具有多个安全接口的无线网络转让专利
申请号 : CN200610006823.0
文献号 : CN1819540B
文献日 : 2011-01-26
发明人 : 亚当·米歇尔·康韦 , 李·克拉里奇 , 莫宁
申请人 : 丛林网络公司
摘要 :
由网络设备建立多个无线网络,每个无线网络均具有标识符。从客户机设备接收利用标识符通过无线网络建立无线网络会话的请求。根据用于建立每个无线网络会话的标识符,客户机设备的网络特权被分割到离散的安全接口。
权利要求 :
1.一种提供网络安全性的方法,所述方法包括:由网络设备提供多个无线网络,每个无线网络均具有标识符;
在所述网络设备,从客户机设备接收通过无线网络使用所述标识符建立无线网络会话的请求;
响应于所述请求,强制执行与无线网络相关联的网络级验证;
根据网络级验证的强制执行结果,建立与客户机设备的无线网络会话;
基于建立无线网络会话,把标识符映射到用于分配给客户机设备的离散因特网协议IP地址范围;
根据与用于建立每个无线网络会话的标识符相关联的离散IP地址范围分割客户机设备的安全特权;
从所述客户机设备中的第一客户机设备接收发往第一网络资源的网络通信量;
根据用于建立无线网络会话的标识符识别与第一客户机设备相关联的源安全区;
识别第一网络资源的目的地安全区;
根据识别的源安全区和目的地安全区对网络通信量执行安全处理;以及根据对网络通信量执行安全处理的结果确定是否将网络通信量传递到第一网络资源。
2.按照权利要求1所述的方法,其中标识符是服务集标识符SSID。
3.按照权利要求1所述的方法,还包括:把标识符映射到安全区;和
根据映射到用于建立每个无线网络会话的标识符的安全区,分割客户机设备的安全特权。
4.按照权利要求1所述的方法,其中执行安全处理包括执行安全策略搜索。
5.按照权利要求1所述的方法,其中执行安全处理包括禁止对预定网络资源的访问的统一资源定位符URL过滤。
6.按照权利要求1所述的方法,其中执行安全处理包括执行网络地址转换。
7.按照权利要求1所述的方法,还包括:从所述客户机设备中的第二客户机设备接收访问第二网络资源的请求;
识别与第二客户机设备相关联的源IP地址;
识别与第二网络资源相关联的目的地IP地址;
根据识别的源IP地址和目的地IP地址,对第二请求执行安全处理;以及根据对第二请求执行安全处理的结果,确定是否准许第二客户机设备访问第二网络资源。
8.按照权利要求1所述的方法,包括:把标识符映射到预定的安全策略;和
根据映射到用于建立无线网络会话的标识符的预定安全策略,对网络通信量执行安全处理。
9.按照权利要求8所述的方法,还包含:把标识符映射到预定的安全区,其中预定的安全区建立与连接的客户机设备相关联的安全策略和数据处理特权。
10.一种提供网络安全性的网络设备,包含:用于由网络设备提供多个无线网络的装置,每个无线网络均具有标识符;
用于在所述网络设备,从客户机设备接收通过无线网络使用所述标识符建立无线网络会话的请求的装置;
用于响应于所述请求,强制执行与无线网络相关联的网络级验证的装置;
用于根据网络级验证的强制执行结果,建立与客户机设备的无线网络会话的装置;
用于基于建立无线网络会话,把标识符映射到用于分配给客户机设备的离散因特网协议IP地址范围的装置;
用于根据与用于建立每个无线网络会话的标识符相关联的离散IP地址范围分割客户机设备的安全特权的装置;
用于从所述客户机设备中的第一客户机设备接收发往第一网络资源的网络通信量的装置;
用于根据用于建立无线网络会话的标识符识别与第一客户机设备相关联的源安全区的装置;
用于识别第一网络资源的目的地安全区的装置;
用于根据识别的源安全区和目的地安全区对网络通信量执行安全处理的装置;以及用于根据对网络通信量执行安全处理的结果确定是否将网络通信量传递到第一网络资源的装置。
11.按照权利要求10所述的网络设备,其中执行安全处理的装置包括执行安全策略搜索的装置。
12.按照权利要求10所述的网络设备,包含:用于从所述客户机设备中的第二客户机设备接收访问第二网络资源的请求的装置;
用于识别与第二客户机设备相关联的源IP地址的装置;
用于识别与第二网络资源相关联的目的地IP地址的装置;
用于根据识别的源IP地址和目的地IP地址,对第二请求执行安全处理的装置;以及用于根据对第二请求执行安全处理的结果,确定是否准许第二客户机设备访问第二网络资源的装置。
说明书 :
具有多个安全接口的无线网络
技术邻域
[0001] 本发明涉及无线计算机网络,更具体地说,本发明涉及被配置成包括多个安全接口的无线计算机网络。
[0002] 近年来,已发现无线局域网(WLAN)提供有线网络或标准局域网(LAN)的廉价且有效的扩展。图1是图解说明包括有线和无线组件的常规网络100的方框图。利用无线路由器或接入点(AP)102,网络100可包括有线部件,例如服务器104和本地客户机106,和无线部件,例如通过无线网络116与AP 102连接的客户机设备108、110、112和114。最近,WLAN的多数部署遵照在不受管理的2.4和5 GHz频谱内工作的各种电气和电子工程师协会(IEEE)802.11x标准(例如802.11b、a和g)。可以实现防火墙118,以便保护网络100,并起阻挡来自整个因特网120的未经授权的通信量的安全门的作用。
[0003] 操作上,客户机设备108-114可通过选择或者以其它方式识别与网络116相关的服务集标识符(SSID),接入无线网络116。本领域中已知,可利用几种可用的网络层安全协议,比如有线等通私密(WEP)或Wi-Fi保护接入(WPA)协议加密穿过网络116的通信量。假定采用这些协议之一,在被准许接入网络100之前,客户机设备108-114必须输入加密密钥或口令。
[0004] 不幸的是,一旦被批准,对网络116的接入被同样地准予拥有网络116的SSID和相关口令的所有客户机设备108-114,而不管与客户机设备的用户相关的个体安全级。因此,无线用户基础(base)的低级(例如OSI网络模型的第二层)分割变成不可能,从而需要依赖于高级安全程序向网络100提供安全性。
[0005] 按照本发明的原理的一个方面目的在于提供一种提供无线网络功能的方法。所述方法包括:由网络设备建立多个无线网络,每个无线网络均具有标识符;在所述网络设备,从客户机设备接收通过利用所述标识符的无线网络建立无线网络会话的请求;和根据用于建立每个无线网络会话的标识符,把客户机设备的网络特权分割(segment)到离散的安全接口。 [0006] 在按照本发明的原理的第二方面,提供无线网络安全(security)的方法包括把无线网络标识符映射到预定的安全策略;从客户机设备接收访问使用无线网络标识符之一的无线网络的请求;建立与客户机设备的无线网络会话;接收来自客户机设备的网络通信量(traffic),所述网络通信量具有目的地资源;和根据映射到用于建立无线网络会话的无线网络标识符的预定安全策略,对网络通信量执行安全处理。
[0007] 在按照本发明的原理的第三方面,提供一种设备。所述设备包括配置成提供离散的无线网络接口的网络设备,每个离散的无线网络接口均具有与之相关的标识符,其中网络设备被配置成把唯一标识符映射到安全区,其中网络设备被配置成根据标识符建立与客户机设备的无线网络会话,其中网络设备被配置成根据与用于建立每个无线网络会话的标识符相关的安全区,分割客户机设备的安全特权。
附图说明
[0008] 包含在本说明书中并构成本说明书一部分的附图图解说明本发明的一个实施例,并和下面的说明一起解释本发明。附图中,
[0009] 图1是图解说明常规的计算机网络的一般化方框图;
[0010] 图2图解说明其中可实现按照本发明的系统和方法的例证系统;
[0011] 图3图解说明按照本发明的原理的一个实现中的网络设备的例证配置; [0012] 图4是图解说明建立无线网络会话和处理网络通信量的处理的一种实现的例证流程图;
[0013] 图5是图解说明建立无线网络会话和处理网络通信量的处理的另一种实现的例证流程图;
[0014] 图6图解说明其中可实现按照本发明的系统和方法的另一例证系统。 具体实施方式
[0015] 下面参考附图,详细说明本发明的原理的实施例。不同附图中的相同附图标记识别相同或相似的部件。另外,下面的详细说明并不限制本发明。相反,本发明的范围由附加的权利要求及等同物限定。
[0016] 如同这里所述,网络设备借助多个唯一标识符,提供对一个或多个无线网络的接入。每个唯一标识符于是与一个安全区相关联或者被映射到一个安全区,以致客户机设备通过按照相关的安全区处理的唯一标识符接入无线网络。
[0017] 系统概述
[0018] 图2图解说明其中可实现按照本发明的原理的系统和方法的实施例的例证系统200。如图所示,系统200包括网络设备202,和通过多个无线网络206、208、210和212与网络设备202连接的一组客户机设备204a、204b、204c和204n(总称为“客户机设备204”)。网络设备202随后可根据每个客户机设备204所连接的网络206-212,把每个客户机设备204映射到多个安全区214、216、218、220中的一个或多个。根据本发明的原理,安全区214-220还可包含传统的有线设备或网络,如下详细所述。网络设备202还可与不可信网络222,例如外部网络或因特网连接。
[0019] 根据本发明的原理,网络设备202可被配置成同时提供无线接入点和网络防火墙功能。更具体地说,网络设备202可被配置成提供多个离散的无线网络,并执行每个网络之间的策略和防火墙决策,从而显著提高系统200的安全性。如图2中所示,在按照本发明的原理的一种实现中,网络设备202可被配置成提供四个离散的无线网络206-212,每个无线网络206-212具有与之相关的不同SSID。此外, 每个无线网络206-212可被映射到它自己的单独安全区214、216、218或220。这样,每个网络206-212可被配置成提供不同等级的安全保护。通过提供不同的网络206-212,网络设备202向网络200提供多个安全接口,从安全性的观点来看,每个安全接口是完全可配置的。
[0020] 虽然表示了四个截然不同的客户机设备204,不过应明白为了简便起见,设置了图2中图解说明的客户机设备204的数目和类型。实际上,典型的系统可包括任意数目和类型的客户机设备204。另外,虽然描述了一个四区域安全系统,不过本发明也可在具有多于或少于四个不同安全区,包括物理地或者逻辑地配置于其内的多个安全区的系统中实现。此外,虽然在例证的实现中表示了四个无线网络206-212,不过根据本发明的原理可以实现更多或更少的无线网络。客户机设备204可包括能够通过网络206-212和222启动、传输和接收数据和/或话音通信的设备,比如个人计算机,膝上型计算机或其它设备。 [0021] 在按照本发明的原理的一种实现中,网络设备202可包括能够传输和接收无线网络通信量,并对传输和接收的无线网络通信量应用安全策略的硬件和软件的任意组合。如下详细所述,在按照本发明的原理的一种实现中,网络设备202可被配置成利用多个不同的SSID传输和接收无线网络通信量。在这种实现中,每个SSID与一个安全区相关联。网络设备随后可根据与使用中的SSID相关的安全区,对通信量应用安全策略。 [0022] 不可信网络222可包括一个或多个网络,例如因特网、企业内部网,局域网(LAN),广域网(WAN),或者能够把来自源设备的数据通信传送给目的地设备的另一种网络。 [0023] 图3是在按照本发明的原理的一种实现中,图2的网络设备202的例证配置。可类似地构成客户机设备204。如图所示,网络设备202可包括总线310,处理逻辑320,专用集成电路(ASIC)330,存储器340和一组通信接口350。总线310允许网络设备202的组件之间的通信。
[0024] 处理逻辑部分320可包括解释和执行指令的任意类型的常规处理器或者微处理器。ASIC 330可包括一个或多个能够实现涉及网络的功 能的ASIC。更具体地说,在一种实现中,ASIC 330可执行与安全性和接入点相关的功能。
[0025] 存储器340可包括保存信息和供处理逻辑部分320执行的指令的随机存取存储器(RAM)或另一动态存储装置;保存供处理逻辑部分320使用的信息和指令的只读存储器(ROM)或另一种静态存储装置;和/或其它某种类型的磁或光记录介质及其对应驱动器。通信接口350可包括使网络设备202能够与其它设备和/或系统,比如客户机设备204及与网络206-212和222相关的设备通信的任何类似收发器的机构。
[0026] 如下详细所述,按照本发明的原理,网络设备202可执行与网络通信相关的操作。网络设备202可响应执行包含在计算机可读介质,比如存储器340中的软件指令的处理逻辑部分320,执行这些及其它操作。计算机可读介质可被定义成一个或多个存储装置和/或载波。
[0027] 软件指令可通过通信接口350从另一计算机可读介质或者从另一设备被读入存储器340中。包含在存储器340中的软件指令可使处理逻辑部分320执行后面说明的过程。另一方面,可代替或结合软件指令使用硬连线的电路来实现按照本发明的原理的过程。从而,按照本发明的原理的系统和方法并不局限于硬件电路和软件的任何特定组合。 [0028] 例证处理
[0029] 如上所述,网络设备202能够实现多个无线安全区的建立,并简化可用安全区之间网络通信量的交换。图4是图解说明建立无线网络会话和随后利用建立的会话处理网络通信量的处理的一种实现的例证流程图。网络设备202最初被配置成建立多个无线网络206-212,每个无线网络206-212具有与之相关的不同标识符(动作400)。在一个例证实现中,标识符包括SSID。本领域中已知,网络设备202可被进一步配置成广播SSID中的一个或多个,以便向兼容的客户机设备204通告网络206-212的存在。另一方面,网络设备202可被配置成在协商网络会话之前,要求客户机设备204明确地识别SSID。这种第二种 方法避免对客户机设备的网络206-212的识别不会以其它方式私下知晓网络SSID。 [0030] 一旦建立了无线网络206-212,通过其相关的SSID,每个网络206-212被映射到多个安全区214-220之一上(动作402)。如下详细所述,每个安全区可强制执行不同层次的基于策略的控制,例如通过不同的SSID,从与网络设备202连接的客户机设备204接收的网络通信量服从不同的安全策略和其它验证标准。例如,第一个安全区214可被配置成使与之相关的客户机设备204能够访问可信的网络资源(例如公司LAN内的数据库或文件夹),并阻止对不可信网络资源(例如一般网站)的访问。另一方面,第二个安全区216可被配置成使与之相关的客户机设备204只能够访问不可信网络资源。这样,第二个安全区216可被认为是在数据链路层(例如OSI模型的第二层)有效地与可信网络资源分割开的客户区。
[0031] 一旦无线网络206-212已被映射到安全区214-220,网络设备202准备好接收来自客户机设备的连接请求(动作404)。例如,图2中图解说明的客户机设备204a可通过在动作400中,提交或以其它方式选择与网络206相关的SSID,请求接入网络206。响应连接请求,网络设备202可强制执行与网络206相关的任何无线网络级验证或保密考虑(例如WEP或WPA加密密钥等)(动作406)。假如客户机设备204a正确地提供了网络级(OSI模型的第三层)验证或保密信息,网络设备202可建立与客户机设备204a的无线网络会话(动作408)。
[0032] 一旦建立了会话,网络设备202可通过无线网络206从客户机设备204a接收发往特定网络资源,例如另一计算机或服务器(例如web服务器),连网的存储设备等的网络通信量(动作410)。如上所述,根据用于建立网络会话的SSID,确定接收的网络通信量的源区。更一般地说,从客户机设备204a接收网络通信量可涉及接收指定源地址和目的地地址及端口的一个数据分组或者其它数据单元,以及和所请求的服务或协议的类型有关的指示(例如分组的五元组)。通过检查包括在分组内的信息(例如目的地IP地址和/或端口),网络设备202能够识别 与该分组相关的目的地区。结合通信量的源区,目的地区随后被用于识别要应用的安全策略。例如,客户机设备204a可请求访问通过安全区216中的有线网络连接(例如以太网连接)与网络设备202连接的数据库。应明白客户机设备204a可用的每个网络资源还与安全区214-220之一或者不可信网络222相关联。另外应明白,除了分组的五元组之外,任何适当的分组信息可被用于识别目的地区和/或将对通信量应用的处理。
[0033] 当收到网络通信量时,网络设备202可执行安全策略搜索(动作412),并根据与发出请求的客户机设备204相关的安全区和所请求网络资源的相关安全区,应用任何识别的网络安全策略或者其它网络处理(动作414)。在本例中,应用以来自第一安全区214的对第二安全区216中的资源的请求为基础的安全策略,因为客户机设备204a已通过网络206建立与网络设备202的无线网络会话,并且所需的数据库存在于安全区216中。 [0034] 安全策略的其它例子包括其它层次的加密或验证,例如虚拟专用网络(VPN)连接,IPSec隧道或者类似的加密/验证程序的建立。此外,策略处理还可实现另外的功能,比如URL过滤或者其它基于内容的网络接入限制。除了基于安全性的处理之外,网络设备202还可以实现另外的信息处理,比如信息转换。例如,输入分组可被进行网络地址转换或端口转换,以便修改输出或传送的数据分组中的各条信息。
[0035] 此时,确定应用的安全策略是否允许对所请求资源的访问(动作416)。如果是,那么准许所述访问(动作418)。但是,如果应用的安全策略不准许对所请求资源的访问,那么访问被拒绝(动作420)。
[0036] 本领域中已知,当建立客户机设备204和网络设备202之间的无线会话时,客户机设备204一般被分配与网络相关的IP地址。在多个实现中,这种分配由与网络设备202相关的DHCP服务器(未示出)完成。在按照本发明的原理的一种实现中,DHCP服务器可被配置成根据各种标准(例如媒体存取控制(MAC)地址,物理位置,设备的类型等),把不同范围的IP地址应用于客户机设备。例如,建立网络会话 的客户机设备204a可被分配在10.12.2.10-40范围中的IP地址,而客户机设备204b可被分配在10.12.2.41-100范围中的IP地址。这样,分配的IP地址可被用于把设备映射到几个安全区。
[0037] 图5是图解说明建立无线网络会话和随后利用建立的会话处理网络通信量的处理的一种实现的另一例证流程图。在图5中,网络设备最初被配置成建立具有单一SSID的无线网络(动作500)。
[0038] 一旦无线网络已被建立,与网络设备相关的DHCP服务器可被配置成根据与相应客户机设备相关的各种标准,分配唯一的IP地址范围(动作502)。在按照本发明的原理的一种实现中,每个IP地址范围可被映射到多个安全区中的一个安全区上(动作504)。如下详细所述,每个安全区可以强制执行不同层次的基于策略的控制,例如通过不同IP地址范围从与网络设备连接的客户机设备接收的网络通信量服从不同的安全策略和其它验证标准。例如,第一IP地址范围可被配置成使与之相关的客户机设备能够访问可信网络资源(例如公司LAN内的数据库或文件夹),并阻止对不可信网络资源(例如一般网站)的访问。另一方面,第二IP地址范围可被配置成使与之相关的客户机设备只能够访问不可信网络资源。这样,第二IP地址范围可被分配给具有“客户”状态的客户机,从而在数据链路层(例如OSI模型的第二层)有效地把这些客户机设备与可信网络资源分割开。 [0039] 一旦各个IP地址范围已与安全区相关联,网络设备准备好接收来自客户机设备的连接请求(动作506)。例如,客户机设备可通过在动作500中提交或以其它方式选择与网络相关的SSID,请求接入网络。响应连接请求,网络设备可强制执行与网络相关的任何无线网络安全(例如WEP或WPA加密密钥等)(动作508)。假如客户机设备正确地提供了网络层(OSI模型的第三层)安全信息,网络设备就可建立与客户机设备的无线网络会话(动作510)。
[0040] 一旦建立了会话,网络设备可通过无线网络从客户机设备接收发往特定网络资源,例如另一计算机或服务器(例如web服务器),连网的存储设备等的网络通信量(动作512)。如上所述,根据分配给客户机 设备的IP地址范围,源区被分配给该通信量。通过检查分组中的信息,网络设备可识别与所述通信量相关的目的地区。例如,具有在第一分配IP地址范围(映射到第一安全区)内的第一IP地址的客户机设备可请求访问具有在第二分配IP地址范围(映射到第二安全区)内的IP地址,并且通过有线网络连接(例如以太网连接)与网络设备连接的数据库。应明白客户机设备可用的每个网络资源被分配在各个预定的IP地址范围内的唯一IP地址,从而指定与网络资源相关联的安全区。 [0041] 当收到网络通信量时,网络设备可根据识别的源安全区和目的地安全区,执行安全策略搜索(动作514),并可应用任何识别的网络安全策略(动作516)。在本例中,应用以被分配在第一IP地址范围内的IP地址的客户机设备访问具有在第二IP地址范围中的IP地址的资源的请求为基础的安全策略。
[0042] 此时,确定应用的安全策略是否允许网络通信量传给所请求的资源(动作518)。如果是,那么使通信量通过(动作520)。但是,如果应用的安全策略不准许通信量通过,那么访问被拒绝(动作522)。通过把离散的IP地址范围映射到各个安全区,在其通过网络的整个过程中,和客户机设备的安全级有关的信息可与分组关联起来。
[0043] 例子
[0044] 图6图解说明其中可实现按照本发明的原理的系统和方法的实施例的例证系统600。如图所示,系统600可包括网络设备602和通过无线连接608和610,与网络设备602连接的客户机设备604和606。另外,有线网络资源612、614和616通过有线连接618和
620与网络设备602连接。客户机设备604和606及网络资源612-616中的每一个与四个安全区622、624、626和628之一相关联。按照与本发明的原理一致的方式,客户机设备604和606的安全区关联可建立在客户机设备所连接的无线连接608或610的基础上。有线网络资源612-616的安全区关联可建立在传统的安全处理的基础上。网络设备602还可与不可信网络630,比如外部网络或因特网连接。
620与网络设备602连接。客户机设备604和606及网络资源612-616中的每一个与四个安全区622、624、626和628之一相关联。按照与本发明的原理一致的方式,客户机设备604和606的安全区关联可建立在客户机设备所连接的无线连接608或610的基础上。有线网络资源612-616的安全区关联可建立在传统的安全处理的基础上。网络设备602还可与不可信网络630,比如外部网络或因特网连接。
[0045] 在本实现中,网络设备602从客户机设备604接收两个分组,第 一个分组发往数据库服务器612(由箭头632表示),第二个分组发往web服务器614(由箭头634表示)。根据本发明的原理,响应收到的分组,网络设备602可进行和具有第二安全区624源和第四安全区628目的地的分组相关的策略搜索。该策略搜索显示第二安全区624中的客户机设备604可与数据库服务器612连接,不可与web服务器614连接。类似地,响应从第一安全区622中请求不可信区域630中的因特网资源的客户机设备606接收的分组(由箭头636表示),网络设备602可根据与客户机设备606相关的源安全区,确定这样的分组被准许,从而连接到网络设备602。
[0046] 结论
[0047] 通过根据多个截然不同的SSID分割访问无线网络的客户机设备,按照本发明的原理的实现提供增强的无线网络安全性。这样,按照本发明的原理的系统向连网的客户机设备在较低并且更安全的层次提供明显改进的安全性,而不是完全依赖于较高层的安全性。
[0048] 本发明的例证实施例的上述说明只是出于举例说明的目的,并不是穷尽的或者意图把本发明局限于所公开的具体形式。鉴于上述教导,各种修改和变化是可能的,或者可从本发明的实践获得各种修改和变化。
[0049] 此外,虽然关于图4和5公开了一系列的动作,不过在按照本发明的其它实现中,所述动作的顺序可被改变。此外,不相关的动作可并行实现。
[0050] 另外,对于本领域的普通技术人员来说,如上所述,显然可按照附图中图解说明的实现中的软件、固件和硬件的多个不同形式实现本发明的各个方面。用于实现按照本发明的原理的各个方面的实际软件代码或专用控制硬件并不是本发明的限制。从而,在不参考具体的软件代码的情况下说明了本发明的各个方面的操作和行为-显然本领域的普通技术人员能够根据这里的说明,设计实现所述各个方面的软件和控制硬件。 [0051] 此外,本发明的某些部分可被实现成完成一个或多个功能的“逻 辑部分”。该逻辑部分可包括硬件,比如专用集成电路(ASIC)或者现场可编程门阵列,软件,或者硬件和软件的组合。虽然关于处理消息或分组说明了各个方面,不过这些方面可对任何类型或者形式的数据,包括分组数据和非分组数据起作用。术语“数据单元”可指分组或非分组数据。 [0052] 本发明的说明中使用的任何部件、动作或指令不应被理解为对本发明来说是关键的或者必不可少的,除非明确地这样说明。另外,冠词“a”意图包括一项或多项。在意指仅仅一项的情况下,使用术语“一个”或者类似语言。此外,短评“以...为基础”意图表示“至少部分以...为基础”,除非明确地另作说明。本发明的范围由权利要求和它们的等同物限定。