TWI744047B - 利用網路arp協定進行終端設備認證方法 - Google Patents

利用網路arp協定進行終端設備認證方法 Download PDF

Info

Publication number
TWI744047B
TWI744047B TW109136961A TW109136961A TWI744047B TW I744047 B TWI744047 B TW I744047B TW 109136961 A TW109136961 A TW 109136961A TW 109136961 A TW109136961 A TW 109136961A TW I744047 B TWI744047 B TW I744047B
Authority
TW
Taiwan
Prior art keywords
network
mac
terminal device
physical address
authorized
Prior art date
Application number
TW109136961A
Other languages
English (en)
Other versions
TW202218374A (zh
Inventor
黃志輔
Original Assignee
飛泓科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 飛泓科技股份有限公司 filed Critical 飛泓科技股份有限公司
Priority to TW109136961A priority Critical patent/TWI744047B/zh
Priority to US17/385,066 priority patent/US20220131860A1/en
Application granted granted Critical
Publication of TWI744047B publication Critical patent/TWI744047B/zh
Publication of TW202218374A publication Critical patent/TW202218374A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)

Abstract

本發明係為一種利用網路ARP協定進行終端設備認證方法,係應用於802.1X協定之網路終端設備認證系統。本發明主要係藉由MAC實體位址資訊收集器之網路掃描單元來取得終端設備對應之MAC實體位址,再藉由檢視、修改儲存於資料彙整單元之終端設備位址掃描紀錄來新增、刪除或移除終端設備之MAC實體位址,MAC實體位址資訊收集器即可將儲存於資料匯出單元之終端設備登錄授權MAC實體位址列表另存於認證伺服器藉以即時更新內部資料。

Description

利用網路ARP協定進行終端設備認證方法
本發明係為一種利用網路ARP協定進行終端設備認證方法,尤係指於區域網路來進行自動擷取終端設備MAC實體位址之終端設備認證方法。
傳統的8O2.1X認證系統主機(Radius Server)利用MAC實體位址來驗證帳號資料輸入方法,則必須經由人工查看連接於網路之電腦設備的MAC實體位址資料然後再逐一輸入建置合法授權之MAC實體位址資料至認證系統電腦主機之中,不僅需要耗費大量時間且容易因人為的抄寫或資料輸入錯誤而造成系統認證的錯誤失敗。
本發明主要係藉由MAC實體位址資訊收集器之網路掃描單元來取得終端設備對應之MAC實體位址,再藉由檢視、修改儲存於資料彙整單元之終端設備位址掃描紀錄來新增、刪除或移除終端設備之MAC實體位址,MAC實體位址資訊收集器即可將儲存於資料匯出單元之終端設備登錄授權MAC實體位址列表另存於認證伺服器藉以即時更新內部資料。
一種利用網路ARP協定進行終端設備TL認證方法,係應用於802.1X協定之網路終端設備TL認證系統。
該利用網路ARP協定進行終端設備TL認證方法,包括:該802.1X協定之網路終端設備TL認證系統,則包括:複數終端設備TL、網路交換器SW、系統伺服器MS、認證伺服器RS及MAC實體位址資訊收集器MIG;其中,該些終端設備TL、該系統伺服器MS、該認證伺服器RS及該MAC實體位址資訊收集器MIG則是分別以網路連接至該網路交換器SW以形成一區域網路並可藉由網路ARP協定來進行彼此之間數據資料的傳輸。該MAC實體位址資訊收集器MIG,則包括:網路掃描單元SU、資料彙整單元CU及資料匯出單元OU。
俾使審查委員能對於本發明之技術特徵,有更進一步之了解,以下謹以二具體實施例,且佐以圖式作詳細說明。
TL:終端設備
SW:網路交換器
MS:系統伺服器
RS:認證伺服器
MIG MAC:實體位址資訊收集器
SU:網路掃描單元
CU:資料彙整單元
OU:資料匯出單元
第一圖 本發明之系統架構圖。
實施例一,請參閱第一圖;一種利用網路ARP協定進行終端設備認證方法,係應用於802.1X協定之網路終端設備認證系統。
該利用網路ARP協定進行終端設備認證方法,包括:該802.1X協定之網路終端設備認證系統,則包括:複數終端設備TL、網路交 換器SW、系統伺服器MS、認證伺服器RS及MAC實體位址資訊收集器MIG;其中,該些終端設備TL、該系統伺服器MS、該認證伺服器RS及該MAC實體位址資訊收集器MIG則是分別以網路連接至該網路交換器SW以形成一區域網路並可藉由網路ARP協定來進行彼此之間數據資料的傳輸。該MAC實體位址資訊收集器MIG,則包括:網路掃描單元SU、資料彙整單元CU及資料匯出單元OU。
該MAC實體位址資訊收集器MIG之該網路掃描單元SU可經由區域網路來自動掃描擷取該些終端設備TL於網路所傳遞之複數ARP封包,再藉由解析該些ARP封包之內容來取得該些終端設備TL所各自對應之IP網路位址及MAC實體位址,該網路掃描單元SU則會將該些終端設備TL之該些IP網路位址與該些MAC實體位址另存為終端設備位址掃描紀錄並儲存於該MAC實體位址資訊收集器MIG之該資料彙整單元CU。
系統管理者即可藉由該系統伺服器MS經由區域網路連結至該MAC實體位址資訊收集器MIG之該資料彙整單元CU,再藉由存取儲存於該資料彙整單元CU之該終端設備位址掃描紀錄來檢視連結至區域網路之該些終端設備TL所對應之該些MAC實體位址,藉以確認該些MAC實體位址是否均為經系統登錄授權MAC實體位址。該系統管理者即可設定勾選新增該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址為系統登錄授權MAC實體位址、設定勾選刪除該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址或是設定勾選移除該終端設備位址掃描紀錄中經系統登錄授權之該MAC實體位址,再將已確認或經修改之該終端設備位址掃描紀錄另存為終端設備登錄授權MAC實體位址列表並儲 存於該MAC實體位址資訊收集器MIG之該資料匯出單元OU;其中,經設定勾選刪除或勾選移除之該MAC實體位址所對應之該IP網路位址則會一併刪除或移除。
該MAC實體位址資訊收集器MIG即可經由區域網路連結至該認證伺服器RS,再將儲存於該MAC實體位址資訊收集器MIG之該資料匯出單元OU之該終端設備登錄授權MAC實體位址列表另存為可進行資料傳輸登錄授權MAC實體位址列表並儲存於該認證伺服器RS,藉以即時更新該認證伺服器RS之內部資料。
該認證伺服器RS即可依據內部儲存之該可進行資料傳輸登錄授權MAC實體位址列表來比對分析連接至區域網路之該終端設備TL所對應之該MAC實體位址是否為經系統登錄授權之該MAC實體位址,藉以確認該終端設備TL於區域網路進行資料傳輸的權限;其中,該認證伺服器RS將立即阻絕、封鎖未經系統登錄授權之該MAC實體位址所對應之該終端設備TL連結至區域網路進行資料存取或檔案傳輸。
實施例二,請參閱第一圖;該利用網路ARP協定進行終端設備認證方法,包括:該MAC實體位址資訊收集器MIG之該網路掃描單元SU可經由區域網路來自動掃描擷取該些終端設備TL於網路所傳遞之複數ARP封包,再藉由解析該些ARP封包之內容來取得該些終端設備TL所各自對應之IP網路位址及MAC實體位址,該網路掃描單元SU則會將該些終端設備TL之該些IP網路位址與該些MAC實體位址另存為終端設備位址掃描紀錄並儲存於該MAC實體位址資訊收集器MIG之該資料彙整單元CU。
系統管理者即可藉由該系統伺服器MS經由區域網路連結 至該MAC實體位址資訊收集器MIG之該資料彙整單元CU,再藉由存取儲存於該資料彙整單元CU之該終端設備位址掃描紀錄來檢視連結至區域網路之該些終端設備TL所對應之該些MAC實體位址,藉以確認該些MAC實體位址是否均為經系統登錄授權MAC實體位址。該系統管理者即可設定勾選新增該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址為系統登錄授權MAC實體位址、設定勾選刪除該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址或是設定勾選移除該終端設備位址掃描紀錄中經系統登錄授權之該MAC實體位址,再將已確認或經修改之該終端設備位址掃描紀錄另存為終端設備登錄授權MAC實體位址列表並儲存於該MAC實體位址資訊收集器MIG之該資料匯出單元OU;其中,經設定勾選刪除或勾選移除之該MAC實體位址所對應之該IP網路位址則會一併刪除或移除。
該認證伺服器RS即可經由區域網路連結至該MAC實體位址資訊收集器MIG之該資料匯出單元OU,再藉由存取儲存於該資料匯出單元OU之該終端設備登錄授權MAC實體位址列表且將之另存為可進行資料傳輸登錄授權MAC實體位址列表並儲存於該認證伺服器RS,藉以即時更新該認證伺服器RS之內部資料。
該認證伺服器RS即可依據內部儲存之該可進行資料傳輸登錄授權MAC實體位址列表來比對分析連接至區域網路之該終端設備TL所對應之該MAC實體位址是否為經系統登錄授權之該MAC實體位址,藉以確認該終端設備TL於區域網路進行資料傳輸的權限;其中,該認證伺服器RS將立即阻絕、封鎖未經系統登錄授權之該MAC實體位址所對應之該終 端設備TL連結至區域網路進行資料存取或檔案傳輸。
本發明主要係藉由該MAC實體位址資訊收集器MIG利用網路傳輸ARP封包的內容來自動建置網路終端設備對應之MAC實體位址及IP網路位址資訊檔案的功能並提供系統管理者可以直接檢視、設定或修改檔案資料且可即時更新該認證伺服器RS之內部資料,進而使得該認證伺服器RS能立即阻絕、封鎖未經系統授權之網路終端設備來連結至區域網路進行資料存取或檔案傳輸;更可有效避免習知需藉由人工檢視、核對及確認網路終端設備之MAC實體位址及手動建立MAC實體位址表單程序所需耗費的大量時間及容易產生輸入錯誤的問題,且更可於自動化產生的檔案資料中記錄有IP網路位址或是主機名稱進而輔助系統管理者來確認網路終端設備是否為系統授權終端設備,而非僅由系統認證主機單純驗證網路終端設備使用者之系統登入帳號、密碼的傳統認證方式進而來確保並大幅提升內部網路的資訊安全。
上述實施例僅為說明本發明之原理及其功效,並非限制本發明;因此,習於此技術之人士對上述實施例進行修改及變化仍不脫本發明之精神。本發明已具備產業上利用性、新穎性及進步性,並符合發明專利要件,爰依法提起申請。
TL:終端設備
SW:網路交換器
MS:系統伺服器
RS:認證伺服器
MIG MAC:實體位址資訊收集器
SU:網路掃描單元
CU:資料彙整單元
OU:資料匯出單元

Claims (1)

  1. 一種利用網路ARP協定進行終端設備認證方法,係應用於802.1X協定之網路終端設備認證系統;
    該利用網路ARP協定進行終端設備認證方法,包括:
    該802.1X協定之網路終端設備認證系統,則包括:複數終端設備、網路交換器、系統伺服器、認證伺服器及MAC實體位址資訊收集器;其中,該些終端設備、該系統伺服器、該認證伺服器及該MAC實體位址資訊收集器則是分別以網路連接至該網路交換器以形成一區域網路並可藉由網路ARP協定來進行彼此之間數據資料的傳輸;該MAC實體位址資訊收集器,則包括:網路掃描單元、資料彙整單元及資料匯出單元;
    該MAC實體位址資訊收集器之該網路掃描單元可經由區域網路來自動掃描擷取該些終端設備於網路所傳遞之複數ARP封包,再藉由解析該些ARP封包之內容來取得該些終端設備所各自對應之IP網路位址及MAC實體位址,該網路掃描單元則會將該些終端設備之該些IP網路位址與該些MAC實體位址另存為終端設備位址掃描紀錄並儲存於該MAC實體位址資訊收集器之該資料彙整單元;
    系統管理者即可藉由該系統伺服器經由區域網路連結至該MAC實體位址資訊收集器之該資料彙整單元,再藉由存取儲存於該資料彙整單元之該終端設備位址掃描紀錄來檢視連結至區域網路之該些終端設備所對應之該些MAC實體位址,藉以確認該些MAC實體位址是否均為經系統登錄授權MAC實體位址;
    該系統管理者即可設定勾選新增該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址為系統登錄授權MAC實體位址、設定勾選刪除該終端設備位址掃描紀錄中未經系統登錄授權之該MAC實體位址或是設定勾選移除該終端設備位址掃描紀錄中經系統登錄授權之該MAC實體位址,再將已確認或經修改之該終端設備位址掃描紀錄另存為終端設備登錄授權MAC實體位址列表並儲存於該MAC實體位址資訊收集器之該資料匯出單元;其中,經設定勾選刪除或勾選移除之該MAC實體位址所對應之該IP網路位址則會一併刪除或移除;
    該MAC實體位址資訊收集器即可經由區域網路連結至該認證伺服器,再將儲存於該MAC實體位址資訊收集器之該資料匯出單元之該終端設備登錄授權MAC實體位址列表另存為可進行資料傳輸登錄授權MAC實體位址列表並儲存於該認證伺服器,藉以即時更新該認證伺服器之內部資料;或是,該認證伺服器即可經由區域網路連結至該MAC實體位址資訊收集器之該資料匯出單元,再藉由存取儲存於該資料匯出單元之該終端設備登錄授權MAC實體位址列表且將之另存為可進行資料傳輸登錄授權MAC實體位址列表並儲存於該認證伺服器,藉以即時更新該認證伺服器之內部資料;
    該認證伺服器即可依據內部儲存之該可進行資料傳輸登錄授權MAC實體位址列表來比對分析連接至區域網路之該終端設備所對應之該MAC實體位址是否為經系統登錄授權之該MAC實體位址,藉以確認該終端設備於區域網路進行資料傳輸的權限;其 中,該認證伺服器將立即阻絕、封鎖未經系統登錄授權之該MAC實體位址所對應之該終端設備連結至區域網路進行資料存取或檔案傳輸。
TW109136961A 2020-10-23 2020-10-23 利用網路arp協定進行終端設備認證方法 TWI744047B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW109136961A TWI744047B (zh) 2020-10-23 2020-10-23 利用網路arp協定進行終端設備認證方法
US17/385,066 US20220131860A1 (en) 2020-10-23 2021-07-26 Method of authenticating terminal equipment using ARP

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109136961A TWI744047B (zh) 2020-10-23 2020-10-23 利用網路arp協定進行終端設備認證方法

Publications (2)

Publication Number Publication Date
TWI744047B true TWI744047B (zh) 2021-10-21
TW202218374A TW202218374A (zh) 2022-05-01

Family

ID=80782762

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109136961A TWI744047B (zh) 2020-10-23 2020-10-23 利用網路arp協定進行終端設備認證方法

Country Status (2)

Country Link
US (1) US20220131860A1 (zh)
TW (1) TWI744047B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060114872A1 (en) * 2004-12-01 2006-06-01 Canon Kabushiki Kaisha Wireless control apparatus, system, control method, and program
CN101345743A (zh) * 2007-07-09 2009-01-14 福建星网锐捷网络有限公司 防止利用地址解析协议进行网络攻击的方法及其系统
US20110231574A1 (en) * 2005-04-27 2011-09-22 Peter Saunderson Network including snooping
TWI474668B (zh) * 2012-11-26 2015-02-21 網點之判斷與阻擋之方法
TWI560574B (zh) * 2015-12-01 2016-12-01 Chunghwa Telecom Co Ltd

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060114872A1 (en) * 2004-12-01 2006-06-01 Canon Kabushiki Kaisha Wireless control apparatus, system, control method, and program
US20110231574A1 (en) * 2005-04-27 2011-09-22 Peter Saunderson Network including snooping
CN101345743A (zh) * 2007-07-09 2009-01-14 福建星网锐捷网络有限公司 防止利用地址解析协议进行网络攻击的方法及其系统
TWI474668B (zh) * 2012-11-26 2015-02-21 網點之判斷與阻擋之方法
TWI560574B (zh) * 2015-12-01 2016-12-01 Chunghwa Telecom Co Ltd

Also Published As

Publication number Publication date
TW202218374A (zh) 2022-05-01
US20220131860A1 (en) 2022-04-28

Similar Documents

Publication Publication Date Title
TWI590634B (zh) 關於一或多個電氣裝置來分配資訊之方法及其裝置
US20010056550A1 (en) Protective device for internal resource protection in network and method for operating the same
US20060109850A1 (en) IP-SAN network access control list generating method and access control list setup method
JP5239341B2 (ja) ゲートウェイ、中継方法及びプログラム
TW201312370A (zh) 與一公用雲端網路一同使用之方法及系統
WO2016155373A1 (zh) Dns安全查询方法和装置
CN106790420A (zh) 一种多会话通道建立方法和系统
US10389701B2 (en) Method and device for securely accessing a web service
EP2550784B1 (en) Method of securing access to data or services that are accessible via a device implementing the method and corresponding device
JP2010034901A (ja) 通信制御装置、通信制御方法および通信制御処理プログラム
JP2009272659A (ja) 通信制御装置、通信制御方法および通信システム
TWI744047B (zh) 利用網路arp協定進行終端設備認證方法
TWM608089U (zh) 應用於802.1x協定之網路終端設備認證系統
JP2010187314A (ja) 認証機能付きネットワーク中継機器及びそれを用いた端末の認証方法
KR20090072687A (ko) 인터넷 접속 서비스를 위한 망 접속 인증 시스템 및 그방법
TWI821633B (zh) 網路終端設備隔離認證方法
CN114598507B (zh) 攻击者画像生成方法、装置、终端设备及存储介质
US20080301305A1 (en) Method and related system for building up a network connection between clients and servers through a stream fork by utilizing http protocol
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.3(3)
Cisco Release Notes for the Cisco Secure PIX Firewall Version 5.3(4)
JP2010187223A (ja) 認証サーバ
JP2018082310A (ja) PaaS接続プログラム、PaaS接続方法及びPaaS接続装置
TW201318389A (zh) 管理網路裝置的系統及其方法
US20080301215A1 (en) NAT (Network Address Translation) traversal methods and systems
TWM613131U (zh) 網路終端設備隔離認證系統