無線網(wǎng)絡(luò)系統(tǒng)���、終端管理裝置���、無線中繼裝置及通信方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于僅允許滿足預(yù)定安全策略(例如,沒有安全漏洞)的終端連接至無線網(wǎng)絡(luò)系統(tǒng)的技術(shù)���。
【背景技術(shù)】
[0002]智能裝置(例如�����,智能電話或平板終端)正在得到迅速普及�����。這些類型的智能裝置與傳統(tǒng)個(gè)人數(shù)字助理(PDA)或傳統(tǒng)筆記本電腦有所不同�,并且具有多種不同的功能,例如應(yīng)用程序執(zhí)行功能��、通信功能�、以及成像功能。因此�,此類智能裝置通常用于個(gè)人使用以及用于用戶的工作,并隨著智能裝置的普及而帶來了自帶設(shè)備(BYOD)的普及�。具體地,當(dāng)在用戶工作地點(diǎn)的公司建筑物中提供的公司內(nèi)部網(wǎng)絡(luò)包括無線局域網(wǎng)絡(luò)(LAN)時(shí)�,用戶所持有的智能裝置通過所述無線LAN連接至公司內(nèi)部網(wǎng)絡(luò)��,并在用戶的工作中進(jìn)行使用�。
[0003]在BYOD中,為了避免病毒入侵公司內(nèi)部網(wǎng)絡(luò)或泄露機(jī)密�,通常僅允許滿足預(yù)定安全策略的終端裝置連接至公司內(nèi)部網(wǎng)絡(luò)。通常����,智能裝置通過包括在公司內(nèi)部網(wǎng)絡(luò)中的無線LAN連接至公司內(nèi)部網(wǎng)絡(luò)。因此�����,需要一種對(duì)應(yīng)于無線網(wǎng)絡(luò)系統(tǒng)(例如無線LAN)的檢疫(quarantine)系統(tǒng)來實(shí)現(xiàn)用于智能裝置的BY0D����。檢疫系統(tǒng)是用于檢查試圖連接至公司內(nèi)部網(wǎng)絡(luò)的終端裝置是否滿足預(yù)定的安全策略的系統(tǒng)。與此類檢疫系統(tǒng)有關(guān)的現(xiàn)有技術(shù)包括專利文獻(xiàn)I或非專利文獻(xiàn)I所公開的技術(shù)��。
[0004]在專利文獻(xiàn)I中描述了以下情況:利用虛擬局域網(wǎng)(VLAN)對(duì)公司內(nèi)部網(wǎng)絡(luò)進(jìn)行邏輯分割��,并且所述VLAN中的每一個(gè)充當(dāng)“檢疫VLAN”的角色�����。根據(jù)專利文獻(xiàn)I所公開的技術(shù)����,當(dāng)終端裝置連接至公司內(nèi)部網(wǎng)絡(luò)時(shí),所述終端裝置首先連接至檢疫VLAN����,并對(duì)所述終端裝置是否滿足安全策略進(jìn)行檢查,當(dāng)所述終端裝置滿足安全策略時(shí)�����,該終端裝置連接至用于工作的VLAN,從而實(shí)現(xiàn)對(duì)個(gè)人終端的檢疫���。同時(shí)�����,非專利文獻(xiàn)I公開了一種技術(shù)����,其通過在終端中安裝實(shí)時(shí)監(jiān)控連接目的地的專用軟件�、對(duì)連接目的地是公司內(nèi)部網(wǎng)絡(luò)還是另一網(wǎng)絡(luò)(例如通用公共線)進(jìn)行識(shí)別、以及例如根據(jù)識(shí)別結(jié)果而對(duì)所述終端的通信設(shè)置進(jìn)行切換(例如�,在連接至公司內(nèi)部網(wǎng)絡(luò)期間防止對(duì)公司外部的網(wǎng)絡(luò)進(jìn)行訪問),來防止泄露機(jī)密?目息O
[0005]引用列表
[0006]專利文獻(xiàn)
[0007]專利文獻(xiàn)1:JP-A-2006-331128
[0008]非專利文獻(xiàn)
[0009]非專利文獻(xiàn)1:Keizo HIKAWA, “MDM to Switch Work and Private Modeaccording to Destinat1n Network, Basic Announced���,���,��,[在線],2012 年 9 月 10日,Nikkei BP, 2013 年 3 月 21 日檢索�,Internet〈URL http://itpr0.nikkeibp.c0.jp/article/NEWS/20120910/421722/>
【發(fā)明內(nèi)容】
[0010]技術(shù)問題
[0011]在專利文獻(xiàn)I所公開的技術(shù)中存在這樣的問題:因?yàn)楸仨殞⒐緝?nèi)部網(wǎng)絡(luò)分割為多個(gè)VLAN,所以該系統(tǒng)較為復(fù)雜,并且用于初始設(shè)置或操作的成本有所增加。另一方面����,在非專利文獻(xiàn)I所公開的技術(shù)中存在這樣的問題:由于直到終端連接至公司內(nèi)部網(wǎng)絡(luò)時(shí)才對(duì)終端的設(shè)置進(jìn)行切換,因此可利用欺騙性設(shè)置來執(zhí)行與公司內(nèi)部網(wǎng)絡(luò)的連接���。
[0012]鑒于上述問題而做出本發(fā)明���,其目的在于提供一種技術(shù),其用于僅允許滿足安全策略的無線終端連接至公司內(nèi)部網(wǎng)絡(luò)�����,而不會(huì)導(dǎo)致成本的顯著增加。
[0013]解決技術(shù)的問題
[0014]為了解決所述問題�,根據(jù)本發(fā)明的一個(gè)方面����,提供一種包括無線中繼裝置和終端管理裝置的無線網(wǎng)絡(luò)系統(tǒng)�,其中所述終端管理裝置包括:判定部�,其配置為通過不同于所述無線網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)與無線終端進(jìn)行通信�,并判定所述無線終端是否滿足預(yù)定的安全策略����;以及連接信息發(fā)送部����,其配置為將連接信息發(fā)送至被所述判定部判定為滿足所述安全策略的無線終端。
[0015]根據(jù)本發(fā)明的所述方面���,由終端管理裝置對(duì)無線終端是否滿足安全策略進(jìn)行判定��,并且只有當(dāng)所述無線終端滿足所述安全策略時(shí)���,才將連接信息從終端管理裝置發(fā)送至所述終端。這種情況下,可通過不同于所述無線網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)來發(fā)送連接信息�。這里,當(dāng)不存在任何連接信息時(shí),無線終端無法連接至無線中繼裝置(具體地�����,無線接入點(diǎn)裝置)�����,從而可以可靠地防止不滿足安全策略的無線終端的連接��。此外�,根據(jù)本發(fā)明的所述方面,無需提供用于判定所述無線終端是否滿足安全策略的檢疫VLAN���,從而沒有導(dǎo)致成本增加�����。因此��,當(dāng)利用本發(fā)明的無線網(wǎng)絡(luò)系統(tǒng)作為接納無線終端的無線網(wǎng)絡(luò)系統(tǒng)來搭建公司內(nèi)部網(wǎng)絡(luò)時(shí)��,可以實(shí)現(xiàn)這樣的情況:只有滿足安全策略的無線終端連接至公司內(nèi)部網(wǎng)絡(luò)����,而沒有導(dǎo)致成本的顯著增加���。
[0016]在所述方面中考慮:所述無線網(wǎng)絡(luò)系統(tǒng)還包括檢測(cè)裝置�����,其對(duì)所述無線終端進(jìn)入所述無線網(wǎng)絡(luò)系統(tǒng)的服務(wù)區(qū)進(jìn)行檢測(cè),在所述無線網(wǎng)絡(luò)系統(tǒng)中�����,所述終端管理裝置利用所述判定部針對(duì)被所述檢測(cè)裝置檢測(cè)到的無線終端執(zhí)行關(guān)于所述安全策略的判定���。
[0017]根據(jù)所述方面,可以在無線終端進(jìn)入所述無線網(wǎng)絡(luò)系統(tǒng)的服務(wù)區(qū)并試圖連接至所述無線網(wǎng)絡(luò)系統(tǒng)之前立即執(zhí)行對(duì)所述無線終端的檢疫,并且與周期性執(zhí)行對(duì)無線終端的檢疫的情況相比��,可以抑制無線終端的電池消耗。
[0018]在所述方面中����,可考慮無線中繼裝置起到檢測(cè)裝置的作用的方面。例如,當(dāng)所述無線中繼裝置為無線接入點(diǎn)裝置時(shí)��,使所述無線中繼裝置(無線接入點(diǎn)裝置)響應(yīng)于對(duì)無線終端所產(chǎn)生的探測(cè)請(qǐng)求的接收��,來對(duì)所述無線終端進(jìn)入無線中繼裝置的服務(wù)區(qū)進(jìn)行檢測(cè)�。根據(jù)所述方面����,和與所述無線中繼裝置分離地提供的傳感器起到檢測(cè)裝置的作用的方面相比,由于不存在傳感器,因此可以將成本抑制在較低水平����。
[0019]作為另一個(gè)方面����,可考慮以下方面:使得所述終端管理裝置周期性地執(zhí)行通過無線中繼裝置與連接至所述無線中繼裝置的無線終端進(jìn)行通信并利用所述判定部執(zhí)行判定的處理;并且使得所述終端管理裝置執(zhí)行響應(yīng)于判定單元的不滿足安全策略的判定而從所述無線終端刪除連接信息的處理����。根據(jù)所述方面,可以避免產(chǎn)生安全漏洞����,例如在連接至所述無線中繼裝置之后改變無線終端的設(shè)置�����。
[0020]為了解決所述問題����,根據(jù)本發(fā)明的另一方面���,提供一種終端管理裝置,其包括:判定部��,其配置為通過不同于包括無線中繼裝置的無線網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)與無線終端進(jìn)行通信�,并判定所述無線終端是否滿足預(yù)定的安全策略;以及連接信息發(fā)送部����,其配置為將用于連接所述無線中繼裝置的連接信息發(fā)送至被所述判定部判定為滿足所述安全策略的無線終端。
[0021]為了解決所述問題���,根據(jù)本發(fā)明的又一方面�����,提供一種包括在無線網(wǎng)絡(luò)系統(tǒng)中的無線中繼裝置�����,所述無線中繼裝置包括:終端通知部����,其配置為:當(dāng)從無線終端接收的請(qǐng)求消息的無線電波強(qiáng)度超過預(yù)定閾值并且所述無線終端的終端標(biāo)識(shí)符已預(yù)先登記時(shí)��,將所述無線終端的終端標(biāo)識(shí)符通知到高級(jí)別裝置;以及更新部��,其配置為根據(jù)來自所述高級(jí)別裝置的指令��,更新對(duì)通信方的各無線終端進(jìn)行限制的過濾器����。
[0022]為了解決所述問題�,根據(jù)本發(fā)明的又一方面���,提供一種通信方法,其包括:通過不同于包括無線中繼裝置的無線網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)與無線終端進(jìn)行通信�,并且判定所述無線終端是否滿足預(yù)定的安全策略;以及將用于連接所述無線中繼裝置的連接信息發(fā)送至被判定為滿足所述安全策略的無線終端。
[0023]為了解決所述問題,根據(jù)本發(fā)明的又一方面,提供一種包括在無線網(wǎng)絡(luò)系統(tǒng)內(nèi)的無線中繼裝置的通信方法�,所述通信方法包括:當(dāng)從無線終端接收的請(qǐng)求消息的無線電波強(qiáng)度超過預(yù)定閾值并且所述無線終端的終端標(biāo)識(shí)符已預(yù)先登記時(shí)��,將所述無線終端的終端標(biāo)識(shí)符通知到高級(jí)別裝置;以及根據(jù)來自所述高級(jí)別裝置的指令,更新對(duì)通過所述無線中繼裝置通信的無線終端進(jìn)行限制的過濾器����。
[0024]另外�����,當(dāng)所述無線中繼裝置為無線接入點(diǎn)裝置時(shí),終端標(biāo)識(shí)符的具體示例可包括MAC地址�����,并且所述過濾器的示例可為MAC地址過濾器�。
[0025]此外,所述無線中繼裝置還可包括通信部�����,其配置為通過不同于所述無線網(wǎng)絡(luò)系統(tǒng)的通信網(wǎng)絡(luò)連接至已獲得用于連接所述無線中繼裝置的連接信息的無線終端�����,并且使用所述無線網(wǎng)絡(luò)系統(tǒng)來執(zhí)行與所述無線終端的通信。
[0026]例如,通過在包括在公司內(nèi)部網(wǎng)絡(luò)中的無線網(wǎng)絡(luò)系統(tǒng)中包括起到無線中繼