Способ формирования защищенного соединения в сетевой компьютерной системе

Изобретение относится к способам обеспечения безопасности в сетях передачи данных. Технический результат заключается в повышении защищенности соединения между компьютерами-клиентами. Указанный результат достигается за счет применения способа формирования защищенного соединения в сетевой компьютерной системе. Система включает прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер. Компьютеры-клиенты выполнены с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу. Посылают запрос из первого компьютера-клиента в прикладной сервер для осуществления взаимодействия со вторым компьютером-клиентом; анализируют в туннелирующем сервере ответ из прикладного сервера первому компьютеру-клиенту; если в ответе присутствует сетевой адрес второго компьютера-клиента, то передают из туннелирующего сервера первому компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом; формируют защищенное соединение между первым компьютером-клиентом и вторым компьютером-клиентом. 2 ил.

 

Область техники, к которой относится изобретение

Предлагаемое изобретение относится к способам обеспечения безопасности в сетях передачи данных и, в частности, к способам организации защищенного канала передачи по требованию.

Уровень техники

Развитие сетей передачи данных привело к созданию многочисленных прикладных приложений, использующих сеть для взаимодействия. Актуальной задачей является обеспечение безопасности такого сетевого взаимодействия. Для обеспечения безопасности в практике используются различные решения.

Разработаны отдельные протоколы, обеспечивающие безопасность, например, архитектура безопасности IPsec [1, 2] обеспечивающие криптографическую защиту IP протокола.

В архитектуре IPsec предусмотрен способ организации защищенного канала передачи по требованию. Способ включает в себя предварительное определение диапазонов IP-адресов, взаимодействие по которым должно происходить по защищенному каналу. При начале взаимодействия по адресу из диапазона происходит организация защищенного канала. Защищенный канал при отсутствии активности удаляется.

Недостатком способа является необходимость заранее знать диапазоны IP-адресов, которые подлежат защите. Это часто невозможно, особенно в больших сетях.

Известен также способ маршрутизации пакетов [3], реализуемый в сетевой компьютерной системе.

Сетевая компьютерная система включает связанные через сеть центральный концентратор и компьютеры-клиенты, причем компьютеры-клиенты, в общем случае, могут входить в состав других подсетей, имеющих локальные концентраторы.

Способ включает следующие действия:

- получают пакет в центральном концентраторе, причем пакет, полученный от 1-го компьютера-клиента, предназначен для передачи 2-му компьютеру-клиенту;

- в ответ на получение пакета в центральном концентраторе направляют запрос 2-му компьютеру-клиенту, чтобы передать в центральный концентратор информацию о множестве сетей, с которыми связан 2-ой компьютер-клиент;

- на основе информации, переданной 2-ым компьютером-клиентом о множестве сетей, с которыми связан 2-ой компьютер-клиент, находят путь для пакета, причем этот путь определяет предпочтительный маршрут, который проходит через центральный концентратор от 1-го компьютера-клиента ко 2-му компьютеру-клиенту;

- отправляют перенаправленное сообщение к 1-му компьютеру-клиенту, причем перенаправленное сообщение отправляет пакет по найденному пути;

причем нахождение пути включает:

- нахождение множества маршрутов, проходящих от 1-го компьютера-клиента ко 2-му компьютеру-клиенту;

- выбор предпочтительного маршрута из множества маршрутов, причем предпочтительный маршрут является оптимальным путем от 1-го компьютера-клиента ко 2-му компьютеру-клиенту и определяется из информации, сохраняемой в центральном концентраторе, а информация связана с 1-ым компьютером-клиентом и 2-ым компьютером-клиентом;

причем отправка перенаправленного сообщения включает:

- определение соединения, через которое центральный концентратор получил пакет от 1-го компьютера-клиента;

- определение адреса источника, связанного с пакетом;

- передача в адрес источника, через определенное соединение, перенаправленного сообщения,

- перенаправление пакета по предпочтительному маршруту.

Способ также может включать создание для найденного пути туннеля, который обеспечивается в составе центрального концентратора.

В известном способе не требуется, чтобы в концентратор каждой подсети передавались сведения обо всех маршрутах (диапазоны IP-адресов, подлежащие защите), но необходимо, чтобы концентраторы всех подсетей использовали центральный концентратор в качестве маршрута по умолчанию.

Необходимость использования центрального концентратора в качестве маршрута по умолчанию является недостатком известного способа. Это создает повышенную избыточную нагрузку на центральный концентратор и на сеть в целом, особенно при шифровании канала между концентраторами.

Описанный способ принимается за прототип.

Известный способ относится к большим сетям, в общем случае, включающим множество подсетей. Вместе с тем, довольно часто встречается более простая схема работы сетевого узла, оказывающего различные услуги пользователям и использующего прикладные приложения.

Обычно в такой схеме используется центральный сервер, на котором установлено прикладное приложение (прикладной сервер), а компьютеры-клиенты взаимодействуют с прикладным сервером, посылая запросы и получая ответы, с использованием определенного прикладного протокола, причем типичной потребностью является формирование защищенных соединений непосредственно между компьютерами-клиентами, без использования прикладного сервера.

В качестве характерного примера можно привести работу прикладного сервера, обеспечивающего телефонную цифровую связь между абонентами, подключенными к сети передачи данных, например, внутри одной компании. Обеспечение соединения здесь возможно между абонентами через центральный сервер, но более предпочтительно устанавливать соединение непосредственно между абонентами.

Предлагаемый способ предназначен для использования именно в такой, более простой схеме. При этом, в отличие от прототипа, оптимизировать путь между компьютерами-клиентами, в общем случае, нет необходимости.

Раскрытие изобретения

Техническим результатом является снижение нагрузки сети в целом, прикладного и туннелирующего серверов.

Основная идея заключается в том, чтобы при начале сетевого обмена через прикладной протокол формировать защищенный канал связи.

Для этого предлагается способ формирования защищенного соединения в сетевой компьютерной системе,

причем система включает

- прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер,

- туннелирующий сервер, обеспечивающий защищенное соединение для компьютеров-клиентов с прикладным сервером,

- компьютеры-клиенты, выполненные с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу,

способ заключается в том, что

- посылают запрос из 1-го компьютера-клиента в прикладной сервер для осуществления взаимодействия со 2-м компьютером-клиентом;

- получают запрос от 1-го компьютера-клиента в прикладном сервере;

- посылают ответ на запрос из прикладного сервера 1-му компьютеру-клиенту, в котором содержится сетевой адрес 2-го компьютера-клиента;

- анализируют в туннелирующем сервере ответ из прикладного сервера 1-му компьютеру-клиенту;

- если в ответе присутствует сетевой адрес 2-го компьютера-клиента, то передают из туннелирующего сервера 1-му компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом;

- получают в 1-м компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию для установки защищенного соединения со 2-м компьютером-клиентом;

- формируют защищенное соединение между 1-м компьютером-клиентом и 2-м компьютером-клиентом.

Способ предполагает наличие прикладного сервера, например это может быть служба имен, сервер IP-телефонии или сервер видеоконференций.

Доступ к прикладному серверу осуществляется через туннелирующий сервер. Туннелирующий сервер осуществляет пересылку сетевых пакетов между прикладным сервером и компьютерами-клиентами в защищенном виде.

Компьютер-клиент - это потребитель услуг прикладного сервера. Компьютер-клиент подключается к прикладному серверу через туннелирующий сервер, причем сетевой обмен между компьютером-клиентом и прикладным сервером на участке от клиента до туннелирующего сервера осуществляется в защищенном формате, прозрачно для прикладного протокола (фиг. 1).

Защищенный канал между клиентом и туннелирующим сервером, например, можно построить с помощью IPsec.

Способ позволяет инициировать защищенный канал между клиентами в момент, когда инициируется прямое взаимодействие по прикладному протоколу. Примерами могут служить IP-телефония или видеоконференции: в момент совершения звонка они взаимодействуют с сервером прикладного протокола, далее взаимодействие идет напрямую между клиентами.

При инициировании соединения и посылке запроса из 1-го компьютера-клиента в прикладной сервер, для последующего осуществления взаимодействия со 2-м компьютером-клиентом, в состав запроса 1-й компьютер-клиента включаются сведения о 2-м компьютере-клиенте, сетевой адрес которого предполагается получить. В качестве таких сведений, в зависимости от вида прикладных услуг, может быть использован, например, номер телефона, идентификатор (имя) абонента и др.

При получении запроса из 1-го компьютера-клиента прикладной сервер на основе сведений запроса и имеющейся у него информации обо всех компьютерах-клиентах определяет сетевой адрес 2-го компьютера-клиента и высылает ответ, содержащий сетевой адрес 2-го компьютера-клиента.

Далее, в отличие от прототипа, нет необходимости маршрутизировать весь трафик на туннелирующий сервер, достаточно, чтобы трафик до прикладного сервера всегда шел через туннелирующий сервер.

Краткое описание чертежей

На фиг. 1 показана общая схема сетевой компьютерной системы для реализации предложенного способа.

На фиг. 2 показана схема взаимодействия в сетевой компьютерной системе для реализации предложенного способа.

Осуществление изобретения

Рассмотрим пример реализации предложенного способа в сетевой компьютерной системе.

Наиболее общий случай предусматривает, что прикладной и туннелирующий серверы территориально расположены в одном месте, компьютеры-клиенты - в разных местах, а в качестве сети используется сеть Интернет.

Прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер, представляет собой компьютер, на котором установлено общесистемное, серверное и прикладное программное обеспечение (ПО) и который связан через сетевой интерфейс с туннелирующим сервером. Прикладное ПО позволяет принимать и обрабатывать запросы от компьютеров-клиентов и, таким образом, оказывать услуги, например, видеоконференцсвязи.

Обычными предварительными условиями работы прикладного сервера является формирование внутренней базы данных, в которой после стандартной процедуры регистрации клиентов находится минимально необходимая информация о клиентах (как правило, это имя абонента, пароль доступа к услуге, данные об оплате услуги, актуальный сетевой адрес компьютера-клиента в момент входа в систему, тип протокола, факт соединений в текущий момент и пр.).

В качестве туннелирующего сервера также используется компьютер, на котором установлено общесистемное, серверное и прикладное ПО и который связан через сетевой интерфейс с прикладным сервером и сетью Интернет. Прикладное ПО туннелирующего сервера позволяет принимать и обрабатывать запросы от прикладного сервера и компьютеров-клиентов и обеспечивать защищенное соединение (туннель) между заданными адресами в сети.

Каждый компьютер-клиент представляет собой компьютер, на котором установлено общесистемное и прикладное ПО и который связан через сетевой интерфейс с сетью Интернет. Прикладное ПО компьютера-клиента позволяет посылать запросы прикладному серверу и принимать от него ответы, а также обеспечивать реализацию прикладных услуг пользователям и устанавливать защищенные соединения с другими компьютерами-клиентами.

При реализации предложенного способа, из 1-го компьютера-клиента, заранее зарегистрированного в прикладном сервере, начавшего активную сессию и предполагающего установить защищенное соединение со 2-м компьютером-клиентом, посылают запрос в прикладной сервер для осуществления взаимодействия со 2-м компьютером-клиентом, причем запрос содержит сведения о 2-м компьютере-клиенте (например, имя абонента, использующего 2-й компьютер-клиент в системе).

В прикладном сервере получают запрос от 1-го компьютера-клиента, выделяют в запросе имя абонента, определяют, что искомое имя зарегистрировано в базе данных прикладного сервера, причем в данный момент компьютер-клиент с таким именем также начал активную сессию и имеет определенный сетевой адрес, и посылают 1-му компьютеру-клиенту ответ на запрос из прикладного сервера, в котором содержится актуальный в данный момент сетевой адрес 2-го компьютера-клиента.

Ответ на запрос из прикладного сервера проходит через туннелирующий сервер, в котором анализируется ответ из прикладного сервера 1-му компьютеру-клиенту. Анализ состоит в определении факта ответа на запрос 1-му компьютеру-клиенту и наличии сетевого адреса 2-го компьютера-клиента.

Если в ответе присутствует сетевой адрес 2-го компьютера-клиента, то передают из туннелирующего сервера 1-му компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом.

Затем получают в 1-м компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию, необходимую для установки защищенного соединения со 2-м компьютером-клиентом.

После этого формируют защищенное соединение между 1-м компьютером-клиентом и 2-м компьютером-клиентом с помощью прикладного ПО двух компьютеров-клиентов.

Далее весь трафик защищенного соединения между двумя компьютерами-клиентами идет напрямую между двумя сетевыми адресами, и ресурсы прикладного и туннелирующего сервера не используются, что снижает нагрузку на сеть в целом, на прикладной и туннелирующий серверы.

Все действия способа выполняются в автоматическом режиме с помощью соответствующего прикладного ПО, которое на основе знания содержания выполняемых действий и особенностей известных прикладных протоколов может быть разработано специалистом по программированию (программистом) и установлено на компьютерах системы.

Источники информации

1. RFC 4302 - Идентификационный заголовок IP, 2005, материал по адресу http://rfc2.ru/4302.rfc

2. RFC 4303 - Инкапсуляция защищенных данных IP (ESP), материал по адресу http://rfc2.ru/4303.rfc

3. Патент США №8499095, приоритет от 25.05.2006 г.

Способ формирования защищенного соединения в сетевой компьютерной системе, причем система включает
прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер,
туннелирующий сервер, обеспечивающий защищенное соединение для компьютеров-клиентов с прикладным сервером,
компьютеры-клиенты, выполненные с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу,
способ, заключающийся в том, что:
посылают запрос из первого компьютера-клиента в прикладной сервер для осуществления взаимодействия со вторым компьютером-клиентом;
получают запрос от первого компьютера-клиента в прикладном сервере;
посылают ответ на запрос из прикладного сервера первому компьютеру-клиенту, в котором содержится сетевой адрес второго компьютера-клиента;
анализируют в туннелирующем сервере ответ из прикладного сервера первому компьютеру-клиенту;
если в ответе присутствует сетевой адрес второго компьютера-клиента, то передают из туннелирующего сервера первому компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом;
получают в первом компьютере-клиенте ответ на запрос из туннелирующего сервера, включающий сообщение прикладного протокола и информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом;
формируют защищенное соединение между первым компьютером-клиентом и вторым компьютером-клиентом.



 

Похожие патенты:

Изобретение относится к интеллектуальному управлению устройством. Технический результат - простое, удобное и более быстрое управление интеллектуальным устройством за счет использования переносного самонастраиваемого управляющего устройства посредством инициирования на переносном устройстве события ввода на основе информации параметров, включенной в графический интерфейс взаимодействия, отображаемый на данном устройстве.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности вычислительного устройства.

Изобретение относится к технологиям мгновенного обмена сообщениями. Техническим результатом является осуществление автоматизированного приглашения пользователей в группу.

Изобретение относится к области автоматизированных систем управления вооруженными силами. Технический результат при осуществлении изобретения - обеспечение оперативности и непрерывности управления боевыми средствами в системе распределенного управления операционными пунктами в условиях недостаточной пропускной способности каналов связи между ними.

Изобретение относится к способам, устройству и системе для файловой системы данных, доступной для web-браузера, на программируемом логическом контроллере (PLC). Технический результат заключается в снижении временных и операционных затрат и достигается за счет использования PLC, содержащего модуль контроллера; модуль файловой системы, связанный с модулем контроллера и адаптированный, чтобы постоянно хранить архивные файлы данных; модуль памяти.

Изобретение относится к Интернет-технологиям. Технический результат заключается в повышении скорости обработки данных в браузере.

Изобретение относится к способу и шлюзовому компьютеру для интеграции множества транзакционных услуг. Технический результат заключается в повышении эффективности проведения транзакций за счет преобразования данных в форматы данных для обмена данными с поставщиками и эквайерами.

Изобретение относится к системам, обеспечивающим возможность осуществлять доступ к распределенной файловой системе для локального кэширования метаданных каталога.

Изобретение относится к технологии управления шаблонами активации. Технический результат - эффективное управление шаблонами активации.

Изобретение относится к способу и устройству для реализации интерфейсов, предназначенных для непосредственного управления одноранговыми сетевыми узлами. Технический результат - управление выделенными сетевыми соединениями между клиентскими сетями и сетями поставщиков услуг.

Изобретение относится к структуре распределенного приложения, которая разбивает вычислительные задачи или рабочие нагрузки для прикладной программы между сервером и клиентом. Технический результат заключается в обеспечении шаблонов и возможности изменения компоновки существующего GUI-независимого объекта для применения логического преобразования для создания единственного экрана интерфейса GUI с новой компоновкой. Предложены методики автоматизированного преобразования объекта интерфейса пользователя и генерации кода. Аппаратура может содержать логическое устройство, выполненное с возможностью исполнения серверного приложения. Серверное приложение может содержать, наряду с другими элементами, интерпретирующий модуль исполняющей среды для формирования объекта, независимого от графического интерфейса пользователя, (GUI-независимого объекта), по набору полученных свойств пользовательского события. GUI-независимый объект подвергают обработке шаблона для создания нового GUI-независимого объекта, который может быть возвращен в клиентское приложение для визуализации. 3 н. и 7 з.п. ф-лы, 16 ил.

Изобретение относится к области бортовой контрольно-измерительной и вычислительной техники космических аппаратов (КА). Техническим результатом является возможность создания контрольно-диагностических средств обеспечения служебных и целевых систем КА на базе единого реконфигурируемого вычислительного поля (РВП) с использованием схемы встроенного контроля бортовых систем КА. Он достигается тем, что все алгоритмы контроля и диагностики, выполняющие обработку контрольно-диагностической информации и формирование тестов, реализуются полностью на базе выделенных фрагментов единого РВП. Алгоритмы контроля и диагностики бортовых систем КА, реализованные аппаратным образом на базе единого РВП, в процессе анализа и идентификации технического состояния бортовых систем КА могут глубоким образом перестраиваться, что совместно с использованием схемы встроенного контроля позволяет локализовать неисправности и отказы высокоинтегрированных бортовых подсистем КА с заданной степенью точности. 8 з.п. ф-лы, 3 ил.

Изобретение относится к области передачи данных. Техническим результатом является снижение времязатрат при установлении и выполнении требующихся видов связи. Способ передачи файла посредством использования окна виджета включает в себя этапы перемещения файла, выбранного на экране компьютера, в окно исполнения приложения, отображения списка выбора способа передачи, передачи выбранного файла, обнаружение второго мобильного терминала, используя информацию, хранящуюся в первом мобильном терминале. Список выбора содержит первый вариант выбора для передачи файла на первый мобильный терминал и второй вариант выбора для передачи файла во второй мобильный терминал через первый мобильный терминал. 2 н. и 13 з.п. ф-лы, 19 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных в сети. Способ содержит этапы, на которых: принимают от инструмента управления приложением запрос инструмента управления на доступ к данным управления, связанным с работающими экземплярами приложения в одном или более центрах данных, при этом прием запроса инструмента управления содержит прием запроса от инструмента наблюдения за производительностью на доступ к информации статуса, описывающей функционирование одного или более экземпляров приложения; идентифицируют один или более типов данных управления, которые удовлетворяют принятому запросу; определяют распределение приложения, которое включает в себя два или более экземпляров приложения; собирают данные управления, чтобы удовлетворить запрос, от каждого распределенного экземпляра приложения. 2 н. и 12 з.п. ф-лы, 4 ил.

Изобретение относится к компьютерным системам. Технический результат заключается в обеспечении возможности инициации снимка тома на одном узле, что заставляет все приложения в кластере, которые используют тот том, сохранить данные в томе перед созданием снимка. Технический результат достигается за счет уведомления о команде замораживания в службу кластеров на каждом из упомянутого, по меньшей мере, одного другого узла, причем данное уведомление предписывает службе кластеров на каждом из этого, по меньшей мере, одного другого узла инициировать процесс резервного копирования общего тома. 2 н. и 13 з.п. ф-лы, 6 ил.

Изобретение относится к области сетевых технологий и, в частности, к способу и устройству совместного использования ресурсов сети. Технический результат заключается в обеспечении снижения объема используемой памяти для получения совместно используемых ресурсов сети. Технический результат достигается за счет осуществления доступа к заранее заданному сервисному адресу для совместного использования ресурсов через браузер, при этом сервисный адрес направляет на порт веб-сервиса, обеспечивающего ресурс устройства, который ранее был назначен для совместного использования ресурсов, в результате чего обеспечивающее ресурс устройство возвращает список совместно используемых ресурсов запрашивающему ресурс устройству через порт веб-сервиса; принятия списка совместно используемых ресурсов, отправленного обеспечивающим ресурс устройством; отображения списка совместно используемых ресурсов в браузере, чтобы пользователь мог выбрать целевой ресурс для доступа; и осуществления доступа к целевому ресурсу в соответствии с информацией о целевом ресурсе. 6 н. и 12 з.п. ф-лы, 10 ил.

Изобретение относится к системам управления базами данных (СУБД). Технический результат заключается в уменьшение времени на обмен информацией за счет обработки в СУБД с помощью сводной базы данных (БД) запросов на обновления в удаленных БД распределенной информационной системы и за счет обеспечения возможности передавать пользователям изменения в БД в режиме реального времени. Предложен способ, в котором в распределенной информационной системе формируют сводную БД, хранящую все изменения удаленных БД, при этом эти изменения записываются со своими метками по уровню доступа и хранятся во внутренней таблице со своими идентификаторами; как только в сводной БД появляется новая запись, для пользователей, работающих в режиме реального времени, формируют и передают сообщение об изменениях в удаленных БД распределенной информационной системы; записывают служебную информацию в файл журнала о пришедшем запросе; сравнивают служебную информацию пришедшего запроса с остальными записями файла журнала; если есть полное совпадение служебной информации пришедшего запроса с уже имеющейся в файле журнала служебной информацией, то запрос характеризуется как запрос на обновление, и в этом случае считывают данные для ответа ядру СУБД из сводной БД. 2 ил.

Изобретение относится к области компьютерных технологий. Технический результат заключается в обеспечении определения режима управления страницей совместно используемой виртуальной памяти, с учетом расширения рабочих характеристик доступа в совместно используемой виртуальной памяти. Технический результат достигается за счет отслеживания характеристики доступа для доступа, выполняемого процессом для страницы совместно используемой виртуальной памяти, и изменения режима управления страницей совместно используемой виртуальной памяти на режим совместно используемой физической памяти, если отслеживаемые характеристики доступа удовлетворяют первому установленному условию, а текущий режим управления страницей совместно используемой виртуальной памяти, представляет собой режим распределенной совместно используемой памяти, при этом первое установленное условие содержит, что частота доступа меньше или равна первому пороговому значению, режим доступа представляет собой режим для считывания-записи или режим для считывания, частота доступа для считывания больше третьего порогового значения, или доля доступа для считывания больше четвертого порогового значения. 2 н. и 12 з.п. ф-лы, 10 ил.

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности. Техническим результатом является защита узлов сети на основе анализа заголовка и информационной части сообщения. Система защиты компьютерных сетей от несанкционированного доступа представляет собой межсетевой фильтр, включаемый между двумя компьютерными сетями таким образом, что весь обмен информацией между указанными сетями ограничивается с помощью правил фильтрации, при этом межсетевой фильтр содержит по меньшей мере два сетевых интерфейса для обмена данными между клиентами первой компьютерной сети и второй компьютерной сети из двух вышеуказанных компьютерных сетей, при этом она дополнительно содержит узел обработки трафика, включающий устройство управления, обеспечивающее ввод правил фильтрации трафика и хранение информации о правилах фильтрации, устройство анализа трафика, обеспечивающее проверку соответствия поступающей информации правилам фильтрации, а также коммутирующее устройство, через которое указанные сетевые интерфейсы соединены между собой и которое обеспечивает прохождение разрешенной правилами фильтрации информации между сетевыми интерфейсами и блокировку неразрешенной правилами фильтрации информации, при этом правила фильтрации запрещают транзитную передачу любых пакетов между указанными сетевыми интерфейсами кроме тех, которые имеют разрешенные признаки и параметры адресации в своих заголовках, форму информационной части пакета, соответствующую шаблону, хранящемуся в памяти межсетевого фильтра, а также параметры запроса или ответа, соответствующие множеству разрешенных значений, хранящихся в памяти межсетевого фильтра. 1 з.п. ф-лы, 1 ил.

Изобретение относится к области клиент-серверной архитектуры. Техническим результатом является клиент-серверная архитектура, подходящая для выполнения различных типов прикладных программ. Компьютерно-реализуемый способ функционирования клиентского пользовательского интерфейса в клиент-серверной архитектуре содержит этапы, на которых: принимают директиву управления, воздействующую на элемент пользовательского интерфейса в клиентском пользовательском интерфейсе, отображаемом на клиентском устройстве, при этом директива управления определяется набором свойств пользовательского события; отправляют в серверное приложение, исполняющееся на сервере, по меньшей мере одно свойство пользовательского события из упомянутого набора свойств пользовательского события, соответствующее изменению в формате представления клиентского пользовательского интерфейса, при этом серверное приложение выполнено с возможностью исполнять скрипты в качестве реакции на это по меньшей мере одно свойство пользовательского события; принимают от серверного приложения в качестве реакции на упомянутую отправку по меньшей мере одного свойства пользовательского события независимый от графического пользовательского интерфейса (GUI) объект, который имеет обновленные свойства пользовательского события и выполнен с возможностью изменять формат представления клиентского пользовательского интерфейса; и обновляют отображение клиентского пользовательского интерфейса на основе обновленных свойств пользовательского события, принятых от серверного приложения, посредством обновления формата представления клиентского пользовательского интерфейса. 3 н. и 17 з.п. ф-лы, 12 ил.

Изобретение относится к способам обеспечения безопасности в сетях передачи данных. Технический результат заключается в повышении защищенности соединения между компьютерами-клиентами. Указанный результат достигается за счет применения способа формирования защищенного соединения в сетевой компьютерной системе. Система включает прикладной сервер, осуществляющий прием и обработку запросов по прикладному протоколу от компьютеров-клиентов по сети через туннелирующий сервер. Компьютеры-клиенты выполнены с возможностью осуществлять взаимодействие между собой и с прикладным сервером по прикладному протоколу. Посылают запрос из первого компьютера-клиента в прикладной сервер для осуществления взаимодействия со вторым компьютером-клиентом; анализируют в туннелирующем сервере ответ из прикладного сервера первому компьютеру-клиенту; если в ответе присутствует сетевой адрес второго компьютера-клиента, то передают из туннелирующего сервера первому компьютеру-клиенту вместе с сообщением прикладного протокола информацию, необходимую для установки защищенного соединения со вторым компьютером-клиентом; формируют защищенное соединение между первым компьютером-клиентом и вторым компьютером-клиентом. 2 ил.

Наверх