CN112889255A - 将公共wifi热点扩展到私有企业网络 - Google Patents
将公共wifi热点扩展到私有企业网络 Download PDFInfo
- Publication number
- CN112889255A CN112889255A CN201980069933.7A CN201980069933A CN112889255A CN 112889255 A CN112889255 A CN 112889255A CN 201980069933 A CN201980069933 A CN 201980069933A CN 112889255 A CN112889255 A CN 112889255A
- Authority
- CN
- China
- Prior art keywords
- enterprise
- access point
- service provider
- internet service
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种系统、方法和计算机程序,其将互联网服务提供商网络的公共Wi‑Fi热点扩展到私有企业网络系统,以在互联网服务提供商网络和非企业计算设备之间传输非企业流量。该系统、方法和计算机程序在私有企业网络系统中的接入点与互联网服务提供商网络之间提供一个或多个隧道。隧道可以在一个或多个互联网服务提供商移动控制器与私有企业网络系统中的DMZ(隔离区)之间经由防火墙形成,以促进非企业通信设备与互联网服务提供商网络之间的安全通信。
Description
相关申请的交叉引用
本申请要求于2018年10月22日提交的题为“将公共WIFI热点扩展到私有企业网络(EXTENDING PUBLIC WIFI HOTSPOT TO PRIVATE ENTERPRISE NETWORK)”的序列号为16/166,768的美国专利申请的优先权和权益,其全部内容通过引用并入本文。
技术领域
本公开涉及一种用于将任何公共Wi-Fi热点安全地扩展和广播到私有企业网络的系统、方法和计算机程序。
背景技术
计算设备通常通过无线或硬连线(hardwired)通信链路进行通信。热点(hotspot)是一个或多个计算设备可以通常使用连接到互联网服务器提供商网络通信系统(ISP)的无线技术来获得对互联网的访问的物理位置。热点经常包括经由无线局域网(WLAN)促进互联网接入的无线接入点(WAP)。
WAP经常用于促进无线到硬连线的通信链路。WAP可以包括例如连接到硬连线网络的一个或多个Wi-Fi设备。WAP可以包括连接到硬连线网络的一个或多个路由器。(一个或多个)路由器可以是独立设备,或者是集成在WAP中的设备。WAP可以用作一个或多个计算设备可以访问互联网的热点。
图1示出了现有技术的ISP 10的示例。ISP 10通常在通过网络15通信时使用OSI模型。ISP 10包括具有无线连接14(诸如,例如,天线)的WA P 13,无线连接14可以经由通信链路8与便携式通信设备11A上的无线连接12(诸如,天线)通信。通信设备11A包括计算设备。WAP 13经由通信链路8和网络15通信地耦接到ISP服务器16。网络通信系统10可以包括多个WAP 13,其可以广泛地分布在地理区域中并且被配置为促进与一个或多个通信设备11A的通信。WAP 13促进通信装置11A和IS P10之间的通信,以向通信装置11A提供互联网服务。通信装置11A可以被配置为自动登录到ISP服务器16并经由ISP 10访问互联网。
图2示出了现有技术的私有企业网络通信系统20的示例。企业网络通信系统20包括服务器套件(或服务器)21,其可以包括邮件服务器21A、web服务器21B、文件服务器21C。企业网络通信系统20包括以太网交换机22A、22B、多个计算设备23和路由器24。以太网交换机22A、22B可以经由通信链路8连接到服务器套件21和计算设备23。路由器24可以经由通信链路8连接到以太网交换机22A、22B。路由器24可以连接到防火墙25或与防火墙25一体地形成,以经由通信链路8连接到网络15。在企业网络通信系统20中,计算设备23可以与通信设备11通信。通信设备11可以被配置为自动登录并访问企业网络通信系统20。企业网络通信系统20可以在通信设备11和企业网络通信系统20上的计算设备(诸如,例如,计算设备23)之间安全地传输数据分组。
通常,ISP网络通信系统的运营商努力增加和扩展其网络对通信设备的访问。另一方面,企业网络通信系统的运营商努力限制非企业通信设备访问其网络。发明人已经认识到,ISP网络通信系统和企业网络通信系统的运营商、具有通信设备的终端用户以及整个公众可以极大地受益于将公共Wi-Fi热点安全地扩展和广播到非公共企业网络通信系统的技术。
发明内容
本公开提供了一种新颖技术,包括经由企业网络通信系统安全地扩展对ISP网络通信系统的访问的方法、系统和计算机程序。本公开提供了一种可以向企业网络通信系统安全地扩展和广播Wi-Fi热点的方法和系统。该方法和系统使得非企业计算设备能够经由企业网络通信系统访问无线网络(互联网)服务和/或ISP网络通信系统,而不影响企业网络通信系统的安全性。该方法和系统被配置为通过将数据传输传送或分流到ISP网络通信系统来减少内部网络带宽。
因此,本公开提供了一种用于将互联网服务提供商网络的公共Wi-Fi热点扩展到非企业通信设备的系统、方法和计算机程序。所述企业网络系统包括局域网,其包括防火墙;接入点区域,其广播所述企业网络系统的服务集标识符(PEC SSID)和所述互联网服务提供商网络的服务集标识符(ISP SSID),以及移动控制器区域,其在所述接入点区域与所述互联网服务提供商网络之间隧道传输数据分组以在所述互联网服务提供商网络与所述非企业计算设备之间安全地传输数据分组,其中,所述移动控制器区域隧道传输来自所述接入点区域的数据分组,以提供去往和来自企业计算设备的数据分组的安全传输。移动控制器区域可以通过防火墙将数据分组隧道传输到互联网服务提供商网络。
接入点区域可以包括接入点,其广播企业网络系统的服务集标识符(PEC SSID)并且与企业通信设备通信,将数据分组传输到企业通信设备和传输来自企业通信设备的数据分组。
接入点区域可以包括接入点,其广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)并且与所述非企业通信设备通信,将数据分组传输到所述非企业通信设备和传输来自所述非企业通信设备的数据分组。
接入点区域可以包括:第一接入点,其广播所述企业网络系统的所述服务集标识符(PEC SSID)并且与所述企业通信设备通信,将数据分组传输到所述企业通信设备和传输来自所述企业通信设备的数据分组;以及第二接入点,其广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)并且与所述非企业通信设备通信,将数据分组传输到所述非企业通信设备和传输来自所述非企业通信设备的数据分组。
所述移动控制器区域可以包括移动控制器,所述移动控制器位于所述互联网服务提供商网络中并且被集成在所述移动控制器区域中。所述移动控制器区域可以包括另一移动控制器。所述另一移动控制器可以将数据分组隧道传输到另一互联网服务提供商网络。所述另一移动控制器可以位于所述另一互联网服务提供商网络中。
所述接入点区域可以包括:第三接入点,其广播另一互联网服务提供商网络的服务集标识符(ISP2 SSID)并且与另一非企业通信设备通信,将数据分组传输到所述另一非企业通信设备和传输来自所述另一非企业通信设备的数据分组,其中,所述互联网服务提供商网络的服务集标识符(ISP SSID)与所述另一互联网服务提供商网络的服务集标识符(ISP2 SSID)不同。
所述移动控制器区域可以隧道传输数据分组,以在所述企业计算设备和所述局域网之间提供数据分组的安全传输。
一种用于将互联网服务提供商网络的公共Wi-Fi热点扩展到企业网络系统并经由所述企业网络系统中的隔离区(demilitarized zone)在非企业通信设备和所述互联网服务提供商之间安全地传输数据分组的方法,所述方法包括:广播所述企业网络系统的服务集标识符(PEC SSID);广播所述互联网服务提供商网络的服务集标识符(ISP SSID);在所述企业网络系统中的接入点区域与所述互联网服务提供商网络中的移动控制器之间隧道传输数据分组,以在所述互联网服务提供商网络与非企业计算设备之间安全地传输数据分组;以及在所述接入点区域和所述企业网络系统中的移动控制器之间隧道传输数据分组,以在所述企业网络系统中的局域网和企业计算设备之间安全地传输数据分组。
在所述企业网络系统中的所述接入点区域与所述互联网服务提供商网络中的所述移动控制器之间隧道传输所述数据分组可以包括:通过所述企业网络系统中的局域网中的防火墙将所述数据分组隧道传输到所述互联网服务提供商网络。
所述接入点区域可以包括广播所述企业网络系统的所述服务集标识符(PECSSID)的接入点,并且所述方法还可以包括:由所述接入点和另一移动控制器在所述局域网和所述企业通信设备之间传输数据分组。
所述接入点区域可以包括广播互联网服务提供商网络的服务集标识符(ISPSSID)的接入点,并且所述方法还可以包括:由所述接入点在所述非企业计算设备和所述互联网服务提供商网络中的所述移动控制器之间传输数据分组。
所述接入点区域可以包括广播所述企业网络系统的所述服务集标识符(PECSSID)的第一接入点和广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)的第二接入点,并且所述方法还可以包括:由所述企业网络系统中的所述第一接入点和所述移动控制器在所述局域网和所述企业通信设备之间传输数据分组;以及由所述接入点在所述非企业计算设备和所述互联网服务提供商网络中的所述移动控制器之间传输数据分组。
所述方法还可以包括:在所述接入点区域从所述非企业通信设备接收认证请求;以及将所述认证请求从所述接入点区域隧道传输到所述互联网服务提供商网络中的所述移动控制器。
所述方法还可以包括:将所述认证请求从所述移动控制器转发到所述互联网服务提供商网络中的AAA服务器;以及在所述互联网服务提供商网络中的所述移动控制器处接收来自所述AAA服务器的认证答复。
所述方法还可以包括:将所述认证答复从所述移动控制器隧道传输到所述接入点区域以转发到所述非企业通信设备。
提供了一种具有计算机程序的多个代码段的非暂时性计算机可读介质,所述计算机程序的多个代码段在计算设备执行时,将互联网服务提供商网络的公共Wi-Fi热点扩展到企业网络系统,并经由所述企业网络系统中的隔离区在非企业通信设备和所述互联网服务提供商之间安全地传输数据分组。所述计算机可读介质包括:PEC SSID广播代码段,其在由所述计算设备执行时控制接入点广播所述企业网络系统的服务集标识符(PEC SSID);ISP SSID广播代码段,其在由所述计算设备执行时控制另一接入点广播所述互联网服务提供商网络的服务集标识符(ISP SSID);ISP隧道代码段,其在由所述计算设备执行时创建安全信道并在所述另一接入点和所述互联网服务提供商网络中的移动控制器之间隧道传输数据分组,以在所述互联网服务提供商网络和非企业计算设备之间安全地传输数据分组;以及PEC隧道代码段,其在由所述计算设备执行时创建安全信道并且在所述接入点与所述企业网络系统中的移动控制器之间隧道传输数据分组,以在所述企业网络系统中的局域网与企业计算设备之间安全地传输数据分组。
通过考虑详细描述和附图,本公开的附加特征、优点和实施例可以被阐述或显而易见。此外,应当理解,本公开的前述发明内容以及以下具体实施方式和附图提供了非限制性示例,其旨在提供进一步的解释而不限制所要求保护的本公开的范围。
附图说明
被包括以提供对本公开的进一步理解的附图被并入本说明书中并构成本说明书的一部分,示出了本公开的实施例,并且与详细描述一起解释了本公开的原理。没有试图比对本公开的基本理解和可以实践本公开的各种方式所必需的更详细地示出本公开的结构细节。
图1描绘了现有技术的ISP。
图2描绘了现有技术的企业网络通信系统。
图3描绘了用于计算机通信系统的开放系统互连(OSI)模型的表示。
图4示出了根据本公开的原理的构造的私有企业网络通信(PEC)系统的示例。
图5示出了可以与一个或多个附加ISP通信地连接到PEC系统的ISP的示例。
图6示出了用于通过PEC系统将非PEC通信设备连接到ISP的通信处理的示例。
图7示出了通信设备和PEC系统中的局域网(LAN)之间的连接流的示例。
图8示出了非PEC通信设备和ISP中的局域网(LAN)之间的连接流的示例。
在下面的具体实施方式中进一步描述了本公开。
具体实施方式
参考在附图中描述和/或示出并在以下描述中详述的非限制性实施例和示例,更全面地解释了本公开及其各种特征和有益细节。应当注意,附图中所示的特征不一定按比例绘制,并且如本领域技术人员将认识到的,即使本文未明确说明,一个实施例的特征也可以与其他实施例一起被采用。可以省略对公知组件和处理技术的描述,以免不必要地模糊本公开的实施例。本文使用的示例仅旨在促进理解可以实践本公开的方式,并且进一步使本领域技术人员能够实践本公开的实施例。因此,本文的示例和实施例不应被解释为限制本公开的范围。此外,应注意,在整个附图的若干视图中,相同的附图标记表示类似的部分。
参考图1和图2,现有网络系统由于移动通信设备的不断增加的数据速率和带宽需求而日益紧张。根据2016-2021年的思科视觉网络指数:预测及方法,企业IP流量预计在2016年和2021年之间具有约21%的总年增长率,达到每月45,452拍字节(Petabytes)的数据,这对于平均商业用户来说相当于每月约4千兆字节的数据。在实现5G标准时预期甚至更大的需求的情况下,发明人意识到,以不对非公共企业网络通信系统带来任何安全风险的安全方式,将流量从移动通信设备分流到公共和私有Wi-Fi网络的期望性。发明人已经意识到,存在对技术解决方案的未实现的需求,该技术解决方案通过将Wi-Fi热点安全地扩展和广播到非公共企业网络通信系统来促进通信设备对ISP的增加和扩展的接入,而不向非公共企业网络通信系统引入任何安全风险。
发明人已经设想并创建了一种技术解决方案,该技术解决方案提供了一种系统、方法和计算机程序,该系统、方法和计算机程序尤其通过一个或多个移动控制器和接入点(AP)将公共Wi-Fi热点从ISP安全地扩展到非公共企业网络通信(enterprise networkcommunication,PEC)系统。PEC系统可以在PEC系统中创建和支持一个或多个主隧道(tunnel),以处理PEC通信设备和PEC系统之间的流量,以及在PEC系统中创建和支持一个或多个辅助隧道,以通过PEC系统基础设施处理一个或多个ISP与相关联的非PEC通信设备之间的流量,而不会对PEC系统带来任何安全风险。辅助隧道可以在一个或多个ISP移动控制器与PEC系统中的DMZ(demilitarized zone,隔离区)之间经由防火墙形成,以促进非PEC通信设备和ISP之间的安全通信,例如,通过PEC系统中的DMZ。该技术解决方案可以实现并促进经由非公共企业网络通信系统(包括例如专用局域网(LAN))的公共和/或ISP Wi-Fi接入的实质性扩展。
根据非限制性实施例,可以在PEC系统上提供一个或多个AP,并且一个或多个AP被配置为广播ISP的服务集标识符(SSID)、经由AP将非PEC通信设备连接到(例如,公共)ISP网络,并且经由AP和PEC系统促进非PEC通信设备和ISP的网络之间的隧道通信。
当在内部和通过网络系统进行通信时,PEC系统可以包括开放系统互连(OSI)模型。包括连接到PEC系统的计算设备的PEC系统可以在任何时刻在OSI模型(图3中所示)中的七个层中的任何一个或多个层处操作。也就是说,参考图3,其示出了七层OSI模型,PEC系统可以在应用层1、表示层2、会话层3、传输层4、网络层5、链路层6和/或物理层7处操作。
参考图3,应用层1是最靠近终端用户的计算设备中的OSI层。应用层1与实现通信组件的计算设备中的软件应用交互。应用层1可以包括例如搜索引擎或终端用户可以与之交互以执行功能的任何其他软件应用。
表示层2建立软件应用之间的上下文,其可以使用不同的语法和语义。表示层2将数据转换为每个软件应用可以接受的形式。操作系统是表示层2的示例。
会话层3控制通信系统中计算设备之间的连接。该层负责建立、管理和终止本地和远程应用之间的连接。该层可以提供全双工、半双工或单工操作,并且负责建立检查点、延期、终止和重启过程。
传输层4提供功能和过程机制,以用于将可变长度数据序列从源计算设备传送到目的地计算设备,同时保持服务质量(QoS)。传输层4通过流控制、分段和解分段以及差错控制来控制给定链路的可靠性。传输层4可以包括例如隧道协议、传输控制协议(TCP)和用户数据报协议(UDP)。
网络层5提供用于将数据分组从网络上的节点传送到不同网络上的另一节点的功能和过程机制。如果要发送的数据太大,则网络层5可以促进在节点处将数据划分成多个片段,并将片段独立地发送到另一节点,其中可以重新组装片段以重新创建传输的数据。网络层5可以包括一个或多个层管理协议,诸如例如路由协议、多播组管理、网络层信息和错误以及网络层地址分配。
链路层6负责通信系统中的计算设备之间的节点到节点传送。在IEEE802实现方式中,链路层6被划分成两个子层,包括介质访问控制(MAC)层和逻辑链路控制(LLC)层。MAC层负责控制网络中的设备如何获得对介质的访问和传输数据的许可。LLC层负责识别和封装网络层协议,并负责控制错误检查和帧同步。
物理层7包括连接计算系统的硬件。硬件可以包括例如连接器、电缆、开关等,其提供计算设备之间的指令和数据流的发送和接收。
当在PEC系统中或通过一个或多个网络(例如,互联网)进行通信时,可以通过标识符(诸如例如,互联网协议(IP)地址)来识别通信设备。IP地址通常包括32位数(例如,IPv4)或128位数(IPv6)。IP地址可以提供两个主要功能。首先,IP地址可以标识通信设备或网络接口。其次,IP地址可以识别通信设备在网络上的位置。
IP地址通常在启动时分配给通信设备(称为“动态IP地址”),或者通过通信设备中的硬件和/或软件的固定配置永久地分配给通信设备(称为“静态IP地址”)。每当计算设备连接到DHCP服务器网络时,动态IP地址通常由动态主机配置协议(DHCP)服务器重新分配。
另一方面,静态IP地址被永久地分配给通信设备(诸如,例如,网络打印机、服务器、VPN服务器等),并且可以用于识别网络上的通信设备。与更常用于住宅应用的动态IP地址相比,静态IP地址通常用于商业应用。
图4示出了根据本公开的原理的构造的PEC系统100的示例。PEC系统100可以包括非公共企业网络通信系统20,如图2所示。PEC系统100包括多个计算设备110-180,每个计算设备可以通信地耦接到一个或多个通信链路8。PEC系统100包括移动主机(MM)110、备用移动主机(SMM)120、网关服务器130、一个或多个移动控制器(MC)145、一个或多个AP 155、接入服务器160、DHCP服务器170和网络管理器(NM)服务器180。每个MC145可以作为PEC系统100中的终止点操作。可以包括一个或多个MC 145作为移动控制器区域。移动控制器区域划可被配置为集成来自一个或多个ISP200的一个或多个MC 245(如图5所示)。移动控制器区域可包括主MC区域140,该主MC区域140包括多个MC 145。主MZ区域140可以包括防火墙和DMZ。一个或多个AP 155可以被包括作为包括多个AP 155的AP区域150。AP区域150可以广播一个或多个射频(RF)信号,该信号包括对于PEC系统100或其运营商唯一的SSID(PECSSID)。AP区域150可以广播一个或多个RF信号,该信号包括对ISP 200(如图5所示)唯一的SSID(ISP SSID)。RF信号可以包括多个ISP SSID,每个ISP SSID对于单独的ISP 200(如图5所示)可以是唯一的。ISP SSID与PEC SSID不同。
(一个或多个)广播的RF信号可以由一个或多个通信设备11接收。通信设备11可以被配置为识别PEC SSID并与PEC系统100中的计算设备通信,该计算设备可以位于防火墙后面。通信设备11A可以被配置为识别PEC SSID并登录到PEC系统100以及与PEC系统100通信。非PEC通信设备11A可以被配置为识别ISP SSID并与ISP 200通信。例如,非PEC通信设备11A可以被配置为自动(或手动)连接并访问ISP 200上的资源。通信设备11和非PEC通信设备11A可以在OSI模型中的任何级别上操作。通信设备11和非PEC通信设备11A在硬件、固件或软件方面可以是相同的或不同的。
MM 110可以包括一个或多个主路由器(未示出),并且SMM 120可以包括用于MM110的冗余备份。MM 110可以用作服务网关。MM 110可以用作PEC系统100中的配置点。MM110和SMM 120可以包括运行虚拟路由器冗余协议(VRRP)或热备份路由器协议(HSRP)的一个或多个路由器。MM110可以充当用于在PEC系统100中的共享LAN上通信设备11和计算设备的默认路由器。MM 110可以包括一个或多个虚拟路由器标识符(VRI)以及跨公共LAN的一组或多组相关联的IP地址。MM 110可负责转发发送到与虚拟路由器相关联的IP地址的数据分组,并应答对这些地址的地址解析协议(Address Resolution Protocol,ARP)请求。MM 110可以通过活动通信链路向参与的通信设备11提供可用IP路由器的自动分配,从而增加路由路径的可用性和可靠性。如果代表虚拟路由器路由分组的物理路由器由于任何原因发生故障,则MM 110可以自动选择另一个路由器来替换它。通过共享IP地址和MAC(图3中所示的OSI层6)地址,两个或更多个路由器可以充当单个虚拟路由器。
SMM 120可以根据需要通过被动通信链路向参与的通信设备11提供可用IP路由器的自动分配。如果MM 110发生故障,则SMM 120可以承担虚拟路由器的转发责任。VRRP协议设计可以提供从SMM 120到MM 110的快速转换,以最小化服务中断,并结合降低协议复杂性的优化,同时确保典型操作情况的受控主转换。MM 110和SMM 120可以连续地交换状态消息,使得如果MM 110发生故障,则SMM 120可以承担MM 110的路由责任。
MM 110可以使用IP组播数据报来执行协议消息传递,并且可以在可能支持IP组播传递的各种多址LAN技术上操作。每个虚拟路由器可以包括唯一的MAC地址(例如,图3中所示的OSI层6)。每个虚拟路由器可以由虚拟路由器标识符(VRID)和一组IP地址来标识。MM110可以将虚拟路由器与其在接口上的真实地址相关联。MM 110可以包括要备份的虚拟路由器的虚拟路由器映射和优先级。可以在LAN上的所有VRRP路由器之间协调VRID和地址之间的映射。
MM 110和SMM 120可以连接到网关服务器130。网关服务器130可以与MM 110、SMM120、主MC区域140、接入服务器160、DHCP服务器170和NM服务器180通信,并管理MM 110、SMM120、主MC区域140、接入服务器160、DHCP服务器170和NM服务器180之间的通信。网关服务器130可以通过相应的通信链路8控制这些计算设备之间的数据流。网关服务器130可以在OSI模型(如图3所示)的七层中的任何一层上操作。网关服务器130可以包括防火墙。
网关服务器130可以包括认证、授权和计费(AAA)服务器。AAA服务器可以包括具有扩展应用协议(EAP)支持(诸如,例如,远程认证拨入用户服务(RADIUS)和直径(DIAM-EAP))的AAA协议。AAA服务器可以为连接并使用PEC系统100的通信设备提供集中式认证、授权和计费管理。AAA服务器可以在OSI模型(如图3所示)的应用层1中运行,并且可以使用例如TCP、UDP等作为传输协议。
主MC区域140可以作为集中式服务网关操作,该集中式服务网关可以扩展以处理大量认证和漫游事件,其包括AP区域150中的AP 155的认证。MC 145可以用PEC系统100中的AAA服务器验证AP请求、用授权信息进行响应,并建立互联网安全协议(IPsec)隧道或虚拟专用网络(VPN)。每个MC 145可以充当服务网关或VPN终止点。主MC区域140还可以执行有状态防火墙策略监视和实施。MC 145可以包括但不以任何方式限于例如ARUBATM 7200系列移动控制器。
主MC区域140可以支持到可以充当服务网关的MC 145的多个隧道。主MC区域140可以包括物理或逻辑子网络,该物理或逻辑子网络包含PEC系统对互联网和/或AP区域150的面向外部的服务。主MC区域140可以包括一个或多个主隧道,以支持PEC通信设备11和PEC系统100之间的通信。主MC区域140可以包括一个或多个辅助隧道,以支持非PEC通信设备11A与一个或多个ISP 200(如图5所示)之间的通信。辅助隧道可以通过防火墙以安全和受控的方式连接到ISP 200处的一个或多个MC 245,以满足PEC系统100的安全和策略要求。
可以包括防火墙和DMZ的主MZ区域140可以经由通信链路80上的一个或多个隧道与AP区域150通信。隧道可以包括一个或多个主隧道和/或一个或多个辅助隧道。隧道可以包括通用路由封装(GRE)运营商SSID隧道或采用隧道(adoption tunnel)。主MC区域140可以包括跨MC 145和AP区域150之间的通信链路80的一个或多个IPsec连接,以建立一个或多个隧道。主MC区域140可以通过一个或多个通信链路80在AP区域150中的AP 155与MC 145之间隧道传输选择流量。例如,MC 145可以包括与AP 155的IPsec连接,并且在设备之间创建GRE隧道和/或采用隧道,以在非PEC通信设备11A和ISP 200(如图5所示)之间安全地承载与广播的ISP SSID相关联的数据分组。MC 145和AP 155可以促进通过通信链路80传输数据分组、在非PEC通信设备11A和ISP 200之间承载数据分组,而无需对任何数据分组进行任何处理(例如,解析)。可以用PEC系统100不可解密的加密方案对数据分组进行加密。
包括主MC区域140的移动控制器区域可以集成来自ISP 200(如图5所示)的MC245,以将特定ISP 200的ISP SSID扩展到PEC系统100。网络流量可以经由PEC系统100基础设施路由到ISP 200。PEC系统100可以是将ISP 200的Wi-Fi热点扩展到PEC系统100的AP155以到达新区域的介质。PEC系统100可以通过将互联网流量分流到ISP 200来降低其互联网带宽要求,并且ISP 200可以通过PEC系统100上的AP 155到达新位置处的新的非PEC通信设备11A,该AP 155广播与ISP 200相关联的ISP SSID。
AP区域150可以包括一个或多个ISP连接链路,该链接链路促进通过通信链路81在AP区域150和一个或多个ISP 200(如图5所示)之间传送数据分组。ISP连接链路可以包括例如UDP端口4500、IP协议47(GRE)等。通信链路81可以支持在AP区域150和ISP 200(如图5所示)之间形成的一个或多个GRE ISP数据隧道。
AP 155可以通过通信链路80通信地耦接到MC 145。AP 155可以通过ISP连接链路和通信链路81通信地耦接到一个或多个ISP 200。AP 155可以包括可以通过一个或多个通信链路与PEC通信设备11或非PEC通信设备11A中的一个或多个通信的联网硬件、固件或软件设备。AP 155可以被配置或控制为广播PEC SSID或ISP SSID。AP 155可以广播多于一个ISP SSID,其中每个ISP SSID对于特定ISP 200(如图5所示)是唯一的。广播的PEC SSID可以被隐藏而不被非PEC通信设备11A检测到。AP 155可以允许通信设备11连接到PEC系统100,或者允许非PEC通信设备11A通过ISP连接链路和通信链路81连接到ISP 200(如图5所示)。
接入服务器160可以启用、控制和管理网络接入、安全设备加载和访客设备接入。接入服务器160可以实现策略并控制对网络(包括LAN和VPN)的接入。接入服务器160可以包括接入管理解决方案,诸如例如ARUBATM ClearPass接入管理解决方案。接入服务器160可以连接到网关服务器130。接入服务器160可以包括存储策略数据的一个或多个数据库。接入服务器160可以包括防火墙。接入服务器160可以包括AAA服务器(未示出),其可以为连接和使用PEC系统100的PEC通信设备11提供集中式认证、授权和计费管理。
DHCP服务器170可以包括网络服务器,该网络服务器实现动态主机配置协议(DHCP)以自动生成IP地址、默认网关和其他网络参数并将其动态分配给PEC系统100中的计算设备,诸如需要与其他IP网络通信的计算设备。DHCP服务器170可以接收和处理IP地址请求。DHCP服务器170可以管理PEC系统100上的计算设备的UDP和IP设置。
DHCP服务器170可以包括用于连接到PEC系统100的计算设备、服务和其他资源的域名系统(DNS)。DHCP服务器170可以将更容易辨别的域名转换为定位和识别具有底层网络协议的服务和计算设备所需的数字IP地址。
NM服务器180可以包括网络管理平台,该网络管理平台可以执行PEC系统100中的本地流量和软件应用的实时监视和可见性、深度分组检查,以允许应用和应用类别策略、连接分析、无线入侵事件检测和保护以及PEC系统100和底层有线拓扑的Wi-Fi覆盖的定位和映射,以提供在任何时间PEC系统100上有哪些计算设备的准确和清晰的画面。网络管理平台可以包括但不以任何方式限于例如由阿鲁巴岛网络公司(Aruba Networks company)提供的阿鲁巴岛无线网络管理解决方案(ARUBA AIRWAVE Network Management Solution)。
图5示出了ISP 200的示例,该ISP 200可以通过通信链路81与一个或多个附加ISP200一起通信地连接到PEC系统100。ISP 200可以包括网关服务器230、ISP MC数据区域240、数据库250和DHCP服务器270。网关服务器230可以通过通信链路82与MC数据区域240、数据库250、DHCP服务器270和ISP 200上或ISP 200外部的计算设备(未示出)通信并管理MC数据区域240、数据库250、DHCP服务器270和ISP 200上或ISP 200外部的计算设备(未示出)之间的通信。网关服务器230通过相应的通信链路控制这些计算设备之间的数据流。网关服务器230可以在OSI模型(如图3所示)的七层中的任何一层处操作。网关服务器230可以包括防火墙。网关服务器230可以包括AAA服务器(未示出),该服务器可以为连接和使用ISP 200的计算装置(包括非PEC通信装置11A)提供集中式认证、授权和计费管理(AAA)。
MC数据区域240可以包括一个或多个MC 245。MC数据区域240可以包括ISP防火墙。MC数据区域240可以支持多个网络(例如,VPN)和到MC 245的隧道,每个网络和隧道可以充当服务网关。每个MC 245可以支持PEC系统100中的主MC区域140并经由通信链路81上的隧道与PEC系统100中的主MC区140通信。通信可以包括GRE运营商SSID隧道。MC数据区域240可以包括一个或多个IPsec连接。MC 245可以通过一个或多个通信链路81在ISP 200与PEC系统100中的主MC区域140之间隧道传输选择流量。例如,MC 245可以支持主MC区域140和ISP200之间的GRE隧道,以在非PEC通信设备11A和ISP 200中的MC 245之间安全地承载数据分组。MC 245可以促进通过通信链路81传输数据分组,在PEC系统100和ISP 200之间承载数据分组,包括源自或去往非PEC通信设备11A的数据分组。数据分组可以用ISP 200可解密但PEC系统100不可解密的加密方案来加密。MC数据区域240和主MC区域140可以在相同的操作系统(OS)版本上运行。
MC 245可以包括运行VRRP的一个或多个路由器。MC 245可以充当ISP200上的共享LAN上的主机的默认路由器。MC 245可以充当另一MC 245的备份。MC 245可以包括一个或多个VRI以及跨公共LAN的一组或多组相关联的IP地址。MC 245可以负责转发发送到与虚拟路由器相关联的IP地址的分组,并应答对这些地址的ARP请求。
DHCP服务器270可以包括网络服务器,该网络服务器自动生成并动态地将IP地址、默认网关和其他网络参数分配给ISP 200中的计算设备,包括非PEC通信设备11A。DHCP服务器270可以接收和处理IP地址请求。DHCP服务器270可以管理ISP 200上的计算设备的UDP/IP设置。
DHCP服务器270可以包括用于连接到ISP 200的计算设备、服务和其他资源的DNS。DHCP服务器270可以将更容易辨别的域名转换为定位和识别具有底层网络协议的服务和计算设备所需的数字IP地址。
图6示出了用于通过PEC系统100(如图4所示)将非PEC通信装置11A(如图4所示)连接到ISP 200(如图5所示)的通信处理300的示例。
参考图4至图6,可以从给定AP 155接收无线接入点(WAP)信号(步骤305)。可以确定(例如,基于来自给定AP 155的WAP信号)AP 155是否是预分配的AP(步骤310)。如果确定AP 155不是预分配的AP(在步骤310为“否”),则可以确定AP155是否是新的AP,并且可以将从该AP 155接收的IP地址请求传送到PEC系统100中的DHCP服务器170(步骤315)。DHCP服务器170可以使用DNS解析主IP地址,并将IP地址分配给该AP 155(步骤320)。可以检查AP 155是否正在运行与相关联的MC 145相同的镜像(image)(步骤325)。如果确定AP 155没有运行镜像,或者正在运行与相关联的MC 145不同的镜像(在步骤325为“否”),则可以使用例如文件传输协议(FTP,经由TCP端口21)、简单FTP(TFTP,经由UDP端口69)等将与相关联的MC 145相对应的镜像下载到AP 155(步骤330),并且可以重新启动AP 155(步骤335)。可以通过DHCP(和DNS)服务器170、PAPI协议(经由UDP端口8211)和控制平面安全(CPsec)(经由UDP端口4500)来促进AP 155与MM 110或MC 145之间的通信。如果确定AP 155正在运行与相关联的MC 145相同的镜像(在步骤325为“是”),则可以重新启动AP(步骤335)。
如果确定AP 155是预分配的AP(在步骤310为“是”),则可以确定该AP 155是否被预分配以广播ISP SSID(步骤340)。PEC系统100可以包括两个或多个AP 155,或者AP 155的两个或多个区域,其中每个AP 155(或AP155的区域)专用于广播唯一的ISP SSID,每个唯一的ISP SSID属于特定的ISP 200。
如果确定AP 155被预分配以广播PEC SSID(不是ISP SSID)(在步骤340为“否”),则可以将从该AP 155接收的IP地址请求传送到PEC系统100中的DHCP服务器170(步骤345)。AP 155和MC 145之间的通信可以通过DHCP(和DNS)服务器170、CPsec(经由UDP端口4500)、SYSLOG(经由UDP端口123)、PAPI消息心跳(经由UDP端口8211)(8209)和GRE(协议47)来促进。DHCP服务器170可以使用DNS解析主IP地址,并将IP地址分配给该AP 155(步骤350)。可以建立到AP 155的安全信道(步骤355),诸如,例如,使用UDP4500的安全PAPI协议信道(CPsec隧道)。在建立安全信道(步骤355)之后,可以与MC 145建立GRE隧道,并且可以由AP155广播PEC SSID(步骤360),然后PEC通信设备11可以访问该SSID以与PEC系统100上的计算设备安全地通信。通信设备11可以由例如包括在网关服务器130或接入服务器160中的AAA服务器(未示出)认证(步骤365),并且IP地址被分配并转发到通信设备11(步骤370),并且数据分组可以在通信设备11和PEC系统100上的计算设备之间安全地通信。
如果确定AP 155是预分配的AP(在步骤310为是)并且AP 155被预分配以广播ISPSSID(在步骤340为是),则可以在AP 155和ISP 200处的相关联的MC 245之间建立安全信道(步骤375)。可以经由例如使用UDP端口4500、GRE(使用协议47)的控制平面安全(CPsec)通过PEC系统100中的防火墙来促进AP 155和MC 245之间的数据传输。广播特定ISP 200的ISPSSID的所有多区AP 155可以到达该ISP 200中的MC 245。在建立安全信道(步骤375)之后,可以与ISP 200处MC 245建立GRE隧道,并且可以由AP 155广播该ISP 200的ISP SSID(步骤380),然后可以由一个或多个非PEC通信设备11A访问该ISP SSID。如果预分配多个AP 155以在多个位置或区域中广播ISP SSID,则可以在AP 155和ISP 200处的MC 245之间建立安全信道。非PEC通信设备11A可以由例如网关服务器230中包括的AAA服务器(未示出)认证(步骤385),以及由ISP AAA服务器分配并转发到非PEC通信设备11A的IP地址(步骤390),并且数据分组可以通过非PEC通信设备11A和ISP 200中的MC 245之间的GRE隧道安全地通信(步骤395)。
处理300可以将ISP 200的MC 245集成到PEC系统100中的MC 145,从而将特定ISP200的ISP SSID扩展到PEC系统100,并通过PEC系统100基础设施安全地隧道传输数据传输并管理非PEC通信设备11A和ISP 200之间的流量流。因此,PEC系统110可以扩展ISP 200的服务提供商公共热点以到达新区域。
通信设备11、11A中的每一个可以包括网络接口(未示出)。通信设备11、11A可以使用诸如TCP或UDP的传输层协议以及诸如IP的网络层协议,来传输和管理来自和去往通信设备的数据分组的通信。传输层可以在数据分组的报头中指定源端口号和目的地端口号。端口号可以包括范围从例如0到65535的两字节(或16位)无符号整数。例如,端口号80和443通常与互联网相关联,其中分别使用安全套接层(“SSL”),端口号80与万维网(“WWW”)相关联以及端口号443与WWW相关联。
网络层(如图3所示的OSI层5)可以包括被分配给每个通信设备11、11A上的每个网络接口卡(未示出)的四(4)字节IP地址(IPv4)或六(6)字节IP地址(IPv6)。这可以例如由服务于通信设备11的PEC系统100中的DHCP服务器170或服务于通信设备11A的ISP 200中的DHCP服务器270自动完成。然后,IP地址可以用于将通信设备11定位并连接到PEC系统100以及将通信设备11A定位并连接到ISP 200。
在PEC系统100或ISP 200上的通信期间,通信设备11、11A可以实现绑定处理,该绑定处理通过互联网套接将通信设备的输入/输出信道与传输协议、端口号和IP地址相关联,该互联网套接可以包括一种类型的文件描述符。绑定处理可以使得通信设备11、11a能够通过PEC系统100或ISP 200发送和接收数据分组。通信设备11、11A中的操作系统联网软件的任务可以是将来自所有应用端口的传出数据发送到PEC系统100或ISP 200上,并通过匹配从传入数据分组的报头解析的IP地址和端口号来将到达的网络数据分组转发到处理。通信设备11、11A中的单个处理可以使用相同的传输协议绑定到特定的IP地址和端口组合。
分配给每个通信设备11、11A的IP地址可以用作网络层处的网络接口(未示出)的唯一标识符。当网络接口连接到PEC系统100或ISP 200时,IP地址可以用于定位和建立与相关联的通信设备11、11A的通信会话。IP地址可以包括网络前缀号、主机号和子网号。网络前缀号可以由PEC系统100提供给通信设备11,并且由向通信设备11A提供服务的相关联的ISP200提供给通信设备11A。
可以提供包含计算机程序的非暂时性计算机可读介质,该计算机程序当在PEC系统100或ISP 200中的一个或多个计算设备上执行时,促使图6中的处理300被执行。计算机程序可以有形地体现在计算机可读介质中,包括一个或多个程序指令、代码段或代码部分,以用于在由PEC系统100或ISP 200中的一个或多个计算设备执行时执行步骤305至395中的每一个。当由PEC系统100或ISP 200执行时,处理300可以通过ISP MC数据区域240(例如,通过集成到主MC区域140中的MC 245)将ISP 200的公共Wi-Fi热点安全地扩展到PEC系统100上的一个或多个AP 155。AP 155可以在PEC系统100中提供主(或企业特定的)GRE隧道,以及以安全和受控的方式通过主MC区域140中的DMZ中的防火墙连接到ISP 200的辅助GRE隧道,以满足PEC系统100和ISP 200的要求和策略。
图7示出了通信设备11和PEC系统100中的局域网(LAN)(PEC LAN)之间的连接流的示例。参考图4和图7,AP 155可以广播可以由通信设备11检测的PEC系统100的PEC SSID。已经被配置为在PEC系统100上操作的通信设备11可以向AP 155发送EAP认证请求EAP AUTH(步骤410)。AP 155可以将EAP AUTH隧道传输到主MC区域140(步骤412),主MC区域140又可以将EAP AUTH转发到例如PEC系统100中的LAN(步骤414)。EAP AUTH可以直接在诸如例如点对点协议(PPP)或IEEE 802的数据链路层上运行,而不需要IP。EAP AUTH可以由PEC系统100中的AAA服务器接收,AAA服务器然后可以认证通信设备11并用认证答复EAP REPLY进行响应(步骤420)。EAP REPLY可以由主MC区域140接收并隧道传输到AP 155(步骤422)以及转发到通信设备11(步骤424)。
通信设备11可以向AP 155发送IP地址请求,请求分配IP地址和网络参数DHCP REQ(步骤430)。AP 155可以将DHCP REQ隧道传输到主MC区域140(步骤432),主MC区域140又可以将DHCP REQ转发到PEC系统100中的DHCP服务器170(步骤434)。DHCP服务器170可以分配IP地址,并且可以将包括IP地址和联网参数的响应DHCP REPLY发送到主MC区域140(步骤440)。DHCP REPLY可以从主MC区域140隧道传输到AP 155(步骤442)并转发到通信设备11(步骤444)。
在被认证并接收到IP地址和联网参数之后,通信设备11可以向AP 155发送互联网控制消息协议(ICMP)请求ICMP REQ(步骤450)。ICMP REQ可以包括例如操作信息、错误消息或诸如ICMP ECHO_REQUEST数据分组的ping。AP 155可以将ICMP REQ隧道传输到主MC区域140(步骤452),主MC区域140又可以将ICMP REQ转发到PEC系统100中的接入服务器160或网络管理器180(步骤454)。接入服务器160或网络管理器180可以利用对主MC区140的ICMPREPLY进行响应(步骤460)。ICMP REPLY可以包括例如响应于ICMP ECHO_REQUEST数据分组的操作信息、错误消息或ICMP ECHO_REPLY分组。可以将ICMP REPLY从主MC区域140隧道传输到AP 155(步骤462)并转发到通信设备11(步骤464)。
图8示出了非PEC通信设备11A和IS P200中的LAN(ISP数据区域LAN)之间的连接流的示例。参考图4、图5和图7,AP 155可以广播可以由非PEC通信设备11A检测的ISP 200的ISP SSID。可以被配置为与ISP 200一起操作的非PEC通信设备11A可以向AP 155发送EAP认证请求EAP AUTH(步骤510)。AP 155可以将EAP AUTH隧道传输到ISP 200中的MC数据区域240(步骤512),MC数据区域240又可以将EAP AUTH转发到例如ISP 200中的LAN(步骤514)。EAP AUTH可以由ISP 200中的AAA服务器接收,AAA服务器然后可以认证非PEC通信设备11A并用认证答复EAP REPLY进行响应(步骤520)。EAP REPLY可以由MC数据区域240接收并隧道传输到AP 155(步骤522)以及转发到非PEC通信设备11A(步骤524)。
在接收到EAP REPLY(步骤524)之后,非PEC通信设备11A可以向AP 155发送IP地址请求,请求分配IP地址和网络参数DHCP REQ(步骤530)。AP 155可以将DHCP REQ隧道传输到MC数据区域240(步骤532),MC数据区域240又可以将DHCP REQ转发至ISP 200中的DHCP服务器370(步骤534)。DHCP服务器270可以分配IP地址,并且可以将包括IP地址和联网参数的响应DHCP REPLY发送至MC数据区域240(步骤540)。DHCP REPLY可以从MC数据区域240隧道传输到AP 155(步骤542)并转发至非PEC通信设备11A(步骤544)。
在被认证并接收到IP地址和网络参数之后,非PEC通信设备11A可以向AP 155发送ICMP请求(ICMP REQ)(步骤550)。ICMP REQ可以包括例如操作信息、错误消息或诸如ICMPECHO_REQUEST数据分组的ping。AP 155可以将ICMP REQ隧道传输到ISP 200中的MC数据区域240(步骤552),MC数据区域240又可以将ICMP REQ转发到ISP 200中的接入服务器或网络管理器(步骤554)。接入服务器或网络管理器可以使用对MC数据区域240的ICMP REPLY进行响应(步骤560)。ICMP REPLY可以包括例如响应于ICMP ECHO_REQUEST数据分组的操作信息、错误消息或ICMP ECHO_REPLY分组。ICMP REPLY可以从MC数据区域240隧道传输到AP155(步骤562)并转发到非PEC通信设备11A(步骤564)。
可以提供包含计算机程序的非暂时性计算机可读介质,该计算机程序当在PEC系统100或ISP 200中的一个或多个计算设备上执行时,促使图7和图8所示的连接流由PEC系统100和/或ISP 200执行。计算机程序可以有形地体现在计算机可读介质中,包括一个或多个程序指令、代码段或代码部分,以用于在由PEC系统100或ISP 200中的一个或多个计算设备执行时执行图7中的步骤410至464和图8中的步骤510至564中的每一个。
除非另有明确说明,否则本公开中使用的术语“一(a)”、“一个(an)”和“该(the)”指“一个或多个”。
如本公开中所使用的术语“通信设备”指可以通过通信链路发送或接收数据分组、指令信号或数据信号的任何硬件、固件或软件。硬件、固件或软件可以包括例如电话、智能电话、个人数字助理(PDA)、智能手表、平板电脑、计算机、软件定义无线电(SDR)等,但不限于此。
如本公开中所使用的术语“通信链路”指在至少两个点之间传达数据或信息的有线和/或无线介质。有线或无线介质可以包括例如金属导体链路、射频(RF)通信链路、红外(IR)通信链路、光通信链路等,但不限于此。RF通信链路可以包括例如Wi-Fi、WiMAX、IEEE802.11、DECT、0G、1G、2G、3G或4G蜂窝标准、蓝牙等,但不限于此。
如在本公开中使用的术语“计算机”或“计算设备”指能够根据一个或多个指令操纵数据的任何机器、设备、电路、组件或模块,或者机器、设备、电路、组件、模块等的任何系统,诸如例如但不限于处理器、微处理器、中央处理单元、通用计算机、超级计算机、个人计算机、膝上型计算机、掌上型计算机、笔记本计算机、台式计算机、工作站计算机、服务器、服务器群、计算机云等,或者处理器、微处理器、计算机、中央处理单元、通用计算机、超级计算机、个人计算机、膝上型计算机、掌上型计算机、笔记本计算机、台式计算机、工作站计算机、服务器等的阵列,但不限于此。
如本发明中所使用的术语“计算机可读介质”指参与提供可由计算机读取的数据(例如,指令)的任何存储介质。这样的介质可以采取许多形式,包括非易失性介质和易失性介质。非易失性介质可以包括例如光盘或磁盘以及其他持久存储器。易失性介质可以包括动态随机存取存储器(DRAM)。计算机可读介质的常见形式包括例如软盘、柔性盘、硬盘、磁带、任何其他磁介质、CD-ROM、DVD、任何其他光学介质、穿孔卡、纸带、具有孔图案的任何其他物理介质、RAM、PROM、EPROM、FLASH-EEPROM、任何其他存储器芯片或盒式磁带、如下文所述的载波、或计算机可以从中读取的任何其他介质。计算机可读介质可以包括“云”,该“云”包括跨多个(例如,数千个)计算机上的多个(例如,数千个)存储器高速缓存的文件分布。
各种形式的计算机可读介质可以涉及将指令序列携带到计算机。例如,指令序列(i)可以从RAM递送到处理器,(ii)可以通过无线传输介质承载,和/或(iii)可以根据许多格式、标准或协议进行格式化,包括例如Wi-Fi、WiMAX、IEEE 802.11、DECT、0G、1G、2G、3G、4G或5G蜂窝标准、蓝牙等。
如本公开中所使用的术语“传输”指经由电、声波、光波和其他电磁发射(诸如结合射频(RF)或红外(IR)光谱中的通信而生成的那些电磁发射)来传送信号。用于这种传输的传输介质可以包括同轴电缆、铜线和光纤,包括包含耦接到处理器的系统总线的导线。
如本公开中所使用的术语“数据库”指软件和/或硬件的任何组合,包括至少一个应用和/或至少一个计算机。数据库可以包括根据数据库模型组织的记录或数据的结构化集合,诸如例如但不限于关系模型、分层模型、网络模型等中的至少一个。数据库可以包括本领域已知的数据库管理系统应用(DBMS)。至少一个应用可以包括但不限于例如可以通过向客户发送回响应来接受连接以服务来自客户的请求的应用。数据库可以被配置为通常在繁重的工作负载下、无人看管地以最少的人类指导在延长的时间段内运行至少一个应用。
除非另有明确说明,否则本公开中使用的术语“包括(including)”、“包含(comprising)”及其变体指“包括但不限于”。
如本公开中使用的术语“网络”指但不限于例如局域网(LAN)、广域网(WAN)、城域网(MAN)、个人区域网(PAN)、校园局域网、企业区域网、全球区域网(GAN)、宽带区域网(BAN)、蜂窝网络、互联网等中的至少一个,或前述的任何组合,其中任何一个可以被配置为经由无线和/或有线通信介质传送数据。这些网络可以运行各种协议,不限于TCP/IP、IRC或HTTP。
本公开中使用的术语“服务器”指软件和/或硬件的任何组合,包括至少一个应用和/或至少一个计算机,以作为客户端-服务器架构的一部分为连接的客户执行服务。至少一个服务器应用可以包括但不限于例如可以通过向客户发送回响应来接受连接以服务来自客户的请求的应用。服务器可以被配置为通常在繁重的工作负载下、无人看管地以最少的人类指导在延长的时间段内运行至少一个应用。服务器可以包括配置有至少一个应用的多个计算机,所述至少一个应用根据工作负载在计算机之间被划分。例如,在轻负载下,至少一个应用可以在单个计算机上运行。然而,在重负载下,可能需要多个计算机来运行至少一个应用。服务器或其任何计算机也可以用作工作站。
除非另有明确说明,否则彼此通信的设备不需要彼此连续通信。另外,彼此通信的设备可以直接通信或通过一个或多个中介间接通信。
尽管可以按先后顺序描述处理步骤、方法步骤、算法等,但是这样的处理、方法和算法可以被配置为以交替的顺序工作。换句话说,可以描述的步骤的任何顺序或次序不一定指示要求以该次序执行步骤。本文描述的处理、方法或算法的步骤可以以任何实际的顺序执行。此外,可以同时执行一些步骤。
当本文描述单个设备或物品时,显而易见的是,可以使用多于一个设备或物品来代替单个装置或物品。类似地,在本文描述多于一个设备或物品的情况下,显而易见的是,可以使用单个设备或物品来代替多于一个设备或物品。设备的功能或特征可以替代地由未明确描述为具有这样的功能或特征的一个或多个其他设备来体现。
虽然已经根据示例性实施例描述了本公开,但是本领域技术人员将认识到,可以在所附权利要求的精神和范围内通过修改来实践本公开。这些示例仅仅是说明性的,并不意味着是本公开的所有可能的设计、实施例、应用或修改的详尽列表。
Claims (20)
1.一种企业网络系统,用于将互联网服务提供商网络的公共Wi-Fi热点扩展到非企业通信设备,所述企业网络系统包括:
局域网,其包括防火墙;
接入点区域,其广播所述企业网络系统的服务集标识符(PEC SSID)和所述互联网服务提供商网络的服务集标识符(ISP SSID);以及
移动控制器区域,其在所述接入点区域和所述互联网服务提供商网络之间隧道传输数据分组,以在所述互联网服务提供商网络和所述非企业计算设备之间安全地传输数据分组,
其中,所述移动控制器区域隧道传输来自所述接入点区域的数据分组,以提供去往和来自企业计算设备的数据分组的安全传输。
2.根据权利要求1所述的企业网络系统,其中,所述移动控制器区域通过所述防火墙将数据分组隧道传输到所述互联网服务提供商网络。
3.根据权利要求1所述的企业网络系统,其中,所述接入点区域包括:
接入点,其广播所述企业网络系统的所述服务集标识符(PEC SSID)并且与所述企业通信设备通信,将数据分组传输到所述企业通信设备和传输来自所述企业通信设备的数据分组。
4.根据权利要求1所述的企业网络系统,其中,所述接入点区域包括:
接入点,其广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)并且与所述非企业通信设备通信,将数据分组传输到所述非企业通信设备和传输来自所述非企业通信设备的数据分组。
5.根据权利要求1所述的企业网络系统,其中,所述接入点区域包括:
第一接入点,其广播所述企业网络系统的所述服务集标识符(PEC SSID)并且与所述企业通信设备通信,将数据分组传输到所述企业通信设备和传输来自所述企业通信设备的数据分组;以及
第二接入点,其广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)并且与所述非企业通信设备通信,将数据分组传输到所述非企业通信设备和传输来自所述非企业通信设备的数据分组。
6.根据权利要求1所述的企业网络系统,其中,所述移动控制器区域包括移动控制器,所述移动控制器位于所述互联网服务提供商网络中并且被集成在所述移动控制器区域中。
7.根据权利要求6所述的企业网络系统,其中,所述移动控制器区域包括另一移动控制器。
8.根据权利要求7所述的企业网络系统,其中,所述另一移动控制器将数据分组隧道传输到另一互联网服务提供商网络。
9.根据权利要求8所述的企业网络系统,其中,所述另一移动控制器位于所述另一互联网服务提供商网络中。
10.根据权利要求5所述的企业网络系统,其中,所述接入点区域包括:
第三接入点,其广播另一互联网服务提供商网络的服务集标识符(ISP2SSID)并且与另一非企业通信设备通信,将数据分组传输到所述另一非企业通信设备和传输来自所述另一非企业通信设备的数据分组,
其中,所述互联网服务提供商网络的服务集标识符(ISP SSID)与所述另一互联网服务提供商网络的服务集标识符(ISP2 SSID)不同。
11.根据权利要求1所述的企业网络系统,其中,所述移动控制器区域隧道传输数据分组,以在所述企业计算设备和所述局域网之间提供数据分组的安全传输。
12.一种用于将互联网服务提供商网络的公共Wi-Fi热点扩展到企业网络系统并经由所述企业网络系统中的隔离区在非企业通信设备和所述互联网服务提供商之间安全地传输数据分组的方法,所述方法包括:
广播所述企业网络系统的服务集标识符(PEC SSID);
广播所述互联网服务提供商网络的服务集标识符(ISP SSID);
在所述企业网络系统中的接入点区域与所述互联网服务提供商网络中的移动控制器之间隧道传输数据分组,以在所述互联网服务提供商网络与非企业计算设备之间安全地传输数据分组;以及
在所述接入点区域和所述企业网络系统中的移动控制器之间隧道传输数据分组,以在所述企业网络系统中的局域网和企业计算设备之间安全地传输数据分组。
13.根据权利要求12所述的方法,其中,在所述企业网络系统中的所述接入点区域与所述互联网服务提供商网络中的所述移动控制器之间隧道传输所述数据分组包括:通过所述企业网络系统中的局域网中的防火墙将所述数据分组隧道传输到所述互联网服务提供商网络。
14.根据权利要求12所述的方法,其中,所述接入点区域包括广播所述企业网络系统的所述服务集标识符(PEC SSID)的接入点,所述方法还包括:
由所述接入点和另一移动控制器在所述局域网和所述企业通信设备之间传输数据分组。
15.根据权利要求12所述的方法,其中,所述接入点区域包括广播所述互联网服务提供商网络的服务集标识符(ISP SSID)的接入点,所述方法还包括:
由所述接入点在所述非企业计算设备和所述互联网服务提供商网络中的所述移动控制器之间传输数据分组。
16.根据权利要求12所述的方法,其中,所述接入点区域包括广播所述企业网络系统的所述服务集标识符(PEC SSID)的第一接入点和广播所述互联网服务提供商网络的所述服务集标识符(ISP SSID)的第二接入点,所述方法还包括:
由所述企业网络系统中的所述第一接入点和所述移动控制器在所述局域网和所述企业通信设备之间传输数据分组;以及
由所述接入点在所述非企业计算设备和所述互联网服务提供商网络中的所述移动控制器之间传输数据分组。
17.根据权利要求12所述的方法,还包括:
在所述接入点区域从所述非企业通信设备接收认证请求;以及
将所述认证请求从所述接入点区域隧道传输到所述互联网服务提供商网络中的所述移动控制器。
18.根据权利要求17所述的方法,还包括:
将所述认证请求从所述移动控制器转发到所述互联网服务提供商网络中的AAA服务器;以及
在所述互联网服务提供商网络中的所述移动控制器处接收来自所述AAA服务器的认证答复。
19.根据权利要求18所述的方法,还包括:
将所述认证答复从所述移动控制器隧道传输到所述接入点区域以转发到所述非企业通信设备。
20.一种具有计算机程序的多个代码段的非暂时性计算机可读介质,所述计算机程序的多个代码段在计算设备执行时,将互联网服务提供商网络的公共Wi-Fi热点扩展到企业网络系统,并经由所述企业网络系统中的隔离区在非企业通信设备和所述互联网服务提供商之间安全地传输数据分组,所述计算机可读介质包括:
PEC SSID广播代码段,其在由所述计算设备执行时控制接入点广播所述企业网络系统的服务集标识符(PEC SSID);
ISP SSID广播代码段,其在由所述计算设备执行时控制另一接入点广播所述互联网服务提供商网络的服务集标识符(ISP SSID);
ISP隧道代码段,其在由所述计算设备执行时创建安全信道并在所述另一接入点和所述互联网服务提供商网络中的移动控制器之间隧道传输数据分组,以在所述互联网服务提供商网络和非企业计算设备之间安全地传输数据分组;以及
PEC隧道代码段,其在由所述计算设备执行时创建安全信道并且在所述接入点与所述企业网络系统中的移动控制器之间隧道传输数据分组,以在所述企业网络系统中的局域网与企业计算设备之间安全地传输数据分组。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/166,768 US10911411B2 (en) | 2018-10-22 | 2018-10-22 | Extending public WiFi hotspot to private enterprise network |
| US16/166,768 | 2018-10-22 | ||
| PCT/US2019/057443 WO2020086584A1 (en) | 2018-10-22 | 2019-10-22 | Extending public wifi hotspot to private enterprise network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112889255A true CN112889255A (zh) | 2021-06-01 |
Family
ID=68542794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980069933.7A Pending CN112889255A (zh) | 2018-10-22 | 2019-10-22 | 将公共wifi热点扩展到私有企业网络 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10911411B2 (zh) |
| EP (1) | EP3871391A1 (zh) |
| CN (1) | CN112889255A (zh) |
| WO (1) | WO2020086584A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11496902B2 (en) * | 2017-09-29 | 2022-11-08 | Plume Design, Inc. | Access to Wi-Fi networks via two-step and two-party control |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US20220330024A1 (en) * | 2021-04-09 | 2022-10-13 | Saudi Arabian Oil Company | Third party remote access point on enterprise network |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100182983A1 (en) * | 2009-01-22 | 2010-07-22 | Belair Networks Inc. | System and method for providing wireless local area networks as a service |
| CN102612116A (zh) * | 2011-01-21 | 2012-07-25 | 捷讯研究有限公司 | 在控制移动终端的接入点操作模式中使用的方法和装置 |
| DE102015005387A1 (de) * | 2015-04-28 | 2016-11-03 | Walter Keller | Verfahren, Kommunikations-Endgerät, Router-Einrichtung, Servereinrichtung, Internet-Zugang und Computer Programm zur Herstellung und Durchführung von Kommunikationsverbindungen zwischen zumindest einem Endgerät und dem Internet |
| CN106657000A (zh) * | 2016-11-10 | 2017-05-10 | 深圳惠众联合科技有限责任公司 | Wlan内外网络访问架构 |
| CN107040929A (zh) * | 2015-12-03 | 2017-08-11 | 黑莓有限公司 | 用于使多个无线通信设备能够经由安全连接与受信网络通信的设备、方法和系统 |
| CN107251614A (zh) * | 2015-02-20 | 2017-10-13 | 高通股份有限公司 | 接入点转向 |
| US20170347269A1 (en) * | 2016-05-31 | 2017-11-30 | At&T Intellectual Property I, L.P. | Wi-fi virtualized network operator |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5610910A (en) | 1995-08-17 | 1997-03-11 | Northern Telecom Limited | Access to telecommunications networks in multi-service environment |
| US6571221B1 (en) | 1999-11-03 | 2003-05-27 | Wayport, Inc. | Network communication service with an improved subscriber model using digital certificates |
| US8041824B1 (en) | 2005-04-14 | 2011-10-18 | Strauss Acquisitions, L.L.C. | System, device, method and software for providing a visitor access to a public network |
| AU2014247958A1 (en) * | 2013-04-04 | 2015-11-12 | Interdigital Patent Holdings, Inc. | Methods for 3GPP WLAN interworking for improved WLAN usage through offload |
| US9629060B2 (en) | 2014-06-06 | 2017-04-18 | Oracle International Corporation | Flexible routing policy for Wi-Fi offloaded cellular data |
| JP6470392B2 (ja) * | 2014-07-14 | 2019-02-13 | コンヴィーダ ワイヤレス, エルエルシー | 統合されたスモールセルおよびWiFiゲートウェイを介するシステム間ハンドオーバーおよびマルチ接続性 |
| US9992705B2 (en) | 2015-10-16 | 2018-06-05 | Cisco Technology, Inc. | Wi-Fi calling quality of service on trusted WLAN networks |
| US20170230871A1 (en) * | 2016-02-04 | 2017-08-10 | Sooktha Consulting Private Limited | Cellular Wireless Access Data Offload System |
| US11418959B2 (en) | 2016-12-30 | 2022-08-16 | British Telecommunications Public Limited Company | Automatic pairing of devices to wireless networks |
-
2018
- 2018-10-22 US US16/166,768 patent/US10911411B2/en active Active
-
2019
- 2019-10-22 CN CN201980069933.7A patent/CN112889255A/zh active Pending
- 2019-10-22 WO PCT/US2019/057443 patent/WO2020086584A1/en unknown
- 2019-10-22 EP EP19802394.7A patent/EP3871391A1/en not_active Withdrawn
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100182983A1 (en) * | 2009-01-22 | 2010-07-22 | Belair Networks Inc. | System and method for providing wireless local area networks as a service |
| CN102612116A (zh) * | 2011-01-21 | 2012-07-25 | 捷讯研究有限公司 | 在控制移动终端的接入点操作模式中使用的方法和装置 |
| CN107251614A (zh) * | 2015-02-20 | 2017-10-13 | 高通股份有限公司 | 接入点转向 |
| DE102015005387A1 (de) * | 2015-04-28 | 2016-11-03 | Walter Keller | Verfahren, Kommunikations-Endgerät, Router-Einrichtung, Servereinrichtung, Internet-Zugang und Computer Programm zur Herstellung und Durchführung von Kommunikationsverbindungen zwischen zumindest einem Endgerät und dem Internet |
| CN107040929A (zh) * | 2015-12-03 | 2017-08-11 | 黑莓有限公司 | 用于使多个无线通信设备能够经由安全连接与受信网络通信的设备、方法和系统 |
| US20170347269A1 (en) * | 2016-05-31 | 2017-11-30 | At&T Intellectual Property I, L.P. | Wi-fi virtualized network operator |
| CN106657000A (zh) * | 2016-11-10 | 2017-05-10 | 深圳惠众联合科技有限责任公司 | Wlan内外网络访问架构 |
Non-Patent Citations (1)
| Title |
|---|
| 于劭俊: "基于WiFi技术构建城域无线网络", 《中国有线电视》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020086584A1 (en) | 2020-04-30 |
| EP3871391A1 (en) | 2021-09-01 |
| US20200127972A1 (en) | 2020-04-23 |
| US10911411B2 (en) | 2021-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10009230B1 (en) | System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters | |
| US9730269B2 (en) | Method and system for partitioning wireless local area network | |
| CN113812126B (zh) | 报文传输方法、装置及系统,可读存储介质 | |
| US9787632B2 (en) | Centralized configuration with dynamic distributed address management | |
| US8036161B2 (en) | Wireless switch with virtual wireless switch modules | |
| US7035281B1 (en) | Wireless provisioning device | |
| US7685295B2 (en) | Wireless local area communication network system and method | |
| US20130182651A1 (en) | Virtual Private Network Client Internet Protocol Conflict Detection | |
| US20040213172A1 (en) | Anti-spoofing system and method | |
| EP3459318B1 (en) | Using wlan connectivity of a wireless device | |
| US20140153577A1 (en) | Session-based forwarding | |
| US20150006737A1 (en) | Method, apparatus, and system for providing network traversing service | |
| US8611358B2 (en) | Mobile network traffic management | |
| CN112889255A (zh) | 将公共wifi热点扩展到私有企业网络 | |
| CN109450905B (zh) | 传输数据的方法和装置及系统 | |
| CN111756565B (zh) | 管理分支网络内的卫星设备 | |
| CN112654049A (zh) | 用于配置无线通信覆盖扩展系统的方法及实现所述方法的无线通信覆盖扩展系统 | |
| Kärkkäinen et al. | Enabling ad-hoc-style communication in public wlan hot-spots | |
| US20230336377A1 (en) | Packet forwarding method and apparatus, and network system | |
| US9130896B2 (en) | Distributed functionality across multiple network devices | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| US9231862B2 (en) | Selective service based virtual local area network flooding | |
| US11811556B2 (en) | Methods and systems for network traffic management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210601 |