FI109165B - A method for controlling computer network traffic - Google Patents

A method for controlling computer network traffic Download PDF

Info

Publication number
FI109165B
FI109165B FI992056A FI19992056A FI109165B FI 109165 B FI109165 B FI 109165B FI 992056 A FI992056 A FI 992056A FI 19992056 A FI19992056 A FI 19992056A FI 109165 B FI109165 B FI 109165B
Authority
FI
Finland
Prior art keywords
middleware
level
network
name
system
Prior art date
Application number
FI992056A
Other languages
Finnish (fi)
Swedish (sv)
Other versions
FI19992056A (en
Inventor
Arto Juhola
Original Assignee
Elisa Comm Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Comm Oyj filed Critical Elisa Comm Oyj
Priority to FI992056 priority Critical
Priority to FI992056A priority patent/FI109165B/en
Publication of FI19992056A publication Critical patent/FI19992056A/en
Application granted granted Critical
Publication of FI109165B publication Critical patent/FI109165B/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L29/00Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/00 - H04L27/00
    • H04L29/02Communication control; Communication processing
    • H04L29/06Communication control; Communication processing characterised by a protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L29/00Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/00 - H04L27/00
    • H04L29/12Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/00 - H04L27/00 characterised by the data terminal
    • H04L29/12009Arrangements for addressing and naming in data networks
    • H04L29/12047Directories; name-to-address mapping
    • H04L29/12056Directories; name-to-address mapping involving standard directories and standard directory access protocols
    • H04L29/12066Directories; name-to-address mapping involving standard directories and standard directory access protocols using Domain Name System [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements or network protocols for addressing or naming
    • H04L61/15Directories; Name-to-address mapping
    • H04L61/1505Directories; Name-to-address mapping involving standard directories or standard directory access protocols
    • H04L61/1511Directories; Name-to-address mapping involving standard directories or standard directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network-specific arrangements or communication protocols supporting networked applications
    • H04L67/30Network-specific arrangements or communication protocols supporting networked applications involving profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network-specific arrangements or communication protocols supporting networked applications
    • H04L67/32Network-specific arrangements or communication protocols supporting networked applications for scheduling or organising the servicing of application requests, e.g. requests for application data transmissions involving the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Application independent communication protocol aspects or techniques in packet data networks
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32High level architectural aspects of 7-layer open systems interconnection [OSI] type protocol stacks
    • H04L69/322Aspects of intra-layer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Aspects of intra-layer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer, i.e. layer seven

Abstract

The invention relates to a method for traffic control in a communications network, in which method the transmission of a data packet to its destination address is inhibited on the basis of the source or destination address of the data packet and in which method bindings defined between middleware-level and network-level information are utilized in traffic control at the network-level so that the traffic flow in the communications network can be controlled on the basis of barring lists at the middleware level. The invention is based on combining Internet middleware facilities with programmable active networks and/or routers. An automatic monitoring system is configured so that traffic outbound from a given subscriber connection and targeted to another given subscriber connection is passed via the traffic monitoring system. Herein, a precompiled middleware-level name list is utilized wherefrom the middleware-level names used by said given subscriber connection are selected (201) to form a barring list. On the basis of the thus formed middleware-level barring list, into the monitoring system by way of reading the response messages of a name server system is compiled (205) a network-level barring list, whose addresses are maintained valid not longer than the validity time indicated in the response message of the name server system, thus accomplishing the novel technique of traffic control on the basis of a subscriber-specific middleware-level barring list.

Description

! ! ) : 109165 ): 109165

Menetelmä tieto verkkoliikenteen ohjaamiseksi A method for controlling the network traffic data

Keksinnön kohteena on patenttivaatimuksen 1 mukainen menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy 5 kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, ja jossa yhdistetään middleware-tason ja verkkotason sidoksia verkkotason liikenneohjaukseen. The invention relates to a method according to claim 1 for controlling the data network traffic, which prevents access to the information on the 5 kohdeosoitteeseensa information on the basis of the source or destination address, and wherein the compound of the middleware-level and network-level linkages network-level traffic control.

Tietoliikenneverkoisssa kulkeva liikenne on jaettu hierarkiatasoihin. Tietoliikenneverkoisssa passing traffic is divided into a hierarchy of levels. Tietyn hierarkiatason liikenne on läpinäkyvää toisten hierarkiatasojen elementeille. Of a particular hierarchy level of traffic is transparent to the other levels of the hierarchy of elements. Tässä 10 hakemuksessa käsite middleware-taso vastaa tietoliikenteen hierarkiatasoja kuvaavan ISO:n (International Organization for Standardization) OSI-mallin (Open System Interconnection) kerroksia 4-7 eli kuljetus- (transport), yhteys- (session), esitystapa-(presentation) ja sovelluskerroksia (application layer). 10 In this application, the term middleware level corresponds to describe a hierarchy of levels of traffic ISO (International Organization for Standardization) of the OSI model (Open System Interconnection) layers 4-7, or transport (transport), connection (session), esitystapa- (presentation) and application layers (application layer). Middleware on ohjelmistoa, jolla toteutetaan ko. The middleware is software for implementing the question. kerrosten toiminnallisuus. layers of functionality.

i 15 i 15

Eräs middleware-tason protokolla on DNS, jonka mukaisesti Intemet-resursseille annetaan DNS-nimi, joka ei sisällä resurssin verkkotason sijaintitietoa. One of middleware-level protocol is DNS, which according to Internet resources are given a DNS name that does not contain a resource network-level location information. Viittaaminen resursseihin DNS-nimillä on tarpeen, koska esim. host-resurssien eli Intemettiin . Referring to the resources of DNS names is necessary because, for example. Host-based resources, ie the Internet. .·. . ·. kytkettyjen tietokoneiden IP-osoitteet eivät ole enää staattisia, vaan vaihtuvat esim. connected computers IP addresses are no longer static, but change for example.

: 20 dynaamisten IP-osoitepäivitysten ja päätelaitteiden verkkosijaintien muutosten takia. : 20 network locations due to changes in the dynamic IP address updates and terminals.

:'' ': Lisäksi, päätelaitteiden käyttäjät eivät Intemet-suositusten mukaan saa käyttää suoraan IP-osoitteita, vaan aina DNS-nimiä. : '' ': In addition, an Internet terminal users according to the recommendations should not be used directly on IP addresses, but always in DNS names. Tietoverkkoresursseja, jotka nimetään ! The data network resources, which are named! :T: middlewaretason nimillä voivat myös olla tietoverkossa ajettavia sovellusohjelmia tai : niiden instansseja tai tietoverkkoon tallennettuja dokumentteja. T: middleware names may also be executable on a computer network or application programs: the instances of the data network or stored documents.

25 • «tv : Tunnetuissa tietoliikenneverkoissa verkkopäätelaitteelle tulevaa liikennettä tai v ; 25 • «TV In known telecommunication networks for future network terminal traffic or v; verkkopäätelaitteelta lähtevän liikenteen perillepääsyä pystytään rajoittamaan : ': verkkotason informaation, kuten IP-osoitteen, perusteella jolloin saadaan tarvittaessa : '' ': estettyä tietyistä verkkotason osoitteista, kuten IP-osoitteista, tuleva tai niihin suunnattu 30 liikenne tai toisaalta mahdollistettua liikenne ainoastaan tietyistä verkkotason osoitteista : tai tiettyihin verkkotason osoitteisiin. leaving the network terminal to the transport destination access possible to limit ': network-level information, such as an IP address, on the basis of which can, if necessary,' '' blocked from certain network-level addresses, such as IP addresses, the future or be directed to 30 transport or on the other hand enable, access only to certain network-level addresses : or a certain level of network addresses. Tällainen rajoittaminen onnistuu esimeikiksi palomuurien avulla. Such a restriction is successful esimeikiksi firewalls. Palomuuri on jäijestely, jossa organisaation sisäinen verkko on 2 109165 yhdistetty ulkoiseen verkkoon määrätyn valvontaelementin kautta, jolloin määrätyistä verkkotason osoitteista tuleva liikenne voidaan pysäyttää palomuuriin. The firewall is the arrangement presented in which the internal network of the organization 2 109165 is connected via the specified external network control element, wherein the prescribed level from the network addresses of traffic can be stopped by a firewall. Ulosmenevää liikennettä voidaan valvoa vastaavalla tavalla. Outgoing traffic can be monitored similarly.

5 Tunnetun tekniikan puutteena on se, että middleware-tason (esim. DNS) ja verkkotason liikenneohjaukset toimivat erillään, jolloin mahdolliset middleware-tason liikennerajoitukset, kuten estolistat, jotka sisältävät kielletyjä lähde- tai kohdenimiä, eivät rajoita verkkotason liikennettä ja näinollen suojaamattomalle verkkotasolle pääsee helposti tarpeetonta ja ei-toivottua liikennettä, kuten mainospostia tai vastaanottajan 10 kiusaksi lähetettyä roskatietoa. 5 the prior art drawback is that the middleware platform (e.g. DNS), and network-level traffic controllers operate separately, so that any middleware level of traffic restrictions, such as the barrier strips containing kielletyjä source or destination names do not limit network-level traffic, and therefore exposed at the network level can easily unnecessary and unwanted traffic, such as advertising mail sent to the recipient 10 or annoy the junk information. Middleware- ja verkkotason liikenteenrajoituksen tehokkaasti ja dynaamisesti yhdistäviä ratkaisuja ei tunneta. Middleware and network-level traffic restriction for effective and dynamic solutions that combine unknown.

Middleware-tasolla toteutetut suljetut käyttäjäryhmät (VPN, Virtual Private Network) eivät heijastu automaattisesti verkkotasolle, joten liikennettä, jota ei haluta vastaanottaa, 15 voidaan helposti lähettää middlewaretason suljettujen käyttäjäryhmien verkkoihin tai verkon osiin, jos esimerkiksi ryhmän DNS-nimiä tai IP-osoitteita on tiedossa. taken middleware-level closed user groups (VPN, Virtual Private Network) are not reflected automatically at the network level, so the traffic, which does not want to receive, 15 can be easily sent middleware closed user networks or network components, for example, if a group DNS names or IP addresses are known . Tämä voi joissakin tapauksissa aiheuttaa vahinkoa tietoverkon välityskapasiteetin rajallisuuden takia. This may in some cases cause damage due to the limited information network transmission capacity. Kun liikenne jota ei haluta tukkii verkon, halutun liikenteen perillepääsy hidastuu ; When the traffic that clogs the network is not desired, the desired traffic destination access slows down; tai estyy. or inhibited.

: 20 Tietoverkkoresurssien sijainti voi vaihtua tietystä IP-osoitteesta toiseen ja tällöin : ": tiettyyn IP-osoitteeseen asetettu esto ei estä toisesta IP-osoitteesta tulevaa liikennettä. 20 Data Network Resource location may change from a certain IP address to another, and then: "set to a specific IP address does not prevent theft from another IP address services.

Esiintyy myös tarvetta rajoittaa DNS-nimien perusteella tiettyjen yleisesti saatavilla ... olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti mm. Also found in the need to limit the basis of the DNS names of certain commonly available ... in the computer network resource access interface terminal or a user-mm.

lastensuojelu- ja tarkoituksenmukaisuussyistä. child protection and for reasons of expediency. Tunnettu tekniikka ei kuitenkaan •; However, the prior art does not •; , 25 mahdollista tätä. , 25 this possible.

.· · Keksinnön tarkoituksena on aikaansaada aivan uudentyyppinen menetelmä, jonka : ': avulla edellä kuvatut tunnetun tekniikan ongelmat on mahdollista ratkaista. . · The aim of the invention is to provide an entirely new type of method: it is possible to solve the prior art problems by means of the above-described '. Keksintö ; invention; : perustuu siihen, että yhdistetään Internet middleware- ja Internet reititin ja/tai ... aktiiviverkkotekniikoita. : Based on the fact that, combined with the Internet middleware and Internet router and / or ... active networking technologies. Ohjataan tilaajaliittymään menevä ja sieltä tuleva liikenne ,' ·, · 30 automaattisen seurantajäijestelmän läpi. Controlled by the subscriber to join the outgoing and incoming traffic from there, '· · 30 through the automatic seurantajäijestelmän. Tällainen seurantajärjestelmä voi olla ns. Such a monitoring system may be so called.

aktiivisolmu tai erillinen reitittimen sisältävä palvelin, joka kykenee käsittelemään 3 109165 seurantajärjestelmän läpi menevien tietopakettien, kuten IP-pakettien, otsakkeita ja sisältöä, dynaamisesti vaihdettavissa olevan ohjelman mukaan. active node, or a separate server on which the router, which is capable of handling 3 109165 according to the dynamically changeable program extend through monitoring of data packets, such as IP packets, titles and content. Dynaamisesti vaihdettavissa olevalla ohjelmalla tarkoitetaan tässä, että seurantajärjestelmää ohjaava tietokoneohjelma on päivitettävissä ilman häiritsevää katkoa seurantajärjestelmän 5 toiminnassa. The dynamically replaceable program is meant herein that the controlling computer monitoring system can be updated without disturbing break monitoring system 5 in operation. Dynaamista päivitettävyyttä käytetään, kun muutetaan kiellettyjen middleware-tason osoitteiden estolistaa ja niiden verkkotason vastineista koostuvaa estolistaa automaattisessa seurantajärjestelmässä ja/tai muualla operaattorin järjestelmässä. The dynamic upgradability used in converting the block list of forbidden addresses, middleware level and composed of the network-level value of the block list of the automatic monitoring system and / or in other parts of the operator system. Keksinnön mukaisessa ratkaisussa käytetään aiemmin määriteltyä middlewaretason nimistöä joka voi olla tietty nimiavaruus, esim. kaikki DNS-nimet, 10 joille tietty tai tietyt nimipalvelinjärjestelmät kykenevät löytämään verkkotason vastineet tai nimiavaruus, joka sisältää kaikki syntaksiltaan oikeaoppiset tietyn middlewaretason nimiavaruuden, esim DNS-järjestelmän, nimet, mutta joille kaikille ei välttämättä löydy verkkotason vastineita. In the solution according to the invention uses the nomenclature middleware previously defined which may be a specific name space, e.g. all DNS names 10 to which a particular or specific name server systems are able to find the network level counterparts or namespace that contains all syntax orthodox a particular middleware name space, e.g., the DNS system, names, but all of which may not be found in the network-level counterparts.

Aiemmin määritellystä nimiavaruudesta rajataan päivitettävissä oleva 15 tilaajaliittymäkohtainen middleware-tason nimistö. In the past, as defined in this name space delimited by the updated subscriber interface 15 of the middleware specific level nomenclature. Tilaajaliittymäkohtainen middleware-tason nimistö sisältää middleware-tason nimiä joilla nimetyille tietoverkkoresursseille halutaan hyväksyä ja/tai joilla nimetyille tieto verkkoresursseille ei haluta hyväksyä liikennettä tietystä tilaajaliitttymästä ja/tai middlewaretason nimiä joilla nimetyiltä tietoverkkoresursseilta tuleva liikenne halutaan päästää tiettyyn : 20 tilaajaliittymään ja/tai joilla nimetyiltä tietoverkkoresursseilta tulevaa liikennettä ei : *: haluta päästää tiettyyn tilaajaliittymään. The subscriber per subscription middleware nomenclature includes middleware names that you want to accept and / or to the designated information network resources not want to accept traffic to a particular tilaajaliitttymästä and / or middleware names with the designated tietoverkkoresursseilta future designated tietoverkkoresursseille traffic you want to allow a certain 20 subscribers to join and / or to the designated tietoverkkoresursseilta oncoming traffic will not: *: want to let a particular subscriber line.

Tilaajaliittymäkohtainen middlewaretason nimistö tallennetaan automaattiseen ... seurantajärjestelmään, muualle operaattorin järjestelmään tai operaattorin järjestelmän • · saataville. The subscriber per subscription middleware nomenclature is stored in the automatic monitoring system ..., the rest of the system operator or the operator system • · available. Keksinnössä pysäytetään automaattiseen seurantajärjestelmään liikennettä, 25 joka tulee sellaisesta verkkotason osoitteesta tai on kohdennettu sellaiseen verkkotason ·;·. The invention is stopped by the automatic traffic monitoring system, 25 which come from a network level at or targeted at a network level ·; ·. osoitteeseen, jonka juuri tietyllä hetkellä voimassa olevaan middleware-tason vastinnimellä nimetylle tietoverkkoresurssille ei hyväksytä liikennettä tilaajaliittymäkohtaisen middleware-tason nimistön perusteella. to the address in a given moment force middleware level vastinnimellä designated tietoverkkoresurssille not accepted traffic based on the subscriber-specific access middleware level nomenclature. Tietyn middleware-tason nimen ja verkkotason osoitteen välinen sidos saadaan nimipalvelinjärjestelmän -; The bond between a given level by the middleware and network layer address of a name server system -; - * 30 vastausviestistä, jonka vastausviestin mukainen verkkotason osoite pidetään voimassa ' * enintään vastausviestissä määritellyn voimassaoloajan, jolloin saadaan estettyä liikenne verkkotason osoitteisiin, joiden voimassaolevia middleware-tason vastinnimiä ei 4 109165 tunneta ja middleware-tason nimien mukaisille tietoverkkoresursseille tai tietoverkkoresursseilta, joille suunnattua taljoilta tulevaa liikennettä ei hyväksytä. - * 30 response message, the network-layer address as the reply message is considered valid '* does not exceed the specified response message validity period, thereby preventing the transport network-level addresses with the existing middleware level vastinnimiä not 4 109 165 unknown, and according tietoverkkoresursseille or tietoverkkoresursseilta middleware-level names to which the targeted taljoilta future traffic will not be accepted.

Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoliikenteen 5 ohjaamiseksi on tunnusomaista se, mikä on mainittu patenttivaatimuksen 1 tunnusmerkkiosassa. The method for controlling computer network traffic five More specifically, according to the invention is characterized by what is stated in the characterizing part of claim 1.

I Keksinnön avulla saavutetaan huomattavia etuja. I, by means of the invention offers significant advantages. Keksinnön avulla saadaan vähennettyä i turhaa ja ei-toivottua verkkotason liikennettä. The invention provides a reduction i unnecessary and undesirable level of network traffic. Keksintö mahdollistaa middleware-tason 10 nimiin kuten DNS-nimiin perustuvien estolistojen tai suljettujen middlewaretasolla määritettyjen käyttäjäryhmien (VPN, Virtual Private Network) muodostamisen, joissa ryhmän määrittely verkkotasolla dynaamisesti päivittyy middlewaretasolla määritellyn ryhmän mukaisesti sellaiseksi, että ryhmän rajaus verkkotasolla pysyy ryhmän middlewaretason nimien voimassa olevien verkkotason vastineiden mukaisena. The invention allows the middleware 10 the names of users determined as based on the DNS name of block lists or closed middleware VPN (Virtual Private Network) formed with definition of the group at the network level to dynamically updated in accordance with the groups defined middleware such that the group of definition of the network level remains in force middleware group names network level appropriate responses.

15 15

Keksinnön avulla operaattorille ja verkon käyttäjille avautuu mahdollisuus estää halutusta tilaajaliittymästä sellaisilla middlewaretason nimillä nimetyille .' The invention allows the operator and the network user opens the possibility of preventing the desired subscriber connection by such names designated in the middleware. " · tietoverkkoresursseille suunnattu liikenne, joita vastaavia verkkotason osoitteita ei ole : tiedusteltu tilaajaliittymästä lähetetyllä nimipalvelintiedustelulla tiettynä aikana. · Target tietoverkkoresursseille transport, by matching the level of network addresses is not: inquired subscriber interface nimipalvelintiedustelulla transmitted in a given time.

: ' ': 20 Menetelmää voidaan myös soveltaa niin, että määritellään ainakin yksi verkkotason osoite tai osoitteita, jonne suunnattu tai josta tuleva liikenne hyväksytään, vaikka .* : kyseistä verkkotason osoitetta ei olekaan saatu nimipalvelinjärjestelmältä tiettynä : : aikana. : '' 20 The method can also be applied so as to specify at least one network-layer address, or addresses, where the intended or from which the incoming traffic is accepted, although the *. The network level address has not been given nimipalvelinjärjestelmältä: time.

:: : 25 Menetelmässä verkkotaso pystyy automaattisesti konfiguroitumaan siten, että se tukee . ::: 25 method, the network is able to automatically konfiguroitumaan level such that it supports. · · ylemmän kerroksen konfiguraatiota. · An upper layer configuration. Jos liikenne siis estetään jollekin DNS-nimelle tai nimiavaruudelle, myös liikenne ko. If the traffic therefore prevents any DNS name, or namespace, including the traffic in question. nimeen tai nimiavaruuteen sidottuun IP-: : osoitteeseen tai osoiteavaruuteen estyy ilman erillistä IP- osoitepohjaisten estolistojen . the name or namespace restricted IP: the address or the address space is prevented without a separate IP address-based block lists. . . konfigurointia, ja näin saadaan estettyä liikenne tiettyihin verkko-osoitteisiin tai tietyistä . configuration, and so the traffic can be prevented to certain network addresses or specific. *. *. : 30 verkko-osoitteisiin DNS-nimien perusteella. : 30 network addresses based on DNS names.

5 109165 5 109165

Keksinnön avulla saadaan rajoitettua DNS-nimien perusteella tiettyjen yleisesti saatavilla olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti esim. lastensuojelu- tai tarkoituksenmukaisuussyistä. The invention can be limited on the basis of the DNS name of the availability of certain resources available to the public data network interface, the terminal or user-e.g. child protection or for reasons of expediency.

Keksintöä tarkastellaan seuraavassa esimerkkien avulla ja oheisiin piirustuksiin viitaten. The invention is discussed in the following by means of examples and with reference to the accompanying drawings.

I 5 I 5

Keksinnöllä on kaksi perussovellusta TCP/IP-ympäristössä, joita voidaan käyttää rinnakkainkin: The invention has two basic embodiment of a TCP / IP environment that can be used in parallel:

Kuvion 1 mukainen lähtevän IP-liikenteen esto osoitteisiin, jotka eivät ole DNS-10 järjestelmän tiedossa ja/tai joita ei ole sallittu. according to Figure 1 the outgoing IP traffic barrier to addresses which are not known to the DNS system 10 and / or are not allowed.

Kuvion 2 mukainen ei-toivotun IP-liikenteen esto middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta. Figure 2 according to an unwanted IP traffic barrier automatic and interactive network level middleware liikenteenohjauskonfigurointien level due to the transfer.

15 15

Estettäessä kuvion 1 mukaisesti lähtevän IP-liikenteen pääsy osoitteisiin, joita ei ole DNS-järjestelmän tiedossa, ja/tai joita ei ole sallittu käytetään mm. The prevention of Figure 1 in accordance with the outgoing IP traffic with access to addresses that are not known to the DNS system, and / or are not permitted used, for example. seuraavia komponentteja ja suoritetaan seuraavia toimenpiteitä. The following components and the following operations are performed. Esimerkissä tietty tai tietyt nimipalvelin]äijestelmät kykenevät suorittamaan resoluution aikaisemmin määritetylle *;;. In the example, or a certain server name] äijestelmät able to carry out the resolution of the previously defined * ;;. * 20 middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö ;1 *. * 20 middleware nomenclature and the nomenclature of middleware which as previously defined; 1 *. on koko se nimiavaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietyt is the size of the name space, which is a syntax name space, or in which a certain number of

• * I • I *

nimipalvelin] äijestelmät kykenevät suorittamaan resoluution, mutta jonka !..t nimiavaruuden yksittäisellä nimellä ei välttämättä ole verkkotason vastinetta, ja jossa • * · tilaajaliittymäkohtainen middlewaretason nimistö on nimiavaruus, jolle tietty 25 nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. name server] äijestelmät capable of performing the resolution, but a! .. t namespace with a single name may not be network-level value, and where • * · subscriber connection-specific middleware nomenclature is a namespace within which the 25 name server system is able to find the network-level counterparts. Esimerkissä on käytetty tiettynä nimipalvelinjäijestelmänä DNS-jäijestelmää ja aikaisemmin määriteltynä middlewaretason nimiavaruutena syntaksiltaan oikeaoppisia DNS-nimiä. In the example has been used in a given nimipalvelinjäijestelmänä DNS jäijestelmää and middleware previously defined namespace syntax orthodox DNS names.

• > · !Tilaajaliittymäkohtainen middlewaretason nimistö koostuu niistä nimistä, joille DNS-> * '·' järjestelmä kykenee suorittamaan resoluution tilaajaliittymästä 10 lähetetyn DNS- •; ! •> · Subscriber Subscription-specific middleware nomenclature consists of those names for which the DNS> * '·' system is able to carry out the resolution of subscriber connection 10 sent from the DNS •; · * 30 tiedustelun perusteella. · * 30 on the basis of intelligence.

• · 6 109165 • · 6 109165

Tilaajaliittymä 10, on olennaisesti ns. The subscriber interface 10, is substantially known. Stub-intemet, joka vain yhdistää asiakasverkon ja aktiivisolmun 11. Aktiivisolmu 11 on tietoverkkoelementti, johon on sisälletty ohjelmisto, jolla seurataan aktiivisoImuun 11 tulevien IP-pakettien otsaketietoja sekä ohjataan IP-pakettien kulkua. Internet web-stub, which connects a customer network and the active node 11. Node 11 is the active data network element, which is contained in software for monitoring aktiivisoImuun 11 inbound IP packet header and controlling the flow of IP packets. Aktiivisolmu 11 on sijoitettu siten, että kaikki 5 verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Active Node 11 is positioned such that all 5 of web traffic to the first subscriber line 10 passes through it.

Tilaajaliittymäkohtaista middlewaretason nimistöä on voitu rajata aiemmin määritellystä myös esimerkin mukaisessa sovelluksessa. The subscriber interface-specific nomenclature middleware may have been defined previously determined in the embodiment according to the example. Tällöin aktiivisolmuun 11 tallennetaan sallituista ja/tai kielletyistä DNS-nimistä koostuva estolista, jota voidaan tarvittaessa dynaamisesti päivittää esim. operaattorin jäijestelmästä tai tilaajaliittymästä 10 10 tulevalla ohjauksella. In this case, the active node 11 is stored in the authorized and / or prohibited blocking list consisting of DNS names, which can be dynamically updates the example. Jäijestelmästä operator or a subscriber connection to October 10 the forthcoming guidance. Tilaajaliittymästä 10 lähtevät DNS-tiedustelut, jotka ylipäänsä ohjataan DNS-jäijestelmälle ohjataan DNS-palvelimelle 12. The subscriber At junction 10 leave the DNS queries that are directed at all DNS jäijestelmälle directed to the DNS server 12.

Menetelmässä suoritetaan seuraavia vaiheita. In the method the following steps are performed. Vaiheet 101 - 102 suoritetaan, jotta saadaan estettyä sellaisten tilaajaliittymästä 10 lähetettyjen nimipalvelinjäijestelmälle 15 suunnattujen tiedustelujen eteneminen nimipalvelinjärjestelmään, jotka koskevat DNS-nimiä, joilla nimetyille tietoverkkoresursseille ei haluta hyväksyä tietoliikennettä tilaajaliittymästä 10. Steps 101 - 102 is performed in order to prevent a subscriber interface 10 of the transmitted nimipalvelinjäijestelmälle 15 directed inquiries to the progress of the name server system for the DNS names for the designated tietoverkkoresursseille not want to accept the subscriber traffic interface 10.

101) Vastaanotetaan tilaajaliittymästä 10 lähetetty kysyttyä DNS-nimeä 13 koskeva 20 DNS-palvelimelle 12 suunnattu tiedustelu aktiivisolmussa 11. 101) Receiving directed 20 DNS server on the subscriber connection 10 asked questions sent to DNS name of December 13 reconnaissance active node 11.

| | 102) Lähetetään (102a) kysyttyä DNS-nimeä 13 koskeva tiedustelu aktiivisolmusta 11 DNS-palvelimelle 12, jos kysytty DNS nimi 13 on sallittu tai kuuluu , ; 102) Sending (102a) inquiry about the name of the DNS asked questions 13 aktiivisolmusta 11 DNS server 12, when asked about DNS name 13 is permitted or belongs; ·. ·. sallittuun middlewaretason nimistöön estolistalle.. Muutoin tiettyä DNS-nimeä I · 25 koskevaa tiedustelua ei lähetetä eteenpäin eikä sallittujen verkko-osoitteitten ; permissible middleware nomenclature Blacklist .. Otherwise, the requests for information specific DNS name for the I · 25 is not forwarded and not the authorized network osoitteitten; ·. ·. listaa täydennetä. the list of completions. Tällöin asiakas-host:lle tilaajaliittymään 10 lähetetään (102b) 'DNS-vastaus DNS-palvelimen 12 lähdeosoitteella, jossa kerrotaan että tiettyä . In this case, the client-host of the subscriber is sent to join 10 (102b) "DNS response to the DNS server 12 source address, which is multiplied by the particular. j. j. t DNS-nimeä ei ole, tai vaihtoehtoisesti jokin muu sopivampi virheilmoitus. s DNS name does not exist, or, alternatively, any other suitable error message.

30 Seuraavat vaiheet suoritetaan, jos tiettyä DNS-nimeä koskeva tiedustelu lähetettiin ·,: eteenpäin DNS-palvelimelle 12. Vaihe 103 suoritetaan, jotta aktiivisolmu päivittyisi hyväksymään liikenteen sellaisella DNS-nimellä nimetylle tietoverkkoresurssille, jolle 7 109165 halutaan hyväksyä liikennettä. 30 The following steps are carried out, if on a given DNS name query sent · ,: forward DNS server 12. Step 103 is performed, in order to be upgraded to the active node to accept traffic in a DNS at designated tietoverkkoresurssille which the 7 109 165 to be approved for traffic. Vaihe 103 on välttämätön vaiheen 104 onnistumisen kannattaja vaihe 105 voidaan suorittaa riippumatta muista vaiheista. Step 103 is necessary for the success of step 104 supporter step 105 can be carried out independently of other steps.

5 103) Vastaanotetaan aktiivisolmussa 11 DNS-palvelimen 12 vastausviesti vaiheessa 101 lähetettyyn tiedusteluun. 5 103) is received from the active node, the DNS server 11 a response message 12 sent in step 101 to an inquiry. Jos vastausviesti sisältää kysytyn DNS-nimen 13 ja sitä vastaavan kysytyn IP-osoitteen 14 sekä tämän ja DNS-nimen 13 välisen kysytyn sidoksen voimassaoloajan 15 TTL-kentässä, kysytty IP-osoite 14 määritellään hyväksytyksi osoitteeksi aktiivisolmuun tallennetulle verkkotason 10 estolistalle. If the response message contains the requested DNS name 13 and the corresponding requested IP address 14, and in demand on this and the DNS name of the 13 bond between the duration of 15 TTL field contains the requested IP address 14 determined at the address in the active node stored in the plane of the net 10 to the block list. Aktiivisolmu 11 aktivoituu sallimaan liikenteen kysytyn DNS- nimen 13 mukaiseen IP-osoitteeseen 14 enintään kysytyn sidoksen voimassaoloajan 15 DNS-palvelimen 12 lähettämä vastausviesti lähetetään aktiivisoImusta eteenpäin tilaajaliittymään 10 asiakas-host:lle. Active Node 11 is activated to allow the transport sought by the DNS 13 according to the IP address sought 14 up to 15 bond the duration of the response message sent by the DNS server 12 is sent to the subscriber aktiivisoImusta cross connection 10 guest-host: a.

15 Seuraavaksi vastaanotetaan aktiivisolmussa asiakas-host:lta Stub-intemetin eli tilaajaliittymän 10 kautta kysyttyyn IP-osoitteeseen 14 suunnattu ensimmäisen viesti, vaiheessa 104 ja/tai kiellettyyn IP-osoitteeseen suunnattu toinen viesti vaiheessa 105. 15 Next, the node receiving the active guest-host: from 10 to the stub-intemet, or a subscription to the IP address the questions asked 14 directed on the first message, at step 104, and / or directional banned IP address of the second message in step 105.

104) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kysyttyyn IP- 20 osoitteeseen 14 suunnattu ensimmäinen viesti, tutkitaan aktiivisolmun :.: : logiikalla mahdolliset kysyttyyn IP- osoitteeseen 14 liittyvät estolistalle liitetyt '...· tiedot ja päästetään ensimmäinen viesti läpi, jos kysytyn sidoksen • · * ' : voimassaoloaikaa 15 on vielä jäljellä. 104) is received from the active node from the 11 subscriber interface 10 of the questions asked IP Target 20 to 14, first the message are examined active node:.:: Logic possible the questions asked to the IP address 14 of connected block list '... · information and discharged in the first message through if sought bond • · * ': the period of validity of 15 are still available.

* I » 25 105) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kiellettyyn IP- • · · osoitteeseen suunnattu toinen viesti 18, tutkitaan aktiivisolmun logiikalla * I "25 105) is received from the active node of the subscriber 11 from the interface 10 is prohibited IP • · · directed to the second message 18, node logic on activated

I I

? ? · · onko kielletty osoite 17 sallittu, havaitaan ettei ole ja pysäytetään viestin ! · Whether a prohibited address 17 allowed, it is not detected and stopped with a message! » eteneminen. »Progress.

t I I t

30 30

Jotta aktiivisolmun 11 ei tarvitsisi säilyttää liian suurta sallittujen osoitteiden , : tietomassaa, TTL-kenttiin voidaan vaihtaa DNS vastausviestissä saatuja lyhyemmät voimassaoloajat, jolloin sallittuja osoitteita voidaan poistaa aktiivisolmusta 11 8 109165 tavanomaista aikaisemmin. For the active node 11 does not need to maintain an excessive allowable addresses for information pulp can be changed from the DNS response message of shorter duration of time, wherein the allowed addresses can be removed aktiivisolmusta August 11 109 165 earlier than the TTL fields. Tilaajaliittymästä 10 lähetetyt DNS-kyselyt voidaan ohjata esim. Token-Bucket liikennemuokkaimen läpi, jolloin saadaan rajoitettua DNS-kyselyiden määrää asiakaskohtaisesti tiettynä ajanjaksona, jonka seurauksena saadaan pidennettyä aktiivisolmulle 11 sallittavaa verkkotason osoitteiden maksimisäilytysaikaa 5 ja vastaanotetun DNS-viestin mukaiseen konfiguroitumiseen kuluvaa aikaa. sent to the subscriber interface 10 for DNS queries can be controlled, for example. token bucket through liikennemuokkaimen, thereby restricting the DNS queries the number of customer-specified time period, which results in a prolongation aktiivisolmulle 11 of the permissible maximum storage time for the network-level addresses 5 and the received DNS message according konfiguroitumiseen time.

i ( i (

Kuvion 2 mukainen toinen suoritusesimerkki, ei-toivotun IP-liikenteen vähentäminen middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta. A second embodiment according to the example of Figure 2, the automatic and interactive network level of unwanted IP traffic reduction middleware liikenteenohjauskonfigurointien level due to the transfer.

10 10

Aktiivisolmu 11, joka on ohjelmoitu lukemaan DNS-palvelimelta 12 saapuvia viestejä, on sijoitettu siten, että kaikki verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Active Node 11, which is programmed to read the DNS server 12 incoming messages are placed in such a way that all network traffic to the first subscriber line 10 passes through it. Tieto verkkoresurssi 20, kuten asiakas-host on yhteydessä tietoverkkoon tilaajaliittymän kautta. Data network resource 20, such as guest-host is connected to a data network via a subscriber interface. Hallintajäijestelmällä 23 tarkoitetaan operaattorin järjestelmää, 15 jonka avulla se tarjoaa tietoverkkoyhteyksiä asiakkaidensa tilaajaliittymien kautta kommunikoiville tietoverkkoresursseille. Hallintajäijestelmällä 23 refers to the system operator, 15 that allows it to offer its customers data network via the subscriber line to communicate in tietoverkkoresursseille. DNS-nimet 24 voivat olla mitä tahansa DNS-nimiä. DNS names 24 can be any DNS names. IP-osoitteet 25 ovat sellaisia IP-osoitteita, jotka ovat tallennettu DNS-järjestelmään vastaamaan DNS-nimiä 24. Käyttäjäprofiili 22 on operaattorin . IP addresses are 25 such IP addresses that are stored in the DNS system to respond to DNS names 24 User profile 22 is a carrier. hallintajärjestelmään tai hallintajärjestelmän 23 apujärjestelmänä toimivan erilliseen : 20 ohjausjärjestelmän saataville tallennettu määrittely tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. management system or operating management system 23 to a separate support system 20 stored in the system available to the definition of a particular data network to the customer or tietoverkkoresurssille offered services. Menetelmässä suoritetaan seuraavia ·.: numeroituja toimenpiteitä. The method involves the following .: · numbered steps. Vaihe 201 suoritetaan niiden DNS-osoitteiden rajaamiseksi, i ,,, 1 : i : joista tilaajaliittymään hyväksytään liikennettä ja/tai joihin tilaajaliittymästä annetaan : : : lähettää dataa. Step 201 is carried out to define the DNS addresses, ,,, i 1 i of which subscriber access is accepted traffic and / or a subscriber connection is given::: transmit data.

25 v : 201) Määritellään hallintajärjestelmässä 23 ainakin yhdelle tietylle • tietoverkkoresurssille, kuten asiakas-hostille sallitut DNS-nimet. 25 yrs: 201) to define the management system 23 at least one given • tietoverkkoresurssille, such as a client-hostille permitted DNS names. Määrittely voi tapahtua kokonaan tai osittain operaattorin tai asiakkaan toimesta, : staattisesti tai dynaamisesti tietoverkkoresurssin 20 ja hallintajärjestelmän 30 välisen tietoliikenneyhteyden aikana. The definition can take place wholly or partially by the operator or the customer: statically or dynamically during a communications link between the management system tietoverkkoresurssin 20 and 30. Nimet voivat olla fyysisesti tallennettuna mihin vaain, kunhan operaattorin hallintajärjestelmällä 23 on mahdollisuus ne hakea. Names can be physically stored in what vaain, as long as the operator's management system 23 will have the opportunity to apply for them. Tietoverkkoresurssikohtaisesti on tehty hallintajärjestelmän 23 9 109165 saataville tallennettu käyttäjäprofiili, jonka perusteella sallittujen DNS-nimien haku onnistuu. Tietoverkkoresurssikohtaisesti management system has been made available to 23 9 109165 stored in the user profile under which the permitted DNS names, the search is successful.

Vaiheet 202 - 205 suoritetaan tietyn käyttäjän tai päätelaitteen kohdentamiseksi 5 ensimmäiseen tilaajaliittymään 10, ja tiettyyn käyttäjään tai tiettyyn päätelaitteeseen kohdennettujen liikennerajoitusten määrittelemiseksi tiettyä liittymää valvovalle aktiivisolmulle 11. Näissä vaiheissa määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön, DNS-nimien 24, perusteella haetaan tilaajaliittymäkohtaisen middlewaretason nimistön yhden tai useamman nimen sellainen 10 verkkotason vastine, IP-osoitteet 25, jonka voimassaolo varmennetaan nimipalvelin]äijestelmän vastausviestin avulla, ja määritellään näistä kukin kielletyksi ja/tai sallituksi osoitteeksi siten, että kiellettyjen middleware-tason nimien verkkotason vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi 15 verkkotason osoitteiksi seurantajärj estelmään. Steps 202 - 205 is performed for a particular user or terminal to target the 5 first subscriber connection 10 and to a specific user or a specific terminal for determining the targeted traffic restrictions specified monitored on a aktiivisolmulle local loop current 11 defined in these stages middleware non-proprietary name, the DNS name 24, based on the retrieved subscriber interface-specific middleware nomenclature in one or more of by a 10-mesh level of response, the IP address 25, the validity of which is verified name server] äijestelmän response message, and sets each for prohibited and / or permitted address in such a way that the prohibited middleware the names of the network-level equivalents are defined as forbidden addresses the network-level and / or permitted middleware names network-level responses are defined, respectively, as allowed 15 network-level addresses to the system, seurantajärj.

202) Rekisteröidään tietoverkkoresurssi 20, kuten asiakas-host tilaajaliittymän 10 kautta muodostetulle tietoliikenneyhteydelle käyttäjäprofiililla 22 ja toimitetaan tieto rekisteröitymisestä hallintajäijestelmälle 23. 202) for registering the computer network resource 20, such as guest-host subscriber interface via the communication link 10 formed by profiles 22 and are provided with information for registering hallintajäijestelmälle 23.

: ;·; :; ·; 20 »Il · 203) Lähetetään hallintajärjestelmältä 23 tiedustelelu DNS-järjestelmälle, esim : ·. 20 »Il · 203) Sending management system 23 tiedustelelu DNS system, for example: ·. i DNS-palvelimelta 12, joka koskee niitä DNS-nimiä 24 vastaavia IP-osoitteita ' : 25, joista ja/tai joihin hyväksytään liikennettä tietyllä käyttäjäprofiililla 22 ,: · identifioituun liittymään, tässä tapauksessa tilaajaliittymään 10. i DNS server 12, which of the DNS names 24 corresponding IP addresses "25, of which and / or to which traffic is accepted with a specific user profile 22, · to the identified interface, in this case, the subscriber interface 10.

25 , * · 204) Vastaanotetaan hallintajärjestelmässä 23 DNS-järjestelmältä DNS-nimiä 24 . 25, * · 204) is received from the management system 23 DNS DNS names from the system 24. * * sekä niitä vastaavia IP-osoitteita 25 ja DNS-nimien 24 ja niitä vastaavien IP- : : : osoitteiden 25 välisten sidosten voimassaoloaikoja koskeva vastausviesti tai t 11 !vastausviestejä. * * As well as their corresponding IP addresses are 25 and 24 DNS names and their corresponding IP::: 25 bonds between the periods of validity of the reply message, or reply to messages t 11 addresses.

30 ' ·, j 205) Vastaanotetaan aktiivisolmussa 11 DNS-järjestelmästä saadut 1 IP-osoitteet 25 hallintajärjestelmältä 23, sekä IP-osoitteiden voimassaoloajat ja talletetaan IP- 10 109165 osoitteet 25 voimassaoloaikoineen vastinpareiksi sallituiksi osoitteiksi estolistalle aktiivisolmuun 11. 30 '· j 205) is received from one active node IP addresses from the DNS system 11, 25 from the management system 23, and the terms of validity of the IP address and storing the IP addresses of 10 109 165 25 validity are antipodes is as permitted addresses in the block list 11 active node.

Jatkossa ohjataan hallintajärjestelmällä DNS-nimiin 23 sidottujen kulloinkin voimassa 5 olevien IP-osoitteiden ja niiden voimassaoloaikojen tiedustelemista DNS-järjestelmältä ja toimittamista aktiivisoImulle 11. Käytetään tiedustelun herätteenä aikaisemmin nimipalvelinjäijestelmältä vastaanotettujen tarkasteltavien IP-osoitteiden 25 voimassaoloaikoja tai niistä rajoitettuja voimassaoloaikoja. In the future, is controlled by control system DNS names 23 assigned inquiring whether each of the five valid IP addresses, and their validity periods DNS system and the transmission of the inquiry aktiivisoImulle 11. Used excitation nimipalvelinjäijestelmältä previously received under consideration IP addresses or 25 periods of limited validity. Lähetetään kutakin DNS-nimeä 23 koskeva DNS-tiedustelu ennen kunkin DNS-nimeen 23 sidotun 10 voimassaoloajan loppumista. Sending each of the DNS name 23 DNS inquiry before each DNS name of 10 the duration of 23 tied the end. Poistetaan IP-osoitteita 25 aktiivisolmun sallituista IP-osoitteista muodostuvalta estolistalta käyttäen ohjausherätteenä näiden voimassaoloaikana, siten että kukin IP-osoite poistetaan estolistasta viimeistään voimassaoloajan loputtua. IP addresses are deleted are made up of 25 active node of authorized IP addresses, blocking list using the steering input of the validity period, such that each IP address is deleted block list by the end of the period of validity.

15 Menetelmän vaiheissa 206 - 207 aktiivisolmu vastaanottaa tietopaketin ja pysäyttää sen etenemisen tarvittaessa. 15 The method steps 206 - 207 of the active node receives the information and stops its advancement if necessary. Nämä vaiheet voidaan suorittaa myös ennen vaiheita 204 - 205, mutta tällöin viestillä ei ole läpäisymahdollisuuksia. These steps may also be performed prior to steps 204 - 205, but this is not a message transmission opportunities.

206) Vastaanotetaan tilaajaliittymästä 10 tuleva tarkistettavaan IP-osoitteeseen 20 suunnattu tai tilaajaliittymää 10 kohti saapuva tarkistettavasta IP-osoitteesta lähetetty kolmas viesti aktiivisolmussa 11 ja tarkistetaan aktiivisolmun 11 ; 206) is received from a subscriber connection from the active node 10 11 20 Target scanned IP address or a subscriber interface 10 of an incoming adjusted sent to the IP address of the third message activated at the node 11 and the checked; * *. * *. logiikalla kuuluuko tarkistettava IP-osoite 26 voimassa oleviin sallittuihin IP- | logic to check whether the IP address of the 26 in force in the allowed IP | » · tt · !,, ' osoitteisiin aktiivisolmussa 11 olevalla estolistalla. »· · Tt! ,," addresses the active node of the 11 on the blocking list.

t · * tt * * * * 25 207) Lähetetään (207a) kolmas viesti eteenpäin tietoverkkoon kohti kolmannessa ; · t * tt * * * * 25 207), sending (207a) the third message to forward the data from the third network; ·, viestissä määriteltyä kohdetta tai tilaajaliittymää 10, jos tarkistettava IP-osoite < t · ;kuuluu voimassa oleviin sallittuihin osoitteisiin aktiivisolmussa 11. Muuten • · ;, pysäytetään kolmas viesti aktiivisolmuun 11. ·, Items or subscriber interface specified in the message 10, if you check the IP address of the <t ·; includes existing addresses are permitted by the active node 11. Otherwise, • ·;, stop the third message the active node 11.

» I »I

» · I t 1' 30 Käytettäessä laajaa DNS-nimistöä tilaajaliittymäkohtaisessa middiewaretason II · ; "· I t 1 '30 using the wide DNS nomenclature tilaajaliittymäkohtaisessa middiewaretason II ·; : estolistassa tilaajaliittymästä 10 vastaanotettavaan liikenteeseen voidaan soveltaa • i * '· ensimmäistä suoritusesimerkkiä, jolloin aktiivisolmuun 11 ei tarvitse konfiguroida kaikkia tilaajaliittymäkohtaisen middiewaretason estolistan vastine-IP-osoitteita, vaan 11 109165 dynaamisesti ainoastaan ne, joihin päätelaite tekee aktiivisolmun 11 kautta DNS-kyselyjä, ja joiden kyselyiden vasteena lähetetyn nimipalvelinjäijestelmän vastausviestin sisältämät tiedot katsotaan tilaajaliittymäkohtaisen middlewaretason estolistan perusteella aiheellisiksi tallentaa aktiivisolmuun 11. Inhibition list of the subscriber interface 10 to the received transport can be applied • i * '· the first exemplary embodiment, wherein the active node 11 does not have to configure all of the local loop specific middiewaretason block list of the counterpart IP address, but 11 109 165 dynamically only those to which the terminal makes active node 11 via DNS queries, and The information contained in nimipalvelinjäijestelmän transmitted in response to queries, the response message shall be considered on the basis of the subscriber-specific access middleware block list appropriate to store the active node 11.

5 5

Laajoja tietoverkosta aktiivisolmun 11 kautta tulevan ja tilaajaliittymään 10 kohdennetun liikenteen lähteenä olevien tietoverkkoresurssien DNS-nimistöjä pystytään valvomaan seuraavissa vaiheissa 208 - 210 esitetyllä tavalla. Extensive data network 11 through the finish of the active node and the subscriber interface 10 of targeted traffic source data network resources DNS nomenclatures were unable to control in the following steps 208 - 210 as shown. Esitetyllä tavalla pystytään valvomaan myös tilaajaliittymän 10 kautta tietoverkkoon lähtevän liikenteen 10 kohteena olevien tietoverkkoresurssien DNS-nimiä. As shown, capable of monitoring the subscriber line 10 via the data network resources 10 in the outgoing data traffic to the network DNS names. Näissä vaiheissa vastaanotetaan j seurantajäijestelmässä tietoverkkoresurssille 20 kohdennettu tai tilaajaliittymästä tuleva tietty tietopaketti, ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltava verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason nimi, i tarkistetaan operaattorin jäijestelmässä kuuluuko tietty middlewaretason nimi 15 tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja määritellään tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. These stages are received j a data packet seurantajäijestelmässä targeted to or from the subscriber connection tietoverkkoresurssille 20, and is applied nimipalvelinjäijestelmältä certain information be considered the source network-level and / or the destination address is a middleware name i is checked operator jäijestelmässä a particular middleware name 15 tilaajaliittymäkohtaiseen middleware nomenclature and defining the considered network-level source, / or destination address as allowed or prohibited by the monitoring system in response to the address given by the definition of middleware or undetermined tilaajaliittymäkohtaisessa middleware nomenclature. Vaihetta 205 ei tarvitse välttämättä suorittaa suoritettaessa vaiheet 208 - 210 ja vaiheet , . Step 205 does not necessarily have to be carried out performing the steps 208 - 210 and steps. ·. ·. 20 206-207 voidaan suorittaa ennen vaiheita 208 - 210 ja/tai näiden vaiheiden jälkeen. 20 206-207 may be performed prior to steps 208 - 210, and / or after these steps.

. . · · 208) Vastaanotetaan aktiivisolmussa 11 tietopakettin, jolla on entuudestaan : aktiivisolmulle 11 tallennetulle verkkotason estolistalle määrittelemätön :' · ': 25 tarkistettava IP-lähde- ja/tai kohdeosoite. · 208) is received from the active Node Information pack 11, which is previously: aktiivisolmulle 11 stored in the network-level block list unspecified '·' 25 check the IP source and / or destination address.

: : : 209) Vasteena vastaanotetulle tarkistettavalle IP-osoitteelle tehdään ns. ::: 209) In response to the received IP address for review are carried out. reverse- I * » v < DNS kysely, eli. I reverse * »v <DNS query, ie. tiedustellaan aktiivisolmun 11 logiikalla tai aktiivisolmun _ ohjauksen perusteella muodostetulla DNS-järjestelmälle, esim DNS- 30 palvelimelle 12, suunnatulla tiedusteluviestillä IP-osoitetta vastaavaa DNS- » · * nimeä. asked 11 active node logic or active node _ on the basis of the established DNS control system, for example, the DNS server 30 12, directed an inquiry message to the IP address corresponding to the DNS »· * name.

a ( · > · » · » · a (·> · »·» ·

• · I • · I

• · 12 109165 210) Vastaanotetaan DNS-jäijestelmän vastausviesti hallintajärjestelmässä 23 ja/tai aktiivisolmussa 11. Tarkistetaan löytyykö tarkistettavaa IP-osoitetta vastaava DNS-nimi sallittujen DNS-nimien listalta, joka voi sijaita hallintajärjestelmässä 23, hallintajärjestelmän 23 saatavilla tai aktiivisolmussa 11 tapauksesta 5 riippuen. • · 12 109165 210) Receiving DNS jäijestelmän reply message to the management system 23 and / or the active node 11. Checking were found in the revised corresponding IP address of the DNS name of the authorized DNS names from the list, which may be located in the management system 23, the management system 23 available, or the active node of the 11 cases 5, depending on the . Jos DNS-nimi löytyy sallittujen DNS-nimien listalta, ohjataan aktiivisolmu 11 sallimaan liikenne tarkistettavaan IP-osoitteeseen maksimissaan DNS-jäijestelmän tarkistettavaa IP-osoitetta koskevan vastausviestin sisältämän tarkistettavaan IP-osoitteeseen viittaavan TTL-kentän l mukaiseksi määräajaksi. If the DNS name can be found in the permitted DNS names from the list, is controlled by the active node 11 to allow traffic to be reviewed by the IP address of the DNS-up jäijestelmän contained in the revised scanned on the IP address of the reply message to indicate the IP address of the TTL field l comply with a fixed period.

10 10

Vaiheessa 210 konfigurointipäivityksen nopeus on tärkeää, jos ko. At step 210 konfigurointipäivityksen speed is important, if the question. paketit halutaan päästää kohteeseen ennen reverse-kyselyn vastauksen saapumista, toisin sanoen tarkistamatta. packages to be released prior to reverse the arrival answer to the questionnaire, that is, without checking. Erityisesti tällöin tulee kyseeseen tilaajaliittymäkohtainen DNS-tiedustelujen käsittelytaajuuden rajoittaminen liikennemuokkaimen avulla. In particular, the case will be considered in the local loop specific restriction on the DNS query processing frequency liikennemuokkaimen means. Lyhyen 15 purskeen pääseminen tilaajaliittymään ei kuitenkaan ole yhtä vaarallista kuin verkon tukkeutuminen esim. ''denial of service”-hyökkäyksessä. A short burst of 15 Accessing the subscriber connection is not as dangerous as the network is clogged, for example. '' Denial of service 'attacks. Lisäksi tarkastamattomuuden haittavaikutuksia voidaan vähentää rajoitttamalla vielä tarkistamattomista osoitteista saapuvan tai tarkastamattomiin osoitteisiin kohdennetun liikenteen volyymia. In addition, the side effects can be reduced tarkastamattomuuden rajoitttamalla volume still check the addresses of the incoming missed or check the addresses in non-targeted traffic. Tämä voidaan toteuttaa ohjaamalla se esim. omaan Token-Bucket-jonoonsa. This can be accomplished by directing it to eg. Your Token-Bucket-jonoonsa. Tarkistuksen , , *. Amendment, *. 20 tapahduttua ko. 20 occurs in question. liikenteen voluumirajoitusta voidaan sitten muuttaa. voluumirajoitusta traffic can then be changed.

;' ; ' '': Keksintöä voidaan soveltaa myös niin, että ylläpidetään hallintajärjestelmässä 23 ja/tai :' ·,: aktiivisolmussa 11 sallittujen DNS-nimien listan lisäksi tai sen vaihtoehtona kiellettyjen :' Γ: DNS-nimien listaa ja ohj ataan liikennettä sen mukaisesti. '' The invention can also be applied so as to maintain the management system 23 and / or: '· ,: active node 11 in addition to the permitted DNS names in a list or as an alternative use is prohibited:' Γ: DNS names list and dir ATA simultaneously traffic accordingly.

:T: 25 T: 25

Keksintöä voidaan myös soveltaa siten, että aktiivisolmulle 11 syötetään v : tilaajaliittymäkohtainen middlewaretason estolista, kuten sallitut DNS-nimet ja . The invention can also be applied in such a way that aktiivisolmulle 11 is fed in the subscriber-specific access middleware block list as allowed and DNS names. · huolehditaan aktiivisolmun 11 logiikalla estolistan nimiä vastaavien IP-osoitteiden ja estolistan nimien välisten voimassaoloaikojen, käytännössä TTL-kenttien tiedustelusta 30 DNS-järjestelmältä aikaisemmin vastaanotettuihin voimassaoloaikoihin sidotun ohjauksen perusteella 13 109165 · Provide for the active node logic block list of 11 names between the periods of validity of the corresponding IP address and the block list of names, in practice intelligence TTL fields 30 DNS system previously based on net received in the validity time control 13 109 165

Keksinnön mukaista menetelmää voidaan soveltaa siten, että asetetaan verkkotason estolistamäärittelyt middlewaretason vastinnimille tehtyjen estolistamäärittelyjen mukaisesti koskemaan tiettyjä tietopaketin verkkotason lähde- ja kohdeosoitteiden yhdistelmiä, joissa on ainakin yksi verkkotason lähde- tai kohdeosoite myös 5 tapauksessa, jossa vastaanotetulla tietopaketilla on useita lähde- ja/tai kohdeosoitteita. The inventive method according to the can be applied by setting a network-level block list of definitions for according to the block list of definitions made in the middleware vastinnimille to certain information on the network-level combination of source and destination addresses, which have at least one network-level source or destination address to 5 in the case where the received data packet has a plurality of source and / or destination addresses, .

Tällöin saadaan estettyä tietopaketin eteneminen tälle määritellyn kulkureitin perusteella. In this case, can be prevented based on the information on the progress of this specified path.

Eräs toinen mahdollinen keksinnön sovellus on jonkin estolistamäärittelyn perusteella 10 pysäytettäväksi tuomittavan viestin ohjaaminen poikkeusreitille siten, että kyseisen viestin pääsy kohdeosoitteeseensa estyy, vaikka sitä ei pysäytettäisikään seurantaj ärj estelmään. Another possible application of the invention is to guide the basis of a block list specification 10 of unacceptable exception route the message to be stopped so that the message kohdeosoitteeseensa access is prevented, even if it does not hold up Breadcrumb communications system.

Keksinnön mukaisessa menetelmässä voidaan käyttää Secure-DNS:n tarjoamia 15 mahdollisuuksia sen valvomiseksi, että DNS-jäqestelmälle lähetetyt tiedustelut on todellakin lähettänyt tietoverkkoresurssi, jonka lähettämien tiedustelujen mukaisesti estolistamäärittelyjä halutaan tehdä ja että nimipalvelinjärjestelmän vastausviestit ovat näihin tiedustelujen lähetettyjä vastauksia. the method according to the invention can be used in the Secure DNS provided 15 opportunities to control the inquiries sent to the DNS jäqestelmälle is actually sent data network resource in accordance with the inquiries to the block list of definitions is to be made and the name server system, the reply messages are sent to these answers to inquiries.

: 20 Seuraavassa on selitetty mitä eräillä käsitteillä on tässä hakemuksessa ja erityisesti i,: : patenttivaatimuksissa tarkoitettu. 20 In the following is described what some of the terms in this application, and in particular ,: i within the meaning of the claims.

. . . . : Seurantajärjestelmä on tietoliikenneverkkoon asiakasliittymän operaattorirajapinnan | : Follow-up to the communication network is a client interface operator interface | ; ; operaattorin puolelle kytketty laitteisto, jonka läpi ohjataan tietoliikenneverkossa kulkevaa liikennettä. the operator side of the apparatus connected through a communication network controlled by passing traffic. Seurantajärjestelmä on ohjelmoitava aktiivisolmu, palvelin tai 25 muu tietoverkkoelementti tai tietoverkkoon liitetty järjestelmä, joka kykenee lukemaan : : siihen saapuvien tietopakettien sisältämiä verkkotason lähde-ja/tai kohdeosoitetietoja ja : : vertailemaan saapuvien tietopakettien osoitetietoja seurantajärjestelmään tallennettuihin :·. Follow-up is a programmable active node, server, or 25 other data network element or a data network connected to a system able to read: contained in the incoming packets from the network level to the source and / or destination address, and: to compare the incoming data packets to the address monitoring system stored ·. verkkotason osoitetietoihin sekä vertailun perusteella lähettämään vastaanotetun tietopaketin seurantajärjestelmästä eteenpäin, tai pysäyttämään vastaanotetun '30 tietopaketin etenemisen seurantajärjestelmään. based on the network layer address information, and transmit the comparison of the received information monitoring system forward, or stop a received data packet '30 progression monitoring system. Seurantajärjestelmällä voidaan myös •. The monitoring system can also be •. : tarkoittaa em.määrittelyn mukaista järjestelmää, johon on tallennettu middleware-tason nimiä Tällainen järjestelmä kykenee lähettämään tiettyä verkkotason osoitetietoa 14 109165 koskevan reverse-DNS-tiedustelun nimipalvelinjärjestelmälle tai operaattorin hallintajärjestelmälle, ja vastaanottamaan tiettyä verkkotason osoitetietoa vastaavan tietyn middlewaretason nimitiedon sekä vertailemaan tiettyä middleware-tason nimitietoa seurantajärjestelmän sisältämään tai seurantajärjestelmän saatavilla olevaan 5 tilaajaliittymäkohtaiseen nimistöön, joka sisältää ainakin yhden tilaajaliittymälle sallitun ja/tai kielletyn middlewaretason nimen. : Relates to a system according to em.määrittelyn, which is stored in the middleware names Such a system is capable of transmitting a specific network-layer address information 14 of the 109 165 a reverse DNS query for the name of the server system or the operator's management system, and to receive a particular network layer address information corresponding to a particular middleware name information, and to compare a particular middleware name information or the monitoring system to include a system of monitoring the available 5 tilaajaliittymäkohtaiseen nomenclature containing permitted and / or prohibited by at least one subscriber connection by the middleware. Vasteena tietyn middlewaretason nimen vertailulle tilaajaliittymäkohtaiseen osoitteistoon seurantajärjestelmään voidaan tallentaa tietty verkkotason osoite, ja estää tiettystä verkkotason lähdeosoitteesta tulevan tai tiettyyn verkkotason kohdeosoitteeseen menevän tai tiettyjen osoitteiden mukaista 10 reittiä menevän liikenteen pääsy kohteeseensa. In response to a specific middleware by comparing the address book tilaajaliittymäkohtaiseen tracking system can be stored on a network-level address, and block access to tiettystä network-level source from the future, or to a specific network-level target to fly 10 routes, or according to certain addresses in outgoing traffic from the target. Seurantajärjestelmä voidaan myös toteuttaa operaattorin hallintajärjestelmän ohjelmistollisena osana. Follow-up arrangements can also be implemented in software as part of the operator's management.

Käyttäjäprofiili on operaattorin hallintajärjestelmään tai hallintajärjestelmän apujärjestelmänä toimivaan erilliseen ohjausjärjestelmän saataville tallennettu 15 määrittelyä tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. User profile has been operating in the operator's management system, or a separate management support system available to the control system 15 stored in the definition of a particular computer network to the customer or tietoverkkoresurssille offered services. Käyttäjäprofiili voi sisältää tiedon siitä miltä kaikilta middlewaretasolla nimetyiltä tietoverkkoresursseilta tiettyyn tilaajaliittymään tuleva tiettyyn i tilaajaliittymään kohdennettu ja/tai mille kaikille middlewaretasolla nimettyille tietoverkkoresursseille kohdennettu tietystä tilaajaliittymästä vastaanotettu liikenne . The user profile may contain information from all of the middleware designated tietoverkkoresursseilta a particular subscriber line from the subscriber connection to a specific I targeted and / or to a particular subscriber connection to the middleware targeted designated through tietoverkkoresursseille the received traffic. .·. . ·. 20 tulee estää. 20 must be prevented.

! ! · · · i : j :Nimi on tietoliikennejärjestelmissä esiintyvä symbolinen tunnus esim. URN(Uniform :' ·.: Resource Name), jolla ei ole mitään lokaatioriippuvaa osaa. · · · I: j: Name is present in communication systems, for example, a symbolic name URN (Uniform '· .: Resource Name)., Which does not have any lokaatioriippuvaa parts. Nimellä tarkoitetaan tässä : : : myös esim. DNS-host-nimeä, joka on yhtäältä lokaation nimi, koska host on abstraktien ' 4' : 25 resurssien karmalta lokaatio, mutta jota toisaalta tarvitaan verkkotason osoitteesta, esim. By name is here:::. Also for example, the DNS host name, a location of a first name because the host is an abstract ', 4': 25 karmalta a location of resources, but which on the one hand is required at the network level, e.g.

IP-osoittesta, riippumattomaan nimeämiseen. IP osoittesta, independent nomination.

,* · Nimipalvelimella ja nimipalvelinjärjestelmällä tarkoitetaan järjestelmää, joka osaa tietyn middlewaretason nimen saatuaan määrittää tähän middlewaretason nimeen ; * · Name server and the name server system is a system that is able to name a specific middleware after specify this in the name of the middleware; : 30 sidotut tiedot. : 30 bound information. Sidotut tiedot voivat esim. koskea tietyn middlewaretason nimen verkkotason vastinetta ja tietyn middlewaretason nimen ja sen verkkotason vastineen . Bound data can eg. To touch a certain level of network middleware name and value for a specific middleware name and its network-level value. '. '. : välistä voimassaoloaikaa. The period of validity between.

15 109165 15 109165

Resurssilla ja tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen kytkettyä host:ia, tietoverkossa ajettavaa sovellusohjelmaa ja/tai sen instanssia. Tietoverkkoresurssilla and resource means connected to the data network subscriber interface, connected to the host: ia, executable application program on a computer network and / or to the body.

5 Verkkotason vastineella tarkoitetaan tiettyä middlewaretason nimeä tietyllä hetkellä vastaavaa verkkotason osoitetta toisin sanoen tietyllä middlewaretason nimellä nimetty tietoverkkoresurssi on tietyllä hetkellä löydettävissä verkkotason osoitteesta, jota tässä hakemuksessa ja erityisesti patenttivaatimuksissa nimitetään verkkotason vastineeksi. 5 Network Level value means the name of a particular middleware at a given moment in other words, the level of the corresponding network address of a specific designated at the middleware computer network resource at a given moment found at the network level, which in this application and particularly in the claims called network level in return.

j 10 Estolistalta poistamisella tarkoitetaan poistamisen kohteen inaktivointia, jonka jälkeen | j 10-blocked removal means removal of the near inactivation, followed by | se ei enää ole tietoliikenteen rajoittamista ohjaava määrittely estolistalla. it is no longer controlling the restriction of communications defining the blocking list.

j j

Tiedustelun generoinnilla tarkoitetaan tiedusteluviestin tai viestien sisältökenttien luomista generoivan jäqestelmän logiikalla. The generation of an inquiry refers to the creation of an inquiry message or message content fields generating jäqestelmän logic.

15 Verkkotason osoitteen ja sen middlewaretason vastinnimen välisellä sidoksella, ja midlewaretason nimen ja sen verkkotason vastineosoitteen välisellä sidoksella tarkoitetaan nimipalvelinjäijestelmään tallennettua määrittelyä, joka liittää tietyn middlewaretason nimen tiettyyn verkkotason osoitteeseen. means a bond between the 15-level network address, and the bond between the middleware vastinnimen, and midlewaretason name and the network address nimipalvelinjäijestelmään level value stored in the specification, which associates a particular middleware by a particular network level address.

: 20 : 20

Claims (17)

16 109165 16 109165
1. Menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, jossa ! 1. A method for controlling computer network traffic, which prevents access to the information kohdeosoitteeseensa information on the basis of the source or destination address, wherein! 5 ij - määritellään (205) ainakin yksi sallittu ja/tai kielletty verkkotason lähde- ja/tai kohdeosoite verkkotason estolistaksi, - ohjataan (206) tilaajaliittymään (10) kohdennettu tai tilaajaliittymästä (10) tuleva tietopaketti operaattorin jäijestelmään kuuluvan automaattisen seurantajäijestelmän 10 (11) läpi, ja - estetään (207) tietopaketin eteneminen kohdeosoitteeseensa vasteena ainakin yhden estolistassa määritellyn verkkotason lähde ja/tai kohdeosoitteen vertailulle ainakin yhteen tietopaketin lähde ja/tai kohdeosoitteeseen, 15 tunnettu siitä, että käytetään aikaisemmin määriteltyä middleware-tason nimistöä, rajataan (201) aikaisemmin määritellystä middleware-tason nimistöstä 20 tilaajaliittymäkohtainen middleware-tason nimistö, joka sisältää ainakin yhden ,·. 5 ij - defining (205) at least one permitted and / or forbidden network-level source and / or destination address of your block list of the net, - controlling (206) to the subscriber interface (10) directed or subscriber interface (10) from the data packet carrier jäijestelmään of the automatic seurantajäijestelmän 10 (11) through, and - preventing (207) information on the progress of the kohdeosoitteeseensa in response to at least one network-level specified blocking list source and / or destination address, comparing the at least one information source and / or destination address 15, characterized in that a nomenclature middleware level previously defined, limited to the (201) previously defined middleware level of names 20 in the local loop specific middleware level of nomenclature, which contains at least one, ·. sallitun ja/tai kielletyn middleware-tason lähde- ja/tai kohdenimen ja tallennetaan . permitted and / or forbidden middleware-level source and / or destination name and be saved. ·. ·. se operaattorin järjestelmän saataville ainakin siltä osin kun se ei ole jo operaattorin ; it is available to the system operator at least in so far as it is not already the operator; ; ; jäij estelmän saataville tallennettu, määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella 25 määritellään (205) ainakin yhden tilaajaliittymäkohtaisen middlewaretason nimistön nimen ainakin yksi verkkotason vastine kielletyksi tai sallituksi osoitteeksi siten että kunkin kielletyn middleware-tason nimen ainakin yksi verkkotason vastine määritellään kielletyksi verkkotason osoitteiksi ja kunkin sallitun middlewaretason nimen verkkotason vastine määritellään vastaavasti sallituksi 30 verkkotason osoitteeksi seurantajäijestelmään verkkotason estolistalle, ja poistetaan seurantajärjestelmässä olevien tilaajaliittymäkohtaisen estolistan middlewaretason nimistön nimien verkkotason vastineet seurantajärjestelmän 109 Ί 65 17 estolistalta automaattisesti viimeistään kunkin verkkotason vastineen ja sen tietyn middlewaretason vastineen välisen sidoksen viimeisenä voimassaolohetkenä. jäij system In accessible recorded, on the basis of the local loop specific defined middleware non-proprietary 25 are defined (205) at least one local loop specific middleware non-proprietary name of at least one network-level value or allow the address so that each of the forbidden middleware by at least one network-level value defined forbidden network-level addresses, and each allowed middleware Name network-level value are defined as allowable 30 network level address seurantajäijestelmään network-level block list, and the deletion of the monitoring system of the local loop current block list of middleware non-proprietary names of the network-level equivalents monitoring system 109 Ί 65 17-blocked automatically by the last of the bond between each of the network-level response and given the middleware response duration of time.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että 5. vastaanotetaan (208) seurantajäijestelmässä tilaajaliittymään kohdennettu tai tilaajaliittymästä lähetetty tietty tietopaketti ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltavaa verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason vastinnimi, - tarkistetaan (209) operaattorin järjestelmässä kuuluuko tietty middlewaretason 10 vastinnimi tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja - määritellään (209) tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen : määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. 2. The method according to claim 1, characterized in that the 5th receiving (208) seurantajäijestelmässä subscriber access a targeted or subscriber interface transmitted a data packet and retrieving nimipalvelinjäijestelmältä specific information on the considered source network-level and / or the destination address is a middleware vastinnimi, - checking (209) for the operator system belongs a middleware 10 vastinnimi tilaajaliittymäkohtaiseen middleware nomenclature, and - determining (209) considering the source and / or destination address of the network-level allowed or prohibited by the monitoring system in response to the address given by the middleware: defining or undetermined tilaajaliittymäkohtaisessa middleware nomenclature. 15 15
3. Jonkin patenttivaatimuksen 1-2 mukainen menetelmä, tunnettu siitä, että - määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella haetaan (203 - 204) tilaajaliittymäkohtaisen middlewaretason nimistön ainakin yhden nimen sellainen verkkotason vastine, jonka voimassaoloaika saadaan , ,·. 3. A process according to any one of claims 1-2, characterized in that - based on the subscriber-specific access middleware defined non-proprietary name is requested (203 - 204) to the subscriber-specific access middleware at least one non-proprietary name of a network-level value, the validity of which is obtained, ·. 20 nimipalvelinjärjestelmältä kutakin nimeä koskevasta nimipalvelinjäijestelmän : vastausviestistä ja määritellään (205) näistä verkkotason vastineista kukin kielletyksi ja/tai sallituksi osoitteeksi siten että kiellettyjen middlewaretason nimien verkkotason ·,· vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen . 20 nimipalvelinjärjestelmältä for each name nimipalvelinjäijestelmän the response message and determining (205) of the network-level value for each forbidden and / or permitted address in such a way that the middleware names of prohibited networks layer · · equivalents are defined as forbidden addresses and / or the permitted network level. middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi Γ: 25 verkkotason osoitteiksi seurantajärjestelmään. middleware names of the network-level responses are defined, respectively, as allowed Γ: 25 addresses the network-level monitoring system.
4. Jonkin patenttivaatimuksen 1-3 mukainen menetelmä tunnettu siitä, että haetaan • estolistalle määriteltävä verkkotason vastine (203 - 204) nimipalvelinjärjestelmältä ' lähettämällä ainakin yhtä tilaajaliittymäkohtaisen middlewaretason nimistön nimeä 30 koskeva operaattorinjärjestelmän generoima nimipalvelinjärjestelmälle suunnattu tiedustelu ja tallentamalla kutakin tiedusteltua middlewaretason nimeä koskevissa . 4. The method according to any of claims 1-3 characterized in that the sought • define the block list with a network-level value (203 - 204) nimipalvelinjärjestelmältä 'sending at least one subscriber connection-specific middleware non-proprietary name of the operator system generated for 30 directed to the name server system intelligence and storing each of the inquired about on the middleware name. 1: vastausviesteissä. 1: Response messages. 18 109165 18 109165
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että ainakin yksi operaattorin järjestelmässä generoitava tiedustelu generoidaan seurantajärjestelmässä. 5. The method of claim 4, characterized in that at least one carrier generated in the system inquiry is generated by the monitoring system.
5. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä tunnettu siitä, että aikaisemmin määritelty middlewaretason nimistö koostuu niistä kaikista middleware-tason nimistä, joille tietty rumipalvelinj ärjestelmä tai tietyt nimipalvelin]ärjestelmät kykenevät suorittamaan resoluution, ja että tilaajaliittymäkohtainen middlewaretason nimistö käsittää tietyyn tilaajaliittymälle välitettävälle tietopaketille sallitut ja/tai 10 kielletyt lähdeosoitteet ja/tai tietystä tilaajaliittymästä lähetettävälle tietopaketille | 5. any one of claims 1 - The method of claim 5 characterized in that the previously defined middleware nomenclature consists of all the middleware does for which a certain rumipalvelinj the System or certain name server] the System is capable of executing resolution, and that the subscriber interface-specific middleware nomenclature comprises a specified subscriber connection from the transmission data packet permitted, and / 10 or prohibited addresses of the source and / or a certain subscriber connection information packet to be transmitted | sallitut ja/tai kielletyt kohdeosoitteet. permitted and / or prohibited by the destination addresses. ii ii
7. Jonkin patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, että tietty tai tietyt nimipalvelinjärjestelmät kykenevät suorittamaan resoluution aikaisemmin 15 määritetylle middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö on koko se nimivaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietyt nimipalvelinj ärjestelmät kykenevät suorittamaan resoluution, mutta jonka nimiavaruuden yksittäisellä osoitteella ei välttämättä ole verkkotason vastinetta, ja jossa tilaajaliittymäkohtainen middlewaretason nimistö on ·. 7. The method according to any of claims 1-5, characterized in that the or some of the name server systems capable of carrying out the resolution in the past 15 defined middleware names, and having previously determined the middleware, the nomenclature throughout the nimivaruus, which includes syntax name space in which a certain or some nimipalvelinj the System capable of to make a resolution, but a name space with a single address may not be network-level value, and where the subscriber connection-specific middleware · The nomenclature is. 20 nimiavaruus, jolle tietty nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. 20 namespace to which a certain name server system is able to find the network-level counterparts. : ·, · 8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että -vastaanotetaan seurantajärjestelmässä tietyn tilaajaliittymäkohtaisen 25 middlewaretason nimistönavaruuden nimen verkkotason vastineen kertova tilaajaliittymään 10 kohdennettu nimipalvelinjärjestelmän vastausviesti, ja - vasteena vastausviestille määritellään vastausviestin mukainen verkkotason * vastine sallituksi osoitteeksi seurantajärjestelmän estolistalle. · · 8 to any one of claims 1 - to 7, characterized in that use information monitoring system of the particular subscriber connection per 25 middleware nimistönavaruuden by network-level response describing subscriber interface 10 allocated to the name server system, the response message, and - in response to the response message, the network defines the level of the response message * value permissible address of the monitoring block list . “ * 30 9. Jonkin patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, että tietty nimipalvelinj ärjestelmä on DNS-järjestelmä tai sen osa ja että verkkotason osoitteet ja verkkotason vastineet ovat IP-osoitteita ja middleware-tason osoitteet DNS -nimiä. "* 30 9 to one of the claims 1-8, characterized in that, the system is a nimipalvelinj DNS system or a part thereof, and that the addresses of the network-level and network-level responses are IP addresses, and middleware level of the DNS addresses of trade names. 19 109165 19 109165
10. Jonkin patenttivaatimuksen 1-9 mukainen menetelmä, tunnettu siitä, että käytetään seurantajäij estelmänä ohjelmoitavaa aktiivisolmua (11). 10. A method according to any one of claims 1-9, characterized in that a programmable communication system in seurantajäij active nodes (11).
11. Jonkin patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, että ohjataan tilaajaliittymästä nimipalvelinjäijestelmään suunnattuja viestejä 5 liikennemuokkaimeen, joka ohjaa viestit nimipalvelimeen siten, että nimipalvelimelle tilaajaliittymästä suunnattujen viestien määrä ei ylitä tiettyä raja-arvoa tietyssä ajassa. 11. A method according to any one of claims 1 to 10, characterized in that the subscriber connection is controlled nimipalvelinjäijestelmään directed messages liikennemuokkaimeen 5, which controls the user name to the server so that the number of messages directed to the server name of the subscriber connection does not exceed a certain threshold in a given period of time.
12. Jonkin patenttivaatimuksen 1-11 mukainen menetelmä, tunnettu siitä, että tilaajaliittymäkohtainen middlewaretason nimistö määritellään (201) tilaajaliittymään 10 sidotun käyttäjäprofiilin perusteella. 12. A method according to any one of claims 1 to 11, characterized in that the subscriber-specific access middleware, the nomenclature is defined (201) to the subscriber interface 10 on the basis of the bound user profile. : io : io
13. Jonkin patenttivaatimuksen 1-12 mukainen menetelmä, tunnettu siitä, että hyväksytään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa sallittu ja/tai estetään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa kielletty enintään nimipalvelinjäijestelmän 15 vastausviestissä ilmenneen verkkotason osoitteen ja sen tietyn middlewaretason vastinnimen välisen sidoksen voimassaoloajan ellei vastaanoteta uutta tiettyä verkkotason osoitetta koskevaa nimipalvelinjäijestelmän vastausviestiä, joka sisältää tiedon tietyn verkkotason osoitteen pidemmästä voimassaoloajasta. 13. A method according to any of claims 1-12, characterized in that the adopted traffic to a specific network level to a certain network level address is allowed and / or blocked traffic to a specific network level to a certain network level address being allowed between a maximum occurred nimipalvelinjäijestelmän 15 response message from the network level address and the particular middleware vastinnimen the term of the bond unless received in a given nimipalvelinjäijestelmän a new response message, which includes information of a particular network address level for a longer period of validity of the network-level addresses. ,·. ·. 20 14. Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että määritellään .··. 20 14. A method according to claim 13, characterized in that the defined. ··. voimassaoloaika maksimissaan tiettyyn verkkotason osoitteen ja sen tietyn . The period of validity up to address specific network-level and specific. . . : middlewaretason vastinnimen sitovan DNS-jäijestelmän vastausviestin TTL-kentässä i ; : Middleware vastinnimen binding jäijestelmän DNS response message to the TTL field i; > '; > '; ilmeneväksi ajaksi. that occurs in time.
15. Jonkin patenttivaatimuksen 1-14 mukainen menetelmä, tunnettu siitä, että : : käytetään herätteenä tiettyä middlewaretason nimeä koskevan tiedustelun ,·' · lähettämiseen nimipalvelinjäijestelmälle tietyn middlewaretason nimen ja tietyn ; 15. A method according to any one of claims 1 to 14, characterized in that: used as the stimulus of a particular middleware name of the inquiry, · '· sending nimipalvelinjäijestelmälle a certain name and a particular middleware; ': verkkotason vastineen välisen sidoksen jäljellä olevaa voimassaoloaikaa. ': The remainder of the bond between the network-level value for that period.
16. Jonkin patenttivaatimuksen 1-15 mukainen menetelmä, tunnettu siitä, että *. 1-15 16. A method according to any one of claims, characterized in that the *. : -vastaanotetaan(101)seurantajäijestelmässätilaajaliittymästä(10)lähetetty 20 109165 nimipalvelin) äijestelmään (12) suunnattu tiettyä middlewaretason nimeä koskeva tiedusteluja, - vasteena tiedustelulle verrataan tiettyä middlewaretason nimeä seurantajärjestelmään tallennettuun tilaajaliittymäkohtaiseen middlewaretason nimistöön ja estetään (102) 5 tiedustelun eteneminen nimipalvelin)äijestelmään. : Receiving (101) referred to seurantajäijestelmässätilaajaliittymästä (10) 20 109 165 name server) äijestelmään (12) directed to a particular middleware name of inquiries, - response to the inquiry is compared to a particular middleware name of the monitoring system stored tilaajaliittymäkohtaiseen middleware nomenclature and preventing (102) 5 query propagation name server) äijestelmään.
17. Jonkin patenttivaatimuksen 1-16 mukainen menetelmä, tunnettu siitä, että estetään ainakin yhden tietopaketin pääsy kohdeosoitteeseensa pysäyttämällä paketti seurantajärjestelmään vasteena sen ainakin yhdelle lähde ja/tai kohdeosoitteelle. 17. A method according to any one of claims 1 to 16, characterized in that the at least one data packet to prevent access to the packet kohdeosoitteeseensa stopping the monitoring system in response to the at least one source and / or destination address. 10 1 2i 109165 January 10 2i 109 165
FI992056A 1999-09-24 1999-09-24 A method for controlling computer network traffic FI109165B (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FI992056 1999-09-24
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling computer network traffic

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling computer network traffic
PCT/FI2000/000810 WO2001026284A1 (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network
AU72936/00A AU7293600A (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network

Publications (2)

Publication Number Publication Date
FI19992056A FI19992056A (en) 2001-03-24
FI109165B true FI109165B (en) 2002-05-31

Family

ID=8555349

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling computer network traffic

Country Status (3)

Country Link
AU (1) AU7293600A (en)
FI (1) FI109165B (en)
WO (1) WO2001026284A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266568A (en) 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer apparatus
US8239930B2 (en) 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
EP2093692A1 (en) * 2008-02-25 2009-08-26 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8762506B2 (en) 2010-12-30 2014-06-24 Verisign, Inc Method and system for partitioning recursive name servers

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE9702385L (en) * 1997-06-23 1998-12-24 Ericsson Telefon Ab L M Method and device in a data network
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6385644B1 (en) * 1997-09-26 2002-05-07 Mci Worldcom, Inc. Multi-threaded web based user inbox for report management
US6718387B1 (en) * 1997-12-10 2004-04-06 Sun Microsystems, Inc. Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel

Also Published As

Publication number Publication date
AU7293600A (en) 2001-05-10
FI19992056A (en) 2001-03-24
WO2001026284A1 (en) 2001-04-12
FI109165B1 (en)
FI992056A (en)

Similar Documents

Publication Publication Date Title
US7493389B2 (en) Methods and apparatus for redirecting network cache traffic
US8576881B2 (en) Transparent provisioning of services over a network
US5563878A (en) Transaction message routing in digital communication networks
US6240461B1 (en) Methods and apparatus for caching network data traffic
RU2216881C2 (en) Roaming method and relevant device
US8006296B2 (en) Method and system for transmitting information across a firewall
JP3492920B2 (en) Packet verification method
EP1692840B1 (en) Method and apparatus for providing network security using security labeling
US6141749A (en) Methods and apparatus for a computer network firewall with stateful packet filtering
US7830886B2 (en) Router and SIP server
US7131141B1 (en) Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network
US7586871B2 (en) Platform and method for providing data services in a communication network
KR100261379B1 (en) Lightweight secure communication tunnelling over the internet
US7003555B1 (en) Apparatus and method for domain name resolution
JP3459183B2 (en) Packet verification method
US7610621B2 (en) System and method for behavior-based firewall modeling
US8713641B1 (en) Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7213071B2 (en) Quality of service improvements for network transactions
US7257817B2 (en) Virtual network with adaptive dispatcher
CA2182777C (en) Security system for interconnected computer networks
US6829654B1 (en) Apparatus and method for virtual edge placement of web sites
CN1902877B (en) Apparatus and method of controlling unsolicited traffic destined to wireless communication device
US8234409B2 (en) Intelligent network address translator and methods for network address translation
US6230271B1 (en) Dynamic policy-based apparatus for wide-range configurable network service authentication and access control using a fixed-path hardware configuration
JP4690480B2 (en) Firewall service providing method