專利名稱:網絡用戶的信息安全防護系統與方法
技術領域:
本發明涉及一種網絡用戶的信息安全防護系統與方法,更詳而言之,是一種將網
絡用戶的報文數據導入特定路由路徑以進行各種信息安全防護服務的系統與方法。
背景技術:
由于網絡技術的發展,使得網絡系統建構的速度加快。在網絡越來越普及的情況 下,使用者通過網絡來進行各項人類活動已經是必然的趨勢,例如使用網絡搜集數據、瀏覽 知識、購買商品或交朋友等等。 而使用者想要連結因特網,一般必須通過因特網服務提供商(Internet Service Provider, ISP)來進行連線。因特網服務提供商就是為用戶提供導入因特網和網絡信息服 務的公司或機構,這些公司投入資金建立機房連線設備,并租用大量線路與頻寬,再分給一 般使用者并收取費用。通常用戶可通過固接專線或撥接的方式,通過因特網服務提供商的 服務器才能和因特網相連。 然而,因特網上充斥著大量的病毒與惡意程序,容易造成使用者端計算機設備的 當機與數據損毀。目前使用者對于信息安全的解決方案,是由客戶端自行購買及安裝防火 墻軟硬件或將入侵偵測的安全設備布署于內部網絡以阻擋病毒與惡意程序。但是對于信息 安全會造成威脅的惡意程序種類繁多,因此網絡用戶必須建置多種類的安全防護設備。但 安全防護設備的建置與維護會造成使用者沉重的費用負擔,也未必能有效地遏止網絡的病 毒與黑客攻擊,且即便于客戶端可成功阻擋惡意報文,也難以防止大量惡意報文造成連接 外部網絡頻寬下降的問題。 綜上所述,如何能提供一種可解決上述現有技術缺點的網絡用戶的信息安全防護 系統與方法,遂成為目前急待解決的課題。
發明內容
為解決前述現有技術的缺失,本發明的目的在于提供一種網絡用戶的信息安全防 護系統與方法,用以阻止惡意報文或惡意程序侵入客戶端裝置,由此提升使用者端的信息 安全等級。 本發明的另一目的在于提供一種網絡用戶的信息安全防護系統與方法,用以有效 地降低網絡用戶建置與維護信息安全設備的費用,并提升用戶上網頻寬的使用效率。
為達前述目的及其它目的,本發明提供一種網絡用戶的信息安全防護系統與方 法。該網絡用戶的信息安全防護系統包括客戶端裝置;路由裝置,用以提供該客戶端裝置 連線路由路徑;以及防護裝置,用以對來自該路由裝置的數據包進行安全防護,其中,該路 由裝置根據對應該客戶端裝置的設定文件將該客戶端裝置的數據包導入特定的路由路徑, 并通過該防護裝置對接收的數據包執行特定安全防護服務。 本發明更提供一種網絡用戶的信息安全防護系統,包括客戶端裝置;路由裝置, 用以提供該客戶端裝置連線路由路徑;以及防護裝置,連結該路由裝置,用以對該路由裝置所映像(mirror)的數據包進行安全防護,其中,該路由裝置將對應該客戶端裝置的數據包
映像至該防護裝置,并通過該防護裝置對數據包執行特定安全防護服務。 本發明再提供一種網絡用戶的信息安全防護系統,包括客戶端裝置;路由裝置,
用以提供該客戶端裝置連線路由路徑;以及代理服務裝置,連結該路由裝置,用以代理該客
戶端裝置接收或傳送數據包,其中,該代理服務裝置對所接收的數據包執行特定安全防護服務。 本發明的網絡用戶的信息安全防護方法,包括以下步驟(l)令客戶端裝置連結 路由裝置;(2)令該路由裝置根據對應該客戶端裝置的設定文件將該客戶端裝置的數據包 導入防護裝置;以及(3)令該防護裝置對接收的數據包執行特定安全防護服務。
本發明還提供一種網絡用戶的信息安全防護方法,包括以下步驟(l)令客戶端 裝置連結路由裝置;(2)令該路由裝置將對應該客戶端裝置的數據包映像至防護裝置;以 及(3)令該防護裝置對數據包執行特定安全防護服務。 本發明再提供一種網絡用戶的信息安全防護方法,包括以下步驟(l)令客戶端 裝置連結路由裝置;(2)令該路由裝置連結代理服務裝置,并通過該代理服務裝置進行數 據包傳輸;以及(3)令該代理服務器對所接收的數據包執行特定安全防護服務。
相比于現有的技術,本發明的網絡用戶的信息安全防護系統與方法利用特定客戶 端裝置的設定文件決定數據包的傳輸路由路徑,并由此將數據包導入防護裝置進行入侵防 護處理,可在ISP端成功遏止網絡病毒與黑客的攻擊,同時也提升連接外部網絡頻寬的使 用效率。另外,通過ISP端提供信息安全防護服務,使用者無需建置大量的安全防護設備, 因此也減輕了費用的負擔。
圖1為本發明的網絡用戶的信息安全防護系統的架構圖; 圖2為本發明的另一網絡用戶的信息安全防護系統的架構圖; 圖3為本發明的再另一網絡用戶的信息安全防護系統的架構圖; 圖4為本發明的網絡用戶之信息安全防護系統的一個具體實施例的架構圖; 圖5為本發明的網絡用戶的信息安全防護系統的另一個具體實施例的架構圖; 圖6為本發明的網絡用戶的信息安全防護系統的再一個具體實施例的架構圖; 圖7為本發明的網絡用戶的信息安全防護方法的流程圖; 圖8為本發明的另一個網絡用戶的信息安全防護方法的流程圖; 圖9為本發明的再一個網絡用戶的信息安全防護方法的流程圖;以及 圖10為本發明的網絡用戶的信息安全防護方法一個具體實施例的流程圖。 主要組件符號說明 10客戶端裝置 ll路由裝置 12防護裝置 13因特網 20客戶端裝置 21路由裝置
22防護裝置23因特網30客戶端裝置31路由裝置32代理服務裝置33因特網40a服務客戶端裝置40b —般客戶端裝置41接取路由器41 OA虛擬路由器411B虛擬路由器42供裝服務器43a、43b網絡連線設備44防護裝置45因特網50客戶端裝置51a接取路由器51b遠程路由器52入侵防護服務器53網頁防護設備54因特網60客戶端裝置61a接取路由器61b遠程路由器62入侵防護服務器63代理服務器64因特網S70 S72步驟S80 S82步驟S90 S92步驟S100 S105步驟
具體實施例方式
以下通過特定的具體實施例說明本發明的實施方式,本領域技術人員可由本說明 書所揭示的內容輕易地了解本發明的其它優點與功效。本發明也可通過其它不同的具體實 施例加以施行或應用。 請參閱圖l,其為本發明的網絡用戶的信息安全防護系統的架構圖。如圖所示,網 絡用戶的信息安全防護系統包括客戶端裝置10、路由裝置11、防護裝置12以及因特網13。
客戶端裝置10為可存取數據并進行數據處理的電子設備,例如臺式計算機、筆記本電腦、數字電視裝置、個人數字助理和/或移動電話。 路由裝置ll用以提供客戶端裝置IO連線路由路徑。為使信息在網絡間傳送,路 由裝置ll可用來決定數據傳遞路徑。由于網絡上的數據分成一段一段的報文(packet),而 這些報文要指向何處便是由路由裝置11來決定。因此,當客戶端裝置10上傳或接收數據 包時,路由裝置11可將該數據包導向特定的路由器或服務器。 防護裝置12,用以對來自該路由裝置的數據包進行安全防護。為了避免客戶端裝 置IO接收或傳送異常的報文數據,防護裝置12可對數據包進行各項信息安全防護服務。該 信息安全防護服務的內容可為防毒、掃毒、阻擋惡意報文和/或阻擋惡意連線。
本發明具體實施時,首先由客戶端裝置10連結路由裝置ll,接著,路由裝置11根 據對應該客戶端裝置10的設定文件產生路由路徑。當客戶端裝置10將報文數據上傳時, 路由裝置ll會通過策略路由(Policy-Based Routing,PBR)技術將該報文數據導入特定的 路由路徑,以傳送至防護裝置12執行特定安全防護服務。該設定文件是依據客戶端進行網 絡申裝或服務申請所建立,且該設定文件的內容是依據PBR技術來撰寫的。在此須提出說 明的是,路由裝置11及設定文件并不限定采用PBR技術,舉凡可識別客戶端連接請求并將 該請求導入特定路由的通信協議技術均可使用,且防護裝置12也可通過因特網13連結至 其它平臺進行防護服務設定。 在一個較佳實施例中,客戶端裝置10可通過廣域網絡系統、虛擬私人網絡系統、 局域網絡系統和/或無線網絡連結該路由裝置11。 在另一較佳實施例中,該路由裝置ll還包括多個接取路由器,其中,該多個接取 路由器間通過通用路由封裝(generic routingenc即sulation, GRE)信道技術傳輸數據包。
再一個較佳實施例中,該路由裝置ll根據不同設定文件形成多個虛擬路由器,因 此能提供多個路由路徑進行報文數據傳輸。 請參閱圖2,本發明的另一個網絡用戶的信息安全防護系統的架構圖。本實施例中 包括客戶端裝置20、路由裝置21、防護裝置22以及因特網23,運作方式詳細說明如下。
本實施例中客戶端裝置20已向ISP提供商申請特定入侵防護服務功能。客戶端 裝置20可通過ISP提供商所提供的路由裝置21接收來自因特網23的數據包以及將數據 包傳送至因特網23。其中,路由裝置21可將該客戶端裝置的數據包映像至防護裝置22,并 通過防護裝置22對數據包執行特定安全防護服務,若防護裝置22發現使用者所連結的網 頁具有不當內容或甚至是惡意網頁時,則主動通知客戶端裝置20以停止該項連結行為,以 提升用戶使用網絡服務時的安全性。 在一個較佳實施例中,防護裝置22可通過因特網23連結至其它平臺進行防護服 務設定。 請參閱圖3,其為本發明的再一個網絡用戶的信息安全防護系統的架構圖。客戶端 裝置30、路由裝置31、代理服務裝置32以及因特網33,運作方式詳細說明如下。
相比于圖2,本架構利用代理服務裝置32來提供入侵防護服務。代理服務裝置32 連結路由裝置31與因特網33,用以代理該客戶端裝置30接收或傳送數據包。在未申請入 侵防護服務的用戶,其數據包通過路由裝置31傳輸至因特網33。而申請入侵防護服務的 用戶,在客戶端裝置30與因特網33間的報文傳遞必須通過代理服務裝置32作為窗口 。所 以,本發明利用代理服務裝置32對所接收的報文執行各種入侵防護,可阻擋惡意報文或病毒入侵客戶端裝置30。 請參閱圖4,為本發明的網絡用戶的信息安全防護系統的一個具體實施例的架構 圖。具體實施時,一般客戶端裝置40b通過網絡連線設備43b連結至接取路由器41。接取 路由器41根據設定文件的內容區分為A虛擬路由器410及B虛擬路由器411。由于一般客 戶端裝置40b申請上網功能,因此當報文數據進入接取路由器41時,即由B虛擬路由器411 將該報文數據導入因特網45。同樣地,來自因特網45傳送給一般客戶端裝置40b的報文數 據,經過接取路由器41,由B虛擬路由器411將該報文數據下傳給一般客戶端裝置40b,以 完成報文傳遞。 對于服務客戶端裝置40a,當其通過網絡連線設備43a連結至接取路由器41時,即 由A虛擬路由器410將來自服務客戶端裝置40a的報文數據導入防護裝置44。該報文數據 經過防護裝置44處理后,再傳至B虛擬路由器411以將該報文數據導入因特網45。另一方 面,來自因特網45中下傳給服務客戶端裝置40a的報文數據通過原路由路徑傳輸,報文數 據通過防護裝置44處理后導入A虛擬路由器410,再傳至客戶端裝置40a。
在一個較佳實施例中,令供裝服務器42將對應服務客戶端裝置40a的設定文件提 供給接取路由器41,并由A虛擬路由器410將來自服務客戶端裝置40a的報文數據導入防 護裝置44。 請參閱圖5,為本發明的網絡用戶的信息安全防護系統的另一具體實施例的架構 圖。相比于圖l至圖3所描繪的路由裝置,本實施例通過接取路由器51a與遠程路由器51b 來實現。 具體實施時,由于本地接取路由器51a并未直接與入侵防護服務器52進行 連結, 因此接取路由器51a可通過GRE信道技術連結遠程路由器51b,當客戶端裝置50想要進行 數據包傳輸時,均由接取路由器51a將報文導向與遠程路由器51b連結的入侵防護服務器 52進行信息安全防護。其好處在于當ISP端在特定區域并無相關信息安全防護設備時,可 利用數據傳輸技術(如GRE信道技術)將報文發送至具有入侵防護服務器52的遠程路由器 51b進行處理,因此能降低ISP提供商入侵防護設備建置成本。另外,本實施例更提供一種 網頁防護設備53,可對于使用者的網絡行為進行分析與管制。舉例而言,當接取路由器51a 偵測到客戶端裝置50想要連結網頁時,會通過路由器51a將報文數據映像(備份) 一份送 至網頁防護設備53進行分析,若發現所連結的網頁具有不當內容或甚至是惡意網頁時,則 發送通知給客戶端裝置50以停止該項連結行為。本實施例結合兩種入侵防護管控機制,可 減少入侵防護服務器52運作時的負擔。 請參閱圖6,為本發明的網絡用戶的信息安全防護系統的再一具體實施例的架構 圖。具體實施時,接取路由器61a通過GRE通道技術連結遠程路由器61b,在客戶端裝置60 進行數據包傳輸時由接取路由器61a將報文導向與遠程路由器61b連結的入侵防護服務器 62進行信息安全防護,接著,將報文數據回傳至接取路由器61a,若用戶未申請代理服務器 63的防護服務,則數據包由接取路由器61a傳輸至因特網64。若用戶有申請代理服務器63 的防護服務,則數據包須通過代理服務器63傳送至因特網64。 在一個較佳實施例中,代理服務器可提供防毒、掃毒、阻擋惡意報文、阻擋惡意連 線、入侵防御、入侵偵測、內容過濾、網頁入侵防護、威脅防護和/或病毒防護的服務。
參閱圖7,為本發明的網絡用戶的信息安全防護方法的流程圖。如圖所示,其具體流程包括以下的步驟。 在步驟S70中,令客戶端裝置連結路由裝置。其中,該客戶端裝置通過廣域網絡系 統、虛擬私人網絡系統、局域網絡系統和/或無線網絡連結該路由裝置。客戶端裝置可為臺 式計算機、筆記本電腦、個人數字助理和/或移動電話。接著進至步驟S71。
在步驟S71中,令路由裝置根據對應該客戶端裝置的設定文件將客戶端裝置的數 據包導入防護裝置。接著進至步驟S72。 在步驟S72中,令防護裝置對接收的數據包執行特定安全防護服務。 上述網絡用戶的信息安全防護方法,在一個較佳實施例中還包括以下的步驟。 首先,令路由裝置將對應該客戶端裝置的數據包映像至防護裝置。接著,令該防護
裝置對數據包執行特定安全防護服務。 上述網絡用戶的信息安全防護方法,在另一較佳實施例中還包括以下的步驟。
首先,通過代理服務裝置進行數據包傳輸。接著,令代理服務器對所接收的數據包 執行特定安全防護服務。 參閱圖8,為本發明的另一網絡用戶的信息安全防護方法的流程圖。如圖所示,其 具體流程包括以下的步驟。 在步驟S80中,令客戶端裝置連結路由裝置。接著進至步驟S81。 在步驟S81中,令路由裝置將對應該客戶端裝置的數據包映像至防護裝置。接著
進至步驟S82。 在步驟S82中,令該防護裝置對數據包執行特定安全防護服務。 參閱圖9,為本發明的再一網絡用戶的信息安全防護方法的流程圖。如圖所示,其
具體流程包括以下的步驟。 在步驟S90中,令客戶端裝置連結路由裝置。接著進至步驟S91。 在步驟S91中,令該路由裝置連結代理服務裝置,并通過代理服務裝置進行數據
包傳輸。接著進至步驟S92。 在步驟S92中,令代理服務裝置對數據包執行特定安全防護服務。 參閱圖IO,為本發明的網絡用戶的信息安全防護方法一個具體實施例的流程圖。
如圖所示,其具體流程包括以下的步驟。 在步驟SIOO中,令接取路由器根據設定文件將該客戶端裝置的報文數據導入特 定的虛擬路由器。接著進至步驟SIOI。 在步驟S101中,令虛擬路由器通過GRE T皿nel將報文數據傳向遠程路由器的入 侵防護服務器。接著進至步驟S102。 在步驟S102中,令入侵防護服務器提供報文數據特定的安全防護服務。接著進至 步驟S103。 在步驟S103中,令遠程路由器通過GRE T皿nel將報文數據傳回接取路由器。接 著進至步驟S104。 在步驟S104中,令接取路由器將數據包映像至網頁防護設備。接著進至步驟 S105。 在步驟S105中,令網頁防護設備對數據包執行特定安全防護服務,若發現異常報 文,則通知該客戶端裝置停止此項連結。
因此可發現,本發明針對網絡用戶不同的申請內容而產生不同的路由路徑,即可 定義不同的報文傳輸路線。在不同路由路徑可提供網絡用戶不同的入侵防護服務內容,使 報文數據具更彈性的網絡服務組合。而客戶端也因此能節省建置入侵防護設備的費用
因此,通過上述實施例的說明可知本發明的網絡用戶的信息安全防護系統與方法 利用網絡用戶的設定文件,用以對接取路由器進行的路由路徑的設定。該路由路徑指向防 護裝置,因此可封鎖或抑制惡意報文進入客戶端以及防止來自客戶端上傳的惡意報文向因 特網擴散。 綜上所述,本發明的網絡用戶的信息安全防護系統與方法可產生以下的功效
(1)強化數據包的管理,避免同時接收并處理多條報文而降低服務器運作效能。接 取路由器根據用戶設定文件將報文數據進行分流及管制,并提供不同的服務,因此可防止 服務器負載過大。
(2)提高連接外部網絡頻寬的使用效率。通過網絡服務供應端的入侵防護設備直
接封鎖惡意報文進入用戶的路由路徑,以提高連接外部網絡頻寬的使用效率。
(3)降低客戶端建構安全防護機制的成本。由于網絡服務供應端可通過此方式對
用戶的報文數據進行控管與防護,因此客戶端無須額外花費建置其它的信息安全防護設備
(如防火墻設備或防毒軟件)。 上述實施例僅為例示性說明本發明的原理及其功效,而非用于限制本發明。本領 域技術人員均可在不違背本發明的精神及范疇下,對上述實施例進行修飾與變化。
權利要求
一種網絡用戶的信息安全防護系統,其特征在于,包括客戶端裝置;路由裝置,用以提供該客戶端裝置連線路由路徑;以及防護裝置,用以對來自該路由裝置的數據包進行安全防護,其中,該路由裝置根據對應該客戶端裝置的設定文件將該客戶端裝置的數據包導入特定的路由路徑,并通過該防護裝置對接收的數據包執行特定安全防護服務。
2. —種網絡用戶的信息安全防護系統,其特征在于,包括 客戶端裝置;路由裝置,用以提供該客戶端裝置連線路由路徑;以及防護裝置,連結該路由裝置,用以對該路由裝置所映像的數據包進行安全防護, 其中,該路由裝置將對應該客戶端裝置的數據包映像至該防護裝置,并通過該防護裝 置對數據包執行特定安全防護服務。
3. —種網絡用戶的信息安全防護系統,其特征在于,包括 客戶端裝置;路由裝置,用以提供該客戶端裝置連線路由路徑;以及代理服務裝置,連結該路由裝置,用以代理該客戶端裝置接收或傳送數據包, 其中,該代理服務裝置對所接收的數據包執行特定安全防護服務。
4. 根據權利要求1 、2或3所述的網絡用戶的信息安全防護系統,其中,該客戶端裝置通 過廣域網絡系統、虛擬私人網絡系統、局域網絡系統和/或無線網絡連結該路由裝置。
5. 根據權利要求1 、2或3所述的信息安全防護系統,其特征在于,該客戶端裝置為工作 站、臺式計算機、筆記本電腦、個人數字助理和/或移動電話。
6. 根據權利要求1 、2或3所述的網絡用戶的信息安全防護系統,其特征在于,該路由裝 置還包括多個接取路由器。
7. 根據權利要求6所述的網絡用戶的信息安全防護系統,其特征在于,該多個接取路 由器間通過GRE信道技術傳輸數據包。
8. 根據權利要求1、2或3所述的網絡用戶的信息安全防護系統,其特征在于,該安全防 護服務的內容為防毒、掃毒、阻擋惡意報文、阻擋惡意連線、入侵防御、入侵偵測、內容過濾、 網頁入侵防護、威脅防護和/或病毒防護。
9. 根據權利要求1所述的網絡用戶的信息安全防護系統,其特征在于,還包括與該路 由裝置連結的另一防護裝置,其中,該路由裝置將對應該客戶端裝置的數據包映像至該另 一防護裝置,并通過該防護裝置對數據包執行特定安全防護服務。
10. 根據權利要求1所述的網絡用戶的信息安全防護系統,其特征在于,還包括與該路 由裝置連結的代理服務裝置,用以代理該客戶端裝置接收或傳送數據包,其中,該代理服務 裝置對所接收的數據包執行特定安全防護服務。
11. 一種網絡用戶的信息安全防護方法,其特征在于,包括以下步驟(1) 令客戶端裝置連結路由裝置;(2) 令該路由裝置根據對應該客戶端裝置的設定文件將該客戶端裝置的數據包導入防 護裝置;以及(3) 令該防護裝置對接收的數據包執行特定安全防護服務。
12. 根據權利要求11所述的網絡用戶的信息安全防護方法,其特征在于,還包括(4) 令該路由裝置將對應該客戶端裝置的數據包映像至另一防護裝置;以及(5) 令該另一防護裝置對數據包執行特定安全防護服務。
13. 根據權利要求11所述的網絡用戶的信息安全防護方法,其特征在于,還包括(4) 通過代理服務裝置進行數據包傳輸;以及(5) 令該代理服務器對所接收的數據包執行特定安全防護服務。
14. 一種網絡用戶的信息安全防護方法,其特征在于,包括以下步驟(1) 令客戶端裝置連結路由裝置;(2) 令該路由裝置將對應該客戶端裝置的數據包映像至防護裝置;以及(3) 令該防護裝置對數據包執行特定安全防護服務。
15. —種網絡用戶的信息安全防護方法,其特征在于,包括以下步驟(1) 令客戶端裝置連結路由裝置;(2) 令該路由裝置連結代理服務裝置,并通過該代理服務裝置進行數據包傳輸;以及(3) 令該代理服務器對所接收的數據包執行特定安全防護服務。
16. 根據權利要求11、14或15所述的網絡用戶的信息安全防護方法,其特征在于,該客戶端裝置通過因特網、局域網絡系統、廣域網絡系統和/或虛擬私人網絡系統連結該路由裝置。
17. 根據權利要求11、14或15所述的網絡用戶的信息安全防護方法,其特征在于,該客戶端裝置為工作站、臺式計算機、筆記本電腦、個人數字助理和/或移動電話。
18. 根據權利要求11、14或15所述的網絡用戶的信息安全防護方法,其特征在于,該路由裝置根據不同設定文件形成多個接取路由器。
19. 根據權利要求18所述的網絡用戶的信息安全防護方法,其特征在于,該多個接取路由器提供多個路由路徑。
20. 根據權利要求19所述的網絡用戶的連線識別方法,其特征在于,該多個接取路由器間通過GRE信道技術傳輸數據包。
全文摘要
一種網絡用戶的信息安全防護系統與方法,首先,令客戶端裝置連結路由裝置,接著,使路由裝置根據對應客戶端裝置的設定文件將該客戶端裝置的數據包導入防護裝置,最后,通過防護裝置對接收的數據包執行特定安全防護服務。據此,可直接在因特網服務提供商(ISP)端提供各種信息安全防護服務,以解決現有技術中網絡客戶自行購買、建置及維護信息安全防護系統所需付出高額設備費用與人力成本的問題。
文檔編號H04L29/06GK101741694SQ200810175559
公開日2010年6月16日 申請日期2008年11月7日 優先權日2008年11月7日
發明者余任, 吳怡芳, 徐明山, 李威, 游峯鵬, 許淵珽 申請人:中華電信股份有限公司