專(zhuān)利名稱(chēng):網(wǎng)絡(luò)裝置及其認(rèn)證協(xié)議方法
技術(shù)領(lǐng)域:
本發(fā)明是有關(guān)于一種應(yīng)用于數(shù)據(jù)傳輸層的具認(rèn)證協(xié)議能力的網(wǎng)絡(luò)裝置及其方法�, 且特別是有關(guān)于一種可通過(guò)認(rèn)證資訊以確認(rèn)數(shù)據(jù)傳輸權(quán)限的具認(rèn)證協(xié)議能力的網(wǎng)絡(luò)裝置及其方法�����。
背景技術(shù):
目前���,一般網(wǎng)絡(luò)通訊中傳輸數(shù)據(jù)所形成的封包稱(chēng)為PDU(ftOtocol data unit)����,每一層的實(shí)體在PDU上加上自己的數(shù)據(jù)��,以構(gòu)成終端系統(tǒng)的訊息格式。一般而言��,網(wǎng)絡(luò)架構(gòu)第二層(Layer 2�����,L2����,數(shù)據(jù)連接層)的網(wǎng)絡(luò)協(xié)議(Protocol)如 STP,LACP�����,GVRP�����,LLDP...等���,是維持網(wǎng)絡(luò)安定的重要協(xié)議��。與網(wǎng)絡(luò)第三層(Layer 3���,L3��,網(wǎng)絡(luò)層)的路由協(xié)議(Routing Protocol��,如RIP��,0SPF)有認(rèn)證的機(jī)制不同�,L2網(wǎng)絡(luò)協(xié)議是不具有認(rèn)證機(jī)制的���,因此任何人員皆可任意的增減一 L2網(wǎng)絡(luò)裝置于現(xiàn)有網(wǎng)絡(luò)上����,如網(wǎng)絡(luò)交換機(jī)(Net Switch)�����、橋接器(Bridge)���。然而,L2網(wǎng)絡(luò)裝置易增減于網(wǎng)絡(luò)上�,雖增加設(shè)備實(shí)線連接的便利性,但要是設(shè)定不當(dāng)���,欲易破壞原有的網(wǎng)絡(luò)架構(gòu)���,造成整個(gè)網(wǎng)絡(luò)的不穩(wěn)定�,導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓也是常見(jiàn)之事�。 再者,若是所增設(shè)備的L2網(wǎng)絡(luò)裝置被有心人士作為惡意攻擊網(wǎng)絡(luò)的工具�����,也會(huì)造成網(wǎng)絡(luò)的不穩(wěn)定��、癱瘓�����,也造成網(wǎng)絡(luò)管理者的困擾�����。因此�����,如何有效的控管所增設(shè)的網(wǎng)絡(luò)裝置�,降低惡意的網(wǎng)絡(luò)裝置對(duì)原使網(wǎng)絡(luò)架構(gòu)的危害,為廠商應(yīng)思慮的問(wèn)題所在����。
發(fā)明內(nèi)容
本發(fā)明提供一種應(yīng)用于兩層通訊協(xié)議層的具認(rèn)證協(xié)議能力的網(wǎng)絡(luò)裝置及其方法�����, 其主要是在進(jìn)行數(shù)據(jù)傳輸前�,先通過(guò)兩層通訊協(xié)議層傳送認(rèn)證通報(bào)封包以驗(yàn)證使用權(quán)限�����, 確保網(wǎng)絡(luò)系統(tǒng)的安全及網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性�����。本發(fā)明揭露一種網(wǎng)絡(luò)裝置��,適用于連接另一網(wǎng)絡(luò)裝置�����。此網(wǎng)絡(luò)裝置包括一儲(chǔ)存單元��、一封包收發(fā)單元及一驗(yàn)證模塊�����。儲(chǔ)存單元用以儲(chǔ)存一認(rèn)證型態(tài)資訊��、一驗(yàn)證碼資訊與一認(rèn)證協(xié)議資訊��。封包收發(fā)單元用以傳送一第一認(rèn)證通報(bào)封包至另一網(wǎng)絡(luò)裝置����,及接收由另一網(wǎng)絡(luò)裝置發(fā)出的一第二認(rèn)證通報(bào)封包。驗(yàn)證模塊電性連接儲(chǔ)存單元與封包收發(fā)單元��,用以在與另一網(wǎng)絡(luò)裝置連接時(shí)�����,讀取儲(chǔ)存單元的認(rèn)證型態(tài)資訊���、驗(yàn)證碼資訊及認(rèn)證協(xié)議資訊�,并分別寫(xiě)入第一認(rèn)證通報(bào)封包的認(rèn)證型態(tài)資訊欄位��、驗(yàn)證碼資訊欄位與認(rèn)證協(xié)議資訊欄位�����,以及于封包收發(fā)單元收到第二認(rèn)證通報(bào)封包時(shí)�����,通過(guò)比對(duì)第二認(rèn)證通報(bào)封包的認(rèn)證型態(tài)資訊欄位、驗(yàn)證碼資訊欄位�����、認(rèn)證協(xié)議資訊欄位內(nèi)的資訊與第一儲(chǔ)存單元的認(rèn)證型態(tài)資訊�、驗(yàn)證碼資訊及認(rèn)證協(xié)議資訊,以決定是否處理由另一網(wǎng)絡(luò)裝置發(fā)送的一特定協(xié)議封包����。本發(fā)明提出一種認(rèn)證的方法,適用于第二層的網(wǎng)絡(luò)裝置與另一網(wǎng)絡(luò)裝置的認(rèn)證��, 包括下列步驟依據(jù)一第一認(rèn)證型態(tài)資訊����、一第一驗(yàn)證碼資訊及一第一認(rèn)證協(xié)議資訊產(chǎn)生一第一認(rèn)證通報(bào)封包;寫(xiě)入一預(yù)設(shè)媒體存取位址至第一認(rèn)證通報(bào)封包的目的位址欄位��;發(fā)送第一認(rèn)證通報(bào)封包至另一網(wǎng)絡(luò)裝置����;于接收到一第二認(rèn)證通報(bào)封包時(shí),取得第二認(rèn)證型態(tài)資訊、第二驗(yàn)證碼資訊及第二認(rèn)證協(xié)議資訊����;依據(jù)第二認(rèn)證型態(tài)資訊���、第二驗(yàn)證碼資訊及第二認(rèn)證協(xié)議資訊���,分別與認(rèn)證型態(tài)資訊、驗(yàn)證碼資訊及認(rèn)證協(xié)議資訊進(jìn)行比對(duì)�;以及依據(jù)比對(duì)結(jié)果決定是否認(rèn)證成功。本發(fā)明的技術(shù)特點(diǎn)在于應(yīng)用于L2的網(wǎng)絡(luò)裝置相互連接后����,通過(guò)認(rèn)證發(fā)送封包的網(wǎng)絡(luò)裝置以確定所允許處理的特定網(wǎng)絡(luò)協(xié)議,防止新加入的L2網(wǎng)絡(luò)裝置藉由特定網(wǎng)絡(luò)協(xié)議施行惡意的攻擊行為��,同時(shí)避免其它人員因不當(dāng)設(shè)定網(wǎng)絡(luò)裝置而影響網(wǎng)絡(luò)的穩(wěn)定性或造成癱瘓���。
圖1繪示的本發(fā)明實(shí)施例的裝置架構(gòu)示意圖��;圖2繪示的本發(fā)明實(shí)施例的一網(wǎng)絡(luò)裝置連接架構(gòu)示意圖���;圖3A至圖3C繪示本發(fā)明實(shí)施例的兩層通用認(rèn)證協(xié)議所使用的封包架構(gòu)示意圖;圖4繪示本發(fā)明實(shí)施例的網(wǎng)絡(luò)裝置的認(rèn)證協(xié)議方法流程示意圖�����。附圖標(biāo)記說(shuō)明10-網(wǎng)絡(luò)裝置;11-驗(yàn)證模塊�;12-儲(chǔ)存單元;122-認(rèn)證型態(tài)資訊��;123-認(rèn)證協(xié)議資訊���; 124-驗(yàn)證碼資訊���;13-封包收發(fā)單元;14-使用者界面�;210-第一網(wǎng)絡(luò)裝置;211-第一驗(yàn)證模塊��;212-第一網(wǎng)絡(luò)單元�;213-第一儲(chǔ)存單元;214-第一使用者界面�;220-第二網(wǎng)絡(luò)裝置;221-第二驗(yàn)證模塊���;222-第二網(wǎng)絡(luò)單元����;223-第二儲(chǔ)存單元;224-第二使用者界面�����; Ml-第一認(rèn)證型態(tài)資訊J42-第二認(rèn)證型態(tài)資訊����;251-第一認(rèn)證協(xié)議資訊���;252-第二認(rèn)證協(xié)議資訊;261-第一驗(yàn)證碼資訊J62-第二驗(yàn)證碼資訊;400-第一認(rèn)證通報(bào)封包����;401-第一認(rèn)證通報(bào)封包的目的位址;402-第一認(rèn)證通報(bào)封包的來(lái)源地址�;403-第一認(rèn)證通報(bào)封包的型態(tài);404-第一認(rèn)證通報(bào)封包的次型態(tài)��;405-第一認(rèn)證通報(bào)封包的版本�;407-第一認(rèn)證通報(bào)封包的保留;410-第一認(rèn)證通報(bào)封包的補(bǔ)足����;500-第二認(rèn)證通報(bào)封包��;501-第二認(rèn)證通報(bào)封包的目的位址��;502-第二認(rèn)證通報(bào)封包的來(lái)源地址���;503-第二認(rèn)證通報(bào)封包的型態(tài);504-第二認(rèn)證通報(bào)封包的次型態(tài)�;505-第二認(rèn)證通報(bào)封包的版本;507-第二認(rèn)證通報(bào)封包的保留欄位���;510-第二認(rèn)證通報(bào)封包的補(bǔ)足�;SllO S130-步驟流程�����。
具體實(shí)施例方式為讓本發(fā)明的上述特征和優(yōu)點(diǎn)能更明顯易懂�����,下文特舉實(shí)施例����,并配合所附圖式�, 作詳細(xì)說(shuō)明如下��。請(qǐng)同時(shí)參閱圖1繪示的本發(fā)明實(shí)施例的裝置架構(gòu)示意圖及圖2繪示的本發(fā)明實(shí)施例的一網(wǎng)絡(luò)裝置連接架構(gòu)示意圖���。本發(fā)明實(shí)施例的網(wǎng)絡(luò)裝置10依據(jù)一第二層認(rèn)證協(xié)議與另一網(wǎng)絡(luò)裝置進(jìn)行認(rèn)證����, 而第二層認(rèn)證協(xié)議的相關(guān)內(nèi)容���,容后說(shuō)明。本發(fā)明實(shí)施例的網(wǎng)絡(luò)裝置10包括有一儲(chǔ)存單元12�����,一封包收發(fā)單元13���、一驗(yàn)證模塊11與一使用者界面14�。儲(chǔ)存單元12儲(chǔ)存有一認(rèn)證通報(bào)資訊(在此定義認(rèn)證通報(bào)資訊是用以提供產(chǎn)生認(rèn)證通報(bào)封包欄位內(nèi)的資訊)�,此資訊包括一認(rèn)證型態(tài)資訊122、一驗(yàn)證碼資訊124與一認(rèn)證協(xié)議資訊123��。其中�,認(rèn)證型態(tài)資訊122與認(rèn)證協(xié)議資訊123是對(duì)應(yīng)網(wǎng)絡(luò)裝置10的網(wǎng)絡(luò)裝置組態(tài)����。認(rèn)證型態(tài)資訊122乃代表網(wǎng)絡(luò)裝置10被設(shè)定為使用何種認(rèn)證方法�。驗(yàn)證碼資訊 125由一預(yù)設(shè)密碼依據(jù)認(rèn)證型態(tài)的演算方式計(jì)算出驗(yàn)證碼資訊。認(rèn)證協(xié)議資訊IM代表網(wǎng)絡(luò)裝置10所預(yù)設(shè)或被設(shè)定為需對(duì)何種通訊協(xié)議的封包進(jìn)行認(rèn)證�。使用者界面14可用以設(shè)定網(wǎng)絡(luò)裝置10的組態(tài),以提供使用者對(duì)網(wǎng)絡(luò)裝置進(jìn)行更新�����、修改或輸入上述的認(rèn)證型態(tài)資訊122�、認(rèn)證協(xié)議資訊123與預(yù)設(shè)密碼。驗(yàn)證模塊11電性連接至封包收發(fā)單元13與儲(chǔ)存單元12��,通過(guò)封包收發(fā)單元13進(jìn)行封包收發(fā)�����,并讀取儲(chǔ)存單元12內(nèi)儲(chǔ)存的資訊以協(xié)助認(rèn)證�����。驗(yàn)證模塊11于本發(fā)明實(shí)施例中為中央處理器及其用以施行驗(yàn)證作業(yè)的驗(yàn)證程式的結(jié)合�����。如圖2,為本發(fā)明實(shí)施例的網(wǎng)絡(luò)通訊系統(tǒng)�����,用以說(shuō)明本發(fā)明實(shí)施例的網(wǎng)絡(luò)裝置與另一網(wǎng)絡(luò)裝置之間如何進(jìn)行認(rèn)證��,在此以一第一網(wǎng)絡(luò)裝置210及一第二網(wǎng)絡(luò)裝置220進(jìn)行解說(shuō)�。另外,本實(shí)施例網(wǎng)絡(luò)裝置是符合以太網(wǎng)絡(luò)架構(gòu)的網(wǎng)絡(luò)裝置�����,如以太網(wǎng)絡(luò)交換器���。因此, 網(wǎng)絡(luò)裝置彼此之間傳輸?shù)姆獍袷揭卜弦蕴W(wǎng)絡(luò)封包架構(gòu)��。然而�����,網(wǎng)絡(luò)裝置不以上述以太網(wǎng)絡(luò)交換器為限��,其它可用于網(wǎng)絡(luò)架構(gòu)第二層的網(wǎng)絡(luò)裝置也適用����。第一網(wǎng)絡(luò)裝置210包括一第一驗(yàn)證模塊211����、一第一封包收發(fā)單元213與一第一儲(chǔ)存單元212���,第二網(wǎng)絡(luò)裝置220則包括第二驗(yàn)證模塊221���、第二封包收發(fā)單元223與第二儲(chǔ)存單元222。第一儲(chǔ)存單元212與第二儲(chǔ)存單元222皆儲(chǔ)存有一認(rèn)證通報(bào)資訊���,其個(gè)別包括有第一��、第二認(rèn)證型態(tài)資訊041�,242)�,第一、第二驗(yàn)證碼資訊061��,262)與第一��、第二認(rèn)證協(xié)議(251,252)資訊等�。第一網(wǎng)絡(luò)裝置210與第二網(wǎng)絡(luò)裝置220的封包發(fā)送及接收工作是通過(guò)第一封包收發(fā)單元213與第二封包收發(fā)單元223進(jìn)行。其中����,儲(chǔ)存于兩儲(chǔ)存單元012��,222)的第一�����、第二認(rèn)證型態(tài)資訊041�,242)與第一����、第二認(rèn)證協(xié)議資訊(251,25 是由使用者通過(guò)各網(wǎng)絡(luò)裝置的使用者介面自行設(shè)定,而第一��、第二驗(yàn)證碼資訊061, 是由網(wǎng)絡(luò)裝置依據(jù)該認(rèn)證型態(tài)資訊指定的認(rèn)證方法��,將預(yù)設(shè)密碼利用相應(yīng)的演算方法通過(guò)運(yùn)算工具����、軟體推算而得�。而且,第一�����、第二儲(chǔ)存單元 (212,222)所記錄的第一、第二認(rèn)證型態(tài)041�,242)、第一�、第二驗(yàn)證碼061,262)與第一����、 第二認(rèn)證協(xié)議(251,25 等資訊的數(shù)值應(yīng)相同。此外�����,第一網(wǎng)絡(luò)裝置210與第二網(wǎng)絡(luò)裝置 220個(gè)別具有一第一使用者界面214與一第二使用者界面224����,用以分別更新第一、第二網(wǎng)絡(luò)裝置210����、220的認(rèn)證通報(bào)資訊,以設(shè)定第一�����、第二網(wǎng)絡(luò)裝置210、220的網(wǎng)絡(luò)裝置組態(tài)����。當(dāng)?shù)诙W(wǎng)絡(luò)裝置與第一網(wǎng)絡(luò)裝置相連接時(shí),第一網(wǎng)絡(luò)裝置210的第一驗(yàn)證模塊 211首先讀取第一儲(chǔ)存單元212的認(rèn)證通報(bào)資訊(即第一認(rèn)證型態(tài)資訊Ml����、第一驗(yàn)證碼資訊與第一認(rèn)證協(xié)議資訊251),并依據(jù)認(rèn)證通報(bào)資訊建立一第一認(rèn)證通報(bào)封包400����。第一驗(yàn)證模塊211會(huì)將第一儲(chǔ)存單元212所儲(chǔ)存的第一認(rèn)證型態(tài)資訊Ml、第一驗(yàn)證碼資訊261與第一認(rèn)證協(xié)議資訊251等資訊�����,記錄于第一認(rèn)證通報(bào)封包400的認(rèn)證型態(tài)欄位�����、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位等欄位���。第一驗(yàn)證模塊211利用第一封包收發(fā)單元213將第一認(rèn)證通報(bào)封包400輸出。第一驗(yàn)證模塊211所產(chǎn)生的第一認(rèn)證通報(bào)封包400包括一目的位址欄位����,該目的位址欄位是填入一預(yù)設(shè)媒體存取位址���。其中預(yù)設(shè)媒體存取位址是由任意的廣播媒體存取位址或群播媒體存取位址中擇定,以使得任何網(wǎng)絡(luò)裝置�����,取得任一網(wǎng)絡(luò)封包時(shí)�����,對(duì)其包括的內(nèi)容資訊進(jìn)行解析�����。值得一提的是�����,由于網(wǎng)絡(luò)封包的目的位址是屬于廣播媒體存取位址或是群播媒體存取位址的數(shù)據(jù)類(lèi)型��,因此��,接收第一認(rèn)證通報(bào)封包400的第二網(wǎng)絡(luò)裝置220即會(huì)對(duì)第一認(rèn)證通報(bào)封包400進(jìn)行封包處理�����。第一認(rèn)證通報(bào)封包400通過(guò)第一網(wǎng)絡(luò)裝置的第一封包收發(fā)單元發(fā)出后,將由該第二網(wǎng)絡(luò)裝置的該第二封包收發(fā)單元223所接收�����,再由第二驗(yàn)證模塊221讀取第一認(rèn)證通報(bào)封包400的認(rèn)證型態(tài)欄位����、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位,以取得第一認(rèn)證型態(tài)資訊Ml��、第一驗(yàn)證碼資訊261與第一認(rèn)證協(xié)議資訊251等資訊��,并分別將該等資訊與第二儲(chǔ)存單元222 儲(chǔ)存的第二認(rèn)證型態(tài)資訊對(duì)2��、第二驗(yàn)證碼資訊沈2與第二認(rèn)證協(xié)議資訊252進(jìn)行比對(duì)���,以判定是否處理第一網(wǎng)絡(luò)裝置210后續(xù)傳輸來(lái)的特定協(xié)議封包�����。當(dāng)該等資訊皆吻合時(shí)���,則代表第一網(wǎng)絡(luò)裝置認(rèn)證成功�����,并決定處理后續(xù)傳輸來(lái)的特定協(xié)議封包;反之���,則第一網(wǎng)絡(luò)裝置認(rèn)證失敗�,并決定忽略后續(xù)傳輸來(lái)的特定協(xié)議封包�。相同地,第二網(wǎng)絡(luò)裝置于連接第一網(wǎng)絡(luò)裝置時(shí)或接收第一認(rèn)證通報(bào)封包時(shí)���,第二驗(yàn)證模塊221會(huì)讀取第二儲(chǔ)存單元222的認(rèn)證通報(bào)資訊(即第二認(rèn)證型態(tài)資訊M2�、第二驗(yàn)證碼資訊262與第二認(rèn)證協(xié)議資訊25 ��,并依據(jù)認(rèn)證通報(bào)資訊建立一個(gè)第二認(rèn)證通報(bào)封包 500�。第二驗(yàn)證模塊221會(huì)將第二儲(chǔ)存單元222所儲(chǔ)存的第二認(rèn)證型態(tài)資訊M2、第二驗(yàn)證碼資訊262與第二認(rèn)證協(xié)議資訊252等資訊��,分別寫(xiě)入第二認(rèn)證通報(bào)封包500的認(rèn)證型態(tài)欄位�、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位等欄位。第二驗(yàn)證模塊221利用第二封包收發(fā)單元223將第二認(rèn)證通報(bào)封包500發(fā)出�����。第二認(rèn)證通報(bào)封包500也包括一目的位址欄位,其中該目的位址欄位是被寫(xiě)入該預(yù)設(shè)媒體存取位址���。接收第二認(rèn)證通報(bào)封包500的第一網(wǎng)絡(luò)裝置210即會(huì)對(duì)第二認(rèn)證通報(bào)封包500進(jìn)行封包處理�。第二認(rèn)證通報(bào)封包500會(huì)由第一封包收發(fā)單元213所接收�����,并由第一驗(yàn)證模塊211 讀取第二認(rèn)證通報(bào)封包500的認(rèn)證型態(tài)欄位��、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位����,以取得第二認(rèn)證型態(tài)資訊對(duì)2、第二驗(yàn)證碼資訊262與第二認(rèn)證協(xié)議資訊252等資訊��,并分別將該等資訊與第一儲(chǔ)存單元212儲(chǔ)存的第一認(rèn)證型態(tài)資訊Ml�、第一驗(yàn)證碼資訊與第一認(rèn)證協(xié)議資訊251進(jìn)行比對(duì),以決定是否處理第二網(wǎng)絡(luò)裝置220后續(xù)傳輸來(lái)的特定協(xié)議封包����,決定的方式如前所述,于此不再贅述�����。由上可知,本發(fā)明實(shí)施例的第一網(wǎng)絡(luò)裝置210與第二網(wǎng)絡(luò)裝置220連接時(shí)���,需接收其他網(wǎng)絡(luò)裝置所傳輸而來(lái)的認(rèn)證通報(bào)封包�����,并且經(jīng)認(rèn)證成功后才允許處理特定協(xié)議的封包,此外�,網(wǎng)絡(luò)裝置也可發(fā)出認(rèn)證通報(bào)封包以傳送自身認(rèn)證的資訊,提供其他網(wǎng)絡(luò)裝置進(jìn)行認(rèn)證�����,而使得網(wǎng)絡(luò)裝置不被未經(jīng)允許的網(wǎng)絡(luò)裝置通過(guò)特別協(xié)議的封包被惡意攻擊或破壞�。接下來(lái)將介紹本發(fā)明實(shí)施例的第二層認(rèn)證協(xié)議所使用的認(rèn)證封包架構(gòu)的說(shuō)明。請(qǐng)同時(shí)參閱圖3A至圖3C����,是繪示本發(fā)明實(shí)施例的二層通用認(rèn)證協(xié)議(Layer 2 Generic Authentication Protocol/L2GAP)所使用的封包(L2GAP packet)架構(gòu),在此假設(shè)圖3C為認(rèn)證通報(bào)封包格式的一例�����,其符合以太網(wǎng)絡(luò)封包架構(gòu)��,圖3A繪示符合圖3C封包格式的第一認(rèn)證通報(bào)封包,圖:3B繪示符合圖3C封包格式的第二認(rèn)證通報(bào)封包(1)����、目的位址(Destination Address,以6位元組為例)為定義一預(yù)設(shè)媒體存取控制位址,用以使接收的網(wǎng)絡(luò)裝置處理該二層通用認(rèn)證協(xié)議封包�。該目的位址需為一預(yù)先設(shè)定或由管理者設(shè)定,不會(huì)被網(wǎng)絡(luò)裝置自身或其它裝置所使用的非使用的廣播媒體存取位址(Broadcast MAC address)或群播媒體存取位址(Multicast MAC address)���。如圖3A�����,第一認(rèn)證通報(bào)封包的目的位址401被預(yù)設(shè)為一廣播媒體存取位址 「FF-FF-FF-FF-FF-FF」�。又如圖;3B所繪示的第二認(rèn)證通報(bào)封包的目的位址501被預(yù)設(shè)為一特定的群播媒體存取位址「01-80-C2-00-00-15」���。但廣播媒體存取位址與群播媒體存取位址并不以上述為限�����。O)�、來(lái)源地址(Source Address,以6位元組為例)為定義發(fā)送此二層通用認(rèn)證協(xié)議封包的裝置媒體存取控制位址(Device MAC address)��。如圖3A�,假設(shè)第一網(wǎng)絡(luò)裝置210的裝置位址為11-11-11-11-11-11���,第一認(rèn)證通報(bào)封包的來(lái)源位址402即為 11-11-11-11-11-11。如圖3B����,假設(shè)第二網(wǎng)絡(luò)裝置220的裝置位址為22-22-22-22-22-22, 第二認(rèn)證通報(bào)封包的來(lái)源位址502即為22-22-22-22-22-22���。(3)、型態(tài)(Type�����,以2位元組為例)定義封包有效負(fù)載O^yload)的數(shù)據(jù)型態(tài)�,在二層通用認(rèn)證協(xié)議所使用。如圖3A與圖;3B為例����,第一認(rèn)證通報(bào)封包的型態(tài)403與第二認(rèn)證通報(bào)封包的型態(tài)503,定義0x9901代表有效負(fù)載數(shù)據(jù)為二層通用認(rèn)證協(xié)議所使用�,但不以此為限。(4)�、次型態(tài)(Subtype,以1位元組為例)為定義此有效負(fù)載O^yload)的數(shù)據(jù)用途�。該數(shù)據(jù)用途包括通報(bào)(r印ort)���,用以提供認(rèn)證協(xié)議的相關(guān)資訊。于本實(shí)施例中���,第一認(rèn)證通報(bào)封包的次型態(tài)404與第二認(rèn)證通報(bào)封包的次型態(tài)504定義為0x01���,但不以此為限。(5)��、版本(Version�,以1位元組為例)為定義該二層通用認(rèn)證協(xié)議的版本。舉例���, 如定義0x01為第1版���,定義0x02為第2版...等以此類(lèi)推,本實(shí)施例中����,第一認(rèn)證通報(bào)封包的版本405與第二認(rèn)證通報(bào)封包的版本505以0x01為例,但不以此為限�。(6)、認(rèn)證型態(tài)(Authentication Type,以1位元組為例)資訊122為定義該二層通用認(rèn)證協(xié)議所使用的認(rèn)證型態(tài)。于本發(fā)明實(shí)施例中���,該認(rèn)證型態(tài)資訊122為使用訊息-摘要演算法5 (Message-Digest Algorithm 5���,簡(jiǎn)稱(chēng)MD5),并定義MD5的認(rèn)證型態(tài)為0x01�����。(7)�����、保留欄位(Reserved�����,以1位元組為例)保留給未來(lái)使用的欄位����。于本實(shí)施例���,定義第一認(rèn)證通報(bào)封包的保留407與第二認(rèn)證通報(bào)封包的保留507的值為0����。(8)、認(rèn)證協(xié)議(Authenticated Protocol,以4位元組為例)資訊124定義何種第二層通訊協(xié)議需要被認(rèn)證����。該認(rèn)證協(xié)議資訊欄位內(nèi)的每一位元(bit)代表一種第二層通訊協(xié)議,每一位元的值代表對(duì)應(yīng)該第二層通訊協(xié)議需要認(rèn)證與否�。舉例來(lái)說(shuō),假設(shè)認(rèn)證協(xié)議欄位以32個(gè)位元進(jìn)行對(duì)應(yīng)(32Bit Mapping)�,且預(yù)設(shè)第1位元代表STP (Spanning Tree Protocol)、第 2 位元代表 LACP (Link Aggregation Control Protocol)���、第 3 位元代表 LLDP (Link Layer Discovery ftOtocol)���、以及其他位元分別代表不同的第二層通訊協(xié)議等。假設(shè)位元的值為0表示不需要認(rèn)證���;位元的值為1表示需要認(rèn)證�。反之�����,也得以位元的值為1表示不需要認(rèn)證��;位元的值為0表示需要認(rèn)證。舉例來(lái)說(shuō)�����,當(dāng)?shù)谝痪W(wǎng)絡(luò)裝置僅需要對(duì) STP協(xié)議做認(rèn)證時(shí)���,則只會(huì)設(shè)定第一認(rèn)證通報(bào)封包的認(rèn)證協(xié)議欄位內(nèi)的第1位元的值為1����, 即「000000000000000000000000000000012」(2 進(jìn)位)��,也為「0x00000001」��,如圖 3A 繪示��。 第二認(rèn)證模塊221即利用第二認(rèn)證協(xié)議資訊252分析第一認(rèn)證通報(bào)封包400的認(rèn)證協(xié)議欄位����,以判斷兩者數(shù)值是否皆為「0x00000001」�����。又�,當(dāng)?shù)诙W(wǎng)絡(luò)裝置220僅需要對(duì)LACP與LLDP協(xié)議做認(rèn)證時(shí),需設(shè)定第二認(rèn)證通報(bào)封包500的認(rèn)證協(xié)議欄位內(nèi)的第2、3位元的值為 1���,即「000000000000000000000000000001102」(2 進(jìn)位)����,也為「0x00000006」�����,如圖 3B 繪示��。 第一認(rèn)證模塊211即利用第一認(rèn)證協(xié)議資訊261分析第二認(rèn)證通報(bào)封包500的認(rèn)證協(xié)議欄位�����,以判斷兩者數(shù)值是否皆為「0x0006」���。此外�,認(rèn)證協(xié)議預(yù)設(shè)位元也得以對(duì)應(yīng)其它位元數(shù)����, 如16位元、48位元��、20位元、11位元等特定長(zhǎng)度或非特定長(zhǎng)度者�,也適用,并不以上述位元數(shù)為限����。(9)、驗(yàn)證碼(Digest���,以16位元組為例)資訊123為經(jīng)認(rèn)證型態(tài)欄位指定的認(rèn)證型態(tài)計(jì)算預(yù)設(shè)密碼后的結(jié)果值��。于本實(shí)施例中�,該預(yù)設(shè)密碼為預(yù)設(shè)的網(wǎng)絡(luò)金鑰值����,經(jīng)過(guò)MD5 運(yùn)算后得出16Bytes的結(jié)果值,該結(jié)果值即為該驗(yàn)證碼��。(10)��、補(bǔ)足(PAD��,以22位元組為例)����,用于補(bǔ)足以太網(wǎng)絡(luò)(Ethernet)上每一數(shù)據(jù)封包最少必須為64位元組的有效負(fù)載(Payload)的要求,于本實(shí)施例中�,第一認(rèn)證通報(bào)封包的補(bǔ)足410與第二認(rèn)證通報(bào)封包的補(bǔ)足510的數(shù)值可設(shè)為0x00或其它數(shù)值。(11)�����、訊框檢查順序(FCS����,以4位元組為例)為Frame Check kquence,主要用于各網(wǎng)絡(luò)裝置連接以太網(wǎng)絡(luò)時(shí)�����,進(jìn)行校對(duì)驗(yàn)證的校正碼�����,即循環(huán)冗余確認(rèn)碼(Cycle Redundancy Check)�。其中,圖3A與圖;3B繪示的第一認(rèn)證通報(bào)封包400����、第二認(rèn)證通報(bào)封包500的架構(gòu)、 資訊與數(shù)值并不以上述為限����,也適用于相同或相似近類(lèi)型的封包結(jié)構(gòu)����。其次���,上述圖3A與圖3B的數(shù)值僅為假定說(shuō)明���,第一網(wǎng)絡(luò)裝置210與第二網(wǎng)絡(luò)裝置220于相互認(rèn)證時(shí),兩者個(gè)別具有的認(rèn)證型態(tài)資訊����、認(rèn)證協(xié)議資訊與驗(yàn)證碼資訊的數(shù)值應(yīng)為相同。請(qǐng)參閱圖4繪示本發(fā)明實(shí)施例的網(wǎng)絡(luò)裝置的認(rèn)證協(xié)議方法流程示意圖�����,主要是應(yīng)用于任一個(gè)第二層級(jí)(Layerf)的網(wǎng)絡(luò)裝置與其它第二層級(jí)(Layerf)的網(wǎng)絡(luò)設(shè)備相連接時(shí)各網(wǎng)絡(luò)裝置的認(rèn)證步驟�����。在此以圖2繪示的第一網(wǎng)絡(luò)裝置210與第二網(wǎng)絡(luò)裝置220的連接為例�����,說(shuō)明第一網(wǎng)絡(luò)裝置認(rèn)證第二網(wǎng)絡(luò)裝置的認(rèn)證流程,各步驟說(shuō)明如下步驟S101���,依據(jù)一第一認(rèn)證型態(tài)資訊、一第一驗(yàn)證碼資訊及一第一認(rèn)證協(xié)議資訊產(chǎn)生一第一認(rèn)證通報(bào)封包(步驟S110)�。于本步驟中,該第一網(wǎng)絡(luò)裝置210的第一驗(yàn)證模塊 211會(huì)讀取第一儲(chǔ)存單元212的認(rèn)證通報(bào)資訊(即第一認(rèn)證型態(tài)資訊Ml����、第一驗(yàn)證碼資訊 261與第一認(rèn)證協(xié)議資訊251),并建立第一認(rèn)證通報(bào)封包400���。于本步驟中���,更包括依據(jù)第一認(rèn)證型態(tài)資訊Ml、第一驗(yàn)證碼資訊261與第一認(rèn)證協(xié)議資訊251分別寫(xiě)入第一認(rèn)證通報(bào)封包400的認(rèn)證型態(tài)欄位�、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位等欄位。步驟S120�����,寫(xiě)入一預(yù)設(shè)媒體存取位址至第一認(rèn)證通報(bào)封包的目的位址欄位(步驟 S120)���。于本步驟中����,該第一網(wǎng)絡(luò)裝置210的第一驗(yàn)證模塊211將預(yù)設(shè)媒體存取位址寫(xiě)入該認(rèn)證封包的目的位址欄位,以使接收的網(wǎng)絡(luò)裝置接收該認(rèn)證封包后進(jìn)行處理����。步驟S130,發(fā)送第一認(rèn)證通報(bào)封包至第二網(wǎng)絡(luò)裝置(步驟S130)�����。于本步驟中�,第一網(wǎng)絡(luò)裝置210通過(guò)第一封包收發(fā)單元213發(fā)送第一認(rèn)證通報(bào)封包400至第二網(wǎng)絡(luò)裝置 220。步驟S140�,于接收到一第二認(rèn)證通報(bào)封包時(shí),取得第二認(rèn)證通報(bào)封包的一第二認(rèn)證型態(tài)資訊��、一第二驗(yàn)證碼資訊及一第二認(rèn)證協(xié)議資訊(步驟S140)���。于本步驟中��,該第一網(wǎng)絡(luò)裝置210的該第一封包收發(fā)單元接收由該第二網(wǎng)絡(luò)裝置發(fā)送的第二認(rèn)證通報(bào)封包時(shí)��, 該第一驗(yàn)證模塊211
將讀取第二認(rèn)證通報(bào)封包500的認(rèn)證型態(tài)欄位�����、驗(yàn)證碼欄位與認(rèn)證協(xié)議欄位�����,取得第二認(rèn)證型態(tài)資訊對(duì)2����、第二驗(yàn)證碼資訊262與第二認(rèn)證協(xié)議資訊252等資訊���。步驟S150���,依據(jù)第二認(rèn)證型態(tài)資訊、第二驗(yàn)證碼資訊及該第二認(rèn)證協(xié)議資訊�����,分別與第一認(rèn)證型態(tài)資訊�����、第一驗(yàn)證碼資訊及第一認(rèn)證協(xié)議資訊進(jìn)行比對(duì)�。于本步驟中,第一網(wǎng)絡(luò)裝置210的第一驗(yàn)證模塊211依據(jù)第一儲(chǔ)存單元212儲(chǔ)存的第一認(rèn)證型態(tài)資訊Ml、第一驗(yàn)證碼資訊與第一認(rèn)證協(xié)議資訊251比對(duì)步驟S140所取得的第二認(rèn)證型態(tài)資訊M2�、 第二驗(yàn)證碼資訊沈2與第二認(rèn)證協(xié)議資訊252等資訊,以比較各資訊是否相符��。步驟S160����,依據(jù)比對(duì)結(jié)果決定是否認(rèn)證成功(步驟S160)。于本步驟中���,依據(jù)步驟 S150比較的各資訊是否相符的結(jié)果����,決定發(fā)送該第二認(rèn)證通報(bào)封包的網(wǎng)絡(luò)裝置是否驗(yàn)證成功����,以確定是否處理后續(xù)由該網(wǎng)絡(luò)裝置發(fā)送的特定協(xié)議封包,若驗(yàn)證失敗則執(zhí)行步驟S161 拒絕處理另一網(wǎng)絡(luò)裝置傳送的特定封包�;若驗(yàn)證成功則執(zhí)行步驟S162處理另一網(wǎng)絡(luò)裝置傳送的特定封包。其中����,本步驟更包括依據(jù)比對(duì)結(jié)果為資訊皆相符時(shí),判定認(rèn)證成功�;以及依據(jù)比對(duì)結(jié)果為任一資訊不相符時(shí)�,判定認(rèn)證失敗�����。由上可知���,本發(fā)明實(shí)施例的認(rèn)證成功的要件是認(rèn)證型態(tài)(Authentication Type)��、 驗(yàn)證碼(Digest)及認(rèn)證協(xié)議(Authenticated Protocol)三個(gè)欄位必須吻合(Match)���,當(dāng)認(rèn)證成功后有三者任一改變?cè)O(shè)定時(shí)��,原有的認(rèn)證則作廢��,須重新認(rèn)證����。于本發(fā)明實(shí)施例中,在認(rèn)證成功前����,若未收到對(duì)方的認(rèn)證通報(bào)封包,可每一間隔時(shí)間(如一分鐘)送出本身的認(rèn)證通報(bào)封包��。另外,開(kāi)始發(fā)送認(rèn)證通報(bào)封包的時(shí)間點(diǎn)��,可在偵測(cè)到新網(wǎng)絡(luò)裝置被連接時(shí)啟動(dòng)�,或是于接收到對(duì)方認(rèn)證通報(bào)封包時(shí),對(duì)應(yīng)送出自身的認(rèn)證通報(bào)封包��。此外����,本發(fā)明中,第一網(wǎng)絡(luò)裝置與第二網(wǎng)絡(luò)裝置并不限定何者為接收端或接收端�, 只要第一網(wǎng)絡(luò)裝置與第二網(wǎng)絡(luò)裝置間有確認(rèn)過(guò)接收端或接收端間的認(rèn)證通報(bào)封包具有使用權(quán)限即可互相傳送接收數(shù)據(jù)承上所述,本發(fā)明提出一應(yīng)用二層通用認(rèn)證協(xié)議的認(rèn)證機(jī)制����,藉由本發(fā)明所揭露的二層通用認(rèn)證協(xié)議的裝置及系統(tǒng)可以各埠(Per Port)或各系統(tǒng)(Per System)的方式各別設(shè)定,與其相連的網(wǎng)絡(luò)設(shè)備��,需要經(jīng)過(guò)認(rèn)證后�����,才可以正常收送與處理由相連的網(wǎng)絡(luò)設(shè)備發(fā)出的第二層協(xié)議封包�,因此可以避免未經(jīng)允許的網(wǎng)絡(luò)裝置利用特定的第二層協(xié)議封包對(duì)系統(tǒng)或網(wǎng)絡(luò)裝置進(jìn)行惡意攻擊或破壞。雖然本發(fā)明以前述實(shí)施例揭露如上���,然其并非用以限定本發(fā)明�����,任何熟習(xí)相像技藝者�,在不脫離本發(fā)明的精神和范圍內(nèi),所作更動(dòng)與潤(rùn)飾的等效替換�,仍為本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種網(wǎng)絡(luò)裝置�����,可用以與另一網(wǎng)絡(luò)裝置連接�,其特征在于,該網(wǎng)絡(luò)裝置包括 一儲(chǔ)存單元���,用以儲(chǔ)存一認(rèn)證型態(tài)資訊、一驗(yàn)證碼資訊及一認(rèn)證協(xié)議資訊��;一封包收發(fā)單元�����,用以傳送一第一認(rèn)證通報(bào)封包至該另一網(wǎng)絡(luò)裝置�����,及接收由該另一網(wǎng)絡(luò)裝置發(fā)出的一第二認(rèn)證通報(bào)封包;以及一驗(yàn)證模塊��,用以在與該另一網(wǎng)絡(luò)裝置連接時(shí)�����,讀取該儲(chǔ)存單元的該認(rèn)證型態(tài)資訊��、該驗(yàn)證碼資訊及該認(rèn)證協(xié)議資訊并分別寫(xiě)入該第一認(rèn)證通報(bào)封包的認(rèn)證型態(tài)資訊欄位�、驗(yàn)證碼資訊欄位與認(rèn)證協(xié)議資訊欄位,以及于該封包收發(fā)單元收到該第二認(rèn)證通報(bào)封包時(shí)����,通過(guò)比對(duì)該第二認(rèn)證通報(bào)封包的認(rèn)證型態(tài)資訊欄位、驗(yàn)證碼資訊欄位�����、認(rèn)證協(xié)議資訊欄位內(nèi)的資訊與該儲(chǔ)存單元的認(rèn)證型態(tài)資訊���、該驗(yàn)證碼資訊及該認(rèn)證協(xié)議資訊�����,以決定是否處理由該另一網(wǎng)絡(luò)裝置發(fā)送的一特定協(xié)議封包�。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)裝置,其特征在于�,更包括一使用者界面,用以輸入該網(wǎng)絡(luò)裝置的該認(rèn)證型態(tài)資訊和認(rèn)證協(xié)議資訊����。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)裝置,其特征在于����,該驗(yàn)證碼由一預(yù)設(shè)密碼經(jīng)該認(rèn)態(tài)型態(tài)資訊所指定的運(yùn)算方式計(jì)算而得。
4.如權(quán)利要求3所述的網(wǎng)絡(luò)裝置��,其特征在于���,該預(yù)設(shè)密碼為一網(wǎng)絡(luò)金鑰�����,而該認(rèn)證型態(tài)資訊為使用訊息-摘要演算法。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)裝置����,其特征在于�,該第一認(rèn)證通報(bào)封包與該第二認(rèn)證通報(bào)封包分別包括一目的位址欄位�,其中該目的位址欄位由廣播媒體存取位址或群播媒體存取位址中擇定一未使用的媒體存取位址。
6.如權(quán)利要求1所述的網(wǎng)絡(luò)裝置��,其特征在于�����,該特定協(xié)議封包符合STP協(xié)議�、LACP協(xié)議、GVRP協(xié)議或LLDP協(xié)議�。
7.—種認(rèn)證的方法,適用于第二層的網(wǎng)絡(luò)裝置與另一網(wǎng)絡(luò)裝置的認(rèn)證����,其特征在于,包括下列步驟依據(jù)一第一認(rèn)證型態(tài)資訊�����、一第一驗(yàn)證碼資訊及一第一認(rèn)證協(xié)議資訊產(chǎn)生一第一認(rèn)證通報(bào)封包���;寫(xiě)入一預(yù)設(shè)媒體存取位址至該第一認(rèn)證通報(bào)封包的目的位址欄位�����; 發(fā)送該第一認(rèn)證通報(bào)封包至該另一網(wǎng)絡(luò)裝置�����;于接收到一第二認(rèn)證通報(bào)封包時(shí)�����,取得該第二認(rèn)證通報(bào)封包的一第二認(rèn)證型態(tài)資訊��、 一第二驗(yàn)證碼資訊及一第二認(rèn)證協(xié)議資訊���;依據(jù)該第二認(rèn)證型態(tài)資訊��、第二驗(yàn)證碼資訊及該第二認(rèn)證協(xié)議資訊����,分別與該第一認(rèn)證型態(tài)資訊�����、該第一驗(yàn)證碼資訊及該第一認(rèn)證協(xié)議資訊進(jìn)行比對(duì)�����;以及依據(jù)該比對(duì)結(jié)果決定是否認(rèn)證成功����。
8.如權(quán)利要求7所述的認(rèn)證協(xié)議方法,其特征在于���,更包括下列步驟 通過(guò)一使用者介面輸入該第一認(rèn)證型態(tài)資訊�、該第二認(rèn)證協(xié)議資訊�。
9.如權(quán)利要求8所述的認(rèn)證協(xié)議方法,其特征在于�����,更包括下列步驟通過(guò)該認(rèn)態(tài)型態(tài)資訊所指定的運(yùn)算方式計(jì)算該預(yù)設(shè)密碼��,取得該驗(yàn)證碼資訊��。
10.如權(quán)利要求7所述的認(rèn)證協(xié)議方法�,其特征在于,更包括下列步驟 依據(jù)以太網(wǎng)絡(luò)封包架構(gòu)�����,產(chǎn)生該第一認(rèn)證通報(bào)封包。
全文摘要
本發(fā)明提供了一種網(wǎng)絡(luò)裝置及其認(rèn)證協(xié)議方法����,當(dāng)網(wǎng)絡(luò)裝置與另一網(wǎng)絡(luò)裝置連接時(shí),此兩網(wǎng)絡(luò)裝置會(huì)各自相互接收與發(fā)送一認(rèn)證通報(bào)封包��,并利用各自預(yù)儲(chǔ)的一認(rèn)證型態(tài)資訊����、一驗(yàn)證碼資訊與一認(rèn)證協(xié)議資訊比對(duì)所接收的認(rèn)證通報(bào)封包的內(nèi)容,以依據(jù)比對(duì)結(jié)果決定是否處理后續(xù)接收的特定協(xié)議封包��。
文檔編號(hào)H04L29/06GK102404282SQ20101027946
公開(kāi)日2012年4月4日 申請(qǐng)日期2010年9月13日 優(yōu)先權(quán)日2010年9月13日
發(fā)明者呂崑龍 申請(qǐng)人:智邦科技股份有限公司