JP2008154236A - 通信エンドポイントにおける組み込みファイアウォール - Google Patents

通信エンドポイントにおける組み込みファイアウォール Download PDF

Info

Publication number
JP2008154236A
JP2008154236A JP2007321665A JP2007321665A JP2008154236A JP 2008154236 A JP2008154236 A JP 2008154236A JP 2007321665 A JP2007321665 A JP 2007321665A JP 2007321665 A JP2007321665 A JP 2007321665A JP 2008154236 A JP2008154236 A JP 2008154236A
Authority
JP
Japan
Prior art keywords
packet
endpoint
application
rule
library call
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2007321665A
Other languages
English (en)
Other versions
JP4620107B2 (ja
Inventor
Akshay Adhikari
アディカリ アクシャイ
Sachin Garg
ガーグ サチン
Anjur Sundaresan Krishnakumar
サンダレサン クリシュナクマール アンジュル
Navjot Singh
シン ナヴジョット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Avaya Technology LLC
Original Assignee
Avaya Technology LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avaya Technology LLC filed Critical Avaya Technology LLC
Publication of JP2008154236A publication Critical patent/JP2008154236A/ja
Application granted granted Critical
Publication of JP4620107B2 publication Critical patent/JP4620107B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

【課題】通信エンドポイントにおける組み込みファイアウォールの実装を可能とする方法を提供する。
【解決手段】すべてエンドポイントに常駐している、アプリケーション、ファイアウォール・エンジン、およびパケット分類ルール・データベースの間の関係を扱う。アプリケーションは、(i)ローカルなメッセージ・パッシングを通してなどで、一緒に常駐しているファイアウォール・エンジンと直接交信し、(ii)メモリをファイアウォール・エンジンと共有し、かつ(iii)オペレーティング・システムに対してソケット・コールを行い、そのソケット・コールはミドルウェア層により傍受され、続いてミドルウェア層はそのソケット・コールに応じてルール・データベースを修正する。アプリケーション、ファイアウォール・エンジン、およびルール・データベースがエンドポイントに一緒に常駐している。
【選択図】図2

Description

本発明は、一般的に通信に関し、より詳細には、通信エンドポイントにおける組み込みファイアウォールを提供することに関する。
以下の出願の基本的概念は、本明細書に参照により組み込まれるが、用語に関しては必ずしも組み込まれるわけではない。
2005年6月21日に出願された米国特許出願第11/157880号。本出願の特許請求の範囲の解釈に影響を与える可能性がある、用語における何らかの矛盾または不一致が本出願と参照により組み込まれている出願との間に存在する場合、本出願の特許請求の範囲は、本出願の用語と一致するものと解釈されるべきである。
図1は、従来技術における通信システム100の概略図を示す。システム100は、音声の会話、またはビデオなどの他の種類のメディアを通信エンドポイントなどのネットワーク要素間でルーティングする。通信システム100は、次のものを備える。
i.基幹パケット・ネットワーク101。
ii.ローカル・エリア・ネットワーク(LAN)102−1から102−Q。ただしQは自然数である。
iii.他のプロバイダ・ネットワーク103−1から103−R。ただしRは自然数である。
iv.通信エンドポイント104−1から104−S。ただしSは自然数である。
v.ルータ105−1から105−Q。
vi.ゲートウェイ106−1から106−R。
図1に示された要素のすべては図示のように互いに接続されている。図で示すように、システム100は、基幹パケット・ネットワーク101、ローカル・エリア・ネットワーク102−q(q=1からQ)、および他のプロバイダ・ネットワーク103−r(r=1からR)を含む、複数の異なる種類のネットワークを備える。
基幹パケット・ネットワーク101を用いて、特定のサービス・プロバイダの加入者のために、Voice over Internet Protocol(または「VoIP」)などの1つまたは複数の種類のメディアを搬送する。ネットワーク101自体は、データ・パケット(例えば、音声パケットなど)を1つまたは複数のソースからそれらのパケットの適切な送付先に導くために用いられるルータなどの1つまたは複数の伝送関連のノードを備える。ネットワーク101は、システム100全体にわたる様々な通信エンドポイントおよびゲートウェイなど、ネットワーク101にアクセスするネットワーク要素間で送信されるインターネット・プロトコルベースのメッセージを処理することができる。図示のようにネットワーク101は、Voice−over−IPサービス・プロバイダのネットワークであるが、ネットワーク101は代替としてインターネットまたは何らかの他の種類のインターネット・プロトコルベースのネットワークである可能性がある。
ローカル・エリア・ネットワーク(または「LAN」)102−qは、企業システム内などの信号のローカルな配送を行い、基幹パケット・ネットワーク101と通信エンドポイント104−1から104−Sとの間のハブ、ブリッジ、およびスイッチなどのネットワーク機器を備える。LAN102は、イーサーネットまたはIEEE802.3などのネットワーク・プロトコルに準拠して動作する。
他のプロバイダ・ネットワーク103−rを用いて、基幹ネットワーク101のプロバイダとは異なるサービス・プロバイダの加入者のために、Voice over Internet Protocol(または「VoIP」)などの1つまたは複数の種類のメディアを搬送し、この場合各ネットワーク103−rは、互いに異なるサービス・プロバイダに属することができる。ネットワーク103−rは、信号を1つまたは複数のソースからそれらの信号の適切な送付先に導くために用いられるルータまたはスイッチなど、1つまたは複数の伝送関連のノードを備える。例えば、ネットワーク103−1は公衆交換電話ネットワーク(PSTN:Public Switched Telephone Network)であってよく、これは、装置間の回線交換方式の通話でアナログまたはデジタルのどちらかの伝達情報を処理することができ、一方、ネットワーク103−2は、インターネット・プロトコルベースのネットワークまたはまったく異なるプロトコルに基づくネットワークなどの、別の種類の回線ベースまたはパケットベースのネットワークであってよいなどである。
基幹101は、ルータおよびゲートウェイなどの異なる種類のネットワーク装置を介して様々な他のネットワークと接続される。ルータ105−qは、データ・パケットを2つのネットワーク間で転送することにより、対応するLAN102−qに基幹101を接続するネットワーク装置である。ルータ105−qは、パケットを開放型システム間相互接続(OSI:Open System Interconnection)参照モデルのネットワーク層(すなわち、第3層)でルーティングする。一方、ゲートウェイ106−rは、データ・パケットを2つのネットワーク間で転送することにより、基幹101をゲートウェイの対応するネットワーク103−rと接続するネットワーク装置である。ゲートウェイ106−rは、ゲートウェイが2つの異なる種類のネットワーク間の変換装置として働く点でルータ105−qと異なる。例えば、ゲートウェイ106−1は、パケット交換ネットワークである基幹ネットワーク101と前に説明した回線交換方式のPSTNである他のプロバイダ・ネットワーク103−1とを相互接続し、これら2つのネットワークの間の変換装置として働く。ゲートウェイ106−rは2つの異なる種類のネットワークを結び付けるため、その主要な機能の1つは、この2つのネットワークを跨いで使用される異なる伝送および符号化の技術間の変換を行うことである。
通信エンドポイント104−s(s=1からS)は、デスクセット、会議装置、無線端末、デスクトップまたはポータブル・コンピュータ(すなわち、「ソフトフォン」)、インターネット電話等などの通信機器である。図示のように、エンドポイント104−sは、ローカル・エリア・ネットワーク内で動作する。エンドポイント104−sは、そのユーザからの音声信号をデジタル化し、このデジタル化した信号を伝送可能なデータ・パケットにオーディオ圧縮/解凍(または「CODEC」)回路を通してフォーマット化することができる。同様に、エンドポイント104−sのCODEC回路はデータ・パケットを受信し、それらのパケット中に含まれている情報をエンドポイントのユーザによって理解可能な音声信号に変換することもできる。
通信エンドポイント104−sは、パーソナル・コンピュータが情報を他のコンピュータとインターネットを通して交換することができる方法と同じようなやり方で、情報を通信システム100内の任意の他の装置と交換することができるパケットベースの装置である。その結果、エンドポイント104−sは、「サービス妨害」(DoS)攻撃など、パーソナル・コンピュータと同一または類似のパケット攻撃の多くに対して脆弱である。図1に明らかであるように、システム100内の任意のネットワークの中からエンドポイント104−sに向けられる可能性がある潜在的なパケット攻撃のソースが多く存在する。また、パーソナル・コンピュータと比較すると、エンドポイント104−sは、エンドポイントはネットワーキング機能と処理能力との間が本来不均衡であるために、特に脆弱である。この不均衡は、パケットの殺到が、電話のネットワーキング機能が損なわれる前にパケットベースの電話のプロセッサを容易に中断させることができることを意味する。
ファイアウォールは、コンピュータ・データ・ネットワーク内で使用される方法と同様に、いくつかの悪意あるパケットを除去でき、VoIPネットワーク内で使用可能である。ファイアウォールは、実際にはソフトウェアまたはハードウェアのどちらかであり、エンドポイントに達する悪意あるパケットの量を限定することを試みるために、主にネットワークの周辺部(すなわち、「ネットワーク端」)に配置され、例えば、ファイアウォールは、ルータ105−1から105−Qおよびゲートウェイ106−1から106−Rに配置可能である。しかし、ファイアウォールをネットワーク端の装置に実装することは、様々な理由で不都合である。第1に、ネットワーク端のファイアウォールは、そのネットワーク自体の中でなく、ネットワークの端の外で発生する悪意あるトラフィックから保護することのみが可能である。第2に、Voice−over−IPエンドポイントを不通にするために加えられたネットワーク・トラフィックをほとんど取得できないことが多いため、ネットワーク端のファイアウォールは、特定区域内のいかなるエンドポイントに対してもトラフィックを監視するには不十分である可能性がある。また第3に、ネットワーク端のファイアウォールは、エンドポイントのみが有する可能性がある具体的な知識に欠け、その結果、ネットワーク端のファイアウォールを不完全なパケット監視装置にしてしまう。このため、エンドポイント自体に「組み込まれた」ファイアウォールが、悪意あるパケット攻撃を効果的に阻止するためにますます必要になってきている。
エンドポイントの性能に対する任意の悪影響を回避または最小化するようなやり方で、エンドポイントで実行するソフトウェア・ファイアウォール処理をエンドポイントに前から存在する電話通信アプリケーションに統合することが重要である。
米国特許出願第11/157880号
本発明は、通信エンドポイントにおける組み込みファイアウォールの実装を可能にする。具体的には、本発明の例示の実施形態は、すべてエンドポイントに常駐している、アプリケーション、ファイアウォール・エンジン、およびパケット分類ルール・データベースの間の関係を扱う。本明細書で説明する例示の実施形態の変形では、アプリケーションは、(i)ローカルなメッセージ・パッシングを通してなどで、一緒に常駐しているファイアウォール・エンジンと直接交信し、(ii)メモリをファイアウォール・エンジンと共有し、かつ(iii)オペレーティング・システムに対してソケット・コールを行い、そのソケット・コールはミドルウェア層により傍受され、続いてミドルウェア層はそのソケット・コールに応じてルール・データベースを修正する。これらの技術の共通の特徴は、アプリケーション、ファイアウォール・エンジン、およびルール・データベースがエンドポイントに一緒に常駐していることであり、これは以下に説明されるように組み込みファイアウォールの実装に好都合である。
しばしば、エンドポイントに組み込まれたファイアウォールにより保護されているアプリケーションは、どの種類のトラフィックが正当であるかに関する最適な知識を有し、したがってこの知識に基づきファイアウォールを直接制御できる。アプリケーションおよびファイアウォール・エンジンのソフトウェア要素が一緒に常駐しているため、それらの間の交信は、この2つのソフトウェア要素が別々のネットワーク要素に常駐した場合より効率がより良いものである。例えば、アプリケーション・ソフトウェアは、暗号化されたパケットのロックを解除するように設計された認証コードなどの情報を外部のソースから受信することを許可されている、エンドポイントで唯一の要素であると想定されたい。例示の実施形態によると、アプリケーションは、エンドポイントに内蔵されている共有メモリを通してファイアウォール・エンジンに認証コードを容易に提供することが可能である。それに対して、従来技術におけるネットワーク端のファイアウォールは、エンドポイントのローカル・メモリにアクセスできず、したがって、端のファイアウォールは共有キーおよび認証コードを認識せず、その結果、暗号化されているように見える悪意あるパケットを除去できない。
アプリケーション・ソフトウェアに対する変更を回避または最小化するために、ミドルウェア層がエンドポイントでアプリケーションとオペレーティング・システムの間に挿入され、このミドルウェア層は、ソケット・コールを傍受してこの傍受されたソケット・コールに基づきルール・データベースに動的な変化を起こす。それに対して、従来技術におけるネットワーク端のファイアウォールも変更可能なルールを設定できるが、端のファイアウォールがアプリケーションと一緒に常駐していないため、ソケット・コールを捕獲することによってではなく、パケット・ストリームに基づき接続状態を探知することによりこのルール設定を行う。従来技術におけるネットワーク端のファイアウォールは、アプリケーションに対して外付けである装置により開始された接続に対してではなく、アプリケーションにより開始された外へ向かう接続に対して、変更可能なルールを設定できるだけであるということを意味しているようである。
本発明の例示の実施形態は、イングレス・パケットが受信され処理されるエンドポイントでファイアウォール・エンジンおよびアプリケーションを実行することと、アプリケーションの動作状態における状態変化がこのアプリケーションの実行中に起きるとき、ファイアウォール・エンジンにこの状態変化を通知することと、第1のルールを含む第1のセットのパケット分類ルールに基づき、少なくとも1つのイングレス・パケットをフィルターすることとを備え、この第1のセットのパケット分類ルールの選択はこの状態変化に基づく。
図2は、本発明の例示の実施形態による高度な通信エンドポイント204−sの主要なハードウェア要素を図示する。エンドポイント204−sは、ネットワーク・インターフェース201、プロセッサ202、およびメモリ203を備え、これらは図示され以下に説明されるように相互接続されている。高度なエンドポイント204−sは、エンドポイント104−sがそのユーザのためにシステム100にアクセスする方法とほぼ同様のやり方で、そのユーザのために通信システムにアクセスする通信機器である。例示の実施形態では、エンドポイント204−sは、ローカル・エリア・ネットワーク(すなわち、ネットワーク102−q)内で動作し、いくつかの他の実施形態では、このエンドポイントは、異なる種類のネットワーク(例えば携帯電話等)内で動作する。エンドポイント204−sは、デスクセット、会議装置、携帯電話、デスクトップまたはポータブル・コンピュータ(すなわち、「ソフトフォン」)などを含む、様々な種類の通信機器の1つであってよい。エンドポイント104−sと同様に、通信エンドポイント204−sは、そのユーザからの音声信号をデジタル化し、そのデジタル化した信号を伝送可能なデータ・パケットへオーディオ圧縮/解凍(または「CODEC」)回路を通してフォーマット化することができる。同様に、エンドポイント204−sのCODEC回路は、データ・パケットを受信し、それらのパケット中に含まれる情報をエンドポイントのユーザに理解可能な音声信号へ変換することもできる。
従来技術のエンドポイント104−sで示された機能に加え、通信エンドポイント204−sはさらに、本発明の例示の実施形態によれば、以下に説明され図6から図8に関するタスクを実行することができる。
ネットワーク・インターフェース201は、他のインターネット・プロトコル対応の装置からの着信パケットなど、パケット信号をその対応したネットワークから受信し、よく知られた方法でその信号内に符号化された情報をプロセッサ202に転送することができる。またネットワーク・インターフェース201は、情報をプロセッサ202から受信し、この情報を符号化する信号を他のインターネット・プロトコル対応の装置にネットワークを介してよく知られた方法で送信することができる。本明細書を読んだ後には、ネットワーク・インターフェース201を作成し使用する方法が当業者にとって明白であろう。
プロセッサ202は、インターフェース201からの情報の受信と、メモリ203内に格納された命令の実行と、メモリ203からのデータの読み込みおよびメモリ203へのデータの書き込みと、以下に説明され図6から図8に関するタスクの実行と、インターフェース201への情報の送信とを行うことができる汎用プロセッサである。本発明のいくつかの他の実施形態では、プロセッサ202は特殊用途のプロセッサであってよい。どちらの場合も、本明細書を読んだ後には、プロセッサ202を作成し使用する方法が当業者にとって明白であろう。
メモリ203は、プロセッサ202により使用される命令およびデータを格納する。より具体的には、メモリは、以下に図3から図5に関して説明され、プロセッサ202により実行および使用される、ソフトウェア・アプリケーション、ファイアウォール・エンジン、ルール・データベース、ミドルウェア層、およびオペレーティング・システムを格納する。メモリ203は、ダイナミック・ランダムアクセス・メモリ(RAM)、フラッシュ・メモリ、ディスク・ドライブ・メモリなどの任意の組合せであってよい。本明細書を読んだ後には、メモリ203を作成し使用する方法が当業者にとって明白であろう。
図3から図5は、本発明の例示の実施形態の異なる変形による、高度な通信エンドポイント204−sの主要なソフトウェア要素を図示する。各図は、アプリケーション、ファイアウォール・エンジン、およびルール・データベースを図示し、これらすべては、エンドポイント204−sに常駐している。図示されたアプリケーションは、エンドポイントにより処理される通話のための通話制御を行うなど、エンドポイント自体の目的と一致するいくつかの有用なタスクまたはタスク群を実行する。図示されたファイアウォール・エンジンは、エンドポイント204−sが攻撃にさらされることを抑えるために、イングレス(すなわち着信)パケット、およびおそらくエグレス(すなわち発信)パケットのフィルターとして機能する。図示されたパケット分類ルール・データベースは、フィールド、値、および各パケット分類のためのアクションで構成され、ファイアウォールにより使用されて各パケットを調べる方法およびとるべき適切なアクションを決定する。
図3から図5のそれぞれは、存在する他のソフトウェア要素に対して、組み込みファイアウォールが実装できる方法の異なる変形を表す。図3は、アプリケーションがその現在の状態をファイアウォール・エンジンに信号で伝える機能を有する第1の変形を表す。図4は、アプリケーションがルール・データベースにデータを追加する機能を有する第2の変形を表す。また図5は、ミドルウェア層または同等物がルール・データベースにデータを追加する機能を有する第3の変形を表す。本明細書を読んだ後に当業者が理解するように、1つまたは複数の説明した変形が、同一のエンドポイントに存在でき、互いにやり取りすることができる。さらに、1つまたは複数の説明された変形は、エンドポイントに他のソフトウェア要素と共に組み込まれたファイアウォールの他の変形と共に存在できる。
図3は、本発明の例示の実施形態の第1の変形による、高度な通信エンドポイント204−sの主要なソフトウェア要素を図示する。エンドポイント204−sは、アプリケーション301、ファイアウォール・エンジン302、およびルール・データベース303を備え、これらは、図示され以下に説明されるように相互に関係している。
この第1の変形では、アプリケーション301は異なった動作状態を有し、ファイアウォールのルールの異なるセットが各状態に適用される。アプリケーション301は、状態の変化をファイアウォール・エンジン302に信号で伝えることができる。エンジン302は、各着信パケットに適用されるルール・データベース303からのルールを現在の状態に適用するサブセットにのみに限定し、またエンジン302は、適用可能なルール・セットにより明示的に許可されないパケットを放棄する。ファイアウォール・エンジン302が処理する必要があるルールのセットの減少は、ファイアウォールの効率を増加させる。
例えば、エンドポイント204−sで稼動している電話のアプリケーションは、少なくとも以下の動作状態を呈することができる。
i.アプリケーション301の起動状態であり、この状態では、ゲートキーパなどの特定のネットワーク・ノードからのシグナリング・メッセージ、およびおそらく新しいロード・イメージを含むトリビアル・ファイル転送プロトコル(TFTP:trivial file transfer protocol)パケットのみが受け入れられるものとする。
ii.ディスカバリ状態であり、この状態では、ゲートキーパを探して登録するエンドポイント204−sと一致するシグナリング・メッセージのみが受け入れられるものとする。
iii.オンフック状態であり、この状態では、ゲートキーパからのシグナリング・メッセージ(例えばハートビートなど)のみが受け入れられるものとする。
iv.オフフック状態であり、この状態では、メディアおよびシグナリングのトラフィックのみが許可されるものとする。
図4は、本発明の例示の実施形態の第2の変形による、高度な通信エンドポイント204−sの主要なソフトウェア要素を図示する。エンドポイント204−sは、アプリケーション301、ファイアウォール・エンジン302、およびルール・データベース303を備え、これらは図示され以下に説明されるように相互に関係している。
この第2の変形では、アプリケーション301は、どのパケットが正当であるかを決定するためのそれ自体のルールを有しており、したがって、それらのパケットを特定することができる唯一のエンティティである。この変形では、アプリケーション301は、ルール・データベース303に直接データを追加し、それによりこれらのルールを実施できる。例として、音声パケットの信頼性、完全性、および秘密を保証するメカニズムであるSecure Real−time Transport Protocol(SRTP)を考えられたい。アプリケーション303は、すべての音声パケットに対して、通話準備の間にネゴシエーションされた共有キーに基づく4バイトの認証コードを受信することを期待する。パケットで受信される認証コードが期待されたものでない場合、そのパケットは不当であると考えられ、放棄される。これはファイアウォール・ルールとして直接実装でき、着信音声パケットはその認証コードがルールで指定されているもののうちの1つと一致する場合のみ許可される。例示の実施形態によると、アプリケーション301は、ファイアウォール・エンジン302によりアクセス可能なメモリ内のルール・データベース303に認証コードのルールを書き込む。エンジンは、様々なパケットの認証コードをそのリストに対して一致させる。
図5は、本発明の例示の実施形態の第3の変形による、高度な通信エンドポイント204−sの主要なソフトウェア要素を図示する。エンドポイント204−sは、アプリケーション301、ファイアウォール・エンジン302、ルール・データベース303、ミドルウェア層504、およびオペレーティング・システム層505を備え、これらは、図示され以下に説明されるように相互に関係している。
この第3の変形では、アプリケーション301およびファイアウォール302は一緒に常駐しており、したがってエンドポイント204−sでミドルウェア層504が存在することが可能となる。ミドルウェア層504は、当技術分野で知られるように、オペレーティング・システム層505へアプリケーション301により行われるソケット・ライブラリ・コールを傍受することにより、動的にルール・データベース303にデータを追加する。
一例として、アプリケーション301がリモート装置に接続するために「connect(socket,ip,port)」コールを送出すると、ミドルウェア504は、このコールを傍受して、remote(ip、port)アドレスからのパケットを許可するために一時的にデータベース303にルールを設定する。接続ハンドシェイクが成功する場合、ミドルウェア層504はルールが存続することを許すが、その他の場合は、ミドルウェア層504はデータベースからルールを削除する。同様に、アプリケーション301が後にソケットを閉じるためにコールを送出すると、ミドルウェア層504は、ルールを削除する。
第二の例として、アプリケーション301がポート1234上でパケットを受信可能にするために「bind(socket,port=1234)」コールを行うと、ミドルウェア層504は、そのコールを傍受してポート1234でその装置行きのパケットを許可するためにルール・データベース303にルールを追加する。アプリケーション301が後にそのソケットを閉じるためにコールを送出すると、ミドルウェア層504はそのルールをデータベースから削除する。このように、ミドルウェア層504は、アプリケーション・プログラマに負荷をかけることなく、データベース303にルールを追加し、またはデータベース303からルールを削除することができる。
図6から図8は、本発明の例示の実施形態による、通信エンドポイント204−sにより実行される主要なタスクの流れ図を図示する。これらの主要なタスクは、エンドポイント204−sでのイングレス・パケットの処理に関わる。当業者が理解するように、図6から図8にあらわれるタスクのいくつかは、並列にまたは図示されたものとは異なる順序で実行可能である。
図6は、ファイアウォール・エンジン302またはルール・データベース303がアップデートされるべきかを決定する際にエンドポイント204−sにより実行されるタスクの主なセットを図示する。タスク601で、エンドポイント204−sはファイアウォール・エンジン302およびアプリケーション301の実行を開始し、エンジン302は少なくとも1つのルールを含むルール・データベース303を使用する。
タスク602で、エンドポイント204−sはエンジン302またはデータベース303がアップデートされる必要があるかを調べる。アップデートが起きる必要があるかをエンドポイント204−sが調べる時点は、例えば、2005年6月21日に出願され、本明細書に参照により組み込まれる米国特許出願第11/157880号に説明されている速度ベース・ルール・アップデート技術に基づくことができる。エンジン302またはデータベース303がアップデートされる必要がある場合、タスク実行はタスク603に進む。その他の場合、タスク実行はタスク604に進む。
タスク603で、エンドポイント204−sはエンジン302またはデータベース303をアップデートする。タスク603は以下に図7に関して詳細に説明される。
タスク604で、エンドポイント204−sのファイアウォール・エンジン302は1つまたは複数のパケットにアクションを行う。タスク604は以下に図8に関して詳細に説明される。次にタスク実行はタスク602に戻る。
図7は、上述のタスク603の主要なサブタスクを図示し、これらのサブタスクは、ファイアウォール・エンジン302およびルール・データベース303のうちの1つまたは両方をアップデートすることに関わる。タスク701で、アプリケーション301は状態変化がその動作状態に起こったかを決定する。状態変化が起こっている場合、タスク実行はタスク702に進む。その他の場合、タスク実行はタスク703に進む。
タスク702で、アプリケーション301は、上述され図3に関して説明されたように、ファイアウォール・エンジン302にこの状態変化を通知する。いくつかの実施形態では、この通知は、ファイアウォール・エンジン302が知る必要がある状態変化のそれぞれに対して、その状態変化が起こるアプリケーション・プログラムに追加のコマンド・ラインを加えることにより可能となる。
タスク703で、アプリケーション301が、ネットワークから受信しているイングレス・パケットがこれから先も所定の特性を示すものであると予想する場合、タスク実行はタスク704に進む。言い換えれば、アプリケーション301は場合によっては、ファイアウォール・エンジン302が認識していないパケット・トラフィックの特性を認識することができる。いくつかの実施形態では、この所定の特性は暗号化であり、イングレス・パケットは暗号化ベース・プロトコル(例えば、Secure Real−time Transport Protocolなど)に準拠してフォーマット化される。アプリケーション301が所定の特性を持つパケットを予想していない場合、タスク実行は代わりにタスク705に進む。
タスク704で、アプリケーション301は、パケット・トラフィックに関して知る位置にいる唯一のものであり、上述され図4に関して説明されたように、ルールをデータベース303に格納することによりエンジン302が利用可能なルール(例えば、「特定の認証コードを示すパケットを許可する」など)を作成する。
タスク705で、ソケット・コールが行われたことをミドルウェア層504が検知する場合、タスク実行はタスク706に進む。その他の場合、タスク実行はタスク604に進む。
タスク706で、ミドルウェア層504はアプリケーション301により行われるソケット・コールを傍受する。言い換えれば、層504は、オペレーティング・システム層505へのソケット・コールを完了させることに加えて、ルール・データベース303に関するアクションを行う。
タスク707で、ミドルウェア層504は、上述され図5に関して説明されたように、ソケット・コールに基づくルールをデータベース303に設定するアクションを行う。タスク実行は次にタスク604に進む。
図8は上述のタスク604の主要なサブタスクを図示し、これらのサブタスクは、1つまたは複数のパケットに対してアクションを行うことに関わる。タスク801で、ファイアウォール・エンジン302は、前に説明したように、設定され、エンジン302に利用可能な1つまたは複数のルールを備えているパケット分類ルールのセットに基づき、1つまたは複数のイングレス・パケットをフィルターする。
いくつかの実施形態では、使用するパケット分類ルールの特定のセットの選択は、エンジン302がタスク702で通知される状態変化に基づく。いくつかの他の実施形態では、使用されるルールの特定のセットは、遷移状態(例えば、エンドポイント204−sでのオンフック状態からオフフック状態へ、など)にも基づく。フィルターされたパケットは、パケット分類ルールにより通過を許可されるか放棄されるかのどちらかであることができる。
タスク802で、いくつかの実施形態ではエンジン302は、外付けの侵入検知システムまたは侵入防止システムなどの、エンドポイント204−sに外付けである装置に通知する。次に外付けシステムは、ネットワーク管理者に警告するか、または危険なネットワーク・トラフィックをルーティングし、攻撃を受けているネットワーク領域を迂回させるなどの適切なアクションを行うことができる。
タスク803で、いくつかの実施形態ではエンジン302は、エンドポイント204−sでネットワーク・インターフェースと一緒に常駐しているということをうまく利用して、それによりパケット攻撃がエンドポイント204−sで起こっていることを検知し、その結果、ネットワーク・インターフェース201を使用不可にする。この使用不可にすることにより、エンドポイント204−sが攻撃トラフィック負荷のこの上ない強度により圧倒されることを防ぐ。エンジン302は、周期的にネットワーク・インターフェースを開いて攻撃トラフィックが強度において軽減されたかを決定でき、決定されると通常の操作が再開できる。
いくつかの実施形態ではエンジン302は、特定の時間間隔でネットワーク・インターフェース201を使用不可にする。例えばこの時間間隔は、パケット攻撃の強度などの検知されたパケット攻撃の特性に基づくことができる。
タスク804で、いくつかの実施形態ではエンジン302は、アプリケーション301が新たな脆弱性を有していると決定されているときに、かつアプリケーション301がこの脆弱性を修復するためにパッチをあてられる前に、一時的な手段として攻撃パケットをブロックする新しいルールを受け入れる。このアプリケーションがパッチをあてられると、このルールはもはや必要ではなく、エンジン302はこのルールを削除できる。
タスク805で、エンジン302は、外部システムにエンドポイント204−sで実行されているソフトウェアの現在の状態に関して報告する。この状態は、エンドポイント204−sで稼動しているソフトウェアのバージョン番号などのものを表す。この外部システムは、この情報を既知の脆弱性のデータベースに対して一致させ、それによりエンドポイント204−sで稼動しているこのソフトウェアが任意の攻撃に影響を受けやすいかを決定することができる。この情報を使用して、脆弱な装置を隔離することができる。例えば、脆弱なエンドポイントは、ゲートキーパに登録することは許可されず、登録することを控えなければならない。
上述の実施形態は単に本発明の例示であり、上述の実施形態の多くの変形は本発明の範囲から逸脱することなく当業者により考案可能であることが理解されよう。例えば、本明細書では、多数の具体的な詳細が本発明の例示の実施形態の十分な説明および理解を与えるために提供される。しかし、当業者は、本発明が1つまたは複数のそれらの詳細なしに、または他の方法、材料、構成要素等と共に実施可能であることを理解されよう。
さらに、いくつかの具体例では、よく知られた構造、材料または操作は、例示の実施形態の態様を曖昧にすることを避けるために、詳細に図示または説明されない。図に示された様々な実施形態は例示であり、正確に描かれているわけではないことが理解されよう。本明細書にわたる「一実施形態」または「実施形態」または「いくつかの実施形態」という言及は、実施形態(群)と関連して説明された特定の機能、構造、材料または特性が本発明の少なくとも1つの実施形態に含まれるが、すべての実施形態に含まれるわけではないことを意味する。したがって、本明細書にわたる様々な場所の「一実施形態において」、「実施形態において」、または「いくつかの実施形態では」という言葉の出現は、すべて同一の実施形態を指しているわけではない。さらに、この特定の機能、構造、材料または特性は、1つまたは複数の実施形態において任意のふさわしい方法で結合可能である。したがって、このような変形は、特許請求の範囲およびその均等物の範囲の中に含まれることを意図する。
従来技術における通信システム100の概略図である。 本発明の例示の実施形態による、高度な通信エンドポイント204−sの主要なハードウェア要素を示す図である。 例示の実施形態の第1の変形による、エンドポイント204−sの主要なソフトウェア要素を示す図である。 例示の実施形態の第2の変形による、エンドポイント204−sの主要なソフトウェア要素を示す図である。 例示の実施形態の第3の変形による、エンドポイント204−sの主要なソフトウェア要素を示す図である。 本発明の例示の実施形態による、常駐しているファイアウォール・エンジンまたはルール・データベースがイングレス・パケットを管理する目的でアップデートされるべきであると決定する際に、エンドポイント204−sにより実行されるタスクのセットを示す図である。 常駐しているファイアウォール・エンジンおよびルール・データベースのうちの1つまたは両方をアップデートすることに関わる主要なタスクを示す図である。 1つまたは複数のイングレス・パケットに対してアクションを行うことに関わる主要なサブタスクを示す図である。

Claims (24)

  1. 通信エンドポイントでイングレス・パケットを処理する方法であって、
    前記エンドポイントでファイアウォール・エンジンおよびアプリケーションを実行するステップと、
    前記アプリケーションの動作状態における状態変化が前記アプリケーションの実行中に起きるとき、前記ファイアウォール・エンジンに前記状態変化を通知するステップと、
    第1のルールを備える第1のセットのパケット分類ルールに基づき少なくとも1つの前記イングレス・パケットをフィルターするステップであって、前記第1のセットのパケット分類ルールの選択は前記状態変化に基づく、フィルターするステップと
    を備える方法。
  2. 前記アプリケーションが、その実行中に前記イングレス・パケットが所定の特性を示すものであると単独で予想するとき、前記第1のセットのパケット分類ルールの一部として第2のルールを前記ファイアウォール・エンジンに利用可能にするステップをさらに備える、請求項1に記載の方法。
  3. 前記アプリケーションによりその実行中に行われる第1のソケット・ライブラリ・コールが検知されるとき、前記第1のソケット・ライブラリ・コールを傍受するステップと、
    前記第1のソケット・ライブラリ・コールが傍受されたとき、前記第1のソケット・ライブラリ・コールに基づく第3のルールを設定するステップとをさらに備え、
    前記第3のルールは前記第1のセットのパケット分類ルールの一部である、請求項2に記載の方法。
  4. 前記第1のセットのパケット分類ルールもまた前記遷移状態に基づく、請求項1に記載の方法。
  5. 前記状態変化の結果として、前記アプリケーションは、前記エンドポイントにおけるオンフック状態に対応する第1の状態から前記エンドポイントにおけるオフフック状態に対応する第2の状態に遷移する、請求項4に記載の方法。
  6. 前記エンドポイントにおけるパケット攻撃を検知するステップと、
    前記パケット攻撃の前記検知に基づき、第1の時間間隔で前記エンドポイントにおけるネットワーク・インターフェースを使用不可にするステップであって、前記ネットワーク・インターフェースは前記イングレス・パケット受信するためのものである、使用不可にするステップと
    をさらに備える、請求項1に記載の方法。
  7. 前記時間間隔は前記パケット攻撃の第1の特性に基づく、請求項6に記載の方法。
  8. 前記第1の特性は前記パケット攻撃の強度に基づく、請求項7に記載の方法。
  9. 通信エンドポイントでイングレス・パケットを処理する方法であって、
    前記エンドポイントでファイアウォール・エンジンおよびアプリケーションを実行するステップと、
    前記アプリケーションが、その実行中に前記イングレス・パケットが所定の特性を示すものであると単独で予想するとき、第1のルールを前記ファイアウォール・エンジンに利用可能にするステップと、
    前記第1のルールを備える第1のセットのパケット分類ルールに基づき少なくとも1つの前記イングレス・パケットをフィルターするステップと
    を備える方法。
  10. 前記アプリケーションによりその実行中に行われる第1のソケット・ライブラリ・コールが検知されるとき、前記第1のソケット・ライブラリ・コールを傍受するステップと、
    前記第1のソケット・ライブラリ・コールが傍受されたとき、前記第1のソケット・ライブラリ・コールに基づく第2のルールを設定するステップとをさらに備え、
    前記第2のルールは前記第1のセットのパケット分類ルールの一部である、請求項9に記載の方法。
  11. 前記所定の特性は暗号化である、請求項9に記載の方法。
  12. 前記イングレス・パケットはSecure Real−time Transport Protocolに準拠してフォーマット化される、請求項11に記載の方法。
  13. 前記エンドポイントにおけるパケット攻撃を検知するステップと、
    前記パケット攻撃の前記検知に基づき、第1の時間間隔で前記エンドポイントにおけるネットワーク・インターフェースを使用不可にするステップであって、前記ネットワーク・インターフェースは前記イングレス・パケットを受信するためのものである、使用不可にするステップと
    をさらに備える、請求項9に記載の方法。
  14. 前記時間間隔は前記パケット攻撃の第1の特性に基づく、請求項13に記載の方法。
  15. 前記第1の特性は前記パケット攻撃の強度に基づく、請求項14に記載の方法。
  16. 通信エンドポイントでイングレス・パケットを処理する方法であって、
    前記エンドポイントでファイアウォール・エンジンおよびアプリケーションを実行するステップと、
    前記アプリケーションによりその実行中に行われる第1のソケット・ライブラリ・コールが検知されるとき、前記第1のソケット・ライブラリ・コールを傍受するステップと、
    前記第1のソケット・ライブラリ・コールが傍受されたとき、前記第1のソケット・ライブラリ・コールに基づく第1のルールを設定するステップと、
    前記第1のルールを備える第1のセットのパケット分類ルールに基づき、少なくとも1つの前記イングレス・パケットをフィルターするステップと
    を備える方法。
  17. 前記アプリケーションの動作状態における状態変化が前記アプリケーションの実行中に起きるとき、前記ファイアウォール・エンジンに前記状態変化を通知するステップをさらに備え、
    前記第1のセットのパケット分類ルールの選択は前記状態変化に基づく、請求項16に記載の方法。
  18. 前記第1のルールは、前記第1のソケット・ライブラリ・コール内に指定されるリモート・アドレスからの前記イングレス・パケットを許可する、請求項16に記載の方法。
  19. 前記第1のルールは、前記第1のソケット・ライブラリ・コール内に指定されるポートに行く前記イングレス・パケットを許可する、請求項16に記載の方法。
  20. 前記アプリケーションによりその実行中に行われる第2のソケット・ライブラリ・コールが検知され、前記第2のソケット・ライブラリ・コールがソケットを閉じるためであるとき、前記第1のルールを前記第1のセットのパケット分類ルールから削除するステップをさらに備える、請求項16に記載の方法。
  21. ミドルウェア層が前記第1のソケット・ライブラリ・コールおよび前記第2のソケット・ライブラリ・コールの検知を実行する、請求項20に記載の方法。
  22. 前記エンドポイントでパケット攻撃を検知するステップと、
    第1の時間間隔で、前記パケット攻撃の前記検知に基づき前記エンドポイントでのネットワーク・インターフェースを使用不可にするステップであって、前記ネットワーク・インターフェースは前記イングレス・パケットを受信するためのものである、使用不可にするステップと
    をさらに備える、請求項16に記載の方法。
  23. 前記時間間隔は前記パケット攻撃の第1の特性に基づく、請求項22に記載の方法。
  24. 前記第1の特性は前記パケット攻撃の強度に基づく、請求項23に記載の方法。
JP2007321665A 2006-12-13 2007-12-13 通信エンドポイントにおける組み込みファイアウォール Expired - Fee Related JP4620107B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/610,485 US8302179B2 (en) 2006-12-13 2006-12-13 Embedded firewall at a telecommunications endpoint

Publications (2)

Publication Number Publication Date
JP2008154236A true JP2008154236A (ja) 2008-07-03
JP4620107B2 JP4620107B2 (ja) 2011-01-26

Family

ID=39120349

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007321665A Expired - Fee Related JP4620107B2 (ja) 2006-12-13 2007-12-13 通信エンドポイントにおける組み込みファイアウォール

Country Status (3)

Country Link
US (1) US8302179B2 (ja)
EP (2) EP1933526A1 (ja)
JP (1) JP4620107B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8842834B2 (en) * 2007-03-19 2014-09-23 Harris Corporation Robust delivery of packet based secure voice
US8132248B2 (en) 2007-07-18 2012-03-06 Trend Micro Incorporated Managing configurations of a firewall
US8555369B2 (en) * 2011-10-10 2013-10-08 International Business Machines Corporation Secure firewall rule formulation
CN109413043B (zh) * 2018-09-25 2022-04-12 聚好看科技股份有限公司 实现数据库动态配置的方法及装置、电子设备、存储介质
US11245668B1 (en) * 2019-03-06 2022-02-08 Juniper Networks, Inc. Critical firewall functionality management

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004538678A (ja) * 2001-05-09 2004-12-24 テレコム・イタリア・エッセ・ピー・アー セッション追跡を利用する動的パケットフィルター
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
JP2006023934A (ja) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> サービス拒絶攻撃防御方法およびシステム

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6594268B1 (en) * 1999-03-11 2003-07-15 Lucent Technologies Inc. Adaptive routing system and method for QOS packet networks
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7188363B1 (en) * 2000-02-14 2007-03-06 Cisco Technology, Inc. Method and apparatus for adding and updating protocol inspection knowledge to firewall processing during runtime
US6975629B2 (en) * 2000-03-22 2005-12-13 Texas Instruments Incorporated Processing packets based on deadline intervals
US7096495B1 (en) * 2000-03-31 2006-08-22 Intel Corporation Network session management
US7254832B1 (en) 2000-08-28 2007-08-07 Nortel Networks Limited Firewall control for secure private networks with public VoIP access
US20020138643A1 (en) * 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
JP4082858B2 (ja) 2000-10-30 2008-04-30 富士通株式会社 ネットワークアクセス制御方法及びそれを用いたネットワークシステム及びそれを構成する装置
JP4067757B2 (ja) * 2000-10-31 2008-03-26 株式会社東芝 プログラム配布システム
JP4307747B2 (ja) * 2001-01-25 2009-08-05 インターナショナル・ビジネス・マシーンズ・コーポレーション 接続受付システム、受付サーバ、クライアント端末、接続受付管理方法、記憶媒体、コンピュータプログラム
WO2002067512A1 (fr) * 2001-02-19 2002-08-29 Fujitsu Limited Technique de filtrage de paquets et systeme securise de communication de paquets
GB0113902D0 (en) 2001-06-07 2001-08-01 Nokia Corp Security in area networks
US7684317B2 (en) 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US20030028806A1 (en) * 2001-08-06 2003-02-06 Rangaprasad Govindarajan Dynamic allocation of ports at firewall
US20030056226A1 (en) * 2001-09-20 2003-03-20 Lazarus David B. Implementation of virtual telephony endpoints in communications gateways
US6985961B1 (en) * 2001-12-04 2006-01-10 Nortel Networks Limited System for routing incoming message to various devices based on media capabilities and type of media session
US7624434B2 (en) * 2002-03-01 2009-11-24 3Com Corporation System for providing firewall capabilities to a communication device
US7284269B2 (en) * 2002-05-29 2007-10-16 Alcatel Canada Inc. High-speed adaptive structure of elementary firewall modules
JP4503934B2 (ja) * 2002-09-26 2010-07-14 株式会社東芝 サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機
JP2004248185A (ja) 2003-02-17 2004-09-02 Nippon Telegr & Teleph Corp <Ntt> ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
US7020771B2 (en) * 2003-05-05 2006-03-28 Cisco Technology, Inc. Controlling data security procedures using an admission control signaling protocol
JP2004341922A (ja) * 2003-05-16 2004-12-02 Canon Inc 受信装置、設定装置、接続要求装置、方法、及び、プログラム
JP3704134B2 (ja) 2003-05-29 2005-10-05 日本電信電話株式会社 パケット転送装置、ネットワーク制御サーバ、およびパケット通信ネットワーク
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7526803B2 (en) 2003-11-17 2009-04-28 Alcatel Lucent Detection of denial of service attacks against SIP (session initiation protocol) elements
US7734829B2 (en) * 2004-06-09 2010-06-08 Emc Corporation Methods, systems, and computer program products for transparently controlling communications between network applications and a plurality of network communications protocol stacks using deferred protocol stack association
JP2006086569A (ja) 2004-09-14 2006-03-30 Zenrin:Kk 携帯用データ読取装置
KR100728277B1 (ko) 2005-05-17 2007-06-13 삼성전자주식회사 동적 네트워크 보안 시스템 및 방법
US20070022474A1 (en) * 2005-07-21 2007-01-25 Mistletoe Technologies, Inc. Portable firewall
US7536573B2 (en) * 2005-07-29 2009-05-19 Hewlett-Packard Development Company, L.P. Power budgeting for computers

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004538678A (ja) * 2001-05-09 2004-12-24 テレコム・イタリア・エッセ・ピー・アー セッション追跡を利用する動的パケットフィルター
JP2005018769A (ja) * 2003-06-25 2005-01-20 Microsoft Corp アプリケーションのファイアウォール横断を支援する方法
JP2006023934A (ja) * 2004-07-07 2006-01-26 Nippon Telegr & Teleph Corp <Ntt> サービス拒絶攻撃防御方法およびシステム

Also Published As

Publication number Publication date
EP2141885A1 (en) 2010-01-06
US8302179B2 (en) 2012-10-30
JP4620107B2 (ja) 2011-01-26
EP2141885B1 (en) 2015-04-22
US20080148384A1 (en) 2008-06-19
EP1933526A1 (en) 2008-06-18

Similar Documents

Publication Publication Date Title
KR100822553B1 (ko) 침입 검출 방법
Li et al. Insecurity of voice solution VoLTE in LTE mobile networks
JP4638839B2 (ja) 通信機器に対するサービス拒否攻撃を緩和するためのシステムおよび方法
US20090094671A1 (en) System, Method and Apparatus for Providing Security in an IP-Based End User Device
US20080101223A1 (en) Method and apparatus for providing network based end-device protection
KR101277913B1 (ko) 침입 검출 방법
JP4620107B2 (ja) 通信エンドポイントにおける組み込みファイアウォール
EP2037656B1 (en) Signature-free intrusion detection
WO2007079044A2 (en) Method and system for transparent bridging and bi-directional management of network data
US7917627B1 (en) System and method for providing security in a network environment
JP2010187070A (ja) 情報処理装置、情報処理方法、プログラムおよび情報処理システム
US10609064B2 (en) Network device access control and information security
US10567433B2 (en) Network device authorization for access control and information security
Steinklauber VoIP security in small businesses
Chander et al. Detection of DDoS Attack Using Traceback Technique
Knezevic et al. An Overview of IP Telephony Security Issues and Recommended Solutions.
Sun et al. Possibilities of Voice Resource DoS Attacks Based on H. 323 Protocol in Softswitch Network
GB2436190A (en) Malicious network activity detection utilising a model of user contact lists built up from monitoring network communications
Sass Voice over IP Security Planning, Threats and Recommendations
Feroz et al. Security and Risk Analysis of VoIP Networks
Peuhkuri Firewalls and intrusion detection systems
Bradbury Why we love to hate our telcos

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100415

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100506

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100728

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101004

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101027

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131105

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4620107

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131105

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131105

Year of fee payment: 3

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees