[发明专利]隔离组网

权利要求书

1、一种用于隔离客户机的隔离架构，包括：

a)未被鉴权的网络；

b)隔离网络；和

c)安全网络。

2、根据权利要求1的架构，还包括：

所述未被鉴权的网络中的鉴权代理，用于控制切换点；和

所述隔离网络中的隔离代理，用于控制所述切换点。

3、根据权利要求1的架构，还包括：

用于基于特定情况或策略，将所述安全网络中的客户机切换到所 述隔离网络或所述未被鉴权的网络的装置。

4、根据权利要求3的架构，其中所述装置包括用于基于下列的 一个或多个进行切换的装置：

1)通过基于情况或策略，周期性地检验和切换客户机；

2)在接收到新数据和/或信息，或者新数据和/或信息到达时，通 过基于情况或策略检查和切换客户机；和/或

3)通过基于情况或策略，或者在发现客户机在所述安全网络中 被感染时，检查和切换所述客户机。

5、根据权利要求1的架构，其中在逻辑上分离所述网络，并且 将每分组加密、完整性保护和/或重放保护用于在网络之间和/或在客 户机之间的业务分离。

6、根据权利要求2的架构，其中所述鉴权代理连接到所述未被 鉴权的网络以便进行初始鉴权。

7、根据权利要求2的架构，其中所述鉴权代理连接到所述隔离 网络和/或所述安全网络以便进行重新鉴权。

8、根据权利要求2的架构，其中所述隔离代理检查所述客户机， 并且在所述检查失败时，所述隔离代理实现或强制所述客户机升级客 户机软件。

9、根据权利要求8的架构，其中如果所述升级失败或者不成功， 则所述客户机a)从所述网络断开连接；或者b)重新连接到所述未被 鉴权的网络。

10、根据权利要求1的架构，还包括用于在客户机被成功鉴权且 已经存在对于所述客户机的有效检查记录时跳过隔离的装置。

11、根据权利要求1的架构，还包括使用每分组保护在逻辑上分 离在所述3个网络的至少一些之间的业务，并且包括使用IPsec的层3 保护。

12、根据权利要求2的架构，其中将下列协议用于在所述客户机 和所述鉴权代理之间承载EAP：IEEE 802.1X、PANA、和IKEv2。

13、根据权利要求2的架构，其中在客户机和所述隔离代理之间 交换检查信息，其中在应用层协议消息中承载所述检查信息。

14、根据权利要求2的架构，其中将切换点与IPsec网关共同设 置在一起，并且切换和IP地址改变基于创建或修改IPsec SA。

15、根据权利要求2的架构，其中切换和IP地址改变由网络侧 触发。

16、一种用于执行至少一个无线客户机设备的隔离组网的方法， 包括：

a)经由未被鉴权的网络上的鉴权代理，执行至少一个无线客户 机的鉴权；

b)一旦在所述未被鉴权的网络上成功鉴权了所述至少一个无线 客户机，就经由隔离网络上的隔离代理，执行所述至少一个无线客户 机的检查；以及

c)一旦成功鉴权和检查了所述至少一个无线客户机，就使用安 全网络上的所述至少一个无线客户机执行应用处理。

17、根据权利要求16的方法，其中所述执行检查包括检查所述 至少一个无线客户机的软件、固件或硬件。

18、根据权利要求17的方法，其中所述执行检查包括来自由操 作系统检查、防病毒检查、软件版本检查、软件补丁检查和模块检查 所构成的组的检查类型，并且还包括执行所述隔离网络上的无线客户 机的软件升级。

19、根据权利要求16的方法，其中所述未被鉴权的网络和所述 隔离网络是在物理上或者在逻辑上分离的网络。

20、根据权利要求16的方法，还包括基于情况或策略，将至少 一个无线客户机从所述安全网络切换到所述隔离网络或者所述未被鉴 权的网络。