CN101124801B - 客户机协助的防火墙配置 - Google Patents

客户机协助的防火墙配置 Download PDF

Info

Publication number
CN101124801B
CN101124801B CN2005800484437A CN200580048443A CN101124801B CN 101124801 B CN101124801 B CN 101124801B CN 2005800484437 A CN2005800484437 A CN 2005800484437A CN 200580048443 A CN200580048443 A CN 200580048443A CN 101124801 B CN101124801 B CN 101124801B
Authority
CN
China
Prior art keywords
fire compartment
compartment wall
passive socket
request
socket
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2005800484437A
Other languages
English (en)
Other versions
CN101124801A (zh
Inventor
M·帕登
P·M·霍克斯
G·G·罗丝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of CN101124801A publication Critical patent/CN101124801A/zh
Application granted granted Critical
Publication of CN101124801B publication Critical patent/CN101124801B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本发明描述了配置防火墙和/或减少网络业务量的技术。根据一个实施例的一种方法用来配置防火墙,以减少不想要的网络业务量。该方法包括:运行web服务器;检测是否已经创建了被动套接字。该方法还包括:与防火墙建立联系;请求防火墙让发往被动套接字的流通过。根据有些实施例,该方法可以包括:关闭web服务器;关闭被动套接字。可以用所关闭的被动套接字的信息,联系防火墙,并向其发送不让发往所关闭被动套接字的流通过的请求。如果关闭了被动套接字,该方法可以自动撤消发给防火墙的让发往被动套接字的流通过的请求。

Description

客户机协助的防火墙配置
相关申请的交叉引用
本申请要求享受2004年12月21日提交的、题目为“CLIENTASSISTED FIREWALL CONFIGURATION”的美国临时申请No.60/638,271的优先权,美国临时申请No.60/638,271全文以引用方式加入本申请。
发明领域
概括地说,本发明涉及数据通信,具体地说,本发明涉及如何配置防火墙和减少网络业务量。
背景技术
防火墙是保护网络免受不法访问和恶意攻击的安全设备。不法访问可能要获取敏感信息或破坏网络的功能。传统的防火墙将网络分为两段:内部段和外部段,内部段位于防火墙后面,外部段位于防火墙外面。为防止不法访问,防火墙需要检查分组和会话,以此判断是应将这些分组和会话传输到既定目的地,还是应阻断或丢弃它们。
防火墙一般位于入口点,它扫描进入的业务,将其与预定标准进行比较。与预定标准不匹配的业务将会被阻断或丢弃。根据可容忍的复杂度和期望的保护级别,预定标准可以包括多种参数,例如端口号、应用ID、源、目的、内容过滤器、IP地址、机器名、TCP/IP标志以及其它参数。判断是否让分组通过的匹配参数的个数确立了保护粒度。粒度较粗的防火墙可能会不经意地阻断预期的进入业务,因为这些业务被误认为是非预期的,与此同时它可能还不足以防止非预期的业务。
安全策略可由位于中心点的网络管理员来定义和/或实施。虽然不同的用户可能会有不同的网络访问偏好和需求,但用户仍有可能无法选择对于他们的终端而言哪些业务是可用的和/或禁用的。不同的用户可能想要不同类型的业务流。这些流受网络安全策略的影响。例如,一个用户可能想阻断来自特定传输控制协议/网际协议(TCP/IP)网络地址的传输,而另一用户则可能正想接收这样的传输。一个用户可能想得到来自网络的某一特定子网地址的传输,而另一用户则想得到来自该网络地址的所有传输。其他用户可能想得到发往某一特定端口或应用的消息业务,而一个不同的用户则可能想阻断所有进入的连接,而只允许出去的连接。
防火墙充当看门人。每个设备就近的防火墙在每个终端或移动设备周围设置了一道防火墙。在这种情形下,非法分组在抵达终端或移动设备之前不被丢弃。因此,无线网络中极其宝贵的网络带宽就这样被白白浪费掉了,因为该分组已经消耗了传输该分组所需的无线资源。浪费掉的这些资源最好能再分配给其它连接而得到更好的利用。资源浪费会增加用户成本,因为它增加了消息传输,并会降低总吞吐量,因为在无线链路上传输分组需要使用资源。
为了克服上述以及其它缺点,我们需要这样一种技术:将不想要的或不期望的分组在向设备传输之前就阻断掉,从而减少网络业务量。我们还需要这样一种技术:使设备能动态地修改一种或多种防火墙策略,以使设备可以指定特定的分组、发送方和/或其它分组标准。配置好的防火墙可以远离通信端点或设备。为了提供保护作用,还需要在通信过程中自动撤消防火墙策略的能力。
发明内容
下面简单地概括一个或多个实施例,以便对这些实施例的方方面面有一个基本的理解。发明内容部分不是对这一个或多个实施例的泛泛概述,既不是要确定这些实施例的关键或重要组成部分,也不是要界定这些实施例的保护范围。其唯一的目的是简要地阐释上述实施例的一些构思,以此作为后面详细说明的前奏。
根据一个或多个实施例及其相应的说明,公开了配置防火墙和/或减少网络业务量的各个方面。根据一个实施例的是一种为了减少不想要的网络业务量而由移动设备用来配置防火墙的方法。该方法包括:与网络防火墙建立网络连接;与网络防火墙进行通信,以管理网络业务量。根据一些实施例,该方法可以包括:检测是否已经创建了被动套接字;请求网络防火墙准许发往被动套接字的流通过。在一些实施例中,该方法可以包括:关闭web服务器;关闭被动套接字。可以用关闭的被动套接字信息联系防火墙,可以请求防火墙拒绝发往被关闭被动套接字的流通过。如果关闭了被动套接字,该方法可以自动撤消让防火墙准许发往被动套接字的流通过的请求。
根据另一个实施例的是一种让主机从断开或终止的会话中自动恢复的方法。该方法包括:请求远程防火墙准许发往至少一个打开的套接字的分组通行;检测断开的会话;撤消发往至少一个打开的套接字的分组请求。该方法还可以包括:重建新的会话;请求让预期流通过。根据一些实施例,请求准许发往至少一个打开的套接字的分组通行包括:生成当前打开套接字的列表。
根据另一个实施例的是一种用于配置网络防火墙的移动设备。该移动设备包括:处理器,其分析与为了减少业务量而配置防火墙有关的信息;存储器,其可操作地连接到所述处理器。该移动设备还可以包括:建立器,其与外部信源建立通信;指定器,其指定与从所述外部信源接收到的分组有关的参数,并将所述参数传送到防火墙。该移动设备还包括无效器,其请求撤消至少一个参数的通行。在一些实施例中,该移动设备可以包括:发射机,其向防火墙传送至少一个策略更新;接收机,其从防火墙接收对所述策略的确认或拒绝。
根据另一个实施例的是一种用在移动设备中减少网络业务量的装置。该装置包括:检测模块,其检测至少一个防火墙;通信模块,其与所述至少一个防火墙通信;动态更新模块,其动态地更新与所述至少一个防火墙有关的策略。该装置还可以包括:监视模块,其监视被动套接字的列表;或者,指定模块,其指定预期的进入流。
根据另一个实施例的是一种用在移动设备中的计算机可读介质,所述介质包括的计算机可执行指令用于:建立网络连接;检测与所建立的网络连接有关的被动套接字。所述指令还包括:联系防火墙;请求所述防火墙准许发往所述被动套接字的流通过。根据一些实施例,所述指令可以包括:断开所述网络连接;关闭所述被动套接字;联系所述防火墙;请求所述防火墙拒绝发往所关闭的被动套接字的流通过。
根据另一个实施例的是一种在移动设备中用于执行动态地更新防火墙策略的指令的处理器。所述指令可以包括:检测至少一个防火墙;与所述至少一个防火墙通信;动态地更新与所述至少一个防火墙有关的策略。所述处理器还可以包括以下指令:与断开会话的大约同时,自动撤消所述策略。
根据另一个实施例的是一种动态地配置防火墙的手机。该手机包括:初始化器,其与防火墙建立会话;指定器,其指定至少一个流,并将所述至少一个流传送到防火墙;无效器,其能撤消所述至少一个流的通行。根据一些实施例,所述指定器可以指定与至少一个分组相关的参数或者请求来自一个或多个发送方的分组。根据一些实施例,所述无效器可撤消所述至少一个分组的通行,重新请求来自一个或多个发送方的分组,根据至少一个分组参数,自动撤消所述通行,或者,根据用户输入,撤消通行。
为实现上述目的和相关目的,一个或多个实施例包括将要下面充分描述和在权利要求中重点列明的各种特征。下面的描述和附图以举例方式详细说明特定的方面,它们仅仅说明可采用各个实施例之基本原理的一些不同方法。通过阅读下面结合附图给出的详细说明,其它优点和新颖性特征都将变得显而易见,所描述的实施例旨在包括所有这些方面及其等同物。
附图说明
图1的框图示出了利用防火墙技术的通信系统;
图2示出了客户机协助的防火墙配置的系统;
图3示出了自动和动态配置防火墙策略的系统;
图4示出了自动和动态配置防火墙策略的系统;
图5示出了配置防火墙和减少网络业务量的系统;
图6示出了动态地让合法进入数据流通行的方法的流程图;
图7示出了数据流自动恢复方法的流程图;
图8示出了使防火墙保护自动化和减少网络业务量的方法的流程图;
图9示出了终端的配置构思框图。
术语表
防火墙——只允许满足“安全策略”的分组进入或离开网络的设备。
主机——将网络用作分组传输媒介的网络节点。在移动设备网络中,主机一般是手机或无线计算机。
流——两个不同实体之间的双向分组交换。
具体实施方式
现在参照附图描述各个实施例。在下面的描述中,为便于解释,罗列了很多具体的细节,以便实现对一个或多个实施例达到透彻的理解。但是,显而易见的是,这些实施例也可以不用这些具体细节来实现。在其它情况下,为便于描述这些实施例,以框图的形式显示了公知的结构和设备。
在本申请中所用的“部件”、“模块”、“系统”以及类似的术语指与计算机相关的实体,其可以是硬件、固件、软硬件结合、软件或者执行中的软件。例如,部件可以是、但并不仅限于:处理器上运行的进程、处理器、对象、可执行程序、执行的线程、程序和/或计算机。为了便于说明,计算设备上运行的应用程序和计算设备本身都可以是部件。一个或多个部件可以驻留在执行中的一个进程和/或线程内,并且,一个部件可以位于一台计算机上和/或分布于两台或更多台计算机之间。另外,可以从存储了多种数据结构的多种计算机可读介质执行这些部件。这些部件可以通过本地和/或远程进程(例如,根据具有一个或多个数据分组的信号)进行通信(如,来自一个部件的数据在本地系统中、分布式系统中和/或通过诸如互联网等的网络与其它系统的部件通过信号进行交互)。
此外,各个实施例是围绕着用户站进行描述的。用户站也可以称为系统、用户单元、用户站、移动站、移动设备、主机、手机、远方站、接入点、基站、远程终端、接入终端、用户终端、终端、用户代理或用户设备。用户设备可以是蜂窝电话、无绳电话、会话启动协议(SIP)电话、无线本地环路(WLL)站、个人数字处理(PDA)、具有无线通信功能的手持设备或其它连接到无线调制解调器的处理设备。
此外,本申请中描述的各个方面或特征可以实现成方法、装置或使用标准编程和/或工程技术的制品。本申请中使用的术语“制品”涵盖可从计算机可读器件、载体或介质访问的计算机程序。例如,计算机可读介质可以包括、但不限于:磁存储器件(例如,硬盘、软盘、磁带等),光盘(例如,CD、DVD等),智能卡,闪存器件(例如,卡、棒、钥匙驱动器等)。
各个实施例都是围绕着包括多个部件、模块等的系统而展开的。应当理解和认识的是,各种系统可以包括附加的部件、模块等和/或可以不包括图中所示的所有部件、模块等。也可以使用这些方法的组合。
下面参照附图,图1的框图示出了利用防火墙技术的通信系统100,它可用便携式设备或终端、便携式(移动)电话、个人数字助理、个人计算机(台式机或膝上机)或其它电子和/或通信设备来实现。系统100包括防火墙102,防火墙102对进入的数据和/或出去的数据进行过滤,进入的数据和/或出去的数据被称为数据或网络分组104和106。防火墙102可以运行于网络运营商、基础设施装备等处。分组104和106可以是任何类型的通信消息,包括从一个设备发送和/或传送到另一个设备的一组数据。防火墙技术检查每个分组(进入的数据),对每个分组进行分类,根据检查和/或分类结果,执行一个或多个动作。典型的动作有:以特定的方式让分组通过、拦截分组和/或为分组寻径。当进行分类时,有状态的分组过滤器也可以考虑先前看到的分组。
防火墙102可以允许从发送方108发出的数据分组104传输到接收方110,发送方108位于防火墙102的一侧,接收方110位于防火墙102的另一侧,但这出于举例目的而非限制目的。由发送方108传送的预定抵达接收方110的分组104被中继,或者被准许通过防火墙102。对于接收方110来说不是预定的和/或不是合法的分组104被防火墙102拦截,从而不会被中继到接收方110。这样,接收方110就意识不到、也不会收到接收方110非预期的分组和/或不想要的分组。
接收方110能够与防火墙102通信,从而提供一套策略规则,这些规则关于发送方108和/或接收方110希望防火墙102让其通过的分组104以及接收方110希望防火墙102将其拦截的分组。这样,接收方110充当服务器。换言之,接收方110可能想让外部的发送方108联系接收方110。因此,接收方110能够直接与防火墙102通信,从而动态地更新策略。
接收方110还能够通过检查被动套接字列表,自动地判断哪些流或分组104是想要的。例如,接收方110可以打开或创建一个被动套接字,以充当服务器。接收方110通知防火墙102,发往该套接字的分组104应当传输到接收方110。如果接收方关闭与web服务器的联系,先前创建的被动套接字就关掉。接收方110可以将被动套接字关掉通知防火墙102,并请求防火墙102拒绝发往该被动套接字的其他所有业务。
接收方110也可以将分组106通过防火墙102中继到发送方108。这样,接收方110充当客户机,防火墙102可以根据各种协议和技术,阻断分组106,或者允许将分组106传送到发送方108。例如,防火墙102可以根据网络提供商预定的标准,让分组106通过或将其拒绝。防火墙102还可以根据该分组的原定接收方(这种情况下为发送方108)确立的策略,为分组106寻径。因此,防火墙102可以为不同设备维持不同的规则或策略集。
图2示出了客户机协助的防火墙配置的系统200。系统200包括可能正在通信的防火墙202和主机204(例如,移动设备)。例如,主机204可以是蜂窝电话、智能电话、膝上电脑、手持通信设备、手持计算设备、卫星无线电设备、全球定位系统、PDA和/或通过无线网络200通信的其它合适设备。虽然系统200中可包括多个防火墙202和主机204,但是,应当理解的是,为简单起见,在图中仅绘出了单个防火墙202,它向单个主机204发送通信数据信号。
主机204包括一个发射机206,主机204可以通过发射机206发起数据流或通信会话和/或请求对防火墙202维护的策略进行更新。主机还可以包括接收机208,主机204可以通过接收机208从防火墙202接收对策略的确认或拒绝和/或可以接收数据流或分组。
主机204可以通过发射机206对从防火墙202发出的分组给予响应。当主机202发出数据流时,它起的作用类似于客户机,故被视为“主动的”。当主机202对数据流给予响应时,它起的作用类似于服务器,故被视为“被动的”。主动流被视为出去的,而被动流是进入的。
当主机204充当服务器时,主机204可以直接与防火墙202通信,并操纵防火墙规则。例如,主机204可以将特定的通信、主机204希望从哪些发送方接收通信等告知防火墙202。主机204可以自动通知防火墙202任何断开的会话或中断的会话,并撤消这些会话的策略,这样一来,防火墙202将阻断这些会话,不允许将其传输到主机204。以这种方式配置防火墙202,则发往主机204、但是却不是主机204所要的分组在发送之前就被拦截。这样就减少了网络业务量,因为主机不会先发送这些分组然后再丢弃它们。在分组发到主机204之前在防火墙202中做出判断。
主机204可以包括解码器部件(未显示),后者可以对收到的信号和/或其中的数据分组进行解码,以进行处理。在对数据分组成功解码之后,确认部件(未显示)可以生成确认,以表示对数据分组成功解码,可以将确认发送到防火墙202,以告知通信发送方(未显示)数据分组已经接收和解码,因此无需重发。
图3示出了自动和动态配置防火墙策略的系统300。系统300包括防火墙302和主机304(例如,移动设备),防火墙302可以包括在网络基础设施中。主机304可以接收进入的数据分组306,或者可以发起外出的数据分组308。当收到进入的分组306时,主机工作在被动模式下,所起的作用类似于服务器。当发起外出的分组308时,主机304工作在主动模式下,所起的作用类似于客户机。不管是在进入模式下还是在外出模式下,数据分组306和308一般都应当通过防火墙302。基于一套规则或策略310,防火墙302可以对分组306和308进行拦截、令其通行或重定向。
主机304可以包括指定器312、无效器314和初始化器316,它们可以是功能块,其表示的功能由处理器、软件或其结合(例如,固件)来实现。指定器312、无效器314和/或初始化器316可以直接与防火墙302通信,或者,它们可以通过发射机(未显示)和接收机(未显示)通信。当原定发往主机304的分组306传送到防火墙302时,防火墙302可以判断是应当将分组306传送到主机304还是应当拦截它。这样的判断可以基于预定的策略310。策略包括各种标准,如允许的流端点、资源限制等。在一些实施例中,策略310可以由主机304通过选择性的强制技术动态改变或修改。
指定器312可以指定与主机304希望接收的分组306相关的参数,并将这些参数传送到防火墙302。这些参数需要受策略310的约束。主机304可以请求传送指定的进入流(例如,分组306)。指定器312可以通过一组标准,例如,匹配(或,不匹配)分组头部中的一些或所有字段,从而指定流。分组通常有报头,还可以有更高层协议的报头(例如,网际控制消息协议(ICMP)、用户数据报协议(UDP)和/或传输控制协议等(TCP))。指定器312指定的标准或参数可以包括、但不限于:准确值、值列表、值域、打开的套接字等等。
无效器314可以请求撤消主机304已经请求的指定流或所有流的传送。例如,指定器312可以请求应当将一种或多种类型的分组和/或来自一个或多个发送方的分组传输到主机304。如果在请求传输这些分组之后确定出这些分组不再是预期的,则无效器314可以撤消特定分组的请求。这样的撤消可以由系统300根据特定的参数(例如,分组大小、分组类型或其它标准)自动和独立地执行。
撤消也可以基于从主机304接收到的用户手动输入。例如,可以将分组指定为发往用户。但是,用户可以出于多种原因判定这样的分组不再是预期的。用户可以通过与主机相关的接口(如无效器314),手工撤消这些分组。
主机304可以提供各种类型的用户接口。例如,主机304可以提供图形用户接口(GUI)、命令行接口等。例如,可以呈现GUI,从而让用户有区域或手段去加载、导入、读取等参数信息、拦截的分组、被拦截的发送方和/或系统查询,以提示用户是否想拦截这样的分组/发送方。这些区域包括已知的文本区域和/或图像区域,包括对话框、静态控件、下拉式菜单、列表框、弹出式菜单、可编辑控件、组合框、单选钮、选择框、推动式按钮、图形框。此外,还可以使用有利于呈现的东西,例如导航用的垂直和/或水平滚动条、判断区域是否可视的工具条按钮。
在一个例子中,可以使用命令行接口。例如,命令行接口可以提示用户(例如,用显示器上的文本消息和音调)提供文本消息。用户可以提供与在接口提示中提供的选项或者提示中出现的问题的答复相对应的合适信息,例如希腊数字输入。应当明白的是,命令行接口可以和GUI和/或API结合起来用。此外,命令行接口可以和硬件(例如,视频卡)和/或图形支持能力有限(例如,黑白显示器、EGA显示器)和/或低带宽通信信道的显示器结合起来用。
协议定期地在两个方向交换分组(进入的和外出的),因此,主机304和防火墙302能及时意识到断开的会话。例如,防火墙302和/或主机304可以根据是否缺乏来自对等方的业务(例如,其它移动设备、其它通信设备等),判断会话是否断开。基于断开的会话做出的判断可以包括在协议中,是其本身的一部分。在有些实施例中,可以通过下层的传输,例如传输控制协议(TCP)存活片断,提供判断结果。
如果判断出会话已断开或终止,则可以自动撤消主机304先前请求的流。这样,发往主机304的所有分组都会被防火墙302自动拦截,而不会传递到主机304。因此,断开的会话和/或不完整的分组不会沿着无线接口传送,所以不会占用珍稀和宝贵的资源。
下面的描述出于举例目的,而非限制目的。手机或主机304可以运行一个web服务器,创建一个在TCP端口80上侦听的被动套接字。防火墙控制部件(例如,指定器312)可以检测出在TCP端口80上创建了被动套接字。控制部件与防火墙302建立联系,请求防火墙302让发往手机TCP端口80的流通过。防火墙302可以确认或拒绝该请求。其他人也可以发出进入流,以联系手机的web服务器。稍后,手机的web服务器会关闭,从而关闭TCP端口80上的被动套接字。几乎与此同时或明显不同时,手机上的防火墙控制部件可以检测到被动套接字的关闭。控制部件可以和防火墙建立联系,并请求防火墙拒绝在TCP端口80上发往手机的其它所有业务。应当理解的是,在IP网络中,流程可能明显不同于上述,因为流和拓扑都是针对端点地址。
为了发起新的会话或者从断开的会话中恢复和随后自动撤消数据流,主机304可以通过初始化器316建立会话。初始化器316能够判断主机304正在与哪个防火墙302通信,因为主机304可以是移动设备,可以从一个地理区域或小区移动到另一区域或小区。当设备移动时,它可能需要与一个或多个防火墙建立联系。初始化器316能够与指定器312通信,并请求传送预期流(或者,对于断开的会话,重新请求)。
图4示出了自动和动态配置防火墙策略的系统400。系统400包括防火墙402,防火墙402能传输、拦截或重新路由进入的分组和/或外出的分组。还有一个主机404,它可以包括指定器406、无效器408和初始化器410。主机404对于进入的分组而言工作在被动模式下,对于外出的分组而言工作在主动模式下。系统400的工作方式类似于图3所示的系统300。
系统400可以包括存储器412,后者可操作地连接到主机404。存储器412可以存储与所请求的进入流相关的信息、匹配标准、指定流、撤消的流、打开的网络套接字等,这些都涉及可配置的防火墙技术和减少无线通信系统中的业务量。处理器414可操作地连接到主机404(和/或存储器412),用于分析与可配置防火墙技术和减少无线通信系统中的业务量有关的信息。处理器414可以专用于分析主机接收的信息和/或生成要由主机404发送的信息,控制系统400的一个或多个组成部件,和/或既分析和产生主机404接收的信息,还控制系统400的一个或多个组成部件。
存储器412可以存储与预期分组、分组流、发送方、通信类型等有关的协议,并采取措施去控制主机和防火墙402之间的通信等,从而,系统400可以使用存储的协议和/或算法,降低无线网络中的通信业务量,如上所述。应当理解的是,这里描述的数据存储(例如,存储器)部件可以是挥发性存储器,也可以是非挥发性存储器,还可以包括挥发性存储器和非挥发性存储器。非挥发性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除ROM(EEPROM)或者闪存,这些只是举例,而无限制意味。挥发性存储器可包括随机访问存储器(RAM),它充当外置的高速缓冲存储器。RAM的形式很多,例如,同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强型的SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)和直接Rambus RAM(DRRAM),这些只是举例,而无限制意味。所公开实施例的存储器412意在涵盖这些类型和其它任何合适类型的存储器,但不限于此。
图5所示的系统500用于配置防火墙和降低网络业务量。图示的模块可以是功能块,其代表用处理器、软件或其组合(例如,固件)实现的功能。系统500可以包括检测器502,后者可检测网络中的一个或多个防火墙。通信器504可以与检测到的防火墙通信。这样的通信可以包括、但不限于:请求建立会话、指明让指定进入流通行、撤消一个或多个进入流、或其它类型的通信。系统500还包括更新器506,后者能够更新与防火墙相关的策略。更新策略可以包括由系统500自动确定的对现有策略的改变或者由用户手工输入系统500的改变。
在一些实施例中,系统500还可以包括检查器508和指定器510。检查器508能够检查打开的网络套接字的列表,这些套接字可以是打开的被动网络套接字。当侦听被动套接字时,指定器510能够对防火墙产生合适的请求,当被动套接字关闭时,可以产生撤消。如果系统500正在从断开的或终止的会话中恢复,则当前列表中的被动套接字可以列举出来,以产生合适的请求。
对于以上所述的示例性系统,参照图6-8有助于更好地理解可以根据各个实施例的一个或多个方面实现的方法。虽然为了便于说明而将方法描述和显示成一系列的动作(或者,功能块),但应当理解的是,动作的次序不会对方法构成限制,这是因为,根据这些方法,一些动作可以按不同的次序发生和/或与图示之外的其它动作同时发生。此外,为了实现根据所述实施例的一个或多个方面的方法,并不需要执行图示的所有动作。应当理解的是,各种动作可以用软件、硬件、软硬件组合或执行与这些动作相关功能的其它合适的手段(例如,设备、系统、过程、部件)来实现。还应当理解的是,这些动作只是以简要的方式说明本申请的特定方面,而这些方面也可以用较少和/或较多数量的动作来加以说明。此外,为了实现以下方法,并不需要执行图示的所有动作。本领域普通技术人员将会明白,一种方法当然也可以表示成一系列相关的状态或事件,例如在状态图中。
图6是动态地准许合法进入数据流通行的方法600的流程图。合法进入数据流是设备事先请求过的。例如,设备根据先前接收的流可以知道或者推断出,如果它收到特定类型的业务、来源特定的业务等,就将丢弃该流,或者在设备收到时就将拒绝接收该业务。设备还可以根据用户指定的参数,得到该信息。不是等待直到在设备处接收到这些非预期和/或非预定流为止,设备可以在将流发送到设备之前识别这些流(例如,类型、源等),从而利用宝贵的带宽和资源。
方法600始于602,其中,接收到通行请求。通信请求包括的信息关于类型、信源(移动设备希望从中接收通信)等。该信息可由设备预定,并保存在网络外围或防火墙上。如果已经收到某些业务流的通行请求,则将其发送到设备。如果没有收到某些业务流的通行请求,则在将其发往设备之前就将其拦截。
可以用各种标准来指定流,流应当匹配传输标准。在有些实施例中,各种标准可以是流不应当匹配的信息。例如,标准可以是分组报头中的一些或所有字段。报头是消息的一部分,其包含的信息指导消息如何到达正确的目的地。报头中包括发送方地址、接收方地址、优先级、路由指令、同步脉冲等等。IP分组可以具有较高层协议报头,例如,网际控制消息协议(ICMP)、用户数据报协议(UDP)和/或传输控制协议等(TCP)。标准可以包括准确值、值列表和/或值域。
在604中,判断是否已经收到撤消请求。撤消请求可以针对指定的流,或者,它可以针对先前请求过的所有流。如果604的判断结果为没有收到撤消请求(“否”),则方法600继续进行到606,于是允许流传送到设备。如果604的判断结果为已经收到撤消请求(“是”),则方法600继续进行到608,于是,在向设备发送之前拦截通行。
在上述方法600中,网络防火墙可以从移动设备(例如,手机)接收通行请求和所请求流的撤消。根据网络防火墙是否从移动设备接收到通行和/或撤消请求,网络防火墙可以允许或拦截进入数据流的通行。
图7是自动恢复数据流的方法700的流程图。在有些情况下,由于各种原因,通过请求远程防火墙准许发往至少一个打开套接字通行而建立的会话可能会断开、中断或终止,这时需要提供自动恢复。在702中,主机和/或防火墙检测到断开的会话。由于协议定期地在两个方向上交换(例如,进入、外出)分组,所以,主机和防火墙都能及时意识到断开的会话,在多数情况下,几乎与会话断开出现时间相同。这样的意识可能是没有观察到来自对等方设备的业务所致。这可以作为协议本身的一部分执行,或者,由下层的传输(例如,TCP存活段)来提供。
当会话断开或者终止时,在704中,撤消所对应的主机请求的流。通过撤消所请求的流,保护主机的完整性和保密性。因此,不允许任何业务传送到主机,于是,在向主机发送之前,就阻断这样的业务,从而不占用带宽。
根据一些实施例,如果主机想恢复数据流,在706中可以重建新的会话。新的会话可以基于新的请求,或者,它可以基于被动套接字列表的重建,以生成合适的请求。在708中,建立预期流的通行请求(或再请求)。
在上述方法700中,例如,装置(例如,移动设备)可以检测断开的会话,并联系网络防火墙,从而撤消所请求的流。如果(用户)期望的话,装置可以与防火墙重建新的会话,并请求预期流通过。
图8是自动防火墙配置和减少网络业务的方法800的流程图。减少的网络业务可以包括不想要的和/或非预期的业务、断开的会话、终止的会话等等。在802中,手机希望接收进入的通信流并工作在被动模式下或充当服务器。在804中,手机创建被动套接字。例如,被动套接字可以在TCP断开80上。在有些实施例中,被动套接字可以包括在一系列的打开的被动套接字中,定期或连续地监视其改变、修改等等。在806中,与防火墙建立联系或通信。当创建被动套接字时,可以触发该联系或通信。在808中,通信可以包括远程防火墙策略更新,例如,防火墙准许流发往被动套接字的请求。通信还可以包括由一个或多个打开的会话产生的被动网络套接字的列表。该列表还可以包括主机意识到的那些服务和主机在任何给定时间正在提供的那些服务。
外方发起的发往一个或多个列出的开放被动套接字的进入流,可由防火墙准予通行。如果web服务器关闭或终止,则关闭TCP端口80上的被动套接字。在810中,判断被动套接字是开还是关(例如,终止或毁灭)。如果套接字是开(“是”),则在812中,准许外方分组、流、通信等传送或者继续传输。如果810的判断结果是套接字为关(“否”),则在814中生成撤消请求。在检测到套接字关闭时,可以自动发送撤消请求。该请求可包括发往防火墙的指令,用于拒绝进一步的业务发往TCP端口80。当从断开的或终止的会话恢复时,可以列出当前的被动套接字列表,以生成合适的请求。
在上述方法800中,例如,移动设备可以建立网络连接,检测打开的被动套接字,与防火墙建立联系,请求准许的流。移动设备还可以判断被动套接字是开还是关,如果是关,则生成发往防火墙的撤消请求。
现在参照图9,其示出了终端900的可能配置的构思框图。本领域普通技术人员将会明白,终端900的精确配置可以根据特定的应用和总的设计约束条件而千变万化。处理器902可以实现本文公开的各种实施例。终端900可以有前端收发机904,后者连接到天线906。基带处理器908可以连接到收发机904。基带处理器908可用基于软件的架构或任何其它类型架构来实现。微处理器可以用作软件程序的运行平台,其提供控制和总体系统管理功能等。数字信号处理器(DSP)可以有嵌入式的通信软件层,以运行专用算法,减少处理器的处理需求。DSP可用来提供各种信号处理功能,例如,导频信号捕捉、时间同步、频率跟踪、扩频处理、调制和解调功能、前向纠错。
终端900还可以包括各种用户接口910,后者连接到基带处理器908。用户接口910可以包括键盘、鼠标、触摸屏、显示器、鸣铃器、振动器、扬声器、麦克风、相机和/或其它输入/输出设备。
基带处理器908包括处理器902。在基带处理器908的软件设计方案中,处理器902可以是运行在微处理器上的软件程序。但是,本领域普通技术人员将会明白,处理器902不受该实施例的限制,可以用本领域公知的任何手段来实现,这些手段包括硬件配置、软件配置或其组合,只要能够执行本文所述的各种功能即可。处理器902可以连接到存储器912,存储器912用于存储数据。
应当理解的是,可以用硬件、软件、固件、中间件、微代码或其任意组合来实现本文描述的实施例。当使用软件、固件、中间件或微代码、程序代码或代码段实现系统和/或方法时,它们可以存储于诸如存储介质的机器可读介质中。由处理器执行这些必要任务。代码段可以表示过程、函数、子程序、程序、例行程序、子例行程序、模块、软件包、类、或指令、数据结构或程序语句的任意组合。可以通过传递和/或接收信息、数据、自变量、参数或存储器内容,将代码段连接到另一代码段或硬件电路。可以通过任何适合的方式,包括内存共享、消息传递、令牌传递和网络传输等,对信息、自变量、参数或数据等进行传递、转发或发射。
上面的描述包括一个或多个实施例的举例。当然,我们不可能为了描述这些实施例而描述部件或方法的所有可能的结合,但是本领域普通技术人员应该认识到,这些实施例可以做进一步的结合和变换。因此,本申请中描述的实施例旨在涵盖落入所附权利要求书的精神和保护范围内的所有改变、修改和变形。此外,就说明书或权利要求书中使用的“包含”一词而言,该词的涵盖方式类似于“包括”一词,就如同“包括”一词在权利要求中用作衔接词所解释的那样。

Claims (20)

1.一种为了减少不想要的网络业务量而由移动设备用来配置防火墙的方法,包括:
与网络防火墙建立网络连接;
检测是否已经创建了被动套接字;
请求所述网络防火墙准许发往所述被动套接字的流通过;
判断所述被动套接字是打开的还是关闭的;以及
如果所述被动套接字是关闭的,则撤消让所述防火墙准许发往所述被动套接字的流通过的请求。
2.权利要求1的方法,还包括:
关闭web服务器;
消灭所述被动套接字;
联系所述防火墙;以及
请求所述防火墙拒绝发往所述被动套接字的流通过。
3.一种让主机从断开的会话中自动恢复的方法,包括:
请求远程防火墙准许发往至少一个打开的被动套接字的分组通行;
确定所述至少一个打开的被动套接字是关闭的;
撤消让所述远程防火墙准许发往关闭的被动套接字的分组通行的请求;
重建新的会话;以及
请求让预期流通行。
4.权利要求3的方法,请求准许发往至少一个打开的被动套接字的分组通行还包括:
生成当前打开的被动套接字的列表。
5.权利要求3的方法,请求让预期流通行还包括:
再生所述打开的被动套接字的列表。
6.一种用于配置网络防火墙的移动设备,包括:
处理器,其分析与为了减少业务量而配置防火墙有关的信息;
建立器,其与外部信源建立通信;
指定器,其指定与从所述外部信源接收的分组有关的参数,并将所述参数传送到防火墙以请求所述防火墙准许发往打开的被动套接字的流通过,其中,所述参数是所述打开的被动套接字;
无效器,其用于如果所述被动套接字是关闭的,则撤消让所述防火墙准许发往所述被动套接字的流通过的请求;以及
存储器,其可操作地连接到所述处理器。
7.权利要求6的移动设备,所述外部信源是web服务器。
8.权利要求6的移动设备,还包括:
发射机,其向防火墙传送至少一个策略更新;以及
接收机,其从防火墙接收对所述策略的确认或拒绝。
9.一种在移动设备中用于减少网络业务量的装置,包括:
用于检测至少一个防火墙的模块;
用于与所述至少一个防火墙通信的模块;
用于监视被动套接字的列表的模块;
用于如果所述被动套接字是关闭的,则撤消让所述至少一个防火墙准许发往所述被动套接字的流通过的请求的模块;以及
用于动态地更新与所述至少一个防火墙有关的策略的模块。
10.权利要求9的装置,还包括:
用于与断开会话大约同时,自动撤消所述策略的模块。
11.一种为了减少不想要的网络业务量而由移动设备用来配置防火墙的装置,包括:
用于与网络防火墙建立网络连接的模块;
用于检测是否已经创建了被动套接字的模块;
用于请求所述网络防火墙准许发往所述被动套接字的流通过的模块;
用于判断所述被动套接字是打开的还是关闭的模块;以及
用于如果所述被动套接字是关闭的,则撤消让所述防火墙准许发往所述被动套接字的流通过的请求的模块。
12.权利要求11的装置,还包括:
用于关闭web服务器的模块;
用于消灭所述被动套接字的模块;
用于联系所述防火墙的模块;以及
用于请求所述防火墙拒绝发往所述被动套接字的流通过的模块。
13.一种在移动设备中用于减少网络业务量的方法,包括:
检测至少一个防火墙;
与所述至少一个防火墙通信;
监视被动套接字的列表;
如果所述被动套接字是关闭的,则撤消让所述至少一个防火墙准许发往所述被动套接字的流通过的请求;以及
动态地更新与所述至少一个防火墙有关的策略。
14.权利要求13的方法,还包括:
与断开会话大约同时,自动撤消所述策略。
15.一种动态地配置防火墙的手机,包括:
初始化器,其与防火墙建立会话;
指定器,其指定与所述手机希望接收的分组相关的参数,并将这些参数传送到所述防火墙以请求所述防火墙准许发往打开的被动套接字的流通过,所述参数包括所述打开的被动套接字;以及
无效器,其用于如果所述被动套接字是关闭的,则撤消让所述防火墙准许发往所述被动套接字的流通过的请求。
16.权利要求15的手机,所述指定器请求所述防火墙准许至少一个分组通行,并且如果所述被动套接字是关闭的,则所述无效器撤消让所述防火墙准许所述至少一个分组通行的请求。
17.权利要求15的手机,所述指定器请求所述防火墙准许来自一个或多个发送方的分组通行。
18.权利要求17的手机,所述无效器撤消让所述防火墙准许来自一个或多个发送方的分组通行的请求。
19.权利要求16的手机,所述无效器根据至少一个分组参数,自动撤消让所述防火墙准许所述通行的请求。
20.权利要求16的手机,所述无效器根据用户输入,撤消让所述防火墙准许所述通行的请求。
CN2005800484437A 2004-12-21 2005-12-21 客户机协助的防火墙配置 Expired - Fee Related CN101124801B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US63827104P 2004-12-21 2004-12-21
US60/638,271 2004-12-21
PCT/US2005/046801 WO2006069315A1 (en) 2004-12-21 2005-12-21 Client assisted firewall configuration

Publications (2)

Publication Number Publication Date
CN101124801A CN101124801A (zh) 2008-02-13
CN101124801B true CN101124801B (zh) 2013-04-03

Family

ID=36095794

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2005800484437A Expired - Fee Related CN101124801B (zh) 2004-12-21 2005-12-21 客户机协助的防火墙配置

Country Status (10)

Country Link
US (1) US20060253900A1 (zh)
EP (1) EP1829334A1 (zh)
JP (1) JP4589405B2 (zh)
KR (1) KR100899903B1 (zh)
CN (1) CN101124801B (zh)
BR (1) BRPI0519544A2 (zh)
CA (1) CA2591933C (zh)
RU (1) RU2370903C2 (zh)
TW (1) TWI400920B (zh)
WO (1) WO2006069315A1 (zh)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8910241B2 (en) * 2002-04-25 2014-12-09 Citrix Systems, Inc. Computer security system
BRPI0419153B1 (pt) * 2004-10-29 2018-07-03 Telecom Italia S.P.A. Sistema de usuário, e, método para suportar segurança em um sistema de usuário
US8385331B2 (en) * 2006-09-29 2013-02-26 Verizon Patent And Licensing Inc. Secure and reliable policy enforcement
EP1971101B1 (en) * 2007-03-12 2018-11-21 Nokia Solutions and Networks GmbH & Co. KG A method , a device for configuring at least one firewall and a system comprising such device
US9240945B2 (en) 2008-03-19 2016-01-19 Citrix Systems, Inc. Access, priority and bandwidth management based on application identity
US7940658B2 (en) * 2008-09-04 2011-05-10 Cisco Technology, Inc. ERSPAN dynamic session negotiation
US7924830B2 (en) * 2008-10-21 2011-04-12 At&T Intellectual Property I, Lp System and method to route data in an anycast environment
KR101221045B1 (ko) * 2008-12-22 2013-01-10 한국전자통신연구원 패킷 처리 방법 및 이를 이용한 toe 장치
US8966607B2 (en) * 2009-07-15 2015-02-24 Rockstar Consortium Us Lp Device programmable network based packet filter
US20110075047A1 (en) * 2009-09-29 2011-03-31 Sony Corporation Firewall port selection using atsc tuner signals
US8520540B1 (en) 2010-07-30 2013-08-27 Cisco Technology, Inc. Remote traffic monitoring through a network
CN102065431A (zh) * 2010-12-28 2011-05-18 上海华勤通讯技术有限公司 手机网络防火墙的使用方法
CN102202094A (zh) * 2011-05-13 2011-09-28 中兴通讯股份有限公司 一种基于http的业务请求处理方法及装置
US8555369B2 (en) 2011-10-10 2013-10-08 International Business Machines Corporation Secure firewall rule formulation
US9077619B2 (en) 2012-09-18 2015-07-07 Cisco Technology, Inc. Exporting real time network traffic latency and buffer occupancy
US9094307B1 (en) 2012-09-18 2015-07-28 Cisco Technology, Inc. Measuring latency within a networking device
US9054967B1 (en) 2012-09-18 2015-06-09 Cisco Technology, Inc. Timestamping packets in a network
US9118707B2 (en) * 2012-12-14 2015-08-25 Verizon Patent And Licensing Inc. Methods and systems for mitigating attack traffic directed at a network element
US9590752B2 (en) * 2013-03-27 2017-03-07 International Business Machines Corporation Peer-to-peer emergency communication using public broadcasting
US20150135265A1 (en) * 2013-11-11 2015-05-14 MyDigitalShield, Inc. Automatic network firewall policy determination
EP3080973B1 (en) * 2013-12-11 2017-07-05 Telefonaktiebolaget LM Ericsson (publ) Proxy interception
KR101538667B1 (ko) * 2013-12-31 2015-07-22 주식회사 시큐아이 네트워크 시스템 및 네트워크 제어 방법
ES2906748T3 (es) 2016-11-23 2022-04-20 Huawei Tech Co Ltd Sistema de red óptica pasiva, terminal de línea óptica y unidad de red óptica
GB2591059B (en) 2017-04-21 2022-02-16 Zenimax Media Inc Systems and methods for player input motion compensation by anticipating motion vectors and/or caching repetitive motion vectors
US10491613B1 (en) * 2019-01-22 2019-11-26 Capital One Services, Llc Systems and methods for secure communication in cloud computing environments
KR102602570B1 (ko) * 2021-11-23 2023-11-14 주식회사 카카오엔터프라이즈 방화벽 장치의 설정값을 제어하는 igw 콘트롤러 및 그것과 방화벽 장치 간의 설정값 동기화 제어 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1300984A2 (en) * 2001-10-08 2003-04-09 Stonesoft Corporation Managing a network security application
EP1424828A2 (en) * 2002-11-28 2004-06-02 NTT DoCoMo, Inc. Communication control apparatus, firewall apparatus, and data communication method
US20040255156A1 (en) * 2003-06-13 2004-12-16 Nokia Corporation System and method for dynamically creating at least one pinhole in a firewall

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6334056B1 (en) * 1999-05-28 2001-12-25 Qwest Communications Int'l., Inc. Secure gateway processing for handheld device markup language (HDML)
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
KR100358518B1 (ko) * 2000-07-03 2002-10-30 주식회사 지모컴 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
KR20020043427A (ko) * 2000-12-04 2002-06-10 박준상 P2p 서비스 시스템 및 방법
US7089586B2 (en) * 2001-05-02 2006-08-08 Ipr Licensing, Inc. Firewall protection for wireless users
US7593318B2 (en) * 2002-01-07 2009-09-22 Reams Byron L Method and apparatus for header updating
JP4386732B2 (ja) * 2002-01-08 2009-12-16 セブン ネットワークス, インコーポレイテッド モバイルネットワークの接続アーキテクチャ
US7133368B2 (en) * 2002-02-01 2006-11-07 Microsoft Corporation Peer-to-peer method of quality of service (QoS) probing and analysis and infrastructure employing same
JP2004054488A (ja) * 2002-07-18 2004-02-19 Yokogawa Electric Corp ファイアウォール装置
KR100476237B1 (ko) * 2002-08-13 2005-03-10 시큐아이닷컴 주식회사 복수 방화벽에서의 효율적 부하 분산을 위한 비대칭 트래픽 처리 방법
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
JP2004187206A (ja) * 2002-12-06 2004-07-02 Nippon Telegr & Teleph Corp <Ntt> パーソナルフィルタリングシステム及びパーソナルフィルタリング方法
JP2004265286A (ja) * 2003-03-04 2004-09-24 Fujitsu Ltd 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理
US7430179B2 (en) * 2003-06-28 2008-09-30 Geopacket Corporation Quality determination for packetized information
US8146145B2 (en) * 2004-09-30 2012-03-27 Rockstar Bidco Lp Method and apparatus for enabling enhanced control of traffic propagation through a network firewall

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1300984A2 (en) * 2001-10-08 2003-04-09 Stonesoft Corporation Managing a network security application
EP1424828A2 (en) * 2002-11-28 2004-06-02 NTT DoCoMo, Inc. Communication control apparatus, firewall apparatus, and data communication method
US20040255156A1 (en) * 2003-06-13 2004-12-16 Nokia Corporation System and method for dynamically creating at least one pinhole in a firewall

Also Published As

Publication number Publication date
CA2591933A1 (en) 2006-06-29
CN101124801A (zh) 2008-02-13
JP2008524970A (ja) 2008-07-10
CA2591933C (en) 2014-01-21
JP4589405B2 (ja) 2010-12-01
US20060253900A1 (en) 2006-11-09
WO2006069315A1 (en) 2006-06-29
RU2370903C2 (ru) 2009-10-20
RU2007128045A (ru) 2009-01-27
TW200640206A (en) 2006-11-16
EP1829334A1 (en) 2007-09-05
TWI400920B (zh) 2013-07-01
WO2006069315A8 (en) 2007-11-01
KR20070087165A (ko) 2007-08-27
KR100899903B1 (ko) 2009-05-28
BRPI0519544A2 (pt) 2009-02-17

Similar Documents

Publication Publication Date Title
CN101124801B (zh) 客户机协助的防火墙配置
KR101066757B1 (ko) 미디어 세션 확립 방법
US8065402B2 (en) Network management using short message service
US8495244B2 (en) System and method for dynamic automatic communication path selection, distributed device synchronization and task delegation
US8849961B2 (en) Mobile network optimized method for keeping an application IP connection always on
US9258362B2 (en) System and method for establishing peer to peer connections between PCS and smart phones using networks with obstacles
US7016334B2 (en) Device, system, method and computer readable medium for fast recovery of IP address change
US20080281900A1 (en) Technique for Sending TCP Messages through HTTP Systems
US9455947B2 (en) Apparatus and method of enabling to transceive data using a plurality of heterogeneous networks selectively through a fixed host address
WO2010033919A2 (en) System and method for dynamic automatic communication path selection, distributed device synchronization and task delegation
CN101228771A (zh) 系统、终端、方法和计算机程序产品或者与位于网络地址转换器和/或防火墙之后的服务器建立传输级连接
JP2012530999A (ja) 双方向データストリーム用トランスポートとしてのハイパーテキスト転送プロトコルの使用
CN101305581B (zh) 用于访问控制的方法、装置
US7116784B2 (en) Method and apparatus for authenticated reporting in a mobile communication device
KR100698666B1 (ko) 네트워크 에러에 따른 통신 제어 가능한 이동통신 단말기및 그 방법
Zhang Programmable and active networks for performance improvements in the mobile internet
JP2002164951A (ja) クライアント装置、データ送受信システム及びプログラム記録媒体
Sanna et al. Lightweight client-pull protocol for mobile communication
WO2004081715A2 (en) Network address translation techniques for selective network traffic diversion

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 1112348

Country of ref document: HK

C14 Grant of patent or utility model
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: WD

Ref document number: 1112348

Country of ref document: HK

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130403

Termination date: 20191221