專利名稱:無線網絡系統的封包過濾的方法
技術領域:
本發明涉及一種無線網絡系統封包過濾的方法,尤其涉及一種利用一封包內的網絡卡地址來過濾該封包的方法。
背景技術:
近年來,隨著網絡的快速發展,許多重要的數據都利用網絡來傳送,因此網絡傳輸的安全性與快速性愈來愈受到重視。
已知網絡的安全防護主要是通過IEEE 802.11WEP(wires equivalent privacy)的數據加密方式來完成,其通過于用戶端與網絡的存取點(access point)的間皆使用相同的一組密鑰(WEP key)將欲傳送的文件加密后,再利用網絡系統來進行加密文件的傳輸。
請參考圖1,圖1為已知利用一密鑰系統10傳送一文件12的示意圖。密鑰系統10的第一端18包含一加密模組(encryption module)14用來將文件加密,及一解密模組(decryption module)16用來將文件解密,密鑰系統10的第二端28也包含一加密模組24及一解密模組26。當使用者欲將文件12由第一端18傳送至第二端28,并且又不希望文件12的內容讓第三者知道時,使用者就可利用密鑰系統10來完成秘密傳送文件12的工作。密鑰系統10秘密傳送文件的方法說明如下使用者先利用加密模組14以一密鑰將文件12加密成為一密文20,然后利用一公共通道19將密文20傳至第二端28,當第二端28收到密文20后,解密模組26會以該密鑰將密文20解密,隨后于第二端28的使用者就可以知道文件12的內容了。相對地,當第一端18的使用者接收傳自第二端28以該密鑰加密后的密文時,可利用解密模組16以該密鑰將該密文解密。在加密文件傳送的過程中,若有一網絡駭客欲截取密文20,由于該網絡駭客并沒有該密鑰,所以就算其取得密文20,也無法讀出密文20中所隱藏的內容,所以密鑰系統10確實能提供秘密傳送文件的功能。
然而,密鑰系統10至少有以下三項缺點1)網絡管理者須攜帶密鑰至多臺電腦進行密碼設定,浪費時間與人力,并且容易造成密鑰遭竊或遺失。
2)若欲加速設定的時間,可同時多人進行密碼設定的工作,但這樣也會同時讓許多人知道密碼,因而失去了保密的意義。
3)使用密鑰的文件保密方式是必須對每一份欲傳送的文件加密,對每一份接收的文件進行解密,由于密鑰的數值通常非常大(128bit),所以加密與解密的工作往往耗去相當多的時間。
發明內容
因此,本發明的目的在于提供一種能同時兼顧傳送文件時的安全性及快速性的方法。
本發明提供一種用于無線網絡系統的封包過濾的方法,該無線網絡系統包含一無線網絡橋接器,其是以無線電的方式連接于多個第一節點,每一第一節點以傳送數據封包的方式傳輸數據至該無線網絡橋接器,每一數據封包皆包含一標頭(header),其內存有第一地址數據,該無線網絡橋接器內存有第一目錄用來儲存多組第一地址數據,該無線網絡橋接器包含一接收模組、一驗證模組以及一傳輸模組,該接收模組用來接收由該多個第一節點所傳來的封包,該驗證模組用來將該接收模組所接收到的數據封包內的第一地址數據與該第一目錄中的多組第一地址數據進行比對,該傳輸模組是通過一區域網絡將數據傳輸至多個第二節點,該方法包含有下列步驟(a)使用該多個第一節點中的第一節點發出一數據封包至該無線網絡橋接器;(b)使用該無線網絡橋接器的接收模組接收該數據封包;(c)使用該無線網絡橋接器的驗證模組將該數據封包內的第一地址數據與該第一目錄中的多組第一地址數據進行比對;以及(d)若該數據封包內的第一地址數據符合該第一目錄中的第一地址數據,則使用該傳輸模組將該數據封包傳輸至連接于該區域網絡的第二節點。
圖1為已知利用密鑰系統傳送文件的示意圖。
圖2為本發明的方法中數據封包的示意圖。
圖3為本發明的方法中的無線網絡系統的示意圖。
圖4為本發明的方法的流程圖。
具體實施例方式
無線網絡系統中的任何數據都是以封包的方式傳送,在IEEE 802.11標準的定義中,介質存取控制層(media access control layer,MAC layer)傳送數據封包的方式為CSMA/CA(carrier sense multiple access with collision avoidance),也就是一種‘先聽再說’的設計。一傳送端(可為一使用者或為一存取點)在傳送一數據封包至一接收端(可為一使用者或為一存取點)之前必須先檢測無線網絡系統中是否有閑置的頻道,閑置的頻道意謂著此刻該頻道上并沒有傳送任何數據封包,如此才能保證數據封包于該閑置頻道開始傳送的過程中不會撞到(collisionavoidance)其它的數據封包。如果閑置頻道檢測的結果是‘有’,則該傳送端可將該數據封包利用該閑置頻道傳送出去;反之,如果閑置頻道檢測的結果是‘沒有’,代表無線網絡系統中所有的頻道此刻都非常忙碌地在傳送數據封包,于是該傳送端只好暫時等待一段時間再重新檢測是否有任何閑置的頻道出現,這個等待的時間叫作“backoff”。在等待了一個或多個backoff時間之后,終于有一閑置頻道出現,于是該傳送端就可利用該閑置頻道將該數據封包傳送出去。但在上述的過程中,該數據封包也可能于該閑置頻道中碰撞到其它數據封包,因此為了確認該數據封包于傳送的過程中并未因碰撞或干擾而造成數據的漏失,當該接收端成功地接收到該傳送端所傳來的該數據封包后,該接收端會立刻傳送一確認(acknowledge)訊號ACK至該傳送端。如果該傳送端于等到一閑置頻道并利用該閑置頻道將該數據封包傳送至該接收端后,遲遲未接收到由該接收端所傳來的確認訊號ACK,該傳送端就知道其先前所傳送的該數據封包并未成功地傳送至該接收端,于是該傳送端就必需再等待一個或多個backoff時間以進行另一次的數據封包的傳送。
當該接收端已成功地接收了所有傳自該傳送端的數據封包后,該接收端就可依據數據封包內的各種數據組合成一完整的數據或將數據封包繼續傳送至其它接收端。請參考圖2,圖2為本發明的無線網絡系統的封包過濾的方法中一數據封包30的示意圖,數據封包30內包含一標頭(header)32、一數據區段(body)34、以及一錯誤檢查碼(FCS)36。標頭32內包含一來源地址(source address)欄位42用來指示包含標頭32的數據封包30的來源地址數據、以及一目地地址(destinationaddress)欄位44用來指示數據封包30欲被傳輸的目地地址數據,數據區段34內存放著長度不固定的數據(data),錯誤檢查碼36的主要功能在于檢查數據封包30于傳送的過程當中是否發生錯誤,而檢查錯誤的方法則是采用CRC-32(CyclicRedundancy Check)之技巧。
請參考圖3,圖3為本發明的無線網絡系統的封包過濾的方法中的一無線網絡系統50的示意圖。無線網絡系統50中包含一位于無線網絡系統50的介質存取控制層(media access control layer,MAC layer)的無線網絡橋接器52,多個位于無線網絡系統50的實體層(physical layer)的第一節點(node)60、62,其以無線傳送數據封包30的方式傳輸數據至無線網絡橋接器52。無線網絡橋接器52內設有一來源目錄70用來儲存多組來源地址數據、以及一目地目錄72用來儲存多組目地地址數據,無線網絡橋接器52另包含一接收模組54、一驗證模組56、以及一傳輸模組58,其中接收模組54用來接收多個第一節點60、62所傳來的封包,驗證模組56用來將接收模組54所接收到的數據封包內的來源地址數據及目地地址數據與無線網絡橋接器52內來源目錄70中的多組來源地址數據及目地目錄72中的多組目地地址數據分別進行比對,而傳輸模組58則通過一區域網絡64將數據傳輸至位于無線網絡系統50的介質存取控制層的多個第二節點66、68。
鑒于每一種網絡設備(例如網絡卡,或路由器等)都有一特有的網絡地址(IPaddress),因此上述數據封包30內的標頭32內的來源地址數據及目地地址數據可為任何網絡設備的網絡地址。當第一節點60欲通過無線網絡系統50傳送數據封包時,無線網絡系統50的網管人員可以要求第一節點60先行登錄,也就是依據登錄程序將第一節點60的網絡設備的網絡地址先行儲存至無線網絡橋接器52內的來源目錄70及/或目地目錄72中,或是由無線網絡橋接器52自動搜尋第一節點60的網絡設備的網絡地址后將該網絡地址記錄至無線網絡橋接器52內的來源目錄70及/或目地目錄72中。隨后,當第一節點60的網絡設備以無線的方式連接至無線網絡橋接器52時,無線網絡橋接器52從第一節點60所傳來的數據封包30中讀取相關的網絡地址,再由無線網絡橋接器52內的驗證模組56依據一特定的驗證程序,對無線網絡橋接器52所讀取的第一節點60的網絡設備的網絡地址與無線網絡橋接器52內的來源目錄70及/或目地目錄72中的所有地址數據進行比對,驗證是否有與之匹配的數據存在,如有,則為合法用戶,允許通過,如沒有,則為非法用戶,拒絕通過。
請參考圖4,圖4為本發明的無線網絡系統50的封包過濾的方法的流程圖,本發明的方法包含下列步驟步驟100開始;(此時無線網絡橋接器52內的來源目錄70及目地目錄72內皆已儲存有多組地址數據,這些地址數據都是先前經過無線網絡系統50的網管人員登錄過的使用者的網絡設備的網絡地址數據。)步驟110使用多個第一節點中的第一節點將數據封包30傳送至無線網絡橋接器52;(數據封包30內包含該第一節點的網絡設備的網絡地址數據及指示數據封包30欲被傳輸的目地地址數據。)步驟120使用無線網絡橋接器52的接收模組54接收數據封包30;步驟130使用無線網絡橋接器52的驗證模組56驗證數據封包30內的來源地址數據與無線網絡橋接器52內的來源目錄70中的任一來源地址數據是否相符,若是,則進行步驟140,若否,則進行步驟200;步驟140使用無線網絡橋接器52的驗證模組56驗證數據封包30內的目地地址數據與無線網絡橋接器52內的目地目錄72中的任一目地地址數據是否相符,若是,則進行步驟150,若否,則進行步驟200;步驟150使用傳輸模組58依據該數據封包內的目地地址將數據封包30傳輸至符合該目地地址且連接于該區域網絡的第二節點;(傳送數據封包30的該第一節點的使用者確實是無線網絡系統50登錄過的使用者,并且該第一節點的使用者欲將數據封包30所傳送至的地址也確實是無線網絡系統50所允許數據封包被傳送至的地址。該第二節點的網絡設備的網絡地址符合數據封包30內之目地地址。)步驟200結束。
本發明的無線網絡系統50的封包過濾的方法可省略步驟130或步驟140,若本發明的方法省略步驟130時,無線網絡橋接器52內的驗證模組56只驗證數據封包30內的目地地址數據與無線網絡橋接器52內的目地目錄72中的任一目地地址數據是否相符,也就是說,不論數據封包30的來源地址為何,只要數據封包30內的目地地址與目地目錄72中的任一目地地址數據相符,無線網絡橋接器52內的傳輸模組58就會依據數據封包30內的目地地址將數據封包30傳輸至相對應的節點;若本發明的方法省略步驟140時,無線網絡橋接器52內的驗證模組56則只驗證數據封包30內的來源地址數據與無線網絡橋接器52內的來源目錄70中的任一來源地址數據是否相符,也就是說,不論數據封包30的目地地址為何,只要數據封包30內的來源地址與來源目錄72中的任一來源地址數據相符,無線網絡橋接器52內的傳輸模組58就會依據數據封包30內的目地地址將數據封包30傳輸至相對應的節點。
相較于已知的利用密鑰系統將文件加密的方法,本發明的封包過濾的方法,由于只檢查數據封包之標頭部份中來源地址數據或/與目地地址數據,而不對數據封包的數據區段部份進行處理(加密及解密等繁復的運算),因此本發明的方法于加快文件傳送速度的同時,又不會喪失文件傳送時所需的安全性。并且由于本發明的方法中主要的步驟,例如使用驗證模組驗證地址數據的過程,可藉由硬件來完成,因此本發明的方法的效能更能大幅地提升。
以上所述僅為本發明的較佳實施例,凡依本發明申請專利范圍所做的均等變化與修飾,皆應屬本發明專利的涵蓋范圍。
權利要求
1.一種無線網絡系統的封包過濾的方法,該無線網絡系統包含一無線網絡橋接器,其是以無線電的方式連接于多個第一節點,每一第一節點是以傳送數據封包的方式傳輸數據至該橋接器,每一數據封包包含一標頭,其內存有第一地址數據,該橋接器內存有第一目錄用來儲存多個第一地址數據,該橋接器包含一接收模組、一驗證模組及一傳輸模組,該接收模組用來接收該多個第一節點所傳來的封包,該驗證模組用來將該接收模組所接收到的數據封包內的第一地址數據與該第一目錄中的多個第一地址數據進行比對,該傳輸模組系通過一區域網絡將數據傳輸至多個第二節點,該方法包含有下列步驟(a)使用該多個第一節點中的第一節點發出一數據封包至該無線網絡橋接器;(b)使用該無線網絡橋接器的接收模組接收該數據封包;(c)使用該無線網絡橋接器的驗證模組將該數據封包內的第一地址數據與該第一目錄中的多個第一地址數據進行比對;以及(d)若該數據封包內的第一地址數據符合該第一目錄中的第一地址數據,則使用該傳輸模組將該數據封包傳輸至連接于該區域網絡的第二節點。
2.如權利要求1所述的方法,其特征在于,該標頭內的第一地址數據是一來源地址數據,用來指示包含該標頭的數據封包的來源。
3.如權利要求2所述的方法,其特征在于,該標頭內另存有的第二地址數據,是一目地地址數據,用來指示該數據封包欲被傳輸的目的地,該橋接器內另存有第二目錄用來儲存多個第二地址數據,其中于步驟(c)中,該無線網絡橋接器的驗證模組亦會將該數據封包內的第二地址數據與該第二目錄中的多個第二地址數據進行比對,于步驟(d)中,該數據封包內的第二地址數據亦需符合該第二目錄中的第二地址數據,該傳輸模組才會將該數據封包傳輸至連接于該區域網絡的第二節點。
4.如權利要求1所述的方法,其特征在于,該標頭內的第一地址數據是一目地地址數據,用來指示該數據封包欲被傳輸的目的地。
5.如權利要求1所述的方法,其特征在于,該無線網絡橋接器位于該無線網絡系統的介質存取控制層。
6.如權利要求1所述的方法,其特征在于,該多個第一節點及第二節點位于該無線網絡系統的實體層。
全文摘要
本發明提供一種無線網絡系統的封包過濾的方法,其包含下列步驟使用該無線網絡系統中的第一節點發出一數據封包至該無線網絡系統中的一無線網絡橋接器,使用該無線網絡橋接器的接收模組及驗證模組分別接收該數據封包及驗證該數據封包內的地址數據與一目錄中的多個地址數據進行比對,以及若該數據封包內的地址數據符合該目錄中的地址數據,則使用該無線網絡橋接器的傳輸模組通過區域網絡將該數據封包傳輸至多個第二節點。
文檔編號H04L12/66GK1481127SQ02136790
公開日2004年3月10日 申請日期2002年9月4日 優先權日2002年9月4日
發明者張勇, 何代水, 蔡世光, 張 勇 申請人:英華達(上海)電子有限公司