专利名称:限制外来访问的方法和系统的制作方法
技术领域:
本发明主要涉及到用于控制通过互联网外来访问的方法和设备,特别涉及到一种控制通过互联网外来访问的方法以及实现该方法的设备,所述设备接收通过一网络接口卡发送/接收的信息包,将它们存储于发送/接收缓冲器中,从存储的信息包中提取地址,将提取的地址和存储于和网络接口卡通讯的一存储列表中的安全的IP地址相比较,以及按照比较的结果决定许可访问还是禁止访问。
背景技术:
在互联网协议于1983年形成标准化之后,互联网主要通过政府、大企业和许多大学计算机网络以各种诸如e-mail、文件传输(FTP)、Gopher(基于菜单驱动的Internet信息查询工具)、网络新闻等等用途已经得到了普及。而且,当美国的国家科学基金会(NSF)在1985年构建NSFNET时,NSF采用了TCP/IP作为基础通讯协议。TCP/IP是ARPA(美国国防部高级研究计划署)的互联网协议。因此,NSFNET作为互联网的骨干网络已经得到了飞速的普及。另外,在1988年,ARPA开始升级ARPANET的原始设备。当ARPANET在1990年不再被用于军事应用时,互联网最终以私有网络重现。此外,在众多的伴随着信息社会进步出现的现象中,已经存在媒体和通讯网络的集成。因为这种集成,互联网随着互联网的发展已经成为很有价值的媒体。随着已经开发出来的先进的信息和通讯技术,互联网已经深入到日常的社会生活,这样极大的利润就产生了。然而,另一方面,互联网也产生了极大的社会问题。
图1所示为应用于常规企业的典型网络的构架图。参照图1,常规企业的网络通常被建成如图1所示。该网络包括一连接到互联网上的路由器10,以确定一条最佳路径并且发送信息包到确定的路径;和一连接到路由器10上的防火墙20。防火墙20用于规划在两个网络之间的访问控制策略。另外还有按照访问控制需要去保护的各种服务器或者主机60和80等等,它们通过一开关集线器70被连接到防火墙20的后端。此外,服务器通常可以被分类为邮件服务器40、网络服务器30、FTP服务器50等等。各服务器的功能在本领域内是公知的,因此功能的详细说明被省略。而且,主机60和80,它们是由用户使用的个人计算机,通过开关集线器70被连接到防火墙20的后端。主要的和工作相关的数据被存储在企业中使用的主机60和80内。然而,通过互联网的窃用(hacking)技术已变得日益智能化,直接针对主机60和80窃用,而不是对服务器窃用的企图日益增加。当对主机60和80的窃用成为企图,从计算机上流失重要数据的危险性就变得非常大。
同时,个人计算机并不是在根本上不同于正规计算机。个人计算机用户面对的安全问题包括程序、数据和硬件的机密性、完整性和可用性,和大型计算机所面临的问题是同样的。因此,标准控制技术,诸如访问限制列表、保护存储器、用户认证技术、可靠的操作系统等等即便是在个人计算机环境下也必须同等地被应用。然而,典型地,和大型计算机或类似类型的计算机比起来,个人计算机在它的安全控制方面并不严格。此外,甚至大型计算机对于内部用户造成的数据毁灭也不是安全的。个人计算机几乎不提供针对外部互联网用户蓄意窃用的硬件级保护。典型的硬件级保护装置通常用于服务器。然而,这样的硬件级保护装置的问题在于对于小和中等规模的企业来说使用起来太贵了。此外,还有另外一个问题就是,即使企业购买了提供硬件级保护的装置,由于能够控制装置的人员的短缺也会使得装置的管理通常不是最佳的,因此在很多情况下该装置变得毫无用处。
还有,只有少数的企业为主机60和80运行各自的安全服务器,也就是说,计算机是为了工作才设置的。为了解决上述问题,用户为客户端个体安装和使用安全程序。上述个体防火墙的问题在于它是由软件形式实现的,并且安装防火墙的用户必须直接管理程序,因此由于管理的疏漏造成的窃用的危险性总是存在。
另外,在家庭使用的典型的计算机中,使用xDSL的通讯环境随着互联网的发展占有主导地位。而且,以家庭使用的计算机为目标的窃用方法已经产生如简单的程序,并且已在通讯环境下广为传播。这些窃用程序的例子是Back Orifice 2K、Schoolbus、Netbus、Subseven y3k等等。精通使用计算机的人仅通过研究上述窃用程序的手册就可以轻易地窃用其它人的个人计算机。然而,按照用户的运算级别,防止窃用的方法是不同的。用户级安全保障提供各种保护方法,例如文件加密、屏幕锁定、IP控制、端口控制、访问日志控制、过程任务管理窗口、共享控制等等功能。然而,有一个问题,只有很少的客户端用户能相应地维护安装并对这样的程序进行管理。
发明内容
因此,本发明就是致力于解决发生在现有技术中的上述问题,并且本发明的目的是提供一种控制通过互联网外来的蓄意访问的方法和装置。
本发明的另一目的是提供一种控制外来访问的方法和装置,它能够防止用户任意移除信息包。
本发明的又一目的是提供一种控制通过互联网外来访问的方法和装置,它可通过每一台用户计算机运行而无需额外的防火墙。
本发明的另一目的是提供一种控制通过互联网外来访问的方法和装置,它不需要额外的管理员。
为了实现上述目的,本发明使用了一个用于存储和网络接口卡通讯的一个可访问地址列表的存储单元,从通过网络接口卡发送/接受的信息包中提取一个地址,将提取的地址和可访问地址列表中的地址相比较,并且按照比较结果确定许可访问还是禁止访问。从一用户主机(60)向外的访问可自由地进行,从外向用户主机(60)的任何无理的访问请求都可以被禁止。另外,由用户主机(60)首先提出访问请求的外部终端接受从用户主机(60)来的访问请求。
本发明的上述和其它目的、特征和其它的优点从下面的结合附图的详细说明中将会被更清晰地理解,其中图1所示为用于常规企业中的典型网络结构图;图2所示为使用一个SYN位的访问请求过程的概念图;图3所示为按照本发明的优选实施例实现一种控制通过互联网进行外来访问的方法的网络结构图;
图4所示为按照本发明的优选实施例具有通过互联网的访问控制功能的网络接口卡的内部结构的方块图;图5是通过地址确定单元检测接收信息包来许可/禁止访问请求的过程的流程图;和图6是通过地址确定单元检测发送信息包来许可/禁止访问请求的过程的流程图。
具体实施例方式
图2所示为使用SYN位的访问请求过程的概念图。当通过互联网进行通讯时,传输数据到一个对应的计算机的最典型方法是使用传输控制协议(TCP)进行数据传输。TCP提供流式的面向连接的服务,它是可靠的,也就是,通过再传输执行错误控制和流控制。TCP在两个通讯的计算机的逻辑终端之间建立一个连接。在两台计算机之间进行通讯之前,称为握手(Handshake)的控制信息被传输。用于TCP中的握手被称为三方信号交接,因为三个信息段被交换。一个用户主机60通过发送一信息段到一连接器主机80启动访问。在该信息段内包含有一个‘同步序列号’(SYN)位。该信息段通知连接器主机80,用户主机60想要开始访问,并且分配一序列号,用户主机60使用该序列号作为信息段的起始号。连接器主机80通过发送一内设有ACK和SYN位的信息段到用户主机60来应答。另外,来自连接器主机80的信息段通知用户主机60,连接器主机80已经接收了来自用户主机60的信息段,并且通知用户主机60连接器主机80要使用的起始序列号。最后,用户主机60向连接器主机80发送一信息段,表明用户主机60已经接收到来自于连接器主机80的信息段,并且发送第一个有效数据到连接器主机80,这样就使得用户主机60和连接器主机80之间可以可靠地交换数据。上述方法是三方信号交接方法,它对应于用户需要通过TCP访问一台计算机时最常使用的方法。
下面,将参照附图对本发明的实施例进行详细描述。
参照图3,一种控制通过互联网进行外来访问的方法详细说明如下。图3所示为按照本发明的优选实施例实现一种控制通过互联网外来访问的方法的网络结构图。
安装在用户主机60中的网络接口卡100被构造成可以和可访问的地址存储单元200进行通讯。对应于从连接器主机80到用户主机60的一个访问请求的信息包被构造成必须通过网络接口卡100。因此,网络接口卡100从通过的信息包中提取源地址并把提取的源地址和存储在可访问地址存储单元200中的地址相比较。按照比较的结果,如果和源地址相同的地址存在于可访问地址存储单元200中,则网络接口卡100传递该信息包。相反,如果和源地址相同的地址在可访问地址存储单元200中不存在,则网络接口卡100移除该信息包。另外,为了方便主机之间的接口,如果用户主机60再次请求访问外部连接器主机80,则网络接口卡100可以将最近请求访问过的地址存储到一个附加缓冲器中,以便于以后的地址搜索,从而等待从用户主机60请求访问的连接器主机80上接收来的一个应答信号。因此,如果该用户主机60请求访问该连接器主机80,则对信息包的传输没有限制,并且对应于从该连接器主机80到用户主机60的访问请求的信息包被移除。然而,如果按照用户主机60的一个请求,连接器主机80的一个访问请求被输入,则网络接口卡100临时性地将信息包存储在一个缓冲器中以便于传递信息包。因此,如果从发送的信息包中提取的地址作为一个可访问地址存在于该缓冲器中,则连接器主机80可以访问用户主机60。如上所述,由于用户主机60使用互联网等进行数据检索需要频繁地访问外部服务器300,从用户主机60到外部服务器 00的访问的信息包为信息包的自由传输的目的不受到限制。另外,即使从外部服务器300来的访问请求的信息包被发送,通过对外部服务器300设置一个许可访问的标志,对外部服务器300的访问仍然可以被许可。因此,即使在用户通过互联网站购买商品时电子付款中也不存在限制。
下面,将参照图4对按照本发明的优选实施例的网络接口卡进行详细描述。图4所示为按照本发明具有通过互联网的访问控制功能的网络接口卡的内部结构的方块图。
该网络接口卡100使用计算机之间通讯用的PCI总线。网络接口卡100包括一个媒体访问控制(MAC)处理单元150,用于处理通过PCI总线传输的信息包的MAC;一个PHY处理单元160,用于处理物理层;一个信息包处理所需的缓冲器120;一个引导ROM(BootROM)和一个连接器等。
本发明的网络接口卡100进一步包括一地址确定单元110,一可访问地址存储单元200,一发送包队列130,和一接收包队列140。另外,网络接口卡100可以被实现成进一步包括缓冲器120,用于将信息存储到从用户计算机到连接器主机80或者到外部服务器300的访问请求中。
参照图4,地址确定单元110被连接到前一阶段的MAC处理单元150;然而它也可以被置于MAC处理单元150和PHY处理单元160之间,或者它可以被连接到下一阶段的PHY处理单元160。另外,在图4中,发送包队列130和接收包队列140被分开放置;然而它们也可以被集成进单一的包队列中。
地址确定单元110从通过以太网(Ethernet)/PCI总线传输的信息包中提取源/目标地址。目标地址从通过PCI总线传输的信息包中提取,同时源地址从通过以太网总线传输的信息包中提取。地址确定单元110从输入信息包中提取一个地址,把该地址和存储在缓冲器120或者可访问地址存储单元200中的一个地址列表相比较,并且按照比较的结果确定是否传递该信息包。另外,地址确定单元110可以检测所有通过其间的信息包。然而,最好确定输入信息包是否是处理的目标,传递不是处理目标的信息包,然后确定是否传递只是处理目标的信息包。是处理目标的信息包最好被限定为使用TCP和UDP的包。被输入到地址确定单元110中的信息包临时存储在发送包队列130或者接收包队列140中,如同下面说明的,通过地址确定单元110。地址确定单元110进一步执行一个将从信息包中提取出来的地址存入缓冲器120中的功能。
另外,可访问地址存储单元200为用户主机60的外部计算机来的访问请求存储永久许可的计算机地址,并且被构造成可以和网络接口卡100通讯。也就是,可访问地址存储单元200可以被存储在安装在计算机中的硬盘中,或者网络接口卡100可以包含额外的存储装置。非易失性的存储器,诸如闪存、EEPROM等等,被用来作为额外的存储装置。存储在可访问地址存储单元200中的内容是对应于可访问计算机的IP地址的数字,或者是对应于其URL地址的字符值。最好,数字和字符值不以它们原有的形式储存到可访问地址存储单元200中,而是以经过散列函数散列(Hash)处理过的格式存入。由于散列函数不具有反转功能,即便有人企图读取存储的内容,存储内容的值也是不可读的。另外,以散列值存储的内容具有优势,因为它们是以索引形成并存储的,因此它们和正常文件的查询比较起来能被更快速地查询。而且,可访问地址存储单元200还可以包括一个禁止访问列表,它是永久地被禁止获取访问的地址的列表,使地址确定单元110确定禁止访问。
如果用户主机60最近刚通过互联网请求过访问,则缓冲器120临时性地存储用户主机60发送的访问请求的内容,以便为再次的可以是从外部服务器300提供的访问请求传递信息包。另外,缓冲器120被构建成可以任意设定存储在缓冲器120中的最近请求过访问的包的数量。也就是,包的数量随着缓冲器120的容量的增加而增加,因此一台标准计算机用户的互联网访问的从头至尾全部访问请求包上的信息可以被存储在缓冲器120中。另外,如果缓冲器120的容量小,则最新近接收到的访问请求包被存储在缓冲器120中,并且最先接收到的访问请求包被最早移除。
另外,缓冲器120可以以非易失性存储器诸如闪存,或者易失性存储器诸如RAM来实现。然而,最好使用易失性存储器,因为它具有高访问速度。
发送包队列130用于临时性地存储从PCI总线输入到地址确定单元110中的信息包。另外,当地址确定单元110从信息包中提取地址时,发送包队列130临时性地存储信息包。之后,如果对应于访问请求的一个SYN位被设置在从用户主机60发送到外部服务器300或连接器主机80信息包中,则当一个目标地址被存储在缓冲器120中以便等待带有SYN和ACK位的信息时,发送包队列130临时性地存储包。另外,当一个可访问地址列表被存储在缓冲器120中时,发送包队列130临时性地存储包。发送包队列130和可访问地址存储单元200分开。因此,当其内设置有SYN位的一个访问请求包被从存储在缓冲器120中的可访问地址接收到时,对用户主机60的访问可以被许可。另外,发送包队列130可以以易失性存储器诸如RAM,或者非易失性存储器诸如闪存来实现。然而,考虑到访问速度,最好使用易失性存储器。
接收包队列140用于临时性地存储从以太网输入到地址确定单元110中的信息包。另外,当地址确定单元110从信息包中提取一个地址时,接收包队列140临时性地存储信息包。如果地址确定单元110确定地址为被禁止访问的,则相应的包被移除。然而,如果输入的包是对应于用户主机60请求访问的地址,则接收包队列140传递信息包,因为该地址作为一个可访问地址被存储在缓冲器120中。也就是,传输一个SYN位到用户主机60请求访问的外部计算机可以使从外部计算机接收到的SYN和ACK位是可被访问的。另外,接收包队列140可以以易失性存储器或者非易失性存储器来实现,如同发送包队列130;然而,接收包队列140最好以易失性存储器来实现。
下文中,参照图5对接收包的许可/禁止访问进行详细说明。图5是按照本发明的优选实施例的地址确定单元通过检测接收信息包许可/禁止一个访问请求的过程的流程图。
在步骤S100,安装在连接到互联网上的用户主机60中的网络接口卡100从外部服务器300或者连接器主机80接收信息包。在步骤S110,网络接口卡100通过复制接收到的信息包将接收到的信息包存储在接收包队列140中。在步骤S120,地址确定单元110从接收到的信息包中提取一个源地址。另外,在步骤S130,地址确定单元110将提取的源地址和存储在缓冲器120中的地址相比较。
对于在缓冲器120中归类的地址,在步骤S130-1,如果和提取的地址相同的地址存在,则在步骤S131确定提取的地址是否被归类为一个可访问地址。如果在步骤S132地址被归类为一个可访问的地址,则在步骤S134地址确定单元110传递信息包,而如果在步骤S133地址被归类为一个禁止访问的地址,则在步骤S135地址确定单元110移去相应的包。
另外,在步骤S130-2,如果在缓冲器120中和提取的地址相同的地址不存在,则在步骤S140地址确定单元110将提取的地址和存储在可访问地址存储单元200中的地址列表上的地址进行比较。
在步骤S150,地址确定单元110确定存储在可访问地址存储单元200中的地址列表中的任何一个地址是否等同于提取的地址。如果在步骤S150-1确定地址列表中的任何一个地址都不同于提取的地址,则在步骤S151地址相应为接收禁止。因此,在步骤S152提取的地址作为一个禁止访问的地址被记录在缓冲器中,并且在步骤S153相应的信息包被移去。
另外,如果在步骤S150-2确定存储在可访问地址存储单元200中的地址列表中的任何一个地址和提取的地址相同,则在步骤S160提取的地址作为一个许可访问的地址被记录在缓冲器中,并且在步骤S170相应的信息包被传递。
下文中,参照图6对发送的信息包的许可/禁止访问进行说明。图6是按照本发明的优选实施例的地址确定单元通过检测发送信息包许可/禁止一个访问请求的过程的流程图。
如果用户主机60请求访问连接器主机80或者外部服务器300,诸如任意的使用Web浏览器或者其它应用程序的Web服务器30,则在步骤S200安装在用户主机60中的网络接口卡100接收发送的信息包。从而,在步骤S210网络接口卡100将信息包存储进发送包队列130。在步骤S220中地址确定单元110从接收到的信息包中提取目标地址,并且在步骤S230中将提取的目标地址和存储在缓冲器120中的地址相比较。
在步骤S230-1,如果和提取的目标地址相同的地址存在于缓冲器120中,则在步骤S231地址确定单元110传递相应的信息包;而在步骤S230-2,如果和提取的目标地址相同的地址在缓冲器120中不存在,则在步骤S240地址确定单元110确定是否有一个SYN位被设置在信息包中。
在步骤S240-1,如果SYN位被设置在信息包中,则在步骤S250目标地址被作为一个可访问地址记录在缓冲器中,并且在步骤S260用于接收即将从目标地址发送的带有一个ACK位的信息包的等待状态被存储。另外,在步骤S270地址确定单元110传递信息包从而使信息包通过以太网发送到外面。
另一方面,在步骤S240-2,如果SYN位没有被设置在信息包中,则在步骤S241目标地址被存储在缓冲器中。另外,在步骤S242地址确定单元110传递信息包从而使信息包通过以太网发送到外面。
虽然本发明的优选实施例为了说明的目的已经公开,本领域的技术人员将会意识到,没有偏离所附权利要求所公开的本发明的范围和精神的各种修改、添加和替换都是可能的。
工业应用性如上所述,按照本发明的用于控制通过互联网进行外来访问的一种方法和装置的优势在于,它能够控制通过互联网进行外来的蓄意访问。
另外,本发明的优势在于,它能够防止用户任意地删除或者移除信息包。
而且,本发明的优势在于,它能够通过使用每一台独立的计算机而无需额外的防火墙来控制通过互联网的外来访问。
再有,本发明的优势在于,它能够控制通过互联网的外来访问而无需额外的访问控制管理。
权利要求
1.一种控制通过互联网进行外来访问的方法,该方法通过一网络接口卡进行处理,包括以下步骤接收通过所述网络接口卡发送/接收的一或多个信息包,并将所述信息包存储在一发送/接收缓冲器中;从所述存储的信息包中提取一个地址;将所述提取的地址和存储在一个和所述网络接口卡通讯的存储列表中的安全IP地址相比较;和按照所述比较的结果确定许可访问还是禁止访问。
2.一种控制通过互联网外来访问的方法,该方法通过一网络接口卡进行处理,包括以下步骤在一预定的区域存储由所述网络接口卡接收的一或多个信息包,并且从所述信息包中提取一个地址;检测是否有一个和所述提取的地址相同的地址存储在一个和所述网络接口卡通讯的可访问列表中;和通过检测是否有和所述提取的地址相同的地址存储在所述可访问列表中确定许可访问/禁止访问。
3.如权利要求1或2的访问控制方法,进一步还包括以下步骤在所述缓冲器中存储通过所述网络接口卡发送的信息包中的一个在其中设置有一个SYN位的信息包,并且从所述信息包中提取一个地址;通过所述网络接口卡发送所述其中设置有SYN位的信息包;和从和所述提取的地址相同的地址接收带有一个ACK位的一个信息包,并且在所述缓冲器中设置一个可访问标志。
4.如权利要求1或2的访问控制方法,进一步还包括以下步骤在所述缓冲器中存储通过所述网络接口卡发送的信息包中的一个内部设置有一个SYN位的信息包,并且从所述信息包中提取和存储一个地址;将所述提取的地址和所述缓冲器中存储的每一个地址相比较,并且确定所述地址是否相同和是否设置有一个可访问标志;和如果所述比较的地址是相同的并且可访问标志被设置,则传递所述接收到的信息包。
5.如权利要求1或2的访问控制方法,进一步还包括以下步骤在所述缓冲器中存储通过所述网络接口卡接收的信息包中的一个内部设置有一个SYN位的信息包,并且从所述信息包中提取和存储一个地址;将所述提取的地址和所述缓冲器中存储的每一个地址相比较,并且确定所述地址是否相同和是否设置有一个可访问标志;和如果所述比较的地址不相同并且可访问标志没有被设置,则移除所述接收到的信息包。
6.一种控制通过互联网进行外来访问的装置,包括一可访问地址存储单元,用于存储依照请求许可被访问的计算机的安全地址;一发送包队列,用于临时性地存储要被发送到外面的发送信息包;一接收包队列,用于临时性地存储从外面接收到的接收信息包;和一地址确定单元,用于从接收信息包中提取一个地址,参照所述可访问地址存储单元确定所述提取的地址是否是许可访问的,如果和所述提取的地址相同的地址在所述可访问地址存储单元中不存在,则移除接收到的信息包,并且如果和所述提取的地址相同的地址在所述可访问地址存储单元中存在,则接受所述接收到的信息包。
7.如权利要求6的访问控制装置,其特征在于,所述可访问地址存储单元使用散列函数以加密格式存储地址信息。
全文摘要
本发明公开了一种用于控制通过互联网进行外来访问的方法和装置。本发明使用了一个用于存储和网络接口卡通讯的一个可访问地址列表的存储单元,从通过网络接口卡发送/接收的信息包中提取地址,将提取的地址和可访问地址列表中的地址相比较,并且按照比较的结果确定许可访问或禁止访问。本发明的网络接口卡和用于存储互联网上的安全可访问列表的存储装置通讯。另外,网络接口卡的一个地址确定单元从自外面接收到的信息包中提取地址并只许可可靠的计算机访问,从而控制蓄意访问。另外,本发明使用一个服务器按照用户的需求为可访问地址或者禁止访问地址提供更新服务。
文档编号G06F17/00GK1503952SQ02808192
公开日2004年6月9日 申请日期2002年4月4日 优先权日2001年4月11日
发明者安贸卿 申请人:Safei有限公司