专利名称:可防止自总线非法入侵的方法
技术领域:
本发明有关于可防止自总线非法入侵的方法,尤指一种可对一总线所输出 的信号加以辩识,以防止各种数据封包经该总线入侵者。
背景技术:
近年来,由于因特网的快速成长,加上电子商务的崛起,使得人们对网络 所可能带来的商机,存在无限美好的憧景,然而,在享受信息科技所带来的便 利性时,却也存在许多潜在的安全问题与网络黑客攻击的威胁,使得网络安全 的问题愈来愈被重视, 一般而言,网络黑客发动攻击的目的与手段不一,有以 入侵计算机系统以盗取或窜改网页数据为目的者,也有目的不在于入侵计算机 系统以盗取或窜改网页数据,而采取一种所谓分布式阻断服务攻击(distributed denial of service attacks,简称DDoS攻击),利用分散于不 同地方的多部计算机,发送大量伪造来源地址(spoofed source IP addresses) 的封包,瘫痪受害者所在的网络服务器,使其正常的接通率降到1。/o以下,导致 网络服务器无法提供正常的服务。鉴于上述的攻击与威胁,即有研发人员开发出许多的网络设备(如交换 机),以建立网络流量监控及网络存取控管的机制,并针对违反网络政策的异常 封包或联机加以阻断,使网络安全机制得以建立或被维持,而所谓的防火墙 (Firewall),是一种架设在内部网络(Intranet)及因特网(Internet)间的 可监控管理的缓冲界面(Gateway),使网络管理人员得以借由事先所制定的数 据存取机制,把怪异的伪造来源IP封包过滤掉,如10. 0. 0. 0/8、 172. 16. 0. 0/12、 192.168.0.0/16,或把网络计算机不需要的服务端口 (service port)关掉, 同时,也可借由IP地址、Port及封包传送方向来控制网络信息封包的传播。而所谓的系统管理总线(System Management Bus,简称SMBus),为一种 针对电子组件的通讯所发展的双线(two-wire)总线,设在一南桥芯片(South Bridge chip)与若干个电子组件间(如Hardware Monitor、 Clock Generator), 借由系统管理总线,该南桥芯片与该等电子组件间即可进行信号的传输,使系 统可取得该等电子组件的数据,如制造厂商、型号、控制信息、错误信号及状 态等,并使系统可接收到该等电子装置依其本身的状态所传送的信号,以传送 一控制信号到该等电子装置,而对该等电子装置进行控制或调整。相较于一般系统均设有可进行网络流量监控及网络存取控管的安全机制, 例如前述防火墙的保护措施, 一般系统在系统管理总线方面却未设有任何的保护措施,使各种数据封包得以轻易通过系统管理总线传送到该等电子组件,将 导致该等电子组件内的数据被更改,或该等电子组件的损坏,甚至连带影响系 统产生不稳定或当机的情况,因此,若能针对此一安全漏洞施加防范的安全机 制,将可更完全地确保系统的安全无虞。发明内容有鉴于前述系统管理总线未有任何安全机制,导致各种数据封包得以轻易 通过并造成破坏等诸多缺失,发明人依其多年来从事网络设备及系统开发的技 术经验,以及累积的专业知识,悉心研究各种解决方案,经过长久的努力研究 与实验后,终于开发设计出本发明的一种可防止自总线非法入侵的方法。本发明提供了一种可防止自总线非法入侵的方法,在一总线与若干个电子 组件间,设有一识别模块,该识别模块内设有一微处理器及一储存单元,该储 存单元内储存一信号对照表,该信号对照表内包括若干个储存信号及若干个识 别码,各该储存信号分别匹配一个识别码,当该微处理器接收到自该总线所输 出的一传输信号时,判断该传输信号中的识别码与该储存信号所匹配的识别码 相同,即使该传输信号通过该识别模块,即可有效防止各种数据封包经该总线 非法入侵,以确保系统安全无虞。本发明的另一目的在于提供了一种可防止自总线非法入侵的方法,其中, 该信号对照表内尚储存若干个状态码,且各该状态码分别与一个储存信号相匹 配,当该微处理器接收到该传输信号输入时,即判断该信号对照表内是否有与 该传输信号相同的该储存信号,且该传输信号中的识别码与该储存信号所匹配 的识别码是否相同,并且与该储存信号所匹配的状态码为开启状态,即使该传 输信号通过该识别模块,以防止各种数据封包经该总线非法入侵,并确保系统 安全无虞。为便于对本发明的目的、技术特征及其功效,做更进一步的认识与了解, 配合附图详细说明如下
图1为本发明的示意2为本发明的一实施例的流程3为本发明的另一实施例的流程图具体实施方式
本发明是一种可防止自总线非法入侵的方法,请参阅图1所示,在一总线1与若干个电子组件2间,设有一识别模块3,该识别模块3内设有一微处理器 31及一储存单元32,该储存单元32内储存一信号对照表,该信号对照表内包
括若干个储存信号及若干个识别码,各该储存信号分别匹配一个识别码,当该 微处理器31接收到自该总线1所输出的一传输信号时,若判断该传输信号中的识别码,与该储存信号所匹配的识别码相同,即使该传输信号通过该识别模块3,如此,即可防止各种数据封包经该总线l非法入侵,有效确保系统安全无虞。为能更了解可防止自总线非法入侵的方法,请参阅图2所示,乃依序说明处理步骤(201) 该微处理器31接收到该总线1所输出的该传输信号;(202) 根据该传输信号査找该信号对照表中,是否有任何该储存信号与该传 输信号相同,若否,进行步骤(205),若是,继续进行下列步骤;(203) 判断该传输信号内的识别码是否与该储存信号所匹配的识别码相同, 若否,进行步骤(205),若是,继续进行下列步骤;(204) 使该传输信号通过该识别模块3;(205) 截断该传输信号的传输。在本发明的一实施例中,该储存单元32内尚储存一设定信号及另一设定信 号,当该微处理器31接收到该设定信号时,即启动判断该传输信号中的识别码, 与该储存信号所匹配的识别码是否相同的步骤,使得该识别模块3每当接收到 该传输信号时,对该传输信号中的识别码进行判断,以防止各种数据封包经该 总线l非法入侵,而当该微处理器31接收到该另一设定信号时,即停止判断该 传输信号中的识别码,与该储存信号所匹配的识别码是否相同的步骤,使得该 识别模块3每当接收到该传输信号时,即直接将该传输信号输出到该等电子组 件2,借由本发明的方法,即可在平时防止该总线l被非法入侵,并在系统进行 设定时,可自由进行该传输信号的传输。在该实施例中,各该储存信号分别与一个电子组件2相匹配,当该传输信 号与该储存信号相同,且与该储存信号的识别码相同,该传输信号即可被传送 到与该储存信号相匹配的该电子组件2,借由该传输信号在该总线1与该等电子 组件2间的传输,即可取得该等电子组件2的数据,如制造厂商、型号、控制 信息、错误信号及状态等,并使系统可接收到该等电子装置依其本身的状态所 传送的信号,使系统得以对该等电子组件2进行设定、控制或调整。在本发明的另一实施例中,请参.阅图3所示,该信号对照表内尚包括若干 个状态码,各该状态码分别与一个储存信号相匹配,当该微处理器31接收到自 该总线1所输出的该传输信号时,即依下列步骤进行处理(301) 根据该传输信号查找该信号对照表中,是否有任何该储存信号与该传 输信号相同,若否,进行步骤(305),若是,继续进行下列步骤;(302) 判断该传输信号内的识别码是否与该储存信号所匹配的识别码相同, 若否,进行步骤(305),若是,继续进行下列步骤;(303) 判断与该储存信号相匹配的状态码是否设定为开启状态,若否,进行
步骤(305),若是,继续进行下列步骤;(304) 使该传输信号通过该识别模块3;(305) 截断该传输信号的传输。在该实施例中,该状态码可由自该总线1所输出的一状态信号进行更改, 该状态信号与该信号对照表内其中一个该储存信号相同,且该状态信号内的一 状态设定值,可替代与该储存信号匹配的状态码,例如,当该状态信号为该微 处理器31所接收,经判断与该信号对照表内的Clock Generator储存信号相同, 且该状态信号内的状态设定值为0,即将与Clock Generator储存信号相匹配的 状态码更改为0,如此,当Clock Generator信号传输到该识别模块3时,即使 与该信号对照表内的Clock Generator储存信号相同,并与Clock Generator 储存信号的识别码相同,但因与Clock Generator储存信号相匹配的状态码为0, 使得传输到该辩识模块的该Clock Generator信号,仍旧无法通过该识别模块3, 如此,可对各该储存信号的状态码自由进行设定,并针对重要的该储存信号再 加以设定,以提高系统的安全性。在该实施例中,该信号对照表可为使用I2C (Inter-Integrated Circuit) 通讯协议的7位对照表,借由将该储存信号及识别码储存在该信号对照表内, 可控制系统与该等电子组件2间信号的传输。以上所述仅为本发明最佳的一具体实施例,惟本发明的构造特征并不局限 于此,任何熟悉该项技艺者在本发明领域内,可轻易思及的变化或修饰,皆可 涵盖在以下本案的专利范围。
权利要求
1、一种可防止自总线非法入侵的方法,其特征在于,在一总线与若干个电子组件间,设有一识别模块,该识别模块内设有一微处理器及一储存单元,该储存单元内储存一信号对照表,该信号对照表内包括若干个储存信号及若干个识别码,各该储存信号分别匹配一个识别码,当该微处理器接收到自该总线所输出的一传输信号时,将依照下列步骤进行处理根据该传输信号,若查找到该信号对照表中有与该传输信号相同的该储存信号,且判断该传输信号中的识别码与该储存信号所匹配的识别码相同,即使该传输信号通过该识别模块;若判断该传输信号中的识别码与该储存信号所匹配的识别码不同,即截断该传输信号的传输。
2、 根据权利要求l所述的可防止自总线非法入侵的方法,其特征在于,该 微处理器未査找到该信号对照表中有与该传输信号相同的该储存信号,即截断 该传输信号的传输。
3、 根据权利要求l所述的可防止自总线非法入侵的方法,其特征在于,各 该储存信号分别与一个电子组件相匹配,在该传输信号与该储存信号相同,且 该传输信号的识别码与该储存信号的识别码相同的状态下,该传输信号即可被 传送到与该储存信号相匹配的该电子组件。
4、 根据权利要求l所述的可防止自总线非法入侵的方法,其特征在于,该 储存单元内尚储存一设定信号,当该微处理器接收到该设定信号时,即启动判 断该传输信号中的识别码,与该储存信号所匹配的识别码是否相同的步骤。
5、 根据权利要求l所述的可防止自总线非法入侵的方法,其特征在于,该 储存单元内尚储存另一设定信号,当该微处理器接收到该另一设定信号时,即 停止判断该传输信号中的识别码,与该储存信号所匹配的识别码是否相同的步 骤。
6、 根据权利要求l所述的可防止自总线非法入侵的方法,其特征在于,该 信号对照表内尚包括若干个状态码,各该状态码分别与一个储存信号相匹配,当该微处理器接收到该传输信号时,即依下列步骤进行处理根据该传输信号査找到该信号对照表中有与该传输信号相同的该储存信号,即判断该传输信号中的识别码是否与该储存信号所匹配的识别码相同;若该传输信号中的识别码与该储存信号所匹配的识别码相同,且经判断与该储存信号相匹配的状态码设定为开启状态,即使该传输信号通过该识别模块。
7、 根据权利要求6所述的可防止自总线非法入侵的方法,其特征在于,该 状态码设定为关闭状态,即截断该传输信号的传输。
8、 根据权利要求6所述的可防止自总线非法入侵的方法,其特征在于,该 总线可输出一状态信号,该状态信号与该信号对照表内其中一个该储存信号相 同,且该状态信号内的-一状态设定值,可替代与该储存信号匹配的状态码。
全文摘要
本发明是一种可防止自总线非法入侵的方法,在一总线与若干个电子组件间设有一识别模块,该识别模块内设有一微处理器及一储存单元,该储存单元内储存一信号对照表,该信号对照表内包括若干个储存信号及若干个识别码,各该储存信号分别匹配一个识别码,当该微处理器接收到自该总线所输出的一传输信号,且该传输信号中的识别码与该储存信号所匹配的识别码相同,即使该传输信号通过该识别模块,以达到防止各种数据封包经该总线非法入侵的目的。
文档编号H04L29/06GK101132398SQ200610037219
公开日2008年2月27日 申请日期2006年8月25日 优先权日2006年8月25日
发明者李志强 申请人:佛山市顺德区顺达电脑厂有限公司;神达电脑股份有限公司