[go: up one dir, main page]

HK1203110B - Secure network tunnel between a computing device and an endpoint - Google Patents

Secure network tunnel between a computing device and an endpoint Download PDF

Info

Publication number
HK1203110B
HK1203110B HK15103578.7A HK15103578A HK1203110B HK 1203110 B HK1203110 B HK 1203110B HK 15103578 A HK15103578 A HK 15103578A HK 1203110 B HK1203110 B HK 1203110B
Authority
HK
Hong Kong
Prior art keywords
mobile device
server
tunnel
service server
data
Prior art date
Application number
HK15103578.7A
Other languages
German (de)
English (en)
Chinese (zh)
Other versions
HK1203110A1 (en
Inventor
Graham Russell
Bruno Richard Preiss
Ronesh Puri
Jonathan Hong-Man Sau
Original Assignee
Blackberry Limited
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/862,171 external-priority patent/US9055032B2/en
Application filed by Blackberry Limited filed Critical Blackberry Limited
Publication of HK1203110A1 publication Critical patent/HK1203110A1/en
Publication of HK1203110B publication Critical patent/HK1203110B/en

Links

Claims (13)

  1. Procédé (2200) pour établir un tunnel de protocole Internet, IP, sécurisé sur un réseau de télécommunications entre un dispositif mobile (100) et un serveur de service de tunnel (600) derrière un pare-feu (500) dans un réseau d'entreprise (900), dans lequel des données d'application envoyées sur le tunnel IP sécurisé sont chiffrées du dispositif mobile au serveur de service de tunnel, le procédé comprenant les étapes consistant à :
    transmettre (2202), depuis le dispositif mobile, une demande de signalisation à un dispositif de service de signalisation (700) dans le réseau d'entreprise, le dispositif de service de signalisation étant derrière un pare-feu d'entreprise (500) ;
    recevoir (2204), au niveau du dispositif mobile, en provenance du dispositif de service de signalisation une réponse, contenant un ensemble d'adresses offertes associé au serveur de service de tunnel ;
    transmettre (2208), depuis le dispositif mobile, une demande de connexion au serveur de service de tunnel, qui contient un ensemble d'adresses offertes en provenance du dispositif mobile pour établir une connexion au serveur de service de tunnel ;
    recevoir (2210), au niveau du serveur de service de tunnel, la demande de connexion ;
    déterminer (2206), au niveau du serveur de service de tunnel, un chemin support optimal sur la base au moins des adresses offertes en provenance du dispositif mobile et d'un ensemble d'adresses offertes sur le serveur de service de tunnel ;
    établir (2212) un tunnel sécurisé sur le chemin support optimal entre le dispositif mobile et le serveur de service de tunnel ;
    transmettre (2214) des données d'application chiffrées du serveur de service de tunnel au dispositif mobile à travers le tunnel sécurisé, de sorte que les données d'application chiffrées restent chiffrées du serveur de service de tunnel au dispositif mobile, où les données d'application chiffrées sont empaquetées dans un ou plusieurs premiers paquets de données.
  2. Procédé selon la revendication 1, dans lequel la transmission des données d'application chiffrées du serveur de service de tunnel au dispositif mobile comprend : la transmission de données d'application non chiffrées au serveur de service de tunnel depuis le serveur de point d'extrémité.
  3. Procédé selon la revendication 2, dans lequel la transmission des données d'application chiffrées du serveur de service de tunnel au dispositif mobile comprend en outre :
    la transmission des données d'application chiffrées dans les un ou plusieurs premiers paquets de données du dispositif de service de tunnel à travers le pare-feu à un dispositif de service de relais (300) ;
    le dépaquetage des données d'application chiffrées dans les un ou plusieurs premiers paquets de données et le réempaquetage des données d'application chiffrées dans un ou plusieurs seconds paquets de données, où les un ou plusieurs seconds paquets de données sont adressés au dispositif mobile.
  4. Procédé selon la revendication 3, dans lequel le dispositif de service de relais est un serveur TURN.
  5. Procédé selon la revendication 3, dans lequel la transmission des données d'application chiffrées dans les seconds paquets de données du serveur de service de tunnel au dispositif mobile inclut en outre la transmission de l'application chiffrée à travers un second pare-feu (200) situé entre le dispositif de service de relais et le dispositif mobile.
  6. Procédé selon la revendication 5, comprenant en outre les étapes consistant à :
    recevoir le paquet au niveau du dispositif mobile ; et
    exécuter des instructions stockées sur un module de moteur NAT-T (130) pour poursuivre le traitement, sur la base des instructions d'adresse, du paquet reçu.
  7. Procédé selon la revendication 6, dans lequel le dispositif mobile comprend en outre un module de gestionnaire de tunnel (120) qui agit sur les données d'application chiffrées en provenance du module de moteur NAT-T, le module de gestionnaire de tunnellisation inclut des instructions pour que le processeur :
    dépaquète les un ou plusieurs seconds paquets de données ;
    déchiffre les données d'application chiffrées qui étaient contenues dans les un ou plusieurs seconds paquets de données ; et
    traite les données d'application déchiffrées sur la base d'instructions stockées dans un module d'application (110) .
  8. Procédé selon la revendication 5, comprenant en outre les étapes consistant à :
    recevoir, par un gestionnaire de tunnellisation (120) fonctionnant sur le dispositif mobile, les données d'application chiffrées dans un ou plusieurs seconds paquets de données ;
    dépaqueter, par le gestionnaire de tunnellisation, les un ou plusieurs seconds paquets de données ;
    déchiffrer, par le gestionnaire de tunnellisation, les données d'application chiffrées ; et
    fournir les données d'application non chiffrées à une application fonctionnant sur le dispositif mobile.
  9. Procédé selon la revendication 1, dans lequel la transmission des données d'application chiffrées inclut l'empaquetage des données d'application chiffrées en paquets selon un protocole pour la transmission à un dispositif externe.
  10. Procédé selon la revendication 1, dans lequel le paquet comprend une adresse source et une adresse de destination.
  11. Procédé selon la revendication 10, dans lequel l'adresse de destination est une adresse associée au dispositif mobile.
  12. Système conçu pour effectuer le procédé selon l'une quelconque des revendications 1 à 11.
  13. Support lisible par ordinateur portant des instructions lisibles par ordinateur conçues, lors de l'exécution par un processeur, pour amener le processeur à effectuer le procédé selon l'une quelconque des revendications 1 à 11.
HK15103578.7A 2013-04-12 2015-04-13 Secure network tunnel between a computing device and an endpoint HK1203110B (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201313862171 2013-04-12
US13/862,171 US9055032B2 (en) 2013-04-12 2013-04-12 Secure network tunnel between a computing device and an endpoint

Publications (2)

Publication Number Publication Date
HK1203110A1 HK1203110A1 (en) 2015-10-16
HK1203110B true HK1203110B (en) 2020-09-18

Family

ID=

Similar Documents

Publication Publication Date Title
EP2790384B1 (fr) Tunnel de réseau sécurisé entre un dispositif informatique et un point d'extrémité
US11190489B2 (en) Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
US9485228B2 (en) Selectively performing man in the middle decryption
US9231918B2 (en) Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions
US8732816B2 (en) Method and apparatus for exchanging data between a user equipment and a core network via a security gateway
JP5587512B2 (ja) モバイル機器と静的宛先アドレスとの間のデータ伝送を可能にするための方法および装置
CN114500176B (zh) 用于vpn的多流负载均衡方法、装置、系统及存储介质
US10159101B2 (en) Using WLAN connectivity of a wireless device
US20240356849A1 (en) Application-Agnostic Puncturing of Network Address Translation (NAT) Services
EP4121873A1 (fr) Protection sélective de plan utilisateur dans un ran virtuel 5g
US8015406B2 (en) Method to create an OSI network layer 3 virtual private network (VPN) using an HTTP/S tunnel
US12143911B2 (en) Machine to machine communications
US9088542B2 (en) Firewall traversal driven by proximity
US11968237B2 (en) IPsec load balancing in a session-aware load balanced cluster (SLBC) network device
US20240283791A1 (en) Authorization of a User Equipment to Access a Resource
US20250047605A1 (en) Load balancing client connections across servers of a trust network
US10805260B2 (en) Method for transmitting at least one IP data packet, related system and computer program product
US20250047646A1 (en) Edge connectivity gateway
EP3379794B1 (fr) Procédé et système pour réaliser une connexion encryptée avec un réseau de zone locale
HK1203110B (en) Secure network tunnel between a computing device and an endpoint
US20140219164A1 (en) Hardware-Based Private Network Using WiMAX
US10681750B2 (en) Method and apparatus for supporting mobility of user device in mobile communication network
EP4097936A1 (fr) Protection de confidentialité ipsec
Bonola et al. S-UPMT: a secure Vertical Handover solution based on IP in UDP tunneling and IPsec
WO2025029445A1 (fr) Passerelle de connectivité périphérique