TW201018140A - System and method for protecting data of network user - Google Patents

Description

201018140 九、發明說明： — 【發明所屬之技術領域】 、本發明係關於一種網路用戶之資訊安全防護系統與 方法’更詳而言之，係-種將網路用戶之封包資料導入特 定路由路徑以進行各種資訊安全防護服務之系統與方法。 【先前技術】 由於網路技術的發展’使得網路系統建構的速度加 快。在網路越來越普及的情況下，使用者透過網路來進行 各項人類活動已經是必然:的趨勢，例如使用網路搜集資 料、瀏覽知識、購買商品或交朋友等等。 、 而使用者欲連結網際網路，—般必須透過網際網路服 務提供者（Internet Service PrQvider，Isp)來進行連 線。網際網路服務提供者就是為用戶提供導入網際網路和 網路訊息服務的公司或機構，這些公司投入資金建立機房 連線設備，並租用大量線路與頻寬，再分給一般使用者並 鲁收取費用。通常用戶可透過固接專線或撥接的方式，經由 網際網路服務提供者的伺服器才能和網際網路相連。 然而，網際網路上充斥著大量的病毒與惡意程式，容 易造成使用者端電腦設備的當機與資料損毁。目前使用者 對於資訊安全的解決方案，係由用戶端自行講買及安裝防 火膽軟硬體或將人侵偵測的安全設備佈署於内部網路藉 以阻擋病毒與惡意程式。惟對於資訊安全會造成威脅的惡 意程式種類繁多，因此網路用戶必須建置多種類的安全防 護設備。但安全防護設備的建置與維護會造成使用者沉重 110974 5 201018140 .PH ^ 成功阻擋惡意封包，也難以防止大 莖心、思封匕&成連外網路頻寬下降的問題。 的網：Π如何能提供一種可解決上述習知技術缺點 :=之資訊安全防護一，遂成為目前亟待 【發明内容】 • -種=Tf知技術之缺失，本發明之目的在於提供 戶之f訊安全防護系統與方法，用以阻止惡意 =ί:程式侵入用戶端裝置，藉此提昇使用者端的資 全防另—目的在於提供—種網路用戶之資訊安 二系統/、方法’用以有效的降低網路用戶建置與維護 貝訊文全設備的費用，並提昇用戶上網頻寬的使用效率。 &為達前述目的及其他目的，本發明提供一種網路用戶 ❿：貝訊安全防護系統與方法。該網路用戶之資訊安全防蠖 =:用戶端裝置;路由裝置，係用 、連線路由路徑；以及防護裝置，係用以對來自該路由 應=身科封包進行安全防護’其中，該路由裝置根據對 —戶端裝置之設定權將該用戶端裝置之資料封包導 二特疋之路由路徑，並藉由該防護裝置對接收的資料封包 執行特定安全防護服務。 本發明更提供一種網路用戶之資訊安全防護系統，包 用戶端裝置；路由裝置’係用以提供該用戶端裝置連 110974 201018140 線路由路徑；以及防護裝置，係連結該路由I置，用以對 該路由裝置所映射（mirrQr)之資料封包進行安全防護，其 中’該路由裝置將對應該用戶端裝置之資料封包映射至該 防護裝置’並藉由該防護裝置對資料封包執行料安全防

❹ 本發明再提供-種網路用戶之f訊安全防護系統包 ^用戶端裝置；路由裝置’係用以提供該用戶端裝置連 線路由路彳i ;以及代理舰裝置，料結該路由裝置，用 以代理該用戶端裝置接收或傳送資料封包，其中，該代理 伺服裝置對所接收的資料封包執行特定安全防護服務。 .本發明之網路用戶之資訊安全防護方法，包括以下步 ⑴令用戶端裝置連結路由裝置；⑵令該路由裝置根 對應該用戶端裝置之設定檔將該用戶端裝置之資料封 包導入防護裝置；以及⑶令該防護裝置對接收的資料封 包執行特定安全防護服務。 本發明更提供一種網路用戶之資訊安全防護方法，包 括以下步驟：⑴令用戶端裝置連結路由裝置；⑵令該 路由裝置將對應該用戶端裝置之資料封包映射至防護裝 X及（3)令該防濩裝置對資料封包執行特定安全防護 本發明再提供一種網路用戶之資訊安全防護方法，包 括以下步驟：（1)令用戶端裝置連結路由裝置；（2)令該 $由裝置連結代理伺服裝置，並透過該代理伺服裝置進行 貝料封包傳輸；以及（3)令該代理伺服器對所接收的資料 110974 7 201018140 封包執行特定安全防護服務。 #較於習知的技術’本發明之網路用 護系統與方法利用特定用戶端裝置 ：:二:: !：!傳輸路由路徑，並藉此將資料封包導二;:封 :女曰可：_成功遏止網路病毒與骇客的： 擎Π時也&幵連外網路頻寬的使用… ISP端提供資訊安全防護服 ，透過 全防護設備，因此也減少費用的負7無需建置大量的安 【實施方式】 式，^下此係技藉衔由之特人定士的了 Γ實施例說明本發明之實施方 无、W此技術之人士可由本說明書 瞭解本發明之其他優點與功效。本發明亦；藉易地 的具體實施例加以施行或應用。 3 、不同 -月參閱第1圖，其係本發明之網路 — ❿ 護系統的架構圖。如圖所示，網路用 =女全防 統包括用戶端裝置10、路由裝£11、貝訊女王防護系 際網路13。 蠖裝置12以及網 子㈣行資料處理之電 子叹備，例如桌上型電腦、筆記型電腦、數電 個人數位助理及/或行動電話。 電視裝置、 路由裝置11係用以提供用戶端 徑。為使資訊在網路間傳送， 10連線路由路 料傳遞路徑。由於網路上的資可用f決定資 —而這些封包要指向何處便:由 110974 8 201018140 決定。因此，當用戶端裝置1〇 11可將該資料封包導向二=服 防護裝置12,係用以對來自該路由裝 進行安全防護。為了避免用戶 、y 、匕 _資料，—可:二接:各= ❹ :防：二二二貝訊*全防護服務的内容可為防毒、掃 毒阻擋惡思封包及/或阻擋惡意連線。 裝置體實施時，首先由用戶端裝置1G連結路由 裝置1卜接者’路由裝置u根據對應該用戶端裝置1〇 之设定標產生路由路徑。當用戶端装置10將封包資料上 :時，路由裝置n會透過晴olicy—Based Routi㈣ 技術將該封包資料導入特定之路由路徑，以傳送至防護裝 置12執行特定安全防護服務。該設定檔是依據用戶端進 打網路申裝或服務申請所建立，且該設定檔的内容是依據 ❹PBR技術來撰寫者。在此須提出說明的是路由裝置U 及設定檔並不限定採用PBR技術，舉凡可識別用戶端連接 明长並將該5月求導入特定路由的通訊協定技術均可使 用且防護裝置12尚可透過網際網路丨3連結至其他平台 進行防護服務設定。 ° 於一較佳實施例中，用戶端裝置10可透過廣域網路 系統、虛擬私人網路系統、區域網路系統及/或無線網路 連結該路由裳置。 於另一較佳實施例中，該路由裝置U復包括複數個 9 110974 201018140

接取路由琴，甘A 其中’該複數個接取路由器間透過 GRE(generic rrm+. ◦uting encapsulati〇n)通道技術傳輸資料 封包。 、 —於又另一較佳實施例中，該路由裝置11根據不同設 0成複數個虛擬路自$，目此能提供複數個路由路徑 進行封包資料傳輸。 蹲系第2圖’本發明之另一網路用戶之資訊安全防 Ο 鞋署91 I圖。本實施例中包括用戶端裝置20、路由 裝置2 1、防言舊梦番¢) 〇 ^ 裝置22以及網際網路23,運作方式詳細說 啊如下。 安服例Γ用戶端裝置20已向isp業者申請特定資 由f置端裝置20可透過isp業者所提供的路 π接收來自網際網路23的資料封包 包傳达至網際網路23。其 貝丁價 , 路由裝置21可將該用戶端 ❿ 裝置之貝科封包映射至防護裝置2 晉 對資料封包執行特宕容八仏崎 丄稭由防濩裝置22 使用者所遠钍，王方濩服務，若防護裝置22發現 時，則主杂，s ▲ 田内谷或甚至是惡意網頁 夺則主動通知用戶端裝置20以停止& 提昇用戶使用網路服務時的安全性。^連結订為，以 於-較佳實施例中，防護裝置 23連結至其他平台進行防護服務設定。透過，獨網路 月參閱第3圖，其係本發明之再另— 安全防護系統之牟槿圄 馮路用戶之_貝訊 A構圖。用戶端裝置3〇 代理伺服裝置32以及網際網路33,運作方★裝置 雙作方式詳細說明如 110974 201018140 下。 相較於第2圖，本牟播在 供資安構係利用代理伺服裝置32來提 供貧女防護服務。代理飼服 < 錢 與網際網路33,用以代理該 糸連結路由裝置31 料封包。於未申&次—用戶端裝置30接收或傳送資 由裝置3W輸至網際網路^㈣包係透過路 Φ

於用戶端裝置30與網際網路33二貝：：務的用戶， 理飼服裝置32作為窗σ ? 封包傳遞必須透過代 置32對發】ί ’本發明利用代理飼服裝 勺封包執行各種資安㈣，可阻擋惡意封 包或病毒入侵用戶端裝置3〇。 二閱第4圓，為本發明之網路用戶之資訊安全防護 系統之-具體實施例之架構圖。具體實施時，—般用戶端 裝置杨透過網路連線設備伽連結至接取路由器ο。 接取路由器41根據設定檔的内容區分為A虛擬路由器 41〇及B虛擬路由器411。由於一般用戶端裝置4〇b申請 上網功旎，故當封包資料進入接取路由器41時，即由B 虛擬路由器411將該封包資料導入網際網路4弘同樣地， 來自網際網路45傳送給一般用戶端裝置40b的封包資 料，經過接取路由器41，由B虛擬路由器411將該封包 資料下傳給一般用戶端裝置4〇b，以完成封包傳遞。 對於服務用戶端裝置40a，當其透過網路連線設備 43a連結至接取路由器41時，即由a虛擬路由器41〇將 來自服務用戶端裝置40a之封包資料導入防護裝置44。 該封包資料經過防護裝置44處理後’再傳至b虛擬路由 π 110974 201018140 器411以將該封包資料導入網際網路45。另 自網際網路45中下傳給服務用戶端裝置術的封 由路程傳輸，封包資料經由防護裝置44處理: 導入A虛擬路由器410，再傳至用戶端裝置40a。 戶端實施财，令供裝伺服器42將對應服務用 :端裝置術之設定檔提供予接取路由器4卜並由八路 由器410將來自服務用卢娃酤 裝置44。 封包資料導入防護 參 ⑩ 凊參閱第5圖，為本發明之網路用戶之資訊安全防 之另一具體實施例之架構圖。相較於第1至第3圖所 f會的路由裝置，本實施例係透過接取路由器51a與遠端 路由器51b來實現。 〜具體實施時，由於本地接取路由器仏並未直接與資 器52進行連結，因此接取路由器51&可透過咖 2技術連結遠端路由器51b，當用戶端裝置5()欲進行 ^封包傳輸時’均由接取路由器51a將封包導向與遠端 器51b連結之入侵防護祠服器52進行資訊安全防 二。、好處在於當ISP端於特定區域並無相關資訊安全防 錢備時，可利用資料傳輸技術（如識通道技術）將封包 送至具有入钕防護伺服器52之遠端路由器51b進行處 7因此此降低ISP業者資安設備建置成本。另外，本實 1例更提供—種網頁防護設冑53,可對於使用者的網路 :為進行刀析與管制。舉例而言，當接取路由器5ia摘測 用戶端裂置50欲連結網頁時，會透過路由器51&將封 12 110974 201018140 包資料映射（備份）一份送至網頁防護設備53進行分析 若發現所連結的網頁具有不當内 析， 時則發送通知予用戶端裝置5〇以停止該項連 頁 本實施例結合兩種資安管控機制，可減少入侵 ^ 52運作時的負擔。 服器 请參閱第6圖，為本發明之網路用戶之資訊 系統之再另一具體實施例 ° 防護 ^ j耵朱稱圖。具體實施時，接取踗 參 由器61a透過GRE通道技術連結遠端路由胃_，於 進行資料封包傳輸時由接取路仏仙將封包 導向與遠端路由器61b連結之入侵防護伺服器⑽進 訊安全防護，接著，將封包資㈣傳域取路由器61a， 若用戶未申請代理飼服器63的防護服務，則資料封包由 接取路由器61a傳輸至網際網路64。若用戶有中請代理 飼服器63的防護服務，職料封包㈣過代 傳送至網際網路64。 & 參 於一較佳實施例中，代理伺服器可提供防毒、掃毒、 阻擋惡意封包、阻擋惡意連線、入侵防紫、入侵领測、内 容過濾、、.網頁資安威脅防護及/或病毒防護的服務。 參閱第7圖，為本發明之網路用戶之資訊安全防護方 法的流程圖。如圖所示，其具體流程包括以下的步鄉。 於步驟S70中，令用戶端裝置連結路由裝置。其中， 該用戶端裝置透過廣域網路系統、虛擬私人網路系統、區 域網路系統及/或無線網路連結該路由裝置。用戶端裝置 可為桌上型電腦、筆記型電腦、個人數位助理及/或行動 110974 13 201018140 電話。接著進至步騍S71。 . 於步驟S71中，令路由裝置根據對應該 :設定檔將用戶端裝置之資料封包導入防護裝置：置之 步驟S72。 更展置。接著進至 於步驟S72 Φ，人 定安全防護服務。7防護裝置對接收的資料封包執行特 ❹ 上述之網路用戶之資訊安全防護方法 例中復包括以下的步驟。 較佳實施 首先，令路由裝置將對應該用戶端褒 射至防護裝置。接著，令該防護裝置對=封包映 安全防護服務。 +封包執行特定 上述之網路以之資訊安全防護方法 施例中復包括以下的步驟。 於另一較佳實 首先’透過代理伺服裝置進行資料封 令代理飼服器對所接收的資料封 輪。接者， ❹ 務。 叮符疋文全防護服 參閱第8圖’為本發明之另—網路用戶之 護方法的流程圖。如圖所示，其具體流程包括以身訊女王防 於步驟S80中，令用戶端裝 的步驟。 至步驟測。 縣置連、-路由裝置。接著進 ::驟S81中，令路由裝置將對應該 枓封包映射至防護裝置。接著進至步驟S82。 資 於步驟S82中，令該防護裝置對 全防護服務。 包執仃特定安 110974 14 201018140 參閱 防護方法的流程圖 一網路用戶之資訊安全 如圖所示’其具體流程包括以下的步 於步驟S90中’令用戶縣置連結路由裝置。接著進 至步驟S91。 於步驟S91中，令該路由裝置連結代理祠服裝置，並 透過代理伺服裝置進行資料封包傳輸。接 S92。 鄉 ❹ 於步驟S92中’令代理伺服裝置對資料封包執行特定 安全防護服務。 參閱第10圖，為本發明之網路用戶之資訊安全防護 方法—具體實施例之流程圖。如圖所示，其具體流程包括 以下的步驟。 於步驟S100中，令接取路由器根據設定檔將該用戶 端裝置之封包資料導入特定之虛擬路由器。接著進至步 ❿ S1(U。 於步驟S101中，令虛擬路由器透過GRE Tunnel將 封包資料傳向遠端路由器的入侵防護伺服器。接著進至步 驟 S102 〇 ’ 於步驟S102中，令入侵防護伺服器提供封包資料特 定之安全防護服務。接著進至步驟S103。 於步驟S103中，令遠端路由器透過GRE Tunne 1將 封包資料傳回接取路由器。接著進至步驟S104。 於步驟S104中，令接取路由器將資料封包映射至網 110974 15 201018140 頁防護設備。接著進至步驟S105。 -·—於步驟S1G5中，令網頁防護設備對資料封包執行特 :二女全防護服務’若發現異常封包，則通知該用戶 停止此項連結。 置 因此可發現，本發明針對網路用戶不同的申請内容而 ίΐ::的路由路徑，即可定義不同的封包傳輸路線。於 =路由路徑可提供網路用戶不同的資安服務内容使封 β建置資安防護設備的費用而用戶端也因此能節省 因此’透過上述實施例的說明可知本發明之網路用戶 之資訊女全防護系統與方法利用網路用戶的設定槽，用以 對接取路由器進行的路由路彳$ 噌驻罢的5又疋。該路由路徑指向防 ==因此可封鎖或抑制惡意封包進入用戶端以及防止 來自：戶知上傳的惡意封包向網際網路擴散。 I示上所述’本發明之網路用 ❹方法可產生以下的功效：戶之貝訊女全防護系統與 化諸封包的㈣，心同時純 封包而降低伺服器運作效能。接取路由哭 =數 將封包資料進行分流及管制，並握。0 戶没疋檔 防止飼服器負載過大希j敍供不同的服務，因此可 ⑵提高連外網路頻寬的使用效率。透過網路服 :端的資設備直接封鎖惡意封包進入用戶的路由 路徑，以挺咼連外網路頻寬的使用效率。 ⑶降低用戶端建構安全防護機制的成本。由於網路 110974 16 201018140 服務供應端可藉由此方式對用戶的封包資料進行控管與 防護，因此用戶端無須額外花費建置其他的資訊安全防護 設備（如防火牆設備或防毒軟體）。 上述實施例僅為例示性說明本發明屑理及其 效，於限制本發明。任何熟習此項技二人均= 不延背本發明之精神及料下，對上述實施例進行修飾與 變化。 【圖式簡單說明】

之資訊安全防護系統之 第1圖為本發明之網路用戶 架構圖； 第2圖為本發明之另一絪政 統之架構圖； ，料用戶之資訊安全防護系 第3圖為本發明之再另一網路用戶之 系統之架構圖； 貝戒女王防濩

第4圖為本發明之網路用戶 一具體實施例之架構圖； 之資訊安全防護系統之 第5圖為本發明之網路用戶 另一具體實施例之架構圖； 貝δ文全防護系統之 第6圖為本發明之網路用戶 再另一具體實施例之架構圖； 貝訊女全防護系統之 第7圖為本發明之網路用 流程圖； 貝訊女全防護方法的 第8圖為本發明之另 法的流程圖； 網路用.戶 之資訊安全防護方 110974 17 201018140 第9圖為本發明之再另一網路用戶之資訊安全防護 方法的流程圖；以及 戶之資訊安全防護方法一 第10圖為本發明之網路用 具體實施例之流程圖。 【主要元件符號說明】 10 用戶端裝置 11 路由裝置 12 防護装置 13 網際網路 20 用戶端裝置 21 路由裝置 22 防護裝置 23 網際網路 30 用戶端裝置 31 路由裝置 32 代理伺服裝置 33 網際網路 40a 服務用戶端裝置 40b 一般用戶端裝置 41 接取路由器 410 A虛擬路由器 411 B虛擬路由器 42 供裝伺服器 43a 、 43b 網路連線設備 110974 18 201018140 44 45 50 51a 51b 52 53 54 ©60 61a 61b 62 63 64 S70〜S72 懲 S80-S82 S90 〜S92 S100〜S105 防護裝置 網際網路 用戶端裝置 接取路由器 遠端路由器 入侵防護伺服器 網頁防護設備 網際網路 用戶端裝置 接取路由器 遠端路由器 入侵防護伺服器 代理伺服器 網際網路 步驟 步驟 步驟 步驟 19 110974

Claims (1)

1. 201018140 十、申請專利範圍： 1. 一種網路用戶之音# 尸之貝訊女全防護系統，包括： 用戶端裝置； 路由裝置，係用以提供該用戶端裝置連線路 徑；以及 吩 防護裝置，係用以對來自該路由裝置之資料封包 進行安全防護， 对匕 ❹ 其中，該路由裝置根據對應該用戶端裝置之設定 η用戶端裝置之資料封包導入特定之路由路 '，並藉由該防護裝置對接收的資料封包執行特定安 全防護服務。 2. 一種網路用戶之資訊安全防護系統，包括： 用戶端裝置； 路由裝置，係用以提供該用戶端裝置連線路由路 徑；以及 ©防護裝置，係連結該路由裝置，用以對該路由裝 置所映射（mirror)之資料封包進行安全防護， 其中，該路由裝置將對應該用戶端裝置之資料封 包映射至該防護裝置，並藉由該防護裝置對資料封包 執行特定安全防護服務。 3· 一種網路用戶之資訊安全防護系統，包括： 用戶端裝置； 路由裝置，係用以提供該用戶端裝置連線路由路 徑；以及 20 110974 201018140 ’用以代理該 資料封包執行 代理飼服裝置，係連結㈣由裝$ 用戶端裝置接㈣傳送資料封包， 其_，該代理飼服裝置對所接收的 特定安全防護服務。 4·如申請專利範圍第1、？七 2或3項之網路用戶之資 王防護系統，其中，該用 、 用戶端裝置透過廣域網路系 統、虛擬私人網路糸餘 j-..., m…丄 域網路系統及/或無線網

   路連結該路由裝置。 5.如申請專利範圍第卜2或3頊之眘人 # d項之貝訊女全防護系統， -中’該用戶端裝置為工作站、桌上型電腦、筆記型 電腦、個人數位助理及/或行動電話。 如申請專利範圍第卜2或3項之網路用戶之資訊安 全防護系統，其中，該路由裝置復包括複數個接取路 由器。 7. 如申請專利範圍第6項之網路用戶之資訊安全防護系 ❹ 統，其中，該複數個接取路由器間透過GRE(generic routing encapsulation)通道技術傳輸資料封包。 8. 如申4專利乾圍第ι、2或3項之網路用戶之資訊安 全防護系統，其中，該安全防護服務的内容為防毒、 掃毒、阻擋惡意封包、阻擋惡意連線、入侵防禦、入 侵偵測、内容過濾、網頁資安威脅防護及/或^毒防 護。 9. 如申請專利範圍第1項之網路用戶之資訊安全防護系 統’復包括與該路由裝置連結之另一防護震置，其 110974 21 201018140 中，該路由裝置將對應該用戶端裝置之資料封包映射 至該另一防護裝置，並藉由該防護裝置對資料封包執 行特定安全防護服務。 10. 如申請專利範圍第1項之網路用戶之資訊安全防護系 統，復包括與該路由裝置連結之代理伺服裝置，係用 以代理該用戶端裝置接收或傳送資料封包，其中，該 代理伺服裝置對所接收的資料封包執行特定'安全= 護服務。 11. 一種網路用戶之資訊安全防護方法，係包括以下步 (1)令用戶端裝置連結路由裝置； 該用戶端裝置之設定 ^防護装置；以及 貝料封包執行特定安 (2) 令該路由裝置根據對應 檔將該用戶端裝置之資料封包導 (3) 令該防護裝置對接收的 全防護服務。 12.如申請專利範圍第 方法’復包括： 11項之網路用 戶之資訊安全防護 宁琢路由 -衣夏之資料封 包映射至另一防護裝置；以及 (5)令該另一防護裝置對資料封 防護服務。 4料執行特定安全 13.如申請專利範圍第η項之網路用戶 方法，其中，復包括： 資訊安全防護 (4)透過代理伺服裝置進行資料 抖封包傳輪；以及 110974 201018140 )7該代理词服器對 定安全防護服務。 接㈣貝科封包執行特 14· 一種網路用戶 欠 以下步 趣. 貝訊女全防護方法，係包括 (1)·?用戶端裴置連結路由裝置； 包映應該資料封 (3)令該防護裝置肖資㈣包執行特定安 服務 15· 一種網路用戶之資訊安全 全防護 防護方法，係包括以下步 (1) 令用戶端裝置連結路由裝置； (2) 令該路由裝置連結代理伺服裝置並透過該 代理词服裝置進行資料封包傳輸；以及 ^ (3)令該代理伺服器對所接收的資料封包執行特 ❹定安全防護服務。 16·=申請專利範圍第u、14或15項之網路用戶之資訊 女全防護方法，其中，該用戶端裝置透過網際網路、 區域網路系統、廣域網路系統及/或虛擬私人網路系 統連結該路由裝置。 I?·如申凊專利範圍第11、14或15項之網路用戶之資訊 安全防護方法，其中，該用戶端裝置為工作站、桌上 型電腦、筆記型電腦、個人數位助理及/或行動電話。 18·如申請專利範圍第11、14或15項之網路用戶之資訊 110974 23 201018140 安全防護方法，甘士 . t ,.., v 其中，該路由裝置根據不同設定檔形 成禝數個接取路由器。 19. 如申請專利範圍第18項之網+ 峭惑網路用戶之資訊安全防護 徑。該硬數個接取路由器提供複數個路由路 20. 如申請專利範圍第丨 ^ . 項芝網路用戶之連線識別方 參 封:複數個接取路由器間透過_道技術 〇 110974 24