专利名称:用于限定vpn连接的wap xml扩展的制作方法
背景技术:
如今,设计了各种移动设备,可使用户保持当前信息更新。这些移动设备包括个人数字助理、无线电话、电子邮件设备和类似的设备。移动设备现在能够通过各种方法而连接到因特网,因此能够在因特网上交换信息。但是,除了因特网以外,这些移动设备也愿意在用户的企业网络上发送并接收信息。这可以包括电子邮件、电子邮件附件、网页内容等。
许多公司通过VPN(虚拟专用网络),从因特网提供对其企业网络的访问。使用VPN连接来建立从公用因特网连接进入专用/企业网络的安全通道。大多数公司允许这类安全连接从公用因特网连接进入其专用网。所以,与因特网连接的移动设备可以使用VPN连接来访问企业网络。但是,要从移动设备通过VPN来与用户的企业网络连接经常很麻烦。
由于大多数蜂窝网络通常提供各种方法来供移动设备要么通过缓慢的电路开关RAS连接、要么通过高速GPRS/1xRTT数据连接而连接到因特网,因此,需要一种方法,供移动设备能够通过公司的VPN来容易地连接到其企业网络。
发明内容
本发明针对自动地为移动设备提供VPN信息,以便用户可以使用其设备来自动地连接到其企业网络。基于XML的机制使用WAP(无线应用协议)XML结构,并对其进行扩展,以限定VPN连接并在空中或通过公司所提供的IT应用程序来自动地将它们供应到这些设备上。
图1示出示例的计算设备;图2示出示例的移动设备;图3是示例的VPN提供系统的功能框图;以及图4示出根据本发明的各个方面的、用于为设备提供VPN连接的过程。
具体实施例方式
简而言之,本发明针对自动地为移动设备供应VPN(虚拟专用网络)信息,以便用户可以使用其设备来自动地连接到其企业网络。基于XML的机制使用WAP(无线应用协议)XML结构,并对其进行扩展,以限定VPN连接并在空中或通过公司所提供的IT应用程序来自动地将它们供应到这些设备上。在阅读以下的详细说明之后,精通该技术领域的人将会明白本发明的这些和其他的方面。
说明性操作环境参照图1,用于执行本发明的示范系统包括计算设备(例如,计算设备100)。在非常基本的配置中,计算设备100通常包括至少一个处理单元102和系统存储器104。根据计算设备的确切的配置和类型,系统存储器104可能是易失的(例如,RAM)、非易失的(例如,ROM、快闪存储器等)或两者的某种组合。系统存储器104通常包括操作系统105、一个或多个程序模块106,并且可能包括程序数据107。在图1中,通过虚线108内的那些部件,展示了这个基本配置。
计算设备100可能具有额外的特点或功能性。例如,计算设备100也可能包括诸如磁盘、光盘或磁带等额外的数据存储设备(可移动的和/或不可移动的)。在图1中,通过可移动存储器109和不可移动的存储器110来展示这类额外的存储器。计算机存储介质可能包括易失和非易失的可移动和不可移动的介质,该介质用关于信息(例如,计算机可读指令、数据结构、程序模块或其他数据)存储的任何方法或技术来加以执行。系统存储器104、可移动存储器109和不可移动的存储器110都是计算机存储介质的例子。计算机存储介质包括(但不局限于)RAM、ROM、EEPROM、快闪存储器或其他存储技术、CD-ROM、数字通用光盘(DVD)或其他光学存储器、盒式磁带、磁带、磁盘存储器或其他磁性存储设备、或可以被用来存储所需信息并可以由计算设备100来存取的任何其他的介质。任何这类的计算机存储介质都可能是设备100的一部分。计算设备100也可能具有输入设备112(例如,键盘、鼠标、笔、语音输入设备、接触式输入设备等)。诸如显示器、扬声器、打印机等输出设备114也可能被包括在内。
计算设备100也可能包含通信连接116,通信连接116允许该设备与其他的计算设备118进行通信(例如,在网络上)。通信连接116是通信介质的一个例子。通信介质通常可能由计算机可读指令、数据结构、程序模块或调制数据信号(例如,载波或其他传送机制)中的其他数据来具体表现,它包括任何信息传递介质。术语“调制数据信号”意味着一种信号,其一个或多个特征按为该信号中的信息编码的这样一种方式来加以设置或更改。举例来讲(不作限制),通信介质包括有线介质(例如,有线网络或直线连接)和无线介质(例如,声音、RF、红外线和其他无线介质)。如这里所使用的术语“计算机可读介质”包括存储介质和通信介质。
参照图2,一种用于执行本发明的示范系统包括移动设备(例如,移动设备200)。移动设备200具有处理器260、存储器262、显示器228和扩充键盘232。存储器262一般包括易失存储器(例如,RAM)和非易失存储器(例如,ROM、快闪存储器或类似物)。移动设备200包括操作系统264(例如,来自微软公司的Windows CE操作系统或其他操作系统),它驻留在存储器262中,并在处理器260上执行。扩充键盘232可能是按钮数字拨号基座(例如,在典型的电话上)、多键键盘(例如,常规键盘)。显示器228可能是液晶显示器或移动设备中通常所使用的任何其他类型的显示器。显示器228可能是触敏的,它因而也将会用作输入设备。
一个或多个应用程序266被载入存储器262,并在操作系统264上运行。应用程序的例子包括电话拨号器程序、电子邮件程序、调度程序、PIM(个人信息管理)程序、文字处理程序、电子表格程序、因特网浏览器程序等。移动计算设备200也包括存储器262内的非易失存储器268。可以使用非易失存储器268来存储持久信息,如果移动计算设备200断电,该持久信息不应该丢失。应用程序266可以使用信息并将其存储在存储器268中,例如电子邮件应用程序所使用的电子邮件或其他消息、PIM所使用的联系信息、调度程序所使用的约会信息、文字处理程序所使用的文档以及类似物。
移动计算设备200具有电源270,该电源可以作为一节或多节电池来加以执行。电源270可能进一步包括外部电源(例如,为这些电池补充电力或为它们再充电的AC适配器或供电托架(powered docking cradle))。
移动计算设备200也可能包括外部通知机械装置(例如,LED(未示出))和音频接口274。这些设备可以直接被耦合到电源270,以便当被激活时,即使处理器260和其他部件可能停止运行来保存电池电力,它们也仍然在该通知机械装置所规定的时期内保持运行。使用音频接口274来为用户提供可听信号,并从用户那里接收可听信号。例如,音频接口274可能被耦合到用于提供可听输出的扬声器,并可能被耦合到用于接收可听输入的话筒,以促进电话交谈。
移动计算设备200也可能包含通信连接240,通信连接240允许该设备与其他的计算设备进行通信(例如,在无线网络上)。移动计算设备200也包括无线电中间层272,该无线电中间层执行传送和接收无线电频率通信的功能。无线电中间层272经由通信载波或服务供应者,来促进移动计算设备200与外界之间的无线连通性。在操作系统264的控制下,实行去往和来自无线电中间层272的传输。换言之,由无线电中间层272和通信连接240接收的通信可以经由操作系统264而被传播到应用程序266,反之亦然。
说明性VPN系统图3是根据本发明的各个方面的、一般展示VPN供应系统300的功能框图。服务器310是计算设备(例如,以上结合图1而描述的那一个计算设备),移动设备320是移动计算设备(例如,以上结合图2而描述的那一个移动计算设备)。
在本发明的一个实施例中,服务器310被配置为企业网络上的服务器,从而创建与企业网络340的安全连接。WAN的例子是在许多网关、路由器、交换器、网络集线器和类似物上连接无数计算机的因特网(350)。LAN的例子是被用来连接一个办公室内的各台计算机的网络。WAN可以连接多个LAN。
几个移动设备可能与一位用户关联。例如,该用户可能具有个人数字助理、便携式电话、电子邮件设备和类似的设备。在一个实施例中,服务器310保持具有VPN连接上的数据的VPN供应数据库。
典型的移动设备将有能力使用多个连接路径来连接到因特网或企业网络。VPN连接允许使用该设备的关键连接路径之一——从因特网进入企业网络。规定一种基于XML的机制,该机制使用WAP XML结构,并对其进行扩展,以限定这类VPN连接并在空中或通过公司所提供的IT应用程序或任何其他的方法(例如,通过基于SIM卡的供应、Bluetooth等)来自动地将它们供应到这些设备上。
如图3内所示,移动设备能够连接到因特网350、WAP web站点378、MMSweb站点366,并能够连接到企业网络340。移动设备320使用公司RAS 354和WiFi 352来连接到团体web站点340。移动设备320通过RAS2 358、GPRS2356,并通过代理380而连接到因特网350。移动设备320通过GPRS 1(360)、RAS 1(362)和SMSC 364而连接到WAP web站点378。移动设备320经由MMS网关368并通过GPRS 3(370)而连接到MMS web站点366。
从企业网络340到WAP web站点,具有通过SOCKS代理和HTTP代理而从公司RAS 354到公司WAP网关并且到因特网的路径。从因特网到该企业网络,可使用VPN。
使用VPN(虚拟专用网络)连接来建立从公用因特网(350)连接进入专用/企业网络(340)的安全通道。大多数公司允许安全连接从公用因特网连接进入其专用网,并且,由于蜂窝网络通常提供各种方法供移动设备要么通过缓慢的电路开关RAS连接、要么通过高速GPRS/1xRTT数据连接来连接到因特网,因此,为这些移动设备(320)自动供应VPN信息是有用的,以便用户可以使用其设备来自动地连接到其企业网络。
通过允许经由XML的这种供应,可为操作者和公司提供一种众所周知的标准化机制,以便利用关于VPN连接的设置来引导这些设备,也定期对它们进行更新。标准WAP XML结构被加以扩展,以支持VPN连接设置。
基于XML的供应被用作用于利用VPN连接来配置设备的方法。使VPN限定成为WAP XML模式的一部分,以允许VPN连接的供应;并且,使用独立的特征(或扩展WAP XML中的已被限定的特征)来限定VPN。
通过使用VPN连接的基于XML的供应,可允许操作者或公司除了规则数据和代理连接以外还利用VPN连通性来引导该设备。除了提供用于供应VPN设置的众所周知的标准化机制以外,使用XML也可以允许定期对这些设置进行容易的更新。可以通过各种方法来传递XML信息。
WAP XML已经限定XML模式,以供应蜂窝数据连接(例如,GSM-CSD、GSM-GPRS)、代理连接和访问特征。这些共同允许为该设备供应各种连通性设置以及特定用途连接参数选择。通过使VPN限定成为WAP XML的一部分,可使WAP XML标准更加完整;同时,通过使用WAP所限定的现存的特征/参数结构来允许VPN供应,可使设备能够更容易地执行所要求的额外的XML。
根据本发明的两个实施例,有两种方法可限定WAP XML内的VPN——要么经由独立的特征,要么通过扩展已被限定的特征。
使用独立的特征是使VPN限定成为WAP XML的一部分的最直截了当的方法。可以使用被命名为VPNDEF的独立的特征来规定与VPN连接有关的所有这些设置特征VPNID*<pre listing-type="program-listing"><![CDATA[ { parmVPNID //Used to uniquely identify //the VPN connection parmNAME//Name of the VPN connection parmVPN-ADDRESS //Address of the VPN server characteristicVPNAUTHINFO* //Sub-characteristic to define //security credentials { parmAUTHTYPE//Authentication type- ″PPTP″ //or″IPSEC″ parmAUTHIPSEC? //IPSec type-″Cert″or ″PSK″ //(Pre-shared key).Valid only //for AUTHTYPE=″IPSEC″. parmAUTHIPSEC_CERT?//IPSec Cert parmAUTHIPSEC_PSK? //IPSec Pre-shared key parmAUTHNAME? //User name parmAUTHSECRET?//Password } parmTO-NAPID* //NAPIDs that can use this VPN //connection }]]></pre>以下的例子展示了如何可以使用VPNDEF特征来限定VPN连接的设置
<characteristic type=″VPNDEF″>
<parm name=″VPN-ID″value=″VPN1″/>
<parm name=″NAME″value=″MYCOMPANY_VPN1″/>
<parm name=″VPN-ADDRESS″value=″corp-vpn.mycompany.com″/>
<characteristic type=″VPNAUTHINFO″>
<parm name=″AUTHTYPE″value=″IPSEC″/>
<parm name=″AUTHIPSEC″value=″CERT″/>
<parm name=″AUTHNAME″value=″mydomain\myuser″/>
<parm name=″AUTHSECRET″value=″mypassword″/>
</characteristic>
<parm name=″TO-NAPID″value=″GPRS1″/>
<parm name=″TO-NAPID″value=″WiFi2″/>
</characteristic>
另一个选项是扩展已被限定的特征(例如,PXLOGICAL或NAPDEF),以支持VPN限定。根据这个实施例,新的“参数”限定在那些特征内被加以限定,以支持VPN特定设置。在PXLOGICAL或NAPDEF内被限定的设置中的许多设置将不适用于VPN的情况,所以,推荐早先略述的独立的特征途径。
图4展示了根据本发明的各个方面的、用于为设备供应VPN连接的过程。
在开始方框后,该过程流动到方框410——在那里,获得VPN供应参数。这些参数可以用许多不同的方法来获得。例如,这些参数可以被存储在与移动设备关联的SIM卡上,或者,这些参数可以由程序来转移到该设备。移动到方框420,这些参数被自动并入到该设备上。利用这种方法,用户不必手动地设置与VPN连接关联的所有这些参数。流动到方框430,可以确定该设备可用来连接到VPN的各种网络连接。这一点可以用许多不同的方法来加以实现。例如,该设备可能已经知道这些连接;或者,由于该设备获悉新的连接,因此,可以将这些连接并入该设备。移动到方框440,可以根据这些被确定的网络连接来更新被用来连接到VPN的网络连接。然后,该过程移动到结束方框,并返回到“处理其他动作”。
以上的规范、例子和数据完整地描述了本发明的组成成分的制造和使用。由于在不脱离本发明的精神和范围的前提下,可以制定本发明的许多实施例,因此,本发明驻留在以下所附加的权利要求书中。
权利要求
1.一种限定移动设备的VPN连接的方法,其特征在于,它包含创建VPN限定;将所述VPN限定并入WAP模式;以及使用所述WAP模式来为所述移动设备提供VPN连接,所述WAP模式创建从所述移动设备到网络的安全通道。
2.如权利要求1所述的方法,其特征在于,所述WAP模式进一步包括使用XML模式。
3.如权利要求1所述的方法,其特征在于,向所述移动设备提供所述VPN连接是自动发生的。
4.如权利要求1所述的方法,其特征在于,向所述移动设备提供所述VPN连接进一步包括用所述VPN连接来装载SIM卡。
5.如权利要求2所述的方法,其特征在于,将所述VPN限定并入所述WAP模式进一步包括扩展WAP XML结构,以限定所述VPN连接。
6.如权利要求5所述的方法,其特征在于,向所述移动设备的提供进一步包括使用无线连接来自动地向该移动设备进行提供。
7.如权利要求6所述的方法,其特征在于,向该移动设备供应进一步包括使用应用程序来向所述移动设备进行提供。
8.如权利要求2所述的方法,其特征在于,创建所述VPN限定进一步包括创建与所述WAP XML模式关联的独立的特征。
9.如权利要求2所述的方法,其特征在于,创建所述VPN限定进一步包括扩展与所述WAP XML模式关联的已有特征。
10.一种用于提供与移动设备关联的VPN信息的系统,其特征在于,它包含服务器,配置成保持涉及所述VPN信息的数据,其中,所述VPN信息被并入WAP XML模式;以及移动设备,它与所述服务器耦合,并配置成接收所述VPN信息,使得所述移动设备通过安全通道与网络进行通信。
11.如权利要求10所述的系统,其特征在于,利用所述VPN信息来引导所述移动设备。
12.如权利要求11所述的系统,其特征在于,所述移动设备进一步包括被提供有所述VPN信息的SIM卡。
13.如权利要求10所述的系统,其特征在于,所述服务器进一步被配置成将所述VPN信息传递到所述移动设备。
14.如权利要求11所述的系统,其特征在于,所述移动设备被进一步配置成根据确定的网络连接,来接收更新的VPN信息。
15.如权利要求10所述的系统,其特征在于,被并入所述WAP XML模式的所述VPN信息进一步包括扩展WAP XML结构,以限定所述VPN信息。
16.如权利要求10所述的方法,其特征在于,被并入所述WAP XML模式的所述VPN信息进一步包括创建与所述WAP XML模式关联的独立的特征。
17.一种用于自动为移动设备提供VPN信息的计算机可读介质,其特征在于,它包含创建VPN限定;将所述VPN限定并入WAP XML模式;以及使用所述WAP XML模式来为所述移动设备提供VPN连接,所述WAPXML模式创建从所述移动设备到网络的安全通道。
18.如权利要求17所述的计算机可读介质,其特征在于,为所述移动设备提供所述VPN连接进一步包括利用所述VPN连接来装载SIM卡。
19.如权利要求17所述的计算机可读介质,其特征在于,创建所述VPN限定进一步包括创建与所述WAP XML模式关联的独立的特征。
20.如权利要求17所述的计算机可读介质,其特征在于,创建所述VPN限定进一步包括扩展与所述WAP XML模式关联的已有的特征。
全文摘要
描述了一种方法和系统,用于自动地为移动设备供应VPN(虚拟专用网络)信息,以便用户可以使用其设备来自动地连接到其企业网络。基于XML的机制使用WAP(无线应用协议)XML结构,并对其进行扩展,以限定VPN连接并在空中或通过公司所提供的IT应用程序来自动地将它们供应到这些设备上。
文档编号G06F15/00GK1638349SQ20041007698
公开日2005年7月13日 申请日期2004年8月30日 优先权日2003年8月29日
发明者S·纳塔拉加恩 申请人:微软公司