建立经认证的连接的方法、设备、计算机可读介质和系统技术方案

本公开涉及建立经认证的连接的方法、设备、计算机可读介质和系统。本发明专利技术的实施例尤其涉及一种系统，包括：客户端；服务器；连接到服务的服务组件；以及连接到服务组件的至少一个终端；其中，服务器为每个终端提供主机名称，所述主机名称被分配给相应终端和服务组件；其中，服务器被配置为通过将连接请求转发到服务组件来响应从客户端或终端之一发送到主机名称之一的连接请求；其中服务组件被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由终端之一建立，则将该数据分组直接转发到对应的终端而不经过服务器，并且如果该连接尚未由终端之一建立，则将该数据分组转发到服务器。

Approaches, equipment, computer-readable media and systems for establishing certified connections

【技术实现步骤摘要】
建立经认证的连接的方法、设备、计算机可读介质和系统
本专利申请涉及用于与本地网络中的终端建立经认证的连接的，特别是用于在本地网络中的终端之间建立经认证(certified)的连接的方法、设备、计算机可读介质和系统。
技术介绍
SSL和TLS协议已成为用于加密连接请求，特别是经由HTTP的连接请求的标准。例如，SSL证书由独立的证书颁发机构颁发给网页的运营商。当连接请求被发送到经认证的Web服务器时，证书使得客户端能够确保网页是真实的。位于本地网络上的Web服务器不能轻松地从本地网络外部访问。可用的技术(诸如虚拟专用网络(VPN))使这种连接成为可能，但它们的配置复杂。特别地，每次本地网络上的Web服务器的星座图改变时，都必须重新配置VPN。配置通常由系统管理员手动执行。通常不会对此类Web服务器执行经由证书的验证。
技术实现思路
这里公开的本专利技术的基本问题是要促进到本地网络中的终端的经认证的连接，其中旨在促进本地网络中的终端之间的连接以及本地网络中的终端与本地网络外的客户端之间的连接。解决该问题的第一实施例涉及一种系统，包括：客户端，服务器，连接到服务器的服务组件，以及连接到服务组件的至少一个终端，其中，服务器为每个终端提供主机名称，所述主机名称被分配给相应终端和服务组件，其中，服务器被配置为通过将连接请求转发到服务组件来响应从客户端或终端之一发送到主机名称之一的连接请求；其中，服务组件被配置为通过针对与主机名称相关联的终端检查用于加密连接的证书是否被存档来响应发送到主机名称之一的连接请求，其中如果没有证书被存档，则服务组件从证书颁发机构请求证书，并且服务组件基于证书验证连接；以及其中，服务组件还被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由终端之一建立，则将所述数据分组直接转发到对应的终端而不经过服务器，并且如果所述连接尚未由终端之一建立，则将所述数据分组转发到服务器。特别地，服务组件还可以被配置为使用路由表来确定与传入数据分组相关联的连接是否已经由终端之一建立，其中路由表包含相应终端的至少一个始发地址以及相应连接的唯一标识符。此外，唯一标识符可以是连接端口、IP地址或连接端口和IP地址的组合。此外，至少一个终端可以与服务组件相同。优选地，主机名称包含终端之一的本地地址或本地主机名称。还有的实施例涉及一种服务组件，所述服务组件连接到服务器并且被配置为通过针对连接到服务组件的终端检查用于加密连接的证书是否被存档来响应发送到由服务器为终端提供的主机名称的连接请求，其中，如果没有证书被存档，则服务组件从证书颁发机构请求证书，并且服务组件基于证书验证连接，并且其中，服务组件还被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由连接到服务组件的终端建立，则将所述数据分组直接转发到终端而不经过服务器，并且如果所述连接尚未由与服务组件连接的终端建立，则将所述数据分组转发到服务器。特别地，服务组件还可以被配置为使用路由表来确定与传入数据分组相关联的连接是否已经由终端之一建立，其中路由表包含相应终端的至少一个始发地址以及相应连接的唯一标识符。此外，唯一标识符可以是连接端口、IP地址或连接端口和IP地址的组合。在某些实施例中，至少一个终端与服务组件相同。优选地，主机名称包含终端之一的本地地址或本地主机名称。本专利技术的实施例还涉及一种方法，包括：由与服务组件连接的服务器提供用于连接到服务组件的一个或多个终端的相应主机名称；响应于发送到主机名称之一的连接请求，由服务组件针对与主机名称对应的终端检查用于加密连接的证书是否被存档，其中，如果没有证书被存档，则服务组件从证书颁发机构请求证书，并且服务组件基于证书验证连接；以及如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由连接到服务组件的终端建立，则由服务组件将所述数据分组直接转发到终端而不经过服务器，并且如果所述连接尚未由与服务组件连接的终端建立，则将所述数据分组转发到服务器。一些实施例包括由服务组件使用路由表来确定与传入数据分组相关联的连接是否已经由终端之一建立，其中路由表包含相应终端的至少一个始发地址以及相应连接的唯一标识符。具体而言，唯一标识符可以是连接端口、IP地址或连接端口和IP地址的组合。优选地，主机名称包含终端之一的本地地址或本地主机名称。还有的实施例涉及具有命令的计算机可读介质，当所述命令由一个或多个处理器执行时，其执行根据上面列出的描述的方法。通过为本地网络中的终端提供主机名称来实现本专利技术步骤，因为这些主机名称适用于寻址本地网络之外的这些终端，从而也用于认证相应的连接。这与将数据分组路由到服务组件相结合是特别具有创造性的，因为该服务组件使用数据分组寻址到其的主机名称或其对应的IP地址来确定相应的连接是否被寻址到网络内部的终端，从而避免经由外部设备路由连接。如果在本地网络中的两个终端之间已经建立了连接，那么这是特别有利的，因为该连接一方面可以被认证，并且另一方面仅需要在网络内进行路由。因此，本专利技术减少了与路由相关的工作并加速了数据分组的递送，同时有利于经认证的安全连接。附图说明图1示出了根据本专利技术的实施例的系统。图2示出了根据本专利技术的实施例的第一方法。图3示出了根据本专利技术的实施例的第二方法。具体实施方式根据本专利技术的第一实施例，位于本地网络外部的客户端将连接请求定向到位于本地网络内部的终端。本地网络内部的设备不能轻松地从网络外部寻址，因为此类设备没有全局互联网地址(IP)，而只有本地地址(诸如192.168.0.3)或本地主机名称，这两者都是从网络外部不可见的。为了仍然能够寻址此类终端，由服务器(诸如本地网络外部的服务器)为本地网络内部的终端提供主机名称。IP协议允许将一个或多个主机名称分配给IP地址。主机名称是域名服务(DNS)名称，其可以由DNS服务器分配给IP地址，以经由路由将分组引导到其目的地。主机名称等同于服务器的全局有效IP地址，但是根据本专利技术，主机名称被映射到特定终端的本地IP地址或本地主机名称，并且在必要时数据分组被转发到该本地IP地址或本地主机名称。在下文中，术语“本地IP地址”也被理解为本地主机名称。例如，可以由用户与客户端上的Web浏览器的交互来触发连接请求，并且可以以HTTP请求的形式做出连接请求。可替代地，可以经由适合使用主机名称进行寻址的其它协议(诸如FTP或SSH)来做出连接请求。服务器连接到至少一个服务组件。在一个实施例中，服务组件是本地网络和位于本地网络外部的其它网络之间的公共网关；例如，互联网。但是，服务组件提供其它功能，这些功能将在下面说明。服务组件也可以是服务器的一部分或者可以是单独的单元，并且它可以被设计为硬件或软件。它与本地网络内部的一个或多个终端连接。本地网络中的终端可以被设计为具有Web服务器的计算机装备，或被设计为其它服务器，其根据客户端的连接请求的协议进行操作。这些终端与客户端之间的任何连接都是经由服务组件进行的。在这方面，服务组件还可以被配置为本地网络的代理或防火墙，经由该代理或防火墙，布置终端与本地网络外部的客户端之间的任何通信。根据一个特定实施例，服务器接收定向到分配给它的IP地址或者定向到分配给服务器或由服务器从网络外部提供的本文档来自技高网...

【技术保护点】
1.一种系统(100)，包括：客户端(110)；服务器(120)；连接到服务器(120)的服务组件(130)；以及连接到服务组件(130)的至少一个终端(140，150)；其中，服务器(120)为每个终端(140，150)提供主机名称，所述主机名称被分配给相应终端(140，150)和服务组件(130)；其中，服务器(120)被配置为通过将连接请求转发到服务组件(130)来响应从客户端(110)或终端(140，150)之一到主机名称之一的连接请求；其中，服务组件(130)被配置为通过针对与主机名称相关联的终端(140，150)检查用于加密连接的证书是否被存档来响应到主机名称之一的连接请求，其中如果没有证书被存档，则服务组件(130)从证书颁发机构请求证书，并且服务组件基于证书验证连接；以及其中，服务组件(130)还被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由终端(140，150)之一建立，则将所述数据分组直接转发到对应的终端(140，150)而不经过服务器(120)，并且如果所述连接尚未由终端(140，150)之一建立，则将所述数据分组转发到服务器(120)。...

【技术特征摘要】
2018.01.17 EP 18152157.61.一种系统(100)，包括：客户端(110)；服务器(120)；连接到服务器(120)的服务组件(130)；以及连接到服务组件(130)的至少一个终端(140，150)；其中，服务器(120)为每个终端(140，150)提供主机名称，所述主机名称被分配给相应终端(140，150)和服务组件(130)；其中，服务器(120)被配置为通过将连接请求转发到服务组件(130)来响应从客户端(110)或终端(140，150)之一到主机名称之一的连接请求；其中，服务组件(130)被配置为通过针对与主机名称相关联的终端(140，150)检查用于加密连接的证书是否被存档来响应到主机名称之一的连接请求，其中如果没有证书被存档，则服务组件(130)从证书颁发机构请求证书，并且服务组件基于证书验证连接；以及其中，服务组件(130)还被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由终端(140，150)之一建立，则将所述数据分组直接转发到对应的终端(140，150)而不经过服务器(120)，并且如果所述连接尚未由终端(140，150)之一建立，则将所述数据分组转发到服务器(120)。2.如权利要求1所述的系统(100)，其中，服务组件(130)还被配置为使用路由表来确定与传入数据分组相关联的连接是否已经由终端(140，150)之一建立，其中路由表包含相应终端(140，150)的至少一个始发地址以及相应连接的唯一标识符。3.如权利要求2所述的系统(100)，其中，所述唯一标识符是连接端口、IP地址或连接端口和IP地址的组合。4.如权利要求1至3中任一项所述的系统(100)，其中，终端(140，150)中的至少一个与服务组件相同。5.如权利要求1至4中任一项所述的系统(100)，其中，所述主机名称包含终端(140，150)之一的本地地址或本地主机名称。6.一种服务组件(130)，所述服务组件连接到服务器(120)并且被配置为通过针对连接到服务组件(130)的终端(140，150)检查用于加密连接的证书是否被存档来响应发送到由服务器(120)为终端(140，150)提供的主机名称的连接请求，其中，如果没有证书被存档，则服务组件(130)从证书颁发机构请求证书，并且服务组件基于证书验证连接；并且其中，服务组件(130)还被配置为：如果与寻址到主机名称或对应IP地址的传入数据分组相关联的连接已经由连接到服务组件(...

【专利技术属性】
技术研发人员：C·扎姆，
申请(专利权)人：ISE软件定制和电子有限公司，
类型：发明
国别省市：德国,DE