TWI730925B - 基於軟體定義網路之網路時間管理系統及其方法 - Google Patents
基於軟體定義網路之網路時間管理系統及其方法 Download PDFInfo
- Publication number
- TWI730925B TWI730925B TW109139528A TW109139528A TWI730925B TW I730925 B TWI730925 B TW I730925B TW 109139528 A TW109139528 A TW 109139528A TW 109139528 A TW109139528 A TW 109139528A TW I730925 B TWI730925 B TW I730925B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- time
- terminal device
- service
- timeout
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000007726 management method Methods 0.000 claims description 85
- 230000008569 process Effects 0.000 claims description 59
- 230000005540 biological transmission Effects 0.000 claims description 56
- 230000006855 networking Effects 0.000 claims description 43
- 238000001514 detection method Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000008676 import Effects 0.000 claims description 4
- 230000004044 response Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 15
- 238000001994 activation Methods 0.000 description 18
- 230000004913 activation Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提出一種基於軟體定義網路之網路時間管理系統及其方法,透過網路控制器預先定義服務內的網路存取的時間範圍及定義合法終端設備資訊,進而控制合法終端設備的連網存取時間,且提供可在管控時間外結合外部認證機制進行連網存取,達到非時間管控內的連網存取需求。本發明利用網路控制器控制網路交換器上的規則限制合法終端設備的連網存取時間,有效的限制合法終端設備連網存取時間與管控機制,並結合認證機制以利增加管控網域內的網路安全。
Description
本發明係關於網路時間管理之技術,尤指一種基於軟體定義網路之網路時間管理系統及其方法。
當談及網路安全管控的時候,以現在複雜的資訊安全環境來說,往往已經難以定義網路安全所包含的面向,但是從技術面來看,網路時間管理是目前最直接的網路安全管理方法之一。對企業而言,普遍的威脅來自於使用者連線網路可能帶來的木馬或惡意程式,另一個則是使用者自行帶入的設備,造成同樣的病毒威脅,然而不論哪一種情況,如果能對設備的網路使用導入時間管控,將可降低企業內網的威脅。
在一現有技術中,台灣專利第I353137號「網路連線時間管理方法及其系統」之專利揭示,當客戶端要求取得連線時,依照客戶端的身份資料抓取預設的限制上網時段,並就目前要求連線的時間比對預先儲存時間管理的連線限制時段,確認目前是否落入於限制時段中,若是,即限制客戶端上網,反之,則令客戶進行一般上網,之後,再週期性地監控連線中的客戶端的連線時間是否已達或超過限制時段,再自動決定限制或開放上網。該案的時間管理機制分為三
種:立即限制、立即上網以及時間設定,然而此機制是搭配網際網路服務供應商(ISP)的帳號來進行管理,相較於企業網路是乙太網路隨插即用(Ethernet Plug-n-Play)特性,此時間管理機制無法應用於企業區域網路;另外,此機制的管控網路方式是將「目的」IP位址屬於要禁止上網的用戶封包丟棄,達到無法使用網路目的,然而此方式無法第一時間就將「來源」IP位址屬於要禁止上網的用戶封包丟棄,造成網路中存在許多無效「來源」IP位址封包,占用網路頻寬資源。
對於行動終端的時間管控,另一現有技術提出「移動終端上網時間的管控方法」專利(CN103825898A),其中,由管理者在服務平台開立用戶帳號和密碼,並基於該用戶帳號設定上網時間和管控策略,包括允許上網的時段和允許上網的時間訊息,而在被管控的移動終端上需要安裝上網時間管控的應用程式,需輸入用戶帳號和密碼與服務平台進行身份認證,若身份合法,則啟動應用讓該行動終端可使用網路,該應用實時判斷移動終端的上網時間已屆滿,若是,則控制移動終端的上網功能處於休眠狀態,惟,上述方式必須在終端上安裝軟體,當管控的終端數量龐大或是異動頻繁,安裝軟體工作變得繁複與管理不易,而且容易造成使用者不便。
在又一現有技術中,台灣專利第I259371號「時間管理系統及方法」專利,係採用時間方式管制資訊設備之使用時間,藉以提高資訊設備之保密性,該系統包含一個安全驗證模組、一個設定管理模組及一個控制執行模組,其方法是在資訊設備內部建立一使用時間設置程式,以供具有使用權限之管理人員得以透過該設置程式設定資訊設備之使用時間,讓資訊設備可依據該設定時間判別開放權限,以於超出該設定之使用時間範圍時即自動關機,藉此達到限定資訊設備使用時間及防止內部存放資料輕易為人窺知的功效。然而上述時間管理方
式仍是在資訊設備上安裝軟體,同樣會面臨需要變更使用者端設備才可以進行時間管理,加上如果想要變更時間設定,並無統一管理機制,而必須逐台登入進行設定,使用上會非常不便。
有鑑於此,如何提供一種網路時間管理之技術,若能從來源的設備IP位址就進行管控,也能避免網路上有許多無效封包而影響網路,特別的是,不需要在用戶設備端安裝任何軟體,即可達到網路管理目的,此將成為目前本技術領域人員努力追求之目標。
為解決上述現有技術之問題,本發明提出一種基於軟體定義網路之網路時間管理方法,係包括:於網路控制器中創立子網路、設定網路服務閘道器以及設定連網時間和超時連網服務之資訊;於終端設備與該網路控制器連線時,令該網路控制器依據該子網路之資訊對該終端設備進行開通,以及將網路傳送規則設定至網路交換器中以供該終端設備使用連網功能;以及令該網路控制器依據該連網時間進行檢測,以於該終端設備處於該連網時間內時,使該終端設備正常使用該連網功能,而於該終端設備處於該連網時間外且設有該超時連網服務時,由網路存取控制系統執行超時處理。
於一實施例中,該於該網路控制器中創立子網路、設定網路服務閘道器以及設定連網時間和超時連網服務之資訊之步驟,係包括下列子步驟:設定該網路控制器管轄之終端設備的範圍,以成為該子網路;依據該終端設備需連線之服務閘道器,於該網路控制器中設定該子網路連接至該服務閘道器以及連接至該服務閘道器之參數;創立連網時間服務叢集、超時連網服務叢集、該網路
存取控制系統以及設定永久連網服務叢集,其中,該網路存取控制系統用於管控中之該終端設備的連網功能認證;以及設定該連網時間的時段、該超時連網服務的使用時間以及該網路存取控制系統存取之網路與認證系統。
於一實施例中,於該網路控制器依據該子網路之資訊對該終端設備進行開通之步驟,係包括下列子步驟:以匯入該終端設備資料或以自動偵測方式,令該終端設備加入創立該子網路時所建立之服務叢集中;以及基於各該終端設備加入之服務叢集以及服務閘道器之參數與連接埠,令該網路控制器依據該終端設備加入之服務叢集開通該終端設備之連網服務,以及產生對應之該網路傳送規則,以設定該網路傳送規則於該網路交換器中。
於一實施例中,該網路控制器依據該連網時間進行檢測之步驟係包括令該網路控制器定期檢查目前時間是否在設定之該連網時間內,以於該目前時間在該連網時間內時,進一步判斷是否已開通服務,而若該目前時間不在該連網時間內時,則執行該超時處理。
於一實施例中,該判斷是否已開通服務步驟係包括:令該網路控制器判斷連網時間服務叢集內之終端設備是否已開通過服務,若已通過,則持續定期檢測是否超時,而若未開通,則進行該終端設備之服務開通。
於一實施例中,該網路存取控制系統執行超時處理之步驟係包括:於該網路控制器設定有該網路存取控制系統及該超時連網服務下,令該終端設備連線至該網路存取控制系統,以由該網路存取控制系統進行認證;以及於該終端設備認證成功後,令該網路控制器開通該終端設備之連網功能,並定時檢測是否達到超時連網時間。
於上述實施例中,令該終端設備連線至該網路存取控制系統以由該網路存取控制系統進行認證之步驟,係包括下列子步驟:令該網路控制器清除該終端設備位於該網路交換器之該網路傳送規則;以及令該網路控制器依據創立該子網路時所設定的附加服務,於該網路交換器中設定連線至該網路存取控制系統的網路傳送規則,以使該終端設備僅能連線至該網路存取控制系統進行認證。
於上述實施例中,令該網路控制器開通該終端設備之連網功能之步驟,係包括下列子步驟:令該網路控制器將認證通過之終端設備加入超時連網服務叢集並開通服務,以產生該認證通過之終端設備連線至該服務閘道器的超時網路傳送規則,傳送該超時網路傳送規則至該網路交換器中,俾使該認證通過之終端設備於該超時連網服務的時間內正常使用該連網功能;以及令該網路控制器持續檢測該超時連網服務叢集內之終端設備超時時間,以於使用時間內,令該認證通過之終端設備繼續使用該連網功能,以及於時間到後,由該網路控制器移除該認證通過之終端設備的該超時網路傳送規則。
於上述方法中,復包括利用網路流量檢測工具檢測該網路交換機之連接埠,以於該終端設備在該連網時間或該超時連網服務外仍有超過預定數量之封包持續發送時,判斷該終端設備為異常。
本發明復提出一種基於軟體定義網路之網路時間管理系統,係包括:伺服器,係用於儲存終端設備之連網時間及超時連網服務之資訊;網路交換器,係用於傳送封包;實體控制器,係用於將網路傳送規則設定至該網路交換器中,且該實體控制器內具有用於定期檢查時間之計時器;以及網路存取控制系統,係用於在該終端設備處於該連網時間外且設有該超時連網服務時,執行該終
端設備之連網認證,其中,該計時器用於確認目前時間是否處於該連網時間,以於該目前時間處於該連網時間時,透過該網路交換器傳送該終端設備所發出之封包至服務閘道器以及透過該網路交換器接收由該服務閘道器所回傳之回應封包,而於該目前時間為該連網時間外且設有該超時連網服務時,經由該網路存取控制系統進行認證,以將新的網路傳送規則紀錄於該伺服器並更新該網路交換器中原本的網路傳送規則,俾使該終端設備發出之封包由該網路交換器傳送。
綜上可知,本發明為一種利用軟體定義網路架構控制管理網路存取時間的方式,其著重於透過網路控制器統一管控網路交換器下的合法終端設備的連網存取時間,在超過連網存取時間外將會被停止使用連網功能,並結合外部認證機制達成連網存取時間外的連網需求,再者,作為軟體定義網路架構控制管理網路存取時間,可自行定義多組不同網路存取的時間範圍或是定義無時間管理的服務,並將不同連網存取時間需求的合法終端設備各自加入至不同的服務內,有效的透過網路控制器管控不同存取時間需求的合法終端設備,對於網路管理者增加了網路控管的便利性及彈性的控制不同的終端設備網路存取時間。另外,本發明所揭示之基於軟體定義網路之網路時間管理系統及其方法,利用軟體定義網路的特性,可以集中管理設備的網路開通時間,而且不需要在用戶設備端安裝任何軟體,即可達到網路管理目的,再者,本發明之時間管理方式係從來源的設備IP位址就進行管控,不會造成網路有許多無效封包,而影響網路。
11-15:階段
111-114:流程
121-122:流程
131-132:流程
141-142:流程
151-153:流程
211-216:流程
311-319:流程
31:網路管理者
32、42:網路控制器
33、43:終端設備
34、44:網路交換器
35、45:服務閘道器
36、46:網路存取控制系統
321、421:計時器
322、422:伺服器
S11-S13:步驟
圖1為本發明之基於軟體定義網路之網路時間管理方法之步驟圖。
圖2為本發明之基於軟體定義網路之網路時間管理方法之時序流程圖。
圖3為本發明之基於軟體定義網路之網路時間管理系統及其方法之設定網路時間管理與開通流程示意圖。
圖4為本發明之基於軟體定義網路之網路時間管理系統及其方法之時間外管控與開通流程示意圖。
圖5為本發明基於軟體定義網路之網路時間管理系統的架構圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
傳統交換器設備中無時間管控概念,且較困難於統一管控,並且缺乏對於終端設備動態的開通與阻斷,本發明是基於網路控制器定義各式不同存取時間的服務提供給不同需求的使用者,能夠依照使用者自行定義的服務給予不同使用者動態的操作合法終端設備的網路存取時間,且可額外設定並結合外部認證機制,達到非管控時間內的網路存取需求。
圖1為本發明之基於軟體定義網路之網路時間管理方法之步驟圖。本發明係提出集中式管理與控制終端設備連網功能之網路時間管理方法,根據網路管理者需求,於網路控制器中設定子網路與網路時間管理規則,來限制正常連網功能時間,並可以視需求設定網路存取控制系統認證,於時間外讓認證設備可以使用連網功能。
於步驟S11,於網路控制器中創立子網路、設定網路服務閘道器以及設定連網時間和超時連網服務之資訊。於本步驟中,可視為創立子網路階段,網路管理者於網路控制器創立子網路,並設定網路服務閘道器與設定附加服務與相關時間設定。
於一實施例中,步驟S11進一步包含下列步驟:設定該網路控制器管轄之終端設備的範圍,以成為該子網路;依據該終端設備需連線之服務閘道器,於該網路控制器中設定該子網路連接至該服務閘道器以及連接至該服務閘道器之參數;創立連網時間服務叢集、超時連網服務叢集、該網路存取控制系統以及設定永久連網服務叢集,其中,該網路存取控制系統用於管控中之該終端設備的連網功能認證;以及設定該連網時間的時段、該超時連網服務的使用時間以及該網路存取控制系統存取之網路與認證系統。
於步驟S12,於終端設備連線時,令該網路控制器依據該子網路之資訊對該終端設備進行開通,以及將網路傳送規則設定至網路交換器中以供該終端設備使用連網功能。於本步驟中,可視為終端設備開通階段,終端設備連上時,網路控制器會依據套用的子網路對終端設備進行開通,並將網路傳送規則設定至網路交換器中供終端設備使用連網功能。
於一實施例中,步驟S12進一步包含下列步驟:以匯入該終端設備資料或以自動偵測方式,令該終端設備加入創立該子網路時所建立之服務叢集中;以及基於各該終端設備加入之服務叢集以及服務閘道器之參數與連接埠,令該網路控制器依據該終端設備加入之服務叢集開通該終端設備之連網服務,以及產生對應之該網路傳送規則,以設定該網路傳送規則於該網路交換器中。
於步驟S13,令該網路控制器依據該連網時間進行檢測,以於該終端設備處於該連網時間內時,使該終端設備正常使用該連網功能,而於該終端設備處於該連網時間外且設有該超時連網服務時,由網路存取控制系統執行超時處理。於本步驟中,可視為時間檢測階段,網路控制器會依據連網時間進行檢測,若時間內可以正常使用連網功能,時間若超過連網時間則會進行超時處理。
於一實施例中,步驟S13進一步包含下列步驟:該網路控制器定期檢查目前時間是否在設定之該連網時間內,以於該目前時間在該連網時間內時,進一步判斷是否已開通服務,而若該目前時間不在該連網時間內時,則執行該超時處理。另外,前述判斷是否已開通服務的方式,即令該網路控制器判斷連網時間服務叢集內之終端設備是否已開通過服務,若已通過,則持續定期檢測是否超時,而若未開通,則進行該終端設備之服務開通。
關於前述網路存取控制系統執行超時處理之步驟,係包括:於該網路控制器設定有該網路存取控制系統及該超時連網服務下,令該終端設備連線至該網路存取控制系統,以由該網路存取控制系統進行認證,以及於該終端設備認證成功後,令該網路控制器開通該終端設備之連網功能,並定時檢測是否達到超時連網時間。簡言之,上述可視為超時處理階段以及超時開通階段,網路控制器會依據是否有設定網路存取控制系統與超時連網服務,若有設定下,則使用終端設備至網路存取控制系統的網路傳送規則,亦即終端設備須經由路存取控制系統認證才能使用連網功能,接著,終端設備認證成功後,網路控制器會開通終端設備連網功能,並定時檢測是否已達超時連網時間。
前述令該終端設備連線至該網路存取控制系統以由該網路存取控制系統進行認證之步驟,係包括:該網路控制器清除該終端設備位於該網路交
換器之該網路傳送規則;以及該網路控制器依據創立該子網路時所設定的附加服務,於該網路交換器中設定連線至該網路存取控制系統的網路傳送規則,以使該終端設備僅能連線至該網路存取控制系統進行認證。
前述令該網路控制器開通該終端設備之連網功能之步驟,係包括:該網路控制器將認證通過之終端設備加入超時連網服務叢集並開通服務,以產生該認證通過之終端設備連線至該服務閘道器的超時網路傳送規則,傳送該超時網路傳送規則至該網路交換器中,俾使該認證通過之終端設備於該超時連網服務的時間內正常使用該連網功能;以及該網路控制器持續檢測該超時連網服務叢集內之終端設備超時時間,以於使用時間內,令該認證通過之終端設備繼續使用該連網功能,以及於時間到後,由該網路控制器移除該認證通過之終端設備的該超時網路傳送規則。
本發明藉由透過創立子網路階段,可以設定管轄的範圍與需求的服務功能和服務時間,並於終端設備開通階段,將管轄內的終端設備分別使用匯入或自動偵測至相對應的服務叢集中,終端設備開通階段則開始檢測是否已超過設定時間,若超過後至超時處理階段,使終端設備無法使用連網功能或只能連至網路存取控制系統認證,超時開通階段則會開通認證過的終端設備連網功能,藉此幫助網路管理者可以有效率的管理終端設備與增加網路安全。
下面透過具體實施例以說明本發明。本發明是一種基於軟體定義網路,集中式管理與控制終端設備連網功能之網路時間管理系統及其方法,能根據網路管理者於網路控制器中設定子網路與網路時間管理系統,在此子網路設定中的終端設備根據網路時間管理系統設定的時間內可以正常使用連網功能,超過網路時間管理系統設定的時間外將會被停止使用連網功能。此網路時間管
理系統及其方法可整合網路存取控制系統,若使用者需要在網路時間管理系統設定的時間外使用連網功能,則可經由網路存取控制系統認證成功後,網路控制器則開通終端設備連網功能服務並記錄日誌。
圖2為本發明之基於軟體定義網路之網路時間管理方法之時序流程圖,如圖所示,本發明的系統流程主要分為五個階段,分別是創立子網路階段11、終端設備開通階段12、時間檢測階段13、超時處理階段14與超時開通階段15。
在創立子網路階段11,網路管理者根據管轄的網段和終端設備,至網路控制器設定符合自己需求的子網路和各項服務的網路時間管理系統,其包括流程111的創立子網路、流程112的設定對外服務閘道器、流程113的設定附加服務、以及流程114的設定附加服務內容。
首先,於流程111中,網路管理者需要在網路控制器創立子網路,網路管理者要先設定管轄的終端設備範圍,包含但不限於IPv4網段、IPv6網段、來源網路交換器連接埠等範圍,以設定子網路,並在有設定範圍內的終端設備加入網路時,會加入符合設定的子網路。接者,於流程112中,網路管理者於網路控制器設定此子網路連接的對外服務閘道器,並可以設定連接此服務閘道器的參數,包含但不限於VLAN、網路交換器連接埠等資訊,並記住服務閘道器的連接埠位置。之後,於流程113中,網路管理者創立連網時間服務叢集,另外也可以選擇創立超時連網服務叢集與網路存取控制系統,使管控中的終端設備可以經由認證使用連網功能,另外,還可設定永久連網服務叢集,將不需要管控的終端設備加入並永久可以使用連網功能。最後,於流程114中,網路管理者在此階段設定網路時間管理,設定連網時間服務的時段,如果有在流程113設定超時連
網服務與網路存取控制系統,也須一併設定超時連網服務的使用時間,和網路存取控制系統存取的網路與認證系統。
完成創立子網路階段11後,即進入終端設備開通階段12,網路管理者開始使用匯入或偵測方式將管轄的終端設備加入子網路中,並分別選擇每個終端設備需要加入服務叢集後,網路控制器下傳網路傳送規則於網路交換器中以達成終端設備連網功能,其中包括流程121的終端設備套入子網路以及流程122的開通服務功能。簡言之,於流程121中,網路管理者將匯入終端設備資料或以自動偵測方式於創立子網路階段11設定的子網路,並且加入創立子網路階段11創立的服務叢集中,之後,於流程122中,網路控制器根據每台終端設備加入的服務叢集,與創立子網路階段11設定的服務閘道器的參數與連接埠,網路控制器依據終端設備加入的服務叢集開通連網服務並產生對應的網路傳送規則,並將網路傳送規則設定於網路交換器中,讓套用服務叢集的終端設備可以正常使用連網功能,若有設定連網時間服務叢集,則須進入時間檢測階段13進行時間管理之判斷,若只設定永久連網服務叢集,則不需要進入時間檢測階段13,永久開通連網功能。
在時間檢測階段13中,網路控制器將會開始依照於創立子網路階段11設定之連網時間檢測連網時間服務叢集的狀態,其包括流程131的檢測是否超時以及流程132的判斷是否已開通服務。簡言之,於流程131中,網路控制器會依據創立子網路階段11中連網時間服務設定的正常連網時間,定時檢查目前的時間是否在網路管理者設定的連網時間服務連網時間內,若目前時間在連網時間服務的連網時間內,則進入流程132,反之,則進入超時處理階段14,在判斷是否已開通服務的流程132中,網路控制器會判斷此連網時間服務叢集內的終端
設備是否已經開通過服務,若開通過,則回到流程131持續判斷是否於時間內,若尚未開通過,則回至終端設備開通階段12的流程122。
當時間超過連網時間後,將會進入在超時處理階段14,網路控制器會因為時間已經超過連網時間服務設定的時間,需要處理終端設備的網路傳送規則,其包括流程141的切斷連網功能以及流程142的附加服務處理與認證。於流程141中,因為已於創立子網路階段11中設定的連網時間外,網路控制器根據在連網時間服務叢集內的終端設備資訊,清除上述終端設備位於網路交換器的網路傳送規則,此時於連網時間服務叢集內的所有終端設備將會切斷連網功能,若網路管理者有於創立子網路階段11設定附加服務(例如超時連線),則會進入流程142,網路控制器會設定依照創立子網路階段11內附加服務,設定連至網路存取控制系統的網路傳送規則(即超時網路傳送規則),終端設備要嘗試使用連網功能時,只能連至網路存取控制系統認證,若認證不成功,則回時間檢測階段13,判斷時間是否為連網時間內再開通網路,若認證成功,則進至超時開通階段15。
在超時開通階段15,網路控制器會依據創立子網路階段11設定的超時連網服務設定網路傳送規則,並於超時連網服務設定的時間後移除對應的網路傳送規則,其包括流程151的開通超時連網服務、流程152的檢測是否在超時有效時限內以及流程153的清除超時連網功能。於流程151中,於超時處理階段14認證成功後,網路控制器會依據由網路存取控制系統的資訊將認證通過的終端設備加入超時連網服務叢集並開通服務,並產生認證成功的終端設備連至服務閘道器的超時網路傳送規則至網路交換器中,使終端設備於超時連網設定的時間內可以正常使用連網功能,而後於流程152中,網路控制器持續檢測超時連網服務叢集內的終端設備超時時間,若於使用時間內則可繼續使用連網功能,反
之,時間到後則進入流程153,網路控制器會移除此終端設備的超時網路傳送規則,此時終端設備將會切斷連網功能,並回時間檢測階段13。
圖3為本發明之基於軟體定義網路之網路時間管理系統及其方法之設定網路時間管理與開通流程示意圖,係說明子網路設定與開通流程。如圖所示,首先,於流程211,網路管理者31根據管轄的網段和終端設備,至網路控制器32設定符合自己需求的子網路、使用的服務、網路時間管理系統和網路存取控制系統,之後,於流程212,網路控制器32依據網路管理者31匯入的終端設備33開通資料,將網路傳送規則設定至網路交換器,於流程213,當終端設備33連網路時,經過網路交換器34,於流程214,網路交換器34會將有開通過的終端設備33依照網路傳送規則將封包送往服務閘道器35,接著,於流程215,服務閘道器35回傳回應封包至網路交換器34,最後,於流程216,依照開通設定的網路傳送規則將回應封包送回終端設備33,以達成終端設備33可以正常使用連網功能。
由於傳統的交換器設備中無時間管控概念,本發明透過軟體定義網路架構可將網路存取時間的資訊記錄在網路控制器32中,由網路控制器32分門別類的對不同合法的終端設備33進行時間管控,且由於軟體定義網路架構下可全部由單一網路控制器32控制所有的網路交換器34,讓網路管理者31可便利且彈性的控制任一個合法終端設備33的存取能力與時間。
圖4為本發明之基於軟體定義網路之網路時間管理系統及其方法之時間外管控與開通流程示意圖,係說明網路存取控制系統的超時開通流程。如圖所示,於流程311,網路控制器32內部的計時器(Timer)321會定期檢測時間,若時間已經超過連網時間,則進入流程312,即告知網路控制器32須要移除連網時間網路傳送規則,接著於流程313,網路控制器32會依照設定,移除網路交換器
34的連網時間網路傳送規則與設定聯至網路存取控制系統36的網路傳送規則,之後,於流程314中,當終端設備33這時候使用連網功能時,則進入流程315,網路交換器34會將封包送至網路存取控制系統36,若認證成功後,則進入流程316,網路存取控制系統36會將終端設備33資訊送至網路控制器32內部的實體伺服器322儲存,網路控制器32依據於網路存取控制系統36開通的終端設備33,產生此終端設備33連至服務閘道器35的網路傳送規則,並設置於網路交換器34中,後續,當終端設備33使用連網功能後,即流程318,則網路交換器34會將封包送至服務閘道器35,即流程319,終端設備33可以正常使用連網功能。
本發明目的是將使用者的合法終端設備做時間上的分權管控機制,依照網路管理者定義不同使用者的網路存取時間,且可依照使用需求將需要在網路存取時間外有額外的連網需求時,可以結合認證機制進行時間管控存取並以利紀錄使用者連網時間,另外,一般的被動式網路設備或是物聯網(IoT)設備可以搭配無時間管理的服務,使得此類設備不受網路存取的時間限制。
由網路控制器32預先設定網路存取的時間的服務內容,並將合法終端設備33加入此服務中,加入之後網路控制器32會定時檢查目前的時間是否在網路管理者31設定的連網時間服務連網時間內,若在時間內則不進行處理,若超出時間外則會透過網路控制器32觸發斷網功能,傳送阻斷的規則至網路交換器34中進行連網阻斷,受到連網阻斷的終端設備33則無法進行連網存取,若此合法終端設備33所加入的服務內有提供外部認證機制,則此用戶可透過網頁輸入認證後再由網路控制器32傳送對此合法終端設備開通的規則至網路交換器34,因此,網路管理者31僅須操作網路控制器32即可控管全域網路架構下的合法終端設備33,並藉由軟體定義網路架構控制管理網路存取時間提供網路安全性與便利性。
圖5為本發明基於軟體定義網路之網路時間管理系統的架構圖。如圖所示,網路時間管理系統包括伺服器422及計時器421之網路控制器42、網路交換器44連接著伺服器422、終端設備43、服務閘道器45和網路存取控制系統46,伺服器422為軟體定義網路(SDN)控制器示意圖,包括軟硬體皆可,不侷限於硬體伺服器,網路交換器44為SDN交換器之示意圖,包括軟硬體皆可,不侷限於硬體交換器,本系統可一般化至多台SDN交換器架構,終端設備43也不限於軟硬體,並可以一般化至多台終端設備架構。
伺服器422端會依據由網路管理者設定的連網、超時時間服務等資訊,並配合計時器421定期檢查時間,將對應的網路傳送規則設定至網路交換器44中,網路交換器44作為傳送封包功能,由終端設備43於連網時間內可以將封包送至服務閘道器45,而連網時間外若有設定超時服務則將只可連至網路存取控制系統46進行認證,並於認證完後紀錄於伺服器422端並更新網路交換器44的網路傳送規則,讓終端設備43可送封包至服務閘道器45,其詳細的運作步驟和流程如前面方法所述。
本發明的設計著重於終端設備集中式管理並設定網路時間管理系統,以控制終端設備連網功能,能與支援同樣方法的網路控制器協同設定子網路,組成多網域的終端設備網路時間管理系統,並根據網路管理者設定的網路時間管理系統,終端設備於網路時間管理內正常使用連網功能,於網路時間管理外則依據是否有超時與認證的附加服務,實施網路管理者設定的功能,此方式可以使網路管理者更有效的管理終端設備與增加網路安全。
本發明可適用於數種不同的終端設備供網路管理者設定,如工作場所,網路管理者在設定網路時間管理系統時,可根據不同的終端設備而有不同
的時間設定需求,一般工作者終端設備需要符合連網時間管理功能,網路管理者可以於子網路中創立連網時間服務叢集,並設定正常上班連網時間,並將一般工作者終端設備加入連網時間服務叢集,只允許於上班連網時間內使用連網功能,而被動終端設備,包含但不限於門禁刷卡機等IoT終端設備等需要隨時能使用連網功能,因此於設定永久連網服務叢集,加入此服務叢集的終端設備均可以隨時使用連網功能,並將門禁刷卡機等IoT終端設備加入永久連網服務叢集。而若一般工作者需要加班,終端設備需要於連網時間服務叢集設定的時間外使用連網功能,網路管理者可以在子網路中設定網路存取控制系統與超時連網服務叢集功能,並設定超時連網服務叢集的網路使用時間,和網路存取控制能存取的網路與認證系統。一般工作者若於連網時間服務叢集設定的時間後需要使用連網功能,只允許連上網路存取控制系統,若經由此系統認證後,紀錄日誌於網路控制器,並將使用者終端設備加入超時連網服務叢集,並於使用時間內可以正常使用連網功能,超過設定時間後終端設備將被移出超時連網服務叢集並切斷連網功能,需要再次於網路存取控制系統認證或等待連網時間服務叢集設定的時間到方可重新正常使用連網功能。此功能可大量應用於學校或公司網路,讓一般用戶只能於連網時間服務叢集設定時間內使用連網功能,若需要在連網時間服務叢集設定時間外使用連網功能,需經過網路存取控制系統取得認證才可使用,並會記錄日誌於網路控制器供網路管理者確認身分,有效管理終端設備與增加網路安全。一般的被動終端設備包含但不限於門禁系統、投影機等皆加入永久連網服務叢集。
除了使用網路時間管理系統方法來達成控管終端設備外,本發明也能用來檢測控管網路終端設備是否有異常狀態。控管終端設備於連網時間服
務叢集設定的時間外,經由網路流量檢測工具,透過網路交換機的連接埠檢測,若終端設備於管理時間外還有大量封包持續發送時,則網路管理者可於得知此訊息後去確認此終端設備是否異常,或者是否有非法使用者在時間外嘗試使用連網功能,甚至意圖攻擊其他終端設備或網路系統如分散式阻斷服務,網路管理者得以及時處理並解決終端設備問題或查出非法使用的終端設備。
本發明方法的核心在於終端設備連網功能管理,經由設定正常連網時間服務叢集,使加入此服務叢集的終端設備只能於連網時間服務叢集設定的時間內正常使用連網功能,時間外則須經由網路管理者認可才能使用連網功能,否則須等到下次正常連網時間到時才能再次使用連網功能,並可以設定網路存取控制系統與超時連網服務。
實作本發明是基於軟體定義網路架構,利用軟體定義網路架構可程式化的特性與網路控制器集中式管理網路交換器的特性,由網路控制器根據網路管理者設定的服務與網路時間管理系統,管理旗下的終端設備與網路控制器,來有效管理終端設備與增加網路安全,以達成終端設備控管的需求。
綜上所述,本發明為一種基於軟體定義網路,集中式管理與控制終端設備連網功能之網路時間管理系統及其方法,相較於現有技術更具備下列優點:(1)本發明不需要綁定ISP系統,可以應用於企業區域網路。(2)本發明不須在終端上安裝軟體,只需要網路管理者於網路控制器設定相關服務,終端設備皆可納入管控。(3)相較習知技術仍是在資訊設備上安裝軟體且無統一管理機制,本發明只須於操作網路控制器則可以修改時間管理系統相關功能。(4)本發明能夠依照使用者自行定義的服務給予不同使用者動態的操作合法終端設備的網路存取時間,且可額外設定並結合外部認證機制,達到非管控時間內的網路存取需
求。(5)本發明根據網路管理者設定的網路時間管理系統,終端設備於網路時間管理內正常使用連網功能,於網路時間管理外則依據是否有超時與認證的附加服務,實施網路管理者設定的功能,此方式可以使網路管理者更有效的管理終端設備與增加網路安全。
上述實施例僅為例示性說明,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與改變。因此,本發明之權利保護範圍係由本發明所附之申請專利範圍所定義,只要不影響本發明之效果及實施目的,應涵蓋於此公開技術內容中。
S11-S13:步驟
Claims (9)
- 一種基於軟體定義網路之網路時間管理方法,係包括:於網路控制器中創立子網路、設定網路服務閘道器以及設定連網時間和超時連網服務之資訊;於終端設備與該網路控制器連線時,令該網路控制器依據該子網路之資訊對該終端設備進行開通,以及將網路傳送規則設定至網路交換器中以供該終端設備使用連網功能,其中,開通之步驟係包括以匯入該終端設備資料或以自動偵測方式,令該終端設備加入創立該子網路時所建立之服務叢集中,以及基於各該終端設備加入之服務叢集以及服務閘道器之參數與連接埠,令該網路控制器依據該終端設備加入之服務叢集開通該終端設備之連網服務,以及產生對應之該網路傳送規則,以設定該網路傳送規則於該網路交換器中;以及令該網路控制器依據該連網時間進行檢測,以於該終端設備處於該連網時間內時,使該終端設備正常使用該連網功能,而於該終端設備處於該連網時間外且設有該超時連網服務時,由網路存取控制系統執行超時處理。
- 如請求項1所述之基於軟體定義網路之網路時間管理方法,其中,該於該網路控制器中創立子網路、設定網路服務閘道器以及設定連網時間和超時連網服務之資訊之步驟,係包括下列子步驟:設定該網路控制器管轄之終端設備的範圍,以成為該子網路;依據該終端設備需連線之該服務閘道器,於該網路控制器中設定該子網路連接至該服務閘道器以及連接至該服務閘道器之參數;創立連網時間服務叢集、超時連網服務叢集、該網路存取控制系統以及設定永久連網服務叢集,其中,該網路存取控制系統用於管控中之該終端設備的連網 功能認證;以及設定該連網時間的時段、該超時連網服務的使用時間以及該網路存取控制系統存取之網路與認證系統。
- 如請求項1所述之基於軟體定義網路之網路時間管理方法,其中,該網路控制器依據該連網時間進行檢測之步驟係包括令該網路控制器定期檢查目前時間是否在設定之該連網時間內,以於該目前時間在該連網時間內時,進一步判斷是否已開通服務,而若該目前時間不在該連網時間內時,則執行該超時處理。
- 如請求項3所述之基於軟體定義網路之網路時間管理方法,其中,該判斷是否已開通服務步驟係包括:令該網路控制器判斷連網時間服務叢集內之終端設備是否已開通過服務,若已通過,則持續定期檢測是否超時,而若未開通,則進行該終端設備之服務開通。
- 如請求項1所述之基於軟體定義網路之網路時間管理方法,其中,該網路存取控制系統執行超時處理之步驟係包括:於該網路控制器設定有該網路存取控制系統及該超時連網服務下,令該終端設備連線至該網路存取控制系統,以由該網路存取控制系統進行認證;以及於該終端設備認證成功後,令該網路控制器開通該終端設備之連網功能,並定時檢測是否達到超時連網時間。
- 如請求項5所述之基於軟體定義網路之網路時間管理方法,其中,令該終端設備連線至該網路存取控制系統以由該網路存取控制系統進行認證之步驟,係包括下列子步驟:令該網路控制器清除該終端設備位於該網路交換器之該網路傳送規則;以 及令該網路控制器依據創立該子網路時所設定的附加服務,於該網路交換器中設定連線至該網路存取控制系統的網路傳送規則,以使該終端設備僅能連線至該網路存取控制系統進行認證。
- 如請求項5所述之基於軟體定義網路之網路時間管理方法,其中,令該網路控制器開通該終端設備之連網功能之步驟,係包括下列子步驟:令該網路控制器將認證通過之終端設備加入超時連網服務叢集並開通服務,以產生該認證通過之終端設備連線至該服務閘道器的超時網路傳送規則,再傳送該超時網路傳送規則至該網路交換器中,俾使該認證通過之終端設備於該超時連網服務的時間內正常使用該連網功能;以及令該網路控制器持續檢測該超時連網服務叢集內之終端設備超時時間,以於使用時間內,令該認證通過之終端設備繼續使用該連網功能,以及於時間到後,由該網路控制器移除該認證通過之終端設備的該超時網路傳送規則。
- 如請求項1所述之基於軟體定義網路之網路時間管理方法,復包括利用網路流量檢測工具檢測該網路交換機之連接埠,以於該終端設備在該連網時間或該超時連網服務外仍有超過預定數量之封包持續發送時,判斷該終端設備為異常。
- 一種基於軟體定義網路之網路時間管理系統,係包括:伺服器,係用於儲存終端設備之連網時間及超時連網服務之資訊;網路交換器,係用於傳送封包;實體控制器,係用於將網路傳送規則設定至該網路交換器中,且該實體控制器內具有用於定期檢查時間之計時器,其中,該實體控制器於該終端設備與其連 線時依據該子網路之資訊對該終端設備進行開通,以匯入該終端設備資料或以自動偵測方式,令該終端設備加入創立該子網路時所建立之服務叢集中,以及基於各該終端設備加入之服務叢集以及服務閘道器之參數與連接埠,令該網路控制器依據該終端設備加入之服務叢集開通該終端設備之連網服務,以及產生對應之該網路傳送規則,以設定該網路傳送規則於該網路交換器中;以及網路存取控制系統,係用於在該終端設備處於該連網時間外且設有該超時連網服務時,執行該終端設備之連網認證,其中,該計時器用於確認目前時間是否處於該連網時間,以於該目前時間處於該連網時間時,透過該網路交換器傳送該終端設備所發出之封包至該服務閘道器以及透過該網路交換器接收由該服務閘道器所回傳之回應封包,而於該目前時間為該連網時間外且設有該超時連網服務時,經由該網路存取控制系統進行認證,以將新的網路傳送規則紀錄於該伺服器並更新該網路交換器中原本的網路傳送規則,俾使該終端設備發出之封包由該網路交換器傳送。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109139528A TWI730925B (zh) | 2020-11-12 | 2020-11-12 | 基於軟體定義網路之網路時間管理系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109139528A TWI730925B (zh) | 2020-11-12 | 2020-11-12 | 基於軟體定義網路之網路時間管理系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI730925B true TWI730925B (zh) | 2021-06-11 |
| TW202220413A TW202220413A (zh) | 2022-05-16 |
Family
ID=77517475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109139528A TWI730925B (zh) | 2020-11-12 | 2020-11-12 | 基於軟體定義網路之網路時間管理系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI730925B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080064427A1 (en) * | 2006-09-11 | 2008-03-13 | Luebke Charles J | Wireless communication network, sub-system therefor and method of configuring a non-native network device employing an adapter |
| US20080209273A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Detect User-Perceived Faults Using Packet Traces in Enterprise Networks |
| TWI353137B (zh) * | 2007-01-19 | 2011-11-21 | ||
| CN103249059A (zh) * | 2012-02-13 | 2013-08-14 | 联想(北京)有限公司 | 一种监控方法、装置及设备 |
| US20140146679A1 (en) * | 2009-06-30 | 2014-05-29 | New Renaissance Technology And Intellectual Property | FLOW STATE AWARE MANAGEMENT OF QoS THROUGH DYNAMIC AGGREGATE BANDWIDTH ADJUSTMENTS |
| WO2020034106A1 (zh) * | 2018-08-14 | 2020-02-20 | Oppo广东移动通信有限公司 | 一种网络接入方法、终端设备及网络设备 |
-
2020
- 2020-11-12 TW TW109139528A patent/TWI730925B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080064427A1 (en) * | 2006-09-11 | 2008-03-13 | Luebke Charles J | Wireless communication network, sub-system therefor and method of configuring a non-native network device employing an adapter |
| TWI353137B (zh) * | 2007-01-19 | 2011-11-21 | ||
| US20080209273A1 (en) * | 2007-02-28 | 2008-08-28 | Microsoft Corporation | Detect User-Perceived Faults Using Packet Traces in Enterprise Networks |
| US20140146679A1 (en) * | 2009-06-30 | 2014-05-29 | New Renaissance Technology And Intellectual Property | FLOW STATE AWARE MANAGEMENT OF QoS THROUGH DYNAMIC AGGREGATE BANDWIDTH ADJUSTMENTS |
| CN103249059A (zh) * | 2012-02-13 | 2013-08-14 | 联想(北京)有限公司 | 一种监控方法、装置及设备 |
| WO2020034106A1 (zh) * | 2018-08-14 | 2020-02-20 | Oppo广东移动通信有限公司 | 一种网络接入方法、终端设备及网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202220413A (zh) | 2022-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8510803B2 (en) | Dynamic network access control method and apparatus | |
| US9210193B2 (en) | System and method for flexible network access control policies in a network environment | |
| US8001610B1 (en) | Network defense system utilizing endpoint health indicators and user identity | |
| US7581249B2 (en) | Distributed intrusion response system | |
| US9369299B2 (en) | Network access control system and method for devices connecting to network using remote access control methods | |
| US8108909B2 (en) | Systems and methods of controlling network access | |
| US8831011B1 (en) | Point to multi-point connections | |
| US10938819B2 (en) | Poisoning protection for process control switches | |
| US10425419B2 (en) | Systems and methods for providing software defined network based dynamic access control in a cloud | |
| CA2570783C (en) | Systems, methods and computer-readable media for regulating remote access to a data network | |
| US20070204333A1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
| EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
| CN101188557B (zh) | 管理用户上网行为的方法、客户端、服务器和系统 | |
| US11258794B2 (en) | Device category based authentication | |
| JP2007500396A (ja) | 動的ネットワーク・ポリシー管理のシステムと方法 | |
| JP4120415B2 (ja) | トラフィック制御計算装置 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| Pradana et al. | The dhcp snooping and dhcp alert method in securing dhcp server from dhcp rogue attack | |
| US20160378956A1 (en) | Secure management of host connections | |
| TWI730925B (zh) | 基於軟體定義網路之網路時間管理系統及其方法 | |
| US20100325718A1 (en) | Automatic Firewall Configuration | |
| TW202034658A (zh) | 立基於軟體定義網路之IPv6存取管理系統及其方法 | |
| CN120602120A (zh) | 一种园区网络高效安全管控方法、系统、设备及介质 | |
| KR20240048158A (ko) | 무선 네트워크 인프라를 위한 제로 트러스트 구조 기반의 연합 정책 제어 방법 및 시스템 | |
| CN101207511A (zh) | 基于带宽管理的网络安全解决方法 |