專利名稱:用于接入至少一個虛擬專用網(wǎng)絡(luò)的系統(tǒng)���、方法和計算機程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及接入虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng)和方法�,以及更特別地涉及通過至少一個所建立的VPN接入點接入至少一個VPN的系統(tǒng)和方法���。
背景技術(shù):
現(xiàn)在普遍認(rèn)識到利用互聯(lián)網(wǎng)獲得對大量在線可用信息和包括萬維網(wǎng)(WWW)的互聯(lián)網(wǎng)部分接入的益處����。過去,接入互聯(lián)網(wǎng)的傳統(tǒng)方式是通過諸如在工廠��、學(xué)?����;蛘咴诩依锏墓潭ǖ慕尤朦c來執(zhí)行�����。從一開始�,固定接入點的概念就已經(jīng)是互聯(lián)網(wǎng)模型的基礎(chǔ)。例如����,互聯(lián)網(wǎng)協(xié)議(IP)根據(jù)數(shù)據(jù)包的IP地址將它們路由到其目的地。該IP地址與一個固定的物理位置相關(guān)聯(lián)����,非常類似于傳統(tǒng)的電話號碼與固定電話線的物理位置相關(guān)聯(lián)的方式。這種與物理位置的關(guān)聯(lián)允許以有效而且高效的方式把IP數(shù)據(jù)包發(fā)送到其預(yù)期目的地����。
傳統(tǒng)的連接概念已經(jīng)經(jīng)歷了例如���,由近年來向移動技術(shù)過渡證明了的朝移動性發(fā)展的趨勢導(dǎo)致的變化�。移動計算是另一個正在獲得普及率的領(lǐng)域,在這里益處是無疑可以通過允許用戶自由地完成他們的工作而不考慮其位置��。此外����,對互聯(lián)網(wǎng)和互聯(lián)網(wǎng)中可用的服務(wù)的可靠的接入,將使移動聯(lián)網(wǎng)技術(shù)能夠通過將所有用戶從辦公室的束縛中解放出來�����,而提供更高的生產(chǎn)力�。例如,發(fā)展的趨勢越來越多地傾向于通過允許來自比如飛機上和汽車?yán)锏娜魏翁摂M位置接入而提供更高自由度的無線連接���。
IP內(nèi)容����、計算和通信最關(guān)心的問題之一是安全��。互聯(lián)網(wǎng)的開放本質(zhì)使所發(fā)送的數(shù)據(jù)包固有地面對由不同子網(wǎng)絡(luò)之間移動節(jié)點的運動而形成的安全問題。為了處理這些問題���,開發(fā)了一種IP安全協(xié)議(或簡單IPsec),比如互聯(lián)網(wǎng)工程任務(wù)組(IETF)對注釋文件的要求RFC 2401中規(guī)定的����,其命名為Security Architecture for theInternet Protocol,其內(nèi)容通過參考完全結(jié)合在本文中��。在這方面��,IPsec是為了在IP主機之間傳輸時�����,提供數(shù)據(jù)包有效載荷的端到端安全而開發(fā)的����。這主要通過典型地利用兩端都需要使用相同密鑰的對稱密碼系統(tǒng),為主機提供數(shù)據(jù)包的數(shù)據(jù)報級認(rèn)證和加密來實現(xiàn)�。比如互聯(lián)網(wǎng)密鑰交換(IKE)之類的密鑰管理協(xié)議可以用于生成用于比如在一個虛擬專用網(wǎng)絡(luò)(VPN)中使用的IPsec堆棧中的對稱密鑰。
如本領(lǐng)域的技術(shù)人員將會理解的����,VPN是位于一個或多個物理網(wǎng)絡(luò)內(nèi)的邏輯網(wǎng)絡(luò)。VPN可以用于安全地接入企業(yè)的資源����,比如電子郵件或內(nèi)部網(wǎng)資源。另外的或可選的����,VPN可以用于安全地在局域網(wǎng)之間通信,其中的一個或多個局域網(wǎng)可以包括在企業(yè)的內(nèi)部網(wǎng)內(nèi)�����。在操作中�����,支持IPsec VPN的主機或者VPN網(wǎng)關(guān)維持提供許多選擇符的安全策略數(shù)據(jù)庫(SPD)中的安全策略��,例如�,如RFC 2401中規(guī)定的。SPD識別通過VPN網(wǎng)關(guān)的業(yè)務(wù)量請求了哪個種類的安全���。例如�����,安全策略可以要求所有業(yè)務(wù)量數(shù)據(jù)包穿過一個封裝的安全有效載荷(ESP)到達(dá)VPN網(wǎng)關(guān)��,除了某些沒有經(jīng)過IP處理傳送的數(shù)據(jù)包���。然后����,可以執(zhí)行上述安全策略的示例��,并且這些安全策略作用于通過該VPN網(wǎng)關(guān)的所有數(shù)據(jù)包�。
按照慣例,僅允許客戶端在任意給定的時間在單獨的VPN上建立通信��。更特別的是�,僅允許常規(guī)的客戶端在任意給定的時間激活用于各自VPN的單獨的VPN策略。在這方面���,在任意時間點上����,這種“單宿主”客戶端僅允許單獨的活動數(shù)據(jù)連接及各自的網(wǎng)絡(luò)接口�。然而,為了對這種“單宿主”客戶端加以改進��,已經(jīng)開發(fā)了在任意給定時間允許并發(fā)連接的“多宿主”客戶端�����,包括通過多個VPN的并發(fā)連接。例如��,按照比如由英國的Symbian有限公司開發(fā)的那些操作系統(tǒng)運行的移動手持終端能夠允許多個并行活動數(shù)據(jù)連接及各自的網(wǎng)絡(luò)接口���。在這種情況下,每個網(wǎng)絡(luò)接口通常具有其自己特有的IP地址�����、路由信息和相關(guān)域名系統(tǒng)(DNS)服務(wù)器地址�。另外,“多宿主”客戶端的每個接口及各自數(shù)據(jù)連接通常屬于在客戶端本地定義并通過網(wǎng)絡(luò)ID識別的特殊的邏輯網(wǎng)絡(luò)��。
通過VPN的通信通常要求客戶端通過建立與到包括該各自VPN的一個或多個物理網(wǎng)絡(luò)的接入點的通信�,建立VPN連接,并此后載入或激活該各自VPN的VPN策略�。同樣地,客戶端通常必須通過卸載或去激活該各自VPN的VPN策略����,終止VPN連接,并此后終止與該接入點的通信����。盡管發(fā)起和終止這種VPN連接的這樣的程序適合使通過VPN的通信更容易���,但是這樣的程序還是能夠給客戶端,或者更特別地給客戶端用戶帶來不想要的負(fù)擔(dān)��。要認(rèn)識到����,這種負(fù)擔(dān)通常能夠隨“多宿主”客戶端中客戶端的并發(fā)VPN和其它連接的數(shù)量的增長而增長。
發(fā)明內(nèi)容
根據(jù)前述的背景���,本發(fā)明提供了一種用于接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的改進的系統(tǒng)��、方法和計算機程序產(chǎn)品���。如下所述,依照本發(fā)明的實施方式���,終端能夠建立并有效地維持諸如在“單宿主”和/或“多宿主”配置中的一個或多個VPN�����。然而��,與傳統(tǒng)的“多宿主”客戶端相反�����,終端還可以無需終端�����、或終端用戶而建立每個VPN連接�,以分別建立與到各自一個或多個物理網(wǎng)絡(luò)的IAP(互聯(lián)網(wǎng)接入點)的通信��,載入或激活各自VPN的VPN策略��,以及隨后此后卸載或去激活各自VPN的VPN策略�,并終止與該IAP的通信。在這方面���,終端�����,或者更特別地終端用戶能夠定義一個或多個“VPN接入點”����。如下所述,通?���?梢哉J(rèn)為VPN接入點是到各自VPN的虛擬或邏輯接入點。然后����,利用VPN接入點,終端能夠以與IAP完全相同的方式建立并有效地維持一個或多個VPN連接���,該VPN連接具有依照傳統(tǒng)技術(shù)建立的類似的VPN連接的屬性�����。
根據(jù)本發(fā)明的一個方面�,提供了一種用于接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng)�。該系統(tǒng)包括終端,并且可以包括至少一個安全策略數(shù)據(jù)庫(SPD)�����,每個SPD與物理接入點相關(guān)聯(lián)��。該終端能夠與VPN客戶端和至少一個應(yīng)用進行通信���。反過來���,該VPN客戶端能夠定義至少一個VPN接入點�,每個VPN接入點包括相關(guān)的物理接入點及VPN策略��。例如���,VPN客戶端能夠通過接收VPN接入點的名稱的選擇定義每個VPN�。因而����,VPN客戶端能夠接收物理接入點的選擇以與VPN接入點相關(guān)聯(lián)�,并此后接收VPN策略的選擇以與VPN接入點相關(guān)聯(lián)。在這方面����,VPN客戶端還能夠安裝至少一個VPN策略,使得VPN客戶端能夠從所安裝的一個或多個VPN策略接收VPN策略的選擇�����。
更特別地�����,當(dāng)該系統(tǒng)包括至少一個SPD時,VPN客戶端能夠接收SPD的選擇����。因而,VPN客戶端能夠通過與各自SPD相關(guān)聯(lián)的物理接入點從該SPD下載至少一個VPN策略�����。VPN客戶端此后能夠安裝所下載的一個或多個VPN策略�。在這方面,VPN客戶端能夠建立與SPD相關(guān)聯(lián)的物理接入點的數(shù)據(jù)連接����,并此后通過與物理接入點建立的數(shù)據(jù)連接建立與SPD的數(shù)據(jù)連接。VPN客戶端因而能夠認(rèn)證該SPD和/或VPN客戶端�����,并在認(rèn)證了該SPD和/或VPN客戶端時�����,從SPD下載至少一個VPN策略�����。
不管一個或多個VPN接入點如何定義,VPN客戶端此后能夠接入基于一個或多個VPN接入點的至少一個VPN����,以從而通過一個或多個VPN建立來自至少一個應(yīng)用的至少一個數(shù)據(jù)連接。在這方面�,VPN客戶端能夠基于相關(guān)的物理接入點和VPN策略激活至少一個VPN接入點,以從而接入一個或多個VPN����。例如,VPN客戶端能夠?qū)⒅辽僖粋€接入點與一個或多個應(yīng)用相關(guān)聯(lián)����,并此后激活來自該一個或多個應(yīng)用的至少一個VPN接入點,以從而通過VPN建立來自至少一個應(yīng)用的至少一個數(shù)據(jù)連接�。
更特別地�,VPN客戶端能夠通過建立與各自VPN接入點相關(guān)聯(lián)的物理接入點的連接,激活每個VPN接入點��。該VPN客戶端因而能夠載入與各自VPN接入點相關(guān)聯(lián)的VPN策略�。此后,VPN客戶端能夠基于與各自VPN接入點相關(guān)聯(lián)的VPN策略在物理接入點上建立VPN通道���。同樣地���,VPN客戶端還能夠終止對一個或多個VPN的接入�����,以從而終止來自一個或多個應(yīng)用的一個或多個數(shù)據(jù)連接�����。在這種情況下����,終端能夠通過關(guān)閉基于與各自VPN接入點相關(guān)聯(lián)的VPN策略所建立的在物理接入點上的VPN通道�,終止對每個VPN的每個接入。然后�����,VPN客戶端可以卸載與各自VPN接入點相關(guān)聯(lián)的VPN策略���,并此后終止與各自VPN接入點相關(guān)聯(lián)的物理接入點的連接�。
根據(jù)本發(fā)明的另一個方面,提供了一種用于管理至少一個虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng)��,該一個或多個VPN策略用于接入至少一個VPN���。該系統(tǒng)包括至少一個SPD��、和能夠與VPN客戶端通信的終端��。該VPN客戶端能夠通過至少一個物理接入點與該一個或多個SPD進行通信�,以從而從該一個或多個SPD下載一個或多個VPN策略��。VPN客戶端能夠在VPN策略庫中存儲一個或多個VPN策略�。此后,VPN客戶端可以與該一個或多個SPD同步�����,以從而更新在VPN策略庫中存儲的一個或多個VPN策略�����。一個或多個一個或多個VPN策略可以包括證書和/或證書/私鑰對��。在這種情況下�����,VPN客戶端還可以在密碼保護的密鑰庫中存儲該證書和/或證書/私鑰對�。
與上面類似,VPN客戶端能夠接收SPD選擇����,并通過與該SPD相關(guān)聯(lián)的物理接入點從所選的SPD中下載至少一個VPN策略。在這種情況下��,VPN客戶端還能夠認(rèn)證該SPD和/或該VPN客戶端�����,并在認(rèn)證了該SPD和/或VPN客戶端時����,從該SPD下載一個或多個VPN策略。在這方面���,VPN客戶端可以基于SPD證書認(rèn)證該SPD�,并基于用戶證書認(rèn)證該VPN客戶端�。然而,在基于SPD證書認(rèn)證SPD之前���,VPN客戶端可以生成SPD證書���。類似地����,VPN客戶端可以生成用戶證書��,比如通過向該SPD認(rèn)證VPN客戶端�����,并在認(rèn)證了該VPN客戶端時生成用戶證書��。
更特別地���,例如�,SPD可以有包含多個字符的相關(guān)的身份代碼�。VPN客戶端從而可以通過接收與該SPD相關(guān)聯(lián)的身份代碼的確認(rèn)生成SPD證書,并此后在接收到確認(rèn)時生成該SPD證書�。在這方面,VPN客戶端可以呈現(xiàn)包含與該SPD相關(guān)聯(lián)的身份代碼的SPD身份代碼對話�,在SPD身份代碼對話中的該身份代碼被呈現(xiàn)為缺少至少一個字符。VPN客戶端可以接收該至少一個字符��。然后,如果在該SPD身份代碼對話中所呈現(xiàn)的身份代碼�����,加上接收到的該至少一個字符與該SPD相關(guān)聯(lián)的身份代碼匹配�,VPN客戶端可以接收該身份代碼的確認(rèn)�����。
根據(jù)本發(fā)明的其它方面���,提供了一種用于接入至少一個VPN的方法和計算機程序產(chǎn)品�����。還提供了一種用于管理至少一個VPN策略的方法和計算機程序產(chǎn)品����。以及在本發(fā)明的又一個方面���,提供了一種VPN接入點數(shù)據(jù)結(jié)構(gòu)�����。因此�,本發(fā)明的實施方式提供了一種用于接入至少一個VPN,和用于管理一個或多個VPN策略的系統(tǒng)���、方法和計算機程序產(chǎn)品���。通過定義一個或多個VPN接入點,本發(fā)明的實施方式可以以一種低負(fù)擔(dān)的方式建立到終端或終端用戶的一個或多個VPN連接中的每一個����。在這方面,如上面指出并如下所述�,通常可以認(rèn)為VPN接入點是到各自VPN的虛擬或邏輯接入點����,使得終端可以以與IAP完全相同的方式建立并有效地維持一個或多個VPN連接。因此���,本發(fā)明的實施方式的系統(tǒng)��、方法和計算機程序產(chǎn)品解決了現(xiàn)有技術(shù)認(rèn)定的問題����,并提供了額外的益處。
已經(jīng)以通用術(shù)語這樣描述了本發(fā)明后����,現(xiàn)在將參考附圖,附圖不必按比例繪制�����,其中圖1是根據(jù)本發(fā)明的一個實施方式的無線通信系統(tǒng)的示意性框圖����,其中該系統(tǒng)包括終端通過無線RF鏈接與之雙向耦合的移動網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)�����;圖2是依照本發(fā)明的實施方式能夠作為網(wǎng)絡(luò)實體運行的實體的示意性框圖����;圖3是根據(jù)本發(fā)明一種實施方式的終端的示意性框圖;圖4示出了包括依照本發(fā)明一種實施方式接入至少一個VPN的方法中多個步驟的流程圖�;圖5A-5C是包括依照本發(fā)明一種實施方式的安裝、存儲或管理一個或多個VPN策略的方法中多個步驟的流程圖����;圖6-17是在本發(fā)明的實施方式運行期間能夠由VPN客戶端呈現(xiàn)的示例性顯示���;以及圖18A-18E是包括依照本發(fā)明一種實施方式的激活以及去激活VPN接入點的方法中多個步驟的流程圖。
具體實施例方式
現(xiàn)在將參考附圖在下文中更充分地描述本發(fā)明����,其中示出了本發(fā)明的優(yōu)選實施方式。然而��,這個發(fā)明可以以多種不同的形式實施����,并不認(rèn)為限制于在此闡明的實施方式;更確切地說�����,提供這些實施方式�����,使得本公開完整和徹底�,并對本領(lǐng)域的技術(shù)人員充分地傳達(dá)本發(fā)明的范圍。自始至終��,相同的數(shù)字指代相同的元件�。
參考圖1����,說明將受益于本發(fā)明的一種類型的終端和系統(tǒng)���。將主要結(jié)合移動通信應(yīng)用描述本發(fā)明的實施方式的系統(tǒng)���、方法和計算機程序產(chǎn)品。然而��,應(yīng)當(dāng)理解����,本發(fā)明的實施方式的系統(tǒng)��、方法和計算機程序產(chǎn)品可以結(jié)合各種各樣的其它應(yīng)用使用�,既可以在移動通信行業(yè)內(nèi)也可以在移動通信行業(yè)外。例如�,本發(fā)明的實施方式的系統(tǒng)、方法和計算機程序產(chǎn)品可以結(jié)合有線和/或無線網(wǎng)絡(luò)(例如�,互聯(lián)網(wǎng))應(yīng)用使用。
如圖所示����,終端10可以包括用于發(fā)送信號到基地站點或基站(BS)14并接收來自基地站點或基站的信號的天線12�?��;臼腔蚨鄠€蜂窩或移動網(wǎng)絡(luò)的一部分��,每一個都包括操作網(wǎng)絡(luò)所需的元件��,比如移動交換中心(MSC)16�����。移動網(wǎng)絡(luò)也可以稱為基站/MSC/互聯(lián)功能(BMI)�����。在操作中�����,MSC可以在終端進行呼叫和接收呼叫時��,發(fā)送呼叫到終端和從終端接收呼叫����。MSC還可以例如,當(dāng)該終端與一個呼叫有關(guān)時��,提供到比如陸上線路干線的連接��。另外��,MSC可以控制到終端和來自終端的消息的轉(zhuǎn)發(fā)��,也可以控制終端到消息中心和從消息中心到終端的消息的轉(zhuǎn)發(fā)�,該消息比如是到SMS中心(SMSC)(未示出)和來自SMS中心(SMSC)(未示出)的短消息服務(wù)(SMS)消息。
MSC 16可以與數(shù)據(jù)網(wǎng)絡(luò)耦合���,比如局域網(wǎng)(LAN)�����、城域網(wǎng)(MAN)和/或廣域網(wǎng)(WAN)。MSC可以直接與數(shù)據(jù)網(wǎng)絡(luò)耦合�。然而,在一種典型的實施方式中���,MSC與GTW 18耦合����,而該GTW與諸如互聯(lián)網(wǎng)20的WAN耦合。反過來��,諸如處理元件(例如�,個人計算機、服務(wù)器計算機等等)之類的設(shè)備可以通過互聯(lián)網(wǎng)與終端10耦合�����。例如�,處理元件可以包括一個或多個與一個或多個源服務(wù)器22相關(guān)聯(lián)的處理元件,圖1中示出了其中一個���。
BS 14也可以與信令GPRS(通用分組無線業(yè)務(wù))支持節(jié)點(SGSN)24耦合��。該SGSN典型地可以執(zhí)行類似于分組交換業(yè)務(wù)的MSC 16的功能��。象MSC一樣����,SGSN可以與諸如互聯(lián)網(wǎng)20的數(shù)據(jù)網(wǎng)絡(luò)耦合���。SGSN可以直接與數(shù)據(jù)網(wǎng)絡(luò)耦合�。然而���,在一種更典型的實施方式中����,SGSN與一個諸如GPRS核心網(wǎng)絡(luò)26的分組交換核心網(wǎng)絡(luò)耦合。該分組交換核心網(wǎng)絡(luò)接著與另一個GTW耦合��,比如GTW GPRS支持節(jié)點(GGSN)28���,而該GGSN與互聯(lián)網(wǎng)耦合���。同樣,該GGSN可以與諸如多媒體消息業(yè)務(wù)(MMS)中心(未示出)的消息中心耦合�。在這方面,象MSC一樣�,GGSN和SGSN可以控制消息的轉(zhuǎn)發(fā),比如MMS消息�。GGSN和SGSN也可以控制終端到消息中心和從消息中心到終端的消息的轉(zhuǎn)發(fā)。另外����,通過將SGSN 24與GPRS核心網(wǎng)絡(luò)26及GGSN 28耦合���,比如一個或多個源服務(wù)器22之類的處理元件可以通過互聯(lián)網(wǎng)20����、SGSN和GGSN與終端10耦合。在這方面����,諸如一個或多個源服務(wù)器之類的設(shè)備可以通過SGSN、GPRS和GGSN與終端進行通信��。
盡管在這里沒有示出并描述每個可能的移動網(wǎng)絡(luò)的每個元件��,應(yīng)該意識到終端10可以通過BS 14與許多不同網(wǎng)絡(luò)中的任意一個或多個耦合�。在這方面,一個或多個網(wǎng)絡(luò)可以支持依照許多第一代(1G)��、第二代(2G)�����、2.5G和/或第三代(3G)移動通信協(xié)議等等中任意一個或多個的通信�����。例如���,一個或多個網(wǎng)絡(luò)可以支持依照2G無線通信協(xié)議IS-136(TDMA)����、GSM和IS-95(CDMA)的通信。同樣�,例如,一個或多個網(wǎng)絡(luò)可以支持依照2.5G無線通信協(xié)議GPRS�、增強型數(shù)據(jù)GSM環(huán)境(EDGE)等等的通信。此外�,例如,一個或多個網(wǎng)絡(luò)可以支持依照比如使用寬帶碼分多址(WCDMA)無線接入技術(shù)的通用移動電話系統(tǒng)(UMTS)網(wǎng)絡(luò)之類的3G無線通信協(xié)議的通信��。某些窄帶AMPS(NAMPS)�����,和TACS網(wǎng)絡(luò)����,由于有雙模式或更高模式的終端(例如,數(shù)字/模擬或TDMA/CDMA/模擬電話)�,也可以受益于本發(fā)明的實施方式。
終端10還可以包括與一個或多個無線收發(fā)信機(TS)30耦合�����。該TS可以由配置為依照象例如射頻(RF)���、藍(lán)牙(BT)���、紅外(IrDA)或者包括圖1中示出的WLAN技術(shù)之類的技術(shù)的任意多種不同的無線網(wǎng)絡(luò)技術(shù)與該終端通信的接入點。另外地或可選地����,該終端可以與一個或多個用戶處理器32耦合。每個用戶處理器可以包括比如個人計算機��、膝上型計算機等等之類的計算系統(tǒng)����。在這方面,用戶處理器可以配置為依照象例如���,RF����、BT����、IrDA或包括LAN和/或WLAN技術(shù)之類的技術(shù)的任意多種不同的有線或無線通信技術(shù)與該終端通信。另外地或可選地�,一個或多個用戶處理器可以包括可以存儲此后可以傳輸?shù)皆摻K端的內(nèi)容的可移動存儲器�。
TS 30和用戶處理器32可以與互聯(lián)網(wǎng)20耦合�����。與MSC 16一樣���,TS和用戶處理器可以直接與互聯(lián)網(wǎng)耦合��。然而�,在一種實施方式中�,TS直接通過GTW 18與互聯(lián)網(wǎng)耦合。應(yīng)當(dāng)意識到����,通過直接或間接地將終端10和一個或多個源服務(wù)器22,以及任意多種其它設(shè)備��、處理器等等與互聯(lián)網(wǎng)連接���,終端可以彼此進行通信���、與源服務(wù)器進行通信等等,以從而執(zhí)行終端的多種功能�����,比如將數(shù)據(jù)��、內(nèi)容等等傳輸?shù)椒?wù)提供商和/或證書管理者�,和/或接收來自服務(wù)提供商和/或證書管理者的數(shù)據(jù)、內(nèi)容等等���。
依照本發(fā)明的實施方式��,互聯(lián)網(wǎng)20和終端10�����,可以耦合到一個或多個內(nèi)部網(wǎng)34�,圖1中說明了其中一個�。每個內(nèi)部網(wǎng)通常包括容納于企業(yè)內(nèi)部的專用網(wǎng)絡(luò)。每個內(nèi)部網(wǎng)可以包括一個或多個互相連接的LAN�����,以及一個或多個LAN�����、MAN、WAN等等的部分�。與互聯(lián)網(wǎng)一樣,諸如處理元件(例如��,一個或多個源服務(wù)器22)之類的設(shè)備可以通過內(nèi)部網(wǎng)與內(nèi)部網(wǎng)以及因此與互聯(lián)網(wǎng)和終端耦合����。象系統(tǒng)的許多其它組件一樣,內(nèi)部網(wǎng)以及內(nèi)部網(wǎng)的處理元件����,典型地通過網(wǎng)關(guān)36直接與互聯(lián)網(wǎng),以及終端耦合���。類似地�����,盡管沒有示出�,內(nèi)部網(wǎng)內(nèi)包括的每個網(wǎng)絡(luò)或者網(wǎng)絡(luò)的部分���,可以通過網(wǎng)關(guān)彼此互相連接���。
如下所述�,借助于通過到內(nèi)部網(wǎng)的網(wǎng)關(guān)36并且���,如果必要的話����,通過內(nèi)部網(wǎng)中的一個或多個其它網(wǎng)關(guān)�,建立虛擬專用網(wǎng)絡(luò)(VPN)�����,終端10可以接入內(nèi)部網(wǎng)34并進而接入內(nèi)部網(wǎng)耦合的處理元件(例如�����,一個或多個源服務(wù)器22)�����。那么�����,在這種情況下,該網(wǎng)關(guān)典型地稱為VPN GTW���,如圖1中所示�����。依照本發(fā)明的實施方式�,該系統(tǒng)提供一個IP安全(IPsec)架構(gòu)���,與互聯(lián)網(wǎng)工程任務(wù)組(IETF)要求的名為Security Architecture for the Internet Protocol的注釋文件RFC 2401中描述的基本相同���,因此通過參考將其內(nèi)容完全結(jié)合與本文中。同樣地�����,內(nèi)部網(wǎng)也與包括安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)38和安全策略數(shù)據(jù)庫(SPD)40的處理元件耦合�。如將意識到的,該SAD可以存儲內(nèi)部網(wǎng)34內(nèi)的處理設(shè)備(例如���,一個或多個源服務(wù)器22)與比如終端10之類的�、位于VPN GTW 36之上的處理設(shè)備之間的安全關(guān)聯(lián)�。另一方面���,該SPD可以存儲由VPN GTW實施的安全策略,如下所述��,在這里�����,安全策略可以包括在還可以包括一個或多個其它信息段的VPN策略內(nèi)�����。如這里所述����,SAD和SPD是依照IPsec配置并結(jié)合不同的IP層協(xié)議(例如���,移動IP)運行的����。然而�����,應(yīng)該理解到,可以選擇性地用任意多種能夠與本發(fā)明的實施方式一致地操作的其它安全協(xié)議配置SAD和SPD����。
依照IPsec,SAD 38包括用于存儲安全關(guān)聯(lián)保護輸出業(yè)務(wù)量����,并用于存儲安全關(guān)聯(lián)保護輸入業(yè)務(wù)量的數(shù)據(jù)庫。例如��,對于輸出業(yè)務(wù)量�����,SAD的條目可以由SPD 40的條目來指出�。更特別地,SAD中的每個條目可以包括一個或多個下列字段目的地IP地址�、IPsec協(xié)議(認(rèn)證文件頭(AR)或封裝安全有效載荷(ESP))和SPI(安全參數(shù)索引)。另外��,每個條目可以包括序列號計數(shù)器����、序列計數(shù)器溢出、反重放窗口��、模式和/或壽命字段。此外�,每個條目可以包括含有象例如AH參數(shù)、用于認(rèn)證的ESP參數(shù)和/或用于加密的ESP參數(shù)之類的加密和認(rèn)證密鑰參數(shù)的加密參數(shù)�。
如由IPsec所定義的,SPD 40包括用于存儲可以包括由VPN GTW36執(zhí)行的安全策略的VPN策略的數(shù)據(jù)庫���。象SAD 38一樣�����,SPD存儲用于輸出業(yè)務(wù)量和輸入業(yè)務(wù)量的安全策略���,通常每一個分別存儲。通常����,VPN GTW利用SPD來判斷必須比如由IPsec保護什么業(yè)務(wù)量��。然而�,當(dāng)必須保護特殊的業(yè)務(wù)量時,SPD定義必須施加什么安全服務(wù)����,在這里這個動作可以定義為(a)丟棄����、(b)重放(即���,不施加安全服務(wù)而重放)或者(c)IPsec(施加安全服務(wù))�����。SPD存儲由描述要施加到各自安全策略的業(yè)務(wù)量的選擇符指出的安全策略�����。每個VPN策略通常定義要采取的動作(即�,丟棄����、重放或IPsec),以及當(dāng)指定IPsec為要采取的動作時要施加的算法和協(xié)議��。根據(jù)IPsec����,通常用下列字段定義選擇符目的地IP地址、源IP地址��、名稱、數(shù)據(jù)敏感性等級�����、傳輸層協(xié)議和/或源和目的地端口��。依照本發(fā)明的實施方式�����,除去����、或取代前述的IPsec字段,可以用一個或多個用戶定義的字段定義選擇符��。
如上面示出并描述的����,終端10可以以許多不同的方式的任何一種接入互聯(lián)網(wǎng)20,以及VPN GTW 36和內(nèi)部網(wǎng)34�����。例如����,終端可以通過TS 30和/或用戶處理器32接入互聯(lián)網(wǎng)。另外地或可選地��,終端可以通過MSC 16接入互聯(lián)網(wǎng)�����,比如為了提供電路交換連接��。此外����,終端另外地或可選地可以通過SGSN 24接入互聯(lián)網(wǎng),比如為了通過GPRS核心網(wǎng)絡(luò)26提供電路或分組交換連接�����。如在這里使用的���,這樣的IAP稱為“互聯(lián)網(wǎng)接入點”或IAP�。盡管終端可以通過前面提到的任意一個或多個IAP接入互聯(lián)網(wǎng)�,還是應(yīng)該理解到,上面的IAP僅是終端可以通過其接入互聯(lián)網(wǎng)的許多不同IAP的說明��。
現(xiàn)在參考圖2,說明了可以依照本發(fā)明的一種實施方式作為比如�����,GTW 18�����、發(fā)起節(jié)點22�����、TS 30�����、用戶處理器32��、VPN GTW 36�、SAD 38、SPD 40之類的網(wǎng)絡(luò)實體運行的實體的框圖��。盡管表示為分離的實體�����,在某些實施方式中��,一個或多個實體可以支持一個或多個邏輯分離但共同位于一個或多個實體內(nèi)部的網(wǎng)絡(luò)實體�。例如,單個的實體可以支持邏輯分離�,但位置相同的SAD和SPD。同樣��,例如��,單個的實體可以支持邏輯分離�,但位置相同的VPN GTW、SAD和SPD��。
如圖所示���,該實體可以作為通?���?梢园ㄅc存儲器44連接的控制器42��、處理器等等的網(wǎng)絡(luò)實體���。該控制器也可以與至少一個接口46或者其它用于發(fā)送和/或接收數(shù)據(jù)��、內(nèi)容等的其它裝置連接��。該存儲器可以包括易失性或非易失性存儲器���,并且通常存儲內(nèi)容�、數(shù)據(jù)等等�。例如,該存儲器通常存儲用于控制器依照本發(fā)明的實施方式執(zhí)行與實體操作相關(guān)的步驟的軟件應(yīng)用�����、指令等等�����。同樣���,如上面指出的�,當(dāng)實體包括SAD 38時����,該存儲器通常存儲與內(nèi)部網(wǎng)34相關(guān)的安全關(guān)聯(lián)保護輸入和/或輸出業(yè)務(wù)量���。另外,如上面指出的���,當(dāng)實體包括SPD 40時,該存儲器通常存儲可以包括由VPN GTW 36執(zhí)行的安全策略的VPN策略�����。
圖3根據(jù)本發(fā)明的一種實施方式����,說明了終端10的功能圖。應(yīng)該理解到���,所說明的并在下文中描述的終端僅是將受益于本發(fā)明的移動終端的一種類型的說明���,因此,不應(yīng)該拿來限制本發(fā)明的范圍����。當(dāng)說明了終端的幾種實施方式并為示例的目的將在下文中說明它們時,其它類型的終端�����,比如便攜式數(shù)字助理(PDA)、尋呼機�、膝上型計算機和其它類型的語音和文本通信系統(tǒng),可以容易地使用本發(fā)明����。
圖3中說明的實施方式的終端10包括發(fā)送器48、接收器50和控制器52�、處理器等等,分別給發(fā)送器和接收器提供信號并從中接收信號���。這些信號包括依照可用的蜂窩系統(tǒng)的空中接口標(biāo)準(zhǔn)的信令信息���,還包括用戶語音和/或用戶生成的數(shù)據(jù)。在這方面��,終端10可以以一個或多個空中接口標(biāo)準(zhǔn)��、通信協(xié)議���、調(diào)制類型和接入類型操作����。更特別地,該終端可以依照許多1G�����、2G��、2.5G和/或3G通信協(xié)議等等中的任意一種運行�。例如,該終端可以依照2G無線通信協(xié)議IS-136(TDMA)�����、GSM和IS-95(CDMA)運行�����。同樣�����,例如���,該終端可以依照2.5G無線通信協(xié)議GPRS、增強型數(shù)據(jù)GSM環(huán)境(EDGE)等等運行�����。某些窄帶AMPS(NAMPS),和TACS終端�����,由于有雙模式或更高模式的終端(例如��,數(shù)字/模擬或TDMA/CDMA/模擬電話)����,也可以從本發(fā)明的實施方式獲益。
要理解到�����,控制器52包括實現(xiàn)終端10的音頻和邏輯功能需要的電路�����。例如����,該控制器可以包括數(shù)字信號處理器設(shè)備、微處理器設(shè)備����、和許多模擬到數(shù)字轉(zhuǎn)換器����、數(shù)字到模擬轉(zhuǎn)換器和/或其它支持電路�。終端的控制和信號處理功能根據(jù)其各自性能分配到這些設(shè)備中?���?刂破鲝亩€包括在調(diào)制和發(fā)送之前卷積編碼和插入消息和數(shù)據(jù)的功能?����?刂破髁硗獍▋?nèi)部語音編碼器(VC)52A��,并且可以包括內(nèi)部數(shù)據(jù)調(diào)制解調(diào)器(DM)52B�����。此外����,控制器可以包括運行一個或多個可能存儲在存儲器中的軟件應(yīng)用的功能�����。
終端10還包括用戶接口,其包含傳統(tǒng)的耳機或揚聲器54�、振鈴56、麥克風(fēng)60����、顯示器62和用戶輸入界面,所有這些都與控制器52耦合����。允許終端接收數(shù)據(jù)的用戶輸入界面可以包括任意多種允許終端接收數(shù)據(jù)的設(shè)備,比如鍵盤64����、觸摸屏(未示出)或其它輸入設(shè)備。在包括鍵盤的實施方式中�����,鍵盤包括傳統(tǒng)的數(shù)字(0-9)和相關(guān)按鍵(#���、*)�,和用于操作該終端的其它按鍵。
該終端10也可以包括存儲器����,比如用戶識別模塊(SIM)66、可移動用戶識別模塊(R-UIM)等等���,它們通常存儲與移動用戶有關(guān)的信息元素���。除了SIM之外,該終端可以包括其它存儲器�。在這方面,該終端可以包括易失性存儲器68�����,比如包括用于數(shù)據(jù)臨時存儲的高速緩沖存儲器領(lǐng)域的易失性隨機存取存儲器(RAM)。該終端也可以包括其它可以內(nèi)嵌和/或可以移動的非易失性存儲器70���。存儲器可以存儲任意多種信息段�����,和數(shù)據(jù)���,由該終端用于實現(xiàn)該終端的功能。例如�����,存儲器可以包括識別符���,比如國際移動設(shè)備識別(IMEI)碼����,可以唯一地識別該終端,比如識別為MSC 16����。
例如,同樣地,存儲器66��、68和70可以包括一個或多個連接應(yīng)用71��,比如一個允許終端10發(fā)送并接收網(wǎng)絡(luò)內(nèi)容的傳統(tǒng)網(wǎng)絡(luò)瀏覽器,和/或一個允許該終端發(fā)送并接收電子郵件消息的傳統(tǒng)電子郵件應(yīng)用等等。另外,例如���,非易失性存儲器可以存儲操作系統(tǒng)(未示出)����,比如英國的Symbian有限公司開發(fā)的Symbian OS 7.0s版本或更高版本操作系統(tǒng)�。此外���,例如下面更詳細(xì)描述的���,非易失性存儲器可以存儲可以依照諸如IPsec的安全協(xié)議,建立一個或多個VPN連接的VPN客戶端72��。
如在這里示出并描述的����,比如VPN客戶端72之類的應(yīng)用包括由終端10,比如由該終端的控制器40執(zhí)行的軟件��。然而�,應(yīng)該理解,VPN客戶端的功能可以同樣地在硬件��、固件等等中實現(xiàn)����,而不脫離本發(fā)明的實質(zhì)和范圍����。還應(yīng)該理解����,盡管VPN客戶端示出并描述為與該終端位置相同,該VPN客戶端同樣可以從該終端中分離出來�����。
終端10還可以包括一個或多個用于依照任意多種不同有線和/或無線技術(shù)��,共享和/或獲得來自比如其它網(wǎng)絡(luò)實體之類的電子設(shè)備的數(shù)據(jù)的裝置�。例如,該終端可以包括射頻(RF)收發(fā)信機74和/或紅外(IR)收發(fā)信機76�,使得該終端可以依照射頻和/或紅外技術(shù)共享和/或獲得數(shù)據(jù)。同樣地�,例如,該終端可以包括藍(lán)牙(BT)收發(fā)信機78�����,使得該終端可以依照藍(lán)牙傳輸技術(shù)共享和/獲得數(shù)據(jù)����。盡管未示出���,該終端可以另外地或可選地根據(jù)包括局域網(wǎng)(LAN)和/或無線LAN(WLAN)和/或其它無線技術(shù)的許多不同的有線和/或無線網(wǎng)絡(luò)技術(shù)發(fā)送和/或接收來自電子設(shè)備的數(shù)據(jù)。
如背景技術(shù)部分中指出的����,在用于通過VPN通信的傳統(tǒng)技術(shù)中通常需要客戶端,比如終端10���,以通過建立IAP到包括各自VPN的一個或多個物理網(wǎng)絡(luò)的通信,并此后載入和激活各自VPN的VPN策略��,來建立VPN連接����。終止該VPN連接,通常需要客戶端卸載或去激活各自VPN的VPN策略��,并此后終止與該IAP的通信���。然而�,特別是當(dāng)在“多宿主”客戶端中客戶端的并發(fā)VPN和其它連接的數(shù)量增加時,這種用于發(fā)起并終止VPN連接的技術(shù)可能給客戶端或客戶端用戶帶來非預(yù)期的負(fù)擔(dān)���。
依照本發(fā)明的實施方式�,則終端10可以建立并有效地維持比如在“單宿主”和/或“多宿主”配置中的一個或多個VPN����。更特別地,運行為“多宿主”的客戶端����,該終端可以同時建立并有效地維持在一個或多個IAP上的多個VPN連接(和VPN策略)。同樣地�����,該終端可以和到與該VPN連接無關(guān)的一個或多個相同或不同IAP的一個或多個另外的連接同時維持一個或多個活動的VPN連接��。在操作中���,與傳統(tǒng)的“多宿主”客戶端相反�,該終端還可以不請求該終端��,或者終端用戶����,而建立每個VPN連接����,以分別建立IAP到各自一個或多個物理網(wǎng)絡(luò)的通信�����,載入或激活各自VPN的VPN策略����,隨后此后卸載或去激活各自VPN的VPN策略,并終止與IAP的通信���。
為了實行依照本發(fā)明的實施方式接入一個或多個VPN的方法����,終端10���,或者更特別的終端用戶可以定義一個或多個“VPN接入點”。如下所述�����,VPN接入點通常可以認(rèn)為是到各自VPN的虛擬或邏輯接入點�����。在這方面�,可以用VPN策略和相關(guān)IAP定義VPN接入點,并且可以用名稱或其它標(biāo)識符識別��。然后�,利用VPN接入點,該終端可以以與IAP非常類似的方式建立并有效地維持一個或多個VPN連接�����,該VPN連接具有與依照傳統(tǒng)技術(shù)建立的VPN連接類似的屬性��。
如下面更詳細(xì)說明的�,當(dāng)終端10,或者更特別的終端用戶或者該終端上運行的應(yīng)用建立VPN連接時����,在該終端上運行的VPN客戶端72可以利用各自VPN接入點接入該VPN。因而�,如在這里所用的,每個這種VPN連接稱為“VPN接入點連接”��。更特別地,為了建立VPN接入點連接�����,VPN客戶端可以解釋各自VPN接入點���,以建立與相關(guān)IAP之間的連接���,載入相關(guān)VPN策略,并此后在該IAP連接上建立VPN通道�����。因而��,倘若該終端從相關(guān)IAP脫離的話�,為了終止該VPN接入點連接,該VPN客戶端可以關(guān)閉該VPN通道�����,卸載該相關(guān)VPN策略�,并此后允許該終端終止到該相關(guān)IAP的連接�。
然后�,利用VPN接入點��,VPN客戶端72可以將VPN通道的建立與終止并入到典型的到IAP的連接的建立和終止中���。同樣地�,與傳統(tǒng)技術(shù)相反�����,終端10或者終端用戶不需要單獨執(zhí)行建立VPN連接的步驟����,或者以與建立并終止IAP連接協(xié)調(diào)的方式用專用VPN用戶接口(UI)載入或卸載VPN策略。
如上面指出的���,并且如下面進一步說明的�����,終端10可以通過利用各自VPN接入點連接多個VPN�����,有效地同時維持到多個VPN接入點連接的連接�����。另外��,一個或多個VPN接入點連接可以有效地共存于具有一個或多個到與各自VPN接入點連接無關(guān)的一個或多個相同或不同的IAP的連接的終端中�。當(dāng)該終端有效地維持多個并發(fā)活動接入點連接時,多個VPN策略也是同時有效的�。然而,每個VPN策略僅影響各自VPN接入點連接上的業(yè)務(wù)量�。在這方面,為了允許這種VPN策略的分離�����,VPN策略中的業(yè)務(wù)量選擇符可以包括與各自VPN接入點連接相關(guān)的網(wǎng)絡(luò)標(biāo)識符(ID)��。
參考圖4��,示出了包括依照本發(fā)明的一種實施方式的接入至少一個VPN的一種方法中不同步驟的流程圖��。如圖所示����,該方法包括建立并有效地維持一個或多個VPN接入點連接���。然而�,在終端10可以建立并有效地維持一個或多個VPN接入點連接之前,通常定義各自VPN接入點�,每一個包括名稱或其它標(biāo)識符,和相關(guān)VPN策略和IAP��。此外���,如圖4的方框79中所示�,在定義一個或多個VPN接入點之前�����,一個或多個VPN策略可以比如由方框80中示出的VPN客戶端72在該終端的存儲器(例如���,非易失性存儲器70)中安裝��、更新或者存儲��。更特別地�����,該VPN客戶端可以安裝選自一個或多個不同類型VPN策略的VPN策略�����,包括用戶專用證書策略���、通用證書策略和通用非證書策略����。
用戶專用證書策略通常包括VPN客戶端72建立到VPN GTW 36的安全通道所需的信息����。更特別地,例如�,該用戶專用證書策略可以包括一個或多個安全策略。另外�����,該用戶專用證書策略可以包括一個或多個其它信息段��,比如���,例如一個或多個證書許可(CA)證書����、一個或多個VPN GTW證書,和/或一個或多個VPN客戶端私鑰/證書對����。與用戶專用證書策略相反�����,通用證書策略通常沒有比如VPN客戶端私鑰/證書對之類的用戶專用信息�。因而,對于通用證書策略����,該VPN客戶端可以生成該VPN客戶端的私鑰并獲得相應(yīng)證書,比如通過證書注冊技術(shù)�。此外,與用戶專用和通用證書策略相反�,通用非證書策略典型地需要用戶名-密碼類型的VPN認(rèn)證,并且可以準(zhǔn)備安裝后立即使用��。
如將要意識到的�,在包括VPN客戶端72可以從中安裝一個或多個VPN策略的SPD 40的企業(yè)中,各自系統(tǒng)管理員通常創(chuàng)建一個或多個VPN策略����。然后���,該VPN策略可以輸出到各自SPD以使該一個或多個VPN策略可以用于該VPN客戶端。另外地或可選地��,各自系統(tǒng)管理員可以將一個或多個VPN策略打包到文件中�,比如Symbian安裝系統(tǒng)(SIS)文件。包括策略的文件隨后可以遞送給此后能夠安裝或在存儲器(例如��,非易失性存儲器70)中存儲來自該文件的策略的該VPN客戶端���。
現(xiàn)在參考圖5A-5C��,其說明了包括由終端10的存儲器(例如����,非易失性存儲器70)中的VPN客戶端72安裝�、存儲或管理一個或多個VPN策略的方法中多個步驟的流程圖。如圖所示����,安裝一個或多個VPN策略的方法包括,比如通過到終端用戶接口(例如����,鍵盤64)的輸入�,激活VPN客戶端72內(nèi)的VPN策略安裝程序��,如方框80中所示��。該VPN策略安裝/更新過程可以以任意多種不同的方式激活���,包括,例如打開VPN客戶端的“VPN策略”頁面或顯示�����,或者更特別的該VPN客戶端的VPN管理控制面板小應(yīng)用程序�����。此后����,該終端用戶可以從該“VPN策略”顯示中選擇安裝VPN策略,比如通過選擇“安裝”命令����,如圖6的示例性VPN客戶端顯示中所示。
可選擇地,在終端10不包括任何已安裝的VPN策略的情況下�,VPN客戶端72可以主動要求安裝一個或多個這種策略。例如�,如圖7的示例性VPN客戶端顯示中所示,VPN客戶端可以呈現(xiàn)包括下列聲明和要求的確認(rèn)對話“沒有安裝VPN策略�,現(xiàn)在安裝嗎?”�。如果該終端用戶響應(yīng)于這樣的要求選擇放棄安裝VPN策略,該VPN客戶端通常不啟動VPN策略的安裝���,并且可以再次呈現(xiàn)表示沒有安裝任何VPN策略的“VPN策略”顯示����,如圖6的示例性VPN客戶端顯示中所示�。在此后的任意時刻,該終端用戶可以從“VPN策略”顯示中選擇安裝VPN策略�,比如通過選擇“安裝”命令。
如果或當(dāng)該終端用戶選擇安裝一個或多個VPN策略時���,終端10可以接收一個SPD 40的選擇�����,從中安裝/更新一個或多個VPN策略��,比如從由VPN客戶端72呈現(xiàn)的一個或多個SPD列表中��,如方框82中所示���。如圖8的示例性顯示中說明的����,例如��,VPN客戶端72可以比如在“VPN策略服務(wù)器”顯示上呈現(xiàn)一個或多個SPD的依字母順序的列表�。應(yīng)當(dāng)意識到���,如果該列表只包括單獨的SPD����,則該VPN客戶端可以配置為自動選擇所列出的SPD�。
如方框84中所示,在從中選擇SPD 40安裝/更新一個或多個VPN策略之后��,VPN客戶端72可以通過能夠接入所選SPD以安裝由該SPD存儲的一個或多個VPN策略的終端來識別所選SPD是否具有相關(guān)IAP�����。VPN客戶端可以以任意多種不同方式識別相關(guān)IAP,比如基于在定義所選SPD的終端的存儲器中存儲的SPD設(shè)置���。在這方面����,VPN客戶端72可以在終端10的存儲器中存儲定義一個或多個SPD 40的SPD設(shè)置��,這里該SPD設(shè)置除了IAP關(guān)聯(lián)之外��,可以包括一個或多個SPD的一個或多個地址(例如����,IP地址),如果希望這樣的話���,還可以包括定義終端10和各自一個或多個SPD之間的信任關(guān)系的信息��。
如將要意識到的�����,在許多情況下�����,所選SPD 40可以沒有相關(guān)IAP���,比如可能是以離線的方式���,比如從SIS(Symbian安裝系統(tǒng))文件中,SPD設(shè)置已經(jīng)存儲在該終端的存儲器(例如�����,非易失性存儲器70)中��。在這種情況下�����,VPN客戶端72可以接收IAP的選擇����,比如從由VPN客戶端呈現(xiàn)的可用IAP的列表中�,如方框86中所示。與單獨SPD的情況類似�,如果該列表只包括單獨的IAP,則該VPN客戶端可以配置為自動選擇所列出的IAP�����。不考慮VPN客戶端如何接收IAP的選擇,該VPN客戶端此后可以在定義先前所選SPD的SPD設(shè)置中存儲該選擇���。
如方框88所示�,一旦所選SPD 40具有相關(guān)IAP����,該VPN客戶端72可以要求該終端用戶設(shè)置或輸入密鑰庫密碼以便于向所選SPD認(rèn)證終端10,或者更特別的VPN客戶端����。更特別地,終端用戶典型地設(shè)置并此后使用密鑰庫密碼以保護在該終端存儲器(例如��,非易失性存儲器70)中的密鑰庫����,或者更特別的,以保護包括在該密鑰庫中的VPN認(rèn)證和/或SPD認(rèn)證的私鑰(下述)����。如下所述,在這方面,該密鑰庫密碼通常設(shè)置為保護VPN客戶端第一次連接到該SPD時����,該VPN客戶端可以從該SPD中接收的SPD認(rèn)證的私鑰,比如為了使由該SPD存儲的VPN策略與該終端同步�。
如圖9的方框90和示例性VPN客戶端顯示中所示,如果先前已經(jīng)設(shè)置了密鑰庫密碼����,VPN客戶端72可以要求并此后從該終端用戶接收各自的密鑰庫密碼。然而�,應(yīng)當(dāng)意識到,在許多情況下��,VPN客戶端可以在終端10的存儲器(例如���,非易失性存儲器70)中存儲所設(shè)密鑰庫密碼�。在這種情況下�,該VPN客戶端可以無需從終端用戶要求密鑰庫密碼,而從存儲器中取回密鑰庫密碼��。然而���,如圖10的方框92和示例性VPN客戶端顯示中所示,如果密鑰庫密碼仍然沒有設(shè)置或者在存儲器中存儲���,VPN客戶端可以要求并此后從終端用戶接收新的密鑰庫密碼�����。
如方框94中所示�����,在設(shè)置或接收密鑰庫密碼之后�,VPN客戶端72可以建立到與所選SPD 40相關(guān)的IAP的數(shù)據(jù)連接,以從而建立到該SPD的數(shù)據(jù)連接�����。此后��,該VPN客戶端可以建立到該SPD的數(shù)據(jù)連接�����,以下載�、接收或者同步來自該SPD的一個或多個VPN策略。在同步來自該SPD的一個或多個VPN策略之前����,VPN客戶端可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身�,這特別是在該VPN客戶端希望�,但是與該SPD沒有信任關(guān)系的情況下。VPN客戶端可以以任意多種不同方式認(rèn)證該SPD和/或向SPD認(rèn)證其本身��。在一種實施方式中��,例如�����,VPN客戶端可以執(zhí)行利用依照證書認(rèn)證技術(shù)的SPD證書和/或用戶證書這樣的一個或多個認(rèn)證��。在這種情況下���,VPN客戶端可以在終端10的存儲器(例如���,非易失性存儲器70),比如在密碼保護的密鑰庫中存儲關(guān)于所選SPD的SPD證書和/或用戶證書����。
SPD和用戶證書可以以任意多種不同方式生成,但在一種典型的實施方式中�����,是在VPN客戶端第一次試圖建立與該SPD的數(shù)據(jù)連接時生成的��,如方框96中所示�。在這種情況下,當(dāng)SPD設(shè)置不另外包括定義終端10與所選SPD之間的信任關(guān)系的信息時�,VPN客戶端可以認(rèn)證該SPD。VPN客戶端可以以任意多種不同方式認(rèn)證該SPD�����,比如通過檢查并要求終端用戶完成由VPN客戶端提供的SPD身份代碼���,如方框98中示出��。在這種情況下����,SPD的系統(tǒng)管理員可以典型地以與終端和SPD之間的連接無關(guān)的方式�����,在VPN客戶端向SPD認(rèn)證其本身之前�,將身份代碼發(fā)送給終端用戶�。
更特別地�,VPN客戶端72可以要求并此后從終端用戶接收該SPD身份代碼的確認(rèn)。在這方面����,VPN客戶端可以呈現(xiàn)包括缺少一個或多個字符的SPD身份代碼的SPD身份代碼對話,并且可以要求并此后從終端用戶接收缺少的字符���。例如�����,如果服務(wù)器身份代碼包括“3E:1F:9E:E6:4C:6E:F0:22:08:25:DA:91:23:08:05:03”����,則VPN客戶端可以呈現(xiàn)對話����,其包括要求“通過輸入缺少的字符校驗服務(wù)器身份代碼3E:1F:_E:E6:4C:6E:F0:2_:08:25:DA:9_:23:08:_5:03”。在這種情況下�,VPN客戶端可以從終端用戶接收字符串“9210”以從而完成該SPD身份代碼。不考慮VPN客戶端72如何認(rèn)證所選SPD 40����,在認(rèn)證SPD時�����,VPN客戶端可以在隨后的通信期間�,生成并此后存儲用于認(rèn)證該SPD的SPD證書����,如方框100中所示����。
象生成SPD證書一樣,用戶證書可以以任意多種不同方式生成����。與前面類似,VPN客戶端72第一次試圖建立與該SPD的數(shù)據(jù)連接時��,該VPN客戶端可以向SPD認(rèn)證其本身��。VPN客戶端可以以任意多種不同方式相SPD認(rèn)證其本身��,比如通過用戶名/密碼組合��,如方框102中所示��。與前面類似,不考慮VPN客戶端如何向所選SPD認(rèn)證其本身�����,該SPD此后可以生成(或者從證書認(rèn)證中取回)客戶端證書�����,并且將該客戶端證書發(fā)送到該VPN客戶端�。然后,在接收客戶端證書時��,VPN客戶端可以在隨后的通信期間����,存儲用于認(rèn)證該SPD的客戶端證書,如方框104中所示����。
如上面指出的,在從SPD 40中下載一個或多個VPN策略之前����,VPN客戶端72可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身。更特別地���,在從該SPD中下載一個或多個VPN策略之前�,VPN客戶端可以從該SPD中取回可用于該VPN客戶端的一個或多個VPN策略相關(guān)信息,如方框106中所示���。因而����,在這個信息取回期間���,VPN客戶端可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身,如方框108中所示��。在這方面�,如果該SPD證書已經(jīng)到期、被廢除或者是無效的����,則該SPD可以拒絕與VPN客戶端同步一個或多個VPN策略,如方框110中所示��。在這種情況下�����,如果希望這樣的話,VPN客戶端可以通知終端用戶認(rèn)證錯誤����,比如通過給終端用戶呈現(xiàn)信息對話(例如,“策略服務(wù)器登錄失敗�。刪除并重新創(chuàng)建服務(wù)器定義?����!?����。終端用戶可以此后重新定義一個或多個SPD列表中的該SPD,比如在管理這樣的一個或多個SPD的列表和設(shè)置期間�,如下所述。終端用戶隨后可以重啟動VPN策略安裝過程���,選擇重新定義的SPD��。
同樣地�,如果客戶端證書已經(jīng)到期��、被廢除或者是無效的,VPN客戶端72��,或者更特別的SPD 40��,可以拒絕與VPN客戶端同步一個或多個VPN策略�,如方框112中所示。在這種情況下�,該SPD可以此后生成新的客戶端證書,比如以與前面相同的方式(見方框100��、102)����。VPN客戶端然后可以使用新生成的客戶端證書再次試圖向SPD認(rèn)證其本身。
如果SPD證書和客戶端證書都無效�����,而VPN客戶端72和SPD 40之間的認(rèn)證成功���,則VPN客戶端可以同步由SPD存儲的一個或多個VPN策略。更特別地����,VPN客戶端可以從該SPD下載由該SPD存儲、生成或接收的一個或多個VPN策略和相關(guān)證書(對于用戶專用或通用證書策略),如方框114中所示�。在完成策略下載或同步時,如果希望這樣的話�����,VPN客戶端可以通知終端用戶策略同步已經(jīng)完成���。
同樣�����,在VPN客戶端已經(jīng)接收到一個或多個VPN策略之后�,VPN客戶端72可以安裝或者存儲各自一個或多個策略�����。例如�,VPN客戶端可以將一個或多個安全策略打包到策略文件中,并與關(guān)于一個或多個安全策略的信息一起�����,在VPN策略庫中存儲該策略文件�。另外,例如,對于用戶專用或通用證書策略�,VPN客戶端可以在密碼保護的密鑰庫中存儲一個或多個證書和一個或多個私鑰/證書對。在這方面�,在存儲通用證書策略的VPN客戶端私鑰/證書對之前,在安裝期間����,VPN客戶端可以生成VPN客戶端的私鑰,并獲得相應(yīng)證書�,比如通過證書注冊技術(shù)。不考慮如何安裝一個或多個VPN策略�,VPN客戶端此后可以呈現(xiàn)所安裝的一個或多個VPN策略,比如在“VPN策略”頁面或顯示上���,如圖11的示例性VPN客戶端顯示中所示���。
如將要意識到的,一旦已經(jīng)由VPN客戶端72安裝了一個或多個VPN策略��,VPN客戶端此后可以管理各自的一個或多個VPN策略��,比如通過更新��、編輯���、刪除或者修改各自的一個或多個VPN策略����。一個或多個VPN策略可以以任意多種不同方式更新���。然而�,在一種典型的實施方式中���,以類似于安裝各自一個或多個策略的方式更新一個或多個VPN策略����。更特別地�����,一個或多個VPN策略可以通過重新同步VPN客戶端于各自SPD 40來更新����,特別是當(dāng)一個或多個VPN策略是先前從SPD安裝的時。然后�����,在每次與SPD同步期間,可以基于當(dāng)前由SPD存儲的一個或多個VPN策略更新���、刪除或者修改終端的存儲器(例如���,非易失性存儲器70)中存儲的所安裝的SPD的一個或多個VPN策略。
同樣����,在管理一個或多個VPN策略期間,VPN客戶端72可以給終端用戶呈現(xiàn)所安裝的一個或多個VPN策略的列表(見圖11)����。然后,從這個列表中��,終端用戶可以選擇觀看關(guān)于一個或多個VPN策略的詳細(xì)信息�,以及刪除、編輯或者更新一個或多個VPN策略�����。例如���,終端用戶可以選擇已安裝的VPN策略�,并此后選擇觀看關(guān)于該VPN策略的詳細(xì)信息����,如圖12和13的示例性VPN客戶端顯示中所示。VPN策略可以包括任意多種不同信息段���,其中的一個或多個可以包括在關(guān)于VPN策略的詳細(xì)信息中����。
例如����,VPN策略可以包括“策略名稱”,比如由系統(tǒng)管理員指定的���,和包括關(guān)于該VPN策略的附注的“描述”��,比如由該系統(tǒng)管理員包括在該VPN策略內(nèi)的信息�����。同樣����,例如,VPN策略可以包括“策略服務(wù)器名稱”��,表示VPN客戶端72從哪個SPD 40安裝了該VPN策略��,倘若VPN客戶端從SPD安裝了該VPN策略的話�����。另外�����,例如��,VPN策略可以包括“策略狀態(tài)”��,表示該VPN策略是否即將使用�,或者該VPN策略是否已經(jīng)使用,比如在活動的或不活動的VPN接入點中(下述)���。另外�,例如���,VPN策略可以包括“證書狀態(tài)”�����,表示與該VPN證書相關(guān)的用戶證書(0個或更多)當(dāng)前是否有效��、已到期�����、丟失�、目前無效等等��。此外�����,例如����,VPN策略還可以包括該VPN策略最后一次何時從各自SPD更新的“更新”指示,再次假設(shè)VPN客戶端從SPD安裝該VPN策略����。
除了管理一個或多個VPN策略之外,VPN客戶端72還能夠管理可以用于VPN客戶端安裝/更新一個或多個VPN策略的一個或多個SPD 40的列表(見圖8)���,以及在該表中包括的一個或多個SPD的SPD設(shè)置����。在這方面,如將要意識到的���,在多種情況下����,期望的SPD不包括在該列表中����,或者一個或多個SPD的列表還沒有建立,比如在終端用戶還沒有定義任何VPN客戶端內(nèi)的SPD時����。在這種情況下,終端用戶可以添加一個或多個SPD到當(dāng)前可能或可能不包括然后SPD的SPD列表中�。例如,終端用戶可以通過選擇“新建”命令從“VPN策略服務(wù)器”顯示中選擇定義一個或多個SPD��,如圖8中所示����。然而��,在SPD列表當(dāng)前不包括任何SPD的情況下���,VPN客戶端可以呈現(xiàn)確認(rèn)對話,其包括下列聲明和要求“沒有定義VPN策略服務(wù)器����,現(xiàn)在定義嗎�?”,如圖14的示例性VPN客戶端顯示中所示��。
如果終端用戶響應(yīng)于這樣的請求�����,選擇放棄添加一個或多個SPD40�����,VPN客戶端72通常不啟動添加一個或多個SPD����,并且可以再次呈現(xiàn)表示沒有定義SPD的“VPN策略服務(wù)器”顯示。在此后的任意時刻,終端用戶可以選擇從“VPN策略服務(wù)器”顯示中添加一個或多個SPD���,比如通過選擇“新建”命令����。然后�,為了添加SPD到一個或多個SPD列表,隨后�,VPN客戶端可以從終端用戶接收各自SPD的主機名稱,以及比如來自可用的IAP列表中的IAP����。另外,對于新的SPD���,VPN客戶端可以接收該SPD的地址(例如�,IP地址)���。對于用于接收這種信息的示例性VPN客戶端顯示的說明��,見圖15�����。在添加SPD之后�����,如果希望這樣的話�����,VPN客戶端可以啟動所添加的VPN客戶端的該一個或多個VPN策略的同步�����,比如以上面描述過的方式���。
同樣在管理一個或多個SPD 40期間,VPN客戶端72可以給終端用戶呈現(xiàn)可用一個或多個SPD的列表���,如上面指出的(見圖8)�����。然后����,從這個列表中,終端用戶可以選擇觀看關(guān)于該一個或多個SPD的信息����,以及刪除、編輯或者更新一個或多個SPD����。另外,例如���,終端用戶可以選擇同步一個或多個SPD的一個或多個VPN策略��。
再次參考圖4��,不考慮VPN客戶端72如何安裝一個或多個VPN策略����,或者管理一個或多個VPN策略�����,或可用的一個或多個SPD��,在安裝一個或多個VPN策略之后�����,VPN客戶端可以定義一個或多個VPN接入點,或者接收一個或多個VPN接入點的定義�,如方框81中所示。如上面指出的�,每個VPN接入點可以包括名稱或其它標(biāo)識符,相關(guān)的VPN策略和相關(guān)的IAP��。例如���,為了定義VPN接入點���,VPN客戶端可以從終端用戶接收各自VPN接入點的名稱,以及相關(guān)IAP�。盡管該相關(guān)IAP可以從可用IAP列表中選擇�����,在一種典型的實施方式中�����,該相關(guān)IAP是基于VPN客戶端希望與之連接以建立并維持各自VPN接入點連接的VPN GTW 36而預(yù)先定義的�����,比如由各自VPN GTW的系統(tǒng)管理員定義的。除了名稱和相關(guān)IAP之外��,VPN客戶端可以比如從已安裝的VPN策略列表中接收VPN策略的選擇以與該VPN接入點相關(guān)聯(lián)����。如將要意識到的,在相關(guān)IAP基于VPN GTW預(yù)先定義的情況下�����,相關(guān)VPN策略通常包括通過各自VPN GTW服務(wù)的SPD 40的VPN策略����。
更特別地,依照本發(fā)明的一種實施方式����,每個VPN接入點可以通過打開可能包括一個或多個先前定義的VPN接入點的列表的VPN客戶端72的“VPN接入點”頁面或者顯示來定義,如圖16的示例性VPN客戶端顯示中所示�����。此后�,終端用戶可以從該“VPN接入點”顯示中選擇以定義一個或多個VPN接入點�����,比如通過選擇“新建”命令��,同樣如圖16的示例性VPN客戶端顯示中所示�����。此后����,VPN客戶端可以呈現(xiàn)對話���,其包括許多用于接收各自VPN接入點設(shè)置的輸入字段��、包括VPN接入點的名稱或其它標(biāo)識符���、相關(guān)VPN策略和相關(guān)IAP�。例如,如圖17的示例性VPN客戶端顯示中所示���,VPN客戶端可以呈現(xiàn)包括用于接收終端用戶輸入的字段的“編輯VPN接入點”頁面或顯示����。如圖所示,除了前面提到的VPN接入點設(shè)置���,VPN接入點還可以包括可以識別由各自VPN接入點產(chǎn)生的VPN接入點連接的相關(guān)網(wǎng)絡(luò)ID����。
不考慮一個或多個VPN接入點如何定義�,在定義了一個或多個VPN接入點之后,VPN客戶端72可以激活一個或多個所定義的VPN接入點�。VPN客戶端可以以任意多種不同形式激活一個或多個VPN接入點。同樣地���,VPN客戶端可以直接激活VPN接入點�。然而�����,在一種典型的實施方式中���,在激活一個或多個VPN接入點之前���,VPN客戶端可以關(guān)聯(lián)���,或者終端用戶可以命令VPN客戶端關(guān)聯(lián)一個或多個VPN接入點與可以在終端10上運行的一個或多個應(yīng)用71,以致相關(guān)的一個或多個應(yīng)用此后可以激活各自的一個或多個VPN接入點��,如方框83中所示�。例如,終端用戶可以命令VPN客戶端關(guān)聯(lián)VPN接入點與配置為發(fā)送電子郵件消息到通過來自終端的VPN GTW 36耦合與內(nèi)部網(wǎng)34的電子郵件服務(wù)器(即��,源服務(wù)器22)�,和/或從中取回電子郵件消息。
如將要意識到的��,取代VPN接入點與應(yīng)用71的關(guān)聯(lián)��,一個或多個應(yīng)用可以配置為要求并隨后從終端用戶接收接入點的選擇��,或者是IAP或者是VPN接入點��。在這種情況下����,在應(yīng)用運行期間,可以給終端用戶呈現(xiàn)已配置的接入點列表�����,包括一個或多個IAP和/或一個或多個VPN接入點���。然后�,從這個列表中�����,終端用戶可以選擇接入點����,比如VPN接入點,以從而激活各自接入點���。在這方面����,在一個或多個應(yīng)用運行期間���,VPN客戶端可以以與IAP與這種應(yīng)用傳統(tǒng)地關(guān)聯(lián)非常類似的方式��,關(guān)聯(lián)一個或多個VPN接入點與一個或多個應(yīng)用�����,或者接收一個或多個VPN接入點的選擇��。為了說明的目的�����,下面的說明假設(shè)VPN接入點與應(yīng)用關(guān)聯(lián)�,盡管該VPN接入點可以同樣地在該應(yīng)用運行期間從接入點列表中選擇,如上面指出的�。在關(guān)聯(lián)了一個或多個VPN接入點和一個或多個應(yīng)用之后,VPN客戶端72可以基于相關(guān)的VPN策略和IAP激活一個或多個VPN接入點��,如方框85中所示���,以從而接入各自的一個或多個VPN����。然后��,通過接入一個或多個VPN�����,相關(guān)的一個或多個應(yīng)用可以通過各自的一個或多個VPN建立一個或多個數(shù)據(jù)連接,如方框87中所示�。
現(xiàn)在參考圖18A-18E,更特別地說明了依照本發(fā)明一種實施方式的激活以及去激活VPN接入點的方法的不同步驟�。如在這里所述�,VPN接入點與電子郵件應(yīng)用關(guān)聯(lián)。然而�,應(yīng)該理解到,該VPN接入點可以與任意多種不同應(yīng)用關(guān)聯(lián)���,或者不需與任何應(yīng)用關(guān)聯(lián)�����。如圖18A的方框116中所示���,激活VPN接入點的方法包括執(zhí)行并操作相關(guān)電子郵件應(yīng)用。此后�,如方框118中所示,該電子郵件應(yīng)用可以操作以請求通過該VPN接入點的數(shù)據(jù)連接����,比如響應(yīng)終端用戶請求從與該電子郵件應(yīng)用相關(guān)聯(lián)的電子郵件服務(wù)器中取回電子郵件消息。此后�����,如果該電子郵件應(yīng)用要求其自身認(rèn)證,該電子郵件應(yīng)用可以認(rèn)證該終端用戶��。例如�����,該電子郵件應(yīng)用可以通過請求并此后從該終端用戶或應(yīng)用設(shè)置接收電子郵件帳戶用戶名/密碼組合來認(rèn)證該終端用戶�����,如方框120和122中所示���。
在認(rèn)證了該終端用戶之后�,如果要求這樣的話�,該電子郵件應(yīng)用(例如,應(yīng)用71)可以試圖通過相關(guān)VPN接入點連接相關(guān)電子郵件服務(wù)器(即����,源服務(wù)器22)。在到VPN接入點的連接嘗試期間�,包括電子郵件應(yīng)用的連接嘗試,VPN客戶端72可以激活與該電子郵件應(yīng)用相關(guān)的VPN接入點相關(guān)聯(lián)的VPN策略��,如方框124中所示。如方框126和128中說明的�����,在激活VPN策略中��,如果VPN接入點不完整�,比如如果該VPN接入點不包括相關(guān)IAP或VPN策略���,該電子郵件應(yīng)用可以防止連接到相關(guān)電子郵件服務(wù)器���。在這種情況下,該電子郵件應(yīng)用可以返回到嘗試連接請求之前的狀態(tài)���。同樣����,在相關(guān)VPN接入點不包括相關(guān)IAP的情況下����,VPN客戶端可以通知終端用戶連接失敗,比如通過下面的顯示“VPN接入點中涉及的互聯(lián)網(wǎng)接入點丟失����。嘗試重新配置VPN接入點����?����!绷硪环矫?����,當(dāng)相關(guān)VPN接入點不包括相關(guān)VPN策略時�����,VPN客戶端可以再次通知終端用戶連接失敗���,比如通過下面的顯示“VPN接入點中涉及的VPN策略丟失�����。嘗試重新配置VPN接入點�?���!蓖瑯釉诩せ頥PN策略中�,如果VPN策略包括用戶專用或通用證書策略�����,而該VPN策略不包括證書或者證書無效或者不再有效����,電子郵件應(yīng)用(例如,應(yīng)用71)同樣可以防止連接相關(guān)電子郵件服務(wù)器��,如方框130和132中所示�����。在這種情況下�,該電子郵件應(yīng)用返回到嘗試連接請求之前的狀態(tài)���。反過來����,VPN客戶端72可以通知終端用戶連接失敗����,比如通過顯示“VPN連接激活失敗�。必須更新VPN策略��?��!被蛘摺癡PN連接激活失敗�。詳見VPN日志����。”如果VPN接入點完整而且VPN策略包括有效的證書(對用戶專用或通用證書策略)����,終端10或者更特別的VPN客戶端72,可以建立到與該電子郵件應(yīng)用相關(guān)的VPN接入點相關(guān)聯(lián)的IAP的連接�����。如將要意識到的�����,在許多情況下,IAP可能需要終端或終端用戶在執(zhí)行這樣連接之前向IAP認(rèn)證其本身����。從而,當(dāng)該IAP要求認(rèn)證時��,該IAP或者更特別的該電子郵件應(yīng)用(例如���,應(yīng)用71)可以提示終端認(rèn)證���,比如用戶名/密碼,如方框134和136中所示�����。然后����,在該IAP已經(jīng)認(rèn)證了終端10或終端用戶之后��,或者當(dāng)該IAP不需要認(rèn)證時激活相關(guān)VPN策略之后�����,終端可以連接到該IAP�,如方框138中所示�。正如本領(lǐng)域的技術(shù)人員所熟知的�,該終端可以基于由終端存儲的各自IAP的設(shè)置,以任意多種不同的方式連接到該IAP���。
在該終端已經(jīng)連接到該IAP之后�����,VPN客戶端72可以通過建立到支持與電子郵件應(yīng)用關(guān)聯(lián)的電子郵件服務(wù)器(即�,源服務(wù)器22)的VPN GTW 36的安全通道來接入各自VPN�����,該VPN GTW還支持提供相關(guān)VPN策略(用戶專用或通用證書策略或者通用非證書策略)的SPD 40�����。然而�,在建立與各自VPN GTW之間的通道之前,可以要求終端10或終端用戶���,或者更特別的VPN客戶端72�����,向VPN GTW認(rèn)證其本身�,如方框140中所示。在這方面�,當(dāng)VPN策略包括用戶專用或通用證書策略,VPN客戶端可以利用各自VPN策略的一個或多個證書和一個或多個私鑰/證書對���,向VPN GTW認(rèn)證其本身�。然而���,如上面指出的���,這種一個或多個證書和一個或多個私鑰/證書對可以存儲在密碼保護的密鑰庫中。從而����,在這種情況下,VPN客戶端可以請求���,并此后從終端用戶接收密鑰庫密碼,以從而接入密鑰庫����。然后���,在接收密鑰庫密碼時,VPN客戶端可以取回VPN認(rèn)證需要的一個或多個證書和一個或多個私鑰/證書對��,并此后利用所取回的一個或多個證書和一個或多個私鑰/證書對����,向VPN GTW認(rèn)證其本身。
與用戶專用和通用證書策略相反��,當(dāng)VPN策略包括通用非證書策略時����,VPN客戶端72可以依照用戶名-密碼類型的VPN認(rèn)證向VPN GTW36認(rèn)證其本身。在這種情況下���,VPN客戶端可以請求�,并從終端用戶接收用戶名和密碼或通行碼�。該用戶名和密碼/通行碼可以由終端用戶以任意多種不同方式接收,比如從包括由電子郵件應(yīng)用接入的電子郵件服務(wù)器(即�����,源服務(wù)器22)的內(nèi)部網(wǎng)34的系統(tǒng)管理員。
不考慮VPN客戶端72如何向VPN GTW 36認(rèn)證其本身�,在認(rèn)證過程之后,VPN客戶端可以通過該VPN客戶端先前與其建立了連接的IAP建立到VPN GTW的安全通道����,如方框142中所示。VPN客戶端可以依照任意多種不同技術(shù)建立該安全通道����。例如,在一種實施方式中�����,VPN客戶端依照IPsec建立了與VPN GTW的安全通道���。然后����,在建立了與VPN GTW的安全通道之后���,電子郵件應(yīng)用可以通過到VPNGTW的安全通道建立與相關(guān)電子郵件應(yīng)用(即���,源服務(wù)器22)的數(shù)據(jù)連接�,如方框144中所示�����。例如����,電子郵件應(yīng)用可以建立與相關(guān)電子郵件應(yīng)用的數(shù)據(jù)連接���,以從電子郵件服務(wù)器取回電子郵件消息����,比如響應(yīng)終端用戶同樣的請求�。
在電子郵件應(yīng)用(例如,應(yīng)用71)已經(jīng)結(jié)束了與相關(guān)電子郵件服務(wù)器(即����,源服務(wù)器22)之間的通信之后,VPN客戶端72可以終止到該VPN的接入����,以從而允許該電子郵件應(yīng)用終止與該電子郵件服務(wù)器之間的數(shù)據(jù)連接,如圖4的方框89中所示�����。VPN客戶端可以以任意多種不同方式終止到VPN的接入。更特別地如圖18B和18C所示��,例如�����,VPN客戶端可以通過關(guān)閉或者終止VPN客戶端與VPN GTW36之間的安全通道�����,來終止到VPN的接入����,如方框146和148中所示。此后�����,VPN客戶端可以卸載先前激活的VPN策略����,如方框150中說明的。然后���,倘若終端10沒有另一個到各自IAP的有效維持的連接����,比如到有效維持的另一個VPN�����,VPN客戶端可以終止終端和各自IAP之間的連接�,如方框152和154中所示。否則���,如方框156中所示���,VPN客戶端可以允許到該IAP的連接維持活動,盡管去激活VPN策略有效地終止了到該VPN的接入�����。
如將要意識到的��,在許多情況下�����,與活動的VPN接入點相關(guān)的VPN策略,可以在VPN策略的先前更新和激活各自VPN接入點之間變化����。從而,依照本發(fā)明的實施方式��,VPN客戶端72可以配置為自動將與活動的VPN接入點相關(guān)的VPN策略更新為VPN客戶端建立與VPNGTW 36之間的安全通道(見圖18B的方框142)����,或者在VPN客戶端認(rèn)證之后,如果VPN客戶端未成功認(rèn)證到VPN客戶端���,則從而建立該安全通道?���,F(xiàn)在參考圖18B��、18D和18E���,在本發(fā)明的一種實施方式中�����,在建立了與VPN GTW的安全通道之后��,VPN客戶端可以連接到與活動的VPN策略相關(guān)聯(lián)的SPD 40��,并由各自VPN GTW提供服務(wù)����,以確定該VPN策略是否已經(jīng)從該SPD更新或刪除,如圖18D的方框158和160中所示�。
如果該VPN策略還沒有從SPD 40更新或刪除,VPN客戶端72可以繼續(xù)以比如上述方式運行���。然而,如果該VPN策略已經(jīng)刪除�����,VPN客戶端72可以從終端10的存儲器(例如���,非易失性存儲器70)中刪除各自VPN策略��,如方框162中所示�。在這種情況下���,在從存儲器中刪除了該VPN策略之后���,VPN接入點變得不完整��。那么如前所述���,可以防止電子郵件應(yīng)用連接到相關(guān)電子郵件服務(wù)器(見方框128)。在這種情況下�,電子郵件應(yīng)用可以返回到嘗試連接請求之前的狀態(tài)。如果希望這樣的話��,VPN客戶端也可以通知終端用戶策略刪除���,比如通過向終端用戶呈現(xiàn)如下“使用中的VPN策略已經(jīng)被刪除����。嘗試重新配置VPN接入點�。”另一方面���,如果該VPN策略已經(jīng)更新����,VPN客戶端72可以從終端用戶請求是否更新VPN策略的指示,如圖18E的方框164中所示��。如果終端用戶選擇制止更新VPN策略��,VPN客戶端可以以好象該VPN策略還沒有更新的方式運行�����。然而��,如果終端用戶選擇更新該VPN策略�����,則VPN客戶端可以更新該VPN策略��。在從SPD 40更新該VPN策略之前����,VPN客戶端可以認(rèn)證SPD和/或向SPD認(rèn)證其本身�����,比如基于使用密碼保護的密鑰庫中存儲的SPD證書和/或用戶證書的證書認(rèn)證技術(shù)��。在這種情況下,VPN客戶端可以請求�����,并此后從終端用戶接收該密鑰庫密碼���,以從而接入該密鑰庫并取回SPD證書和/或客戶端證書�,如方框166中所示��。
在取回SPD證書和/或客戶端證書之后����,VPN客戶端72可以基于各自的證書,認(rèn)證該SPD和/或向該SPD認(rèn)證其本身�,如方框168中所示。在這方面�,如果該SPD證書已經(jīng)到期,廢除或者是無效的�,SPD 40可以拒絕更新該VPN策略,如方框170中所示����。同樣,如果該客戶端證書已經(jīng)到期���,廢除或者是無效的���,VPN客戶端�����,或者更特別的該SPD可以拒絕用VPN客戶端更新該VPN策略�����,如方框172中所示����。在這種情況下����,如果希望這樣的話,VPN客戶端可以通知終端用戶認(rèn)證失敗�����,比如通過該終端用戶呈現(xiàn)信息對話(例如���,“策略服務(wù)器登錄失敗���。詳見VPN日志?�!?�。VPN客戶端此后可以以好像該VPN策略還沒有更新的方式運行。
如果SPD證書和客戶端證書都有效�,而VPN客戶端72和SPD 40之間的認(rèn)證成功,VPN客戶端可以從該SPD更新該VPN策略����。更特別地,VPN客戶端可以從該SPD下載由該SPD存儲�����、生成或者接收的已更新的VPN策略和相關(guān)證書(對用戶專用或通用證書策略)�����,如方框174中所示�����。在完成策略下載或同步時��,如果希望這樣的話,VPN客戶端可以通知終端用戶策略更新已完成��。如前所述��,VPN客戶端隨后可以通過完成安全通道的建立來運行(見方框142)����。
如上面指出的,一個或多個IAP和SPD 40可以從可用IAP列表中選擇�����,而一個或多個VPN接入點可以在VPN客戶端72內(nèi)定義���。然而���,應(yīng)該理解到,在許多情況下��,利用不另外包括在VPN客戶端內(nèi)的列表中的一個或多個IAP��、SPD�、VPN接入點等等可能是期望的����。在這種情況下�,終端10�,或者更特別的VPN客戶端,可以接收一個或多個IAP(或者IAP設(shè)置)�、SPD(或者定義一個或多個SPD的SPD設(shè)置)和/或VPN接入點。VPN客戶端可以以任意多種不同方式接收一個或多個這樣的數(shù)據(jù)結(jié)構(gòu)�����。例如�,在一種實施方式中,VPN客戶端可以依照SMS技術(shù)接收一個或多個這樣的數(shù)據(jù)結(jié)構(gòu)����。
根據(jù)本發(fā)明的一個方面,本發(fā)明的系統(tǒng)的全部或一部分���,比如終端10的全部或一部分����,通常在一種計算機程序產(chǎn)品(例如����,VPN客戶端72)的控制下運行���。用于執(zhí)行本發(fā)明實施方式的方法的計算機程序產(chǎn)品包括計算機可讀存儲介質(zhì),比如非易失性存儲介質(zhì)����,和計算機可讀程序代碼部分,比如嵌入到計算機可讀存儲介質(zhì)中的一系列計算機指令��。
在這方面�,圖4、5A-5C��、和18A-18E是根據(jù)本發(fā)明實施方式的方法��、系統(tǒng)和/或計算機程序產(chǎn)品的流程圖�。要理解到,流程圖的每個方框或步驟和流程圖中方框的組合�,可以通過計算機程序指令實現(xiàn)。這些計算機程序指令可以載入到一臺計算機或者其它可編程設(shè)備上以產(chǎn)生一種機器��,以致在該計算機或其它可編程設(shè)備上執(zhí)行的指令創(chuàng)建用于實現(xiàn)流程圖一個或多個方框或一個或多個步驟中指定的功能的裝置��。這些計算機程序指令也可以存儲在能夠命令計算機或其它可編程設(shè)備以特殊方式運行的計算機可讀存儲器中��,以致該計算機可讀存儲器中存儲的指令產(chǎn)生一種包括實現(xiàn)流程圖一個或多個方框或一個或多個步驟中指定功能的指令裝置的制造品。該計算機程序指令也可以載入到計算機或者其它可編程設(shè)備上����,以引起要在該計算機或其它可編程設(shè)備上執(zhí)行的一系列操作步驟����,以產(chǎn)生一臺實現(xiàn)程序的計算機,以致在該計算機或其它可編程設(shè)備上執(zhí)行的該指令提供用于實現(xiàn)流程圖一個或多個方框或一個或多個步驟中指定功能的步驟���。
因而���,流程圖的方框或步驟支持用于執(zhí)行指定功能的裝置的組合、用于執(zhí)行指定功能的步驟的組合�、和用于執(zhí)行指定功能的程序指令裝置。還要理解到���,流程圖的每個方框或步驟�����,和流程圖中的方框或步驟的組合��,可以通過執(zhí)行特定功能或步驟的基于專用硬件的計算機系統(tǒng)���,或者專用硬件和計算機指令的組合來實現(xiàn)����。
本發(fā)明所屬領(lǐng)域的技術(shù)人員受益于前述說明書和相關(guān)附圖中提出的啟示將會聯(lián)想到本發(fā)明的許多修改和其它實施方式�����。因此�����,應(yīng)當(dāng)理解到�,本發(fā)明不受限于所公開的特定實施方式,而修改和其它實施方式將被包括在所附權(quán)利要求書的范圍內(nèi)���。盡管在這里使用了特定的術(shù)語�,它們只是用于通用和說明的含義���,而不是為了限制的目的�。
權(quán)利要求
1.一種用于接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng)�,該系統(tǒng)包括終端,可以與VPN客戶端和至少一個應(yīng)用進行通信�,該VPN客戶端可以定義至少一個VPN接入點��,每個VPN接入點包括相關(guān)的物理接入點和VPN策略���,其中該VPN客戶端可以基于該至少一個VPN接入點接入至少一個VPN,以從而通過該至少一個VPN從至少一個應(yīng)用建立至少一個數(shù)據(jù)連接��。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中該終端的該VPN客戶端可以基于該相關(guān)的物理接入點和VPN策略激活至少一個VPN接入點��,以從而接入該至少一個VPN�����。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其中該終端的該VPN客戶端可以通過將至少一個VPN接入點與該至少一個應(yīng)用相關(guān)聯(lián)來激活至少一個VPN接入點,并此后激活來自該至少一個應(yīng)用的至少一個VPN接入點�����,以從而通過該VPN建立來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接�。
4.根據(jù)權(quán)利要求2所述的系統(tǒng)�����,其中該終端的該VPN客戶端可以通過建立與該各個VPN接入點相關(guān)的該物理接入點之間的連接,激活每個VPN接入點�����;載入與該各個VPN接入點相關(guān)聯(lián)的該VPN策略��;并此后基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略���,在該物理接入點上建立VPN通道�����。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)����,其中該終端的該VPN客戶端還可以終止到該至少一個VPN的接入�,以從而終止來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接,其中該終端可以通過關(guān)閉在基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略����,建立的該物理接入點上的該VPN通道,終止到每個VPN的每個接入����;卸載與該各個VPN接入點相關(guān)聯(lián)的該VPN策略�����;并此后終止與該各個VPN接入點相關(guān)聯(lián)的該物理接入點的該連接���。
6.根據(jù)權(quán)利要求1所述的系統(tǒng),其中該終端的該VPN客戶端可以通過接收該VPN接入點的名稱的選擇�,接收物理接入點的選擇以與該VPN接入點相關(guān)聯(lián),并此后接收VPN策略的選擇以與該VPN接入點相關(guān)聯(lián)�����,來定義每個VPN�����。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)��,其中該終端的該VPN客戶端還可以安裝至少一個VPN策略���,使得該VPN客戶端可以從該至少一個已安裝的VPN策略接收VPN策略的選擇。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)��,還包括至少一個安全策略數(shù)據(jù)庫(SPD)����,可以存儲至少一個VPN策略�,其中每個SPD與物理接入點相關(guān)聯(lián)���,其中該終端的該VPN客戶端可以接收SPD的選擇��;通過與該各個SPD相關(guān)聯(lián)的該物理接入點從該SPD下載至少一個VPN策略�����;并此后安裝該至少一個所下載的VPN策略����。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中該終端的該VPN客戶端可以建立與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接;通過與該物理接入點建立的該數(shù)據(jù)連接建立與該SPD的數(shù)據(jù)連接�;認(rèn)證該SPD和該VPN客戶端中的至少一個;并此后�,當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時,從該SPD下載至少一個VPN策略��。
10.一種接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的方法�����,該方法包括定義至少一個VPN接入點,每個VPN接入點包括相關(guān)的物理接入點和VPN策略�;以及基于該至少一個VPN接入點接入至少一個VPN,以從而通過該至少一個VPN建立來自至少一個應(yīng)用的至少一個數(shù)據(jù)連接�。
11.根據(jù)權(quán)利要求10所述的方法,其中接入至少一個VPN包括基于該相關(guān)的物理接入點和VPN策略激活至少一個VPN接入點�����,以從而接入至少一個VPN���。
12.根據(jù)權(quán)利要求11所述的方法����,其中激活至少一個VPN接入點包括將至少一個VPN接入點與至少一個應(yīng)用相關(guān)聯(lián)�;并且激活來自該至少一個應(yīng)用的至少一個接入點��,以從而通過該VPN建立來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接��。
13.根據(jù)權(quán)利要求11所述的方法�,其中激活至少一個VPN接入點包括建立與該各個VPN接入點相關(guān)聯(lián)的該物理接入點的連接;載入與該各個VPN接入點相關(guān)聯(lián)的該VPN策略��;并且基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略在該物理接入點上建立VPN通道��。
14.根據(jù)權(quán)利要求10所述的方法,還包括終止到該至少一個VPN的接入�,以從而終止來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接,其中終止到每個VPN的接入包括關(guān)閉基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略所建立的該物理接入點上的該VPN通道����;卸載與該各個VPN接入點相關(guān)聯(lián)的該VPN策略,以及終止與該各個VPN接入點相關(guān)聯(lián)的該物理接入點的該連接��。
15.根據(jù)權(quán)利要求10所述的方法����,其中定義每個VPN接入點包括接收該VPN接入點的名稱的選擇;接收物理接入點的選擇以與該VPN接入點相關(guān)聯(lián)���;接收VPN策略的選擇以與該VPN接入點相關(guān)聯(lián)�����。
16.根據(jù)權(quán)利要求15所述的方法�,還包括安裝至少一個VPN策略����,其中接收VPN策略的選擇包括從該至少一個已安裝的VPN策略接收VPN策略的選擇。
17.根據(jù)權(quán)利要求16所述的方法,其中安裝至少一個VPN策略包括接收安全策略數(shù)據(jù)庫(SPD)的選擇����,其中該SPD可以存儲至少一個VPN策略,并且其中該SPD具有相關(guān)的物理接入點��;通過與該SPD相關(guān)聯(lián)的該物理接入點從該SPD下載至少一個VPN策略��;以及安裝該至少一個所下載的VPN策略�。
18.根據(jù)權(quán)利要求17所述的方法,其中安裝至少一個VPN策略包括由VPN客戶端安裝至少一個VPN策略���,以及其中下載至少一個VPN策略包括建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接�����;通過所建立的到該物理接入點的該數(shù)據(jù)連接���,建立從該VPN客戶端到該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個���;以及當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時,從該SPD下載至少一個VPN策略��。
19.一種用于接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的計算機程序產(chǎn)品�����,該計算機程序產(chǎn)品包括具有在其中存儲的計算機可讀程序代碼部分的計算機可讀存儲介質(zhì),該計算機可讀程序代碼部分包括第一可執(zhí)行部分�����,用于定義至少一個VPN接入點��,每個VPN接入點包括相關(guān)的物理接入點和VPN策略�;以及第二可執(zhí)行部分,用于基于該至少一個VPN接入點接入至少一個VPN��,以從而建立來自至少一個應(yīng)用的至少一個數(shù)據(jù)連接��。
20.根據(jù)權(quán)利要求19所述的計算機程序產(chǎn)品����,其中該第二可執(zhí)行部分適合基于該相關(guān)的物理接入點和VPN策略激活至少一個VPN接入點,以從而接入至少一個VPN����。
21.根據(jù)權(quán)利要求20所述的計算機程序產(chǎn)品,其中該第二可執(zhí)行部分適合將至少一個VPN接入點和至少一個應(yīng)用相關(guān)聯(lián)����,并此后激活來自該至少一個應(yīng)用的至少一個VPN接入點�,以從而通過該VPN建立來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接�。
22.根據(jù)權(quán)利要求20所述的計算機程序產(chǎn)品,其中該第二可執(zhí)行部分適合通過建立與該各個VPN接入點相關(guān)聯(lián)的該物理接入點的連接激活每個VPN接入點����;載入與該各個VPN接入點相關(guān)聯(lián)的該VPN策略;并此后基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略在該物理接入點上建立VPN通道���。
23.根據(jù)權(quán)利要求19所述的計算機程序產(chǎn)品�,還包括第三可執(zhí)行部分��,用于終止到該至少一個VPN的接入��,以從而終止來自該至少一個應(yīng)用的該至少一個數(shù)據(jù)連接�,其中該第三可執(zhí)行部分適合通過關(guān)閉基于與該各個VPN接入點相關(guān)聯(lián)的該VPN策略所建立的該物理接入點上的該VPN通道,卸載與該各個VPN接入點相關(guān)聯(lián)的該VPN策略���,并此后終止與該各個VPN接入點相關(guān)聯(lián)的該物理接入點的該連接���,來終止到每個VPN的接入。
24.根據(jù)權(quán)利要求19所述的計算機程序產(chǎn)品����,其中該第一可執(zhí)行部分適合通過接收該VPN接入點的名稱的選擇,接收物理接入點的選擇以與該VPN接入點相關(guān)聯(lián)���,接收VPN策略的選擇以與該VPN接入點相關(guān)聯(lián)�����,來定義每個VPN接入點�����。
25.根據(jù)權(quán)利要求24所述的計算機程序產(chǎn)品��,還包括第三可執(zhí)行部分���,用于安裝至少一個VPN策略,其中該第二可執(zhí)行部分適合從該至少一個已安裝的VPN策略接收VPN策略的選擇���。
26.根據(jù)權(quán)利要求25所述的計算機程序產(chǎn)品�,其中該第三可執(zhí)行部分適合接收安全策略數(shù)據(jù)庫(SPD)的選擇��;通過與該SPD相關(guān)聯(lián)的物理接入點從該SPD下載至少一個VPN策略��;并此后安裝該至少一個所下載的VPN策略。
27.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品����,其中該計算機程序產(chǎn)品適合在VPN客戶端的指導(dǎo)下運行,以及其中該第三可執(zhí)行部分適合建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接�����;通過所建立的到該物理接入點的該數(shù)據(jù)連接建立從該VPN客戶端到該SPD的數(shù)據(jù)連接�;認(rèn)證該SPD和該VPN客戶端中的至少一個;并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時�,從該SPD下載至少一個VPN策略。
28.一種用于管理至少一個虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng)��,該至少一個VPN策略用于接入至少一個VPN���,該系統(tǒng)包括至少一個安全策略數(shù)據(jù)庫(SPD)�����,可以存儲至少一個VPN策略�����;以及終端����,可以與VPN客戶端進行通信,其中該VPN客戶端可以通過至少一個物理接入點與該至少一個SPD進行通信�,以從而從該至少一個SPD下載該至少一個VPN策略���,以及其中該VPN客戶端可以在VPN策略庫中存儲該至少一個VPN策略���,以及其中該VPN客戶端可以與該至少一個SPD同步,以從而更新在該VPN策略庫中存儲的該至少一個VPN策略�。
29.根據(jù)權(quán)利要求28所述的系統(tǒng),其中至少一個VPN策略包括證書和證書/私鑰對中的至少一個����,以及其中該VPN客戶端可以在密碼保護的密鑰庫中存儲該證書和該證書/私鑰對中的至少一個。
30.根據(jù)權(quán)利要求28所述的系統(tǒng)�����,其中該VPN客戶端可以接收SPD的選擇�����,其中該SPD具有相關(guān)的物理接入點�,以及其中該VPN客戶端可以通過與該SPD相關(guān)聯(lián)的該物理接入點從該所選的SPD下載至少一個VPN策略�。
31.根據(jù)權(quán)利要求30所述的系統(tǒng)�,其中該VPN客戶端可以建立與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接;通過與該物理接入點建立的該數(shù)據(jù)連接建立與該SPD的數(shù)據(jù)連接����;認(rèn)證該SPD和該VPN客戶端中的至少一個;并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時���,從該SPD下載至少一個VPN策略����。
32.根據(jù)權(quán)利要求31所述的系統(tǒng)�����,其中該VPN客戶端可以基于SPD證書認(rèn)證該SPD��,以及其中該VPN客戶端可以基于用戶證書認(rèn)證該VPN客戶端��。
33.根據(jù)權(quán)利要求32所述的系統(tǒng)��,其中該SPD具有包括多個字符的相關(guān)的身份代碼��,以及其中該VPN客戶端可以通過接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn)來生成SPD證書�,并此后當(dāng)接收到確認(rèn)時生成該SPD證書����。
34.根據(jù)權(quán)利要求33所述的系統(tǒng)�����,其中該VPN客戶端可以呈現(xiàn)包括與該SPD相關(guān)聯(lián)的身份代碼的SPD身份代碼會話��,在該SPD身份代碼會話中的該身份代碼被呈現(xiàn)為缺少至少一個字符���,以及其中該VPN客戶端可以接收該至少一個字符,并此后如果在該SPD身份代碼會話中呈現(xiàn)的該身份代碼�,加上接收到的該至少一個字符與該SPD相關(guān)聯(lián)的該身份代碼匹配,則接收該身份代碼的確認(rèn)�����。
35.根據(jù)權(quán)利要求32所述的系統(tǒng)���,其中該VPN客戶端可以通過向該SPD認(rèn)證該VPN客戶端��,生成用戶證書�,并此后當(dāng)認(rèn)證了該VPN客戶端時生成該用戶證書���。
36.一種管理至少一個虛擬專用網(wǎng)絡(luò)(VPN)策略的方法��,該至少一個VPN策略用于接入至少一個VPN��,該方法包括從至少一個安全策略數(shù)據(jù)庫(SPD)下載至少一個VPN策略�;在VPN策略庫中存儲該至少一個VPN策略,以及與該至少一個SPD同步��,以從而更新在該VPN策略庫中存儲的該至少一個VPN策略����。
37.根據(jù)權(quán)利要求36所述的方法,其中至少一個VPN策略包括證書和證書/私鑰對中的至少一個��,以及其中存儲該至少一個VPN策略還包括在密碼保護的密鑰庫中存儲該證書和該證書/私鑰對中的至少一個����。
38.根據(jù)權(quán)利要求36所述的方法,還包括接收SPD的選擇����,其中該SPD具有相關(guān)的物理接入點,其中下載至少一個VPN策略包括通過與該SPD相關(guān)聯(lián)的該物理接入點從該所選的SPD下載至少一個VPN策略�����。
39.根據(jù)權(quán)利要求38所述的方法,其中下載至少一個VPN策略包括建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接�����;通過所建立的到該物理接入點的該數(shù)據(jù)連接�����,建立從該VPN客戶端到該SPD的數(shù)據(jù)連接���;認(rèn)證該SPD和該VPN客戶端中的至少一個����;以及當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時��,從該SPD下載至少一個VPN策略����。
40.根據(jù)權(quán)利要求39所述的方法��,其中認(rèn)證該SPD包括基于SPD證書認(rèn)證該SPD��,以及其中認(rèn)證該VPN客戶端包括基于用戶證書認(rèn)證該VPN客戶端。
41.根據(jù)權(quán)利要求40所述的方法�����,其中該SPD具有包括多個字符的相關(guān)的身份代碼��,以及其中該方法還包括生成SPD證書����,以及其中生成SPD證書包括接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn);以及當(dāng)接收到確認(rèn)時生成該SPD證書�����。
42.根據(jù)權(quán)利要求41所述的方法��,其中接收確認(rèn)包括呈現(xiàn)包括與該SPD相關(guān)聯(lián)的該身份代碼的SPD身份代碼會話�,在該SPD身份代碼會話中的該身份代碼被呈現(xiàn)為缺少至少一個字符;接收該至少一個字符���;以及如果在該SPD身份代碼會話中呈現(xiàn)的該身份代碼��,加上接收到的該至少一個字符與該SPD相關(guān)聯(lián)的該身份代碼匹配��,則接收該身份代碼的確認(rèn)�����。
43.根據(jù)權(quán)利要求40所述的方法���,還包括生成用戶證書��,其中生成用戶證書包括向該SPD認(rèn)證該VPN客戶端����;以及當(dāng)認(rèn)證了該VPN客戶端時生成該用戶證書�。
44.一種用于管理至少一個虛擬專用網(wǎng)絡(luò)(VPN)策略的計算機程序產(chǎn)品,該至少一個VPN策略用于接入至少一個VPN����,該計算機程序產(chǎn)品包括具有在其中存儲了計算機可讀程序代碼部分的計算機可讀存儲介質(zhì),該計算機可讀程序代碼部分包括第一可執(zhí)行部分����,用于從至少一個安全策略數(shù)據(jù)庫(SPD)下載至少一個VPN策略����;第二可執(zhí)行部分,用于在VPN策略庫中存儲該至少一個VPN策略�����;以及第三可執(zhí)行部分,用于與該至少一個SPD同步�,以從而更新在該VPN策略庫中存儲的該至少一個VPN策略。
45.根據(jù)權(quán)利要求44所述的計算機程序產(chǎn)品���,其中至少一個VPN策略包括證書和證書/私鑰對中的至少一個��,以及其中該第二可執(zhí)行部分還適合在密碼保護的密鑰庫中存儲該證書和該證書/私鑰對中的至少一個��。
46.根據(jù)權(quán)利要求44所述的計算機程序產(chǎn)品���,還包括第四可執(zhí)行部分,用于接收SPD的選擇�����,其中該SPD具有相關(guān)的物理接入點���,其中該第一可執(zhí)行部分適合通過與該SPD相關(guān)聯(lián)的該物理接入點從該所選SPD下載至少一個VPN策略��。
47.根據(jù)權(quán)利要求46所述的計算機程序產(chǎn)品���,其中該第一可執(zhí)行部分適合建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點的數(shù)據(jù)連接�����;通過所建立的到該物理接入點的該數(shù)據(jù)連接建立從該VPN客戶端到該SPD的數(shù)據(jù)連接��;認(rèn)證該SPD和該VPN客戶端中的至少一個�;并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個時從該SPD下載至少一個VPN策略��。
48.根據(jù)權(quán)利要求47所述的計算機程序產(chǎn)品���,其中該第一可執(zhí)行部分適合基于SPD證書認(rèn)證該SPD����,以及其中該第一可執(zhí)行部分適合基于用戶證書認(rèn)證該VPN客戶端�����。
49.根據(jù)權(quán)利要求48所述的計算機程序產(chǎn)品�,其中該SPD具有包括多個字符的相關(guān)的身份代碼,以及其中該計算機程序產(chǎn)品還包括第五可執(zhí)行部分�����,用于生成SPD證書�,以及其中該第五可執(zhí)行部分適合接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn),并此后當(dāng)接收到確認(rèn)時生成該SPD證書�。
50.根據(jù)權(quán)利要求49所述的計算機程序產(chǎn)品,其中該第五可執(zhí)行部分適合呈現(xiàn)包括與該SPD相關(guān)聯(lián)的該身份代碼的SPD身份代碼會話�����,在該SPD身份代碼會話中的該身份代碼被呈現(xiàn)為缺少至少一個字符��,以及其中該第五可執(zhí)行部分適合接收該至少一個字符��,并此后如果在該SPD身份代碼會話中呈現(xiàn)的該身份代碼����,加上接收到的該至少一個字符與該SPD相關(guān)聯(lián)的該身份代碼匹配,則接收該身份代碼的確認(rèn)�����。
51.根據(jù)權(quán)利要求48所述的計算機程序產(chǎn)品��,還包括第五可執(zhí)行部分���,用于生成用戶證書�,其中該第五可執(zhí)行部分適合向該SPD認(rèn)證該VPN客戶端�����,并此后當(dāng)認(rèn)證了該VPN客戶端時生成該用戶證書。
52.一種虛擬專用網(wǎng)絡(luò)(VPN)接入點數(shù)據(jù)結(jié)構(gòu)�����,該VPN接入點數(shù)據(jù)結(jié)構(gòu)包含在計算機可讀存儲介質(zhì)中并且包括物理接入點定義�����,指定了VPN客戶端可以接入VPN網(wǎng)關(guān)的方式以從而允許該VPN客戶端接入VPN��;以及VPN策略���,指定了定義通過該VPN網(wǎng)關(guān)的業(yè)務(wù)量安全的至少一個安全策略���。
全文摘要
一種用于接入至少一個虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng),包括終端����,并且可以包括至少一個安全策略數(shù)據(jù)庫(SPD)。該終端可以與VPN客戶端和至少一個應(yīng)用進行通信�。反過來,該VPN客戶端可以定義至少一個VPN接入點��,每個VPN接入點包括相關(guān)的物理接入點和VPN策略���。此后�����,該VPN客戶端能夠基于該一個或多個VPN接入點接入至少一個VPN���,以從而通過該至少一個VPN建立來自該至少一個應(yīng)用的至少一個數(shù)據(jù)連接。另外�,該VPN客戶端能夠從該SPD下載至少一個VPN策略。還提供了一種用于管理至少一個虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng)���,其中該一個或多個VPN策略用于接入至少一個VPN��。
文檔編號G06F15/16GK1943172SQ200580011809
公開日2007年4月4日 申請日期2005年2月17日 優(yōu)先權(quán)日2004年2月20日
發(fā)明者雅里·帕洛雅維, 朱阿·P·薩沃萊南, 米卡·T·凱特蒂南 申請人:諾基亞公司