CN116366274A - 处理访问控制的装置、方法及系统 - Google Patents

处理访问控制的装置、方法及系统 Download PDF

Info

Publication number
CN116366274A
CN116366274A CN202211206548.2A CN202211206548A CN116366274A CN 116366274 A CN116366274 A CN 116366274A CN 202211206548 A CN202211206548 A CN 202211206548A CN 116366274 A CN116366274 A CN 116366274A
Authority
CN
China
Prior art keywords
administrator
module
determination
network
remote device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211206548.2A
Other languages
English (en)
Inventor
高启原
刘晋廷
蔡岳庭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Moxa Technologies Co Ltd
Original Assignee
Moxa Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Moxa Technologies Co Ltd filed Critical Moxa Technologies Co Ltd
Publication of CN116366274A publication Critical patent/CN116366274A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及处理访问控制的装置、方法及系统。一种管理装置,包含有一第一认证模块,用来接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;一授权模块,用来当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;一通信模块,用来当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置;以及一整合模块,用来当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置。

Description

处理访问控制的装置、方法及系统
【技术领域】
本发明相关于一种装置、方法及系统,尤指一种处理访问控制的装置、方法及系统。
【背景技术】
在网络中,当设备管理器存取远程装置时,设备管理器及远程装置皆链接到虚拟专用网(virtual private network,VPN),以及根据远程装置的存取信息(例如密码),设备管理器存取远程装置。然而,在远程装置的数量日益增加的情况下,远程装置的存取信息的数量也随之增加,使得存取信息的管理成本大幅增加。为了节省管理成本,多个远程装置可被预先设定有相同或相关的存取信息。在此情况下,当虚拟专用网的存取信息被窃取时,多个远程装置的存取信息容易一并地被获取而使得多个远程装置皆暴露在非法存取的风险中,进而使得网络的安全性大幅降低。因此,如何存取远程装置以改善网络的安全性是一亟待解决的问题。
【发明内容】
本发明提供了一种装置、方法及系统,用来处理访问控制,以解决上述问题。
本发明揭露一种管理装置,用来处理访问控制(access control),包含有:一第一认证(authentication)模块,用来接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;一授权(authorization)模块,耦接于该第一认证模块,用来当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;一通信模块,耦接于该授权模块,用来当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置;以及一整合(integration)模块,耦接于该授权模块,用来当该第二决定为是时,传送用来设定一通信端口转发(port forwarding)的一第三请求信息到该网络装置。
本发明另揭露一种处理访问控制的方法,用于一管理装置,该方法包含有:接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置;以及当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置。
本发明另揭露一种处理访问控制的系统,包含有:一管理装置,包含有一第一认证模块,用来接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;一授权模块,耦接于该第一认证模块,用来当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;一通信模块,耦接于该授权模块,用来当该第二决定为是时以及当决定与一网络装置建立一第一链接时,传送用来与该网络装置建立该第一链接的一第二请求信息到该远程装置;以及一整合模块,耦接于该授权模块,用来当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置;以及一网络装置,包含有一联机模块,用来从该远程装置,接收用来建立一第二连结的一第四请求信息,以及根据该第四请求信息,建立与该远程装置的该第二链接;一整合模块,耦接于该联机模块,用来从该管理装置,接收用来设定到该远程装置的该通信端口转发的该第三请求信息,以及根据该第三请求信息,建立该通信端口转发,以及传送一第一路径到该管理装置,以响应该第三请求信息;以及一网络服务模块,耦接于该整合模块,用来从该管理员装置,接收用来存取该远程装置的一第五请求信息,以及根据该第五请求信息,执行与该远程装置的一应用层级服务。
【附图说明】
图1为本发明实施例一网络的示意图。
图2为本发明实施例一管理装置的示意图。
图3为本发明实施例一网络装置的示意图。
图4为本发明实施例一流程的流程图。
图5为本发明实施例一流程的流程图。
【具体实施方式】
图1为本发明实施例一网络10的示意图。网络10可包含有一外部网络(internet)100、一防火墙(firewall)110及一内部网络(intranet)120。如图1所示,通过防火墙110,网络10可被区隔为外部网络100及内部网络120。详细来说,外部网络100可为公众网络(public network),其可包含有一管理员装置1000、一管理装置1002及一网络装置1004。管理员装置1000可为设备管理器(administrator)使用的通信装置。管理装置1002可为通信装置,其可用来处理访问控制。网络装置1004可为虚拟专用网服务器(virtual privatenetwork server,VPN server),其可用来建立虚拟专用网(virtual private network,VPN),例如延伸内部网络120,以使得外部网络100及内部网络120中的装置可通过外部网络100来进行数据的传送及接收。防火墙110可为网络10中的安全装置,其可用来区隔不同的网络(例如外部网络100及内部网络120)以及可用来管理(例如控制)内部网络120中数据的传送及接收,以确保内部网络120的安全性。内部网络120可为私有网络,其可包含有一远程装置1200。远程装置1200可为通信装置。
上述通信装置可包含有客户端(user equipment,UE)、低成本装置(例如机器型态通信(machine type communication,MTC))、装置对装置(device-to-device,D2D)通信装置、窄频物联网(narrow-band IoT,NB-IoT)装置、电力装置、服务器、移动电话、各种类型的计算机(例如桌面计算机、笔记本电脑、平板计算机)、电子书及便携计算机系统,或上述装置的组合,但不限于此。
图2为本发明实施例一管理装置20的示意图,可用于实现图1的管理装置1002,用于处理访问控制。管理装置20可包含有一第一认证(authentication)模块(module)200、一授权(authorization)模块210、一通信模块220及一整合(integration)模块230。详细来说,第一认证模块200可从管理员装置(例如图1的管理员装置1000)接收第一信息,以及根据第一信息,第一认证模块200可执行管理员装置是否为正确的第一决定。授权模块210可耦接于第一认证模块200,当第一决定为是(即管理员装置为正确的)时以及当从管理员装置接收用来存取远程装置(例如图1的远程装置1200)的第一请求信息时,授权模块210可执行管理员装置是否包含有远程装置的存取资格的第二决定。通信模块220可耦接于授权模块210,当第二决定为是(即管理员装置包含有远程装置的存取资格)时以及当通信模块220决定与网络装置(例如图1的网络装置1004)建立链接时,通信模块220可传送用来与网络装置建立链接的第二请求信息到远程装置。整合模块230可耦接于授权模块210或通信模块220,当第二决定为是时,整合模块230可传送用来设定通信端口转发(port forwarding)的第三请求信息到网络装置。
在一实施例中,第一信息可包含有(例如为)管理员装置存取管理装置20的帐户名称及密码。在一实施例中,通过开启浏览器、在浏览器上链接到管理装置20,以及输入管理装置20的帐户名称及密码,管理员装置可存取管理装置20。在一实施例中,第一认证模块200可建立管理员装置的帐户,以及可在管理员装置的帐户中存储管理员装置的信息,例如帐户名称、密码、凭证(certificate)、电子邮件地址或手机号码,但不限于此。在一实施例中,第一认证模块200可建立网络10中的复数个管理员装置的复数个帐户,以及可在复数个账户中存储复数个管理员装置的信息。在一实施例中,第一认证模块200可比对第一信息及其存储的复数个管理员装置的信息,当前者与后者具有相同的帐户名称及密码时,第一认证模块200可执行管理员装置为正确的第一决定。
在一实施例中,第一认证模块200可包含有一第二认证模块。当第一决定为是时,根据第一认证模块200的配置(configuration),第二认证模块可决定是否对管理员装置执行多重因素认证(multi factorauthentication,MFA)。也就是说,除了通过管理员装置的帐户名称及密码,第一认证模块200可另通过其它一或多种因素来决定管理员装置是否为正确的。在一实施例中,通过传送简信到管理员装置,第二认证模块可对管理员装置执行多重因素认证。详细来说,第二认证模块可传送简信(例如包含有验证码)到管理员装置,根据简信,管理员装置可传送对应的信息(例如验证码)到第二认证模块,以响应简信,第二认证模块可比对简信及管理员装置传送的信息,当二者相对应(例如验证码相同)时,第二认证模块可决定管理员装置为正确的。在一实施例中,通过简信、生物辨识(例如扫描指纹或虹膜等生物特征)、验证码应用程序(例如输入应用程序中的验证码)、其它可认证管理员装置的方式或上述方式的组合,第二认证模块可对管理员装置执行多重因素认证。
在一实施例中,从管理员装置,授权模块210可接收第一请求信息。在一实施例中,存取资格可包含有存取远程装置的访问权限、在允许的时间(例如09:00~18:00)中存取远程装置以及在允许的区域(例如国家或城市)中存取远程装置中至少一者。在一实施例中,授权模块210可建立管理员装置的存取资格,以及可在管理员装置的帐户中存储管理员装置的存取资格。在一实施例中,授权模块210可建立网络10中复数个管理员装置的存取资格,以及可在复数个账户中存储复数个管理员装置的存取资格。在一实施例中,授权模块210可根据管理员装置的信息,在其存储的复数个管理员装置的存取资格中,获得(例如搜寻到)管理员装置的存取资格。授权模块210可比对管理员装置所要存取的远程装置、存取远程装置的时间及存取远程装置的区域与管理员装置的存取资格,当二者相符合(例如具有所要存取的远程装置的访问权限、存取远程装置的时间为在允许的时间中、存取远程装置的区域为在允许的区域中)时,授权模块210可执行管理员装置包含有远程装置的存取资格的第二决定。
在一实施例中,当第一决定为是时,授权模块210可执行管理员装置是否包含有远程装置的访问权限的第三决定,以及当第三决定为是时,授权模块210可传送远程装置的第二信息到管理员装置。第二信息可包含有远程装置的识别(identity)(例如远程装置的名称)。在一实施例中,在管理员装置的浏览器上,远程装置的识别可被显示。
在一实施例中,当与网络装置未建立(例如不存在有)链接时,通信模块220可决定与网络装置建立链接。当与网络装置已建立(例如存在有)链接时,通信模块220可决定与网络装置不建立链接。也就是说,当与网络装置存在有先前建立的连结时,通过先前建立的链接,通信模块220可与网络装置进行数据的传送及接收,通信模块220可不须再与网络装置重新建立链接。在一实施例中,第二请求信息可包含有网络装置的因特网协议地址(Internet Protocol Address,IP Address)。在一实施例中,第二请求信息可包含有用来与网络装置建立链接需要的数据。
在一实施例中,通过用于信息传输的通信协议(例如消息队列遥测传输(MessageQueuing Telemetry Transport,MQTT)、先进消息队列协议(Advanced Message QueuingProtocol,AMQP)或受限应用协议(Constrained Application Protocol,CoAP),但不限于此),通信模块220可传送第二请求信息到远程装置,以及通信模块220可接收远程装置传送的响应消息。在上述实施例中,通信模块220可包含有(例如安装有)消息队列遥测传输代理人(MQTT broker)应用程序,以及可建立远程装置的识别(例如客户端识别(client ID))以及用来与远程装置建立链接需要的数据,例如客户端机密(client secret)或凭证,但不限于此。此外,远程装置可包含有(例如安装有)消息队列遥测传输客户端(MQTT client)应用程序,以及可输入远程装置的识别(例如从通信模块220接收)以及用来与远程装置建立链接需要的数据。通信模块220与远程装置之间的防火墙(例如图1的防火墙110)可开启用于消息队列遥测传输的通信端口(例如通信端口8883)。当启动消息队列遥测传输客户端应用程序时,远程装置可链接到通信模块220的消息队列遥测传输代理人应用程序,以建立链接。在链接建立完成的情况下,通信模块220与网络装置可进行数据的传送及接收。
在一实施例中,第三请求信息可包含有管理员装置的来源(source)因特网协议地址,并被决定(例如设定)为管理员装置的外部(external)因特网协议地址。也就是说,通过管理员装置的来源因特网协议地址,管理员装置可存取网络装置。在一实施例中,第三请求信息包含有管理员装置的目的地(destination)因特网协议地址,并被决定为远程装置的因特网协议地址。在一实施例中,第三请求信息包含有管理员装置的目的地通信端口,并被决定为远程装置的通信端口(例如安全外壳协议(secure shell,SSH)通信端口22))。
在一实施例中,整合模块230可传送用来中断远程装置与网络装置的链接的第四请求信息到网络装置。在一实施例中,整合模块230可传送用来移除网络装置的通信端口转发的配置(configuration)的第五请求信息到网络装置。在一实施例中,整合模块230可传送用来使网络装置回传存取网络装置的装置列表及其链接数据的第六请求信息到网络装置。在一实施例中,整合模块230可传送用来响应网络装置请求验证(verify)管理员装置的响应消息到网络装置。
在一实施例中,整合模块230可从网络装置接收第一路径,以响应第三请求信息。根据第一路径及存取令牌(access token),整合模块230可产生第二路径,以及传送第二路径到管理员装置。在一实施例中,根据网络装置的凭证,管理装置20可产生存取令牌。举例来说,藉由使用网络装置的凭证,管理装置20可加密数据以产生存取令牌。在一实施例中,凭证可包含有公钥(public key)凭证,例如X.509,但不限于此。在一实施例中,第一路径及第二路径可包含有统一资源定位符(uniform resource locator,URL),但不限于此。
在一实施例中,通过在浏览器上开启(例如输入)第二路径,管理员装置可链接到网络装置的网络应用程序服务(Web App service)。在一实施例中,网络装置可决定管理员装置是否为正确的。举例来说,通过网络应用程序服务,网络装置可传送用来验证管理员装置是否为正确的第七请求信息到管理装置(例如请求管理装置比对管理员装置的因特网协议地址是否在允许的列表中)。此外,根据网络装置的私钥(private key)及存取令牌,网络装置可产生数据。举例来说,藉由使用网络装置的私钥,网络装置解密存取令牌以产生数据。网络装置可比对数据及第二路径。在一实施例中,数据可包含有管理装置的交谈标识符(session ID),网络装置可比对交谈标识符与第二路径是否相同。在一实施例中,数据可包含有存取令牌的有效时间,网络装置可比对存取令牌的有效时间与管理员装置存取远程装置的时间是否相符(例如后者是否在前者的期间),以避免管理员装置使用有效时间已逾期的路径来存取远程装置。在一实施例中,数据可包含有存取令牌的更新路径,其可供网络装置当存取令牌的有效时间到期时,传送用来申请更新的(例如在有效时间内的)存取令牌的第八请求信息到管理装置。当网络装置完成验证(例如管理员装置为正确的)及比对(例如比对的结果为相同或相符)时,网络装置可决定管理员装置为正确的。
在一实施例中,当网络装置决定管理员装置为正确的时,通过网络应用程序服务,网络装置可链接到远程装置,以及提供应用层级服务(例如安全外壳协议)到远程装置。
在上述实施例中,通过用于安全通信的传输协议(例如超文本传输安全协议(HyperText Transfer Protocol Secure,HTTPS)或传输层安全性协议(Transport LayerSecurity,TLS)),管理员装置与管理装置可进行数据的传送及接收。
在一实施例中,管理装置20可包含有一作业稽核模块。作业稽核模块可耦接于整合模块230,以及可用来存储管理员装置存取远程装置的纪录(例如在作业稽核日志中)。在一实施例中,管理员装置存取远程装置的纪录可包含有上述实施例中的所有运作。
图3为本发明实施例一网络装置30的示意图,可用于实现图1的网络装置1004,用于处理访问控制,用于处理访问控制。网络装置30可包含有一联机模块300、一整合模块310及一网络服务模块320。详细来说,从远程装置(例如图1的远程装置1200),联机模块300可接收用来建立链接的第九请求信息,以及根据第九请求信息,联机模块300可建立与远程装置的链接。也就是说,联机模块300与远程装置的信道(tunnel)可被建立,以及联机模块300与远程装置可通过信道进行数据的传送及接收。整合模块310可耦接于联机模块300,以及从管理装置(例如图1的管理装置1002),整合模块310可接收用来设定到远程装置的通信端口转发的第十请求信息。根据第十请求信息,整合模块310可建立通信端口转发以及可传送第一路径到管理装置,以响应第十请求信息。网络服务模块320可耦接于整合模块310,以及从管理员装置(例如图1的管理员装置1000),网络服务模块320可接收用来存取远程装置的第十一请求信息。根据第十一请求信息,网络服务模块320可执行与远程装置的应用层级服务。
在一实施例中,当未从远程装置接收用来建立链接的第九请求信息,联机模块300可等待接收用来建立链接的第九请求信息。在一实施例中,从管理装置,联机模块300可接收用来中断与远程装置的链接的第四请求信息。根据第四请求信息,联机模块300可中断与远程装置的链接。在一实施例中,从管理装置,整合模块310可接收用来移除网络装置的通信端口转发的配置的第五请求信息。根据第五请求信息,整合模块310可移除网络装置的通信端口转发的配置。在一实施例中,从管理装置,整合模块310可接收用来使网络装置回传存取网络装置的装置列表及其链接数据的第六请求信息。根据第六请求信息,整合模块310可回传存取网络装置的装置列表及其链接数据到管理装置。在一实施例中,整合模块310可传送用来验证管理员装置是否为正确的第七请求信息到管理装置。
前述管理装置20的运作可归纳为图4的一流程40。流程40可被用来实现管理装置20,以及包含有以下步骤:
步骤400:开始。
步骤402:接收(例如一管理员装置的)一第一信息,以及根据该第一信息,执行该管理员装置是否为正确的一第一决定。
步骤404:当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定。
步骤406:当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置。
步骤408:当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置。
步骤410:结束。
流程40可被用来说明管理装置20的运作。流程40的详细内容及变化可参考前述,在此不赘述。
前述网络装置30的运作可归纳为图5的一流程50。流程50可被用来实现网络装置30,以及包含有以下步骤:
步骤500:开始。
步骤502:从一远程装置,接收用来建立一连结的一第九请求信息,以及根据该第九请求信息,建立与该远程装置的该链接。
步骤504:从一管理装置,接收用来设定到该远程装置的一通信端口转发的一第十请求信息,以及根据该第十请求信息,建立该通信端口转发以及传送一第一路径到该管理装置,以响应该第十请求信息。
步骤506:从该管理员装置,接收用来存取该远程装置的一第十一请求信息,以及根据该第十一请求信息,执行与该远程装置的一应用层级服务。
步骤508:结束。
流程50可被用来说明网络装置30的运作。流程50的详细内容及变化可参考前述,在此不赘述。
上述的第十请求信息与前述第三请求信息可为相同的信息。
上述的用语编号,例如「第一」、「第二」、...、「第十一」仅是用来区别相似的用语,而非用来限制用语的出现顺序。
上述的用语「包含有」可被取代为「为」。上述的「决定」的运作可被取代为「运算(compute)」、「计算(calculate)」、「获得(obtain)」、「产生(generate)」、「输出(output)」、或「使用(use)」。上述的用语「根据(according to)」可被取代为「藉由使用(by using)」。上述的用语「通过(via)」可被取代为「在...之上(on)」或「在...之中(in)」。
本领域具通常知识者当可依本发明的精神加以结合、修饰及/或变化以上所述的实施例,而不限于此。前述的陈述、模块及/或流程(包含建议步骤)可通过器件实现,器件可为硬件、软件、固件(为硬件器件与计算机指令与数据的结合,且计算机指令与数据属于硬件器件上的只读软件)、电子系统、或上述器件的组合。本发明的实现方式可为管理器件20。管理器件20(及其中的第一认证模块200、授权模块210、通信模块220及整合模块230)的实现方式可有很多种。举例来说,可将上述模块整合为一或多个模块。本发明的实现方式可为网络器件30。网络器件30(及其中的联机模块300、整合模块310及网络服务模块320)的实现方式可有很多种。举例来说,可将上述模块整合为一或多个模块。本发明的实现方式可为管理员器件1000、管理器件1002、网络器件1004、防火墙110及远程器件1200中一或多种器件及其组合。
硬件的实施例可包含有模拟电路、数字电路及/或混合电路。举例来说,硬件可包含有特定应用集成电路(application-specific integrated circuit(s),ASIC(s))、场域可程序化门阵列(field programmable gate array(s),FPGA(s))、可程序化逻辑设备(programmable logic device(s))、耦合硬件组件(coupled hardware components)、或上述器件的组合。在一实施例中,硬件包含有通用处理器(general-purpose processor(s))、微处理器(microprocessor(s))、控制器(controller(s))、数字信号处理器(digitalsignal processor(s),DSP(s))、或上述器件的组合。
软件的实施例可包含有程序代码的集合、指令的集合及/或函数的集合,其可被保留(例如存储)在存储单元,例如计算机可读取介质(computer-readable medium)中。计算机可读取介质可包含有用户识别模块(Subscriber Identity Module,SIM)、只读式内存(Read-Only Memory,ROM)、闪存(flash memory)、随机存取内存(Random-Access Memory,RAM)、CD-ROM/DVD-ROM/BD-ROM、磁带(magnetic tape)、硬盘(hard disk)、光学数据存储装置(optical data storage device)、非挥发性存储装置(non-volatile storagedevice)、或上述装置的组合。计算机可读取介质(例如存储单元)可在内部(例如集成(integrate))或外部(例如分离(separate))耦合到至少一处理器。包含有一个或多个模块的至少一个处理器可(例如被配置为)执行计算机可读取介质中的软件。程序代码的集合、指令的集合及/或函数的集合可使至少一处理器、模块、硬件及/或电子系统执行相关步骤。
综上所述,本发明提供了一种处理访问控制的装置及方法。与习知技术相比,本发明的设备管理器无法仅根据远程装置的存取信息来存取远程装置,而须通过管理装置及网络装置来存取远程装置。如此一来,网络的安全性可被改善。
以上所述仅为本发明的较佳实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明的涵盖范围。
【符号说明】
10:网络
100:外部网络
1000:管理员装置
1002:管理装置
1004:网络装置
110:防火墙
120:内部网络
1200:远程装置
20:管理装置
200:第一认证模块
210:授权模块
220:通信模块
230:整合模块
30:网络装置
300:联机模块
310:整合模块
320:网络服务模块
40、50:流程
400、402、404、406、408、410、500、502、504、506、508:步骤

Claims (26)

1.一种管理装置,用来处理访问控制,包含有:
一第一认证模块,用来接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;
一授权模块,耦接于该第一认证模块,用来当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;
一通信模块,耦接于该授权模块,用来当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置;以及
一整合模块,耦接于该授权模块,用来当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置。
2.如权利要求1所述的管理装置,其中该第一信息包含有该管理员装置存取该管理装置的一帐户名称及一密码。
3.如权利要求1所述的管理装置,其中该第一认证模块包含有:
一第二认证模块,用来当该第一决定为是时,决定是否对该管理员装置执行一多重因素认证。
4.如权利要求1所述的管理装置,其中该第一请求信息来自该管理员装置。
5.如权利要求1所述的管理装置,其中该存取资格包含有存取该远程装置的一访问权限、在一允许的时间中存取该远程装置以及在一允许的区域中存取该远程装置中至少一者。
6.如权利要求1所述的管理装置,其中该授权模块另用以执行以下运作:
当该第一决定为是时,执行该管理员装置是否包含有该远程装置的一访问权限的一第三决定;以及
当该第三决定为是时,传送该远程装置的一第二信息到该管理员装置,其中该第二信息包含有该远程装置的一识别。
7.如权利要求1所述的管理装置,其中该通信模块另用以执行以下运作:当与该网络装置未建立该链接时,决定与该网络装置建立该链接。
8.如权利要求1所述的管理装置,其中该第二请求信息包含有该网络装置的一因特网协议地址。
9.如权利要求1所述的管理装置,其中该第三请求信息包含有以下信息中至少一信息:该管理员装置的一来源因特网协议地址、该管理员装置的一目的地因特网协议地址或该管理员装置的一目的地通信端口,其中该管理员装置的该来源因特网协议地址被决定为该管理员装置的一外部因特网协议地址、该管理员装置的该目的地因特网协议地址被决定为该远程装置的一因特网协议地址,或者该管理员装置的该目的地通信端口被决定为该远程装置的一通信端口。
10.如权利要求1所述的管理装置,其中该整合模块另用以执行以下运作:从该网络装置接收一第一路径,以响应该第三请求信息;以及
根据该第一路径及一存取令牌,产生一第二路径,以及传送该第二路径到该管理员装置。
11.如权利要求10所述的管理装置,其中该存取令牌是根据该网络装置的一凭证所产生。
12.如权利要求1所述的管理装置,另包含有:
一作业稽核模块,耦接于该整合模块,用来存储该管理员装置存取该远程装置的一纪录。
13.如权利要求1所述的管理装置,其中该网络装置包含有一虚拟专用网服务器。
14.一种处理访问控制的方法,用于一管理装置,该方法包含有:
接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;
当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;
当该第二决定为是时以及当决定与一网络装置建立一链接时,传送用来与该网络装置建立该链接的一第二请求信息到该远程装置;以及
当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置。
15.如权利要求14所述的方法,其中该第一信息包含有该管理员装置存取该管理装置的一帐户名称及一密码。
16.如权利要求14所述的方法,另包含有:
当该第一决定为是时,决定是否对该管理员装置执行一多重因素认证。
17.如权利要求14所述的方法,另包含有:
从该管理员装置,接收该第一请求信息。
18.如权利要求14所述的方法,其中该存取资格包含有存取该远程装置的一访问权限、在一允许的时间中存取该远程装置以及在一允许的区域中存取该远程装置中至少一者。
19.如权利要求14所述的方法,另包含有:
当该第一决定为是时,执行该管理员装置是否包含有该远程装置的一访问权限的一第三决定;以及
当该第三决定为是时,传送该远程装置的一第二信息到该管理员装置,其中该第二信息包含有该远程装置的一识别。
20.如权利要求14所述的方法,另包含有:
当与该网络装置未建立该链接时,决定与该网络装置建立该链接。
21.如权利要求14所述的方法,其中该第二请求信息包含有该网络装置的一因特网协议地址。
22.如权利要求14所述的方法,其中该第三请求信息包含有以下信息中至少一信息:该管理员装置的一来源因特网协议地址、该管理员装置的一目的地因特网协议地址或该管理员装置的一目的地通信端口,其中该管理员装置的该来源因特网协议地址被决定为该管理员装置的一外部因特网协议地址、该管理员装置的该目的地因特网协议地址被决定为该远程装置的一因特网协议地址,或者该管理员装置的该目的地通信端口被决定为该远程装置的一通信端口。
23.如权利要求14所述的方法,另包含有:
从该网络装置接收一第一路径,以响应该第三请求信息;以及
根据该第一路径及一存取令牌,产生一第二路径,以及传送该第二路径到该管理员装置。
24.如权利要求23所述的方法,另包含有:
根据该网络装置的一凭证,产生该存取令牌。
25.如权利要求14所述的方法,另包含有:
存储该管理员装置存取该远程装置的一纪录。
26.一种处理访问控制的系统,包含有:
一管理装置及一网络装置,其中该管理装置包含有:
一第一认证模块,用来接收一第一信息,以及根据该第一信息,执行一管理员装置是否为正确的一第一决定;
一授权模块,耦接于该第一认证模块,用来当该第一决定为是时以及当接收用来存取一远程装置的一第一请求信息时,执行该管理员装置是否包含有该远程装置的一存取资格的一第二决定;
一通信模块,耦接于该授权模块,用来当该第二决定为是时以及当决定与该网络装置建立一第一链接时,传送用来与该网络装置建立该第一链接的一第二请求信息到该远程装置;以及
一整合模块,耦接于该授权模块,用来当该第二决定为是时,传送用来设定一通信端口转发的一第三请求信息到该网络装置;以及
该网络装置,包含有:
一联机模块,用来从该远程装置,接收用来建立一第二连结的一第四请求信息,以及根据该第四请求信息,建立与该远程装置的该第二链接;
一整合模块,耦接于该联机模块,用来从该管理装置,接收用来设定到该远程装置的该通信端口转发的该第三请求信息,以及根据该第三请求信息,建立该通信端口转发,以及传送一第一路径到该管理装置,以响应该第三请求信息;以及
一网络服务模块,耦接于该整合模块,用来从该管理员装置,接收用来存取该远程装置的一第五请求信息,以及根据该第五请求信息,执行与该远程装置的一应用层级服务。
CN202211206548.2A 2021-12-28 2022-09-30 处理访问控制的装置、方法及系统 Pending CN116366274A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW110149027 2021-12-28
TW110149027A TWI795148B (zh) 2021-12-28 2021-12-28 處理存取控制的裝置、方法及系統

Publications (1)

Publication Number Publication Date
CN116366274A true CN116366274A (zh) 2023-06-30

Family

ID=84331861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211206548.2A Pending CN116366274A (zh) 2021-12-28 2022-09-30 处理访问控制的装置、方法及系统

Country Status (4)

Country Link
US (1) US20230208838A1 (zh)
EP (1) EP4207682A1 (zh)
CN (1) CN116366274A (zh)
TW (1) TWI795148B (zh)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100456739C (zh) * 2003-07-04 2009-01-28 日本电信电话株式会社 远程访问虚拟专用网络中介方法和中介装置
CN101610155A (zh) * 2009-07-20 2009-12-23 成都市华为赛门铁克科技有限公司 远程授权方法、装置及系统
TWI445388B (zh) * 2009-07-28 2014-07-11 Chunghwa Telecom Co Ltd Remote control system and method for user communication terminal equipment
US10097523B2 (en) * 2012-01-30 2018-10-09 Martello Technologies Corporation Method and system for providing secure remote external client access to device or service on a remote network
US9152388B2 (en) * 2013-03-15 2015-10-06 Sap Se Tailored language sets for business level scripting
TW201509151A (zh) * 2013-08-30 2015-03-01 Ibm 具安全防護連結之遠端診斷的方法與電腦程式產品及實施該方法之資訊設備
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
TWM534941U (zh) * 2016-07-06 2017-01-01 國泰人壽保險股份有限公司 遠端連線管理系統
US10880292B2 (en) * 2018-06-28 2020-12-29 Oracle International Corporation Seamless transition between WEB and API resource access
KR20210038207A (ko) * 2019-09-30 2021-04-07 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 로그인 기반 장치 데이터 동기화
US11334655B2 (en) * 2019-11-19 2022-05-17 Micron Technology, Inc. Authenticating a device using a remote host
WO2021174264A1 (en) * 2020-02-27 2021-09-02 Vietnam Onyx Joint Stock Company Method for remotely activating a remote lock system using cryptography and the remote lock system for implementing the method
CN113543135B (zh) * 2020-04-13 2023-07-11 华为技术有限公司 授权方法、策略控制功能设备和接入和移动管理功能设备

Also Published As

Publication number Publication date
US20230208838A1 (en) 2023-06-29
TW202326492A (zh) 2023-07-01
EP4207682A1 (en) 2023-07-05
TWI795148B (zh) 2023-03-01

Similar Documents

Publication Publication Date Title
EP3691215B1 (en) Access token management method, terminal and server
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
US8532620B2 (en) Trusted mobile device based security
US8510811B2 (en) Network transaction verification and authentication
US8990356B2 (en) Adaptive name resolution
US10136315B2 (en) Password-less authentication system, method and device
US10601813B2 (en) Cloud-based multi-factor authentication for network resource access control
US8832782B2 (en) Single sign-on system and method
US20160308868A1 (en) System and Method for Secure Proxy-Based Authentication
US9264420B2 (en) Single sign-on for network applications
US20090319776A1 (en) Techniques for secure network communication
EP3439271A1 (en) System and method for preserving privacy of a registrant in a domain name system ("dns")
CN110278179B (zh) 单点登录方法、装置和系统以及电子设备
US10805083B1 (en) Systems and methods for authenticated communication sessions
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
US11165768B2 (en) Technique for connecting to a service
US20130091355A1 (en) Techniques to Prevent Mapping of Internal Services in a Federated Environment
US12003512B2 (en) Limiting discovery of a protected resource in a zero trust access model
TWI795148B (zh) 處理存取控制的裝置、方法及系統
CN115865384A (zh) 中台微服务授权方法、装置、电子设备及存储介质
US20230421583A1 (en) Systems, methods, and storage media for abstracting session information for an application in an identity infrastructure
US11855871B1 (en) Systems, methods, and storage media for analyzing authentication and authorization requirements in an identity infrastructure
US20230370456A1 (en) Systems, methods, and storage media for controlling user access to an application
CN115190483A (zh) 一种访问网络的方法及装置
CN115913568A (zh) 授权认证方法和装置、网关、介质和计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination