CN1929472A - 数据网络中管理数据传输的方法、***、信号及介质 - Google Patents
数据网络中管理数据传输的方法、***、信号及介质 Download PDFInfo
- Publication number
- CN1929472A CN1929472A CNA2006100013793A CN200610001379A CN1929472A CN 1929472 A CN1929472 A CN 1929472A CN A2006100013793 A CNA2006100013793 A CN A2006100013793A CN 200610001379 A CN200610001379 A CN 200610001379A CN 1929472 A CN1929472 A CN 1929472A
- Authority
- CN
- China
- Prior art keywords
- conversational communication
- data
- relevant
- communication
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 48
- 230000005540 biological transmission Effects 0.000 title claims abstract description 44
- 238000004891 communication Methods 0.000 claims abstract description 299
- 238000012545 processing Methods 0.000 claims abstract description 46
- 238000012546 transfer Methods 0.000 claims description 54
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 7
- 230000015654 memory Effects 0.000 claims description 6
- 230000002596 correlated effect Effects 0.000 claims description 4
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 6
- 230000000875 corresponding effect Effects 0.000 description 6
- 230000000295 complement effect Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 5
- 238000010168 coupling process Methods 0.000 description 5
- 238000005859 coupling reaction Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000013500 data storage Methods 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000003550 marker Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008521 reorganization Effects 0.000 description 2
- 241000283074 Equus asinus Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000739 chaotic effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/43—Assembling or disassembling of packets, e.g. segmentation and reassembly [SAR]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在数据网络中用于管理数据传输的方法与***,其能够识别与数据网络中设定的第一节点与第二节点之间的通讯会话相关的数据。并且当通讯会话的一部分满足条件时,对所述通讯会话进行进一步处理,而当通讯会话的所述部分不满足条件时,允许通讯会话继续进行。
Description
技术领域
本发明涉及计算机网络与网络安全,特别是在数据网络中管理一数据传输的方法、***、信号与介质。
背景技术
高速网络连接的急速扩张与商用、娱乐以及教育领域对网络的应用给全球的用户提供了更多的便利。基于网络的信息的传播广泛性、低成本与连续的可用性,它带动了从新的商业模式到提供到政府或教育服务访问这样的门户网站服务,以及便捷互动的网络社区的成员之间快速、免费的信息交流发展。
更多的公司依赖其内网与外网进行信息传播、提供服务、交流沟通与数据存储等。这同时,各个公司对内网与外网的网络服务质量也变得相当敏感。如通过外网传输邮件与文件带来的计算机病毒这样的恶意代码的破坏与中断;未验证的用户对公司内部网的访问也要求公司对其敏感的信息进行保护。与此同时,许多公司不得不应对日益增长的信息交流与文件传输服务,譬如即时消息与P2P文件分享。员工对于此类服务的使用增加了对公司网络可用带宽的占用。如此多的流量可能都是琐碎的信息交流,同时导致了员工工作精力不集中,散漫。
因此,对内部与外部网络流量进行有效的控制管理是很有必要的。例如,公司的制度可以规定公司内部网络的机器与外部网络的机器进行的所的即时信息与P2P的访问必须符合一个或几个网络策略规则;这样策略可以包括完全屏蔽某些程序的访问。
同样,也需要对与工作有关的信息交流以及其他数据传输进行监控,这样的信息交流或数据传输可能会潜在的引发病毒、网络入侵或其他未授权的使用对公司内部网络的威胁。
诸如这样的流量监控在一些情况下是非常必要的,这样的监控程序可能需要一些额外的计算机资源支持。公司内部网络管理策略不同,对数据传输的监控会给网络的操作造成负荷,以及可能导致从内网到外网数据传输的延迟,特别是设置了很多网络管理策略的地方。
发明内容
根据本发明的一方面,本发明提供了一种用于管理一数据网络中的一第一节点与一第二个节点之间的数据传输的方法。该方法包括识别与第一节点与第二节点间的与通讯会话相关的数据。该方法还包括当部分通讯会话满足条件的时候,进行进一步处理所述通讯会话的步骤,及当所述部分通讯会话的所述部分不满足条件时允许所述通讯会话继续进行的步骤。
数据传输包括多个数据包,及对与通讯会话相关的数据包的识别,其还包括识别与通讯会话相关的特殊数据包。
识别与通讯会话相关的特殊数据包还包括读取通过所述第一节点与第二节点中至少一个传输的数据包。
识别与通信相关的特殊的数据包还包括读取与所述多个数据包中的每一个相关的数据包包头。
读取数据包包头还包括读取源地址字段,目标地址字段,源端口字段,目标端口字段以及协议字段中的至少之一。
所述方法进一步包括给所述特殊数据包标注标记的步骤,以表明所述特殊数据包是否与所述通讯会话相关。
为所述特殊数据包标注标记包括建立数据标识与所述特殊数据包的联系。
该方法还可包括检测所述数据包是否符合网际协议(IP协议);
该方法还可包括检测所述数据包是否符合传输控制协议(TCP协议);
该方法还可包括识别所述与通讯会话相关的数据的相关特征。
所述识别特征的步骤包括识别所述与通讯会话相关的数据的模式。
所述识别特征的步骤包括对所述与通讯会话相关的数据进行特征分析。
所述识别特征的步骤包括检测所述与通讯会话相关的数据是否符合一数据传输协议。
所述识别特征的步骤还包括检测所述与通讯会话相关的数据是否传送到一特殊的地址。
所述进一步处理还可包括丢弃通讯会话。
所述进一步处理还可包括以下处理中的至少之一,即对所述通讯会话的至少一部分进行日志记录,限制与通讯会话相关联的带宽分配,更改至少一部分与通讯会话相关的数据,生成一条信息传送到第一节点与第二节点中的至少一个,配置网络资源以便允许通讯会话继续进行,及扫描与通讯会话相关数据的数据模式以辨识是否含有恶意代码。
所述进一步处理还可包括在一第三节点中终止通讯会话,并把通讯会话分成在第一节点与第三节点间的一第一通讯会话与在第三节点与第二节点间的一第二通讯会话,所述第三节点充当为一代理节点。
所述允许通讯会话继续进行包括允许通讯会话在一第一数据传输路径中继续进行,并且进一步的处理可包括将通信会话转向到一第二数据传输路径,所述第二数据传输路径比第一数据传输路径更慢。
当通讯会话的一部分不满足条件时,所述允许通讯会话的继续进行还包括在允许通讯会话的第一部分继续进行的同时检测通讯会话的另一部分是否满足条件。
数据传输包括多个数据包及所述允许通讯会话的第一部分继续进行的步骤包括在允许通讯会话相关的在先的多个数据包的传输的同时检测通讯会话相关的至少一个后起的数据包是否满足条件。
该方法还包括在通讯会话相关的数据与标识之间建立联系以对这部分的通讯会话是否满足条件作出响应
所述通讯会话可以是一第一通讯会话,且所述第一通讯会话可发起一第二通讯会话,该方法还可包括进一步处理所述第二通讯会话,而无论所述第二通讯会话是否满足条件。
根据本发明的另一方面,其还提供了一种计算机可读介质,所述可读介质上被进行编码,用于引导一处理器电路实现上述方法及其派生。
根据本发明的又一方面,其还提供了一经过编码的计算机可读信号,用于引导一处理器电路实现上述的方法及其派生。
根据本发明的又一方面,其提供了一用于在数据网络中管理数据传输的***。该***包括用于在数据网络中识别与一第一节点和一第二节点之间的通讯会话相关的数据的装置。该装置又进一步包括用于当一部分的通讯会话满足条件时进一步处理通讯会话的装置,及当通讯会话的所述部分不满足条件时允许通讯会话继续进行的装置。
所述数据传输包括多个数据包的传输,包括用于识别与通讯会话相关的数据的装置,所述装置进一步包括用于识别与通讯会话相关的特殊数据包的装置。
所述识别与通讯会话有关的特殊数据包的装置进一步包括用于读取通过第一节点与第二节点中的至少一个传输的数据包的装置。
所述识别与通讯会话相关的特殊数据包的装置进一步包括用于读取与所述多个数据包中的每一个数据包相关的数据包包头的装置。
所述读取数据包包头的装置进一步包括用于读取源地址字段、目标地址字段、源端口字段、目标端口字段以及协议字段中至少之一的装置。
该***还包括给特殊的数据包标注标记的装置,用于标示与通讯会话相关的特殊数据包。
所述标记特殊数据包的装置进一步包括用于建立一数据标识和所述特殊数据包之间联系的装置。
该***进一步包括用于确定数据包是否符合一网际协议(IP协议)的装置。
该***进一步包括用于确定数据包是否符合一传输控制协议(TCP协议)的装置。
该***进一步包括用于识别与通讯会话相关的数据的特征的装置。
所述用于识别特征的装置进一步包括用于识别与通讯会话相关数据的模式的装置。
所述用于识别特征的装置进一步包括用于对与通讯会话相关的数据进行特征分析的装置。
所述用于识别特征的装置进一步包括用于检测与所述通讯会话相关的数据是否符合一具体的数据传输协议的装置。
所述用于识别特征的装置还包括用于确定所述通讯会话相关的数据是否发送到一具体的地址的装置。
所述用于进一步处理的装置包括用于丢弃通讯会话的装置。
所述用于进一步处理的装置包括如下装置中的至少一个,即用于建立通讯会话至少一部分的日志的装置,用于限制与通讯会话相关联的带宽分配的装置,用于更改至少一部分与通讯会话相关数据的装置,用于生成一条信息传送到第一节点与第二节点中的至少之一的装置,用于配置网络资源以便允许通讯会话继续进行的装置,及用于扫描与通讯会话有关的数据的数据模式以指示是否存在恶意代码的装置。
所述用于进一步处理的装置还包括用于在一第三节点终止通讯会话的装置,及用于把通讯会话分成一第一节点与第三节点间的一第一通讯会话与第三节点与第二节点间的一第二通讯会话的装置,所述第三节点充当为一代理节点。
所述用于允许通讯会话继续的装置进一步包括用于允许通讯会话在一第一数据传输路径中继续进行的装置,及所述用于进一步处理通讯会话的装置进一步包括用于转移通信对话到一第二数据传输路径的装置,所述第二数据传输路径比第一数据传输路径更慢。
所述用于当通讯会话的一部分没有满足条件时,允许通讯会话继续进行的装置包括用于在允许通讯会话的一第一部分继续进行的同时检测所述通讯会话的另一部分是否满足条件。
所述数据传输包括多个数据包及用于允许一第一部分通讯会话继续进行的装置,所述装置进一步包括用于在允许通讯会话相关的多个在先的数据包传输的同时检测至少一后起的通讯会话相关的数据包是否条件的装置。
所述通讯会话可以是一第一通讯会话,且所述第一通讯会话会引发一第二通讯会话,该***进一步包括用于无论所述第二通讯会话是否满足条件时,都会对通信会话进行进一步处理的装置。
该***还包括用于根据该部分的通讯会话是否满足条件的情况,在与通讯会话相关的数据与标识之间建立联系的装置。
根据该发明的另一个方面,提供了一用于在数据网络中的管理一第一节点与一第二节点之间的数据传输的***。该***包括一处理器电路与一个进行编码了的存储器,用于引导处理器电路实现以上的方法与其不同形式的变形。
根据该项发明的另一方面,提供了一种在数据网络中管理数据传输的***。该***包括一会话标识器,所述标识器可配置成用以识别数据网络中与一第一节点与一第二节点之间的通讯会话相关的数据。该***还包括一具有一输入端的会话控制器,所述输入端用于接收一能指示所述通讯会话是否满足条件的控制信号。会话控制器响应控制信号,指示通讯会话是否该继续或者是进行进一步的处理。
该***还包括一特征分析器,所述特征分析器可用来配置生成控制信号,以对识别与通讯会话相关数据的做出响应。
所述特征包括特别类型的数据传输的模式特征。
所述特征包括一数据协议标识符。
所述特征包括一地址字段。
所述特征分析器还包括一含有分立逻辑元件的硬件电路。
所述特征分析器还包括一专用集成电路(ASIC)。
该***包括一可配置成用于实现进一步处理功能的进一步处理模块。所述进一步处理模块包括一第三节点,其可配置成用于把通讯会话划分为第一节点与第三节点之间的第一通讯会话及第三节点与第二节点之间的第二通讯会话,该第三节点充当为代理节点。
通过以下结合附图对本发明具体实施例的描述,本发明的其它方面及特征对本领域的技术人员而言是显而易见的。
附图说明
图1是按照本发明一实施例的数据通信***的示意图;
图2是图1所示数据通信***中应用的一网关的示意图;
图3是图2所示网关中应用的一特征分析器的示意图;
图4是在图2所示的网关中用以实现会话标识处理的电路方框示意图;
图5是根据图4所示电路方框图来实现图2所示的会话标识功能流程示意图;
图6是根据图4所示电路方框图来实现图2所示的会话控制处理的流程示意图;
图7是图2所示一实施例的网关中一进一步处理模块的示意框图;
图8是由图3所示特征分析器产生的控制信号表格。
具体实施方式
图1示出了本发明一实施例的数据通信***10。该数据通信***10包括一个广域网(WAN)12,如内部网与外部网;一局域网(LAN)14以及一个连接广域网与局域网的网关16。局域网14包括多节点部分18,其包含网络连接设备如个人电脑(PC)20与PC 22,也可以包括其他如服务器、路由器、无线网络接入点、输入设备以及输出设备等。广域网WAN 12包括多个节点部分24,其包括一服务器26和PC机28。服务器26是方便了PC20,PC22与PC 28之间即时消息传输的一即时消息中转服务器(Instant Messagingmediation server)。或者,该服务器也可以是运行一接收和处理来自与WAN 12直接连接的其他节点的信息请求程序,如PC 28或通过网关16与LAN 14连接到WAN的节点,如PC20与PC22。
通常,以上部件通过如下步骤合作处理数据网络中第一节点与第二节点之间的数据传输:识别与第一节点与第二节点之间的通讯会话相关的数据;及,当一部分的通讯会话满足条件时对通讯会话进行进一步的处理或当该部分的通讯会话不满足条件时,允许通讯会话的继续进行。
在一实施例中,数据传输包括打包成为一个或多个数据包的文件或即时消息数据。每个数据包都包括一数据包包头部分与数据部分。包头部分包括包含与数据包源和/或者目的地有关信息的字段。数据包的数据部分包括文件或消息数据。如果文件或者消息数据太大,不能够打包在一单个数据包中传输,可将其分割为几个数据包;这种情况下,包头部分也包括与分割数据包顺序有关的信息,以便在目标地址重新组合文件或信息数据。
网关16管理LAN 14与WAN 12之间的数据包传输,详见图2所示。网关包括一含有数据输入端42和数据输出端44的网络接口40。数据输入端42与LAN 14之间进行通讯。网络接口40包含一电路,用于在数据输入端接受代表要传输数据包的信号,及在数据输出端44将信号转换为数据包。在本发明的一实施例中,数据输出端44的数据可以是依据IP协议打包的数据包。网络接口40可以是一以太网接口或者一无线接口,或任何其它使得数据通信***中的节点间的数据传输变得便利的网络接口。
网关16进一步包括一含有一数据输入端48与数据输出端50的会话标识器46。数据输入端48与网络接口40的数据输出端44发生通讯。会话标识器46在数据输入端48处接收数据包并读取数据包,以在将数据包发送到数据输出端50之前,识别哪些数据包与通讯会话相关。
一通讯会话包括在数据网络中进行通信的节点间数据包的交换。例如,传输控制协议(TCP)数据传输允许在一第一节点与一第二节点之间建立一通讯会话。TCP通讯会话包括会话建立、数据传输以及会话终止。在真正的数据传输进行之前,先通过三方握手建立会话。在会话建立的过程中,初始化参数序号以帮助确保数据包的有序及健壮传输。经过一四方握手来结束一TCP会话。TCP数据包包括一TCP包头及一数据部分。包头部分包括如源端口与目标端口这样的信息。有关TCP(传输控制协议)的详细内容请参见资料“RFC:793,传输控制协议,DAPRA互联网程序协议规范,1981年9月”,在此结合其作为参考。
相反,一些数据传输协议,如网际协议(IP协议),几乎不能对有关数据包的传送做任何的保证,所传送的数据包可能在到达后已被损坏,顺序混乱,也可能被复制或干脆就被整个丢弃。当从一第一节点发送IP数据包到一第二节点时,其没有进行提前的通信或不需要事先的建立。因此,IP不提供通讯会话的建立,如果需要可靠的数据传输,可依赖上一层协议来传送。例如,TCP数据包可以放在一个IP数据包的数据部分传送,在这种情况下的数据传输是所谓的基于IP的TCP传输或TCP/IP。有关IP(网际协议)的详细内容请参见资料“RFC:793,传输控制协议,DAPRA互联网程序协议规范,1981年9月”,在此结合其作为参考。网关16还包括一个会话控制器60,会话控制器60包含一数据输入端62,一控制信号输入端66,以及第一、第二与第三数据输出端52,64及68。会话控制器60从会话标识器46的数据输出端50那里接收数据包并响应在控制信号输入端66处接收到的控制信号将数据包转发给所述第一、第二与第三的数据输出端52、64与68中的一个或多个。
网关16还包括一特征分析器54,特征分析器54进一步包含一数据输入端56与一控制信号输出端58。数据输入端56与会话控制器60的数据输出端52通过数据线55发生通讯。控制信号输出端58与会话控制器60的控制信号输入端66通过控制信号线59发生通讯。特征分析器54在数据输入端56处从会话控制器60接收数据包,并识别是否有部分的数据包满足条件。特征分析器54在控制信号输出端58处产生一控制信号,用来指示是否有特殊的数据包满足条件。
特征分析器54在图3中进行了详细描述。特征分析器54包括一数据自动处理器100,该数据自动处理器100包含数据输入端102,与用于产生状态信号的数据输出端104以及一数据输出端106。数据自动处理器100在数据输入端102处从会话标识器46处接收数据包,以执行数据包重组这样的功能。
特征分析器54还包括一策略管理器116,该策略管理器116包含有一用于存储多个数据特征的特征数据库124。在特征数据库124中储存的每个特征都包含一数据模式,也就是特殊类型数据传输的特征。所述特征包括用户名、源或目标地址、源或目标端口、或一个协议标识符。在本发明的一实施例中,当特征库中的存储的任一特征与特殊通讯会话相匹配的时候,意味满足了特殊通讯会话的条件。
在本发明的一实施例中,特征数据库124中也可能存储有多个策略,以在与特殊的特征相匹配时执行,在那样的情况下,每个存储在特征数据库124中的特征包括一与之相关的策略也被存储在特征数据库中。策略管理器116还包括一用来产生特征信号的特征信号输出端118及用于产生策略信号的一策略信号输出端120,该策略信号体现了存储在特征数据库124中的特征与策略。
策略管理器116还包括一通信端口122,以方便***管理员通过控制台126与策略管理器116相连接,以进行网络管理策略和/或特征的升级与维护。通信端口122也可是一到LAN的连接。
在该实施例中,特征分析器54包括一比较器108,该比较器包含一数据输入端110,一特征输入端112以及一匹配信号输出端114。比较器108在数据输入端110处从数据自动处理器100的数据输出端106处接收数据,并将数据与特征输入端112接收到的特征进行比较。如果一特征与在数据输入端110处接收到数据的任何一部分相匹配,则比较器108在输出端114处发出一个匹配信号,以表明与通讯会话相关的数据满足条件。
特征分析器54还包括一策略应用模块130,该模块包含一用来接收从数据自动处理器100发来状态信号的一第一输入端132,一用来接收来自比较器108的匹配信号的第二输入端136,以及用来接收来自策略管理器116的策略信号的第三输入端138。策略应用模块130还包括一用于在控制信号线59中产生控制信号的输出端140。策略应用模块用于在输出端140处产生控制信号,以分别响应在第一、第二、及第三输入端132、136及138中接收到的状态信号、匹配信号及策略信号。
在一实施例中,特征分析器54可以部分地或整个地使用一硬件逻辑电路来实现,包括分立逻辑电路和/或一专用集成电路(ASIC)。或者,特征分析器54也可以使用一处理器电路来实现。
回到图2,网关16还包括一进一步处理模块78,该模块包含一数据输入端80。数据输入端80与会话控制器60的数据输出端64发生通讯。当控制信号指示与通讯会话相关的数据包满足条件时,进一步处理模块78便从会话控制器60接收数据包。进一步处理模块78对数据包执行一项或多项进一步处理,如记录数据包的日志。在一实施例中,进一步处理模块78在记录数据包的日志后便丢弃该数据包(也就是说,不继续转送该包)。在其他的实施例中,进一步处理模块78还含有一数据输出端82,用来在进行进一步处理后转发数据包。网关16还包括一网络接口70,该接口包含第一数据输入端74与第二数据输入端72,以及一数据输出端76。第一数据输入端74通过快速网络传输通道69与会话控制器中60的数据输出端68直接通讯。在一实施例中,数据输入端72与进一步处理模块78的数据输出端82发生通讯,并接收经过进一步处理模块78处理后的来自会话控制器60的数据包。网络接口70的数据输出端76与WAN 12发生通讯。网络接口70从第一及第二数据输入端74及72中的任一处接收数据包,并将数据包转换成为表示数据包的信号,以方便在WAN 12中传输数据包。
如图2,会话标识器46的功能可以用一如图4所示的处理器电路150来实现。图4所示的处理器电路150包括一中央处理器(CPU)152,一随机处理器(RAM)154,一只读存储器(ROM)156以及输入输出接口158和160。处理器电路还包括一介质接口162,以便于将程序代码从计算机可读取的介质164中,如CD-ROM,或从计算机可读取的信号168中,如通过一互联网连接提供的信号,转存入到ROM 156或RAM 154中,以指引处理器电路执行按照本发明一方面方法的功能。
图5的180处描述了引导处理器电路150来实现会话标识器46的功能的代码的流程图。通常情况下,这个流程图代表了能够存储在RAM 154或ROM156中用来指示CPU 152执行一会话标识器程序的代码功能模块。实际用于实现每一模块功能的代码可以任何合适的编程语言如C语言,C++和/或汇编程序代码等写成的程序。
该程序从第一个流程模块接受数据模块182开始,其引导CPU 152使得I/O 158接收来自网络接口40的数据包并将其存储在RAM 154中。
然后读取数据模块184发出指令CPU 152读取数据包的一部分以检测数据包是否应该与通讯会话建立联系。例如,在数据包使用IP协议传输的地方,通过在数据包的包头部分读取一IP源地址字段及一IP目标地址字段可部分识别通讯会话,以唯一地识别第一节点与第二节点之间传输的数据包。
然而,在源地址与目标地址的节点间的IP数据传输还可能包括几种不同的通讯会话,如TCP通讯会话,或根据根本不实现通讯会话的协议的其它数据传输。这种情况下,识别在IP数据包部分中的数据遵守什么传输协议非常必要。
通过读取IP数据包包头的一IP协议标识符字段可以检测传输协议(如,TCP数据传输的字段值是6)。一旦数据传输协议确立了,便可以通过读取IP数据部分中适当的字段来检测通讯会话的存在。例如,IP数据部分遵守TCP协议的地方,通过读取一TCP源端口与一TCP目标端口便可以唯一地识别第一节点与第二节点之间的通讯会话。读取的用来检测是否应该建立数据与通讯会话之间联系的各种字段在下文中称为会话标识字段。
回到图5,读取数据模块184发出指令CPU 152读取传输的数据包中的会话标识字段。在一实施例中,CPU 152在RAM154中保留一记录动态通讯会话细节的会话表格(未示出)。该会话表格包括每一动态通讯会话的会话记录。会话记录包括会话标识字段,如IP源以及目标地址,IP协议字段,TCP源以及目标端口,以及任何其他在一特殊数据传输协议中可用以识别通讯会话的字段。每一会话记录也包括一用于存储一唯一的通讯会话标记的字段,该标记唯一地标识了一相应的通讯会话。该唯一的通讯会话标记可以是一系列任意数字中的一个数字。
模块186发出命令给CPU 152比较传输的数据包的会话标识字段与会话表格中的会话记录。如果数据包包含的会话标识字段与会话表格中的现有通讯会话的会话记录相符合,那么CPU将执行模块188。模块188用于发出命令给CPU 152将符合会话记录的数据包打上通讯会话标记。例如,可通过给数据包添加标记的方式建立所述标记和数据包之间的联系。
如果通讯会话还未发生,CPU 152就直接去执行模块190,在会话列表中添加一新的会话记录。新的会话记录包括一新的通讯会话标记以及传输的数据包的会话标识字段。模块190也同样执行给CPU 152发出命令,将相应的新的通讯会话标记标识在数据包上。
特征分析器54的操作流程在图2与图3中进行了描述。特征分析器54在数据自动处理器100数据输入端102处从会话控制器60接收已经打上唯一的通讯会话记录标记的数据包。在一实施例中,在数据被进行分割并以多个数据包进行传输的地方,数据自动处理器100按顺序将数据包重新组合并将所述数据包的至少一部分进行重新结合以便特征分析器54可以识别跨越一个或更多数据包的数据是否满足条件。数据自动处理器100在输出端104处产生一状态信号。该状态信号包括对唯一通讯会话标记及与接收到的数据包相关的其它信息的表示。举例说明,状态信号可以包括接收到的与一特殊通讯会话的数据包的数量有关的信息。状态信号也可以包括一指示,用于检测是否已接收到足够的数据去进行特征分析。例如,状态信号可用于表明数据自动处理器100已接收到的预先确定数量的比特。然后数据自动处理器100将重组的数据转发到比较器108的数据输入端110处。
比较器108暂时存储数据的备份,该备份包括单个的数据包或是多个的数据包的数据。策略管理器116用于在特征数据库124中查询一特征,并在信号输出端118处产生一与特征相应的特征信号。通常情况下,特征数据库124中包括多个特征,且策略管理器116顺序地查询每个特征并产生相应的特征信号。比较器108将暂存的数据与在比较器的特征输入端112处接收的来自策略管理器116的特征信号进行比较。如果一特征与从数据输入端110处收到的暂存的数据的一部分相匹配,则比较器108将在匹配信号输出端114处产生一匹配信号,表明在数据中发现一匹配。
策略信号包括一策略行为指示,当出现在数据输入端110处接收的数据与在特征输入端112处收到的一特殊特征之间相匹配时,执行所述策略。在一实施例中,每一特征关联一策略行为,且所述策略行为与特征存储在特征数据库124中,由此可实现由数据中发现的特征决定采取不同的行为动作。
在一实施例中,策略应用模块130把从输入端132处接收的状态信号,从输入端136处接收到的匹配信号以及从输入端138处接收的策略信号相结合,并在输出端140处产生控制信号。在本实施例中,该控制信号包括图8表中列出的四种可能的状态。
当匹配信号指示还没有发现匹配,且状态信号指示特征分析器54还没有分析足够的数据包时,策略应用模块130分配控制信号为状态00,以检测通讯会话相关的数据是否满足条件。
当匹配信号指示没有发现匹配,且状态信号指示特征分析器54已经分析了足够的数据包并认为通讯会话是安全的时候,策略应用模块130分配控制信号为状态01。这种情况下,通讯会话的特征分析将不再继续,而且特征分析器54也不需要接收与通讯会话有关的数据包。
当匹配信号指示发现了匹配,且策略信号指示通讯会话需要在进一步处理模块78中进行进一步处理时,策略应用模块130分配控制信号为状态10。该进一步处理操作稍后做详细说明。
当匹配信号指示发现了匹配且策略信号指示应该丢弃通讯会话(也就是说,不需要传输更多的数据包)。这种情况下,可以从RAM中抹去该数据或者将该数据传输到进一步处理模块78,在那进行日志记录但不被传输。
如图2,会话控制器60的功能也可以使用处理器电路150实现。图6的200处示出了应用处理器电话150实现会话控制器60的功能的用模块表示的流程示意图。模块202用于指示CPU 152从RAM154中读取数据包。模块204用于指示CPU读取与数据包相关的通讯会话标记。
在一实施例中,当特征分析器54的分析结果可用的时候,会话控制器接收到的控制信号可以是异步的。因此,当在控制信号输入端66处接收到每一连续的控制信号的时候,将读取相关的通讯会话标记,且控制信号会被存储与通讯会话标记相应的会话记录的一字段中。
如果通讯会话是一个新的通讯会话,特征分析器54还没有产生与之相关的控制信号。因此,当会话标识器46为一新的通讯会话产生一新的会话记录时,控制信号字段初始化为“00”状态,表示通讯会话没有满足条件。一旦产生新的通讯会话的控制信号时,会话记录中的控制信号字段就会被覆盖,在这种情况下,控制信号字段将在特征分析器54分析了很多数据包后改变状态。
模块206用于指示CPU 152从会话表格记录中读取与数据包的通讯会话标签相对应的控制信号。模块208用于指示CPU 152检测通讯会话是否满足条件,如图8表格中的控制信号状态“10”与“11”所述。如果与通讯会话相关的数据满足条件,模块210指示CPU152把数据发送到进一步处理模块78。如果控制信号状态是“11”,进一步处理模块78将丢弃通讯会话,如抹掉RAM154中的数据包。
或者,如果控制信号状态是“10”的时候,进一步处理模块78将执行其它的行为。例如,进一步处理模块78可以产生一与通讯会话相关的数据包的全部或其中一部分的日志。该日志被存储以便以后的分析。进一步处理模块78可以限制所述通讯会话的带宽分配,以使得某些类型的流量(例如即时消息的流量)将不能超过预先设定的网络带宽分配。进一步处理模块78也可以改变与通讯会话相关的数据包,***一消息或转移某些数据。该消息可以传输到源和/或者目标节点,并且能够指示此传输根据网络管理策略受到限制。
或者,为继续进行,通讯会话需要一特别配置的网络资源。例如,进一步处理模块78可以暂时开启一具体的TCP端口,这样就可以允许平常不被允许的通讯会话的进行。
在一实施例中,进一步处理模块78可对与通讯会话相关的数据包进行病毒扫描检测以检测是否有恶意代码威胁网络安全。不满足条件的通讯会话相关的数据包不进行恶意代码扫描或对其进行与转移到进一步处理模块78的通讯会话不同的程度的扫描。或者,由于出现大量的警告,对与通讯会话相关的全部数据包都将进行病毒扫描,而不管通讯会话是否满足条件。
在一些情况下,一通讯会话可能引发另一通讯会话。例如,在一个单独的通讯会话中,一正在进行的即时消息会话可能启动一文件的传输。在这种情况下,原通讯会话已经被确定满足条件并且已经转移到进一步处理模块78中,单独的通讯会话也可在不对与所述单独通讯会话相关的数据包执行特征分析的情况下便被转移到进一步处理模块78。
回到图6,如果与通讯会话相关的数据不满足条件(见控制信号状态“00”或“01”所示),模块208发出命令给CPU 152转入执行模块212,模块212用于命令CPU 152指示I/O把数据包写如与网络接口70的数据输入端74进行通信的数据输出端68处。然后,网络接口70把数据转换为数据信号并通过WAN 12传输数据。如果控制信号的状态是“01”,通讯会话剩下的部分就被认为是安全的,并且允许其沿着快速数据通道69继续进行传输。
如果控制信号的状态是“00”,模块212也会对CPU152发出命令允许通讯会话沿着快速数据通道69继续进行,但是会话控制器60将继续把与通讯会话相关的数据包转发到特征分析器54。因此,开始时允许通讯会话继续等待特征分析器54进行关于接下来传输的数据包是否满足条件的识别,在这种情况下,将执行进一步的处理。
在本发明的又一实施例中,会话控制器60的功能也可以利用一独立的处理器电路来实现,如图4所述处理器电路150。在这种情况下,一旦会话标识器46给数据包打上一通讯会话标记,数据包将通过I/O 160写出。然后,独立的处理器电路在一I/O接口处接收数据包并将其存入到RAM存储器中。
关于图7,示出了本发明一实施例的进一步处理模块220。进一步处理模块220包括一代理节点226,其与数据存储器238发生通讯。代理节点226在一第一PC 222与一第二PC 224之间把通讯会话进行逻辑分割,由此形成了箭头228所示的一第一逻辑通讯会话箭头230所示的一第二逻辑通讯会话。代理节点226执行对IP源以及目标地址,TCP源以及目标端口,及包含在TCP数据包数据部分的数据进行映射,使得PC 222与224无法察觉代理节点226对通讯会话所作的逻辑分割。代理节点226包括用于接收添加数据236的数据输入端232,该添加数据可以***通过节点226传输的数据包中,并在PC 222和/或224中显示信息指示用户不允许传输这样的数据。代理节点226还包括数据输出端234,其与数据存储器238相连接以转发数据包的拷贝或部分数据包到数据存储器238。数据存储器238可以是简易存储媒介,用于以容易取得的格式存储数据,但也可以包括其它如在数据传输中执行统计与其他分析功能的设备。
方便地,与通讯会话相关的数据首先将从网络接口40传输到会话标识器46,接着到会话控制器60,然后通过网络接口70传输到WAN 12。在本实施例中,会话控制器60不等特征分析器54完成特征分析便可以发出控制信号。因此,数据传输将首先被允许通过在会话控制器60的数据输出端与网络接口70的数据输入端69之间的快速数据传输路径69进行传输而没有不适当的延迟。在会话标识器46和会话控制器60中执行的操作是比较简单快速的,只需要读取并比较数据包包头的较少数量的字段来检测怎样处理与通讯会话相关的数据。
相反,依靠网关16中的设置的策略,特征数据库124可包括较大数量的特征。因此,在本实施例中,执行网络管理策略首先假定通讯会话是安全的,正如在大部分的数据传输中出现的情况,然后检测通讯会话是否要进行进一步处理还是丢弃。
有关一个TCP/IP的通讯会话已经描述过了。但是,其它协议如用户数据报协议(UDP)也可用通过一更高层的使用UDP进行数据传输的协议支持通讯会话。一些更高层的协议,例如域名服务器(DNS),eDonkey(电驴),BitTorrent(BT)以及实时传输协议(RTP)也支持通讯会话。譬如DNS的响应与请求包括一个用于指示哪些响应匹配哪些请求的ID字段。
有关输出的数据传输在图2进行了描述,应该理解的是,一通讯会话通常既包括输出的数据传输也包括输入的数据传输,而且输入与输出的数据都能被会话标识器46接收并按照以上所描述的方法进行处理。
以上对本发明的具体实施例进行了描述和说明,这些实施例应被认为其只是示例性的,并不用于对本发明进行限制,本发明应根据所附的权利要求进行解释。
Claims (55)
1、一种在数据网络中管理一第一节点与一第二节点之间的数据传输的方法,其特征在于,包括:
识别与第一节点与第二节点之间的通讯会话相关的数据;
当所述通讯会话的一部分满足条件时,进一步处理所述通讯会话;
当所述通讯会话的所述部分不满足条件时,允许所述通讯会话继续进行。
2、根据权利要求1所述的方法,其特征在于,所述数据传输包括多个数据包,且所述识别与所述通讯会话相关的数据进一步包括识别与所述通讯会话相关的特殊数据包。
3、根据权利要求2所述的方法,其特征在于,所述识别与所述通讯会话相关的特殊数据包进一步包括读取通过所述第一节点与第二节点中的至少一个传输的数据包。
4、根据权利要求2所述的方法,其特征在于,所述识别与所述与通讯会话相关的特殊数据包包括读取所述多个数据包中每一数据包的包头。
5、根据权利要求4所述的方法,其特征在于,所述读取所述包头进一步包括读取源地址字段、目标地址字段、源端口字段、目标端口字段及协议字段中的至少之一。
6、根据权利要求2所述的方法,其特征在于,进一步包括给所述特殊数据包设置标记的步骤以指示所述特殊数据包与所述通讯会话相关。
7、根据权利要求6所述的方法,其特征在于,所述给特殊数据包设置标记的步骤包括建立所述特殊数据包与数据标记的联系的步骤。
8、根据权利要求2所述的方法,其特征在于,进一步包括检测所述数据包是否符合一网际协议的步骤。
9、根据权利要求2所述的方法,其特征在于,进一步包括检测所述数据包是否符合一传输控制协议的步骤。
10、根据权利要求1所述的方法,其特征在于,进一步包括识别与所述通讯会话相关的数据的特征的步骤。
11、根据权利要求10所述的方法,其特征在于,所述识别所述特征的步骤进一步包括识别所述与通讯会话相关数据的模式。
12、根据权利要求10所述的方法,其特征在于,所述识别所述特征的步骤还包括对所述与通讯会话相关的数据进行特征分析。
13、根据权利要求10所述的方法,其特征在于,所述识别所述特征的步骤还包括检测所述与通讯会话相关的数据是否符合一传输协议。
14、根据权利要求10所述的方法,其特征在于,所述识别所述特征的步骤还包括检测所述与通讯会话相关的数据是否要发送到一特殊目的地。
15、根据权利要求1所述的方法,其特征在于,所述进一步处理包括丢弃通讯会话。
16、根据权利要求1所述的方法,其特征在于,所述进一步处理包括以下至少其中之一:
记录至少一部分所述通讯会话的日志;
限制与所述通讯会话相关的带宽分配;
更改至少一部分与所述通讯会话相关的数据;
发起一消息传输到第一节点及第二节点中的至少之一;
配置网络资源使得允许通讯会话继续进行;及
扫描所述与通讯会话相关的数据的数据模式以辨别是否存在恶意代码。
17、根据权利要求1所述的方法,其特征在于,所述进一步处理包括在第三节点终止所述通讯会话,并把所述通讯会话划分为所述第一节点与第三节点之间的一第一通讯会话及所述第三节点与所述第二节点之间的一第二通讯会话,所述第三节点充当一代理节点。
18、根据权利要求1所述的方法,其特征在于,所述允许所述通讯会话继续进行的步骤还包括允许所述通讯会话在一第一数据传输路径中继续进行;其中,所述进一步处理通讯会话的步骤还包括将所述通讯会话转向到一第二数据传输路径,所述第二数据传输路径比所述第一数据传输路径更慢。
19、根据权利要求1所述的方法,其特征在于,所述当所述通讯会话的所述部分不满足条件时,允许所述通讯会话继续进行的步骤进一步包括在允许所述通讯会话的一第一部分继续进行的同时检测所述通信会话的另一部分是否满足所述条件。
20、根据权利要求19所述的方法,其特征在于,所述数据传输包括多个数据包,其中,所述允许所述通讯会话的一第一部分继续进行的步骤进一步包括在允许所述与通讯会话相关的在先的多个数据包被传输的同时检测与至少一与所述通讯会话相关的后起的数据包是否满足条件。
21、根据权利要求1所述的方法,其特征在于,进一步包括建立一标记和所述与通讯会话相关的数据间的关联的步骤,以对所述通讯会话的一部分是否满足条件作出响应。
22、根据权利要求1所述的方法,其特征在于,所述通讯会话为一第一通讯会话,其中,所述第一通讯会话引发一第二通讯会话,且进一步包括无论所述第二通讯会话是否满足所述条件,都对所述第二通讯会话进行进一步处理的步骤。
23、一种计算机可读介质,其特征在于,其被编码为用于引导一处理器电路实现权利要求1所述的方法。
24、一种计算机可读信号,其特征在于,其被编码为用于引导一处理器电路实现权利要求1中所述的方法。
25、一种在数据网络中用于管理数据传输的***,其特征在于,包括:
用于识别数据网络种与一第一节点与一第二节点之间的通讯会话相关的数据的装置;
用于当所述通讯会话的一部分满足条件时,进一步处理所述通讯会话的装置;
用于当所述通讯会话的所述部分不满足条件时,允许所述通讯会话继续进行的装置。
26、根据权利要求25所述的***,其特征在于,所述数据传输包括多个数据包,其中,所述用于识别与所述通讯会话相关的数据的装置包括用于识别所述与通讯会话相有关的特殊数据包的装置。
27、根据权利要求26所述的***,其特征在于,所述用于识别与所述通讯会话相关的特殊数据包的装置进一步包括用于读取通过所述第一节点与第二节点中的至少之一传输的数据包的装置。
28、根据权利要求26所述的***,其特征在于,所述用于识别与所述通讯会话相关的特殊数据包的装置进一步包括用于读取所述多个数据包中的每一个数据包的包头的装置。
29、根据权利要求28所述的***,其特征在于,所述用于读取所述包头的装置进一步包括用于读取源地址字段、目标地址字段、源端口字段、目标端口字段及协议字段中至少之一的装置。
30、根据权利要求26所述的***,其特征在于,进一步包括用于给所述特殊数据包标注标记的装置,以指明所述特殊数据包与所述通讯会话相关。
31、根据权利要求30所述的***,其特征在于,所述用于给特殊数据包标注标记的装置进一步包括用于建立所述特殊数据包与数据标记之间联系的装置。
32、根据权利要求26所述的***,其特征在于,进一步包括用于检测所述数据包是否符合一网际协议的装置。
33、根据权利要求26所述的***,其特征在于,进一步包括用于检测所述数据包是否符合一传输控制协议的装置。
34、根据权利要求25所述的***,其特征在于,进一步包括用于识别所述通讯会话相关数据的特征的装置。
35、根据权利要求34所述的***,其特征在于,所述用于识别所述特征的装置进一步包括用于识别所述与所述通讯会话相关的所述数据的模式的装置。
36、根据权利要求34所述的***,其特征在于,所述用于识别所述特征的装置进一步包括用于对所述与通讯会话相关的所述数据进行特征分析的装置。
37、根据权利要求34所述的***,其特征在于,所述用于识别所述特征的装置进一步包括用于检测所述与通讯会话相关的所述数据是否符合一具体的数据传输协议的装置。
38、根据权利要求34所述的***,其特征在于,所述用于识别所述特征的装置还包括用于检测所述与通讯会话相关的数据是否发送到一具体的目的地的装置。
39、根据权利要求25所述的***,其特征在于,所述用于进一步处理的装置还包括用于丢弃所述通讯会话的装置。
40、根据权利要求25所述的***,其特征在于,所述用于进一步处理的装置还包括以下至少其中之一的:
用于记录至少一部分通讯会话的日志的装置;
用于限制与所述通讯会话相关的带宽分配的装置;
用于更改至少一部分与所述通讯会话相关的数据的装置;
用于发起一消息传输到所述第一节点及所述第二节点中的至少之一的装置;
用于配置网络资源以允许所述通讯会话继续进行的装置;与
用于扫描所述与通讯会话相关数据的模式,以辨别是否出现恶意代码的装置。
41、根据权利要求25所述的***,其特征在于,所述用于进一步处理的装置还包括用于在一第三节点中终止通讯会话,并把所述通讯会话划分为所述第一节点与所述第三节点之间的一第一通讯会话和所述第三节点与所述第二节点之间的一第二通讯会话的装置,其中,所述第三个节点充当一代理节点。
42、根据权利要求25所述的***,其特征在于,所述用于允许所述通讯会话继续进行的装置还包括用于允许所述通讯会话在一第一数据传输路径中继续进行的装置;其中,所述进一步处理所述通讯会话的装置还包括用于将所述通讯会话转向到一第二数据传输路径的装置;其中,所述第二数据传输路径比所述第一个数据传输路径更慢。
43、根据权利要求25所述的***,其特征在于,所述用于当所述通讯会话的所述部分不满足条件时,允许所述通讯会话继续进行的装置进一步包括用于在允许所述通讯会话的一第一部分继续进行的同时检测所述通讯会话的另一部分是否满足所述条件的装置。
44、根据权利要求43所述的***,其特征在于,所述数据传输包括多个数据包,其中,所述允许所述通讯会话的第一部分继续进行的装置进一步包括在允许所述与通讯会话相关的在先的多个数据包被传输的同时检测与至少一与所述通讯会话相关的后起的数据包是否满足条件的装置。
45、根据权利要求25所述的***,其特征在于,所述通讯会话为一第一通讯会话,其中,所述第一通讯会话引发一第二通讯会话,且无论所述第二通讯会话是否满足所述条件时,进一步处理装置都对所述第二通讯会话进行进一步处理。
46、根据权利要求25所述的***,其特征在于,进一步包括用于根据所述通讯会话的所述部分是否满足条件的情况建立所述通讯会话和一标记的联系的装置。
47、一种在数据网络中用于管理一第一节点与一第二节点之间的数据传输***,其特征在于,包括:
处理器电路;及
一编制有代码的存储器,所述代码用于引导所述处理器电路实现权利要求1所述的方法。
48、一种数据网络中管理数据传输的***,其特征在于,包括:
会话标识器,可设置成用于识别与数据网络中一第一节点与一第二节点之间的通讯会话相关的数据;
会话控制器,具有用于接收控制信号的输入端,所述控制信号用于指示通讯会话是否满足条件,所述会话控制器响应所述控制信号,产生一信号指示所述通讯会话是否应该被允许继续进行或应该接受进一步处理。
49、根据权利要求48所述的***,其特征在于,还包括特征分析器,其可配置成用于产生所述控制信号,以对与通讯会话相关的数据特征的识别作出响应。
50、根据权利要求49所述的***,其特征在于,所述特征包括一特殊类型数据传输的模式特征。
51、根据权利要求49所述的***,其特征在于,所述特征包括一数据协议标识符。
52、根据权利要求49所述的***,其特征在于,所述特征包括一地址字段。
53、根据权利要求49所述的***,其特征在于,所述特征分析器还包括一包含分立逻辑元件的硬件电路。
54、根据权利要求49所述的***,其特征在于,所述特征分析器还包括一专用集成电路。
55、根据权利要求48所述的***,其特征在于,进一步包括一进一步处理模块,其可配置成用于实现所述进一步处理功能,所述进一步处理模块包括一第三节点,所述第三节点可配置用来把所述通讯会话划分所述第一节点与所述第三节点之间的一第一通讯会话及所述第三节点与所述第二节点之间的一第二通讯会话,所述第三个节点充当为一代理节点。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/220,762 US8166547B2 (en) | 2005-09-06 | 2005-09-06 | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
US11/220,762 | 2005-09-06 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1929472A true CN1929472A (zh) | 2007-03-14 |
CN1929472B CN1929472B (zh) | 2012-05-23 |
Family
ID=37829997
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006100013793A Active CN1929472B (zh) | 2005-09-06 | 2006-01-19 | 数据网络中管理数据传输的方法及*** |
Country Status (2)
Country | Link |
---|---|
US (5) | US8166547B2 (zh) |
CN (1) | CN1929472B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
CN101605132B (zh) * | 2009-07-13 | 2012-07-04 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8166547B2 (en) | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
US7580974B2 (en) | 2006-02-16 | 2009-08-25 | Fortinet, Inc. | Systems and methods for content type classification |
CA3045683C (en) | 2006-11-02 | 2021-10-26 | Voip-Pal.Com, Inc. | Producing routing messages for voice over ip communications |
CA2670510C (en) | 2006-11-29 | 2020-12-22 | Digifonica (International) Limited | Intercepting voice over ip communications and other data communications |
WO2008116296A1 (en) | 2007-03-26 | 2008-10-02 | Digifonica (International) Limited | Emergency assistance calling for voice over ip communications systems |
US8762556B2 (en) * | 2007-06-13 | 2014-06-24 | Apple Inc. | Displaying content on a mobile device |
US8630234B2 (en) | 2008-07-28 | 2014-01-14 | Digifonica (International) Limited | Mobile gateway |
US8289981B1 (en) | 2009-04-29 | 2012-10-16 | Trend Micro Incorporated | Apparatus and method for high-performance network content processing |
EP2478678B1 (en) | 2009-09-17 | 2016-01-27 | Digifonica (International) Limited | Uninterrupted transmission of internet protocol transmissions during endpoint changes |
US9185054B2 (en) | 2010-09-15 | 2015-11-10 | Oracle International Corporation | System and method for providing zero buffer copying in a middleware machine environment |
US8756329B2 (en) | 2010-09-15 | 2014-06-17 | Oracle International Corporation | System and method for parallel multiplexing between servers in a cluster |
US8607351B1 (en) * | 2010-11-02 | 2013-12-10 | The Boeing Company | Modeling cyberspace attacks |
US8732191B2 (en) | 2011-06-27 | 2014-05-20 | Oracle International Corporation | System and method for improving application connectivity in a clustered database environment |
US9378045B2 (en) | 2013-02-28 | 2016-06-28 | Oracle International Corporation | System and method for supporting cooperative concurrency in a middleware machine environment |
US8689237B2 (en) | 2011-09-22 | 2014-04-01 | Oracle International Corporation | Multi-lane concurrent bag for facilitating inter-thread communication |
US10095562B2 (en) | 2013-02-28 | 2018-10-09 | Oracle International Corporation | System and method for transforming a queue from non-blocking to blocking |
US9110715B2 (en) | 2013-02-28 | 2015-08-18 | Oracle International Corporation | System and method for using a sequencer in a concurrent priority queue |
US11095687B2 (en) * | 2011-11-18 | 2021-08-17 | Blue Armor Technologies, LLC | Network security system using statistical object identification |
US10491458B2 (en) * | 2013-01-31 | 2019-11-26 | Dell Products L.P. | System and method for reporting peer-to-peer transfer events |
US9998914B2 (en) | 2014-04-16 | 2018-06-12 | Jamf Software, Llc | Using a mobile device to restrict focus and perform operations at another mobile device |
US9647897B2 (en) | 2014-08-20 | 2017-05-09 | Jamf Software, Llc | Dynamic grouping of managed devices |
FR3043872B1 (fr) * | 2015-11-12 | 2019-05-24 | Qosmos Tech | Analyse asynchrone d'un flux de donnees |
US10382208B2 (en) * | 2016-04-29 | 2019-08-13 | Olympus Sky Technologies, S.A. | Secure communications using organically derived synchronized processes |
JP6780961B2 (ja) * | 2016-06-14 | 2020-11-04 | 株式会社ブリヂストン | ポリウレタン用アルデヒド捕捉剤、ポリウレタン、及びポリウレタンの製造方法 |
US11025595B2 (en) * | 2018-04-16 | 2021-06-01 | Samsung Electronics Co., Ltd. | Secure and anonymous data sharing |
US11110006B2 (en) * | 2018-09-07 | 2021-09-07 | Vialase, Inc. | Non-invasive and minimally invasive laser surgery for the reduction of intraocular pressure in the eye |
US11218512B2 (en) * | 2019-04-30 | 2022-01-04 | Palo Alto Networks, Inc. | Security policy enforcement and visibility for network architectures that mask external source addresses |
JP7138230B2 (ja) * | 2019-09-25 | 2022-09-15 | 株式会社日立製作所 | 計算機システム、データ制御方法及び記憶媒体 |
US20210234878A1 (en) * | 2020-01-26 | 2021-07-29 | Check Point Software Technologies Ltd. | Method and system to determine device vulnerabilities by scanner analysis |
Family Cites Families (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5623600A (en) | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
JP2812312B2 (ja) * | 1996-01-12 | 1998-10-22 | 三菱電機株式会社 | 暗号化システム |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US5740361A (en) * | 1996-06-03 | 1998-04-14 | Compuserve Incorporated | System for remote pass-phrase authentication |
US6553108B1 (en) | 1996-06-05 | 2003-04-22 | David Felger | Method of billing a communication session conducted over a computer network |
FR2753862B1 (fr) * | 1996-09-26 | 1998-12-11 | Henri Tebeka | Procede et systeme de communication interactive entre deux appareils telephoniques via le reseau internet |
US7058822B2 (en) * | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US6138110A (en) * | 1997-12-30 | 2000-10-24 | Alcatel Usa Sourcing, L.P. | Method and system for provisioning telecommunications services in an advanced intelligent network |
US6779118B1 (en) * | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
FR2782435B1 (fr) * | 1998-08-13 | 2000-09-15 | Bull Cp8 | Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US7260823B2 (en) * | 2001-01-11 | 2007-08-21 | Prime Research Alliance E., Inc. | Profiling and identification of television viewers |
US6594268B1 (en) | 1999-03-11 | 2003-07-15 | Lucent Technologies Inc. | Adaptive routing system and method for QOS packet networks |
US6701367B1 (en) | 1999-09-24 | 2004-03-02 | Sun Microsystems, Inc. | Mechanism for enabling customized session managers to interact with a network server |
US6556544B1 (en) * | 1999-10-22 | 2003-04-29 | Nortel Networks Limited | Method and system for provisioning network resources for dynamic multicast groups |
US6594686B1 (en) * | 2000-03-02 | 2003-07-15 | Network Associates Technology, Inc. | Obtaining user responses in a virtual execution environment |
US7760737B2 (en) * | 2000-11-30 | 2010-07-20 | Audiocodes, Inc. | Method for reordering and reassembling data packets in a network |
US7089592B2 (en) | 2001-03-15 | 2006-08-08 | Brighterion, Inc. | Systems and methods for dynamic detection and prevention of electronic fraud |
US20020184507A1 (en) * | 2001-05-31 | 2002-12-05 | Proact Technologies Corp. | Centralized single sign-on method and system for a client-server environment |
US7277944B1 (en) * | 2001-05-31 | 2007-10-02 | Cisco Technology, Inc. | Two phase reservations for packet networks |
US7900042B2 (en) * | 2001-06-26 | 2011-03-01 | Ncipher Corporation Limited | Encrypted packet inspection |
US6981280B2 (en) * | 2001-06-29 | 2005-12-27 | Mcafee, Inc. | Intelligent network scanning system and method |
US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US7584505B2 (en) * | 2001-10-16 | 2009-09-01 | Microsoft Corporation | Inspected secure communication protocol |
US7836503B2 (en) * | 2001-10-31 | 2010-11-16 | Hewlett-Packard Development Company, L.P. | Node, method and computer readable medium for optimizing performance of signature rule matching in a network |
US20030159060A1 (en) * | 2001-10-31 | 2003-08-21 | Gales George S. | System and method of defining the security condition of a computer system |
US7127613B2 (en) * | 2002-02-25 | 2006-10-24 | Sun Microsystems, Inc. | Secured peer-to-peer network data exchange |
WO2003078459A2 (en) * | 2002-03-18 | 2003-09-25 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for configuring and controlling network resources in content delivery with distributed rules |
WO2003100617A1 (en) * | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
US7583632B2 (en) | 2002-05-28 | 2009-09-01 | Nortel Networks Limited | Efficient handoffs between cellular and wireless local area networks |
US7415723B2 (en) | 2002-06-11 | 2008-08-19 | Pandya Ashish A | Distributed network security system and a hardware processor therefor |
US6931530B2 (en) * | 2002-07-22 | 2005-08-16 | Vormetric, Inc. | Secure network file access controller implementing access control and auditing |
US7334124B2 (en) * | 2002-07-22 | 2008-02-19 | Vormetric, Inc. | Logical access block processing protocol for transparent secure file storage |
US6678828B1 (en) | 2002-07-22 | 2004-01-13 | Vormetric, Inc. | Secure network file access control system |
AU2003272404A1 (en) * | 2002-09-16 | 2004-04-30 | Clearcube Technology, Inc. | Distributed computing infrastructure |
US7360099B2 (en) * | 2002-09-19 | 2008-04-15 | Tripwire, Inc. | Computing environment and apparatuses with integrity based fail over |
US7143288B2 (en) * | 2002-10-16 | 2006-11-28 | Vormetric, Inc. | Secure file system server architecture and methods |
US7562393B2 (en) * | 2002-10-21 | 2009-07-14 | Alcatel-Lucent Usa Inc. | Mobility access gateway |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7134143B2 (en) * | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
GB0226289D0 (en) * | 2002-11-11 | 2002-12-18 | Orange Personal Comm Serv Ltd | Telecommunications |
US7526800B2 (en) * | 2003-02-28 | 2009-04-28 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
US7366460B2 (en) | 2003-01-23 | 2008-04-29 | Dexterra, Inc. | System and method for mobile data update |
US7274943B2 (en) * | 2003-01-31 | 2007-09-25 | Nokia Corporation | Service subscription in a communication system |
US7260079B1 (en) * | 2003-04-07 | 2007-08-21 | Nortel Networks, Ltd. | Method and apparatus for directional transmission of high bandwidth traffic on a wireless network |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
WO2004097584A2 (en) * | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
US7042871B2 (en) * | 2003-07-23 | 2006-05-09 | Mci, Llc | Method and system for suppressing early media in a communications network |
US7392542B2 (en) * | 2003-08-29 | 2008-06-24 | Seagate Technology Llc | Restoration of data corrupted by viruses using pre-infected copy of data |
US7451487B2 (en) | 2003-09-08 | 2008-11-11 | Sonicwall, Inc. | Fraudulent message detection |
US7937759B2 (en) * | 2003-10-02 | 2011-05-03 | Auburn University | System and method for protecting communication devices from denial of service attacks |
US7581249B2 (en) * | 2003-11-14 | 2009-08-25 | Enterasys Networks, Inc. | Distributed intrusion response system |
US20050182958A1 (en) * | 2004-02-17 | 2005-08-18 | Duc Pham | Secure, real-time application execution control system and methods |
US20050182966A1 (en) | 2004-02-17 | 2005-08-18 | Duc Pham | Secure interprocess communications binding system and methods |
US20060031571A1 (en) | 2004-04-29 | 2006-02-09 | International Business Machines Corporation | Data communications through a split connection proxy |
US7565694B2 (en) * | 2004-10-05 | 2009-07-21 | Cisco Technology, Inc. | Method and apparatus for preventing network reset attacks |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US20070071200A1 (en) * | 2005-07-05 | 2007-03-29 | Sander Brouwer | Communication protection system |
US20070050846A1 (en) * | 2005-08-30 | 2007-03-01 | Fortinet, Inc. | Logging method, system, and device with analytical capabilities for the network traffic |
US8166547B2 (en) | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
NO324315B1 (no) * | 2005-10-03 | 2007-09-24 | Encap As | Metode og system for sikker brukerautentisering ved personlig dataterminal |
US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
US8024797B2 (en) * | 2005-12-21 | 2011-09-20 | Intel Corporation | Method, apparatus and system for performing access control and intrusion detection on encrypted data |
JP4770494B2 (ja) * | 2006-02-03 | 2011-09-14 | 株式会社日立製作所 | 暗号通信方法およびシステム |
US7817802B2 (en) * | 2006-10-10 | 2010-10-19 | General Dynamics C4 Systems, Inc. | Cryptographic key management in a communication network |
CA3045683C (en) * | 2006-11-02 | 2021-10-26 | Voip-Pal.Com, Inc. | Producing routing messages for voice over ip communications |
US20080183623A1 (en) * | 2007-01-29 | 2008-07-31 | Zhangwei Xu | Secure Provisioning with Time Synchronization |
WO2008113405A1 (en) * | 2007-03-16 | 2008-09-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Securing ip traffic |
US20100023228A1 (en) * | 2007-07-13 | 2010-01-28 | Montgomery James L | Apparatus and method for the positioning of a tool of a ground engaging vehicle |
US8769268B2 (en) * | 2007-07-20 | 2014-07-01 | Check Point Software Technologies, Inc. | System and methods providing secure workspace sessions |
FR2919974B1 (fr) * | 2007-08-08 | 2010-02-26 | Fidalis | Systeme d'information et procede d'identification par un serveur d'application d'un utilisateur |
EP2415203A1 (en) * | 2009-04-01 | 2012-02-08 | Nokia Siemens Networks OY | Delegate procedure for an authentication, authorization and accounting protocol |
US8700892B2 (en) * | 2010-03-19 | 2014-04-15 | F5 Networks, Inc. | Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion |
-
2005
- 2005-09-06 US US11/220,762 patent/US8166547B2/en active Active
-
2006
- 2006-01-19 CN CN2006100013793A patent/CN1929472B/zh active Active
-
2011
- 2011-09-30 US US13/250,285 patent/US8856884B2/en active Active
- 2011-09-30 US US13/250,364 patent/US9118719B2/en active Active
-
2014
- 2014-08-26 US US14/469,285 patent/US20140366089A1/en not_active Abandoned
-
2016
- 2016-03-17 US US15/073,459 patent/US9729655B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101924660A (zh) * | 2009-06-09 | 2010-12-22 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
CN101924660B (zh) * | 2009-06-09 | 2014-07-02 | 阿尔卡特朗讯公司 | 检测网络恶意行为的方法和装置 |
CN101605132B (zh) * | 2009-07-13 | 2012-07-04 | 深圳市深信服电子科技有限公司 | 一种网络数据流识别方法 |
Also Published As
Publication number | Publication date |
---|---|
US8166547B2 (en) | 2012-04-24 |
CN1929472B (zh) | 2012-05-23 |
US9729655B2 (en) | 2017-08-08 |
US20140366089A1 (en) | 2014-12-11 |
US20120023557A1 (en) | 2012-01-26 |
US20070053382A1 (en) | 2007-03-08 |
US20120023228A1 (en) | 2012-01-26 |
US8856884B2 (en) | 2014-10-07 |
US20170013077A1 (en) | 2017-01-12 |
US9118719B2 (en) | 2015-08-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1929472A (zh) | 数据网络中管理数据传输的方法、***、信号及介质 | |
CN1158615C (zh) | 对流媒体服务器实现负载均衡的方法和设备 | |
CN1140968C (zh) | 多点传播递送服务重发控制方法及*** | |
CN1856163A (zh) | 一种具有会话边界控制器的通信***及其传输信令的方法 | |
CN1909503A (zh) | 一种探测路径最大传输单元的方法 | |
CN1838636A (zh) | 用于使数据包穿越网络地址转换装置的方法和装置 | |
CN1722729A (zh) | 用于在异构网络之间通信的***和方法 | |
CN1585382A (zh) | 在无线局域网接入点中处理分组数据的设备和方法 | |
CN1354578A (zh) | 动态负载平衡器 | |
CN1661989A (zh) | 通信终端 | |
CN101068142A (zh) | 一种通信架构及其内的中间路由节点和方法 | |
CN1728671A (zh) | 服务器设备及其控制方法和使用该服务器建立连接的方法 | |
CN1897575A (zh) | 多址传送通信方法 | |
CN1431805A (zh) | 数据包交换***、方法,路由设备,数据包结构和产生方法 | |
CN1863157A (zh) | 穿越nat实现网络通信的方法及装置 | |
CN1731740A (zh) | 网络设备的管理方法及网络管理*** | |
CN101080704A (zh) | Av服务器设备 | |
CN1501659A (zh) | 通信装置、边界路由器装置、服务器装置、通信***和通信方法 | |
CN1889527A (zh) | 一种实现多链路传输的负荷分担的装置和方法 | |
CN1946061A (zh) | 一种快速处理报文的方法及装置 | |
CN1839591A (zh) | 用于丢弃缓冲器中对应于同一分组的所有段的方法 | |
CN1898649A (zh) | 防止网络重置拒绝服务攻击 | |
CN1946060A (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
CN1767493A (zh) | 实现voip业务穿越私网的***及方法 | |
CN101060492A (zh) | 会话检测方法及会话检测*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20090925 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20090925 Address after: California, USA Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |