CN1819540B - 具有多个安全接口的无线网络 - Google Patents

具有多个安全接口的无线网络 Download PDF

Info

Publication number
CN1819540B
CN1819540B CN2006100068230A CN200610006823A CN1819540B CN 1819540 B CN1819540 B CN 1819540B CN 2006100068230 A CN2006100068230 A CN 2006100068230A CN 200610006823 A CN200610006823 A CN 200610006823A CN 1819540 B CN1819540 B CN 1819540B
Authority
CN
China
Prior art keywords
client devices
wireless network
network
safety
internet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2006100068230A
Other languages
English (en)
Other versions
CN1819540A (zh
Inventor
亚当·米歇尔·康韦
李·克拉里奇
莫宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Jungle Network
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jungle Network filed Critical Jungle Network
Publication of CN1819540A publication Critical patent/CN1819540A/zh
Application granted granted Critical
Publication of CN1819540B publication Critical patent/CN1819540B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Abstract

由网络设备建立多个无线网络,每个无线网络均具有标识符。从客户机设备接收利用标识符通过无线网络建立无线网络会话的请求。根据用于建立每个无线网络会话的标识符,客户机设备的网络特权被分割到离散的安全接口。

Description

具有多个安全接口的无线网络 
技术邻域
本发明涉及无线计算机网络,更具体地说,本发明涉及被配置成包括多个安全接口的无线计算机网络。 
近年来,已发现无线局域网(WLAN)提供有线网络或标准局域网(LAN)的廉价且有效的扩展。图1是图解说明包括有线和无线组件的常规网络100的方框图。利用无线路由器或接入点(AP)102,网络100可包括有线部件,例如服务器104和本地客户机106,和无线部件,例如通过无线网络116与AP 102连接的客户机设备108、110、112和114。最近,WLAN的多数部署遵照在不受管理的2.4和5 GHz频谱内工作的各种电气和电子工程师协会(IEEE)802.11x标准(例如802.11b、a和g)。可以实现防火墙118,以便保护网络100,并起阻挡来自整个因特网120的未经授权的通信量的安全门的作用。 
操作上,客户机设备108-114可通过选择或者以其它方式识别与网络116相关的服务集标识符(SSID),接入无线网络116。本领域中已知,可利用几种可用的网络层安全协议,比如有线等通私密(WEP)或Wi-Fi保护接入(WPA)协议加密穿过网络116的通信量。假定采用这些协议之一,在被准许接入网络100之前,客户机设备108-114必须输入加密密钥或口令。 
不幸的是,一旦被批准,对网络116的接入被同样地准予拥有网络116的SSID和相关口令的所有客户机设备108-114,而不管与客户机设备的用户相关的个体安全级。因此,无线用户基础(base)的低级(例如OSI网络模型的第二层)分割变成不可能,从而需要依赖于高级安全程序向网络100提供安全性。 
按照本发明的原理的一个方面目的在于提供一种提供无线网络功能的方法。所述方法包括:由网络设备建立多个无线网络,每个无线网络均具有标识符;在所述网络设备,从客户机设备接收通过利用所述标识符的无线网络建立无线网络会话的请求;和根据用于建立每个无线网络会话的标识符,把客户机设备的网络特权分割(segment)到离散的安全接口。 
在按照本发明的原理的第二方面,提供无线网络安全(security)的方法包括把无线网络标识符映射到预定的安全策略;从客户机设备接收访问使用无线网络标识符之一的无线网络的请求;建立与客户机设备的无线网络会话;接收来自客户机设备的网络通信量(traffic),所述网络通信量具有目的地资源;和根据映射到用于建立无线网络会话的无线网络标识符的预定安全策略,对网络通信量执行安全处理。 
在按照本发明的原理的第三方面,提供一种设备。所述设备包括配置成提供离散的无线网络接口的网络设备,每个离散的无线网络接口均具有与之相关的标识符,其中网络设备被配置成把唯一标识符映射到安全区,其中网络设备被配置成根据标识符建立与客户机设备的无线网络会话,其中网络设备被配置成根据与用于建立每个无线网络会话的标识符相关的安全区,分割客户机设备的安全特权。 
附图说明
包含在本说明书中并构成本说明书一部分的附图图解说明本发明的一个实施例,并和下面的说明一起解释本发明。附图中, 
图1是图解说明常规的计算机网络的一般化方框图; 
图2图解说明其中可实现按照本发明的系统和方法的例证系统; 
图3图解说明按照本发明的原理的一个实现中的网络设备的例证配置; 
图4是图解说明建立无线网络会话和处理网络通信量的处理的一种实现的例证流程图; 
图5是图解说明建立无线网络会话和处理网络通信量的处理的另一种实现的例证流程图; 
图6图解说明其中可实现按照本发明的系统和方法的另一例证系统。 
具体实施方式
下面参考附图,详细说明本发明的原理的实施例。不同附图中的相同附图标记识别相同或相似的部件。另外,下面的详细说明并不限制本发明。相反,本发明的范围由附加的权利要求及等同物限定。 
如同这里所述,网络设备借助多个唯一标识符,提供对一个或多个无线网络的接入。每个唯一标识符于是与一个安全区相关联或者被映射到一个安全区,以致客户机设备通过按照相关的安全区处理的唯一标识符接入无线网络。 
系统概述 
图2图解说明其中可实现按照本发明的原理的系统和方法的实施例的例证系统200。如图所示,系统200包括网络设备202,和通过多个无线网络206、208、210和212与网络设备202连接的一组客户机设备204a、204b、204c和204n(总称为“客户机设备204”)。网络设备202随后可根据每个客户机设备204所连接的网络206-212,把每个客户机设备204映射到多个安全区214、216、218、220中的一个或多个。根据本发明的原理,安全区214-220还可包含传统的有线设备或网络,如下详细所述。网络设备202还可与不可信网络222,例如外部网络或因特网连接。 
根据本发明的原理,网络设备202可被配置成同时提供无线接入点和网络防火墙功能。更具体地说,网络设备202可被配置成提供多个离散的无线网络,并执行每个网络之间的策略和防火墙决策,从而显著提高系统200的安全性。如图2中所示,在按照本发明的原理的一种实现中,网络设备202可被配置成提供四个离散的无线网络206-212,每个无线网络206-212具有与之相关的不同SSID。此外, 每个无线网络206-212可被映射到它自己的单独安全区214、216、218或220。这样,每个网络206-212可被配置成提供不同等级的安全保护。通过提供不同的网络206-212,网络设备202向网络200提供多个安全接口,从安全性的观点来看,每个安全接口是完全可配置的。 
虽然表示了四个截然不同的客户机设备204,不过应明白为了简便起见,设置了图2中图解说明的客户机设备204的数目和类型。实际上,典型的系统可包括任意数目和类型的客户机设备204。另外,虽然描述了一个四区域安全系统,不过本发明也可在具有多于或少于四个不同安全区,包括物理地或者逻辑地配置于其内的多个安全区的系统中实现。此外,虽然在例证的实现中表示了四个无线网络206-212,不过根据本发明的原理可以实现更多或更少的无线网络。客户机设备204可包括能够通过网络206-212和222启动、传输和接收数据和/或话音通信的设备,比如个人计算机,膝上型计算机或其它设备。 
在按照本发明的原理的一种实现中,网络设备202可包括能够传输和接收无线网络通信量,并对传输和接收的无线网络通信量应用安全策略的硬件和软件的任意组合。如下详细所述,在按照本发明的原理的一种实现中,网络设备202可被配置成利用多个不同的SSID传输和接收无线网络通信量。在这种实现中,每个SSID与一个安全区相关联。网络设备随后可根据与使用中的SSID相关的安全区,对通信量应用安全策略。 
不可信网络222可包括一个或多个网络,例如因特网、企业内部网,局域网(LAN),广域网(WAN),或者能够把来自源设备的数据通信传送给目的地设备的另一种网络。 
图3是在按照本发明的原理的一种实现中,图2的网络设备202的例证配置。可类似地构成客户机设备204。如图所示,网络设备202可包括总线310,处理逻辑320,专用集成电路(ASIC)330,存储器340和一组通信接口350。总线310允许网络设备202的组件之间的通信。 
处理逻辑部分320可包括解释和执行指令的任意类型的常规处理器或者微处理器。ASIC 330可包括一个或多个能够实现涉及网络的功 能的ASIC。更具体地说,在一种实现中,ASIC 330可执行与安全性和接入点相关的功能。 
存储器340可包括保存信息和供处理逻辑部分320执行的指令的随机存取存储器(RAM)或另一动态存储装置;保存供处理逻辑部分320使用的信息和指令的只读存储器(ROM)或另一种静态存储装置;和/或其它某种类型的磁或光记录介质及其对应驱动器。通信接口350可包括使网络设备202能够与其它设备和/或系统,比如客户机设备204及与网络206-212和222相关的设备通信的任何类似收发器的机构。 
如下详细所述,按照本发明的原理,网络设备202可执行与网络通信相关的操作。网络设备202可响应执行包含在计算机可读介质,比如存储器340中的软件指令的处理逻辑部分320,执行这些及其它操作。计算机可读介质可被定义成一个或多个存储装置和/或载波。 
软件指令可通过通信接口350从另一计算机可读介质或者从另一设备被读入存储器340中。包含在存储器340中的软件指令可使处理逻辑部分320执行后面说明的过程。另一方面,可代替或结合软件指令使用硬连线的电路来实现按照本发明的原理的过程。从而,按照本发明的原理的系统和方法并不局限于硬件电路和软件的任何特定组合。 
例证处理 
如上所述,网络设备202能够实现多个无线安全区的建立,并简化可用安全区之间网络通信量的交换。图4是图解说明建立无线网络会话和随后利用建立的会话处理网络通信量的处理的一种实现的例证流程图。网络设备202最初被配置成建立多个无线网络206-212,每个无线网络206-212具有与之相关的不同标识符(动作400)。在一个例证实现中,标识符包括SSID。本领域中已知,网络设备202可被进一步配置成广播SSID中的一个或多个,以便向兼容的客户机设备204通告网络206-212的存在。另一方面,网络设备202可被配置成在协商网络会话之前,要求客户机设备204明确地识别SSID。这种第二种 方法避免对客户机设备的网络206-212的识别不会以其它方式私下知晓网络SSID。 
一旦建立了无线网络206-212,通过其相关的SSID,每个网络206-212被映射到多个安全区214-220之一上(动作402)。如下详细所述,每个安全区可强制执行不同层次的基于策略的控制,例如通过不同的SSID,从与网络设备202连接的客户机设备204接收的网络通信量服从不同的安全策略和其它验证标准。例如,第一个安全区214可被配置成使与之相关的客户机设备204能够访问可信的网络资源(例如公司LAN内的数据库或文件夹),并阻止对不可信网络资源(例如一般网站)的访问。另一方面,第二个安全区216可被配置成使与之相关的客户机设备204只能够访问不可信网络资源。这样,第二个安全区216可被认为是在数据链路层(例如OSI模型的第二层)有效地与可信网络资源分割开的客户区。 
一旦无线网络206-212已被映射到安全区214-220,网络设备202准备好接收来自客户机设备的连接请求(动作404)。例如,图2中图解说明的客户机设备204a可通过在动作400中,提交或以其它方式选择与网络206相关的SSID,请求接入网络206。响应连接请求,网络设备202可强制执行与网络206相关的任何无线网络级验证或保密考虑(例如WEP或WPA加密密钥等)(动作406)。假如客户机设备204a正确地提供了网络级(OSI模型的第三层)验证或保密信息,网络设备202可建立与客户机设备204a的无线网络会话(动作408)。 
一旦建立了会话,网络设备202可通过无线网络206从客户机设备204a接收发往特定网络资源,例如另一计算机或服务器(例如web服务器),连网的存储设备等的网络通信量(动作410)。如上所述,根据用于建立网络会话的SSID,确定接收的网络通信量的源区。更一般地说,从客户机设备204a接收网络通信量可涉及接收指定源地址和目的地地址及端口的一个数据分组或者其它数据单元,以及和所请求的服务或协议的类型有关的指示(例如分组的五元组)。通过检查包括在分组内的信息(例如目的地IP地址和/或端口),网络设备202能够识别 与该分组相关的目的地区。结合通信量的源区,目的地区随后被用于识别要应用的安全策略。例如,客户机设备204a可请求访问通过安全区216中的有线网络连接(例如以太网连接)与网络设备202连接的数据库。应明白客户机设备204a可用的每个网络资源还与安全区214-220之一或者不可信网络222相关联。另外应明白,除了分组的五元组之外,任何适当的分组信息可被用于识别目的地区和/或将对通信量应用的处理。 
当收到网络通信量时,网络设备202可执行安全策略搜索(动作412),并根据与发出请求的客户机设备204相关的安全区和所请求网络资源的相关安全区,应用任何识别的网络安全策略或者其它网络处理(动作414)。在本例中,应用以来自第一安全区214的对第二安全区216中的资源的请求为基础的安全策略,因为客户机设备204a已通过网络206建立与网络设备202的无线网络会话,并且所需的数据库存在于安全区216中。 
安全策略的其它例子包括其它层次的加密或验证,例如虚拟专用网络(VPN)连接,IPSec隧道或者类似的加密/验证程序的建立。此外,策略处理还可实现另外的功能,比如URL过滤或者其它基于内容的网络接入限制。除了基于安全性的处理之外,网络设备202还可以实现另外的信息处理,比如信息转换。例如,输入分组可被进行网络地址转换或端口转换,以便修改输出或传送的数据分组中的各条信息。 
此时,确定应用的安全策略是否允许对所请求资源的访问(动作416)。如果是,那么准许所述访问(动作418)。但是,如果应用的安全策略不准许对所请求资源的访问,那么访问被拒绝(动作420)。 
本领域中已知,当建立客户机设备204和网络设备202之间的无线会话时,客户机设备204一般被分配与网络相关的IP地址。在多个实现中,这种分配由与网络设备202相关的DHCP服务器(未示出)完成。在按照本发明的原理的一种实现中,DHCP服务器可被配置成根据各种标准(例如媒体存取控制(MAC)地址,物理位置,设备的类型等),把不同范围的IP地址应用于客户机设备。例如,建立网络会话 的客户机设备204a可被分配在10.12.2.10-40范围中的IP地址,而客户机设备204b可被分配在10.12.2.41-100范围中的IP地址。这样,分配的IP地址可被用于把设备映射到几个安全区。 
图5是图解说明建立无线网络会话和随后利用建立的会话处理网络通信量的处理的一种实现的另一例证流程图。在图5中,网络设备最初被配置成建立具有单一SSID的无线网络(动作500)。 
一旦无线网络已被建立,与网络设备相关的DHCP服务器可被配置成根据与相应客户机设备相关的各种标准,分配唯一的IP地址范围(动作502)。在按照本发明的原理的一种实现中,每个IP地址范围可被映射到多个安全区中的一个安全区上(动作504)。如下详细所述,每个安全区可以强制执行不同层次的基于策略的控制,例如通过不同IP地址范围从与网络设备连接的客户机设备接收的网络通信量服从不同的安全策略和其它验证标准。例如,第一IP地址范围可被配置成使与之相关的客户机设备能够访问可信网络资源(例如公司LAN内的数据库或文件夹),并阻止对不可信网络资源(例如一般网站)的访问。另一方面,第二IP地址范围可被配置成使与之相关的客户机设备只能够访问不可信网络资源。这样,第二IP地址范围可被分配给具有“客户”状态的客户机,从而在数据链路层(例如OSI模型的第二层)有效地把这些客户机设备与可信网络资源分割开。 
一旦各个IP地址范围已与安全区相关联,网络设备准备好接收来自客户机设备的连接请求(动作506)。例如,客户机设备可通过在动作500中提交或以其它方式选择与网络相关的SSID,请求接入网络。响应连接请求,网络设备可强制执行与网络相关的任何无线网络安全(例如WEP或WPA加密密钥等)(动作508)。假如客户机设备正确地提供了网络层(OSI模型的第三层)安全信息,网络设备就可建立与客户机设备的无线网络会话(动作510)。 
一旦建立了会话,网络设备可通过无线网络从客户机设备接收发往特定网络资源,例如另一计算机或服务器(例如web服务器),连网的存储设备等的网络通信量(动作512)。如上所述,根据分配给客户机 设备的IP地址范围,源区被分配给该通信量。通过检查分组中的信息,网络设备可识别与所述通信量相关的目的地区。例如,具有在第一分配IP地址范围(映射到第一安全区)内的第一IP地址的客户机设备可请求访问具有在第二分配IP地址范围(映射到第二安全区)内的IP地址,并且通过有线网络连接(例如以太网连接)与网络设备连接的数据库。应明白客户机设备可用的每个网络资源被分配在各个预定的IP地址范围内的唯一IP地址,从而指定与网络资源相关联的安全区。 
当收到网络通信量时,网络设备可根据识别的源安全区和目的地安全区,执行安全策略搜索(动作514),并可应用任何识别的网络安全策略(动作516)。在本例中,应用以被分配在第一IP地址范围内的IP地址的客户机设备访问具有在第二IP地址范围中的IP地址的资源的请求为基础的安全策略。 
此时,确定应用的安全策略是否允许网络通信量传给所请求的资源(动作518)。如果是,那么使通信量通过(动作520)。但是,如果应用的安全策略不准许通信量通过,那么访问被拒绝(动作522)。通过把离散的IP地址范围映射到各个安全区,在其通过网络的整个过程中,和客户机设备的安全级有关的信息可与分组关联起来。 
例子 
图6图解说明其中可实现按照本发明的原理的系统和方法的实施例的例证系统600。如图所示,系统600可包括网络设备602和通过无线连接608和610,与网络设备602连接的客户机设备604和606。另外,有线网络资源612、614和616通过有线连接618和620与网络设备602连接。客户机设备604和606及网络资源612-616中的每一个与四个安全区622、624、626和628之一相关联。按照与本发明的原理一致的方式,客户机设备604和606的安全区关联可建立在客户机设备所连接的无线连接608或610的基础上。有线网络资源612-616的安全区关联可建立在传统的安全处理的基础上。网络设备602还可与不可信网络630,比如外部网络或因特网连接。 
在本实现中,网络设备602从客户机设备604接收两个分组,第 一个分组发往数据库服务器612(由箭头632表示),第二个分组发往web服务器614(由箭头634表示)。根据本发明的原理,响应收到的分组,网络设备602可进行和具有第二安全区624源和第四安全区628目的地的分组相关的策略搜索。该策略搜索显示第二安全区624中的客户机设备604可与数据库服务器612连接,不可与web服务器614连接。类似地,响应从第一安全区622中请求不可信区域630中的因特网资源的客户机设备606接收的分组(由箭头636表示),网络设备602可根据与客户机设备606相关的源安全区,确定这样的分组被准许,从而连接到网络设备602。 
结论 
通过根据多个截然不同的SSID分割访问无线网络的客户机设备,按照本发明的原理的实现提供增强的无线网络安全性。这样,按照本发明的原理的系统向连网的客户机设备在较低并且更安全的层次提供明显改进的安全性,而不是完全依赖于较高层的安全性。 
本发明的例证实施例的上述说明只是出于举例说明的目的,并不是穷尽的或者意图把本发明局限于所公开的具体形式。鉴于上述教导,各种修改和变化是可能的,或者可从本发明的实践获得各种修改和变化。 
此外,虽然关于图4和5公开了一系列的动作,不过在按照本发明的其它实现中,所述动作的顺序可被改变。此外,不相关的动作可并行实现。 
另外,对于本领域的普通技术人员来说,如上所述,显然可按照附图中图解说明的实现中的软件、固件和硬件的多个不同形式实现本发明的各个方面。用于实现按照本发明的原理的各个方面的实际软件代码或专用控制硬件并不是本发明的限制。从而,在不参考具体的软件代码的情况下说明了本发明的各个方面的操作和行为-显然本领域的普通技术人员能够根据这里的说明,设计实现所述各个方面的软件和控制硬件。 
此外,本发明的某些部分可被实现成完成一个或多个功能的“逻 辑部分”。该逻辑部分可包括硬件,比如专用集成电路(ASIC)或者现场可编程门阵列,软件,或者硬件和软件的组合。虽然关于处理消息或分组说明了各个方面,不过这些方面可对任何类型或者形式的数据,包括分组数据和非分组数据起作用。术语“数据单元”可指分组或非分组数据。 
本发明的说明中使用的任何部件、动作或指令不应被理解为对本发明来说是关键的或者必不可少的,除非明确地这样说明。另外,冠词“a”意图包括一项或多项。在意指仅仅一项的情况下,使用术语“一个”或者类似语言。此外,短评“以...为基础”意图表示“至少部分以...为基础”,除非明确地另作说明。本发明的范围由权利要求和它们的等同物限定。 

Claims (12)

1.一种提供网络安全性的方法,所述方法包括:
由网络设备提供多个无线网络,每个无线网络均具有标识符;
在所述网络设备,从客户机设备接收通过无线网络使用所述标识符建立无线网络会话的请求;
响应于所述请求,强制执行与无线网络相关联的网络级验证;
根据网络级验证的强制执行结果,建立与客户机设备的无线网络会话;
基于建立无线网络会话,把标识符映射到用于分配给客户机设备的离散因特网协议IP地址范围;
根据与用于建立每个无线网络会话的标识符相关联的离散IP地址范围分割客户机设备的安全特权;
从所述客户机设备中的第一客户机设备接收发往第一网络资源的网络通信量;
根据用于建立无线网络会话的标识符识别与第一客户机设备相关联的源安全区;
识别第一网络资源的目的地安全区;
根据识别的源安全区和目的地安全区对网络通信量执行安全处理;以及
根据对网络通信量执行安全处理的结果确定是否将网络通信量传递到第一网络资源。
2.按照权利要求1所述的方法,其中标识符是服务集标识符SSID。
3.按照权利要求1所述的方法,还包括:
把标识符映射到安全区;和
根据映射到用于建立每个无线网络会话的标识符的安全区,分割客户机设备的安全特权。
4.按照权利要求1所述的方法,其中执行安全处理包括执行安全策略搜索。
5.按照权利要求1所述的方法,其中执行安全处理包括禁止对预定网络资源的访问的统一资源定位符URL过滤。
6.按照权利要求1所述的方法,其中执行安全处理包括执行网络地址转换。
7.按照权利要求1所述的方法,还包括:
从所述客户机设备中的第二客户机设备接收访问第二网络资源的请求;
识别与第二客户机设备相关联的源IP地址;
识别与第二网络资源相关联的目的地IP地址;
根据识别的源IP地址和目的地IP地址,对第二请求执行安全处理;以及
根据对第二请求执行安全处理的结果,确定是否准许第二客户机设备访问第二网络资源。
8.按照权利要求1所述的方法,包括:
把标识符映射到预定的安全策略;和
根据映射到用于建立无线网络会话的标识符的预定安全策略,对网络通信量执行安全处理。
9.按照权利要求8所述的方法,还包含:
把标识符映射到预定的安全区,其中预定的安全区建立与连接的客户机设备相关联的安全策略和数据处理特权。
10.一种提供网络安全性的网络设备,包含:
用于由网络设备提供多个无线网络的装置,每个无线网络均具有标识符;
用于在所述网络设备,从客户机设备接收通过无线网络使用所述标识符建立无线网络会话的请求的装置;
用于响应于所述请求,强制执行与无线网络相关联的网络级验证的装置;
用于根据网络级验证的强制执行结果,建立与客户机设备的无线网络会话的装置;
用于基于建立无线网络会话,把标识符映射到用于分配给客户机设备的离散因特网协议IP地址范围的装置;
用于根据与用于建立每个无线网络会话的标识符相关联的离散IP地址范围分割客户机设备的安全特权的装置;
用于从所述客户机设备中的第一客户机设备接收发往第一网络资源的网络通信量的装置;
用于根据用于建立无线网络会话的标识符识别与第一客户机设备相关联的源安全区的装置;
用于识别第一网络资源的目的地安全区的装置;
用于根据识别的源安全区和目的地安全区对网络通信量执行安全处理的装置;以及
用于根据对网络通信量执行安全处理的结果确定是否将网络通信量传递到第一网络资源的装置。
11.按照权利要求10所述的网络设备,其中执行安全处理的装置包括执行安全策略搜索的装置。
12.按照权利要求10所述的网络设备,包含:
用于从所述客户机设备中的第二客户机设备接收访问第二网络资源的请求的装置;
用于识别与第二客户机设备相关联的源IP地址的装置;
用于识别与第二网络资源相关联的目的地IP地址的装置;
用于根据识别的源IP地址和目的地IP地址,对第二请求执行安全处理的装置;以及
用于根据对第二请求执行安全处理的结果,确定是否准许第二客户机设备访问第二网络资源的装置。
CN2006100068230A 2005-02-07 2006-02-07 具有多个安全接口的无线网络 Expired - Fee Related CN1819540B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/051,486 2005-02-07
US11/051,486 US7627123B2 (en) 2005-02-07 2005-02-07 Wireless network having multiple security interfaces

Publications (2)

Publication Number Publication Date
CN1819540A CN1819540A (zh) 2006-08-16
CN1819540B true CN1819540B (zh) 2011-01-26

Family

ID=36291941

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100068230A Expired - Fee Related CN1819540B (zh) 2005-02-07 2006-02-07 具有多个安全接口的无线网络

Country Status (4)

Country Link
US (3) US7627123B2 (zh)
EP (1) EP1689206B1 (zh)
JP (1) JP4555235B2 (zh)
CN (1) CN1819540B (zh)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7627123B2 (en) 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
US8255681B2 (en) * 2005-03-10 2012-08-28 Ibahn General Holdings Corporation Security for mobile devices in a wireless network
US10764264B2 (en) 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
US8707395B2 (en) * 2005-07-11 2014-04-22 Avaya Inc. Technique for providing secure network access
US20070028273A1 (en) * 2005-07-28 2007-02-01 Zanaty Farouk M Wireless satellite transverser with secured wireless infrastructure/ad-hoc modes
CN100450067C (zh) * 2005-11-18 2009-01-07 华为技术有限公司 业务设备交换网络及交换方法
KR100819036B1 (ko) * 2005-12-08 2008-04-02 한국전자통신연구원 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
WO2007104912A1 (en) 2006-03-10 2007-09-20 British Telecommunications Public Limited Company Call completion service in case of called party unavailability
US8483126B2 (en) 2006-05-23 2013-07-09 British Telecommunications Plc Multi-network mobile communications systems and/or methods
US20160248813A1 (en) * 2006-08-23 2016-08-25 Threatstop, Inc. Method and system for propagating network policy
DE102006041341A1 (de) * 2006-09-01 2008-03-20 Fachhochschule Frankfurt Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung
EP1912401A1 (en) * 2006-10-10 2008-04-16 British Telecommunications Public Limited Company Wireless access hub
US7924793B2 (en) * 2006-11-20 2011-04-12 At&T Intellectual Property I, L.P. Methods and apparatus to manage bandwidth in a wireless network
US8412942B2 (en) * 2007-01-22 2013-04-02 Arris Group, Inc. Method and system for seamless SSID creation, authentication and encryption
JP2008206102A (ja) * 2007-02-22 2008-09-04 Nippon Telegraph & Telephone West Corp メッシュ型無線lanを用いたモバイルコミュニケーションシステム
JP4957301B2 (ja) * 2007-03-07 2012-06-20 沖電気工業株式会社 無線lan通信装置
JP4950705B2 (ja) * 2007-03-14 2012-06-13 株式会社エヌ・ティ・ティ・ドコモ 通信制御システム及び通信制御方法
US20080250478A1 (en) * 2007-04-05 2008-10-09 Miller Steven M Wireless Public Network Access
JP4812123B2 (ja) * 2007-06-15 2011-11-09 株式会社リコー 情報処理装置およびプログラム
US8386766B2 (en) 2007-10-17 2013-02-26 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for deciding a security setting
JP4827868B2 (ja) * 2008-03-11 2011-11-30 日本電信電話株式会社 ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
JP5925223B2 (ja) * 2008-09-22 2016-05-25 沖電気工業株式会社 アクセスポイント、管理装置、コントローラ、プログラム、及びアクセスポイントの設定方法
US9119070B2 (en) * 2009-08-31 2015-08-25 Verizon Patent And Licensing Inc. Method and system for detecting unauthorized wireless devices
JP5464960B2 (ja) * 2009-10-05 2014-04-09 キヤノン株式会社 通信装置及び通信装置の通信方法並びにプログラム
US8437773B2 (en) * 2009-12-09 2013-05-07 Qualcomm Incorporated Hierarchical information dissemination for location based systems
US8948057B2 (en) * 2009-12-15 2015-02-03 At&T Intellectual Property I, L.P. Securing uniform resource identifier information for multimedia calls
US20110196973A1 (en) * 2010-02-05 2011-08-11 Interdigital Patent Holdings, Inc. Method and apparatus for inter-device session continuity (idsc) of multi media streams
US8462722B2 (en) * 2010-03-26 2013-06-11 Telefonaktiebolaget L M Ericsson (Publ) Access control for machine-type communication devices
JP5488134B2 (ja) * 2010-04-01 2014-05-14 セイコーエプソン株式会社 通信システム及び通信方法
EP2708053A4 (en) * 2011-05-13 2014-11-19 Blackberry Ltd AUTOMATIC ACCESS TO NETWORK NODES
CN102869012B (zh) * 2011-07-05 2018-11-06 横河电机株式会社 无线局域网接入点设备和系统以及相关方法
CN102932382B (zh) * 2011-08-08 2018-03-23 中兴通讯股份有限公司 安全按需供给方法及系统、业务类型获取方法
US9419941B2 (en) * 2012-03-22 2016-08-16 Varmour Networks, Inc. Distributed computer network zone based security architecture
US8806575B2 (en) * 2012-07-11 2014-08-12 International Business Machines Corporation Network selection tool for information handling system
US9118588B2 (en) * 2012-12-20 2015-08-25 Cisco Technology, Inc. Virtual console-port management
CN104283848B (zh) * 2013-07-03 2018-02-09 新华三技术有限公司 终端接入方法和装置
US9197643B2 (en) 2013-07-22 2015-11-24 Bank Of America Corporation Application and permission integration
US9027106B2 (en) * 2013-08-14 2015-05-05 Bank Of America Corporation Organizational attribution of user devices
US9497194B2 (en) * 2013-09-06 2016-11-15 Oracle International Corporation Protection of resources downloaded to portable devices from enterprise systems
JP6381211B2 (ja) * 2014-01-07 2018-08-29 キヤノン株式会社 画像形成装置及びその制御方法
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9699027B2 (en) * 2014-09-23 2017-07-04 Cisco Technology, Inc. Bifurcated control and management planes for fiber channel networks
US9307451B1 (en) * 2014-12-02 2016-04-05 International Business Machines Corporation Dynamic enterprise boundary determination for external mobile devices
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9825954B2 (en) * 2015-05-26 2017-11-21 Holonet Security, Inc. Stateful user device identification and binding for cloud application security
US9900162B2 (en) 2015-11-11 2018-02-20 At&T Mobility Ii Llc System and method for wireless network management
US11363022B2 (en) * 2016-03-28 2022-06-14 Zscaler, Inc. Use of DHCP for location information of a user device for automatic traffic forwarding
US20210029119A1 (en) * 2016-03-28 2021-01-28 Zscaler, Inc. Cloud policy enforcement based on network trust
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10972474B2 (en) 2017-04-18 2021-04-06 International Business Machines Corporation Logical zones for IoT devices
US10645121B1 (en) * 2017-12-11 2020-05-05 Juniper Networks, Inc. Network traffic management based on network entity attributes
WO2020221454A1 (en) * 2019-05-02 2020-11-05 Huawei Technologies Co., Ltd. Network device and method for policy based access to a wireless network
CN113906776B (zh) * 2019-08-06 2023-10-27 华为云计算技术有限公司 在无线网络中载入客户端设备的接入点和管理员设备及其方法
US20230188570A1 (en) * 2021-12-13 2023-06-15 Juniper Networks, Inc. Using zones based on entry points and exit points of a network device to apply a security policy to network traffic

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1283072A (zh) * 1999-07-30 2001-02-07 索尼公司 有机电致发光装置
EP1284552A2 (en) * 2001-08-15 2003-02-19 Allied Telesis K. K. Wireless interconnecting device and LAN system
US6847620B1 (en) * 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2950628A (en) * 1958-12-22 1960-08-30 Falk Corp Speed reducer
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7603319B2 (en) * 2000-08-28 2009-10-13 Contentguard Holdings, Inc. Method and apparatus for preserving customer identity in on-line transactions
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7778606B2 (en) * 2002-05-17 2010-08-17 Network Security Technologies, Inc. Method and system for wireless intrusion detection
US6950628B1 (en) * 2002-08-02 2005-09-27 Cisco Technology, Inc. Method for grouping 802.11 stations into authorized service sets to differentiate network access and services
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US7308703B2 (en) * 2002-12-18 2007-12-11 Novell, Inc. Protection of data accessible by a mobile device
US9237514B2 (en) * 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US20080109679A1 (en) * 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
US20040210623A1 (en) * 2003-03-06 2004-10-21 Aamer Hydrie Virtual network topology generation
WO2005054973A2 (en) * 2003-12-03 2005-06-16 Safend Method and system for improving computer network security
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7492744B2 (en) * 2004-02-06 2009-02-17 Symbol Technologies, Inc. Method and system for multiple basic and extended service set identifiers in wireless local area networks
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7216365B2 (en) * 2004-02-11 2007-05-08 Airtight Networks, Inc. Automated sniffer apparatus and method for wireless local area network security
ATE451806T1 (de) * 2004-05-24 2009-12-15 Computer Ass Think Inc System und verfahren zum automatischen konfigurieren eines mobilen geräts
US20060193300A1 (en) * 2004-09-16 2006-08-31 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and apparatus for monitoring multiple network segments in local area networks for compliance with wireless security policy
US20060068799A1 (en) * 2004-09-27 2006-03-30 T-Mobile, Usa, Inc. Open-host wireless access system
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US20060133338A1 (en) * 2004-11-23 2006-06-22 Interdigital Technology Corporation Method and system for securing wireless communications
US7627123B2 (en) 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6847620B1 (en) * 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
CN1283072A (zh) * 1999-07-30 2001-02-07 索尼公司 有机电致发光装置
EP1284552A2 (en) * 2001-08-15 2003-02-19 Allied Telesis K. K. Wireless interconnecting device and LAN system

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
San Jose, CA.Cisco IOS SoftwareConfigurationGuide for CiscoAironetAccessPoints Cisco IOS Release 12.2(11)JA.Cisco Systems, Inc.,2003,1-1至1-3,12-3至12-5,13-2至13-7.
San Jose, CA.Cisco IOS SoftwareConfigurationGuide for CiscoAironetAccessPoints Cisco IOS Release 12.2(11)JA.Cisco Systems, Inc.,2003,1-1至1-3,12-3至12-5,13-2至13-7. *

Also Published As

Publication number Publication date
CN1819540A (zh) 2006-08-16
US8280058B2 (en) 2012-10-02
EP1689206B1 (en) 2018-12-05
JP2006222948A (ja) 2006-08-24
JP4555235B2 (ja) 2010-09-29
US20120324533A1 (en) 2012-12-20
US20100050240A1 (en) 2010-02-25
US20060177063A1 (en) 2006-08-10
US8799991B2 (en) 2014-08-05
US7627123B2 (en) 2009-12-01
EP1689206A1 (en) 2006-08-09

Similar Documents

Publication Publication Date Title
CN1819540B (zh) 具有多个安全接口的无线网络
US20160269897A1 (en) Access point and system constructed based on the access point and access controller
CN101309272B (zh) 认证服务器及虚拟专用网的移动通信终端接入控制方法
CN106936804B (zh) 一种访问控制方法以及认证设备
US10485043B2 (en) Multi-connection access point
CN101990211B (zh) 网络接入方法、装置和系统
Fernandez et al. Securing vehicular IPv6 communications
US20040228319A1 (en) Virtual wireless local area networks
CN107005844A (zh) 一种通信方法及相关装置
WO2022142740A1 (zh) 一种网络切片连接方法、装置、存储介质及电子装置
CN107105458A (zh) 一种信息处理方法及装置
CN107528712A (zh) 访问权限的确定、页面的访问方法及装置
CN112367160B (zh) 一种虚拟量子链路服务方法与装置
US11722890B2 (en) Methods and systems for deriving cu-up security keys for disaggregated gNB architecture
US20200374957A1 (en) Multi-connection access point
US10516998B2 (en) Wireless network authentication control
Pathak et al. Secured communication in real time VANET
Nguyen et al. An SDN-based connectivity control system for Wi-Fi devices
CN103973570B (zh) 一种报文传输的方法、ap及系统
CN103249028B (zh) 基于身份信息的网络信息查询方法
US20230413353A1 (en) Inter-plmn user plane integration
EP4262170A1 (en) Multipath communication and control
WO2023116363A1 (zh) 一种会话处理方法、装置、通信设备和存储介质
CN117376900A (zh) 一种通信方法及装置
Chaves-Dieguez et al. Improving effective contact duration in vehicular delay-tolerant networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: JUNIPER NETWORKS INC.

Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC.

CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: Juniper Networks, Inc.

Address before: American California

Patentee before: Jungle network

CP01 Change in the name or title of a patent holder
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110126

Termination date: 20190207

CF01 Termination of patent right due to non-payment of annual fee