专利名称:网络安全动态侦测系统及方法
技术领域:
本发明涉及一种网络安全动态侦测系统及方法,尤其涉及一种依据联机对方的安全环境以提供适当服务的桥接系统及方法。
背景技术:
随着网络技术发展的日新月异,虽然造就了数字数据传送的便捷性,但其中亦包含了许多承载私密资料如公司机密、个人ID或密码的封包(Packet)往来于公众使用的网络系统如因特网(Internet)之中,而可能面临被不肖黑客(Hacker)从中入侵或窃取的问题,因此要如何维护网络数据的传送安全,已经是非常重要之课题。目前针对网络安全,已有各类型的网络产品(InternetAppliance,IA)不断的推陈出新,像是网关(Gateway)、路由器(Router)或防火墙(Firewall)装置可装设于该网络系统的任一请求端及/或发出端以保护准备传送的数据,并采用一特定的安全标准如FTP,HTTP或Telent。
在前述网络产品中装设越多的网络安全保护机制或装置以提供各类型的安全服务如加/解密服务、数字签章、及封包过滤等服务,固然可使该网络系统的传输更为安全可靠;但是,相对的,启用越多的网络安全保护机制或装置会占用太多的网络带宽(Bandwidth),并降低主系统的处理效能。并且,为提供前述各式各样的安全服务,目前的做法不是在主系统的操作系统(OS)上安装驱动程序,就是利用路由网关(router gateway)管理数据封包的输出/入。但是,前者不仅会增加系统的复杂度,以致稳定性降低,且对公用机器如公司的公用手提电脑也不易执行后续的维护管理。后者在实际运用时要经常更动网络架构,如一拥有公开IP地址并直接连接到因特网上的机器,在接上路由网关(router gateway)时就必须更改IP地址,这样,所需要的安全服务如建立通道(Tunneling)的加/解密运算将更为复杂。
例如在一主从式(Client-Server)网络架构中,任一端可能扮演一请求端(如客户client端)向另一发送端(如服务器Server端)要求连结以下载数据,或在一点对点(peer-to-peer)网络架构下,一请求端(如客户端)向另一发送端(如数据提供端)要求连结以下载音乐或影像数据。而当有许多请求端要求与一发送端联机以下载数据时,则该发送端势必要对每一请求端逐一提供联机及前述各项安全服务,其中包括对无恶意的请求端在内,如此将使该网络系统易于拥塞或使该发送端的主系统运作效能更为降低。
发明内容
为解决上述公知技术的问题,本发明的一主要目的在于提供一种网络安全动态侦测系统及方法,适用于一发送端及一请求端如客户端对服务器端(Client-To-Server)或点对点(peer-to-peer)的网络架构中,其利用TCP/IP协议第二层(Layer 2)桥接器(bridge)无需更动第三层(Layer 3)的网络地址(IPaddress)的原理,配合对第三层(Layer 3)的封包净荷(payload)加工以执行特定的安全服务例程,故能提供较高的网络通透性,且使用者仍可保持原本任何的连网方式,而无需如公知技术要更动架构以连接一路由网关器(routergateway)并更改网络地址(IP address),故不会增加系统的复杂度或降低稳定性。
此外,本发明的一次要目的在于提供一种网络安全动态侦测系统及方法,其适用于一发送端及一请求端如客户端对服务器端(Client-To-Server)或点对点(peer-to-peer)的网络架构中,当判断要求联机的请求端为一被授权的网络连结时,该网络安全动态侦测系统会自动侦测联机对方的安全等级的高低。当确认该联机对方的安全等级为高时,则发送端及请求端之间的两网络安全动态侦测系统彼此自动协商出具安全服务设定值的通讯协议,以对请求端及发送端之间传送的封包执行一相对的安全服务例程。当发现该联机对方的安全等级为低时,则将之后的封包不经处理而直接经由第二层桥接器流出。
为实现前述目的,本发明提供一种网络安全动态侦测系统,适用于连接至少一请求端及一发送端的网络系统中,主要包括连结判断单元、第二层桥接器、安全环境侦测单元、组态交换单元、第三层封包处理单元及协商机制。其中该网络安全动态侦测系统于本实施例中包括至少一动态桥接器,邻近位于该请求端及/或发送端。
前述网络安全动态侦测系统的连结判断单元,判断任一请求端的初始连结的请求是否为一被授权的网络连结。该安全环境侦测单元,在该连结判断单元确认该请求端的连结请求被授权的网络连结时,则进一步判断该请求端的安全等级的高低。该组态交换单元,在该安全环境侦测单元确认判断该请求端的安全等级为高时,令请求端与发送端之间协商出在网络连结时皆需认同的通讯协议,以决定一对应的安全服务例程。该第三层(Layer 3)封包处理单元,依据前述通讯协议,对该请求端与发送端之间传输的封包执行前述安全服务例程。以及,该协商机制,确认请求端与发送端双方皆已完成连结,以释放系统资源。
此外,本发明进一步提供一种网络安全动态侦测方法,适用于连接至少一请求端及一发送端的网络系统中,且其中至少一动态桥接器邻近位于该请求端及/或发送端,该方法的步骤如下利用一连结判断单元判断任一请求端的初始连结的请求是否为一被授权的网络连结;利用一安全侦测单元依据请求端与发送端之间的初始连结过程,判断该请求端的安全等级的高低;当确认该请求端的安全等级为高时,使请求端与发送端之间协商出在网络连结时都认同的通讯协议,以决定一对应的安全服务例程;依据前述通讯协议,对该请求端与发送端之间传输的封包执行前述安全服务例程;以及确认请求端与发送端双方都已完成连结以释放系统资源。
因此,依据联机双方间的安全环境等级,即可对该请求端及发送端之间的网络封包提供适当的安全服务例程,而无需如公知技术对每一要求联机的请求端皆提供安全服务,故能减少网络拥塞问题并提升主系统的执行效能。为使本发明的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合附图,详细说明如下。
图1显示依据本发明较佳实施例的一网络安全动态侦测系统的内部架构;
图2显示依据本发明较佳实施例的一网络安全动态侦测方法;图3显示公知TCP通讯协议的发送端及请求端之间进行三向握手(three-way handshaking)的初始网络连结过程;图4显示依据本发明较佳实施例的一网络安全动态侦测系统网络的封包加工流程,其中包括分别对输出/入的封包特征值x或x′进行特定函数的正向运算f(x)或反向运算f-1(x′);图5显示依据发明的一第一实施例的一配置前述网络安全动态侦测系统的请求端与一发送端进行三向握手的初始网络连结过程;图6显示依据发明的一第二实施例的一配置前述网络安全动态侦测系统的发送端与一请求端进行三向握手的初始网络连结过程;图7显示依据发明的一第三实施例的两各自配置前述网络安全动态侦测系统的发送端及请求端之间进行三向握手的初始网络连结过程,其中由该请求端的网络安全动态侦测系统判断该发送端传来的封包特征值是否正确;图8显示依据发明的一第四实施例的两各自配置前述网络安全动态侦测系统的发送端及请求端之间进行三向握手的初始网络连结过程,其中由该发送端的网络安全动态侦测系统判断该请求端传来的封包特征值是否正确。
其中,附图标记说明如下10,32,42,52,62,72,73,82,83网络安全动态侦测系统30,40,50,60,70,80请求端34,44,54,64,74,84发送端100连结判断单元 102第二层桥接器120安全环境侦测单元 124封包加工机制130组态交换单元 140第三层封包处理单元150协商机制S200,S210,S212,S220,S222,S223,S224,S226,S230,S240,S250为方法步骤具体实施方式
首先如图1所示,为依据本发明的一第一较佳实施例的一种网络安全动态侦测系统10,适用于连接至少一请求端及一发送端的网络系统(见图4,图5,图6,图7和图8,待后详述)中,其主要包括连结判断单元100、第二层桥接器102、安全环境侦测单元120、组态交换单元130、第三层封包处理单元140及协商机制150。其中该网络安全动态侦测系统10于本实施例中包括至少一动态桥接器,邻近位于该请求端及/或发送端。
前述网络安全动态侦测系统10的连结判断单元100,通过一预设的检查表判断任一要求联机方如请求端的初始连结的请求是否为一被授权的网络连结。该检查表中预先记录了每一被授权的网络连结(connection)的数据,包括请求端的第二层的网卡物理地址(Layer 2 mac address)、第三层的因特网地址(Layer 3 IP address)或第4层的服务端口号码(Layer 4 service port number)。当该连结判断单元100判断出该请求端的连结请求不是被授权的网络连结时,则将该请求端传出的任一数据封包进行侧录,并将之后的封包不经处理即直接经由一第二层桥接器102(Layer 2Bridge)送出。
该安全环境侦测单元120具有一封包加工机制124,其在该连结判断单元100确认该请求端的连结请求被授权的网络连结时,进一步对请求端及发送端之间的初始网络连结进行进一步运算处理,该运算原理如图4所示,在请求端40及发送端44之间任一连结步骤中,对于经由该网络安全动态侦测系统42传出的任一封包的IP表头(header)的特征值(identification)X进行一特定函数的正向运算如f(X),并对该网络安全动态侦测系统42接收到的任一封包的表头特征值X′进行该特定函数的反向运算f-1(X′)。该安全环境侦测单元120依据其接收到的封包表头特征值x′的运算结果f-1(X′)是否等于一预测的累进数值(SN+1),以确认该请求端的安全等级。当该封包表头特征值X′的运算结果f-1(x′)等于该累进数值(SN+1)时,则该请求端的安全等级为高,亦即请求端亦有安装一相对的网络安全动态侦测系统10;反之,当该封包表头特征值x′的运算结果f-1(X′)不等于该累进数值(SN+1)时,则该请求端的安全等级为低,则代表请求端未安装一相对的网络安全动态侦测系统。有关该累进数值(SN+1)的取得则待后详述。
本发明的安全环境侦测单元120的封包加工机制124在封包的表头(header)的特征值(identification)进行运算加工的目的是避免封包经过各种多样的网络装置时相关的信息不会被涂销,利用IP表头的16位特征值(identification)字段内具有一序号(SN,Serial Number),其原本就是被用来唯一认定其所送出的单个封包的顺序,且每次在经过该请求端/发送端送出一个封包时就会自动在该字段的序号增加1,即为前述累进数值(SN+1)的由来。因为该字段极少被用到,大概低于0.25%的因特网封包会被分割,故可以用于隐藏该网络安全动态侦测系统沟通的信息。
传统的初始网络连结过程如图3所示,一请求端30及发送端34之间的初始连结过程在符合TCP/IP协议下,呈一三向握手(three-way handshaking)的连结过程,过程中一定分别传输包括SYN封包、ACK+SYN封包及ACK三种类型的封包,其中握手(handshaking)的目的在于使请求端30及发送端34双方连结前先进行沟通,其一方面使双方进行连结确认,另外一方面也确定彼此的通讯协议是否一致,以利于稍后数据的传输动作。但在本发明实施例中,请求端及发送端之间的初始网络连结在经过安全环境侦测单元120的封包加工机制124的运算后会呈如同图5,图6,图7和图8所示,不同于图3的传统初始网络连结。
该组态交换单元130,在该安全环境侦测单元120确认判断该请求端的安全等级为高时,则令请求端与发送端之间协商出认同的通讯协议,进而让彼此知道其各自安装的网络安全动态侦测系统的设定细节,以进行网络连结。举例来说,TCP/IP协议的三向握手(three-way handshaking)连结一般,可在兼顾超时(time out)与重传的问题之下,确保双方能完全的分享信息,并可以自行设定专属的封包来实现,或者是再利用该通讯连结,使流传的封包内隐藏双方基于连结需要的细部信息,但要如何运用,则可完全端视双方通讯连结的型态而定。前述封包中携带的细部信息,即为符合双方认同的通讯协议的一安全服务设定值,其可用于决定一对应的安全服务例程,像是一加/解密(encryption/decryption)服务、数字签章(digital signature)服务或字符串比较(pattern match)服务,而该安全服务设定值,以加/解密服务例程的安全服务设定值为例,为一加密算法及对应的加/解密金钥。
该第三层(Layer 3)封包处理单元,依据前述通讯协议,对该请求端与发送端之间传输的封包执行前述安全服务例程,亦即利用前述通讯协议的安全服务设定值对该请求端与发送端之间传送的封包的网络第三层(Layer 3)的净荷(Payload)进行运算处理。如前述,对于网络安全动态侦测系统而言,没有被授权(或没有兴趣)的网络连结的封包由一端的网络端口流入,经网络第二层(layer 2)检查发现不在观察的范围之内后,在不经处理也不变更网络第三层(layer 3)的路由机制的情况下,即直接经由该网络协议的第二层桥接器102(TCP/IP layer 2bridge)102的另一网络端口流出。这是因为本发明的网络安全动态侦测系统10的网络端口不提供公开的网络第三层(layer 3)的IP地址,而是从网络第三层(layer 3)的封包表头(Header)之后处理,也就是从含网络第三层的净荷(layer 3 payload)以上开始处理。但对于原本即应用于网络第三层(layer 3)的任何通道(tunnel)协议,本发明的网络安全动态侦测系统就以代理的身分与对方建立通道(tunnel)后,再将还原的封包往后送;反之则封装后送进此通道(tunnel)往外送。
对于一种连结导向(session oriented)的网络连结如TCP连结而言,当该连结进入连结结束(session close)时,本发明的网络安全动态侦测系统的动作也就随之结束。对于一种非连结导向(non-session oriented)的网络连结如UDP连结而言,本发明的网络安全动态侦测系统会以超时(time out)的机制,决定多少时间内没有封包流过就自动结束。结束动作的网络安全动态侦测系统会启动该协商机制150以确定请求端与发送端双方皆已完成连结,以释放系统资源。
此外,如图2所示,依据本发明的一较佳实施例的一种网络安全动态侦测方法,适用于连接至少一请求端及一发送端的网络系统中,且其中至少一动态桥接器邻近位于该请求端及/或发送端,该方法的步骤如下步骤S200,监控往来于该请求端及发送端之间的封包。
步骤S210,利用一连结判断单元100判断任一请求端的初始连结的请求是否为一被授权的网络连结。
步骤S212,当该连结判断单元100判断该请求端的连结请求不是被授权的网络连结时,则将该请求端传出的任一数据封包直接经由一第二层桥接器102(Layer 2 Bridge)送出;反之,当该连结判断单元100判断该请求端的连结请求确为被授权的网络连结时,则代表同意请求端及发送端之间进行初始连结过程,并前进至步骤S220。
步骤S220,为一动态侦测(active detection)过程,其利用一安全侦测单元,依据请求端与发送端之间的初始连结过程以判断该请求端的安全等级的高低,其中该安全侦测单元在此初始连结中进行如图5,图6,图7和图8步骤S222,223,S224所示的一封包加工流程,即对经由该安全侦测单元传出的任一封包的表头(header)的特征值(identification)进行特定函数的正向运算,并对该安全侦测单元接收到的任一封包的表头特征值进行该特定函数的反向运算。接着该安全侦测单元进行如图5,图6,图7和图8的步骤S226所示的判断,即判断其接收到的封包表头特征值的运算结果是否等于一预测的累进数值,以确认该请求端的安全等级。当该封包表头特征值的运算结果等于该累进数值时,则代表该请求端的安全等级为高;反之,当该封包表头特征值的运算结果不等于该累进数值时,则该请求端的安全等级为低。
步骤S230,为一组态交换(setting exchange)过程,即当前述安全侦测单元确认该请求端的安全等级为高时,则利用一组态交换单元130使请求端与发送端之间协商出在网络连结时都认同的通讯协议,以决定一对应的安全服务例程。
步骤S240,为一第三层封包处理服务(Layer 3 packet process service)过程,其利用一第三层封包处理单元140依据前述通讯协议的一安全服务设定值对该请求端与发送端之间传送的封包的第三层(Layer 3)的净荷(Payload)进行安全服务例程的运算处理。
步骤S250,利用一协商机制150,确认请求端与发送端双方皆已完成连结以释放系统资源。当此次初始网络连结结束后,即恢复到步骤S200,针对下一初始网络连结的封包进行处理。
请进一步见图5的依据发明的一第一实施例,显示一配置一依据本发明的网络安全动态侦测系统52的请求端50与一发送端54进行三向握手的初始网络连结过程,其中当该请求端50发出一包含SYN信息及表头特征值SN0的封包时,该网络安全动态侦测系统52会进行前述步骤S222的封包加工,即以特定函数对此表头特征值SN0进行正向运算f(SN0),而以一包含SYN信息及表头特征值f(SN0)的封包传与该发送端54。该发送端54接到后自然会将表头特征值f(SN0)加1而产生一累进数值SN1(SN1=f(SN0)+1)并以此作为新表头特征值,回复一包含ACK、SYN信息及表头特征值SN1的封包。当该网络安全动态侦测系统52收到此ACK+SYN+SN1封包时,会进行前述步骤S226的判断,即先以特定函数对此表头特征值SN1进行反向运算f-1(SN1),再对将该反向运算f-1(SN1)与一预测的累进数值SN0+1作比对,发现该反向运算f-1(SN1)不等于一累进数值SN0+1,代表该发送端54并未安装一相对的网络安全动态侦测系统,因此其安全等级为低。该请求端50的网络安全动态侦测系统52不准备进行任何动作,仅将此ACK+SYN+SN1封包传与该请求端50知悉,由请求端50将此表头特征值SN1加1成SN2后,再传送ACK+SN2封包予发送端54,以结束此次连结关系。
再见图6的依据发明的一第二实施例,其情况与图5近似,显示一配置网络安全动态侦测系统62的发送端64与一请求端60进行三向握手的初始网络连结过程,其中当该请求端60发出一包含SYN信息及表头特征值SN0的封包时,该发送端64的网络安全动态侦测系统62接到后会进行前述步骤S222的封包加工,即以特定函数对此表头特征值SN0进行反向运算得出一新的表头特征值f-1(SN0),再将一包含SYN信息及表头特征值f-1(SN0)的封包传与该发送端64。该发送端64接到后自然会将表头特征值f-1(SN0)加1而产生一累进数值SN1(SN1=f-1(SN0)+1)并以此作为新表头特征值,回复一包含ACK、SYN信息及表头特征值SN1的封包。当该网络安全动态侦测系统62收到此ACK+SYN+SN1封包时,会以特定函数对此表头特征值SN1进行正向运算得出一新的表头特征值f(SN1),并将此ACK+SYN+f(SN1)封包传予请求端60。该请求端60接到后自然会将表头特征值f(SN1)加1而成SN2(SN2=f(SN1)+1),之后以一包括ACK+SN2的封包传予该发送端64的网络安全动态侦测系统62。该发送端64的网络安全动态侦测系统62会进行前述步骤S226的判断,即先以特定函数对此表头特征值SN2进行反向运算f-1(SN2),再对将该反向运算f-1(SN2)与一预测的累进数值SN1+1作比对,发现该反向运算f-1(SN2)不等于累进数值SN1+1,代表该请求端60并未安装一相对的网络安全动态侦测系统,因此其安全等级为低。该发送端64的网络安全动态侦测系统62不准备提供任何安全服务,仅将此ACK+SN2封包传与该发送端64知悉,以结束此次连结关系。
见图7的依据发明的一第三实施例,显示一各自配置网络安全动态侦测系统72,73的发送端74及请求端70之间进行三向握手的初始网络连结过程,其中当该请求端70发出一包含SYN信息及表头特征值SN0的封包时,该请求端70的网络安全动态侦测系统72接到后会进行前述步骤S222的封包加工,即以特定函数对此表头特征值SN0进行正向运算得出一新的表头特征值f(SN0),再将一包含SYN信息及表头特征值f(SN0)的封包传与该发送端74的网络安全动态侦测系统73。该发送端74的网络安全动态侦测系统73接到后会进行前述步骤S223的封包加工,即以特定函数对此表头特征值f(SN0)进行反向运算得出一表头特征值SN0,再将一包含SYN信息及表头特征值SN0的封包传与该发送端74。该发送端74接到后自然会将表头特征值SN0加1而产生一累进数值SN1(SN1=SN0+1)并以此作为新表头特征值,同复一包含ACK+SYN+SN1的封包。当该发送端74的网络安全动态侦测系统73收到此ACK+SYN+SN1封包时,会进行前述步骤S224,即以特定函数对此表头特征值SN1进行正向运算得出一新的表头特征值f(SN1),并将此ACK+SYN+f(SN1)封包传予该请求端70的网络安全动态侦测系统72。该请求端70的网络安全动态侦测系统72会进行前述步骤S226的判断,即先以特定函数对此表头特征值f(SN1)进行反向运算f-1(f(SN1)),以得出运算结果SN1,再对将该运算结果SN1与一预测的累进数值SN0+1作比对,发现该SN1正等于累进数值SN0+1,代表该请求端70有安装一相对的网络安全动态侦测系统,因此其安全等级为高。该发送端74的网络安全动态侦测系统73开始准备提供安全服务,并将此ACK+SYN+SN1封包传予请求端70,使请求端70接到后自然会将表头特征值SN1加1而产生一累进数值SN2(SN2=SN1+1)并以此作为新表头特征值,以包含ACK+SN2的封包传予该发送端74知悉,以结束此次连结关系。
见图8的依据发明的一第四实施例,显示一各自配置网络安全动态侦测系统82,83的发送端84及请求端80之间进行三向握手的初始网络连结过程。图8与图7类似,差异之处在于图7第三实施中请求端70的网络安全动态侦测系统72负责安全等级判断,图8第四实施例中发送端84的网络安全动态侦测系统83负责安全等级判断,其余原理皆相同。
综上所述,可知依据本发明的网络安全动态侦测系统及方法,无论是对客户端对服务器端(Client-To-Server)或点对点(peer-to-peer)的网络架构,因仅针对第三层(Layer 3)的封包净荷(payload)进行加工以执行特定的安全服务例程,而未更动第三层(Layer 3)的网络地址(IP address),故能提供较高的网络通透性,且不会增加系统的复杂度或降低稳定性。此外,本发明的网络安全动态侦测系统能自动侦测联机对方的安全等级的高低,以决定是否对请求端及发送端之间传送的封包执行一相对的安全服务例程。当发现该联机对方的安全等级为低,则将之后的封包不经处理而直接经由第二层桥接器102流出,故无需如公知技术对每一要求联机的请求端都提供安全服务,故能减少网络拥塞问题并提升主系统的执行效能。
虽然本发明已以较佳实施例揭示如上,然而其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,可做一些更动与润饰。
权利要求
1.一种网络安全动态侦测系统,适用于连接至少一请求端及一发送端的网络系统中,包括连结判断单元,判断任一请求端的初始连结的请求是否为一被授权的网络连结;安全环境侦测单元,在该连结判断单元确认该请求端的连结请求是被授权的网络连结时,该安全环境侦测单元进一步判断该请求端的安全等级的高低;组态交换单元,在该安全环境侦测单元确认判断该请求端的安全等级为高时,令请求端与发送端之间协商出在网络连结时皆需认同的通讯协议,决定一对应的安全服务例程;第三层封包处理单元,依据所述通讯协议,对该请求端与发送端之间传输的封包执行所述安全服务例程;以及协商机制,确认请求端与发送端双方皆已完成连结,释放系统资源。
2.如权利要求1所述的网络安全动态侦测系统,其特征在于包括至少一动态桥接器。
3.如权利要求1所述的网络安全动态侦测系统,其特征在于该连结判断单元进一步具有一检查表预先记录每一被授权的网络连结的数据,其包括第二层的网卡物理地址、第三层的因特网地址或第4层的服务端口号码。
4.如权利要求1所述的网络安全动态侦测系统,其特征在于该连结判断单元判断该请求端的连结请求不是被授权的网络连结时,将该请求端传出的任一数据封包直接经由一第二层桥接器送出。
5.如权利要求1所述的网络安全动态侦测系统,其特征在于该安全环境侦测单元进一步具有一封包加工机制,在请求端及发送端之间的初始连结过程中,对经由该网络安全动态侦测系统传出的任一封包的表头的特征值进行特定函数的正向运算,并对该网络安全动态侦测系统接收到的任一封包的表头特征值进行该特定函数的反向运算。
6.如权利要求5所述的网络安全动态侦测系统,其特征在于该请求端及发送端之间的初始连结过程为一三向握手的连结过程,过程中分别传输包括SYN封包、ACK+SYN封包及ACK封包。
7.如权利要求5所述的网络安全动态侦测系统,其特征在于该安全环境侦测单元依据对接收到的封包表头特征值的运算结果是否等于一预测的累进数值以确认该请求端的安全等级。
8.如权利要求7所述的网络安全动态侦测系统,其特征在于该封包表头特征值的运算结果等于该累进数值时,该请求端的安全等级为高。
9.如权利要求7所述的网络安全动态侦测系统,其特征在于该封包表头特征值的运算结果不等于该累进数值时,该请求端的安全等级为低。
10.如权利要求1所述的网络安全动态侦测系统,其特征在于请求端与发送端双方认同的该通讯协议,包括一安全服务设定值。
11.如权利要求10所述的网络安全动态侦测系统,其特征在于该安全服务例程进一步包括加/解密服务、数字签章服务或字符串比较服务。
12.如权利要求11所述的网络安全动态侦测系统,其特征在于该加/解密服务例程的安全服务设定值进一步包括加密算法及对应的加/解密金钥。
13.如权利要求10所述的网络安全动态侦测系统,其特征在于该第三层封包处理单元执行所述安全服务例程时,利用所述安全服务设定值对该请求端与发送端之间传送的封包的第三层的净荷进行运算处理。
14.如权利要求1所述的网络安全动态侦测系统,其特征在于进一步包括两个相对的动态桥接器,分别邻近配置于所述请求端与发送端。
15.一种网络安全动态侦测方法,适用于连接至少一请求端及一发送端的网络系统中,包括利用一安全侦测单元依据请求端与发送端之间的初始连结过程,判断该请求端的安全等级的高低;当确认该请求端的安全等级为高时,使请求端与发送端之间协商出在网络连结时皆认同的通讯协议,以决定一对应的安全服务例程;依据所述通讯协议,对该请求端与发送端之间传输的封包执行所述安全服务例程;以及确认请求端与发送端双方都已完成连结以释放系统资源。
16.如权利要求15所述的网络安全动态侦测方法,其特征在于利用一连结判断单元判断任一请求端的初始连结的请求是否为一被授权的网络连结。
17.如权利要求16所述的网络安全动态侦测方法,其特征在于该连结判断单元,进一步具有一检查表预先记录每一被授权的网络连结的数据,包括第二层的网卡物理地址、第三层的因特网地址或第4层的服务端口号码。
18.如权利要求16所述的网络安全动态侦测方法,其特征在于当该连结判断单元判断该请求端的连结请求不是被授权的网络连结时,则将该请求端传出的任一数据封包直接经由一第二层桥接器送出。
19.如权利要求16所述的网络安全动态侦测方法,其特征在于当该连结判断单元判断该请求端的连结请求确为被授权的网络连结时,则同意请求端及发送端之间进行初始连结过程。
20.如权利要求15所述的网络安全动态侦测方法,其特征在于在请求端及发送端之间的初始连结过程中,对于经由该安全侦测单元传出的任一封包的表头的特征值进行特定函数的正向运算,并对该安全侦测单元接收到的任一封包的表头特征值进行该特定函数的反向运算。
21.如权利要求15所述的网络安全动态侦测方法,其特征在于该请求端及发送端之间的初始连结过程为一三向握手的连结过程,过程中分别传输包括SYN封包、ACK+SYN封包及ACK封包。
22.如权利要求20所述的网络安全动态侦测方法,其特征在于该安全侦测单元依据其接收到的封包表头特征值的运算结果是否等于一预测的累进数值,以确认该请求端的安全等级。
23.如权利要求22所述的网络安全动态侦测方法,其特征在于当该封包表头特征值的运算结果等于该累进数值时,则该请求端的安全等级为高。
24.如权利要求22所述的网络安全动态侦测方法,其特征在于当该封包表头特征值的运算结果不等于该累进数值时,则该请求端的安全等级为低。
25.如权利要求15所述的网络安全动态侦测方法,其特征在于请求端与发送端双方认同的该通讯协议,包括一安全服务设定值。
26.如权利要求25所述的网络安全动态侦测方法,其特征在于该安全服务例程进一步包括加/解密服务、数字签章服务或字符串比较服务。
27.如权利要求26所述的网络安全动态侦测方,其特征在于该加/解密服务例程的安全服务设定值进一步包括加密算法及对应的加/解密金钥。
28.如权利要求27所述的网络安全动态侦测方法,其特征在于当执行所述安全服务例程时,利用所述通讯协议的安全服务设定值对该请求端与发送端之间传送的封包的第三层的净荷进行运算处理。
29.如权利要求15所述的网络安全动态侦测方法,其特征在于进一步包括两个相对的动态桥接器,分别邻近配置于所述请求端与发送端。
全文摘要
本发明涉及一种网络安全动态侦测系统及方法,适用于连接一发送端及一请求端的网络系统中,主要包括连结判断单元、第二层桥接器、安全环境侦测单元、组态交换单元、第三层封包处理单元及协商机制。该网络安全动态侦测系统邻近位于该请求端及/或发送端,自动侦测联机双方的安全环境等级,以对该请求端及发送端之间的网络封包提供一适当的安全服务例程,而无需如公知技术对每一要求联机的请求端都提供安全服务,故能减少网络拥塞问题并提升主系统的执行效能。
文档编号H04L29/06GK1725726SQ20041005493
公开日2006年1月25日 申请日期2004年7月21日 优先权日2004年7月21日
发明者吕致中, 林合仁 申请人:威达电股份有限公司