用于安全网络接入的方法和装置的制造方法
【专利说明】用于安全网络接入的方法和装置
[0001]本发明涉及数据网络,具体地,涉及一种安全地验证对网络资源的接入的方法。
【背景技术】
[0002]W1-Fi 网络
[0003]现在,诸如蜂窝电话和平板装置的许多移动装置包括无线接口卡,以使它们能够根据统称为W1-Fi的诸如802 llg、802 Iln和802 Ilac的IEEE标准通过无线通信信道进行通信。
[0004]在W1-Fi标准提供装置对装置的对等无线数据链路的同时,通常采用基础架构来形成具有用作网络的中央集线器的接入点装置的局域网。加入无线网络的每个新装置连接到接入点,装置之间的通信可以在每秒几十至几百兆的信息的范围内且仅在距接入点有限的物理距离内。接入点装置还形成无线局域网与诸如互联网的外部有线广域网之间的接
□ O
[0005]通常,每个接入点由特定用户所拥有,所以能够在有限的地理范围内为个人使用进行连接,这通常被定义为家庭网络。通常,家庭网络上的装置期望与位于诸如互联网的外部网络或工作专用网络上的计算资源通信。具有这样的计算资源的数据会话在最终到达外部网络计算资源之前,经由接入点装置进入互联网服务提供商的核心网络中。
[0006]通常,家庭网络内的数据传输使用诸如W1-Fi受保护接入2 (WPA2)协议的方案在授权的装置之间进行加密,以防止对家庭网络的未授权的接入。
[0007]热点
[0008]此外,已知的是建立公共热点网络,其中,许多接入点将边缘节点共同形成为公共数据网络。这样的网络的示例是由英国电信公司(British Telecommunicat1ns pic)运营的BT W1-Fi热点网络。即使每个独立的接入点的范围受限,通过将每个接入点构造为具有相同的SSID,客户装置也可以连接到不同的接入点,同时随着他们四处移动而保持与数据网络的数据连接。通常,每个接入点不执行任何加密,并因此作为任何装置可以与之关联的开放接入点。对数据网络的验证由位于网络的核心的验证服务器在更高网络层处集中处理。在BT W1-Fi网络的示例的情况下,接入点是开放的并且不执行用于与接入点关联的任何加密。然而,用户验证使用RADIUS和IEEE 802.1X验证在网络核心内被处理。
[0009]接入控制
[0010]为了在两个网络装置之间建立安全的端到端连接,已知的是使用虚拟专用网络(VPN)以跨多个网络从一端向另一端传输包。然而,期望使用这样方案的双方必须安装VPN软件,而这导致客户端中的额外复杂性。
[0011]本发明解决了上述问题。
【发明内容】
[0012]在一方面,本发明提供了一种在数据包网络中验证对网络资源的用户接入的方法,所述方法包括:基于第一组验证标准来验证对数据包网络的用户接入;处理来自与用户关联的网络装置的对网络资源的请求;以及基于第二组验证标准来验证对网络资源的用户和装置接入。
[0013]在另一方面,本发明提供了一种在数据包网络中验证对网络资源的用户接入的设备,所述设备包括:第一验证器,用于基于第一组验证标准来验证对数据包网络的用户接入;处理器,用于处理来自与用户关联的网络装置的对网络资源的请求;以及第二阶段验证器,用于基于第二组验证标准来验证对网络资源的用户和装置接入。
【附图说明】
[0014]现在,将参照附图来描述本发明的实施方式,在附图中:
[0015]图1示意性示出第一实施方式中的数据网络,其中,接入控制被集中管理;
[0016]图2更详细地示意性示出图1中示出的网络核心的组件;
[0017]图3示意性示出存储在用户数据存储器中的数据的示例;
[0018]图4更详细地示意性示出IP流验证器的主要功能组件;
[0019]图5示出用户证书存储器的内容的示例;
[0020]图6示意性示出移动装置的主要功能组件;
[0021]图7是示出数据网络中的主要功能组件注册新用户进行验证的操作的流程图;以及
[0022]图8是示出当用户期望连接到他们的家庭网络时数据网络中的主要功能组件的操作的流程图。
【具体实施方式】
[0023]图1示意性示出第一实施方式中的数据网络I。诸如膝上型计算机3a和移动电话3b,3c的多个客户装置3使用802 11 W1-Fi协议连接到接入点5。在这个示例网络中,第一用户拥有连接到接入点5a的膝上型计算机3a和移动电话3b 二者,同时第二用户拥有移动电话3c,移动电话3c连接到接入点5b。
[0024]接入点5形成诸如由英国电信公司管理的BT W1-Fi网络的热点公共数据网络7的一部分。每个接入点5经由有线连接技术连接到网络核心9。在该示例中,为了便于说明,仅示出两个接入点5。然而,对于广阔的地理范围而言,热点网络7通常包含位于各个位置的数千个接入点5。
[0025]热点网络7的网络核心9包含包转发网关功能11,包转发网关功能11以传统方式在客户装置3和位于诸如互联网15的广域网上的对应的装置13之间路由数据包。
[0026]在BT W1-Fi网络7中,家庭接入点装置(在下文中,称为家庭集线器17)具有两个功能,首先提供对用于位于用户家21中的家庭网络装置19的互联网15的接入,而且如果这些家庭接入点装置是传统的公共热点接入点5,则它们用作公共热点网络7的接入点。在图1中,另一无线客户装置3d连接到家庭集线器17a。
[0027]因家庭集线器17a的构造,出于安全原因,专用家庭网络19上的装置与连接到家庭集线器17的公共接入点部分的任何装置分隔开。
[0028]在图1中,第一用户和装置3a、3b的拥有者居住于家21a,但是当前远离家。第二用户和装置3c的拥有者居住于家21b。装置3d的拥有者不居住于这两个家21中的任何一个。如上所述,热点网络7的构造防止装置3d接入由家庭集线器17管理的家庭网络19。然而,在第一实施方式中,即使第一用户位于热点网络内的不同位置处,因网络核心构造的改进,第一用户也能够在他们的家21处接入他们的家庭网络19。
[0029]图2更详细地示出了网络核心9。除了包转发网关11以外,网络核心还包含网络接口 31、用户验证器33、用户简档存储器35、重定向器35、IP流验证器37、推送通知服务器39和VPN隧道管理器41。
[0030]网络接口 31从连接到接入点5或家庭集线器17侧的热点网络7的用户装置3接收数据包并将数据包发送到网络核心9中或发送来自网络核心9的数据包。包经由将包路由到特定的目的地的包转发网关功能11进行传输。
[0031]然而,在包转发网关功能11将包路由之前,必须验证用户。在这个热点系统7中,因为接入点5使用开放验证,所以客户装置3可以与接入点5关联而不验证其身份。一旦进行了关联,在包转发网关允许用户通过网络核心9将数据包发送到对应的装置13之前,用户必须在热点网络7上验证其身份。这使用诸如利用用户名和密码证书的强制门户(Captive Portal)或基于IEEE 802 Ix的证书验证的集中式验证机制来执行。
[0032]包转发网关功能11监测到达网络接口 31的业务,在与源地址对应的装置/用户标识未知的情况下,用户在网络浏览器上被重新定向以登录页面门户,使得用户验证器33可以将验证质询发送到用户的客户装置3。
[0033]一旦用户输入登录证书并将其发送回用户验证器33,用户验证器33检查用户简档存储器35,如果用户提供的登录证书与用户简档存储器35中的条目匹配,则用户验证器33更新包转发网关功能11以允许数据包通过网络核心9通信至位于互联网15上的对应装置13。在这个实施方式中,用户验证器33是使用802 Ix验证的RADIUS服务器。
[0034]图3示出用户简档存取器35的内容的示例。在这个示例中,用户A和用户B均具有在用户名和密码字段中存储的条目。此外,因为这两个用户均具有连接到热点网络7的装置3,所以每个连接的装置3的IP地址在数据会话期间也存储在用户简档存储器35中。
[0035]—旦用户在热点网络上成功地进行了验证,则在经过一定量时间或已经传输了阈值量的数据之后,除了偶尔的再验证例行程序之外,仅通过来自网络核心9内的控制实体的有限的进一步介入来执行数据会话。
[0036]然而,在第一实施方式中,重定向器35、流验证器37、推送通知服务器39和VPN隧道管理器41用于在特定的情况下对接入他们自己的家庭网络的用户提供另外的接入控制。
[0037]具体地讲,这些元件允许用户接入他们的家庭专用网络,同时被连接到热点网络7内的不同的接入点,并且不需要在用户的客户装置上安装的专用的虚拟专用网络(VPN)软件。通过VPN隧道管理器41和形成用户的家庭网络19的一部分的家庭集线器17来控制VPN隧道的建立。
[0038]虽然使用热点网络7证书到用户的家庭网络19的网络管理连接可以是非常方便的,但在特定情况下还可能存在安全问题。例如,如果用户的电话被偷,则在热点网络7证书被存储在移动装置3中且被设置为在相同证书内自动登录到热点网络7的情况下,行窃者能够获得对家庭网络19的接入。此外,一些用户根本不想要这个功能。
[0039]为了解决这样的问题,在第一实施方式中,默认停用到家庭网络19的VPN连接的建立。需要该特征的用户必须注册第二级验证,并且在到家庭网络19的VPN隧道形成之前,该用户必须进行进一步验证。
[0040]重定向器35被构造为侦听在可表示用户