RU2597526C2 - Связь шлюза с обеспечением безопасности - Google Patents

Связь шлюза с обеспечением безопасности Download PDF

Info

Publication number
RU2597526C2
RU2597526C2 RU2014106290/08A RU2014106290A RU2597526C2 RU 2597526 C2 RU2597526 C2 RU 2597526C2 RU 2014106290/08 A RU2014106290/08 A RU 2014106290/08A RU 2014106290 A RU2014106290 A RU 2014106290A RU 2597526 C2 RU2597526 C2 RU 2597526C2
Authority
RU
Russia
Prior art keywords
client
messages
gateway
server
message
Prior art date
Application number
RU2014106290/08A
Other languages
English (en)
Other versions
RU2014106290A (ru
Inventor
Хоратио Нельсон ХАКСЕМ
Original Assignee
Виза Интернэшнл Сервис Ассосиэйшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to US201161510023P priority Critical
Priority to US61/510,023 priority
Application filed by Виза Интернэшнл Сервис Ассосиэйшн filed Critical Виза Интернэшнл Сервис Ассосиэйшн
Priority to PCT/US2012/047687 priority patent/WO2013013189A2/en
Publication of RU2014106290A publication Critical patent/RU2014106290A/ru
Application granted granted Critical
Publication of RU2597526C2 publication Critical patent/RU2597526C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • G06Q20/027Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP] involving a payment switch or gateway
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3226Use of secure elements separate from M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06QDATA PROCESSING SYSTEMS OR METHODS, SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL, SUPERVISORY OR FORECASTING PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements, e.g. access security or fraud detection; Authentication, e.g. verifying user identity or authorisation; Protecting privacy or anonymity ; Protecting confidentiality; Key management; Integrity; Mobile application security; Using identity modules; Secure pairing of devices; Context aware security; Lawful interception
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • H04W12/033
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements, e.g. access security or fraud detection; Authentication, e.g. verifying user identity or authorisation; Protecting privacy or anonymity ; Protecting confidentiality; Key management; Integrity; Mobile application security; Using identity modules; Secure pairing of devices; Context aware security; Lawful interception
    • H04W12/08Access security
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05KPRINTED CIRCUITS; CASINGS OR CONSTRUCTIONAL DETAILS OF ELECTRIC APPARATUS; MANUFACTURE OF ASSEMBLAGES OF ELECTRICAL COMPONENTS
    • H05K3/00Apparatus or processes for manufacturing printed circuits
    • H05K3/30Assembling printed circuits with electric components, e.g. with resistor
    • H05K3/32Assembling printed circuits with electric components, e.g. with resistor electrically connecting electric components or wires to printed circuits
    • H05K3/321Assembling printed circuits with electric components, e.g. with resistor electrically connecting electric components or wires to printed circuits by conductive adhesives
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T29/00Metal working
    • Y10T29/49Method of mechanical manufacture
    • Y10T29/49002Electrical device making
    • Y10T29/49117Conductor or circuit manufacturing
    • Y10T29/49124On flat or curved insulated base, e.g., printed circuit, etc.
    • Y10T29/4913Assembling to base an electrical component, e.g., capacitor, etc.
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10TTECHNICAL SUBJECTS COVERED BY FORMER US CLASSIFICATION
    • Y10T29/00Metal working
    • Y10T29/53Means to assemble or disassemble
    • Y10T29/5313Means to assemble electrical device
    • Y10T29/53174Means to fasten electrical component to wiring board, base, or substrate

Abstract

Изобретение относится к системам мобильной связи по защищенным сетям. Технический результат заключается в повышении надежности. Описываются устройство шлюза и выполняемые в нем способы для предотвращения подключения неавторизованных клиентских устройств к хост-сети устройства шлюза. Устройство шлюза не отвечает немедленно на отдельное клиентское сообщение, отправленное на устройство шлюза. Вместо этого устройство шлюза только отвечает на заранее заданную последовательность клиентских сообщений, которая является известной только устройству шлюза и авторизованным клиентским устройствам. Поскольку устройство шлюза не будет отвечать на случайные клиентские сообщения и вероятность того, что неавторизованное клиентское устройство сможет корректно угадать заранее заданную последовательность клиентских сообщений, является низкой, риск способности злоумышленной стороны войти в хост-сеть, например, используя способы сканирования портов, может быть снижен. 2 н. и 20 з.п. ф-лы, 15 ил.

Description

ПЕРЕКРЕСТНЫЕ ССЫЛКИ НА РОДСТВЕННЫЕ ЗАЯВКИCROSS RELATIONS TO RELATED APPLICATIONS

По данной заявке испрашивается приоритет предварительной заявки на патент США № 61/510023, озаглавленной "Systems and Methods for Secure Mobile Communication" (Системы и способы мобильной связи по защищенным сетям), поданной 20 июля 2011 года, содержание которой тем самым полностью включено в документ путем ссылки во всех отношениях.This application claims the priority of provisional patent application US No. 61/510023, entitled "Systems and Methods for Secure Mobile Communication", filed July 20, 2011, the contents of which are thereby fully incorporated into the document by reference in every way.

Эта заявка связана с имеющей общего патентообладателя по Договору о патентной кооперации (PCT) заявке за номером №______, озаглавленной "Mobile Banking System with Cryptographic Expansion Device" (Мобильная банковская система с устройством криптографического расширения), поданной 20 июля 2012 года, содержание которой тем самым путем ссылки включается в документ полностью во всех отношениях.This application is related to the application with the common patent holder under the Patent Cooperation Treaty (PCT), application number ______, entitled "Mobile Banking System with Cryptographic Expansion Device", filed July 20, 2012, the contents of which by reference itself is included in the document in all respects.

ПРЕДШЕСТВУЮЩИЙ УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION

Вопросы безопасности часто представляют проблему, которая препятствует широкому принятию и развитию мобильного банковского обслуживания. Большинство мобильных устройств неспособны безопасно посылать сквозную шифрованную передачу. В результате конфиденциальную информацию, такую как Персональные идентификационные номера (PINы) и Первичные номера счета (PANы), можно отправлять в форме открытого текста, создавая уязвимость, в которой такая конфиденциальная информация может перехватываться злоумышленными сторонами и использоваться в мошеннических целях. Хотя некоторые меры защиты могут обеспечиваться операторами мобильной связи, например, чтобы обеспечить средства шифрования в базовой станции, защита, обеспеченная такими решениями, все еще ограничена, поскольку передачу все еще посылают в форме открытого текста в некоторый момент в течение передачи. Другие решения требуют повторной инициализации мобильных устройств пользователей, например, предоставлению услуг по эфиру (OTA), и такие решения могут быть дорогостоящими и с точки зрения развертывания, и с точки зрения эксплуатационных расходов. Следовательно, операторы мобильной связи должны либо возложить эти расходы на своих абонентов, либо брать их на себя сами. Таким образом, совокупная стоимость владения (TCO) также является часто проблемой, которая мешает внедрению и развитию мобильного банковского обслуживания. Без рентабельного и эффективного способа безопасно посылать и принимать передачу с помощью мобильных устройств операторы мобильного банковского обслуживания обречены терпеть убытки или неудачу в развертывании своих услуг мобильного банковского обслуживания в целом.Security issues often pose a problem that impedes the widespread adoption and development of mobile banking. Most mobile devices are unable to send end-to-end encrypted transmission securely. As a result, confidential information, such as Personal Identification Numbers (PINs) and Primary Account Numbers (PANs), can be sent in clear text, creating a vulnerability in which such confidential information can be intercepted by malicious parties and used for fraudulent purposes. Although some security measures may be provided by mobile operators, for example, to provide encryption facilities at the base station, the security provided by such solutions is still limited since the transmission is still sent in plain text at some point during the transmission. Other solutions require reinitialization of users ’mobile devices, such as the provision of over-the-air (OTA) services, and such solutions can be costly in terms of both deployment and operating costs. Consequently, mobile operators must either impose these costs on their subscribers, or take them on themselves. Thus, total cost of ownership (TCO) is also often a problem that hinders the implementation and development of mobile banking. Without a cost-effective and efficient way to send and receive transmissions via mobile devices safely, mobile banking service providers are doomed to suffer losses or failure to deploy their mobile banking services in general.

Тогда как операторы сетей мобильной связи прилагают усилия найти рентабельное и эффективное решение для предоставления возможности мобильным устройствам безопасно посылать зашифрованные передачи, уязвимости системы безопасности при мобильном банковском обслуживании не ограничивается только потенциальным перехватом передач по эфиру. Интерфейс между сетью мобильной связи и сетью обработки платежей также может быть уязвимым для проникновения злоумышленными сторонами, поскольку протоколы системы защиты, используемые этими двумя сетями, часто являются различными, и идентификационные данные устройств в одной сети не всегда могут быть известными устройствам в другой сети. В результате злоумышленные стороны могут попытаться подключиться к одной сети в интерфейсе, выдавая себя за компонента другой сети.While mobile network operators are making efforts to find a cost-effective and efficient solution to enable mobile devices to send encrypted transmissions securely, security vulnerabilities in mobile banking are not limited only to potential interception of transmissions over the air. The interface between the mobile network and the payment processing network can also be vulnerable to intruders, since the security protocols used by these two networks are often different, and the identities of devices on one network may not always be known to devices on another network. As a result, malicious parties can try to connect to one network in the interface, posing as a component of another network.

Например, один способ, которым устройства в сети могут устанавливать соединения друг с другом, состоит в использовании процедуры «трехэтапного квитирования установления соединения» для сообщений синхронизации и подтверждения. Сетевое устройство может инициировать установку соединения отправкой сообщения синхронизации (synchronize) на целевое устройство. В ответ на прием сообщения синхронизации целевое устройство посылает обратно сообщение синхронизации-подтверждения (synchronize-acknowledgement). Инициирующее устройство затем посылает сообщение подтверждения (acknowledge) на целевое устройство. По приему сообщения подтверждения соединение устанавливается между двумя устройствами в сети. Для проникновения в систему злоумышленной стороне нет необходимости знать идентификационные данные целевого устройства или порт целевого устройства, которые допустят соединение. Злоумышленная сторона может выполнять сканирование портов, чтобы определить, какие устройства находятся в сети и какие порты устройства могут допустить соединение, путем отправки случайных сообщений синхронизации и ожидания ответа сообщением синхронизации-подтверждения. Когда злоумышленная сторона принимает сообщение синхронизации-подтверждения, злоумышленная сторона может узнать идентификационные данные целевого устройства и получить сетевые параметры целевого устройства из сообщения синхронизации-подтверждения. Злоумышленная сторона может проникать в сеть целевого устройства, направляя атаку на целевое устройство.For example, one way that devices on a network can connect to each other is to use the “three-step handshake handshake” procedure for synchronization and acknowledgment messages. The network device may initiate a connection by sending a synchronize message to the target device. In response to receiving a synchronization message, the target device sends back a synchronize-acknowledgement message. The initiating device then sends a acknowledge message to the target device. Upon receipt of a confirmation message, a connection is established between two devices on the network. The malicious party does not need to know the identity of the target device or the port of the target device that will allow the connection to enter the system. An attacker can perform port scans to determine which devices are on the network and which device ports can allow a connection by sending random synchronization messages and waiting for a response with a synchronization confirmation message. When the malicious party receives the synchronization-confirmation message, the malicious party can learn the identity of the target device and obtain the network parameters of the target device from the synchronization-confirmation message. An attacker can infiltrate the network of the target device, directing the attack to the target device.

Варианты осуществления настоящего изобретения решают эти и другие проблемы индивидуально и совместно.Embodiments of the present invention solve these and other problems individually and jointly.

КРАТКОЕ ОПИСАНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

Варианты осуществления настоящего изобретения раскрывают устройство шлюза и выполняемые в нем способы для предотвращения подключения неавторизованных клиентских устройств к сети, являющейся хост-сетью для устройства шлюза. Согласно различным вариантам осуществления, устройство шлюза не отвечает немедленно на отдельное клиентское сообщение, отправленное на устройство шлюза. Вместо этого устройство шлюза отвечает только на заранее заданную последовательность клиентских сообщений, которая является известной только устройству шлюза и авторизованным клиентским устройствам. Поскольку устройство шлюза не будет отвечать на случайные клиентские сообщения и вероятность того, что неавторизованное устройство сможет корректно угадать заранее заданную последовательность клиентских сообщений, является низкой, риск способности злоумышленной стороны войти («взломать») в хост-сеть, например, используя способы сканирования портов, может быть снижен.Embodiments of the present invention disclose a gateway device and methods performed therein to prevent unauthorized client devices from connecting to a network that is the host network for the gateway device. According to various embodiments, the gateway device does not immediately respond to a separate client message sent to the gateway device. Instead, the gateway device only responds to a predetermined sequence of client messages that is known only to the gateway device and authorized client devices. Since the gateway device will not respond to random client messages and the likelihood that an unauthorized device can correctly guess the predefined sequence of client messages is low, the risk of the malicious party being able to enter (“hack”) into the host network, for example, using port scanning methods may be reduced.

Согласно, по меньшей мере, одному варианту осуществления, способ в устройстве шлюза для установления канала связи между клиентским устройством, коммуникационно связанным с клиентским интерфейсом в устройстве шлюза, и сервером, коммуникационно связанным с хост-интерфейсом в устройстве шлюза, включает в себя прием клиентских сообщений на клиентском интерфейсе, и невыполнение отправки ответного клиентского сообщения из клиентского интерфейса, пока не будет принята заранее заданная последовательность клиентских сообщений на клиентском интерфейсе. Устройство шлюза также осуществляет отправку заранее заданной последовательности серверных сообщений из хост-интерфейса. Канал связи для передачи пользовательских сообщений между клиентским устройством и сервером устанавливается после того, как устройство шлюза принимает и заранее заданную последовательность клиентских сообщений на клиентском интерфейсе; и ответное серверное сообщение на хост-интерфейсе, которое принимается только после того, как заранее заданная последовательность серверных сообщений была отправлена устройством шлюза.According to at least one embodiment, a method in a gateway device for establishing a communication channel between a client device communicatively connected to a client interface in a gateway device and a server communicatively connected to a host interface in a gateway device includes receiving client messages on the client interface, and the failure to send a response client message from the client interface until a predetermined sequence of client messages on the client is received interface. The gateway device also sends a predetermined sequence of server messages from the host interface. A communication channel for transmitting user messages between the client device and the server is established after the gateway device receives and a predetermined sequence of client messages on the client interface; and a response server message on the host interface, which is received only after a predetermined sequence of server messages has been sent by the gateway device.

Согласно, по меньшей мере, одному варианту осуществления, устройство шлюза включает в себя клиентский интерфейс с наличием клиентских портов, хост-интерфейс с наличием хост-портов, процессор, связанный с клиентским интерфейсом и хост-интерфейсом, и машиночитаемый носитель, хранящий исполнимый программный код, который может исполняться процессором. Исполнимый программный код, если исполняется процессором, побуждает процессор принимать клиентские сообщения на клиентском интерфейсе от клиентского устройства и воздерживаться от отправки ответного клиентского сообщения с клиентского интерфейса, пока не будет принята заранее заданная последовательность клиентских сообщений на клиентском интерфейсе. Исполнимый программный код может также побуждать процессор отправлять заранее заданную последовательность серверных сообщений из хост-интерфейса на сервер и устанавливать канал связи для передачи пользовательских сообщений между клиентским устройством и сервером. Канал связи устанавливается после того, как заранее заданная последовательность клиентских сообщений принимается на клиентском интерфейсе и ответное серверное сообщение принимается на хост-интерфейсе, причем ответное серверное сообщение принимается только после отправки заранее заданной последовательности серверных сообщений.According to at least one embodiment, the gateway device includes a client interface with client ports, a host interface with host ports, a processor associated with the client interface and the host interface, and computer-readable media storing executable program code which can be executed by the processor. Executable program code, if executed by the processor, causes the processor to receive client messages on the client interface from the client device and to refrain from sending a response client message from the client interface until a predetermined sequence of client messages on the client interface is received. The executable program code may also cause the processor to send a predetermined sequence of server messages from the host interface to the server and establish a communication channel for transmitting user messages between the client device and the server. The communication channel is established after a predetermined sequence of client messages is received on the client interface and a response server message is received on the host interface, and the response server message is received only after sending a predetermined sequence of server messages.

КРАТКОЕ ОПИСАНИЕ ФИГУР ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS

Фиг.1 - иллюстрация среды сети связи согласно одному варианту осуществления настоящего изобретения.1 is an illustration of a communication network environment according to one embodiment of the present invention.

Фиг.2 - иллюстрация устройства шлюза согласно одному варианту осуществления настоящего изобретения.2 is an illustration of a gateway device according to one embodiment of the present invention.

Фиг.3 - иллюстрация обмена сообщениями для установления канала связи согласно примеру осуществления настоящего изобретения.3 is an illustration of a messaging for establishing a communication channel according to an embodiment of the present invention.

Фиг.4 - иллюстрация обмена сообщениями для установления канала связи согласно другому примеру осуществления настоящего изобретения.4 is an illustration of a messaging for establishing a communication channel according to another embodiment of the present invention.

Фиг.5A - иллюстрация последовательности сообщений согласно одному варианту осуществления настоящего изобретения.5A is an illustration of a message sequence according to one embodiment of the present invention.

Фиг.5B - иллюстрация последовательности сообщений согласно другому варианту осуществления настоящего изобретения.5B is an illustration of a message sequence according to another embodiment of the present invention.

Фиг.5C - иллюстрация последовательности сообщений согласно следующему варианту осуществления настоящего изобретения.5C is an illustration of a message sequence according to a further embodiment of the present invention.

Фиг.6A - иллюстрация последовательности сообщений согласно примеру осуществления настоящего изобретения.6A is an illustration of a message sequence according to an embodiment of the present invention.

Фиг.6B - иллюстрация последовательности сообщений согласно другому примеру осуществления настоящего изобретения.6B is an illustration of a message sequence according to another embodiment of the present invention.

Фиг.6C - иллюстрация последовательности сообщений согласно следующему примеру осуществления настоящего изобретения.6C is an illustration of a message sequence according to a further embodiment of the present invention.

Фиг.7 - иллюстрация блок-схемы способа установления канала связи согласно одному варианту осуществления настоящего изобретения.7 is an illustration of a flowchart of a method for establishing a communication channel according to one embodiment of the present invention.

Фиг.8 - иллюстрация блок-схемы способа для аутентификации клиентского устройства, используемого для установления канала связи, согласно одному варианту осуществления настоящего изобретения.8 is an illustration of a flowchart of a method for authenticating a client device used to establish a communication channel, according to one embodiment of the present invention.

Фиг.9 - иллюстрация блок-схемы способа для аутентификации хост-устройства, используемого для установления канала связи, согласно одному варианту осуществления настоящего изобретения.9 is an illustration of a flowchart of a method for authenticating a host device used to establish a communication channel, according to one embodiment of the present invention.

Фиг.10 - иллюстрация устройства пользователя, согласно одному варианту осуществления настоящего изобретения.10 is an illustration of a user device, according to one embodiment of the present invention.

Фиг.11 - иллюстрация компьютерной системы согласно различным вариантам осуществления настоящего изобретения.11 is an illustration of a computer system according to various embodiments of the present invention.

ПОДРОБНОЕ ОПИСАНИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION

Варианты осуществления настоящего изобретения раскрывают устройство шлюза и выполняемые в нем способы для предотвращения подключения неавторизованных клиентских устройств к хост-сети для устройства шлюза. Согласно различным вариантам осуществления устройство шлюза не отвечает немедленно на отдельное клиентское сообщение, отправленное на устройство шлюза. Вместо этого устройство шлюза отвечает только на заранее заданную последовательность клиентских сообщений, которая является известной только устройству шлюза и авторизованным клиентским устройствам. Поскольку устройство шлюза не будет отвечать на случайные клиентские сообщения и вероятность того, что неавторизованное устройство сможет корректно угадать заранее заданную последовательность клиентских сообщений, является низкой, риск способности злоумышленной стороны войти в хост-сеть, например, используя способы сканирования портов, может быть снижен.Embodiments of the present invention disclose a gateway device and methods performed therein to prevent unauthorized client devices from connecting to a host network for a gateway device. In various embodiments, the gateway device does not immediately respond to a single client message sent to the gateway device. Instead, the gateway device only responds to a predetermined sequence of client messages that is known only to the gateway device and authorized client devices. Since the gateway device will not respond to random client messages and the likelihood that an unauthorized device can correctly guess the predetermined sequence of client messages is low, the risk of the malicious party being able to enter the host network, for example, using port scanning methods, can be reduced.

Кроме того, в некоторых вариантах осуществления соединение между устройством шлюза и сервером хост-сети также может устанавливаться с использованием заранее заданной последовательности серверных сообщений. Это обеспечивает устройству шлюза возможность аутентифицировать устройства на обоих концах линии связи, чтобы гарантировать, что и отправитель и получатель передачи, посылаемой через устройство шлюза, являются авторизованными устройствами, которым позволяется осуществлять связь друг с другом. В некоторых вариантах осуществления канал связи, который устанавливается через устройство шлюза, может быть каналом защищенной связи, который несет зашифрованные сообщения. Устройство шлюза может обеспечивать криптографические возможности для расшифровывания входящих сообщений, принятых от устройства в одной сети, и повторного шифрования сообщений или повторного зонирования сообщений для передачи в другой сети. Устройство шлюза может также формировать и верифицировать коды аутентификации сообщений или хэш-коды для сообщений, которые устройство шлюза принимает и/или передает.In addition, in some embodiments, the connection between the gateway device and the host network server can also be established using a predetermined sequence of server messages. This allows the gateway device to authenticate devices at both ends of the communication line to ensure that both the sender and receiver of the transmission sent through the gateway device are authorized devices that are allowed to communicate with each other. In some embodiments, a communication channel that is established through a gateway device may be a secure communication channel that carries encrypted messages. The gateway device can provide cryptographic capabilities for decrypting incoming messages received from the device on one network and re-encrypting messages or re-zoning messages for transmission on another network. The gateway device can also generate and verify message authentication codes or hash codes for messages that the gateway device receives and / or transmits.

Следует понимать, что хотя некоторые из пояснений и описаний, приведенных ниже, могут конкретно ссылаться на сеть обработки платежей или поставщика услуг беспроводной связи/оператора сети мобильной связи, варианты осуществления настоящего изобретения не ограничиваются такими сетями. Следует оценить, что пояснения и описания, приведенные ниже, могут быть приспособленными и применимыми для установления каналов связи с другими типами сетей связи.It should be understood that although some of the explanations and descriptions below may specifically refer to a payment processing network or a wireless service provider / mobile network operator, embodiments of the present invention are not limited to such networks. It should be appreciated that the explanations and descriptions below can be adapted and applicable to establish communication channels with other types of communication networks.

Как используется в документе, "сеть" или "сеть связи" является группой взаимосоединенных устройств, которые могут осуществлять связь друг с другом либо непосредственно, либо через одно или несколько промежуточных устройства в рамках сети. Сеть может быть изолированной от другой сети, и в такой среде, устройства одной сети не могут осуществлять связь с устройствами в другой сети. Сеть также может быть соединенной с другой сетью, и в такой среде, устройства одной сети могут быть способными осуществлять связь с устройствами в другой сети.As used herein, a “network” or “communication network” is a group of interconnected devices that can communicate with each other either directly or through one or more intermediate devices within the network. A network can be isolated from another network, and in such an environment, devices in one network cannot communicate with devices in another network. A network may also be connected to another network, and in such an environment, devices of one network may be able to communicate with devices in another network.

Как используется в документе, "канал связи" является соединением между двумя устройствами, которое позволяет устройствам обмениваться сообщениями. Канал связи может включать в себя одно или несколько промежуточных устройств, коммуникационно связанных, между этими двумя устройствами. Два устройства могут быть связаны друг с другом без канала связи между обоими устройствами. Например, два устройства могут быть связаны через брандмауэр, в котором брандмауэр блокирует все передачи от одного устройства на другое. В такой конфигурации нет канала связи между двумя устройствами, даже если одно устройство связано с другим устройством.As used herein, a “communication channel” is a connection between two devices that allows devices to exchange messages. A communication channel may include one or more intermediate devices, communicatively connected, between the two devices. Two devices can be connected to each other without a communication channel between both devices. For example, two devices can be connected through a firewall, in which a firewall blocks all transmissions from one device to another. In this configuration, there is no communication channel between the two devices, even if one device is connected to another device.

Как используется в документе, "сообщение" является передачей, посылаемой от устройства-отправителя на устройство-получатель. "Клиентское сообщение" или его разновидность является сообщением, посылаемым между клиентским устройством и устройством шлюза, и любое из устройств может быть устройством-отправителем, причем другое устройство является устройством-получателем. "Серверное сообщение" или его разновидность является сообщением, посылаемым между хост-устройством и устройством шлюза, и любое устройство может быть устройством-отправителем, причем другое устройство является устройством-получателем. "Пользовательское сообщение" является сообщением, которое посылается на устройство пользователя или от такового, чтобы передавать пользовательские данные или информацию.As used herein, a “message” is a transmission sent from a sending device to a receiving device. A “client message” or a variation thereof is a message sent between a client device and a gateway device, and any of the devices may be a sending device, the other device being a receiving device. A “server message” or a variation thereof is a message sent between a host device and a gateway device, and any device can be a sending device, the other device being a receiving device. A “user message” is a message that is sent to or from a user device to transmit user data or information.

Согласно вариантам осуществления изобретения, каждое сообщение может включать в себя, например, в заголовке сообщения, идентификатор отправителя, идентификатор получателя, идентификатор порта источника, идентификатор порта назначения, флаг синхронизации и флаг подтверждения. В некоторых вариантах осуществления каждое сообщение может также включать в себя начальный порядковый номер и порядковый номер подтверждения. Идентификатор отправителя идентифицирует устройство-отправитель сообщения, и может быть, например, IP-адресом устройства отправителя. Идентификатор получателя идентифицирует предполагаемое устройство-получатель сообщения, и может быть, например, IP-адресом устройства-получателя. Идентификатор порта источника идентифицирует номер порта, связанный с логическим портом устройства-отправителя, из которого сообщение посылается. Идентификатор порта назначения идентифицирует номер порта, связанный с логическим портом устройства-получателя, на который посылается сообщение.According to embodiments of the invention, each message may include, for example, a message header, a sender identifier, a recipient identifier, a source port identifier, a destination port identifier, a synchronization flag, and an acknowledgment flag. In some embodiments, each message may also include a starting sequence number and a confirmation sequence number. The sender identifier identifies the sender of the message, and may be, for example, the IP address of the sender device. The recipient identifier identifies the intended recipient device of the message, and may be, for example, the IP address of the recipient device. The source port identifier identifies the port number associated with the logical port of the sending device from which the message is being sent. The destination port identifier identifies the port number associated with the logical port of the destination device to which the message is sent.

Когда сообщение описывается в виде посылаемого от порта A устройства X на порт B устройства Y, следует понимать, что сообщение включает в себя идентификатор отправителя, идентифицирующий устройство X, идентификатор получателя, идентифицирующий устройство Y, идентификатор порта источника, идентифицирующий номер порта, связанный с портом A устройства X, и идентификатор порта назначения, идентифицирующий номер порта, связанный с портом B устройства Y. Когда последовательность сообщений описывается в виде имеющей последовательность или порядок следования идентификаторов портов источника, следует понимать, что сообщения в последовательности сообщений посылаются от устройства-отправителя в конкретной последовательности или порядке логических портов устройства-отправителя. Когда последовательность сообщений описывается в виде имеющей последовательность или порядок следования идентификаторов портов назначения, это означает, что сообщения в последовательности сообщений посылаются на устройство-получатель в конкретной последовательности или порядке следования логических портов устройства-получателя.When a message is described as being sent from port A of device X to port B of device Y, it should be understood that the message includes a sender identifier identifying device X, a recipient identifier identifying device Y, a source port identifier identifying the port number associated with the port A of device X, and a destination port identifier identifying the port number associated with port B of device Y. When a message sequence is described as having a sequence or order repetition source port identifier, it should be understood that the messages in the message sequence sent from the sending device in a particular order or sequence of logical ports of the sending device. When a message sequence is described as having a sequence or order of destination port identifiers, this means that messages in a message sequence are sent to the destination device in a specific sequence or sequence of logical ports of the destination device.

Флаг синхронизации и флаг подтверждения из сообщения используются, чтобы идентифицировать, является ли сообщение сообщением синхронизации, сообщением синхронизации-подтверждения или сообщением подтверждения. Сообщение синхронизации является сообщением, которое используется для инициирования канала связи с устройством, и идентифицируется по флагу синхронизации, являющемуся устанавливаемым, и флагу подтверждения, который не является устанавливаемым. Сообщение синхронизации-подтверждения является сообщением, которое используется для подтверждения приема сообщения синхронизации, и идентифицируется по устанавливаемому флагу синхронизации и устанавливаемому флагу подтверждения. Сообщением подтверждения является сообщение, которое используется для подтверждения приема сообщения, отличного от сообщения синхронизации (например, подтверждение приема сообщения синхронизации-подтверждения), и идентифицируется по не устанавливаемому флагу синхронизации и устанавливаемому флагу подтверждения.The synchronization flag and confirmation flag from the message are used to identify whether the message is a synchronization message, a synchronization confirmation message, or an acknowledgment message. A synchronization message is a message that is used to initiate a communication channel with a device, and is identified by a synchronization flag that is settable and a confirmation flag that is not settable. The synchronization confirmation message is a message that is used to acknowledge receipt of the synchronization message, and is identified by a set synchronization flag and a set confirmation flag. A confirmation message is a message that is used to confirm receipt of a message other than a synchronization message (for example, acknowledgment of receipt of a synchronization confirmation message) and is identified by an unsettable synchronization flag and a set acknowledgment flag.

В некоторых вариантах осуществления сообщение может также включать в себя начальный порядковый номер и порядковый номер подтверждения, которые могут использоваться для определения, является ли сообщение посылаемым в ответ на предшествующее сообщение. Например, сообщение может посылаться от устройства-отправителя с начальным порядковым номером X, и устройство-получатель может отправить ответное сообщение с порядковым номером подтверждения, соответствующим X+1, для указания того, что сообщение посылается в ответ на сообщение от устройства- отправителя, которое имеет начальный порядковый номер X. Таким образом, если устройство-отправитель осуществляет отправку множества сообщений и только одно сообщение принимается в ответ, является возможным определить, на какое сообщение от устройства-отправителя ответное сообщение отвечает, сравнивая порядковый номер подтверждения ответного сообщения с начальными порядковыми номерами сообщений от устройства-отправителя.In some embodiments, the message may also include a starting sequence number and a confirmation sequence number, which can be used to determine if the message is sent in response to a previous message. For example, a message can be sent from the sending device with the initial sequence number X, and the receiving device can send a response message with the confirmation sequence number corresponding to X + 1 to indicate that the message is sent in response to the message from the sending device, which has an initial sequence number X. Thus, if the sending device sends multiple messages and only one message is received in response, it is possible to determine which message from the device and sending a response message responds by comparing the sequence number of the confirmation response message with the initial sequence numbers of messages from the sending device.

На фиг.1 иллюстрируется среда 100 сети связи согласно одному варианту осуществления. Среда 100 сети связи включает в себя клиентскую сеть 150 (например, сеть оператора мобильной связи, сеть поставщика услуг беспроводной связи или сеть с поддержкой Интернет-протокола (IP), предоставляющая возможность связи с коммерсантами и т.д.) и хост-сеть 130 (например, сеть обработки платежей). Клиентская сеть 150 является сетью связи, которая обеспечивает коммуникационную взаимосвязность для ряда устройств, включая устройство 160 пользователя и клиентское устройство 170. Устройство 160 пользователя является персональным устройством связи, таким как мобильный телефон или другой тип переносимого устройства связи (например, персональный цифровой ассистент, переносное компьютерное устройство, такое как планшетный компьютер или ноутбук, или переносное многофункциональное устройство, которое может отправлять и принимать передачи, такое как портативный проигрыватель/считыватель мультимедиа, переносное игровое устройство и т.д.). Устройство 160 пользователя также может быть персональным компьютером, телефоном с поддержкой IP-протокола или другим типом устройства проводной связи, которое коммуникационно связано с клиентской сетью 150.1 illustrates a communication network environment 100 according to one embodiment. The communication network environment 100 includes a client network 150 (for example, a mobile operator’s network, a wireless service provider's network, or an Internet Protocol (IP) network enabling communication with merchants, etc.) and a host network 130 (e.g., a payment processing network). Client network 150 is a communication network that provides communication interconnectivity for a number of devices, including user device 160 and client device 170. User device 160 is a personal communication device, such as a mobile phone or other type of portable communication device (for example, a personal digital assistant, portable a computer device, such as a tablet computer or laptop, or a portable multifunction device that can send and receive transmissions, t such as a portable media player / reader, portable gaming device, etc.). The user device 160 may also be a personal computer, an IP protocol enabled telephone, or another type of wired communication device that is communicatively connected to a client network 150.

Клиентское устройство 170 является сетевым оборудованием в клиентской сети 150, которое предоставляет клиентской сети 150 возможность подключения к другим сетям, таким как хост-сеть 130. Например, в примере осуществления, в котором устройство 160 пользователя является мобильным телефоном, клиентская сеть 150 может включать в себя центр службы коротких сообщений (SMSC), чтобы обрабатывать SMS-сообщения от устройства 160 пользователя. В таком варианте осуществления клиентское устройство 170 может быть устройством соединителя с SMSC, которое пересылает SMS-сообщения между клиентской сетью 150 и внешними сетями. В других вариантах осуществления клиентское устройство 170 может быть другим типом сетевого устройства в клиентской сети 150, которое обеспечивает интерфейс с внешними сетями.The client device 170 is network equipment in the client network 150, which allows the client network 150 to connect to other networks, such as the host network 130. For example, in an embodiment in which the user device 160 is a mobile phone, the client network 150 may include The Short Message Service Center (SMSC) itself to process SMS messages from the user device 160. In such an embodiment, the client device 170 may be a connector device with an SMSC that forwards SMS messages between the client network 150 and the external networks. In other embodiments, the client device 170 may be another type of network device in the client network 150 that provides an interface to external networks.

Хост-сеть 130 является сетью связи, которая обеспечивает возможность взаимного соединения ряда хост-устройств, включая серверы, например, сервер 120, с устройством 110 шлюза. В примере осуществления хост-сеть 130 может быть защищенной сетью, такой как сеть обработки платежей, которая реализует высокий уровень стандартов обеспечения защиты для передачи и хранения данных, например, в соответствии со стандартами обеспечения защиты Индустрии платежных карточек (PCI). Сервер 120 может быть серверным компьютером, который связан с субъектом по обработке платежей, таким как обслуживающий банк, банк-эмитент или другие финансовые или банковские учреждения.The host network 130 is a communication network that enables the interconnection of a number of host devices, including servers, for example, server 120, with gateway device 110. In an embodiment, the host network 130 may be a secure network, such as a payment processing network, that implements a high level of security standards for data transfer and storage, for example, in accordance with the security standards of the Payment Card Industry (PCI). Server 120 may be a server computer that is associated with a payment processing entity, such as a serving bank, an issuing bank, or other financial or banking institutions.

Устройство 110 шлюза является сетевым устройством в хост-сети 130, которое обеспечивает интерфейс для соединения хост-сети 130 с внешними сетями, такими как клиентская сеть 150. Устройство 110 шлюза может действовать как брандмауэр для предотвращения неавторизованного доступа к хост-сети 130 от устройств во внешних сетях. Устройство 110 шлюза может применять средства управления доступом для определения того, какой внешней сети или устройству внешней сети позволяется осуществлять связь с другими устройствами хост-сети 130, такими как сервер 120. Кроме того, поскольку протоколы системы защиты и возможно протоколы связи также могут отличаться между хост-сетью 130 и внешними сетями, такими как клиентская сеть 150, устройство 110 шлюза может также обеспечивать преобразование протоколов или функции преобразования протоколов, чтобы обеспечить функциональную совместимость между устройствами в хост-сети 130 и устройствами во внешних сетях.Gateway device 110 is a network device in host network 130 that provides an interface for connecting host network 130 to external networks, such as client network 150. Gateway device 110 can act as a firewall to prevent unauthorized access to host network 130 from devices in external networks. The gateway device 110 may use access control means to determine which external network or external network device is allowed to communicate with other devices of the host network 130, such as server 120. In addition, since security system protocols and possibly communication protocols may also differ between host network 130 and external networks, such as client network 150, gateway device 110 may also provide protocol conversion or protocol conversion functions to provide interoperability the gap between devices in the host network 130 and devices in external networks.

Следует оценить, что хотя устройство 110 шлюза показано коммуникационно связываемым с клиентским устройством 170 в клиентской сети 150 и сервером 120 в хост-сети 130, устройство 110 шлюза также может быть коммуникационно связанным с другим типом устройств в клиентской сети 150 и другим типом устройств в хост-сети 130. Кроме того, также может иметься одно или несколько промежуточных сетевых устройств между клиентским устройством 170 и устройством 110 шлюза, и/или одно или несколько промежуточных сетевых устройств между устройством 110 шлюза и сервером 120.It should be appreciated that although the gateway device 110 is shown to be communicatively connected to the client device 170 in the client network 150 and the server 120 in the host network 130, the gateway device 110 may also be communicatively connected to another type of device in the client network 150 and another type of device to the host -nets 130. In addition, there may also be one or more intermediate network devices between client device 170 and gateway device 110, and / or one or more intermediate network devices between gateway device 110 and server 120.

Устройство шлюзаGateway device

На фиг.2 иллюстрируется устройство 210 шлюза согласно различным вариантам осуществления настоящего изобретения. Устройство 210 шлюза включает в себя модуль 212 управления доступом, клиентский интерфейс 216, который обеспечивает интерфейс к внешней сети, такой как клиентская сеть 150, и хост-интерфейс 218, который обеспечивает интерфейс к хост-сети для устройства 210 шлюза, такой как хост-сеть 130. Устройство 210 шлюза может также включать в себя модуль 213 преобразования протоколов и модуль 240 аппаратных средств защиты (HSM). Устройство 210 шлюза может включать в себя один или несколько процессоров, связанных с памятью, хранящей машинный исполнимый код для реализации одного или нескольких компонентов устройства 210 шлюза, например, модуля 212 управления доступом и/или модуля 213 преобразования протоколов.2 illustrates a gateway device 210 according to various embodiments of the present invention. The gateway device 210 includes an access control module 212, a client interface 216 that provides an interface to an external network, such as a client network 150, and a host interface 218, which provides a host network interface to a gateway device 210, such as a host network 130. Gateway device 210 may also include protocol conversion module 213 and security hardware module (HSM) 240. The gateway device 210 may include one or more processors associated with a memory storing machine executable code for implementing one or more components of the gateway device 210, for example, an access control module 212 and / or protocol conversion module 213.

Клиентский интерфейс 216 включает в себя множественные клиентские порты 217(1)-217(n). Следует отметить, что клиентские порты 217(1)-217(n) являются логическими портами, и клиентский интерфейс 216 может быть сконфигурирован с любым количеством клиентских портов 217(1)-217(n). Каждый из клиентских портов 217(1)-217(n) связан с номером порта на клиентском интерфейсе 216, и каждый клиентский порт может использоваться для отправки и приема сообщений на клиентское устройство и от клиентского устройства, коммуникационно связанного с клиентским интерфейсом 216.Client interface 216 includes multiple client ports 217 (1) -217 (n) . It should be noted that client ports 217 (1) -217 (n) are logical ports, and client interface 216 can be configured with any number of client ports 217 (1) -217 (n) . Each of the client ports 217 (1) -217 (n) is associated with a port number on the client interface 216, and each client port can be used to send and receive messages to the client device and from the client device that is communicatively connected with the client interface 216.

Хост-интерфейс 218 включает в себя множественные хост-порты 219(1)-219(n). Следует отметить, что хост-порты 219(1)-219(n) являются логическими портами, и хост-интерфейс 218 может быть сконфигурирован с любым количеством хост-портов 219(1)-219(n). Каждый из хост-портов 219(1)-219(n) связан с номером порта на хост-интерфейсе 218, и каждый хост-порт может отправлять и принимать сообщения на устройство и от устройства в хост-сети, которое коммуникационно связано с хост-интерфейсом 217. Следует понимать, что в некоторых вариантах осуществления, клиентский интерфейс 216 с клиентскими портами 217(1)-217(n) и хост-интерфейс 218 с хост-портами 219(1)-219(n) может быть реализован на одном и том физическом интерфейсе.The host interface 218 includes multiple host ports 219 (1) -219 (n) . It should be noted that host ports 219 (1) -219 (n) are logical ports, and host interface 218 may be configured with any number of host ports 219 (1) -219 (n) . Each of the host ports 219 (1) -219 (n) is associated with a port number on the host interface 218, and each host port can send and receive messages to and from the device on the host network, which is connected to the host interface 217. It should be understood that in some embodiments, the client interface 216 with client ports 217 (1) -217 (n) and the host interface 218 with host ports 219 (1) -219 (n) can be implemented on one and that physical interface.

Модуль 212 управления доступом устанавливает, контролирует и управляет каналами связи между клиентским устройством (например, клиентским устройством 170), коммуникационно связанным с клиентским интерфейсом 216, и хост-устройством (например, сервером 120), коммуникационно связанным с хост-интерфейсом 218. Модуль управления доступом может устанавливать соединение между клиентским портом и хост-портом через устройство 210 шлюза для реализации канала связи между клиентским устройством и хост-устройством. Модуль 212 управления доступом включает в себя набор правил доступа, хранимых в нем, которые указывают, какие клиентские устройства внешней сети с какими хост-устройствами в хост-сети для устройства 210 шлюза авторизованы для связи. Набор правил доступа может также указывать, какой тип трафика (то есть протокол связи), который каждый канал связи, устанавливаемый через устройство 210 шлюза, может нести или поддерживать.An access control module 212 establishes, monitors, and controls communication channels between a client device (eg, client device 170) communicatively connected to client interface 216 and a host device (eg, server 120) communicatively connected to host interface 218. The control module access can establish a connection between the client port and the host port through the gateway device 210 to implement a communication channel between the client device and the host device. The access control module 212 includes a set of access rules stored therein which indicate which client devices of the external network with which host devices in the host network for the gateway device 210 are authorized to communicate. The set of access rules may also indicate what type of traffic (i.e., communication protocol) that each communication channel established through the gateway device 210 can carry or support.

Согласно вариантам осуществления изобретения, набор правил доступа включает в себя заранее заданные последовательности сообщений, которые устройство 310 шлюза может использовать для аутентификации клиентских устройств, коммуникационно связанных с клиентским интерфейсом 216, чтобы определять, является ли клиентское устройство авторизованным клиентским устройством, которому позволяется осуществлять связь с хост-устройством. Заранее заданная последовательность сообщений может быть специфической для клиентского устройства, типа клиентского устройства, группы клиентских устройств или клиентской сети. Другими словами, может быть заранее заданная последовательность сообщений для каждого клиентского устройства, каждого типа клиентского устройства, каждой группы клиентских устройств или каждой клиентской сети. Заранее заданная последовательность сообщений может быть заранее заданной последовательностью сообщений, которую устройство 210 шлюза ожидает принимать от авторизованного клиентского устройства до аутентификации клиентского устройства и разрешения ему осуществлять связь с хост-устройством, или может быть заранее заданной последовательностью сообщений, которую устройство 210 шлюза отправляет и ожидает, что авторизованное клиентское устройство будет игнорировать, пока устройство 210 шлюза не завершит отправку полной заранее заданной последовательности сообщений, или может быть комбинацией обоих.According to embodiments of the invention, the set of access rules includes predefined message sequences that the gateway device 310 can use to authenticate client devices communicating with the client interface 216 to determine if the client device is an authorized client device that is allowed to communicate with host device. A predefined message sequence may be specific to a client device, such as a client device, a group of client devices, or a client network. In other words, there may be a predetermined sequence of messages for each client device, each type of client device, each group of client devices, or each client network. The predefined message sequence may be a predetermined message sequence that the gateway device 210 expects to receive from an authorized client device to authenticate the client device and allow it to communicate with the host device, or it may be a predetermined message sequence that the gateway device 210 sends and expects that the authorized client device will ignore until the gateway device 210 completes sending the full predefined message sequence, or may be a combination of both.

Например, если последовательность сообщений, принятых на клиентском интерфейсе 216 от клиентского устройства внешней сети, соответствует заранее заданной последовательности сообщений, как предписано для этого клиентского устройства в правилах доступа, то это клиентское устройство может быть аутентифицировано и определено как авторизованное клиентское устройство. Модуль 212 управления доступом может затем устанавливать канал связи между этим клиентским устройством и хост-устройством в хост-сети через устройство 210 шлюза. Если последовательность сообщений, принятых на клиентском интерфейсе 216, не соответствует заранее заданной последовательности сообщений, как определено в правилах доступа, то это клиентское устройство может быть определено являющимся неавторизованным клиентским устройством, и модуль 212 управления доступом может отказать в установлении канала связи для этого клиентского устройства и отклонить доступ этого клиентского устройства к хост-сети.For example, if the sequence of messages received on the client interface 216 from the client device of the external network corresponds to a predetermined sequence of messages, as prescribed for this client device in the access rules, then this client device can be authenticated and defined as an authorized client device. The access control module 212 may then establish a communication channel between this client device and the host device in the host network through the gateway device 210. If the sequence of messages received on the client interface 216 does not match the predefined sequence of messages as defined in the access rules, then this client device may be determined to be an unauthorized client device, and the access control module 212 may refuse to establish a communication channel for this client device and deny this client device access to the host network.

Альтернативно или дополнительно, если устройство 210 шлюза осуществляет отправку заранее заданной последовательности сообщений на клиентское устройство и клиентское устройство не отвечает на сообщения до тех пор, пока устройство 210 шлюза не завершит отправку полной заранее заданной последовательности сообщений на это клиентское устройство, то это клиентское устройство может быть аутентифицировано и определено как авторизованное клиентское устройство. Модуль 212 управления доступом может затем устанавливать канал связи между этим клиентским устройством и хост-устройством в хост-сети через устройство 210 шлюза. Если это клиентское устройство отвечает на сообщение от устройства 210 шлюза прежде, чем устройство 210 шлюза завершит отправку полной заранее заданной последовательности сообщений, то это клиентское устройство может быть определено как неавторизованное клиентское устройство, и модуль 212 управления доступом может отказать в установлении канала связи для этого клиентского устройства и отказать в доступе клиентскому устройству к хост-сети.Alternatively or additionally, if the gateway device 210 sends a predetermined sequence of messages to the client device and the client device does not respond to the messages until the gateway device 210 completes the sending of the complete predetermined sequence of messages to this client device, then this client device may be authenticated and identified as an authorized client device. The access control module 212 may then establish a communication channel between this client device and the host device in the host network through the gateway device 210. If this client device responds to a message from the gateway device 210 before the gateway device 210 completes sending the full predetermined sequence of messages, then this client device can be defined as an unauthorized client device, and the access control module 212 may refuse to establish a communication channel for this client device and deny client device access to the host network.

Набор правил доступа может также включать в себя заранее заданные последовательности сообщений, которые устройство 210 шлюза может использовать для аутентификации хост-устройств, коммуникационно связанных с хост-интерфейсом 218, чтобы определять, является ли хост-устройство авторизованным хост-устройством, которому позволяется принимать сообщения от клиентского устройства и осуществлять связь с таковым. Заранее заданная последовательность сообщений может быть специфической для хост-устройства, типа хост-устройства или группы хост-устройств в хост-сети. Другими словами, может быть заранее заданная последовательность сообщений для каждого хост-устройства, каждого типа хост-устройства или каждой группы хост-устройств. Заранее заданная последовательность сообщений может быть заранее заданной последовательностью сообщений, которую устройство 210 шлюза ожидает принимать от авторизованного хост-устройства до позволения устройству узла осуществлять связь с клиентским устройством, или может быть заранее заданной последовательностью сообщений, которую устройство 210 шлюза отправляет и ожидает, что авторизованное хост-устройство проигнорирует, пока устройство 210 шлюза не завершит отправку полной заранее заданной последовательности сообщений, или может быть комбинацией обеих.The set of access rules may also include predefined message sequences that the gateway device 210 can use to authenticate host devices communicating with the host interface 218 to determine if the host device is an authorized host device that is allowed to receive messages from the client device and communicate with it. A predefined message sequence may be specific to a host device, such as a host device or a group of host devices in a host network. In other words, there may be a predefined message sequence for each host device, each type of host device, or each group of host devices. The predetermined message sequence may be a predetermined message sequence that the gateway device 210 expects to receive from the authorized host device before allowing the node device to communicate with the client device, or it may be a predetermined message sequence that the gateway device 210 sends and expects the authorized the host device will ignore until the gateway device 210 completes sending the full predefined sequence of messages, or maybe It is a combination of both.

Например, если последовательность сообщений, принятых на хост-интерфейсе 216 от хост-устройства в хост-сети соответствует заранее заданной последовательности сообщений, как определено для этого хост-устройства в правилах доступа, то это хост-устройство может быть определено как авторизованное хост-устройство, которому позволяется осуществлять связь с клиентским устройством. Модуль 212 управления доступом может затем устанавливать канал связи между этим хост-устройством и клиентским устройством через устройство 210 шлюза. Если последовательность сообщений, принятых на хост-интерфейсе 216, не соответствует заранее заданной последовательности сообщений, как определено в правилах доступа, то это хост-устройство может быть определено как неавторизованное хост-устройство, которому не позволяется осуществлять связь с клиентским устройством, и модуль 212 управления доступом может отказать в установлении канала связи между этим хост-устройством и клиентским устройством.For example, if the sequence of messages received on the host interface 216 from the host device in the host network corresponds to a predetermined sequence of messages, as defined for this host device in the access rules, then this host device can be defined as an authorized host device that is allowed to communicate with the client device. The access control module 212 may then establish a communication channel between this host device and the client device through the gateway device 210. If the sequence of messages received on the host interface 216 does not match the predefined sequence of messages as defined in the access rules, then this host device can be defined as an unauthorized host device that is not allowed to communicate with the client device, and module 212 access control may refuse to establish a communication channel between this host device and the client device.

Альтернативно или дополнительно, если устройство 210 шлюза осуществляет отправку заранее заданной последовательности сообщений на хост-устройство и хост-устройство не отвечает на сообщения, пока устройство 210 шлюза не завершит отправку полной заранее заданной последовательности сообщений на это хост-устройство, то это хост-устройство может быть определено как авторизованное хост-устройство, которое может осуществлять связь с клиентским устройством. Модуль 212 управления доступом может затем устанавливать канал связи между этим хост-устройством и клиентским устройством через устройство 210 шлюза. Если это хост-устройство отвечает на сообщение от устройства 210 шлюза до завершения устройством 210 шлюза отправки полной заранее заданной последовательности сообщений, то это хост-устройство может быть определено как неавторизованное хост-устройство, которому не позволяется осуществлять связь с клиентским устройством, и модуль 212 управления доступом может отказать в установлении канала связи между этим хост-устройством и клиентским устройством.Alternatively or additionally, if the gateway device 210 sends a predetermined sequence of messages to the host device and the host device does not respond to messages until the gateway device 210 completes the sending of a complete predetermined sequence of messages to this host device, then this is the host device can be defined as an authorized host device that can communicate with a client device. The access control module 212 may then establish a communication channel between this host device and the client device through the gateway device 210. If this host device responds to a message from the gateway device 210 before the gateway device 210 sends a complete predetermined message sequence, this host device can be defined as an unauthorized host device that is not allowed to communicate with the client device, and module 212 access control may refuse to establish a communication channel between this host device and the client device.

Каждая из заранее заданных последовательностей сообщений в правилах доступа может задаваться содержимым сообщений. Например, каждая заранее заданная последовательность сообщений может включать в себя одно или несколько сообщений с конкретными идентификаторами порта источника и/или назначения, как указано в полях заголовка в заголовке каждого сообщения, и/или сообщений одного или нескольких типов (например, сообщение синхронизации, сообщение синхронизации-подтверждения и/или сообщение подтверждения, и т.д.), как указано флагами в заголовке каждого сообщения, и/или сообщениями с конкретной комбинацией полезной нагрузки или данных.Each of the predefined message sequences in the access rules can be determined by the contents of the messages. For example, each predefined sequence of messages may include one or more messages with specific source and / or destination port identifiers, as indicated in the header fields in the header of each message, and / or messages of one or more types (e.g., synchronization message, message synchronization acknowledgment and / or confirmation message, etc.), as indicated by flags in the header of each message, and / or messages with a specific combination of payload or data.

Каждая из заранее заданных последовательностей сообщений может также задаваться временем сообщений; то есть каждая заранее заданная последовательность сообщений может иметь ограничения по времени относительно того, когда каждое сообщение принимается или посылается относительно других сообщений. Например, заранее заданная последовательность сообщений может быть последовательностью сообщений, в которой последнее сообщение принимается в течение промежутка времени приема первого сообщения (например, полной последовательности сообщений, принятых в течение 2 секунд). Заранее заданная последовательность сообщений может быть последовательностью сообщений, в которой каждое сообщение принимается в течение временного интервала (например, сообщения каждые 200 миллисекунд), или каждое сообщение принимается в течение конкретного промежутка времени после предшествующего сообщения (например, второе сообщение принимается в течение 100 миллисекунд от первого сообщения, третье сообщение принимается в течение 50 миллисекунд после второго сообщения и т.д.). Заранее заданная последовательность сообщений также может быть последовательностью сообщений, в которой устройство шлюза ожидает игнорирования авторизованным устройством промежутка времени (например, клиентское устройство не должно отвечать до 2 секунд после приема последнего сообщения).Each of the predefined message sequences can also be specified by the message time; that is, each predetermined sequence of messages can have time limits regarding when each message is received or sent relative to other messages. For example, a predetermined message sequence may be a message sequence in which the last message is received during the period of reception of the first message (for example, a complete sequence of messages received within 2 seconds). A predefined message sequence can be a sequence of messages in which each message is received during a time interval (for example, messages every 200 milliseconds), or each message is received within a specific period of time after the previous message (for example, a second message is received within 100 milliseconds from the first message, the third message is received within 50 milliseconds after the second message, etc.). A predefined message sequence can also be a message sequence in which the gateway device expects the authorized device to ignore the time interval (for example, the client device should not respond up to 2 seconds after receiving the last message).

Кроме того, каждая из заранее заданных последовательностей сообщений может задаваться комбинацией содержимого сообщения и времени, и каждая заранее заданная последовательность сообщений может иметь другое содержимое сообщения и/или отличаться по времени от остальных заранее заданных последовательностей сообщений.In addition, each of the predefined message sequences can be defined by a combination of message content and time, and each predefined message sequence can have different message contents and / or differ in time from the rest of the predefined message sequences.

Устройство 210 шлюза может также включать в себя модуль 213 преобразования протоколов, который хранит информацию о любом числе протоколов связи, которые устройство шлюза может поддерживать, а также протоколы системы защиты для внешних сетей и хост-сети устройства 210 шлюза. Модуль 213 преобразования протоколов может использоваться с модулем 212 управления доступом, чтобы преобразовывать сообщения, посылаемые на каналах связи между клиентским интерфейсом 216 и хост-интерфейсом 218, из одного протокола связи в другой протокол связи для обеспечения функциональной совместимости между клиентскими устройствами внешней сети и хост-устройствами в хост-сети устройства 210 шлюза.The gateway device 210 may also include a protocol conversion module 213 that stores information about any number of communication protocols that the gateway device can support, as well as security system protocols for external networks and the host network of the gateway device 210. Protocol conversion module 213 can be used with access control module 212 to convert messages sent on communication channels between client interface 216 and host interface 218 from one communication protocol to another communication protocol to provide interoperability between external network client devices and the host devices in the host network of the gateway device 210.

Модуль 213 преобразования протоколов может также использоваться вместе с модулем 212 управления доступом и HSM 240 для реализации протоколов системы защиты, чтобы приспосабливать сообщения от внешней сети к соответствию протоколам системы защиты в хост-сети для устройства 210 шлюза. Например, в некоторых вариантах осуществления, протокол системы защиты хост-сети может предписывать, что все сообщения, передаваемые в хост-сети, подлежат защите кодами аутентификации сообщений и/или хэш-кодами. Модуль 213 преобразования протоколов может использоваться вместе с модулем 212 управления доступом и HSM 240, чтобы генерировать коды аутентификации сообщений и/или хэш-коды и присоединять их к сообщениям, принимаемым от внешней сети, если в сообщениях от внешней сети отсутствуют коды аутентификации сообщений и/или хэш-коды.Protocol conversion module 213 can also be used in conjunction with access control module 212 and HSM 240 to implement security system protocols to tailor messages from the external network to host network security protocols for the gateway device 210. For example, in some embodiments, the host network security protocol may require that all messages transmitted on the host network be protected by message authentication codes and / or hash codes. Protocol conversion module 213 can be used in conjunction with access control module 212 and HSM 240 to generate message authentication codes and / or hash codes and attach them to messages received from the external network if message authentication codes and / or hash codes.

В некоторых вариантах осуществления устройство 210 шлюза также включает в себя совместимый с Федеральным стандартом обработки информации (FIPS) модуль HSM 240. HSM 240 может включать в себя один или несколько криптопроцессоров и память, хранящую машинный исполнимый код, реализующий модуль 244 шифрования/дешифрования, модуль 242 кода аутентификации сообщений/хэш-кода и модуль 246 хранения криптографического ключа. HSM 240 обеспечивает относящиеся к управлению секретными ключами функции, такие как генерация криптографического ключа, конфигурирование границ защиты и возможностей криптографических ключей, резервное копирование и восстановление криптографических ключей, защищенное хранение криптографических ключей, и аннулирование и разрушение криптографических ключей. HSM 240 может также обеспечивать защищенный от вмешательства механизм, который обеспечивает высокий риск уничтожения компонентов в HSM 240 и криптографических ключей, сохраненных в нем, если предпринимается какая-либо внешняя по отношению к шлюзу 210 попытка доступа или искажения HSM 240.In some embodiments, the gateway device 210 also includes a compliant with the Federal Information Processing Standard (FIPS) HSM 240 module. The HSM 240 may include one or more crypto processors and a memory that stores machine executable code that implements an encryption / decryption module 244, a module Message authentication code / hash code 242 and a cryptographic key storage module 246. The HSM 240 provides features related to private key management, such as generating a cryptographic key, configuring the security boundaries and capabilities of cryptographic keys, backing up and restoring cryptographic keys, securely storing cryptographic keys, and revoking and destroying cryptographic keys. The HSM 240 can also provide an tamper-resistant mechanism that poses a high risk of destroying the components in the HSM 240 and the cryptographic keys stored in it if any attempt is made to access or distort the HSM 240 external to the gateway 210.

Модуль 244 шифрования/дешифрования может хранить и исполнять различные алгоритмы шифрования, такие как усовершенствование стандарта шифрования (AES), стандарта шифрования данных (DES), стандарта DES с трехкратным шифрованием данных/алгоритм (TDES/TDEA), алгоритмы шифрования BlowFish, Serpent, Twofish, стандартный международный алгоритм симметричного блочного шифрования данных (IDEA), алгоритм Ривеста-Шамира-Адлемана (RSA), алгоритм цифровой подписи (DSA), алгоритм малого шифрования (TEA), расширенный TEA (XTEA) и/или другие криптографические алгоритмы или алгоритмы шифрования. В ответ на запросы шифрования и расшифровывание от модуля 212 управления доступом, модуль 244 шифрования/дешифрования может осуществлять поиск требуемого алгоритма шифрования, получать любые необходимые криптографические ключи из блока 246 хранения криптографического ключа, выполнять запрос шифрования/расшифровывания и отвечать на модуль 212 управления доступом шифрованными/расшифрованными данными.The encryption / decryption module 244 can store and execute various encryption algorithms, such as improving the encryption standard (AES), data encryption standard (DES), DES standard with three data encryption / algorithm (TDES / TDEA), BlowFish, Serpent, Twofish encryption algorithms , the standard international symmetric block data encryption algorithm (IDEA), Rivest-Shamir-Adleman (RSA) algorithm, digital signature algorithm (DSA), small encryption algorithm (TEA), advanced TEA (XTEA) and / or other cryptographic or cryptographic algorithms Ania. In response to encryption and decryption requests from the access control module 212, the encryption / decryption module 244 can search for the desired encryption algorithm, obtain any necessary cryptographic keys from the cryptographic key storage unit 246, execute the encryption / decryption request, and respond to the encrypted access control module 212 / decrypted data.

Модуль 246 криптографических ключей хранит набор криптографических ключей или ключей шифрования, которые используются в различных алгоритмах шифрования, выполняемых модулем 244 шифрования/дешифрования. Ключи шифрования могут включать в себя симметричные ключи и/или асимметричные ключи. Модуль 246 криптографических ключей может также сохранить ряд исходных ключей, которые используются для инициализации модуля 244 шифрования/дешифрования в некоторых алгоритмах шифрования, таких как AES, или используются для генерации случайных чисел, используемых в некоторых алгоритмах шифрования, таких как RSA и DSA. Ключи шифрования и/или исходные ключи, сохраненные в модуле 246 криптографических ключей, не могут изменяться внешним источником без главного ключа, который использовался во время изготовления HSM 240.The cryptographic key module 246 stores a set of cryptographic keys or encryption keys that are used in various encryption algorithms performed by the encryption / decryption module 244. Encryption keys may include symmetric keys and / or asymmetric keys. The cryptographic key module 246 may also store a series of source keys that are used to initialize the encryption / decryption module 244 in some encryption algorithms, such as AES, or are used to generate random numbers used in some encryption algorithms, such as RSA and DSA. The encryption keys and / or source keys stored in the cryptographic key module 246 cannot be changed by an external source without the master key that was used during the manufacture of the HSM 240.

HSM 240 может также включать в себя модуль 242 кода аутентификации сообщений (МАС)/хэш-кода, чтобы формировать и верифицировать значения MAC и/или хэш-кодов для сообщений, посланных на устройство 210 шлюза и от него. Значение MAC или хэш-код может генерироваться для сообщения или части сообщения с тем, чтобы получатель мог верифицировать целостность и подлинность данных сообщения. В некоторых вариантах осуществления сообщения, принятые от внешней сети, могут включать в себя MAC или хэш-коды. Модуль 242 кода аутентификации сообщений/хэш-кода может верифицировать MAC или хэш-коды принятых сообщений прежде, чем отправлять сообщения на сервер в хост-сети устройства 210 шлюза. Если MAC или хэш-код в сообщении не могут быть верифицированными, сообщение можно отбрасывать, чтобы препятствовать поступлению неавторизованных сообщений в хост-сеть.HSM 240 may also include a message authentication code (MAC) / hash code module 242 to generate and verify MAC and / or hash code values for messages sent to and from the gateway device 210. A MAC value or a hash code can be generated for the message or part of the message so that the recipient can verify the integrity and authenticity of the message data. In some embodiments, messages received from an external network may include MAC or hash codes. The message / hash code authentication module 242 may verify the MAC or hash codes of the received messages before sending messages to the server on the host network of the gateway device 210. If the MAC or hash code in the message cannot be verified, the message can be discarded to prevent unauthorized messages from entering the host network.

Следует оценить, что в некоторых вариантах осуществления устройство 210 шлюза может включать в себя или не включать в себя HSM 240, и что один или несколько компонентов HSM 240 могут быть реализованы с использованием процессора и памяти устройства 210 шлюза. Например, в примере осуществления устройство 210 шлюза может включать в себя модуль 242 MAC/хэш-кода, который не является частью HSM, а реализуется процессором и памятью устройства 210 шлюза, и/или устройство 210 шлюза может включать в себя модуль 244 шифрования/дешифрования, который не является частью HSM, а реализуется процессором и памятью устройства 210 шлюза.It should be appreciated that in some embodiments, the gateway device 210 may or may not include the HSM 240, and that one or more components of the HSM 240 may be implemented using the processor and memory of the gateway device 210. For example, in an embodiment, the gateway device 210 may include a MAC / Hashcode module 242, which is not part of the HSM, but is implemented by the processor and memory of the gateway device 210, and / or the gateway device 210 may include an encryption / decryption module 244 , which is not part of the HSM, but is implemented by the processor and memory of the gateway device 210.

Пример осуществления изобретения с использованием последовательности сообщений синхронизации для установления канала связиAn example embodiment of the invention using a sequence of synchronization messages to establish a communication channel

Для простоты понимания процесс установления канала связи между клиентским устройством в клиентской сети и хост-устройством в хост-сети через устройство шлюза теперь будет описываться со ссылкой на конкретный вариант осуществления. Следует понимать, что конкретная последовательность сообщений, описанных согласно этому примеру осуществления, является лишь одним примером использования последовательности сообщений для установления канала связи в соответствии с примером осуществления изобретения, и что другие варианты осуществления могут использовать любую другую последовательность сообщений, раскрытых в документе.For ease of understanding, the process of establishing a communication channel between a client device in a client network and a host device in a host network through a gateway device will now be described with reference to a specific embodiment. It should be understood that the particular message sequence described according to this embodiment is just one example of using a message sequence to establish a communication channel in accordance with an embodiment of the invention, and that other embodiments may use any other message sequence disclosed in the document.

На фиг.3 показана схема, иллюстрирующая обмен сообщениями для установления канала связи между клиентским устройством 370 в клиентской сети и сервером 320 в хост-сети через устройство 310 шлюза, согласно примеру осуществления. Обведенные кружком позиции на фиг.3 указывают порядок, в котором передаются сообщения. Следует понимать, что в различных вариантах осуществления обмен сообщениями между клиентским устройством 370 и устройством 310 шлюза может происходить независимо от обмена сообщениями и может также происходить одновременно с обменом сообщениями между устройством 310 шлюза и сервером 320, и что канал связи между клиентским устройством 370 и сервером 320 устанавливается после того, как и клиентское устройство 370, и сервер 320 аутентифицированы и определены являющимися авторизованными устройствами.FIG. 3 is a diagram illustrating a messaging for establishing a communication channel between a client device 370 in a client network and a server 320 in a host network through a gateway device 310, according to an embodiment. The circled positions in FIG. 3 indicate the order in which messages are transmitted. It should be understood that in various embodiments, the exchange of messages between the client device 370 and the gateway device 310 can occur independently of the exchange of messages and can also occur simultaneously with the exchange of messages between the gateway device 310 and the server 320, and that the communication channel between the client device 370 and the server 320 is installed after both the client device 370 and the server 320 are authenticated and identified as being authorized devices.

Клиентское устройство 370 является частью клиентской сети, которая является внешней по отношению к хост-сети устройства 310 шлюза. Клиентское устройство 370 включает в себя интерфейс 376 порта устройства, который может иметь любое количество логических портов 377(1)-377(n) устройства для обеспечения интерфейса с другими устройствами (например, устройством 310 шлюза), и каждый из портов 377(1)-377(n) устройства связан с номером порта устройства в интерфейсе 376 порта устройства. Устройство 310 шлюза (например, устройство 210 шлюза по фиг.2) и сервер 320 является частью хост-сети. Устройство 310 шлюза включает в себя клиентский интерфейс 316, который включает в себя множество логических клиентских портов 317(1)-317(n) для обеспечения интерфейса с клиентскими устройствами в клиентской сети (например, клиентским устройством 370), и хост-интерфейс 318, который включает в себя множество логических хост-портов 319(1)-319(n) для обеспечения интерфейса с хост-устройством в хост-сети (например, сервером 320). Каждый из клиентских портов 317(1)-317(n) связан с номером клиентского порта на клиентском интерфейсе 316, и каждый из портов хостов 319(1)-319(n) связан с номером хост-порта на хост-интерфейсе 319. Сервер 320 включает в себя интерфейс 328 порта сервера, который имеет множество логических серверных портов 329(1)-329(n) для обеспечения интерфейса с другими устройствами хост-сети (например, устройством 310 шлюза). Каждый из серверных портов 329(1)-329(n) связан с номером порта сервера в интерфейсе 328 порта сервера.Client device 370 is part of a client network that is external to the host network of gateway device 310. Client device 370 includes a device port interface 376, which may have any number of device logical ports 377 (1) -377 (n) for providing an interface with other devices (eg, gateway device 310), and each of ports 377 (1) -377 (n) of the device is associated with the device port number on the device port interface 376. Gateway device 310 (e.g., gateway device 210 of FIG. 2) and server 320 are part of a host network. Gateway device 310 includes a client interface 316, which includes a plurality of logical client ports 317 (1) -317 (n) for providing an interface with client devices in a client network (e.g., client device 370), and a host interface 318, which includes a plurality of logical host ports 319 (1) -319 (n) for providing an interface with a host device on a host network (eg, server 320). Each of the client ports 317 (1) -317 (n) is associated with a client port number on the client interface 316, and each of the host ports 319 (1) -319 (n) is associated with a host port number on the host interface 319. Server 320 includes a server port interface 328, which has a plurality of logical server ports 329 (1) -329 (n) for providing an interface with other devices on the host network (e.g., gateway device 310). Each of the server ports 329 (1) -329 (n) is associated with a server port number in the server port interface 328.

Клиентское устройство 370 инициирует процесс установления канала связи к хост-устройству (например, серверу 320) хост-сети отправкой клиентского сообщения синхронизации на устройство 310 шлюза. Устройство 310 шлюза сконфигурировано с возможностью воздерживаться от ответа на клиентские сообщения синхронизации, принятые от клиентского устройства из внешней клиентской сети, если только заранее заданная последовательность клиентских сообщений синхронизации не была принята. Заранее заданная последовательность клиентских сообщений синхронизации является известной только устройству 310 шлюза и авторизованным устройствам (например, клиентскому устройству 370), которым позволяется осуществлять связь с хост-устройством (например, сервером 320) в хост-сети. Поскольку устройство 310 шлюза не отвечает на клиентские сообщения синхронизации, принятые от клиентского устройства внешней клиентской сети, если заранее заданная последовательность клиентских сообщений синхронизации не была принята, маловероятно, что неавторизованное клиентское устройство будет в состоянии обнаружить устройство 310 шлюза и подключиться к нему путем отправки случайных сообщений синхронизации с использованием способов сканирования портов.The client device 370 initiates the process of establishing a communication channel to the host device (eg, server 320) of the host network by sending a synchronization client message to the gateway device 310. The gateway device 310 is configured to abstain from responding to client synchronization messages received from a client device from an external client network, unless a predetermined sequence of client synchronization messages has been received. A predetermined sequence of client synchronization messages is known only to the gateway device 310 and authorized devices (eg, client device 370) that are allowed to communicate with the host device (eg, server 320) on the host network. Since the gateway device 310 does not respond to client synchronization messages received from the client device of the external client network if a predetermined sequence of client synchronization messages has not been received, it is unlikely that an unauthorized client device will be able to detect the gateway device 310 and connect to it by sending random synchronization messages using port scanning methods.

В некоторых вариантах осуществления заранее заданная последовательность клиентских сообщений синхронизации может быть последовательностью клиентских сообщений синхронизации, которые принимаются на клиентских портах клиентского интерфейса 316 в заранее заданной очередности клиентских портов. Другими словами, заранее заданная последовательность клиентских сообщений синхронизации может быть последовательностью клиентских сообщений синхронизации с заранее заданным порядком идентификаторов портов назначения. В качестве примера заранее заданная последовательность клиентских сообщений могут быть следующей: (1) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(1) от устройства 310 шлюза; (2) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(n) устройства 310 шлюза; и (3) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(2) устройства 310 шлюза. Следует понимать, что заранее заданная последовательность клиентских сообщений синхронизации в других вариантах осуществления может включать в себя любое количество клиентских сообщений синхронизации и может приниматься в любом порядке клиентских портов.In some embodiments, a predetermined sequence of client synchronization messages may be a sequence of client synchronization messages that are received on client ports of a client interface 316 in a predetermined sequence of client ports. In other words, a predetermined sequence of client synchronization messages may be a sequence of client synchronization messages with a predetermined order of destination port identifiers. As an example, a predetermined sequence of client messages can be as follows: (1) a client synchronization message received on client port 317 (1) from the gateway device 310; (2) a client synchronization message received on the client port 317 (n) of the gateway device 310; and (3) a client synchronization message received on the client port 317 (2) of the gateway device 310. It should be understood that a predetermined sequence of client synchronization messages in other embodiments may include any number of client synchronization messages and may be received in any order of client ports.

Клиентское устройство 370 инициирует процесс установления канала связи к шлюзу 310 отправкой клиентского сообщения 381 синхронизации на устройство 310 шлюза. Клиентское сообщение 381 синхронизации включает в себя идентификатор порта источника с номером порта устройства, связанным с портом 377(3) устройства для клиентского устройства 370, и идентификатор порта назначения с номером порта, связанным с клиентским портом 317(1) устройства 310 шлюза. Следует отметить, что согласно этому конкретному варианту осуществления, заранее заданная последовательность клиентских сообщений синхронизации не предписывает, что клиентские сообщения синхронизации должны отправляться из какого-либо конкретного порта устройства в клиентском устройстве 370. Таким образом, клиентское сообщение 381 синхронизации может отправляться из любого из портов 377(1)-377(n) устройства для клиентского устройства 370.The client device 370 initiates the process of establishing a communication channel to the gateway 310 by sending a client synchronization message 381 to the gateway device 310. The client synchronization message 381 includes a source port identifier with a device port number associated with the device port 377 (3) for the client device 370, and a destination port identifier with a port number associated with the client port 317 (1) of the gateway device 310. It should be noted that according to this particular embodiment, a predetermined sequence of client synchronization messages does not require that client synchronization messages be sent from any particular device port in client device 370. Thus, client synchronization message 381 can be sent from any of the ports 377 (1) -377 (n) devices for client device 370.

Когда устройство 310 шлюза принимает клиентское сообщение 381 синхронизации на клиентском порте 317(1), устройство 310 шлюза первоначально не отвечает на клиентское сообщение 381 синхронизации, поскольку заранее заданная последовательность клиентских сообщений синхронизации еще не была принята. Клиентское устройство 370 затем осуществляет отправку второго клиентского сообщения 382 синхронизации из порта 377(3) устройства на клиентский порт 317(n) устройства 310 шлюза. Устройство 310 шлюза также не отвечает на второе клиентское сообщение 382 синхронизации, поскольку полная заранее заданная последовательность клиентских сообщений синхронизации, которая используется для аутентификации клиентского устройства 370, все еще не была принята устройством 310 шлюза.When the gateway device 310 receives the synchronization client message 381 on the client port 317 (1) , the gateway device 310 does not initially respond to the synchronization client message 381 because a predetermined sequence of client synchronization messages has not yet been received. The client device 370 then sends a second synchronization client message 382 from the device port 377 (3) to the client port 317 (n) of the gateway device 310. The gateway device 310 also does not respond to the second client synchronization message 382, since the complete predetermined sequence of client synchronization messages that is used to authenticate the client device 370 has not yet been received by the gateway device 310.

Затем, клиентское устройство 370 передает третье клиентское сообщение 383 синхронизации из порта устройства 377(3) клиентского устройства 370 на клиентский порт 317(2) устройства 310 шлюза. Когда устройство 310 шлюза принимает клиентское сообщение 383 синхронизации, устройство 310 шлюза может аутентифицировать клиентское устройство 370 путем сравнения последовательности принятых клиентских сообщений 381, 382 и 383 синхронизации с заранее заданной последовательностью клиентских сообщений синхронизации, хранимой в правилах доступа устройства 310 шлюза. Если заранее заданная последовательность клиентских сообщений синхронизации, которые устройство 310 шлюза ожидает принимать от авторизованного клиентского устройства, была корректно принята от клиентского устройства 370, то устройство 310 шлюза определяет клиентское устройство 370 являющимся авторизованным клиентским устройством, которому позволяется осуществлять связь с хост-устройством (например, сервером 320) в хост-сети.Then, the client device 370 transmits the third client synchronization message 383 from the port of the device 377 (3) of the client device 370 to the client port 317 (2) of the gateway device 310. When the gateway device 310 receives the client synchronization message 383, the gateway device 310 can authenticate the client device 370 by comparing the sequence of received client synchronization messages 381, 382 and 383 with the predetermined sequence of client synchronization messages stored in the access rules of the gateway device 310. If the predetermined sequence of client synchronization messages that the gateway device 310 expects to receive from an authorized client device has been correctly received from the client device 370, then the gateway device 310 determines the client device 370 to be an authorized client device that is allowed to communicate with the host device (e.g. , server 320) on the host network.

Устройство 310 шлюза затем отвечает клиентскому устройству 370 клиентским сообщением 384 синхронизации-подтверждения. Клиентское сообщение 384 синхронизации-подтверждения включает в себя идентификатор порта назначения с номером порта устройства, связанным с портом 377(3) устройства в клиентском устройстве 370, из которого исходила последовательность клиентских сообщений синхронизации, и идентификатор порта источника с номером порта, связанным с клиентским портом 317(4) в устройстве 310 шлюза. В некоторых вариантах осуществления идентификатор порта источника в клиентском сообщении 384 синхронизации-подтверждения может использоваться устройством 310 шлюза, чтобы указывать клиентскому устройству 370, какой из клиентских портов в устройстве 310 шлюза примет соединение для установления канала связи с клиентским устройством 370. При приеме клиентского сообщения 384 синхронизации-подтверждения на порте 377(3) устройства, клиентское устройство 370 осуществляет отправку клиентского сообщения 385 подтверждения от порта устройства 377(3) на клиентский порт 317(4) устройство 310 шлюза. Когда устройство 310 шлюза принимает клиентское сообщение 385 подтверждения, клиентское устройство 370 аутентифицируется в качестве авторизованного клиентского устройства на клиентском порте 317(4) устройства 310 шлюза, и канал связи может быть установлен между клиентским устройством 370 и сервером 320 в ожидании аутентификации сервера 320.The gateway device 310 then responds to the client device 370 with a sync-acknowledgment client message 384. The synchronization confirmation client message 384 includes a destination port identifier with a device port number associated with the device port 377 (3) in the client device 370 from which the sequence of client synchronization messages originated, and a source port identifier with a port number associated with the client port 317 (4) in the gateway device 310. In some embodiments, the source port identifier in the sync acknowledgment client message 384 may be used by the gateway device 310 to indicate to the client device 370 which of the client ports in the gateway device 310 will accept a connection to establish a communication channel with the client device 370. When receiving the client message 384 synchronization confirmation on the port 377 (3) of the device, the client device 370 sends a client confirmation message 385 from the port of the device 377 (3) on the client TCP port 317 (4) gateway device 310. When the gateway device 310 receives the client confirmation message 385, the client device 370 authenticates as an authorized client device on the client port 317 (4) of the gateway device 310, and a communication channel can be established between the client device 370 and the server 320 awaiting authentication of the server 320.

Согласно некоторым вариантам осуществления изобретения, канал связи между устройством 310 шлюза и сервером 320 также может устанавливаться с использованием заранее заданной последовательности сообщений, которая является известной только устройству 310 шлюза и авторизованным хост-устройствам (например, серверу 320), которым позволяется осуществлять связь с клиентским устройством. Это дает возможность устройству 310 шлюза аутентифицировать устройства на обоих концах линии связи и убедиться в том, что и отправитель, и получатель передачи, передаваемой через устройство 310 шлюза, являются устройствами, которые авторизованы для осуществления связи друг с другом.According to some embodiments of the invention, the communication channel between the gateway device 310 and the server 320 can also be established using a predetermined message sequence that is known only to the gateway device 310 and authorized host devices (eg, server 320) that are allowed to communicate with the client device. This enables the gateway device 310 to authenticate the devices at both ends of the communication line and to verify that both the sender and receiver of the transmission transmitted through the gateway device 310 are devices that are authorized to communicate with each other.

В некоторых вариантах осуществления канал связи между устройством 310 шлюза и сервером 320 устанавливается с использованием заранее заданной последовательность серверных сообщений синхронизации, которые посылаются от хост-интерфейса 318 устройства 310 шлюза на интерфейс 328 порта сервера в сервере 320 в заранее заданном порядке портов сервера. Другими словами, заранее заданная последовательность серверных сообщений синхронизации может быть последовательностью серверных сообщений синхронизации с заранее заданной последовательностью идентификаторов портов назначения. В качестве примера заранее заданной последовательностью серверных сообщений синхронизации может быть следующая: (1) серверное сообщение синхронизации, посылаемое на серверный порт 329(n) сервера 320; (2) серверное сообщение синхронизации, посылаемое на серверный порт 329(4) сервера 320; и (3) серверное сообщение синхронизации, посылаемое на серверный порт 329(n) сервера 320. Следует понимать, что заранее заданная последовательность серверных сообщений синхронизации в других вариантах осуществления может включать в себя другое количество серверных сообщений синхронизации и может приниматься в другом порядке серверных портов.In some embodiments, the communication channel between the gateway device 310 and the server 320 is established using a predetermined sequence of server synchronization messages that are sent from the host interface 318 of the gateway device 310 to the server port interface 328 on the server 320 in a predetermined server port order. In other words, a predetermined sequence of server synchronization messages may be a sequence of server synchronization messages with a predetermined sequence of destination port identifiers. As an example, a predetermined sequence of server synchronization messages may be the following: (1) a server synchronization message sent to server port 329 (n) of server 320; (2) a server synchronization message sent to server port 329 (4) of server 320; and (3) a server synchronization message sent to server port 329 (n) of the server 320. It should be understood that a predetermined sequence of server synchronization messages in other embodiments may include a different number of server synchronization messages and may be received in a different order of server ports .

Устройство 310 шлюза инициирует процесс установления канала связи к серверу 320 отправкой серверного сообщения 391 синхронизации на устройство 310 шлюза. Серверное сообщение 391 синхронизации включает в себя идентификатор порта источника с номером хост-порта, связанным с хост-портом 319(2) устройства 310 шлюза, и идентификатор порта назначения с номером порта сервера, связанным с серверным портом 329(n) сервера 320. Когда сервер 320 принимает серверное сообщение 391 синхронизации на серверном порте 329(n), сервер 320 первоначально не отвечает на серверное сообщение 391 синхронизации. Устройство 310 шлюза затем осуществляет отправку второго серверного сообщения 392 синхронизации от хост-порта 319(2) на серверный порт 329(4) сервера 320. Поскольку заранее заданная последовательность серверных сообщений синхронизации, которую сервер 320 ожидает от устройства 310 шлюза, еще не была принята, сервер 320 также не отвечает на второе клиентское сообщение 392 синхронизации.Gateway device 310 initiates the process of establishing a communication channel to server 320 by sending a server synchronization message 391 to gateway device 310. The synchronization server message 391 includes a source port identifier with a host port number associated with a host port 319 (2) of the gateway device 310, and a destination port identifier with a server port number associated with a server port 329 (n) of the server 320. When the server 320 receives the server synchronization message 391 on the server port 329 (n) , the server 320 does not initially respond to the server synchronization message 391. The gateway device 310 then sends a second server synchronization message 392 from the host port 319 (2) to the server port 329 (4) of the server 320. Since the predetermined sequence of server synchronization messages that the server 320 expects from the gateway device 310 has not yet been received server 320 also does not respond to the second synchronization client message 392.

Затем, устройство 310 шлюза осуществляет отправку третьего серверного сообщения 393 синхронизации от хост-порта 319(2) на клиентский порт 329(n) сервера 320. Когда сервер 320 принимает серверное сообщение 393 синхронизации, сервер 320 отвечает на устройство 310 шлюза сообщением 394 синхронизации-подтверждения, поскольку ожидаемая заранее заданная последовательность серверных сообщений синхронизации была корректно принята от устройства 310 шлюза. Заранее заданная последовательность серверных сообщений синхронизации может также использоваться устройством 310 шлюза для аутентификации сервера 320, поскольку авторизованное хост-устройство не будет отвечать на какое-либо из серверных сообщений синхронизации до тех пор, пока полная заранее заданная последовательность серверных сообщений синхронизации не будет отправлена от устройства 310 шлюза. Таким образом, если устройство 310 шлюза принимает серверное сообщение синхронизации-подтверждения от хост-устройства до завершения передачи устройством 310 шлюза полной заранее заданной последовательности серверных сообщений синхронизации, то устройство 310 шлюза может определить, что хост-устройство не является авторизованным хост-устройство, поскольку авторизованное хост-устройство не будет передавать серверное сообщение синхронизации-подтверждения до приема полной заранее заданной последовательности серверных сообщений синхронизации.Then, the gateway device 310 sends a third server synchronization message 393 from the host port 319 (2) to the client port 329 (n) of the server 320. When the server 320 receives the synchronization server message 393, the server 320 responds to the gateway device 310 with a synchronization message 394 - confirmation, since the expected predetermined sequence of server synchronization messages was correctly received from the gateway device 310. The predefined sequence of server synchronization messages can also be used by the gateway device 310 to authenticate the server 320, since an authorized host device will not respond to any of the server synchronization messages until a complete predetermined sequence of server synchronization messages has been sent from the device 310 gateways. Thus, if the gateway device 310 receives the server synchronization confirmation message from the host device before the gateway device 310 transmits the full predetermined sequence of server synchronization messages, then the gateway device 310 can determine that the host device is not an authorized host device, because an authorized host device will not transmit a server synchronization confirmation message until a complete predetermined sequence of server synchronization messages has been received tion.

Возвращаясь на фиг.3, серверное сообщение 394 синхронизации-подтверждения включает в себя идентификатор порта назначения с номером хост-порта, связанным с хост-портом 319(2) устройства 320 шлюза, от которого исходила последовательность серверных сообщений синхронизации, и идентификатор порта источника с номером порта сервера, связанным с серверным портом 329(n) сервера 320. В некоторых вариантах осуществления идентификатор порта источника серверного сообщения 394 синхронизации-подтверждения может использоваться сервером 320 для указания устройству 310 шлюза, какой из серверных портов в сервере 320 примет соединение с устройством 310 шлюза для установления канала связи. При приеме серверного сообщения 394 синхронизации-подтверждения на хост-порте 319(2), устройство 310 шлюза осуществляет отправку серверного сообщения 395 подтверждения от хост-порта 319(2) на серверный порт 329(2) сервера 320. Сервер 320 затем аутентифицируется как авторизованное хост-устройство на хост-порте 319(2) устройства 310 шлюза, и канал связи может быть установлен между клиентским устройством 370 и сервером 320 в ожидании аутентификации клиентского устройства 370.Returning to FIG. 3, the synchronization acknowledgment server message 394 includes a destination port identifier with a host port number associated with a host port 319 (2) of the gateway device 320 from which the sequence of server synchronization messages originated, and a source port identifier with The server port number associated with the server-side port 329 (n) server 320. In some embodiments, the port identifier of the server source of the message synchronization confirmation 394 may be used to indicate the server 320 Arrange TSS gateway 310, which of server ports in the server 320 will connect to the gateway device 310 to establish a communication channel. Upon receipt of the server synchronization confirmation message 394 on the host port 319 (2) , the gateway device 310 sends the confirmation server message 395 from the host port 319 (2) to the server port 329 (2) of the server 320. The server 320 is then authenticated as authorized the host device on the host port 319 (2) of the gateway device 310, and a communication channel may be established between the client device 370 and the server 320, pending authentication of the client device 370.

Как только и клиентское устройство 370, и сервер 320 аутентифицируются устройством 310 шлюза как являющиеся авторизованными устройствами, которым позволяется осуществлять связь друг с другом, устройство 310 шлюза устанавливает канал связи между клиентским устройством 370 и сервером 320 через устройство 310 шлюза. Клиентское устройство 370 может затем отправлять и принимать сообщения на сервер 320 и от него на установленном канале связи через устройство 310 шлюза.Once both the client device 370 and the server 320 are authenticated by the gateway device 310 as being authorized devices that are allowed to communicate with each other, the gateway device 310 establishes a communication channel between the client device 370 and the server 320 through the gateway device 310. Client device 370 may then send and receive messages to and from server 320 on an established communication channel through gateway device 310.

В вышеупомянутом примере заранее заданная последовательность сообщений, используемая для аутентификации устройств и установления канала связи между устройствами, является заранее заданной последовательностью сообщений синхронизации. В других вариантах осуществления заранее заданная последовательность сообщений, используемых для аутентификации устройств и для установления канала связи между устройствами, может альтернативно или дополнительно включать в себя заранее заданную последовательность сообщений синхронизации-подтверждения и/или заранее заданную последовательность сообщений подтверждения.In the above example, a predetermined message sequence used to authenticate devices and establish a communication channel between devices is a predetermined synchronization message sequence. In other embodiments, a predetermined sequence of messages used to authenticate devices and to establish a communication channel between devices may alternatively or additionally include a predetermined sequence of synchronization acknowledgment messages and / or a predetermined sequence of confirmation messages.

Пример осуществления изобретения с использованием последовательности сообщений синхронизации и последовательности сообщений синхронизации-подтверждение для установления канала связиAn example embodiment of the invention using a sequence of synchronization messages and a sequence of synchronization acknowledgment messages to establish a communication channel

На фиг.4 показана схема, иллюстрирующая обмен сообщениями для установления канала связи между клиентским устройством 370 в клиентской сети и сервером 320 в хост-сети через устройство 310 шлюза, согласно другому примеру осуществления. В этом конкретном варианте осуществления заранее заданная последовательность сообщений для установления канала связи между устройствами включает в себя и заранее заданную последовательность сообщений синхронизации, и заранее заданную последовательность сообщений синхронизации-подтверждения. В качестве примера заранее заданной последовательностью сообщений, используемой для аутентификации клиентского устройства 370, может быть следующее: (1) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(1) в устройстве 310 шлюза; (2) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(n) устройства 310 шлюза; (3) клиентское сообщение синхронизации, принимаемое на клиентском порте 317(2) устройства 310 шлюза; (4) клиентское сообщение синхронизации-подтверждения, отправляемое на порт 377(2) устройства клиентского устройства 370; и (5) клиентское сообщение синхронизации-подтверждения, отправляемое на порт 377(1) устройства для клиентского устройства 370.4 is a diagram illustrating a messaging for establishing a communication channel between a client device 370 in a client network and a server 320 in a host network through a gateway device 310, according to another embodiment. In this particular embodiment, a predetermined message sequence for establishing a communication channel between devices includes both a predetermined sequence of synchronization messages and a predetermined sequence of synchronization acknowledgment messages. As an example, the predefined message sequence used to authenticate the client device 370 may be the following: (1) a client synchronization message received on client port 317 (1) in the gateway device 310; (2) a client synchronization message received on the client port 317 (n) of the gateway device 310; (3) a client synchronization message received on the client port 317 (2) of the gateway device 310; (4) a client synchronization confirmation message sent to port 377 (2) of the device of the client device 370; and (5) a client synchronization confirmation message sent to port 377 (1) of the device for client device 370.

Согласно этому конкретному варианту осуществления, клиентское устройство 370 аутентифицируется, как являющееся авторизованным клиентским устройством, если вышеупомянутая последовательность клиентских сообщений синхронизации принимается, и если клиентское устройство 370 не отвечает на клиентское сообщение синхронизации-подтверждения, пока полная заранее заданная последовательность клиентских сообщений синхронизации-подтверждения не будет отправлена на клиентское устройство 370. Если какие-либо дополнительные промежуточные сообщения между клиентским устройством 370 и устройством 310 шлюза передаются в течение вышеупомянутой последовательности сообщений, или если полная последовательность сообщений (и последовательность клиентских сообщений синхронизации, и последовательность клиентских сообщений синхронизации-подтверждения) не принимается соответствующими устройствами, то устройство 310 шлюза может отказать клиентскому устройству 370 в доступе к хост-сети для устройства 310 шлюза. Следует понимать, что заранее заданная последовательность сообщений не ограничивается конкретным примером, приведенным выше, и что в других вариантах осуществления заранее заданная последовательность сообщений может включать в себя другое количество клиентских сообщений синхронизации, принимаемых в различном порядке клиентских портов, и/или другое количество клиентских сообщений синхронизации-подтверждения, отправляемых на другой порядок следования портов устройства. Кроме того, заранее заданная последовательность сообщений может альтернативно или дополнительно включать в себя заранее заданную последовательность клиентских сообщений подтверждения.According to this particular embodiment, the client device 370 is authenticated as being an authorized client device if the aforementioned sequence of client synchronization messages is received, and if the client device 370 does not respond to the client synchronization acknowledgment message until the complete predetermined sequence of client synchronization acknowledgment messages will be sent to client device 370. If any additional intermediate messages are communicated I between the client device 370 and the gateway device 310 are transmitted during the aforementioned message sequence, or if the complete message sequence (both the sequence of client synchronization messages and the sequence of client synchronization acknowledgment messages) is not received by the respective devices, then the gateway device 310 may refuse the client device 370 in access to the host network for the device 310 gateway. It should be understood that the predetermined message sequence is not limited to the specific example above, and that in other embodiments, the predetermined message sequence may include a different number of client synchronization messages received in different order of client ports, and / or a different number of client messages synchronization confirmations sent to a different order of device ports. In addition, a predetermined sequence of messages may alternatively or additionally include a predetermined sequence of client acknowledgment messages.

Клиентское устройство 370 инициирует процесс установления канала связи к шлюзу 310 отправкой клиентского сообщения 481 синхронизации на устройство 310 шлюза. Клиентское сообщение 481 синхронизации включает в себя идентификатор порта источника с номером порта устройства, связанным с портом 377(3) устройства для клиентского устройства 370, и идентификатор порта назначения с номером клиентского порта, связанным с клиентским портом 317(1) устройства 310 шлюза. Когда устройство 310 шлюза принимает клиентское сообщение 481 синхронизации на клиентском порте 317(1), устройство 310 шлюза первоначально не отвечает на клиентское сообщение 481 синхронизации. Клиентское устройство 370 затем осуществляет отправку второго клиентского сообщения 482 синхронизации от порта 377(3) устройства на клиентский порт 317(n) устройства 310 шлюза. Поскольку заранее заданная последовательность клиентских сообщений синхронизации еще не была принята устройством 310 шлюза, устройство 310 шлюза не отвечает на второе клиентское сообщение 482 синхронизации также.The client device 370 initiates the process of establishing a communication channel to the gateway 310 by sending a client synchronization message 481 to the gateway device 310. The client synchronization message 481 includes a source port identifier with a device port number associated with the device port 377 (3) for the client device 370 and a destination port identifier with a client port number associated with the client port number associated with the client port 317 (1) of the gateway device 310. When the gateway device 310 receives the client synchronization message 481 on the client port 317 (1) , the gateway device 310 does not initially respond to the client synchronization message 481. The client device 370 then sends a second synchronization client message 482 from the device port 377 (3) to the client port 317 (n) of the gateway device 310. Since the predetermined sequence of client synchronization messages has not yet been received by the gateway device 310, the gateway device 310 does not respond to the second synchronization client message 482 either.

Затем, клиентское устройство 370 осуществляет отправку третьего клиентского сообщения 483 синхронизации из порта 377(3) устройства для клиентского устройства 370 на клиентский порт 317(2) устройства 310 шлюза в соответствии с заранее заданной последовательностью клиентских сообщений синхронизации. Когда устройство 310 шлюза принимает клиентское сообщение 483 синхронизации, в ответ на прием заранее заданной последовательности клиентских сообщений синхронизации, устройство 310 шлюза отвечает на клиентское устройство 370 клиентским сообщением 384 синхронизации-подтверждения. Клиентское сообщение 384 синхронизации-подтверждения включает в себя идентификатор порта источника с номером клиентского порта, связанным с клиентским портом 317(4) устройства 310 шлюза, который может использоваться устройством 310 шлюза для указания клиентскому устройству 370, какой клиентский порт устройства 310 шлюза примет соединение от клиентского устройства 370 для установления канала связи. Клиентское сообщение 384 синхронизации-подтверждения также включает в себя идентификатор порта назначения с номером порта устройства, связанным с портом 377(2) устройства для клиентского устройства 370 в соответствии с заранее заданной последовательностью клиентских сообщений синхронизации-подтверждения для этого примера осуществления.Then, the client device 370 sends the third client synchronization message 483 from the device port 377 (3) for the client device 370 to the client port 317 (2) of the gateway device 310 in accordance with a predetermined sequence of client synchronization messages. When the gateway device 310 receives the client synchronization message 483, in response to receiving a predetermined sequence of client synchronization messages, the gateway device 310 responds to the client device 370 with the synchronization confirmation client message 384. The sync acknowledgment client message 384 includes a source port identifier with a client port number associated with the client port 317 (4) of the gateway device 310, which can be used by the gateway device 310 to indicate to the client device 370 which client port of the gateway device 310 will accept a connection from client device 370 for establishing a communication channel. The sync confirmation client message 384 also includes a destination port identifier with a device port number associated with the device port 377 (2) for the client device 370 in accordance with a predetermined sequence of sync acknowledgment client messages for this embodiment.

При приеме клиентского сообщения 384 синхронизации-подтверждения на порте 377(2) устройства, клиентское устройство 370 первоначально не отвечает на клиентское сообщение 384 синхронизации-подтверждения, поскольку заранее заданная последовательность клиентских сообщений синхронизации-подтверждения еще не была принята клиентским устройством 370. Если устройство 310 шлюза принимает клиентское сообщение подтверждения от клиентского устройства в ответ на клиентское сообщение 384 синхронизации-подтверждения до отправки устройством шлюза клиентского сообщения 385 синхронизации-подтверждения, устройство 310 шлюза может определить, что клиентское устройство не является авторизованным клиентским устройством, поскольку авторизованное клиентское устройство не передает клиентское сообщение подтверждения до тех пор, пока заранее заданная последовательность клиентских сообщений синхронизации-подтверждения не будет принята.Upon receipt of the synchronization confirmation client message 384 on the device port 377 (2) , the client device 370 does not initially respond to the synchronization acknowledgment client message 384, since a predetermined sequence of synchronization confirmation acknowledgment client messages has not yet been received by the client device 370. If the device 310 the gateway receives the client confirmation message from the client device in response to the synchronization-confirmation client message 384 before the client sends the gateway device Posts 385 th synchronization confirmation, the gateway device 310 may determine that the client device is not an authorized client device as an authorized client device does not send a confirmation message to the client, as long as a predetermined sequence of client synchronization message confirmation will not be accepted.

Затем, устройство шлюза осуществляет отправку клиентского сообщения 485 синхронизации-подтверждения из клиентского порта 317(4) на порт 377(1) устройства для клиентского устройства 370 в соответствии с заранее заданной последовательностью клиентских сообщений синхронизации-подтверждения. При приеме клиентского сообщения 485 синхронизации-подтверждения в ответ на прием заранее заданной последовательности клиентских сообщений синхронизации-подтверждения клиентское устройство 370 отвечает на устройство 310 шлюза клиентским сообщением 486 подтверждения. Клиентское сообщение 486 подтверждения включает в себя идентификатор порта источника с номером порта устройства, связанным с портом 377(n) устройства для клиентского устройства 370, который может использоваться клиентским устройством 370 для указания устройству 310 шлюза, какой порт устройства для клиентского устройства 370 будет использоваться для соединения с устройством 310 шлюза для установления канала связи. Клиентское сообщение 486 подтверждения также включает в себя идентификатор порта назначения с номером клиентского порта, связанным с клиентским портом 317(4) устройства 310 шлюза, от которого исходили клиентские сообщения 486 и 487 подтверждения. Если устройство 310 шлюза принимает клиентское сообщение 486 подтверждения, клиентское устройство 370 аутентифицируется как авторизованное клиентское устройство на клиентском порте 317(4) устройства 310 шлюза, и канал связи может быть установлен между клиентским устройством 370 и сервером 320 в ожидании аутентификации сервера 320.Then, the gateway device sends the synchronization confirmation client message 485 from the client port 317 (4) to the device port 377 (1) for the client device 370 in accordance with a predetermined sequence of synchronization acknowledgment client messages. Upon receiving the client synchronization confirmation message 485 in response to receiving a predetermined sequence of synchronization confirmation client messages, the client device 370 responds to the gateway device 310 with a confirmation client message 486. The confirmation client message 486 includes a source port identifier with a device port number associated with the device port 377 (n) for the client device 370, which can be used by the client device 370 to indicate to the gateway device 310 which device port for the client device 370 will be used for connecting to a gateway device 310 to establish a communication channel. The acknowledgment client message 486 also includes a destination port identifier with a client port number associated with the client port 317 (4) of the gateway device 310 from which the acknowledgment client messages 486 and 487 originated. If the gateway device 310 receives the client confirmation message 486, the client device 370 authenticates as an authorized client device on the client port 317 (4) of the gateway device 310, and a communication channel can be established between the client device 370 and the server 320 awaiting authentication of the server 320.

Согласно некоторым вариантам осуществления изобретения, канал связи между устройством 310 шлюза и сервером 320 может устанавливаться с использованием заранее заданной последовательности сообщений, которая включает в себя заранее заданную последовательность серверных сообщений синхронизации, и/или заранее заданную последовательность серверных сообщений синхронизации-подтверждения, и/или заранее заданную последовательность серверных сообщений подтверждения. Сервер 320 аутентификации обеспечивает устройство 310 шлюза возможностью аутентифицировать устройства на обоих концах линии связи для обеспечения, что и устройство-отправитель, и устройство-получатель передачи, передаваемой через устройство 310 шлюза, являются устройствами, которые авторизованы для осуществления связи друг с другом.According to some embodiments of the invention, the communication channel between the gateway device 310 and the server 320 may be established using a predetermined sequence of messages that includes a predetermined sequence of server synchronization messages, and / or a predetermined sequence of server synchronization confirmation messages, and / or a predefined sequence of server confirmation messages. The authentication server 320 provides the gateway device 310 with the ability to authenticate devices at both ends of the communication line to ensure that both the sending device and the receiving device of the transmission transmitted through the gateway device 310 are devices that are authorized to communicate with each other.

В примере осуществления как показано на фиг.4, заранее заданная последовательность сообщений для установления канала связи между устройством 310 шлюза и сервером 320 включает в себя и заранее заданную последовательность сообщений синхронизации, и заранее заданную последовательность сообщений синхронизации-подтверждения. В качестве примера заранее заданная последовательность сообщений, используемых для аутентификации сервера 320, может включать в себя следующее: (1) серверное сообщение синхронизации, принимаемое на серверном порте 329(4) сервера 320; (2) серверное сообщение синхронизации, принимаемое на порте сервера 329(1) сервера 320; (3) серверное сообщение синхронизации, принимаемое на серверном порте 329(n) сервера 320; (4) серверное сообщение синхронизации-подтверждения, принимаемое на хост-порте 319(n) устройства 310 шлюза; и (5) серверное сообщение синхронизации-подтверждения, принятое на хост-порте 319(4) устройства 310 шлюза.In the embodiment as shown in FIG. 4, a predetermined message sequence for establishing a communication channel between the gateway device 310 and the server 320 includes both a predetermined synchronization message sequence and a predetermined synchronization confirmation message sequence. As an example, a predetermined sequence of messages used to authenticate server 320 may include the following: (1) a server synchronization message received on server port 329 (4) of server 320; (2) a server synchronization message received on a server port 329 (1) of a server 320; (3) a server synchronization message received on server port 329 (n) of server 320; (4) a server synchronization confirmation message received on the host port 319 (n) of the gateway device 310; and (5) a server synchronization confirmation message received on the host port 319 (4) of the gateway device 310.

В этом примере осуществления сервер 320 аутентифицируется, чтобы быть авторизованным хост-устройством для осуществления связи с клиентским устройством, если сервер 320 не отвечает на серверное сообщение синхронизации до тех пор, пока полная заранее заданная последовательность серверных сообщений синхронизации не была отправлена на сервер 320, и если вышеупомянутая заранее заданная последовательность серверных сообщений синхронизации-подтверждения принята от сервера 320. Если какие-либо дополнительные промежуточные сообщения между устройством 310 шлюза и сервером 320 передаются в течение вышеупомянутой последовательности сообщений, или если полная последовательность сообщений (и последовательность серверных сообщений синхронизации, и последовательность серверных сообщений синхронизации-подтверждения) не принимается соответствующими устройствами, то устройство 310 шлюза может отказать серверу 320 в отправке или приеме сообщений на клиентское устройство 370 и от него. Следует понимать, что заранее заданная последовательность сообщений не ограничивается конкретным примером, приведенным выше, и что в других вариантах осуществления заранее заданная последовательность сообщений может включать в себя другое количество серверных сообщений синхронизации, посылаемых на другой порядок серверных портов на сервере 320 и/или другое количество сообщений синхронизации-подтверждения сервера, принимаемых в другом порядке портов-хостов на устройстве 310 шлюза. Кроме того, заранее заданная последовательность сообщений может альтернативно или дополнительно включать в себя заранее заданную последовательность серверных сообщений подтверждения.In this embodiment, the server 320 is authenticated to be an authorized host device to communicate with the client device if the server 320 does not respond to the server synchronization message until a complete predetermined sequence of server synchronization messages has been sent to the server 320, and if the aforementioned predetermined sequence of server messages synchronization-confirmation is received from the server 320. If any additional intermediate messages between devices The gateway property 310 and the server 320 are transmitted during the aforementioned message sequence, or if the complete message sequence (both the synchronization server message sequence and the synchronization-acknowledgment server message sequence) is not received by the respective devices, then the gateway device 310 may refuse sending or receiving to the server 320 messages to and from client device 370. It should be understood that the predetermined message sequence is not limited to the specific example above, and that in other embodiments, the predetermined message sequence may include a different number of server synchronization messages sent to a different order of server ports on the server 320 and / or a different number Server synchronization-acknowledgment messages received in a different order of the host ports on the gateway device 310. In addition, a predetermined sequence of messages may alternatively or additionally include a predetermined sequence of server acknowledgment messages.

Устройство 310 шлюза инициирует процесс аутентификации сервера 320 отправкой серверного сообщения 491 синхронизации на сервер 320. Серверное сообщение 491 синхронизации включает в себя идентификатор порта источника с номером хост-порта, связанным с хост-портом 319(2) устройства 310 шлюза, и идентификатор порта назначения с номером порта сервера, связанным с серверным портом 329(4) сервера 320 в соответствии с заранее заданной последовательностью серверных сообщений синхронизации для этого примера осуществления. Когда сервер 320 принимает серверное сообщение 491 синхронизации на серверном порте 329(4), сервер 320 первоначально не отвечает на серверное сообщение 491 синхронизации. Устройство 310 шлюза затем отправляет второе клиентское сообщение 492 синхронизации из хост-порта 319(2) на серверный порт 329(n) сервера 320 согласно заранее заданной последовательности серверных сообщений синхронизации. Поскольку не все сообщения в заранее заданной последовательности клиент-серверных сообщений синхронизации, принятых сервером 320, сервер 320 не отвечает на это второе серверное сообщение 492 синхронизации также.The gateway device 310 initiates the authentication process of the server 320 by sending the synchronization server message 491 to the server 320. The synchronization server message 491 includes a source port identifier with a host port number associated with the host port 319 (2) of the gateway device 310, and a destination port identifier with a server port number associated with server port 329 (4) of server 320 in accordance with a predetermined sequence of server synchronization messages for this embodiment. When the server 320 receives the server synchronization message 491 on the server port 329 (4) , the server 320 does not initially respond to the server synchronization message 491. Gateway device 310 then sends a second synchronization client message 492 from host port 319 (2) to server port 329 (n) of server 320 according to a predetermined sequence of server synchronization messages. Since not all messages in a predetermined sequence of client-server synchronization messages received by server 320, server 320 does not respond to this second server synchronization message 492 either.

Затем, устройство 310 шлюза осуществляет отправку третьего серверного сообщения синхронизации 493 от хост-порта 319(2) на серверный порт 329(n) сервера 320. Когда сервер 320 принимает серверное сообщение синхронизации 493, в ответ на прием заранее заданной последовательности серверных сообщений синхронизации, сервер 320 отвечает устройству 310 шлюза серверным сообщением 494 синхронизации-подтверждения. Если устройство 310 шлюза получает серверное сообщение синхронизации-подтверждения от хост-устройства (например, сервера хост-сети) в ответ на серверные сообщения 491 или 492 синхронизации до отправки устройством 310 шлюза серверного сообщения 493 синхронизации, устройство 310 шлюза может определить, что хост-устройство не является авторизованным хост-устройством, поскольку авторизованное хост-устройство не отправляет серверное сообщение синхронизации-подтверждения, пока заранее заданная последовательность серверных сообщений синхронизации не будет принята.Then, the gateway device 310 sends the third server synchronization message 493 from the host port 319 (2) to the server port 329 (n) of the server 320. When the server 320 receives the server synchronization message 493, in response to receiving a predetermined sequence of server synchronization messages, the server 320 responds to the gateway device 310 with a synchronization acknowledgment server message 494. If the gateway device 310 receives the server synchronization confirmation message from the host device (eg, the host network server) in response to the server synchronization messages 491 or 492 before the gateway device 310 sends the synchronization server message 493, the gateway device 310 can determine that the host the device is not an authorized host device because the authorized host device does not send a server synchronization confirmation message until a predetermined sequence of server synchronization messages and will not be accepted.

Возвращаясь на фиг.4, серверное сообщение 394 синхронизации-подтверждения включает в себя идентификатор порта источника с номером порта сервера, связанным с портом сервера 329(1) сервера 320, который может использоваться сервером 320 для указания устройству 310 шлюза, какой серверный порт сервера 320 примет соединение с устройством 310 шлюза для установления канала связи. Серверное сообщение 394 синхронизации-подтверждения также включает в себя идентификатор порта назначения с номером хост-порта, связанным с хост-портом 319(n) устройства 310 шлюза в соответствии с заранее заданной последовательностью серверных сообщений синхронизации-подтверждения в этом примере осуществления.Returning to FIG. 4, the synchronization acknowledgment server message 394 includes a source port identifier with a server port number associated with a server port 329 (1) of the server 320, which can be used by the server 320 to indicate to the gateway device 310 which server port of the server 320 will accept a connection with the gateway device 310 to establish a communication channel. The acknowledgment synchronization server message 394 also includes a destination port identifier with a host port number associated with the host port 319 (n) of the gateway device 310 in accordance with a predetermined sequence of acknowledgment synchronization server messages in this embodiment.

При приеме серверного сообщения 394 синхронизации-подтверждения на хост-порте 319(n), устройство 310 шлюза первоначально не отвечает на сообщение 394 синхронизации-подтверждения, поскольку заранее заданная последовательность серверных сообщений синхронизации-подтверждения еще не была принята устройством 310 шлюза. Затем сервер 320 отправляет второе сообщение 495 синхронизации-подтверждения из серверного порта 329(1) на хост-порт 319(4) устройства 310 шлюза в соответствии с заранее заданной последовательностью серверных сообщений синхронизации-подтверждения. При приеме серверного сообщения 495 синхронизации-подтверждения в ответ на прием всех сообщений из заранее заданной последовательности серверных сообщений синхронизации-подтверждения, устройство 310 шлюза отвечает на сервер 320 серверным сообщением 496 подтверждения. Следует отметить, что, если устройство 310 шлюза никогда не принимает сообщение 495 синхронизации-подтверждения сервера или терпит неудачу в его приеме по течению заранее заданного времени, то устройство 310 шлюза может определить, что сервер может являться неавторизованным хост-устройством, и отказать в установлении канала связи к серверу 320.Upon receiving the server synchronization confirmation message 394 on the host port 319 (n) , the gateway device 310 does not initially respond to the synchronization confirmation message 394, since a predetermined sequence of server synchronization confirmation messages has not yet been received by the gateway device 310. Then, the server 320 sends a second synchronization confirmation message 495 from the server port 329 (1) to the host port 319 (4) of the gateway device 310 in accordance with a predetermined sequence of server synchronization confirmation messages. Upon receiving the server synchronization confirmation message 495 in response to receiving all messages from a predetermined sequence of server synchronization confirmation messages, the gateway device 310 responds to the server 320 with a server confirmation message 496. It should be noted that if the gateway device 310 never receives the server synchronization confirmation message 495 or fails to receive it over a predetermined time, then the gateway device 310 may determine that the server may be an unauthorized host device and refuse to establish communication channel to server 320.

Возвращаясь на фиг.4, серверное сообщение 496 подтверждения включает в себя идентификатор порта источника с номером порта, связанным с хост-портом 319(3) устройства 310 шлюза, который может использоваться устройством 310 шлюза для указания серверу 320, какой хост-порт устройства 310 шлюза примет соединение с сервером 320 для установления канала связи. Серверное сообщение 496 подтверждения также включает в себя идентификатор порта назначения с номером порта сервера, связанным с серверным портом 329(1) сервера 320, от которого исходили серверные сообщения 494 и 495 синхронизации-подтверждения. Сервер 320 затем аутентифицируется в качестве авторизованного хост-устройства на порте узла 319(2) устройства 310 шлюза, и канал связи может быть установлен между клиентским устройством 370 и сервером 320 в ожидании аутентификации клиентского устройства 370.Returning to FIG. 4, the server confirmation message 496 includes a source port identifier with a port number associated with a host port 319 (3) of the gateway device 310, which can be used by the gateway device 310 to indicate to the server 320 which host port of the device 310 the gateway will accept a connection with server 320 to establish a communication channel. The confirmation server message 496 also includes a destination port identifier with a server port number associated with the server port 329 (1) of the server 320, from which the synchronization-acknowledgment server messages 494 and 495 originated. Server 320 is then authenticated as an authorized host on the port of node 319 (2) of gateway device 310, and a communication channel can be established between client device 370 and server 320 awaiting authentication of client device 370.

Как только и клиентское устройство 370, и сервер 320 аутентифицируются устройством 310 шлюза как авторизованные устройства, которым позволяется осуществлять связь друг с другом, устройство 310 шлюза устанавливает канал связи между клиентским устройством 370 и сервером 320 через устройство 310 шлюза. Клиентское устройство 370 может затем отправлять и принимать сообщения на сервер 320 и от него на установленном канале связи через устройство 310 шлюза.Once both the client device 370 and the server 320 are authenticated by the gateway device 310 as authorized devices that are allowed to communicate with each other, the gateway device 310 establishes a communication channel between the client device 370 and the server 320 through the gateway device 310. Client device 370 may then send and receive messages to and from server 320 on an established communication channel through gateway device 310.

Согласно различным вариантам осуществления, канал связи, который устанавливается между клиентским устройством 370 и сервером 320, может быть защищенным каналом связи, который несет зашифрованные пользовательские сообщения или пользовательские сообщения, защищенные хэш-кодами или кодами аутентификации сообщений. Это дает добавочный уровень защищенности, чтобы обеспечивать отправку только действительных сообщений, исходящих от устройства пользователя, на сервер 320 от клиентского устройства 370. Например, пользовательские сообщения от устройства пользователя могут приниматься клиентским устройством 370 в зашифрованной форме и/или добавлять MAC/хэш-коды к пользовательским сообщениям. Когда клиентское устройство 370 передает эти пользовательские сообщения на устройство 310 шлюза, устройство 310 шлюза не передает эти пользовательские сообщения на сервер 320 автоматически без проверки. Вместо этого устройство 310 шлюза может расшифровывать пользовательские сообщения, используя симметричный или асимметричный криптографический ключ, который соответствует криптографическому ключу, используемому пользовательским устройством для шифрования сообщений, чтобы определять, исходят ли пользовательские сообщения от авторизованного устройства пользователя. Если расшифровывание выявляет пользовательские сообщения, которые представлены в неожидаемом или неизвестном формате, устройство 310 шлюза может отбрасывать пользовательские сообщения для предотвращения прохождения неавторизованных или нежелательных сообщений к серверу 320. Устройство 310 шлюза может также формировать MAC/хэш-коды принятых пользовательских сообщений и верифицировать, что MAC/хэш-коды в принятых пользовательских сообщениях соответствуют сформированным кодам. Если сформированные MAC/хэш-коды не соответствуют принятым MAC/хэш-кодам, устройство 310 шлюза может отбрасывать пользовательские сообщения для предотвращения прохождения неавторизованных или нежелательных сообщений к серверу 320. Кроме того, устройство 310 шлюза может также повторно зонировать пользовательские сообщения для передачи в хост-сети путем повторного шифрования пользовательских сообщений и/или добавления или замены MAC/хэш-кодов пользовательских сообщений в соответствии с протоколами системы защиты в хост-сети.According to various embodiments, the communication channel that is established between the client device 370 and the server 320 may be a secure communication channel that carries encrypted user messages or user messages protected by hash codes or message authentication codes. This provides an added level of security to ensure that only valid messages from the user device are sent to server 320 from client device 370. For example, user messages from user device can be received in encrypted form by client device 370 and / or add MAC / hash codes to custom posts. When the client device 370 transmits these user messages to the gateway device 310, the gateway device 310 does not automatically transmit these user messages to the server 320 without verification. Instead, the gateway device 310 can decrypt user messages using a symmetric or asymmetric cryptographic key that corresponds to the cryptographic key used by the user device to encrypt messages to determine if user messages are coming from an authorized user device. If the decryption detects user messages that are in an unexpected or unknown format, the gateway device 310 may discard user messages to prevent unauthorized or unwanted messages from reaching the server 320. The gateway device 310 may also generate MAC / hashes of received user messages and verify that The MAC / hash codes in the received user messages correspond to the generated codes. If the generated MAC / hash codes do not match the received MAC / hash codes, the gateway device 310 may discard user messages to prevent unauthorized or unwanted messages from passing to the server 320. In addition, the gateway device 310 may also re-zone user messages for transmission to the host -networks by re-encrypting user messages and / or adding or replacing MAC / hashes of user messages in accordance with host system security protocols.

В примере осуществления сервер 320 может быть сервером финансового или банковского предприятия, и хост-сеть является сетью обработки платежей. В одном варианте осуществления клиентское устройство 310 может быть коммуникационно связано с сетью поставщика услуг беспроводной связи или сетью оператора мобильной связи, и пользовательские сообщения, которые клиентское устройство 310 передает на сервер 320, являются пользовательскими сообщениями, которые исходили от мобильного устройства, такого как мобильный телефон, в виде сообщений службы коротких сообщений (SMS) или сообщений неструктурированных дополнительных служебных данных (USSD). В другом варианте осуществления клиентское устройство 310 может быть коммуникационно связано с коммерческой сетью, и пользовательскими сообщениями, которые клиентское устройство 310 передает на сервер 320, являются пользовательскими сообщениями, которые исходили от мобильного устройства, такого как мобильный телефон, в виде радиочастотных (RF) передач или передач беспроводной связи малого радиуса действия (стандарта NFC), которые мобильное устройство отправило на терминал торговой точки (POS) коммерсанта. Пользовательские сообщения в этих и других вариантах осуществления могут быть сообщениями, которые связываются с платежными транзакциями, такими как платежная транзакция/запросы авторизации.In an embodiment, server 320 may be a server of a financial or banking enterprise, and the host network is a payment processing network. In one embodiment, the client device 310 may be in communication with a wireless service provider's network or a mobile operator’s network, and the user messages that the client device 310 transmits to the server 320 are user messages that originated from a mobile device, such as a mobile phone , in the form of short message service (SMS) messages or unstructured supplementary service data (USSD) messages. In another embodiment, the client device 310 may be in communication with the commercial network, and the user messages that the client device 310 transmits to the server 320 are user messages that originated from a mobile device, such as a mobile phone, in the form of radio frequency (RF) transmissions or short-range wireless communications (NFC standard) that the mobile device has sent to the merchant’s point of sale (POS) terminal. User messages in these and other embodiments may be messages that are associated with payment transactions, such as payment transaction / authorization requests.

Дополнительные варианты осуществления последовательности сообщенийAdditional embodiments of the message sequence

Хотя в вышеупомянутом описании различных вариантов осуществления, заранее заданная последовательность сообщений была описана с точки зрения последовательности сообщений, принимаемых в заранее заданном порядке портов назначения, или другими словами - последовательности сообщений, имеющих заранее заданный порядок идентификаторов портов назначения, заранее заданная последовательность сообщений, используемая для аутентификации устройства, не ограничивается таковой. В других вариантах осуществления заранее заданная последовательность сообщений может альтернативно или дополнительно включать в себя заранее заданный порядок идентификаторов портов источника или посылаться на основе заранее заданного порядка исходных портов.Although in the above description of various embodiments, a predetermined message sequence has been described in terms of a sequence of messages received in a predetermined order of destination ports, or in other words, a sequence of messages having a predetermined order of destination port identifiers, a predetermined message sequence used for device authentication is not limited to that. In other embodiments, a predetermined sequence of messages may alternatively or additionally include a predetermined order of source port identifiers, or sent based on a predetermined order of source ports.

Фиг.5A-C каждая иллюстрирует заранее заданную последовательность сообщений, которые могут использоваться устройством 510 шлюза, чтобы аутентифицировать устройство-отправитель 590, согласно различным вариантам осуществления. Хотя заранее заданная последовательность сообщений показана включающей в себя три сообщения, следует оценить, что заранее заданная последовательность сообщений может включать в себя любое количество сообщений, например, два или большее количество сообщений, пять или большее количество сообщений, или десять или большее количество сообщений. Устройство-отправитель 590 может быть клиентским устройством клиентской сети, хост-устройством, таким как сервер в хост-сети устройства 510 шлюза, или другим типом устройства, пытающегося установить канал связи через устройство 510 шлюза. Устройство-отправитель 590 включает в себя интерфейс 595 порта отправителя с логическими портами отправителя для обеспечения интерфейса к устройству 510 шлюза. Устройство 510 шлюза может быть устройством шлюза по любому из вариантов осуществления, описанных выше. Устройство 510 шлюза включает в себя, по меньшей мере, один интерфейс 515 порта шлюза с логическими портами шлюза для обеспечения интерфейса к устройству-отправителю 590. В вариантах осуществления, в которых устройство-отправитель 590 является клиентским устройством в клиентской сети, интерфейс 515 порта шлюза может быть интерфейсом порта клиента, и порты шлюза могут быть логическими портами клиента. В вариантах осуществления, в которых устройство-отправитель 590 является сервером или другим типом устройства в хост-сети, интерфейс 515 порта шлюза может быть интерфейсом хост-порта, и порты шлюза могут быть логическими хост-портами.5A-C each illustrate a predetermined sequence of messages that can be used by the gateway device 510 to authenticate the sending device 590, according to various embodiments. Although a predetermined message sequence is shown to include three messages, it should be appreciated that a predetermined message sequence may include any number of messages, for example, two or more messages, five or more messages, or ten or more messages. The sending device 590 may be a client device of the client network, a host device, such as a server in the host network of the gateway device 510, or another type of device trying to establish a communication channel through the gateway device 510. The sending device 590 includes a sender port interface 595 with sender logical ports to provide an interface to the gateway device 510. The gateway device 510 may be a gateway device according to any one of the embodiments described above. The gateway device 510 includes at least one gateway port interface 515 with gateway logical ports to provide an interface to the sending device 590. In embodiments where the sending device 590 is a client device in the client network, the gateway port interface 515 can be a client port interface, and gateway ports can be logical client ports. In embodiments in which the sending device 590 is a server or other type of device in the host network, the gateway port interface 515 may be a host port interface, and the gateway ports may be logical host ports.

На фиг.5A иллюстрируется заранее заданная последовательность сообщений, которая посылается от устройства-отправителя 590 на устройство 510 шлюза, согласно одному варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью клиентских сообщений синхронизации, заранее заданной последовательностью серверных сообщений синхронизации-подтверждения или заранее заданной последовательностью клиентских сообщений подтверждения. Заранее заданная последовательность сообщений посылается от одного и того же порта отправителя устройства-отправителя 590, который может быть любым из портов отправителя в интерфейсе 595 порта отправителя, и посылается и принимается в заранее заданном порядке портов шлюза в устройстве 510 шлюза. Заранее заданный порядок портов шлюза может быть любым порядком портов шлюза, и свыше одного сообщения может отправляться на тот же порт шлюза. Таким образом, согласно варианту осуществления как показано на фиг.5A, заранее заданная последовательность сообщений может включать в себя сообщения, имеющие такой же идентификатор порта источника, идентифицирующий порт отправителя устройства-отправителя 590, и заранее заданный порядок идентификаторов портов назначения, идентифицирующих заранее заданный порядок портов шлюза для устройства 510 шлюза.5A illustrates a predetermined message sequence that is sent from the sending device 590 to the gateway device 510, according to one embodiment. A predetermined message sequence may be, for example, a predetermined sequence of client synchronization messages, a predetermined sequence of server synchronization acknowledgment messages, or a predetermined sequence of client confirmation messages. A predetermined sequence of messages is sent from the same sender port of the sending device 590, which can be any of the sender ports on the sender port interface 595, and is sent and received in a predetermined order of the gateway ports in the gateway device 510. The predefined order of gateway ports can be any order of gateway ports, and more than one message can be sent to the same gateway port. Thus, according to an embodiment, as shown in FIG. 5A, a predetermined message sequence may include messages having the same source port identifier identifying the sender port of the sending device 590, and a predetermined order of destination port identifiers identifying the predetermined order gateway ports for gateway device 510.

На фиг.5B иллюстрируется заранее заданная последовательность сообщений, которая посылается от устройства-отправителя 590 на устройство 510 шлюза, согласно другому варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью клиентских сообщений синхронизации, заранее заданной последовательностью серверных сообщений синхронизации-подтверждения или заранее заданной последовательностью клиентских сообщений подтверждения. Заранее заданная последовательность сообщений посылается из имеющих заранее заданный порядок портов отправителя для устройства-отправителя 590. Заранее заданный порядок портов отправителя может быть любым порядком портов отправителя в интерфейсе 595 порта отправителя, и более чем одно сообщение может отправляться с одного и того же порта отправителя. Каждое сообщение в заранее заданном порядке сообщений посылается и принимается на том же порте шлюза устройства 510 шлюза, который может быть любым из портов шлюза в интерфейсе 595 порта шлюза в устройстве 510 шлюза. Таким образом, согласно варианту осуществления, как показано на фиг.5B, заранее заданная последовательность сообщений может включать в себя сообщения, которые имеют заранее заданный порядок идентификаторов портов источника, идентифицирующих заранее заданный порядок портов отправителя в устройстве-отправителе 590, и такой же идентификатор порта назначения, идентифицирующий порт шлюза в устройстве 510 шлюза.5B illustrates a predetermined message sequence that is sent from the sending device 590 to the gateway device 510, according to another embodiment. A predetermined message sequence may be, for example, a predetermined sequence of client synchronization messages, a predetermined sequence of server synchronization acknowledgment messages, or a predetermined sequence of client confirmation messages. A predefined sequence of messages is sent from predefined sender ports for sender device 590. A predefined sender port order can be any order of sender ports on sender port interface 595, and more than one message can be sent from the same sender port. Each message in a predetermined message order is sent and received on the same gateway port of the gateway device 510, which can be any of the gateway ports on the gateway port interface 595 in the gateway device 510. Thus, according to an embodiment, as shown in FIG. 5B, a predetermined sequence of messages may include messages that have a predetermined order of source port identifiers identifying a predetermined order of sender ports in the sender device 590, and the same port identifier destination identifying the gateway port in the gateway device 510.

На фиг.5C иллюстрируется заранее заданная последовательность сообщений, которая посылается от устройства-отправителя 590 на устройство 510 шлюза, согласно следующему варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью клиентских сообщений синхронизации, заранее заданной последовательностью серверных сообщений синхронизации-подтверждения или заранее заданной последовательностью клиентских сообщений подтверждения. Заранее заданная последовательность сообщений посылается из имеющих заранее заданный порядок портов отправителя устройства-отправителя 590. Заранее заданный порядок портов отправителя может быть любым порядком портов отправителя в интерфейсе 595 порта отправителя, и более чем одно сообщение может отправляться из того же порта отправителя. Заранее заданная последовательность сообщений посылается и принимается на имеющих заранее заданный порядок портах шлюза в устройстве 510 шлюза. Заранее заданный порядок портов шлюза отправителя может быть любым порядком портов шлюза в интерфейсе 515 порта шлюза, и более одного сообщения может отправляться и приниматься на том же порте шлюза. Таким образом, согласно варианту осуществления, как показано на фиг.5C, заранее заданная последовательность сообщений может включать в себя сообщения, которые имеют заранее заданный порядок идентификаторов портов источника, идентифицирующих заранее заданный порядок портов отправителя в устройстве-отправителе 590, и заранее заданный порядок идентификаторов портов назначения, идентифицирующих заранее заданный порядок портов шлюза устройства 510 шлюза.5C illustrates a predetermined message sequence that is sent from the sending device 590 to the gateway device 510, according to the following embodiment. A predetermined message sequence may be, for example, a predetermined sequence of client synchronization messages, a predetermined sequence of server synchronization acknowledgment messages, or a predetermined sequence of client confirmation messages. A predetermined sequence of messages is sent from the sender ports of the sending device 590 having a predefined order. The predetermined order of the sender ports can be any order of sender ports in the sender port interface 595, and more than one message can be sent from the same sender port. A predetermined sequence of messages is sent and received at a predetermined order of the gateway ports in the gateway device 510. The predefined sender gateway port order can be any gateway port order in the gateway port interface 515, and more than one message can be sent and received on the same gateway port. Thus, according to an embodiment, as shown in FIG. 5C, a predetermined sequence of messages may include messages that have a predetermined order of source port identifiers identifying a predetermined order of sender ports in the sender device 590, and a predetermined order of identifiers destination ports identifying a predetermined gateway port order of the gateway device 510.

Фиг.6A-C являются иллюстрациями заранее заданной последовательности сообщений, которые могут использоваться устройством 610 шлюза для аутентификации устройства 690 получателя, согласно различным вариантам осуществления. Хотя заранее заданная последовательность сообщений показана включающей в себя три сообщения, следует оценить, что заранее заданная последовательность сообщений может включать в себя любое количество сообщений, например, два или большее количество сообщений, пять или большее количество сообщений, или десять или большее количество сообщений. Устройство 690 получателя может быть клиентским устройством в клиентской сети, хост-устройством, таким как сервер в хост-сети устройства 610 шлюза, или другим типом устройства, с которым устройство 610 шлюза осуществляет попытку установления канала связи. Устройство 690 получателя включает в себя интерфейс 695 порта получателя с логическими портами получателя для обеспечения интерфейса к устройству 610 шлюза. Устройство 610 шлюза может быть устройством шлюза по любому из вариантов осуществления, описанных выше. Устройство 610 шлюза включает в себя, по меньшей мере, один интерфейс 615 порта шлюза с логическими портами шлюза для обеспечения интерфейса для устройства 690 получателя. В вариантах осуществления, в которых устройство 690 получателя является клиентским устройством в клиентской сети, интерфейс 615 порта шлюза может быть интерфейсом порта клиента, и порты шлюза могут быть логическими портами клиента. В вариантах осуществления, в которых устройство 690 получателя является сервером или другим типом устройства в хост-сети, интерфейс 515 порта шлюза может быть интерфейсом хост-порта, и порты шлюза могут быть логическими хост-портами.6A-C are illustrations of a predetermined sequence of messages that can be used by a gateway device 610 to authenticate a recipient device 690, according to various embodiments. Although a predetermined message sequence is shown to include three messages, it should be appreciated that a predetermined message sequence may include any number of messages, for example, two or more messages, five or more messages, or ten or more messages. The recipient device 690 may be a client device in the client network, a host device, such as a server in the host network of the gateway device 610, or another type of device with which the gateway device 610 attempts to establish a communication channel. The receiver device 690 includes a receiver port interface 695 with receiver logical ports to provide an interface to the gateway device 610. The gateway device 610 may be a gateway device according to any one of the embodiments described above. The gateway device 610 includes at least one gateway port interface 615 with gateway logical ports to provide an interface for the recipient device 690. In embodiments in which the recipient device 690 is a client device in a client network, the gateway port interface 615 may be a client port interface, and the gateway ports may be logical client ports. In embodiments in which the recipient device 690 is a server or other type of device in the host network, the gateway port interface 515 may be a host port interface, and the gateway ports may be logical host ports.

На фиг.6A иллюстрируется заранее заданная последовательность сообщений, которая посылается от устройства 610 шлюза на устройство 690 получателя, согласно одному варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью серверных сообщений синхронизации, заранее заданной последовательностью клиентских сообщений синхронизации-подтверждения, или заранее заданной последовательностью серверных сообщений подтверждения. Заранее заданная последовательность сообщений посылается от того же порта шлюза в устройстве 610 шлюза, который может быть любым портом из портов шлюза в интерфейсе порта шлюза 615, и посылается и принимается в заранее заданном порядке портов назначения на устройстве 690 получателя. Заранее заданный порядок портов назначения может быть любым порядком портов назначения, и более одного сообщение может отправляться на один и тот же порт получателя. Таким образом, согласно варианту осуществления, как показано на фиг.6A, заранее заданная последовательность сообщений может включать в себя сообщения, которые имеют такой же идентификатор порта источника, идентифицирующий порт шлюза устройства 610 шлюза, и заранее заданный порядок идентификаторов портов назначения, идентифицирующих заранее заданный порядок портов назначения для устройства 590 получателя.6A illustrates a predetermined message sequence that is sent from the gateway device 610 to the recipient device 690, according to one embodiment. The predetermined message sequence may be, for example, a predetermined sequence of server synchronization messages, a predetermined sequence of client synchronization confirmation messages, or a predetermined sequence of server confirmation messages. A predetermined sequence of messages is sent from the same gateway port in the gateway device 610, which can be any port from the gateway ports in the gateway port interface 615, and is sent and received in a predetermined order of the destination ports on the recipient device 690. The predefined order of destination ports can be any order of destination ports, and more than one message can be sent to the same recipient port. Thus, according to an embodiment, as shown in FIG. 6A, a predetermined message sequence may include messages that have the same source port identifier identifying the gateway port of the gateway device 610, and a predetermined order of destination port identifiers identifying the predetermined destination port order for destination device 590.

Фиг.6B иллюстрирует заранее заданную последовательность сообщений, которая посылается от устройства 610 шлюза на устройство 690 получателя, согласно другому варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью серверных сообщений синхронизации, заранее заданной последовательностью клиентских сообщений синхронизации-подтверждения или заранее заданной последовательностью серверных сообщений подтверждения. Заранее заданная последовательность сообщений посылается из имеющих заранее заданный порядок портов шлюза в устройстве 610 шлюза. Заранее заданный порядок портов шлюза может быть любым порядком портов шлюза в интерфейсе 615 порта шлюза, и более одного сообщения может отправляться от одного и того же порта шлюза. Каждое сообщение в заранее заданном порядке сообщений посылается и принимается на одном и том же порте получателя устройства 690 получателя, который может быть любым портом из портов назначения в интерфейсе порта получателя 695 в устройстве 690 получателя. Таким образом, согласно варианту осуществления, как показано на Фиг.6B, заранее заданная последовательность сообщений может включать в себя сообщения, которые имеют заранее заданный порядок идентификаторов портов источника, идентифицирующих заранее заданный порядок портов шлюза устройства 610 шлюза, и такой же идентификатор порта назначения, идентифицирующего порт получателя устройства 690 получателя.6B illustrates a predetermined message sequence that is sent from the gateway device 610 to the recipient device 690, according to another embodiment. A predetermined message sequence may be, for example, a predetermined sequence of server synchronization messages, a predetermined sequence of client synchronization confirmation messages, or a predetermined sequence of server confirmation messages. A predetermined sequence of messages is sent from the predetermined order of the gateway ports in the gateway device 610. The predefined order of the gateway ports can be any order of the gateway ports in the gateway port interface 615, and more than one message can be sent from the same gateway port. Each message in a predetermined message order is sent and received on the same receiver port of the recipient device 690, which can be any port from the destination ports in the recipient port interface 695 in the recipient device 690. Thus, according to an embodiment, as shown in FIG. 6B, a predetermined message sequence may include messages that have a predetermined order of source port identifiers identifying a predefined order of gateway ports of the gateway device 610, and the same destination port identifier, identifying the receiver port of the receiver device 690.

На фиг.6C иллюстрируется заранее заданная последовательность сообщений, которая посылается от устройства 610 шлюза на устройство 690 получателя, согласно следующему варианту осуществления. Заранее заданная последовательность сообщений может быть, например, заранее заданной последовательностью серверных сообщений синхронизации, заранее заданной последовательностью клиентских сообщений синхронизации-подтверждения или заранее заданной последовательностью серверных сообщений подтверждения. Заранее заданная последовательность сообщений посылается из имеющих заранее заданный порядок портов шлюза устройства 610 шлюза. Заранее заданный порядок портов шлюза может быть любым порядком портов шлюза в интерфейсе 615 порта шлюза, и более одного сообщения может отправляться от одного и того же порта шлюза. Заранее заданная последовательность сообщений посылается и принимается на имеющих заранее заданный порядок портах назначения в устройстве 690 получателя. Заранее заданный порядок портов назначения может быть любым порядком портов назначения в интерфейсе порта получателя 695, и более одного сообщения может отправляться и приниматься на одном и том же порте получателя. Таким образом, согласно варианту осуществления, как показано на фиг.6C, заранее заданная последовательность сообщений может включать в себя сообщения, которые имеют заранее заданный порядок идентификаторов портов источника, идентифицирующих заранее заданный порядок портов шлюза устройства 610 шлюза, и заранее заданный порядок идентификаторов портов назначения, идентифицирующих заранее заданный порядок портов назначения устройства 690 получателя.6C illustrates a predetermined message sequence that is sent from the gateway device 610 to the recipient device 690, according to the following embodiment. A predetermined message sequence may be, for example, a predetermined sequence of server synchronization messages, a predetermined sequence of client synchronization confirmation messages, or a predetermined sequence of server confirmation messages. A predetermined sequence of messages is sent from the predetermined order of the gateway ports of the gateway device 610. The predefined order of the gateway ports can be any order of the gateway ports in the gateway port interface 615, and more than one message can be sent from the same gateway port. A predetermined sequence of messages is sent and received at destination ports in the destination device 690 in a predetermined order. The predetermined destination port order can be any order of destination ports in the destination port interface of the recipient 695, and more than one message can be sent and received on the same recipient port. Thus, according to an embodiment, as shown in FIG. 6C, a predetermined message sequence may include messages that have a predetermined order of source port identifiers identifying a predefined order of gateway ports of the gateway device 610, and a predetermined order of destination port identifiers identifying a predetermined order of destination ports of the recipient device 690.

Следует оценить, что в различных вариантах осуществления заранее заданная последовательность сообщений, используемых для аутентификации и установления канала связи между устройствами через устройство шлюза, может включать в себя комбинацию одного или нескольких вариантов осуществления, описанных выше. Например, заранее заданная последовательность сообщений, используемых для аутентификации и установления канала связи между двумя устройствами, может включать в себя комбинацию заранее заданных последовательностей сообщений синхронизации, включающих в себя: (1) последовательность сообщений синхронизации с одним и тем же идентификатором порта источника и заранее заданным порядком идентификаторов портов назначения; и (2) последовательность сообщений синхронизации с заранее заданным порядком идентификаторов портов источника и одинаковым идентификатором порта назначения. Заранее заданная последовательность сообщений, используемых для аутентификации и установления канала связи между двумя устройствами, может также включать в себя комбинацию различных заранее заданных последовательностей сообщений синхронизации и/или различных заранее заданные последовательностей сообщений синхронизации-подтверждения, и/или различных заранее заданных последовательностей сообщений подтверждения.It should be appreciated that in various embodiments, a predetermined sequence of messages used to authenticate and establish a communication channel between devices through a gateway device may include a combination of one or more of the embodiments described above. For example, a predetermined sequence of messages used to authenticate and establish a communication channel between two devices may include a combination of predefined sequences of synchronization messages, including: (1) a sequence of synchronization messages with the same source port identifier and a predetermined the order of the destination port identifiers; and (2) a sequence of synchronization messages with a predetermined order of source port identifiers and the same destination port identifier. A predetermined sequence of messages used to authenticate and establish a communication channel between the two devices may also include a combination of various predetermined sequences of synchronization messages and / or various predetermined sequences of synchronization acknowledgment messages and / or various predetermined sequences of confirmation messages.

Способы установления канала связиWays to establish a communication channel

На фиг.7 показана блок-схема 700 для установления канала связи между клиентским устройством, коммуникационно связанным с клиентским интерфейсом в устройстве шлюза, и хост-устройством, таким как сервер, коммуникационно связанным с хост-интерфейсом в устройстве шлюза, согласно различным вариантам осуществления. Следует понимать, что этапы 722-730 в интерфейсе стороны клиента могут выполняться независимо от и/или одновременно с этапами 742-750 в интерфейсе стороны хоста.7, a block diagram 700 is shown for establishing a communication channel between a client device communicatively coupled to a client interface in a gateway device and a host device such as a server communicatively coupled to a host interface in a gateway device according to various embodiments. It should be understood that steps 722-730 in the client side interface can be performed independently of and / or simultaneously with steps 742-750 in the host side interface.

Относительно клиентского интерфейса устройства шлюза, на этапе 722 устройство шлюза принимает клиентское сообщение от клиентского устройства на клиентском интерфейсе устройства шлюза. На этапе 724, устройство шлюза определяет, была ли принята заранее заданная последовательность клиентских сообщений, например, путем сравнения последовательности каких-либо ранее принятых клиентских сообщений вместе с клиентским сообщением, принятым на этапе 722, с заранее заданной последовательностью клиентских сообщений, запрограммированных в правилах доступа для устройства шлюза, которые(ую) устройство шлюза ожидает принимать от авторизованного клиентского устройства. Заранее заданная последовательность клиентских сообщений может быть одной любой последовательностью или комбинацией из заранее заданных последовательностей клиентских сообщений, описанных выше. В примере осуществления заранее заданная последовательность клиентских сообщений может быть заранее заданной последовательностью клиентских сообщений синхронизации. Если устройство шлюза определяет, что заранее заданная последовательность клиентских сообщений еще не была принята, то на этапе 726 устройство шлюза воздерживается от ответа на клиентское сообщение, и процесс переходит обратно на этап 722. Если устройство шлюза определяет, что полная заранее заданная последовательность клиентских сообщений была принята, то на этапе 728 устройство шлюза осуществляет отправку ответного клиентского сообщения. В одном примере осуществления ответное клиентское сообщение может быть клиентским сообщением синхронизации-подтверждения. Затем на этапе 730 устройство шлюза аутентифицирует клиентское устройство являющимся авторизованным клиентским устройством, которому позволяется осуществлять связь с хост-устройством в хост-сети, поскольку заранее заданная последовательность клиентских сообщений была принята от клиентского устройства.Regarding the client interface of the gateway device, at step 722, the gateway device receives a client message from the client device on the client interface of the gateway device. At step 724, the gateway device determines whether a predetermined sequence of client messages has been received, for example, by comparing the sequence of any previously received client messages with the client message received at step 722 with a predetermined sequence of client messages programmed in the access rules for a gateway device that the gateway device expects to receive from an authorized client device. A predetermined sequence of client messages can be any one sequence or combination of predefined sequences of client messages described above. In an embodiment, the predetermined sequence of client messages may be a predetermined sequence of client synchronization messages. If the gateway device determines that the predetermined sequence of client messages has not yet been received, then at step 726, the gateway device refrains from responding to the client message, and the process proceeds to step 722. If the gateway device determines that the complete predetermined sequence of client messages was accepted, then at step 728, the gateway device sends a response client message. In one embodiment, the response client message may be a sync-acknowledgment client message. Then, at step 730, the gateway device authenticates the client device to be an authorized client device that is allowed to communicate with the host device on the host network because a predetermined sequence of client messages was received from the client device.

Относительно хост-интерфейса устройства шлюза, устройство шлюза инициирует процесс аутентификации и установления соединения с хост-устройством, таким как сервер в хост-сети устройства шлюза, отправкой заранее заданной последовательности серверных сообщений из хост-интерфейса. На этапе 742 устройство шлюза начинает отправку заранее заданной последовательности серверных сообщений. Заранее заданная последовательность серверных сообщений может быть любой последовательностью или комбинацией последовательностей из заранее заданных последовательностей сообщений стороны сервера, описанных выше. В примере осуществления заранее заданная последовательность серверных сообщений может быть заранее заданной последовательностью серверных сообщений синхронизации. На этапе 744 устройство шлюза принимает ответное серверное сообщение от сервера на хост-интерфейсе. На этапе 746 устройство шлюза определяет, принимается ли ответное серверное сообщение только после завершения устройством шлюза отправки полной заранее заданной последовательности серверных сообщений. Другими словами, устройство шлюза определяет, принимается ли ответное серверное сообщение без какого-либо другого ответного серверного сообщения, принимаемого устройством шлюза в течение времени, когда устройство шлюза осуществляет отправку заранее заданной последовательности серверных сообщений. Если устройство шлюза определяет, что ответное серверное сообщение принимается до завершения устройством шлюза отправки заранее заданной последовательности серверных сообщений, то на этапе 750 устройство шлюза может отказать в установлении канала связи к серверу.Regarding the host interface of the gateway device, the gateway device initiates the process of authenticating and establishing a connection with the host device, such as a server in the host network of the gateway device, by sending a predetermined sequence of server messages from the host interface. At step 742, the gateway device starts sending a predetermined sequence of server messages. A predetermined sequence of server messages may be any sequence or combination of sequences of predefined server-side message sequences described above. In an embodiment, the predetermined sequence of server messages may be a predetermined sequence of server synchronization messages. At step 744, the gateway device receives a response server message from the server on the host interface. At step 746, the gateway device determines whether the response server message is received only after the gateway device completes sending the full predetermined sequence of server messages. In other words, the gateway device determines whether a server response message is received without any other server response message received by the gateway device during the time that the gateway device sends a predetermined sequence of server messages. If the gateway device determines that the response server message is received before the gateway device completes sending a predetermined sequence of server messages, then at step 750 the gateway device may refuse to establish a communication channel to the server.

В некоторых вариантах осуществления, на этапе 746 в дополнение к определению того, принимается ли ответное серверное сообщение только после завершения устройством шлюза отправки полной заранее заданной последовательности серверных сообщений, устройство шлюза может также определять, принимается ли ответное серверное сообщение в ответ на последнее серверное сообщение из заранее заданной последовательности серверных сообщений, например, путем сравнения порядкового номера подтверждения в ответном серверном сообщении с начальным порядковым номером последнего серверного сообщения из заранее заданной последовательности серверных сообщений. Ответное серверное сообщение принимается в ответ на последнее серверное сообщение, если порядковый номер подтверждения равен начальному порядковому номеру плюс единица. Если устройство шлюза определяет, что ответное серверное сообщение(я) не принимается в ответ на последнее серверное сообщение из заранее заданной последовательности серверных сообщений, устройство шлюза также может отказать в установлении канала связи к серверу на этапе 750.In some embodiments, at 746, in addition to determining whether the response server message is received only after the gateway device completes sending the full predetermined sequence of server messages, the gateway device can also determine whether the response server message is received in response to the last server message from a predetermined sequence of server messages, for example, by comparing the confirmation sequence number in the response server message with the initial order The last number of the last server message from the predefined sequence of server messages. The response server message is received in response to the last server message if the confirmation sequence number is equal to the initial sequence number plus one. If the gateway device determines that the response server message (s) is not received in response to the last server message from a predetermined sequence of server messages, the gateway device may also refuse to establish a communication channel to the server at step 750.

Если устройство шлюза определяет, что ответное серверное сообщение принимается только после завершения устройством шлюза отправки полной заранее заданной последовательности серверных сообщений, то на этапе 748 устройство шлюза аутентифицирует сервер как авторизованное хост-устройство, которому позволяется осуществлять связь с клиентским устройством, поскольку сервер не отвечал на серверные сообщения до тех, пока заранее заданная последовательность серверных сообщений не была отправлена на сервер. На этапе 790 устройство шлюза устанавливает канал связи между клиентским устройством и сервером через устройство шлюза, если и клиент, и сервер были аутентифицированы.If the gateway device determines that the response server message is received only after the gateway device completes sending the full predetermined sequence of server messages, then at step 748, the gateway device authenticates the server as an authorized host device that is allowed to communicate with the client device because the server did not respond server messages until a predetermined sequence of server messages has been sent to the server. At step 790, the gateway device establishes a communication channel between the client device and the server through the gateway device, if both the client and server have been authenticated.

В некоторых вариантах осуществления, до установления канала связи сервер может отправлять вызов-проверку криптографического ключа на устройство шлюза. Вызов-проверка криптографического ключа может включать в себя случайное число и запрос устройству шлюза зашифровать случайное число, используя криптографический ключ, который известен только авторизованным устройствам, которым позволяется отправлять пользовательские сообщения на сервер. Криптографический ключ может быть симметричным ключом или асимметричным ключом, предварительно загруженным в устройство шлюза. При приеме вызова-проверки криптографического ключа от сервера устройство шлюза осуществляет шифрование принятого случайного числа, используя запрошенный криптографический ключ, который был предварительно загружен в устройство шлюза, и осуществляет отправку зашифрованного случайного числа на сервер. Сервер затем расшифровывает принятое зашифрованное случайное число, используя симметричный ключ или асимметричный ключ, соответствующий криптографическому ключу. Если результат соответствует случайному числу, которое сервер предварительно отправил на устройство шлюза, то канал связи сервера устанавливается. Если результат соответствует случайному числу, которое сервер предварительно отправил на устройство шлюза, то канал связи устанавливается на этапе 790. Если результат не соответствует случайному числу, которое сервер ранее отправил, сервер может отказать в соединении с устройством шлюза. Подобный вызов-проверка криптографического ключа может также использоваться между клиентским устройством и устройством шлюза, если клиентское устройство включает в себя криптографические возможности.In some embodiments, prior to establishing a communication channel, the server may send a cryptographic key verification call to the gateway device. A cryptographic key verification call may include a random number and request the gateway device to encrypt the random number using a cryptographic key that is known only to authorized devices that are allowed to send user messages to the server. The cryptographic key may be a symmetric key or an asymmetric key preloaded into the gateway device. Upon receiving a call-check of the cryptographic key from the server, the gateway device encrypts the received random number using the requested cryptographic key, which was previously downloaded to the gateway device, and sends the encrypted random number to the server. The server then decrypts the received encrypted random number using a symmetric key or an asymmetric key corresponding to a cryptographic key. If the result corresponds to a random number that the server previously sent to the gateway device, then the server’s communication channel is established. If the result corresponds to a random number that the server previously sent to the gateway device, then the communication channel is established at step 790. If the result does not match the random number that the server previously sent, the server may refuse to connect to the gateway device. A similar cryptographic key verification call may also be used between the client device and the gateway device if the client device includes cryptographic capabilities.

На фиг.8 показана блок-схема 800 для аутентификации клиентского устройства для установления канала связи между клиентским устройством и сервером через устройство шлюза согласно альтернативному варианту осуществления. Клиентское устройство инициирует процесс установления канала связи отправкой клиентского сообщения синхронизации на устройство шлюза. На этапе 822 устройство шлюза принимает клиентское сообщение синхронизации на клиентском интерфейсе устройства шлюза. На этапе 824 устройство шлюза определяет, была ли принята заранее заданная последовательность клиентских сообщений синхронизации, которую устройство шлюза ожидает принимать от авторизованного клиентского устройства. Если заранее заданная последовательность клиентских сообщений синхронизации еще не была принята от клиентского устройства, то на этапе 826 устройство шлюза воздерживается от ответа на клиентское сообщение синхронизации, принятое на этапе 822, и не осуществляет отправку клиентского сообщения синхронизации-подтверждения, и процесс возвращается обратно на этап 822. Если устройство шлюза определяет, что заранее заданная последовательность клиентских сообщений синхронизации была принята от клиентского устройства, то на этапе 828 устройство шлюза начинает отправку заранее заданной последовательности клиентских сообщений синхронизации-подтверждения из клиентского интерфейса на клиентское устройство.FIG. 8 shows a flowchart 800 for authenticating a client device to establish a communication channel between a client device and a server through a gateway device according to an alternative embodiment. The client device initiates the process of establishing a communication channel by sending a client synchronization message to the gateway device. At step 822, the gateway device receives a client synchronization message on the client interface of the gateway device. At step 824, the gateway device determines whether a predetermined sequence of client synchronization messages has been received that the gateway device expects to receive from an authorized client device. If the predetermined sequence of client synchronization messages has not yet been received from the client device, then at step 826 the gateway device refrains from responding to the client synchronization message received at step 822 and does not send the client synchronization confirmation message, and the process returns to step 822. If the gateway device determines that a predetermined sequence of client synchronization messages has been received from the client device, then at step 828, the device The user starts sending a predetermined sequence of client synchronization-confirmation messages from the client interface to the client device.

Затем на этапе 830 устройство шлюза принимает клиентское сообщение подтверждения от клиентского устройства на клиентском интерфейсе. На этапе 832 устройство шлюза определяет, принимается ли клиентское сообщение подтверждения только после того, как устройство шлюза завершит отправку полной заранее заданной последовательности клиентских сообщений синхронизации-подтверждения. Другими словами, устройство шлюза определяет, принимается ли клиентское сообщение подтверждения без какого-либо другого клиентского сообщения подтверждения, принимаемого устройством шлюза в течение времени осуществления устройством шлюза отправки заранее заданной последовательности клиентских сообщений синхронизации-подтверждения. Если устройство шлюза определяет, что клиентское сообщение подтверждения принимается до завершения устройством шлюза отправки заранее заданной последовательности серверных сообщений, то на этапе 836 устройство шлюза может отказать в установлении канала связи с клиентским устройством.Then, at 830, the gateway device receives a client acknowledgment message from the client device on the client interface. At step 832, the gateway device determines whether a client acknowledgment message is received only after the gateway device completes sending the complete predetermined sequence of synchronization-acknowledgment client messages. In other words, the gateway device determines whether a client acknowledgment message is received without any other client acknowledgment message received by the gateway device during the time the gateway device sends a predetermined sequence of synchronization-acknowledgment client messages. If the gateway device determines that the client acknowledgment message is received before the gateway device completes sending a predetermined sequence of server messages, then at step 836, the gateway device may refuse to establish a communication channel with the client device.

В некоторых вариантах осуществления на этапе 830 в дополнение к определению того, принимается ли клиентское сообщение подтверждения только после завершения устройством шлюза отправки полной заранее заданной последовательности клиентских сообщений синхронизации-подтверждения, устройство шлюза может также определять, принимается ли клиентское сообщение подтверждения в ответ на последнее клиентское сообщение синхронизации-подтверждения из заранее заданной последовательности клиентских сообщений синхронизации-подтверждения, например, путем сравнения порядкового номера подтверждения в клиентском сообщении подтверждения с начальным порядковым номером последнего клиентского сообщения синхронизации-подтверждения из заранее заданной последовательности клиентских сообщений синхронизации-подтверждения. Клиентское сообщение подтверждения принимается в ответ на последнее клиентское сообщение синхронизации-подтверждения, если порядковый номер подтверждения является равным начальному порядковому номеру плюс единица. Если устройство шлюза определяет, что клиентское сообщение подтверждения не принимается в ответ на последнее клиентское сообщение синхронизации-подтверждения из заранее заданной последовательности клиентских сообщений синхронизации-подтверждения, устройство шлюза также может отказать в установлении канала связи с клиентским устройством на этапе 836.In some embodiments, at 830, in addition to determining whether a client acknowledgment message is received only after the gateway device completes sending the full predetermined sequence of client synchronization acknowledgment messages, the gateway device can also determine whether the client acknowledgment message is received in response to the last client an acknowledgment synchronization message from a predetermined sequence of acknowledgment synchronization client messages, for example er, by comparing the confirmation sequence number in the confirmation client message with the initial sequence number of the last synchronization-confirmation client message from a predetermined sequence of synchronization-confirmation client messages. The client confirmation message is received in response to the last client synchronization-confirmation message if the confirmation sequence number is equal to the initial sequence number plus one. If the gateway device determines that the client acknowledgment message is not received in response to the last client synchronization acknowledgment message from a predetermined sequence of synchronization acknowledgment client messages, the gateway device may also refuse to establish a communication channel with the client device at 836.

Если устройство шлюза определяет, что клиентское сообщение подтверждения принимается только после завершения устройством шлюза отправки заранее заданной последовательности клиентских сообщений синхронизации-подтверждения, то на этапе 834 устройство шлюза аутентифицирует клиентское устройство являющимся авторизованным клиентским устройством, которому позволяется осуществлять связь с хост-устройством в хост-сети. Канал связи затем может быть установлен между клиентским устройством и хост-устройством через устройство шлюза в ожидании аутентификации хост-устройства.If the gateway device determines that the client confirmation message is received only after the gateway device completes sending a predetermined sequence of client synchronization-confirmation messages, then at step 834, the gateway device authenticates the client device as an authorized client device that is allowed to communicate with the host device in the host network. A communication channel can then be established between the client device and the host device through the gateway device, pending authentication of the host device.

На фиг.9 показана блок-схема 900 для аутентификации сервера для установления канала связи между клиентским устройством и сервером через устройство шлюза согласно альтернативному варианту осуществления. На этапе 942 устройство шлюза начинает отправку заранее заданной последовательности серверных сообщений синхронизации на сервер из хост-интерфейса. На этапе 944 устройство шлюза принимает серверное сообщение синхронизации-подтверждения от сервера на хост-интерфейсе. На этапе 946 устройство шлюза определяет, принимается ли серверное сообщение синхронизации-подтверждения только после завершения устройством шлюза передачи полной заранее заданной последовательности серверных сообщений синхронизации. Другими словами, устройство шлюза определяет, принимается ли серверное сообщение синхронизации-подтверждения без какого-либо другого сообщения синхронизации-подтверждения сервера, принимаемого устройством шлюза в течение времени осуществления устройством шлюза отправки заранее заданной последовательности серверных сообщений синхронизации. Если устройство шлюза определяет, что серверное сообщение синхронизации-подтверждения принимается до завершения устройством шлюза отправки заранее заданной последовательности серверных сообщений синхронизации, то на этапе 950 устройство шлюза может отказать в установлении канала связи между сервером и клиентским устройством.FIG. 9 shows a flowchart 900 for authenticating a server to establish a communication channel between a client device and a server through a gateway device according to an alternative embodiment. At step 942, the gateway device starts sending a predetermined sequence of server synchronization messages to the server from the host interface. At step 944, the gateway device receives the server synchronization confirmation message from the server on the host interface. At step 946, the gateway device determines whether the server synchronization confirmation message is received only after the gateway device completes the transmission of the full predetermined sequence of server synchronization messages. In other words, the gateway device determines whether the server synchronization confirmation message is received without any other server synchronization confirmation message received by the gateway device during the time the gateway device sends a predetermined sequence of server synchronization messages. If the gateway device determines that the server synchronization confirmation message is received before the gateway device sends a predetermined sequence of server synchronization messages, then at step 950 the gateway device may refuse to establish a communication channel between the server and the client device.

В некоторых вариантах осуществления, на этапе 946, в дополнение к определению того, принимается ли серверное сообщение синхронизации-подтверждения только после завершения устройством шлюза передачи полной заранее заданной последовательности серверных сообщений синхронизации, устройство шлюза может также определять, принимается ли серверное сообщение синхронизации-подтверждения в ответ на последнее серверное сообщение синхронизации из заранее заданной последовательности серверных сообщений синхронизации, например, путем сравнения порядкового номера подтверждения в серверном сообщении синхронизации-подтверждения с начальным порядковым номером последнего серверного сообщения синхронизации из заранее заданной последовательности серверных сообщений синхронизации. Серверное сообщение синхронизации-подтверждения принимается в ответ на последнее серверное сообщение синхронизации, если порядковый номер подтверждения является равным начальному порядковому номеру плюс единица. Если устройство шлюза определяет, что серверное сообщение синхронизации-подтверждения не принимается в ответ на последнее серверное сообщение синхронизации из заранее заданной последовательности серверных сообщений синхронизации, устройство шлюза также может отказать в установлении канала связи к серверу на этапе 950.In some embodiments, at 946, in addition to determining whether the server synchronization confirmation message is received only after the gateway device completes the transmission of the full predetermined sequence of server synchronization messages, the gateway device can also determine whether the server synchronization confirmation message is received at response to the last server synchronization message from a predetermined sequence of server synchronization messages, for example, by comparing the confirmation sequence number in the server synchronization confirmation message with the initial sequence number of the last server synchronization message from a predetermined sequence of server synchronization messages. The server synchronization confirmation message is received in response to the last server synchronization message if the confirmation sequence number is equal to the initial sequence number plus one. If the gateway device determines that the server synchronization confirmation message is not received in response to the last server synchronization message from a predetermined sequence of server synchronization messages, the gateway device may also refuse to establish a communication channel to the server at step 950.

Если устройство шлюза определяет, что ответное серверное сообщение принимается только после завершения устройством шлюза отправки заранее заданной последовательности серверных сообщений синхронизации, процесс продолжается на этапе 952. На этапе 952 устройство шлюза принимает другое серверное сообщение синхронизации-подтверждения. На этапе 954 устройство шлюза определяет, была ли принята заранее заданная последовательность серверных сообщений синхронизации-подтверждения. Если заранее заданная последовательность серверных сообщений синхронизации-подтверждения еще не была принята, то на этапе 956 устройство шлюза воздерживается от ответа на серверное сообщение синхронизации-подтверждения, принятое на этапе 952, и процесс переходит обратно на этап 952. Если устройство шлюза определяет, что заранее заданная последовательность серверных сообщений синхронизации-подтверждения была принята, то на этапе 958 устройство шлюза осуществляет отправку серверного сообщения подтверждения на сервер из хост-интерфейса. На этапе 960 устройство шлюза аутентифицирует сервер являющимся авторизованным хост-устройством, которому позволяется осуществлять связь с клиентским устройством. Канал связи затем может быть установлен между сервером и клиентским устройством через устройство шлюза в ожидании аутентификации клиентского устройства.If the gateway device determines that the response server message is received only after the gateway device sends the predetermined sequence of server synchronization messages, the process continues to step 952. At step 952, the gateway device receives another server synchronization confirmation message. At 954, the gateway device determines whether a predetermined sequence of server synchronization acknowledgment messages has been received. If the predetermined sequence of server synchronization confirmation messages has not yet been received, then at step 956, the gateway device refrains from responding to the server synchronization confirmation message received at step 952, and the process proceeds back to step 952. If the gateway device determines that in advance the specified sequence of server messages synchronization confirmation was accepted, then at step 958, the gateway device sends a server confirmation message to the server from the host interface. At 960, the gateway device authenticates the server to be an authorized host device that is allowed to communicate with the client device. A communication channel can then be established between the server and the client device through the gateway device, pending authentication of the client device.

Хотя вышеупомянутые варианты осуществления были описаны со ссылкой на клиентское устройство, инициирующее канал связи или соединение с устройством шлюза, и устройство шлюза, инициирующее канал связи или соединение с хост-устройством, следует понимать, что каналы связи, описанные выше, являются двухсторонними каналами связи, и в некоторых вариантах осуществления устройство шлюза может инициировать канал связи или соединение с клиентским устройством, и сервер может инициировать канал связи или соединение с устройством шлюза, используя любую из последовательностей сообщений, описанных в документе.Although the above embodiments have been described with reference to a client device initiating a communication channel or connection to a gateway device, and a gateway device initiating a communication channel or connection to a host device, it should be understood that the communication channels described above are two-way communication channels, and in some embodiments, the gateway device can initiate a communication channel or connection with a client device, and the server can initiate a communication channel or connection with a gateway device using yubuyu of message sequences described herein.

Кроме того, хотя заранее заданная последовательность сообщений была описана в виде принимаемой в порядке следования, в некоторых альтернативных вариантах осуществления заранее заданную последовательность сообщений можно считать корректно принятой, если только все сообщения в заранее заданной последовательности сообщений принимаются без каких-либо дополнительных промежуточных сообщений, обмениваемых между устройствами в течение передачи заранее заданной последовательности сообщений. Другими словами, в этих альтернативных вариантах осуществления заранее заданную последовательность сообщений можно считать корректно принимаемой, даже если сообщения принимаются не в порядке следования. Такая реализация может использоваться для компенсации сетевых сред с непредсказуемой сетевой задержкой, которая может вызвать прием сообщений в устройстве-получателе не по порядку следования.In addition, although a predetermined message sequence has been described as being received in sequence, in some alternative embodiments, a predetermined message sequence can be considered correctly received if only all messages in a predetermined message sequence are received without any additional intermediate messages exchanged between devices during the transmission of a predetermined sequence of messages. In other words, in these alternative embodiments, a predetermined sequence of messages can be considered correctly received, even if messages are not received in sequence. Such an implementation can be used to compensate for network environments with unpredictable network latency, which can cause messages to be received at the destination device out of sequence.

Путем использования способов, устройств и систем согласно вариантам осуществления изобретения, раскрытого в документе, для установления канала связи между клиентским устройством в клиентской сети, которая пересылает пользовательские сообщения от устройства пользователя на сервер в сети обработки платежей, может быть снижен риск способности злоумышленной стороны войти в сеть обработки платежей, например, используя способы сканирования портов. Таким образом, варианты осуществления настоящего изобретения могут давать возможность защищенной сквозной передачи конфиденциальной информации, такой как номера PIN и PAN, между пользовательским устройством, таким как мобильный телефон, и сетью обработки платежей, чтобы создавать атмосферу доверия пользователям мобильного банковского обслуживания, что их информация является защищенной.By using the methods, devices and systems according to the embodiments of the invention disclosed in the document to establish a communication channel between a client device in a client network that forwards user messages from a user device to a server in a payment processing network, the risk of a malicious party being able to log into a payment processing network, for example, using port scanning methods. Thus, embodiments of the present invention can enable secure end-to-end transmission of confidential information, such as PIN and PAN numbers, between a user device, such as a mobile phone, and a payment processing network, in order to create an atmosphere of trust for mobile banking users that their information is protected.

Устройство пользователяUser device

На фиг.10 показано устройство 1000 пользователя согласно некоторым из вариантов осуществления, описанных выше. Устройство 1000 пользователя включает в себя считыватель 1025 средства связи для принятия средства связи, такого как модуль идентификации абонента (SIM-карта). Устройство 1000 пользователя также включает в себя устройство 1012 отображения, компонент 1014 ввода, читаемый компьютером носитель 1024, такой как энергозависимая и энергонезависимая память, процессор 1010 и, по меньшей мере, одну антенну 1020. Кроме того, устройство 1000 связи может включать в себя сдвоенный интерфейс, включающий в себя и контактный (не показан) и бесконтактный интерфейс 1016 для переноса информации посредством непосредственного контакта или посредством интегральной микросхемы, которая может быть связана со второй антенной. Кроме того, устройство 1000 пользователя может быть способным осуществлять связь через сотовую сеть связи, сеть поставщика услуг беспроводной связи или сеть оператора мобильной связи, такую как Глобальная система мобильной связи (GSM), через антенну 1020, например, чтобы отправлять и принимать сообщения службы коротких сообщений (SMS) или сообщения неструктурированных дополнительных служебных данных (USSD). Таким образом, устройство 1000 пользователя может быть способным осуществлять передачу и прием информации беспроводным образом через соединения как NFC ближнего радиуса действия, так и радиочастотной (RF), и сотовой связи. В некоторых вариантах осуществления устройство 1000 пользователя может иметь криптографические возможности для отправки зашифрованных сообщений и/или передач, и/или сообщений, защищенных кодами аутентификации сообщений или хэш-кодами.FIG. 10 shows a user device 1000 according to some of the embodiments described above. The user device 1000 includes a media reader 1025 for receiving a communication medium, such as a subscriber identity module (SIM card). The user device 1000 also includes a display device 1012, an input component 1014, a computer-readable medium 1024, such as volatile and non-volatile memory, a processor 1010, and at least one antenna 1020. In addition, the communication device 1000 may include a dual an interface including both a contact (not shown) and a non-contact interface 1016 for transferring information through direct contact or through an integrated circuit that can be connected to a second antenna. In addition, the user device 1000 may be able to communicate via a cellular communication network, a wireless service provider's network, or a mobile operator’s network, such as the Global System for Mobile Communications (GSM), through an antenna 1020, for example, to send and receive short service messages messages (SMS) or unstructured supplementary service data (USSD) messages. Thus, the user device 1000 may be able to transmit and receive information wirelessly through both near-field NFC and radio frequency (RF) connections and cellular communications. In some embodiments, the user device 1000 may have cryptographic capabilities for sending encrypted messages and / or transmissions and / or messages protected by message authentication codes or hash codes.

Компьютерная системаComputer system

На фиг.11 показана блок-схема компьютерной системы, которая может использоваться для реализации любого из устройств (например, устройства шлюза, клиентского устройства, хост-устройства, сервера, и т.д.), описанных выше. Подсистемы, показанные на фиг.11, взаимосвязаны через системную шину 1145. Показываются дополнительные подсистемы, которые могут быть необязательными, такими как принтер 1144, клавиатура 1148, накопитель 1149 на жестком диске, монитор 1146, который связан с видеоадаптером 1182, и другие. Периферийные устройства и устройства ввода/вывода (I/O), которые связаны с контроллером 1141 ввода-вывода, могут быть подключены к компьютерной системе любым количеством средств, известных в области техники, таких как последовательный порт 1184. Например, последовательный порт 1184 или внешний интерфейс 1181 могут использоваться, чтобы подключать компьютерное устройство к глобальной сети, например, сети Интернет, устройству ввода «мышь», или сканеру. Межсоединение посредством системной шины 1145 позволяет центральному процессору 1143 осуществлять связь с каждой подсистемой и контролировать исполнение команд из системной памяти 1142 или накопителя 1149 на жестком диске, а также обменом информацией между подсистемами. Системная память 1142 и/или накопитель 1149 на жестком диске могут реализовывать долговременный читаемый компьютером носитель, который содержит команды, побуждающие процессор исполнять способы, описанные в документе.11 shows a block diagram of a computer system that can be used to implement any of the devices (eg, gateway device, client device, host device, server, etc.) described above. The subsystems shown in FIG. 11 are interconnected via a system bus 1145. Additional subsystems are shown, which may be optional, such as a printer 1144, a keyboard 1148, a hard disk drive 1149, a monitor 1146 that is associated with a video adapter 1182, and others. The peripheral and input / output (I / O) devices that are connected to the input / output controller 1141 can be connected to a computer system by any number of means known in the art, such as serial port 1184. For example, serial port 1184 or external interface 1181 can be used to connect a computer device to a wide area network, such as the Internet, a mouse input device, or a scanner. Interconnection via the system bus 1145 allows the central processor 1143 to communicate with each subsystem and control the execution of commands from the system memory 1142 or drive 1149 on the hard disk, as well as the exchange of information between the subsystems. System memory 1142 and / or hard disk drive 1149 can implement long-term computer-readable media that contains instructions that cause the processor to execute the methods described in the document.

В некоторых реализациях отдельные блоки (или этапы), описанные выше по отношению к фигурам чертежей, могут объединяться, удаляться или переупорядочиваться. Любые из программно реализованных компонентов или функций, описанных в этой заявке, могут быть реализованы в виде программного кода, подлежащего исполнению процессором, с использованием любого подходящего языка программирования такого как, например, Java, C++ или Perl, с использованием, например, традиционных или объектно-ориентированных технологий. Программный код может храниться в виде последовательности инструкций, или команд на читаемом компьютером носителе, таком как оперативное запоминающее устройство (ОЗУ, RAM), постоянное запоминающее устройство (ПЗУ, ROM), магнитном носителе, таком как накопитель на жестком диске или гибком диске, или оптическом носителе, таком как CD-ROM. Любой такой читаемый компьютером носитель может находиться на/в одиночном компьютерном устройстве, и может также присутствовать на/в различных вычислительных комплексах в рамках системы или сети.In some implementations, the individual blocks (or steps) described above with respect to the figures of the drawings may be combined, deleted, or reordered. Any of the software components or functions described in this application may be implemented as program code to be executed by the processor, using any suitable programming language such as, for example, Java, C ++ or Perl, using, for example, traditional or object -oriented technology. The program code may be stored as a sequence of instructions or instructions on a computer-readable medium, such as random access memory (RAM), read-only memory (ROM), a magnetic medium, such as a hard disk drive or floppy disk, or optical media such as a CD-ROM. Any such computer-readable medium may reside on / in a single computer device, and may also be present on / in various computer complexes within a system or network.

Настоящее изобретение может быть реализовано в виде логической управляющей программы или же аппаратными средствами, или их комбинацией. Управляющая программа может храниться на носителе информации в виде множества команд, приспособленных управлять устройством обработки информации для выполнения множества этапов, раскрытых в вариантах осуществления настоящего изобретения. На основании раскрытия и указаний, обеспеченных в документе, специалист в данной области техники оценит другие пути и/или способы для осуществления настоящего изобретения.The present invention can be implemented in the form of a logical control program or hardware, or a combination thereof. The control program may be stored on the information carrier in the form of a plurality of instructions adapted to control the information processing apparatus for performing the plurality of steps disclosed in the embodiments of the present invention. Based on the disclosure and guidance provided herein, those skilled in the art will appreciate other ways and / or methods for implementing the present invention.

Любое указание формы единственного числа предназначено означать "один или несколько", если конкретно не обозначено иное.Any designation of the singular is intended to mean "one or more," unless specifically indicated otherwise.

Вышеупомянутое описание является иллюстративным и не является ограничительным. Многие разновидности изобретения станут очевидными специалистам в данной области техники по анализу раскрытия. Объем изобретения, таким образом, следует определять не со ссылкой на вышеупомянутое описание, а, напротив, со ссылкой на рассматриваемую формулу изобретения наряду с ее полным объемом или эквивалентами.The above description is illustrative and not restrictive. Many variations of the invention will become apparent to those skilled in the art of disclosure analysis. The scope of the invention, therefore, should not be determined with reference to the above description, but rather with reference to the claims under consideration along with its full scope or equivalents.

Claims (22)

1. Способ в устройстве шлюза для установления канала связи между клиентским устройством, коммуникационно связанным с клиентским интерфейсом в устройстве шлюза, и сервером, коммуникационно связанным с хост-интерфейсом в устройстве шлюза, при этом способ содержит:
прием клиентских сообщений на клиентском интерфейсе,
невыполнение отправки ответного клиентского сообщения с клиентского интерфейса до тех пор, пока заранее заданная последовательность клиентских сообщений не будет принята на клиентском интерфейсе;
отправку заранее заданной последовательности серверных сообщений с хост-интерфейса; и
установление канала связи для передачи пользовательских сообщений между клиентским устройством и сервером, причем канал связи устанавливается после:
приема упомянутой заранее заданной последовательности клиентских сообщений на клиентском интерфейсе и
приема ответного серверного сообщения на хост-интерфейсе только после того, как упомянутая заранее заданная последовательность серверных сообщений отправлена устройством шлюза.
1. A method in a gateway device for establishing a communication channel between a client device communicatively connected to a client interface in a gateway device and a server communicatively connected to a host interface in a gateway device, the method comprising:
receiving client messages on the client interface,
failure to send a response client message from the client interface until a predetermined sequence of client messages is received on the client interface;
sending a predetermined sequence of server messages from the host interface; and
establishing a communication channel for transmitting user messages between the client device and the server, and the communication channel is established after:
receiving said predetermined sequence of client messages on the client interface and
receiving a response server message on the host interface only after the aforementioned predetermined sequence of server messages is sent by the gateway device.
2. Способ по п.1, в котором упомянутая заранее заданная последовательность клиентских сообщений является заранее заданной последовательностью клиентских сообщений синхронизации, и упомянутая заранее заданная последовательность серверных сообщений является заранее заданной последовательностью серверных сообщений синхронизации.2. The method according to claim 1, wherein said predetermined sequence of client messages is a predetermined sequence of client synchronization messages, and said predetermined sequence of server messages is a predetermined sequence of server synchronization messages.
3. Способ по п.2, в котором клиентский интерфейс содержит множество клиентских портов, и упомянутая заранее заданная последовательность клиентских сообщений содержит клиентские сообщения синхронизации, которые принимаются на этом множестве клиентских портов в заранее заданном порядке клиентских портов.3. The method of claim 2, wherein the client interface comprises a plurality of client ports, and said predetermined sequence of client messages comprises client synchronization messages that are received on this plurality of client ports in a predetermined order of client ports.
4. Способ по п.2, в котором упомянутая заранее заданная последовательность серверных сообщений синхронизации содержит серверные сообщения синхронизации, имеющие заранее заданный порядок идентификаторов портов назначения.4. The method according to claim 2, wherein said predetermined sequence of server synchronization messages comprises server synchronization messages having a predetermined order of destination port identifiers.
5. Способ по п.2, дополнительно содержащий:
отправку, в ответ на прием упомянутой заранее заданной последовательности клиентских сообщений синхронизации, заранее заданной последовательности клиентских сообщений синхронизации-подтверждения с клиентского интерфейса; и
прием клиентского сообщения подтверждения на клиентском интерфейсе только после того, как эта заранее заданная последовательность клиентских сообщений синхронизации-подтверждения отправлена устройством шлюза, причем канал связи устанавливается после приема клиентского сообщения подтверждения.
5. The method according to claim 2, further comprising:
sending, in response to receiving said predetermined sequence of client synchronization messages, a predetermined sequence of client synchronization confirmation messages from the client interface; and
receiving a client confirmation message on the client interface only after this predetermined sequence of client synchronization confirmation messages is sent by the gateway device, and the communication channel is established after receiving the client confirmation message.
6. Способ по п.1, дополнительно содержащий:
прием пользовательских сообщений на установленном канале связи от клиентского устройства, причем пользовательские сообщения включают в себя коды аутентификации;
верификацию устройством шлюза кодов аутентификации в пользовательских сообщениях; и
передачу верифицированных пользовательских сообщений на сервер на установленном канале связи.
6. The method according to claim 1, additionally containing:
receiving user messages on an established communication channel from a client device, the user messages including authentication codes;
Verification by the gateway device of authentication codes in user messages; and
transmission of verified user messages to the server on the established communication channel.
7. Способ по п.1, дополнительно содержащий:
прием пользовательских сообщений на установленном канале связи от клиентского устройства в зашифрованном формате;
расшифровывание устройством шлюза пользовательских сообщений; и
передачу пользовательских сообщений на сервер на установленном канале связи.
7. The method according to claim 1, additionally containing:
receiving user messages on an established communication channel from a client device in an encrypted format;
decryption by the gateway device of user messages; and
sending user messages to the server on the established communication channel.
8. Способ по п.7, дополнительно содержащий:
повторное шифрование устройством шлюза пользовательских сообщений до передачи пользовательских сообщений на сервер.
8. The method according to claim 7, further comprising:
Re-encryption by the gateway device of user messages before sending user messages to the server.
9. Способ по п.7, в котором клиентское устройство коммуникационно связано с сетью поставщика услуг беспроводной связи, и пользовательские сообщения исходят от мобильного устройства в виде сообщений Службы коротких сообщений (SMS) или сообщений Неструктурированных дополнительных служебных данных (USSD).9. The method according to claim 7, in which the client device is communicatively connected to the wireless service provider's network, and user messages originate from the mobile device in the form of Short Message Service (SMS) messages or Unstructured Additional Service Data (USSD) messages.
10. Способ по п.7, в котором пользовательские сообщения исходят от мобильного устройства в виде радиочастотных (RF) передач или передач беспроводной связи малого радиуса действия (NFC).10. The method according to claim 7, in which user messages come from a mobile device in the form of radio frequency (RF) transmissions or short-range wireless communications (NFC).
11. Способ по п.7, в котором пользовательские сообщения связаны с платежными транзакциями.11. The method according to claim 7, in which user messages are associated with payment transactions.
12. Устройство шлюза, содержащее:
клиентский интерфейс, включающий в себя множество клиентских портов;
хост-интерфейс, включающий в себя множество хост-портов;
процессор, связанный с клиентским интерфейсом и хост-интерфейсом; и
машиночитаемый носитель данных, хранящий исполнимый код программы, который при его исполнении процессором предписывает процессору:
принимать клиентские сообщения на клиентском интерфейсе от клиентского устройства,
воздерживаться от отправки ответного клиентского сообщения с клиентского интерфейса до тех пор, пока заранее заданная последовательность клиентских сообщений не будет принята на клиентском интерфейсе;
отправлять заранее заданную последовательность серверных сообщений с хост-интерфейса на сервер; и
устанавливать канал связи для передачи пользовательских сообщений между клиентским устройством и сервером, причем канал связи устанавливается после приема упомянутой заранее заданной последовательности клиентских сообщений на клиентском интерфейсе и приема ответного серверного сообщения на хост-интерфейсе только после того, как отправлена упомянутая заранее заданная последовательность серверных сообщений.
12. A gateway device comprising:
a client interface that includes many client ports;
A host interface that includes many host ports
a processor associated with a client interface and a host interface; and
A computer-readable storage medium that stores executable program code, which, when executed by the processor, instructs the processor:
receive client messages on the client interface from the client device,
refrain from sending a response client message from the client interface until a predetermined sequence of client messages is received on the client interface;
send a predefined sequence of server messages from the host interface to the server; and
establish a communication channel for transmitting user messages between the client device and the server, the communication channel being established after receiving said predetermined sequence of client messages on the client interface and receiving the response server message on the host interface only after the said predetermined sequence of server messages is sent.
13. Устройство шлюза по п.12, при этом упомянутая заранее заданная последовательность клиентских сообщений является заранее заданной последовательностью клиентских сообщений синхронизации, и упомянутая заранее заданная последовательность серверных сообщений является заранее заданной последовательностью серверных сообщений синхронизации.13. The gateway device of claim 12, wherein said predetermined sequence of client messages is a predetermined sequence of client synchronization messages, and said predetermined sequence of server messages is a predetermined sequence of server synchronization messages.
14. Устройство шлюза по п.13, в котором клиентский интерфейс содержит множество клиентских портов, при этом упомянутая заранее заданная последовательность клиентских сообщений содержит клиентские сообщения синхронизации, которые принимаются на этом множестве клиентских портов в заранее заданном порядке клиентских портов.14. The gateway device of claim 13, wherein the client interface comprises a plurality of client ports, wherein said predetermined sequence of client messages comprises client synchronization messages that are received on this plurality of client ports in a predetermined order of client ports.
15. Устройство шлюза по п.13, при этом упомянутая заранее заданная последовательность серверных сообщений синхронизации содержит серверные сообщения синхронизации, имеющие заранее заданный порядок идентификаторов портов назначения.15. The gateway device of claim 13, wherein said predetermined sequence of server synchronization messages comprises server synchronization messages having a predetermined order of destination port identifiers.
16. Устройство шлюза по п.13, в котором машиночитаемый носитель хранит исполнимый код программы, который при его исполнении процессором дополнительно предписывает процессору:
отправлять, в ответ на прием упомянутой заранее заданной последовательности клиентских сообщений синхронизации, заранее заданную последовательность клиентских сообщений синхронизации-подтверждения с клиентского интерфейса; и
принимать клиентское сообщение подтверждения на клиентском интерфейсе только после того, как отправлена эта заранее заданная последовательность клиентских сообщений синхронизации-подтверждения, причем канал связи устанавливается после приема клиентского сообщения подтверждения.
16. The gateway device according to item 13, in which a machine-readable medium stores an executable program code, which, when executed by the processor, further instructs the processor:
send, in response to receiving said predetermined sequence of client synchronization messages, a predetermined sequence of client synchronization confirmation messages from the client interface; and
receive a client confirmation message on the client interface only after this predetermined sequence of client synchronization-confirmation messages has been sent, and the communication channel is established after receiving the client confirmation message.
17. Устройство шлюза по п.12, в котором машиночитаемый носитель данных хранит исполнимый код программы, который при его исполнении процессором дополнительно предписывает процессору
принимать пользовательские сообщения на установленном канале связи от клиентского устройства, причем пользовательские сообщения включают в себя коды аутентификации;
верифицировать коды аутентификации в пользовательских сообщениях; и
передавать верифицированные пользовательские сообщения на сервер на установленном канале связи.
17. The gateway device according to item 12, in which the computer-readable storage medium stores an executable program code, which, when executed by the processor, further prescribes to the processor
receive user messages on the established communication channel from the client device, and user messages include authentication codes;
verify authentication codes in user messages; and
transmit verified user messages to the server on the established communication channel.
18. Устройство шлюза по п.12, в котором машиночитаемый носитель данных хранит исполнимый код программы, который при его исполнении процессором дополнительно предписывает процессору
принимать пользовательские сообщения на установленном канале связи от клиентского устройства в зашифрованном формате;
расшифровывать пользовательские сообщения; и
передавать пользовательские сообщения на сервер на установленном канале связи.
18. The gateway device according to item 12, in which the computer-readable storage medium stores an executable program code, which, when executed by the processor, further prescribes to the processor
receive user messages on the established communication channel from the client device in an encrypted format;
Decrypt user messages and
send user messages to the server on the established communication channel.
19. Устройство шлюза по п.18, в котором машиночитаемый носитель хранит исполнимый код программы, который при его исполнении процессором дополнительно предписывает процессору
повторно зашифровывать пользовательские сообщения до передачи пользовательских сообщений на сервер.
19. The gateway device of claim 18, wherein the computer-readable medium stores an executable program code that, when executed by the processor, further prescribes to the processor
Re-encrypt user messages before sending user messages to the server.
20. Устройство шлюза по п.18, при этом клиентское устройство коммуникационно связано с сетью поставщика услуг беспроводной связи, и пользовательские сообщения исходят от мобильного устройства в виде сообщений Службы коротких сообщений (SMS) или сообщений Неструктурированных дополнительных служебных данных (USSD).20. The gateway device according to claim 18, wherein the client device is communicatively connected to the wireless service provider's network, and user messages originate from the mobile device in the form of Short Message Service (SMS) messages or Unstructured Additional Service Data (USSD) messages.
21. Устройство шлюза по п.18, при этом пользовательские сообщения исходят от мобильного устройства в виде радиочастотных (RF) передач или передач беспроводной связи малого радиуса действия (NFC).21. The gateway device according to claim 18, wherein the user messages originate from the mobile device in the form of radio frequency (RF) transmissions or short-range wireless communications (NFC) transmissions.
22. Устройство шлюза по п.18, при этом пользовательские сообщения связаны с платежными транзакциями. 22. The gateway device according to claim 18, wherein the user messages are associated with payment transactions.
RU2014106290/08A 2011-07-20 2012-07-20 Связь шлюза с обеспечением безопасности RU2597526C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US201161510023P true 2011-07-20 2011-07-20
US61/510,023 2011-07-20
PCT/US2012/047687 WO2013013189A2 (en) 2011-07-20 2012-07-20 Security gateway communication

Publications (2)

Publication Number Publication Date
RU2014106290A RU2014106290A (ru) 2015-08-27
RU2597526C2 true RU2597526C2 (ru) 2016-09-10

Family

ID=47558745

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014106290/08A RU2597526C2 (ru) 2011-07-20 2012-07-20 Связь шлюза с обеспечением безопасности

Country Status (7)

Country Link
US (5) US9686235B2 (ru)
EP (1) EP2735182B1 (ru)
CN (1) CN103828414B (ru)
AP (6) AP2014007430A0 (ru)
RU (1) RU2597526C2 (ru)
WO (4) WO2013013189A2 (ru)
ZA (2) ZA201400505B (ru)

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101584166A (zh) 2006-11-02 2009-11-18 迪吉福尼卡(国际)有限公司 产生用于ip语音通信的路由消息
CA2670510C (en) 2006-11-29 2020-12-22 Digifonica (International) Limited Intercepting voice over ip communications and other data communications
WO2008116296A1 (en) 2007-03-26 2008-10-02 Digifonica (International) Limited Emergency assistance calling for voice over ip communications systems
JP4535163B2 (ja) * 2008-04-08 2010-09-01 ソニー株式会社 情報処理システム、通信端末、情報処理装置、およびプログラム
CA2732148C (en) 2008-07-28 2018-06-05 Digifonica (International) Limited Mobile gateway
US8989705B1 (en) 2009-06-18 2015-03-24 Sprint Communications Company L.P. Secure placement of centralized media controller application in mobile access terminal
CA2812174C (en) 2009-09-17 2018-05-15 Digifonica (International) Limited Uninterrupted transmission of internet protocol transmissions during endpoint changes
WO2013013189A2 (en) 2011-07-20 2013-01-24 Visa International Service Association Security gateway communication
GB2501265A (en) * 2012-04-17 2013-10-23 Ibm Constructing instructions for a mainframe by embedding programming in job control language, and executing those instructions at the mainframe
US9027102B2 (en) 2012-05-11 2015-05-05 Sprint Communications Company L.P. Web server bypass of backend process on near field communications and secure element chips
US8862181B1 (en) 2012-05-29 2014-10-14 Sprint Communications Company L.P. Electronic purchase transaction trust infrastructure
WO2013179257A2 (en) * 2012-05-31 2013-12-05 Fundamo (Pty) Ltd Subscriber identity module card holder for enabling a mobile device to perform secure communications
US9282898B2 (en) 2012-06-25 2016-03-15 Sprint Communications Company L.P. End-to-end trusted communications infrastructure
US9066230B1 (en) 2012-06-27 2015-06-23 Sprint Communications Company L.P. Trusted policy and charging enforcement function
US8649770B1 (en) 2012-07-02 2014-02-11 Sprint Communications Company, L.P. Extended trusted security zone radio modem
US8667607B2 (en) 2012-07-24 2014-03-04 Sprint Communications Company L.P. Trusted security zone access to peripheral devices
US8863252B1 (en) 2012-07-25 2014-10-14 Sprint Communications Company L.P. Trusted access to third party applications systems and methods
US9183412B2 (en) 2012-08-10 2015-11-10 Sprint Communications Company L.P. Systems and methods for provisioning and using multiple trusted security zones on an electronic device
US8954588B1 (en) 2012-08-25 2015-02-10 Sprint Communications Company L.P. Reservations in real-time brokering of digital content delivery
US9015068B1 (en) 2012-08-25 2015-04-21 Sprint Communications Company L.P. Framework for real-time brokering of digital content delivery
US9215180B1 (en) 2012-08-25 2015-12-15 Sprint Communications Company L.P. File retrieval in real-time brokering of digital content
US9852419B2 (en) * 2012-09-17 2017-12-26 Capital One Financial Corporation Systems and methods for providing near field communications
CN110569633A (zh) * 2012-10-25 2019-12-13 英特尔公司 固件中的防盗
FR2999748A1 (fr) * 2012-12-14 2014-06-20 France Telecom Procede de securisation d'une demande d'execution d'une premiere application par une deuxieme application
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9161227B1 (en) 2013-02-07 2015-10-13 Sprint Communications Company L.P. Trusted signaling in long term evolution (LTE) 4G wireless communication
AP201508786A0 (en) * 2013-02-26 2015-09-30 Visa Int Service Ass Systems, methods and devices for performing passcode authentication
AP201508703A0 (en) * 2013-03-04 2015-09-30 Visa Int Service Ass Cryptographic label for attachment to a communication card
US9104840B1 (en) 2013-03-05 2015-08-11 Sprint Communications Company L.P. Trusted security zone watermark
US9613208B1 (en) 2013-03-13 2017-04-04 Sprint Communications Company L.P. Trusted security zone enhanced with trusted hardware drivers
US8881977B1 (en) 2013-03-13 2014-11-11 Sprint Communications Company L.P. Point-of-sale and automated teller machine transactions using trusted mobile access device
US9049013B2 (en) 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone containers for the protection and confidentiality of trusted service manager data
US9049186B1 (en) * 2013-03-14 2015-06-02 Sprint Communications Company L.P. Trusted security zone re-provisioning and re-use capability for refurbished mobile devices
US9374363B1 (en) 2013-03-15 2016-06-21 Sprint Communications Company L.P. Restricting access of a portable communication device to confidential data or applications via a remote network based on event triggers generated by the portable communication device
US9021585B1 (en) 2013-03-15 2015-04-28 Sprint Communications Company L.P. JTAG fuse vulnerability determination and protection using a trusted execution environment
US8984592B1 (en) 2013-03-15 2015-03-17 Sprint Communications Company L.P. Enablement of a trusted security zone authentication for remote mobile device management systems and methods
US9191388B1 (en) 2013-03-15 2015-11-17 Sprint Communications Company L.P. Trusted security zone communication addressing on an electronic device
US10177915B2 (en) * 2013-03-15 2019-01-08 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
US9456344B2 (en) 2013-03-15 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for ensuring proximity of communication device
US9698991B2 (en) * 2013-03-15 2017-07-04 Ologn Technologies Ag Systems, methods and apparatuses for device attestation based on speed of computation
GB2512615A (en) * 2013-04-03 2014-10-08 Cloudzync Ltd Secure communications channel
US9171243B1 (en) 2013-04-04 2015-10-27 Sprint Communications Company L.P. System for managing a digest of biographical information stored in a radio frequency identity chip coupled to a mobile communication device
US9324016B1 (en) 2013-04-04 2016-04-26 Sprint Communications Company L.P. Digest of biographical information for an electronic device with static and dynamic portions
US9454723B1 (en) 2013-04-04 2016-09-27 Sprint Communications Company L.P. Radio frequency identity (RFID) chip electrically and communicatively coupled to motherboard of mobile communication device
AU2014246709B2 (en) 2013-04-05 2016-07-14 Visa International Service Association Systems, methods and devices for transacting
US9838869B1 (en) 2013-04-10 2017-12-05 Sprint Communications Company L.P. Delivering digital content to a mobile device via a digital rights clearing house
US9443088B1 (en) 2013-04-15 2016-09-13 Sprint Communications Company L.P. Protection for multimedia files pre-downloaded to a mobile device
CN105393489A (zh) * 2013-04-26 2016-03-09 维萨国际服务协会 提供数字证书
WO2014181313A1 (en) 2013-05-10 2014-11-13 Ologn Technologies Ag Ensuring proximity of wifi communication devices
US9069952B1 (en) 2013-05-20 2015-06-30 Sprint Communications Company L.P. Method for enabling hardware assisted operating system region for safe execution of untrusted code using trusted transitional memory
CN105393569A (zh) 2013-05-29 2016-03-09 维萨国际服务协会 在安全元件处进行验证的系统及方法
US9560519B1 (en) 2013-06-06 2017-01-31 Sprint Communications Company L.P. Mobile communication device profound identity brokering framework
US9495544B2 (en) * 2013-06-27 2016-11-15 Visa International Service Association Secure data transmission and verification with untrusted computing devices
US9183606B1 (en) 2013-07-10 2015-11-10 Sprint Communications Company L.P. Trusted processing location within a graphics processing unit
WO2015009765A1 (en) * 2013-07-15 2015-01-22 Visa International Service Association Secure remote payment transaction processing
US9208339B1 (en) 2013-08-12 2015-12-08 Sprint Communications Company L.P. Verifying Applications in Virtual Environments Using a Trusted Security Zone
GB2517732A (en) * 2013-08-29 2015-03-04 Sim & Pin Ltd System for accessing data from multiple devices
CN103500403A (zh) * 2013-09-04 2014-01-08 苏州荣越网络技术有限公司 一种手机零售支付系统
US9455998B2 (en) 2013-09-17 2016-09-27 Ologn Technologies Ag Systems, methods and apparatuses for prevention of relay attacks
ES2532653B1 (es) * 2013-09-30 2016-01-05 Intelligent Data, S.L. Electronic payment device
US20150100494A1 (en) * 2013-10-08 2015-04-09 A-Men Technology Corporation Point transaction system and method for mobile communication device
US9185626B1 (en) 2013-10-29 2015-11-10 Sprint Communications Company L.P. Secure peer-to-peer call forking facilitated by trusted 3rd party voice server provisioning
US9191522B1 (en) 2013-11-08 2015-11-17 Sprint Communications Company L.P. Billing varied service based on tier
US9161325B1 (en) 2013-11-20 2015-10-13 Sprint Communications Company L.P. Subscriber identity module virtualization
US20150199681A1 (en) * 2014-01-10 2015-07-16 Sampath Bank PLC Secure internet atm
US9118655B1 (en) 2014-01-24 2015-08-25 Sprint Communications Company L.P. Trusted display and transmission of digital ticket documentation
US9226145B1 (en) 2014-03-28 2015-12-29 Sprint Communications Company L.P. Verification of mobile device integrity during activation
CA2892535A1 (en) 2014-05-26 2015-11-26 Robert Hayhow Post-manufacture configuration of pin-pad terminals
US10346814B2 (en) 2014-06-04 2019-07-09 MONI Limited System and method for executing financial transactions
US9818092B2 (en) * 2014-06-04 2017-11-14 Antti Pennanen System and method for executing financial transactions
EP2960844A1 (en) 2014-06-17 2015-12-30 TeliaSonera AB Transaction management
US9230085B1 (en) 2014-07-29 2016-01-05 Sprint Communications Company L.P. Network based temporary trust extension to a remote or mobile device enabled via specialized cloud services
US10326803B1 (en) * 2014-07-30 2019-06-18 The University Of Tulsa System, method and apparatus for network security monitoring, information sharing, and collective intelligence
GB2531317A (en) * 2014-10-16 2016-04-20 Airbus Group Ltd Security system
US10429968B2 (en) 2014-11-06 2019-10-01 Visteon Global Technologies, Inc. Reconfigurable messaging assembly
US9760727B2 (en) 2014-12-31 2017-09-12 Google Inc. Secure host interactions
US9547773B2 (en) 2014-12-31 2017-01-17 Google Inc. Secure event log management
US9537833B2 (en) 2014-12-31 2017-01-03 Google Inc. Secure host communications
US9779232B1 (en) 2015-01-14 2017-10-03 Sprint Communications Company L.P. Trusted code generation and verification to prevent fraud from maleficent external devices that capture data
US9838868B1 (en) 2015-01-26 2017-12-05 Sprint Communications Company L.P. Mated universal serial bus (USB) wireless dongles configured with destination addresses
US9736229B2 (en) * 2015-02-17 2017-08-15 Microsoft Technology Licensing, Llc Device with embedded network subscription and methods
EP3059919A1 (en) * 2015-02-19 2016-08-24 Nxp B.V. Method and system for facilitating network joining
US9473945B1 (en) 2015-04-07 2016-10-18 Sprint Communications Company L.P. Infrastructure for secure short message transmission
CN105139200A (zh) * 2015-07-31 2015-12-09 腾讯科技(深圳)有限公司 一种电子资源处理方法、装置及服务器
JPWO2017022643A1 (ja) * 2015-08-05 2018-06-21 日本電気株式会社 通信システム、通信装置、通信方法及びプログラム
US9819679B1 (en) 2015-09-14 2017-11-14 Sprint Communications Company L.P. Hardware assisted provenance proof of named data networking associated to device data, addresses, services, and servers
WO2017069651A1 (ru) * 2015-10-20 2017-04-27 Александр Викторович Ежков Кардиомонитор cardioqvark
US10230706B2 (en) * 2015-10-28 2019-03-12 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Using personal RF signature for enhanced authentication metric
US10282719B1 (en) 2015-11-12 2019-05-07 Sprint Communications Company L.P. Secure and trusted device-based billing and charging process using privilege for network proxy authentication and audit
US9817992B1 (en) 2015-11-20 2017-11-14 Sprint Communications Company Lp. System and method for secure USIM wireless network access
CN105471866A (zh) * 2015-11-23 2016-04-06 深圳市联软科技有限公司 一种移动应用的保护方法和装置
PL3381003T3 (pl) 2015-12-28 2020-09-07 Mobeewave Inc. SYSTEM AND METHOD OF AUTHENTICATION OF THE USER ON THE DEVICE
CN105915557B (zh) * 2016-06-30 2020-01-14 上海斐讯数据通信技术有限公司 一种网络认证方法、访问控制方法和网络接入设备
US10187368B2 (en) * 2016-08-03 2019-01-22 Ripple Luxembourg S.A. Resource transfer setup and verification
US10536441B2 (en) * 2016-08-23 2020-01-14 Texas Instruments Incorporated Thread ownership of keys for hardware-accelerated cryptography
IL248306A (en) * 2016-10-10 2019-12-31 Verint Systems Ltd System and method for generating data sets for learning to identify user actions
US20180219681A1 (en) * 2017-01-27 2018-08-02 Confirm, Inc. Electronically signing and distributing identification data as a service that provides proof of identity, integrity, validity and origin of data for non-repudiation and id validation methods
DE102017204184A1 (de) * 2017-03-14 2018-09-20 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Authentisierte Bestätigungs- und Aktivierungsnachricht
US10868857B2 (en) * 2017-04-21 2020-12-15 Johnson Controls Technology Company Building management system with distributed data collection and gateway services
US10739028B2 (en) 2017-06-09 2020-08-11 Johnson Controls Technology Company Thermostat with efficient wireless data transmission
US10499249B1 (en) 2017-07-11 2019-12-03 Sprint Communications Company L.P. Data link layer trust signaling in communication network
CN107688649A (zh) * 2017-08-31 2018-02-13 江西博瑞彤芸科技有限公司 基于虚拟货币服务平台的查询方法
CN107819775A (zh) * 2017-11-16 2018-03-20 深圳市风云实业有限公司 网关设备及数据传输方法
NO344911B1 (en) * 2017-12-22 2020-06-29 Protectoria As Secure mobile platform
WO2019212829A1 (en) * 2018-04-30 2019-11-07 Visa International Service Association Techniques for performing secure operations
WO2020141561A1 (en) * 2019-01-04 2020-07-09 Shukla Ashiesh Method and system for transmission of secure information to a hand-held device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6438386B2 (en) * 1997-07-14 2002-08-20 Hughes Electronics Corporation Immediate channel assignment in a wireless system
RU2263347C2 (ru) * 2003-11-04 2005-10-27 Общество с ограниченной ответственностью "Мобилити" Способ совершения платежных операций пользователями мобильных устройств электронной связи и компьютерная система безналичного расчета для его осуществления
RU2326503C2 (ru) * 2002-07-29 2008-06-10 Сименс Акциенгезелльшафт Шлюз среды передачи для предоставления услуг pstn/isdn в сетях следующего поколения
WO2009082334A1 (en) * 2007-12-20 2009-07-02 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system

Family Cites Families (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3877808A (en) * 1973-08-30 1975-04-15 Jr Carl R Jasperson Printed circuit board exposure holding device
US4959008A (en) * 1984-04-30 1990-09-25 National Starch And Chemical Investment Holding Corporation Pre-patterned circuit board device-attach adhesive transfer system
DE69515136T2 (de) 1994-03-25 2000-09-28 Advanced Micro Devices Inc Koppelbare Rechnersysteme
US5504988A (en) 1994-05-17 1996-04-09 Tandem Computers Incorporated Apparatus for mounting surface mount devices to a circuit board
US5708419A (en) 1996-07-22 1998-01-13 Checkpoint Systems, Inc. Method of wire bonding an integrated circuit to an ultraflexible substrate
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US5712766A (en) * 1996-10-17 1998-01-27 Minnesota Mining And Manufacturing Company One-piece housing and interlocking connector for IC card assemblies
US7124170B1 (en) 1999-08-20 2006-10-17 Intertrust Technologies Corp. Secure processing unit systems and methods
JP4261802B2 (ja) 2000-04-28 2009-04-30 株式会社ルネサステクノロジ Icカード
US20030112613A1 (en) * 2002-10-22 2003-06-19 Hitachi, Ltd. IC card
JP4675547B2 (ja) 2000-07-07 2011-04-27 アルカテル−ルーセント セキュリティモジュール
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
US20100191602A1 (en) * 2001-06-27 2010-07-29 John Mikkelsen Mobile banking and payment platform
US7493288B2 (en) * 2001-07-10 2009-02-17 Xatra Fund Mx, Llc RF payment via a mobile device
US6766952B2 (en) * 2001-11-06 2004-07-27 Quadnovation, Inc. SIM card carrier
US20030085288A1 (en) * 2001-11-06 2003-05-08 Luu Deniel V.H. Contactless SIM card carrier with detachable antenna and carrier therefore
CN1472698A (zh) * 2002-05-20 2004-02-04 奎德诺威申有限公司 非接触交易卡及其适配器
CA2506931A1 (fr) * 2002-12-20 2004-07-08 Nagracard Sa Dispositif de securisation pour connecteur de module de securite
US7380125B2 (en) * 2003-05-22 2008-05-27 International Business Machines Corporation Smart card data transaction system and methods for providing high levels of storage and transmission security
KR100933159B1 (ko) 2003-07-11 2009-12-21 삼성전자주식회사 이동통신시스템에서 음성 데이터 전송을 위한 동기화 방법 및 시스템
US7366170B2 (en) 2003-09-25 2008-04-29 Kabushiki Kaisha Toshiba Communication connection method, authentication method, server computer, client computer and program
US7359512B1 (en) * 2004-03-10 2008-04-15 Verizon Corporate Services Group Inc. Authentication in a quantum cryptographic system
WO2005104584A1 (en) * 2004-04-21 2005-11-03 Telecom Italia S.P.A. Subscriber identification card performing radio transceiver functionality for long range applications
JP2008504627A (ja) 2004-06-30 2008-02-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ ホルダ挿入用チップカード
US7301776B1 (en) 2004-11-16 2007-11-27 Super Talent Electronics, Inc. Light-weight flash hard drive with plastic frame
DE102004062869A1 (de) 2004-12-21 2006-07-06 Mayr, Ralph Modul zur Datenübertragung und Peripheriegerät zur Aufnahme des Moduls
US7198199B2 (en) * 2005-02-04 2007-04-03 Chun-Hsin Ho Dual universal integrated circuit card (UICC) system for a portable device
US7252242B2 (en) 2005-02-04 2007-08-07 Chun-Hsin Ho Method for providing additional service based on dual UICC
US7303137B2 (en) * 2005-02-04 2007-12-04 Chun-Hsin Ho Dual integrated circuit card system
US7866564B2 (en) 2005-02-04 2011-01-11 Chun-Hsin Ho Dual card system
US20070245413A1 (en) 2005-07-05 2007-10-18 Viasat, Inc. Trusted Cryptographic Switch
US9660808B2 (en) * 2005-08-01 2017-05-23 Schneider Electric It Corporation Communication protocol and method for authenticating a system
US7300824B2 (en) 2005-08-18 2007-11-27 James Sheats Method of packaging and interconnection of integrated circuits
JP2007058572A (ja) 2005-08-24 2007-03-08 Ricoh Co Ltd Icカード再利用システム、情報記録媒体再利用方法、及び情報記録媒体再利用装置
CN2845170Y (zh) 2005-11-08 2006-12-06 太思科技股份有限公司 双集成电路卡系统
US7395973B2 (en) 2005-12-08 2008-07-08 Chun-Hsin Ho Smart card
US8275312B2 (en) 2005-12-31 2012-09-25 Blaze Mobile, Inc. Induction triggered transactions using an external NFC device
WO2007110094A1 (en) * 2006-03-27 2007-10-04 Telecom Italia S.P.A. System for enforcing security policies on mobile communications devices
US20070262156A1 (en) * 2006-05-10 2007-11-15 Leison Technology Co., Ltd. Functional module improvement structure for expanded and enhanced SIM card
WO2007149687A2 (en) 2006-05-30 2007-12-27 Riverbed Technology, Inc. Selecting proxies from among autodiscovered proxies
US20080076474A1 (en) 2006-09-21 2008-03-27 Taisys Technologies Co., Ltd. Laminated card assembly
US20080083827A1 (en) 2006-10-06 2008-04-10 Taisys Technologies Co., Ltd. Security method of dual-card assembly
US20080099559A1 (en) 2006-10-31 2008-05-01 Macronix International Co., Ltd. Dual Interface SIM Card Adapter with Detachable Antenna
CN101193372B (zh) 2006-11-20 2010-10-13 太思科技股份有限公司 双卡组合的安全方法
CN101193135A (zh) 2006-11-20 2008-06-04 太思科技股份有限公司 迭层卡组合
US7997496B2 (en) 2007-01-16 2011-08-16 Scheir Peter L Laminated printable multi-layer card with entrapped security element
TWI351211B (ru) 2007-07-31 2011-10-21 Chunghwa Telecom Co Ltd
US8078226B2 (en) 2007-08-29 2011-12-13 Mxtran, Inc. Multiple interface card in a mobile phone
EP2045768A1 (en) 2007-10-03 2009-04-08 PosteMobile S.p.A. System based on a SIM card for performing services with high security features and relative method
US8290433B2 (en) 2007-11-14 2012-10-16 Blaze Mobile, Inc. Method and system for securing transactions made through a mobile communication device
US8352323B2 (en) 2007-11-30 2013-01-08 Blaze Mobile, Inc. Conducting an online payment transaction using an NFC enabled mobile communication device
US20100267419A1 (en) 2007-12-10 2010-10-21 Hirotaka Nishizawa Sim adapter and sim card
US8249553B2 (en) 2008-03-04 2012-08-21 Alcatel Lucent System and method for securing a base station using SIM cards
BRPI0802251A2 (pt) 2008-07-07 2011-08-23 Tacito Pereira Nobre system, method and device for authentication in electronic relationships
CA2732148C (en) 2008-07-28 2018-06-05 Digifonica (International) Limited Mobile gateway
EP2211295A3 (en) 2009-01-23 2011-01-19 Phytrex Technology Corporation Signal processing device applicable to a Subscriber Identity Module (SIM)
CN101826164B (zh) 2009-03-03 2012-08-29 太思科技股份有限公司 芯片卡组件及其制造方法
FR2944368B1 (fr) 2009-04-09 2012-03-02 Oberthur Technologies Ensemble a cle memoire comprenant une carte a microcircuit
WO2011017099A2 (en) * 2009-07-27 2011-02-10 Suridx, Inc. Secure communication using asymmetric cryptography and light-weight certificates
CN201532668U (zh) 2009-08-12 2010-07-21 钒创科技股份有限公司 电子钱包装置
US8644025B2 (en) * 2009-12-22 2014-02-04 Mxtran Inc. Integrated circuit film for smart card
CN102104029B (zh) 2009-12-22 2013-02-13 全宏科技股份有限公司 用于贴附于智能卡的集成电路贴片
US8544755B2 (en) 2010-06-28 2013-10-01 United Test And Assembly Center Ltd. Subscriber identity module (SIM) card
GB201015748D0 (en) 2010-09-21 2010-10-27 Stewart Mark J Sim device
EP2447985A1 (fr) 2010-10-29 2012-05-02 Gemalto SA Procédé pour réaliser des lignes d'interconnexion ou de redirection d'au moins un composant à circuit intégré
US8683053B2 (en) * 2010-12-28 2014-03-25 Sonus Networks, Inc. Methods and apparatus for establishing secure communications between client computing devices that use transport and security protocols
WO2013013189A2 (en) 2011-07-20 2013-01-24 Visa International Service Association Security gateway communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6438386B2 (en) * 1997-07-14 2002-08-20 Hughes Electronics Corporation Immediate channel assignment in a wireless system
RU2326503C2 (ru) * 2002-07-29 2008-06-10 Сименс Акциенгезелльшафт Шлюз среды передачи для предоставления услуг pstn/isdn в сетях следующего поколения
RU2263347C2 (ru) * 2003-11-04 2005-10-27 Общество с ограниченной ответственностью "Мобилити" Способ совершения платежных операций пользователями мобильных устройств электронной связи и компьютерная система безналичного расчета для его осуществления
WO2009082334A1 (en) * 2007-12-20 2009-07-02 Telefonaktiebolaget L M Ericsson (Publ) Method and arrangement in a telecommunication system

Also Published As

Publication number Publication date
WO2013013184A2 (en) 2013-01-24
US20140214687A1 (en) 2014-07-31
AP2014007429A0 (en) 2014-02-28
RU2014106290A (ru) 2015-08-27
AP201407429A0 (en) 2014-02-28
WO2013013192A3 (en) 2013-03-14
WO2013013192A2 (en) 2013-01-24
CN103828414A (zh) 2014-05-28
WO2013013189A3 (en) 2013-04-18
WO2013013168A3 (en) 2013-05-30
US9686235B2 (en) 2017-06-20
EP2735182A4 (en) 2014-12-31
AP2014007430A0 (en) 2014-02-28
CN103828414B (zh) 2017-11-17
EP2735182A2 (en) 2014-05-28
EP2735182B1 (en) 2018-07-11
ZA201400504B (en) 2015-12-23
WO2013013189A2 (en) 2013-01-24
WO2013013184A3 (en) 2013-05-02
US20140188738A1 (en) 2014-07-03
US9634988B2 (en) 2017-04-25
US8909556B2 (en) 2014-12-09
US20140215642A1 (en) 2014-07-31
AP3901A (en) 2016-11-17
US20150067820A1 (en) 2015-03-05
US20140290056A1 (en) 2014-10-02
AP2014007428A0 (en) 2014-02-28
AP201407430A0 (en) 2014-02-28
US9473454B2 (en) 2016-10-18
ZA201400505B (en) 2015-11-25
AP201407428A0 (en) 2014-02-28
AP3906A (en) 2016-11-23
WO2013013168A2 (en) 2013-01-24

Similar Documents

Publication Publication Date Title
JP6612358B2 (ja) ネットワークアクセスデバイスをワイヤレスネットワークアクセスポイントにアクセスさせるための方法、ネットワークアクセスデバイス、アプリケーションサーバ、および不揮発性コンピュータ可読記憶媒体
US10412083B2 (en) Dynamically generated SSID
US10368240B2 (en) Profile download method and apparatus for use in wireless communication system
CN103460674B (zh) 用于供应/实现推送通知会话的方法和推送供应实体
EP2632108B1 (en) Method and system for secure communication
US9824353B2 (en) Key protection method and system
EP2742711B1 (en) Detection of suspect wireless access points
US9686235B2 (en) Mobile banking system with cryptographic expansion device
KR101350538B1 (ko) 직접 링크 통신의 향상된 보안
US9106648B2 (en) Method and apparatus for data transmission
US8151336B2 (en) Devices and methods for secure internet transactions
JP5597676B2 (ja) 鍵マテリアルの交換
US7231521B2 (en) Scheme for authentication and dynamic key exchange
US10554420B2 (en) Wireless connections to a wireless access point
KR100975685B1 (ko) 무선 통신을 위한 안전한 부트스트래핑
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
US7734280B2 (en) Method and apparatus for authentication of mobile devices
CA2694500C (en) Method and system for secure communication
JP4546240B2 (ja) チャレンジ/レスポンス方式によるユーザー認証方法及びシステム
US7610056B2 (en) Method and system for phone-number discovery and phone-number authentication for mobile communications devices
JP4185580B2 (ja) 通信システムで安全に通信を行う方法
EP1277299B1 (en) Method for securing communications between a terminal and an additional user equipment
EP1430640B1 (en) A method for authenticating a user in a terminal, an authentication system, a terminal, and an authorization device
US8327143B2 (en) Techniques to provide access point authentication for wireless network
KR100952269B1 (ko) 가입 모듈로의 안전 접근

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20180721