JP2004533778A - エリアネットワークにおけるセキュリティ - Google Patents

エリアネットワークにおけるセキュリティ Download PDF

Info

Publication number
JP2004533778A
JP2004533778A JP2003501909A JP2003501909A JP2004533778A JP 2004533778 A JP2004533778 A JP 2004533778A JP 2003501909 A JP2003501909 A JP 2003501909A JP 2003501909 A JP2003501909 A JP 2003501909A JP 2004533778 A JP2004533778 A JP 2004533778A
Authority
JP
Japan
Prior art keywords
access point
data packet
point device
client
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003501909A
Other languages
English (en)
Other versions
JP3780282B2 (ja
Inventor
ジョナサン エドニー
ヘンリー ハヴェリネン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Publication of JP2004533778A publication Critical patent/JP2004533778A/ja
Application granted granted Critical
Publication of JP3780282B2 publication Critical patent/JP3780282B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Burglar Alarm Systems (AREA)
  • Processes Of Treating Macromolecular Substances (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)

Abstract

本発明は、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、クライアントのデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションするよう構成されたセキュリティ手段を備えたアクセスポイント装置を提供する。

Description

【技術分野】
【0001】
本発明は、一般に、コンピュータネットワークの分野に係り、より詳細には、エリアネットワークの分野に係る。
【背景技術】
【0002】
コンピュータネットワークとは、2つ以上のコンピュータシステムが一緒にリンクされたグループとして定義することができる。この定義において、コンピュータシステムは、コンピュータを含むだけでなく、コンピュータのファンクションを実行するのに必要なソフトウェア又は周辺装置も含む完全なワーキングコンピュータを意味するものと考えられる。例えば、各コンピュータシステムは、オペレーティングシステムを必要とし、そしてコンピュータ処理された情報のハードコピーを与えるためにプリンタ装置が一般に必要とされる。
【0003】
コンピュータネットワークは、多数の方法で分類することができ、例えば、トポロジー(ネットワーク内の装置の幾何学的構成、例えば、バス、スター及びリング)、媒体(装置を、例えば、同軸/光ファイバケーブル又は高周波に接続する手段)、プロトコル(データを送信するルールの共通セット)、或いはアーキテクチャー(ピア/ピア又はクライアント/サーバー)に関して分類することができる。又、プロトコルは、コンピュータネットワークがピア/ピアアーキテクチャーを使用するか又はクライアント/サーバーアーキテクチャーを使用するかも決定し、従って、このような単純な分類は、コンピュータネットワークが2つ以上のカテゴリーに入るような事態をしばしば招く。
【0004】
上述した分類に加えて、コンピュータネットワークは、ネットワークが分布した地理的領域に関してグループ分けすることができる。このような分類は、エリアネットワークのカテゴリーを生じ、これは、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)及びメトロポリタンエリアネットワーク(MAN)を含む。LANの場合には、ネットワークのコンピュータは、地理的に互いに接近し、例えば、1つのビル内、又はビルのグループ内にある。WANの場合には、コンピュータは更に分離され、電話線又は高周波によって接続される。1つのLANを、電話線及び/又は高周波により長距離にわたって他のLANに接続して、WANを形成することもできる。MANは、町及び都市に対して設計されたネットワークである。
【0005】
本発明は、エリアネットワークの分野に係り、上述した全てのエリアネットワークを含む。更に、このような単純な分類は、コンピュータネットワークが2つ以上のカテゴリーに入るような事態をしばしば招くので、本発明は、他のネットワークカテゴリーにも入るネットワークへの適用を除外するものではないことに注意するのが重要である。従って、本発明は、ネットワークのトポロジー、媒体、プロトコル、又はアーキテクチャーに拘りなく、エリアネットワークに係る。又、本発明は、有線ではなく高周波の無線波を使用して、あるネットワーク装置間で通信するLANのサブクラスであるワイヤレスローカルエリアネットワーク(WLAN又はLAWN)にも適用できる。
【0006】
エリアネットワークは、多数のコンピュータを互いに接続して情報及びリソースを共用できるように設計されている。関連ネットワークコンピュータに対するネットワークプロトコル、オペレーティングシステム及びアプリケーションソフトウェアは、同じエリアネットワーク上の2つ以上のコンピュータが情報を共用できそしてネットワーク上の他の各々の存在が通知されるように意図されているという仮定で設計されている。このような構成は、エリアネットワークのユーザ(クライアント)がビジネス/パーソナル関係を有する場合にしか適当でない。しかしながら、クライアントがパーソナル/ビジネス関係をもたない状況では(例えば、公衆エリアネットワークにおいて)、エリアネットワーク、特に、LANにより与えられる利点を利用する機会がある。このような用途の一例は、LAN/WANが設けられて、乗客(クライアント)がインターネットにアクセスできると同時に、同じLAN/WANに接続された別の乗客のコンピュータへのアクセスを防止できるようなエアポートのビジネスラウンジである。
【0007】
このようにセキュリティが重要な用途では、クライアントがネットワークに対してしばしば新しいクライアントであって互いに又はネットワークに対して以前にビジネス又はパーソナル関係をもたない場合に、送信データパケットの形態の通信がプライベートに維持され(即ちあるクライアントの送信が別のクライアントから分離され)、しかも、理想的には一般に使用される通信プロトコルを用いてこのようなユーザにとってネットワークへのアクセスが容易に行えることが望ましい。ネットワークへのクライアントアクセス及びそのアクセスの時間中に、ある程度の制御を与えることも必要である。
【0008】
アクセス制御の必要性を最初に取り上げると、これは、ネットワークの使用を監視及び制御するように設計された「アクセスコントローラ(AC)」として一般に知られた1つ以上の制御コンピュータによりエリアネットワークの送信を仲介することにより達成できる。これらは、ネットワークアーキテクチャーにおいてクライアントデータパケットを受信する位置に設けられ、データパケットが最初にネットワークを経てあまり遠くに進行しないようにする。このような位置は、アーキテクチャー的には、アクセスポイント装置の直後であり、アクセスポイント装置は、ネットワークへのクライアント装置のアクセスを許すために設けられる。従って、現在の解決策におけるACの有効な機能は、アーキテクチャーに依存し、即ちACをバイパスする送信の防止は、ネットワークのアーキテクチャー設計によるものである。
【0009】
セキュリティに関しては、既存のLANにおけるセキュリティの成果により、エリアネットワークは、ネットワーク確認されたクライアントコンピュータからのデータパケットの送信しか許さないように構成される。これは、送信データパケットの一部分としてクライアント装置により送信される独特のクライアント装置分類子(例えば、MACアドレス)又は許可コード(例えば、パスワード)を考慮するようにアクセスポイント装置又はACを構成することにより行われる。しかしながら、このような構成は、クライアント装置がネットワークへのアクセスを許可されるかどうかしかチェックせず、アクセスが要求されている装置が許可されるかどうかを考慮するものではない。従って、この解決策は、それ単独で、ネットワークを使用することが許可された誰か、又はネットワークにより確認されるクライアント装置分類子又は許可コードを与えるように自分の装置を変更した誰かが、ネットワークのプライベートエリアへのアクセスを得るのを必ずしも防止しない。
【0010】
クライアント装置がネットワークへのアクセスを許可されるかどうかの上述した考慮は、他にも欠点がある。一般的に述べると、装置間の通信は、ユニキャスト(特定の識別された単一装置間、即ち「ポイント対ポイント」)、マルチキャスト(1つ以上の装置と1組の特定の識別された装置との間)、又はブロードキャスト(単一の装置と1つ以上の非特定装置との間)送信により行われる。不都合なことに、クライアント装置がネットワークへのアクセスを許されるかどうかの考慮は、ネットワーク確認されたクライアント装置からのマルチキャスト/ブロードキャスト送信がエリアネットワーク全体に浸透するのを防止するものではなく、従って、これは、クライアントのプライバシーに影響し得る。更に、多数のネットワーク確認されたクライアント装置が、同じアクセスポイント装置を使用してエリアネットワークに接続こともある。このようなクライアント装置は、エリアネットワークのコアへ送信を入り込ませずに、共通のアクセスポイント装置を通過するユニキャスト/マルチキャスト/ブロードキャスト送信により互いに通信することが現在可能である。このような送信経路は、ネットワークのコアにおいてネットワーク装置をバイパスし、従って、ネットワークアクセス及び使用の制御及び監視を禁止する。又、クライアントのプライバシーは、特に、隣接するクライアント装置からの余計なマルチキャスト/ブロードキャスト送信の受信により減少される。更に、上述したように、現在のネットワークにおけるACの有効な機能は、アーキテクチャーに依存する。それ故、ACが適当に配置されない限り、現在のネットワーク構成では、隣接アクセスポイント装置に接続されたクライアント装置が、ACをバイパスするユニキャスト/マルチキャスト/ブロードキャスト送信を使用して互いに通信することも考えられる。
【0011】
特に、インターネットプロトコルバージョン4(IPv4)は、広く利用されている通信プロトコルで、アドレス分析プロトコル(ARP)を使用して、ターゲットノード、例えば、クライアント又はネットワーク装置のリンク層アドレスをそのIPアドレスから分析することができる。実際に、ARPは、IPv4上で動作せず、ARPパケットは、特殊なリンク層パケットである。ARPの通常の使用において、ターゲットIPアドレスに対応するリンク層アドレスを分析する必要のあるクライアント装置のようなノードがARP要求をブロードキャストする。ACのようなターゲットノードは、そのリンク層アドレスがARP要求で待ち行列処理されることを確認すると、ARP返答をARP要求の送信者へユニキャストする。
【0012】
多数の形式のARPが存在する。無料ARPは、他のノードが自発的にそれらのARPテーブルのエントリーを更新するようにさせるためにあるノードにより送信されるARPパケットである。これは、例えば、リンク層アドレスが変化する場合に使用することができる。ARP仕様では、ARPパケットを受信するノードは、その受信ノードがそのARPテーブルにIPアドレスに対するエントリーを既に有する場合には、そのローカルARPテーブルをARPパケットにおける送信者のIP及びリンク層アドレスで更新しなければならないことを必要とする。ARPプロトコルにおけるこの必要性は、ARP要求パケットと、受信ノードにより送信されるARP要求に一致しないARP返答パケットに対しても適用される。別の形態のARPは、それ自身のARP要求に返答できないか又は返答しない別のノードに代わってあるノードによりARP返答が送信されるようなプロキシーARPである。プロキシーARPの送信者は、あるコンフィギュレーションされたリンク層アドレス(一般的にはそれ自身の)をターゲットリンク層アドレスとして供給する。プロキシーARPを受信するノードは、次いで、このリンク層アドレスを、オリジナルターゲットノードのIPアドレスに関連付ける。逆アドレス分析プロトコル(RARP)を使用して、リンク層アドレスからIPアドレスを分析することもできる。
【発明の開示】
【発明が解決しようとする課題】
【0013】
特に、WLANを使用するクライアントは、ユニキャストIPパケットを送信及び受信するためにARPを使用することができねばならない。しかしながら、ARPは、内蔵セキュリティ機能をもたず、クライアントによって自由に使用され、悪意のあるクライアントがアクセスネットワークのオペレーションを妨害する機会を与える。例えば、悪意のあるクライアントは、ネットワーク上の全てのノードのARPテーブルを、アクセスルーターに代わって偽の無料ARPパケットをブロードキャストするだけで変更できてしまう。
本発明は、公知技術の上記欠点に対処することに向けられる。
【課題を解決するための手段】
【0014】
従って、本発明は、その第1の特徴において、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、クライアントデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションするよう構成されたセキュリティ手段を備えたことを特徴とするアクセスポイント装置を提供する。
【0015】
従って、本発明は、データパケットの元の行先に拘らず、データパケットが、クライアント装置を含む限定されたネットワーク装置から離れて、許可されたネットワーク装置へ向け直されるよう確保するアクセスポイント装置を提供する。従って、公知技術とは異なり、本発明は、ネットワークにおける許可されたネットワーク装置の位置に拘らず、1つ以上の特定の許可された位置への供給を確保し、従って、ネットワークアーキテクチャーにおける許可されたネットワーク装置の位置は、無関係である。特定のネットワーク装置への供給をこのように確保することは、これらネットワーク装置のバイパスが回避されるので、ネットワークのアクセス及び使用について改善された制御及び監視が与えられる。これは、エリアネットワークの使用に基づきクライアントに課金すべき場合には特に重要である。別の効果は、解決策がアクセスポイント装置のみに与えられ、従って、クライアント装置が再コンフィギュレーションを必要としないことである。解決策が、改良されたアクセスポイント装置のみにより与えられる状態では、本発明は、既存のエリアネットワークに遡って容易に且つコスト効率良く適合することができる。又、この解決策は、比較的簡単であり、従って、複雑でない。
【0016】
エリアネットワークに沿った送信は、エリアネットワークの布線部分及び/又はワイヤレス部分への/からの/内の送信を含み、これは、例えば、ある場合に2つ以上のクライアント装置が同じアクセスポイント装置に接続されたときにネットワークの布線部分に顕著に入らない送信を含む。
【0017】
ある場合には、ネットワークに沿って送信するためにデータパケットを完全に再生しそしてオリジナルのクライアントデータパケットを破棄するのがより簡単である。例えば、クライアント装置からのブロードキャスト送信が、ACに向けられたユニキャスト送信に切り換えられる場合である。しかしながら、コンフィギュレーションは、許可されたエリアネットワーク装置の独特の分類子、例えば、アクセスコントローラMACアドレス又はIPアドレスをクライアントデータパケットに代入及び/又は挿入することにより実行されるのが好ましい。分類子がネットワーク通信プロトコルのいずれかの層に含まれるときには、データパケットのコンフィギュレーションは、適当な層において行われ、ネットワークプロトコルの特定の層に限定されない。許可されたエリアネットワーク装置は、ネットワークアクセスコントローラでもよいが、より一般的に述べると、一般的なアクセスから制約されない装置、ひいては、全てのデータパケットを安全にチャンネル接続することのできる装置である。
【0018】
オペレーションの一例として、ユニキャスト送信は、許可されたネットワーク装置に向けられるかどうかに拘らず、許可された装置のみに送られるようにアクセスポイント装置により再コンフィギュレーションされる。更に、アクセスポイント装置は、ブロードキャスト/マルチキャストのクライアントデータパケットを、エリアネットワークに接続された他のクライアント装置から離れて、許可されたネットワーク装置へ再コンフィギュレーションする。従って、同じ又は異なるアクセスポイント装置に接続された隣接するクライアントによる望ましからぬ勧誘は防止される。
【0019】
一実施形態では、セキュリティ手段は、クライアントデータパケットの行先を考慮するように構成され、そして許可されたエリアネットワーク装置ではなく、ネットワークの限定されたエリアに向けられる場合にのみ、データパケットをコンフィギュレーションするように構成される。従って、この実施形態は、許可されたエリアネットワーク装置に既に向けられたクライアントデータパケットの不必要な変更を回避する。
【0020】
データパケットの行先を考慮することは、セキュリティ手段に記録された上記許可されたネットワーク装置に対する分類子のリストとの比較を単に行うだけであり、クライアントデータパケットが、許可されたネットワーク装置の分類子を含む場合だけ、データパケットは再コンフィギュレーションされない。分類子とは、本質的に、許可されたネットワーク装置の行先アドレスであり、許可されたネットワーク装置のハードウェアアドレス(例えば、通信プロトコルのデータリンク層に含まれたMACアドレス)でもよいし、又は許可されたネットワーク装置の対応ソフトウェアアドレス(例えば、通信プロトコルのネットワーク/アプリケーション層に含まれた)でもよい。一般的に述べると、許可されたネットワーク装置の分類子は、通信プロトコルのいずれの層にあってもよい。
【0021】
データパケットの元の行先アドレス(1つ又は複数)も転送して、データパケットが、その後、例えば、送信を送出するクライアント装置の認証後に転送されるように、セキュリティ手段をコンフィギュレーションするのが好ましい。
ネットワークは、1つの送信フォーム、例えば、ユニキャスト送信のみを使用するように構成することができる。しかしながら、種々のデータパケット送信フォームを取り扱うために、アクセスポイント装置は、異なるデータパケットフォーム間を区別でき、そして許可されたネットワーク装置へ向けるように種々のデータパケットフォームを区別的に変更できるように構成されるのが好ましい。例えば、この実施形態では、データパケットがユニキャスト送信フォームであるか、マルチキャスト送信フォームであるか又はブロードキャスト送信フォームであるかを識別し、或いはどんな特定フォームのユニキャスト、マルチキャスト又はブロードキャスト送信であるか(例えば、無料ARP)を識別し、そしてそれに応じて、許可されたネットワーク装置へ前方送信するようにデータパケットを区別的に変更することが可能である。
【0022】
データパケットの区別化は、クライアントデータパケットのデータフィールド又はデータフィールドの一部分をネットワーク許容送信フォームと比較し、そして許可されたネットワーク装置へ送信フォームを向けるようにクライアントデータパケットに対する適当な変更を行うようにアクセスポイント装置を構成することにより実行できるのが便利である。データフィールドは、ネットワーク通信プロトコルのいずれの層に収容されてもよく、そしてリンク層ヘッダ、IPヘッダ及び搬送プロトコルヘッダ(UDP及びTCP)を含む。
【0023】
ユニキャストデータパケットは、前方送信に対しマルチキャスト/ブロードキャストデータパケットとは異なるコンフィギュレーションの変更を必要とするので、アクセスポイント装置は、これらの異なる送信フォームを分析し、そしてこれらの異なるフォームの各々を、同じ構造及び全データパケット長さでネットワークへデータパケットを供給するように適応させるのが好ましい。この場合に、ネットワークプロトコルは、工業規格内に維持することができる。しかしながら、クライアントデータパケットは、データフィールドをデータパケットに挿入することにより変更される。この場合に、データパケットは、増加された長さを有し、異なる構造を有してもよく、ひいては、非標準的なネットワークプロトコルを使用してもよい。このような場合に、アクセスポイント装置には、データパケットをエリアネットワーク特有のプロトコルフォーマットから工業規格プロトコルへ及びそれとは逆にコンフィギュレーションするための手段が設けられる。このように、クライアント装置は、工業規格プロトコルを使用して以前動作することができる。
【0024】
好ましくは、アクセスポイント装置により受信されるクライアントデータパケットは、標準プロトコルに合致するプロトコルフィールドを備え、そしてセキュリティ手段は、1つ以上のプロトコルフィールドのコンテンツを変更し、依然として標準プロトコルに適合する変更されたクライアントデータパケットを発生するように構成される。アクセスポイント装置により受信されるクライアントデータパケット及び変更されたクライアントデータパケットは、同じ標準的プロトコルに適合する。アクセスポイント装置により受信されるクライアントデータパケット及び変更されたクライアントデータパケットは、異なる標準的プロトコルに適合してもよい。
【0025】
エリアネットワークが工業標準プロトコルを使用する場合には、クライアント装置とアクセスポイント装置との間の送信に対して非標準的プロトコルを受け入れるようにアクセスポイント装置を構成し、そして非標準的プロトコルのクライアント装置送信をエリアネットワークに対する工業標準プロトコル送信へ及びそれとは逆にコンフィギュレーションするための手段をアクセスポイント装置に設けることにより、高いセキュリティを与えることができる。このように、アクセスポイント装置を除いて、残りのエリアネットワーク装置は、工業規格の範囲内でよい。もちろん、クライアント装置は、非標準的プロトコルを設けることが必要であり、これは、ハードウェア、ソフトウェア又はその組み合せの形態で与えられる。例えば、クライアントは、それらの装置へ挿入するための非標準的プロトコルを含むPCMCIAカードを購入してもよい。PCMCIAカードが、所定の時間中エリアネットワークの使用を許すか、又は少なくとも、ネットワークのクライアント使用を監視するものである場合には、どのクライアントがエリアネットワークの使用を許可されたか及びその使用の期間の両方に対して制御及び監視を行うことができる。アクセスポイント装置又はACに設けられるフィルタ手段は、クライアント装置の送信が、許可されたPCMCIAカードを使用するクライアント装置からのものであるかどうか分析するように変更されてもよい。
【0026】
アクセスポイント装置は、それが異なるデータパケット送信フォーム間を区別できる場合には、前方送信に対してあるデータパケットを選択的に変更し、そして他のデータパケットをネットワーク送信から選択的に除外するように構成されるのが効果的である。従って、この実施形態は、例えば、ブロードキャスト送信を識別して、それをネットワーク送信から除外し、そして限定されたネットワーク装置に向けられるユニキャスト送信を識別し、そしてこのデータパケットを、許可されたネットワーク装置へ向けられるようにコンフィギュレーションすることができる。例えば、ダイナミックホストコンフィギュレーションプロトコル(DHCP)データパケットは、データパケットが、UDPをカプセル化するIPパケットであり、且つ行先ポートフィールドが値67を含むことを観察することにより確認することができ、従って、このプロトコルを用いて確認されたデータパケットは、ネットワークへのアクセスが許される。ある送信フォームに対してネットワークへのアクセスを許可するか拒絶するかは、クライアント装置がデータパケットを発信したときに基礎となった選択を含むローカルポリシー事項をベースとしている。従って、全ての又は幾つかの送信フォームを特定の装置から除外することができる。
【0027】
変形態様においては、アクセスポイント装置は、クライアント装置からの特定フォームのデータパケット送信に応答し及び/又は非許可の(限定された)ネットワーク装置を行先とするデータパケットに応答して、クライアント装置へ返答データパケットを返送するように構成される。例えば、アクセスポイント装置は、適当なターゲットリンク層アドレスを使用して、プロキシーARP返答送信を、ARP要求送信を発信したクライアント装置へ返送すると同時に、ARP要求をネットワークへ転送しないようにする。ターゲットリンク層アドレスは、許可されたネットワーク装置に対応するので、更に別のクライアント送信は、適当なリンク層アドレスを有する許可されたネットワーク装置に向けられたユニキャスト送信でなければならない。或いは又、アクセスポイント装置は、そのような送信フォームがエリアネットワークにおいて許されないか又は限定されることをクライアントに通知する返答データパケットを単に送信するように構成されてもよい。
【0028】
アクセスポイント装置は、ネットワーク装置、好ましくは、限定されたネットワーク装置に代わって応答するように構成される。アクセスポイント装置は、限定されたネットワーク装置に関するクライアントデータパケットに応答して、1つ以上の許可されたネットワーク装置のマッピング情報をクライアント装置に供給するように構成されたセキュリティ手段を備えている。
限定されたネットワーク装置に関するクライアントデータパケットは、1つ以上の限定された装置に特にアドレスされたクライアントデータパケットに制限されず、限定されたネットワーク装置(及びおそらく許可されたネットワーク装置)により受信されるクライアントデータパケット、例えば、ARP要求の場合にはブロードキャスト送信を含む。
【0029】
より詳細には、セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答して、ARP送信をクライアント装置に返送するように構成される。
アクセスポイント装置は、クライアント装置からのARP要求に応答して、プロキシーARP返答送信をクライアント装置に返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む。リンク層アドレスは、MACアドレスでもよい。
【0030】
セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成されるのが好ましい。
別の実施形態では、アクセスポイント装置は、該アクセスポイント装置が特定の送信フォームを転送すべきかどうかについてクライアント装置から許可を求めるように構成され、そして肯定の場合に、アクセスポイント装置は、このような送信を転送するように構成される。又、許可を求めることは、特定のクライアント装置から送信を送出するための許可でもある。従って、アクセスポイント装置は、クライアントの希望に基づいてそのローカルプライバシーポリシーを適応させることができる。許可を求め及び/又は送信を転送することは、ACのような許可されたネットワーク装置により行うことができる。
【0031】
別の実施形態では、セキュリティ手段は、データパケットの特性を考慮し、そしてこの特性に基づいて、特定の許可されたエリアネットワーク装置へ向けるようにデータパケットをコンフィギュレーションするよう構成される。従って、この実施形態は、データパケットの特性に基づいてデータパケットの行先を区別的に変更する。このような特性は、各クライアント装置に対する独特の分類子(例えば、MACアドレス)を含み、特定のクライアント装置からの全ての送信が、特定の許可されたネットワーク装置へ向けられるようにする。この態様では、特定のクライアント装置による使用に関する全ての情報を1つの特定位置に向けることができ、この情報を多数の異なる許可されたネットワーク装置から後で照査する必要はない。
【0032】
更に別の実施形態では、セキュリティ手段は、特定時間内に特定の許可されたネットワーク装置へ送信される送信量を監視し、そしてその時間内に特定の許可されたネットワーク装置へ送信される送信量に基づいて異なる許可されたネットワーク装置へデータパケットを向け直すように構成される。このような構成は、ネットワーク全体にわたってリソースを共用することを許し、従って、特定の許可されたネットワーク装置が過負荷になったり過少利用になったりすることはない。又、アクセスポイント装置は、互いに通信し及び/又は許可されたネットワーク装置と通信して、最適なリソース共用を決定するように構成することもできる。
【0033】
別の特徴において、本発明は、ネットワーク装置、好ましくは、限定されたネットワーク装置に代わって返答するように構成されたアクセスポイント装置を提供する。好ましくは、本発明は、1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、限定されたネットワーク装置に関するクライアントデータパケットに応答してクライアント装置へ1つ以上の許可されたネットワーク装置のマッピング情報を与えるように構成されたセキュリティ手段を備えたことを特徴とするアクセスポイント装置を提供する。
【0034】
上述したように、限定されたネットワーク装置に関するクライアントデータパケットは、1つ以上の限定された装置に特にアドレスされたクライアントデータパケットに制限されず、限定されたネットワーク装置により受信されるクライアントデータパケット、例えば、ブロードキャスト送信を含んでもよい。
一実施形態では、セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置にARP送信を返送するように構成される。
【0035】
好ましくは、セキュリティ手段は、クライアント装置からのARP要求に応答してクライアント装置へプロキシーARP返答送信を返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む。リンク層アドレスは、MACアドレスでよい。
好ましくは、セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成される。
【0036】
本発明は、ハードウェア、ソフトウェア又はその組合せで実施することができる。更に、上述した公知解決策の幾つか又は全部に関連して使用することもできる。例えば、アクセスポイント装置は、パスワードエントリーにより及び/又はデータパケットに含まれたクライアント装置分類子のチェックにより、クライアント装置を最初に許可するための許可手段を備えるように構成される。この許可手段が、データパケット、又はより一般的には、クライアント装置が、ネットワークにより確認された(即ち、クライアント装置がエリアネットワークへのアクセスが許可された)ことを識別する場合に、データパケットがセキュリティ手段へ転送される。
【0037】
又、本発明は、エリアネットワークにセキュリティを与える全ての対応する方法、及びアクセスポイント装置を備えたエリアネットワークも包含する。本発明の上述した及び以下に述べる実施形態の組み合せも全て本発明の範囲内に包含される。
以下、添付図面を参照して、本発明の特定の実施形態を詳細に説明する。
【発明を実施するための最良の形態】
【0038】
図1及び2には、典型的なWLANの一部分1が示されている。WLANは、カバレージエリア21を各々有する多数のアクセスポイント装置20を備え、これらのアクセスポイント装置は、カバレージエリアにわたり、1つ以上のクライアント装置25(例えば、ラップトップコンピュータ)との間で情報をやり取りすることができる。隣接するカバレージエリア21は重畳し、そしてエリアネットワークは、1つのクライアント装置25がローミングして、エリアネットワークから切断されずに隣接カバレージエリア21へ移動できるように構成される。
【0039】
アクセスポイント装置20の各々は、共通の送信ライン30に接続される。ネットワークへのアクセスを制御するように設計されたアクセスコントローラ40は、送信ライン30の長さに沿った種々の位置において送信ライン30に接続される。それらは、本質的に、送信ライン30に沿ってクライアント装置25との間で情報をやり取りすることによりエリアネットワークの他部分(図示せず)に対してゲートウェイとして機能する。又、それらは、隣接するアクセスポイント装置20間でクライアント装置25のローミングを許すようにネットワークをコンフィギュレーションするのにも使用される。
【0040】
現在、同じアクセスポイント装置20に接続されたクライアント装置25は、アクセスコントローラ40により送信が遮られることなく、共通のアクセスポイント25を経て互いに通信することができる(図1、経路A)。このような通信は、ユニキャスト、マルチキャスト又はブロードキャスト送信により行われる。又、隣接するアクセスポイント装置20に接続されたクライアント装置25は、この場合も、アクセスコントローラ40により送信が遮られることなく、ユニキャスト、マルチキャスト又はブロードキャスト送信により互いに通信することができる(図1、経路B)。例えば、ARPブロードキャストの場合には、データパケットは、WLANに接続された全ての装置25にブロードキャストされる。データパケットは、送信者が通信の際に関心のあるIPアドレスを含む。ほとんどの装置25は、データパケットを無視する。しかしながら、ターゲット装置25は、データパケットのIPアドレスをそれ自身で確認し、そして応答を返送する。
【0041】
本発明の目的は、通信を、許可されたネットワーク装置のみに限定し、特に、通信経路A及びB(図1)に沿って送られる送信に限定することである。又、クライアント装置25とアクセスコントローラ40との間の通信経路C、D(図2)に沿った送信にも、ある限定が適用される。
アクセスポイント装置20は、1つ以上のクライアント装置25からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成される。アクセスポイント装置20は、更に、クライアントデータパケットが1つ以上の許可されたエリアネットワーク装置、この場合には、アクセスコントローラ40のみに向けられるように、クライアントデータパケットをコンフィギュレーションするよう構成される。これを行う1つの方法は、アクセスコントローラ40の行先アドレスをデータパケットに追加することである。別の方法は、データパケットの行先アドレスをアクセスコントローラ40の行先アドレスに置き換えることである。後者の方法は、ネットワーク限定された装置に向けられたユニキャスト送信を、許可されたネットワーク装置へ向け直すのに特に有用であり、そして到来するクライアントデータパケットの送信フォームを考慮するように更に構成されたアクセスポイント装置20と特に組み合せて、本発明を実施する好ましい方法である。従って、データパケットが、許可されたアクセスコントローラ40に向けられたユニキャスト送信である場合には、アクセスポイント装置20は、再コンフィギュレーションせずにクライアントデータパケットを転送するように構成される。しかしながら、データパケットがユニキャスト送信フォームでないか、又はネットワーク限定された装置へのユニキャスト送信である場合には、アクセスポイント装置20は、ローカルポリシー事項に基づいてこのような送信のアクセスを制限するように構成され、例えば、ある場合には、許可されたクライアント装置25からのブロードキャスト送信が許されるようにしてもよい。
【0042】
データパケットが、ネットワーク許可されたアクセスコントローラ40を行先とするかどうか決定するために、アクセスポイント装置20は、ネットワーク許可された装置のアドレス(例えば、IPアドレス又はMACアドレス)のリストを備え、これは、多数の許可されたアクセスコントローラ40のアドレスを含む。この情報は、周期的に変化し、それ故、アクセスポイント装置20は、この情報を更新できるように構成される。このようなアクセスポイント装置20は、ネットワークにアクセスすることが許可されたクライアント装置25、即ちネットワークにより確認されたクライアント装置に対応するクライアント装置MACアドレスのリストを含むように変更できる。この情報も周期的に変化し、従って、アクセスポイント装置20は、このリストを周期的に更新するように更に構成される。
【0043】
このような変更された装置のオペレーションにおいて、アクセスポイント装置20は、データパケットが、ネットワーク確認されたクライアント装置25のMACアドレスを含むかどうか最初に考慮する。データパケットが、ネットワーク確認されたクライアント装置からのものである場合には、アクセスポイント装置20は、データパケットの行先を更に考える。次いで、データパケットが正しいフォーム(例えば、ユニキャスト)であり、そして許可されたアクセスコントローラ40へ向けられる場合には、データパケットがアクセスコントローラ40へ転送される。
【0044】
異なるデータパケット送信フォーム間を区別する1つの態様において、アクセスポイント装置20は、クライアントデータパケットが比較されるところの多数のデータフィールドのリストも備えている。このデータフィールドは、MACマルチキャストアドレス、プロトコルヘッダオフセット位置、プロトコルヘッダマスクバイト、及びプロトコルヘッダ一致バイトを含む。このようなケースでは、アクセスポイント装置20は、これらフィールドを受信データパケットのフィールドとクロスチェックし、そしてその分析に基づいて、データパケットで何を行うか決定するように構成される。例えば、異なるデータパケットフィールドを分析することにより、アクセスポイント装置20は、ブロードキャスト、マルチキャスト及びDHCPデータパケット間を区別し、そしてそれに応じて、全てのブロードキャスト及びマルチキャスト送信をデフォールトにより破棄するが、DHCPパケットをローカルDHCPサーバーへ転送するように構成できる。
【0045】
クライアントデータパケットのフォーム及びデータパケットの元の行先をこのように考慮することを開発し、更に別の実施形態を形成することができる。これは、オリジナルデータパケットのフォーム及び行先に基づいて前方ネットワーク送信のためにクライアント装置データパケットを区別的に変更できるようにアクセスポイント装置20を構成することを含む。従って、例えば、アクセスポイント装置20は、ネットワーク限定されたアクセスコントローラ40又は別のクライアント装置25に向けられたユニキャストデータパケットを、再コンフィギュレーションし、従って、許可されたアクセスコントローラ40へ向け直すことができると共に、ネットワークアクセスを一般的にブロードキャスト送信に対して限定することもできる。
【0046】
データパケットの変更は、ブロードキャスト送信からユニキャスト送信を発生する形態をとってもよい。例えば、クライアント装置25からのARPブロードキャストのケースでは、アクセスポイント装置20は、アクセスコントローラ40のIPアドレス(又はMACアドレス)を含むようにデータパケットを再コンフィギュレーションするよう構成される。従って、送信は、許可されたアクセスコントローラ40のみに向けられ、一般的に、エリアネットワーク全体にわたるブロードキャストではない。本質的に、アクセスポイント装置20は、ブロードキャスト送信をユニキャスト送信にコンフィギュレーションする。あるケースでは、アクセスコントローラ40は、ARPブロードキャストが許可されたクライアント装置25から送信されたものであるかどうか考慮し、そのようなケースでは、ブロードキャスト送信をエリアネットワーク全体にわたって転送するように構成される。アクセスコントローラ40は、もちろん、エリアネットワーク全体にわたってデータパケットを送信する前にデータパケットからアクセスコントローラのアドレスを除去することが必要とされる。
【0047】
ある実施形態では、アクセスポイント装置20は、クライアント装置25からのARP要求に応答してクライアント装置25へプロキシーARP送信を返送するように構成される。このように、アクセスポイント装置20は、別の装置、即ちクライアント装置25が通信しようとしていた装置に代わって、応答する。このような構成の一例においては、アクセスポイント装置20は、WLANインターフェイスを経て受信したブロードキャストARPパケットを転送しないように構成される。むしろ、アクセスポイント装置20は、受信した全てのブロードキャストARPパケットを破棄するが、適当なルーター、この場合には、アクセスコントローラ40の適当なターゲットリンク層アドレスを使用して、受信ARP要求に対するプロキシー応答を送信する。これは、クライアント装置25がターゲットリンク層アドレスを安全に分析できるようにする。
【0048】
又、WLANの布線部分におけるルーター及び他のサーバーは、WLANクライアント装置25のターゲットリンク層アドレスを分析することも必要である。これは、ARPingを使用して便利に実行される。この場合に、アクセスポイント装置20は、これらのARP要求をクライアント装置25に転送するように構成される。クライアントは、それに対応するARP返答をユニキャスト送信により、許可されたリンク層アドレスへ送信するので、アクセスポイント装置20は、それらを他のユニキャストデータパケットと同様に転送する。しかしながら、クライアント装置25がARP要求に応答してユニキャストARP返答を送信できるようにするだけで、更に良好なセキュリティを達成することができる。これは、悪意のあるユーザが、余計な偽のユニキャストARP返答(例えば、無料ARP)をローカルルーター及びサーバーへ送信して、それらのARPテーブルを変更するのを防止する。
【0049】
別の実施形態では、アクセスポイント装置20は、データパケットを多数の異なるアクセスコントローラ40へ送信できるように構成されると共に、リソース共用又は勘定要求のようなローカルポリシー事項に基づいてデータパケットをどのアクセスコントローラ40に送信すべきか決定するように構成される。例えば、アクセスポイント装置20は、特定のアクセスコントローラ40へ送信される送信の数を監視するように構成され、そしてアクセスコントローラ40が過負荷状態になったと考えられる場合に、アクセスポイント装置20は、送信を異なるアクセスコントローラ40へ向け直すように構成される。又、アクセスポイント装置20は、クライアントデータパケットに含まれたMACアドレスを考慮し、そしてこのMACアドレスを含む全ての送信を1つの特定のアクセスコントローラ40へ転送するように構成されてもよい。
【0050】
要約すれば、本発明は、クライアント装置25間の直接的な通信を有効に阻止しながら、クライアント装置25と1つ以上の許可されたネットワーク装置(例えば、アクセスコントローラ40)との間に許可された通信を維持できるようにする手段を提供する。データが、許可されたネットワーク装置をバイパスせず、常にそれらに転送される場合には、口座の使用を追跡するための正確な勘定メカニズムを提供することができる。又、全てのネットワーク送信がネットワークの許可されたエリアに特に向けられることにより、ネットワークアーキテクチャーの高い設計自由度も可能とされる。本発明は、データパケットの行先をベースとする解決策を提供することに注意されたい。これは、データパケットのソースを考慮した公知技術と対照的である。更に、本発明は、異種の公知解決策に伴う多数のセキュリティ問題に便利に且つ簡単に対処するものである。
【図面の簡単な説明】
【0051】
【図1】WLANの一部分を示す図で、本発明によりWLANとインターフェイスするクライアント装置を示すと共に、クライアント装置とWLANの一部分との間の閉じた送信経路を示す図である。
【図2】図1の構成を示す図で、本発明によりクライアント装置とWLANの一部分との間に許可された機密送信経路を示す図である。

Claims (38)

  1. 1つ以上のクライアント装置からデータパケットを受信しそしてそれらをエリアネットワークに沿って送信するように構成されたアクセスポイント装置において、上記クライアントのデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションするよう構成されたセキュリティ手段を備えたことを特徴とするアクセスポイント装置。
  2. 上記セキュリティ手段は、ネットワークに沿って送信するためにデータパケットを完全に再生しそしてその再生されたデータパケットに許可されたエリアネットワーク装置の独特の分類子を含ませるように構成された請求項1に記載のアクセスポイント装置。
  3. 上記セキュリティ手段は、許可されたエリアネットワーク装置の独特の分類子、例えば、許可されたエリアネットワーク装置のMACアドレス又はIPアドレスを、上記クライアントデータパケットに代入/挿入するように構成された請求項1に記載のアクセスポイント装置。
  4. 上記セキュリティ手段は、上記クライアントデータパケットの行先を考慮するように構成され、そして上記データパケットを、それが限定されたネットワーク装置へ向けられる場合にのみコンフィギュレーションするよう構成された請求項1ないし3のいずれかに記載のアクセスポイント装置。
  5. 上記セキュリティ手段は、許可されたネットワーク装置に対する分類子のリストを備え、そして上記セキュリティ手段は、上記クライアントデータパケットの行先を上記リストと比較し、そして上記クライアントデータパケットが限定されたネットワーク装置の分類子を含む場合には許可された装置へと前方へ送信するように上記クライアントデータパケットを再コンフィギュレーションする請求項4に記載のアクセスポイント装置。
  6. 上記セキュリティ手段は、データパケットをその後に転送できるようにデータパケットの1つ又は複数のオリジナル行先アドレスも転送するように構成された請求項1ないし5のいずれかに記載のアクセスポイント装置。
  7. 上記セキュリティ手段は、異なるデータパケットフォーム間を区別し、そして種々のデータパケットフォームを、許可されたネットワーク装置に向けられるように区別的に変更するよう構成された請求項1ないし6のいずれかに記載のアクセスポイント装置。
  8. 上記セキュリティ手段は、クライアントデータパケットのデータフィールド又はデータフィールドの一部分を、上記セキュリティ手段に記憶されたネットワーク許容送信フォームと比較することによりデータパケット送信フォーム間を区別するように構成され、そして上記セキュリティ手段は、許可されたネットワーク装置に送信フォームを向けるようにクライアントデータパケットに対する適当な変更を行うように更に構成された請求項7に記載のアクセスポイント装置。
  9. 上記セキュリティ手段は、異なる送信フォームを分析し、そして同じ構造及び全体的データパケット長さでネットワークにデータパケットを与えるようにこれら異なるフォームの各々を適応させる請求項8に記載のアクセスポイント装置。
  10. 上記セキュリティ手段は、上記データパケットにデータフィールドを挿入することによりクライアントデータパケットを変更するように構成された請求項1ないし9のいずれかに記載のアクセスポイント装置。
  11. 上記セキュリティ手段は、工業規格プロトコルを使用するデータパケットをネットワーク特有のプロトコルへ及びそれとは逆にコンフィギュレーションするように構成された請求項10に記載のアクセスポイント装置。
  12. 上記セキュリティ手段は、前方へ送信するようにあるデータパケットを選択的に変更し、そして他のデータパケットをネットワーク送信から選択的に除外するように構成された請求項7に記載のアクセスポイント装置。
  13. 上記セキュリティ手段は、クライアント装置からの特定フォームのデータパケット送信に応答し及び/又は限定されたネットワーク装置を行先とするデータパケットに応答して、クライアント装置へ返答データパケットを返送するように構成された請求項12に記載のアクセスポイント装置。
  14. 上記セキュリティ手段は、特定の送信フォームを識別するのに応答して、その特定の送信フォームがエリアネットワークにおいて許可されないか又は限定されたことをクライアントに通知する返答データパケットを送信するように構成された請求項12に記載のアクセスポイント装置。
  15. 上記セキュリティ手段は、アクセスポイント装置が特定の送信フォームを転送すべきかどうかについてクライアント装置に許可フォームを求めるように構成され、そして肯定の場合には、上記アクセスポイント装置は、このような送信を転送するように構成された請求項7に記載のアクセスポイント装置。
  16. 上記アクセスポイント装置は、ネットワーク装置に代わって返答するように構成された請求項1に記載のアクセスポイント装置。
  17. 上記ネットワーク装置は、限定されたネットワーク装置である請求項16に記載のアクセスポイント装置。
  18. 上記アクセスポイント装置は、限定されたネットワーク装置に関するクライアントデータパケットに応答してクライアント装置に1つ以上の許可されたネットワーク装置のマッピング情報を与えるように構成されたセキュリティ手段を備えた請求項1ないし17のいずれかに記載のアクセスポイント装置。
  19. 上記セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置へARP送信を返送するように構成された請求項18に記載のアクセスポイント装置。
  20. 上記セキュリティ手段は、クライアント装置からのARP要求に応答してクライアント装置へプロキシーARP返答送信を返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む請求項18又は19の記載のアクセスポイント装置。
  21. 上記リンク層アドレスは、MACアドレスである請求項20に記載のアクセスポイント装置。
  22. 上記セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成された請求項1ないし21のいずれかに記載のアクセスポイント装置。
  23. 上記セキュリティ手段は、データパケットの特性を考慮し、そしてその特性に基づいて、データパケットを、特定の許可されたエリアネットワーク装置へ向けるようにコンフィギュレーションする請求項1ないし22のいずれかに記載のアクセスポイント装置。
  24. 上記セキュリティ手段は、特定の時間内に特定の許可されたネットワーク装置へ送信される送信量を監視し、そしてその時間内に特定の許可されたネットワーク装置へ送信される送信量に基づいて異なる許可されたネットワーク装置へデータパケットを向け直すように構成された請求項1ないし23のいずれかに記載のアクセスポイント装置。
  25. 上記アクセスポイント装置により受信されるクライアントデータパケットは、標準プロトコルに適合するプロトコルフィールドを備え、そして上記セキュリティ手段は、1つ以上のプロトコルフィールドのコンテンツを変更し、依然として標準プロトコルに適合する変更されたクライアントデータパケットを発生するように構成された請求項1に記載のアクセスポイント装置。
  26. 上記アクセスポイント装置により受信されるクライアントデータパケット及び上記変更されたクライアントデータパケットは、同じ標準的プロトコルに適合する請求項25に記載のアクセスポイント装置。
  27. 上記アクセスポイント装置により受信されるクライアントデータパケット及び上記変更されたクライアントデータパケットは、異なる標準的プロトコルに適合する請求項25に記載のアクセスポイント装置。
  28. エリアネットワークにセキュリティを与える方法であって、1つ以上のクライアント装置からデータパケットを受信し、そしてそれらをエリアネットワークに沿って送信するよう構成することを含む方法において、上記クライアントのデータパケットが1つ以上の許可されたエリアネットワーク装置のみに向けられるようにそれらクライアントデータパケットをコンフィギュレーションすることを特徴とする方法。
  29. 1つ以上のクライアント装置からデータパケットを受信し、そしてそれらをエリアネットワークに沿って送信するよう構成されたアクセスポイント装置において、ネットワーク装置に代わって応答するように構成されたことを特徴とするアクセスポイント装置。
  30. 上記ネットワーク装置は、限定されたネットワーク装置である請求項29に記載のアクセスポイント装置。
  31. 上記アクセスポイント装置は、限定されたネットワーク装置に関するクライアントデータパケットに応答してクライアント装置へ1つ以上の許可されたネットワーク装置のマッピング情報を与えるように構成されたセキュリティ手段を備えた請求項30に記載のアクセスポイント装置。
  32. 上記セキュリティ手段は、限定されたネットワーク装置を行先とするデータパケットに応答してクライアント装置へARP送信を返送するように構成された請求項31に記載のアクセスポイント装置。
  33. 上記セキュリティ手段は、クライアント装置からのARP要求に応答してクライアント装置へプロキシーARP返答送信を返送するように構成され、このプロキシーARP返答は、1つ以上の許可されたネットワーク装置のリンク層アドレスを含む請求項31又は32の記載のアクセスポイント装置。
  34. 上記リンク層アドレスは、MACアドレスである請求項33に記載のアクセスポイント装置。
  35. 上記セキュリティ手段は、許可されたARP要求に応答してクライアント装置からユニキャストARP返答を受け入れるように構成された請求項1ないし34のいずれかに記載のアクセスポイント装置。
  36. 請求項1ないし35のいずれかに記載のアクセスポイント装置を備えたエリアネットワーク。
  37. 請求項1ないし35のいずれかに記載のアクセスポイント装置を備えた公衆エリアネットワーク。
  38. 上記エリアネットワークは、公衆エリアネットワークである請求項1ないし37のいずれかに記載のアクセスポイント装置。
JP2003501909A 2001-06-07 2002-05-30 エリアネットワークにおけるセキュリティ Expired - Fee Related JP3780282B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB0113902.1A GB0113902D0 (en) 2001-06-07 2001-06-07 Security in area networks
PCT/GB2002/002557 WO2002100062A2 (en) 2001-06-07 2002-05-30 Security in area networks

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2005289762A Division JP2006087132A (ja) 2001-06-07 2005-10-03 エリアネットワークにおけるセキュリティ

Publications (2)

Publication Number Publication Date
JP2004533778A true JP2004533778A (ja) 2004-11-04
JP3780282B2 JP3780282B2 (ja) 2006-05-31

Family

ID=9916125

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2003501909A Expired - Fee Related JP3780282B2 (ja) 2001-06-07 2002-05-30 エリアネットワークにおけるセキュリティ
JP2005289762A Pending JP2006087132A (ja) 2001-06-07 2005-10-03 エリアネットワークにおけるセキュリティ

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2005289762A Pending JP2006087132A (ja) 2001-06-07 2005-10-03 エリアネットワークにおけるセキュリティ

Country Status (12)

Country Link
US (1) US20040255033A1 (ja)
EP (2) EP1605636B1 (ja)
JP (2) JP3780282B2 (ja)
CN (2) CN101072151A (ja)
AT (2) ATE413760T1 (ja)
AU (1) AU2002304516A1 (ja)
CA (2) CA2512658C (ja)
DE (2) DE60229738D1 (ja)
GB (3) GB0113902D0 (ja)
RU (2) RU2316129C2 (ja)
WO (1) WO2002100062A2 (ja)
ZA (1) ZA200308956B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054961A (ja) * 2005-03-25 2012-03-15 Alcatel-Lucent Usa Inc 無線ネットワークのためのシームレス・ローミングの方法および装置

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1604490B1 (de) 2003-03-10 2016-02-03 Deutsche Telekom AG Verfahren und anordnung zum externen steuern und verwalten wenigstens eines einem lokalen funknetz zugeordneten wlan-teilnehmers
US7400621B2 (en) 2003-03-11 2008-07-15 Conexant, Inc. Technique for achieving connectivity between telecommunication stations
MXPA05009877A (es) * 2003-03-14 2006-02-28 Thomson Licensing Una arquitectura de punto de acceso a wlan flexible capaz de ordenar diferentes dispositivos del usuario.
US7330456B2 (en) * 2003-12-19 2008-02-12 Mediatek, Inc. Method and apparatus for wireless relay within a network environment
US7477894B1 (en) * 2004-02-23 2009-01-13 Foundry Networks, Inc. Methods and apparatus for handling wireless roaming among and across wireless area networks
EP1730882A2 (en) * 2004-03-17 2006-12-13 Telefonaktiebolaget LM Ericsson (publ) Vlan mapping for multi-service provisioning
US7496094B2 (en) * 2004-04-06 2009-02-24 Airtight Networks, Inc. Method and system for allowing and preventing wireless devices to transmit wireless signals
US20060165073A1 (en) * 2004-04-06 2006-07-27 Airtight Networks, Inc., (F/K/A Wibhu Technologies, Inc.) Method and a system for regulating, disrupting and preventing access to the wireless medium
EP1886473A1 (en) 2005-05-23 2008-02-13 Telefonaktiebolaget LM Ericsson (publ) Method and system for local peer-to-peer traffic
US20060288411A1 (en) * 2005-06-21 2006-12-21 Avaya, Inc. System and method for mitigating denial of service attacks on communication appliances
EP1850560B1 (en) * 2006-04-28 2010-01-20 Research In Motion Limited Methods, computer program product, mobile communication device and system for reducing power consumption for mobile devices using broadcast-to-unicast message conversion
US7953457B2 (en) 2006-04-28 2011-05-31 Research In Motion Limited Methods and apparatus for reducing power consumption for mobile devices using broadcast-to-unicast message conversion
EP1868354A1 (en) * 2006-06-12 2007-12-19 Research In Motion Limited System and method for handling address resolution protocol requests
DE102006038591B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US8302179B2 (en) 2006-12-13 2012-10-30 Avaya Inc. Embedded firewall at a telecommunications endpoint
KR100992968B1 (ko) * 2007-04-06 2010-11-08 삼성전자주식회사 네트워크 스위치 및 그 스위치의 주소충돌방지방법
WO2010046977A1 (ja) * 2008-10-22 2010-04-29 富士通株式会社 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法
US8478854B2 (en) * 2009-05-14 2013-07-02 Avaya Inc. Tolerant device licensing in a distributed environment
FR2951897B1 (fr) 2009-10-23 2016-09-16 Sagem Securite Dispositif et procede de gestion des droits d'acces a un reseau sans fil
RU2453917C1 (ru) * 2010-12-30 2012-06-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для оптимизации выполнения антивирусных задач в локальной сети
US9077772B2 (en) * 2012-04-20 2015-07-07 Cisco Technology, Inc. Scalable replay counters for network security
EP3437303A4 (en) * 2016-04-01 2019-10-02 Nokia Technologies Oy METHOD, DEVICES AND COMPUTER PROGRAM PRODUCT FOR DATA DISTRIBUTION
CN109661015B (zh) * 2018-12-10 2021-01-19 杭州全维技术股份有限公司 一种实现不同厂商的无线控制器数据共享的方法
US10523549B1 (en) * 2019-06-02 2019-12-31 Cybertoka Ltd Method and system for detecting and classifying networked devices

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5124984A (en) * 1990-08-07 1992-06-23 Concord Communications, Inc. Access controller for local area network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5920699A (en) * 1996-11-07 1999-07-06 Hewlett-Packard Company Broadcast isolation and level 3 network switch
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6130892A (en) * 1997-03-12 2000-10-10 Nomadix, Inc. Nomadic translator or router
US6047325A (en) * 1997-10-24 2000-04-04 Jain; Lalit Network device for supporting construction of virtual local area networks on arbitrary local and wide area computer networks
US6154839A (en) * 1998-04-23 2000-11-28 Vpnet Technologies, Inc. Translating packet addresses based upon a user identifier
US6253326B1 (en) * 1998-05-29 2001-06-26 Palm, Inc. Method and system for secure communications
US6473413B1 (en) * 1999-06-22 2002-10-29 Institute For Information Industry Method for inter-IP-domain roaming across wireless networks
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
WO2001006726A2 (en) * 1999-07-15 2001-01-25 Sun Microsystems, Inc. Secure network switch
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
CN1158816C (zh) * 1999-09-07 2004-07-21 诺基亚公司 用于在分组网中执行法定截收的方法和系统
AU773884B2 (en) * 1999-11-03 2004-06-10 Cisco Technology, Inc. Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure
TW453070B (en) * 2000-01-17 2001-09-01 Accton Technology Corp Wireless network communication system and method with double packet filtering function
GB2358761B (en) * 2000-01-25 2002-03-13 3Com Corp Multi-port network communication device with selective mac address filtering
US6880090B1 (en) * 2000-04-17 2005-04-12 Charles Byron Alexander Shawcross Method and system for protection of internet sites against denial of service attacks through use of an IP multicast address hopping technique
US7185360B1 (en) * 2000-08-01 2007-02-27 Hereuare Communications, Inc. System for distributed network authentication and access control
US7046680B1 (en) * 2000-11-28 2006-05-16 Mci, Inc. Network access system including a programmable access device having distributed service control
US20020101848A1 (en) * 2000-12-05 2002-08-01 Ivan Lee Systems and methods for on-location, wireless access of web content
US20020107961A1 (en) * 2001-02-07 2002-08-08 Naoya Kinoshita Secure internet communication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012054961A (ja) * 2005-03-25 2012-03-15 Alcatel-Lucent Usa Inc 無線ネットワークのためのシームレス・ローミングの方法および装置

Also Published As

Publication number Publication date
WO2002100062A3 (en) 2003-05-22
US20040255033A1 (en) 2004-12-16
RU2004100231A (ru) 2005-06-10
EP1393522B1 (en) 2008-11-05
EP1393522A2 (en) 2004-03-03
RU2280333C2 (ru) 2006-07-20
ATE413760T1 (de) 2008-11-15
EP1605636A1 (en) 2005-12-14
RU2005132301A (ru) 2007-04-27
CA2512658A1 (en) 2002-12-12
GB2379124A (en) 2003-02-26
EP1605636B1 (en) 2011-05-04
DE60229738D1 (de) 2008-12-18
GB0212531D0 (en) 2002-07-10
JP2006087132A (ja) 2006-03-30
GB0419741D0 (en) 2004-10-06
GB2403095A (en) 2004-12-22
JP3780282B2 (ja) 2006-05-31
ZA200308956B (en) 2004-07-20
DE60144584D1 (de) 2011-06-16
CA2449297A1 (en) 2002-12-12
GB2379124B (en) 2004-12-08
CN101072151A (zh) 2007-11-14
CN1545789B (zh) 2010-04-28
WO2002100062A2 (en) 2002-12-12
CN1545789A (zh) 2004-11-10
ATE508559T1 (de) 2011-05-15
GB0113902D0 (en) 2001-08-01
GB2403095B (en) 2005-07-27
RU2316129C2 (ru) 2008-01-27
AU2002304516A1 (en) 2002-12-16
CA2512658C (en) 2009-07-28

Similar Documents

Publication Publication Date Title
JP3780282B2 (ja) エリアネットワークにおけるセキュリティ
EP0986229B1 (en) Method and system for monitoring and controlling network access
TWI395435B (zh) 開放網路連接
US7325248B2 (en) Personal firewall with location dependent functionality
US7743158B2 (en) Access network dynamic firewall
US20070153794A1 (en) Method and Apparatus for Transferring a Communicaton Session
US20070127500A1 (en) System, device, method and software for providing a visitor access to a public network
EP1615405A2 (en) Power saving in wireless packet based networks by selective broadcast filtering
EP1393520B1 (en) Security in area networks
US20040030765A1 (en) Local network natification
CN112889255A (zh) 将公共wifi热点扩展到私有企业网络
US7024686B2 (en) Secure network and method of establishing communication amongst network devices that have restricted network connectivity
US20010037384A1 (en) System and method for implementing a virtual backbone on a common network infrastructure
Cisco Appendix B : Web Cache Communication Protocol Version 2
CN117201153A (zh) 跨设备的访问控制方法及装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050711

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060220

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060306

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100310

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110310

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110310

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees