CN101099332A - 用于无线接入网关的动态防火墙能力 - Google Patents
用于无线接入网关的动态防火墙能力 Download PDFInfo
- Publication number
- CN101099332A CN101099332A CNA2005800306798A CN200580030679A CN101099332A CN 101099332 A CN101099332 A CN 101099332A CN A2005800306798 A CNA2005800306798 A CN A2005800306798A CN 200580030679 A CN200580030679 A CN 200580030679A CN 101099332 A CN101099332 A CN 101099332A
- Authority
- CN
- China
- Prior art keywords
- network
- network node
- server
- iad
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于无线接入网关的动态防火墙能力。提供了一种用于在通信网络中的接入网关处动态过滤数据分组的方法和系统。根据所述方法,策略服务器从网络节点接收向所述网络注册的请求。所述服务器验证所述网络节点身份并为所述网络节点选择相应的安全策略。所述选择的安全策略被所述服务器指示给网络接入网关。所述网络接入网关选择所述指示的安全策略。所述选择的安全策略被应用于所述网络节点和所述网络之间的通信。
Description
技术领域
本发明涉及用于在无线和有线接入网关提供网络安全的动态过滤能力。特别地,本发明涉及CDMA2000无线网络中的分组数据业务节点(PDSN)和家乡代理(home agent,HA)上的动态防火墙。
背景技术
因为信息交换涉及到允许外人接入网络,因此通过互联网进行信息交换就会对信息交换所涉及到的网络造成安全风险。非法用户能够改变数据、对数据进行未被授权的访问、破坏数据,或者对网络资源进行未被授权的利用。
这些安全问题需要执行确保这种网络和相关资源的安全性的安全措施。控制对网络的不希望的或非法的接入的最常用的技术包括防火墙技术。防火墙是一组在专用的硬件上执行的相关联的程序。在网络中,所述硬件通常是网络网关服务器。网络网关服务器是作为到另一个网络的入口的点。网关通常与路由器或交换机相关联。路由器知道到达网关的数据分组的目的地。防火墙与路由器程序密切配合以提供基于规则的配置(profile),所述配置允许或拒绝到达或来自网络的网络分组。对于开放系统互连(OSI)网络模型来说,通常基于规则的配置根据分组中的第二层到第七层信息拒绝或允许通信会话。例如,具体的防火墙规则可以如同下述:
If(interface==eth0&&ip.src==149.112.164.0/24&&tcp.dst==22)
allow;
Else deny;
上述规则允许来自源IP地址范围为149.112.164.0-149.112.164.255的以太网接口0的分组使用端口22处的服务,但是拒绝所有其它事务。此外,防火墙规则可以是固定的或动态的。在上述的例子中,防火墙规则是固定的。
也被称为状态防火墙的动态防火墙监视两个网络之间的通信状态。将关于通信状态的信息存储在被称为状态表的表格中。通信主机所使用的随协议而变化的各种类型的信息可以被存储在状态表中。例如,状态表可以包括关于源和目的地IP地址、源和目的地端口、协议、标记、序列、确认码、应用类型、应用数据,等等的信息。防火墙根据具体的状态以及为该状态设置的相应的安全策略来决定是否应该允许或拒绝分组。
例如,防火墙可以屏蔽主机的所有传输控制协议(TCP)端口,其中主机是被该防火墙保护的。每当受保护的主机在互联网上建立到服务器的TCP会话时,动态防火墙将记住会话已经被建立。因此,只要会话在进行中,则动态防火墙将允许具有适当端口号的来自服务器的PCT分组通过。在另一种情况下,当专用网络客户与服务器进行出站连接时,防火墙能够在状态表中存储源和目的地IP地址以及端口号。防火墙还能够在状态表中输入其它类型的信息。当防火墙接收服务器的响应时,则检查状态表以查看是否已经进行了对该服务器的任何出站请求。如果在状态表中存在相应的条目,则防火墙就将响应传递到进行出站请求的内部网络客户。
在网络的接入网关实现的防火墙,更具体地动态防火墙,是非常重要的。这是因为在防火墙的帮助下,接入网关能够防止网络用户的通信量被路由到除了到达和来自目标用户外的另外用户或任何其它地方。并且,防火墙能够阻止某些类型的网络监视和攻击。如果没有防火墙和类似功能,则网络单元易受到来自互联网上恶意主机的攻击。这些攻击包括将要传播计算机病毒、特洛伊木马的攻击,以及其它类型的非法利用。并且,无限的互联网连接将网络单元开放到利用网络的计算资源和网络单元进行无用计算的拒绝服务(DoS)攻击,因此防止终端用户执行希望的应用。
无线网络特别容易受到端口扫描和IP地址范围扫描的攻击。这些攻击导致了不必要地利用昂贵的无线电网络资源。防火墙允许网络服务提供商控制单个用户能够接入的应用和服务,从而阻止了这种攻击。并且,防火墙能够允许一些用户接入专用的应用服务器,同时能够屏蔽其它的用户接入这些服务。
在CDMA2000无线网络中,防火墙能够在例如分组数据业务节点(PDSN)和家乡代理(HA)的接入节点实现。防火墙对通过这些接入网关传输的数据分组执行过滤操作。过滤是指利用防火墙屏蔽通过网络传输的数据分组,从而允许或拒绝数据分组进入或离开网络。
CDMA2000 PDSN为移动站提供对互联网、内联网,以及应用服务器的接入。广泛地说,PDSN为移动站提供到IP网络的网关。CDMA2000 HA是移动节点的家乡网络(home network)上的路由器。HA维护关于移动节点的当前位置的信息。HA以下面的方式利用隧道传输机制通过互联网将数据引导到移动节点或从移动节点引导数据:每当从不同的位置连接移动节点时,不需要改变该移动节点的IP地址。在隧道传输中,将要到达专用网络的数据的传输是以下面的方式通过公共网络进行的:公共网络中的路由器不知道该传输是专用网络的一部分。
然而,并没为选择性地执行过滤操作作出准备。因此,就需要以下面的方式过滤数据分组的方法和系统:仅在网络中的一个位置执行特定类型数据分组的过滤。
发明内容
本发明的一个目的是在通信网络中为动态过滤数据分组提供一种基于用户的过滤机制,其中仅在所述通信网络的一个组件上应用专用的过滤器。
本发明的另一个目的是如果网络节点通过移动互联网协议与反向隧道进行通信,在接入网关提供用于过滤与所述网络节点相关联的数据分组的过滤机制,所述接入网关是与所述网络节点相应的家乡网络的家乡代理。
本发明的另一个目的是如果网络节点通过简单的互联网协议或通过移动互联网协议而没有反向隧道进行通信时,在接入网关提供用于过滤与所述网络节点相关联的数据分组的过滤机制,所述接入网关是与所述网络节点相应的除所述家乡网络外的网络的分组数据业务节点。
本发明的另一个目的是当指示用于所述网络节点的适当的安全策略的服务器是下述任何之一或两种时:即为目的,或认证、授权配置的本地策略服务器,以及被配置为指示适当的安全策略的记帐服务器,在接入网关提供用于动态过滤数据分组的过滤机制。
为了实现这些目的,本发明提供了一种用于在网络中动态地过滤数据分组的系统和方法。所述方法包括从网络节点接收对接入网络的注册请求;响应所述注册请求;以及在接入网关过滤与所述网络节点相关联的数据分组。所述注册请求包括在其它参数中指示所述网络节点的位置的标识符,所述接入网关是根据所述标识符指示的所述网络节点的位置选择的。
附图说明
下面将结合提供的附图描述本发明的不同实施例,以说明本发明而不是限制本发明,其中相同的标号表示相同的元件,并且其中:
图1表示一种示例性的网络互联环境,其中实现了根据本发明的系统的实施例;以及
图2是根据本发明实施例的过滤过程的流程图。
具体实施方式
本发明为网络服务提供商和用户提供了一种在网络接入网关上应用的动态过滤机制。与传统的动态防火墙相比,本发明的过滤机制是一种进步。
本发明能够支持几种类型的无线或有线接入网关,例如码分多址接入(CDMA)网关、通用分组无线业务/通用移动通信系统(GPRS/UMTS)网关、网关GPRS支持节点(GGSN),以及802.11漫游网关。
图1表示一种网络互联环境,其中实现了根据本发明的系统的实施例。本发明的系统的动态防火墙是嵌入在网络接入网关102上的。根据本发明的实施例,分组数据业务节点(PDSN)或家乡代理(HA)作为CDMA2000无线接入网(RAN)和基于互联网协议(IP)的网络之间的接入网关。然而,本发明的系统不限于PDSN或HA,并且可以应用于用于网络的任何其它类型的接入网关。设备或应用与验证、授权和记帐(AAA)服务器104进行通信的标准是远程认证拨号用户服务(RADIUS)。然而,采用RADIUS作为通信标准不应该被看作为对本发明的范围和精神的限制。也可以采用其它标准,例如Diameter,或任何其它合适的标准。
网络接入网关102与AAA服务器104进行通信,以交换与网络用户相应的安全信息。网络用户可以是网络单元106。网络单元106可以是用于进行通信的任何网络设备。例如,网络单元106可以是桌上计算机、移动电话、膝上计算机、个人数字助理(PDA),等等。网络单元106通过向网络接入网关102发送信号来向CDMA2000网络注册。
网络接入网关102则将关于网络单元106的注册的信息传输到AAA服务器104。嵌入在AAA服务器104中的服务器程序管理网络接入网关102发送的关于网络单元106注册和接入请求的信息。AAA服务器104为向本发明的CDMA2000网络注册的所有网络单元提供验证、授权和记帐服务。
参照图1所示,为本发明的网络接入网关102提供多组防火墙策略。这些防火墙策略组也可以被称为规则库。防火墙规则库是网络安全策略的技术实现。具有适当授权的人能够确定安全策略。安全策略可以包括例如下述的规则:仅允许来自具有指定源IP地址范围的以太网接口“0”的进入的数据分组,拒绝对选择的站点的接入,或任何其它的规则。本发明的防火墙确定技术要求并实施这些规则。以嵌入在网络接入网关102中的计算机程序的形式来具体说明所述技术要求和实施。
当网络单元106向CDMA2000网络注册时,向网络接入网关102发送请求。网络接入网关102可以是PDSN和/或HA。在本发明的实施例中,当合适时AAA服务器104将一些规则应用于PDSN并将其它规则应用于HA,从而当这些分组经过这些单元时,相同的规则不会被两次应用于相同的分组。
在另一个实施例中,如果网络单元106位于除其家乡网络外的其它网络上,则网络接入网关102是PDSN。家乡网络是移动设备在其中具有永久的IP地址的网络。除家乡网络之外的其它网络可以被称为外地网络。每当移动设备,在这种情况下是网络单元106,访问外地网络时,都能得到临时的转交地址(care-of address)。当网络单元106没有出现在其家乡网络中时,转交地址会考虑确定网络单元106的位置。PDSN能够提供简单的IP和移动IP接入、外地代理支持,以及用于虚拟专用连网的分组传输。然而,如果网络单元106出现在其家乡网络中,则网络接入网关102是HA。如所属技术领域已知的,HA是网络单元106的家乡网络上的路由器。HA维护在转交地址中识别的关于网络单元106位置的信息,并且当网络单元106处于外地网络中时,利用隧道传输机制将网络通信量发送到网络单元106。
当从网络单元106接受注册请求时,网络接入网关102通知AAA服务器104已经接收接入网络的请求。注册请求的内容包括识别网络单元106的标识符。而且,在其它信息中,该标识符包括关于网络单元106的位置的详细信息。网络单元106的位置表示网络单元106处于家乡网络中还是处于外地网络中。
在从网络接入网关102接收接入请求后,AAA服务器104以对网络单元106的接入-应答进行响应。AAA服务器104为智能地控制对计算机资源的访问、适当安全策略的执行、审计网络资源的利用,以及记录向网络用户使用的服务开帐单所需要的信息提供一种框架。由于AAA服务器104规定了适当的安全策略的执行,因此在其它参数中,来自AAA服务器104的接入-应答可以包括将被应用的防火墙策略的指示。来自AAA服务器104的指示的格式可以是AAA服务器104的属性。例如,可以是指定网络单元106上配置的一个过滤器的名称的“过滤器-名称”属性。在本发明的实施例中,该格式可以包括带有过滤器名称的ASCII字符串。AAA服务器104仅指示用于网络单元106的适当的防火墙策略,实际上不提供防火墙策略。这是因为由几个防火墙策略组成的防火墙规则库是嵌入在网络接入网关102中而不是AAA服务器104中的。AAA服务器104以根据网络单元106定义的参数进行响应。AAA服务器104根据网络单元106注册时传递的身份属性,确定相应于网络单元106的参数。
根据本发明的实施例,AAA服务器104扫描网络单元106的标识符提供的信息。特别地,关于网络单元106的位置的信息帮助AAA服务器104确定其防火墙将用于网络单元106的网络接入网关102的类型。在本发明的实施例中,如果网络单元106出现在外地网络中,并且通过隧道传输从其家乡网络接受信息分组时,则AAA服务器104指导将在PDSN执行的数据分组的过滤。换句话说,AAA服务器指向相应于网络单元106的PDSN处的一个防火墙策略。此外,如果网络单元106出现在任何网络中,并请求通过简单的IP接入网络时,则AAA服务器104指导将在网络单元106当前位于的网络的PDSN处执行的数据分组的过滤。然而,如果网络单元106位于外地网络中,并通过将数据分组发送到家乡网络中的相应的节点来与其家乡网络进行通信时,则AAA服务器104指导将在家乡网络的HA处执行的过滤。在后一种情况下,通过反向隧道实现通信。
因此,网络接入网关102从AAA服务器104发送的接入-应答接收一些属性,这些属性包括用于网络单元106的相应的防火墙策略。接着网络接入网关102为网络单元106实现对参数所定义的网络资源的访问。而且,网络接入网关102将AAA服务器104指示的防火墙策略应用于网络单元106的通信上。
图2详细地说明关于建立用于网络单元106的适当的防火墙策略的信息的交换过程。在步骤202,网络接入网关102接收代表网络单元106发送的注册请求。该注册请求包括网络单元106的标识符。在步骤204,网络接入网关102将从该请求得到的信息和标识符一同传递到AAA服务器104。在步骤206,AAA服务器104为网络单元106执行验证、授权和记帐服务。作为其功能的一部分,AAA服务器104将网络单元106的标识符与适当的网络接入网关102和防火墙规则库中存在的策略中的适当的防火墙策略相关联。由于防火墙规则库存在于网络接入网关102中,因此AAA服务器104仅通过利用标记指示适用于网络单元106的防火墙策略。所述标记作为为网络单元106选择AAA服务器104指示的防火墙策略的标识。在步骤208,将所述标记和管理网络通信量所需要的所有其它属性一同传输到网络接入网关102。在步骤210,网络接入网关102将标记指示的防火墙策略应用于网络单元106的网络通信。最后,在步骤212,网络接入网关102将应答发送到网络单元106,以响应其注册请求。
可以管理从标识符到标记的映射。具体地,标识符是NAI(网络接入标识符)或具有user@domain.com的形式。AAA利用NAI根据运营商预先配置的联系来确定防火墙策略。这种联系也可以通过域进行配置。例如,可以将domain1.com的所有用户与特定的策略标记相关联,而将domain2.com的所有用户与不同的策略标记相关联。
根据本发明的系统的实施例,嵌入在网络接入网关102中的防火墙程序支持分组的过滤。对于所属领域技术人员来说明显的是,本发明的系统可以支持传输控制协议(TCP)、用户数据报协议(UDP)、通用路由封装(GRE)、IPsec,或任何其它分组类型。
本发明的网络接入网关102除了提供TCP过滤能力外,还可以记录所有来自网络单元106的开放的TCP连接。例如,网络接入网关102监视网络单元106的本地IP地址、其本地端口、远程设备的IP地址,其中网络单元106与所述远程设备交换数据分组、远程端口等。
在网络单元106从网络接入网关102接收响应后,建立TCP会话。一旦建立起TCP会话,则网络接入网关102允许来自远程端口和远程IP地址的进入的分组到达适当的本地端口上的网络单元106。根据网络接入网关102上的相应的防火墙策略确定用于网络单元106的适当的本地端口,其中的防火墙策略又被AAA服务器104发送的标记指示。网络接入网关102允许来自远程端口的分组通过,直到接收到结束会话的请求。结束会话的请求可以通过网络单元106发送,或者通过远程端口发送,其后将阻挡从远程主机到网络单元的通信量。网络接入网关102在接收这种请求后则关闭TCP会话。这就为网络接入网关102处存在的防火墙能力赋予了动态特性。
对于所属领域技术人员来说明显的是,对于可以为移动设备的网络单元106,可以采用隧道传输协议来将数据传输到网络单元106。可以采用的一些隧道传输标准是移动IP、L2TP、PPTP、IPsec,等等。而且,根据本发明的实施例,可以在移动设备的家乡网络的路由器上执行具有反向隧道的移动IP呼叫的防火墙功能。因此,在CDMA200网络的情况下,可以在HA处提供用于移动设备的防火墙能力。并且,对于不具有反向隧道的所有简单的IP呼叫和移动IP呼叫,可以在PDSN处提供防火墙能力。
根据本发明,对于给定的情况,可以对处于准确的一个位置的分组执行过滤操作。因此,对于具有反向隧道的所有移动IP呼叫,可以在HA处执行过滤;对于所有简单IP呼叫,可以在PDSN上执行过滤;以及对于不具有反向隧道的移动IP呼叫,可以在PDSN和HA处执行过滤。
此外,可以将AAA服务器104处的防火墙能力配置为选择性地限制不希望的网络监视和攻击。对于每个接口可以用防火墙规则“坚固”PDSN和HA。例如,PDSN应该仅允许在UDP端口699(A11)上的进入的用户通信量和无线网络接口上的协议类型47(GRE)。在互联网接口上,PDSN应该仅允许到达UDP端口434或来自UDP端口434的用户通信量,以及协议类型47(GRE)和4(IP)。HA的移动IP接口应该仅接受UDP端口434上的用户通信量,以及协议类型47(GRE)和4(IP)。应该配置PDSN和HA接口仅响应仅来自于有限的IP地址组的ping命令,并仅允许来自于有限的IP地址组的远程注册(远程登陆和SSH)。
本发明的AAA服务器可以被本地策略服务器代替。本地策略服务器是一种被配置为指示相应于网络单元106的策略的服务器。当本地策略处于使用中时,PDSN或HA不查询AAA服务器。相反,对于PDSN或HA内部地执行NAI到策略的映射。PDSN直接查找映射并接着应用适当的策略。
可以以可选的模式应用本地策略和AAA策略,并且特别地AAA策略将优于任何配置的本地策略。
可以以处理机的形式实现如本发明所述的系统或其任何组件。处理机的具体例子包括通用计算机、编程的微处理器、微控制器、外围集成电路元件,以及其它设备或设备配置,它们都能够执行构成本发明的方法的步骤。
为了处理输入的数据,处理机执行存储在一个或多个存储单元中的一组指令。如果需要,存储单元还可以保存数据或其它信息。存储单元可以采取数据库或处理机中存在的物理存储单元的形式。
这组指令可以包括指导处理机执行具体任务的各种指令,其中具体的任务例如是构成本发明的方法的各个步骤。这组指令可以采取程序或软件的形式。所述软件可以采取如系统软件或应用软件的各种形式。而且,所述软件可以采取独立程序的集合,具有更大的程序的程序模块或一部分程序模块的形式。所述软件还可以包括面向对象的程序设计形式的模块程序设计。处理机处理输入数据可以响应用户指令,或者响应前面处理的结果,或者响应另一个处理机进行的请求。
对于所属领域技术人员来说明显的是,各种处理机和/或存储单元不需要物理地位于相同的地理位置上。处理机和/或存储单元可以位于地理上不同的位置上并且彼此连接,以实现通信。可以采用各种通信技术,以实现处理机和/或存储单元之间的通信。这种技术包括以网络形式的处理机和/或存储单元的连接。
在本发明的系统和方法中,可以采用各种“用户接口”以允许用户与用于实现本发明的处理机或多个处理机进行连接。处理机利用用户接口来与用户进行交互,以传递或接收信息。用户接口可以是处理机使用的任何硬件、软件,或硬件和软件的组合,用户接口允许用户与处理机进行交互。用户接口可以采取对话屏的形式,并且可以包括各种相关的设备,以实现用户和处理机之间的通信。希望用户接口能够与其它处理机而不是人类用户进行交互。而且,还希望用户接口能够部分地与其它处理机进行交互,并且同时部分地与人类用户进行交互。
尽管已经举例说明和描述了本发明的优选实施例,但是明显地是本发明并不仅限于这些实施例。对于所述领域技术人员来说,各种修改、变化、改变、替换,以及等效方法都是显而易见的,并且不脱离权利要求所述的本发明的精神和范围。
Claims (45)
1.一种用于在网络中的接入网关动态地过滤数据分组的方法,所述方法包括以下步骤:
a.接收代表网络节点的对接入网络的注册请求;
b.响应所述注册请求;以及
c.过滤与所述网络节点相关联的数据分组。
2.如权利要求1所述的方法,其中所述网络是家乡网络。
3.如权利要求1所述的方法,其中所述网络是外地网络。
4.如权利要求1所述的方法,其中所述响应所述注册请求的步骤包括准许接入所述网络。
5.如权利要求1所述的方法,其中所述在接入网关过滤数据分组的步骤包括在外地网络的分组数据业务节点执行过滤。
6.如权利要求1所述的方法,其中所述在接入网关过滤数据分组的步骤包括在家乡网络的家乡代理执行过滤。
7.如权利要求1所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由所述接入网关固有的信息指示。
8.如权利要求7所述的方法,其中所述应用适当的安全策略的步骤包括:
a.从在所述接入网关维护的策略组中,选择与所述网络节点相应的适当的策略;以及
b.将所述适当的策略应用于所述网络节点的通信,在所述接入网关维护所述适当的策略。
9.如权利要求7所述的方法,其中所述选择适当的策略的步骤包括在所述网络节点的域名的基础上进行选择。
10.如权利要求7所述的方法,其中所述从在接入网关维护的策略组中选择适当的策略的步骤包括配置通用安全策略,其中为所述网络中的所有网络节点配置所述通用安全策略。
11.如权利要求1所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由在从验证、授权和记帐服务器接收的消息中指示。
12.如权利要求11所述的方法,其中所述过滤数据分组的步骤包括将适当的安全策略应用到所述网络节点的通信中,在接入网关维护所述适当的安全策略。
13.一种用于在外地网络中的接入网关动态地过滤数据分组的方法,所述方法包括以下步骤:
a.接收代表网络节点的对接入网络的注册请求,所述注册请求包括标识符,其中所述标识符识别所述网络节点;
b.响应所述注册请求;以及
c.在所述接入网关过滤与所述网络节点相关联的数据分组。
14.如权利要求13所述的方法,其中所述接收注册请求的步骤包括通过移动互联网协议接收对接入网络的注册请求。
15.如权利要求13所述的方法,其中所述响应注册请求的步骤包括准许接入所述网络。
16.如权利要求13所述的方法,其中所述在接入网关过滤数据分组的步骤包括在外地网络的分组数据业务节点执行过滤。
17.如权利要求13所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由所述接入网关固有的信息指示。
18.如权利要求17所述的方法,其中所述应用适当的安全策略的步骤包括以下步骤:
a.从在接入网关维护的策略组中,选择与网络节点相应的适当的策略;以及
b.将所述适当的策略应用于所述网络节点的通信,在所述接入网关维护所述适当的策略。
19.如权利要求17所述的方法,其中所述选择适当的策略的步骤包括在所述网络节点的域名的基础上进行选择。
20.如权利要求17所述的方法,其中所述从在接入网关维护的策略组中选择适当的策略的步骤包括配置通用安全策略,其中为网络中的所有网络节点配置所述通用安全策略。
21.如权利要求13所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由在从验证、授权和记帐服务器接收的消息中指示。
22.如权利要求21所述的方法,其中所述过滤数据分组的步骤包括将适当的安全策略应用到所述网络节点的通信中,在接入网关维护所述适当的安全策略。
23.一种用于在家乡网络中的接入网关动态地过滤数据分组的方法,所述方法包括以下步骤:
a.接收代表网络节点的对接入网络的注册请求,所述注册请求包括标识符,其中所述标识符识别所述网络节点;
b.响应所述注册请求;以及
c.在所述接入网关过滤与所述网络节点相关联的数据分组。
24.如权利要求23所述的方法,其中所述代表网络节点接收注册请求的步骤包括从移动设备接收所述注册请求。
25.如权利要求23所述的方法,其中所述接收注册请求的步骤包括通过移动互联网协议接收对接入网络的注册请求。
26.如权利要求23所述的方法,其中所述响应注册请求的步骤包括准许接入所述网络。
27.如权利要求23所述的方法,其中所述在接入网关过滤数据分组的步骤包括在家乡网络的家乡代理执行过滤。
28.如权利要求23所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由所述接入网关固有的信息指示。
29.如权利要求28所述的方法,其中所述应用适当的安全策略的步骤包括以下步骤:
a.从在所述接入网关维护的策略组中,选择与所述移动设备相应的所述适当的策略;以及
b.将所述适当的策略应用于所述移动设备的通信中,在所述接入网关维护所述适当的策略。
30.如权利要求28所述的方法,其中所述选择适当的策略的步骤包括在所述移动设备的域名的基础上进行选择。
31.如权利要求28所述的方法,其中所述从在接入网关维护的策略组中选择适当的策略的步骤包括配置通用安全策略,为所述网络中的所有移动设备配置所述通用安全策略。
32.如权利要求23所述的方法,其中所述过滤数据分组的步骤包括应用适当的安全策略,所述适当的安全策略由在从验证、授权和记帐服务器接收的消息中指示。
33.如权利要求32所述的方法,其中所述过滤数据分组的步骤包括将适当的安全策略应用到所述网络节点的通信中,在所述接入网关维护所述适当的安全策略。
34.一种用于在网络中动态地过滤数据分组的系统,所述系统包括:
a.至少一个服务器,所述服务器用于接收网络节点进行的对接入网络资源的注册请求,所述服务器向所述网络节点发送应答以响应所述注册请求;以及
b.接入网关,所述接入网关被嵌入在所述服务器中,用于执行与所述网络节点相关联的数据分组的过滤。
35.如权利要求34所述的系统,其中所述服务器是本地策略服务器,所述本地策略服务器为所述网络节点提供适当的安全策略,以与网络资源进行通信。
36.如权利要求34所述的系统,其中网络中的服务器是提供验证、授权和记帐服务的服务器,所述服务器为所述网络节点指示适当的安全策略,以与网络资源进行通信。
37.如权利要求34所述的系统,其中所述接入网关是外地网络中的分组数据业务节点。
38.如权利要求34所述的系统,其中所述接入网关是家乡网络中的家乡代理。
39.一种用于在网络中动态地过滤数据分组的系统,所述系统包括:
a.至少一个服务器,所述服务器用于接收网络节点进行的对接入网络的注册请求,所述服务器向所述网络节点发送应答以响应所述注册请求;以及
b.外地网络中的分组数据业务节点,用于执行与所述网络节点相关联的数据分组的过滤。
40.如权利要求39所述的系统,其中所述服务器是本地策略服务器,所述本地策略服务器为所述网络节点提供适当的安全策略,以与网络资源进行通信。
41.如权利要求39所述的系统,其中网络中的服务器是提供验证、授权和记帐服务的服务器,所述服务器为所述网络节点指示适当的安全策略,以与网络资源进行通信。
42.一种用于在网络中动态地过滤数据分组的系统,所述系统包括:
a.至少一个服务器,所述服务器用于接收网络节点进行的对接入网络的注册请求,所述服务器向所述网络节点发送应答以响应所述注册请求;以及
b.家乡网络中的家乡代理,用于执行与所述网络节点相关联的数据分组的过滤。
43.如权利要求42所述的系统,其中所述服务器是本地策略服务器,所述本地策略服务器为所述网络节点提供适当的安全策略,以与网络资源进行通信。
44.如权利要求42所述的系统,其中网络中的服务器是提供验证、授权和记帐服务的服务器,所述服务器为所述网络节点指示适当的安全策略,以与网络资源进行通信。
45.一种与计算机一同使用的计算机程序产品,所述计算机程序产品用于在通信网络中的接入网关动态地过滤数据分组,所述计算机程序产品执行以下步骤:
a.接收代表网络节点的对接入网络的注册请求,所述注册请求包括标识符,其中所述标识符识别所述网络节点的位置;
b.响应所述注册请求;以及
c.过滤与所述网络节点相关联的数据分组,其中根据所述标识符确定过滤的位置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/939,675 | 2004-09-13 | ||
| US10/939,675 US20060059551A1 (en) | 2004-09-13 | 2004-09-13 | Dynamic firewall capabilities for wireless access gateways |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101099332A true CN101099332A (zh) | 2008-01-02 |
Family
ID=36035592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800306798A Pending CN101099332A (zh) | 2004-09-13 | 2005-09-08 | 用于无线接入网关的动态防火墙能力 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20060059551A1 (zh) |
| EP (1) | EP1807968A2 (zh) |
| JP (1) | JP2008512958A (zh) |
| KR (1) | KR20070064427A (zh) |
| CN (1) | CN101099332A (zh) |
| AU (1) | AU2005285185A1 (zh) |
| CA (1) | CA2580030A1 (zh) |
| IL (1) | IL181698A0 (zh) |
| MX (1) | MX2007002820A (zh) |
| WO (1) | WO2006031594A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101945370A (zh) * | 2010-09-25 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实施动态策略控制的方法及系统 |
| CN103108302A (zh) * | 2011-11-15 | 2013-05-15 | 中兴通讯股份有限公司 | 一种安全策略下发方法及实现该方法的网元和系统 |
| CN106105139A (zh) * | 2014-03-07 | 2016-11-09 | 微软技术许可有限责任公司 | 由网关进行的认证方法的自动检测 |
| CN107465752A (zh) * | 2017-08-22 | 2017-12-12 | 郑州云海信息技术有限公司 | 一种连接管理方法及装置 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7594259B1 (en) * | 2004-09-15 | 2009-09-22 | Nortel Networks Limited | Method and system for enabling firewall traversal |
| US7904940B1 (en) * | 2004-11-12 | 2011-03-08 | Symantec Corporation | Automated environmental policy awareness |
| US7725595B1 (en) * | 2005-05-24 | 2010-05-25 | The United States Of America As Represented By The Secretary Of The Navy | Embedded communications system and method |
| JP2009530921A (ja) * | 2006-03-17 | 2009-08-27 | キャミアント,インク. | 移動及び遊動ネットワークで利用する配信ポリシーサービス |
| US7761912B2 (en) | 2006-06-06 | 2010-07-20 | Microsoft Corporation | Reputation driven firewall |
| US7886351B2 (en) * | 2006-06-19 | 2011-02-08 | Microsoft Corporation | Network aware firewall |
| US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
| JP4620070B2 (ja) * | 2007-02-28 | 2011-01-26 | 日本電信電話株式会社 | トラヒック制御システムおよびトラヒック制御方法 |
| US20080313075A1 (en) * | 2007-06-13 | 2008-12-18 | Motorola, Inc. | Payments-driven dynamic firewalls and methods of providing payments-driven dynamic access to network services |
| EP2007111A1 (fr) | 2007-06-22 | 2008-12-24 | France Telecom | Procédé de filtrage de paquets en provenance d'un réseau de communication |
| WO2009007985A2 (en) * | 2007-07-06 | 2009-01-15 | Elitecore Technologies Limited | Identity and policy-based network security and management system and method |
| US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| WO2009035237A1 (en) | 2007-09-12 | 2009-03-19 | Lg Electronics Inc. | Procedure for wireless network management and station supporting the procedure |
| US7860079B2 (en) * | 2007-10-11 | 2010-12-28 | Nortel Networks Limited | Method and apparatus to protect wireless networks from unsolicited packets triggering radio resource consumption |
| GB2454204A (en) * | 2007-10-31 | 2009-05-06 | Nec Corp | Core network selecting security algorithms for use between a base station and a user device |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| KR101231803B1 (ko) * | 2008-12-01 | 2013-02-08 | 한국전자통신연구원 | 통합 게이트웨이 통신 장치 및 그 방법 |
| EP2398214A4 (en) | 2009-02-16 | 2012-03-07 | Nec Corp | GATEWAY DEVICE, SYSTEM AND METHOD |
| CN102349283A (zh) | 2009-03-13 | 2012-02-08 | 日本电气株式会社 | 网关装置、网关方法和通信系统 |
| US9398043B1 (en) | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
| US8660101B2 (en) * | 2009-12-30 | 2014-02-25 | Motorola Solutions, Inc. | Method and apparatus for updating presence state of a station in a wireless local area network (WLAN) |
| KR101067686B1 (ko) * | 2010-03-23 | 2011-09-27 | 주식회사 에스티 | 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법 |
| KR101116745B1 (ko) * | 2010-12-06 | 2012-02-22 | 플러스기술주식회사 | 비연결형 트래픽 차단 방법 |
| US8566900B1 (en) * | 2011-05-23 | 2013-10-22 | Palo Alto Networks, Inc. | Using geographical information in policy enforcement |
| JP5790775B2 (ja) | 2011-11-11 | 2015-10-07 | 富士通株式会社 | ルーティング方法およびネットワーク伝送装置 |
| US10089127B2 (en) * | 2011-11-15 | 2018-10-02 | Nicira, Inc. | Control plane interface for logical middlebox services |
| US9106666B2 (en) * | 2012-10-31 | 2015-08-11 | Verizon Patent And Licensing Inc. | Method and system for facilitating controlled access to network services |
| US20150067762A1 (en) * | 2013-09-03 | 2015-03-05 | Samsung Electronics Co., Ltd. | Method and system for configuring smart home gateway firewall |
| US9445256B1 (en) | 2014-10-22 | 2016-09-13 | Sprint Spectrum L.P. | Binding update forwarding between packet gateways |
| US10230767B2 (en) | 2015-07-29 | 2019-03-12 | At&T Intellectual Property I, L.P. | Intra-carrier and inter-carrier network security system |
| US10225236B2 (en) * | 2015-11-04 | 2019-03-05 | Panasonic Avionics Corporation | System for dynamically implementing firewall exceptions |
| US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
| US9936430B1 (en) | 2016-03-07 | 2018-04-03 | Sprint Spectrum L.P. | Packet gateway reassignment |
| US11277439B2 (en) * | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
| WO2017193093A1 (en) | 2016-05-05 | 2017-11-09 | Neustar, Inc. | Systems and methods for enabling trusted communications between entities |
| US11108562B2 (en) | 2016-05-05 | 2021-08-31 | Neustar, Inc. | Systems and methods for verifying a route taken by a communication |
| US11025428B2 (en) | 2016-05-05 | 2021-06-01 | Neustar, Inc. | Systems and methods for enabling trusted communications between controllers |
| US10958725B2 (en) | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
| CA3070415A1 (en) * | 2017-07-17 | 2019-01-24 | Brian R. Knopf | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
| US10972461B2 (en) | 2018-08-28 | 2021-04-06 | International Business Machines Corporation | Device aware network communication management |
| KR102267559B1 (ko) * | 2020-05-11 | 2021-06-21 | 주식회사 엠스톤 | Ip 비디오 월 기반 통합 영상 모니터링 시스템 |
| US11936622B1 (en) | 2023-09-18 | 2024-03-19 | Wiz, Inc. | Techniques for cybersecurity risk-based firewall configuration |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| JP3557056B2 (ja) * | 1996-10-25 | 2004-08-25 | 株式会社東芝 | パケット検査装置、移動計算機装置及びパケット転送方法 |
| US6167520A (en) * | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| IL122314A (en) * | 1997-11-27 | 2001-03-19 | Security 7 Software Ltd | Method and system for enforcing a communication security policy |
| US6356941B1 (en) * | 1999-02-22 | 2002-03-12 | Cyber-Ark Software Ltd. | Network vaults |
| US6944150B1 (en) * | 2000-02-28 | 2005-09-13 | Sprint Communications Company L.P. | Method and system for providing services in communications networks |
| JP2002108818A (ja) * | 2000-09-26 | 2002-04-12 | International Network Securitiy Inc | データセンター、セキュリティポリシー作成方法及びセキュリティシステム |
| US6915345B1 (en) * | 2000-10-02 | 2005-07-05 | Nortel Networks Limited | AAA broker specification and protocol |
| JP3744361B2 (ja) * | 2001-02-16 | 2006-02-08 | 株式会社日立製作所 | セキュリティ管理システム |
| US7207061B2 (en) * | 2001-08-31 | 2007-04-17 | International Business Machines Corporation | State machine for accessing a stealth firewall |
| JP2003115834A (ja) * | 2001-10-05 | 2003-04-18 | Mitsubishi Electric Corp | セキュリティアソシエーション切断/継続方法および通信システム |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| JP3826100B2 (ja) * | 2002-11-27 | 2006-09-27 | 株式会社東芝 | 通信中継装置、通信システム及び通信制御プログラム |
-
2004
- 2004-09-13 US US10/939,675 patent/US20060059551A1/en not_active Abandoned
-
2005
- 2005-09-08 CN CNA2005800306798A patent/CN101099332A/zh active Pending
- 2005-09-08 KR KR1020077005871A patent/KR20070064427A/ko not_active Application Discontinuation
- 2005-09-08 AU AU2005285185A patent/AU2005285185A1/en not_active Abandoned
- 2005-09-08 WO PCT/US2005/031995 patent/WO2006031594A2/en not_active Application Discontinuation
- 2005-09-08 CA CA002580030A patent/CA2580030A1/en not_active Abandoned
- 2005-09-08 JP JP2007531329A patent/JP2008512958A/ja active Pending
- 2005-09-08 EP EP05796678A patent/EP1807968A2/en not_active Withdrawn
- 2005-09-08 MX MX2007002820A patent/MX2007002820A/es not_active Application Discontinuation
-
2007
- 2007-03-04 IL IL181698A patent/IL181698A0/en unknown
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101945370A (zh) * | 2010-09-25 | 2011-01-12 | 中兴通讯股份有限公司 | 一种实施动态策略控制的方法及系统 |
| WO2012037835A1 (zh) * | 2010-09-25 | 2012-03-29 | 中兴通讯股份有限公司 | 一种实施动态策略控制的方法及系统 |
| CN101945370B (zh) * | 2010-09-25 | 2015-03-25 | 中兴通讯股份有限公司 | 一种实施动态策略控制的方法及系统 |
| CN103108302A (zh) * | 2011-11-15 | 2013-05-15 | 中兴通讯股份有限公司 | 一种安全策略下发方法及实现该方法的网元和系统 |
| WO2013071821A1 (zh) * | 2011-11-15 | 2013-05-23 | 中兴通讯股份有限公司 | 一种安全策略下发方法及实现该方法的网元和系统 |
| CN106105139A (zh) * | 2014-03-07 | 2016-11-09 | 微软技术许可有限责任公司 | 由网关进行的认证方法的自动检测 |
| CN106105139B (zh) * | 2014-03-07 | 2019-07-09 | 微软技术许可有限责任公司 | 由网关进行的自动检测的认证方法及系统 |
| CN107465752A (zh) * | 2017-08-22 | 2017-12-12 | 郑州云海信息技术有限公司 | 一种连接管理方法及装置 |
| CN107465752B (zh) * | 2017-08-22 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种连接管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006031594A2 (en) | 2006-03-23 |
| WO2006031594A3 (en) | 2007-05-10 |
| JP2008512958A (ja) | 2008-04-24 |
| IL181698A0 (en) | 2007-07-04 |
| CA2580030A1 (en) | 2006-03-23 |
| MX2007002820A (es) | 2007-05-16 |
| AU2005285185A1 (en) | 2006-03-23 |
| US20060059551A1 (en) | 2006-03-16 |
| EP1807968A2 (en) | 2007-07-18 |
| KR20070064427A (ko) | 2007-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101099332A (zh) | 用于无线接入网关的动态防火墙能力 | |
| US7522907B2 (en) | Generic wlan architecture | |
| CN101199166B (zh) | 接入节点、接入点、接入服务器、连接到业务提供网络的方法 | |
| JP4758442B2 (ja) | 無認可移動体アクセスネットワークにおけるセキュリティの提供 | |
| EP1240744B1 (en) | Prevention of spoofing in telecommunications systems | |
| US9137231B2 (en) | Access through non-3GPP access networks | |
| AU765973B2 (en) | Internet protocol traffic filter for a mobile radio network | |
| US20030081607A1 (en) | General packet radio service tunneling protocol (GTP) packet filter | |
| US7620808B2 (en) | Security of a communication system | |
| US20040022258A1 (en) | System for providing access control platform service for private networks | |
| US20070156898A1 (en) | Method, apparatus and computer program for access control | |
| US20200374262A1 (en) | Traffic flow control using domain name | |
| EP1952604B1 (en) | Method, apparatus and computer program for access control | |
| US7949769B2 (en) | Arrangements and methods relating to security in networks supporting communication of packet data | |
| JPH11355353A (ja) | 呼番号とインタ―ネット発信アドレスで構成されるペアの使用方法 | |
| KR100510669B1 (ko) | 패킷 무선 서비스 네트워크에서 착신 호를 설정하는 방법 및 이를 위한 시스템 | |
| JP2004304532A (ja) | 公開用管理ネットワーク | |
| WO2013063795A1 (zh) | 用户设备下线的处理方法、装置和网络系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |