RU2604328C1 - Способ формирования защищенного соединения в сетевой компьютерной системе - Google Patents

Способ формирования защищенного соединения в сетевой компьютерной системе Download PDF

Info

Publication number
RU2604328C1
RU2604328C1 RU2015126544/08A RU2015126544A RU2604328C1 RU 2604328 C1 RU2604328 C1 RU 2604328C1 RU 2015126544/08 A RU2015126544/08 A RU 2015126544/08A RU 2015126544 A RU2015126544 A RU 2015126544A RU 2604328 C1 RU2604328 C1 RU 2604328C1
Authority
RU
Russia
Prior art keywords
client computer
server
application
client
application server
Prior art date
Application number
RU2015126544/08A
Other languages
English (en)
Inventor
Леонид Анатольевич Тычина
Original Assignee
Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2015126544/08A priority Critical patent/RU2604328C1/ru
Application granted granted Critical
Publication of RU2604328C1 publication Critical patent/RU2604328C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1069Session establishment or de-establishment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к способам обеспечения безопасности в сетях передачи данных. Технический результат заключается в повышении защищенности соединения между компьютерами-клиентами. Указанный результат достигается за счет применения способа формирования защищенного соединения в сетевой компьютерной системе. Система включает прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер. Компьютеры-клиенты выполнены с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу. Посылают запрос из первого компьютера-клиента в прикладной сервер для осуществления взаимодействия со вторым компьютером-клиентом; анализируют в туннелирующем сервере ответ из прикладного сервера первому компьютеру-клиенту; если в ответе присутствует сетевой адрес второго компьютера-клиента, то передают из туннелирующего сервера первому компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом; формируют защищенное соединение между первым компьютером-клиентом и вторым компьютером-клиентом. 2 ил.

Description

Область техники, к которой относится изобретение
Предлагаемое изобретение относится к способам обеспечения безопасности в сетях передачи данных и, в частности, к способам организации защищенного канала передачи по требованию.
Уровень техники
Развитие сетей передачи данных привело к созданию многочисленных прикладных приложений, использующих сеть для взаимодействия. Актуальной задачей является обеспечение безопасности такого сетевого взаимодействия. Для обеспечения безопасности в практике используются различные решения.
Разработаны отдельные протоколы, обеспечивающие безопасность, например, архитектура безопасности IPsec [1, 2] обеспечивающие криптографическую защиту IP протокола.
В архитектуре IPsec предусмотрен способ организации защищенного канала передачи по требованию. Способ включает в себя предварительное определение диапазонов IP-адресов, взаимодействие по которым должно происходить по защищенному каналу. При начале взаимодействия по адресу из диапазона происходит организация защищенного канала. Защищенный канал при отсутствии активности удаляется.
Недостатком способа является необходимость заранее знать диапазоны IP-адресов, которые подлежат защите. Это часто невозможно, особенно в больших сетях.
Известен также способ маршрутизации пакетов [3], реализуемый в сетевой компьютерной системе.
Сетевая компьютерная система включает связанные через сеть центральный концентратор и компьютеры-клиенты, причем компьютеры-клиенты, в общем случае, могут входить в состав других подсетей, имеющих локальные концентраторы.
Способ включает следующие действия:
- получают пакет в центральном концентраторе, причем пакет, полученный от 1-го компьютера-клиента, предназначен для передачи 2-му компьютеру-клиенту;
- в ответ на получение пакета в центральном концентраторе направляют запрос 2-му компьютеру-клиенту, чтобы передать в центральный концентратор информацию о множестве сетей, с которыми связан 2-ой компьютер-клиент;
- на основе информации, переданной 2-ым компьютером-клиентом о множестве сетей, с которыми связан 2-ой компьютер-клиент, находят путь для пакета, причем этот путь определяет предпочтительный маршрут, который проходит через центральный концентратор от 1-го компьютера-клиента ко 2-му компьютеру-клиенту;
- отправляют перенаправленное сообщение к 1-му компьютеру-клиенту, причем перенаправленное сообщение отправляет пакет по найденному пути;
причем нахождение пути включает:
- нахождение множества маршрутов, проходящих от 1-го компьютера-клиента ко 2-му компьютеру-клиенту;
- выбор предпочтительного маршрута из множества маршрутов, причем предпочтительный маршрут является оптимальным путем от 1-го компьютера-клиента ко 2-му компьютеру-клиенту и определяется из информации, сохраняемой в центральном концентраторе, а информация связана с 1-ым компьютером-клиентом и 2-ым компьютером-клиентом;
причем отправка перенаправленного сообщения включает:
- определение соединения, через которое центральный концентратор получил пакет от 1-го компьютера-клиента;
- определение адреса источника, связанного с пакетом;
- передача в адрес источника, через определенное соединение, перенаправленного сообщения,
- перенаправление пакета по предпочтительному маршруту.
Способ также может включать создание для найденного пути туннеля, который обеспечивается в составе центрального концентратора.
В известном способе не требуется, чтобы в концентратор каждой подсети передавались сведения обо всех маршрутах (диапазоны IP-адресов, подлежащие защите), но необходимо, чтобы концентраторы всех подсетей использовали центральный концентратор в качестве маршрута по умолчанию.
Необходимость использования центрального концентратора в качестве маршрута по умолчанию является недостатком известного способа. Это создает повышенную избыточную нагрузку на центральный концентратор и на сеть в целом, особенно при шифровании канала между концентраторами.
Описанный способ принимается за прототип.
Известный способ относится к большим сетям, в общем случае, включающим множество подсетей. Вместе с тем, довольно часто встречается более простая схема работы сетевого узла, оказывающего различные услуги пользователям и использующего прикладные приложения.
Обычно в такой схеме используется центральный сервер, на котором установлено прикладное приложение (прикладной сервер), а компьютеры-клиенты взаимодействуют с прикладным сервером, посылая запросы и получая ответы, с использованием определенного прикладного протокола, причем типичной потребностью является формирование защищенных соединений непосредственно между компьютерами-клиентами, без использования прикладного сервера.
В качестве характерного примера можно привести работу прикладного сервера, обеспечивающего телефонную цифровую связь между абонентами, подключенными к сети передачи данных, например, внутри одной компании. Обеспечение соединения здесь возможно между абонентами через центральный сервер, но более предпочтительно устанавливать соединение непосредственно между абонентами.
Предлагаемый способ предназначен для использования именно в такой, более простой схеме. При этом, в отличие от прототипа, оптимизировать путь между компьютерами-клиентами, в общем случае, нет необходимости.
Раскрытие изобретения
Техническим результатом является снижение нагрузки сети в целом, прикладного и туннелирующего серверов.
Основная идея заключается в том, чтобы при начале сетевого обмена через прикладной протокол формировать защищенный канал связи.
Для этого предлагается способ формирования защищенного соединения в сетевой компьютерной системе,
причем система включает
- прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер,
- туннелирующий сервер, обеспечивающий защищенное соединение для компьютеров-клиентов с прикладным сервером,
- компьютеры-клиенты, выполненные с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу,
способ заключается в том, что
- посылают запрос из 1-го компьютера-клиента в прикладной сервер для осуществления взаимодействия со 2-м компьютером-клиентом;
- получают запрос от 1-го компьютера-клиента в прикладном сервере;
- посылают ответ на запрос из прикладного сервера 1-му компьютеру-клиенту, в котором содержится сетевой адрес 2-го компьютера-клиента;
- анализируют в туннелирующем сервере ответ из прикладного сервера 1-му компьютеру-клиенту;
- если в ответе присутствует сетевой адрес 2-го компьютера-клиента, то передают из туннелирующего сервера 1-му компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом;
- получают в 1-м компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию для установки защищенного соединения со 2-м компьютером-клиентом;
- формируют защищенное соединение между 1-м компьютером-клиентом и 2-м компьютером-клиентом.
Способ предполагает наличие прикладного сервера, например это может быть служба имен, сервер IP-телефонии или сервер видеоконференций.
Доступ к прикладному серверу осуществляется через туннелирующий сервер. Туннелирующий сервер осуществляет пересылку сетевых пакетов между прикладным сервером и компьютерами-клиентами в защищенном виде.
Компьютер-клиент - это потребитель услуг прикладного сервера. Компьютер-клиент подключается к прикладному серверу через туннелирующий сервер, причем сетевой обмен между компьютером-клиентом и прикладным сервером на участке от клиента до туннелирующего сервера осуществляется в защищенном формате, прозрачно для прикладного протокола (фиг. 1).
Защищенный канал между клиентом и туннелирующим сервером, например, можно построить с помощью IPsec.
Способ позволяет инициировать защищенный канал между клиентами в момент, когда инициируется прямое взаимодействие по прикладному протоколу. Примерами могут служить IP-телефония или видеоконференции: в момент совершения звонка они взаимодействуют с сервером прикладного протокола, далее взаимодействие идет напрямую между клиентами.
При инициировании соединения и посылке запроса из 1-го компьютера-клиента в прикладной сервер, для последующего осуществления взаимодействия со 2-м компьютером-клиентом, в состав запроса 1-й компьютер-клиента включаются сведения о 2-м компьютере-клиенте, сетевой адрес которого предполагается получить. В качестве таких сведений, в зависимости от вида прикладных услуг, может быть использован, например, номер телефона, идентификатор (имя) абонента и др.
При получении запроса из 1-го компьютера-клиента прикладной сервер на основе сведений запроса и имеющейся у него информации обо всех компьютерах-клиентах определяет сетевой адрес 2-го компьютера-клиента и высылает ответ, содержащий сетевой адрес 2-го компьютера-клиента.
Далее, в отличие от прототипа, нет необходимости маршрутизировать весь трафик на туннелирующий сервер, достаточно, чтобы трафик до прикладного сервера всегда шел через туннелирующий сервер.
Краткое описание чертежей
На фиг. 1 показана общая схема сетевой компьютерной системы для реализации предложенного способа.
На фиг. 2 показана схема взаимодействия в сетевой компьютерной системе для реализации предложенного способа.
Осуществление изобретения
Рассмотрим пример реализации предложенного способа в сетевой компьютерной системе.
Наиболее общий случай предусматривает, что прикладной и туннелирующий серверы территориально расположены в одном месте, компьютеры-клиенты - в разных местах, а в качестве сети используется сеть Интернет.
Прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер, представляет собой компьютер, на котором установлено общесистемное, серверное и прикладное программное обеспечение (ПО) и который связан через сетевой интерфейс с туннелирующим сервером. Прикладное ПО позволяет принимать и обрабатывать запросы от компьютеров-клиентов и, таким образом, оказывать услуги, например, видеоконференцсвязи.
Обычными предварительными условиями работы прикладного сервера является формирование внутренней базы данных, в которой после стандартной процедуры регистрации клиентов находится минимально необходимая информация о клиентах (как правило, это имя абонента, пароль доступа к услуге, данные об оплате услуги, актуальный сетевой адрес компьютера-клиента в момент входа в систему, тип протокола, факт соединений в текущий момент и пр.).
В качестве туннелирующего сервера также используется компьютер, на котором установлено общесистемное, серверное и прикладное ПО и который связан через сетевой интерфейс с прикладным сервером и сетью Интернет. Прикладное ПО туннелирующего сервера позволяет принимать и обрабатывать запросы от прикладного сервера и компьютеров-клиентов и обеспечивать защищенное соединение (туннель) между заданными адресами в сети.
Каждый компьютер-клиент представляет собой компьютер, на котором установлено общесистемное и прикладное ПО и который связан через сетевой интерфейс с сетью Интернет. Прикладное ПО компьютера-клиента позволяет посылать запросы прикладному серверу и принимать от него ответы, а также обеспечивать реализацию прикладных услуг пользователям и устанавливать защищенные соединения с другими компьютерами-клиентами.
При реализации предложенного способа, из 1-го компьютера-клиента, заранее зарегистрированного в прикладном сервере, начавшего активную сессию и предполагающего установить защищенное соединение со 2-м компьютером-клиентом, посылают запрос в прикладной сервер для осуществления взаимодействия со 2-м компьютером-клиентом, причем запрос содержит сведения о 2-м компьютере-клиенте (например, имя абонента, использующего 2-й компьютер-клиент в системе).
В прикладном сервере получают запрос от 1-го компьютера-клиента, выделяют в запросе имя абонента, определяют, что искомое имя зарегистрировано в базе данных прикладного сервера, причем в данный момент компьютер-клиент с таким именем также начал активную сессию и имеет определенный сетевой адрес, и посылают 1-му компьютеру-клиенту ответ на запрос из прикладного сервера, в котором содержится актуальный в данный момент сетевой адрес 2-го компьютера-клиента.
Ответ на запрос из прикладного сервера проходит через туннелирующий сервер, в котором анализируется ответ из прикладного сервера 1-му компьютеру-клиенту. Анализ состоит в определении факта ответа на запрос 1-му компьютеру-клиенту и наличии сетевого адреса 2-го компьютера-клиента.
Если в ответе присутствует сетевой адрес 2-го компьютера-клиента, то передают из туннелирующего сервера 1-му компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом.
Затем получают в 1-м компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом.
После этого формируют защищенное соединение между 1-м компьютером-клиентом и 2-м компьютером-клиентом с помощью прикладного ПО двух компьютеров-клиентов.
Далее весь трафик защищенного соединения между двумя компьютерами-клиентами идет напрямую между двумя сетевыми адресами, и ресурсы прикладного и туннелирующего сервера не используются, что снижает нагрузку на сеть в целом, на прикладной и туннелирующий серверы.
Все действия способа выполняются в автоматическом режиме с помощью соответствующего прикладного ПО, которое на основе знания содержания выполняемых действий и особенностей известных прикладных протоколов может быть разработано специалистом по программированию (программистом) и установлено на компьютерах системы.
Источники информации
1. RFC 4302 - Идентификационный заголовок IP, 2005, материал по адресу http://rfc2.ru/4302.rfc
2. RFC 4303 - Инкапсуляция защищенных данных IP (ESP), материал по адресу http://rfc2.ru/4303.rfc
3. Патент США №8499095, приоритет от 25.05.2006 г.

Claims (1)

  1. Способ формирования защищенного соединения в сетевой компьютерной системе, причем система включает
    прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер,
    туннелирующий сервер, обеспечивающий защищенное соединение для компьютеров-клиентов с прикладным сервером,
    компьютеры-клиенты, выполненные с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу,
    способ, заключающийся в том, что:
    посылают запрос из первого компьютера-клиента в прикладной сервер для осуществления взаимодействия со вторым компьютером-клиентом;
    получают запрос от первого компьютера-клиента в прикладном сервере;
    посылают ответ на запрос из прикладного сервера первому компьютеру-клиенту, в котором содержится сетевой адрес второго компьютера-клиента;
    анализируют в туннелирующем сервере ответ из прикладного сервера первому компьютеру-клиенту;
    если в ответе присутствует сетевой адрес второго компьютера-клиента, то передают из туннелирующего сервера первому компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом;
    получают в первом компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом;
    формируют защищенное соединение между первым компьютером-клиентом и вторым компьютером-клиентом.
RU2015126544/08A 2015-07-03 2015-07-03 Способ формирования защищенного соединения в сетевой компьютерной системе RU2604328C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2015126544/08A RU2604328C1 (ru) 2015-07-03 2015-07-03 Способ формирования защищенного соединения в сетевой компьютерной системе

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2015126544/08A RU2604328C1 (ru) 2015-07-03 2015-07-03 Способ формирования защищенного соединения в сетевой компьютерной системе

Publications (1)

Publication Number Publication Date
RU2604328C1 true RU2604328C1 (ru) 2016-12-10

Family

ID=57776969

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015126544/08A RU2604328C1 (ru) 2015-07-03 2015-07-03 Способ формирования защищенного соединения в сетевой компьютерной системе

Country Status (1)

Country Link
RU (1) RU2604328C1 (ru)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2132597C1 (ru) * 1998-03-25 1999-06-27 Войсковая часть 43753 Способ шифрования и передачи шифрованной речевой информации в сетях сотовой подвижной связи стандартов gsm-900, dcs-1800
RU2292648C2 (ru) * 2002-05-01 2007-01-27 Телефонактиеболагет Лм Эрикссон (Пабл) Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети
US8499095B1 (en) * 2006-05-25 2013-07-30 Cisco Technology, Inc. Methods and apparatus for providing shortcut switching for a virtual private network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2132597C1 (ru) * 1998-03-25 1999-06-27 Войсковая часть 43753 Способ шифрования и передачи шифрованной речевой информации в сетях сотовой подвижной связи стандартов gsm-900, dcs-1800
RU2292648C2 (ru) * 2002-05-01 2007-01-27 Телефонактиеболагет Лм Эрикссон (Пабл) Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети
US8499095B1 (en) * 2006-05-25 2013-07-30 Cisco Technology, Inc. Methods and apparatus for providing shortcut switching for a virtual private network

Similar Documents

Publication Publication Date Title
US11165604B2 (en) Method and system used by terminal to connect to virtual private network, and related device
CN110301126B (zh) 会议服务器
US10637970B2 (en) Packet processing method and apparatus
JP5735016B2 (ja) ピアツーピアハイブリッド通信のためのシステムおよび方法
JP6014297B2 (ja) 異なる端末のアプリケーション間の通信
RU2660620C1 (ru) Устройство связи и способ обхода брандмауэра шлюза уровня приложения при установлении rtc-соединения связи между rtc-клиентом и rtc-сервером
JP4575980B2 (ja) コンピュータシステムにおける通信のための方法、システム、及びコンピュータプログラム
US10454880B2 (en) IP packet processing method and apparatus, and network system
US20220086691A1 (en) User Data Traffic Handling
US10742696B2 (en) Relaying media content via a relay server system without decryption
US20180062992A1 (en) Executing Multiple Virtual Private Network (VPN) Endpoints Associated with an Endpoint Pool Address
TW200935848A (en) Selectively loading security enforcement points with security association information
WO2024021414A1 (zh) 数据传输
CN107135190B (zh) 基于传输层安全连接的数据流量归属识别方法及装置
US20090144433A1 (en) Traffic Differentiated Network Services
CN113472668B (zh) 多方安全计算中的路由方法和系统
US10944734B2 (en) Creating secure encrypted broadcast/multicast groups over wireless network
US20170207921A1 (en) Access to a node
CN107547680B (zh) 一种数据处理方法及装置
RU2604328C1 (ru) Способ формирования защищенного соединения в сетевой компьютерной системе
CN102158477A (zh) 一种通信系统和信息交互方法
CN110995730B (zh) 数据传输方法、装置、代理服务器和代理服务器集群
US10959100B1 (en) Secured communications routing in a network
CN113098864B (zh) 一种数据传输系统
US20230199001A1 (en) Secure streaming media based on updating hypercontent in a secure peer-to-peer data network