[发明专利]用于保护网络访问安全的方法、系统及相关联的装置

说明书

本发明涉及一种计算或通信网络中的保护方法，所述方法可以隔离连接到所述网络的无线通信装置且识别为未遵守针对所述网络定义的安全要求的站点。通过连接到所述网络的隔离区域来自动隔离所连接的站点，所述隔离区域被排除在所谓的受信任区域之外。例如，识别为未遵守所述安全要求的装置可以访问广域网，例如因特网，但是无法访问受保护的本地网络。

技术领域

本发明涉及保护计算机和通信网络安全的领域。更具体地说，本发明涉及经由无线连接连接到通信网络且被检测为执行违反此网络中所应用的安全规则的一个或多个操作的装置的隔离。

背景技术

物联网的不断发展使得连接到本地网络的许多对象不符合或只是稍微符合信息技术安全要求，并且可能会被策反而对计算机网络或通信网络进行攻击或入侵，本地网络另外通常必须易于被非熟练用户连接和配置。

一种广泛的攻击是分布式服务拒绝。这是一种攻击，通过这种攻击，连接到同一网络的多个系统被破坏并组合使用来攻击同一个目标，使得该目标正确运行所需的资源崩溃，从而阻止或限制对该目标的使用。

另一种已知的攻击包括例如使用设备制造时默认定义的密码，试图连接到该设备并将其重新配置。

文档US 2018/109492描述了一种用于隔离网络中的节点的方法，使得能够将该节点可见的业务重新路由到服务器，以便进行旨在形成行为模型的分析和自动学习。在通过无线链路连接的对象的情况下，该文档描述了隔离网络的建立，该网络的终端可以由在对象的配置步骤中必须给出的唯一服务标识符服务集标识符(service set identifier，SSID)来标识。这一隔离和分析网络中的节点设备的技术看起来很复杂。

专利申请WO 2019/084340 A1涉及一种用于在无线网络中提供安全虚拟局域网(virtual local area network，VLAN)的系统和方法，从而可以提供网络业务的分离，并定义例如与寻求的服务质量有关的优先级。

发明内容

本发明特别旨在通过在计算机网络或通信网络的界定区域中隔离经由无线接口连接的先前已被识别为对此网络的安全构成威胁的设备来保护所述网络安全，所述界定区域被称为“隔离区域”。

词语“网络安全”在这里指的是旨在保证由形成网络的装置所提供的服务的正常可用性并在适用的情况下保持这些装置中存储的数据的完整性及其机密性的用途。

为此目的，本发明的目标是提出一种由保护装置执行的用于保护网络访问安全的方法，所述保护装置包括至少一个无线连接装置及数据帧路由装置，所述无线连接装置是包括所述网络的访问点的类型，所述网络包括被称为“受信任区域”的第一子网络和被称为“隔离区域”的第二子网络，所述路由装置配置成使得通过第一子网络标识符与所述无线连接装置相关联而连接到所述网络的站点可以访问在所述受信任区域中连接的第三方装置，并且使得通过第二子网络标识符与所述无线连接装置相关联而连接到所述网络的站点无法访问在所述受信任区域中连接的第三方装置，但是可以访问在所述隔离区域中连接的第三方装置，所述方法包括：

-通过所述无线连接装置发送信标类型的信息帧，包括所述受信任区域和所述隔离区域共有的服务集标识符(SSID)类型的网络标识符，

-通过所述无线连接装置接收由站点发送的加入请求，所述请求包括所述受信任区域和所述隔离区域共有的所述网络标识符SSID，

-通过访问控制器确定表示发送所述加入请求的所述站点在所述网络中进行的访问的参数，

-通过所述访问控制器根据所述参数经由所述无线连接装置有条件地向发送所述加入请求的所述站点授予访问所述受信任区域的授权，并且在拒绝访问所述受信任区域情况下，向所述站点授予访问所述隔离区域的授权。