专利名称:控管局域网络安全的方法及其中继装置的制作方法
技术领域:
本发明是有关于一种控管局域网络安全的方法及其中继装置,尤指一种藉由监测连接端口的连接状况来控管局域网络安全的方法及其中继装置。
背景技术:
因近年来计算机与网络设备的普及与其可被接受的售价,促使局域网络(Local Area Network,LAN)的架设大幅且不断地成长。局域网络可轻易地在家里或办公室里等小型区域中被建立起来,而使得更多的人可藉由所建立的局域网络来将其内所有的计算机连接起来并共享资源。然而,因任何未经授权的数据存取操作或是在非授权情况下使用保密数据的举动,对于个人或者公司行号团体而言可能会带来极大的伤害与损失,所以如何控管局域网络安全,即成为建立局域网络时所必须正视的课题之一。即使局域网络对于来自外部的威胁有着高度的隐密性与安全性(尤其在有装设防火墙的情况下),然而仍旧还是有方法来窃取存在于局域网络中的机密数据。举个例子来说,可藉由木马程序来侧录使用者的键盘使用经过,进而盗取其个人的使用者账号及其密码。
发明内容
因此本发明的目的即在于提供一种控管局域网络安全的方法及其中继装置,以改善上述的问题。
本发明的方法包含监测该局域网络内中继装置的多个连接端口与多个周边装置之间的连接情形,及当有任一周边装置与所对应的连接端口之间的连接被检测出中断时,则关闭该对应的连接端口,而其中该等周边装置是分别藉由网络线连接于对应的连接端口。
此外,另一本发明的实施方式另外包含有记录该等周边装置的媒体存取控制地址,并于记录其媒体存取控制地址时,将所记录的媒体存取控制地址与所对应的连接端口作数据性连接,以及在授权任一周边装置藉由所连接的连接端口存取该局域网络中资源之前,检测该周边装置的媒体存取控制地址,并将所检测到的媒体存取控制地址与所记录的媒体存取控制地址作比对。
根据本发明的一个方面,提供了一种控管局域网络安全的方法,其包含有监测该局域网络内中继装置的多个连接端口与多个周边装置之间的连接情形,其中该等周边装置系分别藉由网络线连接于对应的连接端口;以及当有任一周边装置与所对应的连接端口之间的连接被检测出中断时,则关闭该对应的连接端口。
根据本发明的另一个方面,提供了一种控管局域网络安全的方法,其包含有记录多个周边装置的媒体存取控制地址,其中该等周边装置是藉由网络线连接于中继装置的多个连接端口,并于记录媒体存取控制地址时,将所记录的媒体存取控制地址与所对应的连接端口作数据性连接;在授权任一周边装置藉由所连接的连接端口存取该局域网络中资源之前,检测该周边装置的媒体存取控制地址,并将所检测到的媒体存取控制地址与所记录的媒体存取控制地址作比对;监测该等连接端口与该等周边装置之间的连接情形;以及当有任一周边装置与所对应的连接端口之间的连接被检测出中断时,则关闭该对应的连接端口。
根据本发明的另一个方面,提供了一种用于局域网络的中继装置,该中继装置包含有多个连接端口,分别以网络线连接于多个周边装置,该中继装置的特征在于该中继装置会监测其每一连接端口与该等周边装置之间的连接情形,而当该中继装置检测出有任一周边装置与所对应的连接端口之间的连接中断时,该中继装置会关闭该对应的连接端口。
此外,本发明亦揭露采用上述方法来控管局域网络安全的中继装置。
第1图为采用本发明的方法的局域网络的方块图。
第2图为用来说明如何藉由本发明的方法来控管第1图的中继装置的各连接端口的流程图。
第3图为第1图的中继装置所使用的对照表。
第4图为用来说明本发明方法中如何藉由比较媒体存取控制地址来授权网络卡存取服务器的流程图。
10 局域网络 12 中继装置14a~14c 客户端 20 服务器22a~22c 网络卡 30、30a~30c 网络线100、102、110、112、114、116 流程步骤C1~C3、P1~P5、S1 连接端口具体实施方式
请参考第1图,第1图为采用本发明的方法的局域网络10的方块图,其中有多个客户端14a~14c藉由网络线30a~30c连接于中继装置12。在本实施例中,客户端14a~14c为个人计算机,网络线30a~30c为RJ-45规格的网络线,而中继装置12可以是集线器(hub)、路由器(router)或是快速集线器(switch),以控制客户端14a~14c与服务器20之间的连接与数据传送。中继装置12包含有五个连接端P1~P5,其中第一个连接端口P1用来藉由另一条网络线30连接于服务器20的连接端口S1,而中继装置12的另外三个连接端口P2、P4、P5 则被用来分别连接于客户端14a~14c的连接端口C1、C2、C3,而中继装置12的连接端口P3在本实施例中暂时未被使用。客户端14a~14c可藉由中继装置12存取服务器20,而中继装置12则负责判断是否授权客户端14a~14c存取服务器20。
每一客户端14a~14c分别包含有网络卡22a、22b或22c,用来负责与中继装置12之间的联系。依据网络通讯协议(如TCP/IP协议),网络卡22a~22c的制造业者必须分别赋予其所制造的每一个网络设备独特的(unique)媒体存取控制(Media Access Control,MAC)地址,而所赋予的媒体存取控制地址会被烧录到该网络设备的非易失性存储器(如EEPROM、闪存等)之中。因此,理论上不会有两个网络装置具有相同的媒体存取控制地址的情况发生,而如此一来,各网络设备即可藉由其所被赋予的媒体存取控制地址来区分彼此。
请参考第2图,第2图为用来说明如何藉由本发明的方法来控管中继装置12的连接端P2~P5之流程图。中继装置12包含有传感器或特定的电路,用以检测连接端P2~P5与客户端14a~14c之间的连接状况(步骤100)。当检测出连接端P2~P5与客户端14a~14c之间有任一连接被移除的话,则其所对应的连接端P2、P4或P5会被中继装置12给关闭掉(步骤102)。举例来说,如果网络线30c的插头自网络卡22c的连接端口C3拔除时,中继装置12会检测出这样的情况并于检测到后关闭连接端口P5。但须注意的是,客户端14a~14c电源的开启/关闭操作并不会影响到中继装置12的检测结果,换句话说,只要网络线30a~30c的物理上与中继装置12的连接端口P2~P5以及网络卡22a~22c的连接端口C1~C3保持连接的关系,即使供予客户端14a~14c的电源被切掉,中继装置12仍旧不会被触发去关闭连接端口P2、P4或P5。当任一连接端口P2~P5被关闭后,在局域网络10的管理者未再重新开启被关闭的连接端口之前,中继装置12会阻挡所有传送到被关闭的连接端口的网络封包。因此,若有任一客户端14a、14b或14C被替换掉的话,中继装置12藉由监测与客户端14a~14c的连接状态,即可将此一情况检测出来。如此一来,未经授权的网络装置很难在局域网络10中透过中继装置12存取服务器20的数据。
在本发明的另一实施例中,中继装置12所使用的控管方法,除上述的步骤外,还包含藉由检测、比较媒体存取控制地址的步骤,以进一步地控制连接端口P2~P5的机能。请参考第3图及第4图,第3图为中继装置12所使用的对照表,而第4图为用来说明本发明方法中如何藉由比较媒体存取控制地址来授权网络卡22a~22c存取服务器20的流程图。中继装置12会使用第3图中的对照表来记录客户端14a~14c所使用的媒体存取控制地址,并藉此来控管对于服务器20的存取操作。在局域网络10刚开始架设的初始情况下,网络管理者会先设定第3图所示的中继装置12的对照表。当设定对照表时,被授权存取服务器20的客户端14a~14c其媒体存取控制地址会被记录在对照表中,而被记录下来的媒体存取控制地址会与所对应的连接端口P2~P5有数据的连接性。举例来说,记录于对照表中且对应于连接端口P2的媒体存取控制地址会是客户端一14a的媒体存取控制地址AC1;记录于对照表中且对应于连接端口P4的媒体存取控制地址会是客户端二14b的媒体存取控制地址AC2;而记录于对照表中且对应于连接端口P5的媒体存取控制地址会是客户端三14c的媒体存取控制地址AC3。当任一客户端14a~14c要求中继装置12授权其存取服务器20时,中继装置12会先检测该客户端的媒体存取控制地址(第4图的步骤110),然后再将所检测到的媒体存取控制地址与对照表中对应的媒体存取控制地址比对(步骤112)。举例来说,当客户端二14b要求授权时,中继装置12会检测出网络卡22b所使用的媒体存取控制地址,然后再将所检测到的媒体存取控制地址与对照表所记录的媒体存取控制地址AC2比对。若网络卡22b被检测出来的媒体存取控制地址与媒体存取控制地址AC2不同,则中继装置12会关闭连接端口P4(步骤116);相反地,若网络卡22b被检测出来的媒体存取控制地址与媒体存取控制地址AC2相同,则中继装置12会授权客户端二14b的网络卡22b经由连接端口P4来存取服务器20(步骤114)。因此即使用来登入服务器20的账号与密码被盗取,只要客户端所使用的媒体存取控制地址与中继装置12所记录的媒体存取控制地址不符,未经过授权的网络设备也无法通过中继装置12的授权而存取服务器20。此外,在本实施例中,当中继装置12运作时,其仍会如上一个实施例一样,随时地监测与客户端14a~14c之间的连接状况。
最后,在上述两个实施例中,任一被关闭的连接端口可经过再次授权程序后,再度地被开启。此一再次授权程序可以经网络管理者藉由手动设定的方式来达成,或是藉由重新初始化中继装置12的方式来达成。
相较于先前技术,本发明的方法藉由监测中继装置与各周边客户端的连接状况,来控管局域网络的安全。若有任何的物理连接被移除时,对应的连接端口会实时地被关闭掉。此外,所记录而经过授权的媒体存取控制地址会用来与所检测的媒体存取控制地址比对,因此任何未被权的网络装置很难取代原先已授权的网络装置,如此一来,局域网络的安全即可有效地控管。
以上所述仅为本发明的较佳实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
权利要求
1.一种控管局域网络安全的方法,其包含有监测该局域网络内中继装置的多个连接端口与多个周边装置之间的连接情形,其中该等周边装置系分别藉由网络线连接于对应的连接端口;以及当有任一周边装置与所对应的连接端口之间的连接被检测出中断时,则关闭该对应的连接端口。
2.根据权利要求1所述的方法,其还包含记录该等周边装置的媒体存取控制地址,并于记录媒体存取控制地址时,将所记录的媒体存取控制地址与所对应的连接端口作数据性连接。
3.根据权利要求2所述的方法,其还包含授权该等周边装置经由该中继装置的该等连接端口来存取该局域网络中的资源;以及在授权任一周边装置存取该资源之前,检测该周边装置的媒体存取控制地址。
4.根据权利要求3所述的方法,其还包含依据所检测到的该周边装置的媒体存取控制地址,以及先前所记录的而与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址,来决定是否授权该周边装置存取该资源。
5.根据权利要求3所述的方法,其还包含若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则禁止该周边装置经由该中继装置来存取该资源。
6.根据权利要求3所述的方法,其还包含若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则关闭该周边装置所连接的连接端口。
7.根据权利要求1所述的方法,其还包含经再次授权程序后,开启所关闭的连接端口。
8.一种控管局域网络安全的方法,其包含有记录多个周边装置的媒体存取控制地址,其中该等周边装置是藉由网络线连接于中继装置的多个连接端口,并于记录媒体存取控制地址时,将所记录的媒体存取控制地址与所对应的连接端口作数据性连接;在授权任一周边装置藉由所连接的连接端口存取该局域网络中资源之前,检测该周边装置的媒体存取控制地址,并将所检测到的媒体存取控制地址与所记录的媒体存取控制地址作比对;监测该等连接端口与该等周边装置之间的连接情形;以及当有任一周边装置与所对应的连接端口之间的连接被检测出中断时,则关闭该对应的连接端口。
9.根据权利要求8所述的方法,其还包含依据所检测到的该周边装置的媒体存取控制地址,以及先前所记录的而与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址,来决定是否授权该周边装置存取该资源。
10.根据权利要求8所述的方法,其还包含若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则禁止该周边装置经由该中继装置来存取该资源。
11.根据权利要求8所述的方法,其还包含若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则关闭该周边装置所连接的连接端口。
12.根据权利要求8所述的方法,其还包含经再次授权程序后,开启所关闭的连接端口。
13.一种用于局域网络的中继装置,该中继装置包含有多个连接端口,分别以网络线连接于多个周边装置,该中继装置的特征在于该中继装置会监测其每一连接端口与该等周边装置之间的连接情形,而当该中继装置检测出有任一周边装置与所对应的连接端口之间的连接中断时,该中继装置会关闭该对应的连接端口。
14.根据权利要求13所述的中继装置,其会记录该等周边装置的媒体存取控制地址,并于记录媒体存取控制地址时,将所记录的媒体存取控制地址与所对应的连接端口作数据性连接。
15.根据权利要求14所述的中继装置,其会授权该等周边装置经由其连接端口来存取该局域网络中的资源,并在授权任一周边装置存取该资源之前,检测该周边装置的媒体存取控制地址。
16.根据权利要求15所述的中继装置,其会依据所检测到的该周边装置的媒体存取控制地址,以及先前所记录的而与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址,来决定是否授权该周边装置存取该资源。
17.根据权利要求15所述的中继装置,其中若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则该中继装置会禁止该周边装置经由该中继装置来存取该资源。
18.根据权利要求15所述的中继装置,其中若所检测到的该周边装置的媒体存取控制地址不同于先前所记录与该周边装置所连接的连接端口有数据性连接的媒体存取控制地址时,则该中继装置会关闭该周边装置所连接的连接端口。
19.根据权利要求13所述的中继装置,其中经再次授权程序后,被关闭的连接端口会被开启。
全文摘要
在局域网络中,藉由检测中继装置的多个连接端口与多个周边装置之间的连接情况,来防止未经授权的周边装置藉由该中继装置存取该局域网络中的资源。当任一周边装置与对应的连接端口之间的连接被检测到中断时,则将所对应的连接端口关闭。
文档编号H04L12/28GK1859173SQ20051010962
公开日2006年11月8日 申请日期2005年9月14日 优先权日2005年5月3日
发明者苏元祺 申请人:合勤科技股份有限公司