專利名稱:可回溯追蹤多層次網絡設備架構中認證狀態的方法
技術領域:
本發明涉及網絡安全認證機制,特別是關于一種可回溯追蹤多層次網絡設備架構中認證狀態的方法。
故,目前網絡產品的發展,已有逐漸走向網絡安全與認證機制的趨勢,而在認證機制上,一般采用IEEE 802.1x標準,該標準為一極為普遍使用的標準,主要利用擴張式網絡認證協議EAPoL(Extensible Authentication ProtocolOver LAN,以下簡稱EAPoL),并與撥接使用者遠端認證服務RADIUS(RemoteAuthentication Dial-In User Service,以下簡稱RADIUS)相搭配,以在認證功能上達成非常有效率的管理模式。采用IEEE 802.1x標準,能夠讓使用者每次登入網絡都使用不同的加密金鑰,而該標準本身亦提供金鑰管理機制,且支持如Kerberos及RADIUS等的集中式認證、辨識及帳號管理架構。一般言,IEEE802.1x為針對IEEE 802.11安全性不足的問題,所產生的新標準,增強以連接口為基礎的網絡存取控制(Port-Based Network Access Control),而在IEEE802.11上,最為顯著的安全性不足問題,包括缺乏使用者身份認證機制及動態資料加密金鑰配送機制,故藉由IEEE 802.1x標準、RADIUS伺服器與使用者帳號資料庫間的合作,企業或互聯網供應商(Internet Service Provider)可對無線區域網絡的移動使用者的存取行為,進行有效的管理,并在該等使用者獲得授權進入以IEEE 802.1x標準管制的無線區域網絡前,可令其經由EAPoL,并通過無線擷取器或無線寬頻路由器,來提供帳號與密碼或數字憑證(DigitalCertificate)予后端的RADIUS伺服器,經該RADIUS伺服器認證通過后,才能合法進入無線區域網絡,此時,RADIUS伺服器也會記載使用者登入與登出的時間信息,作計費或網絡使用狀態監控的用途。
然而,在對使用者端進行認證的過程中,一般僅能知道該機器上層(Server)端是否與使用者端成功連線,萬一認證結果不符合規定,如密碼錯誤或使用者名稱錯誤......等,該連接口即被封住(Blocked),由于,在一具有多重層次的網絡架構下,認證的通路往往會經過好幾個網絡設備(Intermedia)與EAPoL驗證機制,此時,若使用者端只知道認證錯誤,并不知道哪邊出問題,就等于好像只知道認證沒通過,卻不知道哪邊設備令該使用者端無法順利完成認證,完全沒有追蹤的線索,造成使用者在查詢錯誤,或找出系統問題方面,發生極大的問題。
目前,對于采用IEEE 802.1x標準的區域網絡而言,使用者端(End Point)與伺服器端(Server)間利用EAPoL機制作為驗證基礎,若認證通過,則該網絡設備(Device)就會允許連接口通訊(Unblocked),令封包資料通過,進行網絡通訊,若認證不通過,則將該連接口封住(Blocked),令該使用者端(EndPoint)無法使用網絡。在此種傳統的認證機制中,由于IEEE 802.1x標準并不支持多層次查詢回溯(Back Trace)機制,故僅能知道認證結果,而無法清楚得知到底哪個節點的認證發生問題,此一情形在現今網絡產品日趨復雜的情況下,尤其是在多層次網絡設備的架構下,確實對網絡管理者與使用者在查詢錯誤節點方面造成很大困擾,若要有效解決,勢必須花費不少時間,來加以解決。
請參閱
圖1所示,以一多層次網絡設備架構為例,說明使用區域認證(localauthentication)的情形如下當使用者端S14、S15及S16皆通過網絡伺服器端D13上EAPoL的認證,使用者端S13及網絡伺服器端D13則通過網絡伺服器端D12上EAPoL的認證,但使用者端S12并未通過網絡伺服器端D12上EAPoL的認證,且網絡伺服器端D12亦未通過網絡伺服器端D11上EAPoL的認證,此時,各該連接口間的線路L14、L15、L16、L17及L18呈可通訊的狀態,線路L12及L13則呈斷訊狀態,因此,使用者端S14雖可分別連線至使用者端S15、S16及S13,卻無法連線至使用者端S12及S11,且使用者端S14在獲得認證通過的信息后,并無法得知到底是哪部機器設定有誤(如S12),或是哪一網域無法存取(如S11)。
請再參閱圖2所示,以另一多層次網絡設備架構為例,說明使用集中認證的情形如下在該另一多層次網絡設備架構中,主要藉增設一RADIUS伺服器R21作為集中認證的伺服器,其中使用者端S21通過伺服器端D21被RADIUS伺服器R21認證成功,使用者端S22及網絡伺服器端D22則認證失敗,此時,由于各該連接口間的線路L20及L21呈可通訊的狀態,線路L22及L23則呈斷訊狀態,而使用者端S23、S24、S25、S26及網絡伺服器端D23欲進行認證前,皆必需先連接至RADIUS伺服器R21,故在線路L23呈斷訊的情況下,使用者端S23、S24、S25、S26及網絡伺服器端D23均無法認證成功,因此,使用者端S24僅獲得認證沒通過的信息,卻無法得知究竟是哪部機器,令其無法通過認證。
因此,如何能針對該等情況,在不影響網絡安全認證機制的情形下,提出一有效率的回溯追蹤(Back Trace)機制,令使用者或管理端可輕易且明確地了解哪個節點端認證出了問題,即成為網絡設備及系統業者亟待解決的一個重要課題。
本發明的一目的,在于各使用者端可通過分析該回應封包所帶回的信息,針對一個提供802.1x認證機制的多層次網絡設備架構,清楚且快速地回溯追蹤該多層次網絡設備架構所發生的錯誤,并加以更正,以有效減少在認證過程中偵錯及除錯上所耗費的時間,大幅增進網絡認證、管理及維護上的便利性。
本發明的另一目的,是該協議封包的內容內,僅需提供有關發生認證問題的錯誤信息,而無需提供額外的網絡設備內容,故黑客并無法利用該回溯追蹤機制獲得更多信息,以對網絡設備進行任何破壞行為。
本發明采用的技術方案如下一種可回溯追蹤多層次網絡設備架構中認證狀態的方法,該方法應用于一多層次網絡設備架構中,該多層次網絡設備架構包括一RADIUS伺服器,該RADIUS伺服器作為集中認證的一伺服器,且以多層次連線方式,依序與至少一個以上的網絡設備相連接,各該網絡設備并分別與至少一個以上的一使用者端相連線,該多層次網絡設備架構利用一個多層次回溯追蹤的協議封包,令各使用者端在發現未被認證通過時,可藉由發出該協議封包,要求各網絡設備依序回溯追蹤該多層次網絡設備架構中的各節點,并傳回所有網絡設備認證通過及未通過的信息,使各使用者端可通過分析該等信息,迅速找出各網絡設備的認證狀態及錯誤原因。
其中該協議封包包含一要求封包,該要求封包由各使用者端發出,經由該多層次網絡設備架構中,遠離該RADIUS伺服器端的下層網絡設備,傳送到鄰近該RADIUS伺服器端的上層網絡設備。
其中該協議封包包含一回應封包,該回應封包由該多層次網絡設備架構中,鄰近該RADIUS伺服器端的上層網絡設備,將各該網絡設備認證通過及未通過的信息,傳送回遠離該RADIUS伺服器端的下層網絡設備及各該使用者端。
前述方法的該協議封包的格式包括一用以代表發出封包的來源位址的欄位;一用以代表封包欲傳送的目的位址的欄位;一用以代表屬要求封包或回應封包的碼值欄位;及一用以代表認證問題類型的欄位,各該問題類型可預先加以定義。
上述協議封包的格式還包括一用以代表距離發出要求封包的來源位址的深度欄位。
上述協議封包的格式還包括一用以代表封包到達的時間欄位。
前述方法的該協議封包的格式包括一用以代表發出封包的來源位址的欄位;一用以代表封包欲傳送的目的位址的欄位;一用以代表屬要求封包或回應封包的碼值欄位;一用以代表文字描述的長度欄位;及一用以代表說明認證問題的文字描述欄位。
上述協議封包的格式還包括
一用以代表距離發出要求封包的來源位址的深度欄位。
上述協議封包的格式還包括一用以代表封包到達的時間欄位。
本發明可以清楚快速地回溯追蹤多層次網絡設備中的認證狀態、發生錯誤的節點、時間及原因,并加以更正,從而可有效減少在認證過程中偵錯及除錯上所耗費的時間,大幅增進網絡認證、管理及維護上的便利性。并且,本發明的該協議封包僅提供有關發生認證問題的錯誤信息,不提供額外的網絡設備內容,故可防止黑客利用該回溯追蹤機制獲得更多信息,對網絡設備進行破壞。
第一網絡設備 D31 第二網絡設備 D32第三網絡設備 D33 RADIUS伺服器 R31第一使用者端 S31 第二使用者端 S32第三使用者端 S33 第四使用者端 S34第五使用者端 S35 第六使用者端 S36線路 L30、L31、L32、L33、L34、L35、L36、L37、L38
本發明為了在多層次網絡設備架構中,令使用者端能迅速得知到底哪個節點端出了問題,設計了一個多層次回溯追蹤(Back Trace)的協議封包,使各使用者端發現沒被認證通過時,可藉由發出該協議封包,要求各網絡設備依序回溯追蹤該多層次網絡設備架構中的各節點,并令各網絡設備傳回的回應封包,帶回所有網絡設備認證通過及未通過的信息,如網絡設備名稱、識別碼(DeviceID)或位址(Mac Address)、時間及未通過認證的錯誤原因,如此,各使用者端即可通過分析該回應封包所帶回的信息,找出發生錯誤的節點,并加以修正。
在本發明的一較佳實施例中,主要針對一多層次網絡設備架構,參閱圖3所示,利用集中認證,對各網絡設備進行管理,在該實施例的多層次網絡設備中,設有一RADIUS伺服器R31,以作為集中認證的一伺服器,該RADIUS伺服器R31以多層次網絡連線架構,依序與至少一個以上的網絡設備相連接,在圖3所示的該實施例中,該RADIUS伺服器R31通過線路L30,與第一網絡設備D31的一連接口相連線,該第一網絡設備D31再通過線路L33,與第二網絡設備D32的一連接口相連線,該第二網絡設備D32再通過線路L35,與第三網絡設備D33的一連接口相連線,以此類推,形成本發明所稱的多層次網絡設備架構。在該實施例中,該第一網絡設備D31并通過線路L31及L32,分別與第一使用者端S31及第二使用者端S32上的一連接口相連線,該第二網絡設備D32通過線路L34,與第三使用者端S33上的一連接口相連線,第三網絡設備D33則通過線路L36、L37及L38,分別與第四使用者端S34、第五使用者端S35及第六使用者端S36上的一連接口相連線。
在該實施例中,藉設計一個可多層次回溯追蹤(Back Trace)的協議封包,使各使用者端發現認證沒被通過時,可通過發出該協議封包,要求各網絡設備在該多層次網絡設備架構中,回溯追蹤并傳回各節點的資料,以令各使用者端能迅速得知到底哪個節點端出了問題,故,要建立該回溯追蹤的機制,必須先定義該協議封包的內容,使各網絡設備均具備回溯追蹤的能力,該協議封包依其類型,可分為要求封包(Request)及回應封包(Response)等二種,其中該要求封包由該多層次網絡設備架構中的下層網絡設備傳送到上層網絡設備端,而該回應封包則由上層網絡設備傳送至下層網絡設備端,并把相關信息帶回。
在該多層次網絡設備架構中,以圖3所示的該實施例為例,假設在該多層次網絡設備架構中,第一層S31,D32及S32皆被認證通過,亦即L31,L33及L32皆是可通訊狀態;第二層S33被認證通過,D33被認證失敗,亦即L34是可通訊狀態,L35是斷訊狀態;則第三層,S34,S35,S36皆無法被認證成功。各該網絡設備在接收及傳送該回溯追蹤的要求封包時,依下列步驟進行處理方案一當該第四使用者端S34發出一回溯追蹤的要求封包時,由于該第三網絡設備D33對該第四使用者端S34認證并未通過,該第三網絡設備D33將接收該回溯追蹤的要求封包,并產生一回溯追蹤的回應封包,將其送回該第四使用者端S34,并發出一回溯追蹤的要求封包,傳送至上一層的該第二網絡設備D32,同理,由于該第二網絡設備D32對該第三網絡設備D33認證并未通過,故該第二網絡設備D32亦產生一回溯追蹤的回應封包,將其送回下一層的該第三網絡設備D33,并發出一回溯追蹤的要求封包,傳送至上一層的該第一網絡設備D31,此時,由于該第一網絡設備D31對該第二網絡設備D32進行認證后,已通過認證,因此,此一通過認證的基本信息,必需分別經由該第二網絡設備D32及第三網絡設備D33,傳回至該第四使用者端S34。
在該實施例中,該回溯追蹤的要求封包及回應封包的格式,可為下表所示的一種格式(格式1)
亦可為另一種格式(格式2)
各欄位說明如下欄位SA用以代表發出封包的來源位址(Source Address);欄位DA用以代表封包欲傳送的目的位址(Destination Address);欄位Code用以代表要求封包或回應封包的碼值,0代表要求封包,1代表回應封包;欄位Depth用以代表距離發出要求封包的來源深度,如當要求封包由第三網絡設備D33發出時,其Depth=1,當要求封包由第二網絡設備D32發出時,其Depth=2,當要求封包由第一網絡設備D31發出時,其Depth=3;欄位State用以代表認證成功或失敗的碼值,0代表認證失敗,1代表認證成功;欄位Length用以代表Description的長度;欄位Description用以說明該認證問題的基本描述;欄位Type用以代表認證問題的基本分類,各該基本分類可預先加以定義,亦可日后擴充,如類型0代表認證成功,類型1代表RADIUS伺服器認證不通過,類型2代表RADIUS伺服器無回應,類型3代表網絡設備認證不通過,類型4代表網絡設備無回應;至于,Char[]及Integer則分別用以代表各該欄位內資料的屬性,分別為字串及整數。
據上所述,在該實施例中,當該第四使用者端S34發出要求與其它使用者端進行連線的封包后,若接獲未認證通過的信息,則該第四使用者端S34可送出一回溯追蹤的要求封包,要求回溯追蹤認證的結果,則各該網絡設備傳回的該回溯追蹤的回應封包,經該第四使用者端S34的分析處理后,將攜帶著下表中所包含的該等信息(格式2,詳細封包內容請參考圖4所示)
方案二當該第四使用者端S34發出一回溯追蹤的要求封包時,由于該第三網絡設備D33對該第四使用者端S34認證并未通過,該第三網絡設備D33將接收該回溯追蹤的要求封包,并產生一回溯追蹤的回應封包,將其送回該第四使用者端S34,并發出一回溯追蹤的要求封包,傳送至上一層的該第二網絡設備D32,同理,由于該第二網絡設備D32對該第三網絡設備D33認證并未通過,故該第二網絡設備D32亦產生一回溯追蹤的回應封包,將其直接送回源頭的該第四使用者端S34,并發出一回溯追蹤的要求封包,傳送至上一層的該第一網絡設備D31,此時,由于該第一網絡設備D31對該第二網絡設備D32進行認證后,已通過認證,因此,此一通過認證的基本信息,直接傳回至該第四使用者端S34。
在該實施例中,該回溯追蹤的要求封包及回應封包的格式,可為下表所示的一種格式(格式3)
亦可為另一種格式(格式4)
各欄位說明如下欄位SA用以代表發出封包的來源位址(Source Address);欄位DA用以代表封包欲傳送的目的位址(Destination Address);欄位Code用以代表要求封包或回應封包的碼值,0代表要求封包,1代表回應封包;欄位SSA若在要求封包的格式,此欄用以代表回溯追蹤的源頭位址(StartSource Address);若在回應封包的格式,此欄用以代表認證區段的起始位址(Segment Source Address);欄位SDA若在要求封包的格式,此欄用以代表回溯追蹤的目前盡頭位址(ScaleDestination Address);若在回應封包的格式,此欄用以代表認證區段的目的位址(Segment Destination Address);欄位Depth用以代表距離發出要求封包的來源深度,如當要求封包由第三網絡設備D33發出時,其Depth=1,當要求封包由第二網絡設備D32發出時,其Depth=2,當要求封包由第一網絡設備D31發出時,其Depth=3;欄位State用以代表認證成功或失敗的碼值,0代表認證失敗,1代表認證成功;欄位Length用以代表Description的長度;欄位Description用以說明該認證問題的基本描述;欄位Type用以代表認證問題的基本分類,各該基本分類可預先加以定義,亦可日后擴充,如類型0代表認證成功,類型1代表RADIUS伺服器認證不通過,類型2代表RADIUS伺服器無回應,類型3代表網絡設備認證不通過,類型4代表網絡設備無回應;至于,Char[]及Integer則分別用以代表各該欄位內資料的屬性,分別為字串及整數。
據上所述,在該實施例中,當該第四使用者端S34發出要求與其它使用者端進行連線的封包后,若接獲未認證通過的信息,則該第四使用者端S34可送出一回溯追蹤的要求封包,要求回溯追蹤認證的結果,則各該網絡設備傳回的該回溯追蹤的回應封包,經該第四使用者端S34的分析處理后,將攜帶著下表中所包含的該等信息(格式4,詳細封包內容請參考圖5所示)
因此,對于一個提供802.1x認證機制的多層次網絡設備架構,確可通過本發明的該等回溯追蹤的要求封包及回應封包,協助使用者或管理者更清楚且快速地回溯追蹤各網絡設備所發生的錯誤,并加以更正,以有效減少在認證過程中耗費在偵錯及除錯上的時間,大幅增進網絡認證、管理及維護上的便利性。
在本發明中,由于,在該等回溯追蹤的要求封包及回應封包的內容中,僅需提供有關認證發生問題的錯誤信息,而無需提供額外的設備內容,故若黑客欲利用此回溯追蹤(Back Trace)機制入侵網絡,因黑客僅能由該等封包的內容,了解到認證出問題的設備及相關的錯誤信息,因此,黑客無法利用該回溯追蹤機制,得知更多信息,亦無法據以對網絡設備進行任何破壞行為。
以上所述,僅為本發明的一較佳具體實施例,但是,本發明在實際實施時,并不局限于此,凡任何熟悉該項技藝者,在本發明領域內,可輕易思及的變化或修飾,均應涵蓋在本發明的權利要求范圍之內。
權利要求
1.一種可回溯追蹤多層次網絡設備架構中認證狀態的方法,該方法應用于一多層次網絡設備架構中,其特征在于該多層次網絡設備架構包括一RADIUS伺服器,該RADIUS伺服器作為集中認證的一伺服器,且以多層次連線方式,依序與至少一個以上的網絡設備相連接,各該網絡設備并分別與至少一個以上的一使用者端相連線,該多層次網絡設備架構利用一個多層次回溯追蹤的協議封包,令各使用者端在發現未被認證通過時,可藉由發出該協議封包,要求各網絡設備依序回溯追蹤該多層次網絡設備架構中的各節點,并傳回所有網絡設備認證通過及未通過的信息,使各使用者端可通過分析該等信息,迅速找出各網絡設備的認證狀態及錯誤原因。
2.如權利要求1所述的方法,其特征在于其中該協議封包包含一要求封包,該要求封包由各使用者端發出,經由該多層次網絡設備架構中,遠離該RADIUS伺服器端的下層網絡設備,傳送到鄰近該RADIUS伺服器端的上層網絡設備。
3.如權利要求1所述的方法,其特征在于其中該協議封包包含一回應封包,該回應封包由該多層次網絡設備架構中,鄰近該RADIUS伺服器端的上層網絡設備,將各該網絡設備認證通過及未通過的信息,傳送回遠離該RADIUS伺服器端的下層網絡設備及各該使用者端。
4.如權利要求1所述的方法,其特征在于其中該協議封包的格式包括一用以代表發出封包的來源位址的欄位;一用以代表封包欲傳送的目的位址的欄位;一用以代表屬要求封包或回應封包的碼值欄位;以及一用以代表認證問題類型的欄位,各該問題類型可預先加以定義。
5.如權利要求1所述的方法,其特征在于其中該協議封包的格式包括一用以代表發出封包的來源位址的欄位;一用以代表封包欲傳送的目的位址的欄位;一用以代表屬要求封包或回應封包的碼值欄位;一用以代表文字描述的長度欄位;以及一用以代表說明認證問題的文字描述欄位。
6.如權利要求4或5所述的方法,其特征在于其中該協議封包的格式尚包括一用以代表距離發出要求封包的來源位址的深度欄位。
7.如權利要求4或5所述的方法,其特征在于其中該協議封包的格式尚包括一用以代表封包到達的時間欄位。
全文摘要
本發明提供一種可回溯追蹤多層次網絡設備架構中認證狀態的方法,該方法在多層次網絡設備架構中,設計一個多層次回溯追蹤的協議封包,使各使用者端發現未被認證通過時,可藉由發出該協議封包,要求各網絡設備依序回溯追蹤該多層次網絡設備架構中的各節點,并令各網絡設備傳回的回應封包,帶回所有網絡設備認證通過及未通過的信息,使各使用者端可通過分析該回應封包所帶回的信息,迅速找出各網絡設備的認證狀態、發生錯誤的節點、時間及原因,并加以修正,從而可有效減少在認證過程中偵錯及除錯所耗費的時間,大幅增進網絡認證、管理及維護上的便利性,并且還可防止黑客利用該回溯追蹤機制獲得更多信息,對網絡設備進行破壞。
文檔編號H04L9/00GK1469582SQ02140698
公開日2004年1月21日 申請日期2002年7月15日 優先權日2002年7月15日
發明者朱佩華, 陳永昕 申請人:友訊科技股份有限公司