CN112930668A - 用于dmz代理客户端的安全配置推送的服务器和系统 - Google Patents
用于dmz代理客户端的安全配置推送的服务器和系统 Download PDFInfo
- Publication number
- CN112930668A CN112930668A CN201980071708.7A CN201980071708A CN112930668A CN 112930668 A CN112930668 A CN 112930668A CN 201980071708 A CN201980071708 A CN 201980071708A CN 112930668 A CN112930668 A CN 112930668A
- Authority
- CN
- China
- Prior art keywords
- server system
- proxy server
- server
- proxy
- computer network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
服务器系统可以包括:内部计算机网络,该内部计算机网络包括被配置为建立到外部计算机网络的数据传输连接的至少一个客户端服务器;以及位于内部计算机网络和外部计算机网络之间的至少一个代理服务器系统。代理服务器系统可以包括位于第一防火墙和第二防火墙之间的代理服务器,其中第一防火墙位于第一代理服务器和内部计算机网络之间,并且第二防火墙位于代理服务器和外部计算机网络之间。服务器系统可以开发和维护代理服务器系统,该代理服务器系统包括被认为是系统操作所必需和/或期望的站点的白名单。白名单可以在用户与系统一起工作和使用系统时进行更新。这样的更新可以实时或近实时地连续发生,或者根据期望的频繁程度定期地发生。
Description
相关申请的交叉引用
本申请要求于2018年9月11日提交的标题为“SYSTEM FOR SECURE CONFIGURATIONPUSH FOR DMZ PROXY CLIENTS SYSTEM AND METHOD”的美国临时专利申请No.62/729,945的权益和优先权,其全部内容通过引用并入本文。
背景技术
必须保护工业控制系统不受计算机病毒和其它恶意软件的攻击以及不受恶意用户的攻击。大多数最佳实践通过网络分段的非军事区(“DMZ”)将这些系统与内部业务网络和互联网隔离。虽然这种隔离保护了系统,但是它也捕获对该同一网络内的业务和运营团队有价值的信息。用于访问此捕获的信息的一些其它方案或者使用户负担复杂的访问过程,或者降低了控制系统网络的安全性。
因此,需要安全地更新在连接到基于云的系统(诸如AVEVA Group plc的“
Online Cloud”软件)的用户DMZ上运行的安全代理的配置的方法,以便存储和访问处理数据和事件。安全代理可以使信息从控制系统流到更易访问的系统,而不会使系统或用户暴露于新的攻击向量。
发明内容
一些实施例包括服务器系统,该服务器系统包括内部计算机网络和位于内部计算机网络与外部计算机网络之间的代理服务器系统,该内部计算机网络包括被配置为建立到外部计算机网络的数据传输连接的至少一个客户端服务器。在一些实施例中,代理服务器系统包括位于第一防火墙和第二防火墙之间的第一代理服务器,其中第一防火墙位于第一代理服务器和内部计算机网络之间,并且第二防火墙位于第一代理服务器和外部计算机网络之间。
在一些实施例中,数据传输连接是安全连接。在一些实施例中,代理服务器系统是非军事区代理服务器系统,其中第一代理服务器包括非军事区代理服务器。在一些实施例中,使用特定证书将非军事区代理服务器数字签名为配置。在一些实施例中,配置被本地存储。
一些实施例还包括位于内部计算机网络和外部计算机网络之间的第二代理服务器系统,其中第二代理服务器系统包括位于第三防火墙和第四防火墙之间的第二代理服务器。此外,在一些实施例中,第三防火墙位于第二代理服务器与内部计算机网络之间,并且第四防火墙位于第二代理服务器与外部计算机网络之间。
一些实施例还包括可由服务器系统的一个或多个处理器执行的逻辑,该逻辑可以操作以将第一代理服务器链接到第二代理服务器。在一些实施例中,第二代理服务器系统是非军事区代理服务器系统,其中第二代理服务器包括非军事区代理服务器。
在一些实施例中,代理服务器系统被配置为建立到至少一个外部服务器的安全连接。在一些实施例中,至少一个外部服务器包括基于云的服务器。在一些其它实施例中,代理服务器系统被配置为防止连接到至少一个其它服务器。
在一些实施例中,第二代理服务器系统被配置为建立到至少一个外部服务器的安全连接。在一些其它实施例中,第二代理服务器系统被配置为防止连接到至少一个其它服务器。
附图说明
图1图示了根据本发明的一些实施例的系统体系架构。
图2图示了根据本发明的另一些实施例的系统体系架构。
图3图示了根据本发明的一些实施例的启用或包括图1-2的系统体系架构的计算机系统。
具体实施方式
在详细解释本发明的任何实施例之前,应该理解的是,本发明的应用不限于在以下描述中阐述或在附图中图示的构造细节和组件的布置。本发明能够具有其它实施例并且能够以各种方式被实践或执行。同样,应该理解的是,本文所使用的措词和术语是出于描述的目的,并且不应该被认为是限制性的。本文中“包含”、“包括”或“具有”及其变体的使用意在涵盖其后列出的项目及其等同形式以及其它项目。除非另有说明或限制,否则术语“安装”、“连接”、“支撑”和“耦合”及其变体被广泛使用,并且涵盖直接和间接安装、连接、支撑和耦合。此外,“连接”和“耦合”不限于物理或机械连接或耦合。
给出以下讨论以使本领域技术人员能够制造和使用本发明的实施例。对所示出的实施例的各种修改对于本领域技术人员而言将是显而易见的,并且在不脱离本发明的实施例的情况下,本文的一般原理可以应用于其它实施例和应用。因此,本发明的实施例不旨在限于所示出的实施例,而是应被赋予与本文所公开的原理和特征相一致的最宽范围。要参考各图来阅读以下的详细描述,其中不同的图中的相似元件具有相同的附图标记。不一定按比例绘制的各图描绘了所选择的实施例,并且不旨在限制本发明的实施例的范围。技术人员将认识到,本文提供的示例具有许多有用的替代方案,并且落入本发明的实施例的范围内。
本文中的本发明的实施例一般地描述了用于在计算机网络之间建立安全数据传输连接的服务器系统和方法的非常规方案,这些方案不是众所周知的,并且另外没有被任何已知的常规方法或系统教导或建议。此外,具体的功能特征是对常规方法和系统的重大技术改进,至少包括作为技术改进的计算系统的操作和功能。这些技术改进包括本文描述的系统和方法的一个或多个方面,这些方面描述了机器如何操作的细节,联邦巡回法庭明确指出,这是法定主题的实质。
本文描述的实施例中的一个或多个包括功能性限制,这些功能性限制以有序组合协作,以便以改善数据存储和更新先前存在的数据库的问题的方式来变换数据储存库的操作。特别地,本文描述的一些实施例包括用于跨不同源或应用管理单个或多个内容数据项的系统和方法,这些不同源或应用为此类系统和服务的用户带来了问题,并且难以或不可能维持对分布式信息的可靠控制。
本文的描述进一步描述了提供新颖特征的一些实施例,这些新颖特征通过以无法手动地有效完成的方式提供为用户有效且更高效地管理资源和资产数据的自动化的功能性来改善通信和软件、系统和服务器的性能。因此,本领域普通技术人员可以容易地认识到,这些功能以不为人所知的并且当然不是常规的方式提供了本文所述的自动化的功能性。由此,本文描述的本发明的实施例并不针对抽象构思,并且进一步提供了明显更切实的创新。而且,本文描述的功能性在先前存在的计算系统中是不可想象的,并且直到本发明的一些实施例解决了先前描述的技术问题时才存在这样的功能性。
本发明的一些实施例提供一种系统和方法,以安全地更新在连接到AVEVA Groupplc的
Online Cloud的客户的DMZ上运行的一个或多个安全代理的配置,以存储和访问处理数据和事件。
本发明的一些实施例包括用于至少一个安全代理的系统和方法,该安全代理允许信息从一个或多个控制系统流到更易访问的系统,而不会将该系统或任何耦合的系统或用户暴露于新的攻击向量。
本发明的一些实施例包括可以操作以将两个或更多个代理链接在一起的系统和方法(例如,诸如由系统的一个或多个处理器执行的一个或多个软件应用或代码序列)。
在一些实施例中,本文描述的系统和方法可以消除或减少每次添加或删除新机器时客户手动更新一个或多个配置的需求。在一些情况下,这可以节省无数的工作时间以及系统停机时间。
一些实施例开发和维护代理服务器系统,该代理服务器系统包括被认为是系统操作所必需和/或期望的站点的“白名单”。在一些实施例中,白名单在用户与系统一起工作和使用系统时被更新。这样的更新可以实时或近实时地连续发生,或者根据期望的频繁程度定期地发生。在一些实施例中,单一方是可以更新白名单的唯一实体,从而确保白名单包含所有必需的站点(因此不会由于用户错过必需的站点而发生故障),但只有这样的必需站点,从而确保安全和准确内容。
在一些实施例中,随着白名单随着时间改变,更新被自动递送到所有代理实例。一些实施例保护白名单不受篡改(无论是恶意的还是意外的),这种篡改可能危害关键的基础设施/操作。另外一些实施例可以与现有的公司网络保护一起使用。
在本发明的一些实施例中,可以使用特定证书对任何系统或用户配置进行数字签名,以防止在传送中和/或在被保存在本地系统或其它耦合系统上之后被篡改和利用。在本发明的一些实施例中,配置可以被本地存储以供后续使用。
在本发明的一些实施例中,本文描述的任何系统、方法或用户配置可以防止对非AVEVA InsightTM端点以及AVEVA E3D InsightTM软件中的端点的未授权访问。
在本发明的一些实施例中,本文描述的任何系统、方法或用户配置可以防止恶意软件将敏感控制数据上传到非AVEVA端点。一些实施例防止“机器人”恶意软件能够到达命令和控制端点。
AVEVA、AVEVA徽标和AVEVA产品名称(包括
)是AVEVA Groupplc和/或其下属机构的商标或注册商标。
图1图示了根据本发明的一些实施例的系统体系架构,图2图示了根据本发明的另一些实施例的系统体系架构。如图1所示,在一些实施例中,系统体系架构可以包括安装在内部计算机网络与内部计算机网络外部之间的防火墙之间的DMZ代理。在图2中示出了另一个非限制性实施例,其图示了具有两个DMZ代理体系架构的系统体系架构,包括在内部计算机网络与内部计算机网络外部之间的防火墙之间安装的第一DMZ代理,以及在内部计算机网络与内部计算机网络外部之间的防火墙之间安装的第二DMZ代理。在一些实施例中,第一DMZ代理安装在内部计算机网络与第二DMZ代理的防火墙之间的防火墙之间。此外,第二DMZ代理可以安装在第一DMZ代理的防火墙和第二DMZ代理的防火墙之间的防火墙之间。图1-2的体系架构的进一步细节在下面的描述中。
一些实施例包括系统100,该系统100包括内部系统101和耦合的或被配置为耦合的外部系统150,该外部系统150使得能够对在连接到外部系统(诸如,
在线云和/或其它互联网端点)的客户端系统的DMZ上运行的安全代理的配置进行安全更新。在一些实施例中,DMZ可以捕获去往外部服务器的消息和数据,并通过防火墙转发消息和/或数据。
例如,一些实施例包括内部计算机网络的一个或多个客户端服务器110。在图1的非限制性实施例中,客户端服务器110可以包括服务器115和/或服务器117和/或服务器119。其它实施例可以包括更多或更少数量的客户端服务器。在一些实施例中,客户端服务器110可以被配置为经由非军事区(DMZ)代理服务器系统130通信地耦合到外部系统150。例如,在一些实施例中,客户端服务器110中的至少一个服务器使用通过第一防火墙132到DMZ代理服务器134的连接来建立通过DMZ系统130的连接。在一些实施例中,DMZ代理服务器134可以拦截服务器115和/或服务器117和/或服务器119与外部系统150之间的数据通信,并通过第二防火墙136建立到外部系统150的一个或多个安全连接。
在图1的非限制性示例中,外部系统150可以包括云服务器155和/或外部服务器160。在一些实施例中,DMZ代理服务器134可以使得能够通过第二防火墙136进行到外部系统150的一个或多个安全连接,包括但不限于到云服务器155的第一安全连接157。在一些实施例中,DMZ代理服务器134可以停止和/或控制用于建立到外部服务器160的第二安全连接167的配置或请求。
关于图2,在一些实施例中,内部系统201可以包括具有第二DMZ代理服务器和耦合在DMZ代理服务器134与外部系统150之间的防火墙组合的内部系统101的体系架构。例如,一些实施例包括具有第三防火墙142、第四防火墙146以及位于第三防火墙142和第四防火墙146之间的DMZ代理服务器144的DMZ系统140。在一些实施例中,内部系统201可以建立或维护到外部系统150的一个或多个安全连接。例如,一些实施例包括通过第四防火墙146与DMZ代理服务器144建立或维护第一安全连接157,和/或由DMZ代理服务器144防止或控制通过第四防火墙146的第二安全连接167。
在一些实施例中,图1和/或2中所示的系统消除或减少了在添加或移除附加服务器110时客户手动更新一个或多个配置的需要。在本发明的一些实施例中,可以使用特定证书对任何系统或用户配置进行数字签名,以防止通过第一安全连接157的传送中和/或在被保存在本地系统或其它耦合系统上之后被篡改和利用或用户错误。在本发明的一些实施例中,配置可以被本地存储以供后续使用。
参考图3,在一些实施例中,计算机系统310可以包括和/或操作和/或处理上述软件模块和/或系统中的一个或多个的计算机可执行代码。此外,在一些实施例中,计算机系统310可以在图1-2的系统的一个或多个图形用户界面内操作和/或显示信息。在一些实施例中,计算机系统310可以包括云和/或可以耦合到一个或多个基于云的服务器系统。在一些实施例中,系统310可以包括至少一个计算设备330,该至少一个计算设备330包括至少一个处理器332。在一些实施例中,至少一个处理器332可以包括驻留在一个或多个服务器平台中或耦合到一个或多个服务器平台的处理器。在一些实施例中,系统310可以包括耦合到能够处理至少一个操作系统334的至少一个处理器332的网络接口335a和应用接口335b。此外,在一些实施例中,耦合到至少一个处理器332的接口335a、335b可以被配置为处理软件模块338中的一个或多个(例如,诸如企业应用)。在一些实施例中,软件模块338可以包括基于服务器的软件,并且可以操作以托管至少一个用户账户和/或至少一个客户端账户,并且使用至少一个处理器332操作以在这些账户中的一个或多个之间传送数据。
考虑到以上实施例,应当理解的是,本发明可以采用涉及存储在计算机系统中的数据的各种计算机实现的操作。而且,通篇描述的上述数据库和模型可以将分析模型和其它数据存储在系统310内的计算机可读存储介质上以及耦合到系统310的计算机可读存储介质上。此外,系统的上述应用可以存储在系统310内的计算机可读存储介质上以及耦合到系统310的计算机可读存储介质上。这些操作是要求对物理量进行物理操纵的操作。通常,虽然不是必需,这些量采取电、电磁或磁信号的形式,或能够被存储、传输、组合、比较和以其它方式操纵的光学或磁光形式。在本发明的一些实施例中,系统310可以包括耦合到至少一个数据源337a和/或至少一个数据存储设备337b和/或至少一个输入/输出设备337c的至少一个计算机可读介质336。在一些实施例中,本发明可以被实施为计算机可读介质336上的计算机可读代码。在一些实施例中,计算机可读介质336可以是可以存储数据的任何数据存储设备,该数据随后可以由计算机系统(诸如系统310)读取。在一些实施例中,计算机可读介质336可以是可以用于有形地存储期望的信息或数据或指令并且可以由计算机或处理器332访问的任何物理或材料介质。在一些实施例中,计算机可读介质336可以包括硬盘驱动器、网络附加存储(NAS)、只读存储器、随机存取存储器、基于FLASH的存储器、CD-ROM、CD-R、CD-RW、DVD、磁带、其它光学和非光学数据存储设备。在一些实施例中,各种其它形式的计算机可读介质336可以将指令传输或携带到计算机340和/或至少一个用户331,包括有线的和无线的路由器、专用或公共网络或其它传输设备或信道。在一些实施例中,软件模块338可以被配置为从数据库(例如,从包括可以包括数据库的数据源337a和数据存储装置337b的计算机可读介质336)发送和接收数据,并且数据可以被来自至少一个其它源的软件模块338接收。在一些实施例中,软件模块338中的至少一个可以被配置在系统内以经由在至少一个数字显示器上渲染的至少一个图形用户界面将数据输出到至少一个用户331。
在本发明的一些实施例中,计算机可读介质336可以经由网络接口335a分布在常规计算机网络上,其中可以以分布式方式存储和执行由计算机可读代码实施的系统。例如,在一些实施例中,系统310的一个或多个组件可以被耦合以通过局域网(“LAN”)339a和/或互联网耦合网络339b(例如,诸如无线互联网)发送和/或接收数据。在一些另外的实施例中,网络339a、339b可以包括广域网(“WAN”)、直接连接(例如,通过通用串行总线端口)或其它形式的计算机可读介质336或其任何组合。
在一些实施例中,网络339a、339b的组件可以包括任何数量的用户设备,诸如个人计算机,包括例如台式计算机和/或膝上型计算机,或者任何固定的、一般通过LAN 339a耦合的非移动的互联网设备。例如,一些实施例包括通过LAN 339a耦合的计算机340,其可以被配置用于包括管理员在内的任何类型的用户。其它实施例可以包括通过网络339b耦合的个人计算机。在一些另外的实施例中,系统310的一个或多个组件可以被耦合以通过互联网网络(例如,诸如网络339b)发送或接收数据。例如,一些实施例包括至少一个用户331,其无线地耦合并且经由输入和输出(“I/O”)设备337c访问包括至少一个企业应用338的系统的一个或多个软件模块。在一些其它实施例中,系统310可以使至少一个用户331能够被耦合以通过LAN 339a经由I/O设备337c访问企业应用338。在一些实施例中,用户331可以包括使用台式计算机和/或膝上型计算机或通过互联网339b耦合的任何固定的、一般非移动的互联网设备耦合到系统310的用户331a。在一些另外的实施例中,用户331可以包括耦合到系统310的移动用户331b。在一些实施例中,用户331b可以使用任何移动计算设备331c来无线地耦合到系统310,包括但不限于个人数字助理和/或蜂窝电话、移动电话或智能电话和/或寻呼机、和/或数字平板电脑和/或固定或移动互联网设备。
本文描述的构成本发明一部分的任何操作都是有用的机器操作。本发明还涉及用于执行这些操作的设备或装置。可以针对所需目的对装置进行特殊构造,诸如专用计算机。当被定义为专用计算机时,计算机还可以执行不属于专用目的的一部分的其它处理、程序执行或例程,同时仍然能够针对该专用目的进行操作。可替代地,可以通过由存储在计算机存储器、高速缓存中或通过网络获得的一个或多个计算机程序选择性地激活或配置的通用计算机来处理操作。当通过网络获取数据时,数据可以被网络上的其它计算机(例如,计算资源的云)处理。
本发明的实施例还可以被定义为一种将数据从一种状态变换成另一种状态的机器。数据可以表示物品,该物品可以被表示为电子信号并以电子方式处理数据。在一些情况下,可以将变换后的数据可视化地描绘在显示器上,从而表示由数据的变换产生的物理对象。可以将变换后的数据一般地或以使得能够构造或描绘物理对象和有形对象的特定格式保存到存储装置中。在一些实施例中,该操纵可以由处理器执行。在这样的示例中,处理器因此将数据从一件事变换成另一件事。更进一步,一些实施例包括可以由可以通过网络连接的一个或多个机器或处理器来处理的方法。每个机器可以将数据从一种状态或事物变换成另一种状态或事物,并且还可以处理数据、将数据保存到存储装置、通过网络传输数据、显示结果或将结果传送到另一个机器。如本文所使用的,计算机可读存储介质是指物理或有形存储装置(与信号相对),并且包括但不限于以用于信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的有形存储的任何方法或技术实现的易失性和非易失性、可移动和不可移动存储介质。
虽然可以按特定次序描述方法操作,但是应该理解的是,可以在操作之间执行其它内务操作,或者可以调整操作以使它们在稍微不同的时间发生,或者可以分布在系统中,只要以期望的方式执行覆盖操作的处理即可,这允许在与处理相关联的各种间隔处发生处理操作。
为了本公开的目的,术语“服务器”应当被理解为是指提供处理、数据库和通信设施的服务点。计算设备可以能够诸如经由有线或无线网络发送或接收信号,或者可以能够处理或存储信号(诸如在存储器中作为物理存储器状态),并且因此可以作为服务器操作。因此,能够作为服务器操作的设备可以包括例如专用的机架式服务器、台式计算机、膝上型计算机、机顶盒、结合了各种特征(诸如前述设备的两个或更多个特征)的集成设备等。通过示例而非限制的方式,术语“服务器”可以指具有相关联的通信和数据存储和数据库设施的单个物理处理器,或者可以指处理器及相关联的网络和存储设备的联网的和集群的复合体,以及支持由服务器提供的服务的操作软件以及一个或多个数据库系统和应用软件。服务器的配置或能力可以有很大不同,但一般地服务器可以包括一个或多个中央处理单元和存储器。服务器还可以包括一个或多个大容量存储设备、一个或多个电源、一个或多个有线或无线网络接口、一个或多个输入/输出接口,或一个或多个操作系统(诸如
Server、Mac OS X、Unix、Linux和/或任何其它常规操作系统)。
和
是位于Redmond,Washington的Microsoft公司的注册商标。
为了本公开的目的,“网络”应当被理解为是指可以耦合设备以使得可以交换通信的网络,诸如在服务器和客户端设备之间、对等通信、或其它类型的设备,例如包括经由无线网络耦合的无线设备之间。例如,网络还可以包括大容量存储,诸如网络附加存储(NAS)、存储区域网络(SAN)或其它形式的计算机或机器可读介质。网络可以包括互联网、一个或多个局域网(LAN)、一个或多个广域网(WAN)、有线类型的连接、无线类型的连接、蜂窝或它们的任何组合。同样,可以采用不同体系架构或可以符合不同协议或与其兼容的子网可以在更大的网络中互操作。例如,可以使各种类型的设备可用于为不同的体系架构或协议提供互操作能力。作为一个说明性示例,路由器可以提供原本分离且独立的LAN之间的链接。通信链路或信道可以包括例如模拟电话线,诸如双绞线、同轴电缆、包括T1、T2、T3或T4型线的完整或部分数字线、“综合业务数字网络”网络(ISDN)、“数字订户线”(DSL)、包括卫星链路的无线链路或其它通信链路或信道,诸如对于本领域技术人员而言是已知的。此外,例如,计算设备或其它相关电子设备可以诸如经由电话线或链路远程耦合到网络。
为了本公开的目的,“无线网络”应当被理解为将用户或客户端设备与网络耦合。无线网络可以采用独立的自组织网络、网状网络、无线LAN(WLAN)网络、蜂窝网络等。无线网络还可以包括通过无线无线电链路耦合的终端、网关、路由器等的系统,它们可以自由移动、随机移动或任意组织,使得网络拓扑结构可以改变,有时甚至快速地改变。无线网络还可以采用多种网络访问技术,包括“长期演进”(LTE)、WLAN、无线路由器(WR)网状网、第二代、第三代、第四代或第五代(2G、3G、4G或5G)蜂窝技术等。网络接入技术可以启用设备的广域覆盖,例如,诸如移动性程度不同的客户端设备。例如,网络可以经由一种或多种网络接入技术(诸如“全球移动通信系统”(GSM)、“通用移动电信系统”(UMTS)、“通用分组无线电服务”(GPRS)、“增强型数据GSM环境”(EDGE)、3GPP LTE、LTE高级、“宽带码分多址”(WCDMA)、
802.11b/g/n等)来启用RF或无线类型的通信。无线网络实际上可以包括任何类型的无线通信机制,通过该机制,可以在网络之间或之内的诸如客户端设备或计算设备之类的设备之间传送信号。
为了本公开的目的,客户端(或消费者或用户)设备可以包括能够诸如经由有线或无线网络发送或接收信号的计算设备。客户端设备可以例如包括台式计算机或便携式设备,诸如蜂窝电话、智能电话、显示寻呼机、射频(RF)设备、红外(IR)设备、近场通信(NFC)设备、个人数字助理(PDA)、手持计算机、平板计算机、平板电话、膝上型计算机、机顶盒、可穿戴计算机、结合了各种特征(诸如上述设备的特征)的集成设备等。
客户端设备可以在能力或特征方面变化,并且所要求保护的主题旨在涵盖大范围的潜在变化。启用web的固定或移动设备可以包括被配置为接收和发送网页、基于web的消息等的浏览器应用。浏览器应用可以被配置为接收和显示图形、文本、多媒体等,采用几乎任何常规的基于web的语言。
本领域技术人员将认识到的是,虽然以上已经结合特定实施例和示例描述了本发明,但是本发明不必局限于此,并且许多其它实施例、示例、用途、与实施例的修改和偏离、示例和用途都旨在被本文的描述所涵盖。
Claims (20)
1.一种服务器系统,包括:
内部计算机网络,包括被配置为建立到外部计算机网络的数据传输连接的至少一个客户端服务器;以及
代理服务器系统,位于内部计算机网络和外部计算机网络之间,所述代理服务器系统包括位于第一防火墙和第二防火墙之间的第一代理服务器,其中第一防火墙位于第一代理服务器和内部计算机网络之间,并且第二防火墙位于第一代理服务器和外部计算机网络之间,并且第一代理服务器包括被批准用于数据传输连接的站点的白名单。
2.如权利要求1所述的服务器系统,其中所述数据传输连接是安全连接。
3.如权利要求1所述的服务器系统,其中第一代理服务器包括非军事区代理服务器。
4.如权利要求3所述的服务器系统,其中所述非军事区代理服务器使用特定证书被数字签名为配置。
5.如权利要求4所述的服务器系统,其中所述配置被本地存储。
6.如权利要求1所述的服务器系统,还包括位于内部计算机网络和外部计算机网络之间的第二代理服务器系统,第二代理服务器系统包括位于第三防火墙和第四防火墙之间的第二代理服务器,其中第三防火墙位于第二代理服务器与内部计算机网络之间,并且第四防火墙位于第二代理服务器与外部计算机网络之间。
7.如权利要求6所述的服务器系统,还包括逻辑,所述逻辑能够由所述服务器系统的一个或多个处理器执行并且可操作以将第一代理服务器链接到第二代理服务器。
8.如权利要求7所述的服务器系统,其中第二代理服务器包括非军事区代理服务器。
9.如权利要求1所述的服务器系统,其中所述代理服务器系统被配置为建立到至少一个外部服务器的安全连接。
10.如权利要求9所述的服务器系统,其中所述至少一个外部服务器包括基于云的服务器。
11.如权利要求9所述的服务器系统,其中所述代理服务器系统被配置为防止连接到至少一个其它服务器。
12.如权利要求6所述的服务器系统,其中第二代理服务器系统被配置为建立到所述至少一个外部服务器的安全连接。
13.如权利要求6所述的服务器系统,其中所述代理服务器系统被配置为防止连接到至少一个其它服务器。
14.如权利要求1所述的服务器系统,其中所述代理服务器系统白名单由单一方维护和更新。
15.如权利要求14所述的服务器系统,其中所述代理服务器系统白名单仅包含由所述单一方认为必要的网站。
16.如权利要求1所述的服务器系统,其中代理服务器系统白名单更新被自动递送到所有代理实例。
17.如权利要求6所述的服务器系统,其中所述代理服务器系统白名单由单一方维护和更新。
18.如权利要求17所述的服务器系统,其中所述代理服务器系统白名单仅包含由所述单一方认为必要的网站。
19.如权利要求18所述的服务器系统,其中代理服务器系统白名单更新被自动递送到所有代理实例。
20.如权利要求19所述的服务器系统,其中代理服务器系统白名单更新被自动递送到所有代理实例,并且所述代理服务器系统不维护或更新任何黑名单。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862729945P | 2018-09-11 | 2018-09-11 | |
| US62/729,945 | 2018-09-11 | ||
| PCT/US2019/050479 WO2020055919A1 (en) | 2018-09-11 | 2019-09-10 | Server and system for secure configuration push for dmz proxy clients |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112930668A true CN112930668A (zh) | 2021-06-08 |
Family
ID=69721044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980071708.7A Pending CN112930668A (zh) | 2018-09-11 | 2019-09-10 | 用于dmz代理客户端的安全配置推送的服务器和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11405392B2 (zh) |
| EP (1) | EP3850812A4 (zh) |
| CN (1) | CN112930668A (zh) |
| WO (1) | WO2020055919A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12081979B2 (en) * | 2020-11-05 | 2024-09-03 | Visa International Service Association | One-time wireless authentication of an Internet-of-Things device |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060200547A1 (en) * | 2005-03-01 | 2006-09-07 | Edwards Anthony V V | Methods, devices, systems and computer program products for providing secure communications between managed devices in firewall protected areas and networks segregated therefrom |
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| EP2632108A1 (en) * | 2012-02-26 | 2013-08-28 | Bitzner Mobile, Inc. | Methods and apparatuses for secure communication |
| CN104396211A (zh) * | 2012-06-22 | 2015-03-04 | 阿尔卡特朗讯 | 用于评估对于访问来自计算机网络中的服务器的内容的请求的方法和服务器 |
| US20160088023A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Services within reverse proxy servers |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6604143B1 (en) * | 1998-06-19 | 2003-08-05 | Sun Microsystems, Inc. | Scalable proxy servers with plug-in filters |
| US6718388B1 (en) * | 1999-05-18 | 2004-04-06 | Jp Morgan Chase Bank | Secured session sequencing proxy system and method therefor |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| JP4265326B2 (ja) * | 2003-08-12 | 2009-05-20 | 株式会社日立製作所 | サービス処理方法及びシステム並びにその処理プログラム |
| FR2922705B1 (fr) * | 2007-10-23 | 2011-12-09 | Sagem Defense Securite | Passerelle bidirectionnelle a niveau de securite renforce |
| US9154488B2 (en) | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
| US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
-
2019
- 2019-09-10 CN CN201980071708.7A patent/CN112930668A/zh active Pending
- 2019-09-10 EP EP19860606.3A patent/EP3850812A4/en active Pending
- 2019-09-10 WO PCT/US2019/050479 patent/WO2020055919A1/en unknown
- 2019-09-10 US US16/566,738 patent/US11405392B2/en active Active
-
2021
- 2021-10-28 US US17/513,500 patent/US11671427B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060200547A1 (en) * | 2005-03-01 | 2006-09-07 | Edwards Anthony V V | Methods, devices, systems and computer program products for providing secure communications between managed devices in firewall protected areas and networks segregated therefrom |
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| EP2632108A1 (en) * | 2012-02-26 | 2013-08-28 | Bitzner Mobile, Inc. | Methods and apparatuses for secure communication |
| CN104396211A (zh) * | 2012-06-22 | 2015-03-04 | 阿尔卡特朗讯 | 用于评估对于访问来自计算机网络中的服务器的内容的请求的方法和服务器 |
| US20160088023A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Services within reverse proxy servers |
| US20160088022A1 (en) * | 2014-09-24 | 2016-03-24 | Oracle International Corporation | Proxy servers within computer subnetworks |
Non-Patent Citations (1)
| Title |
|---|
| KEITE STOUFFER ET AI.: "Guide to Industrial Control Systems(ICS)Security NIST SP 800一82r2", 《NIST;NATI TECHNOLOGY ONAL INSTITUTE OF STANDARDS AND》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709109A (zh) * | 2021-07-27 | 2021-11-26 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
| CN113709109B (zh) * | 2021-07-27 | 2024-02-27 | 云南昆钢电子信息科技有限公司 | 一种基于云端与边缘端数据交换的安全系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3850812A4 (en) | 2022-06-08 |
| WO2020055919A1 (en) | 2020-03-19 |
| US11671427B2 (en) | 2023-06-06 |
| US20200084212A1 (en) | 2020-03-12 |
| US20220124093A1 (en) | 2022-04-21 |
| EP3850812A1 (en) | 2021-07-21 |
| US11405392B2 (en) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3646213B1 (en) | System and method for using a distributed ledger gateway | |
| EP2951947B1 (en) | Method and system for automatically managing secure communications in multiple communications jurisdiction zones | |
| EP2951747B1 (en) | System for automatically managing secrets in multiple data security jurisdiction zones | |
| US20180189467A1 (en) | Spatiotemporal credential leak detection to prevent identity fraud using a log management system | |
| US8918529B1 (en) | Messaging gateway | |
| US20180048738A1 (en) | Blockchain management using a device in a wireless telecommunication system | |
| US11671427B2 (en) | Server and system for secure configuration push for DMZ proxy clients | |
| US20150101011A1 (en) | Anti-malware mobile content data management apparatus and method | |
| CN109154968B (zh) | 用于组织内的安全且高效的通信的系统和方法 | |
| US11240202B2 (en) | Message processing method, electronic device, and readable storage medium | |
| CN113438256B (zh) | 一种基于双层ssl的数据传输方法、系统和代理服务器 | |
| Di Luccio et al. | Vessel to shore data movement through the internet of floating things: A microservice platform at the edge | |
| US11463549B2 (en) | Facilitating inter-proxy communication via an existing protocol | |
| JP4517911B2 (ja) | ポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末 | |
| US20150134747A1 (en) | Managing a messaging queue in an asynchronous messaging system | |
| Park et al. | Designing a secure service manager for internet of things | |
| Anne et al. | Enforcing the security within mobile devices using clouds and its infrastructure | |
| CN108322423A (zh) | 业务网络系统及发送、接收信息的方法和装置 | |
| CN118395463A (zh) | 文件传输方法、装置、电子设备和计算机可读介质 | |
| US10148590B2 (en) | Method and system for dynamically unblocking customers in critical workflows using pre-defined unlock codes | |
| CN116244003A (zh) | 云计算管理平台的插件同步方法及装置 | |
| CN116846625A (zh) | 通信方法、通信装置、电子设备及计算机存储介质 | |
| WO2015066996A1 (en) | A method and system for implementing ng-firewall, a ng-firewall client and a ng-firewall server |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |