用于使用无线网络对远程网络进行安全访问的系统和方法 |
|||||||
| 申请号 | CN201080049796.X | 申请日 | 2010-09-23 | 公开(公告)号 | CN102598739A | 公开(公告)日 | 2012-07-18 |
| 申请人 | 讯宝科技公司; | 发明人 | D·托马斯; T·奈廷格尔; A·辛哈; V·维威克; | ||||
| 摘要 | 本 发明 提供了到远程网络的按需安全连接性(24),且无需无线客户端上的交互式登录。具体而言,本发明在无线网络(22)中使用代理(26)(诸如,接入点(AP),等等)来提供对无线网络(22)外部的远程承载网络(24)的客户端 访问 。本发明在代理(26)和远程承载网络(24)之间使用现有的无线安全性协议及其他安全机制。在操作中,无线网络代理(26)对诸如通过关联 请求 来搜寻远程承载网络(24)的无线客户端(28)作出响应。然后,无线网络代理(26)在远程承载网络(24)和无线客户端(28)之间充当中介,来实现安全的端到端的通信。 | ||||||
| 权利要求 | 1.一种网络,包括: |
||||||
| 说明书全文 | 用于使用无线网络对远程网络进行安全访问的系统和方法技术领域[0001] 本发明一般性地涉及使用无线网络的安全网络访问。更具体而言,本发明涉及使用无线安全性协议通过本地无线网络来安全地访问远程承载无线网络的系统和方法,该无线安全性协议由无线基础结构设备从无线客户端拓展至该远程承载无线网络。 背景技术[0002] 与远程网络建立安全连接目前需要在设备上有客户端软件和/或Web浏览器组件。例如,虚拟专用网络(VPN)是一种计算机网络,相对于跨单个私用网络运行的计算机网络,VPN中节点之间的一些链路由某些更大的网络(诸如因特网)中的开放连接或虚拟电路来承担。参考图1,示出了使用VPN的常规安全网络10。VPN需要客户端设备12上的客户端软件以及相关联的适当配置。如此处所描述的,客户端设备12包括配置有可操作以通过网络发射和接收数据的网络接口的任何设备,包括但不仅限于,膝上型计算机、台式计算机、智能电话、蜂窝电话、音乐播放器、视频游戏设备、个人数字助理(PDA)等等。VPN客户端软件被用来标识远程网络或网关14,并在设备12和网关14之间建立安全隧道。例如,设备12可以经由其网络接口在因特网16上进行通信,且VPN可以通过此因特网16连接和防火墙17而提供对网关14的安全访问,诸如提供对企业网络18的安全访问。对于最简单的VPN连接,只需要Web浏览器。当用户需要访问网络18上各种应用或系统时,VPN客户端变得更加复杂。VPN网关14被远程网络所承载,并负责认证用户、解密数据、以及将数据转发到内部网络18。 [0003] 使用VPN是安全地访问远程网络的完善成熟的方法;然而,有很多缺点。最相关的缺点是对于VPN客户端软件、Web浏览器和/或Web浏览器组件的需求以及用户理解如何正确地配置并操作该软件的必要性。VPN客户端软件可包括由VPN供应商所提供的特定VPN软件、被嵌入到操作系统、Web浏览器和/或Web浏览器组件中的VPN软件。为简明起见,术语“VPN客户端”指代如前所述的技术中的任何一种或任何组合。 [0004] VPN客户端非常难以配置、部署、管理,以及支持。所使用的特定类型的VPN将规定难度级别。例如,安全套接字层(SSL)VPN(其中用户只需要访问Web应用程序)到目前为止是简单的,而完全隧道VPN是最复杂的。不管所实现的VPN的类型是什么,企业可以常常量化部署VPN客户端的巨大成本,并且将强烈地首选避免它们全部。VPN客户端所存在的另一个严重问题是,它们常常不是对于需要访问网络的每个设备都可用。VPN客户端的供应商常常只支持最流行类型的设备,如运行MicrosoftWindows(位于美国华盛顿州雷德蒙市的Microsoft Corporation所提供)的膝上型计算机。对于在市场上渗透性不太大的产品,并非总是有支持。随着移动以及嵌入式设备的激增,以及随着为这样的设备开发了新的操作系统,这尤其正确。例如,VPN客户端的供应商无法为蜂窝电话的每一种型号构建和测试VPN客户端软件。 [0005] 另一个缺点是,几乎所有情况下的VPN客户端软件都需要交互式登录。此过程在最好的情况下是费时的,在最坏的情况下是不可能的。终端用户必须理解如何启动软件、发起连接、以及登录。取决于正在使用的VPN的准确类型以及硬件,此过程通常需要花15秒至3分钟之间的时间。尽管这种时间量看起来很小,但是,它会带来足以阻止终端用户的麻烦。更加重要的是,目前需要访问以及将来将需要访问的许多装置没有完全的用户接口以及键盘。在这些设备上,交互式登录将更为困难,或者甚至是不可能的。例如,带有固定用户接口并且只有五个按钮的嵌入式设备几乎无法以及时的方式来启动VPN应用程序并允许输入用户名和密码。 发明内容[0006] 在各种示例性实施例中,本发明提供了到远程网络的按需安全连接性,且无需在无线客户端上的交互式登录。具体而言,本发明在无线网络中使用代理,如接入点(AP)等等,来提供对无线网络外部的远程承载网络的客户端访问。本发明提供了标准无线客户端可以用来通过不受信任的本地无线代理而与远程网络建立安全连接的系统和方法。优选情况下,客户端不需要利用安全性代理或软件加以修改或增强。本地无线网络和网络组件不需要被认证或加密凭证来信任,而数据从客户端到远程网络是完全安全的。本发明在代理和远程承载网络之间使用现有的无线安全性协议及其他安全机制。在操作中,无线网络代理对正在搜寻远程承载网络的无线客户端作出响应,并对从无线客户端到远程承载网络的安全无线连接进行封装。无线网络代理在无线网络网关和无线客户端之间充当中介,以在客户端和远程承载网络之间实现安全的端到端的通信。 [0007] 在本发明的一示例性实施例中,网络包括本地无线网络,本地无线网络包括无线网络代理;通过外部网络连接到无线网络代理的承载网络;以及,无线客户端;其中,所述无线网络代理被配置成启用从所述无线客户端到所述承载网络的安全连接,该安全连接向所述无线客户端提供对所述承载网络的访问。无线客户端通过安全连接与承载网络进行通信,安全连接包括IEEE 802.11i、AES加密、以及IEEE 802.1x、WPA、WPA2、TKIP,以及WEP中的任何一种。无线代理响应于来自客户端的请求,封装客户端的安全凭证,并通过外部网络将它们发送到承载网络。网络还包括连接到所述无线网络代理的查询服务器,其中,所述查询服务器包括多个承载网络的目录,该多个承载网络其中包括上述的承载网络。网络还包括承载网络中的无线网络网关;其中,所述无线网络代理充当所述无线网络网关和所述无线客户端之间的中介,以启用通过所述外部网络的安全隧道;所述无线网络网关被配置成对所述无线客户端进行认证,解密来自所述无线客户端的数据,并将经解密的数据转发到所述承载网络。无线网络网关和无线网络代理被配置成收集与无线客户端以及承载网络有关的统计信息,并且,其中,无线网络网关以及无线网络代理进一步被配置成将统计信息更新到集中记账系统中。所述无线网络网关被配置成通过安全连接在所述本地无线网络上发布本地服务。安全连接包括无线客户端和承载网络之间的加密,且无线网络代理不会知晓与加密相关联的密钥。无线客户端包括符合IEEE 802.11协议的设备,其中,无线客户端通常在本地无线网络上与无线网络代理和无线网络网关进行通信,构成安全连接。无线网络网关包括虚拟接入点,且无线客户端与虚拟接入点相关联。 [0008] 在本发明的另一示例性实施例中,无线基础结构设备包括连接到本地无线网络的无线电装置;连接到外部网络的回程网络接口;处理器;以及,可通信地耦合所述无线电装置、所述回程网络接口,以及所述处理器的本地接口;其中,所述无线电装置、所述回程网络接口,以及所述处理器笼统地被配置成:从无线客户端接收关联请求,其中,关联请求包括访问远程网络的请求;以及,启用通过所述回程网络接口到所述远程网络的安全连接,以便所述无线客户端可以安全地访问所述远程网络。所述无线电装置、所述回程网络接口,以及所述处理器进一步被配置成通过查找服务器以及公共域名服务器中的一个来查找所述远程网络。所述无线电装置、所述回程网络接口,以及所述处理器进一步被配置成允许从所述无线客户端到所述远程网络中的无线网络网关的数据的安全传输。所述无线网络网关被配置成接收所述来自所述无线客户端的数据,并认证所述无线客户端,解密来自所述无线客户端的数据,并将经解密的数据转发到所述远程网络中的设备。所述无线电装置、所述回程网络接口,以及所述处理器进一步被配置成接收从所述无线网络网关发布的本地服务。所述无线电装置,所述回程网络接口,以及所述处理器进一步被配置成收集与无线客户端和远程网络有关的统计信息。 [0009] 在本发明的再一个示例性实施例中,远程无线访问方法包括:在无线网络中,从客户端接收关联请求,所述关联请求包括访问承载网络的请求;允许从所述客户端到所述承载网络的安全连接;以及,充当所述客户端和所述承载网络之间的代理以安全地在所述客户端以及所述承载网络之间传输数据。远程无线访问方法还包括响应于所述关联请求并在允许所述安全连接之前,查找所述承载网络。通过所述无线网络从所述客户端接收到的所述数据是通过无线网络安全机制来保护的,其中,此后将封装有所述无线网络安全机制的所述数据传输到所述承载网络。 [0011] 此处参考各种附图示出和描述了本发明,其中,相同的参考编号分别表示相同的方法步骤和/或系统组件,其中: [0012] 图1是使用VPN的常规安全网络; [0013] 图2是根据本发明的一个示例性实施例的提供对远程网络的安全访问的无线网络的网络体系结构; [0014] 图3是根据本发明的一个示例性实施例的用于从远程无线网络连接承载无线网络的无线网络访问过程的流程图; [0015] 图4是根据本发明的一个示例性实施例的无线基础结构访问设备;以及[0016] 图5是根据本发明的一个示例性实施例的服务器。 具体实施方式[0017] 在各种示例性实施例中,本发明提供了到远程网络的按需安全连接性,且无需无线客户端上的交互式登录。具体而言,本发明在无线网络中使用代理,如接入点(AP)等等,来提供对无线网络外部的远程,承载网络的客户端访问。本发明在代理和远程承载网络之间使用现有的无线安全性协议及其他安全机制。在操作中,无线网络代理对正在搜寻远程承载网络的无线客户端作出响应,以将安全无线连接从无线客户端延伸到远程承载网络。无线网络代理在无线网络网关和无线客户端之间充当中介,以在客户端和远程承载网络之间实现安全的端到端的通信。有利的是,无线客户端不会察觉到无线网络代理和远程承载网络之间的底层进程,因为它对无线客户端而言是透明的。在一示例性实施例中,本发明使用IEEE 802.11以及相关联的协议,但是,本发明可以与其他协议一起使用。本发明可以对每个用户并对每个承载网络生成总计的使用统计信息以及日志,用于计费或其他目的。此外,本发明可以允许对本地网络以及同一个无线网络代理上的多个承载网络进行访问。 [0018] 无线局域网(WLAN)在IEEE 802.11标准中进行了一般性的定义,并可以通过未调整的2.4和5GHz频带谱来进行操作。WLAN供应商已经承诺支持各种标准,如IEEE802.11a、802.11b、802.11g、802.11i、802.11n,以及802.1X。由IEEE所开发的各种802.11标准可通过下述URL下载:standards.ieee.org/getieee802/802.11.html;这些各种标准被合并于此作为参考。大多数WLAN仅仅访问单个专用内部网络,且不允许其他设备连接。 其他WLAN(通常叫做“热点”)允许在麻烦的登录过程以获得支付信息等等之后连接到因特网。与VPN相比,无线网络具有一个缺点;即,它们只在企业的物理设备的附近以安全方式操作。本发明允许无线网络被扩展到远程位置,且使得VPN不是从远程位置连接时的唯一选择。此外,本发明还使用基于在无线客户端上已有的基于标准的安全性组件来进行认证和加密。 [0019] 参考图2,示出了根据本发明的一个示例性实施例的具有无线网络22的网络体系结构20,该无线网络22提供对远程网络24的安全访问。无线网络22可以是根据IEEE802.11协议等等来操作的WLAN。此处所描述的本发明使用IEEE 802.11作为示例性无线网络,但是,本领域的技术人员将认识到,本发明的系统和方法可以与任何无线网络协议一起使用。无线网络22包括向无线客户端28(以及多个无线客户端28)提供无线连接性的接入点(AP)26。AP 26是如此处所描述的示例性基础结构产品。本发明还预期其他无线网络基础结构产品,如无线交换机/控制器,瘦AP、基站,等等。总的来说,AP 26及其他无线网络基础结构产品此处被称为无线网络代理。无线客户端28可以是带有WLAN接口的计算机、智能电话、个人数字助理(PDA)、音乐播放器(例如,mp3)、视频游戏控制台、便携式视频游戏设备、打印机、带有无线接口的移动单元,或配置有无线网络接口的任何其他设备。AP 26包括无线网络接口(无线发射器/接收器),该无线网络接口可使无线客户端28使用Wi-Fi、蓝牙或其他标准来连接到无线网络22。AP 26还包括回程连接,该回程连接被配置成提供从无线网络22到诸如因特网16之类的外部网络的连接。此回程连接可以是有线或无线连接,而外部网络可以是除因特网16之外的另一种网络。在此示例中,AP 26通过防火墙30连接到因特网16。 [0020] 远程网络24包括通过各种有线和/或无线连接而互连的多个内部网络设备32,并包括无线网络网关34。在此示例性实施例中,远程网络24通过防火墙36连接到因特网16。在本发明中,远程网络24此处被称为承载网络。承载网络是将其本身广告为可远程访问的网络。无线网络网关34是远程网络24上的设备,例如,计算机、服务器等等,此设备允许无线网络代理(即,图2中的AP 26)提供用于无线客户端28到远程网络24的连接性。无线网络代理是在无线网络22上操作的设备,此设备允许无线客户端28与诸如远程网络24之类的承载无线网络建立连接性。本发明提供了通过无线网络22使无线客户端28连接到远程网络24而无需VPN软件、设置等等的系统和方法。无线网络代理可以充当无线网络网关 34和无线客户端28之间的中介,该中介允许从客户端28到网关34网关34使用无线安全性协议建立安全的端到端的隧道。另外,查询服务器38可以诸如通过因特网16而连接到网络22,24中的任何一个,以向承载无线网络(例如,远程网络24及其他承载网络)提供查询服务。查询服务可包括可用承载无线网络的目录,该目录可由代理(即,AP 26)响应于来自客户端28的请求而访问以确定远程网络24的地址。 [0021] 无线网络(例如,网络22、24)实现了允许到网络的安全连接性,而没有VPN的许多缺点。首要的是,具有无线无线电装置的任何设备(例如,无线客户端28)也具有安全地连接的能力而无需任何额外的软件,即,使用现有的用于安全通信的IEEE 802.11标准。许多目前的设备类型(如果不是大多数的设备类型)都内建有嵌入式的一个或多个无线无线电装置,包括膝上型计算机、蜂窝电话、PDA、平板电脑、上网本,以及许多其他设备。另外,登录过程也可以是自动的,瞬时的,并且安全的。与VPN的缺点相比,这些特质是强大的。IEEE802.11i以及高级加密标准(AES)加密的引入以及IEEE 802.1X认证的使用显著地加强了无线网络的安全性,并使它们与典型的VPN相比而言差不多或更好。另外,基于数字签名/证书的认证在无线网络上比其在VPN上更广泛地被接受。数字签名认证是可用的最强的形式。 [0022] 如此处所描述的,希望建立到远程网络24的安全连接的当前无线客户端28必须使用额外的软件和/或浏览器组件来标识远程网络24、认证无线客户端28本身、并确保在遍历诸如因特网16之类的不安全网络时的数据的保密性和完整性。使用这些额外的软件组件使得建立安全连接变难或费时。此外,这些额外的软件组件无法轻松地被用于每个计算平台。相反,当建立到无线网络的安全连接时,不需要额外的软件。IEEE 802.11i以及AES加密的引入以及IEEE 802.1X认证的使用使得无线网络安全性非常强。令人遗憾的是,无线网络目前仅仅用于访问单个网络或用于对因特网16的一般性的访问。虽然大多数设备天生能够登录到无线网络,但是,大多数操作员使用需要手动交互的登录过程。此手动交互不是在每个无线客户端28上都是可以的(例如,智能电话或普通蜂窝电话),且是非常麻烦的,以致于用户常常放弃连接。 [0023] 本发明包括无线基础结构产品(如AP 26、无线交换机/控制器、等等,即,统称为无线网络代理)中的各种修改,以实现客户端28和远程网络24之间的安全远程访问。通过利用本发明修改无线网络工作的方式,可以使用来自任何无线客户端28的无线以获得到远程网络24的直接的安全连接性,并消除登录过程中的手动交互的必要性。可以修改无线基础结构AP 26和无线交换机/控制器,以对针对多个网络的请求作出响应,并建立直接从客户端28到远程网络24(例如,通过因特网16到无线网络网关34)的安全连接。有利的是,不需要对无线客户端28设备的修改;无线客户端28使用典型的WLAN请求者来建立连接性,且不会察觉到无线网络代理的活动是建立从客户端28到远程网络24的端到端连接。这可使得解决方案跨各种设备,例如,电话、PDA、微计算机、膝上型计算机等等而起作用,假定不需要特殊软件或浏览器组件。本发明建立到诸如远程网络24之类的远程网络的按需安全连接性,且无需交互式登录。扩展无线网络以实现从远程位置的访问消除了VPN的缺点,而同时利用了现代无线网络的全部显著的优点。为此,需要对无线基础结构进行修改; 然而,在期望访问的客户端设备上不需要修改。 [0024] 参考图3,流程图示出了根据本发明的一个示例性实施例的用于从远程无线网络连接承载无线网络的无线网络访问过程40。本发明允许诸如无线基础结构产品之类的无线网络代理提供超出它们所操作的网络以外的访问。为将无线网络扩展到远程位置,无线网络22上的无线网络代理必须对针对多个网络(诸如远程网络24)的请求作出响应。例如,目前在典型的热点上,用户必须请求连接到“热点”网络名称以获得访问。在本发明中,热点(即,无线网络22)处的无线网络代理需要对该“热点”网络名称以及对任何承载无线网络(例如,远程网络24)的网络名称作出响应。可另选地,无线网络代理只须对任何承载无线网络的名称作出响应。如果用户通常连接到“企业A”网络名称并且该企业运营一承载无线网络,则当终端用户的膝上型计算机请求“企业A”网络名称时,热点必须作出响应(步骤42)。例如,客户端设备可包括允许指定无线网络和远程承载无线网络的软件。可另选地,客户端设备可以被配置成通过Web浏览器接口或其他类似组件来输入远程承载无线网络。另外,客户端设备可以仅仅向无线网络代理指定远程承载网络的名称,实现这一点的操作是对承载网络的请求,诸如通过查询过程等等。 [0025] 本发明添加了对针对承载无线网络的查询(诸如,通过查找服务器或公共DNS服务器)的支持。无线网络中的无线基础结构产品能够确定何时被请求的网络名称是承载无线网络的网络名称,例如,“企业A”网络名称。无线网络代理被配置成查询一列出了承载无线网络以及它们的相关联无线网络网关的站点,即,无线网络查询承载网络(步骤44)。如果由终端用户所请求的网络名称是承载无线网络的网络名称,则无线网络代理知道对该网络名称作出响应,并知道当接收到连接性请求时如何引导该连接性请求。此查询可以在专有的查询网络(例如,通过查询服务器38)以及公共域名服务器(DNS)基础结构上进行(因为此技术被更加广泛地采用),即,远程承载网络的集成在公共DNS基础结构中。如果无线网络不能发现承载网络(步骤46),则访问被拒绝(步骤48)。另外,可以提供未发现承载无线网络的消息,以及供用户重新输入名称和/或重试以发现承载无线网络的机会。 [0026] 如果无线网络通过查询发现承载网络(步骤46),则无线网络实现到承载无线网络的安全的不中断的连接(步骤50)。无线网络处的无线网络代理可使终端用户的设备与承载无线网络的无线网络网关建立加密密钥。然而,无线网络代理本身不知道正在使用中的加密密钥。无线客户端始终如同它应该的那样进行操作;不对无线客户端进行修改(步骤52)。具体而言,无线客户端可以使用IEEE 802.11i(Wi-Fi受保护的访问——WPA以及WPA2)、AES加密、可扩展的认证协议(EAP),以及IEEE 802.1X,有线等效保密性(WEP)等等认证,来与无线网络代理进行通信,并到达无线网络网关。具体而言,无线网络代理允许客户端所使用的任何无线安全性被扩展到无线网络网关。这可包括通过另一种协议(例如,有线协议,等等)将无线安全性封装到无线网络网关。从无线客户端的观点来看,它通过无线网络网关与承载网络存在无线连接性关系,即,无线安全性(无论正在使用的是何种方式)从无线客户端延伸到无线网络网关。无线网络代理负责提供此功能。 [0027] 回头参考图2,远程网络34,即,承载无线网络,包括无线网络网关34。远程网络34操作一个或多个无线网络网关34,这些网关终止来自从无线网络连接的无线客户端的数据连接。具体而言,客户端28和通过AP 26的无线网络网关34被配置成在因特网16(或另一种网络)上创建安全的不中断的连接。在一示例性实施例中,安全连接可以是类似于VPN的安全隧道,但是,隧道的创建和维护仅仅由无线客户端28和无线网络网关34之间的AP 26来执行。在一示例性实施例中,客户端28和网关34之间的此安全连接包括IEEE 802.11i协议等等,这些协议被用于客户端28和AP 26之间的无线连接上,并随后由AP 26和网关34之间的AP 26来封装。在替换实施例中,AP 26可以创建其他安全隧道,诸如利用点对点隧道协议(PPTP)、层2隧道协议(L2TP)、因特网协议安全(IPsec)、安全套接字层(SSL/传输层安全性(TLS)等等。在此替换实施例中,客户端28使用与任何现有无线设备一起操作的标准IEEE 802.11协议在无线网络22上正常地操作,并使用此其他安全隧道来与网关34进行通信。在这些示例性实施例中的任何一个中,无线网络网关34负责认证用户、解密数据、并将数据转发到远程网络24。无线网络网关34可以在承载无线网络内操作,或代表单独物理位置处的承载无线网络而操作。 [0028] 此外,远程无线网络22处的无线基础结构产品(诸如AP 26)可以能够跟踪无线客户端28的登录和使用情况,包括与被请求的远程网络24或其他承载无线网络有关的信息。这种跟踪可以被用于按照每次登录、按时间量、按数据量、或按任何其他流行的使用情况跟踪方法而进行计费。远程网络24上的无线网络网关34也可以能够跟踪无线客户端28的登录和使用情况,包括与无线客户端28所连接到的无线网络22有关的信息。跟踪可以由所涉及的每一方来验证。另外,无线网络22可以具有在无线客户端28已经访问的位置处发布服务的能力。例如,如果无线客户端28从库中的热点连接但是希望打印到库中的打印机,则打印机应该作为本地服务而被发布。这要求无线网络网关34与无线网络22建立安全连接,以便只访问发布的服务。 [0029] 本发明构想到了无线客户端28能够从AP 26请求任何远程承载网络。AP 26被配置成充当无线网络代理,该无线网络代理执行对远程承载网络的查找,并在客户端28和远程承载网络之间建立安全的端到端连接。此安全的端到端的连接可以使用多种格式和协议,但是连接的基础是安全的无线协议。例如,安全的端到端连接包括从客户端28到无线网络22上的AP 26的无线连接,以及封装AP 26和网关34之间的客户端28的无线安全性的连接。此过程对客户端28是透明的,客户端28被配置成使用标准IEEE802.11协议正常地操作以通过无线网络网关与远程承载网络进行通信。有效地,无线网络网关34变为到客户端28的虚拟远程AP。 [0030] 参考图4,示出了根据本发明的一个示例性实施例的无线基础结构访问设备60。无线基础结构访问设备60可包括无线AP、无线交换机/控制器、瘦AP、等等。一般而言,无线设备60被配置成向诸如图2中的无线客户端28之类的各种无线客户端设备提供安全的无线访问。此外,无线设备60被配置成通过查找承载网络并创建到承载网络的安全连接(即,无线网络代理功能),来实现到承载网络的安全远程访问。如此处所描述的,无线设备 60启用无线网络22。在一示例性实施例中,无线设备60可包括但不仅限于:一个或多个无线电装置62、存储器64、处理器66、网络接口68,以及功率源70。无线设备60的元件可以使用总线72或促进无线设备60的各种元件之间的通信的另一种合适的互连装置来互连在一起。应该理解,图4以过于简化的方式描绘了无线设备60,一个实用实施例可包括额外的组件以及适当地配置的处理逻辑,以支持此处没有详细描述的已知或常规操作特点。 [0031] 无线电装置62启用到多个无线客户端(诸如,无线客户端28)的无线通信。无线设备60可包括一个以上的无线电装置62,例如,每一个无线无线电装置62都可以在不同的频道上操作(例如,如在IEEE 802.11中所定义的)。在一示例性实施例中,无线设备60包含智能和处理逻辑,促进对WLAN元件(包括与设备60相关联的无线客户端设备)的集中控制和管理。在一示例性实施例中,一个无线设备60可以支持任何数量的无线客户端设备(仅仅由实际情况所限制)。如此,无线设备60可以服务于多个无线访问设备,而这些无线访问设备接着可以服务于多个移动设备。无线设备60被适当地配置以发射和接收数据,并且,它可以充当WLAN和固定线路(例如,以太网)网络之间的互连点。在实践中,给定网络中的无线设备60的数量可以取决于网络用户的数量以及网络的物理大小而变化。 [0032] 存储器64可包括易失性存储器元件(例如,随机存取存储器(RAM,如DRAM、SRAM、SDRAM、等等)),非易失性存储器元件(例如,ROM、硬盘驱动器、磁带、CDROM、等等)中的任何一种,以及其组合。此外,存储器64可以结合电子、磁性、光学和/或其他类型的存储介质。请注意,存储器64可以具有分布式体系结构,其中,各种组件彼此远离但可被处理器66所访问。带有存储器64的处理器66一般表示允许在无线设备60以及无线设备60所耦合到的网络组件之间的双向通信的硬件、软件、固件、处理逻辑,和/或无线设备60的其他组件。处理器66可以是任何微处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、任何合适的可编程逻辑器件、离散的栅极或晶体管逻辑、离散的硬件组件,或具有能够管理无线电装置64以及设备60的辅助组件的计算能力的上述组件组合。例如,参考图2,处理器66和存储器64被适当地配置成使得设备60(即,AP 26)与无线网络22上的组件(诸如无线客户端设备28和/或网络22、24)进行通信。无线设备60还包括网络接口68,该网络接口68可以提供以太网接口(即,有线)或另一种无线电装置(即,无线)以便无线设备60可以与诸如图2中的因特网16之类的外部网络进行通信。 [0033] 在一示例性实施例中,无线设备60可以支持一个或多个无线数据通信协议,该一个或多个无线数据通信协议也由无线网络基础结构所支持。任何数量的合适的无线数据通信协议、技术、或方法可以被无线设备60所支持,包括但不仅限于:RF;IrDA(红外线);蓝牙;ZigBee(及IEEE 802.15协议的其他变体);IEEE 802.11(任何变体);IEEE802.16(WiMAX或任何其他变体);直接序列扩展频谱;跳频扩展频谱;蜂窝式/无线/无绳电信协议;无线家庭网络通信协议;寻呼网络协议;磁感应;卫星数据通信协议;无线医院或卫生保健设施网络协议(如在WMTS频带中操作的那些);GPRS;以及专有的无线数据通信协议(诸如无线USB的变体)。在一示例性实施例中,无线设备60优选地符合至少IEEE 802.11规范并被配置成经由耦合到无线交换机200的访问设备来接收关联请求,如下面所描述的。此外,无线设备60包括合适的功率源70,诸如交流电(AC)接口、直流电(DC)接口,以太网上的电能(PoE)兼容接口、或用于一个或多个一次性的和/或可再充电的电池的储存库。 [0034] 如图2和3所描述,无线设备60是已经被修改以实现对承载无线网络的安全的远程访问的无线网络代理。例如,无线设备60可以被配置成执行与图3中的无线网络访问相关联的功能。在一示例性实施例中,处理器66和存储器64被配置成响应于客户端请求来执行对承载无线网络的查询,并通过客户端到承载无线网络的网络接口68,即,通过以设备用来与承载无线网络进行通信的任何格式,封装无线安全性协议,提供安全的端到端连接。此功能仅仅在无线设备60内实现,对客户端是透明的。如此,客户端不需要修改即可支持通过无线设备60的对承载无线网络的安全远程访问。客户端使用与无线设备60相关联的协议,诸如IEEE 802.11i、AES加密,以及IEEE 802.1x,WPA、WEP等等,以安全地与无线设备60进行通信。请注意,无线设备60可以被配置成将IEEE 802.11i、AES加密,以及IEEE 802.1x、WPA、WEP,等等扩展到承载无线网络。可另选地,无线设备60可以建立到承载网络的安全隧道,并在无线网络网关结束该隧道。因此,这提供与常规VPN类似的功能,而无需客户端设备上的软件等等。 [0035] 参考图5,示出了根据本发明的一个示例性实施例的服务器80。如此处所描述的,服务器80可以是查询服务器、无线网络网关、等等。服务器80可以是数字计算机,就硬件体系结构而言,该数字计算机一般包括处理器82、输入/输出(I/O)接口84、网络接口86、数据存储器88,以及存储器90。组件(82、84、86、88,以及90)通过本地接口92通信地耦合。本地接口92可以是,例如但不仅限于,一个或多个总线或其他有线或无线连接,如在本领域内已知的。本地接口92可以具有为简明起见而省略的额外元件,如控制器、缓冲器(高速缓存)、驱动程序、中继器、以及接收器,等等,以实现通信。此外,本地接口92可包括地址、控件,和/或数据连接以在如前所述的组件之间实现适当的通信。 [0036] 处理器82是用于执行软件指令的硬件设备。处理器82可以是任何定制的或市销的处理器、中央处理单元(CPU)、与服务器80相关联的多个处理器之间的辅助处理器、基于半导体的微处理器(以微芯片或芯片集的形式)、或一般性地是用于执行软件指令的任何设备。当服务器80处于操作中时,处理器82被配置成执行存储在存储器90内的软件、往返于存储器90传递数据、并根据软件指令一般性地控制服务器80的操作。I/O接口84可以被用来从一个或多个设备或组件接收用户输入和/或用于向一个或多个设备或组件提供系统输出。可以经由诸如键盘和/或鼠标来提供用户输入。可以经由显示设备和打印机(未示出)来提供系统输出。I/O接口84可包括,例如,串行端口、并行端口、小型计算机系统接口(SCSI)、红外线(IR)接口、射频(RF)接口,和/或通用串行总线(USB)接口。 [0037] 网络接口86可以被用来使服务器80能在网络上进行通信。例如,服务器80可以使用网络接口88来与诸如无线网络、承载无线网络、等等之类的远程网络进行通信。网络接口86可包括,例如,以太网网卡(例如,10BaseT、快速以太网、千兆以太网)或无线局域网(WLAN)卡(例如,802.11a/b/g)。网络接口86可包括地址、控件,和/或数据连接以在网络上实现适当的通信。数据存储器88可以被用来存储数据。数据存储器88可包括易失性存储器元件(例如,随机存取存储器(RAM,如DRAM、SRAM、SDRAM,等等)),非易失性存储器元件(例如,ROM、硬盘驱动器、磁带、CDROM,等等)中的任何一种,以及其组合。此外,数据存储88器可以结合电子、磁性、光学和/或其他类型的存储介质。在一个示例中,数据存储器88可以位于服务器90内部,诸如,例如,连接到服务器80中的本地接口的内部硬盘驱动器。另外,在另一实施例中,数据存储器可以位于服务器80外部,诸如,例如,连接到I/O接口84(例如,SCSI或USB连接)的外部硬盘驱动器。最后,在第三实施例中,数据存储器可以通过网络而连接到服务器80,诸如,例如,网络附加的文件服务器。 [0038] 存储器90可包括易失性存储器元件(例如,随机存取存储器(RAM,如DRAM、SRAM、SDRAM,等等)),非易失性存储器元件(例如,ROM、硬盘驱动器、磁带、CDROM,等等)中的任何一种,以及其组合。此外,存储器90可以结合电子、磁性、光学和/或其他类型的存储介质。请注意,存储器90可以具有分布式体系结构,其中,各种组件彼此远离但可由处理器82访问。存储器90中的软件可包括一个或多个软件程序,其中每一个软件程序都包括用于实现逻辑功能的可执行指令的排序列表。在图5的示例中,存储器系统90中的软件包括合适的操作系统(O/S)94以及程序96。操作系统94基本上控制其他计算机程序的执行,并提供调度、输入输出控制、文件和数据管理、存储器管理,以及通信控制以及相关的服务。操作系统94可以是Windows NT、Windows 2000、Windows XP、Windows Vista(均由位于美国华盛顿州雷德蒙市的Microsoft Corp.所提供)、Solaris(美国加州Palo Alto市的Sun Microsystems Inc.所提供),或LINUX(或另一种UNIX变体)(位于NC Raleigh的Red Hat所提供)中的任何一种。 [0039] 在本发明中,服务器80可以表示来自图2的内部网络设备32、无线网络网关34,以及查询服务器38。程序96可包括被配置成与图4的无线访问设备60进行交互以响应于来自无线客户端28的远程访问请求而创建安全连接或隧道的软件组件。在查询服务器38的情况下,程序96可包括提供对客户端可以连接到的各种远程承载无线网络的寻址的数据库。在此情况下,无线设备60可以响应于客户端请求而查询查找服务器,以发现承载无线网络。 [0040] 虽然此处是参考优选实施例以及其具体示例示出和描述本发明的,但是,对本领域技术人员显而易见的是,其他实施例以及示例可以执行类似的功能和/或实现类似的结果。所有这样的等效实施例和示例都在本发明的范围内,并被下列权利要求书所涵盖。 |
||||||
QQ群二维码
意见反馈
意见反馈