DE69730452T2 - Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät - Google Patents

Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät Download PDF

Info

Publication number
DE69730452T2
DE69730452T2 DE69730452T DE69730452T DE69730452T2 DE 69730452 T2 DE69730452 T2 DE 69730452T2 DE 69730452 T DE69730452 T DE 69730452T DE 69730452 T DE69730452 T DE 69730452T DE 69730452 T2 DE69730452 T2 DE 69730452T2
Authority
DE
Germany
Prior art keywords
pdus
policy
pdu
stream
instance
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69730452T
Other languages
English (en)
Other versions
DE69730452D1 (de
Inventor
P. James HUGHES
A. Steve OLSON
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Storage Technology Corp
Original Assignee
Storage Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=24674843&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69730452(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Storage Technology Corp filed Critical Storage Technology Corp
Application granted granted Critical
Publication of DE69730452D1 publication Critical patent/DE69730452D1/de
Publication of DE69730452T2 publication Critical patent/DE69730452T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0478Provisions for broadband connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5619Network Node Interface, e.g. tandem connections, transit switching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5625Operations, administration and maintenance [OAM]
    • H04L2012/5626Network management, e.g. Intelligent nets
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5629Admission control
    • H04L2012/563Signalling, e.g. protocols, reference model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Lizenzrechte der Regierung
  • Die US-Regierung besitzt eine bezahlte Lizenz an der vorliegenden Erfindung sowie das Recht, unter bestimmten Umständen zu verlangen, dass der Patentinhaber Lizenzen an andere zu angemessenen Konditionen gemäß den Bedingungen des Vertrags Nr. MDA 904-94-C-F059 zu gewähren, der mit dem Maryland Procurement Office, 9800 Savage Road, Fort George G. Meade, MD 20755, abgeschlossen wurde.
  • Bereich der Erfindung
  • Die vorliegende Erfindung betrifft Datenkommunikation und insbesondere Richtlinienmanagement über die Datenkommunikation.
  • Hintergrund der Erfindung
  • In einem Datenkommunikationsnetz werden Routing-, Bridging-, Schalt-, Filter- und Prüffunktionen von Protokolldateneinheiten (z.B. Datenpaketen, Zellen oder Frames, die Sprach-, Video- oder Dateninformationen enthalten) kollektiv durch Netzwerkrichtlinien gehandhabt.
  • Um die Funktionsweise von Netzwerkrichtlinien in einem Datenkommunikationsnetz besser zu verstehen, hilft möglicherweise eine Analogie. In vielerlei Hinsicht sind Datenkommunikationsnetze Postzustellsystemen ähnlich, wobei Postsendungen wie z.B. Briefe oder Pakete mit den Protokolldateneinheiten vergleichbar sind, die in einem Datenkommunikationsnetz transportiert werden. In einem Postzustellsystem können die Postsendungen auf eine Reihe verschiedener Weisen in das Postzustellsystem gelangen. Alle Postsendungen werden in dem Postzustellsystem gesammelt und zu nahe gelegenen Bearbeitungseinrichtungen transportiert, wo die Postsendungen zur Weiterbearbeitung sortiert werden.
  • Jede Postsendung hat zwar eine eindeutige Zustelladresse, aber die meisten Postsendungen werden automatisch nach einer kürzeren Postleitzahl oder nach einem anderen Typ von Wegleitcode sortiert. Briefe ohne Postleitzahl müssen per Hand sortiert und bearbeitet werden. Wenn die Post nach Zielort sortiert ist, muss sie durch zusätzliche Zwischenbearbeitungseinrichtungen geleitet werden, bis sie an dem Ort ankommt, der als das Ziel auf der Postsendung angegeben ist. Alle diese Abläufe zum Sortieren und Zustellen der Postsendung unterliegen Vorschriften und Verfahrensregeln.
  • Zusätzlich zum Bearbeiten von Postsendungen zum Leiten der Post zum richtigen Zielort können die Postsendungen mehrere weitere Bearbeitungsschritte durchlaufen. Wenn beispielsweise die Postsendung das Land verlassen soll, dann besteht die Richtlinie darin, dass in jedem Land ein Zollprüfvorgang durchlaufen werden muss. Wenn die Postsendung durch das nationale Postzustellsystem zugestellt wird, dann muss sie auch von einem nationalen Postzustellsystem zu einem anderen übergeben werden. In einem privaten Postzustellsystem wäre dieser Übergabeschritt jedoch nicht notwendig. Die Postsendungen können auch im Hinblick auf Dinge wie Postbetrug oder Versand gefährlicher Stoffe überwacht oder gefiltert werden. Auch alle diese Vorgänge werden durch Richtlinien geregelt, die in Vorschriften und Verfahrensregeln dargelegt sind.
  • Datenpakete werden in einem Datenkommunikationsnetz auf eine Weise ähnlich der manipuliert, mit der Postsendungen in einem Postzustellsystem zugestellt werden. Datenpakete werden beispielsweise von vielen verschiedenen Gerätetypen erzeugt und auf ein Kommunikationsnetz gesetzt. Die Datenpakete werden typischerweise auf einem Weiterleitungsgerät zusammengefasst, wie z.B. auf einer/m lokalen Bridge oder Router, und dann nach Größe und Zielort über einen oder mehrere Datenträgertypen (z.B. Faseroptik) geleitet, die mit Zielgeräten verbunden sind, die andere größere oder kleinere Bridges oder Routers sein können. Diese Zielgeräte bringen dann das Datenpaket zu seinem Endpunkt (d.h. zum Endbenutzer). Unterwegs kann das Datenkommunikationsnetz Richtlinienprüfungen (d.h. Filter- und Prüf/Überwachungsfunktionen) in Bezug auf die Datenpakete durchführen. Diese Routing-, Bridging-, Schalt-, Filter- und Prüffunktionen unterliegen ebenfalls Richtlinien, die in von Systemadministratoren und dergleichen festgelegten Vorschriften und Verfahrensregeln dargelegt sind. Diese Vorschriften und Verfahrensregeln sind allgemein als Kommunikationsnetzrichtlinien bekannt.
  • Mit zunehmender Größe, Komplexität und Geschwindigkeit von Kommunikationsnetzen wird es immer wichtiger, Netzwerkrichtlinien für die Handhabung von Protokolldateneinheiten (PDUs) auf effiziente Weise festzulegen und zu verwalten. Die Netzwerkrichtlinien werden gewöhnlich von einem Kommunikationsgerät durchgesetzt. Das Gerät ermittelt eine Disposition der PDUs auf der Basis von Netzwerkrichtlinien, die in das Gerät einprogrammiert wurden.
  • Ebenso wie Postzustellsysteme ständig zunehmende Postvolumen erfahren haben, die zugestellt werden müssen, nimmt auch das Volumen von PDUs, die über Computer-/Datenkommunikationsnetze übertragen werden, immer mehr zu, während mit dieser neuen Form von Kommunikationszustellsystem Erfahrungen gesammelt und immer mehr Anwendungen mit immer ausgedehnteren Mitteln entwickelt werden.
  • Darüber hinaus hat die sich rasch ändernde Technologie die zu Grunde liegenden Datenübertragungsbetriebsmittel für Computerkommunikationsnetze relativ kostenarm gemacht. Faseroptik bietet beispielsweise Datenübertragungsraten im Gbps-Bereich.
  • Es besteht Bedarf an einer Möglichkeit, Netzwerkrichtlinien auf diesen schnellen Netzwerken durchzusetzen, die effizient und kostenarm ist und den Effekt minimal hält, den die Durchsetzung von Netzwerkrichtlinien auf PDU-Durchsatzraten für Geräte hat, die diese Richtlinien durchsetzen. Die vorliegende Erfindung stellt eine Lösung für dieses sowie für andere Probleme bereit und bietet weitere Vorteile gegenüber dem Stand der Technik.
  • Es wird auf „Flow Labelled IP: A Connectionless Approach to ATM", Proceedings of Infocom, US, Los Alamitos, IEEE Comp. Soc. Press, Bd. Conf. 15, 1996, Seiten 1251–1260, XP000622261, ISBN: 0-8186-7293-5 verwiesen, wo der Verzicht auf die verbindungsorientierte Natur von ATM (Asynchronous Transfer Mode) und die Integration von schneller ATM-Hardware direkt in das Internetprotokoll (IP) unter Bewahrung der verbindungslosen Natur des IP erörtert wird. Das Dokument offenbart die Nutzung eines „Soft"-Zustands in der ATM-Hardware zum Cachen der IP-Weiterleitungsentscheidung, so dass mehr Verkehr auf demselben IP-Strom von der ATM-Hardware geschaltet anstatt von IP-Software weitergeleitet werden kann.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung stellt ein Netzwerkrichtlinien-Caching-Schema bereit, das das Problem des Durchsetzens von Richtlinien bei hohen Datendurchsatzraten durch Analysieren von einer PDU aus einer Gruppe von verwandten PDUs löst, um eine Netzwerkrichtlinie für die PDU zu ermitteln, den relevanten Teil der Richtlinie zu cachen und diese gecachte Richtlinie auf die übrigen verwandten PDUs anzuwenden, ohne eine komplette Analyse der übrigen verwandten PDUs zu erfordern.
  • Gemäß einem ersten Aspekt der Erfindung wird ein Richtlinien-Caching-Verfahren für die Verwendung in einem Kommunikationsgerät bereitgestellt, umfassend die folgenden Schritte:
  • Ermitteln einer Instanz einer PDU- (Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis des Inhalts von einer der verwandten empfangenen PDUs angewendet werden soll, wobei die verwandten empfangenen PDUs eine 'Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und Cachen von Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll.
  • So kann das Kommunikationsgerät beispielsweise ein Datennetzgerät, ein Computer, ein Überwachungsgerät, ein Switch, ein Router, eine Bridge oder eine Firewall sein. Dieses Verfahren wird mit geräteimplementierten Schritten in einer Reihe von getrennten Verarbeitungsschritten durchgeführt, die in einem oder mehreren Prozessoren implementiert werden können. Eine Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs angewendet werden soll, wird auf der Basis des Inhalts von einer der verwandten empfangenen PDUs ermittelt. Wenn beispielsweise eine PDU empfangen wird, dann wird ihre relevante Richtlinie geprüft. Diese Richtlinie kann sehr breit und komplex sein, so dass sie einer erheblichen Analyse bedarf. Wenn diese empfangene PDU als Richtlinieninstanz angesehen wird, von der erwartet wird, dass sie häufig auftritt, dann ist sie ein Kandidat für eine Cache-Operation. Beispiele für solche Richtlinien sind Filterung (z.B. Weiterleiten oder Nichtweiterleiten der PDU) und/oder Auditing (z.B. Senden einer Kopie der PDU zu einem Dritten). Diese Netzwerkrichtlinienanalyse erfolgt vorzugsweise an der ersten empfangenen PDU. Danach werden die PDU-Richtlinieninstanz identifizierenden Richtlinienidentifikationsinformationen für die spätere Anwendung auf andere der verwandten empfangenen PDUs gecacht.
  • Nach dem Cachen der Richtlinie wird die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien vorzugsweise auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen angewendet. Darüber hinaus wird die Netzwerkrichtlinieninstanz durch Filterung und Prüfung der verwandten empfangenen PDUs durchgeführt.
  • Beim Betrieb wird ein Strom von PDUs von einer Kommunikationsverbindung empfangen. Eine Teilmenge von PDUs aus dem Strom von PDUs wird vorzugsweise als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien gruppiert. Diese Auswahlkriterien können viele Formen haben. So können die verwandten empfangenen PDUs beispielsweise ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von PDUs sein, die identische Kategorisierungsfelder haben, wie z.B.: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld.
  • Dieser erste Aspekt der Erfindung kann auch als Richtlinien-Cache für die Verwendung in einem Kommunikationsgerät implementiert werden, das mit einer Datenkommunikationsverbindung gekoppelt ist.
  • Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Richtlinien-Cache zur Verwendung in einem Kommunikationsgerät bereitgestellt, der Folgendes umfasst:
    • a) ein Ausnahmeverarbeitungsmittel zum Ermitteln einer Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewandt werden sollen, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und
    • b) ein Gecachte-Instanz-Klassifizierungsmittel, das funktionell mit dem Ausnahmeverarbeitungsmittel gekoppelt ist, um Richtlinienidentifikationsinformationen zu cachen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewandt werden sollen.
  • Ein Instanz-Richtlinien-Cache ist vorzugsweise funktionell mit dem Ausnahmeprozessor gekoppelt, um die PDU-Richtlinieninstanz zu cachen, die auf andere der verwandten empfangenen PDUs angewandt werden soll.
  • Dieser Richtlinien-Cache wird vorzugsweise in ein Kommunikationsgerät eingebaut, das auch einen Datenstromprozessor beinhaltet. Der Datenstromprozessor wendet die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere der verwandten empfangenen PDUs durch Nutzen der gecachten Richtlinienidentifikationsinformationen an, um die gecachte PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache abzurufen.
  • Diese sowie verschiedene andere Merkmale und Vorteile, die die vorliegende Erfindung charakterisieren, gehen aus einem Studium der nachfolgenden ausführlichen Beschreibung und aus einer Betrachtung der zugehörigen Zeichnungen hervor.
  • Kurze Beschreibung der Zeichnungen
  • 1 ist ein Blockdiagramm, das ein Kommunikationsgerät der bevorzugten Ausgestaltung mit einer Richtlinie zeigt, die gemäß der vorliegenden Erfindung gecacht wurde;
  • 2 und 3 sind Blockdiagramme, die das Kommunikationsgerät der bevorzugten Ausgestaltung gemäß 1 in verschiedenen Kommunikationsnetztopologien gemäß der vorliegenden Erfindung zeigt;
  • 4 ist ein Fließschema, das bevorzugte Ausgestaltungsschritte des Richtlinien-Caching gemäß der vorliegenden Erfindung aufführt.
  • Ausführliche Beschreibung der bevorzugten Ausgestaltung
  • Das in 1 gezeigte Kommunikationsgerät der bevorzugten Ausgestaltung wird beispielhaft mit Bezug auf ATM- (Asynchronous Transfer Mode) Kommunikationen beschrieben. Eine allgemeine Erörterung der technischen Merkmale und Funktionen der ATM-Kommunikation befindet sich beispielsweise in einem Buch von McDysan, David E. und Spohn, Darren L., ATM: Theory and Application, McGraw-Hill Inc. 1995. Die Fachperson wird jedoch verstehen, dass die hierin beschriebenen Grundsätze auch auf jedes andere Datenkommunikationssystem angewendet werden können, das Informationen als PDUs überträgt.
  • Das Kommunikationsgerät 100 ist gewöhnlich mit physikalischen Datenträgern verbunden, die Synchronisation und Träger für Punkt-zu-Punkt-Verbindungen bieten. In einer ATM-Umgebung werden diese Verbindungen zum Verknüpfen von Switches miteinander oder zum Bereitstellen von Diensten zwischen dem öffentlichen Netz und den Privatgeräten oder Geräten am Standort des Kunden verwendet.
  • Dieses Kommunikationsgerät 100 ist vorzugsweise ein Endpunkt für den physikalischen Datenträger und implementiert keine Bitübertragungsschicht-Verwaltung, mit Ausnahme des Leitungsstatus, der notwendig ist, um der Quelle die Leitungsqualität zu melden. In alternativen Ausgestaltungen kann die Bitübertragungsschicht-Verwaltung in ein Kommunikationsgerät 100 integriert sein, und in diesem Fall kann es auch andere Datenvernetzungsfunktionen ausführen (z.B. Switching, Routing oder Bridging), die mit den Netzwerkrichtlinien konform sind, die das Kommunikationsgerät 100 durchsetzt.
  • Mit ATM können an individuellen PDUs Signalgabe-, Filter- und Protokollierfunktionen durchgeführt werden. Wenn es nur eines dieser Geräte 100 in dem Pfad zwischen Quelle und Ziel gibt, dann können Verbindungen lediglich gefiltert und protokolliert werden. Dies ist eine wichtige Funktion, die jedoch keine Geheimhaltung über das Netz bietet und auch keine Schnittstelle zum öffentlichen Netz authentifiziert. Wenn die ATM-Verbindung hergestellt ist, werden Informationen für die Verwendung durch die PDU-Filterungshardware zum Steuern des PDU-Inhalts bereitgestellt. Dies gibt vollkommene Flexibilität beim Design von IP-PDU-Filtern auf der Basis von Quell- und Ziel-ATM-Adressen. Dies kann vielleicht mit Hilfe einer Illustration erläutert werden. Wenn auf eine bestimmte IP-Adresse nur über einen begrenzten Satz von ATM-Adressen zugegriffen werden kann, dann kann diese IP-Adresse ungültig gemacht werden, wenn die PDU auf eine VC stößt, die nicht von dem richtigen Satz von ATM-Quelladressen kommt.
  • In der bevorzugten Ausgestaltung werden die ATM-Verbindungen anhand von gültigen oder ungültigen Quell-, Ziel- und paarweisen Listen von ATM-Adressen geprüft, und wenn zulässig, dann wird die Verbindung hergestellt. Unabhängig davon, ob die Verbindung fertig ist, wird der Verbindungsversuch für Prüfzwecke protokolliert.
  • Wenn das ATM-Paar als für Kommunikationen zulässig definiert ist (ob explizit oder implizit), wird auch die Pro-PDU-Richtlinie festgelegt. Die benötigte Service-Klasse (COS) wird ebenfalls validiert und eventuell geändert, um die Richtlinienziele zu erfüllen.
  • Wenn die Verbindung hergestellt ist, werden diese Informationen zum PDU-Filter gesendet.
  • Einige der Richtlinienregeln, die auf eine ATM-Verbindung angewendet werden können, sind unter anderem:
    • 1. Zulassen/nicht zulassen
    • 2. AAL-Typ (sowohl bei der Meldung als auch beim Durchsetzen, dass der eigentliche Datenstrom die zulässige ATM-Adaptionsschicht (AAL) enthält).
    • 3. Service-Klasse (Bandbreite, Bursthaftigkeit usw.)
    • 4. PDU-Inhalt
  • Wenn eine Verbindung zulässig ist und der Verkehr nicht paketiert wird (d.h. Video), dann kann sie zugelassen werden, auch wenn keine Inhaltsfilterung möglich ist (AAL-Typ-Filterung und Zellenratendurchsetzung sind weiterhin möglich).
  • Durch virtuelle Verbindungen passierende ATM-Zellen werden von der Filterund Protokolliermaschine verarbeitet (d.h. vom Kommunikationsgerät 100). Wenn sich auf beiden Seiten des öffentlichen Netzes Filtergeräte befinden, dann sind Geheimhaltung und Authentifizierung möglich.
  • Wenn eine Zelle versucht, die Filtergrenze zu überqueren, dann wird die virtuelle Verbindungskennung (VCI) geprüft, um zu gewährleisten, dass es eine offene VC für diese Zelle gibt. Ferner wird die Rate, mit der die Zellen ankommen, geprüft, um zu gewährleisten, dass es keine Runaways gibt. Wenn die Zelle auf eine nicht offene VC trifft oder ihre Toleranz überschreitet, dann wird die PDU protokolliert und/oder fallen gelassen. Dies gilt unabhängig davon, ob sich ein Filter auf der fernen Seite befindet oder nicht, und gilt auch für geschaltete virtuelle Kanäle (SVCs) oder permanente virtuelle Kanäle (PVCs).
  • Runaway-Zellströme sind eine ernste Gefahr. Serviceverweigerungsattacken im öffentlichen Netz sind, nach einigen Standards, unausweichlich. Wenn ein Zellstrom außer Kontrolle gerät und die verfügbare Kapazität im öffentlichen Netz ausfüllt und den Dienst innerhalb des öffentlichen Netzes verweigert, dann ist das eine Sache. Das hier angegangene Problem ist jedoch weitaus schwerwiegender. Wenn ein Runaway-Zellstrom in eine Abtrennung eindringen kann, dann kann einem Knoten-zu-Knoten-Verkehr, der nicht am öffentlichen Netzverkehr beteiligt ist, der Dienst verweigert werden. Eine solche Attacke muss nach Möglichkeit erkannt und gestoppt werden.
  • Die Vorgehensweise besteht darin, dass die Zelladresse in einer Tabelle nachgeschlagen oder Hash-codiert wird. Der Tabelleneintrag enthält ein „Programm", das an einer VC ausgeführt wird. VCs können vom Typ AAL 1, 2, 3, 4 oder 5 in ATM sein. Wenn die VC als AALS oder AAL3/4 deklariert wird, dann kann sie weiter auf Inhalt gefiltert werden.
  • Zusätzlich zur ATM-Schaltungsüberwachung (und potentieller Schaltungsverschlüsselung) im Rahmen der Durchsetzung von Netzwerkrichtlinien kann, wenn der Verkehr paketiert wird (wie AALS), eine Richtlinie für PDU-Inhalt durchgesetzt werden. Diese Richtlinie kann einfach oder komplex sein. Informationen, die gefiltert werden können, sind unter anderem:
    • 1. Netzwerkprotokoll (z.B. IP)
    • 2. Quelladresse
    • 3. Zieladresse
    • 4. Sicherheitsoptionen (z.B. DNSIX, RIPSO, (RFC 1108) CIPSO
    • 5. Transportprotokoll (z.B. TCP, UDP)
    • 6. Syn, Fin-Flags (nur TCP)
    • 7. Quellport oder
    • 8. Zielport
  • Diese Filterung kann auch eine Kombination aus zwei oder mehr dieser Felder beinhalten. Die Filterung kann ein Vergleich mit einem vorbestimmten Wert oder eine Prüfung sein, ob Werte innerhalb eines Bereiches möglicher Werte liegen.
  • Die Vorgehensweise besteht darin, dass jede Kombination von Protokollen, Adressen und Ports ein Key ist. Dieses Tupel (Session genannt) repräsentiert eine(n) einzige(n) TCP- oder UDP-Session, Benutzer, Anwendung oder Service. Die Session wird protokolliert und PDU-Statistiken werden für die Zeitdauer geführt, während der die Session aktiv ist.
  • Dies wird dadurch erzielt, dass eine relative große Menge an Zeit (im Bereich von Millisekunden) aufgewendet wird, um das erste Auftreten eines Verbindungstupels (Session) anhand des vollständigen Regelsatzes zu filtern. Wenn eine neue Session auftritt, dann repräsentiert sie eine TCP-Verbindungsanforderung oder die allererste UDP-Anforderung oder wenigstens die erste Anforderung seit dem Initialisieren des Kommunikationsgerätes 100. In jedem Fall tritt diese Verzögerung nur am ersten Paket auf und wird vermutlich nicht länger sein als die normalen Neuübertragungszeiten.
  • Nach dem Prüfen der ersten Nachricht werden die notwendigen Informationen in den Kommunikationsgerät-Richtlinien-Cache geladen, so dass dann, wenn weitere PDUs ankommen, diese nicht auf ein Abstellgleis geschoben, sondern auf effiziente Weise weitergeleitet werden. Somit werden nachfolgende ATM-Zellen nachfolgender Pakete nur um Mikrosekunden verzögert.
  • IP-Fragmente werden durch die komplette Filterung (IP und TCP oder UDP) des ersten Pakets und nachfolgende Filterung nur der IP-Schichtdaten auf den verbleibenden Paketen unterstützt. Dadurch wird gewährleistet, dass alle „ersten" Pakete vollständig analysiert und, wenn sie für ungültig befunden werden, verworfen werden. Die übrigen Pakete des Stroms werden durch das Kommunikationsgerät 100 gelassen, aber das Ziel kann das Paket nicht von den IP-Segmenten wieder zusammensetzen.
  • Wieder mit Bezug auf 1 wird der besondere Betrieb eines Kommunikationsgerätes 100 der bevorzugten Ausgestaltung erläutert.
  • In einer ATM-Umgebung arbeitet das Kommunikationsgerät 100 auf einer Basis von Zelle für Zelle. Die in jeder Zelle verursachte Verzögerung ist gering. Jede Operation, ob mit Software oder Hardware, ist so ausgelegt, dass sie innerhalb von weniger als einer Zellenzeit abgeschlossen ist. Die einzige Ausnahme ist die Fehlerhandhabung. Indem die Operationen auf weniger als eine Zellenzeit gehalten werden, braucht das Kommunikationsgerät 100 nur sehr geringe Zellpufferfähigkeit.
  • Wenn das Kommunikationsgerät 100 Teil einer Vorrichtung ist, die einen Datenstrom 102 direkt von einer ATM-Kommunikationsverbindung erhält, dann wird die eingehende Zelle von dem privaten Netz durch einen SONET- (Synchronous Optical Network) Framer innerhalb des Datenstromprozessors 104 zu einem ATM-Zellstrom verarbeitet. Eventuelle HEC- (Header Error Control) Fehler werden vom Framer ermittelt und nach Möglichkeit korrigiert. Der Framer bietet auch eine Gesamtzahl von eingehenden Zellen und fehlerhaften Zellen. Hinter dem Framer erfolgt eine ATM-Header- und Nutzlastassoziation. ATM-Header, SNAP-Header und IP-Header werden identifiziert, und eindeutige Wörter werden in einen vom Benutzer definierten Header gesetzt. Der vom Benutzer definierte Header kann ein zwischen vier und acht Byte langes Feld sein, das an den Anfang jeder Zelle gesetzt wird. Der vom Benutzer definierte Header enthält Felder für Zellinformationen, Krypto-Adressierung, ATM-Header-Assoziation und IP-Assoziation. Diese Funktionen können in einer FPLA (frei programmierbare logische Anordnung) alleine oder in Kombination mit allgemein verfügbaren ATM-Chip-Sets für ATM-Zellframing implementiert werden.
  • Die Zellen zusammen mit ihrem vom Benutzer definierten Header werden dann weitergeleitet, so dass Zelldispositionsfunktionen (d.h. Netzwerkrichtlinienbeurteilung und Durchsetzungsvorgänge) durchgeführt werden können. Typischerweise werden alle diese Operationen gleichzeitig an zwei Datenströmen durchgeführt: einem, der stromaufwärts, und einem, der stromabwärts durch die Kommunikationseinheit geht. 1 zeigt die Funktionsblöcke, die einen dieser beiden Datenströme manipulieren. Diese Funktionsblöcke würden für Operationen an dem anderen der beiden Datenströme dupliziert. In einigen Ausgestaltungen der vorliegenden Erfindung ist es möglich, dass einer oder mehrere dieser Funktionsblöcke tatsächlich ein physikalisches Gerät ist/sind, das von Komponenten gemeinsam genutzt wird, die Operationen an beiden Datenströmen durchführen. So können beispielsweise die allgemeinen Richtlinien 114 in einem Speicher gespeichert werden, auf den andere Komponenten zugreifen können, die an beiden Datenströmen arbeiten.
  • Die Netzwerkrichtlinienbeurteilungs- und -durchsetzungsfunktion in dem Kommunikationsgerät 100 wird durch die Verwendung eines Richtlinien-Cache durchgeführt. Der fache erlaubt die Durchführung von schnellen Operationen an den PDUs (d.h. Zellen in der ATM-Umgebung) mit einer nominellen Verzögerung, die an die Ende-zu-Ende-Transportzeiten der PDU angehängt wird.
  • Der Richtlinien-Cache beinhaltet einen Ausnahmeprozessor 112, der eine PDU-Netzrichtlinieninstanz aus mehreren Richtlinien, die auf verwandte empfangene PDUs angewandt werden können, auf der Basis von Inhalt von wenigstens einer ersten empfangenen PDU der verwandten empfangenen PDUs ermittelt. Ein allgemeiner Richtlinienspeichermechanismus 114 wird funktionell mit dem Ausnahmeprozessor 112 gekoppelt, der die Netzwerkrichtlinien so speichert, dass der Ausnahmeprozessor 112 den allgemeinen Richtlinienspeichermechanismus 114 auf PDU-Netzrichtlinieninstanzen abfragen kann, die auf die verwandten empfangenen PDUs angewendet werden können.
  • In alternativen Ausgestaltungen können andere PDUs als die erste empfangene PDU oder mehr als eine PDU vom Ausnahmeprozessor 112 verarbeitet werden, um die Richtlinie zu bestimmen. Dies könnte durch Puffern anderer empfangener PDUs aus den verwandten empfangenen PDUs in einem Speichergerät erfolgen, bis der Ausnahmeprozessor 112 die von ihm zu verarbeitende PDU hat.
  • Verwandte empfangene PDUs können ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von eingehenden PDUs 102 sein, die identische Kategorisierungsfelder oder Auswahlkriterien haben, wie zum Beispiel: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld. Der Datenstromprozessor 104 beinhaltet vorzugsweise eine Empfangseinheit, die einen Strom von PDUs 102 von einer ATM-Kommunikationsverbindung empfängt. Diese Empfangseinheit gruppiert eine Teilmenge von PDUs aus dem Strom von PDUs 102 als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien wie den oben beschriebenen.
  • Der Richtlinien-Cache-Ausnahmeprozessor 112 ist funktionell mit einem Gecachte-Instanz-Klassifizierer 108 gekoppelt, der Richtlinienidentifikationsinformationen cacht, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll. Auch ein Instanz-Richtlinien-Cache 110 ist funktionell mit dem Ausnahmeprozessor 112 gekoppelt, der die PDU-Richtlinieninstanz cacht, die auf andere der verwandten empfangenen PDUs angewandt werden soll.
  • Einer der Vorteile dieses Typs von Richtlinien-Caching-Schema ist, dass, wenn jede PDU eine ATM-Zelle ist und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets sind, der Richtlinien-Cache nur auf Zellebene arbeiten kann. Mit anderen Worten, der Ausnahmeprozessor 112 und der Gecachte-Instanz-Klassifizierer 108 führen Operationen auf einer Basis Zelle für Zelle aus, ohne die Zellen wieder zu dem besonderen ATM-Paket zusammenzusetzen.
  • Nach dem Ermitteln der PDU-Richtlinieninstanz für die verwandten empfangenen PDUs wendet der Datenstromprozessor 104 die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf andere PDUs der verwandten empfangenen PDUs durch Verwenden der gecachten Richtlinienidentifikationsinformationen in dem Gecachte-Instanz-Klassifizierer 108 an, um die gecachte PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache 110 abzurufen.
  • In der bevorzugten Ausgestaltung hat der Gecachte-Instanz-Klassifizierer 108 einen inhaltsadressierbaren Speicher (CAM). Der Datenstromprozessor 104 sendet ATM-Feldwerte (d.h. den vom Benutzer definierten Header) von den übrigen verwandten empfangenen PDUs zum CAM und erhält die Richtlinienidentifikationsinformationen für die übrigen verwandten empfangenen PDUs vom CAM zurück.
  • Ein Hardware-CAM wird verwendet, um die Geschwindigkeit zum Aufrechterhalten einer Kommunikationsverbindung in einem SONET-Netz mit voller Optical Carrier Level 3 (OC-3) Rate oder höher zu erzeugen. Es wird vorzugsweise ein handelsüblicher CAM wie z.B. ein 48-Bit CAM des Modells AM99C10A-70 verwendet. Der CAM bietet eine 48-Bit-Übereinstimmung mit einem optionalen Lesegerät, um die Übereinstimmungsposition zu ermitteln. Dieses Merkmal wird zum Verbreitern des CAM verwendet. Drei CAMs (CAM1, CAM2, CAM3) erzeugen eine Breite von 128 Bit. Der CAM hat eine Mindestschreibzykluszeit von 70 Nanosekunden (ns).
  • Es folgt ein Beispiel für die Daten. In Anbetracht der Daten in Tabelle 1: Übereinstimmungsdaten, würde Tabelle 2: CAM-Daten vom CAM erzeugt.
  • Tabelle 1: Übereinstimmungsdaten
    Figure 00130001
  • Tabelle 2: CAM-Daten
    Figure 00130002
  • Der CAM würde 4 Byte vor die Zelle setzen. Die resultierende Zelle hätte eine Länge von 56 Byte. Das HEC-Byte wird aus dem eingehenden Zellfluss entfernt. Der 4-Byte-Header enthält die endgültige CAM-Lookup-Adresse.
  • Die CAMs werden vom Datenstromprozessor 104 geführt. Mehrere Übereinstimmungen im CAM werden als Fehlerzustand gehandhabt, der zur Weiterverarbeitung zum Datenstromprozessor 104 weitergeleitet wird.
  • Das Kommunikationsgerät 100 erfordert ein vorübergehendes Speichergerät zum Aufnehmen der Zelle, während die Zelle verarbeitet wird. Es wird vorzugsweise ein FIFO-Puffer von einer Zelle Tiefe verwendet. Der FIFO puffert die Zelle, bis ein Header/Trailer gebildet ist. Die Daten werden dann an den Zellenfluss angehängt bzw. diesem vorangesetzt. Nach dem Zellen-Header wird die Zelle übertragen. In alternativen Ausgestaltungen ist die vorübergehende Speicherung eventuell nicht erforderlich, wenn die Daten sich in einem Trailer befinden. Vorteile und Nachteile beider Implementationen sind in Tabelle 3 aufgeführt.
  • Tabelle 3
    Figure 00140001
  • CAM 1 enthält die VPI/VCI (Virtuelle-Pfad-Kennung/Virtuelle-Kanal-Kennung) -Lookup-Information. Die eingehende Zelle wird anhand der CAM-Daten verglichen. Eine Übereinstimmung hat zur Folge, dass die CAM-Stelle an die Zelle angehängt wird. Ein Miss hat zur Folge, dass 0xFF an die Zelle angehängt wird. Die Maskenbits in CAM1 dienen zum Verkürzen der Vergleichslänge von 48 Bit auf die 24 VPI/VCI-Bit verwendet. Ein Beispiel für CAM1 ist in Tabelle 4 dargestellt.
  • CAM2/CAM3 enthält die IP-Übereinstimmungsdaten. Die übereinstimmenden Felder sind Prototyp (8), Quelladresse (32) und Zieladresse (32). Eine Übereinstimmung hat zur Folge, dass die Adresse des CAM3 an die Zelle angehängt wird. Ein Miss führt dazu, dass 0xFF angehängt wird.
  • Die Maskenbits in CAM2/3 werden nicht verwendet. Sie werden inaktiv gesetzt. Das Vergleichsfeld sind die gesamten 48 Bit. Ein Beispiel für CAM2/CAM3 ist in Tabelle 5 dargestellt.
  • Tabelle 4: VPI/VCI-CAM-Daten
    Figure 00140002
  • Tabelle 5: IP-CAM-Daten
    Figure 00140003
  • Die CAM-Zugriffe werden an Wort- (32 Bit) Grenzen mit Maskierung ausgerichtet. Tabelle 6 zeigt die Adressenmaske.
  • Tabelle 6
    Figure 00150001
    • LO Lockout-Bit: Wenn bei einem Zugriff gesetzt, sind aufeinander folgende Zugriffe auf den spezifischen CAM atomisch. Ein Lesen oder Schreiben dieses Adressbits im L-Zustand gibt die Ressource nach Abschluss des Zugriffs frei. Dieses Merkmal muss dann beim Aktualisieren von CAM-Einträgen verwendet werden. So werden Probleme mit evtl. ungültigen Vergleichen beim Konstruieren einer Adresse vermieden.
    • CA CAM-Nummer: CAM2 = 10, CAM1 = 01, CAM0 = 00
    • CM CAM-Com: CAM-Befehlsmodus, ein Zugriff, wenn dieses Adressbit gesetzt ist, bewirkt, dass das Wort (Lesen/Schreiben) ein CAM-Befehl ist. Ein Zugriff ohne das Adressbit hat zur Folge, dass das Wort (Lesen/Schreiben) CAM-Daten ist.
  • Die CAM-Daten werden auf die tieferen 2 Bytes des Wortes geschrieben. Die oberen beiden Bytes sind unbenutzt. Die Schnittstelle ist nur eine Halbwort- oder Wortschnittstelle, wie in Tabelle 7 gezeigt.
  • Tabelle 7
    Figure 00150002
  • Das Steuerregister dient zum Definieren der CAM/RAM-Partition beim Initialisieren, Freigeben der Übereinstimmung/Voll-Flags und Maskenvergleichsregister. Das Maskenregister wird ebenfalls definiert. Das CAM-Steuerregister sollte wie in Tabelle 8 gezeigt programmiert werden.
  • Tabelle 8
    Figure 00150003
  • Das CAM-Maskenregister 1 sollte wie in Tabelle 9 gezeigt programmiert werden.
  • Tabelle 9
    Figure 00160001
  • Die CAMs erfordern eine eindeutige Sequenz von Anweisungen, um einen ordnungsgemäßen Betrieb zu gewährleisten. Nach dem Initialisieren der CAMs und jeder CAM-Update-Sequenz werden die Select Persistent Source (SPS) und Select Persistent Destination (SPD) wie folgt gesetzt. Das sss-Feld des SPS-Registers muss auf ,Memory at Highest-Priority Match' oder 0x0005 gesetzt werden. Das ddd-Feld des SPD-Registers muss auf 'Comparand Register Masked by MR1' oder 0x0140 gesetzt werden.
  • CAM-Einträge können mit zwei Methoden aktualisiert werden. Die erste Methode, Hardware-Lockout, verwendet HBS(12) gleich hi(=1). Das ,LO', Lockout-Bit, dient zum Unterbrechen des CAM-Vergleichszyklus nach Abschluss der aktuellen Vergleichssequenz. Zum Starten des Vergleichszyklus hat der letzte Zugriff HBS(12) auf lo (=0) gesetzt.
  • Die zweite Methode, Validitätsbit, verwendet das vvv-Feld des SPD zum Setzen des Gültigbits auf falsch (=0). Dadurch wird die Vergleichssequenz für diesen Eintrag gesperrt. Das gültige Bit von CAM 0 muss zuletzt gesetzt werden.
  • Beispiele hierfür sind in den Tabellen 10 und 11 aufgeführt.
  • Tabelle 10: CAM-Reset
    Figure 00160002
  • Tabelle 11: CAM-Update
    Figure 00160003
  • Figure 00170001
  • In einer alternativen Ausgestaltung hat der Gecachte-Instanz-Klassifizierer 108 einen Hash-Mechanismus, der eine Hash-Codierfunktion an Feldwerten von den anderen der verwandten empfangenen PDUs durchführt, die vom Datenstromprozessor 104 kommen. Der Gecachte-Instanz-Klassifizierer 108 verwendet Ergebnisse der Hash-Codierfunktion zum Wählen der Richtlinienidentifikationsinformationen für die anderen erwandten empfangenen PDUs aus einer Hash-Codiertabelle und sendet dann die gewählten Richtlinienidentifikationsinformationen zum Datenstromprozessor 104.
  • In einer weiteren alternativen Ausgestaltung beinhaltet der Gecachte-Instanz-Klassifizierer 108 einen Lookup-Tabellenmechanismus. Der Datenstromprozessor 104 verwendet Feldwerte von den anderen verwandten empfangenen PDUs als Index zum Lookup-Tabellenmechanismus und ruft die Richtlinienidentifikationsinformationen für die anderen verwandten empfangenen PDUs in dem Lookup-Tabellenmechanismus ab, auf die der Index zeigt.
  • Beim Betrieb verwendet der Datenstromprozessor 104 Feldwerte von jeder PDU zum Prüfen des Richtlinien-Cache auf eine gecachte PDU-Richtlinieninstanz aus dem Instanz-Richtlinien-Cache 110 für jede PDU. Die gecachte PDU-Richtlinieninstanz wird abgerufen, wenn die Feldwerte gecachten Richtlinienidentifikationsinformationen entsprechen. Infolgedessen prüft der Datenstromprozessor 104 auf eine gecachte PDU-Richtlinieninstanz für jede PDU und holt eine PDU-Richtlinieninstanz aus dem Ausnahmeprozessor 112, wenn keine gecachte PDU-Richtlinieninstanz im Instanz-Richtlinien-Cache 110 gefunden wird.
  • Der Datenstromprozessor 104 enthält auch vorzugsweise einen Durchsetzungsmechanismus, der die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des Stroms von PDUs zu einem PDU-Strom mit durchgesetzten Richtlinien durchführt. Eine Sendeeinheit ist funktionell mit dem Durchsetzungsmechanismus gekoppelt, um den PDU-Strom mit durchgesetzten Richtlinien aus dem Kommunikationsgerät 100 hinaus als Ausgabedatenstrom von PDUs 106 zu senden.
  • Wie zuvor bemerkt, kann das Kommunikationsgerät 100 Teil eines komplizierteren Gerätes sein, das auf einen stromaufwärts gehenden Datenstrom und einen anderen, stromabwärts gehenden Datenstrom wirkt. In solchen Fällen beinhaltet der Datenstromprozessor vorzugsweise eine erste Empfangseinheit, die einen ersten Strom von PDUs von einer stromaufwärtigen Kommunikationsverbindung empfängt, und eine zweite Empfangseinheit, die einen zweiten PDU-Strom von einer stromabwärtigen Kommunikationsverbindung empfängt. Entweder nur der erste oder nur der zweite PDU-Strom beinhaltet die verwandten empfangenen PDUs, an denen Operationen durchgeführt werden; andere Komponenten im Kommunikationsgerät 100 können jedoch ähnliche Richtlinienoperationen an einem anderen Satz von verwandten empfangenen PDUs durchführen. Der Datenstromprozessor 104 beinhaltet vorzugsweise auch einen Durchsetzungsmechanismus, der die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des ersten oder des zweiten PDU-Stroms zu einem PDU-Strom mit durchgesetzten Richtlinien durchführt, so dass Netzwerkrichtlinieninstanzen in den stromaufwärtigen und stromabwärtigen Kommunikationsverbindungen durchgesetzt werden.
  • Gemäß 2 hat das Kommunikationsgerät 100 den Vorteil, dass es die Isolierung von physikalischen Datenträgermanagementfunktionen ermöglicht (z.B. ein synchrones optisches Netz (SONET), wie es in ATM-Kommunikationen verwendet wird). Es ermöglicht auch die Durchsetzung von Richtlinien (z.B. Filterung) und/oder Prüfung von ATM-Signalgabe sowie Internet Protocol (IP), Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) Kommunikationen über virtuelle Verbindungsnutzlasten, ohne die PDUs von den einzelnen Zellen erneut zusammenzusetzen. Es folgt eine Erläuterung, wie dieses Gerät in einem Datennetz funktionieren kann.
  • Wenn dieses Kommunikationsgerät 100 an beiden Enden einer Kommunikationsverbindung (z.B. eine virtuelle Verbindung (VC)) vorhanden ist, dann kann dieses Gerät 100 zusätzliche Fähigkeiten bereitstellen. So können beispielsweise Ortsauthentifizierung bei der ATM-Signalgabe sowie eine begrenzte Form von Geheimhaltung für Daten bereitgestellt werden, die durch ein vertrauensunwürdiges Netz laufen. Ein vertrauensunwürdiges Netzwerk ist ein öffentliches oder privates Netz, das nicht im Einflussbereich von Netzwerkrichtlinien liegt, die vom Kommunikationsgerät 100 durchgesetzt werden.
  • In einer in 2 gezeigten ersten Konfiguration kann das Kommunikationsgerät 100 als einendiges Filtergerät ohne Kenntnisse über andere Sicherheitsgeräte verwendet werden. Dieses Kommunikationsgerät 100 könnte eine erste „Verteidigungslinie" für lokale Hosts 120 auf einem vertrauenswürdigen Netzwerk 122 bilden, um nicht authentifizierten Verkehr auf einem stromaufwärts gerichteten abgehenden Datenstrom 106 zu und einem stromabwärts gerichteten eingehenden Datenstrom 102 von dem vertrauensunwürdigen Netz 124 mit Hosts 126 zu steuern und zu prüfen. Das Kommunikationsgerät 100 würde den Datenkommunikationsverkehr auf der Basis von ATM, IP, einem anderen Protokoll- oder Sicherheitslevel in der PDU filtern und/oder prüfen.
  • In einer in 3 gezeigten zweiten Konfiguration kann das Kommunikationsgerät 100 ein gewisses Maß an begrenzter Authentifizierung und Filterung auf der Basis von Quell- oder Zieladressen zwischen Hosts 130 im lokalen Netz 132 und Hosts 138 in einem Fernnetz 136 bereitstellen. In dieser Konfiguration sind Authentifizierung und Filterung auf Netzwerkrichtlinien begrenzt, weil der Datenverkehr durch ein vertrauensunwürdiges Netz (z.B. öffentliches Netz 134) passiert, das vom Kommunikationsgerät 100 durchgesetzte Netzwerkrichtlinien kompromittieren kann. Diese Konfiguration könnte die Daten, die über das öffentliche Netz 134 fließen, nicht schützen oder authentifizieren, dass diese Daten nicht innerhalb des öffentlichen Netzes 134 in eine ATM-VC eingefügt wurden, die zwischen dem lokalen Netz 132 und dem Fernnetz 136 arbeitet.
  • Wenn ein zweites Kommunikationsgerät zwischen das öffentliche Netz 134 und das Fernnetz 136 geschaltet wurde, das einige derselben Netzwerkrichtlinien durchsetzen würde wie das Kommunikationsgerät 100, dann könnte eine noch strengere Netzwerkrichtlinie durchgesetzt werden. In diesem Fall könnten Geheimhaltung und Authentifizierung der ATM-Signalgabe sowie eine ATM-VC von Datenverkehr zwischen lokalem Netz 132 und Fernnetz 136 bereitgestellt werden. Diese Konfiguration könnte die Daten schützen, die über das öffentliche Netz 134 gehen, und authentifizieren, dass diese Daten nicht innerhalb des öffentlichen Netzes 134 in die VC eingefügt wurden, wenn ATM-Zellstromlevel-Verschlüsselung angewendet wird. Alternativ kann die Zellstromverschlüsselung in Managementprozessoren durchgeführt werden, die den ATM-Signalgabe-Code abarbeiten. Wenn Verkehr zwischen den beiden privaten Netzen 132 und 136 fließt, dann kann er als Ursprungsverkehr authentifiziert und geheim gehalten werden. Dies bedeutet, dass das Kommunikationsgerät 100 in einem Mischnetz wie dem lokalen Netz 132, bei dem ein Teil des Verkehrs von einem authentifizierten privaten Netz 136 und ein Teil von einem nicht authentifizierten Netz 134 kommt, beide Datenverkehrstypen filtern könnte, die über denselben physikalischen Datenträger kommuniziert werden.
  • In einigen Netzwerkkonfigurationen kann das Kommunikationsgerät 100 an anderen Positionen als Grenzen oder Rändern zwischen vertrauenswürdigen und vertrauensunwürdigen Netzen zum Überwachen von Datenverkehr in einem Netz verwendet werden. Eine Gruppe von Kommunikationsgeräten 100 könnte zusammenwirken, um eine netzwerkweite Richtlinie durchzusetzen (z.B. einen Zellstrom auf besonderen Inhalt überwachen oder den Zugang zu bestimmten Zielports oder - adressen verhindern).
  • Die vorliegende Erfindung kann mit Bezug auf 4 zusammengefasst werden, einem Fließschema der Netzwerk-Richtlinien-Caching-Methode gemäß der bevorzugten Ausgestaltung zur Anwendung in einem an einer Kommunikationsverbindung angeschlossenen Kommunikationsgerät (z.B. ein Datennetz oder Bus). Diese Methode wird mit geräteimplementierten Schritten in einer Reihe von getrennten Verarbeitungsschritten 400414 durchgeführt, die in einem oder mehreren Prozessoren ausgeführt werden können.
  • Ein Strom von PDUs wird von einer Kommunikationsverbindung empfangen (402). Eine Teilmenge von PDUs aus dem Strom von PDUs werden als verwandte empfangene PDUs auf der Basis von Auswahlkriterien gruppiert (404). Diese Auswahlkriterien können viele Formen haben. Die verwandten empfangenen PDUs können z.B. ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von PDUs sein, die identische Kategorisierungsfelder haben, wie z.B.: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld.
  • Eine PDU- (Protokolldateneinheit) Netzwerkrichtlinieninstanz wird von mehreren Richtlinien ermittelt (406), die auf die verwandten empfangenen PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewendet werden können (d.h. eine erste PDU der verwandten empfangenen PDUs). Danach werden Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden sollen, gecacht (408). Die PDU-Richtlinieninstanz von den mehreren Richtlinien wird auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen angewendet (410). Danach kann die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des PDU-Stroms durchgeführt werden (412).
  • Die Erfindung wurde zwar mit einem gewissen Maß an Besonderheit beschrieben und illustriert, aber es ist zu verstehen, dass die vorliegende Offenbarung von Ausgestaltungen lediglich beispielhaft gegeben wurde und dass die Fachperson zahlreiche Änderungen an Anordnung und Kombination von Teilen sowie Schritten vornehmen kann, ohne vom Umfang der Erfindung gemäß den Ansprüchen abzuweichen. So kann das Kommunikationsgerät beispielsweise getrennt von einem Gerät oder in ein solches integriert sein, das andere datenkommunikationsbezogene Aktivitäten durchführt, z.B. ein Datennetzgerät, ein Computer, ein Überwachungsgerät, ein Switch, ein Router, eine Bridge und/oder eine Firewall, ohne von Wesen und Umfang der beanspruchten Erfindung abzuweichen.
  • Die Fachperson wird erkennen, dass die vorliegende Erfindung zwar mit Bezug auf die Kommunikationsverbindung als Teil eines ATM- (Asynchronous Transfer Mode) Netzes beschrieben wurde, dass sie aber nicht auf diesen Kommunikationsverbindungstyp begrenzt ist. So sind z.B. ein SONST (synchrones optisches Netzwerk), FDDI-Netz (faserverteilter Datenaustausch), Frame-Relay-Netz, Ethernet, 100-Mbps Ethernet, Gigabit-Ethernet, parallele Hochleistungsschnittstelle (HIPPI), Fibre Channel, geschalteter Multimegabit-Datenservice (SMDSO), X.25-Netz, Integrated Services Digital Network (ISDN), Token Ring, öffentliches Telefonwählnetz (PSTN), Kabelmodemnetz, serielle Schnittstelle, parallele Schnittstelle, Computerbus oder dergleichen alles Typen von Kommunikationsverbindungen, mit denen die vorliegende Erfindung praktiziert werden kann, ohne von ihrem Umfang abzuweichen.
  • Ebenso kann die Kommunikationsverbindung in Verbindung mit einer Vielzahl verschiedener Netzwerksignalgabeprotokolle verwendet werden, ohne vom Umfang der vorliegenden Erfindung abzuweichen. So sind z.B. das Transmission Control Protocol/ Internet Protocol (TCP/IP), AppleTalk, DECNet, System Network Architecture (SNA), Private Network Node Interface (PNNI), User Network Interface (UNI), einfaches Protokoll für asynchrone Transfermodus-Netzwerksignalgabe (SPANS), Interim Local Management Interface (ILMI), Operations Administration and Maintenance (OAM) Schnittstelle und dergleichen alles Netzwerksignalgabeprotokolle, in denen die Kommunikationsverbindung zum Einsatz kommen kann.

Claims (12)

  1. Richtlinien-Caching-Verfahren für die Verwendung in einem Kommunikationsgerät (100), umfassend die folgenden Schritte: Ermitteln einer Instanz einer PDU- (Protokolldateneinheit) Netzwerkrichtlinie (408) aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs (406) auf der Basis des Inhalts von einer der verwandten empfangenen PDUs angewendet werden soll, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und Cachen von Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll.
  2. Richtlinien-Caching-Verfahren nach Anspruch 1, ferner umfassend einen Schritt des Anwendens der PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen (410).
  3. Richtlinien-Caching-Verfahren nach Anspruch 1 oder Anspruch 2, wobei der Ermittlungsschritt das Ermitteln der PDU-Richtlinieninstanz auf der Basis des Inhalts einer ersten PDU der von dem Kommunikationsgerät (100) empfangenen verwandten empfangenen PDUs umfasst.
  4. Richtlinien-Caching-Verfahren nach einem der Ansprüche 1 bis 3, ferner umfassend einen Schritt des Empfangens des Stroms von PDUs von einer Kommunikationsverbindung (402) mit verwandten empfangenen PDUs.
  5. Richtlinien-Caching-Verfahren nach Anspruch 4, ferner umfassend einen Schritt des Gruppierens der Teilmenge von PDUs aus dem Strom von PDUs (404) als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien, die ausgewählt wurden aus der Gruppe bestehend aus: a) dem einen Strom von Zellen umfassenden Strom von PDUs und den verwandten empfangenen PDUs, die Zellen eines bestimmten Pakets umfassen; b) dem Strom von PDUs, die PDUs aus dem Strom von PDUs mit identischen Schaltungsnummern umfassen; c) dem Strom von PDUs, die Pakete in einer Reihe von Frames umfassen, und den verwandten empfangenen PDUs, die eine Reihe von Paketen umfassen; d) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Quelladressen umfassen; e) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Zieladressen umfassen; f) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Quellports auf einer Kommunikationsschnittstelle umfassen; g) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit Ziel-Quell-Ports auf einer Kommunikationsschnittstelle umfassen; h) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Netzwerkprotokollen umfassen; i) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Transportprotokollen umfassen; j) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Sicherheitsoptionen umfassen; und k) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischem Inhalt in jedem PDU-Feld umfassen.
  6. Richtlinien-Caching-Verfahren nach Anspruch 4 oder Anspruch 5, ferner umfassend einen Schritt zum Ausführen der Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des Stroms von PDUs (412).
  7. Richtlinien-Caching-Verfahren nach einem der Ansprüche 1 bis 6, wobei jede PDU eine Zelle umfasst und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets umfassen, so dass das Richtlinien-Caching-Verfahren von dem Kommunikationsgerät Zelle für Zelle ausgeführt wird, ohne die Zellen erneut zu dem Paket zusammenzufügen.
  8. Richtlinien-Cache zur Verwendung in einem Kommunikationsgerät (100), der Folgendes umfasst: c) ein Ausnahmeverarbeitungsmittel (112) zum Ermitteln einer Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewandt werden sollen, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs (406) verteilt werden können; und d) ein Gecachte-Instanz-Klassifizierungsmittel (108), das funktionell mit dem Ausnahmeverarbeitungsmittel (112) gekoppelt ist, um Richtlinienidentifikationsinformationen zu cachen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs (408) angewandt werden soll.
  9. Richtlinien-Cache nach Anspruch 8, ferner umfassend ein Instanz-Richtlinien-Cache-Mittel (110), das funktionell mit dem Ausnahmeverarbeitungsmittel gekoppelt ist, um die PDU-Richtlinieninstanz zu cachen, die auf andere der verwandten empfangenen PDUs (408) angewandt werden soll.
  10. Richtlinien-Cache nach Anspruch 8 oder Anspruch 9, wobei das Ausnahmeverarbeitungsmittel Mittel zum Ermitteln der PDU-Richtlinieninstanz auf der Basis von Inhalt einer ersten PDU der verwandten empfangenen PDUs umfasst, die von dem Ausnahmeverarbeitungsmittel (406) empfangen wurden.
  11. Richtlinien-Cache nach einem der Ansprüche 8 bis 10, wobei jede PDU eine Zelle umfasst und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets umfassen, so dass das Ausnahmeverarbeitungsmittel und das Gecachte-Instanz-Klassifizierungsmittel Operationen Zelle für Zelle ausführen, ohne die Zellen wieder zu dem Paket zusammenzufügen.
  12. Kommunikationsgerät (100), umfassend den Richtlinien-Cache nach einem der Ansprüche 8 bis 11, und ferner umfassend ein Datenstromverarbeitungsmittel,das funktionell mit dem Richtlinien-Cache gekoppelt ist, um die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere PDU der verwandten empfangenen PDUs (410) anzuwenden, indem die gecachten Richtlinienidentifikationsinformationen zum Abrufen der gecachten PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache-Mittel verwendet werden.
DE69730452T 1996-06-18 1997-06-18 Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät Expired - Fee Related DE69730452T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US666638 1996-06-18
US08/666,638 US5842040A (en) 1996-06-18 1996-06-18 Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
PCT/US1997/010332 WO1997049038A1 (en) 1996-06-18 1997-06-18 Policy caching method and apparatus for use in a communication device

Publications (2)

Publication Number Publication Date
DE69730452D1 DE69730452D1 (de) 2004-09-30
DE69730452T2 true DE69730452T2 (de) 2005-03-03

Family

ID=24674843

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69730452T Expired - Fee Related DE69730452T2 (de) 1996-06-18 1997-06-18 Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät

Country Status (7)

Country Link
US (1) US5842040A (de)
EP (1) EP1012726B1 (de)
JP (1) JP2000513165A (de)
AU (1) AU714870B2 (de)
CA (1) CA2258010C (de)
DE (1) DE69730452T2 (de)
WO (1) WO1997049038A1 (de)

Families Citing this family (236)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7702540B1 (en) 1995-04-26 2010-04-20 Ebay Inc. Computer-implement method and system for conducting auctions on the internet
US7937312B1 (en) 1995-04-26 2011-05-03 Ebay Inc. Facilitating electronic commerce transactions through binding offers
US7647243B2 (en) 1995-11-07 2010-01-12 Ebay Inc. Electronic marketplace system and method for creation of a two-tiered pricing scheme
US6091725A (en) 1995-12-29 2000-07-18 Cisco Systems, Inc. Method for traffic management, traffic prioritization, access control, and packet forwarding in a datagram computer network
US6243667B1 (en) * 1996-05-28 2001-06-05 Cisco Systems, Inc. Network flow switching and flow data export
US7462746B2 (en) * 1996-06-28 2008-12-09 University Of Southern California Amino polyols and amino sugars
JP3039385B2 (ja) * 1996-07-17 2000-05-08 日本電気株式会社 Atm通信装置
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US6791947B2 (en) 1996-12-16 2004-09-14 Juniper Networks In-line packet processing
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6170012B1 (en) 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
CA2217275C (en) * 1997-10-03 2005-08-16 Newbridge Networks Corporation Multiple internetworking realms within an internetworking device
US6330610B1 (en) * 1997-12-04 2001-12-11 Eric E. Docter Multi-stage data filtering system employing multiple filtering criteria
US6324685B1 (en) 1998-03-18 2001-11-27 Becomm Corporation Applet server that provides applets in various forms
US6725378B1 (en) 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
DE19820525A1 (de) * 1998-05-08 1999-11-11 Alcatel Sa Verfahren, Softwaremodul, Schnittstelleneinrichtung, Endgerät und Server zur Weiterleitungskontrolle von Paketen abgeschlossener Paketsequenzen paketvermittelter Netzwerke
US6658002B1 (en) 1998-06-30 2003-12-02 Cisco Technology, Inc. Logical operation unit for packet processing
US6615358B1 (en) 1998-08-07 2003-09-02 Patrick W. Dowd Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
US7073196B1 (en) 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
WO2000024510A1 (en) * 1998-10-23 2000-05-04 University Of Southern California Combinatorial approach to chiral reagents or catalysts having amine or amino alcohol ligands
US6286052B1 (en) 1998-12-04 2001-09-04 Cisco Technology, Inc. Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows
US6167445A (en) 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6502135B1 (en) 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
EP2290904B1 (de) * 1998-10-30 2016-04-20 VirnetX Inc. Agiles Netzwerkprotokoll für sichere Kommunikationen mit gesicherter Systemverfügbarkeit
US6826616B2 (en) 1998-10-30 2004-11-30 Science Applications International Corp. Method for establishing secure communication link between computers of virtual private network
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
JP5113963B2 (ja) * 1998-12-03 2013-01-09 ノーテル・ネットワークス・リミテッド インターネットにアクセスする加入者への所望のサービス・ポリシーの提供
US6272540B1 (en) * 1998-12-31 2001-08-07 Intel Corporation Arrangement and method for providing flexible management of a network
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US6484212B1 (en) 1999-04-20 2002-11-19 At&T Corp. Proxy apparatus and method for streaming media information
US6651103B1 (en) 1999-04-20 2003-11-18 At&T Corp. Proxy apparatus and method for streaming media information and for increasing the quality of stored media information
US6505244B1 (en) * 1999-06-29 2003-01-07 Cisco Technology Inc. Policy engine which supports application specific plug-ins for enforcing policies in a feedback-based, adaptive data network
US6577597B1 (en) 1999-06-29 2003-06-10 Cisco Technology, Inc. Dynamic adjustment of network elements using a feedback-based adaptive technique
US6539427B1 (en) 1999-06-29 2003-03-25 Cisco Technology, Inc. Dynamically adaptive network element in a feedback-based data network
US6765864B1 (en) 1999-06-29 2004-07-20 Cisco Technology, Inc. Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network
US6584502B1 (en) 1999-06-29 2003-06-24 Cisco Technology, Inc. Technique for providing automatic event notification of changing network conditions to network elements in an adaptive, feedback-based data network
US6560610B1 (en) 1999-08-10 2003-05-06 Washington University Data structure using a tree bitmap and method for rapid classification of data in a database
US6598034B1 (en) 1999-09-21 2003-07-22 Infineon Technologies North America Corp. Rule based IP data processing
EP1166208A4 (de) * 1999-10-20 2008-03-26 Alcatel Internetworking Inc Einschaltpolitik regel-speicherung für datenkommunikationsschalter
US7389251B1 (en) 1999-10-21 2008-06-17 Mercexchange, Llc Computer-implemented method for managing dynamic pricing information
WO2001029745A2 (en) * 1999-10-21 2001-04-26 Navlet.Com, Inc. Context-sensitive switching in a computer network environment
US6856967B1 (en) 1999-10-21 2005-02-15 Mercexchange, Llc Generating and navigating streaming dynamic pricing information
US6526474B1 (en) 1999-10-25 2003-02-25 Cisco Technology, Inc. Content addressable memory (CAM) with accesses to multiple CAM arrays used to generate result for various matching sizes
US6671727B1 (en) 1999-12-20 2003-12-30 Lsi Logic Corporation Methodology for providing persistent target identification in a fibre channel environment
US6629163B1 (en) 1999-12-29 2003-09-30 Implicit Networks, Inc. Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components
US6539483B1 (en) 2000-01-12 2003-03-25 International Business Machines Corporation System and method for generation VPN network policies
US7689696B2 (en) * 2000-01-31 2010-03-30 Telecommunication Systems, Inc. System and method for re-directing requests from browsers for communications over non-IP based networks
US7003571B1 (en) * 2000-01-31 2006-02-21 Telecommunication Systems Corporation Of Maryland System and method for re-directing requests from browsers for communication over non-IP based networks
US8090856B1 (en) * 2000-01-31 2012-01-03 Telecommunication Systems, Inc. Intelligent messaging network server interconnection
WO2001060778A2 (en) 2000-02-16 2001-08-23 The Brigham And Women's Hospital, Inc. Aspirin-triggered lipid mediators
US6629156B1 (en) * 2000-03-02 2003-09-30 Lsi Logic Corporation Fibre Channel service parameter cache
US6854063B1 (en) 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6654342B1 (en) 2000-03-07 2003-11-25 Cisco Technology, Inc. Accumulating and distributing flow control information via update messages and piggybacked flow control information in other messages in a packet switching system
US6674721B1 (en) 2000-03-07 2004-01-06 Cisco Technology, Inc. Method and apparatus for scheduling packets being sent from a component of a packet switching system
US6990063B1 (en) 2000-03-07 2006-01-24 Cisco Technology, Inc. Distributing fault indications and maintaining and using a data structure indicating faults to route traffic in a packet switching system
US6728211B1 (en) 2000-03-07 2004-04-27 Cisco Technology, Inc. Method and apparatus for delaying packets being sent from a component of a packet switching system
US6747972B1 (en) 2000-03-07 2004-06-08 Cisco Technology, Inc. Method and apparatus for reducing the required size of sequence numbers used in resequencing packets
US6907041B1 (en) 2000-03-07 2005-06-14 Cisco Technology, Inc. Communications interconnection network with distributed resequencing
US6735173B1 (en) 2000-03-07 2004-05-11 Cisco Technology, Inc. Method and apparatus for accumulating and distributing data items within a packet switching system
US6757284B1 (en) 2000-03-07 2004-06-29 Cisco Technology, Inc. Method and apparatus for pipeline sorting of ordered streams of data items
US6788689B1 (en) 2000-03-07 2004-09-07 Cisco Technology, Inc. Route scheduling of packet streams to achieve bounded delay in a packet switching system
US7436830B2 (en) 2000-04-03 2008-10-14 P-Cube Ltd. Method and apparatus for wire-speed application layer classification of upstream and downstream data packets
US6831893B1 (en) * 2000-04-03 2004-12-14 P-Cube, Ltd. Apparatus and method for wire-speed classification and pre-processing of data packets in a full duplex network
US20050195743A1 (en) * 2000-04-03 2005-09-08 P-Cube Ltd. Real time charging of pre-paid accounts
US6904014B1 (en) 2000-04-27 2005-06-07 Cisco Technology, Inc. Method and apparatus for performing high-speed traffic shaping
US7343622B1 (en) * 2000-04-27 2008-03-11 Raytheon Company Multi-level secure multi-processor computer architecture
US6252872B1 (en) 2000-05-24 2001-06-26 Advanced Micro Devices, Inc. Data packet filter using contents addressable memory (CAM) and method
US6658458B1 (en) 2000-06-22 2003-12-02 Cisco Technology, Inc. Cascading associative memory arrangement
US7051078B1 (en) 2000-07-10 2006-05-23 Cisco Technology, Inc. Hierarchical associative memory-based classification system
FR2812491B1 (fr) * 2000-07-25 2003-01-10 France Telecom Dispositif de controle d'acces entre des reseaux atm
US6816492B1 (en) 2000-07-31 2004-11-09 Cisco Technology, Inc. Resequencing packets at output ports without errors using packet timestamps and timestamp floors
US7088720B1 (en) * 2000-08-07 2006-08-08 Sbc Technology Resources, Inc. Multiservice use of network connection capability under user-to-network interface signaling
US7307993B2 (en) * 2000-08-08 2007-12-11 At&T Labs, Inc. Controller based call control for ATM SVC signaling
US6725326B1 (en) 2000-08-15 2004-04-20 Cisco Technology, Inc. Techniques for efficient memory management for longest prefix match problems
US6769132B1 (en) 2000-09-12 2004-07-27 Arris International, Inc. Signal splitter matrix for a cable modem termination system
US7106693B1 (en) 2000-11-02 2006-09-12 Cisco Technology, Inc. Method and apparatus for pacing the flow of information sent from a device
US7012889B1 (en) 2000-11-02 2006-03-14 Cisco Technology, Inc. Method and apparatus for controlling input rates within a packet switching system
US20020124061A1 (en) * 2000-11-27 2002-09-05 Paul Mossman Configuration system and method
US7046680B1 (en) * 2000-11-28 2006-05-16 Mci, Inc. Network access system including a programmable access device having distributed service control
US8185615B1 (en) 2000-11-28 2012-05-22 Verizon Business Global Llc Message, control and reporting interface for a distributed network access system
US8180870B1 (en) * 2000-11-28 2012-05-15 Verizon Business Global Llc Programmable access device for a distributed network access system
US7657628B1 (en) 2000-11-28 2010-02-02 Verizon Business Global Llc External processor for a distributed network access system
US7249170B2 (en) 2000-12-06 2007-07-24 Intelliden System and method for configuration, management and monitoring of network resources
US6978301B2 (en) 2000-12-06 2005-12-20 Intelliden System and method for configuring a network device
US7054946B2 (en) * 2000-12-06 2006-05-30 Intelliden Dynamic configuration of network devices to enable data transfers
US7218632B1 (en) 2000-12-06 2007-05-15 Cisco Technology, Inc. Packet processing engine architecture
US20020069271A1 (en) * 2000-12-06 2002-06-06 Glen Tindal Event manager for network operating system
US8219662B2 (en) 2000-12-06 2012-07-10 International Business Machines Corporation Redirecting data generated by network devices
US6967926B1 (en) 2000-12-31 2005-11-22 Cisco Technology, Inc. Method and apparatus for using barrier phases to limit packet disorder in a packet switching system
GB2371705B (en) * 2001-01-30 2003-04-23 3Com Corp Network switch with mutually coupled look-up engine and network processor
US6832261B1 (en) 2001-02-04 2004-12-14 Cisco Technology, Inc. Method and apparatus for distributed resequencing and reassembly of subdivided packets
US6934760B1 (en) 2001-02-04 2005-08-23 Cisco Technology, Inc. Method and apparatus for resequencing of packets into an original ordering using multiple resequencing components
US7092393B1 (en) 2001-02-04 2006-08-15 Cisco Technology, Inc. Method and apparatus for distributed reassembly of subdivided packets using multiple reassembly components
US7027397B1 (en) 2001-02-15 2006-04-11 Cisco Technology, Inc. Method and apparatus for accumulating and distributing traffic and flow control information in a packet switching system
US6738779B1 (en) * 2001-02-21 2004-05-18 Telecom Italia S.P.A. Apparatus for and method of multiple parallel string searching
US6606681B1 (en) 2001-02-23 2003-08-12 Cisco Systems, Inc. Optimized content addressable memory (CAM)
US7146478B2 (en) 2001-03-19 2006-12-05 International Business Machines Corporation Cache entry selection method and apparatus
US7289522B2 (en) * 2001-03-20 2007-10-30 Verizon Business Global Llc Shared dedicated access line (DAL) gateway routing discrimination
JP2004528756A (ja) * 2001-03-20 2004-09-16 ワールドコム・インコーポレイテッド サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置
US6778498B2 (en) * 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US20030115480A1 (en) * 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US7150037B2 (en) 2001-03-21 2006-12-12 Intelliden, Inc. Network configuration manager
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
US6862281B1 (en) 2001-05-10 2005-03-01 Cisco Technology, Inc. L4 lookup implementation using efficient CAM organization
US7002965B1 (en) 2001-05-21 2006-02-21 Cisco Technology, Inc. Method and apparatus for using ternary and binary content-addressable memory stages to classify packets
US7016305B1 (en) 2001-06-27 2006-03-21 Cisco Technology, Inc Method and apparatus for distributing information within a packet switching system
US7269139B1 (en) 2001-06-27 2007-09-11 Cisco Technology, Inc. Method and apparatus for an adaptive rate control mechanism reactive to flow control messages in a packet switching system
US7136386B2 (en) * 2001-07-19 2006-11-14 Sbc Technology Resources, Inc. Virtual private network over asynchronous transfer mode
US6732228B1 (en) * 2001-07-19 2004-05-04 Network Elements, Inc. Multi-protocol data classification using on-chip CAM
US7133409B1 (en) 2001-07-19 2006-11-07 Richard Willardson Programmable packet filtering in a prioritized chain
US7260673B1 (en) * 2001-07-20 2007-08-21 Cisco Technology, Inc. Method and apparatus for verifying the integrity of a content-addressable memory result
US7187678B2 (en) * 2001-08-13 2007-03-06 At&T Labs, Inc. Authentication for use of high speed network resources
US7065086B2 (en) * 2001-08-16 2006-06-20 International Business Machines Corporation Method and system for efficient layer 3-layer 7 routing of internet protocol (“IP”) fragments
US7200548B2 (en) * 2001-08-29 2007-04-03 Intelliden System and method for modeling a network device's configuration
US8296400B2 (en) 2001-08-29 2012-10-23 International Business Machines Corporation System and method for generating a configuration schema
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7065083B1 (en) 2001-10-04 2006-06-20 Cisco Technology, Inc. Method and apparatus for dynamically generating lookup words for content-addressable memories
US6775737B1 (en) 2001-10-09 2004-08-10 Cisco Technology, Inc. Method and apparatus for allocating and using range identifiers as input values to content-addressable memories
US7065562B2 (en) * 2001-11-26 2006-06-20 Intelliden, Inc. System and method for generating a representation of a configuration schema
US7042886B2 (en) 2001-12-06 2006-05-09 P-Cube Ltd. Apparatus, method, and computer program for wire-speed classification and pre-processing of data packets in an ATM network
US6715029B1 (en) 2002-01-07 2004-03-30 Cisco Technology, Inc. Method and apparatus for possibly decreasing the number of associative memory entries by supplementing an associative memory result with discriminator bits from an original set of information
US6961808B1 (en) 2002-01-08 2005-11-01 Cisco Technology, Inc. Method and apparatus for implementing and using multiple virtual portions of physical associative memories
US6970971B1 (en) * 2002-01-08 2005-11-29 Cisco Technology, Inc. Method and apparatus for mapping prefixes and values of a hierarchical space to other representations
US7613200B1 (en) 2002-01-15 2009-11-03 Cisco Technology, Inc. Method and apparatus using a random indication to map items to paths and to recirculate or delay the sending of a particular item when a destination over its mapped path is unreachable
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
WO2003069828A2 (en) * 2002-02-14 2003-08-21 The Trustees Of Columbia University In The City Of New York System and methods for protecting network sites from denial of service attacks
US6871262B1 (en) 2002-02-14 2005-03-22 Cisco Technology, Inc. Method and apparatus for matching a string with multiple lookups using a single associative memory
US6871265B1 (en) 2002-02-20 2005-03-22 Cisco Technology, Inc. Method and apparatus for maintaining netflow statistics using an associative memory to identify and maintain netflows
US7193996B2 (en) * 2002-02-28 2007-03-20 Acme Packet, Inc. System and method for determining a source of an internet protocol packet
US6927294B1 (en) 2002-03-08 2005-08-09 University Of Southern California Nitrogen-containing heterocycles
SI2022775T1 (sl) 2002-04-01 2015-03-31 University Of Southern California Trihidroksi polinenasiäśeni eikosanoidi
US8481772B2 (en) 2002-04-01 2013-07-09 University Of Southern California Trihydroxy polyunsaturated eicosanoid derivatives
US7582785B2 (en) * 2002-04-01 2009-09-01 University Of Southern California Trihydroxy polyunsaturated eicosanoid derivatives
US7902257B2 (en) * 2002-04-01 2011-03-08 University Of Southern California Trihydroxy polyunsaturated eicosanoid
US6946542B2 (en) * 2002-04-01 2005-09-20 University Of Southern California Amino amides, peptides and peptidomimetics
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US7254632B2 (en) * 2002-04-26 2007-08-07 P-Cube Ltd. Apparatus and method for pattern matching in text based protocol
US7075940B1 (en) 2002-05-06 2006-07-11 Cisco Technology, Inc. Method and apparatus for generating and using dynamic mappings between sets of entities such as between output queues and ports in a communications system
US6959329B2 (en) * 2002-05-15 2005-10-25 Intelliden System and method for transforming configuration commands
US7336660B2 (en) * 2002-05-31 2008-02-26 Cisco Technology, Inc. Method and apparatus for processing packets based on information extracted from the packets and context indications such as but not limited to input interface characteristics
US7558775B1 (en) 2002-06-08 2009-07-07 Cisco Technology, Inc. Methods and apparatus for maintaining sets of ranges typically using an associative memory and for using these ranges to identify a matching range based on a query point or query range and to maintain sorted elements for use such as in providing priority queue operations
US7299317B1 (en) 2002-06-08 2007-11-20 Cisco Technology, Inc. Assigning prefixes to associative memory classes based on a value of a last bit of each prefix and their use including but not limited to locating a prefix and for maintaining a Patricia tree data structure
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US20040003067A1 (en) * 2002-06-27 2004-01-01 Daniel Ferrin System and method for enabling a user interface with GUI meta data
US7464145B2 (en) 2002-07-11 2008-12-09 Intelliden, Inc. Repository-independent system and method for asset management and reconciliation
US7313667B1 (en) 2002-08-05 2007-12-25 Cisco Technology, Inc. Methods and apparatus for mapping fields of entries into new values and combining these mapped values into mapped entries for use in lookup operations such as for packet processing
US7366893B2 (en) * 2002-08-07 2008-04-29 Intelliden, Inc. Method and apparatus for protecting a network from attack
US7461158B2 (en) 2002-08-07 2008-12-02 Intelliden, Inc. System and method for controlling access rights to network resources
US7028136B1 (en) 2002-08-10 2006-04-11 Cisco Technology, Inc. Managing idle time and performing lookup operations to adapt to refresh requirements or operational rates of the particular associative memory or other devices used to implement the system
US7349382B2 (en) * 2002-08-10 2008-03-25 Cisco Technology, Inc. Reverse path forwarding protection of packets using automated population of access control lists based on a forwarding information base
EP1530763B1 (de) * 2002-08-10 2018-04-18 Cisco Technology, Inc. Assoziativer speicher mit erweiterten möglichkeiten
US7065609B2 (en) * 2002-08-10 2006-06-20 Cisco Technology, Inc. Performing lookup operations using associative memories optionally including selectively determining which associative memory blocks to use in identifying a result and possibly propagating error indications
US7177978B2 (en) * 2002-08-10 2007-02-13 Cisco Technology, Inc. Generating and merging lookup results to apply multiple features
US7689485B2 (en) * 2002-08-10 2010-03-30 Cisco Technology, Inc. Generating accounting data based on access control list entries
US7103708B2 (en) * 2002-08-10 2006-09-05 Cisco Technology, Inc. Performing lookup operations using associative memories optionally including modifying a search key in generating a lookup word and possibly forcing a no-hit indication in response to matching a particular entry
US7441074B1 (en) 2002-08-10 2008-10-21 Cisco Technology, Inc. Methods and apparatus for distributing entries among lookup units and selectively enabling less than all of the lookup units when performing a lookup operation
US7082492B2 (en) * 2002-08-10 2006-07-25 Cisco Technology, Inc. Associative memory entries with force no-hit and priority indications of particular use in implementing policy maps in communication devices
CA2495260C (en) * 2002-08-12 2012-05-29 Brigham And Women's Hospital Resolvins: biotemplates for novel therapeutic interventions
US7759395B2 (en) 2002-08-12 2010-07-20 The Brigham And Women's Hospital, Inc. Use of docosatrienes, resolvins and their stable analogs in the treatment of airway diseases and asthma
US7304999B2 (en) * 2002-08-24 2007-12-04 Cisco Technology Inc. Methods and apparatus for processing packets including distributing packets across multiple packet processing engines and gathering the processed packets from the processing engines
US7404015B2 (en) * 2002-08-24 2008-07-22 Cisco Technology, Inc. Methods and apparatus for processing packets including accessing one or more resources shared among processing engines
US7558847B2 (en) * 2002-09-13 2009-07-07 Intelliden, Inc. System and method for mapping between and controlling different device abstractions
US7051259B1 (en) 2002-10-08 2006-05-23 Cisco Technology, Inc. Methods and apparatus for communicating time and latency sensitive information
US7610440B2 (en) * 2002-10-23 2009-10-27 Husby Donald E Content addressable memory with automated learning
US6717946B1 (en) 2002-10-31 2004-04-06 Cisco Technology Inc. Methods and apparatus for mapping ranges of values into unique values of particular use for range matching operations using an associative memory
US7602788B2 (en) 2002-11-04 2009-10-13 At&T Intellectual Property I, L.P. Peer to peer SVC-based DSL service
US7701953B2 (en) * 2002-11-04 2010-04-20 At&T Intellectual Property I, L.P. Client server SVC-based DSL service
US7024515B1 (en) 2002-11-15 2006-04-04 Cisco Technology, Inc. Methods and apparatus for performing continue actions using an associative memory which might be particularly useful for implementing access control list and quality of service features
US7313093B1 (en) 2002-11-26 2007-12-25 Cisco Technology, Inc. Methods and apparatus for selectively discarding packets during overload conditions
US20040117488A1 (en) * 2002-12-12 2004-06-17 Mcnamee Kevin Dynamic callback packet filtering gateway
US7496035B1 (en) 2003-01-31 2009-02-24 Cisco Technology, Inc. Methods and apparatus for defining flow types and instances thereof such as for identifying packets corresponding to instances of the flow types
US7382785B2 (en) * 2003-02-21 2008-06-03 At&T Knowledge Ventures, L.P. Extended virtual user-to-network interface with ATM network
WO2004078143A2 (en) * 2003-03-05 2004-09-16 The Brigham And Women's Hospital Inc. Methods for identification and uses of anti-inflammatory receptors for eicosapentaenoic acid analogs
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US20050010485A1 (en) * 2003-07-11 2005-01-13 Quadratic Systems Corporation Integrated system and method for selectively populating and managing multiple, site-specific, interactive, user stations
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7571242B2 (en) * 2003-10-24 2009-08-04 Alcatel Lucent Method for accelerated packet processing
US7305519B1 (en) 2004-03-29 2007-12-04 Cisco Technology, Inc. Error protection for associative memory entries and lookup operations performed thereon
US7290083B2 (en) * 2004-06-29 2007-10-30 Cisco Technology, Inc. Error protection for lookup operations in content-addressable memory entries
US7599361B2 (en) * 2004-07-02 2009-10-06 P-Cube Ltd. Wire-speed packet management in a multi-pipeline network processor
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418999A (en) * 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
GB2418108B (en) 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US8966551B2 (en) 2007-11-01 2015-02-24 Cisco Technology, Inc. Locating points of interest using references to media frames within a packet flow
US9197857B2 (en) 2004-09-24 2015-11-24 Cisco Technology, Inc. IP-based stream splicing with content-specific splice points
US20060082581A1 (en) * 2004-10-14 2006-04-20 Microsoft Corporation Encoding for remoting graphics to decoder device
US7852342B2 (en) * 2004-10-14 2010-12-14 Microsoft Corporation Remote client graphics rendering
US20060126520A1 (en) * 2004-12-15 2006-06-15 Cisco Technology, Inc. Tape acceleration
US7350131B2 (en) * 2005-01-22 2008-03-25 Cisco Technology, Inc. Error protecting groups of data words
US7551617B2 (en) 2005-02-08 2009-06-23 Cisco Technology, Inc. Multi-threaded packet processing architecture with global packet memory, packet recirculation, and coprocessor
US20060282878A1 (en) * 2005-06-14 2006-12-14 Stanley James C Expression of packet processing policies using file processing rules
US7594258B2 (en) * 2005-06-27 2009-09-22 Yahoo! Inc. Access control systems and methods using visibility tokens with automatic propagation
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US8069270B1 (en) * 2005-09-06 2011-11-29 Cisco Technology, Inc. Accelerated tape backup restoration
US7609280B2 (en) * 2005-09-07 2009-10-27 Microsoft Corporation High level graphics stream
US8527563B2 (en) * 2005-09-12 2013-09-03 Microsoft Corporation Remoting redirection layer for graphics device interface
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
US8273792B2 (en) * 2005-10-03 2012-09-25 The Brigham And Women's Hospital, Inc. Anti-inflammatory actions of neuroprotectin D1/protectin D1 and it's natural stereoisomers
US7739426B1 (en) 2005-10-31 2010-06-15 Cisco Technology, Inc. Descriptor transfer logic
US8266431B2 (en) * 2005-10-31 2012-09-11 Cisco Technology, Inc. Method and apparatus for performing encryption of data at rest at a port of a network device
EP1954291A1 (de) * 2005-11-18 2008-08-13 Trustees Of Boston University Behandlung und prävention von knochenschwund mithilfe von resolvinen
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US20080052284A1 (en) * 2006-08-05 2008-02-28 Terry Stokes System and Method for the Capture and Archival of Electronic Communications
US7689889B2 (en) * 2006-08-24 2010-03-30 Cisco Technology, Inc. Content addressable memory entry coding for error detection and correction
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US7953895B1 (en) 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
US8023419B2 (en) 2007-05-14 2011-09-20 Cisco Technology, Inc. Remote monitoring of real-time internet protocol media streams
US7936695B2 (en) * 2007-05-14 2011-05-03 Cisco Technology, Inc. Tunneling reports for real-time internet protocol media streams
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US7835406B2 (en) * 2007-06-18 2010-11-16 Cisco Technology, Inc. Surrogate stream for monitoring realtime media
US7817546B2 (en) 2007-07-06 2010-10-19 Cisco Technology, Inc. Quasi RTP metrics for non-RTP media flows
US7996520B2 (en) 2007-09-19 2011-08-09 Cisco Technology, Inc. Behavioral classification of communication sessions using active session initiation
US8464074B1 (en) 2008-05-30 2013-06-11 Cisco Technology, Inc. Storage media encryption with write acceleration
AU2009267107A1 (en) 2008-06-30 2010-01-07 Websense, Inc. System and method for dynamic and real-time categorization of webpages
AU2010254269A1 (en) 2009-05-26 2011-12-22 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US10290052B1 (en) 2009-08-28 2019-05-14 Jpmorgan Chase Bank, N.A. ATM exception processing system and method
US8301982B2 (en) 2009-11-18 2012-10-30 Cisco Technology, Inc. RTP-based loss recovery and quality monitoring for non-IP and raw-IP MPEG transport flows
US8533780B2 (en) * 2009-12-22 2013-09-10 Cisco Technology, Inc. Dynamic content-based routing
US8819714B2 (en) 2010-05-19 2014-08-26 Cisco Technology, Inc. Ratings and quality measurements for digital broadcast viewers
US9455892B2 (en) * 2010-10-29 2016-09-27 Symantec Corporation Data loss monitoring of partial data streams
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
JP6108968B2 (ja) * 2013-06-06 2017-04-05 株式会社ソニー・インタラクティブエンタテインメント 通信処理装置および通信処理方法

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5479155A (en) * 1988-12-05 1995-12-26 Prince Corporation Vehicle accessory trainable transmitter
US5347642A (en) * 1989-11-30 1994-09-13 Nec Electronics Inc. Cache memory management unit
US5291442A (en) * 1990-10-31 1994-03-01 International Business Machines Corporation Method and apparatus for dynamic cache line sectoring in multiprocessor systems
US5280480A (en) * 1991-02-21 1994-01-18 International Business Machines Corporation Source routing transparent bridge
US5325504A (en) * 1991-08-30 1994-06-28 Compaq Computer Corporation Method and apparatus for incorporating cache line replacement and cache write policy information into tag directories in a cache system
US5394408A (en) * 1992-02-10 1995-02-28 Nec Corporation Policing control apparatus
US5418922A (en) * 1992-04-30 1995-05-23 International Business Machines Corporation History table for set prediction for accessing a set associative cache
US5444491A (en) * 1993-02-26 1995-08-22 Massachusetts Institute Of Technology Television system with multiple transmission formats
US5557747A (en) * 1993-06-22 1996-09-17 Rogers; Lawrence D. Network policy implementation system for performing network control operations in response to changes in network state
CA2128673C (en) * 1993-09-08 1997-02-04 Naser Saleh Barghouti Open process control system
US5442624A (en) * 1993-10-29 1995-08-15 At&T Corp. Dynamic access control for an ATM network
US5546549A (en) * 1994-06-01 1996-08-13 International Business Machines Corporation Multi-path channel (MPC) interface with user transparent, unbalanced, dynamically alterable computer input/output channels
US5644751A (en) * 1994-10-03 1997-07-01 International Business Machines Corporation Distributed file system (DFS) cache management based on file access characteristics
US5533033A (en) * 1994-12-19 1996-07-02 The United States Of America As Represented By The Director, National Security Agency Device for and method of correcting errors in formatted modem transmissions
US5566170A (en) * 1994-12-29 1996-10-15 Storage Technology Corporation Method and apparatus for accelerated packet forwarding
US5625622A (en) * 1995-12-27 1997-04-29 Lucent Technologies Inc. Apparatus and method for a generalized leaky bucket

Also Published As

Publication number Publication date
AU3487997A (en) 1998-01-07
CA2258010C (en) 2001-08-28
EP1012726A4 (de) 2000-06-28
JP2000513165A (ja) 2000-10-03
CA2258010A1 (en) 1997-12-24
EP1012726B1 (de) 2004-08-25
US5842040A (en) 1998-11-24
AU714870B2 (en) 2000-01-13
DE69730452D1 (de) 2004-09-30
EP1012726A1 (de) 2000-06-28
WO1997049038A1 (en) 1997-12-24

Similar Documents

Publication Publication Date Title
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
DE60212916T2 (de) Verfahren und Vorrichtung zum Ermöglichen von Zugriffen in einer Vermittlungsstelle
DE602004009356T2 (de) Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen
DE69833605T2 (de) Sichere virtuelle LANS
Paul et al. A full bandwidth ATM Firewall
DE60126222T2 (de) Verbundene Netzvermittlungskonfiguration
DE60126223T2 (de) Anordnung zur Verbindung von Netzvermittlungsstellen
Xu et al. Design and evaluation of a High-Performance ATM firewall switch and its applications
DE60109038T2 (de) Zugangskontrolleinrichtung zwischen atm-netzen
EP1602214A1 (de) Verfahren, system und speichermedium zum eintragen von datennetzwerk-erreichbarkeitsinformationen
DE60133175T2 (de) Kommunikationsnetz
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE60215416T2 (de) Zeigerbasierte binäre Suchmaschine und dafür geeignetes Verfahren
DE69636513T2 (de) System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz
DE69530886T2 (de) Prüfung der Echtheit von zwischen zwei Stationen eines Telecommunikationsnetz übertragenen Daten
EP0962119B1 (de) Atm-kommunikationssystem zum vermitteln von internet-datenpaketen
DE202021102465U1 (de) Einarmiger Inline-Entschlüsselungs-/Verschlüsselungsproxy, der im Modus einer transparenten Bridge arbeitet
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
EP1393499B1 (de) Verfahren und anordnung zur standortunabhängigen überwachung von sprach- und/oder datennetzverbindungen durch bedarfsträger
DE602004012291T2 (de) Ethernet Digital Subscriber Line Access Multiplexer DSLAM mit Durchflusskontrolle
WO2005025179A1 (de) Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerk zur erhöhung der internetsicherheit
EP4014424B1 (de) Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer
DE102020106505A1 (de) Verwalten einer Entschlüsselung von durch eine Netzwerkeinrichtung fließenden Netzwerk-Datenströmen
DE602005004596T2 (de) Verfahren zur Sicherung des Zugriffs auf Ports von einem Ebene-2-Switch und Ebene-2-Switch, der das Verfahren implementiert
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee