JP6824417B2 - パケット処理方法およびアクセスゲートウェイ機器 - Google Patents

パケット処理方法およびアクセスゲートウェイ機器 Download PDF

Info

Publication number
JP6824417B2
JP6824417B2 JP2019534829A JP2019534829A JP6824417B2 JP 6824417 B2 JP6824417 B2 JP 6824417B2 JP 2019534829 A JP2019534829 A JP 2019534829A JP 2019534829 A JP2019534829 A JP 2019534829A JP 6824417 B2 JP6824417 B2 JP 6824417B2
Authority
JP
Japan
Prior art keywords
token
user session
online user
access gateway
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019534829A
Other languages
English (en)
Other versions
JP2020503763A (ja
Inventor
周英
▲呉▼文
晁岳磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Publication of JP2020503763A publication Critical patent/JP2020503763A/ja
Application granted granted Critical
Publication of JP6824417B2 publication Critical patent/JP6824417B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/74Admission control; Resource allocation measures in reaction to resource unavailability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Description

[関連出願の相互引用]
本願は、出願日が2016年12月26日であり、出願番号が201611220634.3であり、発明名称が「パケット処理方法および装置」である中国特許出願の優先権を主張し、当該出願の全文が引用により本願に組み込まれる。
ポータル(Portal)認証は、柔軟なネットワークアクセス制御技術であり、ウェブ(Web)ページを介してユーザのユーザ名およびパスワードを取得し、ユーザに身分認証を行なうことにより、アクセス制御の目的を果す。ユーザホスト(またはPortalクライアント)は、HTTP(HyperText Transfer Protocol、ハイパーテキスト転送プロトコル)またはHTTPS(Hyper Text Transfer Protocol over Secure Socket Layer、ハイパーテキスト転送プロトコル・オーバーセキュアソケットレイヤ)を用いて外部ネットワーク、例えば、Internet(インターネット)へアクセスできる。
HTTPSを用いてInternetへアクセスする際、ユーザホストは、HTTPSパケットを発信する。BRAS(Broadband Remote Access Server、ブロードバンドリモートアクセスサーバ)機器は、当該パケットを受信した後、ユーザに対する認証が通ったか否かを判断する。Portal認証が未だ行なわれていない場合、BRAS機器は、ユーザホストがアクセスしたWebサーバを模倣し、ユーザホストとはTCP(Transmission Control Protocol、伝送制御プロトコル)接続およびSSL(Secure Socket Layer、セキュアソケットレイヤ)接続を確立し、ユーザホストへリダイレクトページをプッシュする。このように、ユーザが当該リダイレクトページにユーザ名およびパスワードを入力することできる。
その後、BRAS機器は、Portalサーバとやり取りし、ユーザから入力されたユーザ名とパスワードを用いてユーザに対するPortal認証を完成させる。認証が通った後、ユーザがオンラインし、ユーザホストがInternetへ正常にアクセスできる。
本発明の例示的な実施例に示すパケット処理方法のフローチャートである。 本発明の別の例示的な実施例に示すパケット処理方法のフローチャートである。 本発明の例示的な実施例に示すハードウェア層においてHTTPSパケットに対してマッチングを行う模式図である。 本発明の例示的な実施例に示すパケット処理装置の所在するアクセスゲートウェイ機器の構造模式図である。 本発明の例示的な実施例に示すアクセスゲートウェイ機器の1つの構造模式図である。 本発明の例示的な実施例に示すアクセスゲートウェイ機器の別の構造模式図である。
以下では、本発明の実施例の図面を組み合わせて本発明の実施例における解決手段を明瞭で完全に記述する。明らかに、記述される実施例が単に本発明の一部の実施例に過ぎず、全部の実施例ではない。本発明における実施例に基づいて、当業者が進歩性に値する労働をせずに成した全ての他の実施例は、何れも本発明の保護範囲に含まれる。
本発明で使用される用語は、単に特定の実施例を記述する目的であり、本発明を制限するためのものではない。本発明および添付する特許請求の範囲で使用される単数形式の「一種」、「前記」および「当該」も、文脈から他の意味を明瞭で分かる場合でなければ、複数の形式を含むことを意図する。理解すべきことは、本文で使用される用語「および/または」が、1つまたは複数の関連する列挙項目を含む如何なるまたは全ての可能な組み合わせを指す。
理解すべきことは、本発明において第1、第2、第3等という用語を用いて各種の情報を記述するが、これらの情報は、これらの用語に限定されるものではない。これらの用語は、単に同一のタイプの情報同士を区分するために用いられる。例えば、本発明の範囲を逸脱しない限り、第1情報が第2情報と呼称されてもよく、類似的に、第2情報が第1情報と呼称されてもよい。これは、コンテキストに依存する。例えば、ここで使用される言葉「場合」は、「…とき」や「…ときに」あるいは「特定の状況に応じて」として解釈されてもよい。
HTTPSに基づくTCP模倣過程において、ユーザホストとBRAS機器との間のパケットやり取りが非常に多い。このように、オンラインを必要とするユーザが短時間内で大量いるとき、BRAS機器のCPU処理負担は、急激に増加してしまう。CPUの正常処理能力を超えると、機器はブレイクダウンしてしまう。上記問題を解決すべく、本発明の以下の実施例は、パケット処理方法、および当該方法に適用可能なパケット処理装置を提供する。
本発明の実施例の方法は、BRAS機器等のアクセスゲートウェイ機器によって実行される。当該方法では、アクセスゲートウェイ機器は、ユーザホストから送信されたHTTPSパケットを受信し、当該HTTPSパケットにマッチングする非オンラインユーザセッションエントリを検索し、前記マッチングする非オンラインユーザセッションエントリが見つかった場合に、当該非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが取得されなかったと判断すれば、トークンを第1トークンバケツから取得し(ただし、第1トークンバケツにおけるトークンの数は、アクセスゲートウェイ機器のCPU処理能力に応じて設定される)、トークンの取得に成功したときに、当該HTTPSパケットをCPUへ送信して処理させ、トークンの取得に失敗したときに、当該HTTPSパケットを廃棄する。これにより、第1トークンバケツが設置され、第1トークンバケツにおけるトークンの数がアクセスゲートウェイ機器のCPU処理能力に応じて設定されるとともに、非オンラインユーザセッションエントリが追加されて非オンラインユーザのセッション情報を記録する。CPUへ送信するHTTPSパケット数も制限し、トークンが取得されたユーザセッションのHTTPSパケットのみをCPUへ送信して処理させる一方、トークンが取得されなかったユーザセッションのHTTPSパケットをCPUへ送信して処理させることなく、直接廃棄する。このため、CPUへ送信するHTTPSパケットの流量制限は、実現される。短時間内で大量のユーザがオンラインを必要とするときには、アクセスゲートウェイ機器のCPU処理負担が軽減され、CPUの実際の負荷が正常処理能力を超えないことは確保される。
一実施例では、1つの第1トークンバケツが予め設置され、第1トークンバケツにおけるトークンの数がアクセスゲートウェイ機器のCPU処理能力に応じて設定され、CPU処理能力が大きいほど、第1トークンバケツにおけるトークンの数は、多くなる。その際、図1に示すように、アクセスゲートウェイ機器によって実行されるパケット処理方法は、以下のステップを含む。
ステップS101では、ユーザホストから送信されたHTTPSパケットを受信し、当該HTTPSパケットのソースIPアドレスおよび宛先IPアドレスに基づいて、マッチングする非オンラインユーザセッションエントリを検索する。
本発明の実施例では、ユーザセッションは、ソースIPアドレスおよび宛先IPアドレスに基づいて認識され、1つの非オンラインユーザセッションエントリは、1つのユーザセッションに対応する。
ステップS102では、マッチングする非オンラインユーザセッションエントリが見つかったか否かを判断してもよい。そうでなければ、ステップS103を実行し、そうであれば、ステップS104を実行する。
ステップS103では、当該ソースIPアドレスと宛先IPアドレスとを含む非オンラインユーザセッションエントリを配置し、その後、本フローから退出してもよい。
仮に、ステップS101で受信されたHTTPSパケットのソースIPアドレスがIP11であり、且つ宛先IPアドレスがIP12であると、ステップS103で配置される非オンラインユーザセッションエントリは、表1に示される。
Figure 0006824417
表1におけるトークンバケツ識別子(ID)は、トークンを取得するためのトークンバケツのIDを記録するために用いられ、トークンバケツIDの初期値は、0であってもよく、第1トークンバケツのIDであってもよい。トークンIDは、取得されたトークンのIDを記録するために用いられ、トークンIDの初期値が0であってもよい。トークンIDが0であるときに、当該エントリに対応するユーザセッションについてトークンが取得されなかったことを意味する。
または、表1には、当該エントリに対応するユーザセッションについてトークンが既に取得されたか否かを指示するための取得マークが更に設定される。当該取得マークの初期値は、対応するユーザセッションについてトークンが取得されなかった旨を示す値として設定される。
ステップS104では、当該非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたか否かを判断する。トークンが取得されなかった場合に、ステップS105を実行し、トークンが取得された場合に、ステップS109を実行する。
その中、非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが取得されたか否かは、方式一または方式二で判断される。
方式一では、当該エントリにおけるトークンIDが初期値である場合に、当該エントリに対応するユーザセッションについてトークンが取得されなかったと特定し、そうでなければ、当該エントリに対応するユーザセッションについてトークンが既に取得されたと特定する。
方式二では、当該エントリにおける取得マークによって、当該エントリに対応するユーザセッションについてトークンが既に取得されたか否かを判断する。
ステップS105では、第1トークンバケツからトークンを取得する。
ステップS106では、トークンの取得に成功したか否かを判断する。そうであれば、ステップS107を実行し、そうでなければ、ステップS108を実行する。
第1トークンバケツにトークンがまだ存在する場合に、その際、第1トークンバケツからトークンを成功に取得できる。そうでなければ、第1トークンバケツにトークンが存在しない場合に、その際、第1トークンバケツからトークンを取得することができない。
ステップS107では、当該HTTPSパケットをCPUへ送信して処理させ、当該非オンラインユーザセッションエントリにおけるトークンIDを取得したトークンのIDに更新し、その後本フローから退出する。
ステップS107では、当該非オンラインユーザセッションエントリにおけるトークンバケツIDが0である場合に、当該トークンバケツIDを第1トークンバケツのIDに更新してもよい。当該エントリが取得マークを更に含む場合に、当該取得マークを、対応するユーザセッションについてトークンが既に取得された旨を示す値に更新してもよい。
ステップS108では、当該HTTPSパケットを廃棄した後、本フローから退出してもよい。
ステップS109では、当該HTTPSパケットをCPUへ送信して処理させた後、本フローから退出してもよい。
HTTPSに基づくTCP模倣過程において、アクセスゲートウェイ機器がユーザホストから送信されたHTTPSパケットを受信する度に、図1に示す方法に従って処理を行う。その後、ユーザPortal認証が通り、ユーザがオンラインし、その際、ソースIPアドレスがユーザホストIPアドレスIP11である非オンラインユーザセッションエントリを削除し、これらのエントリに対応するユーザセッションについて取得されたトークンを解放し、解放されたトークンを第1トークンバケツに回収する。
また、ステップS103に非オンラインユーザセッションエントリを配置する際、対応するタイマを起動し、当該タイマに計時を開始させる。当該タイマの計時時間が所定エージング時間Tに達したとき、その際ユーザが依然としてオンラインせず、もし当該エントリに対応するユーザセッションについてトークンが既に取得された場合に、当該トークンを解放する必要があり、解放されたトークンを第1トークンバケツに回収し、当該エントリにおけるトークンIDを初期値にセットし、当該タイマを再起動することにより、当該タイマに再び計時を開始させる。また、当該エントリが取得マークを含むとき、当該取得マークを、対応するユーザセッションについてトークンが取得されなかった旨を示す値に更新する。このように、後で当該ユーザセッションに対応するHTTPSパケットを再受信するときにトークンを再度取得する必要がある。このような場合に、以下の表2の記述を参照すれば分かるように、非オンラインユーザセッションエントリは、エージング時間Tを更に含む。
別の実施例では、1つの第1トークンバケツと1つの第2トークンバケツは、予め設定される。第1トークンバケツにおけるトークンの数は、アクセスゲートウェイ機器のCPU処理能力に応じて設定され、CPU処理能力が大きいほど、第1トークンバケツにおけるトークンの数は、多くなる。第2トークンバケツにおけるトークンの数が少なく、第1トークンバケツにおけるトークンの数より遥かに少ない。第2トークンバケツにおけるトークンの具体的な数は、実際の状況に応じて予め設定される。第1トークンバケツは、正常非オンラインユーザセッションの数を規制し、第2トークンバケツは、異常非オンラインユーザセッションの数を規制する。その際、図2に示すように、アクセスゲートウェイ機器で実行されるパケット処理方法は、以下のステップを含む。
ステップS201では、ユーザホストから送信されたHTTPSパケットを受信し、当該HTTPSパケットのソースIPアドレスおよび宛先IPアドレスに基づいて、マッチングする非オンラインユーザセッションエントリを検索する。
本発明の実施例では、ユーザセッションは、ソースIPアドレスおよび宛先IPアドレスに基づいて認識され、1つの非オンラインユーザセッションエントリは、1つのユーザセッションに対応する。
ステップS202では、マッチングする非オンラインユーザセッションエントリが見つかったか否かを判断してもよい。そうでなければ、ステップS203を実行し、そうであれば、ステップS204を実行する。
ステップS203では、当該ソースIPアドレスと宛先IPアドレスとを含む非オンラインユーザセッションエントリを配置した後、本フローから退出する。
仮にステップS201で受信されたHTTPSパケットのソースIPアドレスがIP11であり、且つ宛先IPアドレスがIP12であると、ステップS203で配置される非オンラインユーザセッションエントリは、表2を参照する。
Figure 0006824417
表2におけるトークンバケツIDは、トークンを取得するためのトークンバケツのIDを記録するために用いられ、トークンバケツIDの初期値は、0であってもよく、第1トークンバケツのIDであってもよい。
トークンIDは、取得されたトークンのIDを記録するために用いられ、トークンIDの初期値が0であってもよい。トークンIDが0であるとき、当該エントリに対応するユーザセッションについてトークンが取得されなかったことを意味する。
SCountは、トークン取得成功の回数を記録するために用いられ、トークンが取得されるたびに、SCountの値を単位量だけ増加する。例えば、SCountの値を1だけ加算し、FCountの値を初期値にセットする。SCountとFCountの初期値は、0であってもよい。
FCountは、エージング時間T内でトークンの取得に失敗した連続回数を記録するために用いられ、トークンの取得に失敗する度に、FCountの値を単位量だけ増加する。例えば、FCountの値を1だけ加算する。
エージング時間T。表2に示す非オンラインユーザセッションエントリの配置時に、タイマを起動する。当該タイマの計時総時間は、所定エージング時間Tである。当該タイマの計時時間がTに達したとき、当該エントリに対応するユーザセッションについて取得されたトークンを解放し、トークンIDを初期値にセットし、FCountの値を初期値にセットする。
または、表2には、更に、当該エントリに対応するユーザセッションについてトークンが既に取得されたか否かを指示するための取得マークが設置される。当該取得マークの初期値は、対応するユーザセッションについてトークンが取得されなかった旨を示す値として設定される。
ステップS204では、当該非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたか否かを判断してもよい。トークンが未だ取得されなかった場合に、ステップS205を実行し、トークンが既に取得された場合に、ステップS211を実行する。
非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたか否かは、上記方式一または上記方式二で判断されてもよいが、ここで繰り返し説明しない。
ステップS205では、当該非オンラインユーザセッションエントリにおけるFCountの値が所定の閾値MAX_Fに達したか否かを判断してもよい。そうであれば、ステップS206を実行し、そうでなければ、ステップS207を実行する。
ステップS206では、当該HTTPSパケットを廃棄した後で、本フローから退出する。
ステップS207では、第1トークンバケツからトークンを取得する。
ステップS208では、トークンの取得に成功したか否かを判断する。そうであれば、ステップS209を実行し、そうでなければ、ステップS210を実行する。
第1トークンバケツにまだトークンが存在する場合に、その際第1トークンバケツからトークンを成功に取得できる。そうでなければ、第1トークンバケツにトークンが存在しない場合に、その際第1トークンバケツからトークンを取得することができない。
ステップS209では、当該HTTPSパケットをCPUへ送信して処理させ、当該非オンラインユーザセッションエントリにおけるトークンIDを取得されたトークンのIDに更新し、SCountの値を単位量だけ増加し、FCountの値を初期値にセットし、その後本フローから退出する。
ステップS209では、当該非オンラインユーザセッションエントリにおけるトークンバケツIDが0である場合に、当該トークンバケツIDを第1トークンバケツのIDに更新する。当該エントリが取得マークを更に含む場合に、当該取得マークを、対応するユーザセッションについてトークンが既に取得された旨を示す値に更新する。
ステップS210では、当該HTTPSパケットを廃棄し、当該非オンラインユーザセッションエントリにおけるFCountの値を単位量だけ増加し、その後本フローから退出する。
ステップS210では、当該非オンラインユーザセッションエントリにおけるトークンバケツIDが0である場合に、当該トークンバケツIDを第1トークンバケツのIDに更新する。
ステップS211では、当該HTTPSパケットをCPUへ送信して処理させた後、本フローから退出する。
また、本実施例の方法では、非オンラインユーザセッションエントリにおけるSCountの値が所定の第1閾値MAX_S1に達したと検出されたときに、当該エントリに対応するユーザセッションが異常非オンラインユーザセッションであると見なされ、トークンを取得するためのトークンバケツを第1トークンバケツから第2トークンバケツに変更してもよい。具体的に、非オンラインユーザセッションエントリにおけるトークンバケツIDを第2トークンバケツのIDに変更する。このように、図2に示すステップS207において第2トークンバケツからトークンを取得する。その後、当該エントリにおけるSCountの値が引き続き増加すれば、SCountの値が所定の第2閾値MAX_S2に達したと検出されたときに、当該エントリを削除し、当該エントリに対応するユーザセッションについて取得されたトークンを解放し、解放されたトークンを第2トークンバケツに回収する。MAX_S2は、MAX_S1より大きい。
ユーザPortal認証が通っており、ユーザがオンラインした場合に、ソースIPアドレスがユーザホストIPアドレスIP11である非オンラインユーザセッションエントリを削除し、これらのエントリに対応するユーザセッションについて取得されたトークンを解放する。
また、ステップS203において非オンラインユーザセッションエントリを配置するとき、更にタイマを起動し、当該タイマに計時を開始させる。当該タイマの計時時間が所定エージング時間Tに達したとき、その際ユーザが依然としてオンラインしていないが、当該エントリに対応するユーザセッションについてトークンが既に取得された場合に、当該トークンを解放する必要があり、解放されたトークンを対応するトークンバケツに回収し、当該エントリにおけるトークンIDを初期値にセットし、当該エントリにおけるFCountの値を初期値にセットし、当該タイマを再起動することにより、当該タイマに改めて計時を開始させる。また、当該エントリが取得マークを含むとき、当該取得マークを、対応するユーザセッションについてトークンが取得されなかった旨を示す値に更新する。このように、後で、当該ユーザセッションに対応するHTTPSパケットは、トークンの再度取得が必要である。
実際の応用場面では、ユーザホストの電源が投入された後、それにインストールされた大量のプログラムは、自動的にHTTPSパケットを発してサーバへの接続を要求する可能性がある。しかし、ユーザがこれらのプログラムを使用する必要がないため、ユーザ名とパスワードが入力されないまま、Portal認証が完成できない。これらのプログラムは、常にHTTPSパケットを発してサーバへの接続を要求する。このような場合に、ユーザホストで発されたHTTPSパケットは、アクセスゲートウェイ機器へ攻撃を与える。本発明の実施例では、図2に示す方法を採用し、正常非オンラインユーザセッションの数を規制するための第1トークンバケツと、異常非オンラインユーザセッションの数を規制するための第2トークンバケツとを設けることにより、ユーザセッションについてトークンの取得回数がMAX_S1に達してもユーザが依然としてオンラインしていないとき、その際、当該ユーザセッションを異常非オンラインユーザセッションとし、当該セッションのHTTPSパケットを攻撃パケットとし、当該異常非オンラインユーザセッションがトークン数の非常に少ない第2トークンバケツしかからトークンを取得できないことを規制し、更に異常非オンラインユーザセッションの流量を規制する。
明らかに、3つのトークンバケツ、引いてはより多くのトークンバケツを設置してより繊細な流量制限方式を実現する。3つのトークンバケツを設置することを例とすると、上記第1トークンバケツおよび第2トークンバケツの他に、第3トークンバケツを更に設置する。第3トークンバケツにおけるトークンの数は、第1トークンバケツにおけるトークンの数の所定百分率(例えば、第1トークンバケツにおけるトークンの数の40%)である。初期時に、第1トークンバケツからトークンを取得する。アクセスゲートウェイ機器のCPU負荷が所定負荷閾値を超えたと検出されたときに、トークンを取得するためのトークンバケツを第1トークンバケツから第3トークンバケツに変更する。このように、第3トークンバケツからトークンを取得できる。その後、非オンラインユーザセッションエントリにおけるSCountの値がMAX_S1に達したと検出されたときに、トークンを取得するためのトークンバケツを第3トークンバケツから第2トークンバケツに変更する。このように、第2トークンバケツからトークンを取得できる。
以下では、1つの具体的な実例により、図2に示すパケット処理方法を詳細に説明する。本実施例では、アクセスゲートウェイ機器の下層ハードウェア転送実装に2つのトークンバケツが作成される。当該2つのトークンバケツは、それぞれトークンバケツIDがbucket21である第1トークンバケツ、および、トークンバケツIDがbucket22である第2トークンバケツである。第1トークンバケツにおけるトークンの数は、アクセスゲートウェイ機器のCPU処理能力に応じて設定され、第2トークンバケツにおけるトークンの数は、非常に少ない。
アクセスゲートウェイ機器におけるPortal機能をイネーブルしたポートでは、以下の4つのルールが固定的に配信される。
第1ルールRule1は、認証不要ルールである。当該ルールは、宛先IPアドレスがPortalサーバまたは幾つかの認証不要なWebサーバのIPアドレスであるHTTP/HTTPSパケットを直接転送するよう規定するために用いられる。
第2ルールRule2は、宛先ポート番号が80であるHTTPパケットをCPUへリダイレクトするよう規定するために用いられる。
第3ルールRule3は、宛先ポート番号が443であるHTTPSパケットをCPUへリダイレクトするよう規定するために用いられる。
第4ルールRule4は、上記ルールRule1とRule2とRule3とにヒットしていないパケットを廃棄するよう規定するために用いられる。
ユーザがPortal認証を通した場合、Portalユーザエントリが配信される。Portalユーザエントリのマッチング順は、Rule1とRule2の間に位置する。その後、ユーザホストから発されたHTTP/HTTPSパケットは、当該Portalユーザエントリに基づいて転送される。本発明の実施例において追加される非オンラインユーザセッションエントリのマッチング順は、Rule2とRule3の間に位置し、非オンラインユーザホストのHTTPSパケットに対して流量制限を行ない、CPU(301)の実際の負荷が正常処理能力を超えないことを確保し、且つCPUを攻撃から保護するために用いられる。Rule1、Portalユーザエントリ、Rule2、非オンラインユーザセッションエントリ、Rule3、Rule4のマッチング順は、図3に示される。図3は、単にハードウェア層における各エントリのマッチング順を模式的に示し、限定性を有さない。
場合一では、非オンラインユーザセッションの最初のHTTPSパケットが受信された。
当該HTTPSパケットのソースIPアドレスが10.0.0.2であり、宛先IPアドレスがhttps://100.1.1.2であり、宛先ポート番号が443であると仮定する。
そうすると、アクセスゲートウェイ機器は、ハードウェア層において当該HTTPSパケットを受信した後、それぞれRule1、Portalユーザエントリ、Rule2、非オンラインユーザセッションエントリとマッチングし、何れもヒットしなかった場合に、引き続きRule3とマッチングする。結果としてマッチングする場合に、当該HTTPSパケットをCPUへ送信してもよい。CPUは、ハードウェア層において表3−1に示す非オンラインユーザセッションエントリを配信してもよい。当該エントリのマッチング順は、Rule2とRule3の間に位置する。
Figure 0006824417
場合二では、当該非オンラインユーザセッションの2番目のHTTPSパケットが受信された。
アクセスゲートウェイ機器は、ハードウェア層において当該2番目のHTTPSパケットを受信した後、それぞれRule1、Portalユーザエントリ、Rule2とマッチングし、何れもヒットしなかった場合に、引き続きローカルに保存された非オンラインユーザセッションエントリとマッチングする。結果として表3−1に示すエントリにヒットした。当該エントリにおけるトークンIDが0であることに基づいて、当該エントリに対応するユーザセッションについてトークンが取得されなかったと特定された場合に、第1トークンバケツbucket21からトークンを取得する。トークンの取得に成功した場合に、取得されたトークンのIDを100と仮定すれば、当該エントリにおけるトークンIDを100に更新し、SCountの値を1だけ加算し、FCountの値を0にクリアし、引き続きRule3とマッチングし、Rule3に従って当該HTTPSパケットをCPUへ送信して処理させる。その際、表3−1は、表3−2のように更新される。
Figure 0006824417
トークンの取得に失敗した場合に、当該HTTPSパケットを廃棄し、FCountの値を1だけ加算する。その際、表3−1は、表3−3のように更新される。
Figure 0006824417
場合三では、当該非オンラインユーザセッションの後続のHTTPSパケットが受信された。
場合二においてトークンの取得に成功すれば、ハードウェア層には、後続のHTTPSパケットを受信した後、それぞれRule1、Portalユーザエントリ、Rule2とマッチングし、何れもヒットしなかった場合に、引き続きローカルに保存された非オンラインユーザセッションエントリとマッチングする。結果として表3−2に示すエントリにヒットした。当該エントリにおけるトークンIDが0でないことに基づいて、当該エントリに対応するユーザセッションについてトークンが既に取得されたと特定されたため、引き続きRule3とマッチングし、Rule3に従って当該HTTPSパケットをCPUへ送信して処理させる。その際、表3−2に示す非オンラインユーザセッションエントリについて更新しない。
このように、HTTPSに基づくTCP模倣過程が完了された後、ユーザに対してPortal認証を行なう。認証が通った後、ユーザがオンラインし、CPUは、ハードウェア層へPortalユーザエントリを配信し、ハードウェア層に対して、ソースIPアドレスが10.0.0.2である非オンラインユーザセッションエントリを削除し、これらのエントリに対応するユーザセッションについて取得されたトークンを解放し、且つ解放されたトークンをトークンバケツに回収するよう、通知する。
場合二においてトークンの取得に失敗すれば、ハードウェア層には、後続のHTTPSパケットを受信した後、それぞれRule1、Portalユーザエントリ、Rule2とはマッチングし、何れもヒットしなかった場合に、引き続きローカルに保存された非オンラインユーザセッションエントリとマッチングする。結果として表3−3に示すエントリにヒットした。当該エントリにおけるトークンIDが0であることに基づいて、当該エントリに対応するユーザセッションについてトークンが取得されなかったと特定されたため、第1トークンバケツbucket21からトークンを取得する。トークンの取得に成功したときに、取得されたトークンのIDを100と仮定すれば、当該エントリにおけるトークンIDを100に更新し、SCountの値を1だけ加算し、FCountの値を0にクリアし、引き続きRule3とマッチングし、Rule3に従って当該HTTPSパケットをCPUへ送信して処理させる。その際、表3−3は、表3−2のように更新される。トークンの取得が依然として失敗した場合に、当該HTTPSパケットを廃棄し、FCountの値を1だけ加算する。その際、表3−3は、表3−4のように更新される。
Figure 0006824417
場合四では、非オンラインユーザセッションエントリがタイムアウトする。
非オンラインユーザセッションエントリに対応するタイマの計時時間がTに達したときに、当該エントリに対応するユーザセッションについて取得されたトークンを解放し、解放されたトークンを第1トークンバケツbucket21に回収し、トークンIDを0にセットし、FCountの値を0にクリアする。しかし、SCountの値は、一定で維持される。後は、HTTPSパケットは、トークンの再度取得を必要とする。
場合五では、複数のT時間内でユーザが常にオンラインできていない。
複数のT時間が経過し、ユーザが常にオンラインできず、非オンラインユーザセッションエントリにおけるSCountの値が累計しつつあり、SCountの値がMAX_S1に達したと検出されたときに、当該エントリに対応するユーザセッションが第2トークンバケツbucket22しかからトークンを取得できないと規制し、非オンラインユーザセッションエントリにおけるトークンバケツIDをbucket22に変更する。第2トークンバケツbucket22におけるトークンの数が非常に少ないため、異常ユーザのオンラインを規制する目的は達成できる。
その後、SCountの値がMAX_S2に達したと検出されたときに、当該非オンラインユーザセッションエントリを削除する。ただし、MAX_S2は、MAX_S1より大きい。
場合六では、1つのT時間内でユーザが常にオンラインできていない。
1つのT時間内で常にトークンが取得できない場合に、FCountの値は、増加しつつある。HTTPSパケットが受信された後、マッチングする非オンラインユーザセッションエントリにおけるFCountの値がMAX_Fに達した場合に、当該エントリに対応するユーザセッションについてトークンを取得することが許容されず、直接当該HTTPSパケットを廃棄する。その後、タイマの計時時間がTに達したときに、FCountの値を0にクリアしてから、当該エントリに対応するユーザセッションについてトークンを取得することは、初めて許容される。
上記パケット処理方法の実施例に対応し、本発明は、パケット処理装置の実施例を更に提供する。
本発明のパケット処理装置の実施例は、アクセスゲートウェイ機器に適用可能である。装置実施例は、ソフトウェアで実現されてもよく、ハードウェアまたはソフト・ハードウェアを組み合わせた方式で実現されてもよい。
図4を参照すると、本発明の実施例のアクセスゲートウェイ機器40は、受信手段401、判断手段402、処理手段403および検索手段404を備える。
受信手段401は、ユーザホストから送信されたHTTPSパケットを受信する。
検索手段404は、受信手段401でHTTPSパケットを受信された後、HTTPSパケットのソースIPアドレスおよび宛先IPアドレスに基づいてHTTPSパケットにマッチングする非オンラインユーザセッションエントリを検索する。
判断手段402は、検索手段404で非オンラインユーザセッションエントリが見つかった場合に、当該非オンラインユーザセッションエントリに対応するユーザセッションについて既にトークンが取得されたか否かを判断する。
処理手段403は、当該非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが取得されなかったと判断手段402によって判断された場合に、トークンを第1トークンバケツから取得し、トークンの取得に成功したときに、当該HTTPSパケットをCPUへ送信して処理させ、トークンの取得に失敗したときに、当該HTTPSパケットを廃棄する。第1トークンバケツにおけるトークンの数は、アクセスゲートウェイ機器のCPU処理能力に応じて設定される。
図5に示すように、上記アクセスゲートウェイ機器40は、配置手段405を更に備える。
配置手段405は、当該HTTPSパケットにマッチングする非オンラインユーザセッションエントリを検索手段404で見つからなかった場合に、ソースIPアドレスと宛先IPアドレスとを含む非オンラインユーザセッションエントリを配置する。
処理手段403は、更に、当該非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたと判断手段402によって判断された場合に、当該HTTPSパケットをCPUへ送信して処理させる。
処理手段403は、更に、トークンの取得に成功する度に、当該非オンラインユーザセッションエントリにおけるトークンIDを取得されたトークンのIDに更新する。
判断手段402は、具体的に以下の方式で非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたか否かを判断する。つまり、判断手段402は、非オンラインユーザセッションエントリにおけるトークンIDが初期値である場合に、非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが取得されなかったと判断し、そうでなければ、非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたと判断する。
処理手段403は、更に、トークンの取得に成功する度に、非オンラインユーザセッションエントリにおけるトークン取得成功回数(SCount)の値を単位量だけ増加し、トークン取得失敗回数(FCount)の値を初期値にセットし、トークンの取得に失敗する度に、非オンラインユーザセッションエントリにおけるFCountの値を単位量だけ増加する。
図5に示すように、上記アクセスゲートウェイ機器40は、更新手段406を更に備える。
更新手段406は、非オンラインユーザセッションエントリにおけるSCountの値が所定の第1閾値に達したと検出されたときに、第1トークンバケツを第2トークンバケツに変更する。第2トークンバケツにおけるトークンの数は、第1トークンバケツにおけるトークンの数より遥かに小さい。更新手段406は、更に、非オンラインユーザセッションエントリにおけるSCountの値が所定の第2閾値に達したと検出されたときに、当該非オンラインユーザセッションエントリを削除する。第2閾値は、第1閾値より大きい。
処理手段403は、更に、当該非オンラインユーザセッションエントリにおけるFCountの値が所定閾値に達したと判断手段402によって判断された場合に、当該HTTPSパケットを廃棄する。
図5に示すように、上記アクセスゲートウェイ機器40は、計時手段407と処理手段403を更に備える。
計時手段407は、更に、非オンラインユーザセッションエントリの配置時に、非オンラインユーザセッションエントリに対応するタイマを起動して計時させ、タイマの計時時間が所定エージング時間に達したときに、当該タイマを再起動する。
処理手段403は、更に、タイマの計時時間が所定エージング時間に達したときに、非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたが判断された場合に、当該非オンラインユーザセッションエントリを対応するユーザセッションについてトークンが取得されなかった状態に更新し、当該非オンラインユーザセッションエントリにおけるFCountの値を初期値にセットする。
図6を参照すると、図6は、本発明の実施例のアクセスゲートウェイ機器の別の構造模式図である。当該アクセスゲートウェイ機器は、プロセッサ601と、機器の実行可能な指令を記憶する機器読み取り可能な記憶媒体602とを備える。プロセッサ601と機器読み取り可能な記憶媒体602とは、システムバス603を介して互いに通信可能である。プロセッサ601は、機器読み取り可能な記憶媒体602における機器の実行可能な指令を読み取って実行することにより、上述したパケット処理方法を実行可能である。
本文で言及される機器読み取り可能な記憶媒体602は、如何なる電気的なもの、磁気的なもの、光学的なものまたは他の物理的記憶装置であってもよく、情報(例えば、実行可能な指令、データ等)を含むか記憶可能である。例えば、機器読み取り可能な記憶媒体は、RAM(Random Access Memory、ランダムアクセスメモリ)、揮発性メモリ、不揮発性メモリ、フラッシュメモリ、記憶ドライバ(例えば、ハードディスクドライバ)、ソリッド・ステート・ディスク、如何なるタイプの記憶ディスクであってもよい。
機器読み取り可能な記憶媒体602は、受信手段401で動作するプログラム指令、判断手段402で動作するプログラム指令、処理手段403で動作するプログラム指令、検索手段404で動作するプログラム指令、配置手段405で動作するプログラム指令、更新手段406で動作するプログラム指令、および、計時手段407で動作するプログラム指令を格納する。
プロセッサ601は、受信手段401で動作するプログラム指令、判断手段402で動作するプログラム指令、処理手段403で動作するプログラム指令、検索手段404で動作するプログラム指令、配置手段405で動作するプログラム指令、更新手段406で動作するプログラム指令、および、計時手段407で動作するプログラム指令を実行する。プロセッサ601は、上記各手段で動作するプログラム指令を実行することにより、上述したパケット処理方法を実施する。
一例示では、プロセッサ601は、機器読み取り可能な記憶媒体602における機器の実行可能な指令を読み取って実行することにより、
ユーザホストから送信されたハイパーテキスト転送プロトコル・オーバー・セキュアソケットレイヤ(HTTPS)パケットを受信することと、
前記HTTPSパケットのソースインターネットプロトコル(IP)アドレスおよび宛先IPアドレスに基づいて、前記HTTPSパケットにマッチングする非オンラインユーザセッションエントリを検索することと、
前記非オンラインユーザセッションエントリが見つかった場合に、
前記非オンラインユーザセッションエントリに対応するユーザセッションがトークンを有さないと判断した場合に、トークンを第1トークンバケツから取得し、前記第1トークンバケツにおけるトークンの数は、前記アクセスゲートウェイ機器のCPU処理能力に応じて設定されることと、
トークンの取得に成功したときに、前記HTTPSパケットをCPUへ送信して処理させることと、
トークンの取得に失敗したときに、前記HTTPSパケットを廃棄することと、を実行させる。
前記非オンラインユーザセッションエントリが見つからなかった場合に、プロセッサ601は、更に、機器の実行可能な指令により、
前記ソースIPアドレスと宛先IPアドレスとを含む非オンラインユーザセッションエントリを配置することを実行させる。
プロセッサ601は、更に、機器の実行可能な指令により、
前記非オンラインユーザセッションエントリに対応するユーザセッションが既にトークンを有すると判断した場合に、前記HTTPSパケットをCPUへ送信して処理させることを実行させる。
プロセッサ601は、更に、機器の実行可能な指令により、
トークンの取得に成功する度に、前記非オンラインユーザセッションエントリにおけるトークン識別子(ID)を取得されたトークンのIDに更新することと、
以下の判断方式によって前記非オンラインユーザセッションエントリに対応するユーザセッションが既にトークンを有するか否かを判断することと、を実行させ、
前記判断方式は、
前記非オンラインユーザセッションエントリにおけるトークンIDが初期値である場合に、前記非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが取得されなかったと判断し、
そうでなければ、前記非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得されたと判断することである。
プロセッサ601は、更に、機器の実行可能な指令により、
トークンの取得に成功する度に、前記非オンラインユーザセッションエントリにおけるトークン取得成功回数(SCount)の値を単位量だけ増加し、前記非オンラインユーザセッションエントリにおけるトークン取得失敗回数(FCount)の値を初期値にセットすることと、
トークンの取得に失敗する度に、前記非オンラインユーザセッションエントリにおける前記FCountの値を単位量だけ増加しことと、を実行させる。
プロセッサ601は、更に、機器の実行可能な指令により、
前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第1閾値に達したと検出したときに、前記アクセスゲートウェイ機器が前記第1トークンバケツを第2トークンバケツに変更し、第2トークンバケツにおけるトークンの数は、前記第1トークンバケツにおけるトークンの数より遥かに小さくことと、
前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第2閾値に達したと検出したときに、前記アクセスゲートウェイ機器が当該非オンラインユーザセッションエントリを削除し、前記第2閾値は、前記第1閾値より大きいことと、を実行させる。
プロセッサ601は、更に、機器の実行可能な指令により、
前記非オンラインユーザセッションエントリにおける前記FCountの値が所定閾値に達したと判断したときに、前記HTTPSパケットを廃棄することを実行させる。
ただし、前記非オンラインユーザセッションエントリの配置時に、プロセッサ601は、更に、前記機器の実行可能な指令により、
前記非オンラインユーザセッションエントリに対応するタイマを起動して計時させることと、
前記タイマの計時時間が所定エージング時間に達したときに前記非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得された場合に、
前記非オンラインユーザセッションエントリを対応するユーザセッションについてトークンが取得されなかった状態に更新し、
前記非オンラインユーザセッションエントリにおけるFCountの値を初期値にセットし、
当該タイマを再起動することと、を実行させる。
上記装置における各手段の機能および作用の実現手順は、上記方法の対応ステップの実現手順を詳細に参照すればよいため、ここで繰り返し説明しない。
装置実施例は、方法実施例に基本的に対応するため、その関連箇所が方法実施例部分の説明を参照すればよい。上述した装置実施例は、単に例示であり、その中、分離部品として説明される手段が物理的に分離されるものであってもよくでなくてもよい。また、手段として表示される部品は、物理手段であってもでなくてもよい。更に、それらの手段は、1箇所に位置してもよく、複数のネットワークセルに分散してもよい。実際の需要に応じてその中の一部または全部のモジュールを選択して本実施例の目的を果たすことが可能である。当業者は、進歩性に値する労働をせずに、理解して実施可能である。
説明すべきことは、本文に、第1と第2等のような関係用語は、単に1つの実体や操作を別の実体や操作と区分させるために用いられ、これらの実体や操作の間になんらかの実際的な関係や順序が存在するとは必ずしも要求やヒントすることではない。用語「含む」、「備える」またはほかの何れかの同義語が非排他的含有をカバーすることを狙う。このように、一シリーズの要素を有する手順、方法、物品または機器は、それらの要素を有するだけではなく、明確に挙げられていない他の要素も有し、またはこのような手順、方法、物品または機器に固有の要素も有する。更なる制限がない限り、語句「1つの…を含む」で限定される要素は、前記要素を有する手順、方法、物品または機器に他の同じ要素を更に有することをあえて排除しない。
以上では、本発明の実施例に供される方法と装置を詳細に説明した。本文では、具体的な例を用いて本発明の原理および実施形態を説明したが、以上の実施例の説明が単に本発明の方法およびその要旨を容易に理解するために用いられる。それとともに、当業者であれば、本発明の思想に基づいて具体的な実施形態および応用範囲を変更可能である。したがって、本明細書の内容は、本発明に対する制限として理解されるべきではない。

Claims (13)

  1. アクセスゲートウェア機器が、非オンラインユーザホストがアクセスしようとするWebサーバを模倣して、前記非オンラインユーザホストと伝送制御プロトコル(TCP)接続およびセキュアソケットレイヤ(SSL)接続される状態において、行うパケット処理方法であって、
    前記アクセスゲートウェイ機器が、前記非オンラインユーザホストから送信された、前記SSLに基づくハイパーテキスト転送プロトコル(HTTPS)パケットであって、ソースインターネットプロトコル(IP)アドレスおよび宛先IPアドレスが含まれるHTTPSパケットを受信することと、
    前記アクセスゲートウェイ機器が、前記HTTPSパケット基づいて、ソースIPアドレスおよび宛先IPアドレスが含まれる複数の非オンラインユーザセッションエントリから構成されるエントリテーブルから前記HTTPSパケットの前記ソースIPアドレスおよび前記宛先IPアドレスと合致する非オンラインユーザセッションエントリを検索することと、
    前記非オンラインユーザセッションエントリが見つかった場合に、
    前記アクセスゲートウェイ機器が、前記非オンラインユーザセッションエントリにおけるトークン識別子(ID)に基づいて、前記非オンラインユーザセッションエントリに対応するユーザセッションがトークンを有するか否かを判断することと、
    前記トークンIDが初期値でない場合に、前記ユーザセッションがトークンを有すると判断し、前記HTTPSパケットをCPUに処理させることと、
    前記トークンIDが初期値である場合に、前記ユーザセッションがトークンを有さないと判断しトークンを第1トークンバケツから取得し、前記第1トークンバケツにおけるトークンの数は、前記アクセスゲートウェイ機器のCPU処理能力に応じて設定されることと、
    トークンの取得に成功したときに、前記アクセスゲートウェイ機器が前記HTTPSパケットをCPUへ送信して処理させることと、
    トークンの取得に失敗したときに、前記アクセスゲートウェイ機器が前記HTTPSパケットを廃棄することと、を含むことを特徴とするパケット処理方法。
  2. 前記非オンラインユーザセッションエントリが見つからなかった場合に、前記パケット処理方法は、
    前記アクセスゲートウェイ機器が受信した前記HTTPSパケットに対応する非オンラインユーザセッションエントリを前記エントリテーブルに配置することを更に含むことを特徴とする請求項1に記載のパケット処理方法。
  3. 前記アクセスゲートウェイ機器が、トークンの取得に成功する度に、更に、初期値であるトークンIDを取得したトークンIDに更新することを特徴とする請求項1に記載のパケット処理方法。
  4. 前記アクセスゲートウェイ機器が、トークンの取得に成功する度に、前記非オンラインユーザセッションエントリにおけるトークン取得成功回数(SCount)の値を単位量だけ増加し、前記非オンラインユーザセッションエントリにおけるトークン取得失敗回数(FCount)の値を初期値にセットし、
    前記アクセスゲートウェイ機器が、トークンの取得に失敗する度に、前記非オンラインユーザセッションエントリにおける前記FCountの値を単位量だけ増加することを特徴とする請求項1に記載のパケット処理方法。
  5. 前記アクセスゲートウェイ機器が、前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第1閾値に達したと検出したときに、前記第1トークンバケツを第2トークンバケツに変更し、前記第2トークンバケツにおけるトークンの数は、前記第1トークンバケツにおけるトークンの数より遥かに小さいことと、
    前記アクセスゲートウェイ機器が、前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第2閾値に達したと検出したときに、当該非オンラインユーザセッションエントリを削除し、前記第2閾値は、前記第1閾値より大きいことと、を更に含むことを特徴とする請求項に記載のパケット処理方法。
  6. 前記アクセスゲートウェイ機器が、前記非オンラインユーザセッションエントリにおける前記FCountの値が所定閾値に達したと判断したときに、前記HTTPSパケットを廃棄することを更に含むことを特徴とする請求項に記載のパケット処理方法。
  7. 前記非オンラインユーザセッションエントリを配置することは、
    前記非オンラインユーザセッションエントリに対応するタイマを起動して計時させることと、
    前記タイマの計時時間が所定エージング時間に達したときに前記非オンラインユーザセッションエントリに対応するユーザセッションについてトークンが既に取得された場合に、前記アクセスゲートウェイ機器が、
    前記非オンラインユーザセッションエントリを対応するユーザセッションについてトークンが取得されなかった状態に更新し、
    前記非オンラインユーザセッションエントリにおけるFCountの値を初期値にセットし、
    当該タイマを再起動することと、を含むことを特徴とする請求項2に記載のパケット処理方法。
  8. 非オンラインユーザホストがアクセスしようとするWebサーバを模倣して、前記非オンラインユーザホストと伝送制御プロトコル(TCP)接続およびセキュアソケットレイヤ(SSL)接続されるアクセスゲートウェイ機器であって、
    プロセッサと、
    機器の実行可能な指令を記憶する非一時的機器読み取り可能な記憶媒体と、を備え、
    前記プロセッサは、前記機器の実行可能な指令を読み取って実行することにより、
    前記非オンラインユーザホストから送信された、前記SSLに基づくハイパーテキスト転送プロトコル(HTTPS)パケットであって、ソースインターネットプロトコル(IP)アドレスおよび宛先IPアドレスが含まれるHTTPSパケットを受信することと、
    前記HTTPSパケット基づいて、ソースIPアドレスおよび宛先IPアドレスが含まれる複数の非オンラインユーザセッションエントリから構成されるエントリテーブルから前記HTTPSパケットの前記ソースIPアドレスおよび前記宛先IPアドレスと合致する非オンラインユーザセッションエントリを検索することと、
    前記非オンラインユーザセッションエントリが見つかった場合に、
    前記非オンラインユーザセッションエントリにおけるトークン識別子(ID)に基づいて、前記非オンラインユーザセッションエントリに対応するユーザセッションがトークンを有するか否かを判断することと、
    前記トークンIDが初期値でない場合に、前記ユーザセッションがトークンを有すると判断し、前記HTTPSパケットをCPUに処理させることと、
    前記トークンIDが初期値である場合に、前記ユーザセッションがトークンを有さないと判断しトークンを第1トークンバケツから取得し、前記第1トークンバケツにおけるトークンの数は、前記アクセスゲートウェイ機器のCPU処理能力に応じて設定されることと、
    トークンの取得に成功したときに、前記アクセスゲートウェイ機器が前記HTTPSパケットをCPUへ送信して処理させることと、
    トークンの取得に失敗したときに、前記アクセスゲートウェイ機器が前記HTTPSパケットを廃棄することと、を実行させ
    ことを特徴とするアクセスゲートウェイ機器。
  9. 前記非オンラインユーザセッションエントリが見つからなかった場合に、前記プロセッサは、更に、前記機器の実行可能な指令により、
    受信した前記HTTPSパケットに対応する非オンラインユーザセッションエントリを前記エントリテーブルに配置することを実行させることを特徴とする請求項に記載のアクセスゲートウェイ機器。
  10. 前記プロセッサは、更に、前記機器の実行可能な指令により、
    トークンの取得に成功する度に、初期値であるトークンIDを取得したトークンIDに更新することを実行させることを特徴とする請求項に記載のアクセスゲートウェイ機器。
  11. 前記プロセッサは、更に、前記機器の実行可能な指令により、
    トークンの取得に成功する度に、前記非オンラインユーザセッションエントリにおけるトークン取得成功回数(SCount)の値を単位量だけ増加し、前記非オンラインユーザセッションエントリにおけるトークン取得失敗回数(FCount)の値を初期値にセットすることと、
    トークンの取得に失敗する度に、前記非オンラインユーザセッションエントリにおける前記FCountの値を単位量だけ増加しことと、を実行させることを特徴とする請求項に記載のアクセスゲートウェイ機器。
  12. 前記プロセッサは、更に、前記機器の実行可能な指令により、
    前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第1閾値に達したと検出したときに、前記第1トークンバケツを第2トークンバケツに変更し、前記第2トークンバケツにおけるトークンの数は、前記第1トークンバケツにおけるトークンの数より遥かに小さいことと、
    前記非オンラインユーザセッションエントリにおける前記SCountの値が所定の第2閾値に達したと検出したときに、当該非オンラインユーザセッションエントリを削除し、前記第2閾値は、前記第1閾値より大きいことと、を実行させることを特徴とする請求項1に記載のアクセスゲートウェイ機器。
  13. 前記プロセッサは、更に、前記機器の実行可能な指令により、
    前記非オンラインユーザセッションエントリにおける前記FCountの値が所定閾値に達したと判断したときに、前記HTTPSパケットを廃棄することを実行させることを特徴とする請求項1に記載のアクセスゲートウェイ機器。
JP2019534829A 2016-12-26 2017-12-26 パケット処理方法およびアクセスゲートウェイ機器 Active JP6824417B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201611220634.3 2016-12-26
CN201611220634.3A CN108243115B (zh) 2016-12-26 2016-12-26 报文处理方法及装置
PCT/CN2017/118627 WO2018121528A1 (zh) 2016-12-26 2017-12-26 报文处理

Publications (2)

Publication Number Publication Date
JP2020503763A JP2020503763A (ja) 2020-01-30
JP6824417B2 true JP6824417B2 (ja) 2021-02-03

Family

ID=62702227

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019534829A Active JP6824417B2 (ja) 2016-12-26 2017-12-26 パケット処理方法およびアクセスゲートウェイ機器

Country Status (5)

Country Link
US (1) US10992584B2 (ja)
EP (1) EP3547626B1 (ja)
JP (1) JP6824417B2 (ja)
CN (1) CN108243115B (ja)
WO (1) WO2018121528A1 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6841785B2 (ja) * 2018-03-29 2021-03-10 日本電信電話株式会社 情報処理装置、情報処理方法及び情報処理プログラム
CN111600832B (zh) * 2019-07-25 2022-09-30 新华三技术有限公司 报文处理方法及装置
US11483361B2 (en) * 2020-06-24 2022-10-25 KORD, Inc. Audio stem access and delivery solution
CN113542150B (zh) * 2021-07-14 2023-06-02 杭州海康威视数字技术股份有限公司 一种数据传输方法、装置及中心端网桥

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7253717B2 (en) * 2000-11-29 2007-08-07 Mobile Technics Llc Method and system for communicating with and tracking RFID transponders
US20040125796A1 (en) * 2002-12-30 2004-07-01 Reader Scot A. N rate, N‘precedence meter/marker
WO2005073929A1 (en) * 2004-01-20 2005-08-11 Harrow Products Llc Access control system with energy-saving optical token presence sensor system
JP2006013757A (ja) 2004-06-24 2006-01-12 Matsushita Electric Ind Co Ltd ホームネットワーク遠隔管理システム
CN100583828C (zh) * 2007-02-14 2010-01-20 华为技术有限公司 分片报文处理方法与装置
JP4507005B2 (ja) * 2007-10-25 2010-07-21 Necアクセステクニカ株式会社 無線通信システム,無線通信方法及びプログラム
CN101459583A (zh) * 2007-12-13 2009-06-17 华为技术有限公司 报文处理方法和装置、以及报文发送方法和装置
US8763082B2 (en) * 2008-05-13 2014-06-24 At&T Mobility Ii Llc Interactive client management of an access control list
JP2010252049A (ja) * 2009-04-15 2010-11-04 Sony Corp 通信装置及び通信方法、コンピューター・プログラム、並びに通信システム
US9729467B2 (en) * 2009-05-12 2017-08-08 Qualcomm Incorporated Method and apparatus for managing congestion in a wireless system
DE102009026124A1 (de) * 2009-07-07 2011-01-13 Elan Schaltelemente Gmbh & Co. Kg Verfahren und System zur Erfassung, Übertragung und Auswertung sicherheitsgerichteter Signale
JP5725162B2 (ja) * 2011-03-31 2015-05-27 富士通株式会社 排他制御方法、および排他制御プログラム
US9722972B2 (en) * 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US9417910B2 (en) * 2012-12-20 2016-08-16 Oracle International Corporation System and method for implementing shared probabilistic counters storing update probability values
JP6307593B2 (ja) * 2013-04-26 2018-04-04 インターデイジタル パテント ホールディングス インコーポレイテッド 必要とされる認証保証レベルを達成するための多要素認証
CN104519021B (zh) * 2013-09-29 2018-07-20 新华三技术有限公司 防止恶意流量攻击的方法及装置
US9531749B2 (en) * 2014-08-07 2016-12-27 International Business Machines Corporation Prevention of query overloading in a server application
US9984110B2 (en) * 2014-08-21 2018-05-29 Dropbox, Inc. Multi-user search system with methodology for personalized search query autocomplete
US9990485B2 (en) * 2014-09-26 2018-06-05 Assa Abloy Ab Anti-passback algorithm for reading a public or secure object
CN104270364B (zh) * 2014-09-30 2018-01-12 新华三技术有限公司 一种超文本传输协议报文处理方法和装置
US9135412B1 (en) * 2015-02-24 2015-09-15 Wowza Media Systems, LLC Token-based security for remote resources
US9942217B2 (en) * 2015-06-03 2018-04-10 At&T Intellectual Property I, L.P. System and method for generating a service provider based secure token
US9979747B2 (en) * 2015-09-05 2018-05-22 Mastercard Technologies Canada ULC Systems and methods for detecting and preventing spoofing
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning

Also Published As

Publication number Publication date
US20190372899A1 (en) 2019-12-05
WO2018121528A1 (zh) 2018-07-05
EP3547626A4 (en) 2019-11-20
CN108243115A (zh) 2018-07-03
CN108243115B (zh) 2021-06-29
US10992584B2 (en) 2021-04-27
EP3547626A1 (en) 2019-10-02
JP2020503763A (ja) 2020-01-30
EP3547626B1 (en) 2021-03-03

Similar Documents

Publication Publication Date Title
JP6824417B2 (ja) パケット処理方法およびアクセスゲートウェイ機器
US8561188B1 (en) Command and control channel detection with query string signature
US10218717B1 (en) System and method for detecting a malicious activity in a computing environment
JP2020520594A5 (ja)
EP2500838A1 (en) SOC-based device for packet filtering and packet filtering method thereof
CN103023906A (zh) 针对远程过程调用协议进行状态跟踪的方法及系统
JP6379013B2 (ja) ネットワーク制御システム、ネットワーク制御方法及びプログラム
US20120030332A1 (en) Management server, information processing device and computer-readable medium
WO2016189843A1 (ja) セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US20140041012A1 (en) System for the management of access points
US20180159897A1 (en) Security system, security method, and recording medium for storing program
JP6050162B2 (ja) 接続先情報抽出装置、接続先情報抽出方法、及び接続先情報抽出プログラム
JP5119059B2 (ja) 情報処理装置、情報処理システム、プログラム、および記録媒体
US8903998B2 (en) Apparatus and method for monitoring web application telecommunication data by user
TWI577163B (zh) Based on the current time to share the public network IP Internet connection request flow of the selective allow or prevent the method and the implementation of the method of public network IP sharing of the current state detection and prevention system
EP3091465A1 (en) Monitoring device, monitoring method, and monitoring program
CN107800697A (zh) 接入认证方法及装置
CN109995759B (zh) 一种物理机接入vpc的方法及相关装置
CN107547562B (zh) 一种portal认证方法和装置
JP2010182081A (ja) ゲートウェイ装置およびアクセス制御方法
CN108040124B (zh) 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置
CN103036895A (zh) 一种状态跟踪方法及系统
EP3618396A1 (en) Protection method and system for http flood attack
CN106506270B (zh) 一种ping报文处理方法及装置
JP4617898B2 (ja) アクセス制御方式および方法、サーバ装置、端末装置ならびにプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190722

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20200430

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200625

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20200706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200915

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201202

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210112

R150 Certificate of patent or registration of utility model

Ref document number: 6824417

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250