JP4589405B2 - クライアント援用ファイヤウオール構造 - Google Patents
クライアント援用ファイヤウオール構造 Download PDFInfo
- Publication number
- JP4589405B2 JP4589405B2 JP2007548526A JP2007548526A JP4589405B2 JP 4589405 B2 JP4589405 B2 JP 4589405B2 JP 2007548526 A JP2007548526 A JP 2007548526A JP 2007548526 A JP2007548526 A JP 2007548526A JP 4589405 B2 JP4589405 B2 JP 4589405B2
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- mobile device
- remote
- session
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Description
以下の記述は、一般的にデータ通信に関し、特に、ファイヤウオールの構造及びネットワークトラフィックの低減に関する。
ファイヤウオールは、無権限のアクセス及び悪意のアタックからネットワークを保護するためのセキュリティ装置である。このような無権限のアクセスは、センシティブな情報或いはネットワーク機能の混乱を得るためのものである。従来のファイヤウオールは、ネットワークを2つの部分、すなわち、ファイヤウオールの後ろ側の内部及びファイヤウオールの外側の外部に分割する。無権限のアクセスに対して保護をするために、ファイヤウオールはパケット及びセッションを検査することができ、そのようなパケット及びセッションが意図された宛先へ送信されたものであるか、それらがブロックされるべきか或いはドロップされるべきかを決定する。
ファイヤウオールは、一般的にエントリのポイントに位置し、トラフィックを所定の基準と比較することによって入力トラフィックをスキャンする。所定の基準に適合しないトラフィックはブロックされあるいは破棄される。所定の基準は、所望の保護の度合い及び許容度である複雑性に依存する他のパラメータと同様に、ポート番号、アプリケーションID、ソース、宛先、内容フィルタ、IPアドレス、機械名及びTCP/IPフラグのようなパラメータを含む。パケットを通過させ、或いは拒絶するかどうかの決定を行なうために、一致させられるパラメータの数は、保護の細分性(granularity)を確立する。粗い(coarse)細分性を有するファイヤウオールは、意図的ではなく偶然に所望の入力トラフィックをブロック可能である。何故ならば、このようなトラフィックは望まれていない行為であるからである。一方、当該ファイヤウオールは、同時に、望まれていないトラフィックに対して保護を行なうためには十分ではない
セキュリティポリシーは、中央点でのネットワーク管理者によって定義され、及び/又は実施される。異なるユーザが異なるネットワークアクセス選択及び必要性を有しようとも、ユーザは、彼らの端末について、どのトラフィックがイネーブルされ及び/又はディスエーブルされるかを選択することはできない。異なるユーザは、異なる種類のトラフィックフローを採用したがる。これらフローは、ネットワークのセキュリティポリシーによって影響を受ける。例えば、あるユーザが特定の伝送制御プロトコル(TCP/IP)ネットワークアドレスからの伝送をブロックしたい一方、他のユーザがそれら伝送を受信したい場合である。あるユーザがネットワークの特定のサブネットアドレスからの伝送を欲するのに対して、他のユーザがネットワークアドレスからの全ての伝送を欲している場合である。他のユーザが特定のポート或いはアプリケーション向けのメッセージトラフィックを欲するのに対し、異なるユーザが全ての入力接続のブロックすることを欲し、出力接続のみを許可する場合である。
セキュリティポリシーは、中央点でのネットワーク管理者によって定義され、及び/又は実施される。異なるユーザが異なるネットワークアクセス選択及び必要性を有しようとも、ユーザは、彼らの端末について、どのトラフィックがイネーブルされ及び/又はディスエーブルされるかを選択することはできない。異なるユーザは、異なる種類のトラフィックフローを採用したがる。これらフローは、ネットワークのセキュリティポリシーによって影響を受ける。例えば、あるユーザが特定の伝送制御プロトコル(TCP/IP)ネットワークアドレスからの伝送をブロックしたい一方、他のユーザがそれら伝送を受信したい場合である。あるユーザがネットワークの特定のサブネットアドレスからの伝送を欲するのに対して、他のユーザがネットワークアドレスからの全ての伝送を欲している場合である。他のユーザが特定のポート或いはアプリケーション向けのメッセージトラフィックを欲するのに対し、異なるユーザが全ての入力接続のブロックすることを欲し、出力接続のみを許可する場合である。
ファイヤウオールはゲートキーパとして動作する。各装置のローカルなファイヤウオールは各端末或いはモバイル装置周辺のファイヤウオールに位置する。この状況において、承認されていないパケットは、パケットが端末或いはモバイル装置に到達するまでドロップされない。したがって、ネットワーク帯域、これは無線ネットワークにおいて重要なものであるが、が浪費される。何故ならば、パケットがすでにパケットを伝送するために必要路される無線リソースを消費しているからである。これら消費されたリソースは、他の接続に割り当てることにより利用することの方が良い。浪費されたリソースは、メッセージ伝送を増大させることによってユーザコストを増大させ、無線リンクでパケットを伝送するのに利用されるリソースにより、全体のスループットを低減する。
他の不備と同様に、前述のことを解消するために、必要とされることはネットワークトラフィックを低減するために装置への伝送の前に欲しない或いは意図しないパケットをブロックするための技術である。さらに必要とされることは、装置に1つ以上のファイヤウオールのポリシーを動的に改良する能力を与え、特定のパケット、送り側、及び/又は他のパケットの基準を特定することを装置に可能とさせることである。構成されたファイヤウオールは通信エンドポイント或いは装置から遠方であることも可能である。通信の間に自動的にファイヤウオールポリシーを取り消す能力が、さらに保護を提供するために必要とされる。
[概要]
以下、このような実施の形態のいくつかの観点の基本的な理解を提供するための1つ以上の実施の形態の簡略化された概要を呈示する。この概要は、1つ以上の実施の形態の広範囲の概観ではなく、本実施の形態のキー或いは基準要素、或いはこのような実施の形態の観点を描写するものでもない。この目的の役割は、序文として単純化された形式で述べられた実施の形態のいくつかのコンセプトを、後に呈示されるより詳細な記述に呈示することにある。
以下、このような実施の形態のいくつかの観点の基本的な理解を提供するための1つ以上の実施の形態の簡略化された概要を呈示する。この概要は、1つ以上の実施の形態の広範囲の概観ではなく、本実施の形態のキー或いは基準要素、或いはこのような実施の形態の観点を描写するものでもない。この目的の役割は、序文として単純化された形式で述べられた実施の形態のいくつかのコンセプトを、後に呈示されるより詳細な記述に呈示することにある。
1つ以上の実施の形態及びそれに対応する開示においては、種々の観点がファイヤウオールを構成すること及び/又はネットワークトラフィックを低減することに関連して述べられる。実施の形態によれば、ファイヤウオールを構成し、欲しないネットワークトラフィックを低減する方法がある。この方法は、ネットワークファイヤウオールとネットワーク接続を確立すること及びネットワークトラフィックを管理するためにネットワークファイヤウオールと通信することを含む。実施の形態によれば、方法はパッシブソケット情報が生成されたかを検出すること、ネットワークソケットへ指示されるフローを許可するための要求をすることを含む。ある実施の形態においては、方法はウエブサーバをクローズすることと、パッシブソケットを破壊することを含む。ファイヤウオールは破壊されたパッシブソケット情報にコンタクトされ、破壊されたパッシブソケットへ指示される拒絶フローへ要求を送る。パッシブソケットがクローズしている場合、方法は自動的にパッシブソケットへ指示されるフローを許可するためにファイヤウオールへの要求を取り消す。
他の実施の形態によれば、破壊され或いは終了したセッションから自動的に回復するホストのための方法がある。この方法は、少なくとも1つのオープンソケットへ指示されるパケットの遷移を許可する遠隔ファイヤウオールを要求すること及び破壊されたセッションを検出すること、少なくとも1つのオープンソケットへ指示されるパケット要求を取り消すことを含む。この方法は、さらに、新たなセッションを再確立すること、所望のフローの遷移を要求することを含む。ある実施の形態では、少なくとも1つのオープンソケットへ指示されるパケットを要求することは現在のオープンソケットのリストを生成することを含む。
他の実施の形態によれば、ネットワークファイヤウオールを構成するモバイル装置がある。このモバイル装置は、トラフィックを低減するためのファイヤウオールを構成することに関連する情報を解析するプロセッサ及びプロセッサに動作可能に接続されたメモリを含む。さらに、このモバイル装置は、外部リソースと通信を確立する確立器、外部リソースからの受信したパケットに関連付けられたパラメータを指示する指示器を含み、ファイヤウオールに対してパラメータの通信を行なう。さらに、モバイル装置に含まれるものは、少なくとも1つのパラメータについての遷移の取り消しを要求する無効器である。ある実施の形態においては、モバイル装置は、少なくとも1つのポリシー更新でファイヤウオールと通信を行なう送信器と、ファイヤウオールからのポリシーのアックノレッジ或いは拒否を受信する受信器を含む。
他の実施の形態によれば、ネットワークトラフィックを低減する装置がある。この装置は、少なくとも1つのファイヤウオールを検出する手段、少なくとも1つのファイヤウオールと通信をする手段及び前記少なくとも1つのファイヤウオールに関連付けられたポリシーを直接更新する手段を有する。この装置は、さらに、パッシブソケットのリストを検査する手段或いは所望の入力フローを特定する手段を含む。
さらなる実施の形態によれば、ネットワーク接続を確立し、確立されたネットワーク接続に関連付けられたパッシブソケットを検出するためのコンピュータ実行可能な命令を有するハンドセットのコンピュータ読み取り可能な媒体である。この命令は、さらに、ファイヤウオールとコンタクトすること及びファイヤウオールにパッシブソケットへ指示されるフローを許可するためのファイヤウオールを要求することを含む。ある実施の形態によれば、命令はネットワーク接続を終了すること、パッシブソケットを破壊すること、ファイヤウオールとコンタクトすること及び破壊されたパッシブソケットへの指示されたフローを拒絶するためにファイヤウオールを要求する。
他の実施の形態によれば、ファイヤウオールポリシーを直接更新する命令を実行するハンドセットのプロセッサである。この命令は、少なくとも1つのファイヤウオールを検出すること、少なくとも1つのファイヤウオールと通信をすること及び少なくとも1つのファイヤウオールに関連付けられたポリシーを直接更新することを含む。プロセスは、さらに、セッションが破壊されたときと実質的に等しい時間でのポリシーを自動的に取り消す命令を含む。
他の実施の形態によれば、ファイヤウオールを直接構成するハンドセットである。ハンドセットは、ファイヤウオールに対するセッションを確立する初期化器、少なくとも1つのフローを指示し、少なくとも1つのフローをファイヤウオールと通信する指示器及び少なくとも1つのフローの遷移を取り消す無効器を含む。ある実施の形態によれば、指示器は少なくとも1つのパケットの遷移を取り消すことができ、1つ以上の送信側からのパケットの要求を廃止でき、少なくとも1つのパケットパラメータに基づく自動的な遷移を取り消し、或いはユーザ入力に基づく遷移を取り消す。
前述及び関連する結末の達成のために、1つ以上の実施の形態は後に充分に述べられる特徴、特に、請求の範囲において指摘される特徴を有する。以下の記述及び付加された図面は所定の図示可能な観点をより詳しく明らかにし、本実施の形態の原則が利用される種々の少ない方法が示であるがここで用いられる。他の利点及び新規な特徴は、関連する図面を考慮した場合に以下の詳細な記述から明らかになり、開示された実施の形態がそのような全ての観点及びそれらの均等物の全てを含むことが意図される。
[関連出願のクロスリファレンス」
本願は、2004年12月21日に出願され、名称”クライアント援用ファイヤウオール構造”の米国仮出願番号60/638,271の利益を要求し、これら全体は参照されることにより本明細書に含まれる。
本願は、2004年12月21日に出願され、名称”クライアント援用ファイヤウオール構造”の米国仮出願番号60/638,271の利益を要求し、これら全体は参照されることにより本明細書に含まれる。
[用語集]
ファイヤウオール−ネットワークに入り或いは去るための"セキュリティポリシ”を満たすパケットのみを許可する。
ファイヤウオール−ネットワークに入り或いは去るための"セキュリティポリシ”を満たすパケットのみを許可する。
ホスト−パケット移送媒体としてのネットワークを利用するネットワークノード。ホストは一般的にハンドセット或いはイネーブルされた無線コンピュータである。
フロー−2つの別個のエンティティ間のパケットの双方向変換
種々の実施の形態が図面を参照して説明される。以下の記述では、説明の目的のために、1つ以上の観点の完全な理解を提供するために、多くの特定の詳細が明らかにされる。しかしながら、このような実施の形態は、これら特定の詳細なしで実施されることの証拠である。他の事例では、有名な構造及び装置がこれら実施の形態を述べることを容易にするためにブロック図において示される。
種々の実施の形態が図面を参照して説明される。以下の記述では、説明の目的のために、1つ以上の観点の完全な理解を提供するために、多くの特定の詳細が明らかにされる。しかしながら、このような実施の形態は、これら特定の詳細なしで実施されることの証拠である。他の事例では、有名な構造及び装置がこれら実施の形態を述べることを容易にするためにブロック図において示される。
本出願において使用されているように、用語”コンポーネント”、”モジュール”、”システム”などはコンピュータ関連エンティティに関連することを意図し、ハードウェア、ファームウェア、ハードウェア及びソフトウェアの組み合わせ、ソフトウェア、或いは実行状態にあるソフトウェアである。例えば、コンポーネントは、これに限られるものではないが、プロセッサ上で走るプロセス、プロセッサ、オブジェクト、実行可能な、実行のスレッド、プログラム及び/又はコンピュータである。実例として、コンピュータ装置上で走るアプリケーション及びコンピューティング装置の双方は、コンポーネントである。1つ以上のコンポーネントは、プロセス内及び/又は実行のスレッド内に存在し、コンポーネントは1つのコンピュータにローカライズされ及び/又は2つ以上のコンピュータ間で分散される。加えて、これらコンポーネントは記録された種々のデータ構造を有するコンピュータ読み取り可能なメディアから実行可能である。コンポーネントは、1つ以上のデータパケットを有する信号に従って、ローカル及び/又は遠隔プロセスによって通信可能である(例えば、ローカルシステム、分散システム及び/又はインターネットのようなネットワークにおける他のコンポーネントと対話する1つのコンポーネントからのデータ)。
さらに、種々の実施の形態がユーザ装置との関連でここにおいて述べられる。ユーザ装置は、システム、加入者ユニット、加入局、モバイルステーション、モバイル装置、ホスト、ハンドセット、遠隔ステーション、アクセスポイント、基地局、遠隔端末、アクセス端末、ユーザ端末、端末、ユーザエージェント或いはユーザ装置とも呼ばれる。ユーザ装置は、セルラー電話、コードレス電話、セッション・イニシエーション・プロトコル(SIP)電話、ワイヤレス・ローカル・ループ(WLL)ステーション、パーソナル・データ・アシスタント(PDA)、無線接続能力を有するハンドヘルド装置、或いは無線モデムに接続された他の処理装置であってもよい。
さらに、ここにおいて述べられる種々の観点或いは特徴は、方法、装置或いは標準のプログラミング及び/又はエンジニアリング技術を利用する生産品として実現される。ここにおいて使用される用語”生産品”はコンピュータ読み取り可能な装置、キャリア或いはメディアからアクセス可能なコンピュータプログラムのいずれも包含する。例えば、コンピュータ読み取り可能な媒体は、これに限られるものではないが、磁気記憶装置(例えば、ハードディスク、フロッピ(登録商標)ディスク、磁気ストリップなど)、光学ディスク(コンパクトディスク(CD)、デジタル汎用ディスク(DVD)など)、スマートカード及びフラッシュメモリ装置(例えば、カード、スティック、キードライブなど)を包含する。
多くのコンポーネント、モジュールなどを有するシステムの観点から種々の実施の形態が呈示される。種々のシステムは、追加のコンポーネント、モジュールなどを含み、及び/又は図面に関連して議論される全てのコンポーネント、モジュールを含まないことが理解され認識されるべきである。これらアプローチの組み合わせもまた使用可能である。
図面を参照すると、図1はポータブル装置又は端末、ポータブル(モバイル)電話、パーソナルデータアシスタント、パーソナルコンピュータ(デスクトップ又はラップトップ)、その他電子及び/又は通信装置で実現可能なファイヤウオール技術を利用する通信システム100のブロック図を示す。システム100は、データ104又はネットワークパケット106として参照される入力及び/又は出力データをフィルタするファイヤウオール102を含む。ファイヤウオール102は、ネットワークオペレータ、インフラ装置などで動作するファイヤウオールである。パケット104、106はいずれのタイプの通信であってもよく、データグループを含み、ある装置から他の装置へ送られ及び/又は通信される。ファイヤウオール技術は、各パケット(入力データ)を検査し、各パケットを分類し、このような検査及び/又は分類に基づいて1つ以上のアクションを実行する。典型的なアクションは、パケットを特定の方法でパスし、ブロックし及び/又はルートする。
例えば、目的は限定されないが、ファイヤウオール102は送信側108から送られ、ファイヤウオール102側に位置するデータパケット104が、ファイヤウオール102の反対側に位置する受信側110に伝送される。受信側110に届くように意図され、及び/又は管理された送信側108によって伝送されたパケット104がファイヤウオール102を通過するように中継され或いは許可される。このような受信側110に意図されていない及び/又は管理されていないパケット104はファイヤウオール102によってブロックされ、受信側110に中継されない。このように、受信側110は欲しないパケット及び/又は受信側110にとって意図されていないパケットに気付かず、受信しない。
受信側110はファイヤウオール102と通信するように構成され、送信器108及び/又はパケット104に関するポリシーの規則の組を提供する。ポリシーの規則の組は受信側110がファイヤウオール102に許可させ、ブロックさせたいものである。このように、受信側110はサーバとして動作する。言い換えれば、受信側110は外部送信側108に受信側110にコンタクトさせたい。したがって、受信側110はファイヤウオールと直接通信するように構成され、動的手法で1つ以上のポリシーを更新する。
受信側110は、さらに、どの入力フロー或いはパケット104が望ましいかをパッシブソケットのリストを検査することによって自動的に決定するように構成されることができる。例えば、受信側110はサーバとして動作するように、パッシブソケットをオープン或いは生成することができる。受信側110は、ファイヤウオール102にこのソケットによって意図されたパケット104が受信側110へ伝送されるものであることを通知する。受信側が、ウェブサーバとのコンタクトをシャットダウン或いはクローズする場合、事前に形成されたパッシブソケットは破壊される。受信器110はファイヤウオール102にパッシブソケットの破壊を知らせ、ファイヤウオール102にそのパッシブソケットについて意図された全てのさらなるトラフィックを拒否することを要求する。
受信側110は、さらにパケット106をファイヤウオール102を通して送信側108に中継することができる。このように、受信側110はクライアントのように動作し、ファイヤウオール102はパケット106をブロックすることができ、或いはパケット106が種々のプロトコル及び技術にしたがって送信側108へ通信されることを許可する。例えば、ファイヤウオール102は、ネットワークプロバイダによって予め定められた基準に基づいて、そのようなパケットを許可し、拒絶する。ファイヤウオール102は、さらにパケットの意図された受信側によって確立されたポリシーに基づくパケット106を中継し、この場合においては、送り側108である。したがって、ファイヤウオール102は異なる装置について規則或いはポリシーの異なるセットを維持する。
図2はファイヤウオール構成によって補助されるクライアントのシステム200を示す。システム200はファイヤウオール202及びホスト204(例えば、モバイル装置)を含み、これらは無線通信が可能である。ホスト204は、例えば、セルラー電話、スマート電話、ラップトップ、ハンドヘルド通信装置、ハンドヘルドコンピューティング装置、衛星ラジオ、グローバルポジショニングシステム、PDA、及び/又は無線ネットワーク200を介して通信を行なう他の適切な装置である。ファイヤウオール202の数にもかかわらず、ホスト204はシステム200に含まれることが可能であり、認識されるように、通信データ信号を単一のホスト204へ送信する単一のファイヤウオール202が単純化のために示されている。
ホスト204は送信器206を有し、ホスト204は、送信器206を介してデータフロー或いは通信セッションを開始することができ及び/又はファイヤウオール202によって維持されているポリシーへの更新を要求することができる。ホストは、さらに、受信器208を有し、ホスト204は、受信器208を介してアックノレッジ或いはファイヤウオール202からのポリシーの拒絶を受信することができ及び/又はデータフロー或いはパケットを受信することができる。
ホスト204は、ファイヤウオール202からの送信器206を介して送信されたパケットに応答することができる。ホスト202がデータフローを開始する場合、クライアントと同様に動作し、”アクティブ”であるとみなされる。ホスト202がデータフローに応答する場合、サーバと同様に動作し、"パッシブ”であるとみなされる。アクティブフローは、出力(outgoing)したとみなされ、パッシブフローが入力される。
ホスト204がサーバとして動作する場合、ホスト204はファイヤウオール202と直接的に通信可能であり、ファイヤウオール規則を処理する。例えば、ホスト204はファイヤウオール202にホスト204が通信の受信を望む特定の通信、送信側などを通知する。ホスト204は、自動的にファイヤウオール202にいずれの中断したセッション或いは終了したセッションを通知し、このようなセッションのポリシーを取り消す。これにより、ファイヤウオール202がセッションをブロックし、それらがホスト204へ伝送されることを許可しない。このようにファイヤウオール202を構成することにより、ホスト204に意図されたパケットであるが、ホスト204によって望まれていないパケットは、送られる前にブロックされる。このことは、ネットワークトラフィックを減少させる。何故ならば、このようなパケットは送られず、そして、ホスト204によって破棄される。代わりに、パケットがホスト204に伝送される前に、この決定はファイヤウオール202で行なわれる。
ホスト204はデコーダコンポーネント(図示せず)を含み、このデコーダコンポーネントは処理のための受信した信号及び/又はその中のデータパケットをデコードする。データパケットのデコードが成功すると、アクノレッジコンポーネント(図示せず)はアクノレッジを生成する。このアクノレッジはデータパケットの成功でコードを示し、ファイヤウオール202に送られ、データパケットが受信され、デコードされた通信(図示せず)の送り側に知らせる。したがって、再送信が必要とされない。
図3は自動的及び動的にファイヤウオールポリシーを構成するシステム300を示す。システム300は、ファイヤウオール302を含み、このファイヤウオール302はネットワークインフラ及びホスト304(例えば、モバイル装置)に含まれる。ホスト304は、データ306の入力パケットを受信し、或いはデータ308の出力パケットを開始する。入力パケット306を受信する場合、ホストはパッシブモードで動作し、サーバと同様に振舞う。出力パケット308を開始し、送る際に、ホスト304はアクティブモードになり、クライアントと同様に振舞う。入力モード或いは出力モードのいずれも、データパケット306、308は一般的にファイヤウオール302を通過する。規則或いはポリシー310の組に基づいて、ファイヤウオール302は、パケット306、308をブロックし、パスし或いはパケット306、308をリダイレクトできる。
ホスト304は指示器312、無効器314及び初期化器316を含み、これらはプロセッサ、ソフトウェア、あるいはこれらの組み合わせによって実行される機能を示す機能ブロック図である。指示器312或いは無効器314及び/又は初期化器316はファイヤウオール302と直接通信を行なうことができ、或いは送信器(図示せず)を通して通信可能であり、受信器(図示せず)を通して通信を受信可能である。パケット306がホスト304によって意図されたファイヤウオール302へ通信される場合に、ファイヤウオール302はパケット306がホスト304へ伝送され、或いはブロックされるかの決定をする。このような決定は、予め定められたポリシー310に基づく。このポリシーは、許可されたフローエンドポイント、リソース、限界などのような種々の基準を含む。ある実施の形態では、ポリシー310は選択可能な強制的な技術を通してホスト304によって、動的に変更され、或いは改良される。
指示器312は、パケット306に関連付けられたパラメータを指示するように構成され、このパケット306はホスト304が受信を希望するものであり、かつ、このようなパラメータをファイヤウオール302と通信するように構成されている。このようなパラメータはポリシー310制約に付される。ホスト304は特定された入力フロー(例えば、パケット306)の遷移を要求可能である。フローは、基準の組によって指示器312によって特定され、この基準は、例えば、パケットのヘッダにおいて入手可能ないくつかの或いは全てのフィールドに一致(或いは一致しない)すべきというものである。パケットは、一般的に、ヘッダを含み、より高いレイヤプロトコルヘッダ(例えば、インターネット制御メッセージプロトコル(ICMP)、ユーザデータグラムプロトコル(UDP)、及び/又は伝送制御プロトコル(TCP)など)を有することが可能である。指示器312によって特定される基準或いはパラメータは、正確な値、値のリスト、値の範囲、オープンソケットなどを含むが、これらに限定されるものではない。
無効器314は、特定されたフロー或いはホスト304が要求した全てのフローの遷移の取り消しを要求するように構成されている。例えば、指示器312は1つ以上の送信側からの及び/又は1つ以上の種類のパケットがホスト304へ伝送されるべきことを要求する。このようなパケットの伝送を要求した後、パケットがもはや望ましいものではないと決定された場合、無効器314はあるパケットの要求を取り消すことができる。この取り消しは、あるパラメータ(例えば、パケットのサイズ、パケットの種類或いは他の基準)に基づいてシステム300によって自動的かつ自律的に実行される。
さらに、この取り消しはホスト304のユーザから受信したマニュアル入力に基づく。例えば、パケットがユーザによって意図されたものであるように特定される。しかしながら、ユーザは、このようなパケットが種々の理由についてもはや望ましくないことを決定できる。ユーザは、無効器314のようなホストに関連付けられたインターフェイスを通してそのようなパケットを手動的に取り消すことができる。
ホスト304は、種々のユーザインターフェイスを提供することができる。例えば、ホスト304はグラフィックユーザインターフェイス(GUI)、コマンドラインインターフェイスなどを提供する。例えば、GUIはユーザに領域を提供し、或いはパラメータ情報、ブロックされたパケット、ブロックされた送信側及び/又はユーザがブロックされるこのようなパケット/送信側を望むか否かを問い合わせを指示するシステムのロード、インポート、リードなどの機能を提供する。これら領域は公知のテキスト及び/又はグラフィック領域を含み、編集制御としてのダイアログボックス、スタティック制御、ドロップダウンメニュー、リストボックス、ポップアップメニュー、コンボボックス、無線ボタン、チェックボックス、プッシュボタン及びグラフィックボックスを有する。加えて、ナビゲーション用の垂直及び/又は平行スクロールバー及び領域を可視化するかを決定するツールボタンのようなプレゼンテーションを容易にするユーティリティが用いられる。
例えば、コマンドラインインターフェイスが採用される。コマンドラインインターフェイスは、テキストメッセージを提供することによって情報についてユーザを指示(プロンプト)する(例えば、ディスプレイ上のテキストメッセージ及び音声によって)。ユーザは、次に、インターフェイスプロンプトにおいて提供されたオプションに対応する文字数字入力、或いはプロンプトにおいて提起された質問のような適切な情報を提供する。コマンドラインインターフェイスは、GUI及び/又はAPIに関連して採用される。加えて、コマンドラインインターフェイスは、ハードウェア(例えば、ビデオカード)、及び/又は制限されたグラフィックサポート及び/又は低帯域通信チャネルを有するディスプレイ(例えば、ブラック及びホワイト、及びEGA)に関連して採用される。
プロトコルは、パケットを定期的に両方向(入力及び出力)に交換し、したがって、ホスト304及びファイヤウオール302の双方は適切な方法で中断したセッションに気付く。例えば、ファイヤウオール302及び/又はホスト304は、ピア(例えば、他のモバイル装置、他の通信装置・・・)からのトラフィックの欠落に基づいてセッションが破壊されているか否かの決定を行なう。破壊されたセッションに基づく決定は、プロトコルそれ自身の一部として含まれる。ある実施の形態においては、伝送制御プロトコル(TCP)キープアライブセグメントのような基礎をなすトランスポートによって、決定が提供される。
セッションが中断或いは終了した場合に、ホスト304によって事前に要求されたフローは自動的に取り消される。このように、ホスト304によって意図された全てのパケットは自動的にファイヤウオール302によってブロックされ、ホスト304へ渡されることが許可されない。したがって、中断したセッション及び/又は不完全なパケットはエアインターフェイスにそって通信されず、不十分でかつ価値のあるリソースを占有しない。
以下は、例示の目的で、限定されるものではない。ハンドセット或いはホスト304はウエブサーバを実行し、TCPポート80上でリストされているパッシブソケットを生成する。ファイヤウオール制御コンポーネント(例えば、指示器312)は、TCPポート80上のパッシブソケットが生成されていることを検出することができる。制御コンポーネントは、ファイヤウオール302とコンタクトを確立し、ファイヤウオール302にハンドセットのTCPポート80用のフローが遷移されることが許可されるように要求する。ファイヤウオール302はアックノレッジ或いは要求の拒絶のいずれも可能である。外部パーティは、ハンドセットのウェブサーバにコンタクトする入力フローを開始する。ある時間の後、ハンドセット上のウェブサーバはシャットダウンし、TCPポート80上のパッシブソケットを破壊する。略同一の時刻或いは略異なる時刻で、ハンドセット上のファイヤウオール制御コンポーネントはパッシブソケットの破壊を検出することができる。制御コンポーネントはファイヤウオールとコンタクトを確立し、ファイヤウオールにTCPポート80上のハンドセットへの全てのさらなる入ってくるトラフィックを拒絶するように要求する。IPベースのネットワークにおいては、プロセスが上述のものよりも実質的に異なることが理解される。何故ならば、フロー及びトポロジーの双方がエンドポイントアドレス宛てであるからである。
新しいセッションを開始し、或いは中断したセッション及びデータフローのその後の自動取り消しから回復するために、ホスト304は初期化器316を通してセッションを確立することができる。初期化器316は、どのファイヤウオール302、ホスト304と通信しているかを決定するように構成されている。ホスト304はモバイル装置であり、1つの地理的領域或いはセルから他の領域或いはセルへ移動するからである。装置が動くので、1つ以上のファイヤウオールへのコンタクトを確立する必要がある。初期化器316は指示器312と通信するように構成され、所望のフローの遷移を要求(あるいは中断されたセッションの場合には、再要求)する。
図4は、自動的かつ動的にファイヤウオールポリシを構成するシステム400を示す。システム400は、伝送、ブロック或いは入力パケット及び/又は出力パケットの再ルートするように構成されたファイヤウオール402を有する。さらに、指示器406、無効器408及び初期化器410を含むホスト404が含まれる。ホスト404は入力パケットについてはパッシブモードで動作し、出力パケットについてはアクティブモードで動作する。システム400は、図3で参照されて図示され、説明されたシステム300と同様に動作する。
システム400は、ホスト404に機能的に接続されているメモリ412を有する。メモリ412は要求された入力フロー、マッチング基準、特定のフロー、無効にされたフロー、オープンネットワークソケットなどに関連する情報、無線通信システムにおけるトラフィックの低減及びファイヤウオール技術の構成に関連する情報を格納する。プロセッサ414は、機能的にホスト404(及び/又はメモリ412)に接続され、無線通信システムにおけるトラフィックの低減及びファイヤウオール技術の構成に関連する情報を解析する。プロセッサ414は、ホスト404によって受信された情報を解析し、及び/又はホスト404によって送られた情報の生成用のプロセッサでもよく、システム400の1つ以上のコンポーネントを制御するプロセッサでもよく、及び/又はホスト404によって受信された情報の解析及び生成の両方を行なうプロセッサでもよく、システム400の1つ以上のコンポーネントを制御する。
メモリ412は、所望のパケット、パケットフロー、送信側、通信種類などに関連付けられたプロトコルを格納し、システム400が、ここにおいて述べられる無線ネットワークにおける通信トラフィックの低減を達成するための格納されたプロトコル及び/又はアルゴリズムを使用するように、ホスト及びファイヤウオール402などとの間の通信を制御する動作を行なう。ここにおいて述べられるデータ格納(例えば、メモリ)コンポーネントは、揮発性メモリ或いは不揮発性メモリのいずれであってもよく、或いは揮発性メモリ及び不揮発性メモリの双方を含んでいていも良い。例示的で限定しないために、不揮発性メモリは読み出し専用メモリ(ROM)、電気的プログラマブルROM(EPROM)、電気的消去可能ROM(EEPROM)或いはフラッシュメモリを含んでもよい。揮発性メモリは、ランダムアクセスメモリ(RAM)を含んでいても良く、外部キャッシュメモリとして動作する。例示的で限定しないために、RAMは同期RAM(DRAM)、ダイナミックRAM(DRAM)、同期DRAM(SDRAM)、ダブルデータレートSDRAM(DDR SDRAM)、エンハンスドSDRAM(ESDRAM)、同期リンクDRAM(SLDRAM)及びダイレクトラムバスRAM(DRRAM)のような種々の形態で利用可能である。開示された実施の形態のメモリ412は、限定されるものではないが、これら及び他の適切な種類のメモリが意図されている。
図5は、ファイヤウオールを構成しネットワークトラフィックを低減するシステム500を示す図である。図示されているブロックは機能ブロックであり、プロセッサ、ソフトウェア或いはこれらの組み合わせ(例えば、ファームウェア)によって実行される機能を示している。システム500は、ネットワークに含まれる1つ以上のファイヤウオールを検出する検出器502を含む。通信器504は、検出されたファイヤウオールと通信を行なうように構成されている。このような通信は、これに限定されるものではないが、セッション確立の要求、特定された入力フローの遷移の特定、1つ以上の入力フローの無効、或いは他のタイプの通信を含む。システム500には、ファイヤウオールに関連付けられたポリシーを更新するように構成された更新器506が含まれる。ポリシーを更新することは、システム500によって自動的に決定され、或いはユーザによってシステム500に手動で入力される変化のような存在するポリシーへの変化を含む。
いくつかの実施の形態においては、システム500は検査器508及び特定器510を含む。検査器508は、オープンネットワークソケットのリストを検査するように構成され、当該ソケットはオープンパッシブネットワークソケットであってもよい。特定器510は、パッシブソケットが聞かれた場合に、ファイヤウオールへの適切な要求を生成するようように構成され、パッシブソケットがクローズしている場合に、無効を生成することができる。システム500が、中断され、終了したセッションから回復している場合に、パッシブソケットの現在のリストは適切な要求を生成するように列挙される。
上に示され、述べられた例示的なシステムの観点において、種々の実施の形態の1つ以上の観点にしたがって実行される方法論が図6乃至図8の図面を参照してより理解されるであろう。説明の簡単化のため、動作の順序(或いは、機能ブロック)で示され、述べられる一方、方法論は、他の動作順序に限定されるものでなく、いくつかの動作、これらの方法論にしたがって、異なる順序で及び/又はここにおいて示され、述べられる他の動作と並行して発生することが理解される。さらに、開示された実施の形態の1つ以上の観点にしたがう方法論を実行するために全ての図示された動作が必要とされるものではない。種々の動作がソフトウェア、ハードウェア、これらの組み合わせ、或いは機能的に関連付けられた動作を実行するための適切な手段(例えbあ、装置、システム、プロセス、コンポーネント)が認識される。さらに、動作は、単に、簡単な形でここにおいて提示された特定の観点で示されていることが認識され、これら観点は少ない及び/又は多い動作数によって示されることができる。さらに、全ての図示された動作が以下の方法論を実行されるために必要とされなくても良い。当業者は、方法論は状態図におけるものと同様に、相互関係のある状態或いはイベントの順序として択一的に表現できることをを理解し、認識することができる。
図6は、適合入力データフローの遷移を動的に許可する方法論600のフロー図である。適合入力フローは装置が事前に要求しているものである。例えば、装置は事前に受信したフローに基づいて、特定の種類のトラフィックを受信した場合に、フローが破棄される特定のソースなどからのトラフィックを知り、或いは推論することができ、また、トラフィックの受信が装置で受信された際に拒絶されることを知り、或いは推論することができる。装置は、さらにユーザ特定パラメータに基づく情報を有することができる。これら望まれない及び/又は意図されないフローが装置で受信されるまで待つよりも、装置はこれらフロー(例えば、種類、ソースなど)をフローが装置に送信され、有用な帯域幅及び資源を取る前に認識する。
方法600は602でスタートし、ここでは遷移要求が受信される。この遷移要求は、モバイル装置が通信を受信することを希望する種類、ソースなどのみに関する情報を含む。この情報は、装置によって事前に定義され、ネットワーク周辺或いはファイヤウオールで維持される。遷移要求が受信されているトラフィックフローはさらに装置へ伝送される前にブロックされる。
フローは、種々の基準によって特定され、フローは基準に合致し伝送される。ある実施の形態においては、種々の基準はフローが合致しない情報である。例えば、基準はパケットのヘッダにおいて得られるフィールドのいくつか或いは全てである。ヘッダは、メッセージを正しい宛先へガイドする情報を含むメッセージの部分である。ヘッダに含まれるものは、送信側アドレス、受信器アドレス、順位レベル、ルーティング命令、同期パルスなどである。IPパケットは、インターネット制御メッセージプロトコル(ICMP)、ユーザデータグラムプロトコル(UDP)及び/又は伝送制御プロトコル(TCP)などのような高レイヤプロトコルヘッダである。
ステップ604では、取り消し要求が受信されたかを決定する。取り消し要求は、特定のフローのためのものであり、事前に要求された全てのフローのためのものである。604での決定が、取り消し要求が受信されていない(”no”)場合、方法600は606で続き、フローが装置を通して遷移が許可される。604での決定が取り消し要求が受信されている(”yes”)場合、方法600は608で続き、遷移が装置へ送る前にブロックされる。
上述の方法論600において、遷移要求及び要求された取り消しフローはモバイル装置(例えば、ハンドセット)からネットワークファイヤウオールで受信される。ネットワークファイヤウオールは、ネットワークファイヤウオールがモバイル装置から遷移及び/又は取り消し要求を受信したか否かに基づいて、入力データフローの遷移を許可し、或いはブロックする。
図7は、データフローの自動回復のための方法論700のフロー図である。この自動回復は、遠隔ファイヤウオールを要求することによって確立され、少なくとも1つのオープンソケットへ指示されたパケットの遷移を許可するセッションが、種々の理由により、遮断され、中断され、或いは終了し始めた場合の状況に適用される。702では、中断したセッションは、ホスト及び/又はファイヤウオールによって検出される。プロトコルは、通常双方向でパケットを交換(例えば、入力、出力)しているので、ホスト及びファイヤウオールの双方は、適時、中断したセッションに気付き、ほとんどの場合、中断したセッションの発生とほとんど同時に気付く。この検知は、ピア装置からのトラフィックの欠落の観測の結果に基づく。このことは、プロトコルそれ自身の一部として実行され、あるいは基礎となるトランスポート(例えば、TCPキープアライブセグメント)によって提供される。
セッションが中断し、或いは終了した場合、704で関連するホストによって要求されたフローが取り消される。要求されたフローを取り消すことによって、ホストの保全性及び機密性が保護される。したがって、ホストへ伝送されることが許可されるトラフィックはなく、このようなトラフィックは装置に伝送され、帯域幅をとる前にブロックされる。
ある実施の形態によれば、ホストがデータフローを回復することを望む場合に、新しいセッションが706で再確立される。この新しいセッションは、新たなセッションに基づき、或いはパッシブソケットのリストの再確立に基づき、適切な要求を生成する。所望のフローの要求(或いは、再要求)或いは遷移は708で確立される。
上述の方法論700においては、例えば、装置(例えば、モバイル装置)が中断したセッションを検出し、ネットワークファイヤウオールをコンタクトし、要求されたフローを取り消す。望まれる(例えば、ユーザによって)場合、装置は新しいセッションをファイヤウオールと確立し、所望のフローの遷移を要求する。
図8は、ファイヤウオール保護の自動化及びネットワークトラフィックの低減の方法論のフロー図である。低減されたネットワークトラフィックは欲しない及び/又は意図していないトラフィック、中断したセッション、終了したセッションなどが含まれる。802では、ハンドセットが入力通信フローを受信することを所望し、パッシブモード或いはサーバとして動作する。ハンドセットは804でパッシブソケットを生成する。このパッシブソケットは、例えば、TCPポート80に関するものである、ある実施の形態においては、パッシブソケットはオープンパッシブソケットのリストに含まれ、周期的に或いは連続的に変化、改良などが監視される。ファイヤウオールとのコンタクト或いは通信は806で確立される。コンタクト或いは通信は、パッシブソケットが生成されたときにトリガされる。通信は、808で、ファイヤウオールがパッシブソケットへ指示されるフロー許可する要求のような遠隔ファイヤウオールポリシー更新を含む。通信は、さらに1つ以上のオープンセッションによって生成されるパッシブネットワークソケットのリストを含む。このリストは、ホストがどのホストが気付き、どのホストがいずれの与えられた時間で提供しているのサービスを含む。
第三者によって開始され、1つ以上のリストされたオープンパッシブソケットへ指示された入力フローはファイヤウオールによる遷移が許可される。ウエブサーバがシャットダウンし、或いは終了した場合、TCPポート80上のパッシブソケットは破壊される。810ではパッシブソケットがオープンかクロズか(例えば、終了したか或いは破壊されたか)の判断が行なわれる。ソケットがオープン(”yes”)の場合、外部パーティパケット、フロー、通信などが伝送されることが許可され、或いは812で伝送が続く。810での決定がソケットがクローズ(”no”)の場合、814で取り消し要求が生成される。この取り消し要求は、ソケットがクローズであることが検出されると自動的に送られる。この要求は、ファイヤウオールに対してTCPポート80への全ての更なるインバウンドトラフィックを拒絶する命令を含む。中断し、或いは終了したセッションから回復する際に、パッシブソケットの現在のリストが列挙され、適切な要求を生成する。
上述の方法論800においては、例えば、モバイル装置がネットワーク接続を確立し、オープンパッシブソケットを検出し、ファイヤウオールとのコンタクトを確立し、許可されたフローを要求する。モバイル装置は、さらに、パッシブソケットがオープンであるか或いはクローズであるかを決定し、クローズである場合には、ファイヤウオールへの取り消し要求を生成する。
図9を参照すると、端末900の可能な構成の概念的なブロック図が示されている。当業者が認識するように、端末900の正確な構成は、特定の用途及び全体的な設計に非常に依存する。プロセッサ902は、ここにおいて述べられる種々の実施の形態を実行することができる。端末900は、アンテナ906に接続されたフロントエンドトランシーバ904とともに実現される。ベースバンドプロセッサ908は、トランシーバ904に接続されている。ベースバンドプロセッサ908は、ソフトウェアベースアーキテクチャ或いは他の種類のアーキテクチャとともに実現される。マイクロプロセッサは、プラットフォームとして利用され、他の機能のうち、制御及びシステム全体の管理機能を提供するソフトウェアプログラムを実行する。デジタル信号プロセッサ(DSP)は、埋め込み通信ソフトウェアレイヤーとともに実現され、アプリケーションの特定のアルゴリズムを実行し、マイクロプロセッサの処理要求を低減する。DSPは、種々の信号処理機能を提供するために利用され、この信号処理機能は、パイロット信号取得、時間同期、周波数トラッキング、スペクトラム拡散処理、変調、復調機能及びフォワードエラー訂正などである。
端末900は、さらに、バースバンドプロセッサ908に接続された種々のユーザインターフェイス902を有する。ユーザインターフェイス910は、キーパッド、マウス、タッチスクリーン、ディスプレイ、リンガ、バイブレータ、オーディオスピーカ、マイクロホン、カメラ及び/又は他の入力/出力装置を含む。
ベースバンドプロセッサ908はプロセッサ902を含む。ベースバンドプロセッサ908のソフトウェアベースの具体化においては、プロセッサ902はマイクロプロセッサ上で動作するソフトウェアプログラムである。しかしながら、当業者が容易に理解できるように、プロセッサ902は本実施の形態に限定されるものではなく、この分野において知られている手段によって実現されることができ、ここにおいて述べられた種々の機能を実行することができるいずれのハードウェア構成、ソフトウェア構成或いはこれらの組み合わせを含むものである。プロセッサ902はデータを格納するためのメモリ912に接続される。
ここにおいて述べらた実施の形態は、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード或いはこれらの組み合わせによって実現されることが理解されるべきである。システム及び/又は方法がソフトウェア、ファームウェア、ミドルウェア或いはマイクロコード、プログラムコード或いはコードセグメントによって実現される場合、これらは格納コンポーネントのような機械読み取り可能な媒体に格納される。コードセグメントは、手続、機能、サブプログラム、プログラム、ルーチン、サブルーチン、モジュール、ソフトウェアパッケージ、クラス或いは命令、データ、ストラクチャ或いはプログラム記述のいずれの組み合わせで表わされる。コードセグメントは、他のコードセグメント或いはハードウェア回路に、情報、データ、変数、パラメータ或いはメモリの内容を通過させ、受信することにより接続されている。情報、変数、パラメータなどは、メモリシェアリング、メッセージパッシング、トークンパッシング、ネットワーク伝送などを含むいずれかの適切な手段を使用することにより、通過され、フォワードされる。
上述したことは、1つ以上の実施の形態の例を含む。勿論、これら実施の形態を述べる目的のために全ての考えられるコンポーネント或いは方法論の組み合わせを述べることは不可能であるが、当業者であればこのような実施の形態のさらなる組合せ及び置換を認識することができる。したがって、ここにおいて述べられた実施の形態は、添付した請求の範囲の観点及び精神の範囲内におけるこのような全ての代替、改良及び変形を包含することを意図しているものである。さらに、詳細な記述或いは請求の範囲のいずれにおいても使用されている用語”含む”の範囲は、請求の範囲におけるトランジショナルな用語として使用された場合に、"具備する”が解釈されるように、用語”具備する”と同じように、包含的なことを意図するものである。
Claims (18)
- 遠隔ファイヤウオールにオープンソケットへ指示されたパケットの遷移の許可を要求することによりセッションを確立し、
ピア装置から前記オープンソケットを使用するホストへ遷移するパケットの欠落の観察に基づいて、中断したセッションを検出し、
中断したセッションに基づいて、前記遠隔ファイヤウオールに前記オープンソケットへ指示されたパケットの遷移のブロックを要求し、これにより、前記オープンソケットへ指示されたパケットの遷移を許可するための要求を取り消し、
前記セッションを再確立し、前記再確立は前記遠隔ファイヤウオールに前記オープンソケットへ指示されたパケットの遷移の再度の許可を要求することを含む中断したセッションから回復するホストのための方法。 - 前記オープンソケットへ指示されたパケットの遷移の許可を前記遠隔ファイヤウオールに要求することは、現在のオープンソケットのリストを生成することをさらに具備する請求項1記載の方法。
- 前記遠隔ファイヤウオールに前記オープンソケットへ指示されたパケットの遷移の再度の許可を要求することは、現在のオープンソケットのリストを再生成することをさらに具備する請求項1記載の方法。
- 前記遠隔ファイヤウオールに前記オープンソケットへ指示されたパケットの遷移を要求することは、無線通信リンク上で発生する請求項1記載の方法。
- 移動装置に関連するファイヤウオールポリシを更新する移動装置のための方法において、
前記移動装置が遠隔ファイヤウオールを通して前記移動装置へ送られることが許可されたパケットを定義する前記移動装置のファイヤウオールポリシを維持する遠隔ファイヤウオールを検出し、
前記移動装置が、ピア装置からのパケットのトラフィックの欠落の観察に基づいて、中断したセッションを検出し、
前記移動装置が、前記検出された中断したセッションに応答して、前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの更新をフォワードする方法。 - 前記更新されたファイヤウオールポリシは、前記遠隔ファイヤウオールを通る前記移動装置までの中断したセッションに関連付けられたパッシブソケットへ指示されたパケットをブロックする請求項5記載の方法。
- ピア装置とのセッションを再確立することをさらに具備し、前記再確立は前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの他の更新をフォワードし、再確立されたセッションに関連付けられたパケットを前記遠隔ファイヤウオールを通して前記移動装置に送ることを許可することを具備する請求項6記載の方法。
- 前記移動装置が、遠隔ファイヤウオールに更新をフォワードすることは、無線通信リンク上で発生する請求項5記載の方法。
- 遠隔ファイヤウオールを通して前記移動装置へ送られることが許可されたパケットを定義する前記移動装置のファイヤウオールポリシを維持する遠隔ファイヤウオールを検出する手段と、
ピア装置からのパケットのトラフィックの欠落の観察に基づいて、中断したセッションを検出する手段と、
前記検出された中断したセッションに応答して、前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの更新をフォワードする手段と
を具備する移動装置。 - 前記更新されたファイヤウオールポリシは、前記遠隔ファイヤウオールを通る前記移動装置までの中断したセッションに関連付けられたパッシブソケットへ指示されたパケットをブロックする請求項9記載の移動装置。
- 前記ピア装置とのセッションを再確立する手段をさらに具備し、前記再確立手段は前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの他の更新をフォワードし、再確立されたセッションに関連付けられたパケットを前記遠隔ファイヤウオールを通して前記移動装置に送ることを許可することを具備する請求項10記載の移動装置。
- 前記遠隔ファイヤウオールに更新をフォワードすることは、更新をフォワードするための無線通信リンクを使用する請求項9記載の移動装置。
- 移動装置に関連付けられたファイヤウオールポリシを更新する方法に関連付けられた命令を実行するように構成されたプロセッサにおいて、前記方法は、
遠隔ファイヤウオールを通して前記移動装置へ送られることが許可されたパケットを定義し、前記移動装置のファイヤウオールポリシを維持する遠隔ファイヤウオールを検出し、
ピア装置からのパケットのトラフィックの欠落の観察に基づいて、中断したセッションを検出し、
前記検出された中断したセッションに応答して、前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの更新をフォワードすることを含むプロセッサ。 - 前記更新されたファイヤウオールポリシは、前記遠隔ファイヤウオールを通る前記移動装置までの中断したセッションに関連付けられたパッシブソケットへ指示されたパケットをブロックする請求項13記載のプロセッサ。
- 前記方法は、ピア装置とのセッションを再確立することをさらに具備し、前記再確立は前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの他の更新をフォワードし、再確立されたセッションに関連付けられたパケットを前記遠隔ファイヤウオールを通して前記移動装置に送ることを許可することを具備する請求項14記載のプロセッサ。
- 移動装置に関連付けられたファイヤーウオールポリシを更新する移動装置において使用されるコンピュータ読取可能な記録媒体において、前記媒体は前記移動装置に、
遠隔ファイヤウオールを通して前記移動装置へ送られることが許可されたパケットを定義する前記移動装置のファイヤウオールポリシを維持する遠隔ファイヤウオールを検出させ、
ピア装置からのパケットのトラフィックの欠落の観察に基づいて、中断したセッションを検出させ、
前記検出された中断したセッションに応答して、前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの更新をフォワードさせる命令を具備する記録媒体。 - 前記更新されたファイヤウオールポリシは、前記遠隔ファイヤウオールを通る前記移動装置までの中断したセッションに関連付けられたパッシブソケットへ指示されたパケットをブロックする請求項16記載のコンピュータ読取可能な記録媒体。
- ピア装置とのセッションを再確立することをさらに具備し、前記再確立は前記遠隔ファイヤウオールに前記移動装置のファイヤウオールポリシの他の更新をフォワードし、再確立されたセッションに関連付けられたパケットを前記遠隔ファイヤウオールを通して前記移動装置に送ることを許可することを具備する請求項17記載のコンピュータ読取可能な記録媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US63827104P | 2004-12-21 | 2004-12-21 | |
| PCT/US2005/046801 WO2006069315A1 (en) | 2004-12-21 | 2005-12-21 | Client assisted firewall configuration |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008524970A JP2008524970A (ja) | 2008-07-10 |
| JP4589405B2 true JP4589405B2 (ja) | 2010-12-01 |
Family
ID=36095794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007548526A Expired - Fee Related JP4589405B2 (ja) | 2004-12-21 | 2005-12-21 | クライアント援用ファイヤウオール構造 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20060253900A1 (ja) |
| EP (1) | EP1829334A1 (ja) |
| JP (1) | JP4589405B2 (ja) |
| KR (1) | KR100899903B1 (ja) |
| CN (1) | CN101124801B (ja) |
| BR (1) | BRPI0519544A2 (ja) |
| CA (1) | CA2591933C (ja) |
| RU (1) | RU2370903C2 (ja) |
| TW (1) | TWI400920B (ja) |
| WO (1) | WO2006069315A1 (ja) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8910241B2 (en) * | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| WO2006045343A1 (en) * | 2004-10-29 | 2006-05-04 | Telecom Italia S.P.A. | System and method for remote security management of a user terminal via a trusted user platform |
| US8385331B2 (en) * | 2006-09-29 | 2013-02-26 | Verizon Patent And Licensing Inc. | Secure and reliable policy enforcement |
| EP1971101B1 (en) * | 2007-03-12 | 2018-11-21 | Nokia Solutions and Networks GmbH & Co. KG | A method , a device for configuring at least one firewall and a system comprising such device |
| US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
| US7940658B2 (en) * | 2008-09-04 | 2011-05-10 | Cisco Technology, Inc. | ERSPAN dynamic session negotiation |
| US7924830B2 (en) * | 2008-10-21 | 2011-04-12 | At&T Intellectual Property I, Lp | System and method to route data in an anycast environment |
| KR101221045B1 (ko) * | 2008-12-22 | 2013-01-10 | 한국전자통신연구원 | 패킷 처리 방법 및 이를 이용한 toe 장치 |
| US8966607B2 (en) * | 2009-07-15 | 2015-02-24 | Rockstar Consortium Us Lp | Device programmable network based packet filter |
| US20110075047A1 (en) * | 2009-09-29 | 2011-03-31 | Sony Corporation | Firewall port selection using atsc tuner signals |
| US8520540B1 (en) | 2010-07-30 | 2013-08-27 | Cisco Technology, Inc. | Remote traffic monitoring through a network |
| CN102065431A (zh) * | 2010-12-28 | 2011-05-18 | 上海华勤通讯技术有限公司 | 手机网络防火墙的使用方法 |
| CN102202094A (zh) * | 2011-05-13 | 2011-09-28 | 中兴通讯股份有限公司 | 一种基于http的业务请求处理方法及装置 |
| US8555369B2 (en) | 2011-10-10 | 2013-10-08 | International Business Machines Corporation | Secure firewall rule formulation |
| US9094307B1 (en) | 2012-09-18 | 2015-07-28 | Cisco Technology, Inc. | Measuring latency within a networking device |
| US9054967B1 (en) | 2012-09-18 | 2015-06-09 | Cisco Technology, Inc. | Timestamping packets in a network |
| US9077619B2 (en) | 2012-09-18 | 2015-07-07 | Cisco Technology, Inc. | Exporting real time network traffic latency and buffer occupancy |
| US9118707B2 (en) * | 2012-12-14 | 2015-08-25 | Verizon Patent And Licensing Inc. | Methods and systems for mitigating attack traffic directed at a network element |
| US9590752B2 (en) * | 2013-03-27 | 2017-03-07 | International Business Machines Corporation | Peer-to-peer emergency communication using public broadcasting |
| US20150135265A1 (en) * | 2013-11-11 | 2015-05-14 | MyDigitalShield, Inc. | Automatic network firewall policy determination |
| US10298712B2 (en) * | 2013-12-11 | 2019-05-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Proxy interception |
| KR101538667B1 (ko) * | 2013-12-31 | 2015-07-22 | 주식회사 시큐아이 | 네트워크 시스템 및 네트워크 제어 방법 |
| ES2906748T3 (es) * | 2016-11-23 | 2022-04-20 | Huawei Tech Co Ltd | Sistema de red óptica pasiva, terminal de línea óptica y unidad de red óptica |
| EP3613014B1 (en) | 2017-04-21 | 2023-10-18 | Zenimax Media Inc. | Player input motion compensation by anticipating motion vectors |
| US10491613B1 (en) * | 2019-01-22 | 2019-11-26 | Capital One Services, Llc | Systems and methods for secure communication in cloud computing environments |
| KR102602570B1 (ko) * | 2021-11-23 | 2023-11-14 | 주식회사 카카오엔터프라이즈 | 방화벽 장치의 설정값을 제어하는 igw 콘트롤러 및 그것과 방화벽 장치 간의 설정값 동기화 제어 방법 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6334056B1 (en) * | 1999-05-28 | 2001-12-25 | Qwest Communications Int'l., Inc. | Secure gateway processing for handheld device markup language (HDML) |
| KR20010090014A (ko) * | 2000-05-09 | 2001-10-18 | 김대연 | 네트워크 보호 시스템 |
| KR100358518B1 (ko) * | 2000-07-03 | 2002-10-30 | 주식회사 지모컴 | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 |
| KR20020043427A (ko) * | 2000-12-04 | 2002-06-10 | 박준상 | P2p 서비스 시스템 및 방법 |
| US7089586B2 (en) * | 2001-05-02 | 2006-08-08 | Ipr Licensing, Inc. | Firewall protection for wireless users |
| US7392537B2 (en) * | 2001-10-08 | 2008-06-24 | Stonesoft Oy | Managing a network security application |
| US7593318B2 (en) * | 2002-01-07 | 2009-09-22 | Reams Byron L | Method and apparatus for header updating |
| WO2003058879A1 (en) * | 2002-01-08 | 2003-07-17 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US7133368B2 (en) * | 2002-02-01 | 2006-11-07 | Microsoft Corporation | Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same |
| JP2004054488A (ja) * | 2002-07-18 | 2004-02-19 | Yokogawa Electric Corp | ファイアウォール装置 |
| KR100476237B1 (ko) * | 2002-08-13 | 2005-03-10 | 시큐아이닷컴 주식회사 | 복수 방화벽에서의 효율적 부하 분산을 위한 비대칭 트래픽 처리 방법 |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| JP2004180155A (ja) * | 2002-11-28 | 2004-06-24 | Ntt Docomo Inc | 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法 |
| JP2004187206A (ja) * | 2002-12-06 | 2004-07-02 | Nippon Telegr & Teleph Corp <Ntt> | パーソナルフィルタリングシステム及びパーソナルフィルタリング方法 |
| JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
| US7340771B2 (en) * | 2003-06-13 | 2008-03-04 | Nokia Corporation | System and method for dynamically creating at least one pinhole in a firewall |
| WO2005004370A2 (en) * | 2003-06-28 | 2005-01-13 | Geopacket Corporation | Quality determination for packetized information |
| US8146145B2 (en) * | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
-
2005
- 2005-12-21 JP JP2007548526A patent/JP4589405B2/ja not_active Expired - Fee Related
- 2005-12-21 CN CN2005800484437A patent/CN101124801B/zh not_active Expired - Fee Related
- 2005-12-21 TW TW094145712A patent/TWI400920B/zh not_active IP Right Cessation
- 2005-12-21 WO PCT/US2005/046801 patent/WO2006069315A1/en active Application Filing
- 2005-12-21 CA CA2591933A patent/CA2591933C/en not_active Expired - Fee Related
- 2005-12-21 RU RU2007128045/09A patent/RU2370903C2/ru not_active IP Right Cessation
- 2005-12-21 BR BRPI0519544-6A patent/BRPI0519544A2/pt not_active IP Right Cessation
- 2005-12-21 US US11/315,394 patent/US20060253900A1/en not_active Abandoned
- 2005-12-21 KR KR1020077016549A patent/KR100899903B1/ko not_active IP Right Cessation
- 2005-12-21 EP EP05855372A patent/EP1829334A1/en not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| RU2370903C2 (ru) | 2009-10-20 |
| CN101124801B (zh) | 2013-04-03 |
| EP1829334A1 (en) | 2007-09-05 |
| CA2591933C (en) | 2014-01-21 |
| TWI400920B (zh) | 2013-07-01 |
| RU2007128045A (ru) | 2009-01-27 |
| WO2006069315A8 (en) | 2007-11-01 |
| KR100899903B1 (ko) | 2009-05-28 |
| CN101124801A (zh) | 2008-02-13 |
| CA2591933A1 (en) | 2006-06-29 |
| TW200640206A (en) | 2006-11-16 |
| JP2008524970A (ja) | 2008-07-10 |
| WO2006069315A1 (en) | 2006-06-29 |
| US20060253900A1 (en) | 2006-11-09 |
| KR20070087165A (ko) | 2007-08-27 |
| BRPI0519544A2 (pt) | 2009-02-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4589405B2 (ja) | クライアント援用ファイヤウオール構造 | |
| US8849961B2 (en) | Mobile network optimized method for keeping an application IP connection always on | |
| JP4405360B2 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
| US20050268332A1 (en) | Extensions to filter on IPv6 header | |
| US7822970B2 (en) | Method and apparatus for regulating access to a computer via a computer network | |
| US7559082B2 (en) | Method of assisting an application to traverse a firewall | |
| JP4511529B2 (ja) | 電気通信システム及び方法 | |
| US7472411B2 (en) | Method for stateful firewall inspection of ICE messages | |
| US20180007083A1 (en) | Method and apparatus for providing notification of detected error conditions in a network | |
| US20070011731A1 (en) | Method, system & computer program product for discovering characteristics of middleboxes | |
| WO2007014507A1 (en) | System and method for controling ngn service-based firewall | |
| JP2007259507A (ja) | テレコミュニケーションシステムにおけるなりすましの防止 | |
| KR20070110864A (ko) | 종단 점에 의한 방화벽 특징의 교섭을 가능하게 하는 방법,장치 및 컴퓨터 프로그램 생성물 | |
| WO2005117327A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
| WO2004114631A1 (en) | System and method for dynamically creating pinholes in a firewall of a sip-based | |
| US7401353B2 (en) | Detecting and blocking malicious connections | |
| US8023985B1 (en) | Transitioning a state of a connection in response to an indication that a wireless link to a wireless device has been lost | |
| EP1757061B1 (en) | Extensions to filter on ipv6 header | |
| KR100698666B1 (ko) | 네트워크 에러에 따른 통신 제어 가능한 이동통신 단말기및 그 방법 | |
| Aoun | A NAT and Firewall signaling framework for the Internet | |
| WO2013063795A1 (zh) | 用户设备下线的处理方法、装置和网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091117 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100217 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100222 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100224 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100301 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100514 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100909 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4589405 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130917 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |