CN1545789A - 区域网内的安全性 - Google Patents
区域网内的安全性 Download PDFInfo
- Publication number
- CN1545789A CN1545789A CNA028114426A CN02811442A CN1545789A CN 1545789 A CN1545789 A CN 1545789A CN A028114426 A CNA028114426 A CN A028114426A CN 02811442 A CN02811442 A CN 02811442A CN 1545789 A CN1545789 A CN 1545789A
- Authority
- CN
- China
- Prior art keywords
- access point
- point apparatus
- packet
- network
- safety device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本发明提供了一种接入点设备,其被设置为从一个或多个客户设备接收数据分组,并将所述数据分组沿着区域网传送,其特征在于,所述的接入点设备包括一种安全装置,所述安全装置被设置为配置所述客户数据分组,以使所述客户数据分组仅被指向一个或多个允许的区域网设备。
Description
技术领域
本发明涉及计算机网络领域,尤其涉及区域网领域。
背景技术
计算机网络可定义为相互链接的两个或更多计算机系统的组。在此定义中,计算机系统表示全部工作的计算机,不仅包括计算机,还包括任何实现计算机功能所需的软件或外围设备。例如,每个计算机系统都需要操作系统,通常要求打印设备提供计算机化信息的硬拷贝。
可以多种方式分类计算机网络,例如依据拓扑(网络内设备的几何布置,例如总线、星形、环形)、媒介(连接设备的装置,例如同轴/光纤电缆或无线电波)、协议(发送数据的公共规则组,例如以太网)或体系结构(对等或客户机/服务器)。所述协议同样可以确定计算机网络使用对等体系结构还是客户机/服务器体系结构,因而这种简单分类通常使得计算机网络属于多个类别。
除了上述分类之外,还可以依据计算机网络所分布的地理区域来分组所述计算机网络。这种分类导致了区域网类别,包括局域网(LAN)、广域网(WAN)和城域网(MAN)。在LAN的情况下,网络内的计算机地理上较为靠近,例如在单个建筑或建筑群内。在WAN的情况下,计算机较为分散,由电话线或无线电波连接。一个LAN可经由电话线和/或无线电波连接到任何距离之外的其它LAN,同样可以提供WAN。MAN是为市镇和城市设计的网络。
本发明涉及区域网领域,包括所有上述区域网。此外,由于这种简单分类通常导致计算机网络属于多个类别,所以必须指出本发明并不排除在同样属于其它网络类别的网络内的适用性。因此,本发明涉及区域网,与网络的拓扑、媒介、协议或体系结构无关。本发明同样适用于无线局域网(WLAN或LAWN)、将高频率无线电波而非导线用于某些网络设备间通信的LAN的子类。
区域网被设计为允许若干计算机相互连接以共享信息和资源。网络协议、操作系统以及相关网络计算机的应用软件是根据这样一种假定来设计的,即目标是相同区域网上的两个或多个计算机可以共享信息,并相互通知在网络上的存在。这种布置仅适合于该区域网的用户(客户)具有商业/个人关系的情况。但在客户并不具有商业/个人关系的情况下(例如在公共区域网内),存在着使用区域网,尤其是LAN所提供便利的机会。这种应用的一个实例是机场商务休息室,可能会在所述休息室内提供LAN/WLAN,以允许乘客(客户)接入互联网,同时阻止接入到连接至相同LAN/WLAN的另一乘客的计算机。
在这种安全性敏感的应用中,客户通常新进入网络,相互之间或与网络之间先前并无商业或个人关系,理想的是保持被发射数据分组形式的通信的私密性(即,将一个客户的传输与另一客户隔离),与此同时仍然向所述用户提供简易网络接入,理想地使用共用的通信协议。同样需要在客户接入网络时以及接入的持续时间内提供某种程度的控制。
首先考虑接入控制要求,这可通过借助一个或多个控制计算机中介区域网传输来实现,所述控制计算机通常称为接入控制器(AC),为监控和控制网络使用所设计。所述的接入控制器被设置在网络体系结构内的位置处以接收客户数据分组,无需所述数据分组首先通过所述网络长距离传播。所述的位置在体系结构上紧跟接入点设备,提供所述的接入点设备以允许客户设备接入到所述网络。因此,AC的有效运行在当前解决方案中依赖体系结构,即借助所述网络的体系结构设计阻止绕过AC传输。
就安全性而言,现有LAN内的安全性努力导致区域网被设置为仅允许传输来自网络识别的客户计算机的数据分组。这可以通过将接入点设备或AC设置为将客户设备传送的唯一客户设备分类符(例如MAC地址)或特许码(例如口令)视为传输数据分组的一部分来实现。但是,这种布置仅检查客户设备是否被许可接入所述网络,并不考虑是否允许所请求接入到的设备。因此,该解决方案在隔离中无需阻止得到许可使用该网络的用户,或是已改变其设备以使所述设备提供由所述网络识别的客户设备分类符或是特许码的用户接入到所述网络的个人区域。
上述对于所述设备是否被允许接入到所述网络的考虑同样具有其它缺点。一般而言,设备之间的通信可借助单播(特定的所识别奇异设备之间,“点到点”)、组播(一个或多个设备以及特定的所识别设备组之间)或广播(单个设备和一个或多个非特定设备)传输来实现。不利的是,所述是否允许客户设备接入到网络的考虑并不阻止来自网络识别客户设备的组播/广播传输通过所述区域网,因而其具有客户隐私的含意。此外,大量网络识别客户设备可能会使用相同的接入点设备连接至所述区域网。当前所述客户设备的相互通信可能会借助通过公共接入点设备的单播/组播/广播的传输,而传输并不进入所述区域网的核心。这样的传输路径绕过了所述网络的核心内的网络设备,因而抑制了对网络接入与使用的控制与监控。客户的保密性也会降低,尤其是因为从相邻客户设备接收未经请求的组播/广播传输。此外,如上所述,现有网络内的AC的有效运行依赖于体系结构。因此,除非AC被适当安置,否则在现有网络布置内连接至临近接入点设备的客户设备可能会使用绕过所述AC的单播/组播/广播传输相互通信。
互联网协议版本4(IPv4)是尤其广泛使用的通信协议,它允许将地址分析协议(ARP)用于从目标节点,例如客户或网络设备的IP地址分析其链路层地址。实际上,ARP并不在IPv4上操作,但ARP分组是特定于链路层的分组。在ARP的常规使用中,诸如客户设备的节点需要分析对应于目标IP地址的链路层地址,它们会广播ARP请求。当诸如AC的目标节点确认其链路层地址被以ARP请求询问时,该目标节点将ARP应答单播到所述ARP请求的发送人。
存在着多种形式的ARP。无故ARP是由节点发送以自发引起其它节点更新其ARP表内的条目的ARP分组。其例如可被在链路层地址改变的情况下使用。所述ARP技术规范要求接收任何ARP分组的任何节点都必须以所述ARP分组内的发送人IP与链路层地址来更新其本地ARP表,如果所述接收节点已在其ARP表内具有该IP地址条目的话。该要求在所述ARP协议中甚至用于ARP请求分组,以及并不匹配于任何由接收节点发送的ARP请求的ARP应答分组。另一种形式的ARP是代理ARP,其中ARP应答由一个代表不能或不愿应答其自身ARP请求的另一节点的节点发送。代理ARP的发送人提供一些作为目标链路层地址的配置后链路层地址(通常是其自身的)。接收所述代理ARP的节点此后会使所述链路层地址与源目标节点的IP地址相关。可将反向地址分析协议(RARP)用于从链路层地址分析IP地址。
使用WLAN的客户尤其必需能够使用ARP以发送和接收单播IP分组。但ARP并不具有任何内置的安全性,可由客户任意使用,这将为恶意客户干扰接入网的操作提供机会。例如,恶意客户仅通过代表接入路由器广播错误的无故ARP即可改变网络上所有节点的ARP表。
发明内容
本发明旨在解决现有技术的上述不足。
因此,在第一方面中,本发明提供了一种接入点设备,该设备被配置为从一个或多个客户设备接收数据分组,并将所述分组沿着区域网传送,其特征在于包括安全装置,所述安全装置被设置为配置所述客户数据分组以使所述分组仅指向一个或多个允许的区域网设备。
因此,本发明提供了一种接入点设备,其无视所述数据分组的原目的地,确保所述数据分组被重新指向允许的网络设备并远离可能包括客户设备的受限网络设备。因此,与现有技术不同,本发明确保传送到一个或多个特定的允许设备,而无视所述允许的网络设备在所述网络内的位置,所以所述允许的网络设备在所述网络体系结构内的位置是无关的。所述的确保传送到特定网络设备为所述网络的接入和使用提供了改善的控制和监控,因为避免了绕过这些网络设备。如果客户被基于区域网使用计费,这尤为重要。另一优点是所述技术方案仅提供在所述的接入点设备内,客户设备因而无需重新配置。借助仅由改善的接入点设备提供的所述技术方案,本发明可被简单并经济地逆装到现有区域网内。所述技术方案同样相对简单,并不复杂。
沿着所述区域网的传输可能包括到/来自/在所述区域网的有线和/或无线部分内的传输,包括并不显著进入所述网络的有线部分的传输,例如在两个或更多客户设备连接至相同接入点设备时的某些情况内。
在某些情况下,完全重新生成沿着所述网络传输的数据分组并删除源客户数据分组可能较为简单。例如,在来自客户设备的广播传输被改变为指向AC的单播传输的情况下。但是,所述配置优选的是通过将诸如接入控制器MAC地址或IP地址的允许区域网设备的唯一分类符代入/插入所述客户数据分组来执行。由于所述分类符可能包括在所述网络通信协议的任何一层内,所以所述数据分组的配置将在适当层内执行,并不仅限于所述网络协议的特定层。尽管所述允许的区域网设备可能是网络接入控制器,但更一般地说,其为并不被限制一般接入的设备,因而是所有数据分组可被安全地信道发送到的设备。
作为可操作的实例,单播传输无论是否指向允许的网络设备都由所述的接入点设备重新配置,以仅到达允许的设备。此外,所述的接入点设备同样将广播/组播客户数据分组重新配置到允许的网络设备,因而使其远离连接到所述区域网的其它客户设备。相应地,连接至相同或不同接入点设备的相邻客户的多余请求同样被阻止。
在一个实施例中,所述安全装置被配置为考虑所述客户数据分组的目的地,并被设置为仅在所述数据分组指向所述网络的受限区域,即并不指向允许的区域网络设备的情况下配置所述数据分组。因此,该实施例避免了多余地修改已指向允许的区域网设备的客户数据分组。
所述对于数据分组目的地的考虑可能仅包括与所述安全装置上记录的允许网络设备的分类符表相比较,且只有所述客户数据分组包括允许网络设备的分类符,所述分组数据才不被重新配置。所述分类符本质上是允许的网络设备的目的地地址,其可能是允许网络设备的硬件地址(例如包括在通信协议数据链路层内的MAC地址),或是允许网络设备的对应软件地址(例如包括在通信协议的网络/应用层内)。一般而言,所述允许的网络设备分类符可以在通信协议的任何层内。
优选的是将所述安全装置配置为同样转发所述数据分组的原目的地地址(或多个地址),从而使得所述数据分组随着发送所述传输的客户设备的鉴权之后被顺序转发。
所述网络可能被配置为仅使用诸如单播传输的一种传输形式。但为了应付各种数据分组传输形式,所述的接入点设备优选的是被配置为能够区别不同的数据分组形式,并区别地修改将被指向允许的网络设备的各种数据分组形式。例如,该实施例可以识别所述数据分组是单播、组播还是广播传输形式,甚至是单播、组播或广播传输的何种特殊形式(例如无故ARP),因而可以区别地修改所述数据分组以将传输前向转发到允许的网络设备。
通过将客户数据分组数据字段或其一部分与网络允许传输形式的数据字段相比较,并将所述的接入点设备配置为适当地修改所述客户数据分组以将所述传输形式指向允许的网络设备,可方便地执行所述数据分组的区分。所述数据字段可能包括在所述网络通信协议的任何一层内,包括链路层标题、IP标题以及传输协议标题(UDP和TCP)。
由于单播数据分组与组播/广播数据分组相比可能需要用于前向传输的配置内的不同改变,所述的接入点设备优选的是被设置为分析这些不同的传输形式,并改变每种所述不同形式从而以相同结构和总数据分组长度将数据分组提供给所述网络。在这种情况下,网络协议仍可保持在工业标准范围内。但是,可能会借助将数据字段插入数据分组来修改所述客户数据分组。在这种情况下,所述数据分组将具有增加的长度并可能还具有不同结构,从而导致非标准网络协议的使用。在此情况下,所述的接入点设备可能具有这样一种装置,其将数据分组从区域网特定协议格式配置为工业标准协议格式,反之亦然。这样,客户设备仍可使用工业标准协议操作。
优选的是,由接入点设备接收的客户数据分组比较符合标准协议的协议字段,且其中所述安全装置被配置为改变一个或多个协议字段的内容,以生成仍然符合标准协议的修改后客户数据分组。由接入点设备接收的所述客户数据分组和所述修改后客户数据分组可能符合于相同的标准协议。由接入点设备接收的所述客户数据分组和所述修改后客户数据分组可能符合于不同的标准协议。
在所述区域网使用工业标准协议的情况下,可通过配置所述的接入点设备以接受非标准协议用于客户设备和接入点设备之间的传输来提供更高的安全性,这也可以通过为接入点设备提供用于将非标准协议客户设备传输配置为所述区域网的工业标准协议传输且反之亦然的装置来实现。这样,除了所述的接入点设备之外,剩余区域网设备可在工业标准范围之内。所述客户设备当然需要具有非标准协议,所述非标准协议可以硬件、软件或其组合形式提供。例如,客户可能会购买包括非标准协议的PCMCIA卡以插入其设备。如果所述PCMCIA卡允许在预定时间内使用所述区域网,或至少监控所述网络的客户使用,则可对于哪些得到使用所述区域网的授权以及使用持续时间两者提供控制和监控。设置在所述的接入点设备和AC内的过滤装置同样可能被修改,以分析客户设备传输是否来自使用得到授权的PCMCIA卡的客户设备。
在接入点设备能够区别不同数据分组传输形式的情况下,所述的接入点设备更可取的是被配置为选择性地修改前向传输的某些数据分组,并从网络传输中选择性地排除其它数据分组。因此,该实施例将能够识别广播传输,将其从网络传输中排除,并能够识别指向受限网络设备的单播传输,配置所述数据分组以使其指向允许的网络设备。例如,可通过观察数据分组是封装UDP的IP分组,且目的地端口字段包括值67来识别动态主机配置协议(DHCP)数据分组,因此可允许被识别为使用该协议的数据分组接入到所述网络。允许或拒绝某些形式传输接入到所述网络将基于本地政策考虑,其包括客户始发所述数据分组所基于的选择。因此,可以从特定设备排除全部或一些传输形式。
在一个修改的实施例中,接入点设备被配置为响应于来自所述客户设备的特定形式数据分组传输和/或指向非允许的(受限)网络设备的数据分组,将应答数据分组发送回所述客户设备。例如,接入点设备可能会使用适当的目标链路层地址将代理ARP应答传输发送回始发ARP请求传输的客户设备,且与此同时不将所述ARP请求转发到所述网络内。由于所述目标链路层地址对应于允许的网络设备,进一步的客户传输应当是指向具有适当链路层地址的允许网络设备的单播传输。作为选择,所述的接入点设备可能被配置为发送应答数据分组,以将这种形式的传输在所述区域网上是不允许的,即受限的通知所述客户。
所述的接入点设备可能被配置为代表网络设备,优选的是受限网络设备应答。所述的接入点设备可能包括被配置为响应于关于受限网络设备的客户数据分组将一个或多个允许网络设备的映射信息提供给客户设备的装置。
关于受限网络设备的客户数据分组并不仅限于明确寻址到一个或多个受限设备的客户数据分组,还包括将由受限网络设备(也可能是允许的网络设备)接收的客户数据分组,例如ARP请求情况下的广播传输。
具体地说,所述安全装置可能被设置为响应于指向受限网络设备的分组数据将ARP传输发送回客户设备。
所述的接入点设备可能包括被设置为响应于来自客户设备的ARP请求将代理ARP应答传输发送回所述客户设备的装置,所述代理ARP应答包括一个或多个允许的网络设备的链路层地址。所述的链路层地址可能是MAC地址。
优选的是,所述安全装置被配置为响应于得到授权的ARP请求接受来自客户设备的单播ARP应答。
在另一实施例中,所述的接入点设备可能被配置为从客户设备寻求关于所述的接入点设备是否转发特定传输形式的许可,在得到肯定的情况下,所述的接入点设备被设置为转发所述传输。所述寻求许可也可能是传送来自特定客户设备的传输的授权。因此,所述接入点设备可基于所述客户的意愿来调整其本地保密政策。所述寻求许可和/或转发传输可由诸如AC的允许网络设备来执行。
在另一实施例中,所述安全装置被设置为考虑所述分组数据的特征,并且基于所述的特征配置将被指向特定的允许区域网设备的数据分组。因此,该实施例将会基于数据分组的特征区别地修改所述数据分组目的地。所述的特征包括每个所述客户设备的唯一分类符(例如MAC地址),从而使得所有来自特定客户设备的传输指向特定的允许网络设备。在此版本中,可以将所有关于特定客户设备所执行的使用的信息指向一个特定位置,而不必从多个不同的允许网络设备顺序整理所述信息。
在其它实施例中,所述安全装置被设置为监控在特定时间内发送到特定的允许网络设备的传输量,并根据在特定时间内发送到特定的允许网络设备的所述传输量,将数据分组重新指向不同的允许网络设备。这种布置允许整个网络的资源共享,从而使得特定的允许网络设备不会过载或未被充分使用。所述的接入点设备也可能被设置为相互和/或与所允许的网络设备通信,以确定最佳资源共享。
在另一方面中,本发明提供了一种接入点设备,该设备被设置为代表网络设备,更可取的是受限网络设备应答。更可取的是,本发明提供了一种接入点设备,该设备被设置为从一个或多个客户设备接收数据分组,并将其沿着区域网传送,其特征在于,所述的接入点设备包括一种安全装置,所述安全装置被设置为响应于关于受限网络设备的客户数据分组,将一个或多个允许网络设备的映射信提供给客户设备。
如上所述,关于受限网络设备的客户数据分组并不仅限于明确地寻址到一个或多个受限设备的客户数据分组,还包括可能由受限网络设备接收的客户数据分组,例如广播传输。
在一个实施例中,所述安全装置被设置为响应于指向受限网络设备的数据分组,将ARP传输发送回客户设备。
优选的是,所述安全装置被设置为响应于来自客户设备的ARP请求,将代理ARP应答传输发送回所述客户设备,所述代理ARP应答包括一个或多个允许网络设备的链路层地址。所述的链路层地址可能是MAC地址。
优选的是,所述安全装置被配置为响应于得到授权的ARP请求接受来自客户设备的单播ARP应答。
本发明可能由硬件、软件或其组合实施。此外,它可能被与一些或全部上述现有技术解决方案组合使用。例如,所述的接入点设备可能被配置为包括鉴权装置,以通过口令入口和/或检查数据分组内包括的客户设备分类符最初鉴权所述客户设备。如果所述鉴权装置识别到所述数据分组,或更一般地说客户设备由所述网络确认(即允许所述客户设备接入到所述区域网),则所述数据分组被转发至所述安全装置。
本发明同样包括所有为一个区域网或包括接入点设备的多个区域网提供安全的对应方法。本发明的上述和下述实施例的所有组合同样在本发明的范围内。
附图说明
以下将参照附图描述本发明的特定实施例,在附图中:
图1是部分WLAN的示意图,示出了与所述WLAN接口的客户设备,以及所述客户设备与根据本发明的WLAN部分之间的封闭传输路径;以及
图2是图1布置的示意图,示出了客户设备以及根据本发明的WLAN部分之间的安全允许传输路径。
具体实施方式
图1和2示出了典型WLAN的一部分1。所述WLAN包括多个接入点设备20,每个所述的接入点设备20都具有覆盖区21,其可在所述覆盖区21上发送/接收传输到/从一个或多个客户设备25(例如膝上计算机)的传输。相邻覆盖区21存在着重叠,且所述区域网被配置为使一个客户设备25可以漫游和移动到相邻覆盖区21而不会与所述区域网断开。
所述的接入点设备20都连接到公共传输线30。被设计为控制到所述网络接入的接入控制器40在所述传输线30长度方向上的多个位置处连接到所述传输线30。所述的接入控制器40主要通过沿着所述传输线30发送/接收传输到/从客户设备25来充当到该区域网其它部分(未显示)的网关。它们还被用于配置所述网络,以允许客户设备25在相邻接入点设备20之间漫游。
连接至相同接入点设备20的客户设备25当前可以通过公共接入点25相互通信(图1,路径A),所述传输不会由所述的接入控制器40截断。所述通信可以是单播、组播或广播传输。连接至相邻接入点设备20的客户设备25也可以再通过单播、组播或广播传输相互通信(图1,路径B),所述传输不会由所述的接入控制器40截断。例如,在ARP广播的情况下,数据分组被广播到所有连接至WLAN的设备25。所述数据分组包括发送者希望与其通信的IP地址。多数设备25忽视所述数据分组。但是,目标设备25以其自身的地址确认所述数据分组内的IP地址,并返应答复。
本发明的目的是限制仅仅到允许的网络设备的通信,尤其是限制那些沿通信路径A和B(图1)的传输。某些限制还可适用于在客户设备25与接入控制器40之间的沿通信路径C、D(图2)的传输。
所述的接入点设备20被设置为从一个或多个客户设备25接收数据分组,并将它们沿着所述区域网传送。所述的接入点设备20还被设置为将所述客户数据分组配置为使其仅仅指向一个或多个允许的区域网设备,在这种情况下是接入控制器40。将其实现的一种方法是将接入控制器40的目的地地址加入所述数据分组。另一种方法是以所述的接入控制器40的目的地地址替代所述数据分组内的目的地地址。后一种方法可能尤其用于将指向网络受限设备的单播传输重新指向到允许的网络设备,且后一种方法是实施本发明的优选方法,尤其是与接入点设备20结合,所述的接入点设备20还被设置为考虑呼入客户数据分组的传输形式。因此,如果所述数据分组是指向允许的接入控制器40的单播传输,则所述的接入点设备20被设置为转发所述客户数据分组,而无需重新配置。但是,如果所述数据分组并不是单播传输形式,或是到网络受限设备的单播传输,则所述的接入点设备20被配置为基于本地政策考虑来限制所述传输的接入,例如在可能会允许来自得到授权客户设备25的广播传输的某些情况下。
为了确定所述数据分组是否指向网络允许的接入控制器40,所述的接入点设备20包括网络允许设备的地址列表(例如,IP地址或MAC地址),所述地址列表包括大量允许接入控制器40的地址。所述信息可能周期性地改变,因而所述的接入点设备20被配置为能够更新所述信息。所述的接入点设备20可能会被修改为还包括对应于客户设备25的客户设备MAC地址的列表,所述客户设备25得到授权接入网络,即所述客户设备25由网络确认。所述信息同样可能周期性地改变,因而所述的接入点设备20还被配置为使所述列表得以周期性更新。
在所述修改后设备的操作中,所述的接入点设备20起初将会考虑所述数据分组是否包括网络识别客户设备20的MAC地址。如果所述数据分组来自网络识别客户设备,则所述的接入点设备20还考虑所述数据分组的目的地。然后,如果所述数据分组具有正确的形式(例如,单播),且还指向允许的接入控制器40,则所述数据分组被转发到所述的接入控制器40。
在一个区分不同数据分组传输形式的版本中,所述的接入点设备20还包括所述客户数据分组将与其相比较的若干数据字段的列表。所述数据字段可能包括MAC组播地址、协议标题偏置位置、协议标题屏蔽字节以及协议标题匹配字节。在这种情况下,所述的接入点设备20被配置为以所接收数据分组内的字段交叉校验这些字段,并且基于分析来确定如何处理所述数据分组。例如,通过分析不同的数据分组字段,所述的接入点设备20可被配置为区分广播、组播和DHCP数据分组,并因此默认放弃所有广播与组播传输,而将DHCP分组转发至本地DHCP服务器。
所述对于客户数据分组形式以及所述数据分组的原目的地的考虑可被开发用于生成其它实施例。这包括将所述的接入点设备20配置为其能够基于所述原数据分组的形式与目的地差别地修改前向网络传输的客户设备数据分组。所以,所述的接入点设备20将能够重新配置指向网络受限接入控制器40或另一客户设备25的单播数据分组,并因而将所述数据分组重新指向到允许的接入控制器40,且还能够限制一般用于广播传输的网络接入。
数据分组的修改甚至可能会采取从广播传输生成单播传输的形式。例如,在来自客户设备25的ARP广播的情况下,所述的接入点设备20被设置为重新配置所述数据分组,从而使得所述数据分组包括所述的接入控制器40的IP地址(或MAC地址)。所述传输因而仅指向允许的接入控制器40,而不是在整个区域网内广播。实质上,所述的接入点设备20将所述广播传输配置为单播传输。在某些情况下,所述的接入控制器40可被配置为考虑所述ARP广播是否被从得到授权的客户设备25发送,且在这种情况下,将广播传输在整个区域网内转发。当然,所述的接入控制器40可能会被要求为在将所述数据分组在整个区域网内传输之前,从所述数据分组移去所述的接入控制器地址。
在某些实施例中,所述的接入点设备20被配置为响应于来自客户设备25的ARP请求将代理ARP传输发送回客户设备25。这样,所述的接入点设备20代表另一设备,即代表所述客户设备25希望与其通信的设备做出应答。在所述布置的实例中,所述的接入点设备20被配置为不会转发任何经由WLAN接口接收的广播ARP分组。相反,所述的接入点设备20放弃所有所接收的广播ARP分组,而是使用适当路由器的适当目标链路层地址发送对于所接收ARP请求的代理应答,所述地址在这种情况下是接入控制器40的地址。这允许所述客户设备25安全地分析目标链路层地址。
WLAN的有线部分上的路由器和其它服务器同样必需分析WLAN客户设备25的目标链路层地址。这也可通过使用ARP轻易得以实现。在这种情况下,所述的接入点设备20被配置为将所述ARP请求转发到所述客户设备25。由于所述客户借助单播传输将对应ARP应答发送到允许的链路层地址,因此所述的接入点设备20将所述对应ARP应答如其它任何单播数据分组一样转发。但是,仅通过允许所述客户设备25响应于ARP请求发送单播ARP应答即可实现更佳的安全性。这会阻止恶意的用户发送未经请求的虚假单播ARP应答(例如,无故ARP)到本地路由器和服务器,以修改它们的APR表。
在另一实施例中,所述的接入点设备20被配置为能够将数据分组发送到若干不同的接入控制器40,并被配置为基于诸如资源共享或计费要求的本地政策考虑确定应当将所述数据分组发送到哪个接入控制器40。例如,所述的接入点设备20可能会被配置为监控发送至特定接入控制器40的传输量,且如果认为所述的接入控制器40过载,则所述的接入点设备20被配置为将传输重新指向到不同的接入控制器40。所述的接入点设备20可能还会被配置为考虑客户数据分组内包括的MAC地址,并将所有包括所述MAC地址的传输转发到一个特定的接入控制器40。
总而言之,本发明提供了一种方法,在所述客户设备25之间的直接通信被有效阻塞时,借助所述方法可在客户设备20与一个或多个允许网络设备(例如,接入控制器40)之间保持得到授权的通信。如果数据并未绕过允许的网络设备,且始终被传送到所述允许的网络设备,则可提供准确的计费机制,以跟踪账户使用。日益自由的网络体系结构设计也可借助所有明确指向所述网络的允许区域的网络传输得以实现。应当注意的是,本发明提供了一种基于数据分组的目的地的技术方案。这与考虑数据分组的信源的现有技术教义相反。此外,本发明借助与现有技术方案不同的技术方案轻易地解决了大量安全问题。
Claims (41)
1.一种接入点设备,其被配置为从一个或多个客户设备接收数据分组,并将所述数据分组沿着区域网传送,其特征在于,所述接入点设备包括一种安全装置,所述安全装置被设置将所述客户数据分组配置为使得所述数据分组仅被指向一个或多个允许的区域网设备。
2.根据权利要求1的接入点,其中所述安全装置被设置为完全重新生成沿着所述网络传输的数据分组,并将所允许的区域网设备的唯一分类符包含在所述重新生成的数据分组内。
3.根据权利要求1的接入点,其中所述安全装置被设置为将允许的区域网设备的唯一分类符代入/插入所述客户数据分组,所述允许的区域网设备的唯一分类符例如是允许的区域网设备MAC地址或IP地址。
4.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被配置为考虑所述客户数据分组的目的地,并被设置为仅在所述数据分组指向受限网络设备的情况下才配置所述数据分组。
5.根据权利要求4的接入点设备,其中所述安全装置包括允许的网络设备的分类符列表,且所述安全装置被设置为将所述客户数据分组的目的地与所述的列表相比较,并在所述客户数据分组包含受限网络设备的分类符的情况下重新配置所述客户数据分组,以将所述客户数据分组前向传送到允许的设备。
6.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被设置为同样转发所述数据分组的所述原目的地址或多个地址,从而使得所述数据分组可被顺序地转发。
7.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被配置为区别不同的数据分组形式,并区别地修改将被指向允许的网络设备的各种数据分组形式。
8.根据权利要求7的接入点设备,其中所述安全装置被设置为通过将客户数据分组数据字段或其一部分与所述安全装置上记录的网络允许传送形式的数据字段或其一部分相比较,来区别数据分组传输形式,且其中所述安全装置还被配置为适当修改所述客户数据分组,以将所述传输形式指向允许的网络设备。
9.根据权利要求8的接入点设备,其中所述安全装置被设置为分析所述不同传输形式,并使每种所述不同形式都适合于将数据分组以相同的结构和总数据分组长度提供给所述网络。
10.根据权利要求1至9的接入点设备,其中所述安全装置被设置为通过将数据字段插入所述客户数据分组来修改所述客户数据分组。
11.根据权利要求10的接入点设备,其中所述安全装置被设置为将使用工业标准协议的数据分组配置为使用特定于网络的协议的数据分组,反之亦然。
12.根据任何依据权利要求7的权利要求的接入点设备,其中所述安全装置被设置为选择性地修改前向传输的某些数据分组,并从网络传输中选择性地排除其它数据分组。
13.根据权利要求12的接入点设备,其中所述安全装置被配置为响应于来自所述客户设备的数据分组传输的特定形式和/或响应于指向受限网络设备的数据分组,将应答数据分组发送回所述客户设备。
14.根据权利要求12的接入点设备,其中所述安全装置被配置为响应于识别出特定传输形式而发送应答数据分组,所述应答数据分组将所述特定传输形式在所述区域网上不被允许或受到限制通知给所述客户。
15.根据任何从属于权利要求7的权利要求的接入点设备,其中所述安全装置被设置为从客户设备寻求关于所述的接入点设备是否转发特定传输形式的许可,在得到肯定的情况下,所述的接入点设备被配置为转发所述传输。
16.根据权利要求1的接入点设备,其中所述接入点设备被配置为代表网络设备应答。
17.根据权利要求16的接入点设备,其中所述网络设备是受限网络设备。
18.根据上述权利要求中任何一个的接入点设备,其中所述接入点设备包括一种安全装置,所述安全装置被设置为响应于关于受限网络设备的客户数据分组,将一个或多个允许的网络设备的映射信息提供给客户设备。
19.根据权利要求18的接入点设备,其中所述安全装置被设置为响应于指向受限网络设备的数据分组,将ARP传输发送回客户设备。
20.根据权利要求18或19的接入点设备,其中所述安全装置被设置为响应于来自客户设备的ARP请求,将“代理ARP应答”传输发送回所述客户设备,所述“代理ARP应答”包括一个或多个允许的网络设备的链路层地址。
21.根据权利要求20的接入点设备,其中所述链路层地址是MAC地址。
22.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被配置为响应于得到授权的“ARP请求”,接受来自客户设备的单播“ARP应答”。
23.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被配置为考虑所述数据分组的特征,并基于所述特征配置将被指向特定的允许区域网设备的所述数据分组。
24.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被设置为监控在特定时间内发送至特定的允许网络设备的传输量,并根据在所述时间内发送至所述特定的允许网络设备的传输量,将数据分组重新指向不同的允许的网络设备。
25.根据权利要求1的接入点设备,其中由所述的接入点设备接收的所述客户数据分组包括符合标准协议的协议字段,且其中所述安全装置被设置为改变一个或多个所述协议字段的内容,以生成仍然遵循标准协议的修改后客户数据分组。
26.根据权利要求25的接入点设备,其中由所述的接入点设备接收的所述客户数据分组以及修改后客户数据分组遵循相同的标准协议。
27.根据权利要求25的接入点设备,其中由所述的接入点设备接收的所述客户数据分组以及修改后客户数据分组遵循不同的标准协议。
28.一种为区域网提供安全性的方法,包括设置为从一个或多个客户设备接收数据分组,并将所述数据分组沿着区域网传送,其特征在于,所述客户数据分组被配置为仅被指向一个或多个允许的区域网设备。
29.一种接入点设备,其被配置为从一个或多个客户设备接收数据分组,并将所述数据分组沿着区域网传送,其特征在于,所述接入点设备被设置为代表网络设备应答。
30.根据权利要求29的接入点设备,其中所述网络设备是受限网络设备。
31.根据权利要求30的接入点设备,其中所述接入点设备包括一种安全装置,所述安全装置被设置为响应于关于受限网络设备的客户数据分组,将一个或多个允许的网络设备的映射信息提供给客户设备。
32.根据权利要求31的接入点设备,其中所述安全装置被设置为响应于指向受限网络设备的数据分组,将ARP传输发送回客户设备。
33.根据权利要求31或32的接入点设备,其中所述安全装置被设置为响应于来自于客户设备的ARP请求,将“代理ARP应答”传输发送回所述客户设备,所述“代理ARP应答”包括一个或多个允许的网络设备的链路层地址。
34.根据权利要求33的接入点设备,其中所述链路层地址是MAC地址。
35.根据上述权利要求中任何一个的接入点设备,其中所述安全装置被配置为响应于得到授权的“ARP请求”,接受来自客户设备的单播“ARP应答”。
36.一种区域网,包括如上述权利要求中任何一个所述的接入点设备。
37.一种公共区域网,包括如上述权利要求中任何一个所述的接入点设备。
38.根据上述权利要求中任何一个的接入点设备,其中所述区域网是公共区域网。
39.一种如上文中参照附图所描述的接入点设备。
40.一种如上文中参照附图所描述的区域网。
41.一种如上文中参照附图所描述的为区域网提供安全性的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0113902.1A GB0113902D0 (en) | 2001-06-07 | 2001-06-07 | Security in area networks |
| GB0113902.1 | 2001-06-07 | ||
| PCT/GB2002/002557 WO2002100062A2 (en) | 2001-06-07 | 2002-05-30 | Security in area networks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101028428A Division CN101072151A (zh) | 2001-06-07 | 2002-05-30 | 区域网内的安全性 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1545789A true CN1545789A (zh) | 2004-11-10 |
| CN1545789B CN1545789B (zh) | 2010-04-28 |
Family
ID=9916125
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101028428A Pending CN101072151A (zh) | 2001-06-07 | 2002-05-30 | 区域网内的安全性 |
| CN028114426A Expired - Fee Related CN1545789B (zh) | 2001-06-07 | 2002-05-30 | 在区域网内提供安全性的方法和设备 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007101028428A Pending CN101072151A (zh) | 2001-06-07 | 2002-05-30 | 区域网内的安全性 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US20040255033A1 (zh) |
| EP (2) | EP1393522B1 (zh) |
| JP (2) | JP3780282B2 (zh) |
| CN (2) | CN101072151A (zh) |
| AT (2) | ATE413760T1 (zh) |
| AU (1) | AU2002304516A1 (zh) |
| CA (2) | CA2512658C (zh) |
| DE (2) | DE60229738D1 (zh) |
| GB (3) | GB0113902D0 (zh) |
| RU (2) | RU2316129C2 (zh) |
| WO (1) | WO2002100062A2 (zh) |
| ZA (1) | ZA200308956B (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004082209A1 (de) | 2003-03-10 | 2004-09-23 | Deutsche Telekom Ag | Verfahren und anordnung zum externen steuern und verwalten wenigstens eines einem lokalen funknetz zugeordneten wlan-teilnehmers |
| US7400621B2 (en) * | 2003-03-11 | 2008-07-15 | Conexant, Inc. | Technique for achieving connectivity between telecommunication stations |
| US8272037B2 (en) | 2003-03-14 | 2012-09-18 | Thomson Licensing | Flexible WLAN access point architecture capable of accommodating different user devices |
| US7330456B2 (en) * | 2003-12-19 | 2008-02-12 | Mediatek, Inc. | Method and apparatus for wireless relay within a network environment |
| US7477894B1 (en) * | 2004-02-23 | 2009-01-13 | Foundry Networks, Inc. | Methods and apparatus for handling wireless roaming among and across wireless area networks |
| EP1730882A2 (en) * | 2004-03-17 | 2006-12-13 | Telefonaktiebolaget LM Ericsson (publ) | Vlan mapping for multi-service provisioning |
| US7496094B2 (en) * | 2004-04-06 | 2009-02-24 | Airtight Networks, Inc. | Method and system for allowing and preventing wireless devices to transmit wireless signals |
| US20060165073A1 (en) * | 2004-04-06 | 2006-07-27 | Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) | Method and a system for regulating, disrupting and preventing access to the wireless medium |
| US7894407B2 (en) * | 2005-03-25 | 2011-02-22 | Alcatel-Lucent Usa Inc. | Method and apparatus for seamless roaming for wireless networks |
| US8856372B2 (en) | 2005-05-23 | 2014-10-07 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for local Peer-to-Peer traffic |
| US20060288411A1 (en) * | 2005-06-21 | 2006-12-21 | Avaya, Inc. | System and method for mitigating denial of service attacks on communication appliances |
| DE602006011854D1 (de) * | 2006-04-28 | 2010-03-11 | Research In Motion Ltd | Verfahren, Computerprogrammprodukt, mobiles Kommunikationsgerät und ein System zur Reduzierung des Energieverbrauchs in mobilen Geräten mittels Rundsende- zu Einfachsendesignalumsetzung |
| US7953457B2 (en) | 2006-04-28 | 2011-05-31 | Research In Motion Limited | Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion |
| EP1868354A1 (en) * | 2006-06-12 | 2007-12-19 | Research In Motion Limited | System and method for handling address resolution protocol requests |
| DE102006038591B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| US8302179B2 (en) | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
| KR100992968B1 (ko) * | 2007-04-06 | 2010-11-08 | 삼성전자주식회사 | 네트워크 스위치 및 그 스위치의 주소충돌방지방법 |
| WO2010046977A1 (ja) * | 2008-10-22 | 2010-04-29 | 富士通株式会社 | 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法 |
| US8478854B2 (en) * | 2009-05-14 | 2013-07-02 | Avaya Inc. | Tolerant device licensing in a distributed environment |
| FR2951897B1 (fr) * | 2009-10-23 | 2016-09-16 | Sagem Securite | Dispositif et procede de gestion des droits d'acces a un reseau sans fil |
| RU2453917C1 (ru) * | 2010-12-30 | 2012-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для оптимизации выполнения антивирусных задач в локальной сети |
| US9077772B2 (en) * | 2012-04-20 | 2015-07-07 | Cisco Technology, Inc. | Scalable replay counters for network security |
| US10700884B2 (en) | 2016-04-01 | 2020-06-30 | Nokia Technologies Oy | Method, apparatus and computer program product for data distribution |
| CN109661015B (zh) * | 2018-12-10 | 2021-01-19 | 杭州全维技术股份有限公司 | 一种实现不同厂商的无线控制器数据共享的方法 |
| US10523549B1 (en) * | 2019-06-02 | 2019-12-31 | Cybertoka Ltd | Method and system for detecting and classifying networked devices |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5920699A (en) * | 1996-11-07 | 1999-07-06 | Hewlett-Packard Company | Broadcast isolation and level 3 network switch |
| US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
| US6130892A (en) * | 1997-03-12 | 2000-10-10 | Nomadix, Inc. | Nomadic translator or router |
| US6047325A (en) * | 1997-10-24 | 2000-04-04 | Jain; Lalit | Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks |
| US6154839A (en) * | 1998-04-23 | 2000-11-28 | Vpnet Technologies, Inc. | Translating packet addresses based upon a user identifier |
| US6253326B1 (en) * | 1998-05-29 | 2001-06-26 | Palm, Inc. | Method and system for secure communications |
| US6473413B1 (en) * | 1999-06-22 | 2002-10-29 | Institute For Information Industry | Method for inter-IP-domain roaming across wireless networks |
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| KR20020027471A (ko) * | 1999-07-15 | 2002-04-13 | 케네쓰 올센 | 보안 네트워크 스위치 |
| US7174564B1 (en) * | 1999-09-03 | 2007-02-06 | Intel Corporation | Secure wireless local area network |
| ATE453268T1 (de) * | 1999-09-07 | 2010-01-15 | Nokia Corp | Geortnete bereitstellung von aufgefangenen daten |
| IL149356A0 (en) * | 1999-11-03 | 2002-11-10 | Wayport Inc | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure |
| TW453070B (en) * | 2000-01-17 | 2001-09-01 | Accton Technology Corp | Wireless network communication system and method with double packet filtering function |
| GB2358761B (en) * | 2000-01-25 | 2002-03-13 | 3Com Corp | Multi-port network communication device with selective mac address filtering |
| US6880090B1 (en) * | 2000-04-17 | 2005-04-12 | Charles Byron Alexander Shawcross | Method and system for protection of internet sites against denial of service attacks through use of an IP multicast address hopping technique |
| US7185360B1 (en) * | 2000-08-01 | 2007-02-27 | Hereuare Communications, Inc. | System for distributed network authentication and access control |
| US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
| US20020101848A1 (en) * | 2000-12-05 | 2002-08-01 | Ivan Lee | Systems and methods for on-location, wireless access of web content |
| US20020107961A1 (en) * | 2001-02-07 | 2002-08-08 | Naoya Kinoshita | Secure internet communication system |
-
2001
- 2001-06-07 GB GBGB0113902.1A patent/GB0113902D0/en not_active Ceased
-
2002
- 2002-05-30 US US10/479,428 patent/US20040255033A1/en not_active Abandoned
- 2002-05-30 DE DE60229738T patent/DE60229738D1/de not_active Expired - Lifetime
- 2002-05-30 GB GB0212531A patent/GB2379124B/en not_active Expired - Fee Related
- 2002-05-30 CA CA002512658A patent/CA2512658C/en not_active Expired - Fee Related
- 2002-05-30 CN CNA2007101028428A patent/CN101072151A/zh active Pending
- 2002-05-30 RU RU2005132301/09A patent/RU2316129C2/ru not_active IP Right Cessation
- 2002-05-30 JP JP2003501909A patent/JP3780282B2/ja not_active Expired - Fee Related
- 2002-05-30 EP EP02732908A patent/EP1393522B1/en not_active Expired - Lifetime
- 2002-05-30 CN CN028114426A patent/CN1545789B/zh not_active Expired - Fee Related
- 2002-05-30 WO PCT/GB2002/002557 patent/WO2002100062A2/en active Application Filing
- 2002-05-30 AU AU2002304516A patent/AU2002304516A1/en not_active Abandoned
- 2002-05-30 AT AT02732908T patent/ATE413760T1/de not_active IP Right Cessation
- 2002-05-30 RU RU2004100231/09A patent/RU2280333C2/ru not_active IP Right Cessation
- 2002-05-30 CA CA002449297A patent/CA2449297A1/en not_active Abandoned
- 2002-05-30 EP EP05076839A patent/EP1605636B1/en not_active Expired - Lifetime
- 2002-05-30 DE DE60144584T patent/DE60144584D1/de not_active Expired - Lifetime
- 2002-05-30 AT AT05076839T patent/ATE508559T1/de not_active IP Right Cessation
- 2002-05-30 GB GB0419741A patent/GB2403095B/en not_active Expired - Fee Related
-
2003
- 2003-11-18 ZA ZA200308956A patent/ZA200308956B/en unknown
-
2005
- 2005-10-03 JP JP2005289762A patent/JP2006087132A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1393522A2 (en) | 2004-03-03 |
| DE60229738D1 (de) | 2008-12-18 |
| WO2002100062A2 (en) | 2002-12-12 |
| CA2512658C (en) | 2009-07-28 |
| RU2316129C2 (ru) | 2008-01-27 |
| ATE413760T1 (de) | 2008-11-15 |
| CA2449297A1 (en) | 2002-12-12 |
| WO2002100062A3 (en) | 2003-05-22 |
| JP2004533778A (ja) | 2004-11-04 |
| GB2379124B (en) | 2004-12-08 |
| US20040255033A1 (en) | 2004-12-16 |
| GB2379124A (en) | 2003-02-26 |
| GB0419741D0 (en) | 2004-10-06 |
| CN1545789B (zh) | 2010-04-28 |
| JP3780282B2 (ja) | 2006-05-31 |
| EP1605636B1 (en) | 2011-05-04 |
| CA2512658A1 (en) | 2002-12-12 |
| ZA200308956B (en) | 2004-07-20 |
| CN101072151A (zh) | 2007-11-14 |
| DE60144584D1 (de) | 2011-06-16 |
| AU2002304516A1 (en) | 2002-12-16 |
| GB2403095A (en) | 2004-12-22 |
| RU2004100231A (ru) | 2005-06-10 |
| RU2005132301A (ru) | 2007-04-27 |
| GB0113902D0 (en) | 2001-08-01 |
| JP2006087132A (ja) | 2006-03-30 |
| ATE508559T1 (de) | 2011-05-15 |
| RU2280333C2 (ru) | 2006-07-20 |
| EP1605636A1 (en) | 2005-12-14 |
| EP1393522B1 (en) | 2008-11-05 |
| GB2403095B (en) | 2005-07-27 |
| GB0212531D0 (en) | 2002-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1545789B (zh) | 在区域网内提供安全性的方法和设备 | |
| CA2324512C (en) | Apparatus and method for efficient delivery of multicast data over a personal access communications system (pacs) | |
| CN102204170B (zh) | 用于网络入侵检测的方法和设备 | |
| US9019886B2 (en) | Unicast to multicast conversion | |
| CN1575462A (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| CN1879348A (zh) | 控制网络中设备之间通信的方法及其装置 | |
| CN1682516A (zh) | 用于防止网络地址盗用的方法和装置 | |
| JP6598939B2 (ja) | 通信システム、無線機及び伝送方法 | |
| CN108718236B (zh) | 互联网自组织汇流的数据传输方法 | |
| CN1521993A (zh) | 网络控制方法和设备 | |
| CN1835474A (zh) | 一种移动互联网协议网络中的报文传送方法 | |
| KR20020036504A (ko) | 인터넷 통신방법 | |
| EP1393520B1 (en) | Security in area networks | |
| CN1640094A (zh) | 利用转换连接来管理无源网络设备的系统和方法 | |
| CN104113484A (zh) | 报文的转发处理方法及装置 | |
| JP2018152859A (ja) | 通信システム | |
| CN102347932A (zh) | 一种数据报文的处理方法及系统 | |
| CN1910858A (zh) | 具有安全措施的远程控制网关管理 | |
| CN1921439A (zh) | 用于交换分组的网络设备和接口设备 | |
| Niraja et al. | Security Risks in Internet of Things: A Survey | |
| CN1290088A (zh) | 为通信网安全而使用无效码元安全干扰的方法和设备 | |
| CN1489855A (zh) | 提供用于短程无线计算设备的安全网络访问 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100428 Termination date: 20120530 |