TWI282221B - Method for filtering Internet protocol packet in customer premise equipments for digital subscriber lines - Google Patents
Method for filtering Internet protocol packet in customer premise equipments for digital subscriber lines Download PDFInfo
- Publication number
- TWI282221B TWI282221B TW091115749A TW91115749A TWI282221B TW I282221 B TWI282221 B TW I282221B TW 091115749 A TW091115749 A TW 091115749A TW 91115749 A TW91115749 A TW 91115749A TW I282221 B TWI282221 B TW I282221B
- Authority
- TW
- Taiwan
- Prior art keywords
- packet
- internet protocol
- network
- ethernet
- address
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000001914 filtration Methods 0.000 title claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims description 11
- 238000012360 testing method Methods 0.000 claims description 2
- 230000000977 initiatory effect Effects 0.000 claims 3
- 238000001514 detection method Methods 0.000 claims 2
- 230000000903 blocking effect Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 9
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 206010011469 Crying Diseases 0.000 description 1
- 101150065510 adsl-1 gene Proteins 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000012925 reference material Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
1282221 五、發明說明(1)
本發明參考且已被併為本案的參考文獻-也就是本人 申請的專利申請案,名稱是π數位用戶線客戶端設備中過 濾網際網路協定封包之方法(METHOD FOR FILTERING INTERNET PROTOCOL PACKET IN CUSTOMER PREMISE EQUIPMENT OF DIGITAL SUBSCRIBER LINE)n ,其已在 2001 年8月29日對南韓工業財產局(Korean Industrial Property Office)提出申請,指定序號為No. 5 2 3 1 6/2 0 0 1。而在此基於35 U.S.C· #119來宣告本案的法 律權益。
% 本發明是關於一被連接在一個人電腦(PC)及一數位用 戶線(Dig i tal Subscriber Line, n DSL,f )間的客戶端設備 (Customer Premise Equipment, ,fCPEn),更明確的說是 關於一個在數位用戶線客戶端設備中過濾網際網路協定 U n t e r n e t P r 〇 t 〇 c ο 1, π I Ρπ )封包的方法。
一般來說’ DSL ’或稱做n xDSLn,是一高速率的調制 解调技術 而且疋一直持續的發展中以迎合超快網際網路 連線f規模市場業務需求的增加。易言之,此DSL是'j普 及的貢料網路服務可用於在限定的距離内而僅使用雙絞線 =’來支擇所需的頻寬。XDSL是各種不同DSL服務的通 稱’例如非對稱數位用戶線(ADSL),高位元率數位用卢線 單線數位用戶線(SDSL),單對高速率數位用戶線 )’通用數位用戶線UDSL),或是非常高資料率數
第5頁 1282221 五、發明說明(2) 位用戶線(VDSL)。一 ADSL系統可當作xDSL相關技術的一範 例,其包括了位在一中央辦公室的一 ADSL傳接器單元中央 部分(ADSL Transceiver Unit-Central ; ”ATU-C’’),而 ADSL傳接器單元遙控部分(ADSL Transceiver Unit-Remot ; n ATU-Rn )其對應於位在一用戶區域的客戶端 設備經由ADSL以傳統的雙絞線而彼此相連。此ATU-R於是 經由乙太網路連接而被連上一個人電腦(PC)。最後,此pc 使用者經ATU-R藉ADSL及ATU-C而連接到比如網際網路的一 網路上。 另 方面,此ATU-R也可以操作在 i尸路甶模式或是 一橋接模式,但大多數的情形來說,是使用橋接模式。之 前,此ATU-R是被用來分析由此在路由模式中所傳接 的一 IP封包,並根據一過濾規則來控制此Ip封包。 說,^ ATU-R僅可以在此Ip路由模式中來操作此ιρ封包^ 濾,所以右有一外來侵入者好比橋接模式的一駭客, ATR-U便不能對此侵入者執行監視或是控制' 如同之前所解釋的,此ΑΤυ —R,即 一 題,則是由於它僅可以在IW由模式 i f問 滤二而不能在橋接模式中監視或是控制此二上封i過、 指疋給此橋接模式中之CPE的此! p,若又入者,祐 會變成完全的對此外來侵 *路到外界時,便 k入者開放而無任何保護。
Μ不發 … μ〜《 Μ疋要提供一 設備中特別是摔作在捧 疋保忭在橋接模式中的 客戶端 封包,
網際網S
1282221 五、發明說明(3) 藉此來免除任何外來的侵入者。 本發明的另一目的則是當過濾此網際網路協定封包 時’讓使用者有能力去選擇過濾此一網際網路封包的方 法。 本發明的再一個目的則是當此網際網路協定封包已被 接收但卻未曾被註冊時提供一警報。
為獲得上述及其他的目的,本發明的一較佳的具體實 施例提供了在一客戶端設備中過濾一網際網路協定封包的 方法,此一方法包括了一系列的步驟如下:藉由根據經 xDSL的一個人電腦之連存取網際網路來分析要被傳送到另 一用戶的I P封包來偵測一網際網路協定(I P )位址;將此目 的地ip位址註冊到一預定的許可表中;在經由xDSL來接收 此I P封包時偵測此I p封包的一來源I P位址;並檢查是否此 來源I P位址是按時地被註冊到此許玎表中,用來僅有當此 來源ϊ P位址已經被註冊過後經由此p C通過此對應〗p封包, 並且若此來源I P位址不曾被註冊過時用來阻斷此對應的! p 封包。
本發明的更完整的了解,以及其中伴隨的優點當藉由 蒼考下列的細節描述跟隨附於此的圖式將會是顯而易見而 且更容易暸解,其中相似的參考符號指出相同或類似的组 件。 、 圖 請參閱圖式,第 。請參考第一圖, 是為xDSL範例的—ADSL系統示意 此ADSL傳接器 早元中央(ATU-C)102係 1282221 五、發明說明(4) 被設置在中央辦公室,而ADSL傳接器單元遙控部分 (ATU-R)l〇3其係因對應到客戶端設備(CPE)而被設置在一 用戶區域而且以習用的雙絞線經由ADSL而彼此互相連接。 此ATU-R 104則是經由一乙太連接ι10而連接到一 pc 1〇6。 最後,此PC 10 6的使用者則經ATU-R 104而由ADSL 108及 ATU-C 102而被連存取一網路;[〇 〇好比一網際網路。 另一方面,此ATU-R 104也可以一 1?路由模式或是一 $接模式來操作,但就大多數的情況來說,則是使用橋接 模式。早前,僅在路由模式中此ATU — R是被用來分析來自 於此PC的一 IP封包,並根據過濾規則來控制此lp封包。也
就是說,此ATU-R僅可以在IP路由模式中操作IW包的過 濾,所以,在橋接模式中如果有外來的侵入者,好比駭 客,此ATU-R便不能對侵入者進行監控。 本毛明的一較佳的具體貫施例現在藉由參考隨附的圖 式來說明。在下述中,圖式中相同的參考標數就算是用在 是用來指出相同的元件。在敘述中所定義的 θ 疋來幫助對本發明的了解。所以,顯而易見的 疋本毛明可不以此等被定義的事物而予以實踐。另外,眾
所週2的功能或結構將不予詳細的描述,因為這些非必要 的細節將會模糊本發明的焦點。 /第,疋個ADSL系統的示意圖,它是本發明的xDS 糸統的一範例。請炎去楚-闻 ατπ-ΓΜΐ 抓 考弟一圖,一 ADSL傳接器單元中央 &邱八置在一中央辦公室,一 ADSL傳接器單元遠 控W刀(ATU-R) 153其係對應於設置在一用戶區域的客戶
1282221 五、發明說明(5) 端設備(CPE)而使用傳統的雙絞線經由aDSL 158而彼此互 相連接。此人1'11-1^154則經由一乙太網路連接16〇而連到一 PC 156。隶後,此 pc 15 6使用者藉 ADSL 15 8 及 ATU-C 152 經由A T U - R 1 5 4而連接到’比如一網際網路的一網路1 $ 〇。 本發明的此較佳的具體實施例特別以一非對稱數位用戶線 也就是一 xDSL的範例,而予以具體化。 第二圖是一方塊圖其所示係根據於第二圖所示之本發 明的一一般形式的ADS L傳接器單元遙控部分(atu-R)
154。請參考第三圖,一傳輸線介面單元2〇〇接收一發自於 ADSL 158的一類比訊號並輸出此訊號到一 aDSl類比數位 轉換器(ADSL A-D converter) 2 04。此 ADSL A-D轉換器
2 0 4可以進行類比轉數位(A / D)轉換以及數位轉類比(d / a ) 轉換。被輸入到此ADSL A-D轉換器2 04的此類比訊號於是 經由一 A D S L傳輸線驅動器2 0 2被傳送到此a D S L 1 5 8。此 A D S L A - D轉換器2 0 4也將由一傳輸線介面單元2 〇 〇輸入的類 比訊號轉換成一數位訊號,並將此數位訊號輸出到一 ADSL 數位訊號處理器(DSP) 2 0 6。被輸入到此ADSL DSP 2 0 6的此 數位訊號經由此ADSL A-D轉換器2 0 4再一次的被轉換成一 類比訊號後被輸出到此A D S L傳輸線驅動器2 0 2。同時,此 ADSL DSP 2 0 6,被連接到一控制處理器2 0 8,一快閃記憶 體2 1 2,以及動態隨機存取記憶體(DRAM) 2 0 8,來進行 ATU-R 1 54的數位用戶線訊號的處理操作。此處,此控制 處理器2 0 8係跟此ADSL DSP 2 0 6,此快閃記憶體2 1 2,此 DRAM 214,還有一乙太網路介面單元21 0等相連接,其功
第9頁 1282221 五、發明說明(6) 能如同一主控制器。此乙太網路介面單元2 1 0,如同一乙 太網路連接1 1 0,而被連接到一個人電腦 (PC ) 1 5 6。另 外,此快閃記憶體2 1 2儲存了此控制處理器2 0 8的一操作程 式及其他種類的參考資料。最後,此DRAM 2 1 4暫時地儲存 此DSL DSP 2 0 6及此控制處理器2 0 8的操作資料。 第四圖是一流程圖其所舉的是本發明的一操作程序, 將在控制處理器2 0 8的I P封包過濾過程分割成步驟S3 〇 〇到 S314。首先,當一 PC 15 6的使用者經由ADSL 15 8而連接到 一網際網路並傳送此I P封包到另一^用戶時,此控制處理哭
2 0 8便對需求回應(S300)’並分析此從PC 15 6要被傳送到
另一用戶的I P封包來確認一目的地I P位址,也就是說,此 IP封包經由此乙太網路連接160而被接收(S3 0 2 )。此處, 就此A T U - R 1 5 4系統來說,它總是可能去债測另一用戶的 I P位址,易言之,此目的地I P位址因為此p C 1 5 6使用者是 第一個知:出要求與另一用戶通訊’所以讓此PC 15 6得以連 上此網際網路。所以’此被確認或是被鑑定的I p位址於是 被註冊到一如下所示的比如表1的一許可表中(s 3 〇 4 ),之 後它便被安排於此典型I P封包傳送過程中,而此步驟S 3 〇 〇 則再次起始。此許可表是準備好用來參考此I p位址,特別 是當此IP封包是經由此ADSL 158來接收的情況,且僅有此 I P封包是從其他用戶的此PC 1 5 6使用者正要進行_通訊時 而被接收,或是經由均勻網域資源定位器(網域名稱) (Uni form Resource Locator ; URL)而來接收,皆應該被 許可通過此PC 156。此許可表一般來說是儲存在DRAM 214
第10頁
1282221 五、發明說明(7) 之中。 [表一]
No. I P位址 1 I P位址 1 2 I P位址 2 • •
之後,當此I P封包是經由此ADSL 1 5 8來接收時,此響 應便被促成(S 3 0 6 ),而此被接收的I p封包的來源I p位址於 是被偵測(S 3 0 8 ),且不論是否已被註冊到如上(s 3 1 0 )所示 的許可表中,此來源I P位址也會被檢查。若此來源I p位址 已經被註冊到此許可表中,此歷經典型I p封包接收程序的 此對應的I P封包,於是經由此乙太網路連接1 β 〇 ($ 3 1 2 )而 被傳送到PC 1 5 6,之後步驟S3 0 0便再一次開始。
反之,若此來源I P位址不曾被註冊到此許可表中,此 對應的I P封包便被阻斷且不會在被傳送到此Pc丨5 6 (S3 1 4 ),然後步驟S3 0 0便再次啟動。此一結果藉由送出一 警報來立即通知此p C 1 5 6的使用者。就發出一警報的方式 末^兒了讓ATU-R 10 4上的一發光一極體(LED)閃爍,或者 一控制台的訊息可以顯示在此PC的監視器上或是傳送一严 電子郵件來警告使用者。 77 所以,異於路由模式的分析並處理所有的Ip封包,此 執行於一橋接模式的ATU-R可以藉由確認此IP封包的1?位
1282221 五、發明說明(8) 址而簡單的實踐I p封包過濟程床 m LL , 愿%序,而因此避免任何外來的 铋入者且不會影響此橋接模式的整體表現。 水的 在此同時,當此PC 1 5 6使用者經由ADSL 1 5 8連接到此
網際網路,則要被傳送到另一 J 用戶的此I P封包便被包括到 it網路封包中,誠如第五圖所示,然後經由乙太網路 160從PC 156被傳送到此ATU_R 1〇4。此乙太網路封包 ,吊被分割成兩類型,其中—種是在此乙太網路期間階段 封包的點對點協定(PPPoE),另一種則是Ip封包。依據此 乙太網路類型,從此乙太網路起頭來的j ?封包的起始位置 會不同。因此,根據此乙太網路封包的類型,對不同的乙 太網路位置,一不同的目的地I ρ位址將會被偵測到。 第五圖特別表示出依據一在RFC中的一註解請求 (Request for Comment; RFC) 2516的一乙太網路框架格 式圖,此跟與網際網路相結合的所有大小類型的文件相 關。一般來說,此乙太網路框架格式包括了 一乙太網路起 頭’此起頭是由六個八位元目的地位址, D E S T I N A T I 0 N _ A D D R,六個八位元來源位址, SOURCE_ADDR’還有兩個八位元乙太網路封包類型, ETHER一TYPE,一個跟隨於此乙太網路起頭的有效負載,還 有一個總合檢驗值(checksum)等所組成。如前所述,此乙 太網路封包,是被分割成此PPPoE期間階段封包及此I ρ封 包。此處,若此£丁1^8_丁¥?£值若是0又8864,此乙太網路封 包類型便屬於PPPoE期間階段封包,然而若此ETHER_TYPE 值是0x8 8 0 0,那麼此乙太網路封包類型便屬於此I ρ封包。
1282221 五、發明說明(9) 就此乙太網路封包類型是I P封包的情況來說,一個如 第六圖所式的具有一 RFC 7 9 1格式的一 I P起頭則緊隨於第 五圖所示的此乙太網路起頭之後。就此方式來說,此目的 地I P位址4 0 4係由如第六圖所示的此I P起頭處被偵測,它 就緊隨於此乙太網路起頭之後。在第六圖中的參考數標 4 0 0下的數目從〇 〇到3 1是表示位元(b i t s )是從0到3卜
反之,若此乙太網路封包類型變成PPPoE期間階段封 包,一 I P起頭成如第六圖所示的,在此RFC 251 6格式一直 是Ox???值時,則緊隨於遠離於此長度域LENGTH的下一個 位置處。這裡,如第七圖所式的此乙太網路起頭佔據了如 同ETHER —TYPE = 0x8864—般多的位置,即跟如同第五圖所 示的乙太網路起頭同樣多。也就是說,下一個IP起頭會在 某一個預定的偏位,其量則是六個八位元之和後跟隨,此 等域的長度,也就是v,t,CODE,出自於乙太網路起頭的 SESSION-_ID,跟Ox???之值,便是此域LENGTH的長度。所 以,如果此乙太網路封包類型是PPPoE期間階段封包,此 目的地I P位址4 0 4可以從如第六圖所示的此I P起頭來偵 測’而此位址是來自於位在此預定偏位之後的乙太網路起
頭。 此外’彳貞測此來自於經由此A D S L 1 5 8所接收到的此I P 封包可以藉由偵測此來自於此I P起頭的來源I p位址4 〇 2而 完成,就如同於如第六圖所示的此被接收的I P封包一般。 到目前,雖然已解釋過本發明的此較佳具體實施例, 任何於此發明範圍内的修改皆可以實現。特別是,本發明
第13頁 1282221 五、發明說明 引入了阻 許可表的 將此方法 用者要求 過程本身 是選擇是 可以在此 包過濾過 個範例, 橋接模式 雖然 但是它們 變化就熟 都是顯而 修改或變 神0 (10)
斷此I P封包的方法並在接收到此不曾被註冊到此 I P封包的情況時發出警報,不過我們也可以決定 排除。另外,根據本發明,此I P封包過濾僅在使 時才進行,並且使用者可以選擇性的指定此過濾 。最後,此使用者,經由此P C 1 5 6,可以決定或 否要執行此I P封包過濾,或是若有需要的話,也 ATU-R 154内安裝一高低切換開關來選擇此IP封 程。就算是此ADSL已經被用來當作是此xDSL的一 然而就需要性來說,此等相同的方式也可以用在 的I P封包過濾。 本發明已經以各種不同的具體實施例加以說明, 皆僅是範例而已。因此,任何的變動,修改或是 習此等技藝之人士在之前的細節描述的啟發之下 易見的。前面的敘述指示是要讓大家領悟所有的 化皆不脫本發明於此所附的申請專利之範圍及精
第14頁 1282221
圖式簡單說明 第一圖是一示意圖其所示係早期技藝的一非對稱數位用戶 線(ADSL)系統; 第二圖是一示意圖其所示係根據本發明的一非對稱數位用 戶線(ADSL)系統; 第三圖是一方塊圖其所示是一根據本發明的一般的ADSL傳 接器單元遙控部分(ATU-R); 第四圖是一流程圖其所示是根據本發明的一較佳具體實施 例的過濾一網際網路協定(I P)封包的方法中的不同步驟;
第五圖所示是根據本發明的一註解請求(Request for Comment; RFC)的一乙太網路框架格式2516; 第六圖所示是一根據RFC791的一 IP起頭格式; 第七圖所示是一根據RFC25 16的一封包袼式。 元件符號說明: 位元bits, 0〜31 網路 1 0 0,1 5 0 傳接器單元中央部分ATU-C,102,152 傳接器單元遙控部分ATU-R,103,104,153,154
個人電腦 PC, 106, 156, S314 非對稱數位用戶線ADSL,108,158 乙太網路連接11〇,160,S312 傳輸線介面單元2 0 0 傳輸線驅動器2 〇 2 類比數位轉換器ADSL A-D,204
第15頁 1282221 圖式簡單說明 數位訊號處理器DSP,206 控制處理器/動態隨機存取記憶體DR AM,2 0 8,2 1 4 乙太網路介面單元210 快閃記憶體2 1 2 參考數標4 0 0 網際網路協定I P,4 0 2,4 0 4 註解請求RFC,791 乙太網路框架格式/註解請求 2 5 1 6
客戶端設備CPE 總合檢驗值c h e c k s u m
數位用戶線DSL
目的地位址 DESTINATION_ADDR
數位轉類比D/A
封包類型ETHER_TYPE
高位元率數位用戶線HDSL
發光二極體LED
長度域LENGTH
點對點協定PPPoE
單線數位用戶線SDSL
單對高速率數位用戶線SHDSL
來源位址SOURCE_ADDR
通用數位用戶線UDSL
均勻網域資源定位器(網域名稱)URL 高資料率數位用戶線VDSL
Claims (1)
- >1282221从,·η. 从….‘.从及".“》·-讲寶病康-一 申請專利範圍 1 · 一用來過濾一連接到_個 客戶端設備中的一網際網路協定自一位用戶線間的 ^接板式中,該方法包括的步驟有: "呆作在 备該個人電腦的一使用者經由 網路時,ϋ由分析要被傳送=數::戶線連接到-網際 封包來摘測一目的地網際網二 =二的該網際網路協定 4冊該目的地網際網路協定彳 在經由該數位用戶線來接一預定許可表中;際網路協定封包的一來源網際網::,封包時,偵測該網 檢查是否該來源網際網路協定疋位址, 可表上,,只有當該來源;二;地被註冊到該許 後,用來經由該個人電腦以通過::位址已經註冊過 包’並且在當該幻原網際網路協$: m際網路協定封 來阻斷對應的該網際網路協定封包冒被§主冊時,用 2.如申請專利範圍第1項所述 g法 網路協定位址的該步驟更句杯Μ =忐,偵測該目的地網際 ^ G符的步驟有· 虽經由被連接到該個人電一 · 正接收一乙太網路封包時,柃杳 凋路(Ethernet)連接乙太網路封包包括網路封包類型,該 線連接到該網際網路時,要被僂、、, 者經由該數位用戶 的該網際網路協定封包; ^到該另一用戶(party) 由在一預定的偏位之後,跟隨著_ 的—網際網路協定起頭來信丨太網路起頭(header) 址,假如該乙太網路封包類型在整個,網際網路協定位 1 乙太網路期間階段上第17頁 1282221 六 是 由 網 乙 申請專利範園 ;ϊ對點協定;及 來自於兮 路協~ 乙太網路起頭之後且不具該預定偏位的一網際 太網二起頭處偵測該目的地網際網路協定位址,假如該 ^ 封包類型是一網際網路協定封包。 來源網專利範圍第1項所述的方法’其中更包括’當該 , *、罔路協定位址未被註冊到該許可表時,啟動一鐾 m的步驟。 a1·。如《申請專利範圍第1項所述的方法,該方法僅有當該個 5電腦的該使用者指定該網際網路封包過濾時才會有效。 如申凊專利範圍第1項所述的方法,該數位用戶線係從 由非對稱數位用戶線(Asymmetric Digital Subscriber Line)’高位元率數位用戶線(High — bit-rate Digital Subscriber Line),單線數位用戶線(Single-1 ine Digital Subscriber Line),單對高速率數位用戶線 (Single-Pair High-Speed Digital Subscriber Line), 通用數位用戶線(Universal Digital Subscriber L i ne ),以及非常高資料率數位用戶線(Very-high-data-rate Digital Subscriber Line)戶斤組 成的一群(group)中所選出的一成員。 6 ·如申請專利範圍第1項所述的方法,偵測該目的地網際 網路協定位址的該步驟更包括了步驟有: 當經由被連接到該個人電腦的一乙太網路(Ethernet)連接 正接收該乙太網路封包時,檢查該乙太網路封包類型,該 乙太網路封包包括了當該個人電腦使用者經由該數位用戶第18頁 1282221 杳 該六、申請專利範圍 線連接到該網際網路時,要被 的該網際網路協定封包;及 當該乙太網路封包類型在整個 對點協定,由在/預定的偏位 (header)的一網際網路起頭來 位址。 7 ·如申請專利範園第1項所述 網路協定位址的該步驟更包括 當經由被連接到該個人電腦的 正接收一乙太網路封包時,檢 乙太網路封包包括了當該個人 線連接到該網際網路時,要被 的該網際網路協定封包;及 當該乙太網路封包類型是一網 於該乙太網路起頭之後且不具 疋起頭處偵測該目的地網際網| 8 · —方法,包括 當一個人電腦的一使用者經由 時,藉由分析要被傳送到另一 測一目的地網際網路位址; 註冊該目的地位址到一預定許 經由該連接線來偵測一被接收 路位址; 檢查是否該來源網路位址是正 傳送到該另一用戶(party) 乙太網路期間階段上是一點 之後跟隨著一乙太網路起頭 偵測該目的地網際網路協定 的方法,偵測該目的地網際 的步驟有: 一乙太網路(Ethernet)連接 電腦使用者經由該數位用戶 傳送到該另一用戶(party) 際網路協定封包時,由來自 該預定偏位的一網際網路協 路協定位址。 一連接線連接到一網際網 用戶的一網際網路封包來侦 可表中; 的網際網路封包的—來 式地被註冊到該許可表 % 源網 上,第19頁 1282221 六、申請專利範圍 讓只有當該來源網路位址已[”主冊過後,用以經由該電腦 來通過對應的該網路協定封包’並且在當該來源網路位址 未曾被註冊時,用來阻斷對應的該網路封包。 9 ·如申請專利範圍第8項所述的方法,其中該連接線是一 數位用戶線。 I 0 ·如申請專利範圍第9項所述的方法,其中該網路位址 是一網際網路協定位址,而該網路封包是一網際網路協定 封包。 II ·如申請專利範圍第9項所述的方法,偵測該目的地網 路位址的該步驟更包括了步驟有: 當經由被連接到該個人電腦的一乙太網路(Ethernet)連接 正接收一乙太網路封包時,檢查該乙太網路封包類型,該 乙太網路封包包括了當該個人電腦使用者經由該數位用戶 線連接到該網路時,要被傳送到該另一用戶的該網路協定 封包; 由在一預定的偏位之後跟隨著一乙太網路起頭(header)的 一網路協定起頭來偵測該目的地網路協定位址,假如該乙 太網路封包_型在整個乙太網路期間階段上是一點對點協 定;及 由來自於該乙太網路起頭之後且不具该預定偏位的一網路 協定起頭處偵測該目的地網路協定位址,假如該乙太網路 封包類型是〜網路協定封包。 1 2 ·如申請專利範圍第1 1項所述的方法,其中更包括,當 該來源網路協定位址未被註冊到该許可表時,啟動一警報1282221 六、申請專利範圍 的步驟。 1 3. 一 當一個 網路時 封包來 註冊該 偵測從 來源網 檢查是 許可表 14.如 來源網 知該使 1 5.如 來源網 一警報 1 6.如 來源網 應於該 包。 17.如 方法,包括 人電腦的一使用 ,藉由 偵測一 目的地 該數位 際網路 否該來 上。 申請專 際網路 用者。 申請專 際網路 〇 申請專 際網路 來源網 檢查要被 目的地網 網際網路 用戶線而 者經由一數位用戶線連接到一網際 傳送到另一用戶的一網際網路協定 際網路協定位址; 協定位址到一預定許可表中; 來的一被接收的網際網路封包的一 協定位址; 源網際網路協定位址已經正式地被註冊到該利範圍第 協定位址 利範圍第 協定位址 利範圍第 協定位址 際網路協 1 3項所述的方法,其中更包括當該 沒有被註冊到該預定許可表時,通 1 3項所述的方法,其中更包括當該 沒被註冊到該預定許可表時,啟動 1 3項所述的方法,其中更包括當該 被註冊到該預定許可表時,通過對 定位址所接受的該網際網路協定封利範圍第 協定位址 1 6項所述的方法,其中更包括當該 沒有被註冊到該預定許可表時,啟 申請專 來源網際網路 動一警報。 1 8.如申請專利範圍第1 3項所述的方法,其中更包括當該第21頁 1282221 六、申請專利範圍 來源網際網路協定位址沒有被註冊到該預定許可表時,阻 斷對應於該來源網際網路協定位址所接受的該網際網路協 定封包。 1 9.如申請專利範圍第1 3項所述的方法,其中僅當該個人 電腦的該使用者為該網際網路協定封包指定一過濾時,該 方法才有效。 2 0 .如申請專利範圍第1 3項所述的方法,偵測該目的地網 際網路協定位址的該步驟更包括了步驟有: 當經由被連接到該個人電腦的一乙太網路(Ethernet)連接 正接收該乙太網路封包時,檢查該乙太網路封包類型,該 乙太網路封包包括了當該個人電腦使用者經由該數位用戶 線連接到該網際網路,時要被傳送到該另一用戶(party) 的該網際網路協定封包; 由在一預定的偏位之後跟隨著一乙太網路起頭(header)的 一網際網路協定起頭來偵測該目的地網際網路協定位址, 假如該乙太網路封包類型在整個乙太網路期間階段上是一 點對點協定;及 由來自於該乙太網路起頭之後且不具該預定偏位的一網際 網路協定起頭處偵測該目的地網際網路協定位址,假如該 乙太網路封包類型是一網際網路協定封包。 21. —裝置包括: 存取來自於一網路的一電腦,該電腦傳送一網際網路協定 封包到其他用戶;及 一第二單元其經由一數位用戶線而為該電腦及該網路的介1282221 六、申請專利範圍 面 ,该第二單兀包括一控制器及一記憶體,該控制器從該 網際網路協定封包來確定一目的地網際網路協定位址並註 冊該目的地網際網路協定位址到該記憶體中的一許可表 中’該控制器债測來自於該數位用戶線的一被接收網際網 路協定封包的一來源網際網路協定位址,該控制器決定從 經由該數位用戶線而來的該被接收的網際網‘協;^包二 該來源網際網路協定位址是否被註冊到該記憶體中的該許 可表,當該被接收的網際網路協定封包的該來源網際網路 , 協定位址未被註冊到該記憶體中的該許可表時,該控制器 阻斷了經由要被傳送到該電腦的該數位用戶線所接收到的 該對應的網際網路協定封包,且當該來源網際網路協定位 址係被註冊到該許可表時,對應於該來源網際網路協定位 址,該控制器將該被接收網際網路協定封包傳到該電腦。 2 2 .如申請專利範圍第2 1項所述的裝置,更包括當該控制 器決定該來源網際網路協定封包的該網際網路協定位址並 未被註冊到該記憶體中的該許可表時,會被啟動的一警 報。2 3 ·如申請專利範圍第2 1項所述的裝置,當該網際網路協 定封包的一過濾係被在該電腦上的一使用者所選定時,該 第一單元註冊、決定並彳貞測該網際網路協定位址來阻斷或 傳遞該被接收的網際網路協定封包。 2 4 ·如申請專利範圍第2 1項所述的裝置’該網路係該網際 網路,而該電腦則是經由一乙太網路線而被連接到該第一 單元。第23頁 1282221 六、申請專利範圍 2 5三如申請專利範圍第2 1項所述的裝置 由非對稱的數位用戶線,高位元率數 ,,戶線,單對高速率數位用戶線,通 常高資料率數位用戶線所組成的一群中 2 6 ·如申凊專利範圍第2 1項所述的裳置 括· 一傳輸線介面單元用來接收出自於該數 訊號; 一第一次單元用來接收出自於該傳輪線 訊號,該類比訊號經由一數位用戶傳輸 到被傳輸到該數位用戶線的該第一次^ 介面單元所輸入的該類比訊號轉換成一 一弟一次單元處理出自於該第一次單一 控制器使用,被輸入到該第二次單元的 第一次單元而被轉換成一第二類比訊声 馬區動器。 27·如申請專利範圍第21項所述的裳置 目的地網際網路協定位址,所依據^ 當經由被連接到該個人電腦的—r I $ 正接收一乙太網路封包時,檢查該乙 乙太網路封包包括了當該個人電腦使 線連接到該網際網路時,要被傳送到f 網路協定封包; ^ 由在一預定的偏位之後跟隨著一 ^ 乙太細 ,該數位用戶線係 位用戶線,單線數 用數位用戶線及非 所選出的一成員。 ’該第一单元更包 位用戶線的一類比 介面單元的該類比 線驅動器而被輸入 元並將從該傳輸線 數位訊號;及 的該數位訊號給該 該數位訊號經由該 ‘後輸出到一傳輸線 :’該控制器決定該 7作包括了: 3 路(Ethernet)連接 ^網路封包類型,該 1者經由該數位用戶 $另一用戶的該網際 路起頭(header)的 1282221 六、申請專利範圍 一網際網路協定起頭來偵測該目的地網際網路協定位址, 假如該乙太網路封包類型在整個乙太網路期間階段上是一 點對點協定;及 由來自於該乙太網路起頭之後且不具該預定偏位的一網際 網路協定起頭處偵測該目的地網際網路協定位址,假如該 乙太網路封包類型是一網際網路協定封包。第25頁
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2001-0052316A KR100424457B1 (ko) | 2001-08-29 | 2001-08-29 | 디지털 가입자 회선 가입자측 단말장치의 인터넷 프로토콜패킷 필터링방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWI282221B true TWI282221B (en) | 2007-06-01 |
Family
ID=19713671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW091115749A TWI282221B (en) | 2001-08-29 | 2002-07-15 | Method for filtering Internet protocol packet in customer premise equipments for digital subscriber lines |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7181520B2 (zh) |
| KR (1) | KR100424457B1 (zh) |
| CN (1) | CN100474861C (zh) |
| TW (1) | TWI282221B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI458328B (zh) * | 2007-10-08 | 2014-10-21 | Adc Dsl Sys Inc | 在雙對模式下之一良好對運作 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100578506B1 (ko) * | 2001-12-13 | 2006-05-12 | 주식회사 이글루시큐리티 | 위험도 추론 침입탐지방법 |
| KR100447677B1 (ko) * | 2002-11-01 | 2004-09-08 | 주식회사 케이티 | 네트워크 패킷 감시를 통한 스푸핑 공격 시스템 검출 방법 |
| GB2406241A (en) * | 2003-09-22 | 2005-03-23 | Rory Joseph Donnelly | Controlling communication between a network and subscriber equipment |
| JP2006094416A (ja) * | 2004-09-27 | 2006-04-06 | Nec Corp | 加入者回線収容装置およびパケットフィルタリング方法 |
| US10021117B2 (en) * | 2016-01-04 | 2018-07-10 | Bank Of America Corporation | Systems and apparatus for analyzing secure network electronic communication and endpoints |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5204858A (en) * | 1989-08-23 | 1993-04-20 | Nec Corporation | Address setting and filtering system for terminal accommodating circuits in a packet switching system |
| JPH09270813A (ja) * | 1996-04-01 | 1997-10-14 | Hitachi Cable Ltd | パケットフィルタ機能付きルータ装置 |
| US6108782A (en) * | 1996-12-13 | 2000-08-22 | 3Com Corporation | Distributed remote monitoring (dRMON) for networks |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
| KR19990058287A (ko) * | 1997-12-30 | 1999-07-15 | 전주범 | 케이블 모뎀에 있어서 전송패킷 필터링방법 |
| KR19990061606A (ko) * | 1997-12-31 | 1999-07-26 | 전주범 | 케이블모뎀 시스템의 ip 어드레스 도용 방지 방법 |
| US6577642B1 (en) * | 1999-01-15 | 2003-06-10 | 3Com Corporation | Method and system for virtual network administration with a data-over cable system |
| US6584074B1 (en) * | 1999-08-11 | 2003-06-24 | Covad Communitions Group, Inc. | System and method for remote configuration and management of customer premise equipment over ATM |
| JP4316737B2 (ja) * | 1999-08-23 | 2009-08-19 | マスプロ電工株式会社 | ケーブルモデムシステム |
| JP4236364B2 (ja) * | 2000-04-04 | 2009-03-11 | 富士通株式会社 | 通信データ中継装置 |
| KR100464487B1 (ko) * | 2000-12-27 | 2004-12-31 | 엘지전자 주식회사 | 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법 |
-
2001
- 2001-08-29 KR KR10-2001-0052316A patent/KR100424457B1/ko not_active IP Right Cessation
-
2002
- 2002-07-11 US US10/192,522 patent/US7181520B2/en not_active Expired - Fee Related
- 2002-07-15 TW TW091115749A patent/TWI282221B/zh not_active IP Right Cessation
- 2002-08-01 CN CNB021275939A patent/CN100474861C/zh not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI458328B (zh) * | 2007-10-08 | 2014-10-21 | Adc Dsl Sys Inc | 在雙對模式下之一良好對運作 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20030055993A1 (en) | 2003-03-20 |
| CN1402506A (zh) | 2003-03-12 |
| KR100424457B1 (ko) | 2004-03-26 |
| KR20030020038A (ko) | 2003-03-08 |
| CN100474861C (zh) | 2009-04-01 |
| US7181520B2 (en) | 2007-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW436703B (en) | Wide area network system providing secure transmission | |
| Rosenberg et al. | Best current practices for third party call control (3pcc) in the session initiation protocol (SIP) | |
| US7856023B2 (en) | Secure virtual private network having a gateway for managing global ip address and identification of devices | |
| TW200405715A (en) | Head end apparatus for media gateway control protocol type voice over internet protocol call service | |
| TW515173B (en) | Packet transfer device, semiconductor device and packet transfer system | |
| KR100694206B1 (ko) | 사설망에서의 sip 서비스 제공 장치 및 그 방법 | |
| CN100534055C (zh) | 利用宽带路由器实现上网的方法 | |
| WO2002098100A1 (en) | Access control systems | |
| US8917629B2 (en) | Method and apparatus for detecting devices on a local area network | |
| JP2009177841A (ja) | ネットワーク装置及びその管理方法 | |
| US20030028806A1 (en) | Dynamic allocation of ports at firewall | |
| TWI282221B (en) | Method for filtering Internet protocol packet in customer premise equipments for digital subscriber lines | |
| WO2012087217A1 (en) | Method and arrangement for transferring data packets | |
| CN101238678A (zh) | 用于分组语音通信网络的安全性网守 | |
| JP4410907B2 (ja) | 音声呼管理制御方法およびそのためのゲートウェイ装置 | |
| JP3672186B2 (ja) | ネットワーク電話システム、それに用いるゲートウェイ装置及びネットワーク電話システムの使用方法 | |
| JP4047736B2 (ja) | 情報管理サービス方法およびシステム | |
| KR20020083887A (ko) | 에이치.323기반의 멀티미디어 통신 시스템에서 오디오 및비디오 데이터를 통신하는 방법 | |
| JP3388541B2 (ja) | ダイヤルアップルータとそのルータにおける発信制御方法 | |
| JP2007209034A (ja) | Ip端末装置 | |
| KR100416805B1 (ko) | 인터넷 프로토콜 폰 시스템 및 이를 이용한 인터넷프로토콜 폰 단말기 인증 및 전화번호 자동 할당 방법 | |
| WO2002089415A1 (en) | Method for communication audio and video data in multimedia communication system using h.323 protocol | |
| JP3800129B2 (ja) | 通信方法、通信装置およびプログラム | |
| JP2004194246A (ja) | Ip端末装置 | |
| JP2006109187A (ja) | クライアントのコンピュータを所望のインターネットサービスプロバイダー(本明細書においては単にispという。)に接続する方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |