CN1748401B - 用于对vlan强制加入安全性组的方法和装置 - Google Patents
用于对vlan强制加入安全性组的方法和装置 Download PDFInfo
- Publication number
- CN1748401B CN1748401B CN200480004038.0A CN200480004038A CN1748401B CN 1748401 B CN1748401 B CN 1748401B CN 200480004038 A CN200480004038 A CN 200480004038A CN 1748401 B CN1748401 B CN 1748401B
- Authority
- CN
- China
- Prior art keywords
- security group
- grouping
- group
- router
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了用于在企业网络中实现安全性组的方法和设备。安全性组包括第一网络节点,这些网络节点受控于管理第一网络节点和第二网络节点之间的通信的规则。被称为安全性组标签(SGT)的指示符标识了安全性组的成员。在某些实施例中,SGT被设置在为第3层信息预留的数据分组的字段中,或者为更高层预留的字段中。但是,在其他实施例中,SGT被设置在为第1层或第2层预留的字段中。在某些实施例中,SGT没有被设置在由交换机间链路或其他网络构架设备出于执行转发判决的目的而使用的字段中。
Description
技术领域
本发明涉及诸如企业网络之类的专用网络。具体而言,本发明涉及用于创建专用网络内的子组(subgroup)的方法和设备。
背景技术
存在对专用网络内的网络节点进行内部分组的需要。对网络节点分组可能是用于增强内部安全性、用于向某些组提供更高服务质量,或者用于区分某些用户类所必需的。例如,对网络节点分组可以只允许财务组员工查看可从财务服务器获得的数据,并且只允许工程组员工查看可从工程服务器获得的数据。对网络节点分组可以向从事重要或数据密集型项目的用户提供更高的服务质量。可替换地,对网络节点分组可以允许员工访问网络上的所有资源,同时将从因特网登陆的访客限制在可用资源的子集内。
在某些情况下,局域网内的网络节点的虚拟子集(有时被称为VLAN)能够满足对网络节点进行内部划分的需要。VLAN可以通过使不同的VLAN专用于不同目的来分离局域网中的流量。如美国专利No.5,742,604中的第5栏第4行到第7栏第44行以及图3-6的详细内容(这里通过参考并入其内容)所指出的,VLAN是通过如下方式来实现的:在第2层的帧头部中使用VLAN标识符或“标签(tag)”,同时分组的其他层保持不变。该标签被用于在等同于开放系统互连(OSI)参考模型的第2层的分组级别上执行交换判决。虽然现有技术的VLAN标签是数字编码,但是为了简化,大概是基于用颜色对物理文件进行的习惯而根据颜色来描述VLAN标签。例如,“红色”VLAN标签可以被用于工程,“蓝色”VLAN标签可以被用于市场,并且“黄色”VLAN标签可以被用于财务。
VLAN当前仅仅被用于本地环境中(例如建筑物内部)。这种网络的骨干网基于ISO参考模型第3层的等同层(例如TCP/IP协议的因特网协议(IP)层或者光纤信道协议的FC-4层)而被路由。因此,网络的骨干网中的路由器不能传播第2层的VLAN标签操作。从而,当通过这种骨干网来发送分组时,使用VLAN标签进行流量分离的能力丧失。如果这种网络中的路由器可以传播第2层的VLAN标签操作,并且标签被传送到另一网络,则可能导致各种麻烦。例如,在一个本地环境中定义工程VLAN的代码将可能不同于在另一本地环境中定义工程VLAN的代码。
发明内容
本发明提供了用于在企业网络中实现安全性组的方法和设备。这些安全性组提供计算机网络内的访问控制和流量分离,而不管网络拓扑或桥接/路由控制协议怎样。
根据本发明的某些方面,安全性组标签(SGT)在网络的流入端口处被插入到分组中,并且SGT在网络的流出端口处被检查以用于流量分离。SGT可以与安全性头部一起被插入到分组中。优选地,认证信息也被添加到分组中。分组的一些或全部(包括SGT)还可以在由第一路由器发送前被加密,并且在由网络的第二路由器接收后被解密。在优选实施例中,在流入和流出端口之间的分组转发完全独立于SGT。因此,SGT可以被用在第3层路由的网络上,包括因特网。
根据某些优选实施例,插入到分组中的部分,即SGT可以被看作“源组”,因为标签代表一组源。执行流出检查的网络设备将SGT(即哪组源)信息和目的地的信息相结合以选择将被应用到分组的方针。该方针在流出网络设备内被应用,并且可以利用访问控制列表(“ACL”)来实现。根据本发明的某些方面,SGT在流出网络设备的端口级处以非常简单的数据结构(例如位阵列)被检查,以确定是丢弃该分组,还是允许该分组到达其想要去的目的地。
根据本发明的某些方面,流出网络设备将SGT和目的地址级联在一起,并且选择将应用到分组的方针。在本发明的某些方面中,方针是可测试额外字段(例如协议字段)的ACL。例如,方针可能只允许Web流量。
根据本发明的某些方面,提供了一种在网络内实现安全性组的方法。该方法包括以下步骤:在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处接收分组;根据安全性组标号在所述流入端口处将所述分组分类,所述安全性组标号使一组目的地和被授权访问所述这组目的地的一组源相关联;在所述流入端口处将安全性组标签应用到所述分组,所述安全性组标签标识所述安全性组标号,并被应用到一个为除虚拟局域网信息之外的信息所预留的字段中,该字段是为第3层或更高层所预留的字段;以及在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则确定向设备发送所述分组。安全性组标签可以被应用到为第1层所预留的字段,或者为第2层所预留的字段中。
根据本发明的某些方面,提供了一种在网络内实现安全性组的方法。该方法包括以下步骤:在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处接收分组;在所述流入端口处将所述分组分类为具有安全性组标号,所述安全性组标号使一组目的地和被授权访问所述这组目的地的一组源相关联;在所述流入端口处将安全性组标签应用到所述分组,所述安全性组标签标识所述安全性组标号,并且所述安全性组标签被应用到一个字段中,该字段是为安全性组信息所预留的字段;以及在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则确定向设备发送所述分组。安全性组标签可以被应用到为第1层所预留的字段,或者为第2层所预留的字段中。
根据本发明的其他方面,提供了一种在网络内实现安全性组的方法。该方法包括以下步骤:接收第一分组;将所述第一分组分类为具有从多个安全性组标号中选出的第一安全性组标号,其中所述第一安全性组标号使第一组目的地和被授权访问所述第一组目的地的第一组源相关联;在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处,将标识所述第一安全性组标号的第一安全性组标签应用到所述第一分组,其中所述第一安全性组标签被应用到一个字段中,该字段是为第3层或更高层所预留的字段,并且其中在该字段中的信息未被路由器间链路用于转发判决;以及在不参考所述第一安全性组标签的情况下,基于所述第一分组的第3层中所编码的信息来确定所述第一分组将被路由到的所述企业网络中的第二路由器;在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述第一安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则将所述第一分组发送到其想要去的目的地。根据某些方法,第2层安全性组标签被应用于为第2层所预留的字段。根据某些这种方法,认证信息被提供在第一分组中。第一安全性组标签可以被加密。
某些这种方法还包括以下步骤:接收第二分组;将所述第二分组分类为具有从所述多个安全性组标号中选出的第二安全性组标号,其中所述第二安全性组标号使第二组目的地和被授权访问所述第二组目的地的第二组源相关联;以及在所述流入端口处将标识所述第二安全性组标号的第二安全性组标签应用到所述第二分组。第二组源可以包括作为第一组源的成员的源。第二组目的地可以包括作为第一组目的地的成员的目的地。分组可以从源节点直接被接收。分组可以基于源身份或有效载荷内容被分类。源身份可以包括用户身份。
这种类型的其他方法包括以下步骤(a)接收具有标识企业网络内的特定安全性组的第二安全性组标签的第二分组,其中所述第二安全性组标签被设置在包含第3层或更高层信息的分组字段中,并且其中所述字段未被路由器间链路用于转发判决;(b)基于在所述第二安全性组标签中标识的安全性组,确定是否将所述第二分组发送到其想要去的目的地;以及(c)基于(b)中的确定结果,将所述第二分组发送到其想要去的目的地,或者拒绝将所述第二分组发送到其想要去的目的地。
根据本发明的某些方面,提供了一种在网络内实现安全性组的方法。该方法包括以下步骤:在形成企业网络中的路由器云的边界的路由器的流出端口处接收分组;验证所述分组的源;读取所述分组的目的地址;读取所述分组的为第3层或更高层预留的字段中的安全性组标签;基于所述安全性组标签确定所述分组的第一安全性组,其中所述第一安全性组是多个安全性组之一,并且其中所述第一安全性组使第一组目的地址和被授权访问所述第一组目的地址的第一组源相关联;以及基于所述源和第一安全性组标号,确定是否向所述目的地址发送所述分组。
分组的源可以通过分析分组中的认证信息而被验证,从而认证源和/或用户。该方法可以包括对分组解码的步骤。第一安全性组可以是封闭的组或重叠的组。
该方法还可以包括以下步骤:接收第二分组;将所述第二分组分类为具有从多个安全性组标号中选出的第二安全性组标号,其中所述第二安全性组标号使第二组目的地和被授权访问第二组目的地的第二组源相关联;以及将标识第二安全性组标号的第二安全性组标签应用到第二分组,其中第二安全性组标签被应用到为第3层或更高层所预留的字段,并且其中该字段中的信息未被用于转发判决。
根据本发明的其他方面,提供了一种在具有多个安全性组的企业网络内实现安全性组的方法,其中所述安全性组中的每一个都包括所述企业网络内的多个网络节点,并且其中所述安全性组中的网络节点受控于管理它们可与哪些网络节点通信的规则,所述方法包括:(a)在形成企业网络中的路由器云的边界的路由器的流出端口处接收具有标识所述企业网络内的特定安全性组的安全性组标签的分组,其中所述安全性组标签被设置在包含第3层或更高层信息的分组字段中,并且其中所述字段不被用于转发判决;(b)基于在所述安全性组标签中标识的安全性组,确定是否向所述分组想要去的目的地发送该分组;以及(c)基于(b)中的确定结果,将所述分组发送到其想要去的目的地,或者拒绝或延迟将所述分组发送到其想要去的目的地。
本发明的另一方面涉及计算机程序产品和/或包括处理器和机器可读介质的装置,在机器可读介质上具有用于实现上述方法中的至少某个部分的程序指令和数据。本发明中的任意方法都可以被全部或部分表示为可以设置在这种计算机可读介质上的程序指令。另外,本发明涉及如这里所描述的那样所产生和/或使用的数据、数据结构、分组格式等的各种组合。
附图说明
图1示出了连接到企业网络以及因特网的主机。
图2示出了实现多个安全性组的企业网络。
图3示出了ISO数据分组的格式,包括安全性组标签。
图4示出了TCP/IP数据分组的格式,包括安全性组标签。
图5示出了IP数据分组头部的格式,包括安全性组标签。
图5A示出了IPv6头部的一部分的格式。
图5B示出了具有安全性组标签的IPv6头部的一部分的格式。
图6示出了光纤信道数据分组的格式,包括安全性组标签。
图6A示出了以太网帧的前导部分。
图6B示出了以太网帧的一部分。
图7示出了根据本发明一个实施例实现专用安全性组的企业网络。
图8是提供根据本发明某些方面的应用方针的示例的表。
具体实施方式
主机/路由器:这里所使用的术语“主机”指的是企业网络内的源或目的设备,例如传统的主机(个人计算机、用户终端等)、服务器、存储器存储设备等等。主机不同于在主机之间传递分组的“路由器”。这里所使用的术语“路由器”指的是任意这种设备,包括但不局限于,真正的路由器、交换机、网桥、中间系统或无线接入点。在某些情况下,当企业网络被连接到因特网或某个其他的公共网络时,整个公共网络被集中看作单个的主机/路由器。
流入/流出:当分组被从主机发送到构成支持安全性组的路由器“云”的边界的那个路由器时,分组被称为“流入”云。在本发明的某些实施例中,流入路由器将安全性组标签应用到正在流入云的来自主机的分组,然后将分组发送到另一路由器。在本发明的其他实施例中,主机可以为分组添加安全性组标签。具有这种能力的主机被看作位于云内。相反,当分组被从位于云边界的路由器发送到主机时,分组被称为“流出”云。
企业网络:企业网络是被“企业”所控制的网络,所述“企业”可以是公共实体、诸如公司之类的专用组织等等。企业网络通常包括至少一个局域网(LAN)或一组LAN,它们可能被分布在一个校园或多个地点。已被应用于特定类型的企业网络的某些术语包括覆盖一组邻近的公司办公室或一座城市的城域网(MAN),以及跨越较大地理区域的广域网(WAN)。在某些情况下,企业网络包括两个或更多个地理上分离的站点,这些站点例如以租用线路(例如T1线路)、虚拟专用网(VPN)隧道等方式互连。因特网不是企业网络,但是可以被用于企业网络的链路部分。例如,可以使用因特网络来实现VPN。在对本发明来说很重要的很多实现方式中,企业网络经由第3层(例如TCP/IP协议的网络层)或更高层(例如TCP/IP协议的传输层)上的协议来转发分组。因此,企业网络的构架通常包括与交换机相对的路由器,所述交换机基于第2层信息来转发分组。但是,本发明的某些方面包括在为第2层或第1层所预留的字段中放置安全性组标签。
分组/帧:分组是在因特网或任意其他分组交换网络上的发端主机和目的主机之间路由的数据的单位。每个分组包括目的主机的地址。术语“帧”一般被理解为或者指的是在传输介质上作为数据链路层单元发送的信息的逻辑分组,或者指的是围绕被包含在该单元中的用户数据的用于同步和错误控制的头部或尾部。术语“帧”通常被用于指示第2层的实体,而术语“分组”通常被用于描述在第3层或更上层上的对应实体。但是,术语“分组”和“帧”在这里可以互换使用。
安全性组:安全性组是企业网络内的网络实体的子组。这些网络实体被允许彼此通信,从安全性的立场考虑,要对其应用某些方针。通常,企业网络将包含至少两个不同的安全性组。任意给定的安全性组的成员不一定能与不同安全性组的成员通信。某些网络实体可能属于多个安全性组,例如在“重叠的”安全性组的情况下。可获得安全性组中的成员资格的企业网络实体通常是与路由器相对的主机和用户。但是,在替换实施例中,企业网络中的一些或全部路由器被限制为只运送用于网络中的安全性组的子集的流量。
根据本发明的某些方面,每个分组在网络入口处被分类为属于一个安全性组,该分类被写入分组的SGT字段,并与分组一道通过网络运送。SGT/标签可以采用很多形式。根据本发明的某些方面,标签被设置在为第3层信息提供的分组头部部分内的字段中,或者被设置在为甚至更高层信息提供的另一头部部分内的字段中。但是,在第2层网络中,SGT可以被嵌入到第2层头部中。此外,SGT可以被放置在为第1层或第2层信息所预留的其他字段中,倘若该字段没有被分配用于另一目的。例如,将SGT放置在VLAN将被编码的同一字段中会导致麻烦。
根据本发明的某些方面,SGT没有被设置在路由器或网络构架设备用于执行转发判决所使用的字段中。因此,这种SGT独立于转发方面的考虑。注意,这里所使用的“转发”需要选择一个特定的相邻网络设备以用于路由器之间的跳(hop)。
图1示出了将用于描述使用SGT来实现安全性组的示例的网络的一部分。在企业网络110中可能存在许多其他主机,但是为了简化的缘故,在图1中仅示出了主机105和服务器125和135。主机105是企业网络110内的安全性组的成员。路由器115和120是企业网络110的路由器。当主机105向企业网络110或因特网130内的目的地发送分组107时,SGT在路由器115的流入端口112处被添加到分组107上。在该示例中,SGT用于安全性分组1,该安全性分组1的成员被授权访问服务器125或因特网130,但是不能访问服务器135。
包括了SGT的分组107的至少一部分可以被加密。该加密可以通过使用本领域技术人员所公知的任意可行方法(例如私钥或公钥密码术)来执行。利用私钥密码术,发送者和接收者两者使用相同密钥,对于每个会话,该密钥被随机选择。公钥密码术使用公钥和专用密钥两者,其中公钥对所有用户公开。每个接收者具有保密的专用密钥,该专用密钥被发送者用于加密被发送的数据。私钥密码术具有计算强度较小的优点,因此比公钥密码术更快,但是它需要周期性地改变密钥。
在某些优选实施例中,密码技术被用于数据发端认证、防回复和/或完整性保护的目的。例如,发送者可以计算分组的密码签名,并且将其包括到分组本身中。接收者将执行对签名的密码检查,并且确定分组是真实的,还是已被篡改。可替换地,认证过程可以通过使用本领域技术人员所公知的任意认证技术来执行。
在第一示例中,主机105向服务器125发送分组107,例如用于请求存储在服务器125中的信息。在端口140处,认证信息被添加到分组107中,并且对分组进行加密。然后,基于在分组107的第3层中所编码的信息,而非基于SGT将分组107从路由器115转发到路由器120。分组107在路由器120的端口150处被解密,并且SGT在流出端口122处被检查以确定分组107是否被授权到达服务器125。因为分组107的SGT指示安全性组1,该组的成员被允许向服务器125发送分组,因此分组107被发送到服务器125。
在替换实施例中,SGT和/或认证信息被不同的组件所添加或评价。例如,SGT可以在路由器120的端口150处被评价。可替换地,根据本发明的某些实施例,主机可以主动参与到安全性系统。在某些这样的实施例中,主机105可以将认证信息添加到分组107中。在某些实施例中,服务器125可以解密分组107。如果主机不能解密分组和/或处理SGT,那么优选地,流出网络的分组是不带有SGT或未经加密的“plain vanilla”分组。
上述流出测试可以由软件、硬件或在两者的某种组合上被执行。在某些实施例中,流出测试通过使用ACL(访问控制列表)被执行。ACL由一个或多个ACE(访问控制条目)构成。当ACL被评价时,其ACE被检查以便确定它们是否匹配分组的内容。每个ACE都具有这种格式:如果条件满足,则执行动作。“条件”必须被包含在分组中的一个或多个字段(SGT是一个可能的字段)中的信息所满足。“动作”通常是允许或拒绝。在该示例中,动作将是允许或拒绝分组对服务器125的访问,作为包含在分组中的SGT的函数。但是,其他动作也是可能的,例如记录日志。
虽然可以混合ACE与允许和拒绝的动作,但是最常用的ACL具有两种形式。ACL的第一种形式如下:
如果满足C1,则拒绝
如果满足C2,则拒绝
…
如果满足CN,则拒绝
[否则]允许
换句话说,对于第一种形式,缺省动作是“允许”。ACL的第二种形式具有相反的缺省动作,如下:
如果满足C1,则允许
如果满足C2,则允许
…
如果满足CN,则允许
拒绝
从安全性的角度来看,只有第二种形式被认为是可接受的,因为它拒绝了所有未知的流量,即不匹配条件C1到CN的流量。因此,ACL的第二种形式对本发明的实施例来说是优选的。条件是安全性组的成员资格,其是通过读取分组的SGT所确定的。例如,如果存在为企业网络110定义的N个安全性组,并且只有来自安全性组1中的设备的分组可以访问服务器125,那么流出过滤操作可以如下:
如果满足安全性组1,则允许
[否则]拒绝
在其他实施例中,可由路由器120访问的查找表指出哪些安全性组被允许访问服务器125。查找表可以被存储在路由器120的存储器中。在该示例中,分组107的SGT将被读取,以确定分组107来自于安全性组1内的设备,该组的成员被允许向服务器125发送分组。因此,分组107被发送到服务器125。
在替换实施例中,流出测试通过使用硬件来执行,所述硬件例如是具有多个位的阵列,其位数至少与可能的安全性组的数目相同。在一个这样的示例中,SGT使用8位字段构成,从而提供了可能的安全性组值的范围是从0到255。用于流出测试的相应硬件阵列可以是256位阵列,其指示可能的安全性组中的每一个是应该被允许访问服务器125,还是不应该被允许访问服务器125。例如,1可以表示分组应该被转发到服务器125,而0可以表示分组不应该被转发到服务器125。这里,与安全性组1相对应的字段将包含一个1,以指示分组107应该被转发到服务器125。
在第二示例中,主机105向因特网130发送分组107。分组107的SGT在流出端口118处被检查,以确定分组107是否被授权访问因特网130。因为主机105的分组的SGT指示安全性组1,该组的成员被允许向因特网130发送分组,因此分组107被发送到因特网130。
在第三示例中,主机105试图向服务器135发送分组107。分组107基于在分组107的第3层中被编码的信息,而非基于SGT被从路由器115转发到路由器120。分组107的SGT在流出端口127处被检查,以确定分组107是否被授权到达服务器135。因为主机105的分组的SGT指示安全性组1,该组的成员不允许向因特网130发送分组,因此分组107被丢弃。
在优选的并且稍微复杂的实施例中,在企业网络中的所有主机都被分配了一个“角色”。角色的简单示例包括经认证的主机、未经认证的主机、安全服务器和一般服务器。主机的角色由分配给发起于该主机的所有分组的SGT来标识。企业网络内的安全性或分离被路由器强制加入,所述路由器确定是否向其最终目的地转发分组。该确定是基于只允许显示出一定角色的分组被转发到特定目的地的逻辑(通常是一组简单规则)来执行的。
某些目的地只可以接收来自具有特定角色的网络节点的分组。其他目的地可以接收来自具有很多不同角色的网络节点的分组。例如,安全服务器只可以接收来自经认证的主机的分组,而一般服务器可以接收来自经认证和未经认证的主机的分组。使用分组的SGT,路由器确定是丢弃分组,还是将分组发送到其最终目的地。基于“角色”而允许的源和目的地的组合有效地包括安全性组。
安全性组的类似实现方式涉及许可证级别的使用,例如在RFC 1108中所描述的。在这种实现方式中,安全性组基于美国分类级别(数据报在其上被保护)而被标识。
图2示出了在企业网络上实现的各种类型的安全性组。在该示例中,为企业网络200内的安全性组定义了7种不同的角色,并且在图2中指出的7种相应的SGT如下:1用于访客;2用于经认证的设备;3用于未经认证的设备;4用于因特网;5用于安全服务器;以及6用于常规服务器。数字7被用于封闭的安全性组,也被称为非重叠安全性组。以下将更详细论述的,在封闭的安全性组中的所有分组都可以在流入期间被标注SGT,并且所有分组都基于同一SGT在输出时被过滤。
在替换实施例中,可以分配与SGT相对应的其他角色。例如,缺省SGT=0可用于未经分类的分组。在其他实施例中,角色被分配给用户或应用而非设备。在其他实施例中,SGT与其他属性相对应,例如安全性组的成员之间的服务质量(例如QoS)的区别。
在图2中,椭圆形201内的个位数字是用于流出过滤操作的SGT,并且在椭圆形201外的数字是用于流入标签操作的SGT。访客设备205被配置为由无权访问来自企业网络200上的其他类网络节点的信息的人所使用。因此,从访客设备205发送的分组被标注为SGT=1,这对应于在本示例中的访客。虽然SGT可以被访客设备205所应用,但是优选地,SGT在来自访客设备205的分组在路由器215的端口210处被接收之后才被应用。
以这种方式标记的分组只可以在朝着因特网130的方向上流出企业网络200,因为将企业网络200连接到因特网的端口225和227的流出过滤器是将允许SGT为1的分组通过的唯一流出过滤器。类似地,访客设备205只可以接收SGT为4的分组,SGT=4被分配给从因特网130到达端口225或端口227的分组。
经认证的设备245的分组被标注为SGT=2,优选地,SGT在分组到达路由器220的端口225之后被标注。因此,经认证的设备245可以向因特网130、常规服务器250和安全服务器270发送分组,因为端口225、227、265和275将允许SGT为2的分组通过。经认证的设备245可以接收来自因特网130、常规服务器250和安全服务器270的分组,因为端口255将允许SGT为4、5或6的分组通过。
未经认证的设备280的分组被标注为SGT=3,优选地,SGT在分组到达路由器220的端口285之后被标注。因此,未经认证的设备280可以向因特网130和常规服务器250发送分组,因为端口225、227和265将允许SGT为3的分组通过。未经认证的设备280可以接收来自因特网130和常规服务器250的分组,因为端口285将允许SGT为4或6的分组通过。
注意,常规服务器250可以接收来自未经认证的设备280或经认证的设备245的分组,或向未经认证的设备280或经认证的设备245分组发送分组。这是部分重叠的安全性组的一个示例。
图2还示出了封闭的安全性组的一个示例,其包括主机设备290和服务器230。在该示例中,等于7的SGT被编码到从主机设备290发送到路由器215的端口295的分组上。当这种分组到达路由器235时,端口240允许它们被发送到服务器230。类似地,来自服务器230的分组在被从路由器235转发到路由器215之前,被标注为SGT=7。当这样的分组到达路由器215时,端口295允许它们被发送到主机设备290。该示例示出了封闭的安全性组只需要单个SGT的情况。
图7示出了被实现在根据本发明实施例的企业网络700上的专用安全性组。在专用安全性组中,一组客户端设备可以与一组服务器通信,但是客户端设备无法彼此通信。这种结果可以通过使用一个SGT标注由服务器发起的分组,并且使用一个SGT来标注由客户端设备发起的分组来实现。椭圆形707内的个位数字是用于流出过滤操作的SGT,并且椭圆形707外的数字是用于流入标签操作的SGT。
例如,由客户端设备705和客户端设备710发送的分组分别在端口726和736处接收到为1的SGT。来自客户端设备705的分组被从路由器725转发到路由器730,其中端口731将分组传递到服务器715。来自客户端设备710的分组被从路由器735转发到路由器740,其中端口741将分组传递到服务器720。
类似地,由服务器715和服务器720发送的分组在被分别发送到路由器730的端口731和路由器740的端口741之后,接收为2的SGT。路由器730依赖于分组的最终目的地,将分组从服务器715转发到路由器725、735或740。路由器740依赖于分组的最终目的地,将分组从服务器720转发到路由器725、730或735。
由于端口731和741将允许SGT为1或2的分组通过,因此服务器715和720可以接收到来自专用安全性组中的任意其他设备的分组。但是,由于端口726和736将只允许SGT为2的那些分组通过,因此客户端设备705和客户端设备710可以接收来自服务器715和720中的任意一个服务器的分组,但是无法接收彼此的分组。
图8示出了表800,该表根据本发明的某些方面,提供了应用方针的示例。表800只示出了适用于以上参考图2所描述的系统的安全性组805和目的地810的可能组合中的一个子集。此外,下述方针仅仅示例性地示出了根据本发明的各个方面可被实现的方针的广大范围。表800的数据例如可以被存储在图2所示的流出端口可访问的任意传统存储器中。
在该示例中,方针815如下:方针A用于转发分组;方针B用于转发分组并记录事件(即记录分组已被转发到目的地);方针C用于丢弃分组;方针D用于丢弃分组并记录事件;并且方针E用于检查分组,并且基于除安全性组之外的因素来确定应该对分组执行什么操作。方针815可以以各种方式被应用,例如通过访问控制列表(“ACL”)的命令。
如果流出端口240接收到指示安全性组7的分组,其中该分组以服务器230作为其目的地,那么将强制执行方针B:端口240将分组转发到服务器230,并且该事件将被记录。如果以服务器230作为其目的地的分组指示SGT为2(经认证的设备)或3(未经认证的设备),那么分组将被丢弃。如果流出端口240接收到以服务器230作为其目的地的来自访客(SGT=1)或因特网130(SGT=4)的分组,那么该分组将被丢弃,并且该事件将被记录:这些事件可以是试图“非法闯入(hack)”封闭的安全性组7。
如果SGT为2并且目的地为服务器250的分组被端口265所接收,该分组则被转发到服务器250。如果端口265接收到SGT为3并且目的地为服务器250的分组,该分组则将被转发并且该事件将被记录。
如果SGT为2并且目的地为服务器270的分组被端口275所接收,该分组则将被转发到服务器270。但是,如果端口275接收到SGT为3并且目的地为服务器270的分组,该分组将被丢弃。
在该示例中,如果SGT为4(发起于因特网130)并且目的地为设备245的分组被端口255所接收,该端口则将应用方针E。因此,分组的其他字段将被检查以确定其处理方式。例如,来自因特网130的包括了来自某些URL(例如已知与色情内容相关联的URL、带有非法文件共享应用的URL等等)的内容的分组可以被丢弃而其他分组可以被转发,以作为内容过滤方法的一部分。这些内容过滤方法可以包括基于性或暴力内容的家长防护过滤。在其他示例中,方针E可以被用于实现“垃圾邮件”过滤器、防病毒过滤器,或者用于筛选出超过预定尺寸的分组。
图3到图6B示出了根据本发明的包括安全性组标签或SGT的各种类型的分组。所示分组的类型以及在每个分组中SGT的位置纯粹是示例性的。根据各种实施例,SGT可能具有不同的格式,可能被写入到分组的不同部分中,或者可能需要位数可变的字段。
例如,SGT可能需要8位、16位或某些其他位数(例如32、64或128)。在某些实施例中,为大于当前要求长度的SGT预留一个字段,以顾及未来更复杂的实施例,并且还用于解决如下事实:在大公司中,组空间可能在导致办公场所分配的各个部门之间被分割,众所周知,这是低效的。例如,某些实施例为SGT预留16位,将8位用于编码SGT,并且预留另外8位以用于将来的扩展,优选地,这是利用避免混淆的机制实现的。其他实施例为SGT预留32位,将16位用于编码当前SGT,并且预留16位。
在某些这种实施例中,SGT被用作包含转发或丢弃分组的决定的位向量的索引。在其他实施例中,为SGT预留的字段的第一部分被用作包含转发或丢弃分组的决定的位向量的索引,并且该字段的第二部分被用作分类级别。该分类级别利用量值比较来检查。
图3示出了ISO第3层数据分组(被正式称为8473PDU帧)的格式。分组300包括字段301,在本示例中,该字段将协议标识为ISO8473。字段305描述分组300的头部长度,并且版本ID 310指示在协议标识符301中指出的协议的版本。字段315指示分组的寿命。字段320被用于各种目的,包括错误报告和分组是否被分段的陈述。
字段325指出分段的长度,包括头部和数据或“有效载荷”。字段330是对整个头部计算出的校验和。字段335指出目的地址的长度,而字段340指出目的地址。类似地,字段345指出源地址的长度,而字段350指出源地址。字段350标识出分组的初始分段,而字段360描述了后续分组相对于初始分段的位置。字段365指示分组长度。
字段370是为可选参数(例如路由记录、服务质量和安全性等级的标号)所预留的。因此,在本发明的某些实施例中,SGT 375被形成在字段370中。字段380是为数据有效载荷所预留的。根据本发明的另一方面,SGT 375被形成在有效载荷380中。
图4示出了TCP/IP数据分组400的简化版本,其包括IP头部410、TCP头部420和数据有效载荷430。如图4所指出的,SGT 375可以被形成在IP头部410、TCP头部420或数据有效载荷430内。虽然SGT 375以虚线形式被示出在IP头部410、TCP头部420和数据有效载荷430内,但是在大多数实施例中,SGT 375将被编码在这些位置中的仅仅一个位置中。
图5示出了根据本发明一个实施例的IP头部500的细节,其包括SGT 375。字段505指示版本和头部长度。字段510指出服务的类型,并且字段520指出分组总长度。字段530是为标识目的而预留的2字节字段。
字段540是为标志预留的,字段545是为关于分组分段的偏移的信息而预留的。字段550指示分组的寿命,字段555指出协议。字段560是校验和字段。字段570指示源IP地址,并且字段580指出目的IP地址。字段585是选项字段,在本实施例中,SGT 375被放置在该字段中。
图5A和5B示出了在用于包括安全性组标签的修改之前和之后的因特网协议版本6(“IPv6”)头部的一部分。图5A示出了简化的IPv6头部,其中下一头部字段586指出下一头部将是TCP头部。如本领域技术人员所公知的,下一头部字段指出下一经封装的协议。这适合于图5A所示的情况,其中下一字段是TCP PDU 587。
在图5B中示出的IPv6头部包括SGT字段592。因此,下一头部字段590指出下一协议将是SGT字段592的头部,其包含安全性组标签。SGT字段592还指出下一头部将是TCP PDU 587的TCP头部。在替换实施例中,SGT可以被编码到IPv6的逐跳选项头部或目的地选项头部中。
图6是根据本发明一个实施例的包括SGT 375的光纤信道分组的简化描绘。字段610是帧开始定界符,而字段620是头部。由于光纤信道分组具有可变长度,因此使用了帧开始定界符和帧结束定界符。字段630是可变长度的数据有效载荷。字段640是循环冗余校验(CRC)字段,而字段650是帧结束定界符。SGT 375可以被形成在头部字段620中、有效载荷630中,或者扩展的头部内。
在替换实施例中,SGT可以位于扩展交换机间链路(“EISL”)帧中,例如位于EISL头部中。在处于EISL或FC头部前面的外部安全性头部中,也可能具有SGT。
图6A示出了在以太网帧中放置SGT的一个示例。这里,8字节的前导652处于以太网帧654前面。图6A指出前导652的一种可能的重定义,其中4个字节构成应用专用字段655,该字段可以包含SGT 375。
图6B示出了根据本发明的另一方面已被修改的以太网帧的一部分。这里,字段660定义了指示SGT的新以太网协议类型。下一字段是SGT控制信息字段665,该字段包括SGT 375和字段670。字段670指出在后一字段中的数据的长度和类型,这后一字段是MAC数据字段675。
如在前论述所指出的,本发明的重要方面通常由位于网络内的安全云边界处的路由器的端口来实现。此外,可以对网络中的路由器之间的每一“跳”执行分组的加密和解密。例如,分组可以被网络中的第一路由器的发送端口加密,并被第二路由器的接收端口解密。第二路由器的发送端口可以对分组重新加密,第三路由器的接收端口可以对分组解密,以此类推。流入和流出端口直接连接到源和目的地的主机。直接连接通常是诸如有线或无线链路之类的物理连接。因此,本发明的多个方面通常在部署于(或将要部署于)企业网络边界处的路由器中实现。
如前所述,通常处理分组转发的路由器、交换机和其他网络设备实现了本发明。这些设备具有为处理流过网络(例如以太网、ATM、Sonet和光纤信道等等)的各种流量而设计的端口(网络接口)。可以理解,诸如工作站之类的传统计算设备可以装备允许它们实现本发明的网络接口和网络处理能力。本发明所使用的网络端口可以被固定在网络设备中,或者被实现为可移动的线路卡,该线路卡被配置为处理特定类型的流量。可替换地,它们可以被设置在大型高速交换机的机架中。此外,端口可以包括处理器,以处理各种网络任务,包括(可选地)流入和流出安全性组过滤操作。在其他实施例中,端口没有专用处理器,或者如果它们有专用处理器,那些处理器也不处理本发明的安全性组功能。在这种情况下,网络设备中的中央处理器实现安全性组控制。
除了具有一个或多个端口以及与端口通信并执行实现本发明所需的功能的一个或多个处理器之外,本发明的装置还可以包括耦合到相关处理器的一个或多个存储器设备。这种设备可以存储用于执行本发明的操作的指令。因此,本发明的实施例涉及包括用于执行各种以计算机实现的操作的程序指令和/或数据(包括数据结构)的计算机可读介质或计算机程序产品。计算机可读介质的示例包括,但不局限于,诸如硬盘、软盘和磁带之类的磁介质;诸如CD-ROM盘之类的光介质;磁光介质;以及被专门配置以用于存储和执行程序指令的半导体存储设备和硬件设备,例如只读存储器设备(ROM)和随机访问存储器(RAM)。本发明的数据和程序指令还可以被包含在载波或其他传输介质(包括电子或光传导通路)上。程序指令的示例包括机器代码(例如由编译器所生成的),以及包含更高级代码的文件,所述更高级代码可以由计算机使用解释器来执行。
本发明的网络设备通常存储了某些信息,这些信息使它们能够在流入端口处应用适当的SGT,和/或在流出端口处过滤拥有特定SGT的分组。这些信息可以以列表、表格、数据库等的形式被存储。
注意,实现本发明的路由器通常从和向网络中的各种其他点转发分组。它们可以采用各种转发协议,例如第3层的路由和第2层的交换。重要的是,在执行转发判决中,这些设备一般不依赖于本发明中所使用的SGT。相反,为了确定在下一跳向哪里发送分组/帧,路由器考虑传统的转发判决所需的源和目的地标识符(例如源和目的地的IP地址和端口号)。虽然这些设备在向给定目的地端节点发送流量之前,使用SGT来过滤流量,但是优选的实施例不使用SGT来确定接下来向哪里转发分组。
如前所述,本发明提供了特定值,当特定值被使用时,通过防止某些内部主机访问敏感的网络资源来保护这些资源。但是本发明也可以具有其他应用。例如,它可以强制加入网络中各个节点的服务质量(QoS)等级。不同的SGT可以指示不同的QoS等级。依赖于流量、带宽可用性、网络抖动等等,流出端口可以选择(i)立即发送具有某些SGT的分组,(ii)延迟发送具有其他SGT的其他分组,以及(iii)不发送具有另外其他SGT的另外其他的分组。
虽然在网络边界处的路由器大部分或全部负责实现本发明的安全性组,但是在某些实施例中,其他节点(尤其是源主机)也可以以有限的方式参与进来。具体而言,它们可以被设计或配置为创建在适当的字段中具有SGT的分组,如前所述。在这种情况下,在流入点处的构架网络节点可以执行检查,以确认传入的分组具有经授权的SGT。
虽然已经参照特定实施例具体示出并描述了本发明,但是本领域的技术人员将会理解,在不脱离本发明的精神或范围的情况下,可以对特定实施例的形式和细节进行修改。例如,SGT不仅可以被形成在上述类型的分组中,也可以被形成在使用等同于OSI协议的第3层或更高层的字段来路由的任意种类的分组中。
此外,本发明可广泛应用于其他介质,例如同步光网络(“SONET”)。例如,SGT可以被形成在STS帧的传输开销或同步有效载荷包中。另外,本发明可以在具有无线组件的网络(例如根据IEEE802.11标准构建的无线网络)中实现。
此外,在某些实施例中,SGT将被某些设备(例如防火墙或VPN终结器)所改变。例如,当设备做更深的流量检查,或需要在不同企业网络之间映射SGT时,SGT可能被改变。在某些这种实施例中,根据有状态检查实体所执行的更深层分组检查来设置(或改变)SGT。
在其他实施例中,除流出端口之外的端口可以具有丢弃具有(或不具有)某些SGT的分组的能力。例如,在分组穿过的路径上每个端口可能能够丢弃这样的分组。可替换地,在企业网络中的指定部分中的每个端口可能能够丢失这样的分组。该特征非常有助于为整个企业网络或网络的一部分创建更高的安全性等级,从而例如只允许被标注了某些SGT的分组进入或退出给定边界。
在其他实施例中,同一SGT如果在第一路径上被接收到会被接受,如果在第二路径上被接收到则会被丢弃。例如如果企业网络中的某些部分比其他部分更可靠,那么该特征是非常有用的。
本发明的某些方面可以利用不需要在分组中包括SGT的“目的地源组”来实现。例如,流出网络设备可以例如通过对“目的地资源组”中的目的地分组,来分组对一组目的地公有的方针。在更复杂的方案中,流出交换机将目的地映射到多个目的地组,然后将SGT与目的地组级联起来,并使用它来选择方针。然后,如上所述那样来应用方针。
Claims (18)
1.一种用于在网络内实现安全性组的方法,该方法包括:
在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处接收分组;
根据安全性组标号在所述流入端口处将所述分组分类,所述安全性组标号使一组目的地和被授权访问所述这组目的地的一组源相关联;
在所述流入端口处将安全性组标签应用到所述分组,所述安全性组标签标识所述安全性组标号,并被应用到一个为除虚拟局域网信息之外的信息所预留的字段中,该字段是为第3层或更高层所预留的字段;以及
在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则确定向设备发送所述分组。
2.一种用于在网络内实现安全性组的方法,该方法包括:
在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处接收分组;
在所述流入端口处将所述分组分类为具有安全性组标号,所述安全性组标号使一组目的地和被授权访问所述这组目的地的一组源相关联;
在所述流入端口处将安全性组标签应用到所述分组,所述安全性组标签标识所述安全性组标号,并且所述安全性组标签被应用到一个字段中,该字段是为安全性组信息所预留的字段;以及
在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则确定向设备发送所述分组。
3.一种用于在网络内实现安全性组的方法,该方法包括:
接收第一分组;
将所述第一分组分类为具有从多个安全性组标号中选出的第一安全性组标号,其中所述第一安全性组标号使第一组目的地和被授权访问所述第一组目的地的第一组源相关联;
在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处,将标识所述第一安全性组标号的第一安全性组标签应用到所述第一分组,其中所述第一安全性组标签被应用到一个字段中,该字段是为第3层或更高层所预留的字段,并且其中在该字段中的信息未被路由器间链路用于转发判决;
在不参考所述第一安全性组标签的情况下,基于所述第一分组的第3层中所编码的信息来确定所述第一分组将被路由到的所述企业网络中的第二路由器;以及
在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述第一安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则将所述第一分组发送到其想要去的目的地。
4.如权利要求3所述的方法,还包括:
接收第二分组;
将所述第二分组分类为具有从所述多个安全性组标号中选出的第二安全性组标号,其中所述第二安全性组标号使第二组目的地和被授权访问所述第二组目的地的第二组源相关联;以及
在所述流入端口处将标识所述第二安全性组标号的第二安全性组标签应用到所述第二分组。
5.如权利要求3所述的方法,其中所述分类步骤包括基于源身份对所述分组分类。
6.如权利要求3所述的方法,其中所述分类步骤包括基于有效载荷内容对所述分组分类。
7.如权利要求3所述的方法,还包括:
(a)接收具有标识企业网络内的特定安全性组的第二安全性组标签的第二分组,其中所述第二安全性组标签被设置在包含第3层或更高层信息的分组字段中,并且其中所述字段未被路由器间链路用于转发判决;
(b)基于在所述第二安全性组标签中标识的安全性组,确定是否将所述第二分组发送到其想要去的目的地;以及
(c)基于(b)中的确定结果,将所述第二分组发送到其想要去的目的地,或者拒绝将所述第二分组发送到其想要去的目的地。
8.如权利要求4所述的方法,其中所述第二组源包括被包括在所述第一组源中的源。
9.如权利要求4所述的方法,其中所述第二组目的地包括被包括在所述第一组目的地中的目的地。
10.如权利要求5所述的方法,其中所述源身份包括用户身份。
11.一种用于在企业网络内实现安全性组的装置,该装置包括:
用于在形成企业网络中的路由器云的第一边界的第一路由器的流入端口处接收第一分组的装置;
用于在所述流入端口处将所述第一分组分类为具有从多个安全性组标号中选出的第一安全性组标号的装置,其中所述第一安全性组标号使第一组目的地和被授权访问所述第一组目的地的第一组源相关联;
用于在所述流入端口处将第一安全性组标签应用到所述第一分组的装置,其中所述第一安全性组标签标识所述第一安全性组标号,所述第一安全性组标签被应用到一个字段中,该字段是为第3层或更高层所预留的字段,并且其中所述字段中的信息未被交换机间链路用于转发判决;以及
用于在形成所述企业网络的路由器云的第二边界的第二路由器的流出端口处,如果所述第一安全性组标签与所述第二路由器允许流出的分组中的安全性组标签一致,则确定向设备发送所述第一分组。
12.一种用于在网络内实现安全性组的方法,该方法包括:
在形成企业网络中的路由器云的边界的路由器的流出端口处接收分组;
验证所述分组的源;
读取所述分组的目的地址;
读取所述分组的为第3层或更高层预留的字段中的安全性组标签;
基于所述安全性组标签确定所述分组的第一安全性组,其中所述第一安全性组是多个安全性组之一,并且其中所述第一安全性组使第一组目的地址和被授权访问所述第一组目的地址的第一组源相关联;以及
基于所述源和第一安全性组标号,确定是否向所述目的地址发送所述分组。
13.如权利要求12所述的方法,其中所述第一安全性组是封闭的组。
14.如权利要求12所述的方法,其中所述第一安全性组是部分重叠的组。
15.一种用于在网络内实现安全性组的装置,该装置包括:
用于在形成企业网络中的路由器云的边界的路由器的流出端口处接收分组的装置;
用于验证所述分组的源的装置;
用于读取所述分组的目的地址,并且用于读取所述分组的为第3层或更高层预留的字段中的安全性组标签的装置;
用于基于所述安全性组标签确定所述分组的第一安全性组,并且用于基于所述源和第一安全性组标号确定是否向所述目的地址发送所述分组的装置,其中所述第一安全性组是多个安全性组之一,并且其中所述第一安全性组使第一组目的地址和被授权访问所述第一组目的地址的第一组源相关联。
16.一种在具有多个安全性组的企业网络内实现安全性组的方法,其中所述安全性组中的每一个都包括所述企业网络内的多个网络节点,并且其中所述安全性组中的网络节点受控于管理它们可与哪些网络节点通信的规则,所述方法包括:
(a)在形成企业网络中的路由器云的边界的路由器的流出端口处接收具有标识所述企业网络内的特定安全性组的安全性组标签的分组,其中所述安全性组标签被设置在包含第3层或更高层信息的分组字段中,并且其中所述字段不被用于转发判决;
(b)基于在所述安全性组标签中标识的安全性组,确定是否向所述分组想要去的目的地发送该分组;以及
(c)基于(b)中的确定结果,将所述分组发送到其想要去的目的地,或者拒绝或延迟将所述分组发送到其想要去的目的地。
17.如权利要求16所述的方法,其中(c)包括只有在所述安全性组标签具有指定值时才发送所述分组。
18.如权利要求17所述的方法,其中(c)影响服务等级的限制,并且其中不同的安全性组对应于不同的服务等级。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/367,341 | 2003-02-13 | ||
US10/367,341 US7567510B2 (en) | 2003-02-13 | 2003-02-13 | Security groups |
PCT/US2004/002771 WO2004075509A1 (en) | 2003-02-13 | 2004-01-30 | Method and apparatus for enforcing security groups for vlans |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1748401A CN1748401A (zh) | 2006-03-15 |
CN1748401B true CN1748401B (zh) | 2011-08-31 |
Family
ID=32849963
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200480004038.0A Expired - Fee Related CN1748401B (zh) | 2003-02-13 | 2004-01-30 | 用于对vlan强制加入安全性组的方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US7567510B2 (zh) |
EP (1) | EP1593251B1 (zh) |
CN (1) | CN1748401B (zh) |
AU (1) | AU2004214281B2 (zh) |
CA (1) | CA2515510C (zh) |
WO (1) | WO2004075509A1 (zh) |
Families Citing this family (113)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8910241B2 (en) | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
US7778999B1 (en) | 2003-01-24 | 2010-08-17 | Bsecure Technologies, Inc. | Systems and methods for multi-layered packet filtering and remote management of network devices |
WO2004092887A2 (en) * | 2003-04-09 | 2004-10-28 | New Jersey Institute Of Technology | Methods and apparatus for multi-level dynamic security system |
US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US8862866B2 (en) | 2003-07-07 | 2014-10-14 | Certicom Corp. | Method and apparatus for providing an adaptable security level in an electronic communication |
US7447203B2 (en) | 2003-07-29 | 2008-11-04 | At&T Intellectual Property I, L.P. | Broadband access for virtual private networks |
US7876772B2 (en) | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US8245279B2 (en) * | 2003-08-19 | 2012-08-14 | Certicom Corp. | Method and apparatus for synchronizing an adaptable security level in an electronic communication |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US7451483B2 (en) * | 2003-10-09 | 2008-11-11 | International Business Machines Corporation | VLAN router with firewall supporting multiple security layers |
US7613195B2 (en) * | 2003-10-27 | 2009-11-03 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for managing computer networks |
US7836490B2 (en) * | 2003-10-29 | 2010-11-16 | Cisco Technology, Inc. | Method and apparatus for providing network security using security labeling |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
US20050177713A1 (en) * | 2004-02-05 | 2005-08-11 | Peter Sim | Multi-protocol network encryption system |
US20050226169A1 (en) * | 2004-02-19 | 2005-10-13 | Kelsey Richard A | Dynamic identification of nodes in a network |
US7721324B1 (en) * | 2004-03-18 | 2010-05-18 | Oracle America, Inc. | Securing management operations in a communication fabric |
US7669244B2 (en) * | 2004-10-21 | 2010-02-23 | Cisco Technology, Inc. | Method and system for generating user group permission lists |
US7877796B2 (en) | 2004-11-16 | 2011-01-25 | Cisco Technology, Inc. | Method and apparatus for best effort propagation of security group information |
US7721323B2 (en) | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
US7886145B2 (en) | 2004-11-23 | 2011-02-08 | Cisco Technology, Inc. | Method and system for including security information with a packet |
US7827402B2 (en) * | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
KR100645517B1 (ko) | 2004-12-16 | 2006-11-15 | 삼성전자주식회사 | 가입자 등급에 따른 브이오아이피 호 처리 방법 및 그시스템 |
WO2006067951A1 (ja) * | 2004-12-22 | 2006-06-29 | Matsushita Electric Industrial Co., Ltd. | アクセス制御装置およびアクセス制御方法 |
US7996894B1 (en) * | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
CN101180828B (zh) * | 2005-05-16 | 2012-12-05 | 艾利森电话股份有限公司 | 用于在综合网络中加密和传输数据的装置与方法 |
US8069270B1 (en) | 2005-09-06 | 2011-11-29 | Cisco Technology, Inc. | Accelerated tape backup restoration |
US8001610B1 (en) * | 2005-09-28 | 2011-08-16 | Juniper Networks, Inc. | Network defense system utilizing endpoint health indicators and user identity |
US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
US7716472B2 (en) | 2005-12-29 | 2010-05-11 | Bsecure Technologies, Inc. | Method and system for transparent bridging and bi-directional management of network data |
US7882538B1 (en) | 2006-02-02 | 2011-02-01 | Juniper Networks, Inc. | Local caching of endpoint security information |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
WO2007118307A1 (en) | 2006-04-13 | 2007-10-25 | Certicom Corp. | Method and apparatus for providing an adaptable security level in an electronic communication |
US7774837B2 (en) * | 2006-06-14 | 2010-08-10 | Cipheroptics, Inc. | Securing network traffic by distributing policies in a hierarchy over secure tunnels |
US20080222693A1 (en) * | 2006-08-08 | 2008-09-11 | Cipheroptics, Inc. | Multiple security groups with common keys on distributed networks |
US8082574B2 (en) * | 2006-08-11 | 2011-12-20 | Certes Networks, Inc. | Enforcing security groups in network of data processors |
US7660303B2 (en) | 2006-08-22 | 2010-02-09 | Corrigent Systems Ltd. | Point-to-multipoint functionality in a bridged network |
US20080072281A1 (en) * | 2006-09-14 | 2008-03-20 | Willis Ronald B | Enterprise data protection management for providing secure communication in a network |
US20080072033A1 (en) * | 2006-09-19 | 2008-03-20 | Mcalister Donald | Re-encrypting policy enforcement point |
US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
US8607301B2 (en) * | 2006-09-27 | 2013-12-10 | Certes Networks, Inc. | Deploying group VPNS and security groups over an end-to-end enterprise network |
US8284943B2 (en) * | 2006-09-27 | 2012-10-09 | Certes Networks, Inc. | IP encryption over resilient BGP/MPLS IP VPN |
US8104082B2 (en) * | 2006-09-29 | 2012-01-24 | Certes Networks, Inc. | Virtual security interface |
US8046820B2 (en) * | 2006-09-29 | 2011-10-25 | Certes Networks, Inc. | Transporting keys between security protocols |
US20080162922A1 (en) * | 2006-12-27 | 2008-07-03 | Swartz Troy A | Fragmenting security encapsulated ethernet frames |
US7864762B2 (en) * | 2007-02-14 | 2011-01-04 | Cipheroptics, Inc. | Ethernet encryption over resilient virtual private LAN services |
FR2918779B1 (fr) * | 2007-07-10 | 2009-11-20 | Thales Sa | Commutateur de donnees securise |
US7886335B1 (en) | 2007-07-12 | 2011-02-08 | Juniper Networks, Inc. | Reconciliation of multiple sets of network access control policies |
US7840708B2 (en) | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
US8516539B2 (en) | 2007-11-09 | 2013-08-20 | Citrix Systems, Inc | System and method for inferring access policies from access event records |
US8990910B2 (en) | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
US8943575B2 (en) * | 2008-04-30 | 2015-01-27 | Citrix Systems, Inc. | Method and system for policy simulation |
US8464074B1 (en) | 2008-05-30 | 2013-06-11 | Cisco Technology, Inc. | Storage media encryption with write acceleration |
JP5335077B2 (ja) * | 2008-07-03 | 2013-11-06 | ゼットティーイー コーポレーション | 階層型無線アクセスシステムの同期、スケジューリング、ネットワーク管理と周波数割当方法 |
US8091115B2 (en) | 2008-10-03 | 2012-01-03 | Microsoft Corporation | Device-side inline pattern matching and policy enforcement |
US8990573B2 (en) * | 2008-11-10 | 2015-03-24 | Citrix Systems, Inc. | System and method for using variable security tag location in network communications |
EP2430800A4 (en) * | 2009-05-15 | 2014-01-08 | Hewlett Packard Development Co | METHOD AND APPARATUS FOR APPLYING POLICIES USING A LABEL |
US8826366B2 (en) * | 2010-07-15 | 2014-09-02 | Tt Government Solutions, Inc. | Verifying access-control policies with arithmetic quantifier-free form constraints |
US8345692B2 (en) | 2010-04-27 | 2013-01-01 | Cisco Technology, Inc. | Virtual switching overlay for cloud computing |
WO2011159842A2 (en) | 2010-06-15 | 2011-12-22 | Nimbula, Inc. | Virtual computing infrastructure |
US10715457B2 (en) | 2010-06-15 | 2020-07-14 | Oracle International Corporation | Coordination of processes in cloud computing environments |
US9141831B2 (en) | 2010-07-08 | 2015-09-22 | Texas Instruments Incorporated | Scheduler, security context cache, packet processor, and authentication, encryption modules |
US8804504B1 (en) * | 2010-09-16 | 2014-08-12 | F5 Networks, Inc. | System and method for reducing CPU load in processing PPP packets on a SSL-VPN tunneling device |
US9148360B2 (en) * | 2010-11-01 | 2015-09-29 | Hewlett-Packard Development Company, L.P. | Managing MAC moves with secure port groups |
US9104672B2 (en) * | 2011-02-25 | 2015-08-11 | International Business Machines Corporation | Virtual security zones for data processing environments |
US8793358B1 (en) * | 2011-04-27 | 2014-07-29 | Juniper Networks, Inc. | Flexible packet processing for network devices |
CN102932382B (zh) | 2011-08-08 | 2018-03-23 | 中兴通讯股份有限公司 | 安全按需供给方法及系统、业务类型获取方法 |
US8745384B2 (en) | 2011-08-11 | 2014-06-03 | Cisco Technology, Inc. | Security management in a group based environment |
KR101902016B1 (ko) * | 2011-09-29 | 2018-10-01 | 한국전력공사 | 보안서비스 제공 방법 및 장치 |
CN104303175B (zh) | 2012-02-10 | 2018-06-12 | 甲骨文国际公司 | 云计算服务框架 |
US8989188B2 (en) * | 2012-05-10 | 2015-03-24 | Cisco Technology, Inc. | Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode |
US20130305344A1 (en) * | 2012-05-14 | 2013-11-14 | Alcatel-Lucent India Limited | Enterprise network services over distributed clouds |
US9619545B2 (en) | 2013-06-28 | 2017-04-11 | Oracle International Corporation | Naïve, client-side sharding with online addition of shards |
CN103384251B (zh) * | 2013-07-16 | 2016-02-03 | 中国人民解放军信息工程大学 | 多等级安全服务的可组合安全网络构建方法及其装置 |
EP3025245A4 (en) * | 2013-07-26 | 2017-05-03 | Empire Technology Development LLC | Device and session identification |
US9792622B2 (en) * | 2013-09-05 | 2017-10-17 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Communicating device data prior to establishing wireless power connection |
CN104579695B (zh) * | 2013-10-23 | 2018-07-20 | 新华三技术有限公司 | 一种数据转发装置和方法 |
CN104580011B (zh) * | 2013-10-23 | 2017-12-15 | 新华三技术有限公司 | 一种数据转发装置和方法 |
CN104639512B (zh) * | 2013-11-14 | 2018-08-21 | 华为技术有限公司 | 网络安全方法和设备 |
TWI555391B (zh) * | 2014-01-15 | 2016-10-21 | 昆盈企業股份有限公司 | 電器裝置遙控系統及其訊號轉換裝置與訊號轉換裝置控制方法 |
US9548897B2 (en) | 2014-01-17 | 2017-01-17 | Amazon Technologies, Inc. | Network entity registry for network entity handles included in network traffic policies enforced for a provider network |
US9838424B2 (en) * | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
US9942756B2 (en) * | 2014-07-17 | 2018-04-10 | Cirrent, Inc. | Securing credential distribution |
US10834592B2 (en) | 2014-07-17 | 2020-11-10 | Cirrent, Inc. | Securing credential distribution |
US10356651B2 (en) | 2014-07-17 | 2019-07-16 | Cirrent, Inc. | Controlled connection of a wireless device to a network |
JP2016082521A (ja) * | 2014-10-21 | 2016-05-16 | 富士通株式会社 | 情報処理装置、及び、情報処理方法 |
US9998434B2 (en) * | 2015-01-26 | 2018-06-12 | Listat Ltd. | Secure dynamic communication network and protocol |
US11627639B2 (en) * | 2015-01-26 | 2023-04-11 | Ievgen Verzun | Methods and apparatus for HyperSecure last mile communication |
US11277390B2 (en) | 2015-01-26 | 2022-03-15 | Listat Ltd. | Decentralized cybersecure privacy network for cloud communication, computing and global e-commerce |
US9553885B2 (en) | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US9755939B2 (en) * | 2015-06-26 | 2017-09-05 | Cisco Technology, Inc. | Network wide source group tag binding propagation |
CN106549793B (zh) * | 2015-09-23 | 2020-08-07 | 华为技术有限公司 | 流量控制方法及设备 |
US10333897B2 (en) * | 2015-10-23 | 2019-06-25 | Attala Systems Corporation | Distributed firewalls and virtual network services using network packets with security tags |
US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
UA125677C2 (uk) * | 2017-04-03 | 2022-05-11 | Лістат Лтд. | Методи та пристрій гіперзахищеного зв'язку "останньої милі" |
US10958622B2 (en) | 2018-01-10 | 2021-03-23 | Cisco Technology, Inc. | Hierarchical security group identifiers |
US11057776B2 (en) * | 2018-01-11 | 2021-07-06 | Mediatek Inc. | Device identifying method, identifying device, and device pairing method |
US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
US11805104B2 (en) | 2018-12-14 | 2023-10-31 | Battelle Memorial Institute | Computing system operational methods and apparatus |
US10764177B2 (en) * | 2019-01-21 | 2020-09-01 | Mellanox Technologies Tlv Ltd. | Efficient implementation of complex network segmentation |
US11336694B2 (en) * | 2019-08-05 | 2022-05-17 | Cisco Technology, Inc. | Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes |
US11516184B2 (en) | 2019-09-05 | 2022-11-29 | Cisco Technology, Inc. | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall |
US11647019B2 (en) * | 2019-10-16 | 2023-05-09 | Cisco Technology, Inc. | Systems and methods for providing security orchestration for trusted traffic segmentation on untrusted devices |
CN111131039B (zh) * | 2019-12-16 | 2022-03-25 | 新华三大数据技术有限公司 | 一种报文转发控制方法及装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5978378A (en) * | 1997-09-11 | 1999-11-02 | 3Com Corporation | Method and apparatus for VLAN support |
CN1298592A (zh) * | 1998-04-27 | 2001-06-06 | 因特纳普网络服务公司 | 建立网络中的接续 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5742604A (en) * | 1996-03-28 | 1998-04-21 | Cisco Systems, Inc. | Interswitch link mechanism for connecting high-performance network switches |
US6035405A (en) * | 1997-12-22 | 2000-03-07 | Nortel Networks Corporation | Secure virtual LANs |
ATE301895T1 (de) | 1999-06-10 | 2005-08-15 | Alcatel Internetworking Inc | System und verfahren zur automatischen erreichbarkeitsaktualisierung in virtuellen privaten netzen |
US6850495B1 (en) | 2000-08-31 | 2005-02-01 | Verizon Communications Inc. | Methods, apparatus and data structures for segmenting customers using at least a portion of a layer 2 address header or bits in the place of a layer 2 address header |
US7092389B2 (en) * | 2001-01-30 | 2006-08-15 | At&T Corp. | Technique for ethernet access to packet-based services |
US7061899B2 (en) * | 2001-05-01 | 2006-06-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing network security |
US7272137B2 (en) * | 2001-05-14 | 2007-09-18 | Nortel Networks Limited | Data stream filtering apparatus and method |
US7411980B2 (en) * | 2001-12-14 | 2008-08-12 | Broadcom Corporation | Filtering and forwarding frames within an optical network |
US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
US7120791B2 (en) * | 2002-01-25 | 2006-10-10 | Cranite Systems, Inc. | Bridged cryptographic VLAN |
US7546458B1 (en) * | 2002-05-04 | 2009-06-09 | Atheros Communications, Inc. | Method for organizing virtual networks while optimizing security |
US20030235191A1 (en) * | 2002-06-19 | 2003-12-25 | Heggarty Jonathan W. | VLAN inheritance |
US6950628B1 (en) * | 2002-08-02 | 2005-09-27 | Cisco Technology, Inc. | Method for grouping 802.11 stations into authorized service sets to differentiate network access and services |
JP3729265B2 (ja) * | 2002-08-22 | 2005-12-21 | 日本電気株式会社 | ネットワークシステム、スパニングツリー構成方法、スパニングツリー構成ノード、及びスパニングツリー構成プログラム |
US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US7721323B2 (en) * | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
US7827402B2 (en) * | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
US7483423B2 (en) * | 2005-03-30 | 2009-01-27 | Intel Corporation | Authenticity of communications traffic |
US20080162922A1 (en) * | 2006-12-27 | 2008-07-03 | Swartz Troy A | Fragmenting security encapsulated ethernet frames |
US7840708B2 (en) * | 2007-08-13 | 2010-11-23 | Cisco Technology, Inc. | Method and system for the assignment of security group information using a proxy |
-
2003
- 2003-02-13 US US10/367,341 patent/US7567510B2/en active Active
-
2004
- 2004-01-30 CN CN200480004038.0A patent/CN1748401B/zh not_active Expired - Fee Related
- 2004-01-30 AU AU2004214281A patent/AU2004214281B2/en not_active Ceased
- 2004-01-30 WO PCT/US2004/002771 patent/WO2004075509A1/en active Application Filing
- 2004-01-30 EP EP04707069.3A patent/EP1593251B1/en not_active Expired - Lifetime
- 2004-01-30 CA CA2515510A patent/CA2515510C/en not_active Expired - Fee Related
-
2009
- 2009-07-27 US US12/509,894 patent/US8295168B2/en not_active Expired - Lifetime
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5978378A (en) * | 1997-09-11 | 1999-11-02 | 3Com Corporation | Method and apparatus for VLAN support |
CN1298592A (zh) * | 1998-04-27 | 2001-06-06 | 因特纳普网络服务公司 | 建立网络中的接续 |
Also Published As
Publication number | Publication date |
---|---|
US20090300350A1 (en) | 2009-12-03 |
AU2004214281B2 (en) | 2009-07-30 |
EP1593251A1 (en) | 2005-11-09 |
US7567510B2 (en) | 2009-07-28 |
CN1748401A (zh) | 2006-03-15 |
CA2515510C (en) | 2010-09-14 |
US8295168B2 (en) | 2012-10-23 |
US20040160903A1 (en) | 2004-08-19 |
EP1593251B1 (en) | 2016-06-29 |
AU2004214281A1 (en) | 2004-09-02 |
CA2515510A1 (en) | 2004-09-02 |
WO2004075509A1 (en) | 2004-09-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1748401B (zh) | 用于对vlan强制加入安全性组的方法和装置 | |
US7061899B2 (en) | Method and apparatus for providing network security | |
US20050190758A1 (en) | Security groups for VLANs | |
US8689316B2 (en) | Routing a packet by a device | |
US8745373B2 (en) | Systems and methods for applying encryption to network traffic on the basis of policy | |
CN101682656B (zh) | 用于保护数据分组的路由选择的方法和设备 | |
EP1463239B1 (en) | Method and apparatus for protection of network infrastructure and for secure communication of control information | |
Ahsan | Covert channel analysis and data hiding in TCP/IP | |
EP1825652B1 (en) | Method and system for including network security information in a frame | |
US7877601B2 (en) | Method and system for including security information with a packet | |
CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
US20100192202A1 (en) | System and Method for Implementing a Secured and Centrally Managed Virtual IP Network Over an IP Network Infrastructure | |
CN107078898A (zh) | 一种在多路径网络上建立安全私人互连的方法 | |
CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
US8687485B1 (en) | Method and apparatus for providing replay protection in systems using group security associations | |
US11115395B2 (en) | Cross-domain information transfer system and associated methods | |
CN115348118B (zh) | 一种基于密码技术的网络地址和端口号隐藏方法 | |
US6915351B2 (en) | Community separation control in a closed multi-community node | |
Shaaban et al. | A proposed X. 800-based security architechture framework for unmanned aircraft system | |
Sailer et al. | History based distributed filtering-a tagging approach to network-level access control | |
Ellis | Security As a Service for Rail Applications | |
Parker II | Layer 2 security services for local area networks | |
Nagmote | An Overview Of Network Security Model Using Cryptography, Firewall And Vpn For Social Organization With There Benifits | |
Verschuren | Security of computer networks | |
Schanning | Secure relays: An alternative approach to LANSEC |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110831 Termination date: 20210130 |