JP2008512958A - 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 - Google Patents

無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 Download PDF

Info

Publication number
JP2008512958A
JP2008512958A JP2007531329A JP2007531329A JP2008512958A JP 2008512958 A JP2008512958 A JP 2008512958A JP 2007531329 A JP2007531329 A JP 2007531329A JP 2007531329 A JP2007531329 A JP 2007531329A JP 2008512958 A JP2008512958 A JP 2008512958A
Authority
JP
Japan
Prior art keywords
network
access gateway
network node
filtering
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007531329A
Other languages
English (en)
Inventor
マイケル ボレラ
Original Assignee
ユーティースターコム,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ユーティースターコム,インコーポレイテッド filed Critical ユーティースターコム,インコーポレイテッド
Publication of JP2008512958A publication Critical patent/JP2008512958A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】通信ネットワークのアクセスゲートウェイにおけるデータパケットのダイナミック・フィルタリングについての方法及びシステムを提供する。
【解決手段】本方法によれば、ポリシーサーバは、ネットワークノードからのネットワークを用いて登録に対する要求を受信する。サーバは、ネットワークノード同一性を検証し、ネットワークノードについて対応するセキュリティポリシーを選択する。選択されたセキュリティポリシーは、サーバによってネットワークアクセスゲートウェイに指示される。ネットワークアクセスゲートウェイは指示されたセキュリティポリシーを選択する。選択されたセキュリティポリシーは、ネットワークノードとネットワークとの間の通信に適用される。
【選択図】図1

Description

本発明は、有線及び無線アクセスゲートウェイにおけるネットワークセキュリティを提供するためのダイナミック・フィルタリング機能に関する。更に詳細には、本発明は、CDMA2000無線ネットワークのパケットデータ・サービングノード(PDSN)及びホームエージェント(HA)のダイナミック・ファイアウォールに関する。
インターネット上の情報交換は、ネットワークアクセスを部外者に許容することを含めるとき、その情報交換に含まれるネットワークに対する安全危機を引き起こす。非合法なユーザは、データを交換し、データに対する非認可アクセスを獲得し、データを破壊し、或は、ネットワークリソースの非認可の利用を行うことができる。
これらのセキュリティ問題は、かかるネットワーク及び関連リソースのセキュリティを確保する保護手段の実施を要求する。ネットワークへの望まないアクセス又は非合法なアクセスを制御する最も一般的な利用技術には、ファイアウォール技術が含まれる。ファイアウォールは、特定のハードウェア上に実施された一連の関連プログラムである。ネットワークにおいて、そのハードウェアは、一般にネットワークゲートウェイサーバである。このネットワークゲートウェイサーバは、他のネットワークへの入口として作動するポイントである。ゲートウェイは、しばしばルータ又はスイッチに関連する。ルータは、ゲートウェイに到来したデータパケットの行先を認知している。ファイアウォールは、ルータプログラムと緊密に動作し、ネットワークへ及びネットワークからのネットワークパケットを許可又は拒否するルールベース・プロファイルを与える。開放型システム間相互接続(OSI)ネットワークモデルに対しては、一般に、ルールベース・プロファイルがパケット内の第2層から第7層の情報に基づく通信セッションを拒否又は許可する。例えば、特定のファイアウォール・ルールは次の通りである。
If (interface == eth0 && ip.src == 149.112.164.0/24 && tcp.dst == 22)
allow;
Else
deny;
上記ルールにおいては、ソースIPアドレスの範囲が149.112.164.0〜149.112.164.255までのイーサネット(登録商標)インタフェース0からのパケットに対して22番ポートのサービスを使用することを許可するが、他の全てのトランザクションは拒否する。さらに、このファイアウォール・ルールは、固定であっても動的なものであっても良い。上記例においては、ルールは固定されたものとなる。
ダイナミック・ファイアウォールは、ステートフル(stateful)・ファイアウォールとも呼ばれ、2つのネットワーク間の通信状態を監視する。通信状態についての情報は、状態テーブルと呼ばれるテーブルに格納される。通信ホストに使用されるプロトコルによって変換する様々な情報形式が、この状態テーブルに格納されうる。例えば、状態テーブルにはソース及びデスティネーションIPアドレス、ソース及びデスティネーションポート、フラグ、シーケンス、受信通知番号、アプリケーション形式、アプリケーションデータ等についての情報が含まれる。特定の状態と、その状態に対する対応セキュリティポリシーセットとに基づいて、ファイアウォールは、どのパケットが許可されるべきか又は拒否されるべきかを判断する。
例えば、ファイアウォールは、そのファイアウォールによって保護されているホストの全ての転送制御プロトコル(TCP)ポートをブロックすることができる。保護されたホストがインターネット上のサーバに対してTCPセッションを確立するたびに、ダイナミック・ファイアウォールはそのセッションが完了するのを記憶する。そうして、そのセッションが継続している限り、ダイナミック・ファイアウォールは、サーバからのTCPパケットに対して通過するための適切なポート番号を許可する。他の例では、プライベートネットワーククライアントがサーバに対してアウトバウンド(outbound)接続を実行したときには、そのファイアウォールは、状態テーブル内のソース及びデスティネーションIPアドレスとポート番号とを格納することができる。また、ファイアウォールは、状態テーブルに他の形式の情報を登録することもできる。ファイアウォールは、サーバの反応を受信したとき、状態テーブルをチェックし、そのサーバへの何れかのアウトバウンド要求がなされたかどうかを見る。もし、状態テーブル内に対応するエントリが存在する場合には、ファイアウォールは、そのアウトバウンド要求を作成した内部ネットワーククライアントへの応答を通過させる。
ネットワークのアクセスゲートウェイにおいて実施されるファイアウォール、より詳細には、ダイナミック・ファイアウォールは重要である。その理由は、ファイアウォールの手助けによって、アクセスゲートウェイが、ターゲットユーザとのやり取り以外に他のユーザ又は何れかへ経路選択されることによるネットワークユーザのトラフィックを予防することができるからである。さらに、ファイアウォールは、ある種類のネットワーク調査及び攻撃を予防する能力を備える。ファイアウォール又は同等の機能がなければ、そのネットワーク要素はインターネット上の悪意のあるホストからの攻撃に対して無防備となる。これらの攻撃には、コンピュータウィルス、トロイの木馬、及び他の形式の利己的な利用を拡散しようとする攻撃が含まれる。また、非制限のインターネット接続性は、ネットワーク及びネットワーク要素のコンピューティング資源を利用して役に立たない計算をさせるサービス不能(DoS)攻撃にネットワーク要素をさらし、エンドユーザが所望のアプリケーションを実行するのを妨げることとなる。
無線ネットワークは、ポートスキャン及びIPアドレスレンジスキャンに対して特に脆弱である。これらの攻撃は、高価な無線ネットワーク資源の不必要な使用を引き起こす。ファイアウォールによって、ネットワークサービスプロバイダは個々のユーザがアクセスするアプリケーション及びサービスを制御可能となり、これにより、かかる攻撃を予防する。さらに、一部のユーザは、ファイアウォールによって他のユーザがアクセスブロックされている間、特定のアプリケーションサーバに対してアクセス可能になる。
CDMA2000無線ネットワークにおいては、ファイアウォールは、パケットデータ・サービングノード(PDSN)及びホームエージェント(HA)といったアクセスノードにおいて実施可能である。このファイアウォールは、これらアクセスゲートウェイを通って送信されるデータパケットのフィルタリング操作を実行する。フィルタリングは、ファイアウォールの使用を参照してネットワーク上に送信されるデータパケットを遮蔽し、それゆえ、データパケットに対してネットワークへの出入りを許可又は拒否することができる。
CDMA2000 PDSNは、インターネット、イントラネット、及びアプリケーションサーバへのアクセスをモバイルステーションに対して提供する。広く言及すると、PDSNは、モバイルステーションにIPネットワークへのゲートウェイを与える。CDMA2000 HAは、モバイルノードのホームネットワーク上のルータである。HAは、モバイルノードの現在の位置についての情報を維持する。HAは、トンネリング機構を使用し、異なる場所から接続される度にモバイルノードのIPアドレスを変更することを要求しないような方法で、インターネット上のモバイルノードとの間を行き来するデータを管理する。トンネリングにおいては、プライベートネットワークを意図されたデータのトランザクションは、パブリックネットワークのルータが、そのトランザクションがプライベートネットワークの一部であるということを認知しないと言う方法で、パブリックネットワークによって作成される。
しかしながら、フィルタリング操作を選択的に実行するための準備が存在しない。それゆえ、特定の形式のデータパケットに対するフィルタリングがネットワーク内の一つの場所だけで実行されるような方法で、データパケットをフィルタリングする方法及びシステムが必要とされている。
本発明の目的は、特定のフィルタが通信ネットワークにおける1つのコンポーネントのみに適用されるような、通信ネットワークのデータパケットのダイナミック・フィルタリングに対するユーザベースのフィルタリング機構を提供することである。
本発明の他の目的は、アクセスゲートウェイのネットワークノードに関連するデータパケットのフィルタリングに対するフィルタリング機能を提供することであり、もしそのネットワークノードがリバーストンネリングを用いたモバイルインターネットプロトコルを通して通信する場合には、そのアクセスゲートウェイは、そのネットワークノードに対応するホームネットワークのホームエージェントとなる。
本発明の他の目的は、アクセスゲートウェイにおけるネットワークノードに関連するデータパケットのフィルタリングに対するフィルタリング機能を提供することであり、このネットワークノードがシンプルインターネットプロトコルを通して、或は、リバーストンネリングなしにモバイルインターネットプロトコルを通して通信している場合には、このアクセスゲートウェイはネットワークのパケットデータ・サービングノードであり、他のものはネットワークノードに対応するホームネットワークである。
本発明の他の目的は、アクセスゲートウェイにおけるデータパケットのダイナミック・フィルタリングに対するフィルタリング機能を提供することであり、そのネットワークノードに対する適切なセキュリティポリシーを示すサーバが、この目的のために構成されたローカルポリシーサーバか、或は、認証、認可、及び会計サーバのうちの何れか1つ又は両方である場合には、その適切なセキュリティポリシーを指示するよう構成される。
これらの目的を達成するために、本発明は、ネットワークにおけるデータパケットのダイナミック・フィルタリングのためのシステム及び方法を提供する。この方法は、ネットワークにアクセスするためのネットワークノードから登録要求を受信し、この登録要求に返答し、アクセスゲートウェイにおけるネットワークノードに関連するデータパケットをフィルタリングすることを含む。この登録要求は、数あるパラメータの中で、ネットワークノードの位置を指示する識別子を含む。そして、そのアクセスゲートウェイは、その識別子によって指示されたときネットワークノードの位置に基づいて選択される。
本発明は、ネットワークサービスプロバイダ及びユーザに、ネットワークアクセスゲートウェイ上の利用のためのダイナミック・フィルタリング機構を提供する。本発明のフィルタリング機構は、従来のダイナミック・ファイアウォールの発展形である。
いくつかの形式の無線又は有線アクセスゲートウェイ、例えば、符号分割多重アクセス(CDMA)ゲートウェイ、汎用パケット無線システム/ユニバーサル移動電話システム(GPRS/UMTS)ゲートウェイ、ゲートウェイGPRSサポートノード(GGSN)、及び802.11ローミングゲートウェイが、本発明によってサポート可能である。
図1に、本発明のシステムに基づく実施形態が実施された相互ネットワーク環境を示す。本発明のシステムのダイナミック・ファイアウォールは、ネットワークアクセスゲートウェイ102に組み込まれている。本発明の実施形態によれば、パケットデータ・サービングノード(PDSN)又はホームエージェント(HA)は、CDMA2000無線アクセスネットワーク(RAN)とインターネットプロトコル(IP)ベースのネットワークとの間のアクセスゲートウェイとして作動する。しかしながら、本発明のシステムはPDSN又はHAに限定されるものではなく、ネットワークに対する他の何れの形式のアクセスゲートウェイにも適用可能である。デバイス又はアプリケーションが、認証、認可、及び会計(AAA)サーバ104と通信するための標準は、遠隔認証ダイアルインユーザサービス(RADIUS)である。しかしながら、通信標準としてのRADIUSの利用は、本発明の範囲及び趣旨を制限するものとみなされるべきではない。ダイアメータ(Diameter)といった他の標準、又は他の適当な標準も利用可能である。
ネットワークアクセスゲートウェイ102は、ネットワークユーザに対応するセキュリティ情報を交換するためにAAAサーバ104と通信する。ネットワークユーザは、ネットワーク要素106であってもよい。ネットワーク要素106には、通信のためのあらゆるネットワークデバイスが含まれる。例えば、ネットワーク要素106は、デスクトップコンピュータであってもよく、携帯電話、ラップトップ、携帯情報端末(PDA)等であってもよい。ネットワーク要素106は、ネットワークアクセスゲートウェイ102に信号を送信することによって、CDMA2000に登録を行う。
次に、ネットワークアクセスゲートウェイ102は、ネットワーク要素106の登録についての情報をAAAサーバ104に伝達する。AAAサーバ104に組み込まれたサーバプログラムは、ネットワーク要素106の登録及びアクセス要求に関するネットワークアクセスゲートウェイ102によって送信された情報を管理する。AAAサーバ104は、本発明のCDMA2000ネットワークに登録された全てのネットワーク要素に対して認証、認可、及び会計サービスを提供する。
図1を参照すると、本発明のネットワークアクセスゲートウェイ102は、様々なセットのファイアウォール・ポリシーを備えている。これら一連のファイアウォール・ポリシーは、ルールベースとも呼ばれている。このファイアウォール・ルールベースは、ネットワークのセキュリティポリシーの技術的実施手段である。適切な権限を持った個人は、セキュリティポリシーを決定することができる。このセキュリティポリシーは、例えば、次のようなルールからなる。つまり、特定のソースIPアドレスレンジのみを伴ったイーサネット(登録商標)インタフェース‘0’からのデータパケット到来を許可し、選択したサイトへのアクセスを拒否する、あるいは他の何れかのルールである。本発明のファイアウォールは技術的要求を決定し、これらのルールを実施する。この技術的要求及び実施は、ネットワークアクセスゲートウェイ102に組み込まれたコンピュータプログラムの形式で特定される。
ネットワーク要素106がCDMA2000ネットワークに登録されると、ネットワークアクセスゲートウェイ102に要求が送られる。ネットワークアクセスゲートウェイ102はPDSN及び/又はHAでありうる。本発明の実施形態において、AAAサーバ104は、適切な場合には、パケットがこれらの要素を通過したときに同じルールが同じパケットに再度適用されないように、いくつかのルールをPDSNに適用し、他のルールをHAに適用する。
他の実施形態においては、ネットワーク要素106が自身のホームネットワーク以外のネットワークに配置されている場合には、ネットワークアクセスゲートウェイ102はPDSNである。ホームネットワークは、モバイルデバイスが自身の恒久IPアドレスを有するネットワークである。ホームネットワーク以外のネットワークは、在外ネットワークと呼ばれる。この場合のネットワーク要素106であるモバイルデバイスは、在外ネットワークを訪れるたびに一時的な気付アドレス(care-of address)を取得する。この気付アドレスは、そのアドレスがホームネットワークに存在しないときは、ネットワーク要素106の位置決定が許可される。PDSNは、仮想プライベートネットワークに対するシンプルIP及びモバイルIPアクセスと、在外エージェントサポートと、パケット転送とを供給する。しかしながら、もしネットワーク要素106がそのホームネットワークに存在する場合には、ネットワークアクセスゲートウェイ102は、HAとなる。従来技術において既知のHAは、ネットワーク要素106のホームネットワーク上のルータである。HAは、その気付アドレスで識別されたときネットワーク要素106の位置についての情報を維持し、ネットワーク要素106が在外ネットワークにあるときには、トンネリング機構を使用してネットワーク要素106へネットワーク・トラフィックを転送する。
ネットワーク要素106から登録要求を受信すると、ネットワークアクセスゲートウェイ102は、ネットワークにアクセスするための要求が受信されたことをAAAサーバ104に通知する。登録要求の内容は、ネットワーク要素106を識別するための識別子を含む。さらに、この識別子は、数ある情報の中で、ネットワークワーク要素106の位置についての詳細を含む。ネットワーク要素106の位置は、ネットワーク要素106がホームネットワーク内にあるのか、或は、在外ネットワーク内にあるのかを示す。
ネットワークアクセスゲートウェイ102からアクセスに対する要求を受信すると、AAAサーバ104は、ネットワーク要素106に対してアクセス応答を返答する。AAAサーバ104は、ネットワークリソースへのアクセスのインテリジェント制御、適切なセキュリティポリシーの施行、ネットワークリソースの監査利用のためのフレームワークを提供し、ネットワークユーザによって利用されるサービスの請求に必要な情報を記録するためのフレームワークを提供する。AAAサーバ104は適切なセキュリティポリシーの施行のために供給されるので、AAAサーバ104からのアクセス応答は、数あるパラメータの中で、適用されたファイアウォール・ポリシーの指示を含む。AAAサーバ104から到来するインジケータの様式は、AAAサーバ104の属性でありうる。例えば、ネットワーク要素106上に構成されたフィルタの1つの名前を特定する「フィルタ名」属性が挙げられる。本発明の実施形態においては、この様式には、フィルタの名前と伴ったASCII文字列を含めることができる。AAAサーバ104は、ネットワーク要素106に対する適切なファイアウォール・ポリシーを指示するだけであり、実際にそのファイアウォール・ポリシーを供給しない。この理由は、いくつものファイアウォール・ポリシーからなるファイアウォール・ルールベースはAAAサーバ104にではなくネットワークアクセスゲートウェイ102に組み込まれているからである。AAAサーバ104は、ネットワーク要素106によって規定されるパラメータに応答する。AAAサーバ104は、ネットワーク要素106の登録時に承認された識別属性から、ネットワーク要素106に対応するパラメータを識別する。
本発明の実施形態によれば、AAAサーバ104は、ネットワーク要素106に対する識別子によって与えられた情報をスキャンする。特に、ネットワーク要素106の位置に関する情報は、そのファイアウォールがネットワーク要素106に対して適用されることとなるネットワークアクセスゲートウェイ102の形式をAAAサーバ104が決定するのを補助する。本発明の実施形態においては、もしネットワーク要素106が在外ネットワークに存在し、かつ、トンネリングを通してそのホームネットワークからの情報パケットを受信しているならば、AAAサーバ104は、PDSNにおいて実行されるべきデータパケットのフィルタリングを指示する。換言すれば、AAAサーバは、ネットワーク要素106に対応するPDSNにおけるファイアウォール・ポリシーのうちの1つを指示する。加えて、もしネットワーク要素106が何れかのネットワークに存在し、シンプルIPを通してネットワークへアクセスすることを要求すれば、AAAサーバ104は、ネットワーク要素106が現在配置されているネットワークのPDSNにおいて実行されるべきデータパケットのフィルタリングを指示する。しかしながら、もしネットワーク要素106が在外ネットワークに配置されており、かつ、そのホームネットワークにおける対応ノードへデータパケットを送信することによってそのホームネットワークと通信する場合には、AAAサーバ104は、そのホームネットワークのHAにおいて実行されるべきフィルタリングを指示する。後者の場合、通信はリバーストンネリングを通って実施される。
したがって、ネットワークアクセスゲートウェイ102は、AAAサーバ104によって送信されたアクセス応答から、ネットワーク要素106のための対応ファイアウォール・ポリシーを含むいくつかの属性を受信する。そうして、ネットワークアクセスゲートウェイ102は、そのパラメータによって規定されたネットワーク要素106に対するネットワークリソースにアクセス可能となる。さらに、ネットワークアクセスゲートウェイ102は、AAAサーバ104によって指示された通り、ファイアウォール・ポリシーをネットワーク要素106のトラフィックに適用する。
図2に、ネットワーク要素106に対する適切なファイアウォール・ポリシーの設定に関する情報の交換を詳細に示す。段階202において、ネットワークアクセスゲートウェイ102は、ネットワーク要素106に代わって送信された登録要求を受信する。この登録要求は、ネットワーク要素106の識別子を含む。段階204において、ネットワークアクセスゲートウェイ102は、この識別子と共に、AAAサーバ104への要求から導かれた情報を通過させる。段階206において、AAAサーバ104は、ネットワーク要素106に対する認証、認可、会計サービスを実行する。その機能の一部として、AAAサーバ104は、ネットワーク要素106の識別子を、適切なネットワークアクセスゲートウェイ102と、ファイアウォール・ルールベースにおいて存在するポリシーの中の適切なファイアウォール・ポリシーとに関連付ける。このファイアウォール・ルールベースはネットワークゲートウェイ102上に存在するので、AAAサーバ104は、タグを使ってネットワーク要素106に適切なファイアウォール・ポリシーを指示するだけである。このタグは、ネットワーク要素106に対してAAAサーバ104によって指示されたファイアウォール・ポリシーを選択するための識別子として作動する。段階208において、このタグは、ネットワーク・トラフィックを管理するために要求された他の全ての属性と共に、ネットワークアクセスゲートウェイ102に伝達される。段階210において、ネットワークアクセスゲートウェイ102は、このファイアウォール・ポリシーをタグによって指示された通りに、ネットワーク要素106のネットワーク・トラフィックに適用する。最後に、段階212において、ネットワークアクセスゲートウェイ102は、登録に対する要求に応答してネットワーク要素106に返信する。
識別子からタグへのマッピングは、直接的なものでありうる。この識別子は、典型的には、NAI(ネットワークアクセス識別子)、又は、user@domain.comの形式を有する。AAAは、NAIを使用して操作者によって事前に構成された結合に基づいたファイアウォール・ポリシーを決定する。この結合はまた、ドメインによって構成することもできる。例えば、domain1.comの全てのユーザは、domain2.comの全てのユーザが別のポリシータグに結合される間、特定のポリシータグに結合することができる。
本発明のシステムの実施形態によれば、ネットワークアクセスゲートウェイ102に組み込まれたファイアウォール・プログラムは、パケットのフィルタリングをサポートする。当業者にとっては、転送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)、汎用ルーティングカプセル化(GRE)、IPsec、あるいは他の何れのパケット形式も、本発明のシステムによってサポートされることは明らかである。
TCPフィルタリング機能を与えることに加えて、本発明のネットワークアクセスゲートウェイ102は、ネットワーク要素106からの全ての開放TCP接続のトラックを保持することができる。例えば、ネットワークアクセスゲートウェイ102は、ネットワーク要素106のローカルIPアドレス、そのローカルポート、ネットワーク要素106がデータのパケットを交換している遠隔デバイスのIPアドレス、遠隔ポート等を監視する。
ネットワーク要素106は、ネットワークアクセスゲートウェイ102からの応答を受信すると、TCPセッションを確立する。一旦、TCPセッションが確立されると、ネットワークアクセスゲートウェイ102は、遠隔ポートから到来するパケットと、適切なローカルポート上のネットワーク要素106に対するリモートIPとを許可する。ネットワーク要素106に対する適切なローカルポートは、ネットワークアクセスゲートウェイ102上の対応するファイアウォール・ポリシーから決定され、次に、AAAサーバ104によって送信されたタグによって指示される。ネットワークアクセスゲートウェイ102は、セッションを終了させる要求が受信されるまで、遠隔ポートからのパケットを許可する。セッションを終了させる要求は、ネットワーク要素106によってか、あるいは、遠隔ポートによってかの何れかによって送信することができ、その後、遠隔ホストからネットワーク要素へのトラフィックはブロックされる。ネットワークアクセスゲートウェイ102は、かかる要求を受信するとTCPセッションをクローズする。これは、ネットワークアクセスゲートウェイ102に存在するファイアウォール機能にダイナミックな性質を伝える。
ネットワーク要素106がモバイルデバイスであった場合について、トンネリングプロトコルをネットワーク要素106への転送のために使用可能であることは当業者にとっては明らかであろう。使用可能なトンネリングの標準としては、モバイルIP,L2TP,PPTP,IPsec等が挙げられる。さらに、本発明の実施形態においては、リバーストンネリングを伴ったモバイルIPコールのためのファイアウォール機能が、モバイルデバイスのホームネットワークのルータ上で実行可能である。このように、CDMA2000ネットワークの場合、モバイルデバイスのためのファイアウォール機能がHAにおいて提供可能である。また、リバーストンネリングを伴わない全てのシンプルIPコール及びモバイルIPコールに対して、ファイアウォール機能がPDSNにおいて与えられる。
本発明によれば、所定の条件において、フィルタリングがちょうど1つの位置におけるパケット上で実行される。つまり、リバーストンネリングを伴う全てのモバイルIPコールに対しては、フィルタリングはHAにおいて実行され、全てのシンプルIPコールに対しては、フィルタリングはPDSNにおいて実行され、リバーストンネリングを伴わないモバイルIPコールに対しては、フィルタリングはPDSN及びHAにおいて実行される。
加えて、AAAサーバ104におけるファイアウォール機能は、望まないネットワーク調査又は攻撃を選択的に制限するよう構成可能である。PDSN及びHAは、インタフェースごとのファイアウォール・ルールを持った「堅牢な」ものであってもよい。例えば、PDSNは、UDPポート699(A11)上の到来するユーザ・トラフィックと、無線ネットワークインタフェース上のプロトコルタイプ47(GRE)とを許可するだけにすべきである。インターネットインタフェース上では、PDSNは、プロトコルタイプ47(GRE)及び4(IP)と同様に、UDPポート434との間の到来するユーザ・トラフィックを許可するだけにすべきである。HAのモバイルIPインタフェースは、プロトコルタイプ47(GRE)及び4(IP)と同様に、UDPポート434上のユーザ・トラフィックを受諾するだけにすべきである。PDSN及びHAインタフェースは、制限されたセットのIPアドレスからだけのPINGに応答するのみで、制限されたセットのIPアドレスからだけの遠隔ログイン(telnet又はSSH)を許可するよう構成すべきである。
本発明のAAAサーバは、ローカルポリシーサーバで置き換えることができる。ローカルポリシーサーバは、ネットワーク要素106に対応するポリシーを指示するよう構成されたサーバである。ローカルポリシーが使用されているとき、PDSN又はHAはAAAサーバを照会しない。代わりに、ポリシーに対するNAIのマッピングが、PDSN又はHAに対して内在的に実行される。PDSNは、このマッピングを直接参照し、適切なポリシーを適用する。
代替的なモードにおいては、ローカルポリシーとAAAポリシーとの両方が使用され、典型的には、AAAポリシーが、構成された何れのローカルポリシーにも優先する。
本発明において記載されたシステム又はそのコンポーネントの何れも、処理装置の形態で実施することができる。処理装置の典型的な例は、汎用目的のコンピュータ、プログラムされたマイクロプロセッサ、マイクロコントローラ、周辺集積回路要素、及び他のデバイス又はデバイスの配置を含み、本発明にかかる方法を構成する段階を実施することができる。
処理装置は、入力データを処理するために、1または複数の記憶要素に格納された一連の命令を実行する。また、記憶要素は、所望のデータ又は他の情報を保持することができる。記憶要素は、処理装置内に存在するデータベース又は物理メモリ要素の形式でありうる。
一連の命令は、本発明にかかる方法を構成する段階といった特定のタスクを実行するよう処理装置に指示する多様な命令を含む。一連の命令は、プログラム又はソフトウェアの形式でありうる。さらに、ソフトウェアは、別々のプログラムの集合、大きなプログラム又はプログラムモジュールの部分であるプログラムモジュールの形式であってもよい。また、ソフトウェアは、オブジェクト指向プログラミングの形式のモジュール式プログラミングを含むことができる。処理装置による入力データの処理は、ユーザコマンドに応答することができ、あるいは、先行する処理の結果に応答することができ、あるいは、他の処理装置による要求モードに応答することができる。
多様な処理装置及び/又は記憶要素を同一の地理的位置に物理的に配置する必要はないということは、当業者にとっては明らかである。処理装置及び/又は記憶要素は地理的に離れた位置に配置し、互いに通信できるよう接続することができる。多様な通信技術を使用して、処理装置及び/又は記憶要素間の通信を行うことができる。かかる技術は、ネットワークの形式で、処理装置及び/又はストレージ要素の接続を含む。
本発明のシステム及び方法においては、ユーザが本発明を実施するために使用される処理装置又は装置とのインタフェースとすることができるよう、様々な「ユーザインタフェース」が利用される。ユーザインタフェースは、情報を伝達又は受信するためにユーザと相互作用する処理装置によって使用される。ユーザインタフェースは、ユーザが処理装置と相互作用することができる処理装置によって使用される、何れのハードウェア、ソフトウェア、ハードウェアとソフトウェアの組み合わせであってもよい。ユーザインタフェースは、ダイアログ画面の形式にすることができ、ユーザと処理装置との間の通信を可能にする様々な関連デバイスを含むことができる。ユーザインタフェースが、人間のユーザではなく他の処理装置と相互作用することも考えられる。さらにまた、ユーザインタフェースが、他の処理装置と部分的に相互作用しつつ、同時に人間のユーザとも部分的に相互作用するということも考えられる。
本発明の好適な実施形態が例示及び記載されたが、本発明がこれらの実施形態だけに限定されるものではないことは明らかである。特許請求の範囲に記載された本発明の趣旨及び範囲を逸脱せずに、多くの修正、変更、変形、代用、均等物が当業者にとって明らかである。
本発明のシステムに基づく実施形態が実施された相互ネットワーク環境の例を説明する説明図である。 本発明の実施形態に基づくフィルタリング手順を説明するフローチャートである。
符号の説明
102 ネットワークアクセスゲートウェイ
104 AAAサーバ
106 ネットワーク要素

Claims (45)

  1. ネットワークのアクセスゲートウェイにおいてデータパケットをダイナミック・フィルタリングする方法であって、
    a.ネットワークにアクセスするための登録要求をネットワークノードに代わって受信し、
    b.前記登録要求に返答し、
    c.前記ネットワークノードに関連するデータパケットをフィルタリングする
    段階を含むことを特徴とする方法。
  2. 前記ネットワークは、ホームネットワークである請求項1に記載の方法。
  3. 前記ネットワークは、在外ネットワークである請求項1に記載の方法。
  4. 登録要求に返答する前記段階は、前記ネットワークへのアクセスを許可することからなる、請求項1に記載の方法。
  5. アクセスゲートウェイにおけるデータパケットをフィルタリングする前記段階は、在外ネットワークのパケットデータ・サービングノードにおいて前記フィルタリングを実行する段階を含む、請求項1に記載の方法。
  6. アクセスゲートウェイにおけるデータパケットをフィルタリングする前記段階は、ホームネットワークのホームエージェントにおいて前記フィルタリングを実行する段階を含む、請求項1に記載の方法。
  7. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイに固有の情報によって指示されている適切なセキュリティポリシーを適用する段階を含む、請求項1に記載の方法。
  8. 請求項7に記載の方法において、適切なセキュリティポリシーを適用する前記段階は、
    a.前記アクセスゲートウェイにおいて維持される前記一連のポリシーから、前記ネットワークノードに対応する前記適切なポリシーを選択し、
    b.前記アクセスゲートウェイにおいて維持されている前記適切なポリシーを前記ネットワークノードの通信に適用する
    段階を含むことを特徴とする方法。
  9. 適切なポリシーを選択する前記段階は、前記ネットワークノードのドメイン名に基づいて選択することからなる、請求項1に記載の方法。
  10. アクセスゲートウェイにおいて維持される前記一連のポリシーから前記適切なポリシーを選択する前記段階は、前記ネットワークにおけるネットワークノードのすべてに対して構成されている汎用セキュリティポリシーを構築することを含む、請求項1に記載の方法。
  11. データパケットをフィルタリングする前記段階は、認証サーバ、認可サーバ、又は会計サーバから受信したメッセージにおいて指示されている適切なセキュリティポリシーを適用することからなる、請求項1に記載の方法。
  12. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイにおいて維持されている適切なセキュリティポリシーを前記ネットワークノードの通信に適用する段階を含む、請求項11に記載の方法。
  13. 在外ネットワークのアクセスゲートウェイにおけるデータパケットのダイナミック・フィルタリング方法であって、
    a.ネットワークにアクセスするためのものであってネットワークノードを識別する識別子を有する登録要求をネットワークノードに代わって受信し、
    b.前記登録要求に返答し、
    c.前記アクセスゲートウェイにおいて前記ネットワークノードに関連するデータパケットをフィルタリングする
    段階を含むことを特徴とする方法。
  14. 登録要求を受信する前記段階は、モバイルインターネットプロトコルにより前記ネットワークにアクセスするための登録要求を受信することを含む、請求項13に記載の方法。
  15. 登録要求に返答する前記段階は、前記ネットワークへのアクセスを許可することからなる、請求項13に記載の方法。
  16. 前記アクセスゲートウェイにおいてデータパケットをフィルタリングする前記段階は、前記在外ネットワークのパケットデータ・サービングノードにおいて前記フィルタリングを実行する段階を含む、請求項13に記載の方法。
  17. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイに固有の情報によって指示されている適切なセキュリティポリシーを適用する段階を含む、請求項13に記載の方法。
  18. 請求項17に記載の方法において、適切なセキュリティポリシーを適用する前記段階は、
    a.アクセスゲートウェイにおいて維持される前記一連のポリシーから、前記ネットワークノードに対応する前記適切なポリシーを選択し、
    b.前記アクセスゲートウェイにおいて維持されている前記適切なポリシーを前記ネットワークノードの通信に適用する
    段階を含むことを特徴とする方法。
  19. 前記適切なポリシーを選択する前記段階は、前記ネットワークノードのドメイン名に基づいて選択することからなる、請求項17に記載の方法。
  20. アクセスゲートウェイにおいて維持される前記一連のポリシーから前記適切なポリシーを選択する前記段階は、前記ネットワークにおける全ネットワークノードに対して構成されている汎用セキュリティポリシーを構築することを含む、請求項17に記載の方法。
  21. データパケットをフィルタリングする前記段階は、認証サーバ、認可サーバ、又は会計サーバから受信したメッセージにおいて指示されている適切なセキュリティポリシーを適用することからなる、請求項13に記載の方法。
  22. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイにおいて維持されている適切なセキュリティポリシーを前記ネットワークノードの通信に適用する段階を含む、請求項21に記載の方法。
  23. ホームネットワークのアクセスゲートウェイにおけるデータパケットのダイナミック・フィルタリング方法であって、
    a.ネットワークにアクセスするためのものであってネットワークノードを識別する識別子を有する登録要求を、該ネットワークノードに代わって受信し、
    b.前記登録要求に返答し、
    c.前記アクセスゲートウェイにおける前記ネットワークノードに関連するデータパケットをフィルタリングする
    段階を含むことを特徴とする方法。
  24. ネットワークノードのための登録要求を受信する前記段階は、モバイルデバイスから前記登録要求を受信することからなる、請求項23に記載の方法。
  25. 登録要求を受信する前記段階は、モバイルインターネットプロトコルにより前記ネットワークにアクセスするための登録要求を受信することからなる、請求項23に記載の方法。
  26. 登録要求に返答する前記段階は、前記ネットワークへのアクセスを許可することからなる、請求項23に記載の方法。
  27. アクセスゲートウェイにおけるデータパケットをフィルタリングする前記段階は、ホームネットワークのホームエージェントにおいて前記フィルタリングを実行することからなる、請求項23に記載の方法。
  28. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイに固有の情報によって指示されている適切なセキュリティポリシーを適用することからなる、請求項23に記載の方法。
  29. 請求項28に記載の方法において、適切なセキュリティポリシーを適用する前記段階は、
    a.前記アクセスゲートウェイにおいて維持される前記一連のポリシーから、前記モバイルデバイスに対応する前記適切なポリシーを選択し、
    b.前記アクセスゲートウェイにおいて維持されている前記適切なポリシーを前記モバイルデバイスの通信に適用する
    段階を含むことを特徴とする方法。
  30. 前記適切なポリシーを選択する前記段階は、前記モバイルデバイスのドメイン名に基づいて選択することからなる、請求項28に記載の方法。
  31. アクセスゲートウェイにおいて維持される前記一連のポリシーから前記適切なポリシーを選択する前記段階は、前記ネットワークにおけるモバイルデバイスのすべてのために構成されている汎用セキュリティポリシーを構築することを含む、請求項28に記載の方法。
  32. データパケットをフィルタリングする前記段階は、認証サーバ、認可サーバ、又は会計サーバから受信したメッセージにおいて指示されている適切なセキュリティポリシーを適用することからなる、請求項23に記載の方法。
  33. データパケットをフィルタリングする前記段階は、前記アクセスゲートウェイにおいて維持されている適切なセキュリティポリシーを前記ネットワークノードの通信に適用することからなる、請求項32に記載の方法。
  34. ネットワークにおけるデータパケットのダイナミック・フィルタリングのためのシステムであって、
    a.ネットワークリソースにアクセスするためにネットワークノードによって作成された登録要求を受信し、該登録要求に応答してネットワークノードに返答を送信する、少なくとも1つのサーバと、
    b.前記サーバに内蔵され、前記ネットワークノードに関連するデータパケットのフィルタリングを実行するためのアクセスゲートウェイと
    を含むことを特徴とするシステム。
  35. 前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを提供するローカルポリシーサーバであることを特徴とする請求項34に記載のシステム。
  36. 前記ネットワークにおける前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを示し、認証サービス、認可サービス、及び会計サービスを提供するサーバであることを特徴とする請求項34に記載のシステム。
  37. 前記アクセスゲートウェイは、在外ネットワークにおけるパケットデータ・サービングノードであることを特徴とする請求項34に記載のシステム。
  38. 前記アクセスゲートウェイは、ホームネットワークにおけるホームエージェントであることを特徴とする請求項34に記載のシステム。
  39. ネットワークにおけるデータパケットのダイナミック・フィルタリングのためのシステムであって、
    a.登録要求に応答してネットワークノードに返答を送信する、前記ネットワークにアクセスするためにネットワークノードによって作成された登録要求を受信するための少なくとも1つのサーバと、
    b.前記ネットワークノードに関連するデータパケットのフィルタリングを実行するための在外ネットワークにおけるパケットデータ・サービングノードと
    を含むシステム。
  40. 前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを提供するローカルポリシーサーバであることを特徴とする請求項39に記載のシステム。
  41. 前記ネットワークにおける前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを示し、認証サービス、認可サービス、及び会計サービスを提供するサーバであることを特徴とする請求項39に記載のシステム。
  42. ネットワークにおけるデータパケットのダイナミック・フィルタリングのためのシステムであって、
    a.ネットワークにアクセスするためにネットワークノードによって作成された登録要求を受信し、該登録要求に応答してネットワークノードに返答を送信する、少なくとも1つのサーバと、
    b.前記ネットワークノードに関連するデータパケットのフィルタリングを実行するためのホームネットワーク内のホームエージェントと
    を含むシステム。
  43. 前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを提供するローカルポリシーサーバであることを特徴とする請求項42に記載のシステム。
  44. 前記ネットワークにおける前記サーバは、ネットワークリソースと通信するために前記ネットワークノードに対して適切なセキュリティポリシーを示し、認証サービス、認可サービス、及び会計サービスを提供するサーバであることを特徴とする請求項42に記載のシステム。
  45. 通信ネットワークのアクセスゲートウェイにおいてデータパケットをダイナミック・フィルタリングするための、コンピュータと共に使用するコンピュータプログラム製品であって、
    a.ネットワークにアクセスするためのものであってネットワークノードの位置を識別する識別子を有する登録要求を、該ネットワークノードに代わって受信し、
    b.前記登録要求に返答し、
    c.フィルタリングの位置を前記識別子に基づいて判断して、前記ネットワークノードに関連するデータパケットをフィルタリングする
    段階を実行するコンピュータプログラム製品。
JP2007531329A 2004-09-13 2005-09-08 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 Pending JP2008512958A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/939,675 US20060059551A1 (en) 2004-09-13 2004-09-13 Dynamic firewall capabilities for wireless access gateways
PCT/US2005/031995 WO2006031594A2 (en) 2004-09-13 2005-09-08 Dynamic firewall capabilities for wireless access gateways

Publications (1)

Publication Number Publication Date
JP2008512958A true JP2008512958A (ja) 2008-04-24

Family

ID=36035592

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007531329A Pending JP2008512958A (ja) 2004-09-13 2005-09-08 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能

Country Status (10)

Country Link
US (1) US20060059551A1 (ja)
EP (1) EP1807968A2 (ja)
JP (1) JP2008512958A (ja)
KR (1) KR20070064427A (ja)
CN (1) CN101099332A (ja)
AU (1) AU2005285185A1 (ja)
CA (1) CA2580030A1 (ja)
IL (1) IL181698A0 (ja)
MX (1) MX2007002820A (ja)
WO (1) WO2006031594A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010093037A1 (ja) 2009-02-16 2010-08-19 日本電気株式会社 ゲートウェイ装置とシステムと方法
WO2013069161A1 (ja) * 2011-11-11 2013-05-16 富士通株式会社 ルーティング方法およびネットワーク伝送装置
US9350764B2 (en) 2009-03-13 2016-05-24 Rakuten, Inc. Gateway apparatus and method and communication system

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7594259B1 (en) * 2004-09-15 2009-09-22 Nortel Networks Limited Method and system for enabling firewall traversal
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US7725595B1 (en) * 2005-05-24 2010-05-25 The United States Of America As Represented By The Secretary Of The Navy Embedded communications system and method
AU2007249647A1 (en) * 2006-03-17 2007-11-22 Camiant, Inc. Distributed policy services for mobile and nomadic networking
US7761912B2 (en) 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US7886351B2 (en) * 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US8099774B2 (en) * 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
JP4620070B2 (ja) * 2007-02-28 2011-01-26 日本電信電話株式会社 トラヒック制御システムおよびトラヒック制御方法
US20080313075A1 (en) * 2007-06-13 2008-12-18 Motorola, Inc. Payments-driven dynamic firewalls and methods of providing payments-driven dynamic access to network services
EP2007111A1 (fr) 2007-06-22 2008-12-24 France Telecom Procédé de filtrage de paquets en provenance d'un réseau de communication
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
WO2009035237A1 (en) 2007-09-12 2009-03-19 Lg Electronics Inc. Procedure for wireless network management and station supporting the procedure
US7860079B2 (en) * 2007-10-11 2010-12-28 Nortel Networks Limited Method and apparatus to protect wireless networks from unsolicited packets triggering radio resource consumption
GB2454204A (en) * 2007-10-31 2009-05-06 Nec Corp Core network selecting security algorithms for use between a base station and a user device
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
KR101231803B1 (ko) * 2008-12-01 2013-02-08 한국전자통신연구원 통합 게이트웨이 통신 장치 및 그 방법
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US8660101B2 (en) * 2009-12-30 2014-02-25 Motorola Solutions, Inc. Method and apparatus for updating presence state of a station in a wireless local area network (WLAN)
KR101067686B1 (ko) * 2010-03-23 2011-09-27 주식회사 에스티 웹 서비스 보안 기반의 네트워크 보안정책 관리 시스템 및 그 방법
CN101945370B (zh) * 2010-09-25 2015-03-25 中兴通讯股份有限公司 一种实施动态策略控制的方法及系统
KR101116745B1 (ko) * 2010-12-06 2012-02-22 플러스기술주식회사 비연결형 트래픽 차단 방법
US8566900B1 (en) * 2011-05-23 2013-10-22 Palo Alto Networks, Inc. Using geographical information in policy enforcement
CN103108302B (zh) * 2011-11-15 2018-02-16 中兴通讯股份有限公司 一种安全策略下发方法及实现该方法的网元和系统
WO2013074828A1 (en) * 2011-11-15 2013-05-23 Nicira, Inc. Firewalls in logical networks
US9106666B2 (en) * 2012-10-31 2015-08-11 Verizon Patent And Licensing Inc. Method and system for facilitating controlled access to network services
US20150067762A1 (en) * 2013-09-03 2015-03-05 Samsung Electronics Co., Ltd. Method and system for configuring smart home gateway firewall
US9794227B2 (en) * 2014-03-07 2017-10-17 Microsoft Technology Licensing, Llc Automatic detection of authentication methods by a gateway
US9445256B1 (en) 2014-10-22 2016-09-13 Sprint Spectrum L.P. Binding update forwarding between packet gateways
US10230767B2 (en) 2015-07-29 2019-03-12 At&T Intellectual Property I, L.P. Intra-carrier and inter-carrier network security system
US10225236B2 (en) * 2015-11-04 2019-03-05 Panasonic Avionics Corporation System for dynamically implementing firewall exceptions
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US9936430B1 (en) 2016-03-07 2018-04-03 Sprint Spectrum L.P. Packet gateway reassignment
US11277439B2 (en) * 2016-05-05 2022-03-15 Neustar, Inc. Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
US11025428B2 (en) 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
US10404472B2 (en) 2016-05-05 2019-09-03 Neustar, Inc. Systems and methods for enabling trusted communications between entities
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
WO2019018420A1 (en) * 2017-07-17 2019-01-24 Knopf Brian R SYSTEMS AND METHODS FOR MITIGATING AND / OR PREVENTING DISTRIBUTED DISTINCTIVE DISTINCTION ATTACKS
CN107465752B (zh) * 2017-08-22 2021-02-05 苏州浪潮智能科技有限公司 一种连接管理方法及装置
US10972461B2 (en) 2018-08-28 2021-04-06 International Business Machines Corporation Device aware network communication management
KR102267559B1 (ko) * 2020-05-11 2021-06-21 주식회사 엠스톤 Ip 비디오 월 기반 통합 영상 모니터링 시스템
US11936622B1 (en) 2023-09-18 2024-03-19 Wiz, Inc. Techniques for cybersecurity risk-based firewall configuration

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998021683A2 (en) * 1996-11-08 1998-05-22 Finjan Software, Ltd. System and method for protecting a computer and a network from hostile downloadables
WO1999029082A1 (en) * 1997-11-27 1999-06-10 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2002108818A (ja) * 2000-09-26 2002-04-12 International Network Securitiy Inc データセンター、セキュリティポリシー作成方法及びセキュリティシステム
JP2002247033A (ja) * 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2003115834A (ja) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp セキュリティアソシエーション切断/継続方法および通信システム

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
JP3557056B2 (ja) * 1996-10-25 2004-08-25 株式会社東芝 パケット検査装置、移動計算機装置及びパケット転送方法
US6356941B1 (en) * 1999-02-22 2002-03-12 Cyber-Ark Software Ltd. Network vaults
US6944150B1 (en) * 2000-02-28 2005-09-13 Sprint Communications Company L.P. Method and system for providing services in communications networks
US6915345B1 (en) * 2000-10-02 2005-07-05 Nortel Networks Limited AAA broker specification and protocol
US7207061B2 (en) * 2001-08-31 2007-04-17 International Business Machines Corporation State machine for accessing a stealth firewall
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
JP3826100B2 (ja) * 2002-11-27 2006-09-27 株式会社東芝 通信中継装置、通信システム及び通信制御プログラム

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998021683A2 (en) * 1996-11-08 1998-05-22 Finjan Software, Ltd. System and method for protecting a computer and a network from hostile downloadables
JP2002514326A (ja) * 1996-11-08 2002-05-14 フィンジャン ソフトウェア,リミテッド 悪意のあるダウンローダブルからコンピュータおよびネットワークを保護するためのシステムおよび方法
WO1999029082A1 (en) * 1997-11-27 1999-06-10 Security-7 (Software) Ltd. Method and system for enforcing a communication security policy
JP2001525585A (ja) * 1997-11-27 2001-12-11 セキュリティー‐7(ソフトウェア)リミテッド 通信に関するセキュリティ・ポリシーを順守させる方法およびシステム
JP2002108818A (ja) * 2000-09-26 2002-04-12 International Network Securitiy Inc データセンター、セキュリティポリシー作成方法及びセキュリティシステム
JP2002247033A (ja) * 2001-02-16 2002-08-30 Hitachi Ltd セキュリティ管理システム
JP2003115834A (ja) * 2001-10-05 2003-04-18 Mitsubishi Electric Corp セキュリティアソシエーション切断/継続方法および通信システム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010093037A1 (ja) 2009-02-16 2010-08-19 日本電気株式会社 ゲートウェイ装置とシステムと方法
US8873545B2 (en) 2009-02-16 2014-10-28 Nec Corporation Gateway apparatus, system and method
US9350764B2 (en) 2009-03-13 2016-05-24 Rakuten, Inc. Gateway apparatus and method and communication system
WO2013069161A1 (ja) * 2011-11-11 2013-05-16 富士通株式会社 ルーティング方法およびネットワーク伝送装置
JPWO2013069161A1 (ja) * 2011-11-11 2015-04-02 富士通株式会社 ルーティング方法およびネットワーク伝送装置
US9313130B2 (en) 2011-11-11 2016-04-12 Fujitsu Limited Routing method and network transmission apparatus
US10009271B2 (en) 2011-11-11 2018-06-26 Fujitsu Limited Routing method and network transmission apparatus

Also Published As

Publication number Publication date
AU2005285185A1 (en) 2006-03-23
IL181698A0 (en) 2007-07-04
EP1807968A2 (en) 2007-07-18
CA2580030A1 (en) 2006-03-23
WO2006031594A3 (en) 2007-05-10
CN101099332A (zh) 2008-01-02
WO2006031594A2 (en) 2006-03-23
MX2007002820A (es) 2007-05-16
KR20070064427A (ko) 2007-06-20
US20060059551A1 (en) 2006-03-16

Similar Documents

Publication Publication Date Title
JP2008512958A (ja) 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能
US10356619B2 (en) Access through non-3GPP access networks
US7389534B1 (en) Method and apparatus for establishing virtual private network tunnels in a wireless network
US7743158B2 (en) Access network dynamic firewall
US7249374B1 (en) Method and apparatus for selectively enforcing network security policies using group identifiers
US7062566B2 (en) System and method for using virtual local area network tags with a virtual private network
US8280058B2 (en) Wireless network having multiple security interfaces
US7685295B2 (en) Wireless local area communication network system and method
US20080092223A1 (en) Per-user firewall
WO2006083414A2 (en) Method and apparatus for l2tp dialout and tunnel switching
US9730074B2 (en) System, methods and apparatuses for providing network access security control
EP1777872A1 (en) A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK
US7949769B2 (en) Arrangements and methods relating to security in networks supporting communication of packet data
Cisco Strategies for Applying Attributes
KR100510669B1 (ko) 패킷 무선 서비스 네트워크에서 착신 호를 설정하는 방법 및 이를 위한 시스템
Miu et al. The CHOICE Network: Dynamic Host Configuration for Managing Mobility between Public and Private Networks
Veltri et al. DHCP-based authentication for mobile users/terminals in a wireless access network
Takahashi et al. Design and Implementation of a Secure Public Wireless Internet Service Model Using Host Identity Protocol
Brunato et al. Managing Wireless HotSpots: The Uni-Fy Approach
WO2013063795A1 (zh) 用户设备下线的处理方法、装置和网络系统
CA2462730A1 (en) Wireless local area communication network system and method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090824

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100712