CN103259773A - 一种因特网的数据封包防护系统及其方法 - Google Patents
一种因特网的数据封包防护系统及其方法 Download PDFInfo
- Publication number
- CN103259773A CN103259773A CN2012100395488A CN201210039548A CN103259773A CN 103259773 A CN103259773 A CN 103259773A CN 2012100395488 A CN2012100395488 A CN 2012100395488A CN 201210039548 A CN201210039548 A CN 201210039548A CN 103259773 A CN103259773 A CN 103259773A
- Authority
- CN
- China
- Prior art keywords
- data packet
- computer system
- tcp
- internet
- file header
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种因特网的数据封包防护系统,其包含多个客户端计算机系统及一伺服终端。所述客户端可拦截传送的数据封包,并于数据封包的TCP/IP文件头的空白处加入一识别记号后传送到伺服终端。所述伺服终端可过滤及监控所接收的数据封包的TCP/IP文件头的空白处是否具有识别记号。若数据封包的TCP/IP文件头的空白处具有识别记号,则通过该数据封包。反之,若数据封包的TCP/IP文件头的空白处不具有识别记号,则阻挡数据封包。
Description
技术领域
本发明涉及一种因特网的数据封包防护系统,特别是关于一种防止不具权限的计算机系统连接进入局域网络的防护系统及其方法。
背景技术
伴随着科技进步,企业经营逐渐发展利用一种企业资源计划系统(Enterprise ResourcePlanning,以下简称ERP系统)进行整合式管理,其主要内涵是应用信息系统技术,对企业的各种资源,例如物流、资金流、信息流、人力资源等进行整合集成管理,结合各种资源形成一供销链管理,即是将企业经营的每一个环节交由科学管理,使企业资源得到最佳化配置。
参见图1,是EPR系统10的架构主要由客户端(client)12及伺服终端(server)14以网络接口连接两端进行数据传输,另外伺服终端14连接数据库主机16。客户端12发出查询需求给伺服终端14,伺服终端14再将查询到的数据传回给客户端12。有些EPR系统10的架构还包含在客户端12与伺服终端14中间加入中介软件(middleware)(未图标)负责联系两端的沟通,减少两端的负荷并增加效能。此种架构下,每一客户端12的计算机系统不需分别安装存取接口软件,只需负责执行使用者接口即可。
目前,市面上使用的ERP系统20的系统架构为多层式(n-tier)架构,使用者透过浏览器读取网页(web-based)的方式来执行,如图2所示。使用者透过网络应用入口(Web ApplicationPortal)22登入,透过信息流引擎(Information Flow Engine)24导向到中介软件26,连接到中央数据库28,利用因特网的数据封包进行数据传输。
由于EPR系统是利用网络间连接的结果,安全性对于连接的伺服终端以及网络相当重要,未经授权而存取公司数据网络可能导致公司重要的信息遗失,或者受到外部计算机入侵窃取数据。现有技术中有许多方法用来加强网络安全,包含使用身分认证许可(Identification andAuthentication,I&A)、加密系统(cryptography)等。
然而,身分认证许可经常发生人为设定漏洞的疏失,一旦员工离职后,若未将帐号密码移除,则可能发生管理漏洞,使离职员工利用未经授权的计算机系统进入伺服终端窃取公司内部重要信息,或有人将帐号密码泄漏或遭窃取,上述缺失将使得公司内部重要信息的安全遭受危机。
发明内容
本发明实施例的目的是针对上述现有技术的缺陷,提供一种,因特网的数据封包防护系统,特别是关于一种防止未经授权的计算机系统连接进入局域网络,进而修改或存取内部数据的防护系统。
为了实现上述目的本发明采取的技术方案是:
本发明提供一种因特网的数据封包防护系统,其包含多个第一计算机系统(即客户端计算机系统),其操作系统包含一过滤单元。所述过滤单元可拦截由操作系统输出的数据封包,并于数据封包的TCP/IP文件头的空白处加入一识别记号。另外包含第二计算机系统(即伺服终端计算机系统),其操作系统包含一控制单元。所述控制单元可过滤及监控由第一计算机系统输出的数据封包。第一计算机系统透过网络传输所述数据封包至第二计算机系统,而第二计算机系统的控制单元确认所述数据封包的TCP/IP文件头的空白处是否具有识别记号。若该数据封包的TCP/IP文件头的空白处具有识别记号,则通过该数据封包;若该数据封包的TCP/IP文件头的空白处不具有识别记号,则阻挡该数据封包。
本发明另提供一种因特网的数据封包防护系统,其包含一处理单元,耦合于一网络接口单元,通过因特网与多个使用者终端连接,用以接收由多个使用者终端的计算机系统透过该网络接口单元传输的数据封包;以及一控制单元,耦合于所述处理单元,主要执行过滤及监控该数据封包。所述控制单元确认所述数据封包的TCP/IP文件头的空白处是否具有识别记号。若该数据封包的TCP/IP文件头具有识别记号,则通过数据封包。反之若该数据封包的TCP/IP文件头不具有识别记号,则阻挡数据封包。
本发明还提供一种因特网的数据封包防护系统,其包含一处理单元,耦合于一网络接口单元,通过因特网与一伺服终端连接,用以传输一数据封包到所述伺服终端;以及一过滤单元,其拦截由所述处理单元传输的数据封包,并于传输到伺服终端前在该数据封包的TCP/IP文件头的空白处加入一识别记号。
本发明还提供一种因特网的数据封包防护方法,通过一网络接口系统在一伺服终端和使用者终端间传输一数据封包,其步骤包含,首先,利用计算机系统的处理单元发送该数据封包,并以过滤单元拦截所述数据封包,所述过滤单元于拦截的数据封包的TCP/IP文件头的空白处加入一识别记号。接着,完成加入识别记号步骤后,透过网络接口单元传送所述数据封包至伺服终端。利用所述伺服终端的控制单元进行确认所接收的数据封包的TCP/IP文件头是否具有该识别记号。若所接受的数据封包的TCP/IP文件头的空白处具有识别记号,则该控制单元通过该数据封包,而若该数据封包的TCP/IP文件头不具有识别记号,则该控制单元阻挡该数据封包。
本发明还提供一种因特网的数据封包防护系统,其包含第一计算机系统,其包含第一处理单元及过滤单元,所述过滤单元耦合于第一处理单元,以及第二计算机系统,其包含第二处理单元及控制单元,所述控制单元耦合于第二处理单元。所述第一计算机系统是透过因特网传输一数据封包到该第二计算机系统,而传输步骤包含:(a)第一计算机系统发送数据封包;(b)第一计算机系统的过滤单元拦截数据封包,并于数据封包的TCP/IP文件头的空白处加入一识别记号;(c)第二计算机系统接收该数据封包;(d)第二计算机系统的控制单元,确认该数据封包的TCP/IP文件头的空白处具有该识别记号。本发明的传输步骤还包含:若该数据封包的TCP/IP文件头的空白处具有识别记号,则所述第二计算机系统的控制单元通过数据封包;以及若该数据封包的TCP/IP文件头的空白处不具有识别记号,则所述第二计算机系统的控制单元阻挡数据封包。
本发明是利用使用端的计算机系统的过滤单元在数据封包的TCP/IP文件头的空白处加入识别记号,并在接收数据封包的伺服终端设定防火墙,以伺服终端的计算机系统的控制单元筛选确认所述数据封包是否具有识别记号。若具有识别记号则可顺利通过防火墙,而进入公司内部网页进行修改或读取重要数据。
换言之,若使用端使用未经授权的计算机连接公司内部网页,由于计算机系统未包含过滤单元,无法在发送的数据封包的TCP/IP文件头的空白处加入识别记号,当数据封包传送至伺服终端后,伺服终端的计算机系统的控制单元无法确认数据封包的TCP/IP文件头的空白处具有识别记号,而数据封包受到阻挡,无法进入公司内部网页。因此,可有效避免未经授权的外部计算机存取公司数据或公司数据网络受到外部计算机入侵窃取数据,避免数据外泄。
本发明的优点在于,可有效防止未经授权的计算机系统登入公司内部网页,而任意修改或窃取公司保密数据,有效避免数据外泄而损害公司利益。
本发明的另一优点在于,本发明系统的过滤单元,可依据不同操作系统的浏览器进行修改设定,即可进一步限定以特定浏览器进行连接伺服终端,并搭配身分验证,可增加安全控管多元化,有效减少安全控管漏洞。
附图说明
上述组件,以及本发明其它特征与优点,通过阅读实施方式的内容及其附图后,将更为明显:
图1为EPR系统的架构;
图2为ERP系统的多层式(n-tier)架构;
图3为本发明运用计算机系统设备执行因特网的数据封包防护系统及其方法的架构示意图;
图4为本发明一实施例的因特网的数据封包防护系统的系统架构图;
图5系为本发明另一实施例的因特网的数据封包防护系统的系统架构图;
图6为本发明又一实施例的因特网的数据封包防护系统的系统架构图;
图7为本发明的因特网的数据封包防护系统的方法流程图。
主要组件符号说明:
10 EPR系统
12 客户端(client)
14 伺服终端(server)
16 数据库主机
20 ERP系统
22 网络应用入口(Web Application Portal)
24 信息流引擎(Information Flow Engine)
26 中介软件
28 中央数据库
301 中央处理器(CPU)
302 影像撷取装置
303 因特网的数据封包防护系统
304 显示单元
305 键盘
306 鼠标
307 应用程序
308 麦克风与扬声器(喇叭)
309 CD-ROM(Compact Disc Read-Only Memory,光盘只读内存)装置
310 硬盘
311 操作系统
312 系统内存
313 只读存储器(ROM)
314 内存(RAM)
401 第一计算机系统(使用者终端)
4011 第一处理单元
4012 第一网络接口单元
4013 过滤单元
402 第二计算机系统(伺服终端)
4021 第二处理单元
4022 第二网络接口单元
4023 控制单元
4024 封包缓冲单元
4025 加解密单元
403、507、605 因特网
500 因特网的数据封包防护系统
501 处理单元
502 网络接口单元
503 控制单元
504 封包缓冲单元
505 加解密单元
506 使用者终端
600 因特网的数据封包防护系统
601 处理单元
603 过滤单元
602 网络接口单元
604 伺服终端连接
S701~S708 步骤。
具体实施方法
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明是运用防火墙技术来实现本发明的因特网的数据封包防护系统。一般来说,将特定内部网络(intranet)及因特网的其它部分隔离,即所有数据封包进出都必须透过防火墙。防火墙主要通过某些协议进入保护范围或过滤所有未明确列出的协议,而保护机构的内部资源免受到外部因特网的侵入。
本发明是运用计算机系统设备执行本发明的因特网的数据封包防护系统。如图3所示,本发明使用者终端及伺服终端的计算机系统分别包含中央处理器(CPU)301以及系统内存312,包含只读存储器(ROM)313以及随机存取内存(RAM)314,其耦合到中央处理器(CPU)301。计算机系统利用存于ROM 313的BIOS(Basic Input Output System,基本输入输出系统)来运作,BIOS为一组基本程序(basic routines)以协助于计算机移转信息。本发明也可用于不具BIOS的计算机,如″POWER PC(装有功率芯片的个人计算机)″。一般计算机系统包含硬盘310耦合到中央处理器(CPU)301,CD-ROM装置309耦合到中央处理器(CPU)301。使用者通过输入装置如键盘305、鼠标306输入指令。显示单元304耦合到中央处理器(CPU)301。计算机系统经由网络接口连接到远程计算机或服务器。操作系统311、应用程序307通过计算机可读取媒介输入到计算机系统。操作系统311使得应用软件307程序得以处理各种应用。麦克风与扬声器(喇叭)308与中央处理器301耦接,影像撷取装置302耦合于该中央处理器301用于撷取影像。数据封包防护系统303耦合至中央处理器301,用于处理本发明的因特网的数据封包防护系统及其方法。
本发明是利用传输控制协议/互联网协议(Transmission Control Protocol/Internet Protocol,以下简称TCP/IP)的档头设定,提供本发明的因特网的数据封包防护系统。TCP/IP为一种网络通讯协议,是由因特网工作委员会推动制定,使不同的计算机设备及操作系统透过相同的通讯协议互通讯息。TCP/IP为堆栈式的阶层架构,最上层为「应用层」,提供各种网络应用程序(例如www、FTP、E-Mail)等,而最底层则是「实体层」,提供实体网络线(例如以太网络、光纤电缆等)的传输。当使用者终端执行因特网上的应用程序时,例如用浏览器观看网页,产生数据封包后,会由TCP/IP的阶层架构的最上层到最底层,经过一层层的通讯协议,经由网络线传送出去;当伺服终端收到数据封包后,则反向由最底层往上通过一层层的通讯协议到最上层,最后再由最上层的应用程序来解释讯息。
TCP/IP协议的工作主要为把数据讯息分拆成数据封包,并检验封包是否正确传送至目的地,同时提供传送数据封包的路径,当数据封包到达目的地后,再将各数据封包重组成原本的讯息。因此当传送数据封包时,除了本身档案的内容的外,在数据封包的文件头地方还加入了起始地址、目的地地址、封包编号等数据。其中,各数据间包含多个空白处,存在于该些空白处的数据在传送时将不会被读取,也不会影响数据封包重组。本发明的实施例是利用在TCP/IP档头的空白处加入一识别记号,作为识别所接受的数据封包是否经由授权的计算机系统传送,以提供因特网的数据封包防护系统。
参见图4,为本发明的因特网的数据封包防护系统的架构示意图。如图4所示,本发明一实施例中,提供一种因特网的数据封包防护系统303,其包含第一计算机系统(使用者终端)401及第二计算机系统(伺服终端)402。第一计算机系统401的操作系统包含一过滤单元4013、第一处理单元4011、第一网络接口单元4022,其可拦截由第一计算机系统401的操作系统传输的数据封包(未图标),并于数据封包的TCP/IP文件头的空白处加入一识别记号。而第二计算机系统402的操作系统包含一控制单元4023、第二处理单元4021、第二网络接口单元4022,其可过滤及监控由第一计算机系统401传输的数据封包。
本实施例中,第一计算机系统401透过因特网403传输数据封包到第二计算机系统402,第二计算机系统402的控制单元4023确认从第一计算机系统401传送的数据封包的TCP/IP文件头的空白处是否具有该识别记号。若数据封包的TCP/IP文件头的空白处具有识别记号,则通过数据封包,反之,若资料封包的TCP/IP文件头的空白处不具有识别记号,则阻挡数据封包。
本实施例中,所述资料封包的TCP/IP文件头的空白处为但不限定特定位置。当第一计算机系统(使用者终端)401的过滤单元4013拦截欲发送的数据封包,并在所述数据封包的TCP/IP文件头的特定位置加入识别记号,当第二计算机系统402接受到该数据封包后,其控制单元4023过滤及监控由第一计算机系统401传输的数据封包,并在所述数据封包的TCP/IP文件头的特定位置寻找识别记号。若有识别记号,则通过所述数据封包;反之,则阻挡所述资料封包。
本发明的实施例中,所述的识别记号可为任意英文字母、数字或符号的组合,例如可设定但不限定为1234-ABC,使用者可依据需求而设定。
本实施例中,第二计算机系统402还包含一封包缓冲单元4024,用来储存该网络接口单元通过的该数据封包。另外,可以选择性地包含一加解密单元4025,当该数据封包储存在该封包缓冲单元后,该第二计算机系统的操作系统自动加解密该数据封包。其中,所述的加密方式是透过加密算法进行加密,例如:AES(Advanced Encryption Standard,高级加密标准)、DES(Data Encryption Algorithm,数据加密算法)、3DES(三重数据加密算法)、Blowfish(加密),以AES高级加密标准为例,但不限定于AES高级加密标准,其钥匙长度分别为128bits、192bits、256bits,并利用透明式加解密的格式。
参见图5,本发明的一实施例中,本发明提供一种因特网的数据封包防护系统500,其包含一处理单元501及一控制单元503。处理单元501耦合于一网络接口单元502,通过因特网507与多个使用者终端506连接,用以接收由多个使用者终端506的计算机系统透过网络接口单元502传输的数据封包。而控制单元503是耦合于处理单元501,用来过滤及监控数据封包。
本实施例中,当处理单元501从使用者终端506接收到资料封包后,控制单元503则确认所接收的数据封包的TCP/IP文件头是否具有识别记号。所述的识别记号在输出时,利用多个使用者终端506的计算机系统加入,作为识别该数据封包是否由具授权的计算机系统传送。若数据封包的TCP/IP文件头的空白处具有识别记号,则通过数据封包,而使用者终端506可连接公司内部网页,可读取或修改内部网页数据。反之,若该数据封包的TCP/IP文件头的空白处不具有识别记号,则阻挡数据封包,而使用者终端506则无法连接公司内部网页。
本实施例中,所述因特网的数据封包防护系统500还包含一封包缓冲单元504,用来储存网络接口单元502通过的数据封包。另外,可以选择性地包含一加解密单元505,当数据封包储存在封包缓冲单元505后,因特网的数据封包防护系统500将会自动加解密数据封包,使用者终端每一动作,将会透过加解密单元505自动加解密,而无需待使用者全部修改或读取完毕后才执行加解密动作,避免使用者遗漏而产生信息安全漏洞。其中,所述的加密方式透过加密算法进行加密(例如:高级加密标准(AES,Advanced Encryption Standard)、DES、3DES、Blowfish),以AES高级加密标准为例,但不限定于AES高级加密标准,其钥匙长度分别为128bits、192bits、256bits,并利用透明式加解密的格式。
参见图3,本发明的一实施例中,本发明提供一种因特网的数据封包防护系统600,其包含处理单元601及过滤单元603。处理单元601耦合于网络接口单元602,通过因特网605与伺服终端604连接,用来传输一数据封包到伺服终端604。过滤单元603,耦合于处理单元601,用来拦截由处理单元601传输的数据封包,并在传输到伺服终端604前在数据封包的TCP/IP文件头的空白处加入一识别记号。当过滤单元603完成加入识别记号后,则处理单元601将数据封包透过网络接口单元602传送至伺服终端604。本实施例中,所述数据封包的TCP/IP文件头的空白处可以但不限定为特定位置。
通过本实施例的过滤单元603加入的识别记号,可以判别数据封包是否从具授权的计算机系统传送,若具有识别记号,则由具授权的计算机系统传送;反之,则否。伺服终端604可由此判断是否愿意通过该数据封包,以控管网络信息安全。
本发明另提供一种因特网的数据封包防护方法,通过一网络接口系统在一伺服终端和使用者终端间传输一数据封包,其步骤如下所述,参见图4至图7,本发明的因特网的数据封包防护方法流程图。
首先,步骤S701,利用使用者终端(即第一计算机系统401)的处理单元4011发送一数据封包(未图标)。例如,使用浏览器点选浏览公司内部网页。步骤S702,使用者终端(即第一计算机系统401)的过滤单元4013拦截欲发送的数据封包,并在所述数据封包的TCP/IP文件头的空白处加入一识别记号。所述识别记号可为任意但不限定为英文字母、数字或符号组成,且所述空白处可以但不限定为特定位置。
步骤S703,完成加入识别记号后,使用者终端的处理单元4011将数据封包经由网络接口单元4012传送至伺服终端(即第二计算机系统402)。最后,步骤S704,伺服终端402透过网络接口单元4022接收所述数据封包后,伺服终端402的控制单元4023负责监控所有接收的数据封包,确认数据封包的TCP/IP文件头的空白处具有识别记号,以过滤具授权的数据封包。
本实施例中,因特网的数据封包防护方法的步骤还包含,步骤S705,若伺服终端402所接收的数据封包的TCP/IP文件头的空白处具有识别记号,则控制单元4023通过数据封包。即,使用者终端401可透过因特网浏览伺服终端402的数据内容,对于公司的内部网页可读取或修改。反之,步骤S706,若伺服终端402所接收的数据封包的TCP/IP文件头的空白处不具有识别记号,则控制单元4023阻挡数据封包,即使用者终端401无法成功连接伺服终端402,而无法读取或修改公司的内部网页。
本实施例中,若控制单元4023通过数据封包,而使用者终端401成功通过因特网连接伺服终端402后,继续执行步骤S707,所述数据封包储存在伺服终端402的封包缓冲单元4024中。同时,当数据封包储存在封包缓冲单元4024后,继续执行步骤S708,伺服终端402的加解密单元4025自动加解密该数据封包。由于使用者终端401读取或修改伺服终端402的动作,都传送至少一数据封包至伺服终端402,当使用者终端401的数据封包通过伺服终端402的控制单元4023的识别后,伺服终端402的加解密单元4025自动加解密该数据封包,可增加公司内部数据的隐密性与安全性。
另外,应注意的是,本发明所述的中央处理器301、处理单元102及各第一计算机系统(使用者终端)或第二计算机系统(伺服终端)的计算机操作系统包含但不限于Windows(窗口操作系统)操作系统、Linux(操作系统)操作系统、Mac OS(苹果操作系统)系统及其它操作系统。本发明可进一步限定于特定操作系统的浏览器执行本发明,例如IE(浏览器)、Firefox(火狐浏览器)或Google(谷歌搜索引擎)…等。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种因特网的数据封包防护系统,其特征在于,包含:
至少一第一计算机系统,该第一计算机系统的操作系统包含一过滤单元,该过滤单元能够拦截由该操作系统传输的数据封包,并于该数据封包的TCP/IP文件头的空白处加入一识别记号;以及
一第二计算机系统,该第二计算机系统的操作系统包含一控制单元,该控制单元能够过滤及监控由该第一计算机系统传输的该数据封包;
其中,该第一计算机系统透过一网络传输该数据封包至该第二计算机系统,该第二计算机系统的该控制单元确认从该第一计算机系统传送的该数据封包的TCP/IP文件头的空白处是否具有该识别记号;若该数据封包的TCP/IP文件头的空白处具有识别记号,则通过该数据封包;若该数据封包的TCP/IP文件头的空白处不具有识别记号,则阻挡该数据封包。
2.如权利要求1所述的因特网的数据封包防护系统,其特征在于,该数据封包的TCP/IP文件头的空白处为特定位置。
3.如权利要求1所述的因特网的数据封包防护系统,其特征在于,该第二计算机系统还包含:一封包缓冲单元,用以储存该网络接口单元通过的该数据封包;一加解密单元,当该数据封包储存在该封包缓冲单元后,该第二计算机系统的操作系统自动加解密该数据封包。
4.一种因特网的数据封包防护系统,其特征在于,包含:
一处理单元,耦合于一网络接口单元,通过因特网与多个使用者终端连接,用以接收由多个使用者终端的计算机系统透过该网络接口单元传输的数据封包;以及
一控制单元,耦合于该处理单元,用以过滤及监控该数据封包;
其中,该控制单元确认该数据封包的TCP/IP文件头的空白处是否具有识别记号;若该数据封包的TCP/IP文件头的空白处具有识别记号,则通过该数据封包;若该数据封包的TCP/IP文件头的空白处不具有识别记号,则阻挡该数据封包。
5.如权利要求4所述的因特网的数据封包防护系统,其特征在于,该识别记号是利用该多个使用者终端的计算机系统在输出时加入,该数据封包的TCP/IP文件头的空白处为特定位置。
6.如权利要求4所述的因特网的数据封包防护系统,其特征在于,还包含:一封包缓冲单元,耦合于该处理单元,用以储存该网络接口单元通过的该数据封包;一加解密单元,耦合于该处理单元与该封包缓冲单元,当该数据封包储存后,该加解密单元自动加密该数据封包。
7.一种因特网的数据封包防护系统,其特征在于,包含:
一处理单元,耦合于一网络接口单元,通过因特网与一伺服终端连接,用以传输一数据封包到该伺服终端;以及
一过滤单元,耦合于该处理单元,用以拦截由该处理单元传输的该数据封包,并在传输到该伺服终端前在该数据封包的TCP/IP文件头的空白处加入一识别记号。
8.一种因特网的数据封包防护方法,通过一网络接口系统在一伺服终端和使用者终端间传输一数据封包,其特征在于,步骤包含:
(a)一处理单元发送该数据封包;
(b)以一过滤单元拦截该数据封包,并在该数据封包的TCP/IP文件头的空白处加入一识别记号;
(c)透过该网络接口单元传送该数据封包至该伺服终端;以及
(d)该伺服终端的控制单元,确认该数据封包的TCP/IP文件头的空白处具有该识别记号。
9.如权利要求8所述的因特网的数据封包防护方法,其特征在于,步骤还包含:
(e)若该数据封包的TCP/IP文件头的空白处具有识别记号,则该控制单元通过该数据封包;以及
(f)若该数据封包的TCP/IP文件头的空白处不具有识别记号,则该控制单元阻挡该数据封包。
10.如权利要求8所述的因特网的数据封包防护方法,其特征在于,还包含:在该控制单元通过该数据封包后,该数据封包储存于该伺服终端的一封包缓冲单元;在该数据封包储存于该封包缓冲单元后,利用该伺服终端的一加解密单元自动加解密该数据封包。
11.一种因特网的数据封包防护系统,其特征在于,包含:
至少一第一计算机系统,其包含一第一处理单元及一过滤单元,该过滤单元耦合于该第一处理单元;以及
一第二计算机系统,其包含一第二处理单元及一控制单元,该控制单元耦合于该第二处理单元;
其中,该第一计算机系统是透过因特网传输一数据封包至该第二计算机系统,其传输步骤包含:
(a)该第一计算机系统发送该数据封包;
(b)该第一计算机系统的该过滤单元拦截该数据封包,并在该数据封包的TCP/IP文件头的空白处加入一识别记号;
(c)该第二计算机系统接收该数据封包;
(d)该第二计算机系统的该控制单元,确认该数据封包的TCP/IP文件头的空白处具有该识别记号。
12.如权利要求11所述的因特网的数据封包防护系统,其特征在于,该第一计算机系统传输该数据封包至该第二计算机系统的传输步骤还包含:
(e)若该数据封包的TCP/IP文件头的空白处具有识别记号,则该控制单元通过该数据封包;以及
(f)若该数据封包的TCP/IP文件头的空白处不具有识别记号,则该控制单元阻挡该数据封包。
13.如权利要求11所述的因特网的数据封包防护系统,其特征在于,该第二计算机系统还包含:一封包缓冲单元,耦合于该第二处理单元及该控制单元,用以储存该数据封包;一加解密单元,耦合于该第二处理单元及该封包缓冲单元,当该数据封包储存于该封包缓冲单元后,该第二计算机系统的操作系统自动加解密该数据封包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100395488A CN103259773A (zh) | 2012-02-21 | 2012-02-21 | 一种因特网的数据封包防护系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100395488A CN103259773A (zh) | 2012-02-21 | 2012-02-21 | 一种因特网的数据封包防护系统及其方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103259773A true CN103259773A (zh) | 2013-08-21 |
Family
ID=48963476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100395488A Pending CN103259773A (zh) | 2012-02-21 | 2012-02-21 | 一种因特网的数据封包防护系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103259773A (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1647486A (zh) * | 2002-04-23 | 2005-07-27 | 阿尔卡特公司 | 数据过滤器管理装置 |
| CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
-
2012
- 2012-02-21 CN CN2012100395488A patent/CN103259773A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1647486A (zh) * | 2002-04-23 | 2005-07-27 | 阿尔卡特公司 | 数据过滤器管理装置 |
| CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3641225B1 (en) | Policy-driven compliance | |
| Shaukat et al. | A review on security challenges in internet of things (IoT) | |
| Tedeschi et al. | Secure IoT devices for the maintenance of machine tools | |
| Aydos et al. | Assessing risks and threats with layered approach to Internet of Things security | |
| Safavi et al. | Cyber vulnerabilities on smart healthcare, review and solutions | |
| AU2022202238B2 (en) | Tunneled monitoring service and methods | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| KR102337836B1 (ko) | 블록체인 응용 외부 정보 인식 및 정보 제공방법 | |
| CN113542339A (zh) | 一种电力物联网安全防护设计方法 | |
| US9143517B2 (en) | Threat exchange information protection | |
| Altayaran et al. | Security threats of application programming interface (API's) in internet of things (IoT) communications | |
| CN103259773A (zh) | 一种因特网的数据封包防护系统及其方法 | |
| Masvosvere et al. | Using a standard approach to the design of next generation e-Supply Chain Digital Forensic Readiness systems | |
| Lundgren et al. | Security and privacy of smart homes: issues and solutions | |
| Daneshgar et al. | Overcoming data security challenges of cloud of things: an architectural perspective | |
| Bröring et al. | Secure usage of asset administration shells: an overview and analysis of best practises | |
| Hooda et al. | Pervasive security of internet enabled host services | |
| KR102508418B1 (ko) | 사내 보안 관리 솔루션을 제공하는 방법 및 그 시스템 | |
| Gao et al. | Operational Security Analysis and Challenge for IoT Solutions | |
| Dik et al. | New Security Challenges of Internet of Things | |
| CN106941497B (zh) | 基于信息化平台数据的安全处理系统 | |
| Yutanto | Security Intelligence For Industry 4.0.: Design and Implementation | |
| Koujalagi | Network Security Intelligence for Small and Medium Scale Industry 4.0: Design and Implementation | |
| Sahoo et al. | Syslog a Promising Solution to Log Management. | |
| LAFEVER | CHAPTER EIGHT INFORMATION SYSTEM AND NETWORK SECURITY MICHELLE LAFEVER AND YOUNG B. CHOI |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130821 |