專利名稱：無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種無線網(wǎng)絡(luò)系統(tǒng)封包過濾的方法，尤其涉及一種利用一封包內(nèi)的網(wǎng)絡(luò)卡地址來過濾該封包的方法。
背景技術(shù)：
近年來，隨著網(wǎng)絡(luò)的快速發(fā)展，許多重要的數(shù)據(jù)都利用網(wǎng)絡(luò)來傳送，因此網(wǎng)絡(luò)傳輸?shù)陌踩耘c快速性愈來愈受到重視。
已知網(wǎng)絡(luò)的安全防護主要是通過IEEE 802.11WEP(wires equivalent privacy)的數(shù)據(jù)加密方式來完成，其通過于用戶端與網(wǎng)絡(luò)的存取點(access point)的間皆使用相同的一組密鑰(WEP key)將欲傳送的文件加密后，再利用網(wǎng)絡(luò)系統(tǒng)來進行加密文件的傳輸。
請參考圖1，圖1為已知利用一密鑰系統(tǒng)10傳送一文件12的示意圖。密鑰系統(tǒng)10的第一端18包含一加密模組(encryption module)14用來將文件加密，及一解密模組(decryption module)16用來將文件解密，密鑰系統(tǒng)10的第二端28也包含一加密模組24及一解密模組26。當(dāng)使用者欲將文件12由第一端18傳送至第二端28，并且又不希望文件12的內(nèi)容讓第三者知道時，使用者就可利用密鑰系統(tǒng)10來完成秘密傳送文件12的工作。密鑰系統(tǒng)10秘密傳送文件的方法說明如下使用者先利用加密模組14以一密鑰將文件12加密成為一密文20，然后利用一公共通道19將密文20傳至第二端28，當(dāng)?shù)诙?8收到密文20后，解密模組26會以該密鑰將密文20解密，隨后于第二端28的使用者就可以知道文件12的內(nèi)容了。相對地，當(dāng)?shù)谝欢?8的使用者接收傳自第二端28以該密鑰加密后的密文時，可利用解密模組16以該密鑰將該密文解密。在加密文件傳送的過程中，若有一網(wǎng)絡(luò)駭客欲截取密文20，由于該網(wǎng)絡(luò)駭客并沒有該密鑰，所以就算其取得密文20，也無法讀出密文20中所隱藏的內(nèi)容，所以密鑰系統(tǒng)10確實能提供秘密傳送文件的功能。
然而，密鑰系統(tǒng)10至少有以下三項缺點1)網(wǎng)絡(luò)管理者須攜帶密鑰至多臺電腦進行密碼設(shè)定，浪費時間與人力，并且容易造成密鑰遭竊或遺失。
2)若欲加速設(shè)定的時間，可同時多人進行密碼設(shè)定的工作，但這樣也會同時讓許多人知道密碼，因而失去了保密的意義。
3)使用密鑰的文件保密方式是必須對每一份欲傳送的文件加密，對每一份接收的文件進行解密，由于密鑰的數(shù)值通常非常大(128bit)，所以加密與解密的工作往往耗去相當(dāng)多的時間。

發(fā)明內(nèi)容
因此，本發(fā)明的目的在于提供一種能同時兼顧傳送文件時的安全性及快速性的方法。
本發(fā)明提供一種用于無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法，該無線網(wǎng)絡(luò)系統(tǒng)包含一無線網(wǎng)絡(luò)橋接器，其是以無線電的方式連接于多個第一節(jié)點，每一第一節(jié)點以傳送數(shù)據(jù)封包的方式傳輸數(shù)據(jù)至該無線網(wǎng)絡(luò)橋接器，每一數(shù)據(jù)封包皆包含一標(biāo)頭(header)，其內(nèi)存有第一地址數(shù)據(jù)，該無線網(wǎng)絡(luò)橋接器內(nèi)存有第一目錄用來儲存多組第一地址數(shù)據(jù)，該無線網(wǎng)絡(luò)橋接器包含一接收模組、一驗證模組以及一傳輸模組，該接收模組用來接收由該多個第一節(jié)點所傳來的封包，該驗證模組用來將該接收模組所接收到的數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)與該第一目錄中的多組第一地址數(shù)據(jù)進行比對，該傳輸模組是通過一區(qū)域網(wǎng)絡(luò)將數(shù)據(jù)傳輸至多個第二節(jié)點，該方法包含有下列步驟(a)使用該多個第一節(jié)點中的第一節(jié)點發(fā)出一數(shù)據(jù)封包至該無線網(wǎng)絡(luò)橋接器；(b)使用該無線網(wǎng)絡(luò)橋接器的接收模組接收該數(shù)據(jù)封包；(c)使用該無線網(wǎng)絡(luò)橋接器的驗證模組將該數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)與該第一目錄中的多組第一地址數(shù)據(jù)進行比對；以及(d)若該數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)符合該第一目錄中的第一地址數(shù)據(jù)，則使用該傳輸模組將該數(shù)據(jù)封包傳輸至連接于該區(qū)域網(wǎng)絡(luò)的第二節(jié)點。


圖1為已知利用密鑰系統(tǒng)傳送文件的示意圖。
圖2為本發(fā)明的方法中數(shù)據(jù)封包的示意圖。
圖3為本發(fā)明的方法中的無線網(wǎng)絡(luò)系統(tǒng)的示意圖。
圖4為本發(fā)明的方法的流程圖。
具體實施例方式
無線網(wǎng)絡(luò)系統(tǒng)中的任何數(shù)據(jù)都是以封包的方式傳送，在IEEE 802.11標(biāo)準(zhǔn)的定義中，介質(zhì)存取控制層(media access control layer，MAC layer)傳送數(shù)據(jù)封包的方式為CSMA/CA(carrier sense multiple access with collision avoidance)，也就是一種‘先聽再說’的設(shè)計。一傳送端(可為一使用者或為一存取點)在傳送一數(shù)據(jù)封包至一接收端(可為一使用者或為一存取點)之前必須先檢測無線網(wǎng)絡(luò)系統(tǒng)中是否有閑置的頻道，閑置的頻道意謂著此刻該頻道上并沒有傳送任何數(shù)據(jù)封包，如此才能保證數(shù)據(jù)封包于該閑置頻道開始傳送的過程中不會撞到(collisionavoidance)其它的數(shù)據(jù)封包。如果閑置頻道檢測的結(jié)果是‘有’，則該傳送端可將該數(shù)據(jù)封包利用該閑置頻道傳送出去；反之，如果閑置頻道檢測的結(jié)果是‘沒有’，代表無線網(wǎng)絡(luò)系統(tǒng)中所有的頻道此刻都非常忙碌地在傳送數(shù)據(jù)封包，于是該傳送端只好暫時等待一段時間再重新檢測是否有任何閑置的頻道出現(xiàn)，這個等待的時間叫作“backoff”。在等待了一個或多個backoff時間之后，終于有一閑置頻道出現(xiàn)，于是該傳送端就可利用該閑置頻道將該數(shù)據(jù)封包傳送出去。但在上述的過程中，該數(shù)據(jù)封包也可能于該閑置頻道中碰撞到其它數(shù)據(jù)封包，因此為了確認(rèn)該數(shù)據(jù)封包于傳送的過程中并未因碰撞或干擾而造成數(shù)據(jù)的漏失，當(dāng)該接收端成功地接收到該傳送端所傳來的該數(shù)據(jù)封包后，該接收端會立刻傳送一確認(rèn)(acknowledge)訊號ACK至該傳送端。如果該傳送端于等到一閑置頻道并利用該閑置頻道將該數(shù)據(jù)封包傳送至該接收端后，遲遲未接收到由該接收端所傳來的確認(rèn)訊號ACK，該傳送端就知道其先前所傳送的該數(shù)據(jù)封包并未成功地傳送至該接收端，于是該傳送端就必需再等待一個或多個backoff時間以進行另一次的數(shù)據(jù)封包的傳送。
當(dāng)該接收端已成功地接收了所有傳自該傳送端的數(shù)據(jù)封包后，該接收端就可依據(jù)數(shù)據(jù)封包內(nèi)的各種數(shù)據(jù)組合成一完整的數(shù)據(jù)或?qū)?shù)據(jù)封包繼續(xù)傳送至其它接收端。請參考圖2，圖2為本發(fā)明的無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法中一數(shù)據(jù)封包30的示意圖，數(shù)據(jù)封包30內(nèi)包含一標(biāo)頭(header)32、一數(shù)據(jù)區(qū)段(body)34、以及一錯誤檢查碼(FCS)36。標(biāo)頭32內(nèi)包含一來源地址(source address)欄位42用來指示包含標(biāo)頭32的數(shù)據(jù)封包30的來源地址數(shù)據(jù)、以及一目地地址(destinationaddress)欄位44用來指示數(shù)據(jù)封包30欲被傳輸?shù)哪康氐刂窋?shù)據(jù)，數(shù)據(jù)區(qū)段34內(nèi)存放著長度不固定的數(shù)據(jù)(data)，錯誤檢查碼36的主要功能在于檢查數(shù)據(jù)封包30于傳送的過程當(dāng)中是否發(fā)生錯誤，而檢查錯誤的方法則是采用CRC-32(CyclicRedundancy Check)之技巧。
請參考圖3，圖3為本發(fā)明的無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法中的一無線網(wǎng)絡(luò)系統(tǒng)50的示意圖。無線網(wǎng)絡(luò)系統(tǒng)50中包含一位于無線網(wǎng)絡(luò)系統(tǒng)50的介質(zhì)存取控制層(media access control layer，MAC layer)的無線網(wǎng)絡(luò)橋接器52，多個位于無線網(wǎng)絡(luò)系統(tǒng)50的實體層(physical layer)的第一節(jié)點(node)60、62，其以無線傳送數(shù)據(jù)封包30的方式傳輸數(shù)據(jù)至無線網(wǎng)絡(luò)橋接器52。無線網(wǎng)絡(luò)橋接器52內(nèi)設(shè)有一來源目錄70用來儲存多組來源地址數(shù)據(jù)、以及一目地目錄72用來儲存多組目地地址數(shù)據(jù)，無線網(wǎng)絡(luò)橋接器52另包含一接收模組54、一驗證模組56、以及一傳輸模組58，其中接收模組54用來接收多個第一節(jié)點60、62所傳來的封包，驗證模組56用來將接收模組54所接收到的數(shù)據(jù)封包內(nèi)的來源地址數(shù)據(jù)及目地地址數(shù)據(jù)與無線網(wǎng)絡(luò)橋接器52內(nèi)來源目錄70中的多組來源地址數(shù)據(jù)及目地目錄72中的多組目地地址數(shù)據(jù)分別進行比對，而傳輸模組58則通過一區(qū)域網(wǎng)絡(luò)64將數(shù)據(jù)傳輸至位于無線網(wǎng)絡(luò)系統(tǒng)50的介質(zhì)存取控制層的多個第二節(jié)點66、68。
鑒于每一種網(wǎng)絡(luò)設(shè)備(例如網(wǎng)絡(luò)卡，或路由器等)都有一特有的網(wǎng)絡(luò)地址(IPaddress)，因此上述數(shù)據(jù)封包30內(nèi)的標(biāo)頭32內(nèi)的來源地址數(shù)據(jù)及目地地址數(shù)據(jù)可為任何網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址。當(dāng)?shù)谝还?jié)點60欲通過無線網(wǎng)絡(luò)系統(tǒng)50傳送數(shù)據(jù)封包時，無線網(wǎng)絡(luò)系統(tǒng)50的網(wǎng)管人員可以要求第一節(jié)點60先行登錄，也就是依據(jù)登錄程序?qū)⒌谝还?jié)點60的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址先行儲存至無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70及/或目地目錄72中，或是由無線網(wǎng)絡(luò)橋接器52自動搜尋第一節(jié)點60的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址后將該網(wǎng)絡(luò)地址記錄至無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70及/或目地目錄72中。隨后，當(dāng)?shù)谝还?jié)點60的網(wǎng)絡(luò)設(shè)備以無線的方式連接至無線網(wǎng)絡(luò)橋接器52時，無線網(wǎng)絡(luò)橋接器52從第一節(jié)點60所傳來的數(shù)據(jù)封包30中讀取相關(guān)的網(wǎng)絡(luò)地址，再由無線網(wǎng)絡(luò)橋接器52內(nèi)的驗證模組56依據(jù)一特定的驗證程序，對無線網(wǎng)絡(luò)橋接器52所讀取的第一節(jié)點60的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址與無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70及/或目地目錄72中的所有地址數(shù)據(jù)進行比對，驗證是否有與之匹配的數(shù)據(jù)存在，如有，則為合法用戶，允許通過，如沒有，則為非法用戶，拒絕通過。
請參考圖4，圖4為本發(fā)明的無線網(wǎng)絡(luò)系統(tǒng)50的封包過濾的方法的流程圖，本發(fā)明的方法包含下列步驟步驟100開始；(此時無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70及目地目錄72內(nèi)皆已儲存有多組地址數(shù)據(jù)，這些地址數(shù)據(jù)都是先前經(jīng)過無線網(wǎng)絡(luò)系統(tǒng)50的網(wǎng)管人員登錄過的使用者的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址數(shù)據(jù)。)步驟110使用多個第一節(jié)點中的第一節(jié)點將數(shù)據(jù)封包30傳送至無線網(wǎng)絡(luò)橋接器52；(數(shù)據(jù)封包30內(nèi)包含該第一節(jié)點的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址數(shù)據(jù)及指示數(shù)據(jù)封包30欲被傳輸?shù)哪康氐刂窋?shù)據(jù)。)步驟120使用無線網(wǎng)絡(luò)橋接器52的接收模組54接收數(shù)據(jù)封包30；步驟130使用無線網(wǎng)絡(luò)橋接器52的驗證模組56驗證數(shù)據(jù)封包30內(nèi)的來源地址數(shù)據(jù)與無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70中的任一來源地址數(shù)據(jù)是否相符，若是，則進行步驟140，若否，則進行步驟200；步驟140使用無線網(wǎng)絡(luò)橋接器52的驗證模組56驗證數(shù)據(jù)封包30內(nèi)的目地地址數(shù)據(jù)與無線網(wǎng)絡(luò)橋接器52內(nèi)的目地目錄72中的任一目地地址數(shù)據(jù)是否相符，若是，則進行步驟150，若否，則進行步驟200；步驟150使用傳輸模組58依據(jù)該數(shù)據(jù)封包內(nèi)的目地地址將數(shù)據(jù)封包30傳輸至符合該目地地址且連接于該區(qū)域網(wǎng)絡(luò)的第二節(jié)點；(傳送數(shù)據(jù)封包30的該第一節(jié)點的使用者確實是無線網(wǎng)絡(luò)系統(tǒng)50登錄過的使用者，并且該第一節(jié)點的使用者欲將數(shù)據(jù)封包30所傳送至的地址也確實是無線網(wǎng)絡(luò)系統(tǒng)50所允許數(shù)據(jù)封包被傳送至的地址。該第二節(jié)點的網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)地址符合數(shù)據(jù)封包30內(nèi)之目地地址。)步驟200結(jié)束。
本發(fā)明的無線網(wǎng)絡(luò)系統(tǒng)50的封包過濾的方法可省略步驟130或步驟140，若本發(fā)明的方法省略步驟130時，無線網(wǎng)絡(luò)橋接器52內(nèi)的驗證模組56只驗證數(shù)據(jù)封包30內(nèi)的目地地址數(shù)據(jù)與無線網(wǎng)絡(luò)橋接器52內(nèi)的目地目錄72中的任一目地地址數(shù)據(jù)是否相符，也就是說，不論數(shù)據(jù)封包30的來源地址為何，只要數(shù)據(jù)封包30內(nèi)的目地地址與目地目錄72中的任一目地地址數(shù)據(jù)相符，無線網(wǎng)絡(luò)橋接器52內(nèi)的傳輸模組58就會依據(jù)數(shù)據(jù)封包30內(nèi)的目地地址將數(shù)據(jù)封包30傳輸至相對應(yīng)的節(jié)點；若本發(fā)明的方法省略步驟140時，無線網(wǎng)絡(luò)橋接器52內(nèi)的驗證模組56則只驗證數(shù)據(jù)封包30內(nèi)的來源地址數(shù)據(jù)與無線網(wǎng)絡(luò)橋接器52內(nèi)的來源目錄70中的任一來源地址數(shù)據(jù)是否相符，也就是說，不論數(shù)據(jù)封包30的目地地址為何，只要數(shù)據(jù)封包30內(nèi)的來源地址與來源目錄72中的任一來源地址數(shù)據(jù)相符，無線網(wǎng)絡(luò)橋接器52內(nèi)的傳輸模組58就會依據(jù)數(shù)據(jù)封包30內(nèi)的目地地址將數(shù)據(jù)封包30傳輸至相對應(yīng)的節(jié)點。
相較于已知的利用密鑰系統(tǒng)將文件加密的方法，本發(fā)明的封包過濾的方法，由于只檢查數(shù)據(jù)封包之標(biāo)頭部份中來源地址數(shù)據(jù)或/與目地地址數(shù)據(jù)，而不對數(shù)據(jù)封包的數(shù)據(jù)區(qū)段部份進行處理(加密及解密等繁復(fù)的運算)，因此本發(fā)明的方法于加快文件傳送速度的同時，又不會喪失文件傳送時所需的安全性。并且由于本發(fā)明的方法中主要的步驟，例如使用驗證模組驗證地址數(shù)據(jù)的過程，可藉由硬件來完成，因此本發(fā)明的方法的效能更能大幅地提升。
以上所述僅為本發(fā)明的較佳實施例，凡依本發(fā)明申請專利范圍所做的均等變化與修飾，皆應(yīng)屬本發(fā)明專利的涵蓋范圍。
權(quán)利要求
1.一種無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法，該無線網(wǎng)絡(luò)系統(tǒng)包含一無線網(wǎng)絡(luò)橋接器，其是以無線電的方式連接于多個第一節(jié)點，每一第一節(jié)點是以傳送數(shù)據(jù)封包的方式傳輸數(shù)據(jù)至該橋接器，每一數(shù)據(jù)封包包含一標(biāo)頭，其內(nèi)存有第一地址數(shù)據(jù)，該橋接器內(nèi)存有第一目錄用來儲存多個第一地址數(shù)據(jù)，該橋接器包含一接收模組、一驗證模組及一傳輸模組，該接收模組用來接收該多個第一節(jié)點所傳來的封包，該驗證模組用來將該接收模組所接收到的數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)與該第一目錄中的多個第一地址數(shù)據(jù)進行比對，該傳輸模組系通過一區(qū)域網(wǎng)絡(luò)將數(shù)據(jù)傳輸至多個第二節(jié)點，該方法包含有下列步驟(a)使用該多個第一節(jié)點中的第一節(jié)點發(fā)出一數(shù)據(jù)封包至該無線網(wǎng)絡(luò)橋接器；(b)使用該無線網(wǎng)絡(luò)橋接器的接收模組接收該數(shù)據(jù)封包；(c)使用該無線網(wǎng)絡(luò)橋接器的驗證模組將該數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)與該第一目錄中的多個第一地址數(shù)據(jù)進行比對；以及(d)若該數(shù)據(jù)封包內(nèi)的第一地址數(shù)據(jù)符合該第一目錄中的第一地址數(shù)據(jù)，則使用該傳輸模組將該數(shù)據(jù)封包傳輸至連接于該區(qū)域網(wǎng)絡(luò)的第二節(jié)點。
2.如權(quán)利要求1所述的方法，其特征在于，該標(biāo)頭內(nèi)的第一地址數(shù)據(jù)是一來源地址數(shù)據(jù)，用來指示包含該標(biāo)頭的數(shù)據(jù)封包的來源。
3.如權(quán)利要求2所述的方法，其特征在于，該標(biāo)頭內(nèi)另存有的第二地址數(shù)據(jù)，是一目地地址數(shù)據(jù)，用來指示該數(shù)據(jù)封包欲被傳輸?shù)哪康牡?，該橋接器?nèi)另存有第二目錄用來儲存多個第二地址數(shù)據(jù)，其中于步驟(c)中，該無線網(wǎng)絡(luò)橋接器的驗證模組亦會將該數(shù)據(jù)封包內(nèi)的第二地址數(shù)據(jù)與該第二目錄中的多個第二地址數(shù)據(jù)進行比對，于步驟(d)中，該數(shù)據(jù)封包內(nèi)的第二地址數(shù)據(jù)亦需符合該第二目錄中的第二地址數(shù)據(jù)，該傳輸模組才會將該數(shù)據(jù)封包傳輸至連接于該區(qū)域網(wǎng)絡(luò)的第二節(jié)點。
4.如權(quán)利要求1所述的方法，其特征在于，該標(biāo)頭內(nèi)的第一地址數(shù)據(jù)是一目地地址數(shù)據(jù)，用來指示該數(shù)據(jù)封包欲被傳輸?shù)哪康牡亍?br> 5.如權(quán)利要求1所述的方法，其特征在于，該無線網(wǎng)絡(luò)橋接器位于該無線網(wǎng)絡(luò)系統(tǒng)的介質(zhì)存取控制層。
6.如權(quán)利要求1所述的方法，其特征在于，該多個第一節(jié)點及第二節(jié)點位于該無線網(wǎng)絡(luò)系統(tǒng)的實體層。
全文摘要
本發(fā)明提供一種無線網(wǎng)絡(luò)系統(tǒng)的封包過濾的方法，其包含下列步驟使用該無線網(wǎng)絡(luò)系統(tǒng)中的第一節(jié)點發(fā)出一數(shù)據(jù)封包至該無線網(wǎng)絡(luò)系統(tǒng)中的一無線網(wǎng)絡(luò)橋接器，使用該無線網(wǎng)絡(luò)橋接器的接收模組及驗證模組分別接收該數(shù)據(jù)封包及驗證該數(shù)據(jù)封包內(nèi)的地址數(shù)據(jù)與一目錄中的多個地址數(shù)據(jù)進行比對，以及若該數(shù)據(jù)封包內(nèi)的地址數(shù)據(jù)符合該目錄中的地址數(shù)據(jù)，則使用該無線網(wǎng)絡(luò)橋接器的傳輸模組通過區(qū)域網(wǎng)絡(luò)將該數(shù)據(jù)封包傳輸至多個第二節(jié)點。
文檔編號H04L12/66GK1481127SQ02136790
公開日2004年3月10日 申請日期2002年9月4日 優(yōu)先權(quán)日2002年9月4日
發(fā)明者張勇, 何代水, 蔡世光, 張 勇 申請人:英華達(dá)(上海)電子有限公司