CN108370379B - 带有隧道的设备管理方法和系统 - Google Patents
带有隧道的设备管理方法和系统 Download PDFInfo
- Publication number
- CN108370379B CN108370379B CN201680073142.8A CN201680073142A CN108370379B CN 108370379 B CN108370379 B CN 108370379B CN 201680073142 A CN201680073142 A CN 201680073142A CN 108370379 B CN108370379 B CN 108370379B
- Authority
- CN
- China
- Prior art keywords
- instance
- proxy
- remote computing
- computing device
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2816—Controlling appliance services of a home automation network by calling their functionalities
- H04L12/2818—Controlling appliance services of a home automation network by calling their functionalities from a device located outside both the home and the home network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
设备管理服务器提供集中式凭据提供系统,所述集中式凭据提供系统能够实例化代理设备,所述代理设备有利于各种计算设备与各种客户端设备之间的远程连接。所述设备管理服务器能够管理资源提供方环境中与各种计算设备相关联的代理设备的实例。当客户端设备请求访问计算设备时,所述设备管理服务器能够识别出与所述计算设备相关联的代理设备的实例。所述代理设备的所述实例及所述计算设备能够被配置为利用通过所述设备管理服务器交换并且由所述设备管理服务器管理的凭据来安全地连接。可以指示所述计算设备连接到所述代理设备的所述实例,并且可以向所述客户端设备提供所述代理设备的所述实例的访问信息。
Description
技术领域
本申请涉及带有隧道的设备管理方法和系统。
背景技术
家用设备正日益得到增强,以便能够连接到家庭计算网络及互联网。这些新连接的设备通常称为“物联网”的一部分,并且可包括智能电视、家庭自动化设备以及并入常见设备的其他计算设备。这使得位于给定位置(诸如家庭或公司)的计算设备能够彼此通信,并且使用户能够监测它们的位置、追踪设备使用等。随着时间推移,用户可能想要修改他们设备的配置或调试设备。在这种情况下,用户可能需要物理地连接到设备以重新配置设备,或者通过本地网络上的连接登录设备。然而,这些设备常被部署在它们没有唯一IP地址的位置,或者在防火墙策略限制入站连通性的位置。这使得难以与这些设备远程通信。此外,允许网络上的设备接受来自能够找到它们的任何设备的连接,会导致安全漏洞。
发明内容
根据一实施方式,提供了一种带有隧道的设备管理方法,其包括:接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;识别与所述设备标识符相关联的代理设备的实例;利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;利用第二凭据信息来配置所述远程计算设备以访问所述代理设备的所述实例;使所述远程计算设备访问所述代理设备的所述实例;以及发送所述代理设备的所述实例的访问信息至所述客户端设备。
根据一实施方式,提供了一种带有隧道的设备管理系统,其包括至少一个处理器;以及包括指令的存储器,当由所述至少一个处理器执行时,所述指令使所述系统能够:接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;识别与所述设备标识符相关联的代理设备的实例;利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;利用第二凭据信息来配置所述远程计算设备以访问所述代理装置设备的所述实例;使所述远程计算设备访问所述代理设备的所述实例;并且发送所述代理设备的实例的访问信息至所述客户端设备。
附图说明
将参考附图描述根据本公开的各种实施方案,在附图中:
图1示出实施例环境,其中可部署能根据各种实施方案管理的计算设备。
图2示出可实现各种实施方案的实施例环境。
图3示出实施例环境,其中设备管理服务器能与各种计算设备通信并且有利于与能根据各种实施方案使用的远程客户端设备的连接。
图4示出实施例过程,其用于管理能根据各种实施方案使用的计算设备的连接。
图5示出计算设备的实施例组件,其可用来实现各种实施方案的方面。
具体实施方式
在以下描述中,将描述各种实施方案。出于解释的目的,将阐述具体的配置和细节,以便提供对实施方案的透彻理解。然而,对本领域的技术人员将明显的是,在没有具体细节的情况下也可以实践实施方案。
此外,为了不使所描述的实施方案晦涩,可省略或简化众所周知的特征。
根据各种实施方案的方法提供电子环境中的远程设备管理。具体地,各种实施方案提供集中式凭据提供能够实例化代理设备的系统,所述代理设备有利于各种计算设备与各种客户端设备之间的远程连接。
在一些实施方案中,设备管理服务器提供集中式凭据提供系统,所述集中式凭据提供系统能够实例化代理设备,所述代理设备有利于各种计算设备与各种客户端设备之间的远程连接。设备管理服务器能够管理资源提供方环境中与各种计算设备相关联的代理设备的实例。当客户端设备请求访问计算设备时,设备管理服务器能够识别出与计算设备相关联的代理设备的实例。代理设备的实例及计算设备可被配置为利用通过设备管理服务器交换并且由设备管理服务器管理的凭据来安全地连接。计算设备可经指示以连接到代理设备的实例,并且可向客户端设备提供代理设备的实例的访问信息。在一些实施方案中,代理设备可包括脚本,在客户端设备连接到代理设备之后,所述脚本自动地将代理设备的实例连接到计算设备。
各种其他功能可在各种实施方案中实现,并且在本文其他地方讨论和建议。
图1示出实施例环境100,其中可部署能根据各种实施方案管理的计算设备。如图1所示,用户可在家中组建各种设备,诸如智能电视102、灯控制器104及摄像机106。这些计算设备的一种常见的具体实施包括家庭自动化传感器及控制器。例如,摄像机106可记录用户家中的视频数据并且将所述数据上传到用户能够访问的位置,诸如对象存储系统或者其他网络连接的存储服务器。一些设备可能能够访问允许用户远程控制设备的管理接口。例如,如果用户注意到由摄像机106提供的视频中家里的灯还亮着,那么用户可访问管理接口以向设备104发送指令来关灯。类似地,可以远程控制智能电视来(例如)调整录制时间表。虽然用户可与计算设备交换数据,但用户由于管理接口而受限于简单指令以及从设备接收数据。为了重新配置设备或调试设备,用户需要直接登录设备。如果用户与设备在同一本地网络上(例如,如果用户在家并且连接到接入点108),那么用户可能能够通过导航到由接入点108分配给所述设备的地址来登录设备。然而,在本地网络外部,难以访问这些设备。例如,设备通常没有可从本地网络外部访问它们的IP地址。另外,接入点108通常提供防火墙或其他安全系统,所述安全系统限制到网络上的设备的传入连接的类型。已经描述了关于消费者设备的上述实施例,诸如智能电视及家庭自动化设备。然而,可以根据本文所述的实施方案配置各种计算设备,例如,工业传感器(诸如输油管监视器、制造传感器、温度传感器及环境控制器等)、汽车传感器及交通控制与监视系统、医疗设备、以及其他计算设备与系统。
图2示出可实现各种实施方案的方面的实施例环境200。在本实施例中,用户能够利用客户端设备202来跨越至少一个网络204向资源提供方环境206提交请求。客户端设备可包括能够操作以在适当网络上发送和接收请求、消息或其他此类信息并且将信息传送回设备用户的任何适当电子设备。此类客户端设备的实施例包括个人计算机、平板电脑、智能电话、笔记本电脑等等。在一些实施方案中,客户端设备202可以是在另一服务器或环境中被配置为向资源提供方环境206发送资源请求的电子设备。至少一个网络204可包括任何适当网络,所述适当网络包括内联网、互联网、蜂窝网、局域网(LAN)或者任何其他此类网络或组合,并且在网络上的通信能够通过有线和/或无线连接启用。资源提供方环境206可包括用于接收请求并且返回信息或响应于那些请求而执行操作的任何适当组件。例如,提供方环境可能包括Web服务器和/或应用服务器,所述Web服务器和/或应用服务器用于接收和处理请求,然后响应于请求返回数据、网页、视频、音频或者其他此类内容或信息。
在各种实施方案中,提供方环境可包括能由多个用户出于多种不同目的使用的各种类型的资源。在至少一些实施方案中,全部或一部分给定资源或资源组在至少一段确定的时间段内可能被分配给特定用户或者被分配用于特定任务。根据特定的环境和/或实现方式,共享这些来自提供方环境(或多租户环境)的多租户资源常被称为资源共享、Web服务或“云计算”等等此类术语。在本实施例中,提供方环境包括一种或多种类型的多个资源214。例如,这些类型可包括能够操作以处理由用户提供的指令的应用服务器,或者能够操作以响应于用户请求来处理存储在一个或多个数据存储库216中的数据的数据库服务器。出于此类目的,用户还可以在给定的数据存储库中保留至少一部分数据存储。用于使用户能够保留各种资源和资源实例的方法在本领域中是众所周知的,由此使得整个过程的详细描述以及所有可能组件的说明将不在本文中详细讨论。
在至少一些实施方案中,想要使用资源214的一部分的用户可提交请求,所述请求由提供方环境206的接口层208所接收。接口层可包括应用编程接口(API)或使用户能够向提供方环境提交请求的其他暴露的接口。本实施例中的接口层208也可同时包括其他组件,诸如至少一个Web服务器、路由组件、负载平衡器等等。当提供资源的请求由接口层208接收时,用于请求的信息能够指向资源管理器210或者其他此类系统、服务器或组件,所述系统、服务器或组件被配置用于管理用户账户和信息、资源供应与使用及其他此类方面。接收请求的资源管理器210可执行以下任务:诸如验证提交请求的用户的身份,以及确定所述用户是否具有资源提供方的现有账户,其中账户数据可以存储在提供方环境中的至少一个数据存储库212中。用户可以提供各种类型的凭据中的任何一种,以便向提供方证明用户的身份是真实的。这些凭据可包括例如用户名与密码对、生物计量数据、数字签名或其他此类信息。提供方可对比为用户保存的信息来验证这个信息。如果用户具有带有适当权限、状态等的帐户,那么资源管理器可确定是否有足够的可用资源以满足用户的请求,并且如果是,则可提供资源或者以其他方式准许访问这些资源的相应部分以供用户使用由请求指定的量。例如,这个量可包括处理单个请求或执行单个任务的能力、指定的时间段、或循环/可更新周期等等其他此类值。如果用户没有提供方的有效帐户,使用户帐户不能访问请求中指定的资源的类型,或者另一此类原因阻止用户获得对这些资源的访问,那么可向用户发送通信以使用户能够创建或修改账户或者改变请求中指定的资源等等此类选项。
一旦认证了用户、验证了帐户并且分配了资源,用户就能够利用指定的容量、数据传输量、时间段或其他此类值的分配资源。在至少一些实施方案中,用户可提供后续请求的会话令牌或其他此类凭据,以便能够在所述用户会话上处理那些请求。用户可接收资源标识符、指定地址或其他此类信息,所述信息可使客户端设备202能够与分配的资源通信而不必与资源管理器210通信,至少直到用户帐户的相关方面改变,用户不再被准许访问资源或者其他此类方面改变时。
本实施例中的资源管理器210(或者另一此类系统或服务器)还可用作除管理动作外还处理控制功能的硬件与软件组件的虚拟层,如可包括备用、缩放、复制等。资源管理器可利用接口层208中的专用API,其中可提供每个API以接收有关数据环境要执行的至少一个指定动作的请求,诸如备用、缩放、克隆或休眠实例。在接收到对一个API的请求时,接口层的Web服务器部分可解析或者以其他方式分析请求来确定按调用行动或处理调用所需要的步骤或行动。例如,可能接收包括建立数据存储库的请求的Web服务调用。
在至少一个实施方案中的接口层208包括可扩展的面向客户的服务器组,所述面向客户的服务器组可提供各种API并且基于API规范返回适当的响应。接口层还可包括至少一个API服务器层,在一个实施方案中所述API服务器层由处理面向外部的客户API的无状态、复制服务器组成。接口层可以对Web服务器前端特征负责,诸如基于凭据验证客户、授权客户、将客户请求限流到API服务器、验证用户输入、以及封送或解封送请求与响应。API层还可响应于API调用而对从管理数据存储库读取数据库配置数据/将数据库配置数据写入到管理数据存储库负责。在很多实施方案中,Web服务器层和/或API服务器层将是外部可见的唯一组件,或者对控制服务器的客户可见并可被控制服务器的客户访问的唯一组件。如在本领域中是已知的,Web服务器层的服务器可以是无状态的和水平缩放的。API服务器,以及持久性数据存储库,可在区域中传遍多个数据中心,例如,由此使得服务器对单一数据中心故障是可适应的。
图3示出实施例环境300,其中设备管理服务器能与各种计算设备通信,并且有利于与能根据各种实施方案使用的远程客户端设备连接。应当理解,为了简化说明,相似元件的附图标号可以在附图之间引用,但是除非另外明确说明,否则此类用法不应解释为对各种实施方案的限制。如所论述,各种计算设备302可被部署到第一联网环境304,所述第一联网环境304可由防火墙306从其他联网环境中分开。设备管理服务器308可管理各种计算设备302与客户端设备302之间的通信。例如,如上面关于图1所论述的,计算设备302可包括传送数据到设备管理服务器308的家庭自动化传感器与控制器。用户可利用客户端设备102登录设备管理服务器308以查看数据(例如,来自摄像机106的视频数据),并且例如发送指令以调节其他连接的计算设备(例如关闭连接的灯104)。尽管用户可与计算设备302交换数据,但用户不能利用设备管理服务器308重新配置计算设备或调试计算设备。
在一些实施方案中,为了重新配置部署的计算设备,用户可利用客户端设备202连接到计算设备。传统上,用户可以利用远程登录协议(诸如安全外壳(SSH)或其他远程外壳协议)连接到设备。然而,当计算设备302被部署到第一联网环境并且客户端设备202处于第二联网环境时,客户端设备可能不能直接连接到计算设备302。这限制了用户从联网环境302的外部配置计算设备302的能力。
访问防火墙后面的设备的一种方法是利用隧道协议,诸如SSH隧道。防火墙后面的设备可利用SSH连接到防火墙外部的系统,然后用户可从用户的客户端设备连接到同一系统。然后系统能够在客户端设备与防火墙后面的设备之间进行隧道通信。然而,这需要维持专用系统来保持连接有效,这是对资源的低效利用。另外,需要保证系统之间安全地凭据交换。但是,随着成百上千万的计算设备被部署到防火墙环境中,此类交换变得非常繁重。因此,根据实施方案,设备管理系统能够为部署到一个联网环境的计算设备提供集中式提供与凭据管理平台,以有利于与不同联网环境中的客户端设备的通信。
设备管理服务器308可以通过网络310接收来自客户端设备202的请求以连接到各种计算设备302,并且按需实例化代理设备。网络310可包括任何适当网络,所述适当网络包括内联网、互联网、蜂窝网、局域网(LAN)或者任何其他此类网络或组合,并且在网络上的通信能够通过有线和/或无线连接启用。设备管理服务器308可利用轻量级通信协议(诸如MQTT)与每个计算设备通信。当计算设备302被部署并且连接到设备管理服务器308时,设备管理服务器308能够生成计算设备的数字证书、公钥以及存储在计算设备上的私钥。在一些实施方案中,私钥可以由设备制造商、分销商、零售商或其他实体提供给计算设备,然后计算设备由最终用户接收。一旦计算设备302连接到设备管理服务器308,计算设备就能够与设备管理服务器交换数据。
在各种实施方案中,设备管理服务器308能够通过接口208向资源提供方环境206发送请求,来提供代理设备实例312以便于计算设备302与客户端设备202之间的通信。请求可包括代理配置信息314,诸如端口信息、连接脚本及其他连接信息。例如,配置信息314可包括用于创建从代理设备实例312到计算设备302的反向SSH隧道的脚本。设备管理服务器能够发送设备凭据316(诸如与计算设备302相关联的公钥)以使代理设备实例312能够接受来自计算设备302的安全连接。在代理设备实例312被配置为接受连接后,设备管理服务器308可将计算设备302配置为连接到代理设备实例312。当提供代理设备实例312时,可生成公钥/私钥,并且可将公钥发送到设备管理服务器308。在一些实施方案中,当提供代理设备实例312时,其能够通过任何适当网络建立与设备管理服务器308的连接317,所述适当网络包括内联网、互联网、蜂窝网、局域网(LAN)或者任何其他此类网络或组合,并且在网络上的通信能够通过有线和/或无线连接启用。类似于设备管理服务器如何与每个计算设备通信(例如,利用诸如MQTT的轻量级通信协议),设备管理服务器308可与代理实例312通信。
在一些实施方案中,代理设备实例312可在设备管理服务器308中提供它自己的证书并且发布包括代理设备实例的标识符的消息。设备管理服务器308可发送一个或多个公钥,所述公钥与被配置为连接到所述代理设备实例的每个计算设备相关联。代理设备实例312可存储公钥并且返回将被发送到一个或多个计算设备以用于连接到代理设备实例的端口映射。端口映射可包括每个计算设备的开放本地端口号。这使得多个设备能够无冲突地连接到相同的代理设备实例。
设备管理服务器308可通过网络318向计算设备302发送消息。网络318可包括任何适当网络,所述适当网络包括内联网、互联网、蜂窝网、局域网(LAN)或者任何其他此类网络或组合,并且在网络上的通信能够通过有线和/或无线连接启用。在一些实施方案中,可以利用轻量级通信协议(诸如MQTT、SMS或者其他消息协议或信道)通过网络318发送消息。消息可包括代理凭据,诸如来自代理设备实例312的公钥;以及设备配置信息320,诸如与代理设备实例相关联的IP地址、连接端口和/或其他连接信息。在一些实施方案中,消息可包括用于安全地连接到代理设备实例的指令。例如,计算设备312能够打开到代理设备实例312的SSH连接。然后计算设备302可通过网络320连接到代理设备实例312。在一些实施方案中,网络322可以是与网络318相同的网络。
在计算设备302及代理设备实例312被配置后,可将带有代理设备实例的访问信息的消息发送到客户端设备202。例如,可将IP地址及连接端口信息发送到客户端设备以用于打开与代理设备实例的安全连接。然后客户端设备202可通过网络324连接到代理设备实例312。在一些实施方案中,网络324可以是与网络310相同的网络。在各种实施方案中,用户可具有与其账户相关联的代理设备实例,并且能够指示设备管理服务器将用户的计算设备302与所述代理设备实例相关联。用户可向计算设备提供与所述实例相关联的公钥,所述实例由设备管理服务器318发送。
在一些实施方案中,设备管理服务器308能够保持计算设备-代理实例映射326,所述映射326将与计算设备相关联的设备标识符映射到代理设备实例。当代理设备实例被提供并且被配置为连接到特定计算设备时,可更新映射326以反映关联。相似地,当代理设备实例被撤销(例如,在不活动时段之后自动地、在用户指令下等),可从映射326去除代理设备实例。在一些实施方案中,可以接收请求以撤销来自计算设备的访问,例如如果代理凭据信息在计算设备和/或代理设备实例之间传递。在传递凭据之前,可以禁用由计算设备的访问。例如,设备管理服务器308能够识别计算设备与任何代理设备实例之间的任何现有连接(例如,SSH连接),并且在传递凭据或撤销凭据之前关闭这些连接。除此之外或另选地,计算设备和代理设备实例之间的任何现有连接可从映射326中去除。当从用户接收到后续请求后,映射使现有实例能够继续用于连接到计算设备。
在上述实施例中,在资源提供方环境中提供并管理代理设备的实例。实施方案还可在替代架构中实施,诸如请求驱动架构(例如,AWS Lambda),其不需要提供或管理特定实例。
图4示出实施例过程400,其用于管理能根据各种实施方案使用的计算设备的连接。应当理解,除非另外说明,在各种实施方案的范围内,对于本文所述的这个或其他过程来说,可以存在按类似或替代次序执行或者并行地执行的另外步骤、替代步骤或更少步骤。在本实施例中,从客户端设备接收402请求以访问远程计算设备,所述请求可包括设备标识符。然后过程可确定404设备标识符是否与代理设备实例相关联。
在一些实施方案中,在确定设备标识符与代理设备的实例相关联的情况下,可识别406与计算设备相关联的代理设备实例。如所论述,可由设备管理服务器保持计算设备代理设备映射。可指示408远程计算设备访问代理设备的实例。然后可将访问信息发送410到客户端设备以访问代理设备的实例。
在一些实施方案中,在确定设备标识符不与代理设备的实例相关联的情况下,设备管理服务器可发送请求以提供412代理设备的实例。设备管理服务器可配置414代理设备实例的实例,以利用与远程计算设备相关联的凭据信息来接受来自远程计算设备的连接。如所论述,凭据信息可包括与远程计算装置相关联的公钥。可将指令发送到远程计算设备以使远程计算设备访问416代理设备实例。远程计算设备可被配置为利用与代理设备实例相关联的凭据信息来访问代理设备的实例。如所论述,与代理设备实例相关联的凭据信息可包括与代理设备实例相关联的公钥。在一些实施方案中,可向远程计算设备提供IP地址以及与代理设备实例相关联的连接端口信息。
然后可生成418脚本以从代理设备的实例访问远程计算设备。脚本可包括端口映射信息、登录信息以及用于建立从代理设备的实例到远程计算设备的安全连接(例如,SSH连接)的其他信息。在一些实施方案中,脚本可存储在代理设备的实例可访问的数据存储库中。然后可向客户端设备发送420代理设备的实例的访问信息。
在一些实施方案中,代理设备的实例与设备标识符之间的关联可存储在索引或映射中。索引或映射能够保持多个远程设备与代理设备的多个实例之间的关联。在一些实施方案中,可接收用于撤销来自远程计算设备的访问的指令,并且可以从索引中去除代理设备的实例与设备标识符之间的关联。
在一些实施方案中,可向每个计算设备提供凭据信息,然后计算设备由最终用户接收。例如,设备制造商、分销商、零售商或其他实体可将凭据信息提供给计算设备。如所论述,设备管理服务器可请求提供代理设备的实例。在提供期间,可将代理设备的实例凭据信息提供给代理设备的实例。例如,可以为代理设备的实例生成公钥/私钥对和证书,并存储在实例上。
图5示出实施例计算设备500的一组基本组件,其可用来实现各种实施方案的方面。在本实施例中,设备包括用于执行可存储在存储器设备或元件504中的指令的至少一个处理器502。如本领域普通技术人员将显而易见的,设备可以包括多种类型的存储器、数据存储设备或计算机可读介质,诸如用于由至少一个处理器502执行的程序指令的第一数据存储器,相同或独立存储器可用于图像或者数据,可移动存储器可用于与其他设备共享信息,并且任何数量的通信方法可用于与其他设备进行共享。设备可包括至少一种类型的显示元件506,诸如触摸屏、电子墨水(e-ink)、有机发光二极管(OLED)或液晶显示器(LCD),但是诸如服务器的设备可能通过其他方法(诸如通过光与数据传输系统)来传送信息。设备通常将包括一个或多个联网组件508,诸如能够通过至少一个网络进行通信的端口、网络接口卡或无线收发器。设备可包括能够从用户接收常规输入的至少一个输入设备510。这种常规输入可包括例如按钮、触摸板、触摸屏、方向盘、操纵杆、键盘、鼠标、轨迹球、小键盘或者用户可用来向设备输入命令的任何其它此类设备或元件。在一些实施方案中,这些I/O设备甚至同样可以通过无线红外或蓝牙或其他链接来连接。然而,在一些实施方案中,此类设备可能根本不包括任何按钮,并且可能仅通过视觉命令与音频命令的组合加以控制,由此使得用户可在不必与设备接触的情况下控制设备。
如所论述,可以根据所描述的实施方案在各种环境中实现不同的方法。如将了解,尽管在若干本文所述的实施例中出于解释的目的使用基于Web的环境,但是可视情况使用不同环境来实现各种实施方案。系统包括电子客户端设备,所述电子客户端设备可包括能够操作以在适当网络上发送和接收请求、消息或信息并且将信息传送回设备用户的任何适当设备。此类客户端设备的实施例包括个人计算机、手机、手持式消息传递设备、膝上计算机、机顶盒、个人数据助理、电子书阅读器等等。网络可包括任何适当网络,所述适当网络包括内部网、互联网、蜂窝网、局域网或任何其他此类网络或者上述网络的组合。用于此类系统的组件可至少部分地取决于所选择的网络和/或环境的类型。用于通过此类网络通信的协议和组件是众所周知的,并且本文将不再详细讨论。网路上的通信可以通过有线或无线连接及其组合来实现。如本领域普通技术人员所显而易见的,在本实施例中,网络包括互联网,同时环境包括用于接收请求并且响应于所述请求而提供内容的Web服务器,但是对于其他网络来说,可使用服务类似目的的替代设备。
例示性环境包括数据存储库和至少一个应用服务器。应当理解,可存在可链接起来或以其他方式来配置的若干应用服务器、层或其他元件、进程或组件,它们可交互以执行诸如从适当数据存储库获得数据的任务。如本文所用,术语“数据存储库”是指能够存储、访问和检索数据的任何设备或设备组合,所述设备或设备组合可包括在任何标准环境、分布式环境或群集式环境中任何组合和任何数量的数据服务器、数据库、数据存储设备及数据存储介质。应用服务器可包括任何适当的硬件和软件,所述硬件和软件视执行客户端设备的一个或多个应用程序的方面的需要与数据存储库集成并且处置应用程序的大多数数据访问和业务逻辑。应用服务器提供与数据存储库协作的存取控制服务,并且能够生成将要传送到用户的诸如文本、图片、音频和/或视频的内容,在本实施例中所述内容可以HTML、XML或另一适当的结构化语言的形式由Web服务器向用户提供服务。所有请求和响应的处理以及客户端设备与应用服务器之间的内容递送可由Web服务器来处理。应当理解,Web服务器和应用服务器不是必要的,并且仅仅是实施例组件,因为本文所论述的结构化代码可在如本文其他地方所论述的任何适当设备或主机上执行。
数据存储库可包括若干独立的数据表、数据库或者用于存储与特定方面相关的数据的其它数据存储机构和介质。例如,所示出的数据存储库包括用于存储内容(例如,生成数据)和用户信息的机构,所述机构可用于为生成侧提供内容。还示出数据存储库,其包括用于存储日志或会话数据的机构。应当理解,可能存在可能需要存储在数据存储库中的许多其他方面,诸如页面图像信息与访问权信息,所述方面可视情况存储在上文列出的机构中的任何机构中或者存储在数据存储库中的另外机构中。数据存储库可通过与其相关联的逻辑来操作,以便从应用服务器接收指令,并且响应于所述指令而获得数据、更新数据或以其他方式处理数据。在一个实施例中,用户可以提交针对某种类型的项目的搜索请求。在这种情况下,数据存储库可访问用户信息以核实用户的身份,并且可访问目录详细信息以获得关于所述类型的项目的信息。接着可将信息诸如以网页上的结果列表的形式返回给用户,用户能够通过用户设备上的浏览器来查看所述列表。可在专用浏览器页面或窗口中查看感兴趣的特定项目的信息。
每个服务器通常将包括操作系统,所述操作系统提供用于服务器的一般管理和操作的可执行程序指令,并且每个服务器通常将包括存储指令的计算机可读介质,所述指令在由服务器的处理器执行时可使服务器执行它的预期功能。操作系统的合适的实现方式以及服务器的一般功能是众所周知的或可商购获得的,并且易于由本领域普通技术人员实现,尤其是根据本文中的公开来实现。
在一个实施方案中,环境是分布式计算环境,所述分布式计算环境利用通过通信链路、使用一个或多个计算机网络或直接连接来互连的若干计算机系统及组件。然而,本领域普通技术人员应理解,这种系统可在具有比所示出的更少或更多组件的系统中同样顺利地操作。因此,对本文中系统的描述本质上应视为例示性的,并且不限制本公开的范围。
可进一步在广泛范围的操作环境中实现各个实施方案,所述环境在一些情况下可包括一个或多个用户计算机或可用来操作多个应用程序中的任何一个的计算设备。用户或客户端设备可包括多个通用个人计算机中的任何一个,诸如运行标准操作系统的台式计算机或膝上型计算机,以及运行移动软件并且能够支持多个网络连接协议和消息传递协议的蜂窝装置、无线装置和手持式装置。此类系统还可包括多个工作站,所述工作站运行多种可商购获得的操作系统以及用于诸如开发和数据库管理的目的的其他已知应用程序中的任何一个。这些设备还可包括其他电子设备,诸如虚拟终端、精简型客户端、游戏系统以及能够通过网络通信的其他设备。
大多数实施方案利用本领域技术人员所熟悉的至少一个网络,所述网络使用各种可商购获得的协议(诸如TCP/IP、FTP、UPnP、NFS及CIFS)中的任何协议来支持通信。网络可以是例如局域网、广域网、虚拟专用网、互联网、内部网、外联网、公共交换电话网、红外网络、无线网络以及上述网络的任何组合。
在利用Web服务器的实施方案中,Web服务器可运行各种服务器或中间层应用程序中的任何应用程序,包括HTTP服务器、FTP服务器、CGI服务器、数据服务器、Java服务器及业务应用服务器。服务器还能够响应于来自用户设备的请求而执行程序或脚本,诸如通过执行可以实施为以任何编程语言(诸如
C、C#或C++)或任何脚本语言(诸如Perl、Python或TCL)以及其组合写成的一个或多个脚本或程序的一个或多个Web应用程序。服务器还可包括数据库服务器,包括但不限于可从
和
商购获得的服务器以及开源服务器(诸如MySQL、Postgres、SQLite、MongoDB),以及能够存储、检索和访问结构化或非结构化数据的任何其他服务器。数据库服务器可包括基于表格的服务器、基于文档的服务器、非结构化服务器、关系式服务器、非关系式服务器或者这些和/或其他数据库服务器的组合。
环境可包括如上文所论述的多种数据存储库以及其他存储器和存储介质。这些可驻留在多种位置中,诸如在一个或多个计算机本地(和/或驻留在一个或多个计算机中)的存储介质上,或远离网络上的计算机中的任何或所有计算机。在一组特定实施方案中,信息可以驻留在本领域技术人员所熟悉的存储区域网络(SAN)中。类似地,用于执行属于计算机、服务器或其他网络设备的功能的任何必要的文件可视情况存储在本地或远程。在系统包括计算机化装置的情况下,每个此类装置可包括可通过总线来电耦合的硬件元件,所述元件包括例如至少一个中央处理器(CPU)、至少一个输入设备(例如,鼠标、键盘、控制器、触敏显示元件或小键盘)以及至少一个输出这杯(例如,显示设备、打印机或扬声器)。此类系统还可包括一个或多个存储装置,诸如磁盘驱动器、光存储装置和固态存储装置(诸如随机存取存储器(RAM)或只读存储器(ROM)),以及可移动介质装置、存储卡、闪存卡等。
此类设备还可包括计算机可读存储介质读取器、通信设备(例如调制解调器、网卡(无线或有线)、红外通信设备)以及如上所述的工作存储器。计算机可读存储介质读取器可与计算机可读存储介质连接或被配置来接收计算机可读存储介质,所述计算机可读存储介质表示远程、本地、固定和/或可移动存储装置以及用于暂时和/或更永久地含有、存储、传输和检索计算机可读信息的存储介质。系统和各种设备通常还将包括位于至少一个工作存储器设备内的多个软件应用程序、模块、服务或其他元件,包括操作系统和应用程序,诸如客户端应用程序或Web浏览器。应当理解,替代实施方案相比上文所述的实施方案可具有众多变化。例如,也可使用定制硬件,并且/或者特定元件可以在硬件、软件(包括可移植软件,诸如小应用程序)或两者中实现。此外,可以采用与其他计算设备(诸如网络输入/输出设备)的连接。
用于包含编码或部分编码的存储介质和其他非暂态计算机可读介质可包括本领域已知或已使用的任何适当介质,诸如但不限于用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中所实施的易失性及非易失性、可移动及不可移动介质,所述介质包括RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用光盘(DVD)或其他光学存储器、磁盒、磁带、磁盘存储器或其他磁性存储装置,或可用于存储所要信息且可供系统设备访问的任何其他介质。基于本文所提供的公开和教导内容,本领域普通技术人员将了解用于实现各种实施方案的其他方式和/或方法。
根据以下条款,可更好地理解上述实施方案:
1.一种计算机实现的方法,其包括:
接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;
确定所述设备标识符不与代理设备的实例相关联;
检索与所述远程计算设备相关联的第一凭据信息;
发送请求以提供所述代理设备的所述实例;
利用所述第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;
接收来自所述代理设备的所述实例的第二凭据信息;
利用所述第二凭据信息来配置所述远程计算设备以访问所述代理装置的所述实例;
使所述远程计算设备访问所述代理设备的所述实例;
生成脚本以从所述代理设备的所述实例访问所述远程计算设备;
存储所述脚本于所述代理设备的所述实例可访问的数据存储库中;以及
发送所述代理设备的所述实例的访问信息至所述客户端设备。
2.如条款1所述的计算机实现的方法,其还包括:
确定所述设备标识符与所述代理设备的所述实例相关联;
使所述远程计算设备访问所述代理设备的所述实例;以及
发送所述代理设备的所述实例的访问信息至所述客户端设备。
3.如条款1所述的计算机实现的方法,其还包括:
存储所述代理设备的所述实例与所述设备标识符之间的关联于索引中,所述索引存储多个远程设备与所述代理设备的多个实例之间的关联。
4.如条款1所述的计算机实现的方法,其中,从所述远程计算设备到所述代理设备的所述实例的所述连接是第一安全外壳(SSH)连接,并且其中,当执行从所述代理设备的所述实例访问所述远程计算设备的脚本时,所述脚本打开第二SSH连接。
5.一种方法,其包括:
接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;
识别与所述设备标识符相关联的代理设备的实例;
利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;
利用第二凭据信息来配置所述远程计算设备以访问所述代理装置的所述实例;
使所述远程计算设备访问所述代理设备的所述实例;以及
发送所述代理设备的访问信息至所述客户端设备。
6.如条款5所述的方法,其中,识别与所述设备标识符相关联的代理设备的实例还包括:
确定所述设备标识符不与所述代理设备的所述实例相关联;
检索与所述远程计算设备相关联的所述第一凭据信息;以及
发送请求以提供所述代理设备的所述实例。
7.如条款5所述的方法,其中,所述第一凭据信息包括与所述远程计算设备相关联的公钥,并且所述第二凭据信息包括与所述代理设备的所述实例相关联的公钥。
8.如条款5所述的方法,其中,使所述远程计算设备访问所述代理设备的所述实例,还包括:
发送与所述代理设备的所述实例相关联的连接信息至所述远程计算设备,所述连接信息包括地址信息、端口信息及所述第二凭据信息;以及
指示所述远程计算设备利用所述第一凭据信息来打开第一安全连接。
9.如条款8所述的方法,其中,所述第一安全连接是第一安全外壳(SSH)连接,并且其中,当执行从所述代理设备的所述实例访问所述远程计算设备的脚本时,所述脚本打开第二SSH连接。
10.如条款5所述的方法,其中,识别与所述设备标识符相关联的代理设备的实例还包括:
确定所述设备标识符与所述代理设备的所述实例相关联;
使所述远程计算设备访问所述代理设备的所述实例;以及
发送所述代理设备的所述实例的访问信息至所述客户端设备。
11.如条款5所述的方法,其还包括:
存储所述代理设备的所述实例与所述设备标识符之间的关联于索引中,所述索引存储多个远程设备与所述代理设备的多个实例之间的关联。
12.如条款11所述的方法,其还包括:
接收指令以撤销来自所述远程计算设备的访问;以及
从索引中去除所述代理设备的所述实例与所述设备标识符之间的关联。
13.一种系统,其包括:
至少一个处理器;以及
包括指令的存储器,当由所述至少一个处理器执行时,所述指令使所述系统能够:
接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;
识别与所述设备标识符相关联的代理设备的实例;
利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;
利用第二凭据信息来配置所述远程计算设备以访问所述代理装置的所述实例;
使所述远程计算设备访问所述代理设备的所述实例;并且
发送所述代理设备的访问信息至所述客户端设备。
14.如条款13所述的系统,其中,当执行以识别与所述设备标识符相关联的代理设备的实例时,所述指令还使所述系统能够:
确定所述设备标识符不与所述代理设备的所述实例相关联;
检索与所述远程计算设备相关联的所述第一凭据信息;并且
发送请求以提供所述代理设备的所述实例。
15.如条款13所述的系统,其中,所述第一凭据信息包括与所述远程计算设备相关联的公钥,并且所述第二凭据信息包括与所述代理设备的所述实例相关联的公钥。
16.如条款13所述的系统,其中,当执行以使所述远程计算设备访问所述代理设备的所述实例时,所述指令还使所述系统能够:
发送与所述代理设备的所述实例相关联的连接信息至所述远程计算设备,所述连接信息包括地址信息、端口信息及所述第二凭据信息;并且
指示所述远程计算设备利用所述第一凭据信息来打开第一安全连接。
17.如条款16所述的系统,其中,所述第一安全连接是第一安全外壳(SSH)连接,并且其中,当执行从所述代理设备的所述实例访问远程所述计算设备的脚本时,所述脚本打开第二SSH连接。
18.如条款13所述的系统,其中,当执行以识别与所述设备标识符相关联的代理设备的实例时,所述指令还使所述系统能够:
确定所述设备标识符与所述代理设备的所述实例相关联;
使所述远程计算设备访问所述代理设备的所述实例;并且
发送所述代理设备的所述实例的访问信息至所述客户端设备。
19.如条款13所述的系统,其中,当由所述至少一个处理器执行时,所述指令还使所述系统能够:
存储所述代理设备的所述实例与所述设备标识符之间的关联于索引中,所述索引存储多个远程设备与所述代理设备的多个实例之间的关联。
20.如条款19所述的系统,其中,当由所述至少一个处理器执行时,所述指令还使所述系统能够:
接收指令以撤销来自所述远程计算设备的访问;并且
从索引中去除所述代理设备的所述实例与所述设备标识符之间的关联。
因此,应以例示性意义而不是限制性意义来理解本说明书和附图。然而,将明显的是,在不脱离如权利要求书中阐述的本发明的更宽广精神和范围的情况下,可以对本发明做出各种修改和改变。
Claims (15)
1.一种带有隧道的设备管理方法,其包括:
接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;
识别与所述设备标识符相关联的代理设备的实例;
利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;
利用第二凭据信息来配置所述远程计算设备以访问所述代理设备的所述实例;
使所述远程计算设备访问所述代理设备的所述实例,其中,使所述远程计算设备访问所述代理设备的所述实例还包括:发送第二凭据信息至所述远程计算设备;以及指示所述远程计算设备利用所述第二凭据信息来打开第一安全连接;以及
发送所述代理设备的所述实例的访问信息至所述客户端设备。
2.如权利要求1所述的带有隧道的设备管理方法,其中,识别与所述设备标识符相关联的代理设备的实例还包括:
确定所述设备标识符不与所述代理设备的所述实例相关联;
检索与所述远程计算设备相关联的所述第一凭据信息;以及
发送请求以提供所述代理设备的所述实例。
3.如权利要求1所述的带有隧道的设备管理方法,其中,所述第一凭据信息包括与所述远程计算设备相关联的公钥,并且所述第二凭据信息包括与所述代理设备的所述实例相关联的公钥。
4.如权利要求1所述的带有隧道的设备管理方法,其中,使所述远程计算设备访问所述代理设备的所述实例,还包括:
发送与所述代理设备的所述实例相关联的连接信息至所述远程计算设备,所述连接信息包括地址信息、端口信息及所述第二凭据信息;以及
指示所述远程计算设备利用所述第二凭据信息来打开第一安全连接。
5.如权利要求1所述的带有隧道的设备管理方法,其中,识别与所述设备标识符相关联的代理设备的实例还包括:
确定所述设备标识符与所述代理设备的所述实例相关联;
使所述远程计算设备访问所述代理设备的所述实例;以及
发送所述代理设备的所述实例的访问信息至所述客户端设备。
6.如权利要求1所述的带有隧道的设备管理方法,其还包括:
存储所述代理设备的所述实例与所述设备标识符之间的关联于索引中,所述索引存储多个远程设备与所述代理设备的多个实例之间的关联。
7.如权利要求6所述的带有隧道的设备管理方法,其还包括:
接收指令以撤销来自所述远程计算设备的访问;以及
从索引中去除所述代理设备的所述实例和所述设备标识符之间的关联。
8.一种带有隧道的设备管理系统,其包括:
至少一个处理器;以及
包括指令的存储器,当由所述至少一个处理器执行时,所述指令使所述系统能够:
接收来自客户端设备的请求以访问远程计算设备,所述请求包括设备标识符;
识别与所述设备标识符相关联的代理设备的实例;
利用第一凭据信息来配置所述代理设备的所述实例以接受来自所述远程计算设备的连接;
利用第二凭据信息来配置所述远程计算设备以访问所述代理设备的所述实例;
使所述远程计算设备访问所述代理设备的所述实例,其中,使所述远程计算设备访问所述代理设备的所述实例还包括:发送第二凭据信息至所述远程计算设备;以及指示所述远程计算设备利用所述第二凭据信息来打开第一安全连接;并且
发送所述代理设备的实例的访问信息至所述客户端设备。
9.如权利要求8所述的带有隧道的设备管理系统,其中,当执行以识别与所述设备标识符相关联的代理设备的实例时,所述指令还使所述系统能够:
确定所述设备标识符不与所述代理设备的所述实例相关联;
检索与所述远程计算设备相关联的所述第一凭据信息;并且
发送请求以提供所述代理设备的所述实例。
10.如权利要求8所述的带有隧道的设备管理系统,其中,所述第一凭据信息包括与所述远程计算设备相关联的公钥,并且所述第二凭据信息包括与所述代理设备的所述实例相关联的公钥。
11.如权利要求8所述的带有隧道的设备管理系统,其中,当执行以使所述远程计算设备访问所述代理设备的所述实例时,所述指令还使所述系统能够:
发送与所述代理设备的所述实例相关联的连接信息至所述远程计算设备,所述连接信息包括地址信息、端口信息及所述第二凭据信息;并且
指示所述远程计算设备利用所述第二凭据信息来打开第一安全连接。
12.如权利要求11所述的带有隧道的设备管理系统,其中,所述第一安全连接是第一安全外壳(SSH)连接,并且其中,当执行从所述代理设备的所述实例访问远程所述计算设备的脚本时,所述脚本打开第二SSH连接。
13.如权利要求8所述的带有隧道的设备管理系统,其中,当执行以识别与所述设备标识符相关联的代理设备的实例时,所述指令还使所述系统能够:
确定所述设备标识符与所述代理设备的所述实例相关联;
使所述远程计算设备访问所述代理设备的所述实例;并且
发送所述代理设备的所述实例的访问信息至所述客户端设备。
14.如权利要求8所述的带有隧道的设备管理系统,其中,当由所述至少一个处理器执行时,所述指令还使所述系统能够:
存储所述代理设备的所述实例与所述设备标识符之间的关联于索引中,所述索引存储多个远程设备与所述代理设备的多个实例之间的关联。
15.如权利要求14所述的带有隧道的设备管理系统,其中,当由所述至少一个处理器执行时,所述指令还使所述系统能够:
接收指令以撤销来自所述远程计算设备的访问;并且
从索引中去除所述代理设备的所述实例和所述设备标识符之间的关联。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/968,697 US9900301B2 (en) | 2015-12-14 | 2015-12-14 | Device management with tunneling |
| US14/968,697 | 2015-12-14 | ||
| PCT/US2016/066408 WO2017106208A2 (en) | 2015-12-14 | 2016-12-13 | Device management with tunneling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108370379A CN108370379A (zh) | 2018-08-03 |
| CN108370379B true CN108370379B (zh) | 2021-02-02 |
Family
ID=58765894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680073142.8A Active CN108370379B (zh) | 2015-12-14 | 2016-12-13 | 带有隧道的设备管理方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9900301B2 (zh) |
| EP (1) | EP3391616B1 (zh) |
| CN (1) | CN108370379B (zh) |
| WO (1) | WO2017106208A2 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11474767B1 (en) * | 2014-05-28 | 2022-10-18 | Amazon Technologies, Inc. | Print from web services platform to local printer |
| US9913143B1 (en) * | 2016-11-28 | 2018-03-06 | Amazon Technologies, Inc. | Auto-provisioning device |
| US11159490B2 (en) * | 2017-11-03 | 2021-10-26 | F5 Networks, Inc. | Methods and devices for service-discovering reverse-tunnel proxy and tunnel service center |
| CN108540523B (zh) * | 2018-02-08 | 2022-03-22 | 苏州乐轩科技有限公司 | 物连网装置管理装置、通讯系统及通讯方法 |
| US10963375B1 (en) * | 2018-03-23 | 2021-03-30 | Amazon Technologies, Inc. | Managing maintenance operations for a distributed system |
| CN108684039B (zh) * | 2018-04-23 | 2021-12-03 | 上海泰砚通信技术有限公司 | 一种ac集群的自动化管理方法 |
| CN110943968B (zh) * | 2018-09-25 | 2022-04-26 | 杭州海康威视系统技术有限公司 | 一种设备接入控制方法及设备接入组件 |
| US11784874B2 (en) | 2019-10-31 | 2023-10-10 | Juniper Networks, Inc. | Bulk discovery of devices behind a network address translation device |
| US11159370B2 (en) * | 2019-10-31 | 2021-10-26 | Juniper Networks, Inc. | Bulk discovery of devices behind a network address translation device |
| US11012492B1 (en) * | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
| CN113301080B (zh) * | 2020-06-09 | 2022-08-02 | 阿里巴巴集团控股有限公司 | 资源调用方法、设备、系统及存储介质 |
| US11611631B2 (en) | 2021-02-18 | 2023-03-21 | Panduit Corp. | Secure remotely controlled system, device, and method |
| CN113259344B (zh) * | 2021-05-11 | 2023-04-07 | 商汤国际私人有限公司 | 远程访问方法及装置、电子设备和存储介质 |
| WO2022269340A1 (en) * | 2021-06-24 | 2022-12-29 | L&T Technology Services Limited | Method and system for remote testing of devices |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2293765A1 (en) * | 1999-12-23 | 2001-06-23 | Solutioninc. Ltd. | Internet access server |
| JP2002077274A (ja) * | 2000-08-31 | 2002-03-15 | Toshiba Corp | ホームゲートウェイ装置、アクセスサーバ装置及び通信方法 |
| US7114080B2 (en) * | 2000-12-14 | 2006-09-26 | Matsushita Electric Industrial Co., Ltd. | Architecture for secure remote access and transmission using a generalized password scheme with biometric features |
| US7681229B1 (en) * | 2004-06-22 | 2010-03-16 | Novell, Inc. | Proxy authentication |
| US20060069782A1 (en) * | 2004-09-16 | 2006-03-30 | Michael Manning | Method and apparatus for location-based white lists in a telecommunications network |
| JP4700063B2 (ja) * | 2004-11-19 | 2011-06-15 | ノースロップ グラマン コーポレイション | リアルタイムパケット処理システムおよび方法 |
| JP2006148661A (ja) * | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
| CN101119195B (zh) * | 2006-08-01 | 2011-09-21 | 华为技术有限公司 | 一种远程访问授权与认证的方法及其系统 |
| US8799470B2 (en) * | 2011-03-11 | 2014-08-05 | Qualcomm Incorporated | System and method using a client-local proxy-server to access a device having an assigned network address |
| GB2498531A (en) * | 2012-01-18 | 2013-07-24 | Renesas Mobile Corp | Network access using credentials stored on a virtual SIM |
| US9092613B2 (en) * | 2013-07-25 | 2015-07-28 | Iboss, Inc. | Device authentication using proxy automatic configuration script requests |
| US8893255B1 (en) * | 2013-10-23 | 2014-11-18 | Iboss, Inc. | Device authentication using device-specific proxy addresses |
-
2015
- 2015-12-14 US US14/968,697 patent/US9900301B2/en active Active
-
2016
- 2016-12-13 WO PCT/US2016/066408 patent/WO2017106208A2/en active Application Filing
- 2016-12-13 EP EP16867429.9A patent/EP3391616B1/en active Active
- 2016-12-13 CN CN201680073142.8A patent/CN108370379B/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| A Proxy-Based Mobile Computing Infrastructure;Azade Khalaj;《2012 Third FTRA International Conference on Mobile, Ubiquitous, and Intelligent Computing》;20120920;21-28 * |
| 一种安全高效的校园边界网设计与实现;邓晓峰;《中国优秀硕士学位论文全文数据库信息科技辑》;20120415(第4期);I139-170 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108370379A (zh) | 2018-08-03 |
| US9900301B2 (en) | 2018-02-20 |
| EP3391616B1 (en) | 2020-04-22 |
| US20170171182A1 (en) | 2017-06-15 |
| EP3391616A2 (en) | 2018-10-24 |
| WO2017106208A9 (en) | 2019-11-07 |
| WO2017106208A3 (en) | 2017-08-17 |
| WO2017106208A2 (en) | 2017-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108370379B (zh) | 带有隧道的设备管理方法和系统 | |
| US10764273B2 (en) | Session synchronization across multiple devices in an identity cloud service | |
| US10715564B2 (en) | Dynamic client registration for an identity cloud service | |
| JP7018437B2 (ja) | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 | |
| US10693861B2 (en) | Task segregation in a multi-tenant identity and data security management cloud service | |
| US10348858B2 (en) | Dynamic message queues for a microservice based cloud service | |
| US9838376B1 (en) | Microservices based multi-tenant identity and data security management cloud service | |
| CN108370374B (zh) | 证书更新和部署 | |
| US11792199B2 (en) | Application-assisted login for a web browser | |
| US10261836B2 (en) | Dynamic dispatching of workloads spanning heterogeneous services | |
| CN111045788B (zh) | 用于虚拟机实例的自动目录加入 | |
| US10911426B2 (en) | Custom authenticator for enterprise web application | |
| EP3513540A1 (en) | Single sign-on and single logout functionality for a multi-tenant identity and data security management cloud service | |
| US10511584B1 (en) | Multi-tenant secure bastion | |
| US9590848B2 (en) | Cloud based virtual mobile device | |
| JP2017503231A (ja) | マネージドディレクトリサービスのための識別プールブリッジング | |
| Naik et al. | Workload monitoring in hybrid clouds | |
| US9887872B2 (en) | Hybrid application environments including hosted applications and application servers for interacting with data in enterprise environments | |
| US10623370B1 (en) | Secure data flow for virtual workspaces | |
| US20160285819A1 (en) | Sharing and controlling electronic devices located at remote locations using xmpp server | |
| WO2021206832A1 (en) | Remoting user credential information to a remote browser | |
| US20240129306A1 (en) | Service to service communication and authentication via a central network mesh | |
| WO2023039697A1 (en) | Centralized collection of application files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |