KR20180038033A - 자동 구성 서버 및 방법 - Google Patents
자동 구성 서버 및 방법 Download PDFInfo
- Publication number
- KR20180038033A KR20180038033A KR1020187006658A KR20187006658A KR20180038033A KR 20180038033 A KR20180038033 A KR 20180038033A KR 1020187006658 A KR1020187006658 A KR 1020187006658A KR 20187006658 A KR20187006658 A KR 20187006658A KR 20180038033 A KR20180038033 A KR 20180038033A
- Authority
- KR
- South Korea
- Prior art keywords
- address
- cwmp
- forwarded
- public
- notification message
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
자동 구성 서버에 의한 실행을 위해 인터넷 프로토콜 어드레스 스푸핑을 방지하는 방법 및 자동 구성 서버가 청구된다. 이러한 오디오 구성 서버는 브로드밴드 네트워크 내의 적어도 하나의 로드 밸런서를 통해 적어도 하나의 홈 네트워크에서 적어도 하나의 게이트웨이 디바이스를 포함하는 적어도 하나의 디바이스에 결합된다. 자동 구성 서버는 하이퍼텍스트 전송 프로토콜 http의 최상부 상의 CPE WAN 관리 프로토콜 CWMP를 사용함으로써 디바이스들을 원격으로 관리한다. 방법은 디바이스로부터 CWMP 통지 메시지를 수신하는 단계, 및 - CWMP 데이터 모델 파라미터에 따라 메시지로부터 결정기에 의해 게이트웨이 디바이스의 공개 IP 어드레스를 결정하는 단계; - 통지 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded For 필드로부터 검색기에 의해 포워딩된 IP 어드레스를 검색하는 단계; 및 - 비교기에 의해 공개 IP 어드레스를 포워딩된 IP 어드레스와 비교하고, 스푸핑이 존재하는지를 결정하는 단계를 포함한다. 검색하는 단계는, 자동 구성 서버에 도달하기 위해 CWMP 메시지들이 통과하는 브로드밴드 네트워크 내의 네트워크 토폴로지에 따라 적어도 하나의 로드 밸런서들의 수(n)를 미리 결정하고; n번째 맨 마지막 IP 어드레스의 함수 내의 X-Forwarded For 필드로부터 포워딩된 IP 어드레스를 선택함으로써 추가로 실행된다.
Description
본 발명은 인터넷 프로토콜 어드레스 스푸핑(spoofing)을 방지하는 자동 구성 서버 및 관련 방법에 관한 것이다.
이러한 자동 구성 서버(Auto Configuration Server) 또는 간단히 ACS는 본 기술분야에 공지되어 있고, 궁극적으로 홈 네트워크에서 게이트웨이 디바이스들 및 로컬 영역 네트워크 디바이스들(LAN 디바이스들)과 같은 상이한 종류의 디바이스들에 브로드밴드 네트워크 내의 하나 이상의 로드 밸런서들을 통해 결합된다.
본 출원들의 명명된 로드 밸런서들은 또한 역방향/순방향 프록시들에 의해 구현될 수 있음이 주목된다.
이러한 자동 구성 서버는, 하이퍼텍스트 전송 프로토콜(Hypertext Transfer Protocol)(줄여서 http)의 최상부 상의 고객 구내 장비 광역 네트워크 관리 프로토콜(Customer Premises Equipment Wide Area Network Management Protocol)(줄여서 CPE WAN 관리 프로토콜(CWMP))에 의해 상이한 홈 네트워크들의 디바이스들을 원격으로 관리하도록 인에이블된다.
브로드밴드 포럼 TR-069(Technical Report 069)는 이러한 CWMP 프로토콜 및 이의 원격 절차 호출 메시지들 RPC를 심플 오브젝트 액세스 프로토콜(Simple Object Access Protocol)(SOAP) 메시지들로서 정의한다.
홈 네트워크 내의 디바이스들, 즉 게이트웨이 또는 LAN 디바이스들, 즉 게이트웨이 뒤의 사용자 디바이스들은 ACS 서버들과 통신하기 위해 TR-069 통지 메시지들을 전송하고 있다. 디바이스들은, ACS와의 세션이 확립될 때마다 트랜잭션 시퀀스를 개시하기 위해 통지 방법을 호출한다.
이러한 통지 메시지들은 부트, 디바이스의 부트스트랩, 파라미터의 값 변경과 같은 이벤트로 인해 트리거될 수 있거나, ACS에 의해 주기적으로 스케줄링되는 주기적 통지일 수 있다.
게이트웨이와 같은 디바이스에 의해 송신되는 통지 메시지는, 예를 들어,
InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANIPConnection.2.ExternalIPAddress = 156.20.25.67
와 같은 TR-069 데이터 모델 파라미터에 따라 게이트웨이의 공개 인터넷 프로토콜 어드레스를 포함한다.
이러한 공개 인터넷 프로토콜 어드레스(공개 IP 어드레스)는 디바이스 서비스 프로비저닝 동안 운용 지원 시스템에 의해 사용할 수 있다. 실제로, ACS는 공개 IP 어드레스를 운용 지원 시스템에 추가로 보고할 수 있으며, 공개 IP 어드레스에 기초하여, 운용 지원 시스템은 공개 IP 어드레스를 특정 고객의 프로필과 상관시킬 수 있으며, 서비스 관련 파라미터들 및 패스워드들을 포함할 수 있는 고객 특정 데이터로 디바이스를 구성할 수 있다.
이러한 방식으로, 공격자는 스푸핑된 디바이스에 대한 제3자 서비스 인증서들에 대한 미인가된 액세스를 획득할 수 있고, 통지 메시지의 공개 IP 어드레스를 스푸핑함으로써 불법적 활동들을 수행할 수 있다.
인터넷 프로토콜 어드레스 스푸핑을 방지하는 일반적인 방식은 클라이언트의 IP 어드레스, 즉 통지 메시지를 전송한 디바이스의 IP 어드레스를 갖는 통지 메시지의 공개 IP 어드레스를 체크함으로써 ACS 서버에 의해 수행된다. 이러한 클라이언트 IP 어드레스는, 인터넷 프로토콜 패킷으로부터 검색(retrieve)될 수 있거나, 또는 디바이스와 ACS 사이에 역방향/순방향 프록시들 또는 로드 밸런서들이 존재하는 경우 X-Forwarded-For Http 헤더로부터 검색될 수 있다. 어드레스들 둘 모두가 매칭하는 경우, 통지 메시지가 프로세싱될 수 있으며, 매칭하지 않으면 통지 메시지는 스푸핑으로서 드롭된다.
디바이스와 자동 구성 서버 사이에 하나 이상의 역방향/순방향 프록시 및/또는 로드 밸런서가 존재하는 경우 X-Forwarded-For 속성으로부터 공개 IP 어드레스가 판독된다고 설명되어야 한다. X-Forwarded-For 속성은, 발신된 어드레스(originated address)로부터 시작하여 콤마로 분리되는 인터넷 프로토콜 어드레스들의 목록을 유지한다.
일반적인 포맷은 다음과 같다:
X-Forwarded-For: 클라이언트의 IP 어드레스, 프록시1의 IP 어드레스, 프록시2의 IP 어드레스.
맨 처음은 최초 클라이언트이다. 실제로, 이는 종종 "최좌측(left-most)"으로 지칭된다. 이는, 클라이언트의 IP 어드레스가 이러한 제1 어드레스에 대한 미리 결정된 장소에서 필드에 입력됨을 의미한다. 메시지를 전달한 각각의 연속적인 프록시 또는 로드 밸런서는 요청을 수신한 네트워크 엘리먼트의 IP 어드레스를 추가한다. 이하에서는, 이러한 목록 내의 이러한 IP 어드레스를 "포워딩된 IP 어드레스"로 지칭한다. 다른 IP 어드레스 다음에 오는 IP 어드레스는 메시지를 전달하는 시퀀스와 관련된 미리 결정된 규칙들에 따라 목록에 입력된다.
그러나, 공격자는 X-Forwarded-For http 헤더 속성을 스푸핑하고 페이크 인터넷 프로토콜 어드레스를 추가할 수 있다.
예를 들어, 고객 구내 장비가 다음 루트에 따라 자동 구성 서버 ACS에 접촉하는 경우,
CPE (ip1) --> LB (ip2) --> LB (ip3) --> ACS (ip4)
여기서,
CPE : 고객 구내 장비
LB : 로드 밸런서
ACS : 자동 구성 서버
괄호들 사이에는 디바이스의 인터넷 프로토콜 어드레스가 있다. X-Forwarded-For 목록은, 요청이 ACS에 의해 수신되는 순간에 "ip1, ip2"이어야 한다. ACS는 맨 처음 IP 어드레스를 공개 IP 어드레스, 즉 실제로 CPE의 IP 어드레스로서 판독할 것이다.
그러나, 해커가 헤더를 스푸핑하고 제1 메시지에서 X-Forwarded-For : (ip5)를 전송하면, ACS는 다른 리스트: "ip5, ip1, ip2"를 수신할 것이다. ACS는 포워딩된 IP 어드레스에 대한 값을 맨 처음 IP 어드레스(최좌측)로서 다시 판독할 것이다. 그러나, 이러한 포워딩된 IP 어드레스는 CPE의 IP 어드레스가 아니라 해커의 어드레스 (ip5)이다. 이는 스푸핑의 표시이다.
그러나, 해커가 레벨을 하나 더 올리고 게다가 통지 메시지에서 공개 IP 어드레스를 또한 변경하는 경우, 어드레스들 양자 모두는 라인 업(line up)될 것이어서, 즉, 공개 IP 어드레스 및 포워딩된 IP 어드레스는 다시 라인 업될 것이다. ip5 어드레스를 갖는 해커 디바이스는 예를 들어, 인증서들 및 구성들과 같이 스푸핑된 디바이스(CPE(ip1))에 대해 의도된 정보에 대한 액세스를 획득할 수 있다.
본 발명의 목적은 자동 구성 서버에 의한 실행을 위한 방법, 및 상기 공지된 타입이지만 두 종류의 스푸핑 모두가 도입되는 경우 여전히 해커들을 인식하기 위한 솔루션이 제공되는 자동 구성 서버 자체를 제공하는 것이다.
실제로, 적어도 하나의 홈 네트워크에서 적어도 하나의 게이트웨이 디바이스를 포함하는 적어도 하나의 디바이스에, 브로드밴드 네트워크 내의 적어도 하나의 로드 밸런서를 통해 결합되는 자동 구성 서버에 의한 실행을 위해 인터넷 프로토콜 어드레스 스푸핑을 방지하기 위한 방법이 제공된다. 방법은 하이퍼텍스트 전송 프로토콜의 최상부 상의 CPE WAN 관리 프로토콜을 사용함으로써 디바이스를 원격으로 관리하는 단계를 포함한다. 방법은,
- 디바이스로부터 수신기에 의해 CWMP INFORM 메시지를 수신하는 단계;
- CWMP 데이터 모델 파라미터에 따라 메시지로부터 결정기(determiner)에 의해 게이트웨이 디바이스의 공개 IP 어드레스를 결정하는 단계;
- 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded For 필드로부터 검색기(retriever)에 의해 포워딩된 IP 어드레스를 검색하는 단계; 및
- 결정된 어드레스들, 즉 공개 IP 어드레스 및 포워딩된 IP 어드레스 둘 모두를 비교기에 의해 비교하고, 이에 기초하여 스푸핑이 존재하는지를 결정하는 단계를 더 포함한다.
그러나, 공지된 방법들과 공지된 자동 구성 서버들에 대한 차이에서, 본 발명의 ACS는,
- 먼저, 자동 구성 서버에 도달하기 위해 CWMP 메시지들이 통과하는 브로드밴드 네트워크 내의 네트워크 토폴로지에 따라 적어도 하나의 로드 밸런서들의 수(n)를 미리 결정하고;
- 둘째로, n번째 맨 마지막 IP 어드레스의 함수에서 X-Forwarded For 필드로부터 포워딩된 IP 어드레스를 선택하는
것에 의해 상기 검색하는 단계를 실행한다.
따라서, 본 발명에 따르면, 본 목적은, 프록시들의 수(n)를, 이러한 구성에 기초하여 ACS에 도달하고 포워딩된 IP 어드레스를 판독하기 위해 디바이스가 통과하는 네트워크 토폴로지에서, 즉 이러한 수(n)의 함수에서 솔루션이 특정한다는 사실로 인해 달성된다.
본 발명자는, X-forwarded For 필드 내의 포워딩된 어드레스들의 목록의 맨 처음 IP 어드레스(최좌측)가 통지 메시지를 효과적으로 전송한 디바이스의 어드레스를 http 레벨에서 일관되게 제공하진 않지만, 효과적인 선택을 이용하여 이러한 디바이스가 브로드밴드 네트워크의 토폴로지에 기초하여 ACS에 의해 발견될 수 있다는 통찰을 제공하였다.
LAN 디바이스들 및 GW 디바이스들은 그 통지 메시지들에서 파라미터들의 상이한 세트를 갖고 있다고 설명되어야 한다.
게이트웨이 뒤의 LAN 디바이스들의 경우, 데이터 모델 파라미터들은 "Device", 즉 Device.LAN.IPAddress로 시작한다.
게이트웨이 디바이스들의 경우 그것은 "InternetGatewayDevice", 즉,
"InternetGatewayDevice.WANDevice.1.WANConnectionDevice.1.WANIPConnection.2.ExternalIPAddress"
로 시작한다.
이러한 방식으로, ACS는 통지 메시지가 LAN 디바이스의 게이트웨이 디바이스로부터 오는 것을 데이터 모델 파라미터로부터 인식할 수 있다.
게다가, 공개 IP 어드레스는 게이트웨이 디바이스들과 같이 LAN 디바이스들에 대해 상이한 방식으로 ACS에 의해 결정된다.
본 발명의 다른 특징적 피처는, CWMP 통지 메시지가 실제로 홈 네트워크 내의 게이트웨이 디바이스로부터 오는 게이트웨이 통지 메시지인 경우, 게이트웨이 디바이스의 공개 IP 어드레스를 결정하는 단계가,
- 메시지 전송자의 IP 어드레스 필드로부터 CWMP 데이터 모델 파라미터에 따라 공개 IP 어드레스를 검색하는 단계를 포함한다는 것이다.
이러한 방식으로, 게이트웨이 통지 메시지의 유형에 대해, 공개 IP 어드레스는 통지 메시지 내의 필드로부터 직접 검색된다.
그러나, LAN 디바이스의 경우, 메시지의 전송자의 IP 어드레스 필드는, 예를 들어 "192.168.1.3"과 같은 홈에서의 개인 IP 어드레스이기 때문에 유용하지 않다. 따라서, CWMP 통지 메시지가 LAN 디바이스 통지 메시지인 경우, 게이트웨이 디바이스의 공개 IP 어드레스를 결정하는 단계는,
- CWMP 데이터 모델 파라미터에 따라 메시지로부터 게이트웨이 식별자를 검색하는 단계; 및
자동 구성 서버의 데이터 저장소/메모리로부터 게이트웨이 식별자에 기초하여 공개 IP 어드레스를 룩업하는(looking up) 단계를 포함한다.
청구항등에 사용된 '포함하는'이라는 용어는 그 후에 나열되는 수단들을 제한하는 것으로 해석되어서는 안된다는 점에 주목해야 한다. 따라서, '수단들 A 및 B를 포함하는 디바이스'라는 표현의 범위는 오직 컴포넌트들 A 및 B만으로 이루어진 디바이스들로 제한되어서는 안 된다. 이는 본 발명과 관해 디바이스의 유일한 관련 컴포넌트들이 A 및 B임을 의미한다.
유사하게, 청구항들에 또한 사용된 '결합된'이라는 용어는 오직 직접 접속들로 제한하는 것으로 해석되어서는 안된다는 점에 주목해야 한다. 따라서, '디바이스 B에 결합된 디바이스 A'라는 표현의 범위는, 디바이스 A의 출력이 디바이스 B의 입력에 직접 접속되는 디바이스들 또는 시스템들로 제한되어서는 안 된다. 이는 A의 출력과, 다른 디바이스들 또는 수단을 포함하는 경로일 수 있는 B의 입력 사이에 경로가 존재함을 의미한다.
첨부된 도면들과 함께 취해진 실시예에 대한 하기 설명을 참조함으로써 본 발명의 상기 및 다른 목적들 및 피처들은 더 명백해질 것이고 본 발명 자체는 최상으로 이해될 것이며, 도면에서, 도 1은 자동 구성 서버를 갖는 브로드밴드 네트워크를 표현한다.
도 1에 도시된, 본 발명에 따른 자동 구성 서버의 그 원격통신 환경에 따르는 작동은 본 명세서에 도시된 상이한 블록들의 기능적 설명에 의해 설명될 것이다. 이러한 설명에 기초하여, 블록들의 실제 구현은 본 기술분야의 통상의 기술자에게는 자명할 것이고, 따라서 상세히 설명되지 않을 것이다. 또한, 인터넷 프로토콜 어드레스 스푸핑을 방지하기 위한 방법의 작동 원리는 후술될 것이다.
도 1을 참조하면, 브로드밴드 통신 네트워크가 도시되어 있다. 브로드밴드 통신 네트워크는 적어도 2개의 홈 네트워크들을 포함한다 : 홈 네트워크 1 HN1 및 홈 네트워크 HN2가 도시되어 있다.
홈 네트워크 1 HN1은 적어도 하나의 디바이스, 즉 DEV1, DEV2 및 CPE1을 포함하며, 적어도 하나의 게이트웨이는 CPE1이다. 게이트웨이 CPE1은 IP 어드레스 IP1을 가지며, 2개의 LAN 디바이스 DEV1 및 DEV2 각각은 개인 IP 어드레스를 갖는데, 예를 들어, DEV1은 개인 IP 어드레스 IP4를 갖는다.
홈 네트워크 2 HN2는 적어도 하나의 디바이스 DEV1 및 CPE2를 포함하며, 적어도 하나의 게이트웨이는 CPE2이다. 게이트웨이 CPE2는 IP 어드레스 IP5를 가지며, LAN 디바이스 DEV3은 개인 IP 어드레스(미도시)를 갖는다.
홈 네트워크들 둘 모두는 브로드밴드 IP 네트워크를 통해 자동 구성 서버 ACS에 결합된다. 홈 네트워크들은 2개의 로드 밸런서(전체 라인) LB1 및 LB2를 통해 또는 단지 하나의 로드 밸런서(점선 및 스트라이프 라인과 결합된 전체 라인) LB1을 통해 또는 어떠한 로드 밸런서(점선과 결합된 전체 라인)도 통하지 않고 ACS에 결합된다. 전술한 3개의 토폴로지 중 하나만이 네트워크에서 동시에 구현된다고 설명되어야 한다.
그러나, 3개의 상이한 토폴로지는, 인터넷 프로토콜 어드레스 스푸핑을 방지하기 위해 ACS의 전반적 절차에 대해 상이한 결과들을 가지며 이에 모두 설명될 것이다. 본 발명은 홈 디바이스들을 0, 1 또는 2개의 로드 밸런서/프록시를 통해 자동 구성 서버들에 접속하는 토폴로지를 갖는 브로드밴드 네트워크들로 제한되지 않는다는 점에 추가로 주목한다. 본 발명은 이러한 2개의 네트워크 엘리먼트 사이에서 임의의 수의 로드 밸런서들/프록시들을 갖는 토폴로지를 갖는 브로드밴드 네트워크들에 적용가능하다.
로드 밸런서들 LB1 및 LB2는 IP 어드레스 IP2 및 IP3을 각각 갖는다.
자동 구성 서버는, 홈 디바이스들이 결합되는 수신기 REC, 수신기에 결합된 결정기 DET, 결정기 DET에 결합된 데이터 저장소(MEM), 수신기에 결합된 검색기 RET, 및 결정기 및 수신기에 결합된 비교기 COMP를 포함한다.
수신기 REC는, 디바이스들 CPE1, DEV1, DEV2, CPE2, DEV3, ... CWMP로부터 통지 메시지 INFORM을 수신하기 위해 포함된다. 통지 메시지를 전송하는 디바이스는 LAN 디바이스 또는 게이트웨이들 자체 중 하나임을 주목해야 한다.
결정기 DET는 CWMP 데이터 모델 파라미터에 따라 통지 메시지로부터 게이트웨이 디바이스의 공개 IP 어드레스를 결정하기 위해 포함된다. 이러한 결정된 IP 어드레스는 공개 IP 어드레스로 지칭되고, 도 1에 "IP-Public"으로 도시되어 있다.
검색기 RET는 통지 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded For 필드(XFF)로부터 IP 어드레스를 검색하기 위해 포함된다. 이러한 검색된 IP 어드레스는 "포워딩된 IP 어드레스(Forwarded IP address)"로 지칭되고, 도 1에 IP-Forw로 도시되어 있다. 본 발명에 따르면, 검색기 RET는 n번째 맨 마지막(n-most last) IP 어드레스의 함수 내의 X-Forwarded-For 필드(XFF)에서 포워딩된 IP 어드레스 IP-Forw를 선택하도록 추가로 인에이블되며, 수 (n)은 브로드밴드 네트워크 내의 네트워크 토폴로지에 따른 적어도 하나의 로드 밸런서 LB1 및/또는 LB2의 미리 결정된 수이고, 브로드밴드 네트워크를 통해 CWMP 메시지들은 자동 구성 서버(ACS)에 도달하도록 전달된다. 전술한 바와 같이 "X-Forwarded For" 필드는 콤마로 분리된 IP 어드레스들의 목록을 유지한다. 목록은 최초 클라이언트의 발신된 어드레스(originated address)인 맨 처음 IP 어드레스를 포함한다. 메시지가 각각의 연속적인 로드 밸런서 또는 프록시를 통과하는 경우, 그 네트워크 엘리먼트는 메시지를 수신했던 네트워크 엘리먼트의 IP 어드레스를 추가한다. 이 방식으로, IP 어드레스들의 목록이 구축되어 자동 구성 서버에 의해 글로벌 INFORM 메시지에 수신된다. n번째 맨 마지막 IP 어드레스의 함수 내의 X-Forwarded-For 필드에서 이러한 목록으로부터 "포워딩된 IP 어드레스"로 지칭되는 IP 어드레스를 선택하는 것은, 카운팅이 목록에서 마지막으로 추가된 IP 어드레스로부터 시작하여 목록이 구축된 순서의 역순으로 계속됨을 의미한다.
비교기 COMP는 공개 IP 어드레스 IP-Public을 포워딩된 IP 어드레스 IP-Forw와 비교하고 그에 기초하여 스푸핑이 존재하는지를 결정하기 위해 포함된다.
본 발명에 따른 방법의 상이한 단계들은 이제 후술될 것이다:
특정 디바이스는 통지 메시지를 자동 구성 서버에 전송할 것이다. 인터넷 프로토콜 어드레스 스푸핑이 존재한다면 이를 결정하는 것이 ACS의 목적이다. ACS는 하기 단계들을 실행한다:
- 디바이스로부터 CWMP 통지 메시지를 수신하는 단계;
- CWMP 데이터 모델 파라미터에 따라 메시지로부터 게이트웨이 디바이스의 공개 IP 어드레스(IP-Public)를 결정하는 단계;
- 통지 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded-For 필드(XFF)로부터 포워딩된 IP 어드레스(IP-Forw)를 검색하는 단계. 이러한 검색하는 단계를 실행하기 위해, 하기 2개의 하위단계가 수행된다:
- 자동 구성 서버(ACS)에 도달하기 위해 CWMP 메시지들이 통과하는 브로드밴드 네트워크 내의 네트워크 토폴로지에 따라 모든 로드 밸런서들 LB1 및/또는 LB2의 수(n)를 미리 결정하는 단계; 및
- n번째 맨 마지막 IP 어드레스의 함수 내의 X-Forwarded-For 필드 XFF에서 포워딩된 IP 어드레스(IP-Forw)를 선택하는 단계; 및
- 공개 IP 어드레스(IP-Public)를 포워딩된 IP 어드레스(IP-Forw)와 비교하고 그에 기초하여 스푸핑이 존재하는지를 결정하는 단계.
게다가, CWMP 통지 메시지가 게이트웨이 통지 메시지인 경우, 이에 따라 공개 IP 어드레스(IP-Public)를 결정하는 상기 단계는 메시지의 전송자의 IP 어드레스 필드로부터의 CWMP 데이터 모델 파라미터에 따라 이러한 공개 IP 어드레스(IP-Public)를 검색하는 단계를 포함한다.
예를 들어, DEV1, DEV2 또는 DEV3과 같은 LAN 디바이스들이 통지 메시지를 전송하고 있는 경우, 이들은 또한 통지에서 자신의 IP 어드레스를 전송함을 주목해야 한다. 그러나, 이러한 IP 어드레스는 단지 로컬 IP 어드레스이다. 이러한 디바이스들은 예를 들어, DEV1에 대해 CPE1 식별자 또는 게이트웨이 식별자(GW-ID)와 같은 이들의 게이트웨이 정보를 통지 메시지에서도 전송하고 있다. ACS의 데이터 저장소를 사용한 룩업에 의해 게이트웨이 식별자에 기초하여 게이트웨이의 IP 어드레스를 발견하는 것이 아이디어이다. 마지막으로, 이러한 룩업된 IP 어드레스는 XFF 필드 중 하나와 비교된다. 따라서, CWMP 통지 메시지가 LAN 디바이스 통지 메시지인 경우, 결정하는 단계는 2개의 하위단계를 포함한다:
- CWMP 데이터 모델 파라미터에 따라 메시지로부터 게이트웨이 식별자 GW-ID를 검색하는 단계; 및
- 자동 구성 서버의 데이터 저장소 MEM으로부터 게이트웨이 식별자에 기초하여 공개 IP 어드레스를 룩업하는 단계.
본 발명의 방법은 "n"에 대한 값들이 상이한 경우에 인터넷 프로토콜 어드레스 스푸핑을 검출하기 위한 전반적인 절차에 통합될 수 있음을 주목해야 한다. 이러한 전반적인 절차는 스푸핑이 존재하는지를 결정하는 단계에서 비교기를 최종적으로 지원하기 위해 ACS에 의해 추가로 실행되는 상이한 규칙들 및 조건들을 포함한다.
가능한 구현은 이하의 본 명세서에서 추상적으로 제공된다.
1) 값 n이 0이면 : n = 0이면, 네트워크 토폴로지에 어떠한 프록시/로드 밸런서가 존재하지 않아야 한다. 도 1의 점선을 참조한다. IP 계층으로부터의 IP 어드레스는 IP 패킷으로부터 직접 검색된다. X-Forwarded-For 헤더가 존재할 경우, 통지 메시지는 스푸프로서 취급된다.
따라서, 디바이스가 통지 메시지를 전송하는 경우:
- X-Forwarded-For 헤더가 없으면: IP 계층으로부터 공개 IP 어드레스를 판독한다.
- X-Forwarded-For 헤더가 있으면: IP 계층으로부터 공개 IP 어드레스를 판독하고 메시지를 스푸프로서 표시한다.
2) n 값이 제로보다 크면 : n> 0이면, n번째 IP 어드레스는 X-Forwarded-For Http 헤더의 마지막 엔트리(오른쪽)로부터 발신 IP 어드레스로서 판독된다.
도 1의 전체 라인의 예에서, CPE1(ip1)이 메시지를 전송했다고 시뮬레이트하는 해커 CPE2(ip5)로부터 오는 통지 메시지의 경우, XFF 목록은, "ip1, ip5, ip2" 처럼 보인다. n=2이면, "ip5"는 디바이스의 발신 어드레스로 간주된다.
디바이스의 공개 IP 어드레스가 결정될 때 :
TR0-69 게이트웨이 디바이스들의 경우: 공개 IP 어드레스를 통지 메시지 내의 CWMP 데이터 모델 IP 어드레스와 비교한다. 이들이 매칭하지 않으면, 이는 스푸핑이다.
TR0-69 LAN 디바이스들의 경우: CWMP 데이터 모델 게이트웨이 식별자를 결정하고, 게이트웨이의 공개 IP 어드레스를 데이터 저장소에서 룩업하고 어드레스들 둘 모두를 비교한다. 이들이 매칭하지 않으면, 이는 또한 스푸핑이다.
따라서, 디바이스가 통지 메시지를 전송하는 경우:
- X-Forwarded-For 헤더가 없으면: 헤더를 판독할 수 없다. 구성 에러. 통지 메시지는 거부된다.
- X-Forwarded-For: n번째(제n) 맨 마지막(최우측) IP 어드레스를 판독한다. 더 많은 엔트리들을 포함하면, 이는 스푸핑이다.
여기서, 본 발명은 0, 1 또는 2인 n에 대한 값에 제한되지 않음을 또한 주목해야 한다. 전술한 바와 같이, 본 발명은 디바이스들과 자동 구성 서버 사이에 임의의 수의 로드 밸런서들을 갖는 브로드밴드 네트워크들에 대해 유효하며, 이는 본 발명이 "n"에 대한 임의의 값으로 적용될 수 있음을 의미한다.
이제 이하에서는, 본 발명의 원리를 사용하는 가능한 글로벌 절차의 작동을 추가로 나타내기 위해 다수의 예들이 제공된다.
n에 대해 상이한 값들을 갖는 상이한 네트워크 토폴로지들이 설명된다. n의 상이한 값들에 대한 적용가능한 토폴로지는 도 1을 따를 수 있다:
n = 0 ACS를 향한 디바이스들로부터의 점선에 선행하는 전체 라인의 시퀀스; 및
n = 1 LB1을 통한 디바이스들로부터의 전체 라인 및 ACS를 향한 점선/스트라이프 라인의 시퀀스; 및
n=2 LB1 및 LB2를 통한 전체 라인.
게이트웨이들 및 게이트웨이 뒤의 디바이스들에 대한 예들이 매번 제공된다.
매번, 먼저 (a) 정규 상황이 설명된다, 즉 정규 거동 및 무 스푸핑이 도입된다. 둘째로 (b) 일 레벨의 스푸핑이 기술되고 설명된다. 이러한 스푸핑은 CWMP 레벨 상에 도입된다. 통지 메시지 내의 IP 어드레스 또는 게이트웨이 식별자가 스푸핑된다. 마지막으로 (c) 2 레벨의 스푸핑이 도입된다, 즉, (b)에서와 유사하고, 추가로 X-포워디드 포 필드의 레벨에서 또한 도입된다.
I. 토폴로지 n=0
1) TR069 게이트웨이 디바이스들: ACS에 직접 결합된 (CPE1, CPE2)
a) 정규: GW는 CPE1(IP1)로부터 ACS로 메시지를 통지한다 :
비교: CWMP로부터의 IP@(= IP1)를 IP 계층 소스 IP@(=IP1)와 비교 => ok
b) CPE2(IP5)에 의한 스푸프: 거짓(IP1) GW는 CPE2(IP5)로부터 ACS로 메시지를 통지한다:
비교: CWMP로부터의 IP@(= IP1)를 IP 계층 소스 IP@(=IP5)와 비교 => 스푸프
c) CPE2(IP5)에 의한 스푸프: 거짓(IP1 및 XFF(IP1)) GW는 CPE2(IP5)로부터 ACS로 메시지를 통지한다 => XFF(IP1)
비교: CWMP로부터의 IP@(=IP1)를 IP 계층(n=0)으로부터의 IP@(=IP5)외 비교 => 스푸프
2) 자신의 GW를 통해 ACS에 직접 결합된 TR069 LAN 디바이스들(DEV1, DEV2, DEV3)
a) 정규: 디바이스는 DEV1(IP4)로부터 CPE(IP1)를 통해 ACS로 메시지를 통지한다:
비교: CWMP로부터의 룩업된 GW IP@(= IP1)를 IP 계층 소스 IP@(=IP1)와 비교 => ok
b) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1) 디바이스는 DEV3으로부터 ACS로 메시지를 통지한다:
비교: CWMP로부터의 룩업된 GW IP@(= IP1)를 IP 계층 소스 IP@(=IP5)와 비교 => 스푸프
c) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1 및 XFF(IP1)) 디바이스는 DEV3으로부터 ACS로 메시지를 통지한다 => XFF(IP1)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 IP 계층(n=0)으로부터의 IP@(=IP5)와 비교 => 스푸프
Ⅱ. 토폴로지 n=1
1) LB1을 통해 ACS에 결합된 TR069 게이트웨이 디바이스들(CPE1, CPE2)
a) 정규: GW는 CPE1(IP1)로부터 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP1)
비교: CWMP로부터의 IP@(=IP1)를 n=1을 갖는 XFF IP@(=IP1)와 비교 => ok
b) CPE2(IP5)에 의한 스푸프: 거짓(IP1) GW는 CPE2(IP5)로부터 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP5)
비교: CWMP로부터의 IP@(=IP1)를 n=1을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
c) CPE2(IP5)에 의한 스푸프: 거짓(IP1 및 XFF(IP1)) GW는 CPE2(IP5)로부터 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP1, IP5)
비교: CWMP로부터의 IP@(=IP1)를 n=1을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
2) 자신의 GW를 통해 LB1을 통해 ACS에 결합된 TR069 LAN 디바이스들(DEV1, DEV2, DEV3)
a) 정규: 디바이스는 DEV1(IP4)로부터 CPE1(IP1) 및 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP1)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=1을 갖는 XFF IP@(=IP1)와 비교 => ok
b) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1) 디바이스는 DEV3으로부터 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP5)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=1을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
c) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1 및 XFF(IP1)) 디바이스는 DEV3으로부터 LB1(IP2)을 통해 ACS로 메시지를 통지한다 => XFF(IP1, IP5)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
Ⅲ. 토폴로지 n=2
1) LB1 및 LB2를 통해 ACS에 결합된 TR069 게이트웨이 디바이스들(CPE1, CPE2)
a) 정규: GW는 CPE1(IP1)로부터 LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP1, IP2)
비교: CWMP로부터의 IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP1)과 비교 => ok
b) CPE2(IP5)에 의한 스푸프: 거짓(IP1) GW는 CPE2(IP5)로부터 LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP5, IP2)
비교: CWMP로부터의 IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
c) CPE2(IP5)에 의한 스푸프: 거짓(IP1 및 XFF(IP1)) GW는 CPE2(IP5)로부터 LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP1, IP5, IP2)
비교: CWMP로부터의 IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
2) 자신의 GW를 통해 LB1 및 LB2를 통해 ACS에 결합된 TR069 LAN 디바이스들(DEV1, DEV2, DEV3)
a) 정규: 디바이스는 DEV1(IP4)로부터 CPE1(IP1), LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP1; IP2)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP1)과 비교 => ok
b) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1) 디바이스는 DEV3으로부터 LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP5, IP2)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
c) DEV3에 의한 스푸프: 거짓(게이트웨이 식별자 = CPE1 및 XFF (IP1))
디바이스는 DEV3으로부터 LB1(IP2) 및 LB2(IP3)을 통해 ACS로 메시지를 통지한다 => XFF(IP1, IP5, IP2)
비교: CWMP로부터의 룩업된 GW IP@(=IP1)를 n=2을 갖는 XFF IP@(=IP5)와 비교 => 스푸프
본 발명의 실시예들은 앞서 기능 블록들의 관점에서 설명되었음을 마지막으로 주목한다. 전술한 이러한 블록들의 기능적 설명으로부터, 이러한 블록들의 실시예들이 널리 공지된 전자 컴포넌트들로 어떻게 제조될 수 있는지는 전자 디바이스들을 설계하는 본 기술분야의 통상의 기술자에게 자명할 것이다. 따라서 기능 블록들의 내용들에 대한 상세한 아키텍처는 제시되지 않았다.
본 발명의 원리들은 특정 장치와 관련하여 앞서 설명되었지만, 이러한 설명은 단지 예로서 이루어지며 첨부된 청구항들에 정의된 바와 같은 본 발명의 범위를 제한하지 않는다는 것이 명백히 이해되어야 한다.
Claims (4)
- 적어도 하나의 홈 네트워크에서, 브로드밴드 네트워크 내의 적어도 하나의 로드 밸런서(LB1, LB2, ...)를 통해 적어도 하나의 게이트웨이 디바이스(CPE1, ..)를 포함하는 적어도 하나의 디바이스(DEV1, CPE1, ...)에 결합되는 자동 구성 서버(ACS)에 의한 실행을 위해 인터넷 프로토콜 어드레스 스푸핑을 방지하는 방법 - 상기 방법은 하이퍼텍스트 전송 프로토콜(http)의 최상부 상의 CPE WAN 관리 프로토콜(CWMP)을 사용하여 상기 디바이스를 원격으로 관리하는 단계를 포함함 - 으로서, 상기 디바이스로부터 CWMP 통지 메시지를 수신하는 단계 및
CWMP 데이터 모델 파라미터에 따라 상기 메시지로부터 상기 게이트웨이 디바이스의 공개 IP 어드레스(IP-Public)를 결정하는 단계;
상기 통지 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded For 필드(XFF)로부터 포워딩된 IP 어드레스(IP-Forw)를 검색하는 단계; 및
상기 공개 IP 어드레스(IP-Public)를 상기 포워딩된 IP 어드레스(IP-Forw)와 비교하고 그에 기초하여 스푸핑이 존재하는지를 결정하는 단계
를 포함하는 상기 방법에 있어서,
상기 자동 구성 서버(ACS)에 도달하기 위해 상기 CWMP 메시지들이 통과하는 상기 브로드밴드 네트워크 내의 네트워크 토폴로지에 따라 상기 적어도 하나의 로드 밸런서들(LB1, LB2)의 수(n)를 미리 결정하고;
n번째 맨 마지막(n-most last) IP 어드레스의 함수 내의 상기 X-Forwarded For 필드(XFF)에서 상기 포워딩된 IP 어드레스(IP-Forw)를 선택하는
것에 의해 상기 검색하는 단계를 실행하는 것을 특징으로 하는 방법. - 제1항에 있어서, 상기 CWMP 통지 메시지가 게이트웨이 통지 메시지인 경우, 그에 의해 상기 결정하는 단계는 :
상기 메시지의 전송자의 IP 어드레스 필드로부터 상기 CWMP 데이터 모델 파라미터에 따라 상기 공개 IP 어드레스(IP-Public)를 검색하는 단계를 포함하는 것을 추가로 특징으로 하는 방법. - 제1항에 있어서, 상기 CWMP 통지 메시지가 LAN 디바이스 통지 메시지인 경우, 그에 의해 상기 결정하는 단계는,
상기 CWMP 데이터 모델 파라미터에 따라 상기 메시지로부터 게이트웨이 식별자(GW-ID)를 검색하는 단계; 및
상기 자동 구성 서버의 데이터 저장소(MEM)로부터 상기 게이트웨이 식별자에 기초하여 상기 공개 IP 어드레스를 룩업하는 단계
를 포함하는 것을 추가로 특징으로 하는 방법. - 적어도 하나의 홈 네트워크에서, 브로드밴드 네트워크 내의 적어도 하나의 로드 밸런서(LB1, LB2, … )를 통해 적어도 하나의 게이트웨이 디바이스(CPE1, … )를 포함하는 적어도 하나의 디바이스(CPE1, DEV1, …)에 결합되는, 인터넷 프로토콜 어드레스 스푸핑을 방지하는 자동 구성 서버(ACS) - 상기 자동 구성 서버(ACS)는 하이퍼텍스트 전송 프로토콜(http)의 최상부 상의 CPE WAN 관리 프로토콜(CWMP)에 의해 상기 디바이스를 원격으로 관리하도록 인에이블됨 - 로서,
상기 디바이스로부터 CWMP 통지 메시지(INFORM)를 수신하는 수신기(REC);
CWMP 데이터 모델 파라미터에 따라 상기 메시지로부터 상기 게이트웨이 디바이스의 공개 IP 어드레스(IP-Public)를 결정하는 결정기(DET);
상기 통지 메시지의 http 레벨에서 http 헤더 필드 내의 X-Forwarded For 필드(XFF)로부터 포워딩된 IP 어드레스(IP-Forw)를 검색하는 검색기(RET); 및
상기 공개 IP 어드레스(IP-Public)를 상기 포워딩된 IP 어드레스(IP-Forw)와 비교하고 그에 기초하여 스푸핑이 존재하는지를 결정하는 비교기
를 포함하는 상기 자동 구성 서버에 있어서,
상기 검색기(RET)는 n번째 맨 마지막 IP 어드레스의 함수 내의 상기 X-Forwarded For 필드(XFF)에서 상기 포워딩된 IP 어드레스(IP-Forw)를 선택하도록 인에이블되고, 상기 수(n)는 상기 자동 구성 서버(ACS)에 도달하기 위해 상기 CWMP 메시지들이 통과하는 상기 브로드밴드 네트워크 내의 네트워크 토폴로지에 따라 상기 적어도 하나의 로드 밸런서들(LB1, LB2)의 미리 결정된 수인 것을 특징으로 하는 자동 구성 서버(ACS).
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15306380.5A EP3142322B1 (en) | 2015-09-10 | 2015-09-10 | Auto configuration server and method |
| EP15306380.5 | 2015-09-10 | ||
| PCT/EP2016/070489 WO2017042069A1 (en) | 2015-09-10 | 2016-08-31 | Auto configuration server and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20180038033A true KR20180038033A (ko) | 2018-04-13 |
Family
ID=54147114
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020187006658A KR20180038033A (ko) | 2015-09-10 | 2016-08-31 | 자동 구성 서버 및 방법 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10924507B2 (ko) |
| EP (1) | EP3142322B1 (ko) |
| JP (1) | JP6574057B2 (ko) |
| KR (1) | KR20180038033A (ko) |
| CN (1) | CN108028835B (ko) |
| WO (1) | WO2017042069A1 (ko) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737176B (zh) * | 2018-05-20 | 2021-10-22 | 湖北九州云仓科技发展有限公司 | 一种数据网关控制方法、电子设备、存储介质及架构 |
| CN108667669B (zh) * | 2018-05-21 | 2021-08-24 | 京信网络系统股份有限公司 | 多版本数据模型兼容的方法、装置及系统 |
| CN110213340A (zh) * | 2019-05-10 | 2019-09-06 | 北京星网锐捷网络技术有限公司 | 箱式交换机的云管理方法、交换机、服务器及平台 |
| CN112714140B (zh) * | 2019-10-24 | 2023-04-07 | 海信电子科技(武汉)有限公司 | 数据传输方法、装置及系统 |
| CN111726367B (zh) * | 2020-06-30 | 2022-11-11 | 锐捷网络股份有限公司 | 一种用户设备cpe接入绑定方法、装置、系统及设备 |
| CN112671698A (zh) * | 2020-08-17 | 2021-04-16 | 紫光云技术有限公司 | 一种防止公有云环境中waf被绕过的方法 |
| CN112422577B (zh) * | 2020-11-25 | 2021-12-24 | 北京微步在线科技有限公司 | 预防原始地址欺骗攻击的方法,装置、服务器和存储介质 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6389448B1 (en) * | 1999-12-06 | 2002-05-14 | Warp Solutions, Inc. | System and method for load balancing |
| US6982976B2 (en) * | 2000-08-11 | 2006-01-03 | Texas Instruments Incorporated | Datapipe routing bridge |
| US7574508B1 (en) | 2002-08-07 | 2009-08-11 | Foundry Networks, Inc. | Canonical name (CNAME) handling for global server load balancing |
| US7391748B2 (en) * | 2002-10-15 | 2008-06-24 | Cisco Technology, Inc. | Configuration of enterprise gateways |
| US7505450B2 (en) * | 2005-03-23 | 2009-03-17 | Cisco Technology, Inc. | Configuration of failure and acquire timeouts to facilitate recovery from failures in hierarchical mesh networks |
| EP1873673A4 (en) * | 2006-03-29 | 2011-05-18 | Bank Of Tokyo Mitsubishi Ufj | USER VERIFICATION DEVICE, METHOD, AND PROGRAM |
| PL1990952T3 (pl) * | 2007-05-07 | 2014-01-31 | Alcatel Lucent | Moduł aplikacji oraz serwer zarządzania zdalnego z modelem opisu parametrów |
| CN101383812A (zh) * | 2007-09-03 | 2009-03-11 | 电子科技大学 | 基于活动IP记录的IP欺骗DDoS攻击防御方法 |
| EP2107716B1 (en) * | 2008-04-04 | 2011-06-15 | Alcatel Lucent | Automatic configuration of a network device by an automatic configuration server by means of a Remote Management Protocol |
| US8806630B2 (en) * | 2008-05-13 | 2014-08-12 | At&T Intellectual Property, I, L.P. | Methods and apparatus for intrusion protection in systems that monitor for improper network usage |
| EP2159961B1 (en) * | 2008-09-01 | 2013-12-11 | Alcatel Lucent | Method, device and module for optimising the remote management of home network devices |
| CN101989975A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种分布式非法计算机接入的阻断方法 |
| WO2011117193A2 (en) * | 2010-03-22 | 2011-09-29 | Koninklijke Kpn N.V. | System and method for handling a configuration request |
| CN103039037B (zh) * | 2010-06-21 | 2016-08-24 | 德国电信股份公司 | 用于有效地管理电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统 |
| CN102437938B (zh) * | 2012-01-09 | 2013-11-13 | 北京邮电大学 | 面向大规模网络监测的虚拟化部署系统和方法 |
| EP2782316A1 (en) * | 2013-03-18 | 2014-09-24 | Koninklijke KPN N.V. | Localizing and placement of network node functions in a network |
| CN104539625B (zh) * | 2015-01-09 | 2017-11-14 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
-
2015
- 2015-09-10 EP EP15306380.5A patent/EP3142322B1/en active Active
-
2016
- 2016-08-31 KR KR1020187006658A patent/KR20180038033A/ko not_active Application Discontinuation
- 2016-08-31 WO PCT/EP2016/070489 patent/WO2017042069A1/en active Application Filing
- 2016-08-31 JP JP2018512935A patent/JP6574057B2/ja active Active
- 2016-08-31 US US15/753,451 patent/US10924507B2/en active Active
- 2016-08-31 CN CN201680051729.9A patent/CN108028835B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP6574057B2 (ja) | 2019-09-11 |
| WO2017042069A1 (en) | 2017-03-16 |
| JP2018526936A (ja) | 2018-09-13 |
| CN108028835A (zh) | 2018-05-11 |
| US10924507B2 (en) | 2021-02-16 |
| EP3142322B1 (en) | 2018-04-25 |
| EP3142322A1 (en) | 2017-03-15 |
| CN108028835B (zh) | 2020-08-07 |
| US20180241772A1 (en) | 2018-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6574057B2 (ja) | 自動構成サーバおよび方法 | |
| US11240064B2 (en) | System and method for a global virtual network | |
| US11329840B2 (en) | Voice control of endpoint devices through a multi-services gateway device at the user premises | |
| US10805325B2 (en) | Techniques for detecting enterprise intrusions utilizing active tokens | |
| US8949459B1 (en) | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers | |
| CN1965309B (zh) | 中继设备确定方法和系统 | |
| US6754622B1 (en) | Method for network address table maintenance in a data-over-cable system using destination reachibility | |
| US9210273B2 (en) | Method, system and apparatus for provisioning a communication client | |
| EP3720100A1 (en) | Service request processing method and device | |
| US20090168787A1 (en) | Method and Apparatus for Rapid Session Routing | |
| US20190215308A1 (en) | Selectively securing a premises network | |
| EP3739843A1 (fr) | Procédé de communication udp via des chemins multiples entre deux terminaux | |
| CN106716939B (zh) | 数据流递送中改进的qos | |
| US20070274274A1 (en) | Open wireless access point detection and identification | |
| US20170104630A1 (en) | System, Method, Software, and Apparatus for Computer Network Management | |
| US20110051932A1 (en) | Synchronizing management signaling in a network | |
| US8776237B2 (en) | Method and apparatus for end-to-end security in a heterogeneous network | |
| WO2017028391A1 (zh) | 虚拟网络通信的方法及装置 | |
| US8780891B2 (en) | Multimedia content sharing via audio-video communication | |
| JP2010268356A (ja) | ゲートウェイ装置、中継方法、中継プログラム及び記録媒体 | |
| CN114499965B (zh) | 一种基于pop3协议的上网认证方法及系统 | |
| US8804498B2 (en) | Methods for sending and processing an SIP response | |
| CN113676540B (zh) | 一种连接建立方法及装置 | |
| Beverly et al. | An Internet Heartbeat | |
| EP1557978B1 (en) | A security management method for an integrated access device of network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |