提供一种技术,其使得只有满足安全策略的无线终端连接至公司内部网络而没有导致较大的成本增长。一种无线网络系统对公司内部网络进行配置并且包括了与设置有规定的连接信息的无线终端连接的无线接入点装置,并且在所述无线网络系统中提供一种终端管理装置,所述终端管理装置具有:判定装置,其通过不同于所述无线网络系统的通信网络与无线终端进行通信,并对无线终端是否满足预定的安全策略进行判定;以及连接信息发送装置,其将连接信息发送至被判定装置判定为满足安全策略的无线终端。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于仅允许满足预定安全策略(例如,没有安全漏洞)的终端连接至无线网络系统的技术。
技术介绍
智能装置(例如,智能电话或平板终端)正在得到迅速普及。这些类型的智能装置与传统个人数字助理(PDA)或传统笔记本电脑有所不同,并且具有多种不同的功能,例如应用程序执行功能、通信功能、以及成像功能。因此,此类智能装置通常用于个人使用以及用于用户的工作,并随着智能装置的普及而带来了自带设备(BYOD)的普及。具体地,当在用户工作地点的公司建筑物中提供的公司内部网络包括无线局域网络(LAN)时,用户所持有的智能装置通过所述无线LAN连接至公司内部网络,并在用户的工作中进行使用。在BYOD中,为了避免病毒入侵公司内部网络或泄露机密,通常仅允许满足预定安全策略的终端装置连接至公司内部网络。通常,智能装置通过包括在公司内部网络中的无线LAN连接至公司内部网络。因此,需要一种对应于无线网络系统(例如无线LAN)的检疫(quarantine)系统来实现用于智能装置的BY0D。检疫系统是用于检查试图连接至公司内部网络的终端装置是否满足预定的安全策略的系统。与此类检疫系统有关的现有技术包括专利文献I或非专利文献I所公开的技术。在专利文献I中描述了以下情况:利用虚拟局域网(VLAN)对公司内部网络进行逻辑分割,并且所述VLAN中的每一个充当“检疫VLAN”的角色。根据专利文献I所公开的技术,当终端装置连接至公司内部网络时,所述终端装置首先连接至检疫VLAN,并对所述终端装置是否满足安全策略进行检查,当所述终端装置满足安全策略时,该终端装置连接至用于工作的VLAN,从而实现对个人终端的检疫。同时,非专利文献I公开了一种技术,其通过在终端中安装实时监控连接目的地的专用软件、对连接目的地是公司内部网络还是另一网络(例如通用公共线)进行识别、以及例如根据识别结果而对所述终端的通信设置进行切换(例如,在连接至公司内部网络期间防止对公司外部的网络进行访问),来防止泄露机密?目息O引用列表专利文献专利文献1:JP-A-2006-331128非专利文献非专利文献1:Keizo HIKAWA, “MDM to Switch Work and Private Modeaccording to Destinat1n Network, Basic Announced,,,,2012 年 9 月 10日,Nikkei BP, 2013 年 3 月 21 日检索,Internet〈URL http://itpr0.nikkeibp.c0.jp/article/NEWS/20120910/421722/>
技术实现思路
技术问题在专利文献I所公开的技术中存在这样的问题:因为必须将公司内部网络分割为多个VLAN,所以该系统较为复杂,并且用于初始设置或操作的成本有所增加。另一方面,在非专利文献I所公开的技术中存在这样的问题:由于直到终端连接至公司内部网络时才对终端的设置进行切换,因此可利用欺骗性设置来执行与公司内部网络的连接。鉴于上述问题而做出本专利技术,其目的在于提供一种技术,其用于仅允许满足安全策略的无线终端连接至公司内部网络,而不会导致成本的显著增加。解决技术的问题为了解决所述问题,根据本专利技术的一个方面,提供一种包括无线中继装置和终端管理装置的无线网络系统,其中所述终端管理装置包括:判定部,其配置为通过不同于所述无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及连接信息发送部,其配置为将连接信息发送至被所述判定部判定为满足所述安全策略的无线终端。根据本专利技术的所述方面,由终端管理装置对无线终端是否满足安全策略进行判定,并且只有当所述无线终端满足所述安全策略时,才将连接信息从终端管理装置发送至所述终端。这种情况下,可通过不同于所述无线网络系统的通信网络来发送连接信息。这里,当不存在任何连接信息时,无线终端无法连接至无线中继装置(具体地,无线接入点装置),从而可以可靠地防止不满足安全策略的无线终端的连接。此外,根据本专利技术的所述方面,无需提供用于判定所述无线终端是否满足安全策略的检疫VLAN,从而没有导致成本增加。因此,当利用本专利技术的无线网络系统作为接纳无线终端的无线网络系统来搭建公司内部网络时,可以实现这样的情况:只有满足安全策略的无线终端连接至公司内部网络,而没有导致成本的显著增加。在所述方面中考虑:所述无线网络系统还包括检测装置,其对所述无线终端进入所述无线网络系统的服务区进行检测,在所述无线网络系统中,所述终端管理装置利用所述判定部针对被所述检测装置检测到的无线终端执行关于所述安全策略的判定。根据所述方面,可以在无线终端进入所述无线网络系统的服务区并试图连接至所述无线网络系统之前立即执行对所述无线终端的检疫,并且与周期性执行对无线终端的检疫的情况相比,可以抑制无线终端的电池消耗。在所述方面中,可考虑无线中继装置起到检测装置的作用的方面。例如,当所述无线中继装置为无线接入点装置时,使所述无线中继装置(无线接入点装置)响应于对无线终端所产生的探测请求的接收,来对所述无线终端进入无线中继装置的服务区进行检测。根据所述方面,和与所述无线中继装置分离地提供的传感器起到检测装置的作用的方面相比,由于不存在传感器,因此可以将成本抑制在较低水平。作为另一个方面,可考虑以下方面:使得所述终端管理装置周期性地执行通过无线中继装置与连接至所述无线中继装置的无线终端进行通信并利用所述判定部执行判定的处理;并且使得所述终端管理装置执行响应于判定单元的不满足安全策略的判定而从所述无线终端删除连接信息的处理。根据所述方面,可以避免产生安全漏洞,例如在连接至所述无线中继装置之后改变无线终端的设置。为了解决所述问题,根据本专利技术的另一方面,提供一种终端管理装置,其包括:判定部,其配置为通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及连接信息发送部,其配置为将用于连接所述无线中继装置的连接信息发送至被所述判定部判定为满足所述安全策略的无线终端。为了解决所述问题,根据本专利技术的又一方面,提供一种包括在无线网络系统中的无线中继装置,所述无线中继装置包括:终端通知部,其配置为:当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及更新部,其配置为根据来自所述高级别装置的指令,更新对通信方的各无线终端进行限制的过滤器。为了解决所述问题,根据本专利技术的又一方面,提供一种通信方法,其包括:通过不同于包括无线中继装置的无线网络系统的通信网络与无线终端进行通信,并且判定所述无线终端是否满足预定的安全策略;以及将用于连接所述无线中继装置的连接信息发送至被判定为满足所述安全策略的无线终端。为了解决所述问题,根据本专利技术的又一方面,提供一种包括在无线网络系统内的无线中继装置的通信方法,所述通信方法包括:当从无线终端接收的请求消息的无线电波强度超过预定阈值并且所述无线终端的终端标识符已预先登记时,将所述无线终端的终端标识符通知到高级别装置;以及根据来自所述高级别装置的指令,更新对通过所述无线中继装本文档来自技高网...
【技术保护点】
一种包括无线中继装置和终端管理装置的无线网络系统,其中所述终端管理装置包括:判定部,其配置为通过不同于所述无线网络系统的通信网络与无线终端进行通信,并判定所述无线终端是否满足预定的安全策略;以及连接信息发送部,其配置为将用于连接所述无线中继装置的连接信息发送至被所述判定部判定为满足所述安全策略的无线终端。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:浅野贵裕,木村俊洋,
申请(专利权)人:雅马哈株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。