国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法

      文檔序號(hào):7594196閱讀:198來(lái)源:國(guó)知局
      專利名稱:網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法,尤其涉及一種依據(jù)聯(lián)機(jī)對(duì)方的安全環(huán)境以提供適當(dāng)服務(wù)的橋接系統(tǒng)及方法。
      背景技術(shù)
      隨著網(wǎng)絡(luò)技術(shù)發(fā)展的日新月異,雖然造就了數(shù)字?jǐn)?shù)據(jù)傳送的便捷性,但其中亦包含了許多承載私密資料如公司機(jī)密、個(gè)人ID或密碼的封包(Packet)往來(lái)于公眾使用的網(wǎng)絡(luò)系統(tǒng)如因特網(wǎng)(Internet)之中,而可能面臨被不肖黑客(Hacker)從中入侵或竊取的問(wèn)題,因此要如何維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的傳送安全,已經(jīng)是非常重要之課題。目前針對(duì)網(wǎng)絡(luò)安全,已有各類型的網(wǎng)絡(luò)產(chǎn)品(InternetAppliance,IA)不斷的推陳出新,像是網(wǎng)關(guān)(Gateway)、路由器(Router)或防火墻(Firewall)裝置可裝設(shè)于該網(wǎng)絡(luò)系統(tǒng)的任一請(qǐng)求端及/或發(fā)出端以保護(hù)準(zhǔn)備傳送的數(shù)據(jù),并采用一特定的安全標(biāo)準(zhǔn)如FTP,HTTP或Telent。
      在前述網(wǎng)絡(luò)產(chǎn)品中裝設(shè)越多的網(wǎng)絡(luò)安全保護(hù)機(jī)制或裝置以提供各類型的安全服務(wù)如加/解密服務(wù)、數(shù)字簽章、及封包過(guò)濾等服務(wù),固然可使該網(wǎng)絡(luò)系統(tǒng)的傳輸更為安全可靠;但是,相對(duì)的,啟用越多的網(wǎng)絡(luò)安全保護(hù)機(jī)制或裝置會(huì)占用太多的網(wǎng)絡(luò)帶寬(Bandwidth),并降低主系統(tǒng)的處理效能。并且,為提供前述各式各樣的安全服務(wù),目前的做法不是在主系統(tǒng)的操作系統(tǒng)(OS)上安裝驅(qū)動(dòng)程序,就是利用路由網(wǎng)關(guān)(router gateway)管理數(shù)據(jù)封包的輸出/入。但是,前者不僅會(huì)增加系統(tǒng)的復(fù)雜度,以致穩(wěn)定性降低,且對(duì)公用機(jī)器如公司的公用手提電腦也不易執(zhí)行后續(xù)的維護(hù)管理。后者在實(shí)際運(yùn)用時(shí)要經(jīng)常更動(dòng)網(wǎng)絡(luò)架構(gòu),如一擁有公開(kāi)IP地址并直接連接到因特網(wǎng)上的機(jī)器,在接上路由網(wǎng)關(guān)(router gateway)時(shí)就必須更改IP地址,這樣,所需要的安全服務(wù)如建立通道(Tunneling)的加/解密運(yùn)算將更為復(fù)雜。
      例如在一主從式(Client-Server)網(wǎng)絡(luò)架構(gòu)中,任一端可能扮演一請(qǐng)求端(如客戶client端)向另一發(fā)送端(如服務(wù)器Server端)要求連結(jié)以下載數(shù)據(jù),或在一點(diǎn)對(duì)點(diǎn)(peer-to-peer)網(wǎng)絡(luò)架構(gòu)下,一請(qǐng)求端(如客戶端)向另一發(fā)送端(如數(shù)據(jù)提供端)要求連結(jié)以下載音樂(lè)或影像數(shù)據(jù)。而當(dāng)有許多請(qǐng)求端要求與一發(fā)送端聯(lián)機(jī)以下載數(shù)據(jù)時(shí),則該發(fā)送端勢(shì)必要對(duì)每一請(qǐng)求端逐一提供聯(lián)機(jī)及前述各項(xiàng)安全服務(wù),其中包括對(duì)無(wú)惡意的請(qǐng)求端在內(nèi),如此將使該網(wǎng)絡(luò)系統(tǒng)易于擁塞或使該發(fā)送端的主系統(tǒng)運(yùn)作效能更為降低。

      發(fā)明內(nèi)容
      為解決上述公知技術(shù)的問(wèn)題,本發(fā)明的一主要目的在于提供一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法,適用于一發(fā)送端及一請(qǐng)求端如客戶端對(duì)服務(wù)器端(Client-To-Server)或點(diǎn)對(duì)點(diǎn)(peer-to-peer)的網(wǎng)絡(luò)架構(gòu)中,其利用TCP/IP協(xié)議第二層(Layer 2)橋接器(bridge)無(wú)需更動(dòng)第三層(Layer 3)的網(wǎng)絡(luò)地址(IPaddress)的原理,配合對(duì)第三層(Layer 3)的封包凈荷(payload)加工以執(zhí)行特定的安全服務(wù)例程,故能提供較高的網(wǎng)絡(luò)通透性,且使用者仍可保持原本任何的連網(wǎng)方式,而無(wú)需如公知技術(shù)要更動(dòng)架構(gòu)以連接一路由網(wǎng)關(guān)器(routergateway)并更改網(wǎng)絡(luò)地址(IP address),故不會(huì)增加系統(tǒng)的復(fù)雜度或降低穩(wěn)定性。
      此外,本發(fā)明的一次要目的在于提供一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法,其適用于一發(fā)送端及一請(qǐng)求端如客戶端對(duì)服務(wù)器端(Client-To-Server)或點(diǎn)對(duì)點(diǎn)(peer-to-peer)的網(wǎng)絡(luò)架構(gòu)中,當(dāng)判斷要求聯(lián)機(jī)的請(qǐng)求端為一被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)會(huì)自動(dòng)偵測(cè)聯(lián)機(jī)對(duì)方的安全等級(jí)的高低。當(dāng)確認(rèn)該聯(lián)機(jī)對(duì)方的安全等級(jí)為高時(shí),則發(fā)送端及請(qǐng)求端之間的兩網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)彼此自動(dòng)協(xié)商出具安全服務(wù)設(shè)定值的通訊協(xié)議,以對(duì)請(qǐng)求端及發(fā)送端之間傳送的封包執(zhí)行一相對(duì)的安全服務(wù)例程。當(dāng)發(fā)現(xiàn)該聯(lián)機(jī)對(duì)方的安全等級(jí)為低時(shí),則將之后的封包不經(jīng)處理而直接經(jīng)由第二層橋接器流出。
      為實(shí)現(xiàn)前述目的,本發(fā)明提供一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)中,主要包括連結(jié)判斷單元、第二層橋接器、安全環(huán)境偵測(cè)單元、組態(tài)交換單元、第三層封包處理單元及協(xié)商機(jī)制。其中該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)于本實(shí)施例中包括至少一動(dòng)態(tài)橋接器,鄰近位于該請(qǐng)求端及/或發(fā)送端。
      前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的連結(jié)判斷單元,判斷任一請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié)。該安全環(huán)境偵測(cè)單元,在該連結(jié)判斷單元確認(rèn)該請(qǐng)求端的連結(jié)請(qǐng)求被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則進(jìn)一步判斷該請(qǐng)求端的安全等級(jí)的高低。該組態(tài)交換單元,在該安全環(huán)境偵測(cè)單元確認(rèn)判斷該請(qǐng)求端的安全等級(jí)為高時(shí),令請(qǐng)求端與發(fā)送端之間協(xié)商出在網(wǎng)絡(luò)連結(jié)時(shí)皆需認(rèn)同的通訊協(xié)議,以決定一對(duì)應(yīng)的安全服務(wù)例程。該第三層(Layer 3)封包處理單元,依據(jù)前述通訊協(xié)議,對(duì)該請(qǐng)求端與發(fā)送端之間傳輸?shù)姆獍鼒?zhí)行前述安全服務(wù)例程。以及,該協(xié)商機(jī)制,確認(rèn)請(qǐng)求端與發(fā)送端雙方皆已完成連結(jié),以釋放系統(tǒng)資源。
      此外,本發(fā)明進(jìn)一步提供一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)中,且其中至少一動(dòng)態(tài)橋接器鄰近位于該請(qǐng)求端及/或發(fā)送端,該方法的步驟如下利用一連結(jié)判斷單元判斷任一請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié);利用一安全偵測(cè)單元依據(jù)請(qǐng)求端與發(fā)送端之間的初始連結(jié)過(guò)程,判斷該請(qǐng)求端的安全等級(jí)的高低;當(dāng)確認(rèn)該請(qǐng)求端的安全等級(jí)為高時(shí),使請(qǐng)求端與發(fā)送端之間協(xié)商出在網(wǎng)絡(luò)連結(jié)時(shí)都認(rèn)同的通訊協(xié)議,以決定一對(duì)應(yīng)的安全服務(wù)例程;依據(jù)前述通訊協(xié)議,對(duì)該請(qǐng)求端與發(fā)送端之間傳輸?shù)姆獍鼒?zhí)行前述安全服務(wù)例程;以及確認(rèn)請(qǐng)求端與發(fā)送端雙方都已完成連結(jié)以釋放系統(tǒng)資源。
      因此,依據(jù)聯(lián)機(jī)雙方間的安全環(huán)境等級(jí),即可對(duì)該請(qǐng)求端及發(fā)送端之間的網(wǎng)絡(luò)封包提供適當(dāng)?shù)陌踩?wù)例程,而無(wú)需如公知技術(shù)對(duì)每一要求聯(lián)機(jī)的請(qǐng)求端皆提供安全服務(wù),故能減少網(wǎng)絡(luò)擁塞問(wèn)題并提升主系統(tǒng)的執(zhí)行效能。為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能更明顯易懂,下文特舉實(shí)施例,并配合附圖,詳細(xì)說(shuō)明如下。


      圖1顯示依據(jù)本發(fā)明較佳實(shí)施例的一網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的內(nèi)部架構(gòu);
      圖2顯示依據(jù)本發(fā)明較佳實(shí)施例的一網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法;圖3顯示公知TCP通訊協(xié)議的發(fā)送端及請(qǐng)求端之間進(jìn)行三向握手(three-way handshaking)的初始網(wǎng)絡(luò)連結(jié)過(guò)程;圖4顯示依據(jù)本發(fā)明較佳實(shí)施例的一網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)網(wǎng)絡(luò)的封包加工流程,其中包括分別對(duì)輸出/入的封包特征值x或x′進(jìn)行特定函數(shù)的正向運(yùn)算f(x)或反向運(yùn)算f-1(x′);圖5顯示依據(jù)發(fā)明的一第一實(shí)施例的一配置前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的請(qǐng)求端與一發(fā)送端進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程;圖6顯示依據(jù)發(fā)明的一第二實(shí)施例的一配置前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的發(fā)送端與一請(qǐng)求端進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程;圖7顯示依據(jù)發(fā)明的一第三實(shí)施例的兩各自配置前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的發(fā)送端及請(qǐng)求端之間進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程,其中由該請(qǐng)求端的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)判斷該發(fā)送端傳來(lái)的封包特征值是否正確;圖8顯示依據(jù)發(fā)明的一第四實(shí)施例的兩各自配置前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的發(fā)送端及請(qǐng)求端之間進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程,其中由該發(fā)送端的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)判斷該請(qǐng)求端傳來(lái)的封包特征值是否正確。
      其中,附圖標(biāo)記說(shuō)明如下10,32,42,52,62,72,73,82,83網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)30,40,50,60,70,80請(qǐng)求端34,44,54,64,74,84發(fā)送端100連結(jié)判斷單元 102第二層橋接器120安全環(huán)境偵測(cè)單元 124封包加工機(jī)制130組態(tài)交換單元 140第三層封包處理單元150協(xié)商機(jī)制S200,S210,S212,S220,S222,S223,S224,S226,S230,S240,S250為方法步驟具體實(shí)施方式
      首先如圖1所示,為依據(jù)本發(fā)明的一第一較佳實(shí)施例的一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)10,適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)(見(jiàn)圖4,圖5,圖6,圖7和圖8,待后詳述)中,其主要包括連結(jié)判斷單元100、第二層橋接器102、安全環(huán)境偵測(cè)單元120、組態(tài)交換單元130、第三層封包處理單元140及協(xié)商機(jī)制150。其中該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)10于本實(shí)施例中包括至少一動(dòng)態(tài)橋接器,鄰近位于該請(qǐng)求端及/或發(fā)送端。
      前述網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)10的連結(jié)判斷單元100,通過(guò)一預(yù)設(shè)的檢查表判斷任一要求聯(lián)機(jī)方如請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié)。該檢查表中預(yù)先記錄了每一被授權(quán)的網(wǎng)絡(luò)連結(jié)(connection)的數(shù)據(jù),包括請(qǐng)求端的第二層的網(wǎng)卡物理地址(Layer 2 mac address)、第三層的因特網(wǎng)地址(Layer 3 IP address)或第4層的服務(wù)端口號(hào)碼(Layer 4 service port number)。當(dāng)該連結(jié)判斷單元100判斷出該請(qǐng)求端的連結(jié)請(qǐng)求不是被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則將該請(qǐng)求端傳出的任一數(shù)據(jù)封包進(jìn)行側(cè)錄,并將之后的封包不經(jīng)處理即直接經(jīng)由一第二層橋接器102(Layer 2Bridge)送出。
      該安全環(huán)境偵測(cè)單元120具有一封包加工機(jī)制124,其在該連結(jié)判斷單元100確認(rèn)該請(qǐng)求端的連結(jié)請(qǐng)求被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),進(jìn)一步對(duì)請(qǐng)求端及發(fā)送端之間的初始網(wǎng)絡(luò)連結(jié)進(jìn)行進(jìn)一步運(yùn)算處理,該運(yùn)算原理如圖4所示,在請(qǐng)求端40及發(fā)送端44之間任一連結(jié)步驟中,對(duì)于經(jīng)由該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)42傳出的任一封包的IP表頭(header)的特征值(identification)X進(jìn)行一特定函數(shù)的正向運(yùn)算如f(X),并對(duì)該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)42接收到的任一封包的表頭特征值X′進(jìn)行該特定函數(shù)的反向運(yùn)算f-1(X′)。該安全環(huán)境偵測(cè)單元120依據(jù)其接收到的封包表頭特征值x′的運(yùn)算結(jié)果f-1(X′)是否等于一預(yù)測(cè)的累進(jìn)數(shù)值(SN+1),以確認(rèn)該請(qǐng)求端的安全等級(jí)。當(dāng)該封包表頭特征值X′的運(yùn)算結(jié)果f-1(x′)等于該累進(jìn)數(shù)值(SN+1)時(shí),則該請(qǐng)求端的安全等級(jí)為高,亦即請(qǐng)求端亦有安裝一相對(duì)的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)10;反之,當(dāng)該封包表頭特征值x′的運(yùn)算結(jié)果f-1(X′)不等于該累進(jìn)數(shù)值(SN+1)時(shí),則該請(qǐng)求端的安全等級(jí)為低,則代表請(qǐng)求端未安裝一相對(duì)的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)。有關(guān)該累進(jìn)數(shù)值(SN+1)的取得則待后詳述。
      本發(fā)明的安全環(huán)境偵測(cè)單元120的封包加工機(jī)制124在封包的表頭(header)的特征值(identification)進(jìn)行運(yùn)算加工的目的是避免封包經(jīng)過(guò)各種多樣的網(wǎng)絡(luò)裝置時(shí)相關(guān)的信息不會(huì)被涂銷,利用IP表頭的16位特征值(identification)字段內(nèi)具有一序號(hào)(SN,Serial Number),其原本就是被用來(lái)唯一認(rèn)定其所送出的單個(gè)封包的順序,且每次在經(jīng)過(guò)該請(qǐng)求端/發(fā)送端送出一個(gè)封包時(shí)就會(huì)自動(dòng)在該字段的序號(hào)增加1,即為前述累進(jìn)數(shù)值(SN+1)的由來(lái)。因?yàn)樵撟侄螛O少被用到,大概低于0.25%的因特網(wǎng)封包會(huì)被分割,故可以用于隱藏該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)溝通的信息。
      傳統(tǒng)的初始網(wǎng)絡(luò)連結(jié)過(guò)程如圖3所示,一請(qǐng)求端30及發(fā)送端34之間的初始連結(jié)過(guò)程在符合TCP/IP協(xié)議下,呈一三向握手(three-way handshaking)的連結(jié)過(guò)程,過(guò)程中一定分別傳輸包括SYN封包、ACK+SYN封包及ACK三種類型的封包,其中握手(handshaking)的目的在于使請(qǐng)求端30及發(fā)送端34雙方連結(jié)前先進(jìn)行溝通,其一方面使雙方進(jìn)行連結(jié)確認(rèn),另外一方面也確定彼此的通訊協(xié)議是否一致,以利于稍后數(shù)據(jù)的傳輸動(dòng)作。但在本發(fā)明實(shí)施例中,請(qǐng)求端及發(fā)送端之間的初始網(wǎng)絡(luò)連結(jié)在經(jīng)過(guò)安全環(huán)境偵測(cè)單元120的封包加工機(jī)制124的運(yùn)算后會(huì)呈如同圖5,圖6,圖7和圖8所示,不同于圖3的傳統(tǒng)初始網(wǎng)絡(luò)連結(jié)。
      該組態(tài)交換單元130,在該安全環(huán)境偵測(cè)單元120確認(rèn)判斷該請(qǐng)求端的安全等級(jí)為高時(shí),則令請(qǐng)求端與發(fā)送端之間協(xié)商出認(rèn)同的通訊協(xié)議,進(jìn)而讓彼此知道其各自安裝的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的設(shè)定細(xì)節(jié),以進(jìn)行網(wǎng)絡(luò)連結(jié)。舉例來(lái)說(shuō),TCP/IP協(xié)議的三向握手(three-way handshaking)連結(jié)一般,可在兼顧超時(shí)(time out)與重傳的問(wèn)題之下,確保雙方能完全的分享信息,并可以自行設(shè)定專屬的封包來(lái)實(shí)現(xiàn),或者是再利用該通訊連結(jié),使流傳的封包內(nèi)隱藏雙方基于連結(jié)需要的細(xì)部信息,但要如何運(yùn)用,則可完全端視雙方通訊連結(jié)的型態(tài)而定。前述封包中攜帶的細(xì)部信息,即為符合雙方認(rèn)同的通訊協(xié)議的一安全服務(wù)設(shè)定值,其可用于決定一對(duì)應(yīng)的安全服務(wù)例程,像是一加/解密(encryption/decryption)服務(wù)、數(shù)字簽章(digital signature)服務(wù)或字符串比較(pattern match)服務(wù),而該安全服務(wù)設(shè)定值,以加/解密服務(wù)例程的安全服務(wù)設(shè)定值為例,為一加密算法及對(duì)應(yīng)的加/解密金鑰。
      該第三層(Layer 3)封包處理單元,依據(jù)前述通訊協(xié)議,對(duì)該請(qǐng)求端與發(fā)送端之間傳輸?shù)姆獍鼒?zhí)行前述安全服務(wù)例程,亦即利用前述通訊協(xié)議的安全服務(wù)設(shè)定值對(duì)該請(qǐng)求端與發(fā)送端之間傳送的封包的網(wǎng)絡(luò)第三層(Layer 3)的凈荷(Payload)進(jìn)行運(yùn)算處理。如前述,對(duì)于網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)而言,沒(méi)有被授權(quán)(或沒(méi)有興趣)的網(wǎng)絡(luò)連結(jié)的封包由一端的網(wǎng)絡(luò)端口流入,經(jīng)網(wǎng)絡(luò)第二層(layer 2)檢查發(fā)現(xiàn)不在觀察的范圍之內(nèi)后,在不經(jīng)處理也不變更網(wǎng)絡(luò)第三層(layer 3)的路由機(jī)制的情況下,即直接經(jīng)由該網(wǎng)絡(luò)協(xié)議的第二層橋接器102(TCP/IP layer 2bridge)102的另一網(wǎng)絡(luò)端口流出。這是因?yàn)楸景l(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)10的網(wǎng)絡(luò)端口不提供公開(kāi)的網(wǎng)絡(luò)第三層(layer 3)的IP地址,而是從網(wǎng)絡(luò)第三層(layer 3)的封包表頭(Header)之后處理,也就是從含網(wǎng)絡(luò)第三層的凈荷(layer 3 payload)以上開(kāi)始處理。但對(duì)于原本即應(yīng)用于網(wǎng)絡(luò)第三層(layer 3)的任何通道(tunnel)協(xié)議,本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)就以代理的身分與對(duì)方建立通道(tunnel)后,再將還原的封包往后送;反之則封裝后送進(jìn)此通道(tunnel)往外送。
      對(duì)于一種連結(jié)導(dǎo)向(session oriented)的網(wǎng)絡(luò)連結(jié)如TCP連結(jié)而言,當(dāng)該連結(jié)進(jìn)入連結(jié)結(jié)束(session close)時(shí),本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)的動(dòng)作也就隨之結(jié)束。對(duì)于一種非連結(jié)導(dǎo)向(non-session oriented)的網(wǎng)絡(luò)連結(jié)如UDP連結(jié)而言,本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)會(huì)以超時(shí)(time out)的機(jī)制,決定多少時(shí)間內(nèi)沒(méi)有封包流過(guò)就自動(dòng)結(jié)束。結(jié)束動(dòng)作的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)會(huì)啟動(dòng)該協(xié)商機(jī)制150以確定請(qǐng)求端與發(fā)送端雙方皆已完成連結(jié),以釋放系統(tǒng)資源。
      此外,如圖2所示,依據(jù)本發(fā)明的一較佳實(shí)施例的一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)中,且其中至少一動(dòng)態(tài)橋接器鄰近位于該請(qǐng)求端及/或發(fā)送端,該方法的步驟如下步驟S200,監(jiān)控往來(lái)于該請(qǐng)求端及發(fā)送端之間的封包。
      步驟S210,利用一連結(jié)判斷單元100判斷任一請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié)。
      步驟S212,當(dāng)該連結(jié)判斷單元100判斷該請(qǐng)求端的連結(jié)請(qǐng)求不是被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則將該請(qǐng)求端傳出的任一數(shù)據(jù)封包直接經(jīng)由一第二層橋接器102(Layer 2 Bridge)送出;反之,當(dāng)該連結(jié)判斷單元100判斷該請(qǐng)求端的連結(jié)請(qǐng)求確為被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則代表同意請(qǐng)求端及發(fā)送端之間進(jìn)行初始連結(jié)過(guò)程,并前進(jìn)至步驟S220。
      步驟S220,為一動(dòng)態(tài)偵測(cè)(active detection)過(guò)程,其利用一安全偵測(cè)單元,依據(jù)請(qǐng)求端與發(fā)送端之間的初始連結(jié)過(guò)程以判斷該請(qǐng)求端的安全等級(jí)的高低,其中該安全偵測(cè)單元在此初始連結(jié)中進(jìn)行如圖5,圖6,圖7和圖8步驟S222,223,S224所示的一封包加工流程,即對(duì)經(jīng)由該安全偵測(cè)單元傳出的任一封包的表頭(header)的特征值(identification)進(jìn)行特定函數(shù)的正向運(yùn)算,并對(duì)該安全偵測(cè)單元接收到的任一封包的表頭特征值進(jìn)行該特定函數(shù)的反向運(yùn)算。接著該安全偵測(cè)單元進(jìn)行如圖5,圖6,圖7和圖8的步驟S226所示的判斷,即判斷其接收到的封包表頭特征值的運(yùn)算結(jié)果是否等于一預(yù)測(cè)的累進(jìn)數(shù)值,以確認(rèn)該請(qǐng)求端的安全等級(jí)。當(dāng)該封包表頭特征值的運(yùn)算結(jié)果等于該累進(jìn)數(shù)值時(shí),則代表該請(qǐng)求端的安全等級(jí)為高;反之,當(dāng)該封包表頭特征值的運(yùn)算結(jié)果不等于該累進(jìn)數(shù)值時(shí),則該請(qǐng)求端的安全等級(jí)為低。
      步驟S230,為一組態(tài)交換(setting exchange)過(guò)程,即當(dāng)前述安全偵測(cè)單元確認(rèn)該請(qǐng)求端的安全等級(jí)為高時(shí),則利用一組態(tài)交換單元130使請(qǐng)求端與發(fā)送端之間協(xié)商出在網(wǎng)絡(luò)連結(jié)時(shí)都認(rèn)同的通訊協(xié)議,以決定一對(duì)應(yīng)的安全服務(wù)例程。
      步驟S240,為一第三層封包處理服務(wù)(Layer 3 packet process service)過(guò)程,其利用一第三層封包處理單元140依據(jù)前述通訊協(xié)議的一安全服務(wù)設(shè)定值對(duì)該請(qǐng)求端與發(fā)送端之間傳送的封包的第三層(Layer 3)的凈荷(Payload)進(jìn)行安全服務(wù)例程的運(yùn)算處理。
      步驟S250,利用一協(xié)商機(jī)制150,確認(rèn)請(qǐng)求端與發(fā)送端雙方皆已完成連結(jié)以釋放系統(tǒng)資源。當(dāng)此次初始網(wǎng)絡(luò)連結(jié)結(jié)束后,即恢復(fù)到步驟S200,針對(duì)下一初始網(wǎng)絡(luò)連結(jié)的封包進(jìn)行處理。
      請(qǐng)進(jìn)一步見(jiàn)圖5的依據(jù)發(fā)明的一第一實(shí)施例,顯示一配置一依據(jù)本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)52的請(qǐng)求端50與一發(fā)送端54進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程,其中當(dāng)該請(qǐng)求端50發(fā)出一包含SYN信息及表頭特征值SN0的封包時(shí),該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)52會(huì)進(jìn)行前述步驟S222的封包加工,即以特定函數(shù)對(duì)此表頭特征值SN0進(jìn)行正向運(yùn)算f(SN0),而以一包含SYN信息及表頭特征值f(SN0)的封包傳與該發(fā)送端54。該發(fā)送端54接到后自然會(huì)將表頭特征值f(SN0)加1而產(chǎn)生一累進(jìn)數(shù)值SN1(SN1=f(SN0)+1)并以此作為新表頭特征值,回復(fù)一包含ACK、SYN信息及表頭特征值SN1的封包。當(dāng)該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)52收到此ACK+SYN+SN1封包時(shí),會(huì)進(jìn)行前述步驟S226的判斷,即先以特定函數(shù)對(duì)此表頭特征值SN1進(jìn)行反向運(yùn)算f-1(SN1),再對(duì)將該反向運(yùn)算f-1(SN1)與一預(yù)測(cè)的累進(jìn)數(shù)值SN0+1作比對(duì),發(fā)現(xiàn)該反向運(yùn)算f-1(SN1)不等于一累進(jìn)數(shù)值SN0+1,代表該發(fā)送端54并未安裝一相對(duì)的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),因此其安全等級(jí)為低。該請(qǐng)求端50的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)52不準(zhǔn)備進(jìn)行任何動(dòng)作,僅將此ACK+SYN+SN1封包傳與該請(qǐng)求端50知悉,由請(qǐng)求端50將此表頭特征值SN1加1成SN2后,再傳送ACK+SN2封包予發(fā)送端54,以結(jié)束此次連結(jié)關(guān)系。
      再見(jiàn)圖6的依據(jù)發(fā)明的一第二實(shí)施例,其情況與圖5近似,顯示一配置網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62的發(fā)送端64與一請(qǐng)求端60進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程,其中當(dāng)該請(qǐng)求端60發(fā)出一包含SYN信息及表頭特征值SN0的封包時(shí),該發(fā)送端64的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62接到后會(huì)進(jìn)行前述步驟S222的封包加工,即以特定函數(shù)對(duì)此表頭特征值SN0進(jìn)行反向運(yùn)算得出一新的表頭特征值f-1(SN0),再將一包含SYN信息及表頭特征值f-1(SN0)的封包傳與該發(fā)送端64。該發(fā)送端64接到后自然會(huì)將表頭特征值f-1(SN0)加1而產(chǎn)生一累進(jìn)數(shù)值SN1(SN1=f-1(SN0)+1)并以此作為新表頭特征值,回復(fù)一包含ACK、SYN信息及表頭特征值SN1的封包。當(dāng)該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62收到此ACK+SYN+SN1封包時(shí),會(huì)以特定函數(shù)對(duì)此表頭特征值SN1進(jìn)行正向運(yùn)算得出一新的表頭特征值f(SN1),并將此ACK+SYN+f(SN1)封包傳予請(qǐng)求端60。該請(qǐng)求端60接到后自然會(huì)將表頭特征值f(SN1)加1而成SN2(SN2=f(SN1)+1),之后以一包括ACK+SN2的封包傳予該發(fā)送端64的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62。該發(fā)送端64的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62會(huì)進(jìn)行前述步驟S226的判斷,即先以特定函數(shù)對(duì)此表頭特征值SN2進(jìn)行反向運(yùn)算f-1(SN2),再對(duì)將該反向運(yùn)算f-1(SN2)與一預(yù)測(cè)的累進(jìn)數(shù)值SN1+1作比對(duì),發(fā)現(xiàn)該反向運(yùn)算f-1(SN2)不等于累進(jìn)數(shù)值SN1+1,代表該請(qǐng)求端60并未安裝一相對(duì)的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),因此其安全等級(jí)為低。該發(fā)送端64的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)62不準(zhǔn)備提供任何安全服務(wù),僅將此ACK+SN2封包傳與該發(fā)送端64知悉,以結(jié)束此次連結(jié)關(guān)系。
      見(jiàn)圖7的依據(jù)發(fā)明的一第三實(shí)施例,顯示一各自配置網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)72,73的發(fā)送端74及請(qǐng)求端70之間進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程,其中當(dāng)該請(qǐng)求端70發(fā)出一包含SYN信息及表頭特征值SN0的封包時(shí),該請(qǐng)求端70的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)72接到后會(huì)進(jìn)行前述步驟S222的封包加工,即以特定函數(shù)對(duì)此表頭特征值SN0進(jìn)行正向運(yùn)算得出一新的表頭特征值f(SN0),再將一包含SYN信息及表頭特征值f(SN0)的封包傳與該發(fā)送端74的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)73。該發(fā)送端74的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)73接到后會(huì)進(jìn)行前述步驟S223的封包加工,即以特定函數(shù)對(duì)此表頭特征值f(SN0)進(jìn)行反向運(yùn)算得出一表頭特征值SN0,再將一包含SYN信息及表頭特征值SN0的封包傳與該發(fā)送端74。該發(fā)送端74接到后自然會(huì)將表頭特征值SN0加1而產(chǎn)生一累進(jìn)數(shù)值SN1(SN1=SN0+1)并以此作為新表頭特征值,同復(fù)一包含ACK+SYN+SN1的封包。當(dāng)該發(fā)送端74的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)73收到此ACK+SYN+SN1封包時(shí),會(huì)進(jìn)行前述步驟S224,即以特定函數(shù)對(duì)此表頭特征值SN1進(jìn)行正向運(yùn)算得出一新的表頭特征值f(SN1),并將此ACK+SYN+f(SN1)封包傳予該請(qǐng)求端70的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)72。該請(qǐng)求端70的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)72會(huì)進(jìn)行前述步驟S226的判斷,即先以特定函數(shù)對(duì)此表頭特征值f(SN1)進(jìn)行反向運(yùn)算f-1(f(SN1)),以得出運(yùn)算結(jié)果SN1,再對(duì)將該運(yùn)算結(jié)果SN1與一預(yù)測(cè)的累進(jìn)數(shù)值SN0+1作比對(duì),發(fā)現(xiàn)該SN1正等于累進(jìn)數(shù)值SN0+1,代表該請(qǐng)求端70有安裝一相對(duì)的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),因此其安全等級(jí)為高。該發(fā)送端74的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)73開(kāi)始準(zhǔn)備提供安全服務(wù),并將此ACK+SYN+SN1封包傳予請(qǐng)求端70,使請(qǐng)求端70接到后自然會(huì)將表頭特征值SN1加1而產(chǎn)生一累進(jìn)數(shù)值SN2(SN2=SN1+1)并以此作為新表頭特征值,以包含ACK+SN2的封包傳予該發(fā)送端74知悉,以結(jié)束此次連結(jié)關(guān)系。
      見(jiàn)圖8的依據(jù)發(fā)明的一第四實(shí)施例,顯示一各自配置網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)82,83的發(fā)送端84及請(qǐng)求端80之間進(jìn)行三向握手的初始網(wǎng)絡(luò)連結(jié)過(guò)程。圖8與圖7類似,差異之處在于圖7第三實(shí)施中請(qǐng)求端70的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)72負(fù)責(zé)安全等級(jí)判斷,圖8第四實(shí)施例中發(fā)送端84的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)83負(fù)責(zé)安全等級(jí)判斷,其余原理皆相同。
      綜上所述,可知依據(jù)本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法,無(wú)論是對(duì)客戶端對(duì)服務(wù)器端(Client-To-Server)或點(diǎn)對(duì)點(diǎn)(peer-to-peer)的網(wǎng)絡(luò)架構(gòu),因僅針對(duì)第三層(Layer 3)的封包凈荷(payload)進(jìn)行加工以執(zhí)行特定的安全服務(wù)例程,而未更動(dòng)第三層(Layer 3)的網(wǎng)絡(luò)地址(IP address),故能提供較高的網(wǎng)絡(luò)通透性,且不會(huì)增加系統(tǒng)的復(fù)雜度或降低穩(wěn)定性。此外,本發(fā)明的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)能自動(dòng)偵測(cè)聯(lián)機(jī)對(duì)方的安全等級(jí)的高低,以決定是否對(duì)請(qǐng)求端及發(fā)送端之間傳送的封包執(zhí)行一相對(duì)的安全服務(wù)例程。當(dāng)發(fā)現(xiàn)該聯(lián)機(jī)對(duì)方的安全等級(jí)為低,則將之后的封包不經(jīng)處理而直接經(jīng)由第二層橋接器102流出,故無(wú)需如公知技術(shù)對(duì)每一要求聯(lián)機(jī)的請(qǐng)求端都提供安全服務(wù),故能減少網(wǎng)絡(luò)擁塞問(wèn)題并提升主系統(tǒng)的執(zhí)行效能。
      雖然本發(fā)明已以較佳實(shí)施例揭示如上,然而其并非用以限定本發(fā)明,任何本領(lǐng)域技術(shù)人員,在不脫離本發(fā)明的精神和范圍內(nèi),可做一些更動(dòng)與潤(rùn)飾。
      權(quán)利要求
      1.一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)中,包括連結(jié)判斷單元,判斷任一請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié);安全環(huán)境偵測(cè)單元,在該連結(jié)判斷單元確認(rèn)該請(qǐng)求端的連結(jié)請(qǐng)求是被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),該安全環(huán)境偵測(cè)單元進(jìn)一步判斷該請(qǐng)求端的安全等級(jí)的高低;組態(tài)交換單元,在該安全環(huán)境偵測(cè)單元確認(rèn)判斷該請(qǐng)求端的安全等級(jí)為高時(shí),令請(qǐng)求端與發(fā)送端之間協(xié)商出在網(wǎng)絡(luò)連結(jié)時(shí)皆需認(rèn)同的通訊協(xié)議,決定一對(duì)應(yīng)的安全服務(wù)例程;第三層封包處理單元,依據(jù)所述通訊協(xié)議,對(duì)該請(qǐng)求端與發(fā)送端之間傳輸?shù)姆獍鼒?zhí)行所述安全服務(wù)例程;以及協(xié)商機(jī)制,確認(rèn)請(qǐng)求端與發(fā)送端雙方皆已完成連結(jié),釋放系統(tǒng)資源。
      2.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于包括至少一動(dòng)態(tài)橋接器。
      3.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該連結(jié)判斷單元進(jìn)一步具有一檢查表預(yù)先記錄每一被授權(quán)的網(wǎng)絡(luò)連結(jié)的數(shù)據(jù),其包括第二層的網(wǎng)卡物理地址、第三層的因特網(wǎng)地址或第4層的服務(wù)端口號(hào)碼。
      4.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該連結(jié)判斷單元判斷該請(qǐng)求端的連結(jié)請(qǐng)求不是被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),將該請(qǐng)求端傳出的任一數(shù)據(jù)封包直接經(jīng)由一第二層橋接器送出。
      5.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該安全環(huán)境偵測(cè)單元進(jìn)一步具有一封包加工機(jī)制,在請(qǐng)求端及發(fā)送端之間的初始連結(jié)過(guò)程中,對(duì)經(jīng)由該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)傳出的任一封包的表頭的特征值進(jìn)行特定函數(shù)的正向運(yùn)算,并對(duì)該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)接收到的任一封包的表頭特征值進(jìn)行該特定函數(shù)的反向運(yùn)算。
      6.如權(quán)利要求5所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該請(qǐng)求端及發(fā)送端之間的初始連結(jié)過(guò)程為一三向握手的連結(jié)過(guò)程,過(guò)程中分別傳輸包括SYN封包、ACK+SYN封包及ACK封包。
      7.如權(quán)利要求5所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該安全環(huán)境偵測(cè)單元依據(jù)對(duì)接收到的封包表頭特征值的運(yùn)算結(jié)果是否等于一預(yù)測(cè)的累進(jìn)數(shù)值以確認(rèn)該請(qǐng)求端的安全等級(jí)。
      8.如權(quán)利要求7所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該封包表頭特征值的運(yùn)算結(jié)果等于該累進(jìn)數(shù)值時(shí),該請(qǐng)求端的安全等級(jí)為高。
      9.如權(quán)利要求7所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該封包表頭特征值的運(yùn)算結(jié)果不等于該累進(jìn)數(shù)值時(shí),該請(qǐng)求端的安全等級(jí)為低。
      10.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于請(qǐng)求端與發(fā)送端雙方認(rèn)同的該通訊協(xié)議,包括一安全服務(wù)設(shè)定值。
      11.如權(quán)利要求10所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該安全服務(wù)例程進(jìn)一步包括加/解密服務(wù)、數(shù)字簽章服務(wù)或字符串比較服務(wù)。
      12.如權(quán)利要求11所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該加/解密服務(wù)例程的安全服務(wù)設(shè)定值進(jìn)一步包括加密算法及對(duì)應(yīng)的加/解密金鑰。
      13.如權(quán)利要求10所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于該第三層封包處理單元執(zhí)行所述安全服務(wù)例程時(shí),利用所述安全服務(wù)設(shè)定值對(duì)該請(qǐng)求端與發(fā)送端之間傳送的封包的第三層的凈荷進(jìn)行運(yùn)算處理。
      14.如權(quán)利要求1所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng),其特征在于進(jìn)一步包括兩個(gè)相對(duì)的動(dòng)態(tài)橋接器,分別鄰近配置于所述請(qǐng)求端與發(fā)送端。
      15.一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,適用于連接至少一請(qǐng)求端及一發(fā)送端的網(wǎng)絡(luò)系統(tǒng)中,包括利用一安全偵測(cè)單元依據(jù)請(qǐng)求端與發(fā)送端之間的初始連結(jié)過(guò)程,判斷該請(qǐng)求端的安全等級(jí)的高低;當(dāng)確認(rèn)該請(qǐng)求端的安全等級(jí)為高時(shí),使請(qǐng)求端與發(fā)送端之間協(xié)商出在網(wǎng)絡(luò)連結(jié)時(shí)皆認(rèn)同的通訊協(xié)議,以決定一對(duì)應(yīng)的安全服務(wù)例程;依據(jù)所述通訊協(xié)議,對(duì)該請(qǐng)求端與發(fā)送端之間傳輸?shù)姆獍鼒?zhí)行所述安全服務(wù)例程;以及確認(rèn)請(qǐng)求端與發(fā)送端雙方都已完成連結(jié)以釋放系統(tǒng)資源。
      16.如權(quán)利要求15所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于利用一連結(jié)判斷單元判斷任一請(qǐng)求端的初始連結(jié)的請(qǐng)求是否為一被授權(quán)的網(wǎng)絡(luò)連結(jié)。
      17.如權(quán)利要求16所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于該連結(jié)判斷單元,進(jìn)一步具有一檢查表預(yù)先記錄每一被授權(quán)的網(wǎng)絡(luò)連結(jié)的數(shù)據(jù),包括第二層的網(wǎng)卡物理地址、第三層的因特網(wǎng)地址或第4層的服務(wù)端口號(hào)碼。
      18.如權(quán)利要求16所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于當(dāng)該連結(jié)判斷單元判斷該請(qǐng)求端的連結(jié)請(qǐng)求不是被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則將該請(qǐng)求端傳出的任一數(shù)據(jù)封包直接經(jīng)由一第二層橋接器送出。
      19.如權(quán)利要求16所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于當(dāng)該連結(jié)判斷單元判斷該請(qǐng)求端的連結(jié)請(qǐng)求確為被授權(quán)的網(wǎng)絡(luò)連結(jié)時(shí),則同意請(qǐng)求端及發(fā)送端之間進(jìn)行初始連結(jié)過(guò)程。
      20.如權(quán)利要求15所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于在請(qǐng)求端及發(fā)送端之間的初始連結(jié)過(guò)程中,對(duì)于經(jīng)由該安全偵測(cè)單元傳出的任一封包的表頭的特征值進(jìn)行特定函數(shù)的正向運(yùn)算,并對(duì)該安全偵測(cè)單元接收到的任一封包的表頭特征值進(jìn)行該特定函數(shù)的反向運(yùn)算。
      21.如權(quán)利要求15所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于該請(qǐng)求端及發(fā)送端之間的初始連結(jié)過(guò)程為一三向握手的連結(jié)過(guò)程,過(guò)程中分別傳輸包括SYN封包、ACK+SYN封包及ACK封包。
      22.如權(quán)利要求20所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于該安全偵測(cè)單元依據(jù)其接收到的封包表頭特征值的運(yùn)算結(jié)果是否等于一預(yù)測(cè)的累進(jìn)數(shù)值,以確認(rèn)該請(qǐng)求端的安全等級(jí)。
      23.如權(quán)利要求22所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于當(dāng)該封包表頭特征值的運(yùn)算結(jié)果等于該累進(jìn)數(shù)值時(shí),則該請(qǐng)求端的安全等級(jí)為高。
      24.如權(quán)利要求22所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于當(dāng)該封包表頭特征值的運(yùn)算結(jié)果不等于該累進(jìn)數(shù)值時(shí),則該請(qǐng)求端的安全等級(jí)為低。
      25.如權(quán)利要求15所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于請(qǐng)求端與發(fā)送端雙方認(rèn)同的該通訊協(xié)議,包括一安全服務(wù)設(shè)定值。
      26.如權(quán)利要求25所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于該安全服務(wù)例程進(jìn)一步包括加/解密服務(wù)、數(shù)字簽章服務(wù)或字符串比較服務(wù)。
      27.如權(quán)利要求26所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方,其特征在于該加/解密服務(wù)例程的安全服務(wù)設(shè)定值進(jìn)一步包括加密算法及對(duì)應(yīng)的加/解密金鑰。
      28.如權(quán)利要求27所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于當(dāng)執(zhí)行所述安全服務(wù)例程時(shí),利用所述通訊協(xié)議的安全服務(wù)設(shè)定值對(duì)該請(qǐng)求端與發(fā)送端之間傳送的封包的第三層的凈荷進(jìn)行運(yùn)算處理。
      29.如權(quán)利要求15所述的網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)方法,其特征在于進(jìn)一步包括兩個(gè)相對(duì)的動(dòng)態(tài)橋接器,分別鄰近配置于所述請(qǐng)求端與發(fā)送端。
      全文摘要
      本發(fā)明涉及一種網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)及方法,適用于連接一發(fā)送端及一請(qǐng)求端的網(wǎng)絡(luò)系統(tǒng)中,主要包括連結(jié)判斷單元、第二層橋接器、安全環(huán)境偵測(cè)單元、組態(tài)交換單元、第三層封包處理單元及協(xié)商機(jī)制。該網(wǎng)絡(luò)安全動(dòng)態(tài)偵測(cè)系統(tǒng)鄰近位于該請(qǐng)求端及/或發(fā)送端,自動(dòng)偵測(cè)聯(lián)機(jī)雙方的安全環(huán)境等級(jí),以對(duì)該請(qǐng)求端及發(fā)送端之間的網(wǎng)絡(luò)封包提供一適當(dāng)?shù)陌踩?wù)例程,而無(wú)需如公知技術(shù)對(duì)每一要求聯(lián)機(jī)的請(qǐng)求端都提供安全服務(wù),故能減少網(wǎng)絡(luò)擁塞問(wèn)題并提升主系統(tǒng)的執(zhí)行效能。
      文檔編號(hào)H04L29/06GK1725726SQ20041005493
      公開(kāi)日2006年1月25日 申請(qǐng)日期2004年7月21日 優(yōu)先權(quán)日2004年7月21日
      發(fā)明者呂致中, 林合仁 申請(qǐng)人:威達(dá)電股份有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1