TWI656763B - 安全交換發現鏈路資訊的方法 - Google Patents

安全交換發現鏈路資訊的方法 Download PDF

Info

Publication number
TWI656763B
TWI656763B TW106141839A TW106141839A TWI656763B TW I656763 B TWI656763 B TW I656763B TW 106141839 A TW106141839 A TW 106141839A TW 106141839 A TW106141839 A TW 106141839A TW I656763 B TWI656763 B TW I656763B
Authority
TW
Taiwan
Prior art keywords
node
processing node
key
processing
processing nodes
Prior art date
Application number
TW106141839A
Other languages
English (en)
Other versions
TW201830920A (zh
Inventor
李政勳
施青志
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Publication of TW201830920A publication Critical patent/TW201830920A/zh
Application granted granted Critical
Publication of TWI656763B publication Critical patent/TWI656763B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本發明提供一種網路系統,利用協調網路拓樸中的節點來交換鄰近節點的資訊。網路系統包含多個資料處理節點,每一個處理節點則包含一個已被設定的處理節點管理器透過安全連結來接收鑰匙,其中鑰匙包含一個指令來發送已通知發現的封包給每一個處理節點;傳送已通知發現封包的網路埠資訊給每一個其他的處理節點;以及從每一個處理節點接收並檢查已通知發現封包,而已通知發現封包包含一驗證碼,其中檢查已通知發現封包係包括確認驗證碼和已接收的鑰匙是符合的。

Description

安全交換發現鏈路資訊的方法
本發明是關於資料安全領域,特別是有關於提供資料安全防護給網路單元,尤其是提供經協調的節點進網路拓樸中,來交換鄰近節點的資訊及避免欺騙封包來干擾網路拓樸產生。
在一個已建置好的網路拓樸中,例如在資料中心裡,每一個節點可能想要發現彼此鄰近節點的資訊。一般來說,愈多的資訊交換,基於所交換的資訊可以發展更多的應用。眾所皆知被設計來為此目的的協定,舉例來說,包括鏈路層發現協定(Link Layer Discovery Protocol;LLDP)及探索協定(Cisco Discovery Protocol;CDP)。LLDP是一個眾所皆知的鄰近發現協定,允許乙太網路裝置公布拓樸資訊如裝置設定及詳細識別資訊給鄰近的裝置。舉例來說,乙太網路鍘刀式開關可以將其連接埠存在狀況,主要容量及當前的狀態告知給在同一個區域網路內的其他LLDP設備。於固定時間區間或每當其狀態有重大改變時,在埠中會發生LDDP傳送。這個開關也能從鄰近有支援LLDP網路的裝置上接收到LLDP資訊。這個資訊透過在LLDP封包中 多個TLVs(type-length-values)在傳輸過程中進行交換。相似於LLDP,CiscoWork系統利用CDP來自動發現網路裝置。CDP是一個介質無關的裝置發現協定,操作員可以查看直接附屬於一特別網路裝置的其他網路裝置相關的資訊。
雖然提供了一個例子,這協定是多重播放給一群有支援的網路節點。許多應用依賴著這些發現協定來開發它們自己的應用。當多重播送這種封包時,一個問題發生了。由於驗證鄰近節點時缺乏安全防護,任何人都可以藉著傳送同樣的封包內容和格式來干擾接收端進而欺騙接收端節點,以致於已開發的應用不能正常地運作。這可能包含如下例子,當一個客戶的作業系統被駭客破解,或有惡意的使用者想故意地欺騙網路建設。這產生了一個網路節點的需求來確認及辨識哪個封包是有效的及哪個封包是非法的。
此發明的實施例有關於一裝置,一網路系統及提供資料安全防護給網路單元的方法。根據各式各樣的實施例,一網路系統可包含多個處理節點。在一些示範的實施例中,網路系統可包含一個監管節點。每一個處理節點可包含一個處理節點管理器。此外,上述多個處理節點中的其中一個節點可以被指定為控制節點。在一些實施例中,透過安全的連結可在上述多個處理節點中選擇其中一 個來接收鑰匙。上述鑰匙包含一個指令來發送已通知發現封包給每一個處理節點。在本揭露的一些實施例中,中選的處理節點從控制節點接收到上述鑰匙。在另外一個實施例中,被選定的處理節點可以從監管節點接收到上述鑰匙。在一些實施例中,上述選定的處理節點被設定來傳送已通知發現封包的網路埠資訊給每一個其他的處理節點。作為回應,上述選定的處理節點可以被設定從上述多個節點中來接收已通知發現封包。在一些實施例中,已通知發現封包可以包含一驗證碼。上述選定的處理節點可被設定來檢查接收到的已通知發現封包,進而確認收到的驗證碼與收到的鑰匙是一致的。
在一些實施例中,上述選定的處理節點可被設定來檢查所接收的已通知發現節點,藉著確認接收到相同的鑰匙來核對驗證碼和接收到的鑰匙是一致的。在另外一個實施例中,「訊息驗證碼」(message authentication code;MAC)技術可被執行來確認接收到的驗證碼與接收的鑰匙是一致的。亦或在一些實施例中,可利用一些公開額外的加解密鑰匙來加密訊息及MAC進而確認接收的驗證碼是否和接收到的鑰匙一致。在一些示範的實施例中,加密及解密可使用眾所皆知的方法,如RSA加密演算法,三重資料加密演算法(Tripple DES)及進階加密標準(AES)等。
在一些實施例中,已通知發現封包包含保留在處理節點裡的上述鑰匙和特別應用的資訊。在一些實施例中,上述控制節點可以設定從上述多個處理節點之中挑選 至少一個處理節點。在一些實施例中,控制節點被設定來產生及分配一鑰匙給選定的處理節點,而此分配的鑰匙包含一個指令來發送已通知發現的封包給每一個未中選的處理節點。再者,監管節點可被設定從上述多個處理節點中來選擇至少一個處理節點。此外,在一些實施例中,上述監管節點被設定來產生及分配一鑰匙給上述被選定的處理節點,上述鑰匙包含給上述被選定處理節點的指令來發送已通知發現封包給每一個為中選的處理節點。在一些實施例中,上述控制節點被監管節點從上述多個處理節點中挑選出來。其中,一個控制節點被監管節點所指派,因此所有的節點都可以被此控制節點(pod-manager)所調節。在一些實施例中,控制節點是根據局部性所決定。
100‧‧‧分散式網路系統
101‧‧‧網際網路
110‧‧‧處理節點
110n‧‧‧處理節點
112‧‧‧偵測處理過濾器
113‧‧‧政策資料資料庫
114‧‧‧網路埠資訊資料庫
118‧‧‧處理節點
120‧‧‧監管節點
150‧‧‧存取層
160‧‧‧應用層
200‧‧‧企業
220‧‧‧電腦裝置
230‧‧‧行動裝置
300‧‧‧方塊圖
310‧‧‧監管節點
320‧‧‧處理節點
330‧‧‧處理節點
340‧‧‧處理節點
350‧‧‧處理節點
400‧‧‧流程圖
410‧‧‧流程圖步驟
420‧‧‧流程圖步驟
430‧‧‧流程圖步驟
500‧‧‧流程圖
510‧‧‧流程圖步驟
520‧‧‧流程圖步驟
701‧‧‧發送器
702‧‧‧驗證碼
703‧‧‧MAC演算法
704‧‧‧MAC資料標籤
750‧‧‧接收器
754‧‧‧MAC資料標籤
900‧‧‧電腦系統
910‧‧‧輸出入系統(BIOS)
920‧‧‧記憶體
930‧‧‧儲存器
940‧‧‧處理器
950‧‧‧網路介面
960‧‧‧北橋
970‧‧‧南橋
980‧‧‧管理控制器
第1圖是依據本揭露的實施例的一分散式網路系統方塊圖;第2圖是第1圖中分散式網路系統100的元件詳細方塊圖;第3圖是分散式網路系統300的方塊圖,以示範依據本揭露實施例的處理節點110n;第4圖是以示範提供資料安全防護給本揭露實施例的網路元件的處理節點過程一流程圖;第5圖是以示範提供資料安全防護給本揭露實施例的網路元件的監管節點過程一流程圖; 第6圖是說明執行此發明不同實施例的示範電腦系統的方塊圖;第7圖是說明執行一訊息驗證碼技術來確認此接收的驗證碼是相同於接收的鑰匙的一替代實施例。
本發明係參照所附圖式進行描述,其中遍及圖式上的相同參考數字標示了相似或相同的元件。上述圖式並沒有依照實際比例大小描繪,其僅僅提供對本發明的說明。一些發明的型態描述於下方作為圖解示範應用的參考。這意味著許多特殊的細節,關係及方法被闡述來對這個發明提供完整的了解。無論如何,擁有相關領域通常知識的人將認識到若沒有一個或更多的特殊細節或用其他方法,此發明仍然可以被實現。以其他例子來說,眾所皆知的結構或操作並沒有詳細列出以避免對這發明的混淆。本發明並沒有被闡述的行為或事件順序所侷限,如有些行為可能發生在不同的順序亦或同時發生在其他行為或事件之下。此外,並非所有闡述的行為或事件都需要被執行在與現有發明相同的方法之中。
為了解決網路節點如何來確認及分辨封包有效及無效的需求問題,此上述發明的最佳實施例在網路拓樸下提供同等的節點來交換鄰近節點的資訊並且避免欺騙封包干擾網路拓樸產生。
第1圖是一分散式網路系統100的方塊圖。舉例來說,上述系統100可以被執行成在廣域網路(wide area network;WAN)內的覆蓋網路,如網際網路。上述分散式網路系統100包含提供資料安全防護給網路元件的內容處理節點110。明確來說,內容處理節點在網路拓樸下被提供來交換鄰近資訊及避免欺騙封包干擾網路拓樸產生,如惡意程式,間諜軟體及其他從外部系統寄送或要求的不必要內容。外部系統舉例來說,可包含一企業200,一電腦裝置220及一行動裝置230或其他網路及電腦系統。
每一處理節點可被多台電腦及通訊裝置所執行,如伺服器電腦,閘道器及開關等。在一些執行中,處理節點110可當作存取層150。舉例來說,存取層150能提供外部系統存取分散式網路系統100。在一些執行中,每一個處理節點110可包含網際網路閘道器及多台伺服器電腦。
透過任何可用的無線存取裝置,如存取點或行動裝置閘道器232,行動裝置230可被設定與附近的處理節點110溝通。一單獨的電腦裝置220,如消費者個人電腦,可以設定其瀏覽器及電子郵件軟體來存取依序被當作電腦裝置220的代理伺服器的最近處理節點110。或者,一網際網路供應者可透過處理節點110去處理所有顧客的傳輸流量。
在一些執行中,處理節點110能與一或多個監管節點120溝通。上述監管節點120可儲存每一個處理節點110的政策資料,及將政策資料分配給每一個處理節點110。舉例來說,政策資料能定義一個須被保護系統的安全防護政策,如企業200的安全防護政策。政策資料樣本可定 義使用者,網站亦或不允許的內容及限制區域等的連結存取特權。此外,上述政策資料可包含短時驗證鑰匙,上述鑰匙被分配給每一個處理節點110來確認及驗證鄰近的處理節點110。監管節點120可分配政策資料給處理節點110。在一些執行中,每一個處理節點110可像控制節點一樣運作。更準確地說,每一個處理節點可以在上述外部裝置或一監管節點120被使用者所挑選,而指定成為控制節點來發送政策資料給處理節點110。在一些實施例中,控制節點是根據局部性所決定。
在一些執行中,每一個監管節點120可以被多部電腦及通訊裝置,如伺服器電腦、閘道器及開關等所執行。在一些執行中,監管節點120可被當作是應用層160。舉例來說,上述應用層160可管理並提供給處理節點110的政策資料。其他的應用層功能也可在上述應用層內被提供,例如提供及定義安全防護政策,舉例來說,產生及分配一短時鑰匙給一處理節點。在替代實施例中,舉例來說,存取層150能管理並提供給上述處理節點110的政策資料。其他的應用層功能也可在上述存取層被提供,諸如提供及定義安全防護政策,舉例來說,產生及分配一短時鑰匙給一處理節點。
第2圖是第1圖中分散式網路系統100的元件詳細方塊圖。上述分散式網路系統包含一元件處理節點110,處理節點110n,一監管節點120,一電腦裝置220,一行動裝置230,經由在廣域網路如網際網路101中的一覆蓋網路 所連結。雖然只有一代表性的監管節點120被用圖說明,但在分散式網路系統100中可以有許多元件節點110及120的存在。此外,在一替代實施例中,一運作如控制節點的處理節點110可被呈現去履行監管節點120的工作。
處理節點110可包含一處理節點118,一政策資料資料庫113,一偵測處理過濾器112,及一網路埠資訊資料庫114。在一些實施例中,處理節點118可根據政策資料資料庫113,一偵測處理過濾器112,及一網路埠資訊資料庫114來管理每一內容項,以致使和處理節點110進行資料溝通的複數處理節點110n的安全防護政策可被執行。在一些實施例中,上述處理節點118可寄送政策資料給監管節點120。這意味著一控制節點可被設定成與處理節點110相同。
監管處理節點120可包含一監管處理節點管理器128,給每一處理節點110的一主要安全防護政策資料資料庫123。一監管節點管理器128可被用來管理主要安全防護政策資料123,例如從定義不同安全防護政策的每一處理節點110n接收輸入,及分配安全防護政策給每一處理節點110。於是處理節點110將安全防護政策的本地副本儲存起來。
在一些實施例中,監管節點管理員128可從多個處理節點110n中選擇至少一處理節點110。此外,監管節點管理員128可被設定來產生及分配一安全防護政策給一中選的處理節點110。在一些實施例中,安全防護政策可包含一短時鑰匙,此鑰匙包括一指令來指揮中選的處理節點 110來發送已通知發現封包給每一剩下的處理節點110n。這相對於第3圖中會被深入地討論。
處理節點管理器118被設定來從監管節點120的監管節點管理器128接收上述短時鑰匙。因為被處理節點110所處理的資料數量可以是很多的,偵測處理過濾器112可被用來處理要求以決定是否請求的網路裝置是有效或是無效。每當上述偵測處理過濾器112決定此短時鑰匙是被鑑定過的及上述請求的網路裝置是有效的,上述短時鑰匙可包含一指令來指揮處理節點110來發送已通知發現封包給每一剩下的處理節點。
在一些實施例中,處理節點管理器118被設定來把所有的網路埠資訊及儲存在網路埠資訊資料庫114裡的特殊應用資訊向剩下的處理節點110n通知。在一些實施例中,上述中選處理節點的網路埠資訊通知可被安排進一發現封包之中來寄送給其他處理節點110n。明確來說,在一些實施例中,上述發現封包可包含從監管節點120的監管節點管理器128所接收的短時鑰匙,及保留在處理節點110的特別應用資訊。
中選處理節點110的處理節點管理器118也可從其他處理節點110n接收和檢查已通知的封包。在一些實施例中,從剩餘的處理節點110n而來的上述已通知封包可包含一驗證碼。每當偵測處理過濾器112決定了上述驗證碼與從處理節點120而來的該短時鑰匙是相符的,處理節點110可連接到剩下的處理節點110n。
第3圖是分散式網路系統300的方塊圖,以示範依據本揭露實施例的處理節點110n。網路系統300可包含監管節點310,處理節點320,處理節點330,處理節點340,及處理節點350。監管節點310可選擇以哪一處理節點來交換資訊。基於上述中選的處理節點,監管節點310可產生一長度可變的密碼,表示為HAUTH。基於長度可變的密碼,HAUTH,監管節點310可經由安全的連結開始交換資訊。長度可變的密碼,HAUTH,包含一安全密碼及一旗標來以信號通知接收處理節點,而開始通知及學習鄰近節點的資訊。
處理節點320,處理節點330,處理節點340,及處理節點350開始通知來互相發現封包。上述發現封包包含上述處理節點的網路埠資訊,而該處理節點則寄送發現封包及從監管節點310接收來的長度可變密碼,HAUTH。舉例來說,每當監管節點310選擇了處理節點320,上述監管節點命令上述處理節點將網路埠資訊及從監管節點320接收的長度可變密碼通知給處理節點330,處理節點340,及處理節點350。上述埠資訊的交換可包含如上述處理節點埠的媒體存取控制(mac)位址。
長度可變密碼的接收,使上述處理節點能去鑑定來自於請求處理節點的要求。例如處理節點350可確認來自於處理節點320的要求。每一中選的處理節點可從其他的處理節點開始接收已通知封包。
在一些實施例中,處理節點350檢查每一有遵守舊有發現協定的封包。舉例來說,每當上述接收處理節 點裁定已通知封包內所包含一長度可變密碼,HAUTH,與從監管節點310接收到的長度可變密碼,HAUTH,並不相同時,上述接收處理節點將把上述封包視為無效的封包。根據上述決定,上述處理節點將丟棄該封包。這樣一來,在一網路拓樸中同等的節點會被提供來交換鄰近節點的資訊及避免欺騙封包干擾上述網路拓樸產生。
現在參考第7圖,一有執行訊息鑑別碼(message authentication code;MAC)技術的替代實施例可被執行來確認上述接收的驗證碼與上述所接收的鑰匙是相同的。在第7圖中,有一驗證碼702的發送器701用一MAC演算法703來運行以製造一MAC資料標籤704。驗證碼702及MAC標籤704而後被寄送至一接收器750。接收器750透過使用相同鑰匙的相同MAC演算法703來依序運行屬於傳輸中的驗證碼702部分,而製造第二個MAC資料標籤754。然後上述接收器比較在傳輸中所接收的第一MAC標籤704與第二產生的MAC標籤754。如果它們是相同的,上述接收器可安全地認為在傳輸期間驗證碼並沒有被改變或損傷,即資料完整性(data integrity)。
或者在一些本揭露的實施例中,加密訊息與MAC的額外加密解密鑰匙,可被利用來確認上述接收的驗證碼與收到的鑰匙是否相同。例如,在一些允許接收器能夠偵測重播攻擊的實施例中,上述驗證碼自己可以包含資料,該資料能確保這相同的訊息只能被傳送一次,如時間戳,序列號或一次訊息驗證碼的使用。在一些示範的實施 例中,加密及解密可使用眾所皆知的方法,如RSA加密演算法,三重資料加密演算法(Tripple DES)及進階加密標準(AES)等。
第4圖是與上述示範分散式網路系統100相同的執行方法400的一流程圖。如上詳細說明,處理節點110可與一或多個監管節點120溝通。監管節點120可儲存給每一處理節點110的政策資料,及可分配上述政策資料給每一處理節點110。例如上述政策資料可定義給一受保護系統的安全防護政策,如企業200的安全防護政策。作為一起始的事件,處理節點110被設定在處理節點管理器118去接收一從監管節點120來的短時鑰匙,其中上述短時鑰匙包括一指令,該指令在步驟410發送已通知發現封包給每一眾多處理節點。偵測處理過濾器112可被用來處理要求來決定是否請求的網路裝置是有效或是無效。每當上述偵測處理過濾器112決定此短時鑰匙是被鑑定過的及上述請求的網路裝置是有效的,上述短時鑰匙可包含一指令來指揮處理節點110來發送已通知發現封包給每一剩下的處理節點。
在步驟420,把所有的網路埠資訊及儲存在網路埠資訊資料庫114裡的特殊應用資訊向剩下的處理節點110n通知的已通知發現封包,被寄送給每一其他多個處理節點110n。在一些實施例中,上述中選處理節點的網路埠資訊通知可被安排進一發現封包之中來寄送給其他處理節點110n。明確來說,在一些實施例中,上述發現封包可包含從監管節點120的監管節點管理器128所接收的短時鑰 匙,及保留在處理節點110的特別應用資訊。
在步驟430,中選處理節點110的處理節點管理器118也可從其他處理節點110n接收或檢查已通知的封包。在一些實施例中,從剩餘的處理節點110n而來的上述已通知封包可包含一驗證碼。每當偵測處理過濾器112決定了上述驗證碼與從處理節點120而來的該短時鑰匙是相符的,處理節點110可連接至剩下的處理節點110n。
第5圖是依據替代示範區域系統200的執行方法500的一流程圖。作為一起始的事件,監管節點管理器128在步驟510中可從多個處理節點110n中選擇至少一處理節點110。或者,一運作如控制節點的處理節點110在步驟510中可從多個處理節點110n裡選擇至少一處理節點110。
在步驟520,監管節點管理器128被設定來產生及分配一安全防護政策給一中選的處理節點110。在一些實施例中,上述安全防護政策可包含一短時鑰匙,此鑰匙包括一指令來指揮中選的處理節點110來發送已通知發現封包給每一剩下的處理節點110n。
第6圖說明了一示範電腦系統900的一方塊圖。上述電腦系統900可包含一處理器940,一網路介面950,一管理控制器980,一記憶體920,一儲存器930,一輸出入系統(BIOS)910,一北橋960及一南橋970。
舉例來說,上述電腦系統900可以是一伺服器,如在一資料中心裡眾多機架式伺服器的其中一台,或一個人電腦。處理器,即中央處理器(central processing unit, CPU)可以是一在主機板上可擷取及執行儲存在記憶體920的程式指令的晶片。處理器940可以是一單獨的單核CPU,一單獨的多核CPU,或多個CPU。一或多個未標示在上述圖中的匯流排可在許多不同的電腦元件,如處理器940,記憶體920,儲存器930,及網路介面950之間來傳送指令及應用資料。
記憶體920可包含任何用來臨時或永久地儲存資料或程式的實體裝置,如多種形式的隨機存取記憶體(random-access memory;RAM)。儲存器930可包含任何用於非揮發性資料儲存的實體裝置,如一硬碟或一快閃記憶體驅動器。儲存器930可以有一比記憶體920還要更大的容量,且其每一儲存單元是較經濟的,但也有較慢的傳送率。
BIOS 910可包含一基本輸出入系統或其後繼子或同等設備如一可延伸韌體介面(Extensible Firmware Interface;EFI)或一統一可延伸韌體介面(Unified Extensible Firmware Interface;UEFI)。BIOS 910可包含一在電腦系統900內主機板上用來儲存一BIOS軟體程式的BIOS晶片。BIOS 910可儲存韌體,當電腦系統第一次開機時該韌體伴隨著為BIOS 910所規定的一套組態被執行。上述BIOS韌體及BIOS組態可被儲存進一非揮發性記憶體(non-volatile memory;NVRAM)920或一唯讀記憶體(read-only memory;ROM)如快閃記憶體。快閃記憶體是一能以電子方式抹除或改寫程式的非揮發性電腦儲存媒體。
BIOS 910可被加載及在電腦系統900開機時如 同序列程式般被執行。BIOS 910可辨認,初始化,及檢查基於上述一套組態下,一已知電腦系統中所存在的硬體。BIOS 910可在電腦系統900上執行自我檢測,如開機自我檢測(Power-on-Self-Test;POST)。上述自我檢測可檢查諸多硬體如硬碟,光學讀取裝置,冷卻裝置,記憶體模組,擴充卡及類似裝置的功能。上述BIOS可定義位址及在記憶體920裡配置一區域來儲存一作業系統。於是BIOS 910可將對上述電腦系統的控制權交給作業系統。
電腦系統900中的BIOS 910可包含一BIOS組態,用來定義BIOS 910如何在電腦系統900裡控制諸多硬體元件。BIOS組態可決定在電腦系統900內諸多硬體元件的開機順序。BIOS 910可提供一允許可設定各種各樣不同且與BIOS預設組態不同之參數的介面,如BIOS設定公用程式(BIOS setup utility)。舉例來說,一使用者如電腦管理員可使用BIOS 910來指明時脈及匯流排速度,指明哪種周邊設備連接至上述電腦系統,指明健康狀態的監控如風扇速度及CPU溫度規格,及指明其他各式各樣影響整體效能及電腦系統電源使用的參數。
管理控制器980可以是一嵌入在上述電腦系統主機板上的專門微控制器。例如管理控制器980可以是一底板管理控制器(baseboard management controller;BMC)或一機架式管理控制器(rack management controller;RMC)。管理控制器980可管理系統管理軟體與硬體平台間的介面。內置於電腦系統的不同類型感測器可向管理控制器980 報告關於各參數如溫度,散熱風散速度,電源狀態,作業系統狀態等。管理控制器980可以監控感測器,而且如果有任何的參數沒有在預設的規格內,上述管理控制器有能力經由網路介面950發送警告給一電腦管理員及指出上述系統的錯誤。上述電腦管理員也可間接地與管理控制器980溝通來做出改善的動作,如重新設定或重新開機來恢復功能。
北橋960可以是一在主機板上可直接連接至處理器940或可結合進處理器940裡的晶片。在某些情況下,北橋960及南橋970可以結合進一單一晶粒。北橋960及南橋970可管理處理器940與其他主機板部件的溝通。北橋960需要比南橋970更高效能地來管理工作。北橋960可管理處理器940,記憶體920及未標示於上述圖中的影像控制器之間的溝通。在某些情況下,北橋960可包含一影像控制器。
南橋970可以是一在主機板上連接至北橋的晶片,但其不像北橋960,南橋並沒有直接連接到處理器940。南橋970可管理電腦系統900的輸入/出功能,例如聲音功能,BIOS,通用序列匯流排(Universal Serial Bus;USB),序列ATA(Serial Advanced Technology Attachment;SATA),外部組件互連(Peripheral Component Interconnect;PCI)匯流排,擴充外部組件互連(PCI eXtended;PCI-X)匯流排,快速外部組件互連(PCI Express)匯流排,工業標準結構(Industry Standard Architecture;ISA)匯流排,序列周邊介面(Serial Peripheral Interface;SPI)匯流排,強化序列周 邊介面(eSPI),系統管理匯流排(System Management Bus;SMBus)等。管理控制器980,直接記憶體存取(Direct Memory Access,DMAs)控制器,可程式中斷控制器(Programmable Interrupt Controllers;PICs)及一實時時鐘皆可與南橋970相連接或被包括在南橋970之內。
上述諸多與本揭露所描繪相關舉例的邏輯區塊,模組及線路可用以下裝置來執行或實現,如一般用途處理器,一數位信號處理器(digital signal processor;DSP),一特殊應用積體電路(application specific integrated circuit;ASIC),一現場可程式邏輯閘陣列(field programmable gate array)或其他可程式的邏輯裝置,離散閘或電晶體邏輯,離散硬體元件,或任何被設計來實現本敘述之功能的上述裝置的結合。一般用途處理器可以是一微處理器,但換句話說,上述處理器可以是任何常見的處理器,控制器,為控制器,或狀態機。一處理器也可被執行成一計算機裝置的結合,如一DSP及一微處理器的結合,多個微處理器的結合,一或多個微處理器與一DSP核心結合,或任何其他這類的組態。
一與本揭露所描述相關的方法或演算法可以直接使用硬體,一處理器所執行的軟體模組或前述兩者的結合來實現。一軟體模組可常駐在隨機存取記憶體,快閃記憶體,唯讀記憶體,可抹除可編程唯讀記憶體(EEPROM memory),暫存器,硬碟,一可移除式磁碟,一唯讀記憶光碟(CD-ROM),或任何形式在此技術下為人知的儲存介質。 一示範儲存介質與處理器連接在一起,以致上述處理器可從儲存介質讀寫資訊。換句話說,上述儲存介質對於處理器來說是不可或缺的。上述處理器及儲存介質可存在於特殊應用積體電路。上述特殊應用積體電路則可存在於使用者終端。換句話說,上述處理器及儲存介質能以分離的元件形式存在於使用者終端。
在一或多個示範設計中,上述描述的功能能以硬體,軟體,韌體或任何前述項目的結合來實現。若以軟體來實現,上述功能能以一或多個在一非暫態電腦可讀取介質上的指令或程式來儲存或傳送。非暫態電腦可讀取媒介包含電腦儲存媒介及包含任何可幫忙電腦程式從一處轉移至另一處之介質的溝通媒介。一儲存媒介可以是任何能被一般用途或特殊用途電腦所存取的可用媒介。作為並非唯一可能的例子,這類電腦可讀取媒介可包含RAM,ROM,EEPROM,CD-ROM或其他光碟儲存,磁碟儲存或其他磁儲存裝置,或任何可被用來攜帶或儲存以指令或資料結構形式的所需程式撰寫方法,及可被一般或特殊用途電腦,或一般或特殊用途處理器所存取的媒介。這裡所使用的圓形碟盤disk及disc,如雷射唱片(compact disc;CD),雷射影碟,光碟,數碼多功能影音光碟(digital versatile disc;DVD),軟碟及藍光光碟,其中disk是使用磁性方式複製資料,而disc則是使用雷射光學的方式複製資料。上述的結合體也應該包含於非暫態電腦可存取媒介裡。
雖然本發明的眾多實施例如上述所描述,我們 應該明白上述所呈現的只是範例,而不是限制。依據本實施例上述示範實施例的許多改變是可以在沒有違反發明精神及範圍下被執行。因此,本發明的廣度及範圍不該被上述所描述的實施例所限制。更確切地說,本發明的範圍應該要以以下的申請專利範圍及其相等物來定義。
儘管上述發明已被一或多個相關的執行來圖例說明及描繪,等效的變更及修改將被依據上述規格及附圖且熟悉這領域的其他人所想到。此外,儘管本發明的一特別特徵已被相關的多個執行之一所示範,上述特徵可能由一或多個其他特徵所結合,以致於可能有需求及有助於任何已知或特別的應用。
本說明書所使用的專業術語只是為了描述特別實施例的目的,並不打算用來作為本發明的限制。除非上下文有明確指出不同,如本處所使用的單數型,一、該及上述的意思係也包含複數型。再者,用詞「包括」,「包含」,「(具、備)有」,「設有」,或其變化型不是被用來作為詳細敘述,就是作為申請專利範圍。而上述用詞意思是包含,且在某種程度上意思是等同於用詞「包括」。
除非有不同的定義,所有本文所使用的用詞(包含技術或科學用詞)是可以被屬於上述發明的技術中擁有一般技術的人士做一般地了解。我們應該更加了解到上述用詞,如被定義在眾所使用的字典內的用詞,在相關技術的上下文中應該被解釋為相同的意思。除非有明確地在本文中定義,上述用詞並不會被解釋成理想化或過度正式 的意思。

Claims (6)

  1. 一種網路系統,包括:複數處理節點,其中每一上述複數處理節點包含一處理節點管理器,該管理器被設定以執行以下動作:經由一安全連結,從一監管節點或一控制節點接收一鑰匙,其中上述鑰匙包括一安全密碼及一旗標,上述旗標具有一指令來發送已通知發現封包給每一上述複數處理節點;寄送公布網路埠資訊的已通知發現封包給每一其他上述複數處理節點;以及接收及檢查從每一其他上述複數處理節點而來的已通知發現封包,上述已通知發現封包包含一驗證碼,其中檢查上述已通知封包包括確認上述驗證碼與收到的上述鑰匙的上述安全密碼是相符合的。
  2. 如申請專利範圍第1項所述之網路系統,其中該已通知發現封包包含上述鑰匙。
  3. 如申請專利範圍第1項所述之網路系統,其中上述控制節點被設定如下:在上述複數處理節點中選擇一處理節點;以及產生及分配一鑰匙給上述複數處理節點中的至少一中選節點;其中上述鑰匙包含給上述至少一中選處理節點的指令,來發送已通知發現封包給每一上述複數處理節點。
  4. 一提供資料安全防護給網路元件的電腦執行方法,其中該網路元件包括複數處理節點,每一上述複數處理節點包括一處理節點管理器,用以執行包括:經由一安全連結,從一監管節點或一控制節點接收一鑰匙,其中上述鑰匙包含一安全密碼及一旗標,上述旗標具有一指令來發送已通知發現封包給每一上述複數處理節點;傳送公布網路埠資訊的已通知發現封包給每一其他眾多的處理節點;以及接收及檢查從每一其他上述複數處理節點而來的已通知發現封包,上述已通知發現封包包含一驗證碼,其中檢查上述已通知封包包括確認上述驗證碼與收到的上述鑰匙的上述安全密碼是相符合的。
  5. 如申請專利範圍第4項所述之電腦執行方法,其中上述已通知發現封包包括上述鑰匙。
  6. 如申請專利範圍第4項所述之電腦執行方法,其中上述控制節點被設定如下:在上述複數處理節點中選擇至少一處理節點;以及產生及分配一鑰匙給在上述複數處理節點中的至少一中選節點;其中上述鑰匙包含給上述至少一中選處理節點的指令,來發送已通知發現封包給每一上述複數處理節點。
TW106141839A 2017-02-14 2017-11-30 安全交換發現鏈路資訊的方法 TWI656763B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US201762458766P 2017-02-14 2017-02-14
US62/458,766 2017-02-14
US15/656,590 2017-07-21
US15/656,590 US20180234407A1 (en) 2017-02-14 2017-07-21 Method for securely exchanging link discovery information

Publications (2)

Publication Number Publication Date
TW201830920A TW201830920A (zh) 2018-08-16
TWI656763B true TWI656763B (zh) 2019-04-11

Family

ID=60915225

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106141839A TWI656763B (zh) 2017-02-14 2017-11-30 安全交換發現鏈路資訊的方法

Country Status (5)

Country Link
US (1) US20180234407A1 (zh)
EP (1) EP3361696B1 (zh)
JP (1) JP6560372B2 (zh)
CN (1) CN108429727B (zh)
TW (1) TWI656763B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113766038B (zh) * 2020-06-02 2023-11-07 佛山市顺德区顺达电脑厂有限公司 地址配置访问方法及服务器系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200807999A (en) * 2006-03-22 2008-02-01 Lg Electronics Inc Asymmetric cryptography for wireless systems
US20130259230A1 (en) * 2012-03-29 2013-10-03 Broadcom Corporation Bluetooth Low Energy Privacy
CN104507065A (zh) * 2015-01-14 2015-04-08 南京理工大学 异构无线网络中不可否认性计费方法

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7444679B2 (en) * 2001-10-31 2008-10-28 Hewlett-Packard Development Company, L.P. Network, method and computer readable medium for distributing security updates to select nodes on a network
US20040225725A1 (en) * 2003-02-19 2004-11-11 Nec Corporation Network system, learning bridge node, learning method and its program
WO2007035655A2 (en) * 2005-09-16 2007-03-29 The Trustees Of Columbia University In The City Of New York Using overlay networks to counter denial-of-service attacks
US8699704B2 (en) * 2010-01-13 2014-04-15 Entropic Communications, Inc. Secure node admission in a communication network
CN101699891B (zh) * 2009-10-21 2012-07-25 西安西电捷通无线网络通信股份有限公司 一种传感器网络密钥管理和节点鉴别方法
CN101820619B (zh) * 2010-01-15 2012-10-24 北京工业大学 无线传感器网络中高效节能的链路安全方法
US8707083B2 (en) * 2010-12-03 2014-04-22 Lsi Corporation Virtualized cluster communication system
US9143431B2 (en) * 2010-12-29 2015-09-22 Cisco Technology, Inc. Hiding a service node in a network from a network routing topology
WO2013115177A1 (ja) * 2012-01-30 2013-08-08 日本電気株式会社 ネットワークシステム、及びトポロジー管理方法
US8995667B2 (en) * 2013-02-21 2015-03-31 Telefonaktiebolaget L M Ericsson (Publ) Mechanism for co-ordinated authentication key transition for IS-IS protocol
US9712334B2 (en) * 2013-05-21 2017-07-18 Brocade Communications Systems, Inc. Efficient multicast topology construction in a routed network
CN103560998A (zh) * 2013-10-09 2014-02-05 中国科学院信息工程研究所 一种无线传感器网络抵抗DoS攻击的方法及系统
US9231871B2 (en) * 2013-11-25 2016-01-05 Versa Networks, Inc. Flow distribution table for packet flow load balancing
CN104507051B (zh) * 2014-12-16 2017-12-26 大连理工大学 Vaent中面向消息广播的mac层改进方法
US9930049B2 (en) * 2015-01-16 2018-03-27 Cisco Technology, Inc. Method and apparatus for verifying source addresses in a communication network
US10080185B2 (en) * 2015-04-10 2018-09-18 Qualcomm Incorporated Method and apparatus for securing structured proximity service codes for restricted discovery
WO2016165792A1 (en) * 2015-04-13 2016-10-20 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for end device discovering another end device
CN105933092B (zh) * 2016-06-14 2020-04-07 Tcl移动通信科技(宁波)有限公司 一种基于电路交换的数据传输方法及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200807999A (en) * 2006-03-22 2008-02-01 Lg Electronics Inc Asymmetric cryptography for wireless systems
US20130259230A1 (en) * 2012-03-29 2013-10-03 Broadcom Corporation Bluetooth Low Energy Privacy
CN104507065A (zh) * 2015-01-14 2015-04-08 南京理工大学 异构无线网络中不可否认性计费方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Panagiotis Papadimitratos ET AL, "Secure Routing for Mobile Ad hoc Networks", SCS Communication Networks and Distributed Systems Modeling and Simulation Conference (CNDS 2002), 27 January 2002, pages 1-12
PANAGIOTIS PAPADIMITRATOS ET AL: "Secure Routing for Mobile Ad hoc Networks", SCS COMMUNICATION NETWORKS AND DISTRIBUTED SYSTEMS MODELING AND SIMULATION CONFERENCE, 27 January 2002 (2002-01-27), pages 1 - 12, XP055447319 *

Also Published As

Publication number Publication date
JP6560372B2 (ja) 2019-08-14
TW201830920A (zh) 2018-08-16
CN108429727B (zh) 2020-12-04
EP3361696A1 (en) 2018-08-15
CN108429727A (zh) 2018-08-21
EP3361696B1 (en) 2020-02-05
US20180234407A1 (en) 2018-08-16
JP2018133799A (ja) 2018-08-23

Similar Documents

Publication Publication Date Title
TWI524204B (zh) 用於可管理性與安全路由及端點存取的方法、裝置與系統
US10242176B1 (en) Controlled access communication between a baseboard management controller and PCI endpoints
US10250435B2 (en) System and method for intelligent discovery and rescue of devices in an internet-of-things network
US9935945B2 (en) Trusted management controller firmware
JP4579969B2 (ja) ネットワーク・ドメインのネットワークエンドポイントにおける組込みエージェントの間で暗号化キーを共有するための方法、装置及びコンピュータプログラム製品
KR101719381B1 (ko) 저장 장치의 원격 액세스 제어
US10383157B2 (en) System and method for automatic wireless connections between server management controllers to set up a secure proxy channel
TWI553505B (zh) 管理機架伺服器系統之安全金鑰的方法與系統
US10581617B2 (en) Method and apparatus for hardware based file/document expiry timer enforcement
US20100325719A1 (en) System and Method for Redundancy in a Communication Network
US20170295018A1 (en) System and method for securing privileged access to an electronic device
US8738915B2 (en) System and method for establishing perpetual trust among platform domains
US20190318133A1 (en) Methods and system for responding to detected tampering of a remotely deployed computer
WO2017193093A1 (en) Systems and methods for enabling trusted communications between entities
TWI656763B (zh) 安全交換發現鏈路資訊的方法
US20220131695A1 (en) Distributed secure communication system
US10326599B2 (en) Recovery agents and recovery plans over networks
KR20210060282A (ko) 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법
US10938836B2 (en) Transmitting secure information
KR102588355B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20240232314A1 (en) Authenticator to authorize persistent operations
KR102578799B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102609368B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102564416B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102578800B1 (ko) 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법