制服.丝袜.亚洲.中文.综合,久久久夜夜嗨免费视频,亚洲欧美中文字幕国产,www.一区二区免费无码

淺談評價(jià)專(zhuān)利申請文件撰寫(xiě)質(zhì)量的基本原則

2004-12-15
淺談評價(jià)專(zhuān)利申請文件撰寫(xiě)質(zhì)量的基本原則
文/集佳知識產(chǎn)權代理有限公司 資深專(zhuān)利代理人 逯長(cháng)明
專(zhuān)利申請文件的撰寫(xiě)質(zhì)量能夠決定一個(gè)技術(shù)方案的命運,追求專(zhuān)利申請文件的撰寫(xiě)質(zhì)量是申請人不惜代價(jià)要作的事。所謂申請文件質(zhì)量高,是指一個(gè)申請文件表述的技術(shù)方案具有較強的有效性,從另一個(gè)角度說(shuō)是具有較少的撰寫(xiě)損失。因此,在申請人進(jìn)行文件審核或者代理人進(jìn)行文件撰寫(xiě)時(shí),如果能夠盡可能發(fā)現申請文件的不當之處,就可以提高申請文件的質(zhì)量。
高質(zhì)量申請文件有四個(gè)明顯的特征:(1)主題抓得準;(2)權利要求、說(shuō)明書(shū)清楚;(3)權利要求、說(shuō)明書(shū)有效且說(shuō)明書(shū)公開(kāi)充分;(4)權利要求層次分明、保護范圍適當。只有在撰寫(xiě)階段充分認識現有技術(shù)和本發(fā)明技術(shù)方案的基礎上,充分考慮審查、無(wú)效,甚至訴訟階段可能出現的問(wèn)題,才有可能撰寫(xiě)出具有上述特征的申請文件。一般認為,申請文件的撰寫(xiě)依賴(lài)代理人的三方面要素:技術(shù)能力、法律修養和基本素質(zhì)。技術(shù)能力能夠影響代理人與發(fā)明人的交流質(zhì)量,從而影響技術(shù)方案的挖掘是否充分以及對技術(shù)方案的再創(chuàng )造程度;法律修養(主要指專(zhuān)利法修養)決定了代理人是否能夠將一個(gè)技術(shù)方案按照法律的要求恰當地撰寫(xiě)出來(lái),并且這種撰寫(xiě)充分考慮到了審查階段和可能出現的無(wú)效、訴訟階段出現的問(wèn)題;基本素質(zhì)能夠決定撰寫(xiě)效率、減少撰寫(xiě)損失的程度等。由于撰寫(xiě)不當能夠降低申請文件的質(zhì)量、影響其有效性,但是任何人的所述三要素都不可能完美無(wú)缺,尤其在所述三要素有缺陷時(shí),更難以避免撰寫(xiě)損失,因此,討論評價(jià)專(zhuān)利申請文件撰寫(xiě)質(zhì)量的基本原則就具有特殊的意義。
申請文件質(zhì)量不佳會(huì )以多種形式出現,例如,口頭語(yǔ)、方言土語(yǔ)、語(yǔ)句過(guò)于復雜和語(yǔ)法規則雜亂可能導致文件內容不清楚等問(wèn)題。本文要討論的基本原則不涉及上述純粹由代理人基本素質(zhì)導致的問(wèn)題,只涉及由于三要素缺陷導致的專(zhuān)利法的理解問(wèn)題,更具體地說(shuō)涉及審查指南的理解和運用的問(wèn)題。
鑒于審查指南規定了專(zhuān)利說(shuō)明書(shū)的組成部分及其關(guān)系和權利要求的撰寫(xiě)原則,因此,依據審查指南所規定的說(shuō)明書(shū)、權利要求書(shū)的撰寫(xiě)方式和規定可以獲得內容“匹配原則”;依據獨立權利要求和從屬權利要求的撰寫(xiě)方式和規定可以獲得“鑲嵌原則”、和“替換原則”,上述原則可以用于確定申請文件是否存在形式、構思等缺陷,例如表述方式缺陷。
所述匹配原則,就是核查說(shuō)明書(shū)的主題名稱(chēng)、技術(shù)領(lǐng)域、背景技術(shù)及問(wèn)題、本發(fā)明要解決的問(wèn)題與(獨立)權利要求(發(fā)明方案)、發(fā)明效果之間的匹配關(guān)系,如果上述內容的每個(gè)部分不清楚、表述有缺陷或各部分之間邏輯上不協(xié)調,相互不支持,就不符合匹配原則。因此,該原則可用于審核說(shuō)明書(shū)各部分內容、各部分內容之間,說(shuō)明書(shū)和權利要求書(shū)之間,權利要求的各個(gè)特征自身、特征之間以及有引用關(guān)系的不同權利要求之間的內容是否匹配,從而確定上述內容是否存在撰寫(xiě)缺陷。匹配原則核查的對象是邏輯支持的充分性和準確性,適用于說(shuō)明書(shū)和權利要求書(shū)的核查,例如權利要求中特征語(yǔ)句間的邏輯和特征語(yǔ)句本身的邏輯是否準確、充分等。
所謂鑲嵌原則和替換原則主要來(lái)源于權利要求撰寫(xiě)的下述規定:1、獨立權利要求應當包括前述部分和特征部分,其中前述部分記載與最接近的現有技術(shù)共有的必要技術(shù)特征,特征部分記載必要的區別特征;2、從屬權利要求包括引用部分和限定部分,其中限定部分記載附加技術(shù)特征,該附加技術(shù)特征是對所引用權利要求技術(shù)特征進(jìn)一步限定的技術(shù)特征,也可以是附加技術(shù)特征。3、權利要求的內容應當與要解決的技術(shù)問(wèn)題有關(guān)。因此,在獨立權利要求撰寫(xiě)合理時(shí),每一個(gè)從屬權利要求與其引用的權利要求結合起來(lái)應當能夠構成一個(gè)完整的解決技術(shù)問(wèn)題的技術(shù)方案。更具體地說(shuō),如果具體的附加特征是追加型特征,則將新的特征鑲嵌到原特征集合中應當能夠構成一個(gè)新的、完整、合理的技術(shù)特征的集合,即符合鑲嵌原則;如果具體的附加特征是對所引用權利中所概括的實(shí)體特征、關(guān)系特征、限定特征(這是指針對裝置,對于方法則對應為實(shí)體特征、動(dòng)作特征、限定特征)的實(shí)例化特征(即用具體支持概括的特征)或新的限定特征,則該實(shí)例化或新限定的特征替換所概括的特征,則新的特征集合也應當是完整、合理的技術(shù)特征的集合,即符合替換原則。
需要指出的是,審查指南強調的是特征,因此,在撰寫(xiě)從屬權利要求時(shí),至少應當搞清下述問(wèn)題,否則可能導致不清楚:1、從屬特征是追加型特征還是實(shí)例化(限定)型特征;2、如果是實(shí)例化(限定)型特征,其所涉及的特征對象(即是哪個(gè)特征的實(shí)例化或是對哪個(gè)特征的限定)。
下面以一個(gè)實(shí)例討論上述原則的應用。該例中,重點(diǎn)討論所述三原則的應用,忽略了一些小問(wèn)題,如概念不統一,描述不恰當、不準確等,所述技術(shù)方案部分用權利要求書(shū)的內容取代,以使分析更加清楚,同時(shí),在括號中有用下劃線(xiàn)和黑體字標識的評述。

防范計算機網(wǎng)絡(luò )攻擊的方法
技術(shù)領(lǐng)域
本發(fā)明涉及計算機通信技術(shù),特別涉及針對DoS(Denial ofService,拒絕服務(wù)攻擊)與DDoS(DistributedDenialOfService,分布式拒絕服務(wù)攻擊)的安全技術(shù)。
背景技術(shù)
發(fā)送一個(gè)包含SYN標志的請求建立連接的TCP報文,SYN即同步(Synchronize),同步報文會(huì )指明客戶(hù)端請求使用的服務(wù)器端口以及建立TCP連接的初始序號:第二步,服務(wù)器(或受信主機)在收到客戶(hù)端的SYN報文后,將返回一個(gè)SYN+ACK的報文,表示客戶(hù)端的請求被接受,同時(shí)確認序號為客戶(hù)端初始序列號加1,ACK即確認(Acknowledgement)。第三步,客戶(hù)端也返回一個(gè)確認報文ACK給服務(wù)器端,同樣確認序列號為服務(wù)器初始序列號加1,到此一個(gè)TCP連接完成。以上的連接過(guò)程在TCP協(xié)議中被稱(chēng)為三次握手(Three-wayHandshake)。
TCP連接的三次握手中,假設一個(gè)用戶(hù)向服務(wù)器發(fā)送了SYN報文后突然死機或掉線(xiàn),那么服務(wù)器在發(fā)出SYN+ACK應答報文后是無(wú)法收到客戶(hù)端的ACK報文的(第三次握手無(wú)法完成),這種情況下服務(wù)器端一般會(huì )重試(再次發(fā)送SYN+ACK給客戶(hù)端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接(half~open連接),這段時(shí)間的長(cháng)度我們稱(chēng)為SYN Timeout(Timeout,超時(shí)),一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數量級(大約為30秒—2分鐘);一個(gè)用戶(hù)出現異常導致服務(wù)器的一個(gè)線(xiàn)程等待1分鐘并不是什么很大的問(wèn)題,但如果有一個(gè)惡意的攻擊者大量模擬這種情況,偽造不同的IP地址向服務(wù)器發(fā)出大量SYN報文,并誘使服務(wù)器向偽造的IP地址發(fā)送SYN-ACK報文,服務(wù)器端將為了維擴一個(gè)非常大的半連接列表而消耗非常多的資源一一數以萬(wàn)計的半連接,即使是簡(jiǎn)單保存并遍歷也會(huì )消耗非常多的CPU時(shí)間和內存,何況還要不斷對這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強大,最后的結果往往是堆棧溢出崩潰——即使服務(wù)器端的系統足夠強大,服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無(wú)暇理睬客戶(hù)的正常請求(畢竟客戶(hù)端的正常請求比率非常之小),此時(shí)從正??蛻?hù)的角度看來(lái),服務(wù)器失去響應,這種情況,即通常所言的SYNFlood攻擊。
現有的解決方法,一種是縮短SYNTimeout時(shí)間,由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN半連接數,這個(gè)值等于SYN攻擊的頻度與SYNTimeout之乘積,所以通過(guò)縮短從接收到SYN報文到確定這個(gè)報文無(wú)效并丟棄該連接的時(shí)間,例如設置為20秒以下(過(guò)低的SYNTimeout設置可能會(huì )影響客戶(hù)的正常訪(fǎng)問(wèn)),可以成倍的降低服務(wù)器的負荷。
第二種方法是設置SYNCookie,就是給每一個(gè)請求連接的IP地址分配一個(gè)Cookie,如果短時(shí)間內連續收到某個(gè)IP的重復SYN報文,就認定是受到了攻擊,以后從這個(gè)IP地址來(lái)的包會(huì )被一概丟棄。
上述的兩種方法只能對付比較原始的SYN-Flood攻擊,縮短SYNTimeout時(shí)間僅在對方攻擊頻度不高的情況下生效,SYNCookie更依賴(lài)于對方使用真實(shí)的IP地址,如果攻擊者以數萬(wàn)/秒的速度發(fā)送SYN報文,同時(shí)利用SOCK RAW隨機改寫(xiě)IP報文中的源地址,則無(wú)法防范。(1、從背景技術(shù)可知,現有的方法無(wú)法解決改進(jìn)的同步飽和攻擊(SYN-Flood)引發(fā)的問(wèn)題,即無(wú)法有效防范SYN-Flood攻擊。然而從主題名稱(chēng)可知,本發(fā)明談?wù)摰氖且环N“防范計算機網(wǎng)絡(luò )攻擊的方法”,因此,初步判斷,主題名稱(chēng)可能范圍過(guò)大,易使對手找到廣泛檢索對比文件的依據。)
發(fā)明內容
本發(fā)明要解決的技術(shù)問(wèn)題是,提供一種防范SYN-FLOOD攻擊的方法,能夠阻止攻擊對HALF-OPEN連接隊列的過(guò)度消耗,使攻擊不能成功,對服務(wù)器提供保護。(1、本發(fā)明提供的方法在邏輯上與主題名稱(chēng)所述的方法有錯位;2、背景技術(shù)部分明確指出現有技術(shù)主要的問(wèn)題是無(wú)法解決“同步飽和攻擊”問(wèn)題,因此,此處本發(fā)明要解決的問(wèn)題應當與背景技術(shù)的問(wèn)題相適應,然而,目前指出的本發(fā)明所提供的方法只能提供攻擊導致的HALF-OPEN連接隊列的過(guò)度消耗,由于HALF-OPEN連接隊列的過(guò)度消耗只是無(wú)法解決“同步飽和攻擊”問(wèn)題的一個(gè)方面,還有其他如CPU資源消耗過(guò)多,緩存資源消耗過(guò)多等問(wèn)題,因此目前指出的所要解決的問(wèn)題與背景技術(shù)部分的問(wèn)題匹配性差,可能會(huì )限制本發(fā)明權利要求的構思思路甚至對本發(fā)明的限制)
本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:
1、防范SYN-FLOOD攻擊的方法(與主題名稱(chēng)不對應,盡管可以說(shuō)這是形式問(wèn)題,但是由于不符合整體匹配原則,可能導致權利要求構思的錯位),包括以下步驟:
(1)攔截外來(lái)的數據包,并記錄所述數據包中所含的源主機A身份信息;
(2)轉發(fā)所述數據包至受信主機B,并設置定時(shí)器(c1);
(3)如果在定時(shí)器cl超時(shí)以前接收到來(lái)自受信主機B的響應報文(a1),則記錄其中的受信主機B的身份信息,并進(jìn)入步驟4;如果在定時(shí)器(c1)超時(shí)尚未接收到來(lái)自受信主機B的響應報文(a1),則釋放步驟1中記錄的身份信息;(如果“超時(shí)……”與步驟(4)矛盾)
(4)以步驟l記錄的源主機A的身份信息向受信主機B發(fā)送響應報文(a2);并根據步驟1記錄的源主機A的身份信息,轉發(fā)受信主機B向源主機A發(fā)送的響應報文(a1),并設置定時(shí)器(c2);
(5)如果步驟4設置的定時(shí)器c2超時(shí)以前收到源主機A的響應報文(a3),即撤銷(xiāo)定時(shí)器(c2),視為連接建立成功;如果在步驟4設置的定時(shí)器(c2)超時(shí),即根據所記錄的源主機A身份信息,以源主機A的身份向受信主機B發(fā)出RESET信息,撤銷(xiāo)該連接。(1、該權利包括較多的特征,因此范圍較小。由于背景技術(shù)沒(méi)有指出與上述特征集合相似的方法,因此可以將該權利寫(xiě)得的更寬,即具有更少的必要技術(shù)特征。否則,就應當在背景技術(shù)部分指出最接近的方法,以利于權利1寫(xiě)得更準確。2、可能該權利所述方案不能解決本發(fā)明要解決的問(wèn)題:假設源主機A為攻擊主機,主機B為服務(wù)器,操作者為中間防火墻,由于身份信息是可以修改的,假設A在步驟(1)向B發(fā)數據包,數據包被攔截提取身份信息后在步驟2被發(fā)向B,由于B 為服務(wù)器,通常會(huì )在定時(shí)器超時(shí)前反饋應答信息,這時(shí),在步驟(4),防火墻以A的身份向B發(fā)應答(無(wú)論A的身份為真和假可能都會(huì )成功),同時(shí),防火墻以B的身份向A發(fā)應答,這時(shí)會(huì )出現2種情況,1)A的身份是真的,它可以在定時(shí)器超時(shí)前有效應答,由于A(yíng)是攻擊者,它要頻繁地發(fā)出請求信息,也能夠及時(shí)應答,而防火墻對這種情況并不能處理,而這恰是背景技術(shù)部分第三段描述的現有技術(shù)的問(wèn)題;2)A的身份是假的,使它不能反饋有效應答,則要在定時(shí)器超時(shí)后才能撤銷(xiāo)攻擊連接;因此,由于在超時(shí)前不能撤銷(xiāo)連接,可能由于攻擊導致的HALF-OPEN連接隊列的過(guò)度消耗問(wèn)題仍不能解決。3、步驟(5)證明,只有定時(shí)器超時(shí)才撤銷(xiāo)“連接”,不知其如何解決背景技術(shù)的“超時(shí)” 問(wèn)題?)
2、如權利要求1所述的防范SYN-FLOOD攻擊的方法,所述步驟(1)中,所述外來(lái)的數據包為T(mén)CP建連請求(SYN)報文,所述身份信息為初始序列號、源IP地址和源端口;創(chuàng )建TCB結構記錄所述初始序列號、源IP地址和源端口,同時(shí)記錄目的IP地址、目的端口以及該連接的初始狀態(tài)。(這實(shí)例化的權利,由公知特征組成,在權利1不成立時(shí)對新權利的成立沒(méi)有幫助)
3、如權利要求1所述的防范SYN-FLOOD攻擊的方法,所述步驟(3)中,所述響應數據包為SYN-ACK報文,所述受信主機B的身份信息為受信主機B的初始序列號、源IP地址和源端口。(同權利2的標注)
4、如權利要求1所述的防范SYN-FLOOD攻擊的方法,所述步驟(4)中,所述確認信息(a2)為ACK報文,所述確認信息(a1)為SYN-ACK報文。(同權利2的標注)
5、如權利要求1所述的防范SYN-FLOOD攻擊的方法,所述步驟(5)中,所述響應報文(a3)為ACK報文,若于定時(shí)器(c2)超時(shí)以前收到源主機A的響應報文(a3),視為連接建立成功,撤銷(xiāo)定時(shí)器(c2),并丟棄此報文,釋放該連接的TCB結構(該結構權利1中沒(méi)有);若超時(shí),即根據所記錄的源主機A身份信息,以源主機A的身份向受信主機B發(fā)出RESET信息,撤銷(xiāo)該連接,釋放該連接的TCB結構。(1、該權利的內容不能與權利1有效結合,故應當更換描述方式;2、與權利1步驟(5)有較多的重復)
本發(fā)明的有益效果是,由于主機迅速由syn_recved狀態(tài)進(jìn)入established狀態(tài),避免了half_open隊列的過(guò)度消耗,從而降低了服務(wù)器負荷,解決了SYN—FLOOD攻擊對服務(wù)器的影響。(效果寫(xiě)的不清楚,且來(lái)源無(wú)推理依據,無(wú)法說(shuō)明如何“避免了half_open隊列的過(guò)度消耗”)
以下結合附圖與具體實(shí)施方式對本發(fā)明作進(jìn)一步說(shuō)明。
附圖說(shuō)明
圖1是TCP三次握手示意圖。
圖2是本發(fā)明示意圖。
具體實(shí)施方式
作為具體的實(shí)施方式,外網(wǎng)與內網(wǎng)之間,或者說(shuō),在源主機A與受信主機B之間以防火墻隔離,如圖2所示。防火墻對收到的SYN報文按以下程序處理:
1、源主機A向受信主機B發(fā)出建連請求(SYN)報文,報文中包含主機A的初始序列號seq(a)。
2、防火墻創(chuàng )建TCB結構(傳輸控制塊,Transmission Control趴ock),記錄源主機A的初始序列號,同時(shí)記錄源IP地址、源端口、目的IP地址和目的端口,然后轉發(fā)此SYN報文,同時(shí)啟動(dòng)SYN-ACK定時(shí)器c1,等待主機B的SYN-ACK報文的到來(lái)。如果定時(shí)器c1超時(shí),防火墻釋放該連接的TCB結構。
3、如果在SYN—ACK定時(shí)器超時(shí)以前,主機B的響應報文a1到來(lái),則防火墻撤銷(xiāo)SYN—ACK定時(shí)器cl,記錄主機B的初始序列號seq(b),防火墻轉發(fā)此響應報文al,然后防火墻立即以主機A的身份向主機B發(fā)送ACK報文a2,使主機B的該連接從syn_recved狀態(tài)進(jìn)入“tab“shed狀態(tài),同時(shí)啟動(dòng)ACK定時(shí)器。
4、如果在A(yíng)CK定時(shí)器超時(shí)前,主機A的響應(ACK)報文a3到來(lái),則防火墻認為建立連接成功,丟棄此報文,撤銷(xiāo)ACK定時(shí)器,釋放該連接的TCB結構。
5、如果ACK定時(shí)器超時(shí),防火墻以主機A的身份向主機B發(fā)送RESET報文,撤銷(xiāo)該連接,同時(shí)釋放該連接的TCB結構。
本具體實(shí)施方式不應理解為對本發(fā)明權利要求的限制,基于本發(fā)明構思的其他實(shí)施例,例如,雖然未以“防火墻”命名,但同樣基于本發(fā)明構思實(shí)現的路由器功能模塊,依然屬于本發(fā)明權利要求范圍之內。(由于實(shí)施例公開(kāi)內容太少且與權利要求類(lèi)似,因此當權利要求有問(wèn)題時(shí),說(shuō)明書(shū)較難提供幫助。)
通過(guò)上述例子可以看出:
1、該文件存在許多問(wèn)題-主要是邏輯混亂,使該文件的有效性受到質(zhì)疑。最突出的問(wèn)題是各部分內容整體之間、各部分內容內部都存在不匹配的現象,例如主題名稱(chēng)與本發(fā)明的實(shí)質(zhì)不匹配,主題名稱(chēng)與現有技術(shù)的問(wèn)題以及本發(fā)明要解決的問(wèn)題、以及本發(fā)明方案不匹配;權利要求之間有些不符合鑲嵌原則和替換原則等。這樣將使各部分內容缺乏效力以及缺乏相互之間互相支持的凝聚力,難以成為一篇有效力的申請文件,并為將來(lái)的審查程序和可能出現的無(wú)效、訴訟程序預留了較多的隱患,當然也增加了修改的難度和工作量。如果僅獨立地看待各部分內容,上述問(wèn)題很難發(fā)現,然而通過(guò)匹配原則、鑲嵌原則和替換原則就可以檢測出來(lái)。
2、源于審查指南的評價(jià)專(zhuān)利申請文件撰寫(xiě)質(zhì)量的三個(gè)基本原則可用于評價(jià)或衡量專(zhuān)利申請文件的撰寫(xiě)質(zhì)量,如果文件的內容不符合三原則,則該文件肯定會(huì )存在較多的撰寫(xiě)損失,文件的有效性會(huì )變差,會(huì )有較多的將來(lái)被對手利用的缺陷存在。所述三原則用于評價(jià)階段僅能用于某種程度上判斷權利要求、說(shuō)明書(shū)是否有效以及是否清楚問(wèn)題,難以全面解決問(wèn)題是否抓準、公開(kāi)是否充分得當、權利范圍和層次是否適當等問(wèn)題。當然,將所述三原則用于撰寫(xiě)階段對提高文件質(zhì)量會(huì )有較大幫助。按照經(jīng)驗,代理人如能熟練應用所述三原則,很多復雜的問(wèn)題都可能輕易解決,但如何寫(xiě)的更充實(shí)、有效,例如如何使權利要求1更恰當且有效等,還需要有其他的解決方法配合,例如,如何有效挖掘技術(shù)內容的方法,如何撰寫(xiě)更有效的方法、問(wèn)題分析的方法。
通過(guò)上例還可以看出,由于權利1的基礎地位,其有效性對申請文件的有效性有決定性的影響。有時(shí),權利要求1的缺陷,將會(huì )導致撰寫(xiě)的從屬權利要求難以符合所述三原則,甚至導致無(wú)論如何修改也無(wú)法增加其有效性。因此,我們在討論權利要求的保護范圍以前,首先應當討論其有效性?;诳赡軣o(wú)效的權利,討論保護范圍是沒(méi)有意義的。

 

相關(guān)關(guān)鍵詞