专利名称:一种网络系统的防止非授权连结方法
技术领域:
本发明涉及的是一种网络系统的防止非授权连结方法,尤指一种在一局域网
络(Local Access Network; LAN )系统中,通过于802.lab通讯协议所传输的LLDP (连结层发现协议)封包中加入授权钥匙,以达到连结授权的安全机制的一种网 络系统的防止非授权连结方法。
背景技术:
由于现代人对于电子信息设备的可移植性以及实时信息传输的需求愈来愈 高,无线通讯功能已f然成为社会大众选购电子信息设备时的必要考虑。
就以无线局域网络通讯系统来说,其通过射频技术与网络技术的结合,使得 使用者不再需要连接实体的网络线,便可通过无线局域网络来和其它网络装置连 结并传输信息。虽然,无线局域网络通讯系统确实可提供使用上的便利性,然而, 也由于其并非是以实体网络线来连接提供信息传输服务的各存取点与各使用者的 终端装置(Terminal),所以,如何防止非授权的网络装置来非法连结使用系统 所提供的信息传输服务,也是一个相当重要的课题。
目前,IEEE802.1X通讯协议^更是最普遍被使用在IEEE802架构下的局域网络 (LAN)以进行连结授权的安全认证机制。802.1X是以使用者账号或使用者设备 为基础的网络用户(端口 )认i正标准。这种认证程序称为"连4妄端口层级认证 (Port-Level Authentication )",其利用远程认证使用者拨接服务(Remote Authentication Dial-I User Service; RADIUS )分成三部分请求端(使用者)、 认证端、以及认证服务器。当终端装置(例如计算机等)与请求端尝试联机至其 它连接端口或装置(例如认证端)时,采用802.1X的标准可在认证服务器的联机 通讯中完成对请求端的认证与授权工作。然而,802.1X仅着重在授权的过程与管 理,其并未限制对数据加密与连结授权的计算方式。相对地,它定义了定期性去 还新密钥(Encryption Key )与进行再次认证的细节程序。
802.1X确实可提供良好的安全认证与授权机制,然而,其却也因此需要进行
较为复杂的运算与认证程序。对于一些轻巧型的网络装置来说,例如无线网络收
发器(Wireless Dongle )或无线网络卡等,因受限于其硬件规格与运算能力等因 素,不见得适合完全提供或支持802.1X的技术。因此,有必要针对此类轻巧型的 网络装置来另外提供还简化的网络连结授权机制。
相对于802.IX来说,IEEE802.1ab通讯协议是提供了较简化的网络通讯机制、 且相对还适合被应用在硬件等级受限的轻巧型网络装置上。然而,现有技术的 IEEE802.1ab却无法提供网络连结授权功能,也无法防止非授权的网络装置来非 法连结使用系统所提供的信息传输服务。
发明内容
本发明的第一目的是提供一网络系统的防止非授权连结方法,其可在802.lab 通讯协议的架构中提供网络连结的认证与授权机制,而可还适用在轻巧型的网络 装置上。
本发明的第二目的是提供一网络系统的防止非授权连结方法,其通过于 802.lab通讯协议所传输的LLDP (连结层发现协议)封包中加入授权钥匙。利用 802.1ab具有定期性广播(Broadcast)其LLDP封包的功能,可使网络管理装置定 期性地去检测各网络装置的授权合法性,以达到防止非授权的网络装置来连结与 使用系统所提供的信息传输服务的认证与授权机制。
为达前述的目的,在本发明的网络系统的防止非授权连结方法的一较佳实施 例中,主要是在依据802.lab通讯协议所传输的LLDP (连结层发现协议)封包中 加入授权钥匙,以达到在802.1ab通讯协议的架构下去进行连结授权的安全机制。 所述的防止非授权连结方法是包括有由网络系统中的一第 一 网络装置接收来自 一第二网络装置所发送的一符合802.lab通讯协议的LLDP封包;分析所述的 LLDP封包,并检查所述的LLDP封包中是否包含有一合法的授权钥匙;以及, 倘若授权钥匙不存在或不合法时,则封锁所述的第二网络装置所发送的所有封包, 以达到防止非授权的所述的第二网络装置连结使用第 一 网络装置所提供的网络传 输服务的功能。倘若检查结果是有合法的授权钥匙时,则允许来自所述的第二网 络装置所发送的封包通过。
在一较佳实施例中,所述的第一网络装置还可执行一授权钥匙发送程序,其 包括有下列步骤设定所述的授权钥匙的内容;将所述的授权钥匙结合在一符合802.lab通讯协议的LLDP封包中;以及,通过802.lab通讯协议将所述的LLDP 封包广播出去。
在一较佳实施例中,所述的LLDP封包是包括有下列字段一 TLV (暂时逻 辑检验)标题、与一 TLV信息串;所述的TLV信息串包含了所述的第 一 网络装 置的一 MAC (Media Access Control;媒体存取控制)地址,并且,所述的授权钥 匙是将网络装置制造商的一 OUI码另加上一密码后储存在所述的TLV信息串中。
图1为本发明防止非授权连结方法所适用的网络系统的一实施例架构图。 图2为本发明的防止非授权连结方法进行接收授权封包的 一 实施例流程图。 图3为本发明的防止非授权连结方法进行发送授权封包的 一 实施例流程图。 图4为本发明的防止非授权连结方法中,所述的LLDP封包所具有字段的一
实施例。
图5为本发明的防止非授权连结方法中,所述的第一网络装置的授权状态的 一实施例示意图。
图6为本发明的防止非授权连结方法同时支持所述的LLDP防非授权功能与 802. IX授权功能时的启动状态表。
图7为本发明的防止非授权连结方法,其中的LLDP防非授权功能与802.IX 授权功能的各种状态组合表。
图8为本发明的防止非授权连结方法中,网络装置在进行发送授权封包时的 操作流程图。
图9为本发明的防止非授权连结方法中,网络装置在进行接收授权封包时的 操作流程图。
附图标记说明10 本发明的网络系统;110 服务器;111 因特网接口 ; 112 集线架;121 125 交换器;131 135 终端计算机;136 计算机外设装置;141 142 存取点;21 25、 31~33、 51~55、 61 68 步骤; 41 起始状态;42 取消授权功 能;43 启动授权功能;44 通过授权。
具体实施例方式
为了能还清楚地描述本发明所提出的网络系统的防止非授权连结方法,以下将举出实施例具体说明的。
请参阅图1所示,其为本发明防止非授权连结方法所适用的网络系统10的一
实施例架构图。所述的网络系统10可为一符合IEEE802架构下的以太网络 (Ethernet)系统为较佳,例如但不局限于广域网络(WAN )、局域网络(LAN )、 或无线局域网络(WLAN)等。在本实施例中,所述的网络系统IO是包括有一或 多台服务器IIO。这服务器110—方面通过一因特网接口 111 (例如网络路由器 Router等)而连接到因特网(Internet)或其它网络系统,另 一方面则连接到 一集 线架112 (Patch Panel)。通过插接在集线架112上的众多网络缆线,可让许多远 程的网络装置连结到服务器IIO上,并进而使用因特网的服务、或是通过所述的 网络系统IO来相互传输数据。这些网络装置可包括(但不局限于)网络集线器 (Hub )或网络交换器(Switch )121 125、具网络连结功能的终端计算机131~135、 例如网络打印机等的可连上网络的计算机外设装置136、无线网络存取点141~142 (Access Point; AP)、网络路由器(Router)、网络频宽分享器、网络管理装置 (NMS )、无线网络收发器(Wireless Dongle )、桥接器(Bridge )、与网络卡等 等。这些交换器121 125或存取点141 142等等的网络装置,可以是直接连结至 集线架112上、或也可以是通过堆栈(Stacking)在另一交换器121 125或存取点 141 142的方式连结至集线架112。
请参阅图2与图3所示,其分别为本发明的防止非授权连结方法进行接收授 权封包与发送授权封包的一实施例流程图。在本实施例中,是假设一第一网络装 置(认证端)将会执行本发明的防止非授权连结方法,来认证与授权位于相同网 络系统内的另一外界第二网络装置(请求端)的连结请求。在本实施例中,所述 的第一网络装置必须兼具接收与发送授权封包的能力,且其通常是但不局限于下 列其中之一有线或无线网络集线器、有线或无线网络交换器、有线或无线网络 存取点、有线或无线网络路由器、有线或无线网络频宽分享器、有线或无线网络 管理装置、与有线或无线网络桥接器。另一方面,所述的第二网络装置则可以仅 具有发送授权封包的能力,但也可以是兼具发送与接收授权封包能力者,其通常 是但不局限于下列其中之一有线或无线网络集线器、有线或无线网络交换器、 有线或无线网络存取点、有线或无线网络路由器、有线或无线网络频宽分享器、 有线或无线网络管理装置、无线网络收发器、有线或无线网络桥接器、与有线或 无线网络卡。
如图2所示,由所述的第一网络装置所执行的本发明防止非授权连结方法的
接收授权封包流程是包括有
步骤21:接收来自所述的外界的第二网络装置所发送的一符合802.lab通讯 协议的LLDP ( Link Layer Discovery Protocol;连结层发现协议)封包;并分析所 述的LLDP封包,以撷取出所述的LLDP封包中所内含的 一授权钥匙(Key )。
步骤22:检查所述的授权钥匙是否合法(步骤23),倘若检查结果是有合法 的授权钥匙时,则执行步骤24允许来自所述的第二网络装置所发送的封包通过, 也就是允许第二网络装置连结与使用网络服务。倘若授权钥匙不存在、或授权钥 匙存在但不合法、或是LLDP封包的传输逾时的话,则封锁所述的第二网络装置 所发送的所有封包,也就是不允许所述的第二网络装置连结与使用网络服务。
在本实施例中,所述的封锁所述的第二网络装置所发送的所有封包的方法, 乃是通过将经由所述的第二网络装置所对应的一通讯端口 (Port)所传来的封包 中,除了控制封包(Control Packet)的外的所有封包均全部丢弃,如此便可封锁 所述的通讯端口也就是封锁第二网络装置使用网络传输服务的功能。
如图3所示,由所述的第二网络装置所执行的本发明防止非授权连结方法的 发送授权封包流程是包括有
步骤31:设定所述的授权钥匙的内容,例如使用者账号或密码等。
步骤32:将所述的授权钥匙结合在一符合802.lab通讯协议的LLDP封包中。
步骤33:通过802.1ab通讯协议所具有的定期性广播(Broadcast)其LLDP 封包的功能,将所述的LLDP封包广播出去,以向所述的网络系统内的其它网络 装置请求连结授权。由于此第二网络装置会在802.1ab架构下去定期性地广播其 LLDP封包,因此,所述的第一网络装置便能定期性地去检测第二网络装置的授 权合法性,以决定是否允许第二网络装置使用其通讯端口来传输信息。如此,便 能达到防止非授权的网络装置来连结与使用系统所提供的信息传输服务的认证与 授权机制。此外,还因为本发明的防止非授权连结方法是架构在802.1ab通讯协 议基础上,仅需较低规格的硬件与简单运算能力便可顺利实施,故可还适用在轻 巧型的网络装置上。
请参阅图4,其为本发明的防止非授权连结方法中,所述的LLDP封包所具 有字段的一实施例。在本发明的一较佳实施例中,所述的LLDP封包是可包括有 两个大字段一 TLV ( Temporal Logic Verifier;暂时逻辑才全'验)标题字^殳、与一
TLV信息串字段。所述的TLV标题字段还包括有一 TLV种类字段、与一TLV信 息长度字段。所述的TLV信息串是包含了所述的网络装置的一MAC (Media Access Control;媒体存取控制)地址,且还包括有一 OUI ( Organizationally Unique Identifier;机构唯一辨识码)字段、 一机构设定次类字段、以及一机构设定信息 串字段。其中,所述的授权钥匙是将网络装置制造商的一 OUI码另加上一密码 (Password )后储存在所述的TLV信息串中,通过分析所述的LLDP封包的TLV 信息串计算出所述的密码,并据以验证授权的合法性。
请参阅图5,其为本发明的防止非授权连结方法中,所述的第一网络装置的 授权状态的一实施例示意图。如图5所示,所述的第一网络装置对于其任一通讯 端口的"起始状态41"可以是在"取消授权功能42"或是"启动授权功能43" 两种状态的其中之一。网络管理者可以通过网络去设定第一网络装置的"起始状 态41"为两者其中之一、或是进行"取消授权功能42"或是"启动授权功能43,,两 者状态之间的切换。当处在"取消授权功能42"时,所述的第一网络装置将不进 行连结的认证与授权工作,换句话说,所述的通讯端口所连结的通讯装置可不经 授权便自由使用网络传输服务。而当处在"启动授权功能43"时,则第 一 网络装 置将会关闭所述的通讯端口的连结服务并对所述的通讯端口所连结的通讯装置进 行如前述图2所示的连结授权程序。倘若所接收到的LLDP封包具有合法的授权 钥匙,则将所述的通讯端口的状态切换至"通过授权44"并允许使用网络传输服 务。倘若发现LLDP封包不合法、或是等待LLDP封包逾时的话,则将所述的通 讯端口的状态切换至"启动授权功能43"且同时把其连结封锁。因此,连结在所 述的通讯端口的通讯装置必须定期性地重新传送具有合法授权钥匙的LLDP封包 至所述的第一通讯装置,才能继续使用其网络服务,因此可达到防止非授权连结 的目的者。
请参阅图6,其为本发明的防止非授权连结方法同时支持所述的LLDP防非 授权功能与802.1X授权功能时的启动状态表。在本发明的一较佳实施例中,所述 的第一网络装置是同时支持本发明的LLDP防非授权功能(建构在802.lab通讯 协议中)以及802.1X通讯协议所提供的认证授权功能。这两种功能都是建立在以 通讯端口为基础的授权机制下,但由于在一硬件通讯端口仅可同时适用在一通讯 协议,所以必须依据图6所示的表来实施本发明。其说明如下
l.在起始状态中,当LLDP防非授权功能与802.1X授权功能两者都是"封锁" 状态时,则所述的硬件通讯端口的状态将被"封锁"。
2. 当LLDP防非授权功能的状态为"通过"、而802.1X授权功能不支持时, 则硬件通讯端口的状态为"通过"。
3. 当802.1X授权功能的状态为"通过"、而LLDP防非授权功能不支持时, 则硬件通讯端口的状态为"通过"。
4. 当LLDP防非授权功能与802.1X授权功能两者都支持,但是所述的LLDP 防非授权功能为"通过"、而802.1X授权功能为"封锁"时,则硬件通讯端口的状 态为"通过"。
5. 当LLDP防非授权功能与802.1X授权功能两者都支持,但是所述的LLDP 防非授权功能为"封锁"、而802.1X授权功能为"通过"时,则硬件通讯端口的状 态为"通过"。
请参阅图7,其为本发明的防止非授权连结方法,其中的LLDP防非授权功 能与802.1X授权功能的各种状态组合表。由于本发明的LLDP防非授权功能、与 802.1X授权功能,其两者均分别具有如图4所示的"取消授权"、"启动授权"、 与"通过授权"三种状态;因此,考虑所述的两功能的不同状态的组合所代表的涵 义是可列表如图7。其说明如下
1. 当LLDP防非授权功能的状态为"取消"、且802.1X授权功能的状态也为 "取消"时,则表示"强制授权",也就是不管是使用802.1ab或是802.1X通讯协
议都可不受限制地自由使用网络服务。
2. 当LLDP防非授权功能的状态为"取消"、而802.1X授权功能的状态为"启 动"时,则表示"非授权",也就是不管是使用802.1ab或是802.1X通讯协议都不 允许(也就是封锁)其使用网络服务。
3. 当LLDP防非授权功能的状态为"取消"、而802.1X授权功能的状态为"通 过"时,则表示"以802.1X授权",也就是已通过802.IX的授权认证且可通过802.IX 来使用网络服务。
4. 当LLDP防非授权功能的状态为"启动"、而802.1X授权功能的状态为"取 消,,时,则表示"非授权"。
5. 当LLDP防非授权功能的状态为"启动"、而802.1X授权功能的状态也为" 启动"时,则表示"非授权"。
6. 当LLDP防非授权功能的状态为"启动"、而802.1X授权功能的状态也为"
通过"时,则表示"以802.1X授权"。
7. 当LLDP防非授权功能的状态为"通过"、而802.1X授权功能的状态为"取 消"时,则表示"以LLDP授权",也就是已通过本发明的LLDP授权认证且可通 过802.lab来使用网络服务。
8. 当LLDP防非授权功能的状态为"通过"、而802.1X授权功能的状态为"启动" 时,则表示"以LLDP授权"。
9. 当LLDP防非授权功能的状态为"通过"、而802.1X授权功能的状态也为" 通过,,时,则表示"以LLDP与802.1X授权"。此时,表示所述的网络装置是同时 支持以802.lab的LLDP授权与802.1X授权两种功能,且无论802.lab或802.IX 通讯协议都可允许其使用网络服务。然而,在本实施例中,本发明将以优先选择 使用802.1X通讯协议为较佳。
请参阅图8与图9,其分别为本发明的防止非授权连结方法中,网络装置在 进行发送授权封包与接收授权封包时的操作流程图。
如图8所示,当本发明的网络装置开始进行发送授权封包的操作时(步骤51 ), 首先是进行LLDP封包的传送起始化操作(步骤52),也就是执行如图3的步骤 32的动作。的后,倘若其装置状态是处在"同时启动接收与传送功能"或是"仅 启动传送功能"的状态时,便进入待机状态(步骤53)。在所述的步骤53的待机 状态中,会进行定时倒数计时、以及侦测其网络联机状态的操作,倘若计时达到 一段预定时间、或是网络状态有改变时,则执行将LLDP封包传送出去的操作(步 骤54),也就是执行如图3的步骤33的动作,的后再回到步骤53的待机状态并 重新计时与侦测。而在步骤53的待机状态下,倘若其装置状态被切换至"取消授 权功能"或是"仅启动接收功能,,时,则执行传送停止讯号的操作(步骤55)以停 止发送LLDP封包,同时并等待一段时间后再回到步骤52的起始化操作。
如图9所示,当本发明的网络装置开始进行某一通讯端口的接收授权封包操 作时(步骤61),首先会进入所述的通讯端口的待机状态(步骤62)。的后,每 隔一段较长时间,网络装置便会定期删除所述的通讯端口的旧状态数据(步骤63 ) 后再回到步骤62的待机状态。而当所述的通讯端口的状态被切换成"启动LLDP 封包"时,则执行接收LLDP封包的起始化的操作(步骤64)。然后,将通讯端 口的状态切换成"同时启动接收与传送功能"或是"仅启动接收功能"两者其中之 一,并执行等待LLDP封包的操作(步骤65)。此时,倘若通讯端口的状态又被
切换到"取消授权功能"或是"仅启动传动功能"时,则回去执行步骤62的待机
状态。而在步骤65的等待LLDP封包操作中,倘若有封包尝试自所述的通讯端口 传入时,则执行步骤66的接收LLDP封包的操作。此时,倘若所收到的封包不合 法、未通过授权、或是有错误时,则将所述的封包丢弃并回到步骤65的等待LLDP 封包操作。而若是所收到的封包合法时则接受所述的封包并同时计时达到 一存活 时间TTL (Time To Live)后、且接收状态也未改变时,则也会回到步骤65的等 待LLDP封包操作。而倘若所收到的封包合法(因此接受所述的封包)、且计时 达到所述的存活时间TTL、且接收状态有改变时,则^^行步骤68将状态数据还新 后,再回到步骤65的等待LLDP封包操作。并且,在步骤66的接收LLDP封包 操作时,每隔所述的存活时间TTL便将定期性地去执行步骤67的删除数据操作, 以删除状态数据后,再回到步骤65的等待LLDP封包操作。此外,在步骤65的 等待LLDP封包操作时,倘若每隔一段较长时间时,网络装置也会定期删除所述 的通讯端口的旧状态数据(步骤67 )后再回到步骤65的待机状态。
以上所述是利用较佳实施例详细说明本发明,而非限制本发明的范围。大凡 熟知此类技艺人士都能明了 ,适当而作些微的改变与调整,仍将不失本发明的要 义所在,也不脱离本发明的精神和范围。
权利要求
1. 一种网络系统的防止非授权连结方法,其通过一第一网络装置实施,其特征在于其包括有接收来自外界的一第二网络装置所发送的一符合802.1ab通讯协议的连结层发现协议封包;分析所述的连结层发现协议封包,并检查所述的连结层发现协议封包中是否包含有一合法的授权钥匙;倘若授权钥匙不存在或不合法时,则封锁所述的第二网络装置所发送的所有封包。
2. 根据权利要求1所述的防止非授权连结方法,其特征在于倘若检查结果是有合法的授权钥匙时,则允许来自所述的第二网络装置所发送的封包通过。
3. 根据权利要求1所述的防止非授权连结方法,其特征在于所述第一网络装置还执行一授权钥匙发送程序,其包括有下列步骤设定所述的授权钥匙的内容;将所述的授权钥匙结合在一符合802.1ab通讯协议的连结层发现协议封包中;通过802.lab通讯协议将所述的连结层发现协议封包广播出去。
4. 根据权利要求1所述的防止非授权连结方法,其特征在于所述的连结层 发现协议封包是包括有下列字段 一暂时逻辑检验标题、与一暂时逻辑检验信息 串;所述的暂时逻辑检验信息串包含了所述的网络装置的一媒体存取控制地址; 并且,所述的授权钥匙是将网络装置制造商的一机构唯一辨识码另加上一密码后 储存在所述的暂时逻辑检验信息串中,通过分析所述的连结层发现协议封包的暂 时逻辑检验信息串即可计算出所述的密码。
5. 根据权利要求1所述的防止非授权连结方法,其特征在于所述的第一网络装置同时支持802.lab通讯协i义以及802.IX通讯协i义。
6. 根据权利要求1所述的防止非授权连结方法,其特征在于所述的第一网络装置为下列设备其中之一网络集线器、网络交换器、网络存取点、网络路由 器、网络频宽分享器、网络管理装置与网络桥接器。
7. 根据权利要求1所述的防止非授k连结方法,其特征在于所述的第二网络装置为下列设备其中之一网络集线器、网络交换器、网络存取点、网络路由 器、网络频宽分享器、网络管理装置、无线网络收发器、网络桥接器与网络卡。
8. 根据权利要求1所述的防止非授权连结方法,其特征在于所述的封锁第 二网络装置所发送的所有封包的方法,是通过将经由所述的第二网络装置所对应 的 一通讯端口所传来的封包中,除了控制封包之外的所有封包均全部丢弃。
9. 一种网络系统的防止非授权连结方法,其特征在于包括有下列步骤 在一 网络装置上设定一授权钥匙的内容;将所述的授权钥匙结合在一符合802.1 ab通讯协议的连结层发现协议封包中; 通过802.lab通讯协议来定期性地将所述的连结层发现协议封包广播出去, 以向所述的网络系统内的其它网络装置请求连结授权。
10. 根据权利要求9所述的防止非授权连结方法,其特征在于所述的连结层 发现协议封包是包括有下列字段 一暂时逻辑检验标题、与一暂时逻辑检验信息 串;所述的暂时逻辑检验信息串包含了所述的网络装置的 一媒体存取控制地址; 并且,所述的授权钥匙是将网络装置制造商的一机构唯一辨识码另加上一密码后 储存在所述的暂时逻辑检验信息串中,通过分析所述的连结层发现协议封包的暂 时逻辑检验信息串计算出所述的密码。
全文摘要
本发明为一种网络系统的防止非授权连结方法,主要是在依据802.1ab通讯协议所传输的LLDP(连结层发现协议)封包中加入授权钥匙,以达到在802.1ab通讯协议的架构下去进行连结授权的安全机制。所述的防止非授权连结方法是包括有由网络系统中的一第一网络装置接收来自一第二网络装置所发送的一符合802.1ab通讯协议的LLDP封包;分析所述的LLDP封包,并检查所述的LLDP封包中是否包含有一合法的授权钥匙;以及,倘若授权钥匙不存在或不合法时,则封锁所述的第二网络装置所发送的所有封包,以达到防止非授权的所述的第二网络装置连结使用第一网络装置所提供的网络传输服务的功能。
文档编号H04L9/00GK101207475SQ200710097379
公开日2008年6月25日 申请日期2007年5月11日 优先权日2006年12月15日
发明者刘沛川, 李诗钦 申请人:友劲科技股份有限公司