本申請是由諾基亞公司于2002年5月30日申請的、申請號為02811442.6、發明名稱為“區域網內的安全性”一案的分案申請。

技術領域

本發明涉及計算機網絡領域，尤其涉及區域網領域。

背景技術

計算機網絡可定義為相互鏈接的兩個或更多計算機系統的組。在此定義中，計算機系統表示全部工作的計算機，不僅包括計算機，還包括任何實現計算機功能所需的軟件或外圍設備。例如，每個計算機系統都需要操作系統，通常要求打印設備提供計算機化信息的硬拷貝。

可以多種方式分類計算機網絡，例如依據拓撲(網絡內設備的幾何布置，例如總線、星形、環形)、媒介(連接設備的裝置，例如同軸/光纖電纜或無線電波)、協議(發送數據的公共規則組，例如以太網)或體系結構(對等或客戶機/服務器)。所述協議同樣可以確定計算機網絡使用對等體系結構還是客戶機/服務器體系結構，因而這種簡單分類通常使得計算機網絡屬于多個類別。

除了上述分類之外，還可以依據計算機網絡所分布的地理區域來分組所述計算機網絡。這種分類導致了區域網類別，包括局域網(LAN)、廣域網(WAN)和城域網(MAN)。在LAN的情況下，網絡內的計算機地理上較為靠近，例如在單個建筑或建筑群內。在WAN的情況下，計算機較為分散，由電話線或無線電波連接。一個LAN可經由電話線和/或無線電波連接到任何距離之外的其它LAN，同樣可以提供WAN。MAN是為市鎮和城市設計的網絡。

本發明涉及區域網領域，包括所有上述區域網。此外，由于這種簡單分類通常導致計算機網絡屬于多個類別，所以必須指出本發明并不排除在同樣屬于其它網絡類別的網絡內的適用性。因此，本發明涉及區域網，與網絡的拓撲、媒介、協議或體系結構無關。本發明同樣適用于無線局域網(WLAN或LAWN)、將高頻率無線電波而非導線用于某些網絡設備間通信的LAN的子類。

區域網被設計為允許若干計算機相互連接以共享信息和資源。網絡協議、操作系統以及相關網絡計算機的應用軟件是根據這樣一種假定來設計的，即目標是相同區域網上的兩個或多個計算機可以共享信息，并相互通知在網絡上的存在。這種布置僅適合于該區域網的用戶(客戶)具有商業/個人關系的情況。但在客戶并不具有商業/個人關系的情況下(例如在公共區域網內)，存在著使用區域網，尤其是LAN所提供便利的機會。這種應用的一個實例是機場商務休息室，可能會在所述休息室內提供LAN/WLAN，以允許乘客(客戶)接入互聯網，同時阻止接入到連接至相同LAN/WLAN的另一乘客的計算機。

在這種安全性敏感的應用中，客戶通常新進入網絡，相互之間或與網絡之間先前并無商業或個人關系，理想的是保持被發射數據分組形式的通信的私密性(即，將一個客戶的傳輸與另一客戶隔離)，與此同時仍然向所述用戶提供簡易網絡接入，理想地使用共用的通信協議。同樣需要在客戶接入網絡時以及接入的持續時間內提供某種程度的控制。

首先考慮接入控制要求，這可通過借助一個或多個控制計算機中介區域網傳輸來實現，所述控制計算機通常稱為接入控制器(AC)，為監控和控制網絡使用所設計。所述的接入控制器被設置在網絡體系結構內的位置處以接收客戶數據分組，無需所述數據分組首先通過所述網絡長距離傳播。所述的位置在體系結構上緊跟接入點設備，提供所述的接入點設備以允許客戶設備接入到所述網絡。因此，AC的有效運行在當前解決方案中依賴體系結構，即借助所述網絡的體系結構設計阻止繞過AC傳輸。

就安全性而言，現有LAN內的安全性努力導致區域網被設置為僅允許傳輸來自網絡識別的客戶計算機的數據分組。這可以通過將接入點設備或AC設置為將客戶設備傳送的唯一客戶設備分類符(例如MAC地址)或特許碼(例如口令)視為傳輸數據分組的一部分來實現。但是，這種布置僅檢查客戶設備是否被許可接入所述網絡，并不考慮是否允許所請求接入到的設備。因此，該解決方案在隔離中無需阻止得到許可使用該網絡的用戶，或是已改變其設備以使所述設備提供由所述網絡識別的客戶設備分類符或是特許碼的用戶接入到所述網絡的個人區域。