JPH10243028A - ダイナミックフィルタのためのセッションキャッシュおよびルールキャッシング方法 - Google Patents

ダイナミックフィルタのためのセッションキャッシュおよびルールキャッシング方法

Info

Publication number
JPH10243028A
JPH10243028A JP10002185A JP218598A JPH10243028A JP H10243028 A JPH10243028 A JP H10243028A JP 10002185 A JP10002185 A JP 10002185A JP 218598 A JP218598 A JP 218598A JP H10243028 A JPH10243028 A JP H10243028A
Authority
JP
Japan
Prior art keywords
cache
rule
version number
rule base
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10002185A
Other languages
English (en)
Other versions
JP3875387B2 (ja
Inventor
Daniel N Zenchelsky
エヌ ゼンチェルスキー ダニエル
Partha P Dutta
ピー デュッタ パーサ
Thomas B London
ビー ロンドン トーマス
Dalibor F Vrsalovic
エフ バルサロビック ダリボア
Karl A Suel
エー シール カール
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
AT&T Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AT&T Corp filed Critical AT&T Corp
Publication of JPH10243028A publication Critical patent/JPH10243028A/ja
Application granted granted Critical
Publication of JP3875387B2 publication Critical patent/JP3875387B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 ネットワークフィルタと共に使用するため
の、局所ルールベースを動的に記憶しまた排出するキャ
ッシュの提供。 【解決手段】 キャッシュは、フィルタのルールベース
から導出されたルールを記憶する。キャッシュルール
は、キャッシュルール導出されたかを示すルールベース
標識、およびキャッシュルールが導出されたルールベー
スのバージョンを示すルールベースバージョン番号と関
連する。フィルタがパケットを受け取ると、キャッシュ
はパケットに適用できるルールを求めて探索される。ル
ールが見出されない場合は、フィルタルールベースが見
出され、適用できるルールが実行され、ルールベース標
識およびバージョン番号と共にキャッシュにコピーされ
る。キャッシュルールが見出される場合は、バージョン
番号がルールベースのバージョン番号と一致するとき
は、キャッシュルールが実行される。そうでない場合
は、キャッシュルールは削除される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、情報システムセキ
ュリティに関し、特に、局所ルールベースが頻繁に変化
するダイナミックフィルターに関し、さらに、特に、こ
のようなダイナミックフィルタにおける冗長なルールベ
ース探索を効果的に削除するセッションルールキャッシ
ュに関する。
【0002】
【従来の技術】二つの自動情報システム(AIS)間に
おいて情報の流れを統制する通常の情報システムセキュ
リティ手段は、フィルタである。ここで、術語「AI
S」は、コンピュータ、コンピュータのネットワーク、
コンピュータのインターネットワーク、または何らかの
その部分集合を指す。ネットワークアドレスを有するコ
ンピュータは、「ホスト」として知られている。ホスト
は、固定または一時ネットワークアドレスのいずれを有
するコンピュータであってもよい。情報の流れを統制す
るために、それ自体のルール(局所ルールベースとして
知られる)を有するホストは、「ピア」と呼ばれる。あ
る一定のAIS上の情報は、「パケット」と呼ばれる離
散的な大きさを取る量子の状態で流れる。ある一定のA
IS上の各パケットは、ヘッダおよびペイロードを有す
る。ヘッダは、パケット識別データを含む。パケット識
別データの一例は回路識別番号であり、回路識別番号は
回路交換ネットワークを流れるパケット中に存在する。
パケット識別データの別の例は、ネットワーク発信元ア
ドレスおよび宛先アドレス、発信元ポートおよび宛先ポ
ート、ならびにプロトコル識別子よりなる5タプルであ
る。この5タプルは、無接続パケット交換ネットワーク
を流れるパケット中に存在する。
【0003】本出願と関連する米国特許出願であって、
発明の名称が「ネットワーク上のピアレベルアクセス制
御を提供するためのシステムおよび方法」によれば、ピ
アが認証されるとき、ダイナミックフィルタはピアの局
所ルールベースをロードして記憶し、また、ピアが認証
を喪失するときは、そのルールベースを削除する(また
は排出する)。フィルタは、ピアと他のAISとの間に
位置し、その結果、ピアとAISとの間を流れるパケッ
トはフィルタを通過する。フィルタはパケットを受け取
り、次いでパケットに一致するルール(通常、広域およ
び局所ルールベース)を求めてルールベースを探索す
る。ルールは、キーおよび動作を含む。キーは、各パケ
ットのパケット識別データに基づいて、そのルールがど
のパケットに適用されるかを識別する。動作は、通常、
パス(PASS)およびドロップ(DROP)のいずれ
かであり、パケットがその予定宛先に送られるか、また
は削除されるかを意味する。一致するルールが見出され
るときは、一致するルールによって規定される動作が、
パケットに適用される。ダイナミックフィルタの新規な
特徴のひとつは、ダイナミックフィルタの局所ルールベ
ースの頻繁な変更を調整する機能である。
【0004】通常の設定におけるフィルタを、図1に示
す。企業ネットワーク10は、ピアA11、B12、お
よびC13に、インタネット14に対するアクセスを提
供することを意図するが、インタネットホストG15、
H16、およびI17の企業秘密および資産情報を含む
ことがある企業ネットワーク10に対するアクセスを限
定することを意図することがある。企業ネットワーク1
0は、フィルタ18を企業ネットワーク10とインタネ
ット14とのインタフェースに設置する。
【0005】フィルタは、パケットを受け取ることによ
ってパケットに基づいて作動し、そのパケットの識別デ
ータと一致するキーを有するルールを探索する。受信さ
れたパケット識別データがルールのキーと一致するとき
は、ルールの動作がそのパケット上において実行され
る。
【0006】ひとつの実施形態においては、フィルタ
は、5−タプルの形式、すなわちパケットのヘッダに類
似の構造の形式をとるルール、および動作を記憶し、動
作はパスまたはドロップのいずれかである。5−タプル
は、使用上の利点があり、それは5−タプルを使用する
ことによって、フィルタが、発信元および宛先に基づく
のみでなくパケットが関係する特定の処理に基づいてパ
ケットを識別することができるためである。その理由
は、幾つかの公知の処理(ファイル転送プロトコル、電
子メール、など)は、フィルタが認識することができる
標準ポート番号を使用するためである。したがって、こ
の実施形態によれば、フィルタはセキュリティ方策を有
利に実施することが可能であり、セキュリティ方策によ
って、たとえば、ファイルをホストAからホストBに転
送することは可能であるが、この同じホスト間における
電子メールの交換は禁止することができる。
【0007】ピアA11、B12、およびC13を有
し、フィルタを経由してホストG15、H16、および
I17を有するインタネット14に接続される企業ネッ
トワーク10に対するルールベースの例を、以下に示
す。
【0008】 発信元 宛先 プロトコル 動作 アドレス、ポート アドレス、ポート 識別子 A,21 G,32 4 パス A,22 H,19 3 ドロップ G,11 A,64 4 ドロップ C,9 I,23 4 パス このルールベースは、ネットワーク上のホストのセキュ
リティ必要条件に従って、ネットワークシステム管理者
によって規定される。
【0009】パケットがフィルタに着信すると、フィル
タは、パケット5−タプルがいずれかのルール5−タプ
ルに一致するかを決定する。ここで、ルール5−タプル
は、ルールキーである。一致が得られるときは、フィル
タは一致するルール動作、すなわちパスまたはドロップ
のいずれかを実行する。
【0010】フィルタは、通常、ルールベースにおいて
は明快には特定されないトランザクションに関するデフ
ォルトルールを有する。したがって、ルールベースに一
致するルールがない場合は、パケットはデフォルトルー
ルと比較される。一致が得られるときは、次いで、デフ
ォルト動作が実行され、デフォルト動作は通常パケット
をドロップすることである。デフォルトルールに対して
一致が得られないときは、次に、エラーメッセージが生
成される。ひとつの実施形態においては、すべてのパケ
ットがデフォルトルールと一致するようにデフォルトル
ールを構成することができるので、エラーメッセージは
全然生成されない。
【0011】ピアとホストの間において、パケットをパ
スさせるかドロップさせるかを選択することによって、
フィルタはAISに出入する情報の流れを統制し、AI
Sは、フィルタの「背後にある」またはフィルタによっ
て「保護されている」といわれる。図1において、企業
ネットワーク10はフィルタ18の背後にある。
【0012】従来のフィルタは、システム管理者の介入
によってルールをロードし記憶することしかできず、緩
慢であり扱いにくい処理である。実際、システム管理者
は、通常、フィルタプラットフォームに特有のフォーマ
ットでルールを手作業で符号化しなければならない。こ
れらのルールは、保護されるAISによって公表される
セキュリティ方策を基礎としている。それ故、従来のル
ールベースは、柔軟性がなく、保護されるAISについ
て必要なセキュリティニーズの変化に容易に適応するこ
とができない。
【0013】この不可変性によって、所定の適用対象に
対して過剰に広域であるルールベースが必要とされる場
合が多い。容易に更新される可能性がないので、特定の
ホストに適用される局所ルールをロードすることより
も、フィルタの背後にあるすべてのAISに適用される
広域ルールを採用することの方が簡単である。このよう
な場合、フィルタの背後にあるすべてのAISは、この
ようなAISのいずれかの最も制約の厳しいセキュリテ
ィ必要条件に従う必要があるので、過剰に制約されるフ
ィルタリングとなる。
【0014】ルールがファイアウォールの背後にある個
別ホストに適用されるように定式化される場合において
さえも、このようなレベルのアクセス制御は不十分であ
る場合がある。この状況の一例は、インタネットサービ
スプロバイダ(ISP)の場合である。インタネットサ
ービスプロバイダは、通常、モデムを有する独立型パー
ソナルコンピュータである加入者を有する。ISPは、
ひとつ以上のホストを有し、各ホストはインタネットに
接続され、インタネットプロトコル(IP)アドレスの
プールを有する。加入者がISPホスト(存在点、また
はPOPと呼ばれる)にダイヤルインするとき、POP
は、そのIPアドレスのプールから一時IPアドレスを
加入者に割り当てる。この一時アドレスは、通常、接続
性の単独セッションの間だけの発呼者に対応する。将来
のセッションにおいては、その加入者に別のIPアドレ
スが割り当てられる可能性が高い。
【0015】これは問題である。それはルールというも
のは部分的にネットワーク発信元および宛先アドレスに
基づくためである。したがって、公知のフィルタによっ
て、加入者に対するアクセスを効果的に制御することは
不可能である。その理由はそれらのIPアドレスはセッ
ションごとに変わるためである。
【0016】本出願と関連する米国特許出願であって、
発明の名称が「ネットワーク上のピアレベルアクセス制
御を提供するためのシステムおよび方法」によれば、ホ
ストが認証されるとき、加入者のルールをフィルタに動
的にロードし、ホストが認証されなくなるとき、削除す
ることができるシステムおよび方法を提供することによ
って、この欠陥が改良される。ルールがダイナミックフ
ィルタに記憶されている間は、ルールは加入者の一次I
Pアドレスに対応するので、実行することができる。
【0017】ダイナミックフィルタは、さらに広い適用
対象を有し、それは、ダイナミックフィルタがISP加
入者に対するのみでなく、固定IPアドレスを有するピ
アを含めて、いかなるピアに対してもフィルタのルール
を容易に動的に変更することもできるためである。それ
故、ダイナミックフィルタによって、特定のピアのセキ
ュリティ要求に対応し、これらのセキュリティ要求の変
化に適応できる一層良好なアクセス制御が提供されるた
めである。したがって、ダイナミックフィルタの新規な
有用性は、局所ルールベースの頻繁な変更に適応し実行
できるその機能から導き出される。
【0018】典型的な実施形態においては、ダイナミッ
クフィルタは、パケットを受け取ることおよび一致する
ルールを求めて事前−広域ルールベースを探求すること
によって作動される。一致する広域事前ルールが全く見
出されないときは、局所ルールベースが、一致するルー
ルベースを求めてハッシュテーブル(hash tab
le)を使用して探索される。一致する局所ルールが全
く見出されないときは、広域事後ルールベースが一致ル
ールを求めて探索される。一致する広域事後ルールが全
く見出されないときは、デフォルトルールがパケットに
一致する場合はデフォルトルールが適用される。デフォ
ルトルールがパケットに一致しない場合は、エラー状態
が生成される。いずれかの一致するルールが見出され、
そのルールの動作がドロップであるときは、パケットは
ドロップされ、それ以上、ルールは探索されない。
【0019】一致するルールを求めてルールベースを探
索することは、時間を消費し、またプロセッサパワーも
消費する。ダイナミックフィルタにおいては、局所ルー
ルのためのハッシュテーブルによって、探索処理の効率
が相当に改良される。しかし、ダイナミックフィルタ
は、ハッシュ機能を実行し、さらにフィルタが受け取る
各パケットに対するルールベースの探索を行う必要があ
る。これは、相当な不必要な冗長性を含み、それは特定
のメッセージ中のすべてのパケットは、通常、同じ5−
タプルを有するためである。
【0020】たとえば、データファイルAは320パケ
ットに分割され、プロトコルXを使用し、ホストAから
ホストAポート20を経由して、ホストBのポート21
を経てホストBに転送されると仮定する。320パケッ
トのそれぞれのヘッダは、下記の5−タプルを含む。
【0021】A,20,B,21,X このようなパケットの第一パケットがダイナミックフィ
ルタに届くと、フィルタは一致するルールを求めてルー
ルベースを探索し、一致するルールが適用される。次の
パケットが届くと、ファイルは、再び同じ探索を実行
し、一致するルールを見出し、それが適用される。
【0022】この問題に対する公知の解決法は、最近処
理されたパケットのために、フィルタルールベースから
導出されたルールのショートリスト(キャッシュとして
知られる)を保持することである。キャッシュ内の各ル
ールは、キー(5−タプルのような)および動作を含む
キャッシュエントリを記憶し、所定のメッセージの形で
受け取られる第一パケットを求めるフィルタルールベー
ス全域の探索から導出される。パケットが受け取られる
と、キャッシュは、最初に、一致するエントリを求めて
探索される(たとえば、受領パケット識別データと一致
するキーを有するエントリを求めて)。これは、同じキ
ーを有する同じメッセージ中の次のパケットを求めてル
ールベースを探索することより、効率的である。キャッ
シュエントリが一致するときは、ルールベースを探索す
る必要なしに、エントリの動作がパケットに関して実行
される。言い換えれば、次のパケットは、本質上、メッ
セージの最初のパケットについて実施された探索から利
益を受ける。これによって、プロセッサ時間が節約さ
れ、またフィルタの処理能力が増加する。
【0023】この公知のキャッシング法は、固定され変
更できないルールベースを有する従来のスタティックフ
ィルタのために設計されていることに注意する必要があ
る。局所ルールが頻繁に変更されるダイナミックフィル
タのためのキャッシュについて、この方法を効果的に使
用することはできない。その理由は、この公知の方法に
よって、キャッシュエントリの通用を追跡し保証する手
段が、全く提供されないためである。言い換えれば、ダ
イナミックフィルタにおいては、エントリが導出される
ルールは頻繁に変化する場合がある。公知のキャッシン
グ方法によって、旧式のエントリがパケットに適用され
ないことを保証することはできない。従来のフィルタキ
ャッシュは、基礎となるルールベースに少しでも変化が
あるときは常に完全に空白とされ、その後、パケットが
受け取られフィルタされるときに、新ルールベースに従
って再構成される。これは非効率的であり、それは、極
めて大多数のキャッシュルールがルール変更によって影
響されず依然として正当である場合においても、キャッ
シュがフラッシュされるためであり、これが許容される
のは、従来のスタティックフィルタにおいてこのような
ルール変更が非常にまれに発生する場合のみである。
【0024】
【発明が解決しようとする課題】ルールベースが変更さ
れる度ごとに、ダイナミックフィルタに対するキャッシ
ュを空にすることは、局所ルールベースが非常に頻繁に
変更されるので、効率が悪く許容できない。ダイナミッ
クフィルタについて実現化される公知のキャッシュは、
極めて頻繁に再構築される必要があるので、フィルタに
関する効率の利益が、あったとしても、ほとんどなくな
る。
【0025】
【課題を解決するための手段】本発明は、「セッション
キャッシュ」と呼ばれ、キャッシュルールバージョンお
よびダイナミックフィルタルールバージョンを追跡する
ものであり、その方法は、旧式のキャッシュルールを検
出してメモリから削除(排出)し、呼び出されてパケッ
トに適用される前に更新し、一方、局所ルールベースの
変更による影響を受けないルールは手を付けずにキャッ
シュ内に残すことによる。
【0026】セッションキャッシュの各ルールは、セッ
ションエントリと呼ばれ、所定のパケットに関して行う
必要がある動作を決定するために使用されるダイナミッ
クフィルタルールベースの探索の結果から導出される。
たとえば、ルールベース探索の結果、所定のキー(たと
えば、5−タプル)を有するパケットに対して、ドロッ
プ動作を実施する必要があることが示される場合があ
る。次に、5−タプルが、「セッションキー」と呼ばれ
るセッションエントリの一部分としてキャッシュに追加
される。ドロップ動作は、そのセッションキーに対応す
る動作として記憶される。
【0027】ピアの局所ルールがフィルタに追加される
とき、およびフィルタから排出されるとき、局所ルール
ベースが変化する。セッションエントリが導出された局
所ルールベースが変化するとき、排出されるフィルタル
ールベースから導出されたセッションエントリは、旧式
となる。
【0028】本発明によれば、パケットに適用される前
にルールが導出されるルールベースの現在のバージョン
の代わりに、パケットの識別データ(たとえば、5−タ
プル)に一致する各セッションエントリの通用を検査す
るバージョントラッキングシステムが、有利に提供され
る。セッションエントリが更新される場合は、そのルー
ルが適用される。セッションエントリが旧式である場合
は、セッションエントリは排出され、フィルタルールベ
ースは一致するルールを求めて探索される。探索の結果
は、セッションキャッシュに記憶され、旧式ルールを代
替する。
【0029】本発明によれば、各フィルタ局所ルールベ
ースは、それがロードされる度ごとに増加されるバージ
ョン番号を有する。各セッションエントリはセッション
エントリバージョン番号を有し、この番号は、セッショ
ンエントリが導出される度ごとにフィルタ局所ルールベ
ースバージョン番号からコピーされる。本発明によれ
ば、パケットの5−タプルがセッションエントリのセッ
ションキーと一致するとき、セッションエントリバージ
ョン番号は、ルールが導出される局所ルールベースのバ
ージョン番号と照合される。これらが同じであるとき
は、セッションエントリは現在であり、その動作がパケ
ットに適用される。これらが一致しないときは、セッシ
ョンエントリは旧式であり、そのセッションキャッシュ
から排出される。次に、ルールベースは、パケットに一
致するルールを求めて探索される。
【0030】さらに、本発明によって、各セッションエ
ントリに対するルールフラグが提供され、このフラグに
よって、セッションエントリが導出されるフィルタルー
ルベースが識別される。
【0031】ルールフラグは、セッションエントリが、
フィルタの広域事前ベースまたは広域事後ベースから導
出されたことを示すことができる。局所ルールベースバ
ージョン番号と同様な方法で、各広域ルールベースはバ
ージョン番号を有し、好適には、広域ルールベースがロ
ードされたときに、導出される時刻または日付−時刻ス
タンプを有する。
【0032】セッションエントリのバージョン番号がエ
ントリが導出された広域ルールベースと一致しないとき
は、セッションキャッシュ全体が削除される(「フラッ
シュされる」)。広域ルールベースは非常に静的である
ので、セッションキャッシュが広域ルールベースの変化
のためにフラッシュされることは滅多にない。
【0033】ルールフラグが、セッションエントリが局
所ルールベースから導出されることを示し、各局所ルー
ルベースはピア−インおよびピア−アウトルールベース
を含むときは、セッションバージョン番号は適切な局所
ルールベースバージョン番号と照合される。関係するバ
ージョン番号が一致するときは、セッションエントリは
適用される。セッションバージョン番号が局所ルールベ
ースバージョン番号と一致しないときは、そのセッショ
ンエントリは排出され、新たに探索が実施される。
【0034】本発明によれば、旧式セッションキャッシ
ュルールは、呼び出されるとき(すなわち、パケット5
−タプルと一致することが見出されるとき)および旧式
であると認められるときのみ、有利にかつ効果的に排出
されて代替される。これは、ルールベースに関するいか
なる変更が実施されるときでも常にキャッシュ全体がフ
ラッシュされる公知の処理より、遥かに効果的である。
本発明によれば、局所ルールベースにおける変更は、セ
ッションキャッシュの対応するルールにのみ影響を与え
る。局所ルールベース変更によって影響を受けないセッ
ションエントリは、依然として正当であり、有利に保持
される。それ故、それらは公知のキャッシュの場合のよ
うに再導出される必要はないので、プロセッサ時間およ
びフィルタ資源が節約される。このことは、局所ルール
ベースが頻繁に変更されるダイナミックフィルタの場合
に、特に重要である。
【0035】要約すると、各セッションエントリは、セ
ッションキー、動作、セッションエントリが導出される
各局所ルールベースに対するセッションバージョン番
号、およびルールフラグを含む。
【0036】本発明によれば、フィルタがセッションエ
ントリのためのパケットを受け取り、セッションエント
リの5−タプルがパケットの5−タプルと一致しないと
き、セッションキャッシュは探索される。一致するセッ
ションエントリが見出されるときは、ルールフラグは、
セッションエントリが導出されるルールベースを識別す
る。フラグが局所ルールベースを識別すると、適切な局
所ルールベースバージョン番号がセッションエントリバ
ージョン番号と照合される。セッションバージョン番号
が関係するルールベースバージョン番号と一致するとき
は、セッションエントリ動作が実行される。セッション
バージョン番号が関係するルールベースバージョン番号
と一致しないときは、そのセッションエントリはセッシ
ョンキャッシュから排出され、フィルタルールベースは
一致するルールを求めて探索される。
【0037】同様に、一致するセッションキーが見出さ
れるときは、そのルールベースが一致するルールを求め
て探索される。次に、ルールベース探索に由来しパケッ
トのために規定される動作が、セッションキー(パケッ
ト5−タプルと等しい)、ルールベースバージョン番号
および更新されたルールフラグと共に、セッションキャ
ッシュに追加される。同時に、これらの要素は、セッシ
ョンエントリを含む。最後に、規定される動作が、パケ
ットについて実行される。
【0038】
【発明の実施の形態】図2に示すように、本発明による
セッションキャッシュ21は、少なくともひとつのセッ
ションエントリ22を含む。各セッションエントリ22
は、セッションキー23、セッション動作24、および
セッションエントリが導出された局所ルールベースバー
ジョン番号と一致するセッションエントリバージョン番
号25を含む。本発明の他の実施形態においては、エン
トリが導出された広域ルールベースに対応するセッショ
ンエントリバージョン番号が含まれる場合がある。ま
た、各セッションエントリは、どのフィルタルールベー
スからセッションエントリが導出されたかを示すルール
フラグ26を含む。たとえば、ルールフラグは、セッシ
ョンエントリが、広域事前ルールベース、特定の局所ル
ールベース、または広域事後ルールベースのどれから導
出されたかを示す。
【0039】ルールフラグデータ構造の実施形態は下記
の通りである。
【0040】 pf_from_rulebase_flags { flag from_global_pre_rulebase flag from_global_post_rulebase flag from_source_peer_rulebase flag from_destination_peer_rulebase } セッションキーデータ構造の実施形態は下記の通りであ
る。
【0041】 pf_session_key { ip_address source_address ip_address dest_address ip_port source_port ip_port dest_port ip_protocol purotocol } セッションエントリに関するデータ構造は下記の通りで
ある。
【0042】 pf_session { pf_session_key key // これは5−タプルである pf_action action // PASSまたはDROP pf_from_rulebase_flags rulebase_fla gs //エントリはどのルールベースから導出されたか integer global_pre_rulebase_versio n // セッションエントリバージョン番号 integer global_post_rulebase_versi on integer src_peer_rulebase_version integer dst_peer_rulebase_version } ここで、局所ルールベースバージョン番号は、本発明に
従って、ピア−インおよびピア−アウトバージョン番号
に論理上分割される。pf__session構造は、セ
ッションキャッシュに対する単独のエントリを記述す
る。セッションキャッシュは、その特定の時点における
活性状態のセッションの数に従属するpf__sessi
on構造の配列よりなる。
【0043】本発明によるセッションエントリの実施形
態を、図3に示す。セッションエントリ311は、ネッ
トワーク発信元アドレス313を含む5−タプルである
セッションキー312、発信元ポート314、ネットワ
ーク宛先315、宛先ポート316、およびプロトコル
識別子317を有する。また、セッションエントリ31
1は、ドロップセッション動作318、およびセッショ
ンエントリバージョン番号319を有する。セッション
エントリルールフラグ325は、広域事前ルールベース
321のための1ビット、ピア−インルールベース32
2のための1ビット、ピア−アウトルールベース323
のための1ビット、および広域事後ルールベース324
のための1ビットを有する。“0”は、セッションエン
トリが関係するルールベースから導出されないことを示
し、一方、“1”は、セッションエントリが関係するル
ールベースから導出されることを示す。
【0044】本発明によれば、パケットが受け取られる
と、セッションキャッシュは、パケットの5−タプルと
一致する5−タプルを有するセッションエントリを求め
て探索される。一致するルールが見出されると、ルール
フラグを使用してどのフィルタルールベースから一致す
るセッションエントリが導出されたかが識別される。
【0045】この処理の擬似コード実施形態は、下記の
通りである。
【0046】 stage1_processing() { 構造pf_session_keyによって記載されるように、IPヘッダi nfoをパケットから抽出しなさい ハッシングによって、インデックスを、pf_session_hash_t ableに入れなさい この特定のハッシュバケットに位置するいずれかのpf_session_k eyエントリを有するpf_session_keyの内容に対する一致を探し なさい (対応するルールベースの照会バージョン番号&&がpf_sessionの バージョン番号に等しい)ときは { pf_session構造の動作フィールドを続行しなさい リターン } (照会バージョン番号&&が等しくない)ときは { pf_sessionエントリをsession__cacheから削除 しなさい } ステージ2に進みなさい } ここで、stage1_processing()は、
パケット5−タプルと一致するセッションキーを有する
セッションエントリが存在する場合に使用される方法を
指す。ステージ2は、このような一致するセッションキ
ーが見出されない場合に実行される。
【0047】図3に示す本発明の実施形態においては、
5−タプルA、20、B、21、3を有するパケットが
セッションエントリに一致することが見出される。ルー
ルフラグ325(0100)は、ルールがピア−インル
ールベースから導出されたことを示す。
【0048】本発明によれば、ルールベースバージョン
テーブルは、フィルタ内に保持される。このようなテー
ブルに対するデータ構造の例は、下記の通りである。
【0049】 ハッシュインデックス セッションポインタ 1 pf_session* 2 pf_session* 3 pf_session* 4 pf_session* pf_session_hash_tableは、セッ
ションキャッシュ内のすべての活動状態のセッションを
記述する。ハッシュ機能は、pf_session構造
について評価され、テーブルのためのインデックス値を
生成する。次に、pf_session構造に対するポ
インタが、pf_session_hash_tabl
e配列中のインデックス位置に置かれる。
【0050】局所ルールベースのためのこのようなバー
ジョンテーブルの実施形態を、図4に41として示す。
ピアの局所ルールベースがフィルタにロードされると
き、ハッシュ機能hは、ピアのネットワークアドレスに
ついて実行される。図4において、h(A)42は、ネ
ットワークアドレスAを有するピアについて実行された
ハッシュ機能hの結果を表す。次に、バージョン番号
は、ハッシュされたピアネットワークアドレスに関連づ
けられる。バージョン番号の好適な実施形態は、日付−
時刻スタンプであり、ピアの局所ルールベースがロード
されたときに生成される。したがって、図4において、
バージョン番号09091532(43)は、ルールベ
ースが9月9日午後3時32分にロードされたことを表
し、h(A)に関連する。所定のピアに対するルールベ
ースがロードされる度ごとに、バージョンテーブルのバ
ージョン番号は新しい日付−時刻スタンプによって更新
される。したがって、ピアAが認証されなくなったとき
は、その局所ルールベースのバージョン番号09091
532は、フィルタから排出されることになる。ピアA
が後で再度認証されるときは、その局所ルールベースが
ロードされ、それがロードされた日付および時刻に対応
する新バージョン番号がh(A)42と関連することに
なる。
【0051】一致するセッションエントリがgloba
l_pre−rule baseまたはglobal_
post−rule baseから導出されたときは、
セッションエントリバージョン番号は、バージョンテー
ブルのルールベースバージョン番号と比較される。二つ
が異なるときは、セッションキャッシュはフラッシュさ
れる。これは、本発明の効率を著しく減じることにはな
らず、それは広域ルールベースは、特に局所ルールベー
ス、すなわち、ピア−インおよびピア−アウトルールベ
ースに比較して、比較的静的であり、変更されることが
滅多にないためである。
【0052】フラグが、一致するセッションエントリが
ピア−インまたはピア−アウトルールベースから導出さ
れたことを示す場合は、突き合わせるセッションエント
リバージョン番号は、バージョンテーブルに記憶される
関連する局所ルールベースバージョン番号と照合され
る。
【0053】本発明によれば、ルールフラグおよび突き
合わせるパケットの5−タプルを知ることのみによっ
て、どのルールベースからセッションエントリが導出さ
れたかを、決定することができる。これは、本発明の実
施形態の場合は、以下のように例証される。
【0054】ルールフラグ322は、本発明によるセッ
ションエントリがピア−インルールベースから導出され
たことを示す。これは、適用できるフィルタルールは、
保護されるピアに向かう情報の流れを統制することを示
す。一致するパケット5−タプルから、一致するパケッ
トはネットワークアドレスBを有するピア宛であること
を知ることできる。したがって、セッションエントリ
は、ピアBの局所ルールベースに由来するピア−インル
ールから導出された。ハッシュ機能は、パケットのネッ
トワーク宛先アドレスについて実行され、h(B)を生
成する。バージョンテーブルにおいてh(B)が指すバ
ージョン番号は、2である。これは、セッションエント
リピア−インバージョン番号319(図3)として記憶
されるピア−インバージョン番号と一致する。それ故、
図3に示すセッションエントリのドロップ動作は、パケ
ットについて実行される。
【0055】どのセッションエントリバージョン番号
も、その対応するフィルタ局所ルールベースバージョン
番号と一致しない場合は、セッションエントリは旧式で
あり、キャッシュから排出され、フィルタルールベース
が探索される。
【0056】たとえば、図3に示す実施形態のルールフ
ラグは0100と仮定すると、セッションエントリはピ
ア−アウトルールベースから導出され、ピア−アウトル
ールベースは保護されるピアからのパケットの流れを統
制することを示す。したがって、パケットネットワーク
発信元アドレスは、セッションエントリを導出するため
に使用された局所ルールベースを有するピアを示す。ハ
ッシュ機能hは、パケットネットワーク発信元アドレス
Aについて実行され、また、バージョンテーブルは、h
(A)が指すバージョン番号について検査される。図3
に示すように、h(A)は、バージョン番号3に対応す
る。図3に示すセッションエントリに記憶される局所ル
ールベースバージョン番号は、1であると仮定する。こ
のことは、ピアAルールベースは、図3に示すセッショ
ンエントリがルールベースから導出されてから2回更新
されたことを示す。それ故、ルールは旧式であり、排出
される。次に、フィルタルールベースが探索される。パ
ケットが受け取られ一致するセッションエントリがセッ
ションキャッシュに見出されない場合、または一致する
ルールが旧式であり排出されていることが見出される場
合は、フィルタルールベースが探索される。ひとつのフ
ィルタ実施形態においては、広域事前ルールベースが、
最初に探索される。一致するルールが見出されると、パ
ケットのセッションキーおよびルール動作がセッション
キャッシュに追加され、セッションエントリフラグが設
定され、バージョン番号が記憶され、またルール動作が
実行される。一致するルールが全く見出されない場合
は、ピア−インおよびピア−アウトルールが探索され
る。
【0057】最低ひとつの一致するピア−インまたはピ
ア−アウトルールの少なくとも一方が見出され、その動
作がドロップである場合は、パケットセッションキーお
よびドロップ動作が、セッションキャッシュ内のルール
ベースバージョン番号と共に、セッションエントリとし
て記憶される。また、ルールフラグも更新される。
【0058】すべての一致するピア−インおよびピア−
アウトルールがパスである場合は、パケットセッション
キーおよびパス動作が、セッションキャッシュ内のルー
ルベースバージョン番号と共に、セッションエントリと
して記憶される。ルールフラグも更新される。
【0059】一致するピア−インまたはピア−アウトル
ールが全く見出されない場合は、広域事後ルールベース
が探索される。一致するルールが見出される場合は、パ
ケットセッションキーおよび一致するルール動作が、ル
ールベースバージョン番号と共に、セッションエントリ
として記憶される。ルールフラグも更新される。
【0060】デフォルトルールは、広域事後ルールベー
スの一部分である。他のルールが全くパケットと一致し
ない場合は、パケットはデフォルトルールと照合され
る。パケットがデフォルトルールと一致する場合は、デ
フォルト動作がパケットについて実行される。パケット
がデフォルトルールと一致しない場合は、エラー状態が
生成される。
【0061】ルールベース探索のための擬似コードによ
る実施形態は、以下に示す通りである。
【0062】 stage2_processing(pf_session_key_*pk t) { g l o b a l_p r e_r u l e = search_rulebase(pf_global_pre_ruleba se,pkt) (global_pre_rule)の場合 { update_session_entry(pkt) perform_action(global_pre_rule−>a ction) リターン } source_hash_indx=hash(pkt−>source_ address) dest_hash_indx=hash(pkt−>dest_addr ess) source_peer=find_peer(source_hash_i ndx) dest_peer=find_peer(dest_hash_indx) (source_peer)の場合 { source_peer_rule=search_rulebase( source_peer−>out_rulebase,pkt) } (dest_peer)の場合 { dest_peer_rule=search_rulebase(de st_peer−>in_rulebase,pkt) } (source_peer_rule && source_peer_ru le−>action==DROP)の場合 { update_session_entry(pkt) perform_action(source_peer_rule−> action) リターン } (dest_peer_rule && dest_peer_rule−> action==DROP)の場合 { update_session_entry(pkt) perform_action(dest_peer_rule−>ac tion) リターン } (source_peer_rule && dest_peer_rule s && source_peer_rule−>action==PASS && dest_peer_rule−>action==PASS)の場合 { update_session_entry(pkt) perform_action(source_peer_rule−> action) リターン } (source_peer_rule && !dest_peer_rul e && source_peer_rule−>action==PASS) の場合 { update_session_entry(pkt) perform_action(source_peer_rule−> action) リターン } (!source_peer_rule && dest_peer_rul e && dest_peer_rule−>action==PASS)の場 合 { update_session_entry(pkt) perform_action(dest_peer_rule−>ac tion) リターン } g l o b a l_p o s t_r u l e = search_rulebase(pf_global_pre_ruleba se,pkt) (global_post_rule)の場合 { update_session_entry(pkt) perform_action(global_post_rule−> action) リターン } その他 { /* ERROR */ 本発明によるバージョントラッキングを有するセッショ
ンキャッシュは、セッションキャッシュにおいて正当な
ルールを保持し、そのルールはダイナミックフィルタに
記憶される局所ルールベースの変更によって影響を受け
ない。これによって、フィルタプロセッサの負担が軽減
され、処理能力が増加し、またその効率が向上する。
【0063】
【発明の効果】このように、本発明によれば、正当なル
ールは、キャッシュからフラッシュされず、その結果、
プロセッサ時間が節約され、フィルタ効率が改良され
る。
【図面の簡単な説明】
【図1】 二つのネットワーク間のフィルタの従来技術
による実施形態を示す図である。
【図2】 本発明によるセッションキャッシュを示す図
である。
【図3】 本発明によるセッションエントリを示す図で
ある。
【図4】 本発明によるフィルタルールベースバージョ
ンテーブルを示す図である。
【符号の説明】
10 企業ネットワーク、11,12,13 ピア、1
4 インタネット、15,16,17 ホスト、18
フィルタ、21 セッションキャッシュ、22,311
セッションエントリ、23,312 セッションキ
ー、24,318セッション動作、25,319 セッ
ションエントリバージョン番号、41バージョンテーブ
ル、42 ハッシュ機能、43 バージョン番号、31
3 値とワーク発信元アドレス、314 発信元ポー
ト、315 ネットワーク宛先、316 宛先ポート、
317 プロトコル識別子、321 広域事前ルールベ
ース、322 ピア−インルールベース、323 ピア
−アウトルールベース、324 広域事後ルールベー
ス、325 セッションエントリルールフラグ。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 パーサ ピー デュッタ アメリカ合衆国 カリフォルニア州 サン ジョゼ マリブ ドライブ 1164 (72)発明者 トーマス ビー ロンドン アメリカ合衆国 カリフォルニア州 マウ ンテン ビュー ラモス コート 2739 (72)発明者 ダリボア エフ バルサロビック アメリカ合衆国 カリフォルニア州 サニ ーベール カムサック コート 932 (72)発明者 カール エー シール アメリカ合衆国 ニュージャージー州 プ リンストン ブラックストーン ドライブ 22

Claims (22)

    【特許請求の範囲】
  1. 【請求項1】 ダイナミックフィルタのためのキャッシ
    ュであって、前記ダイナミックフィルタはルールベース
    に関連する少なくともひとつのルールベースバージョン
    番号を有するルールベースを含み、前記キャッシュは記
    憶媒体を備え、前記記憶媒体は、キャッシュキー、キャ
    ッシュ動作、およびキャッシュバージョン番号を有する
    キャッシュエントリの記憶を保持し、前記キャッシュエ
    ントリは前記ダイナミックフィルタのルールベース内の
    ルールから導出されることを特徴とするキャッシュ。
  2. 【請求項2】 請求項1に記載のキャッシュにおいて、
    前記キャッシュキーがネットワーク発信元アドレス、ネ
    ットワーク宛先アドレス、発信元ポート、宛先ポート、
    およびプロトコル標識であることを特徴とするキャッシ
    ュ。
  3. 【請求項3】 請求項1に記載のキャッシュにおいて、
    前記キャッシュキーが回路識別子であることを特徴とす
    るキャッシュ。
  4. 【請求項4】 請求項1に記載のキャッシュにおいて、
    前記キャッシュ動作がパス(PASS)またはドロップ
    (DROP)のいずれかであることを特徴とするキャッ
    シュ。
  5. 【請求項5】 請求項1に記載のキャッシュにおいて、
    前記キャッシュエントリがさらにどのルールベースから
    前記セッションエントリが導出されるかを示すルールベ
    ース標識を含むことを特徴とするキャッシュ。
  6. 【請求項6】 パケット識別データを有する情報のパケ
    ットを搬送するネットワーク上のピアレベルアクセス制
    御を提供するための方法であって、前記方法は、キャッ
    シュキー、キャッシュバージョン番号、キャッシュ動作
    およびルールベース標識を有するキャッシュエントリを
    記憶するキャッシュを有するダイナミックフィルタを使
    用し、前記キャッシュエントリは少なくともひとつのル
    ールから導出され少なくともひとつのルールベースのル
    ールキーおよびルール動作を有し、前記方法は、 a.パケットを受け取るステップと、 b.前記受領パケットの前記識別データに対応するキャ
    ッシュキーを有するキャッシュエントリを識別するため
    にキャッシュを探索するステップと、 c.対応するキャッシュエントリが識別される場合およ
    びキャッシュエントリのルールベース標識が前記キャッ
    シュエントリはそれに関連するルールベースバージョン
    番号を有するルールベースから導出されたことを示す場
    合は、 i.前記キャッシュエントリバージョン番号が、前記キ
    ャッシュエントリが導出された前記ルールベースの前記
    バージョン番号に対応するか否かを決定するステップ
    と、を含むことを特徴とする方法。
  7. 【請求項7】 請求項6に記載の方法において、ステッ
    プcはさらに、 ii.前記キャッシュエントリバージョン番号が前記キ
    ャッシュエントリが導出された前記ルールベースの前記
    バージョン番号に一致する場合は、前記一致するキャッ
    シュエントリのキャッシュ動作を実行するステップを含
    むことを特徴とする方法。
  8. 【請求項8】 請求項6に記載の方法において、ステッ
    プcはさらに、 ii.前記キャッシュエントリバージョン番号が前記キ
    ャッシュエントリが導出された前記ルールベースの前記
    バージョン番号と一致しない場合は、前記フィルタの少
    なくともひとつのルールベースを探索し前記受け取られ
    たパケットの前記識別データに一致する対応するルール
    を確認するステップと、 iii.対応するルールが確認される場合は、前記対応
    するルールの前記動作を実行するステップと、 iv.前記対応するルールから導出されるキャッシュエ
    ントリを記憶するステップとを含み、前記キャッシュエ
    ントリは、前記受領パケットの前記識別データと、前記
    対応するルールによって規定されステップiiiにおい
    て前記パケットについて実行される前記動作と、前記キ
    ャッシュエントリが導出された前記対応するルールの前
    記ルールベースを示すルールベース標識とを含むことを
    特徴とする方法。
  9. 【請求項9】 請求項8に記載の方法において、さら
    に、 v.ルールベースバージョン番号が前記対応するルール
    の前記ルールベースと対応づけられる場合は、前記ルー
    ルベースバージョン番号をステップivの前記キャッシ
    ュエントリの前記キャッシュエントリバージョン番号と
    して記憶するステップを含むことを特徴とする方法。
  10. 【請求項10】 請求項6に記載の方法において、さら
    に、 ii.前記ルールベース標識によって示されるように、
    前記キャッシュエントリバージョン番号が前記キャッシ
    ュエントリが導出された前記ルールの前記ルールベース
    の前記ルールベースバージョン番号と一致しない場合
    は、前記対応するキャッシュエントリを前記キャッシュ
    から排出するステップを含むことを特徴とする方法。
  11. 【請求項11】 請求項6に記載の方法において、一致
    するキャッシュエントリが確認される場合および前記ル
    ールベース標識が前記キャッシュエントリは広域ルール
    ベースのルールから導出されたことを示す場合は、さら
    に、 i.前記キャッシュエントリバージョン番号が前記キャ
    ッシュエントリが導出された前記ルールの前記広域ルー
    ルベースの前記広域ルールベースバージョン番号と一致
    するか否かを決定するステップと、 ii.前記キャッシュエントリバージョン番号が前記広
    域ルールベースバージョン番号と一致しない場合は、す
    べてのキャッシュエントリを前記キャッシュから削除す
    るステップと、を含むことを特徴とする方法。
  12. 【請求項12】 請求項11に記載の方法において、さ
    らに、 iii.前記キャッシュエントリバージョン番号が前記
    広域ルールベースバージョン番号と一致する場合は、前
    記キャッシュエントリの前記キャッシュ動作を実行する
    ステップを含むことを特徴とする方法。
  13. 【請求項13】 ダイナミックフィルタのためのキャッ
    シュであって、前記ダイナミックフィルタはルールベー
    ス内にルールを含み、前記キャッシュはキャッシュエン
    トリを有し、前記キャッシュは、 a.識別データを有するパケットを受け取るための手段
    と、 b.前記キャッシュを探索し前記受領パケットの前記識
    別データと一致するキャッシュエントリを確認するため
    の手段と、 c.前記キャッシュが導出された前記ルールベースの前
    記バージョン番号と一致するバージョン番号を有する、
    ステップbの対応するキャッシュエントリによって規定
    されるように、前記受領パケットに関する動作を実行す
    るための手段と、 d.対応するキャッシュエントリが全く存在しない場合
    または前記キャッシュエントリのバージョン番号が前記
    ルールが導出されたルールベースのバージョン番号と一
    致しない場合は、前記受領パケットの識別データと一致
    するルールによって規定されるように、前記受領パケッ
    トに関する動作を実行するための手段と、を備えること
    を特徴とするキャッシュ。
  14. 【請求項14】 請求項13に記載のキャッシュにおい
    て、さらに、 e.前記エントリが導出された前記ルールベースの前記
    バージョン番号と一致しないバージョン番号を有するキ
    ャッシュエントリを排出するための手段を備えることを
    特徴とするキャッシュ。
  15. 【請求項15】 請求項13に記載のキャッシュにおい
    て、さらに前記キャッシュは、 e.キャッシュエントリを記憶するための手段を備え、
    前記キャッシュエントリは、前記受領パケットの前記識
    別データと、ステップdにおいて前記パケットについて
    実行される前記動作と、どのルールベースから前記キャ
    ッシュエントリが導出されたかを示すルールベース標識
    とを含むことを特徴とするキャッシュ。
  16. 【請求項16】 請求項15に記載のキャッシュにおい
    て、さらに、 f.ルールベースバージョン番号が前記キャッシュが導
    出された前記ルールの前記ルールベースと対応づけられ
    る場合は、ステップeの前記キャッシュエントリの前記
    キャッシュエントリバージョン番号としてルールベース
    バージョン番号を記憶するための手段を備えることを特
    徴とするキャッシュ。
  17. 【請求項17】 その上に符号化されたコンピュータプ
    ログラムを有するコンピュータ読み取り可能媒体であっ
    て、 a.コンピュータネットワーク全域において識別データ
    を有するパケットを受け取るための第一プログラムセグ
    メントを有する前記媒体の第一部分と、 b.キャッシュを探索し、前記受領パケットの前記識別
    データに対応するキャッシュキーを有するキャッシュエ
    ントリを確認するための第二プログラムセグメントを有
    する前記媒体の第二部分と、 c.前記第二部分によって確認される対応するキャッシ
    ュエントリのキャッシュエントリバージョン番号が前記
    キャッシュが導出された前記ルールベースの前記バージ
    ョン番号と一致するか否かを決定するための第三プログ
    ラムセグメントを有する前記媒体の第三部分と、を含む
    ことを特徴とするコンピュータ読み取り可能媒体。
  18. 【請求項18】 請求項17に記載のキャッシュにおい
    て、さらに、 d.前記受領パケットの識別データに対応するキャッシ
    ュキーを有し、また前記キャッシュが導出された前記ル
    ールベースの前記バージョン番号と一致するキャッシュ
    エントリバージョン番号を有する対応するキャッシュエ
    ントリの動作を実行するための第四プログラムセグメン
    トを有する前記媒体の第四部分を含むことを特徴とする
    キャッシュ。
  19. 【請求項19】 請求項18に記載のキャッシュにおい
    て、さらに、 e.対応するキャッシュエントリが全く確認されなかっ
    た場合、または対応するキャッシュエントリの前記キャ
    ッシュエントリバージョン番号が前記キャッシュエント
    リが導出された前記ルールベースの前記バージョン番号
    と一致しない場合は、フィルタルールベースを探索し前
    記受領パケットの前記識別データに対応するルールキー
    を有するルールを識別するための第五プログラムセグメ
    ントを有する前記媒体の第五部分を含むことを特徴とす
    るキャッシュ。
  20. 【請求項20】 請求項19に記載のキャッシュにおい
    て、さらに、 f.前記媒体の前記第五部分によって識別される対応す
    るルールの前記動作を実行するための第六プログラムセ
    グメントを有する前記媒体の第六部分を含むことを特徴
    とするキャッシュ。
  21. 【請求項21】 請求項20に記載のキャッシュにおい
    て、さらに、 g.前記受領パケットの前記識別データと、対応するル
    ールによって規定され前記媒体の前記第六部分によって
    実行される前記動作と、前記キャッシュエントリが導出
    された対応するルールの前記ルールベースを示すルール
    ベース標識とを含むキャッシュエントリを記憶するため
    の第七プログラムセグメントを有する前記媒体の第七部
    分を含むことを特徴とするキャッシュ。
  22. 【請求項22】 請求項21に記載のキャッシュにおい
    て、さらに、 h.前記キャッシュエントリバージョン番号が前記キャ
    ッシュエントリが導出された前記ルールベースの前記バ
    ージョン番号と一致しない場合は、キャッシュエントリ
    を前記キャッシュから削除するための第八プログラムセ
    グメントを有する前記媒体の第八部分を含むことを特徴
    とするキャッシュ。
JP00218598A 1997-01-15 1998-01-08 ダイナミックフィルタのためのセッションキャッシュおよびルールキャッシング方法 Expired - Fee Related JP3875387B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/783,180 US6173364B1 (en) 1997-01-15 1997-01-15 Session cache and rule caching method for a dynamic filter
US08/783,180 1997-01-15

Publications (2)

Publication Number Publication Date
JPH10243028A true JPH10243028A (ja) 1998-09-11
JP3875387B2 JP3875387B2 (ja) 2007-01-31

Family

ID=25128432

Family Applications (1)

Application Number Title Priority Date Filing Date
JP00218598A Expired - Fee Related JP3875387B2 (ja) 1997-01-15 1998-01-08 ダイナミックフィルタのためのセッションキャッシュおよびルールキャッシング方法

Country Status (4)

Country Link
US (1) US6173364B1 (ja)
EP (1) EP0856974A3 (ja)
JP (1) JP3875387B2 (ja)
CA (1) CA2226647C (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086133A (ja) * 1999-09-14 2001-03-30 Hitachi Ltd 異種システムにおける連携管理方法及び連携管理システム
CN100399338C (zh) * 2002-06-26 2008-07-02 联想(北京)有限公司 一种数据记录处理方法
JP2009038555A (ja) * 2007-08-01 2009-02-19 Yamaha Corp ネットワーク機器
JP2012252589A (ja) * 2011-06-03 2012-12-20 Nec Corp フィルタ処理管理装置、フィルタ処理管理方法、フィルタ処理管理プログラム
US8593321B2 (en) 2008-09-26 2013-11-26 Sony Corporation Computation apparatus and method, quantization apparatus and method, and program
US8601039B2 (en) 2008-09-26 2013-12-03 Sony Corporation Computation apparatus and method, quantization apparatus and method, and program
US8825494B2 (en) 2008-09-05 2014-09-02 Sony Corporation Computation apparatus and method, quantization apparatus and method, audio encoding apparatus and method, and program
JPWO2015133448A1 (ja) * 2014-03-04 2017-04-06 日本電気株式会社 パケット処理装置、パケット処理方法およびプログラム

Families Citing this family (215)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6658565B1 (en) * 1998-06-01 2003-12-02 Sun Microsystems, Inc. Distributed filtering and monitoring system for a computer internetwork
US6745243B2 (en) * 1998-06-30 2004-06-01 Nortel Networks Limited Method and apparatus for network caching and load balancing
US6732187B1 (en) * 1999-09-24 2004-05-04 Cisco Technology, Inc. Opaque packet handles
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US7136926B1 (en) * 1998-12-31 2006-11-14 Pmc-Sierrra Us, Inc. Method and apparatus for high-speed network rule processing
US6654787B1 (en) * 1998-12-31 2003-11-25 Brightmail, Incorporated Method and apparatus for filtering e-mail
US6732149B1 (en) * 1999-04-09 2004-05-04 International Business Machines Corporation System and method for hindering undesired transmission or receipt of electronic messages
US6442653B1 (en) * 1999-06-24 2002-08-27 International Business Machines Corporation Data processing system, cache, and method that utilize a coherency state to indicate the latency of cached data
US6408362B1 (en) 1999-06-24 2002-06-18 International Business Machines Corporation Data processing system, cache, and method that select a castout victim in response to the latencies of memory copies of cached data
US6606659B1 (en) 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US6675223B1 (en) * 2000-04-10 2004-01-06 International Business Machines Corporation Method and apparatus for processing frames using static and dynamic classifiers
US6868450B1 (en) * 2000-05-17 2005-03-15 Hewlett-Packard Development Company, L.P. System and method for a process attribute based computer network filter
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
US7103677B2 (en) 2000-12-06 2006-09-05 Microsoft Corporation Methods and systems for efficiently processing compressed and uncompressed media content
US6959438B2 (en) 2000-12-06 2005-10-25 Microsoft Corporation Interface and related methods for dynamically generating a filter graph in a development system
US6912717B2 (en) 2000-12-06 2005-06-28 Microsoft Corporation Methods and systems for implementing dynamic properties on objects that support only static properties
US6961943B2 (en) * 2000-12-06 2005-11-01 Microsoft Corporation Multimedia processing system parsing multimedia content from a single source to minimize instances of source files
US7114162B2 (en) * 2000-12-06 2006-09-26 Microsoft Corporation System and methods for generating and managing filter strings in a filter graph
US6834390B2 (en) 2000-12-06 2004-12-21 Microsoft Corporation System and related interfaces supporting the processing of media content
US7114161B2 (en) 2000-12-06 2006-09-26 Microsoft Corporation System and related methods for reducing memory requirements of a media processing system
US6882891B2 (en) * 2000-12-06 2005-04-19 Microsoft Corporation Methods and systems for mixing digital audio signals
US7447754B2 (en) * 2000-12-06 2008-11-04 Microsoft Corporation Methods and systems for processing multi-media editing projects
US7287226B2 (en) * 2000-12-06 2007-10-23 Microsoft Corporation Methods and systems for effecting video transitions represented by bitmaps
US6954581B2 (en) * 2000-12-06 2005-10-11 Microsoft Corporation Methods and systems for managing multiple inputs and methods and systems for processing media content
US6983466B2 (en) 2000-12-06 2006-01-03 Microsoft Corporation Multimedia project processing systems and multimedia project processing matrix systems
US6774919B2 (en) * 2000-12-06 2004-08-10 Microsoft Corporation Interface and related methods for reducing source accesses in a development system
US6768499B2 (en) * 2000-12-06 2004-07-27 Microsoft Corporation Methods and systems for processing media content
FI20010256A0 (fi) 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US7194464B2 (en) 2001-12-07 2007-03-20 Websense, Inc. System and method for adapting an internet filter
DE60104876T2 (de) 2001-12-18 2004-12-23 Stonesoft Corp. Prüfung der Konfiguration einer Firewall
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
FR2838843B1 (fr) * 2002-04-23 2004-12-17 Cit Alcatel Dispositif d'adaptation dynamique de filtres de donnees
US6801528B2 (en) * 2002-07-03 2004-10-05 Ericsson Inc. System and method for dynamic simultaneous connection to multiple service providers
WO2004055632A2 (en) * 2002-12-13 2004-07-01 Wholesecurity, Inc. Method, system, and computer program product for security within a global computer network
US8145710B2 (en) * 2003-06-18 2012-03-27 Symantec Corporation System and method for filtering spam messages utilizing URL filtering module
US20050060372A1 (en) * 2003-08-27 2005-03-17 Debettencourt Jason Techniques for filtering data from a data stream of a web services application
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7571242B2 (en) * 2003-10-24 2009-08-04 Alcatel Lucent Method for accelerated packet processing
US7941490B1 (en) 2004-05-11 2011-05-10 Symantec Corporation Method and apparatus for detecting spam in email messages and email attachments
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418108B (en) * 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418999A (en) * 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
US7508771B2 (en) * 2005-04-01 2009-03-24 International Business Machines Corporation Method for reducing latency in a host ethernet adapter (HEA)
US8135778B1 (en) 2005-04-27 2012-03-13 Symantec Corporation Method and apparatus for certifying mass emailings
US8010609B2 (en) 2005-06-20 2011-08-30 Symantec Corporation Method and apparatus for maintaining reputation lists of IP addresses to detect email spam
US7739337B1 (en) 2005-06-20 2010-06-15 Symantec Corporation Method and apparatus for grouping spam email messages
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8020206B2 (en) * 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US20080126352A1 (en) * 2006-09-27 2008-05-29 Rockwell Automation Technologies, Inc. Client side state cache for industrial control systems
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2445764A (en) * 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US8619766B2 (en) * 2007-03-02 2013-12-31 At&T Intellectual Property Ii, L.P. Method and apparatus for classifying packets
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8806601B2 (en) 2008-02-29 2014-08-12 International Business Machines Corporation Non-interactive entity application proxy method and system
US8930550B2 (en) 2008-03-11 2015-01-06 International Business Machines Corporation Selectable non-interactive entity application proxy method and system
US8176540B2 (en) * 2008-03-11 2012-05-08 International Business Machines Corporation Resource based non-interactive entity application proxy method and system
US9456054B2 (en) 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US8479192B2 (en) * 2008-06-27 2013-07-02 Xerox Corporation Dynamic XPS filter
WO2010002816A1 (en) * 2008-06-30 2010-01-07 Websense, Inc. System and method for dynamic and real-time categorization of webpages
US20100228962A1 (en) * 2009-03-09 2010-09-09 Microsoft Corporation Offloading cryptographic protection processing
AU2010254269A1 (en) * 2009-05-26 2011-12-22 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US8923293B2 (en) 2009-10-21 2014-12-30 Palo Alto Research Center Incorporated Adaptive multi-interface use for content networking
US8375436B2 (en) * 2010-04-22 2013-02-12 Palo Alto Research Center Incorporated Session migration over content-centric networks
US8627448B2 (en) * 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
US8949413B2 (en) * 2011-06-30 2015-02-03 Juniper Networks, Inc. Filter selection and resuse
CN103036794A (zh) * 2011-10-10 2013-04-10 华为技术有限公司 一种报文的学习方法、装置和系统
US9055557B1 (en) 2012-03-26 2015-06-09 Juniper Networks, Inc. Policy and charging control rule programming and lookup in wireless connectivity access networks
EP2693717B1 (en) * 2012-07-29 2015-05-06 Verint Systems Limited System and method of high volume rule engine related applications
US9280546B2 (en) 2012-10-31 2016-03-08 Palo Alto Research Center Incorporated System and method for accessing digital content using a location-independent name
US9400800B2 (en) 2012-11-19 2016-07-26 Palo Alto Research Center Incorporated Data transport by named content synchronization
KR101558054B1 (ko) * 2012-11-19 2015-10-06 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 패킷 처리 방법
US10430839B2 (en) 2012-12-12 2019-10-01 Cisco Technology, Inc. Distributed advertisement insertion in content-centric networks
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
US9978025B2 (en) 2013-03-20 2018-05-22 Cisco Technology, Inc. Ordered-element naming for name-based packet forwarding
US9935791B2 (en) 2013-05-20 2018-04-03 Cisco Technology, Inc. Method and system for name resolution across heterogeneous architectures
US9185120B2 (en) 2013-05-23 2015-11-10 Palo Alto Research Center Incorporated Method and system for mitigating interest flooding attacks in content-centric networks
US9444722B2 (en) 2013-08-01 2016-09-13 Palo Alto Research Center Incorporated Method and apparatus for configuring routing paths in a custodian-based routing architecture
US9407549B2 (en) 2013-10-29 2016-08-02 Palo Alto Research Center Incorporated System and method for hash-based forwarding of packets with hierarchically structured variable-length identifiers
US9282050B2 (en) 2013-10-30 2016-03-08 Palo Alto Research Center Incorporated System and method for minimum path MTU discovery in content centric networks
US9276840B2 (en) 2013-10-30 2016-03-01 Palo Alto Research Center Incorporated Interest messages with a payload for a named data network
US9401864B2 (en) 2013-10-31 2016-07-26 Palo Alto Research Center Incorporated Express header for packets with hierarchically structured variable-length identifiers
US10129365B2 (en) 2013-11-13 2018-11-13 Cisco Technology, Inc. Method and apparatus for pre-fetching remote content based on static and dynamic recommendations
US9311377B2 (en) 2013-11-13 2016-04-12 Palo Alto Research Center Incorporated Method and apparatus for performing server handoff in a name-based content distribution system
US10101801B2 (en) 2013-11-13 2018-10-16 Cisco Technology, Inc. Method and apparatus for prefetching content in a data stream
US10089655B2 (en) 2013-11-27 2018-10-02 Cisco Technology, Inc. Method and apparatus for scalable data broadcasting
US9503358B2 (en) 2013-12-05 2016-11-22 Palo Alto Research Center Incorporated Distance-based routing in an information-centric network
US9379979B2 (en) 2014-01-14 2016-06-28 Palo Alto Research Center Incorporated Method and apparatus for establishing a virtual interface for a set of mutual-listener devices
US10172068B2 (en) 2014-01-22 2019-01-01 Cisco Technology, Inc. Service-oriented routing in software-defined MANETs
US10098051B2 (en) 2014-01-22 2018-10-09 Cisco Technology, Inc. Gateways and routing in software-defined manets
US9374304B2 (en) 2014-01-24 2016-06-21 Palo Alto Research Center Incorporated End-to end route tracing over a named-data network
US9954678B2 (en) 2014-02-06 2018-04-24 Cisco Technology, Inc. Content-based transport security
US9531679B2 (en) 2014-02-06 2016-12-27 Palo Alto Research Center Incorporated Content-based transport security for distributed producers
US9678998B2 (en) 2014-02-28 2017-06-13 Cisco Technology, Inc. Content name resolution for information centric networking
US10089651B2 (en) 2014-03-03 2018-10-02 Cisco Technology, Inc. Method and apparatus for streaming advertisements in a scalable data broadcasting system
US9836540B2 (en) 2014-03-04 2017-12-05 Cisco Technology, Inc. System and method for direct storage access in a content-centric network
US9626413B2 (en) 2014-03-10 2017-04-18 Cisco Systems, Inc. System and method for ranking content popularity in a content-centric network
US9391896B2 (en) 2014-03-10 2016-07-12 Palo Alto Research Center Incorporated System and method for packet forwarding using a conjunctive normal form strategy in a content-centric network
US9473405B2 (en) 2014-03-10 2016-10-18 Palo Alto Research Center Incorporated Concurrent hashes and sub-hashes on data streams
US9407432B2 (en) 2014-03-19 2016-08-02 Palo Alto Research Center Incorporated System and method for efficient and secure distribution of digital content
US9916601B2 (en) 2014-03-21 2018-03-13 Cisco Technology, Inc. Marketplace for presenting advertisements in a scalable data broadcasting system
US9363179B2 (en) 2014-03-26 2016-06-07 Palo Alto Research Center Incorporated Multi-publisher routing protocol for named data networks
US9363086B2 (en) 2014-03-31 2016-06-07 Palo Alto Research Center Incorporated Aggregate signing of data in content centric networking
US9716622B2 (en) 2014-04-01 2017-07-25 Cisco Technology, Inc. System and method for dynamic name configuration in content-centric networks
US10075521B2 (en) 2014-04-07 2018-09-11 Cisco Technology, Inc. Collection synchronization using equality matched network names
US9390289B2 (en) 2014-04-07 2016-07-12 Palo Alto Research Center Incorporated Secure collection synchronization using matched network names
US9473576B2 (en) 2014-04-07 2016-10-18 Palo Alto Research Center Incorporated Service discovery using collection synchronization with exact names
US9451032B2 (en) 2014-04-10 2016-09-20 Palo Alto Research Center Incorporated System and method for simple service discovery in content-centric networks
US9203885B2 (en) 2014-04-28 2015-12-01 Palo Alto Research Center Incorporated Method and apparatus for exchanging bidirectional streams over a content centric network
US9992281B2 (en) 2014-05-01 2018-06-05 Cisco Technology, Inc. Accountable content stores for information centric networks
US9609014B2 (en) 2014-05-22 2017-03-28 Cisco Systems, Inc. Method and apparatus for preventing insertion of malicious content at a named data network router
US9455835B2 (en) 2014-05-23 2016-09-27 Palo Alto Research Center Incorporated System and method for circular link resolution with hash-based names in content-centric networks
US9276751B2 (en) 2014-05-28 2016-03-01 Palo Alto Research Center Incorporated System and method for circular link resolution with computable hash-based names in content-centric networks
US9467377B2 (en) 2014-06-19 2016-10-11 Palo Alto Research Center Incorporated Associating consumer states with interests in a content-centric network
US9537719B2 (en) 2014-06-19 2017-01-03 Palo Alto Research Center Incorporated Method and apparatus for deploying a minimal-cost CCN topology
US9516144B2 (en) 2014-06-19 2016-12-06 Palo Alto Research Center Incorporated Cut-through forwarding of CCNx message fragments with IP encapsulation
US9426113B2 (en) 2014-06-30 2016-08-23 Palo Alto Research Center Incorporated System and method for managing devices over a content centric network
US9699198B2 (en) 2014-07-07 2017-07-04 Cisco Technology, Inc. System and method for parallel secure content bootstrapping in content-centric networks
US9959156B2 (en) 2014-07-17 2018-05-01 Cisco Technology, Inc. Interest return control message
US9621354B2 (en) 2014-07-17 2017-04-11 Cisco Systems, Inc. Reconstructable content objects
US9729616B2 (en) 2014-07-18 2017-08-08 Cisco Technology, Inc. Reputation-based strategy for forwarding and responding to interests over a content centric network
US9590887B2 (en) 2014-07-18 2017-03-07 Cisco Systems, Inc. Method and system for keeping interest alive in a content centric network
US9535968B2 (en) 2014-07-21 2017-01-03 Palo Alto Research Center Incorporated System for distributing nameless objects using self-certifying names
US9882964B2 (en) 2014-08-08 2018-01-30 Cisco Technology, Inc. Explicit strategy feedback in name-based forwarding
US9729662B2 (en) 2014-08-11 2017-08-08 Cisco Technology, Inc. Probabilistic lazy-forwarding technique without validation in a content centric network
US9503365B2 (en) 2014-08-11 2016-11-22 Palo Alto Research Center Incorporated Reputation-based instruction processing over an information centric network
US9391777B2 (en) 2014-08-15 2016-07-12 Palo Alto Research Center Incorporated System and method for performing key resolution over a content centric network
US9800637B2 (en) 2014-08-19 2017-10-24 Cisco Technology, Inc. System and method for all-in-one content stream in content-centric networks
US9467492B2 (en) 2014-08-19 2016-10-11 Palo Alto Research Center Incorporated System and method for reconstructable all-in-one content stream
US9497282B2 (en) 2014-08-27 2016-11-15 Palo Alto Research Center Incorporated Network coding for content-centric network
US10204013B2 (en) 2014-09-03 2019-02-12 Cisco Technology, Inc. System and method for maintaining a distributed and fault-tolerant state over an information centric network
US9553812B2 (en) 2014-09-09 2017-01-24 Palo Alto Research Center Incorporated Interest keep alives at intermediate routers in a CCN
US10069933B2 (en) 2014-10-23 2018-09-04 Cisco Technology, Inc. System and method for creating virtual interfaces based on network characteristics
US9536059B2 (en) 2014-12-15 2017-01-03 Palo Alto Research Center Incorporated Method and system for verifying renamed content using manifests in a content centric network
US9590948B2 (en) 2014-12-15 2017-03-07 Cisco Systems, Inc. CCN routing using hardware-assisted hash tables
US10237189B2 (en) 2014-12-16 2019-03-19 Cisco Technology, Inc. System and method for distance-based interest forwarding
US9846881B2 (en) 2014-12-19 2017-12-19 Palo Alto Research Center Incorporated Frugal user engagement help systems
US10003520B2 (en) 2014-12-22 2018-06-19 Cisco Technology, Inc. System and method for efficient name-based content routing using link-state information in information-centric networks
US9473475B2 (en) 2014-12-22 2016-10-18 Palo Alto Research Center Incorporated Low-cost authenticated signing delegation in content centric networking
US9660825B2 (en) 2014-12-24 2017-05-23 Cisco Technology, Inc. System and method for multi-source multicasting in content-centric networks
US9916457B2 (en) 2015-01-12 2018-03-13 Cisco Technology, Inc. Decoupled name security binding for CCN objects
US9602596B2 (en) 2015-01-12 2017-03-21 Cisco Systems, Inc. Peer-to-peer sharing in a content centric network
US9954795B2 (en) 2015-01-12 2018-04-24 Cisco Technology, Inc. Resource allocation using CCN manifests
US9946743B2 (en) 2015-01-12 2018-04-17 Cisco Technology, Inc. Order encoded manifests in a content centric network
US9832291B2 (en) 2015-01-12 2017-11-28 Cisco Technology, Inc. Auto-configurable transport stack
US9462006B2 (en) 2015-01-21 2016-10-04 Palo Alto Research Center Incorporated Network-layer application-specific trust model
US9552493B2 (en) 2015-02-03 2017-01-24 Palo Alto Research Center Incorporated Access control framework for information centric networking
US10333840B2 (en) 2015-02-06 2019-06-25 Cisco Technology, Inc. System and method for on-demand content exchange with adaptive naming in information-centric networks
US10075401B2 (en) 2015-03-18 2018-09-11 Cisco Technology, Inc. Pending interest table behavior
US10116605B2 (en) 2015-06-22 2018-10-30 Cisco Technology, Inc. Transport stack name scheme and identity management
US10075402B2 (en) 2015-06-24 2018-09-11 Cisco Technology, Inc. Flexible command and control in content centric networks
US10701038B2 (en) 2015-07-27 2020-06-30 Cisco Technology, Inc. Content negotiation in a content centric network
US9986034B2 (en) 2015-08-03 2018-05-29 Cisco Technology, Inc. Transferring state in content centric network stacks
US10610144B2 (en) 2015-08-19 2020-04-07 Palo Alto Research Center Incorporated Interactive remote patient monitoring and condition management intervention system
US9832123B2 (en) 2015-09-11 2017-11-28 Cisco Technology, Inc. Network named fragments in a content centric network
US10355999B2 (en) 2015-09-23 2019-07-16 Cisco Technology, Inc. Flow control with network named fragments
US9977809B2 (en) 2015-09-24 2018-05-22 Cisco Technology, Inc. Information and data framework in a content centric network
US10313227B2 (en) 2015-09-24 2019-06-04 Cisco Technology, Inc. System and method for eliminating undetected interest looping in information-centric networks
US10454820B2 (en) 2015-09-29 2019-10-22 Cisco Technology, Inc. System and method for stateless information-centric networking
US10263965B2 (en) 2015-10-16 2019-04-16 Cisco Technology, Inc. Encrypted CCNx
US9794238B2 (en) 2015-10-29 2017-10-17 Cisco Technology, Inc. System for key exchange in a content centric network
US10009446B2 (en) 2015-11-02 2018-06-26 Cisco Technology, Inc. Header compression for CCN messages using dictionary learning
US9807205B2 (en) 2015-11-02 2017-10-31 Cisco Technology, Inc. Header compression for CCN messages using dictionary
US10021222B2 (en) 2015-11-04 2018-07-10 Cisco Technology, Inc. Bit-aligned header compression for CCN messages using dictionary
US10097521B2 (en) 2015-11-20 2018-10-09 Cisco Technology, Inc. Transparent encryption in a content centric network
US9912776B2 (en) 2015-12-02 2018-03-06 Cisco Technology, Inc. Explicit content deletion commands in a content centric network
US10097346B2 (en) 2015-12-09 2018-10-09 Cisco Technology, Inc. Key catalogs in a content centric network
US10078062B2 (en) 2015-12-15 2018-09-18 Palo Alto Research Center Incorporated Device health estimation by combining contextual information with sensor data
US10536549B2 (en) * 2015-12-15 2020-01-14 Nxp Usa, Inc. Method and apparatus to accelerate session creation using historical session cache
US10257271B2 (en) 2016-01-11 2019-04-09 Cisco Technology, Inc. Chandra-Toueg consensus in a content centric network
US9949301B2 (en) 2016-01-20 2018-04-17 Palo Alto Research Center Incorporated Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks
US10305864B2 (en) 2016-01-25 2019-05-28 Cisco Technology, Inc. Method and system for interest encryption in a content centric network
US10043016B2 (en) 2016-02-29 2018-08-07 Cisco Technology, Inc. Method and system for name encryption agreement in a content centric network
US10051071B2 (en) 2016-03-04 2018-08-14 Cisco Technology, Inc. Method and system for collecting historical network information in a content centric network
US10003507B2 (en) 2016-03-04 2018-06-19 Cisco Technology, Inc. Transport session state protocol
US10742596B2 (en) 2016-03-04 2020-08-11 Cisco Technology, Inc. Method and system for reducing a collision probability of hash-based names using a publisher identifier
US10038633B2 (en) 2016-03-04 2018-07-31 Cisco Technology, Inc. Protocol to query for historical network information in a content centric network
US9832116B2 (en) 2016-03-14 2017-11-28 Cisco Technology, Inc. Adjusting entries in a forwarding information base in a content centric network
US10212196B2 (en) 2016-03-16 2019-02-19 Cisco Technology, Inc. Interface discovery and authentication in a name-based network
US10067948B2 (en) 2016-03-18 2018-09-04 Cisco Technology, Inc. Data deduping in content centric networking manifests
US11436656B2 (en) 2016-03-18 2022-09-06 Palo Alto Research Center Incorporated System and method for a real-time egocentric collaborative filter on large datasets
US10091330B2 (en) 2016-03-23 2018-10-02 Cisco Technology, Inc. Interest scheduling by an information and data framework in a content centric network
US10033639B2 (en) 2016-03-25 2018-07-24 Cisco Technology, Inc. System and method for routing packets in a content centric network using anonymous datagrams
US10320760B2 (en) 2016-04-01 2019-06-11 Cisco Technology, Inc. Method and system for mutating and caching content in a content centric network
US9930146B2 (en) 2016-04-04 2018-03-27 Cisco Technology, Inc. System and method for compressing content centric networking messages
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
US10027578B2 (en) 2016-04-11 2018-07-17 Cisco Technology, Inc. Method and system for routable prefix queries in a content centric network
US10404450B2 (en) 2016-05-02 2019-09-03 Cisco Technology, Inc. Schematized access control in a content centric network
US10320675B2 (en) 2016-05-04 2019-06-11 Cisco Technology, Inc. System and method for routing packets in a stateless content centric network
US10547589B2 (en) 2016-05-09 2020-01-28 Cisco Technology, Inc. System for implementing a small computer systems interface protocol over a content centric network
US10084764B2 (en) 2016-05-13 2018-09-25 Cisco Technology, Inc. System for a secure encryption proxy in a content centric network
US10063414B2 (en) 2016-05-13 2018-08-28 Cisco Technology, Inc. Updating a transport stack in a content centric network
US10103989B2 (en) 2016-06-13 2018-10-16 Cisco Technology, Inc. Content object return messages in a content centric network
US10305865B2 (en) 2016-06-21 2019-05-28 Cisco Technology, Inc. Permutation-based content encryption with manifests in a content centric network
US10148572B2 (en) 2016-06-27 2018-12-04 Cisco Technology, Inc. Method and system for interest groups in a content centric network
US10009266B2 (en) 2016-07-05 2018-06-26 Cisco Technology, Inc. Method and system for reference counted pending interest tables in a content centric network
US9992097B2 (en) 2016-07-11 2018-06-05 Cisco Technology, Inc. System and method for piggybacking routing information in interests in a content centric network
US10122624B2 (en) 2016-07-25 2018-11-06 Cisco Technology, Inc. System and method for ephemeral entries in a forwarding information base in a content centric network
US10069729B2 (en) 2016-08-08 2018-09-04 Cisco Technology, Inc. System and method for throttling traffic based on a forwarding information base in a content centric network
US10956412B2 (en) 2016-08-09 2021-03-23 Cisco Technology, Inc. Method and system for conjunctive normal form attribute matching in a content centric network
US10033642B2 (en) 2016-09-19 2018-07-24 Cisco Technology, Inc. System and method for making optimal routing decisions based on device-specific parameters in a content centric network
US10212248B2 (en) 2016-10-03 2019-02-19 Cisco Technology, Inc. Cache management on high availability routers in a content centric network
US10447805B2 (en) 2016-10-10 2019-10-15 Cisco Technology, Inc. Distributed consensus in a content centric network
US10135948B2 (en) 2016-10-31 2018-11-20 Cisco Technology, Inc. System and method for process migration in a content centric network
US10243851B2 (en) 2016-11-21 2019-03-26 Cisco Technology, Inc. System and method for forwarder connection information in a content centric network
CN115225370B (zh) * 2022-07-18 2023-11-10 北京天融信网络安全技术有限公司 一种规则库优化方法、装置、电子设备及存储介质

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5274631A (en) * 1991-03-11 1993-12-28 Kalpana, Inc. Computer network switching system
US5649095A (en) * 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5515376A (en) * 1993-07-19 1996-05-07 Alantec, Inc. Communication apparatus and methods
US5473607A (en) * 1993-08-09 1995-12-05 Grand Junction Networks, Inc. Packet filtering for data networks
US5668809A (en) * 1993-10-20 1997-09-16 Lsi Logic Corporation Single chip network hub with dynamic window filter
WO1996005549A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
US5781549A (en) * 1996-02-23 1998-07-14 Allied Telesyn International Corp. Method and apparatus for switching data packets in a data network
US5835950A (en) * 1996-07-12 1998-11-10 Samsung Electronics Co., Ltd. Self-invalidation method for reducing coherence overheads in a bus-based shared-memory multiprocessor apparatus

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001086133A (ja) * 1999-09-14 2001-03-30 Hitachi Ltd 異種システムにおける連携管理方法及び連携管理システム
CN100399338C (zh) * 2002-06-26 2008-07-02 联想(北京)有限公司 一种数据记录处理方法
JP2009038555A (ja) * 2007-08-01 2009-02-19 Yamaha Corp ネットワーク機器
US8825494B2 (en) 2008-09-05 2014-09-02 Sony Corporation Computation apparatus and method, quantization apparatus and method, audio encoding apparatus and method, and program
US8593321B2 (en) 2008-09-26 2013-11-26 Sony Corporation Computation apparatus and method, quantization apparatus and method, and program
US8601039B2 (en) 2008-09-26 2013-12-03 Sony Corporation Computation apparatus and method, quantization apparatus and method, and program
JP2012252589A (ja) * 2011-06-03 2012-12-20 Nec Corp フィルタ処理管理装置、フィルタ処理管理方法、フィルタ処理管理プログラム
JPWO2015133448A1 (ja) * 2014-03-04 2017-04-06 日本電気株式会社 パケット処理装置、パケット処理方法およびプログラム
US10284478B2 (en) 2014-03-04 2019-05-07 Nec Corporation Packet processing device, packet processing method and program

Also Published As

Publication number Publication date
EP0856974A2 (en) 1998-08-05
EP0856974A3 (en) 2001-11-14
CA2226647C (en) 2002-07-02
US6173364B1 (en) 2001-01-09
JP3875387B2 (ja) 2007-01-31
CA2226647A1 (en) 1998-07-15

Similar Documents

Publication Publication Date Title
JPH10243028A (ja) ダイナミックフィルタのためのセッションキャッシュおよびルールキャッシング方法
US6574666B1 (en) System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
JP3814068B2 (ja) ネットワークにおいてピアレベルアクセス制御を提供するためのシステムおよび方法
US6170012B1 (en) Methods and apparatus for a computer network firewall with cache query processing
EP0909074B1 (en) Methods and apparatus for a computer network firewall with multiple domain support
EP1966977B1 (en) Method and system for secure communication between a public network and a local network
JP3464610B2 (ja) パケット検証方法
US6826694B1 (en) High resolution access control
US6738862B1 (en) Block mask ternary CAM
Gupta et al. Packet classification on multiple fields
US7571156B1 (en) Network device, storage medium and methods for incrementally updating a forwarding database
US7269663B2 (en) Tagging packets with a lookup key to facilitate usage of a unified packet forwarding cache
US20020016826A1 (en) Firewall apparatus and method of controlling network data packet traffic between internal and external networks
US6700891B1 (en) Apparatus and method for providing a device level security mechanism in a network
US8239341B2 (en) Method and apparatus for pattern matching
US7624226B1 (en) Network search engine (NSE) and method for performing interval location using prefix matching
US8307415B2 (en) Safe hashing for network traffic
US8806059B1 (en) Rule tree for network device
MXPA98000356A (en) Cache of session and method of storage of rules in high speed memory, for a dinam filter
JP2004104739A (ja) ウィルス及びハッカー侵入防止機構のためのシステム、侵入防止方法および情報処理装置
US20230353538A1 (en) System and method for utilization of firewall policies for network security
US20230164118A1 (en) System and method for utilization of firewall policies for network security
CN117201640A (zh) 处理报文的方法、通信装置及通信系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050104

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060523

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060817

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20061003

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20061026

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091102

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101102

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111102

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees