专利名称:客户端网页浏览控管系统及方法
技术领域:
本发明属于一种网页浏览控管系统。具体地说,其为关于一种可于客户端进行网 页浏览控管的系统。
背景技术:
在现今信息数字化的时代,计算机与网络已成为各行各业必备的工具,对于信息 的处理,大多已少不了计算机与网络。许多个人信息与重要的企业信息大多是借由计算机 加以处理并储存成电子文件,再借由网络加以流通,亦或是直接通过网络存取数据。然而, 计算机与网络的方便亦形成了信息安全上的一大缺口。恶意的使用者可能会通过网络侵入 企业内部的信息系统,或窃取数据,或恶意破坏,进而对企业的正常运作造成威胁。因此大 多数的企业均安装有网络防火墙,以阻挡外来的入侵。然而企业所面临的威胁并非仅仅来 自外部,许多企业均曾因公司内部人员有意或无意的信息泄漏事件而蒙受了重大的经济损 失。为了杜绝内部人员经由网络泄漏公司的机密信息,许多企业均在员工计算机(客 户端)与外部网络的连接间设有昂贵的网络网关(network gateway)与机房,如图1所示。 客户端105欲连接至外部网络120的前均需通过网络网关110加以过滤,并阻挡任何被禁 止或需管制的网页连接或动作(例如文件传输协议(filetransfer protocol, FTP)连接、 网络上传(web upload)、网络邮件(web-mail)的发送或网络硬盘(web hard disk)的存取 等)方得以通过机房115将数据封包传送至外部网络120。然而,上述传统的控管方式却存在若干问题。如图2所示,此方式虽可借由网络网 关110达到中央控管并过滤数据封包的目的,但当客户端105并未处于公司内部(如将笔 记本型计算机带出公司),亦或是处于公司内,但却借由非公司的网络接口 125连上外部网 络120时(例如通过热点(Hot Spot)或手机(GPRS、EDGE、HSDPA等)上网),则上述方式 即无法过滤传送至外部网络120的数据封包,且亦无法留下任何记录。综上所言,如何针对客户端的网页浏览加以控管,且无视其因特网连接方式,实为 目前业界一具实用性的思考方向,是以本发明提出了一种客户端网页浏览控管系统及方 法,以杜绝任何客户端的机密信息经由网络外泄。
发明内容
鉴于上述问题,本发明提供了一种客户端网页浏览控管系统及方法。本发明的客户端网页浏览控管系统包含至少一客户端计算机,该客户端计算机 包含至少一应用程序、一通讯槽(socket)接口及至少一网络适配卡,其中上述应用程序可 通过上述通讯槽接口将数据封包传送至上述网络适配卡,并借由网络适配卡与外部网络连 接;以及一网页控管模块,耦合至该客户端计算机。上述网页控管模块包含一挂接(hook) 单元、一分层服务提供(layered servic印rovider,LSP)单元及一分析单元,其中上述挂接 单元耦合至上述通讯槽接口,上述LSP单元耦合至上述挂接单元,而上述分析单元耦合至LSP单元。当通讯槽接口收到数据封包时,挂接单元将通知并加载LSP单元,以拦截数据封 包,接着分析单元将分析数据封包的标头(header),以辨识数据封包的目的,若上述数据封 包的目的需加以管制,则阻挡此数据封包,反之,则将此数据封包传送至网络适配卡。本发明的客户端网页浏览控管方法包含下列步骤首先,于一客户端的通讯槽接 口上安装一挂接程序;接着,当上述通讯槽接口收到来自一应用程序欲传送至一网络接口 的数据封包时,上述挂接程序将通知并加载一分层服务提供(LSP)程序;之后,利用上述 LSP程序拦截上述数据封包;接下来,利用一分析单元分析数据封包的标头,以辨识数据封 包的目的;最后,判断上述数据封包的目的是否需要管制,若需加以管制,则阻挡数据封包, 反之,则将数据封包传送至上述网络接口。本发明的一优点为可以有效防止客户端通过因特网流出机密信息。本发明的另一优点为可以无视于客户端的网络连接方式而控管客户端的网页浏览。关于本发明的优点与精神,可以借由以下的发明实施例详述及附图得到进一步的 了解。
110网络网关265分析单元
115机房270记录单元
120外部网络275报表单元
125非公司的网络接口S302步骤
200客户端计算机S304步骤
205应用程序S306步骤
210通讯槽接口S308步骤
215网络适配卡S310步骤
230外部网络S312步骤
250网页控管模块S314步骤
255Hook单元
具体实施例方式
下列描述为提供本发明特定的施行细节,以使本领域技术人员彻底了解这些实施 例的实行方式。然该领域的技术人员须了解本发明亦可在不具备这些细节的条件下实行。此外,本发明特定实施例细节描述中使用的术语将以最广义的合理方式解释。一般而言,Windows系统对外的所有通讯(如数据封包的传输)均需通过一通讯 槽接口(socket interface) 0通讯槽接口为一种应用程序(API)接口,其为介于应用程序 与硬件之间,并提供标准的函数(function)以符合不同的网络硬件规格。参照图3,其显示 出一般客户端(计算机)如何通过通讯槽接口与外部网络传输数据封包。简略而言,当客 户端计算机200的使用者欲与外部网络进行互动(interaction)时,其需利用一应用程序 205,例如Internet Explorer (IE)、Mozilla或Firefox等,将数据封包传送至通讯槽接口 210,通过通讯槽接口 210的函数将其转换成符合网络适配卡215的规格后,数据封包方得 以抵达外部网络230。不论客户端计算机200为通过何种网络适配卡(公司内部网络亦或 是非公司的网络接口,例如外接以太网络(Ethernet)、无线网络(wireless network)或移 动网络(mobile network)的适配卡),数据封包在借由网络适配卡215抵达外部网络230 之前均需经过通讯槽接口 210。参照图4,其为根据本发明一实施例的客户端网页浏览控管系统的示意图。于此 实施例中,客户端计算机200包含至少一应用程序205、一通讯槽接口 210及至少一网络适 配卡215。其中,应用程序205可通过通讯槽接口 210将数据封包传送至网络适配卡215, 并借其与外部网络230连接。另外,一网页控管模块250耦合至客户端计算机200。如图 所示,网页控管模块250包含一挂接(hook)单元255、一分层服务提供(layered service provider, LSP)单元260及一分析单元265。挂接单元255耦合至客户端计算机200的通 讯槽接口 210,LSP单元260耦合至挂接单元255,而分析单元265则耦合至LSP单元260。当客户端计算机200欲与外部网络230产生互动时,其将通过应用程序205传送 数据封包至通讯槽接口 210,而当通讯槽接口 210收到数据封包时,挂接单元255将通知并 加载LSP单元260,用以拦截数据封包。之后,数据封包将被传送至分析单元265,以分析数 据封包的标头(header)。由于传送的数据封包均为文字文件,可借由标头辨识出数据封包 的目的,例如FTP连接、网络上传、网络邮件的发送或网络硬盘的存取等。即使跟客户端计 算机200与外界的通讯为通过安全通讯协议(secure socket layer, SSL),由于SSL是数 据封包经过通讯槽接口 210后再进行加密,故在通讯槽接口 210时依然为明文档,故仍可辨 识出数据封包的目的。若其目的需加以管制,则阻挡数据封包,使其无法到达外部网络230, 反之,则将数据封包传送至网络适配卡215,借以抵达外部网络230。于一较佳实施例中,分析单元265的目的管制条件为预先设置的条件,但亦可由 被授权人员(authorized personnel),如企业的管理信息系统(Managementlnformation System, MIS)人员,亦或是公司主管视情况加以变更。参照图5,其为根据本发明另一实施例的客户端网页浏览控管系统的示意图。在 此实施例中,还加入了一记录单元270及一报表单元275。记录单元270耦合至分析单元 265,而报表单元275则耦合至记录单元270以及客户端计算机200。当分析单元265完成 数据封包的辨识时,不论数据封包的目的是否需要加以管制,记录单元270将记录数据封 包的网络活动(web activity)。而经记录的网络活动将通过报表单元275汇整成网页浏览 报表并传送至客户端计算机200,以利MIS人员或是主管检视客户端计算机200的网页浏览 记录。于一实施例中,客户端计算机200包含设置于公司办公室内的台式机,以及方便携带的笔记本型计算机。于较佳实施例中,客户端计算机200外接的以太网络适配卡 包含10Mbps、100Mbps、lGbps或lOGbps等以太网络适配卡;外接的无线网络适配卡包 含802. lla、802. lib,802. llg或802. lln等无线网络适配卡;而外接的移动网络适配 卡则包含 GPRS (General Packet Radio Service,通用分组无线服务)、EDGE (Enhanced Data Rate for GSM Evolution,增强型数据速率 GSM 演进)、UMTS (Universal Mobile Telecommunications System,通用移动通信系统)、HSDPA(High Speed Downlink PacketAccess, 高速下行链路分组接入) 或 HSUPA (high speed uplink packet access,高 速上行链路分组接入)等移动网络适配卡。参照图6,其为根据本发明一实施例的客户端网页浏览控管方法的流程图。如 图所示,欲于客户端进行网页浏览控管时,需先于客户端的通讯槽接口上安装一挂接程序 (S302)。而当此通讯槽接口收到来自一应用程序欲传送至一网络接口以抵达外部网络时, 挂接程序将通知并加载一 LSP程序(S304)。接着,利用LSP程序拦截数据封包(S306)。之 后利用一分析单元分析数据封包的标头,进而辨识其目的(S308)。最后,判断数据封包的目 的是否需要加以管制(S310),若需管制则阻挡数据封包,使其无法到达外部网络(S312), 反之,则将数据封包传送至网络接口,借以抵达外部网络(S314)。综上所言,本发明的客户端网页浏览控管系统与方法可无视于客户端的网络连接 方式有效控管客户端的网络活动,进而有效防止客户端流出企业的机密信息。本发明并未局限于此处所描述的特定细节特征。在本发明的精神与范畴下,其与 先前描述与附图相关的许多不同的发明变更是可被允许的。因此,本发明将由权利要求书 来定义涵括其所可能的修改与变更,而非由上方的描述来界定本发明的范畴。
权利要求
一种客户端网页浏览控管系统,其特征在于,包含至少一客户端计算机,该客户端计算机包含至少一应用程序、一通讯槽接口及至少一网络适配卡,其中该应用程序可通过该通讯槽接口将数据封包传送至该网络适配卡,并借由该网络适配卡与外部网络连接;以及一网页控管模块,耦合至该客户端计算机,该网页控管模块包含一挂接单元、一分层服务提供LSP单元及一分析单元,其中该挂接单元耦合至该客户端计算机的该通讯槽接口,该LSP单元耦合至该挂接单元,而该分析单元耦合至该LSP单元;其中当该通讯槽接口收到该数据封包时,该挂接单元将通知并加载该LSP单元,以拦截该数据封包,接着该分析单元将分析该数据封包的标头,以辨识该数据封包的目的,若该目的需加以管制,则阻挡该数据封包,反之,则将该数据封包传送至该网络适配卡。
2.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该网页控管模块 还包含一记录单元与一报表单元;记录单元耦合至该分析单元,用以记录各个该数据封包 的网络活动;而报表单元耦合至该记录单元,用以将该各个该数据封包的该网络活动汇整 成一报表并传送至该客户端计算机。
3.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该客户端计算机 包含台式机或笔记本型计算机。
4.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该应用程序为一 网页浏览器,包含IE、Firefox或Mozilla。
5.如权利要求1所述的客户端网页浏览控管系统,其特征在于,其中该网络适配卡 包含以太网络适配卡、无线网络适配卡或移动网络适配卡;其中该以太网络适配卡包含 10Mbps、100Mbps、IGbps或IOGbps以太网络适配卡;该无线网络适配卡包含802. 11a、 802. lib,802. Ilg或802. Iln无线网络适配卡;该移动网络适配卡包含GPRS、EDGE、UMTS、 HSDPA或HSUPA移动网络适配卡。
6.一种客户端网页浏览控管方法,其特征在于,该方法至少包含下列步骤于一客户端的通讯槽接口上安装一挂接程序;当该通讯槽接口收到来自一应用程序欲传送至一网络接口的数据封包时,该挂接程序 将通知并加载一分层服务提供LSP程序;利用该LSP程序拦截该数据封包;利用一分析单元分析该数据封包的标头,以辨识该数据封包的目的;以及判断该目的是否需要管制,若该目的需加以管制,则阻挡该数据封包,反之,则将该数 据封包传送至该网络接口。
7.如权利要求6所述的客户端网页浏览控管方法,其特征在于,还包含利用一记录单 元记录各个该数据封包的网络活动的步骤;同时亦包含利用一报表单元将该各个该数据封 包的该网络活动汇整成一报表并传送至该客户端的步骤。
8.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该客户端为台式 机或笔记本型计算机。
9.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该应用程序为一 网页浏览器,包含IE、Firefox或Mozilla。
10.如权利要求6所述的客户端网页浏览控管方法,其特征在于,其中该网络接口包含以太网络接口、无线网络接口或移动网络接口 ;其中该以太网络接口包含10Mbps、 100Mbps、IGbps 或 IOGbps 以太网络接口 ;该无线网络接口包含 802. Ila,802. lib,802. Ilg 或802. Iln无线网络接口 ;该移动网络接口包含GPRS、EDGE、UMTS、HSDPA或HSUPA移动网 络接口。
全文摘要
本发明公开了一种客户端网页浏览控管系统,其包含至少一客户端计算机以及一网页控管模块,耦合至上述客户端计算机。上述客户端计算机包含至少一应用程序、一通讯槽(socket)接口及至少一网络适配卡,其中上述应用程序可通过通讯槽接口将数据封包传送至网络适配卡,并借由网络适配卡与外部网络连接。上述网页控管模块包含一挂接(hook)单元、一分层服务提供(layered serviceprovider,LSP)单元及一分析单元,其中上述挂接单元耦合至上述通讯槽接口,上述LSP单元耦合至挂接单元,而上述分析单元耦合至LSP单元。此外,本发明还公开一种客户端网页浏览控管方法。
文档编号H04W88/02GK101945084SQ200910157879
公开日2011年1月12日 申请日期2009年7月9日 优先权日2009年7月9日
发明者赖颂杰 申请人:精品科技股份有限公司