Система, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети

Система, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети

Иллюстрации

Показать все

Реферат

ОБЛАСТЬ ТЕХНИКИ

Настоящее изобретение относится главным образом к системам и способам доступа к виртуальным частным сетям (Virtual Private Network, VPN) и, в частности, относится к системам и способам доступа по меньшей мере к одной виртуальной частной сети через по меньшей мере одну установленную точку доступа VPN.

ПРЕДПОСЫЛКИ СОЗДАНИЯ ИЗОБРЕТЕНИЯ

Широко известны преимущества Интернета как средства доступа ко всему многообразию онлайновой информации, а также часть Интернета, содержащая всемирную паутину (WWW). Ранее традиционные способы доступа к Интернету реализовывались через стационарные точки доступа, например, на рабочем месте, в школе или дома. С самого начала стационарная точка доступа считалась непременным атрибутом модели Интернета. Например, протокол IP прокладывает маршруты пакетов к пунктам назначения, исходя из их IP-адресов. А указанные IP-адреса в свою очередь привязаны к фиксированным физическим точкам, аналогично тому, как обычные телефонные номера присвоены определенным точкам фиксированной телефонной сети. Такая привязка к физической точке позволяет надежно и эффективно прокладывать маршрут IP-пакетов к адресату.

Однако в последние годы концепция связи претерпела значительные изменения вследствие наблюдаемой сегодня тенденции к повышению мобильности, примером чему может являться повсеместное использование мобильной телефонии. Другой быстро развивающейся отраслью являются мобильные компьютерные среды, очевидным преимуществом которых является предоставляемая ими возможность эффективно работать независимо от места нахождения. Кроме этого, надежный доступ к Интернету и к услугам, доступным через него, позволяет мобильным сетям повысить эффективность работы пользователей посредством снятия ограничений, накладываемых на них необходимостью работы в офисе. В итоге мы все более и более склоняемся в пользу беспроводных сетей, которые предоставляют еще большую свободу за счет возможности доступа фактически из любой точки, будь то даже самолет или автомобиль.

Одна из главнейших проблем IP-технологий - это безопасность и конфиденциальность. Из-за открытой природы Интернета, передаваемые пакеты постоянно находятся под угрозой нарушения безопасности вследствие перемещения мобильных узлов между различными подсетями. Для решения этой проблемы был разработан протокол "IP security protocol" (или просто IPsec), как подробно описано в Рабочих предложениях комитета по инженерным вопросам Интернета (Internet Engineering Task Force, IETF), документ RFC 2401, озаглавленный: Архитектура безопасности для IP (Security Architecture for the Internet Protocol), содержимое которого во всей своей полноте включено в описание настоящего изобретения посредством ссылки. Таким образом, IPsec был разработан для обеспечения защиты передачи полезной нагрузки пакетов в линии между IP-хостами. Это осуществляется за счет того, что аутентификация и шифрование пакетов в хостах осуществляется на уровне дейтаграмм, как правило, при помощи криптографии с симметричными шифрами, в которой один и тот же секретный ключ используют для операций шифрования и дешифрования на обоих конечных пунктах линии передачи. При генерировании симметричных ключей для использования их в стеке IPsec может использоваться протокол управления ключами, например протокол IKE (Internet Key Exchange, обмен ключами через Интернет), аналогичный протоколу, применяемому в виртуальных частных сетях.

Специалистам в данном вопросе известно, что виртуальная частная сеть представляет собой логическую сеть, находящуюся в одной или более физических сетях. Виртуальная частная сеть может использоваться для защищенных ресурсов, таких как ресурсы электронной почты или интрасети, или же ресурсов предприятия. Кроме этого, или в качестве альтернативы, виртуальная частная сеть может использоваться для защищенного соединения в локальных сетях, одна или более из которых могут входить в состав интрасети предприятия. В ходе работы IPsec-хост виртуальной частной сети или шлюз виртуальной частной сети могут поддерживать политики безопасности в базе данных политик безопасности (SPD), включающей множество селекторов, как указано, например, в документе RFC 2401. База данных политик безопасности указывает, какой тип безопасности применяется в отношении графика, проходящего через шлюз виртуальной частной сети. Например, согласно политике безопасности может требоваться, чтобы все пакеты трафика туннелировались при помощи безопасного инкапсулирования полезной нагрузки в шлюз виртуальной частной сети, за исключением некоторых пакетов, которые пропускаются без IP-обработки. Далее пример вышеупомянутой политики безопасности может быть распространен на все пакеты, проходящие через указанный шлюз виртуальной частной сети.

Обычно клиентам разрешено устанавливать соединение одновременно только через одну виртуальную частную сеть. В частности, обычно клиенты могут активировать одновременно только одну политику виртуальной частной сети для соответствующей виртуальной частной сети, таким образом в любой момент времени такие "односетевые" клиенты имеют только одно разрешенное активное соединение для передачи данных и соответствующий сетевой интерфейс. В отличие от указанных "односетевых" клиентов, существуют "многосетевые" клиенты, которые имеют большие возможности и могут иметь одновременно несколько соединений, включая одновременные соединения по нескольким виртуальным частным сетям. Например, мобильные портативные терминалы, работающие под управлением таких операционных систем, как разработанная компанией Symbian Limited (Великобритания), поддерживают несколько одновременных активных информационных соединений и несколько соответствующих сетевых интерфейсов. В таких случаях каждый сетевой интерфейс обычно имеет свой IP-адрес, маршрутную информацию и присвоенные адреса сервера DNS (система доменных имен, Domain Name System). Кроме этого, каждый интерфейс и соответствующее соединение для передачи данных "многосетевого" клиента обычно принадлежат отдельной логической сети, локально заданной в клиенте и обозначенной идентификатором сети.

Для связи по виртуальной частной сети клиенту обычно необходимо установить соединение с виртуальной частной сетью путем установки из точки доступа соединения с физической сетью (сетями), содержащей соответствующую виртуальную частную сеть, и дальнейшей загрузки или активирования политики виртуальной частной сети для указанной соответствующей виртуальной частной сети. Аналогично, для закрытия соединения с виртуальной частной сетью клиент обычно должен выгрузить или деактивировать указанную политику виртуальной частной сети для соответствующей виртуальной частной сети и далее разорвать соединение с указанной точкой доступа. И хотя такая процедура инициирования и закрытия подобных соединений виртуальной частной сети облегчает связь через виртуальную частную сеть, указанная процедура ложится дополнительным бременем на клиента или, более конкретно, на пользователя клиента. И следует понимать, что эта ноша будет становиться все тяжелее вследствие роста числа одновременных соединений виртуальной частной сети и других типов соединений "многосетевых" клиентов.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Итак, исходя из описанных предпосылок создания изобретения, в настоящем изобретении описана усовершенствованная система, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети (VPN). Как будет описано ниже, в соответствии с вариантами осуществления настоящего изобретения терминал выполнен с возможностью устанавливать и активно поддерживать одну или более виртуальную частную сеть в "односетевой" и/или "многосетевой" конфигурации. Однако, в отличие от традиционных "многосетевых" клиентов, указанный терминал выполнен с возможностью установления каждого соединения виртуальной частной сети без необходимости раздельного установления терминалом или пользователем терминала связи с использованием точки доступа к Интернету (IAP, Internet access point) с соответствующей физической сетью (сетями), загрузки или активирования политики виртуальной частной сети для соответствующей виртуальной частной сети, и последующей выгрузки или деактивизирования указанной политики и завершения связи с точкой доступа к Интернету. В этом смысле указанный терминал, или, в частности, пользователь терминала, может задавать одну или более "точек доступа виртуальной частной сети (точек доступа VPN)". Как будет рассмотрено ниже, точкой доступа виртуальной частной сети можно обычно считать виртуальную или логическую точку доступа к соответствующей виртуальной частной сети. Используя точки доступа виртуальной частной сети, терминал может далее установить и поддерживать одно или более соединений с виртуальной частной сетью, во многом аналогично тому, как поддерживаются несколько точек доступа к Интернету, и при этом указанные соединения виртуальной частной сети имеют атрибуты аналогичных соединений виртуальной частной сети, установленных традиционным способом.

Согласно одному из аспектов данного изобретения, разработана система для доступа по меньшей мере к одной виртуальной частной сети. Указанная система включает терминал и может включать по меньшей мере одну базу данных политик безопасности, причем каждая база данных политик безопасности ассоциирована с физической точкой доступа. Указанный терминал выполнен с возможностью обмена информацией с клиентом виртуальной частной сети (VPN клиентом) и по меньшей мере одним приложением. Этот клиент VPN в свою очередь выполнен с возможностью определения по меньшей мере одной точки доступа виртуальной частной сети, причем каждая точка доступа виртуальной частной сети включает ассоциированную с ней физическую точку доступа и политику виртуальной частной сети. Например, клиент VPN может определять каждую виртуальную частную сеть путем приема информации о выборе имени точки доступа виртуальной частной сети. Далее, указанный клиент VPN может принимать информацию о выборе физической точки доступа для ассоциирования ее с указанной точкой доступа виртуальной частной сети и далее принимать информацию о выборе политики виртуальной частной сети для ассоциирования ее с указанной точкой доступа виртуальной частной сети. При этом клиент VPN может быть также выполнен с возможностью установки по меньшей мере одной политики виртуальной частной сети, причем таким образом, что клиент VPN может принимать информацию о выборе определенной политики виртуальной частной сети из установленных(ой) политик(и) виртуальной частной сети.

В частности, если система включает по меньшей мере одну базу данных политик безопасности, то клиент VPN может быть выполнен с возможностью принимать информацию о выборе базы данных политик безопасности. Кроме этого, клиент VPN может загружать по меньшей мере одну политику виртуальной частной сети из базы данных политик безопасности через физическую точку доступа, ассоциированную с соответствующей базой данных политик безопасности. Впоследствии указанный клиент VPN может устанавливать загруженную(ые) политику(и) виртуальной частной сети. В этом смысле клиент VPN может устанавливать соединение для передачи данных с физической точкой доступа, ассоциированной с указанной базой данных политик безопасности, и впоследствии устанавливать соединение для передачи данных с указанной базой данных политик безопасности через указанное установленное соединение для передачи данных с использованием указанной физической точки доступа. VPN клиент может затем аутентифицировать указанную базу данных политик безопасности и/или VPN клиента и загружать по меньшей мере одну политику виртуальной частной сети из указанной базы данных политик безопасности в случае успешной аутентификации указанной базы данных политик безопасности и/или клиента виртуальной частной сети.

Независимо от того, как определена точка(и) доступа виртуальной частной сети, клиент VPN может затем осуществлять доступ по меньшей мере к одной виртуальной частной сети на основе указанной(ых) точки(ек) доступа и таким образом устанавливать в рамках указанной виртуальной частной сети (сетей) по меньшей мере одно соединение для передачи данных по меньшей мере из одного приложения. Таким образом, для доступа к виртуальной частной сети (сетям) клиент VPN может быть выполнен с возможностью активировать по меньшей мере одну точку доступа виртуальной частной сети на основе ассоциированных с ней физической точки доступа и политики виртуальной частной сети. Например, клиент VPN может быть выполнен с возможностью ассоциировать с приложением(ями) по меньшей мере одну точку доступа виртуальной частной сети и впоследствии активизировать из указанного приложения (приложений) по меньшей мере одну точку доступа виртуальной частной сети для установления таким образом указанного по меньшей мере одного соединения для передачи данных по виртуальной частной сети из указанного приложения (приложений).

В частности, клиент VPN может быть выполнен с возможностью активизировать каждую точку доступа виртуальной частной сети путем установления соединения с физической точкой доступа, ассоциированной с соответствующей точкой доступа виртуальной частной сети. Далее клиент VPN может загружать политику виртуальной частной сети, ассоциированную с соответствующей точкой доступа виртуальной частной сети. Впоследствии указанный клиент VPN может установить туннель VPN через указанную физическую точку доступа на основе политики виртуальной частной сети, ассоциированной с соответствующей точкой доступа виртуальной частной сети. Аналогичным образом клиент VPN может также закрывать доступ к виртуальной частной сети (сетям) для закрытия таким образом информационного соединения (соединений) из указанного приложения (приложений). В таких случаях терминал может прерывать каждый доступ к каждой виртуальной частной сети путем закрытия указанного туннеля VPN через физическую точку доступа, установленную согласно политике виртуальной частной сети, ассоциированной с соответствующей точкой доступа виртуальной частной сети. Далее клиент VPN может выгружать политику виртуальной частной сети, ассоциированную с соответствующей точкой доступа виртуальной частной сети, и таким образом закрывать соединение с физической точкой доступа, ассоциированной с соответствующей точкой доступа виртуальной частной сети.

Согласно еще одному аспекту настоящего изобретения создана система для управления по меньшей мере одной политикой виртуальной частной сети, которая предназначена для организации доступа по меньшей мере к одной виртуальной частной сети. Указанная система включает по меньшей мере одну базу данных политик безопасности и терминал, выполненный с возможностью взаимодействия с клиентом виртуальной частной сети. Указанный клиент VPN выполнен с возможностью обмениваться данными с базой (базами) данных политик безопасности через по меньшей мере одну физическую точку доступа для загрузки таким образом политик виртуальной частной сети с базы данных политик безопасности. Указанный клиент VPN может хранить указанную политику (политики) виртуальной частной сети в памяти для хранения политик виртуальной частной сети. Впоследствии, указанный клиент VPN может синхронизироваться с указанной базой данных политик безопасности для обновления таким образом политик виртуальной частной сети, хранящихся в указанной памяти для хранения политик виртуальной частной сети. Одна или более указанных политик виртуальной частной сети могут содержать сертификат и/или пару сертификат/секретный ключ. В таких случаях клиент VPN может также хранить указанные сертификат и/или пару сертификат/секретный ключ в защищенном паролем хранилище ключей.

Аналогично сказанному выше, клиент VPN может быть выполнен с возможностью принимать информацию о выборе базы данных политик безопасности и загружать по меньшей мере одну политику виртуальной частной сети из указанной выбранной базы данных политик безопасности через указанную физическую точку доступа, ассоциированную с указанной базой данных политик безопасности. В таких случаях клиент VPN может также быть выполнен с возможностью аутентификации базы данных политик безопасности и/или клиента виртуальной частной сети, и загрузки политик(и) виртуальной частной сети с указанной базы данных политик безопасности в случае успешной аутентификации базы данных политик безопасности и/или клиента виртуальной частной сети. Таким образом, клиент VPN способен аутентифицировать базу данных политик безопасности на основе сертификата базы данных политик безопасности и аутентифицировать клиента виртуальной частной сети на основе сертификата пользователя. Однако до аутентификации базы данных политик безопасности на основе сертификата базы данных политик безопасности указанный клиент VPN может создать указанный сертификат базы данных политик безопасности. Аналогичным образом, клиент VPN может быть выполнен с возможностью создать сертификат пользователя, например, путем аутентификации клиента виртуальной частной сети в базе данных политик безопасности и может создать указанный сертификат пользователя после выполнения аутентификации клиента виртуальной частной сети.

В частности, например, указанная база данных политик безопасности может иметь ассоциированный идентификационный код, состоящий из множества символов. Клиент VPN может создать сертификат базы данных политик безопасности путем получения подтверждения идентификационного кода, ассоциированного с указанной базой данных политик безопасности, и создания указанного сертификата базы данных политик безопасности после получения подтверждения. Таким образом, клиент VPN может выводить диалоговое окно идентификационного кода базы данных политик безопасности, ассоциированного с указанной базой данных политик безопасности, при этом указанный идентификационный код в указанном диалоговом окне выводится по меньшей мере с одним опущенным символом. Далее указанный клиент VPN может получить пропущенный(ые) символ(ы). Затем клиент VPN может получить подтверждение указанного идентификационного кода, если идентификационный код, представленный в указанном диалоговом окне идентификационного кода базы данных политик безопасности вместе с указанным по меньшей мере одним полученным символом, совпадает с идентификационным кодом, ассоциированным с указанной базой данных политик безопасности.

Согласно еще одному аспекту данного изобретения создан способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети. Также создан способ и компьютерный программный продукт для управления по меньшей мере одной политикой виртуальной частной сети. И, наконец, согласно еще одному аспекту настоящего изобретения, предложена структура данных точки доступа виртуальной частной сети. Следовательно, варианты осуществления настоящего изобретения описывают систему, способ и компьютерный программный продукт для доступа по меньшей мере к одной виртуальной частной сети и для управления политикой(ами) виртуальной частной сети. Путем определения одной или более точек доступа виртуальной частной сети, варианты осуществления настоящего изобретения способны установить каждое из одного и более соединений виртуальной частной сети менее обременительным и затратным для терминала или пользователя терминала способом. В этом отношении, как показано выше и будет объяснено далее, точкой доступа виртуальной частной сети обычно может считаться виртуальная или логическая точка доступа к соответствующей виртуальной частной сети, такая что терминал может установить и поддерживать одно или более соединений виртуальной частной сети, аналогично тому, как это делается в точках доступа к Интернету. Следовательно, указанные система, способ и компьютерный программный продукт согласно вариантам осуществления настоящего изобретения решают проблемы, свойственные известному уровню техники и создают предпосылки для получения дополнительных преимуществ.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

После общего описания изобретения перейдем к прилагающимся чертежам, некоторые из которых выполнены не в масштабе и на которых:

Фиг.1 изображает структурную схему беспроводной системы связи согласно одному из вариантов осуществления настоящего изобретения и включающей сеть мобильной связи и сеть передачи данных, к которым через беспроводной радиочастотный канал связи дуплексно подключен терминал;

Фиг.2 изображает структурную схему объекта, способного выполнять функцию объекта сети согласно вариантам осуществления настоящего изобретения;

Фиг.3 изображает структурную схему терминала согласно одному из вариантов осуществления настоящего изобретения;

Фиг.4 изображает блок-схему, которая показывает различные этапы способа доступа по меньшей мере к одной виртуальной частной сети согласно одному из вариантов осуществления настоящего изобретения;

Фиг.5А-5С изображают блок-схемы, которые показывают различные этапы установки, хранения или же управления одной или более политиками виртуальной частной сети согласно одному из вариантов осуществления настоящего изобретения;

Фиг.6-17 - примеры изображений, которые могут быть выведены на экран клиентом виртуальной частной сети в ходе работы согласно вариантам осуществления настоящего изобретения; и

Фиг.18А-18Е изображают блок-схемы, которые показывают различные этапы активизирования, а также деактивизирования точки доступа виртуальной частной сети согласно одному из вариантов осуществления настоящего изобретения.

ПОДРОБНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

Далее настоящее изобретение будет описано более подробно со ссылками на прилагающиеся чертежи, на которых показаны предпочтительные варианты осуществления настоящего изобретения. Это изобретение может быть реализовано в различных формах, и не следует считать, что оно ограничивается или сводится к вариантам осуществления, изложенным в данном документе; указанные варианты осуществления изобретения приведены для того, чтобы полнее и более ясно описать изобретение и чтобы полностью раскрыть специалистам объем изобретения. Во всем документе одинаковые номера позиций относятся к одинаковым элементам.

На фиг.1 приведена схема одного из типов терминала и системы согласно настоящему изобретению. Указанные система, способ и компьютерный программный продукт согласно вариантам осуществления настоящего изобретения будут описаны в основном в связи с приложениями мобильной связи. Следует понимать, однако, что указанные система, способ и компьютерный программный продукт могут применяться в других приложениях как в указанной отрасли мобильной связи, так и вне нее. Например, указанные система, способ и компьютерный программный продукт могут применяться в приложениях для проводных и/или беспроводных сетей (например, Интернета).

Как показано на чертеже, терминал 10 может включать антенну 12 для передачи сигналов на базу или базовую станцию (BS) 14 или приема сигналов от них. Базовая станция является частью одной или нескольких сотовых или мобильных сетей, каждая из которых содержит элементы, необходимые для работы сети, например центр 16 коммутации мобильной связи (MSC). В общем мобильную сеть можно рассматривать как функцию базовая станция/центр коммутации мобильной связи/межсетевое взаимодействие (Base Station/MSC/Interworking, BMI). Центр коммутации мобильной связи способен маршрутизировать вызовы с или на терминал при выполнении исходящих или поступлении входящих вызовов на терминал соответственно. Также центр коммутации мобильной связи обеспечивает соединение с наземными линиями связи, например, если в обработке вызова участвует терминал. Кроме этого, центр коммутации мобильной связи может также управлять отправлением сообщений терминалу и приемом сообщений от него, а также отправлением сообщений для терминала, поступающих с/на устройство коммутации сообщений, например, сообщений службы коротких сообщений (SMS), поступающих на или от центра службы коротких сообщений (SMS center, SMSC) (не показан).

Центр 16 коммутации мобильной связи может быть связан с сетью передачи данных, например, локальной сетью (local area network, LAN), городской вычислительной сетью (metropolitan area network, MAN) и/или глобальной вычислительной сеть (wide area network, WAN). При этом центр коммутации мобильной связи может быть напрямую связан с указанной сетью передачи данных. Однако в одном из типовых вариантов осуществления изобретения центр коммутации мобильной связи связан с шлюзом 18, а шлюз в свою очередь связан с глобальной вычислительной сетью, например, сетью 20 Интернет. А устройства, такие как обрабатывающие элементы (например, персональные компьютеры, серверы или аналогичные устройства), могут быть в свою очередь связаны с терминалом 10 через Интернет. Например, обрабатывающие элементы могут включать один или более обрабатывающих элементов, связанных с одним или более передающими серверами 22, один из которых показан на фиг.1.

Базовая станция 14 может быть также связана с узлом 24 поддержки GPRS (службы пакетной радиосвязи общего назначения) - SGSN. Как правило, узел SGSN применительно к службам с коммутацией пакетов может выполнять функции, сходные с функциями центра 16 коммутации мобильной связи. Узел SGSN, как и центр коммутации мобильной связи, может быть связан с сетью передачи данных, например, Интернетом 20. С такой сетью передачи данных SGSN может быть связан напрямую. Однако в более типовых вариантах осуществления, SGSN связан с базовой сетью с коммутацией пакетов, например, с базовой сетью 26 GPRS. Базовую сеть с коммутацией пакетов далее связывают с другим шлюзом, например, с узлом 28 поддержки шлюза GPRS (GGSN), а указанный узел поддержки шлюза GPRS обменивается данными с Интернетом. Кроме этого, GGSN может быть также соединен с устройством коммутации сообщений, например, с центром службы передачи мультимедийных сообщений (MMS) (не показан). В этом плане GGSN и SGSN, как и центр коммутации мобильной связи, могут управлять отправкой сообщений, например, сообщений MMS. Указанные узел поддержки шлюза GPRS и узел поддержки передачи сигналов GPRS могут быть также выполнены с возможностью управления отправкой сообщений для терминала с/на устройство коммутации сообщений. Кроме этого, путем соединения узла 24 поддержки передачи сигналов GPRS с базовой сетью 26 GPRS и с узлом 28 поддержки шлюза GPRS обрабатывающие элементы, такие как передающий сервер(ы) 22, могут быть связаны с терминалом 10 через Интернет 20, узел поддержки передачи сигналов GPRS и узел поддержки шлюза GPRS. Таким образом, такие устройства, как передающий(ие) сервер(а), могут обмениваться данными с терминалом через SGSN, GPRS и GGSN.

Хотя в данном документе описаны и показаны не все элементы всех возможных сетей мобильной связи, следует понимать, что терминал 10 может быть связан через базовую станцию 14 с любой одной или различными сетями. Таким образом, сеть(и) может поддерживать обмен данными согласно одному или нескольким протоколам из ряда протоколов мобильной связи первого поколения (1G), второго поколения (2G), 2.5G и/или третьего поколения (3G) и т.п. Например, одна или более сетей могут быть выполнены с возможностью обеспечивать обмен данными согласно протоколам беспроводной связи второго поколения IS-136 (ТОМА, многостанционный доступ с временным разделением каналов), GSM и IS-95 (CDMA, многостанционный доступ с кодовым разделением каналов). Также, например, одна или более сетей могут быть выполнены с возможностью обеспечивать обмен данными согласно протоколам усовершенствованного второго поколения GPRS (2.5G), улучшенной среды передачи данных для GSM (Enhanced Data GSM Environment, EDGE) и т.п. Далее, например, одна или более сетей могут быть выполнены с возможностью обеспечивать обмен данными согласно протоколам беспроводной связи третьего поколения, таким как универсальная система мобильной связи (UMTS, Universal Mobile Telephone System), в которой применяется технология широкополосного многостанционного доступа с кодовым разделением каналов (Wideband Code Division Multiple Access, WCDMA). Так же варианты осуществления настоящего изобретения могут быть распространены на некоторые сети, например узкополосные AMPS (NAMPS, Narrow-band Analog Mobile Phone Service), а также TACS, при условии наличия в них двухрежимных терминалов или терминалов с большим количеством режимов (например, цифровые/аналоговые телефоны или TDMA/CDMA/аналоговые телефоны).

Терминал 10 также может соединяться с одним или более приемопередатчиками (TS) 30 беспроводной связи. Указанные приемопередатчики могут содержать точку доступа, настроенную на обмен данными с терминалом согласно таким технологиям, как, например, радиочастотные (RF) сети, стандарт Bluetooth (ВТ), обмен данными с инфракрасном диапазоне (IrDA - стандарт Infrared Data Association Ассоциации по средствам передачи данных в инфракрасном диапазоне) или любым другим беспроводным сетевым технологиям, включая технологии беспроводных локальных сетей (WLAN, wireless LAN), как показано на фиг.1. Кроме этого, или в качестве альтернативы, терминал может быть соединен с одним или более пользовательским процессором 32. Каждый пользовательский процессор может содержать вычислительную систему, например, персональный компьютер, ноутбук и т.п. Таким образом, пользовательские процессоры могут быть настроены на обмен данными с терминалом согласно таким технологиям, как, например, RF, ВТ, IrDA или любое количество других проводных и беспроводных технологий связи, включая локальные сети (LAN) и/или беспроводные локальные сети (WLAN). Один или более пользовательских процессоров могут, кроме этого, или в качестве альтернативы, содержать съемную память для хранения содержимого, которое затем может быть передано на терминал.

Указанные выше приемопередатчики 30 и пользовательские процессоры 32 могут быть соединены с Интернетом 20. То есть, аналогично центру 16 коммутации мобильной связи, приемопередатчики и пользовательские процессоры могут быть непосредственно соединены с Интернетом. Однако в одном из вариантов осуществления настоящего изобретения приемопередатчики подключены к Интернету не непосредственно, а через шлюз 18. То есть из этого следует, что путем непосредственного или косвенного подключения терминалов 10 и передающего сервера(ов) 22, а также любого количества других устройств, процессоров и т.п. к Интернету, терминалы могут обмениваться данными друг с другом, передающим сервером(ами), т.д., и таким образом выполнять свои функции, например передавать данные, содержимое и т.п. поставщикам услуг и/или менеджерам авторизации и получать от них данные, содержимое и т.п.

В соответствии с вариантами осуществления настоящего изобретения Интернет 20, а таким образом и терминал 10 могут быть соединены с одной или более интрасетями 34, одна из которых приведена на фиг.1. Каждая интрасеть обычно содержит частную сеть, организованную в рамках предприятия. Каждая интрасеть может содержать одну или более связанных локальных сетей, а также части одной или более локальных сетей, региональных вычислительных сетей, глобальных вычислительных сетей и т.п. Как и в случае с Интернет, такие устройства, как обрабатывающие элементы (например, передающий сервер(ы) 22), могут быть соединены с интрасетью и таким образом через интрасеть и с Интернетом, и с терминалом. Как и другие разнообразные компоненты системы, интрасеть, а таким образом и обрабатывающие элементы интрасети обычно опосредованно соединены с Интернетом, и таким образом через шлюз 36 и с терминалом. Аналогично, хотя это и не показано, каждая сеть или часть сети, входящая в интрасеть, может быть связана с другой сетью или частью сети через шлюз.

Как будет объяснено ниже, терминал 10 выполнен с возможностью доступа к интрасети 34 и, таким образом, путем создания виртуальной частной сети обрабатывающие элементы (например, передающий сервер 22) связаны (36) с интрасетью через шлюз или же, если это необходимо, через один или более других шлюзов в рамках интрасети. В этих примерах, как показано на фиг.1, под шлюзом обычно понимают шлюз виртуальной частной сети. В соответствии с вариантами осуществления настоящего изобретения указанная система поддерживает структуру протокола IPSec, в основном, так, как изложено в Рабочих предложениях рабочей группы по стандартам для сети Интернет (Internet Engineering Task Force, IETF), документ RFC 2401, озаглавленный: Архитектура безопасности для IP (Security Architecture for the Internet Protocol), содержимое которого во всей своей полноте включено в описание настоящего изобретения при помощи ссылки. По сути, интрасеть также связана с обрабатывающими элементами, содержащими базу данных 38 ассоциаций безопасности (Security Association Database, SAD) и базу данных 40 политик безопасности (SPD). При этом следует понимать, что база данных ассоциаций безопасности выполнена с возможностью хранения ассоциаций безопасности обрабатывающих устройств (например, передающего(их) сервера(ов) 22) с обрабатывающими устройствами в рамках интрасети 34, такими как терминалы 10, разделенные шлюзом 36 виртуальной частной сети. База данных политик безопасности, с другой стороны, выполнена с возможностью хранения политик безопасности, введенных шлюзом виртуальной частной сети, причем политики безопасности могут входить в состав политик виртуальной частной сети, которые также могут включать один или несколько информационных блоков, как будет объяснено ниже. Как описано в данном документе, база данных ассоциаций безопасности и база данных политик безопасности настроены в соответствии с протоколом IPsec и работают совместно с различными протоколами IP-уровня (например, протоколом мобильной связи с Интернетом (Mobile IP)). Однако следует понимать, что база данных ассоциаций безопасности и база данных политик безопасности в качестве альтернативы могут быть настроены согласно любому из ряда других протоколов безопасности, способному работать в соответствии с вариантами осуществления настоящего изобретения.

Согласно протоколу IPsec база данных 38 ассоциаций безопасности содержит базу данных, предназначенную для хранения ассоциаций безопасности, защищающих исходящий трафик, а также для хранения ассоциаций безопасности, защищающих входящий трафик. В случае исходящего трафика, например, на записи базы данных ассоциаций безопасности могут ссылаться записи базы данных 40 политики безопасности. В частности, каждая запись в базе данных ассоциаций безопасности может содержать одно или более из следующих полей: IP-адрес назначения, протокол IPsec (дополнительный заголовок (Authentication Header, АН) или ESP) и индекс параметров безопасности (SPI, Security Parameters Index). Кроме этого, каждая запись может включать поля счетчика порядкового номера, переполнения счетчика команд, окна запрета повтора, режима и/или времени существования. Далее, каждая запись может содержать параметры криптографии, включая основные параметры шифрования и аутентификации, как, например, параметры дополнительного заголовка, параметры протокола ESP для аутентификации и/или параметры протокола ESP для шифрования.

Как определено протоколом IPsec, база данных 40 политик безопасности содержит базу данных для хранения политик виртуальной частной сети, которая может включать политики безопасности, заданные шлюзом 36 виртуальной частной сети. Как и база данных 38 ассоциаций безопасности, база данных политик безопасности хранит политики безопасности для исходящего трафика и для входящего трафика, причем они, как правило, хранятся по отдельности. Как правило, шлюз виртуальной частной сети использует базу данных политик безопасности для определения того, какой трафик должен быть защищен, например, при помощи протокола IPsec. Затем, когда определен трафик, который необходимо защитить, база данных политик безопасности определяет, какие службы безопасности должны быть задействованы, при этом осуществляется выбор между следующими вариантами действий: (а) отклонить, (b) передать (т.е. передать без применения служб безопасности) или (с) IPsec (применить службы безопасности). Также база данных политик безопасности хранит политики безопасности, проиндексированные селекторами, которые обозначают, для какого трафика должна применятся соответствующая политика безопасности. Каждая полити