CN105052177B - 无线网络系统、终端管理装置、无线中继装置及通信方法 - Google Patents
无线网络系统、终端管理装置、无线中继装置及通信方法 Download PDFInfo
- Publication number
- CN105052177B CN105052177B CN201480017480.0A CN201480017480A CN105052177B CN 105052177 B CN105052177 B CN 105052177B CN 201480017480 A CN201480017480 A CN 201480017480A CN 105052177 B CN105052177 B CN 105052177B
- Authority
- CN
- China
- Prior art keywords
- wireless terminal
- network system
- terminal
- wireless
- radio network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B7/00—Radio transmission systems, i.e. using radiation field
- H04B7/14—Relay systems
- H04B7/15—Active relay systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W16/00—Network planning, e.g. coverage or traffic planning tools; Network deployment, e.g. resource partitioning or cells structures
- H04W16/24—Cell structures
- H04W16/26—Cell enhancers or enhancement, e.g. for tunnels, building shadow
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/08—Access restriction or access information delivery, e.g. discovery data delivery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种技术,其使得只有满足安全策略的无线终端连接至公司内部网络而没有导致较大的成本增长。一种无线网络系统对公司内部网络进行配置并且包括了与设置有规定的连接信息的无线终端连接的无线接入点装置,并且在所述无线网络系统中提供一种终端管理装置,所述终端管理装置具有:判定装置,其通过不同于所述无线网络系统的通信网络与无线终端进行通信,并对无线终端是否满足预定的安全策略进行判定;以及连接信息发送装置,其将连接信息发送至被判定装置判定为满足安全策略的无线终端。
Description
技术领域
本发明涉及一种用于仅允许满足预定安全策略(例如,没有安全漏洞)的终端连接至无线网络系统的技术。
背景技术
智能装置(例如,智能电话或平板终端)正在得到迅速普及。这些类型的智能装置与传统个人数字助理(PDA)或传统笔记本电脑有所不同,并且具有多种不同的功能,例如应用程序执行功能、通信功能、以及成像功能。因此,此类智能装置通常用于个人使用以及用于用户的工作,并随着智能装置的普及而带来了自带设备(BYOD)的普及。具体地,当在用户工作地点的公司建筑物中提供的公司内部网络包括无线局域网络(LAN)时,用户所持有的智能装置通过所述无线LAN连接至公司内部网络,并在用户的工作中进行使用。
在BYOD中,为了避免病毒入侵公司内部网络或泄露机密,通常仅允许满足预定安全策略的终端装置连接至公司内部网络。通常,智能装置通过包括在公司内部网络中的无线LAN连接至公司内部网络。因此,需要一种对应于无线网络系统(例如无线LAN)的检疫(quarantine)系统来实现用于智能装置的BYOD。检疫系统是用于检查试图连接至公司内部网络的终端装置是否满足预定的安全策略的系统。与此类检疫系统有关的现有技术包括专利文献1或非专利文献1所公开的技术。
在专利文献1中描述了以下情况:利用虚拟局域网(VLAN)对公司内部网络进行逻辑分割,并且所述VLAN中的每一个充当“检疫VLAN”的角色。根据专利文献1所公开的技术,当终端装置连接至公司内部网络时,所述终端装置首先连接至检疫VLAN,并对所述终端装置是否满足安全策略进行检查,当所述终端装置满足安全策略时,该终端装置连接至用于工作的VLAN,从而实现对个人终端的检疫。同时,非专利文献1公开了一种技术,其通过在终端中安装实时监控连接目的地的专用软件、对连接目的地是公司内部网络还是另一网络(例如通用公共线)进行识别、以及例如根据识别结果而对所述终端的通信设置进行切换(例如,在连接至公司内部网络期间防止对公司外部的网络进行访问),来防止泄露机密信息。
引用列表
专利文献
专利文献1:JP-A-2006-331128
非专利文献
非专利文献1:Keizo HIKAWA,“MDM to Switch Work and Private Modeaccording to Destination Network,Basic Announced”,[在线],2012年9月10日,NikkeiBP,2013年3月21日检索,Internet<URL http://itpro.nikkeibp.co.jp/article/NEWS/20120910/421722/>
发明内容
技术问题
在专利文献1所公开的技术中存在这样的问题:因为必须将公司内部网络分割为多个VLAN,所以该系统较为复杂,并且用于初始设置或操作的成本有所增加。另一方面,在非专利文献1所公开的技术中存在这样的问题:由于直到终端连接至公司内部网络时才对终端的设置进行切换,因此可利用欺骗性设置来执行与公司内部网络的连接。
鉴于上述问题而做出本发明,其目的在于提供一种技术,其用于仅允许满足安全策略的无线终端连接至公司内部网络,而不会导致成本的显著增加。
解决技术的问题
为了解决所述问题,根据本发明的一个方面,提供一种包括无线中继装置和终端管理装置的无线网络系统,其中所述终端管理装置包括:判定部,其配置为通过不同于所述无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及连接信息发送部,其配置为将连接信息发送至被所述判定部判定为满足所述安全策略的无线终端。
根据本发明的所述方面,由终端管理装置对无线终端是否满足安全策略进行判定,并且只有当所述无线终端满足所述安全策略时,才将连接信息从终端管理装置发送至所述终端。这种情况下,可通过不同于所述无线网络系统的通信网络来发送连接信息。这里,当不存在任何连接信息时,无线终端无法连接至无线中继装置(具体地,无线接入点装置),从而可以可靠地防止不满足安全策略的无线终端的连接。此外,根据本发明的所述方面,无需提供用于判定所述无线终端是否满足安全策略的检疫VLAN,从而没有导致成本增加。因此,当利用本发明的无线网络系统作为接纳无线终端的无线网络系统来搭建公司内部网络时,可以实现这样的情况:只有满足安全策略的无线终端连接至公司内部网络,而没有导致成本的显著增加。
在所述方面中考虑:所述无线网络系统还包括检测装置,其对所述无线终端进入所述无线网络系统的服务区进行检测,在所述无线网络系统中,所述终端管理装置利用所述判定部针对被所述检测装置检测到的无线终端执行关于所述安全策略的判定。
根据所述方面,可以在无线终端进入所述无线网络系统的服务区并试图连接至所述无线网络系统之前立即执行对所述无线终端的检疫,并且与周期性执行对无线终端的检疫的情况相比,可以抑制无线终端的电池消耗。
在所述方面中,可考虑无线中继装置起到检测装置的作用的方面。例如,当所述无线中继装置为无线接入点装置时,使所述无线中继装置(无线接入点装置)响应于对无线终端所产生的探测请求的接收,来对所述无线终端进入无线中继装置的服务区进行检测。根据所述方面,和与所述无线中继装置分离地提供的传感器起到检测装置的作用的方面相比,由于不存在传感器,因此可以将成本抑制在较低水平。
作为另一个方面,可考虑以下方面:使得所述终端管理装置周期性地执行通过无线中继装置与连接至所述无线中继装置的无线终端进行通信并利用所述判定部执行判定的处理;并且使得所述终端管理装置执行响应于判定单元的不满足安全策略的判定而从所述无线终端删除连接信息的处理。根据所述方面,可以避免产生安全漏洞,例如在连接至所述无线中继装置之后改变无线终端的设置。
为了解决所述问题,根据本发明的另一方面,提供一种终端管理装置,其包括:判定部,其配置为通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及连接信息发送部,其配置为将用于连接所述无线中继装置的连接信息发送至被所述判定部判定为满足所述安全策略的无线终端。
为了解决所述问题,根据本发明的又一方面,提供一种包括在无线网络系统中的无线中继装置,所述无线中继装置包括:终端通知部,其配置为:当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及更新部,其配置为根据来自所述高级别装置的指令,更新对通信方的各无线终端进行限制的过滤器。
为了解决所述问题,根据本发明的又一方面,提供一种通信方法,其包括:通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并且判定所述无线终端是否满足预定的安全策略;以及将用于连接所述无线中继装置的连接信息发送至被判定为满足所述安全策略的无线终端。
为了解决所述问题,根据本发明的又一方面,提供一种包括在无线网络系统内的无线中继装置的通信方法,所述通信方法包括:当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及根据来自所述高级别装置的指令,更新对通过所述无线中继装置通信的无线终端进行限制的过滤器。
另外,当所述无线中继装置为无线接入点装置时,终端标识符的具体示例可包括MAC地址,并且所述过滤器的示例可为MAC地址过滤器。
此外,所述无线中继装置还可包括通信部,其配置为通过不同于所述无线网络系统的通信网络连接至已获得用于连接所述无线中继装置的连接信息的无线终端,并且使用所述无线网络系统来执行与所述无线终端的通信。
例如,通过在包括在公司内部网络中的无线网络系统中包括起到无线中继装置作用的无线接入点装置以及终端管理装置,可以实现这样的情况:只有满足安全策略的无线终端通过所述无线网络系统连接至公司内部网络,而没有导致成本的显著增加。
附图说明
图1是示出本发明的一个实施例的无线网络系统1的配置示例的框图。
图2是示出包括在无线网络系统1中的无线接入点装置10的配置示例的示图。
图3是示出包括在无线网络系统1中的终端管理装置50的配置示例的示图。
图4是示出该实施例中的通信序列的示图。
图5是示出该实施例中的所述通信序列的示图。
具体实施方式
下面,将参照附图对本发明的各实施例进行描述。
(A:配置)
图1是示出包括了本发明实施例的无线网络系统1的通信系统的配置示例的框图。无线网络系统1是例如在公司建筑物中提供的无线LAN,并与公司建筑物中提供的有线LAN(图1未示出)一起在公司中形成公司内部网络。如图1所示,无线网络系统1包括无线接入点装置10-n(n=1至N:N为大于或等于2的整数)、交换机20、AP控制器30、路由器40、以及终端管理装置50。另外,在无需对每个无线接入点装置10-n(n=1至N)进行区分时,所述无线接入点装置在下文中被称为“无线接入点装置10”。
利用例如LAN电缆的信号线将无线接入点装置10中的每一个和AP控制器30连接至交换机20。每个无线接入点装置10-n(n=1至N)为根据IEEE802.11等所定义的协议与无线终端(例如智能终端)进行连接的装置。在本实施例中,在公司建筑物中的每一处布置每个无线接入点装置10-n,从而使得提供无线网络系统1的公司建筑物的内部被这样的区域(下文中,无线接入点装置的服务区)所覆盖,在该区域中能够以足够的强度接收到每个网络接入点装置所发射的无线电通信波。
图2是示出无线接入点装置10的配置示例的示图。无线接入点装置10包括控制单元110、无线通信I/F单元120、存储单元130、以及对在这些组件之间交换的数据进行中继的总线140,如图2所示。控制单元110为CPU(中央处理单元)。控制单元110通过执行存储单元130(更精确地,非易失性存储单元134)中存储的程序来充当无线接入点装置10的控制中心。无线通信I/F单元120包括例如天线、调制电路、以及解调电路(全部未示出)。无线通信I/F单元对从控制单元110接收的数据进行调制,将所述数据叠加到载波上,并将所述载波发送至无线部。同时,无线通信I/F单元对叠加到从无线电区间接收的载波上的数据进行解调,并向控制单元110提供所述数据。
存储单元130包括易失性存储单元132以及非易失性存储单元134。易失性存储单元132为例如随机存取存储器(RAM)。当控制单元110执行各种程序时,将易失性存储单元132作为工作区域使用。非易失性存储单元134为例如电可擦除可编程只读存储器(EEPROM)。使控制单元110对显著表现出本实施例特点的处理进行执行的数据和程序被存储在非易失性存储单元134中。
存储在非易失性存储单元134中的数据的示例可包括作为表示如下无线终端的MAC地址的数据阵列的MAC地址列表,所述无线终端为作为公司员工所持有的个人物品的各无线终端当中的申请在业务中使用的所有无线终端。此外,存储在非易失性存储单元134中的程序的示例可包括使得控制单元110执行如下终端通知处理的无线通信程序:响应于对无线终端所产生的探测请求的接收,检测到探测请求的发送源进入无线接入点的服务区,并且当所述无线终端为预先申请使用的无线终端时,向高级别的装置(在本实施例中,AP控制器30)通知所述无线终端的MAC地址。此外,与典型无线接入点装置中的情况类似,根据所述无线通信程序进行操作的控制单元110还执行根据来自AP控制器30的指令对MAC地址过滤器进行更新的处理。
探测请求是指被无线终端发送到最近的无线接入点装置以请求广播网络标识符(例如ESSID)的通信消息。将本实施例的无线接入点装置10设置为:不执行所述网络标识符的定期广播,并且不接收探测请求以及执行网络标识符等的广播。这是旨在防止网络标识符泄露给第三方等所导致的非认证接入。
AP控制器30是对指定给无线接入点装置10-n(n=1至N)的网络标识符、无线网络系统10-n所使用过的频率(频道)或每个无线网络系统10-n中的MAC地址过滤器的设置进行集中管理的装置。AP控制器30具有这样的功能:对于每个无线接入点装置10-n,存储连接至无线接入点装置10-n的无线终端中的终端标识符(用于识别无线终端的信息;在本实施例中,为MAC地址),并对无线终端在无线接入点装置之间的移动(所谓移交)进行检测。
交换机20连接至路由器40,并且终端管理装置50连接至该路由器40。另外,与无线网络系统1一起形成公司内部网络的有线LAN可连接至交换机20,或者可连接至路由器40。路由器40连接至互联网2,如图1所示。也即,无线网络系统1通过路由器40连接至互联网2。另外,遵照通信标准(例如3G或长期演进(LTE))的移动网络3连接至互联网2。
无线终端60是公司员工所持有的智能装置。无线终端60具有利用移动网络3的基站(未示出)建立无线通信链接并执行数据通信的功能(下文中,第一无线通信功能)、以及连接至无线接入点装置10-n(n=1至N)并执行数据通信的功能(下文中,第二无线通信功能)。在这两种无线通信功能中,可根据用户的指示,对第二无线通信功能在打开(ON)和关闭(OFF)之间进行切换。当用户指示将第二通信功能切换为ON时,无线终端60发送上述探测请求。此外,将用于表示指定给终端管理装置50的主机名的信息预先存储在无线终端60中。无线终端60基于所述主机名来指定终端管理装置50的通信地址(IP地址),并且利用上述第一无线通信功能来通过移动网络3和互联网2与无线管理装置50执行数据通信。
终端管理装置50为所谓移动装置管理(MDM)服务器。图3是示出终端管理装置50的配置示例的示图。终端管理装置50包括控制单元510、通信I/F单元520、存储单元530、以及对在这些组件之间交换的数据进行中继的总线540,如图3所示。终端管理装置50使得例如外部装置I/F单元与使操作管理员执行多种不同的操作的用户I/F单元或者除上述组件之外的其他装置进行连接,但是并未对所述外部装置I/F单元进行示意和描述,因为其与本实施例特点的关联较小。
与无线接入点装置10中的控制单元110类似,控制单元510为CPU,并通过执行存储单元530(更精确地,非易失性存储单元534)中存储的程序来充当终端管理装置50的控制中心。无线通信I/F单元520为例如NIC,并通过例如LAN电缆的信号线连接至路由器40。通信I/F单元520将经由所述信号线从路由器40接收的数据提供至控制单元510,并通过所述信号线来发送从控制单元510接收的数据。
存储单元530包括易失性存储单元532及非易失性存储单元534。易失性存储单元532为例如RAM。在控制单元510执行各种程序时,将易失性存储单元532作为工作区域使用。非易失性存储单元534为例如硬盘。使控制单元510执行显著表现出本实施例特点的处理的数据和程序存储在非易失性存储单元534中。
非易失性存储单元534中存储的数据的示例可包括表示公司中的安全策略的数据(下文中,安全策略数据)。安全策略数据的具体示例可包括:用于表示要安装在与无线网络系统1连接的终端装置中的操作系统(OS)和应用软件的类型或版本的数据,以及用于表示不应安装在所述终端装置中的应用软件的数据。安全策略数据在对作为探测请求发送源的无线终端是否满足安全策略进行判定时(也即,在执行无线终端的检疫时)使用,这一点将在下面详细描述。此外,将无线终端连接至无线接入点装置10所需的连接信息(例如,无线网络系统1的网络标识符、表示与无线接入点装置10进行无线通信所使用加密方法的信息、以及用于表示加密中的安全密钥的信息)也预先存储在非易失性存储单元534中(图3未示出)。
存储在非易失性存储单元534中的程序的示例可包括检疫程序,其使得控制单元510执行显著表现出本实施例特点的检疫处理。虽然为避免重复描述而在操作示例中阐明细节,但是根据所述检疫程序进行操作的控制单元510起到判定部的作用,所述判定部响应于来自AP控制器30的MAC地址的通知而通过互联网2和移动网络3与所述MAC地址所表示的无线终端进行通信,获取表示终端状态的状态信息(表示安装的OS和应用软件的类型或版本的数据),并对是否满足安全策略数据所表示的安全策略进行判定。此外,根据所述检疫程序进行操作的控制单元510起到连接信息发送部的作用,所述连接信息发送部将连接信息通过互联网2和移动网络3发送至被判定为满足所述安全策略的无线终端,并使得连接信息被存储。
以上为无线网络系统1的配置。
(B:操作)
接下来,将根据直到无线终端60的用户到办公室上班、工作并离开办公室为止的流程对本实施例的操作进行描述。
当用户执行将无线通信功能切换为ON的操作时,无线终端60发送上述探测请求(见图4)。无线接入点装置10的控制单元110响应于对从无线终端60发送的探测请求的接收而对无线终端60进入无线接入点装置的服务区进行检测。如图4所示,控制单元110首先对探测请求是否满足预定条件A(也即,无线电波的强度超过预定阈值的条件,以及发送源为预先申请使用的无线终端的条件)进行判定(步骤SA110)。具体地,当探测请求的发送源的MAC地址已预先登记在MAC地址列表中时,控制单元110判定所述无线终端已预先申请使用。另外,当步骤SA110中的判定结果为“是”时,控制单元110向AP控制器30发送一帧(下文中,MAC地址通知帧)(步骤SA120),在该帧中将探测请求的发送源写入了有效负载部分。
因此,由AP控制器30通过交换机20的中继来接收从无线接入点装置10发送的MAC地址通知帧。AP控制器30通过交换机20和路由器40向终端管理装置50通知写入接收到的MAC地址通知帧中的MAC地址(见图4)。终端管理装置50的控制单元510响应于所述MAC地址的通知而开始执行检疫处理(步骤SA200)。
图5是示出检疫处理中的通信流程的序列流程图。如图5所示,终端管理装置50的控制单元510利用由AP控制器30通知的MAC地址所表示的装置(在本操作示例中,无线终端60)作为合作装置(partner device)来经由互联网2和移动网络3建立通信连接,并且获取状态信息。随后,控制单元510对从无线终端60获取的状态信息所表示的状态是否满足预定的安全策略(也即,安全策略数据所表示的安全策略)进行判定(步骤SA210)。
另外,只有当无线终端60的状态满足安全策略(当步骤SA210中的判定结果为“是”)时,控制单元510才将与无线接入点装置10建立无线通信连接时所需的连接信息经由互联网2和移动网络3发送至无线终端60,并对所述信息进行存储(步骤SA220)。此外,控制单元510向AP控制器30通知无线终端60的MAC地址(图5未示出)。当AP控制器30从终端管理装置50接收到MAC地址时,AP控制器30向每个无线接入点装置10-n(n=1至N)提供了用于更新MAC地址过滤器的更新指令,以允许将所述MAC地址所表示的终端连接至无线网络系统1。每个无线接入点装置10-n(n=1至N)根据所述更新指令对MAC地址过滤器进行更新。
无线终端60利用从终端管理装置50接收的连接信息来连接至最近的无线接入点装置10。如上所述,在无线接入点装置10中,执行MAC地址过滤器的设置以允许无线终端60的连接。因此,无线终端60通过最近的无线接入点装置10连接至无线网络系统1。另一方面,当无线终端60的状态不满足安全策略时,不从终端管理装置50向无线终端60发送连接信息。此外,不从终端管理装置50向AP控制器30通知无线终端60的MAC地址,并且不执行为了允许无线终端60的连接而对无线接入点装置10的MAC地址过滤器进行的更新。因此,无线终端60没有连接至无线网络系统1。因此,只有当无线终端60满足预定的安全策略时,无线终端60才连接至无线网络系统1,从而可以可靠地防止将不满足安全策略的终端通过无线网络系统1连接至公司内部网络。即使当无线终端60不满足安全策略且没有连接至无线网络系统1时,无线终端60当然也可以连接至与无线网络系统1不同的无线网络系统(例如,WI-FI),并且可毫无疑义地通过这样的其他无线通信网络或移动网络3来访问互联网2。
当无线终端60以上述方式连接至无线网络系统1时,终端管理装置50的控制单元510通过路由器40、交换机20以及无线接入点装置10而从无线终端60周期性地获取状态信息,并确认所述状态信息满足安全策略。另外,当无线终端60的状态不满足安全策略时,控制单元510从无线终端60删除无线网络系统1的连接信息,向AP控制器30通知无线终端60的MAC地址,并且再次对无线接入点装置10的MAC地址过滤器进行更新以将无线终端60从连接目标中排除。这是因为,从确保安全的角度来看,对不满足安全策略的无线终端继续进行连接并不可取,并且旨在防止欺骗(例如,在完成无线接入点装置的连接之后改变无线终端60的设置)。
当无线终端60的用户例如离开办公室、无线终端60移动到无线接入点装置10的服务区外部、以及连接断开时,无线接入点装置10向AP控制器30通知无线终端60的MAC地址,以对是否发生移交进行查询。AP控制器30对无线终端60是否移交至另一个无线接入点装置10进行确认。当没有移交无线终端60时,AP控制器30向终端管理装置50通知无线终端60的MAC地址。终端管理装置50的控制单元510通过互联网2和移动网络3与所述MAC地址所表示的无线终端进行通信,并删除无线终端中存储的连接信息。这是为了防止在满足安全策略的条件下所分发的连接信息被欺骗性使用。
应当注意到,无需单独提供用于判定无线终端60是否满足预定安全策略的检疫VLAN,并且没有出现用于初始设置或操作的成本的增长。因此,根据本实施例,可以实现这样的情况:只有满足安全策略的终端连接至公司内部网络,而没有导致显著的成本增长。虽然在上述实施例中,已经描述了作为安全政策的保护目标的公司内部网络包括无线网络系统1和有线LAN的情况,但是应当理解,所述公司内部网络仅包括无线网络系统1。
(C:修改)
虽然已经在上面描述了本发明的实施例,但是应当理解,本实施例可以进行如下修改。
(1)在上述实施例中,响应于无线终端60进入提供有无线网络系统1的公司建筑物而执行对无线终端60是否满足安全策略所进行的判定,并且当无线终端60满足安全策略时,将连接无线接入点装置10时所需的连接信息从终端管理装置50通过互联网2和无线网络3提供给无线终端60。然而,可在无线终端60进入公司建筑物之前(换言之,在无线接入点装置10检测到无线终端60之前),向无线终端60提供连接信息。然而,这种情况下,存在以下缺点:为了确定无线终端60满足预定的安全策略,必须频繁执行无线终端60与终端管理装置50之间经由互联网2和移动网络3的通信以确认无线终端60满足预定安全策略,并且这种满足状态持续时,无线终端60的电池消耗增加。因此,优选的是,响应于无线终端60已进入提供有无线网络系统1的公司建筑物而对无线终端60是否满足安全策略进行判定,如同上面的实施例中的那样。
(2)在上述实施例中,用于将无线终端纳入无线网络系统1中的无线接入点装置10具有对已进入提供有无线网络系统1的公司建筑物的无线终端60进行检测的传感器的作用。然而,应当理解,还可以独立于无线接入点装置10来提供对已进入提供有无线网络系统1的公司建筑物的无线终端60进行检测的传感器,尽管与前文实施例不同的是这具有需要额外设备资金的缺点。
(3)尽管在上述实施例中无线网络系统1包括作为分离装置的AP控制器30和终端管理装置50,但是应当理解,通信系统可包括作为整体装置的AP控制器30和终端管理装置50。这种情况下,具有AP控制器30和终端管理装置50这两种功能的装置成为相对于无线接入点装置10的高级别装置。虽然在前文实施例中,使无线接入点装置执行无线终端是否已预先申请了使用的判定,但是可使得AP控制器30执行所述判定,并且可使得无线接入点装置仅执行对接收到的探测请求的无线电波强度是否超过预定阈值的判定。
此外,在上述实施例中,使无线接入点装置10执行:用于向高级别装置通知MAC地址的终端通知处理,以及当从无线终端接收到的探测请求的无线电波强度超过预定阈值并且所述无线终端的MAC地址(也即,无线终端的终端标识符)已经预先进行了登记时响应于来自所述装置的指令而对MAC地址过滤器进行更新的处理。然而,可使得交换机20或路由器40执行上述处理中的每一个。例如,当使得路由器40执行每个处理时,可在路由器40中提供终端通知单元和更新部,所述终端通知单元执行以下处理:响应于请求消息的接收而从无线接入点装置获取从无线终端(例如,用于请求建立与合作装置的通信连接的SYN消息)发送的请求消息的无线电波强度,以及当无线电波强度超过预定阈值且无线终端的终端标识符(例如,请求消息的发送源的IP地址)已经预先进行了登记时向高级别装置(终端管理装置50)通知所述终端标识符;所述更新部用于执行根据来自高级别装置的指令而对用于限制经由路由器进行通信的无线终端的过滤器(例如,与IP地址有关的过滤器)进行更新的处理。此外,路由器40可以是具有无线接入点装置的功能的无线路由器,交换机20可以是具有无线接入点装置的功能的交换机。简言之,可采用这样一个方面:可以在用于对无线终端与通信方之间的通信进行中继的无线中继装置(无线接入点装置、无线交换机、或无线路由器)中提供终端通知部和更新部,所述终端通知部用于在从无线终端接收的请求消息的无线电波强度超过预定阈值、并且无线终端的终端标识符已预先登记时,向高级别装置通知无线终端的终端标识符,所述更新部用于根据来自高级别装置的指令而对用于限制经由无线中继装置进行通信的无线终端的过滤器进行更新。
(4)虽然在上述实施例中,无线网络系统1包括作为分离装置的无线接入点装置10和终端管理装置50,但是所述通信系统可包括作为整体装置的无线接入点装置10和终端管理装置50。也即,无需将终端管理装置50准备为用于管理终端的分离的硬件,并且可将终端管理装置50设置为例如任何装置中的软件。
(5)在上述实施例中,已将使终端管理装置50实现本发明的终端管理装置特有的功能的程序存储在终端管理装置50的非易失性存储单元534中。然而,可将所述程序写入计算机可读记录介质(例如CD-ROM)并可对其进行分发。此外,可通过经由电子通信线(例如互联网)进行下载来分发所述程序。这是由于根据以这种方法分发的计算机程序来对通用计算机进行操作,从而使所述计算机充当上述实施例的终端管理装置。这种方式同样应用于存储在无线接入点装置10的非易失性存储单元134中的无线通信程序。
(6)在上述实施例中,为了使无线终端60能够连接至无线网络系统1(与无线接入点装置10进行通信),终端管理装置50通过互联网2和移动网络3执行关于无线终端60的安全策略的判定,然后在无线终端60满足安全策略时,经由互联网2和移动网络3向无线终端60提供与无线接入点装置10连接时所需的连接信息。然而,用于执行关于安全策略的判定或者发送与无线接入点装置10连接时所需的连接信息的通信并不限于经由互联网2和移动网络3,并且可经由另一个通信部。例如,可使用红外线、蓝牙(注册商标)或近场通信(NFC)。
本发明基于2013年3月22日提交的日本专利申请No.2013-059464,该申请的全部内容以引用方式并入本文中。
工业应用
根据本发明,只有满足安全策略的无线终端可连接至公司内部网络,而没有导致成本的显著增加。
附图标记列表
1:无线网络系统
2:互联网
3:移动网络
10-n(n=1至N)和10:无线接入点装置
20:交换机
30:AP控制器
40:路由器
50:终端管理装置
60:无线终端
110和510:控制单元
120:无线通信I/F单元
520:通信I/F单元
130和530:存储单元
132和532:易失性存储单元
134和534:非易失性存储单元
540:总线
Claims (15)
1.一种包括无线中继装置和终端管理装置的无线网络系统,其中所述终端管理装置包括:
判定部,其配置为通过不同于所述无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及
连接信息发送部,其配置为将用于连接所述无线中继装置的连接信息发送至被所述判定部判定为满足所述安全策略的无线终端;
其中,所述无线终端的唯一标识符被发送到所述无线中继装置以使得所述无线中继装置对过滤器进行更新,以允许所述无线终端连接到所述无线网络系统。
2.根据权利要求1所述的无线网络系统,其中所述连接信息发送部通过所述不同于所述无线网络系统的通信网络来发送所述连接信息。
3.根据权利要求1所述的无线网络系统,还包括:
检测装置,其对所述无线终端进入所述无线网络系统的服务区进行检测,
其中所述终端服务装置利用所述判定部针对被所述检测装置检测到进入所述无线网络系统服务区的无线终端执行关于所述安全策略的判定。
4.根据权利要求3所述的无线网络系统,其中所述无线中继装置起到所述检测装置的作用。
5.一种终端管理装置,包括:
判定部,其配置为通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及
连接信息发送部,其配置为将用于连接所述无线中继装置的连接信息发送至被所述判定部判定为满足所述安全策略的无线终端;
其中,所述无线终端的唯一标识符被发送到所述无线中继装置以使得所述无线中继装置对过滤器进行更新,以允许所述无线终端连接到所述无线网络系统。
6.一种包括在无线网络系统中的无线中继装置,所述无线中继装置包括:
终端通知部,其配置为:当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及
更新部,其配置为根据来自所述高级别装置的指令,更新对通过所述无线中继装置通信的各无线终端进行限制的过滤器,以允许所述无线终端连接到所述无线网络系统。
7.根据权利要求6所述的无线中继装置,其中所述请求消息为探测请求,所述终端标识符为MAC地址,并且所述过滤器为MAC地址过滤器。
8.根据权利要求6所述的无线中继装置,还包括:
通信部,其配置为通过不同于所述无线网络系统的通信网络连接至已获得用于连接所述无线中继装置的连接信息的无线终端,并且使用所述无线网络系统来执行与所述无线终端的通信。
9.根据权利要求6所述的无线中继装置,其中所述无线中继装置为无线接入点装置、无线交换机或者无线路由器。
10.一种通信方法,包括:
通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并且判定所述无线终端是否满足预定的安全策略;将用于连接所述无线中继装置的连接信息发送至被判定为满足所述安全策略的无线终端;以及
将无线终端的唯一标识符发送到所述无线中继装置以使得所述无线中继装置对过滤器进行更新,以允许所述无线终端连接到所述无线网络系统。
11.根据权利要求10所述的通信方法,其中经由不同于所述无线网络系统的所述通信网络来发送所述连接信息。
12.根据权利要求10所述的通信方法,还包括:
对所述无线终端进入所述无线网络系统的服务区进行检测,
其中,对被检测到进入所述无线网络系统的服务区的无线终端执行所述安全策略的确定。
13.一种用于包括在无线网络系统内的无线中继装置的通信方法,所述通信方法包括:
当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及
根据来自所述高级别装置的指令,更新对通过所述无线中继装置通信的无线终端进行限制的过滤器,以允许所述无线终端连接到所述无线网络系统。
14.根据权利要求13所述的通信方法,其中所述请求消息为探测请求,所述终端标识符为MAC地址,并且所述过滤器为MAC地址过滤器。
15.根据权利要求13所述的通信方法,还包括:
通过不同于所述无线网络系统的通信网络来连接已得到用于连接到所述无线中继装置的连接信息的无线终端;以及
使用所述无线网络系统来执行与所述无线终端的通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013059464A JP6163808B2 (ja) | 2013-03-22 | 2013-03-22 | 無線ネットワークシステム、端末管理装置、および無線中継装置 |
| JP2013-059464 | 2013-03-22 | ||
| PCT/JP2014/057206 WO2014148448A1 (ja) | 2013-03-22 | 2014-03-17 | 無線ネットワークシステム、端末管理装置、無線中継装置、および通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105052177A CN105052177A (zh) | 2015-11-11 |
| CN105052177B true CN105052177B (zh) | 2018-11-30 |
Family
ID=51580127
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480017480.0A Active CN105052177B (zh) | 2013-03-22 | 2014-03-17 | 无线网络系统、终端管理装置、无线中继装置及通信方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10575177B2 (zh) |
| JP (1) | JP6163808B2 (zh) |
| CN (1) | CN105052177B (zh) |
| WO (1) | WO2014148448A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6550913B2 (ja) | 2015-05-13 | 2019-07-31 | 富士通株式会社 | 通信システム |
| DE102015222308A1 (de) * | 2015-11-12 | 2017-05-18 | Volkswagen Aktiengesellschaft | Vorrichtung, Verfahren und Computerprogramm zur Frequenzbandauswahl |
| JP6822180B2 (ja) * | 2017-02-02 | 2021-01-27 | セイコーエプソン株式会社 | 印刷装置、印刷装置の制御方法、及び、通信システム |
| US10701707B2 (en) * | 2017-03-28 | 2020-06-30 | Arris Enterprises Llc | Allocation of wireless channels for preferred stations |
| CN107196837B (zh) * | 2017-06-16 | 2020-06-16 | 四川省农业科学院服务中心 | 一种基于vlan划分运用的多数据业务综合组网的方法 |
| CN111031545A (zh) * | 2019-12-24 | 2020-04-17 | Oppo广东移动通信有限公司 | 无线网络接入控制方法及装置、中继设备和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060153122A1 (en) * | 2005-01-13 | 2006-07-13 | Hinman Brian L | Controlling wireless access to a network |
| US20070206527A1 (en) * | 2006-03-01 | 2007-09-06 | Yuan-Chang Lo | Virtual access point for configuration of a LAN |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
Family Cites Families (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5737691A (en) * | 1995-07-14 | 1998-04-07 | Motorola, Inc. | System and method for allocating frequency channels in a two-way messaging network |
| US6957067B1 (en) * | 2002-09-24 | 2005-10-18 | Aruba Networks | System and method for monitoring and enforcing policy within a wireless network |
| US7448067B2 (en) * | 2002-09-30 | 2008-11-04 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
| US7277547B1 (en) * | 2002-10-23 | 2007-10-02 | Sprint Spectrum L.P. | Method for automated security configuration in a wireless network |
| JP2004310581A (ja) | 2003-04-09 | 2004-11-04 | Nec Corp | ネットワーク接続方法およびネットワークシステム |
| US20040213172A1 (en) * | 2003-04-24 | 2004-10-28 | Myers Robert L. | Anti-spoofing system and method |
| JP2004336538A (ja) * | 2003-05-09 | 2004-11-25 | Ricoh Co Ltd | 無線通信システム、情報処理端末及び赤外線通信装置 |
| JP2005086471A (ja) * | 2003-09-09 | 2005-03-31 | Japan Telecom Co Ltd | 通信制御方法、および、端末装置 |
| US7523484B2 (en) * | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
| JP4626741B2 (ja) * | 2003-12-05 | 2011-02-09 | 日本電気株式会社 | ネットワークへの接続参加受付システム、ネットワークヘのノード接続方法およびノードの設定方法 |
| US8230480B2 (en) * | 2004-04-26 | 2012-07-24 | Avaya Inc. | Method and apparatus for network security based on device security status |
| US20050266826A1 (en) * | 2004-06-01 | 2005-12-01 | Nokia Corporation | Method for establishing a security association between a wireless access point and a wireless node in a UPnP environment |
| US20060172736A1 (en) * | 2005-02-01 | 2006-08-03 | Intel Corporation | Methods and apparatus for operating a wireless electronic device having a plurality of communication platforms |
| US7706778B2 (en) * | 2005-04-05 | 2010-04-27 | Assa Abloy Ab | System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone |
| JP2006331128A (ja) | 2005-05-26 | 2006-12-07 | Allied Telesis Holdings Kk | 認証サーバ、認証方法、及び認証プログラム |
| JP4776283B2 (ja) * | 2005-06-27 | 2011-09-21 | 株式会社ナカヨ通信機 | 無線lanシステムおよび通信方法 |
| WO2007045155A1 (en) * | 2005-10-15 | 2007-04-26 | Huawei Technologies Co., Ltd. | A method for realizing mobile station secure update and correlative reacting system |
| US20070266422A1 (en) * | 2005-11-01 | 2007-11-15 | Germano Vernon P | Centralized Dynamic Security Control for a Mobile Device Network |
| CN101444119A (zh) * | 2006-03-27 | 2009-05-27 | 意大利电信股份公司 | 在移动通信设备上实施安全策略的系统 |
| US8719431B2 (en) * | 2006-10-26 | 2014-05-06 | Blackberry Limited | Transient WLAN connection profiles |
| CN101262670B (zh) * | 2007-03-09 | 2012-01-25 | 鸿富锦精密工业(深圳)有限公司 | 移动装置、通信系统及连线建立方法 |
| JP4938520B2 (ja) | 2007-03-22 | 2012-05-23 | シャープ株式会社 | デジタル放送受信機 |
| JP2008263445A (ja) * | 2007-04-12 | 2008-10-30 | Docomo Technology Inc | 接続設定システム、認証装置、無線端末、及び接続設定方法 |
| JP5246112B2 (ja) * | 2009-09-07 | 2013-07-24 | ブラザー工業株式会社 | 無線通信装置とコンピュータプログラム |
| US8620270B2 (en) * | 2009-10-06 | 2013-12-31 | Mosaid Technologies Incorporated | System and method providing interoperability between cellular and other wireless systems |
| US8925042B2 (en) * | 2010-04-30 | 2014-12-30 | T-Mobile Usa, Inc. | Connecting devices to an existing secure wireless network |
| US8699370B2 (en) * | 2010-08-24 | 2014-04-15 | Euclid, Inc. | Method and apparatus for analysis of user traffic within a predefined area |
| US8359016B2 (en) * | 2010-11-19 | 2013-01-22 | Mobile Iron, Inc. | Management of mobile applications |
| US8937534B2 (en) * | 2010-12-08 | 2015-01-20 | At&T Intellectual Property I, L.P. | Remote control of electronic devices via mobile device |
| JP5536628B2 (ja) * | 2010-12-21 | 2014-07-02 | Kddi株式会社 | 無線lan接続方法、無線lanクライアント、および無線lanアクセスポイント |
| US8909247B2 (en) * | 2011-11-08 | 2014-12-09 | At&T Mobility Ii Llc | Location based sharing of a network access credential |
-
2013
- 2013-03-22 JP JP2013059464A patent/JP6163808B2/ja active Active
-
2014
- 2014-03-17 US US14/778,921 patent/US10575177B2/en active Active
- 2014-03-17 WO PCT/JP2014/057206 patent/WO2014148448A1/ja active Application Filing
- 2014-03-17 CN CN201480017480.0A patent/CN105052177B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060153122A1 (en) * | 2005-01-13 | 2006-07-13 | Hinman Brian L | Controlling wireless access to a network |
| US20070206527A1 (en) * | 2006-03-01 | 2007-09-06 | Yuan-Chang Lo | Virtual access point for configuration of a LAN |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2014148448A1 (ja) | 2014-09-25 |
| US10575177B2 (en) | 2020-02-25 |
| JP6163808B2 (ja) | 2017-07-19 |
| JP2014187453A (ja) | 2014-10-02 |
| US20160050567A1 (en) | 2016-02-18 |
| CN105052177A (zh) | 2015-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105052177B (zh) | 无线网络系统、终端管理装置、无线中继装置及通信方法 | |
| US20230147772A1 (en) | Method for adapting the security settings of a communication station, communication station and identification module | |
| EP3439371B1 (en) | Method and apparatus for determining access point service capabilities | |
| US9003527B2 (en) | Automated method and system for monitoring local area computer networks for unauthorized wireless access | |
| US11937127B2 (en) | Systems and methods for exposing custom per flow descriptor attributes | |
| US7710933B1 (en) | Method and system for classification of wireless devices in local area computer networks | |
| US8341289B2 (en) | System and method for communication in a wireless mobile ad-hoc network | |
| US9241367B2 (en) | System and method for wi-fi roaming | |
| EP2606678B1 (en) | Systems and methods for maintaining a communication session | |
| EP1589703B1 (en) | System and method for accessing a wireless network | |
| US20150040194A1 (en) | Monitoring of smart mobile devices in the wireless access networks | |
| US7558253B1 (en) | Method and system for disrupting undesirable wireless communication of devices in computer networks | |
| US10243974B2 (en) | Detecting deauthentication and disassociation attack in wireless local area networks | |
| US20140282905A1 (en) | System and method for the automated containment of an unauthorized access point in a computing network | |
| US10542481B2 (en) | Access point beamforming for wireless device | |
| CN102377774A (zh) | 网络中继装置及帧的中继的控制方法 | |
| US7333800B1 (en) | Method and system for scheduling of sensor functions for monitoring of wireless communication activity | |
| CN102377773A (zh) | 网络中继装置及接收帧的中继控制方法 | |
| US10516998B2 (en) | Wireless network authentication control | |
| US9537828B2 (en) | Secure mobile communication relay having firewall function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |