CN100576804C - 用于提供安全网络访问的系统和方法 - Google Patents
用于提供安全网络访问的系统和方法 Download PDFInfo
- Publication number
- CN100576804C CN100576804C CN200510119933A CN200510119933A CN100576804C CN 100576804 C CN100576804 C CN 100576804C CN 200510119933 A CN200510119933 A CN 200510119933A CN 200510119933 A CN200510119933 A CN 200510119933A CN 100576804 C CN100576804 C CN 100576804C
- Authority
- CN
- China
- Prior art keywords
- network
- secure network
- equipment
- secure
- profiles
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
通过将安全网络提供设备连接到安全权威机构,获取一个或多个网络简表,为安全网络提供设备的一个或多个网络接口配置对应于所获取网络简表属性的数据,将安全网络提供设备从获取模式转换成网关模式,以及将安全网络提供设备连接到客户端设备,提供安全网络访问。该安全网络提供设备,包括需要能够对相关网络进行访问的配置块的第一组网络通信接口,不受网络访问之前配置要求的拘束的第二组网络通信接口,配置成门控网络通信接口之间的网络通信的通信接口网关模块,以及配置成获取包括配置第一组通信接口所需的数据的网络简表的网络简表配置模块。
Description
相关专利申请的交叉参考
本专利申请要求2004年1月7日提出的名称为“使用便携式存储介质配置网络设置”的代理人案号为第225748号的美国临时专利申请第60/534,795号,和2004年7月30日提出的名称为“用于提供安全网络访问的系统和方法”的代理人案号为第229837号的美国临时专利申请第60/592,506号的优先权。
技术领域
本申请一般涉及计算机网络,特别是,涉及安全网络的配置。
背景技术
随着越来越多的人将计算机网络和交互式网络用于工作和游戏时,计算机网络和交互式网络变得越来越普通。电子邮件,即时通信,音频和视频流,合作论坛以及交互式游戏:这些正是计算机网络应用数量不断增长的一些实例。随着计算机网络和日常生活的一体化,对于随机并且直观的网络的需求不断上升,例如不必依赖于计算机网络专家的帮助就可以访问计算机网络资源的能力。
然而,这时,由于相关原因,因此至少存在一个妨碍因素阻碍了随机计算机网络的出现。随着计算机网络和日常生活的一体化,机密数据的增长数量被忽略并且对于这些网络来说变得可访问。适合使用不安全计算机网络的环境数量急剧减少,特别是根据无线计算机网络的普及,所访问的物理点并不需要是显而易见的。即使是在常驻的网络中,要找到完善的安全机制也是很常见的。通过将复杂的附加层添加到已经完善的网络访问过程中,从而在由此而产生的网络上对安全性造成破坏。网络访问的失败会导致安全特征失效或是对所有访问的完全禁止。
一个实例的方案,是使具有便携式电脑或其他现成网络设备的人们能够通过一个新型网络远离家或工作进行旅行和对某一场所的参观。为了避免复杂的安全网络注册过程,本机将它们自身的网络访问凭证(例如,用户名,密码,和/或加密密钥)提供给访问者。这会破坏各个方面良好的安全策略,例如,当本机位于网络时(可能授予访问者非常广泛的网络访问权限),访问者可以识别本机,如果不尝试删除网络访问凭证的副本,则它们将保留在访问者的设备中。网络是否对访问它的资源收费是个关键问题。
相对于有利于配置的问题的一个方面,是最好在“频带之外”提供网络访问凭证,即,通过除了寻找可以访问的安全网络以外的方法来提供网络访问凭证。在安全网络服务之前,不安全网络服务通常是可用的,但是使网络访问凭证通过一个不安全网络是一种安全性的冒险。其他的因素是配置用于访问特定安全网络的设备,使其一般不仅仅需要网络访问凭证,例如,存在一个完全关联的网络“简表”,该完全关联的网络“简表”是现成网络设备所需的最佳功能性。这种网络简表的一个例子是如标明日期为2004年5月的微软开发者网络
图书馆的无线规范服务部分中所描述的无线简表。有关数据的数量可以进行设定,例如,通过电话呼叫一个帮助平台,这倾向于繁琐和误差。
设计出能够克服这些困难的新型网络是可能的,然而,这种解决方案未能给大量的现有网络提供安全的访问。为了达到最大限度的兼容性,在现有网络标准的约束条件中尽可能地解决配置困难。同样地,最佳的解决方案不排除广泛范围的已存在的现有网络设备,例如通过请求一个用户接口,并且另外应当容纳自动配置功能性的任何附加层,例如设备具有的“即插即用”功能性。关于设备自动配置功能性的详细资料和背景,在标明日期为2004年6月14日的微软开发者网络
图书馆中的内核模式驱动器构造设计指南的即插即用部分中进行了描述。
发明内容
这部分提出了本发明一些实施例的简要概述。这种概述并不是本发明总观点的延伸。并不是用来确定本发明关键/决定性的要素或描绘本发明的范围的。它唯一的目的,是以简化的形式提出本发明的一些实施例,作为下文提出的更详细描述的序言。
在本发明的一个实施例中,提供安全的网络访问,包括将安全网络提供设备连接到一个安全权威机构。可以从该安全权威机构中,获取一个或多个网络简表。安全网络提供设备的一个或多个网络接口,配置有对应于所获取网络简表属性的数据。安全网络提供设备可以从获取模式转换成网关模式。安全网络提供设备可以被连接到客户端设备。客户端设备可以访问和每个所获取的网络简表相关的安全网络。
在本发明的一个实施例中,提供安全的网络访问,包括管理和安全网络相关的一个或多个网络简表。当处于获取模式,并且所管理的网络简表已提供给设备时,可以接受来自安全网络提供设备的连接。当安全网络提供设备转换成网关模式时,每个所提供的网络简表使安全网络提供设备向客户端设备提供对和网络简表相关的安全网络的访问。
在本发明的一个实施例中,提供安全的网络访问,包括当处于网关模式时,接受来自安全网络提供设备的连接。为了通过安全网络提供设备来访问安全网络,每个安全网络都需要访问的认证凭证。当处于获取模式时,安全网络提供设备,配置有所需的认证凭证。
在本发明的一个实施例中,安全网络提供设备,包括第一组网络通信接口,第二组网络通信接口,通信接口网关模块和网络简表获取模块。第一组网络通信接口包括一个或多个网络通信接口,该通信接口需要能够对和网络通信接口相关的网络进行访问的配置块。第二组网络通信接口则不同,因为它包括不受网络访问之前配置要求的拘束的一个或多个网络通信接口。配置通信接口网关模块,以使其门控第一和第二组中的网络通信接口之间的网络通信。网络简表获取模块,获取来自安全权威机构的网络简表,并且提供第一组通信接口所需的配置块,每个配置块对应于一个或多个所获取的网络简表。
附图说明
尽管所附权利要求阐明了本发明的详细特征,但是从下文结合附图的详细描述中才能更好地理解本发明和它的优点,其中:
图1全面说明了实现本发明实施例的典型可用计算机系统示意图;
图2描述了适合于结合本发明各方面的网络环境的实例的示意图;
图3依据本发明实施例描述了安全网络提供设备的构造的一个实例的示意图;
图4依据本发明实施例描述了提供对具有安全网络提供设备的安全网络进行安全网络访问的实例步骤的流程图;
图5依据本发明实施例描述了在获取模式中的安全网络提供设备的示意图;
图6依据本发明实施例描述了在网关模式中的安全网络提供设备的示意图;
图7依据本发明实施例描述了网络简表获取协议的一个实例的协议图;
图8依据本发明实施例说明了适合选择安全网络简表的图形用户接口单元的一个实例的示意图。
发明详细描述
在对本发明的各种实施例进行说明之前,先提供了对实施本发明各种实施例的计算机的说明。尽管并非必需,但在全文中本发明将被描述为计算机可执行的计算机可执行指令,例如程序模块。通常,程序包括执行特定任务或实施特定抽象数据类型的例行程序,对象,组件,数据结构等等。这里使用的术语“程序”意味着共同起作用的单一程序模块和多程序模块。这里使用的术语“计算机”和“计算设备”包括用电子仪器执行一个或多个程序的任何设备,例如个人计算机(PCs)、手持设备、多处理器系统、基于微处理器的可编程用户电子产品、网络PCs、迷你计算机、台式PCs、便携式计算机、具有微处理器或微控制器的用户设备、例行程序、网关、网络集线器,等等。本发明还可以应用在分布式处理环境中,其中的任务由通过通信网络链接的远程处理设备来执行。在分布式处理环境中,程序位于本地和远程存储器存储设备中。
参考图1,示出了执行这里所描述的本发明各方面的计算机102的基本配置的实例。在它的大部分基本配置中,计算机102典型地包括至少一个处理单元104和存储器106。依据本发明的各种实施例,处理单元104运行指令来执行任务。在执行上述任务中,处理单元104将电子信号传送到计算机102的其他部分以及计算机102的外部设备,以产生某些结果。依赖于计算机102的具体配置和类型,存储器106可以是易失性的(例如RAM),非易失性的(例如ROM或闪存)或这两种的结合。大部分的基本配置通过图1中的虚线108来说明。
计算机102还可以具有附加的特征/功能性。例如,计算机102还可以包括附加的存储器(可拆卸的110和/或不可拆卸的112),该附加的存储器包括但不局限于磁盘或光盘或磁带。计算机存储介质包括以任何信息存储的方法或技术来执行的易失性的和非易失性的,以及可拆卸的和不可拆卸的介质,该方法或技术包括计算机可执行指令,数据结构,程序模块,或其他数据。计算机存储介质包括但不局限于RAM,ROM,EEPROM,闪存,CD-ROM,数字通用光盘(DVD)或其他光学存储器,盒式磁带,磁带,磁盘存储器或其他磁存储设备,或能够用于存储所需信息并且能够由计算机102访问的任何其他介质。任何上述计算机存储介质都可以作为计算机102的一部分。
计算机102优选地还包括通信连接114,通信连接114允许该设备和诸如远程计算机116之类的其他设备进行通信。通信连接是通信介质的一个例子。通信介质典型地包含计算机可读指令,数据结构,程序模块,或位于诸如载波或其他传送机构之类的调制数据信号中的其他数据,并且包括任何信息传送介质。为了举例,但并不限于此,术语“通信介质”包括诸如音频,RF,红外线之类的无线介质以及其他无线媒介。这里使用的术语“计算机可读介质”包括计算机存储介质和通信介质。
计算机102还可以具有诸如键盘/键区,鼠标,笔,语音输入设备,触摸输入设备等之类的输入设备118。计算机102还可以包括诸如显示器,扬声器,打印机等等之类的输出设备120。所有这些设备都是本领域熟知的,在这里就无需进行详细描述了。
在下面的描述中,参考一个或多个计算设备执行的过程和操作的表示符号来描述本发明,除非另有其他说明。同样地,应当理解上述过程和操作包括由以结构化的形式来表示数据的电信号的计算机处理单元所进行的处理。这种处理将数据进行转换或将数据保存在计算机存储系统中,以本领域技术人员熟知的方式重新配置或其他方式改变计算机的操作。所保存数据的数据结构是存储器的物理位置,该存储器具有由数据格式定义的特殊属性。然而,尽管上文描述了本发明,但是这并不意味着限制本领域技术人员的理解,下文描述的各种过程和操作还可以用硬件来实现。
图2描述了适合于结合本发明各方面的网络环境200的实例。网络环境200包括与第一无线网络相关的第一无线网络接入点(AP)202和与第二无线网络相关的第二无线网络接入点204。例如,第一和第二无线网络可以利用符合诸如电气和电子工程师协会(IEEE)802.1x系列标准之类的无线局域网络(WLAN)技术或符合诸如蓝牙(BT)系列标准之类的无线个人区域网络(WPAN)技术等等。在这个实例中,每个打印机206,便携式计算机(膝上型电脑)208,个人数字助理(PDA)210和移动电话(212)都通过安全网络提供设备214访问一个或多个无线网络。每个安全网络提供设备214和一个或多个无线接入点202和204进行通信从而提供对无线网络的访问。
在这个例子中,个人计算机(PC)216包括独立于安全网络提供设备214的无线网络访问机构(例如,无线网络接口卡或NIC),该机构能够使个人计算机216参与第一无线网络。个人计算机216还包括能够使个人计算机216访问远程网络218的第二网络访问机构。每个远程网络218和第二无线接入点204都提供了对因特网220(即,包括“因特网”并最多以国际互联网为限的多个相互连接的网络)的访问。个人计算机216可以作为从第一无线网络到远程网络218的网关。尽管从第一和第二无线网络到因特网220都存在通道,但是来自第一无线网络的因特网访问通过远程网络218,远程网络218可以提供附加的安全性(例如,防火墙和病毒扫描),以致由两种通道提供的服务质量不同。
如上所述,计算设备的常规配置诸如打印机206,便携式计算机208,PDA210以及用于安全网络访问的移动电话212,更倾向于繁琐和误差。在本发明的一个实施例中,上述设备的配置是不需要的,取而代之的,是适当配置的安全网络提供设备214,然后安全网络提供设备214作为设备206,208,210和214与安全网络或其他网络之间的通道;其他网络,也就是这个实例中与第一和第二无线接入点202和204相关的无线网络。在本发明的一个实施例中,通过个人计算机216或其他适合的网络安全权威机构代理,对具有对应于安全网络简表的数据的安全网络提供设备214进行配置,该安全网络简表包括网络访问凭证。关于安全权威机构和它们的代理的实例的详细资料和背景在标明日期为2004年6月的微软开发者网络
图书馆中的微
平台软件开发工具(SDK)的认证部分中已进行了描述。一旦进行上述配置,安全网络提供设备214将使其模式转换成安全网络通道。
虽然图2描述的安全网络提供设备214是和客户端设备206,208,210以及212物理分离的,但如本领域技术人员所显而易见的,尽管安全网络提供设备214被模块化地并入客户端设备206,208,210,212以及类似的计算设备,但是安全网络提供设备214基本上保留效用。
在更详细地描述安全网络提供设备214的操作之前,先对安全网络提供设备214的构造进行描述是有益的。图3依据本发明的实施例描述了适合于执行安全网络提供设备的实例构造。在该实例的构造中,安全网络提供设备302包括一个或多个有线线路通信接口304,一个或多个无线通信接口306,通信接口网关模块308和网络简表获取模块310。
有线线路通信接口304包括通用串行总线(USB)接口,以太网接口(例如,标准的NE2000以太网接口或符合IEEE 802.3x系列标准的其他通信接口),和任何适合的有线线路通信接口(例如,将金属丝或非金属丝结合到通信介质的通信接口)。无线通信接口306包括符合IEEE 802.1x系列标准(例如,Wi-Fi)的通信接口,符合蓝牙(BT)系列标准的通信接口,超宽带(UWB)无线通信接口,无线USB通信接口,以及任何适合的无线通信接口(例如,将金属丝或非金属丝独立于通信介质的通信接口)。
网络简表获取模块310获取来自网络安全权威机构代理的一个或多个网络简表312,例如,通过一个有线线路通信接口304连接的图2的个人计算机216。网络简表获取模块310为无线通信接口306提供一个或多个配置块314。在本发明的一个实施例中,每个无线通信接口306都和一个或多个配置块314相关。当提供与特殊无线通信接口的配置块314时,无线通信接口可以通过相关的无线网络进行通信。在本发明的一个实施例中,无线通信接口通过相关的无线网络进行安全通信之前,需要相关的配置块314。
配置块314中的数据,对应于网络简表312的一个或多个属性。一个或多个配置块314和相关的网络简表312中的一个是相同的。配置块314的详细内容是本领域已知的,这里就无需详细地描述。大部分的上述详细资料是由与所要配置的网络接口相关的一个或多个标准文件,例如,上面提及的IEEE标准文件,来阐明的。
一旦网络简表获取模块310将配置块314提供给无线通信接口306,则网络简表获取模块310将失效而且通信接口网关模块308将生效。通信接口网关模块308的作用,相当于有线线路通信接口304和所配置的无线通信接口306之间通信通信的桥接器/路由器。上述网关模块是本领域已知的,这里无需进一步描述。
尽管在这个例子中,网络简表获取模块310利用有线线路通信接口304中的一个来获取网络简表,该网络简表随后被用于配置一个或多个无线通信接口306,但是本发明的实施例并不局限于此。例如,通信接口304和306的设置可以是无线通信接口,或都是有线线路通信接口,或一通信接口,网络简表获取模块310通过该通信接口成为无线通信接口,以及一通信接口,该通信接口被配置为有线线路通信接口。
图4依据本发明一个实施例,描述了提供对安全网络提供设备214(图2)的安全的网络访问的执行步骤的实例。在它的初始状态402中,安全网络提供设备214可以处于获取模式。图5用虚线502描述了在获取模式中有效的安全网络提供设备302(图3)的组件。在获取模式中,无线通信接口306和通信接口网关模块308是无效的;有线线路通信接口304和网络简表获取模块310是有效的。
在步骤404,安全网络提供设备214(图2)通过有线线路通信接口304(图5)连接到安全权威机构(或安全权威机构代理,例如个人计算机216)。一旦连接到安全权威机构,安全网络提供设备214将被识别作为具有常规即插即用(PnP)技术的安全网络提供设备。通过有线线路通信接口304连接到安全权威机构,一般需要和安全权威机构或连接到安全权威机构的电缆进行物理连接。在本发明的一个实施例中,需要安全网络提供设备214和安全权威机构进行物理连接,是安全网络访问认证的一个要素。
在步骤406,通过安全权威机构的识别,安全网络提供设备214从安全权威机构获取一个或多个网络简表312。在本发明的一个实施例中,通过网络简表获取协议,确定从安全权威机构获取的特定网络简表。步骤404和406中,包括网络简表谈判协议的实例,下面参考图7更详细地进行描述。
在步骤408,通过网络简表获取模块310,为一个或多个无线通信接口306(图5)提供配置块314。为特定的无线通信接口306提供相关的配置块314,可以使无线通信接口306有效,或例如在步骤410,无线通信接口306就需要明确为有效状态。
在步骤410,安全网络提供设备214(图2)转换成网关模式。图6用虚线602描述了在网关模式中有效的安全网络提供设备302(图3)的组件。在网关模式中,网络简表获取模块310是无效的;有线线路通信接口304,无线通信接口306和通信接口网关模块308是有效的。
在步骤412,安全网络提供设备214(图2)连接到客户端设备,例如,客户端设备206,208,210或212。在转换成网关模式之后,在本发明的一个实施例中,例如,即使通过相同的有线线路通信连接,将安全网络提供设备214连接到客户端206,208,210或212设备,通过相同的有线线路通信连接,安全网络提供设备214还连接到安全权威机构,安全网络提供设备214也不再将其作为要求配置的安全网络提供设备。取而代之,安全网络提供设备214,将其作为连接至客户端设备206,208,210或212的,例如,诸如USB或以太网之类的标准有线线路通信接口。也就是说,在网关模式中,安全网络提供设备214模拟一个直接的,例如,USB或以太网有线线路连接,连接到安全权威机构或诸如个人计算机216之类的安全权威机构代理,或其他适合的安全网络接入点。
此外,将安全网络提供设备214(图2)连接到客户端设备206,208,210或212,一般需要将安全网络提供设备214物理连接至客户端设备206,208,210或212(例如,插入到客户端设备的USB或以太网端口)或至少与其在物理上接近(例如,基于红外线的通信接口的实例中),且在本发明的一个实施例中,存在安全网络访问认证的一个单元。在具有便携式计算机的访问者的情况中,所配置的(即,登记获取模式)安全网络提供设备214可以简单的由访问者手动插入便携式计算机的USB端口。
一旦客户端设备206,208,210或212,将处于网关模式(图2)中的安全网络提供设备214识别为标准有线线路通信接口,则客户端设备206,208,210或212可以访问由安全网络提供设备214在获取模式期间所获取的一个或多个安全网络。传送到客户端设备206,208,210或212的通信通信和来自客户端设备206,208,210或212的通信通信,通过通信接口网关模块308(图6)导通到无线接入点202和204。
重要的是,客户端设备206,208,210或212没有获取对网络简表312(图3)或安全网络提供设备214的配置块314的访问。因此,一旦从客户端设备206,208,210或212中移去了安全网络提供设备214,则也取消了对一个或多个相关安全网络的访问。也就是说,安全网络提供设备214的作用,相当于一个物理安全网络“访客密钥”。
安全网络提供设备214(图2)在步骤414继续作为通信网关来运行,直到该设备复位。复位可以通过程序化启动,然而,在本发明的实施例中,复位是通过并入安全网络提供设备214的物理复位按钮或开关来启动的。一旦复立,该过程将进行到步骤416。
在步骤416,安全网络提供设备214的配置块314(图3)被删除,相关的无线通信接口306失效。在步骤418,网络简表312被删除,防止没有重新获取一个或多个网络简表312的无线通信接口306重新激活,该网络简表312来自安全权威机构或安全权威机构代理,例如个人计算机216(图2)。在步骤420,安全网络提供设备214返回获取模式,并且等待连接到安全权威机构。无需复位,安全网络提供设备214将作为标准的有线线路通信接口提供给安全权威机构,也就是说,安全权威机构是否是需要安全网络访问的客户端设备。复位后,在获取模式中,安全网络提供设备214作为准备和一个或多个网络简表相关的(即,要获取的)安全网络提供设备,提供给安全权威机构。
图7描述了适合于结合到图4所描述的过程的步骤404和406的网络简表获取协议的实例。图7中虚线之间的每一个箭头,表示模块之间发送的协议信息、。协议信息的顺序,通过从上到下阅读图表来确定。
当安全网络提供设备702连接到安全权威机构704时,在这个例子中使用通用串行总线,安全网络提供设备702发送具有通用串行总线(USB)枚举类标识符(ID)的信息,该标识符(ID)识别作为获取安全网络提供设备的安全网络提供设备702,从而准备获取网络简表。在这个实例中,通过安全权威机构704的通用串行总线(USB)PONG管理器706接收USB枚举类ID,例如,当安全网络提供设备702插入安全权威机构的USB端口时,USB枚举类ID将作为标准USB新设备枚举的一部分。USB PONG管理器706在网络简表和网络类型之间进行仲裁,通过智能连接具有各种网络类型的每个网络简表,来扩大特定网络简表的适用性。这里只描述了USB PONG管理器706的某些特征。其他详细资料和背景可以在2003年8月21日提交的名称为“物理设备的连接(PHYSICAL DEVICE BONDING)”的未决美国专利申请No.10/645008中找到。
USB枚举类ID是安全网络提供设备所指定的,甚至是它所特有的版本。换句话说,安全网络提供设备可以枚举作为一个标准设备类,例如USB闪存盘。如果安全网络提供设备702以模块化结合到客户端设备,那么即使安全网络提供设备702和客户端设备共享同一个USB通信接口,则安全网络提供设备702和客户端设备也可以枚举作为USB组合设备,该组合设备具有安全网络提供设备702和客户端设备各自单独的枚举类标识符。响应于USB枚举类ID信息,USB PONG管理器706将查询pong/设备报头信息,发送到请求关于网络类型信息的安全网络提供设备702,安全网络提供设备702能够和各种类型的网络进行通信。响应查询pong/设备报头信息,安全网络提供设备702发送包括请求信息的返回pong/设备报头信息。
在这个实例中,USB PONG管理器706确定安全网络提供设备702能够和符合IEEE 802.11系列标准的无线网络进行通信。因此,USB PONG管理器706将由安全网络提供设备702所发送的pong/设备报头信息,转接到PONG 802.11插入模块708。如果通过安全网络提供设备所返回的信息不同,USB PONG管理器706可以选择一个不同的插入模块,从而将pong/设备报头信息转接到该不同的插入模块。
PONG 802.11插入模块分析pong/设备报头信息,并且请求无线网络(WSNK)向导710,从而查询用于无线网络或安全网络提供设备702所相关的网络的安全网络提供设备用户712。无线网络(WSNK)向导710的调用,包括导致调用的设备类型的标注,该例中,安全网络提供设备702,使无线网络(WSNK)向导710达到用户712所请求的提问和回答的最佳(例如,最小化)数量。无线网络(WSNK)向导710首先查询用于已知无线网络简表列表的一列的无线自动配置模块714,然后以图形格式将该列表提供给用户712。下面参考图8,更详细地描述适合于结合本发明实施例的图形用户接口的实例。
用户712选择一个或多个已知的无线网络简表(或生成一个新的简表),并且无线网络向导710将选择结果传回到请求它的PONG 802.11插入模块708。在这个实例中,PONG 802.11插入模块708分析所选择的无线网络简表,以生成专门用于安全网络提供设备类型的无线网络配置数据结构(例如,无线网络接口配置模块)。例如,无线网络配置数据结构包括用于无线网络的服务设置标识符(SSID),连接类型指示符(例如,扩展的服务设置“ESS”或独立的基础服务设置“IBSS”),认证类型指示符(例如,使用预先共享键“WPAPSK”的“开”或Wi-Fi保护访问),加密类型指示符(例如,无线加密协议“WEP”或临时键集成协议“TKIP”),和网络键(例如,ASCII码或十六进制中的40/104位WEP键或256位WAPPSK键)。
然后,PONG 802.11插入模块708将信息中的无线网络配置数据结构,发送到USB PONG管理器706,USB PONG管理器706将该数据结构依次传送到安全网络提供设备702。通过USB PONG管理器706的确认信息,确认包括无线网络配置数据结构的信息的成功接收,USB PONG管理器706触发在用户712终止的一系列确认信息。
安全权威机构704跟踪已经配置特定网络简表的安全网络提供设备,并且在某些网络类型中,与特定安全网络提供设备相关的网络访问,可以通过安全权威机构704取消,例如,防止使用盗用的安全网络提供设备进行的未认证的网络访问。安全权威机构704可以加强附加网络访问级,例如,对于已经使用安全网络提供设备连接,以访问特定网络资源的用户,需要对用户进行附加的批准。另外,安全权威机构704可以提供连通性诊断信息,以帮助安全网络提供设备用户解决技术难题。
图8依据本发明实施例,描述了适合选择安全网络简表的图形用户接口单元的实例。特意简化的用户接口800提示安全网络提供设备用户选择一个无线网络,安全网络提供设备将提供对该无线网络的访问。该实例的列表选择区域802,包括每个无线网络的“友好命名”,以及无线网络类型的标注,特别是与每个网络相关的安全级。用户可以选择一个无线网络,然后选择下一步按钮804,或用户可以首先选择生成新的无线网络按钮806以生成并添加一个新的无线网络(以及相关的无线网络简表)到选择区域802。
这里所引用的所有注释,包括出版物,专利申请,以及专利,根据相同的范围合并于此,基于注释,单独且明确指出所要合并的每一个注释,且在这里的全文中进行阐明。
除非这里另外指出或在上下文中明确地否定,否则,本发明描述的上下文中术语“一个”,“该”以及类似注释的使用(尤其是在下面权利要求的上下文中),被解释为包括单数和复数。除非有其它的说明,否则,术语“由……组成”、“具有”、“包括”、“包含”被解释为无明确限制的术语(也就是,意味着“包括,但不限于此”)。除非这里有其它说明,否则,这里所列举的值的范围,仅仅指的是作为分别涉及该范围内的每个单独的值的简略方法,且如果这里对每个独立值进行了单独的描述,则每个独立值将被合并到说明书中。除非这里另外指出或在上下文中另外明确否认,否则,这里描述的所有方法都可以按照任何适当的顺序来执行。除非另有要求,否则,任何以及所有实例的使用,或这里提供的举例的语言(例如,“诸如……之类的”),仅仅意味着对本发明进行更好的说明,而并不是对本发明范围的限定。说明书中的任何语言都不能作为将任何非所要求要素指定为实施本发明的必需要素的解释。
这里所描述的本发明的优选实施例,包括发明人已知的用于实现本发明的最佳模式。一旦阅读了前面的描述,对那些优选实施例的变化,对于本领域的普通技术人员而言,将变得显而易见。发明人希望熟练的技术人员利用上述变化作为相适应的变化,并且发明人还打算以除这里所特别描述的内容之外的方式,实现本发明。因此,本发明包括按照与此相关的适用法律所允许的,所附权利要求书中引用的主题的所有变体和等价物。此外,除非这里另外指出或另外在上下文中明确否定,否则,本发明包含在其所有可能变体中的上述元素的任何组合方式。
Claims (41)
1、一种提供安全网络访问的计算机可执行的方法,包括:
将安全网络提供设备连接到一个安全权威机构;
从所述安全权威机构获取至少一个网络简表;
用对应于所述至少一个网络简表的属性的数据来配置所述安全网络提供设备的至少一个网络接口;
将所述安全网络提供设备从获取模式转换成网关模式;
将所述安全网络提供设备连接到客户端设备;以及
对于所述至少一个网络简表中的每一个,向所述客户端设备提供对与所述网络简表相关的安全网络的访问,其中所述安全网络是能够提供附加安全性的网络,所述附加安全性包括防火墙和病毒扫描。
2、权利要求1所述的方法,其特征在于,进一步包括,响应于复位命令:
从所述安全网络提供设备删除所述至少一个网络简表;以及
将所述安全网络提供设备从所述网关模式转换成所述获取模式。
3、权利要求1的方法,其特征在于,所述的至少一个网络接口中的至少一个是无线网络接口。
4、权利要求1所述的方法,其特征在于,将所述安全网络提供设备连接到所述安全权威机构需要所述安全网络提供设备和所述安全权威机构在物理上接近。
5、权利要求1所述的方法,其特征在于,将所述安全网络提供设备连接到所述客户端设备需要所述安全网络提供设备和所述客户端设备在物理上接近。
6、权利要求1所述的方法,其特征在于,所述安全网络提供设备通过独立于所述至少一个网络接口的网络接口连接到所述安全权威机构。
7、权利要求6所述的方法,其特征在于,所述安全网络提供设备通过独立于所述至少一个网络接口的网络接口连接到所述客户端设备。
8、权利要求7所述的方法,其特征在于,独立于所述至少一个网络接口的网络接口是有线线路网络接口。
9、权利要求7所述的方法,其特征在于,所述安全网络提供设备表现为多个计算设备,该多个计算设备包括:
处于获取模式时,准备获取网络简表的安全网络提供设备;以及
处于网关模式时的标准网络接口。
10、权利要求9所述的方法,其特征在于,独立于所述至少一个网络接口的网络接口是通用串行总线USB接口,而表现为所述多个计算设备包括在不同模式中枚举不同的通用串行总线USB枚举类标识符。
11、一种计算机化的系统,包括:
安全权威机构;和
安全网络提供设备,该安全网络提供设备包括:
第一组网络通信接口,该第一组网络通信接口中的至少一个需要能够访问相关网络的配置块;
第二组网络通信接口,该第二组网络通信接口中的至少一个不受网络访问之前的配置要求的约束;
通信接口网关模块,配置成门控所述第一组和第二组网络通信接口中的网络通信接口之间的网络通信;
网络简表获取模块,被配置成:
从所述安全权威机构获取至少一个网络简表;以及
提供由所述第一组网络通信接口中的至少一个中的每一个所需要的每个配置块,每个配置块对应于从所述安全权威机构中获取的所述至少一个网络简表中的至少一个,而所述至少一个网络简表中的每一个用于向所述客户端设备提供对与所述网络简表相关的安全网络的访问,其中所述安全网络是能够提供附加安全性的网络,所述附加安全性包括防火墙和病毒扫描;并且
所述安全网络提供设备具有多个操作模式,所述多个操作模式包括获取模式和网关模式,其中:
当所述安全网络提供设备处于所述网关模式时,所述通信接口网关模块启动;以及
当所述安全网络提供设备处于所述获取模式时,所述网络简表获取模块启动。
12、权利要求11所述的系统,其特征在于:
当所述安全网络提供设备处于所述网关模式时,所述第一组网络通信接口中的至少一个网络通信接口启动;
当所述安全网络提供设备处于所述获取模式时以及当所述安全网络提供设备处于所述网关模式时,所述第二组网络通信接口中的至少一个网络通信接口都会启动。
13、权利要求12所述的系统,其特征在于:在所述网络简表获取模块提供由所述第一组网络通信接口中的至少一个中的每一个所需要的每个配置块之后,所述安全网络提供设备从所述获取模式转换成所述网关模式。
14、权利要求13所述的系统,其特征在于,响应于复位命令,所述安全网络提供设备:
删除所述至少一个网络简表;并且
从所述网关模式转换成所述获取模式。
15、权利要求11所述的系统,其特征在于,从所述安全权威机构对所述至少一个网络简表的获取是作为通过所述第二组网络通信接口中的一个网络通信接口将所述安全网络提供设备连接到所述安全权威机构的结果。
16、权利要求11所述的系统,其特征在于:
该系统进一步包括客户端设备;以及
对于所述至少一个网络简表中的每一个,所述安全网络提供设备向所述客户端设备提供对与所述网络简表相关的安全网络的访问。
17、权利要求16所述的系统,其特征在于,当提供所述访问时,所述安全网络提供设备通过第二组网络通信接口中的一个连接到所述客户端设备。
18、权利要求11所述的系统,其特征在于:
所述第一组网络通信接口中的每一个是无线通信接口;以及
所述第二组网络通信接口中的每一个是有线线路通信接口。
19、权利要求11所述的系统,其特征在于:从所述安全权威机构中获取所述至少一个网络简表需要所述安全网络提供设备和所述安全权威机构在物理上接近。
20、权利要求11所述的系统,其特征在于:
所述安全网络提供设备具有多个操作模式,该多个操作模式包括获取模式和网关模式;
所述第二组网络通信接口中的至少一个网络通信接口是通用串行总线USB通信接口;以及
在建立新的通信连接时为所述安全网络提供设备所枚举的通用串行总线USB枚举类标识符取决于所述安全网络提供设备当时的操作模式。
21、一种用于提供安全网络访问的方法,包括:
管理和安全网络相关的至少一个网络简表;
接受来自获取模式中的安全网络提供设备的连接,该安全网络提供设备具有多个操作模式,所述多个操作模式包括获取模式和网关模式;以及
将所述至少一个网络简表提供给所述安全网络提供设备,当所述安全网络提供设备转换成所述网关模式时,每个网络简表使所述安全网络提供设备能够向客户端设备提供对和所述网络简表相关的所述安全网络的访问,其中所述安全网络是能够提供附加安全性的网络,所述附加安全性包括防火墙和病毒扫描。
22、权利要求21所述的方法,其特征在于,将所述至少一个网络简表提供给所述安全网络提供设备的步骤包括:使所述安全网络提供设备参与网络简表获取协议。
23、权利要求22所述的方法,其特征在于,在完成所述网络简表获取协议后,所述安全网络提供设备就从所述获取模式转换成所述网关模式。
24、权利要求21所述的方法,其特征在于,对每个安全网络的访问都需要有效的认证凭证。
25、权利要求21所述的方法,其特征在于,对于每个网络简表,管理所述至少一个网络简表包括建立、读取和更新该网络简表中的至少一个。
26、权利要求21所述的方法,其特征在于,进一步包括利用即插即用PnP来识别所述安全网络提供设备。
27、权利要求21所述的方法,其特征在于,接受来自所述安全网络提供设备的连接需要所述安全网络提供设备和计算机可读介质在物理上接近。
28、权利要求21所述的方法,其特征在于,提供对所述安全网络的访问需要所述安全网络提供设备和所述客户端设备在物理上接近。
29、权利要求21所述的方法,其特征在于:
所述安全网络提供设备包括多个网络接口;
提供对所述安全网络的访问包括通过多个网络接口中的第一网络接口来提供访问;以及
接受来自所述安全网络提供设备的连接包括通过多个网络接口中的第二网络接口来接受连接。
30、权利要求29所述的方法,其特征在于,所述第二网络接口是有线线路网络接口。
31、权利要求29所述的方法,其特征在于,所述安全网络提供设备能够表现为多个计算设备,该多个计算设备包括:
处于所述获取模式时准备获取网络简表的安全网络提供设备;以及
处于网关模式时的标准网络接口。
32、权利要求31所述的方法,其特征在于,所述多个网络接口的至少一个是通用串行总线USB接口,而表现为所述多个计算设备包括在不同模式中枚举不同的通用串行总线USB枚举类标识符。
33、一种用于提供安全网络访问的方法,包括:
接受来自网关模式中的安全网络提供设备的连接,该安全网络提供设备具有多个操作模式,该多个操作模式包括获取模式和网关模式;以及
通过所述安全网络提供设备访问至少一个安全网络,每个安全网络需要用于访问的认证凭证,当处于获取模式时,该安全网络提供设备已被配置具有所需的认证凭证,其中所述安全网络是能够提供附加安全性的网络,所述附加安全性包括防火墙和病毒扫描。
34、权利要求33所述的方法,其特征在于,对于每个安全网络,所述安全网络提供设备从安全权威机构获取所述安全网络的网络简表,该网络简表包括访问所述安全网络所需的认证凭证。
35、权利要求34所述的方法,其特征在于,获取每个安全网络的所述网络简表之后,所述安全网络提供设备从所述获取模式转换成所述网关模式。
36、权利要求33所述的方法,其特征在于,接受来自所述安全网络提供设备的连接需要所述安全网络提供设备和计算机可读介质在物理上接近。
37、权利要求33所述的方法,其特征在于:
所述安全网络提供设备包括多个网络接口;
对所述至少一个安全网络的访问包括通过多个网络接口中的至少一个来访问所述至少一个安全网络;以及
接受来自所述安全网络提供设备的连接包括通过多个网络接口中的其它网络接口中的至少一个来接受连接。
38、权利要求37所述的方法,其特征在于,所述至少一个网络接口中的至少一个包括无线网络接口。
39、权利要求37所述的方法,其特征在于,所述其它网络接口中的至少一个包括有线线路网络接口。
40、权利要求37所述的方法,其特征在于,所述安全网络提供设备能够表现为多个计算设备,该多个计算设备包括:
处于所述获取模式时,准备获取网络简表的安全网络提供设备;以及
处于所述网关模式时的标准网络接口。
41、权利要求40所述的方法,其特征在于,多个网络接口中的至少一个是通用串行总线USB接口,而表现为多个计算设备包括在不同模式中枚举不同通用串行总线USB枚举类标识符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US59250604P | 2004-07-30 | 2004-07-30 | |
| US60/592,506 | 2004-07-30 | ||
| US10/999,555 | 2004-11-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1783812A CN1783812A (zh) | 2006-06-07 |
| CN100576804C true CN100576804C (zh) | 2009-12-30 |
Family
ID=36773597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510119933A Active CN100576804C (zh) | 2004-07-30 | 2005-07-29 | 用于提供安全网络访问的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100576804C (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7546357B2 (en) | 2004-01-07 | 2009-06-09 | Microsoft Corporation | Configuring network settings using portable storage media |
-
2005
- 2005-07-29 CN CN200510119933A patent/CN100576804C/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN1783812A (zh) | 2006-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7769995B2 (en) | System and method for providing secure network access | |
| CN106134143B (zh) | 用于动态网络接入管理的方法、设备和系统 | |
| CN100486173C (zh) | 使用便携式存储媒质配置瘦客户机设备的网络设置 | |
| US7634802B2 (en) | Secure method and system for creating a plug and play network | |
| JP5473991B2 (ja) | 電子機器及び電子機器により実行される方法 | |
| EP1553729B1 (en) | Configuring of ad hoc wireless network devices using a portable media device | |
| US9306954B2 (en) | Apparatus, systems and method for virtual desktop access and management | |
| EP3050280B1 (en) | Network access | |
| JP2006107453A5 (zh) | ||
| JP2009146193A (ja) | 無線通信端末、無線通信端末のデータを保護する方法、データを無線通信端末に保護させるためのプログラム、および当該プログラムを格納した記録媒体 | |
| CN108377500A (zh) | 一种wifi网络连接方法、装置和设备 | |
| CN105790944B (zh) | 一种基于微信的网络认证方法及装置 | |
| JP5311999B2 (ja) | 利用者情報管理装置、利用者登録管理システム、利用者情報管理方法及び利用者情報管理プログラム | |
| CN100576804C (zh) | 用于提供安全网络访问的系统和方法 | |
| JP2005085154A (ja) | ネットワークシステムおよび端末装置 | |
| JP4143583B2 (ja) | 無線アクセスポイントおよび無線通信方法 | |
| KR100630635B1 (ko) | 단문 메시지를 이용한 로그인 상태 관리 방법 | |
| JP2024044748A (ja) | 車両用通信システム、通信方法 | |
| JP2011114350A (ja) | 自動接続無線lanシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: ROVI TECHNOLOGIES CORPORATION Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150724 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150724 Address after: American California Patentee after: ROVI technology company Address before: Washington State Patentee before: Microsoft Corp. |