| 主权项 |
1.一种网路安全动态侦测系统,适用于连接至少一 请求端及一发送端之网路系统中,包括: 连结判断单元,系判断任一请求端之初始连结的请 求是否为一被授权的网路连结; 安全环境侦测单元,在该连结判断单元确认该请求 端之连结请求系被授权的网路连结时,则进一步判 断该请求端之安全等级的高低; 组态交换单元,在该安全环境侦测单元确认判断该 请求端之安全等级为高时,令请求端与发送端之间 协商出在网路连结时皆需认同的通讯协定,以决定 一对应的安全服务常式; 第三层封包处理单元,依据前述通讯协定,对该请 求端与发送端之间传输的封包执行前述安全服务 常式;以及 协商机制,系确认请求端与发送端双方皆已完成连 结,以释放系统资源。 2.如申请专利范围第1项所述之网路安全动态侦测 系统,包括至少一动态桥接器(Active Bridge)。 3.如申请专利范围第1项所述之网路安全动态侦测 系统,其中该连结判断单元,进一步具有一检查表 系预先记录每一被授权的网路连结(connection)之资 料,包括第二层的网路卡实体位址(Layer 2 mac address) 、第三层的网际网路位址(Layer 3 IP address)或第4层 的服务埠号码(Layer 4 service port number)。 4.如申请专利范围第1项所述之网路安全动态侦测 系统,其中当该连结判断单元判断该请求端之连结 请求非为被授权的网路连结时,则将该请求端传出 之任一资料封包直接经由一第二层桥接器(Layer 2 Bridge)送出。 5.如申请专利范围第1项所述之网路安全动态侦测 系统,其中该安全环境侦测单元进一步具有一封包 加工机制,系在请求端及发送端之间的初始连结过 程中,对经由该网路安全动态侦测系统传出的任一 封包之表头(header)的特征値(identification)进行特定 函数的正向运算,并对该网路安全动态侦测系统接 收到的任一封包之表头特征値进行该特定函数的 反向运算。 6.如申请专利范围第5项所述之网路安全动态侦测 系统,其中该请求端及发送端之间的初始连结过程 为一三向握手(three-way handshaking)之连结过程,过程 中分别传输包括SYN封包、ACK+SYN封包及ACK封包。 7.如申请专利范围第5项所述之网路安全动态侦测 系统,其中该安全环境侦测单元依据对接收到之封 包表头特征値的运算结果是否等于一预测的累进 数値以确认该请求端的安全等级。 8.如申请专利范围第7项所述之网路安全动态侦测 系统,其中当该封包表头特征値的运算结果等于该 累进数値时,则该请求端的安全等级为高。 9.如申请专利范围第7项所述之网路安全动态侦测 系统,其中当该封包表头特征値的运算结果不等于 该累进数値时,则该请求端的安全等级为低。 10.如申请专利范围第1项所述之网路安全动态侦测 系统,其中请求端与发送端双方认同的通讯协定, 包括一安全服务设定値。 11.如申请专利范围第10项所述之网路安全动态侦 测系统,其中安全服务常式进一步包括:加/解密( encryption/decryption)服务、数位签章(digital signature) 服务或字串比较中(pattern match)服务。 12.如申请专利范围第11项所述之网路安全动态侦 测系统,其中该加/解密服务常式之安全服务设定 値进一步包括:加密演算法及对应的加/解密金钥 。 13.如申请专利范围第10项所述之网路安全动态侦 测系统,其中该第三层封包处理单元执行前述安全 服务常式时,即利用前述安全服务设定値对该请求 端与发送端之间传送的封包之第三层(Layer 3)的资 料主体(Payload)进行运算处理。 14.如申请专利范围第1项所述之网路安全动态侦测 系统,包括两个相对的动态桥接器,分别邻近配置 于前述请求端与发送端。 15.一种网路安全动态侦测方法,适用于连接至少一 请求端及一发送端之网路系统中,包括: 利用一安全侦测单元依据请求端与发送端之间的 初始连结过程,判断该请求端之安全等级的高低; 当确认该请求端之安全等级为高时,使请求端与发 送端之间协商出在网路连结时皆认同的通讯协定, 以决定一对应的安全服务常式; 依据前述通讯协定,对该请求端与发送端之间传输 的封包执行前述安全服务常式;以及 确认请求端与发送端双方皆已完成连结以释放系 统资源。 16.如申请专利范围第15项所述之网路安全动态侦 测方法,利用一连结判断单元判断任一请求端之初 始连结的请求是否为一被授权的网路连结。 17.如申请专利范围第16项所述之网路安全动态侦 测方法,其中该连结判断单元,进一步具有一检查 表系预先记录每一被授权的网路连结(connection)之 资料,包括第二层的网路卡实体位址(Layer 2 mac address)、第三层的网际网路位址(Layer 3 IP address)或 第4层的服务埠号码(Layer 4 service port number)。 18.如申请专利范围第16项所述之网路安全动态侦 测方法,其中当该连结判断单元判断该请求端之连 结请求非为被授权的网路连结时,则将该请求端传 出之任一资料封包直接经由一第二层桥接器(Layer 2 Bridge)送出。 19.如申请专利范围第16项所述之网路安全动态侦 测方法,其中当该连结判断单元判断该请求端之连 结请求确为被授权的网路连结时,则同意请求端及 发送端之间进行初始连结过程。 20.如申请专利范围第15项所述之网路安全动态侦 测方法,其中在请求端及发送端之间的初始连结过 程中,对于经由该安全侦测单元传出的任一封包之 表头(header)的特征値(identification)进行特定函数的 正向运算,并对该安全侦测单元接收到的任一封包 之表头特征値进行该特定函数的反向运算。 21.如申请专利范围第15项所述之网路安全动态侦 测方法,其中该请求端及发送端之间的初始连结过 程为一三向握手(three-way handshaking)之连结过程,过 程中分别传输包括SYN封包、ACK+SYN封包及ACK封包。 22.如申请专利范围第20项所述之网路安全动态侦 测方法,其中该安全侦测单元依据其接收到之封包 表头特征値之运算结果是否等于一预测的累进数 値,以确认该请求端的安全等级。 23.如申请专利范围第22项所述之网路安全动态侦 测方法,其中当该封包表头特征値的运算结果等于 该累进数値时,则该请求端的安全等级为高。 24.如申请专利范围第22项所述之网路安全动态侦 测方法,其中当该封包表头特征値的运算结果不等 于该累进数値时,则该请求端的安全等级为低。 25.如申请专利范围第15项所述之网路安全动态侦 测方法,其申请求端与发送端双方认同的通讯协定 ,包括一安全服务设定値。 26.如申请专利范围第25项所述之网路安全动态侦 测方法,其中安全服务常式、进一步包括:加/解密( encryption/decryption)服务、数位签章(digital signature) 服务或字串比较(pattern match)服务。 27.如申请专利范围第26项所述之网路安全动态侦 测方法,其中该加/解密(encryption/decryption)服务常式 之安全服务设定値进一步包括加密演算法及对应 的加/解密金钥。 28.如申请专利范围第27项所述之网路安全动态侦 测方法,其中当执行前述安全服务常式时,即是利 用前述通讯协定之安全服务设定値对该请求端与 发送端之间传送的封包之第三层(Layer 3)的资料主 体(Payload)进行运算处理。 29.如申请专利范围第15项所述之网路安全动态侦 测方法,包括两个相对的动态桥接器,分别邻近配 置于前述请求端与发送端。 图式简单说明: 第1图系显示依据本发明较佳实施例之一网路安全 动态侦测系统之的内部架构; 第2图系显示依据本发明较佳实施例之一网路安全 动态侦测方法; 第3图系显示习知TCP通讯协定的发送端及请求端之 间进行三向握手(three-way handshaking)之初始网路连 结过程; 第4图系显示依据本发明较佳实施例之一网路安全 动态侦测系统网路的封包加工流程,其中包括分别 对输出/入的封包特征値x或x'进行特定函数之正向 运算f(X)或反向运算f -1(X'); 第5图系显示依据发明之一第一实施例之一配置前 述网路安全动态侦测系统的请求端与一发送端进 行三向握手的初始网路连结过程; 第6图系显示依据发明之一第二实施例之一配置前 述网路安全动态侦测系统的发送端与一请求端进 行三向握手的初始网路连结过程; 第7图系显示依据发明之一第三实施例之两各自配 置前述网路安全动态侦测系统的发送端及请求端 之间进行三向握手的初始网路连结过程,其中由该 请求端的网路安全动态侦测系统判断该发送端传 来的封包特征値是否正确;以及 第8图系显示依据发明之一第四实施例之两各自配 置前述网路安全动态侦测系统的发送端及请求端 之间进行三向握手的初始网路连结过程,其中由该 发送端的网路安全动态侦测系统判断该请求端传 来的封包特征値是否正确。 |
