管理对用于没有虚拟专用网客户端的便携设备的虚拟专用网的接入的方法和装置的制作方法

文档序号:7946945阅读:222来源:国知局
专利名称:管理对用于没有虚拟专用网客户端的便携设备的虚拟专用网的接入的方法和装置的制作方法
技术领域
本发明涉及一种用于管理无线设备和网络之间的安全连接的技术。
背景技术
很多人在他们的日常工作期间越来越多地使用一个或多个便携式通信设备。这样的便携式设备包括膝上型计算机、个人数字助理(PDA)和无线电话。这些便携式通信设备提供经由无线连接来接入通信网络的能力。无线电话以及一些类型的PDA使得用户能够接入公共无线电话网络。当今的公共无线电话网络通常使用诸如时分多址(TDMA)、码分多址(CDMA)、全球移动标准(GSM)和第三代蜂窝电话标准的若干种公知无线标准之一。许多膝上型计算机通过使用IEEE802.11i标准的公共网络来提供无线连接。对于许多用户来说,对公共无线网络的接入使得能够随后接入企业网络、即预期的通信目的地。
过去,大多数企业网络依赖于与一个或多个公共网络的租用线路连接来允许用户接入。租用线路连接提供高安全性,但是具有高成本。随着因特网的出现,公共网络提供商现在向企业网络运营商提供在公共网络内建立虚拟专用网(VPN)的能力。这样的VPN使用虚拟连接来模拟专用租用线路网络的等同物(equivalent),但是具有降低的成本。
在给定的公共网络内,若干VPN可以共享公共的通信路径。因此,安全性仍然重要,以确保非计划中的接收者不能访问目的地为特定企业网络的数据。在VPN网络中存在各种安全技术。这样的技术经常使用不同的加密技术,包括对称密钥和公共密钥加密。一些VPN使用因特网协议安全协议(IPSEC)。为了使得便携式通信设备能够建立经由VPN到企业网络的端到端的连接,该通信设备必须包括VPN客户端,所述VPN客户端采用实现各种安全协议所必需的硬件和/或软件的形式。虽然诸如膝上型计算机的一些便携式通信设备拥有并入VPN客户端的能力,但是许多较小的设备(例如无线电话和PDA)不具有所述能力。因此,这种较小的便携式通信设备不能容易地通过VPN建立到企业网络的连接。
因此,需要一种用于使便携式通信设备能够至少部分地通过VPN建立与企业网络的连接的技术。

发明内容
简而言之,根据本原理的优选实施例,提供了一种用于在便携式通信设备和企业网络之间建立连接的方法。该方法在无线接入点接收到便携式通信设备对于接入企业网络的请求时开始。响应于该接入请求,无线接入点确定便携式通信设备试图接入的企业网络的身份。无线接入点使用无线认证(authentication)协议来认证便携式通信设备。当成功地认证了便携式通信设备时,无线接入点与所识别的企业网络建立虚拟专用网,以促成便携式通信设备和企业网络之间的通信。以这种方式,无线接入点建立便携式设备和该接入点之间的使用无线LAN安全机制的连接、以及该接入点和企业网络之间的VPN连接。


图1示出根据现有技术的无线网络的方框示意图,其中便携式通信设备包括VPN客户端,用于通过端到端的VPN连接来与企业网络通信;以及图2示出根据本原理的无线网络的方框示意图,其中便携式通信设备部分地通过VPN连接与企业网络通信,而不需要便携设备包括VPN客户端。
具体实施例方式
为了最佳地理解用于促成部分地通过VPN进行的便携式通信设备和企业网络之间的通信、而在便携式通信设备上不需要VPN客户端的本原理的技术,对于现有技术的简短讨论将证明是有益的。
图1示出了现有技术通信网络10的方框示意图,其中,诸如膝上型计算机、无线电话或PDA的便携式通信设备12经由虚拟专用网(VPN)16与企业网络14建立端到端的通信链接。VPN16通过公共网络18和无线接入点20而在企业网络14和便携式通信设备12之间延伸。虽然被示出为单个实体,但是无线接入点20可以包括未示出的无线网络的一部分。在所图解的实施例中,企业网络14包括耦接到局域网24的企业网关服务器20。
为了使便携式通信设备12通过VPN16建立与企业网络14的端到端的通信链接,便携式通信设备12必须拥有VPN客户端26。考虑到可适用的一个或多个安全协议,VPN客户端26采用一个或多个程序和相关联的数据的形式,并且可能采用使得便携式通信设备12能够来与VPN16连接的一个或多个硬件元件(未示出)的形式。虽然诸如膝上型计算机的一些便携式通信设备拥有并入VPN客户端22的能力,但是具有较少资源的其他便携式通信设备(例如无线电话设备)没有这样的能力。因此,具有有限资源的便携式通信设备缺少通过VPN16建立与企业网络14的通信链接的能力。
图2示出了根据本原理的优选实施例的通信网络100的方框示意图,其用于使得一个或多个便携式通信设备(例如设备12a和12b)能够至少部分地通过虚拟专用网(VPN)16来建立与企业网络14的通信。图2的网络100拥有许多与图1的网络10相同的元件,因此,相同的标号表示相同的元件。
图2的网络100与图1的网络10不同之处在于一个重要方面。与其中便携式通信设备12包括VPN客户端26的图1的网络10不同,图2的网络100中的便携式通信设备12a和12b无一包括VPN客户端。不是像图1中那样通过VPN16建立与企业网络14的端到端的通信链接,便携式通信设备12a和12b中的每一个首先使用若干种公知无线通信协议之一来建立与无线接入点20的通信链接。因此,例如,如果便携式通信设备12a和12b之一包括无线电话或PDA,则在该设备和无线接入点20之间的通信典型地将使用若干种公知的无线电话通信协议(例如CDMA、TDMA、GSM、3G等)中的任一种来进行。根据它们的配置,便携式通信设备12a和12b之一或全部可以使用IEEE802.11i协议来与无线接入点20通信。经由无线协议而不是先前所述的那些协议进行的通信也可以发生。
一旦便携式通信设备12a和12b之一建立了与无线接入点20的通信链接,则无线接入点随后试图识别该便携式通信设备试图接入的企业网络以允许认证。无线接入点20以两种方式的至少一种来识别企业网络14。例如,与便携式通信设备的用户相关联的证书可以标识企业网络14。例如,用户的证书将包括用户名、即bob@thomson.net,并且该用户名的域部分指定企业网络。用户也可以具体标识他或她试图接入的企业网络14。
无线接入点20通过与能够验证用户证书的企业网络14协商来认证便携式通信设备的用户。这样的认证可以通过在无线接入点20和便携式通信设备之间使用IEEE802.11i通信协议来进行。在无线接入点20和企业网络14之间,可以使用RADIUS通信协议。当成功地认证时,无线接入点20使用诸如临时密钥完整性协议(TKIP)、Wi-Fi保护接入(WPA)或高级加密标准(AES)的无线LAN安全机制来与便携式通信设备12a和12b之一建立安全会话。
无线接入点20也例如通过IPSEC、使用常见的VPN模型、代表便携式通信设备来在其自己和企业网络14之间建立VPN。无线接入点20桥接这两个安全连接,以便在便携式设备和企业网络之间建立端到端的连接。注意,可以作为单个VPN会话而预先建立无线接入点20和企业网络14之间的VPN连接。注意,无线接入点20必须信任企业网络14,从而与其中不必信任中间网络的图1中的端到端VPN解决方案相比引入了额外的复杂度。
上面描述了用于使通信设备能够建立与企业网络的连接而不需要便携式计算设备拥有VPN客户端的技术。
权利要求
1.一种用于在便携式通信设备和企业网络之间建立连接的方法,包括以下步骤在无线接入点处从便携式通信设备接收对于接入企业网络的请求;在无线接入点处确定该便携式通信设备试图接入哪个企业网络在无线接入点处使用无线接入认证协议来认证该便携式通信设备,以便建立与该便携式通信设备的无线通信链接;建立到要由该便携式通信设备接入的企业网络的虚拟专用网连接,以便经由所述接入点而在便携式通信设备和所述企业网络之间提供连接;以及桥接所述无线通信链接和虚拟专用通信连接。
2.根据权利要求1的方法,其中,所述确定步骤还包括以下步骤从试图接入所述企业网络的便携式通信设备接收识别证书;从该识别证书识别所述企业网络。
3.根据权利要求1的方法,其中,所述确定步骤还包括以下步骤从试图接入所述企业网络的便携式通信设备接收网络标识;以及从该网络标识识别所述企业网络。
4.根据权利要求1的方法,其中,所述认证步骤还包括以下步骤与所述企业网络协商,以便验证便携式通信设备的证书。
5.根据权利要求的方法,其中,所述认证步骤还包括使用临时密钥完整性协议、wi-fi保护接入协议或高级加密标准协议之一来认证便携式通信设备。
6.一种用于操作便携式通信设备以接入企业网络的方法,包括以下步骤从便携式通信设备发送接入请求,以便由无线接入点接收;由便携式通信设备提供对于要接入的企业网络的身份的指示,以便由无线接入点接收;以及从便携式通信设备向无线接入点提供认证信息,以使得无线接入点能够建立与便携式通信设备的无线通信链接,并且使得无线接入点能够建立与所述企业网络的VPN连接,从而无线接入点能够桥接所述VPN连接和无线通信链接。
8.一种用于在便携式通信设备和企业网络之间建立连接的装置,包括用于在无线接入点处从便携式通信设备接收对于接入企业网络的请求的部件;用于在无线接入点处确定该便携式通信设备试图接入哪个企业网络的部件用于在无线接入点处使用无线接入认证协议来认证该便携式通信设备、以便建立与该便携式通信设备的无线通信链接的部件;用于建立到要由该便携式通信设备接入的企业网络的虚拟专用网连接、以便经由所述接入点而在便携式通信设备和所述企业网络之间提供连接的部件;以及用于桥接所述无线通信链接和虚拟专用通信连接的部件。
9.根据权利要求8的装置,其中,所述确定部件还包括用于从试图接入所述企业网络的便携式通信设备接收网络标识的部件;以及用于从该网络标识识别所述企业网络的部件。
10.根据权利要求8的装置,其中,所述确定部件还包括用于从试图接入所述企业网络的便携式通信设备接收网络标识的部件;以及用于从该网络标识识别所述企业网络的部件。
全文摘要
一种便携式通信设备(12a,12b)有益地可以通过虚拟专用网(16)链接来接入企业网络(14),而不需要VPN客户端(26)。为了实现通信,便携式通信设备使用一种或若干种公知的安全无线协议来与无线接入点(20)建立通信链接。无线接入点通过VPN(16)来与企业网络建立通信链接,并且桥接所述连接,以便在便携式计算设备和企业网络之间提供端到端的链接。
文档编号H04L12/56GK1954580SQ200580015793
公开日2007年4月25日 申请日期2005年5月10日 优先权日2004年5月17日
发明者奥利维尔·格林, 张俊彪, 库马·拉马斯沃米 申请人:汤姆森特许公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1