CN100474861C - 用户住宅设备中过滤因特网协议分组的方法及装置 - Google Patents
用户住宅设备中过滤因特网协议分组的方法及装置 Download PDFInfo
- Publication number
- CN100474861C CN100474861C CNB021275939A CN02127593A CN100474861C CN 100474861 C CN100474861 C CN 100474861C CN B021275939 A CNB021275939 A CN B021275939A CN 02127593 A CN02127593 A CN 02127593A CN 100474861 C CN100474861 C CN 100474861C
- Authority
- CN
- China
- Prior art keywords
- internet protocol
- ethernet
- address
- digital subscriber
- protocol address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000001914 filtration Methods 0.000 title claims abstract description 25
- 230000000903 blocking effect Effects 0.000 claims abstract description 4
- 238000001514 detection method Methods 0.000 claims description 18
- 238000013508 migration Methods 0.000 claims description 18
- 230000005012 migration Effects 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000011017 operating method Methods 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明包括一种用于通过在桥接模式下在连接在个人计算机(PC)和数字用户线路(xDSL)之间的用户住宅设备中过滤因特网协议分组来防止任何外部侵入者的方法。为此,本发明提供了包括下列步骤的方法:在一计算机的用户通过xDSL访问因特网的时候,通过分析要发送到另一方的因特网协议分组来检测一个目的IP地址;向预定的容限表登记所述目的IP地址;在通过xDSL接收到IP分组的时候,检IP分组的一个源IP地址;和检查是否所述源IP地址被按时登记到容限表,用于仅仅在已经登记了所述源IP地址的时候通过PC传送相应的IP分组,并用于如果未登记所述源IP地址则阻塞相应的IP分组。
Description
本申请参考下面的申请、在此将其并入和请求在35 U.S.C.§119下从该申请产生的所有利益:2001年8月29日向韩国工业产权办公室提交的、并在该处分配了序号52316/2001的、题目为“在用于数字用户线路的用户住宅设备中过滤因特网协议分组的方法”的我的申请。
技术领域
本发明涉及连接在个人计算机(即“PC”)和数字用户线路(即“DSL”)之间的用户住宅设备(即“CPE”),更具体而言,涉及一种用于在用于数字用户线路的用户住宅设备中过滤因特网协议(即“IP”)分组的方法。
背景技术
一般,DSL,也被称为“xDSL”,是高速调制解调器技术,该技术已经被持续开发用于满足超快速因特网连接的大规模市场企业的不断增长的需要。换句话说,DSL是一种使用以往的双绞线的公共数据网络服务,用于支持在有限距离内的带宽。xDSL是各种DSL服务的一般名称,例如异步数字用户线路(即“ADSL”)、高比特率数字用户线路(即“HDSL”)、单线数字用户线路(即“SDSL”)、单对高速数字用户线路(即“SHDSL”)、通用数字用户线路(即“UDSL”)或极高数据率数字用户线路(即“VDSL”)。一种ADSL系统作为在相关技术中的一种示范的xDSL包括:位于中心办公室的中心ADSL收发机单元(即“ATU-C”)和对应于用户住宅设备(即“CPE”)的位于用户区域的远程ADSL收发机单元(即“ATU-R”),它们利用传统的双绞线通过ADSL相互连接。ATU-R随后通过以太网链路连接到一个人计算机(即“PC”)。最后,PC用户经由ADSL和ATU-C通过ATU-R连接到诸如因特网的网络。
另一方面,ATU-R可以用于或者一种IP路由模式或者一种桥接模式,但是在大多数情况下,使用桥接模式。以前,ATU-R被用于分析仅仅在路由模式中从PC收发的IP分组和用于按照过滤规则来控制IP分组。也就是说,ATU-R可以在仅仅IP路由模式中操作IP分组过滤,因此如果在桥接模式中存在诸如黑客的外部侵入者,ATU-R不能执行对侵入者的监控和控制。
如前所述,ATU-R,即CPE之一的主要问题是因为它可以仅仅在IP路由模式中执行IP分组过滤而不能监控或控制在桥接模式中的外部侵入者,因此在桥接模式中分配到CPE的IP如果向外部暴露则变得对于外部侵入者完全开放而没有防御。
发明内容
因此本发明的目的在于提供一种用于在尤其是操作于桥接模式中的用户住宅设备中过滤因特网协议分组并因此防止外部侵入的方法。
另一个目的是向用户提供选择过滤因特网协议分组的方法和何时过滤因特网协议分组的能力。
另一个目的是提供当接收到未在表中登记的因特网协议分组的时候的警告。
为了实现上述和其他目的,本发明的优选实施例提供了一种用于在用户住宅设备中过滤因特网协议分组的方法,所述方法包括一系列步骤:通过分析要按照个人计算机(即“PC”)的因特网访问通过xDSL发送到另一方的IP分组来检测目的因特网协议(即“IP”)地址;向预定的容限表登记目的IP地址;在通过xDSL接收到IP分组的时候检测IP分组的一个源IP地址;和检查是否源IP地址被按时登记到容限表,用于只要已经登记了源IP地址则通过PC传送相应的IP分组,并用于如果未登记源IP地址则阻塞相应的IP分组。
本发明提供一种用于在桥接模式下在连接在个人计算机和数字用户线路之间的用户住宅设备中过滤因特网协议分组的方法,所述方法包括步骤:在所述个人计算机的用户通过所述数字用户线路访问因特网的时候,通过分析要发送到另一方的因特网协议分组来检测一个目的因特网协议地址;向预定的容限表登记所述目的因特网协议地址;在通过所述数字用户线路接收到因特网协议分组的时候,检测因特网协议分组的一个源因特网协议地址;和检查是否所述源因特网协议地址被按时登记到容限表,用于仅仅在已经登记了所述源因特网协议地址的时候通过所述个人计算机传送相应的因特网协议分组,并用于如果所述源因特网协议地址未登记则阻塞相应的因特网协议分组,其中所述检测所述目的因特网协议地址的步骤进一步包括步骤:在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在个人计算机用户通过所述数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
本发明还提供一种方法,包括:在计算机的用户通过一连接线路访问因特网的时候,通过分析要发送到另一方的网络分组来检测一个目的网络地址;向预定的容限表登记所述目的地址;通过所述连接线路检测所接收的网络分组的一个源网络地址;和检查是否所述源网络地址被登记到容限表,用于仅仅在已经登记了所述源网络地址的时候通过所述计算机传送相应的网络协议分组,并用于当所述源网络地址未登记的时候阻塞相应的网络分组,其中所述检测所述目的网络地址的步骤进一步包括步骤:在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过所述数字用户线路访问网络的时候要发送到另一方的所述网络协议分组;在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的网络协议首标检测所述目的网络协议地址;以及在以太网分组类型是网络协议分组的情况下,从在以太网首标后没有预定偏移地紧随的网络协议首标中检测所述目的网络协议地址。
本发明还提供一种方法,包括:在个人计算机的用户通过一数字用户线路访问因特网的时候,通过查看要发送到另一方的因特网协议分组来检测一个目的因特网协议地址;向预定的容限表登记所述目的因特网协议地址;通过所述数字用户线路检测所接收的因特网协议分组的一个源因特网协议地址;和检查是否所述源因特网协议地址被登记到所述预定的容限表,其中所述检测所述目的因特网协议地址的步骤还包括步骤:在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
本发明还提供一种装置,包括:访问一网络的信息的一计算机,所述计算机向另一方发送因特网协议分组;和通过一数字用户线路将所述计算机与所述网络接口的一第一单元,所述第一单元包括一控制器和一存储器,所述控制器从因特网协议分组确认目的因特网协议地址并在所述存储器中的一容限表中登记所述目的因特网协议地址,所述控制器检测从所述数字用户线路接收的因特网协议分组的源因特网协议地址,所述控制器确定来自通过所述数字用户线路接收的因特网协议分组的所述源因特网协议地址是否被登记到所述存储器中的所述容限表,所述控制器当所接收的因特网协议分组的所述源因特网协议地址未登记到所述存储器中的所述容限表的时候阻塞通过所述数字用户线路接收的对应的因特网协议分组以免其被发送到所述计算机,所述控制器当所述源因特网协议地址登记到所述存储器中的所述容限表的时候,向所述计算机传送对应于所述源因特网协议地址的所接收的因特网协议分组,其中所述控制器按照下列行动确定所述目的因特网协议地址,所述行动包括:在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
附图说明
随着通过参照附图的下列详细的说明而使得本发明更好理解,对本发明的更完全的理解和本发明的许多附带优点将变得清楚,其中同样的参考符号指示相同或类似的部件,其中:
图1是示出现有技术的异步数字用户线路(即“ADSL”)的原理图;
图2是示出按照本发明的异步数字用户线路(即“ADSL”)系统的原理图;
图3是示出按照本发明的一般的ADSL远程收发机单元(即“ATU-R”)的方框图;
图4是示出按照本发明的优选实施例的用于过滤因特网协议(即“IP”)分组的方法的不同步骤的流程图;
图5生动地示出了按照征求评议文件(即“RFC”)2516的以太网帧格式;
图6生动地示出了按照RFC 791的IP首标格式;和
图7生动地示出了按照RFC 2516的分组格式。
具体实施方式
现在转向附图,图1是作为一个示范xDSL的ADSL系统的原理图。参见图1,位于中心办公室的ADSL中央收发机单元(ATU-C)102和位于用户区域的对应于用户住宅设备(CPE)的ADSL远程收发机单元(ATU-R)104通过ADSL 108采用传统的双绞线而相互连接。ATU-R 104随后通过以太网链路110连接到PC 106。最后,PC 106用户通过ATU-R 104经由ADSL 108和ATU-C 102连接到诸如因特网的网络100。
另一方面,ATU-R 104可以用于或者IP路由模式或者桥接模式,但是在大多数情况下使用桥接模式。以前,ATU-R被用于分析仅仅在路由模式中从PC收发的IP分组和用于按照过滤规则来控制IP分组。也就是说,ATU-R可以在仅仅IP路由模式中操作IP分组过滤,因此如果在桥接模式中存在诸如黑客的外部侵入者,ATU-R不能执行对侵入者的监控或控制。
现在参照附图说明本发明的优选实施例。在下面的说明中,相同的附图参考标号被用于即使在不同附图中的相同元件。在本说明书中限定的事项仅仅用于帮助全面理解本发明。因此,显然本发明可以不用这些限定而被实现。而且,不详细说明公知的功能或结构,因为它们将以不必要的细节混淆本发明。
图2是示出本发明的作为示范xDSL系统的ADSL系统的原理图。参见图2,位于中心办公室的ADSL中央收发机单元(ATU-C)152和位于用户区域的对应于用户住宅设备(CPE)的ADSL远程收发机单元(ATU-R)154通过ADSL 158采用传统的双绞线而相互连接。ATU-R 154随后通过以太网链路160连接到PC 156。最后,PC 156用户通过ATU-R 154经由ADSL 158和ATU-C 152连接到诸如因特网的网络150。
本发明的优选实施例特别体现为一种异步数字用户线路(ADSL),即,xDSL的一种示范。
图3是示出如图2所示的按照本发明的一般类型的ADSL远程收发机单元(即“ATU-R”)154的方框图。参见图3,一线路接口单元200从ADSL 158接收模拟信号并向一个ADSL模数转换器(即“ADSL A-D转换器”)204输出信号。ADSL A-D转换器204可以执行模数(即“A/D”)转换和数模(即“D/A”)转换。输入到ADSL A-D转换器204的模拟信号随后通过一ADSL线路驱动器202被发送到ADSL 158。ADSL A-D转换器204也将从线路接口单元200输入的模拟信号转换为数字信号,并向ADSL数字信号处理器(即“DSP”)206输出数字信号。输入到ADSL DSP 206的数字信号再次通过ADSL A-D转换器204被转换为一个模拟信号,并被输出到ADSL线路驱动器202。同时,连接到控制处理器208、快闪存储器212和动态随机存取存储器(DRAM)214的ADSL DSP 206执行ATU-R 154的数字用户线路信号的处理操作。在此,连接到ADSL DSP 206、快闪存储器212、DRAM 214和以太网接口单元210的控制处理器208作为一个主控制器。以太网接口单元210作为一以太网链路110,被连接到个人计算机(即“PC”)156。下面,快闪存储器212存储控制处理器208的操作程序和其他各种参考数据。最后,DRAM 214暂时存储有关DSL DSP 206和控制处理器208的操作的数据。
图4是图解本发明的操作步骤的流程图,将在控制处理器208的IP分组过滤处理划分为从S300到S314的步骤。首先,在PC 156用户通过ADSL 158访问因特网和向另一方发送IP分组的时候,控制处理器208响应(S300)该请求,并通过分析要从PC 156发送到另一方的IP分组,即通过以太网链路160接收的IP分组,来确认目的IP地址(S302)。在此,对于ATU-R 154系统,只要提供了PC 156的因特网访问,总是可能检测到另一方的IP地址,即目的IP地址,因为PC 156用户是首先请求向另一方通信的一方。因此,被确认的或识别的目的IP地址被登记到象下面示出的表1的一个容限表(S304),然后,它进行典型的IP分组传输处理,步骤S300再次开始。所述容限表用于引用IP地址,尤其是用于通过ADSL 158接收到IP分组的情况和从PC 156用户要通信的另一方接收的唯一的IP分组或统一资源定位符(即“USL”)应当被允许穿过PC 156的情况。容限表一般存储在DRAM 214中。
[表1]
| 编号 | IP地址 |
| 1 | IP地址1 |
| 2 | IP地址2 |
| .. | .. |
其后,当通过ADSL 158接收到IP分组的时候,做出响应(S306),并且检测接收的IP分组的源IP地址(S308),并且检查源IP地址查看是否它已经被登记到如上所述的容限表中(S310)。如果源IP地址已经被登记到容限表,则相应的IP分组进行典型的IP分组接收处理,并被通过以太网链路160传送到PC 156(S312),然后步骤S300重新开始。
相反,如果源IP地址没有登记到容限表,则对应的IP分组被阻塞和不向PC 156传送(S314),然后步骤S300重新开始。这样的结果被立即通过警告通告PC 156用户。在一种警告的方式中,在ATU-R 104中的发光二极管(LED)可以闪烁,或者一控制台信息可以显示在PC的监控器上或发送到用户的E-mail(电子邮件)。
因此,不象分析和处理整个IP分组的路由模式那样,在桥接模式中运行的ATU-R可以简单地通过确认IP分组的IP地址而执行IP分组过滤处理,这结果上防止了外来的侵入而不影响桥接模式的整个特性。
同时,在PC 156用户通过ADSL 158访问以太网的时候要发送到另一方的IP分组被包括在象如图5所示的那个的以太网分组中,并随后被从PC 156通过以太网链路160发送到ATU-R 104。以太网分组通常被划分成两种类型,其中一种是基于以太网的点对点协议(即,“PPPoE”)对话阶段的分组,另一个是一个IP分组。自以太网首标的IP分组的起始位置根据以太网分组类型而不同。因此,根据以太网分组的类型,对于以太网的不同位置应当检测到不同的目的IP地址。
图5特别示出了按照在RFC中征求评议文件(即“RFC”)2516的以太网帧格式图,RFC是关于所有与以太网相关的大小的文件。一般,以太网帧格式包括:一个以太网首标,它包括6个八位组目的地址DESTINATION_ADDR、6个八位组源地址SOURCE_ADDR和2个八位组以太网分组类型ETHER-TYPE;一净荷,跟随着所述以太网首标;和一校验和。这样的以太网分组如上所述被划分为PPPoE对话阶段分组和IP分组。在此,如果ETHER-TYPE值是Ox8864,则以太网分组类型属于PPPoE对话阶段分组,如果ETHER-TYPE值是Ox8800,则以太网分组类型属于IP分组。
在以太网分组类型是IP分组的情况下,图6所示的RFC791格式的IP首标紧随在图5的以太网首标之后。以这种方式,目的IP地址404被从图6所示的IP首标检测出来,它紧随着以太网首标。在图6的参考标号400下的从00到31的数字指示从0开始到31的比特。
相反,如果以太网分组类型是PPPoE对话阶段分组,则象图6所示的一IP首标从与RFC 2516格式的长度字段LENGTH有Ox值的距离的下一个位置跟随。在此,图7所示的以太网首标占用ETHER_TYPE=OX8864,这与图5所示的以太网首标非常相同。也就是说,下一个IP首标在6个八位组的字段的长度,即从以太网首标开始的v,t,CODE,SESSION_ID与长度字段LENGTH值Ox???的和的预定偏移后跟随。因此,如果以太网分组类型为PPPoE对话阶段分组,则目的IP地址404可以从图6所示的、在预定偏移后来自以太网首标的IP首标检测到。
另外,可以通过从所接收的分组的象图6所示的那个的IP首标中检测源IP地址402来完成从通过ADSL 158接收的IP分组检测源IP地址。
至此,虽然已经说明了本发明的优选实施例,但是可以进行本发明范围内的任何修改。尤其是,本发明介绍了在接收到未登记到容限表的IP分组的情况下阻塞IP分组和做出警告的方法,但是人们可以决定拒绝这个方法。而且,按照本发明,只要用户愿意就可以执行IP分组过滤,并且用户可以有选择地指定过滤处理本身。为此,用户通过PC 156可以确定或选择是否他要执行IP分组过滤,或者他可以在ATU-R 154中安装一个双列直插式开关用于必要时选择IP分组过滤处理。即使ADSL已经被用做xDSL的示范,也可以根据需要将它应用到桥接模式中的IP分组过滤。
虽然已经结合各种实施例而说明了本发明,它们仅仅是说明性的。因此,根据上述的详细说明,许多替代、修改和变化对于本领域的技术人员将是明显的。上述的说明意欲覆盖落入所附权利要求书的宽范围和精神的所有这样的替代和变化。
Claims (21)
1.一种用于在桥接模式下连接在个人计算机和数字用户线路之间的用户住宅设备中过滤因特网协议分组的方法,所述方法包括步骤:
在所述个人计算机的用户通过所述数字用户线路访问因特网的时候,通过分析要发送到另一方的因特网协议分组来检测一个目的因特网协议地址;
向预定的容限表登记所述目的因特网协议地址;
在通过所述数字用户线路接收到因特网协议分组的时候,检测因特网协议分组的一个源因特网协议地址;和
检查是否所述源因特网协议地址被按时登记到容限表,用于仅仅在已经登记了所述源因特网协议地址的时候通过所述个人计算机传送相应的因特网协议分组,并用于如果所述源因特网协议地址未登记则阻塞相应的因特网协议分组,
其中所述检测所述目的因特网协议地址的步骤进一步包括步骤:
在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在个人计算机用户通过所述数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;
在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及
在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
2.权利要求1的方法,还包括当所述源因特网协议地址没有登记到所述容限表的时候启动警告的步骤。
3.权利要求1的方法,所述方法仅仅在所述个人计算机的所述用户指定因特网协议分组过滤的时候是有效的。
4.权利要求1的方法,所述数字用户线是从包括异步数字用户线路、高比特率数字用户线路、单线数字用户线路、单对高速数字用户线路、通用数字用户线路和极高数据率数字用户线路的一组中选择的一个。
5.一种方法,包括:
在计算机的用户通过一连接线路访问因特网的时候,通过分析要发送到另一方的网络分组来检测一个目的网络地址;
向预定的容限表登记所述目的地址;
通过所述连接线路检测所接收的网络分组的一个源网络地址;和
检查是否所述源网络地址被登记到容限表,用于仅仅在已经登记了所述源网络地址的时候通过所述计算机传送相应的网络协议分组,并用于当所述源网络地址未登记的时候阻塞相应的网络分组,
其中所述检测所述目的网络地址的步骤进一步包括步骤:
在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过所述数字用户线路访问网络的时候要发送到另一方的所述网络协议分组;
在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的网络协议首标检测所述目的网络协议地址;以及
在以太网分组类型是网络协议分组的情况下,从在以太网首标后没有预定偏移地紧随的网络协议首标中检测所述目的网络协议地址。
6.权利要求5的方法,其中所述连接线路是数字用户线路。
7.权利要求6的方法,其中所述网络地址是因特网协议地址,并且网络分组是因特网协议分组。
8.权利要求6的方法,还包括当所述源网络协议地址没有登记到所述容限表的时候启动警告的步骤。
9.一种方法,包括:
在个人计算机的用户通过一数字用户线路访问因特网的时候,通过查看要发送到另一方的因特网协议分组来检测一个目的因特网协议地址;
向预定的容限表登记所述目的因特网协议地址;
通过所述数字用户线路检测所接收的因特网协议分组的一个源因特网协议地址;和
检查是否所述源因特网协议地址被登记到所述预定的容限表,
其中所述检测所述目的因特网协议地址的步骤还包括步骤:
在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;
在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及
在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
10.权利要求9的方法,还包括当所述源因特网协议地址未登记到所述预定容限表的时候通告所述用户。
11.权利要求9的方法,还包括当所述源因特网协议地址未登记到所述预定容限表的时候启动警告。
12.权利要求9的方法,还包括当所述源因特网协议地址登记到所述预定的容限表的时候传送所接收的对应于所述源因特网协议地址的因特网协议分组。
13.权利要求12的方法,还包括当所述源因特网协议地址未登记到所述预定容限表的时候启动警告。
14.权利要求9的方法,还包括当所述源因特网协议地址未登记到所述预定的容限表的时候阻塞所接收的对应于所述源因特网协议地址的因特网协议分组。
15.权利要求9的方法,所述方法仅仅当所述个人计算机的所述用户指定因特网协议分组的过滤的时候是有效的。
16.一种装置,包括:
访问一网络的信息的一计算机,所述计算机向另一方发送因特网协议分组;和
通过一数字用户线路将所述计算机与所述网络接口的一第一单元,所述第一单元包括一控制器和一存储器,所述控制器从因特网协议分组确认目的因特网协议地址并在所述存储器中的一容限表中登记所述目的因特网协议地址,所述控制器检测从所述数字用户线路接收的因特网协议分组的源因特网协议地址,所述控制器确定来自通过所述数字用户线路接收的因特网协议分组的所述源因特网协议地址是否被登记到所述存储器中的所述容限表,所述控制器当所接收的因特网协议分组的所述源因特网协议地址未登记到所述存储器中的所述容限表的时候阻塞通过所述数字用户线路接收的对应的因特网协议分组以免其被发送到所述计算机,所述控制器当所述源因特网协议地址登记到所述存储器中的所述容限表的时候,向所述计算机传送对应于所述源因特网协议地址的所接收的因特网协议分组,
其中所述控制器按照下列行动确定所述目的因特网协议地址,所述行动包括:
在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型,所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组;
在以太网分组类型是以太网对话阶段上的点对点协议的情况下,从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址;以及
在以太网分组类型是因特网协议分组的情况下,从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
17.权利要求16的装置,还包括当所述控制器确定所述源因特网协议分组的因特网协议地址未登记到所述存储器中的所述容限表的时候启动警告。
18.权利要求16的装置,当在所述计算机上的用户选择因特网协议分组的过滤的时候,所述第一单元登记、确定和检测因特网协议地址和阻塞或传送所接收的因特网协议分组。
19.权利要求16的装置,所述网络是因特网,所述计算机通过以太网线路连接到所述第一单元。
20.权利要求16的装置,所述数字用户线路是从包括异步数字用户线路、高比特率数字用户线路、单线数字用户线路、单对高速数字用户线路、通用数字用户线路和极高数据率数字用户线路的一组中选择的一个。
21.权利要求16的装置,所述第一单元还包括:
一线路接口单元,从所述数字用户线路接收一模拟信号;
一第一子单元,从所述线路接口单元接收所述模拟信号,被输入到所述第一子单元的所述模拟信号通过数字用户线路驱动器被发送到所述数字用户线路和将从所述线路接口单元输入的所述模拟信号转换为数字信号;和
一第二子单元,处理来自所述第一子单元的数字信号供所述控制器使用,输入到第二子单元中数字信号通过所述第一子单元被转换为第二模拟信号并被输出到一线路驱动器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR52316/01 | 2001-08-29 | ||
| KR52316/2001 | 2001-08-29 | ||
| KR10-2001-0052316A KR100424457B1 (ko) | 2001-08-29 | 2001-08-29 | 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1402506A CN1402506A (zh) | 2003-03-12 |
| CN100474861C true CN100474861C (zh) | 2009-04-01 |
Family
ID=19713671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021275939A Expired - Fee Related CN100474861C (zh) | 2001-08-29 | 2002-08-01 | 用户住宅设备中过滤因特网协议分组的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7181520B2 (zh) |
| KR (1) | KR100424457B1 (zh) |
| CN (1) | CN100474861C (zh) |
| TW (1) | TWI282221B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100578506B1 (ko) * | 2001-12-13 | 2006-05-12 | 주식회사 이글루시큐리티 | 위험도 추론 침입탐지방법 |
| KR100447677B1 (ko) * | 2002-11-01 | 2004-09-08 | 주식회사 케이티 | 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 |
| WO2005029724A1 (en) * | 2003-09-22 | 2005-03-31 | Rory Joseph Donnelly | Device for controlling communication between a telecommunications network and subscriber equipment |
| JP2006094416A (ja) * | 2004-09-27 | 2006-04-06 | Nec Corp | 加入者回線収容装置およびパケットフィルタリング方法 |
| US7864667B2 (en) * | 2007-10-08 | 2011-01-04 | Adc Dsl Systems, Inc. | One-good-pair operation in dual-pair mode |
| US10021117B2 (en) * | 2016-01-04 | 2018-07-10 | Bank Of America Corporation | Systems and apparatus for analyzing secure network electronic communication and endpoints |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5204858A (en) * | 1989-08-23 | 1993-04-20 | Nec Corporation | Address setting and filtering system for terminal accommodating circuits in a packet switching system |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09270813A (ja) * | 1996-04-01 | 1997-10-14 | Hitachi Cable Ltd | パケットフィルタ機能付きルータ装置 |
| US6108782A (en) * | 1996-12-13 | 2000-08-22 | 3Com Corporation | Distributed remote monitoring (dRMON) for networks |
| KR19990058287A (ko) * | 1997-12-30 | 1999-07-15 | 전주범 | 케이블 모뎀에 있어서 전송패킷 필터링방법 |
| KR19990061606A (ko) * | 1997-12-31 | 1999-07-26 | 전주범 | 케이블모뎀 시스템의 ip 어드레스 도용 방지 방법 |
| US6577642B1 (en) * | 1999-01-15 | 2003-06-10 | 3Com Corporation | Method and system for virtual network administration with a data-over cable system |
| US6584074B1 (en) * | 1999-08-11 | 2003-06-24 | Covad Communitions Group, Inc. | System and method for remote configuration and management of customer premise equipment over ATM |
| JP4316737B2 (ja) * | 1999-08-23 | 2009-08-19 | マスプロ電工株式会社 | ケーブルモデムシステム |
| JP4236364B2 (ja) * | 2000-04-04 | 2009-03-11 | 富士通株式会社 | 通信データ中継装置 |
| KR100464487B1 (ko) * | 2000-12-27 | 2004-12-31 | 엘지전자 주식회사 | 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법 |
-
2001
- 2001-08-29 KR KR10-2001-0052316A patent/KR100424457B1/ko not_active IP Right Cessation
-
2002
- 2002-07-11 US US10/192,522 patent/US7181520B2/en not_active Expired - Fee Related
- 2002-07-15 TW TW091115749A patent/TWI282221B/zh not_active IP Right Cessation
- 2002-08-01 CN CNB021275939A patent/CN100474861C/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5204858A (en) * | 1989-08-23 | 1993-04-20 | Nec Corporation | Address setting and filtering system for terminal accommodating circuits in a packet switching system |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100424457B1 (ko) | 2004-03-26 |
| US20030055993A1 (en) | 2003-03-20 |
| US7181520B2 (en) | 2007-02-20 |
| KR20030020038A (ko) | 2003-03-08 |
| CN1402506A (zh) | 2003-03-12 |
| TWI282221B (en) | 2007-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2299633B1 (en) | Misdirected packet detection method | |
| US7440415B2 (en) | Virtual network addresses | |
| US6028846A (en) | Method and system for testing real-time delivery of packets of data | |
| US7860029B2 (en) | Subscriber line accommodation device and packet filtering method | |
| US7451243B2 (en) | System and method for implementing RMII Ethernet reset | |
| Chirillo | Hack attacks revealed: A complete reference with custom security hacking toolkit | |
| CN101632273A (zh) | 用于媒体网关处的源识别ip路由的方法、系统和计算机程序产品 | |
| WO2006114053A1 (fr) | Procede, systeme et appareil visant a empecher la contrefacon d’une adresse mac | |
| CN100571190C (zh) | 在网络环境中压缩标题和复用分组的装置和方法 | |
| CN1756239B (zh) | 用户线路容纳设备和分组过滤方法 | |
| CN102474444A (zh) | 一种用于限制到达根据工业以太网协议操作的本地节点的网络业务量的方法 | |
| CN100474861C (zh) | 用户住宅设备中过滤因特网协议分组的方法及装置 | |
| US20030195958A1 (en) | Process and system for capture and analysis of HFC based packet data | |
| CN100481788C (zh) | 建立连接的方法 | |
| CN100454825C (zh) | 基于mac地址的静态用户接入网络的控制方法 | |
| CN100527706C (zh) | 通信系统以及通信系统中提供镜像业务的方法和设备 | |
| CN100505634C (zh) | 数字信息穿透nat/fw的方法和系统 | |
| US7466654B1 (en) | Method of detecting intermediary communication device | |
| JPH09507994A (ja) | エラー統計を選択的に記憶するための装置および方法 | |
| JP3672186B2 (ja) | ネットワーク電話システム、それに用いるゲートウェイ装置及びネットワーク電話システムの使用方法 | |
| US6934261B1 (en) | Method to select dynamically between MACs of network device depending on network topology | |
| JP2003060659A (ja) | Macブリッジ | |
| CN1321511C (zh) | 用户终端的代理服务检测方法 | |
| JPH0730564A (ja) | ネットワークシステムのプロトコルアドレス重複の検出方法及び装置並びにネットワークシステム | |
| JP4114505B2 (ja) | 通信システムおよびその端末装置識別方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090401 Termination date: 20140801 |
|
| EXPY | Termination of patent right or utility model |