FI109165B - Menetelmä tietoverkkoliikenteen ohjaamiseksi - Google Patents

Menetelmä tietoverkkoliikenteen ohjaamiseksi Download PDF

Info

Publication number
FI109165B
FI109165B FI992056A FI19992056A FI109165B FI 109165 B FI109165 B FI 109165B FI 992056 A FI992056 A FI 992056A FI 19992056 A FI19992056 A FI 19992056A FI 109165 B FI109165 B FI 109165B
Authority
FI
Finland
Prior art keywords
level
network
middleware
name
address
Prior art date
Application number
FI992056A
Other languages
English (en)
Swedish (sv)
Other versions
FI19992056A (fi
Inventor
Arto Juhola
Original Assignee
Elisa Comm Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Comm Oyj filed Critical Elisa Comm Oyj
Priority to FI992056A priority Critical patent/FI109165B/fi
Priority to PCT/FI2000/000810 priority patent/WO2001026284A1/en
Priority to AU72936/00A priority patent/AU7293600A/en
Publication of FI19992056A publication Critical patent/FI19992056A/fi
Application granted granted Critical
Publication of FI109165B publication Critical patent/FI109165B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

! ) : 109165
Menetelmä tieto verkkoliikenteen ohjaamiseksi
Keksinnön kohteena on patenttivaatimuksen 1 mukainen menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy 5 kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, ja jossa yhdistetään middleware-tason ja verkkotason sidoksia verkkotason liikenneohjaukseen.
Tietoliikenneverkoisssa kulkeva liikenne on jaettu hierarkiatasoihin. Tietyn hierarkiatason liikenne on läpinäkyvää toisten hierarkiatasojen elementeille. Tässä 10 hakemuksessa käsite middleware-taso vastaa tietoliikenteen hierarkiatasoja kuvaavan ISO:n (International Organization for Standardization) OSI-mallin (Open System Interconnection) kerroksia 4-7 eli kuljetus- (transport), yhteys- (session), esitystapa-(presentation) ja sovelluskerroksia (application layer). Middleware on ohjelmistoa, jolla toteutetaan ko. kerrosten toiminnallisuus.
i 15
Eräs middleware-tason protokolla on DNS, jonka mukaisesti Intemet-resursseille annetaan DNS-nimi, joka ei sisällä resurssin verkkotason sijaintitietoa. Viittaaminen resursseihin DNS-nimillä on tarpeen, koska esim. host-resurssien eli Intemettiin . .·. kytkettyjen tietokoneiden IP-osoitteet eivät ole enää staattisia, vaan vaihtuvat esim.
: 20 dynaamisten IP-osoitepäivitysten ja päätelaitteiden verkkosijaintien muutosten takia.
:'' ‘: Lisäksi, päätelaitteiden käyttäjät eivät Intemet-suositusten mukaan saa käyttää suoraan IP-osoitteita, vaan aina DNS-nimiä. Tietoverkkoresursseja, jotka nimetään ! :T: middlewaretason nimillä voivat myös olla tietoverkossa ajettavia sovellusohjelmia tai : niiden instansseja tai tietoverkkoon tallennettuja dokumentteja.
25 • «t v : Tunnetuissa tietoliikenneverkoissa verkkopäätelaitteelle tulevaa liikennettä tai v ; verkkopäätelaitteelta lähtevän liikenteen perillepääsyä pystytään rajoittamaan : ‘: verkkotason informaation, kuten IP-osoitteen, perusteella jolloin saadaan tarvittaessa : ’' ’: estettyä tietyistä verkkotason osoitteista, kuten IP-osoitteista, tuleva tai niihin suunnattu 30 liikenne tai toisaalta mahdollistettua liikenne ainoastaan tietyistä verkkotason osoitteista : tai tiettyihin verkkotason osoitteisiin. Tällainen rajoittaminen onnistuu esimeikiksi palomuurien avulla. Palomuuri on jäijestely, jossa organisaation sisäinen verkko on 2 109165 yhdistetty ulkoiseen verkkoon määrätyn valvontaelementin kautta, jolloin määrätyistä verkkotason osoitteista tuleva liikenne voidaan pysäyttää palomuuriin. Ulosmenevää liikennettä voidaan valvoa vastaavalla tavalla.
5 Tunnetun tekniikan puutteena on se, että middleware-tason (esim. DNS) ja verkkotason liikenneohjaukset toimivat erillään, jolloin mahdolliset middleware-tason liikennerajoitukset, kuten estolistat, jotka sisältävät kielletyjä lähde- tai kohdenimiä, eivät rajoita verkkotason liikennettä ja näinollen suojaamattomalle verkkotasolle pääsee helposti tarpeetonta ja ei-toivottua liikennettä, kuten mainospostia tai vastaanottajan 10 kiusaksi lähetettyä roskatietoa. Middleware- ja verkkotason liikenteenrajoituksen tehokkaasti ja dynaamisesti yhdistäviä ratkaisuja ei tunneta.
Middleware-tasolla toteutetut suljetut käyttäjäryhmät (VPN, Virtual Private Network) eivät heijastu automaattisesti verkkotasolle, joten liikennettä, jota ei haluta vastaanottaa, 15 voidaan helposti lähettää middlewaretason suljettujen käyttäjäryhmien verkkoihin tai verkon osiin, jos esimerkiksi ryhmän DNS-nimiä tai IP-osoitteita on tiedossa. Tämä voi joissakin tapauksissa aiheuttaa vahinkoa tietoverkon välityskapasiteetin rajallisuuden takia. Kun liikenne jota ei haluta tukkii verkon, halutun liikenteen perillepääsy hidastuu ; tai estyy.
: 20 Tietoverkkoresurssien sijainti voi vaihtua tietystä IP-osoitteesta toiseen ja tällöin : ": tiettyyn IP-osoitteeseen asetettu esto ei estä toisesta IP-osoitteesta tulevaa liikennettä.
Esiintyy myös tarvetta rajoittaa DNS-nimien perusteella tiettyjen yleisesti saatavilla ... olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti mm.
lastensuojelu- ja tarkoituksenmukaisuussyistä. Tunnettu tekniikka ei kuitenkaan •; , 25 mahdollista tätä.
.· · Keksinnön tarkoituksena on aikaansaada aivan uudentyyppinen menetelmä, jonka : ’: avulla edellä kuvatut tunnetun tekniikan ongelmat on mahdollista ratkaista. Keksintö ; : perustuu siihen, että yhdistetään Internet middleware- ja Internet reititin ja/tai ... aktiiviverkkotekniikoita. Ohjataan tilaajaliittymään menevä ja sieltä tuleva liikenne ,' ·, · 30 automaattisen seurantajäijestelmän läpi. Tällainen seurantajärjestelmä voi olla ns.
aktiivisolmu tai erillinen reitittimen sisältävä palvelin, joka kykenee käsittelemään 3 109165 seurantajärjestelmän läpi menevien tietopakettien, kuten IP-pakettien, otsakkeita ja sisältöä, dynaamisesti vaihdettavissa olevan ohjelman mukaan. Dynaamisesti vaihdettavissa olevalla ohjelmalla tarkoitetaan tässä, että seurantajärjestelmää ohjaava tietokoneohjelma on päivitettävissä ilman häiritsevää katkoa seurantajärjestelmän 5 toiminnassa. Dynaamista päivitettävyyttä käytetään, kun muutetaan kiellettyjen middleware-tason osoitteiden estolistaa ja niiden verkkotason vastineista koostuvaa estolistaa automaattisessa seurantajärjestelmässä ja/tai muualla operaattorin järjestelmässä. Keksinnön mukaisessa ratkaisussa käytetään aiemmin määriteltyä middlewaretason nimistöä joka voi olla tietty nimiavaruus, esim. kaikki DNS-nimet, 10 joille tietty tai tietyt nimipalvelinjärjestelmät kykenevät löytämään verkkotason vastineet tai nimiavaruus, joka sisältää kaikki syntaksiltaan oikeaoppiset tietyn middlewaretason nimiavaruuden, esim DNS-järjestelmän, nimet, mutta joille kaikille ei välttämättä löydy verkkotason vastineita.
Aiemmin määritellystä nimiavaruudesta rajataan päivitettävissä oleva 15 tilaajaliittymäkohtainen middleware-tason nimistö. Tilaajaliittymäkohtainen middleware-tason nimistö sisältää middleware-tason nimiä joilla nimetyille tietoverkkoresursseille halutaan hyväksyä ja/tai joilla nimetyille tieto verkkoresursseille ei haluta hyväksyä liikennettä tietystä tilaajaliitttymästä ja/tai middlewaretason nimiä joilla nimetyiltä tietoverkkoresursseilta tuleva liikenne halutaan päästää tiettyyn : 20 tilaajaliittymään ja/tai joilla nimetyiltä tietoverkkoresursseilta tulevaa liikennettä ei : *: haluta päästää tiettyyn tilaajaliittymään.
Tilaajaliittymäkohtainen middlewaretason nimistö tallennetaan automaattiseen ... seurantajärjestelmään, muualle operaattorin järjestelmään tai operaattorin järjestelmän • · saataville. Keksinnössä pysäytetään automaattiseen seurantajärjestelmään liikennettä, 25 joka tulee sellaisesta verkkotason osoitteesta tai on kohdennettu sellaiseen verkkotason ·;·. osoitteeseen, jonka juuri tietyllä hetkellä voimassa olevaan middleware-tason vastinnimellä nimetylle tietoverkkoresurssille ei hyväksytä liikennettä tilaajaliittymäkohtaisen middleware-tason nimistön perusteella. Tietyn middleware-tason nimen ja verkkotason osoitteen välinen sidos saadaan nimipalvelinjärjestelmän -; - * 30 vastausviestistä, jonka vastausviestin mukainen verkkotason osoite pidetään voimassa ' * enintään vastausviestissä määritellyn voimassaoloajan, jolloin saadaan estettyä liikenne verkkotason osoitteisiin, joiden voimassaolevia middleware-tason vastinnimiä ei 4 109165 tunneta ja middleware-tason nimien mukaisille tietoverkkoresursseille tai tietoverkkoresursseilta, joille suunnattua taljoilta tulevaa liikennettä ei hyväksytä.
Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoliikenteen 5 ohjaamiseksi on tunnusomaista se, mikä on mainittu patenttivaatimuksen 1 tunnusmerkkiosassa.
I Keksinnön avulla saavutetaan huomattavia etuja. Keksinnön avulla saadaan vähennettyä i turhaa ja ei-toivottua verkkotason liikennettä. Keksintö mahdollistaa middleware-tason 10 nimiin kuten DNS-nimiin perustuvien estolistojen tai suljettujen middlewaretasolla määritettyjen käyttäjäryhmien (VPN, Virtual Private Network) muodostamisen, joissa ryhmän määrittely verkkotasolla dynaamisesti päivittyy middlewaretasolla määritellyn ryhmän mukaisesti sellaiseksi, että ryhmän rajaus verkkotasolla pysyy ryhmän middlewaretason nimien voimassa olevien verkkotason vastineiden mukaisena.
15
Keksinnön avulla operaattorille ja verkon käyttäjille avautuu mahdollisuus estää halutusta tilaajaliittymästä sellaisilla middlewaretason nimillä nimetyille .' · tietoverkkoresursseille suunnattu liikenne, joita vastaavia verkkotason osoitteita ei ole : tiedusteltu tilaajaliittymästä lähetetyllä nimipalvelintiedustelulla tiettynä aikana.
: ' ‘: 20 Menetelmää voidaan myös soveltaa niin, että määritellään ainakin yksi verkkotason osoite tai osoitteita, jonne suunnattu tai josta tuleva liikenne hyväksytään, vaikka .* : kyseistä verkkotason osoitetta ei olekaan saatu nimipalvelinjärjestelmältä tiettynä : : aikana.
:: : 25 Menetelmässä verkkotaso pystyy automaattisesti konfiguroitumaan siten, että se tukee . · · ylemmän kerroksen konfiguraatiota. Jos liikenne siis estetään jollekin DNS-nimelle tai nimiavaruudelle, myös liikenne ko. nimeen tai nimiavaruuteen sidottuun IP-: : osoitteeseen tai osoiteavaruuteen estyy ilman erillistä IP- osoitepohjaisten estolistojen . . konfigurointia, ja näin saadaan estettyä liikenne tiettyihin verkko-osoitteisiin tai tietyistä . *. : 30 verkko-osoitteisiin DNS-nimien perusteella.
5 109165
Keksinnön avulla saadaan rajoitettua DNS-nimien perusteella tiettyjen yleisesti saatavilla olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti esim. lastensuojelu- tai tarkoituksenmukaisuussyistä.
Keksintöä tarkastellaan seuraavassa esimerkkien avulla ja oheisiin piirustuksiin viitaten.
I 5
Keksinnöllä on kaksi perussovellusta TCP/IP-ympäristössä, joita voidaan käyttää rinnakkainkin:
Kuvion 1 mukainen lähtevän IP-liikenteen esto osoitteisiin, jotka eivät ole DNS-10 järjestelmän tiedossa ja/tai joita ei ole sallittu.
Kuvion 2 mukainen ei-toivotun IP-liikenteen esto middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.
15
Estettäessä kuvion 1 mukaisesti lähtevän IP-liikenteen pääsy osoitteisiin, joita ei ole DNS-järjestelmän tiedossa, ja/tai joita ei ole sallittu käytetään mm. seuraavia komponentteja ja suoritetaan seuraavia toimenpiteitä. Esimerkissä tietty tai tietyt nimipalvelin]äijestelmät kykenevät suorittamaan resoluution aikaisemmin määritetylle *;;. * 20 middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö ;1 *. on koko se nimiavaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietyt
• * I
nimipalvelin] äijestelmät kykenevät suorittamaan resoluution, mutta jonka !..t nimiavaruuden yksittäisellä nimellä ei välttämättä ole verkkotason vastinetta, ja jossa • * · tilaajaliittymäkohtainen middlewaretason nimistö on nimiavaruus, jolle tietty 25 nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. Esimerkissä on käytetty tiettynä nimipalvelinjäijestelmänä DNS-jäijestelmää ja aikaisemmin määriteltynä middlewaretason nimiavaruutena syntaksiltaan oikeaoppisia DNS-nimiä.
• > · !Tilaajaliittymäkohtainen middlewaretason nimistö koostuu niistä nimistä, joille DNS-> * '·’ järjestelmä kykenee suorittamaan resoluution tilaajaliittymästä 10 lähetetyn DNS- •; · * 30 tiedustelun perusteella.
• · 6 109165
Tilaajaliittymä 10, on olennaisesti ns. Stub-intemet, joka vain yhdistää asiakasverkon ja aktiivisolmun 11. Aktiivisolmu 11 on tietoverkkoelementti, johon on sisälletty ohjelmisto, jolla seurataan aktiivisoImuun 11 tulevien IP-pakettien otsaketietoja sekä ohjataan IP-pakettien kulkua. Aktiivisolmu 11 on sijoitettu siten, että kaikki 5 verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta.
Tilaajaliittymäkohtaista middlewaretason nimistöä on voitu rajata aiemmin määritellystä myös esimerkin mukaisessa sovelluksessa. Tällöin aktiivisolmuun 11 tallennetaan sallituista ja/tai kielletyistä DNS-nimistä koostuva estolista, jota voidaan tarvittaessa dynaamisesti päivittää esim. operaattorin jäijestelmästä tai tilaajaliittymästä 10 10 tulevalla ohjauksella. Tilaajaliittymästä 10 lähtevät DNS-tiedustelut, jotka ylipäänsä ohjataan DNS-jäijestelmälle ohjataan DNS-palvelimelle 12.
Menetelmässä suoritetaan seuraavia vaiheita. Vaiheet 101 - 102 suoritetaan, jotta saadaan estettyä sellaisten tilaajaliittymästä 10 lähetettyjen nimipalvelinjäijestelmälle 15 suunnattujen tiedustelujen eteneminen nimipalvelinjärjestelmään, jotka koskevat DNS-nimiä, joilla nimetyille tietoverkkoresursseille ei haluta hyväksyä tietoliikennettä tilaajaliittymästä 10.
101) Vastaanotetaan tilaajaliittymästä 10 lähetetty kysyttyä DNS-nimeä 13 koskeva 20 DNS-palvelimelle 12 suunnattu tiedustelu aktiivisolmussa 11.
| 102) Lähetetään (102a) kysyttyä DNS-nimeä 13 koskeva tiedustelu aktiivisolmusta 11 DNS-palvelimelle 12, jos kysytty DNS nimi 13 on sallittu tai kuuluu , ; ·. sallittuun middlewaretason nimistöön estolistalle.. Muutoin tiettyä DNS-nimeä I · 25 koskevaa tiedustelua ei lähetetä eteenpäin eikä sallittujen verkko-osoitteitten ; ·. listaa täydennetä. Tällöin asiakas-host:lle tilaajaliittymään 10 lähetetään (102b) 'DNS-vastaus DNS-palvelimen 12 lähdeosoitteella, jossa kerrotaan että tiettyä . j. t DNS-nimeä ei ole, tai vaihtoehtoisesti jokin muu sopivampi virheilmoitus.
30 Seuraavat vaiheet suoritetaan, jos tiettyä DNS-nimeä koskeva tiedustelu lähetettiin ·,: eteenpäin DNS-palvelimelle 12. Vaihe 103 suoritetaan, jotta aktiivisolmu päivittyisi hyväksymään liikenteen sellaisella DNS-nimellä nimetylle tietoverkkoresurssille, jolle 7 109165 halutaan hyväksyä liikennettä. Vaihe 103 on välttämätön vaiheen 104 onnistumisen kannattaja vaihe 105 voidaan suorittaa riippumatta muista vaiheista.
5 103) Vastaanotetaan aktiivisolmussa 11 DNS-palvelimen 12 vastausviesti vaiheessa 101 lähetettyyn tiedusteluun. Jos vastausviesti sisältää kysytyn DNS-nimen 13 ja sitä vastaavan kysytyn IP-osoitteen 14 sekä tämän ja DNS-nimen 13 välisen kysytyn sidoksen voimassaoloajan 15 TTL-kentässä, kysytty IP-osoite 14 määritellään hyväksytyksi osoitteeksi aktiivisolmuun tallennetulle verkkotason 10 estolistalle. Aktiivisolmu 11 aktivoituu sallimaan liikenteen kysytyn DNS- nimen 13 mukaiseen IP-osoitteeseen 14 enintään kysytyn sidoksen voimassaoloajan 15 DNS-palvelimen 12 lähettämä vastausviesti lähetetään aktiivisoImusta eteenpäin tilaajaliittymään 10 asiakas-host:lle.
15 Seuraavaksi vastaanotetaan aktiivisolmussa asiakas-host:lta Stub-intemetin eli tilaajaliittymän 10 kautta kysyttyyn IP-osoitteeseen 14 suunnattu ensimmäisen viesti, vaiheessa 104 ja/tai kiellettyyn IP-osoitteeseen suunnattu toinen viesti vaiheessa 105.
104) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kysyttyyn IP- 20 osoitteeseen 14 suunnattu ensimmäinen viesti, tutkitaan aktiivisolmun :.: : logiikalla mahdolliset kysyttyyn IP- osoitteeseen 14 liittyvät estolistalle liitetyt ’...· tiedot ja päästetään ensimmäinen viesti läpi, jos kysytyn sidoksen • · * ‘ : voimassaoloaikaa 15 on vielä jäljellä.
* I » 25 105) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kiellettyyn IP- • · · osoitteeseen suunnattu toinen viesti 18, tutkitaan aktiivisolmun logiikalla
I
? · · onko kielletty osoite 17 sallittu, havaitaan ettei ole ja pysäytetään viestin ! » eteneminen.
t I
30
Jotta aktiivisolmun 11 ei tarvitsisi säilyttää liian suurta sallittujen osoitteiden , : tietomassaa, TTL-kenttiin voidaan vaihtaa DNS vastausviestissä saatuja lyhyemmät voimassaoloajat, jolloin sallittuja osoitteita voidaan poistaa aktiivisolmusta 11 8 109165 tavanomaista aikaisemmin. Tilaajaliittymästä 10 lähetetyt DNS-kyselyt voidaan ohjata esim. Token-Bucket liikennemuokkaimen läpi, jolloin saadaan rajoitettua DNS-kyselyiden määrää asiakaskohtaisesti tiettynä ajanjaksona, jonka seurauksena saadaan pidennettyä aktiivisolmulle 11 sallittavaa verkkotason osoitteiden maksimisäilytysaikaa 5 ja vastaanotetun DNS-viestin mukaiseen konfiguroitumiseen kuluvaa aikaa.
i (
Kuvion 2 mukainen toinen suoritusesimerkki, ei-toivotun IP-liikenteen vähentäminen middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.
10
Aktiivisolmu 11, joka on ohjelmoitu lukemaan DNS-palvelimelta 12 saapuvia viestejä, on sijoitettu siten, että kaikki verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Tieto verkkoresurssi 20, kuten asiakas-host on yhteydessä tietoverkkoon tilaajaliittymän kautta. Hallintajäijestelmällä 23 tarkoitetaan operaattorin järjestelmää, 15 jonka avulla se tarjoaa tietoverkkoyhteyksiä asiakkaidensa tilaajaliittymien kautta kommunikoiville tietoverkkoresursseille. DNS-nimet 24 voivat olla mitä tahansa DNS-nimiä. IP-osoitteet 25 ovat sellaisia IP-osoitteita, jotka ovat tallennettu DNS-järjestelmään vastaamaan DNS-nimiä 24. Käyttäjäprofiili 22 on operaattorin . hallintajärjestelmään tai hallintajärjestelmän 23 apujärjestelmänä toimivan erilliseen : 20 ohjausjärjestelmän saataville tallennettu määrittely tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Menetelmässä suoritetaan seuraavia ·.: numeroituja toimenpiteitä. Vaihe 201 suoritetaan niiden DNS-osoitteiden rajaamiseksi, i ,,, 1 : i : joista tilaajaliittymään hyväksytään liikennettä ja/tai joihin tilaajaliittymästä annetaan : : : lähettää dataa.
25 v : 201) Määritellään hallintajärjestelmässä 23 ainakin yhdelle tietylle • tietoverkkoresurssille, kuten asiakas-hostille sallitut DNS-nimet. Määrittely voi tapahtua kokonaan tai osittain operaattorin tai asiakkaan toimesta, : staattisesti tai dynaamisesti tietoverkkoresurssin 20 ja hallintajärjestelmän 30 välisen tietoliikenneyhteyden aikana. Nimet voivat olla fyysisesti tallennettuna mihin vaain, kunhan operaattorin hallintajärjestelmällä 23 on mahdollisuus ne hakea. Tietoverkkoresurssikohtaisesti on tehty hallintajärjestelmän 23 9 109165 saataville tallennettu käyttäjäprofiili, jonka perusteella sallittujen DNS-nimien haku onnistuu.
Vaiheet 202 - 205 suoritetaan tietyn käyttäjän tai päätelaitteen kohdentamiseksi 5 ensimmäiseen tilaajaliittymään 10, ja tiettyyn käyttäjään tai tiettyyn päätelaitteeseen kohdennettujen liikennerajoitusten määrittelemiseksi tiettyä liittymää valvovalle aktiivisolmulle 11. Näissä vaiheissa määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön, DNS-nimien 24, perusteella haetaan tilaajaliittymäkohtaisen middlewaretason nimistön yhden tai useamman nimen sellainen 10 verkkotason vastine, IP-osoitteet 25, jonka voimassaolo varmennetaan nimipalvelin]äijestelmän vastausviestin avulla, ja määritellään näistä kukin kielletyksi ja/tai sallituksi osoitteeksi siten, että kiellettyjen middleware-tason nimien verkkotason vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi 15 verkkotason osoitteiksi seurantajärj estelmään.
202) Rekisteröidään tietoverkkoresurssi 20, kuten asiakas-host tilaajaliittymän 10 kautta muodostetulle tietoliikenneyhteydelle käyttäjäprofiililla 22 ja toimitetaan tieto rekisteröitymisestä hallintajäijestelmälle 23.
: ;·; 20 »Il · 203) Lähetetään hallintajärjestelmältä 23 tiedustelelu DNS-järjestelmälle, esim : ·. i DNS-palvelimelta 12, joka koskee niitä DNS-nimiä 24 vastaavia IP-osoitteita ‘ : 25, joista ja/tai joihin hyväksytään liikennettä tietyllä käyttäjäprofiililla 22 ,: · identifioituun liittymään, tässä tapauksessa tilaajaliittymään 10.
25 , * · 204) Vastaanotetaan hallintajärjestelmässä 23 DNS-järjestelmältä DNS-nimiä 24 . * * sekä niitä vastaavia IP-osoitteita 25 ja DNS-nimien 24 ja niitä vastaavien IP- : : : osoitteiden 25 välisten sidosten voimassaoloaikoja koskeva vastausviesti tai t 11 !vastausviestejä.
30 ' ·, j 205) Vastaanotetaan aktiivisolmussa 11 DNS-järjestelmästä saadut 1 IP-osoitteet 25 hallintajärjestelmältä 23, sekä IP-osoitteiden voimassaoloajat ja talletetaan IP- 10 109165 osoitteet 25 voimassaoloaikoineen vastinpareiksi sallituiksi osoitteiksi estolistalle aktiivisolmuun 11.
Jatkossa ohjataan hallintajärjestelmällä DNS-nimiin 23 sidottujen kulloinkin voimassa 5 olevien IP-osoitteiden ja niiden voimassaoloaikojen tiedustelemista DNS-järjestelmältä ja toimittamista aktiivisoImulle 11. Käytetään tiedustelun herätteenä aikaisemmin nimipalvelinjäijestelmältä vastaanotettujen tarkasteltavien IP-osoitteiden 25 voimassaoloaikoja tai niistä rajoitettuja voimassaoloaikoja. Lähetetään kutakin DNS-nimeä 23 koskeva DNS-tiedustelu ennen kunkin DNS-nimeen 23 sidotun 10 voimassaoloajan loppumista. Poistetaan IP-osoitteita 25 aktiivisolmun sallituista IP-osoitteista muodostuvalta estolistalta käyttäen ohjausherätteenä näiden voimassaoloaikana, siten että kukin IP-osoite poistetaan estolistasta viimeistään voimassaoloajan loputtua.
15 Menetelmän vaiheissa 206 - 207 aktiivisolmu vastaanottaa tietopaketin ja pysäyttää sen etenemisen tarvittaessa. Nämä vaiheet voidaan suorittaa myös ennen vaiheita 204 - 205, mutta tällöin viestillä ei ole läpäisymahdollisuuksia.
206) Vastaanotetaan tilaajaliittymästä 10 tuleva tarkistettavaan IP-osoitteeseen 20 suunnattu tai tilaajaliittymää 10 kohti saapuva tarkistettavasta IP-osoitteesta lähetetty kolmas viesti aktiivisolmussa 11 ja tarkistetaan aktiivisolmun 11 ; * *. logiikalla kuuluuko tarkistettava IP-osoite 26 voimassa oleviin sallittuihin IP- | » · t t · !,, ’ osoitteisiin aktiivisolmussa 11 olevalla estolistalla.
t · * t t * * * * 25 207) Lähetetään (207a) kolmas viesti eteenpäin tietoverkkoon kohti kolmannessa ; ·, viestissä määriteltyä kohdetta tai tilaajaliittymää 10, jos tarkistettava IP-osoite < t · ;kuuluu voimassa oleviin sallittuihin osoitteisiin aktiivisolmussa 11. Muuten • · ;, pysäytetään kolmas viesti aktiivisolmuun 11.
» I
» · I t 1’ 30 Käytettäessä laajaa DNS-nimistöä tilaajaliittymäkohtaisessa middiewaretason I I · ; : estolistassa tilaajaliittymästä 10 vastaanotettavaan liikenteeseen voidaan soveltaa • i * '· ensimmäistä suoritusesimerkkiä, jolloin aktiivisolmuun 11 ei tarvitse konfiguroida kaikkia tilaajaliittymäkohtaisen middiewaretason estolistan vastine-IP-osoitteita, vaan 11 109165 dynaamisesti ainoastaan ne, joihin päätelaite tekee aktiivisolmun 11 kautta DNS-kyselyjä, ja joiden kyselyiden vasteena lähetetyn nimipalvelinjäijestelmän vastausviestin sisältämät tiedot katsotaan tilaajaliittymäkohtaisen middlewaretason estolistan perusteella aiheellisiksi tallentaa aktiivisolmuun 11.
5
Laajoja tietoverkosta aktiivisolmun 11 kautta tulevan ja tilaajaliittymään 10 kohdennetun liikenteen lähteenä olevien tietoverkkoresurssien DNS-nimistöjä pystytään valvomaan seuraavissa vaiheissa 208 - 210 esitetyllä tavalla. Esitetyllä tavalla pystytään valvomaan myös tilaajaliittymän 10 kautta tietoverkkoon lähtevän liikenteen 10 kohteena olevien tietoverkkoresurssien DNS-nimiä. Näissä vaiheissa vastaanotetaan j seurantajäijestelmässä tietoverkkoresurssille 20 kohdennettu tai tilaajaliittymästä tuleva tietty tietopaketti, ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltava verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason nimi, i tarkistetaan operaattorin jäijestelmässä kuuluuko tietty middlewaretason nimi 15 tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja määritellään tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. Vaihetta 205 ei tarvitse välttämättä suorittaa suoritettaessa vaiheet 208 - 210 ja vaiheet , . ·. 20 206-207 voidaan suorittaa ennen vaiheita 208 - 210 ja/tai näiden vaiheiden jälkeen.
. · · 208) Vastaanotetaan aktiivisolmussa 11 tietopakettin, jolla on entuudestaan : aktiivisolmulle 11 tallennetulle verkkotason estolistalle määrittelemätön :' · ‘: 25 tarkistettava IP-lähde- j a/tai kohdeosoite.
: : : 209) Vasteena vastaanotetulle tarkistettavalle IP-osoitteelle tehdään ns. reverse- I * » v < DNS kysely, eli. tiedustellaan aktiivisolmun 11 logiikalla tai aktiivisolmun _ ohjauksen perusteella muodostetulla DNS-järjestelmälle, esim DNS- 30 palvelimelle 12, suunnatulla tiedusteluviestillä IP-osoitetta vastaavaa DNS- » · * nimeä.
a ( · > · » · » ·
• · I
• · 12 109165 210) Vastaanotetaan DNS-jäijestelmän vastausviesti hallintajärjestelmässä 23 ja/tai aktiivisolmussa 11. Tarkistetaan löytyykö tarkistettavaa IP-osoitetta vastaava DNS-nimi sallittujen DNS-nimien listalta, joka voi sijaita hallintajärjestelmässä 23, hallintajärjestelmän 23 saatavilla tai aktiivisolmussa 11 tapauksesta 5 riippuen. Jos DNS-nimi löytyy sallittujen DNS-nimien listalta, ohjataan aktiivisolmu 11 sallimaan liikenne tarkistettavaan IP-osoitteeseen maksimissaan DNS-jäijestelmän tarkistettavaa IP-osoitetta koskevan vastausviestin sisältämän tarkistettavaan IP-osoitteeseen viittaavan TTL-kentän l mukaiseksi määräajaksi.
10
Vaiheessa 210 konfigurointipäivityksen nopeus on tärkeää, jos ko. paketit halutaan päästää kohteeseen ennen reverse-kyselyn vastauksen saapumista, toisin sanoen tarkistamatta. Erityisesti tällöin tulee kyseeseen tilaajaliittymäkohtainen DNS-tiedustelujen käsittelytaajuuden rajoittaminen liikennemuokkaimen avulla. Lyhyen 15 purskeen pääseminen tilaajaliittymään ei kuitenkaan ole yhtä vaarallista kuin verkon tukkeutuminen esim. ’’denial of service”-hyökkäyksessä. Lisäksi tarkastamattomuuden haittavaikutuksia voidaan vähentää rajoitttamalla vielä tarkistamattomista osoitteista saapuvan tai tarkastamattomiin osoitteisiin kohdennetun liikenteen volyymia. Tämä voidaan toteuttaa ohjaamalla se esim. omaan Token-Bucket-jonoonsa. Tarkistuksen , , *. 20 tapahduttua ko. liikenteen voluumirajoitusta voidaan sitten muuttaa.
;' ‘': Keksintöä voidaan soveltaa myös niin, että ylläpidetään hallintajärjestelmässä 23 ja/tai :' ·,: aktiivisolmussa 11 sallittujen DNS-nimien listan lisäksi tai sen vaihtoehtona kiellettyjen :' Γ: DNS-nimien listaa j a ohj ataan liikennettä sen mukaisesti.
:T: 25
Keksintöä voidaan myös soveltaa siten, että aktiivisolmulle 11 syötetään v : tilaajaliittymäkohtainen middlewaretason estolista, kuten sallitut DNS-nimet ja . · huolehditaan aktiivisolmun 11 logiikalla estolistan nimiä vastaavien IP-osoitteiden ja estolistan nimien välisten voimassaoloaikojen, käytännössä TTL-kenttien tiedustelusta 30 DNS-järjestelmältä aikaisemmin vastaanotettuihin voimassaoloaikoihin sidotun ohjauksen perusteella 13 109165
Keksinnön mukaista menetelmää voidaan soveltaa siten, että asetetaan verkkotason estolistamäärittelyt middlewaretason vastinnimille tehtyjen estolistamäärittelyjen mukaisesti koskemaan tiettyjä tietopaketin verkkotason lähde- ja kohdeosoitteiden yhdistelmiä, joissa on ainakin yksi verkkotason lähde- tai kohdeosoite myös 5 tapauksessa, jossa vastaanotetulla tietopaketilla on useita lähde- ja/tai kohdeosoitteita.
Tällöin saadaan estettyä tietopaketin eteneminen tälle määritellyn kulkureitin perusteella.
Eräs toinen mahdollinen keksinnön sovellus on jonkin estolistamäärittelyn perusteella 10 pysäytettäväksi tuomittavan viestin ohjaaminen poikkeusreitille siten, että kyseisen viestin pääsy kohdeosoitteeseensa estyy, vaikka sitä ei pysäytettäisikään seurantaj ärj estelmään.
Keksinnön mukaisessa menetelmässä voidaan käyttää Secure-DNS:n tarjoamia 15 mahdollisuuksia sen valvomiseksi, että DNS-jäqestelmälle lähetetyt tiedustelut on todellakin lähettänyt tietoverkkoresurssi, jonka lähettämien tiedustelujen mukaisesti estolistamäärittelyjä halutaan tehdä ja että nimipalvelinjärjestelmän vastausviestit ovat näihin tiedustelujen lähetettyjä vastauksia.
: 20 Seuraavassa on selitetty mitä eräillä käsitteillä on tässä hakemuksessa ja erityisesti i,: : patenttivaatimuksissa tarkoitettu.
. . : Seurantajärjestelmä on tietoliikenneverkkoon asiakasliittymän operaattorirajapinnan | ; operaattorin puolelle kytketty laitteisto, jonka läpi ohjataan tietoliikenneverkossa kulkevaa liikennettä. Seurantajärjestelmä on ohjelmoitava aktiivisolmu, palvelin tai 25 muu tietoverkkoelementti tai tietoverkkoon liitetty järjestelmä, joka kykenee lukemaan : : siihen saapuvien tietopakettien sisältämiä verkkotason lähde-ja/tai kohdeosoitetietoja ja : : vertailemaan saapuvien tietopakettien osoitetietoja seurantajärjestelmään tallennettuihin :·. verkkotason osoitetietoihin sekä vertailun perusteella lähettämään vastaanotetun tietopaketin seurantajärjestelmästä eteenpäin, tai pysäyttämään vastaanotetun '30 tietopaketin etenemisen seurantajärjestelmään. Seurantajärjestelmällä voidaan myös •. : tarkoittaa em.määrittelyn mukaista järjestelmää, johon on tallennettu middleware-tason nimiä Tällainen järjestelmä kykenee lähettämään tiettyä verkkotason osoitetietoa 14 109165 koskevan reverse-DNS-tiedustelun nimipalvelinjärjestelmälle tai operaattorin hallintajärjestelmälle, ja vastaanottamaan tiettyä verkkotason osoitetietoa vastaavan tietyn middlewaretason nimitiedon sekä vertailemaan tiettyä middleware-tason nimitietoa seurantajärjestelmän sisältämään tai seurantajärjestelmän saatavilla olevaan 5 tilaajaliittymäkohtaiseen nimistöön, joka sisältää ainakin yhden tilaajaliittymälle sallitun ja/tai kielletyn middlewaretason nimen. Vasteena tietyn middlewaretason nimen vertailulle tilaajaliittymäkohtaiseen osoitteistoon seurantajärjestelmään voidaan tallentaa tietty verkkotason osoite, ja estää tiettystä verkkotason lähdeosoitteesta tulevan tai tiettyyn verkkotason kohdeosoitteeseen menevän tai tiettyjen osoitteiden mukaista 10 reittiä menevän liikenteen pääsy kohteeseensa. Seurantajärjestelmä voidaan myös toteuttaa operaattorin hallintajärjestelmän ohjelmistollisena osana.
Käyttäjäprofiili on operaattorin hallintajärjestelmään tai hallintajärjestelmän apujärjestelmänä toimivaan erilliseen ohjausjärjestelmän saataville tallennettu 15 määrittelyä tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Käyttäjäprofiili voi sisältää tiedon siitä miltä kaikilta middlewaretasolla nimetyiltä tietoverkkoresursseilta tiettyyn tilaajaliittymään tuleva tiettyyn i tilaajaliittymään kohdennettu ja/tai mille kaikille middlewaretasolla nimettyille tietoverkkoresursseille kohdennettu tietystä tilaajaliittymästä vastaanotettu liikenne . .·. 20 tulee estää.
! · · · i : j :Nimi on tietoliikennejärjestelmissä esiintyvä symbolinen tunnus esim. URN(Uniform :' ·.: Resource Name), jolla ei ole mitään lokaatioriippuvaa osaa. Nimellä tarkoitetaan tässä : : : myös esim. DNS-host-nimeä, joka on yhtäältä lokaation nimi, koska host on abstraktien ‘ 4' : 25 resurssien karmalta lokaatio, mutta jota toisaalta tarvitaan verkkotason osoitteesta, esim.
IP-osoittesta, riippumattomaan nimeämiseen.
,* · Nimipalvelimella ja nimipalvelinjärjestelmällä tarkoitetaan järjestelmää, joka osaa tietyn middlewaretason nimen saatuaan määrittää tähän middlewaretason nimeen ; : 30 sidotut tiedot. Sidotut tiedot voivat esim. koskea tietyn middlewaretason nimen verkkotason vastinetta ja tietyn middlewaretason nimen ja sen verkkotason vastineen . ‘. : välistä voimassaoloaikaa.
15 109165
Resurssilla ja tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen kytkettyä host:ia, tietoverkossa ajettavaa sovellusohjelmaa ja/tai sen instanssia.
5 Verkkotason vastineella tarkoitetaan tiettyä middlewaretason nimeä tietyllä hetkellä vastaavaa verkkotason osoitetta toisin sanoen tietyllä middlewaretason nimellä nimetty tietoverkkoresurssi on tietyllä hetkellä löydettävissä verkkotason osoitteesta, jota tässä hakemuksessa ja erityisesti patenttivaatimuksissa nimitetään verkkotason vastineeksi.
j 10 Estolistalta poistamisella tarkoitetaan poistamisen kohteen inaktivointia, jonka jälkeen | se ei enää ole tietoliikenteen rajoittamista ohjaava määrittely estolistalla.
j
Tiedustelun generoinnilla tarkoitetaan tiedusteluviestin tai viestien sisältökenttien luomista generoivan jäqestelmän logiikalla.
15 Verkkotason osoitteen ja sen middlewaretason vastinnimen välisellä sidoksella, ja midlewaretason nimen ja sen verkkotason vastineosoitteen välisellä sidoksella tarkoitetaan nimipalvelinjäijestelmään tallennettua määrittelyä, joka liittää tietyn middlewaretason nimen tiettyyn verkkotason osoitteeseen.
: 20

Claims (17)

16 109165
1. Menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, jossa ! 5 i j - määritellään (205) ainakin yksi sallittu ja/tai kielletty verkkotason lähde- ja/tai kohdeosoite verkkotason estolistaksi, - ohjataan (206) tilaajaliittymään (10) kohdennettu tai tilaajaliittymästä (10) tuleva tietopaketti operaattorin jäijestelmään kuuluvan automaattisen seurantajäijestelmän 10 (11) läpi, ja - estetään (207) tietopaketin eteneminen kohdeosoitteeseensa vasteena ainakin yhden estolistassa määritellyn verkkotason lähde ja/tai kohdeosoitteen vertailulle ainakin yhteen tietopaketin lähde ja/tai kohdeosoitteeseen, 15 tunnettu siitä, että käytetään aikaisemmin määriteltyä middleware-tason nimistöä, rajataan (201) aikaisemmin määritellystä middleware-tason nimistöstä 20 tilaajaliittymäkohtainen middleware-tason nimistö, joka sisältää ainakin yhden ,·. sallitun ja/tai kielletyn middleware-tason lähde- ja/tai kohdenimen ja tallennetaan . ·. se operaattorin järjestelmän saataville ainakin siltä osin kun se ei ole jo operaattorin ; ; jäij estelmän saataville tallennettu, määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella 25 määritellään (205) ainakin yhden tilaajaliittymäkohtaisen middlewaretason nimistön nimen ainakin yksi verkkotason vastine kielletyksi tai sallituksi osoitteeksi siten että kunkin kielletyn middleware-tason nimen ainakin yksi verkkotason vastine määritellään kielletyksi verkkotason osoitteiksi ja kunkin sallitun middlewaretason nimen verkkotason vastine määritellään vastaavasti sallituksi 30 verkkotason osoitteeksi seurantajäijestelmään verkkotason estolistalle, ja poistetaan seurantajärjestelmässä olevien tilaajaliittymäkohtaisen estolistan middlewaretason nimistön nimien verkkotason vastineet seurantajärjestelmän 109 Ί 65 17 estolistalta automaattisesti viimeistään kunkin verkkotason vastineen ja sen tietyn middlewaretason vastineen välisen sidoksen viimeisenä voimassaolohetkenä.
2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että 5. vastaanotetaan (208) seurantajäijestelmässä tilaajaliittymään kohdennettu tai tilaajaliittymästä lähetetty tietty tietopaketti ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltavaa verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason vastinnimi, - tarkistetaan (209) operaattorin järjestelmässä kuuluuko tietty middlewaretason 10 vastinnimi tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja - määritellään (209) tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen : määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. 15
3. Jonkin patenttivaatimuksen 1-2 mukainen menetelmä, tunnettu siitä, että - määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella haetaan (203 - 204) tilaajaliittymäkohtaisen middlewaretason nimistön ainakin yhden nimen sellainen verkkotason vastine, jonka voimassaoloaika saadaan , ,·. 20 nimipalvelinjärjestelmältä kutakin nimeä koskevasta nimipalvelinjäijestelmän : vastausviestistä ja määritellään (205) näistä verkkotason vastineista kukin kielletyksi ja/tai sallituksi osoitteeksi siten että kiellettyjen middlewaretason nimien verkkotason ·,· vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen . middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi Γ: 25 verkkotason osoitteiksi seurantajärjestelmään.
4. Jonkin patenttivaatimuksen 1-3 mukainen menetelmä tunnettu siitä, että haetaan • estolistalle määriteltävä verkkotason vastine (203 - 204) nimipalvelinjärjestelmältä ’ lähettämällä ainakin yhtä tilaajaliittymäkohtaisen middlewaretason nimistön nimeä 30 koskeva operaattorinjärjestelmän generoima nimipalvelinjärjestelmälle suunnattu tiedustelu ja tallentamalla kutakin tiedusteltua middlewaretason nimeä koskevissa . 1: vastausviesteissä. 18 109165
5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että ainakin yksi operaattorin järjestelmässä generoitava tiedustelu generoidaan seurantajärjestelmässä.
5. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä tunnettu siitä, että aikaisemmin määritelty middlewaretason nimistö koostuu niistä kaikista middleware-tason nimistä, joille tietty rumipalvelinj ärjestelmä tai tietyt nimipalvelin]ärjestelmät kykenevät suorittamaan resoluution, ja että tilaajaliittymäkohtainen middlewaretason nimistö käsittää tietyyn tilaajaliittymälle välitettävälle tietopaketille sallitut ja/tai 10 kielletyt lähdeosoitteet ja/tai tietystä tilaajaliittymästä lähetettävälle tietopaketille | sallitut j a/tai kielletyt kohdeosoitteet. i i
7. Jonkin patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, että tietty tai tietyt nimipalvelinjärjestelmät kykenevät suorittamaan resoluution aikaisemmin 15 määritetylle middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö on koko se nimivaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietyt nimipalvelinj ärjestelmät kykenevät suorittamaan resoluution, mutta jonka nimiavaruuden yksittäisellä osoitteella ei välttämättä ole verkkotason vastinetta, ja jossa tilaajaliittymäkohtainen middlewaretason nimistö on ·. 20 nimiavaruus, jolle tietty nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. : ·, · 8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että -vastaanotetaan seurantajärjestelmässä tietyn tilaajaliittymäkohtaisen 25 middlewaretason nimistönavaruuden nimen verkkotason vastineen kertova tilaajaliittymään 10 kohdennettu nimipalvelinjärjestelmän vastausviesti, ja - vasteena vastausviestille määritellään vastausviestin mukainen verkkotason * vastine sallituksi osoitteeksi seurantajärjestelmän estolistalle. “ * 30 9. Jonkin patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, että tietty nimipalvelinj ärjestelmä on DNS-järjestelmä tai sen osa ja että verkkotason osoitteet ja verkkotason vastineet ovat IP-osoitteita ja middleware-tason osoitteet DNS -nimiä. 19 109165
10. Jonkin patenttivaatimuksen 1-9 mukainen menetelmä, tunnettu siitä, että käytetään seurantajäij estelmänä ohjelmoitavaa aktiivisolmua (11).
11. Jonkin patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, että ohjataan tilaajaliittymästä nimipalvelinjäijestelmään suunnattuja viestejä 5 liikennemuokkaimeen, joka ohjaa viestit nimipalvelimeen siten, että nimipalvelimelle tilaajaliittymästä suunnattujen viestien määrä ei ylitä tiettyä raja-arvoa tietyssä ajassa.
12. Jonkin patenttivaatimuksen 1-11 mukainen menetelmä, tunnettu siitä, että tilaajaliittymäkohtainen middlewaretason nimistö määritellään (201) tilaajaliittymään 10 sidotun käyttäjäprofiilin perusteella. : io
13. Jonkin patenttivaatimuksen 1-12 mukainen menetelmä, tunnettu siitä, että hyväksytään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa sallittu ja/tai estetään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa kielletty enintään nimipalvelinjäijestelmän 15 vastausviestissä ilmenneen verkkotason osoitteen ja sen tietyn middlewaretason vastinnimen välisen sidoksen voimassaoloajan ellei vastaanoteta uutta tiettyä verkkotason osoitetta koskevaa nimipalvelinjäijestelmän vastausviestiä, joka sisältää tiedon tietyn verkkotason osoitteen pidemmästä voimassaoloajasta. ,·. 20 14. Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että määritellään .··. voimassaoloaika maksimissaan tiettyyn verkkotason osoitteen ja sen tietyn . . : middlewaretason vastinnimen sitovan DNS-jäijestelmän vastausviestin TTL-kentässä i ; > ’; ilmeneväksi ajaksi.
15. Jonkin patenttivaatimuksen 1-14 mukainen menetelmä, tunnettu siitä, että : : käytetään herätteenä tiettyä middlewaretason nimeä koskevan tiedustelun ,·' · lähettämiseen nimipalvelinjäijestelmälle tietyn middlewaretason nimen ja tietyn ; ': verkkotason vastineen välisen sidoksen jäljellä olevaa voimassaoloaikaa.
16. Jonkin patenttivaatimuksen 1-15 mukainen menetelmä, tunnettu siitä, että *. : -vastaanotetaan(101)seurantajäijestelmässätilaajaliittymästä(10)lähetetty 20 109165 nimipalvelin) äijestelmään (12) suunnattu tiettyä middlewaretason nimeä koskeva tiedusteluja, - vasteena tiedustelulle verrataan tiettyä middlewaretason nimeä seurantajärjestelmään tallennettuun tilaajaliittymäkohtaiseen middlewaretason nimistöön ja estetään (102) 5 tiedustelun eteneminen nimipalvelin)äijestelmään.
17. Jonkin patenttivaatimuksen 1-16 mukainen menetelmä, tunnettu siitä, että estetään ainakin yhden tietopaketin pääsy kohdeosoitteeseensa pysäyttämällä paketti seurantajärjestelmään vasteena sen ainakin yhdelle lähde ja/tai kohdeosoitteelle. 10 1 2i 109165
FI992056A 1999-09-24 1999-09-24 Menetelmä tietoverkkoliikenteen ohjaamiseksi FI109165B (fi)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI992056A FI109165B (fi) 1999-09-24 1999-09-24 Menetelmä tietoverkkoliikenteen ohjaamiseksi
PCT/FI2000/000810 WO2001026284A1 (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network
AU72936/00A AU7293600A (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992056 1999-09-24
FI992056A FI109165B (fi) 1999-09-24 1999-09-24 Menetelmä tietoverkkoliikenteen ohjaamiseksi

Publications (2)

Publication Number Publication Date
FI19992056A FI19992056A (fi) 2001-03-24
FI109165B true FI109165B (fi) 2002-05-31

Family

ID=8555349

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992056A FI109165B (fi) 1999-09-24 1999-09-24 Menetelmä tietoverkkoliikenteen ohjaamiseksi

Country Status (3)

Country Link
AU (1) AU7293600A (fi)
FI (1) FI109165B (fi)
WO (1) WO2001026284A1 (fi)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266568A (ja) 2003-02-28 2004-09-24 Nec Corp 名前解決サーバおよびパケット転送装置
JP3829851B2 (ja) * 2004-03-09 2006-10-04 セイコーエプソン株式会社 データ転送制御装置及び電子機器
US8239930B2 (en) * 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
EP2093692A1 (en) * 2008-02-25 2009-08-26 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8762506B2 (en) * 2010-12-30 2014-06-24 Verisign, Inc Method and system for partitioning recursive name servers
CN110166564B (zh) * 2019-05-28 2023-09-05 北京小米移动软件有限公司 信息通信方法、终端及存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE9702385L (sv) * 1997-06-23 1998-12-24 Ericsson Telefon Ab L M Förfarande och anordning i ett datanät
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US6718387B1 (en) * 1997-12-10 2004-04-06 Sun Microsystems, Inc. Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel

Also Published As

Publication number Publication date
FI19992056A (fi) 2001-03-24
WO2001026284A1 (en) 2001-04-12
AU7293600A (en) 2001-05-10

Similar Documents

Publication Publication Date Title
US10356097B2 (en) Domain name system and method of operating using restricted channels
US7032031B2 (en) Edge adapter apparatus and method
US7114008B2 (en) Edge adapter architecture apparatus and method
US7734816B2 (en) Method and apparatus for redirecting network traffic
EP1255395B1 (en) External access to protected device on private network
US9942130B2 (en) Selective routing of network traffic for remote inspection in computer networks
US9313130B2 (en) Routing method and network transmission apparatus
US20140019514A1 (en) System providing faster and more efficient data communication
US20140098662A1 (en) Transparent provisioning of services over a network
US20060095960A1 (en) Data center topology with transparent layer 4 and layer 7 services
US20110035469A1 (en) Method and system for filtering of network traffic
TW200951757A (en) Malware detection system and method
EP1540493A1 (en) Managing and controlling user applications with network switches
WO2013068789A1 (en) Method and system for allowing the use of domain names in enforcing network policy
US20070014301A1 (en) Method and apparatus for providing static addressing
US11019031B1 (en) Client software connection inspection and access control
US20220286424A1 (en) Selection of an egress ip address for egress traffic of a distributed cloud computing network
Fayed et al. The Ties that un-Bind: Decoupling IP from web services and sockets for robust addressing agility at CDN-scale
WO2004047402A1 (en) Management of network security domains
FI109165B (fi) Menetelmä tietoverkkoliikenteen ohjaamiseksi
RU2272363C2 (ru) Устройство, способ и система для усовершенствованной маршрутизации в сети мобильного ip
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
Cisco Appendix C, Web Cache Control Protocol (WCCP)
Cisco Controlling Network Access and Use
Cisco MNLB Feature Set for LocalDirector: Command Reference

Legal Events

Date Code Title Description
MM Patent lapsed