способ установления vpn-соединения
Классы МПК: | H04L12/46 схемы соединения сетей |
Автор(ы): | КАЛЬВЕТ Хуан Карлос Лопес (NO) |
Патентообладатель(и): | ТЕЛЕНОР АСА (NO) |
Приоритеты: |
подача заявки:
2004-08-17 публикация патента:
27.03.2009 |
Настоящее изобретение относится к способу, мобильному коммуникационному терминалу и системе, реализующим установление VPN-соединения между первым компьютером и вторым компьютером, подключенными к сети, например Интернету. Технические результат заключается в повышении экономичности реализации системы. Первый мобильный терминал имеет возможность установления локального Bluetooth-соединения с первым компьютером. Аналогично, второй мобильный терминал имеет возможность установления локального Bluetooth-соединения со вторым компьютером. Указанный способ реализуется вторым мобильным терминалом и включает в себя следующие шаги: получение зашифрованного сообщения-запроса, содержащего IP-адрес первого компьютера и общий секретный объект, от первого мобильного терминала; дешифрование сообщения-запроса с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу; получение команды-ответа от второго компьютера; посылка сообщения-ответа, содержащего IP-адрес второго компьютера, на первый мобильный терминал. 3 н. и 8 з.п. ф-лы, 3 ил.
Формула изобретения
1. Способ установления соединения типа "виртуальная частная сеть" в сети (110) связи между первым компьютером (150) и вторым компьютером (160), подключенными к указанной сети, причем первый мобильный коммуникационный терминал (154) выполнен с возможностью установления локальной связи с первым компьютером (150), а второй мобильный коммуникационный терминал (164) выполнен с возможностью установления локальной связи со вторым компьютером (160), отличающийся тем, что указанный способ выполняется посредством второго мобильного терминала (164) и включает в себя следующие шаги:
осуществляют получение зашифрованного сообщения-запроса от первого мобильного терминала (154), причем сообщение-запрос содержит информацию, включающую в себя сетевой адрес первого компьютера (150) и общий секретный объект;
осуществляют дешифрование указанного сообщения-запроса с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу (164);
осуществляют посылку сообщения конфигурации, содержащего сетевой адрес первого компьютера (150) и общий секретный объект, на второй компьютер (160);
осуществляют получение команды-ответа от второго компьютера (160);
после получения указанной команды-ответа осуществляют передачу сообщения-ответа, содержащего информацию, включающую в себя сетевой адрес второго компьютера (160), на первый мобильный терминал (154),
в результате чего первый компьютер (150) приобретает возможность получения сетевого адреса второго компьютера (160); а второй компьютер (160) приобретает возможность получения сетевого адреса первого компьютера (150) и общего секретного объекта, что позволяет установить соединение типа "виртуальная частная сеть" между первым компьютером (150) и вторым компьютером (160).
2. Способ по п.1, отличающийся тем, что закрытый ключ (PrivKeyB) хранят в модуле идентификации абонента, установленном во втором мобильном терминале (164).
3. Способ по п.2, отличающийся тем, что команда-ответ включает в себя сообщение-ответ.
4. Способ по п.3, отличающийся тем, что сообщение-запрос получают из сети (120) мобильной связи, причем сообщение-ответ посылают в сеть (120) мобильной связи.
5. Способ по п.4, отличающийся тем, что сеть (120) мобильной связи представляет собой сеть мобильной телефонной связи, совместимую со стандартом GSM, причем сообщение-запрос и сообщение-ответ представляют собой SMS-сообщения.
6. Способ по п.5, отличающийся тем, что сообщение-запрос шифруют с помощью открытого ключа (PubKeyB), принадлежащего второму мобильному терминалу (164), а сообщение-ответ шифруют с помощью закрытого ключа (PrivKeyB), принадлежащего второму мобильному терминалу (164).
7. Способ по одному из пп.1-6, отличающийся тем, что локальную связь между вторым мобильным терминалом (164) и вторым компьютером (160) осуществляют на основе беспроводного соединения малой дальности, реализованного в соответствии со спецификацией Bluetooth.
8. Способ по п.1, отличающийся тем, что локальная связь между первым мобильным терминалом (154) и первым компьютером (150) представляет собой беспроводное соединение малой дальности, реализованное в соответствии со спецификацией Bluetooth.
9. Способ по п.1, отличающийся тем, что первый мобильный терминал (154) и первый компьютер (150) объединены в одно мобильное устройство, например, персональный цифровой ассистент, причем указанную локальную связь между первым мобильным терминалом (154) и первым компьютером (150) осуществляют внутри указанного мобильного устройства на основе проводного соединения.
10. Мобильный коммуникационный терминал (164) для установления соединения типа "виртуальная частная сеть" между первым компьютером (150) и вторым компьютером (160) в сети (110) связи, включающий в себя следующие компоненты:
компонент мобильного телефона, обеспечивающий радиосвязь;
коммуникационный интерфейс, обеспечивающий локальную связь с компьютером,
причем указанный мобильный терминал выполнен с возможностью осуществления способа по одному из пп.1-9.
11. Система для установления соединения типа "виртуальная частная сеть" в сети (110) связи, включающая в себя первый компьютер (150) и второй компьютер (160), подключенные к сети (110) связи, причем предусмотрен первый мобильный коммуникационный терминал (154), выполненный с возможностью установления локальной связи с первым компьютером (150), и второй мобильный терминал (164), выполненный с возможностью установления 5 локальной связи со вторым компьютером (160), отличающаяся тем, что второй мобильный коммуникационный терминал (164) выполнен с возможностью осуществления способа по одному из пп.1-9.
Описание изобретения к патенту
Область техники, к которой относится изобретение
Настоящее изобретение, в основном, относится к области защиты информации, и, в частности, к области установления соединения типа "виртуальная частная сеть" (Virtual Private Network, далее обозначается как "VPN-сеть") в сети связи между первым и вторым компьютерами, подключенными к этой сети.
В частности, первый мобильный коммуникационный терминал имеет функцию установления локальной связи с первым компьютером, второй мобильный коммуникационный терминал имеет функцию установления локальной связи со вторым компьютером и способ по изобретению осуществляется указанным вторым мобильным терминалом.
Изобретение также относится к мобильному коммуникационному терминалу, имеющему функцию осуществления указанного способа, и системе, компонентом которой является мобильный коммуникационный терминал, имеющий функцию осуществления указанного способа.
Уровень техники
Виртуальная частная сеть представляет собой частную сеть, функционирующую на основе сети общего пользования, и, в частности, ее телекоммуникационной инфраструктуры. VPN-сети широко используются для предоставления мобильным и удаленным пользователям возможности подключения к внутренним локальным сетям своих компаний.
В последние годы широко применяется технология обеспечения доступа к VPN-сетям, известная как IPSec (Internet Protocol Security, безопасность IP-протоколов). Безопасность, обеспечиваемая при использовании IPSec, базируется на применении протоколов туннелирования и процедур защиты.
Для установления соединения с использованием IPSec по VPN-туннелю между двумя оконечными или клиентскими компьютерами, подключенными к Интернету, должно выполняться следующее условие: на каждом компьютере должны присутствовать определенные конфигурационные данные, в том числе IP-адреса обоих компьютеров, и некий секретный объект, общий для этих компьютеров, например, случайное число или буквенно-цифровая строка. При наличии этой информации каждый компьютер может выполнять процесс конфигурирования, в результате которого устанавливается соединения VPN.
Существует безопасный способ обмена информацией в пределах некоторой организации, промышленной отрасли или страны, а также в мировом масштабе, известный как PKI (Public Key Infrastructure, инфраструктура открытого ключа). В PKI используется способ асимметричного шифрования, также известный как "способ с открытым/закрытым ключом", который применяется для шифрования идентификаторов и документов/сообщений. Орган выдачи полномочий (certificate authority, CA) выдает цифровые сертификаты (цифровые идентификаторы), которые служат для подтверждения легитимности лиц и организаций в общедоступных сетях, например в Интернете.
Раскрытие изобретения
Задача, на решение которой направлено настоящее изобретение, заключается в создании способа, устройства и системы, реализующих установление соединения типа "виртуальная частная сеть" в сети связи между первым и вторым компьютерами, подключенными к этой сети.
Другая задача настоящего изобретения заключается в создании способа, устройства и системы, являющихся экономически эффективными и легкими в реализации и использовании.
Еще одна задача настоящего изобретения заключается в создании способа, устройства и системы, задействующих имеющуюся инфраструктуру, например, крупномасштабную систему мобильной связи, а также развивающиеся технологии, такие как связь Bluetooth (технология беспроводной ближней коротковолновой радиосвязи, позволяющая объединять устройства разных типов для передачи речи и данных).
Еще одна задача настоящего изобретения заключается в создании способа, устройства и системы, предоставляющих обычным клиентам возможность легкого установления VPN-соединений, которая позволяла бы упростить внедрение новых методов электронной коммерции и решений по оплате в режиме on-line.
Решение по меньшей мере некоторых из вышеперечисленных задач достигается посредством способа, мобильного коммуникационного терминала и системы, описанных в независимых пунктах прилагаемой формулы изобретения. Другие существенные преимущества реализуются в вариантах осуществления, описанных в зависимых пунктах формулы изобретения.
Перечень чертежей
Свойства и достоинства настоящего изобретения станут ясны из нижеследующего описания, содержащего ссылки на прилагаемые чертежи, которые иллюстрируют вариант осуществления изобретения, не вносящий каких-либо ограничений. На чертежах:
на фиг.1 приведена структурная схема системы для реализации способа в соответствии с настоящим изобретением;
на фиг.2 приведена временная диаграмма, отражающая весь процесс установления VPN-соединения;
на фиг.3 показана блок-схема способа в соответствии с настоящим изобретением.
Осуществление изобретения
На фиг.1 изображена структурная схема, описывающая систему, в которой используется способ по настоящему изобретению.
Первый клиентский компьютер 150 (А) и второй клиентский компьютер 160 (В) на исходном этапе подключаются к глобальной цифровой сети 110 связи, например, Интернету.
Задача изобретения состоит в установлении VPN-соединения между А и В, т.е. между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
Каждому из клиентских компьютеров 150, 160 назначается адрес (IP-адрес) в сети 110. Кроме того, на каждом клиентском компьютере 150, 160 имеется программное обеспечение, например, Интернет-браузер, которое позволяет получать доступ к World Wide Web с помощью этого компьютера. Далее, каждый клиентский компьютер 150, 160 имеет интерфейс локальной связи, например, радиочастотный Bluetooth-трансивер, предназначенный для обеспечения локальной связи малой дальности с удаленными периферийными устройствами.
Спецификация Bluetooth относится к области компьютерной техники и телекоммуникаций. Она описывает простой способ взаимодействия между мобильными телефонами, компьютерами и персональными цифровыми ассистентами (personal digital assistants, PDAs) посредством локального (имеющего малый радиус действия) беспроводного соединения. Типичное Bluetooth-устройство представляет собой трансивер, выполненный в виде микросхемы и осуществляющий прием/передачу сигнала в частотном диапазоне 2.45 ГГц. Каждое устройство имеет уникальный 48-битный адрес, соответствующий стандарту IEEE 802. Соединения могут быть двухточечными или многоточечными. Максимальная дальность связи составляет 10 метров. Используемый принцип скачкообразной смены частот позволяет устанавливать связь между устройствами даже в местах с высоким уровнем электромагнитных помех. При работе Bluetooth-соединений малой дальности используются изначально предусмотренные в Bluetooth функции шифрования и аутентификации.
Далее, на каждом из клиентских компьютеров 150, 160 имеется программное обеспечение, предназначенное для взаимодействия с удаленными периферийными устройствами посредством указанного интерфейса локальной связи.
Первый мобильный терминал 154 функционирует в паре с первым клиентским компьютером 150. Первый мобильный терминал 154 имеет две независимые функции связи. Во-первых, мобильный терминал 154 имеет интерфейс связи, предназначенный для локального взаимодействия с первым клиентским компьютером 150 и представляющий собой, например, радиочастотный Bluetooth-трансивер. Во-вторых, мобильный терминал 154 имеет функцию работы в сети 120 мобильной телефонной связи на основе радиочастотного соединения с базовой станцией 122, в зоне покрытия которой находится мобильный терминал 154. В частности, в этой сети мобильной телефонной связи предоставляется услуга обмена сообщениями, например услуга отправки и приема SMS, что позволяет передавать цифровые сообщения с мобильного терминала 154 на другой мобильный терминал, работающий в сети 120 мобильной телефонной связи.
Аналогично, второй мобильный терминал 164 функционирует в паре со вторым клиентским компьютером 160 на стороне В. Второй мобильный терминал 164 также имеет две независимые функции связи. Во-первых, мобильный терминал 164 имеет интерфейс связи, предназначенный для локального взаимодействия со вторым клиентским компьютером 160 и представляющий собой, например, радиочастотный Bluetooth-трансивер. Во-вторых, мобильный терминал 164 имеет функцию работы в сети 120 мобильной телефонной связи на основе радиочастотного соединения с базовой станцией 124, в зоне покрытия которой находится мобильный терминал 164. Услуга обмена сообщениями, предоставляемая в сети 120 мобильной телефонной связи, например, услуга отправки и приема SMS, позволяет передавать цифровые сообщения с мобильного терминала 164 на другой мобильный терминал, работающий в этой сети, и принимать такие сообщения. Как правило, сеть 120 мобильной телефонной связи представляет собой GSM-сеть и позволяет передавать и принимать SMS-сообщения с помощью терминалов мобильной связи, подключенных к сети 120.
В каждом из мобильных терминалов 154, 164 имеется SIM-карта (Subscriber Identification Module, модуль идентификации абонента).
На фиг.2 приведена временная диаграмма, иллюстрирующая весь процесс установления VPN-соединения между первым клиентским компьютером 150 и вторым клиентским компьютером 160. При описании системы на фиг.2 для наглядности также используются ссылки на фиг.1.
Для установления VPN-туннеля между первым клиентским компьютером 150 и вторым клиентским компьютером 160 необходимо наличие следующих конфигурационных данных на каждом из клиентских компьютеров 150, 160:
(1) IP-адреса обоих клиентских компьютеров;
(2) некий секретный объект, общий для обоих компьютеров.
Дальнейший процесс установления VPN-соединения или туннеля на основе указанных конфигурационных данных соответствует обычной процедуре, известной специалисту в данной области техники, основанной на спецификации IPSec.
На начальном шаге 202 процесса пользователь вводит запрос на первом клиентском компьютере 150. Запрос включает в себя идентификатор второго мобильного терминала 164, например, его телефонный номер.
Затем, на шаге 204 генерации секретного объекта, первый клиентский компьютер 150 генерирует "общий секретный объект", например, псевдослучайное число или буквенно-цифровую строку.
Далее, на шаге 206 передачи команды-запроса, первый клиентский компьютер 150 передает на первый мобильный терминал 154 команду-запрос по первому локальному Bluetooth-соединению 152. Встроенные функции связи стандарта Bluetooth обеспечивают передачу данных в зашифрованной форме, что существенно для сохранения безопасности и конфиденциальности. В указанную команду входят данные, представляющие сгенерированный общий секретный объект, IP-адрес первого клиентского компьютера 150 и идентификатор второго мобильного терминала 164; по этой команде первый мобильный терминал А посылает сообщение-запрос на последующем шаге 208.
В ответ на полученную команду-запрос первый мобильный терминал инициирует шаг 208 передачи сообщения-запроса, в течение которого первый мобильный терминал 154 посылает сообщение-запрос, например SMS-сообщение, на идентифицированный второй мобильный терминал 164 по сети 120 мобильной связи. Сообщение-запрос включает в себя общий секретный объект и IP-адрес первого клиентского компьютера 150.
При выполнении шагов 206 и 208 первый мобильный терминал 154 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять первый клиентский компьютер 150 посредством Bluetooth-соединения. Генерация сообщения-запроса в этом случае выполняется первым клиентским компьютером 150, и это сгенерированное сообщение-запрос будет содержаться в команде-запросе, посылаемой на шаге 206; после ее получения первый мобильный терминал 154 выполняет пересылку сообщения-запроса с его предварительным преобразованием в SMS.
Указанное сообщение-запрос шифруется с помощью открытого ключа, принадлежащего второму мобильному терминалу 164.
После получения SMS-сообщения второй мобильный терминал 164 выполняет шаг 210 дешифрования запроса, который заключается в дешифровании сообщения-запроса с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164. Указанный закрытый ключ предпочтительно хранится в SIM-карте (модуле идентификации подписчика), установленном во втором мобильном терминале. Для получения доступа к закрытому ключу, хранящемуся в SIM-карте, оператору второго мобильного терминала 164 необходимо ввести PIN-код на мобильном терминале 164.
После дешифрования сообщения-запроса второй мобильный терминал 164 выполняет шаг 212 передачи сообщения конфигурации; в течение этого шага производится передача конфигурационных данных, в том числе IP-адреса первого клиентского компьютера 150 и общего секретного объекта, по Bluetooth-соединению на второй клиентский компьютер 160.
Второй клиентский компьютер 160, получивший сообщение с конфигурационными данными, т.е. поступление конфигурационных данных, содержащих как IP-адрес первого клиентского компьютера, так и общий секретный объект, инициирует процесс 214 конфигурирования, включающий в себя конфигурирование туннельного VPN-соединения между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
Далее второй клиентский компьютер 160 выполняет шаг 216 посылки команды-ответа. На этом шаге выполняется посылка команды-ответа второму клиентскому компьютеру по второму Bluetooth-соединению 162.
В ответ на получение команды-ответа второй мобильный терминал инициирует шаг 218 передачи сообщения-ответа, в течение которого второй мобильный терминал 164 посылает сообщение-ответ, например, SMS-сообщение, на первый мобильный терминал 154 по сети 120 мобильной связи. Это сообщение-ответ содержит IP-адрес второго клиентского компьютера 160.
При выполнении шагов 216 и 218 второй мобильный терминал 164 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять второй клиентский компьютер 160 посредством Bluetooth-соединения. В этом случае второй клиентский компьютер 160 генерирует сообщение-ответ, и команда-ответ, посылаемая на шаге 216, будет содержать сгенерированное сообщение-ответ; после его получения второй мобильный терминал 164 выполняет пересылку сообщения-ответа с его предварительным преобразованием в SMS.
Указанное сообщение-ответ шифруется с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164 и расположенного в его SIM-карте.
После получения сообщения-ответа первым мобильным терминалом 154 на шаге 218 выполняется шаг 220 дешифрования сообщения-ответа, на котором производится дешифрование сообщения-ответа. Шаг 220 дешифрования в основном соответствует описанному ранее шагу 210 дешифрования, выполняемому вторым мобильным терминалом 164.
После шага 220 дешифрования первый мобильный терминал 154 выполняет шаг 222 передачи сообщения конфигурации, в течение которого производится передача конфигурационных данных, в том числе IP-адреса второго клиентского компьютера, по локальному Bluetooth-соединению на первый клиентский компьютер.
Таким образом, к этому моменту на первом клиентском компьютере имеется общий секретный объект и IP-адрес второго клиентского компьютера, что позволяет первому клиентскому компьютеру 150 инициировать процесс 224 конфигурирования VPN-туннеля. Кроме того, следует отметить, что второй клиентский компьютер 160 к этому моменту инициирует процесс 214 конфигурирования. Выполнение процессов 214, 224 конфигурирования обеспечивает возможность создания VPN-туннеля между первым клиентским компьютером 150 и вторым клиентским компьютером 160.
На фиг.3 приведена схема процесса, иллюстрирующая способ по настоящему изобретению.
Полный процесс, показанный на фиг.2, включает в себя шаги, выполняемые различными сторонами. Способ, показанный на фиг.3, в рамках вышеописанного общего процесса относится к шагам, выполняемым вторым мобильным терминалом 164.
Данный способ позволяет устанавливать соединение типа "виртуальная частная сеть", в частности, туннель в соответствии со спецификацией IPSec, в сети 110 связи между первым компьютером 150 и вторым компьютером 160, подключенными к этой сети.
При описании указанного способа также используются ссылки на систему, изображенную на фиг.1. Более конкретно: первый мобильный терминал 154 имеет функцию установления локальной связи (например, Bluetooth) с первым компьютером 150, второй мобильный терминал 164 имеет функцию установления локальной связи (например, Bluetooth) со вторым компьютером 160. Кроме того, мобильные терминалы 154, 164 имеют функцию взаимодействия между собой по сети 120 мобильной связи.
Шаги описываемого способа выполняются вторым мобильным терминалом 164. Исходный этап способа обозначен ссылкой 301.
Вначале, на шаге 308 получения запроса, происходит получение зашифрованного сообщения-запроса. Этот шаг соответствует шагу 208 посылки запроса на фиг.2, на котором происходит посылка сообщения-запроса первым мобильным терминалом 154. В этом сообщении-запросе содержится информация, включающая в себя сетевой адрес (IP-адрес) первого компьютера 150 и общий секретный объект, сгенерированный первым клиентским компьютером 150 на шаге 204 и переданный по локальному Bluetooth-соединению на первый мобильный терминал 154 на шаге 206 (фиг.2). Сообщение-запрос предпочтительно имеет форму SMS и передается/принимается посредством сети 120 мобильной связи. Указанное сообщение-запрос шифруется с помощью открытого ключа, принадлежащего мобильному терминалу 164.
На шаге 309 проверки выполняется проверка факта получения сообщения запроса; процесс по способу переходит к шагу 310 только в том случае, если оно было получено. В противном случае ожидается поступление этого сообщения-запроса.
На шаге 310 дешифрования, соответствующем шагу 210 дешифрования на фиг.2, второй мобильный терминал 164 производит дешифрование сообщения-запроса с помощью закрытого ключа, принадлежащего мобильному терминалу 164. Как описано выше со ссылками на фиг.2, этот закрытый ключ преимущественно хранится в SIM-карте, установленной во втором мобильном терминале 164.
По окончании шага 310 дешифрования второй мобильный терминал 164 выполняет шаг 312 посылки сообщения конфигурации, соответствующий шагу 212 на фиг.2. На этом этапе производится передача конфигурационных данных, в том числе IP-адреса первого клиентского компьютера 150 и общего секретного объекта, по локальному Bluetooth-соединению на второй клиентский компьютер 160.
Далее второй мобильный терминал выполняет шаг 316 получения команды-ответа, аналогом которого является шаг 216 передачи команды-ответа, выполняемый вторым клиентским компьютером (фиг.2). На этом шаге 316 происходит получение команды-ответа от второго клиентского компьютера 160 по второму Bluetooth-соединению 162.
На шаге 317 проверки выполняется проверка факта получения команды-ответа; процесс переходит к шагу 318 посылки ответа только в том случае, если она была получена. В противном случае ожидается поступление этой команды-ответа.
В ответ на получение команды-ответа второй мобильный терминал инициирует шаг 318 передачи сообщения-ответа, соответствующий шагу 218 на фиг.2. На этом шаге 318 второй мобильный терминал 164 посылает сообщение-ответ (SMS-сообщение) на первый мобильный терминал 154 по сети 120 мобильной связи. Это сообщение-ответ содержит IP-адрес второго клиентского компьютера 160.
При выполнении шагов 316-318 второй мобильный терминал 164 предпочтительно рассматривается как "неинтеллектуальный" мобильный терминал, управление функциями которого может осуществлять второй клиентский компьютер 160 посредством Bluetooth-соединения. В этом случае второй клиентский компьютер 160 генерирует сообщение-ответ, и команда-ответ, посылаемая на шаге 316, будет содержать сгенерированное сообщение-ответ; после его получения второй мобильный терминал 164 выполняет пересылку сообщения-ответа с его предварительным преобразованием в SMS.
Указанное сообщение-ответ шифруется с помощью закрытого ключа, принадлежащего второму мобильному терминалу 164 и расположенного в его SIM-карте.
По завершении описанных шагов, на конечной стадии 319, первый клиентский компьютер 150 получает IP-адрес второго компьютера 160, содержащийся в переданном сообщении-ответе, от первого мобильного терминала 154. Как показано в описании всего процесса на фиг.2, при этом предполагается, что первый мобильный терминал 154 выполнил шаг 220 дешифрования и шаг 222 посылки конфигурационных данных. Кроме того, второй клиентский компьютер теперь может выполнить шаг 214 конфигурирования VPN-туннеля с применением данных из сообщения конфигурации, переданного вторым мобильным терминалом 164 на шаге 312.
Таким образом, к этому моменту на обоих клиентских компьютерах 150 160 имеются все конфигурационные данные, необходимые для установления VPN-туннеля между первым компьютером 150 и вторым компьютером 160.
Настоящее изобретение будет применимым, в частности, в том случае, если сеть 110 поддерживает функцию глобальной адресации, которой соответствует новая все более широко используемая спецификация Интернет-протоколов IPv6. Варианты осуществления, основанные на распространенной в настоящее время спецификации IPv4 предусматривают использование устройств трансляции сетевых адресов (Network Address Translation, NAT). Недостаток NAT-сетей на основе IPv4 состоит в том, что в них используются адреса, не являющиеся глобальными. Это означает, что компьютер посылает адрес, который действителен только в пределах данной NAT-сети, и доступ к нему извне невозможен. Двухточечную связь установить нельзя; альтернатива заключается в создании туннеля между двумя NAT-серверами, но в этом случае установленная связь будет полностью открытой в пределах NAT-сети и ее безопасность будет нарушена.
Раскрытие изобретения в вышеприведенном описании основано на частном примере. Специалисту в данной области техники будет ясно, что в пределах области, описываемой пунктами прилагаемой формулы изобретения, возможно большое количество возможных вариантов и альтернатив указанного подробно описанного варианта осуществления.
Например, первый мобильный терминал 154 и первый компьютер 150, которые описаны как отдельные устройства, взаимодействующие посредством Bluetooth-соединения малой дальности, могут быть объединены в одно мобильное устройство, например, персональный цифровой ассистент.(Personal Digital Assistant, PDA). Локальная связь между первым мобильным терминалом 154 и первым клиентским компьютером 150 в этом случае функционирует внутри указанного мобильного устройства.
Указанное Bluetooth-соединение описано как предпочтительное решение локальной связи малой дальности между клиентским компьютером (150, 160) и соответствующим мобильным терминалом (154, 164 соответственно), но специалисту в данной области техники будет также ясно, что могут быть применены и другие способы, такие как инфракрасная связь или проводное соединение. В любом случае, локальная связь должна включать в себя встроенные схемы шифрования в целях сохранения безопасности.
В качестве мобильных терминалов могут использоваться обычные мобильные телефоны, например, телефоны GSM, снабженные дополнительными средствами связи малой дальности, например, Bluetooth. С другой стороны, мобильные терминалы могут быть и более сложными устройствами связи и обработки, такими как PDA, снабженные модулями мобильной связи (например, стандарта GSM), и, например, Bluetooth-трансивером для обеспечения взаимодействия.
Процесс на фиг.2 в целом инициируется пользователем, работающим с первым клиентским компьютером 150. Естественно, возможно инициировать этот процесс с помощью первого мобильного терминала 154, который затем устанавливает связь малой дальности с первым клиентским компьютером 150. Кроме того, возможно перенести функцию выполнения шага 204 генерации общего секретного объекта на первый мобильный терминал 154. В частности, такой вариант может иметь место в случае, если описанный процесс выполняется устройством типа PDA или телефоном, одновременно функционирующим в качестве клиентского компьютера.
Класс H04L12/46 схемы соединения сетей