CN1679263A - 应用级网关和防火墙规则集下载验证 - Google Patents

应用级网关和防火墙规则集下载验证 Download PDF

Info

Publication number
CN1679263A
CN1679263A CNA038165163A CN03816516A CN1679263A CN 1679263 A CN1679263 A CN 1679263A CN A038165163 A CNA038165163 A CN A038165163A CN 03816516 A CN03816516 A CN 03816516A CN 1679263 A CN1679263 A CN 1679263A
Authority
CN
China
Prior art keywords
file
alg
compatibility parameter
alg file
cable modem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA038165163A
Other languages
English (en)
Other versions
CN1679263B (zh
Inventor
约翰·A·热尔韦
马克·R·迈耶尼克
雷克斯·I·比尔德
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital CE Patent Holdings SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN1679263A publication Critical patent/CN1679263A/zh
Application granted granted Critical
Publication of CN1679263B publication Critical patent/CN1679263B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2801Broadband local area networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0869Validating the configuration within one network element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Abstract

用于验证应用级网关(ALG)文件或防火墙规则集(200)的方法(300)和设备(100)。该方法和设备包括在双向通信设备(130)接收(304)应用级网关(ALG)文件(200),并且比较(308、310、314、320、326、332、336)所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征。在所有兼容性参数都有利比较的情况下,在双向通信设备存储(340)ALG文件。

Description

应用级网关和防火墙规则集下载验证
对相关申请的交叉引用
本专利申请要求2002年7月11日提交的美国临时申请序列号60/395,042的权利和利益,在此将其全文引作参考。
技术领域
本发明涉及双向通信设备领域。更具体地说,本发明涉及为双向通信设备升级应用级网关和防火墙规则集。
背景技术
目前,可升级产品领域在宽带市场中变得越来越普遍。诸如电缆调制解调器和其他双向通信设备的设备可具有在客户的家或办公室中远程下载给它们的应用级网关(ALG)和/或防火墙规则集。下载包含该ALG和/或防火墙规则集的文件使设备处于下载不正确文件版本、受损文件、非授权文件、太大的文件、与设备硬件和/或软件不兼容等等的较高危险当中。
下载不兼容或受损ALG文件到电缆调制解调器可使电缆调制解调器挂断或崩溃。一旦电缆调制解调器挂断或崩溃,则电缆调制解调器变得不可工作,并且典型地需要示例性地向多系统运营者(MSO)服务代表等拨打服务电话以修复电缆调制解调器。
因此,需要验证正被下载到双向通信设备如电缆调制解调器的适当应用级网关文件或防火墙规则集文件。
发明内容
通过本发明的一种用于验证应用级网关(ALG)文件或防火墙规则集的设备和方法,克服了迄今为止与现有技术相关联的缺点。该方法和设备包括从服务提供者接收ALG文件,并且验证ALG文件的至少一个兼容性参数与接收该ALG文件的双向通信设备的特征。在所有兼容性参数都得到验证的情况下,在双向通信设备存储ALG文件。
附图说明
通过考虑下面结合附图的详细描述,本发明的讲授将会变得容易理解,其中:
图1示出利用本发明示例性实施例的电缆通信系统的高级方框图;
图2示出根据本发明原理的示例性应用级网关(ALG)文件的方框图;以及
图3示出根据本发明原理的用于验证升级ALG文件的方法的流程图;
为了帮助理解本发明,在可能的情况下使用了相同标号,以指定各附图共有的相同单元。
具体实施方式
本发明包括一种在双向通信环境中工作的双向通信设备(BCD)以及用于将应用级网关(ALG)文件或防火墙规则集下载到BCD的方法。为了简洁和更好理解本发明起见,本发明是按照电缆通信分布式系统来示例性讨论的。然而,本发明的原理也适用于其他双向通信环境,如卫星通信系统、ADSL、DSL、拨号、无线系统或任何其他能够向多个订户设备提供双向通信(例如,数据、多媒体内容和其他信息)的双向通信环境。
在一个实施例中,该双向通信设备是CableLabs Certified CableModemTM兼容电缆调制解调器,其可用来提供部署基于DOCSIS的产品如电缆调制解调器的有线电视系统运营者(和因特网服务提供者(ISP))与多个订户设备如个人计算机等之间的双向通信。CableLabs Certified CableModemTM(以前称作DOCSIS(电缆数据服务接口规范))由建立了指定调制方案和用于在电缆上交换双向信号的协议的规范的主导CATV运营者资助。在此将各个版本的DOCSIS全文引作参考。
图1示出可利用本发明示例性实施例的电缆调制解调器通信系统100的方框图。双向通信系统(例如,电缆调制解调器系统)100包括多个系统运营者(MSO,即电缆传输运营者)110与多个订户楼内设备170,其中订户楼内设备170通过接入网络108耦接到服务提供者110。
订户楼内设备170包括分别耦接到多个双向通信设备(例如,电缆调制解调器)1301到130N(统称作电缆调制解调器130)的多个用户设备1721到172N(统称作用户设备172),其中图1仅示出了一个电缆调制解调器130。用户设备172可以是任何类型的能够处理数字化流包括音频、视频和/或数据的设备,如个人计算机(PC)、膝上型计算机、电视机、手持设备或者任何其他能够发送和/或接收数据的设备。每个用户设备170通过电缆调制解调器130耦接到接入网络108,电缆调制解调器130通过本地有线电视提供者(即MSO 110)将用户设备172连接到IP网络102(例如,因特网)。
应当注意,在图1中,多个用户设备172示例性地被示出为通过集线器174耦接到单个电缆调制解调器130。然而,本领域的技术人员应当理解,每个用户设备172可以可选地耦接到各自的电缆调制解调器,或者以任何配置进行编组,以在用户设备172和MSO 110之间提供双向通信。
电缆调制解调器130允许订户以比电话拨号调制解调器快得多的速度从服务提供者110下载信息。例如,与电话调制解调器的每秒56千位相比,电缆调制解调器130可以以每秒三兆位或三兆位以上的速率提供连接。一种示例性地用于系统100中的电缆调制解调器是由Thomson Inc.,Indianapolis,IN制造的DCM305型号。应当注意,在系统100中也可以实现由其他制造商提供的DOCSIS兼容电缆调制解调器(和调制解调器功能性)。
服务提供者110可以是任何能够提供低速、中速和/或高速数据传输、多条语音信道、视频信道等的实体。具体地说,采用诸如各种广播格式(例如,数字广播卫星(DBS))、电缆传输系统(例如,高清晰度电视(HDTV))、数字视频广播((DVB-C)(即,欧洲数字电缆传输标准))等的格式由服务提供者110通过射频(RF)载波信号传输数据。服务提供者110在电缆传输网络108上提供数据。
服务提供者110典型地包括多个头端112(图1仅示出一个头端),其被部署在各个地理区域内以对位于该区域内的订户提供连接、服务和支持。例如,一个或多个头端112可以位于大订户基地如城市(例如,San Francisco,CA)的附近。其他头端110可以根据需要由MSO 110提供以支持其他城市或局部区域。
每个头端112包括至少一个终端系统(例如,电缆调制解调器终端系统(CMTS))114、文件服务器116、以及其他支持服务器118如动态主机配置协议(DHCP)服务器、小文件传输协议(TFTP)服务器、因特网时间协议(ITP)服务器、万维网高速缓存服务器、MSO或ISP内容递送系统等。
文件服务器116提供可以将诸如可下载应用级网关(ALG)文件或防火墙规则集的文件从MSO 110传输到电缆调制解调器130的手段。具体地说,文件服务器116耦接到ALG数据库120,其存储与各种协议和设备如电缆调制解调器130有关的多个ALG文件。如下面关于图3的方法300所述,文件服务器116根据需要从ALG文件数据库120检索特定ALG文件,并且将该文件发送到双向设备130。
其他支持服务器118用来在电缆调制解调器初始化期间建立电缆调制解调器130与IP网络102之间的连接。具体地说,每当电缆调制解调器130初始化时,其他支持服务器118将配置文件以及当前日期和时间递送到电缆调制解调器130。此外,其他服务器118如万维网高速缓存服务器、MSO或ISP内容递送服务器等提供区域化万维网内容、冗余连接性等。而且,DHCP服务器集中管理IP地址并且将其自动分配给耦接到IP网络102的主机设备(即电缆调制解调器)。例如,当在系统100中添加、更换或移动电缆调制解调器130时,DHCP服务器为那个电缆调制解调器130自动分配新IP地址。
CMTS 114在电缆网络100上与电缆调制解调器130交换数字信号。位于每个头端112的CMTS 114的数量取决于在特定地理区域内被服务的订户数。单个CMTS 114典型地为多达大约8000个电缆调制解调器130提供连接。在地理区域具有多于8000个订户的情况下,根据需要向头端112提供附加CMTS 114。
数据服务(例如,多媒体内容)和ALG升级文件经由耦接到电缆调制解调器130的传输介质(例如,按照北美或欧洲DOCSIS标准规定的传统双向混合型光纤-同轴电缆(HFC)网络)在接入网络108上通过RF路径(即信道)被递送到电缆调制解调器130。应当注意,电缆调制解调器130可以外部或内部安装到订户计算机或电视机172,并且通过由电缆调制解调器130和计算机或电视机支持的局域连网介质(例如,以太网、通用串行接口(USB)、802.11b无线、家庭电话线连网联盟(HPNA))连接。
一个信道用于从CMTS 114到电缆调制解调器130的下行信号,而另一个信道用于从电缆调制解调器130到CMTS 114的上行信号。当CMTS 114从电缆调制解调器130接收到上行信号时,CMTS 114将这些信号处理成因特网协议(IP)分组,这些分组在IP网络102上经过路由选择被传送到特定目的地(例如,具有期望内容的服务器或网站)。当CMTS 114发送下行信号到电缆调制解调器130时,CMTS 114对下行信号进行调制以跨越接入网络108传输到电缆调制解调器130。电缆调制解调器130将调制信号转换成基带信号以由用户设备172处理。
示例性电缆调制解调器130用来将来自服务提供者110的下行宽带数据信号提供给数据通信系统100的用户设备172。另外,示例性电缆调制解调器130用来将来自示例性用户设备172的上行基带数据信号回传给服务提供者110。
电缆调制解调器130包括处理器132、支持电路134、I/O电路142、诸如EEPROM 138和闪存140的存储装置、以及易失性存储器136。处理器132可以是包括调制器和解调器(未示出)的电缆调制解调器处理器,如由Broadcom Inc.,Irvine,CA制造的单芯片BCM 3345装置。
EEPROM和闪存138和140是用来永久性地存储应用程序文件、数据文件和示例性地可由处理器132执行的其他程序代码的非易失性存储器装置。例如,防火墙、多个应用级网关文件和用于验证应用级网关文件的例程全都可以永久性地存储在EEPROM 138和/或闪存140中。
易失性存储器136可以是随机存取存储器(RAM),其在工作期间用来存储非易失性存储器138和140中所存储的程序的全部或部分以进行快速检索和执行。如图1所示,防火墙程序150、多个应用级网关文件152(例如,文件ALG-0到ALG-m和例程300,其用于验证应用级网关文件152的升级(下面将结合图3对此进行更详细的讨论))被示出为存储在易失性存储器136中。可存储在存储器136中的其他程序典型地包括进程堆栈、堆、暂时数据如鉴别中的ALG和防火墙规则集、从闪存拷贝的执行应用程序、启动常量数据、内核和应用程序代码以及其他数据(未示出)。
处理器132与传统支持电路134如电源、时钟电路、高速缓冲存储器等以及协助执行存储在存储器136中的软件例程的电路协作。因而,可以考虑,在此作为软件过程而讨论的一些过程步骤可以在例如作为与处理器132协作的电路的硬件内实现以执行各步骤。电缆调制解调器130还包括输入/输出(I/O)电路142,其形成与用户设备172通信的各个功能单元的接口。电缆调制解调器130与用户设备172之间的物理层可以示例性地包括以太网、同轴电缆、FDDI、ISDN、ATM、ADSL、CAT 1-5电缆传输、USB、HomePNA、无线数据链路(例如,802.11或蓝牙标准无线链路)、电力线载波等等。
此外,电缆调制解调器130包括信号处理电路144,其进一步包括下行处理电路146和上行处理电路148。信号处理电路144耦接到处理器132和接口143,其中接口143耦接到接入网络108。
在工作中,CMTS 114将数字数据转换成调制RF信号,并且通过HFC传输(接入)网络108将这些下行调制信号提供给电缆调制解调器130,其中对RF信号进行接收、调谐和滤波而变至预定中频(IF)信号。然后,将1F信号解调成一个或多个相应的基带信号,以及在不同情况下示例性地将其处理成数据分组。这些数据分组示例性地通过电缆传输(例如,以太网、通用串行总线(USB)、同轴电缆等)175被进一步传输到用户设备172。
类似地,用户设备172的用户可通过电缆传输175发送数据信号到电缆调制解调器130。电缆调制解调器130从用户设备172接收数据信号,然后将这些数据信号调制和上转换到RF载波上以通过电缆传输网络108上行传输回到服务提供者110。
下行处理电路146典型地包括各个组件如调谐器、滤波器、解调器、控制器和其他下行处理电路如也用于上行处理的介质访问控制器(MAC)。典型地,下行信号是频率范围为近似91MHz到860MHz的64QAM或256QAM信号。下行处理电路146响应由控制器提供的选择信号而选择性地调谐、解调以及在不同情况下“接收”来自CMTS 114的多个下行数据信号至少之一。高通滤波器(HPF)将所有下行数据信号传递给调谐器,其将所接收的来自HPF的下行RF信号下转换成预定IF频率信号。IF信号由解调器电路解调以提供一个或多个相应的数字基带信号。数字基带信号被发送到介质访问控制器(MAC),其中在控制器的管理下,所接收的信号(例如,MPEG分组)被去除封装,并且形成位流以随后传输到用户设备172。
在传输到用户设备172之前,将分组发送到内部TCP/IP栈或防火墙程序150以作检查,下面将对此作更详细的讨论。一旦分组被认为遵循防火墙程序规则,则MAC控制器和其他数字电路就可以进一步处理分组化数据(例如,根据需要附连或封装在适当的传输分组中),然后将经过处理的分组化数据分发到用户设备172(或其他信息设备)。具体地说,MAC发送分组化位流到控制器,其中对数据进行处理(例如,格式化)以与用户设备172接口。控制器(通过电缆传输)将经过格式化的分组化位流传输到用户设备172以作进一步的处理(例如,数据的提取和上转换)。
上行处理电路148典型地包括各个组件如上行物理层单元、上行介质访问控制器、调制器、低通滤波器和其他上行处理电路(放大器、电压调节器等)。电缆调制解调器130从用户设备172接收信号(例如,数据信号)以随后传输到服务提供者110。具体地说,用户通过电缆调制解调器130发送数据、数据请求或某其他用户请求到服务提供者110。电缆调制解调器130接收用户请求,其中MAC和上行处理电路格式化、封装和上转换这些信号(例如,5MHz到54MHz频率范围)以便传输。调制器对沿着上行信号路径传输到CMTS 114的上转换信号进行调制(例如,QPSK或16QAM)。
防火墙程序150能够检查和过滤从始发源节点(例如,WAN上的文件服务器)发送到目的节点(例如,LAN上的本地计算机)的数据分组(例如,IP数据分组)。具体地说,防火墙程序150包括一组保护私有网络的资源不被来自其他网络的用户访问的相关程序。防火墙程序150检查一些或全部网络分组以确定是否转发分组到其目的地。也就是,防火墙程序150在网络级工作。如果分组配置不违反指定规则,才允许数据通过包含防火墙程序150的通信设备130。
防火墙程序规则例如由LAN管理员(也可以使用缺省规则)、例如在服务提供者110处建立。这些规则反映机构的策略考虑,以通过禁止不需要的数据进入机构的局域网/广域网(LAN/WAN)来提供安全性。例如,机构可决定特定因特网网站不应当被机构雇员查看,或者一些雇员应当被禁止任何因特网访问。在一个实施例中,防火墙规则在应用级网关文件如图2所示的示例性ALG文件中定义。因而,这些规则包括限制一些或全部超文本传输协议(HTTP)的编程。附加规则包括限制可被认为对于LAN和最终用户有害的数据分组,如蠕虫以及试图潜入LAN的未授权者(即“黑客”)。
ALG文件存储在耦接到TCP/IP文件服务器116的数据库120中,其位于服务提供者110处。当系统管理员更新ALG文件时,电缆调制解调器130也将需要文件更新。在一个实施例中,可以由在接入网络108上请求下载的用户将ALG文件提供给电缆调制解调器130。在第二实施例中,防火墙150可以周期性地轮询ALG数据库以识别位于服务提供者110处的升级文件。可选地,MSO 110可以命令电缆调制解调器130通过诸如简单网络管理协议(SNMP)的协议获得新防火墙规则集或ALG数据。一旦识别出升级ALG文件,服务提供者110就自动检索升级文件并将其发送到电缆调制解调器130。在第三实施例中,升级ALG文件可以存储在非易失性存储装置如CD-ROM、盘驱动器、软驱等上,其中用户可以通过其用户设备172将新和/或升级ALG文件上载到其电缆调制解调器130。
图2示出本发明的示例性应用级网关(ALG)文件200的方框图。ALG文件200包括ALG主体202(有效载荷)和首标210。ALG文件200包括防火墙程序150执行以便确定如何处理特定协议的可执行代码。也就是,ALG主体202包含协议专用的编程代码。例如,一个ALG文件200可以包括允许通过利用http协议的信息的代码,而第二ALG文件200包含专用于阻止利用FTP(文件传输协议)的数据的可执行编程代码。其他ALG文件200可以用来控制其他类型协议如TFTP、SNMP、RLOGIN等的通信流量。
ALG首标210包括诸如首标格式版本216、首标大小218、期望首标CRC220、有效载荷认证签名222、有效荷载大小224、期望有效荷载CRC 226、兼容硬件和软件版本系列228和230以及其他首标数据212如压缩参数、版权标记和/或创建有效载荷的日期/时间等等的首标数据字段。在本发明的一个实施例中,很多这些ALG首标210组成部分可以用作ALG文件有效性字段214,其由电缆调制解调器130用来确定由电缆调制解调器130接收的升级或新ALG文件200在传输期间是否受损以及是否与电缆调制解调器硬件和软件兼容。虽然图2是按照ALG文件200来讨论的,但是本发明的ALG文件不应被认为是起限制作用。例如,可以将类似的首标210附加到包括防火墙规则的文件。
具体地说,有效性字段214包括首标格式版本字段216、首标大小218、首标期望CRC(循环冗余校验)220、ALG认证签名222、ALG主体大小字段224、ALG主体期望CRC 226、兼容硬件版本系列字段228以及兼容软件版本系列字段230。每个有效性字段214由电缆调制解调器130使用下面关于图3所述的方法300来检查。
首标格式版本字段216提供关于首标210中数据字段的次序和长度的信息。具体地说,首标格式版本字段216包括对应于已知格式的预定数字。该预定数字将典型地以一(1)开始,并且每当在首标中添加字段、改变长度或重新排列字段时递增。首标格式版本字段216防止被不熟悉新格式的软件误解释。在一个实施例中,首标格式版本字段216的长度可以为1字节到4字节,并且在一个特定实施例中,其长度为2字节。首标大小字段218标识首标214的大小。在一个实施例中,首标大小字段218的长度可以为1字节到4字节,并且在那个实施例的一个特定子集中其长度为2字节。首标期望CRC字段220标识附加到首标210并且用于检测首标210中的错误(丢失数据)的16或32位多项式。
ALG认证签名字段222提供关于生成了可信防火墙规则集或ALG的源(例如,公司、第三方实体等)的加密认证的信息。在一个实施例中,ALG认证签名字段222的长度可以为1字节到1024字节,并且在那个实施例的一个特定子集中,其长度为128字节。ALG主体大小字段224标识ALG主体202的大小。在一个实施例中,ALG主体大小字段224的长度可以为1字节到4字节,并且在那个实施例的一个特定子集中,其长度为4字节。应当注意,ALG主体大小字段224涉及首标中大小字段的长度。实际ALG或规则集数据文件典型地为大约数千字节。ALG主体期望CRC字段220标识附加到首标210并且用于检测ALG主体202中的错误(丢失数据)的16或32位多项式。
兼容硬件版本字段228提供关于此文件将在没有预期望问题的情况下执行(ALG)或工作(规则集)的硬件版本集的信息。在一个实施例中,兼容硬件版本字段228的长度可以为1字节到8字节,并且在那个实施例的一个特定子集中,其长度为4字节。兼容软件版本字段230提供关于此文件将在没有预期问题的情况下执行(ALG)或工作(规则集)的应用软件版本集的信息。在一个实施例中,兼容软件版本字段230的长度可以为1字节到8字节,并且在那个实施例的一个特定子集中,其长度为4字节。应当注意,每个上述字段的示例性大小不应被认为是起限制作用,并且这些字段可以是适于以高效方式提供所需信息的任何长度(例如,带宽考虑)。还应当注意,可以将相同类型的首标添加到防火墙规则集,以应用相同的鉴别算法。
图3示出根据本发明原理的用于验证新或升级的ALG文件200(或防火墙规则集)的方法300的流程图。当将新或升级的ALG文件200存储在电缆调制解调器130的存储器中以由其中的防火墙150执行时,可以利用方法300。方法300包括检查各个参数以查找兼容性问题和文件传输期间的数据丢失。应当注意,图3所示的用于验证各个参数的参数类型和特定次序只是示例性的,并且不应被解释为起限制作用。
具体地说,方法300在步骤302开始,并且进入步骤304,其中将ALG文件200发送到电缆调制解调器130,并且在易失性存储器136中进行缓冲。在一个实施例中,防火墙程序150周期性地轮询位于服务提供者110处的中央位置(即,ALG数据库120)以查找新或升级的ALG文件200。然后,根据需要从位于头端112处的TCP/IP文件服务器116下载新或升级的ALG文件200。
在第二实施例中,从服务提供者110将配置文件下载到电缆调制解调器130。配置文件提供用来建立受管理连接的双向网络策略信息。电缆调制解调器应用程序(例如,防火墙150)检查配置文件,并且确定是否下载ALG文件200。如果执行该鉴别算法的防火墙150确定ALG文件200适合于电缆调制解调器130,则防火墙150发送请求到文件服务器116以发送ALG文件200。然后,文件服务器116通过接入网络108将ALG文件下载到电缆调制解调器130。
在第三实施例中,由用户设备172上的用户将ALG文件200装载到电缆调制解调器130中。在此情况下,ALG文件200存储在非易失性介质如软盘、CD-ROM、盘驱动器等上。因而,方法300的步骤304包括上述三个实施例中的任一个。然后,方法300进入步骤306。
在步骤306,检查所接收ALG文件200的首标210中的首标格式版本字段216。如果在步骤308,首标格式版本是未知的,则方法300进入步骤350,其中拒绝ALG文件200。也就是,ALG文件200不被存储在非易失性存储器138和/或140中或者由防火墙程序150使用,并且在步骤399,方法300结束。如果在步骤308首标格式版本是已知的,则方法300进入步骤310。
在步骤310,检查所接收ALG文件200的首标210中的ALG首标大小字段216和ALG主体大小字段224。如果在步骤312,ALG文件200超过非易失性存储器136的容量,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤312,ALG文件200不超过非易失性存储器136的容量,则方法300进入步骤314。
在步骤314,检查所接收ALG文件200的首标210中的期望首标CRC字段220。在步骤316,以使电缆调制解调器130对数据(首标210)应用相同多项式的方式计算首标210的CRC,并且将结果与由服务提供者110附加的CRC结果进行比较。如果在步骤318,计算出的CRC与所附加的首标CRC不匹配,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤318,计算出的CRC与所附加的首标CRC匹配,则方法300进入步骤320。
在步骤320,检查所接收ALG文件200的首标210中的期望主体CRC字段226。在步骤316,以使电缆调制解调器130对数据(ALG主体202)应用相同多项式的方式计算ALG主体202的CRC,并且将结果与由服务提供者110附加的CRC结果进行比较。如果在步骤324,计算出的CRC与所附加的主体CRC不匹配,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤324,计算出的CRC与所附加的主体CRC匹配,则方法300进入步骤326。
在步骤326,检查所接收ALG文件200的首标210中的ALG认证签名字段222。在步骤328,对签名执行认证操作。例如,可以通过采用安全散列算法-1(SHA-1)的Rivest Shamir Adelman(RSA)签名算法或者在本技术领域内公知的其他传统认证技术来提供认证。如果在步骤330,ALG文件200不来自得到认证的源,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤330,ALG文件200来自得到认证的源,则方法300进入步骤332。
在步骤332,检查所接收ALG文件200的首标210中的硬件版本系列字段228。如果在步骤334,ALG文件200与电缆调制解调器130的硬件版本不兼容,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤334,ALG文件200与电缆调制解调器130的硬件版本兼容,则方法300进入步骤336。
在步骤336,检查所接收ALG文件200的首标210中的软件版本家族字段230。如果在步骤338,ALG文件200与电缆调制解调器130的软件版本不兼容,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤338,ALG文件200与电缆调制解调器130的软件版本兼容,则方法300进入步骤340。
一旦ALG文件200已被检查兼容性问题和受损数据,则在步骤340,将ALG文件200装载到电缆调制解调器130的非易失性存储器136中,并且在步骤399,方法300结束。方法300提供了当接收ALG文件200或规则集的时候且在使用该接收到的文件或规则集之前验证ALG文件200或防火墙规则集的兼容性的例程。如果验证算法表示ALG文件或防火墙规则集与电缆调制解调器130的硬件或软件不兼容,则可以安全地拒绝所接收的文件或规则集。因而,大大降低由于实现不兼容ALG文件200或规则集而引起不可恢复的错误状态的危险。
虽然在此详细示出且描述了组成本发明教导的各个实施例,但是本领域的技术人员可以容易地设计出仍然结合本文的这些讲授的很多其他变化实施例。

Claims (19)

1.一种方法,包括:
在双向通信设备(130),接收(304)应用级网关(ALG)文件(200);
比较(308、310、314、320、326、332、336)所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征;以及
响应所述至少一个兼容性参数的有利比较,在所述双向通信设备存储(340)所述ALG文件。
2.如权利要求1所述的方法,还包括:
响应所述至少一个兼容性参数的不利比较,在所述双向通信设备拒绝(350)所述ALG文件。
3.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标格式版本(308)。
4.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的文件大小(310)。
5.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标CRC值(314)。
6.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标格式版本。
7.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的主体CRC值(320)。
8.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的认证签名(326)。
9.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的硬件系列版本(332)。
10.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的软件系列版本(336)。
11.如权利要求1所述的方法,其中所述双向通信设备包括电缆调制解调器(130)。
12.如权利要求1所述的方法,其中所述接收步骤包括:
周期性地轮询服务提供者(110)以确定是否至少一个新且更新的ALG文件可用;
发送对可用ALG文件的请求;以及
从接入网络接收所述被请求的ALG文件。
13.如权利要求1所述的方法,其中所述接收步骤包括:
从所述服务提供者接收配置文件,所述配置文件标识至少一个新且更新的ALG文件;
发送对可用ALG文件的请求;以及
从接入网络接收所述被请求的ALG文件。
14.如权利要求1所述的方法,其中防火墙程序(150)利用所述ALG文件控制数据通信量。
15.如权利要求1所述的方法,其中所述ALG文件(200)附加有首标部分(214),其包括从包括首标格式版本(216)、首标大小(218)、首标期望CRC(220)、认证签名(222)、主体大小(224)、主体期望CRC(226)、兼容硬件版本系列(228)和兼容软件版本系列(230)的组中选择的所述兼容性参数。
16.一种设备,包括:
用于在双向通信设备(130)接收应用级网关(ALG)文件(200)的装置;
用于比较所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征的装置;以及
用于响应所述至少一个兼容性参数的有利比较而在所述双向通信设备存储(136、140)所述ALG文件的装置。
17.如权利要求16所述的设备,还包括:
用于响应所述至少一个兼容性参数的不利比较而在所述双向通信设备拒绝所述ALG文件的装置。
18.如权利要求16所述的设备,其中所述双向通信设备包括电缆调制解调器(130)。
19.如权利要求16所述的设备,其中所述ALG文件附加有首标部分(214),其包括从包括首标格式版本(216)、首标大小(218)、首标期望CRC(220)、认证签名(222)、主体大小(224)、主体期望CRC(226)、兼容硬件版本系列(228)和兼容软件版本系列(230)的组中选择的所述兼容性参数。
CN038165163A 2002-07-11 2003-07-03 一种处理应用级网关文件的方法和设备 Expired - Fee Related CN1679263B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US39504202P 2002-07-11 2002-07-11
US60/395,042 2002-07-11
PCT/US2003/021058 WO2004008271A2 (en) 2002-07-11 2003-07-03 Application level gateway and firewall rule set download validation

Publications (2)

Publication Number Publication Date
CN1679263A true CN1679263A (zh) 2005-10-05
CN1679263B CN1679263B (zh) 2012-04-18

Family

ID=30115804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038165163A Expired - Fee Related CN1679263B (zh) 2002-07-11 2003-07-03 一种处理应用级网关文件的方法和设备

Country Status (11)

Country Link
US (1) US20050220126A1 (zh)
EP (1) EP1522159B1 (zh)
JP (2) JP2005532640A (zh)
KR (1) KR100959968B1 (zh)
CN (1) CN1679263B (zh)
AU (1) AU2003247799A1 (zh)
BR (1) BR0305431A (zh)
DE (1) DE60332735D1 (zh)
MX (1) MXPA05000416A (zh)
TW (1) TWI229520B (zh)
WO (1) WO2004008271A2 (zh)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7688828B2 (en) * 2001-06-27 2010-03-30 Cisco Technology, Inc. Downstream remote physical interface for modular cable modem termination system
US8677434B2 (en) * 2003-12-03 2014-03-18 Broadcom Corporation Method and system for direct digital up-conversion in a cable modem
JP2007538444A (ja) 2004-05-20 2007-12-27 キネティック リミテッド ファイアウォール・システム
US7720101B2 (en) * 2004-05-25 2010-05-18 Cisco Technology, Inc. Wideband cable modem with narrowband circuitry
US7817553B2 (en) * 2004-05-25 2010-10-19 Cisco Technology, Inc. Local area network services in a cable modem network
US7646786B2 (en) 2004-05-25 2010-01-12 Cisco Technology, Inc. Neighbor discovery in cable networks
US7532627B2 (en) * 2004-05-25 2009-05-12 Cisco Technology, Inc. Wideband upstream protocol
US7539208B2 (en) 2004-05-25 2009-05-26 Cisco Technology, Inc. Timing system for modular cable modem termination system
US7864686B2 (en) 2004-05-25 2011-01-04 Cisco Technology, Inc. Tunneling scheme for transporting information over a cable network
US8149833B2 (en) * 2004-05-25 2012-04-03 Cisco Technology, Inc. Wideband cable downstream protocol
US7835274B2 (en) * 2004-05-25 2010-11-16 Cisco Technology, Inc. Wideband provisioning
US8102854B2 (en) * 2004-05-25 2012-01-24 Cisco Technology, Inc. Neighbor discovery proxy with distributed packet inspection scheme
US20070061445A1 (en) * 2005-09-13 2007-03-15 Deganaro Louis R Cooperative routing between traffic control device and multi-server application
US20090125958A1 (en) * 2005-11-23 2009-05-14 Pak Siripunkaw Method of upgrading a platform in a subscriber gateway device
TWI354485B (en) * 2006-06-22 2011-12-11 Lg Telecom Ltd Device for setting of service zone in mobile commu
US8848745B2 (en) * 2006-08-17 2014-09-30 Broadcom Corporation Remote flash access
US9319418B2 (en) * 2007-04-23 2016-04-19 Thomson Licensing Method and apparatus for software downloads in a network
US8108911B2 (en) 2007-11-01 2012-01-31 Comcast Cable Holdings, Llc Method and system for directing user between captive and open domains
US8601097B2 (en) * 2010-02-22 2013-12-03 Ncomputing Inc. Method and system for data communications in cloud computing architecture
US20120117365A1 (en) * 2010-11-08 2012-05-10 Delta Electronics (Thailand) Public Co., Ltd. Firmware update method and system for micro-controller unit in power supply unit
US9141169B2 (en) 2012-01-20 2015-09-22 Cisco Technology, Inc. System and method to conserve power in an access network without loss of service quality
US9958924B2 (en) 2013-08-28 2018-05-01 Cisco Technology, Inc. Configuration of energy savings
US10122687B2 (en) * 2014-09-14 2018-11-06 Sophos Limited Firewall techniques for colored objects on endpoints
US9843560B2 (en) 2015-09-11 2017-12-12 International Business Machines Corporation Automatically validating enterprise firewall rules and provisioning firewall rules in computer systems
US9912783B2 (en) * 2016-01-29 2018-03-06 Veritas Technologies Llc Securing internal services in a distributed environment
TW201926108A (zh) * 2017-12-04 2019-07-01 和碩聯合科技股份有限公司 網路安全系統及其方法
US10705821B2 (en) * 2018-02-09 2020-07-07 Forescout Technologies, Inc. Enhanced device updating

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5599231A (en) * 1994-10-31 1997-02-04 Nintendo Co., Ltd. Security systems and methods for a videographics and authentication game/program fabricating device
US6006018A (en) * 1995-10-03 1999-12-21 International Business Machines Corporation Distributed file system translator with extended attribute support
US5845128A (en) * 1996-02-20 1998-12-01 Oracle Corporation Automatically preserving application customizations during installation of a new software release
US5848064A (en) * 1996-08-07 1998-12-08 Telxon Corporation Wireless software upgrades with version control
US5964831A (en) * 1996-10-29 1999-10-12 Electronic Data Systems Corporation Distributed on-line data communications system and method
US6324267B1 (en) * 1997-01-17 2001-11-27 Scientific-Atlanta, Inc. Two-tiered authorization and authentication for a cable data delivery system
US6272150B1 (en) * 1997-01-17 2001-08-07 Scientific-Atlanta, Inc. Cable modem map display for network management of a cable data delivery system
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6029196A (en) * 1997-06-18 2000-02-22 Netscape Communications Corporation Automatic client configuration system
US6009547A (en) * 1997-12-03 1999-12-28 International Business Machines Corporation ECC in memory arrays having subsequent insertion of content
US5991774A (en) * 1997-12-22 1999-11-23 Schneider Automation Inc. Method for identifying the validity of an executable file description by appending the checksum and the version ID of the file to an end thereof
US6182275B1 (en) * 1998-01-26 2001-01-30 Dell Usa, L.P. Generation of a compatible order for a computer system
US6105149A (en) * 1998-03-30 2000-08-15 General Electric Company System and method for diagnosing and validating a machine using waveform data
US6356951B1 (en) * 1999-03-01 2002-03-12 Sun Microsystems, Inc. System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction
US6842906B1 (en) * 1999-08-31 2005-01-11 Accenture Llp System and method for a refreshable proxy pool in a communication services patterns environment
US7318089B1 (en) * 1999-09-30 2008-01-08 Intel Corporation Method and apparatus for performing network-based control functions on an alert-enabled managed client
MXPA02003710A (es) * 1999-10-15 2002-08-30 Thomson Licensing Sa Una interfase de usuario para un sistema de comunicacion bi-direccional.
JP2001216218A (ja) * 2000-02-01 2001-08-10 Canon Inc 印刷制御装置、印刷システム、アダプタ、印刷制御方法及び記憶媒体
US7031263B1 (en) * 2000-02-08 2006-04-18 Cisco Technology, Inc. Method and apparatus for network management system
US6665752B1 (en) * 2000-02-17 2003-12-16 Conexant Systems, Inc. Interrupt driven interface coupling a programmable media access controller and a process controller
JP2004534973A (ja) * 2000-04-14 2004-11-18 ゴー アヘッド ソフトウェア インコーポレイテッド ネットワークデバイスのアップグレードシステム及び方法
US20020010800A1 (en) * 2000-05-18 2002-01-24 Riley Richard T. Network access control system and method
JP2002024026A (ja) * 2000-07-04 2002-01-25 Canon Inc 情報処理装置、情報処理システム、情報処理方法、及び記憶媒体
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
EP1388068B1 (en) * 2001-04-13 2015-08-12 Nokia Technologies Oy System and method for providing exploit protection for networks
US6957212B2 (en) * 2001-04-24 2005-10-18 Innopath Software, Inc. Apparatus and methods for intelligently caching applications and data on a gateway
US20030033418A1 (en) * 2001-07-19 2003-02-13 Young Bruce Fitzgerald Method of implementing and configuring an MGCP application layer gateway
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US6996211B2 (en) * 2002-12-23 2006-02-07 Sbc Properties, L.P. Voice over IP method of determining caller identification

Also Published As

Publication number Publication date
KR20050019836A (ko) 2005-03-03
JP2010061675A (ja) 2010-03-18
EP1522159A4 (en) 2005-10-12
MXPA05000416A (es) 2005-07-22
BR0305431A (pt) 2004-11-30
US20050220126A1 (en) 2005-10-06
CN1679263B (zh) 2012-04-18
WO2004008271A2 (en) 2004-01-22
EP1522159B1 (en) 2010-05-26
AU2003247799A8 (en) 2004-02-02
AU2003247799A1 (en) 2004-02-02
EP1522159A2 (en) 2005-04-13
KR100959968B1 (ko) 2010-05-27
TWI229520B (en) 2005-03-11
WO2004008271A3 (en) 2004-03-11
JP2005532640A (ja) 2005-10-27
DE60332735D1 (de) 2010-07-08
TW200412758A (en) 2004-07-16

Similar Documents

Publication Publication Date Title
CN1679263B (zh) 一种处理应用级网关文件的方法和设备
JP4477639B2 (ja) ポートトランキングを使用するcatvシステムに関する広帯域docsis
US10439862B2 (en) Communication terminal with multiple virtual network interfaces
US6888807B2 (en) Applying session services based on packet flows
US6510162B1 (en) System and method for managing channel usage in a data over cable system
CN1265643C (zh) 软件控制的多模式双向通信设备
US10462797B2 (en) Methods and apparatus for using bandwidth subject to cellular interference
US20050038880A1 (en) System and method for provisioning a provisionable network device with a dynamically generated boot file using a server
US20090248794A1 (en) System and method for content sharing
EP2502383A2 (en) Internet protocol multimedia subsystem voice-video mail service over a home network
CN1659822A (zh) 数据业务过滤指示器
US20090089431A1 (en) System and method for managing resources in access network
US7961754B2 (en) Apparatus and method for multimedia data transmission and reception in cable network using broadband and physical layer frame structure
EP1361726B1 (en) Method and system for centrally exchanging terminal information over a meshed satellite network
CN100499787C (zh) 改变数字广播接收机中的模式
KR20080010897A (ko) 임베디드 케이블모뎀과 임베디드 셋탑박스 간의 통신 방법및 이를 위한 장치
CN105052075B (zh) 一种同轴电缆Cable系统中的业务发放方法、设备及系统
Long et al. A hybrid DMB-T and WLAN network for broadband wireless access services
EP1350343A1 (en) Method and apparatus for determining the correct operating software version for a network device

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: I Si Eli Murli Nor, France

Patentee after: THOMSON LICENSING

Address before: French Boulogne

Patentee before: THOMSON LICENSING

CP02 Change in the address of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20190520

Address after: Paris France

Patentee after: Interactive digital CE patent holding Co.

Address before: I Si Eli Murli Nor, France

Patentee before: THOMSON LICENSING

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120418

Termination date: 20210703

CF01 Termination of patent right due to non-payment of annual fee