FI109165B - A method for controlling data traffic - Google Patents

A method for controlling data traffic Download PDF

Info

Publication number
FI109165B
FI109165B FI992056A FI19992056A FI109165B FI 109165 B FI109165 B FI 109165B FI 992056 A FI992056 A FI 992056A FI 19992056 A FI19992056 A FI 19992056A FI 109165 B FI109165 B FI 109165B
Authority
FI
Finland
Prior art keywords
level
network
middleware
name
address
Prior art date
Application number
FI992056A
Other languages
Finnish (fi)
Swedish (sv)
Other versions
FI19992056A (en
Inventor
Arto Juhola
Original Assignee
Elisa Comm Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elisa Comm Oyj filed Critical Elisa Comm Oyj
Priority to FI992056A priority Critical patent/FI109165B/en
Priority to AU72936/00A priority patent/AU7293600A/en
Priority to PCT/FI2000/000810 priority patent/WO2001026284A1/en
Publication of FI19992056A publication Critical patent/FI19992056A/en
Application granted granted Critical
Publication of FI109165B publication Critical patent/FI109165B/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for traffic control in a communications network, in which method the transmission of a data packet to its destination address is inhibited on the basis of the source or destination address of the data packet and in which method bindings defined between middleware-level and network-level information are utilized in traffic control at the network-level so that the traffic flow in the communications network can be controlled on the basis of barring lists at the middleware level. The invention is based on combining Internet middleware facilities with programmable active networks and/or routers. An automatic monitoring system is configured so that traffic outbound from a given subscriber connection and targeted to another given subscriber connection is passed via the traffic monitoring system. Herein, a precompiled middleware-level name list is utilized wherefrom the middleware-level names used by said given subscriber connection are selected (201) to form a barring list. On the basis of the thus formed middleware-level barring list, into the monitoring system by way of reading the response messages of a name server system is compiled (205) a network-level barring list, whose addresses are maintained valid not longer than the validity time indicated in the response message of the name server system, thus accomplishing the novel technique of traffic control on the basis of a subscriber-specific middleware-level barring list.

Description

! ) : 109165! ): 109165

Menetelmä tieto verkkoliikenteen ohjaamiseksiA method for controlling network traffic information

Keksinnön kohteena on patenttivaatimuksen 1 mukainen menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy 5 kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, ja jossa yhdistetään middleware-tason ja verkkotason sidoksia verkkotason liikenneohjaukseen.The invention relates to a method for controlling data traffic according to claim 1, wherein the data packet is denied access to its destination address based on the source or destination address of the data packet, and which combines middleware level and network level connections with network level traffic control.

Tietoliikenneverkoisssa kulkeva liikenne on jaettu hierarkiatasoihin. Tietyn hierarkiatason liikenne on läpinäkyvää toisten hierarkiatasojen elementeille. Tässä 10 hakemuksessa käsite middleware-taso vastaa tietoliikenteen hierarkiatasoja kuvaavan ISO:n (International Organization for Standardization) OSI-mallin (Open System Interconnection) kerroksia 4-7 eli kuljetus- (transport), yhteys- (session), esitystapa-(presentation) ja sovelluskerroksia (application layer). Middleware on ohjelmistoa, jolla toteutetaan ko. kerrosten toiminnallisuus.Traffic on telecommunication networks is divided into hierarchical levels. Traffic at a particular hierarchical level is transparent to elements of other hierarchical levels. In this 10 application, the term middleware corresponds to layers 4-7 of the International Organization for Standardization (OSI) model of communication hierarchy levels, i.e. transport, session, presentation and application layers. Middleware is software that implements that software. layers functionality.

i 1515

Eräs middleware-tason protokolla on DNS, jonka mukaisesti Intemet-resursseille annetaan DNS-nimi, joka ei sisällä resurssin verkkotason sijaintitietoa. Viittaaminen resursseihin DNS-nimillä on tarpeen, koska esim. host-resurssien eli Intemettiin . .·. kytkettyjen tietokoneiden IP-osoitteet eivät ole enää staattisia, vaan vaihtuvat esim.One middleware-level protocol is DNS, which assigns Internet resources a DNS name that does not contain the network-level location information for the resource. Referring to resources with DNS names is necessary because, for example, host resources, or the Internet. . ·. the IP addresses of connected computers are no longer static, but change eg.

: 20 dynaamisten IP-osoitepäivitysten ja päätelaitteiden verkkosijaintien muutosten takia.: 20 due to dynamic IP address updates and changes to the network location of terminals.

:'' ‘: Lisäksi, päätelaitteiden käyttäjät eivät Intemet-suositusten mukaan saa käyttää suoraan IP-osoitteita, vaan aina DNS-nimiä. Tietoverkkoresursseja, jotka nimetään ! :T: middlewaretason nimillä voivat myös olla tietoverkossa ajettavia sovellusohjelmia tai : niiden instansseja tai tietoverkkoon tallennettuja dokumentteja.: '' ': Additionally, according to Internet recommendations, terminal users are not allowed to directly use IP addresses, but always DNS names. Network resources to be named! : T: Middleware-level names can also be applications running on the network, or: their instances or documents stored on the network.

25 • «t v : Tunnetuissa tietoliikenneverkoissa verkkopäätelaitteelle tulevaa liikennettä tai v ; verkkopäätelaitteelta lähtevän liikenteen perillepääsyä pystytään rajoittamaan : ‘: verkkotason informaation, kuten IP-osoitteen, perusteella jolloin saadaan tarvittaessa : ’' ’: estettyä tietyistä verkkotason osoitteista, kuten IP-osoitteista, tuleva tai niihin suunnattu 30 liikenne tai toisaalta mahdollistettua liikenne ainoastaan tietyistä verkkotason osoitteista : tai tiettyihin verkkotason osoitteisiin. Tällainen rajoittaminen onnistuu esimeikiksi palomuurien avulla. Palomuuri on jäijestely, jossa organisaation sisäinen verkko on 2 109165 yhdistetty ulkoiseen verkkoon määrätyn valvontaelementin kautta, jolloin määrätyistä verkkotason osoitteista tuleva liikenne voidaan pysäyttää palomuuriin. Ulosmenevää liikennettä voidaan valvoa vastaavalla tavalla.25 • «t v: In a known communication network, the incoming traffic to the network terminal, or v; access to traffic departing from the network terminal can be limited by: ': based on network-level information such as IP address, where necessary:' ': block traffic from or to certain network-level addresses, such as IP addresses, or allow traffic from certain network-level addresses only : or to certain network-level addresses. For example, firewalls do this. A firewall is a rigid system in which an internal network of an organization is 2,109,165 connected to an external network through a dedicated control element, whereby traffic from specific network-level addresses can be stopped by the firewall. Outgoing traffic can be monitored in a similar way.

5 Tunnetun tekniikan puutteena on se, että middleware-tason (esim. DNS) ja verkkotason liikenneohjaukset toimivat erillään, jolloin mahdolliset middleware-tason liikennerajoitukset, kuten estolistat, jotka sisältävät kielletyjä lähde- tai kohdenimiä, eivät rajoita verkkotason liikennettä ja näinollen suojaamattomalle verkkotasolle pääsee helposti tarpeetonta ja ei-toivottua liikennettä, kuten mainospostia tai vastaanottajan 10 kiusaksi lähetettyä roskatietoa. Middleware- ja verkkotason liikenteenrajoituksen tehokkaasti ja dynaamisesti yhdistäviä ratkaisuja ei tunneta.5 A disadvantage of the prior art is that middleware (e.g., DNS) and network-level traffic controls operate separately, so that any middleware-level traffic restrictions, such as blocking lists that contain prohibited source or target names, do not restrict network-level traffic and thus easily access the unprotected network layer. unnecessary and unwanted traffic, such as spam or spam information sent to the recipient 10. There are no known solutions that efficiently and dynamically combine middleware and network-level traffic control.

Middleware-tasolla toteutetut suljetut käyttäjäryhmät (VPN, Virtual Private Network) eivät heijastu automaattisesti verkkotasolle, joten liikennettä, jota ei haluta vastaanottaa, 15 voidaan helposti lähettää middlewaretason suljettujen käyttäjäryhmien verkkoihin tai verkon osiin, jos esimerkiksi ryhmän DNS-nimiä tai IP-osoitteita on tiedossa. Tämä voi joissakin tapauksissa aiheuttaa vahinkoa tietoverkon välityskapasiteetin rajallisuuden takia. Kun liikenne jota ei haluta tukkii verkon, halutun liikenteen perillepääsy hidastuu ; tai estyy.Middleware-level closed user groups (VPNs) do not automatically reflect at the network level, so unwanted traffic 15 can easily be sent to networks or parts of the network at middleware closed user groups if, for example, the group's DNS names or IP addresses are known . In some cases this may cause damage due to the limited capacity of the data network. When unwanted traffic is blocked by the network, the arrival of the desired traffic slows down; or is blocked.

: 20 Tietoverkkoresurssien sijainti voi vaihtua tietystä IP-osoitteesta toiseen ja tällöin : ": tiettyyn IP-osoitteeseen asetettu esto ei estä toisesta IP-osoitteesta tulevaa liikennettä.: 20 The location of network resources may change from one IP address to another: ": Blocking a particular IP address does not prevent traffic from another IP address.

Esiintyy myös tarvetta rajoittaa DNS-nimien perusteella tiettyjen yleisesti saatavilla ... olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti mm.There is also a need to restrict the availability of certain commonly available cyberspace resources based on DNS names by the interface, terminal or user, e.g.

lastensuojelu- ja tarkoituksenmukaisuussyistä. Tunnettu tekniikka ei kuitenkaan •; , 25 mahdollista tätä.for the sake of child protection and expediency. However, prior art does not •; , 25 possible for this.

.· · Keksinnön tarkoituksena on aikaansaada aivan uudentyyppinen menetelmä, jonka : ’: avulla edellä kuvatut tunnetun tekniikan ongelmat on mahdollista ratkaista. Keksintö ; : perustuu siihen, että yhdistetään Internet middleware- ja Internet reititin ja/tai ... aktiiviverkkotekniikoita. Ohjataan tilaajaliittymään menevä ja sieltä tuleva liikenne ,' ·, · 30 automaattisen seurantajäijestelmän läpi. Tällainen seurantajärjestelmä voi olla ns.It is an object of the present invention to provide a completely new type of method which enables the prior art problems described above to be solved. The invention; : based on combining Internet middleware and Internet router and / or ... active network technologies. Traffic to and from the local loop is controlled through '·, · 30 automated tracking systems. Such a monitoring system may be so-called.

aktiivisolmu tai erillinen reitittimen sisältävä palvelin, joka kykenee käsittelemään 3 109165 seurantajärjestelmän läpi menevien tietopakettien, kuten IP-pakettien, otsakkeita ja sisältöä, dynaamisesti vaihdettavissa olevan ohjelman mukaan. Dynaamisesti vaihdettavissa olevalla ohjelmalla tarkoitetaan tässä, että seurantajärjestelmää ohjaava tietokoneohjelma on päivitettävissä ilman häiritsevää katkoa seurantajärjestelmän 5 toiminnassa. Dynaamista päivitettävyyttä käytetään, kun muutetaan kiellettyjen middleware-tason osoitteiden estolistaa ja niiden verkkotason vastineista koostuvaa estolistaa automaattisessa seurantajärjestelmässä ja/tai muualla operaattorin järjestelmässä. Keksinnön mukaisessa ratkaisussa käytetään aiemmin määriteltyä middlewaretason nimistöä joka voi olla tietty nimiavaruus, esim. kaikki DNS-nimet, 10 joille tietty tai tietyt nimipalvelinjärjestelmät kykenevät löytämään verkkotason vastineet tai nimiavaruus, joka sisältää kaikki syntaksiltaan oikeaoppiset tietyn middlewaretason nimiavaruuden, esim DNS-järjestelmän, nimet, mutta joille kaikille ei välttämättä löydy verkkotason vastineita.an active node or a separate server containing a router capable of handling 3,109,165 headers and content of information packets, such as IP packets, through a tracking system, according to a dynamically changeable program. By dynamically interchangeable software is meant that the computer program controlling the monitoring system can be upgraded without interruption in the operation of the monitoring system 5. Dynamic upgradeability is used to modify the blocking list of forbidden middleware addresses and their network-level counterparts in the automated tracking system and / or elsewhere in the operator system. The solution of the invention uses a predefined middleware-level nomenclature which can be a particular namespace, e.g., all DNS names, for which a particular or certain nameserver systems are able to find network-level equivalents or namespace containing all syntaxically correct names of a given middleware-level namespace, but not all of which may have network-level equivalents.

Aiemmin määritellystä nimiavaruudesta rajataan päivitettävissä oleva 15 tilaajaliittymäkohtainen middleware-tason nimistö. Tilaajaliittymäkohtainen middleware-tason nimistö sisältää middleware-tason nimiä joilla nimetyille tietoverkkoresursseille halutaan hyväksyä ja/tai joilla nimetyille tieto verkkoresursseille ei haluta hyväksyä liikennettä tietystä tilaajaliitttymästä ja/tai middlewaretason nimiä joilla nimetyiltä tietoverkkoresursseilta tuleva liikenne halutaan päästää tiettyyn : 20 tilaajaliittymään ja/tai joilla nimetyiltä tietoverkkoresursseilta tulevaa liikennettä ei : *: haluta päästää tiettyyn tilaajaliittymään.The predefined namespace delimits the 15 subscriber interface-specific middleware-level nomenclatures that can be upgraded. The subscriber-specific middleware-level nomenclature contains middleware-level names for which to denote named network resources and / or denied traffic to named network resources and / or middleware-level names for denying traffic to or from certain nameservers: no incoming traffic: *: want to access a specific local loop.

Tilaajaliittymäkohtainen middlewaretason nimistö tallennetaan automaattiseen ... seurantajärjestelmään, muualle operaattorin järjestelmään tai operaattorin järjestelmän • · saataville. Keksinnössä pysäytetään automaattiseen seurantajärjestelmään liikennettä, 25 joka tulee sellaisesta verkkotason osoitteesta tai on kohdennettu sellaiseen verkkotason ·;·. osoitteeseen, jonka juuri tietyllä hetkellä voimassa olevaan middleware-tason vastinnimellä nimetylle tietoverkkoresurssille ei hyväksytä liikennettä tilaajaliittymäkohtaisen middleware-tason nimistön perusteella. Tietyn middleware-tason nimen ja verkkotason osoitteen välinen sidos saadaan nimipalvelinjärjestelmän -; - * 30 vastausviestistä, jonka vastausviestin mukainen verkkotason osoite pidetään voimassa ' * enintään vastausviestissä määritellyn voimassaoloajan, jolloin saadaan estettyä liikenne verkkotason osoitteisiin, joiden voimassaolevia middleware-tason vastinnimiä ei 4 109165 tunneta ja middleware-tason nimien mukaisille tietoverkkoresursseille tai tietoverkkoresursseilta, joille suunnattua taljoilta tulevaa liikennettä ei hyväksytä.Subscriber interface-specific middleware-level nomenclature is stored ... in an automated tracking system, elsewhere in the operator system, or available to the operator system. The invention stops traffic to an automatic tracking system coming from or targeted to such a network-level address ;; to an address where traffic to a cache resource named at a specific middleware level nickname at a given time is not accepted based on a subscriber interface specific middleware layer nomenclature. The link between a given middleware-level name and a network-level address is obtained by the -; - * out of 30 replies with a network address corresponding to the reply message 'up to the maximum validity period specified in the reply message to block traffic to network addresses with no valid middleware equivalent 4,109,165 and middleware level names from network resources or network resources traffic is not accepted.

Täsmällisemmin sanottuna keksinnön mukaiselle menetelmälle tietoverkkoliikenteen 5 ohjaamiseksi on tunnusomaista se, mikä on mainittu patenttivaatimuksen 1 tunnusmerkkiosassa.More specifically, the method for controlling data communication 5 according to the invention is characterized by what is mentioned in the characterizing part of claim 1.

I Keksinnön avulla saavutetaan huomattavia etuja. Keksinnön avulla saadaan vähennettyä i turhaa ja ei-toivottua verkkotason liikennettä. Keksintö mahdollistaa middleware-tason 10 nimiin kuten DNS-nimiin perustuvien estolistojen tai suljettujen middlewaretasolla määritettyjen käyttäjäryhmien (VPN, Virtual Private Network) muodostamisen, joissa ryhmän määrittely verkkotasolla dynaamisesti päivittyy middlewaretasolla määritellyn ryhmän mukaisesti sellaiseksi, että ryhmän rajaus verkkotasolla pysyy ryhmän middlewaretason nimien voimassa olevien verkkotason vastineiden mukaisena.The invention provides considerable advantages. The invention provides for the reduction of unnecessary and unwanted network-level traffic. The invention enables blocking lists based on middleware-level names such as DNS names or Virtual Private Network (VPN) closed clusters in which the network-level group definition is dynamically updated according to the middleware-level group so that the group-level network definition remains valid for the group middleware-level names as matched.

1515

Keksinnön avulla operaattorille ja verkon käyttäjille avautuu mahdollisuus estää halutusta tilaajaliittymästä sellaisilla middlewaretason nimillä nimetyille .' · tietoverkkoresursseille suunnattu liikenne, joita vastaavia verkkotason osoitteita ei ole : tiedusteltu tilaajaliittymästä lähetetyllä nimipalvelintiedustelulla tiettynä aikana.The invention enables the operator and the network users to prevent the desired subscriber line from being named by such middleware-level names. ' · Traffic to cyber resources for which there are no corresponding network-level addresses: Requested by a name server request sent to the subscriber line at a specified time.

: ' ‘: 20 Menetelmää voidaan myös soveltaa niin, että määritellään ainakin yksi verkkotason osoite tai osoitteita, jonne suunnattu tai josta tuleva liikenne hyväksytään, vaikka .* : kyseistä verkkotason osoitetta ei olekaan saatu nimipalvelinjärjestelmältä tiettynä : : aikana.: '': 20 The method can also be implemented by specifying at least one network-level address or addresses to which traffic to or from is accepted, though. *: That network-level address has not been received from the nameserver at a particular time::.

:: : 25 Menetelmässä verkkotaso pystyy automaattisesti konfiguroitumaan siten, että se tukee . · · ylemmän kerroksen konfiguraatiota. Jos liikenne siis estetään jollekin DNS-nimelle tai nimiavaruudelle, myös liikenne ko. nimeen tai nimiavaruuteen sidottuun IP-: : osoitteeseen tai osoiteavaruuteen estyy ilman erillistä IP- osoitepohjaisten estolistojen . . konfigurointia, ja näin saadaan estettyä liikenne tiettyihin verkko-osoitteisiin tai tietyistä . *. : 30 verkko-osoitteisiin DNS-nimien perusteella.::: 25 In this method, the network layer is automatically configured to support. · · Upper layer configuration. So if traffic is blocked for a DNS name or namespace, traffic for that DNS will also be blocked. is blocked without a separate IP address-based blocking list. . configuration to prevent traffic to or from certain web addresses. *. : 30 web addresses based on DNS names.

5 1091655,109,165

Keksinnön avulla saadaan rajoitettua DNS-nimien perusteella tiettyjen yleisesti saatavilla olevien tietoverkkoresurssien saatavuutta liittymä, päätelaite tai käyttäjäkohtaisesti esim. lastensuojelu- tai tarkoituksenmukaisuussyistä.By means of the invention it is possible to restrict the availability of certain commonly available data network resources based on DNS names for the subscriber, the terminal or the user, e.g. for reasons of child protection or expediency.

Keksintöä tarkastellaan seuraavassa esimerkkien avulla ja oheisiin piirustuksiin viitaten.The invention will now be described by way of example and with reference to the accompanying drawings.

I 5I 5

Keksinnöllä on kaksi perussovellusta TCP/IP-ympäristössä, joita voidaan käyttää rinnakkainkin:The invention has two basic applications in a TCP / IP environment that can be used in parallel:

Kuvion 1 mukainen lähtevän IP-liikenteen esto osoitteisiin, jotka eivät ole DNS-10 järjestelmän tiedossa ja/tai joita ei ole sallittu.Figure 1 illustrates an outbound IP traffic blocking for addresses that are not known to the DNS-10 system and / or are not allowed.

Kuvion 2 mukainen ei-toivotun IP-liikenteen esto middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.The blocking of unwanted IP traffic as shown in Figure 2 due to the automatic and active migration to middle layer traffic control configurations.

1515

Estettäessä kuvion 1 mukaisesti lähtevän IP-liikenteen pääsy osoitteisiin, joita ei ole DNS-järjestelmän tiedossa, ja/tai joita ei ole sallittu käytetään mm. seuraavia komponentteja ja suoritetaan seuraavia toimenpiteitä. Esimerkissä tietty tai tietyt nimipalvelin]äijestelmät kykenevät suorittamaan resoluution aikaisemmin määritetylle *;;. * 20 middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö ;1 *. on koko se nimiavaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietytWhen blocking outbound IP traffic as shown in Figure 1, addresses that are not known to the DNS system and / or are not allowed to be used e.g. following components and performing the following operations. In the example, certain or certain nameserver systems are capable of performing a resolution on a previously defined * ;; * 20 middleware level nomenclature, and with previously defined middleware level nomenclature; is the entire namespace that is syntaxed to the namespace for which a certain or certain

• * I• * I

nimipalvelin] äijestelmät kykenevät suorittamaan resoluution, mutta jonka !..t nimiavaruuden yksittäisellä nimellä ei välttämättä ole verkkotason vastinetta, ja jossa • * · tilaajaliittymäkohtainen middlewaretason nimistö on nimiavaruus, jolle tietty 25 nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. Esimerkissä on käytetty tiettynä nimipalvelinjäijestelmänä DNS-jäijestelmää ja aikaisemmin määriteltynä middlewaretason nimiavaruutena syntaksiltaan oikeaoppisia DNS-nimiä.nameserver] operating systems are capable of performing a resolution but whose! .. t namespace single name may not have a network-level equivalent, and where * * · subscriber-specific middleware-level nomenclature is a namespace for which a given 25 nameserver system can find network-level equivalent. The example uses DNS for a given name server system and for a previously defined middleware-level namespace, syntax-correct DNS names.

• > · !Tilaajaliittymäkohtainen middlewaretason nimistö koostuu niistä nimistä, joille DNS-> * '·’ järjestelmä kykenee suorittamaan resoluution tilaajaliittymästä 10 lähetetyn DNS- •; · * 30 tiedustelun perusteella.•> ·! The subscriber interface-specific middleware-level nomenclature consists of the names for which the DNS-> * '·' system is able to execute the resolution of the DNS transmitted from the subscriber interface •; · * 30 based on inquiry.

• · 6 109165• · 6 109165

Tilaajaliittymä 10, on olennaisesti ns. Stub-intemet, joka vain yhdistää asiakasverkon ja aktiivisolmun 11. Aktiivisolmu 11 on tietoverkkoelementti, johon on sisälletty ohjelmisto, jolla seurataan aktiivisoImuun 11 tulevien IP-pakettien otsaketietoja sekä ohjataan IP-pakettien kulkua. Aktiivisolmu 11 on sijoitettu siten, että kaikki 5 verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta.The subscriber interface 10 is essentially a so-called subscriber interface. The Stub Internet, which merely connects the client network and the active node 11. The active node 11 is a network element containing software that tracks the header information of the IP packets coming to the active node 11 and controls the flow of the IP packets. The active node 11 is positioned such that all network traffic to the first subscriber line 10 passes through it.

Tilaajaliittymäkohtaista middlewaretason nimistöä on voitu rajata aiemmin määritellystä myös esimerkin mukaisessa sovelluksessa. Tällöin aktiivisolmuun 11 tallennetaan sallituista ja/tai kielletyistä DNS-nimistä koostuva estolista, jota voidaan tarvittaessa dynaamisesti päivittää esim. operaattorin jäijestelmästä tai tilaajaliittymästä 10 10 tulevalla ohjauksella. Tilaajaliittymästä 10 lähtevät DNS-tiedustelut, jotka ylipäänsä ohjataan DNS-jäijestelmälle ohjataan DNS-palvelimelle 12.The subscriber interface-specific middleware-level nomenclature may have been limited to those previously defined in the example application. In this case, a block list consisting of allowed and / or denied DNS names is stored in the active node 11, which can be dynamically updated, if necessary, by means of control from, for example, an operator ice system or a subscriber interface 1010. The DNS queries from the subscriber interface 10 are routed to the DNS server 12 and are routed to the DNS rigid system.

Menetelmässä suoritetaan seuraavia vaiheita. Vaiheet 101 - 102 suoritetaan, jotta saadaan estettyä sellaisten tilaajaliittymästä 10 lähetettyjen nimipalvelinjäijestelmälle 15 suunnattujen tiedustelujen eteneminen nimipalvelinjärjestelmään, jotka koskevat DNS-nimiä, joilla nimetyille tietoverkkoresursseille ei haluta hyväksyä tietoliikennettä tilaajaliittymästä 10.The method comprises the following steps. Steps 101 to 102 are performed to prevent requests from the subscriber interface 10 for the nameserver system 15 from being forwarded to the nameserver system for DNS names that do not wish to accept communications from the subscriber interface 10 to the designated network resources.

101) Vastaanotetaan tilaajaliittymästä 10 lähetetty kysyttyä DNS-nimeä 13 koskeva 20 DNS-palvelimelle 12 suunnattu tiedustelu aktiivisolmussa 11.101) Receiving a request 20 from the subscriber interface 10 to the DNS server 12 for the requested DNS name 13 in the active node 11.

| 102) Lähetetään (102a) kysyttyä DNS-nimeä 13 koskeva tiedustelu aktiivisolmusta 11 DNS-palvelimelle 12, jos kysytty DNS nimi 13 on sallittu tai kuuluu , ; ·. sallittuun middlewaretason nimistöön estolistalle.. Muutoin tiettyä DNS-nimeä I · 25 koskevaa tiedustelua ei lähetetä eteenpäin eikä sallittujen verkko-osoitteitten ; ·. listaa täydennetä. Tällöin asiakas-host:lle tilaajaliittymään 10 lähetetään (102b) 'DNS-vastaus DNS-palvelimen 12 lähdeosoitteella, jossa kerrotaan että tiettyä . j. t DNS-nimeä ei ole, tai vaihtoehtoisesti jokin muu sopivampi virheilmoitus.| 102) Sending (102a) a query about the requested DNS name 13 from the active node 11 to the DNS server 12 if the requested DNS name 13 is allowed or belongs to; ·. otherwise, a request for a specific DNS name I · 25 will not be forwarded nor will it be allowed to the allowed web addresses; ·. to complete the list. The client-host to the subscriber interface 10 is then sent (102b) a 'DNS response' at the source address of the DNS server 12, which indicates that a particular one. j. t There is no DNS name, or alternatively a more appropriate error message.

30 Seuraavat vaiheet suoritetaan, jos tiettyä DNS-nimeä koskeva tiedustelu lähetettiin ·,: eteenpäin DNS-palvelimelle 12. Vaihe 103 suoritetaan, jotta aktiivisolmu päivittyisi hyväksymään liikenteen sellaisella DNS-nimellä nimetylle tietoverkkoresurssille, jolle 7 109165 halutaan hyväksyä liikennettä. Vaihe 103 on välttämätön vaiheen 104 onnistumisen kannattaja vaihe 105 voidaan suorittaa riippumatta muista vaiheista.30 The following steps are performed if a request for a particular DNS name was sent to ·,: forward to the DNS server 12. Step 103 is performed to update the active node to accept traffic to a network resource named by a DNS name for which traffic is to be accepted. Step 103 is a necessary step for the success of step 104 Step 105 can be performed independently of the other steps.

5 103) Vastaanotetaan aktiivisolmussa 11 DNS-palvelimen 12 vastausviesti vaiheessa 101 lähetettyyn tiedusteluun. Jos vastausviesti sisältää kysytyn DNS-nimen 13 ja sitä vastaavan kysytyn IP-osoitteen 14 sekä tämän ja DNS-nimen 13 välisen kysytyn sidoksen voimassaoloajan 15 TTL-kentässä, kysytty IP-osoite 14 määritellään hyväksytyksi osoitteeksi aktiivisolmuun tallennetulle verkkotason 10 estolistalle. Aktiivisolmu 11 aktivoituu sallimaan liikenteen kysytyn DNS- nimen 13 mukaiseen IP-osoitteeseen 14 enintään kysytyn sidoksen voimassaoloajan 15 DNS-palvelimen 12 lähettämä vastausviesti lähetetään aktiivisoImusta eteenpäin tilaajaliittymään 10 asiakas-host:lle.103) Receiving, in the active node 11, a response message from the DNS server 12 to the inquiry sent in step 101. If the response message contains the requested DNS name 13 and the corresponding requested IP address 14, and the requested link validity period 15 between this and the DNS name 13 in the TTL field, the requested IP address 14 is defined as an accepted address in the network-level blocking list 10. The active node 11 is activated to allow traffic to the IP address 14 of the requested DNS name 13 for up to the requested binding period 15 The response message sent by the DNS server 12 is transmitted from the active node to the subscriber interface 10 to the client host.

15 Seuraavaksi vastaanotetaan aktiivisolmussa asiakas-host:lta Stub-intemetin eli tilaajaliittymän 10 kautta kysyttyyn IP-osoitteeseen 14 suunnattu ensimmäisen viesti, vaiheessa 104 ja/tai kiellettyyn IP-osoitteeseen suunnattu toinen viesti vaiheessa 105.Next, a first message is received from the client-host in the active node through the Stub Internet, i.e., the subscriber interface 10, to the IP address 14 requested, in step 104 and / or the second message directed to the prohibited IP address in step 105.

104) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kysyttyyn IP- 20 osoitteeseen 14 suunnattu ensimmäinen viesti, tutkitaan aktiivisolmun :.: : logiikalla mahdolliset kysyttyyn IP- osoitteeseen 14 liittyvät estolistalle liitetyt ’...· tiedot ja päästetään ensimmäinen viesti läpi, jos kysytyn sidoksen • · * ‘ : voimassaoloaikaa 15 on vielä jäljellä.104) Receiving the first message from the subscriber interface 10 to the requested IP-address 14 from the active node 11, examining the active node:.:: Logic for possible blocking information associated with the requested IP-address 14 and passing the first message if the requested connection • · * ': 15 are still valid.

* I » 25 105) Vastaanotetaan aktiivisolmussa 11 tilaajaliittymästä 10 tuleva kiellettyyn IP- • · · osoitteeseen suunnattu toinen viesti 18, tutkitaan aktiivisolmun logiikalla* I »25 105) Receiving another message 18 from the subscriber interface 10 to the forbidden IP address in the active node 11, examined by the logic of the active node

II

? · · onko kielletty osoite 17 sallittu, havaitaan ettei ole ja pysäytetään viestin ! » eteneminen.? · · Whether the forbidden address 17 is allowed, detects the absence and stops the message! »Progress.

t It I

3030

Jotta aktiivisolmun 11 ei tarvitsisi säilyttää liian suurta sallittujen osoitteiden , : tietomassaa, TTL-kenttiin voidaan vaihtaa DNS vastausviestissä saatuja lyhyemmät voimassaoloajat, jolloin sallittuja osoitteita voidaan poistaa aktiivisolmusta 11 8 109165 tavanomaista aikaisemmin. Tilaajaliittymästä 10 lähetetyt DNS-kyselyt voidaan ohjata esim. Token-Bucket liikennemuokkaimen läpi, jolloin saadaan rajoitettua DNS-kyselyiden määrää asiakaskohtaisesti tiettynä ajanjaksona, jonka seurauksena saadaan pidennettyä aktiivisolmulle 11 sallittavaa verkkotason osoitteiden maksimisäilytysaikaa 5 ja vastaanotetun DNS-viestin mukaiseen konfiguroitumiseen kuluvaa aikaa.In order to prevent Active Node 11 from maintaining too many allowed addresses, the data mass can be replaced with TTL fields with shorter validity times obtained in the DNS response message, whereby allowed addresses can be removed from Active Node 11 8 109165 earlier than usual. DNS queries sent from the subscriber interface 10 may be routed through, e.g., the Token-Bucket Traffic Modifier, providing a limited number of DNS queries per customer over a specified period of time, resulting in extended network-level address retention times 5 for active node 11 and configuration time.

i (i (

Kuvion 2 mukainen toinen suoritusesimerkki, ei-toivotun IP-liikenteen vähentäminen middleware-tason liikenteenohjauskonfigurointien automaattisen ja aktiivisen verkkotasolle siirtämisen ansiosta.Another exemplary embodiment of Figure 2, reducing unwanted IP traffic by automatically and actively migrating middleware-level traffic control configurations to the network layer.

1010

Aktiivisolmu 11, joka on ohjelmoitu lukemaan DNS-palvelimelta 12 saapuvia viestejä, on sijoitettu siten, että kaikki verkkoliikenne ensimmäiseen tilaajaliittymään 10 kulkee sen kautta. Tieto verkkoresurssi 20, kuten asiakas-host on yhteydessä tietoverkkoon tilaajaliittymän kautta. Hallintajäijestelmällä 23 tarkoitetaan operaattorin järjestelmää, 15 jonka avulla se tarjoaa tietoverkkoyhteyksiä asiakkaidensa tilaajaliittymien kautta kommunikoiville tietoverkkoresursseille. DNS-nimet 24 voivat olla mitä tahansa DNS-nimiä. IP-osoitteet 25 ovat sellaisia IP-osoitteita, jotka ovat tallennettu DNS-järjestelmään vastaamaan DNS-nimiä 24. Käyttäjäprofiili 22 on operaattorin . hallintajärjestelmään tai hallintajärjestelmän 23 apujärjestelmänä toimivan erilliseen : 20 ohjausjärjestelmän saataville tallennettu määrittely tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Menetelmässä suoritetaan seuraavia ·.: numeroituja toimenpiteitä. Vaihe 201 suoritetaan niiden DNS-osoitteiden rajaamiseksi, i ,,, 1 : i : joista tilaajaliittymään hyväksytään liikennettä ja/tai joihin tilaajaliittymästä annetaan : : : lähettää dataa.The active node 11, programmed to read incoming messages from the DNS server 12, is positioned so that all network traffic to the first subscriber interface 10 passes through it. The information network resource 20, such as the client-host, is connected to the information network through a subscriber interface. A management system 23 refers to an operator system 15 by means of which it provides data network connections to its network resources communicating through its customers' local loops. DNS names 24 can be any DNS name. The IP addresses 25 are those IP addresses that are stored in the DNS system to match the DNS names 24. The user profile 22 is of the operator. a specification of the services provided to a particular network client or network resource, stored in a management system or a stand-alone sub-system 23 of the management system. The method performs the following ·: numbered operations. Step 201 is performed to delimit the DNS addresses i ,,, 1: i: from which traffic to and / or from the subscriber line is accepted::: transmitting data.

25 v : 201) Määritellään hallintajärjestelmässä 23 ainakin yhdelle tietylle • tietoverkkoresurssille, kuten asiakas-hostille sallitut DNS-nimet. Määrittely voi tapahtua kokonaan tai osittain operaattorin tai asiakkaan toimesta, : staattisesti tai dynaamisesti tietoverkkoresurssin 20 ja hallintajärjestelmän 30 välisen tietoliikenneyhteyden aikana. Nimet voivat olla fyysisesti tallennettuna mihin vaain, kunhan operaattorin hallintajärjestelmällä 23 on mahdollisuus ne hakea. Tietoverkkoresurssikohtaisesti on tehty hallintajärjestelmän 23 9 109165 saataville tallennettu käyttäjäprofiili, jonka perusteella sallittujen DNS-nimien haku onnistuu.25 v: 201) Specify the DNS names allowed for at least one specific network resource, such as the client-host, in the management system 23. The determination may be made in whole or in part by the operator or the client, statically or dynamically during the communication link between the network resource 20 and the management system 30. The names can be physically stored anywhere, as long as the operator management system 23 is able to retrieve them. By network resource, a stored User Profile has been made available to the management system 23 9 109165, which allows the search of allowed DNS names.

Vaiheet 202 - 205 suoritetaan tietyn käyttäjän tai päätelaitteen kohdentamiseksi 5 ensimmäiseen tilaajaliittymään 10, ja tiettyyn käyttäjään tai tiettyyn päätelaitteeseen kohdennettujen liikennerajoitusten määrittelemiseksi tiettyä liittymää valvovalle aktiivisolmulle 11. Näissä vaiheissa määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön, DNS-nimien 24, perusteella haetaan tilaajaliittymäkohtaisen middlewaretason nimistön yhden tai useamman nimen sellainen 10 verkkotason vastine, IP-osoitteet 25, jonka voimassaolo varmennetaan nimipalvelin]äijestelmän vastausviestin avulla, ja määritellään näistä kukin kielletyksi ja/tai sallituksi osoitteeksi siten, että kiellettyjen middleware-tason nimien verkkotason vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi 15 verkkotason osoitteiksi seurantajärj estelmään.Steps 202 through 205 are performed to target a particular user or terminal 5 to the first subscriber interface 10, and to determine traffic restrictions directed to a specific user or specific terminal to the active node 11 controlling a specific interface. a network-level equivalent of 10 names, IP addresses 25, that are validated by the name server] system response message, and each of these is defined as a prohibited and / or allowed address by defining the network-level equivalent of prohibited middleware-level names and / or allowed middleware-level names network-level equivalents are defined as allowed network-level 15 addresses in the tracking system, respectively.

202) Rekisteröidään tietoverkkoresurssi 20, kuten asiakas-host tilaajaliittymän 10 kautta muodostetulle tietoliikenneyhteydelle käyttäjäprofiililla 22 ja toimitetaan tieto rekisteröitymisestä hallintajäijestelmälle 23.202) Registering a network resource 20, such as a communication link established through a client-host subscriber interface 10, with a user profile 22 and transmitting the registration information to the management system 23.

: ;·; 20 »Il · 203) Lähetetään hallintajärjestelmältä 23 tiedustelelu DNS-järjestelmälle, esim : ·. i DNS-palvelimelta 12, joka koskee niitä DNS-nimiä 24 vastaavia IP-osoitteita ‘ : 25, joista ja/tai joihin hyväksytään liikennettä tietyllä käyttäjäprofiililla 22 ,: · identifioituun liittymään, tässä tapauksessa tilaajaliittymään 10.:; ·; 20 »Il · 203) Sending request from management system 23 to DNS system, eg: ·. From the DNS server 12, which addresses the IP addresses': 25 corresponding to the DNS names 24 from which and / or to which traffic is accepted by a particular user profile 22, to: · the identified interface, in this case the subscriber interface 10.

25 , * · 204) Vastaanotetaan hallintajärjestelmässä 23 DNS-järjestelmältä DNS-nimiä 24 . * * sekä niitä vastaavia IP-osoitteita 25 ja DNS-nimien 24 ja niitä vastaavien IP- : : : osoitteiden 25 välisten sidosten voimassaoloaikoja koskeva vastausviesti tai t 11 !vastausviestejä.25, * · 204) Receiving DNS names from the DNS system in the management system 23. * * as well as the corresponding IP address 25 and the validity period of the bind times between the DNS names 24 and the corresponding IP::: addresses 25 or t 11!

30 ' ·, j 205) Vastaanotetaan aktiivisolmussa 11 DNS-järjestelmästä saadut 1 IP-osoitteet 25 hallintajärjestelmältä 23, sekä IP-osoitteiden voimassaoloajat ja talletetaan IP- 10 109165 osoitteet 25 voimassaoloaikoineen vastinpareiksi sallituiksi osoitteiksi estolistalle aktiivisolmuun 11.30 '·, j 205) Receiving 1 IP addresses 25 from the management system 23 obtained from the DNS system in the active node 11, and the validity periods of the IP addresses, and storing the IP-10 109165 addresses 25 with their validity periods into blocked list in the active node 11.

Jatkossa ohjataan hallintajärjestelmällä DNS-nimiin 23 sidottujen kulloinkin voimassa 5 olevien IP-osoitteiden ja niiden voimassaoloaikojen tiedustelemista DNS-järjestelmältä ja toimittamista aktiivisoImulle 11. Käytetään tiedustelun herätteenä aikaisemmin nimipalvelinjäijestelmältä vastaanotettujen tarkasteltavien IP-osoitteiden 25 voimassaoloaikoja tai niistä rajoitettuja voimassaoloaikoja. Lähetetään kutakin DNS-nimeä 23 koskeva DNS-tiedustelu ennen kunkin DNS-nimeen 23 sidotun 10 voimassaoloajan loppumista. Poistetaan IP-osoitteita 25 aktiivisolmun sallituista IP-osoitteista muodostuvalta estolistalta käyttäen ohjausherätteenä näiden voimassaoloaikana, siten että kukin IP-osoite poistetaan estolistasta viimeistään voimassaoloajan loputtua.In the future, the management system will control the retrieval of the current 5 IP addresses and their expiry dates associated with the DNS names 23 and their transmission to the active node 11. The query IPs will use the expired or limited validity periods of the IP addresses 25 previously received from the name server system. A DNS inquiry is sent for each DNS name 23 before the 10 validity dates associated with each DNS name 23 expire. Removing IP addresses from the blocking list of allowed active addresses of 25 active nodes as a control excitation during their validity period, so that each IP address is removed from the blocking list at the latest upon expiration.

15 Menetelmän vaiheissa 206 - 207 aktiivisolmu vastaanottaa tietopaketin ja pysäyttää sen etenemisen tarvittaessa. Nämä vaiheet voidaan suorittaa myös ennen vaiheita 204 - 205, mutta tällöin viestillä ei ole läpäisymahdollisuuksia.15 In steps 206-207 of the method, the active node receives the information packet and stops its propagation as needed. These steps can also be performed prior to steps 204-205, but in that case the message has no chance of transmission.

206) Vastaanotetaan tilaajaliittymästä 10 tuleva tarkistettavaan IP-osoitteeseen 20 suunnattu tai tilaajaliittymää 10 kohti saapuva tarkistettavasta IP-osoitteesta lähetetty kolmas viesti aktiivisolmussa 11 ja tarkistetaan aktiivisolmun 11 ; * *. logiikalla kuuluuko tarkistettava IP-osoite 26 voimassa oleviin sallittuihin IP- | » · t t · !,, ’ osoitteisiin aktiivisolmussa 11 olevalla estolistalla.206) Receiving a third message from the subscriber interface 10 directed to the IP address to be checked 20 or arriving at the subscriber interface 10 from the IP address to be checked in the active node 11 and checking the active node 11; * *. logic whether the IP address to be checked 26 is a valid allowed IP | »· T t ·! ,, 'addresses in the block list on active node 11.

t · * t t * * * * 25 207) Lähetetään (207a) kolmas viesti eteenpäin tietoverkkoon kohti kolmannessa ; ·, viestissä määriteltyä kohdetta tai tilaajaliittymää 10, jos tarkistettava IP-osoite < t · ;kuuluu voimassa oleviin sallittuihin osoitteisiin aktiivisolmussa 11. Muuten • · ;, pysäytetään kolmas viesti aktiivisolmuun 11.t · * t t * * * * 25 207) Sending (207a) a third message forward to the data network in the third; ·, The destination specified in the message, or the subscriber interface 10, if the IP address to be checked <t ·; belongs to the valid allowed addresses in the active node 11. Otherwise, · · ;, the third message is stopped in the active node 11.

» I»I

» · I t 1’ 30 Käytettäessä laajaa DNS-nimistöä tilaajaliittymäkohtaisessa middiewaretason I I · ; : estolistassa tilaajaliittymästä 10 vastaanotettavaan liikenteeseen voidaan soveltaa • i * '· ensimmäistä suoritusesimerkkiä, jolloin aktiivisolmuun 11 ei tarvitse konfiguroida kaikkia tilaajaliittymäkohtaisen middiewaretason estolistan vastine-IP-osoitteita, vaan 11 109165 dynaamisesti ainoastaan ne, joihin päätelaite tekee aktiivisolmun 11 kautta DNS-kyselyjä, ja joiden kyselyiden vasteena lähetetyn nimipalvelinjäijestelmän vastausviestin sisältämät tiedot katsotaan tilaajaliittymäkohtaisen middlewaretason estolistan perusteella aiheellisiksi tallentaa aktiivisolmuun 11.»· I t 1 '30 When using a large DNS nomenclature for a subscriber-specific middiewar layer I I ·; : In the blocking list, the traffic received from the subscriber interface 10 can be applied to the first embodiment of i * '·, whereby the active node 11 does not have to configure all the equivalent IP addresses of the middiewar level blocking list per subscriber interface 1111616 dynamically only those for which queries the nameserver response message sent in response to the queries is considered appropriate to be stored in the active node based on the subscriber interface specific middleware blocking list.

55

Laajoja tietoverkosta aktiivisolmun 11 kautta tulevan ja tilaajaliittymään 10 kohdennetun liikenteen lähteenä olevien tietoverkkoresurssien DNS-nimistöjä pystytään valvomaan seuraavissa vaiheissa 208 - 210 esitetyllä tavalla. Esitetyllä tavalla pystytään valvomaan myös tilaajaliittymän 10 kautta tietoverkkoon lähtevän liikenteen 10 kohteena olevien tietoverkkoresurssien DNS-nimiä. Näissä vaiheissa vastaanotetaan j seurantajäijestelmässä tietoverkkoresurssille 20 kohdennettu tai tilaajaliittymästä tuleva tietty tietopaketti, ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltava verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason nimi, i tarkistetaan operaattorin jäijestelmässä kuuluuko tietty middlewaretason nimi 15 tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja määritellään tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. Vaihetta 205 ei tarvitse välttämättä suorittaa suoritettaessa vaiheet 208 - 210 ja vaiheet , . ·. 20 206-207 voidaan suorittaa ennen vaiheita 208 - 210 ja/tai näiden vaiheiden jälkeen.Extensive DNS lists of network resources coming from the data network through the active node 11 and targeted to the subscriber interface 10 can be monitored as shown in the following steps 208-210. In the same way, it is also possible to monitor the DNS names of the network resources that are subject to traffic to the data network 10 via the subscriber interface 10. In these steps, the tracking system receives a specific data packet addressed to the network resource 20 or from a subscriber interface, and retrieves the network level source and / or middleware level name that matches the middleware level, / or the destination address as an allowed or denied address to the tracking system in response to specifying or not specifying a specific middleware-level name in the subscriber-interface-specific middleware level nomenclature. Step 205 need not necessarily be performed when performing steps 208-210 and steps,. ·. 206-207 may be performed before and / or after steps 208-210.

. · · 208) Vastaanotetaan aktiivisolmussa 11 tietopakettin, jolla on entuudestaan : aktiivisolmulle 11 tallennetulle verkkotason estolistalle määrittelemätön :' · ‘: 25 tarkistettava IP-lähde- j a/tai kohdeosoite.. · · 208) Receiving in the active node 11 an information packet which has: undefined in the network-level blocking list stored in the active node 11: '·': 25 IP sources and / or destination addresses to be checked.

: : : 209) Vasteena vastaanotetulle tarkistettavalle IP-osoitteelle tehdään ns. reverse- I * » v < DNS kysely, eli. tiedustellaan aktiivisolmun 11 logiikalla tai aktiivisolmun _ ohjauksen perusteella muodostetulla DNS-järjestelmälle, esim DNS- 30 palvelimelle 12, suunnatulla tiedusteluviestillä IP-osoitetta vastaavaa DNS- » · * nimeä.::: 209) In response to the received IP address to be verified, a so-called IP address is made. reverse- I * »v <DNS query, ie. is queryed by the logic of the active node 11 or by a query message to the DNS system established on the basis of the control of the active node, e.g. the DNS server 12, corresponding to the IP address corresponding to the IP address.

a ( · > · » · » ·a (·> · »·» ·

• · I• · I

• · 12 109165 210) Vastaanotetaan DNS-jäijestelmän vastausviesti hallintajärjestelmässä 23 ja/tai aktiivisolmussa 11. Tarkistetaan löytyykö tarkistettavaa IP-osoitetta vastaava DNS-nimi sallittujen DNS-nimien listalta, joka voi sijaita hallintajärjestelmässä 23, hallintajärjestelmän 23 saatavilla tai aktiivisolmussa 11 tapauksesta 5 riippuen. Jos DNS-nimi löytyy sallittujen DNS-nimien listalta, ohjataan aktiivisolmu 11 sallimaan liikenne tarkistettavaan IP-osoitteeseen maksimissaan DNS-jäijestelmän tarkistettavaa IP-osoitetta koskevan vastausviestin sisältämän tarkistettavaan IP-osoitteeseen viittaavan TTL-kentän l mukaiseksi määräajaksi.• · 12 109165 210) Receiving a DNS response message on management system 23 and / or active node 11. Checking for a DNS name corresponding to the IP address being scanned in a list of allowed DNS names that can be located on management system 23, management system 23 or active node 11 . If the DNS name is found in the list of allowed DNS names, the active node 11 is directed to allow traffic to the IP address to be scanned for a maximum period of time according to the TTL field 1 referring to the IP address to be scanned in the DNS response message.

1010

Vaiheessa 210 konfigurointipäivityksen nopeus on tärkeää, jos ko. paketit halutaan päästää kohteeseen ennen reverse-kyselyn vastauksen saapumista, toisin sanoen tarkistamatta. Erityisesti tällöin tulee kyseeseen tilaajaliittymäkohtainen DNS-tiedustelujen käsittelytaajuuden rajoittaminen liikennemuokkaimen avulla. Lyhyen 15 purskeen pääseminen tilaajaliittymään ei kuitenkaan ole yhtä vaarallista kuin verkon tukkeutuminen esim. ’’denial of service”-hyökkäyksessä. Lisäksi tarkastamattomuuden haittavaikutuksia voidaan vähentää rajoitttamalla vielä tarkistamattomista osoitteista saapuvan tai tarkastamattomiin osoitteisiin kohdennetun liikenteen volyymia. Tämä voidaan toteuttaa ohjaamalla se esim. omaan Token-Bucket-jonoonsa. Tarkistuksen , , *. 20 tapahduttua ko. liikenteen voluumirajoitusta voidaan sitten muuttaa.In step 210, the speed of the configuration update is important if packets are wanted to be allowed to the destination before the reverse query response arrives, that is, without checking. Specifically, this involves limiting the frequency of processing of DNS inquiries per subscriber interface by means of a traffic editor. However, getting a short burst of 15 to a subscriber line is not as dangerous as blocking a network in a denial of service attack, for example. In addition, the adverse effects of unverified addresses can be reduced by limiting the volume of traffic coming from unverified addresses or directed to unverified addresses. This can be accomplished by directing it to its own Token-Bucket queue, for example. The amendment,, *. 20 events. the traffic volume limit can then be changed.

;' ‘': Keksintöä voidaan soveltaa myös niin, että ylläpidetään hallintajärjestelmässä 23 ja/tai :' ·,: aktiivisolmussa 11 sallittujen DNS-nimien listan lisäksi tai sen vaihtoehtona kiellettyjen :' Γ: DNS-nimien listaa j a ohj ataan liikennettä sen mukaisesti.; ' '': The invention may also be applied to maintain in the management system 23 and / or: '·,: in addition to the list of allowed DNS names in the active node 11, or as an alternative to its prohibited list:' Γ: list of DNS names and control traffic accordingly.

:T: 25: T: 25

Keksintöä voidaan myös soveltaa siten, että aktiivisolmulle 11 syötetään v : tilaajaliittymäkohtainen middlewaretason estolista, kuten sallitut DNS-nimet ja . · huolehditaan aktiivisolmun 11 logiikalla estolistan nimiä vastaavien IP-osoitteiden ja estolistan nimien välisten voimassaoloaikojen, käytännössä TTL-kenttien tiedustelusta 30 DNS-järjestelmältä aikaisemmin vastaanotettuihin voimassaoloaikoihin sidotun ohjauksen perusteella 13 109165The invention may also be implemented by providing the active node 11 with a v: subscriber-interface-specific middleware-level block list, such as allowed DNS names and. · Enable logic of the active node 11 to query the validity periods between the IP addresses corresponding to the block list names and the block list names, in practice the TTL fields based on the control bound to the previously received validity periods from the DNS system 13 109165

Keksinnön mukaista menetelmää voidaan soveltaa siten, että asetetaan verkkotason estolistamäärittelyt middlewaretason vastinnimille tehtyjen estolistamäärittelyjen mukaisesti koskemaan tiettyjä tietopaketin verkkotason lähde- ja kohdeosoitteiden yhdistelmiä, joissa on ainakin yksi verkkotason lähde- tai kohdeosoite myös 5 tapauksessa, jossa vastaanotetulla tietopaketilla on useita lähde- ja/tai kohdeosoitteita.The method of the invention can be applied by setting network-level block list definitions according to middleware-level block list definitions to certain combinations of network-level source and destination addresses of a data packet having at least one network-level source or destination address also in 5 cases where the received data packet .

Tällöin saadaan estettyä tietopaketin eteneminen tälle määritellyn kulkureitin perusteella.This prevents the information packet from proceeding on the basis of the specified path.

Eräs toinen mahdollinen keksinnön sovellus on jonkin estolistamäärittelyn perusteella 10 pysäytettäväksi tuomittavan viestin ohjaaminen poikkeusreitille siten, että kyseisen viestin pääsy kohdeosoitteeseensa estyy, vaikka sitä ei pysäytettäisikään seurantaj ärj estelmään.Another possible embodiment of the invention is to route a message to be stopped based on a block list definition 10, such that the message in question is blocked from accessing its destination address, even if it is not stopped by the tracking system.

Keksinnön mukaisessa menetelmässä voidaan käyttää Secure-DNS:n tarjoamia 15 mahdollisuuksia sen valvomiseksi, että DNS-jäqestelmälle lähetetyt tiedustelut on todellakin lähettänyt tietoverkkoresurssi, jonka lähettämien tiedustelujen mukaisesti estolistamäärittelyjä halutaan tehdä ja että nimipalvelinjärjestelmän vastausviestit ovat näihin tiedustelujen lähetettyjä vastauksia.The method of the invention may utilize the capabilities provided by Secure-DNS to verify that requests sent to a DNS backend are indeed transmitted by a cyber resource that requests blocking list definitions to be made and that replies to the nameserver system are responses to these requests.

: 20 Seuraavassa on selitetty mitä eräillä käsitteillä on tässä hakemuksessa ja erityisesti i,: : patenttivaatimuksissa tarkoitettu.: 20 What follows is a description of some of the terms used in this application, and in particular in the claims:.

. . : Seurantajärjestelmä on tietoliikenneverkkoon asiakasliittymän operaattorirajapinnan | ; operaattorin puolelle kytketty laitteisto, jonka läpi ohjataan tietoliikenneverkossa kulkevaa liikennettä. Seurantajärjestelmä on ohjelmoitava aktiivisolmu, palvelin tai 25 muu tietoverkkoelementti tai tietoverkkoon liitetty järjestelmä, joka kykenee lukemaan : : siihen saapuvien tietopakettien sisältämiä verkkotason lähde-ja/tai kohdeosoitetietoja ja : : vertailemaan saapuvien tietopakettien osoitetietoja seurantajärjestelmään tallennettuihin :·. verkkotason osoitetietoihin sekä vertailun perusteella lähettämään vastaanotetun tietopaketin seurantajärjestelmästä eteenpäin, tai pysäyttämään vastaanotetun '30 tietopaketin etenemisen seurantajärjestelmään. Seurantajärjestelmällä voidaan myös •. : tarkoittaa em.määrittelyn mukaista järjestelmää, johon on tallennettu middleware-tason nimiä Tällainen järjestelmä kykenee lähettämään tiettyä verkkotason osoitetietoa 14 109165 koskevan reverse-DNS-tiedustelun nimipalvelinjärjestelmälle tai operaattorin hallintajärjestelmälle, ja vastaanottamaan tiettyä verkkotason osoitetietoa vastaavan tietyn middlewaretason nimitiedon sekä vertailemaan tiettyä middleware-tason nimitietoa seurantajärjestelmän sisältämään tai seurantajärjestelmän saatavilla olevaan 5 tilaajaliittymäkohtaiseen nimistöön, joka sisältää ainakin yhden tilaajaliittymälle sallitun ja/tai kielletyn middlewaretason nimen. Vasteena tietyn middlewaretason nimen vertailulle tilaajaliittymäkohtaiseen osoitteistoon seurantajärjestelmään voidaan tallentaa tietty verkkotason osoite, ja estää tiettystä verkkotason lähdeosoitteesta tulevan tai tiettyyn verkkotason kohdeosoitteeseen menevän tai tiettyjen osoitteiden mukaista 10 reittiä menevän liikenteen pääsy kohteeseensa. Seurantajärjestelmä voidaan myös toteuttaa operaattorin hallintajärjestelmän ohjelmistollisena osana.. . : The tracking system is the telecommunication network client interface operator interface ; equipment connected to the operator's side through which traffic in the communication network is controlled. A tracking system is a programmable active node, server, or other network element or system connected to a network that can read:: the network-level source and / or destination address information contained in the incoming data packets, and:: compare the incoming data packet address information stored in the tracking system. network-level address information, and by comparison send a received data packet from the tracking system, or stop the progress of the received '30 data packet to the tracking system. The monitoring system can also:. : denotes a system according to the above definition in which middleware-level names are stored Such a system is capable of sending a reverse DNS request for a specific network-level address information to a name server system or operator management system, and receiving specific middleware-level name information corresponding to a particular network-level address name information to the 5 subscriber line-specific nomenclature contained in the tracking system or available to the tracking system, which contains at least one middleware level name that is allowed and / or denied to the subscriber interface. In response to comparing a particular middleware-level name to a subscriber interface-specific address book, the tracking system can store a specific network-level address, and block traffic to or from a specific network-level source address or 10-address destination. The tracking system may also be implemented as a software component of an operator management system.

Käyttäjäprofiili on operaattorin hallintajärjestelmään tai hallintajärjestelmän apujärjestelmänä toimivaan erilliseen ohjausjärjestelmän saataville tallennettu 15 määrittelyä tietylle tietoverkkoasiakkaalle tai tietoverkkoresurssille tarjottavista palveluista. Käyttäjäprofiili voi sisältää tiedon siitä miltä kaikilta middlewaretasolla nimetyiltä tietoverkkoresursseilta tiettyyn tilaajaliittymään tuleva tiettyyn i tilaajaliittymään kohdennettu ja/tai mille kaikille middlewaretasolla nimettyille tietoverkkoresursseille kohdennettu tietystä tilaajaliittymästä vastaanotettu liikenne . .·. 20 tulee estää.A user profile is a set of 15 specifications of services provided to a particular network client or network resource, stored in an operator management system or a stand-alone control system serving as a management subsystem. The user profile may include information on which of all the middleware level designated network resources designated traffic to a particular subscriber interface is directed to a particular subscriber interface and / or to all middleware level designated network resources designated from a particular subscriber interface. . ·. 20 should be blocked.

! · · · i : j :Nimi on tietoliikennejärjestelmissä esiintyvä symbolinen tunnus esim. URN(Uniform :' ·.: Resource Name), jolla ei ole mitään lokaatioriippuvaa osaa. Nimellä tarkoitetaan tässä : : : myös esim. DNS-host-nimeä, joka on yhtäältä lokaation nimi, koska host on abstraktien ‘ 4' : 25 resurssien karmalta lokaatio, mutta jota toisaalta tarvitaan verkkotason osoitteesta, esim.! · · · I: j: Name is a symbolic identifier used in communication systems, eg URN (Uniform: ': .: Resource Name), which does not have any location dependent part. The name also means here::: also the DNS host name, which is the name of the locale on the one hand, since the host is a karmic location of the abstract '4': 25 resources, but on the other hand is needed from the network level address,

IP-osoittesta, riippumattomaan nimeämiseen.From IP address to independent naming.

,* · Nimipalvelimella ja nimipalvelinjärjestelmällä tarkoitetaan järjestelmää, joka osaa tietyn middlewaretason nimen saatuaan määrittää tähän middlewaretason nimeen ; : 30 sidotut tiedot. Sidotut tiedot voivat esim. koskea tietyn middlewaretason nimen verkkotason vastinetta ja tietyn middlewaretason nimen ja sen verkkotason vastineen . ‘. : välistä voimassaoloaikaa., * · The name server and name server system refer to a system that can, after being able to assign a name to a given middleware level, assign it to that middleware name; : 30 bound information. The bound information may, for example, relate to a network-level equivalent of a particular middleware-level name and to a particular middleware-level name and its network-level equivalent. '. : period of validity.

15 10916515 109165

Resurssilla ja tietoverkkoresurssilla tarkoitetaan tietoverkkoon kytkettyä tilaajaliittymää, siihen kytkettyä host:ia, tietoverkossa ajettavaa sovellusohjelmaa ja/tai sen instanssia.Resource and data network resource means a subscriber interface connected to a data network, a host connected thereto, an application program running on the data network and / or its instance.

5 Verkkotason vastineella tarkoitetaan tiettyä middlewaretason nimeä tietyllä hetkellä vastaavaa verkkotason osoitetta toisin sanoen tietyllä middlewaretason nimellä nimetty tietoverkkoresurssi on tietyllä hetkellä löydettävissä verkkotason osoitteesta, jota tässä hakemuksessa ja erityisesti patenttivaatimuksissa nimitetään verkkotason vastineeksi.A network-level counter is a network-level address corresponding to a particular middleware-level name at a given time, that is, at a given time, a network-level resource designated by a particular middleware-level name can be found at the network-level address.

j 10 Estolistalta poistamisella tarkoitetaan poistamisen kohteen inaktivointia, jonka jälkeen | se ei enää ole tietoliikenteen rajoittamista ohjaava määrittely estolistalla.j 10 Unblocking means deactivating the target, followed by | it is no longer a blocking specification for restricting traffic.

jj

Tiedustelun generoinnilla tarkoitetaan tiedusteluviestin tai viestien sisältökenttien luomista generoivan jäqestelmän logiikalla.Inquiry generation means the creation of an inquiry message or message content fields by the logic of the generating waste system.

15 Verkkotason osoitteen ja sen middlewaretason vastinnimen välisellä sidoksella, ja midlewaretason nimen ja sen verkkotason vastineosoitteen välisellä sidoksella tarkoitetaan nimipalvelinjäijestelmään tallennettua määrittelyä, joka liittää tietyn middlewaretason nimen tiettyyn verkkotason osoitteeseen.15 A link between a network-level address and its middleware-level counterpart, and a midlevel-level name and its network-level counterpart address, is a definition stored in a name server system that associates a particular middleware-level name with a particular network-level address.

: 20: 20

Claims (17)

16 10916516 109165 1. Menetelmä tietoverkkoliikenteen ohjaamiseksi, jossa estetään tietopaketin pääsy kohdeosoitteeseensa tietopaketin lähde- tai kohdeosoitteen perusteella, jossa ! 5 i j - määritellään (205) ainakin yksi sallittu ja/tai kielletty verkkotason lähde- ja/tai kohdeosoite verkkotason estolistaksi, - ohjataan (206) tilaajaliittymään (10) kohdennettu tai tilaajaliittymästä (10) tuleva tietopaketti operaattorin jäijestelmään kuuluvan automaattisen seurantajäijestelmän 10 (11) läpi, ja - estetään (207) tietopaketin eteneminen kohdeosoitteeseensa vasteena ainakin yhden estolistassa määritellyn verkkotason lähde ja/tai kohdeosoitteen vertailulle ainakin yhteen tietopaketin lähde ja/tai kohdeosoitteeseen, 15 tunnettu siitä, että käytetään aikaisemmin määriteltyä middleware-tason nimistöä, rajataan (201) aikaisemmin määritellystä middleware-tason nimistöstä 20 tilaajaliittymäkohtainen middleware-tason nimistö, joka sisältää ainakin yhden ,·. sallitun ja/tai kielletyn middleware-tason lähde- ja/tai kohdenimen ja tallennetaan . ·. se operaattorin järjestelmän saataville ainakin siltä osin kun se ei ole jo operaattorin ; ; jäij estelmän saataville tallennettu, määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella 25 määritellään (205) ainakin yhden tilaajaliittymäkohtaisen middlewaretason nimistön nimen ainakin yksi verkkotason vastine kielletyksi tai sallituksi osoitteeksi siten että kunkin kielletyn middleware-tason nimen ainakin yksi verkkotason vastine määritellään kielletyksi verkkotason osoitteiksi ja kunkin sallitun middlewaretason nimen verkkotason vastine määritellään vastaavasti sallituksi 30 verkkotason osoitteeksi seurantajäijestelmään verkkotason estolistalle, ja poistetaan seurantajärjestelmässä olevien tilaajaliittymäkohtaisen estolistan middlewaretason nimistön nimien verkkotason vastineet seurantajärjestelmän 109 Ί 65 17 estolistalta automaattisesti viimeistään kunkin verkkotason vastineen ja sen tietyn middlewaretason vastineen välisen sidoksen viimeisenä voimassaolohetkenä.A method for controlling data traffic by preventing access of an information packet to its destination address based on the source or destination address of the information packet, wherein! 5 ij - defining (205) at least one allowed and / or denied network-level source and / or destination address as a network-level blocking list, - directing (206) an information packet targeted to or coming from the subscriber interface (10) to an automated tracking system 10 (11) and - preventing (207) advancing the data packet to its destination address in response to at least one network level source defined in the blocking list and / or comparing the destination address to at least one data packet source and / or destination address, characterized by using a predefined middleware level nomenclature; of the defined middleware-level nomenclature 20 subscriber-interface middleware-level nomenclature containing at least one, ·. allowed and / or prohibited middleware source and / or target name and stored. ·. making it available to the operator's system at least to the extent that it is not already an operator; ; defining (205) at least one network-level equivalent of the name of the at least one middleware-level nomenclature stored in the subscriber system as at least one network-level equivalent and at least one network-level equivalent of each prohibited middleware-level name and the network-level counterpart is defined as an allowable 30 network-level address in the tracking block for the network-level block list, and the network-level counterparts of the middleware-level names in the subscriber line-specific block list in the tracking system are automatically removed from the block-level 109 2. Patenttivaatimuksen 1 mukainen menetelmä, tunnettu siitä, että 5. vastaanotetaan (208) seurantajäijestelmässä tilaajaliittymään kohdennettu tai tilaajaliittymästä lähetetty tietty tietopaketti ja haetaan nimipalvelinjäijestelmältä tietyn tietopaketin tarkasteltavaa verkkotason lähde ja/tai kohdeosoitetta vastaava tietty middlewaretason vastinnimi, - tarkistetaan (209) operaattorin järjestelmässä kuuluuko tietty middlewaretason 10 vastinnimi tilaajaliittymäkohtaiseen middlewaretason nimistöön, ja - määritellään (209) tarkasteltava verkkotason lähde ja/tai kohdeosoite sallituksi tai kielletyksi osoitteeksi seurantajärjestelmään vasteena tietyn middlewaretason nimen : määrittelylle tai määrittelemättömyydelle tilaajaliittymäkohtaisessa middlewaretason nimistössä. 15A method according to claim 1, characterized by: receiving (208) a specific data packet addressed to or sent from the subscriber interface in the tracking subsystem and retrieving from the name server system a specific middleware level match name for the particular network level source and / or target address; and specifying (209) the network level source and / or destination address to be considered as an allowed or denied address in the tracking system in response to a specific middleware name specification: or not specified in the subscriber interface specific name. 15 3. Jonkin patenttivaatimuksen 1-2 mukainen menetelmä, tunnettu siitä, että - määritellyn tilaajaliittymäkohtaisen middlewaretason nimistön perusteella haetaan (203 - 204) tilaajaliittymäkohtaisen middlewaretason nimistön ainakin yhden nimen sellainen verkkotason vastine, jonka voimassaoloaika saadaan , ,·. 20 nimipalvelinjärjestelmältä kutakin nimeä koskevasta nimipalvelinjäijestelmän : vastausviestistä ja määritellään (205) näistä verkkotason vastineista kukin kielletyksi ja/tai sallituksi osoitteeksi siten että kiellettyjen middlewaretason nimien verkkotason ·,· vastineet määritellään kielletyiksi verkkotason osoitteiksi ja/tai sallittujen . middlewaretason nimien verkkotason vastineet määritellään vastaavasti sallituiksi Γ: 25 verkkotason osoitteiksi seurantajärjestelmään.A method according to any one of claims 1-2, characterized by: - retrieving (203-204) a network-level equivalent of at least one name of the subscriber interface-specific middleware-level nomenclature, based on the defined subscriber-interface-specific middleware level nomenclature, ·. From each of these network-level counterparts, each of these names is denied and / or allowed, so that the middle-level names of prohibited middleware names, ·, · are defined as forbidden network-level addresses and / or allowed. Network-level equivalents for middleware-level names are defined as allowed Γ: 25 network-level addresses in the tracking system, respectively. 4. Jonkin patenttivaatimuksen 1-3 mukainen menetelmä tunnettu siitä, että haetaan • estolistalle määriteltävä verkkotason vastine (203 - 204) nimipalvelinjärjestelmältä ’ lähettämällä ainakin yhtä tilaajaliittymäkohtaisen middlewaretason nimistön nimeä 30 koskeva operaattorinjärjestelmän generoima nimipalvelinjärjestelmälle suunnattu tiedustelu ja tallentamalla kutakin tiedusteltua middlewaretason nimeä koskevissa . 1: vastausviesteissä. 18 109165A method according to any one of claims 1 to 3, characterized by: retrieving a network-level equivalent (203-204) for a blocked list from the name server system by sending an operator-generated name server request for at least one subscriber-level middleware-level nomenclature name 30 1: in reply messages. 18 109165 5. Patenttivaatimuksen 4 mukainen menetelmä, tunnettu siitä, että ainakin yksi operaattorin järjestelmässä generoitava tiedustelu generoidaan seurantajärjestelmässä.Method according to Claim 4, characterized in that the at least one inquiry generated in the operator system is generated in the tracking system. 5. Jonkin patenttivaatimuksen 1 - 5 mukainen menetelmä tunnettu siitä, että aikaisemmin määritelty middlewaretason nimistö koostuu niistä kaikista middleware-tason nimistä, joille tietty rumipalvelinj ärjestelmä tai tietyt nimipalvelin]ärjestelmät kykenevät suorittamaan resoluution, ja että tilaajaliittymäkohtainen middlewaretason nimistö käsittää tietyyn tilaajaliittymälle välitettävälle tietopaketille sallitut ja/tai 10 kielletyt lähdeosoitteet ja/tai tietystä tilaajaliittymästä lähetettävälle tietopaketille | sallitut j a/tai kielletyt kohdeosoitteet. i iA method according to any one of claims 1 to 5, characterized in that the previously defined middleware-level nomenclature consists of all middleware-level names that can be resolved by a particular ugly system or specific nameserver systems, and that the middleware-level nomenclature per subscriber interface comprises / or 10 forbidden source addresses and / or for packets sent from a specific subscriber line | allowed and / or prohibited destination addresses. i i 7. Jonkin patenttivaatimuksen 1-5 mukainen menetelmä, tunnettu siitä, että tietty tai tietyt nimipalvelinjärjestelmät kykenevät suorittamaan resoluution aikaisemmin 15 määritetylle middlewaretason nimistölle, ja jossa aikaisemmin määritelty middlewaretason nimistö on koko se nimivaruus, joka kuuluu syntaksiltaan nimiavaruuteen, jolle tietty tai tietyt nimipalvelinj ärjestelmät kykenevät suorittamaan resoluution, mutta jonka nimiavaruuden yksittäisellä osoitteella ei välttämättä ole verkkotason vastinetta, ja jossa tilaajaliittymäkohtainen middlewaretason nimistö on ·. 20 nimiavaruus, jolle tietty nimipalvelinjärjestelmä kykenee löytämään verkkotason vastineet. : ·, · 8. Jonkin patenttivaatimuksen 1 - 7 mukainen menetelmä, tunnettu siitä, että -vastaanotetaan seurantajärjestelmässä tietyn tilaajaliittymäkohtaisen 25 middlewaretason nimistönavaruuden nimen verkkotason vastineen kertova tilaajaliittymään 10 kohdennettu nimipalvelinjärjestelmän vastausviesti, ja - vasteena vastausviestille määritellään vastausviestin mukainen verkkotason * vastine sallituksi osoitteeksi seurantajärjestelmän estolistalle. “ * 30 9. Jonkin patenttivaatimuksen 1-8 mukainen menetelmä, tunnettu siitä, että tietty nimipalvelinj ärjestelmä on DNS-järjestelmä tai sen osa ja että verkkotason osoitteet ja verkkotason vastineet ovat IP-osoitteita ja middleware-tason osoitteet DNS -nimiä. 19 109165A method according to any one of claims 1 to 5, characterized in that a given or certain name server systems are capable of performing a resolution on a previously defined middleware level nomenclature, and wherein the previously defined middleware level nomenclature is the entire namespace that syntaxes the namespace to which execute a resolution, but whose individual namespace names may not have a network - level counterpart, and where the middleware level nomenclature per subscriber interface is ·. 20 namespace for which a given name server system can find network-level equivalents. A method according to any one of claims 1 to 7, characterized in that: - receiving, in the tracking system, a name server system response message targeting a subscriber interface 10 indicating a specific middleware level namespace specific name for a particular subscriber interface, and - responding to the response message defining a network address * . A method according to any one of claims 1 to 8, characterized in that the particular name server system is a DNS system or part thereof, and that the network-level addresses and network-level equivalents are IP addresses and middleware-level addresses are DNS names. 19 109165 10. Jonkin patenttivaatimuksen 1-9 mukainen menetelmä, tunnettu siitä, että käytetään seurantajäij estelmänä ohjelmoitavaa aktiivisolmua (11).Method according to one of Claims 1 to 9, characterized in that a programmable active node (11) is used as a tracking indicator. 11. Jonkin patenttivaatimuksen 1-10 mukainen menetelmä, tunnettu siitä, että ohjataan tilaajaliittymästä nimipalvelinjäijestelmään suunnattuja viestejä 5 liikennemuokkaimeen, joka ohjaa viestit nimipalvelimeen siten, että nimipalvelimelle tilaajaliittymästä suunnattujen viestien määrä ei ylitä tiettyä raja-arvoa tietyssä ajassa.Method according to one of claims 1 to 10, characterized in that messages directed from the subscriber interface to the name server system are routed to a traffic editor 5 which directs the messages to the name server so that the number of messages to the name server from the subscriber interface does not exceed a certain limit. 12. Jonkin patenttivaatimuksen 1-11 mukainen menetelmä, tunnettu siitä, että tilaajaliittymäkohtainen middlewaretason nimistö määritellään (201) tilaajaliittymään 10 sidotun käyttäjäprofiilin perusteella. : ioMethod according to one of Claims 1 to 11, characterized in that the middleware-level nomenclature specific to the subscriber interface is defined (201) on the basis of a user profile tied to the subscriber interface 10. : io 13. Jonkin patenttivaatimuksen 1-12 mukainen menetelmä, tunnettu siitä, että hyväksytään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa sallittu ja/tai estetään liikenne tiettyyn verkkotason osoitteeseen tietyn verkkotason osoitteen ollessa kielletty enintään nimipalvelinjäijestelmän 15 vastausviestissä ilmenneen verkkotason osoitteen ja sen tietyn middlewaretason vastinnimen välisen sidoksen voimassaoloajan ellei vastaanoteta uutta tiettyä verkkotason osoitetta koskevaa nimipalvelinjäijestelmän vastausviestiä, joka sisältää tiedon tietyn verkkotason osoitteen pidemmästä voimassaoloajasta. ,·. 20 14. Patenttivaatimuksen 13 mukainen menetelmä, tunnettu siitä, että määritellään .··. voimassaoloaika maksimissaan tiettyyn verkkotason osoitteen ja sen tietyn . . : middlewaretason vastinnimen sitovan DNS-jäijestelmän vastausviestin TTL-kentässä i ; > ’; ilmeneväksi ajaksi.A method according to any one of claims 1 to 12, characterized by accepting traffic to a particular network-level address when a particular network-level address is allowed and / or denying traffic to a particular network-level address denying a maximum network-level address occurring in the response message of the name server system the bind expiration date unless a new server-level nameserver response message is received for a specific network-level address, which indicates the longer validity period for that particular network-level address. ·. 14. The method of claim 13, characterized by: ··. validity period up to a certain network-level address and its specific. . : middleware-level match name in the TTL field i of the DNS binding response message; > '; time. 15. Jonkin patenttivaatimuksen 1-14 mukainen menetelmä, tunnettu siitä, että : : käytetään herätteenä tiettyä middlewaretason nimeä koskevan tiedustelun ,·' · lähettämiseen nimipalvelinjäijestelmälle tietyn middlewaretason nimen ja tietyn ; ': verkkotason vastineen välisen sidoksen jäljellä olevaa voimassaoloaikaa.A method according to any one of claims 1 to 14, characterized in that: it is used as a trigger to send a query for a particular middleware level name, · '· to a name server system for a given middleware level name and a specific one; ': the remaining validity of the link between the network-level counterparts. 16. Jonkin patenttivaatimuksen 1-15 mukainen menetelmä, tunnettu siitä, että *. : -vastaanotetaan(101)seurantajäijestelmässätilaajaliittymästä(10)lähetetty 20 109165 nimipalvelin) äijestelmään (12) suunnattu tiettyä middlewaretason nimeä koskeva tiedusteluja, - vasteena tiedustelulle verrataan tiettyä middlewaretason nimeä seurantajärjestelmään tallennettuun tilaajaliittymäkohtaiseen middlewaretason nimistöön ja estetään (102) 5 tiedustelun eteneminen nimipalvelin)äijestelmään.Method according to one of Claims 1 to 15, characterized in that *. : receiving (101) 20 109165 name servers sent from the tracking subscriber interface (10) to a specific middleware level name (12) sent to the operating system (12); 17. Jonkin patenttivaatimuksen 1-16 mukainen menetelmä, tunnettu siitä, että estetään ainakin yhden tietopaketin pääsy kohdeosoitteeseensa pysäyttämällä paketti seurantajärjestelmään vasteena sen ainakin yhdelle lähde ja/tai kohdeosoitteelle. 10 1 2i 109165Method according to one of Claims 1 to 16, characterized in that at least one data packet is prevented from accessing its destination address by stopping the packet in the tracking system in response to at least one of its source and / or destination addresses. 10 1 2i 109165
FI992056A 1999-09-24 1999-09-24 A method for controlling data traffic FI109165B (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling data traffic
AU72936/00A AU7293600A (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network
PCT/FI2000/000810 WO2001026284A1 (en) 1999-09-24 2000-09-21 Method for controlling traffic in a data network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI992056 1999-09-24
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling data traffic

Publications (2)

Publication Number Publication Date
FI19992056A FI19992056A (en) 2001-03-24
FI109165B true FI109165B (en) 2002-05-31

Family

ID=8555349

Family Applications (1)

Application Number Title Priority Date Filing Date
FI992056A FI109165B (en) 1999-09-24 1999-09-24 A method for controlling data traffic

Country Status (3)

Country Link
AU (1) AU7293600A (en)
FI (1) FI109165B (en)
WO (1) WO2001026284A1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004266568A (en) 2003-02-28 2004-09-24 Nec Corp Name resolution server and packet transfer apparatus
JP3829851B2 (en) * 2004-03-09 2006-10-04 セイコーエプソン株式会社 Data transfer control device and electronic device
US8239930B2 (en) 2006-10-25 2012-08-07 Nokia Corporation Method for controlling access to a network in a communication system
EP2093692A1 (en) * 2008-02-25 2009-08-26 Research In Motion Limited System and method for facilitating secure communication of messages associated with a project
US8762506B2 (en) * 2010-12-30 2014-06-24 Verisign, Inc Method and system for partitioning recursive name servers
CN110166564B (en) * 2019-05-28 2023-09-05 北京小米移动软件有限公司 Information communication method, terminal and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE9702385L (en) * 1997-06-23 1998-12-24 Ericsson Telefon Ab L M Procedure and apparatus in a computer network
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6615258B1 (en) * 1997-09-26 2003-09-02 Worldcom, Inc. Integrated customer interface for web based data management
US6718387B1 (en) * 1997-12-10 2004-04-06 Sun Microsystems, Inc. Reallocating address spaces of a plurality of servers using a load balancing policy and a multicast channel

Also Published As

Publication number Publication date
FI19992056A (en) 2001-03-24
WO2001026284A1 (en) 2001-04-12
AU7293600A (en) 2001-05-10

Similar Documents

Publication Publication Date Title
US10356097B2 (en) Domain name system and method of operating using restricted channels
US7032031B2 (en) Edge adapter apparatus and method
US7114008B2 (en) Edge adapter architecture apparatus and method
US7734816B2 (en) Method and apparatus for redirecting network traffic
EP1255395B1 (en) External access to protected device on private network
US9942130B2 (en) Selective routing of network traffic for remote inspection in computer networks
US9313130B2 (en) Routing method and network transmission apparatus
US20140019514A1 (en) System providing faster and more efficient data communication
US20140098662A1 (en) Transparent provisioning of services over a network
US20060095960A1 (en) Data center topology with transparent layer 4 and layer 7 services
US20110035469A1 (en) Method and system for filtering of network traffic
TW200951757A (en) Malware detection system and method
WO2004021206A1 (en) Managing and controlling user applications with network switches
WO2013068789A1 (en) Method and system for allowing the use of domain names in enforcing network policy
US20070014301A1 (en) Method and apparatus for providing static addressing
US11019031B1 (en) Client software connection inspection and access control
US11855958B2 (en) Selection of an egress IP address for egress traffic of a distributed cloud computing network
WO2004047402A1 (en) Management of network security domains
FI109165B (en) A method for controlling data traffic
RU2272363C2 (en) Device, method, and system for improved routing in mobile ip network
US20070147376A1 (en) Router-assisted DDoS protection by tunneling replicas
Cisco Appendix C, Web Cache Control Protocol (WCCP)
Cisco Controlling Network Access and Use
Cisco MNLB Feature Set for LocalDirector: Command Reference
FI115326B (en) Method for Upgrading Dynamic Network-Level Matching Addresses of Middleware-Level Names to a Name Resolution System

Legal Events

Date Code Title Description
MM Patent lapsed