助于确保攻击者不能轻易地用认证通道128欺骗适配器装置，其中认证通道128的数量和配置是可预测的或已知的。
71.图11绘示了其中认证通道128不连接在第一组适配器端子804中的端子和第二组端子808中的端子之间的适配器装置708的又一可能的配置。尽管未描绘，但是认证通道128可以连接到端子中的一个(例如，第一组端子804中的端子)，使得认证通道128可以响应于网络交换机104中的处理器132发出的控制信号而被选择性地激活和/或停用。在一些实施方式中，可由处理器828和/或处理器132发出的控制信号选择性地激活和停用认证通道128。此外，尽管仅描绘了一个认证通道128，但是应理解，适配器装置708可以包括多个认证通道128(例如，如图10中所示)，其中认证通道128中的一个、一些或全部都由处理器828控制。
72.在一些实施方式中，认证通道128可以被选择性地激活以改变数据通道124的一个或多个特性。例如，当认证通道128被激活时，跨数据通道124传输的信号的信噪比或误码率可能改变。可由执行通道认证指令140的处理器828或处理器132来测量此变化。甚至更具体地，如果响应于由处理器828或处理器132响应于执行通道认证指令140而发出的控制信号来激活认证通道128，则认证通道128的激活可以改变数据通道124的误码率。即使认证通道128不一定将一个端子连接到另一端子，也可以测量误码率的变化以检测认证通道128的存在。可以响应于认证通道128的选择性激活而改变的数据通道124的其他特性包括但不限于抖动、噪声、分组丢失、分组延迟等。当认证通道128被停用时，(一个或多个)数据通道124的特性可以返回到正常或一些其他预期的行为。
73.现在参考图12，将根据本公开的至少一些实施方式来描述说明性的认证方法1200。方法1200可由处理器132在网络交换机104中执行。执行方法1200的处理器132可以或可以不设置在网络交换机104中。例如，执行方法1200的处理器132可以被设置在计算装置
112中的网络交换机104的外部，且/或可由适配器装置708中的处理器828来执行。还应理解，图12中描绘的操作顺序不应被解释为限制本公开的实施方式。例如，在不脱离本公开的范围的情况下，某些步骤可以以不同的顺序执行。此外，一些步骤可以彼此并行(例如，同时)执行。
74.当处理器132、828接收到指示数据通道124被激活(或等待激活)的第一信号时，方法1200开始(步骤1204)。第一信号还可以指示数据通道124被配置(或将被配置)为将数据从第一端口116a传送到第二端口116b。替代地或另外地，此步骤可以包括接收指示数据通道124在适配器装置708内被激活(或等待激活)的第一信号。在任一情况下，第一信号可以指示数据通道124被配置(或将被配置)为将数据从第一组端子传送到第二组端子。
75.方法1200继续，处理器132、828接收指示认证通道128正在建立的第二信号(步骤1208)。认证通道128可以建立在网络交换机104内和/或连接到网络交换机104的适配器装置708内。认证通道128可以在或不在第一组端子和第二组端子之间建立，并且可以穿过或不穿过网络交换机104内的电路120。此外，认证通道128可以与或不与数据通道124并行建立。在一些实施方式中，处理器132、828可以接收指示正在建立的不同认证通道128的多个信号。
76.方法1200然后继续，处理器132、828分析认证通道128的属性或特性(步骤1212)。在一些实施方式中，可在启用(一个或多个)数据通道124的建立之前分析认证通道128的特性。认证通道128的分析可以通过分析在步骤1208中接收到的第二信号的属性来完成。可在步骤1212中建立的认证通道128的特性可以包括传输时间、噪声、抖动、幅度、频率、电阻、电容和电感中的一者或多者。
77.基于对认证通道128的分析，处理器132、828将确定认证通道128是否已经通过认证过程(步骤1216)。如果认证通道128的测量特性等于或足够接近(例如，在基于噪声、预期偏差等的限定容限内)预期的特性，则认证分析可以导致认证通道128被识别为真实的、有效的并且不受篡改。如果认证通道128的测量特性不等于或足够接近预期的特性，则认证通道128可能无法通过认证过程。替代地或另外地，认证通道128可以不通过认证过程，认证通道128表现出在适配器装置708的端口116或端子之间传送数据的能力。换句话说，当一个或多个认证通道128表现出传送数据的能力时，可能不会接收到认证信号。在另一可能的配置中，可以测量数据通道124的特性(例如，误码率)，以检测认证通道128是否已经被激活。
78.如果步骤1216的查询被肯定地回答，则认证通道128可以被验证为真实的，并且数据通道124可以被启用用于数据传输(步骤1220)。具体地，只要认证通道128通过认证分析，则与其相关联的任何数据通道124都可以被允许向网络交换机104传送数据或在网络交换机104内传送数据。
79.如果步骤1216的查询被否定回答，则方法1200可以通过确定是否应重新检查认证通道128(例如，是否应执行另外的检查)来继续(步骤1224)。如果需要另外的认证检查，则方法1200返回到步骤1212。相反，如果不需要进一步的认证检查，则方法1200可以通过认证通道128失败并且禁止经由数据通道124的数据传输来继续(步骤1228)。在一些实施方式中，方法1200可以可选地包括向管理装置报告认证过程的结果，无论是肯定的还是否定的。
80.在描述中给出了具体细节以提供对实施方式的透彻理解。然而，本领域普通技术人员将理解，可在没有这些具体细节的情况下实践实施方式。在其他情况下，可能在没有不
必要的细节的情况下示出公知的电路、过程、算法、结构和技术，以避免模糊实施方式。
81.尽管本文已经详细描述了本公开的说明性实施方式，但是应理解，本公开的概念可以以其他方式不同地实施和采用，并且除非受到现有技术的限制，否则所附权利要求意图被解释为包括这些变化。