[发明专利]用于在通信系统中控制对网络的访问的方法

说明书

技术领域

本发明涉及通信网络。特别地，本发明涉及一种用于在通信系统中控 制对网络的访问的方法。

背景技术

家庭器具和消费者电子设备被装备具有日益复杂的远程控制能力是近 期的趋势所在。家庭器具可以被装备具有网络接口以便经由本地网络提供 远程控制。例如，被连接到本地网络的个人计算机可以为广范围的家庭器 具提供单个控制点。也许有可能控制立体声、机顶盒和数字记录器。然而， 经由个人计算机来控制洗衣机、电冰箱、加热和安全系统也可能是可行的。 可以设想经由个人计算机来配置时间表，以便激活加热和解除激活安全警 报。能够经由移动计算机或终端(换言之，被连接到诸如因特网或广范围 的内联网这样的外部网络的移动节点)来控制家庭器具将是有益的。然而， 移动节点的地址可能取决于被用来连接到外部网络的当前子网而改变。

网络防火墙被用来控制对于专用的企业、组织或家庭网络的访问。防 火墙使得能够定义过滤规则，这些过滤规则根据源地址、目的地址、源端 口、目的端口和协议来管理对专用网的访问。可以基于过滤规则来允许或 者丢弃进入的分组和连接。然而，伴随现有防火墙的问题在于：防火墙可 能没有被配置具有所有这样的地址，即移动节点可以使用该地址来访问由 防火墙所保护的网络。这是由于以下事实：也许不可能预测被用来提供依 附点(a point of attachment)给移动节点的所有可能的子网。还应当注意， 对广范围地址的允许可能将专用网暴露于来自碰巧使用这些地址的恶意节 点的攻击。

发明内容

本发明涉及一种方法，其包括：向防火墙节点更新用于至少一个移动 节点的至少一个逻辑名称，所述至少一个移动节点被允许与第一网络中的 至少一个节点进行通信；从第二网络接收分组到所述防火墙节点，所述分 组被寻址于所述第一网络内的第一节点；从所述分组获得源地址；从数据 库节点获得与所述至少一个逻辑名称相关联的至少一个地址；检查所述源 地址是否属于所获得的所述至少一个地址；以及如果所述源地址属于所获 得的所述至少一个地址，则接纳所述分组到第一网络。

本发明还涉及一种系统，其包括：防火墙节点，所述防火墙节点被配 置以便：与第一网络和第二网络通信；存储用于至少一个移动节点的至少 一个逻辑名称，所述至少一个移动节点被允许与所述第一网络中的至少一 个节点进行通信；从所述第二网络接收分组，所述分组被寻址于所述第一 网络内的第一节点；从所述分组获得源地址；从数据库节点获得与所述至 少一个逻辑名称相关联的至少一个地址；检查所述源地址是否属于所获得 的所述至少一个地址；以及如果所述源地址属于所获得的所述至少一个地 址，则接纳所述分组到所述第一网络。

本发明还涉及一种网络节点，其包括：通信实体，所述通信实体被配 置以便与第一网络和第二网络通信以及从所述第二网络接收分组，所述分 组被寻址于所述第一网络内的第一节点；以及过滤实体，所述过滤实体被 配置以便：存储用于至少一个移动节点的至少一个逻辑名称，所述至少一 个移动节点被允许与所述第一网络中的至少一个节点进行通信，从所述分 组获得源地址，从数据库节点获得与所述至少一个逻辑名称相关联的至少 一个地址，检查所述源地址是否属于所获得的所述至少一个地址，以及如 果所述源地址属于所获得的所述至少一个地址，则接纳所述分组到所述第 一网络。

本发明还涉及一种网络节点，其包括：用于存储用于至少一个移动节 点的至少一个逻辑名称的装置，所述至少一个移动节点被允许与第一网络 中的至少一个节点进行通信；用于从第二网络接收分组的装置，所述分组 被寻址于所述第一网络内的第一节点；用于从所述分组获得源地址的装置； 用于从数据库节点获得与所述至少一个逻辑名称相关联的至少一个地址的 装置；用于检查所述源地址是否属于所获得的所述至少一个地址的装置； 以及用于如果所述源地址属于所获得的所述至少一个地址，则接纳所述分 组到所述第一网络的装置。