TWI573038B - Method of Security Control for IPv6 Terminal Devices in Enterprise Network - Google Patents

Description

企業網路中IPv6終端裝置安全管控的方法

本發明係關於一種企業網路中IPv6終端裝置安全管控的方法，特別是關於提昇企業網路環境中IPv6終端裝置安全配置與管理彈性，並強化企業網路內部IPv6終端裝置連線安全管控的方法。

目前，隨著網際網路(Internet)的迅速發展，連接公眾Internet的用戶終端設備數量不斷激增，使得現階段數量有限的網際網路通訊協定第4版(IPv4)位址愈顯得捉襟見肘，嚴重影響了網路未來的發展。IPv4枯竭導致網際網路通訊協定第6版(Internet Protocol version 6，以下簡稱IPv6)的興起，愈來愈多設備(如Windows、Mac OS X、Linux and Solaris等，都是預設IPv6開啟)及網路營運商都已支援IPv6，物聯網應用的興起更加速帶動網路IPv6流量及使用者的發展。如何解決IPv6終端裝置快速成長所帶來的安全性隱憂是企業網路面臨的一大挑戰，而對於擁有幾百台甚至上千台終端用戶的大型網路或是企業用戶來說，如何有效的分配網路的IP資源，建構安全的網路環境並有效管控用戶終端裝置的連網行為，是企業網路發展的首要目標。

針對企業網路的終端裝置來說，防毒軟體是最常使用的技術，防毒軟體所背負的任務，是隨時監控網路中個人終端裝置的狀態，並掃描是否含有病毒等惡意程式存在。然而，防毒軟體的廠牌眾多，不同防毒軟體對IPv6 的支援程度不一，不同類型的終端裝置也無法共用相同的防毒軟體，無法滿足各種物聯網連接IPv6網路的安全控管需求。

此外，防毒軟體需安裝並常駐於終端裝置上，除了軟體本身佔用系統主機資源降低整體效能外，複雜的軟體防護功能也容易產生誤判，讓使用者終端裝置原本可正常的執行的動作受到限制，影響使用權益。

除了防毒軟體外，其次主流的技術就是防火牆，防火牆的功能是檢查每一筆欲通過的資訊以及封包，是否符合事先設定的安全標準，如是則放行通過，反之則阻擋在外。

然而，企業網路中防火牆多採實體設備佈署，硬體設備成本較高。此外，防火牆透過統一的安全政策設定來管控網路中的終端裝置產生的訊務，無法針對不同類型的IPv6終端裝置訊務進行單獨控管與客製化的設定，對於多元化的IPv6物聯網裝置，無法提供彈性的安全配置與管理機制，滿足企業網路異質IPv6網路終端安全管控的需求。

有鑑於上述習知技藝之問題，本發明之目的就是在提供一種企業網路中IPv6終端裝置連網權限的識別技術，係為針對連結企業網路中具備IPv6功能的連網終端裝置，結合使用者身分認證與裝置作業系統資訊產生識別功能鏈的一種技術，可用來鏈結使用者權限與裝置設定的相關應用。

本發明之另一目的就是在提供一種企業網路中IPv6終端裝置安全管控的技術，可依據不同類型的終端裝置IPv6連網需求，個別進行IPv6網路安 全介面管控與連網權限範圍參數配置，一次設定無需佔用主機資源，並可確保企業網路中異質終端連接IPv6網路的安全性。

本發明之企業網路中IPv6終端裝置安全管控的方法包含下列步驟：以IPv6終端裝置聯接至網路安全伺服器；對IPv6終端裝置進行身分認證以得到使用者身分權限資料；識別終端裝置所使用之系統資訊與終端裝置位址資訊；將使用者身分權限資料與終端裝置之識別碼組合為一識別功能鏈；根據識別功能鏈提取安全控制設定指令；將安全控制設定指令組合成安全配置執行程式；以及以終端裝置執行安全配置執行程式。

承上所述，依本發明之企業網路中IPv6終端裝置安全管控的方法，其可具有一或多個下述優點：

1. 本發明之企業網路中IPv6終端裝置連網權限辨識技術，結合IPv6終端裝置身分認證與作業系統資訊以及終端裝置位址資訊組合成IPv6專屬網路安全管理的一種技術，可用來鏈結裝置使用權限與裝置設定的應用，將人與設備的關聯性更具體化實現。

2. 本發明之IPv6終端裝置安全管控的技術，可依據不同的終端裝置IPv6連網需求，個別進行自動IPv6網路安全連網配置，直接限制IPv6終端裝置可用的IPv6網路服務與通訊介面以及範圍，一次設定無需佔用主機資源；另客製化的IPv6安全管控更能滿足大型企業網路異質終端連接IPv6網路安全管控的需求，增加企業網路佈署IPv6物聯網的彈性。

1‧‧‧異質IPv6終端設備PC

2‧‧‧異質IPv6終端設備IPv6 Phone

3‧‧‧異質IPv6終端設備IPv6 Cam

4‧‧‧有線或無線IPv4/IPv6雙協定企業網路

5‧‧‧IPv6網路管控伺服器

6‧‧‧認證模組

7‧‧‧識別模組

8‧‧‧配置模組

9‧‧‧記錄模組

10‧‧‧傳送模組

11‧‧‧管理資料庫

12‧‧‧指令池

13‧‧‧記錄資料庫

14‧‧‧IPv6終端裝置

15‧‧‧接收模組

16‧‧‧執行模組

S800~S808‧‧‧步驟

圖1係為本發明之企業網路中IPv6終端裝置安全管控的方法之連線架構示意圖。

圖2係為本發明之企業網路中IPv6終端裝置安全管控的方法之系統功能模組圖。

圖3係為本發明之企業網路中IPv6終端裝置安全管控的方法之使用者身分權限資料(User Type ID)示意圖。

圖4係為本發明之企業網路中IPv6終端裝置安全管控的方法之作業系統類別(OS Type ID)示意圖。

圖5係為本發明之企業網路中IPv6終端裝置安全管控的方法之終端裝置處理器版本(Bit Type ID)示意圖。

圖6係為本發明之企業網路中IPv6終端裝置安全管控的方法之作業系統等級(OS Distribution ID)示意圖。

圖7係為本發明之企業網路中IPv6終端裝置安全管控的方法之作業系統版本(OS Version ID)示意圖。

圖8係為本發明之企業網路中IPv6終端裝置安全管控的方法之運作流程圖。

可達成上述發明目的之企業網路IPv6終端裝置安全管控方法，係由複數個具備IPv6功能的異質終端裝置以及一個IPv6網路安全管控伺服器所組成。

本方法包含一種結合使用者身分認證與作業系統與終端裝置位址資訊產生識別功能鏈的一種技術，可用來作為辨識IPv6終端裝置連網的權限識別。

本方法所述之IPv6終端裝置安全管控配置技術則是利用上述技術產生之識別功能鏈當成鑰匙(Key)，用以進入指令池提取對應的IPv6安全控制 指令設定程式，並將提取出的IPv6安全控制設定指令程式組合成可自動執行的IPv6安全配置執行檔案，儲存至記錄資料庫，並透過IPv6網路管控伺服器的傳輸模組經由有線或無線網路的IPv6通訊介面傳送至IPv6終端裝置上，IPv6終端裝置即可透過所得到的IPv6安全配置執行檔案來設定本機終端裝置IPv6的網路通訊介面以及服務存取的權限。例如，限制終端裝置不能使用FTP或是HTTP服務等特定的服務、關閉IPv6終端裝置特定的IPv6通訊介面如6to4、ISATAP、teredo等，可針對每個不同類型具備IPv6功能的終端裝置進行客製化的安全配置，可增加企業網路IPv6終端裝置安全管控的彈性。

請參閱圖1，本發明之企業網路中IPv6終端裝置安全管控的方法之連線架構示意圖，圖中所述異質IPv6終端裝置係指具備IPv6功能之各種網路終端裝置，如個人電腦1、VoIP話機2、IPv6攝影機3(圖中僅畫三個)可透過企業網路4(包含有線乙太網路或無線WIFI網路)等方式與IPv6網路安全管控伺服器5進行通訊。

請參閱圖2，為本發明之企業網路中IPv6終端裝置安全管控的方法之系統功能模組圖，包含IPv6網路安全管控伺服器5主要由認證模組6、識別模組7、配置模組8、記錄模組9以及傳送模組10組成，與管理資料庫11、記錄資料庫13以及指令池12可使用本機或外部連線方式連接。IPv6終端裝置14則由接收模組15與執行模組16組成。

認證模組6，用於提供IPv6終端裝置14使用者進行身分認證，與管理資料庫11所記錄的用戶使用進行比對，使用者身分權限資料或使用者的權限編號User Type ID(如圖3)，共有3種編號代表使用者的身分權限。

識別模組7，用於識別IPv6終端裝置14的類別，如PC/智慧手機或其他具備IPv6功能之終端裝置14；包含作業系統類別OS Type ID(如圖4)、之終端裝置處理器版本Bit Type ID(如圖5)、作業系統等級OS Distribution ID(如圖6)以及作業系統版本OS Version ID(如圖7)，IPv6終端裝置識別碼組合方式為：OS Type ID+Bit Type ID+OS Distribution ID+OS Version ID為進行用者權限與設備裝置設定的鏈結，我們將使用者權限編號與終端裝置作業系統資訊與終端裝置位址資訊組合如下識別功能鏈，可用來鏈結使用者權限與裝置設定的應用：使用者權限識別+終端裝置系統識別+終端裝置位址資訊=識別功能鏈

例如，一個安裝32bit Windows 7個人版的PC裝置且IPv6位址為FE80：：69a4：8ad1：5b50：7d66，經過本發明之IPv6終端裝置辨識技術，可以生成一個2W10201FE80的識別功能鏈。

配置模組8係用以針對不同類型的異質IPv6終端裝置14進行IPv6網路安全管控設定的配置。

記錄模組9係用以與記錄資料庫13進行鏈結，記錄每一個IPv6終端裝置14所配置的IPv6安全管控設定的執行記錄與設定檔案。

傳送模組10係用以用於IPv6網路安全管控伺服器5上利用有線或無線企業網路的通訊介面將IPv6管控策略執行設定配置給IPv6終端裝置14。

接收模組15係用於異質IPv6終端裝置14上，利用有線或無線企業網路的通訊介面接收IPv6網路安全管控伺服器5所傳送的配置檔案。

執行模組16係用於異質IPv6終端裝置14上，執行IPv6管控策略執行檔案用途。

指令池12，其係描述各種異質IPv6終端裝置IPv6網路安全管控的相關指令，具體包含可限制各種IPv6終端裝置14使用IPv6網路權限的控制指令。例如設定啟用與停用IPv6終端裝置使用FTP或是IPv6 HTTP連線等服務權限、開啟與關閉IPv6終端裝置的IPv6通訊介面如ISATAP、6to4、teredo等、啟用與停用EUI-64位址與IPv6 Private位址等相關指令。

請參閱圖8，為本發明在企業網路中IPv6終端裝置安全管控的方法之運作流程，本發明方法包括如下步驟：

S800：IPv6終端裝置連接企業網路時需連線至IPv6網路管控伺服器進行使用者身分辨識。

S801：IPv6網路管控伺服器認證模組依據IPv6終端裝置登入訊息進行裝置認證，比對與管理資料，確認連接企業網路IPv6終端裝置使用者的合法性。

S802：IPv6網路管控伺服器識別模組可依據IPv6終端裝置類別產生對應識別碼，區別不同類別IPv6終端裝置，如PC/平板/以及所使用之作業系統。

S803：將使用者身分IPv6權限識別與終端裝置作業系統資訊與終端裝置位址資訊組合成識別功能鏈碼。

S804：將識別功能鏈當成鑰匙(KEY)輸入IPv6網路管控伺服器配置模組以進入指令池提取對應的IPv6安全控制設定指令。

S805：配置模組將提取出的IPv6安全控制設定指令組合成可執行的安全配置執行程式。

S806：IPv6網路管控伺服器記錄模組負責將每個IPv6終端裝置所對應產生的IPv6安全管控配置程式記錄於記錄資料庫。

S807：IPv6網路管控伺服器傳輸模組負責將IPv6安全管控配置程式檔案透過有線或無線企業網路以IPv6點對點方式傳送給IPv6終端裝置。

S808：IPv6終端裝置利用接收模組透過有線或無線網路接收IPv6安全管控配置的程式，再利用執行模組執行配置的IPv6安全管控設定。

綜上所述，本發明之企業網路中IPv6終端裝置安全管控的方法，結合使用者身分認證與終端裝置識別資訊產生識別功能鏈的一種辨識技術，可用來鏈結使用者權限與裝置設定的應用。本發明更可針對每個不同類型具備IPv6功能的終端裝置進行客製化的安全配置，直接管控IPv6終端裝置可用的IPv6網路服務與通訊介面以及範圍，一次設定無需佔用主機資源，可用來實現企業網路異質終端連接IPv6網路安全管控的應用。

以上所述僅為舉例性，而非為限制性者。任何未脫離本發明之精神與範疇，而對其進行之等效修改或變更，均應包含於後附之申請專利範圍中。

S800~S808‧‧‧步驟

Claims (4)

1. 一種企業網路中IPv6終端裝置安全管控的方法，包含：以一IPv6終端裝置聯接至一IPv6網路安全伺服器；對該IPv6終端裝置進行身分認證以得到一使用者身分權限資料；識別該IPv6終端裝置所使用之一作業系統資訊；識別該IPv6終端裝置使用之一IPv6位址；將該IPv6終端裝置使用者身分權限資料與該IPv6終端裝置之作業系統資訊與終端裝置位址資訊組合為一識別功能鏈；根據該識別功能鏈提取多個安全控制設定指令；將該些安全控制設定指令組合成一安全配置執行程式；以及以該IPv6終端裝置執行該安全配置執行程式。
2. 如請求項1所述之方法，其更包含下列步驟：將該IPv6終端裝置安全配置執行程式記錄於該IPv6網路安全伺服器之一記錄資料庫中。
3. 如請求項1所述之方法，其更包含下列步驟：以該IPv6網路安全伺服器之一傳輸模組將該安全配置執行程式以IPv6點對點方式傳輸給該IPv6終端裝置。
4. 如請求項1所述之方法，其更包含下列步驟：根據該識別功能鏈從該IPv6網路安全伺服器之一指令池中提取該IPv6終端裝置之安全控制設定指令。