CN111628960A - 用于网络管理的系统和方法 - Google Patents

用于网络管理的系统和方法 Download PDF

Info

Publication number
CN111628960A
CN111628960A CN202010123805.0A CN202010123805A CN111628960A CN 111628960 A CN111628960 A CN 111628960A CN 202010123805 A CN202010123805 A CN 202010123805A CN 111628960 A CN111628960 A CN 111628960A
Authority
CN
China
Prior art keywords
client device
gateway device
address
gateway
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010123805.0A
Other languages
English (en)
Other versions
CN111628960B (zh
Inventor
弗朗索瓦·卢瓦索
米罗斯拉夫·彼得·克洛鲍
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
OVH SAS
Original Assignee
OVH SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by OVH SAS filed Critical OVH SAS
Publication of CN111628960A publication Critical patent/CN111628960A/zh
Application granted granted Critical
Publication of CN111628960B publication Critical patent/CN111628960B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/102Gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/547Remote procedure calls [RPC]; Web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses

Abstract

描述了用于连接至专用网络上的网络服务的方法和系统。网关设备可以协调公共网络上的客户端设备与专用网络上的主机设备之间的通信。客户端设备可以请求经由网关设备访问主机设备。网关设备可以对客户端设备进行认证。网关设备可以对客户端设备与主机设备之间的通信进行转码,从而掩蔽客户端设备和主机设备的地址。网关设备可以在客户端设备与网关设备之间以及网关设备与主机设备之间保持两种不同的加密方法。

Description

用于网络管理的系统和方法
技术领域
本文描述的实施方式总体上涉及用于提供对网络服务的访问的系统和方法,并且更具体地,涉及用于在公共网络上的客户端设备与由专用网络上的主机设备提供的服务之间建立连接的系统和方法。
背景技术
用户可能希望访问网络中的管理服务。服务可以包括由网络中的主机设备提供的虚拟网络管理服务、虚拟机监视服务和/或任何其他类型的服务。用户可能正在使用与提供服务的主机设备连接至同一网络的客户端设备。例如,客户端设备和主机设备可以位于相同的物理位置并且物理上连接至同一网络。在其他情况下,客户端设备可能不与主机设备连接至同一网络。例如,在用户旅行并连接至移动网络或公共Wi-Fi时,用户可能希望经由其移动设备管理虚拟网络。
可能不能经由公共网络例如因特网访问服务。为了防止未授权的用户获得对服务的访问,可能会限制服务连接至其专用网络之外的设备。为了在经由因特网连接时访问服务,客户端设备可以连接至虚拟专用网络(virtual private network,VPN),以与服务进行通信。连接至VPN可能是麻烦的,例如因为可能需要对客户端设备的大量配置。由于该原因和其他原因,因此可能期望在不使用VPN的情况下从公共网络访问服务。
在背景技术部分中讨论的主题不应仅仅由于其在背景技术部分中提到而被认为是现有技术。类似地,在背景技术部分中提到的或与背景技术部分的主题相关联的问题不应被认为先前在现有技术中已经认识到。背景技术部分中的主题仅表示不同的方法。
发明内容
以下概述仅用于说明性目的,并不旨在限制或约束详细描述。以下概述仅以简化形式呈现各种所描述的方面,作为下面提供的更详细描述的序言。
网关设备可以提供用于供公共网络上的客户端设备访问专用网络上的网络服务的门户。网关设备可以用于在可以由用户访问的客户端设备与提供用户请求访问的服务的主机设备之间建立连接和/或管理所述连接。主机设备可以连接至专用网络。主机设备和/或专用网络可以被配置成禁止专用网络外部的设备访问主机设备。客户端设备可以连接至公共网络,例如因特网。网关设备可以被配置成与专用网络上的设备和公共网络上的设备二者通信。
客户端设备可以向网关设备发送访问由主机设备提供的服务的请求。网关设备可以认证客户端设备以确定用户是否被授权访问服务。网关设备可以将认证请求发送至认证设备。认证设备可以将指示客户端设备是否已经被认证的指示发送至网关设备。
在接收到客户端设备被成功认证的指示之后,网关设备可以存储客户端设备的地址、客户端设备已经被认证的指示以及与认证相对应的时间戳。网关设备可以确定用于供客户端设备在经由网关设备访问服务时使用的地址和/或端口。网关设备可以将所确定的地址信息发送至客户端设备。
网关设备可以在由客户端设备使用来与网关设备通信的端口与由主机设备使用来与网关设备通信的端口之间创建端口绑定。客户端设备可以将旨在用于服务的数据发送至网关设备。网关设备可以对从客户端设备接收的数据进行转码(transcode),并且将经转码的数据发送至主机设备。主机设备可以将旨在用于客户端设备的数据发送至网关设备。网关设备可以对从主机设备接收的数据进行转码,并且将经转码的数据发送至客户端设备。
在一个方面,本技术的各种实现方式可以提供一种方法,该方法包括:在网关设备处经由公共网络从客户端设备接收访问由专用网络中的主机设备提供的服务的请求。网关设备可以与公共网络通信,并且可以与分开的专用网络通信。可以将认证客户端设备的请求发送至认证设备。可以从认证设备接收客户端设备已经被认证的指示。网关设备可以存储记录。该记录可以包括客户端设备的地址、客户端设备的地址已经被认证的指示和/或与认证相对应的时间戳。可以将用于与服务进行通信的地址发送至客户端设备。可以在由客户端设备使用来访问网关设备的第一端口与由网关设备使用来访问主机设备的第二端口之间创建端口绑定。可以经由外部网络在第一端口上接收来自客户端设备的访问服务的请求。可以对客户端设备与主机设备之间的通信进行转码,从而对客户端设备掩蔽主机设备的地址。
在本说明书的上下文中,除非另外明确规定,否则计算机系统可以指代但不限于“电子设备”、“操作系统”、“系统”、“基于计算机的系统”、“控制器单元”、“监视设备”、“控制设备”、“网络设备”和/或其适合于当前相关任务的任何组合。
在本说明书的上下文中,除非另外明确规定,否则表述“计算机可读介质”和“存储器”旨在包括无论任何性质和种类的介质,其非限制性示例包括RAM、ROM、盘(CD-ROM、DVD、软盘、硬盘驱动器等)、USB密钥、闪存卡、固态驱动器和/或磁带驱动器。仍然在本说明书的上下文中,“一种”计算机可读介质和“该”计算机可读介质不应被解释为是同一计算机可读介质。相反,并且在适当的时候,“一种”计算机可读介质和“该”计算机可读介质还可以被解释为第一计算机可读介质和第二计算机可读介质。
在本说明书的上下文中,除非另外明确规定,否则词语“第一”、“第二”、“第三”等用作形容词,仅是为了使得能够在它们所修饰的名词彼此之间进行区分的目的,而不是为了描述这些名词之间的任何特定关系的目的。
本技术的实现方式每个均可以具有上述目的和/或方面中的至少之一,但是不必具有所有这些目的和/或方面。应当理解,由于试图获得上述目的而产生的本技术的某些方面可能不满足该目的和/或可能满足本文未具体叙述的其他目的。
根据以下描述、附图和所附权利要求,本技术的实现方式的附加和/或替选特征、方面和优点将变得明显。
附图说明
关于以下描述、权利要求书和附图,将更好地理解本公开内容的这些和其他特征、方面和优点。本公开内容通过示例的方式示出,并且不受附图的限制,在附图中,类似的附图标记指示相似的元件。
图1示出了根据本公开内容的一个或更多个说明性方面的经由网关设备的通信的图。
图2A和图2B是根据本公开内容的一个或更多个说明性方面的用于经由网关设备访问服务的方法的流程图。
图3示出了根据本公开内容的一个或更多个说明性方面的经由网关设备访问服务的客户端的示例性呼叫流程图。
图4A和图4B是根据本公开内容的一个或更多个说明性方面的用于对数据进行转码的方法的流程图。
图5示出了可以用于实现本文描述的任何方法的示例计算系统。
具体实施方式
在以下对各种说明性实施方式的描述中,参考附图,这些附图形成了本说明书的一部分,并且在附图中通过说明的方式示出了可以实践本公开内容的方面的各种实施方式。应当理解,在不脱离本公开内容的范围的情况下,可以利用其他实施方式,并且可以进行结构或功能上的修改。
客户端设备的用户可能希望访问由连接至专用网络(例如虚拟网络)的主机设备提供的各种服务。客户端设备可以与主机设备连接至同一专用网络,在这种情况下,客户端设备可以能够直接与主机设备通信。客户端设备可以使用虚拟专用网络(VPN)连接至专用网络,在这种情况下,客户端设备可以能够经由VPN直接与主机设备通信。
在某些情况下,客户端设备可能不与主机设备连接至同一专用网络。客户端设备可以连接至公共网络,例如因特网。客户端设备的用户可以经由公共网络请求访问由主机设备提供的服务。
网关设备可以协调对服务的访问。公共网络上的客户端设备可以经由网关设备访问服务。图1示出了根据本公开内容的一个或更多个说明性方面的经由网关设备的通信的图。网关设备125可以经由公共网络例如因特网150与客户端设备160通信。一个或更多个防火墙设备175可以在网关设备125与因特网150之间提供防火墙。防火墙设备175可以监测网关设备125与经由因特网150与网关设备125通信的任何外部设备之间的业务。尽管被示为单独的设备,但是防火墙设备175可以是网关设备125的一部分。网关设备125可以与专用网络155上的主机设备165通信,专用网络155可以是虚拟网络。
客户端设备160和/或主机设备165可以连接至任何数量的公共网络和/或专用网络。尽管客户端设备160被示为直接与因特网150通信,但是客户端设备160可以经由其他网络例如专用网络访问因特网150。
专用网络155可以包括一个或多个数据中心内的主机设备165的虚拟网络。专用网络155可以包括与组织相对应的主机设备165,例如,专用网络155可以包括由单独的商业实体控制的多个web(网络)服务器。尽管网关设备125在图1中被示为连接至因特网150和专用网络155,但是网关设备125可以连接至任意数量的公共网络和专用网络及公共网络和专用网络的组合。
网关设备125可以提供对专用网络155中的一个或更多个服务的访问,一个或更多个服务例如虚拟网络管理应用130、web客户端135、虚拟机监视器140、网络管理组件145和/或任何其他服务。例如,服务可以包括VMware虚拟网络服务,例如vCenter、ESXi、vSphere、NSX管理者(NSX Manager)等。这些服务可以用于管理网络的各个方面。例如,用户可以访问虚拟网络管理应用130以配置虚拟网络。专用网络155上的主机设备165和/或服务可以被配置成与专用网络155上的其他设备和/或服务通信,但是可能不被配置成与其他网络上的设备(例如连接至因特网150的客户端设备160)通信。出于安全原因或其他原因,可能阻止主机设备165与专用网络155外的任何设备(例如经由因特网150通信的设备)通信。网关设备125可以能够经由专用网络155进行通信,并且因此可以与专用网络155上的主机设备165通信。网关设备125与主机设备165之间的通信可以被加密。
在因特网150上进行通信的客户端设备160可以使用若干接口中的任何一个连接至网关设备并与网关设备通信。客户端设备160可以经由应用编程接口(API)105、web客户端110、SSH文件传输协议(SFTP)客户端115、虚拟网络管理工具120或任何其他合适的接口进行通信。客户端设备160可以在与网关设备125的整个会话中使用同一类型的接口。例如,如果客户端设备160最初经由SFTP客户端115连接至网关设备125,则客户端设备160可以继续使用SFTP客户端115与网关设备125通信,直到在客户端设备160与网关设备125之间终止会话。客户端设备160与网关设备125之间的通信可以加密,例如通过使用公钥加密来加密。因特网150上使用的加密方法可以不同于专用网络155上使用的加密方法。由于专用网络不可公开访问并且因此专用网络上的通信不太可能被未授权方访问,因此与用于经由因特网150与客户端设备160进行通信的加密方法相比,较不安全的加密方法可以被用于经由专用网络155与主机设备165通信。
当客户端设备160最初连接至网关设备125时,可以使用认证服务170来认证客户端设备160。客户端设备160可以将证书发送至网关设备125。证书可以包括用户名和密码、令牌和/或任何其他证书。网关设备125可以将与客户端设备160相对应的证书发送至认证服务170。认证服务170可以基于证书来认证客户端设备160。在验证了与客户端设备160相对应的证书之后,认证服务170可以将客户端设备160已经被认证的指示发送至网关设备125。认证服务170可以经由专用网络155和/或经由任何其他网络与网关设备通信。
在认证了客户端设备160之后,网关设备可以访问数据库180以确定要打开的端口。可以基于由客户端设备160正在使用的接口和/或由客户端设备160所请求的服务来确定端口。网关设备125可以查询数据库180以确定端口号。网关设备125可以经由专用网络155或任何其他网络与数据库通信。在确定了端口号之后,网关设备可以将端口号发送至客户端设备160。网关设备125可以指示防火墙设备175打开端口。防火墙设备175可以将对端口的访问限制到客户端设备160的地址。
使用网关设备125,连接至因特网150的客户端设备160可以访问专用网络155上的服务,而不管提供那些服务的主机设备165是否被配置成与专用网络155外的设备进行通信。网关设备125可以协调因特网150上的客户端设备160与专用网络155上的主机设备165之间的通信。当经由因特网150与客户端设备160通信时,网关设备125可以掩蔽专用网络155上的主机设备165的地址。主机设备165的地址可以包括主机名。当经由专用网络155与主机设备165通信时,网关设备125可以掩蔽因特网150上的客户端设备160的地址。客户端设备160的地址可以包括因特网协议(IP)地址。数据库180可以包括要应用于数据以掩蔽地址的一个或更多个转码函数。
图2A和图2B是根据本公开内容的一个或更多个说明性方面的用于经由网关设备访问服务的方法的流程图。方法200或其一个或更多个步骤可以由一个或更多个计算设备或实体例如下面和图5中描述的计算环境500执行。不受限制地,方法200的全部或部分可以在计算环境500例如客户端设备160、网关设备125和/或主机设备165上执行。方法200或其一个或更多个步骤可以以存储在计算机可读介质(例如非暂态计算机可读介质)中的计算机可执行指令的形式实施。流程图中的某些步骤或部分步骤可以被省略或更改顺序。
在步骤205处,可以接收访问服务的请求。可以经由因特网150通过网关设备125接收该请求。该请求可以源自客户端设备160。该服务可以包括由一个或更多个主机设备165提供的服务。主机设备165可以经由专用网络155进行通信。
网关设备125可以在与用于访问网关设备125的接口相对应的端口处接收请求。例如,如果客户端设备160使用SFTP客户端115来访问网关设备125,则可以使用通常与SFTP相关联的端口。客户端设备160可能先前已经配置有用于与网关设备125通信的地址和/或端口。
该请求可以包括客户端设备160的地址例如IP地址。该请求可以包括与客户端设备160相对应的认证证书和/或与客户端设备160的用户相对应的认证证书。认证证书可以包括用户名和密码和/或任何其他证书。该请求可以包括客户端设备160正在请求访问哪些服务的指示。例如,该请求可以指示客户端设备160正在请求访问虚拟网络管理应用130、web客户端135、虚拟机监视器140、网络管理组件145和/或任何其他服务。
在步骤210处,可以发送认证客户端设备的请求。网关设备125可以将该请求发送至认证服务170。该请求可以包括从客户端设备160接收到的认证证书。该请求可以经由HTTP来发送并且可以利用Apache代理配置进行映射。认证服务170可以包括轻量目录访问协议(LDAP)服务、诸如VMware的vCenter SSO的单点登录(SSO)服务、活动目录(AD)服务或任何其他合适的认证模块。
在步骤215处,认证服务170可以确定认证证书是否正确。认证服务170可以将接收到的认证证书与存储的证书进行比较。认证服务170可以执行用于验证接收到的证书的真实性的其他函数例如密码函数。认证服务170可以向网关设备125发送该证书是否被证实的指示。从认证服务170发送的格式可以取决于认证服务170的类型。例如,如果使用LDAP服务来执行认证,则可以以与使用SSO服务时的格式不同的格式来发送结果。
如果在步骤215处认证证书验证失败,则可以在步骤220处向客户端设备160发送错误消息。错误消息可以指示认证已经失败。网关设备125可以向客户端设备160发送认证失败的指示。
如果认证证书被证实,则在步骤225处网关设备125可以存储指示客户端设备160已被认证的记录。该记录可以包括客户端设备160的地址、与认证相对应的时间戳、客户端设备160的访问级别和/或特权的指示和/或与客户端设备160相对应的任何其他信息。该记录可以指示客户端设备160的认证到期的时间。在该时间之后,客户端设备160可能被拒绝访问主机设备165,直至客户端设备160再次被认证。
在步骤230处,可以针对客户端设备160确定连接信息。可以基于由客户端设备160请求的服务来确定连接信息和/或可以基于由客户端设备160用来与网关设备125通信的接口来确定连接信息。连接信息可以包括用于经由网关设备125与服务进行通信的地址和/或端口。该地址可以是网关设备125的地址,例如网关设备125在因特网150上的IP地址。可以基于指示哪些端口对应于哪些服务的预定义列表来选择端口。可以在网关设备125的部署期间定义该预定义列表。
在步骤235处,可以在客户端设备160与一个或更多个主机设备165之间创建端口绑定。网关设备125可以存储这样的记录:该记录指示经由与客户端设备160相对应的端口接收的通信将被转码并且然后被发送至主机设备165。网关设备125可以使用端口至端口映射、类似代理的端口映射、基于应用的映射或任何其他合适的端口映射机制来创建端口绑定。
在步骤240处,可以打开客户端设备160已被指示使用的端口。通常,出于安全性和其他原因,该端口可能关闭。可以忽略与关闭端口相对应的接收到的通信。网关设备125可以打开端口。网关设备125可以被配置成将经由打开的端口的通信限制到客户端设备160的地址。可以忽略通过该端口从其他设备接收到的任何通信。网关设备125可以指示防火墙设备175打开端口。
在步骤245处,可以向客户端设备160发送在步骤230处确定的连接信息。然后客户端设备160可以使用该连接信息来经由网关设备125与所请求的服务进行通信。所发送的连接信息可以包括用于与所请求的服务进行通信的地址和/或端口。该地址可以是网关设备125的地址。该端口可以是在步骤240处打开的端口。
在客户端设备160接收到连接信息之后,客户端设备160可以开始经由连接信息中指示的端口与网关设备125进行通信。在步骤250处,网关设备125可以对客户端设备160与主机设备165之间的通信进行转码。通过对通信进行转码,网关设备125可以使客户端设备160与主机设备165之间的所有通信都通过网关设备125。客户端设备160可以与主机设备165进行通信,就好像它们彼此直接通信一样,尽管事实是所有通信都通过网关设备125进行路由和转码。
网关设备可以在客户端设备160与主机设备165之间的任何通信中改变地址,或者换句话说,网关设备可以对通信执行地址转换。专用网络155上的主机设备165的地址可以对客户端设备160保持隐藏。因特网150上的客户端设备160的地址可以对主机设备165保持隐藏。转录数据的示例性方法在下面关于图4A和图4B进行更详细地描述。
在步骤255处,客户端设备160与主机设备165之间的连接可以被终止。网关设备125可以删除客户端设备160的IP地址,从而防止客户端设备160与网关设备125通信。可以从授权地址列表中删除该IP地址。客户端设备160经由网关设备125访问主机设备165的权限可以在预定量的时间之后或者基于缺少活动而被撤销。例如,如果客户端设备160与主机设备165之间十分钟没有通信,则客户端设备160的授权可能超时。如果用户希望继续访问服务,则客户端设备160可以与网关设备125通信以再次进行认证。
图3示出了根据本公开内容的一个或更多个说明性方面的经由网关设备访问服务的客户端的示例性呼叫流程图。尽管图3中的呼叫流程图示出了按顺序发生的一系列事件,但是此图只是本文描述的步骤的示例性说明,并且图中的某些步骤或部分步骤可以被省略或更改顺序。
在时间305处,客户端设备160可以请求连接至服务。该服务可以由经由专用网络155进行通信的主机设备165提供。客户端设备160可以将该请求发送至网关设备125的第一端口号。如上面所描述的,该请求可以包括用于认证客户端设备160的证书。
在时间310处,网关设备125可以向认证服务170发送认证客户端设备的请求。在时间315处,认证服务170可以确定接收到的证书是否有效。尽管未示出,但是如果证书无效,则认证服务170可以向网关设备125发送认证失败的指示。如果证书有效,则在时间315处认证服务170可以向网关设备125发送证书已被证实并且认证成功的指示。
在时间320处,网关设备125可以存储客户端设备160已被认证的指示。网关设备125可以存储客户端设备的IP地址。网关设备125可以存储与认证相对应的时间戳和/或认证到期的时间。
在时间325处,网关设备125可以打开第二端口。网关设备125可以将第二端口的编号发送至客户端设备160。在时间330处,客户端设备160可以开始经由第二端口号与服务进行通信。客户端设备160可以通过网关设备125与服务通信。
在时间335处,网关设备125可以经由第二端口从客户端设备160接收数据。数据可以针对主机设备165处的服务。网关设备125可以对接收到的数据进行解密。网关设备125可以对经解密的数据进行转码以掩蔽客户端设备160的IP地址。网关设备125可以用网关设备125的地址替换客户端设备160的IP地址。
在对数据进行转码之后,网关设备125可以使用在网关设备125与主机设备165之间使用的加密方法对数据进行加密。然后,网关设备125可以将经加密的数据发送至主机设备165。
在时间340处,主机设备165可以将来自服务的数据(例如对来自客户端设备160的请求进行响应的数据)发送至网关设备125。在时间345处,网关设备125可以对数据进行解密。网关设备125可以对数据进行转码。网关设备125可以从数据中移除专用网络155上的主机设备165的地址。网关设备125可以用网关设备125的地址替换主机设备165的地址。在对数据进行转码之后,网关设备125可以根据在网关设备125与客户端设备160之间使用的加密方法来对数据进行加密。在对经转码的数据进行加密之后,网关设备125可以将经加密的数据发送至客户端设备160。
客户端设备160可以在时间350处从网关设备125接收数据并且对数据进行解密。尽管数据是从网关设备125发送的,但是客户端设备160可以对该数据进行处理,就好像该数据是直接从主机设备165发送的一样。尽管被示为以特定顺序发生,但是客户端设备160与主机设备165之间的传输可以以任何顺序发生。客户端设备160和主机设备165可以同时经由网关设备125向彼此发送数据。
图4A和图4B是根据本公开内容的一个或更多个说明性方面的用于对数据进行转码的方法400的流程图。方法400或其一个或更多个步骤可以由一个或更多个计算设备或实体例如下面和图5中描述的计算环境500执行。不受限制地,方法400的全部或部分可以在计算环境500例如客户端设备160、网关设备125和/或主机设备165上执行。方法400或其一个或更多个步骤可以以存储在计算机可读介质例如非暂态计算机可读介质中的计算机可执行指令的形式实施。流程图中的某些步骤或部分步骤可以被省略或更改顺序。
在步骤405处,可以从客户端设备160接收经加密的数据。可以通过网关设备125接收经加密的数据。可以经由因特网150接收经加密的数据。该数据可以旨在由主机设备165提供的服务。可以使用公钥加密系统或通过任何其他加密方法对数据进行加密。可以使用安全套接字层(SSL)加密、传输层安全性(TLS)和/或任何其他合适的加密方法对数据进行加密。
在步骤410处,可以对经加密的数据进行解密。如果使用公钥加密,则网关设备125可以使用私钥对数据进行解密。可以分析经解密的数据,并且在步骤415处可以确定经解密的数据的协议。网关设备125可以确定经解密的数据的协议。例如,网关设备125可以确定经解密的数据对应于TLS加密。可以基于经解密的数据的报头来确定协议。
在确定与接收到的数据相对应的协议之后,在步骤420处可以从多个函数中选择与该协议相对应的函数。网关设备125可以包括存储要用于对数据进行转码的函数的数据库(例如数据库180)或者与该数据库通信。这些函数可以是先前已经生成的。每个函数可以指示该函数被配置用于的特定协议或多个协议。这些函数可以包括描述如何转录根据该协议格式化的数据的指令。这些函数可以指示如何在数据内查找和/或替换地址。例如,这些函数可以指示如何使用网关设备125替换客户端设备160的地址。
在步骤420处,可以搜索数据库180以确定是否存在与接收到的数据的协议相对应的函数。在步骤420处确定的函数可以在步骤425处应用于经解密的数据,从而对经解密的数据进行转码。通过将该函数应用于经解密的数据,可以从经解密的数据中去除客户端设备160的地址的任何实例并将其用网关设备125的地址替换。该函数可以包括用于对数据执行其他修改的指令,这些修改例如将域名更改为启用SSL的证书、更改与主机设备165相对应的地址、更改数据中的指纹、更改用户名、阻拦用户名和/或其他修改。
在步骤430处,可以对经转码的数据进行加密。可以使用在网关设备125与主机设备165之间约定的方法对数据进行加密。在步骤435处,可以将经加密的数据发送至主机设备165。可以经由专用网络155将数据发送至主机设备165。
在步骤440处,网关设备125可以从主机设备165接收经加密的数据。可以经由专用网络155接收数据。经加密的数据可以旨在客户端设备160并且可以对在步骤435处由主机设备接收到的数据进行响应。在步骤445处,网关设备可以对来自主机设备的经加密的数据进行解密。可以根据在网关设备125与主机设备165之间使用的加密方法来对数据进行解密。
在步骤450处,网关设备可以确定经解密的数据的协议。该协议可以是与在步骤415处确定的协议相同的协议或者可以是不同的协议。在步骤455处,可以从多个函数中选择与在步骤450处确定的协议相对应的函数。
在步骤460处,可以将所选择的函数应用于经解密的数据,从而对该数据进行转码。可以从数据中去除主机设备165的地址的任何出现并且将其用网关设备125的地址替换。可以变更或去除已经被指示为不应在专用网络155外部发送的数据的任何域名或任何其他数据。转码函数可以使用与端口绑定相对应的端口和域名替换专用网络155的任何IP地址的出现。可以将代理与过滤器一起使用以替换实时数据流内的数据。
在对数据进行转码之后,可以在步骤465处根据网关设备125与客户端设备160之间使用的加密方法对所得到的数据进行加密。在步骤470处,可以将经加密的数据发送至客户端设备。尽管图4描述了步骤的示例性顺序,但是客户端设备160和主机设备165可以以任何顺序和/或同时来回地向彼此发送数据。
图5示出了根据本技术的实施方式的计算环境500的图。在一些实施方式中,计算环境500可以通过任何常规的个人计算机、服务器、路由器、交换机、控制器和/或电子设备(例如但不限于移动设备、平板设备、服务器、控制器单元、控制设备、监视设备等)和/或其适合于当前相关任务的任意组合来实现。在一些实施方式中,计算环境500包括各种硬件组件,所述硬件组件包括由处理器510统一表示的一个或更多个单核或多核处理器、固态驱动器520、诸如随机存取存储器530的存储器设备以及输入/输出接口550。计算环境500可以是专门设计用于在数据中心环境中操作的计算机。计算环境500可以是通用计算机系统。
在一些实施方式中,计算环境500也可以是上面列出的系统之一的子系统。在一些实施方式中,计算环境500可以是“现成的”通用计算机系统。在一些实施方式中,计算环境500可以分布在多个系统中。计算环境500可以专门致力于本技术的实现。如本技术领域的技术人员可以理解的,在不脱离本技术的范围的情况下,可以想到关于如何实现计算环境500的多种变型。
可以通过一个或更多个内部和/或外部总线(例如,PCI总线、通用串行总线、IEEE1394“火线”总线、SCSI总线、串行ATA总线、ARINC总线等)来实现计算环境500的各个组件之间的通信,其中各个硬件组件都电耦接至所述一个或更多个内部和/或外部总线。
输入/输出接口550可以提供诸如有线或无线访问的联网能力。作为示例,输入/输出接口550可以包括联网接口,例如但不限于一个或更多个网络端口、一个或更多个网络套接字、一个或更多个网络接口控制器等。可以如何实现联网接口的多个示例对于本技术领域的技术人员将变得明显。例如但不限于,联网接口可以实现特定的物理层和数据链路层标准,例如以太网、光纤通道、Wi-Fi或令牌环。特定的物理层和数据链路层可以为完整的网络协议栈提供基础,从而允许在同一局域网(LAN)上小组群的计算机之间进行通信,以及通过可路由协议例如因特网协议(IP)进行大规模网络通信。
根据本技术的实现方式,固态驱动器520存储适合于被加载至随机存取存储器530中并由处理器510执行的程序指令。例如,程序指令可以是库的一部分或应用。尽管被示出为固态驱动器520,但是可以使用任何类型的存储器例如硬盘、光盘和/或可移除存储介质来代替固态驱动器520。
虽然已经参考以特定顺序执行的特定步骤描述和示出了上述实现方式,但是应当理解,在不脱离本技术的教导的情况下,可以对这些步骤进行组合、细分或重新排序。这些步骤中的至少一些可以并行或串行地执行。因此,步骤的顺序和分组不是对本技术的限制。
应该明确地理解,并非在本技术的每个实施方式中都需要享有本文中提到的所有技术效果。
对本技术的上述实现方式的修改和改进对于本领域技术人员而言将变得明显。前述描述旨在是示例性的而不是限制性的。因此,本技术的范围旨在仅由所附权利要求书的范围来限制。

Claims (14)

1.一种方法,包括:
在网关设备处经由公共网络从客户端设备接收访问由专用网络中的主机设备提供的服务的请求,其中,所述网关设备与所述公共网络通信并且与所述专用网络通信;
从所述网关设备向认证服务发送认证所述客户端设备的请求;
在所述网关设备处从所述认证服务接收所述客户端设备已经被认证的指示;
通过所述网关设备存储包括以下内容的记录:
所述客户端设备的地址,以及
所述客户端设备的地址已经被认证的指示;
在所述网关设备处在以下之间创建端口绑定:
用于与所述服务进行通信的所述网关设备的第一端口和关联地址,其中,所述第一端口被打开以供所述客户端设备访问所述网关设备,以及
用于供所述网关设备访问所述主机设备的第二端口;
从所述网关设备向所述客户端设备发送与用于与所述服务进行通信的所述网关设备的所述第一端口和所述关联地址相对应的端口号;以及
在所述网关设备处经由所述公共网络在所述第一端口上接收要发送至所述主机设备的数据,所述数据包括已经发送所述数据的设备的地址;以及
如果已经发送所述数据的设备的地址与所述客户端设备的地址相对应,其中针对所述客户端设备打开了所述第一端口:
则通过所述网关设备用所述网关设备在所述专用网络上的地址替换所述数据中包含的所述客户端设备的地址,以及
将所述数据从所述网关设备转发至所述主机设备;
其中,在所述第一端口处从所述客户端设备以外的设备接收到的通信被所述网关设备忽略。
2.根据权利要求1所述的方法,还包括在预定量的时间之后撤销所述客户端设备的认证。
3.根据权利要求2所述的方法,其中,撤销所述客户端设备的认证包括:从授权地址的列表中移除所述客户端设备的地址。
4.根据权利要求1至3中任一项所述的方法,还包括:
从所述主机设备接收其他数据,所述其他数据包括所述主机设备的地址;以及
在将所述其他数据发送至所述客户端设备之前,用所述网关设备在所述公共网络上的地址替换所述主机设备的地址。
5.根据权利要求1至4中任一项所述的方法,其中,所述主机设备的地址包括主机名。
6.根据权利要求1至5中任一项所述的方法,其中,所述服务包括虚拟网络管理工具。
7.根据权利要求1至6中任一项所述的方法,其中,所述专用网络包括虚拟网络。
8.根据权利要求1至7中任一项所述的方法,其中,使用安全套接字层SSL加密来对所述客户端设备与所述网关设备之间的通信进行加密。
9.根据权利要求1至8中任一项所述的方法,其中,所述客户端设备请求通过经由第三端口与所述主机设备通信来访问所述服务。
10.根据权利要求9所述的方法,其中,经由所述第三端口接收来自所述客户端设备的利用所述网关设备进行认证的请求。
11.根据权利要求1至10中任一项所述的方法,其中,所述客户端设备使用应用程序接口API请求访问所述服务。
12.根据权利要求1至11中任一项所述的方法,其中,所述记录还包括与所述客户端设备的认证相对应的时间戳。
13.根据权利要求1至12中任一项所述的方法,其中,用于与所述服务进行通信的所述网关设备的所述关联地址包括所述网关设备在所述公共网络上的地址。
14.一种装置,包括:
至少一个处理器;以及
包括可执行指令的存储器设备,所述可执行指令在由所述至少一个处理器执行时使所述装置执行根据权利要求1至13中任一项所述的方法。
CN202010123805.0A 2019-02-27 2020-02-27 用于连接至专用网络上的网络服务的方法和装置 Active CN111628960B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP19315009.1A EP3703331B1 (en) 2019-02-27 2019-02-27 Systems and methods for network management
EP19315009.1 2019-02-27

Publications (2)

Publication Number Publication Date
CN111628960A true CN111628960A (zh) 2020-09-04
CN111628960B CN111628960B (zh) 2022-11-25

Family

ID=65955143

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010123805.0A Active CN111628960B (zh) 2019-02-27 2020-02-27 用于连接至专用网络上的网络服务的方法和装置

Country Status (6)

Country Link
US (1) US11431761B2 (zh)
EP (1) EP3703331B1 (zh)
CN (1) CN111628960B (zh)
CA (1) CA3073673A1 (zh)
DK (1) DK3703331T3 (zh)
PL (1) PL3703331T3 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073540A (zh) * 2020-11-10 2020-12-11 腾讯科技(深圳)有限公司 数据处理方法、装置、相关设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1855847A (zh) * 2005-04-14 2006-11-01 阿尔卡特公司 公共与专用网络服务管理系统和方法
US20080077789A1 (en) * 2006-09-26 2008-03-27 Kabushiki Kaisha Toshiba Server, method, and computer program product for mediating communication
CN201194396Y (zh) * 2008-05-08 2009-02-11 天津市国瑞数码安全系统有限公司 基于透明代理网关的安全网关平台
CN102282801A (zh) * 2009-01-20 2011-12-14 微软公司 对专用网络资源的从该网络之外的远程访问
US20130128892A1 (en) * 2004-07-23 2013-05-23 Goutham P. Rao Method and systems for routing packets from a gateway to an endpoint
US20150326503A1 (en) * 2014-05-07 2015-11-12 Gigamon Inc. Map sharing for a switch device
US20150381567A1 (en) * 2006-01-26 2015-12-31 Unisys Corporation Cleartext gateway for secure enterprise communications

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8984140B2 (en) * 2004-12-14 2015-03-17 Hewlett-Packard Development Company, L.P. Managing connections through an aggregation of network resources providing offloaded connections between applications over a network
US8566452B1 (en) 2006-08-03 2013-10-22 F5 Networks, Inc. Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels
US8782414B2 (en) 2007-05-07 2014-07-15 Microsoft Corporation Mutually authenticated secure channel
CN101902400A (zh) 2010-07-21 2010-12-01 成都市华为赛门铁克科技有限公司 网关负载均衡方法、系统和客户端设备
US8943570B1 (en) 2010-12-02 2015-01-27 Cellco Partnership Techniques for providing enhanced network security
US8694993B1 (en) 2011-03-31 2014-04-08 Emc Corporation Virtualization platform for secured communications between a user device and an application server
WO2013020207A1 (en) 2012-01-30 2013-02-14 Martello Technologies Corporation Method and system for providing secure external client access to device or service on a remote network
US9286444B2 (en) 2012-02-28 2016-03-15 Verizon Patent And Licensing Inc. Next generation secure gateway
US8891540B2 (en) * 2012-05-14 2014-11-18 Juniper Networks, Inc. Inline network address translation within a mobile gateway router
GB2509709A (en) * 2013-01-09 2014-07-16 Ibm Transparent encryption/decryption gateway for cloud storage services
US9762563B2 (en) * 2015-10-14 2017-09-12 FullArmor Corporation Resource access system and method
US10341118B2 (en) 2016-08-01 2019-07-02 A10 Networks, Inc. SSL gateway with integrated hardware security module
US20180121260A1 (en) * 2016-10-31 2018-05-03 Intuit Inc. Defining variability schemas in an application programming interface (api)
US20180295017A1 (en) * 2017-04-11 2018-10-11 Fujitsu Limited Dynamic interface identification and configuration

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130128892A1 (en) * 2004-07-23 2013-05-23 Goutham P. Rao Method and systems for routing packets from a gateway to an endpoint
CN1855847A (zh) * 2005-04-14 2006-11-01 阿尔卡特公司 公共与专用网络服务管理系统和方法
US20150381567A1 (en) * 2006-01-26 2015-12-31 Unisys Corporation Cleartext gateway for secure enterprise communications
US20080077789A1 (en) * 2006-09-26 2008-03-27 Kabushiki Kaisha Toshiba Server, method, and computer program product for mediating communication
CN201194396Y (zh) * 2008-05-08 2009-02-11 天津市国瑞数码安全系统有限公司 基于透明代理网关的安全网关平台
CN102282801A (zh) * 2009-01-20 2011-12-14 微软公司 对专用网络资源的从该网络之外的远程访问
US20150326503A1 (en) * 2014-05-07 2015-11-12 Gigamon Inc. Map sharing for a switch device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112073540A (zh) * 2020-11-10 2020-12-11 腾讯科技(深圳)有限公司 数据处理方法、装置、相关设备及存储介质
CN112073540B (zh) * 2020-11-10 2021-02-12 腾讯科技(深圳)有限公司 数据处理方法、装置、相关设备及存储介质

Also Published As

Publication number Publication date
US20200274903A1 (en) 2020-08-27
EP3703331A1 (en) 2020-09-02
CA3073673A1 (en) 2020-08-27
EP3703331B1 (en) 2021-04-14
DK3703331T3 (da) 2021-05-10
PL3703331T3 (pl) 2021-08-23
US11431761B2 (en) 2022-08-30
CN111628960B (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
US10938785B2 (en) Multi-tunneling virtual network adapter
JP6656157B2 (ja) ネットワーク接続自動化
EP2625643B1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
EP2936733B1 (en) Secure mobile app connection bus
US10417428B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal providing a remote desktop accessible in secured and unsecured environments
AU2015381737B2 (en) Multi-tunneling virtual network adapter
US11184336B2 (en) Public key pinning for private networks
EP1634175A2 (en) Multilayer access control security system
CN111628960B (zh) 用于连接至专用网络上的网络服务的方法和装置
US11171786B1 (en) Chained trusted platform modules (TPMs) as a secure bus for pre-placement of device capabilities
CN113709113A (zh) 一种基于三端分离设计的云桌面的安全可信认证方法
EP3651427B1 (en) Systems and methods for connection management
WO2022219551A1 (en) Computer-implemented methods and systems for establishing and/or controlling network connectivity
Bishop et al. Windows Firewall with Advanced Security Design Guide and Deployment Guide

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant