RU2351084C2 - Способ установления vpn-соединения - Google Patents
Способ установления vpn-соединения Download PDFInfo
- Publication number
- RU2351084C2 RU2351084C2 RU2006107601/09A RU2006107601A RU2351084C2 RU 2351084 C2 RU2351084 C2 RU 2351084C2 RU 2006107601/09 A RU2006107601/09 A RU 2006107601/09A RU 2006107601 A RU2006107601 A RU 2006107601A RU 2351084 C2 RU2351084 C2 RU 2351084C2
- Authority
- RU
- Russia
- Prior art keywords
- computer
- mobile terminal
- mobile
- network
- communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/045—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Air Bags (AREA)
- Nonmetallic Welding Materials (AREA)
- Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
- Small-Scale Networks (AREA)
Abstract
Настоящее изобретение относится к способу, мобильному коммуникационному терминалу и системе, реализующим установление VPN-соединения между первым компьютером и вторым компьютером, подключенными к сети, например Интернету. Технические результат заключается в повышении экономичности реализации системы. Первый мобильный терминал имеет возможность установления локального Bluetooth-соединения с первым компьютером. Аналогично, второй мобильный терминал имеет возможность установления локального Bluetooth-соединения со вторым компьютером. Указанный способ реализуется вторым мобильным терминалом и включает в себя следующие шаги: получение зашифрованного сообщения-запроса, содержащего IP-адрес первого компьютера и общий секретный объект, от первого мобильного терминала; дешифрование сообщения-запроса с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу; получение команды-ответа от второго компьютера; посылка сообщения-ответа, содержащего IP-адрес второго компьютера, на первый мобильный терминал. 3 н. и 8 з.п. ф-лы, 3 ил.
Description
Область техники, к которой относится изобретение
Настоящее изобретение, в основном, относится к области защиты информации, и, в частности, к области установления соединения типа "виртуальная частная сеть" (Virtual Private Network, далее обозначается как "VPN-сеть") в сети связи между первым и вторым компьютерами, подключенными к этой сети.
В частности, первый мобильный коммуникационный терминал имеет функцию установления локальной связи с первым компьютером, второй мобильный коммуникационный терминал имеет функцию установления локальной связи со вторым компьютером и способ по изобретению осуществляется указанным вторым мобильным терминалом.
Изобретение также относится к мобильному коммуникационному терминалу, имеющему функцию осуществления указанного способа, и системе, компонентом которой является мобильный коммуникационный терминал, имеющий функцию осуществления указанного способа.
Уровень техники
Виртуальная частная сеть представляет собой частную сеть, функционирующую на основе сети общего пользования, и, в частности, ее телекоммуникационной инфраструктуры. VPN-сети широко используются для предоставления мобильным и удаленным пользователям возможности подключения к внутренним локальным сетям своих компаний.
В последние годы широко применяется технология обеспечения доступа к VPN-сетям, известная как IPSec (Internet Protocol Security, безопасность IP-протоколов). Безопасность, обеспечиваемая при использовании IPSec, базируется на применении протоколов туннелирования и процедур защиты.
Для установления соединения с использованием IPSec по VPN-туннелю между двумя оконечными или клиентскими компьютерами, подключенными к Интернету, должно выполняться следующее условие: на каждом компьютере должны присутствовать определенные конфигурационные данные, в том числе IP-адреса обоих компьютеров, и некий секретный объект, общий для этих компьютеров, например, случайное число или буквенно-цифровая строка. При наличии этой информации каждый компьютер может выполнять процесс конфигурирования, в результате которого устанавливается соединения VPN.
Существует безопасный способ обмена информацией в пределах некоторой организации, промышленной отрасли или страны, а также в мировом масштабе, известный как PKI (Public Key Infrastructure, инфраструктура открытого ключа). В PKI используется способ асимметричного шифрования, также известный как "способ с открытым/закрытым ключом", который применяется для шифрования идентификаторов и документов/сообщений. Орган выдачи полномочий (certificate authority, CA) выдает цифровые сертификаты (цифровые идентификаторы), которые служат для подтверждения легитимности лиц и организаций в общедоступных сетях, например в Интернете.
Раскрытие изобретения
Задача, на решение которой направлено настоящее изобретение, заключается в создании способа, устройства и системы, реализующих установление соединения типа "виртуальная частная сеть" в сети связи между первым и вторым компьютерами, подключенными к этой сети.
Другая задача настоящего изобретения заключается в создании способа, устройства и системы, являющихся экономически эффективными и легкими в реализации и использовании.
Еще одна задача настоящего изобретения заключается в создании способа, устройства и системы, задействующих имеющуюся инфраструктуру, например, крупномасштабную систему мобильной связи, а также развивающиеся технологии, такие как связь Bluetooth (технология беспроводной ближней коротковолновой радиосвязи, позволяющая объединять устройства разных типов для передачи речи и данных).
Еще одна задача настоящего изобретения заключается в создании способа, устройства и системы, предоставляющих обычным клиентам возможность легкого установления VPN-соединений, которая позволяла бы упростить внедрение новых методов электронной коммерции и решений по оплате в режиме on-line.
Решение по меньшей мере некоторых из вышеперечисленных задач достигается посредством способа, мобильного коммуникационного терминала и системы, описанных в независимых пунктах прилагаемой формулы изобретения. Другие существенные преимущества реализуются в вариантах осуществления, описанных в зависимых пунктах формулы изобретения.
Перечень чертежей
Свойства и достоинства настоящего изобретения станут ясны из нижеследующего описания, содержащего ссылки на прилагаемые чертежи, которые иллюстрируют вариант осуществления изобретения, не вносящий каких-либо ограничений. На чертежах:
на фиг.1 приведена структурная схема системы для реализации способа в соответствии с настоящим изобретением;
на фиг.2 приведена временная диаграмма, отражающая весь процесс установления VPN-соединения;
на фиг.3 показана блок-схема способа в соответствии с настоящим изобретением.
Осуществление изобретения
На фиг.1 изображена структурная схема, описывающая систему, в которой используется способ по настоящему изобретению.
Первый клиентский компьютер 150 (А) и второй клиентский компьютер 160 (В) на исходном этапе подключаются к глобальной цифровой сети 110 связи, например, Интернету.
Задача изобретения состоит в установлении VPN-соединения между А и В, т.е. между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
Каждому из клиентских компьютеров 150, 160 назначается адрес (IP-адрес) в сети 110. Кроме того, на каждом клиентском компьютере 150, 160 имеется программное обеспечение, например, Интернет-браузер, которое позволяет получать доступ к World Wide Web с помощью этого компьютера. Далее, каждый клиентский компьютер 150, 160 имеет интерфейс локальной связи, например, радиочастотный Bluetooth-трансивер, предназначенный для обеспечения локальной связи малой дальности с удаленными периферийными устройствами.
Спецификация Bluetooth относится к области компьютерной техники и телекоммуникаций. Она описывает простой способ взаимодействия между мобильными телефонами, компьютерами и персональными цифровыми ассистентами (personal digital assistants, PDAs) посредством локального (имеющего малый радиус действия) беспроводного соединения. Типичное Bluetooth-устройство представляет собой трансивер, выполненный в виде микросхемы и осуществляющий прием/передачу сигнала в частотном диапазоне 2.45 ГГц. Каждое устройство имеет уникальный 48-битный адрес, соответствующий стандарту IEEE 802. Соединения могут быть двухточечными или многоточечными. Максимальная дальность связи составляет 10 метров. Используемый принцип скачкообразной смены частот позволяет устанавливать связь между устройствами даже в местах с высоким уровнем электромагнитных помех. При работе Bluetooth-соединений малой дальности используются изначально предусмотренные в Bluetooth функции шифрования и аутентификации.
Далее, на каждом из клиентских компьютеров 150, 160 имеется программное обеспечение, предназначенное для взаимодействия с удаленными периферийными устройствами посредством указанного интерфейса локальной связи.
Первый мобильный терминал 154 функционирует в паре с первым клиентским компьютером 150. Первый мобильный терминал 154 имеет две независимые функции связи. Во-первых, мобильный терминал 154 имеет интерфейс связи, предназначенный для локального взаимодействия с первым клиентским компьютером 150 и представляющий собой, например, радиочастотный Bluetooth-трансивер. Во-вторых, мобильный терминал 154 имеет функцию работы в сети 120 мобильной телефонной связи на основе радиочастотного соединения с базовой станцией 122, в зоне покрытия которой находится мобильный терминал 154. В частности, в этой сети мобильной телефонной связи предоставляется услуга обмена сообщениями, например услуга отправки и приема SMS, что позволяет передавать цифровые сообщения с мобильного терминала 154 на другой мобильный терминал, работающий в сети 120 мобильной телефонной связи.
Аналогично, второй мобильный терминал 164 функционирует в паре со вторым клиентским компьютером 160 на стороне В. Второй мобильный терминал 164 также имеет две независимые функции связи. Во-первых, мобильный терминал 164 имеет интерфейс связи, предназначенный для локального взаимодействия со вторым клиентским компьютером 160 и представляющий собой, например, радиочастотный Bluetooth-трансивер. Во-вторых, мобильный терминал 164 имеет функцию работы в сети 120 мобильной телефонной связи на основе радиочастотного соединения с базовой станцией 124, в зоне покрытия которой находится мобильный терминал 164. Услуга обмена сообщениями, предоставляемая в сети 120 мобильной телефонной связи, например, услуга отправки и приема SMS, позволяет передавать цифровые сообщения с мобильного терминала 164 на другой мобильный терминал, работающий в этой сети, и принимать такие сообщения. Как правило, сеть 120 мобильной телефонной связи представляет собой GSM-сеть и позволяет передавать и принимать SMS-сообщения с помощью терминалов мобильной связи, подключенных к сети 120.
В каждом из мобильных терминалов 154, 164 имеется SIM-карта (Subscriber Identification Module, модуль идентификации абонента).
На фиг.2 приведена временная диаграмма, иллюстрирующая весь процесс установления VPN-соединения между первым клиентским компьютером 150 и вторым клиентским компьютером 160. При описании системы на фиг.2 для наглядности также используются ссылки на фиг.1.
Для установления VPN-туннеля между первым клиентским компьютером 150 и вторым клиентским компьютером 160 необходимо наличие следующих конфигурационных данных на каждом из клиентских компьютеров 150, 160:
(1) IP-адреса обоих клиентских компьютеров;
(2) некий секретный объект, общий для обоих компьютеров.
Дальнейший процесс установления VPN-соединения или туннеля на основе указанных конфигурационных данных соответствует обычной процедуре, известной специалисту в данной области техники, основанной на спецификации IPSec.
На начальном шаге 202 процесса пользователь вводит запрос на первом клиентском компьютере 150. Запрос включает в себя идентификатор второго мобильного терминала 164, например, его телефонный номер.
Затем, на шаге 204 генерации секретного объекта, первый клиентский компьютер 150 генерирует "общий секретный объект", например, псевдослучайное число или буквенно-цифровую строку.
Далее, на шаге 206 передачи команды-запроса, первый клиентский компьютер 150 передает на первый мобильный терминал 154 команду-запрос по первому локальному Bluetooth-соединению 152. Встроенные функции связи стандарта Bluetooth обеспечивают передачу данных в зашифрованной форме, что существенно для сохранения безопасности и конфиденциальности. В указанную команду входят данные, представляющие сгенерированный общий секретный объект, IP-адрес первого клиентского компьютера 150 и идентификатор второго мобильного терминала 164; по этой команде первый мобильный терминал А посылает сообщение-запрос на последующем шаге 208.
В ответ на полученную команду-запрос первый мобильный терминал инициирует шаг 208 передачи сообщения-запроса, в течение которого первый мобильный терминал 154 посылает сообщение-запрос, например SMS-сообщение, на идентифицированный второй мобильный терминал 164 по сети 120 мобильной связи. Сообщение-запрос включает в себя общий секретный объект и IP-адрес первого клиентского компьютера 150.
При выполнении шагов 206 и 208 первый мобильный терминал 154 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять первый клиентский компьютер 150 посредством Bluetooth-соединения. Генерация сообщения-запроса в этом случае выполняется первым клиентским компьютером 150, и это сгенерированное сообщение-запрос будет содержаться в команде-запросе, посылаемой на шаге 206; после ее получения первый мобильный терминал 154 выполняет пересылку сообщения-запроса с его предварительным преобразованием в SMS.
Указанное сообщение-запрос шифруется с помощью открытого ключа, принадлежащего второму мобильному терминалу 164.
После получения SMS-сообщения второй мобильный терминал 164 выполняет шаг 210 дешифрования запроса, который заключается в дешифровании сообщения-запроса с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164. Указанный закрытый ключ предпочтительно хранится в SIM-карте (модуле идентификации подписчика), установленном во втором мобильном терминале. Для получения доступа к закрытому ключу, хранящемуся в SIM-карте, оператору второго мобильного терминала 164 необходимо ввести PIN-код на мобильном терминале 164.
После дешифрования сообщения-запроса второй мобильный терминал 164 выполняет шаг 212 передачи сообщения конфигурации; в течение этого шага производится передача конфигурационных данных, в том числе IP-адреса первого клиентского компьютера 150 и общего секретного объекта, по Bluetooth-соединению на второй клиентский компьютер 160.
Второй клиентский компьютер 160, получивший сообщение с конфигурационными данными, т.е. поступление конфигурационных данных, содержащих как IP-адрес первого клиентского компьютера, так и общий секретный объект, инициирует процесс 214 конфигурирования, включающий в себя конфигурирование туннельного VPN-соединения между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
Далее второй клиентский компьютер 160 выполняет шаг 216 посылки команды-ответа. На этом шаге выполняется посылка команды-ответа второму клиентскому компьютеру по второму Bluetooth-соединению 162.
В ответ на получение команды-ответа второй мобильный терминал инициирует шаг 218 передачи сообщения-ответа, в течение которого второй мобильный терминал 164 посылает сообщение-ответ, например, SMS-сообщение, на первый мобильный терминал 154 по сети 120 мобильной связи. Это сообщение-ответ содержит IP-адрес второго клиентского компьютера 160.
При выполнении шагов 216 и 218 второй мобильный терминал 164 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять второй клиентский компьютер 160 посредством Bluetooth-соединения. В этом случае второй клиентский компьютер 160 генерирует сообщение-ответ, и команда-ответ, посылаемая на шаге 216, будет содержать сгенерированное сообщение-ответ; после его получения второй мобильный терминал 164 выполняет пересылку сообщения-ответа с его предварительным преобразованием в SMS.
Указанное сообщение-ответ шифруется с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164 и расположенного в его SIM-карте.
После получения сообщения-ответа первым мобильным терминалом 154 на шаге 218 выполняется шаг 220 дешифрования сообщения-ответа, на котором производится дешифрование сообщения-ответа. Шаг 220 дешифрования в основном соответствует описанному ранее шагу 210 дешифрования, выполняемому вторым мобильным терминалом 164.
После шага 220 дешифрования первый мобильный терминал 154 выполняет шаг 222 передачи сообщения конфигурации, в течение которого производится передача конфигурационных данных, в том числе IP-адреса второго клиентского компьютера, по локальному Bluetooth-соединению на первый клиентский компьютер.
Таким образом, к этому моменту на первом клиентском компьютере имеется общий секретный объект и IP-адрес второго клиентского компьютера, что позволяет первому клиентскому компьютеру 150 инициировать процесс 224 конфигурирования VPN-туннеля. Кроме того, следует отметить, что второй клиентский компьютер 160 к этому моменту инициирует процесс 214 конфигурирования. Выполнение процессов 214, 224 конфигурирования обеспечивает возможность создания VPN-туннеля между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
На фиг.3 приведена схема процесса, иллюстрирующая способ по настоящему изобретению.
Полный процесс, показанный на фиг.2, включает в себя шаги, выполняемые различными сторонами. Способ, показанный на фиг.3, в рамках вышеописанного общего процесса относится к шагам, выполняемым вторым мобильным терминалом 164.
Данный способ позволяет устанавливать соединение типа "виртуальная частная сеть", в частности, туннель в соответствии со спецификацией IPSec, в сети 110 связи между первым компьютером 150 и вторым компьютером 160, подключенными к этой сети.
При описании указанного способа также используются ссылки на систему, изображенную на фиг.1. Более конкретно: первый мобильный терминал 154 имеет функцию установления локальной связи (например, Bluetooth) с первым компьютером 150, второй мобильный терминал 164 имеет функцию установления локальной связи (например, Bluetooth) со вторым компьютером 160. Кроме того, мобильные терминалы 154, 164 имеют функцию взаимодействия между собой по сети 120 мобильной связи.
Шаги описываемого способа выполняются вторым мобильным терминалом 164. Исходный этап способа обозначен ссылкой 301.
Вначале, на шаге 308 получения запроса, происходит получение зашифрованного сообщения-запроса. Этот шаг соответствует шагу 208 посылки запроса на фиг.2, на котором происходит посылка сообщения-запроса первым мобильным терминалом 154. В этом сообщении-запросе содержится информация, включающая в себя сетевой адрес (IP-адрес) первого компьютера 150 и общий секретный объект, сгенерированный первым клиентским компьютером 150 на шаге 204 и переданный по локальному Bluetooth-соединению на первый мобильный терминал 154 на шаге 206 (фиг.2). Сообщение-запрос предпочтительно имеет форму SMS и передается/принимается посредством сети 120 мобильной связи. Указанное сообщение-запрос шифруется с помощью открытого ключа, принадлежащего мобильному терминалу 164.
На шаге 309 проверки выполняется проверка факта получения сообщения запроса; процесс по способу переходит к шагу 310 только в том случае, если оно было получено. В противном случае ожидается поступление этого сообщения-запроса.
На шаге 310 дешифрования, соответствующем шагу 210 дешифрования на фиг.2, второй мобильный терминал 164 производит дешифрование сообщения-запроса с помощью закрытого ключа, принадлежащего мобильному терминалу 164. Как описано выше со ссылками на фиг.2, этот закрытый ключ преимущественно хранится в SIM-карте, установленной во втором мобильном терминале 164.
По окончании шага 310 дешифрования второй мобильный терминал 164 выполняет шаг 312 посылки сообщения конфигурации, соответствующий шагу 212 на фиг.2. На этом этапе производится передача конфигурационных данных, в том числе IP-адреса первого клиентского компьютера 150 и общего секретного объекта, по локальному Bluetooth-соединению на второй клиентский компьютер 160.
Далее второй мобильный терминал выполняет шаг 316 получения команды-ответа, аналогом которого является шаг 216 передачи команды-ответа, выполняемый вторым клиентским компьютером (фиг.2). На этом шаге 316 происходит получение команды-ответа от второго клиентского компьютера 160 по второму Bluetooth-соединению 162.
На шаге 317 проверки выполняется проверка факта получения команды-ответа; процесс переходит к шагу 318 посылки ответа только в том случае, если она была получена. В противном случае ожидается поступление этой команды-ответа.
В ответ на получение команды-ответа второй мобильный терминал инициирует шаг 318 передачи сообщения-ответа, соответствующий шагу 218 на фиг.2. На этом шаге 318 второй мобильный терминал 164 посылает сообщение-ответ (SMS-сообщение) на первый мобильный терминал 154 по сети 120 мобильной связи. Это сообщение-ответ содержит IP-адрес второго клиентского компьютера 160.
При выполнении шагов 316-318 второй мобильный терминал 164 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять второй клиентский компьютер 160 посредством Bluetooth-соединения. В этом случае второй клиентский компьютер 160 генерирует сообщение-ответ, и команда-ответ, посылаемая на шаге 316, будет содержать сгенерированное сообщение-ответ; после его получения второй мобильный терминал 164 выполняет пересылку сообщения-ответа с его предварительным преобразованием в SMS.
Указанное сообщение-ответ шифруется с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164 и расположенного в его SIM-карте.
По завершении описанных шагов, на конечной стадии 319, первый клиентский компьютер 150 получает IP-адрес второго компьютера 160, содержащийся в переданном сообщении-ответе, от первого мобильного терминала 154. Как показано в описании всего процесса на фиг.2, при этом предполагается, что первый мобильный терминал 154 выполнил шаг 220 дешифрования и шаг 222 посылки конфигурационных данных. Кроме того, второй клиентский компьютер теперь может выполнить шаг 214 конфигурирования VPN-туннеля с применением данных из сообщения конфигурации, переданного вторым мобильным терминалом 164 на шаге 312.
Таким образом, к этому моменту на обоих клиентских компьютерах 150 160 имеются все конфигурационные данные, необходимые для установления VPN-туннеля между первым компьютером 150 и вторым компьютером 160.
Настоящее изобретение будет применимым, в частности, в том случае, если сеть 110 поддерживает функцию глобальной адресации, которой соответствует новая все более широко используемая спецификация Интернет-протоколов IPv6. Варианты осуществления, основанные на распространенной в настоящее время спецификации IPv4 предусматривают использование устройств трансляции сетевых адресов (Network Address Translation, NAT). Недостаток NAT-сетей на основе IPv4 состоит в том, что в них используются адреса, не являющиеся глобальными. Это означает, что компьютер посылает адрес, который действителен только в пределах данной NAT-сети, и доступ к нему извне невозможен. Двухточечную связь установить нельзя; альтернатива заключается в создании туннеля между двумя NAT-серверами, но в этом случае установленная связь будет полностью открытой в пределах NAT-сети и ее безопасность будет нарушена.
Раскрытие изобретения в вышеприведенном описании основано на частном примере. Специалисту в данной области техники будет ясно, что в пределах области, описываемой пунктами прилагаемой формулы изобретения, возможно большое количество возможных вариантов и альтернатив указанного подробно описанного варианта осуществления.
Например, первый мобильный терминал 154 и первый компьютер 150, которые описаны как отдельные устройства, взаимодействующие посредством Bluetooth-соединения малой дальности, могут быть объединены в одно мобильное устройство, например, персональный цифровой ассистент.(Personal Digital Assistant, PDA). Локальная связь между первым мобильным терминалом 154 и первым клиентским компьютером 150 в этом случае функционирует внутри указанного мобильного устройства.
Указанное Bluetooth-соединение описано как предпочтительное решение локальной связи малой дальности между клиентским компьютером (150, 160) и соответствующим мобильным терминалом (154, 164 соответственно), но специалисту в данной области техники будет также ясно, что могут быть применены и другие способы, такие как инфракрасная связь или проводное соединение. В любом случае, локальная связь должна включать в себя встроенные схемы шифрования в целях сохранения безопасности.
В качестве мобильных терминалов могут использоваться обычные мобильные телефоны, например, телефоны GSM, снабженные дополнительными средствами связи малой дальности, например, Bluetooth. С другой стороны, мобильные терминалы могут быть и более сложными устройствами связи и обработки, такими как PDA, снабженные модулями мобильной связи (например, стандарта GSM), и, например, Bluetooth-трансивером для обеспечения взаимодействия.
Процесс на фиг.2 в целом инициируется пользователем, работающим с первым клиентским компьютером 150. Естественно, возможно инициировать этот процесс с помощью первого мобильного терминала 154, который затем устанавливает связь малой дальности с первым клиентским компьютером 150. Кроме того, возможно перенести функцию выполнения шага 204 генерации общего секретного объекта на первый мобильный терминал 154. В частности, такой вариант может иметь место в случае, если описанный процесс выполняется устройством типа PDA или телефоном, одновременно функционирующим в качестве клиентского компьютера.
Claims (11)
1. Способ установления соединения типа "виртуальная частная сеть" в сети (110) связи между первым компьютером (150) и вторым компьютером (160), подключенными к указанной сети, причем первый мобильный коммуникационный терминал (154) выполнен с возможностью установления локальной связи с первым компьютером (150), а второй мобильный коммуникационный терминал (164) выполнен с возможностью установления локальной связи со вторым компьютером (160), отличающийся тем, что указанный способ выполняется посредством второго мобильного терминала (164) и включает в себя следующие шаги:
осуществляют получение зашифрованного сообщения-запроса от первого мобильного терминала (154), причем сообщение-запрос содержит информацию, включающую в себя сетевой адрес первого компьютера (150) и общий секретный объект;
осуществляют дешифрование указанного сообщения-запроса с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу (164);
осуществляют посылку сообщения конфигурации, содержащего сетевой адрес первого компьютера (150) и общий секретный объект, на второй компьютер (160);
осуществляют получение команды-ответа от второго компьютера (160);
после получения указанной команды-ответа осуществляют передачу сообщения-ответа, содержащего информацию, включающую в себя сетевой адрес второго компьютера (160), на первый мобильный терминал (154),
в результате чего первый компьютер (150) приобретает возможность получения сетевого адреса второго компьютера (160); а второй компьютер (160) приобретает возможность получения сетевого адреса первого компьютера (150) и общего секретного объекта, что позволяет установить соединение типа "виртуальная частная сеть" между первым компьютером (150) и вторым компьютером (160).
осуществляют получение зашифрованного сообщения-запроса от первого мобильного терминала (154), причем сообщение-запрос содержит информацию, включающую в себя сетевой адрес первого компьютера (150) и общий секретный объект;
осуществляют дешифрование указанного сообщения-запроса с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу (164);
осуществляют посылку сообщения конфигурации, содержащего сетевой адрес первого компьютера (150) и общий секретный объект, на второй компьютер (160);
осуществляют получение команды-ответа от второго компьютера (160);
после получения указанной команды-ответа осуществляют передачу сообщения-ответа, содержащего информацию, включающую в себя сетевой адрес второго компьютера (160), на первый мобильный терминал (154),
в результате чего первый компьютер (150) приобретает возможность получения сетевого адреса второго компьютера (160); а второй компьютер (160) приобретает возможность получения сетевого адреса первого компьютера (150) и общего секретного объекта, что позволяет установить соединение типа "виртуальная частная сеть" между первым компьютером (150) и вторым компьютером (160).
2. Способ по п.1, отличающийся тем, что закрытый ключ (PrivKeyB) хранят в модуле идентификации абонента, установленном во втором мобильном терминале (164).
3. Способ по п.2, отличающийся тем, что команда-ответ включает в себя сообщение-ответ.
4. Способ по п.3, отличающийся тем, что сообщение-запрос получают из сети (120) мобильной связи, причем сообщение-ответ посылают в сеть (120) мобильной связи.
5. Способ по п.4, отличающийся тем, что сеть (120) мобильной связи представляет собой сеть мобильной телефонной связи, совместимую со стандартом GSM, причем сообщение-запрос и сообщение-ответ представляют собой SMS-сообщения.
6. Способ по п.5, отличающийся тем, что сообщение-запрос шифруют с помощью открытого ключа (PubKeyB), принадлежащего второму мобильному терминалу (164), а сообщение-ответ шифруют с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу (164).
7. Способ по одному из пп.1-6, отличающийся тем, что локальную связь между вторым мобильным терминалом (164) и вторым компьютером (160) осуществляют на основе беспроводного соединения малой дальности, реализованного в соответствии со спецификацией Bluetooth.
8. Способ по п.1, отличающийся тем, что локальная связь между первым мобильным терминалом (154) и первым компьютером (150) представляет собой беспроводное соединение малой дальности, реализованное в соответствии со спецификацией Bluetooth.
9. Способ по п.1, отличающийся тем, что первый мобильный терминал (154) и первый компьютер (150) объединены в одно мобильное устройство, например, персональный цифровой ассистент, причем указанную локальную связь между первым мобильным терминалом (154) и первым компьютером (150) осуществляют внутри указанного мобильного устройства на основе проводного соединения.
10. Мобильный коммуникационный терминал (164) для установления соединения типа "виртуальная частная сеть" между первым компьютером (150) и вторым компьютером (160) в сети (110) связи, включающий в себя следующие компоненты:
компонент мобильного телефона, обеспечивающий радиосвязь;
коммуникационный интерфейс, обеспечивающий локальную связь с компьютером,
причем указанный мобильный терминал выполнен с возможностью осуществления способа по одному из пп.1-9.
компонент мобильного телефона, обеспечивающий радиосвязь;
коммуникационный интерфейс, обеспечивающий локальную связь с компьютером,
причем указанный мобильный терминал выполнен с возможностью осуществления способа по одному из пп.1-9.
11. Система для установления соединения типа "виртуальная частная сеть" в сети (110) связи, включающая в себя первый компьютер (150) и второй компьютер (160), подключенные к сети (110) связи, причем предусмотрен первый мобильный коммуникационный терминал (154), выполненный с возможностью установления локальной связи с первым компьютером (150), и второй мобильный терминал (164), выполненный с возможностью установления 5 локальной связи со вторым компьютером (160), отличающаяся тем, что второй мобильный коммуникационный терминал (164) выполнен с возможностью осуществления способа по одному из пп.1-9.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NO20033655A NO321751B1 (no) | 2003-08-18 | 2003-08-18 | Fremgangsmate, mobilterminal og system for a etablere en VPN-forbindelse |
| NO20033655 | 2003-08-18 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2006107601A RU2006107601A (ru) | 2007-09-27 |
| RU2351084C2 true RU2351084C2 (ru) | 2009-03-27 |
Family
ID=28036449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2006107601/09A RU2351084C2 (ru) | 2003-08-18 | 2004-08-17 | Способ установления vpn-соединения |
Country Status (10)
| Country | Link |
|---|---|
| EP (1) | EP1658701B1 (ru) |
| AT (1) | ATE350836T1 (ru) |
| DE (1) | DE602004004157T2 (ru) |
| DK (1) | DK1658701T3 (ru) |
| ES (1) | ES2279444T3 (ru) |
| MY (1) | MY134829A (ru) |
| NO (1) | NO321751B1 (ru) |
| RU (1) | RU2351084C2 (ru) |
| UA (1) | UA88621C2 (ru) |
| WO (1) | WO2005018168A1 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9720481B2 (en) | 2012-09-14 | 2017-08-01 | Siemens Aktiengesellschaft | Energy-saving mode for a rail system signaling system |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9185092B2 (en) | 2010-03-11 | 2015-11-10 | Akira Nishihata | Confidential communication method using VPN, system thereof, program thereof, and recording medium for the program |
| TW201206129A (en) * | 2010-07-20 | 2012-02-01 | Gemtek Technology Co Ltd | Virtual private network system and network device thereof |
| US20130259230A1 (en) * | 2012-03-29 | 2013-10-03 | Broadcom Corporation | Bluetooth Low Energy Privacy |
| KR20150060901A (ko) * | 2012-09-25 | 2015-06-03 | 오픈픽 아이엔씨. | 애플리케이션들 간에 vpn 연결을 공유하는 방법 및 시스템 |
| US20170310655A1 (en) * | 2014-12-04 | 2017-10-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure connections establishment |
| RU2635215C1 (ru) * | 2016-12-27 | 2017-11-09 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ подключения компьютера пользователя к виртуальной частной сети через локальную сеть провайдера |
| CN115397033B (zh) * | 2021-05-25 | 2024-04-09 | 成都鼎桥通信技术有限公司 | 无线通信方法、装置、无线通信模组、介质及程序产品 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI980291A (fi) * | 1998-02-09 | 1999-08-10 | Nokia Mobile Phones Ltd | Liikkuva internetpääsy |
| DE10140446A1 (de) * | 2001-08-17 | 2003-03-06 | Siemens Ag | Verfahren und Datenverarbeitungsvorrichtung zum Übertragen von Daten über verschiedene Schnittstellen |
| JP2003101570A (ja) * | 2001-09-21 | 2003-04-04 | Sony Corp | 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム |
-
2003
- 2003-08-18 NO NO20033655A patent/NO321751B1/no not_active IP Right Cessation
-
2004
- 2004-08-04 MY MYPI20043146A patent/MY134829A/en unknown
- 2004-08-17 DK DK04775033T patent/DK1658701T3/da active
- 2004-08-17 WO PCT/NO2004/000249 patent/WO2005018168A1/en active IP Right Grant
- 2004-08-17 UA UAA200602940A patent/UA88621C2/ru unknown
- 2004-08-17 RU RU2006107601/09A patent/RU2351084C2/ru not_active IP Right Cessation
- 2004-08-17 EP EP04775033A patent/EP1658701B1/en not_active Not-in-force
- 2004-08-17 DE DE602004004157T patent/DE602004004157T2/de active Active
- 2004-08-17 AT AT04775033T patent/ATE350836T1/de not_active IP Right Cessation
- 2004-08-17 ES ES04775033T patent/ES2279444T3/es active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9720481B2 (en) | 2012-09-14 | 2017-08-01 | Siemens Aktiengesellschaft | Energy-saving mode for a rail system signaling system |
| RU2636993C2 (ru) * | 2012-09-14 | 2017-11-29 | Сименс Акциенгезелльшафт | Энергосберегающий режим для системы сигнализации железнодорожной системы |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005018168A1 (en) | 2005-02-24 |
| DE602004004157T2 (de) | 2007-10-11 |
| RU2006107601A (ru) | 2007-09-27 |
| NO20033655L (no) | 2005-02-21 |
| ES2279444T3 (es) | 2007-08-16 |
| NO321751B1 (no) | 2006-06-26 |
| NO20033655D0 (no) | 2003-08-18 |
| UA88621C2 (ru) | 2009-11-10 |
| EP1658701A1 (en) | 2006-05-24 |
| DE602004004157D1 (de) | 2007-02-15 |
| MY134829A (en) | 2007-12-31 |
| EP1658701B1 (en) | 2007-01-03 |
| DK1658701T3 (da) | 2007-03-26 |
| ATE350836T1 (de) | 2007-01-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11863541B2 (en) | System and method for end-to-end secure communication in device-to-device communication networks | |
| EP1500223B1 (en) | Transitive authentication authorization accounting in interworking between access networks | |
| JP4666169B2 (ja) | 信頼されないアクセス局を介した通信方法 | |
| US7174018B1 (en) | Security framework for an IP mobility system using variable-based security associations and broker redirection | |
| US6501767B1 (en) | Mobile IP communication scheme for supporting mobile computer move over different address spaces | |
| CN101228771B (zh) | 建立ip连接的系统、方法、设备及终结节点、起始节点 | |
| US7380124B1 (en) | Security transmission protocol for a mobility IP network | |
| US8838972B2 (en) | Exchange of key material | |
| US7725933B2 (en) | Automatic hardware-enabled virtual private network system | |
| US20100119069A1 (en) | Network relay device, communication terminal, and encrypted communication method | |
| US20020009199A1 (en) | Arranging data ciphering in a wireless telecommunication system | |
| US20030095663A1 (en) | System and method to provide enhanced security in a wireless local area network system | |
| JP2009533932A (ja) | キー導出におけるパラメータ結合に基づくチャネル結合機構 | |
| KR20050116817A (ko) | 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 | |
| JP2003051818A (ja) | モバイルipネットワークにおけるipセキュリティ実行方法 | |
| JP2005204086A (ja) | 移動無線通信システム、移動無線端末装置、仮想私設網中継装置及び接続認証サーバ | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| RU2351084C2 (ru) | Способ установления vpn-соединения | |
| US20040255121A1 (en) | Method and communication terminal device for secure establishment of a communication connection | |
| JP5388088B2 (ja) | 通信端末装置、管理装置、通信方法、管理方法及びコンピュータプログラム。 | |
| JP2009260847A (ja) | Vpn接続方法、及び通信装置 | |
| KR101114921B1 (ko) | 이동통신에서의 가상 사설망 서비스 제공 장치 및 방법 | |
| KR100554520B1 (ko) | 휴대 인터넷 시스템의 사용자 인증 및 보안 키 분배 방법 | |
| WO2005057341A2 (en) | Automatic hardware-enabled virtual private network system | |
| JP2006033443A (ja) | インターネット接続システム、方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20110818 |