本發(fā)明涉及數(shù)據(jù)網(wǎng)絡化。

背景技術：

計算機網(wǎng)絡化包括使計算機能夠經(jīng)由連接彼此通信，連接可以包括適當?shù)夭贾迷谟嬎銠C之間的電引線。包括大量節(jié)點的計算機網(wǎng)絡可以被布置為使用尋址系統(tǒng)，尋址系統(tǒng)的示例是互聯(lián)網(wǎng)協(xié)議IP尋址系統(tǒng)。IP尋址以IPv4和IPv6變體來工作，其中IPv4是比更新的IPv6變體具有實質(zhì)上更小的地址空間的較早期的變體。

為了促進與基于IP的網(wǎng)絡中的計算機或節(jié)點的通信，節(jié)點可以具有域名系統(tǒng)DNS名稱。相比于IP地址，DNS名稱對人類而言更容易記住，因為IP地址由數(shù)字構成，而DNS名稱可以由詞構成。例如，www.nokia.com是一個DNS名稱，而相應的IP地址可能是92.122.67.80。

由于IPv4尋址系統(tǒng)具有有限數(shù)量的地址，所以這些地址會變成稀缺資源。為了克服IPv4地址的不足，單個的IPv4地址已經(jīng)被布置為在多個節(jié)點之間共享。在這些系統(tǒng)中公共可接入的、共享的IPv4地址可稱為公共IP地址，而共享公共IPv4地址的節(jié)點可以具有僅在被分配了公共IPv4地址的節(jié)點下的子網(wǎng)中才有效的輔助的、私有的IP地址。

網(wǎng)絡地址轉換NAT是一種可以在將基于私有IP地址且共享公共IP地址的子網(wǎng)與公共網(wǎng)絡聯(lián)合中所應用的技術。

公共網(wǎng)絡中的服務器可以是利用服務器的DNS名稱或公共IP地址可尋址的。因此，優(yōu)選的是將公共IP地址分配給被配置為充當服務器的節(jié)點。然而，如果個體消費者希望將節(jié)點作為服務器來操作，則公共IPv4地址的稀缺性會成問題，因為不是所有這樣的節(jié)點可被分配有公共IPv4地址。

技術實現(xiàn)要素：

根據(jù)本發(fā)明的第一方面，提供了一種裝置，該裝置包括至少一個處理核、包含計算機程序代碼的至少一個存儲器，所述至少一個存儲器和所述計算機程序代碼被配置為利用至少一個處理核使所述裝置至少：提供基于網(wǎng)絡的服務，判定該裝置是否能從公共網(wǎng)絡可達，響應于判定出該裝置不能從公共網(wǎng)絡可達，建立與中繼服務器的隧道連接，以及參與與網(wǎng)絡節(jié)點的密碼握手，其中包含在握手中的分組經(jīng)由隧道連接來傳送。

第一方面的各個實施例可以包括來自以下強調(diào)符列表的至少一個特征：

·基于網(wǎng)絡的服務與域名系統(tǒng)名稱相關聯(lián)，并且所述裝置存儲與域名系統(tǒng)名稱相關聯(lián)的密碼證書，并且所述密碼握手至少部分地基于密碼證書

·至少一個存儲器和計算機程序代碼被配置為利用至少一個處理核使所述裝置在密碼握手成功地完成之后將基于網(wǎng)絡的服務提供給網(wǎng)絡節(jié)點

·密碼握手包括傳輸層安全握手

·判定所述裝置是否能從公共網(wǎng)絡可達包括請求該裝置的互聯(lián)網(wǎng)協(xié)議地址

·所述基于網(wǎng)絡的服務包括web服務

·web服務包括文件共享服務

·隧道連接包括虛擬私有網(wǎng)絡隧道連接

·建立隧道連接包括將該裝置的證書提供給中繼節(jié)點

·該裝置被配置為使該裝置的域名系統(tǒng)名稱變得與中繼服務器的地址相關聯(lián)

根據(jù)本發(fā)明的第二方面，提供一種裝置，該裝置包括至少一個處理核、包含計算機程序代碼的至少一個存儲器，至少一個存儲器和計算機程序代碼被配置為利用至少一個處理核使該裝置至少：建立與私有網(wǎng)絡中的節(jié)點的隧道連接，接收來自網(wǎng)絡節(jié)點的初始分組，該初始分組被尋址到該裝置的互聯(lián)網(wǎng)協(xié)議地址并且包括指示私有網(wǎng)絡中的節(jié)點的標識符的指示符，并且開始私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的中繼業(yè)務。

第二方面的各個實施例可以包括來自以下強調(diào)符列表的至少一個特征：

·該指示符包括與傳輸層安全性一致的服務器名稱指示

·該裝置被配置為使所述私有網(wǎng)絡中的節(jié)點的域名系統(tǒng)名稱變得與該裝置相關聯(lián)

·在私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間中繼業(yè)務包括參與建立到網(wǎng)絡節(jié)點的第一協(xié)議連接、通過隧道連接建立到私有網(wǎng)絡中的節(jié)點的第二協(xié)議連接，以及在第一協(xié)議連接與第二協(xié)議連接之間透明地中繼分組

·該裝置未被配置為嘗試對私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的業(yè)務解密

·響應于判定出第一協(xié)議連接被關閉，該裝置被配置為使第二協(xié)議連接關閉

根據(jù)本發(fā)明的第三方面，提供一種方法，包括：提供基于網(wǎng)絡的服務，判定裝置是否能從公共網(wǎng)絡可達，響應于判定出該裝置不能從公共網(wǎng)絡可達，建立與中繼服務器的隧道連接，以及參與與網(wǎng)絡節(jié)點的密碼握手，其中包含在握手中的分組經(jīng)由隧道連接來傳送。

第三方面的各個實施例可以包括與來自結合第一方面所展示的前面的強調(diào)符列表的特征對應的至少一個特征。

根據(jù)本發(fā)明的第四方面，提供一種方法，包括：建立與私有網(wǎng)絡中的節(jié)點的隧道連接，接收來自網(wǎng)絡節(jié)點的初始分組，該初始分組被尋址到裝置的互聯(lián)網(wǎng)協(xié)議地址并且包括指示私有網(wǎng)絡中的節(jié)點的標識符的指示符，以及開始私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的業(yè)務的中繼。

第四方面的各個實施例可以包括與來自結合第二方面所展示的前面的強調(diào)符列表的特征對應的至少一個特征。

根據(jù)本發(fā)明的第五方面，提供一種裝置，包括：用于提供基于網(wǎng)絡的服務的部件，用于判定該裝置是否能從公共網(wǎng)絡可達的部件，用于響應于判定出該裝置不能從公共網(wǎng)絡可達而建立與中繼服務器的隧道連接的部件，以及用于參與與網(wǎng)絡節(jié)點的密碼握手的部件，其中包含在握手中的分組經(jīng)由隧道連接來傳送。

根據(jù)本發(fā)明的第六方面，提供一種裝置，包括：用于建立與私有網(wǎng)絡中的節(jié)點的隧道連接的部件，用于接收來自網(wǎng)絡節(jié)點的初始分組的部件，該初始分組被尋址到該裝置的互聯(lián)網(wǎng)協(xié)議地址并且包括指示私有網(wǎng)絡中的節(jié)點的標識符的指示符，以及用于開始私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的業(yè)務的中繼的部件。

根據(jù)本發(fā)明的第七方面，提供一種其中存儲有一組計算機可讀指令的非暫態(tài)性計算機可讀介質(zhì)，當通過至少一個處理器執(zhí)行時，所述一組計算機可讀指令使裝置至少：提供基于網(wǎng)絡的服務，判定該裝置是否能從公共網(wǎng)絡達到，響應于判定出該裝置不能從公共網(wǎng)絡達到，建立與中繼服務器的隧道連接，以及參與與網(wǎng)絡節(jié)點的密碼握手，其中包含在握手中的分組經(jīng)由隧道連接來傳送。

根據(jù)本發(fā)明的第八方面，提供了一種其中存儲有一組計算機可讀指令的非暫態(tài)性計算機可讀介質(zhì)，當通過至少一個處理器執(zhí)行時，所述一組計算機可讀指令使裝置至少：建立與私有網(wǎng)絡中的節(jié)點的隧道連接，接收來自網(wǎng)絡節(jié)點的初始分組，該初始分組被尋址到裝置的互聯(lián)網(wǎng)協(xié)議地址并且包括指示私有網(wǎng)絡中的節(jié)點的標識符的指示符，以及開始私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的業(yè)務的中繼。

工業(yè)可應用性

本發(fā)明的至少一些實施例被工業(yè)應用于實現(xiàn)到缺少公共地址(諸如例如公共互聯(lián)網(wǎng)協(xié)議地址)的節(jié)點的連接性方面。

附圖說明

圖1示出能夠支持本發(fā)明的至少一些實施例的示例的系統(tǒng)；

圖2示出依據(jù)本發(fā)明的至少一些實施例的示例的使用情況；

圖3示出能夠支持本發(fā)明的至少一些實施例的示例的裝置；

圖4示出依據(jù)本發(fā)明的至少一些實施例的信號傳遞；

圖5是依據(jù)本發(fā)明的至少一些實施例的第一方法的第一流程圖，以及

圖6是依據(jù)本發(fā)明的至少一些實施例的第二方法的第二流程圖。

具體實施方式

通過形成到公共網(wǎng)絡中的中繼節(jié)點的隧道，可以使私有網(wǎng)絡中的節(jié)點能夠執(zhí)行服務器功能，同時保留對其密碼證書的控制。這增強了安全性，因為使中繼節(jié)點不能檢查私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的通信內(nèi)容，其充當服務器功能。

圖1示出了能夠支持本發(fā)明的至少一些實施例的示例的系統(tǒng)。圖1包括公共網(wǎng)絡101，公共網(wǎng)絡可以包括例如互聯(lián)網(wǎng)。公共網(wǎng)絡101使用公共IP地址，并且包含在公共網(wǎng)絡內(nèi)的節(jié)點可以具有全局有效的、公共的IP地址。網(wǎng)絡節(jié)點130和140是公共網(wǎng)絡101中的節(jié)點，每個網(wǎng)絡節(jié)點均具有其自身的公共IP地址。網(wǎng)絡節(jié)點130和140中的至少一個可以包括提供對私有網(wǎng)絡的接入以及來自私有網(wǎng)絡的接入的網(wǎng)關。

節(jié)點110、112和114包含在私有網(wǎng)絡102中，其中每個節(jié)點具有私有地址，該私有地址在私有網(wǎng)絡102中有效，而在公共網(wǎng)絡101中無效。節(jié)點110、112和114中的至少一個可以包括消費設備，諸如例如家庭服務器或家庭數(shù)據(jù)倉庫。

網(wǎng)關120被配置為提供到私有網(wǎng)絡102的接入以及來自私有網(wǎng)絡102的接入。網(wǎng)關120既具有公共地址，又具有私有地址，通過該公共地址其能夠從公共網(wǎng)絡101接入，而通過私有地址其能夠從私有網(wǎng)絡102接入。具體地，利用網(wǎng)關120的公共地址作為目的地地址而發(fā)布到公共網(wǎng)絡101的分組將由公共網(wǎng)絡101路由到與公共網(wǎng)絡101附連的網(wǎng)關120的接口。同樣，利用網(wǎng)關120的私有地址作為目的地地址而發(fā)布到私有網(wǎng)絡102的分組將由私有網(wǎng)絡102路由到與私有網(wǎng)絡102附連的網(wǎng)關120的接口。

利用節(jié)點110的私有地址作為目的地地址而發(fā)布到公共網(wǎng)絡101的分組將不路由到節(jié)點110，因為從公共網(wǎng)絡101的視角看節(jié)點110的私有地址可以是隨機地址。私有網(wǎng)絡102的具有公共網(wǎng)絡101的地址的唯一節(jié)點是網(wǎng)關120，并且因此網(wǎng)關120是私有網(wǎng)絡102的可以直接從公共網(wǎng)絡101尋址的唯一節(jié)點。

布置在公共網(wǎng)絡101中的DNS服務器150提供了將DNS名稱映射到公共網(wǎng)絡101的IP地址的服務。例如網(wǎng)絡節(jié)點130可以通過向DNS服務器150發(fā)送查詢來從DNS服務器150詢問網(wǎng)關120的IP地址，該查詢包括網(wǎng)關120的DNS名稱。作為響應，DNS服務器150可以將響應消息提供給公共網(wǎng)絡101的包括網(wǎng)關120的IP地址的網(wǎng)絡節(jié)點130。由于擁有網(wǎng)關120的IP地址，網(wǎng)絡節(jié)點130隨后可以匯編打算給網(wǎng)關120的分組，將網(wǎng)關120的IP地址布置為分組中的目的地地址，以及發(fā)布分組到公共網(wǎng)絡101以便路由，這將使得基于目的地IP地址將分組路由到網(wǎng)關120。DNS服務器可以提供反向查詢服務，其中服務器將提供DNS名稱作為對包含與DNS名稱相關聯(lián)的IP地址的查詢的響應。

例如節(jié)點114可以經(jīng)由網(wǎng)關120與節(jié)點140通信。例如，節(jié)點114可以在私有網(wǎng)絡102內(nèi)部對網(wǎng)關120發(fā)信號，以請求網(wǎng)關120從DNS服務器150詢問網(wǎng)絡節(jié)點140的IP地址，其中節(jié)點114可以將網(wǎng)絡節(jié)點140的DNS名稱提供給網(wǎng)關120。網(wǎng)關120作為響應可以從DNS服務器150詢問網(wǎng)絡節(jié)點140的公共IP地址，并且將其提供給節(jié)點114。節(jié)點114隨后可以對網(wǎng)關120發(fā)信號，同樣是在私有網(wǎng)絡102的內(nèi)部，以至少部分地基于網(wǎng)絡節(jié)點140的公共IP地址開始到節(jié)點140的連接。網(wǎng)關120隨后可以開始網(wǎng)絡地址轉換，其中網(wǎng)關120將具有基于私有網(wǎng)絡102的私有尋址與節(jié)點114的第一連接或會話，以及基于公共網(wǎng)絡101的公共尋址與網(wǎng)絡節(jié)點140的第二連接。該配置可稱為網(wǎng)絡地址轉換NAT。例如，網(wǎng)關120可以基于網(wǎng)關120的端口將分組從網(wǎng)絡節(jié)點140轉發(fā)到節(jié)點114，分組從網(wǎng)絡節(jié)點140進入該端口。一般地，判定節(jié)點114是否在NAT后可以構成判定節(jié)點114是否能從公共網(wǎng)絡達到。

布置在公共網(wǎng)絡101中的中繼節(jié)點160可被配置為使私有網(wǎng)絡102中的節(jié)點能夠充當服務器。原則上，公共網(wǎng)絡101中希望與私有網(wǎng)絡102中的節(jié)點通信的節(jié)點可以向網(wǎng)關120發(fā)送分組，該分組包括映射到私有網(wǎng)絡102中的期望節(jié)點的、在私有網(wǎng)絡102中有效的、網(wǎng)關120內(nèi)的私有地址的預定義端口號，以使網(wǎng)關120在私有網(wǎng)絡102中將分組轉發(fā)到期望的節(jié)點。然而，不是所有網(wǎng)關都允許這樣映射端口。即使節(jié)點114向DNS服務器150發(fā)信號以將節(jié)點114的DNS名稱與網(wǎng)關120的公共網(wǎng)絡地址相關聯(lián)，如果沒有可用的端口映射，該連接也不起作用。

節(jié)點114可以向中繼節(jié)點160發(fā)信號以向中繼節(jié)點160表明節(jié)點114愿意提供服務。節(jié)點114可以向DNS服務器150發(fā)信號以獲得如上所述的中繼節(jié)點160的地址，或者節(jié)點114可以預配置有例如中繼節(jié)點160的地址。作為進一步的替代選擇，節(jié)點114可以通過從網(wǎng)關120查詢中繼節(jié)點160的地址來獲得中繼節(jié)點160的地址。作為響應，中繼節(jié)點160可以向DNS服務器150發(fā)信號，以使DNS服務器150將節(jié)點114的DNS名稱與中繼節(jié)點160的公共地址相關聯(lián)，在圖1中DNS服務器150表示包括多個DNS服務器的DNS系統(tǒng)?？商娲?，節(jié)點114本身可被配置為使DNS服務器150將節(jié)點114的DNS名稱與中繼節(jié)點160的公共地址相關聯(lián)。在該情況下，節(jié)點114無需提供其DNS證書給中繼節(jié)點160。節(jié)點114可被配置為通過經(jīng)由網(wǎng)關120向DNS服務器150發(fā)送消息而使該關聯(lián)發(fā)生。此后，當公共網(wǎng)絡101的網(wǎng)絡節(jié)點利用節(jié)點114的DNS名稱來執(zhí)行DNS查詢時，其將響應地接收到中繼節(jié)點160的公共地址。一般地，節(jié)點114可以將其自身的證書諸如例如密碼提供給中繼節(jié)點160或DNS服務器150。證書可用于對例如DNS系統(tǒng)更新信息。在一些實施例中，DNS服務器150和中繼節(jié)點160可以被共同托管。

響應于接收到來自私有網(wǎng)絡102中的節(jié)點114的信號，中繼節(jié)點160可以參與建立節(jié)點114與中繼節(jié)點160之間的隧道連接。因為節(jié)點114在私有網(wǎng)絡中，所以隧道連接如上文所述與NAT相結合而穿越網(wǎng)關120。隧道連接可以基于適合的隧道技術，諸如例如虛擬私有網(wǎng)絡VPN，例如OpenVPN。隧道技術的另一示例是通用路由封裝GRE。

為維護隧道，可以通過隧道周期性地發(fā)送存活分組以防止網(wǎng)關120針對節(jié)點114與中繼節(jié)點160之間的分組轉發(fā)方案來判定超時條件。該超時條件的判定會破壞隧道，因為在網(wǎng)關120將停止在節(jié)點114與中繼節(jié)點160之間轉發(fā)分組的情況下，隧道不能工作。存活分組可以由節(jié)點114與中繼節(jié)點160中的至少一個來發(fā)送。一般地，可以認為隧道連接是能夠通過其自身來輸送另一連接的任何數(shù)據(jù)連接，其中該另一連接可以包括協(xié)議連接或數(shù)據(jù)流。來自中繼節(jié)點160的數(shù)據(jù)流可以構成為節(jié)點114中的協(xié)議連接。而且，在該情況下，可以認為，中繼節(jié)點160形成了到節(jié)點114的協(xié)議連接，因為除了數(shù)據(jù)的傳輸之外，其還引起了節(jié)點114內(nèi)協(xié)議連接的形成。

節(jié)點114可以存儲其自身的密碼證書，其中密碼證書可以與節(jié)點114的DNS名稱相關聯(lián)。密碼證書可以包括可信方的密碼簽名，諸如例如德意志聯(lián)邦共和國的聯(lián)邦信息安全局。密碼證書可以包括節(jié)點114的DNS名稱和公鑰。節(jié)點114可以例如在節(jié)點114內(nèi)本地地存儲對應于公鑰的私鑰。彼此對應的公鑰和私鑰構成了一對公鑰密碼學密鑰。公鑰可用于對信息加密，該信息僅能通過對應于公鑰的私鑰來解密。公鑰因此能用于加密，而非解密。私鑰能夠用于執(zhí)行信息的密碼簽名，其中該簽名的有效性可利用公鑰來驗證。在一些實施例中，通過檢查密碼證書，網(wǎng)絡節(jié)點可以驗證可信方的密碼簽名的有效性以驗證包含在證書中的公鑰已經(jīng)由包含在證書中的DNS名稱所標識的節(jié)點送出，并且因此僅該節(jié)點能夠利用私鑰對利用包含在證書中的公鑰加密的信息進行解密。

現(xiàn)在假設網(wǎng)絡節(jié)點140想要接入節(jié)點114所執(zhí)行的服務器功能，網(wǎng)絡節(jié)點140可以從DNS系統(tǒng)詢問與節(jié)點114的DNS名稱相關聯(lián)的地址。由于已經(jīng)使DNS系統(tǒng)將節(jié)點114的DNS名稱與中繼節(jié)點160的地址相關聯(lián)，所以網(wǎng)絡節(jié)點140被DNS系統(tǒng)建議，中繼節(jié)點160的地址是節(jié)點114的地址。該地址可以是中繼節(jié)點160的公共地址。

網(wǎng)絡節(jié)點140隨后可以對中繼節(jié)點160發(fā)信號，旨在聯(lián)系節(jié)點114。一般地，網(wǎng)絡節(jié)點140可以在從網(wǎng)絡節(jié)點140發(fā)送到中繼節(jié)點160的至少一個分組中包含直接地或者間接地標識節(jié)點114為預期通信相應方的指示。具體地，網(wǎng)絡節(jié)點140可以將初始分組發(fā)送到中繼節(jié)點160，初始分組包括服務器名稱指示，該服務器名稱指示至少部分地包括節(jié)點114的DNS名稱。初始分組可以包括客戶端問候分組。該初始分組可以未經(jīng)加密。

響應于來自網(wǎng)絡節(jié)點140的標識節(jié)點114的信令，中繼節(jié)點160可以建立與網(wǎng)絡節(jié)點160和節(jié)點114的協(xié)議連接。該協(xié)議連接可以包括例如傳輸控制協(xié)議TCP連接?？商娲兀赡苁褂美鐚崟r傳送協(xié)議RTP連接。從中繼節(jié)點160到節(jié)點114的協(xié)議連接可以通過將中繼節(jié)點160和節(jié)點114互連的隧道連接來建立，其中隧道連接可以預先存在。在建立了協(xié)議連接之后，中繼節(jié)點160可以在節(jié)點114與網(wǎng)絡節(jié)點140之間中繼分組，而不操縱所轉發(fā)的分組的內(nèi)容負載。內(nèi)容負載可以包括除了報頭之外的分組的內(nèi)容。

一旦節(jié)點114和網(wǎng)絡節(jié)點140經(jīng)由中繼節(jié)點160、經(jīng)由協(xié)議連接通信耦合，它們可以彼此執(zhí)行密碼握手。密碼握手可以對中繼節(jié)點160透明地發(fā)生。密碼握手可以包括節(jié)點114將其密碼證書的副本發(fā)送到網(wǎng)絡節(jié)點140。網(wǎng)絡節(jié)點140可以驗證密碼證書具有有效的簽名。網(wǎng)絡節(jié)點140可以生成會話秘密并且利用包含在密碼證書中的節(jié)點114的公鑰將該會話秘密加密。網(wǎng)絡節(jié)點140可以將加密后的會話秘密發(fā)送給到節(jié)點114。在節(jié)點114已經(jīng)利用其私鑰將會話秘密解密之后，節(jié)點114和網(wǎng)絡節(jié)點140具有共享秘密，該共享秘密可用作加密密鑰來使網(wǎng)絡節(jié)點140與節(jié)點114之間的連接安全。作為使用會話秘密的替代,可使用從會話密鑰得到的密鑰。如果使用從會話秘密得到的密鑰，則基于會話秘密對會話進行間接地加密。

因為中繼節(jié)點160未擁有節(jié)點114的私鑰，所以在會話秘密在其從網(wǎng)絡節(jié)點140到節(jié)點114的途中穿越中繼節(jié)點160時中繼節(jié)點160無法對會話秘密解密。因為網(wǎng)絡節(jié)點140與節(jié)點114之間的后續(xù)通信可以直接地或者間接地基于會話秘密來加密，所以中繼節(jié)點160也無法訪問該后續(xù)通信的內(nèi)容。因此，可以使節(jié)點114能夠以這樣的方式向公共網(wǎng)絡101中的網(wǎng)絡節(jié)點提供服務：使中繼節(jié)點160不能夠獲得對與提供服務相關而發(fā)送的信息的內(nèi)容的訪問權。

雖然中繼節(jié)點160在網(wǎng)絡節(jié)點140與節(jié)點114之間中繼分組，但是其可以接收來自網(wǎng)絡節(jié)點130的信號以旨在聯(lián)系節(jié)點114。一般地，網(wǎng)絡節(jié)點130可以在從網(wǎng)絡節(jié)點130發(fā)送到中繼節(jié)點160的至少一個分組中包含直接地或間接地標識節(jié)點114為預期通信相應方的指示。如上文結合網(wǎng)絡節(jié)點140所描述的，中繼節(jié)點160可以響應地參與建立到網(wǎng)絡節(jié)點130和節(jié)點114的協(xié)議連接并且開始這兩個協(xié)議連接之間的中繼。到節(jié)點114的協(xié)議連接可以經(jīng)由隧道連接來路由，因此隧道連接可以將多個同時的協(xié)議連接輸送到節(jié)點114，多個協(xié)議連接中的每一個協(xié)議連接均與到公共網(wǎng)絡中的不同的網(wǎng)絡節(jié)點的協(xié)議連接相關聯(lián)。

中繼節(jié)點160可以具有到私有網(wǎng)絡中的第二節(jié)點的第二隧道連接。一般地，中繼節(jié)點160可以具有一組同時的隧道連接，每個隧道連接是與私有網(wǎng)絡中的節(jié)點的，并且各個同時的隧道連接可以輸送多個同時的協(xié)議連接。中繼節(jié)點160可以被配置為參與另外的多個協(xié)議連接，另外的多個協(xié)議連接中的每個與在一組隧道連接中的一個隧道連接中所輸送的確切的一個協(xié)議連接相關聯(lián)。另外的多個協(xié)議連接中的每個可以將中繼節(jié)點160與公共網(wǎng)絡中的網(wǎng)絡節(jié)點連接。對于一組隧道連接中的每個協(xié)議連接，中繼節(jié)點160可以被配置為利用另外的多個協(xié)議連接中的相關聯(lián)的協(xié)議連接在兩個方向上中繼業(yè)務。

私有網(wǎng)絡102中的節(jié)點可以被配置為充當私有網(wǎng)絡中的另外的節(jié)點(諸如例如，節(jié)點110和/或節(jié)點114中的至少一個)的中繼節(jié)點。在私有網(wǎng)絡節(jié)點獲得公共可路由地址的情況下，即，與公共網(wǎng)絡101的尋址一致的地址，可以使私有網(wǎng)絡節(jié)點來完成這些。在例如節(jié)點112具有公共可路由地址的情況下，節(jié)點114可使用它來中繼，而不使用中繼節(jié)點160。

圖2示出了依據(jù)本發(fā)明的至少一些實施例的示例的使用情況。相似的附圖標記表示與圖1相似的結構。圖2示出了將節(jié)點114和中繼節(jié)點160互連的隧道連接200。隧道連接200穿越網(wǎng)關120。

網(wǎng)絡節(jié)點130具有與中繼節(jié)點160的協(xié)議連接201，并且中繼節(jié)點160具有與節(jié)點114的協(xié)議連接203。中繼節(jié)點160被布置為在協(xié)議連接201與203之間中繼分組，以有效地將節(jié)點114與網(wǎng)絡節(jié)點130通信耦合。網(wǎng)絡節(jié)點140具有與中繼節(jié)點160的協(xié)議連接202，并且中繼節(jié)點160具有與節(jié)點114的協(xié)議連接204。中繼節(jié)點160被布置為在協(xié)議連接202與204之間中繼分組，以有效地將節(jié)點114與網(wǎng)絡節(jié)點140通信耦合。

中繼節(jié)點160可以被配置為，響應于檢測到協(xié)議連接203被節(jié)點114關閉而關閉協(xié)議連接201。中繼節(jié)點160可以被配置為，響應于檢測到協(xié)議連接202被網(wǎng)絡節(jié)點140關閉而關閉協(xié)議連接204。

圖3示出了能夠支持本發(fā)明的至少一些實施例的示例的裝置。示出的是設備300，其可以包括例如圖1或圖2的節(jié)點114或中繼節(jié)點160。設備300中包括有處理器310，處理器310可以包括例如單核或多核處理器，其中單核處理器包括一個處理核，并且多核處理器包括多于一個的處理核。處理器310可以包括例如高通驍龍800(Qualcomm Snapdragon)處理器。處理器310可以包括多于一個的處理器。處理核可以包括例如由因特爾公司制造的Cortex-A8處理核或者由高級微設備公司(Advanced Micro Devices Corporation)生產(chǎn)的Brisbane處理核。處理器310可以包括至少一個專用集成電路ASIC。處理器310可以包括至少一個現(xiàn)場可編程門陣列FPGA。處理器310可以是用于在設備300中執(zhí)行方法步驟的部件。處理器310可以被配置為至少部分地通過計算機指令來執(zhí)行動作。

設備300可以包括存儲器320。存儲器320可以包括隨機存取存儲器和/或永久存儲器。存儲器320可以包括至少一個RAM芯片。存儲器320可以包括例如磁、光和/或全息存儲器。存儲器320可以至少部分地能由處理器310訪問。存儲器320可以是用于存儲信息的部件。存儲器320可以包括處理器310被配置為執(zhí)行的計算機指令。當被配置為使處理器310執(zhí)行某些動作的計算機指令存儲在存儲器320中且設備300整體地被配置為利用來自存儲器320的計算機指令在處理器310的指導下運行時，處理器310和/或其至少一個處理核可以被認為被配置為執(zhí)行所述某些動作。

設備300可以包括發(fā)送器330。設備300可以包括接收器340。發(fā)送器330和接收器340可以被配置為分別依據(jù)至少一個蜂窩或非蜂窩標準來發(fā)送和接收信息。發(fā)送器330可以包括多于一個的發(fā)送器。接收器340可以包括多于一個的接收器。發(fā)送器330和/或接收器340可以被配置為依據(jù)例如以太網(wǎng)、寬帶碼分多址WCDMA、長期演進LTE、IS-95、無線局域網(wǎng)WLAN、以太網(wǎng)和/或全球微波互通接入WiMAX標準來操作。

設備300可以包括近場通信NFC收發(fā)器350。NFC收發(fā)器350可以支持至少一種NFC技術，諸如NFC、藍牙、Wibree或類似的技術。

設備300可以包括用戶接口UI 360。UI 360可以包括顯示器、鍵盤、觸摸屏、被布置為通過使設備300振動來對用戶發(fā)信號的振動器、揚聲器和麥克風中的至少一種。用戶可以能夠經(jīng)由UI 360來操作設備300，例如配置設備300充當服務器或者執(zhí)行服務器功能。

處理器310可以配備有發(fā)送器，該發(fā)送器被布置為將來自處理器310的信息經(jīng)由設備300內(nèi)部的電引線而輸出到設備300中所包含的其它設備。該發(fā)送器可以包括串行總線發(fā)送器，該串行總線發(fā)送器被布置為例如經(jīng)由至少一個電引線輸出信息到存儲器320以便存儲于其中。作為該串行總線的替代，發(fā)送器可以包括并行總線發(fā)送器。同樣，處理器310可以包括接收器，該接收器被布置為經(jīng)由設備300內(nèi)部的電引線從設備300中所包含的其它設備接收信息到處理器310中。該接收器可以包括串行總線接收器，該串行總線接收器被布置為例如經(jīng)由至少一個電引線接收來自接收器340的信息以便在處理器310中處理。作為串行總線的替代，接收器可以包括并行總線接收器。

設備300可以包括圖3中未示出的另外的設備。例如，在設備300包括智能手機的情況下，其可以包括至少一個數(shù)碼相機。一些設備300可以包括后朝向相機和前朝向相機，其中后朝向相機可以旨在用于數(shù)字照相，并且前朝向相機用于視頻電話。設備300可以包括被布置為至少部分地認證設備300的用戶的指紋傳感器。在一些實施例中，設備300缺少上述至少一個設備。例如，一些設備300可能缺少NFC收發(fā)器350。

處理器310、存儲器320、發(fā)送器330、接收器340、NFC收發(fā)器350、UI 360可以多種不同的方式由設備300內(nèi)部的電引線互連。例如，上述每個設備可以單獨地連接到設備300內(nèi)部的主總線，以允許設備交換信息。然而，技術人員將意識到，這僅是一個示例，取決于實施例，可以選擇將至少兩個上述設備互連的多種方式，而不偏離本發(fā)明的范圍。

圖4示出了依據(jù)本發(fā)明的至少一些實施例的信令。在豎直軸線上從左到右布置有節(jié)點114、中繼節(jié)點160、網(wǎng)絡節(jié)點140和網(wǎng)絡節(jié)點130。時間從上朝下前進。

在任選的階段410中，節(jié)點114發(fā)送分組以查詢其IP地址，分組被尋址到公共網(wǎng)絡中的節(jié)點，諸如例如中繼節(jié)點160。在任選的階段415中，中繼節(jié)點160可被配置為嘗試建立到節(jié)點114的入站連接并且做關于嘗試是否成功的記錄。作為響應，在階段420中，從公共網(wǎng)絡中的節(jié)點的視角看，節(jié)點114接收包括節(jié)點114的IP地址的分組。在分組中的地址不同于節(jié)點114所具有的地址的情況下，節(jié)點114可以得出結論其在NAT后且節(jié)點114所具有的地址是私有網(wǎng)絡的私有地址。在階段410不存在的實施例中，階段420也不存在。在階段415存在的實施例中，階段420可以包括中繼節(jié)點160通知節(jié)點114階段115的嘗試是否成功。

在任選的階段430中，節(jié)點114嘗試在NAT中打開通用即插即用UPnP端口，并且在階段440中，節(jié)點114被通知該UPnP不可用。階段430和440在存在的情況下發(fā)生在節(jié)點114與網(wǎng)關120之間。作為響應，節(jié)點114決定采用經(jīng)由中繼節(jié)點160的隧道來向公共網(wǎng)絡提供服務器服務。在節(jié)點114具有公共地址的情況下，使用中繼節(jié)點將是不必要的，因為節(jié)點114可以直接從公共網(wǎng)絡被尋址。在階段430不存在的實施例中，階段440也不存在。

在階段450中，節(jié)點114連同中繼節(jié)點160一起形成了節(jié)點114與中繼節(jié)點160之間的隧道連接。形成隧道連接可以包括節(jié)點114向中繼節(jié)點160提供節(jié)點114的DNS名稱和至少一個證書中的至少一個，其中至少一個證書可以包括密碼。至少一個證書可以預配置在節(jié)點114中。至少一個證書可以與節(jié)點114的特定的DNS域名相關聯(lián)。雖然圖示為特定于階段450的矩形框，隧道連接在時間上持續(xù)且不會隨著處理前進到階段460而拆卸。

在階段460中，中繼節(jié)點160使DNS系統(tǒng)將節(jié)點114的DNS名稱與中繼節(jié)點160的地址相關聯(lián)。中繼節(jié)點160的地址可以包括公共IP地址。中繼節(jié)點160可以使用在階段450中所提供的至少一個證書來更新DNS系統(tǒng)中的關聯(lián)。同樣在階段460中，中繼節(jié)點160可以存儲節(jié)點114的DNS名稱到階段450中建立的隧道連接的標識符的映射。

在階段470中，中繼節(jié)點160接收來自網(wǎng)絡節(jié)點140的指示節(jié)點114作為預期通信相應部分的至少一個分組。例如，至少一個分組中的至少一個可以包括節(jié)點114的標識符，諸如例如節(jié)點114的DNS名稱。標識符可以包括例如服務器名稱指示SNI標識符。SNI可以包含節(jié)點114的DNS名稱。

響應于階段470，中繼節(jié)點160可以參與建立與節(jié)點114和網(wǎng)絡節(jié)點140的協(xié)議連接，其中與節(jié)點114的協(xié)議連接可以經(jīng)由階段450中建立的隧道連接來輸送。這些示為階段480和490。中繼節(jié)點此后可以將從其所具有的與網(wǎng)絡節(jié)點140的協(xié)議連接接收到的分組中繼到其所具有的與節(jié)點114的協(xié)議連接，反之亦然。節(jié)點114和網(wǎng)絡節(jié)點140可以經(jīng)由例如協(xié)議連接來完成密碼握手，并且隨后參加加密后的會話。中繼節(jié)點160可能無法確定加密后的會話的內(nèi)容。然而，中繼節(jié)點160能夠經(jīng)由相應的協(xié)議連接在節(jié)點114與網(wǎng)絡節(jié)點140之間中繼加密后的分組。

在階段4100中，中繼節(jié)點160接收來自網(wǎng)絡節(jié)點130的指示節(jié)點114作為預期通信相應部分的至少一個分組。在階段4110和4120中，中繼節(jié)點160可以參與建立協(xié)議連接以及中繼，如在緊接的上文中結合階段480和490所描述的。在階段450中建立的隧道連接可以輸送在階段480中所建立的協(xié)議連接以及在階段4110中所建立的協(xié)議連接。隧道連接的通信容量可以在經(jīng)由其輸送的協(xié)議連接之間共享。

圖5是依據(jù)本發(fā)明的至少一些實施例的第一方法的第一流程圖。圖示的方法的階段可以在節(jié)點114中或者在例如被配置為控制節(jié)點114的運作的控制設備中執(zhí)行。階段510包括提供基于網(wǎng)絡的服務。階段520包括判定裝置是否能從公共網(wǎng)絡達到。該裝置可以包括執(zhí)行所述方法的裝置。階段530包括：響應于判定出該裝置不能從公共網(wǎng)絡達到，建立與中繼服務器的隧道連接。最后，階段540包括參與與網(wǎng)絡節(jié)點的密碼握手，其中包含在握手中的分組經(jīng)由隧道連接來傳送。該方法可以進一步包括存儲與公鑰相關聯(lián)的私鑰，該公鑰包含在存儲于裝置內(nèi)的密碼證書中。參與密碼握手可以包括利用私鑰對會話秘密解密。

圖6是依據(jù)本發(fā)明的至少一些實施例的第二方法的第二流程圖。所示的方法的階段可以在中繼節(jié)點160中或者在例如被配置為控制中繼節(jié)點160的運作的控制設備中執(zhí)行。

階段610包括建立與私有網(wǎng)絡中的節(jié)點的隧道連接。階段620包括接收來自網(wǎng)絡節(jié)點的初始分組，該初始分組被尋址到裝置的互聯(lián)網(wǎng)協(xié)議地址且包括指示私有網(wǎng)絡中的節(jié)點的標識符的指示符。該裝置可以包括執(zhí)行該方法的裝置。標識符可以包括私有網(wǎng)絡中的節(jié)點的域名系統(tǒng)名稱。最后，階段630包括開始私有網(wǎng)絡中的節(jié)點與網(wǎng)絡節(jié)點之間的業(yè)務的中繼。

應當理解的是，所公開的本發(fā)明的實施例不限于本文公開的特定的結構、過程步驟或材料，而是擴展到相關領域的普通技術人員所能認識到的其等價方面。還應當理解的是，本文所采用的術語僅用于描述特定實施例的目的，而不旨在限制。

在該說明書中通篇提到“一個實施例”或者“實施例”意指結合實施例所描述的特定的特征、結構或特性包含在本發(fā)明的至少一個實施例中。因此，在本說明書通篇各處短語“在一個實施例中”或“在實施例中”的出現(xiàn)不一定都是指同一實施例。

如本文所使用的，為了方便起見，可以在共同的列表中呈現(xiàn)多個項、結構元件、組成元件和/或材料。然而，這些列表應當解釋為好像列表的每個成員都單獨地標識為分離的且唯一的成員。因此，在未做出相反指示的情況下，不應僅僅基于同一列表的任何其它成員呈現(xiàn)在共同的群組中而將該列表的單個成員解釋為同一列表的任何其它成員的事實上的等價物。另外，本發(fā)明的各個實施例和示例可以連同其各個組件的可替代物在本文中提及。應當理解，這些實施例、示例和可替代物不應解釋為彼此的事實上的等價物，而是視為本發(fā)明的單獨的且自治的表示。

此外，所描述的特征、結構或特性可以任何適當?shù)姆绞浇M合在一個或多個實施例中。在下面的說明中，提供了若干具體的細節(jié)，例如長度、寬度、形狀等的示例，以提供對本發(fā)明的實施例的全面理解。然而，相關領域的技術人員將認識到，本發(fā)明可以在沒有該具體的細節(jié)中的一個或多個的情況下或者利用其它的方法、組件、材料等來實現(xiàn)。在其它實例中，沒有詳細顯示或描述公知的結構、材料或操作以免使本發(fā)明的方面不清楚。

雖然上述示例是本發(fā)明的原理在一個或多個特定應用中的示例，本領域普通技術人員將清楚知道，在實現(xiàn)方式的形式、使用和細節(jié)方面的若干修改可以在不運用創(chuàng)造性能力且不偏離本發(fā)明的原理和構思的情況下來做出。因此，目的在于除了受下面闡述的權利要求書限制之外本發(fā)明不受限制。