[发明专利]反向代理上的流入重定向机制

权利要求书

1.一种用于对分组进行过滤的方法，该方法由过滤装置来实现，该过滤装置包括过滤器，被配置为通过应用至少一个过滤规则的集合来确定分组是否被授权以路由到目的实体，该方法包括：

-在借助于受信任的实体而接收到初始请求之后生成验证令牌的步骤，该初始请求不包括验证令牌，通过将所述验证令牌插入到该初始请求中以形成修改后的初始请求、来修改该初始请求的步骤，形成应答以指示修改后的初始请求的重定向、使得在没有经过该受信任实体的情况下重新发布修改后的初始请求的步骤；

-检验从该过滤装置所接收的修改后的初始请求生成的重定向的第二请求中的验证令牌的有效性的步骤，并且当所述验证令牌是有效的时：

-向所述集合添加称为第二级别过滤规则的过滤规则的步骤，如果用于至少一个分组的源实体与用于所述第二请求的源实体一致，则该过滤规则授权将该分组路由到目的实体；和

-向所述过滤部件发送该第二请求的步骤。

2.根据权利要求1的方法，还包括：在接收到该初始请求之后、向所述集合添加过滤规则的步骤，该过滤规则已知为第一级别过滤规则，该过滤规则授权将经由预定通信端口接收到的至少一个分组路由到用于检验在请求中包含的验证令牌的有效性的部件，

在重定向到预定通信端口的步骤中，对修改后的初始请求进行重定向。

3.根据权利要求1的方法，包括：在对与所述请求相关的最后分组进行路由之后、从所述集合中移除该第二级别过滤规则的步骤。

4.根据权利要求1的方法，其中，该检验步骤包括以下步骤中的至少一个：

-确定用于该验证令牌的有效期是否已经期满；

-确定该验证令牌是否已经使用于在所述请求以前接收到的至少一个其他请求中；

-确定该验证令牌是否对应于所述请求的源地址；

-确定该验证令牌是否对应于对于其发布所述请求的内容；

-确定是否已经利用专用于所述装置的加密密钥来生成该验证令牌。

5.根据权利要求1的方法，其中，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于所述至少一个分组，源地址和源通信端口与用于所述请求的源地址和源通信端口分别一致。

6.根据权利要求1的方法，其中，该第二级别过滤规则对于至少一个分组授权到目的实体的路由，对于所述至少一个分组，源通信端口与用于所述请求的源通信端口一致，并且对于所述至少一个分组，源地址被包括在包含用于所述请求的源地址的地址范围中。

7.根据权利要求2的方法，包括：在接收到包括所述验证令牌的请求之后或在用于所述第一级别过滤规则的有效期期满之后、移除该第一级别过滤规则的步骤。

8.根据权利要求7的方法，在该检验步骤以前，通过应用包括该第一级别过滤规则的所述集合、来对该过滤部件所接收到的所述请求进行过滤的步骤。

9.一种用于对分组进行过滤的系统，包括：

-过滤部件，用于通过应用至少一个过滤规则的集合，来确定分组是否被授权以路由到目的实体，并且如果这样授权的话，则将分组路由到该目的实体；

-用于在借助于受信任的实体而接收到不包括验证令牌的初始请求之后、生成验证令牌的部件；

-用于通过将所述验证令牌插入到该初始请求中以形成修改后的初始请求、来修改该初始请求的部件；

-用于形成应答以指示修改后的初始请求的重定向、使得在没有经过该受信任实体的情况下重新发布修改后的初始请求的部件；

-用于检验从所述过滤系统所接收到的修改后的初始请求生成的重定向的第二请求中的验证令牌的有效性的部件；

-用于向所述集合添加第二级别过滤规则的部件，如果用于至少一个分组的源实体与用于所述第二请求的源实体相同，则授权将该分组路由到目的实体；和

-用于向所述过滤系统发送该第二请求的部件。

10.根据权利要求9的过滤系统，包括：

-对修改后的初始分组进行重定向、使得在没有经过所述受信任实体的情况下重新发布修改后的初始分组以由此形成第二分组的部件。

11.一种网关，包括根据权利要求9的过滤系统。