专利名称:可回溯追踪多层次网络设备架构中认证状态的方法
技术领域:
本发明涉及网络安全认证机制,特别是关于一种可回溯追踪多层次网络设备架构中认证状态的方法。
故,目前网络产品的发展,已有逐渐走向网络安全与认证机制的趋势,而在认证机制上,一般采用IEEE 802.1x标准,该标准为一极为普遍使用的标准,主要利用扩张式网络认证协议EAPoL(Extensible Authentication ProtocolOver LAN,以下简称EAPoL),并与拨接使用者远端认证服务RADIUS(RemoteAuthentication Dial-In User Service,以下简称RADIUS)相搭配,以在认证功能上达成非常有效率的管理模式。采用IEEE 802.1x标准,能够让使用者每次登入网络都使用不同的加密金钥,而该标准本身亦提供金钥管理机制,且支持如Kerberos及RADIUS等的集中式认证、辨识及帐号管理架构。一般言,IEEE802.1x为针对IEEE 802.11安全性不足的问题,所产生的新标准,增强以连接口为基础的网络存取控制(Port-Based Network Access Control),而在IEEE802.11上,最为显著的安全性不足问题,包括缺乏使用者身份认证机制及动态资料加密金钥配送机制,故藉由IEEE 802.1x标准、RADIUS伺服器与使用者帐号资料库间的合作,企业或互联网供应商(Internet Service Provider)可对无线区域网络的移动使用者的存取行为,进行有效的管理,并在该等使用者获得授权进入以IEEE 802.1x标准管制的无线区域网络前,可令其经由EAPoL,并通过无线撷取器或无线宽频路由器,来提供帐号与密码或数字凭证(DigitalCertificate)予后端的RADIUS伺服器,经该RADIUS伺服器认证通过后,才能合法进入无线区域网络,此时,RADIUS伺服器也会记载使用者登入与登出的时间信息,作计费或网络使用状态监控的用途。
然而,在对使用者端进行认证的过程中,一般仅能知道该机器上层(Server)端是否与使用者端成功连线,万一认证结果不符合规定,如密码错误或使用者名称错误......等,该连接口即被封住(Blocked),由于,在一具有多重层次的网络架构下,认证的通路往往会经过好几个网络设备(Intermedia)与EAPoL验证机制,此时,若使用者端只知道认证错误,并不知道哪边出问题,就等于好像只知道认证没通过,却不知道哪边设备令该使用者端无法顺利完成认证,完全没有追踪的线索,造成使用者在查询错误,或找出系统问题方面,发生极大的问题。
目前,对于采用IEEE 802.1x标准的区域网络而言,使用者端(End Point)与伺服器端(Server)间利用EAPoL机制作为验证基础,若认证通过,则该网络设备(Device)就会允许连接口通讯(Unblocked),令封包资料通过,进行网络通讯,若认证不通过,则将该连接口封住(Blocked),令该使用者端(EndPoint)无法使用网络。在此种传统的认证机制中,由于IEEE 802.1x标准并不支持多层次查询回溯(Back Trace)机制,故仅能知道认证结果,而无法清楚得知到底哪个节点的认证发生问题,此一情形在现今网络产品日趋复杂的情况下,尤其是在多层次网络设备的架构下,确实对网络管理者与使用者在查询错误节点方面造成很大困扰,若要有效解决,势必须花费不少时间,来加以解决。
请参阅
图1所示,以一多层次网络设备架构为例,说明使用区域认证(localauthentication)的情形如下当使用者端S14、S15及S16皆通过网络伺服器端D13上EAPoL的认证,使用者端S13及网络伺服器端D13则通过网络伺服器端D12上EAPoL的认证,但使用者端S12并未通过网络伺服器端D12上EAPoL的认证,且网络伺服器端D12亦未通过网络伺服器端D11上EAPoL的认证,此时,各该连接口间的线路L14、L15、L16、L17及L18呈可通讯的状态,线路L12及L13则呈断讯状态,因此,使用者端S14虽可分别连线至使用者端S15、S16及S13,却无法连线至使用者端S12及S11,且使用者端S14在获得认证通过的信息后,并无法得知到底是哪部机器设定有误(如S12),或是哪一网域无法存取(如S11)。
请再参阅图2所示,以另一多层次网络设备架构为例,说明使用集中认证的情形如下在该另一多层次网络设备架构中,主要藉增设一RADIUS伺服器R21作为集中认证的伺服器,其中使用者端S21通过伺服器端D21被RADIUS伺服器R21认证成功,使用者端S22及网络伺服器端D22则认证失败,此时,由于各该连接口间的线路L20及L21呈可通讯的状态,线路L22及L23则呈断讯状态,而使用者端S23、S24、S25、S26及网络伺服器端D23欲进行认证前,皆必需先连接至RADIUS伺服器R21,故在线路L23呈断讯的情况下,使用者端S23、S24、S25、S26及网络伺服器端D23均无法认证成功,因此,使用者端S24仅获得认证没通过的信息,却无法得知究竟是哪部机器,令其无法通过认证。
因此,如何能针对该等情况,在不影响网络安全认证机制的情形下,提出一有效率的回溯追踪(Back Trace)机制,令使用者或管理端可轻易且明确地了解哪个节点端认证出了问题,即成为网络设备及系统业者亟待解决的一个重要课题。
本发明的一目的,在于各使用者端可通过分析该回应封包所带回的信息,针对一个提供802.1x认证机制的多层次网络设备架构,清楚且快速地回溯追踪该多层次网络设备架构所发生的错误,并加以更正,以有效减少在认证过程中侦错及除错上所耗费的时间,大幅增进网络认证、管理及维护上的便利性。
本发明的另一目的,是该协议封包的内容内,仅需提供有关发生认证问题的错误信息,而无需提供额外的网络设备内容,故黑客并无法利用该回溯追踪机制获得更多信息,以对网络设备进行任何破坏行为。
本发明采用的技术方案如下一种可回溯追踪多层次网络设备架构中认证状态的方法,该方法应用于一多层次网络设备架构中,该多层次网络设备架构包括一RADIUS伺服器,该RADIUS伺服器作为集中认证的一伺服器,且以多层次连线方式,依序与至少一个以上的网络设备相连接,各该网络设备并分别与至少一个以上的一使用者端相连线,该多层次网络设备架构利用一个多层次回溯追踪的协议封包,令各使用者端在发现未被认证通过时,可藉由发出该协议封包,要求各网络设备依序回溯追踪该多层次网络设备架构中的各节点,并传回所有网络设备认证通过及未通过的信息,使各使用者端可通过分析该等信息,迅速找出各网络设备的认证状态及错误原因。
其中该协议封包包含一要求封包,该要求封包由各使用者端发出,经由该多层次网络设备架构中,远离该RADIUS伺服器端的下层网络设备,传送到邻近该RADIUS伺服器端的上层网络设备。
其中该协议封包包含一回应封包,该回应封包由该多层次网络设备架构中,邻近该RADIUS伺服器端的上层网络设备,将各该网络设备认证通过及未通过的信息,传送回远离该RADIUS伺服器端的下层网络设备及各该使用者端。
前述方法的该协议封包的格式包括一用以代表发出封包的来源位址的栏位;一用以代表封包欲传送的目的位址的栏位;一用以代表属要求封包或回应封包的码值栏位;及一用以代表认证问题类型的栏位,各该问题类型可预先加以定义。
上述协议封包的格式还包括一用以代表距离发出要求封包的来源位址的深度栏位。
上述协议封包的格式还包括一用以代表封包到达的时间栏位。
前述方法的该协议封包的格式包括一用以代表发出封包的来源位址的栏位;一用以代表封包欲传送的目的位址的栏位;一用以代表属要求封包或回应封包的码值栏位;一用以代表文字描述的长度栏位;及一用以代表说明认证问题的文字描述栏位。
上述协议封包的格式还包括
一用以代表距离发出要求封包的来源位址的深度栏位。
上述协议封包的格式还包括一用以代表封包到达的时间栏位。
本发明可以清楚快速地回溯追踪多层次网络设备中的认证状态、发生错误的节点、时间及原因,并加以更正,从而可有效减少在认证过程中侦错及除错上所耗费的时间,大幅增进网络认证、管理及维护上的便利性。并且,本发明的该协议封包仅提供有关发生认证问题的错误信息,不提供额外的网络设备内容,故可防止黑客利用该回溯追踪机制获得更多信息,对网络设备进行破坏。
第一网络设备 D31 第二网络设备 D32第三网络设备 D33 RADIUS伺服器 R31第一使用者端 S31 第二使用者端 S32第三使用者端 S33 第四使用者端 S34第五使用者端 S35 第六使用者端 S36线路 L30、L31、L32、L33、L34、L35、L36、L37、L38
本发明为了在多层次网络设备架构中,令使用者端能迅速得知到底哪个节点端出了问题,设计了一个多层次回溯追踪(Back Trace)的协议封包,使各使用者端发现没被认证通过时,可藉由发出该协议封包,要求各网络设备依序回溯追踪该多层次网络设备架构中的各节点,并令各网络设备传回的回应封包,带回所有网络设备认证通过及未通过的信息,如网络设备名称、识别码(DeviceID)或位址(Mac Address)、时间及未通过认证的错误原因,如此,各使用者端即可通过分析该回应封包所带回的信息,找出发生错误的节点,并加以修正。
在本发明的一较佳实施例中,主要针对一多层次网络设备架构,参阅图3所示,利用集中认证,对各网络设备进行管理,在该实施例的多层次网络设备中,设有一RADIUS伺服器R31,以作为集中认证的一伺服器,该RADIUS伺服器R31以多层次网络连线架构,依序与至少一个以上的网络设备相连接,在图3所示的该实施例中,该RADIUS伺服器R31通过线路L30,与第一网络设备D31的一连接口相连线,该第一网络设备D31再通过线路L33,与第二网络设备D32的一连接口相连线,该第二网络设备D32再通过线路L35,与第三网络设备D33的一连接口相连线,以此类推,形成本发明所称的多层次网络设备架构。在该实施例中,该第一网络设备D31并通过线路L31及L32,分别与第一使用者端S31及第二使用者端S32上的一连接口相连线,该第二网络设备D32通过线路L34,与第三使用者端S33上的一连接口相连线,第三网络设备D33则通过线路L36、L37及L38,分别与第四使用者端S34、第五使用者端S35及第六使用者端S36上的一连接口相连线。
在该实施例中,藉设计一个可多层次回溯追踪(Back Trace)的协议封包,使各使用者端发现认证没被通过时,可通过发出该协议封包,要求各网络设备在该多层次网络设备架构中,回溯追踪并传回各节点的资料,以令各使用者端能迅速得知到底哪个节点端出了问题,故,要建立该回溯追踪的机制,必须先定义该协议封包的内容,使各网络设备均具备回溯追踪的能力,该协议封包依其类型,可分为要求封包(Request)及回应封包(Response)等二种,其中该要求封包由该多层次网络设备架构中的下层网络设备传送到上层网络设备端,而该回应封包则由上层网络设备传送至下层网络设备端,并把相关信息带回。
在该多层次网络设备架构中,以图3所示的该实施例为例,假设在该多层次网络设备架构中,第一层S31,D32及S32皆被认证通过,亦即L31,L33及L32皆是可通讯状态;第二层S33被认证通过,D33被认证失败,亦即L34是可通讯状态,L35是断讯状态;则第三层,S34,S35,S36皆无法被认证成功。各该网络设备在接收及传送该回溯追踪的要求封包时,依下列步骤进行处理方案一当该第四使用者端S34发出一回溯追踪的要求封包时,由于该第三网络设备D33对该第四使用者端S34认证并未通过,该第三网络设备D33将接收该回溯追踪的要求封包,并产生一回溯追踪的回应封包,将其送回该第四使用者端S34,并发出一回溯追踪的要求封包,传送至上一层的该第二网络设备D32,同理,由于该第二网络设备D32对该第三网络设备D33认证并未通过,故该第二网络设备D32亦产生一回溯追踪的回应封包,将其送回下一层的该第三网络设备D33,并发出一回溯追踪的要求封包,传送至上一层的该第一网络设备D31,此时,由于该第一网络设备D31对该第二网络设备D32进行认证后,已通过认证,因此,此一通过认证的基本信息,必需分别经由该第二网络设备D32及第三网络设备D33,传回至该第四使用者端S34。
在该实施例中,该回溯追踪的要求封包及回应封包的格式,可为下表所示的一种格式(格式1)
亦可为另一种格式(格式2)
各栏位说明如下栏位SA用以代表发出封包的来源位址(Source Address);栏位DA用以代表封包欲传送的目的位址(Destination Address);栏位Code用以代表要求封包或回应封包的码值,0代表要求封包,1代表回应封包;栏位Depth用以代表距离发出要求封包的来源深度,如当要求封包由第三网络设备D33发出时,其Depth=1,当要求封包由第二网络设备D32发出时,其Depth=2,当要求封包由第一网络设备D31发出时,其Depth=3;栏位State用以代表认证成功或失败的码值,0代表认证失败,1代表认证成功;栏位Length用以代表Description的长度;栏位Description用以说明该认证问题的基本描述;栏位Type用以代表认证问题的基本分类,各该基本分类可预先加以定义,亦可日后扩充,如类型0代表认证成功,类型1代表RADIUS伺服器认证不通过,类型2代表RADIUS伺服器无回应,类型3代表网络设备认证不通过,类型4代表网络设备无回应;至于,Char[]及Integer则分别用以代表各该栏位内资料的属性,分别为字串及整数。
据上所述,在该实施例中,当该第四使用者端S34发出要求与其它使用者端进行连线的封包后,若接获未认证通过的信息,则该第四使用者端S34可送出一回溯追踪的要求封包,要求回溯追踪认证的结果,则各该网络设备传回的该回溯追踪的回应封包,经该第四使用者端S34的分析处理后,将携带着下表中所包含的该等信息(格式2,详细封包内容请参考图4所示)
方案二当该第四使用者端S34发出一回溯追踪的要求封包时,由于该第三网络设备D33对该第四使用者端S34认证并未通过,该第三网络设备D33将接收该回溯追踪的要求封包,并产生一回溯追踪的回应封包,将其送回该第四使用者端S34,并发出一回溯追踪的要求封包,传送至上一层的该第二网络设备D32,同理,由于该第二网络设备D32对该第三网络设备D33认证并未通过,故该第二网络设备D32亦产生一回溯追踪的回应封包,将其直接送回源头的该第四使用者端S34,并发出一回溯追踪的要求封包,传送至上一层的该第一网络设备D31,此时,由于该第一网络设备D31对该第二网络设备D32进行认证后,已通过认证,因此,此一通过认证的基本信息,直接传回至该第四使用者端S34。
在该实施例中,该回溯追踪的要求封包及回应封包的格式,可为下表所示的一种格式(格式3)
亦可为另一种格式(格式4)
各栏位说明如下栏位SA用以代表发出封包的来源位址(Source Address);栏位DA用以代表封包欲传送的目的位址(Destination Address);栏位Code用以代表要求封包或回应封包的码值,0代表要求封包,1代表回应封包;栏位SSA若在要求封包的格式,此栏用以代表回溯追踪的源头位址(StartSource Address);若在回应封包的格式,此栏用以代表认证区段的起始位址(Segment Source Address);栏位SDA若在要求封包的格式,此栏用以代表回溯追踪的目前尽头位址(ScaleDestination Address);若在回应封包的格式,此栏用以代表认证区段的目的位址(Segment Destination Address);栏位Depth用以代表距离发出要求封包的来源深度,如当要求封包由第三网络设备D33发出时,其Depth=1,当要求封包由第二网络设备D32发出时,其Depth=2,当要求封包由第一网络设备D31发出时,其Depth=3;栏位State用以代表认证成功或失败的码值,0代表认证失败,1代表认证成功;栏位Length用以代表Description的长度;栏位Description用以说明该认证问题的基本描述;栏位Type用以代表认证问题的基本分类,各该基本分类可预先加以定义,亦可日后扩充,如类型0代表认证成功,类型1代表RADIUS伺服器认证不通过,类型2代表RADIUS伺服器无回应,类型3代表网络设备认证不通过,类型4代表网络设备无回应;至于,Char[]及Integer则分别用以代表各该栏位内资料的属性,分别为字串及整数。
据上所述,在该实施例中,当该第四使用者端S34发出要求与其它使用者端进行连线的封包后,若接获未认证通过的信息,则该第四使用者端S34可送出一回溯追踪的要求封包,要求回溯追踪认证的结果,则各该网络设备传回的该回溯追踪的回应封包,经该第四使用者端S34的分析处理后,将携带着下表中所包含的该等信息(格式4,详细封包内容请参考图5所示)
因此,对于一个提供802.1x认证机制的多层次网络设备架构,确可通过本发明的该等回溯追踪的要求封包及回应封包,协助使用者或管理者更清楚且快速地回溯追踪各网络设备所发生的错误,并加以更正,以有效减少在认证过程中耗费在侦错及除错上的时间,大幅增进网络认证、管理及维护上的便利性。
在本发明中,由于,在该等回溯追踪的要求封包及回应封包的内容中,仅需提供有关认证发生问题的错误信息,而无需提供额外的设备内容,故若黑客欲利用此回溯追踪(Back Trace)机制入侵网络,因黑客仅能由该等封包的内容,了解到认证出问题的设备及相关的错误信息,因此,黑客无法利用该回溯追踪机制,得知更多信息,亦无法据以对网络设备进行任何破坏行为。
以上所述,仅为本发明的一较佳具体实施例,但是,本发明在实际实施时,并不局限于此,凡任何熟悉该项技艺者,在本发明领域内,可轻易思及的变化或修饰,均应涵盖在本发明的权利要求范围之内。
权利要求
1.一种可回溯追踪多层次网络设备架构中认证状态的方法,该方法应用于一多层次网络设备架构中,其特征在于该多层次网络设备架构包括一RADIUS伺服器,该RADIUS伺服器作为集中认证的一伺服器,且以多层次连线方式,依序与至少一个以上的网络设备相连接,各该网络设备并分别与至少一个以上的一使用者端相连线,该多层次网络设备架构利用一个多层次回溯追踪的协议封包,令各使用者端在发现未被认证通过时,可藉由发出该协议封包,要求各网络设备依序回溯追踪该多层次网络设备架构中的各节点,并传回所有网络设备认证通过及未通过的信息,使各使用者端可通过分析该等信息,迅速找出各网络设备的认证状态及错误原因。
2.如权利要求1所述的方法,其特征在于其中该协议封包包含一要求封包,该要求封包由各使用者端发出,经由该多层次网络设备架构中,远离该RADIUS伺服器端的下层网络设备,传送到邻近该RADIUS伺服器端的上层网络设备。
3.如权利要求1所述的方法,其特征在于其中该协议封包包含一回应封包,该回应封包由该多层次网络设备架构中,邻近该RADIUS伺服器端的上层网络设备,将各该网络设备认证通过及未通过的信息,传送回远离该RADIUS伺服器端的下层网络设备及各该使用者端。
4.如权利要求1所述的方法,其特征在于其中该协议封包的格式包括一用以代表发出封包的来源位址的栏位;一用以代表封包欲传送的目的位址的栏位;一用以代表属要求封包或回应封包的码值栏位;以及一用以代表认证问题类型的栏位,各该问题类型可预先加以定义。
5.如权利要求1所述的方法,其特征在于其中该协议封包的格式包括一用以代表发出封包的来源位址的栏位;一用以代表封包欲传送的目的位址的栏位;一用以代表属要求封包或回应封包的码值栏位;一用以代表文字描述的长度栏位;以及一用以代表说明认证问题的文字描述栏位。
6.如权利要求4或5所述的方法,其特征在于其中该协议封包的格式尚包括一用以代表距离发出要求封包的来源位址的深度栏位。
7.如权利要求4或5所述的方法,其特征在于其中该协议封包的格式尚包括一用以代表封包到达的时间栏位。
全文摘要
本发明提供一种可回溯追踪多层次网络设备架构中认证状态的方法,该方法在多层次网络设备架构中,设计一个多层次回溯追踪的协议封包,使各使用者端发现未被认证通过时,可藉由发出该协议封包,要求各网络设备依序回溯追踪该多层次网络设备架构中的各节点,并令各网络设备传回的回应封包,带回所有网络设备认证通过及未通过的信息,使各使用者端可通过分析该回应封包所带回的信息,迅速找出各网络设备的认证状态、发生错误的节点、时间及原因,并加以修正,从而可有效减少在认证过程中侦错及除错所耗费的时间,大幅增进网络认证、管理及维护上的便利性,并且还可防止黑客利用该回溯追踪机制获得更多信息,对网络设备进行破坏。
文档编号H04L9/00GK1469582SQ02140698
公开日2004年1月21日 申请日期2002年7月15日 优先权日2002年7月15日
发明者朱佩华, 陈永昕 申请人:友讯科技股份有限公司