JP2016506677A - 許可されていないサービスアクセスを防止する方法および装置 - Google Patents
許可されていないサービスアクセスを防止する方法および装置 Download PDFInfo
- Publication number
- JP2016506677A JP2016506677A JP2015549917A JP2015549917A JP2016506677A JP 2016506677 A JP2016506677 A JP 2016506677A JP 2015549917 A JP2015549917 A JP 2015549917A JP 2015549917 A JP2015549917 A JP 2015549917A JP 2016506677 A JP2016506677 A JP 2016506677A
- Authority
- JP
- Japan
- Prior art keywords
- server
- address
- access
- domain name
- requested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本発明は、ネットワークアクセスコントロールフィールドに適用可能であり、許可されていないサービスアクセスを防止する方法と装置を提供する。本方法は、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するステップと、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するステップと、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するステップと、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するステップとを含む。本発明の実施形態に従って、見つかったIPアドレスがパケットの中のアクセスが要求されるサーバのIPアドレスと比較され、パケットが改ざんされたサービスアクセス要求を効果的に判定し、サービスアクセス要求を終了する。これにより、ゲートウェイ装置が、パケットの中のドメイン名のユーザの改ざんにより、有料サービスに対して課金できないという問題を効果的に解決する。
Description
本発明は、ネットワークアクセスコントロールフィールドに関し、特に、許可されていないサービスアクセスを防止する方法および装置に関する。
移動通信の人気とIPネットワークの発達は、移動電話などの移動局(Mobile Station、略してMS)によるネットワークデータアクセス、ユニフォームリソースロケータ(Uniform Resource Locator、略してURL)によるアクセスネットワークデータの成長を推進した。移動局がサービスデータにアクセスする場合、異なるドメイン名を区別して、有料のウェブサイトと無料のウェブサイトを識別する課金管理を提供する必要がある。
図1は、従来技術における課金アーキテクチャの概略図を示す。移動局MSはハイパーテキスト転送プロトコル(Hypertext Transfer Protocol、略してHTTP)サーバ上のコンテンツに、ゲートウェイ装置、ゲートウェイGPRSサービスサポートノード(Gateway GPRS Support Node、略してGGSN)を介してアクセスし、異なるURLに対する異なる課金ポリシーが、ゲートウェイ装置GGSNに構成される。たとえば、ドメイン名www.google.comを持つすべてのウェブサイトは課金すべきであり、ドメイン名www.huawei.comを持つすべてのウェブサイトは無料で訪問できることを述べたポリシーを構成する。
しかしながら、GGSNがパケットをHTTPサーバに送信する場合、ほとんどのHTTPサーバはパケットの中のドメイン名フィールドをチェックしない。たとえば、Sinaサーバがwww.sina.com\newsと類似したURL要求を受信後、Sinaサーバは、そのドメイン名が正しいか否かを判定しないが、ドメイン名に続くパスの部分に従って対応するページを返却する。したがって、Sina HTTPサーバにとっては、www.sina.com\newsとwww.abc.com\newsは同じものであり、両方ともニュースに対応するページへピアエンドをリダイレクトする。したがって、ユーザが、www.google.comなどの実際にアクセスされるドメイン名を、www.huawei.comなどの無料であるドメイン名へと変更することによって、ゲートウェイ装置に送信されるパケットを改ざんする場合には、ゲートウェイ装置は、改ざんされたパケットを解決して、そのURLがサービス無料ポリシーと一致していることを見つけ、その結果として、そのパケットに対して有効な課金を実行できず、ユーザは、有料のサービスに無料で不法にアクセスできる。
本発明の実施形態の目的は、ゲートウェイ装置が、ユーザによるパケットの中のドメイン名の改ざんにより有料サービスに対して課金できず、それによってサービスへのユーザによる許可されていないアクセスを効果的に防止できないという従来技術の問題を解決するために、許可されていないサービスアクセスを防止する方法および装置を提供することである。
第1の態様によれば、許可されていないサービスアクセスを防止する方法が提供され、本方法は、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するステップと、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するステップと、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するステップと、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するステップと、または、アクセスが要求されるサーバのIPアドレスに対応するサーバのドメイン名を検索するステップと、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致するか否かを判定するステップと、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致しない場合には、そのサービスアクセス要求を終了するステップとを含む。
第1の態様の第1の可能な実装において、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するステップの前に、本方法は、パケットの中に含まれるアクセスが要求されるサーバのドメイン名に従って、ドメイン名解決要求を送信するステップと、ドメイン名解決後に返却され、パケットの中に含まれるアクセスが要求されるサーバのドメイン名に対応するIPアドレスを受信して格納するステップとをさらに含む。
第1の態様の第2の可能な実装において、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するステップは、詳細には、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するステップを含む。
第1の態様の第2の可能な実装を参照して、第3の可能な実装では、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索するステップの前に、本方法はさらに、サービス種別とIPアドレスとの間の対応のテーブルを受信して格納するステップを含む。
第1の態様の第2の可能な実装を参照して、第4の可能な実装では、サービスアクセス要求パケットを受信するステップの後に、本方法は、サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索するステップをさらに含む。
第1の態様の第5の可能な実装において、サービスアクセス要求を終了するステップは、詳細には、サービスアクセス要求パケットを破棄するステップを含む。
第2の態様によれば、許可されていないサービスアクセスを防止する装置が提供され、本装置は、受信モジュールと、IPアドレス検索モジュールと、第1の判定モジュールと、第1のサービスアクセス要求終了モジュールとを含む、あるいは、受信モジュールと、サーバドメイン名検索モジュールと、第2の判定モジュールと、第2のサービスアクセス要求終了モジュールとを含み、受信モジュールは、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成され、IPアドレス検索モジュールは、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するように構成され、第1の判定モジュールは、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するように構成され、第1のサービスアクセス要求終了モジュールは、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成され、サーバドメイン名検索モジュールは、アクセスが要求されるサーバのIPアドレスに対応するサーバのドメイン名を検索するように構成され、第2の判定モジュールは、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致するか否かを判定するように構成され、第2のサービスアクセス要求終了モジュールは、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致しない場合には、そのサービスアクセス要求を終了するように構成される。
第2の態様の第1の可能な実装において、装置は、パケットの中に含まれるアクセスが要求されるサーバのドメイン名に従ってドメイン名解決要求を送信するように構成されるドメイン名解決要求送信モジュールと、ドメイン名解決後に返却され、パケットの中に含まれるアクセスが要求されるサーバのドメイン名に対応するIPアドレスを受信して格納するように構成されるIPアドレス受信モジュールとをさらに含む。
第2の態様の第2の可能な実装において、IPアドレス検索モジュールは、詳細には、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するように構成される。
第2の態様の第1の可能な実装を参照して、第2の可能な実装では、装置は、サービス種別とIPアドレスとの間の対応のテーブルを受信して格納するように構成される受信格納モジュールをさらに含む。
第2の態様の第3の可能な実装において、装置は、サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索するように構成されるサービス種別検索モジュールをさらに含む。
第2の態様の第4の可能な実装において、第1のサービス要求終了モジュール、または、第2のサービス要求終了モジュールは、詳細には、サービスアクセス要求パケットを破棄するように構成される。
第3の態様によると、許可されていないサービスアクセスを防止するシステムが提供され、本システムは、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含むサービスアクセス要求パケットを受信するように構成されるデータ受信インタフェースと、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索し、次いで、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定し、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合にはそのサービスアクセス要求を終了させるように構成される、または、アクセスが要求されるサーバのIPアドレスに対応するサーバドメイン名を検索し、次いで、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しているか否かを判定し、アクセスが要求されるサーバドメイン名が、見つかったサーバドメイン名と一致しない場合にはサービスアクセス要求を終了するように構成されるプロセッサとを含む。
第3の態様の第2の可能な実装において、システムは、サーバのドメイン名とIPアドレスとの間の対応のテーブル、または、サービス種別とIPアドレスとの間の対応のテーブルを格納するように構成され、および、サーバのドメイン名とIPアドレスとの間の対応のテーブル、または、サービス種別とIPアドレスとの間の対応のテーブルを格納するように構成されるメモリと、
アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致する、または、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致する場合には、データ送信インタフェースによって、データアクセスを要求するために、サービスアクセスパケットを送信するように構成されるデータ送信インタフェースと
をさらに含む。
アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致する、または、アクセスが要求されるサーバのドメイン名が、見つかったサーバのドメイン名と一致する場合には、データ送信インタフェースによって、データアクセスを要求するために、サービスアクセスパケットを送信するように構成されるデータ送信インタフェースと
をさらに含む。
本発明の実施形態において、サービスアクセス要求パケットが受信された後、その要求パケットの中に含まれるサーバのドメイン名に対応するIPアドレスが検索され、見つかったIPアドレスがパケットの中のIPアドレスと比較される。ユーザがそのパケットの中のドメイン名情報を改ざんしている場合には、見つかったIPアドレスは、変更されたドメイン名に対応するIPアドレスであり、そのパケットの中にあるアクセスが要求されるサーバのIPアドレスと一致しない。本方法で、そのサービスアクセスは許可されていないものであり、サービスアクセス要求を終了すると判断する。これは、ユーザによるパケットの中のドメイン名の改ざんにより、有料サービスに対してゲートウェイ装置が課金できないという問題を効果的に解決する。
本発明の実施形態の目的、技術的な解決、利点をより明瞭にするため、以下に、添付の図と実施形態を参照して詳細に本発明の実施形態における技術的な解決をさらに記述する。記述される特定の実施形態は、本発明を記述することを単に意図したものであり、本発明を限定するものではないことを理解されたい。
本発明の実施形態において、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットが受信され、クライアントによってアクセス要求が開始される際に、初期要求の中にあるドメイン名に従ってドメイン名サーバによって実行される解決を通してIPアドレスが取得され、次いで、要求パケットの中のサーバのドメイン名に対応するIPアドレスが検索され、見つかったIPアドレスがパケットの中のIPアドレスと比較される。ユーザがパケットの中のドメイン名情報を改ざんしている場合には、見つかったIPアドレスは変更されたドメイン名に対応するIPアドレスであり、そのパケットの中に含まれるアクセスが要求されるサーバのIPアドレスと一致しない。本方法で、そのサービスアクセスは許可されておらず、そのサービスアクセス要求を終了することを決定する。これにより、ユーザによるパケットの中のドメイン名の改ざんのために、ゲートウェイ装置が、有料サービスに対して課金できないという問題を効果的に解決する。
実施形態1
図2は、本発明の実施形態1による、許可されていないサービスアクセスを防止する実装工程を示す。詳細は以下の通りである。
図2は、本発明の実施形態1による、許可されていないサービスアクセスを防止する実装工程を示す。詳細は以下の通りである。
ステップS201で、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信する。
詳細には、受信されるサービスアクセス要求パケットは、移動局、移動電話やモバイルコンピュータなどの装置によって送信されるアクセス要求の場合がある。その要求を受信する装置は、GGSNなどのディープパケットインスペクションDPI装置の場合がある。パケットの中にあるアクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとは、移動局装置がアクセス要求を送信する際に、要求へのリンク、要求へのリンクの中のドメイン名アドレスに従って、ドメイン名サーバによる解決によって取得されるドメイン名に対応するIPアドレスを指す。アクセス要求の中のドメイン名から解決されるIPアドレスは、本明細書に記述される、アクセスが要求されるサーバのIPアドレスである。
ステップS202で、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索する。
アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索する前に、サーバのドメイン名とIPアドレスとの間の対応のテーブルがゲートウェイ装置上でプリセットされる場合がある、または、システムが、そのパケットの中のアクセスが要求されるサーバのドメイン名を解決する要求を予め送信して、ドメイン名サーバが対応するIPアドレスを取得するためにドメイン名を解決する場合がある。
サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルの中に、固定IPアドレスに対応するサーバのいくつかの共通ドメイン名が予め格納される場合、または、サーバのドメイン名とIPアドレスとの間の対応が、システムがドメイン名解決を実行するたびに動的に格納される場合がある。明らかに、システムがそれぞれのパケットの中に含まれるサーバのドメイン名に対するドメイン名解決を実行する際にシステムによって返却されるIPアドレスは、予め格納されたIPアドレスよりも最新であり、したがって、動的格納は、IPアドレスが変化するサーバに適している。
ステップS203で、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定する。
ステップS202で見つかったIPアドレスと、そのパケットの中に含まれる、アクセスが要求されるサーバのIPアドレスとを比較して、2つのIPアドレスが同一か否かを判定する。
ステップS204で、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了する。
詳細には、パケットの中に含まれるアクセスが要求されるサーバのIPアドレスが、ステップS202で見つかったIPアドレスと異なる場合には、パケットのドメイン名が、パケットがアップロードされる際に改ざんされ、そのパケットのアクセス要求は許可されていない要求であることを示している。次いで、システムはその要求を拒否しそのサービスアクセス要求を終了する。
アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致する場合には、ステップS205を実行し通常のサービスアクセスを継続する。
本発明の本実施形態に従って、パケットの中にあるアクセスが要求されるサーバのドメイン名に対するドメイン名解決が実行され、パケットの中のサーバのドメイン名に対応するIPアドレスが取得され、取得されたIPアドレスがパケットの中のIPアドレスと比較される。IPアドレスが一致しない場合には、現在のパケットが改ざんされたことを示す。次いで、関連するサービスデータへのアクセスが防止される。
実施形態2
図3は、本発明の実施形態2による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
図3は、本発明の実施形態2による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
ステップS301で、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信する。
ステップS302で、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサーバドメイン名を検索する。
実施形態1とは異なり、対応するドメイン名は、パケットの中のIPアドレスに従って検索される。この検索は、システムに格納されているIPアドレスとサーバのドメイン名との間の対応のテーブルを使用して実行される場合がある、あるいは、パケットの中のIPアドレスにアクセスして、IPアドレスに対応するサーバに接続し、次いで、そのサーバのドメイン名情報を取得することによって実行される場合がある。詳細は本明細書に再び記述しない。
ステップS303で、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致するか否かを判定する。
それに応じて、パケットの中のIPアドレスに従って見つかったサーバドメイン名をパケットの中のサーバのドメイン名と比較する。ドメイン名が一致する場合には、現在のパケットは改ざんされていないことを示している。
ステップS304で、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、そのサービスアクセス要求を終了する。
アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、アップロードされたパケットはユーザによっておそらく改ざんされている。次いで、システムはアクセス終了要求を送信し、この許可されていないアクセスを防止してそのパケットを破棄する。
アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致する場合には、ステップS305を実行して通常のサービスアクセスを継続する。
本実施形態と実施形態1との相違は、問い合わせ方法にある。実施形態1では、パケットの中のサーバのドメイン名に従ってIPアドレスが検索され、IPアドレスの比較を実行する。本実施形態では、サーバのドメイン名はパケットの中のIPアドレスに従って検索され、サーバのドメイン名の比較を実行する。
実施形態3
図4は、本発明の実施形態3による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
図4は、本発明の実施形態3による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
ステップS401で、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信する。
ステップS402で、パケットの中のアクセスが要求されるサーバのドメイン名に従って、ドメイン名解決要求を送信する。
ステップS403で、ドメイン名解決後に返却され、パケットの中のアクセスが要求されるサーバのドメイン名に対応しているIPアドレスを受信して格納する。
詳細には、パケットの中のサーバのドメイン名が解決され、サービスアクセス要求の送信時にIPアドレス返却とドメイン名解決との間に非常に短い時間が存在する。したがって、この時間期間中にIPアドレス変更の確率は非常に低く、サーバのIPアドレス変更により、IPアドレスの2つの連続した比較が一致しない場合に生じる不用意なパケット損失をできるだけ避けることができる。
ステップS405で、パケットの中のアクセスが要求されるサーバのIPアドレスが、返却されるIPアドレスと一致するか否かを判定する。
ステップS406で、パケットの中のアクセスが要求されるサーバのIPアドレスが、返却されるIPアドレスと一致しない場合には、そのサービスアクセス要求を終了する。
アクセスが要求されるサーバのIPアドレスが、返却されるIPアドレスと一致する場合には、ステップS407を実行して通常のサービスアクセスを継続する。
本発明の本実施形態のステップS401とS404〜S406は、実施形態1のステップS101〜S104に十分類似している。詳細は本明細書に再び記述しない。相違は、システムによってパケットの中のサーバのドメイン名を解決することによって取得される対応するIPアドレスが、より最新のものであり、より低い誤り判定率であることに存在する。
実施形態4
図5は、本発明の実施形態4による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
図5は、本発明の実施形態4による、許可されていないサービスアクセスを防止する概略フロー図である。詳細を以下に記述する。
ステップS501で、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信する。
ステップS502で、サービス種別とIPアドレスとの間の対応のテーブルを受信して格納する。
ステップS503で、サービス種別とIPアドレスとの間の格納された対応のテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索する。
詳細には、従来技術ではGmailなどのいくつかの暗号化されたアプリケーションのため、サービス種別がURLのような特徴を解決することによって取得できない場合がある、または、P2PサービスXunleiなどでは、そのようなアプリケーションによって送信されるデータは、サーバのドメイン名のIPアドレスと照合できる明らかな特徴を有していない。いくつかの共通のアプリケーションのサーバとIPアドレスとの間の照合情報を格納して、サービス種別判定中に、格納された照合情報とパケットの中のIPアドレスに従って、便宜的にサービス種別を判定できる場合がある。
ステップS504で、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索する。
ステップS505で、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定する。
ステップS506で、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了する。
アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致する場合には、ステップS507を実行して通常のサービスアクセスを継続する。
本発明の本実施形態では、IPアドレスとサービス種別との間の対応の格納されるテーブルを使用することによって、サービスアクセスの種別が、アップロードされたパケットからのIPアドレス解決後に直ちに判定できる場合がある。従来のディープパケットインスペクションDPI技術と比較すると、本発明の本実施形態の解決は比較的単純であり便利である。加えて、Gmailなどのいくつかの暗号化されたアプリケーションや明らかな特徴を有していないいくつかのデータストリームに対して、ディープパケットインスペクションDPI技術を使用することによってサービス種別が判定できない場合には、本発明の本実施形態は、効果的にサービス種別を判定するために使用できる。
実施形態5
図6は、本発明の実施形態5による、許可されていないサービスアクセスを防止するシステムの概略構造図である。詳細を以下に記述する。
図6は、本発明の実施形態5による、許可されていないサービスアクセスを防止するシステムの概略構造図である。詳細を以下に記述する。
本発明の本実施形態に記述される許可されていないサービスアクセスを防止するシステムは、データ受信インタフェース601と、プロセッサ602と、メモリ603と、データ送信インタフェース604とを含み、
データ受信インタフェース601は、サービスアクセス要求パケットを受信するように構成され、そのパケットは、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含み、
プロセッサ602は、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索し、次いで、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定し、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成され、あるいは、
アクセスが要求されるサーバのIPアドレスに対応するドメイン名を検索し、次いで、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致するか否かを判定し、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、そのサービスアクセス要求を終了するように構成される。
データ受信インタフェース601は、サービスアクセス要求パケットを受信するように構成され、そのパケットは、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含み、
プロセッサ602は、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索し、次いで、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定し、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成され、あるいは、
アクセスが要求されるサーバのIPアドレスに対応するドメイン名を検索し、次いで、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致するか否かを判定し、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、そのサービスアクセス要求を終了するように構成される。
本発明の本実施形態の可能な実装のように、本発明の本実施形態に記述される装置は、サーバのドメイン名とIPアドレスとの間の対応のテーブル、または、サービス種別とIPアドレスとの間の対応のテーブルを格納するように構成されるメモリ603をさらに含む。メモリに格納される対応を直接読み取ることによって、プロセッサは、アクセスが要求されるサーバのドメイン名に対応するIPアドレス、または、アクセスが要求されるサーバのIPアドレスに対応するサーバドメイン名を検索できる。
本発明の本実施形態は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致する場合、または、アクセスが要求されるサーバのドメイン名が、見つかったドメイン名と一致する場合には、データアクセスを要求するためにサービスアクセスパケットを送信するように構成されるデータ送信インタフェース604をさらに含む。
実施形態6
図7は、本発明の実施形態6による、許可されていないサービスアクセスを防止する装置の構造ブロック図である。詳細を以下に記述する。
図7は、本発明の実施形態6による、許可されていないサービスアクセスを防止する装置の構造ブロック図である。詳細を以下に記述する。
本発明の本実施形態に記述される許可されていないサービスアクセスを防止する装置は、受信モジュール701と、IPアドレス検索モジュール702と、第1の判定モジュール703と、第1のサービスアクセス要求終了モジュール704とを含む、あるいは、受信モジュール701と、サーバドメイン名検索モジュール705と、第2の判定モジュール706と、第2のサービスアクセス要求終了モジュール707とを含み、
受信モジュール701は、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成され、
IPアドレス検索モジュール702は、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するように構成され、
第1の判定モジュール703は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するように構成され、
第1のサービスアクセス要求終了モジュール704は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成され、
サーバドメイン名検索モジュール705は、アクセスが要求されるサーバのIPアドレスに対応するサーバドメイン名を検索するように構成され、
第2の判定モジュール706は、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致するか否かを判定するように構成され、
第2のサービスアクセス要求終了モジュール707は、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、そのサービスアクセス要求を終了するように構成される。
受信モジュール701は、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成され、
IPアドレス検索モジュール702は、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するように構成され、
第1の判定モジュール703は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するように構成され、
第1のサービスアクセス要求終了モジュール704は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成され、
サーバドメイン名検索モジュール705は、アクセスが要求されるサーバのIPアドレスに対応するサーバドメイン名を検索するように構成され、
第2の判定モジュール706は、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致するか否かを判定するように構成され、
第2のサービスアクセス要求終了モジュール707は、アクセスが要求されるサーバのドメイン名が、見つかったサーバドメイン名と一致しない場合には、そのサービスアクセス要求を終了するように構成される。
受信モジュール701が、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含むサービスアクセス要求パケットを受信した後、IPアドレス検索モジュール702は、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索する。第1の判定モジュール703は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定する。IPアドレスが一致しない場合には、第1のサービスアクセス要求終了モジュール704は、そのサービスアクセス要求を終了する。特定のコンテンツは、実施形態1と実施形態2に記述される方法の実施形態に対応する。その詳細は、本明細書に再び記述しない。
実施形態7
図8は、本発明の実施形態7による、許可されていないサービスアクセスを防止する装置の構造ブロック図である。詳細を以下に記述する。
図8は、本発明の実施形態7による、許可されていないサービスアクセスを防止する装置の構造ブロック図である。詳細を以下に記述する。
本発明の本実施形態に記述される許可されていないサービスアクセスを防止する装置は、受信モジュール801と、IPアドレス検索モジュール802と、第1の判定モジュール803と、第1のサービスアクセス要求終了モジュール804と、ドメイン名解決要求送信モジュール805と、IPアドレス受信モジュール806と、サービス種別検索モジュール807と、受信検索モジュール808とを含む。
受信モジュール801は、パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求されるサーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成される。
IPアドレス検索モジュール802は、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索するように構成される。
第1の判定モジュール803は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定するように構成される。
第1のサービスアクセス要求終了モジュール804は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致しない場合には、そのサービスアクセス要求を終了するように構成される。
ドメイン名解決要求送信モジュール805は、パケットの中にあるアクセスが要求されるサーバのドメイン名に従って、ドメイン名解決要求を送信するように構成される。
IPアドレス受信モジュール806は、ドメイン名の解決後に返却され、パケットの中にあるアクセスが要求されるサーバのドメイン名に対応するIPアドレスを受信して格納するように構成される。
サービス種別検索モジュール807は、サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索するように構成される。
受信格納モジュール808は、サービス種別とIPアドレスとの間の対応のテーブルを受信して格納するように構成される。
受信モジュール801がサービスアクセス要求パケットを受信する場合には、IPアドレス検索モジュール802は、パケットの中のサーバのドメイン名と、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのドメイン名に対応するIPアドレスを検索する。第1の判定モジュール803は、アクセスが要求されるサーバのIPアドレスが、見つかったIPアドレスと一致するか否かを判定する。IPアドレスが一致しない場合には、第1のサービスアクセス要求終了モジュール805は、そのサービスアクセス要求を終了する。サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルは、ドメイン名解決要求送信モジュール805とIPアドレス受信モジュール806によって取得される場合がある。ドメイン名解決要求送信モジュール805は、パケットの中のアクセスが要求されるサーバのドメイン名に従って、ドメイン名解決要求を送信し、IPアドレス受信モジュール806は、ドメイン名の解決後に返却され、パケットの中のアクセスが要求されるサーバのドメイン名に対応しているIPアドレスを受信して格納する。加えて、受信格納モジュール808は、サービス種別とIPアドレスとの間の対応のテーブルを受信して格納する場合があり、サービス種別検索モジュール807は、サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求されるサーバのIPアドレスに対応するサービス種別を検索し、それによって、サービス種別を取得するための特徴情報を検索するディープパケットインスペクション技術の使用を回避する。本発明の本実施形態は、実施形態3に記述される方法の実施形態に対応する。その詳細は、本明細書に再び記述しない。
図9は、本発明の実施形態によるシステムの概略構造図である。図9に示すように、移動局MSは、リンクwww.google.comを訪問する要求をドメイン名サーバに送信し、ドメイン名サーバはアクセスが要求されるリンクの中のドメイン名に従って解決を実行して、そのドメイン名に対応するIPアドレス1.1.1.1を返却し、移動局は、アクセス要求の中のドメイン名と返却されるIPアドレスに従ってパケットを構築し、そのパケットをゲートウェイ装置GGSNに送信し、GGSNは、PCRFポリシーと課金規則機能構成に従って、要求の中のドメイン名が有料か否かを見出す。ポリシーサーバによって構成されるドメイン名www.google.comは有料であるが、ユーザの中には、パケットの中のドメイン名を不法に、www.huawei.comなどの無料のドメイン名に変更するものがいる。このサービスが課金中に無料サービスと見なされることを防止するため、システムは、パケットの中のドメイン名を再度解決してそのパケットの中のそのドメイン名に対応するIPアドレスを取得し、2つのIPアドレスを比較し、2つが一致しない場合には、そのアクセス要求を破棄し、それによって受信されるパケットのユーザの改ざんによる対価以下の課金請求を効果的に防止する。
前述の装置とシステムの実施形態に含まれるモジュールは、機能的なロジックに従って分割されているが、対応する機能が実装される限り、その分割に限定されるものではないことに留意されたい。加えて、それぞれの機能ユニットの特定の名称は、1つの機能ユニットを別の機能ユニットと区別するために単に使用されており、本発明の保護範囲を限定することを意図するものではない。
さらに、当業者は、本実施形態における方法のすべてまたは一部のステップが関連するハードウェアに命令するプログラムによって実装できることを理解するであろう。そのプログラムは、ROM/RAM、磁気ディスク、または光ディスクなどのコンピュータ可読記憶媒体の中に格納できる。
前述の記述は、単に本発明の実施形態例であり、本発明を限定することを意図していない。本発明の精神と原則から逸脱することなくなされる、いかなる修正、等価な置換、改良は、本発明の保護範囲に入るべきものである。
601 データ受信インタフェース
602 プロセッサ
603 メモリ
604 データ送信インタフェース
701 受信モジュール
702 IPアドレス検索モジュール
703 第1の判定モジュール
704 第1のサービスアクセス要求終了モジュール
705 サーバドメイン名検索モジュール
706 第2の判定モジュール
707 第2のサービスアクセス要求終了モジュール
801 受信モジュール
802 IPアドレス検索モジュール
803 第1の判定モジュール
804 第1のサービスアクセス要求終了モジュール
805 ドメイン名解決要求送信モジュール
806 IPアドレス受信モジュール
807 サービス種別検索モジュール
808 受信格納モジュール
602 プロセッサ
603 メモリ
604 データ送信インタフェース
701 受信モジュール
702 IPアドレス検索モジュール
703 第1の判定モジュール
704 第1のサービスアクセス要求終了モジュール
705 サーバドメイン名検索モジュール
706 第2の判定モジュール
707 第2のサービスアクセス要求終了モジュール
801 受信モジュール
802 IPアドレス検索モジュール
803 第1の判定モジュール
804 第1のサービスアクセス要求終了モジュール
805 ドメイン名解決要求送信モジュール
806 IPアドレス受信モジュール
807 サービス種別検索モジュール
808 受信格納モジュール
Claims (14)
- 許可されていないサービスアクセスを防止する方法であって、
パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求される前記サーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するステップと、
アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索するステップと、
アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致するか否かを判定するステップと、
アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致しない場合には、前記サービスアクセス要求を終了するステップと、または、
アクセスが要求される前記サーバの前記IPアドレスに対応するサーバドメイン名を検索するステップと、
アクセスが要求される前記サーバの前記ドメイン名が、前記見つかったサーバドメイン名と一致するか否かを判定するステップと、
アクセスが要求される前記サーバの前記ドメイン名が、前記見つかったサーバドメイン名と一致しない場合には、前記サービスアクセス要求を終了するステップと
を含む方法。 - アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索する前記ステップの前に、
前記パケットの中のアクセスが要求される前記サーバの前記ドメイン名に従って、ドメイン名解決要求を送信するステップと、
ドメイン名解決後に返却され、前記パケットの中のアクセスが要求される前記サーバの前記ドメイン名に対応しているIPアドレスを受信して格納するステップと
をさらに含む、請求項1に記載の方法。 - アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索する前記ステップは、詳細には、
サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求される前記サーバの前記ドメイン名に対応する前記IPアドレスを検索するステップ
を含む、請求項1に記載の方法。 - アクセスが要求される前記サーバの前記IPアドレスに対応するサービス種別を検索する前記ステップの前に、
サービス種別とIPアドレスとの間の対応のテーブルを受信して格納するステップ
をさらに含む、請求項3に記載の方法。 - サービスアクセス要求パケットを受信する前記ステップの後に、
サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求される前記サーバの前記IPアドレスに対応するサービス種別を検索するステップ
をさらに含む、請求項1に記載の方法。 - 前記サービスアクセス要求を終了する前記ステップは、詳細には、
前記サービスアクセス要求パケットを破棄するステップ
を含む、請求項1に記載の方法。 - 受信モジュールと、IPアドレス検索モジュールと、第1の判定モジュールと、第1のサービスアクセス要求終了モジュールとを含む、または、受信モジュールと、サーバドメイン名検索モジュールと、第2の判定モジュールと、第2のサービスアクセス要求終了モジュールとを含む、許可されていないサービスアクセスを防止する装置であって、
前記受信モジュールは、パケットが、アクセスが要求されるサーバのドメイン名とアクセスを要求される前記サーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成され、
前記IPアドレス検索モジュールは、アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索するように構成され、
前記第1の判定モジュールは、アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致するか否かを判定するように構成され、
前記第1のサービスアクセス要求終了モジュールは、アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致しない場合には、前記サービスアクセス要求を終了するように構成され、または、
前記サーバドメイン名検索モジュールは、アクセスが要求される前記サーバの前記IPアドレスに対応するサーバドメイン名を検索するように構成され、
前記第2の判定モジュールは、アクセスが要求される前記サーバドメイン名が、前記見つかったサーバドメイン名と一致するか否かを判定するように構成され、
前記第2のサービスアクセス要求終了モジュールは、アクセスが要求される前記サーバの前記サーバドメイン名が、前記見つかったサーバドメイン名と一致しない場合には、前記サービスアクセス要求を終了するように構成される、
許可されていないサービスアクセスを防止する装置。 - 前記パケットの中のアクセスが要求される前記サーバの前記ドメイン名に従って、ドメイン名解決要求を送信するように構成されるドメイン名解決要求送信モジュールと、
ドメイン名解決後に返却され、前記パケットの中のアクセスが要求される前記サーバの前記ドメイン名に対応しているIPアドレスを受信して格納するように構成されるIPアドレス受信モジュールと
をさらに含む、請求項7に記載の装置。 - 前記IPアドレス検索モジュールは、詳細には、サーバのドメイン名とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索するように構成される、請求項7に記載の装置。
- サービス種別とIPアドレスとの間の対応のテーブルを受信して格納するように構成される受信格納モジュールをさらに含む、請求項9に記載の装置。
- サービス種別とIPアドレスとの間の対応のプリセットテーブルに従って、アクセスが要求される前記サーバの前記IPアドレスに対応するサービス種別を検索するように構成されるサービス種別検索モジュールをさらに含む、請求項7に記載の装置。
- 前記第1のサービス要求終了モジュールまたは前記第2のサービス要求終了モジュールは、詳細には、前記サービスアクセス要求パケットを破棄するように構成される、請求項7に記載の装置。
- 許可されていないサービスアクセスを防止する装置であって、前記システムは、
パケットが、アクセスが要求されるサーバのドメイン名とアクセスが要求される前記サーバのIPアドレスとを含む、サービスアクセス要求パケットを受信するように構成されるデータ受信インタフェースと、
アクセスが要求される前記サーバの前記ドメイン名に対応するIPアドレスを検索し、次いで、アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致するか否かを判定し、アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致しない場合には前記サービスアクセス要求を終了するように構成される、または、
アクセスが要求される前記サーバの前記IPアドレスに対応するサーバドメイン名を検索し、次いで、アクセスが要求される前記サーバの前記ドメイン名が、前記見つかったサーバドメイン名と一致するか否かを判定し、アクセスが要求される前記サーバの前記ドメイン名が、前記見つかったサーバドメイン名と一致しない場合には前記サービスアクセス要求を終了するように構成される、プロセッサと
を含むシステム。 - サーバのドメイン名とIPアドレスとの間の対応のテーブル、または、サービス種別とIPアドレスとの間の対応のテーブルを格納するように構成されるメモリと、
アクセスが要求される前記サーバの前記IPアドレスが、前記見つかったIPアドレスと一致する場合、または、アクセスが要求される前記サーバの前記ドメイン名が、前記見つかったサーバドメイン名と一致する場合には、データアクセスを要求するためにサービスアクセスパケットを送信するように構成されるデータ送信インタフェースと
をさらに含む、請求項13に記載のシステム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/CN2012/087581 WO2014101023A1 (zh) | 2012-12-26 | 2012-12-26 | 一种防止业务非法访问的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016506677A true JP2016506677A (ja) | 2016-03-03 |
| JP6074781B2 JP6074781B2 (ja) | 2017-02-08 |
Family
ID=49565868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015549917A Active JP6074781B2 (ja) | 2012-12-26 | 2012-12-26 | 許可されていないサービスアクセスを防止する方法および装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150295938A1 (ja) |
| EP (1) | EP2924941B1 (ja) |
| JP (1) | JP6074781B2 (ja) |
| KR (1) | KR101769222B1 (ja) |
| CN (1) | CN103404182A (ja) |
| WO (1) | WO2014101023A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022184954A (ja) * | 2017-06-07 | 2022-12-13 | コネクトフリー株式会社 | ネットワークシステム |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685601A (zh) * | 2013-12-10 | 2014-03-26 | 华为技术有限公司 | 应用识别方法及装置 |
| US9571452B2 (en) * | 2014-07-01 | 2017-02-14 | Sophos Limited | Deploying a security policy based on domain names |
| CN104822140B (zh) * | 2015-04-03 | 2018-09-25 | 中国联合网络通信集团有限公司 | 一种数据查询的方法及网络通信系统 |
| CN106612239B (zh) * | 2015-10-22 | 2020-03-20 | 中国电信股份有限公司 | Dns查询流量控制方法、设备和系统 |
| CN105872119A (zh) * | 2015-12-10 | 2016-08-17 | 乐视云计算有限公司 | 域名解析系统的实现方法及装置 |
| CN107231241A (zh) * | 2016-03-24 | 2017-10-03 | 中国移动通信有限公司研究院 | 信息处理方法、网关及验证平台 |
| CN106878249B (zh) * | 2016-08-12 | 2020-12-22 | 创新先进技术有限公司 | 非法用途资源的识别方法和装置 |
| CN106452940A (zh) * | 2016-08-22 | 2017-02-22 | 中国联合网络通信有限公司重庆市分公司 | 一种互联网业务流量归属的识别方法和装置 |
| CN106778250A (zh) * | 2016-12-16 | 2017-05-31 | 四川长虹电器股份有限公司 | 判定接口是否被非法调用的方法 |
| CN106453436B (zh) * | 2016-12-21 | 2019-05-31 | 北京奇虎科技有限公司 | 一种网络安全的检测方法和装置 |
| CN108322418A (zh) * | 2017-01-16 | 2018-07-24 | 深圳兆日科技股份有限公司 | 非法访问的检测方法和装置 |
| CN106789124A (zh) * | 2017-02-21 | 2017-05-31 | 中国联合网络通信集团有限公司 | Wap流量检测方法及其系统、ggsn服务器和wap网关 |
| CN109388710A (zh) * | 2018-08-24 | 2019-02-26 | 国家计算机网络与信息安全管理中心 | 一种ip地址业务属性标定方法及装置 |
| US11044253B2 (en) | 2018-10-31 | 2021-06-22 | Bank Of America Corporation | MAC authentication bypass endpoint database access control |
| CN112311722B (zh) * | 2019-07-26 | 2023-05-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、装置、设备及计算机可读存储介质 |
| CN111132162B (zh) * | 2019-12-26 | 2022-11-22 | 新华三技术有限公司成都分公司 | 一种终端信息的获取方法及装置 |
| US20230026121A1 (en) * | 2021-07-22 | 2023-01-26 | Stripe, Inc. | Systems and methods for privacy preserving fraud detection during electronic transactions |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331387A (ja) * | 2000-05-22 | 2001-11-30 | Nec Corp | 中継装置、移動体無線通信システム、その障害通知方法、及びその障害通知プログラムを記録した記録媒体 |
| JP2008532133A (ja) * | 2005-02-24 | 2008-08-14 | アールエスエイ セキュリティー インコーポレーテッド | Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6119171A (en) | 1998-01-29 | 2000-09-12 | Ip Dynamics, Inc. | Domain name routing |
| JP4950606B2 (ja) | 2005-09-30 | 2012-06-13 | トレンドマイクロ株式会社 | 通信システム、セキュリティ管理装置およびアクセス制御方法 |
| US7673336B2 (en) * | 2005-11-17 | 2010-03-02 | Cisco Technology, Inc. | Method and system for controlling access to data communication applications |
| CN101212387B (zh) * | 2006-12-30 | 2011-04-20 | 中兴通讯股份有限公司 | 一种电路交换网络与ip多媒体子系统的互通方法 |
| US7706267B2 (en) * | 2007-03-06 | 2010-04-27 | Hewlett-Packard Development Company, L.P. | Network service monitoring |
| CN101272407B (zh) * | 2008-04-28 | 2010-07-21 | 杭州华三通信技术有限公司 | 域名系统的缓存探测方法、缓存探测装置和探测响应装置 |
| US7930428B2 (en) * | 2008-11-11 | 2011-04-19 | Barracuda Networks Inc | Verification of DNS accuracy in cache poisoning |
| CN101420433B (zh) * | 2008-12-01 | 2013-03-13 | 成都市华为赛门铁克科技有限公司 | 防御域名系统欺骗攻击的方法及装置 |
| CN102801716B (zh) * | 2012-08-01 | 2015-04-08 | 杭州迪普科技有限公司 | 一种dhcp防攻击方法及装置 |
-
2012
- 2012-12-26 KR KR1020157020217A patent/KR101769222B1/ko active IP Right Grant
- 2012-12-26 WO PCT/CN2012/087581 patent/WO2014101023A1/zh active Application Filing
- 2012-12-26 CN CN2012800030843A patent/CN103404182A/zh active Pending
- 2012-12-26 EP EP12890977.7A patent/EP2924941B1/en active Active
- 2012-12-26 JP JP2015549917A patent/JP6074781B2/ja active Active
-
2015
- 2015-06-24 US US14/748,727 patent/US20150295938A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001331387A (ja) * | 2000-05-22 | 2001-11-30 | Nec Corp | 中継装置、移動体無線通信システム、その障害通知方法、及びその障害通知プログラムを記録した記録媒体 |
| JP2008532133A (ja) * | 2005-02-24 | 2008-08-14 | アールエスエイ セキュリティー インコーポレーテッド | Dns偽装をするトロイの木馬を検出及び緩和するシステム及び方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2022184954A (ja) * | 2017-06-07 | 2022-12-13 | コネクトフリー株式会社 | ネットワークシステム |
| JP7359477B2 (ja) | 2017-06-07 | 2023-10-11 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014101023A1 (zh) | 2014-07-03 |
| US20150295938A1 (en) | 2015-10-15 |
| EP2924941B1 (en) | 2019-09-11 |
| EP2924941A4 (en) | 2015-12-09 |
| KR101769222B1 (ko) | 2017-08-17 |
| JP6074781B2 (ja) | 2017-02-08 |
| KR20150100887A (ko) | 2015-09-02 |
| CN103404182A (zh) | 2013-11-20 |
| EP2924941A1 (en) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6074781B2 (ja) | 許可されていないサービスアクセスを防止する方法および装置 | |
| US9787599B2 (en) | Managing content delivery network service providers | |
| US20180205697A1 (en) | Managing content delivery network service providers by a content broker | |
| US9800539B2 (en) | Request routing management based on network components | |
| EP2266064B1 (en) | Request routing | |
| US7958258B2 (en) | Mobile communication device domain name system redirection | |
| EP2294515B1 (en) | Request routing using network computing components | |
| US8762573B2 (en) | Reverse DNS lookup with modified reverse mappings | |
| US8468247B1 (en) | Point of presence management in request routing | |
| US10097398B1 (en) | Point of presence management in request routing | |
| US9003035B1 (en) | Point of presence management in request routing | |
| JP6007458B2 (ja) | パケット受信方法、ディープ・パケット・インスペクション装置及びシステム | |
| US9225613B2 (en) | Method for accessing content in networks and a corresponding system | |
| EP3170091B1 (en) | Method and server of remote information query | |
| EP2456246A1 (en) | Network selection method based on multi-link and apparatus thereof | |
| US20130150000A1 (en) | Seamless mobile subscriber identification | |
| US20170155645A1 (en) | User Identity Differentiated DNS Resolution | |
| US11184318B2 (en) | 302 redirecting method, URL generating method and system, and domain-name resolving method and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160708 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20161006 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20161213 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20161220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6074781 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |