无线网络系统的封包过滤的方法 【技术领域】
本发明涉及一种无线网络系统封包过滤的方法,尤其涉及一种利用一封包内的网络卡地址来过滤该封包的方法。
背景技术
近年来,随着网络的快速发展,许多重要的数据都利用网络来传送,因此网络传输的安全性与快速性愈来愈受到重视。
已知网络的安全防护主要是通过IEEE 802.11WEP(wires equivalent privacy)的数据加密方式来完成,其通过于用户端与网络的存取点(access point)的间皆使用相同的一组密钥(WEP key)将欲传送的文件加密后,再利用网络系统来进行加密文件的传输。
请参考图1,图1为已知利用一密钥系统10传送一文件12的示意图。密钥系统10地第一端18包含一加密模组(encryption module)14用来将文件加密,及一解密模组(decryption module)16用来将文件解密,密钥系统10的第二端28也包含一加密模组24及一解密模组26。当使用者欲将文件12由第一端18传送至第二端28,并且又不希望文件12的内容让第三者知道时,使用者就可利用密钥系统10来完成秘密传送文件12的工作。密钥系统10秘密传送文件的方法说明如下:使用者先利用加密模组14以一密钥将文件12加密成为一密文20,然后利用一公共通道19将密文20传至第二端28,当第二端28收到密文20后,解密模组26会以该密钥将密文20解密,随后于第二端28的使用者就可以知道文件12的内容了。相对地,当第一端18的使用者接收传自第二端28以该密钥加密后的密文时,可利用解密模组16以该密钥将该密文解密。在加密文件传送的过程中,若有一网络骇客欲截取密文20,由于该网络骇客并没有该密钥,所以就算其取得密文20,也无法读出密文20中所隐藏的内容,所以密钥系统10确实能提供秘密传送文件的功能。
然而,密钥系统10至少有以下三项缺点:
1)网络管理者须携带密钥至多台电脑进行密码设定,浪费时间与人力,并且容易造成密钥遭窃或遗失。
2)若欲加速设定的时间,可同时多人进行密码设定的工作,但这样也会同时让许多人知道密码,因而失去了保密的意义。
3)使用密钥的文件保密方式是必须对每一份欲传送的文件加密,对每一份接收的文件进行解密,由于密钥的数值通常非常大(128bit),所以加密与解密的工作往往耗去相当多的时间。
【发明内容】
因此,本发明的目的在于提供一种能同时兼顾传送文件时的安全性及快速性的方法。
本发明提供一种用于无线网络系统的封包过滤的方法,该无线网络系统包含一无线网络桥接器,其是以无线电的方式连接于多个第一节点,每一第一节点以传送数据封包的方式传输数据至该无线网络桥接器,每一数据封包皆包含一标头(header),其内存有第一地址数据,该无线网络桥接器内存有第一目录用来储存多组第一地址数据,该无线网络桥接器包含一接收模组、一验证模组以及一传输模组,该接收模组用来接收由该多个第一节点所传来的封包,该验证模组用来将该接收模组所接收到的数据封包内的第一地址数据与该第一目录中的多组第一地址数据进行比对,该传输模组是通过一区域网络将数据传输至多个第二节点,该方法包含有下列步骤:
(a)使用该多个第一节点中的第一节点发出一数据封包至该无线网络桥接器;
(b)使用该无线网络桥接器的接收模组接收该数据封包;
(c)使用该无线网络桥接器的验证模组将该数据封包内的第一地址数据与该第一目录中的多组第一地址数据进行比对;以及
(d)若该数据封包内的第一地址数据符合该第一目录中的第一地址数据,则使用该传输模组将该数据封包传输至连接于该区域网络的第二节点。
【附图说明】
图1为已知利用密钥系统传送文件的示意图。
图2为本发明的方法中数据封包的示意图。
图3为本发明的方法中的无线网络系统的示意图。
图4为本发明的方法的流程图。
【具体实施方式】
无线网络系统中的任何数据都是以封包的方式传送,在IEEE 802.11标准的定义中,介质存取控制层(media access control layer,MAC layer)传送数据封包的方式为CSMA/CA(carrier sense multiple access with collision avoidance),也就是一种‘先听再说’的设计。一传送端(可为一使用者或为一存取点)在传送一数据封包至一接收端(可为一使用者或为一存取点)之前必须先检测无线网络系统中是否有闲置的频道,闲置的频道意谓着此刻该频道上并没有传送任何数据封包,如此才能保证数据封包于该闲置频道开始传送的过程中不会撞到(collisionavoidance)其它的数据封包。如果闲置频道检测的结果是‘有’,则该传送端可将该数据封包利用该闲置频道传送出去;反之,如果闲置频道检测的结果是‘没有’,代表无线网络系统中所有的频道此刻都非常忙碌地在传送数据封包,于是该传送端只好暂时等待一段时间再重新检测是否有任何闲置的频道出现,这个等待的时间叫作“backoff”。在等待了一个或多个backoff时间之后,终于有一闲置频道出现,于是该传送端就可利用该闲置频道将该数据封包传送出去。但在上述的过程中,该数据封包也可能于该闲置频道中碰撞到其它数据封包,因此为了确认该数据封包于传送的过程中并未因碰撞或干扰而造成数据的漏失,当该接收端成功地接收到该传送端所传来的该数据封包后,该接收端会立刻传送一确认(acknowledge)讯号ACK至该传送端。如果该传送端于等到一闲置频道并利用该闲置频道将该数据封包传送至该接收端后,迟迟未接收到由该接收端所传来的确认讯号ACK,该传送端就知道其先前所传送的该数据封包并未成功地传送至该接收端,于是该传送端就必需再等待一个或多个backoff时间以进行另一次的数据封包的传送。
当该接收端已成功地接收了所有传自该传送端的数据封包后,该接收端就可依据数据封包内的各种数据组合成一完整的数据或将数据封包继续传送至其它接收端。请参考图2,图2为本发明的无线网络系统的封包过滤的方法中一数据封包30的示意图,数据封包30内包含一标头(header)32、一数据区段(body)34、以及一错误检查码(FCS)36。标头32内包含一来源地址(source address)栏位42用来指示包含标头32的数据封包30的来源地址数据、以及一目地地址(destinationaddress)栏位44用来指示数据封包30欲被传输的目地地址数据,数据区段34内存放着长度不固定的数据(data),错误检查码36的主要功能在于检查数据封包30于传送的过程当中是否发生错误,而检查错误的方法则是采用CRC-32(CyclicRedundancy Check)之技巧。
请参考图3,图3为本发明的无线网络系统的封包过滤的方法中的一无线网络系统50的示意图。无线网络系统50中包含一位于无线网络系统50的介质存取控制层(media access control layer,MAC layer)的无线网络桥接器52,多个位于无线网络系统50的实体层(physical layer)的第一节点(node)60、62,其以无线传送数据封包30的方式传输数据至无线网络桥接器52。无线网络桥接器52内设有一来源目录70用来储存多组来源地址数据、以及一目地目录72用来储存多组目地地址数据,无线网络桥接器52另包含一接收模组54、一验证模组56、以及一传输模组58,其中接收模组54用来接收多个第一节点60、62所传来的封包,验证模组56用来将接收模组54所接收到的数据封包内的来源地址数据及目地地址数据与无线网络桥接器52内来源目录70中的多组来源地址数据及目地目录72中的多组目地地址数据分别进行比对,而传输模组58则通过一区域网络64将数据传输至位于无线网络系统50的介质存取控制层的多个第二节点66、68。
鉴于每一种网络设备(例如网络卡,或路由器等)都有一特有的网络地址(IPaddress),因此上述数据封包30内的标头32内的来源地址数据及目地地址数据可为任何网络设备的网络地址。当第一节点60欲通过无线网络系统50传送数据封包时,无线网络系统50的网管人员可以要求第一节点60先行登录,也就是依据登录程序将第一节点60的网络设备的网络地址先行储存至无线网络桥接器52内的来源目录70及/或目地目录72中,或是由无线网络桥接器52自动搜寻第一节点60的网络设备的网络地址后将该网络地址记录至无线网络桥接器52内的来源目录70及/或目地目录72中。随后,当第一节点60的网络设备以无线的方式连接至无线网络桥接器52时,无线网络桥接器52从第一节点60所传来的数据封包30中读取相关的网络地址,再由无线网络桥接器52内的验证模组56依据一特定的验证程序,对无线网络桥接器52所读取的第一节点60的网络设备的网络地址与无线网络桥接器52内的来源目录70及/或目地目录72中的所有地址数据进行比对,验证是否有与之匹配的数据存在,如有,则为合法用户,允许通过,如没有,则为非法用户,拒绝通过。
请参考图4,图4为本发明的无线网络系统50的封包过滤的方法的流程图,本发明的方法包含下列步骤:
步骤100:开始;
(此时无线网络桥接器52内的来源目录70及目地目录72内皆已储存有多组地址数据,这些地址数据都是先前经过无线网络系统50的网管人员登录过的使用者的网络设备的网络地址数据。)
步骤110:使用多个第一节点中的第一节点将数据封包30传送至无线网络桥接器52;
(数据封包30内包含该第一节点的网络设备的网络地址数据及指示数据封包30欲被传输的目地地址数据。)
步骤120:使用无线网络桥接器52的接收模组54接收数据封包30;
步骤130:使用无线网络桥接器52的验证模组56验证数据封包30内的来源地址数据与无线网络桥接器52内的来源目录70中的任一来源地址数据是否相符,若是,则进行步骤140,若否,则进行步骤200;
步骤140:使用无线网络桥接器52的验证模组56验证数据封包30内的目地地址数据与无线网络桥接器52内的目地目录72中的任一目地地址数据是否相符,若是,则进行步骤150,若否,则进行步骤200;
步骤150:使用传输模组58依据该数据封包内的目地地址将数据封包30传输至符合该目地地址且连接于该区域网络的第二节点;
(传送数据封包30的该第一节点的使用者确实是无线网络系统50登录过的使用者,并且该第一节点的使用者欲将数据封包30所传送至的地址也确实是无线网络系统50所允许数据封包被传送至的地址。该第二节点的网络设备的网络地址符合数据封包30内之目地地址。)
步骤200:结束。
本发明的无线网络系统50的封包过滤的方法可省略步骤130或步骤140,若本发明的方法省略步骤130时,无线网络桥接器52内的验证模组56只验证数据封包30内的目地地址数据与无线网络桥接器52内的目地目录72中的任一目地地址数据是否相符,也就是说,不论数据封包30的来源地址为何,只要数据封包30内的目地地址与目地目录72中的任一目地地址数据相符,无线网络桥接器52内的传输模组58就会依据数据封包30内的目地地址将数据封包30传输至相对应的节点;若本发明的方法省略步骤140时,无线网络桥接器52内的验证模组56则只验证数据封包30内的来源地址数据与无线网络桥接器52内的来源目录70中的任一来源地址数据是否相符,也就是说,不论数据封包30的目地地址为何,只要数据封包30内的来源地址与来源目录72中的任一来源地址数据相符,无线网络桥接器52内的传输模组58就会依据数据封包30内的目地地址将数据封包30传输至相对应的节点。
相较于已知的利用密钥系统将文件加密的方法,本发明的封包过滤的方法,由于只检查数据封包之标头部份中来源地址数据或/与目地地址数据,而不对数据封包的数据区段部份进行处理(加密及解密等繁复的运算),因此本发明的方法于加快文件传送速度的同时,又不会丧失文件传送时所需的安全性。并且由于本发明的方法中主要的步骤,例如使用验证模组验证地址数据的过程,可藉由硬件来完成,因此本发明的方法的效能更能大幅地提升。
以上所述仅为本发明的较佳实施例,凡依本发明申请专利范围所做的均等变化与修饰,皆应属本发明专利的涵盖范围。