JP5624136B2 - ネットワーク・ベースのパケットフィルタのプログラム可能な装置 - Google Patents

ネットワーク・ベースのパケットフィルタのプログラム可能な装置 Download PDF

Info

Publication number
JP5624136B2
JP5624136B2 JP2012519855A JP2012519855A JP5624136B2 JP 5624136 B2 JP5624136 B2 JP 5624136B2 JP 2012519855 A JP2012519855 A JP 2012519855A JP 2012519855 A JP2012519855 A JP 2012519855A JP 5624136 B2 JP5624136 B2 JP 5624136B2
Authority
JP
Japan
Prior art keywords
packet
port
wireless communication
block
communication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2012519855A
Other languages
English (en)
Other versions
JP2012533235A5 (ja
JP2012533235A (ja
Inventor
サウター,マーティン
イリッジ,エド
ウェイ ディング,ウェイン
ウェイ ディング,ウェイン
Original Assignee
ロックスタービーアイディーシーオー,エルピー
ロックスター ビーアイディーシーオー,エルピー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ロックスタービーアイディーシーオー,エルピー, ロックスター ビーアイディーシーオー,エルピー filed Critical ロックスタービーアイディーシーオー,エルピー
Publication of JP2012533235A publication Critical patent/JP2012533235A/ja
Publication of JP2012533235A5 publication Critical patent/JP2012533235A5/ja
Application granted granted Critical
Publication of JP5624136B2 publication Critical patent/JP5624136B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、通信システムに関する。より詳細には、本発明は、ターゲットの装置によって、プログラム可能な無線通信システムの不要な(unsolicited)パケットのフィルタリングための方法、システム、及び装置に関する。
ネットワーク・セキュリティを強化することは、いかなるネットワーク・プロバイダに対しても重要な考慮すべき課題である。悪意のあるソフトウェア(Malicious software)(例えばウイルス、トロイの木馬、ウォーム、その他)は、最もロバストなシステムにさえ障害を与えることができる。加えて、不要な要求、例えば、電子メールを大量に送信するようなもの又はポップアップは、無駄に必要なバンド幅を消費し、ネットワークのリソースに負荷を与える。
歴史的に、世界的な無線ネットワーク(例えばUMTS(Universal Mobile Telecommunications System)、CDMA(符号分割多重接続)、WiMax(Worldwide Interoperability for Microwave Access)、LTE(Long Term Evolution)などは、この種の不要なターケットに対して問題はなかった。しかしながら、無線、及び/又はモバイル機器ユーザの数が絶えず増大するため、現在、これらの装置さえターゲットとされている。バンド幅がかなり制限されている場合、この問題は無線ネットワークに対し更にやっかいなものとなる。加えて、サービスプロバイダは、モバイルサービスに対して利用毎、又はデータ毎に課金を行う。これによって、ユーザは、受信した要求しない不要なデータに対して実際に支払いを行わなければならない。
現在、無線ネットワークを介してインターネットに接続している装置は、通常、ネットワークアドレス変換(NAT)を介して、不要なパケットから保護されている。通常、NATサーバーは、インターネットと無線ネットワークの間の(例えば、ゲートウェイ汎用パケット無線システム(GPRS)サポート・ノード(GGSN)、パケット・データ・ゲートウェイ(PDG)、等の)ゲートウェイに置かれる。しかしながら、あるネットワーク・オペレータは、NATを使用せず、公共インターネット・プロトコル(IP)にアドレスを割り当てる。この環境では、無線装置は、多くのソースから不要なIPパケットでしばしば連続的に「攻撃される」。この種のソースは、例えば、予めダイナミックIPアドレスによって割り当てられた他の装置に割り当てられたIPアドレスにピア・ツー・ピア(P2P)(1)を含み得るIPパケットを送るクライアント、及び(2)ウイルス又はそれらを感染させようとするための悪意のあるパケットを他のホストにランダムに送信する他の悪意のあるプログラムにより感染されたインターネット上のホストである。
よく整備された無線装置では、IPプロトコルスタック又はファイアウォールは、この種の不要なデータパケットを検出し、破棄する。しかしながら、これらのパケットは、無線ネットワークにおいて、多くの深刻な問題を発生させる。すべての装置が常に接続される第四世代(4G)ネットワークにおいて、各装置がIPアドレスを有し、ほぼ1000〜2000の装置が常に同一のセルに接続している。これらの装置の全てが常に不要なパケットを受信する場合、エアーインタフェース上のチャネル確立、及びバンド幅オーバーヘッドのための信号が増大する。これに比較してデジタル加入者回線(DSL)のリンクは単一の家庭だけ接続されている。
加えて、不要なパケットは、無線装置のバッテリ寿命に、更に負の影響を及ぼす。無線装置は、メッセージを受信するために電源オンでなければならないため、これらの不要なパケットの存在によって、無線装置が電力を節約するためにそれらの無線をパワーダウンすることができる期間を、著しく短くしてしまう。不要なパケットの周期的な受信は、パケットの受信のための電源を必要とするばかりでなく、パケットの受信後もある程度の時間の間、無線接続確立、及びチャネル維持が必要となる。その結果、無線装置の動作時間は、周期的で不要なIPパケットの受信によって、著しく減らされてしまう。
インターネット・プロトコルバージョン6(IPv6)、パケット交換網のための次世代のネットワーク間のネットワーク層プロトコル、及びインターネットの導入によって、NATゲートウェイは、現在においては、接続が無線装置による確立されていない限り、それはすべての着信パケットをブロック(遮断)するが、これはもはや必要とされないため、課題はさらに悪化し得る。
1つの従来の方法は、ネットワーク側でディープパケットインスペクション(DPI)を使用する。しかしながら、無線装置からの不要なパケットをフィルタリングする能力は限られている。なぜなら、ネットワーク上のDPIネットワークは、実際にどのアプリケーションが装置上で動作しているかを知ることができないからである。
従って、必要とされることは、無線通信システムのターゲットの無線通信装置に対する不要なパケットのフィルタリングのための方法、システム、及び装置である。
本発明は、不必要、及び/又は不要な通信ネットワーク上のデータパケットをフィルタリングする方法、装置、及びシステムを有利に提供する。
通常、プログラム可能なパケットフィルタは、不要なデータパケットを検出して、それらが無線ネットワークにより配布される前に、無線通信装置によって破棄する。
本発明の一態様に従って、方法は、通信システムの不要なパケットのフィルタリングのために提供される。通信システムは、第1のネットワーク、無線ネットワーク、及び少なくとも1つの無線通信装置を有する。ブロックされたリストにエントリを加えるための特定の無線装置からの命令が受信される。エントリは、ブロック基準(ブロックする基準:blocking criteria)を含む。特定の無線通信装置に向けられた第1のパケットは、第1のネットワークから受信される。第1のパケットがブロックされたリストに含まれるブロック基準を満たす場合、第1のパケットが無線ネットワークにより配信される前に、第1のパケットは破棄される。
本発明の他の観点によれば、プログラマブルパケットフィルタは、通信システムの不要なパケットをフィルタリングする。通信システムは、第1のネットワーク、無線ネットワーク、及び複数の無線通信装置を有する。プログラマブルパケットフィルタは、少なくとも1つの通信インタフェース、及びフィルタモジュールを含む。通信インタフェースは、エントリをブロックされたリストに加えるために特定の無線装置から命令を受信するよう動作可能である。エントリは、ブロック基準を含む。通信インタフェースは、第1のネットワークにより配信される第1のパケットを受信するよう動作可能である。第1のパケットは、特定の無線通信装置に向けられている。フィルタモジュールは、少なくとも1つの通信インタフェースに電気的に結合される。フィルタモジュールは、第1のパケットがブロックリスト(blocked list)に含まれたブロック基準を示しているかどうか判断するよう動作可能である。そして、第1のパケットがブロックリストに含まれるブロック基準を示す場合、第1のパケットが無線ネットワークにより配信され得る前に、第1のパケットを破棄する。
本発明の更に別の態様に従って、無線通信装置が通信システムで使用するために提供される。通信システムは、第1のネットワーク、パケットフィルタ、及び無線ネットワークを有する。無線通信装置は、複数の論理ポート、トランシーバ、及びフィルタモジュールを有する。トランシーバは、論理ポートの1つを介して少なくとも1つのパケットを受信するよう動作可能である。少なくとも1つのパケットは、第1のネットワークから生じる。フィルタモジュールは、トランシーバに電気的に結合される。フィルタモジュールは、少なくとも1つのパケットが、以前にインストールされ、現在無線通信装置で動作しているアプリケーションにより利用されている論理ポートに向けられているか否かを判断するよう動作可能である。少なくとも1つのパケットが、以前にインストールされたアプリケーションにより利用されている論理ポートに向けられていない場合、ブロック要求を生成する。
添付の図と共に以下に述べる詳細な説明を参照することにより、更に本発明、及び実施例の効果、及び構成を更に完全に理解することができる。
本発明の原則に従って構成されるプログラマブル・パケットフィルタリングを有する例示的な無線通信システムのブロック図である。 本発明の原則に従って構成される例示的なプログラマブルパケットフィルタのブロック図である。 本発明の原則に従って構成される例示的な無線通信装置のブロック図である。 本発明の原則に従った無線通信装置により実行される例示的な不要なパケット検出プロセスのフローチャートである。 本発明の原則に従ったプログラマブルパケットフィルタにより実行される例示的なパケットフィルタリング・プロセスのフローチャートである。 本発明の原則に従った無線通信装置により実行される例示的なパケット・アンブロックッキング・プロセスのフローチャートである。
詳細に本発明に従って、例示的実施形態を述べる前に、実施例は、主に、不要なパケットをフィルタリングするためのシステムと方法をインプリメントすることに関連した、装置の要素と、方法ステップとの組合せによって実現されることに留意すべきである。したがって、システム、及び方法の構成要素は図面の従来のシンボルによって、必要に応じて表現される。そして、本願明細書において、説明する価値のある本発明の実施例に関連するそれらの具体的な詳細だけを示す。当業者にとって直ちに明らかである内容の詳細な記載によって本発明の開示を不明瞭にしないようにしている。
本明細書において、例えば「第1の」、及び「第2の」、「上」、及び「下」等は、要素間の物理的あるいは論理的関係又は順序を必要とせず、ある対象又は要素を他の対象又は要素と区別するために用いられる。加えて、添付の請求の範囲、及び本願明細書において用いられているように、「Zigbee」という用語は米国電気電子技術者協会(IEEE)標準802.15.4に記載の高レベル無線通信プロトコルのセットに関する。更に、「Wi−Fi」は、IEEE802.11により定義される通信標準に関連する。用語WiMaxは、IEEE802.16において定められる通信プロトコルを意味する。「Bluetooth」とは、ブルートゥースSIGにより開発される無線個人地域網(PAN:personal area network)コミュニケーションのための産業的仕様を意味する。「イーサネット」とは、IEEE802.3において標準化された通信プロトコルを意味する。
本発明の一実施例は、無線通信システムの不要なパケットのフィルタリングのための方法、装置、及びシステムを都合よく提供する。実施例において、ソース(例えばピア・ツー・ピア(P2P)ホスト、ウイルス、など)から、着信する不必要、及び不要なインターネットプロトコル(IP)パケットを検出するために、無線装置は、マシンのプロトコルスタック(例えば伝送制御プロトコル/インターネットプロトコル(TCP/IP)スタック)に、プラグインを使用する。プラグインは、プロトコル・ポート(例えば、伝送制御プロトコル(TCP)、及びユーザ・データグラム・プロトコルUDP)を検知している。
(UDP)ポートは、無線通信装置・アプリケーションに用いられる。そして、このポートは全く使われない。TCP、及びUDPポートは、プラグインに帰属しない。その代わりに、これらのポートは、動作しているシステムの一部としてTCP/IPプロトコルスタックにより管理される。このように、アプリケーションは、書き直す必要はない。そして、プラグインはトランスペアレントであるため、動作しているシステムは修正する必要はない。すなわち、これはプロトコルスタックの一部である。異なるオペレーティングシステムのプラグ・イン・インフラストラクチャは、それがIP、及びプロトコルスタックのTCP/UDP一部に送り届けられる前に、例えば、ネットワーク・トレーサがすべての着信トラフィックを走査することを許す。また、オープン・コネクションに対して、そのポートに確立した接続に帰属しないパケットが到着したか否かを、プラグインは検出することができる。
無線装置上のプラグインが不要なパケットを検出した場合、無線装置をターゲットとしているそのようなパケットをブロックするネットワーク・ベースのパケットフィルタ装置に、要求を送信する。ブロックする規則は、宛先TCP又はUDPポート、発信元のTCP又はUDPポート、発信元のIPアドレス、IPアドレス範囲、及び可能なその他の基準に基づいてもよい。
図1には、本発明の原則に従って構成された通信システム10の実施例が示されている。この中で、同様の構成は同様の参照符号が付されている。
通信システム10は、無線ネットワーク16による広域ネットワーク(WAN)14(例えばインターネット)に接続している少なくとも1つの無線通信装置12を含む。無線通信装置12には、移動電話、多機能電話、無線パーソナル携帯情報機器(PDA)、ラップトップコンピュータ、ノート・パソコン、無線接続を持つデスクトップ・コンピュータ、携帯端末ゲームシステムなどが含まれる。プログラマブルパケットフィルタ18は、WAN14と無線ネットワーク16の間に接続され、例えば、悪意のあるホストコンピュータ20から送られる不必要な、及び/又は不要なパケットをフィルタリングし、これらのパケットが無線ネットワーク16に達する前に配信されるのを防止する。不要なパケットを決定(determine)するための基準は、無線通信装置12によって、例えば、パケットフィルタ18でプログラムされ、確立されている。加えて、デフォルト・フィルタ規則が、システムの一部としてパケットフィルタ18に存在してもよい。
ワイド・エリア・ネットワーク14は、インターネット、イントラネット又は他の通信ネットワークを含み得る。図1に通信ネットワークとしてWANが示されているが、本発明の原則は、個人地域ネットワーク(PAN)、ローカルエリアネットワーク(LAN)、キャンパス地域ネットワーク(CAN)、メトロポリタンエリアネットワーク(MAN)などの他の形式の通信ネットワークにも適用できる。更に、WAN14は、有線、無線、又はこれらの組合せであってもよい。
無線ネットワーク16は、Wi−Fi、WiMax、Zigbee、ブルートゥース、直交周波数分割多重(OFDM)、符号分割多重接続(CDMA)、広帯域のCDMA(W―CDMA)、時分割多元接続(TDMA)、グローバルシステムマルチプルアクセス(GSM)、EDGE(Enhanced Data Rates for GSM Evolution)、LTE(Long-Term Evolution)、EVDO(Evolution-Data Optimized)、UMB(Ultra Mobile Broadband)などのような通信プロトコルに従って動作できる。
図2を参照する。例示的なプログラマブルパケットフィルタ18は、コントローラ22(例えば、プロセッサ又はマイクロプロセッサ)、1つ以上の通信インタフェース24(1つが示されている)、及びメモリ26を含んでもよい(不揮発性メモリ、揮発性メモリ又はそれらの組み合わせを含むことができる)。コントローラ22はメモリ26への/からのデータ転送、そして、他の装置に対する記憶データの送受信、アプリケーションの一般の動作、及びパケットフィルタ18の他の機能を制御する。
メモリ26は、データメモリ28、及びプログラムメモリ30を含むことができる。データメモリ28は、ブロックリスト32、及び/又は許容リスト34を含むことができる。ブロックリスト32は、パケットフィルタ18によってサービスされる無線通信装置12の各々ための、宛先TCP又はUDPポート、発信元IPアドレス、及び/又は、不要なパケットをブロックするためのパケットを特定する更なる基準を含む。同様に、他の実施例において、許容リストは、パケットフィルタ18によってサービスされる無線通信装置12の各々のための、宛先TCP又はUDPポート、発信元IPアドレス、及び/又は、必要なパケットを許容するためのパケットを特定する更なる基準を含む。プログラムメモリ30は、WAN14から受信した不必要な、及び/又は不要なパケットを、ブロックリスト32に基づいて無線ネットワーク16に到達する前にフィルタリングし、及び/又は、許容リスト34に基づいて、許容されたパケットを無線ネットワーク16に通過させる、フィルタモジュール36を有する。フィルタモジュール36の動作の詳細については後述する。
ネットワーク装置で一般に見られる他の特徴は、プログラマブルパケットフィルタ18に含ませることができる点に留意する必要がある。なお、本発明を理解するのに関連するそれらの要素だけが図2に示されている。
図3をここで参照する。例示的な無線通信装置12は、コントローラ38(例えば、プロセッサ又はマイクロプロセッサ)、トランシーバ40、及び、メモリ42(不揮発性メモリ、揮発性メモリ又はそれらの組み合わせ)を含むことができる。コントローラ38は、無線通信、メモリ42に対するデータの記憶、及び、アプリケーションの動作、及び無線通信装置12の一般の機能を制御する。
トランシーバ40は、1つ以上のアンテナ44に電気的に結合することができる。トランシーバ40は、周知の方法で無線周波数信号を送受信する。トランシーバ40は、公知の1つ以上の通信プロトコル、Wi−Fi、WiMax、Zigbee、ブルートゥース、CDMA、TDMA、GSM、EDGE、LTE、EVDO、UMB、IPv6、などを用いて動作できる。
メモリ42は、ブロックリスト46、及び/又は許容リスト48を含むことができる。パケットフィルタ18のブロックリスト32と同様に、ブロックリスト46は、発信元IPアドレス、宛先TCP又はUDPポート、及び/又は、無線通信装置12の不要なパケットをブロックするためのパケットを特定する更なる基準を含む。同様に、許容リスト48は、発信元IPアドレス、宛先TCP又はUDPポート、及び/又は、無線通信装置12のための望ましいパケットを特定する更なる基準を含む。更に、メモリ42は、プロトコルスタック50、及びフィルタプラグイン52を含んでもよい。これは、WAN14から受信される不必要な、及び/又は、不要なプローブパケットを特定し、特定された基準に合致する更なるパケットをブロックするようプログラマブルパケットフィルタ18に指示する。フィルタプラグイン52の動作の詳細は後述する。
図4をここで参照する。不必要な、及び/又は、不要なパケットを確認し、かつパケットフィルタ18をプログラムするために、無線通信装置12により実行される例示的なステップを示すフローチャートが示されている。無線通信装置12は、TCP/IPネットワーク・スタック、及び無線ネットワーク16へのコネクションを初期化し、フィルタプラグイン52を開始することによって、方法をスタートアップし開始する(ステップS102)。本明細書において、フィルタリングのプロセスは、プラグインの形式でインプリメントされているが、このプロセスは、スタンドアロンのモジュールとしてインプリメントすることもできる。あるいは、ネットワークプロトコルスタック、又は一般のオペレーティングシステムの一部としてインプリメントすることもできる点に留意する必要がある。
無線通信装置12が無線ネットワーク16に接続するときに、フィルタプラグイン52はネットワーク・ベースのパケットフィルタ18への信号接続を確立する(ステップS104)。この時点で、無線通信装置12は、パケットフィルタ18から、最後の通信セッションの間に無線通信装置12によって、所定の位置に置かれたすべてのフィルタのリストを受信できる(ステップS106)。あるいは、パケットフィルタ18のブロック・フィルタ・リスト32は、(フィルタプラグイン52又はフィルタモジュール36によって)リセットされてもよい。そして、すべての既存のエントリが削除されてもよい。加えて、無線ネットワーク16は、デフォルト・フィルタのリストを作成することができ、無線装置12に知らせることができる。これによって、無線装置12は、必要に応じてこれらのフィルタを削除できる。
フィルタプラグイン52は、着信パケットをモニタする(ステップS108)。上述のように、実行しているアプリケーションの知識に基づいて、フィルタプラグイン52は、プロトコルスタック50と協働して、不必要なパケットを検出し(ステップS110)、そして、パケットフィルタ18に、そのパケットをブロックするよう要求する(ステップS112)。例えば、特定のホストからの特定のポートに対する単一のパケットだけが到着するときに、フィルタプラグイン52はブロック要求を送信できる。あるいは、それは、幾つかの同様の着信パケットを待って、その後のパケットをブロックするよう要求してもよい。パケットがブロックリスト46の基準に適合しないか、又は許容リスト48の基準に適合する場合、パケットは求められているパケットとみなされて、関連するアプリケーションにより処理される(ステップS114)。あるいは、システムは、ブロックリスト46だけがあるとしてセットアップされてもよい。したがって、ブロックリスト46に無い全てのパケットは、自動的に許可される。
理想的には、ブロックリスト46は、現在無線通信装置12で動いているアプリケーションと関連したブロックする・ポートのためのエントリだけを含むべきである。すなわち、ブロックリスト46は、無線通信装置12の現在の状態をなるべくリアルタイムに近い形で反映するために、更新される。したがって、プログラムが以前にインストールされたが、動作していない場合、パケットフィルタ18は、パケットを排除するよう命令される。しかしながら、そのプログラムが動作している場合には、ブロックする命令は送られない。
パケットは、ソースIPアドレス、及びソース/宛先TCP又はUDPポートの組合せに基づいてブロックすることができる。パケットフィルタ18は、完全なIPアドレス範囲をフィルタリングすることもできる。換言すれば、1つのIPアドレスをブロックするだけではなく、フィルタ入力は、特定範囲のすべてのIPアドレス、例えば、10.0.0.0と10.0.0.255の間をブロックすることができる。範囲ブロックは、いわゆる「ネットワーク・マスク」、又はいかなる種類の範囲、例えば10.0.0.23−10.0.0.27(これは、ネットワーク・マスクによって記述することができない)を用いてインプリメントすることもできる。
図5をここで参照する。図5は、無線ネットワーク16における配信の前に、不必要な、及び/又は、不要なパケットをフィルタリングするための、プログラマブルパケットフィルタ18によって実行される例示的ステップを示すフローチャートを示している。パケットフィルタ18は、無線通信装置12のIPアドレスに向けられたプローブパケット(例えば、ウイルスから送られるP2P又はパケット)を受信する(ステップS116)。フィルタモジュール36が、そのパケットはブロックされると認識した場合、例えば、ブロックリスト32の基準に適合した場合、パケットフィルタは、単にそのパケットを破棄する(ステップS120)。そして、プロセスは終了する。しかしながら、フィルタモジュール36が、パケットをブロックすることを認識しない場合、ブロックの基準は満たされず、ブロックリスト32により作成されたパケットの対応するパラメータに適合せず、パケットフィルタ18は、プローブパケットを、無線ネットワーク16を介して無線通信装置12に転送する(ステップS122)。無線通信装置12のプロトコルスタック50が、宛先TCP/UDPポートがアプリケーションに接続されていないと認識した場合、無線通信装置12は、ネットワークベースパケットフィルタ18に、ブロック要求を送信する。このブロック要求は、1つのパケットを受信後、直ちに送られてもよい。あるいは、所定の数のパケットを受信した後まで遅延させてこれを送ってもよい。パケットフィルタ18が、無線通信装置112からブロック要求を受信した場合(ステップS124)、フィルタモジュール36は、特定された基準を、特定の無線通信装置12のためにブロックリスト32に加える(ステップS126)。したがって、その後の、同一のホストから同一のTCP/UDPポートへのIPパケットは、パケットフィルタ18によりブロックされる。これは、無線通信装置12のエアーインタフェースの信号を送る負荷、及びバッテリ使用を減らす。エアーインタフェース上の利用可能帯域幅は、増加し、無線通信装置12の動作時間である、すなわちバッテリ寿命が延びることとなる。
図6をここで参照する。図6は、ブロックリスト46を更新するために無線通信装置12により実行される例示的なステップを示すフローチャートである。無線通信を利用する新たなアプリケーションが、無線通信装置12において開始され(ステップS128)、プロトコルスタック50によって、第1のプラグイン52に通知される。この通知は、アプリケーションにトランスペアレントである。アプリケーションが利用したいTCP又はUDPポートのためのフィルタがある場合(ステップS130)、フィルタプラグイン52は、アンブロック要求(unblock request)をパケットフィルタ18に送る(ステップS132)。このアップデートプロセスは、アプリケーションにトランスペアレントであるため、そのアプリケーションは、その後、動作を継続する(ステップS134)。このネットワークベースパケットフィルタ18は、新たな規則を承認し、パケットをフィルタリングする。
本発明は、ハードウエア、ソフトウェア、又はこれらの組合せで実現される。本明細書に記載された本方法を実行するために適合しているあらゆる形態のコンピュータシステム、又は装置も、本明細書に記載された機能を実行するために適している。
特定のハードウエア及びソフトウェアの組合せとしては、1つ以上の処理要素及びコンピュータプログラムを含む専用コンピュータシステムであり得る。このコンピュータプログラムは、記憶媒体に記憶され、ロードされ実行されると、コンピュータシステムを制御し、本明細書に記載された方法を実行する。本発明は、コンピュータプログラム製品に組み込むことができる。これは、本明細書に記載された方法をインプリメントすることができる機能を含む。記憶媒体は、いかなる揮発性又は不揮発性記憶装置をも指す。
本明細書におけるコンピュータプログラム又はアプリケーションとは、いかなる言語による、命令の集合の、コード又は表記による、いかなる表現をも意味する。そして、これによって、情報処理能力を有するシステムに、特定の機能を実行させる。この機能は、直接的又は(a)他の言語、コード、又は表記、(b)異なる具体的な形態の生成の後に実行される。
加えて、(本明細書にこれと異なる表記があれば別であるが)添付の図面は、縮尺通りに描かれていない。本発明は、本発明の精神又は基本的性質から逸脱しない特定の他の形態で実施することができる。したがって、上述の明細書ではなく、添付の以下の請求項によって、本発明の技術的範囲は定められる。

Claims (16)

  1. 第1のネットワーク、無線ネットワーク、及び少なくとも1つの無線通信装置を含む通信システムの不要なパケットのフィルタリングのための方法であって:
    パケットフィルタにおいて:
    無線通信装置から自動的に生成されたブロック要求を受信するステップであって、前記自動的に生成されたブロック要求はブロック基準を含み、前記ブロック基準は:
    前記パケットフィルタによって以前にアンブロックされたポートを利用している以前にインストールされたアプリケーションが実行されていないこと;及び
    前記以前にアンブロックされたポート;
    を表している、ステップと;
    前記第1のネットワークから第1のパケットを受信するステップであって、前記第1のパケットは前記無線通信装置に向けられた、ステップと;
    前記第1のパケットがブロックリストに含まれるブロック基準を表しているか否かを判断するステップと;
    前記第1のパケットが、前記ブロックリストに含まれるブロック基準を表すとの判断に応答して、前記第1のパケットが前記無線ネットワークにより配信されることができる前に前記第1のパケットを破棄するステップと;
    前記無線通信装置から、自動的に生成されたアンブロック要求を受信するステップであって、前記アンブロック要求は、
    前記パケットフィルタによって以前にブロックされたポートを新たなアプリケーションが利用していること、及び、
    前記以前ブロックされたポート
    を示す、ステップと;
    前記アンブロック要求に応答して、前記以前にブロックされたポートへ向けられた後続のパケットを転送するステップと;
    を有する方法。
  2. 前記ブロックリストに含まれる前記ブロック基準は、宛先伝送制御プロトコル(TCP)ポート番号、宛て先ユーザ・データグラム・プロトコル(UDP)ポート番号、発信元TCPポート番号、発信元UDPポート番号、発信元インターネットプロトコル(IP)アドレス、及びIPアドレスの範囲のうちの少なくとも1つを含む、
    請求項1記載の方法。
  3. 前記無線通信装置が、
    少なくとも1つのパケットを受信するステップと;
    前記少なくとも1つのパケットが、前記以前にインストールされたアプリケーションによって利用されたポートに向けられたものであるか否かを自動的に判断するステップであって、前記以前にインストールされたアプリケーションが現在前記無線通信装置において実行されている、ステップと;
    前記少なくとも1つのパケットが、前記以前にインストールされたアプリケーションによって利用されたポートに向けられていないとの判断に応答して、人間の介在なしにブロック要求を自動的に生成するステップと;
    を実行することにより前記ブロック要求を生成する、請求項記載の方法。
  4. 前記少なくとも1つのパケットが、前記以前にインストールされたアプリケーションによって利用されたポートに向けられたものであるか否かを判断するステップは、
    ポート割当のためのプロトコルスタックをチェックするステップ、
    を含む、請求項記載の方法。
  5. 前記ブロック要求を生成する前に、
    前記以前にインストールされたアプリケーションによって利用されている前記ポートに向けられた所定の量のパケットを受信するステップ、
    を更に有する、請求項記載の方法。
  6. 前記ブロックリストは、人間の介在なしに前記少なくとも1つの無線通信装置によってプログラマブルである、
    請求項1記載の方法。
  7. 通信システムにおける不必要なパケットをフィルタリングするためのプログラマブルパケットフィルタであって、前記通信システムは、第1のネットワーク、無線ネットワーク、及び少なくとも1つの無線通信装置を有し、当該プログラマブルパケットフィルタは、少なくとも1つの通信インタフェースを有し、前記通信インタフェースは、
    無線通信装置から自動的に生成されたブロック要求を受信し、前記自動的に生成されたブロック要求はブロック基準を含み、前記ブロック基準は:
    当該プログラマブルパケットフィルタによって以前にアンブロックされたポートを利用している以前にインストールされたアプリケーションが実行されていないこと;及び
    前記以前にアンブロックされたポート;
    を表しており;
    前記第1のネットワークを介して配信された第1のパケットを受信し、前記第1のパケットは、前記無線通信装置に向けられたものであり、かつ、
    当該プログラマブルパケットフィルタは、
    前記少なくとも1つの通信インタフェースに通信し得るように結合されたフィルタモジュールを含み、前記フィルタモジュールは、
    前記第1のパケットがブロックリストに含まれる前記ブロック基準を表しているか否かを判断し、かつ、
    前記第1のパケットが前記ブロックリストに含まれる前記ブロック基準を表していることの判断に応答して、前記第1のパケットが前記無線ネットワークにより配信されることができる前に前記第1のパケットを破棄し、
    前記無線通信装置から、自動的に生成されたアンブロック要求を受信し、前記アンブロック要求は、
    当該プログラマブルパケットフィルタによって以前にブロックされたポートを新たなアプリケーションが利用していること、及び
    前記以前のブロックされたポート、
    を示し;
    前記アンブロック要求に応答して、前記以前にブロックされたポートへ向けられた後続のパケットを転送する;
    プログラマブルパケットフィルタ。
  8. 当該プログラマブルパケットフィルタは、前記第1のネットワークと前記無線ネットワークとの間で電気的に結合されている、
    請求項記載のプログラマブルパケットフィルタ。
  9. 前記ブロックリストに含まれる前記ブロック基準は、宛先伝送制御プロトコル(TCP)ポート番号、宛て先ユーザ・データグラム・プロトコル(UDP)ポート番号、発信元TCPポート番号、発信元UDPポート番号、発信元インターネットプロトコル(IP)アドレス、及びIPアドレスの範囲のうちの少なくとも1つを含む、
    請求項記載のプログラマブルパケットフィルタ。
  10. 前記ブロックリストは、少なくとも1つの無線通信装置からの命令の受信に基づいて、プログラマブルである、
    請求項記載のプログラマブルパケットフィルタ。
  11. 通信システムにおいて利用するための無線通信装置であって、前記通信システムは、第1のネットワーク、パケットフィルタ、及び無線ネットワークを含み、当該無線通信装置は、
    複数の論理ポートと;
    1つの前記論理ポートを介して少なくとも1つのパケットを受信するトランシーバであって、前記少なくとも1つのパケットは、前記第1のネットワークから送信されたものである、トランシーバと;
    前記トランシーバに電気的に結合されたフィルタモジュールであって、前記フィルタモジュールは
    前記少なくとも1つのパケットが、以前にインストールされたアプリケーションによって利用された論理ポートに向けられたものであるか否かを判断し
    前記以前にインストールされたアプリケーションが、現在前記無線通信装置で実行されているか否かを判断し;
    記少なくとも1つのパケットが、以前にインストールされたアプリケーションによって利用された論理ポートに向けられていないとの前記判断に応答して、
    ブロック要求を生成し、前記ブロック要求は、ブロックされるべきポートを示し
    前記パケットフィルタが前記示されたポートをブロックするよう、前記パケットフィルタに前記ブロック要求が転送されるようにし
    前記無線通信装置で前記以前にインストールされたアプリケーションが現在実行されていないことに応答して、自動的に生成されたブロック要求を前記パケットフィルタに送信し、前記自動的に生成されたブロック要求は、前記以前にインストールされたアプリケーションが使用していた前記論理ポートを表し;かつ、
    以前にブロックされたポートを利用する新たなアプリケーションに応答して、自動的に生成されたアンブロック要求を、前記パケットフィルタに送信し、前記アンブロック要求は、前記以前にブロックされたポートを示す
    フィルタモジュールと;
    を有する、
    無線通信装置。
  12. 前記トランシーバは、更に、前記パケットフィルタに前記ブロック要求を送ることによって、人間の介在なしに前記パケットフィルタをプログラムする、
    請求項11記載の無線通信装置。
  13. 以前にインストールされたアプリケーションに対するポート割当を含むプロトコルスタック;
    を更に有し、
    前記フィルタモジュールは、ポート割当に対する前記プロトコルスタックをチェックすることによって、前記少なくとも1つのパケットが前記以前にインストールされたアプリケーションによって利用されたポートに向けられているか否かを判断する、
    請求項11記載の無線通信装置。
  14. 前記フィルタモジュールは、パケットをモニタし、かつ、前記無線通信装置で実行されているアプリケーションの知識に基づいて、不要なパケットが受信されたことに応答して、自動的にブロック要求を生成する、請求項11記載の無線通信装置。
  15. 前記無線通信装置にデフォルト・フィルタのリストを送信するステップ、を更に有する請求項1記載の方法。
  16. 前記無線通信装置から、削除する前記デフォルト・フィルタのサブセットを受信する、請求項15記載の方法。
JP2012519855A 2009-07-15 2010-07-14 ネットワーク・ベースのパケットフィルタのプログラム可能な装置 Expired - Fee Related JP5624136B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/503,266 US8966607B2 (en) 2009-07-15 2009-07-15 Device programmable network based packet filter
US12/503,266 2009-07-15
PCT/CA2010/001090 WO2011006243A1 (en) 2009-07-15 2010-07-14 Device programmable network based packet filter

Publications (3)

Publication Number Publication Date
JP2012533235A JP2012533235A (ja) 2012-12-20
JP2012533235A5 JP2012533235A5 (ja) 2013-08-29
JP5624136B2 true JP5624136B2 (ja) 2014-11-12

Family

ID=42938171

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012519855A Expired - Fee Related JP5624136B2 (ja) 2009-07-15 2010-07-14 ネットワーク・ベースのパケットフィルタのプログラム可能な装置

Country Status (7)

Country Link
US (1) US8966607B2 (ja)
EP (1) EP2276277B1 (ja)
JP (1) JP5624136B2 (ja)
KR (1) KR20120090934A (ja)
CN (1) CN102484806A (ja)
CA (1) CA2767454A1 (ja)
WO (1) WO2011006243A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9787589B2 (en) * 2012-06-08 2017-10-10 Apple Inc. Filtering of unsolicited incoming packets to electronic devices
US9549372B2 (en) * 2012-06-08 2017-01-17 Apple Inc. Adjusting radio dormancies in electronic devices based on receipt of unsolicited incoming packets
KR101469244B1 (ko) * 2013-02-06 2014-12-12 한밭대학교 산학협력단 수신된 데이터에서의 불필요한 패킷 제거 장치 및 방법
US11595902B2 (en) 2018-09-19 2023-02-28 Samsung Electronics Co., Ltd. Electronic device for filtering packet and method for operating same
KR20210060194A (ko) * 2019-11-18 2021-05-26 삼성전자주식회사 패킷 전달을 제어하는 전자 장치 및 그의 동작 방법
US11882448B2 (en) * 2021-06-07 2024-01-23 Sr Technologies, Inc. System and method for packet detail detection and precision blocking

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7865752B2 (en) * 2000-12-22 2011-01-04 Intel Corporation Port-based packet filter
US20030081607A1 (en) * 2001-10-30 2003-05-01 Alan Kavanagh General packet radio service tunneling protocol (GTP) packet filter
US7672275B2 (en) * 2002-07-08 2010-03-02 Precache, Inc. Caching with selective multicasting in a publish-subscribe network
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US10110632B2 (en) * 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
CN100345118C (zh) 2003-11-07 2007-10-24 趋势株式会社 数据包内容过滤装置及方法
AU2004310728B2 (en) 2003-12-05 2009-09-03 Blackberry Limited Apparatus and method of controlling unsolicited traffic destined to a wireless communication device
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
US20060253900A1 (en) * 2004-12-21 2006-11-09 Qualcomm Incorporated Client assisted firewall configuration
JP2006270894A (ja) 2005-03-25 2006-10-05 Fuji Xerox Co Ltd ゲートウェイ装置、端末装置、通信システムおよびプログラム
US8027251B2 (en) * 2005-11-08 2011-09-27 Verizon Services Corp. Systems and methods for implementing protocol-aware network firewall
US8316439B2 (en) 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
KR100909552B1 (ko) * 2006-08-21 2009-07-27 삼성전자주식회사 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
US8214889B2 (en) * 2006-11-03 2012-07-03 Microsoft Corporation Selective auto-revocation of firewall security settings
US8307417B2 (en) * 2008-03-06 2012-11-06 Hewlett-Packard Development Company, L.P. Port enablement

Also Published As

Publication number Publication date
WO2011006243A1 (en) 2011-01-20
US8966607B2 (en) 2015-02-24
CN102484806A (zh) 2012-05-30
JP2012533235A (ja) 2012-12-20
EP2276277B1 (en) 2013-08-21
CA2767454A1 (en) 2011-01-20
KR20120090934A (ko) 2012-08-17
EP2276277A1 (en) 2011-01-19
US20110016519A1 (en) 2011-01-20

Similar Documents

Publication Publication Date Title
JP5624136B2 (ja) ネットワーク・ベースのパケットフィルタのプログラム可能な装置
US11050785B2 (en) Cooperative mitigation of distributed denial of service attacks originating in local networks
US20180191525A1 (en) Network device using ip address and method thereof
US8036107B2 (en) Limiting traffic in communications systems
US7725932B2 (en) Restricting communication service
EP2615793A1 (en) Methods and systems for protecting network devices from intrusion
US20080101223A1 (en) Method and apparatus for providing network based end-device protection
MX2010009441A (es) Deteccion y notificacion de intrusion mejoradas.
WO2007045150A1 (fr) Procede et systeme de controle de la securite d'un reseau
US11316861B2 (en) Automatic device selection for private network security
WO2011129809A2 (en) Method for applying a host security service to a network
KR20120060655A (ko) 서버 공격을 탐지할 수 있는 라우팅 장치와 라우팅 방법 및 이를 이용한 네트워크
JP6052692B1 (ja) セキュリティ管理方法、プログラム、およびセキュリティ管理システム
US9686311B2 (en) Interdicting undesired service
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
JP2004260295A (ja) 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム
JP2007264990A (ja) 不正通信の自動通知装置、不正通信の自動通知プログラム
WO2016170598A1 (ja) 情報処理装置、方法およびプログラム
US20230098972A1 (en) Preventing dhcp pool exhaustion and starvation with centralized arp protocol messages
JP2007266960A (ja) 通信制御装置、通信制御プログラム
CN115348584A (zh) 私建热点行为的检测方法和装置以及业务系统
JP2007266957A (ja) アドレス取得装置、アドレス取得プログラム
KR20080002214A (ko) 인터넷종단장치를 이용한 보안검색엔진 제어방법 및 장치

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130712

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130712

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140424

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140430

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140730

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20140826

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20140925

R150 Certificate of patent or registration of utility model

Ref document number: 5624136

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees