FI109165B - A method for controlling data traffic - Google Patents
A method for controlling data traffic Download PDFInfo
- Publication number
- FI109165B FI109165B FI992056A FI19992056A FI109165B FI 109165 B FI109165 B FI 109165B FI 992056 A FI992056 A FI 992056A FI 19992056 A FI19992056 A FI 19992056A FI 109165 B FI109165 B FI 109165B
- Authority
- FI
- Finland
- Prior art keywords
- level
- network
- middleware
- name
- address
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
! ) : 109165! ): 109165
Menetelmä tieto verkkoliikenteen ohjaamiseksiA method for controlling network traffic information
Keksinnön kohteena on patenttivaatimuksen 1 mukainen menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy 5 kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, ja jossa yhdistetään middleware-tason ja verkkotason sidoksia verkkotason liikenneohjaukseen.The invention relates to a method for controlling data traffic according to claim 1, wherein the data packet is denied access to its destination address based on the source or destination address of the data packet, and which combines middleware level and network level connections with network level traffic control.
Tietoliikenneverkoisssa kulkeva liikenne on jaettu hierarkiatasoihin. Tietyn hierarkiatason liikenne on läpinäkyvää toisten hierarkiatasojen elementeille. Tässä 10 hakemuksessa käsite middleware-taso vastaa tietoliikenteen hierarkiatasoja kuvaavan ISO:n (International Organization for Standardization) OSI-mallin (Open System Interconnection) kerroksia 4-7 eli kuljetus- (transport), yhteys- (session), esitystapa-(presentation) ja sovelluskerroksia (application layer). Middleware on ohjelmistoa, jolla toteutetaan ko. kerrosten toiminnallisuus.Traffic on telecommunication networks is divided into hierarchical levels. Traffic at a particular hierarchical level is transparent to elements of other hierarchical levels. In this 10 application, the term middleware corresponds to layers 4-7 of the International Organization for Standardization (OSI) model of communication hierarchy levels, i.e. transport, session, presentation and application layers. Middleware is software that implements that software. layers functionality.
i 1515
Eräs middleware-tason protokolla on DNS, jonka mukaisesti Intemet-resursseille annetaan DNS-nimi, joka ei sisällä resurssin verkkotason sijaintitietoa. Viittaaminen resursseihin DNS-nimillä on tarpeen, koska esim. host-resurssien eli Intemettiin . .·. kytkettyjen tietokoneiden IP-osoitteet eivät ole enää staattisia, vaan vaihtuvat esim.One middleware-level protocol is DNS, which assigns Internet resources a DNS name that does not contain the network-level location information for the resource. Referring to resources with DNS names is necessary because, for example, host resources, or the Internet. . ·. the IP addresses of connected computers are no longer static, but change eg.
: 20 dynaamisten IP-osoitepäivitysten ja päätelaitteiden verkkosijaintien muutosten takia.: 20 due to dynamic IP address updates and changes to the network location of terminals.
:'' ‘: Lisäksi, päätelaitteiden käyttäjät eivät Intemet-suositusten mukaan saa käyttää suoraan IP-osoitteita, vaan aina DNS-nimiä. Tietoverkkoresursseja, jotka nimetään ! :T: middlewaretason nimillä voivat myös olla tietoverkossa ajettavia sovellusohjelmia tai : niiden instansseja tai tietoverkkoon tallennettuja dokumentteja.: '' ': Additionally, according to Internet recommendations, terminal users are not allowed to directly use IP addresses, but always DNS names. Network resources to be named! : T: Middleware-level names can also be applications running on the network, or: their instances or documents stored on the network.
25 • «t v : Tunnetuissa tietoliikenneverkoissa verkkopäätelaitteelle tulevaa liikennettä tai v ; verkkopäätelaitteelta lähtevän liikenteen perillepääsyä pystytään rajoittamaan : ‘: verkkotason informaation, kuten IP-osoitteen, perusteella jolloin saadaan tarvittaessa : ’' ’: estettyä tietyistä verkkotason osoitteista, kuten IP-osoitteista, tuleva tai niihin suunnattu 30 liikenne tai toisaalta mahdollistettua liikenne ainoastaan tietyistä verkkotason osoitteista : tai tiettyihin verkkotason osoitteisiin. Tällainen rajoittaminen onnistuu esimeikiksi palomuurien avulla. Palomuuri on jäijestely, jossa organisaation sisäinen verkko on 2 109165 yhdistetty ulkoiseen verkkoon määrätyn valvontaelementin kautta, jolloin määrätyistä verkkotason osoitteista tuleva liikenne voidaan pysäyttää palomuuriin. Ulosmenevää liikennettä voidaan valvoa vastaavalla tavalla.25 • «t v: In a known communication network, the incoming traffic to the network terminal, or v; access to traffic departing from the network terminal can be limited by: ': based on network-level information such as IP address, where necessary:' ': block traffic from or to certain network-level addresses, such as IP addresses, or allow traffic from certain network-level addresses only : or to certain network-level addresses. For example, firewalls do this. A firewall is a rigid system in which an internal network of an organization is 2,109,165 connected to an external network through a dedicated control element, whereby traffic from specific network-level addresses can be stopped by the firewall. Outgoing traffic can be monitored in a similar way.
5 Tunnetun tekniikan puutteena on se, että middleware-tason (esim. DNS) ja verkkotason liikenneohjaukset toimivat erillään, jolloin mahdolliset middleware-tason liikennerajoitukset, kuten estolistat, jotka sisältävät kielletyjä lähde- tai kohdenimiä, eivät rajoita verkkotason liikennettä ja näinollen suojaamattomalle verkkotasolle pääsee helposti tarpeetonta ja ei-toivottua liikennettä, kuten mainospostia tai vastaanottajan 10 kiusaksi lähetettyä roskatietoa. Middleware- ja verkkotason liikenteenrajoituksen tehokkaasti ja dynaamisesti yhdistäviä ratkaisuja ei tunneta.5 A disadvantage of the prior art is that middleware (e.g., DNS) and network-level traffic controls operate separately, so that any middleware-level traffic restrictions, such as blocking lists that contain prohibited source or target names, do not restrict network-level traffic and thus easily access the unprotected network layer. unnecessary and unwanted traffic, such as spam or spam information sent to the recipient 10. There are no known solutions that efficiently and dynamically combine middleware and network-level traffic control.
Middleware-tasolla toteutetut suljetut käyttäjäryhmät (VPN, Virtual Private Network) eivät heijastu automaattisesti verkkotasolle, joten liikennettä, jota ei haluta vastaanottaa, 15 voidaan helposti lähettää middlewaretason suljettujen käyttäjäryhmien verkkoihin tai verkon osiin, jos esimerkiksi ryhmän DNS-nimiä tai IP-osoitteita on tiedossa. Tämä voi joissakin tapauksissa aiheuttaa vahinkoa tietoverkon välityskapasiteetin rajallisuuden takia. Kun liikenne jota ei haluta tukkii verkon, halutun liikenteen perillepääsy hidastuu ; tai estyy.Middleware-level closed user groups (VPNs) do not automatically reflect at the network level, so unwanted traffic 15 can easily be sent to networks or parts of the network at middleware closed user groups if, for example, the group's DNS names or IP addresses are known . In some cases this may cause damage due to the limited capacity of the data network. When unwanted traffic is blocked by the network, the arrival of the desired traffic slows down; or is blocked.
: 20 Tietoverkkoresurssien sijainti voi vaihtua tietystä IP-osoitteesta toiseen ja tällöin : ": tiettyyn IP-osoitteeseen asetettu esto ei estä toisesta IP-osoitteesta tulevaa liikennettä.: 20 The location of network resources may change from one IP address to another: ": Blocking a particular IP address does not prevent traffic from another IP address.
Esiintyy myös tarvetta rajoittaa DNS-nimien perusteella tiettyjen yleisesti saatavilla ... olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti mm.There is also a need to restrict the availability of certain commonly available cyberspace resources based on DNS names by the interface, terminal or user, e.g.
lastensuojelu- ja tarkoituksenmukaisuussyistä. Tunnettu tekniikka ei kuitenkaan •; , 25 mahdollista tätä.for the sake of child protection and expediency. However, prior art does not •; , 25 possible for this.
.· · Keksinnön tarkoituksena on aikaansaada aivan uudentyyppinen menetelmä, jonka : ’: avulla edellä kuvatut tunnetun tekniikan ongelmat on mahdollista ratkaista. Keksintö ; : perustuu siihen, että yhdistetään Internet middleware- ja Internet reititin ja/tai ... aktiiviverkkotekniikoita. Ohjataan tilaajaliittymään menevä ja sieltä tuleva liikenne ,' ·, · 30 automaattisen seurantajäijestelmän läpi. Tällainen seurantajärjestelmä voi olla ns.It is an object of the present invention to provide a completely new type of method which enables the prior art problems described above to be solved. The invention; : based on combining Internet middleware and Internet router and / or ... active network technologies. Traffic to and from the local loop is controlled through '·, · 30 automated tracking systems. Such a monitoring system may be so-called.
aktiivisolmu tai erillinen reitittimen sisältävä palvelin, joka kykenee käsittelemään 3 109165 seurantajärjestelmän läpi menevien tietopakettien, kuten IP-pakettien, otsakkeita ja sisältöä, dynaamisesti vaihdettavissa olevan ohjelman mukaan. Dynaamisesti vaihdettavissa olevalla ohjelmalla tarkoitetaan tässä, että seurantajärjestelmää ohjaava tietokoneohjelma on päivitettävissä ilman häiritsevää katkoa seurantajärjestelmän 5 toiminnassa. Dynaamista päivitettävyyttä käytetään, kun muutetaan kiellettyjen middleware-tason osoitteiden estolistaa ja niiden verkkotason vastineista koostuvaa estolistaa automaattisessa seurantajärjestelmässä ja/tai muualla operaattorin järjestelmässä. Keksinnön mukaisessa ratkaisussa käytetään aiemmin määriteltyä middlewaretason nimistöä joka voi olla tietty nimiavaruus, esim. kaikki DNS-nimet, 10 joille tietty tai tietyt nimipalvelinjärjestelmät kykenevät löytämään verkkotason vastineet tai nimiavaruus, joka sisältää kaikki syntaksiltaan oikeaoppiset tietyn middlewaretason nimiavaruuden, esim DNS-järjestelmän, nimet, mutta joille kaikille ei välttämättä löydy verkkotason vastineita.an active node or a separate server containing a router capable of handling 3,109,165 headers and content of information packets, such as IP packets, through a tracking system, according to a dynamically changeable program. By dynamically interchangeable software is meant that the computer program controlling the monitoring system can be upgraded without interruption in the operation of the monitoring system 5. Dynamic upgradeability is used to modify the blocking list of forbidden middleware addresses and their network-level counterparts in the automated tracking system and / or elsewhere in the operator system. The solution of the invention uses a predefined middleware-level nomenclature which can be a particular namespace, e.g., all DNS names, for which a particular or certain nameserver systems are able to find network-level equivalents or namespace containing all syntaxically correct names of a given middleware-level namespace, but not all of which may have network-level equivalents.
Aiemmin määritellystä nimiavaruudesta rajataan päivitettävissä oleva 15 tilaajaliittymäkohtainen middleware-tason nimistö. Tilaajaliittymäkohtainen middleware-tason nimistö sisältää middleware-tason nimiä joilla nimetyille tietoverkkoresursseille halutaan hyväksyä ja/tai joilla nimetyille tieto verkkoresursseille ei haluta hyväksyä liikennettä tietystä tilaajaliitttymästä ja/tai middlewaretason nimiä joilla nimetyiltä tietoverkkoresursseilta tuleva liikenne halutaan päästää tiettyyn : 20 tilaajaliittymään ja/tai joilla nimetyiltä tietoverkkoresursseilta tulevaa liikennettä ei : *: haluta päästää tiettyyn tilaajaliittymään.The predefined namespace delimits the 15 subscriber interface-specific middleware-level nomenclatures that can be upgraded. The subscriber-specific middleware-level nomenclature contains middleware-level names for which to denote named network resources and / or denied traffic to named network resources and / or middleware-level names for denying traffic to or from certain nameservers: no incoming traffic: *: want to access a specific local loop.
Tilaajaliittymäkohtainen middlewaretason nimistö tallennetaan automaattiseen ... seurantajärjestelmään, muualle operaattorin järjestelmään tai operaattorin järjestelmän • · saataville. Keksinnössä pysäytetään automaattiseen seurantajärjestelmään liikennettä, 25 joka tulee sellaisesta verkkotason osoitteesta tai on kohdennettu sellaiseen verkkotason ·;·. osoitteeseen, jonka juuri tietyllä hetkellä voimassa olevaan middleware-tason vastinnimellä nimetylle tietoverkkoresurssille ei hyväksytä liikennettä tilaajaliittymäkohtaisen middleware-tason nimistön perusteella. Tietyn middleware-tason nimen ja verkkotason osoitteen välinen sidos saadaan nimipalvelinjärjestelmän -; - * 30 vastausviestistä, jonka vastausviestin mukainen verkkotason osoite pidetään voimassa ' * enintään vastausviestissä määritellyn voimassaoloajan, jolloin saadaan estettyä liikenne verkkotason osoitteisiin, joiden voimassaolevia middleware-tason vastinnimiä ei 4 109165 tunneta ja middleware-tason nimien mukaisille tietoverkkoresursseille tai tietoverkkoresursseilta, joille suunnattua taljoilta tulevaa liikennettä ei hyväksytä.Subscriber interface-specific middleware-level nomenclature is stored ... in an automated tracking system, elsewhere in the operator system, or available to the operator system. The invention stops traffic to an automatic tracking system coming from or targeted to such a network-level address ;; to an address where traffic to a cache resource named at a specific middleware level nickname at a given time is not accepted based on a subscriber interface specific middleware layer nomenclature. The link between a given middleware-level name and a network-level address is obtained by the -; - * out of 30 replies with a network address corresponding to the reply message 'up to the maximum validity period specified in the reply message to block traffic to network addresses with no valid middleware equivalent 4,109,165 and middleware level names from network resources or network resources traffic is not accepted.
Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoliikenteen 5 ohjaamiseksi on tunnusomaista se, mikä on mainittu patenttivaatimuksen 1 tunnusmerkkiosassa.More specifically, the method for controlling data communication 5 according to the invention is characterized by what is mentioned in the characterizing part of claim 1.
I Keksinnön avulla saavutetaan huomattavia etuja. Keksinnön avulla saadaan vähennettyä i turhaa ja ei-toivottua verkkotason liikennettä. Keksintö mahdollistaa middleware-tason 10 nimiin kuten DNS-nimiin perustuvien estolistojen tai suljettujen middlewaretasolla määritettyjen käyttäjäryhmien (VPN, Virtual Private Network) muodostamisen, joissa ryhmän määrittely verkkotasolla dynaamisesti päivittyy middlewaretasolla määritellyn ryhmän mukaisesti sellaiseksi, että ryhmän rajaus verkkotasolla pysyy ryhmän middlewaretason nimien voimassa olevien verkkotason vastineiden mukaisena.The invention provides considerable advantages. The invention provides for the reduction of unnecessary and unwanted network-level traffic. The invention enables blocking lists based on middleware-level names such as DNS names or Virtual Private Network (VPN) closed clusters in which the network-level group definition is dynamically updated according to the middleware-level group so that the group-level network definition remains valid for the group middleware-level names as matched.
1515
Keksinnön avulla operaattorille ja verkon käyttäjille avautuu mahdollisuus estää halutusta tilaajaliittymästä sellaisilla middlewaretason nimillä nimetyille .' · tietoverkkoresursseille suunnattu liikenne, joita vastaavia verkkotason osoitteita ei ole : tiedusteltu tilaajaliittymästä lähetetyllä nimipalvelintiedustelulla tiettynä aikana.The invention enables the operator and the network users to prevent the desired subscriber line from being named by such middleware-level names. ' · Traffic to cyber resources for which there are no corresponding network-level addresses: Requested by a name server request sent to the subscriber line at a specified time.
: ' ‘: 20 Menetelmää voidaan myös soveltaa niin, että määritellään ainakin yksi verkkotason osoite tai osoitteita, jonne suunnattu tai josta tuleva liikenne hyväksytään, vaikka .* : kyseistä verkkotason osoitetta ei olekaan saatu nimipalvelinjärjestelmältä tiettynä : : aikana.: '': 20 The method can also be implemented by specifying at least one network-level address or addresses to which traffic to or from is accepted, though. *: That network-level address has not been received from the nameserver at a particular time::.
:: : 25 Menetelmässä verkkotaso pystyy automaattisesti konfiguroitumaan siten, että se tukee . · · ylemmän kerroksen konfiguraatiota. Jos liikenne siis estetään jollekin DNS-nimelle tai nimiavaruudelle, myös liikenne ko. nimeen tai nimiavaruuteen sidottuun IP-: : osoitteeseen tai osoiteavaruuteen estyy ilman erillistä IP- osoitepohjaisten estolistojen . . konfigurointia, ja näin saadaan estettyä liikenne tiettyihin verkko-osoitteisiin tai tietyistä . *. : 30 verkko-osoitteisiin DNS-nimien perusteella.::: 25 In this method, the network layer is automatically configured to support. · · Upper layer configuration. So if traffic is blocked for a DNS name or namespace, traffic for that DNS will also be blocked. is blocked without a separate IP address-based blocking list. . configuration to prevent traffic to or from certain web addresses. *. : 30 web addresses based on DNS names.
5 1091655,109,165
Keksinnön avulla saadaan rajoitettua DNS-nimien perusteella tiettyjen yleisesti saatavilla olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti esim. lastensuojelu- tai tarkoituksenmukaisuussyistä.By means of the invention it is possible to restrict the availability of certain commonly available data network resources based on DNS names for the subscriber, the terminal or the user, e.g. for reasons of child protection or expediency.
Keksintöä tarkastellaan seuraavassa esimerkkien avulla ja oheisiin piirustuksiin viitaten.The invention will now be described by way of example and with reference to the accompanying drawings.
I 5I 5
Keksinnöllä on kaksi perussovellusta TCP/IP-ympäristössä, joita voidaan käyttää rinnakkainkin:The invention has two basic applications in a TCP / IP environment that can be used in parallel:
Kuvion 1 mukainen lähtevän IP-liikenteen esto osoitteisiin, jotka eivät ole DNS-10 järjestelmän tiedossa ja/tai joita ei ole sallittu.Figure 1 illustrates an outbound IP traffic blocking for addresses that are not known to the DNS-10 system and / or are not allowed.
Kuvion 2 mukainen ei-toivotun IP-liikenteen esto middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.The blocking of unwanted IP traffic as shown in Figure 2 due to the automatic and active migration to middle layer traffic control configurations.
1515
Estettäessä kuvion 1 mukaisesti lähtevän IP-liikenteen pääsy osoitteisiin, joita ei ole DNS-järjestelmän tiedossa, ja/tai joita ei ole sallittu käytetään mm. seuraavia komponentteja ja suoritetaan seuraavia toimenpiteitä. Esimerkissä tietty tai tietyt nimipalvelin]äijestelmät kykenevät suorittamaan resoluution aikaisemmin määritetylle *;;. * 20 middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö ;1 *. on koko se nimiavaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietytWhen blocking outbound IP traffic as shown in Figure 1, addresses that are not known to the DNS system and / or are not allowed to be used e.g. following components and performing the following operations. In the example, certain or certain nameserver systems are capable of performing a resolution on a previously defined * ;; * 20 middleware level nomenclature, and with previously defined middleware level nomenclature; is the entire namespace that is syntaxed to the namespace for which a certain or certain
• * I• * I
nimipalvelin] äijestelmät kykenevät suorittamaan resoluution, mutta jonka !..t nimiavaruuden yksittäisellä nimellä ei välttämättä ole verkkotason vastinetta, ja jossa • * · tilaajaliittymäkohtainen middlewaretason nimistö on nimiavaruus, jolle tietty 25 nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. Esimerkissä on käytetty tiettynä nimipalvelinjäijestelmänä DNS-jäijestelmää ja aikaisemmin määriteltynä middlewaretason nimiavaruutena syntaksiltaan oikeaoppisia DNS-nimiä.nameserver] operating systems are capable of performing a resolution but whose! .. t namespace single name may not have a network-level equivalent, and where * * · subscriber-specific middleware-level nomenclature is a namespace for which a given 25 nameserver system can find network-level equivalent. The example uses DNS for a given name server system and for a previously defined middleware-level namespace, syntax-correct DNS names.
• > · !Tilaajaliittymäkohtainen middlewaretason nimistö koostuu niistä nimistä, joille DNS-> * '·’ järjestelmä kykenee suorittamaan resoluution tilaajaliittymästä 10 lähetetyn DNS- •; · * 30 tiedustelun perusteella.•> ·! The subscriber interface-specific middleware-level nomenclature consists of the names for which the DNS-> * '·' system is able to execute the resolution of the DNS transmitted from the subscriber interface •; · * 30 based on inquiry.
• · 6 109165• · 6 109165
Tilaajaliittymä 10, on olennaisesti ns. Stub-intemet, joka vain yhdistää asiakasverkon ja aktiivisolmun 11. Aktiivisolmu 11 on tietoverkkoelementti, johon on sisälletty ohjelmisto, jolla seurataan aktiivisoImuun 11 tulevien IP-pakettien otsaketietoja sekä ohjataan IP-pakettien kulkua. Aktiivisolmu 11 on sijoitettu siten, että kaikki 5 verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta.The subscriber interface 10 is essentially a so-called subscriber interface. The Stub Internet, which merely connects the client network and the active node 11. The active node 11 is a network element containing software that tracks the header information of the IP packets coming to the active node 11 and controls the flow of the IP packets. The active node 11 is positioned such that all network traffic to the first subscriber line 10 passes through it.
Tilaajaliittymäkohtaista middlewaretason nimistöä on voitu rajata aiemmin määritellystä myös esimerkin mukaisessa sovelluksessa. Tällöin aktiivisolmuun 11 tallennetaan sallituista ja/tai kielletyistä DNS-nimistä koostuva estolista, jota voidaan tarvittaessa dynaamisesti päivittää esim. operaattorin jäijestelmästä tai tilaajaliittymästä 10 10 tulevalla ohjauksella. Tilaajaliittymästä 10 lähtevät DNS-tiedustelut, jotka ylipäänsä ohjataan DNS-jäijestelmälle ohjataan DNS-palvelimelle 12.The subscriber interface-specific middleware-level nomenclature may have been limited to those previously defined in the example application. In this case, a block list consisting of allowed and / or denied DNS names is stored in the active node 11, which can be dynamically updated, if necessary, by means of control from, for example, an operator ice system or a subscriber interface 1010. The DNS queries from the subscriber interface 10 are routed to the DNS server 12 and are routed to the DNS rigid system.
Menetelmässä suoritetaan seuraavia vaiheita. Vaiheet 101 - 102 suoritetaan, jotta saadaan estettyä sellaisten tilaajaliittymästä 10 lähetettyjen nimipalvelinjäijestelmälle 15 suunnattujen tiedustelujen eteneminen nimipalvelinjärjestelmään, jotka koskevat DNS-nimiä, joilla nimetyille tietoverkkoresursseille ei haluta hyväksyä tietoliikennettä tilaajaliittymästä 10.The method comprises the following steps. Steps 101 to 102 are performed to prevent requests from the subscriber interface 10 for the nameserver system 15 from being forwarded to the nameserver system for DNS names that do not wish to accept communications from the subscriber interface 10 to the designated network resources.
101) Vastaanotetaan tilaajaliittymästä 10 lähetetty kysyttyä DNS-nimeä 13 koskeva 20 DNS-palvelimelle 12 suunnattu tiedustelu aktiivisolmussa 11.101) Receiving a request 20 from the subscriber interface 10 to the DNS server 12 for the requested DNS name 13 in the active node 11.
| 102) Lähetetään (102a) kysyttyä DNS-nimeä 13 koskeva tiedustelu aktiivisolmusta 11 DNS-palvelimelle 12, jos kysytty DNS nimi 13 on sallittu tai kuuluu , ; ·. sallittuun middlewaretason nimistöön estolistalle.. Muutoin tiettyä DNS-nimeä I · 25 koskevaa tiedustelua ei lähetetä eteenpäin eikä sallittujen verkko-osoitteitten ; ·. listaa täydennetä. Tällöin asiakas-host:lle tilaajaliittymään 10 lähetetään (102b) 'DNS-vastaus DNS-palvelimen 12 lähdeosoitteella, jossa kerrotaan että tiettyä . j. t DNS-nimeä ei ole, tai vaihtoehtoisesti jokin muu sopivampi virheilmoitus.| 102) Sending (102a) a query about the requested DNS name 13 from the active node 11 to the DNS server 12 if the requested DNS name 13 is allowed or belongs to; ·. otherwise, a request for a specific DNS name I · 25 will not be forwarded nor will it be allowed to the allowed web addresses; ·. to complete the list. The client-host to the subscriber interface 10 is then sent (102b) a 'DNS response' at the source address of the DNS server 12, which indicates that a particular one. j. t There is no DNS name, or alternatively a more appropriate error message.
30 Seuraavat vaiheet suoritetaan, jos tiettyä DNS-nimeä koskeva tiedustelu lähetettiin ·,: eteenpäin DNS-palvelimelle 12. Vaihe 103 suoritetaan, jotta aktiivisolmu päivittyisi hyväksymään liikenteen sellaisella DNS-nimellä nimetylle tietoverkkoresurssille, jolle 7 109165 halutaan hyväksyä liikennettä. Vaihe 103 on välttämätön vaiheen 104 onnistumisen kannattaja vaihe 105 voidaan suorittaa riippumatta muista vaiheista.30 The following steps are performed if a request for a particular DNS name was sent to ·,: forward to the DNS server 12. Step 103 is performed to update the active node to accept traffic to a network resource named by a DNS name for which traffic is to be accepted. Step 103 is a necessary step for the success of step 104 Step 105 can be performed independently of the other steps.
5 103) Vastaanotetaan aktiivisolmussa 11 DNS-palvelimen 12 vastausviesti vaiheessa 101 lähetettyyn tiedusteluun. Jos vastausviesti sisältää kysytyn DNS-nimen 13 ja sitä vastaavan kysytyn IP-osoitteen 14 sekä tämän ja DNS-nimen 13 välisen kysytyn sidoksen voimassaoloajan 15 TTL-kentässä, kysytty IP-osoite 14 määritellään hyväksytyksi osoitteeksi aktiivisolmuun tallennetulle verkkotason 10 estolistalle. Aktiivisolmu 11 aktivoituu sallimaan liikenteen kysytyn DNS- nimen 13 mukaiseen IP-osoitteeseen 14 enintään kysytyn sidoksen voimassaoloajan 15 DNS-palvelimen 12 lähettämä vastausviesti lähetetään aktiivisoImusta eteenpäin tilaajaliittymään 10 asiakas-host:lle.103) Receiving, in the active node 11, a response message from the DNS server 12 to the inquiry sent in step 101. If the response message contains the requested DNS name 13 and the corresponding requested IP address 14, and the requested link validity period 15 between this and the DNS name 13 in the TTL field, the requested IP address 14 is defined as an accepted address in the network-level blocking list 10. The active node 11 is activated to allow traffic to the IP address 14 of the requested DNS name 13 for up to the requested binding period 15 The response message sent by the DNS server 12 is transmitted from the active node to the subscriber interface 10 to the client host.
15 Seuraavaksi vastaanotetaan aktiivisolmussa asiakas-host:lta Stub-intemetin eli tilaajaliittymän 10 kautta kysyttyyn IP-osoitteeseen 14 suunnattu ensimmäisen viesti, vaiheessa 104 ja/tai kiellettyyn IP-osoitteeseen suunnattu toinen viesti vaiheessa 105.Next, a first message is received from the client-host in the active node through the Stub Internet, i.e., the subscriber interface 10, to the IP address 14 requested, in step 104 and / or the second message directed to the prohibited IP address in step 105.
104) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kysyttyyn IP- 20 osoitteeseen 14 suunnattu ensimmäinen viesti, tutkitaan aktiivisolmun :.: : logiikalla mahdolliset kysyttyyn IP- osoitteeseen 14 liittyvät estolistalle liitetyt ’...· tiedot ja päästetään ensimmäinen viesti läpi, jos kysytyn sidoksen • · * ‘ : voimassaoloaikaa 15 on vielä jäljellä.104) Receiving the first message from the subscriber interface 10 to the requested IP-address 14 from the active node 11, examining the active node:.:: Logic for possible blocking information associated with the requested IP-address 14 and passing the first message if the requested connection • · * ': 15 are still valid.
* I » 25 105) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kiellettyyn IP- • · · osoitteeseen suunnattu toinen viesti 18, tutkitaan aktiivisolmun logiikalla* I »25 105) Receiving another message 18 from the subscriber interface 10 to the forbidden IP address in the active node 11, examined by the logic of the active node
II
? · · onko kielletty osoite 17 sallittu, havaitaan ettei ole ja pysäytetään viestin ! » eteneminen.? · · Whether the forbidden address 17 is allowed, detects the absence and stops the message! »Progress.
t It I
3030
Jotta aktiivisolmun 11 ei tarvitsisi säilyttää liian suurta sallittujen osoitteiden , : tietomassaa, TTL-kenttiin voidaan vaihtaa DNS vastausviestissä saatuja lyhyemmät voimassaoloajat, jolloin sallittuja osoitteita voidaan poistaa aktiivisolmusta 11 8 109165 tavanomaista aikaisemmin. Tilaajaliittymästä 10 lähetetyt DNS-kyselyt voidaan ohjata esim. Token-Bucket liikennemuokkaimen läpi, jolloin saadaan rajoitettua DNS-kyselyiden määrää asiakaskohtaisesti tiettynä ajanjaksona, jonka seurauksena saadaan pidennettyä aktiivisolmulle 11 sallittavaa verkkotason osoitteiden maksimisäilytysaikaa 5 ja vastaanotetun DNS-viestin mukaiseen konfiguroitumiseen kuluvaa aikaa.In order to prevent Active Node 11 from maintaining too many allowed addresses, the data mass can be replaced with TTL fields with shorter validity times obtained in the DNS response message, whereby allowed addresses can be removed from Active Node 11 8 109165 earlier than usual. DNS queries sent from the subscriber interface 10 may be routed through, e.g., the Token-Bucket Traffic Modifier, providing a limited number of DNS queries per customer over a specified period of time, resulting in extended network-level address retention times 5 for active node 11 and configuration time.
i (i (
Kuvion 2 mukainen toinen suoritusesimerkki, ei-toivotun IP-liikenteen vähentäminen middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.Another exemplary embodiment of Figure 2, reducing unwanted IP traffic by automatically and actively migrating middleware-level traffic control configurations to the network layer.
1010
Aktiivisolmu 11, joka on ohjelmoitu lukemaan DNS-palvelimelta 12 saapuvia viestejä, on sijoitettu siten, että kaikki verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Tieto verkkoresurssi 20, kuten asiakas-host on yhteydessä tietoverkkoon tilaajaliittymän kautta. Hallintajäijestelmällä 23 tarkoitetaan operaattorin järjestelmää, 15 jonka avulla se tarjoaa tietoverkkoyhteyksiä asiakkaidensa tilaajaliittymien kautta kommunikoiville tietoverkkoresursseille. DNS-nimet 24 voivat olla mitä tahansa DNS-nimiä. IP-osoitteet 25 ovat sellaisia IP-osoitteita, jotka ovat tallennettu DNS-järjestelmään vastaamaan DNS-nimiä 24. Käyttäjäprofiili 22 on operaattorin . hallintajärjestelmään tai hallintajärjestelmän 23 apujärjestelmänä toimivan erilliseen : 20 ohjausjärjestelmän saataville tallennettu määrittely tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Menetelmässä suoritetaan seuraavia ·.: numeroituja toimenpiteitä. Vaihe 201 suoritetaan niiden DNS-osoitteiden rajaamiseksi, i ,,, 1 : i : joista tilaajaliittymään hyväksytään liikennettä ja/tai joihin tilaajaliittymästä annetaan : : : lähettää dataa.The active node 11, programmed to read incoming messages from the DNS server 12, is positioned so that all network traffic to the first subscriber interface 10 passes through it. The information network resource 20, such as the client-host, is connected to the information network through a subscriber interface. A management system 23 refers to an operator system 15 by means of which it provides data network connections to its network resources communicating through its customers' local loops. DNS names 24 can be any DNS name. The IP addresses 25 are those IP addresses that are stored in the DNS system to match the DNS names 24. The user profile 22 is of the operator. a specification of the services provided to a particular network client or network resource, stored in a management system or a stand-alone sub-system 23 of the management system. The method performs the following ·: numbered operations. Step 201 is performed to delimit the DNS addresses i ,,, 1: i: from which traffic to and / or from the subscriber line is accepted::: transmitting data.
25 v : 201) Määritellään hallintajärjestelmässä 23 ainakin yhdelle tietylle • tietoverkkoresurssille, kuten asiakas-hostille sallitut DNS-nimet. Määrittely voi tapahtua kokonaan tai osittain operaattorin tai asiakkaan toimesta, : staattisesti tai dynaamisesti tietoverkkoresurssin 20 ja hallintajärjestelmän 30 välisen tietoliikenneyhteyden aikana. Nimet voivat olla fyysisesti tallennettuna mihin vaain, kunhan operaattorin hallintajärjestelmällä 23 on mahdollisuus ne hakea. Tietoverkkoresurssikohtaisesti on tehty hallintajärjestelmän 23 9 109165 saataville tallennettu käyttäjäprofiili, jonka perusteella sallittujen DNS-nimien haku onnistuu.25 v: 201) Specify the DNS names allowed for at least one specific network resource, such as the client-host, in the management system 23. The determination may be made in whole or in part by the operator or the client, statically or dynamically during the communication link between the network resource 20 and the management system 30. The names can be physically stored anywhere, as long as the operator management system 23 is able to retrieve them. By network resource, a stored User Profile has been made available to the management system 23 9 109165, which allows the search of allowed DNS names.
Vaiheet 202 - 205 suoritetaan tietyn käyttäjän tai päätelaitteen kohdentamiseksi 5 ensimmäiseen tilaajaliittymään 10, ja tiettyyn käyttäjään tai tiettyyn päätelaitteeseen kohdennettujen liikennerajoitusten määrittelemiseksi tiettyä liittymää valvovalle aktiivisolmulle 11. Näissä vaiheissa määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön, DNS-nimien 24, perusteella haetaan tilaajaliittymäkohtaisen middlewaretason nimistön yhden tai useamman nimen sellainen 10 verkkotason vastine, IP-osoitteet 25, jonka voimassaolo varmennetaan nimipalvelin]äijestelmän vastausviestin avulla, ja määritellään näistä kukin kielletyksi ja/tai sallituksi osoitteeksi siten, että kiellettyjen middleware-tason nimien verkkotason vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi 15 verkkotason osoitteiksi seurantajärj estelmään.Steps 202 through 205 are performed to target a particular user or terminal 5 to the first subscriber interface 10, and to determine traffic restrictions directed to a specific user or specific terminal to the active node 11 controlling a specific interface. a network-level equivalent of 10 names, IP addresses 25, that are validated by the name server] system response message, and each of these is defined as a prohibited and / or allowed address by defining the network-level equivalent of prohibited middleware-level names and / or allowed middleware-level names network-level equivalents are defined as allowed network-level 15 addresses in the tracking system, respectively.
202) Rekisteröidään tietoverkkoresurssi 20, kuten asiakas-host tilaajaliittymän 10 kautta muodostetulle tietoliikenneyhteydelle käyttäjäprofiililla 22 ja toimitetaan tieto rekisteröitymisestä hallintajäijestelmälle 23.202) Registering a network resource 20, such as a communication link established through a client-host subscriber interface 10, with a user profile 22 and transmitting the registration information to the management system 23.
: ;·; 20 »Il · 203) Lähetetään hallintajärjestelmältä 23 tiedustelelu DNS-järjestelmälle, esim : ·. i DNS-palvelimelta 12, joka koskee niitä DNS-nimiä 24 vastaavia IP-osoitteita ‘ : 25, joista ja/tai joihin hyväksytään liikennettä tietyllä käyttäjäprofiililla 22 ,: · identifioituun liittymään, tässä tapauksessa tilaajaliittymään 10.:; ·; 20 »Il · 203) Sending request from management system 23 to DNS system, eg: ·. From the DNS server 12, which addresses the IP addresses': 25 corresponding to the DNS names 24 from which and / or to which traffic is accepted by a particular user profile 22, to: · the identified interface, in this case the subscriber interface 10.
25 , * · 204) Vastaanotetaan hallintajärjestelmässä 23 DNS-järjestelmältä DNS-nimiä 24 . * * sekä niitä vastaavia IP-osoitteita 25 ja DNS-nimien 24 ja niitä vastaavien IP- : : : osoitteiden 25 välisten sidosten voimassaoloaikoja koskeva vastausviesti tai t 11 !vastausviestejä.25, * · 204) Receiving DNS names from the DNS system in the management system 23. * * as well as the corresponding IP address 25 and the validity period of the bind times between the DNS names 24 and the corresponding IP::: addresses 25 or t 11!
30 ' ·, j 205) Vastaanotetaan aktiivisolmussa 11 DNS-järjestelmästä saadut 1 IP-osoitteet 25 hallintajärjestelmältä 23, sekä IP-osoitteiden voimassaoloajat ja talletetaan IP- 10 109165 osoitteet 25 voimassaoloaikoineen vastinpareiksi sallituiksi osoitteiksi estolistalle aktiivisolmuun 11.30 '·, j 205) Receiving 1 IP addresses 25 from the management system 23 obtained from the DNS system in the active node 11, and the validity periods of the IP addresses, and storing the IP-10 109165 addresses 25 with their validity periods into blocked list in the active node 11.
Jatkossa ohjataan hallintajärjestelmällä DNS-nimiin 23 sidottujen kulloinkin voimassa 5 olevien IP-osoitteiden ja niiden voimassaoloaikojen tiedustelemista DNS-järjestelmältä ja toimittamista aktiivisoImulle 11. Käytetään tiedustelun herätteenä aikaisemmin nimipalvelinjäijestelmältä vastaanotettujen tarkasteltavien IP-osoitteiden 25 voimassaoloaikoja tai niistä rajoitettuja voimassaoloaikoja. Lähetetään kutakin DNS-nimeä 23 koskeva DNS-tiedustelu ennen kunkin DNS-nimeen 23 sidotun 10 voimassaoloajan loppumista. Poistetaan IP-osoitteita 25 aktiivisolmun sallituista IP-osoitteista muodostuvalta estolistalta käyttäen ohjausherätteenä näiden voimassaoloaikana, siten että kukin IP-osoite poistetaan estolistasta viimeistään voimassaoloajan loputtua.In the future, the management system will control the retrieval of the current 5 IP addresses and their expiry dates associated with the DNS names 23 and their transmission to the active node 11. The query IPs will use the expired or limited validity periods of the IP addresses 25 previously received from the name server system. A DNS inquiry is sent for each DNS name 23 before the 10 validity dates associated with each DNS name 23 expire. Removing IP addresses from the blocking list of allowed active addresses of 25 active nodes as a control excitation during their validity period, so that each IP address is removed from the blocking list at the latest upon expiration.
15 Menetelmän vaiheissa 206 - 207 aktiivisolmu vastaanottaa tietopaketin ja pysäyttää sen etenemisen tarvittaessa. Nämä vaiheet voidaan suorittaa myös ennen vaiheita 204 - 205, mutta tällöin viestillä ei ole läpäisymahdollisuuksia.15 In steps 206-207 of the method, the active node receives the information packet and stops its propagation as needed. These steps can also be performed prior to steps 204-205, but in that case the message has no chance of transmission.
206) Vastaanotetaan tilaajaliittymästä 10 tuleva tarkistettavaan IP-osoitteeseen 20 suunnattu tai tilaajaliittymää 10 kohti saapuva tarkistettavasta IP-osoitteesta lähetetty kolmas viesti aktiivisolmussa 11 ja tarkistetaan aktiivisolmun 11 ; * *. logiikalla kuuluuko tarkistettava IP-osoite 26 voimassa oleviin sallittuihin IP- | » · t t · !,, ’ osoitteisiin aktiivisolmussa 11 olevalla estolistalla.206) Receiving a third message from the subscriber interface 10 directed to the IP address to be checked 20 or arriving at the subscriber interface 10 from the IP address to be checked in the active node 11 and checking the active node 11; * *. logic whether the IP address to be checked 26 is a valid allowed IP | »· T t ·! ,, 'addresses in the block list on active node 11.
t · * t t * * * * 25 207) Lähetetään (207a) kolmas viesti eteenpäin tietoverkkoon kohti kolmannessa ; ·, viestissä määriteltyä kohdetta tai tilaajaliittymää 10, jos tarkistettava IP-osoite < t · ;kuuluu voimassa oleviin sallittuihin osoitteisiin aktiivisolmussa 11. Muuten • · ;, pysäytetään kolmas viesti aktiivisolmuun 11.t · * t t * * * * 25 207) Sending (207a) a third message forward to the data network in the third; ·, The destination specified in the message, or the subscriber interface 10, if the IP address to be checked <t ·; belongs to the valid allowed addresses in the active node 11. Otherwise, · · ;, the third message is stopped in the active node 11.
» I»I
» · I t 1’ 30 Käytettäessä laajaa DNS-nimistöä tilaajaliittymäkohtaisessa middiewaretason I I · ; : estolistassa tilaajaliittymästä 10 vastaanotettavaan liikenteeseen voidaan soveltaa • i * '· ensimmäistä suoritusesimerkkiä, jolloin aktiivisolmuun 11 ei tarvitse konfiguroida kaikkia tilaajaliittymäkohtaisen middiewaretason estolistan vastine-IP-osoitteita, vaan 11 109165 dynaamisesti ainoastaan ne, joihin päätelaite tekee aktiivisolmun 11 kautta DNS-kyselyjä, ja joiden kyselyiden vasteena lähetetyn nimipalvelinjäijestelmän vastausviestin sisältämät tiedot katsotaan tilaajaliittymäkohtaisen middlewaretason estolistan perusteella aiheellisiksi tallentaa aktiivisolmuun 11.»· I t 1 '30 When using a large DNS nomenclature for a subscriber-specific middiewar layer I I ·; : In the blocking list, the traffic received from the subscriber interface 10 can be applied to the first embodiment of i * '·, whereby the active node 11 does not have to configure all the equivalent IP addresses of the middiewar level blocking list per subscriber interface 1111616 dynamically only those for which queries the nameserver response message sent in response to the queries is considered appropriate to be stored in the active node based on the subscriber interface specific middleware blocking list.
55
Laajoja tietoverkosta aktiivisolmun 11 kautta tulevan ja tilaajaliittymään 10 kohdennetun liikenteen lähteenä olevien tietoverkkoresurssien DNS-nimistöjä pystytään valvomaan seuraavissa vaiheissa 208 - 210 esitetyllä tavalla. Esitetyllä tavalla pystytään valvomaan myös tilaajaliittymän 10 kautta tietoverkkoon lähtevän liikenteen 10 kohteena olevien tietoverkkoresurssien DNS-nimiä. Näissä vaiheissa vastaanotetaan j seurantajäijestelmässä tietoverkkoresurssille 20 kohdennettu tai tilaajaliittymästä tuleva tietty tietopaketti, ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltava verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason nimi, i tarkistetaan operaattorin jäijestelmässä kuuluuko tietty middlewaretason nimi 15 tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja määritellään tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. Vaihetta 205 ei tarvitse välttämättä suorittaa suoritettaessa vaiheet 208 - 210 ja vaiheet , . ·. 20 206-207 voidaan suorittaa ennen vaiheita 208 - 210 ja/tai näiden vaiheiden jälkeen.Extensive DNS lists of network resources coming from the data network through the active node 11 and targeted to the subscriber interface 10 can be monitored as shown in the following steps 208-210. In the same way, it is also possible to monitor the DNS names of the network resources that are subject to traffic to the data network 10 via the subscriber interface 10. In these steps, the tracking system receives a specific data packet addressed to the network resource 20 or from a subscriber interface, and retrieves the network level source and / or middleware level name that matches the middleware level, / or the destination address as an allowed or denied address to the tracking system in response to specifying or not specifying a specific middleware-level name in the subscriber-interface-specific middleware level nomenclature. Step 205 need not necessarily be performed when performing steps 208-210 and steps,. ·. 206-207 may be performed before and / or after steps 208-210.
. · · 208) Vastaanotetaan aktiivisolmussa 11 tietopakettin, jolla on entuudestaan : aktiivisolmulle 11 tallennetulle verkkotason estolistalle määrittelemätön :' · ‘: 25 tarkistettava IP-lähde- j a/tai kohdeosoite.. · · 208) Receiving in the active node 11 an information packet which has: undefined in the network-level blocking list stored in the active node 11: '·': 25 IP sources and / or destination addresses to be checked.
: : : 209) Vasteena vastaanotetulle tarkistettavalle IP-osoitteelle tehdään ns. reverse- I * » v < DNS kysely, eli. tiedustellaan aktiivisolmun 11 logiikalla tai aktiivisolmun _ ohjauksen perusteella muodostetulla DNS-järjestelmälle, esim DNS- 30 palvelimelle 12, suunnatulla tiedusteluviestillä IP-osoitetta vastaavaa DNS- » · * nimeä.::: 209) In response to the received IP address to be verified, a so-called IP address is made. reverse- I * »v <DNS query, ie. is queryed by the logic of the active node 11 or by a query message to the DNS system established on the basis of the control of the active node, e.g. the DNS server 12, corresponding to the IP address corresponding to the IP address.
a ( · > · » · » ·a (·> · »·» ·
• · I• · I
• · 12 109165 210) Vastaanotetaan DNS-jäijestelmän vastausviesti hallintajärjestelmässä 23 ja/tai aktiivisolmussa 11. Tarkistetaan löytyykö tarkistettavaa IP-osoitetta vastaava DNS-nimi sallittujen DNS-nimien listalta, joka voi sijaita hallintajärjestelmässä 23, hallintajärjestelmän 23 saatavilla tai aktiivisolmussa 11 tapauksesta 5 riippuen. Jos DNS-nimi löytyy sallittujen DNS-nimien listalta, ohjataan aktiivisolmu 11 sallimaan liikenne tarkistettavaan IP-osoitteeseen maksimissaan DNS-jäijestelmän tarkistettavaa IP-osoitetta koskevan vastausviestin sisältämän tarkistettavaan IP-osoitteeseen viittaavan TTL-kentän l mukaiseksi määräajaksi.• · 12 109165 210) Receiving a DNS response message on management system 23 and / or active node 11. Checking for a DNS name corresponding to the IP address being scanned in a list of allowed DNS names that can be located on management system 23, management system 23 or active node 11 . If the DNS name is found in the list of allowed DNS names, the active node 11 is directed to allow traffic to the IP address to be scanned for a maximum period of time according to the TTL field 1 referring to the IP address to be scanned in the DNS response message.
1010
Vaiheessa 210 konfigurointipäivityksen nopeus on tärkeää, jos ko. paketit halutaan päästää kohteeseen ennen reverse-kyselyn vastauksen saapumista, toisin sanoen tarkistamatta. Erityisesti tällöin tulee kyseeseen tilaajaliittymäkohtainen DNS-tiedustelujen käsittelytaajuuden rajoittaminen liikennemuokkaimen avulla. Lyhyen 15 purskeen pääseminen tilaajaliittymään ei kuitenkaan ole yhtä vaarallista kuin verkon tukkeutuminen esim. ’’denial of service”-hyökkäyksessä. Lisäksi tarkastamattomuuden haittavaikutuksia voidaan vähentää rajoitttamalla vielä tarkistamattomista osoitteista saapuvan tai tarkastamattomiin osoitteisiin kohdennetun liikenteen volyymia. Tämä voidaan toteuttaa ohjaamalla se esim. omaan Token-Bucket-jonoonsa. Tarkistuksen , , *. 20 tapahduttua ko. liikenteen voluumirajoitusta voidaan sitten muuttaa.In step 210, the speed of the configuration update is important if packets are wanted to be allowed to the destination before the reverse query response arrives, that is, without checking. Specifically, this involves limiting the frequency of processing of DNS inquiries per subscriber interface by means of a traffic editor. However, getting a short burst of 15 to a subscriber line is not as dangerous as blocking a network in a denial of service attack, for example. In addition, the adverse effects of unverified addresses can be reduced by limiting the volume of traffic coming from unverified addresses or directed to unverified addresses. This can be accomplished by directing it to its own Token-Bucket queue, for example. The amendment,, *. 20 events. the traffic volume limit can then be changed.
;' ‘': Keksintöä voidaan soveltaa myös niin, että ylläpidetään hallintajärjestelmässä 23 ja/tai :' ·,: aktiivisolmussa 11 sallittujen DNS-nimien listan lisäksi tai sen vaihtoehtona kiellettyjen :' Γ: DNS-nimien listaa j a ohj ataan liikennettä sen mukaisesti.; ' '': The invention may also be applied to maintain in the management system 23 and / or: '·,: in addition to the list of allowed DNS names in the active node 11, or as an alternative to its prohibited list:' Γ: list of DNS names and control traffic accordingly.
:T: 25: T: 25
Keksintöä voidaan myös soveltaa siten, että aktiivisolmulle 11 syötetään v : tilaajaliittymäkohtainen middlewaretason estolista, kuten sallitut DNS-nimet ja . · huolehditaan aktiivisolmun 11 logiikalla estolistan nimiä vastaavien IP-osoitteiden ja estolistan nimien välisten voimassaoloaikojen, käytännössä TTL-kenttien tiedustelusta 30 DNS-järjestelmältä aikaisemmin vastaanotettuihin voimassaoloaikoihin sidotun ohjauksen perusteella 13 109165The invention may also be implemented by providing the active node 11 with a v: subscriber-interface-specific middleware-level block list, such as allowed DNS names and. · Enable logic of the active node 11 to query the validity periods between the IP addresses corresponding to the block list names and the block list names, in practice the TTL fields based on the control bound to the previously received validity periods from the DNS system 13 109165
Keksinnön mukaista menetelmää voidaan soveltaa siten, että asetetaan verkkotason estolistamäärittelyt middlewaretason vastinnimille tehtyjen estolistamäärittelyjen mukaisesti koskemaan tiettyjä tietopaketin verkkotason lähde- ja kohdeosoitteiden yhdistelmiä, joissa on ainakin yksi verkkotason lähde- tai kohdeosoite myös 5 tapauksessa, jossa vastaanotetulla tietopaketilla on useita lähde- ja/tai kohdeosoitteita.The method of the invention can be applied by setting network-level block list definitions according to middleware-level block list definitions to certain combinations of network-level source and destination addresses of a data packet having at least one network-level source or destination address also in 5 cases where the received data packet .
Tällöin saadaan estettyä tietopaketin eteneminen tälle määritellyn kulkureitin perusteella.This prevents the information packet from proceeding on the basis of the specified path.
Eräs toinen mahdollinen keksinnön sovellus on jonkin estolistamäärittelyn perusteella 10 pysäytettäväksi tuomittavan viestin ohjaaminen poikkeusreitille siten, että kyseisen viestin pääsy kohdeosoitteeseensa estyy, vaikka sitä ei pysäytettäisikään seurantaj ärj estelmään.Another possible embodiment of the invention is to route a message to be stopped based on a block list definition 10, such that the message in question is blocked from accessing its destination address, even if it is not stopped by the tracking system.
Keksinnön mukaisessa menetelmässä voidaan käyttää Secure-DNS:n tarjoamia 15 mahdollisuuksia sen valvomiseksi, että DNS-jäqestelmälle lähetetyt tiedustelut on todellakin lähettänyt tietoverkkoresurssi, jonka lähettämien tiedustelujen mukaisesti estolistamäärittelyjä halutaan tehdä ja että nimipalvelinjärjestelmän vastausviestit ovat näihin tiedustelujen lähetettyjä vastauksia.The method of the invention may utilize the capabilities provided by Secure-DNS to verify that requests sent to a DNS backend are indeed transmitted by a cyber resource that requests blocking list definitions to be made and that replies to the nameserver system are responses to these requests.
: 20 Seuraavassa on selitetty mitä eräillä käsitteillä on tässä hakemuksessa ja erityisesti i,: : patenttivaatimuksissa tarkoitettu.: 20 What follows is a description of some of the terms used in this application, and in particular in the claims:.
. . : Seurantajärjestelmä on tietoliikenneverkkoon asiakasliittymän operaattorirajapinnan | ; operaattorin puolelle kytketty laitteisto, jonka läpi ohjataan tietoliikenneverkossa kulkevaa liikennettä. Seurantajärjestelmä on ohjelmoitava aktiivisolmu, palvelin tai 25 muu tietoverkkoelementti tai tietoverkkoon liitetty järjestelmä, joka kykenee lukemaan : : siihen saapuvien tietopakettien sisältämiä verkkotason lähde-ja/tai kohdeosoitetietoja ja : : vertailemaan saapuvien tietopakettien osoitetietoja seurantajärjestelmään tallennettuihin :·. verkkotason osoitetietoihin sekä vertailun perusteella lähettämään vastaanotetun tietopaketin seurantajärjestelmästä eteenpäin, tai pysäyttämään vastaanotetun '30 tietopaketin etenemisen seurantajärjestelmään. Seurantajärjestelmällä voidaan myös •. : tarkoittaa em.määrittelyn mukaista järjestelmää, johon on tallennettu middleware-tason nimiä Tällainen järjestelmä kykenee lähettämään tiettyä verkkotason osoitetietoa 14 109165 koskevan reverse-DNS-tiedustelun nimipalvelinjärjestelmälle tai operaattorin hallintajärjestelmälle, ja vastaanottamaan tiettyä verkkotason osoitetietoa vastaavan tietyn middlewaretason nimitiedon sekä vertailemaan tiettyä middleware-tason nimitietoa seurantajärjestelmän sisältämään tai seurantajärjestelmän saatavilla olevaan 5 tilaajaliittymäkohtaiseen nimistöön, joka sisältää ainakin yhden tilaajaliittymälle sallitun ja/tai kielletyn middlewaretason nimen. Vasteena tietyn middlewaretason nimen vertailulle tilaajaliittymäkohtaiseen osoitteistoon seurantajärjestelmään voidaan tallentaa tietty verkkotason osoite, ja estää tiettystä verkkotason lähdeosoitteesta tulevan tai tiettyyn verkkotason kohdeosoitteeseen menevän tai tiettyjen osoitteiden mukaista 10 reittiä menevän liikenteen pääsy kohteeseensa. Seurantajärjestelmä voidaan myös toteuttaa operaattorin hallintajärjestelmän ohjelmistollisena osana.. . : The tracking system is the telecommunication network client interface operator interface ; equipment connected to the operator's side through which traffic in the communication network is controlled. A tracking system is a programmable active node, server, or other network element or system connected to a network that can read:: the network-level source and / or destination address information contained in the incoming data packets, and:: compare the incoming data packet address information stored in the tracking system. network-level address information, and by comparison send a received data packet from the tracking system, or stop the progress of the received '30 data packet to the tracking system. The monitoring system can also:. : denotes a system according to the above definition in which middleware-level names are stored Such a system is capable of sending a reverse DNS request for a specific network-level address information to a name server system or operator management system, and receiving specific middleware-level name information corresponding to a particular network-level address name information to the 5 subscriber line-specific nomenclature contained in the tracking system or available to the tracking system, which contains at least one middleware level name that is allowed and / or denied to the subscriber interface. In response to comparing a particular middleware-level name to a subscriber interface-specific address book, the tracking system can store a specific network-level address, and block traffic to or from a specific network-level source address or 10-address destination. The tracking system may also be implemented as a software component of an operator management system.
Käyttäjäprofiili on operaattorin hallintajärjestelmään tai hallintajärjestelmän apujärjestelmänä toimivaan erilliseen ohjausjärjestelmän saataville tallennettu 15 määrittelyä tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Käyttäjäprofiili voi sisältää tiedon siitä miltä kaikilta middlewaretasolla nimetyiltä tietoverkkoresursseilta tiettyyn tilaajaliittymään tuleva tiettyyn i tilaajaliittymään kohdennettu ja/tai mille kaikille middlewaretasolla nimettyille tietoverkkoresursseille kohdennettu tietystä tilaajaliittymästä vastaanotettu liikenne . .·. 20 tulee estää.A user profile is a set of 15 specifications of services provided to a particular network client or network resource, stored in an operator management system or a stand-alone control system serving as a management subsystem. The user profile may include information on which of all the middleware level designated network resources designated traffic to a particular subscriber interface is directed to a particular subscriber interface and / or to all middleware level designated network resources designated from a particular subscriber interface. . ·. 20 should be blocked.
! · · · i : j :Nimi on tietoliikennejärjestelmissä esiintyvä symbolinen tunnus esim. URN(Uniform :' ·.: Resource Name), jolla ei ole mitään lokaatioriippuvaa osaa. Nimellä tarkoitetaan tässä : : : myös esim. DNS-host-nimeä, joka on yhtäältä lokaation nimi, koska host on abstraktien ‘ 4' : 25 resurssien karmalta lokaatio, mutta jota toisaalta tarvitaan verkkotason osoitteesta, esim.! · · · I: j: Name is a symbolic identifier used in communication systems, eg URN (Uniform: ': .: Resource Name), which does not have any location dependent part. The name also means here::: also the DNS host name, which is the name of the locale on the one hand, since the host is a karmic location of the abstract '4': 25 resources, but on the other hand is needed from the network level address,
IP-osoittesta, riippumattomaan nimeämiseen.From IP address to independent naming.
,* · Nimipalvelimella ja nimipalvelinjärjestelmällä tarkoitetaan järjestelmää, joka osaa tietyn middlewaretason nimen saatuaan määrittää tähän middlewaretason nimeen ; : 30 sidotut tiedot. Sidotut tiedot voivat esim. koskea tietyn middlewaretason nimen verkkotason vastinetta ja tietyn middlewaretason nimen ja sen verkkotason vastineen . ‘. : välistä voimassaoloaikaa., * · The name server and name server system refer to a system that can, after being able to assign a name to a given middleware level, assign it to that middleware name; : 30 bound information. The bound information may, for example, relate to a network-level equivalent of a particular middleware-level name and to a particular middleware-level name and its network-level equivalent. '. : period of validity.
15 10916515 109165
Resurssilla ja tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen kytkettyä host:ia, tietoverkossa ajettavaa sovellusohjelmaa ja/tai sen instanssia.Resource and data network resource means a subscriber interface connected to a data network, a host connected thereto, an application program running on the data network and / or its instance.
5 Verkkotason vastineella tarkoitetaan tiettyä middlewaretason nimeä tietyllä hetkellä vastaavaa verkkotason osoitetta toisin sanoen tietyllä middlewaretason nimellä nimetty tietoverkkoresurssi on tietyllä hetkellä löydettävissä verkkotason osoitteesta, jota tässä hakemuksessa ja erityisesti patenttivaatimuksissa nimitetään verkkotason vastineeksi.A network-level counter is a network-level address corresponding to a particular middleware-level name at a given time, that is, at a given time, a network-level resource designated by a particular middleware-level name can be found at the network-level address.
j 10 Estolistalta poistamisella tarkoitetaan poistamisen kohteen inaktivointia, jonka jälkeen | se ei enää ole tietoliikenteen rajoittamista ohjaava määrittely estolistalla.j 10 Unblocking means deactivating the target, followed by | it is no longer a blocking specification for restricting traffic.
jj
Tiedustelun generoinnilla tarkoitetaan tiedusteluviestin tai viestien sisältökenttien luomista generoivan jäqestelmän logiikalla.Inquiry generation means the creation of an inquiry message or message content fields by the logic of the generating waste system.
15 Verkkotason osoitteen ja sen middlewaretason vastinnimen välisellä sidoksella, ja midlewaretason nimen ja sen verkkotason vastineosoitteen välisellä sidoksella tarkoitetaan nimipalvelinjäijestelmään tallennettua määrittelyä, joka liittää tietyn middlewaretason nimen tiettyyn verkkotason osoitteeseen.15 A link between a network-level address and its middleware-level counterpart, and a midlevel-level name and its network-level counterpart address, is a definition stored in a name server system that associates a particular middleware-level name with a particular network-level address.
: 20: 20
Claims (17)
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI992056A FI109165B (en) | 1999-09-24 | 1999-09-24 | A method for controlling data traffic |
AU72936/00A AU7293600A (en) | 1999-09-24 | 2000-09-21 | Method for controlling traffic in a data network |
PCT/FI2000/000810 WO2001026284A1 (en) | 1999-09-24 | 2000-09-21 | Method for controlling traffic in a data network |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI992056 | 1999-09-24 | ||
FI992056A FI109165B (en) | 1999-09-24 | 1999-09-24 | A method for controlling data traffic |
Publications (2)
Publication Number | Publication Date |
---|---|
FI19992056A FI19992056A (en) | 2001-03-24 |
FI109165B true FI109165B (en) | 2002-05-31 |
Family
ID=8555349
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI992056A FI109165B (en) | 1999-09-24 | 1999-09-24 | A method for controlling data traffic |
Country Status (3)
Country | Link |
---|---|
AU (1) | AU7293600A (en) |
FI (1) | FI109165B (en) |
WO (1) | WO2001026284A1 (en) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004266568A (en) | 2003-02-28 | 2004-09-24 | Nec Corp | Name resolution server and packet transfer apparatus |
JP3829851B2 (en) * | 2004-03-09 | 2006-10-04 | セイコーエプソン株式会社 | Data transfer control device and electronic device |
US8239930B2 (en) | 2006-10-25 | 2012-08-07 | Nokia Corporation | Method for controlling access to a network in a communication system |
EP2093692A1 (en) * | 2008-02-25 | 2009-08-26 | Research In Motion Limited | System and method for facilitating secure communication of messages associated with a project |
US8762506B2 (en) * | 2010-12-30 | 2014-06-24 | Verisign, Inc | Method and system for partitioning recursive name servers |
CN110166564B (en) * | 2019-05-28 | 2023-09-05 | 北京小米移动软件有限公司 | Information communication method, terminal and storage medium |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE9702385L (en) * | 1997-06-23 | 1998-12-24 | Ericsson Telefon Ab L M | Procedure and apparatus in a computer network |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6615258B1 (en) * | 1997-09-26 | 2003-09-02 | Worldcom, Inc. | Integrated customer interface for web based data management |
US6718387B1 (en) * | 1997-12-10 | 2004-04-06 | Sun Microsystems, Inc. | Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel |
-
1999
- 1999-09-24 FI FI992056A patent/FI109165B/en not_active IP Right Cessation
-
2000
- 2000-09-21 WO PCT/FI2000/000810 patent/WO2001026284A1/en active Application Filing
- 2000-09-21 AU AU72936/00A patent/AU7293600A/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
FI19992056A (en) | 2001-03-24 |
WO2001026284A1 (en) | 2001-04-12 |
AU7293600A (en) | 2001-05-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10356097B2 (en) | Domain name system and method of operating using restricted channels | |
US7032031B2 (en) | Edge adapter apparatus and method | |
US7114008B2 (en) | Edge adapter architecture apparatus and method | |
US7734816B2 (en) | Method and apparatus for redirecting network traffic | |
EP1255395B1 (en) | External access to protected device on private network | |
US9942130B2 (en) | Selective routing of network traffic for remote inspection in computer networks | |
US9313130B2 (en) | Routing method and network transmission apparatus | |
US20140019514A1 (en) | System providing faster and more efficient data communication | |
US20140098662A1 (en) | Transparent provisioning of services over a network | |
US20060095960A1 (en) | Data center topology with transparent layer 4 and layer 7 services | |
US20110035469A1 (en) | Method and system for filtering of network traffic | |
TW200951757A (en) | Malware detection system and method | |
WO2004021206A1 (en) | Managing and controlling user applications with network switches | |
WO2013068789A1 (en) | Method and system for allowing the use of domain names in enforcing network policy | |
US20070014301A1 (en) | Method and apparatus for providing static addressing | |
US11019031B1 (en) | Client software connection inspection and access control | |
US11855958B2 (en) | Selection of an egress IP address for egress traffic of a distributed cloud computing network | |
WO2004047402A1 (en) | Management of network security domains | |
FI109165B (en) | A method for controlling data traffic | |
RU2272363C2 (en) | Device, method, and system for improved routing in mobile ip network | |
US20070147376A1 (en) | Router-assisted DDoS protection by tunneling replicas | |
Cisco | Appendix C, Web Cache Control Protocol (WCCP) | |
Cisco | Controlling Network Access and Use | |
Cisco | MNLB Feature Set for LocalDirector: Command Reference | |
FI115326B (en) | Method for Upgrading Dynamic Network-Level Matching Addresses of Middleware-Level Names to a Name Resolution System |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM | Patent lapsed |