反向代理上的流入重定向机制的制作方法

反向代理上的流入重定向机制的制作方法
【专利摘要】本发明涉及一种用于对分组进行过滤的系统（GW2），包括：过滤部件（MF），用于通过应用至少一个过滤规则的集合来确定是否允许将分组路由到接收实体；用于检验在所述过滤系统所接收到的请求中包括的验证令牌的有效性的部件（RP）；用于在接收到初始请求之后、向所述集合添加所谓的高级别过滤规则的部件（RP），该高级别过滤规则允许将经由所述装置的预定通信端口接收到的至少一个分组路由到所述检验部件（RP），其中，源地址与该初始请求的源地址一致，而无论随后请求的源通信端口是什么；以及用于将包括有效验证令牌的随后请求路由到所述随后请求的接收实体的部件（RP）。
【专利说明】反向代理上的流入重定向机制
【技术领域】
[0001]本发明涉及电信领域，且更精确地，涉及一种用于对分组进行过滤的处理和装置。【背景技术】
[0002]本发明存在于以下场景中，即第一网络(例如，公司网络)中的第一装置(例如，客户机终端)向第二网络(例如，家庭网络)中的第二装置(例如，内容服务器)发布请求(用于访问内容、控制、数据发送的请求、或任何其他类型的请求)，所述两个网络经由因特网网络而互联。
[0003]在这种场景中，允许家庭网络的用户访问因特网的家庭网络的因特网路由器充当用于此远程访问请求的过滤和路由装置，逐个地对流入(incoming)连接进行授权，目的在于向在此请求中被指定为目标的家庭网络中的装置转发它们。
[0004]假定借助于例如中继服务器形式的受信任的中继实体来传送该第一网络中的装置所发布的请求。从第二网络的网关的视角来看，与任何其他实体相反地，此中继服务器构成“受信任的”实体，所述任何其他实体可以借助于该网关的公共地址来从因特网尝试直接地访问此网关，而无需已被明确授权这么做。
[0005]因而，在此中继服务器与第二网络的网关的反向委托代理(Reverse Proxyagent)之间建立对话，在该对话期间，反向委托代理检验用于描述远程用户关于与第一装置所发布的请求有关的数据/内容的访问权利的授权。此步骤在资源方面并且在所传送的信息的数量方面是廉价的，这是由于在用于访问多媒体内容项目的请求的示例情况下，它仅仅是文件系统中的一系列文件搜索操作。
[0006]然而，多媒体内容的传送在网络资源方面与在处理能力方面同样潜在地是昂贵的。因此，出现以下需求，即避免不必要地向第二网络的网关的存储器和CPU资源添加负担，该存储器和CPU资源必须尽可能地被局限于其路由功能，并且避免在中继服务器SVR的级别处产生瓶颈或向此服务器装备负载管理部件。
[0007]通常，因而，在第二网络网关的公共网络接口的级别处动态地分配与用于联系反向委托代理的默认通信端口分离的特定通信端口，为第一装置保留该通信端口的使用。然后，重定向机制在于，向客户机供应由网关的公共地址并由已被特别分配的通信端口组成的重定向地址。
[0008]然后，通过不再涉及第二网络网关的反向委托代理的简单的传统流入路由机制，此家庭网络将直接来自于客户机的请求路由到第二网络中的目标装置。
[0009]然而，这种机制可能受到在第一和/或第二网络中存在能够对到这些非标准通信端口的业务进行过滤的一个或多个防火墙的阻碍。例如，第二网络的因特网运营商很可能采用限制性策略，以用于质疑从因特网联系网关的特定通信端口的能力。作为另一示例，第一网络可以装备有防火墙，以用于对来自此第一网络的流出(outgoing)业务进行过滤。
[0010]最终，这种机制没有允许在多个客户机终端之间做出区分，当第一网络的防火墙/代理将同一个公共地址用于与连接到此公共网络的客户机终端所建立的通信时，向所述多个客户机终端分派同一个地址。
[0011]因而，已经出现对于用于在这种场景中对网关的交叉(crossing)进行授权的安全和通用解决方案的需求。

【发明内容】

[0012]本发明的意图之一在于，克服现有技术中的一些问题、缺点或不足和/或实现改
盡
口 ο
[0013]根据第一方面，本发明涉及一种用于对分组进行过滤的处理，该处理由过滤装置来实现，该过滤装置包括过滤部件，用于通过应用至少一个过滤规则的集合来确定分组是否被授权以路由到目的实体，该处理包括:
[0014]-检验用于源实体的验证令牌的有效性的步骤，该验证令牌已经被插入到所述过滤装置所接收到的请求中，并且当所述验证令牌是有效的时:
[0015]-向所述集合添加过滤规则的步骤，该过滤规则已知为第二级别过滤规则，如果用于至少一个分组的源实体与用于所述请求的源实体一致，则该过滤规则授权将该分组路由到目的实体；
[0016]-向所述过滤部件发送该请求的步骤。
[0017]该过滤处理提供了一种方法，其依赖于创建适合于对于包括有效验证令牌的请求来授权到目的实体的路由的过滤规则，而控制到网络的访问。
[0018]因而，可以在可能正在发布请求的多个源终端之间做出区分，并且保证可以通过创建特设(ad hoc)过滤规则来仅仅将来自被授权源实体的请求路由到目的实体,该特设过滤规则授权对具有有效验证令牌的请求进行路由。
[0019]根据一个实施例，该过滤处理包括:在对与所述请求相关的最后分组进行路由之后、从所述集合中移除该第二级别过滤规则的步骤。因此，该第二级别过滤规则是临时的:是为了数据的单次发送所创建的，并且在对与该请求相关的最后分组进行发送和路由之后终止。这使得可能加强访问网络的安全性。实际上，只有当随后请求也包括有效的验证令牌、并且对于此随后请求创建了另一过滤规则(也是临时的)时，才将该随后请求路由到其目的地。
[0020]根据该过滤处理的实施例，该检验步骤包括以下步骤中的至少一个:
[0021]-确定用于该验证令牌的有效期是否已经期满:因而，可能检查在令牌生成之后不久就使用该令牌；
[0022]-确定该验证令牌是否已经使用于在所述请求以前接收到的至少一个其他请求中:因而，可能施加以下条件，即令牌仅仅使用一次；
[0023]-确定该验证令牌是否对应于用于所述请求的源地址:因而，可能施加以下条件，仅仅由对于其验证了源地址的被授权实体来使用该验证令牌；
[0024]-确定该验证令牌是否对应于对于其发布所述请求的内容:因而，可能施加以下条件，即仅仅对于计划且授权的使用(即，对于给定内容的访问)来使用该验证令牌；
[0025]-确定是否已经利用专用于所述装置的加密密钥来生成该验证令牌:因而，可能检验该验证令牌是否尚未被伪造或由未被授权的实体所生成。
[0026]所有这些步骤的意图在于，限制验证令牌的欺诈使用和生成的风险。[0027]根据该过滤处理的第一变型实施例，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于该至少一个分组，源地址和源通信端口与用于所述请求的源地址和源通信端口分别一致。
[0028]因而，可能将与目的实体的通信约束到由同一个源地址和同一个源通信端口所标识的唯一源实体。如果另外地使用验证令牌来验证此源地址，则可能确保源实体确实是被授权的源实体。
[0029]根据该过滤处理的第二变型实施例，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于所述至少一个分组，源通信端口与用于所述请求的源通信端口一致，并且对于所述至少一个分组，源地址存在于包括用于所述请求的源地址的地址范围内。
[0030]因而，可能考虑到源实体的源地址的修改，这例如可能在对来自初始源地址的初始请求进行重定向以后出现。
[0031]根据具体实施例，该过滤处理包括:
[0032]-在接收到不包括验证令牌的初始请求以后生成验证令牌的步骤，
[0033]-通过将所生成的验证令牌插入到该初始请求中来修改该初始请求的步骤，
[0034]-对修改后的初始请求进行重定向、使得重新发布修改后的初始请求的步骤。
[0035]根据此具体实施例的具体情况，该过滤处理包括:
[0036]-在借助于受信任的实体而接收到不包括验证令牌的初始请求之后生成验证令牌的步骤，
[0037]-通过将所述验证令牌插入到初始请求中来修改该初始请求的步骤，
[0038]-对修改后的初始请求进行重定向、使得在没有经过所述受信任实体的情况下重新发布修改后的初始请求的步骤。
[0039]将验证令牌(在此实例中，该验证令牌代表了对于来自受信任实体的此请求给予访问授权)插入到将经历重定向的请求中，以便确保尽管它不再经过受信任的实体的事实，仍然将可能将它识别为被授权路由到目的实体的请求。
[0040]根据此具体实施例的变型，该过滤处理包括:在接收到该初始请求之后、向所述集合添加过滤规则的步骤，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由预定通信端口接收到的至少一个分组路由到用于检验在请求中包含的验证令牌的有效性的部件，
[0041 ] 在重定向到预定通信端口的步骤中，对修改后的初始请求进行重定向。
[0042]在此变型的具体情况下，该过滤处理包括:在接收到该初始请求之后、向所述集合添加过滤规则的步骤，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由所述装置的预定通信端口接收到的至少一个分组路由到用于检验在请求中包含的验证令牌的有效性的部件，对于所述至少一个分组，源地址与用于该初始请求的源地址一致，而不管用于随后请求的源通信端口是什么，
[0043]在重定向到预定通信端口的步骤中，对修改后的初始请求进行重定向。
[0044]因而，第一级别过滤规则意欲用于过滤利用验证令牌所重定向的请求。初看起来，它构成用于访问网络的控制的某种安全瑕疵。然而，在给定此临时的第一级别过滤规则与借助于验证令牌的验证机制的组合使用的情况下，能够受益于此伪瑕疵的重定向后的请求将包括将必须有效的验证令牌，在缺少该验证令牌的情况下，将不能将此重定向后的请求路由到其目的地。因而，通过非常安全的措施(验证)来补偿具有不良安全性的措施(第一级别过滤规则)，并且这些措施的集合最终确保了高级别的安全性。
[0045]另外，由于预定的通信端口将用于重定向后的请求，所以存在对于在所述装置上必须开启的通信端口的数目限制。另外，此通信端口可以与用于发布初始请求的通信端口是一致的，并且这同时凭借第一和第二级别规则和验证令牌的组合使用来保持了安全性。
[0046]根据具体实施例，该过滤处理包括:在接收到包括所述验证令牌的请求之后或在用于所述第一级别过滤规则的有效期期满之后、移除该第一级别过滤规则的步骤。
[0047]第一级别过滤规则是临时的，并且因此，可以仅仅留存于用于重定向对于其已经创建该第一级别过滤规则的请求所必须的时间内。因而，再次限制了入侵到网络中的风险。
[0048]根据变型实施例，在该检验步骤以前，该过滤处理包括:通过应用包括该第一级别过滤规则的所述集合来对该过滤部件所接收到的所述请求进行过滤的步骤。
[0049]由此，该请求经历双重过滤:首先通过第一级别过滤规则，然后通过第二级别过滤规则，在这两次过滤步骤之间，还有对验证令牌的有效性的检验。只有在已经成功通过这两次过滤步骤和检验步骤之后，才最终将该请求路由到其目的地。因此，从安全性的视角来看，该集合是尤其有效的，同时保持为通用的。
[0050]上述的各种实施例和变型可以彼此组合，以用于实现该过滤处理。
[0051]根据第二方面，本发明涉及一种用于对分组进行过滤的系统，包括:
[0052]-过滤部件，用于通过应用至少一个过滤规则的集合来确定分组是否被授权以路由到目的实体；
[0053]-用于检验在所述过滤系统所接收到的请求中包括的验证令牌的有效性的部件，
[0054]-用于在接收到初始请求之后、向所述集合添加过滤规则的部件，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由所述装置的预定通信端口接收到的至少一个分组路由到用于检验的所述部件，对于所述至少一个分组，源地址与用于该初始请求的源地址一致，而不管用于随后请求的源通信端口是什么，
[0055]-用于将包括有效验证令牌的随后请求路由到用于该随后请求的目的实体的部件。
[0056]对于根据本发明的过滤处理所阐释的优点可以直接移转到根据本发明的过滤系统、以及下面定义的此系统的各个实施例。
[0057]根据该过滤系统的实施例，该路由部件包括:
[0058]-用于当所述验证令牌是有效的时、向所述集合添加过滤规则的部件，该过滤规则已知为第二级别过滤规则，如果用于分组的源实体与用于所述请求的源实体一致，则该过滤规则授权将该分组路由到目的实体；
[0059]-用于向该过滤部件发送该随后请求的部件。
[0060]根据一个实施例，该过滤系统还包括:
[0061]-用于在借助于受信任的实体而接收到初始请求之后生成验证令牌的部件，
[0062]-通过将所述验证令牌插入到初始请求中来修改该初始请求的步骤，
[0063]-对修改后的初始请求进行重定向、使得在没有经过所述受信任实体的情况下重新发布修改后的初始请求的步骤。
[0064]更一般地，根据本发明的过滤系统包括用于实现根据本发明的处理的步骤的部件，并且逆转地实现该处理的步骤。
[0065]上述的各种实施例和变型可以彼此组合，以用于实现该过滤系统。
[0066]根据优选实现，通过软件或计算机程序来实现根据本发明的方法的处理的各个步骤，此软件包括软件指令，所述软件指令意欲由过滤系统的数据处理器来执行并且被设计为控制此处理的各个步骤的执行。
[0067]结果，本发明还涉及一种能够由计算机或者由数据处理器执行的程序，此程序包含以下指令，所述指令用于控制如上所述的处理的步骤的执行。
[0068]该程序可以使用任何编程语言，并且可以具有源代码、目标代码或源代码和目标代码之间的中间代码的形式(诸如部分编译形式)，或具有任何其他所期望的形式。
[0069]本发明还涉及一种数据存储介质，该数据存储介质可以由数据处理器进行读取，并且包含来自如上所述的程序的指令。该数据存储介质可以是能够存储该程序的任何实体或装置。
[0070]根据一个实施例，借助于软件和/或硬件组件来实现本发明。出于这种考虑，在此实施例中，术语“模块”可以如对应于硬件组件同样地对应于软件组件，或对应于硬件和软件组件的集合。
[0071]软件组件相当于一个或多个计算机程序，相当于程序的一个或多个子程序，或者按照更一般的方式，相当于能够根据下面对于讨论中的模块所描述的内容来实现功能或功能集合的程序或软件的任何元素。这种软件组件由物理实体(终端、服务器、网关、机顶盒、路由器等)的数据处理器来执行，并且能够访问该物理实体的硬件资源(存储器、记录介质、通信总线、电子输入/输出卡、用户接口等)。
[0072]按照相同的方式，硬件组件相当于能够根据下面对于讨论中的模块所描述的内容来实现功能或功能集合的硬件配件的任何元素。它可以是可编程的硬件组件或具有集成式处理器的组件，以用于执行软件，例如，用于执行固件的集成电路、芯片卡、存储卡、电子卡
坐寸ο
【专利附图】

【附图说明】
[0073]贯穿仅仅借助于非限制性示例给出的、并参考附图做出的以下描述的始终，本发明的其他目的、特征和优点将显现，在所述附图中:
[0074]-图1是示出了合并有根据本发明的装置的通信系统的图；
[0075]-图2示出了根据本发明的处理的实施例的流程图。
【具体实施方式】
[0076]虽然在处理用于访问内容的请求的示例情况下描述本发明，但是它可应用于任何其他类型的请求:用于轮询服务器的请求、用于访问服务的请求等。这里，意欲按照术语更为宽广的意义来解释请求的概念:它涉及源实体向目的实体发送所发布的数据，请求由相继发送的一个或多个数据分组构成。
[0077]还在以下示例情况下描述本发明，其中此请求根据HTTP (超文本传输协议)来发布，并且使用IP (因特网协议)地址来标识请求/分组的源和目的实体。
[0078]在使用传统的术语学的情况下，将使用用于分组/用于请求的术语源(或目的)地址和通信端口来表示用于此分组/此请求的源实体(或目的实体)的地址和通信端口。
[0079]围绕以下三个网络来组织图1所示的系统
[0080]-第一网络RS1，例如，公司网络；
[0081]-第二网络RS2，例如，家庭网络；
[0082]-网络RI，允许网络RSl和RS2的互联，例如因特网网络。
[0083]在网络RSl内连接有以下装置:
[0084]-第一客户机终端TC1，例如，个人计算机的形式；
[0085]-第二客户机终端TC2，例如，个人计算机的形式；
[0086]-网关GW1，对于连接到网络RSl的装置，充当用于访问网络RSI的网关，并且经由该网关GWl，终端TCl和TC2可以与网络RSl外部的实体建立通信；具体地，此网关充当用于网络RSl的防火墙和代理，对网络RSl的流入和流出通信进行过滤，并且将公共地址和通信端口标定(attribute)到此网络RSl的流入和流出通信。
[0087]因而，这里假定客户机终端TCl连接到为其过滤流出业务的网络RS1。照这样，客户机终端TCl通常可以仅经由“标准的”目的通信端口(例如且不失一般性地，通信端口 80，其用作超文本传输协议的默认端口)而与远程家庭网络RS2的实体进行通信。客户机终端TC2还意在利用它自己的授权来访问远程家庭网络RS2，客户机终端TC2自己的授权与向客户机终端TCl给予的授权分离。本发明通过用于控制对于网络RS2的访问的通用机制来考虑这些种种约束。
[0088]在网络RS2内连接有以下装置:
[0089]-内容服务器SVC2，在其上记录有多个多媒体内容；
[0090]-网关GW2，对于连接到网络RS2的装置，充当用于访问网络RSI的网关，并且经由该网关GW2，网络RS2外部的实体可以联系内容服务器SVC2 ;具体地，此网关GW2充当用于网络RS2的防火墙和代理，对网络RS2的流入和流出通信进行过滤，并且将公共地址和通信端口标定到此网络RS2的流入和流出通信。
[0091]网关GW2装备有防火墙，其合并有过滤和路由模块MFR，随后简称为“过滤模块”，该模块MFR负责应用用于定义以下条件的过滤和路由规则的集合，在该条件中，授权或不授权进入到该网络中的数据分组被路由到目的实体。这种过滤和路由规则也称为访问控制规则。它们通常按照有序列表(ACL “访问控制列表”)的形式而存储在存储器中，该列表具有用于被考虑的预定义的顺序。在接下来的文本中，将使用名称“过滤规则”。
[0092]在其中数据分组享有被路由到目的实体的授权的情境中，过滤模块MFR负责向此目的实体发送考虑中的数据分组:在此数据分组中定义的目的实体、或在过滤和路由规则中定义的目的实体。
[0093]网关GW2装备有用于实现反向代理功能的模块ARP，随后简称为“委托代理”，该模块具体地负责处置用于访问网络RS2的内部资源的请求并且控制对于这些内部资源的访问。委托代理ARP被配置为，根据需要来创建一个或多个过滤规则，并且将它们添加到由过滤模块MFR管理的过滤规则的集合，使得此过滤模块应用如此创建的规则。
[0094]在下面的文字中，将使用以下符号:
[0095]- “@TCl_pub”，用于客户机终端TCl的公共网络地址，该地址由网关GWl标定，并且由客户机终端TCl使用用于在网络RSl外部进行通信；[0096]- “nTCl_pub”，用于客户机终端TCl的公共通信端口，该端口由网关GWl标定，并且由客户机终端TCl使用用于在网络RSl外部进行通信；
[0097]- “iTC2_pub ”，用于客户机终端TC2的公共网络地址，该地址由网关GWl标定，并且由客户机终端TC2使用用于在网络RSl外部进行通信；
[0098]- “nTC2_pub”，用于客户机终端TC2的公共通信端口，该端口由网关GWl标定，并且由客户机终端TC2使用用于在网络RSl外部进行通信；
[0099]- “ iGff l_pub ”，网关GWl的公共网络地址；
[0100]- “ iGW2_pub ”，网关GW2的公共网络地址；
[0101 ] - “nGW2_pub ”,网关GW2的公共通信端口。
[0102]参考图2来更加详细地描述根据本发明的过滤处理的第一实施例。
[0103]认为，在此第一实施例中，地址@TCl_pub=@TC2_pub=@GWl_pub是网关GWl用于客户机终端TC1、TC2等的通信而使用的唯一公共地址。换言之，@GWl_pub是对于所有这些客户机终端共同的公共地址。
[0104]在步骤200中，客户机终端TCl向中继服务器SVR验证它自己。中继服务器SVR继续进行客户机终端TCl的验证，并且检验此客户机终端TCl被有效地授权以与网关GW2和经由此网关GW2可访问的网络RS2的实体进行通信。
[0105]从网关GW2的视角来看，与任何其他实体不同地，此中继服务器SVR构成“受信任的”实体，该任何其他实体可以借助于网关GW2的公共地址来从因特网尝试直接地访问该网关GW2,而无需已被明确授权这么做。借助于不例，中继服务器SVR和网关GW2实现相互验证处理，在该相互验证处理的结束时，网关GW2将中继服务器SVR记录为受信任的实体之一，从该实体授权分组被路由到网络RS2中的目的实体。或者，更简单地，中继服务器的地址被网关GW2得知(它可以是其“工厂”配置中的一部分)，并因此而受到信任。
[0106]在步骤201中，在其期间，客户机终端TCl的用户Ul要求搜索在内容服务器SC2中存储的共享式访问的多媒体内容的树。在中继服务器SVR、网关GW2的委托代理ARP与内容服务器SVC2之间进行对话，在该对话期间，委托代理ARP检验用于描述远程用户Ul对于网络RS2的资源SVC2的访问权利的授权。此步骤202在资源方面并且在所传送的信息的数量方面是廉价的，这是因为它仅仅是文件系统中的一系列文件搜索操作。
[0107]最终，假定用户Ul选择在内容服务器SC2中存储的内容C2，然后要求将此内容C2加载到客户机终端TCl中，意在在空中(on the fly)恢复此内容(例如，内容服务器SC2进行流化传输的一首音乐的情况)或者预先记录此内容。
[0108]然而，多媒体内容项目的传送在网络资源方面与在处理能力方面同样潜在地是昂贵的。下面描述的以下步骤避免不必要地向网关GW2的存储器和CPU资源添加负担(该存储器和CPU资源必须尽可能地被局限于其路由功能)，并且避免在中继服务器SVR的级别处产生瓶颈或向此服务器装备用于管理其负载的部件。
[0109]在步骤202中，在用户Ul的请求以后，客户机终端TCl发布用于访问内容C2的初始请求，并且将它传送到中继服务器SVR，该中继服务器SVR验证它，然后将它路由到网关GW2的委托代理ARP。该委托代理ARP通过本领域技术人员已知的机制来检测此初始请求是用于访问在内容服务器SVC2上存储的内容的请求。
[0110]典型地，这种检测机制基于检测标准协议的原语，诸如，http协议的“Get (获取)”原语。
[0111]例如，此初始请求包括内容C2的URL (统一资源定位符)，并且将内容服务器SVC2标识为从其能够获得此内容的实体。
[0112]http://192.168.0.10/Albuml/Vacances/photo99.jpg
[0113]在发送初始请求的步骤202中，中继服务器SVR(例如，在http报头中或在此初始请求的URL中)将地址@TCl_pub传送到委托代理ARP。 [0114]在步骤203中，在接收到来自中继服务器SVR的此初始请求时，委托代理ARP动态地创建第一临时过滤规则，该第一临时过滤规则具有短有效期，要由网关GW2的过滤模块MFR应用，意在将进入到网络RS2中的任何随后数据分组临时地路由到委托代理ARP，所述任何随后数据分组来自地址@TCl_pub来到网关GW2的公共地址@GW2_pub并且处于给定通信端口 nGW2_pub (例如，通信端口 80)上，而不管该分组的源通信端口是什么。将此第一过滤规则添加到由过滤模块MFR管理并应用的过滤规则的集合。
[0115]第一过滤规则也称为第一级别规则，原因在于将在已知为第二级别规则的任何其他规则之前应用它，如将进一步描述的。
[0116]由网关GWl使用用于客户机终端TCl的通信的源通信端口很可能(根据一个或多个实体，经由所述实体来路由这些通信；或者在对请求进行重定向的情况下)改变:此端口的改变甚至具有被推荐/标准的特性，并且它阻止在客户机终端TCl的网关GWl第一次直接寻址网关GW2时、该网关GWl将使用的源端口的、委托代理ARP级别处的先验知识。结果，为了考虑网关GWl随后用于客户机终端TCl的通信所能够使用的任何通信端口，第一过滤规则不在用于要过滤/路由的分组的源通信端口上施加任何条件。
[0117]应该注意的是，在此第一规则中使用的通信端口是唯一的，被分派的，并因此对于来自给定源地址的不同分组是共同的。它使得可能设立基于分组的源地址的验证方法，而与随后分组所使用的通信端口无关。
[0118]在下面的表格中示出了此第一过滤规则。最后一列指定了当分组检验在其他列中指定的条件时要执行的一个或多个动作。
[0119]
源地址源端口目的地址目的端口协议 (多个)动作
@GWl_pub *@GW2_pub 80HTTP 路由到 RP 代

理

限制为N秒的
_____有效期_
[0120]“源端口 ”列中的星号(“*”)指明了，此规则没有在用于要过滤的分组的源通信端口上施加任何条件:不管通信端口是什么，如果检验了其他条件，则根据“动作”列所指定的内容，来将要过滤的分组路由到委托代理ARP。
[0121]此第一过滤规则是临时规则:必须在不迟于对于此第一规则所定义的有效期(N秒)的期满之前，将它移除。出于安全原因，此有效期非常短，其具有最多2到3秒的数量级，即，刚刚多于用于对初始请求进行重定向并且接收重定向后的请求(随后的步骤204到207)的必须时间。由此，可能限制欺诈尝试使用地址@TCl_pub作为源地址来进入网络RS2，即并非来自客户机终端TCl的尝试。
[0122]实际上在此阶段，还授权除了客户机终端TCl之外的任何客户机终端(例如，TC2)向网关GW2发布业务。因此重要的是，在接下来的步骤中，能够基于其源地址来验证客户机终端TC1，以便将来自被授权的终端(TCl)的请求与来自另一终端(TC2)的请求进行区别。
[0123]在步骤204中，一旦过滤模块MFR创建并激活了第一过滤规则，委托代理ARP就准备对于在步骤202中经由中继服务器SVR所接收到的初始请求的答复。
[0124]此初始请求包括URL，用于标识和定位内容服务器SVC2上的内容。此URL具有以下形式:
[0125]http://192.168.0.10/Albuml/Vacances/photo99.jpg
[0126]因此，此URL对于委托代理ARP是已知的，并且将被此代理按照以下方式来进行修改。
[0127]委托代理ARP按照字母数字序列的形式来生成临时验证令牌，其用于对初始请求的发布者进行验证。将此验证令牌插入到初始请求中，然后对如此修改的请求进行重定向，使得客户机终端TCl重新发布此修改后的请求，而没有经过中继服务器SVR。
[0128]根据从以下数据之中选择的数据，通过数字哈希(hash)函数来生成该验证令牌，该数字哈希函数被认为是鲁棒的，并且是本领域技术人员所已知的(例如，MD5、RIPE、MD160等类型的哈希算法):
[0129]-用于初始请求的源地址；
[0130]-用于初始请求的目的地址或网关GW2的公共地址；
[0131]-用于内容的标识。
[0132]此验证令牌具有以下属性:
[0133]-它必须是不可伪造的(客户机终端TCl必须不能“碰巧地”生成这种的令牌)；
[0134]-只有网关GW2的委托代理ARP能够(按照哈希算法，使用专用于此委托代理ARP的并且仅仅此委托代理已知的加密密钥)生成这种令牌
[0135]-它是一次性的；
[0136]-它专用于所需要的内容，例如根据用于该内容的标识(URL或其他标识符)而生成:因而，令牌仅仅对于给定内容是有效的；
[0137]-它专用于源地址:因而，令牌仅仅对于给定源地址是有效的；
[0138]-它具有有限的有效期，其例如具有几秒的数量级。
[0139]可以对验证令牌的语义施加其他安全属性，而不丧失用于本发明的一般性。
[0140]验证令牌的不例:hf3ffaba5be643ea0
[0141]将此验证令牌插入到或附加到对于委托代理ARP所生成的初始请求的答复。一旦生成了此答复，就优选地将没有假定内容服务器SVC2上或客户机终端TCl上的任何特定实现方式的机制用于处理如此生成的答复。
[0142]适于插入验证令牌的一个这种通用机制的示例是将它作为“GET”参数而插入到初始URL，如此修改的URL被用于形成对于该初始请求的答复。
[0143]利用验证令牌所修改的URL的示例:
[0144]http://192.1 6 8.0.10/Albuml/Vacances/photo99.jpg&ieton=f3ffaba5be643ea0
[0145]另外，将对该初始请求进行重定向。为了实现此重定向，反向委托代理对所生成的答复执行附加修改:添加指示出必须重新发布该初始请求的重定向代码，并且修改此初始请求，使得在其重新发布时，将它定向到网关GW2的公共地址@GW2_pub，并且定向到网关GW2的通信端口 nGW2_pub，在第一过滤规则中选择该端口作为对于随后请求所授权的目的
通信端口。
[0146]当根据http协议来发布初始请求并且该初始请求包括目标URL时，对此URL进行修改，使得它包含网关GW2的公共地址GW2_pub和网关GW2的通信端口 nGW2_pub，并且使得它将网关GW2指定为能够从其获得内容Cl的实体。
[0147]例如，如果公共地址@GW2_pub是“193.210.3.5”并且通信端口 nGW2_pub是端口80，则修改后的URL将具有以下形式:
[0148]http: //193.210.3.5:80/192.168.0.10/Albuml/ Vacances/photo99.jpg&ieton=f3ffaba5be643ea0
[0149]注意:这里没有描述在URL中对字符串进行替代的可能机制，但是可以根据需要来使用该机制，其意在对内容服务器SCV2的私有地址(这里，“192.168.0.10”)和/或到内容的访问路径(这里，“/Albuml/Vacances/photo99.jpg”)进行掩蔽。
[0150]在步骤205中，向中继服务器SVR发送对于初始请求的答复，其包括如上所述的修改后的URL，具体地包括验证令牌和重定向代码，然后，该中继服务器SVR将它传送到客户机终端TC I。
[0151]在步骤206中，在接收到对于初始请求的答复以后，客户机终端TCl根据在所接收到的答复中包括的修改后的URL来生成第二 http请求。客户机终端TCl借助于网关GWl来生成此第二请求:它具有@TCl_pub作为源地址，并且具有通信端口 nTCl_pub作为源通信端口，根据IETF所公布的规范文档RFC2616，其必须专用于此第二请求，并因而先验地独立于用于初始请求的源通信端口。
[0152]由源地址@TCl_pub和通信端口 nTCl_pub构成的对不但代表客户机终端TCl，而且代表发布此第二请求的此终端的客户机应用，原因在于网关GWl已经将此通信端口分派到此客户机应用，以用于进入到与内容服务器SVC2的通信中。
[0153]在此阶段，通信端口 nTCl_pub对于网关GW2而言是先验未知的，并且无法被此网关GW2通过任何机制而探知。
[0154]因而，将包括验证令牌和修改后的URL的第二请求发布到网关GW2的公共地址@GW2_pub和此网关GW2的通信端口 nGW2_pub，而无需经过中继服务器SVR。
[0155]在步骤207中，当第二 http请求达到网关GW2处时，它具有@TCl_pub作为源地址，并且根据第一过滤规则，它被过滤模块MFR路由到委托代理ARP。
[0156]在步骤208中，委托代理ARP然后该在第二请求中(在此实例中，在包含于此第二请求的URL中)查找验证令牌的存在。如果委托代理ARP找到验证令牌，则它对该验证令牌进行提取，并且检验其有效性。
[0157]此检验包括以下步骤中的至少一个:
[0158]-确定用于该验证令牌的有效期是否已经期满:在此情况下，认为该验证令牌是无效的；[0159]-确定该验证令牌是否已经存在/使用于在此第二请求以前接收到的至少一个其他请求中:在此情况下，认为该验证令牌是无效的(一次性的令牌);
[0160]-确定是否已经利用专用于委托代理ARP的加密密钥来生成验证令牌:在此情况下，认为该验证令牌是有效的，并且确保它是委托代理ARP已经接收的请求；
[0161]-确定该验证令牌是否对应于第二请求的源地址和/或对于其发布此第二请求的内容，即它是否形成用于此源地址和/或用于该内容的URL的精确哈希:在此情况下，认为该验证令牌是有效的，并且通过其存在来确保第二请求的源和/或内容与初始请求的源和/或内容是一致的。
[0162]在步骤209中，如果令牌不存在或无效，则委托代理ARP忽略该第二请求，并且不将它传送到RS2网络中的目的实体。如果相反地，令牌是有效的，则反向代理从过滤模块MFR所管理的过滤规则集合中移除第一过滤规则，除非由于其有效期期满而已经将它移除。如果验证令牌是有效的，则执行以下步骤210-214。
[0163]在步骤210中，委托代理ARP例如通过从此第二请求的报头中提取用于第二请求的源通信端口来获得该源通信端口。
[0164]在步骤211中，委托代理ARP创建同样为临时性的第二过滤规则，然后将此规则添加到过滤模块MFR应用的过滤规则的集合。
[0165]此第二过滤规则也称为第二级别规则，原因在于意欲在已知为第一级别规则的另一规则之后应用它。
[0166]如果用于分组的源实体与用于此第二请求的源实体是一致的(在此实例中，如果用于此分组的源地址和源通信端口与用于此第二请求的源地址@TCl_pub和源通信端口nTCl_pub是一致的)，则此`第二过滤规则授权将该分组路由到用于此分组的目的实体。
[0167]
【权利要求】
1.一种用于对分组进行过滤的处理，该处理由过滤装置(GW2)来实现，该过滤装置(GW2)包括过滤部件(MF)，用于通过应用至少一个过滤规则的集合来确定分组是否被授权以路由到目的实体，该处理包括: -检验用于源实体的验证令牌的有效性的步骤(208)，该验证令牌已经被插入到所述过滤装置所接收到的请求中，并且当所述验证令牌是有效的时: -向所述集合添加(211)过滤规则的步骤，该过滤规则已知为第二级别过滤规则，如果用于至少一个分组的源实体与用于所述请求的源实体一致，则该过滤规则授权将该分组路由到目的实体； -向所述过滤部件发送(212)该请求的步骤。
2.根据权利要求1的处理，包括: -在接收到不包括验证令牌的初始请求以后生成验证令牌的步骤， -通过将所生成的验证令牌插入到该初始请求中来修改该初始请求的步骤， -对修改后的初始请求进行重定向、使得重新发布修改后的初始请求的步骤。
3.根据权利要求2的处理，还包括:在接收到该初始请求之后、向所述集合添加过滤规则的步骤，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由预定通信端口接收到的至少一个分组路由到用于检验在请求中包含的验证令牌的有效性的部件(RP)， 在重定向到预定通信端口的步骤中，对修改后的初始请求进行重定向。
4.根据权利要求1的处理，包括:在对与所述请求相关的最后分组进行路由之后、从所述集合中移除(215)该第二级别过滤规则的步骤。
5.根据权利要求1的处理，其中，该检验步骤包括以下步骤中的至少一个: -确定用于该验证令牌的有效期是否已经期满； -确定该验证令牌是否已经使用于在所述请求以前接收到的至少一个其他请求中； -确定该验证令牌是否对应于所述请求的源地址； -确定该验证令牌是否对应于对于其发布所述请求的内容； -确定是否已经利用专用于所述装置的加密密钥来生成该验证令牌。
6.根据权利要求1的处理，其中，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于所述至少一个分组，源地址和源通信端口与用于所述请求的源地址和源通信端口分别一致。
7.根据权利要求1的处理，其中，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于所述至少一个分组，源通信端口与用于所述请求的源通信端口一致，并且对于所述至少一个分组，源地址被包括在包含用于所述请求的源地址的地址范围中。
8.根据权利要求1的处理，还包括: -在借助于受信任的实体而接收到不包括验证令牌的初始请求之后生成验证令牌的步骤， -通过将所述验证令牌插入到初始请求中来修改该初始请求的步骤， -对修改后的初始请求进行重定向、使得在没有经过该受信任实体的情况下重新发布修改后的初始请求的步骤。
9.根据权利要求2或8的处理，还包括:在接收到该初始请求之后、向所述集合添加过滤规则的步骤，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由所述装置的预定通信端口接收到的至少一个分组路由到用于检验在请求中包含的验证令牌的有效性的部件(RP)，对于所述至少一个分组，源地址与用于该初始请求的源地址一致，而不管用于随后请求的源通信端口是什么， 在重定向到预定通信端口的步骤中，对修改后的初始请求进行重定向。
10.根据权利要求3或9的处理，包括:在接收到包括所述验证令牌的请求之后或在用于所述第一级别过滤规则的有效期期满之后、移除该第一级别过滤规则的步骤。
11.根据权利要求10的处理，在该检验步骤以前，通过应用包括该第一级别过滤规则的所述集合来对该过滤部件(MF)所接收到的所述请求进行过滤的步骤。
12.一种用于对分组进行过滤的系统(GW2)，包括: -过滤部件(MF)，用于通过应用至少一个过滤规则的集合，来确定分组是否被授权以路由到目的实体； -用于检验在所述过滤系统所接收到的请求中包括的验证令牌的有效性的部件(RP)， -用于在接收到初始请求之后、向所述集合添加过滤规则的部件(RP)，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由所述装置的预定通信端口接收到的至少一个分组路由到用于检验的所述部件(RP)，对于所述至少一个分组，源地址与用于该初始请求的源地址一致，而不管用于随后请求的源通信端口是什么， -用于将包括有效验证令牌的随后请求路由到用于该随后请求的目的实体的部件(RP)0
13.根据权利要求12的过滤系统(GW2)，该路由部件包括: -用于当所述验证令牌是有效的时、向所述集合添加(211)过滤规则的部件(RP )，该过滤规则已知为第二级别过滤规则，如果用于分组的源实体与用于所述请求的源实体一致，则该过滤规则授权将该分组路由到目的实体； -用于向该过滤部件(MF)发送(212)该随后请求的部件(RP)。
14.根据权利要求13的过滤系统(GW2)，包括: -用于在借助于受信任的实体而接收到初始请求之后、生成验证令牌的部件， -通过将所述验证令牌插入到初始请求中来修改该初始请求的步骤， -对修改后的初始请求进行重定向、使得在没有经过所述受信任实体的情况下重新发布修改后的初始请求的步骤。
15.一种网关，包括根据权利要求12到14中任一项的过滤系统(GW2)。
【文档编号】H04L12/22GK103563301SQ201280024940
【公开日】2014年2月5日 申请日期:2012年3月30日 优先权日:2011年3月31日
【发明者】R.卡布, R.巴斯 申请人:奥林奇公司