JP4555235B2 - ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 - Google Patents

ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 Download PDF

Info

Publication number
JP4555235B2
JP4555235B2 JP2006021491A JP2006021491A JP4555235B2 JP 4555235 B2 JP4555235 B2 JP 4555235B2 JP 2006021491 A JP2006021491 A JP 2006021491A JP 2006021491 A JP2006021491 A JP 2006021491A JP 4555235 B2 JP4555235 B2 JP 4555235B2
Authority
JP
Japan
Prior art keywords
network
security
wireless network
client device
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006021491A
Other languages
English (en)
Other versions
JP2006222948A (ja
Inventor
マイケル コンウェイ アダム
クラリッチ リー
モウ ニン
Original Assignee
ジュニパー ネットワークス, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジュニパー ネットワークス, インコーポレイテッド filed Critical ジュニパー ネットワークス, インコーポレイテッド
Publication of JP2006222948A publication Critical patent/JP2006222948A/ja
Application granted granted Critical
Publication of JP4555235B2 publication Critical patent/JP4555235B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本発明は、一般的な無線コンピュータ・ネットワークに関し、特に複数のセキュリティ・インターフェースを含んで構成された無線コンピュータ・ネットワークに関する。
近年、無線ローカル・エリア・ネットワーク(WLANs) が、有線ネットワーク又は標準的なローカル・エリア・ネットワーク(LAN) の安価で有効な拡張を提供することが知られている。図1は、有線及び無線双方のコンポーネントを含む従来のネットワーク100を図示するブロック図である。無線ルータ又はアクセス・ポイント(AP)102を使用することで、ネットワーク100には、例えばサーバ104とローカル・クライアント106のような有線要素及び、例えば無線ネットワーク116を介してアクセス・ポイント(AP)102に接続されたクライアント装置108、110、112、114のような、無線要素が含まれてもよい。最近、無線ローカル・エリア・ネットワーク(WLANs)のほとんどの配置は、規制されていない2.4GHz及び5GHzの周波数スペクトル上で作動する、様々な米国電気電子技術者学会(IEEE)の802.11x規格(例えば802.11b、802.11a及び802.11g)に従っている。ファイアウォール118は、ネットワーク100を保護し、また、インターネットから寄せられる無許可のトラフィックをかわすセキュリティ・ゲートの役割を果たすように実行されてもよい。
操作上、ネットワーク116に関連するサービス・セット識別子(SSID)を選択するか、又はそうでなければサービス・セット識別子(SSID)を特定することによって、クライアント装置108〜114は、無線ネットワーク116に接続してもよい。当該技術分野で知られているように、ネットワーク116を越えるトラフィックは、例えばワイヤード・エクイヴァレント・プライバシー(WEP)又はワイーハイ・プロテクテッド・アクセス(WPA)プロトコルのような、いくつかの利用可能なネットワーク層セキュリティ・プロトコルを使用して暗号化されてもよい。これらのプロトコルの一つが採用されていると仮定する場合、クライアント装置108〜114は、ネットワーク100への接続が認められる前に、暗号鍵かパスワードを入力しなければならない。
残念ながら、一旦許可されると、ネットワーク116への接続は、クライアント装置の使用者に関連する個々のセキュリティ・レベルに拘わらず、ネットワーク116のSSID及び関連するパスワードを有する全てのクライアント装置108〜114に同一に認められる。従って、無線使用者ベースのより低いレベル(例えば、OSIネットワーク参照モデルの第2層)での区分化は不可能になり、その結果、ネットワーク100にセキュリティを提供するために、より高いレベルのセキュリティ手順に対する信頼が必要とされる。
本発明においては、無線ネットワーク方法が提供される。上記方法は、ネットワーク装置によって各ネットワークが識別子を有する多数の無線ネットワークを確立し、上記ネットワーク装置で上記識別子を使用して上記無線ネットワークを介して無線ネットワーク・セッションを確立するためのクライアント装置からの要求を受信し、及び各無線ネットワーク・セッションを確立するために使用される上記識別子に基づいて上記クライアント装置のネットワーク特権を個別のインターフェースに区分することを特徴とする。
本発明においては、また、無線ネットワーク・セキュリティ方法が提供される。この方法は、無線ネットワーク識別子と事前に定められたセキュリティ・ポリシーとの対応関係を定義付け、上記無線ネットワーク識別子の一つを使って無線ネットワークに接続するためのクライアント装置からの要求を受信し、上記クライアント装置と無線ネットワーク・セッションを確立し、上記クライアント装置からの目的先リソースを有するネットワーク・トラフィックを受信し、及び、上記無線ネットワーク・セッションを確立するために使用される上記無線ネットワーク識別子と対応関係が定義付けられた上記事前に定義されたセキュリティ・ポリシーに基づいて上記ネットワーク・トラフィックでセキュリティ・プロセスを実行することを特徴とする。
本発明においては、さらに、無線ネットワーク装置が提供される。上記無線ネットワーク装置は、各個別の無線ネットワーク・インターフェースが関連する識別子を有する個別の無線ネットワーク・インターフェースを提供するように構成されたネットワーク装置であって、上記ネットワーク装置は上記識別子と多数のセキュリティ・ゾーンとの対応関係を定義付けるように構成され、上記ネットワーク装置は上記識別子に基づいてクライアント装置と無線ネットワーク・セッションを確立するように構成され、及び上記ネットワーク装置は、各無線ネットワーク・セッションを確立するために使用される上記識別子と関連する上記セキュリティ・ゾーンに基づいて上記クライアント装置のセキュリティ特権を区分するように構成される。
本発明によれば、多数の個別のSSIDに基づいて、無線ネットワークに接続するクライント装置を区分することによって、強化された無線ネットワーク・セキュリティを提供する。この様に、本発明の原理と一致するシステムは、ネットワーク化されたクライアント装置のための専ら高いレベルでのセキュリティに依存するのではなく、より低くより安全なレベルで実質的に改善されたセキュリティを提供する。
添付図面を参照して、本発明の実施例を以下に詳細に説明する。異なった図面の同じ参照番号は、同一又は同様の要素を表す。また、本発明は、以下の詳細な説明には限定されない。
ここに説明されるように、ネットワーク装置は多数の特有の識別子を介して一つ以上の無線ネットワークへの接続を提供する。その時、例えば、関連するセキュリティ・ゾーンに応じて処理される特有の識別子を介してクライアント装置が無線ネットワークに接続するように、それぞれの特有の識別子は、セキュリティ・ゾーンと関連するか又はセキュリティ・ゾーンとの対応関係が定義付けされる。
図2は、本発明にかかるシステム及び方法の実施例が実行される典型的なシステム200を図示する。図示されるように、システム200には、ネットワーク装置202、多数の無線ネットワーク206、208、210及び212によってネットワーク装置202と接続したクライアント装置204a、204b、204c及び204n(集団としてクライアント装置204)のグループが含まれる。その時、ネットワーク装置202は、それぞれのクライアント装置204と、いずれかが繋げられたネットワーク206〜212上のセキュリティ・ゾーン214、216、218、220の一つ以上との対応関係を定義づけられる。本発明によれば、以下で詳細に追加説明されるように、ゾーン214〜220には伝統的な有線の装置又はネットワークが組み込まれてもよい。また、ネットワーク装置202は、例えば外部ネットワークやインターネットのような信頼できないネットワークと接続されてもよい。
本発明においては、ネットワーク装置202は、無線アクセス・ポイントとネットワーク・ファイアウォール機能性の両方を提供するように構成されてもよい。より具体的には、ネットワーク装置202は、複数の個別の無線ネットワークを提供し、かつ、各ネットワーク間におけるポリシー決定及びファイアウォール決定を実行するように構成されてもよく、その結果実質的に、システム200のセキュリティを向上させる。図2で図示するように、本発明の原理と一致する一実施例において、ネットワーク装置202は、それぞれが個別の関連するSSIDを有する4つの個別の無線ネットワーク206〜212を提供するように構成されてもよい。更に、各無線ネットワーク206〜212は、独自の単一のセキュリティ・ゾーン214、216、218又は220との対応関係が定義付けされてもよい。この様に、各ネットワーク206〜212は、異なるレベルのセキュリティ保護を提供するように構成されてもよい。個別のネットワーク206〜212を提供することによって、ネットワーク装置202は、その各々がセキュリティの見地から完全に構成可能な複数のセキュリティ・インターフェースを、ネットワーク200に提供する。
四つの個別のクライアント装置204が示されたが、図2に図示されたクライアント装置204の台数及び型は容易に提供されることが理解される。実際上、典型的なシステムは、クライアント装置204のどんな台数及び型を含んでもよい。更に、4つのゾーン・セキュリティ・システムについて説明したが、本発明はまた、システム内で物理的又は論理的のいずれかによって構成された複数ゾーンを含んでいて、4以上又は未満の個別のセキュリティ・ゾーンを有するシステムにおいて実施されてもよい。その上、実施例として4つの無線ネットワーク206〜212が示されているが、4つ以上又は4つ未満の無線ネットワークが、本発明の原理に従って実施されてもよい。クライアント装置204は、例えばパーソナル・コンピューター、ラップトップ・コンピューター、或いはネットワーク206〜212及び222を介して、データ通信及び音声通信或いはデータ通信又は音声通信を、開始し、送信し、受信することができる他の装置を含んでもよい。
本発明の原理と一致する一実施例においては、ネットワーク装置202は、無線ネットワーク・トラフィックの送信及び受信が可能で、送信・受信された無線ネットワーク・トラフィックにセキュリティ・ポリシーを適用できる、ハードウェアとソフトウェアのいかなる組み合わせを含んでもよい。以下の付加的な詳細に記述されるように、本発明の原理と一致する一実施例においては、ネットワーク装置202は、多数の異なるSSIDを使用して無線ネットワーク・トラフィックを送信し、受信するように構成されてもよい。この実現においては、各SSIDはセキュリティ・ゾーンと関連する。その時、ネットワーク装置は、使用されるSSIDと関連するセキュリティ・ゾーンに基づいて、トラフィックにセキュリティ・ポリシーを適用してもよい。
信頼できないネットワーク222は、例えば、インターネット、イントラネット、ローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)、あるいはソース装置から目的先装置にデータ通信を送信することができる別の型のネットワークの一つ以上のネットワークを含んでもよい。
図3は、本発明の一実施例の図2におけるネットワーク装置202の典型的構成例である。クライアント装置204が、同様に構成されてもよいことが理解されるでしょう。図示のとおり、ネットワーク装置202には、バス310、処理ロジック320、特定用途向け集積回路(ASIC)330、メモリ340及び一群の通信インターフェース350、が含まれてもよい。バス310は、ネットワーク装置202のコンポーネント間の通信を可能にする。
処理ロジック320には、命令を解釈して実行するどんな型の在来型のプロセッサあるいはマイクロプロセッサが含まれてもよい。特定用途向け集積回路(ASIC)330には、ネットワーク関連機能を実行できる一つ以上の特定用途向け集積回路(ASIC)が含まれてもよい。より明確に、一実施例においては、特定用途向け集積回路(ASIC)は機能性と関連してセキュリティ及びアクセス・ポイントを実行してもよい。
メモリ340には、ランダム・アクセス・メモリ(RAM)又は情報または処理ロジック320によって実行される命令を記憶する別の型のダイナミックメモリ、リード・オンリー・メモリ(ROM)又はスタティックに情報または処理ロジック320によって使用される命令を記憶する別の型のスタティックメモリ、及び(あるいは、又は)数個の別の型の磁気記憶媒体又は光学式記憶媒体とそれに対応する駆動装置、が含まれてもよい。通信インターフェース350には、クライアント装置204及びネットワーク206〜212及び222と関連する装置のような、他の装置及び(あるいは、又は)システムとネットワーク装置202との通信を可能にするどんなトランシーバのようなメカニズムが含まれてもよい。
以下で詳細に説明されるように、本発明のネットワーク装置202は、操作関連のネットワーク通信を実行してもよい。ネットワーク装置202は、これらの操作、及び、例えばメモリ340のようなコンピュータ読み込み可能媒体に含まれていたソフトウェア命令の処理ロジック320による実行に応じた他の操作、を実行してもよい。コンピュータ読み込み可能媒体は、一つ以上のメモリ素子と搬送波、あるいは、一つ以上のメモリ素子又は搬送波でもよい。
ソフトウェア命令は、別のコンピュータ読み込み可能媒体又は通信インターフェース350を介して他の装置から、メモリ340に読み込まれてもよい。メモリ340に含まれたソフトウェア命令は、処理ロジック320に後述される処理を実行させてもよい。あるいはまた、物理的に組み込まれた回路は、本発明の原理と一致する処理を実行するソフトウェア命令の代わりに、又はそのソフトウェア命令と一緒に使用されてもよい。
上述のとおり、ネットワーク装置202は、複数の無線セキュリティ・ゾーンの確立を可能にし、交換可能なゾーン間でのネットワーク・トラフィックの交換を容易にする。図4は、無線ネットワーク・セッションを確立する処理と、確立されたセッションを使用したネットワーク・トラフィックの次の取扱の一実施例を図示した典型的なフローチャートである。ネットワーク装置202は、最初に各ネットワーク206〜212が関連する個別の識別子を有する多数の無線ネットワーク206〜212を確立するために構成される(ステップ400)。典型的な一実施例において、上記識別子はサービス・セット識別子(SSID)を含む。当該技術分野で知られているように、ネットワーク装置202は、更に、クライアント装置204と交換可能なネットワーク206〜212の存在を発表するために、一以上のサービス・セット識別子(SSID)をブロードキャスト伝送するように構成されてもよい。あるいは、ネットワーク装置202は、ネットワーク・セッションを取り決める前に、クライアント装置204によってサービス・セット識別子(SSID)の明示的な識別を要求するように構成されてもよい。この第2の方法は、そうでなければ上記ネットワークSSIDに関与していないクライアント装置に対し、ネットワーク206〜212の識別を防ぐ。
一旦無線ネットワーク206〜212が確立されると、各ネットワーク206〜212は、それぞれその関連するSSIDを通じて、多数のセキュリティ・ゾーン214〜220の一つと対応関係が定義付けされる(ステップ402)。以下の追加的な詳細に記述されるように、異なるSSIDを通じてネットワーク装置202に接続された、クライアント装置204から受信されたネットワーク・トラフィックが、異なるセキュリティ・ポリシー又は認証基準に従うように、各セキュリティ・ゾーンは、ポリシー・ベースの制御の異なったレベルを実行してもよい。例えば、第1セキュリティ・ゾーン214は、クライアント装置204と関連し,その上で、信頼できるネットワーク・リソース (例えば、企業LANのデータベースあるいはフォルダー)への接続を可能にし、信頼できないネットワーク・リソース(例えば、一般的なウェブ・サイト)への接続を防ぐように構成されてもよい。あるいは、第2セキュリティ・ゾーン216は、クライアント装置204と関連し、その上で、信頼できないネットワーク・リソースにのみ接続可能なように構成されてもよい。この様に、第二ゾーン216は、データ・リンク・レベル(例えば、OSI参照モデルの第2層)で信頼できるネットワーク・リソースから効果的に仕切られたゲスト・ゾーンと見なされてもよい。
一旦無線ネットワーク206〜212がセキュリティ・ゾーン214〜220と対応関係を定義付けられると、ネットワーク装置202は、クライアント装置からの接続要求に準備ができている(ステップ404)。例えば、図2に図示されたクライアント装置204aは、ステップ400においてネットワーク206と関連するSSIDに従うかそうでなければ選択することによって、ネットワーク206への接続を要求してもよい。接続要求に応じて、ネットワーク装置202は、ネットワーク206に関連するいかなる無線ネットワーク・レベル認証又は個人考察(例えば、ワイヤード・エクイヴァレント・プライバシー(WEP)又はワイ−ハイ・プロテクテド・アクセス(WPA)の暗号鍵等)を実行してもよい(ステップ406)。ネットワーク・レベル(OSI参照モデル第3層)認証又は個人情報が、クライアント装置204aによって適切に提供されれば、ネットワーク装置202は、クライアント装置204aとの無線ネットワーク・セッションを確立してもよい(ステップ408)。
一旦セッションが確立されると、ネットワーク装置202は、無線ネットワーク406を介して、例えば別のコンピュータ又はサーバ(例えば、ウェブ・サーバ)、ネットワーク化された記憶装置等の、特定のネットワーク・リソースに向けられたクライアント装置204aからのネットワーク・トラフィックを受信してもよい(ステップ410)。上で議論するように、受信されたネットワーク・トラフィックのためのソース・ゾーンは、上記ネットワーク・セッションを確立するために使用されるSSIDに基づいて決定される。より一般的な用語では、クライアント装置204aからのネットワーク・トラフィックの受信には、指示が要求されたサービス又はプロトコルの型(例えば、5組のパケット)と見なされるように、パケット又はソースと目的先アドレスとポートを明示する他のデータの一団を受信することが包含されてもよい。上記パケット内に含まれた情報(例えば、上記目的先IPアドレス及びポート、あるいは、上記目的先IPアドレス又はポート)を検討することにより、ネットワーク装置202は、上記パケットと関連する上記目的先ゾーンを識別してもよい。その時、上記目的先ゾーンは、上記トラフィックの上記ソース・ゾーンと組み合わされて、適用される上記セキュリティ・ポリシーを識別するために使用される。例えば、クライアント装置204aは、セキュリティ・ゾーン216内の有線ネットワーク接続(例えば、イーサネット(登録商標)接続)によってネットワーク装置202と接続されたデータベースとの接続を要求してもよい。クライアント装置204aに利用可能な各ネットワーク・リソースが、セキュリティ・ゾーン214〜220の一つ、又は信頼できないネットワーク222と関連するが理解される。更に、5組のパケットに加えて、適切なパケット情報ならどれでも、目的先ゾーン及びトラフィックに適用された処理、あるいは、目的先ゾーン又はトラフィックに適用された処理を、識別するために利用されてもよいことが理解される。
上記ネットワーク・トラフィックを受け取り次第、ネットワーク装置202は、セキュリティ・ポリシー検索を実行してもよく(ステップ412)、上記要求及び上記要求されたネットワーク・リソースの上記適切なセキュリティ・ゾーンを作りながら、上記クライアント装置204と関係する上記セキュリティ・ゾーンに基づいて、どんな識別されたネットワーク・セキュリティ・ポリシー又は他のネットワーク処理が適用されてもよい(ステップ414)。現在の例において、既にクライアント装置204aがネットワーク206を介してネットワーク装置202と無線ネットワーク・セッションを確立し、希望のデータベースがゾーン216内にあるので、第2セキュリティ・ゾーン216内のリソースのための第1セキュリティ・ゾーン214からの要求に基づいたセキュリティ・ポリシーが適用される。
セキュリティ・ポリシーの追加例は、例えば、仮想プライベート・ネットワーク(VPN)接続、IPSecトンネル又は同様の暗号化手順或いは同様の認証手順の確立のような、暗号化又は認証の追加レベルを含んでもよい。その上、上記ポリシー・プロセスは、例えば、ネットワーク・アクセス上で、URLフィルタリング又は他の内容に基づく規制などの、追加の機能を更に実行してもよい。セキュリティ・ベースの処理に加えて、例えば情報翻訳のような追加的な情報処理が、ネットワーク装置202によって実効されてもよい。例えば、入力パケットは、出力パケット或いは送信データ・パケット中の様々な情報を修正するような、翻訳されたネットワーク・アドレス又は翻訳されたポートであってもよい。
この時点で、上記適用されたセキュリティ・ポリシーは、上記要求されたリソースへの上記接続を許可するかどうかを決定する(ステップ416)。もしそうなら、上記接続は許可される(ステップ418)。しかしながら、もし上記適用されたセキュリティ・ポリシーが上記要求されたリソースへの接続を許可しなければ、接続は否定される(ステップ420)。
当該技術分野で知られているように、クライアント装置204とネットワーク装置202との間で無線ネットワーク・セッションが確立される際、通常、クライアント装置204には上記ネットワークに関連するIPアドレスが割り当てられる。多くの実現において、この割り当ては、ネットワーク装置202に関連する(図示されない)動的ホスト構成プロトコル(DHCP)サーバによって行われる。本発明の原理と一致する一実施例においては、上記動的ホスト構成プロトコル(DHCP)サーバは、様々な基準(例えば、媒体アクセス制御(MAC)アドレス、物理ロケーション、装置の型等)に基づいて、クライアント装置に対してIPアドレスの異なる範囲を適用するように構成されてもよい。例えば、ネットワーク・セッションを確立するクライアント装置204aには、10.12.2.10〜10.12.2.40の範囲のIPアドレスが割り当てられてもよく、一方、クライアント装置204bには、10.12.2.41〜10.12.2.100の範囲のIPアドレスが割り当てられてもよい。この様に、割り当てられたIPアドレスは、装置といくつかのセキュリティ・ゾーンとの対応関係を定義付けるのに使用されてもよい。
図5は、ネットワーク・セッションを確立するための処理と、上記確立されたセッションを使用するネットワーク・トラフィックのその後の取扱の一実施例、を図示した別の典型的なフローチャートである。図5において、上記ネットワーク装置は、最初に単一のSSIDを有する無線ネットワークを確立ように構成されてもよい(ステップ500)。
一旦上記無線ネットワークが確立されると、上記ネットワーク装置と関連する動的ホスト構成プロトコル(DHCP)サーバは、上記個々のクライアント装置に関連する様々な基準に基づいて、特有のIPアドレス・レンジを割り当てるように構成されてもよい(ステップ502)。本発明の原理と一致する一実施例においては、各IPアドレス・レンジは、多数のセキュリティ・ゾーンの一つと対応関係が定義付けられてもよい(ステップ504)。以下の追加的な詳細で記述されるように、異なるIPアドレス・レンジを通じてネットワーク装置に接続された、クライアント装置から受信されたネットワーク・トラフィックが、異なるセキュリティ・ポリシー及び他の認証基準に従うように、各セキュリティ・ゾーンは、ポリシー・ベースの制御の異なったレベルを実行してもよい。例えば、第1IPアドレス・レンジは、クライアント装置と関連し、そのうえで、信頼できるリソース(例えば、企業LAN内のデータベース又はフォルダー)とは接続でき、信頼できないリソースとは接続を妨げることができるように構成されてもよい。或いは、第2IPアドレス・レンジは、クライアント装置と関係し、そのうえで、信頼できないネットワーク・リソースにのみ接続できるように構成されてもよい。この様に、上記第2IPアドレス・レンジは、事実上これらのクライアント装置をデータ・リンク・レベル(例えば、OSI参照モデルの第2層)で信頼できるネットワーク・リソースから区分するように、「ゲスト」の地位を有するクライアント装置に割り当てられてもよい。
一旦、上記様々なIPアドレス・レンジが上記セキュリティ・ゾーンと関係すると、上記ネットワーク装置はクライアント装置からの接続要求を受信する準備ができている(ステップ506)。例えば、クライアント装置は、行為500において上記ネットワークと関係した上記SSIDに従い、又は、そうでなければ選択することによって、上記ネットワークへの接続を要求してもよい。上記接続要求に応じて、上記ネットワーク装置は、上記ネットワークと関係するどんな無線ネットワーク・セキュリティ(例えば、WEP又はWPAの暗号鍵等)を実行してもよい(ステップ508)。クライアント装置によって、上記ネットワーク層(OSI参照モデルの第3層)のセキュリティ情報が適切に提供されれば、上記ネットワーク装置はクライアント装置と無線ネットワーク・セッションを確立してもよい(ステップ510)。
一旦セッションが確立されれば、上記ネットワーク装置は、例えば、他のコンピュータ又はサーバ(例えば、ウェブ・サーバ)又は上記無線ネットワークを介してネットワーク化された記憶装置等の特別のネットワーク・リソースに向けられた、上記クライアント装置からのネットワーク・トラフィックを受信してもよい(ステップ512)。上述のように、ソース・ゾーンは、上記クライアント装置に割り当てられた上記IPアドレスに基づいて上記トラフィックに割り当てられる。上記パケット中の上記情報を検討することで、上記ネットワーク装置は、上記トラフィックと関係した上記目的先ゾーンを識別してもよい。例えば、上記割り当てられたIPアドレス(第1ゾーンと対応関係が定義付けられた)の第1レンジ内の最初のIPアドレスを有する上記クライアント装置は、割り当てられたIPアドレス(第2ゾーンと対応関係が定義付けられた)の第2レンジ内のIPアドレスを有し有線ネットワーク接続(例えば、イーサネット(登録商標)接続)によって上記ネットワーク装置と接続された、データベースとの接続を要求してもよい。上記クライアント装置に利用可能な各ネットワーク・リソースは、上記様々な事前に決定されたIPアドレス・レンジ内の特有のIPアドレスに割り当てられ、それによって、上記ネットワーク・リソースと関連している上記セキュリティ・ゾーンが指定されるのが理解されるでしょう。
上記ネットワーク・トラフィックを受け取り次第、上記ネットワーク装置は、上記識別されたソースと目的先セキュリティ・ゾーンに基づいて、セキュリティ・ポリシー検索を実行してもよく(ステップ514)、どんな識別されたネットワーク・セキュリティ・ポリシーを適用してもよい(ステップ516)。現在の例では、第2IPアドレス・レンジ内の一つのIPアドレスを有するリソースに接続するための、第1IPアドレス・レンジ内の一つのIPアドレスが割り当てられたクライアント装置からの要求に基づいたセキュリティ・ポリシーが適用される。
この時に、上記適用されたセキュリティ・ポリシーは、上記ネットワーク・トラフィックが上記要求されたリソースへ通過することを許可するかどうか決定する(ステップ518)。決定されれば、上記トラフィックは、通過する(ステップ520)。しかしながら、上記適用されたセキュリティ・ポリシーが、上記トラフィックの通過を許可しなければ、接続は拒否される(ステップ522)。個別のIPアドレス・レンジを個々のセキュリティ・ゾーンと対応関係を定義づけることで、クライアント装置のセキュリティ・レベルに関する情報は、上記ネットワークを通じたパケット通過の至る所でパケットと関係してもよい。
図6は、本発明のシステム及び方法の実施例が実行される典型的システム600を図示している。図示のとおり、システム600はネットワーク装置602、及び無線接続608及び610によってネットワーク装置602と接続されたクライアント装置604及び606を含んでもよい。さらに、有線ネットワーク・リソース612、614及び616は、有線接続618及び620によって同様にネットワーク装置602に接続される。各クライアント装置604及び606とネットワーク・リソース612〜616は4つのセキュリティ・ゾーン622、624、626及び628のうちの一つと関係する。本発明の方法では、クライアント装置604と606の上記セキュリティ・ゾーンの連携は、上記クライアント装置が接続されている無線接続608又は610のいずれかに基づいてもよい。有線ネットワーク・リソース612〜616のためのセキュリティ・ゾーンの連携は、伝統的なセキュリティ・プロセスに基づいてもよい。ネットワーク装置602も同様に、例えば、外部ネットワーク又はインターネットのような、信頼できないネットワーク630に接続されてもよい。
現在の実施においては、ネットワーク装置602は、クライアント装置604から、第1のパケットはデータベース・サーバ612に向けられ(矢印632によって表されている)第2のパケットはウェブ・サーバ614に向けられている(矢印634によって表されている)2パケットを受信する。本発明に従って、パケットを受信次第、ネットワーク装置602は、第2ゾーンをソースとし第4ゾーンを目的先とするパケットに関係するポリシー検索を実行してもよい。上記ポリシー検索は、第2ゾーン624内のクライアント装置604が、データベース・サーバ612とは接続され、ウェブ・サーバ614とは接続されないことを明らかにしてもよい。同様に、信頼できないゾーン630内のインターネット・リソースを要求する(矢印636で表されている)第1ゾーン622内のクライアント装置606からのパケットを受け取り次第、ネットワーク装置602は、そのようなパケットが、ネットワーク装置602と接続するためにクライアント装置606に関連する上記ソース・セキュリティ・ゾーンに基づいて許可されるかを決定してもよい。
本発明の典型的な実施例の先の記述は、図示及び記述により提供されるが、網羅的であること、又は明らかにされた正確な書式に本発明を制限すること、を意味するものではない。変更等は、上記の教えに照らして可能であるし、本発明の実施を通じて習得されてもよい。
その上、一連のステップは図4及び5に関係して明らかにされているが、ステップの順番は、本発明の他の実施態様において変化してもよい。さらに、非依存的なステップは並行して実行されてもよい。
上述のように、本発明の局面が、図面に図示された実現の中の多くの異なった形式のソフトウェア、ファームウェア及びハードウェアにおいて実行されてもよいことが、当該技術分野における通常の技能の一つであることは明らかである。本発明を実行するために使われる実際のソフトウェア・コード又は専用の制御ハードウェアは、本発明においては制限されていない。従って、本発明の効果と作用は、特定のソフトウェア・コードを参照することなく記述されているため、本記述に基づいて、実施をするためにソフトウェアを設計しハードウェアを制御することを可能にすることは、当該技術分野の通常の技能の一つである。
さらに、本発明のある部分は、1以上の機能を提供する「ロジック」として実現されてもよい。このロジックは、特定用途向け集積回路(ASIC)又はフィールド・プログラム可能なゲート・アレイの様なハードウェア、ソフトウェア、又はハードウェアとソフトウェアの組み合わせを含んでもよい。局面は処理メッセージ又はパケットの点から記述されているが、これらの局面は、パケットデータや非パケットデータを含むデータのいかなる型や形式で作動してもよい。上記「データ・ユニット」という用語は、パケットデータ或いは非パケットデータを示してもよい。
は、従来のコンピュータ・ネットワークを図示する一般的なブロック図である。 は、本発明のシステム及び方法のいずれかにおいて実行される典型的なシステムを図示している。 は、本発明の原理と一致する一実施例における、ネットワーク装置の典型的構成を図示している。 は、無線ネットワーク・セッションを確立し、ネットワーク・トラフィックを扱うための処理の一つの実現を図示する典型的なフローチャートである。 は、無線ネットワーク・セッションを確立し、ネットワーク・トラフィックを扱うための処理の別の実現を図示する典型的なフローチャートである。 は、本発明のシステム及び方法のいずれかにおいて実行される別の典型的なシステムを図示している。
符号の説明
ネットワーク:100、206、208、210、212
ルータ又はアクセス・ポイント:102
サーバ:104
ローカル・クライアント:106
クライアント装置:108、110、112、114、204a、204b、204c、204n、604、606
無線ネットワーク:116
ファイアウォール:118
インターネット:120
システム:200、600
ネットワーク装置:202、602
セキュリティ・ゾーン:214、216、218、220、622、624、626、628
信頼できないネットワーク:222、630
バス:310
処理ロジック:320
特定用途向け集積回路(ASIC):330
メモリ:340
通信インターフェース:350
無線接続:608、610
ネットワーク資源:612、614、616
有線接続:618、620

Claims (11)

  1. ネットワーク装置によって各ネットワークが識別子を有する多数の無線ネットワークを確立し、
    前記識別子と、複数の異なるセキュリティ・ゾーンとの間の対応関係を定義付け、
    前記ネットワーク装置で前記識別子を使用して前記無線ネットワークを介して無線ネットワーク・セッションを確立するためのクライアント装置からの要求を受信し、
    前記要求に基づいて前記クライアント装置を認証し、
    認証に成功した場合に前記クライアント装置と前記無線ネットワーク・セッションを確立し、
    前記無線ネットワーク・セッションの間に前記クライアント装置から目的先アドレスを含むネットワーク・トラフィックを受信し、
    前記目的先アドレスを使用して前記セキュリティ・ゾーンの中から目的先セキュリティ・ゾーンを識別し、
    前記識別子に基づき前記クライアント装置のうちの1つと関連するソース・セキュリティ・ゾーンを前記セキュリティ・ゾーンのうちから識別し、
    前記目的先セキュリティ・ゾーンに適用される第1のセキュリティ・ポリシーを識別するために、かつ、前記ソース・セキュリティ・ゾーンに適用される前記第1のセキュリティ・ポリシーとは異なる第2のセキュリティ・ポリシーを識別するために、セキュリティ・ポリシー検索を実行し、
    識別された前記第1のセキュリティ・ポリシーと識別された前記第2のセキュリティ・ポリシーとに基づき前記ネットワーク・トラフィックにセキュリティ・プロセスを実行し、
    前記セキュリティ・プロセスの結果に基づいて、前記ネットワーク・トラフィックを前記目的地セキュリティ・ゾーンへ選択的に送信する
    ことを特徴とする無線ネットワークの使用方法。
  2. 前記識別子がサービス・セット識別子(SSID)である、請求項1記載の無線ネットワークの使用方法。
  3. 請求項記載の無線ネットワークの使用方法において、
    セキュリティ・プロセスには、前記ネットワーク・トラフィックが前記クライアント装置のうちの1つへ通過するのを許可するかどうかを決定することを含むことを特徴とする無線ネットワークの使用方法。
  4. 請求項記載の無線ネットワークの使用方法において、
    セキュリティ・プロセスの実行には事前に定められた前記クライアント装置のうちの1つへの接続を無効にするためのユニフォーム・リソース・ロケーター(URL)フィルタリングを含むことを特徴とする無線ネットワークの使用方法。
  5. 請求項記載の無線ネットワークの使用方法において、
    セキュリティ・プロセスを実行することにはネットワーク・アドレス変換を実行することを特徴とする無線ネットワークの使用方法。
  6. 請求項1記載の無線ネットワークの使用方法において、
    前記クライアント装置に割り当てるために、前記識別子と個別のインターネット・プロトコル(IP)・アドレス・レンジとの対応関係を定義づけ、及び
    各無線ネットワークを確立するために使用される一個の識別子に関連する前記個別のIPアドレス・レンジに基づき前記クライアント装置のセキュリティ特権を区分することを特徴とする無線ネットワークの使用方法。
  7. 請求項記載の無線ネットワークの使用方法において、
    ネットワーク・リソースに接続するためのクライアント装置からの要求を受信し、
    前記クライアント装置に関連するソースIPアドレスを識別し、
    前記要求されたネットワーク・リソースに関係する個別のIPアドレスを識別し、及び
    前記識別されたソースIPアドレス及び目的先IPアドレスに基づいて前記要求においてセキュリティ・プロセスを実行することを特徴とする無線ネットワークの使用方法。
  8. 請求項1記載の無線ネットワークの使用方法において、
    前記無線ネットワーク・セッションを確立する前に前記クライアント装置においてネットワーク・レベル認証を実行することを特徴とする無線ネットワークの使用方法。
  9. ネットワーク・セキュリティを提供するためのネットワーク装置であって、
    各個別の無線ネットワーク・インターフェースが関連する識別子を有する無線ネットワーク・インターフェースを提供する手段と、
    前記識別子と、異なるセキュリティ・ゾーンとの対応関係を定義付ける手段と、
    前記識別子に基づいてクライアント装置と無線ネットワーク・セッションを確立する手段と、
    各無線ネットワーク・セッションを確立するために使用される前記識別子との一つと関連する前記セキュリティ・ゾーンに基づいて前記クライアント装置のセキュリティ特権を区分する手段と、
    前記クライアント装置からのネットワーク・リソースに接続するための要求を受信する手段と、
    前記クライアント装置と関連するソース・セキュリティ・ゾーンを識別する手段と、
    前記要求されたネットワーク・リソースの目的先セキュリティ・ゾーンを識別する手段と、
    前記目的先セキュリティ・ゾーンに適用される第1のセキュリティ・ポリシー及び前記ソース・セキュリティ・ゾーンに適用される第1のセキュリティ・ポリシーとは異なる第2のセキュリティ・ポリシーを識別するためにセキュリティ・ポリシー・検索を実行する手段と、
    前記第1のセキュリティ・ポリシー及び第2のセキュリティ・ポリシーに基づいて前記要求においてセキュリティ・プロセスを実行する手段と、
    を含むネットワーク装置。
  10. 請求項記載の前記ネットワーク装置であって、
    前記ネットワーク装置は前記識別子が個別のインターネット・プロトコル(IP)アドレス・レンジを構成し、
    前記個別のIPアドレス・レンジとセキュリティ・ゾーンとの対応関係を定義付ける手段と、及び
    前記個別のIPアドレス・レンジとの対応関係が定義づけられた前記セキュリティ・ゾーンに基づいて、前記クライアント装置のセキュリティ特権を区分する手段と、を含むネットワーク装置。
  11. 請求項1記載のネットワーク装置であって、
    ネットワーク・リソース、前記ネットワーク・リソースにおいては前記クライアント装置に割り当てられた前記個別のIPアドレス・レンジがソース・セキュリティ・ゾーンと関連している、に向けられたクライアント装置からのネットワーク・トラフィックを受信する手段と、
    前記ネットワーク・リソース、前記ネットワーク・リソースにおいては目的先IPアドレスは目的先セキュリティ・ゾーンと関連している、と関連する目的先IPアドレスを識別する手段と、及び
    前記識別されたソース・セキュリティ・ゾーン及び目的先・セキュリティ・ゾーンに基づいて前記要求においてセキュリティ・プロセスを実行する手段と、をさらに含むネットワーク装置。
JP2006021491A 2005-02-07 2006-01-30 ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法 Expired - Fee Related JP4555235B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/051,486 US7627123B2 (en) 2005-02-07 2005-02-07 Wireless network having multiple security interfaces

Publications (2)

Publication Number Publication Date
JP2006222948A JP2006222948A (ja) 2006-08-24
JP4555235B2 true JP4555235B2 (ja) 2010-09-29

Family

ID=36291941

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006021491A Expired - Fee Related JP4555235B2 (ja) 2005-02-07 2006-01-30 ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法

Country Status (4)

Country Link
US (3) US7627123B2 (ja)
EP (1) EP1689206B1 (ja)
JP (1) JP4555235B2 (ja)
CN (1) CN1819540B (ja)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7627123B2 (en) 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces
US8255681B2 (en) * 2005-03-10 2012-08-28 Ibahn General Holdings Corporation Security for mobile devices in a wireless network
US10764264B2 (en) 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
US8707395B2 (en) * 2005-07-11 2014-04-22 Avaya Inc. Technique for providing secure network access
US20070028273A1 (en) * 2005-07-28 2007-02-01 Zanaty Farouk M Wireless satellite transverser with secured wireless infrastructure/ad-hoc modes
CN100450067C (zh) * 2005-11-18 2009-01-07 华为技术有限公司 业务设备交换网络及交换方法
KR100819036B1 (ko) * 2005-12-08 2008-04-02 한국전자통신연구원 패킷의 헤더정보를 이용한 트래픽 인증장치와 그 방법
CN101395896B (zh) 2006-03-10 2012-12-05 英国电讯有限公司 在被叫方不可接通的情况下的呼叫完成服务
US8483126B2 (en) 2006-05-23 2013-07-09 British Telecommunications Plc Multi-network mobile communications systems and/or methods
US20160248813A1 (en) * 2006-08-23 2016-08-25 Threatstop, Inc. Method and system for propagating network policy
DE102006041341A1 (de) * 2006-09-01 2008-03-20 Fachhochschule Frankfurt Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung
EP1912401A1 (en) * 2006-10-10 2008-04-16 British Telecommunications Public Limited Company Wireless access hub
US7924793B2 (en) * 2006-11-20 2011-04-12 At&T Intellectual Property I, L.P. Methods and apparatus to manage bandwidth in a wireless network
US8412942B2 (en) * 2007-01-22 2013-04-02 Arris Group, Inc. Method and system for seamless SSID creation, authentication and encryption
JP2008206102A (ja) * 2007-02-22 2008-09-04 Nippon Telegraph & Telephone West Corp メッシュ型無線lanを用いたモバイルコミュニケーションシステム
JP4957301B2 (ja) * 2007-03-07 2012-06-20 沖電気工業株式会社 無線lan通信装置
JP4950705B2 (ja) * 2007-03-14 2012-06-13 株式会社エヌ・ティ・ティ・ドコモ 通信制御システム及び通信制御方法
US20080250478A1 (en) * 2007-04-05 2008-10-09 Miller Steven M Wireless Public Network Access
JP4812123B2 (ja) * 2007-06-15 2011-11-09 株式会社リコー 情報処理装置およびプログラム
WO2009051528A1 (en) * 2007-10-17 2009-04-23 Telefonaktiebolaget Lm Ericsson (Publ). Method and arragement for deciding a security setting
JP4827868B2 (ja) * 2008-03-11 2011-11-30 日本電信電話株式会社 ネットワーク接続制御システム、ネットワーク接続制御プログラムおよびネットワーク接続制御方法
JP5925223B2 (ja) * 2008-09-22 2016-05-25 沖電気工業株式会社 アクセスポイント、管理装置、コントローラ、プログラム、及びアクセスポイントの設定方法
US9119070B2 (en) * 2009-08-31 2015-08-25 Verizon Patent And Licensing Inc. Method and system for detecting unauthorized wireless devices
JP5464960B2 (ja) * 2009-10-05 2014-04-09 キヤノン株式会社 通信装置及び通信装置の通信方法並びにプログラム
US8437773B2 (en) * 2009-12-09 2013-05-07 Qualcomm Incorporated Hierarchical information dissemination for location based systems
US8948057B2 (en) * 2009-12-15 2015-02-03 At&T Intellectual Property I, L.P. Securing uniform resource identifier information for multimedia calls
US20110196973A1 (en) * 2010-02-05 2011-08-11 Interdigital Patent Holdings, Inc. Method and apparatus for inter-device session continuity (idsc) of multi media streams
US8462722B2 (en) * 2010-03-26 2013-06-11 Telefonaktiebolaget L M Ericsson (Publ) Access control for machine-type communication devices
JP5488134B2 (ja) * 2010-04-01 2014-05-14 セイコーエプソン株式会社 通信システム及び通信方法
CA2835243A1 (en) * 2011-05-13 2012-11-22 Blackberry Limited Automatic access to network nodes
CN102869012B (zh) * 2011-07-05 2018-11-06 横河电机株式会社 无线局域网接入点设备和***以及相关方法
CN102932382B (zh) * 2011-08-08 2018-03-23 中兴通讯股份有限公司 安全按需供给方法及***、业务类型获取方法
US9419941B2 (en) * 2012-03-22 2016-08-16 Varmour Networks, Inc. Distributed computer network zone based security architecture
US8806575B2 (en) * 2012-07-11 2014-08-12 International Business Machines Corporation Network selection tool for information handling system
US9118588B2 (en) * 2012-12-20 2015-08-25 Cisco Technology, Inc. Virtual console-port management
CN104283848B (zh) * 2013-07-03 2018-02-09 新华三技术有限公司 终端接入方法和装置
US9197643B2 (en) 2013-07-22 2015-11-24 Bank Of America Corporation Application and permission integration
US9027106B2 (en) * 2013-08-14 2015-05-05 Bank Of America Corporation Organizational attribution of user devices
US9497194B2 (en) * 2013-09-06 2016-11-15 Oracle International Corporation Protection of resources downloaded to portable devices from enterprise systems
JP6381211B2 (ja) * 2014-01-07 2018-08-29 キヤノン株式会社 画像形成装置及びその制御方法
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9699027B2 (en) * 2014-09-23 2017-07-04 Cisco Technology, Inc. Bifurcated control and management planes for fiber channel networks
US9307451B1 (en) * 2014-12-02 2016-04-05 International Business Machines Corporation Dynamic enterprise boundary determination for external mobile devices
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9825954B2 (en) * 2015-05-26 2017-11-21 Holonet Security, Inc. Stateful user device identification and binding for cloud application security
US9900162B2 (en) * 2015-11-11 2018-02-20 At&T Mobility Ii Llc System and method for wireless network management
US11363022B2 (en) * 2016-03-28 2022-06-14 Zscaler, Inc. Use of DHCP for location information of a user device for automatic traffic forwarding
US11985129B2 (en) * 2016-03-28 2024-05-14 Zscaler, Inc. Cloud policy enforcement based on network trust
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10972474B2 (en) 2017-04-18 2021-04-06 International Business Machines Corporation Logical zones for IoT devices
US10645121B1 (en) * 2017-12-11 2020-05-05 Juniper Networks, Inc. Network traffic management based on network entity attributes
WO2020221454A1 (en) * 2019-05-02 2020-11-05 Huawei Technologies Co., Ltd. Network device and method for policy based access to a wireless network
WO2021023376A1 (en) * 2019-08-06 2021-02-11 Huawei Technologies Co., Ltd. Passing restricted network access credentials for visibly present user devices
US20230188570A1 (en) * 2021-12-13 2023-06-15 Juniper Networks, Inc. Using zones based on entry points and exit points of a network device to apply a security policy to network traffic
CN118158347A (zh) * 2022-11-29 2024-06-07 中兴通讯股份有限公司 一种网络会议管理方法和装置
US12003479B1 (en) * 2023-05-22 2024-06-04 Uab 360 It Conflict resolution to enable access to local network devices via mesh network devices

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003055151A1 (en) * 2001-12-20 2003-07-03 Cranite Systems, Inc. Personal virtual bridged local area networks
JP2004272905A (ja) * 2003-03-06 2004-09-30 Microsoft Corp 仮想ネットワーク・トポロジの生成
US6950628B1 (en) * 2002-08-02 2005-09-27 Cisco Technology, Inc. Method for grouping 802.11 stations into authorized service sets to differentiate network access and services

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2950628A (en) * 1958-12-22 1960-08-30 Falk Corp Speed reducer
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US6847620B1 (en) 1999-05-13 2005-01-25 Intermec Ip Corp. Mobile virtual LAN
TW463520B (en) * 1999-07-30 2001-11-11 Sony Corp Organic electroluminescent device
US8832852B2 (en) * 2000-08-28 2014-09-09 Contentguard Holdings, Inc. Method and apparatus for dynamic protection of static and dynamic content
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20030035398A1 (en) 2001-08-15 2003-02-20 Takayuki Sato Wireless VLAN construction method in wireless LAN system, VLAN packet processing program for wireless interconnecting device, recording medium on which VLAN packet processing program for wireless interconnecting device is recorded, wireless interconnecting device having VLAN function and wireless VLAN system
US7986937B2 (en) * 2001-12-20 2011-07-26 Microsoft Corporation Public access point
US7778606B2 (en) * 2002-05-17 2010-08-17 Network Security Technologies, Inc. Method and system for wireless intrusion detection
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7308703B2 (en) * 2002-12-18 2007-12-11 Novell, Inc. Protection of data accessible by a mobile device
US9237514B2 (en) * 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US9197668B2 (en) * 2003-02-28 2015-11-24 Novell, Inc. Access control to files based on source information
US20080109679A1 (en) * 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device
EP1690363A4 (en) * 2003-12-03 2012-02-08 Safend Ltd METHOD AND SYSTEM FOR ENHANCING THE SECURITY OF A COMPUTER NETWORK
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7492744B2 (en) * 2004-02-06 2009-02-17 Symbol Technologies, Inc. Method and system for multiple basic and extended service set identifiers in wireless local area networks
US7216365B2 (en) * 2004-02-11 2007-05-08 Airtight Networks, Inc. Automated sniffer apparatus and method for wireless local area network security
US7536723B1 (en) * 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
ATE451806T1 (de) * 2004-05-24 2009-12-15 Computer Ass Think Inc System und verfahren zum automatischen konfigurieren eines mobilen geräts
US20060193300A1 (en) * 2004-09-16 2006-08-31 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and apparatus for monitoring multiple network segments in local area networks for compliance with wireless security policy
US20060068799A1 (en) * 2004-09-27 2006-03-30 T-Mobile, Usa, Inc. Open-host wireless access system
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US20060133338A1 (en) * 2004-11-23 2006-06-22 Interdigital Technology Corporation Method and system for securing wireless communications
US7627123B2 (en) 2005-02-07 2009-12-01 Juniper Networks, Inc. Wireless network having multiple security interfaces

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003055151A1 (en) * 2001-12-20 2003-07-03 Cranite Systems, Inc. Personal virtual bridged local area networks
US6950628B1 (en) * 2002-08-02 2005-09-27 Cisco Technology, Inc. Method for grouping 802.11 stations into authorized service sets to differentiate network access and services
JP2004272905A (ja) * 2003-03-06 2004-09-30 Microsoft Corp 仮想ネットワーク・トポロジの生成

Also Published As

Publication number Publication date
US8799991B2 (en) 2014-08-05
US8280058B2 (en) 2012-10-02
EP1689206A1 (en) 2006-08-09
EP1689206B1 (en) 2018-12-05
US20060177063A1 (en) 2006-08-10
JP2006222948A (ja) 2006-08-24
CN1819540B (zh) 2011-01-26
US20100050240A1 (en) 2010-02-25
CN1819540A (zh) 2006-08-16
US20120324533A1 (en) 2012-12-20
US7627123B2 (en) 2009-12-01

Similar Documents

Publication Publication Date Title
JP4555235B2 (ja) ネットワーク装置、無線ネットワークの使用方法及び無線ネットワーク・セキュリティ方法
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US8826413B2 (en) Wireless local area network infrastructure devices having improved firewall features
US9231911B2 (en) Per-user firewall
EP3459318B1 (en) Using wlan connectivity of a wireless device
JP5450424B2 (ja) ネットワーク施行型のフェムトセルへのアクセス制御
US20040215957A1 (en) Authentication and encryption method and apparatus for a wireless local access network
US20130283050A1 (en) Wireless client authentication and assignment
US9497179B2 (en) Provisioning layer three access for agentless devices
WO2005024567A2 (en) Network communication security system, monitoring system and methods
US11805416B2 (en) Systems and methods for multi-link device privacy protection
KR100819942B1 (ko) 유무선 네트워크의 검역 및 정책기반 접속제어 방법
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
US20240171973A1 (en) Method of operating a network
JP2005086656A (ja) 認証判定ブリッジ、プログラム、無線lan通信システム及び無線lan通信方法
MM et al. METHOD TO SUPPORT IDENTITY PSK, CAPTIVE PORTAL AND ENHANCE ROAMING FEATURES FOR RANDOM MAC ADDRESS CLIENTS
Ibrahim Investigating the Effectiveness and Performance of WPA_PSK (Pre-Shared Key) and WPA_RADIUS Server in Wireless Network Security
Opio WPA2 Residential

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100105

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100330

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100402

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100430

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100713

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100715

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130723

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees