專利名稱:用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及接入虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng)和方法,以及更特別地涉及通過至少一個(gè)所建立的VPN接入點(diǎn)接入至少一個(gè)VPN的系統(tǒng)和方法。
背景技術(shù):
現(xiàn)在普遍認(rèn)識(shí)到利用互聯(lián)網(wǎng)獲得對(duì)大量在線可用信息和包括萬維網(wǎng)(WWW)的互聯(lián)網(wǎng)部分接入的益處。過去,接入互聯(lián)網(wǎng)的傳統(tǒng)方式是通過諸如在工廠、學(xué)?;蛘咴诩依锏墓潭ǖ慕尤朦c(diǎn)來執(zhí)行。從一開始,固定接入點(diǎn)的概念就已經(jīng)是互聯(lián)網(wǎng)模型的基礎(chǔ)。例如,互聯(lián)網(wǎng)協(xié)議(IP)根據(jù)數(shù)據(jù)包的IP地址將它們路由到其目的地。該IP地址與一個(gè)固定的物理位置相關(guān)聯(lián),非常類似于傳統(tǒng)的電話號(hào)碼與固定電話線的物理位置相關(guān)聯(lián)的方式。這種與物理位置的關(guān)聯(lián)允許以有效而且高效的方式把IP數(shù)據(jù)包發(fā)送到其預(yù)期目的地。
傳統(tǒng)的連接概念已經(jīng)經(jīng)歷了例如,由近年來向移動(dòng)技術(shù)過渡證明了的朝移動(dòng)性發(fā)展的趨勢(shì)導(dǎo)致的變化。移動(dòng)計(jì)算是另一個(gè)正在獲得普及率的領(lǐng)域,在這里益處是無疑可以通過允許用戶自由地完成他們的工作而不考慮其位置。此外,對(duì)互聯(lián)網(wǎng)和互聯(lián)網(wǎng)中可用的服務(wù)的可靠的接入,將使移動(dòng)聯(lián)網(wǎng)技術(shù)能夠通過將所有用戶從辦公室的束縛中解放出來,而提供更高的生產(chǎn)力。例如,發(fā)展的趨勢(shì)越來越多地傾向于通過允許來自比如飛機(jī)上和汽車?yán)锏娜魏翁摂M位置接入而提供更高自由度的無線連接。
IP內(nèi)容、計(jì)算和通信最關(guān)心的問題之一是安全?;ヂ?lián)網(wǎng)的開放本質(zhì)使所發(fā)送的數(shù)據(jù)包固有地面對(duì)由不同子網(wǎng)絡(luò)之間移動(dòng)節(jié)點(diǎn)的運(yùn)動(dòng)而形成的安全問題。為了處理這些問題,開發(fā)了一種IP安全協(xié)議(或簡(jiǎn)單IPsec),比如互聯(lián)網(wǎng)工程任務(wù)組(IETF)對(duì)注釋文件的要求RFC 2401中規(guī)定的,其命名為Security Architecture for theInternet Protocol,其內(nèi)容通過參考完全結(jié)合在本文中。在這方面,IPsec是為了在IP主機(jī)之間傳輸時(shí),提供數(shù)據(jù)包有效載荷的端到端安全而開發(fā)的。這主要通過典型地利用兩端都需要使用相同密鑰的對(duì)稱密碼系統(tǒng),為主機(jī)提供數(shù)據(jù)包的數(shù)據(jù)報(bào)級(jí)認(rèn)證和加密來實(shí)現(xiàn)。比如互聯(lián)網(wǎng)密鑰交換(IKE)之類的密鑰管理協(xié)議可以用于生成用于比如在一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)中使用的IPsec堆棧中的對(duì)稱密鑰。
如本領(lǐng)域的技術(shù)人員將會(huì)理解的,VPN是位于一個(gè)或多個(gè)物理網(wǎng)絡(luò)內(nèi)的邏輯網(wǎng)絡(luò)。VPN可以用于安全地接入企業(yè)的資源,比如電子郵件或內(nèi)部網(wǎng)資源。另外的或可選的,VPN可以用于安全地在局域網(wǎng)之間通信,其中的一個(gè)或多個(gè)局域網(wǎng)可以包括在企業(yè)的內(nèi)部網(wǎng)內(nèi)。在操作中,支持IPsec VPN的主機(jī)或者VPN網(wǎng)關(guān)維持提供許多選擇符的安全策略數(shù)據(jù)庫(SPD)中的安全策略,例如,如RFC 2401中規(guī)定的。SPD識(shí)別通過VPN網(wǎng)關(guān)的業(yè)務(wù)量請(qǐng)求了哪個(gè)種類的安全。例如,安全策略可以要求所有業(yè)務(wù)量數(shù)據(jù)包穿過一個(gè)封裝的安全有效載荷(ESP)到達(dá)VPN網(wǎng)關(guān),除了某些沒有經(jīng)過IP處理傳送的數(shù)據(jù)包。然后,可以執(zhí)行上述安全策略的示例,并且這些安全策略作用于通過該VPN網(wǎng)關(guān)的所有數(shù)據(jù)包。
按照慣例,僅允許客戶端在任意給定的時(shí)間在單獨(dú)的VPN上建立通信。更特別的是,僅允許常規(guī)的客戶端在任意給定的時(shí)間激活用于各自VPN的單獨(dú)的VPN策略。在這方面,在任意時(shí)間點(diǎn)上,這種“單宿主”客戶端僅允許單獨(dú)的活動(dòng)數(shù)據(jù)連接及各自的網(wǎng)絡(luò)接口。然而,為了對(duì)這種“單宿主”客戶端加以改進(jìn),已經(jīng)開發(fā)了在任意給定時(shí)間允許并發(fā)連接的“多宿主”客戶端,包括通過多個(gè)VPN的并發(fā)連接。例如,按照比如由英國的Symbian有限公司開發(fā)的那些操作系統(tǒng)運(yùn)行的移動(dòng)手持終端能夠允許多個(gè)并行活動(dòng)數(shù)據(jù)連接及各自的網(wǎng)絡(luò)接口。在這種情況下,每個(gè)網(wǎng)絡(luò)接口通常具有其自己特有的IP地址、路由信息和相關(guān)域名系統(tǒng)(DNS)服務(wù)器地址。另外,“多宿主”客戶端的每個(gè)接口及各自數(shù)據(jù)連接通常屬于在客戶端本地定義并通過網(wǎng)絡(luò)ID識(shí)別的特殊的邏輯網(wǎng)絡(luò)。
通過VPN的通信通常要求客戶端通過建立與到包括該各自VPN的一個(gè)或多個(gè)物理網(wǎng)絡(luò)的接入點(diǎn)的通信,建立VPN連接,并此后載入或激活該各自VPN的VPN策略。同樣地,客戶端通常必須通過卸載或去激活該各自VPN的VPN策略,終止VPN連接,并此后終止與該接入點(diǎn)的通信。盡管發(fā)起和終止這種VPN連接的這樣的程序適合使通過VPN的通信更容易,但是這樣的程序還是能夠給客戶端,或者更特別地給客戶端用戶帶來不想要的負(fù)擔(dān)。要認(rèn)識(shí)到,這種負(fù)擔(dān)通常能夠隨“多宿主”客戶端中客戶端的并發(fā)VPN和其它連接的數(shù)量的增長(zhǎng)而增長(zhǎng)。
發(fā)明內(nèi)容
根據(jù)前述的背景,本發(fā)明提供了一種用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的改進(jìn)的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。如下所述,依照本發(fā)明的實(shí)施方式,終端能夠建立并有效地維持諸如在“單宿主”和/或“多宿主”配置中的一個(gè)或多個(gè)VPN。然而,與傳統(tǒng)的“多宿主”客戶端相反,終端還可以無需終端、或終端用戶而建立每個(gè)VPN連接,以分別建立與到各自一個(gè)或多個(gè)物理網(wǎng)絡(luò)的IAP(互聯(lián)網(wǎng)接入點(diǎn))的通信,載入或激活各自VPN的VPN策略,以及隨后此后卸載或去激活各自VPN的VPN策略,并終止與該IAP的通信。在這方面,終端,或者更特別地終端用戶能夠定義一個(gè)或多個(gè)“VPN接入點(diǎn)”。如下所述,通??梢哉J(rèn)為VPN接入點(diǎn)是到各自VPN的虛擬或邏輯接入點(diǎn)。然后,利用VPN接入點(diǎn),終端能夠以與IAP完全相同的方式建立并有效地維持一個(gè)或多個(gè)VPN連接,該VPN連接具有依照傳統(tǒng)技術(shù)建立的類似的VPN連接的屬性。
根據(jù)本發(fā)明的一個(gè)方面,提供了一種用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng)。該系統(tǒng)包括終端,并且可以包括至少一個(gè)安全策略數(shù)據(jù)庫(SPD),每個(gè)SPD與物理接入點(diǎn)相關(guān)聯(lián)。該終端能夠與VPN客戶端和至少一個(gè)應(yīng)用進(jìn)行通信。反過來,該VPN客戶端能夠定義至少一個(gè)VPN接入點(diǎn),每個(gè)VPN接入點(diǎn)包括相關(guān)的物理接入點(diǎn)及VPN策略。例如,VPN客戶端能夠通過接收VPN接入點(diǎn)的名稱的選擇定義每個(gè)VPN。因而,VPN客戶端能夠接收物理接入點(diǎn)的選擇以與VPN接入點(diǎn)相關(guān)聯(lián),并此后接收VPN策略的選擇以與VPN接入點(diǎn)相關(guān)聯(lián)。在這方面,VPN客戶端還能夠安裝至少一個(gè)VPN策略,使得VPN客戶端能夠從所安裝的一個(gè)或多個(gè)VPN策略接收VPN策略的選擇。
更特別地,當(dāng)該系統(tǒng)包括至少一個(gè)SPD時(shí),VPN客戶端能夠接收SPD的選擇。因而,VPN客戶端能夠通過與各自SPD相關(guān)聯(lián)的物理接入點(diǎn)從該SPD下載至少一個(gè)VPN策略。VPN客戶端此后能夠安裝所下載的一個(gè)或多個(gè)VPN策略。在這方面,VPN客戶端能夠建立與SPD相關(guān)聯(lián)的物理接入點(diǎn)的數(shù)據(jù)連接,并此后通過與物理接入點(diǎn)建立的數(shù)據(jù)連接建立與SPD的數(shù)據(jù)連接。VPN客戶端因而能夠認(rèn)證該SPD和/或VPN客戶端,并在認(rèn)證了該SPD和/或VPN客戶端時(shí),從SPD下載至少一個(gè)VPN策略。
不管一個(gè)或多個(gè)VPN接入點(diǎn)如何定義,VPN客戶端此后能夠接入基于一個(gè)或多個(gè)VPN接入點(diǎn)的至少一個(gè)VPN,以從而通過一個(gè)或多個(gè)VPN建立來自至少一個(gè)應(yīng)用的至少一個(gè)數(shù)據(jù)連接。在這方面,VPN客戶端能夠基于相關(guān)的物理接入點(diǎn)和VPN策略激活至少一個(gè)VPN接入點(diǎn),以從而接入一個(gè)或多個(gè)VPN。例如,VPN客戶端能夠?qū)⒅辽僖粋€(gè)接入點(diǎn)與一個(gè)或多個(gè)應(yīng)用相關(guān)聯(lián),并此后激活來自該一個(gè)或多個(gè)應(yīng)用的至少一個(gè)VPN接入點(diǎn),以從而通過VPN建立來自至少一個(gè)應(yīng)用的至少一個(gè)數(shù)據(jù)連接。
更特別地,VPN客戶端能夠通過建立與各自VPN接入點(diǎn)相關(guān)聯(lián)的物理接入點(diǎn)的連接,激活每個(gè)VPN接入點(diǎn)。該VPN客戶端因而能夠載入與各自VPN接入點(diǎn)相關(guān)聯(lián)的VPN策略。此后,VPN客戶端能夠基于與各自VPN接入點(diǎn)相關(guān)聯(lián)的VPN策略在物理接入點(diǎn)上建立VPN通道。同樣地,VPN客戶端還能夠終止對(duì)一個(gè)或多個(gè)VPN的接入,以從而終止來自一個(gè)或多個(gè)應(yīng)用的一個(gè)或多個(gè)數(shù)據(jù)連接。在這種情況下,終端能夠通過關(guān)閉基于與各自VPN接入點(diǎn)相關(guān)聯(lián)的VPN策略所建立的在物理接入點(diǎn)上的VPN通道,終止對(duì)每個(gè)VPN的每個(gè)接入。然后,VPN客戶端可以卸載與各自VPN接入點(diǎn)相關(guān)聯(lián)的VPN策略,并此后終止與各自VPN接入點(diǎn)相關(guān)聯(lián)的物理接入點(diǎn)的連接。
根據(jù)本發(fā)明的另一個(gè)方面,提供了一種用于管理至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng),該一個(gè)或多個(gè)VPN策略用于接入至少一個(gè)VPN。該系統(tǒng)包括至少一個(gè)SPD、和能夠與VPN客戶端通信的終端。該VPN客戶端能夠通過至少一個(gè)物理接入點(diǎn)與該一個(gè)或多個(gè)SPD進(jìn)行通信,以從而從該一個(gè)或多個(gè)SPD下載一個(gè)或多個(gè)VPN策略。VPN客戶端能夠在VPN策略庫中存儲(chǔ)一個(gè)或多個(gè)VPN策略。此后,VPN客戶端可以與該一個(gè)或多個(gè)SPD同步,以從而更新在VPN策略庫中存儲(chǔ)的一個(gè)或多個(gè)VPN策略。一個(gè)或多個(gè)一個(gè)或多個(gè)VPN策略可以包括證書和/或證書/私鑰對(duì)。在這種情況下,VPN客戶端還可以在密碼保護(hù)的密鑰庫中存儲(chǔ)該證書和/或證書/私鑰對(duì)。
與上面類似,VPN客戶端能夠接收SPD選擇,并通過與該SPD相關(guān)聯(lián)的物理接入點(diǎn)從所選的SPD中下載至少一個(gè)VPN策略。在這種情況下,VPN客戶端還能夠認(rèn)證該SPD和/或該VPN客戶端,并在認(rèn)證了該SPD和/或VPN客戶端時(shí),從該SPD下載一個(gè)或多個(gè)VPN策略。在這方面,VPN客戶端可以基于SPD證書認(rèn)證該SPD,并基于用戶證書認(rèn)證該VPN客戶端。然而,在基于SPD證書認(rèn)證SPD之前,VPN客戶端可以生成SPD證書。類似地,VPN客戶端可以生成用戶證書,比如通過向該SPD認(rèn)證VPN客戶端,并在認(rèn)證了該VPN客戶端時(shí)生成用戶證書。
更特別地,例如,SPD可以有包含多個(gè)字符的相關(guān)的身份代碼。VPN客戶端從而可以通過接收與該SPD相關(guān)聯(lián)的身份代碼的確認(rèn)生成SPD證書,并此后在接收到確認(rèn)時(shí)生成該SPD證書。在這方面,VPN客戶端可以呈現(xiàn)包含與該SPD相關(guān)聯(lián)的身份代碼的SPD身份代碼對(duì)話,在SPD身份代碼對(duì)話中的該身份代碼被呈現(xiàn)為缺少至少一個(gè)字符。VPN客戶端可以接收該至少一個(gè)字符。然后,如果在該SPD身份代碼對(duì)話中所呈現(xiàn)的身份代碼,加上接收到的該至少一個(gè)字符與該SPD相關(guān)聯(lián)的身份代碼匹配,VPN客戶端可以接收該身份代碼的確認(rèn)。
根據(jù)本發(fā)明的其它方面,提供了一種用于接入至少一個(gè)VPN的方法和計(jì)算機(jī)程序產(chǎn)品。還提供了一種用于管理至少一個(gè)VPN策略的方法和計(jì)算機(jī)程序產(chǎn)品。以及在本發(fā)明的又一個(gè)方面,提供了一種VPN接入點(diǎn)數(shù)據(jù)結(jié)構(gòu)。因此,本發(fā)明的實(shí)施方式提供了一種用于接入至少一個(gè)VPN,和用于管理一個(gè)或多個(gè)VPN策略的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。通過定義一個(gè)或多個(gè)VPN接入點(diǎn),本發(fā)明的實(shí)施方式可以以一種低負(fù)擔(dān)的方式建立到終端或終端用戶的一個(gè)或多個(gè)VPN連接中的每一個(gè)。在這方面,如上面指出并如下所述,通??梢哉J(rèn)為VPN接入點(diǎn)是到各自VPN的虛擬或邏輯接入點(diǎn),使得終端可以以與IAP完全相同的方式建立并有效地維持一個(gè)或多個(gè)VPN連接。因此,本發(fā)明的實(shí)施方式的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品解決了現(xiàn)有技術(shù)認(rèn)定的問題,并提供了額外的益處。
已經(jīng)以通用術(shù)語這樣描述了本發(fā)明后,現(xiàn)在將參考附圖,附圖不必按比例繪制,其中圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施方式的無線通信系統(tǒng)的示意性框圖,其中該系統(tǒng)包括終端通過無線RF鏈接與之雙向耦合的移動(dòng)網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò);圖2是依照本發(fā)明的實(shí)施方式能夠作為網(wǎng)絡(luò)實(shí)體運(yùn)行的實(shí)體的示意性框圖;圖3是根據(jù)本發(fā)明一種實(shí)施方式的終端的示意性框圖;圖4示出了包括依照本發(fā)明一種實(shí)施方式接入至少一個(gè)VPN的方法中多個(gè)步驟的流程圖;圖5A-5C是包括依照本發(fā)明一種實(shí)施方式的安裝、存儲(chǔ)或管理一個(gè)或多個(gè)VPN策略的方法中多個(gè)步驟的流程圖;圖6-17是在本發(fā)明的實(shí)施方式運(yùn)行期間能夠由VPN客戶端呈現(xiàn)的示例性顯示;以及圖18A-18E是包括依照本發(fā)明一種實(shí)施方式的激活以及去激活VPN接入點(diǎn)的方法中多個(gè)步驟的流程圖。
具體實(shí)施例方式
現(xiàn)在將參考附圖在下文中更充分地描述本發(fā)明,其中示出了本發(fā)明的優(yōu)選實(shí)施方式。然而,這個(gè)發(fā)明可以以多種不同的形式實(shí)施,并不認(rèn)為限制于在此闡明的實(shí)施方式;更確切地說,提供這些實(shí)施方式,使得本公開完整和徹底,并對(duì)本領(lǐng)域的技術(shù)人員充分地傳達(dá)本發(fā)明的范圍。自始至終,相同的數(shù)字指代相同的元件。
參考圖1,說明將受益于本發(fā)明的一種類型的終端和系統(tǒng)。將主要結(jié)合移動(dòng)通信應(yīng)用描述本發(fā)明的實(shí)施方式的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品。然而,應(yīng)當(dāng)理解,本發(fā)明的實(shí)施方式的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品可以結(jié)合各種各樣的其它應(yīng)用使用,既可以在移動(dòng)通信行業(yè)內(nèi)也可以在移動(dòng)通信行業(yè)外。例如,本發(fā)明的實(shí)施方式的系統(tǒng)、方法和計(jì)算機(jī)程序產(chǎn)品可以結(jié)合有線和/或無線網(wǎng)絡(luò)(例如,互聯(lián)網(wǎng))應(yīng)用使用。
如圖所示,終端10可以包括用于發(fā)送信號(hào)到基地站點(diǎn)或基站(BS)14并接收來自基地站點(diǎn)或基站的信號(hào)的天線12?;臼腔蚨鄠€(gè)蜂窩或移動(dòng)網(wǎng)絡(luò)的一部分,每一個(gè)都包括操作網(wǎng)絡(luò)所需的元件,比如移動(dòng)交換中心(MSC)16。移動(dòng)網(wǎng)絡(luò)也可以稱為基站/MSC/互聯(lián)功能(BMI)。在操作中,MSC可以在終端進(jìn)行呼叫和接收呼叫時(shí),發(fā)送呼叫到終端和從終端接收呼叫。MSC還可以例如,當(dāng)該終端與一個(gè)呼叫有關(guān)時(shí),提供到比如陸上線路干線的連接。另外,MSC可以控制到終端和來自終端的消息的轉(zhuǎn)發(fā),也可以控制終端到消息中心和從消息中心到終端的消息的轉(zhuǎn)發(fā),該消息比如是到SMS中心(SMSC)(未示出)和來自SMS中心(SMSC)(未示出)的短消息服務(wù)(SMS)消息。
MSC 16可以與數(shù)據(jù)網(wǎng)絡(luò)耦合,比如局域網(wǎng)(LAN)、城域網(wǎng)(MAN)和/或廣域網(wǎng)(WAN)。MSC可以直接與數(shù)據(jù)網(wǎng)絡(luò)耦合。然而,在一種典型的實(shí)施方式中,MSC與GTW 18耦合,而該GTW與諸如互聯(lián)網(wǎng)20的WAN耦合。反過來,諸如處理元件(例如,個(gè)人計(jì)算機(jī)、服務(wù)器計(jì)算機(jī)等等)之類的設(shè)備可以通過互聯(lián)網(wǎng)與終端10耦合。例如,處理元件可以包括一個(gè)或多個(gè)與一個(gè)或多個(gè)源服務(wù)器22相關(guān)聯(lián)的處理元件,圖1中示出了其中一個(gè)。
BS 14也可以與信令GPRS(通用分組無線業(yè)務(wù))支持節(jié)點(diǎn)(SGSN)24耦合。該SGSN典型地可以執(zhí)行類似于分組交換業(yè)務(wù)的MSC 16的功能。象MSC一樣,SGSN可以與諸如互聯(lián)網(wǎng)20的數(shù)據(jù)網(wǎng)絡(luò)耦合。SGSN可以直接與數(shù)據(jù)網(wǎng)絡(luò)耦合。然而,在一種更典型的實(shí)施方式中,SGSN與一個(gè)諸如GPRS核心網(wǎng)絡(luò)26的分組交換核心網(wǎng)絡(luò)耦合。該分組交換核心網(wǎng)絡(luò)接著與另一個(gè)GTW耦合,比如GTW GPRS支持節(jié)點(diǎn)(GGSN)28,而該GGSN與互聯(lián)網(wǎng)耦合。同樣,該GGSN可以與諸如多媒體消息業(yè)務(wù)(MMS)中心(未示出)的消息中心耦合。在這方面,象MSC一樣,GGSN和SGSN可以控制消息的轉(zhuǎn)發(fā),比如MMS消息。GGSN和SGSN也可以控制終端到消息中心和從消息中心到終端的消息的轉(zhuǎn)發(fā)。另外,通過將SGSN 24與GPRS核心網(wǎng)絡(luò)26及GGSN 28耦合,比如一個(gè)或多個(gè)源服務(wù)器22之類的處理元件可以通過互聯(lián)網(wǎng)20、SGSN和GGSN與終端10耦合。在這方面,諸如一個(gè)或多個(gè)源服務(wù)器之類的設(shè)備可以通過SGSN、GPRS和GGSN與終端進(jìn)行通信。
盡管在這里沒有示出并描述每個(gè)可能的移動(dòng)網(wǎng)絡(luò)的每個(gè)元件,應(yīng)該意識(shí)到終端10可以通過BS 14與許多不同網(wǎng)絡(luò)中的任意一個(gè)或多個(gè)耦合。在這方面,一個(gè)或多個(gè)網(wǎng)絡(luò)可以支持依照許多第一代(1G)、第二代(2G)、2.5G和/或第三代(3G)移動(dòng)通信協(xié)議等等中任意一個(gè)或多個(gè)的通信。例如,一個(gè)或多個(gè)網(wǎng)絡(luò)可以支持依照2G無線通信協(xié)議IS-136(TDMA)、GSM和IS-95(CDMA)的通信。同樣,例如,一個(gè)或多個(gè)網(wǎng)絡(luò)可以支持依照2.5G無線通信協(xié)議GPRS、增強(qiáng)型數(shù)據(jù)GSM環(huán)境(EDGE)等等的通信。此外,例如,一個(gè)或多個(gè)網(wǎng)絡(luò)可以支持依照比如使用寬帶碼分多址(WCDMA)無線接入技術(shù)的通用移動(dòng)電話系統(tǒng)(UMTS)網(wǎng)絡(luò)之類的3G無線通信協(xié)議的通信。某些窄帶AMPS(NAMPS),和TACS網(wǎng)絡(luò),由于有雙模式或更高模式的終端(例如,數(shù)字/模擬或TDMA/CDMA/模擬電話),也可以受益于本發(fā)明的實(shí)施方式。
終端10還可以包括與一個(gè)或多個(gè)無線收發(fā)信機(jī)(TS)30耦合。該TS可以由配置為依照象例如射頻(RF)、藍(lán)牙(BT)、紅外(IrDA)或者包括圖1中示出的WLAN技術(shù)之類的技術(shù)的任意多種不同的無線網(wǎng)絡(luò)技術(shù)與該終端通信的接入點(diǎn)。另外地或可選地,該終端可以與一個(gè)或多個(gè)用戶處理器32耦合。每個(gè)用戶處理器可以包括比如個(gè)人計(jì)算機(jī)、膝上型計(jì)算機(jī)等等之類的計(jì)算系統(tǒng)。在這方面,用戶處理器可以配置為依照象例如,RF、BT、IrDA或包括LAN和/或WLAN技術(shù)之類的技術(shù)的任意多種不同的有線或無線通信技術(shù)與該終端通信。另外地或可選地,一個(gè)或多個(gè)用戶處理器可以包括可以存儲(chǔ)此后可以傳輸?shù)皆摻K端的內(nèi)容的可移動(dòng)存儲(chǔ)器。
TS 30和用戶處理器32可以與互聯(lián)網(wǎng)20耦合。與MSC 16一樣,TS和用戶處理器可以直接與互聯(lián)網(wǎng)耦合。然而,在一種實(shí)施方式中,TS直接通過GTW 18與互聯(lián)網(wǎng)耦合。應(yīng)當(dāng)意識(shí)到,通過直接或間接地將終端10和一個(gè)或多個(gè)源服務(wù)器22,以及任意多種其它設(shè)備、處理器等等與互聯(lián)網(wǎng)連接,終端可以彼此進(jìn)行通信、與源服務(wù)器進(jìn)行通信等等,以從而執(zhí)行終端的多種功能,比如將數(shù)據(jù)、內(nèi)容等等傳輸?shù)椒?wù)提供商和/或證書管理者,和/或接收來自服務(wù)提供商和/或證書管理者的數(shù)據(jù)、內(nèi)容等等。
依照本發(fā)明的實(shí)施方式,互聯(lián)網(wǎng)20和終端10,可以耦合到一個(gè)或多個(gè)內(nèi)部網(wǎng)34,圖1中說明了其中一個(gè)。每個(gè)內(nèi)部網(wǎng)通常包括容納于企業(yè)內(nèi)部的專用網(wǎng)絡(luò)。每個(gè)內(nèi)部網(wǎng)可以包括一個(gè)或多個(gè)互相連接的LAN,以及一個(gè)或多個(gè)LAN、MAN、WAN等等的部分。與互聯(lián)網(wǎng)一樣,諸如處理元件(例如,一個(gè)或多個(gè)源服務(wù)器22)之類的設(shè)備可以通過內(nèi)部網(wǎng)與內(nèi)部網(wǎng)以及因此與互聯(lián)網(wǎng)和終端耦合。象系統(tǒng)的許多其它組件一樣,內(nèi)部網(wǎng)以及內(nèi)部網(wǎng)的處理元件,典型地通過網(wǎng)關(guān)36直接與互聯(lián)網(wǎng),以及終端耦合。類似地,盡管沒有示出,內(nèi)部網(wǎng)內(nèi)包括的每個(gè)網(wǎng)絡(luò)或者網(wǎng)絡(luò)的部分,可以通過網(wǎng)關(guān)彼此互相連接。
如下所述,借助于通過到內(nèi)部網(wǎng)的網(wǎng)關(guān)36并且,如果必要的話,通過內(nèi)部網(wǎng)中的一個(gè)或多個(gè)其它網(wǎng)關(guān),建立虛擬專用網(wǎng)絡(luò)(VPN),終端10可以接入內(nèi)部網(wǎng)34并進(jìn)而接入內(nèi)部網(wǎng)耦合的處理元件(例如,一個(gè)或多個(gè)源服務(wù)器22)。那么,在這種情況下,該網(wǎng)關(guān)典型地稱為VPN GTW,如圖1中所示。依照本發(fā)明的實(shí)施方式,該系統(tǒng)提供一個(gè)IP安全(IPsec)架構(gòu),與互聯(lián)網(wǎng)工程任務(wù)組(IETF)要求的名為Security Architecture for the Internet Protocol的注釋文件RFC 2401中描述的基本相同,因此通過參考將其內(nèi)容完全結(jié)合與本文中。同樣地,內(nèi)部網(wǎng)也與包括安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)38和安全策略數(shù)據(jù)庫(SPD)40的處理元件耦合。如將意識(shí)到的,該SAD可以存儲(chǔ)內(nèi)部網(wǎng)34內(nèi)的處理設(shè)備(例如,一個(gè)或多個(gè)源服務(wù)器22)與比如終端10之類的、位于VPN GTW 36之上的處理設(shè)備之間的安全關(guān)聯(lián)。另一方面,該SPD可以存儲(chǔ)由VPN GTW實(shí)施的安全策略,如下所述,在這里,安全策略可以包括在還可以包括一個(gè)或多個(gè)其它信息段的VPN策略內(nèi)。如這里所述,SAD和SPD是依照IPsec配置并結(jié)合不同的IP層協(xié)議(例如,移動(dòng)IP)運(yùn)行的。然而,應(yīng)該理解到,可以選擇性地用任意多種能夠與本發(fā)明的實(shí)施方式一致地操作的其它安全協(xié)議配置SAD和SPD。
依照IPsec,SAD 38包括用于存儲(chǔ)安全關(guān)聯(lián)保護(hù)輸出業(yè)務(wù)量,并用于存儲(chǔ)安全關(guān)聯(lián)保護(hù)輸入業(yè)務(wù)量的數(shù)據(jù)庫。例如,對(duì)于輸出業(yè)務(wù)量,SAD的條目可以由SPD 40的條目來指出。更特別地,SAD中的每個(gè)條目可以包括一個(gè)或多個(gè)下列字段目的地IP地址、IPsec協(xié)議(認(rèn)證文件頭(AR)或封裝安全有效載荷(ESP))和SPI(安全參數(shù)索引)。另外,每個(gè)條目可以包括序列號(hào)計(jì)數(shù)器、序列計(jì)數(shù)器溢出、反重放窗口、模式和/或壽命字段。此外,每個(gè)條目可以包括含有象例如AH參數(shù)、用于認(rèn)證的ESP參數(shù)和/或用于加密的ESP參數(shù)之類的加密和認(rèn)證密鑰參數(shù)的加密參數(shù)。
如由IPsec所定義的,SPD 40包括用于存儲(chǔ)可以包括由VPN GTW36執(zhí)行的安全策略的VPN策略的數(shù)據(jù)庫。象SAD 38一樣,SPD存儲(chǔ)用于輸出業(yè)務(wù)量和輸入業(yè)務(wù)量的安全策略,通常每一個(gè)分別存儲(chǔ)。通常,VPN GTW利用SPD來判斷必須比如由IPsec保護(hù)什么業(yè)務(wù)量。然而,當(dāng)必須保護(hù)特殊的業(yè)務(wù)量時(shí),SPD定義必須施加什么安全服務(wù),在這里這個(gè)動(dòng)作可以定義為(a)丟棄、(b)重放(即,不施加安全服務(wù)而重放)或者(c)IPsec(施加安全服務(wù))。SPD存儲(chǔ)由描述要施加到各自安全策略的業(yè)務(wù)量的選擇符指出的安全策略。每個(gè)VPN策略通常定義要采取的動(dòng)作(即,丟棄、重放或IPsec),以及當(dāng)指定IPsec為要采取的動(dòng)作時(shí)要施加的算法和協(xié)議。根據(jù)IPsec,通常用下列字段定義選擇符目的地IP地址、源IP地址、名稱、數(shù)據(jù)敏感性等級(jí)、傳輸層協(xié)議和/或源和目的地端口。依照本發(fā)明的實(shí)施方式,除去、或取代前述的IPsec字段,可以用一個(gè)或多個(gè)用戶定義的字段定義選擇符。
如上面示出并描述的,終端10可以以許多不同的方式的任何一種接入互聯(lián)網(wǎng)20,以及VPN GTW 36和內(nèi)部網(wǎng)34。例如,終端可以通過TS 30和/或用戶處理器32接入互聯(lián)網(wǎng)。另外地或可選地,終端可以通過MSC 16接入互聯(lián)網(wǎng),比如為了提供電路交換連接。此外,終端另外地或可選地可以通過SGSN 24接入互聯(lián)網(wǎng),比如為了通過GPRS核心網(wǎng)絡(luò)26提供電路或分組交換連接。如在這里使用的,這樣的IAP稱為“互聯(lián)網(wǎng)接入點(diǎn)”或IAP。盡管終端可以通過前面提到的任意一個(gè)或多個(gè)IAP接入互聯(lián)網(wǎng),還是應(yīng)該理解到,上面的IAP僅是終端可以通過其接入互聯(lián)網(wǎng)的許多不同IAP的說明。
現(xiàn)在參考圖2,說明了可以依照本發(fā)明的一種實(shí)施方式作為比如,GTW 18、發(fā)起節(jié)點(diǎn)22、TS 30、用戶處理器32、VPN GTW 36、SAD 38、SPD 40之類的網(wǎng)絡(luò)實(shí)體運(yùn)行的實(shí)體的框圖。盡管表示為分離的實(shí)體,在某些實(shí)施方式中,一個(gè)或多個(gè)實(shí)體可以支持一個(gè)或多個(gè)邏輯分離但共同位于一個(gè)或多個(gè)實(shí)體內(nèi)部的網(wǎng)絡(luò)實(shí)體。例如,單個(gè)的實(shí)體可以支持邏輯分離,但位置相同的SAD和SPD。同樣,例如,單個(gè)的實(shí)體可以支持邏輯分離,但位置相同的VPN GTW、SAD和SPD。
如圖所示,該實(shí)體可以作為通常可以包括與存儲(chǔ)器44連接的控制器42、處理器等等的網(wǎng)絡(luò)實(shí)體。該控制器也可以與至少一個(gè)接口46或者其它用于發(fā)送和/或接收數(shù)據(jù)、內(nèi)容等的其它裝置連接。該存儲(chǔ)器可以包括易失性或非易失性存儲(chǔ)器,并且通常存儲(chǔ)內(nèi)容、數(shù)據(jù)等等。例如,該存儲(chǔ)器通常存儲(chǔ)用于控制器依照本發(fā)明的實(shí)施方式執(zhí)行與實(shí)體操作相關(guān)的步驟的軟件應(yīng)用、指令等等。同樣,如上面指出的,當(dāng)實(shí)體包括SAD 38時(shí),該存儲(chǔ)器通常存儲(chǔ)與內(nèi)部網(wǎng)34相關(guān)的安全關(guān)聯(lián)保護(hù)輸入和/或輸出業(yè)務(wù)量。另外,如上面指出的,當(dāng)實(shí)體包括SPD 40時(shí),該存儲(chǔ)器通常存儲(chǔ)可以包括由VPN GTW 36執(zhí)行的安全策略的VPN策略。
圖3根據(jù)本發(fā)明的一種實(shí)施方式,說明了終端10的功能圖。應(yīng)該理解到,所說明的并在下文中描述的終端僅是將受益于本發(fā)明的移動(dòng)終端的一種類型的說明,因此,不應(yīng)該拿來限制本發(fā)明的范圍。當(dāng)說明了終端的幾種實(shí)施方式并為示例的目的將在下文中說明它們時(shí),其它類型的終端,比如便攜式數(shù)字助理(PDA)、尋呼機(jī)、膝上型計(jì)算機(jī)和其它類型的語音和文本通信系統(tǒng),可以容易地使用本發(fā)明。
圖3中說明的實(shí)施方式的終端10包括發(fā)送器48、接收器50和控制器52、處理器等等,分別給發(fā)送器和接收器提供信號(hào)并從中接收信號(hào)。這些信號(hào)包括依照可用的蜂窩系統(tǒng)的空中接口標(biāo)準(zhǔn)的信令信息,還包括用戶語音和/或用戶生成的數(shù)據(jù)。在這方面,終端10可以以一個(gè)或多個(gè)空中接口標(biāo)準(zhǔn)、通信協(xié)議、調(diào)制類型和接入類型操作。更特別地,該終端可以依照許多1G、2G、2.5G和/或3G通信協(xié)議等等中的任意一種運(yùn)行。例如,該終端可以依照2G無線通信協(xié)議IS-136(TDMA)、GSM和IS-95(CDMA)運(yùn)行。同樣,例如,該終端可以依照2.5G無線通信協(xié)議GPRS、增強(qiáng)型數(shù)據(jù)GSM環(huán)境(EDGE)等等運(yùn)行。某些窄帶AMPS(NAMPS),和TACS終端,由于有雙模式或更高模式的終端(例如,數(shù)字/模擬或TDMA/CDMA/模擬電話),也可以從本發(fā)明的實(shí)施方式獲益。
要理解到,控制器52包括實(shí)現(xiàn)終端10的音頻和邏輯功能需要的電路。例如,該控制器可以包括數(shù)字信號(hào)處理器設(shè)備、微處理器設(shè)備、和許多模擬到數(shù)字轉(zhuǎn)換器、數(shù)字到模擬轉(zhuǎn)換器和/或其它支持電路。終端的控制和信號(hào)處理功能根據(jù)其各自性能分配到這些設(shè)備中??刂破鲝亩€包括在調(diào)制和發(fā)送之前卷積編碼和插入消息和數(shù)據(jù)的功能??刂破髁硗獍▋?nèi)部語音編碼器(VC)52A,并且可以包括內(nèi)部數(shù)據(jù)調(diào)制解調(diào)器(DM)52B。此外,控制器可以包括運(yùn)行一個(gè)或多個(gè)可能存儲(chǔ)在存儲(chǔ)器中的軟件應(yīng)用的功能。
終端10還包括用戶接口,其包含傳統(tǒng)的耳機(jī)或揚(yáng)聲器54、振鈴56、麥克風(fēng)60、顯示器62和用戶輸入界面,所有這些都與控制器52耦合。允許終端接收數(shù)據(jù)的用戶輸入界面可以包括任意多種允許終端接收數(shù)據(jù)的設(shè)備,比如鍵盤64、觸摸屏(未示出)或其它輸入設(shè)備。在包括鍵盤的實(shí)施方式中,鍵盤包括傳統(tǒng)的數(shù)字(0-9)和相關(guān)按鍵(#、*),和用于操作該終端的其它按鍵。
該終端10也可以包括存儲(chǔ)器,比如用戶識(shí)別模塊(SIM)66、可移動(dòng)用戶識(shí)別模塊(R-UIM)等等,它們通常存儲(chǔ)與移動(dòng)用戶有關(guān)的信息元素。除了SIM之外,該終端可以包括其它存儲(chǔ)器。在這方面,該終端可以包括易失性存儲(chǔ)器68,比如包括用于數(shù)據(jù)臨時(shí)存儲(chǔ)的高速緩沖存儲(chǔ)器領(lǐng)域的易失性隨機(jī)存取存儲(chǔ)器(RAM)。該終端也可以包括其它可以內(nèi)嵌和/或可以移動(dòng)的非易失性存儲(chǔ)器70。存儲(chǔ)器可以存儲(chǔ)任意多種信息段,和數(shù)據(jù),由該終端用于實(shí)現(xiàn)該終端的功能。例如,存儲(chǔ)器可以包括識(shí)別符,比如國際移動(dòng)設(shè)備識(shí)別(IMEI)碼,可以唯一地識(shí)別該終端,比如識(shí)別為MSC 16。
例如,同樣地,存儲(chǔ)器66、68和70可以包括一個(gè)或多個(gè)連接應(yīng)用71,比如一個(gè)允許終端10發(fā)送并接收網(wǎng)絡(luò)內(nèi)容的傳統(tǒng)網(wǎng)絡(luò)瀏覽器,和/或一個(gè)允許該終端發(fā)送并接收電子郵件消息的傳統(tǒng)電子郵件應(yīng)用等等。另外,例如,非易失性存儲(chǔ)器可以存儲(chǔ)操作系統(tǒng)(未示出),比如英國的Symbian有限公司開發(fā)的Symbian OS 7.0s版本或更高版本操作系統(tǒng)。此外,例如下面更詳細(xì)描述的,非易失性存儲(chǔ)器可以存儲(chǔ)可以依照諸如IPsec的安全協(xié)議,建立一個(gè)或多個(gè)VPN連接的VPN客戶端72。
如在這里示出并描述的,比如VPN客戶端72之類的應(yīng)用包括由終端10,比如由該終端的控制器40執(zhí)行的軟件。然而,應(yīng)該理解,VPN客戶端的功能可以同樣地在硬件、固件等等中實(shí)現(xiàn),而不脫離本發(fā)明的實(shí)質(zhì)和范圍。還應(yīng)該理解,盡管VPN客戶端示出并描述為與該終端位置相同,該VPN客戶端同樣可以從該終端中分離出來。
終端10還可以包括一個(gè)或多個(gè)用于依照任意多種不同有線和/或無線技術(shù),共享和/或獲得來自比如其它網(wǎng)絡(luò)實(shí)體之類的電子設(shè)備的數(shù)據(jù)的裝置。例如,該終端可以包括射頻(RF)收發(fā)信機(jī)74和/或紅外(IR)收發(fā)信機(jī)76,使得該終端可以依照射頻和/或紅外技術(shù)共享和/或獲得數(shù)據(jù)。同樣地,例如,該終端可以包括藍(lán)牙(BT)收發(fā)信機(jī)78,使得該終端可以依照藍(lán)牙傳輸技術(shù)共享和/獲得數(shù)據(jù)。盡管未示出,該終端可以另外地或可選地根據(jù)包括局域網(wǎng)(LAN)和/或無線LAN(WLAN)和/或其它無線技術(shù)的許多不同的有線和/或無線網(wǎng)絡(luò)技術(shù)發(fā)送和/或接收來自電子設(shè)備的數(shù)據(jù)。
如背景技術(shù)部分中指出的,在用于通過VPN通信的傳統(tǒng)技術(shù)中通常需要客戶端,比如終端10,以通過建立IAP到包括各自VPN的一個(gè)或多個(gè)物理網(wǎng)絡(luò)的通信,并此后載入和激活各自VPN的VPN策略,來建立VPN連接。終止該VPN連接,通常需要客戶端卸載或去激活各自VPN的VPN策略,并此后終止與該IAP的通信。然而,特別是當(dāng)在“多宿主”客戶端中客戶端的并發(fā)VPN和其它連接的數(shù)量增加時(shí),這種用于發(fā)起并終止VPN連接的技術(shù)可能給客戶端或客戶端用戶帶來非預(yù)期的負(fù)擔(dān)。
依照本發(fā)明的實(shí)施方式,則終端10可以建立并有效地維持比如在“單宿主”和/或“多宿主”配置中的一個(gè)或多個(gè)VPN。更特別地,運(yùn)行為“多宿主”的客戶端,該終端可以同時(shí)建立并有效地維持在一個(gè)或多個(gè)IAP上的多個(gè)VPN連接(和VPN策略)。同樣地,該終端可以和到與該VPN連接無關(guān)的一個(gè)或多個(gè)相同或不同IAP的一個(gè)或多個(gè)另外的連接同時(shí)維持一個(gè)或多個(gè)活動(dòng)的VPN連接。在操作中,與傳統(tǒng)的“多宿主”客戶端相反,該終端還可以不請(qǐng)求該終端,或者終端用戶,而建立每個(gè)VPN連接,以分別建立IAP到各自一個(gè)或多個(gè)物理網(wǎng)絡(luò)的通信,載入或激活各自VPN的VPN策略,隨后此后卸載或去激活各自VPN的VPN策略,并終止與IAP的通信。
為了實(shí)行依照本發(fā)明的實(shí)施方式接入一個(gè)或多個(gè)VPN的方法,終端10,或者更特別的終端用戶可以定義一個(gè)或多個(gè)“VPN接入點(diǎn)”。如下所述,VPN接入點(diǎn)通??梢哉J(rèn)為是到各自VPN的虛擬或邏輯接入點(diǎn)。在這方面,可以用VPN策略和相關(guān)IAP定義VPN接入點(diǎn),并且可以用名稱或其它標(biāo)識(shí)符識(shí)別。然后,利用VPN接入點(diǎn),該終端可以以與IAP非常類似的方式建立并有效地維持一個(gè)或多個(gè)VPN連接,該VPN連接具有與依照傳統(tǒng)技術(shù)建立的VPN連接類似的屬性。
如下面更詳細(xì)說明的,當(dāng)終端10,或者更特別的終端用戶或者該終端上運(yùn)行的應(yīng)用建立VPN連接時(shí),在該終端上運(yùn)行的VPN客戶端72可以利用各自VPN接入點(diǎn)接入該VPN。因而,如在這里所用的,每個(gè)這種VPN連接稱為“VPN接入點(diǎn)連接”。更特別地,為了建立VPN接入點(diǎn)連接,VPN客戶端可以解釋各自VPN接入點(diǎn),以建立與相關(guān)IAP之間的連接,載入相關(guān)VPN策略,并此后在該IAP連接上建立VPN通道。因而,倘若該終端從相關(guān)IAP脫離的話,為了終止該VPN接入點(diǎn)連接,該VPN客戶端可以關(guān)閉該VPN通道,卸載該相關(guān)VPN策略,并此后允許該終端終止到該相關(guān)IAP的連接。
然后,利用VPN接入點(diǎn),VPN客戶端72可以將VPN通道的建立與終止并入到典型的到IAP的連接的建立和終止中。同樣地,與傳統(tǒng)技術(shù)相反,終端10或者終端用戶不需要單獨(dú)執(zhí)行建立VPN連接的步驟,或者以與建立并終止IAP連接協(xié)調(diào)的方式用專用VPN用戶接口(UI)載入或卸載VPN策略。
如上面指出的,并且如下面進(jìn)一步說明的,終端10可以通過利用各自VPN接入點(diǎn)連接多個(gè)VPN,有效地同時(shí)維持到多個(gè)VPN接入點(diǎn)連接的連接。另外,一個(gè)或多個(gè)VPN接入點(diǎn)連接可以有效地共存于具有一個(gè)或多個(gè)到與各自VPN接入點(diǎn)連接無關(guān)的一個(gè)或多個(gè)相同或不同的IAP的連接的終端中。當(dāng)該終端有效地維持多個(gè)并發(fā)活動(dòng)接入點(diǎn)連接時(shí),多個(gè)VPN策略也是同時(shí)有效的。然而,每個(gè)VPN策略僅影響各自VPN接入點(diǎn)連接上的業(yè)務(wù)量。在這方面,為了允許這種VPN策略的分離,VPN策略中的業(yè)務(wù)量選擇符可以包括與各自VPN接入點(diǎn)連接相關(guān)的網(wǎng)絡(luò)標(biāo)識(shí)符(ID)。
參考圖4,示出了包括依照本發(fā)明的一種實(shí)施方式的接入至少一個(gè)VPN的一種方法中不同步驟的流程圖。如圖所示,該方法包括建立并有效地維持一個(gè)或多個(gè)VPN接入點(diǎn)連接。然而,在終端10可以建立并有效地維持一個(gè)或多個(gè)VPN接入點(diǎn)連接之前,通常定義各自VPN接入點(diǎn),每一個(gè)包括名稱或其它標(biāo)識(shí)符,和相關(guān)VPN策略和IAP。此外,如圖4的方框79中所示,在定義一個(gè)或多個(gè)VPN接入點(diǎn)之前,一個(gè)或多個(gè)VPN策略可以比如由方框80中示出的VPN客戶端72在該終端的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中安裝、更新或者存儲(chǔ)。更特別地,該VPN客戶端可以安裝選自一個(gè)或多個(gè)不同類型VPN策略的VPN策略,包括用戶專用證書策略、通用證書策略和通用非證書策略。
用戶專用證書策略通常包括VPN客戶端72建立到VPN GTW 36的安全通道所需的信息。更特別地,例如,該用戶專用證書策略可以包括一個(gè)或多個(gè)安全策略。另外,該用戶專用證書策略可以包括一個(gè)或多個(gè)其它信息段,比如,例如一個(gè)或多個(gè)證書許可(CA)證書、一個(gè)或多個(gè)VPN GTW證書,和/或一個(gè)或多個(gè)VPN客戶端私鑰/證書對(duì)。與用戶專用證書策略相反,通用證書策略通常沒有比如VPN客戶端私鑰/證書對(duì)之類的用戶專用信息。因而,對(duì)于通用證書策略,該VPN客戶端可以生成該VPN客戶端的私鑰并獲得相應(yīng)證書,比如通過證書注冊(cè)技術(shù)。此外,與用戶專用和通用證書策略相反,通用非證書策略典型地需要用戶名-密碼類型的VPN認(rèn)證,并且可以準(zhǔn)備安裝后立即使用。
如將要意識(shí)到的,在包括VPN客戶端72可以從中安裝一個(gè)或多個(gè)VPN策略的SPD 40的企業(yè)中,各自系統(tǒng)管理員通常創(chuàng)建一個(gè)或多個(gè)VPN策略。然后,該VPN策略可以輸出到各自SPD以使該一個(gè)或多個(gè)VPN策略可以用于該VPN客戶端。另外地或可選地,各自系統(tǒng)管理員可以將一個(gè)或多個(gè)VPN策略打包到文件中,比如Symbian安裝系統(tǒng)(SIS)文件。包括策略的文件隨后可以遞送給此后能夠安裝或在存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中存儲(chǔ)來自該文件的策略的該VPN客戶端。
現(xiàn)在參考圖5A-5C,其說明了包括由終端10的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中的VPN客戶端72安裝、存儲(chǔ)或管理一個(gè)或多個(gè)VPN策略的方法中多個(gè)步驟的流程圖。如圖所示,安裝一個(gè)或多個(gè)VPN策略的方法包括,比如通過到終端用戶接口(例如,鍵盤64)的輸入,激活VPN客戶端72內(nèi)的VPN策略安裝程序,如方框80中所示。該VPN策略安裝/更新過程可以以任意多種不同的方式激活,包括,例如打開VPN客戶端的“VPN策略”頁面或顯示,或者更特別的該VPN客戶端的VPN管理控制面板小應(yīng)用程序。此后,該終端用戶可以從該“VPN策略”顯示中選擇安裝VPN策略,比如通過選擇“安裝”命令,如圖6的示例性VPN客戶端顯示中所示。
可選擇地,在終端10不包括任何已安裝的VPN策略的情況下,VPN客戶端72可以主動(dòng)要求安裝一個(gè)或多個(gè)這種策略。例如,如圖7的示例性VPN客戶端顯示中所示,VPN客戶端可以呈現(xiàn)包括下列聲明和要求的確認(rèn)對(duì)話“沒有安裝VPN策略,現(xiàn)在安裝嗎?”。如果該終端用戶響應(yīng)于這樣的要求選擇放棄安裝VPN策略,該VPN客戶端通常不啟動(dòng)VPN策略的安裝,并且可以再次呈現(xiàn)表示沒有安裝任何VPN策略的“VPN策略”顯示,如圖6的示例性VPN客戶端顯示中所示。在此后的任意時(shí)刻,該終端用戶可以從“VPN策略”顯示中選擇安裝VPN策略,比如通過選擇“安裝”命令。
如果或當(dāng)該終端用戶選擇安裝一個(gè)或多個(gè)VPN策略時(shí),終端10可以接收一個(gè)SPD 40的選擇,從中安裝/更新一個(gè)或多個(gè)VPN策略,比如從由VPN客戶端72呈現(xiàn)的一個(gè)或多個(gè)SPD列表中,如方框82中所示。如圖8的示例性顯示中說明的,例如,VPN客戶端72可以比如在“VPN策略服務(wù)器”顯示上呈現(xiàn)一個(gè)或多個(gè)SPD的依字母順序的列表。應(yīng)當(dāng)意識(shí)到,如果該列表只包括單獨(dú)的SPD,則該VPN客戶端可以配置為自動(dòng)選擇所列出的SPD。
如方框84中所示,在從中選擇SPD 40安裝/更新一個(gè)或多個(gè)VPN策略之后,VPN客戶端72可以通過能夠接入所選SPD以安裝由該SPD存儲(chǔ)的一個(gè)或多個(gè)VPN策略的終端來識(shí)別所選SPD是否具有相關(guān)IAP。VPN客戶端可以以任意多種不同方式識(shí)別相關(guān)IAP,比如基于在定義所選SPD的終端的存儲(chǔ)器中存儲(chǔ)的SPD設(shè)置。在這方面,VPN客戶端72可以在終端10的存儲(chǔ)器中存儲(chǔ)定義一個(gè)或多個(gè)SPD 40的SPD設(shè)置,這里該SPD設(shè)置除了IAP關(guān)聯(lián)之外,可以包括一個(gè)或多個(gè)SPD的一個(gè)或多個(gè)地址(例如,IP地址),如果希望這樣的話,還可以包括定義終端10和各自一個(gè)或多個(gè)SPD之間的信任關(guān)系的信息。
如將要意識(shí)到的,在許多情況下,所選SPD 40可以沒有相關(guān)IAP,比如可能是以離線的方式,比如從SIS(Symbian安裝系統(tǒng))文件中,SPD設(shè)置已經(jīng)存儲(chǔ)在該終端的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中。在這種情況下,VPN客戶端72可以接收IAP的選擇,比如從由VPN客戶端呈現(xiàn)的可用IAP的列表中,如方框86中所示。與單獨(dú)SPD的情況類似,如果該列表只包括單獨(dú)的IAP,則該VPN客戶端可以配置為自動(dòng)選擇所列出的IAP。不考慮VPN客戶端如何接收IAP的選擇,該VPN客戶端此后可以在定義先前所選SPD的SPD設(shè)置中存儲(chǔ)該選擇。
如方框88所示,一旦所選SPD 40具有相關(guān)IAP,該VPN客戶端72可以要求該終端用戶設(shè)置或輸入密鑰庫密碼以便于向所選SPD認(rèn)證終端10,或者更特別的VPN客戶端。更特別地,終端用戶典型地設(shè)置并此后使用密鑰庫密碼以保護(hù)在該終端存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中的密鑰庫,或者更特別的,以保護(hù)包括在該密鑰庫中的VPN認(rèn)證和/或SPD認(rèn)證的私鑰(下述)。如下所述,在這方面,該密鑰庫密碼通常設(shè)置為保護(hù)VPN客戶端第一次連接到該SPD時(shí),該VPN客戶端可以從該SPD中接收的SPD認(rèn)證的私鑰,比如為了使由該SPD存儲(chǔ)的VPN策略與該終端同步。
如圖9的方框90和示例性VPN客戶端顯示中所示,如果先前已經(jīng)設(shè)置了密鑰庫密碼,VPN客戶端72可以要求并此后從該終端用戶接收各自的密鑰庫密碼。然而,應(yīng)當(dāng)意識(shí)到,在許多情況下,VPN客戶端可以在終端10的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中存儲(chǔ)所設(shè)密鑰庫密碼。在這種情況下,該VPN客戶端可以無需從終端用戶要求密鑰庫密碼,而從存儲(chǔ)器中取回密鑰庫密碼。然而,如圖10的方框92和示例性VPN客戶端顯示中所示,如果密鑰庫密碼仍然沒有設(shè)置或者在存儲(chǔ)器中存儲(chǔ),VPN客戶端可以要求并此后從終端用戶接收新的密鑰庫密碼。
如方框94中所示,在設(shè)置或接收密鑰庫密碼之后,VPN客戶端72可以建立到與所選SPD 40相關(guān)的IAP的數(shù)據(jù)連接,以從而建立到該SPD的數(shù)據(jù)連接。此后,該VPN客戶端可以建立到該SPD的數(shù)據(jù)連接,以下載、接收或者同步來自該SPD的一個(gè)或多個(gè)VPN策略。在同步來自該SPD的一個(gè)或多個(gè)VPN策略之前,VPN客戶端可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身,這特別是在該VPN客戶端希望,但是與該SPD沒有信任關(guān)系的情況下。VPN客戶端可以以任意多種不同方式認(rèn)證該SPD和/或向SPD認(rèn)證其本身。在一種實(shí)施方式中,例如,VPN客戶端可以執(zhí)行利用依照證書認(rèn)證技術(shù)的SPD證書和/或用戶證書這樣的一個(gè)或多個(gè)認(rèn)證。在這種情況下,VPN客戶端可以在終端10的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70),比如在密碼保護(hù)的密鑰庫中存儲(chǔ)關(guān)于所選SPD的SPD證書和/或用戶證書。
SPD和用戶證書可以以任意多種不同方式生成,但在一種典型的實(shí)施方式中,是在VPN客戶端第一次試圖建立與該SPD的數(shù)據(jù)連接時(shí)生成的,如方框96中所示。在這種情況下,當(dāng)SPD設(shè)置不另外包括定義終端10與所選SPD之間的信任關(guān)系的信息時(shí),VPN客戶端可以認(rèn)證該SPD。VPN客戶端可以以任意多種不同方式認(rèn)證該SPD,比如通過檢查并要求終端用戶完成由VPN客戶端提供的SPD身份代碼,如方框98中示出。在這種情況下,SPD的系統(tǒng)管理員可以典型地以與終端和SPD之間的連接無關(guān)的方式,在VPN客戶端向SPD認(rèn)證其本身之前,將身份代碼發(fā)送給終端用戶。
更特別地,VPN客戶端72可以要求并此后從終端用戶接收該SPD身份代碼的確認(rèn)。在這方面,VPN客戶端可以呈現(xiàn)包括缺少一個(gè)或多個(gè)字符的SPD身份代碼的SPD身份代碼對(duì)話,并且可以要求并此后從終端用戶接收缺少的字符。例如,如果服務(wù)器身份代碼包括“3E:1F:9E:E6:4C:6E:F0:22:08:25:DA:91:23:08:05:03”,則VPN客戶端可以呈現(xiàn)對(duì)話,其包括要求“通過輸入缺少的字符校驗(yàn)服務(wù)器身份代碼3E:1F:_E:E6:4C:6E:F0:2_:08:25:DA:9_:23:08:_5:03”。在這種情況下,VPN客戶端可以從終端用戶接收字符串“9210”以從而完成該SPD身份代碼。不考慮VPN客戶端72如何認(rèn)證所選SPD 40,在認(rèn)證SPD時(shí),VPN客戶端可以在隨后的通信期間,生成并此后存儲(chǔ)用于認(rèn)證該SPD的SPD證書,如方框100中所示。
象生成SPD證書一樣,用戶證書可以以任意多種不同方式生成。與前面類似,VPN客戶端72第一次試圖建立與該SPD的數(shù)據(jù)連接時(shí),該VPN客戶端可以向SPD認(rèn)證其本身。VPN客戶端可以以任意多種不同方式相SPD認(rèn)證其本身,比如通過用戶名/密碼組合,如方框102中所示。與前面類似,不考慮VPN客戶端如何向所選SPD認(rèn)證其本身,該SPD此后可以生成(或者從證書認(rèn)證中取回)客戶端證書,并且將該客戶端證書發(fā)送到該VPN客戶端。然后,在接收客戶端證書時(shí),VPN客戶端可以在隨后的通信期間,存儲(chǔ)用于認(rèn)證該SPD的客戶端證書,如方框104中所示。
如上面指出的,在從SPD 40中下載一個(gè)或多個(gè)VPN策略之前,VPN客戶端72可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身。更特別地,在從該SPD中下載一個(gè)或多個(gè)VPN策略之前,VPN客戶端可以從該SPD中取回可用于該VPN客戶端的一個(gè)或多個(gè)VPN策略相關(guān)信息,如方框106中所示。因而,在這個(gè)信息取回期間,VPN客戶端可以認(rèn)證該SPD和/或向SPD認(rèn)證其本身,如方框108中所示。在這方面,如果該SPD證書已經(jīng)到期、被廢除或者是無效的,則該SPD可以拒絕與VPN客戶端同步一個(gè)或多個(gè)VPN策略,如方框110中所示。在這種情況下,如果希望這樣的話,VPN客戶端可以通知終端用戶認(rèn)證錯(cuò)誤,比如通過給終端用戶呈現(xiàn)信息對(duì)話(例如,“策略服務(wù)器登錄失敗。刪除并重新創(chuàng)建服務(wù)器定義?!?。終端用戶可以此后重新定義一個(gè)或多個(gè)SPD列表中的該SPD,比如在管理這樣的一個(gè)或多個(gè)SPD的列表和設(shè)置期間,如下所述。終端用戶隨后可以重啟動(dòng)VPN策略安裝過程,選擇重新定義的SPD。
同樣地,如果客戶端證書已經(jīng)到期、被廢除或者是無效的,VPN客戶端72,或者更特別的SPD 40,可以拒絕與VPN客戶端同步一個(gè)或多個(gè)VPN策略,如方框112中所示。在這種情況下,該SPD可以此后生成新的客戶端證書,比如以與前面相同的方式(見方框100、102)。VPN客戶端然后可以使用新生成的客戶端證書再次試圖向SPD認(rèn)證其本身。
如果SPD證書和客戶端證書都無效,而VPN客戶端72和SPD 40之間的認(rèn)證成功,則VPN客戶端可以同步由SPD存儲(chǔ)的一個(gè)或多個(gè)VPN策略。更特別地,VPN客戶端可以從該SPD下載由該SPD存儲(chǔ)、生成或接收的一個(gè)或多個(gè)VPN策略和相關(guān)證書(對(duì)于用戶專用或通用證書策略),如方框114中所示。在完成策略下載或同步時(shí),如果希望這樣的話,VPN客戶端可以通知終端用戶策略同步已經(jīng)完成。
同樣,在VPN客戶端已經(jīng)接收到一個(gè)或多個(gè)VPN策略之后,VPN客戶端72可以安裝或者存儲(chǔ)各自一個(gè)或多個(gè)策略。例如,VPN客戶端可以將一個(gè)或多個(gè)安全策略打包到策略文件中,并與關(guān)于一個(gè)或多個(gè)安全策略的信息一起,在VPN策略庫中存儲(chǔ)該策略文件。另外,例如,對(duì)于用戶專用或通用證書策略,VPN客戶端可以在密碼保護(hù)的密鑰庫中存儲(chǔ)一個(gè)或多個(gè)證書和一個(gè)或多個(gè)私鑰/證書對(duì)。在這方面,在存儲(chǔ)通用證書策略的VPN客戶端私鑰/證書對(duì)之前,在安裝期間,VPN客戶端可以生成VPN客戶端的私鑰,并獲得相應(yīng)證書,比如通過證書注冊(cè)技術(shù)。不考慮如何安裝一個(gè)或多個(gè)VPN策略,VPN客戶端此后可以呈現(xiàn)所安裝的一個(gè)或多個(gè)VPN策略,比如在“VPN策略”頁面或顯示上,如圖11的示例性VPN客戶端顯示中所示。
如將要意識(shí)到的,一旦已經(jīng)由VPN客戶端72安裝了一個(gè)或多個(gè)VPN策略,VPN客戶端此后可以管理各自的一個(gè)或多個(gè)VPN策略,比如通過更新、編輯、刪除或者修改各自的一個(gè)或多個(gè)VPN策略。一個(gè)或多個(gè)VPN策略可以以任意多種不同方式更新。然而,在一種典型的實(shí)施方式中,以類似于安裝各自一個(gè)或多個(gè)策略的方式更新一個(gè)或多個(gè)VPN策略。更特別地,一個(gè)或多個(gè)VPN策略可以通過重新同步VPN客戶端于各自SPD 40來更新,特別是當(dāng)一個(gè)或多個(gè)VPN策略是先前從SPD安裝的時(shí)。然后,在每次與SPD同步期間,可以基于當(dāng)前由SPD存儲(chǔ)的一個(gè)或多個(gè)VPN策略更新、刪除或者修改終端的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中存儲(chǔ)的所安裝的SPD的一個(gè)或多個(gè)VPN策略。
同樣,在管理一個(gè)或多個(gè)VPN策略期間,VPN客戶端72可以給終端用戶呈現(xiàn)所安裝的一個(gè)或多個(gè)VPN策略的列表(見圖11)。然后,從這個(gè)列表中,終端用戶可以選擇觀看關(guān)于一個(gè)或多個(gè)VPN策略的詳細(xì)信息,以及刪除、編輯或者更新一個(gè)或多個(gè)VPN策略。例如,終端用戶可以選擇已安裝的VPN策略,并此后選擇觀看關(guān)于該VPN策略的詳細(xì)信息,如圖12和13的示例性VPN客戶端顯示中所示。VPN策略可以包括任意多種不同信息段,其中的一個(gè)或多個(gè)可以包括在關(guān)于VPN策略的詳細(xì)信息中。
例如,VPN策略可以包括“策略名稱”,比如由系統(tǒng)管理員指定的,和包括關(guān)于該VPN策略的附注的“描述”,比如由該系統(tǒng)管理員包括在該VPN策略內(nèi)的信息。同樣,例如,VPN策略可以包括“策略服務(wù)器名稱”,表示VPN客戶端72從哪個(gè)SPD 40安裝了該VPN策略,倘若VPN客戶端從SPD安裝了該VPN策略的話。另外,例如,VPN策略可以包括“策略狀態(tài)”,表示該VPN策略是否即將使用,或者該VPN策略是否已經(jīng)使用,比如在活動(dòng)的或不活動(dòng)的VPN接入點(diǎn)中(下述)。另外,例如,VPN策略可以包括“證書狀態(tài)”,表示與該VPN證書相關(guān)的用戶證書(0個(gè)或更多)當(dāng)前是否有效、已到期、丟失、目前無效等等。此外,例如,VPN策略還可以包括該VPN策略最后一次何時(shí)從各自SPD更新的“更新”指示,再次假設(shè)VPN客戶端從SPD安裝該VPN策略。
除了管理一個(gè)或多個(gè)VPN策略之外,VPN客戶端72還能夠管理可以用于VPN客戶端安裝/更新一個(gè)或多個(gè)VPN策略的一個(gè)或多個(gè)SPD 40的列表(見圖8),以及在該表中包括的一個(gè)或多個(gè)SPD的SPD設(shè)置。在這方面,如將要意識(shí)到的,在多種情況下,期望的SPD不包括在該列表中,或者一個(gè)或多個(gè)SPD的列表還沒有建立,比如在終端用戶還沒有定義任何VPN客戶端內(nèi)的SPD時(shí)。在這種情況下,終端用戶可以添加一個(gè)或多個(gè)SPD到當(dāng)前可能或可能不包括然后SPD的SPD列表中。例如,終端用戶可以通過選擇“新建”命令從“VPN策略服務(wù)器”顯示中選擇定義一個(gè)或多個(gè)SPD,如圖8中所示。然而,在SPD列表當(dāng)前不包括任何SPD的情況下,VPN客戶端可以呈現(xiàn)確認(rèn)對(duì)話,其包括下列聲明和要求“沒有定義VPN策略服務(wù)器,現(xiàn)在定義嗎?”,如圖14的示例性VPN客戶端顯示中所示。
如果終端用戶響應(yīng)于這樣的請(qǐng)求,選擇放棄添加一個(gè)或多個(gè)SPD40,VPN客戶端72通常不啟動(dòng)添加一個(gè)或多個(gè)SPD,并且可以再次呈現(xiàn)表示沒有定義SPD的“VPN策略服務(wù)器”顯示。在此后的任意時(shí)刻,終端用戶可以選擇從“VPN策略服務(wù)器”顯示中添加一個(gè)或多個(gè)SPD,比如通過選擇“新建”命令。然后,為了添加SPD到一個(gè)或多個(gè)SPD列表,隨后,VPN客戶端可以從終端用戶接收各自SPD的主機(jī)名稱,以及比如來自可用的IAP列表中的IAP。另外,對(duì)于新的SPD,VPN客戶端可以接收該SPD的地址(例如,IP地址)。對(duì)于用于接收這種信息的示例性VPN客戶端顯示的說明,見圖15。在添加SPD之后,如果希望這樣的話,VPN客戶端可以啟動(dòng)所添加的VPN客戶端的該一個(gè)或多個(gè)VPN策略的同步,比如以上面描述過的方式。
同樣在管理一個(gè)或多個(gè)SPD 40期間,VPN客戶端72可以給終端用戶呈現(xiàn)可用一個(gè)或多個(gè)SPD的列表,如上面指出的(見圖8)。然后,從這個(gè)列表中,終端用戶可以選擇觀看關(guān)于該一個(gè)或多個(gè)SPD的信息,以及刪除、編輯或者更新一個(gè)或多個(gè)SPD。另外,例如,終端用戶可以選擇同步一個(gè)或多個(gè)SPD的一個(gè)或多個(gè)VPN策略。
再次參考圖4,不考慮VPN客戶端72如何安裝一個(gè)或多個(gè)VPN策略,或者管理一個(gè)或多個(gè)VPN策略,或可用的一個(gè)或多個(gè)SPD,在安裝一個(gè)或多個(gè)VPN策略之后,VPN客戶端可以定義一個(gè)或多個(gè)VPN接入點(diǎn),或者接收一個(gè)或多個(gè)VPN接入點(diǎn)的定義,如方框81中所示。如上面指出的,每個(gè)VPN接入點(diǎn)可以包括名稱或其它標(biāo)識(shí)符,相關(guān)的VPN策略和相關(guān)的IAP。例如,為了定義VPN接入點(diǎn),VPN客戶端可以從終端用戶接收各自VPN接入點(diǎn)的名稱,以及相關(guān)IAP。盡管該相關(guān)IAP可以從可用IAP列表中選擇,在一種典型的實(shí)施方式中,該相關(guān)IAP是基于VPN客戶端希望與之連接以建立并維持各自VPN接入點(diǎn)連接的VPN GTW 36而預(yù)先定義的,比如由各自VPN GTW的系統(tǒng)管理員定義的。除了名稱和相關(guān)IAP之外,VPN客戶端可以比如從已安裝的VPN策略列表中接收VPN策略的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián)。如將要意識(shí)到的,在相關(guān)IAP基于VPN GTW預(yù)先定義的情況下,相關(guān)VPN策略通常包括通過各自VPN GTW服務(wù)的SPD 40的VPN策略。
更特別地,依照本發(fā)明的一種實(shí)施方式,每個(gè)VPN接入點(diǎn)可以通過打開可能包括一個(gè)或多個(gè)先前定義的VPN接入點(diǎn)的列表的VPN客戶端72的“VPN接入點(diǎn)”頁面或者顯示來定義,如圖16的示例性VPN客戶端顯示中所示。此后,終端用戶可以從該“VPN接入點(diǎn)”顯示中選擇以定義一個(gè)或多個(gè)VPN接入點(diǎn),比如通過選擇“新建”命令,同樣如圖16的示例性VPN客戶端顯示中所示。此后,VPN客戶端可以呈現(xiàn)對(duì)話,其包括許多用于接收各自VPN接入點(diǎn)設(shè)置的輸入字段、包括VPN接入點(diǎn)的名稱或其它標(biāo)識(shí)符、相關(guān)VPN策略和相關(guān)IAP。例如,如圖17的示例性VPN客戶端顯示中所示,VPN客戶端可以呈現(xiàn)包括用于接收終端用戶輸入的字段的“編輯VPN接入點(diǎn)”頁面或顯示。如圖所示,除了前面提到的VPN接入點(diǎn)設(shè)置,VPN接入點(diǎn)還可以包括可以識(shí)別由各自VPN接入點(diǎn)產(chǎn)生的VPN接入點(diǎn)連接的相關(guān)網(wǎng)絡(luò)ID。
不考慮一個(gè)或多個(gè)VPN接入點(diǎn)如何定義,在定義了一個(gè)或多個(gè)VPN接入點(diǎn)之后,VPN客戶端72可以激活一個(gè)或多個(gè)所定義的VPN接入點(diǎn)。VPN客戶端可以以任意多種不同形式激活一個(gè)或多個(gè)VPN接入點(diǎn)。同樣地,VPN客戶端可以直接激活VPN接入點(diǎn)。然而,在一種典型的實(shí)施方式中,在激活一個(gè)或多個(gè)VPN接入點(diǎn)之前,VPN客戶端可以關(guān)聯(lián),或者終端用戶可以命令VPN客戶端關(guān)聯(lián)一個(gè)或多個(gè)VPN接入點(diǎn)與可以在終端10上運(yùn)行的一個(gè)或多個(gè)應(yīng)用71,以致相關(guān)的一個(gè)或多個(gè)應(yīng)用此后可以激活各自的一個(gè)或多個(gè)VPN接入點(diǎn),如方框83中所示。例如,終端用戶可以命令VPN客戶端關(guān)聯(lián)VPN接入點(diǎn)與配置為發(fā)送電子郵件消息到通過來自終端的VPN GTW 36耦合與內(nèi)部網(wǎng)34的電子郵件服務(wù)器(即,源服務(wù)器22),和/或從中取回電子郵件消息。
如將要意識(shí)到的,取代VPN接入點(diǎn)與應(yīng)用71的關(guān)聯(lián),一個(gè)或多個(gè)應(yīng)用可以配置為要求并隨后從終端用戶接收接入點(diǎn)的選擇,或者是IAP或者是VPN接入點(diǎn)。在這種情況下,在應(yīng)用運(yùn)行期間,可以給終端用戶呈現(xiàn)已配置的接入點(diǎn)列表,包括一個(gè)或多個(gè)IAP和/或一個(gè)或多個(gè)VPN接入點(diǎn)。然后,從這個(gè)列表中,終端用戶可以選擇接入點(diǎn),比如VPN接入點(diǎn),以從而激活各自接入點(diǎn)。在這方面,在一個(gè)或多個(gè)應(yīng)用運(yùn)行期間,VPN客戶端可以以與IAP與這種應(yīng)用傳統(tǒng)地關(guān)聯(lián)非常類似的方式,關(guān)聯(lián)一個(gè)或多個(gè)VPN接入點(diǎn)與一個(gè)或多個(gè)應(yīng)用,或者接收一個(gè)或多個(gè)VPN接入點(diǎn)的選擇。為了說明的目的,下面的說明假設(shè)VPN接入點(diǎn)與應(yīng)用關(guān)聯(lián),盡管該VPN接入點(diǎn)可以同樣地在該應(yīng)用運(yùn)行期間從接入點(diǎn)列表中選擇,如上面指出的。在關(guān)聯(lián)了一個(gè)或多個(gè)VPN接入點(diǎn)和一個(gè)或多個(gè)應(yīng)用之后,VPN客戶端72可以基于相關(guān)的VPN策略和IAP激活一個(gè)或多個(gè)VPN接入點(diǎn),如方框85中所示,以從而接入各自的一個(gè)或多個(gè)VPN。然后,通過接入一個(gè)或多個(gè)VPN,相關(guān)的一個(gè)或多個(gè)應(yīng)用可以通過各自的一個(gè)或多個(gè)VPN建立一個(gè)或多個(gè)數(shù)據(jù)連接,如方框87中所示。
現(xiàn)在參考圖18A-18E,更特別地說明了依照本發(fā)明一種實(shí)施方式的激活以及去激活VPN接入點(diǎn)的方法的不同步驟。如在這里所述,VPN接入點(diǎn)與電子郵件應(yīng)用關(guān)聯(lián)。然而,應(yīng)該理解到,該VPN接入點(diǎn)可以與任意多種不同應(yīng)用關(guān)聯(lián),或者不需與任何應(yīng)用關(guān)聯(lián)。如圖18A的方框116中所示,激活VPN接入點(diǎn)的方法包括執(zhí)行并操作相關(guān)電子郵件應(yīng)用。此后,如方框118中所示,該電子郵件應(yīng)用可以操作以請(qǐng)求通過該VPN接入點(diǎn)的數(shù)據(jù)連接,比如響應(yīng)終端用戶請(qǐng)求從與該電子郵件應(yīng)用相關(guān)聯(lián)的電子郵件服務(wù)器中取回電子郵件消息。此后,如果該電子郵件應(yīng)用要求其自身認(rèn)證,該電子郵件應(yīng)用可以認(rèn)證該終端用戶。例如,該電子郵件應(yīng)用可以通過請(qǐng)求并此后從該終端用戶或應(yīng)用設(shè)置接收電子郵件帳戶用戶名/密碼組合來認(rèn)證該終端用戶,如方框120和122中所示。
在認(rèn)證了該終端用戶之后,如果要求這樣的話,該電子郵件應(yīng)用(例如,應(yīng)用71)可以試圖通過相關(guān)VPN接入點(diǎn)連接相關(guān)電子郵件服務(wù)器(即,源服務(wù)器22)。在到VPN接入點(diǎn)的連接嘗試期間,包括電子郵件應(yīng)用的連接嘗試,VPN客戶端72可以激活與該電子郵件應(yīng)用相關(guān)的VPN接入點(diǎn)相關(guān)聯(lián)的VPN策略,如方框124中所示。如方框126和128中說明的,在激活VPN策略中,如果VPN接入點(diǎn)不完整,比如如果該VPN接入點(diǎn)不包括相關(guān)IAP或VPN策略,該電子郵件應(yīng)用可以防止連接到相關(guān)電子郵件服務(wù)器。在這種情況下,該電子郵件應(yīng)用可以返回到嘗試連接請(qǐng)求之前的狀態(tài)。同樣,在相關(guān)VPN接入點(diǎn)不包括相關(guān)IAP的情況下,VPN客戶端可以通知終端用戶連接失敗,比如通過下面的顯示“VPN接入點(diǎn)中涉及的互聯(lián)網(wǎng)接入點(diǎn)丟失。嘗試重新配置VPN接入點(diǎn)?!绷硪环矫?,當(dāng)相關(guān)VPN接入點(diǎn)不包括相關(guān)VPN策略時(shí),VPN客戶端可以再次通知終端用戶連接失敗,比如通過下面的顯示“VPN接入點(diǎn)中涉及的VPN策略丟失。嘗試重新配置VPN接入點(diǎn)?!蓖瑯釉诩せ頥PN策略中,如果VPN策略包括用戶專用或通用證書策略,而該VPN策略不包括證書或者證書無效或者不再有效,電子郵件應(yīng)用(例如,應(yīng)用71)同樣可以防止連接相關(guān)電子郵件服務(wù)器,如方框130和132中所示。在這種情況下,該電子郵件應(yīng)用返回到嘗試連接請(qǐng)求之前的狀態(tài)。反過來,VPN客戶端72可以通知終端用戶連接失敗,比如通過顯示“VPN連接激活失敗。必須更新VPN策略?!被蛘摺癡PN連接激活失敗。詳見VPN日志?!比绻鸙PN接入點(diǎn)完整而且VPN策略包括有效的證書(對(duì)用戶專用或通用證書策略),終端10或者更特別的VPN客戶端72,可以建立到與該電子郵件應(yīng)用相關(guān)的VPN接入點(diǎn)相關(guān)聯(lián)的IAP的連接。如將要意識(shí)到的,在許多情況下,IAP可能需要終端或終端用戶在執(zhí)行這樣連接之前向IAP認(rèn)證其本身。從而,當(dāng)該IAP要求認(rèn)證時(shí),該IAP或者更特別的該電子郵件應(yīng)用(例如,應(yīng)用71)可以提示終端認(rèn)證,比如用戶名/密碼,如方框134和136中所示。然后,在該IAP已經(jīng)認(rèn)證了終端10或終端用戶之后,或者當(dāng)該IAP不需要認(rèn)證時(shí)激活相關(guān)VPN策略之后,終端可以連接到該IAP,如方框138中所示。正如本領(lǐng)域的技術(shù)人員所熟知的,該終端可以基于由終端存儲(chǔ)的各自IAP的設(shè)置,以任意多種不同的方式連接到該IAP。
在該終端已經(jīng)連接到該IAP之后,VPN客戶端72可以通過建立到支持與電子郵件應(yīng)用關(guān)聯(lián)的電子郵件服務(wù)器(即,源服務(wù)器22)的VPN GTW 36的安全通道來接入各自VPN,該VPN GTW還支持提供相關(guān)VPN策略(用戶專用或通用證書策略或者通用非證書策略)的SPD 40。然而,在建立與各自VPN GTW之間的通道之前,可以要求終端10或終端用戶,或者更特別的VPN客戶端72,向VPN GTW認(rèn)證其本身,如方框140中所示。在這方面,當(dāng)VPN策略包括用戶專用或通用證書策略,VPN客戶端可以利用各自VPN策略的一個(gè)或多個(gè)證書和一個(gè)或多個(gè)私鑰/證書對(duì),向VPN GTW認(rèn)證其本身。然而,如上面指出的,這種一個(gè)或多個(gè)證書和一個(gè)或多個(gè)私鑰/證書對(duì)可以存儲(chǔ)在密碼保護(hù)的密鑰庫中。從而,在這種情況下,VPN客戶端可以請(qǐng)求,并此后從終端用戶接收密鑰庫密碼,以從而接入密鑰庫。然后,在接收密鑰庫密碼時(shí),VPN客戶端可以取回VPN認(rèn)證需要的一個(gè)或多個(gè)證書和一個(gè)或多個(gè)私鑰/證書對(duì),并此后利用所取回的一個(gè)或多個(gè)證書和一個(gè)或多個(gè)私鑰/證書對(duì),向VPN GTW認(rèn)證其本身。
與用戶專用和通用證書策略相反,當(dāng)VPN策略包括通用非證書策略時(shí),VPN客戶端72可以依照用戶名-密碼類型的VPN認(rèn)證向VPN GTW36認(rèn)證其本身。在這種情況下,VPN客戶端可以請(qǐng)求,并從終端用戶接收用戶名和密碼或通行碼。該用戶名和密碼/通行碼可以由終端用戶以任意多種不同方式接收,比如從包括由電子郵件應(yīng)用接入的電子郵件服務(wù)器(即,源服務(wù)器22)的內(nèi)部網(wǎng)34的系統(tǒng)管理員。
不考慮VPN客戶端72如何向VPN GTW 36認(rèn)證其本身,在認(rèn)證過程之后,VPN客戶端可以通過該VPN客戶端先前與其建立了連接的IAP建立到VPN GTW的安全通道,如方框142中所示。VPN客戶端可以依照任意多種不同技術(shù)建立該安全通道。例如,在一種實(shí)施方式中,VPN客戶端依照IPsec建立了與VPN GTW的安全通道。然后,在建立了與VPN GTW的安全通道之后,電子郵件應(yīng)用可以通過到VPNGTW的安全通道建立與相關(guān)電子郵件應(yīng)用(即,源服務(wù)器22)的數(shù)據(jù)連接,如方框144中所示。例如,電子郵件應(yīng)用可以建立與相關(guān)電子郵件應(yīng)用的數(shù)據(jù)連接,以從電子郵件服務(wù)器取回電子郵件消息,比如響應(yīng)終端用戶同樣的請(qǐng)求。
在電子郵件應(yīng)用(例如,應(yīng)用71)已經(jīng)結(jié)束了與相關(guān)電子郵件服務(wù)器(即,源服務(wù)器22)之間的通信之后,VPN客戶端72可以終止到該VPN的接入,以從而允許該電子郵件應(yīng)用終止與該電子郵件服務(wù)器之間的數(shù)據(jù)連接,如圖4的方框89中所示。VPN客戶端可以以任意多種不同方式終止到VPN的接入。更特別地如圖18B和18C所示,例如,VPN客戶端可以通過關(guān)閉或者終止VPN客戶端與VPN GTW36之間的安全通道,來終止到VPN的接入,如方框146和148中所示。此后,VPN客戶端可以卸載先前激活的VPN策略,如方框150中說明的。然后,倘若終端10沒有另一個(gè)到各自IAP的有效維持的連接,比如到有效維持的另一個(gè)VPN,VPN客戶端可以終止終端和各自IAP之間的連接,如方框152和154中所示。否則,如方框156中所示,VPN客戶端可以允許到該IAP的連接維持活動(dòng),盡管去激活VPN策略有效地終止了到該VPN的接入。
如將要意識(shí)到的,在許多情況下,與活動(dòng)的VPN接入點(diǎn)相關(guān)的VPN策略,可以在VPN策略的先前更新和激活各自VPN接入點(diǎn)之間變化。從而,依照本發(fā)明的實(shí)施方式,VPN客戶端72可以配置為自動(dòng)將與活動(dòng)的VPN接入點(diǎn)相關(guān)的VPN策略更新為VPN客戶端建立與VPNGTW 36之間的安全通道(見圖18B的方框142),或者在VPN客戶端認(rèn)證之后,如果VPN客戶端未成功認(rèn)證到VPN客戶端,則從而建立該安全通道?,F(xiàn)在參考圖18B、18D和18E,在本發(fā)明的一種實(shí)施方式中,在建立了與VPN GTW的安全通道之后,VPN客戶端可以連接到與活動(dòng)的VPN策略相關(guān)聯(lián)的SPD 40,并由各自VPN GTW提供服務(wù),以確定該VPN策略是否已經(jīng)從該SPD更新或刪除,如圖18D的方框158和160中所示。
如果該VPN策略還沒有從SPD 40更新或刪除,VPN客戶端72可以繼續(xù)以比如上述方式運(yùn)行。然而,如果該VPN策略已經(jīng)刪除,VPN客戶端72可以從終端10的存儲(chǔ)器(例如,非易失性存儲(chǔ)器70)中刪除各自VPN策略,如方框162中所示。在這種情況下,在從存儲(chǔ)器中刪除了該VPN策略之后,VPN接入點(diǎn)變得不完整。那么如前所述,可以防止電子郵件應(yīng)用連接到相關(guān)電子郵件服務(wù)器(見方框128)。在這種情況下,電子郵件應(yīng)用可以返回到嘗試連接請(qǐng)求之前的狀態(tài)。如果希望這樣的話,VPN客戶端也可以通知終端用戶策略刪除,比如通過向終端用戶呈現(xiàn)如下“使用中的VPN策略已經(jīng)被刪除。嘗試重新配置VPN接入點(diǎn)?!绷硪环矫?,如果該VPN策略已經(jīng)更新,VPN客戶端72可以從終端用戶請(qǐng)求是否更新VPN策略的指示,如圖18E的方框164中所示。如果終端用戶選擇制止更新VPN策略,VPN客戶端可以以好象該VPN策略還沒有更新的方式運(yùn)行。然而,如果終端用戶選擇更新該VPN策略,則VPN客戶端可以更新該VPN策略。在從SPD 40更新該VPN策略之前,VPN客戶端可以認(rèn)證SPD和/或向SPD認(rèn)證其本身,比如基于使用密碼保護(hù)的密鑰庫中存儲(chǔ)的SPD證書和/或用戶證書的證書認(rèn)證技術(shù)。在這種情況下,VPN客戶端可以請(qǐng)求,并此后從終端用戶接收該密鑰庫密碼,以從而接入該密鑰庫并取回SPD證書和/或客戶端證書,如方框166中所示。
在取回SPD證書和/或客戶端證書之后,VPN客戶端72可以基于各自的證書,認(rèn)證該SPD和/或向該SPD認(rèn)證其本身,如方框168中所示。在這方面,如果該SPD證書已經(jīng)到期,廢除或者是無效的,SPD 40可以拒絕更新該VPN策略,如方框170中所示。同樣,如果該客戶端證書已經(jīng)到期,廢除或者是無效的,VPN客戶端,或者更特別的該SPD可以拒絕用VPN客戶端更新該VPN策略,如方框172中所示。在這種情況下,如果希望這樣的話,VPN客戶端可以通知終端用戶認(rèn)證失敗,比如通過該終端用戶呈現(xiàn)信息對(duì)話(例如,“策略服務(wù)器登錄失敗。詳見VPN日志?!?。VPN客戶端此后可以以好像該VPN策略還沒有更新的方式運(yùn)行。
如果SPD證書和客戶端證書都有效,而VPN客戶端72和SPD 40之間的認(rèn)證成功,VPN客戶端可以從該SPD更新該VPN策略。更特別地,VPN客戶端可以從該SPD下載由該SPD存儲(chǔ)、生成或者接收的已更新的VPN策略和相關(guān)證書(對(duì)用戶專用或通用證書策略),如方框174中所示。在完成策略下載或同步時(shí),如果希望這樣的話,VPN客戶端可以通知終端用戶策略更新已完成。如前所述,VPN客戶端隨后可以通過完成安全通道的建立來運(yùn)行(見方框142)。
如上面指出的,一個(gè)或多個(gè)IAP和SPD 40可以從可用IAP列表中選擇,而一個(gè)或多個(gè)VPN接入點(diǎn)可以在VPN客戶端72內(nèi)定義。然而,應(yīng)該理解到,在許多情況下,利用不另外包括在VPN客戶端內(nèi)的列表中的一個(gè)或多個(gè)IAP、SPD、VPN接入點(diǎn)等等可能是期望的。在這種情況下,終端10,或者更特別的VPN客戶端,可以接收一個(gè)或多個(gè)IAP(或者IAP設(shè)置)、SPD(或者定義一個(gè)或多個(gè)SPD的SPD設(shè)置)和/或VPN接入點(diǎn)。VPN客戶端可以以任意多種不同方式接收一個(gè)或多個(gè)這樣的數(shù)據(jù)結(jié)構(gòu)。例如,在一種實(shí)施方式中,VPN客戶端可以依照SMS技術(shù)接收一個(gè)或多個(gè)這樣的數(shù)據(jù)結(jié)構(gòu)。
根據(jù)本發(fā)明的一個(gè)方面,本發(fā)明的系統(tǒng)的全部或一部分,比如終端10的全部或一部分,通常在一種計(jì)算機(jī)程序產(chǎn)品(例如,VPN客戶端72)的控制下運(yùn)行。用于執(zhí)行本發(fā)明實(shí)施方式的方法的計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),比如非易失性存儲(chǔ)介質(zhì),和計(jì)算機(jī)可讀程序代碼部分,比如嵌入到計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中的一系列計(jì)算機(jī)指令。
在這方面,圖4、5A-5C、和18A-18E是根據(jù)本發(fā)明實(shí)施方式的方法、系統(tǒng)和/或計(jì)算機(jī)程序產(chǎn)品的流程圖。要理解到,流程圖的每個(gè)方框或步驟和流程圖中方框的組合,可以通過計(jì)算機(jī)程序指令實(shí)現(xiàn)。這些計(jì)算機(jī)程序指令可以載入到一臺(tái)計(jì)算機(jī)或者其它可編程設(shè)備上以產(chǎn)生一種機(jī)器,以致在該計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的指令創(chuàng)建用于實(shí)現(xiàn)流程圖一個(gè)或多個(gè)方框或一個(gè)或多個(gè)步驟中指定的功能的裝置。這些計(jì)算機(jī)程序指令也可以存儲(chǔ)在能夠命令計(jì)算機(jī)或其它可編程設(shè)備以特殊方式運(yùn)行的計(jì)算機(jī)可讀存儲(chǔ)器中,以致該計(jì)算機(jī)可讀存儲(chǔ)器中存儲(chǔ)的指令產(chǎn)生一種包括實(shí)現(xiàn)流程圖一個(gè)或多個(gè)方框或一個(gè)或多個(gè)步驟中指定功能的指令裝置的制造品。該計(jì)算機(jī)程序指令也可以載入到計(jì)算機(jī)或者其它可編程設(shè)備上,以引起要在該計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的一系列操作步驟,以產(chǎn)生一臺(tái)實(shí)現(xiàn)程序的計(jì)算機(jī),以致在該計(jì)算機(jī)或其它可編程設(shè)備上執(zhí)行的該指令提供用于實(shí)現(xiàn)流程圖一個(gè)或多個(gè)方框或一個(gè)或多個(gè)步驟中指定功能的步驟。
因而,流程圖的方框或步驟支持用于執(zhí)行指定功能的裝置的組合、用于執(zhí)行指定功能的步驟的組合、和用于執(zhí)行指定功能的程序指令裝置。還要理解到,流程圖的每個(gè)方框或步驟,和流程圖中的方框或步驟的組合,可以通過執(zhí)行特定功能或步驟的基于專用硬件的計(jì)算機(jī)系統(tǒng),或者專用硬件和計(jì)算機(jī)指令的組合來實(shí)現(xiàn)。
本發(fā)明所屬領(lǐng)域的技術(shù)人員受益于前述說明書和相關(guān)附圖中提出的啟示將會(huì)聯(lián)想到本發(fā)明的許多修改和其它實(shí)施方式。因此,應(yīng)當(dāng)理解到,本發(fā)明不受限于所公開的特定實(shí)施方式,而修改和其它實(shí)施方式將被包括在所附權(quán)利要求書的范圍內(nèi)。盡管在這里使用了特定的術(shù)語,它們只是用于通用和說明的含義,而不是為了限制的目的。
權(quán)利要求
1.一種用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng),該系統(tǒng)包括終端,可以與VPN客戶端和至少一個(gè)應(yīng)用進(jìn)行通信,該VPN客戶端可以定義至少一個(gè)VPN接入點(diǎn),每個(gè)VPN接入點(diǎn)包括相關(guān)的物理接入點(diǎn)和VPN策略,其中該VPN客戶端可以基于該至少一個(gè)VPN接入點(diǎn)接入至少一個(gè)VPN,以從而通過該至少一個(gè)VPN從至少一個(gè)應(yīng)用建立至少一個(gè)數(shù)據(jù)連接。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其中該終端的該VPN客戶端可以基于該相關(guān)的物理接入點(diǎn)和VPN策略激活至少一個(gè)VPN接入點(diǎn),以從而接入該至少一個(gè)VPN。
3.根據(jù)權(quán)利要求2所述的系統(tǒng),其中該終端的該VPN客戶端可以通過將至少一個(gè)VPN接入點(diǎn)與該至少一個(gè)應(yīng)用相關(guān)聯(lián)來激活至少一個(gè)VPN接入點(diǎn),并此后激活來自該至少一個(gè)應(yīng)用的至少一個(gè)VPN接入點(diǎn),以從而通過該VPN建立來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接。
4.根據(jù)權(quán)利要求2所述的系統(tǒng),其中該終端的該VPN客戶端可以通過建立與該各個(gè)VPN接入點(diǎn)相關(guān)的該物理接入點(diǎn)之間的連接,激活每個(gè)VPN接入點(diǎn);載入與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略;并此后基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略,在該物理接入點(diǎn)上建立VPN通道。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),其中該終端的該VPN客戶端還可以終止到該至少一個(gè)VPN的接入,以從而終止來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接,其中該終端可以通過關(guān)閉在基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略,建立的該物理接入點(diǎn)上的該VPN通道,終止到每個(gè)VPN的每個(gè)接入;卸載與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略;并此后終止與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該物理接入點(diǎn)的該連接。
6.根據(jù)權(quán)利要求1所述的系統(tǒng),其中該終端的該VPN客戶端可以通過接收該VPN接入點(diǎn)的名稱的選擇,接收物理接入點(diǎn)的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián),并此后接收VPN策略的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián),來定義每個(gè)VPN。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其中該終端的該VPN客戶端還可以安裝至少一個(gè)VPN策略,使得該VPN客戶端可以從該至少一個(gè)已安裝的VPN策略接收VPN策略的選擇。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),還包括至少一個(gè)安全策略數(shù)據(jù)庫(SPD),可以存儲(chǔ)至少一個(gè)VPN策略,其中每個(gè)SPD與物理接入點(diǎn)相關(guān)聯(lián),其中該終端的該VPN客戶端可以接收SPD的選擇;通過與該各個(gè)SPD相關(guān)聯(lián)的該物理接入點(diǎn)從該SPD下載至少一個(gè)VPN策略;并此后安裝該至少一個(gè)所下載的VPN策略。
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其中該終端的該VPN客戶端可以建立與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過與該物理接入點(diǎn)建立的該數(shù)據(jù)連接建立與該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);并此后,當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí),從該SPD下載至少一個(gè)VPN策略。
10.一種接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的方法,該方法包括定義至少一個(gè)VPN接入點(diǎn),每個(gè)VPN接入點(diǎn)包括相關(guān)的物理接入點(diǎn)和VPN策略;以及基于該至少一個(gè)VPN接入點(diǎn)接入至少一個(gè)VPN,以從而通過該至少一個(gè)VPN建立來自至少一個(gè)應(yīng)用的至少一個(gè)數(shù)據(jù)連接。
11.根據(jù)權(quán)利要求10所述的方法,其中接入至少一個(gè)VPN包括基于該相關(guān)的物理接入點(diǎn)和VPN策略激活至少一個(gè)VPN接入點(diǎn),以從而接入至少一個(gè)VPN。
12.根據(jù)權(quán)利要求11所述的方法,其中激活至少一個(gè)VPN接入點(diǎn)包括將至少一個(gè)VPN接入點(diǎn)與至少一個(gè)應(yīng)用相關(guān)聯(lián);并且激活來自該至少一個(gè)應(yīng)用的至少一個(gè)接入點(diǎn),以從而通過該VPN建立來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接。
13.根據(jù)權(quán)利要求11所述的方法,其中激活至少一個(gè)VPN接入點(diǎn)包括建立與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該物理接入點(diǎn)的連接;載入與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略;并且基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略在該物理接入點(diǎn)上建立VPN通道。
14.根據(jù)權(quán)利要求10所述的方法,還包括終止到該至少一個(gè)VPN的接入,以從而終止來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接,其中終止到每個(gè)VPN的接入包括關(guān)閉基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略所建立的該物理接入點(diǎn)上的該VPN通道;卸載與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略,以及終止與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該物理接入點(diǎn)的該連接。
15.根據(jù)權(quán)利要求10所述的方法,其中定義每個(gè)VPN接入點(diǎn)包括接收該VPN接入點(diǎn)的名稱的選擇;接收物理接入點(diǎn)的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián);接收VPN策略的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián)。
16.根據(jù)權(quán)利要求15所述的方法,還包括安裝至少一個(gè)VPN策略,其中接收VPN策略的選擇包括從該至少一個(gè)已安裝的VPN策略接收VPN策略的選擇。
17.根據(jù)權(quán)利要求16所述的方法,其中安裝至少一個(gè)VPN策略包括接收安全策略數(shù)據(jù)庫(SPD)的選擇,其中該SPD可以存儲(chǔ)至少一個(gè)VPN策略,并且其中該SPD具有相關(guān)的物理接入點(diǎn);通過與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)從該SPD下載至少一個(gè)VPN策略;以及安裝該至少一個(gè)所下載的VPN策略。
18.根據(jù)權(quán)利要求17所述的方法,其中安裝至少一個(gè)VPN策略包括由VPN客戶端安裝至少一個(gè)VPN策略,以及其中下載至少一個(gè)VPN策略包括建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過所建立的到該物理接入點(diǎn)的該數(shù)據(jù)連接,建立從該VPN客戶端到該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);以及當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí),從該SPD下載至少一個(gè)VPN策略。
19.一種用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的計(jì)算機(jī)程序產(chǎn)品,該計(jì)算機(jī)程序產(chǎn)品包括具有在其中存儲(chǔ)的計(jì)算機(jī)可讀程序代碼部分的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),該計(jì)算機(jī)可讀程序代碼部分包括第一可執(zhí)行部分,用于定義至少一個(gè)VPN接入點(diǎn),每個(gè)VPN接入點(diǎn)包括相關(guān)的物理接入點(diǎn)和VPN策略;以及第二可執(zhí)行部分,用于基于該至少一個(gè)VPN接入點(diǎn)接入至少一個(gè)VPN,以從而建立來自至少一個(gè)應(yīng)用的至少一個(gè)數(shù)據(jù)連接。
20.根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中該第二可執(zhí)行部分適合基于該相關(guān)的物理接入點(diǎn)和VPN策略激活至少一個(gè)VPN接入點(diǎn),以從而接入至少一個(gè)VPN。
21.根據(jù)權(quán)利要求20所述的計(jì)算機(jī)程序產(chǎn)品,其中該第二可執(zhí)行部分適合將至少一個(gè)VPN接入點(diǎn)和至少一個(gè)應(yīng)用相關(guān)聯(lián),并此后激活來自該至少一個(gè)應(yīng)用的至少一個(gè)VPN接入點(diǎn),以從而通過該VPN建立來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接。
22.根據(jù)權(quán)利要求20所述的計(jì)算機(jī)程序產(chǎn)品,其中該第二可執(zhí)行部分適合通過建立與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該物理接入點(diǎn)的連接激活每個(gè)VPN接入點(diǎn);載入與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略;并此后基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略在該物理接入點(diǎn)上建立VPN通道。
23.根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,還包括第三可執(zhí)行部分,用于終止到該至少一個(gè)VPN的接入,以從而終止來自該至少一個(gè)應(yīng)用的該至少一個(gè)數(shù)據(jù)連接,其中該第三可執(zhí)行部分適合通過關(guān)閉基于與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略所建立的該物理接入點(diǎn)上的該VPN通道,卸載與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該VPN策略,并此后終止與該各個(gè)VPN接入點(diǎn)相關(guān)聯(lián)的該物理接入點(diǎn)的該連接,來終止到每個(gè)VPN的接入。
24.根據(jù)權(quán)利要求19所述的計(jì)算機(jī)程序產(chǎn)品,其中該第一可執(zhí)行部分適合通過接收該VPN接入點(diǎn)的名稱的選擇,接收物理接入點(diǎn)的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián),接收VPN策略的選擇以與該VPN接入點(diǎn)相關(guān)聯(lián),來定義每個(gè)VPN接入點(diǎn)。
25.根據(jù)權(quán)利要求24所述的計(jì)算機(jī)程序產(chǎn)品,還包括第三可執(zhí)行部分,用于安裝至少一個(gè)VPN策略,其中該第二可執(zhí)行部分適合從該至少一個(gè)已安裝的VPN策略接收VPN策略的選擇。
26.根據(jù)權(quán)利要求25所述的計(jì)算機(jī)程序產(chǎn)品,其中該第三可執(zhí)行部分適合接收安全策略數(shù)據(jù)庫(SPD)的選擇;通過與該SPD相關(guān)聯(lián)的物理接入點(diǎn)從該SPD下載至少一個(gè)VPN策略;并此后安裝該至少一個(gè)所下載的VPN策略。
27.根據(jù)權(quán)利要求26所述的計(jì)算機(jī)程序產(chǎn)品,其中該計(jì)算機(jī)程序產(chǎn)品適合在VPN客戶端的指導(dǎo)下運(yùn)行,以及其中該第三可執(zhí)行部分適合建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過所建立的到該物理接入點(diǎn)的該數(shù)據(jù)連接建立從該VPN客戶端到該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí),從該SPD下載至少一個(gè)VPN策略。
28.一種用于管理至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng),該至少一個(gè)VPN策略用于接入至少一個(gè)VPN,該系統(tǒng)包括至少一個(gè)安全策略數(shù)據(jù)庫(SPD),可以存儲(chǔ)至少一個(gè)VPN策略;以及終端,可以與VPN客戶端進(jìn)行通信,其中該VPN客戶端可以通過至少一個(gè)物理接入點(diǎn)與該至少一個(gè)SPD進(jìn)行通信,以從而從該至少一個(gè)SPD下載該至少一個(gè)VPN策略,以及其中該VPN客戶端可以在VPN策略庫中存儲(chǔ)該至少一個(gè)VPN策略,以及其中該VPN客戶端可以與該至少一個(gè)SPD同步,以從而更新在該VPN策略庫中存儲(chǔ)的該至少一個(gè)VPN策略。
29.根據(jù)權(quán)利要求28所述的系統(tǒng),其中至少一個(gè)VPN策略包括證書和證書/私鑰對(duì)中的至少一個(gè),以及其中該VPN客戶端可以在密碼保護(hù)的密鑰庫中存儲(chǔ)該證書和該證書/私鑰對(duì)中的至少一個(gè)。
30.根據(jù)權(quán)利要求28所述的系統(tǒng),其中該VPN客戶端可以接收SPD的選擇,其中該SPD具有相關(guān)的物理接入點(diǎn),以及其中該VPN客戶端可以通過與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)從該所選的SPD下載至少一個(gè)VPN策略。
31.根據(jù)權(quán)利要求30所述的系統(tǒng),其中該VPN客戶端可以建立與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過與該物理接入點(diǎn)建立的該數(shù)據(jù)連接建立與該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí),從該SPD下載至少一個(gè)VPN策略。
32.根據(jù)權(quán)利要求31所述的系統(tǒng),其中該VPN客戶端可以基于SPD證書認(rèn)證該SPD,以及其中該VPN客戶端可以基于用戶證書認(rèn)證該VPN客戶端。
33.根據(jù)權(quán)利要求32所述的系統(tǒng),其中該SPD具有包括多個(gè)字符的相關(guān)的身份代碼,以及其中該VPN客戶端可以通過接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn)來生成SPD證書,并此后當(dāng)接收到確認(rèn)時(shí)生成該SPD證書。
34.根據(jù)權(quán)利要求33所述的系統(tǒng),其中該VPN客戶端可以呈現(xiàn)包括與該SPD相關(guān)聯(lián)的身份代碼的SPD身份代碼會(huì)話,在該SPD身份代碼會(huì)話中的該身份代碼被呈現(xiàn)為缺少至少一個(gè)字符,以及其中該VPN客戶端可以接收該至少一個(gè)字符,并此后如果在該SPD身份代碼會(huì)話中呈現(xiàn)的該身份代碼,加上接收到的該至少一個(gè)字符與該SPD相關(guān)聯(lián)的該身份代碼匹配,則接收該身份代碼的確認(rèn)。
35.根據(jù)權(quán)利要求32所述的系統(tǒng),其中該VPN客戶端可以通過向該SPD認(rèn)證該VPN客戶端,生成用戶證書,并此后當(dāng)認(rèn)證了該VPN客戶端時(shí)生成該用戶證書。
36.一種管理至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)策略的方法,該至少一個(gè)VPN策略用于接入至少一個(gè)VPN,該方法包括從至少一個(gè)安全策略數(shù)據(jù)庫(SPD)下載至少一個(gè)VPN策略;在VPN策略庫中存儲(chǔ)該至少一個(gè)VPN策略,以及與該至少一個(gè)SPD同步,以從而更新在該VPN策略庫中存儲(chǔ)的該至少一個(gè)VPN策略。
37.根據(jù)權(quán)利要求36所述的方法,其中至少一個(gè)VPN策略包括證書和證書/私鑰對(duì)中的至少一個(gè),以及其中存儲(chǔ)該至少一個(gè)VPN策略還包括在密碼保護(hù)的密鑰庫中存儲(chǔ)該證書和該證書/私鑰對(duì)中的至少一個(gè)。
38.根據(jù)權(quán)利要求36所述的方法,還包括接收SPD的選擇,其中該SPD具有相關(guān)的物理接入點(diǎn),其中下載至少一個(gè)VPN策略包括通過與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)從該所選的SPD下載至少一個(gè)VPN策略。
39.根據(jù)權(quán)利要求38所述的方法,其中下載至少一個(gè)VPN策略包括建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過所建立的到該物理接入點(diǎn)的該數(shù)據(jù)連接,建立從該VPN客戶端到該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);以及當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí),從該SPD下載至少一個(gè)VPN策略。
40.根據(jù)權(quán)利要求39所述的方法,其中認(rèn)證該SPD包括基于SPD證書認(rèn)證該SPD,以及其中認(rèn)證該VPN客戶端包括基于用戶證書認(rèn)證該VPN客戶端。
41.根據(jù)權(quán)利要求40所述的方法,其中該SPD具有包括多個(gè)字符的相關(guān)的身份代碼,以及其中該方法還包括生成SPD證書,以及其中生成SPD證書包括接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn);以及當(dāng)接收到確認(rèn)時(shí)生成該SPD證書。
42.根據(jù)權(quán)利要求41所述的方法,其中接收確認(rèn)包括呈現(xiàn)包括與該SPD相關(guān)聯(lián)的該身份代碼的SPD身份代碼會(huì)話,在該SPD身份代碼會(huì)話中的該身份代碼被呈現(xiàn)為缺少至少一個(gè)字符;接收該至少一個(gè)字符;以及如果在該SPD身份代碼會(huì)話中呈現(xiàn)的該身份代碼,加上接收到的該至少一個(gè)字符與該SPD相關(guān)聯(lián)的該身份代碼匹配,則接收該身份代碼的確認(rèn)。
43.根據(jù)權(quán)利要求40所述的方法,還包括生成用戶證書,其中生成用戶證書包括向該SPD認(rèn)證該VPN客戶端;以及當(dāng)認(rèn)證了該VPN客戶端時(shí)生成該用戶證書。
44.一種用于管理至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)策略的計(jì)算機(jī)程序產(chǎn)品,該至少一個(gè)VPN策略用于接入至少一個(gè)VPN,該計(jì)算機(jī)程序產(chǎn)品包括具有在其中存儲(chǔ)了計(jì)算機(jī)可讀程序代碼部分的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),該計(jì)算機(jī)可讀程序代碼部分包括第一可執(zhí)行部分,用于從至少一個(gè)安全策略數(shù)據(jù)庫(SPD)下載至少一個(gè)VPN策略;第二可執(zhí)行部分,用于在VPN策略庫中存儲(chǔ)該至少一個(gè)VPN策略;以及第三可執(zhí)行部分,用于與該至少一個(gè)SPD同步,以從而更新在該VPN策略庫中存儲(chǔ)的該至少一個(gè)VPN策略。
45.根據(jù)權(quán)利要求44所述的計(jì)算機(jī)程序產(chǎn)品,其中至少一個(gè)VPN策略包括證書和證書/私鑰對(duì)中的至少一個(gè),以及其中該第二可執(zhí)行部分還適合在密碼保護(hù)的密鑰庫中存儲(chǔ)該證書和該證書/私鑰對(duì)中的至少一個(gè)。
46.根據(jù)權(quán)利要求44所述的計(jì)算機(jī)程序產(chǎn)品,還包括第四可執(zhí)行部分,用于接收SPD的選擇,其中該SPD具有相關(guān)的物理接入點(diǎn),其中該第一可執(zhí)行部分適合通過與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)從該所選SPD下載至少一個(gè)VPN策略。
47.根據(jù)權(quán)利要求46所述的計(jì)算機(jī)程序產(chǎn)品,其中該第一可執(zhí)行部分適合建立從該VPN客戶端到與該SPD相關(guān)聯(lián)的該物理接入點(diǎn)的數(shù)據(jù)連接;通過所建立的到該物理接入點(diǎn)的該數(shù)據(jù)連接建立從該VPN客戶端到該SPD的數(shù)據(jù)連接;認(rèn)證該SPD和該VPN客戶端中的至少一個(gè);并此后當(dāng)認(rèn)證了該SPD和該VPN客戶端中的至少一個(gè)時(shí)從該SPD下載至少一個(gè)VPN策略。
48.根據(jù)權(quán)利要求47所述的計(jì)算機(jī)程序產(chǎn)品,其中該第一可執(zhí)行部分適合基于SPD證書認(rèn)證該SPD,以及其中該第一可執(zhí)行部分適合基于用戶證書認(rèn)證該VPN客戶端。
49.根據(jù)權(quán)利要求48所述的計(jì)算機(jī)程序產(chǎn)品,其中該SPD具有包括多個(gè)字符的相關(guān)的身份代碼,以及其中該計(jì)算機(jī)程序產(chǎn)品還包括第五可執(zhí)行部分,用于生成SPD證書,以及其中該第五可執(zhí)行部分適合接收與該SPD相關(guān)聯(lián)的該身份代碼的確認(rèn),并此后當(dāng)接收到確認(rèn)時(shí)生成該SPD證書。
50.根據(jù)權(quán)利要求49所述的計(jì)算機(jī)程序產(chǎn)品,其中該第五可執(zhí)行部分適合呈現(xiàn)包括與該SPD相關(guān)聯(lián)的該身份代碼的SPD身份代碼會(huì)話,在該SPD身份代碼會(huì)話中的該身份代碼被呈現(xiàn)為缺少至少一個(gè)字符,以及其中該第五可執(zhí)行部分適合接收該至少一個(gè)字符,并此后如果在該SPD身份代碼會(huì)話中呈現(xiàn)的該身份代碼,加上接收到的該至少一個(gè)字符與該SPD相關(guān)聯(lián)的該身份代碼匹配,則接收該身份代碼的確認(rèn)。
51.根據(jù)權(quán)利要求48所述的計(jì)算機(jī)程序產(chǎn)品,還包括第五可執(zhí)行部分,用于生成用戶證書,其中該第五可執(zhí)行部分適合向該SPD認(rèn)證該VPN客戶端,并此后當(dāng)認(rèn)證了該VPN客戶端時(shí)生成該用戶證書。
52.一種虛擬專用網(wǎng)絡(luò)(VPN)接入點(diǎn)數(shù)據(jù)結(jié)構(gòu),該VPN接入點(diǎn)數(shù)據(jù)結(jié)構(gòu)包含在計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中并且包括物理接入點(diǎn)定義,指定了VPN客戶端可以接入VPN網(wǎng)關(guān)的方式以從而允許該VPN客戶端接入VPN;以及VPN策略,指定了定義通過該VPN網(wǎng)關(guān)的業(yè)務(wù)量安全的至少一個(gè)安全策略。
全文摘要
一種用于接入至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)的系統(tǒng),包括終端,并且可以包括至少一個(gè)安全策略數(shù)據(jù)庫(SPD)。該終端可以與VPN客戶端和至少一個(gè)應(yīng)用進(jìn)行通信。反過來,該VPN客戶端可以定義至少一個(gè)VPN接入點(diǎn),每個(gè)VPN接入點(diǎn)包括相關(guān)的物理接入點(diǎn)和VPN策略。此后,該VPN客戶端能夠基于該一個(gè)或多個(gè)VPN接入點(diǎn)接入至少一個(gè)VPN,以從而通過該至少一個(gè)VPN建立來自該至少一個(gè)應(yīng)用的至少一個(gè)數(shù)據(jù)連接。另外,該VPN客戶端能夠從該SPD下載至少一個(gè)VPN策略。還提供了一種用于管理至少一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)策略的系統(tǒng),其中該一個(gè)或多個(gè)VPN策略用于接入至少一個(gè)VPN。
文檔編號(hào)G06F15/16GK1943172SQ200580011809
公開日2007年4月4日 申請(qǐng)日期2005年2月17日 優(yōu)先權(quán)日2004年2月20日
發(fā)明者雅里·帕洛雅維, 朱阿·P·薩沃萊南, 米卡·T·凱特蒂南 申請(qǐng)人:諾基亞公司