JP2010061675A - アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 - Google Patents
アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 Download PDFInfo
- Publication number
- JP2010061675A JP2010061675A JP2009241313A JP2009241313A JP2010061675A JP 2010061675 A JP2010061675 A JP 2010061675A JP 2009241313 A JP2009241313 A JP 2009241313A JP 2009241313 A JP2009241313 A JP 2009241313A JP 2010061675 A JP2010061675 A JP 2010061675A
- Authority
- JP
- Japan
- Prior art keywords
- alg
- file
- communication device
- alg file
- cable modem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2801—Broadband local area networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0869—Validating the configuration within one network element
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Abstract
【課題】アプリケーションレベルゲートウェイ(ALG)のファイル又はファイアウォールのルールセット200を評価する方法及び装置を提供する。
【解決手段】本方法及び装置は、双方向通信装置130で、アプリケーションレベルゲートウェイ(ALG)ファイルを受信すること304、該ALGファイルの少なくとも1つの互換性パラメータを該双方向通信装置の特性と比較すること308,310,314,320,326,332,336を含んでいる。全ての互換性パラメータが勝る場合、ALGファイルは、双方向通信装置に記憶される340。
【選択図】図3
【解決手段】本方法及び装置は、双方向通信装置130で、アプリケーションレベルゲートウェイ(ALG)ファイルを受信すること304、該ALGファイルの少なくとも1つの互換性パラメータを該双方向通信装置の特性と比較すること308,310,314,320,326,332,336を含んでいる。全ての互換性パラメータが勝る場合、ALGファイルは、双方向通信装置に記憶される340。
【選択図】図3
Description
本発明は、本発明は、双方向通信装置の分野に関し、より詳細には、本発明は、双方向通信装置のためのアプリケーションレベルゲートウェイ及びファイアウォールのルールセットをアップグレードすることに関する。
本出願は、2002年7月11日に提出された米国仮出願シリアル番号60,395,042号の利益を請求するものであり、この仮出願は、引用によりそのままの状態で本明細書に組み込まれる。
本出願は、2002年7月11日に提出された米国仮出願シリアル番号60,395,042号の利益を請求するものであり、この仮出願は、引用によりそのままの状態で本明細書に組み込まれる。
フィールドでアップグレード可能なプロダクトは、今日のブロードバンド市場において、より普及してきている。ケーブルモデム及び他の双方向通信装置のような装置は、アプリケーションレベルゲートウェイ(ALG)及び/又はファイアウォールのルールのセットを有している場合があり、これらは顧客の家又はオフィスにある間に遠隔的にダウンロードされる。
かかるALG及び/又はファイアウォールのルールセットを含むようなファイルをダウンロードすることで、特に、不適切なファイルバージョン、破壊されたファイル、許可されていないファイル、大き過ぎるファイル、装置のハードウェア及び/又はソフトウェアとの互換性を持たないファイルをダウンロードするため、装置はより高いリスクにさらされる。
かかるALG及び/又はファイアウォールのルールセットを含むようなファイルをダウンロードすることで、特に、不適切なファイルバージョン、破壊されたファイル、許可されていないファイル、大き過ぎるファイル、装置のハードウェア及び/又はソフトウェアとの互換性を持たないファイルをダウンロードするため、装置はより高いリスクにさらされる。
互換性を持たない又は破壊されたALGファイルをケーブルモデムにダウンロードすることで、ケーブルモデムのハングアップすなわちクラッシュを引き起こす場合がある。ケーブルモデムがひとたびハングアップ又はクラッシュすると、ケーブルモデムは、動作不能となり、典型的には、ケーブルモデムを修理するため、複数のシステムオペレータ(MSO)のサービス代表等から例示的にサービスコールを必要とする。
したがって、ケーブルモデムのような双方向通信装置にダウンロードされる、適切なアプリケーションレベルゲートウェイのファイル又はファイアウォールのルールセットのファイルを認証することが必要とされている。
したがって、ケーブルモデムのような双方向通信装置にダウンロードされる、適切なアプリケーションレベルゲートウェイのファイル又はファイアウォールのルールセットのファイルを認証することが必要とされている。
従来技術に関連される問題点は、本発明のアプリケーションレベルゲートウェイ(ALG)のファイル又はファイアウォールのルールセットを評価するための装置及び方法により解決される。
本方法及び装置は、サービスプロバイダからのALGファイルを受信すること、及び、かかるALGファイルを受信する双方向通信装置の機能により、ALGファイルの少なくとも1つの互換性パラメータを評価することを含んでいる。全ての互換性パラメータが認証される場合、ALGファイルは双方向通信装置に記憶される。
本方法及び装置は、サービスプロバイダからのALGファイルを受信すること、及び、かかるALGファイルを受信する双方向通信装置の機能により、ALGファイルの少なくとも1つの互換性パラメータを評価することを含んでいる。全ての互換性パラメータが認証される場合、ALGファイルは双方向通信装置に記憶される。
本発明の教示は、添付図面と共に以下の詳細な説明を考慮することで容易に理解することができる。
本発明の理解を容易にするため、可能である場合、図面で共通の同じエレメントを示すために同じ参照符号が使用されている。
本発明の理解を容易にするため、可能である場合、図面で共通の同じエレメントを示すために同じ参照符号が使用されている。
本発明は、双方向の通信環境で動作する双方向通信装置(BCD: Bi−directional Communication Device)、及びアプリケーションレベルゲートウェイ(ALG)ファイル又はファイアウォールのルールセットをBCDにダウンロードするための方法を備えている。
本発明の明確さ及び良好な理解のため、本発明は、ケーブル通信分散システムの観点で例示的に説明される。しかし、本発明の原理は、衛星通信システム、ADSL、DSL、ダイアルアップ、ワイヤレスシステム、又は複数の加入者装置に双方向通信(たとえば、データ、マルチメディアコンテンツ、及び他の情報)を提供可能な他の双方向通信環境のような、他の双方向通信環境にも適用される。
双方向通信装置は、1実施の形態では、CableLabs Certified CableModem(登録商標)に準拠したケーブルモデムであって、このケーブルモデムは、ケーブルモデムのようなDOCSISベースの製品及びパーソナルコンピュータ等のような複数の加入者装置を配置するケーブルテレビジョンシステムオペレータ(及びインターネットサービスプロバイダ(ISP))間で双方向通信を提供するために使用される場合がある。
DOCSIS(Data Over Cable Service Interface Specifications)として前もって知られているCableLabs Certified CableModem(登録商標)は、変調スキームを規定する仕様を確立する先導的なCATVにより創設されている。各種バージョンのDOCSISは、そのままの形で引用により本明細書で組み込まれる。
図1は、本発明の例示的な実施の形態が利用される場合があるケーブルモデム通信システム100のブロック図を示している。双方向通信システム(たとえば、ケーブルモデムシステム)100は、複数のシステムオペレータ(MSO、すなわちケーブルモデムオペレータ)110、及び複数の加入者構内装置170を備えており、これら複数の加入者構内装置は、アクセスネットワーク108を介してサービスプロバイダ110に結合されている。
加入者構内装置170は、複数のユーザ装置1721〜172N(集合的にユーザ装置172)を備えており、該ユーザ装置は、複数の双方向通信装置(たとえば、ケーブルモデム)1301〜130N(集合的にケーブルモデム130)にそれぞれ結合されており、ケーブルモデムのうちの1つのケーブルモデム130のみが図1に示されている。
ユーザ装置172は、パーソナルコンピュータ(PC)、ラップトップコンピュータ、テレビジョンセット、ハンドヘルド装置、又はデータを送信及び/又は受信可能ないずれか他の装置のような、オーディオ、ビデオ、及び/又はデータを備えているデジタル化されたストリームを処理可能ないずれかのタイプの装置である場合がある。
それぞれのユーザ装置170は、アクセスネットワーク108にケーブルモデム130を介して結合されており、このアクセスネットワークは、ユーザ装置172をローカルケーブルテレビジョンプロバイダ(すなわち、MSO110)を介してIPネットワーク102(たとえば、インターネット)に接続する。
なお、図1では、複数のユーザ装置172がハブ174を介して単一のケーブルモデム130に結合されているものとして例示的に示されている。しかし、代替的に、当業者であれば、それぞれのユーザ装置172が、ユーザ装置172とMSO110との間での双方向通信を提供するため、それぞれのケーブルモデムに結合されるか又はいずれかの構成でグループ化される場合があること理解されるであろう。
ケーブルモデム130により、加入者は、電話のダイヤルアップモデムよりも非常に速い速度で、サービスプロバイダ110からの情報をダウンロードすることが可能となる。たとえば、ケーブルモデム130は、電話モデムの毎秒56キロビットに比較して、毎秒3メガビット以上のレートでの接続性を提供することができる。
システム100に例示的に使用されているタイプのケーブルモデムは、インディアナポリスINのThomson社で製造されているDCM305モデルである。なお、DOCSIS規格に準拠する他の製造業者により提供されるケーブルモデム(及びモデムの機能)がシステム100において同様に実現される場合もある。
サービスプロバイダ110は、低速、中速及び/又は高速のデータ送信、複数の音声チャネル、ビデオチャネル等を提供可能ないずれかのエンティティである場合がある。
特に、各種ブロードキャストフォーマット(たとえば、DBS(Digital Broadcast Satellite))、ケーブル送信システム(たとえば、高精細テレビジョン(HDTV: High Definition TeleVision))、デジタルビデオブロードキャスト(DVB−C、すなわち欧州デジタルケーブル規格)のようなフォーマットで、サービスプロバイダ110により無線周波(RF)キャリア信号を介してデータが送信される。サービスプロバイダ110は、ケーブル108を通してデータを供給する。
サービスプロバイダ110は、(図1では唯一のヘッドエンドが示されている)複数のヘッドエンド112を典型的に備えており、これら複数のヘッドエンドは、接続性、サービス及びサポートをかかる地域に位置される加入者に提供するため、様々な地理的な地域に配置されている。
たとえば、1以上のヘッドエンド112は、市(たとえば、サンフランシスコCA)のような大きな加入者のベースの近くに位置される場合がある。他のヘッドエンド110は、要求されるように他の市又は地域的なエリアをサポートするためにMSOにより提供される場合がある。
それぞれのヘッドエンド112は、DHCP(Dynamic Host Configuration Protocol)サーバ、TFTP(Trivial File Transfer Protocol)サーバ、ITP(Internet Time Protocol)サーバ、ウェブキャシングサーバ、MSO又はISPコンテンツデリバリサーバ等のような他のサポートサーバ118の間で、少なくとも1つの終端システム(たとえば、ケーブルモデム終端システム(CMTS))114、ファイルサーバ116を備えている。
フィルサーバ116は、ダウンロード可能なアプリケーションレベルゲートウェイ(ALG)ファイル又はファイアウォールのルールセットのようなファイルがMSO110からケーブルモデム130に転送される場合がある手段を提供する。
特に、ファイルサーバ116は、ALGデータベース120に結合され、このALGデータベース120は、ケーブルモデム130のような各種プロトコル及び装置に属する複数のALGファイルを記憶する。ファイルサーバ116は、特定のALGファイルをALGファイルデータベース120から検索し、要求されたとき、及び図3の方法300に関して以下に説明されるように、かかるファイルを双方向装置130に送出する。
他のサポートサーバ118は、ケーブルモデムの初期化の間にケーブルモデム130とIPネットワーク102との間の接続性を確立するために使用される。特に、他のサポートサーバ118は、コンフィギュレーションファイル及び現在の日付及び時間をケーブルモデム120が初期化するたびにケーブルモデム130に送出する。
さらに、ウェブキャッシングサーバ、MSO又はISPコンテンツデリバリサーバ等のような他のサーバ118は、認識されたワールドワイドウェブコンテンツ、冗長性のあるウェブ接続性等を提供する。さらに、DHCPサーバは、IPアドレスを中央で管理し、IPネットワーク102に結合されるホスト装置(すなわち、ケーブルモデム)に自動的に割り当てる。たとえば、ケーブルモデム130がシステム100で追加、置き換え、又は除かれたとき、DHCPサーバは、そのケーブルモデム130について新たなIPアドレスを割り当てる。
CTMS114は、ケーブルネットワーク100でケーブルモデム130とデジタル信号をやり取りする。それぞれのヘッドエンド112に配置されるCMTS114の量は、特定の地理的な領域に給仕されている加入者数に依存する。
単一のCMTS114は、約8000ケーブルモデム130までの接続性を典型的に提供する。地理的な領域は8000を超える加入者を有する例では、ヘッドエンド112には、要求されるように、更なるCMTS114が設けられる。
データサービス(たとえば、マルチメディアコンテンツ)及びALGアップグレードファイルは、ケーブルモデム130に結合される伝送媒体(たとえば、北米又は欧州DOCSIS規格の下で規定されるような、慣習的な双方向HFC(Hybrid Fiber−Coax)ケーブルネットワーク)を介して、アクセスネットワーク108にわたりRFパス(すなわち、チャネル)を通してケーブルモデム130に送出される。
なお、ケーブルモデム130は、加入者のコンピュータの外部又は内部でインストールされる場合がある、ケーブルモデム130並びにコンピュータ又はテレビジョンセット(たとえば、Ethernet(登録商標), Universal Serial Bus (USB), 802.11bワイヤレス、HPNA (Home Phoneline Networking Alliance))によりサポートされるローカルエリアネットワーク媒体により接続される。
あるチャネルは、CMTS114からケーブルモデム130へのダウンストリーム信号のために使用され、別のチャネルは、ケーブルモデム130からCMTS114へのアップストリーム信号のために使用される。
CMTS114がアップストリーム信号をケーブルモデム130から受信したとき、CMTS114は、これらの信号をインターネットプロトコル(IP)パケットに処理し、これらのパケットは、IPネットワーク102を通して特定の目的地(たとえば、所望のコンテンツ又はウェブサイトを有するサーバ)に経路制御される。
CMTS114がダウンストリーム信号をケーブルモデム130に送出したとき、CMTS114は、アクセスネットワーク108にわたるケーブルモデム130への送信のためにダウンストリーム信号を変調する。ケーブルモデム130は、ユーザ装置172による処理のため、変調された信号をベースバンド信号に変換する。
例示的なケーブルモデム130は、サービスプロバイダ110からデータ通信システム100のユーザ装置172へのダウンストリームのブロードバンドデータ信号を供給するために利用される。さらに、例示的なケーブルモデム130は、例示的なユーザ装置172からサービスプロバイダ110に戻るアップストリームのベースバンドデータ信号を転送するために利用される。
ケーブルモデム130は、プロセッサ132、サポート回路134、I/O回路142、揮発性メモリ136と同様にEEOPROM138及びフラッシュメモリ140のような記憶装置を備えている。プロセッサ132は、Irvine,CAのBroadcom社により製造されているシングルチップBCM3345デバイスのようなケーブルモデムプロセッサである場合があり、このケーブルモデムプロセッサは、変調器及び復調器(図示せず)を含んでいる。
EEPROM及びフラッシュメモリ138及び140は、不揮発性メモリデバイスであり、アプリケーションプログラムファイル、データファイル、及びプロセッサ132により例示的に実行される場合がある他のプログラムコードを永続的に記憶するために使用される。
たとえば、ファイアウォール、複数のアプリケーションレベルゲートウェイファイル、及びアプリケーションレベルゲートウェイのファイルは、EEPROM138及び/又はフラッシュメモリ140に全て永続的に記憶される場合がある。
揮発性メモリ136は、ランダムアクセスメモリ(RAM)である場合があり、このメモリは、迅速な検索及び実行のために不揮発性メモリ138及び140に記憶されているプログラムの全部及び一部を記憶するため、動作の間に使用される。
図1に示されるように、ファイアウォール150、複数のアプリケーションレベルゲートウェイファイル152(たとえば、ファイルALG−0〜ALG−m)、及び(図3に関してさらに詳細に以下に説明されるような)アプリケーションレベルゲートウェイのファイル152のアップグレードを許可するために使用されるルーチン300は、揮発性メモリ136に記憶されるものとして示されている。
メモリ136に記憶されている場合がある他のプログラムは、処理スタック、ヒープ、識別の下でのALG及びファイアウォールのルールセットのようなトランジェントデータ、フラッシュからコピーされる実行アプリケーション、スタートアップコンスタントデータ、カーネル及びアプリケーションコード、及び他のデータ(図示せず)を典型的に含んでいる。
プロセッサ132は、メモリ136に記憶されるソフトウェアルーチンを実行する助けとなる回路と同様に、電源、クロック回路、キャッシュメモリ等のような従来のサポート回路134と共同して動作する。かかるように、ソフトウェア処理として本実施の形態で説明される処理ステップのうちの幾つかは、各種ステップを実行するために、たとえばプロセッサ132と共同で動作する回路のようなハードウェア内で実現される場合がある。
また、ケーブルモデム130は、ユーザ装置172と通信する各種機能エレメントとのインタフェースを形成する入力/出力(I/O)回路142をも備えている。ケーブルモデム130とユーザ装置172との間の物理レイヤは、Ethernet(登録商標)、同軸ケーブル、FDDI、ISDN、ATM、ADSL、CAT1−5ケーブル、USB、HomePNA、ワイヤレスデータリンク(たとえば、802.11又はBluetooth規格の無線リンク)を例示的に含んでいる場合がある。
さらに、ケーブルモデム130は、信号処理回路144を備えており、この信号処理回路は、ダウンストリーム処理回路146及びアップストリーム処理回路148をさらに備えている。信号処理回路は、プロセッサ132、及びアクセスネットワーク108に結合されるインタフェース143に結合されている。
動作において、CMTS114は、デジタルデータを変調されたRF信号に変換し、かかる変調された信号をHFCトランスポート(アクセス)ネットワーク108を介してケーブルモデム130へダウンストリームに供給し、ここで、RF信号が受信され、予め決定された中間周波数(IF)に同調及びフィルタリングされる。
その後、IF信号は、1以上のそれぞれのベースバンド信号に復調されるか、さもなければ、例示的にデータパケットに処理される。データパケットは、例示的にケーブリング(たとえば、Ethernet(登録商標)、Universal Serial Bus (USB)、同軸ケーブル等)175を通してユーザ装置172に更に送信される。
同様に、ユーザ装置172のユーザは、データ信号をケーブルモデム130にケーブリング175を介して送出する場合がある。ケーブルモデム130は、ユーザ装置172からのデータ信号を受信し、次いで、データ信号を変調し、ケーブルトランスポートネットワーク108を介してサービスプロバイダ110へのアップストリーム送信のためのRFキャリアにアップコンバートする。
ダウンストリーム処理回路146は、チューナ、フィルタ、復調器、コントローラ、及びアップストリーム処理のために使用される媒体アクセスコントローラ(MAC)のような他のダウンストリーム処理回路のような各種コンポーネントを典型的に含んでいる。
典型的に、ダウンストリーム信号は、約91MHzから860MHzの周波数レンジを有する64QAM又は256QAM信号のいずれかである。ダウンストリーム処理回路146は、コントローラにより供給された選択信号に応答して、CMTS114からの複数のダウンストリームデータ信号のうちの少なくとも1つを選択的に同調、復調、及びさもなければ「受信」する。
高域通過フィルタ(HPF)は、全てのダウンストリームデータ信号をチューナに通過させ、このチューナは、HPFからの受信されたダウンストリームのRF信号を予め決定されたIF周波数信号にダウンコンバートする。IF信号は、1以上のそれぞれのデジタルベースバンド信号を供給するため、復調回路により復調される。
デジタルベースバンド信号は、媒体アクセスコントローラ(MAC)に送出され、ここで、受信された信号(たとえば、MPEGパケット)は、カプセル化されていない状態にされ、コントローラにより管理されるように、ユーザ装置172へのその後の転送のためにビットストリームに形成される。ユーザ装置172への転送の前に、パケットは、以下にさらに詳細に説明されるように、検査のために内部のTCP/IPスタック又はファイアウォールプログラム150のいずれかに送出される。
パケットがファイアウォールプログラムルール、MAC、コントローラに従うものとひとたび考えられると、他のデジタル回路は、パケット化されたデータをさらに処理し(たとえば、要求されるような適切なトランスポートパケットにおける属性付け又はカプセル化)、次いで、処理された、パケット化されたデータをユーザ装置172(又は他の情報機器)に分散する。
特に、MACは、パケット化されたビットストリームをコントローラに送出し、ここで、ユーザ装置172とのインタフェースのためにデータが処理される(たとえば、フォーマット化される)。コントローラは、更なる処理(たとえば、データの抽出及びアップコンバージョン)のためにフォーマット化されたパケット化ビットストリームを(ケーブルを介して)ユーザ装置172に転送する。
アップストリーム処理回路148は、アップストリームの物理レイヤエレメント、アップストリームの媒体アクセスコントローラ、変調器、低域通過フィルタ、及び他のアップストリームの処理回路(増幅器、電圧レギュレータ等)のような各種コンポーネントを典型的に含んでいる。
ケーブルモデム130は、サービスプロバイダ110へのその後の送信のため、ユーザ装置172からの信号(たとえば、データ信号)を受信する。特に、ユーザは、データ、データ要求、又はケーブルモデム130を介してのサービスプロバイダ110への他のユーザ要求を送出する。
ケーブルモデム130は、ユーザ要求を受信し、ここで、MAC及びアップストリーム処理回路は、転送のために信号をフォーマット化し、カプセル化し、及びアップコンバートする(たとえば、5MHz〜54MHz周波数レンジ)。変調器は、CMTS114へのアップストリームの信号パスに沿ってアップコンバートされた信号を変調する(たとえば、QPSK又は16QAM)。
ファイアウォールプログラム150は、発生しているソースノード(たとえば、WAN上のファイルサーバ)から目的地ノード(たとえば、LAN上のローカルコンピュータ)に送出されるデータパケット(たとえば、IPデータパケットを検査及びフィルタリングする能力がある。特に、ファイアウォールプログラム150は、ユーザからのプライベートネットワークのリソースを他のネットワークから保護する1セットの関連されるプログラムを備えている。
ファイアウォールプログラム150は、ネットワークパケットの一部又は全部を実行し、パケットをその目的地に送出すべきかを判定する。すなわち、ファイアウォールプログラム150は、ネットワークレベルで動作する。パケットコンフィギュレーションが規定されたルールに違反しない場合に、データは、ファイアウォールプログラム150を含んでいる通信装置130を通して通過することが許可される。
ファイアウォールプログラムは、たとえば、サービスプロバイダ110でLANの管理者により確立される(デフォルトルールもまた使用される場合がある)。ルールは、望まれないデータが組織のローカルエリアネットワーク/ワイドエリアネットワーク(LAN/WAN)に侵入するのを禁止することによるセキュリティを提供するため、組織によるポリシーの考慮を反映する。
たとえば、組織は、特定のインターネットウェブサイトが組織の従業員により見られるべきではないか、又は一部の従業員がインターネットへのアクセスを拒否されるべきかを判定する場合がある。1実施の形態では、ファイアウォールのルールは、図2に示される例示的なALGファイルのようなアプリケーションレベルゲートウェイファイルで定義される。
かかるように、ハイパーテキストトランスファープロトコル(HTTP)の一部又は全部を制限するためのプログラミングを含んでいる。更なるルールは、LANに侵入しようとする許可されていない人物(すなわち、ハッカー)と同様に、ウォームのようなLAN及びエンドユーザに害を与えるものと思われる規制データパケットを含んでいる。
ALGファイルは、TCP/IPファイルサーバ116に結合されるデータベース120に記憶されており、サービスプロバイダ110に位置されている。システム管理者がALGファイルを更新したとき、ケーブルモデム130は、ファイルのアップグレードをも要求する。
1実施の形態では、ALGファイルは、アクセスネットワーク108を通してのダウンロードを要求しているユーザによりケーブルモデム130に供給される場合がある。第二の実施の形態では、ファイアウォール150は、サービスプロバイダ110で更新されたファイルを識別するためにALGデータベースを周期的にポーリングする。
代替的に、MSO110は、SNMP(Simple Network Management Protocol)のようなプロトコルを介して、新たなファイアウォールのルールのセット又はALGデータを取得するため、ケーブルモデムに指示する場合がある。アップグレードされたALGファイルがひとたび識別されると、サービスプロバイダ110は、アップグレードされたファイルを自動的に検索し、それらをケーブルモデム130に送出する。
第三の実施の形態では、アップグレードされたALGファイルは、CD−ROM、ディスクドライブ、フロプティカルディスクドライブ等のような不揮発性記憶装置に記憶される場合があり、ユーザは、ユーザ装置172を介して、新たな及び/又は更新されたALGファイルをそれらのケーブルモデム130にアップロードする場合がある。
図2は、本発明の例示的なアプリケーションレベルゲートウェイ(ALG)のファイル200のブロック図を示している。ALGファイル200は、ALGボディ202(ペイロード)及びヘッダ210を備えている。ALGファイル200は、ファイアウォールプログラム150が特定のプロトコルをどのように扱うかを決定するために実行する実行可能なコードを備えている。
すなわち、実行可能なボディ202は、プロトコルスペシフィックなプログラムコードを含んでいる。たとえば、第一のALGファイル200は、httpプロトコルを利用する情報の通過を可能にするコードを備えており、第二のALGファイル200は、FTP(ファイル転送プロトコル)を利用するデータをブロックするために特化した実行可能なプログラミングコードを含んでいる。他のALGファイル200は、TFTP,SNMP,RLOGIN等のような、他のタイプのプロトコルのトラフィックフローを制御するために利用される場合がある。
ALGヘッダ210は、ヘッダフォーマットバージョン216、ヘッダサイズ218、予測されるヘッダCRC220、ペイロード認証の署名222、ペイロードサイズ224、予測されるペイロードCRC226、互換性を示す(コンパチブル)ハードウェア及びソフトウェアバージョンファミリ228及び230、及び他の情報の中でも、圧縮パラメータ、著作権の通告、及び/又はペイロードが形成された日付のような他のヘッダデータ212のような、ヘッダデータフィールドを備えている。
本発明の1実施の形態では、これらALGヘッダ210コンポーネントの多くは、ALGファイルの有効性フィールド214として利用される場合があり、このフィールドは、ケーブルモデム130により受信されたアップグレードされたALGファイル又は新たなALGファイル200がファイル転送の間に破壊されているかを、ケーブルモデムのハードウェアとソフトウェアと互換性を持つかと同様に判定するために使用される。
図2はALGファイル200の観点で説明されているが、本発明のALGファイルが限定するものとして考慮されるべきではない。たとえば、類似のヘッダ210がファイアウォールルールを含むファイルに添付される場合がある。
特に、有効性のフィールド214は、ヘッダフォーマットバージョンフィールド216、ヘッダサイズ218、予測されるヘッダCRC(Cyclic Redundancy Check)220、ALG認証の署名222、ALGボディサイズフィールド224、ALGボディ予測CRC226、互換性を示すハードウェアバージョンファミリのフィールド228、及び互換性を示すソフトウェアバージョンファミリのフィールド230を備えている。それぞれの認証フィールド214は、図3に関して以下に説明されるように、方法300を使用するケーブルモデム130によりチェックされる。
ヘッダフォーマットバージョンフィールド216は、ヘッダ210におけるデータのフィールドの順序及び長さに関する情報を提供する。特に、ヘッダフォーマットバージョンフィールド216は、既知のフォーマットに対応する予め定義された番号を備えている。
この予め定義された番号は、典型的に1から開始し、フィールドが追加され、レングスが変更されるか又はフィールドがヘッダにおいて再配置されるたびにインクリメントされる。ヘッダフォーマットバージョンのフィールド216は、新たなフォーマットに精通していないソフトウェアによる誤った解釈を防ぐ。
1実施の形態では、ヘッダフォーマットバージョンフィールド216は、レングスに関して1バイトから4バイトである場合があり、1つの特定の実施の形態では、レングスに関して2バイトである。ヘッダサイズフィールド218は、ヘッダ214のサイズを識別する。
1実施の形態では、ヘッダサイズフィールド218は、レングスに関して1バイトから4バイトである場合があり、その実施の形態の1つの特定のサブセットでは、レングスに関して2バイトである。ヘッダ予測CRCフィールド220は、ヘッダ210に添付され、ヘッダ210におけるエラー(損失データ)を検出するために使用される16又は32ビット多項式を識別する。
ALG認証の署名フィールド222は、信頼されるファイアウォールのルールセット又はALGを生成するソース(たとえば、会社、サードパーティエンティティ等)の暗号認証に関する情報を提供する。1実施の形態では、ALG認証の署名フィールド222は、レングスに関して1バイトから1024バイトである場合があり、その実施の形態の1つの特定のサブセットでは、レングスに関して128バイトである。
ALGボディサイズフィールド224は、ALGボディ202のサイズを識別する。1実施の形態では、ALGボディサイズフィールド224は、レングスに関して1バイトから4バイトである場合があり、その実施の形態の1つの特定のサブセットでは、レングスに関して4バイトである。なお、ALGボディサイズフィールド224は、ヘッダにおけるサイズフィールドのレングスを示す。
実際のALG又はルールのセットは、典型的に数千バイトのオーダである。ALGボディ予測CRCフィールド220は、ヘッダ210に添付され、ALGボディ202におけるエラー(損失データ)を検出するために使用される16又は32ビット多項式を識別する。
互換性を示すハードウェアバージョンのフィールド228は、このファイルが予測される問題なしに(ALG)を実行するか又は(ルールのセット)を動作させるハードウェアバージョンのセットに関する情報を提供する。
1実施の形態では、互換性を示すハードウェアバージョンのフィールド228は、レングスに関して1バイトから8バイトである場合があり、その実施の形態の1つの特定のサブセットは、レングスに関して4バイトである。
互換性を示すソフトウェアバージョンのフィールド230は、このファイルが予測される問題なしに(ALG)を実行するか又は(ルールのセット)を動作させるアプリケーションソフトウェアバージョンのセットに関する情報を提供する。
1実施の形態では、互換性を示すソフトウェアバージョンのフィールド230は、レングスに関して1バイトから8バイトである場合があり、その実施の形態の1つの特定のサブセットは、レングスに関して4バイトである。
なお、上述されたフィールドのそれぞれの例示的なサイズは限定するものとして考慮されるものではなく、フィールドは、効果的なやり方(たとえば、帯域幅の考慮)で要求される情報を提供するために適したレングスである場合がある。さらに、同じ判別アルゴリズム適用するために、同じタイプのヘッダがファイアウォールのルールに付加される場合がある。
図3は、本発明の原理に従う新たなALGファイル又は更新されたALGファイル200を認証するための方法300に関するフローチャートを示している。方法300は、新たなALGファイル又は更新されたALGファイル200がそこでファイアウォール150により実行するためにケーブルモデム130のメモリに記憶されるときに利用される場合がある。
本方法300は、ファイル転送の間に互換性の問題及びデータの損失について各種パラメータをチェックすることを備えている。なお、各種パラメータを評価するための図3に示されるパラメータのタイプ及び特定の順序は、単なる例示的なものであって、限定するものとして解釈されるべきものではない。
特に、本方法300は、ステップ302で開始し、ステップ304に進み、ここで、ALGファイル200は、ケーブルモデム130に送出され、揮発性メモリ136にバッファリングされる。
1実施の形態では、ファイアウォール150は、新たなALGファイル又は更新されたALGファイル200のためにサービスプロバイダ110でセントラルロケーション(すなわち、ALGデータベース120)を周期的にポーリングする。
新たなALGファイル又は更新されたALGファイル200は、次いで、要求に応じて、アクセスネットワークを介してヘッドエンド112でTCP/IPファイルサーバからダウンロードされる。
第二の実施の形態では、コンフィギュレーションファイルは、サービスプロバイダ110からケーブルモデム130にダウンロードされる。コンフィギュレーションファイルは、管理されるコネクションを確立するために使用される双方向ネットワークポリシー情報を提供する。
ケーブルモデムアプリケーション(たとえば、ファイアウォール150)は、コンフォギュレーションをチェックし、ALGファイル200をダウンロードすべきかを決定する。
この判別アルゴリズムを実行しているファイアウォール150が、ALGファイル200がケーブルモデム130にとって適切であると判定した場合、ファイアウォール150は、ALGファイル200を送出するためにファイルサーバ116に要求を送出する。ファイルサーバ116は、アクセスネットワーク108を介してケーブルモデム130にALGファイルをダウンロードする。
第三の実施の形態では、ALGファイル200は、それらのユーザ装置172でユーザによりケーブルモデム130にロードされる場合がある。この例では、ALGファイル200は、フロプティカルディスク、CD−ROM、ディスクドライブ等のような不揮発性媒体に記憶される。かかるように、本方法300のステップ304は、先に説明された3つの実施の形態を包含する。本方法300は、次いで、ステップ306に進む。
ステップ306では、受信されたALGファイル200のヘッダ210におけるヘッダフォーマットバージョンフィールド216がチェックされる。ステップ308で、ヘッダフォーマットバージョンが既知でない場合、次いで、本方法300は、ステップ350に進み、ここで、ALGファイル200が拒否される。
すなわち、ALGファイル200は、不揮発性メモリ138及び/又は140に記憶されないか、ファイアウォール150により使用され、ステップ399で、本方法300が終了する。ステップ308で、ヘッダフォーマットバージョンが既知である場合、次いで、本方法300は、ステップ310に進む。
ステップ310で、受信されたALGファイル200のヘッダ210におけるALGヘッダサイズフィールド216及びALGボディサイズフィールド224がチェックされる。ステップ312では、ALGファイル200が不揮発性メモリ136のキャパシティを超える場合、本方法300はステップ350に進み、ここで、ALGファイル200は、先に説明されたように拒否される。ステップ312で、ALGファイル200は、不揮発性メモリ136のキャパシティを超えていない場合、本方法300はステップ314に進む。
ステップ314で、受信されたALGファイル200のヘッダ210における予測されるヘッダCRCフィールド220がチェックされる。ステップ316で、ケーブルモデム130が同じ多項式をデータ(ヘッダ210)に適用し、結果をサービスプロバイダ110により添付されたCRC結果と比較するように、ヘッダ210のCRCが計算される。
ステップ318で、計算されたCRCと添付されたヘッダCRCとが整合しない場合、本方法300はステップ350に進み、ここで、ALGファイル200は先に説明されたように拒否される。ステップ318で、計算されたCRCと添付されたヘッダCRCが整合する場合、本方法300はステップ320に進む。
ステップ320で、受信されたALGファイル200のヘッダ210における予測されるボディCRCフィールド226がチェックされる。ステップ316で、ケーブルモデム130が同じ多項式をデータ(ALGボディ202)に適用し、結果をサービスプロバイダ110により添付されるCRC結果と比較するように、ALGボディ202のCRCが計算される。
ステップ324で、計算されたCRCと添付されたボディCRCとが整合しない場合、本方法300はステップ350に進み、ここで、ALGファイル200は、先に説明されたように拒否される。ステップ324で、計算されたCRCと添付されたボディCRCが整合する場合、本方法300はステップ326に進む。
ステップ326では、受信されたALGファイル200のヘッダにおけるALG認証の署名フィールド222がチェックされる。ステップ328で、認証の動作が署名で行われる。たとえば、SHA−1(Secure Hash Algorithm−1)によるRivest Shamir Adelman(RSA)の署名アルゴリズムにより認証が提供されるか、又は従来技術で知られているような他の従来の認証技法により提供される場合がある。
ステップ330で、ALGファイル200が認証されたソースからのものではない場合、本方法300はステップ350に進み、ここで、ALGファイル200は、先に説明されたように拒否される。ステップ330で、ALGファイル200が認証ソースからのものではない場合、本方法300はステップ332に進む。ステップ332で、受信されたALGファイル200のヘッダにおけるハードウェアバージョンファミリフィールド228がチェックされる。
ステップ334で、ALGファイル200がケーブルモデム130のハードウェアバージョンと互換性を持たない場合、本方法300はステップ350に進み、ここで、ALGファイル200は、先に説明されたように拒否される。ステップ334で、ALGファイル200がケーブルモデム130のハードウェアバージョンと互換性を持つ場合、本方法300はステップ336に進む。
ステップ336で、受信されたALGファイル200のヘッダ210におけるソフトウェアファミリフィールド230がチェックされる。ステップ338で、ALG200がケーブルモデム130のソフトウェアバージョンと互換性を持たない場合、本方法300はステップ350に進み、ここで、ALGファイル200は、先に説明されたように拒否される。ステップ338で、ALGファイル200がケーブルモデム130のソフトウェアバージョンと互換性を持つ場合、本方法300はステップ340に進む。
ALGファイル200が互換性の問題及び破壊されたデータについてひとたびチェックされると、ステップ340で、ALGファイル200は、ケーブルモデム130の不揮発性メモリ136にロードされ、ステップ399で、本方法が終了する。
本方法300は、ALGファイル200又はルールのセットを受信し、かかる受信されたファイル又はルールのセットを使用する前に、ALGファイル200又はファイアウォールのルールのセットを評価するためのルーチンを提供する。
ALGファイル又はファイアウォールのルールのセットがケーブルモデム130のハードウェア又はソフトウェアと互換性を持たないこと評価アルゴリズムが示す場合、受信されたファイル又はルールのセットが確実に拒否される。かかるように、互換性を持たないALGファイル200又はルールのセットを実現することによる回復不可能なエラー状態を誘発する危険性が大幅に低減される。
本発明の教示を取り入れた様々な実施の形態が示され、本明細書で詳細に開示されたが、当業者であれば、これらの教示をなお取り入れた多くの他の変更された実施の形態を容易に考案する場合がある。
Claims (16)
- 双方向通信装置で、アプリケーションレベルゲートウェイ(ALG)のファイルを受信するステップと、
前記双方向通信装置で、前記ALGファイルの少なくとも1つの互換性を示すパラメータを、前記双方向通信装置の少なくとも1つのハードウェアの特性と比較するステップと、
前記少なくとも1つの互換性を示すパラメータに関する好ましい比較に応答して、前記双方向通信装置で前記ALGファイルを記憶するステップとを含み、
前記受信ステップ、比較ステップ及び記憶ステップは、特定の順序で実行される、
ことを特徴とする方法。 - 前記少なくとも1つの互換性を示すパラメータに関する好ましくない比較に応答して、前記双方向通信装置で前記ALGファイルを拒否するステップをさらに含む、
請求項1記載の方法。 - 前記少なくとも1つの互換性を示すパラメータは、前記ALGファイルのヘッダサイズ及び前記ALGファイルのボディサイズのうちの少なくとも1つを含み、
前記双方向通信装置の少なくとも1つのハードウェアの特性は、前記ALGファイルを記憶するために前記双方向通信装置において利用可能なメモリの容量を含む、
請求項1記載の方法。 - 前記双方向通信装置は、ケーブルモデムを備える、
請求項1記載の方法。 - 前記受信するステップは、
少なくとも1つの新たなALGファイル及び更新されたALGファイルが利用可能であるかを判定するためにサービスプロバイダに周期的にポーリングするステップと、
利用可能なALGファイルの要求を送出するステップと、
アクセスネットワークから前記要求されたALGファイルを受信するステップと、
を含む請求項1記載の方法。 - 前記受信するステップは、
少なくとも1つの新たなALGファイル及び更新されたALGファイルを識別するコンフィギュレーションファイルを前記サービスプロバイダから受信するステップと、
利用可能なALGファイルの要求を送出するステップと、
アクセスネットワークから前記要求されたALGファイルを受信するステップと、
を含む請求項1記載の方法。 - ファイアウォールプログラムが前記ALGファイルを利用してデータトラフィックを制御する、
請求項1記載の方法。 - 前記少なくとも1つの互換性パラメータは、前記ALGファイルのヘッダ部分に含まれる、
請求項1記載の方法。 - 前記双方向通信装置の少なくとも1つのハードウェアの特性は、前記ALGファイルを記憶するために前記双方向通信装置において利用可能なメモリの容量を含む、
請求項1記載の方法。 - 前記少なくとも1つの互換性を示すパラメータは、前記ALGファイルのヘッダサイズ及び前記ALGファイルのボディサイズのうちの1つを含む、
請求項1記載の方法。 - 双方向通信装置でアプリケーションレベルゲートウェイ(ALG)のファイルを受信する手段と、
前記双方向通信装置で、前記ALGファイルの少なくとも1つの互換性を示すパラメータを、前記双方向通信装置の少なくとも1つのハードウェアの特性と比較する手段と、
前記少なくとも1つの互換性を示すパラメータに関する好ましい比較に応答して、前記双方向通信装置で前記ALGファイルを記憶する手段とを有し、
前記受信手段、比較手段及び記憶手段により実行される機能は、特定の順序で実行される、
ことを特徴とする装置。 - 前記少なくとも1つの互換性パラメータに関する好ましくない比較に応答して、前記双方向通信装置で前記ALGファイルを拒否する手段をさらに備える、
請求項11記載の装置。 - 前記双方向通信装置は、ケーブルモデムを備える、
請求項11記載の装置。 - 前記双方向通信装置の少なくとも1つのハードウェアの特性は、前記ALGファイルを記憶するために前記双方向通信装置において利用可能なメモリの量を含む、
請求項11記載の装置。 - 前記少なくとも1つの互換性を示すパラメータは、前記ALGファイルのヘッダサイズ及び前記ALGファイルのボディサイズのうちの1つを含む、
請求項11記載の装置。 - 前記少なくとも1つの互換性を示すパラメータは、前記ALGファイルのヘッダサイズ及び前記ALGファイルのボディサイズのうちの少なくとも1つを含み、
前記双方向通信装置の少なくとも1つのハードウェアの特性は、前記ALGファイルを記憶するために前記双方向通信装置において利用可能なメモリの容量を含む、
請求項11記載の装置。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US39504202P | 2002-07-11 | 2002-07-11 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004521529A Division JP2005532640A (ja) | 2002-07-11 | 2003-07-03 | アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010061675A true JP2010061675A (ja) | 2010-03-18 |
Family
ID=30115804
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004521529A Pending JP2005532640A (ja) | 2002-07-11 | 2003-07-03 | アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 |
| JP2009241313A Pending JP2010061675A (ja) | 2002-07-11 | 2009-10-20 | アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004521529A Pending JP2005532640A (ja) | 2002-07-11 | 2003-07-03 | アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US20050220126A1 (ja) |
| EP (1) | EP1522159B1 (ja) |
| JP (2) | JP2005532640A (ja) |
| KR (1) | KR100959968B1 (ja) |
| CN (1) | CN1679263B (ja) |
| AU (1) | AU2003247799A1 (ja) |
| BR (1) | BR0305431A (ja) |
| DE (1) | DE60332735D1 (ja) |
| MX (1) | MXPA05000416A (ja) |
| TW (1) | TWI229520B (ja) |
| WO (1) | WO2004008271A2 (ja) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7688828B2 (en) * | 2001-06-27 | 2010-03-30 | Cisco Technology, Inc. | Downstream remote physical interface for modular cable modem termination system |
| US8677434B2 (en) * | 2003-12-03 | 2014-03-18 | Broadcom Corporation | Method and system for direct digital up-conversion in a cable modem |
| EP1747655B1 (en) | 2004-05-20 | 2017-12-06 | QinetiQ Limited | Firewall system |
| US8149833B2 (en) * | 2004-05-25 | 2012-04-03 | Cisco Technology, Inc. | Wideband cable downstream protocol |
| US7646786B2 (en) | 2004-05-25 | 2010-01-12 | Cisco Technology, Inc. | Neighbor discovery in cable networks |
| US7864686B2 (en) | 2004-05-25 | 2011-01-04 | Cisco Technology, Inc. | Tunneling scheme for transporting information over a cable network |
| US8102854B2 (en) * | 2004-05-25 | 2012-01-24 | Cisco Technology, Inc. | Neighbor discovery proxy with distributed packet inspection scheme |
| US7835274B2 (en) * | 2004-05-25 | 2010-11-16 | Cisco Technology, Inc. | Wideband provisioning |
| US7720101B2 (en) * | 2004-05-25 | 2010-05-18 | Cisco Technology, Inc. | Wideband cable modem with narrowband circuitry |
| US7532627B2 (en) * | 2004-05-25 | 2009-05-12 | Cisco Technology, Inc. | Wideband upstream protocol |
| US7817553B2 (en) * | 2004-05-25 | 2010-10-19 | Cisco Technology, Inc. | Local area network services in a cable modem network |
| US7539208B2 (en) | 2004-05-25 | 2009-05-26 | Cisco Technology, Inc. | Timing system for modular cable modem termination system |
| US20070061445A1 (en) * | 2005-09-13 | 2007-03-15 | Deganaro Louis R | Cooperative routing between traffic control device and multi-server application |
| WO2007062108A2 (en) * | 2005-11-23 | 2007-05-31 | Pak Siripunkaw | Method of upgrading a platform in a subscriber gateway device |
| TWI354485B (en) * | 2006-06-22 | 2011-12-11 | Lg Telecom Ltd | Device for setting of service zone in mobile commu |
| US8848745B2 (en) * | 2006-08-17 | 2014-09-30 | Broadcom Corporation | Remote flash access |
| BRPI0810486B1 (pt) * | 2007-04-23 | 2019-05-07 | Thomson Licensing | Método para fornecer dados a partir de uma fonte de sinal para um dispositivo de porta de ligação e dispositivo de porta de ligação |
| US8108911B2 (en) | 2007-11-01 | 2012-01-31 | Comcast Cable Holdings, Llc | Method and system for directing user between captive and open domains |
| US8601097B2 (en) * | 2010-02-22 | 2013-12-03 | Ncomputing Inc. | Method and system for data communications in cloud computing architecture |
| US20120117365A1 (en) * | 2010-11-08 | 2012-05-10 | Delta Electronics (Thailand) Public Co., Ltd. | Firmware update method and system for micro-controller unit in power supply unit |
| US9141169B2 (en) | 2012-01-20 | 2015-09-22 | Cisco Technology, Inc. | System and method to conserve power in an access network without loss of service quality |
| US9958924B2 (en) | 2013-08-28 | 2018-05-01 | Cisco Technology, Inc. | Configuration of energy savings |
| US10122687B2 (en) * | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9843560B2 (en) | 2015-09-11 | 2017-12-12 | International Business Machines Corporation | Automatically validating enterprise firewall rules and provisioning firewall rules in computer systems |
| US9912783B2 (en) * | 2016-01-29 | 2018-03-06 | Veritas Technologies Llc | Securing internal services in a distributed environment |
| TW201926108A (zh) * | 2017-12-04 | 2019-07-01 | 和碩聯合科技股份有限公司 | 網路安全系統及其方法 |
| US10705821B2 (en) * | 2018-02-09 | 2020-07-07 | Forescout Technologies, Inc. | Enhanced device updating |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11213038A (ja) * | 1998-01-26 | 1999-08-06 | Dell Usa Lp | コンピュータシステムの互換性のある注文の生成 |
| WO2001029658A2 (en) * | 1999-10-15 | 2001-04-26 | Thomson Licensing S.A. | A user interface for a bi-directional communication system |
| JP2001216218A (ja) * | 2000-02-01 | 2001-08-10 | Canon Inc | 印刷制御装置、印刷システム、アダプタ、印刷制御方法及び記憶媒体 |
| WO2001080023A1 (en) * | 2000-04-14 | 2001-10-25 | Goahead Software Inc. | A system and method for upgrading networked devices |
| JP2002024026A (ja) * | 2000-07-04 | 2002-01-25 | Canon Inc | 情報処理装置、情報処理システム、情報処理方法、及び記憶媒体 |
| JP2002507295A (ja) * | 1997-05-29 | 2002-03-05 | 3コム コーポレイション | 多層型ファイアウオールシステム |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5599231A (en) * | 1994-10-31 | 1997-02-04 | Nintendo Co., Ltd. | Security systems and methods for a videographics and authentication game/program fabricating device |
| US6006018A (en) * | 1995-10-03 | 1999-12-21 | International Business Machines Corporation | Distributed file system translator with extended attribute support |
| US5845128A (en) * | 1996-02-20 | 1998-12-01 | Oracle Corporation | Automatically preserving application customizations during installation of a new software release |
| US5848064A (en) * | 1996-08-07 | 1998-12-08 | Telxon Corporation | Wireless software upgrades with version control |
| US5964831A (en) * | 1996-10-29 | 1999-10-12 | Electronic Data Systems Corporation | Distributed on-line data communications system and method |
| US6272150B1 (en) * | 1997-01-17 | 2001-08-07 | Scientific-Atlanta, Inc. | Cable modem map display for network management of a cable data delivery system |
| US6308328B1 (en) * | 1997-01-17 | 2001-10-23 | Scientific-Atlanta, Inc. | Usage statistics collection for a cable data delivery system |
| US6029196A (en) * | 1997-06-18 | 2000-02-22 | Netscape Communications Corporation | Automatic client configuration system |
| US6009547A (en) * | 1997-12-03 | 1999-12-28 | International Business Machines Corporation | ECC in memory arrays having subsequent insertion of content |
| US5991774A (en) * | 1997-12-22 | 1999-11-23 | Schneider Automation Inc. | Method for identifying the validity of an executable file description by appending the checksum and the version ID of the file to an end thereof |
| US6105149A (en) * | 1998-03-30 | 2000-08-15 | General Electric Company | System and method for diagnosing and validating a machine using waveform data |
| US6356951B1 (en) * | 1999-03-01 | 2002-03-12 | Sun Microsystems, Inc. | System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction |
| US6842906B1 (en) * | 1999-08-31 | 2005-01-11 | Accenture Llp | System and method for a refreshable proxy pool in a communication services patterns environment |
| US7318089B1 (en) * | 1999-09-30 | 2008-01-08 | Intel Corporation | Method and apparatus for performing network-based control functions on an alert-enabled managed client |
| US7031263B1 (en) * | 2000-02-08 | 2006-04-18 | Cisco Technology, Inc. | Method and apparatus for network management system |
| US6665752B1 (en) * | 2000-02-17 | 2003-12-16 | Conexant Systems, Inc. | Interrupt driven interface coupling a programmable media access controller and a process controller |
| US20020010800A1 (en) * | 2000-05-18 | 2002-01-24 | Riley Richard T. | Network access control system and method |
| US20020133586A1 (en) * | 2001-01-16 | 2002-09-19 | Carter Shanklin | Method and device for monitoring data traffic and preventing unauthorized access to a network |
| WO2002084495A1 (en) * | 2001-04-13 | 2002-10-24 | Nokia, Inc. | System and method for providing exploit protection for networks |
| US6957212B2 (en) * | 2001-04-24 | 2005-10-18 | Innopath Software, Inc. | Apparatus and methods for intelligently caching applications and data on a gateway |
| US20030033418A1 (en) * | 2001-07-19 | 2003-02-13 | Young Bruce Fitzgerald | Method of implementing and configuring an MGCP application layer gateway |
| US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
| US6996211B2 (en) * | 2002-12-23 | 2006-02-07 | Sbc Properties, L.P. | Voice over IP method of determining caller identification |
-
2003
- 2003-07-03 DE DE60332735T patent/DE60332735D1/de not_active Expired - Lifetime
- 2003-07-03 US US10/520,854 patent/US20050220126A1/en not_active Abandoned
- 2003-07-03 AU AU2003247799A patent/AU2003247799A1/en not_active Abandoned
- 2003-07-03 CN CN038165163A patent/CN1679263B/zh not_active Expired - Fee Related
- 2003-07-03 MX MXPA05000416A patent/MXPA05000416A/es active IP Right Grant
- 2003-07-03 JP JP2004521529A patent/JP2005532640A/ja active Pending
- 2003-07-03 EP EP03764351A patent/EP1522159B1/en not_active Expired - Fee Related
- 2003-07-03 WO PCT/US2003/021058 patent/WO2004008271A2/en active Application Filing
- 2003-07-03 BR BR0305431-4A patent/BR0305431A/pt not_active Application Discontinuation
- 2003-07-03 KR KR1020057000532A patent/KR100959968B1/ko not_active IP Right Cessation
- 2003-07-11 TW TW092118999A patent/TWI229520B/zh not_active IP Right Cessation
-
2009
- 2009-10-20 JP JP2009241313A patent/JP2010061675A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002507295A (ja) * | 1997-05-29 | 2002-03-05 | 3コム コーポレイション | 多層型ファイアウオールシステム |
| JPH11213038A (ja) * | 1998-01-26 | 1999-08-06 | Dell Usa Lp | コンピュータシステムの互換性のある注文の生成 |
| WO2001029658A2 (en) * | 1999-10-15 | 2001-04-26 | Thomson Licensing S.A. | A user interface for a bi-directional communication system |
| JP2003526844A (ja) * | 1999-10-15 | 2003-09-09 | トムソン ライセンシング ソシエテ アノニム | 双方向通信システムのためのユーザインタフェース |
| JP2001216218A (ja) * | 2000-02-01 | 2001-08-10 | Canon Inc | 印刷制御装置、印刷システム、アダプタ、印刷制御方法及び記憶媒体 |
| WO2001080023A1 (en) * | 2000-04-14 | 2001-10-25 | Goahead Software Inc. | A system and method for upgrading networked devices |
| JP2004534973A (ja) * | 2000-04-14 | 2004-11-18 | ゴー アヘッド ソフトウェア インコーポレイテッド | ネットワークデバイスのアップグレードシステム及び方法 |
| JP2002024026A (ja) * | 2000-07-04 | 2002-01-25 | Canon Inc | 情報処理装置、情報処理システム、情報処理方法、及び記憶媒体 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1679263A (zh) | 2005-10-05 |
| BR0305431A (pt) | 2004-11-30 |
| KR20050019836A (ko) | 2005-03-03 |
| MXPA05000416A (es) | 2005-07-22 |
| JP2005532640A (ja) | 2005-10-27 |
| EP1522159A4 (en) | 2005-10-12 |
| EP1522159A2 (en) | 2005-04-13 |
| AU2003247799A1 (en) | 2004-02-02 |
| TW200412758A (en) | 2004-07-16 |
| US20050220126A1 (en) | 2005-10-06 |
| DE60332735D1 (de) | 2010-07-08 |
| CN1679263B (zh) | 2012-04-18 |
| WO2004008271A3 (en) | 2004-03-11 |
| EP1522159B1 (en) | 2010-05-26 |
| TWI229520B (en) | 2005-03-11 |
| WO2004008271A2 (en) | 2004-01-22 |
| KR100959968B1 (ko) | 2010-05-27 |
| AU2003247799A8 (en) | 2004-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2010061675A (ja) | アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可 | |
| US6715075B1 (en) | Providing a configuration file to a communication device | |
| US7114070B1 (en) | System and method for automatic digital certificate installation on a network device in a data-over-cable system | |
| US7739359B1 (en) | Methods and apparatus for secure cable modem provisioning | |
| US11902305B2 (en) | Botnet detection and mitigation | |
| US7571460B2 (en) | System and method for affecting the behavior of a network device in a cable network | |
| TWI244297B (en) | Apparatus and method adapted to communicate via a network | |
| US6510162B1 (en) | System and method for managing channel usage in a data over cable system | |
| US20050005154A1 (en) | Method to block unauthorized access to TFTP server configuration files | |
| US20090254936A1 (en) | Set Top Box With Firewall | |
| US7983162B1 (en) | Aggregate maximum throughput for groups of service flows | |
| US20120047583A1 (en) | Cable fraud detection system | |
| EP4128702A1 (en) | Systems and methods for secure provisioning of ssh credentials | |
| KR20080010897A (ko) | 임베디드 케이블모뎀과 임베디드 셋탑박스 간의 통신 방법및 이를 위한 장치 | |
| Cisco | Cisco Cable Modem Termination System Commands | |
| Cisco | Cisco CVA120 Series - Cisco IOS Release 12.2 XA | |
| US20210168173A1 (en) | Detection and remediation of malicious network traffic using tarpitting | |
| KR100582437B1 (ko) | 네트워크 장치에 대한 정확한 운용 소프트웨어 버전을 결정하기 위한 장치 및 방법 | |
| JP4572086B2 (ja) | ネットワーク、認証サーバ装置、ルータ装置及びそれらに用いる端末管理方法 | |
| Woundy et al. | Cable Device Management Information Base for Data-Over-Cable Service Interface Specification (DOCSIS) Compliant Cable Modems and Cable Modem Termination Systems | |
| Woundy et al. | RFC 4639: Cable Device Management Information Base for Data-Over-Cable Service Interface Specification (DOCSIS) Compliant Cable Modems and Cable Modem Termination Systems | |
| CA2473326A1 (en) | Method to block unauthorized access to tftp server configuration files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110906 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20111205 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20111208 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111228 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120424 |