用于基于策略的无线网络接入的网络设备及方法
阅读说明:本技术 用于基于策略的无线网络接入的网络设备及方法 (Network device and method for policy-based wireless network access ) 是由 伊戈尔·沙夫兰 伊塔玛·菲克 于 2019-05-02 设计创作,主要内容包括:本发明涉及无线计算机网络领域,具体涉及一种用于基于策略的无线网络接入的网络设备及对应的方法。因此,本发明提供了一种用于基于策略的无线网络(101)接入的网络设备(100),其中,所述网络设备(100)用于:获取无线网络客户端(103)的唯一标识符(102);根据所述唯一标识符(102)和策略(105),确定至少一个授权服务(104);创建可以访问所述至少一个授权服务(104)的虚拟子网(106);将所述无线网络客户端(103)分配给所述虚拟子网(106)。(The present invention relates to the field of wireless computer networks, and in particular, to a network device and corresponding method for policy-based wireless network access. Accordingly, the present invention provides a network device (100) for policy-based wireless network (101) access, wherein the network device (100) is configured to: obtaining a unique identifier (102) of a wireless network client (103); determining at least one authorization service (104) based on the unique identifier (102) and a policy (105); creating a virtual subnet (106) that can access the at least one authorization service (104); assigning the wireless network client (103) to the virtual subnet (106).)
技术领域
本发明涉及无线计算机网络领域,具体涉及一种用于基于策略的无线网络接入的网络设备及对应的方法。换句话说,本发明涉及对受限服务集的基于策略的无线接入。
背景技术
在传统的无线计算机网络中,服务集标识符(service set identifier,SSID)是与无线计算机网络(例如,无线局域网(wireless local area network,WLAN))相关联的名称。当传统无线网络客户端意图加入无线计算机网络时,传统无线网络客户端使用与无线计算机网络相关联的SSID加入无线计算机网络。当传统无线网络客户端加入无线计算机网络时,无线计算机网络的整个网络拓扑会暴露给传统无线网络客户端。具体地,在无线计算机网络中提供的所有服务对连接的传统无线网络客户端都是可见的。传统的服务访问限制可以通过例如使用具有服务链接的专用门户,或通过使用双重或复杂(例如,基于令牌的)认证来实现。使用安全门户可能需要几个步骤,接入限制基于网络过滤规则(例如,防火墙)。此外,在传统无线计算机网络中,由相同SSID命名的不同传统网络设备(例如,接入点(access point,AP))被映射到不同的子网,这就是根据传统无线网络客户端所连接的AP向传统无线网络客户端提供不同的服务集的原因。例如,如图5所示。
传统方案缺少在设备本地子网处提供的动态服务。策略执行是由防火墙实现的,该防火墙通过一组规则限制传统无线网络客户端的网络视图。但是,传统的无线网络客户端仍然可以观察到服务的存在,但被防火墙阻止连接到服务。但是,期望的是只有允许的服务是可见的和可访问的。
传统方案也不支持传统无线网络客户端的漫游。目前,服务分离通过两种方式实现:
1.在无线网络上配置基于WPA预共享密码的安全方案。在一个站点A上配置服务集,在站点B上配置不同的服务集。从一个站点漫游到另一个站点的设备将访问不同的服务集。在同一站点上,这种分离对于非基于身份的认证(如预共享密码)是不可行的。
2.在无线网络上配置基于WPA企业的安全方案。传统的无线网络客户端将根据其所属的域组访问服务集,而不与特定站点相关。这种分离是通过将传统无线网络客户端提供到特定VLAN组来实现的,其中,策略由防火墙执行。
因此,缺少一种可以隔离连接到无线网络的无线网络客户端同时以高效和有效的方式使用单个SSID的方案。
发明内容
鉴于上述问题和缺点,本发明旨在改进传统网络设备。本发明具体地能够根据无线网络客户端的唯一标识符和策略确定无线网络客户端可以访问哪个授权服务。这可以针对接入通过单个SSID提供的无线网络的若干无线网络客户端进行。
为此,尝试连接到无线网络的无线网络客户端必须经过策略认证。例如,这可以通过公共密钥基础设施(public key infrastructure,PKI)证书实现。在网络设备上成功授权后,将触发授权和策略执行,并创建为无线网络客户端分配的子网。
从而隐藏网络设备提供的无线网络的拓扑。此外,不需要修改无线网络客户端。在无线网络客户端上运行的应用程序与方案无关。不需要进行应用程序修改。该方案还可以实现扁平化服务发现,即只有无线网络客户端允许的这些服务存在于为无线网络客户端分配的子网中。此外,本发明允许基于策略的安全执行,例如在域名系统(domain namesystem,DNS)请求级别,或者当连接到服务时。
本发明的目的是通过所附独立权利要求书中提供的方案实现的。本发明的有利实现方式在从属权利要求中进一步定义。
本发明的第一方面提供了一种用于基于策略的无线网络接入的网络设备,其中,所述网络设备用于:获取无线网络客户端的唯一标识符;根据所述唯一标识符和策略,确定至少一个授权服务;创建可以访问所述至少一个授权服务的虚拟子网;将所述无线网络客户端分配给所述虚拟子网。
这是有利的,因为可以通过策略为每个无线网络客户端提供和调整网络设备可访问的授权服务集,其中,可以以通用方式(例如仅通过一个SSID)提供整个无线网络。
具体地,授权服务可以包括不受NAT穿越影响的任何网络服务。
具体地,授权服务是无线网络客户端被授权使用的服务。具体地,网络客户端是根据策略授权的。
在第一方面的一种实现方式中,所述虚拟子网独占访问所述至少一个授权服务。
这可以确保所述虚拟子网以安全的方式限制对授权服务的访问。可以根据策略和唯一标识符选择可访问的授权服务,例如,其它服务可以被排除在可访问服务之外。
在第一方面的另一种实现方式中,所述唯一标识符包括与以下各项中的至少一个组合的密码短语:设备唯一ID或用户名;或证书。
具体地,证书是公共密钥基础设施(public key infrastructure,PKI)证书。
在第一方面的另一种实现方式中,所述网络设备用于根据网络标识符提供所述无线网络,以使得所述无线网络客户端能够接入所述虚拟子网。
具体地,网络标识符可以是服务集标识符(service set identifier,SSID)。
在第一方面的另一种实现方式中,所述网络设备用于根据所述策略为接入所述无线网络的每个无线网络客户端创建不同的虚拟子网。
换句话说,每个无线网络客户端的不同虚拟子网是根据所述策略创建的。
在第一方面的另一种实现方式中,所述不同的虚拟子网中的每个虚拟子网是根据所述相应无线网络客户端的所述唯一标识符和所述策略创建的。
在第一方面的另一种实现方式中,所述策略是预定义的,指示所述至少一个授权服务对应于所述唯一标识符。
在第一方面的另一种实现方式中,对于接入所述无线网络的所有无线网络客户端,所述无线网络的所述网络标识符是相同的。
在第一方面的另一种实现方式中,所述虚拟子网是独立隔离网络中的虚拟子网。
具体地,隔离网络是独立的L2广播域。具体地,子网或虚拟子网是L3域(即,网络层域)。
这是有利的,因为相同的子网地址范围可用于多个独立网络内。优点在于,这种方案支持分配给不同无线网络客户端的不同虚拟子网之间的地址重叠。
在第一方面的另一种实现方式中,只有分配给所述独立隔离网络中的所述虚拟子网的所述无线网络客户端可以接入所述虚拟子网。
具体地,任何其它客户端(例如,其它无线网络客户端)都不能访问或接入独立隔离网络。独立隔离网络也可以称为独立虚拟子网。但是,提供给无线网络客户端的至少一个授权服务可以接入独立隔离网络以与无线网络客户端通信。
在第一方面的另一种实现方式中,所述网络设备还用于向所述无线网络客户端提供服务发现功能。
这确保了无线网络客户端可以标识虚拟子网中提供给无线网络客户端的至少一个授权服务。
在第一方面的另一种实现方式中,所述服务发现功能向所述无线网络客户端提供所述至少一个授权服务的服务标识符。
具体地,服务标识符可以包括至少一个授权服务的地址(例如,IPv4或IPv6地址)、端口或协议。
在第一方面的另一种实现方式中,提供给所述无线网络客户端的所述服务标识符与为所述无线网络客户端分配的所述虚拟子网相关。
具体地,服务标识符与虚拟子网的域(例如,虚拟子网的地址范围)相关。
在第一方面的另一种实现方式中,所述至少一个授权服务在不同于分配给所述无线网络客户端的所述虚拟子网的网络中操作。
这确保了授权服务可以在不同于虚拟子网的网络或子网中操作,而无线网络客户端仍然可以访问授权服务。
在第一方面的另一种实现方式中,所述网络设备还包括通信模块,所述通信模块可以通过与所述虚拟子网相关的所述服务标识符与在不同于所述虚拟子网的网络中提供的所述至少一个授权服务通信。
具体地,通信模块包括地址路由或地址重映射。
在第一方面的另一种实现方式中,所述网络设备为接入点(access point,AP)。
本发明的第二方面提供一种用于基于策略的无线网络接入的方法,其中,所述方法包括以下步骤:网络设备获取无线网络客户端的唯一标识符;所述网络设备根据所述唯一标识符和策略确定至少一个授权服务;所述网络设备创建可以访问所述至少一个授权服务的虚拟子网;所述网络设备将所述无线网络客户端分配给所述虚拟子网。
具体地,授权服务可以包括不受NAT穿越影响的任何网络服务。
具体地,授权服务是无线网络客户端被授权使用的服务。具体地,网络客户端是根据策略授权的。
在第二方面的一种实现方式中,所述虚拟子网独占访问所述至少一个授权服务。
在第二方面的另一种实现方式中,所述唯一标识符包括与以下各项中的至少一个组合的密码短语:设备唯一ID或用户名;或证书。
具体地,证书是公共密钥基础设施(public key infrastructure,PKI)证书。
在第二方面的另一种实现方式中,所述方法还包括所述网络设备根据网络标识符提供所述无线网络,以使得所述无线网络客户端能够接入所述虚拟子网。
具体地,网络标识符可以是服务集标识符(service set identifier,SSID)。
在第二方面的另一种实现方式中,所述方法还包括:所述网络设备根据所述策略为接入所述无线网络的每个无线网络客户端创建不同的虚拟子网。
换句话说,每个无线网络客户端的不同虚拟子网是根据所述策略创建的。
在第二方面的另一种实现方式中,所述不同的虚拟子网中的每个虚拟子网是根据所述相应无线网络客户端的所述唯一标识符和所述策略创建的。
在第二方面的另一种实现方式中,所述策略是预定义的,指示所述至少一个授权服务对应于所述唯一标识符。
在第二方面的另一种实现方式中,对于接入所述无线网络的所有无线网络客户端,所述无线网络的所述网络标识符是相同的。
在第二方面的另一种实现方式中,所述虚拟子网是独立隔离网络中的虚拟子网。
具体地,隔离网络是独立的L2广播域。具体地,子网或虚拟子网是L3域(即,网络层域)。
在第二方面的另一种实现方式中,只有分配给所述独立隔离网络中的所述虚拟子网的所述无线网络客户端可以接入所述虚拟子网。
具体地,任何其它客户端(例如,其它无线网络客户端)都不能访问或接入独立隔离网络。独立隔离网络也可以称为独立虚拟子网。但是,提供给无线网络客户端的至少一个授权服务可以接入独立隔离网络以与无线网络客户端通信。
在第二方面的另一种实现方式中,所述方法还包括:所述网络设备向所述无线网络客户端提供服务发现功能。
在第二方面的另一种实现方式中,所述服务发现功能向所述无线网络客户端提供所述至少一个授权服务的服务标识符。
具体地,服务标识符可以包括至少一个授权服务的地址(例如,IPv4或IPv6地址)、端口或协议。
在第二方面的另一种实现方式中,提供给所述无线网络客户端的所述服务标识符与为所述无线网络客户端分配的所述虚拟子网相关。
具体地,服务标识符与虚拟子网的域(例如,虚拟子网的地址范围)相关。
在第二方面的另一种实现方式中,所述至少一个授权服务在不同于分配给所述无线网络客户端的所述虚拟子网的网络中操作。
在第二方面的另一种实现方式中,所述方法还包括所述网络设备的通信模块可以通过与所述虚拟子网相关的服务标识符与在不同于所述虚拟子网的网络中提供的所述至少一个授权服务通信。
具体地,通信模块包括地址路由或地址重映射。
在第二方面的另一种实现方式中,所述网络设备为接入点(access point,AP)。
第二方面及其实现方式包括与第一方面及其各自的实现方式相同的优点。
需要说明的是,本申请中描述的所有设备、元件、单元和模块可以在软件或硬件元件或其任何类型的组合中实现。本申请中描述的各种实体执行的所有步骤以及所描述的将由各种实体执行的功能旨在表明相应的实体适于或用于执行相应的步骤和功能。虽然在以下具体实施例的描述中,由外部实体执行的具体功能或步骤没有在执行具体步骤或功能的该实体的具体元件的描述中反映,但是技术人员应该清楚的是这些方法和功能可以在对应的硬件元件或软件元件或其任何类型的组合中实现。
附图说明
结合所附附图,下面具体实施例的描述将阐述上述本发明的各方面及其实现方式。
图1示出了本发明实施例提供的网络设备的示意图;
图2示出了本发明实施例提供的网络设备的操作方式的示意图;
图3示出了本发明实施例提供的网络设备的操作方式的另一示意图;
图4示出了本发明实施例提供的方法的示意图;
图5示出了现有技术提供的网络设备的操作原理。
具体实施方式
图1示出了用于基于策略的无线网络101接入的网络设备100。网络设备100可以例如是AP,或者是包括AP的路由器。无线网络101可以例如是WLAN。网络设备100用于:获取无线网络客户端103的唯一标识符102;根据唯一标识符102并根据策略105,确定至少一个授权服务104;创建可以访问至少一个授权服务104的虚拟子网106;将无线网络客户端103分配给虚拟子网106。策略105可以预先存储在网络设备中,并且可以指示向哪个无线网络客户端103提供哪个服务104。
图2示出了网络设备100的操作方式的示意图。如图2所示,网络设备100可以实现无线网络101中允许的服务的扁平化视图。
如图2所示,无线网络客户端103通过提交唯一标识符102(例如,凭证或证书)无线连接到与SSID相关联的网络设备100(例如,AP)。网络设备100向经过认证的无线网络客户端103提供独立的、唯一标识的子网106。任何其它客户端都不能接入该子网106,除非该子网显式地暴露给所述其它客户端。该子网106不能从网络设备100直接路由。同一子网无类别域间路由(classless inter-domain routing,CIDR)可以重叠。
具体地,网络设备100可以通过使用动态主机配置协议(dynamic hostconfiguration protocol,DHCP)提供子网106和/或无线网络客户端103的IP地址。通过使用DHCP,网络设备100还可以提供本地DNS地址和/或本地域,用于服务发现。这样可以将主机名解析为本地子网地址。这样还可以将无线网络客户端103的网络视图仅限于授权服务。服务发现基于“白名单”,具体地根据无线网络客户端103的唯一标识符102。
为了将服务(网络设备100可访问的服务)映射到子网106,其中,该服务只能由授权的无线网络客户端103访问,应用以下服务转发规则:
无线网络客户端103使用授权服务104的本地独立IP地址(来自子网106)连接到授权服务104。
为了实现出口分组的转发,网络设备100将分组的目的IP转换为可路由的服务IP。源IP地址可以使用网络地址转换(network address translation,NAT)连接跟踪。为了实现入口分组的转发,应用逆转换。
图3示出了网络设备100的操作方式的另一示意图。具体地,以图3所示的操作方式执行以下步骤:
1.无线网络客户端103(即,图3中的客户端设备)使用预定义的连接设置连接到网络设备100(即,图3中的接入点)。
2.网络设备100例如通过将该认证会话委托给外部AAA服务器和/或通过使用内部实现的WPA企业后端认证无线网络客户端103。
3.根据策略105,网络设备100从企业服务域获得允许的服务的列表,为无线客户端103提供单独的子网106,将服务发现端点添加到该子网,并填充关于所有允许的服务的信息。此外,网络设备100为该子网106上的每个允许的服务104添加本地逻辑端口。所有逻辑端口都可以是软件定义网络(software defined network,SDN)端口,导向和来自所述逻辑端口的网络流量可以被SDN控制的交换机拦截和修改。逻辑端口从无线网络客户端103的角度产生有限和定义良好的网络拓扑的错觉。
4.网络设备100向无线网络客户端103返回服务发现域(SSDP/DNS-SD)、子网106及其本地IP地址。
5.无线网络客户端103向本地发现服务201发出服务发现请求。无线网络客户端获得带有本地映射服务信息(地址、端口和协议)的响应。
图4示出了本发明实施例提供的方法400的示意图。该方法包括网络设备100获取401无线网络客户端103的唯一标识符102的步骤。该方法包括网络设备100根据唯一标识符102和策略105确定402至少一个授权服务104的步骤。该方法包括网络设备100创建403可以访问至少一个授权服务104的虚拟子网106的步骤。该方法包括网络设备100将无线网络客户端103分配404给虚拟子网106的步骤。
已经结合作为实例的不同实施例以及实现方式描述了本发明。但是,根据对附图、本发明和独立权利要求的研究,本领域技术人员在实践所要求保护的发明时,能够理解和实现其它变化。在权利要求书以及说明书中,词语“包括”不排除其它元件或步骤,且“一个”不排除多个。单个元件或其它单元可满足权利要求书中所叙述的若干实体或项目的功能。在互不相同的从属权利要求中列举某些措施并不表示这些措施的组合不能用于有益的实现方式。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:远程安全解锁