CN112470443A - 将复位向的生物辨识装置隔离到远程会话 - Google Patents

将复位向的生物辨识装置隔离到远程会话 Download PDF

Info

Publication number
CN112470443A
CN112470443A CN201980048795.4A CN201980048795A CN112470443A CN 112470443 A CN112470443 A CN 112470443A CN 201980048795 A CN201980048795 A CN 201980048795A CN 112470443 A CN112470443 A CN 112470443A
Authority
CN
China
Prior art keywords
session
identity
application
biometric
biometric device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980048795.4A
Other languages
English (en)
Other versions
CN112470443B (zh
Inventor
戈库尔·T·瓦杰拉韦尔
拉马努加姆·K·文卡特什
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dell Products LP
Original Assignee
Dell Products LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dell Products LP filed Critical Dell Products LP
Publication of CN112470443A publication Critical patent/CN112470443A/zh
Application granted granted Critical
Publication of CN112470443B publication Critical patent/CN112470443B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/148Migration or transfer of sessions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces
    • G06F9/452Remote windowing, e.g. X-Window System, desktop virtualisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Measurement Of The Respiration, Hearing Ability, Form, And Blood Characteristics Of Living Organisms (AREA)
  • Measuring And Recording Apparatus For Diagnosis (AREA)

Abstract

一种用于将生物辨识装置隔离到用户会话的方法。可透过堆栈在装置驱动器堆栈的顶部的筛选驱动器来实现会话级别限制。当用户将生物辨识装置复位向至远程会话时,筛选驱动器可获取生物辨识装置的身份标识并对此身份标识与复位向的用户的远程会话的会话身份标识之间的映射进行维护。然后,当在服务器上执行的应用程序试图对生物辨识装置进行枚举时,挂钩组件可检测并调节相应的响应,以移除未被定向至应用程序在其中执行的相同用户会话的任何生物辨识装置。这样,应用程序将无法发现被复位向至其他用户会话的任何生物辨识装置。

Description

将复位向的生物辨识装置隔离到远程会话
背景技术
本发明关于虚拟桌面基础架构(VDI)环境中的通用串行总线(USB)装置的复位向。通常,USB装置复位向是指:使得连接到客户端计算机的USB装置可于虚拟桌面内被存取,好像该USB装置已物理地连接于虚拟桌面。换言之,当执行USB装置复位向时,用户可将USB装置连接到他/她的用户终端,并且USB装置将好像被连接到服务器一样的运行。
图1、图2及随后的描述中将对本发明一些实施例中可执行USB装置复位向的方式加以概述。在图1中,所描述的计算机系统100包含经由网络106与服务器104进行通讯的多个用户终端102a-102n(此处,统称为客户端计算机102)。服务器104可支持远程会话(例如,远程桌面会话),其中位于客户端计算机102处的用户可从客户端计算机102对位于服务器104处的应用程序与数据进行存取。可使用诸如远程桌面协议(RDP)与
Figure BDA0002909213360000011
独立计算架构(ICA)的多种习知技术中的任何一种技术建立上述连接。
客户端计算机102可为计算机、移动电话(如,智能电话)、笔记本电脑、个人数字助理(PDA)、便携式计算机终端或具有处理器的适宜的终端或装置。服务器104可为计算机、笔记本电脑、计算机终端、虚拟机(如,
Figure BDA0002909213360000012
Virtual Machine)、桌面会话(如,Microsoft Terminal Server)、已发布的应用程序(如,Microsoft Terminal Server)或具有处理器的适宜的终端。
客户端计算机102可透过向服务器104传送用于远程存取的请求及身份验证信息(例如,登录名及密码),藉以发起与服务器104的远程会话。若服务器104接受来自客户端计算机102的身份验证信息,则服务器104可建立远程会话,藉以令用户可于客户端计算机102对服务器104处的应用程序与数据进行存取。在进行远程会话期间,服务器104可透过网络106向客户端计算机102传送显示数据,其中显示数据可包含服务器104上所运行的一个或多个应用程序和/或桌面的显示数据。例如,桌面可包含可于服务器104上启动的不同应用程序所对应的图标。显示数据可使客户端计算机102于本地显示出在服务器104上所运行的应用程序和/或桌面。
在进行远程会话期间,客户端计算机102可透过网络106向服务器104传送用户命令(如透过客户端计算机102的鼠标或键盘所输入的用户命令)。进而,服务器104可对来自客户端计算机102的用户命令进行处理(与由服务器104本地从输入装置所接收的用户命令相类似地处理)。例如,若用户命令包含鼠标的移动,则服务器104可相应地于服务器104所运行的桌面上移动光标。而当桌面和/或应用程序的显示数据因用户命令而产生变化时,服务器104会将更新后的显示数据传送至客户端计算机102。因此,客户端计算机102可于本地显示更新后的显示数据,藉以使客户端计算机102处的用户可看到服务器104上因用户命令所产生的变化。综合上述各种方面,客户端计算机102处的用户可于本地看到在远程的服务器104上所运行的桌面和/或应用程序,并且用户可将命令输入到在远程的服务器104上所运行的桌面和/或应用程序。而从客户端计算机的角度来看,在服务器104上所运行的桌面可被视为虚拟桌面环境。基于本申请的目的,装置240可以表示生物辨识装置,例如指纹扫描仪。
图2为根据本发明一些实施例的本地装置虚拟化系统200的方块图。系统200可包含如图1所示的可透过网络106与服务器104进行通讯的客户端计算机102。客户端计算机102可包含网络代理(proxy)210、短截驱动器(stub driver)220与总线驱动器230。如图2所示,客户端计算机102可连接至装置240。服务器104可包含:代理装置(agent)250和虚拟总线驱动器260。
根据USB装置复位向技术,当装置240既非于本地又未物理地连接至服务器104且远离服务器104时,如以下所讨论的,对于服务器104而言,装置240好像在本地连接于服务器104一般。因此,对于服务器104而言,装置240恰似虚拟装置290。
作为说明而非限制,装置240可以是任何类型的USB装置(此USB装置包含计算机可读存储介质(如,快闪存储装置))、打印机、扫描仪、相机、传真机、电话、音频装置(如耳机)、视频装置(如照相机)、外围装置或者可连接至客户端计算机102的其它适当的装置。同时,装置240可以是外部装置(即,位于客户端计算机102外部)或内部装置(即,位于客户端计算机102内部)。
总线驱动器230可用于使客户端计算机102的操作系统和程序与装置240相互作用。在一方面,当装置240连接至客户端计算机102(例如,被插入客户端计算机102的端口)时,总线驱动器230可对装置240的存在进行检测并从装置240读取关于此装置240的信息(“装置信息”)。这些装置信息可包含装置240所特有的特征、特性、或其它信息,诸如装置描述符(如:产品身份标识、供货商身份标识和/或其他信息)、配置描述符、接口描述符、端点描述符和/或字符串描述符。总线驱动器230可透过计算机总线或者其它有线接口或无线通信接口与装置240进行通讯。
根据USB装置复位向技术,可从服务器104对装置240进行存取,好像此装置是本地连接于服务器104一样。当客户端计算机102透过在服务器104上运行的远程会话连接至服务器104时,可由服务器104对装置240进行存取。例如,可由在服务器104上所运行的桌面(即,虚拟桌面环境)对装置240进行存取。为此,总线驱动器230可加载短截驱动器220以作为装置240的默认驱动器。短截驱动器220可向网络代理210报告装置240的存在并向网络代理210提供装置信息(如,装置描述符)。网络代理210可用于透过网络106(如,经由传输控制协议插座或用户数据元协议插座)向服务器104的代理装置250报告装置240的存在以及装置信息。因此,短截驱动器220经由网络代理210将装置240复位向至服务器104。
代理装置250可从网络代理210处接收装置240连接至客户端计算机102的报告及装置信息。代理装置250还可用于将来自网络代理210的报告关联于客户端计算机102的一个或多个身份标识和/或使客户端计算机102连接到服务器104的远程会话的一个或多个身份标识,其中身份标识例如会话号或会话本地唯一身份标识(LUID)。代理装置250可将装置240的通知与装置信息一并提供至虚拟总线驱动器260。虚拟总线驱动器260(可以是Dell公司的Wyse TCX USB总线驱动器或任何其他总线驱动器)可用于创建与装置240相应的记录并将此记录存储于内存中。此记录可包含从代理装置250所接收的至少一部分装置信息与会话身份标识。虚拟总线驱动器260可用于向服务器104的操作系统170报告装置240已连接并向操作系统提供装置信息。这样,即使将装置240是连接于客户端计算机102,服务器104的操作系统亦可辨识出装置240的存在。
服务器104的操作系统可透过装置信息以在服务器104处为装置240搜寻并加载一个或多个适当的装置驱动器。如图2所示,各驱动器可具有相关联的装置对象(对象281a、对象281b、…对象281n,以下统称为装置对象281)。装置对象281是为实际的装置240或虚拟化装置290(或概念化装置)的软件实现方式。不同的装置对象281可相互层迭,以提供完整的功能。这些不同的装置对象281可关联于不同的装置驱动器(驱动器282a、驱动器282b、…驱动器282n,统称为装置驱动器282)。本一实例中,诸如USB快闪驱动器的装置240可具有相关的装置对象,这些相关的装置对象包含:对应于总线驱动器的对象、对应于存储驱动器的对象、对应于卷管理器驱动器的对象及对应于装置的文文件系统驱动器的对象。对应于同一装置240的多个装置对象281可形成用于装置240的分层的装置堆栈280。例如,对于USB装置来讲,USB总线驱动器将创建装置对象281a,藉以表明已插入新的装置。接下来,操作系统的即插即用(PNP)组件将为装置240搜寻并加载最佳的驱动器,这将创建层迭于先前的装置对象281a上的另一个装置对象281b。装置对象281的层迭将创建装置堆栈280。
装置对象281可存储于与虚拟总线驱动器260相关的服务器104的内存中。具体来讲,装置对象281与所获得的装置堆栈280可存储于服务器104的随机存取内存中。不同的装置240/装置290可具有装置堆栈,这些装置堆栈所具有的装置对象不相同且装置对象的数量亦不相同。可对装置堆栈进行排序,藉以使较低阶的装置对象(对应于较低阶的装置驱动器)的编号小于较高阶的装置对象(对应于较高阶的装置驱动器)。可从较高阶对象至较低阶对象向下的对装置堆栈加以遍历。例如,在对应于USB快闪驱动器的示意性的装置堆栈280实例中,可从处于高阶的文文件系统驱动器装置对象开始向下的对排序的装置堆栈加以遍历,进而遍历至卷管理器驱动器装置对象、存储驱动器装置对象、USB驱动器装置对象,直至低阶的虚拟总线驱动器装置对象。不同的装置堆栈280又可相互层迭,藉以在诸如USB耳机或USB笔驱动器的装置内提供装置240/装置290的功能。例如,USB笔驱动器可先创建USB装置堆栈,进而于这种USB装置堆栈上创建存储装置堆栈,其中每个装置堆栈具有两个或更多个装置对象。
一旦服务器104的操作系统170加载了一个或多个装置对象281,各装置对象281便可创建到装置对象281及相关的装置驱动器282的符号链接(亦被称为装置接口)。符号链接由服务器104上运行的应用程序使用,藉以对装置对象281和装置240/290进行存取。可透过调用诸如IoCreateSymbolicLink()的功能创建符号链接,其中前述IoCreateSymbolicLink()包含:诸如符号链接的名称及装置对象281或相关装置240的名称的自变量(argument)。例如,在一个实例中,可透过将用于装置240的装置对象281调用至IoCreateSymbolicLink()功能,藉以创建到USB快闪驱动器的装置240的符号链接,其中IoCreateSymbolicLink()包含自变量“\\GLOBAL??\C:”(即,符号链接的名称)与自变量“\Device\HarddiskVolume1”(即,装置对象的名称)。
此处,符号链接的创建导致于操作系统170的目标管理名称空间(OMN)中创建输入数据(entry)。目标管理名称空间将信息存储在符号链接上,其中符号链接是为操作系统170而创建并由操作系统170所使用,其包含用于装置240的符号链接、虚拟化的装置290的符号链接及在服务器104上运行的应用程序270的符号链接。
作为符号链接的创建过程的结果,于服务器104的目标管理名称空间中对装置240的符号链接进行枚举。一旦向服务器104的操作系统170报告装置240的存在,便可由在服务器104(即,虚拟桌面环境)上运行的远程会话(即,相关联的桌面)对装置240进行存取。例如,装置240可显示为在虚拟桌面环境上的图标和/或装置240可由在服务器104上运行的应用程序存取。
在服务器104上运行的应用程序270可透过向操作系统170传送处理请求而对装置240进行存取,其中处理请求包含用于装置240的符号链接。操作系统170可咨询目标管理名称空间,以检索装置240自身的地址或其他身份标识或与装置240相关的装置对象281的地址或其他身份标识。利用所检索到的地址或身份标识,操作系统170直接透过装置堆栈280的装置对象281和/或透过虚拟总线驱动器260将用于装置240的处理请求传送。虚拟总线驱动器260可将处理请求传送至代理装置250,代理装置250可透过网络106再将处理请求传送至网络代理210。网络代理210从代理装置250处接收处理请求,并将所接收到的处理请求传送至短截驱动器220。然后,短截驱动器220可透过总线驱动器230将处理请求传送至装置240。
总线驱动器230可从装置240处接收处理请求的结果并将处理请求的结果传送至短截驱动器220。短截驱动器220将处理请求的结果传送至网络代理210,网络代理210透过网络106将处理请求的结果传送至代理装置250。代理装置250将处理请求的结果传送至虚拟总线驱动器260。而后,虚拟总线驱动器260将处理请求的结果传送至应用程序270(直接地或是透过装置堆栈280的装置对象281)。
因此,虚拟总线驱动器260可从应用程序270接收装置240的处理请求并将此处理请求的结果送回至应用程序270(直接地或是透过装置堆栈280的装置对象281)。这样,应用程序270可与虚拟总线驱动器260相互作用,其方式与本地地连接至服务器104的装置的总线驱动器相同。虚拟总线驱动器260可隐藏其向代理装置250(而非本地连接至服务器104的装置)传送处理请求并从代理装置250(而非本地连接至服务器104的装置)接收处理请求的结果的事实。因此,连接至客户端计算机102的装置240对于应用程序270来说就好像物理装置240本地连接到服务器104一样。
而在诸如Windows操作系统的某些操作系统中,对装置240的符号链接的创建可导致于对像管理器命名空间的全局命名空间中创建输入数据。由于符号链接是创建于全局命名空间中,所以可从运行于服务器104上的任何会话中对符号链接进行存取。因此,可从服务器104上的任何用户会话和/或从在服务器104上具有有效用户会话的任意用户终端对与符号链接相关的装置240进行存取。
通常,不期望允许透过任意的用户会话对复位向装置进行存取。为此,已开发出许多技术来实现“会话级别限制”,藉以使得仅可透过复位向用户的远程会话(即,复位向装置所连接到的用户终端的用户的远程会话)内所执行的应用程序来对复位向装置进行存取。
在第8,990,394号的美国专利中揭露了一种技术,其包含装载驱动器以作为欲对其进行限制的一种类别的装置的高阶筛选驱动器,进而使得驱动器可以防止并阻拦由另一个用户会话所发起的对复位向装置进行的存取作业。虽然,这种技术可用于多种类别的装置,但这种技术却无法适用于生物辨识装置。特别是,在这种技术中,高阶筛选驱动器辨识与针对复位向装置的各输入/输出请求相关的用户会话,然后基于所辨识的用户会话限制存取。然而,对于生物辨识装置而言,操作系统可使得针对生物辨识装置的所有输入/输出请求都透过无用户授权的会话中所运行的服务程序(例如,透过在会话0中运行的WindowsBiometric Service)处理。
图3示出的实例说明如何由在远程会话中运行的应用程序270对复位向的生物辨识装置340/390进行存取。如图所示,图2和图3中所示出的复位向架构大体上是相同的。两者的差异在于应用程序270如何对复位向装置进行存取。由于复位向装置是为生物辨识装置,所以将需要在用户会话/远程会话中执行的应用程序270,以使用生物辨识程序库170b(如,Winbio DLL)来对生物辨识装置340进行存取。更具体而言,当应用程序270调用生物辨识程序库170b的功能以对生物辨识装置340进行存取时,此功能将调用运行于会话0中的生物辨识服务程序170a。然后,生物辨识服务程序170a将与生物辨识装置驱动器堆栈380进行交互(如透过使得适当的输入输出请求封包被送至堆栈下方)。若基于第8,990,394号美国专利所揭露的技术将高阶筛选驱动器添加至生物辨识装置的驱动器堆栈中,则筛选驱动器将无法透过输入/输出请求来将应用程序270确定为此输入/输出请求的来源。相反,输入/输出请求将被看来是由生物辨识服务程序170a从会话0内发起的。值得注意的是,若在另一用户的远程会话中运行的应用程序试图对复位向的生物辨识装置340进行存取,亦会出现上述状况。
发明内容
本发明涵盖了用于将复位向的生物辨识装置隔离到远程会话的方法、系统及计算机程序产品。可透过堆栈在用于复位向的生物辨识装置的装置驱动器堆栈的顶部的筛选驱动器来实现会话级别限制。当用户将生物辨识装置复位向至远程会话时,筛选驱动器可获取生物辨识装置的身份标识并对此身份标识与复位向的用户的远程会话的会话身份标识之间的映射进行维护。然后,当在服务器上执行的应用程序试图对生物辨识装置进行枚举时,挂钩组件可对相应的响应进行检测与调节,以移除未被复位向至应用程序在其中执行的相同用户会话的任何生物辨识装置。这样,应用程序将无法发现被复位向至其他用户会话的任何生物辨识装置。
在本发明的一个实施例中,揭露了一种用于将生物辨识装置隔离到用户会话的方法。响应在用户会话中执行的应用程序请求对连接于服务器的多个生物辨识装置进行枚举,挂钩组件对包含生物辨识装置的身份标识的枚举响应进行拦截。挂钩组件从枚举响应中提取生物辨识装置的身份标识,并将身份标识送至筛选驱动器。筛选驱动器利用生物辨识装置的身份标识来获得生物辨识装置复位向到的用户会话的会话身份标识,并将会话身份标识返回挂钩组件。挂钩组件对从筛选驱动器所接收的会话身份标识与应用程序正在其中执行的用户会话的会话身份标识进行比较。当挂钩组件确定从筛选驱动器所接收的会话身份标识与应用程序正在其中执行的用户会话的会话身份标识不匹配时,在允许枚举响应被提供至应用程序前,挂钩组件从枚举响应中移除生物辨识装置的身份标识。而当挂钩组件确定从筛选驱动器所接收的会话身份标识与应用程序正在其中执行的用户会话的会话身份标识匹配时,挂钩组件允许枚举响应被提供至应用程序并且不移除生物辨识装置的身份标识。
在本发明的另一个实施例中,揭露了一种用于将被复位向至用户会话的生物辨识装置隔离,藉以使生物辨识装置无法由在其它用户会话中所执行的应用程序存取的方法。响应于生物辨识装置被连接到已在远程于服务器上建立用户会话的用户终端,建立该生物辨识装置的身份标识与该用户会话的会话身份标识之间的映射。响应于来自在不同的用户会话中执行的第一应用程序的对生物辨识装置进行枚举的请求,对包含该生物辨识装置的身份标识的枚举响应进行拦截。在允许该枚举响应被提供至该第一应用程序前,从该枚举响应中提取该生物辨识装置的身份标识,并且利用该身份标识检索出该身份标识所映射到的会话身份标识。对所检索出的该身份标识与请求对该等生物辨识装置进行枚举的该第一应用程序的会话身份标识进行比较。当确定所检索出的该身份标识与该第一应用程序的会话身份标识不匹配时,在允许该枚举响应被提供至该第一应用程序前,从该枚举响应中移除该身份标识。
在本发明的又一个实施例中,揭露了一种用于将生物辨识装置隔离到用户会话的方法。挂钩组件拦截枚举响应,此枚举响应包含生物辨识装置的至少一个身份标识,并且用于在第一用户会话中执行的应用程序。对于枚举响应中的各身份标识而言,此方法包含:从枚举响应中提取生物辨识装置的身份标识并将身份标识送至筛选驱动器;透过筛选驱动器,利用生物辨识装置的身份标识来获得该身份标识所关联的会话身份标识,并将会话身份标识返回挂钩组件;及当挂钩组件确定从筛选驱动器所接收的会话身份标识与应用程序正在其中执行的第一用户会话的会话身份标识不匹配时,透过挂钩组件从枚举响应中移除生物辨识装置的身份标识。最终,仅在将与第一用户会话的会话身份标识不匹配的会话身份标识所关联的各身份标识移除后,才允许将枚举响应提供至应用程序。
提供本发明内容以简化的形式介绍一些概念,这些概念将在下面的详细描述中进一步描述。本发明内容并不旨在标识所要求保护的主题的关键特征或必要特征。
附图说明
本领域技术人员应当理解,本申请的各图式仅示出了本发明的典型实施例。各图式并不希望对本申请所欲保护的范围构成限制,而是,透过各图式可对本申请作更清晰、明确的描述与解释。
图1为可实施本发明的计算环境的实例的示意图。
图2示出USB装置如何由客户端计算机被复位向至服务器。
图3示出生物辨识装置如何由客户端计算机被复位向至服务器。
图4示出了可用于实施本发明实施例的架构实例。
图5A至图5E示出了WinBio装置可被隔离到特定用户会话的过程。
图6A至图6E示出了Morpho装置可被隔离到特定用户会话的过程。
图7示出了筛选驱动器可执行以在生物辨识装置身份标识与会话身份标识之间建立映射的过程。
图8示出了当给定了生物辨识装置的身份标识时,筛选驱动器可执行以检索会话身份标识的过程。
图9为将复位向的生物辨识装置隔离到用户会话的示意性方法的流程图。
具体实施方式
在本申请说明书中,远程会话应解读为远程用户已于服务器上建立的用户会话。因此,术语「用户会话」与术语「远程会话」是可互换使用的。在本申请说明书的内容中,生物辨识装置应解读为提供基于生物辨识的认证的装置。通常,这种生物辨识装置是连接于用户的客户端计算机并复位向至用户已于服务器上建立的用户会话,但本申请亦可涵盖直接连接于服务器的生物辨识装置。
WinBio装置应解读为可透过Windows Biometric Framework进行存取的生物辨识装置。Morpho装置应解读为可透过MorphoSmart SDK(或Morpho Framework)进行存取的生物辨识装置。术语会话级别限制是指使复位向装置隔离到特定用户会话或多个用户会话的能力。虽然下文将对如何于Windows Biometric Framework与Morpho Framework内实现会话级别限制进行阐释,但本申请亦可于其他架构内实现会话级别限制。诸如“挂钩组件”(hooking component)、“钩住”(hooking)、“拦截调用”(intercepted calls)、“挂钩功能”(hooked function)等术语大体上涵盖了用于执行应用程序编程接口(API,ApplicationProgramming Interface)挂钩的许多不同技术中的任意一种技术,且本申请并不局限于任何一种特定的挂钩技术。
图4示出了可在本申请使用以实现会话级别限制的示意性架构。通常,上述架构可与添加了各种组件及数据结构的图3所示的复位向架构相匹配。如图所示,为了对复位向的生物辨识装置提供会话级别限制,可将筛选驱动器401添加于生物辨识装置驱动器堆栈380上,藉以将筛选驱动器作为高阶筛选驱动器。此外,可以用户会话组件的形式添加挂钩组件450,这种用户会话组件用于钩住生物辨识程序库170b的一个或多个功能。如下文将要描述的,当挂钩组件450拦截到挂钩功能的调用时,挂钩组件450可(如经由输入/输出控制IOCTLs)与筛选驱动器401进行通讯。
筛选驱动器401可用于创建装并维护置实例身份标识映像401a和/或装置序列号映像401b,其可在对所拦截到的到挂钩功能的调用进行处理时使用。映像401a中的各输入数据可将生物辨识装置的装置实例身份标识映像至用户会话的会话身份标识,其中生物辨识装置被复位向到该用户会话。透过下文的描述可理解,筛选驱动器401可将WinBio装置的装置实例身份标识映像至会话身份标识。
在Morpho装置的情况中,筛选驱动器401可替代地将生物辨识装置的序列号映像至会话身份标识。因此,映像401b中的各输入数据将生物辨识装置的装置序列号映像至用户会话的会话身份标识,其中生物辨识装置被复位向到该用户会话。
作为装置初始化过程的一部分,筛选驱动器401可创建这些映像。因此,当WinBio装置被复位向时,筛选驱动器401可(例如,透过向虚拟总线驱动器260传送IRP_MJ_PNP与IRP_MN_QUERY_ID IRP)来获取装置实例身份标识以及会话身份标识(例如,会话身份标识可从虚拟总线驱动器260处获取,其中虚拟总线驱动器260可能从代理装置250处接收会话身份标识以作为IOCTL的一部分以添加重定向的WinBio装置),进而可将输入数据添加到映像401a中。相反,当对Morpho装置进行复位向时,筛选驱动器401可获取装置序列号(如,透过使用MorphoSmart SDK的ILV_SECU_GET_CONFIG指令获取)并获取会话身份标识(如,透过与WinBio装置所实施的相同的方式),进而筛选驱动器401可将输入数据添加至映像401b中。因此,本申请可同时地为WinBio装置与Morpho装置提供会话级别限制。在其它架构中,筛选驱动器401亦可类似地使用可用功能而获取生物辨识装置的唯一身份标识以及会话身份标识,藉以将输入数据添加至相应的映像数据结构中。图7为装置初始化过程中由筛选驱动器401所执行的处理的流程图。
在随后的诸多实例中,假设了当前有四部生物辨识装置被复位向至(或者可能连接至)服务器,并且因此筛选驱动器401已将四个条目添加至映射401a/映射401b。如所示,具有身份标识ID1与ID2的复位向的两部生物辨识装置被假设为WinBio装置,其被复位向至会话身份标识SessionID17与SessionID21的会话。具有装置序列号SN1与SN2的复位向的另外两部生物辨识装置被假设为Morpho装置,其被复位向至会话身份标识为SessionID25与SessionID13的会话。
图5A至图5E示出了挂钩组件450和筛选驱动器401的协作以对WinBio装置实施会话级别限制的实例。在此实例中,假设应用程序270正在会话身份标识为SessionID21的用户会话内执行。在步骤1中,应用程序270请求对连接至服务器的各WinBio装置进行枚举(enumerated)。在Windows Biometric Framework中,可利用生物辨识程序库170b所提供的WinBioEnumBiometricUnits功能完成上述步骤。在对随后的步骤进行描述前,应当注意的是,在没有本发明的情况下,这种功能调用将导致当前连接到服务器的两部WinBio装置都被枚举到应用程序270(换言的,应用程序270可对此两部WinBio装置进行存取)。
如上所述,挂钩组件450可用于钩住WinBioEnumBiometricUnits功能,以便对其行为进行修正。然而,如图5A所示,挂钩组件450最初可允许此调用功能继续进行至生物辨识服务程序170a以进行典型处理。在图5B所示的步骤2中,上述典型处理将令生物辨识服务程序170a创建当前连接至服务器的WinBio装置的列表。特别的是,WinBioEnumBiometricUnits功能可返回一个_WINBIO_UNIT_SCHEMA结构的数组以及对数组中结构数量进行辨识的UnitCount参数。各_WINBIO_UNIT_SCHEMA结构表示特定的生物辨识装置,并且包含其它多种参数,包括该装置的装置实例身份标识。因此,UnitCount参数的值可标识连接到服务器的WinBio装置的数量。在步骤3中,挂钩组件450可对WinBioEnumBiometricUnits响应进行拦截,藉以防止未被改变的响应到达应用程序270。
在图5C所示的步骤4中,挂钩组件450可从多个_WINBIO_UNIT_SCHEMA结构中的一个结构中提取装置实例身份标识,并将此身份标识提供至筛选驱动器401(如,提供至IOCTL)。作为响应,如步骤5所示,筛选驱动器401可使用所提交的装置实例身份标识来从映射501a检索出相应的会话身份标识。在此实例中,所检索出的会话身份标识将会是SessionID17。
在图5D所示的步骤6中,筛选驱动器401将会话身份标识SessionID17返回到挂钩组件450,进而可向挂钩组件450通知:装置实例身份标识为ID1的WinBio装置被复位向至会话身份标识为SessionID17的用户会话。在步骤7中,挂钩组件450可对所接收的会话身份标识与正在执行的用户会话的会话身份标识进行比较(并且因此,与正在执行的应用程序中的会话身份标识进行比较)。在此实例中,挂钩组件450将确定具有装置实例身份标识的WinBio装置从挂钩组件450正在其中执行的一个用户会话(SessionID21)被复位向至另一个不同的用户会话(SessionID17)。因此,在步骤8中,挂钩组件450可从WinBioEnumBiometricUnits响应中所辨识的数组移除相应的_WINBIO_UNIT_SCHEMA结构。随着上述结构的移除,挂钩组件450还可减小响应内的UnitCount参数的数值。
挂钩组件450将针对各_WINBIO_UNIT_SCHEMA结构(即,所连接的各WinBio装置)执行步骤4至步骤7,并且移除_WINBIO_UNIT_SCHEMA结构,除非筛选驱动器401所返回的会话身份标识与其中正在执行挂钩组件450的会话的会话身份标识相匹配(执行步骤8)。因此,在进行上述处理后,数组应当仅包含涉及被复位向至挂钩组件450正在其中执行的相同会话的WinBio装置的_WINBIO_UNIT_SCHEMA结构。在此实例中,鉴于装置实例身份标识为ID2的WinBio装置被复位向至会话身份标识为sessionID21的会话,因此将仅保留装置实例身份标识为ID2的结构。因此,在图5E所示出的步骤9中,挂钩组件450允许完成WinBioEnumBiometricUnits功能调用,以使提供至应用程序270的响应包含仅一个数组,其具有_WINBIO_UNIT_SCHEMA的结构以及数值为1的UnitCount。因此,应用程序270与复位向的用户将仅可对用户所复位向的WinBio装置进行存取。
图6A至图6E示出了挂钩组件450和筛选驱动器401的协作以对Morpho装置实施会话级别限制的基本相似的实例。在此实例中,生物辨识服务程序170a与生物辨识程序库170b可体现为MorphoSmart SDK而非Windows Biometric Framework。
在图6A所示的步骤1中,应用程序270请求对连接至服务器的各Morpho装置进行枚举。虽然未示出,但应用程序270将首先调用InitUsbDevicesNameEnum功能,藉以获得所连接的Morpho装置的总数。有了这个数字,应用程序270就可为各Morpho装置迭代地调用GetUsbDevicesNameEnum功能,如步骤1所示。具体来讲,GetUsbDevicesNameEnum功能可用索引参数作为输入,此索引参数的值是介于0与从对InitUsbDevicesNameEnum功能所进行的调用返回的数值之间。
每当应用程序270调用GetUsbDevicesNameEnum功能时,挂钩组件450可允许此调用继续以典型方式进行至生物辨识服务程序170a,其中生物辨识服务程序170a将使用特定的索引参数对由此索引定义的Morpho装置的序列号进行检索。因此,在图6B中所描述的步骤2中,生物辨识服务程序170a被示出为提供响应,该响应包含序列号SN1,其中挂钩组件450将于步骤3中对此序列号SN1进行拦截。
在图6C所示的步骤4中,挂钩组件450可将序列号传送至筛选驱动器401;且于步骤5中,筛选驱动器使用序列号来从映射401b中检索出所映射到的会话身份标识。在此实例中,由于序列号为SN1,因此筛选驱动器401将检索出会话身份标识SessionID25。
在图6D所示的步骤6中,筛选驱动器401可使会话身份标识返回挂钩组件450;然后,在步骤7中,可将所返回的会话身份标识与挂钩组件450正在其中执行的会话的会话身份标识进行比较。在此实例中,假设挂钩组件450(及应用程序270)正在会话身份标识SessionID13的会话内执行,挂钩组件450将确定具有序列号SN1的生物辨识装置未被复位向至当前会话。
在图6E所示的步骤8中,由于筛选驱动器401所返回的会话身份标识与当前的会话身份标识不匹配,因此挂钩组件450将从GetUsbDevicesNameEnum功能的响应中移除该序列号。这种移除作业可能涉及从响应中删除o_pc_MsoName与o_pc_MsoProperties字符串,或者涉及以任何其他方式(如,通过使其返回错误)对响应进行修改以阻止应用程序270获得序列号。最终,在步骤9中,挂钩组件450将允许上述响应送至应用程序270。
如上所述,应用程序270对GetUsbDevicesNameEnum功能进行调用的次数将等于在InitUsbDevicesNameEnum功能的响应中所报告的连接至服务器的Morpho装置的数量。因此,对所连接的各Morpho装置,将重复执行步骤1至步骤9。因为步骤8,所以如果Morpho装置当前被复位向至的会话与应用程序正在其中执行的会话相同,则提供给应用程序270的响应将仅包含Morpho装置的序列号,由此防止应用程序发现被复位向至其它用户会话的Morpho装置。例如,当GetUsbDevicesNameEnum响应包含装置序列号SN2时(在该实例中,可能发生在功能的第二次调用时),筛选驱动器401可返回与当前会话身份标识相匹配的会话身份标识SessionID13。因此,鉴于Morpho装置当前被复位向至应用程序270正在其中执行的会话,所以挂钩组件450会因此而在步骤8中不修改响应,藉以使应用程序270发现序列号为SN2的Morpho装置。
图8为在对生物辨识装置进行枚举的过程中筛选驱动器401可能执行的处理的流程图。通常,此流程图通常将包含前述每一实例中的步骤5和步骤6。
综上所述,挂钩组件450可钩住生物辨识程序库170b中适当的应用程序编程接口,藉以允许其检测与修改应用程序枚举所连接的生物辨识装置的尝试。在尝试枚举生物辨识装置期间,挂钩组件450可透过使用所枚举的装置的身份标识,来向选器驱动器401询问所枚举的装置被复位向到的用户会话的会话身份标识。而仅当所返回的会话身份标识与当前会话匹配时,挂钩组件450才将身份标识返回给提出请求的应用程序。
图9为用于使复位向的生物辨识装置隔离到远程会话的实例的方法900的流程图。方法900可透过挂钩组件450和筛选驱动器401实现。
方法900包含动作901:响应于在用户会话中执行的应用程序请求对连接于服务器的多个生物辨识装置进行枚举,透过挂钩组件对包含生物辨识装置的身份标识的枚举响应进行拦截。例如,挂钩组件450可拦截应用程序对Windows Biometric Framework的WinBioEnumBiometricUnits功能的调用的响应或可拦截应用程序对MorphoSmart SDK的GetUsbDevicesNameEnum功能的调用的响应。
方法900包含动作902:从该枚举响应中提取该生物辨识装置的身份标识,并将该身份标识送至筛选驱动器。例如,挂钩组件450可从所拦截到的响应中提取出装置实例身份标识或序列号,并且将装置实例身份标识或序列号送至筛选驱动器401。
方法900包含动作903:透过筛选驱动器,利用该生物辨识装置的身份标识来获得该生物辨识装置被复位向到的用户会话的会话身份标识,并将该会话身份标识返回该挂钩组件。例如,筛选驱动器401可对映像401a或映像401b进行存取,藉以获得装置实例身份标识或序列号所映射到的会话身份标识。
方法900包含动作904:透过挂钩组件,对从该筛选驱动器所接收的会话身份标识与正在执行该应用程序的用户会话的会话身份标识进行比较,进而:当该挂钩组件确定从该筛选驱动器所接收的会话身份标识与正在执行该应用程序的用户会话的会话身份标识不匹配时,在允许该枚举响应被提供至该应用程序前,该挂钩组件从该枚举响应中移除该生物辨识装置的身份标识。例如,每当所映像的会话身份标识与正在执行应用程序的用户会话的会话身份标识不匹配时,挂钩组件450便可从枚举响应中移除装置实例的身份标识或序列号。
本申请的实施例可包含或使用专用计算机或通用计算机,其具有计算机硬件,诸如一个或多个处理器和系统内存。在本发明范围内的实施例还可包含:用于携带或存储计算机可执行指令和/或数据结构的物理的计算机可读取介质和其他计算机可读取介质。这些计算机可读取介质为可由专用计算机系统或通用计算机系统进行存取的任意的可用介质。
计算机可读取介质分可为两个不相交的类别,即,计算机存储介质与传输介质。计算机存储介质(计算机存储装置)包含:随机存取内存(RAM)、只读存储器(ROM)、电子抹除式只读存储器(EEPROM)、只读紧致光盘内存(CD-ROM)、固态驱动器(SSD)(例如,基于RAM)、闪存、相变内存(PCM)、其它类型的内存、其它光盘内存、磁盘内存或其它磁性记忆装置,或者可用于以计算机可执行指令或数据结构的形式存储所需程序代码并可由专用计算机或通用计算机进行存取的任何其他类似存储介质。传输介质包含讯号与载波。
例如,计算机可执行指令包含指令及数据,当透过处理器执行的这些指令及数据时,可令专用计算机、通用计算机或专用处理装置执行某个功能或某一组功能。例如,计算机可执行指令可以是二进制指令或者是诸如汇编语言或P代码的中间格式指令,甚至可以是源代码。
本发明所属领域内的技术人员应当理解:本发明可于具有多种类型的计算机系统结构的网络计算机环境中实施,其中计算机系统结构可包含:个人计算机、台式计算机、膝上型计算机、消息处理器、手持装置、多处理器系统、基于微处理器的消费电子产品或可编程消费电子设备、网络个人计算机、小型计算机、大型计算机、携带电话、个人数字助理(PDA)、平板计算机、传呼机、路由器、交换器等。
本发明亦可于分布式系统环境中实施,其中可透过网络(透过硬联机数据链接,无线数据链接,或硬联机和无线数据链接的组合)使本地计算机系统与远程计算机系统链接并使两者执行任务。在分布式系统环境中,可于本地内存存储装置以及远程内存存储装置内都放置程序模块。分布式系统环境的实例为网络服务器或服务器资源的云端。因此,本发明亦可托管在云端环境中。
在不脱离本发明的精神或基本特征的情况下,本发明可以以其他特定形式来体现。所描述的实施例在所有方面都应被认为是仅出于进行说明的目的而非限制的。因此,本发明的范围取决于所附的权利要求书而不是前面的描述。

Claims (20)

1.一种用于将生物辨识装置隔离到用户会话的方法,该方法于虚拟桌面基础架构环境内的服务器中执行,该方法包含:
响应于在用户会话中执行的应用程序请求对连接于服务器的多个生物辨识装置进行枚举,透过挂钩组件对包含生物辨识装置的身份标识的枚举响应进行拦截;
从该枚举响应中提取该生物辨识装置的身份标识,并将该身份标识送至筛选驱动器;
透过该筛选驱动器,利用该生物辨识装置的该身份标识来获得该生物辨识装置被复位向到的用户会话的会话身份标识,并将该会话身份标识返回该挂钩组件;以及
透过该挂钩组件,对从该筛选驱动器所接收的会话身份标识与该应用程序正在其中执行的用户会话的会话身份标识进行比较,进而:
当该挂钩组件确定从该筛选驱动器所接收的会话身份标识与该应用程序正在其中执行的用户会话的会话身份标识不匹配时,在允许该枚举响应被提供至该应用程序前,该挂钩组件从该枚举响应中移除该生物辨识装置的身份标识;
而当该挂钩组件确定从该筛选驱动器所接收的会话身份标识与该应用程序正在其中执行的用户会话的会话身份标识匹配时,该挂钩组件允许该枚举响应被提供至该应用程序并且不移除该生物辨识装置的身份标识。
2.根据权利要求1所述的方法,其中该挂钩组件与该应用程序执行于相同的对用户会话中。
3.根据权利要求1所述的方法,其中该筛选驱动器装载于该生物辨识装置的装置驱动器堆栈上。
4.根据权利要求1所述的方法,其中该筛选驱动器对所连接的多个生物辨识装置的多个身份标识与多个会话身份标识之间的映射进行维护。
5.根据权利要求4所述的方法,其中该筛选驱动器创建所连接的该生物辨识装置的身份标识与会话身份标识之间的映像,以作为装置初始化过程的一部分,该装置初始化过程使生物辨识装置从用户终端复位向至该服务器。
6.根据权利要求1所述的方法,其中该生物辨识装置的身份标识为装置实例身份标识与序列号中的一个。
7.根据权利要求1所述的方法,其中该挂钩组件透过钩住生物辨识程序库中的应用程序编程接口来对该枚举响应进行拦截。
8.根据权利要求1所述的方法,其中该枚举响应包含多个生物辨识装置的多个身份标识,并且对于该枚举响应中的各身份标识而言,在允许该枚举响应被提供至该应用程序前,该挂钩组件使用该身份标识从该筛选驱动器获得相应的会话身份标识,并且当该相应的会话身份标识与该用户会话的会话身份标识不匹配时,该挂钩组件从该枚举响应中移除该身份标识。
9.根据权利要求1所述的方法,其中将该身份标识送至该筛选驱动器的步骤包含:将IOCTL传送至包含该身份标识的该筛选驱动器。
10.一种计算机存储介质,该计算机存储介质存储有计算机可执行指令,当透过一或多个处理器执行时,该计算机可执行指令实施一种用于将被复位向至用户会话的生物辨识装置隔离藉以使该生物辨识装置无法由在其它用户会话中所执行的应用程序存取的方法,该方法包含:
响应于生物辨识装置被连接到已在远程于服务器上建立用户会话的用户终端,建立该生物辨识装置的身份标识与该用户会话的会话身份标识之间的映射;
响应于来自在不同的用户会话中执行的第一应用程序的对生物辨识装置进行枚举的请求,对包含该生物辨识装置的身份标识的枚举响应进行拦截;
在允许该枚举响应被提供至该第一应用程序前,从该枚举响应中提取该生物辨识装置的身份标识,并且利用该身份标识检索出该身份标识所映射到的会话身份标识;
对所检索出的该身份标识与请求对该等生物辨识装置进行枚举的该第一应用程序的会话身份标识进行比较;以及
当确定所检索出的该身份标识与该第一应用程序的会话身份标识不匹配时,在允许该枚举响应被提供至该第一应用程序前,从该枚举响应中移除该身份标识。
11.根据权利要求10所述的计算机存储介质,其中该身份标识为装置实例身份标识与序列号中的一个。
12.根据权利要求10所述的计算机存储介质,其中透过在该不同的用户会话中执行的挂钩组件的实例来对该枚举响应进行拦截。
13.根据权利要求10所述的计算机存储介质,从该枚举响应中移除该身份标识的步骤包含:将在该枚举响应中被参考的数据结构移除,其中该数据结构包含该身份标识。
14.根据权利要求10所述的计算机存储介质,其中利用该身份标识检索出该身份标识所映射到的会话身份标识的步骤包含:
透过挂钩组件将该身份标识提供至筛选驱动器;
透过该筛选驱动器,利用该身份标识检索该会话身份标识;以及
透过该筛选驱动器将该会话身份标识提供至该挂钩组件。
15.根据权利要求10所述的计算机存储介质,该方法进一步包含:
响应于来自在该用户会话中执行的第二应用程序的对多个该生物辨识装置进行枚举的请求,对包含该生物辨识装置的身份标识的枚举响应进行拦截;
在允许将该枚举响应提供至该第二应用程序前,从该枚举响应中提取该生物辨识装置的身份标识,并且利用该身份标识检索该身份标识所映射到的该会话身份标识;
对所检索出的会话身份标识与请求对该等生物辨识装置进行枚举的该第二应用程序的会话身份标识进行比较;
当确定所检索出的会话身份标识与该第二应用程序的会话身份标识相匹配时,允许将该枚举响应提供至该第二应用程序并且不移除该生物辨识装置的身份标识。
16.一种用于将生物辨识装置隔离到用户会话的方法,该方法透过挂钩组件与筛选驱动器实施,该方法包含:
透过该挂钩组件拦截枚举响应,该枚举响应包含生物辨识装置的至少一个身份标识,并且该枚举响应是用于在第一用户会话中执行的应用程序的;
对于该枚举响应中的各身份标识而言:
从该枚举响应中提取该生物辨识装置的身份标识并将该身份标识送至筛选驱动器;
透过该筛选驱动器利用该生物辨识装置的该身份标识来获得该身份标识所关联的会话身份标识,并将该会话身份标识返回该挂钩组件;及
当该挂钩组件确定从该筛选驱动器所接收的会话身份标识与该应用程序正在其中执行的第一用户会话的会话身份标识不匹配时,透过该挂钩组件从该枚举响应中移除该生物辨识装置的身份标识;以及
仅在将与该第一用户会话的会话身份标识不匹配的会话身份标识所关联的各身份标识移除后,才允许将该枚举响应提供至该应用程序。
17.根据权利要求16所述的方法,其中该筛选驱动器使该生物辨识装置的身份标识关联于该生物辨识装置复位向到的用户会话的会话身份标识。
18.根据权利要求16所述的方法,其中该枚举响应包含多个身份标识,其中该多个身份标识的各身份标识为装置实例身份标识。
19.根据权利要求16所述的方法,其中该枚举响应包含单个身份标识,其中该单个身份标识为序列号。
20.根据权利要求16所述的方法,其中该挂钩组件执行于该第一用户会话中。
CN201980048795.4A 2018-08-07 2019-07-17 将复位向的生物辨识装置隔离到远程会话 Active CN112470443B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/057,634 2018-08-07
US16/057,634 US10862757B2 (en) 2018-08-07 2018-08-07 Isolating a redirected biometric device to a remote session
PCT/US2019/042259 WO2020033115A1 (en) 2018-08-07 2019-07-17 Isolating a redirected biometric device to a remote session

Publications (2)

Publication Number Publication Date
CN112470443A true CN112470443A (zh) 2021-03-09
CN112470443B CN112470443B (zh) 2023-06-16

Family

ID=69407289

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980048795.4A Active CN112470443B (zh) 2018-08-07 2019-07-17 将复位向的生物辨识装置隔离到远程会话

Country Status (5)

Country Link
US (1) US10862757B2 (zh)
EP (1) EP3834399B1 (zh)
CN (1) CN112470443B (zh)
TW (1) TWI814877B (zh)
WO (1) WO2020033115A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11470175B1 (en) 2022-02-09 2022-10-11 coretech It, UAB Early positive communication response in a proxy infrastructure

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101686245A (zh) * 2008-09-28 2010-03-31 国际商业机器公司 用于隔离超文本传输协议会话的方法和系统
CN102932327A (zh) * 2012-07-17 2013-02-13 上海金图信息科技有限公司 零终端设备与桌面虚拟机之间的通信方法及系统
CN103327005A (zh) * 2013-05-15 2013-09-25 深信服网络科技(深圳)有限公司 基于虚拟桌面的设备接入方法及装置
CN105183675A (zh) * 2015-09-30 2015-12-23 华为技术有限公司 对usb设备的访问方法、装置、终端、服务器及系统
US20180210856A1 (en) * 2017-01-23 2018-07-26 Wyse Technology L.L.C. Enabling session level restrictions for devices having disjoint stacks
US20180212817A1 (en) * 2017-01-23 2018-07-26 Wyse Technology L.L.C. Enabling redirection policies to be applied based on the windows class of a usb device

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6895588B1 (en) * 1999-04-09 2005-05-17 Sun Microsystems, Inc. Remote device access over a network
TWI266512B (en) * 2004-06-01 2006-11-11 Vincent Chiang The signal with wireless communication protocol
US20060034494A1 (en) * 2004-08-11 2006-02-16 National Background Data, Llc Personal identity data management
US8406421B2 (en) * 2005-10-13 2013-03-26 Passban, Inc. Method and system for multi-level secure personal profile management and access control to the enterprise multi-modal communication environment in heterogeneous convergent communication networks
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8831677B2 (en) * 2010-11-17 2014-09-09 Antony-Euclid C. Villa-Real Customer-controlled instant-response anti-fraud/anti-identity theft devices (with true-personal identity verification), method and systems for secured global applications in personal/business e-banking, e-commerce, e-medical/health insurance checker, e-education/research/invention, e-disaster advisor, e-immigration, e-airport/aircraft security, e-military/e-law enforcement, with or without NFC component and system, with cellular/satellite phone/internet/multi-media functions
US8555409B2 (en) * 2011-11-02 2013-10-08 Wyse Technolgoy Inc. System and method for providing private session-based access to a redirected USB device or local device
US8990394B2 (en) 2012-05-07 2015-03-24 Wyse Technology L.L.C. System and method for providing session-level access management of access requests to a redirected device from a predetermined session
US9467458B2 (en) * 2014-08-01 2016-10-11 Dell Products L.P. System and method for providing selective access to a redirected device
US20160065908A1 (en) * 2014-08-29 2016-03-03 Coban Technologies, Inc. Portable camera apparatus and system for integrated surveillance system devices
US9307317B2 (en) * 2014-08-29 2016-04-05 Coban Technologies, Inc. Wireless programmable microphone apparatus and system for integrated surveillance system devices
US9760730B2 (en) * 2015-08-28 2017-09-12 Dell Products L.P. System and method to redirect and unlock software secure disk devices in a high latency environment
US20170214701A1 (en) * 2016-01-24 2017-07-27 Syed Kamran Hasan Computer security based on artificial intelligence
US20180124497A1 (en) * 2016-10-31 2018-05-03 Bragi GmbH Augmented Reality Sharing for Wearable Devices
US20190305955A1 (en) * 2018-03-27 2019-10-03 Ca, Inc. Push notification authentication
US11382546B2 (en) * 2018-04-10 2022-07-12 Ca, Inc. Psychophysical performance measurement of distributed applications

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101686245A (zh) * 2008-09-28 2010-03-31 国际商业机器公司 用于隔离超文本传输协议会话的方法和系统
CN102932327A (zh) * 2012-07-17 2013-02-13 上海金图信息科技有限公司 零终端设备与桌面虚拟机之间的通信方法及系统
CN103327005A (zh) * 2013-05-15 2013-09-25 深信服网络科技(深圳)有限公司 基于虚拟桌面的设备接入方法及装置
CN105183675A (zh) * 2015-09-30 2015-12-23 华为技术有限公司 对usb设备的访问方法、装置、终端、服务器及系统
US20180210856A1 (en) * 2017-01-23 2018-07-26 Wyse Technology L.L.C. Enabling session level restrictions for devices having disjoint stacks
US20180212817A1 (en) * 2017-01-23 2018-07-26 Wyse Technology L.L.C. Enabling redirection policies to be applied based on the windows class of a usb device

Also Published As

Publication number Publication date
WO2020033115A1 (en) 2020-02-13
TWI814877B (zh) 2023-09-11
US20200052970A1 (en) 2020-02-13
EP3834399B1 (en) 2024-08-28
EP3834399A1 (en) 2021-06-16
TW202027477A (zh) 2020-07-16
EP3834399A4 (en) 2022-05-04
CN112470443B (zh) 2023-06-16
US10862757B2 (en) 2020-12-08

Similar Documents

Publication Publication Date Title
US10462228B2 (en) Providing access to a smartcard within a remote session
JP5201366B2 (ja) サーバ機能切替え装置、方法及びプログラム、並びにシンクライアントシステム及びサーバ装置
US10489311B1 (en) Managing webUSB support for local and redirected USB devices
US10536559B2 (en) Blocking an interface of a redirected USB composite device
KR20080106908A (ko) 하드웨어 장치와 같은 자원을 소유하는 가상 컴퓨터를 이동시키기 위해 이용될 수 있는 컴퓨팅 시스템 및 방법
US7984438B2 (en) Virtual machine transitioning from emulating mode to enlightened mode
US20170264649A1 (en) Employing session level restrictions to limit access to a redirected interface of a composite device
US10078609B1 (en) Virtualizing a non-USB device as a USB device
US10635816B2 (en) Restricting reprogramming of a redirected USB device
US20170310790A1 (en) Employing an auxiliary device to implement usb device redirection
US20180232293A1 (en) Supporting multiple streams for a redirected usb device
US10496590B2 (en) Enabling redirection policies to be applied based on the windows class of a USB device
JP7412594B2 (ja) データ処理方法、データ処理装置、コンピュータ機器、及びコンピュータプログラム
US20200053084A1 (en) Intelligent redirection of authentication devices
US20170308492A1 (en) Isolating a redirected usb device to a set of applications
CN111881470B (zh) 数据访问方法及其装置、计算机可读存储介质
US10798201B2 (en) Redirecting USB devices via a browser-based virtual desktop infrastructure application
US20090138548A1 (en) Apparatus, method, and computer program product for processing information
US11556835B1 (en) Distributed quantum computing systems
CN112470443B (zh) 将复位向的生物辨识装置隔离到远程会话
US11068613B2 (en) Differentiating and managing identical USB devices
US10742776B1 (en) Accelerating isochronous endpoints of redirected USB devices
US10223178B2 (en) Enabling WPD devices to be managed at the capability level
CN111600755A (zh) 上网行为管理系统和方法
US11196799B2 (en) Redirection of USB devices from hardware isolated virtual desktop infrastructure clients

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant