DE69730452T2 - Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät - Google Patents
Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät Download PDFInfo
- Publication number
- DE69730452T2 DE69730452T2 DE69730452T DE69730452T DE69730452T2 DE 69730452 T2 DE69730452 T2 DE 69730452T2 DE 69730452 T DE69730452 T DE 69730452T DE 69730452 T DE69730452 T DE 69730452T DE 69730452 T2 DE69730452 T2 DE 69730452T2
- Authority
- DE
- Germany
- Prior art keywords
- pdus
- policy
- pdu
- stream
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/04—Selecting arrangements for multiplex systems for time-division multiplexing
- H04Q11/0428—Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
- H04Q11/0478—Provisions for broadband connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5619—Network Node Interface, e.g. tandem connections, transit switching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5625—Operations, administration and maintenance [OAM]
- H04L2012/5626—Network management, e.g. Intelligent nets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5629—Admission control
- H04L2012/563—Signalling, e.g. protocols, reference model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Mobile Radio Communication Systems (AREA)
Description
- Lizenzrechte der Regierung
- Die US-Regierung besitzt eine bezahlte Lizenz an der vorliegenden Erfindung sowie das Recht, unter bestimmten Umständen zu verlangen, dass der Patentinhaber Lizenzen an andere zu angemessenen Konditionen gemäß den Bedingungen des Vertrags Nr. MDA 904-94-C-F059 zu gewähren, der mit dem Maryland Procurement Office, 9800 Savage Road, Fort George G. Meade, MD 20755, abgeschlossen wurde.
- Bereich der Erfindung
- Die vorliegende Erfindung betrifft Datenkommunikation und insbesondere Richtlinienmanagement über die Datenkommunikation.
- Hintergrund der Erfindung
- In einem Datenkommunikationsnetz werden Routing-, Bridging-, Schalt-, Filter- und Prüffunktionen von Protokolldateneinheiten (z.B. Datenpaketen, Zellen oder Frames, die Sprach-, Video- oder Dateninformationen enthalten) kollektiv durch Netzwerkrichtlinien gehandhabt.
- Um die Funktionsweise von Netzwerkrichtlinien in einem Datenkommunikationsnetz besser zu verstehen, hilft möglicherweise eine Analogie. In vielerlei Hinsicht sind Datenkommunikationsnetze Postzustellsystemen ähnlich, wobei Postsendungen wie z.B. Briefe oder Pakete mit den Protokolldateneinheiten vergleichbar sind, die in einem Datenkommunikationsnetz transportiert werden. In einem Postzustellsystem können die Postsendungen auf eine Reihe verschiedener Weisen in das Postzustellsystem gelangen. Alle Postsendungen werden in dem Postzustellsystem gesammelt und zu nahe gelegenen Bearbeitungseinrichtungen transportiert, wo die Postsendungen zur Weiterbearbeitung sortiert werden.
- Jede Postsendung hat zwar eine eindeutige Zustelladresse, aber die meisten Postsendungen werden automatisch nach einer kürzeren Postleitzahl oder nach einem anderen Typ von Wegleitcode sortiert. Briefe ohne Postleitzahl müssen per Hand sortiert und bearbeitet werden. Wenn die Post nach Zielort sortiert ist, muss sie durch zusätzliche Zwischenbearbeitungseinrichtungen geleitet werden, bis sie an dem Ort ankommt, der als das Ziel auf der Postsendung angegeben ist. Alle diese Abläufe zum Sortieren und Zustellen der Postsendung unterliegen Vorschriften und Verfahrensregeln.
- Zusätzlich zum Bearbeiten von Postsendungen zum Leiten der Post zum richtigen Zielort können die Postsendungen mehrere weitere Bearbeitungsschritte durchlaufen. Wenn beispielsweise die Postsendung das Land verlassen soll, dann besteht die Richtlinie darin, dass in jedem Land ein Zollprüfvorgang durchlaufen werden muss. Wenn die Postsendung durch das nationale Postzustellsystem zugestellt wird, dann muss sie auch von einem nationalen Postzustellsystem zu einem anderen übergeben werden. In einem privaten Postzustellsystem wäre dieser Übergabeschritt jedoch nicht notwendig. Die Postsendungen können auch im Hinblick auf Dinge wie Postbetrug oder Versand gefährlicher Stoffe überwacht oder gefiltert werden. Auch alle diese Vorgänge werden durch Richtlinien geregelt, die in Vorschriften und Verfahrensregeln dargelegt sind.
- Datenpakete werden in einem Datenkommunikationsnetz auf eine Weise ähnlich der manipuliert, mit der Postsendungen in einem Postzustellsystem zugestellt werden. Datenpakete werden beispielsweise von vielen verschiedenen Gerätetypen erzeugt und auf ein Kommunikationsnetz gesetzt. Die Datenpakete werden typischerweise auf einem Weiterleitungsgerät zusammengefasst, wie z.B. auf einer/m lokalen Bridge oder Router, und dann nach Größe und Zielort über einen oder mehrere Datenträgertypen (z.B. Faseroptik) geleitet, die mit Zielgeräten verbunden sind, die andere größere oder kleinere Bridges oder Routers sein können. Diese Zielgeräte bringen dann das Datenpaket zu seinem Endpunkt (d.h. zum Endbenutzer). Unterwegs kann das Datenkommunikationsnetz Richtlinienprüfungen (d.h. Filter- und Prüf/Überwachungsfunktionen) in Bezug auf die Datenpakete durchführen. Diese Routing-, Bridging-, Schalt-, Filter- und Prüffunktionen unterliegen ebenfalls Richtlinien, die in von Systemadministratoren und dergleichen festgelegten Vorschriften und Verfahrensregeln dargelegt sind. Diese Vorschriften und Verfahrensregeln sind allgemein als Kommunikationsnetzrichtlinien bekannt.
- Mit zunehmender Größe, Komplexität und Geschwindigkeit von Kommunikationsnetzen wird es immer wichtiger, Netzwerkrichtlinien für die Handhabung von Protokolldateneinheiten (PDUs) auf effiziente Weise festzulegen und zu verwalten. Die Netzwerkrichtlinien werden gewöhnlich von einem Kommunikationsgerät durchgesetzt. Das Gerät ermittelt eine Disposition der PDUs auf der Basis von Netzwerkrichtlinien, die in das Gerät einprogrammiert wurden.
- Ebenso wie Postzustellsysteme ständig zunehmende Postvolumen erfahren haben, die zugestellt werden müssen, nimmt auch das Volumen von PDUs, die über Computer-/Datenkommunikationsnetze übertragen werden, immer mehr zu, während mit dieser neuen Form von Kommunikationszustellsystem Erfahrungen gesammelt und immer mehr Anwendungen mit immer ausgedehnteren Mitteln entwickelt werden.
- Darüber hinaus hat die sich rasch ändernde Technologie die zu Grunde liegenden Datenübertragungsbetriebsmittel für Computerkommunikationsnetze relativ kostenarm gemacht. Faseroptik bietet beispielsweise Datenübertragungsraten im Gbps-Bereich.
- Es besteht Bedarf an einer Möglichkeit, Netzwerkrichtlinien auf diesen schnellen Netzwerken durchzusetzen, die effizient und kostenarm ist und den Effekt minimal hält, den die Durchsetzung von Netzwerkrichtlinien auf PDU-Durchsatzraten für Geräte hat, die diese Richtlinien durchsetzen. Die vorliegende Erfindung stellt eine Lösung für dieses sowie für andere Probleme bereit und bietet weitere Vorteile gegenüber dem Stand der Technik.
- Es wird auf „Flow Labelled IP: A Connectionless Approach to ATM", Proceedings of Infocom, US, Los Alamitos, IEEE Comp. Soc. Press, Bd. Conf. 15, 1996, Seiten 1251–1260, XP000622261, ISBN: 0-8186-7293-5 verwiesen, wo der Verzicht auf die verbindungsorientierte Natur von ATM (Asynchronous Transfer Mode) und die Integration von schneller ATM-Hardware direkt in das Internetprotokoll (IP) unter Bewahrung der verbindungslosen Natur des IP erörtert wird. Das Dokument offenbart die Nutzung eines „Soft"-Zustands in der ATM-Hardware zum Cachen der IP-Weiterleitungsentscheidung, so dass mehr Verkehr auf demselben IP-Strom von der ATM-Hardware geschaltet anstatt von IP-Software weitergeleitet werden kann.
- ZUSAMMENFASSUNG DER ERFINDUNG
- Die vorliegende Erfindung stellt ein Netzwerkrichtlinien-Caching-Schema bereit, das das Problem des Durchsetzens von Richtlinien bei hohen Datendurchsatzraten durch Analysieren von einer PDU aus einer Gruppe von verwandten PDUs löst, um eine Netzwerkrichtlinie für die PDU zu ermitteln, den relevanten Teil der Richtlinie zu cachen und diese gecachte Richtlinie auf die übrigen verwandten PDUs anzuwenden, ohne eine komplette Analyse der übrigen verwandten PDUs zu erfordern.
- Gemäß einem ersten Aspekt der Erfindung wird ein Richtlinien-Caching-Verfahren für die Verwendung in einem Kommunikationsgerät bereitgestellt, umfassend die folgenden Schritte:
- Ermitteln einer Instanz einer PDU- (Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis des Inhalts von einer der verwandten empfangenen PDUs angewendet werden soll, wobei die verwandten empfangenen PDUs eine 'Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und Cachen von Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll.
- So kann das Kommunikationsgerät beispielsweise ein Datennetzgerät, ein Computer, ein Überwachungsgerät, ein Switch, ein Router, eine Bridge oder eine Firewall sein. Dieses Verfahren wird mit geräteimplementierten Schritten in einer Reihe von getrennten Verarbeitungsschritten durchgeführt, die in einem oder mehreren Prozessoren implementiert werden können. Eine Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs angewendet werden soll, wird auf der Basis des Inhalts von einer der verwandten empfangenen PDUs ermittelt. Wenn beispielsweise eine PDU empfangen wird, dann wird ihre relevante Richtlinie geprüft. Diese Richtlinie kann sehr breit und komplex sein, so dass sie einer erheblichen Analyse bedarf. Wenn diese empfangene PDU als Richtlinieninstanz angesehen wird, von der erwartet wird, dass sie häufig auftritt, dann ist sie ein Kandidat für eine Cache-Operation. Beispiele für solche Richtlinien sind Filterung (z.B. Weiterleiten oder Nichtweiterleiten der PDU) und/oder Auditing (z.B. Senden einer Kopie der PDU zu einem Dritten). Diese Netzwerkrichtlinienanalyse erfolgt vorzugsweise an der ersten empfangenen PDU. Danach werden die PDU-Richtlinieninstanz identifizierenden Richtlinienidentifikationsinformationen für die spätere Anwendung auf andere der verwandten empfangenen PDUs gecacht.
- Nach dem Cachen der Richtlinie wird die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien vorzugsweise auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen angewendet. Darüber hinaus wird die Netzwerkrichtlinieninstanz durch Filterung und Prüfung der verwandten empfangenen PDUs durchgeführt.
- Beim Betrieb wird ein Strom von PDUs von einer Kommunikationsverbindung empfangen. Eine Teilmenge von PDUs aus dem Strom von PDUs wird vorzugsweise als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien gruppiert. Diese Auswahlkriterien können viele Formen haben. So können die verwandten empfangenen PDUs beispielsweise ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von PDUs sein, die identische Kategorisierungsfelder haben, wie z.B.: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld.
- Dieser erste Aspekt der Erfindung kann auch als Richtlinien-Cache für die Verwendung in einem Kommunikationsgerät implementiert werden, das mit einer Datenkommunikationsverbindung gekoppelt ist.
- Gemäß einem zweiten Aspekt der vorliegenden Erfindung wird ein Richtlinien-Cache zur Verwendung in einem Kommunikationsgerät bereitgestellt, der Folgendes umfasst:
- a) ein Ausnahmeverarbeitungsmittel zum Ermitteln einer Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewandt werden sollen, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und
- b) ein Gecachte-Instanz-Klassifizierungsmittel, das funktionell mit dem Ausnahmeverarbeitungsmittel gekoppelt ist, um Richtlinienidentifikationsinformationen zu cachen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewandt werden sollen.
- Ein Instanz-Richtlinien-Cache ist vorzugsweise funktionell mit dem Ausnahmeprozessor gekoppelt, um die PDU-Richtlinieninstanz zu cachen, die auf andere der verwandten empfangenen PDUs angewandt werden soll.
- Dieser Richtlinien-Cache wird vorzugsweise in ein Kommunikationsgerät eingebaut, das auch einen Datenstromprozessor beinhaltet. Der Datenstromprozessor wendet die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere der verwandten empfangenen PDUs durch Nutzen der gecachten Richtlinienidentifikationsinformationen an, um die gecachte PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache abzurufen.
- Diese sowie verschiedene andere Merkmale und Vorteile, die die vorliegende Erfindung charakterisieren, gehen aus einem Studium der nachfolgenden ausführlichen Beschreibung und aus einer Betrachtung der zugehörigen Zeichnungen hervor.
- Kurze Beschreibung der Zeichnungen
-
1 ist ein Blockdiagramm, das ein Kommunikationsgerät der bevorzugten Ausgestaltung mit einer Richtlinie zeigt, die gemäß der vorliegenden Erfindung gecacht wurde; -
2 und3 sind Blockdiagramme, die das Kommunikationsgerät der bevorzugten Ausgestaltung gemäß1 in verschiedenen Kommunikationsnetztopologien gemäß der vorliegenden Erfindung zeigt; -
4 ist ein Fließschema, das bevorzugte Ausgestaltungsschritte des Richtlinien-Caching gemäß der vorliegenden Erfindung aufführt. - Ausführliche Beschreibung der bevorzugten Ausgestaltung
- Das in
1 gezeigte Kommunikationsgerät der bevorzugten Ausgestaltung wird beispielhaft mit Bezug auf ATM- (Asynchronous Transfer Mode) Kommunikationen beschrieben. Eine allgemeine Erörterung der technischen Merkmale und Funktionen der ATM-Kommunikation befindet sich beispielsweise in einem Buch von McDysan, David E. und Spohn, Darren L., ATM: Theory and Application, McGraw-Hill Inc. 1995. Die Fachperson wird jedoch verstehen, dass die hierin beschriebenen Grundsätze auch auf jedes andere Datenkommunikationssystem angewendet werden können, das Informationen als PDUs überträgt. - Das Kommunikationsgerät
100 ist gewöhnlich mit physikalischen Datenträgern verbunden, die Synchronisation und Träger für Punkt-zu-Punkt-Verbindungen bieten. In einer ATM-Umgebung werden diese Verbindungen zum Verknüpfen von Switches miteinander oder zum Bereitstellen von Diensten zwischen dem öffentlichen Netz und den Privatgeräten oder Geräten am Standort des Kunden verwendet. - Dieses Kommunikationsgerät
100 ist vorzugsweise ein Endpunkt für den physikalischen Datenträger und implementiert keine Bitübertragungsschicht-Verwaltung, mit Ausnahme des Leitungsstatus, der notwendig ist, um der Quelle die Leitungsqualität zu melden. In alternativen Ausgestaltungen kann die Bitübertragungsschicht-Verwaltung in ein Kommunikationsgerät100 integriert sein, und in diesem Fall kann es auch andere Datenvernetzungsfunktionen ausführen (z.B. Switching, Routing oder Bridging), die mit den Netzwerkrichtlinien konform sind, die das Kommunikationsgerät100 durchsetzt. - Mit ATM können an individuellen PDUs Signalgabe-, Filter- und Protokollierfunktionen durchgeführt werden. Wenn es nur eines dieser Geräte
100 in dem Pfad zwischen Quelle und Ziel gibt, dann können Verbindungen lediglich gefiltert und protokolliert werden. Dies ist eine wichtige Funktion, die jedoch keine Geheimhaltung über das Netz bietet und auch keine Schnittstelle zum öffentlichen Netz authentifiziert. Wenn die ATM-Verbindung hergestellt ist, werden Informationen für die Verwendung durch die PDU-Filterungshardware zum Steuern des PDU-Inhalts bereitgestellt. Dies gibt vollkommene Flexibilität beim Design von IP-PDU-Filtern auf der Basis von Quell- und Ziel-ATM-Adressen. Dies kann vielleicht mit Hilfe einer Illustration erläutert werden. Wenn auf eine bestimmte IP-Adresse nur über einen begrenzten Satz von ATM-Adressen zugegriffen werden kann, dann kann diese IP-Adresse ungültig gemacht werden, wenn die PDU auf eine VC stößt, die nicht von dem richtigen Satz von ATM-Quelladressen kommt. - In der bevorzugten Ausgestaltung werden die ATM-Verbindungen anhand von gültigen oder ungültigen Quell-, Ziel- und paarweisen Listen von ATM-Adressen geprüft, und wenn zulässig, dann wird die Verbindung hergestellt. Unabhängig davon, ob die Verbindung fertig ist, wird der Verbindungsversuch für Prüfzwecke protokolliert.
- Wenn das ATM-Paar als für Kommunikationen zulässig definiert ist (ob explizit oder implizit), wird auch die Pro-PDU-Richtlinie festgelegt. Die benötigte Service-Klasse (COS) wird ebenfalls validiert und eventuell geändert, um die Richtlinienziele zu erfüllen.
- Wenn die Verbindung hergestellt ist, werden diese Informationen zum PDU-Filter gesendet.
- Einige der Richtlinienregeln, die auf eine ATM-Verbindung angewendet werden können, sind unter anderem:
- 1. Zulassen/nicht zulassen
- 2. AAL-Typ (sowohl bei der Meldung als auch beim Durchsetzen, dass der eigentliche Datenstrom die zulässige ATM-Adaptionsschicht (AAL) enthält).
- 3. Service-Klasse (Bandbreite, Bursthaftigkeit usw.)
- 4. PDU-Inhalt
- Wenn eine Verbindung zulässig ist und der Verkehr nicht paketiert wird (d.h. Video), dann kann sie zugelassen werden, auch wenn keine Inhaltsfilterung möglich ist (AAL-Typ-Filterung und Zellenratendurchsetzung sind weiterhin möglich).
- Durch virtuelle Verbindungen passierende ATM-Zellen werden von der Filterund Protokolliermaschine verarbeitet (d.h. vom Kommunikationsgerät
100 ). Wenn sich auf beiden Seiten des öffentlichen Netzes Filtergeräte befinden, dann sind Geheimhaltung und Authentifizierung möglich. - Wenn eine Zelle versucht, die Filtergrenze zu überqueren, dann wird die virtuelle Verbindungskennung (VCI) geprüft, um zu gewährleisten, dass es eine offene VC für diese Zelle gibt. Ferner wird die Rate, mit der die Zellen ankommen, geprüft, um zu gewährleisten, dass es keine Runaways gibt. Wenn die Zelle auf eine nicht offene VC trifft oder ihre Toleranz überschreitet, dann wird die PDU protokolliert und/oder fallen gelassen. Dies gilt unabhängig davon, ob sich ein Filter auf der fernen Seite befindet oder nicht, und gilt auch für geschaltete virtuelle Kanäle (SVCs) oder permanente virtuelle Kanäle (PVCs).
- Runaway-Zellströme sind eine ernste Gefahr. Serviceverweigerungsattacken im öffentlichen Netz sind, nach einigen Standards, unausweichlich. Wenn ein Zellstrom außer Kontrolle gerät und die verfügbare Kapazität im öffentlichen Netz ausfüllt und den Dienst innerhalb des öffentlichen Netzes verweigert, dann ist das eine Sache. Das hier angegangene Problem ist jedoch weitaus schwerwiegender. Wenn ein Runaway-Zellstrom in eine Abtrennung eindringen kann, dann kann einem Knoten-zu-Knoten-Verkehr, der nicht am öffentlichen Netzverkehr beteiligt ist, der Dienst verweigert werden. Eine solche Attacke muss nach Möglichkeit erkannt und gestoppt werden.
- Die Vorgehensweise besteht darin, dass die Zelladresse in einer Tabelle nachgeschlagen oder Hash-codiert wird. Der Tabelleneintrag enthält ein „Programm", das an einer VC ausgeführt wird. VCs können vom Typ AAL 1, 2, 3, 4 oder 5 in ATM sein. Wenn die VC als AALS oder AAL3/4 deklariert wird, dann kann sie weiter auf Inhalt gefiltert werden.
- Zusätzlich zur ATM-Schaltungsüberwachung (und potentieller Schaltungsverschlüsselung) im Rahmen der Durchsetzung von Netzwerkrichtlinien kann, wenn der Verkehr paketiert wird (wie AALS), eine Richtlinie für PDU-Inhalt durchgesetzt werden. Diese Richtlinie kann einfach oder komplex sein. Informationen, die gefiltert werden können, sind unter anderem:
- 1. Netzwerkprotokoll (z.B. IP)
- 2. Quelladresse
- 3. Zieladresse
- 4. Sicherheitsoptionen (z.B. DNSIX, RIPSO, (RFC 1108) CIPSO
- 5. Transportprotokoll (z.B. TCP, UDP)
- 6. Syn, Fin-Flags (nur TCP)
- 7. Quellport oder
- 8. Zielport
- Diese Filterung kann auch eine Kombination aus zwei oder mehr dieser Felder beinhalten. Die Filterung kann ein Vergleich mit einem vorbestimmten Wert oder eine Prüfung sein, ob Werte innerhalb eines Bereiches möglicher Werte liegen.
- Die Vorgehensweise besteht darin, dass jede Kombination von Protokollen, Adressen und Ports ein Key ist. Dieses Tupel (Session genannt) repräsentiert eine(n) einzige(n) TCP- oder UDP-Session, Benutzer, Anwendung oder Service. Die Session wird protokolliert und PDU-Statistiken werden für die Zeitdauer geführt, während der die Session aktiv ist.
- Dies wird dadurch erzielt, dass eine relative große Menge an Zeit (im Bereich von Millisekunden) aufgewendet wird, um das erste Auftreten eines Verbindungstupels (Session) anhand des vollständigen Regelsatzes zu filtern. Wenn eine neue Session auftritt, dann repräsentiert sie eine TCP-Verbindungsanforderung oder die allererste UDP-Anforderung oder wenigstens die erste Anforderung seit dem Initialisieren des Kommunikationsgerätes
100 . In jedem Fall tritt diese Verzögerung nur am ersten Paket auf und wird vermutlich nicht länger sein als die normalen Neuübertragungszeiten. - Nach dem Prüfen der ersten Nachricht werden die notwendigen Informationen in den Kommunikationsgerät-Richtlinien-Cache geladen, so dass dann, wenn weitere PDUs ankommen, diese nicht auf ein Abstellgleis geschoben, sondern auf effiziente Weise weitergeleitet werden. Somit werden nachfolgende ATM-Zellen nachfolgender Pakete nur um Mikrosekunden verzögert.
- IP-Fragmente werden durch die komplette Filterung (IP und TCP oder UDP) des ersten Pakets und nachfolgende Filterung nur der IP-Schichtdaten auf den verbleibenden Paketen unterstützt. Dadurch wird gewährleistet, dass alle „ersten" Pakete vollständig analysiert und, wenn sie für ungültig befunden werden, verworfen werden. Die übrigen Pakete des Stroms werden durch das Kommunikationsgerät
100 gelassen, aber das Ziel kann das Paket nicht von den IP-Segmenten wieder zusammensetzen. - Wieder mit Bezug auf
1 wird der besondere Betrieb eines Kommunikationsgerätes100 der bevorzugten Ausgestaltung erläutert. - In einer ATM-Umgebung arbeitet das Kommunikationsgerät
100 auf einer Basis von Zelle für Zelle. Die in jeder Zelle verursachte Verzögerung ist gering. Jede Operation, ob mit Software oder Hardware, ist so ausgelegt, dass sie innerhalb von weniger als einer Zellenzeit abgeschlossen ist. Die einzige Ausnahme ist die Fehlerhandhabung. Indem die Operationen auf weniger als eine Zellenzeit gehalten werden, braucht das Kommunikationsgerät100 nur sehr geringe Zellpufferfähigkeit. - Wenn das Kommunikationsgerät
100 Teil einer Vorrichtung ist, die einen Datenstrom102 direkt von einer ATM-Kommunikationsverbindung erhält, dann wird die eingehende Zelle von dem privaten Netz durch einen SONET- (Synchronous Optical Network) Framer innerhalb des Datenstromprozessors104 zu einem ATM-Zellstrom verarbeitet. Eventuelle HEC- (Header Error Control) Fehler werden vom Framer ermittelt und nach Möglichkeit korrigiert. Der Framer bietet auch eine Gesamtzahl von eingehenden Zellen und fehlerhaften Zellen. Hinter dem Framer erfolgt eine ATM-Header- und Nutzlastassoziation. ATM-Header, SNAP-Header und IP-Header werden identifiziert, und eindeutige Wörter werden in einen vom Benutzer definierten Header gesetzt. Der vom Benutzer definierte Header kann ein zwischen vier und acht Byte langes Feld sein, das an den Anfang jeder Zelle gesetzt wird. Der vom Benutzer definierte Header enthält Felder für Zellinformationen, Krypto-Adressierung, ATM-Header-Assoziation und IP-Assoziation. Diese Funktionen können in einer FPLA (frei programmierbare logische Anordnung) alleine oder in Kombination mit allgemein verfügbaren ATM-Chip-Sets für ATM-Zellframing implementiert werden. - Die Zellen zusammen mit ihrem vom Benutzer definierten Header werden dann weitergeleitet, so dass Zelldispositionsfunktionen (d.h. Netzwerkrichtlinienbeurteilung und Durchsetzungsvorgänge) durchgeführt werden können. Typischerweise werden alle diese Operationen gleichzeitig an zwei Datenströmen durchgeführt: einem, der stromaufwärts, und einem, der stromabwärts durch die Kommunikationseinheit geht.
1 zeigt die Funktionsblöcke, die einen dieser beiden Datenströme manipulieren. Diese Funktionsblöcke würden für Operationen an dem anderen der beiden Datenströme dupliziert. In einigen Ausgestaltungen der vorliegenden Erfindung ist es möglich, dass einer oder mehrere dieser Funktionsblöcke tatsächlich ein physikalisches Gerät ist/sind, das von Komponenten gemeinsam genutzt wird, die Operationen an beiden Datenströmen durchführen. So können beispielsweise die allgemeinen Richtlinien114 in einem Speicher gespeichert werden, auf den andere Komponenten zugreifen können, die an beiden Datenströmen arbeiten. - Die Netzwerkrichtlinienbeurteilungs- und -durchsetzungsfunktion in dem Kommunikationsgerät
100 wird durch die Verwendung eines Richtlinien-Cache durchgeführt. Der fache erlaubt die Durchführung von schnellen Operationen an den PDUs (d.h. Zellen in der ATM-Umgebung) mit einer nominellen Verzögerung, die an die Ende-zu-Ende-Transportzeiten der PDU angehängt wird. - Der Richtlinien-Cache beinhaltet einen Ausnahmeprozessor
112 , der eine PDU-Netzrichtlinieninstanz aus mehreren Richtlinien, die auf verwandte empfangene PDUs angewandt werden können, auf der Basis von Inhalt von wenigstens einer ersten empfangenen PDU der verwandten empfangenen PDUs ermittelt. Ein allgemeiner Richtlinienspeichermechanismus114 wird funktionell mit dem Ausnahmeprozessor112 gekoppelt, der die Netzwerkrichtlinien so speichert, dass der Ausnahmeprozessor112 den allgemeinen Richtlinienspeichermechanismus114 auf PDU-Netzrichtlinieninstanzen abfragen kann, die auf die verwandten empfangenen PDUs angewendet werden können. - In alternativen Ausgestaltungen können andere PDUs als die erste empfangene PDU oder mehr als eine PDU vom Ausnahmeprozessor
112 verarbeitet werden, um die Richtlinie zu bestimmen. Dies könnte durch Puffern anderer empfangener PDUs aus den verwandten empfangenen PDUs in einem Speichergerät erfolgen, bis der Ausnahmeprozessor112 die von ihm zu verarbeitende PDU hat. - Verwandte empfangene PDUs können ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von eingehenden PDUs
102 sein, die identische Kategorisierungsfelder oder Auswahlkriterien haben, wie zum Beispiel: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld. Der Datenstromprozessor104 beinhaltet vorzugsweise eine Empfangseinheit, die einen Strom von PDUs102 von einer ATM-Kommunikationsverbindung empfängt. Diese Empfangseinheit gruppiert eine Teilmenge von PDUs aus dem Strom von PDUs102 als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien wie den oben beschriebenen. - Der Richtlinien-Cache-Ausnahmeprozessor
112 ist funktionell mit einem Gecachte-Instanz-Klassifizierer108 gekoppelt, der Richtlinienidentifikationsinformationen cacht, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll. Auch ein Instanz-Richtlinien-Cache110 ist funktionell mit dem Ausnahmeprozessor112 gekoppelt, der die PDU-Richtlinieninstanz cacht, die auf andere der verwandten empfangenen PDUs angewandt werden soll. - Einer der Vorteile dieses Typs von Richtlinien-Caching-Schema ist, dass, wenn jede PDU eine ATM-Zelle ist und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets sind, der Richtlinien-Cache nur auf Zellebene arbeiten kann. Mit anderen Worten, der Ausnahmeprozessor
112 und der Gecachte-Instanz-Klassifizierer108 führen Operationen auf einer Basis Zelle für Zelle aus, ohne die Zellen wieder zu dem besonderen ATM-Paket zusammenzusetzen. - Nach dem Ermitteln der PDU-Richtlinieninstanz für die verwandten empfangenen PDUs wendet der Datenstromprozessor
104 die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf andere PDUs der verwandten empfangenen PDUs durch Verwenden der gecachten Richtlinienidentifikationsinformationen in dem Gecachte-Instanz-Klassifizierer108 an, um die gecachte PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache110 abzurufen. - In der bevorzugten Ausgestaltung hat der Gecachte-Instanz-Klassifizierer
108 einen inhaltsadressierbaren Speicher (CAM). Der Datenstromprozessor104 sendet ATM-Feldwerte (d.h. den vom Benutzer definierten Header) von den übrigen verwandten empfangenen PDUs zum CAM und erhält die Richtlinienidentifikationsinformationen für die übrigen verwandten empfangenen PDUs vom CAM zurück. - Ein Hardware-CAM wird verwendet, um die Geschwindigkeit zum Aufrechterhalten einer Kommunikationsverbindung in einem SONET-Netz mit voller Optical Carrier Level 3 (OC-3) Rate oder höher zu erzeugen. Es wird vorzugsweise ein handelsüblicher CAM wie z.B. ein 48-Bit CAM des Modells AM99C10A-70 verwendet. Der CAM bietet eine 48-Bit-Übereinstimmung mit einem optionalen Lesegerät, um die Übereinstimmungsposition zu ermitteln. Dieses Merkmal wird zum Verbreitern des CAM verwendet. Drei CAMs (CAM1, CAM2, CAM3) erzeugen eine Breite von 128 Bit. Der CAM hat eine Mindestschreibzykluszeit von 70 Nanosekunden (ns).
- Es folgt ein Beispiel für die Daten. In Anbetracht der Daten in Tabelle 1: Übereinstimmungsdaten, würde Tabelle 2: CAM-Daten vom CAM erzeugt.
- Der CAM würde 4 Byte vor die Zelle setzen. Die resultierende Zelle hätte eine Länge von 56 Byte. Das HEC-Byte wird aus dem eingehenden Zellfluss entfernt. Der 4-Byte-Header enthält die endgültige CAM-Lookup-Adresse.
- Die CAMs werden vom Datenstromprozessor
104 geführt. Mehrere Übereinstimmungen im CAM werden als Fehlerzustand gehandhabt, der zur Weiterverarbeitung zum Datenstromprozessor104 weitergeleitet wird. - Das Kommunikationsgerät
100 erfordert ein vorübergehendes Speichergerät zum Aufnehmen der Zelle, während die Zelle verarbeitet wird. Es wird vorzugsweise ein FIFO-Puffer von einer Zelle Tiefe verwendet. Der FIFO puffert die Zelle, bis ein Header/Trailer gebildet ist. Die Daten werden dann an den Zellenfluss angehängt bzw. diesem vorangesetzt. Nach dem Zellen-Header wird die Zelle übertragen. In alternativen Ausgestaltungen ist die vorübergehende Speicherung eventuell nicht erforderlich, wenn die Daten sich in einem Trailer befinden. Vorteile und Nachteile beider Implementationen sind in Tabelle 3 aufgeführt. - CAM 1 enthält die VPI/VCI (Virtuelle-Pfad-Kennung/Virtuelle-Kanal-Kennung) -Lookup-Information. Die eingehende Zelle wird anhand der CAM-Daten verglichen. Eine Übereinstimmung hat zur Folge, dass die CAM-Stelle an die Zelle angehängt wird. Ein Miss hat zur Folge, dass 0xFF an die Zelle angehängt wird. Die Maskenbits in CAM1 dienen zum Verkürzen der Vergleichslänge von 48 Bit auf die 24 VPI/VCI-Bit verwendet. Ein Beispiel für CAM1 ist in Tabelle 4 dargestellt.
- CAM2/CAM3 enthält die IP-Übereinstimmungsdaten. Die übereinstimmenden Felder sind Prototyp (8), Quelladresse (32) und Zieladresse (32). Eine Übereinstimmung hat zur Folge, dass die Adresse des CAM3 an die Zelle angehängt wird. Ein Miss führt dazu, dass 0xFF angehängt wird.
- Die Maskenbits in CAM2/3 werden nicht verwendet. Sie werden inaktiv gesetzt. Das Vergleichsfeld sind die gesamten 48 Bit. Ein Beispiel für CAM2/CAM3 ist in Tabelle 5 dargestellt.
- Die CAM-Zugriffe werden an Wort- (32 Bit) Grenzen mit Maskierung ausgerichtet. Tabelle 6 zeigt die Adressenmaske.
-
- LO Lockout-Bit: Wenn bei einem Zugriff gesetzt, sind aufeinander folgende Zugriffe auf den spezifischen CAM atomisch. Ein Lesen oder Schreiben dieses Adressbits im L-Zustand gibt die Ressource nach Abschluss des Zugriffs frei. Dieses Merkmal muss dann beim Aktualisieren von CAM-Einträgen verwendet werden. So werden Probleme mit evtl. ungültigen Vergleichen beim Konstruieren einer Adresse vermieden.
- CA CAM-Nummer: CAM2 = 10, CAM1 = 01, CAM0 = 00
- CM CAM-Com: CAM-Befehlsmodus, ein Zugriff, wenn dieses Adressbit gesetzt ist, bewirkt, dass das Wort (Lesen/Schreiben) ein CAM-Befehl ist. Ein Zugriff ohne das Adressbit hat zur Folge, dass das Wort (Lesen/Schreiben) CAM-Daten ist.
- Die CAM-Daten werden auf die tieferen 2 Bytes des Wortes geschrieben. Die oberen beiden Bytes sind unbenutzt. Die Schnittstelle ist nur eine Halbwort- oder Wortschnittstelle, wie in Tabelle 7 gezeigt.
- Das Steuerregister dient zum Definieren der CAM/RAM-Partition beim Initialisieren, Freigeben der Übereinstimmung/Voll-Flags und Maskenvergleichsregister. Das Maskenregister wird ebenfalls definiert. Das CAM-Steuerregister sollte wie in Tabelle 8 gezeigt programmiert werden.
- Das CAM-Maskenregister 1 sollte wie in Tabelle 9 gezeigt programmiert werden.
- Die CAMs erfordern eine eindeutige Sequenz von Anweisungen, um einen ordnungsgemäßen Betrieb zu gewährleisten. Nach dem Initialisieren der CAMs und jeder CAM-Update-Sequenz werden die Select Persistent Source (SPS) und Select Persistent Destination (SPD) wie folgt gesetzt. Das sss-Feld des SPS-Registers muss auf ,Memory at Highest-Priority Match' oder 0x0005 gesetzt werden. Das ddd-Feld des SPD-Registers muss auf 'Comparand Register Masked by MR1' oder 0x0140 gesetzt werden.
- CAM-Einträge können mit zwei Methoden aktualisiert werden. Die erste Methode, Hardware-Lockout, verwendet HBS(12) gleich hi(=1). Das ,LO', Lockout-Bit, dient zum Unterbrechen des CAM-Vergleichszyklus nach Abschluss der aktuellen Vergleichssequenz. Zum Starten des Vergleichszyklus hat der letzte Zugriff HBS(12) auf lo (=0) gesetzt.
- Die zweite Methode, Validitätsbit, verwendet das vvv-Feld des SPD zum Setzen des Gültigbits auf falsch (=0). Dadurch wird die Vergleichssequenz für diesen Eintrag gesperrt. Das gültige Bit von CAM 0 muss zuletzt gesetzt werden.
- Beispiele hierfür sind in den Tabellen 10 und 11 aufgeführt.
- In einer alternativen Ausgestaltung hat der Gecachte-Instanz-Klassifizierer
108 einen Hash-Mechanismus, der eine Hash-Codierfunktion an Feldwerten von den anderen der verwandten empfangenen PDUs durchführt, die vom Datenstromprozessor104 kommen. Der Gecachte-Instanz-Klassifizierer108 verwendet Ergebnisse der Hash-Codierfunktion zum Wählen der Richtlinienidentifikationsinformationen für die anderen erwandten empfangenen PDUs aus einer Hash-Codiertabelle und sendet dann die gewählten Richtlinienidentifikationsinformationen zum Datenstromprozessor104 . - In einer weiteren alternativen Ausgestaltung beinhaltet der Gecachte-Instanz-Klassifizierer
108 einen Lookup-Tabellenmechanismus. Der Datenstromprozessor104 verwendet Feldwerte von den anderen verwandten empfangenen PDUs als Index zum Lookup-Tabellenmechanismus und ruft die Richtlinienidentifikationsinformationen für die anderen verwandten empfangenen PDUs in dem Lookup-Tabellenmechanismus ab, auf die der Index zeigt. - Beim Betrieb verwendet der Datenstromprozessor
104 Feldwerte von jeder PDU zum Prüfen des Richtlinien-Cache auf eine gecachte PDU-Richtlinieninstanz aus dem Instanz-Richtlinien-Cache110 für jede PDU. Die gecachte PDU-Richtlinieninstanz wird abgerufen, wenn die Feldwerte gecachten Richtlinienidentifikationsinformationen entsprechen. Infolgedessen prüft der Datenstromprozessor104 auf eine gecachte PDU-Richtlinieninstanz für jede PDU und holt eine PDU-Richtlinieninstanz aus dem Ausnahmeprozessor112 , wenn keine gecachte PDU-Richtlinieninstanz im Instanz-Richtlinien-Cache110 gefunden wird. - Der Datenstromprozessor
104 enthält auch vorzugsweise einen Durchsetzungsmechanismus, der die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des Stroms von PDUs zu einem PDU-Strom mit durchgesetzten Richtlinien durchführt. Eine Sendeeinheit ist funktionell mit dem Durchsetzungsmechanismus gekoppelt, um den PDU-Strom mit durchgesetzten Richtlinien aus dem Kommunikationsgerät100 hinaus als Ausgabedatenstrom von PDUs106 zu senden. - Wie zuvor bemerkt, kann das Kommunikationsgerät
100 Teil eines komplizierteren Gerätes sein, das auf einen stromaufwärts gehenden Datenstrom und einen anderen, stromabwärts gehenden Datenstrom wirkt. In solchen Fällen beinhaltet der Datenstromprozessor vorzugsweise eine erste Empfangseinheit, die einen ersten Strom von PDUs von einer stromaufwärtigen Kommunikationsverbindung empfängt, und eine zweite Empfangseinheit, die einen zweiten PDU-Strom von einer stromabwärtigen Kommunikationsverbindung empfängt. Entweder nur der erste oder nur der zweite PDU-Strom beinhaltet die verwandten empfangenen PDUs, an denen Operationen durchgeführt werden; andere Komponenten im Kommunikationsgerät100 können jedoch ähnliche Richtlinienoperationen an einem anderen Satz von verwandten empfangenen PDUs durchführen. Der Datenstromprozessor104 beinhaltet vorzugsweise auch einen Durchsetzungsmechanismus, der die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des ersten oder des zweiten PDU-Stroms zu einem PDU-Strom mit durchgesetzten Richtlinien durchführt, so dass Netzwerkrichtlinieninstanzen in den stromaufwärtigen und stromabwärtigen Kommunikationsverbindungen durchgesetzt werden. - Gemäß
2 hat das Kommunikationsgerät100 den Vorteil, dass es die Isolierung von physikalischen Datenträgermanagementfunktionen ermöglicht (z.B. ein synchrones optisches Netz (SONET), wie es in ATM-Kommunikationen verwendet wird). Es ermöglicht auch die Durchsetzung von Richtlinien (z.B. Filterung) und/oder Prüfung von ATM-Signalgabe sowie Internet Protocol (IP), Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) Kommunikationen über virtuelle Verbindungsnutzlasten, ohne die PDUs von den einzelnen Zellen erneut zusammenzusetzen. Es folgt eine Erläuterung, wie dieses Gerät in einem Datennetz funktionieren kann. - Wenn dieses Kommunikationsgerät
100 an beiden Enden einer Kommunikationsverbindung (z.B. eine virtuelle Verbindung (VC)) vorhanden ist, dann kann dieses Gerät100 zusätzliche Fähigkeiten bereitstellen. So können beispielsweise Ortsauthentifizierung bei der ATM-Signalgabe sowie eine begrenzte Form von Geheimhaltung für Daten bereitgestellt werden, die durch ein vertrauensunwürdiges Netz laufen. Ein vertrauensunwürdiges Netzwerk ist ein öffentliches oder privates Netz, das nicht im Einflussbereich von Netzwerkrichtlinien liegt, die vom Kommunikationsgerät100 durchgesetzt werden. - In einer in
2 gezeigten ersten Konfiguration kann das Kommunikationsgerät100 als einendiges Filtergerät ohne Kenntnisse über andere Sicherheitsgeräte verwendet werden. Dieses Kommunikationsgerät100 könnte eine erste „Verteidigungslinie" für lokale Hosts120 auf einem vertrauenswürdigen Netzwerk122 bilden, um nicht authentifizierten Verkehr auf einem stromaufwärts gerichteten abgehenden Datenstrom106 zu und einem stromabwärts gerichteten eingehenden Datenstrom102 von dem vertrauensunwürdigen Netz124 mit Hosts126 zu steuern und zu prüfen. Das Kommunikationsgerät100 würde den Datenkommunikationsverkehr auf der Basis von ATM, IP, einem anderen Protokoll- oder Sicherheitslevel in der PDU filtern und/oder prüfen. - In einer in
3 gezeigten zweiten Konfiguration kann das Kommunikationsgerät100 ein gewisses Maß an begrenzter Authentifizierung und Filterung auf der Basis von Quell- oder Zieladressen zwischen Hosts 130 im lokalen Netz132 und Hosts138 in einem Fernnetz136 bereitstellen. In dieser Konfiguration sind Authentifizierung und Filterung auf Netzwerkrichtlinien begrenzt, weil der Datenverkehr durch ein vertrauensunwürdiges Netz (z.B. öffentliches Netz134 ) passiert, das vom Kommunikationsgerät100 durchgesetzte Netzwerkrichtlinien kompromittieren kann. Diese Konfiguration könnte die Daten, die über das öffentliche Netz134 fließen, nicht schützen oder authentifizieren, dass diese Daten nicht innerhalb des öffentlichen Netzes134 in eine ATM-VC eingefügt wurden, die zwischen dem lokalen Netz132 und dem Fernnetz136 arbeitet. - Wenn ein zweites Kommunikationsgerät zwischen das öffentliche Netz
134 und das Fernnetz136 geschaltet wurde, das einige derselben Netzwerkrichtlinien durchsetzen würde wie das Kommunikationsgerät100 , dann könnte eine noch strengere Netzwerkrichtlinie durchgesetzt werden. In diesem Fall könnten Geheimhaltung und Authentifizierung der ATM-Signalgabe sowie eine ATM-VC von Datenverkehr zwischen lokalem Netz132 und Fernnetz136 bereitgestellt werden. Diese Konfiguration könnte die Daten schützen, die über das öffentliche Netz134 gehen, und authentifizieren, dass diese Daten nicht innerhalb des öffentlichen Netzes134 in die VC eingefügt wurden, wenn ATM-Zellstromlevel-Verschlüsselung angewendet wird. Alternativ kann die Zellstromverschlüsselung in Managementprozessoren durchgeführt werden, die den ATM-Signalgabe-Code abarbeiten. Wenn Verkehr zwischen den beiden privaten Netzen132 und136 fließt, dann kann er als Ursprungsverkehr authentifiziert und geheim gehalten werden. Dies bedeutet, dass das Kommunikationsgerät100 in einem Mischnetz wie dem lokalen Netz132 , bei dem ein Teil des Verkehrs von einem authentifizierten privaten Netz136 und ein Teil von einem nicht authentifizierten Netz134 kommt, beide Datenverkehrstypen filtern könnte, die über denselben physikalischen Datenträger kommuniziert werden. - In einigen Netzwerkkonfigurationen kann das Kommunikationsgerät
100 an anderen Positionen als Grenzen oder Rändern zwischen vertrauenswürdigen und vertrauensunwürdigen Netzen zum Überwachen von Datenverkehr in einem Netz verwendet werden. Eine Gruppe von Kommunikationsgeräten100 könnte zusammenwirken, um eine netzwerkweite Richtlinie durchzusetzen (z.B. einen Zellstrom auf besonderen Inhalt überwachen oder den Zugang zu bestimmten Zielports oder - adressen verhindern). - Die vorliegende Erfindung kann mit Bezug auf
4 zusammengefasst werden, einem Fließschema der Netzwerk-Richtlinien-Caching-Methode gemäß der bevorzugten Ausgestaltung zur Anwendung in einem an einer Kommunikationsverbindung angeschlossenen Kommunikationsgerät (z.B. ein Datennetz oder Bus). Diese Methode wird mit geräteimplementierten Schritten in einer Reihe von getrennten Verarbeitungsschritten400 –414 durchgeführt, die in einem oder mehreren Prozessoren ausgeführt werden können. - Ein Strom von PDUs wird von einer Kommunikationsverbindung empfangen (
402 ). Eine Teilmenge von PDUs aus dem Strom von PDUs werden als verwandte empfangene PDUs auf der Basis von Auswahlkriterien gruppiert (404 ). Diese Auswahlkriterien können viele Formen haben. Die verwandten empfangenen PDUs können z.B. ATM- (Asynchronous Transfer Mode) Zellen eines Pakets oder einer Anzahl der Pakete sein. Alternativ können die verwandten empfangenen PDUs PDUs aus dem Strom von PDUs sein, die identische Kategorisierungsfelder haben, wie z.B.: Schaltungsnummern, Quell- oder Zieladressen, Quell- oder Zielports auf einer Kommunikationsschnittstelle, Netzwerkprotokolle, Transportprotokolle, Sicherheitsoptionen oder sonstiger Inhalt in einem PDU-Feld. - Eine PDU- (Protokolldateneinheit) Netzwerkrichtlinieninstanz wird von mehreren Richtlinien ermittelt (
406 ), die auf die verwandten empfangenen PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewendet werden können (d.h. eine erste PDU der verwandten empfangenen PDUs). Danach werden Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden sollen, gecacht (408 ). Die PDU-Richtlinieninstanz von den mehreren Richtlinien wird auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen angewendet (410 ). Danach kann die Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des PDU-Stroms durchgeführt werden (412 ). - Die Erfindung wurde zwar mit einem gewissen Maß an Besonderheit beschrieben und illustriert, aber es ist zu verstehen, dass die vorliegende Offenbarung von Ausgestaltungen lediglich beispielhaft gegeben wurde und dass die Fachperson zahlreiche Änderungen an Anordnung und Kombination von Teilen sowie Schritten vornehmen kann, ohne vom Umfang der Erfindung gemäß den Ansprüchen abzuweichen. So kann das Kommunikationsgerät beispielsweise getrennt von einem Gerät oder in ein solches integriert sein, das andere datenkommunikationsbezogene Aktivitäten durchführt, z.B. ein Datennetzgerät, ein Computer, ein Überwachungsgerät, ein Switch, ein Router, eine Bridge und/oder eine Firewall, ohne von Wesen und Umfang der beanspruchten Erfindung abzuweichen.
- Die Fachperson wird erkennen, dass die vorliegende Erfindung zwar mit Bezug auf die Kommunikationsverbindung als Teil eines ATM- (Asynchronous Transfer Mode) Netzes beschrieben wurde, dass sie aber nicht auf diesen Kommunikationsverbindungstyp begrenzt ist. So sind z.B. ein SONST (synchrones optisches Netzwerk), FDDI-Netz (faserverteilter Datenaustausch), Frame-Relay-Netz, Ethernet, 100-Mbps Ethernet, Gigabit-Ethernet, parallele Hochleistungsschnittstelle (HIPPI), Fibre Channel, geschalteter Multimegabit-Datenservice (SMDSO), X.25-Netz, Integrated Services Digital Network (ISDN), Token Ring, öffentliches Telefonwählnetz (PSTN), Kabelmodemnetz, serielle Schnittstelle, parallele Schnittstelle, Computerbus oder dergleichen alles Typen von Kommunikationsverbindungen, mit denen die vorliegende Erfindung praktiziert werden kann, ohne von ihrem Umfang abzuweichen.
- Ebenso kann die Kommunikationsverbindung in Verbindung mit einer Vielzahl verschiedener Netzwerksignalgabeprotokolle verwendet werden, ohne vom Umfang der vorliegenden Erfindung abzuweichen. So sind z.B. das Transmission Control Protocol/ Internet Protocol (TCP/IP), AppleTalk, DECNet, System Network Architecture (SNA), Private Network Node Interface (PNNI), User Network Interface (UNI), einfaches Protokoll für asynchrone Transfermodus-Netzwerksignalgabe (SPANS), Interim Local Management Interface (ILMI), Operations Administration and Maintenance (OAM) Schnittstelle und dergleichen alles Netzwerksignalgabeprotokolle, in denen die Kommunikationsverbindung zum Einsatz kommen kann.
Claims (12)
- Richtlinien-Caching-Verfahren für die Verwendung in einem Kommunikationsgerät (
100 ), umfassend die folgenden Schritte: Ermitteln einer Instanz einer PDU- (Protokolldateneinheit) Netzwerkrichtlinie (408 ) aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs (406 ) auf der Basis des Inhalts von einer der verwandten empfangenen PDUs angewendet werden soll, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs verteilt werden können; und Cachen von Richtlinienidentifikationsinformationen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs angewendet werden soll. - Richtlinien-Caching-Verfahren nach Anspruch 1, ferner umfassend einen Schritt des Anwendens der PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere PDU der verwandten empfangenen PDUs auf der Basis der Verwendung der gecachten Richtlinienidentifikationsinformationen (
410 ). - Richtlinien-Caching-Verfahren nach Anspruch 1 oder Anspruch 2, wobei der Ermittlungsschritt das Ermitteln der PDU-Richtlinieninstanz auf der Basis des Inhalts einer ersten PDU der von dem Kommunikationsgerät (
100 ) empfangenen verwandten empfangenen PDUs umfasst. - Richtlinien-Caching-Verfahren nach einem der Ansprüche 1 bis 3, ferner umfassend einen Schritt des Empfangens des Stroms von PDUs von einer Kommunikationsverbindung (
402 ) mit verwandten empfangenen PDUs. - Richtlinien-Caching-Verfahren nach Anspruch 4, ferner umfassend einen Schritt des Gruppierens der Teilmenge von PDUs aus dem Strom von PDUs (
404 ) als die verwandten empfangenen PDUs auf der Basis von Auswahlkriterien, die ausgewählt wurden aus der Gruppe bestehend aus: a) dem einen Strom von Zellen umfassenden Strom von PDUs und den verwandten empfangenen PDUs, die Zellen eines bestimmten Pakets umfassen; b) dem Strom von PDUs, die PDUs aus dem Strom von PDUs mit identischen Schaltungsnummern umfassen; c) dem Strom von PDUs, die Pakete in einer Reihe von Frames umfassen, und den verwandten empfangenen PDUs, die eine Reihe von Paketen umfassen; d) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Quelladressen umfassen; e) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Zieladressen umfassen; f) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Quellports auf einer Kommunikationsschnittstelle umfassen; g) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit Ziel-Quell-Ports auf einer Kommunikationsschnittstelle umfassen; h) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Netzwerkprotokollen umfassen; i) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Transportprotokollen umfassen; j) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischen Sicherheitsoptionen umfassen; und k) den verwandten empfangenen PDUs, die PDUs aus dem Strom von PDUs mit identischem Inhalt in jedem PDU-Feld umfassen. - Richtlinien-Caching-Verfahren nach Anspruch 4 oder Anspruch 5, ferner umfassend einen Schritt zum Ausführen der Netzwerkrichtlinieninstanz durch Filtern oder Prüfen des Stroms von PDUs (
412 ). - Richtlinien-Caching-Verfahren nach einem der Ansprüche 1 bis 6, wobei jede PDU eine Zelle umfasst und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets umfassen, so dass das Richtlinien-Caching-Verfahren von dem Kommunikationsgerät Zelle für Zelle ausgeführt wird, ohne die Zellen erneut zu dem Paket zusammenzufügen.
- Richtlinien-Cache zur Verwendung in einem Kommunikationsgerät (
100 ), der Folgendes umfasst: c) ein Ausnahmeverarbeitungsmittel (112 ) zum Ermitteln einer Instanz einer PDU(Protokolldateneinheit) Netzwerkrichtlinie aus einer Mehrzahl von Richtlinien, die auf verwandte empfangene PDUs auf der Basis von Inhalt von einer der verwandten empfangenen PDUs angewandt werden sollen, wobei die verwandten empfangenen PDUs eine Teilmenge eines Stroms von PDUs sind und über den genannten Strom von PDUs (406 ) verteilt werden können; und d) ein Gecachte-Instanz-Klassifizierungsmittel (108 ), das funktionell mit dem Ausnahmeverarbeitungsmittel (112 ) gekoppelt ist, um Richtlinienidentifikationsinformationen zu cachen, die die PDU-Richtlinieninstanz identifizieren, die auf andere PDUs der verwandten empfangenen PDUs (408 ) angewandt werden soll. - Richtlinien-Cache nach Anspruch 8, ferner umfassend ein Instanz-Richtlinien-Cache-Mittel (
110 ), das funktionell mit dem Ausnahmeverarbeitungsmittel gekoppelt ist, um die PDU-Richtlinieninstanz zu cachen, die auf andere der verwandten empfangenen PDUs (408 ) angewandt werden soll. - Richtlinien-Cache nach Anspruch 8 oder Anspruch 9, wobei das Ausnahmeverarbeitungsmittel Mittel zum Ermitteln der PDU-Richtlinieninstanz auf der Basis von Inhalt einer ersten PDU der verwandten empfangenen PDUs umfasst, die von dem Ausnahmeverarbeitungsmittel (
406 ) empfangen wurden. - Richtlinien-Cache nach einem der Ansprüche 8 bis 10, wobei jede PDU eine Zelle umfasst und die verwandten empfangenen PDUs Zellen eines bestimmten Pakets umfassen, so dass das Ausnahmeverarbeitungsmittel und das Gecachte-Instanz-Klassifizierungsmittel Operationen Zelle für Zelle ausführen, ohne die Zellen wieder zu dem Paket zusammenzufügen.
- Kommunikationsgerät (
100 ), umfassend den Richtlinien-Cache nach einem der Ansprüche 8 bis 11, und ferner umfassend ein Datenstromverarbeitungsmittel,das funktionell mit dem Richtlinien-Cache gekoppelt ist, um die PDU-Richtlinieninstanz aus der Mehrzahl von Richtlinien auf eine andere PDU der verwandten empfangenen PDUs (410 ) anzuwenden, indem die gecachten Richtlinienidentifikationsinformationen zum Abrufen der gecachten PDU-Richtlinieninstanz von dem Instanz-Richtlinien-Cache-Mittel verwendet werden.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US666638 | 1996-06-18 | ||
US08/666,638 US5842040A (en) | 1996-06-18 | 1996-06-18 | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
PCT/US1997/010332 WO1997049038A1 (en) | 1996-06-18 | 1997-06-18 | Policy caching method and apparatus for use in a communication device |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69730452D1 DE69730452D1 (de) | 2004-09-30 |
DE69730452T2 true DE69730452T2 (de) | 2005-03-03 |
Family
ID=24674843
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69730452T Expired - Fee Related DE69730452T2 (de) | 1996-06-18 | 1997-06-18 | Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät |
Country Status (7)
Country | Link |
---|---|
US (1) | US5842040A (de) |
EP (1) | EP1012726B1 (de) |
JP (1) | JP2000513165A (de) |
AU (1) | AU714870B2 (de) |
CA (1) | CA2258010C (de) |
DE (1) | DE69730452T2 (de) |
WO (1) | WO1997049038A1 (de) |
Families Citing this family (236)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7702540B1 (en) | 1995-04-26 | 2010-04-20 | Ebay Inc. | Computer-implement method and system for conducting auctions on the internet |
US7937312B1 (en) | 1995-04-26 | 2011-05-03 | Ebay Inc. | Facilitating electronic commerce transactions through binding offers |
US7647243B2 (en) | 1995-11-07 | 2010-01-12 | Ebay Inc. | Electronic marketplace system and method for creation of a two-tiered pricing scheme |
US6091725A (en) | 1995-12-29 | 2000-07-18 | Cisco Systems, Inc. | Method for traffic management, traffic prioritization, access control, and packet forwarding in a datagram computer network |
US6243667B1 (en) * | 1996-05-28 | 2001-06-05 | Cisco Systems, Inc. | Network flow switching and flow data export |
US7462746B2 (en) * | 1996-06-28 | 2008-12-09 | University Of Southern California | Amino polyols and amino sugars |
JP3039385B2 (ja) * | 1996-07-17 | 2000-05-08 | 日本電気株式会社 | Atm通信装置 |
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US6791947B2 (en) | 1996-12-16 | 2004-09-14 | Juniper Networks | In-line packet processing |
US5983270A (en) * | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
CA2217275C (en) * | 1997-10-03 | 2005-08-16 | Newbridge Networks Corporation | Multiple internetworking realms within an internetworking device |
US6330610B1 (en) * | 1997-12-04 | 2001-12-11 | Eric E. Docter | Multi-stage data filtering system employing multiple filtering criteria |
US6324685B1 (en) | 1998-03-18 | 2001-11-27 | Becomm Corporation | Applet server that provides applets in various forms |
US6725378B1 (en) | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
DE19820525A1 (de) * | 1998-05-08 | 1999-11-11 | Alcatel Sa | Verfahren, Softwaremodul, Schnittstelleneinrichtung, Endgerät und Server zur Weiterleitungskontrolle von Paketen abgeschlossener Paketsequenzen paketvermittelter Netzwerke |
US6658002B1 (en) | 1998-06-30 | 2003-12-02 | Cisco Technology, Inc. | Logical operation unit for packet processing |
US6615358B1 (en) | 1998-08-07 | 2003-09-02 | Patrick W. Dowd | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network |
US7073196B1 (en) | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
WO2000024510A1 (en) * | 1998-10-23 | 2000-05-04 | University Of Southern California | Combinatorial approach to chiral reagents or catalysts having amine or amino alcohol ligands |
US6286052B1 (en) | 1998-12-04 | 2001-09-04 | Cisco Technology, Inc. | Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows |
US6167445A (en) | 1998-10-26 | 2000-12-26 | Cisco Technology, Inc. | Method and apparatus for defining and implementing high-level quality of service policies in computer networks |
US6502135B1 (en) | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
EP2290904B1 (de) * | 1998-10-30 | 2016-04-20 | VirnetX Inc. | Agiles Netzwerkprotokoll für sichere Kommunikationen mit gesicherter Systemverfügbarkeit |
US6826616B2 (en) | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
JP5113963B2 (ja) * | 1998-12-03 | 2013-01-09 | ノーテル・ネットワークス・リミテッド | インターネットにアクセスする加入者への所望のサービス・ポリシーの提供 |
US6272540B1 (en) * | 1998-12-31 | 2001-08-07 | Intel Corporation | Arrangement and method for providing flexible management of a network |
US6701432B1 (en) * | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US6484212B1 (en) | 1999-04-20 | 2002-11-19 | At&T Corp. | Proxy apparatus and method for streaming media information |
US6651103B1 (en) | 1999-04-20 | 2003-11-18 | At&T Corp. | Proxy apparatus and method for streaming media information and for increasing the quality of stored media information |
US6505244B1 (en) * | 1999-06-29 | 2003-01-07 | Cisco Technology Inc. | Policy engine which supports application specific plug-ins for enforcing policies in a feedback-based, adaptive data network |
US6577597B1 (en) | 1999-06-29 | 2003-06-10 | Cisco Technology, Inc. | Dynamic adjustment of network elements using a feedback-based adaptive technique |
US6539427B1 (en) | 1999-06-29 | 2003-03-25 | Cisco Technology, Inc. | Dynamically adaptive network element in a feedback-based data network |
US6765864B1 (en) | 1999-06-29 | 2004-07-20 | Cisco Technology, Inc. | Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network |
US6584502B1 (en) | 1999-06-29 | 2003-06-24 | Cisco Technology, Inc. | Technique for providing automatic event notification of changing network conditions to network elements in an adaptive, feedback-based data network |
US6560610B1 (en) | 1999-08-10 | 2003-05-06 | Washington University | Data structure using a tree bitmap and method for rapid classification of data in a database |
US6598034B1 (en) | 1999-09-21 | 2003-07-22 | Infineon Technologies North America Corp. | Rule based IP data processing |
EP1166208A4 (de) * | 1999-10-20 | 2008-03-26 | Alcatel Internetworking Inc | Einschaltpolitik regel-speicherung für datenkommunikationsschalter |
US7389251B1 (en) | 1999-10-21 | 2008-06-17 | Mercexchange, Llc | Computer-implemented method for managing dynamic pricing information |
WO2001029745A2 (en) * | 1999-10-21 | 2001-04-26 | Navlet.Com, Inc. | Context-sensitive switching in a computer network environment |
US6856967B1 (en) | 1999-10-21 | 2005-02-15 | Mercexchange, Llc | Generating and navigating streaming dynamic pricing information |
US6526474B1 (en) | 1999-10-25 | 2003-02-25 | Cisco Technology, Inc. | Content addressable memory (CAM) with accesses to multiple CAM arrays used to generate result for various matching sizes |
US6671727B1 (en) | 1999-12-20 | 2003-12-30 | Lsi Logic Corporation | Methodology for providing persistent target identification in a fibre channel environment |
US6629163B1 (en) | 1999-12-29 | 2003-09-30 | Implicit Networks, Inc. | Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components |
US6539483B1 (en) | 2000-01-12 | 2003-03-25 | International Business Machines Corporation | System and method for generation VPN network policies |
US7689696B2 (en) * | 2000-01-31 | 2010-03-30 | Telecommunication Systems, Inc. | System and method for re-directing requests from browsers for communications over non-IP based networks |
US7003571B1 (en) * | 2000-01-31 | 2006-02-21 | Telecommunication Systems Corporation Of Maryland | System and method for re-directing requests from browsers for communication over non-IP based networks |
US8090856B1 (en) * | 2000-01-31 | 2012-01-03 | Telecommunication Systems, Inc. | Intelligent messaging network server interconnection |
WO2001060778A2 (en) | 2000-02-16 | 2001-08-23 | The Brigham And Women's Hospital, Inc. | Aspirin-triggered lipid mediators |
US6629156B1 (en) * | 2000-03-02 | 2003-09-30 | Lsi Logic Corporation | Fibre Channel service parameter cache |
US6854063B1 (en) | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6654342B1 (en) | 2000-03-07 | 2003-11-25 | Cisco Technology, Inc. | Accumulating and distributing flow control information via update messages and piggybacked flow control information in other messages in a packet switching system |
US6674721B1 (en) | 2000-03-07 | 2004-01-06 | Cisco Technology, Inc. | Method and apparatus for scheduling packets being sent from a component of a packet switching system |
US6990063B1 (en) | 2000-03-07 | 2006-01-24 | Cisco Technology, Inc. | Distributing fault indications and maintaining and using a data structure indicating faults to route traffic in a packet switching system |
US6728211B1 (en) | 2000-03-07 | 2004-04-27 | Cisco Technology, Inc. | Method and apparatus for delaying packets being sent from a component of a packet switching system |
US6747972B1 (en) | 2000-03-07 | 2004-06-08 | Cisco Technology, Inc. | Method and apparatus for reducing the required size of sequence numbers used in resequencing packets |
US6907041B1 (en) | 2000-03-07 | 2005-06-14 | Cisco Technology, Inc. | Communications interconnection network with distributed resequencing |
US6735173B1 (en) | 2000-03-07 | 2004-05-11 | Cisco Technology, Inc. | Method and apparatus for accumulating and distributing data items within a packet switching system |
US6757284B1 (en) | 2000-03-07 | 2004-06-29 | Cisco Technology, Inc. | Method and apparatus for pipeline sorting of ordered streams of data items |
US6788689B1 (en) | 2000-03-07 | 2004-09-07 | Cisco Technology, Inc. | Route scheduling of packet streams to achieve bounded delay in a packet switching system |
US7436830B2 (en) | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
US6831893B1 (en) * | 2000-04-03 | 2004-12-14 | P-Cube, Ltd. | Apparatus and method for wire-speed classification and pre-processing of data packets in a full duplex network |
US20050195743A1 (en) * | 2000-04-03 | 2005-09-08 | P-Cube Ltd. | Real time charging of pre-paid accounts |
US6904014B1 (en) | 2000-04-27 | 2005-06-07 | Cisco Technology, Inc. | Method and apparatus for performing high-speed traffic shaping |
US7343622B1 (en) * | 2000-04-27 | 2008-03-11 | Raytheon Company | Multi-level secure multi-processor computer architecture |
US6252872B1 (en) | 2000-05-24 | 2001-06-26 | Advanced Micro Devices, Inc. | Data packet filter using contents addressable memory (CAM) and method |
US6658458B1 (en) | 2000-06-22 | 2003-12-02 | Cisco Technology, Inc. | Cascading associative memory arrangement |
US7051078B1 (en) | 2000-07-10 | 2006-05-23 | Cisco Technology, Inc. | Hierarchical associative memory-based classification system |
FR2812491B1 (fr) * | 2000-07-25 | 2003-01-10 | France Telecom | Dispositif de controle d'acces entre des reseaux atm |
US6816492B1 (en) | 2000-07-31 | 2004-11-09 | Cisco Technology, Inc. | Resequencing packets at output ports without errors using packet timestamps and timestamp floors |
US7088720B1 (en) * | 2000-08-07 | 2006-08-08 | Sbc Technology Resources, Inc. | Multiservice use of network connection capability under user-to-network interface signaling |
US7307993B2 (en) * | 2000-08-08 | 2007-12-11 | At&T Labs, Inc. | Controller based call control for ATM SVC signaling |
US6725326B1 (en) | 2000-08-15 | 2004-04-20 | Cisco Technology, Inc. | Techniques for efficient memory management for longest prefix match problems |
US6769132B1 (en) | 2000-09-12 | 2004-07-27 | Arris International, Inc. | Signal splitter matrix for a cable modem termination system |
US7106693B1 (en) | 2000-11-02 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for pacing the flow of information sent from a device |
US7012889B1 (en) | 2000-11-02 | 2006-03-14 | Cisco Technology, Inc. | Method and apparatus for controlling input rates within a packet switching system |
US20020124061A1 (en) * | 2000-11-27 | 2002-09-05 | Paul Mossman | Configuration system and method |
US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
US8185615B1 (en) | 2000-11-28 | 2012-05-22 | Verizon Business Global Llc | Message, control and reporting interface for a distributed network access system |
US8180870B1 (en) * | 2000-11-28 | 2012-05-15 | Verizon Business Global Llc | Programmable access device for a distributed network access system |
US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
US7249170B2 (en) | 2000-12-06 | 2007-07-24 | Intelliden | System and method for configuration, management and monitoring of network resources |
US6978301B2 (en) | 2000-12-06 | 2005-12-20 | Intelliden | System and method for configuring a network device |
US7054946B2 (en) * | 2000-12-06 | 2006-05-30 | Intelliden | Dynamic configuration of network devices to enable data transfers |
US7218632B1 (en) | 2000-12-06 | 2007-05-15 | Cisco Technology, Inc. | Packet processing engine architecture |
US20020069271A1 (en) * | 2000-12-06 | 2002-06-06 | Glen Tindal | Event manager for network operating system |
US8219662B2 (en) | 2000-12-06 | 2012-07-10 | International Business Machines Corporation | Redirecting data generated by network devices |
US6967926B1 (en) | 2000-12-31 | 2005-11-22 | Cisco Technology, Inc. | Method and apparatus for using barrier phases to limit packet disorder in a packet switching system |
GB2371705B (en) * | 2001-01-30 | 2003-04-23 | 3Com Corp | Network switch with mutually coupled look-up engine and network processor |
US6832261B1 (en) | 2001-02-04 | 2004-12-14 | Cisco Technology, Inc. | Method and apparatus for distributed resequencing and reassembly of subdivided packets |
US6934760B1 (en) | 2001-02-04 | 2005-08-23 | Cisco Technology, Inc. | Method and apparatus for resequencing of packets into an original ordering using multiple resequencing components |
US7092393B1 (en) | 2001-02-04 | 2006-08-15 | Cisco Technology, Inc. | Method and apparatus for distributed reassembly of subdivided packets using multiple reassembly components |
US7027397B1 (en) | 2001-02-15 | 2006-04-11 | Cisco Technology, Inc. | Method and apparatus for accumulating and distributing traffic and flow control information in a packet switching system |
US6738779B1 (en) * | 2001-02-21 | 2004-05-18 | Telecom Italia S.P.A. | Apparatus for and method of multiple parallel string searching |
US6606681B1 (en) | 2001-02-23 | 2003-08-12 | Cisco Systems, Inc. | Optimized content addressable memory (CAM) |
US7146478B2 (en) | 2001-03-19 | 2006-12-05 | International Business Machines Corporation | Cache entry selection method and apparatus |
US7289522B2 (en) * | 2001-03-20 | 2007-10-30 | Verizon Business Global Llc | Shared dedicated access line (DAL) gateway routing discrimination |
JP2004528756A (ja) * | 2001-03-20 | 2004-09-16 | ワールドコム・インコーポレイテッド | サービス拒否攻撃に耐えるために、仮想私設網(vpn)およびベストエフォートトラフィックを隔離するシステム、方法および装置 |
US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US20030115480A1 (en) * | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
US7150037B2 (en) | 2001-03-21 | 2006-12-12 | Intelliden, Inc. | Network configuration manager |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US6862281B1 (en) | 2001-05-10 | 2005-03-01 | Cisco Technology, Inc. | L4 lookup implementation using efficient CAM organization |
US7002965B1 (en) | 2001-05-21 | 2006-02-21 | Cisco Technology, Inc. | Method and apparatus for using ternary and binary content-addressable memory stages to classify packets |
US7016305B1 (en) | 2001-06-27 | 2006-03-21 | Cisco Technology, Inc | Method and apparatus for distributing information within a packet switching system |
US7269139B1 (en) | 2001-06-27 | 2007-09-11 | Cisco Technology, Inc. | Method and apparatus for an adaptive rate control mechanism reactive to flow control messages in a packet switching system |
US7136386B2 (en) * | 2001-07-19 | 2006-11-14 | Sbc Technology Resources, Inc. | Virtual private network over asynchronous transfer mode |
US6732228B1 (en) * | 2001-07-19 | 2004-05-04 | Network Elements, Inc. | Multi-protocol data classification using on-chip CAM |
US7133409B1 (en) | 2001-07-19 | 2006-11-07 | Richard Willardson | Programmable packet filtering in a prioritized chain |
US7260673B1 (en) * | 2001-07-20 | 2007-08-21 | Cisco Technology, Inc. | Method and apparatus for verifying the integrity of a content-addressable memory result |
US7187678B2 (en) * | 2001-08-13 | 2007-03-06 | At&T Labs, Inc. | Authentication for use of high speed network resources |
US7065086B2 (en) * | 2001-08-16 | 2006-06-20 | International Business Machines Corporation | Method and system for efficient layer 3-layer 7 routing of internet protocol (“IP”) fragments |
US7200548B2 (en) * | 2001-08-29 | 2007-04-03 | Intelliden | System and method for modeling a network device's configuration |
US8296400B2 (en) | 2001-08-29 | 2012-10-23 | International Business Machines Corporation | System and method for generating a configuration schema |
US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7065083B1 (en) | 2001-10-04 | 2006-06-20 | Cisco Technology, Inc. | Method and apparatus for dynamically generating lookup words for content-addressable memories |
US6775737B1 (en) | 2001-10-09 | 2004-08-10 | Cisco Technology, Inc. | Method and apparatus for allocating and using range identifiers as input values to content-addressable memories |
US7065562B2 (en) * | 2001-11-26 | 2006-06-20 | Intelliden, Inc. | System and method for generating a representation of a configuration schema |
US7042886B2 (en) | 2001-12-06 | 2006-05-09 | P-Cube Ltd. | Apparatus, method, and computer program for wire-speed classification and pre-processing of data packets in an ATM network |
US6715029B1 (en) | 2002-01-07 | 2004-03-30 | Cisco Technology, Inc. | Method and apparatus for possibly decreasing the number of associative memory entries by supplementing an associative memory result with discriminator bits from an original set of information |
US6961808B1 (en) | 2002-01-08 | 2005-11-01 | Cisco Technology, Inc. | Method and apparatus for implementing and using multiple virtual portions of physical associative memories |
US6970971B1 (en) * | 2002-01-08 | 2005-11-29 | Cisco Technology, Inc. | Method and apparatus for mapping prefixes and values of a hierarchical space to other representations |
US7613200B1 (en) | 2002-01-15 | 2009-11-03 | Cisco Technology, Inc. | Method and apparatus using a random indication to map items to paths and to recirculate or delay the sending of a particular item when a destination over its mapped path is unreachable |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
WO2003069828A2 (en) * | 2002-02-14 | 2003-08-21 | The Trustees Of Columbia University In The City Of New York | System and methods for protecting network sites from denial of service attacks |
US6871262B1 (en) | 2002-02-14 | 2005-03-22 | Cisco Technology, Inc. | Method and apparatus for matching a string with multiple lookups using a single associative memory |
US6871265B1 (en) | 2002-02-20 | 2005-03-22 | Cisco Technology, Inc. | Method and apparatus for maintaining netflow statistics using an associative memory to identify and maintain netflows |
US7193996B2 (en) * | 2002-02-28 | 2007-03-20 | Acme Packet, Inc. | System and method for determining a source of an internet protocol packet |
US6927294B1 (en) | 2002-03-08 | 2005-08-09 | University Of Southern California | Nitrogen-containing heterocycles |
SI2022775T1 (sl) | 2002-04-01 | 2015-03-31 | University Of Southern California | Trihidroksi polinenasiäśeni eikosanoidi |
US8481772B2 (en) | 2002-04-01 | 2013-07-09 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid derivatives |
US7582785B2 (en) * | 2002-04-01 | 2009-09-01 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid derivatives |
US7902257B2 (en) * | 2002-04-01 | 2011-03-08 | University Of Southern California | Trihydroxy polyunsaturated eicosanoid |
US6946542B2 (en) * | 2002-04-01 | 2005-09-20 | University Of Southern California | Amino amides, peptides and peptidomimetics |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US7254632B2 (en) * | 2002-04-26 | 2007-08-07 | P-Cube Ltd. | Apparatus and method for pattern matching in text based protocol |
US7075940B1 (en) | 2002-05-06 | 2006-07-11 | Cisco Technology, Inc. | Method and apparatus for generating and using dynamic mappings between sets of entities such as between output queues and ports in a communications system |
US6959329B2 (en) * | 2002-05-15 | 2005-10-25 | Intelliden | System and method for transforming configuration commands |
US7336660B2 (en) * | 2002-05-31 | 2008-02-26 | Cisco Technology, Inc. | Method and apparatus for processing packets based on information extracted from the packets and context indications such as but not limited to input interface characteristics |
US7558775B1 (en) | 2002-06-08 | 2009-07-07 | Cisco Technology, Inc. | Methods and apparatus for maintaining sets of ranges typically using an associative memory and for using these ranges to identify a matching range based on a query point or query range and to maintain sorted elements for use such as in providing priority queue operations |
US7299317B1 (en) | 2002-06-08 | 2007-11-20 | Cisco Technology, Inc. | Assigning prefixes to associative memory classes based on a value of a last bit of each prefix and their use including but not limited to locating a prefix and for maintaining a Patricia tree data structure |
US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
US20040003067A1 (en) * | 2002-06-27 | 2004-01-01 | Daniel Ferrin | System and method for enabling a user interface with GUI meta data |
US7464145B2 (en) | 2002-07-11 | 2008-12-09 | Intelliden, Inc. | Repository-independent system and method for asset management and reconciliation |
US7313667B1 (en) | 2002-08-05 | 2007-12-25 | Cisco Technology, Inc. | Methods and apparatus for mapping fields of entries into new values and combining these mapped values into mapped entries for use in lookup operations such as for packet processing |
US7366893B2 (en) * | 2002-08-07 | 2008-04-29 | Intelliden, Inc. | Method and apparatus for protecting a network from attack |
US7461158B2 (en) | 2002-08-07 | 2008-12-02 | Intelliden, Inc. | System and method for controlling access rights to network resources |
US7028136B1 (en) | 2002-08-10 | 2006-04-11 | Cisco Technology, Inc. | Managing idle time and performing lookup operations to adapt to refresh requirements or operational rates of the particular associative memory or other devices used to implement the system |
US7349382B2 (en) * | 2002-08-10 | 2008-03-25 | Cisco Technology, Inc. | Reverse path forwarding protection of packets using automated population of access control lists based on a forwarding information base |
EP1530763B1 (de) * | 2002-08-10 | 2018-04-18 | Cisco Technology, Inc. | Assoziativer speicher mit erweiterten möglichkeiten |
US7065609B2 (en) * | 2002-08-10 | 2006-06-20 | Cisco Technology, Inc. | Performing lookup operations using associative memories optionally including selectively determining which associative memory blocks to use in identifying a result and possibly propagating error indications |
US7177978B2 (en) * | 2002-08-10 | 2007-02-13 | Cisco Technology, Inc. | Generating and merging lookup results to apply multiple features |
US7689485B2 (en) * | 2002-08-10 | 2010-03-30 | Cisco Technology, Inc. | Generating accounting data based on access control list entries |
US7103708B2 (en) * | 2002-08-10 | 2006-09-05 | Cisco Technology, Inc. | Performing lookup operations using associative memories optionally including modifying a search key in generating a lookup word and possibly forcing a no-hit indication in response to matching a particular entry |
US7441074B1 (en) | 2002-08-10 | 2008-10-21 | Cisco Technology, Inc. | Methods and apparatus for distributing entries among lookup units and selectively enabling less than all of the lookup units when performing a lookup operation |
US7082492B2 (en) * | 2002-08-10 | 2006-07-25 | Cisco Technology, Inc. | Associative memory entries with force no-hit and priority indications of particular use in implementing policy maps in communication devices |
CA2495260C (en) * | 2002-08-12 | 2012-05-29 | Brigham And Women's Hospital | Resolvins: biotemplates for novel therapeutic interventions |
US7759395B2 (en) | 2002-08-12 | 2010-07-20 | The Brigham And Women's Hospital, Inc. | Use of docosatrienes, resolvins and their stable analogs in the treatment of airway diseases and asthma |
US7304999B2 (en) * | 2002-08-24 | 2007-12-04 | Cisco Technology Inc. | Methods and apparatus for processing packets including distributing packets across multiple packet processing engines and gathering the processed packets from the processing engines |
US7404015B2 (en) * | 2002-08-24 | 2008-07-22 | Cisco Technology, Inc. | Methods and apparatus for processing packets including accessing one or more resources shared among processing engines |
US7558847B2 (en) * | 2002-09-13 | 2009-07-07 | Intelliden, Inc. | System and method for mapping between and controlling different device abstractions |
US7051259B1 (en) | 2002-10-08 | 2006-05-23 | Cisco Technology, Inc. | Methods and apparatus for communicating time and latency sensitive information |
US7610440B2 (en) * | 2002-10-23 | 2009-10-27 | Husby Donald E | Content addressable memory with automated learning |
US6717946B1 (en) | 2002-10-31 | 2004-04-06 | Cisco Technology Inc. | Methods and apparatus for mapping ranges of values into unique values of particular use for range matching operations using an associative memory |
US7602788B2 (en) | 2002-11-04 | 2009-10-13 | At&T Intellectual Property I, L.P. | Peer to peer SVC-based DSL service |
US7701953B2 (en) * | 2002-11-04 | 2010-04-20 | At&T Intellectual Property I, L.P. | Client server SVC-based DSL service |
US7024515B1 (en) | 2002-11-15 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for performing continue actions using an associative memory which might be particularly useful for implementing access control list and quality of service features |
US7313093B1 (en) | 2002-11-26 | 2007-12-25 | Cisco Technology, Inc. | Methods and apparatus for selectively discarding packets during overload conditions |
US20040117488A1 (en) * | 2002-12-12 | 2004-06-17 | Mcnamee Kevin | Dynamic callback packet filtering gateway |
US7496035B1 (en) | 2003-01-31 | 2009-02-24 | Cisco Technology, Inc. | Methods and apparatus for defining flow types and instances thereof such as for identifying packets corresponding to instances of the flow types |
US7382785B2 (en) * | 2003-02-21 | 2008-06-03 | At&T Knowledge Ventures, L.P. | Extended virtual user-to-network interface with ATM network |
WO2004078143A2 (en) * | 2003-03-05 | 2004-09-16 | The Brigham And Women's Hospital Inc. | Methods for identification and uses of anti-inflammatory receptors for eicosapentaenoic acid analogs |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US20050010485A1 (en) * | 2003-07-11 | 2005-01-13 | Quadratic Systems Corporation | Integrated system and method for selectively populating and managing multiple, site-specific, interactive, user stations |
US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
US7571242B2 (en) * | 2003-10-24 | 2009-08-04 | Alcatel Lucent | Method for accelerated packet processing |
US7305519B1 (en) | 2004-03-29 | 2007-12-04 | Cisco Technology, Inc. | Error protection for associative memory entries and lookup operations performed thereon |
US7290083B2 (en) * | 2004-06-29 | 2007-10-30 | Cisco Technology, Inc. | Error protection for lookup operations in content-addressable memory entries |
US7599361B2 (en) * | 2004-07-02 | 2009-10-06 | P-Cube Ltd. | Wire-speed packet management in a multi-pipeline network processor |
GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
GB2418999A (en) * | 2004-09-09 | 2006-04-12 | Surfcontrol Plc | Categorizing uniform resource locators |
GB2418108B (en) | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
US8966551B2 (en) | 2007-11-01 | 2015-02-24 | Cisco Technology, Inc. | Locating points of interest using references to media frames within a packet flow |
US9197857B2 (en) | 2004-09-24 | 2015-11-24 | Cisco Technology, Inc. | IP-based stream splicing with content-specific splice points |
US20060082581A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | Encoding for remoting graphics to decoder device |
US7852342B2 (en) * | 2004-10-14 | 2010-12-14 | Microsoft Corporation | Remote client graphics rendering |
US20060126520A1 (en) * | 2004-12-15 | 2006-06-15 | Cisco Technology, Inc. | Tape acceleration |
US7350131B2 (en) * | 2005-01-22 | 2008-03-25 | Cisco Technology, Inc. | Error protecting groups of data words |
US7551617B2 (en) | 2005-02-08 | 2009-06-23 | Cisco Technology, Inc. | Multi-threaded packet processing architecture with global packet memory, packet recirculation, and coprocessor |
US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
US7594258B2 (en) * | 2005-06-27 | 2009-09-22 | Yahoo! Inc. | Access control systems and methods using visibility tokens with automatic propagation |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US8069270B1 (en) * | 2005-09-06 | 2011-11-29 | Cisco Technology, Inc. | Accelerated tape backup restoration |
US7609280B2 (en) * | 2005-09-07 | 2009-10-27 | Microsoft Corporation | High level graphics stream |
US8527563B2 (en) * | 2005-09-12 | 2013-09-03 | Microsoft Corporation | Remoting redirection layer for graphics device interface |
WO2007035655A2 (en) * | 2005-09-16 | 2007-03-29 | The Trustees Of Columbia University In The City Of New York | Using overlay networks to counter denial-of-service attacks |
US8273792B2 (en) * | 2005-10-03 | 2012-09-25 | The Brigham And Women's Hospital, Inc. | Anti-inflammatory actions of neuroprotectin D1/protectin D1 and it's natural stereoisomers |
US7739426B1 (en) | 2005-10-31 | 2010-06-15 | Cisco Technology, Inc. | Descriptor transfer logic |
US8266431B2 (en) * | 2005-10-31 | 2012-09-11 | Cisco Technology, Inc. | Method and apparatus for performing encryption of data at rest at a port of a network device |
EP1954291A1 (de) * | 2005-11-18 | 2008-08-13 | Trustees Of Boston University | Behandlung und prävention von knochenschwund mithilfe von resolvinen |
US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
US20080052284A1 (en) * | 2006-08-05 | 2008-02-28 | Terry Stokes | System and Method for the Capture and Archival of Electronic Communications |
US7689889B2 (en) * | 2006-08-24 | 2010-03-30 | Cisco Technology, Inc. | Content addressable memory entry coding for error detection and correction |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
US7953895B1 (en) | 2007-03-07 | 2011-05-31 | Juniper Networks, Inc. | Application identification |
US8023419B2 (en) | 2007-05-14 | 2011-09-20 | Cisco Technology, Inc. | Remote monitoring of real-time internet protocol media streams |
US7936695B2 (en) * | 2007-05-14 | 2011-05-03 | Cisco Technology, Inc. | Tunneling reports for real-time internet protocol media streams |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US7835406B2 (en) * | 2007-06-18 | 2010-11-16 | Cisco Technology, Inc. | Surrogate stream for monitoring realtime media |
US7817546B2 (en) | 2007-07-06 | 2010-10-19 | Cisco Technology, Inc. | Quasi RTP metrics for non-RTP media flows |
US7996520B2 (en) | 2007-09-19 | 2011-08-09 | Cisco Technology, Inc. | Behavioral classification of communication sessions using active session initiation |
US8464074B1 (en) | 2008-05-30 | 2013-06-11 | Cisco Technology, Inc. | Storage media encryption with write acceleration |
AU2009267107A1 (en) | 2008-06-30 | 2010-01-07 | Websense, Inc. | System and method for dynamic and real-time categorization of webpages |
AU2010254269A1 (en) | 2009-05-26 | 2011-12-22 | Websense, Inc. | Systems and methods for efficient detection of fingerprinted data and information |
US10290052B1 (en) | 2009-08-28 | 2019-05-14 | Jpmorgan Chase Bank, N.A. | ATM exception processing system and method |
US8301982B2 (en) | 2009-11-18 | 2012-10-30 | Cisco Technology, Inc. | RTP-based loss recovery and quality monitoring for non-IP and raw-IP MPEG transport flows |
US8533780B2 (en) * | 2009-12-22 | 2013-09-10 | Cisco Technology, Inc. | Dynamic content-based routing |
US8819714B2 (en) | 2010-05-19 | 2014-08-26 | Cisco Technology, Inc. | Ratings and quality measurements for digital broadcast viewers |
US9455892B2 (en) * | 2010-10-29 | 2016-09-27 | Symantec Corporation | Data loss monitoring of partial data streams |
US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
JP6108968B2 (ja) * | 2013-06-06 | 2017-04-05 | 株式会社ソニー・インタラクティブエンタテインメント | 通信処理装置および通信処理方法 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5479155A (en) * | 1988-12-05 | 1995-12-26 | Prince Corporation | Vehicle accessory trainable transmitter |
US5347642A (en) * | 1989-11-30 | 1994-09-13 | Nec Electronics Inc. | Cache memory management unit |
US5291442A (en) * | 1990-10-31 | 1994-03-01 | International Business Machines Corporation | Method and apparatus for dynamic cache line sectoring in multiprocessor systems |
US5280480A (en) * | 1991-02-21 | 1994-01-18 | International Business Machines Corporation | Source routing transparent bridge |
US5325504A (en) * | 1991-08-30 | 1994-06-28 | Compaq Computer Corporation | Method and apparatus for incorporating cache line replacement and cache write policy information into tag directories in a cache system |
US5394408A (en) * | 1992-02-10 | 1995-02-28 | Nec Corporation | Policing control apparatus |
US5418922A (en) * | 1992-04-30 | 1995-05-23 | International Business Machines Corporation | History table for set prediction for accessing a set associative cache |
US5444491A (en) * | 1993-02-26 | 1995-08-22 | Massachusetts Institute Of Technology | Television system with multiple transmission formats |
US5557747A (en) * | 1993-06-22 | 1996-09-17 | Rogers; Lawrence D. | Network policy implementation system for performing network control operations in response to changes in network state |
CA2128673C (en) * | 1993-09-08 | 1997-02-04 | Naser Saleh Barghouti | Open process control system |
US5442624A (en) * | 1993-10-29 | 1995-08-15 | At&T Corp. | Dynamic access control for an ATM network |
US5546549A (en) * | 1994-06-01 | 1996-08-13 | International Business Machines Corporation | Multi-path channel (MPC) interface with user transparent, unbalanced, dynamically alterable computer input/output channels |
US5644751A (en) * | 1994-10-03 | 1997-07-01 | International Business Machines Corporation | Distributed file system (DFS) cache management based on file access characteristics |
US5533033A (en) * | 1994-12-19 | 1996-07-02 | The United States Of America As Represented By The Director, National Security Agency | Device for and method of correcting errors in formatted modem transmissions |
US5566170A (en) * | 1994-12-29 | 1996-10-15 | Storage Technology Corporation | Method and apparatus for accelerated packet forwarding |
US5625622A (en) * | 1995-12-27 | 1997-04-29 | Lucent Technologies Inc. | Apparatus and method for a generalized leaky bucket |
-
1996
- 1996-06-18 US US08/666,638 patent/US5842040A/en not_active Expired - Fee Related
-
1997
- 1997-06-18 WO PCT/US1997/010332 patent/WO1997049038A1/en active IP Right Grant
- 1997-06-18 DE DE69730452T patent/DE69730452T2/de not_active Expired - Fee Related
- 1997-06-18 JP JP10503170A patent/JP2000513165A/ja not_active Ceased
- 1997-06-18 CA CA002258010A patent/CA2258010C/en not_active Expired - Fee Related
- 1997-06-18 AU AU34879/97A patent/AU714870B2/en not_active Ceased
- 1997-06-18 EP EP97931177A patent/EP1012726B1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
AU3487997A (en) | 1998-01-07 |
CA2258010C (en) | 2001-08-28 |
EP1012726A4 (de) | 2000-06-28 |
JP2000513165A (ja) | 2000-10-03 |
CA2258010A1 (en) | 1997-12-24 |
EP1012726B1 (de) | 2004-08-25 |
US5842040A (en) | 1998-11-24 |
AU714870B2 (en) | 2000-01-13 |
DE69730452D1 (de) | 2004-09-30 |
EP1012726A1 (de) | 2000-06-28 |
WO1997049038A1 (en) | 1997-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69730452T2 (de) | Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät | |
DE60212916T2 (de) | Verfahren und Vorrichtung zum Ermöglichen von Zugriffen in einer Vermittlungsstelle | |
DE602004009356T2 (de) | Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen | |
DE69833605T2 (de) | Sichere virtuelle LANS | |
Paul et al. | A full bandwidth ATM Firewall | |
DE60126222T2 (de) | Verbundene Netzvermittlungskonfiguration | |
DE60126223T2 (de) | Anordnung zur Verbindung von Netzvermittlungsstellen | |
Xu et al. | Design and evaluation of a High-Performance ATM firewall switch and its applications | |
DE60109038T2 (de) | Zugangskontrolleinrichtung zwischen atm-netzen | |
EP1602214A1 (de) | Verfahren, system und speichermedium zum eintragen von datennetzwerk-erreichbarkeitsinformationen | |
DE60133175T2 (de) | Kommunikationsnetz | |
EP1721235B1 (de) | Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes | |
DE60215416T2 (de) | Zeigerbasierte binäre Suchmaschine und dafür geeignetes Verfahren | |
DE69636513T2 (de) | System zur sicherung des flusses und zur selektiven veränderung von paketen in einem rechnernetz | |
DE69530886T2 (de) | Prüfung der Echtheit von zwischen zwei Stationen eines Telecommunikationsnetz übertragenen Daten | |
EP0962119B1 (de) | Atm-kommunikationssystem zum vermitteln von internet-datenpaketen | |
DE202021102465U1 (de) | Einarmiger Inline-Entschlüsselungs-/Verschlüsselungsproxy, der im Modus einer transparenten Bridge arbeitet | |
DE102016100692A1 (de) | Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten | |
EP1393499B1 (de) | Verfahren und anordnung zur standortunabhängigen überwachung von sprach- und/oder datennetzverbindungen durch bedarfsträger | |
DE602004012291T2 (de) | Ethernet Digital Subscriber Line Access Multiplexer DSLAM mit Durchflusskontrolle | |
WO2005025179A1 (de) | Verfahren zum übermitteln von elektronischen daten über zwei unterschiedliche netzwerk zur erhöhung der internetsicherheit | |
EP4014424B1 (de) | Verfahren zum verarbeiten von telegrammen in einem automatisierungsnetzwerk, automatisierungsnetzwerk, masterteilnehmer und slaveteilnehmer | |
DE102020106505A1 (de) | Verwalten einer Entschlüsselung von durch eine Netzwerkeinrichtung fließenden Netzwerk-Datenströmen | |
DE602005004596T2 (de) | Verfahren zur Sicherung des Zugriffs auf Ports von einem Ebene-2-Switch und Ebene-2-Switch, der das Verfahren implementiert | |
EP1496665B1 (de) | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |