专利名称:提供高安全性使用互联网协议安全的网络装置及其方法
技术领域:
本发明涉及一种提供高安全性使用IPSec(Internet Protocol Security,互联网协议安全)的网络装置及其方法,特别是涉及一种可在使用IPSec加密所传送的消息之前,即先行以实体隔绝虚拟专用网络与一般网络通信的网络装置及其方法,可适用于家用及虚拟专用网络。
背景技术:
随着网络技术的进步与计算机的普及,使得原本现有的通信架构受到极大的挑战,其中之一即是以虚拟专用网络(VPN)取代传统通过调制解调器拨接或专用线路连接网络的方式。使用者可以在两台计算机间通过共享或公开的网络来传输各类数据、语音及影像的消息及数据,就像传统点对点私人网络一样。
而且,虚拟专用网络不仅具有数据传输的便利性,还可以大幅降低硬件设备与通信往来所需的费用,因此,虚拟专用网络在商业使用上具有相当吸引力。目前,虚拟专用网络的使用范围非常广泛,主要包括由服务提供商为用户提供可自行管理的虚拟专用网络服务,以及企业自行建立与管理的虚拟专用网络。
可以说,虚拟专用网络为居家工作者或各地分公司与总公司之间,提供了一条极为便利的联络途径。现时所使用的虚拟专用网络如图1所示,3部计算机装置经家用网络连接至网关A(SG A),并与因特网相连接,网关A与网关B(SGB)之间则为一条具有IPSec功能·的通道。因此,家用网络中的虚拟专用网络主机可以通过上述IPSec通道而连接到公司内部网络。
虽然,IPSec通道确实可以提供消息、数据在网关A与网关B之间传送、流通时的安全性,但是消息与数据的封包由虚拟专用网络主机传送出后,一直到被网关A接收前的通道间,由于内部网络端口与虚拟专用网络端口的配置,如图2所示,这些消息与数据的封包极有可能被这家用网络中的其它计算机俘获、捕捉走。亦即,该虚拟专用网络主机与该公司内网对于该家用网络而言,形同开放。
比方说,服务于某高科技公司的C君,虽然正在家中休假,但因工作所需,必需赶紧处理一件公事,而他家中也正有一台已设定为虚拟专用网络主机的笔记型计算机,可以用来连接上公司的虚拟专用网络。因此,C君利用这一部个人计算机连上公司网络,传送与下载所需的档案数据。此时,另一D君也恰好正通过家中网络线使用另一部个人计算机上网,因此,若是D君利用了这部个人计算机,自然也就可以轻易地捉捕C君的重要机密了。
为此,本案发明人为解决上述位处于虚拟专用网络主机与网关A之间,无法被IPSec通道保护到的路径的安全疏漏,提出一种提供高安全性使用IPSec的网络装置及其方法,可进行实体隔绝虚拟专用网络(VPN)与一般网络的通信,进而提高使用IPSec的安全性。
发明内容
本发明的主要目的在于提供一种提供高安全性使用IPSec的网络装置及其方法,特别是关于一种可在使用IPSec加密消息之前,即先行以实体隔绝虚拟专用网络(VPN)与一般网络通信的机制。
为实现上述目的,本发明一种提供高安全性使用IPSec的网络装置及其方法,该网络装置使用包括一虚拟局域网络(VLAN)、一硬件地址过滤器(MACfilter)、一网域地址限制器(IP Restriction),及一固定式动态主机配置协议对应表(Static DHCP)。该机制为消息封包由虚拟专用网络主机传送出来后,在未被IPSec加密之前,即可由上述网络装置实行实体隔绝虚拟专用网络与一般网络通信,以提高使用IPSec的安全性。
以下结合附图和具体实施例对本发明进行详细描述,但不作为对本发明的限定。
图1为现有所使用的虚拟专用网络示意图;图2为现有网络网关器所使用的内部网络端口与虚拟专用网络端口的配置示意图;
图3为本发明的虚拟局域网络架构示意图;图4为本发明的网络装置架构示意图;以及图5为本发明网络装置的机制使用流程图。
其中,附图标记如下1-网络装置2-计算机装置3-远程网络4-IPSec通道10-虚拟局域网络端口11-虚拟专用网络端口12-虚拟专用网络主机13-计算机主机20-硬件地址过滤器30-网域地址限制器40-固定式动态主机配置协议对应表具体实施方式
请参照图3所示,为本发明的虚拟局域网络架构示意图。本发明使用一网络装置1连接多个计算机装置2,使多个该计算机装置2间可形成一局域网络,亦可使该计算机装置2通过该网络装置1连接至因特网,或可与一远程网络3联机形成一虚拟局域网络(VLAN)的IPSec通道4。
请参照图4所示,为本发明的网络装置架构示意图,本发明的该网络装置1包括一虚拟局域网络端口10、一硬件地址过滤器20、一网域地址限制器30及一固定式动态主机配置协议对应表40。其中该虚拟局域网络端口10包括一第一区间及一第二区间,该第一区间配置有至少一虚拟专用网络端口11,而该第二区间配置有多个局域网络端口13。该虚拟专用网络端口11可供至少一虚拟专用网络主机12相连接,而该局域网络端口13可连接至该计算机装置2。
其中该硬件地址过滤器(MAC filter)20连接于该第一区间的虚拟专用网络端口11,以确保仅有虚拟专用网络主机12的硬件地址(MAC)可经由虚拟专用网络端口11而连接至该IPSec通道4,以与该远程网络3联机。
而该网域地址限制器(IP Restriction)30可借由一消息封包的虚拟局域网络追踪标牌(tag),辨别消息封包是否是由虚拟专用网络主机12所传送出来,并借此决定是否接受消息封包传送至该IPSec通道。这种做法可以确实避免消息封包的封包头被有心地伪装成虚拟专用网络主机12的封包头。
本发明中提及一动态主机配置协议(DHCP)是当一虚拟专用网络主机连接至一网关器时,借以用来指派该网络装置网络地址的方法。一旦该网络装置取得了网络地址之后,每次虚拟专用网络主机要连接上该网关器时,该虚拟专用网络主机均会使用相同的网络地址。
因此,本发明的网络装置1也可作为虚拟专用网络中的网关器,而发展出一固定式动态主机配置协议对应表(Static DHCP)40的机制。该固定式动态主机配置协议对应表40由该硬件地址过滤器20与该网域地址限制器30所对应得出,当该网络装置1接收到一承载有该虚拟专用网络主机12硬件地址的请求消息,该网络装置1即根据IPSec通道4而给予网络地址。借此,确保该虚拟专用网络主机12永远都使用特定网络地址(IP address)以与IPSec通道4相连接。
请参照图5所示,为本发明网络装置的提供高全性使用IPSec机制的流程图。首先本发明需将该虚拟专用网络主机12连接至虚拟专用网络端口11,此时该虚拟专用网络主机12发送一消息封包至该网络装置1的该虚拟专用网络端口11(Step 100)。
接着,该硬件地址过滤器20会过滤出该虚拟专用网络主机12的硬件地址,以确认该虚拟专用网络主机12的身份,并将该消息封包传送至该网域地址限制器30(Step 110)。
该网域地址限制器30接收到该消息封包后,借由该消息封包中的虚拟局域网络追踪标牌(tag),来辨别该消息封包是否真是由该虚拟专用网络主机12所传送出来,并借此决定是否要接受该消息封包(Step 120)。
当该消息封包确认无误后,即将该消息封包传送至该固定式动态主机配置协议对应表40进行判断。该固定式动态主机配置协议对应表40根据该消息封包中的网络地址,辨认该消息封包确为虚拟专用网络主机12所传送出(Step 130)。如此一来,该虚拟专用网络主机12所送出的消息封包便可以安全地传送到该IPSec通道(Step 140),完成了在IPSec通道前的高安全性传输。
应用于前述案例,服务于某高科技公司的C君,为紧急处理公事,而由家中已设定为虚拟专用网络主机12的笔记型计算机,连接上公司的虚拟专用网络。因为家中的虚拟局域网络端口10区分为第一及第二区间,第一区间的虚拟专用网络端口11,专供这台笔记型计算机连上公司的虚拟专用网络,而第二区间的局域网络端口13则可方便家中其它计算机上网所需。
C君使用这台笔记型计算机,通过虚拟专用网络端口11发送消息封包以连上公司的虚拟专用网络VPN。此时,硬件地址过滤器20确认这部笔记型计算机的身份无误,消息封包被传送至网域地址限制器30。网域地址限制器30借由消息封包的虚拟局域网络追踪标牌(tag),辨别这消息封包由C君的这部笔记型计算机所送出,因此决定接受消息封包。
消息封包经确认无误后,接着被固定式动态主机配置协议对应表40判断,根据这消息封包所带的网域地址,固定式动态主机配置协议对应表40辨认消息封包确为该笔记型计算机所传送出,如此,该笔记型计算机所送出的消息封包便可以安全地传送到IPSec通道,完成了在IPSec通道前的高安全性传输,确实减少了有心人士利用C君家中网络的其它计算机捕捉消息数据的可能性。
综上所述,本发明确能借上述所公开的技术,提供一种迥然不同于现有技术的设计,堪能提高整体的使用价值。
当然,本发明还可有其它多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
权利要求
1.一种提供高安全性使用互联网协议安全的网络装置,其特征在于,所述网络装置包括一虚拟局域网络,其中包括一第一区间及一第二区间,所述第一区间配置有至少一虚拟专用网络端口,所述第二区间配置有多个局域网络端口;一硬件地址过滤器,连接于所述第一区间的虚拟专用网络端口,使所述虚拟专用网络端口可连接至一互联网协议安全通道,以与一远程网络联机;一网域地址限制器,使用一虚拟局域网络追踪标牌以辨别由上述虚拟专用网络端口所传送出的消息封包的真伪;以及一固定式动态主机配置协议对应表,由所述硬件地址过滤器与所述网域地址限制器所对应得出,借以确保所述虚拟专用网络端口可使用特定网域地址以与互联网协议安全通道相连接。
2.根据权利要求1所述的提供高安全性使用互联网协议安全的网络装置,其特征在于,所述虚拟专用网络端口可供至少一虚拟专用网络主机相连接。
3.根据权利要求1所述的提供高安全性使用互联网协议安全的网络装置,其特征在于,所述局域网络端口可连接至少一计算机装置。
4.一种提供高安全性使用互联网协议安全的网络装置的方法,其特征在于,包括如下步骤一虚拟专用网络主机发送一消息封包至一网络装置的虚拟专用网络端口;一硬件地址过滤器过滤所述虚拟专用网络主机的硬件地址,以确认身份无误,并传送所述消息封包至一网域地址限制器;所述网域地址限制器借由所述消息封包的虚拟局域网络追踪标牌,辨别所述消息封包是否真由所述虚拟专用网络主机所传送出来,并借此决定接受所述消息封包与否;以及所述消息封包经上述步骤确认无误后,被传送到一互联网协议安全通道。
全文摘要
本发明涉及一种提供高安全性使用IPSec(“互联网协议安全”)的网络装置及其方法,该装置使用包括一虚拟局域网络(VLAN)、一硬件地址过滤器(MAC filter)、一网域地址限制器(IP Restriction),及一固定式动态主机配置协议对应表(Static DHCP),借以在使用IPSec对传送的消息加密之前,即先实行以实体隔绝虚拟专用网络(VPN)与一般网络通信的使用方法,进而提高使用IPSec的安全性,可适用于家用及一般虚拟专用网络。
文档编号H04L29/06GK1812333SQ20051000289
公开日2006年8月2日 申请日期2005年1月28日 优先权日2005年1月28日
发明者叶曜至, 郑元育, 郑心皓, 陈嘉元 申请人:合勤科技股份有限公司