專利名稱:限制外來訪問的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明主要涉及到用于控制通過互聯(lián)網(wǎng)外來訪問的方法和設(shè)備���,特別涉及到一種控制通過互聯(lián)網(wǎng)外來訪問的方法以及實(shí)現(xiàn)該方法的設(shè)備����,所述設(shè)備接收通過一網(wǎng)絡(luò)接口卡發(fā)送/接收的信息包����,將它們存儲于發(fā)送/接收緩沖器中,從存儲的信息包中提取地址��,將提取的地址和存儲于和網(wǎng)絡(luò)接口卡通訊的一存儲列表中的安全的IP地址相比較���,以及按照比較的結(jié)果決定許可訪問還是禁止訪問。
背景技術(shù):
在互聯(lián)網(wǎng)協(xié)議于1983年形成標(biāo)準(zhǔn)化之后,互聯(lián)網(wǎng)主要通過政府����、大企業(yè)和許多大學(xué)計算機(jī)網(wǎng)絡(luò)以各種諸如e-mail、文件傳輸(FTP)�、Gopher(基于菜單驅(qū)動的Internet信息查詢工具)、網(wǎng)絡(luò)新聞等等用途已經(jīng)得到了普及�����。而且��,當(dāng)美國的國家科學(xué)基金會(NSF)在1985年構(gòu)建NSFNET時��,NSF采用了TCP/IP作為基礎(chǔ)通訊協(xié)議�����。TCP/IP是ARPA(美國國防部高級研究計劃署)的互聯(lián)網(wǎng)協(xié)議��。因此�����,NSFNET作為互聯(lián)網(wǎng)的骨干網(wǎng)絡(luò)已經(jīng)得到了飛速的普及�。另外,在1988年,ARPA開始升級ARPANET的原始設(shè)備�����。當(dāng)ARPANET在1990年不再被用于軍事應(yīng)用時�����,互聯(lián)網(wǎng)最終以私有網(wǎng)絡(luò)重現(xiàn)�����。此外���,在眾多的伴隨著信息社會進(jìn)步出現(xiàn)的現(xiàn)象中��,已經(jīng)存在媒體和通訊網(wǎng)絡(luò)的集成�����。因為這種集成�,互聯(lián)網(wǎng)隨著互聯(lián)網(wǎng)的發(fā)展已經(jīng)成為很有價值的媒體�。隨著已經(jīng)開發(fā)出來的先進(jìn)的信息和通訊技術(shù),互聯(lián)網(wǎng)已經(jīng)深入到日常的社會生活���,這樣極大的利潤就產(chǎn)生了�。然而,另一方面���,互聯(lián)網(wǎng)也產(chǎn)生了極大的社會問題。
圖1所示為應(yīng)用于常規(guī)企業(yè)的典型網(wǎng)絡(luò)的構(gòu)架圖�。參照圖1,常規(guī)企業(yè)的網(wǎng)絡(luò)通常被建成如圖1所示�。該網(wǎng)絡(luò)包括一連接到互聯(lián)網(wǎng)上的路由器10,以確定一條最佳路徑并且發(fā)送信息包到確定的路徑�����;和一連接到路由器10上的防火墻20���。防火墻20用于規(guī)劃在兩個網(wǎng)絡(luò)之間的訪問控制策略��。另外還有按照訪問控制需要去保護(hù)的各種服務(wù)器或者主機(jī)60和80等等��,它們通過一開關(guān)集線器70被連接到防火墻20的后端��。此外�,服務(wù)器通??梢员环诸悶猷]件服務(wù)器40���、網(wǎng)絡(luò)服務(wù)器30、FTP服務(wù)器50等等�����。各服務(wù)器的功能在本領(lǐng)域內(nèi)是公知的�����,因此功能的詳細(xì)說明被省略���。而且���,主機(jī)60和80,它們是由用戶使用的個人計算機(jī)���,通過開關(guān)集線器70被連接到防火墻20的后端�����。主要的和工作相關(guān)的數(shù)據(jù)被存儲在企業(yè)中使用的主機(jī)60和80內(nèi)���。然而�����,通過互聯(lián)網(wǎng)的竊用(hacking)技術(shù)已變得日益智能化���,直接針對主機(jī)60和80竊用,而不是對服務(wù)器竊用的企圖日益增加����。當(dāng)對主機(jī)60和80的竊用成為企圖�,從計算機(jī)上流失重要數(shù)據(jù)的危險性就變得非常大。
同時�����,個人計算機(jī)并不是在根本上不同于正規(guī)計算機(jī)����。個人計算機(jī)用戶面對的安全問題包括程序、數(shù)據(jù)和硬件的機(jī)密性��、完整性和可用性��,和大型計算機(jī)所面臨的問題是同樣的�����。因此,標(biāo)準(zhǔn)控制技術(shù)�����,諸如訪問限制列表���、保護(hù)存儲器��、用戶認(rèn)證技術(shù)����、可靠的操作系統(tǒng)等等即便是在個人計算機(jī)環(huán)境下也必須同等地被應(yīng)用�。然而,典型地�,和大型計算機(jī)或類似類型的計算機(jī)比起來,個人計算機(jī)在它的安全控制方面并不嚴(yán)格����。此外,甚至大型計算機(jī)對于內(nèi)部用戶造成的數(shù)據(jù)毀滅也不是安全的����。個人計算機(jī)幾乎不提供針對外部互聯(lián)網(wǎng)用戶蓄意竊用的硬件級保護(hù)���。典型的硬件級保護(hù)裝置通常用于服務(wù)器。然而����,這樣的硬件級保護(hù)裝置的問題在于對于小和中等規(guī)模的企業(yè)來說使用起來太貴了。此外�,還有另外一個問題就是,即使企業(yè)購買了提供硬件級保護(hù)的裝置�,由于能夠控制裝置的人員的短缺也會使得裝置的管理通常不是最佳的,因此在很多情況下該裝置變得毫無用處����。
還有��,只有少數(shù)的企業(yè)為主機(jī)60和80運(yùn)行各自的安全服務(wù)器����,也就是說,計算機(jī)是為了工作才設(shè)置的�����。為了解決上述問題�,用戶為客戶端個體安裝和使用安全程序�。上述個體防火墻的問題在于它是由軟件形式實(shí)現(xiàn)的��,并且安裝防火墻的用戶必須直接管理程序��,因此由于管理的疏漏造成的竊用的危險性總是存在�����。
另外�,在家庭使用的典型的計算機(jī)中,使用xDSL的通訊環(huán)境隨著互聯(lián)網(wǎng)的發(fā)展占有主導(dǎo)地位����。而且,以家庭使用的計算機(jī)為目標(biāo)的竊用方法已經(jīng)產(chǎn)生如簡單的程序�,并且已在通訊環(huán)境下廣為傳播。這些竊用程序的例子是Back Orifice 2K���、Schoolbus��、Netbus����、Subseven y3k等等。精通使用計算機(jī)的人僅通過研究上述竊用程序的手冊就可以輕易地竊用其它人的個人計算機(jī)���。然而���,按照用戶的運(yùn)算級別,防止竊用的方法是不同的�����。用戶級安全保障提供各種保護(hù)方法����,例如文件加密、屏幕鎖定��、IP控制�、端口控制����、訪問日志控制、過程任務(wù)管理窗口��、共享控制等等功能�����。然而,有一個問題����,只有很少的客戶端用戶能相應(yīng)地維護(hù)安裝并對這樣的程序進(jìn)行管理。
發(fā)明內(nèi)容
因此�,本發(fā)明就是致力于解決發(fā)生在現(xiàn)有技術(shù)中的上述問題,并且本發(fā)明的目的是提供一種控制通過互聯(lián)網(wǎng)外來的蓄意訪問的方法和裝置�����。
本發(fā)明的另一目的是提供一種控制外來訪問的方法和裝置�����,它能夠防止用戶任意移除信息包���。
本發(fā)明的又一目的是提供一種控制通過互聯(lián)網(wǎng)外來訪問的方法和裝置�,它可通過每一臺用戶計算機(jī)運(yùn)行而無需額外的防火墻�����。
本發(fā)明的另一目的是提供一種控制通過互聯(lián)網(wǎng)外來訪問的方法和裝置�����,它不需要額外的管理員。
為了實(shí)現(xiàn)上述目的����,本發(fā)明使用了一個用于存儲和網(wǎng)絡(luò)接口卡通訊的一個可訪問地址列表的存儲單元,從通過網(wǎng)絡(luò)接口卡發(fā)送/接受的信息包中提取一個地址��,將提取的地址和可訪問地址列表中的地址相比較��,并且按照比較結(jié)果確定許可訪問還是禁止訪問���。從一用戶主機(jī)(60)向外的訪問可自由地進(jìn)行���,從外向用戶主機(jī)(60)的任何無理的訪問請求都可以被禁止。另外�,由用戶主機(jī)(60)首先提出訪問請求的外部終端接受從用戶主機(jī)(60)來的訪問請求。
本發(fā)明的上述和其它目的���、特征和其它的優(yōu)點(diǎn)從下面的結(jié)合附圖的詳細(xì)說明中將會被更清晰地理解,其中圖1所示為用于常規(guī)企業(yè)中的典型網(wǎng)絡(luò)結(jié)構(gòu)圖�����;圖2所示為使用一個SYN位的訪問請求過程的概念圖;圖3所示為按照本發(fā)明的優(yōu)選實(shí)施例實(shí)現(xiàn)一種控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的方法的網(wǎng)絡(luò)結(jié)構(gòu)圖���;
圖4所示為按照本發(fā)明的優(yōu)選實(shí)施例具有通過互聯(lián)網(wǎng)的訪問控制功能的網(wǎng)絡(luò)接口卡的內(nèi)部結(jié)構(gòu)的方塊圖���;圖5是通過地址確定單元檢測接收信息包來許可/禁止訪問請求的過程的流程圖;和圖6是通過地址確定單元檢測發(fā)送信息包來許可/禁止訪問請求的過程的流程圖���。
具體實(shí)施例方式
圖2所示為使用SYN位的訪問請求過程的概念圖�����。當(dāng)通過互聯(lián)網(wǎng)進(jìn)行通訊時�,傳輸數(shù)據(jù)到一個對應(yīng)的計算機(jī)的最典型方法是使用傳輸控制協(xié)議(TCP)進(jìn)行數(shù)據(jù)傳輸�。TCP提供流式的面向連接的服務(wù),它是可靠的�,也就是,通過再傳輸執(zhí)行錯誤控制和流控制��。TCP在兩個通訊的計算機(jī)的邏輯終端之間建立一個連接�����。在兩臺計算機(jī)之間進(jìn)行通訊之前�����,稱為握手(Handshake)的控制信息被傳輸。用于TCP中的握手被稱為三方信號交接��,因為三個信息段被交換���。一個用戶主機(jī)60通過發(fā)送一信息段到一連接器主機(jī)80啟動訪問�����。在該信息段內(nèi)包含有一個‘同步序列號’(SYN)位�����。該信息段通知連接器主機(jī)80���,用戶主機(jī)60想要開始訪問,并且分配一序列號��,用戶主機(jī)60使用該序列號作為信息段的起始號�。連接器主機(jī)80通過發(fā)送一內(nèi)設(shè)有ACK和SYN位的信息段到用戶主機(jī)60來應(yīng)答。另外����,來自連接器主機(jī)80的信息段通知用戶主機(jī)60,連接器主機(jī)80已經(jīng)接收了來自用戶主機(jī)60的信息段���,并且通知用戶主機(jī)60連接器主機(jī)80要使用的起始序列號��。最后�,用戶主機(jī)60向連接器主機(jī)80發(fā)送一信息段�,表明用戶主機(jī)60已經(jīng)接收到來自于連接器主機(jī)80的信息段,并且發(fā)送第一個有效數(shù)據(jù)到連接器主機(jī)80����,這樣就使得用戶主機(jī)60和連接器主機(jī)80之間可以可靠地交換數(shù)據(jù)。上述方法是三方信號交接方法���,它對應(yīng)于用戶需要通過TCP訪問一臺計算機(jī)時最常使用的方法��。
下面���,將參照附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)描述。
參照圖3����,一種控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的方法詳細(xì)說明如下。圖3所示為按照本發(fā)明的優(yōu)選實(shí)施例實(shí)現(xiàn)一種控制通過互聯(lián)網(wǎng)外來訪問的方法的網(wǎng)絡(luò)結(jié)構(gòu)圖���。
安裝在用戶主機(jī)60中的網(wǎng)絡(luò)接口卡100被構(gòu)造成可以和可訪問的地址存儲單元200進(jìn)行通訊���。對應(yīng)于從連接器主機(jī)80到用戶主機(jī)60的一個訪問請求的信息包被構(gòu)造成必須通過網(wǎng)絡(luò)接口卡100��。因此���,網(wǎng)絡(luò)接口卡100從通過的信息包中提取源地址并把提取的源地址和存儲在可訪問地址存儲單元200中的地址相比較。按照比較的結(jié)果�����,如果和源地址相同的地址存在于可訪問地址存儲單元200中�,則網(wǎng)絡(luò)接口卡100傳遞該信息包。相反�,如果和源地址相同的地址在可訪問地址存儲單元200中不存在,則網(wǎng)絡(luò)接口卡100移除該信息包�����。另外�,為了方便主機(jī)之間的接口,如果用戶主機(jī)60再次請求訪問外部連接器主機(jī)80���,則網(wǎng)絡(luò)接口卡100可以將最近請求訪問過的地址存儲到一個附加緩沖器中��,以便于以后的地址搜索��,從而等待從用戶主機(jī)60請求訪問的連接器主機(jī)80上接收來的一個應(yīng)答信號��。因此��,如果該用戶主機(jī)60請求訪問該連接器主機(jī)80���,則對信息包的傳輸沒有限制,并且對應(yīng)于從該連接器主機(jī)80到用戶主機(jī)60的訪問請求的信息包被移除�����。然而�,如果按照用戶主機(jī)60的一個請求,連接器主機(jī)80的一個訪問請求被輸入����,則網(wǎng)絡(luò)接口卡100臨時性地將信息包存儲在一個緩沖器中以便于傳遞信息包。因此���,如果從發(fā)送的信息包中提取的地址作為一個可訪問地址存在于該緩沖器中�,則連接器主機(jī)80可以訪問用戶主機(jī)60����。如上所述����,由于用戶主機(jī)60使用互聯(lián)網(wǎng)等進(jìn)行數(shù)據(jù)檢索需要頻繁地訪問外部服務(wù)器300���,從用戶主機(jī)60到外部服務(wù)器 00的訪問的信息包為信息包的自由傳輸?shù)哪康牟皇艿较拗?����。另外����,即使從外部服?wù)器300來的訪問請求的信息包被發(fā)送���,通過對外部服務(wù)器300設(shè)置一個許可訪問的標(biāo)志��,對外部服務(wù)器300的訪問仍然可以被許可���。因此,即使在用戶通過互聯(lián)網(wǎng)站購買商品時電子付款中也不存在限制�。
下面,將參照圖4對按照本發(fā)明的優(yōu)選實(shí)施例的網(wǎng)絡(luò)接口卡進(jìn)行詳細(xì)描述。圖4所示為按照本發(fā)明具有通過互聯(lián)網(wǎng)的訪問控制功能的網(wǎng)絡(luò)接口卡的內(nèi)部結(jié)構(gòu)的方塊圖����。
該網(wǎng)絡(luò)接口卡100使用計算機(jī)之間通訊用的PCI總線。網(wǎng)絡(luò)接口卡100包括一個媒體訪問控制(MAC)處理單元150�����,用于處理通過PCI總線傳輸?shù)男畔腗AC���;一個PHY處理單元160,用于處理物理層�����;一個信息包處理所需的緩沖器120��;一個引導(dǎo)ROM(BootROM)和一個連接器等�。
本發(fā)明的網(wǎng)絡(luò)接口卡100進(jìn)一步包括一地址確定單元110,一可訪問地址存儲單元200��,一發(fā)送包隊列130���,和一接收包隊列140���。另外���,網(wǎng)絡(luò)接口卡100可以被實(shí)現(xiàn)成進(jìn)一步包括緩沖器120,用于將信息存儲到從用戶計算機(jī)到連接器主機(jī)80或者到外部服務(wù)器300的訪問請求中�����。
參照圖4���,地址確定單元110被連接到前一階段的MAC處理單元150�����;然而它也可以被置于MAC處理單元150和PHY處理單元160之間��,或者它可以被連接到下一階段的PHY處理單元160�。另外�,在圖4中,發(fā)送包隊列130和接收包隊列140被分開放置��;然而它們也可以被集成進(jìn)單一的包隊列中��。
地址確定單元110從通過以太網(wǎng)(Ethernet)/PCI總線傳輸?shù)男畔刑崛≡?目標(biāo)地址���。目標(biāo)地址從通過PCI總線傳輸?shù)男畔刑崛?��,同時源地址從通過以太網(wǎng)總線傳輸?shù)男畔刑崛?����。地址確定單元110從輸入信息包中提取一個地址���,把該地址和存儲在緩沖器120或者可訪問地址存儲單元200中的一個地址列表相比較,并且按照比較的結(jié)果確定是否傳遞該信息包�。另外,地址確定單元110可以檢測所有通過其間的信息包����。然而����,最好確定輸入信息包是否是處理的目標(biāo),傳遞不是處理目標(biāo)的信息包��,然后確定是否傳遞只是處理目標(biāo)的信息包����。是處理目標(biāo)的信息包最好被限定為使用TCP和UDP的包����。被輸入到地址確定單元110中的信息包臨時存儲在發(fā)送包隊列130或者接收包隊列140中�,如同下面說明的,通過地址確定單元110����。地址確定單元110進(jìn)一步執(zhí)行一個將從信息包中提取出來的地址存入緩沖器120中的功能。
另外���,可訪問地址存儲單元200為用戶主機(jī)60的外部計算機(jī)來的訪問請求存儲永久許可的計算機(jī)地址�,并且被構(gòu)造成可以和網(wǎng)絡(luò)接口卡100通訊�����。也就是���,可訪問地址存儲單元200可以被存儲在安裝在計算機(jī)中的硬盤中�����,或者網(wǎng)絡(luò)接口卡100可以包含額外的存儲裝置����。非易失性的存儲器,諸如閃存���、EEPROM等等��,被用來作為額外的存儲裝置�����。存儲在可訪問地址存儲單元200中的內(nèi)容是對應(yīng)于可訪問計算機(jī)的IP地址的數(shù)字���,或者是對應(yīng)于其URL地址的字符值。最好��,數(shù)字和字符值不以它們原有的形式儲存到可訪問地址存儲單元200中��,而是以經(jīng)過散列函數(shù)散列(Hash)處理過的格式存入���。由于散列函數(shù)不具有反轉(zhuǎn)功能,即便有人企圖讀取存儲的內(nèi)容�,存儲內(nèi)容的值也是不可讀的。另外�����,以散列值存儲的內(nèi)容具有優(yōu)勢,因為它們是以索引形成并存儲的�����,因此它們和正常文件的查詢比較起來能被更快速地查詢���。而且����,可訪問地址存儲單元200還可以包括一個禁止訪問列表�����,它是永久地被禁止獲取訪問的地址的列表���,使地址確定單元110確定禁止訪問����。
如果用戶主機(jī)60最近剛通過互聯(lián)網(wǎng)請求過訪問��,則緩沖器120臨時性地存儲用戶主機(jī)60發(fā)送的訪問請求的內(nèi)容�,以便為再次的可以是從外部服務(wù)器300提供的訪問請求傳遞信息包。另外�����,緩沖器120被構(gòu)建成可以任意設(shè)定存儲在緩沖器120中的最近請求過訪問的包的數(shù)量。也就是��,包的數(shù)量隨著緩沖器120的容量的增加而增加����,因此一臺標(biāo)準(zhǔn)計算機(jī)用戶的互聯(lián)網(wǎng)訪問的從頭至尾全部訪問請求包上的信息可以被存儲在緩沖器120中。另外����,如果緩沖器120的容量小,則最新近接收到的訪問請求包被存儲在緩沖器120中����,并且最先接收到的訪問請求包被最早移除。
另外����,緩沖器120可以以非易失性存儲器諸如閃存,或者易失性存儲器諸如RAM來實(shí)現(xiàn)���。然而,最好使用易失性存儲器�����,因為它具有高訪問速度。
發(fā)送包隊列130用于臨時性地存儲從PCI總線輸入到地址確定單元110中的信息包���。另外����,當(dāng)?shù)刂反_定單元110從信息包中提取地址時��,發(fā)送包隊列130臨時性地存儲信息包���。之后���,如果對應(yīng)于訪問請求的一個SYN位被設(shè)置在從用戶主機(jī)60發(fā)送到外部服務(wù)器300或連接器主機(jī)80信息包中,則當(dāng)一個目標(biāo)地址被存儲在緩沖器120中以便等待帶有SYN和ACK位的信息時�����,發(fā)送包隊列130臨時性地存儲包����。另外,當(dāng)一個可訪問地址列表被存儲在緩沖器120中時,發(fā)送包隊列130臨時性地存儲包��。發(fā)送包隊列130和可訪問地址存儲單元200分開��。因此���,當(dāng)其內(nèi)設(shè)置有SYN位的一個訪問請求包被從存儲在緩沖器120中的可訪問地址接收到時����,對用戶主機(jī)60的訪問可以被許可����。另外,發(fā)送包隊列130可以以易失性存儲器諸如RAM��,或者非易失性存儲器諸如閃存來實(shí)現(xiàn)����。然而,考慮到訪問速度�����,最好使用易失性存儲器�。
接收包隊列140用于臨時性地存儲從以太網(wǎng)輸入到地址確定單元110中的信息包。另外,當(dāng)?shù)刂反_定單元110從信息包中提取一個地址時��,接收包隊列140臨時性地存儲信息包��。如果地址確定單元110確定地址為被禁止訪問的���,則相應(yīng)的包被移除。然而��,如果輸入的包是對應(yīng)于用戶主機(jī)60請求訪問的地址�,則接收包隊列140傳遞信息包,因為該地址作為一個可訪問地址被存儲在緩沖器120中���。也就是��,傳輸一個SYN位到用戶主機(jī)60請求訪問的外部計算機(jī)可以使從外部計算機(jī)接收到的SYN和ACK位是可被訪問的��。另外����,接收包隊列140可以以易失性存儲器或者非易失性存儲器來實(shí)現(xiàn)����,如同發(fā)送包隊列130;然而,接收包隊列140最好以易失性存儲器來實(shí)現(xiàn)����。
下文中,參照圖5對接收包的許可/禁止訪問進(jìn)行詳細(xì)說明���。圖5是按照本發(fā)明的優(yōu)選實(shí)施例的地址確定單元通過檢測接收信息包許可/禁止一個訪問請求的過程的流程圖��。
在步驟S100��,安裝在連接到互聯(lián)網(wǎng)上的用戶主機(jī)60中的網(wǎng)絡(luò)接口卡100從外部服務(wù)器300或者連接器主機(jī)80接收信息包����。在步驟S110����,網(wǎng)絡(luò)接口卡100通過復(fù)制接收到的信息包將接收到的信息包存儲在接收包隊列140中。在步驟S120�,地址確定單元110從接收到的信息包中提取一個源地址。另外�����,在步驟S130����,地址確定單元110將提取的源地址和存儲在緩沖器120中的地址相比較�。
對于在緩沖器120中歸類的地址��,在步驟S130-1����,如果和提取的地址相同的地址存在��,則在步驟S131確定提取的地址是否被歸類為一個可訪問地址���。如果在步驟S132地址被歸類為一個可訪問的地址���,則在步驟S134地址確定單元110傳遞信息包,而如果在步驟S133地址被歸類為一個禁止訪問的地址�,則在步驟S135地址確定單元110移去相應(yīng)的包。
另外����,在步驟S130-2,如果在緩沖器120中和提取的地址相同的地址不存在��,則在步驟S140地址確定單元110將提取的地址和存儲在可訪問地址存儲單元200中的地址列表上的地址進(jìn)行比較�����。
在步驟S150,地址確定單元110確定存儲在可訪問地址存儲單元200中的地址列表中的任何一個地址是否等同于提取的地址���。如果在步驟S150-1確定地址列表中的任何一個地址都不同于提取的地址�����,則在步驟S151地址相應(yīng)為接收禁止�。因此��,在步驟S152提取的地址作為一個禁止訪問的地址被記錄在緩沖器中�����,并且在步驟S153相應(yīng)的信息包被移去���。
另外����,如果在步驟S150-2確定存儲在可訪問地址存儲單元200中的地址列表中的任何一個地址和提取的地址相同����,則在步驟S160提取的地址作為一個許可訪問的地址被記錄在緩沖器中�����,并且在步驟S170相應(yīng)的信息包被傳遞�。
下文中��,參照圖6對發(fā)送的信息包的許可/禁止訪問進(jìn)行說明���。圖6是按照本發(fā)明的優(yōu)選實(shí)施例的地址確定單元通過檢測發(fā)送信息包許可/禁止一個訪問請求的過程的流程圖��。
如果用戶主機(jī)60請求訪問連接器主機(jī)80或者外部服務(wù)器300,諸如任意的使用Web瀏覽器或者其它應(yīng)用程序的Web服務(wù)器30�,則在步驟S200安裝在用戶主機(jī)60中的網(wǎng)絡(luò)接口卡100接收發(fā)送的信息包。從而����,在步驟S210網(wǎng)絡(luò)接口卡100將信息包存儲進(jìn)發(fā)送包隊列130。在步驟S220中地址確定單元110從接收到的信息包中提取目標(biāo)地址����,并且在步驟S230中將提取的目標(biāo)地址和存儲在緩沖器120中的地址相比較。
在步驟S230-1����,如果和提取的目標(biāo)地址相同的地址存在于緩沖器120中���,則在步驟S231地址確定單元110傳遞相應(yīng)的信息包;而在步驟S230-2��,如果和提取的目標(biāo)地址相同的地址在緩沖器120中不存在�,則在步驟S240地址確定單元110確定是否有一個SYN位被設(shè)置在信息包中。
在步驟S240-1����,如果SYN位被設(shè)置在信息包中,則在步驟S250目標(biāo)地址被作為一個可訪問地址記錄在緩沖器中�����,并且在步驟S260用于接收即將從目標(biāo)地址發(fā)送的帶有一個ACK位的信息包的等待狀態(tài)被存儲��。另外����,在步驟S270地址確定單元110傳遞信息包從而使信息包通過以太網(wǎng)發(fā)送到外面。
另一方面����,在步驟S240-2,如果SYN位沒有被設(shè)置在信息包中�,則在步驟S241目標(biāo)地址被存儲在緩沖器中��。另外��,在步驟S242地址確定單元110傳遞信息包從而使信息包通過以太網(wǎng)發(fā)送到外面�����。
雖然本發(fā)明的優(yōu)選實(shí)施例為了說明的目的已經(jīng)公開���,本領(lǐng)域的技術(shù)人員將會意識到,沒有偏離所附權(quán)利要求所公開的本發(fā)明的范圍和精神的各種修改����、添加和替換都是可能的。
工業(yè)應(yīng)用性如上所述�����,按照本發(fā)明的用于控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的一種方法和裝置的優(yōu)勢在于����,它能夠控制通過互聯(lián)網(wǎng)進(jìn)行外來的蓄意訪問��。
另外�����,本發(fā)明的優(yōu)勢在于,它能夠防止用戶任意地刪除或者移除信息包���。
而且�,本發(fā)明的優(yōu)勢在于�,它能夠通過使用每一臺獨(dú)立的計算機(jī)而無需額外的防火墻來控制通過互聯(lián)網(wǎng)的外來訪問。
再有�����,本發(fā)明的優(yōu)勢在于��,它能夠控制通過互聯(lián)網(wǎng)的外來訪問而無需額外的訪問控制管理��。
權(quán)利要求
1.一種控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的方法�,該方法通過一網(wǎng)絡(luò)接口卡進(jìn)行處理,包括以下步驟接收通過所述網(wǎng)絡(luò)接口卡發(fā)送/接收的一或多個信息包�����,并將所述信息包存儲在一發(fā)送/接收緩沖器中���;從所述存儲的信息包中提取一個地址��;將所述提取的地址和存儲在一個和所述網(wǎng)絡(luò)接口卡通訊的存儲列表中的安全I(xiàn)P地址相比較���;和按照所述比較的結(jié)果確定許可訪問還是禁止訪問���。
2.一種控制通過互聯(lián)網(wǎng)外來訪問的方法,該方法通過一網(wǎng)絡(luò)接口卡進(jìn)行處理���,包括以下步驟在一預(yù)定的區(qū)域存儲由所述網(wǎng)絡(luò)接口卡接收的一或多個信息包����,并且從所述信息包中提取一個地址�;檢測是否有一個和所述提取的地址相同的地址存儲在一個和所述網(wǎng)絡(luò)接口卡通訊的可訪問列表中;和通過檢測是否有和所述提取的地址相同的地址存儲在所述可訪問列表中確定許可訪問/禁止訪問�����。
3.如權(quán)利要求1或2的訪問控制方法����,進(jìn)一步還包括以下步驟在所述緩沖器中存儲通過所述網(wǎng)絡(luò)接口卡發(fā)送的信息包中的一個在其中設(shè)置有一個SYN位的信息包��,并且從所述信息包中提取一個地址;通過所述網(wǎng)絡(luò)接口卡發(fā)送所述其中設(shè)置有SYN位的信息包��;和從和所述提取的地址相同的地址接收帶有一個ACK位的一個信息包����,并且在所述緩沖器中設(shè)置一個可訪問標(biāo)志。
4.如權(quán)利要求1或2的訪問控制方法��,進(jìn)一步還包括以下步驟在所述緩沖器中存儲通過所述網(wǎng)絡(luò)接口卡發(fā)送的信息包中的一個內(nèi)部設(shè)置有一個SYN位的信息包�,并且從所述信息包中提取和存儲一個地址;將所述提取的地址和所述緩沖器中存儲的每一個地址相比較���,并且確定所述地址是否相同和是否設(shè)置有一個可訪問標(biāo)志��;和如果所述比較的地址是相同的并且可訪問標(biāo)志被設(shè)置����,則傳遞所述接收到的信息包�����。
5.如權(quán)利要求1或2的訪問控制方法���,進(jìn)一步還包括以下步驟在所述緩沖器中存儲通過所述網(wǎng)絡(luò)接口卡接收的信息包中的一個內(nèi)部設(shè)置有一個SYN位的信息包����,并且從所述信息包中提取和存儲一個地址;將所述提取的地址和所述緩沖器中存儲的每一個地址相比較�����,并且確定所述地址是否相同和是否設(shè)置有一個可訪問標(biāo)志��;和如果所述比較的地址不相同并且可訪問標(biāo)志沒有被設(shè)置���,則移除所述接收到的信息包�。
6.一種控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的裝置����,包括一可訪問地址存儲單元,用于存儲依照請求許可被訪問的計算機(jī)的安全地址�;一發(fā)送包隊列,用于臨時性地存儲要被發(fā)送到外面的發(fā)送信息包��;一接收包隊列��,用于臨時性地存儲從外面接收到的接收信息包���;和一地址確定單元,用于從接收信息包中提取一個地址,參照所述可訪問地址存儲單元確定所述提取的地址是否是許可訪問的�,如果和所述提取的地址相同的地址在所述可訪問地址存儲單元中不存在,則移除接收到的信息包��,并且如果和所述提取的地址相同的地址在所述可訪問地址存儲單元中存在����,則接受所述接收到的信息包。
7.如權(quán)利要求6的訪問控制裝置��,其特征在于�����,所述可訪問地址存儲單元使用散列函數(shù)以加密格式存儲地址信息�。
全文摘要
本發(fā)明公開了一種用于控制通過互聯(lián)網(wǎng)進(jìn)行外來訪問的方法和裝置。本發(fā)明使用了一個用于存儲和網(wǎng)絡(luò)接口卡通訊的一個可訪問地址列表的存儲單元���,從通過網(wǎng)絡(luò)接口卡發(fā)送/接收的信息包中提取地址���,將提取的地址和可訪問地址列表中的地址相比較,并且按照比較的結(jié)果確定許可訪問或禁止訪問����。本發(fā)明的網(wǎng)絡(luò)接口卡和用于存儲互聯(lián)網(wǎng)上的安全可訪問列表的存儲裝置通訊�����。另外�����,網(wǎng)絡(luò)接口卡的一個地址確定單元從自外面接收到的信息包中提取地址并只許可可靠的計算機(jī)訪問��,從而控制蓄意訪問���。另外,本發(fā)明使用一個服務(wù)器按照用戶的需求為可訪問地址或者禁止訪問地址提供更新服務(wù)����。
文檔編號G06F17/00GK1503952SQ02808192
公開日2004年6月9日 申請日期2002年4月4日 優(yōu)先權(quán)日2001年4月11日
發(fā)明者安貿(mào)卿 申請人:Safei有限公司