公开(公告)号：JP2001273209A

公开(公告)日：2001-10-05

申请号：JP2001026784

申请日：2001-02-02

Applicant: IBM

Inventor： ATTWOOD KIRA STERLING ,  OVERBY JR LINWOOD HUGH ,  SUN CHIEN EN

IPC: G06F13/00 ,  H04L29/06 ,  H04L29/12

Abstract: PROBLEM TO BE SOLVED: To provide a method for preventing the overload of a server and the predictive function stop of the server caused by the flood of a connection request generated by an intended attack or the like. SOLUTION: In response to the request of a connection with a designated port from a host, the number of connections with ports assigned to the host is confirmed. When this number exceeds a first threshold, the request is refused. When invalidation is allowed by a service quality parameter related to the host, this refusal can be invalidated. When the number of connections usable for the ports is less than a second threshold, the connection request is refused on any conditions.

公开(公告)号：JP2001265678A

公开(公告)日：2001-09-28

申请号：JP2001026567

申请日：2001-02-02

Applicant: IBM

Inventor： ATTWOOD KIRA STERLING ,  OVERBY JR LINWOOD HUGH ,  SUN CHIEN EN

IPC: G06F13/00 ,  G06F15/00 ,  H04L12/56 ,  H04L29/06

Abstract: PROBLEM TO BE SOLVED: To provide a method for preventing the overload of a server and the projected function stoppage of the server due to the flood of connectionless datagrams caused by an intentional attack or the like. SOLUTION: The number of the datagrams from a host already standing by in the queue of a port is obtained in response to the datagram from the host to a specified port. In the case that the number exceeds a first threshold, the datagram is abandoned. In a suitable execution example, the threshold is obtained by multiplying the number of usable queue slots remaining in the port with a ratio P.

公开(公告)号：CA2729898C

公开(公告)日：2017-04-11

申请号：CA2729898

申请日：2009-06-30

Applicant: IBM

Inventor： GOTTIMUKKALA SIVARAM ,  HUYNH LAP THIET ,  JOSEPH DINAKARAN ,  OVERBY JR LINWOOD HUGH ,  DEVINE WESLEY MCMILLAN ,  BEHRENDT MICHAEL ,  BREITER GERD

IPC: H04L29/06 ,  H04L12/24

Abstract: A computer-implemented method (400) is provided for updating network security-policy rules when network resources are provisioned in a service landscape instance. The method includes categorizing network resources in a service landscape instance based on a service landscape model (404). The method further includes responding to the provisioning of a network resource by automatically generating one or more security policy rules for a newly-provisioned network resource (406). Additionally, the method includes updating security policy rules of pre-existing network resources in the service landscape instance that are determined to be eligible to communicate with the newly-provisioned network resource so as to include the newly-provisioned network resource as a remote resource based on the service landscape model (408).

公开(公告)号：DE112013000649B4

公开(公告)日：2020-11-19

申请号：DE112013000649

申请日：2013-02-08

Applicant: IBM

Inventor： MOONEN SCOTT CHRISTOPHER ,  OVERBY JR LINWOOD HUGH ,  MEYER CHRISTOPHER ,  GEARHART CURTIS MATTHEW

IPC: H04L29/06 ,  G06F21/62 ,  H04K1/00 ,  H04L9/00 ,  H04L12/22

Abstract: Verfahren, das aufweist:Speichern von Sicherheitsmetadaten, die zu einem Datenpaket gehören, durch ein Host-Informationsverarbeitungssystem (IHS);Feststellen durch ein Host-IHS, ob ein Datenpaket ein Datenpaket ist, das eine Sicherheitsverarbeitung erforderlich macht;Bereitstellen des Datenpakets durch das Host-IHS für eine interne Netzwerkschnittstellen-Steuereinheit, wenn das Host-IHS feststellt, dass das Datenpaket keine Sicherheitsverarbeitung erforderlich macht, wobei die interne Netzwerkschnittstellen-Steuereinheit das Datenpaket an ein Übertragungsnetzwerk sendet, um es an ein anderes IHS als das Host-IHS zu übertragen;Auslagern des Datenpakets und zugehöriger Sicherheitsmetadaten durch das Host-IHS über eine sichere Datenübertragungsverbindung an eine zustandslose externe Sicherheitsauslagerungseinheit, wenn das Host-IHS feststellt, dass das Datenpaket eine Sicherheitsverarbeitung erforderlich macht, und somit Bereitstellen eines ausgelagerten Datenpakets, wobei sich die zustandslose externe Sicherheitsauslagerungseinheit außerhalb des Host-IHS befindet;Verschlüsseln und Kapseln des ausgelagerten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit und somit Bereitstellen eines gekapselten, verschlüsselten Datenpakets;Zurücksenden des gekapselten, verschlüsselten Datenpakets durch die zustandslose externe Sicherheitsauslagerungseinheit über die sichere Datenübertragungsverbindung an das Host-IHS zur weiteren Verarbeitung; undSenden des gekapselten, verschlüsselten Datenpakets durch die interne Netzwerkschnittstellen-Steuereinheit des Host-IHS an ein Übertragungsnetzwerk, um es an ein anderes IHS als das Host-IHS zu übertragen.

公开(公告)号：GB2512807A

公开(公告)日：2014-10-08

申请号：GB201414604

申请日：2013-02-08

Applicant: IBM

Inventor： MOONEN SCOTT CHRISTOPHER ,  OVERBY JR LINWOOD HUGH ,  MEYER CHRISTOPHER ,  GEARHART CURTIS MATTHEW

IPC: H04L29/06

Abstract: A network node for communicating data packets secured with a security protocol over a communications network includes a host information handling system (IHS) and one or more external security offload devices coupled by a secure data link. The host IHS communicates state information about data packets, and the external offload security device provides stateless secure data encapsulation and decapsulation of packets using a security protocol. An external network interface controller or internal network interface controller communicates encapsulated data packets over the communications network to a final destination. Encapsulation and decapsulation of packets by the external security offload device reduces network latency and reduces the computational load on the processor in the host IHS. Maintaining state information in the host IHS allows hot-swapping of external security offload devices without information loss. The external security offload device may be included in a firewall, or intrusion detection device, and may implement IPsec protocol.

公开(公告)号：GB2512807B

公开(公告)日：2014-11-19

申请号：GB201414604

申请日：2013-02-08

Applicant: IBM

Inventor： MOONEN SCOTT CHRISTOPHER ,  OVERBY JR LINWOOD HUGH ,  MEYER CHRISTOPHER ,  GEARHART CURTIS MATTHEW

IPC: H04L29/06

Abstract: A network node for communicating data packets secured with a security protocol over a communications network includes a host information handling system (IHS) and one or more external security offload devices coupled by a secure data link. The host IHS communicates state information about data packets, and the external offload security device provides stateless secure data encapsulation and decapsulation of packets using a security protocol. An external network interface controller or internal network interface controller communicates encapsulated data packets over the communications network to a final destination. Encapsulation and decapsulation of packets by the external security offload device reduces network latency and reduces the computational load on the processor in the host IHS. Maintaining state information in the host IHS allows hot-swapping of external security offload devices without information loss. The external security offload device may be included in a firewall, or intrusion detection device, and may implement IPsec protocol.

公开(公告)号：DE112013000649T5

公开(公告)日：2014-11-06

申请号：DE112013000649

申请日：2013-02-08

Applicant: IBM

Inventor： MOONEN SCOTT CHRISTOPHER ,  OVERBY JR LINWOOD HUGH ,  MEYER CHRISTOPHER ,  GEARHART CURTIS MATTHEW

IPC: H04L29/06

Abstract: Ein Netzwerkknoten zur Übertragung von Datenpaketen, die mit einem Sicherheitsprotokoll gesichert werden, über ein Übertragungsnetzwerk enthält ein Host-Informationsverarbeitungssystem (IHS) und eine oder mehrere externe Sicherheitsauslagerungseinheiten, die über eine sichere Datenübertragungsverbindung verbunden sind. Das Host-IHS überträgt Zustandsinformationen über Datenpakete und die externe Sicherheitsauslagerungseinheit ermöglicht eine zustandslose sichere Datenkapselung und -Entkapselung von Pakten unter Verwendung eines Sicherheitsprotokolls. Eine externe Netzwerkschnittstellen-Steuereinheit oder eine interne Netzwerkschnittstellen-Steuereinheit überträgt gekapselte Datenpakete über das Übertragungsnetzwerk an einen Zielort. Die Kapselung und die Entkapselung von Paketen durch die externe Sicherheitsauslagerungseinheit verringert die Netzwerklatenzzeit und die Rechenlast auf dem Prozessor in dem Host-IHS. Die Verwaltung von Zustandsinformationen in dem Host-IHS ermöglicht einen Austausch von externen Sicherheitsauslagerungseinheiten im laufenden Betrieb ohne Datenverlust. Die externe Sicherheitsauslagerungseinheit kann in einer Firewall oder in einer Angriffserkennungseinheit enthalten sein und das IPsec-Protokoll ausführen.

公开(公告)号：CA2729898A1

公开(公告)日：2010-01-07

申请号：CA2729898

申请日：2009-06-30

Applicant: IBM

Inventor： GOTTIMUKKALA SIVARAM ,  HUYNH LAP THIET ,  JOSEPH DINAKARAN ,  OVERBY JR LINWOOD HUGH ,  DEVINE WESLEY MCMILLAN ,  BEHRENDT MICHAEL ,  BREITER GERD

IPC: H04L29/06 ,  H04L12/24

Abstract: A computer- implemented method (400) is provided for updating network security- policy rules when network resources are provisioned in a service landscape instance. The method includes categorizing network resources in a service landscape instance based on a service landscape model (404). The method further includes responding to the provisioning of a network resource by automatically generating one or more security policy rules for a newly- provisioned network resource (406). Additionally, the method includes updating security policy rules of pre-existing network resources in the service landscape instance that are determined to be eligible to communicate with the newly-provisioned network resource so as to include the newly-provisioned network resource as a remote resource based on the service landscape model (408).

公开(公告)号：CA2636882C

公开(公告)日：2015-03-24

申请号：CA2636882

申请日：2007-01-29

Applicant: IBM

Inventor： OVERBY JR LINWOOD HUGH ,  WIERBOWSKI DAVID JOHN ,  PORTER JOYCE ANNE ,  JONG WUCHIEH JAMES

IPC: H04L29/06 ,  H04L29/12

Abstract: The invention determines if a security association (SA) extends end-to-end between a source node originating a connection and a destination node. In such a case, there will be no ambiguities in routing due to network address translation, and the SA is allowed. In the preferred embodiment, both end nodes of a security connection test themselves and the remote node for gateway status to determine if any ambiguities might exist in network routing due to the presence of a network address translator.

公开(公告)号：CA2636882A1

公开(公告)日：2007-08-23

申请号：CA2636882

申请日：2007-01-29

Applicant: IBM

Inventor： WIERBOWSKI DAVID JOHN ,  PORTER JOYCE ANNE ,  OVERBY JR LINWOOD HUGH ,  JONG WUCHIEH JAMES

IPC: H04L29/06 ,  H04L29/12

Abstract: The invention determines if a security association (SA) extends end-to-end between a source node originating a connection and a destination node. In such a case, there will be no ambiguities in routing due to network address translation, and the SA is allowed. In the preferred embodiment, both end nodes of a security connection test themselves and the remote node for gateway status to determine if any ambiguities might exist in network routing due to the presence of a network address translator.