MXPA05006843A - Metodo y sistema para demostrar la operacion de redes inalambricas seguras. - Google Patents

Metodo y sistema para demostrar la operacion de redes inalambricas seguras.

Info

Publication number
MXPA05006843A
MXPA05006843A MXPA05006843A MXPA05006843A MXPA05006843A MX PA05006843 A MXPA05006843 A MX PA05006843A MX PA05006843 A MXPA05006843 A MX PA05006843A MX PA05006843 A MXPA05006843 A MX PA05006843A MX PA05006843 A MXPA05006843 A MX PA05006843A
Authority
MX
Mexico
Prior art keywords
user
network
clause
server
portable
Prior art date
Application number
MXPA05006843A
Other languages
English (en)
Inventor
E Horstman Robert
Original Assignee
Electronic Data Syst Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electronic Data Syst Corp filed Critical Electronic Data Syst Corp
Publication of MXPA05006843A publication Critical patent/MXPA05006843A/es

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

Estan descritas las tecnicas de demostracion de red las cuales permiten que sea implementada una red inalambrica segura y completamente operacional en una ubicacion del cliente. Usando solo un servidor de autentificacion portatil, una computadora laptop, y por lo menos dos puntos de acceso, una red inalambrica puede ser puesta en la ubicacion del cliente dentro de una materia de minutos, de manera que un usuario de un dispositivo de computacion portatil teniendo una tarjeta de interconexion de red apropiada sea capaz de vagar a traves de la ubicacion de cliente con el beneficio de una conexion inalambrica a uno de los puntos de acceso. La computadora laptop contiene un software que integra la funcionalidad de un servidor de seguridad, una base de datos de autentificacion de usuario, y otros componentes necesarios para implementar la red inalambrica. El usuario tambien puede ser capaz de comunicarse con la computadora laptop y el servidor de autentificacion desde lugares externos a la ubicacion del cliente, quizas usando una red de area amplia inalambrica o una red de area local inalambrica secundaria. Usando la demostracion de red y la informacion relacionada acerca del cliente, pueden ser generados estimados de costo exactos para la instalacion de una red inalambrica amplia de la compania.

Description

WO 2004/059945 Al 111)1 ¡([[Id! !i lll!il 1111! Il!l! H!il lili 11! III !!I!I illll !lll! IIEII lili Illllil !ltl HIÍ !Hl — as to the applicant's emitlement to claim tlie priority ofthe For two-letter codes and other abbreviations. refer lo the "Cuid- earller application (Rule4.17(iii)) for all designations ance Notes on Codes and Abbreviations" appearing at the begin- ning of each regular issue ofthe. PCT Gazette. Published: — with inlemational search report — before tlie expiration of tJie time limit for amending ihe claims and w be rep blished in the evera of receipi of amendments 1 MÉTODO Y SISTEMA PARA DEMOSTRAR LA OPERACIÓN DE REDES INALÁMBRICAS SEGURAS CAMPO TECNICO Esta descripción se refiere a redes de computadora y más particularmente a técnicas para demostrar la operación de las redes de computadora.
ANTECEDENTES Existen sistemas convencionales que permiten a un usuario el conectar una red o de otra manera comunicarse con otro usuario sin requerir una conexión alámbrica. Por ejemplo, las redes de área local inalámbrica ("LANs inalámbrica" o "WLANs") pueden permitir a una red de usuario dentro de un edificio el vagar o transitar a través del edificio con un dispositivo de computación portátil tal como una laptop o una computado sostenida en la mano, mientras que mantiene una conexión a la red. Las redes de área amplia inalámbricas algo similares ("WANs inalámbricas", o "WWANs") permiten a un usuario de red el conectarse a la red desde y/o transitar sobre un área mucho más amplia. Muchos otros ejemplos de redes inalámbricas existen. Sobre tal red está un "punto caliente" implementado en una colocación pública conveniente, tal como una tienda de café, para proporcionar a los usuarios (por ejemplo clientes de la tienda de café) con una conexión de red (por ejemplo Internet) . 2 Tales redes inalámbricas ofrecen facilidad de instalación y uso así como el potencial para ahorros sustanciales de costo a los administradores de usuarios de las redes .
SÍNTESIS De acuerdo a un aspecto general, un servidor de autentificación es transportado a una ubicación de cliente, en donde el servidor de autentificación es operado para implementar una política de seguridad específica de sesión y específica de usuario para la autentificación de un usuario. Un servidor de seguridad también es transportado a la ubicación de cliente en donde el servidor de cliente es operado para interactuar con el servidor de autentificación y una base de datos de usuario que almacena la información de autentificación específica de usuario para implementar la política de seguridad. Una lumbrera en el servidor de autentificación es activada, y el usuario es autentificado en la lumbrera sobre el servidor de autentificación, usando el servidor de seguridad y un primer dispositivo de computación portátil operado por el usuario.
Las implementaciones pueden incluir una o más de las siguientes características. Por ejemplo, el servidor de seguridad puede ser transportado mediante el integrar el servidor de seguridad y la base de datos de usuario sobre un segundo dispositivo de computación portátil. 3 En la integración del servidor de seguridad y de la base de datos de usuario, puede ser integrado una autoridad de certificado sobre el segundo dispositivo de computación portátil, en donde la autoridad de certificado es operada para proporcionar y validar un certificado digital para usarse en la implementación de la política de seguridad. También, un servidor de asignación de dirección de red puede ser integrado sobre el segundo dispositivo de computación portátil, en donde el servidor de asignación de dirección de red es operado para asignar una dirección de red al primer dispositivo de computación portátil .
Una primera ubicación de conexión y una segunda ubicación de conexión pueden ser obtenidas para la ubicación del cliente, y un primer punto de acceso inalámbrico y un segundo punto de acceso inalámbrico pueden ser transportados por la instalación a la primera ubicación de conexión y a la segunda ubicación de conexión, respectivamente, en donde el primer punto de acceso y el segundo punto de acceso están en comunicación con el servidor de seguridad.
En éste caso, el primer dispositivo de computación portátil puede ser operado para comunicarse con el primer punto de acceso inalámbrico, a través de una tarjeta de interconexión de red inalámbrica, cuando el primer dispositivo de computación portátil está adentro de una distancia predeterminada del primer punto de acceso inalámbrico. Además, el primer dispositivo de 4 computación portátil puede ser transportado a la ubicación de red con la tarjeta de interconexión de red preinstalada y preconfigurada . También, la tarjeta de interconexión de red puede ser instalada sobre el primer dispositivo de computación portátil, en donde el primer dispositivo de computación portátil es suministrado por el usuario.
La información de cliente puede ser obtenida, en donde la información de cliente incluye una dirección de red disponible y una información de autentificación de usuario asociada con el usuario, y la información de autentificación de usuario puede ser almacenada en la base de datos de usuario. La información de autentificación puede ser obtenida antes del transporte del servidor de autentificación y del servidor de seguridad a la ubicación del cliente . También, en la autentificación del usuario, el usuario puede ser autentificado con base en la dirección de red y la información de autentificación de usuario.
El tráfico de datos entre el usuario y el servidor de seguridad que es subsecuente a la autentificación de usuario puede ser codificado, usando una clave de codificación/decodificación. En éste caso la clave de codificación/decodificación puede ser cambiada después de un período predeterminado de tiempo. También, la clave de codificación/decodificación puede ser cambiada después de que se ha transmitido una cantidad predeterminada de tráfico de datos. 5 También la clave de codificación/decodificación puede ser cambiada con el comienzo de una nueva sesión por el usuario, en donde el comienzo de la nueva sesión puede ser definido por una terminación de una primera comunicación entre un usuario y un primer punto de acceso de comunicación con el servidor de seguridad y un comienzo de una segunda comunicación entre el usuario y un segundo punto de acceso comunicando con el servidor de seguridad.
El primer dispositivo de computación portátil puede mantener una conexión inalámbrica a un punto de acceso localizado en un sitio externo a la ubicación de cliente. El punto de acceso ubicado en el sitio externo puede ser una torre de emisión que implementa una red de área amplia inalámbrica. También, el punto de acceso localizado en el sitio central puede ser conectado al servidor de seguridad a través de una red de área amplia y a través de un dispositivo de compuerta en la ubicación del cliente.
El usuario puede ser autentificado en el servidor de seguridad a través de un dispositivo de compuerta localizado en la ubicación de cliente, mientras que el usuario está en una ubicación externa a la ubicación de cliente.
Un método automatizado para poner precio a una red inalámbrica potencial, con base en la red inalámbrica demostrada y usando una computadora programada con el software de hoja de 6 extensión, puede ser implementado. El método automatizado puede incluir el introducir un primer juego de datos que describe las características físicas de la ubicación del cliente en el software de esparcimiento de hoja, introducir un segundo juego de datos que describe las condiciones de red existentes en la ubicación del cliente en el software de extensión de datos, la introducción de un tercer juego de datos que describe las características deseadas de cliente de la red inalámbrica potencial en el software de hoja de extensión, y una estimación de costo para instalar la red inalámbrica potencial, con base en el primer juego de datos, en el segundo juego de datos y el tercer juego de datos.
De acuerdo a un aspecto general, un sistema para demostrar una red inalámbrica incluye un primer punto de acceso portátil, un segundo punto de acceso portátil, una base de datos que contiene una información de autentificación de usuario, un servidor de autentificación portátil que fuera para implementar una política de seguridad específica de sesión y especifica de usuario, un servidor de seguridad portátil que opera para interactuar con la base de datos y el servidor de autentificación portátil para activar una lumbrera sobre el servidor de autentificación portátil, y un primer dispositivo de computación portátil que incluye una tarjeta de interconexión de red inalámbrica que opera para comunicarse con el servidor de seguridad portátil a través del primer punto de acceso portátil y del segundo punto de acceso portátil. Un usuario del 7 dispositivo de computación portátil es autentificado en la lumbrera sobre el servidor de autentificación portátil, con base en la información de autentificación de usuario y la política de seguridad.
Las implementaciones pueden incluir una o más de las siguientes características. Por ejemplo, el servidor de seguridad portátil y la base de datos pueden integrarse en un segundo dispositivo de computación portátil. También, una autoridad de certificación puede ser integrada en el segundo dispositivo de computación portátil, y la autoridad de certificación puede ser operada para proporcionar y validad un certificado digital para usarse en implementar la política de seguridad.
Además, un servidor de asignación de dirección de red puede ser integrado sobre el segundo dispositivo de computación portátil, y el servidor de asignación de dirección de red puede ser operado para asignar una dirección de red al primer dispositivo de computación portátil.
El tráfico de datos entre el usuario y el servidor de seguridad que es subsecuente a la autentificación del usuario puede ser codificado usando una clave de codificación. La clave de codificación puede ser cambiada después de un período de tiempo predeterminado. También, la clave de codificación puede ser cambiada después de que se ha transmitido una cantidad 8 predeterminada de tráfico de datos. Además, la codificación puede ser cambiada al comienzo de la nueva sesión por el usuario .
El primer dispositivo de computación portátil puede mantener una conexión inalámbrica a un punto de acceso localizado en un sitio externo al servidor de seguridad portátil y un servidor de autentificación portátil. El punto de acceso localizado en el sitio externo puede ser un dispositivo de torre de emisiones que implementa una red de área amplia inalámbrica. También, el punto de acceso localizado en el sitio externo puede ser conectado al servidor de seguridad portátil a través de una red de área amplia y a través de un dispositivo de compuerta localizado conjuntamente con el servidor de seguridad portátil y el servidor de autentificación portátil.
El usuario puede ser autentificado en el servidor de seguridad y a través de un dispositivo de compuerta localizado conjuntamente con el servidor de seguridad portátil y el servidor de autentificación portátil, a través de una red de área amplia que es externa al dispositivo de compuerta.
Los detalles de una o más implementaciones se establecen en los dibujos acompañantes en la descripción que sigue. Otras características serán evidentes de la descripción y dibujos y de las reivindicaciones. 9 DESCRIPCION DE LOS DIBUJOS La Figura 1 es un diagrama de bloque de un sistema de demostración de red inalámbrica.
La Figura 2 es un esquema de flujo que ilustra un uso del sistema de la figura 1 en la demostración y venta de una red inalámbrica.
La Figura 3 es un esquema de flujo que ilustra un flujo de autentificación para autentificar a un usuario dentro del sistema de la figura 1.
La Figura 4 ilustra una arquitectura de red que implementa además los usos del sistema de la figura 1.
La Figura 5 es un esquema de flujo que ilustra una técnica para generar una cuota de precio para instalar una red inalámbrica .
La Figura 6 es un esquema de flujo que ilustra un proceso de servicio empacado para una instalación de red.
DESCRIPCIÓN DETALLADA La figura 1 es un diagrama de bloque de un sistema de demostración de red inalámbrica 100. Como se describirá, el 10 sistema 100 puede ser fácilmente transportado a un sitio de cliente y puede ser usado para demostrar una red inalámbrica a un cliente potencial, tal como una empresa o un proveedor de servicio de Internet ("ISP") . En la figura 1, un dispositivo de computación portátil 105 puede ser, por ejemplo, una computadora laptop o un dispositivo sostenido en la mano, tal como una iPAQ PocketPC de Compaq. Aún cuando el dispositivo de computación portátil 105 puede ser cualquier número de tales dispositivos de computación portátiles, éste será referido en los ejemplos que siguen, por vía de ilustración, como una computadora laptop, o más simplemente una laptop. La laptop 105 contiene varios elementos necesarios para implementar una red inalámbrica, como se describió en mayor detalle abajo.
La laptop 105 está conectada a un servidor 110.
El servidor 110 puede ser, por ejemplo, un servidor de Servicio de Usuario de Marcado de Autentificación Remota ("RADIUS") . Tal servidor RADIUS 110 es usado en un proceso de autentificación de cliente/servidor, como se describe también abajo, y puede ser, por ejemplo, un "Servidor RADIUS de Banda de Acero" producido por Funk Software.
Un primer punto de acceso 115 y un segundo punto de acceso 120 (así como los puntos de acceso adicionales, como sea necesario) son instalados como parte de un sistema 100 en los lugares distribuidos alrededor del sitio de cliente. Tales puntos de acceso 115 y 120 pueden ser, por ejemplo, los puntos 11 de acceso Cisco Aironet 350 WLA .
Usando el sistema 100, puede ser instalado en una red inalámbrica y completamente operacional en un sitio de cliente dentro de una materia de por ejemplo 15 minutos o menos. En esta forma, un usuario 125 puede ser conectado y autentificado al sistema 100, y después estar en libertad de vagar a través del sitio de cliente (dentro del rango de los puntos de acceso 115 y 120) , todo mientras que permanece conectado (a través de los puntos de acceso 115 o 120) la laptop 105 y el servidor 110, y por tanto a otra red, tal como una red de cliente o el Internet, en conexión a la red inalámbrica, el usuario 125 puede usar una tarjeta de interconexión de red ("NIC") 127, como se discute en mayor detalle abajo.
Deberá entenderse que el usuario 125 puede representar un dispositivo de computación portátil, tal como una laptop que se lleva al sitio de gente junto con la laptop 105, el servidor de autentificación 110, y los puntos de acceso 115 y 120. Adicionalmente, o alternativamente, el usuario 125 puede representar una laptop u otro dispositivo de computación portátil de un empleado local del cliente, con una tarjeta de interconexión de red instalada sobre la laptop como parte de la colocación de una demostración del sistema 100. Cuando se hace referencia a las tarjetas de interconexión de red, deberá entenderse que una tarjeta de interconexión de red y/o un software de cliente relacionado instalado sobre una computadora 12 de usuario 125 puede incluir la tarjeta o tarjetas de interconexión de red actuales, asi como cualquier impulsores de software o software de seguridad de cliente que pueda ser requerido.
La laptop 105 contiene varios elementos necesarios para implementar una demostración de una red inalámbrica. Por ejemplo, la laptop 105 puede incluir una base de datos de usuario 130 que contiene información de por lo menos un usuario, para usarse en, por ejemplo, la autentificación de usuario. En forma similar a la tarjeta de interconexión de red, la información acerca del usuario o usuarios puede ser generada para los propósitos de la demostración, o puede ser información acerca de un usuario actual en el sitio de cliente, tal como un empleado local .
La laptop 105 también puede contener un servidor de seguridad 135, para usarse en implementar varios protocolos de seguridad diseñados para proteger el tráfico de red a y desde el usuario 125. El servidor de seguridad 135 también puede ser usado para agregar y remover usuarios tal como el usuario 125 del sistema 100. Tal servidor de seguridad 135 puede incluir, por ejemplo, un servidor de seguridad Odysey producido por Funk Software .
Asumiendo que el protocolo o protocolos de seguridad involucran el uso de calves de 13 codificación/decodificación en el contexto de un certificado o certificados digitales, la laptop 105 también puede incluir una autoridad de certificación 140 que es usada para apoyar una propiedad adecuada de las claves . Un elemento final incluido en la laptop 105 es un servidor de protocolo de configuración de anfitrión dinámico ("DHCP") que es usado para asignar centralmente, dinámicamente y temporalmente la dirección (direcciones) de protocolo de Internet ("IP") al usuario 125. El servidor de protocolo de configuración de anfitrión dinámico 145 por tanto evita la necesidad de un administrador de protocolo de Internet para asignar manualmente una dirección de protocolo de Internet a cada usuario 125 con la conexión del usuario al sistema 100.
La figura 2 es un esquema de flujo que ilustra un uso del sistema 100 para demostrar y vender una red inalámbrica. En la figura 2, la información acerca de una compra potencial de una red inalámbrica es acumulada desde el cliente (205) . Tal información puede incluir, por ejemplo, información acerca de donde instalar los puntos de acceso 115 y 120 (por ejemplo las ubicaciones de conexiones de Ethernet disponibles) , las direcciones de protocolo de Internet disponibles para la asignación al usuario 125 y otra información relacionada. Los datos de requerimientos pueden ser recolectados antes del desplazamiento a un sitio de cliente para llevar a cabo una demostración del sistema 100. 14 Después, el equipo mostrado en el sistema 100 puede ser transportado a un sitio de cliente para demostración de un LAN inalámbrico (210) . La demostración incluye configurar el servidor RADIUS 110, el servidor de seguridad 135 (y la autoridad de certificación 140) , y el servidor DHCP 145 basado sobre los datos de requerimientos recolectados inicialmente, y la prueba de la conexión con la tarjeta NIC 127.
La prueba puede incluir el permitir al cliente el intentar el ganar acceso no autorizado al sistema 100. Por ejemplo, el cliente puede invitar a traer un "hacker" (programador) de redes para tratar de ganar acceso a la red. Como otro ejemplo, puede proporcionarse una demostración de técnicas/dispositivos conocidos en la industria para comprometer la seguridad, tal como una colección de herramientas o "olfateado de datos" tal como, por ejemplo "AirSnort" , o "NetStumbler" . Además, los sensores RF y el software de laptop pueden ser desplegados para mostrar su capacidad para reconocer puntos de acceso bribones o no seguros en oposición a los puntos de acceso seguros y autorizados demostrados .
Los resultados de la demostración y prueba con respecto a los requerimientos de datos utilizados son entonces revisados con el cliente (215) . En éste punto, la prueba y demostración en el sitio de cliente son completados esencialmente - (220) . Sí es necesario, la prueba y demostración pueden ser repetidas en otros sitios y/o con otros 15 requerimientos de datos (225) . De otra manera, una herramienta de modelación de costo y diseño (discutida en mayor detalle abajo) puede ser usada para estimar al cliente el costo de instalar e implementar una red inalámbrica de cualquier escala deseada (por ejemplo de ancho de edificio o de ancho de compañía) (230) . Los resultados del modelado son entonces pasados sobre el cliente en la forma de reportes y son entregados, incluyendo, por ejemplo, una cuota del precio para instalar una versión a escala completa de la demostración (vea la figura 5 para mayor detalle) (235) . En caso de que el cliente entonces decida comprar, instalar e implementar una red inalámbrica, los servicios WLA correspondientes son empacados, entregados e instalados al cliente (240) usando el proceso de servicios empacados descrito en detalle abajo con respecto a la figura 6.
Por tanto usando el sistema 100, un cliente puede experimentar las ventas de la red inalámbrica. Tales ventajas incluyen, por ejemplo la reducción/remoción de la necesidad de instalar cables costosos y de alambrado, mejorando la capacidad de tránsito y la facilidad de uso por los usuarios, y el potencial para velocidades de conexión muy rápidas . Aún cuando tales ventajas pueden ser descritas a un comprador potencial de redes inalámbricas, una demostración en vivo de las ventajas puede ser más efectiva en convencer al cliente de seleccionar una red inalámbrica. 16 Además, el sistema 100 puede ser usado para convencer a un cliente de que los obstáculos convencionales en la instalación y el uso de las redes inalámbricas pueden ser superados. Por ejemplo, el sistema 100 puede ser usado para convencer al cliente de que la red inalámbrica que va ser comprada sea segura respecto de aquellos que desean ganar acceso a la información de red privada. Por ejemplo, los registros del empleado de una compañía pueden requerir el ser mantenidos confidenciales, tanto de otros empleados como de otras personas externas a la compañía. En forma similar, aquellos que desean ganar acceso a la red para el propósito de manipular la información de red, usando los recursos de red, llevando a cabo otros actos maliciosos, también se puede evitar que lo hagan.
Como un ejemplo final de una ventaja del sistema 100, los costos de instalación, uso y administración de una red inalámbrica pueden ser calculados y predecidos exactamente, ayudando por tanto en forma adicional al cliente a tomar una decisión con respecto a sí compra una red inalámbrica.
En los ejemplos que siguen, varias especificaciones y técnicas son mostradas para mostrar una demostración de red inalámbrica usando el sistema 100. Sin embargo, varias otras especificaciones y técnicas pueden ser adicionalmente o alternativamente usadas. implementación de una red de área local 17 inalámbrica, una familia de especificaciones conocidas como "802.11" se ha desarrollado por el Instituto de Ingenieros Eléctricos y Electrónicos ("IEEE"). Generalmente hablando, el 802.11 define una interconexión entre un punto de acceso 115 o 120 y un cliente inalámbrico tal como el cliente 125 (o entre dos clientes inalámbricos). El 802.11 incluye varias especificaciones, incluyendo 802.11, 802.11a, 802.11b y 802. llg, los cuales difieren unos de otros de acuerdo a sus varias técnicas de transmisión diferentes, tasas de transmisión de datos, rangos de transmisión y otras características de comunicación.
En la implementación de una descripción 802.11 u otra interconexión inalámbrica, los clientes de red tal como el usuario 125 son típicamente autentificados antes de ser concedidos el acceso a la red. Generalmente, la autentificación es un proceso para proporcionar una identidad del cliente (usuario). Un tipo de autentificación en el estándar 802.11 se conoce como una autentificación de "sistema abierto", en la cual un cliente que usa, por ejemplo, un radio NIC envía un cuadro de petición de autentificación a un punto de acceso, y el punto de acceso expresa la aprobación o desaprobación. Tal autentificación de sistema abierto presume que el cliente y el punto de acceso son quienes dicen que son y generalmente no proporcionan seguridad apreciable.
El 802.11 también ofrece técnicas de 18 autentificación de "clave compartida" en las cuales una o más codificaciones claves son usadas para codificar/decodificar la información de autentificación. Las claves son asumidas como que son privadas y confiables de manera que teóricamente sólo un cliente o punto de acceso autorizado tiene permiso de tener acceso a la red inalámbrica.
Un tipo específico de autentificación de clave compartida está basado sobre una privada equivalente alámbrica ("WEP"), la cual es un protocolo de oscuridad definido como parte del 802.11b estándar e intentado para hacer a las redes inalámbricas por lo menos tan seguras como las redes alámbricas . La privada equivalente alámbrica generalmente basa la autentificación sobre sí el cliente u otro dispositivo de autentificación tiene una clave de privacía equivalente alámbrica correcta. Más específicamente, el cliente (por ejemplo el radio del cliente NIC) envía un cuadro de petición de autentificación a un punto de acceso, el cual entonces coloca el texto de desafío en una respuesta y regresa éste al NIC de radio. El NIC de radio codifica el texto de desafío con la clave WEP y envía el texto codificado de regreso al punto de acceso. El punto de acceso entonces descifra el texto desafiado y lo compara con el texto de desafío original para la equivalencia y aprobación correspondiente de la autentificación. Las variaciones de estas técnicas pueden similarmente ser usadas como parte de una privacía equivalente alámbrica para codificar transmisiones de red general. 19 Las desventajas de seguridad de WEP se han trazado, por ejemplo, a una longitud relativamente corta de las claves WEP, y el hecho de que las claves generalmente permanecen estáticas sobre períodos largos de tiempo y/o deben ser puestas nuevamente en forma manual. Como un resultado, la misma clave puede eventualmente ser usada para diferentes paquetes de datos. Dados éstos hechos, y dado que las comunicaciones inalámbricas, por definición, estarán disponibles sobre el aire, los interceptores pueden ser capaces de interceptar suficientes transmisiones para derivar la clave o claves sobre WEP, en cuyo punto tales interceptores son capaces de ganar un acceso ilegal a la red y/o decodificar las transmisiones de red, hasta que es cambiada la clave WEP actual .
Además, WEP generalmente sólo proporciona un método para autentificar clientes a los puntos de acceso, y no a los puntos de acceso a clientes (autentificación de una vía, en oposición a la autentificación mutua) . Como un resultado, un interceptor puede asumir la personalidad en un punto de acceso 115 o 120 para ganar acceso a la información de red.
Para ayudar a superar éstas desventajas potenciales de la WEP, un cuadro de trabajo genérico para la distribución de clave y autentificación a base de lumbrera, conocido como 802. lx se ha desarrollado. El 802. lx proporciona una autentificación a base de lumbrera para implementar un protocolo de seguridad tal como el protocolo de autentificación 20 extendible ( "EAP" ) , en el cual un autentificador (por ejemplo el punto de acceso 115 o 120) autentifica un "suplicante" (usuario 125) que emplea el servidor de autentificación RADIUS 110 (o algún otro tipo de servidor de autentificación, tal como el servidor Kerberos el cual es otro servicio de autentificación basado sobre la criptografía de clave secreta). El 802.1x también permite una distribución de clave segura para codificar tráfico entre el suplicante y el autentificador; por ejemplo, las claves pueden ser creadas por el punto de acceso 115 o 120, o suministradas por el servidor de RADIUS 110. El hecho de que el 802. lx está basado en lumbrera, como se discutió abajo, permite al autentificador (punto de acceso 115 o 120) el selectivamente permitir diferentes tipos de tráfico a y desde (lumbrera activada sobre el) servidor de autentificación 110, particularmente durante el proceso de autentificación.
Los servidores EAP a base de 802.1x por tanto permiten una autentificación a base de usuario centralizado y en claves de codificación, de sesión única de usuario único. El 802. lx no es actualmente usado para llevar a cabo la codificación; más bien, éste es un cuadro de seguridad capaz de usar un número de métodos de manejo de clave y de autentificación diferentes, en donde las claves mismas son usadas para llevar a cabo la codificación.
Un método de manejo de clave, el cual se conoce como el protocolo de integridad de clave temporal ( WTKIP" ) 21 combina una clave temporal con una información única de cada usuario 125 (tal como la dirección de control de acceso de medios ( "MAC" ) , y un Código de Integridad de Mensaje ( "MIC" ) para obtener las claves únicas y dinámicas, en oposición a las claves estáticas normalmente usadas en WEP. Además, las claves de protocolo de integridad de clave temporal son típicamente más grandes (por ejemplo 128 bites en contra de 40 bites) , y son por tanto menos factibles de repetir una clave en un período de tiempo dado. Otras técnicas de manejo/codificación de clave también pueden ser empleadas. Una de tales técnicas es la de Estándar de Codificación Avanzada ("AES") la cual, entre otras diferencias, usa una técnica de codificación diferente (algoritmo) a la del protocolo de integridad de clave temporal.
La figura 3 es un esquema de flujo que ilustra un flujo de autentificación para autentificar al usuario 125 dentro del sistema 100. Más específicamente, la figura 3 ilustra el uso de EAP dentro de 802. lx. En la figura 3, el usuario 125 envía un mensaje de inicio EAP desde el NIC a un punto de acceso 115 (o 120) (305) . En respuesta, el punto de acceso 115 habilita una lumbrera para los paquetes EAP para alcanzar el servidor de autentificación 110 y concurrentemente bloquea (temporalmente) cualquier otro tráfico del usuario 125, tal como DHCP o el protocolo de transferencia de hipertexto ( "HTTP" ) , mientras que el proceso de autentificación continúa (310) . Después, el punto de acceso 115 envía un mensaje de identidad de petición EAP de regreso al usuario 125 (315) y el usuario 125 22 contesta con un paquete que identifica a sí mismo al servidor de autentificación 110 (320) .
En éste punto, el servidor de autentificación 110 verifica el paquete de identificación quizás usando certificados digitales y/u otro tipo de autentificación EAP, tal como la Seguridad de Nivel de Transporte ( "TLS" ) , el Seguridad de Nivel de Transporte en Túnel ("TTLS")/ Kerberos o un protocolo de autentificación extendible protegida ("PEAP") (325) . Como un ejemplo especifico de un tipo de autentificación EAP, TLS (el cual fue originalmente construido para redes inalámbricas) requiere un certificado/clave digital obtenido de una autoridad de certificado de tercera persona (por ejemplo autoridad certificada 140) para ambos el usuario 125 y el servidor 110. Aún cuando muy seguros, los problemas con TLS incluyen el hecho de que un usuario inalámbrico debe primero conectar a una red alámbrica para obtener un certificado, y el hecho de que un usuario 125 usando máquinas múltiples típicamente requerirá certificados múltiples .
Como otro ejemplo específico, TTLS los cuales pueden ser pensados como una extensión de TLS, no requieren un certificado único por ambos lados. Sólo el servidor de autentificación 110 requiere un certificado; el usuario 125 requiere sólo, por ejemplo, una copia del certificado del servidor y una combinación de nombre de usuario/palabra clave para establecer un TLS seguro "túnel" para información 23 codificada. El TTLS puede ser pensado como siendo análogo a la seguridad de una tarjeta de crédito en el ambiente de una red amplia mundial, en la cual el comprador puede seguramente usar una tarjeta de crédito aún cuando sólo un servidor de red relevante tenga un certificado digital. Por tanto, el TTLS proporciona una criptografía de clave privada/pública fuerte que es aplicable a las redes inalámbricas y permite a los usuarios el tener acceso a las redes usando sólo, desde su perspectiva, la información de nombre de usuario/palabra clave normal.
Sí la autentificación no es verificada (330) , el punto de acceso 115 es entonces autorizado para enviar un paquete de rechazo EAP al usuario 125 (335) . Sí la autentificación es verificada, entonces el punto de acceso 115 envía un paquete de éxito-EAP (340) . En éste último caso, el punto de acceso 115 entonces cambia la lumbrera previamente asociada con el usuario 125 a "autorizado" , y después envía un tráfico de usuario adicional entre el usuario 125 y el punto de acceso 115 (345) .
En el envío del tráfico, el tráfico puede ser codificado usando las varias técnicas de codificación EP, discutidas aquí, tal como la codificación a base de clave usando claves dinámicas (por ejemplo actualizadas) (por ejemplo TKIP) . Las claves pueden ser actualizadas, por ejemplo, con un cambio de puntos de acceso para el usuario 125, después de la transmisión de un número predefinido de paquetes o después de 24 una cantidad de tiempo predeterminada. Por ejemplo, las claves de codificación pueden (por lo menos inicialmente) ser enviadas al usuario 125 junto con el mensaje de éxito-EAP/aceptación. Alternativamente, un mensaje de clave puede ser enviado el cual permite al usuario 125 el definir/actualizar las claves de codificación.
Por tanto, deberá entenderse de la figura 3 que el protocolo 802. IX proporciona una autentificación efectiva a través del uso de un protocolo de autentificación tal como EAP (y mecanismos de autentificación asociados tales como TÑS o TTLS) así como un cuadro para varias técnicas de manejo de clave dinámicas, las cuales pueden ser implementadas sobre una base opcional o como sea necesario. La autentificación, codificación y varias otras funciones pueden ser implementadas en el servidor de seguridad 135, en conjunción con la autentificación de certificado 140, la base de datos de usuario 130 y el servidor RADIUS 110. La autentificación puede ser mutua en el sentido de que ambos el cliente y el servidor deben autentificar uno con otro. En oposición a una autentificación de una vía mencionada arriba, la autentificación mutua no sólo asegura que sólo a los usuarios autorizados se les permite acceso a la red sino que también protege en contra de puntos de acceso en la personalidad asumida y otros dispositivos inalámbricos no específicamente permitidos sobre la red. figura 4 ilustra una arquitectura de red que 25 implementa además los usos del sistema 100. En la figura 4, una empresa 402 contiene varios elementos de red alámbricos e inalámbricos y usa un director 404 para comunicarse con una red pública 406 tal como el Internet. Mientras tanto, un agregador de servicio global 408 también está conectado a través de la red 410 a la red 406, la cual a su vez está conectada a un WAN inalámbrico 412, un "punto caliente" WLAN público 414, y una oficina regional 416 de la empresa 402.
En la arquitectura de red de la figura 4, un usuario de los recursos de red dentro de la empresa 402 es capaz de transitar en cualquier parte a través de la arquitectura de red. Por ejemplo, un usuario se sienta en su escritorio dentro de la empresa 410, usando ya sea una conexión alámbrica o inalámbrica y es capaz de dejar la empresa y mantener la conexión con la red a través de WWAN 412 mientras que se desplaza en su carro o en un transporte público. El usuario puede mantener la conectividad mientras que se detiene en un café operando como el punto caliente WLAN público 414, y puede similarmente mantener conexión durante el desplazamiento y el arribo a la oficina regional 416.
Los elementos de red de la empresa 402 incluyen un recurso de demostración 418, el cual puede ser, por ejemplo, la laptop 105 de la figura 1 que contiene el servidor de seguridad 135 y los elementos relacionados. La fuente de demostración 418 es conectada a un punto de acceso 420 y a otro punto de acceso 26 422, el cual lleva a cabo la comunicación inalámbrica con los dispositivos del cliente 424 y 426, respectivamente, usando, por ejemplo, las técnicas descritas arriba con respecto a las figuras 1-3. Además, los dispositivos del cliente 428 son conectados a la fuente de demostración a través del cubo local 430. El servidor o los servidores RA IUS 432 están disponibles para usarse en varias técnicas de autentificación y de seguridad tal como aquellas descritas arriba, y una compuerta 434 es usada para proteger los recursos de red de la empresa 402 de la manipulación y/o de la escucha externa. Finalmente con respecto a la empresa 402, varias aplicaciones de empresa de legado y/o de red 436 pueden estar disponibles a los usuarios de la empresa 402.
El agregador de servicio global 408 implementa la autentificación, la contabilidad y los servicios de autorización usando los servidores 438 y se refiere a los asuntos de cuidado de cliente/facturación usando los servidores separados 440.
WWAN 412 puede ser, por ejemplo, una red de tecnología de transmisión de radio ("lxRTT") de portador único (lx) la cual es una tecnología inalámbrica basada sobre la plataforma de acceso múltiple de división de código ("CDMA"). WWAN 412 también puede ser una red de servicio de radio de paquete general ("GPRS")/ la cual es un estándar para comunicaciones inalámbricas o un sistema global para un sistema de comunicaciones móvil ("GSM"). El WWAN 412 puede incluir las 27 torres de un receptor transmisor 442 y 444 conectadas al agregador de servicio global 408 y a la red 406, así como a sus grupos de cliente asociados 446 y 448, respectivamente.
El punto caliente WLMT 414 incluye un cable o línea de suscriptor digital ("DSL") de modem 450 conectado al agregador de servicio global 408 y a la red 406, así como a un punto de acceso 452 y a los dispositivos de cliente asociados 454. Finalmente, la oficina regional 416 está conectada al agregador de servicio global 408 y a la red 406 a través de un director 456, el cual a su vez está conectado a un punto de acceso local 458 y a sus dispositivos de cliente asociados 460.
En la arquitectura de red de la figura 4, los varios puntos de acceso dentro de las redes 412, 414 y 416 pueden conectarse a las fuentes de red de la empresa 402 usando, por ejemplo, un cliente de red privada virtual (,¾VPN") instalado localmente. Tal red privada virtual permite un "túnel" seguro a través de la compuerta 434 usando los medidores de seguridad tales como, por ejemplo, IPSec, los cuales son un protocolo de seguridad basado sobre criptografía de clave privada/pública y/o intercambio digital pero diseñados para el acceso a recursos detrás de una compuerta tal como la compuerta 434. Por tanto, un usuario de roaming que desea obtener una conexión con los recursos de la red de una empresa 402 puede usar su NIC para permitir el entrar en la red de la empresa 402 y después iniciar un cliente VPN para actualmente tener acceso a los recursos de 28 red.
Al permitir el roaming de un usuario como se describió arriba, una sesión de usuario puede ser desconstruida y reconstruida, sin conocimiento al usuario, al moverse el usuario de un punto de acceso al siguiente. Alternativamente, el software puede ser implementado el cual cambia el usuario de una conexión de red a la siguiente.
La figura 5 es un esquema de flujo que ilustra una técnica para generar una cuota de precio para instalar una red inalámbrica. Después de que se ha completado la demostración de la red inalámbrica como se describió anteriormente, puede generarse un estimado de costo para instalar una red actual de escala completa para dar la cuota al cliente.
Una técnica para generar tal cuota de precio involucra el uso de un software de hoja extendida electrónico que incluye varias hojas de trabajo que son preformateadas para generar la cuota de precio. Algunas de las hojas de trabajo, o partes de las mismas, son diseñadas para la entrada de datos desde un usuario del software de hoja extendida, tal como su metraje cuadrado total que va ser cubierto por la red inalámbrica, o el número de edificios que van a ser conectados. Otras de las hojas de trabajo o partes de las mismas están diseñadas para meter datos de diferentes hojas de trabajo. El proceso de cuota de precio puede ser llevado a cabo 29 iterativamente, con base en la entrada adicional desde el cliente, y las comparaciones de precio pueden hacerse con respecto a cualquier cuota generada por los competidores.
Las hojas de trabajo posibles incluyen una hoja de trabajo de encuesta en el sitio para recoger información acerca del sitio del cliente, tal como su metraje cuadrado, horas de operación, número de usuarios, número de aplicaciones de usuario, problemas de cobertura de frecuencia de radio ("RF") o consideraciones, y disponibilidad de anaquel/cremallera para los servidores requeridos . La información de cliente también puede incluir la información acerca de una red existente en el sitio de cliente, sí hay alguna. En la figura 5, la encuesta previa a un sitio es la primera hoja de trabajo usada (505) .
Una vez que la encuesta de pre-sitio se ha llenado, una hoja de trabajo de presunción puede ser utilizada (510) . La hoja de trabajo de presunción establece las presunciones acerca de varios elementos y condiciones de red. Por ejemplo, las presunciones pueden hacer que sea acerca de la extensión en la cual las áreas de cobertura de punto de acceso deben traslaparse, el número de usuarios que pueden ser manejados por un punto de acceso, los tipos de puntos de acceso y otros elementos de red que serán usados, una cantidad de mantenimiento requerido, impuestos de ventas aplicables, depreciación del equipo, y costos de trabajo para la instalación y entrenamiento del personal local. En seguida, unos precios 30 actuales del listado de hoja de trabajo de costo directo para diferentes marcas o tipos de varios elementos de red individuales proporcionan información para complementar la encuesta de pre-sitio y presunciones de proyecto (515) .
Con base en la hoja de trabajo de encuesta de pre-sitio, la hoja de trabajo de presunciones proyectadas y la hoja de trabajo de costo directo, una hoja de trabajo de entrada puede ser completada (520). Como se mencionó arriba, la hoja de trabajo de entrada puede ser parcialmente llenada por un operador humano que lee las hojas de trabajo previas y/o los datos de las hojas de trabajo previas pueden ser metidas directamente de aquellas hojas de trabajo en la hoja de trabajo de entrada. La hoja de trabajo de entrada también puede incluir datos fijos que son comunes a todas o casi todas las instalaciones tales como ciertos tipos de impuestos.
Una hoja de trabajo - de costo puede ser llenada para una revisión, con base en la hoja de trabajo de entrada (525) . La hoja de trabajo de costo considera varios costos y descripciones de costo, tal como los costos recurrentes contra los no recurrentes, costos, de capital, costos de gastos fijos, o costos anuales. La hoja de trabajo de costos analiza los costos en el contexto del cliente particular y/o sobre un tiempo de vida de un convenio de servicio particular, y determina un margen positivo/negativo de red para el proveedor de la red. El ajuste de estos valores en un proceso iterativo con la hoja de 31 trabajo de entrada permite al proveedor de red instalar la red en una forma de costo efectivo, y maximizar el potencial de ganancia en el contexto de las demandas del cliente particular (530) . Por ejemplo, el proveedor de red puede determinar que un cliente prefiere el pagar tan poco como sea posible al principio, y puede después intentar el cambiar a costos no recurrentes en costos recurrentes o diferidos tanto como sea posible, mientras que se mantiene una ganancia satisfactoria para la instalación.
Con base en la hoja de trabajo de costo, puede ser necesario el volver a diseñar la red propuesta para satisfacer cualquier restricciones de costo existentes (535) , en cuyo caso la información de sitio propuesto es modificada en forma acorde. De otra manera, se determina sí hay cualquier cuotas de proveedores de red de competencia (540) . Sí esto es así, la hoja de trabajo de análisis competitivo puede ser implementada la cual compara las varias características de la red propuesta con la red de competencia (545) .
Finalmente, un documento de cuota y una hoja de trabajo de convenio de nivel de servicio pueden ser generadas de acuerdo con las hojas de trabajo tempranas (550) . Esta hoja de trabajo la cual mete la mayoría o todos los factores delineados arriba y saca una cuota para cargas periódicas y/o no recurrentes así como la descripción de servicios asumidos en la generación de la cuota. El documento de cuota puede presentar 32 éstos costos en un esquema de pie u otro formato. Las cuotas múltiples, cada una para diferentes implementaciones propuestas de la red o redes, pueden ser incluidas.
La figura 6 es un esquema de flujo que ilustra un proceso de servicio empacado para una instalación de red. La figura 6 generalmente describe ejemplos de tareas, decisiones y documentos que son usados en interactuar con un cliente para diseñar, implementar y desplegar una red tal como LMT inalámbrica.
En conclusión, las técnicas de demostración de red se han descrito las cuales permiten una red inalámbrica segura completamente operacional para ser implementada en un lugar de cliente. Usando sólo un servidor de autentificación portátil, una computadora laptop y por lo menos dos puntos de acceso, una red inalámbrica puede ponerse en la ubicación del cliente dentro de una materia de minutos, de manera que un usuario de un dispositivo de computación portátil tenga una tarjeta de interconexión de red apropiada que sea capaz de transitar o roam a través de una parte predeterminada de la ubicación del cliente con el beneficio de una conexión inalámbrica a uno de los puntos de acceso. La computadora laptop puede contener el software que integre la funcionalidad de un servidor de seguridad, una base de datos de autentificación de usuario y otros componentes necesarios para implementar la red inalámbrica. El usuario puede además ser capaz de comunicarse con la computadora laptop 33 y el servidor de autentxficación desde lugares externos al lugar del cliente, quizás usando una red de área amplia inalámbrica o una red de área local inalámbrica secundaria.. Usando la información relacionada y la demostración de red alrededor del cliente, pueden ser generados estimados de costo exactos para instalar una red inalámbrica en la compañía.
Un número de implementaciones se han descrito. Sin embargo, se entenderá el que pueden hacerse varias modificaciones. De acuerdo a otras implementaciones que están dentro del alcance de las siguientes reivindicaciones.

Claims (33)

34 R E I V I N D I C A C I O N E S
1. Un método para demostrar una red inalámbrica que comprende: transportar un servidor de autentificación a un lugar de cliente, el servidor de autentificación siendo operado para implementar una política de seguridad específica de usuario y específica de sesión para autentificar a un usuario; transportar un servidor de seguridad a la ubicación del usuario, el servidor de seguridad siendo operable para interactuar con el servidor de autentificación y la base de datos de usuario que almacena la información de autentificación específica de usuario para implementar la política de seguridad; activar una lumbrera sobre el servidor de autentificación; y autentificar el usuario en la lumbrera sobre el servidor de autentificación, usando el servidor de seguridad y un primer dispositivo de computación portátil operado por el usuario .
2. El método tal y como se reivindica en la cláusula 1, caracterizado porque el transporte del servidor de seguridad comprende integrar el servidor de seguridad y la base 35 de datos de usuario sobre el segundo dispositivo de computación portátil .
3. El método tal y como se reivindica en la cláusula 2, caracterizado porque la integración del servidor de seguridad y la base de datos de usuario comprende integrar una autoridad de certificado sobre el segundo dispositivo de computación portátil, la autoridad de certificado opera para proporcionar y validar un certificado digital para usarse en implementar la política de seguridad.
4. El método tal y como se reivindica en la cláusula 2, caracterizado porgue la integración del servidor de seguridad y de la base de datos de usuario comprende el integrar un servidor de asignación de dirección de red sobre el segundo dispositivo de computación portátil, el servidor de asignación de dirección de red opera para asignar una dirección de red al primer dispositivo de computación portátil.
5. El método tal y como se reivindica en la cláusula 1, caracterizado además porque comprende: obtener, para la ubicación de cliente, una primera ubicación de conexión y una segunda ubicación de conexión; y transportar un primer punto de acceso inalámbrico y un segundo punto de acceso inalámbrico para la instalación en 36 la primera ubicación de conexión y en la segunda ubicación de conexión, respectivamente, por lo que el primer punto de acceso y el segundo punto de acceso están en comunicación con el servidor de seguridad.
6. El método tal y como se reivindica en la cláusula 5, caracterizado porque el primer dispositivo de computación portátil es operado para comunicarse con el primer punto de acceso inalámbrico, a través de una tarjeta de interconexión de red inalámbrica, cuando el primer dispositivo de computación portátil esta dentro de una distancia predeterminada del primer punto de acceso inalámbrico.
7. El método tal y como se reivindica en la cláusula 6, caracterizado además porque comprende el transportar el primer dispositivo de computación portátil a la ubicación de cliente con la tarjeta de interconexión de red pre-instalada y pre-configurada .
8. El método tal y como se reivindica en la cláusula 6, caracterizado además porque comprende el instalar la tarjeta de interconexión de red sobre el primer dispositivo de computación portátil, en donde el primer dispositivo de computación portátil es suministrado por el usuario. 37
9. El método tal y como se reivindica en la cláusula 1, caracterizado además porgue comprende: obtener la información de cliente, la información de cliente incluye una dirección de red disponible y una información de autentificación asociada con el usuario; y almacenar la información de autentificación de usuario en la base de datos del usuario .
10. El método tal y como se reivindica en la cláusula 9, caracterizado porque la obtención de la información del cliente ocurre antes de la transportación del servidor de autentificación y del servidor de seguridad a la ubicación del cliente .
11. El método tal y como se reivindica en la cláusula 9, caracterizado porque la autentificación del usuario comprende autentificar el usuario con base en la dirección de red y la información de autentificación de usuario.
12. El método tal y como se reivindica en la cláusula 1, caracterizado además porque comprende: codificar el tráfico de datos entre el usuario y el servidor de seguridad que es subsecuente a la autentificación del usuario, usar una clave de codificación/decodificación. 38
13. El método tal y como se reivindica en la cláusula 12, caracterizado porgue la clave de codificación/decodificación es cambiada después de un período de tiempo predeterminado.
14. El método tal y como se reivindica en la cláusula 12, caracterizado porgue la clave de codificación/decodificación es cambiada después de que una cantidad predeterminada de tráfico de datos se ha transmitido.
15. El método tal y como se reivindica en la cláusula 12, caracterizado porgue la clave de codificación/decodificación es cambiada al comienzo de una nueva sesión por el usuario.
16. El método tal y como se reivindica en la cláusula 15, caracterizado porque el comienzo de la nueva sesión es definido por una terminación de una primera comunicación entre el usuario y un primer punto de acceso gue se comunica con el servidor de seguridad y comenzando con una segunda comunicación entre el usuario y el segundo punto de acceso gue comunica con el servidor de seguridad.
17. El método tal y como se reivindica en la cláusula 1, caracterizado porgue en donde el primer dispositivo de computación portátil mantiene una conexión inalámbrica con un punto de acceso localizado en un sitio externo con la ubicación 39 del cliente .
18. El método tal y como se reivindica en la cláusula 17, caracterizado porgue el punto de acceso localizado en el sitio externo es una torre de comunicaciones que implementa una red de área amplia inalámbrica.
19. El método tal y como se reivindica en la cláusula 17, caracterizado porque el punto de acceso localizado en el sitio externo está conectado al servidor de seguridad a través de una red de área amplia y a través de un dispositivo de compuerta en la ubicación de cliente.
20. El método tal y como se reivindica en la cláusula 1, caracterizado además porque comprende la autentificación del usuario en el servidor de seguridad y a través de un dispositivo de compuerta localizado en la ubicación de cliente, mientras que el usuario está en un lugar externo a la ubicación de cliente.
21. El método tal y como se reivindica en la cláusula 1, caracterizado además porque comprende un método automático de poner precio a una red inalámbrica potencial con base en la red inalámbrica demostrada y usando una computadora programada con un software de hoja extendida, el método automatizado comprende : 40 meter un primer juego de datos que describe características físicas de la ubicación de cliente en el software de hoja extendida,- meter un segundo juego de datos que describe condiciones de red existentes en la ubicación de cliente en el software de hoj extendida,- meter un tercer juego de datos que describe características deseadas del cliente de la red de cliente potencial en el software de hoja extendida; y estimar un costo para la instalación de una red inalámbrica potencial, con base en el primer juego de datos, un segundo juego de datos y un tercer juego de datos.
22. Un sistema para demostrar una red inalámbrica que comprende: un primer punto de acceso portátil; un segundo punto de acceso portátil; una base de datos que contiene información de autentificación de usuario; un servidor de autentificación portátil que opera 41 para implementar una política de seguridad específica de usuario y específica de sesión; un servidor de seguridad portátil operable para interactuar con la base de datos y el servidor de autentificación portátil para activar una lumbrera sobre el servidor de autentificación portátil; y un primer dispositivo de computación portátil que incluye una tarjeta de interconexión de red inalámbrica que opera para comunicar con el servidor de seguridad portátil a través del primer punto de acceso portátil y el segundo punto de acceso portátil; en donde un usuario del dispositivo de computación portátil es autentificado en el punto del servidor de autentificación portátil, con base en la información de autentificación de usuario y la política de seguridad.
23. El sistema tal y como se reivindica en la cláusula 22, caracterizado porque el servidor de seguridad portátil y la base de datos están integradas en el segundo dispositivo de computación portátil.
24. El sistema tal y como se reivindica en la cláusula 23, caracterizado porque la autoridad de certificación está integrada sobre el segundo dispositivo de computación 42 portátil, y además en donde la autoridad de certificación es operada para proporcionar un certificado digital valido para usarse en implementar la política de seguridad.
25. El método tal y como se reivindica en la cláusula 23, caracterizado porque un servidor de asignación de dirección de red es integrado en el segundo dispositivo de computación portátil, y además en donde el servidor de asignación de dirección de red es operado para asignar una dirección de red al primer dispositivo de computación portátil.
26. El método tal y como se reivindica en la cláusula 22, caracterizado porque el tráfico de datos entre el usuario y el servidor de seguridad que es subsecuente a la autentificación del usuario codificado usando una clave de codificación.
27. El método tal y como se reivindica en la cláusula 26, caracterizado porque la clave de codificación es cambiada después de un periodo de tiempo predeterminado.
28. El método tal y como se reivindica en la cláusula 26, caracterizado porque la clave de codificación es cambiada después de una cantidad predeterminada de tráfico de datos que se han transmitido.
29. El método tal y como se reivindica en la 43 cláusula 26, caracterizado porque la clave de codificación es cambiada con el comienzo de una nueva sesión por el usuario.
30. El método tal y como se reivindica en la cláusula 22, caracterizado porque el primer dispositivo de computación mantiene una conexión inalámbrica con un punto de acceso localizado en un sitio externo del servidor de seguridad portátil y del servidor de autentificación portátil.
31. El método tal y como se reivindica en la cláusula 22, caracterizado porque el punto de acceso localizado en el sitio externo es una torre de emisiones que implementa una red de área de ancho inalámbrico.
32. El método tal y como se reivindica en la cláusula 22, caracterizado porque el punto de acceso localizado en el sitio externo es conectado al servidor de seguridad portátil a través de una red de área amplia y a través de un dispositivo de compuerta localizado conjuntamente con el servidor de seguridad portátil y el servidor de autentificación portátil .
33. El método tal y como se reivindica en la cláusula 22, caracterizado porque el usuario es autentificado en el servidor de seguridad y a través de un dispositivo de compuerta localizado con untamente con el servidor de seguridad portátil y el servidor de autentificación portátil, a través de 44 una red de área amplia que es externa al dispositivo compuerta . 45 R E S U M E Están descritas las técnicas de demostración de red las cuales permiten que sea implementada una red inalámbrica segura y completamente operacional en una ubicación del cliente. Usando sólo un servidor de autentificación portátil, una computadora laptop, y por lo menos dos puntos de acceso, una red inalámbrica puede ser puesta en la ubicación del cliente dentro de una materia de minutos, de manera que un usuario de un dispositivo de computación portátil teniendo una tarjeta de interconexión de red apropiada sea capaz de vagar a través de la ubicación de cliente con el beneficio de una conexión inalámbrica a uno de los puntos de acceso. La computadora laptop contiene un software que integra la funcionalidad de un servidor de seguridad, una base de datos de autentificación de usuario, y otros componentes necesarios para implementar la red inalámbrica. El usuario también puede ser capaz de comunicarse con la computadora laptop y el servidor de autentificación desde lugares externos a la ubicación del cliente, quizás usando una red de área amplia inalámbrica o una red de área local inalámbrica secundaria. Usando la demostración de red y la información relacionada acerca del cliente, pueden ser generados estimados de costo exactos para la instalación de una red inalámbrica amplia de la compañía.
MXPA05006843A 2002-12-23 2003-12-22 Metodo y sistema para demostrar la operacion de redes inalambricas seguras. MXPA05006843A (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/326,287 US7565688B2 (en) 2002-12-23 2002-12-23 Network demonstration techniques
PCT/US2003/041077 WO2004059945A1 (en) 2002-12-23 2003-12-22 Method and system for demonstrating the operability of secure wireless networks

Publications (1)

Publication Number Publication Date
MXPA05006843A true MXPA05006843A (es) 2005-08-16

Family

ID=32593977

Family Applications (1)

Application Number Title Priority Date Filing Date
MXPA05006843A MXPA05006843A (es) 2002-12-23 2003-12-22 Metodo y sistema para demostrar la operacion de redes inalambricas seguras.

Country Status (6)

Country Link
US (1) US7565688B2 (es)
EP (1) EP1576787A1 (es)
AU (1) AU2003299842B2 (es)
CA (1) CA2509651A1 (es)
MX (1) MXPA05006843A (es)
WO (1) WO2004059945A1 (es)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7391865B2 (en) * 1999-09-20 2008-06-24 Security First Corporation Secure data parser method and system
US20040225898A1 (en) * 2003-01-28 2004-11-11 Frost D. Gabriel System and method for ubiquitous network access
WO2004084465A2 (en) * 2003-03-14 2004-09-30 Thomson Licensing S.A. Automatic configuration of client terminal in public hot spot
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
TWI350686B (en) * 2003-07-14 2011-10-11 Nagravision Sa Method for securing an electronic certificate
NZ546157A (en) * 2003-09-09 2008-06-30 Roamad Holdings Ltd Metropolitan wide wireless networking system and method for roaming users
JP2005109720A (ja) * 2003-09-29 2005-04-21 Sony Corp 通信システム、情報処理装置および方法、記録媒体、並びにプログラム
US9191215B2 (en) * 2003-12-30 2015-11-17 Entrust, Inc. Method and apparatus for providing authentication using policy-controlled authentication articles and techniques
US8612757B2 (en) * 2003-12-30 2013-12-17 Entrust, Inc. Method and apparatus for securely providing identification information using translucent identification member
US8966579B2 (en) 2003-12-30 2015-02-24 Entrust, Inc. Method and apparatus for providing authentication between a sending unit and a recipient based on challenge usage data
US8230486B2 (en) * 2003-12-30 2012-07-24 Entrust, Inc. Method and apparatus for providing mutual authentication between a sending unit and a recipient
US9281945B2 (en) * 2003-12-30 2016-03-08 Entrust, Inc. Offline methods for authentication in a client/server authentication system
US8060915B2 (en) 2003-12-30 2011-11-15 Entrust, Inc. Method and apparatus for providing electronic message authentication
US7684783B1 (en) * 2004-03-23 2010-03-23 Autocell Laboratories, Inc. System and method for authenticating devices in a wireless network
ATE450950T1 (de) * 2004-04-30 2009-12-15 Research In Motion Ltd System und verfahren zur prüfung digitaler zertifikate
DE102004047692A1 (de) * 2004-09-30 2006-04-13 Siemens Ag Kommunikationssystem und Verfahren zur Bereitstellung eines mobilen Kommunikationsdienstes
CA2922172A1 (en) 2004-10-25 2006-05-04 Security First Corp. Secure data parser method and system
US20060129813A1 (en) * 2004-12-15 2006-06-15 Vidya Narayanan Methods of authenticating electronic devices in mobile networks
JP2007005847A (ja) * 2005-06-21 2007-01-11 Alaxala Networks Corp ネットワークにおけるデータ伝送制御
US8392560B2 (en) * 2006-04-28 2013-03-05 Microsoft Corporation Offering and provisioning secured wireless virtual private network services
US20080070544A1 (en) * 2006-09-19 2008-03-20 Bridgewater Systems Corp. Systems and methods for informing a mobile node of the authentication requirements of a visited network
US20080077972A1 (en) * 2006-09-21 2008-03-27 Aruba Wireless Networks Configuration-less authentication and redundancy
US20080077592A1 (en) * 2006-09-27 2008-03-27 Shane Brodie method and apparatus for device authentication
US8051464B2 (en) * 2006-12-19 2011-11-01 Avenda Systems, Inc. Method for provisioning policy on user devices in wired and wireless networks
US8756659B2 (en) * 2007-04-19 2014-06-17 At&T Intellectual Property I, L.P. Access authorization servers, methods and computer program products employing wireless terminal location
US9003186B2 (en) 2008-07-24 2015-04-07 Zscaler, Inc. HTTP authentication and authorization management
US9379895B2 (en) 2008-07-24 2016-06-28 Zscaler, Inc. HTTP authentication and authorization management
US8584221B2 (en) 2009-10-23 2013-11-12 Microsoft Corporation Authenticating using cloud authentication
JP5650238B2 (ja) 2009-11-25 2015-01-07 セキュリティー ファースト コープ. 移動中のデータをセキュア化するためのシステムおよび方法
US20110191749A1 (en) * 2010-01-29 2011-08-04 Martijn Van Liebergen System and method for generating enterprise applications
CA2795206C (en) 2010-03-31 2014-12-23 Rick L. Orsini Systems and methods for securing data in motion
WO2011150346A2 (en) 2010-05-28 2011-12-01 Laurich Lawrence A Accelerator system for use with secure data storage
EP2619939A2 (en) 2010-09-20 2013-07-31 Rick L. Orsini Systems and methods for secure data sharing
US8826410B2 (en) * 2011-01-05 2014-09-02 Smith Micro Software, Inc. Device API for securely monitoring and managing mobile broadband devices
EP3700163B1 (en) * 2011-02-14 2022-01-19 Nokia Technologies Oy Seamless wi-fi subscription remediation
FR2973185B1 (fr) * 2011-03-22 2013-03-29 Sagem Defense Securite Procede et dispositif de connexion a un reseau de haute securite
US20140354405A1 (en) * 2013-05-31 2014-12-04 Secure Planet, Inc. Federated Biometric Identity Verifier
US10496974B2 (en) * 2015-03-25 2019-12-03 Intel Corporation Secure transactions with connected peripherals
ES2687717A1 (es) * 2017-04-26 2018-10-26 Universidad Carlos Iii De Madrid Método y dispositivo móvil para emitir certificados digitales a dispositivos electrónicos
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5671436A (en) * 1991-08-21 1997-09-23 Norand Corporation Versatile RF data capture system
US6216117B1 (en) * 1998-09-21 2001-04-10 Electronic Data Systems Corp. Automated network sizing and pricing system for satellite network
US6614774B1 (en) * 1998-12-04 2003-09-02 Lucent Technologies Inc. Method and system for providing wireless mobile server and peer-to-peer services with dynamic DNS update
US7174564B1 (en) 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
US7424543B2 (en) * 1999-09-08 2008-09-09 Rice Iii James L System and method of permissive data flow and application transfer
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
AU6861100A (en) * 1999-09-29 2001-04-30 Nortel Networks Limited Apparatus and method for routing aaa messages between domains of a network
US6714987B1 (en) * 1999-11-05 2004-03-30 Nortel Networks Limited Architecture for an IP centric distributed network
US6650902B1 (en) * 1999-11-15 2003-11-18 Lucent Technologies Inc. Method and apparatus for wireless telecommunications system that provides location-based information delivery to a wireless mobile unit
JP2003523565A (ja) * 1999-12-29 2003-08-05 グローリキアン,ハリー・エイ クライアントの旅行者を地理的に関連するデータに接続するインターネットシステム
FR2805430B1 (fr) * 2000-02-21 2002-08-16 Matra Nortel Communications Procede de gestion de mobilite dans un reseau de telecommunications, et serveur de mobilite pour la mise en oeuvre du procede
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US6895310B1 (en) * 2000-04-24 2005-05-17 Usa Technologies, Inc. Vehicle related wireless scientific instrumentation telematics
US20020046104A1 (en) * 2000-05-09 2002-04-18 Geomicro, Inc. Method and apparatus for generating targeted impressions to internet clients
JP2002057645A (ja) * 2000-08-10 2002-02-22 Ntt Docomo Inc データ転送方法および移動体サーバー
US6980812B1 (en) * 2000-11-09 2005-12-27 @Road, Inc. System and method for providing a handheld unit to a mobile position device
US20020177453A1 (en) 2000-11-15 2002-11-28 Ming-Feng Chen Mobile device server
US20030054810A1 (en) * 2000-11-15 2003-03-20 Chen Yih-Farn Robin Enterprise mobile server platform
GB2371711B (en) * 2000-11-27 2004-07-07 Nokia Mobile Phones Ltd A Server
WO2002063847A2 (en) 2001-02-06 2002-08-15 Certicom Corp. Mobile certificate distribution in a public key infrastructure
US7921290B2 (en) * 2001-04-18 2011-04-05 Ipass Inc. Method and system for securely authenticating network access credentials for users
US20020164998A1 (en) * 2001-05-01 2002-11-07 Saed Younis System and method for providing position-based information to a user of a wireless device
US20030028612A1 (en) * 2001-08-01 2003-02-06 Intel Corporation System and method for providing mobile server services
US20030040944A1 (en) * 2001-08-22 2003-02-27 Hileman Ryan M. On-demand transportation system
US20030045311A1 (en) * 2001-08-30 2003-03-06 Tapani Larikka Message transfer from a source device via a mobile terminal device to a third device and data synchronization between terminal devices
US20030112977A1 (en) * 2001-12-18 2003-06-19 Dipankar Ray Communicating data securely within a mobile communications network
US20030157959A1 (en) * 2002-01-11 2003-08-21 Jakke Makela Method, system, apparatus and computer program product for portable networking of multi-user applications
ATE380424T1 (de) 2002-05-01 2007-12-15 Ericsson Telefon Ab L M System, apparat und methode zur sim basierten authentifizierung und verschlüsselung beim zugriff auf ein drahtloses lokales netz

Also Published As

Publication number Publication date
AU2003299842A1 (en) 2004-07-22
US20040122960A1 (en) 2004-06-24
US7565688B2 (en) 2009-07-21
WO2004059945A1 (en) 2004-07-15
EP1576787A1 (en) 2005-09-21
AU2003299842B2 (en) 2009-02-26
CA2509651A1 (en) 2004-07-15

Similar Documents

Publication Publication Date Title
MXPA05006843A (es) Metodo y sistema para demostrar la operacion de redes inalambricas seguras.
US7565529B2 (en) Secure authentication and network management system for wireless LAN applications
CN101621798B (zh) 支持多个虚拟操作员的公共无线局域网的会话密钥管理
EP1875703B1 (en) Method and apparatus for secure, anonymous wireless lan (wlan) access
US7574731B2 (en) Self-managed network access using localized access management
EP2005643B1 (en) Authentication service for facilitating access to services
US7861283B2 (en) User position utilization system
Patel et al. Ticket based service access for the mobile user
US7954136B2 (en) Self-management network access using localized access management
US10116628B2 (en) Server-paid internet access service
JP2008500666A (ja) 無線サービスを提供する方法
WO2004034205A2 (en) Self-managed network access using localized access management
EP2062129A2 (en) Systems and methods for providing network credentials
EP1052825B1 (en) Sim based authentication as payment method in public isp access networks
US8468354B2 (en) Broker-based interworking using hierarchical certificates
JP4009273B2 (ja) 通信方法
Brawn et al. Staying secure in an insecure world: 802.1 x secure wireless computer connectivity for students, faculty, and staff to the campus network
Owens Bluejacking: Bluetooth Graffiti
Eppert Design and Cost/Benefit Analysis of WLAN vs. TLAN in a Manufacturing Environment
Tukkensæter User Friendly Access Solutions for Mobile WiMAX