DE69825801T2 - Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz - Google Patents

Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz Download PDF

Info

Publication number
DE69825801T2
DE69825801T2 DE69825801T DE69825801T DE69825801T2 DE 69825801 T2 DE69825801 T2 DE 69825801T2 DE 69825801 T DE69825801 T DE 69825801T DE 69825801 T DE69825801 T DE 69825801T DE 69825801 T2 DE69825801 T2 DE 69825801T2
Authority
DE
Germany
Prior art keywords
rule
peer
local
packet
bank
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69825801T
Other languages
English (en)
Other versions
DE69825801D1 (de
Inventor
Daniel N. Zenchelsky
Partha P. Dutta
Thomas B. London
Dalibor F. Vrsalovic
Karl Andres Princeton Sül
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
AT&T Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by AT&T Corp filed Critical AT&T Corp
Application granted granted Critical
Publication of DE69825801D1 publication Critical patent/DE69825801D1/de
Publication of DE69825801T2 publication Critical patent/DE69825801T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Description

  • Gebiet der Erfindung
  • Diese Erfindung betrifft die Sicherheit von Informationssystemen, insbesondere die Bereitstellung von Zugriffssteuerung zwischen einem Satz automatisierter Informationssysteme und einem anderen.
  • Hintergrund der Erfindung
  • Bekannte Verfahren zur Implementierung der Zugriffssteuerung für einen bestimmten Computer in einem Netzwerk sind schwerfällig und unflexibel, da Zugriffsregeln kodiert und von Hand von einem Systemadministrator eingegeben werden müssen. Dies ist unpraktisch bei Netzwerken, deren Mitglieder häufig wechseln oder bei denen die Sicherheitsanforderungen der Mitglieder häufig wechseln.
  • Effektive Sicherheit von Informationssystemen verhindert die unerlaubte Offenlegung, Modifikation oder Ausführung von Daten und Prozessen eines automatisierten Informationssystems (AIS). Wie hierin verwendet, bezieht sich der Begriff AIS auf einen Computer, ein Netzwerk von Computern, Internetwork (netzüberschreitende Kommunikation) von Computern oder eine Teilmenge davon. Der Begriff "Daten" bezieht sich auf alle Informationen, die in einem AIS resident sind, einschließlich Dateien und Programme. Der Begriff "Prozesse" bezieht sich auf Programme in jedem beliebigen Ausführungsstadium in einem AIS.
  • Ein "Host" ist ein Computer mit einer zugewiesenen Netzwerkadresse, zum Beispiel einer Internet Protokoll (IP)-Adresse. Ein "Benutzer" (User) ist ein Computer, der keine feste, zugewiesene Netzwerkadresse hat. Um zum Beispiel eine Verbindung zum Internet zu erhalten, muss ein Benutzer normalerweise eine temporäre IP-Adresse von einem Host mit einem Pool solcher Adressen erhalten. Eine solche temporäre IP-Adresse wird vom Benutzer nur für die Dauer einer einzelnen Verbindungssitzung mit dem Internet beibehalten.
  • Informationen fließen in bestimmten Netzwerken in Paketen. Ein "Paket" ist ein Quantum an Informationen mit einer Kopfzeile, die eine Quell- und eine Zieladresse enthält. Ein Beispiel für ein Paket ist ein IP-Paket. Pakete, wie zum Beispiel IP-Pakete, haben eine Netzwerk-Protokoll-Kennung ("Protokoll") in der Paket-Kopfzeile. Das Protokoll kennzeichnet die Versionsnummer des Protokolls, das verwendet wird, um das Paket zu routen. Ein Beispiel für eine Netzwerk-Protokoll-Kennung ist das IP-Protokollfeld in einem IP-Paket-Kopfzeile.
  • Pakete in einem Netzwerk werden an und von Ports aus verschickt. Ein "Port" ist eine logische Adresse innerhalb eines Computers, durch die ein Prozess, der auf dem Computer abläuft, mit anderen ablaufenden Prozessen kommuniziert. Diese anderen Prozesse können sich auf demselben Computer oder auf anderen Computern im Netzwerk befinden.
  • Sicherheit von Informationenssystemen wird mit Hilfe einer Sicherheit-Politik implementiert, die Regeln zur Regulierung des Informationsflusses in einem AIS umfasst. Die Regeln einer Sicherheit-Politik sind in einer "Regel-Bank" verkörpert, einem Satz von Regeln, die angeben, ob ein Paket auf der Grundlage der Paket-Kennung an den geplanten Empfänger weitergegeben oder fallen gelassen werden soll. Eine Paket-Kennung sind Daten, die allgemein in der Paket-Kopfzeile enthalten sind und dazu dienen, das Paket zu kennzeichnen. Ein Beispiel für eine Paket-Kennung ist eine Schaltungsnummer, die in Kopfzeilen von Paketen auftritt, die in verbindungsorientierten (d. h. leistungsvermittelten) Netzwerken mit Paket-Vermittlung übertragen werden. Ein weiteres Beispiel für eine Paket-Kennung ist ein Paket-5-Tupel, das aus der Quell- und Zieladresse des Pakets, dem Quell- und Zielport und dem Protokoll besteht. Pakete mit 5-Tupeln werden in verbindungslosen Netzwerken mit Paket-Vermittlung übertragen.
  • Eine Regel-Bank kann global oder lokal sein. Eine globale Regel-Bank ist ein einheitlicher Satz von Regeln ("globale Regeln"), die für eine Gruppe von Benutzern, Hosts oder beide gelten. Eine lokale Regel-Bank ist ein Satz von Regeln ("lokale Regeln"), die für einen einzelnen Benutzer mit einer temporären Netzwerkadresse oder einen Host gelten. Ein einzelner Benutzer mit einer temporären Netzwerkadresse oder ein Host mit eigener Regel-Bank wird als "Peer" bezeichnet.
  • Ein anderes Mittel, um Sicherheit-Politik zu implementieren, besteht darin, den Zugriff auf ein Netzwerk auf einen vordefinierten Satz von Benutzern und Hosts zu beschränken. Wenn ein Benutzer oder Host eine Zugriff verlangt, muss seine Identität festgestellt und überprüft werden, bevor der Zugriff gewährt wird. Dieser Prozess besteht aus zwei Schritten: Identifizierung und Authentifizierung.
  • 1 zeigt eine Möglichkeit zur Identifizierung und Authentifizierung in Form eines Flussdiagramms, wobei jeder Schritt durch ein Bezugszeichen gekennzeichnet ist. Ein erster Schritt erfordert, dass eine Informationsquelle sich selbst namentlich identifiziert, indem sie einen String von Daten liefert, die als Benutzer-Kennung (ID) 10 bezeichnet wird. Um einen Unbefugten daran zu hindern, die Rechte im Zusammenhang mit einer bestimmten Benutzer-Kennung zu erhalten, wird der Benutzer hinter der Benutzer-Kennung überprüft, indem er aufgefordert wird, ein Kennwort 11 einzugeben, das normalerweise vertraulich behandelt wird. Solche Überprüfung wird als "Authentifizierung" bezeichnet. Das AIS vergleicht die Kombination aus Quell-Kennung und Kennwort mit einer Liste gültiger Benutzer, 12. Wenn das AIS eine gültige Benutzer-ID und das entsprechende Kennwort erkennt, gilt ein Benutzer oder Host als identifiziert und authentifiziert 14. Anderenfalls wird die Forderung nach Zugriff abgewiesen 13. Im Folgenden wird eine Quelle, die identifiziert und authentifiziert wurde, der Einfachheit halber als "authentifiziert" bezeichnet.
  • Die Regel-Bank einer Sicherheit-Politik wird in einem Netzwerk mit Hilfe einer Vorrichtung implementiert, die als Filter bezeichnet wird und die Hardware und Software umfasst. Die Regel-Bank wird in den Filter geladen, der Pakete auf dem Weg (zwischen ihrer Quelle und dem Ziel) abfängt und die Kennung jedes Paketes mit der Kennung vergleicht, die in jeder Regel der Regel-Bank enthalten ist, das heißt, er überprüft, ob das Paket der Regel entspricht. Ein Paket entspricht einer Regel, wenn die Regel auf das Paket anwendbar ist. So "entspricht" zum Beispiel eine Regel, die für Pakete mit einer Schaltungsnummer von 3254 gelten soll, allen Paketen mit einer Paket-Kennung, welche die Schaltungsnummer 3254 anzeigt. Wenn die Netzwerk-Paket-Kennung einer Regel-Kennung entspricht, führt der Filter für das Paket die PASS- oder DROP-Aktion aus, die von der Regel vorgeschrieben ist. Wenn die PASS-Aktion ausgeführt wird, kann das Paket den Filter passieren. Wenn die DROP-Aktion ausgeführt wird, wird das Paket fallen gelassen.
  • Ein Filter ist häufig mit anderer Hardware und Software kombiniert, die dazu beiträgt, den Informationsfluss durch den Filter zu verwalten. Die Kombination aus Hardware und Software, welche die Paket-Filterung durchführt und unterstützt, wird als Firewall bezeichnet. Eine Firewall befindet sich häufig zwischen einem ersten Netzwerk, das die Firewall "besitzt" und einem zweiten Netzwerk. Das Ziel der Firewall ist es, den Informationsfluss in und aus dem ersten Netzwerk vom zweiten Netzwerk zu regulieren, indem sie die Regel-Bank, die zum ersten Netzwerk gehört, für alle derartigen Informationen implementiert.
  • Eine typische Anwendung für eine Firewall ist in 2 dargestellt. Es kann ein Ziel eines Firmen-Netzwerkes 20 sein, seinen Abonnenten Zugriff auf Internet-Hosts 21 zu gewähren, aber den Zugriff der Internet-Hosts 21 auf das Firmen-Netzwerk 20 zu begrenzen, das Firmengeheimnisse und proprietäre Informationen enthalten kann. Das Firmen-Netzwerk 20 würde eine Sicherheit-Politik entwickeln, die von einer Firewall 22 implementiert wird, die sich an der Schnittstelle zwischen dem Firmen-Netzwerk 20 und den Internet-Hosts 21 befindet. Die Firewall 22 umfasst einen Filter 23, der PASS- oder DROP-Aktionen für Pakete von Internet-Hosts 21 an Firmen-Netzwerk-Abonnenten 20 und umgekehrt auf der Grundlage der Quell- und Zieladressen der Pakete durchführt. Die Firewall wird als zum Firmen-Netzwerk gehörig betrachtet und setzt Regeln um, die Hosts innerhalb des Firmen-Netzwerkes "schützen", die IP-Adressen haben. Von solchen Hosts wird gesagt, dass sie sich "hinter" der Firewall des Firmen-Netzwerkes befinden.
  • Ein Beispiel für eine Regel-Bank für das Firmen-Netzwerk 20 mit den Hosts A 24, B 25 und C 26, verbunden durch eine Firewall 22 mit dem Internet, das die Hosts G 27, H 28 und I 29 hat, ist wie folgt:
    Figure 00050001
  • Jede Regel-Bank muss auch eine Vorgabe-Aktion für Transaktionen haben, die nicht explizit in der Regel-Bank aufgeführt sind; dabei handelt es sich normalerweise um die DROP-Aktion. So werden Pakete vom System A, 21 an das System G, 33 fallen gelassen, weil die oben genannte Regel-Bank nicht ausdrücklich eine Regel für eine solche Übertragung einschließt.
  • Eine typische Struktur, um Benutzern Zugriff auf das Internet zu ermöglichen, ist in 3 dargestellt. Benutzer 31 und 32 haben keine festen IP-Adressen. Stattdessen werden einem Benutzer temporäre IP-Adressen von einem Internet-Dienstleister (ISP = Internet Service Provider) – Zugangspunkt (POP = Point of Presence) 33 aus einem Pool solcher Adressen zugewiesen, der vom POP 33 zu diesem Zweck verwaltet wird. Ein POP umfasst mindestens einen Host (nicht dargestellt). Wenn ein Benutzer 31 seine Zugriffs-Sitzung auf das Internet 35 beendet, wird die IP-Adresse an den POP 33 zurückgegeben. So ist es wahrscheinlich, dass im Laufe aufeinander folgender Zugriffs-Sitzungen ein Benutzer 31 mehrere verschiedene IP-Adressen hat.
  • Bekannte Filter sind nicht gut geeignet, um eine geeignete Zugriffs-Steuerung auf Netzwerke, wie ein POP, zu bieten. Das liegt daran, dass ein bekannter Filter Regeln nur durch Eingreifen eines System-Administrators laden und speichern kann, was einen langsamen und umständlichen Prozess darstellt. In der Tat muss der System-Administrator im Allgemeinen Regeln in einem Format per Hand kodieren, das für die Filter-Plattform spezifisch ist. Bei bekannten Filtern ist es unpraktisch, die Zugriffsregeln eines bestimmten Benutzers (bekannt als die "loka len Regeln" des Benutzers) zu implementieren, der auf das Netzwerk mit wechselnden Netzwerk-Adressen zugreift und es wieder verlässt.
  • Dieses Problem wird in 5a und 5b dargestellt. 5a zeigt eine erste Sitzung, in der ein erster Benutzer 51 Zugriff auf das Internet angefordert hat und von einem POP authentifiziert wurde und in der ihm eine IP-Adresse B aus dem POP-IP-Adressen-Pool 52 zugewiesen wurde. Ähnlich wurde ein zweiter Benutzer 53 authentifiziert und ihm wurde eine IP-Adresse E aus dem Pool 52 zugewiesen. Eine Regel-Bank 53 wird in einen Filter geladen, um den Informationsfluss zwischen Benutzern 51 und 53 und den Hosts P, U, V und W im Internet zu regulieren. Die in den 5a und 5b dargestellten Regel-Banken zeigen nur die Quell- und Zieladressen für jede Regel, wobei die Quell- und Zielports und das Protokoll der Einfachheit halber ausgelassen werden.
  • Beide Benutzer beenden den Zugriff auf das Internet und fordern den Zugriff später erneut und werden für eine zweite Sitzung authentifiziert, wie in 5b dargestellt. Diesmal wird dem ersten Benutzer 51 eine IP-Adresse E aus dem Pool 52 zugewiesen und dem zweiten Benutzer wird die IP-Adresse A zugewiesen. Für die neu zugewiesenen Netzwerk-Adressen ist die Regel-Bank im Filter jetzt veraltet und enthält keine Regeln für den zweiten Benutzer und die falschen Regeln für den ersten Benutzer, dem die IP-Adresse zugewiesen wurde, die während der ersten Sitzung dem zweiten Benutzer zugewiesen war. Selbst wenn zufällig beiden Benutzern für ihre zweite Sitzung dieselben IP-Adressen neu zugewiesen worden wären, hätte eine neue Regel-Bank in den Filter geladen werden müssen, wenn sich die Sicherheitsanforderungen eines der beiden Benutzer zwischen den Sitzungen geändert hätten. Wie oben ausgeführt, ist das Laden von Regeln in bekannte Filter mühsam. Das Laden und Fallenlassen solcher Regeln mit der Häufigkeit, mit der Benutzer auf einen POP zugreifen und ihn verlassen, ist bei bekannten Filtern unpraktisch.
  • Die mangelnde Flexibilität bekannter Filter macht häufig die Implementierung von Regel-Banken erforderlich, die für eine bestimmte Anwendung zu breit sind. Ohne die Möglichkeit einfacher Aktualisierungen ist es einfacher, globale Regeln aufzustellen, die für alle AIS hinter einem Filter gelten, als Regeln zu laden, die für bestimmte Hosts gelten. In diesem Fall müssen alle AIS hinter dem Filter den strengsten Sicherheitsanforderungen aller AIS entsprechen, was zu übermäßig strenger Filterung führt.
  • Die Nachteile bekannter Filter werden durch einige der Strukturen verdeutlicht, die zurzeit verwendet werden, um die Informationssystem-Sicherheit für einen POP zu gewährleisten. Die in 3 dargestellte Struktur bietet ein Minimum an Sicherheit durch ein Authentifizierungs-System 34, das den Zugriff auf eine vordefinierte Liste authentifizierter Benutzer beschränkt. Diese Benutzerliste muss jedoch im Allgemeinen per Hand vom System-Administrator eingegeben werden und kann so nicht einfach verändert werden. Außerdem ist der Zugriff unbegrenzt, sobald er einmal genehmigt wurde. Informationen können ohne Regeln zu unterliegen vom Internet 35 von und an die Benutzer 31 und 32 fließen, ohne Sicherheit, die über den ursprünglichen Authentifizierungsprozess hinausgeht. Dies setzt Benutzer 31 und 32 dem Risiko von Hacker-Angriffen von Benutzern und Hosts im Internet aus, was möglicherweise zum Diebstahl oder zur unzulässigen Manipulation von Benutzer-Daten führt.
  • Die in 4 dargestellte Struktur zeigt eine andere bekannte Lösung zur Bereitstellung von Informationssystem-Sicherheit für einen POP. Der bekannte Filter 46 implementiert eine Sicherheit-Politik für Pakete, die zwischen dem Internet 45 und Hosts 41 und 42 versandt werden. Die Regel-Bank im Filter 46 muss jedoch nach wie vor vom System-Administrator formuliert und geladen werden. Außerdem ist es wahrscheinlich, dass sich die Netzwerk-Adressen der Benutzer 31 und 32 von Sitzung zu Sitzung ändern. Dies bedeutet; dass es nur praktisch ist, allgemeine "globale" Regeln in den Filter zu laden, die für alle Benutzer gültig sind. Wenn zum Beispiel Benutzer A keine Pakete von einem bestimmten Host im Internet empfangen möchte, muss die Filter-Regel-Bank all solche Pakete verwerfen und somit Benutzer B vom Empfang von Paketen von diesem Internet-Host ebenfalls abschnei den. So ist die globale Regel-Bank, die von den begrenzten Kapazitäten bekannter Filter-Systeme erforderlich gemacht wird, fast immer zu breit. Ein weiterer Nachteil ist, dass es schwierig ist, die Filter-Regel-Bank zu ändern, um sie an die wechselnden Sicherheitsanforderungen von Benutzer 41 oder 42 anzupassen.
  • Eine andere Architektur, die Sicherheit für jeden Peer bietet, ist in 6 dargestellt. Hier werden die Filter 66 und 67 zwischen den Benutzern 61 bzw. 62 und dem POP platziert. Die Anforderung an jeden Benutzer, einen eigenen Filter zu haben, ist eine teure Lösung, die unpraktisch zu implementieren ist.
  • Was benötigt wird, ist ein Filter-System und -Verfahren, das lokale Regel-Banken akkurat und effizient in einem Netzwerk implementiert, dessen Konfigurations- und Sicherheitsanforderungen sich ständig verändern. Eine solche Erfindung würde flexible und kostengünstige Sicherheit auf Peer-Ebene bieten, wobei nur geringe Eingriffe von einem System-Administrator erforderlich wären.
  • WO-A-96 05549 beschreibt eine Vorrichtung und ein Verfahren zur Beschränkung des Zugriffs auf ein lokales Computer-Netzwerk, wobei ein Remote-Computer 12 über einen Remote Access Server 16 Kontakt zu einem Netzwerk 14 aufnimmt. Der Remote Access Server 16 hat Zugriffs-Filter für den Zugriff auf den Remote-Computer 12. Gemäß WO-A-96 05549 werden Benutzer-spezifische Filter in einer Datenbank gespeichert und jedes Mal abgerufen, wenn ein Benutzer sich im Netzwerk authentifiziert. Die Zugriffs-Filter sind vorgeblich Daten-Pakete oder -Wörter, die Netzwerk-Ressourcen als Zonen oder Geräte identifizieren. Der Netzwerk-Manager bestimmt die Filter. So benutzt der Remote Access Server 16 die Filter, um den Remote-Computer 12 daran zu hindern, mit bestimmten vordefinierten Netzwerk-Ressourcen zu kommunizieren, oder um solche Kommunikation zu begrenzen, indem ein oder mehrere Filter jedem Zugriffsversuch des Remote-Benutzers zugeordnet werden.
  • Dennoch bestehen bei WO-A-96 05549 Probleme, die im Abschnitt "Hintergrund der Erfindung" der vorliegenden Offenbarung genannt sind. Unter anderem teilt WO-A-96 05549 bekannte Filter Benutzern mit einer festen IP-Adresse zu. Dieses Ver fahren ist nicht geeignet für den Zugriff auf und die Steuerung von Zugangspunkt-(POP)-Systemen, bei denen die Benutzer keine feste IP-Adresse haben. Außerdem kann WO-A-96 05549 nicht dort implementiert werden, wo die Benutzer temporäre Netzwerk-Adressen haben oder wo sich die Benutzer-Adresse mit jeder Sitzung ändert.
  • Außerdem kann der Filter von WO-A-96 05549 Regeln nur durch das Eingreifen des System-Administrators laden und speichern. Dieses bekannte Verfahren ist dort unpraktisch, wo sich die Zugriffsregeln für einen bestimmten Benutzer mit der Änderung der Netzwerk-Adresse des Benutzers ändern. WO-A-96 05549 berücksichtigt auch nicht die spezifischen lokalen Regeln des Benutzers.
  • Zusammenfassung der Erfindung
  • Die vorliegende Erfindung betrifft einen Filter und ein Verfahren zur Bereitstellung von Zugriffs-Steuerung auf Peer-Ebene in einem Netzwerk, wie in den Ansprüchen 1 und 11 definiert. Weitere vorteilhafte Aspekte der Erfindung sind in den abhängigen Ansprüchen definiert.
  • Die vorliegende Erfindung umfasst einen Filter, der Zugriffsregeln für einen bestimmten Computer in einem Netzwerk mit schnell wechselnden Konfigurationen und Sicherheitsanforderungen effizient speichert, implementiert und verwaltet. Dies ermöglicht einem einzelnen Computer (einem Peer) den Vorteil, seine Sicherheit-Politik in einem Filter zu implementieren, der von vielen solchen Computern in einem Netzwerk gemeinsam genutzt wird.
  • Wenn eine lokale Regel-Bank nicht länger gültig ist, weil der Peer nicht mehr vom Filter gemäß der vorliegenden Erfindung authentifiziert wird, wird die lokale Regel-Bank des Peers "ausgeworfen", d. h. es wird eine logische Operation im Filter durchgeführt, durch welche die lokale Regel-Bank aus dem Filter gelöscht wird. Diese logische Operation von gespeicherten Daten in einem Computer ist im Fachgebiet gut bekannt. Dadurch wird der Informationsfluss von Sitzung zu Sitzung effektiv geregelt, was besonders vorteilhaft in AIS ist, wo einzelne Benutzer und Hosts verschiedene Sicherheitsanforderungen haben, die sich von Zeit zu Zeit ändern. Die vorliegende Erfindung ist zum Beispiel nützlich zur Einrichtung eines elterlichen Kontrollsystems, in dem die Eltern den Zugriff auf bestimmte Arten von nicht für Kinder geeignetem Material im Internet für Haushalt-Internet-Zugriffskonten regulieren können.
  • Die vorliegende Erfindung ermöglicht es einem einzelnen Gerät, den Informationsfluss flexibel und effizient in Übereinstimmung mit Sicherheit-Politiken zu regulieren, die spezifisch auf den einzelnen Benutzer oder Host zugeschnitten sind. Als Vorteil ist normalerweise bei der normalen Arbeitsweise der vorliegenden Erfindung kein Eingriff durch den System-Administrator erforderlich. Anders als bei bekannten Filtern kann die vorliegende Erfindung Benutzer mit temporären Netzwerk-Adressen genauso leicht bedienen wie Hosts mit festen Netzwerk-Adressen.
  • Gemäß der vorliegenden Erfindung wird jeder einzelne Peer, der den Netzwerk-Zugriff anfordert, authentifiziert. Die lokale Regel des Peers wird dann in eine lokale Regel-Bank des Filters der vorliegenden Erfindung geladen, entweder vom Peer selbst oder von einem anderen Benutzer, Host oder Peer. Wenn der Peer nicht mehr vom POP authentifiziert wird (zum Beispiel wenn der Peer die Verbindung verliert oder sich vom POP abmeldet), wird die lokale Regel-Bank des Peers aus dem Filter ausgeworfen (gelöscht).
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt den Prozess der Identifizierung und Authentifizierung.
  • 2 zeigt eine Firewall, die zwischen einem Firmen-Netzwerk und dem Internet platziert ist.
  • 3 zeigt Benutzer, die mit dem Internet über einen Zugangspunkt (POP) verbunden sind, der ein Authentifizierungs-System hat.
  • 4 zeigt einen POP mit einem Authentifizierungs-System und einem Filter.
  • 5a zeigt eine erste Internet-Zugriffs-Sitzung für zwei Benutzer über einen POP, der einen Filter hat.
  • 5b zeigt eine zweite Internet-Zugriffs-Sitzung für zwei Benutzer durch einen POP, der einen Filter hat.
  • 6 zeigt ein bekanntes Verfahren zur Bereitstellung von Zugriffs-Steuerung auf das Internet auf Benutzer-Ebene.
  • 7a zeigt eine Regel-Bank-Architektur gemäß einer Ausführungsform der vorliegenden Erfindung.
  • 7b zeigt eine Implementierung der Regel-Bank-Architektur, die in 7a dargestellt ist.
  • 8a zeigt einen POP mit einem Filter und einem Authentifizierungs-System, der drei Peers den Zugriff auf das Internet bietet.
  • 8b zeigt eine vereinfachte Darstellung der Regel-Banken, die zu den Peers gehören, die in 8a dargestellt sind.
  • 8c zeigt eine Hash-Funktion, die auf die Netzwerk-Adressen der drei Peers angewandt wird, die in 8a dargestellt sind, und die Lokal-Ein- und Lokal-Aus-Regel-Banken.
  • 8d enthält eine detaillierte Darstellung des Kastens "Prüfe lokale Regel-Bank", der in 7b gezeigt wird.
  • 9 zeigt eine Implementierung der vorliegenden Erfindung.
  • Detaillierte Beschreibung
  • Gemäß der vorliegenden Erfindung zeigt 7a eine Ausführungsform einer Regel-Architektur, welche die Funktionalität bekannter Filter integriert, indem sie eine globale Vor-Regel-Bank 701, eine lokale Regel-Bank 702 und eine globale Nach-Regel-Bank 703 einschließt.
  • Die globale Vor-Regel-Bank 701 umfasst normalerweise allgemeine Regeln, die für alle Hosts hinter der Firewall gelten, und werden am effizientesten vor lokalen Regeln angewandt. Ein Beispiel für eine globale Vor-Regel ist, dass keine Telnet (Remote Login)-Anforderungen hinter der Firewall genehmigt werden.
  • Die lokale Regel-Bank 702 umfasst den Satz von Peer-Regel-Banken, die in den Filter für authentifizierte Peers geladen werden. Diese Regeln gelten für bestimmte Hosts. Ein Beispiel für eine lokale Regel ist, dass Host A keine E-Mail von außer halb der Firewall empfangen darf.
  • Die globale Nach-Regel-Bank 703 umfasst allgemeine Regeln, die am effizientesten angewandt werden, nachdem die globale Vor-Regel-Bank und lokale Regel-Bank durchsucht wurden. Eine Regel, die in der globalen Nach-Regel-Bank angewandt wird, muss nicht denselben Effekt haben, wie wenn sie in der globalen Vor-Regel-Bank angewandt würde. Betrachten wir das obige Beispiel, bei dem der Empfang bestimmter Telnet-Anforderungen unterbunden wird. Wenn diese Regel in die globale Nach-Regel-Bank gestellt wird, wird zunächst die lokale Regel-Bank durchsucht und kann eine Regel enthalten, die eine Telnet-Anforderung für einen bestimmten Peer durchlässt. Wenn eine solche Regel in der lokalen Regel-Bank gefunden wird, wird die globale Nach-Regel-Bank nicht anschließend durchsucht und die Telnet-Anforderung wird durchgelassen. Betrachten wir den anderen Effekt derselben Regel, wenn sie in der globalen Vor-Regel-Bank auftritt, der darin besteht, alle Telnet-Anforderungen für alle Hosts hinter der Firewall zu blockieren. Die Bedeutung der Reihenfolge bei der Anwendung von Regeln wird aus einer gründlicheren Betrachtung des Verfahrens der vorliegenden Erfindung heraus offensichtlich.
  • 7b stellt ein Flussdiagramm der Paket-Verarbeitung oder -Filterung gemäß der vorliegenden Erfindung dar. Wie darin gezeigt, wird ein Paket, das in den Filter eintritt, zunächst mit einer globalen Vor-Regel-Bank 711 verglichen, die Regeln für alle Hosts und Benutzer mit Netzwerk-Adressen hinter der Firewall enthält.
  • Wenn eine entsprechende Regel gefunden wird und die vorgeschriebene Aktion DROP (verwerfen) ist, wird das Paket verworfen 712. Wenn eine entsprechende Regel gefunden wird und die Aktion PASS (durchlassen) ist, wird das Paket durchgelassen 720. Wenn keine entsprechende Regel gefunden wird, wird die lokale Regel-Bank durchsucht 713.
  • Die lokale Regel-Bank 702 ist der Satz aller Regel-Banken pro Benutzer, die gemäß der vorliegenden Erfindung bei der Authentifizierung dynamisch geladen und bei Verlust der Authentifizierung ausgeworfen werden.
  • Wenn eine entsprechende Regel in der lokalen Regel-Bank gefunden wird und die Aktion DROP ist, wird das Paket fallen gelassen 714. Wenn eine entsprechende Regel gefunden wird und die Aktion PASS ist, wird das Paket durchgelassen 721. Wenn keine entsprechende Regel gefunden wird, wird die globale Nach-Regel-Bank durchsucht 715.
  • Wenn eine entsprechende Regel in der globalen Nach-Regel-Bank gefunden wird und die Aktion DROP ist, wird das Paket fallen gelassen 716. Wenn die Aktion PASS ist, wird das Paket durchgelassen 722. Wenn in keiner der Regel-Banken eine entsprechende Regel gefunden wurde, wird das Paket mit der Vorgabe-Regel 717 verglichen, deren Aktion normalerweise darin besteht, das Paket fallen zu lassen (DROP). Wenn das Paket der Vorgabe-Regel entspricht, wird die Vorgabe-Aktion ausgeführt 723. Wenn das Paket der Vorgabe-Regel nicht entspricht, tritt eine Fehlerbedingung 724 auf.
  • Diese Regel-Bank-Architektur behält vorteilhafter weise die Funktionalität bekannter Filter bei. Wenn es zum Beispiel nur in der globalen Vor- oder Nach-Regel-Bank Regeln gibt, verhält sich der Filter ebenso wie bekannte Filter. Wenn es nur Regeln in der lokalen Regel-Bank gibt, hat der Filter alle neuen und erfinderischen Eigenschaften der vorliegenden Erfindung, ohne globale Regeln zu haben.
  • Es ist vorteilhaft, die vorliegende Erfindung mit einem System zu implementieren, das die lokale Regel-Bank effizient nach entsprechenden Regeln für ein bestimmtes Paket durchsucht. Ein System, das eine solche Leistungsfähigkeit bereitstellt, benutzt eine Hash-Funktion, um einen Index für die Regeln zu generieren. Eine Hash-Funktion bildet einen String von Zeichen auf eine ganze Zahl ab. Wie im Fachgebiet bekannt ist, wird ein String von Zeichen innerhalb eines Computers als Binärzahlen dargestellt. Ein Beispiel für eine Hash-Funktion wäre, wenn die dritten, vierten und fünften Bytes eines Strings von Zeichen, wie sie in einem Computer gespeichert ist, als erste, zweite und dritte Stelle einer ganzen Zahl genommen würden, die dem String zugeordnet werden sollte. Ein String, für den eine Hash-Funktion ausgeführt wurde, wird als "gehasht" bezeichnet und die resultierende ganze Zahl wird als "Hash" des Strings bezeichnet.
  • Dies wird erreicht durch logische Unterteilung der lokalen Regeln in Lokal-Ein-Regeln und Lokal-Aus-Regeln. Eine Lokal-Ein-Regel ist jede Regel, die für ein Paket gilt, dessen Zieladresse einer Netzwerk-Adresse hinter der Firewall entspricht. Nehmen Sie zum Beispiel an, dass sich ein Host mit der Netzwerk-Adresse A hinter der Firewall befindet und Hosts B, C und D sich außerhalb der Firewall befinden. Im Folgenden sind Beispiele für Lokal-Ein-Regeln für Host A aufgeführt, die dem folgenden Format entsprechen: QUELLADRESSE, QUELLPORT → ZIELADRESSE, ZIELPORT: Protokoll: AKTION:
    B, 31 → A, 33:4:DROP
    C, 64 → A, 45:4:PASS
    D, 11 → A, 17:4:PASS
  • Eine Lokal-Aus-Regel ist jede Regel, die für ein Paket gilt, dessen Quelle eine Netzwerk-Adresse hinter der Firewall entspricht. Lokal-Aus-Regeln für das obige Beispiel sind:
    A, 44 → B, 70:4:PASS
    A, 13 → C, 64:4:DROP
    A, 12 → D, 17:4:DROP
  • Entsprechend der vorliegenden Erfindung wird eine Hash-Funktion h für die Netzwerk-Adresse des Besitzers einer lokalen Regel-Bank ausgeführt. Eine Hash-Funktion stellt eine Verbindung zwischen einer ganzen Zahl und einem String her. In dem obigen Beispiel, in dem ein Host mit Netzwerk-Adresse A ("Host A") eine lokale Regel-Bank hat, würde eine Hash-Funktion für A ausgeführt werden:
    h(A) = N, wobei N eine ganze Zahl ist.
  • Ein Beispiel für solch eine Hash-Funktion ist es, die letzte Dezimalstelle in jedem Oktett einer IP-Adresse zu nehmen und eine ganze Zahl für die Hash-Nummer zusammenzustellen. So hätte zum Beispiel die IP-Adresse 123.4.46.135 einen Hash-Wert von 3465.
  • Nachdem die Hash-Funktion ausgeführt wurde, werden eine Lokal-Ein- und eine Lokal-Aus-Hash-Tabelle erstellt. Diese Tabellen sind im Wesentlichen Indizes, die nach Hash-Nummern durchsucht werden können, die von Netzwerk-Adressen von Peers abgeleitet wurden, wobei jede gehashte Peer-Netzwerk-Adresse auf die Lokal-Ein- und Lokal-Aus-Regeln dieses Peers zeigt. Wenn also A die Netzwerk-Adresse von Peer A ist und wenn h(A) = 32, dann zeigt 32 auf die Lokal-Ein- und Lokal-Aus-Regeln von Peer A in der lokalen Regel-Bank.
  • Die Vorteile dieses Indizierungs-Systems gemäß der vorliegenden Erfindung können mit Hilfe der 8a, 8b, 8c und 8d dargestellt werden. 8a zeigt eine Beispiel-Architektur, bei der Peers A 801, B 802 und C 803 sich hinter einer Firewall 804 befinden, die einen Filter 805 hat, der an ein Netzwerk 806 mit Hosts G 807, H 808 und I 809 angeschlossen ist. Diese Buchstaben stehen für Netzwerk-Adressen. 8b zeigt die lokale Regel-Bank für jeden Host. Der Einfachheit halber ist jede Regel in den Regel-Banken nur als eine Netzwerk-Quell- und -Zieladresse dargestellt; die Quell- und Zielports und Protokollnummern werden nicht gezeigt. Das Sternchen steht für einen Platzhalter, der einen beliebigen Host angibt. Diese Funktion kann gemäß der vorliegenden Erfindung zum Beispiel vorteilhaft implementiert werden, indem Platzhalter in einem oder mehreren der vier Oktette eingeschlossen werden, die eine IP-Adresse bilden. Die folgenden IP-Adressspezifikationen sind alle gültig zur Verwendung in Regel-Banken gemäß der vorliegenden Erfindung:
    123.*.233.2
    34.*.*.155
    *.*.*.32
  • Die Platzhalter-Funktion kann gemäß der vorliegenden Erfindung ähnlich auch in jeder anderen Komponente im 5-Tupel verwendet werden, d. h. den Quell- und Zielports und dem Protokoll.
  • 8c zeigt die Peer-Ein-Hash-Tabelle 821 und die Peer-Aus-Hash-Tabelle 822, abgeleitet von den lokalen Regeln, die in 8b dargestellt sind, und die Hash-Funktion h, die für die Netzwerk-Adressen A, B und C 823 ausgeführt wird. Wenn ein Paket vom Filter 805 empfangen wird, führt der Filter dieselbe Hash-Funktion h für die Quell- und Ziel-Adresse 824 des Paketes aus.
  • 8d zeigt das Verfahren, mit dem die Hash-Tabellen gemäß der vorliegenden Erfindung durchsucht werden. 8d stellt eine detaillierte Ansicht des Kastens "Prüfe lokale Regel-Bank" 713 in 7b dar.
  • Gemäß der vorliegenden Erfindung wird, wenn keine entsprechende Regel in der globalen Vor-Regel-Bank 711 gefunden wurde (7b), die Lokal-Ein-Hash-Tabelle effizient nach einer Regel durchsucht, die dem Paket 841 entspricht. Wenn eine entsprechende Regel gefunden wird und die Aktion DROP ist, wird das Paket fallen gelassen 842. Wenn die Aktion PASS ist oder es keine entsprechende Regel gibt, wird die Peer-Aus-Hash-Tabelle durchsucht 843. Wenn eine entsprechende Regel in der Hash-Aus-Tabelle gefunden wird und die Aktion DROP ist, wird das Paket fallen gelassen 844. Wenn die Aktion PASS ist oder es keine entsprechende Regel gibt und wenn mindestens eine der Hash-Tabellen eine entsprechende Regel enthielt, wird das Paket durchgelassen 845. Wenn es in keiner der Hash-Tabellen entsprechende Regeln 846 gab, wird die Nach-Regel-Bank durchsucht 715, wie in 7b dargestellt.
  • Ohne die Peer-Ein- und Peer-Aus-Hash-Tabellen müssten die Regeln viel weniger effizient gesucht werden, indem die gesamte Regel-Bank nach Regel-Kennungen (zum Beispiel 5-Tupel) durchsucht würde, die der Paket-Kennung (zum Beispiel 5-Tupel) entsprechen. Der Teil der Regel, der das Paket kennzeichnet, für das die Regel gilt (die Regel-Kennung), wird auch als Regel-"Schlüssel" bezeichnet. Die Verwendung von Hash-Tabellen beseitigt die Notwendigkeit, die Schlüssel aller Regeln zu durchsuchen, und zeigt stattdessen auf die relevante Untermenge möglicherweise anwendbarer Regeln durch eine schnellere Suche. So werden der Umfang und die Rechnerzeit, die benötigt wird, um die Suche durchzuführen, substanziell und vorteilhaft verringert, wobei auch die Verzögerung der Paket-Durchlauf-Zeit verringert wird, die durch das Zwischenschalten eines Filters zwischen die Paket-Quelle und das Paket-Ziel verursacht wird.
  • Wie in 9 dargestellt, wird ein Peer zunächst gemäß der vorliegenden Erfindung authentifiziert 91. Bei der Authentifizierung wird die lokale Regel-Bank des Peers in den Filter 92 geladen. Eine Hash-Funktion wird für die Netzwerk-Adresse 93 des Peers ausgeführt und die Peer-Ein- und Peer-Aus-Hash-Tabellen des Filters werden mit Zeigern auf die Peer-Ein- und Peer-Aus-Regeln des Peers aktualisiert 94. Wenn der Peer nicht mehr authentifiziert wird 95, werden die lokalen Regeln des Peers von der lokalen Regel-Bank 96 des Filters ausgeworfen und die Zeiger auf die Peer-Ein- und Peer-Aus-Regeln des Peers werden von den Peer-Ein- und Peer-Aus-Hash-Tabellen 97 des Filters ausgeworfen.
  • Die vorliegende Erfindung bietet Filtern und Firewalls neue Sicherheit-Funktionalität auf Benutzer-Basis und behält gleichzeitig die Funktionalität bekannter Filter bei. Die vorliegende Erfindung ermöglicht die dynamische Anpassung lokaler Regel-Banken, die dynamisch an die wechselnden Anforderungen des einzelnen Benutzers angepasst werden können.
  • Wenn technische Merkmale in den Ansprüchen mit Bezugszeichen versehen sind, so sind diese Bezugszeichen lediglich zum besseren Verständnis der Ansprüche vorhanden; dementsprechend stellen solche Bezugszeichen keine Einschränkungen des Schutzumfangs solcher Elemente dar, die nur exemplarisch durch solche Bezugszeichen gekennzeichnet sind.

Claims (22)

  1. Ein Filter (805) zur Bereitstellung von Zugriffssteuerung auf Peer-Ebene in einem Netz (806), das einen Peer (801, 802, 803) mit einer lokalen Regel hat, wobei der Filter (805) folgendes umfasst: ein Mittel zum Zugriff auf eine lokale Regel des Peers (801, 802, 803); ein Mittel zur Erfassung, wann der Peer (801, 802, 803) authentifiziert wird; ein Mittel zum Laden einer lokalen Regel des Peers (801, 802, 803) in eine lokale Regel-Bank (702) des Filters (805), wenn die Authentifizierung des Peers (801, 802, 803) erfasst wird; und ein Mittel zum Empfangen eines Pakets, das eine Paket-Kennung hat, welche eine entsprechende lokale Regel identifiziert und zum Ausführen der Aktion der entsprechenden lokalen Regel auf dem Paket, während der Filter (805) Pakete für den Peer (801, 802, 803) filtert.
  2. Der Filter (805) nach Anspruch 1, der weiter folgendes umfasst: ein Mittel zur Erfassung, wann der Peer (801, 802, 803) sich abmeldet; und ein Mittel zus Auswurf einer lokalen Regel des Peers (801, 802, 803) von der lokalen Regel-Bank (702) des Filters (805) beim Erfassen, dass sich der Peer (801, 802, 803) abgemeldet hat.
  3. Der Filter (805) nach Anspruch 1, wobei die Paket-Kennung eine Quell- und Zieladresse, einen Quell- und Zielport und eine Protokoll-Kennung umfasst.
  4. Der Filter (805) nach Anspruch 1, wobei das Mittel zum Zugriff auf eine lokale Regel des Peers (801, 802, 803) den Emp fang und die Speicherung einer lokalen Regel umfasst.
  5. Der Filter (805) nach Anspruch 1, der weiter Mittel zum Authentifizieren des Peers (801, 802, 803) umfasst.
  6. Der Filter (805) nach einem oder mehreren der Ansprüche 1-5, der weiter eine globale Vor-Regel-Bank (701) umfasst, die eine globale Vor-Regel hat, wobei beim Empfangen des Pakets der Filter (805) zunächst die globale Vor-Regel-Bank (701) nach einer Regel durchsucht, die dem Paket entspricht, und die Aktion der entsprechenden globalen Vor-Regel auf dem Paket ausführt, und wobei, falls keine entsprechende globale Vor-Regel identifiziert wird, der Filter (805) die lokale Regel-Bank (702) nach einer Regel durchsucht, die dem Paket entspricht, und die Aktion der entsprechenden lokalen Regel auf dem Paket ausführt.
  7. Der Filter (805) nach Anspruch 6, der weiter eine globale Nach-Regel-Bank (703) umfasst, wobei die globale Nach-Regel-Bank (703) nach einer Regel durchsucht wird, die dem Paket entspricht, und die Aktion einer globalen Nach-Regel ausgeführt wird, wenn sie dem Paket entspricht, und zwar nur wenn keine entsprechende Regel in der globalen Vor-Regel-Bank (701) und keine entsprechende Regel in der lokalen Regel-Bank (702) identifiziert wird.
  8. Der Filter (805) nach Anspruch 7, der weiter eine Vorgabe-Regel umfasst, wobei, falls keine entsprechende globale Vor-Regel (701) und keine entsprechende lokale Regel (702) und keine entsprechende globale Nach-Regel (703) identifiziert werden, der Filter (805) die Aktion der Vorgabe-Regel ausführt, falls die Vorgabe-Regel dem Paket entspricht, und eine Fehlerbedingung erzeugt, falls die Vorgabe-Regel dem Paket nicht entspricht.
  9. Der Filter (805) nach Anspruch 1, wobei der Peer (801, 802, 803) eine Netzwerkadresse (823) hat und wobei die Paket-Kennung eine Paket-Quellenadresse und eine Paket-Zieladresse umfasst, und wobei eine lokale Regel eine Regel-Quellenadresse, eine Regel-Zieladresse und eine Aktion umfasst, weiter eine Lokal-Ein-Hash-Tabelle umfassend, die einen Ein-Zeiger hat, der abgeleitet wird durch Anwendung einer Hash-Funktion auf die Netzwerkadresse (823) des Peers (801, 802, 803), wobei der Ein-Zeiger auf die lokale Regel eines Peers zeigt, dessen Regel-Zieladresse der Netzwerkadresse (823) des Peers (801, 802, 803) entspricht.
  10. Der Filter (805) nach Anspruch 1, wobei der Peer (801, 802, 803) eine Netzwerkadresse (803) hat und wobei die Paket-Kennung eine Paket-Quellenadresse und eine Paket-Zieladresse umfasst und wobei eine lokale Regel eine Regel-Quellenadresse, eine Regel-Zieladresse und eine Aktion umfasst, weiter eine Lokal-Aus-Hash-Tabelle umfassend, die einen Aus-Zeiger hat, der abgeleitet wird durch Anwenden einer Hash-Funktion auf die Netzwerkadresse (823) des Peers (801, 802, 803), wobei der Aus-Zeiger auf die lokale Regel eines Peers zeigt, dessen Regel-Quellenadresse der Netzwerkadresse (823) des Peers (801, 802, 803) entspricht.
  11. Ein Verfahren zur Bereitstellung von Zugriffssteuerung auf Peer-Ebene in einem Netz (806) mit einem Peer (801, 802, 803), das folgendes umfasst: Zugriffen auf eine lokale Regel des Peers (801, 802, 803); Erfassen, wann der Peer (801, 802, 803) authentifiziert wird; Laden einer lokalen Regel des Peers (801, 802, 803) in eine lokale Regel-Bank (702) eines Filters (805), wenn die Authentifizierung des Peers (801, 802, 803) erfasst wird; Empfangen eines Pakets, das eine Paket-Kennung hat; und Durchsuchen der lokalen Regel-Bank (702), Identifizieren einer lokalen Regel, die der Paket-Kennung entspricht, und Ausführen der Aktion einer lokalen Regel, wenn die lokale Regel der Paket-Kennung entspricht.
  12. Das Verfahren nach Anspruch 11, das weiter folgenden Schritt umfasst: Erfassen, wann sich der Peer (801, 802, 803) abmeldet; und Auswerfen einer lokalen Regel des Peers (801, 802, 803) aus der lokalen Regel-Bank (702) des Filters (805) beim Erfassen, dass sich der Peer (801, 802, 803) abgemeldet hat.
  13. Das Verfahren nach Anspruch 11, wobei die Paket-Kennung eine Quellen- und Zieladresse, einen Quell- und Zielport und eine Protokoll-Kennung umfasst.
  14. Das Verfahren nach Anspruch 11, wobei das Zugreifen auf eine lokale Regel des Peers (801, 802, 803) die Schritte des Empfangens und Speicherns einer lokalen Regel umfasst.
  15. Das Verfahren nach Anspruch 11, das weiter den Schritt der Authentifizierung eines Peers (801, 802, 803) vor dem Zugreifen auf die lokale Regel des Peers umfasst.
  16. Das Verfahren nach einem oder mehreren der Ansprüche 11-15, das weiter folgende Schritte umfasst: Durchsuchen einer globalen Vor-Regel-Bank (701) und Identifizieren einer globalen Vor-Regel, die dem Paket entspricht; Ausführen der Aktion einer globalen Vor-Regel, wenn die globale Vor-Regel dem Paket entspricht; wenn keine entsprechende globale Vor-Regel in der globalen Vor-Regel-Bank (701) gefunden wird, Durchsuchen der lokalen Regel-Bank (702), Identifizieren einer lokalen Regel, die dem Paket entspricht, und Ausführen der Aktion einer lokalen Regel, wenn die lokale Regel dem Paket entspricht.
  17. Das Verfahren nach Anspruch 16, das weiter folgende Schritte umfasst: wenn keine entsprechende globale Vor-Regel in der globalen Vor-Regel-Bank (701) gefunden wird und keine entsprechende lokale Regel in der lokalen Regel-Bank (702) gefunden wird, Durchsuchen einer globalen Nach-Regel-Bank (703) nach einer globalen Nach-Regel, die dem Paket entspricht; und Ausführen der Aktion einer globalen Nach-Regel, wenn die globale Nach-Regel dem Paket entspricht.
  18. Das Verfahren nach Anspruch 17, das weiter folgende Schritte umfasst: wenn keine entsprechende Regel in der globalen Vor-Regel-Bank (701) gefunden wird und keine entsprechende Regel in der lokalen Regel-Bank (702) gefunden wird und keine entsprechende Regel in der globalen Nach-Regel-Bank (703) gefunden wird, Erfassen, ob das Paket einer Vorgabe-Regel entspricht; und Ausführen der Aktion der Vorgabe-Regel, wenn die Vorgabe-Regel dem Paket entspricht, und Erzeugen einer Fehlerbedingung, wenn die Vorgabe-Regel dem Paket nicht entspricht.
  19. Das Verfahren nach Anspruch 11 oder 16, wobei der Peer (801, 802, 803) eine Netzwerkadresse (823) hat und wobei die Paket-Kennung eine Paket-Quellenadresse und eine Paket-Zieladresse umfasst und wobei eine lokale Regel eine Regel-Quellenadresse, eine Regel-Zieladresse und eine Aktion umfasst und wobei die lokale Regel-Bank (702), die eine lokale Regel hat, deren Regel-Zieladresse der Netzwerkadresse (823) des Peers (801, 802, 803) entspricht, nach einer lokalen Regel durchsucht wird, die dem Paket entspricht, und die Aktion einer lokalen Regel ausgeführt wird, wenn die lokale Regel dem Paket entspricht, das folgende Schritte umfasst: Ableiten eines Ein-Zeigers durch Anwendung einer Hash-Funktion auf die Netzwerkadresse (803) des Peers (801, 802, 803); Speichern des Ein-Zeigers in einer Peer-Ein-Hash-Tabelle, so dass der Ein-Zeiger auf eine lokale Regel zeigt, deren Regel-Zieladresse der Netzwerk-Zieladresse des Peers (801, 802, 803) entspricht; Empfangen eines Pakets; Anwenden der Hash-Funktion auf die Netzwerk-Zieladresse des Pakets; Durchsuchen der lokalen Regeln, auf die der Ein-Zeiger entsprechend der gehashten Paket-Netzwerk-Zieladresse zeigt, nach einer Regel, die dem Paket entspricht; und Ausführen der Aktion einer Regel, wenn die Regel dem Paket entspricht.
  20. Das Verfahren nach Anspruch 10, das weiter folgenden Schritt umfasst: Löschen der Ein-Zeiger des Peers in der Lokal-Ein-Hash-Tabelle.
  21. Das Verfahren der Ansprüche 11 oder 16, wobei der Peer eine Netzwerkadresse (823) hat und wobei die Paket-Kennung eine Paket-Quellenadresse und eine Paket-Zieladresse umfasst und wobei eine lokale Regel eine Regel-Quellenadresse, eine Regel-Zieladresse und eine Aktion umfasst und wobei die lokale Regel-Bank (702), die eine lokale Regel hat, deren Regel-Quellenadresse der Netzwerkadresse (823) des Peers (801, 802, 803) entspricht, nach einer lokalen Regel durchsucht wird, die dem Paket entspricht, und die Aktion einer lokalen Regel ausgeführt wird, wenn die lokale Regel dem Paket entspricht, das folgende Schritte umfasst: Ableiten eines Aus-Zeigers durch Anwenden einer Hash-Funktion auf die Netzwerkadresse (823) des Peers (801, 802, 803); Speichern des Aus-Zeigers in einer Peer-Aus-Hash-Tabelle, so dass der Aus-Zeiger auf eine lokale Regel zeigt, deren Regel-Quellenadresse der Netzwerk-Quellenadresse des Peers (801, 802, 803) entspricht; Empfangen eines Pakets; Anwenden der Hash-Funktion auf die Netzwerk-Quellenadresse des Pakets; Durchsuchen der lokalen Regeln, auf die der Aus-Zeiger entsprechend der gehashten Paket-Netzwerk-Quellenadresse zeigt, nach einer Regel, die dem Paket entspricht; und Ausführen der Aktion einer Regel, wenn die Regel dem Paket entspricht.
  22. Das Verfahren nach Anspruch 21, das weiter folgenden Schritt umfasst: Löschen der Aus-Zeiger des Peers in der Lokal-Aus-Hash-Tabelle.
DE69825801T 1997-01-17 1998-01-09 Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz Expired - Lifetime DE69825801T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US785501 1997-01-17
US08/785,501 US6233686B1 (en) 1997-01-17 1997-01-17 System and method for providing peer level access control on a network

Publications (2)

Publication Number Publication Date
DE69825801D1 DE69825801D1 (de) 2004-09-30
DE69825801T2 true DE69825801T2 (de) 2005-09-01

Family

ID=25135719

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69825801T Expired - Lifetime DE69825801T2 (de) 1997-01-17 1998-01-09 Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz

Country Status (5)

Country Link
US (1) US6233686B1 (de)
EP (1) EP0854621B1 (de)
JP (1) JP3814068B2 (de)
CA (1) CA2226814C (de)
DE (1) DE69825801T2 (de)

Families Citing this family (105)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6160843A (en) * 1996-03-29 2000-12-12 Cisco Technology, Inc. Communication server apparatus providing XDSL services and method
EP0968596B1 (de) 1997-03-12 2007-07-18 Nomadix, Inc. Nomadischer übersetzen oder wegesucher
JP3961060B2 (ja) * 1997-03-19 2007-08-15 愛知機械工業株式会社 マニュアルトランスミッションのリバースアイドラギヤ取付け構造
US6070243A (en) * 1997-06-13 2000-05-30 Xylan Corporation Deterministic user authentication service for communication network
US6779118B1 (en) 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US6574666B1 (en) * 1998-10-22 2003-06-03 At&T Corp. System and method for dynamic retrieval loading and deletion of packet rules in a network firewall
US6158010A (en) 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7673323B1 (en) * 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7136926B1 (en) * 1998-12-31 2006-11-14 Pmc-Sierrra Us, Inc. Method and apparatus for high-speed network rule processing
US7117532B1 (en) * 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
AU6218800A (en) * 1999-07-14 2001-01-30 Recourse Technologies, Inc. System and method for quickly authenticating messages using sequence numbers
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US20030115246A1 (en) * 1999-08-24 2003-06-19 Hewlett-Packard Company And Intel Corporation Policy management for host name mapped to dynamically assigned network address
US6587876B1 (en) 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
AU1224201A (en) 1999-10-22 2001-05-08 Nomadix, Inc. Systems and methods for dynamic bandwidth management on a per subscriber basis in a communications network
WO2001031885A2 (en) 1999-10-22 2001-05-03 Nomadix, Inc. Gateway device having an xml interface and associated method
US6832321B1 (en) 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
EP1104142A1 (de) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Netzwerkzugriffssystem
US8074256B2 (en) 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US7143439B2 (en) 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US6684244B1 (en) 2000-01-07 2004-01-27 Hewlett-Packard Development Company, Lp. Aggregated policy deployment and status propagation in network management systems
US6606659B1 (en) 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US6675223B1 (en) * 2000-04-10 2004-01-06 International Business Machines Corporation Method and apparatus for processing frames using static and dynamic classifiers
ATE339836T1 (de) * 2000-04-12 2006-10-15 Tenovis Gmbh & Co Kg Feuerschutzwandsarchitektursparser für ein gegebene protokoll
FR2810180B1 (fr) * 2000-06-08 2005-04-29 Cit Alcatel Procede destine a assurer un controle d'acces pour et/ou vis-a-vis d'utilisateurs accedant par des terminaux au reseau internet, au travers d'un noeud d'acces prive, et agencements pour la mise en oeuvre d'un tel procede
US7917647B2 (en) 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
AU2001268492A1 (en) * 2000-06-16 2002-01-02 Securify, Inc. Efficient evaluation of rules
BR0111951A (pt) * 2000-06-26 2003-07-29 Intel Corp Estabelecimento de segurança de rede usando uma segurança de protocolo da internet
GB2371186A (en) * 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
US7467298B2 (en) * 2001-04-16 2008-12-16 Microsoft Corporation Methods and arrangements for selectively maintaining parental access consent in a network environment
US7003578B2 (en) * 2001-04-26 2006-02-21 Hewlett-Packard Development Company, L.P. Method and system for controlling a policy-based network
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US20020198994A1 (en) * 2001-05-15 2002-12-26 Charles Patton Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment
IL159264A0 (en) * 2001-06-11 2004-06-01 Bluefire Security Technology Packet filtering system and methods
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7027446B2 (en) * 2001-07-18 2006-04-11 P-Cube Ltd. Method and apparatus for set intersection rule matching
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US20030115292A1 (en) * 2001-10-24 2003-06-19 Griffin Philip B. System and method for delegated administration
US7325248B2 (en) * 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US7360242B2 (en) * 2001-11-19 2008-04-15 Stonesoft Corporation Personal firewall with location detection
US20060036701A1 (en) * 2001-11-20 2006-02-16 Bulfer Andrew F Messaging system having message filtering and access control
US7194464B2 (en) 2001-12-07 2007-03-20 Websense, Inc. System and method for adapting an internet filter
US7350226B2 (en) 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
DE60104876T2 (de) * 2001-12-18 2004-12-23 Stonesoft Corp. Prüfung der Konfiguration einer Firewall
US7130921B2 (en) 2002-03-15 2006-10-31 International Business Machines Corporation Centrally enhanced peer-to-peer resource sharing method and apparatus
US7120691B2 (en) 2002-03-15 2006-10-10 International Business Machines Corporation Secured and access controlled peer-to-peer resource sharing method and apparatus
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US7209449B2 (en) * 2002-03-27 2007-04-24 Intel Corporation Systems and methods for updating routing and forwarding information
US20030212900A1 (en) * 2002-05-13 2003-11-13 Hsin-Yuo Liu Packet classifying network services
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
WO2004051947A1 (ja) * 2002-11-29 2004-06-17 Freebit Co.,Ltd. クライアント機器への接続をルーティングするためのサーバ
JP4120415B2 (ja) * 2003-02-10 2008-07-16 株式会社日立製作所 トラフィック制御計算装置
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
EP1480406A1 (de) * 2003-05-19 2004-11-24 Sony International (Europe) GmbH Beschränkung von Datentransfers auf ein lokales Netzwerk
WO2004107134A2 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Method and system for identifying bidirectional packet flow
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7594224B2 (en) 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US20050257245A1 (en) * 2003-10-10 2005-11-17 Bea Systems, Inc. Distributed security system with dynamic roles
US7644432B2 (en) * 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US7472185B2 (en) * 2004-01-05 2008-12-30 International Business Machines Corporation Method and apparatus for scaling a user interface adaptively to an object discovery/display system with policy driven filtering
US20050228848A1 (en) * 2004-03-22 2005-10-13 Thurston Stacy D Method and system for operating a peer network
JP2007534046A (ja) * 2004-04-23 2007-11-22 松下電器産業株式会社 サーバ装置、クライアント装置およびネットワークシステム
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418999A (en) * 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
GB2418108B (en) * 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US8078707B1 (en) * 2004-11-12 2011-12-13 Juniper Networks, Inc. Network management using hierarchical domains
US7577151B2 (en) * 2005-04-01 2009-08-18 International Business Machines Corporation Method and apparatus for providing a network connection table
JP4168052B2 (ja) * 2005-04-01 2008-10-22 株式会社日立製作所 管理サーバ
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
KR100819036B1 (ko) * 2005-12-08 2008-04-02 한국전자통신연구원 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
WO2007072245A2 (en) * 2005-12-21 2007-06-28 Koninklijke Philips Electronics N.V. Dynamic firewall rule definition
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
WO2008042804A2 (en) 2006-09-29 2008-04-10 Nomadix, Inc. Systems and methods for injecting content
US10255445B1 (en) * 2006-11-03 2019-04-09 Jeffrey E. Brinskelle Identifying destinations of sensitive data
US8484733B2 (en) * 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
EP1931099A1 (de) * 2006-12-04 2008-06-11 Alcatel Lucent Verfahren zur Verwaltung einer Kommunikation zwischen einer Servervorrichtung und einer Client-Vorrichtung
JP5424008B2 (ja) * 2006-12-19 2014-02-26 日本電気株式会社 共有情報の管理方法およびシステム
GB2445764A (en) * 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8416773B2 (en) * 2007-07-11 2013-04-09 Hewlett-Packard Development Company, L.P. Packet monitoring
US8199916B2 (en) * 2007-12-26 2012-06-12 International Business Machines Corporation Selectively loading security enforcement points with security association information
US9648039B1 (en) * 2008-01-24 2017-05-09 RazorThreat, Inc. System and method for securing a network
CA2729158A1 (en) 2008-06-30 2010-01-07 Websense, Inc. System and method for dynamic and real-time categorization of webpages
EP2141858B1 (de) * 2008-06-30 2014-11-26 Alcatel Lucent Verfahren zur Verwaltung einer Kommunikation zwischen einer Servervorrichtung und einer Client-Vorrichtung
US20100054128A1 (en) * 2008-08-29 2010-03-04 O'hern William Near Real-Time Alerting of IP Traffic Flow to Subscribers
US8103600B1 (en) * 2009-02-23 2012-01-24 The United States Of America As Represented By The Secretary Of The Navy Graphic user interface having menus for display of context and syntax useful in an artificial intelligence system
US9130972B2 (en) 2009-05-26 2015-09-08 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US20110030037A1 (en) 2009-07-07 2011-02-03 Vadim Olshansky Zone migration in network access
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
US10476674B2 (en) 2017-05-18 2019-11-12 Linden Research, Inc. Systems and methods to secure searchable data having personally identifiable information
US10410015B2 (en) 2017-05-18 2019-09-10 Linden Research, Inc. Systems and methods to secure personally identifiable information

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5473607A (en) * 1993-08-09 1995-12-05 Grand Junction Networks, Inc. Packet filtering for data networks
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
WO1996000549A1 (en) * 1994-06-30 1996-01-11 The Procter & Gamble Company Fluid pervious web exhibiting a surface energy gradient
WO1996005549A1 (en) * 1994-08-09 1996-02-22 Shiva Corporation Apparatus and method for restricting access to a local computer network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
SE504546C2 (sv) * 1995-08-21 1997-03-03 Telia Ab Arrangemang för nätaccess via telenätet genom fjärrstyrt filter

Also Published As

Publication number Publication date
JPH10229418A (ja) 1998-08-25
EP0854621A1 (de) 1998-07-22
US6233686B1 (en) 2001-05-15
CA2226814A1 (en) 1998-07-17
MX9800399A (es) 1998-10-31
CA2226814C (en) 2003-03-25
DE69825801D1 (de) 2004-09-30
JP3814068B2 (ja) 2006-08-23
EP0854621B1 (de) 2004-08-25

Similar Documents

Publication Publication Date Title
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE69833929T2 (de) Netzzugriffsauthentifizierungssystem
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60102934T2 (de) Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte
DE69720351T2 (de) Verfahren und Vorrichtung zum Begrenzen des Zugriffes an privater Information in Domänennamensystemen durch Umleitung von Abfrageanforderungen
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE602005004214T2 (de) Kommunikationssystem and Verfahren zur Aktualisierung von Software in einem Endbenutzergerät
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
EP3542511B1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE60121755T2 (de) Ipsec-verarbeitung
DE19740547A1 (de) Sicherer Netzwerk-Proxy zum Verbinden von Entitäten
DE10296682T5 (de) Integriertes Verfahren zur Aufteilung von Netzwerkdatendienstleistungen unter mehreren Teilnehmern
EP1494401B1 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
DE10226744B4 (de) Content- und Security Proxy in einem Mobilkommunikationssystem
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE602004006251T2 (de) Verfahren zur Sicherung der Kommunikation in einer Lokalnetz-Vermittlungsstelle
DE60303745T2 (de) Mehrschichtiges Verfahren zum Verwalten von Multicast Teilnehmern

Legal Events

Date Code Title Description
8364 No opposition during term of opposition