专利名称:应用级网关和防火墙规则集下载验证的制作方法
技术领域:
本发明涉及双向通信设备领域。更具体地说,本发明涉及为双向通信设备升级应用级网关和防火墙规则集。
背景技术:
目前,可升级产品领域在宽带市场中变得越来越普遍。诸如电缆调制解调器和其他双向通信设备的设备可具有在客户的家或办公室中远程下载给它们的应用级网关(ALG)和/或防火墙规则集。下载包含该ALG和/或防火墙规则集的文件使设备处于下载不正确文件版本、受损文件、非授权文件、太大的文件、与设备硬件和/或软件不兼容等等的较高危险当中。
下载不兼容或受损ALG文件到电缆调制解调器可使电缆调制解调器挂断或崩溃。一旦电缆调制解调器挂断或崩溃,则电缆调制解调器变得不可工作,并且典型地需要示例性地向多系统运营者(MSO)服务代表等拨打服务电话以修复电缆调制解调器。
因此,需要验证正被下载到双向通信设备如电缆调制解调器的适当应用级网关文件或防火墙规则集文件。
发明内容
通过本发明的一种用于验证应用级网关(ALG)文件或防火墙规则集的设备和方法,克服了迄今为止与现有技术相关联的缺点。该方法和设备包括从服务提供者接收ALG文件,并且验证ALG文件的至少一个兼容性参数与接收该ALG文件的双向通信设备的特征。在所有兼容性参数都得到验证的情况下,在双向通信设备存储ALG文件。
通过考虑下面结合附图的详细描述,本发明的讲授将会变得容易理解,其中图1示出利用本发明示例性实施例的电缆通信系统的高级方框图;图2示出根据本发明原理的示例性应用级网关(ALG)文件的方框图;以及图3示出根据本发明原理的用于验证升级ALG文件的方法的流程图;为了帮助理解本发明,在可能的情况下使用了相同标号,以指定各附图共有的相同单元。
具体实施例方式
本发明包括一种在双向通信环境中工作的双向通信设备(BCD)以及用于将应用级网关(ALG)文件或防火墙规则集下载到BCD的方法。为了简洁和更好理解本发明起见,本发明是按照电缆通信分布式系统来示例性讨论的。然而,本发明的原理也适用于其他双向通信环境,如卫星通信系统、ADSL、DSL、拨号、无线系统或任何其他能够向多个订户设备提供双向通信(例如,数据、多媒体内容和其他信息)的双向通信环境。
在一个实施例中,该双向通信设备是CableLabs Certified CableModemTM兼容电缆调制解调器,其可用来提供部署基于DOCSIS的产品如电缆调制解调器的有线电视系统运营者(和因特网服务提供者(ISP))与多个订户设备如个人计算机等之间的双向通信。CableLabs Certified CableModemTM(以前称作DOCSIS(电缆数据服务接口规范))由建立了指定调制方案和用于在电缆上交换双向信号的协议的规范的主导CATV运营者资助。在此将各个版本的DOCSIS全文引作参考。
图1示出可利用本发明示例性实施例的电缆调制解调器通信系统100的方框图。双向通信系统(例如,电缆调制解调器系统)100包括多个系统运营者(MSO,即电缆传输运营者)110与多个订户楼内设备170,其中订户楼内设备170通过接入网络108耦接到服务提供者110。
订户楼内设备170包括分别耦接到多个双向通信设备(例如,电缆调制解调器)1301到130N(统称作电缆调制解调器130)的多个用户设备1721到172N(统称作用户设备172),其中图1仅示出了一个电缆调制解调器130。用户设备172可以是任何类型的能够处理数字化流包括音频、视频和/或数据的设备,如个人计算机(PC)、膝上型计算机、电视机、手持设备或者任何其他能够发送和/或接收数据的设备。每个用户设备170通过电缆调制解调器130耦接到接入网络108,电缆调制解调器130通过本地有线电视提供者(即MSO 110)将用户设备172连接到IP网络102(例如,因特网)。
应当注意,在图1中,多个用户设备172示例性地被示出为通过集线器174耦接到单个电缆调制解调器130。然而,本领域的技术人员应当理解,每个用户设备172可以可选地耦接到各自的电缆调制解调器,或者以任何配置进行编组,以在用户设备172和MSO 110之间提供双向通信。
电缆调制解调器130允许订户以比电话拨号调制解调器快得多的速度从服务提供者110下载信息。例如,与电话调制解调器的每秒56千位相比,电缆调制解调器130可以以每秒三兆位或三兆位以上的速率提供连接。一种示例性地用于系统100中的电缆调制解调器是由Thomson Inc.,Indianapolis,IN制造的DCM305型号。应当注意,在系统100中也可以实现由其他制造商提供的DOCSIS兼容电缆调制解调器(和调制解调器功能性)。
服务提供者110可以是任何能够提供低速、中速和/或高速数据传输、多条语音信道、视频信道等的实体。具体地说,采用诸如各种广播格式(例如,数字广播卫星(DBS))、电缆传输系统(例如,高清晰度电视(HDTV))、数字视频广播((DVB-C)(即,欧洲数字电缆传输标准))等的格式由服务提供者110通过射频(RF)载波信号传输数据。服务提供者110在电缆传输网络108上提供数据。
服务提供者110典型地包括多个头端112(图1仅示出一个头端),其被部署在各个地理区域内以对位于该区域内的订户提供连接、服务和支持。例如,一个或多个头端112可以位于大订户基地如城市(例如,San Francisco,CA)的附近。其他头端110可以根据需要由MSO 110提供以支持其他城市或局部区域。
每个头端112包括至少一个终端系统(例如,电缆调制解调器终端系统(CMTS))114、文件服务器116、以及其他支持服务器118如动态主机配置协议(DHCP)服务器、小文件传输协议(TFTP)服务器、因特网时间协议(ITP)服务器、万维网高速缓存服务器、MSO或ISP内容递送系统等。
文件服务器116提供可以将诸如可下载应用级网关(ALG)文件或防火墙规则集的文件从MSO 110传输到电缆调制解调器130的手段。具体地说,文件服务器116耦接到ALG数据库120,其存储与各种协议和设备如电缆调制解调器130有关的多个ALG文件。如下面关于图3的方法300所述,文件服务器116根据需要从ALG文件数据库120检索特定ALG文件,并且将该文件发送到双向设备130。
其他支持服务器118用来在电缆调制解调器初始化期间建立电缆调制解调器130与IP网络102之间的连接。具体地说,每当电缆调制解调器130初始化时,其他支持服务器118将配置文件以及当前日期和时间递送到电缆调制解调器130。此外,其他服务器118如万维网高速缓存服务器、MSO或ISP内容递送服务器等提供区域化万维网内容、冗余连接性等。而且,DHCP服务器集中管理IP地址并且将其自动分配给耦接到IP网络102的主机设备(即电缆调制解调器)。例如,当在系统100中添加、更换或移动电缆调制解调器130时,DHCP服务器为那个电缆调制解调器130自动分配新IP地址。
CMTS 114在电缆网络100上与电缆调制解调器130交换数字信号。位于每个头端112的CMTS 114的数量取决于在特定地理区域内被服务的订户数。单个CMTS 114典型地为多达大约8000个电缆调制解调器130提供连接。在地理区域具有多于8000个订户的情况下,根据需要向头端112提供附加CMTS 114。
数据服务(例如,多媒体内容)和ALG升级文件经由耦接到电缆调制解调器130的传输介质(例如,按照北美或欧洲DOCSIS标准规定的传统双向混合型光纤-同轴电缆(HFC)网络)在接入网络108上通过RF路径(即信道)被递送到电缆调制解调器130。应当注意,电缆调制解调器130可以外部或内部安装到订户计算机或电视机172,并且通过由电缆调制解调器130和计算机或电视机支持的局域连网介质(例如,以太网、通用串行接口(USB)、802.11b无线、家庭电话线连网联盟(HPNA))连接。
一个信道用于从CMTS 114到电缆调制解调器130的下行信号,而另一个信道用于从电缆调制解调器130到CMTS 114的上行信号。当CMTS 114从电缆调制解调器130接收到上行信号时,CMTS 114将这些信号处理成因特网协议(IP)分组,这些分组在IP网络102上经过路由选择被传送到特定目的地(例如,具有期望内容的服务器或网站)。当CMTS 114发送下行信号到电缆调制解调器130时,CMTS 114对下行信号进行调制以跨越接入网络108传输到电缆调制解调器130。电缆调制解调器130将调制信号转换成基带信号以由用户设备172处理。
示例性电缆调制解调器130用来将来自服务提供者110的下行宽带数据信号提供给数据通信系统100的用户设备172。另外,示例性电缆调制解调器130用来将来自示例性用户设备172的上行基带数据信号回传给服务提供者110。
电缆调制解调器130包括处理器132、支持电路134、I/O电路142、诸如EEPROM 138和闪存140的存储装置、以及易失性存储器136。处理器132可以是包括调制器和解调器(未示出)的电缆调制解调器处理器,如由Broadcom Inc.,Irvine,CA制造的单芯片BCM 3345装置。
EEPROM和闪存138和140是用来永久性地存储应用程序文件、数据文件和示例性地可由处理器132执行的其他程序代码的非易失性存储器装置。例如,防火墙、多个应用级网关文件和用于验证应用级网关文件的例程全都可以永久性地存储在EEPROM 138和/或闪存140中。
易失性存储器136可以是随机存取存储器(RAM),其在工作期间用来存储非易失性存储器138和140中所存储的程序的全部或部分以进行快速检索和执行。如图1所示,防火墙程序150、多个应用级网关文件152(例如,文件ALG-0到ALG-m和例程300,其用于验证应用级网关文件152的升级(下面将结合图3对此进行更详细的讨论))被示出为存储在易失性存储器136中。可存储在存储器136中的其他程序典型地包括进程堆栈、堆、暂时数据如鉴别中的ALG和防火墙规则集、从闪存拷贝的执行应用程序、启动常量数据、内核和应用程序代码以及其他数据(未示出)。
处理器132与传统支持电路134如电源、时钟电路、高速缓冲存储器等以及协助执行存储在存储器136中的软件例程的电路协作。因而,可以考虑,在此作为软件过程而讨论的一些过程步骤可以在例如作为与处理器132协作的电路的硬件内实现以执行各步骤。电缆调制解调器130还包括输入/输出(I/O)电路142,其形成与用户设备172通信的各个功能单元的接口。电缆调制解调器130与用户设备172之间的物理层可以示例性地包括以太网、同轴电缆、FDDI、ISDN、ATM、ADSL、CAT 1-5电缆传输、USB、HomePNA、无线数据链路(例如,802.11或蓝牙标准无线链路)、电力线载波等等。
此外,电缆调制解调器130包括信号处理电路144,其进一步包括下行处理电路146和上行处理电路148。信号处理电路144耦接到处理器132和接口143,其中接口143耦接到接入网络108。
在工作中,CMTS 114将数字数据转换成调制RF信号,并且通过HFC传输(接入)网络108将这些下行调制信号提供给电缆调制解调器130,其中对RF信号进行接收、调谐和滤波而变至预定中频(IF)信号。然后,将1F信号解调成一个或多个相应的基带信号,以及在不同情况下示例性地将其处理成数据分组。这些数据分组示例性地通过电缆传输(例如,以太网、通用串行总线(USB)、同轴电缆等)175被进一步传输到用户设备172。
类似地,用户设备172的用户可通过电缆传输175发送数据信号到电缆调制解调器130。电缆调制解调器130从用户设备172接收数据信号,然后将这些数据信号调制和上转换到RF载波上以通过电缆传输网络108上行传输回到服务提供者110。
下行处理电路146典型地包括各个组件如调谐器、滤波器、解调器、控制器和其他下行处理电路如也用于上行处理的介质访问控制器(MAC)。典型地,下行信号是频率范围为近似91MHz到860MHz的64QAM或256QAM信号。下行处理电路146响应由控制器提供的选择信号而选择性地调谐、解调以及在不同情况下“接收”来自CMTS 114的多个下行数据信号至少之一。高通滤波器(HPF)将所有下行数据信号传递给调谐器,其将所接收的来自HPF的下行RF信号下转换成预定IF频率信号。IF信号由解调器电路解调以提供一个或多个相应的数字基带信号。数字基带信号被发送到介质访问控制器(MAC),其中在控制器的管理下,所接收的信号(例如,MPEG分组)被去除封装,并且形成位流以随后传输到用户设备172。
在传输到用户设备172之前,将分组发送到内部TCP/IP栈或防火墙程序150以作检查,下面将对此作更详细的讨论。一旦分组被认为遵循防火墙程序规则,则MAC控制器和其他数字电路就可以进一步处理分组化数据(例如,根据需要附连或封装在适当的传输分组中),然后将经过处理的分组化数据分发到用户设备172(或其他信息设备)。具体地说,MAC发送分组化位流到控制器,其中对数据进行处理(例如,格式化)以与用户设备172接口。控制器(通过电缆传输)将经过格式化的分组化位流传输到用户设备172以作进一步的处理(例如,数据的提取和上转换)。
上行处理电路148典型地包括各个组件如上行物理层单元、上行介质访问控制器、调制器、低通滤波器和其他上行处理电路(放大器、电压调节器等)。电缆调制解调器130从用户设备172接收信号(例如,数据信号)以随后传输到服务提供者110。具体地说,用户通过电缆调制解调器130发送数据、数据请求或某其他用户请求到服务提供者110。电缆调制解调器130接收用户请求,其中MAC和上行处理电路格式化、封装和上转换这些信号(例如,5MHz到54MHz频率范围)以便传输。调制器对沿着上行信号路径传输到CMTS 114的上转换信号进行调制(例如,QPSK或16QAM)。
防火墙程序150能够检查和过滤从始发源节点(例如,WAN上的文件服务器)发送到目的节点(例如,LAN上的本地计算机)的数据分组(例如,IP数据分组)。具体地说,防火墙程序150包括一组保护私有网络的资源不被来自其他网络的用户访问的相关程序。防火墙程序150检查一些或全部网络分组以确定是否转发分组到其目的地。也就是,防火墙程序150在网络级工作。如果分组配置不违反指定规则,才允许数据通过包含防火墙程序150的通信设备130。
防火墙程序规则例如由LAN管理员(也可以使用缺省规则)、例如在服务提供者110处建立。这些规则反映机构的策略考虑,以通过禁止不需要的数据进入机构的局域网/广域网(LAN/WAN)来提供安全性。例如,机构可决定特定因特网网站不应当被机构雇员查看,或者一些雇员应当被禁止任何因特网访问。在一个实施例中,防火墙规则在应用级网关文件如图2所示的示例性ALG文件中定义。因而,这些规则包括限制一些或全部超文本传输协议(HTTP)的编程。附加规则包括限制可被认为对于LAN和最终用户有害的数据分组,如蠕虫以及试图潜入LAN的未授权者(即“黑客”)。
ALG文件存储在耦接到TCP/IP文件服务器116的数据库120中,其位于服务提供者110处。当系统管理员更新ALG文件时,电缆调制解调器130也将需要文件更新。在一个实施例中,可以由在接入网络108上请求下载的用户将ALG文件提供给电缆调制解调器130。在第二实施例中,防火墙150可以周期性地轮询ALG数据库以识别位于服务提供者110处的升级文件。可选地,MSO 110可以命令电缆调制解调器130通过诸如简单网络管理协议(SNMP)的协议获得新防火墙规则集或ALG数据。一旦识别出升级ALG文件,服务提供者110就自动检索升级文件并将其发送到电缆调制解调器130。在第三实施例中,升级ALG文件可以存储在非易失性存储装置如CD-ROM、盘驱动器、软驱等上,其中用户可以通过其用户设备172将新和/或升级ALG文件上载到其电缆调制解调器130。
图2示出本发明的示例性应用级网关(ALG)文件200的方框图。ALG文件200包括ALG主体202(有效载荷)和首标210。ALG文件200包括防火墙程序150执行以便确定如何处理特定协议的可执行代码。也就是,ALG主体202包含协议专用的编程代码。例如,一个ALG文件200可以包括允许通过利用http协议的信息的代码,而第二ALG文件200包含专用于阻止利用FTP(文件传输协议)的数据的可执行编程代码。其他ALG文件200可以用来控制其他类型协议如TFTP、SNMP、RLOGIN等的通信流量。
ALG首标210包括诸如首标格式版本216、首标大小218、期望首标CRC220、有效载荷认证签名222、有效荷载大小224、期望有效荷载CRC 226、兼容硬件和软件版本系列228和230以及其他首标数据212如压缩参数、版权标记和/或创建有效载荷的日期/时间等等的首标数据字段。在本发明的一个实施例中,很多这些ALG首标210组成部分可以用作ALG文件有效性字段214,其由电缆调制解调器130用来确定由电缆调制解调器130接收的升级或新ALG文件200在传输期间是否受损以及是否与电缆调制解调器硬件和软件兼容。虽然图2是按照ALG文件200来讨论的,但是本发明的ALG文件不应被认为是起限制作用。例如,可以将类似的首标210附加到包括防火墙规则的文件。
具体地说,有效性字段214包括首标格式版本字段216、首标大小218、首标期望CRC(循环冗余校验)220、ALG认证签名222、ALG主体大小字段224、ALG主体期望CRC 226、兼容硬件版本系列字段228以及兼容软件版本系列字段230。每个有效性字段214由电缆调制解调器130使用下面关于图3所述的方法300来检查。
首标格式版本字段216提供关于首标210中数据字段的次序和长度的信息。具体地说,首标格式版本字段216包括对应于已知格式的预定数字。该预定数字将典型地以一(1)开始,并且每当在首标中添加字段、改变长度或重新排列字段时递增。首标格式版本字段216防止被不熟悉新格式的软件误解释。在一个实施例中,首标格式版本字段216的长度可以为1字节到4字节,并且在一个特定实施例中,其长度为2字节。首标大小字段218标识首标214的大小。在一个实施例中,首标大小字段218的长度可以为1字节到4字节,并且在那个实施例的一个特定子集中其长度为2字节。首标期望CRC字段220标识附加到首标210并且用于检测首标210中的错误(丢失数据)的16或32位多项式。
ALG认证签名字段222提供关于生成了可信防火墙规则集或ALG的源(例如,公司、第三方实体等)的加密认证的信息。在一个实施例中,ALG认证签名字段222的长度可以为1字节到1024字节,并且在那个实施例的一个特定子集中,其长度为128字节。ALG主体大小字段224标识ALG主体202的大小。在一个实施例中,ALG主体大小字段224的长度可以为1字节到4字节,并且在那个实施例的一个特定子集中,其长度为4字节。应当注意,ALG主体大小字段224涉及首标中大小字段的长度。实际ALG或规则集数据文件典型地为大约数千字节。ALG主体期望CRC字段220标识附加到首标210并且用于检测ALG主体202中的错误(丢失数据)的16或32位多项式。
兼容硬件版本字段228提供关于此文件将在没有预期望问题的情况下执行(ALG)或工作(规则集)的硬件版本集的信息。在一个实施例中,兼容硬件版本字段228的长度可以为1字节到8字节,并且在那个实施例的一个特定子集中,其长度为4字节。兼容软件版本字段230提供关于此文件将在没有预期问题的情况下执行(ALG)或工作(规则集)的应用软件版本集的信息。在一个实施例中,兼容软件版本字段230的长度可以为1字节到8字节,并且在那个实施例的一个特定子集中,其长度为4字节。应当注意,每个上述字段的示例性大小不应被认为是起限制作用,并且这些字段可以是适于以高效方式提供所需信息的任何长度(例如,带宽考虑)。还应当注意,可以将相同类型的首标添加到防火墙规则集,以应用相同的鉴别算法。
图3示出根据本发明原理的用于验证新或升级的ALG文件200(或防火墙规则集)的方法300的流程图。当将新或升级的ALG文件200存储在电缆调制解调器130的存储器中以由其中的防火墙150执行时,可以利用方法300。方法300包括检查各个参数以查找兼容性问题和文件传输期间的数据丢失。应当注意,图3所示的用于验证各个参数的参数类型和特定次序只是示例性的,并且不应被解释为起限制作用。
具体地说,方法300在步骤302开始,并且进入步骤304,其中将ALG文件200发送到电缆调制解调器130,并且在易失性存储器136中进行缓冲。在一个实施例中,防火墙程序150周期性地轮询位于服务提供者110处的中央位置(即,ALG数据库120)以查找新或升级的ALG文件200。然后,根据需要从位于头端112处的TCP/IP文件服务器116下载新或升级的ALG文件200。
在第二实施例中,从服务提供者110将配置文件下载到电缆调制解调器130。配置文件提供用来建立受管理连接的双向网络策略信息。电缆调制解调器应用程序(例如,防火墙150)检查配置文件,并且确定是否下载ALG文件200。如果执行该鉴别算法的防火墙150确定ALG文件200适合于电缆调制解调器130,则防火墙150发送请求到文件服务器116以发送ALG文件200。然后,文件服务器116通过接入网络108将ALG文件下载到电缆调制解调器130。
在第三实施例中,由用户设备172上的用户将ALG文件200装载到电缆调制解调器130中。在此情况下,ALG文件200存储在非易失性介质如软盘、CD-ROM、盘驱动器等上。因而,方法300的步骤304包括上述三个实施例中的任一个。然后,方法300进入步骤306。
在步骤306,检查所接收ALG文件200的首标210中的首标格式版本字段216。如果在步骤308,首标格式版本是未知的,则方法300进入步骤350,其中拒绝ALG文件200。也就是,ALG文件200不被存储在非易失性存储器138和/或140中或者由防火墙程序150使用,并且在步骤399,方法300结束。如果在步骤308首标格式版本是已知的,则方法300进入步骤310。
在步骤310,检查所接收ALG文件200的首标210中的ALG首标大小字段216和ALG主体大小字段224。如果在步骤312,ALG文件200超过非易失性存储器136的容量,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤312,ALG文件200不超过非易失性存储器136的容量,则方法300进入步骤314。
在步骤314,检查所接收ALG文件200的首标210中的期望首标CRC字段220。在步骤316,以使电缆调制解调器130对数据(首标210)应用相同多项式的方式计算首标210的CRC,并且将结果与由服务提供者110附加的CRC结果进行比较。如果在步骤318,计算出的CRC与所附加的首标CRC不匹配,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤318,计算出的CRC与所附加的首标CRC匹配,则方法300进入步骤320。
在步骤320,检查所接收ALG文件200的首标210中的期望主体CRC字段226。在步骤316,以使电缆调制解调器130对数据(ALG主体202)应用相同多项式的方式计算ALG主体202的CRC,并且将结果与由服务提供者110附加的CRC结果进行比较。如果在步骤324,计算出的CRC与所附加的主体CRC不匹配,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤324,计算出的CRC与所附加的主体CRC匹配,则方法300进入步骤326。
在步骤326,检查所接收ALG文件200的首标210中的ALG认证签名字段222。在步骤328,对签名执行认证操作。例如,可以通过采用安全散列算法-1(SHA-1)的Rivest Shamir Adelman(RSA)签名算法或者在本技术领域内公知的其他传统认证技术来提供认证。如果在步骤330,ALG文件200不来自得到认证的源,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤330,ALG文件200来自得到认证的源,则方法300进入步骤332。
在步骤332,检查所接收ALG文件200的首标210中的硬件版本系列字段228。如果在步骤334,ALG文件200与电缆调制解调器130的硬件版本不兼容,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤334,ALG文件200与电缆调制解调器130的硬件版本兼容,则方法300进入步骤336。
在步骤336,检查所接收ALG文件200的首标210中的软件版本家族字段230。如果在步骤338,ALG文件200与电缆调制解调器130的软件版本不兼容,则方法300进入步骤350,其中如上所述拒绝ALG文件200。如果在步骤338,ALG文件200与电缆调制解调器130的软件版本兼容,则方法300进入步骤340。
一旦ALG文件200已被检查兼容性问题和受损数据,则在步骤340,将ALG文件200装载到电缆调制解调器130的非易失性存储器136中,并且在步骤399,方法300结束。方法300提供了当接收ALG文件200或规则集的时候且在使用该接收到的文件或规则集之前验证ALG文件200或防火墙规则集的兼容性的例程。如果验证算法表示ALG文件或防火墙规则集与电缆调制解调器130的硬件或软件不兼容,则可以安全地拒绝所接收的文件或规则集。因而,大大降低由于实现不兼容ALG文件200或规则集而引起不可恢复的错误状态的危险。
虽然在此详细示出且描述了组成本发明教导的各个实施例,但是本领域的技术人员可以容易地设计出仍然结合本文的这些讲授的很多其他变化实施例。
权利要求
1.一种方法,包括在双向通信设备(130),接收(304)应用级网关(ALG)文件(200);比较(308、310、314、320、326、332、336)所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征;以及响应所述至少一个兼容性参数的有利比较,在所述双向通信设备存储(340)所述ALG文件。
2.如权利要求1所述的方法,还包括响应所述至少一个兼容性参数的不利比较,在所述双向通信设备拒绝(350)所述ALG文件。
3.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标格式版本(308)。
4.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的文件大小(310)。
5.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标CRC值(314)。
6.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的首标格式版本。
7.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的主体CRC值(320)。
8.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的认证签名(326)。
9.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的硬件系列版本(332)。
10.如权利要求1所述的方法,其中所述至少一个兼容性参数包括所述ALG文件的软件系列版本(336)。
11.如权利要求1所述的方法,其中所述双向通信设备包括电缆调制解调器(130)。
12.如权利要求1所述的方法,其中所述接收步骤包括周期性地轮询服务提供者(110)以确定是否至少一个新且更新的ALG文件可用;发送对可用ALG文件的请求;以及从接入网络接收所述被请求的ALG文件。
13.如权利要求1所述的方法,其中所述接收步骤包括从所述服务提供者接收配置文件,所述配置文件标识至少一个新且更新的ALG文件;发送对可用ALG文件的请求;以及从接入网络接收所述被请求的ALG文件。
14.如权利要求1所述的方法,其中防火墙程序(150)利用所述ALG文件控制数据通信量。
15.如权利要求1所述的方法,其中所述ALG文件(200)附加有首标部分(214),其包括从包括首标格式版本(216)、首标大小(218)、首标期望CRC(220)、认证签名(222)、主体大小(224)、主体期望CRC(226)、兼容硬件版本系列(228)和兼容软件版本系列(230)的组中选择的所述兼容性参数。
16.一种设备,包括用于在双向通信设备(130)接收应用级网关(ALG)文件(200)的装置;用于比较所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征的装置;以及用于响应所述至少一个兼容性参数的有利比较而在所述双向通信设备存储(136、140)所述ALG文件的装置。
17.如权利要求16所述的设备,还包括用于响应所述至少一个兼容性参数的不利比较而在所述双向通信设备拒绝所述ALG文件的装置。
18.如权利要求16所述的设备,其中所述双向通信设备包括电缆调制解调器(130)。
19.如权利要求16所述的设备,其中所述ALG文件附加有首标部分(214),其包括从包括首标格式版本(216)、首标大小(218)、首标期望CRC(220)、认证签名(222)、主体大小(224)、主体期望CRC(226)、兼容硬件版本系列(228)和兼容软件版本系列(230)的组中选择的所述兼容性参数。
全文摘要
用于验证应用级网关(ALG)文件或防火墙规则集(200)的方法(300)和设备(100)。该方法和设备包括在双向通信设备(130)接收(304)应用级网关(ALG)文件(200),并且比较(308、310、314、320、326、332、336)所述ALG文件的至少一个兼容性参数与所述双向通信设备的特征。在所有兼容性参数都有利比较的情况下,在双向通信设备存储(340)ALG文件。
文档编号H04L12/28GK1679263SQ03816516
公开日2005年10月5日 申请日期2003年7月3日 优先权日2002年7月11日
发明者约翰·A·热尔韦, 马克·R·迈耶尼克, 雷克斯·I·比尔德 申请人:汤姆森特许公司