用户住宅设备中过滤因特网协议分组的方法

专利名称：用户住宅设备中过滤因特网协议分组的方法
技术领域：
本发明涉及连接在个人计算机(即“PC”)和数字用户线路(即“DSL”)之间的用户住宅设备(即“CPE”)，更具体而言，涉及一种用于过滤在用于数字用户线路的用户住宅设备中过滤因特网协议(即“IP”)分组的方法。
背景技术：
一般，DSL，也被称为“xDSL”，是高速调制解调器技术，该技术已经被持续开发用于满足超快速因特网连接的大规模市场企业的不断增长的需要。换句话说，DSL是一种使用以往的双绞线的公共数据网络服务，用于支持在有限距离内的带宽。xDSL是各种DSL服务的一般名称，例如异步数字用户线路(即“ADSL”)、高比特率数字用户线路(即“HDSL”)、单线数字用户线路(即“SDSL”)、单对高速数字用户线路(即“SHDSL”)、通用数字用户线路(即“UDSL”)或极高数据率数字用户线路(即“VDSL”)。一种ADSL系统作为在相关技术中的一种示范的xDSL包括位于中心办公室的中心ADSL收发机单元(即“ATU-C”)和对应于用户住宅设备(即“CPE”)的位于用户区域的远程ADSL收发机单元(即“ATU-R”)，它们利用传统的双绞线通过ADSL相互连接。ATU-R随后通过以太网链路连接到一个人计算机(即“PC”)。最后，PC用户经由ADSL和ATU-C通过ATU-R连接到诸如因特网的网络。
另一方面，ATU-R可以用于或者一种IP路由模式或者一种桥接模式，但是在大多数情况下，使用桥接模式。以前，ATU-R被用于分析仅仅在路由模式中从PC收发的IP分组和用于按照过滤规则来控制IP分组。也就是说，ATU-R可以在仅仅IP路由模式中操作IP分组过滤，因此如果在桥接模式中存在诸如黑客的外部侵入者，ATU-R不能执行对侵入者的监控和控制。
如前所述，ATU-R，即CPE之一的主要问题是因为它可以仅仅在IP路由模式中执行IP分组过滤而不能监控或控制在桥接模式中的外部侵入者，因此在桥接模式中分配到CPE的IP如果向外部暴露则变得对于外部侵入者完全开放而没有防御。

发明内容
因此本发明的目的在于提供一种用于在尤其是操作于桥接模式中的用户住宅设备中过滤因特网协议分组并因此防止外部侵入的方法。
另一个目的是向用户提供选择过滤因特网协议分组的方法和何时过滤因特网协议分组的能力。
另一个目的是提供当接收到未在表中登记的因特网协议分组的时候的警告。
为了实现上述和其他目的，本发明的优选实施例提供了一种用于在用户住宅设备中过滤因特网协议分组的方法，所述方法包括一系列步骤通过分析要按照个人计算机(即“PC”)的因特网访问通过xDSL发送到另一方的IP分组来检测目的因特网协议(即“IP”)地址；向预定的容限表登记目的IP地址；在通过xDSL接收到IP分组的时候检测IP分组的一个源IP地址；和检查是否源IP地址被按时登记到容限表，用于只要已经登记了源IP地址则通过PC传送相应的IP分组，并用于如果未登记源IP地址则阻塞相应的IP分组。


随着通过参照附图的下列详细的说明而使得本发明更好理解，对本发明的更完全的理解和本发明的许多附带优点将变得清楚，其中同样的参考符号指示相同或类似的部件，其中图1是示出现有技术的异步数字用户线路(即“ADSL”)的原理图；图2是示出按照本发明的异步数字用户线路(即“ADSL”)系统的原理图；图3是示出按照本发明的一般的ADSL远程收发机单元(即“ATU-R”)的方框图；图4是示出按照本发明的优选实施例的用于过滤因特网协议(即“IP”)分组的方法的不同步骤的流程图；
图5生动地示出了按照征求评议文件(即“RFC”)2516的以太网帧格式；图6生动地示出了按照RFC 791的IP首标格式；和图7生动地示出了按照RFC 2516的分组格式。
具体实施例方式
现在转向附图，图1是作为一个示范xDSL的ADSL系统的原理图。参见图1，位于中心办公室的ADSL中央收发机单元(ATU-C)102和位于用户区域的对应于用户住宅设备(CPE)的ADSL远程收发机单元(ATU-R)103通过ADSL 108采用传统的双绞线而相互连接。ATU-R 104随后通过以太网链路110连接到PC 106。最后，PC 106用户通过ATU-R 104经由ADSL 108和ATU-C 102连接到诸如因特网的网络100。
另一方面，ATU-R 104可以用于或者IP路由模式或者桥接模式，但是在大多数情况下使用桥接模式。以前，ATU-R被用于分析仅仅在路由模式中从PC收发的IP分组和用于按照过滤规则来控制IP分组。也就是说，ATU-R可以在仅仅IP路由模式中操作IP分组过滤，因此如果在桥接模式中存在诸如黑客的外部侵入者，ATU-R不能执行对侵入者的监控或控制。
现在参照

本发明的优选实施例。在下面的说明中，相同的附图参考标号被用于即使在不同附图中的相同元件。在本说明书中限定的事项仅仅用于帮助全面理解本发明。因此，显然本发明可以不用这些限定而被实现。而且，不详细说明公知的功能或结构，因为它们将以不必要的细节混淆本发明。
图2是示出本发明的作为示范xDSL系统的ADSL系统的原理图。参见图2，位于中心办公室的ADSL中央收发机单元(ATU-C)152和位于用户区域的对应于用户住宅设备(CPE)的ADSL远程收发机单元(ATU-R)153通过ADSL 158采用传统的双绞线而相互连接。ATU-R 154随后通过以太网链路160连接到PC 156。最后，PC 156用户通过ATU-R 154经由ADSL 158和ATU-C 152连接到诸如因特网的网络150。
本发明的优选实施例特别体现为一种异步数字用户线路(ADSL)，即，xDSL的一种示范。
图3是示出如图2所示的按照本发明的一般类型的ADSL远程收发机单元(即“ATU-R”)154的方框图。参见图3，一线路接口单元200从ADSL 158接收模拟信号并向一个ADSL模数转换器(即“ADSL A-D转换器”)204输出信号。ADSL A-D转换器204可以执行模数(即“A/D”)转换和数模(即“D/A”)转换。输入到ADSL A-D转换器204的模拟信号随后通过一ADSL线路驱动器202被发送到ADSL 158。ADSL A-D转换器204也将从线路接口单元200输入的模拟信号转换为数字信号，并向ADSL数字信号处理器(即“DSP”)206输出数字信号。输入到ADSL DSP 206的数字信号再次通过ADSL A-D转换器204被转换为一个模拟信号，并被输出到ADSL线路驱动器202。同时，连接到控制处理器208、快闪存储器212和动态随机存取存储器(DRAM)208的ADSL DSP 206执行ATU-R 154的数字用户线路信号的处理操作。在此，连接到ADSL DSP 206、快闪存储器212、DRAM 214和以太网接口单元210的控制处理器208作为一个主控制器。以太网接口单元210作为一以太网链路110，被连接到个人计算机(即“PC”)156。下面，快闪存储器212存储控制处理器208的操作程序和其他各种参考数据。最后，DRAM 214暂时存储有关DSL DSP 206和控制处理器208的操作的数据。
图4是图解本发明的操作步骤的流程图，将在控制处理器208的IP分组过滤处理划分为从S300到S314的步骤。首先，在PC 156用户通过ADSL 158访问因特网和向另一方发送IP分组的时候，控制处理器208响应(S300)该请求，并通过分析要从PC 156发送到另一方的IP分组，即通过以太网链路160接收的IP分组，来确认目的IP地址(S302)。在此，对于ATU-R 154系统，只要提供了PC 156的因特网访问，总是可能检测到另一方的IP地址，即目的IP地址，因为PC 156用户是首先请求向另一方通信的一方。因此，被确认的或识别的目的IP地址被登记到象下面示出的表1的一个容限表(S304)，然后，它进行典型的IP分组传输处理，步骤S300再次开始。所述容限表用于引用IP地址，尤其是用于通过ADSL 158接收到IP分组的情况和从PC 156用户要通信的另一方接收的唯一的IP分组或统一资源定位符(即“USL”)应当被允许穿过PC 156的情况。容限表一般存储在DRAM 214中。



其后，当通过ADSL 158接收到IP分组的时候，做出响应(S306)，并且检测接收的IP分组的源IP地址(S308)，并且检查源IP地址查看是否它已经被登记到如上所述的容限表中(S310)。如果源IP地址已经被登记到容限表，则相应的IP分组进行典型的IP分组接收处理，并被通过以太网链路160传送到PC 156(S312)，然后步骤S300重新开始。
相反，如果源IP地址没有登记到容限表，则对应的IP分组被阻塞和不向PC 156传送(S314)，然后步骤S300重新开始。这样的结果被立即通过警告通告PC 156用户。在一种警告的方式中，在ATU-R 104中的发光二极管(LED)可以闪烁，或者一控制台信息可以显示在PC的监控器上或发送到用户的E-mail(电子邮件)。
因此，不象分析和处理整个IP分组的路由模式那样，在桥接模式中运行的ATU-R可以简单地通过确认IP分组的IP地址而执行IP分组过滤处理，这结果上防止了外来的侵入而不影响桥接模式的整个特性。
同时，在PC 156用户通过ADSL 158访问以太网的时候要发送到另一方的IP分组被包括在象如图5所示的那个的以太网分组中，并随后被从PC 156通过以太网链路160发送到ATU-R 104。以太网分组通常被划分成两种类型，其中一种是基于以太网的点对点协议(即，“PPPoE”)对话阶段的分组，另一个是一个IP分组。自以太网首标的IP分组的起始位置根据以太网分组类型而不同。因此，根据以太网分组的类型，对于以太网的不同位置应当检测到不同的目的IP地址。
图5特别示出了按照在RFC中征求评议文件(即“RFC”)2516的以太网帧格式图，RFC是关于所有与以太网相关的大小的文件。一般，以太网帧格式包括一个以太网首标，它包括6个八位组目的地址DESTINATION_ADDR、6个八位组源地址SOURCE_ADDR和2个八位组以太网分组类型ETHER-TYPE；一净荷，跟随着所述以太网首标；和一校验和。这样的以太网分组如上所述被划分为PPPoE对话阶段分组和IP分组。在此，如果ETHER-TYPE值是Ox8864，则以太网分组类型属于PPPoE对话阶段分组，如果ETHER-TYPE值是Ox8800，则以太网分组类型属于IP分组。
在以太网分组类型是IP分组的情况下，图6所示的RFC 791格式的IP首标紧随在图5的以太网首标之后。以这种方式，目的IP地址404被从图6所示的IP首标检测出来，它紧随着以太网首标。在图6的参考标号400下的从00到31的数字指示从0开始到31的比特。
相反，如果以太网分组类型是PPPoE对话阶段分组，则象图6所示的一IP首标从与RFC 2516格式的长度字段LENGTH有Ox？？？值的距离的下一个位置跟随。在此，图7所示的以太网首标占用ETHER_TYPE＝OX8864，这与图5所示的以太网首标非常相同。也就是说，下一个IP首标在6个八位组的字段的长度，即从以太网首标开始的v，t，CODE，SESSION_ID与长度字段LENGTH值Ox？？？的和的预定偏移后跟随。因此，如果以太网分组类型为PPPoE对话阶段分组，则目的IP地址404可以从图6所示的、在预定偏移后来自以太网首标的IP首标检测到。
另外，可以通过从所接收的分组的象图6所示的那个的IP首标中检测源IP地址402来完成从通过ADSL 158接收的IP分组检测源IP地址。
至此，虽然已经说明了本发明的优选实施例，但是可以进行本发明范围内的任何修改。尤其是，本发明介绍了在接收到未登记到容限表的IP分组的情况下阻塞IP分组和做出警告的方法，但是人们可以决定拒绝这个方法。而且，按照本发明，只要用户愿意就可以执行IP分组过滤，并且用户可以有选择地指定过滤处理本身。为此，用户通过PC 156可以确定或选择是否他要执行IP分组过滤，或者他可以在ATU-R 154中安装一个双列直插式开关用于必要时选择IP分组过滤处理。即使ADSL已经被用做xDSL的示范，也可以根据需要将它应用到桥接模式中的IP分组过滤。
虽然已经结合各种实施例而说明了本发明，它们仅仅是说明性的。因此，根据上述的详细说明，许多替代、修改和变化对于本领域的技术人员将是明显的。上述的说明意欲覆盖落入所附权利要求书的宽范围和精神的所有这样的替代和变化。
权利要求
1.一种用于在桥接模式下在连接在个人计算机和数字用户线路之间的用户住宅设备中过滤因特网协议分组的方法，所述方法包括步骤在所述个人计算机的用户通过所述数字用户线路访问因特网的时候，通过分析要发送到另一方的因特网协议分组来检测一个目的因特网协议地址；向预定的容限表登记所述目的因特网协议地址；在通过所述数字用户线路接收到因特网协议分组的时候，检测因特网协议分组的一个源因特网协议地址；和检查是否所述源因特网协议地址被按时登记到容限表，用于仅仅在已经登记了所述源因特网协议地址的时候通过所述个人计算机传送相应的因特网协议分组，并用于如果所述源因特网协议地址未登记则阻塞相应的因特网协议分组。
2.权利要求1的方法，所述检测所述目的因特网协议地址的步骤进一步包括步骤在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在个人计算机用户通过所述数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组；在以太网分组类型是以太网对话阶段上的点对点协议的情况下，从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址；以及在以太网分组类型是因特网协议分组的情况下，从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
3.权利要求1的方法，还包括当所述源因特网协议地址没有登记到所述容限表的时候启动警告的步骤。
4.权利要求1的方法，所述方法仅仅在所述个人计算机的所述用户指定因特网协议分组过滤的时候是有效的。
5.权利要求1的方法，所述数字用户线是从包括异步数字用户线路、高比特率数字用户线路、单线数字用户线路、单对高速数字用户线路、通用数字用户线路和极高数据率数字用户线路的一组中选择的一个。
6.权利要求1的方法，所述检测所述目的因特网协议地址的步骤还包括步骤在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在个人计算机用户通过数字用户线路访问以太网的时候要发送到另一方的所述以太网协议分组；以及当以太网分组类型是在以太网对话阶段上的点对点协议的时候，从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址。
7.权利要求1的方法，所述检测所述目的因特网协议地址的步骤还包括步骤在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在所述个人计算机用户通过数字用户线路访问以太网的时候要发送到另一方的所述以太网协议分组；以及当以太网分组类型是在以太网对话阶段上的点对点协议的时候，从在以太网首标后没有预定偏移而紧随的因特网协议首标检测所述目的因特网协议地址。
8.一种方法，包括在计算机的用户通过一连接线路访问因特网的时候，通过分析要发送到另一方的网络分组来检测一个目的网络地址；向预定的容限表登记所述目的地址；通过所述连接线路检测所接收的网络分组的一个源网络地址；和检查是否所述源网络地址被登记到容限表，用于仅仅在已经登记了所述源网络地址的时候通过所述计算机传送相应的网络协议分组，并用于当所述源网络地址未登记的时候阻塞相应的网络分组。
9.权利要求8的方法，其中所述连接线路是数字用户线路。
10.权利要求9的方法，其中所述网络地址是因特网协议地址，并且网络分组是因特网协议分组。
11.权利要求9的方法，所述检测所述目的网络地址的步骤进一步包括步骤在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在所述个人计算机用户通过所述数字用户线路访问网络的时候要发送到另一方的所述网络协议分组；在以太网分组类型是以太网对话阶段上的点对点协议的情况下，从在以太网首标后预定偏移后跟随的网络协议首标检测所述目的网络协议地址；以及在以太网分组类型是网络协议分组的情况下，从在以太网首标后没有预定偏移地紧随的网络协议首标中检测所述目的网络协议地址。
12.权利要求11的方法，还包括当所述源网络协议地址没有登记到所述容限表的时候启动警告的步骤。
13.一种方法，包括在个人计算机的用户通过一数字用户线路访问因特网的时候，通过查看要发送到另一方的因特网协议分组来检测一个目的因特网协议地址；向预定的容限表登记所述目的因特网协议地址；通过所述数字用户线路检测所接收的因特网协议分组的一个源因特网协议地址；和检查是否所述源因特网协议地址被登记到所述预定的容限表。
14.权利要求13的方法，还包括当所述源因特网协议地址未登记到所述预定容限表的时候通告所述用户。
15.权利要求13的方法，还包括当所述源因特网协议地址未登记到所述预定容限表的时候启动警告。
16.权利要求13的方法，还包括当所述源因特网协议地址登记到所述预定的容限表的时候传送所接收的对应于所述源因特网协议地址的因特网协议分组。
17.权利要求16的方法，还包括当所述源因特网协议地址未登记到所述预定容限表的时候启动警告。
18.权利要求13的方法，还包括当所述源因特网协议地址未登记到所述预定的容限表的时候阻塞所接收的对应于所述源因特网协议地址的因特网协议分组。
19.权利要求13的方法，所述方法仅仅当所述个人计算机的所述用户指定因特网协议分组的过滤的时候是有效的。
20.权利要求13的方法，所述检测所述目的因特网协议地址的步骤还包括步骤在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组；在以太网分组类型是以太网对话阶段上的点对点协议的情况下，从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址；以及在以太网分组类型是因特网协议分组的情况下，从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
21.一种装置，包括访问一网络的信息的一计算机，所述计算机向另一方发送因特网协议分组；和通过一数字用户线路将所述计算机与所述网络接口的一第二单元，所述第二单元包括一控制器和一存储器，所述控制器从因特网协议分组确认目的因特网协议地址并在所述存储器中的一容限表中登记所述目的因特网协议地址，所述控制器检测从所述数字用户线路接收的因特网协议分组的源因特网协议地址，所述控制器确定来自通过所述数字用户线路接收的因特网协议分组的所述源因特网协议地址是否被登记到所述存储器中的所述容限表，所述控制器当所接收的因特网协议分组的所述源因特网协议地址未登记到所述存储器中的所述容限表的时候阻塞通过所述数字用户线路接收的对应的因特网协议分组以免其被发送到所述计算机，所述控制器当所述源因特网协议地址登记到所述存储器中的所述容限表的时候，向所述计算机传送对应于所述源因特网协议地址的所接收的因特网协议分组。
22.权利要求21的装置，还包括当所述控制器确定所述源因特网协议分组的因特网协议地址未登记到所述存储器中的所述容限表的时候启动警告。
23.权利要求21的装置，当在所述计算机上的用户选择因特网协议分组的过滤的时候，所述第一单元登记、确定和检测因特网协议地址和阻塞或传送所接收的因特网协议分组。
24.权利要求21的装置，所述网络是因特网，所述计算机通过以太网线路连接到所述第一单元。
25.权利要求21的装置，所述数字用户线路是从包括异步数字用户线路、高比特率数字用户线路、单线数字用户线路、单对高速数字用户线路、通用数字用户线路和极高数据率数字用户线路的一组中选择的一个。
26.权利要求21的装置，所述第一单元还包括一线路接口单元，从所述数字用户线路接收一模拟信号；一第一子单元，从所述线路接口单元接收所述模拟信号，被输入到所述第一子单元的所述模拟信号通过数字用户线路驱动器被发送到所述数字用户线路和将从所述线路接口单元输入的所述模拟信号转换为数字信号；和一第二子单元，处理来自所述第一子单元的数字信号供所述控制器使用，输入到第二子单元中数字信号通过所述第一子单元被转换为第二模拟信号并被输出到一线路驱动器。
27.权利要求21的装置，所述控制器按照下列行动确定所述目的因特网协议地址，所述行动包括在通过连接到所述个人计算机的以太网链路接收到以太网分组的时候查看以太网分组类型，所述以太网分组包括在所述个人计算机用户通过数字用户线路访问因特网的时候要发送到另一方的所述因特网协议分组；在以太网分组类型是以太网对话阶段上的点对点协议的情况下，从在以太网首标后预定偏移后跟随的因特网协议首标检测所述目的因特网协议地址；以及在以太网分组类型是因特网协议分组的情况下，从在以太网首标后没有预定偏移地紧随的因特网协议首标中检测所述目的因特网协议地址。
全文摘要
本发明包括一种用于通过在桥接模式下在连接在个人计算机(PC)和数字用户线路(xDSL)之间的用户住宅设备中过滤因特网协议分组来防止任何外部侵入者的方法。为此，本发明提供了包括下列步骤的方法在一计算机的用户通过xDSL访问因特网的时候，通过分析要发送到另一方的因特网协议分组来检测一个目的IP地址；向预定的容限表登记所述目的IP地址；在通过xDSL接收到IP分组的时候，检IP分组的一个源IP地址；和检查是否所述源IP地址被按时登记到容限表，用于仅仅在已经登记了所述源IP地址的时候通过PC传送相应的IP分组，并用于如果未登记所述源IP地址则阻塞相应的IP分组。
文档编号H04L29/06GK1402506SQ0212759
公开日2003年3月12日 申请日期2002年8月1日 优先权日2001年8月29日
发明者李保九 申请人:三星电子株式会社