CN118044157A - 在混合云中对本地部署设备的远程命令访问 - Google Patents
在混合云中对本地部署设备的远程命令访问 Download PDFInfo
- Publication number
- CN118044157A CN118044157A CN202280066749.9A CN202280066749A CN118044157A CN 118044157 A CN118044157 A CN 118044157A CN 202280066749 A CN202280066749 A CN 202280066749A CN 118044157 A CN118044157 A CN 118044157A
- Authority
- CN
- China
- Prior art keywords
- session
- service
- locally deployed
- gateway service
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 61
- 230000005540 biological transmission Effects 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims description 11
- 238000013507 mapping Methods 0.000 claims description 9
- 238000012546 transfer Methods 0.000 claims description 5
- 230000003993 interaction Effects 0.000 claims description 4
- 239000003795 chemical substances by application Substances 0.000 description 46
- 230000006855 networking Effects 0.000 description 13
- 238000013518 transcription Methods 0.000 description 12
- 230000035897 transcription Effects 0.000 description 12
- 238000012550 audit Methods 0.000 description 10
- 230000002452 interceptive effect Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 230000003139 buffering effect Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
描述了针对在混合云中对本地部署设备的远程命令访问的系统和方法。示例方法包括由网关服务接收针对在远程支持服务代理和本地部署设备之间的连接的请求。该方法还包括由网关服务接收来自与本地部署设备相关联的授权用户的同意。该方法还包括由网关服务创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。该方法还包括由网关服务针对第一会话供应设备专用混合连接端点。该方法还包括由网关服务通过与第二会话绑定设备专用混合连接端点来形成基于同意的范围允许数据和命令集的传输的安全会话。
Description
背景技术
越来越多的计算、存储和联网资源经由公共云、私有云或两者的混合来访问。公共云包括执行各种功能的全球服务器网络,包括存储和管理数据、运行应用,以及交付内容或服务,例如流媒体视频、电子邮件、办公生产力软件或社交媒体。服务器和其他组件可以位于世界各地的数据中心中。虽然公共云通过互联网向公众提供服务,但企业可以使用私有云或混合云。私有云和混合云也都包括位于数据中心中的服务器的网络。云服务提供方通过向客户提供云计算和存储资源来提供对这些资源的访问。
有时,用户可能不仅想要访问由云服务提供方提供的云资源,还想访问位于本地并且不是由云服务提供方提供的资源的一部分的设备。在这种混合云环境中,需要方法和系统以解决访问问题。
发明内容
在一个方面中,本公开涉及一种方法,该方法包括由网关服务接收针对远程支持服务代理与本地部署设备之间的连接的请求。该方法还包括由网关服务接收来自与本地部署设备相关联的授权用户的同意。该方法还包括由网关服务至少基于同意来创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该方法还包括由网关服务供应针对第一会话的设备专用混合连接端点。该方法还包括由网关服务通过将设备专用混合连接端点与第二会话绑定来形成安全会话,安全会话基于同意的范围而允许数据和命令集的传输。
在另一方面中,本公开涉及用于实现对本地部署设备的远程访问的网关服务。网关服务可以包括指令,该指令在由处理系统执行时执行操作,操作包括接收针对远程支持服务代理与本地部署设备之间的连接的请求,接收来自与本地部署设备相关联的授权用户的同意,以及创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该操作还包括供应针对第一会话的设备专用混合连接端点,以及通过将设备专用混合连接端点与第二会话绑定以及确保第一会话与第二会话之间的一对一映射来形成安全会话,第二会话基于同意的范围而允许数据和命令集的传输。
在又一方面,本公开涉及一种方法,该方法包括由网关服务接收针对远程支持服务代理与本地部署设备之间的连接的请求,其中远程支持服务代理不具有创建到本地部署设备的直接入站连接的权限。该方法还包括由网关服务接收来自与本地部署设备相关联的授权用户的同意,以及由网关服务至少基于同意来创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该方法还包括由网关服务供应针对第一会话的设备专用混合连接端点,以及由网关服务通过将设备专用混合连接端点与第二会话绑定以及确保第一会话与第二会话之间的一对一映射来形成安全会话,安全会话基于同意的范围允许数据和命令集的传输。
附图说明
本公开通过示例的方式说明,并且不受附图的限制,在其中相似的引用指示类似的元素。在图中的元素针对简单性和清晰性说明,并且不一定是按比例绘制的。
图1示出了用于在混合云中实现对本地部署设备的弹性和交互式命令访问的系统环境;
图2根据一个示例示出了用于供应远程支持服务的系统;
图3示出了用于供应设备专用混合连接端点资源的两种不同布置;
图4示出了被配置为经由远程接口供应交互式支持服务的边缘控制台网关服务(ECGS)的一个示例;
图5示出了用于实现会话代理流的示例组件;
图6示出了会话设置消息的示例格式;
图7根据一个示例示出了以实现弹性会话的底层传输流的缓冲的示例;
图8示出了代理服务的示例实现;
图9示出了与服务器管理器相关联的示例实现;
图10示出了与会话管理器相关联的示例实现;
图11根据一个示例是用于执行与本公开相关联的方法的计算系统的框图;
图12根据一个示例示出了用于经由网关服务实现针对本地部署设备的支持的方法的流程图;
图13示出了用于审计在混合云中对本地部署设备的弹性和交互式命令访问的示例实现;以及
图14根据一个示例示出了用于经由网关服务实现针对本地部署设备的支持的另一方法的流程图。
具体实施方式
在本公开中描述的示例涉及用于经由与云服务提供方相关联的网关服务实现对(例如,针对本地部署设备提供支持服务)本地部署设备的访问的方法和系统。云提供方的很大一部分用户部署了混合云解决方案(例如,Azure Stack Hub、Edge和HCI)。这种混合云解决方案包括对经由云提供方的数据中心提供的资源和由用户在其本地部署的资源两者的访问。此外,用户的混合云解决方案可以承载业务关键应用。这些用户更喜欢不受由关于本地部署设备的软件或硬件问题导致的影响。他们期望通过由云提供方或第三方提供的支持服务有效地解决这种问题。有效的解决方案经常可以通过实现使混合云提供方能够出于诊断和补救目的对这些设备进行有限的远程访问而被促进。
对本地部署设备的任何远程访问都需要应对因为云部署的混合性质而引起的若干问题。这些问题可以大致分为:(1)网络相关问题,(2)访问相关问题,以及(3)安全相关问题。网络相关问题可以包括网络相关问题可能包括基于防火墙拒绝到本地部署设备的入站互联网连接。这是因为防火墙可以允许本地部署设备发起出站连接,但不允许来自互联网的入站连接。网络相关问题也可以涉及到位于云的边缘处的本地部署设备的不可靠(例如,有时慢)互联网连接。
访问相关问题可以涉及对由用户关于本地部署设备设置的访问的限制以及由协议或法律施加的法律限制。安全相关问题可以涉及超文本传输协议(HTTP)传输层安全(TLS)检查过滤器的存在,可以导致远程访问的内容的公开或者篡改。
目前,交互式远程连接使授权用户能够访问在用于执行支持相关操作的边缘设备上的服务(例如,PowerShell或Windows管理中心(WAC))。当与现场访问相比时,在远程访问这些服务中的示例差异涉及身份验证和网络设置。诸如PowerShell Web的解决方案需要关于本地部署设备的有效用户帐户,PowerShell可以使用该帐户进行身份验证。在边缘场景的情况中,访问用户设备的远程用户(为了清楚,本文称为“远程代理”)可能不具有设备上的有效用户帐户,因此无法使用集成Windows身份验证。实现对被远程访问的服务(例如,PowerShell网络或WAC)涉及可以包括开放针对入站互联网访问的防火墙端口、配置DNS或甚至部署公共IP的特殊网络设置。然而,由于网络和安全考虑,这在多种情况下是不可行的。
有利的是,本公开的某些方面实现以解决这些问题的方式提供访问(例如,针对远程支持服务)。本公开描述了实现对本地部署设备的命令访问。即使提供不可靠的网络,这种访问也是有弹性的和互动式的。总之,远程代理(例如,支持服务代理)经由连接性平台被提供对用户的本地部署设备的访问。使用该连接性平台的远程代理(例如,支持服务代理)利用支持服务来进行身份验证,但不具有对用户的本地部署设备的身份验证凭证。远程代理(例如,支持服务代理)被授予对本地部署设备的仅即时(JIT)受限访问,以及对作为支持服务与本地部署设备之间的会话的一部分被执行的操作的详细审计。在确保端到端会话完整性和网络弹性的同时,连接性平台通过确保双方都正确地身份验证允许在远程代理和本地部署设备之间的数据流。本文描述的示例关于其何时基于若干因素创建或终止强制执行会话生命周期。此外,可以在本地部署设备上执行的命令集受到建立与连接性平台的远程会话的代理的限制,并且提供了在设备上发生的所有操作的详细转录。
图1示出了用于实现对在混合云中的本地部署设备的弹性和交互式命令访问的系统环境100的示例。系统环境100包括混合云,其中包括公共云部分130和本地部署部分150。在本示例中,公共云部分130可以包括在多个客户中间共享的计算、存储和联网资源。在一个示例中,公共云部分130包括一个或多个数据中心,该一个或多个数据中心包括由云服务提供方对多个客户或租户可用的存储、计算和联网资源。
继续参考图1,在一个示例中,本地部署部分150包括由单个客户或少数客户使用的计算、存储和联网资源。如本文所用的,术语“本地部署部分”包括由单个客户或少数客户(包括任何其他授权用户,诸如由这样的(多个)客户授权的承包方或第三方)使用的计算、存储和联网资源中的任何部分。本地部署部分150的示例包括企业网络/设备、边缘计算/存储/联网资源、物联网(IoT)网络/设备、5G或6G计算/存储/联网资源等。如本文所用的,术语“本地部署设备”包括作为本地部署设备部分150的一部分部署的任何设备。作为本地部署设备部分150的一部分被包括的计算、存储和联网资源中的任何资源都可以经由本地部署设备对授权用户可访问,诸如服务器(例如,图1的服务器152、154和156)、主机、虚拟机或其他计算实体,以及作为本地部署设备部分150的一部分部署的工作站(例如,工作站162、164和166)。就云的操作而言,计算/存储/联网资源可以经由资源提供方(RP)服务被供应。授权用户可以经由因特网或局域网(例如,仅限企业使用的内部网)访问作为本地部署部分150的一部分被包括的这种计算、存储和联网资源。
这些本地部署设备中的任何本地部署设备都可能发展需要支持的问题。系统环境100可以包括用以在支持事项期间创建、维护、限制和删除从云或其他设备到本地部署设备的远程会话的机制。作为示例,如在图1中所示,边缘控制台网关服务(ECGS)140提供这种机制,允许远程支持服务代理(例如,CSSA1 114和CSSA2 124)与本地部署设备部分150中的任何设备交互。在一个示例中,支持服务代理(例如,CSSA1 114)经由远程接口112(例如,命令解释器(shell))与需要支持的设备交互,该远程接口112经由终端110(例如,基于浏览器的终端)提供。终端110可以经由因特网连接到ECGS140。在另一示例中,支持服务代理(例如,CSSA2 124)经由远程接口112(例如,命令解释器)与需要支持的设备交互,该远程接口112经由终端120(例如,基于浏览器的终端)呈现。终端120可以经由因特网或其他类型的网络连接到公共云部分130,并且公共云部分130可以经由因特网或其他类型的网络连接到ECGS140。支持服务代理中的任何支持服务代理都可以与具有对被包括在本地部署设备部分150中的设备的访问的授权用户(例如,授权用户AU1 172、授权用户AU2 174和授权用户AUN 176)交互。不像支持服务代理,这种授权用户可以具有凭证(例如,登录名、密码或其他这种凭证),允许其持续访问与本地部署部分150甚至公共云部分130相关联的资源。然而,支持服务代理可以取决于会话设置仅在远程会话期间,或者更长的期间内被提供JIT访问。虽然图1示出了系统环境100,包括以某种方式布置的某些终端、设备和服务,但ECGS140也可以部署在其他系统环境中。此外,在各种终端、设备和服务当中的交互可以使用以类似的方式布置或不同地安排的其他组件来完成。
图2根据一个示例示出了用于供应远程访问(例如,针对远程支持服务)的示例系统200。系统200在图1的系统环境100的上下文中进行描述。系统200可以包括本地部署设备210(类似于上文关于图1所述的本地部署设备)、中继服务250、边缘连接网关服务(ECGS)240(类似于图1的ECGS140)和终端260(类似于图1的终端110和/或120)。中继服务250可以支持设备专用混合连接。在一个示例中,这种混合连接使用超文本传输协议(HTTP)和Web套接字。在一个示例中,对网关服务的请求(例如,ECGS240)可以通过设备RP 220服务,设备RP220服务可以使用网关插件以调用网关服务(例如,如以下关于图3的布置1(AR1)所述)。备选地,在另一示例中,对网关服务的请求可以是直接的(例如,如以下关于图3的布置2(AR2)所述)。就中继服务的操作而言,侦听客户端可以经由网关向中继服务(例如,中继服务250)发送侦听请求,而网关转而可以创建中继。发送客户端可以向由中继提供的侦听服务发送对请求的连接。网关可以向侦听客户端发送请求,以创建到适合于发送客户端的合适网关节点的通道。侦听客户端可以创建到网关的临时通道,该临时通道允许网关将任何消息从侦听客户端转发到发送客户端以及将任何消息从发送客户端转发到侦听客户端。
继续参考图2,过程流可以以在以下表1中所示的方式进行:
表1
图3示出了用于供应设备专用混合连接端点资源的两种不同布置(AR1和AR2)。AR1对应于间接流,以及AR2对应于直接流。作为AR1的一部分,设备(例如,本地部署设备310)向其相应的设备RP服务(例如,设备RP 320)发出混合连接SAS请求。在身份验证该设备之后,设备RP 320将请求代理给网关服务(例如,ECGS 340)。在身份验证本地部署设备(例如,经由基于服务到服务令牌的授权)之后,网关服务(例如,ECGS 340)供应对设备唯一的设备专用混合连接端点资源(例如,经由中继服务350),并且将SAS返回给设备RP 320。最后,设备RP 320将这个SAS返回给设备(例如,本地部署设备310),后者使用该SAS以与中继连接并且侦听传入连接。
继续参考图3,AR2对应于直接流。作为AR2的一部分,设备(例如,本地部署设备312)向网关服务(例如,ECGS 342)发出混合连接SAS请求。网关服务(例如,ECGS 342)验证与SAS请求相关联的身份验证令牌,并且调用其相应的设备RP服务(例如,设备RP 322)以验证设备的真实性。该身份验证机制可以与由设备RP支持的身份验证机制相同。接下来,网关服务(例如,ECGS 342)提供对设备唯一的设备专用混合连接端点资源(例如,经由中继服务352),并且将SAS返回给设备RP 322。最后,设备RP 322将该SAS返回给设备(例如,本地部署设备312),后者使用该SAS以与中继连接并且侦听传入连接。
图4示出了被配置为经由远程接口412(例如,经由终端110提供的远程接口112或经由图1的终端120提供的远程接口122)提供交互式支持服务的边缘控制台网关服务(ECGS)400的一个示例。ECGS 400创建表示连接的客户端侧的用户会话420和表示连接的设备侧的设备会话460,并且以实现两端之间的异步通信的方式将它们绑定。ECGS 400可以经由底层传输会话430(例如,Web套接字连接)接受来自客户端(例如,需要支持的用户)的传入连接。此外,ECGS 400也可以经由底层传输会话470准备到本地部署设备的对应的传出连接(例如,设备专用混合连接)。以这种方式,ECGS 400可以创建允许在双方之间的消息的交换的管道。在这些示例中,关于在关于图1所述的系统环境100以及关于图2所述的系统200中的支持服务,ECGS 400提供了若干优势。虽然图4示出了以某种方法实现的ECGS 400使用组件的某种布置,但ECGS 400可以以其他方式实现。
图5示出了用于实现会话代理流的示例组件。在本示例中,边缘控制台网关服务被配置为接受在单个端口(例如,TCP/IP端口443)上的HTTP请求和Web套接字请求两者。中间件510被用于拦截会话请求,而不需要反向代理。应用编程接口(API)层520提供了支持服务代理和用户可以使用以与实现会话代理流的各种组件交互的接口。用于实现会话代理流的组件还包括设备会话提供方532、用户会话提供方534、设备混合连接提供方536、混合连接端点资源542、终端会话代理中枢552和WAC会话代理中枢554。此外,包括协议流562(例如,TCP/IP)的流集560、传输流564和会话流566可以被用于作为用户会话和设备会话的一部分来实现数据和控制信息的移动。
在本示例中,用户会话表示远程代理(例如,支持服务代理),该代理请求对客户设备(例如,本文所述的本地部署设备中的任何本地部署设备)的访问。远程代理发出连接请求(HTTPS、WSS),例如,经由浏览器以连接到客户设备。该请求指定被访问的目标服务(例如,PowerShell命令解释器或另一应用类型)和设备标识符(例如,设备可以使用全局唯一标识符(GUID)或任何其他唯一命名模式来标识)。在请求由连接性平台(例如,本文所述的边缘控制台网关服务)进行身份验证和授权之后,用户会话提供方534可以帮助创建用户会话。
设备会话表示针对传入命令的侦听通道。在建立设备会话之前,设备会话提供方532可以执行若干步骤。在本示例中,作为第一步,设备会话提供方532通过在服务元数据存储库中查找设备来验证设备是否是合法的/被注册(例如,图2的服务元数据存储库242)。接下来,设备会话提供方532检查设备是否接受指示活动同意的远程连接。如以上所解释的,本同意由与客户相关联的授权用户授予。在授予同意之后,设备会话提供方532执行会话设置,以确定与设备的会话能力。会话设置可以通道上的附加协商特征,诸如数据加密、压缩和会话的目的。会话设置也可以给予发送控制命令的灵活性,控制命令是由在设备上的代理可以实现的由服务限定的公认动作的精选集。会话设置可以使用允许关于特定会话的各个方面协商的消息格式来执行,包括特定会话允许的能力。
每个会话设置消息可以包括负载长度头部和消息本身。在示例中,每个会话设置消息由负载长度头部和消息本身组成。在一个示例中,每个设置消息都被格式化为可变大小的序列化JavaScript对象表示法(JSON)。图6示出了会话设置消息的示例格式600。在本示例中,会话设置消息包括指定负载的长度和与负载相关联的数据类型的负载长度头部。格式600示出了将负载长度指定为4字节整数的负载长度头部。以下的表2示出了格式化为序列化JSON的会话设置消息本身的一个示例。
表2
在本示例中,“会话ID”指定了需要支持的设备的GUID,并且是消息的必需字段。会话设置消息也可以包括“追踪ID”,这不是必需字段。“追踪ID”可以被用于实现远程会话的审计。“追踪ID”可以被用于实现本分布式系统中的诊断,在其中请求可以流经多个服务(例如,从浏览器到连接性平台发起的请求,并且然后到本地部署设备)。在本示例中,代理服务使用“追踪ID”来日志记录它在处理特定会话时发出的任何事项。如在表2中所示,会话设置消息还可以包括“会话类型”,它可以被用于表示被建立的设备会话的类型(例如,控制会话或数据会话)。
会话设置消息还可以包括“目标服务”,它可以被用于表示目标服务(例如,PowerShell或WAC)。如以上所解释的,两种类型的远程接口可以由会话设置协议支持:(1)远程PowerShell会话或(2)远程WAC会话。“目标服务”可以被用于决策要将数据转发到PowerShell刚好足够的管理(JEA)会话(例如,运行经由管道接收到的命令)还是转发到远程实现的WAC网关会话。会话设置消息还可以包括“消息格式”,它可以被用于表示消息的格式。消息的格式涉及如何解析或处理消息的语义。在一个示例中,消息可以被格式化为使用TCP流转发来简单地转发到目标服务的原始数据。在另一示例中,消息可以具有以字节为单位(例如,4字节长度)的指定负载长度。又在另一示例中,消息可以包括JSON RPC协议兼容数据。会话设置消息还可以包括要求,其可以被用于表示专用于特定会话的要求。在本示例中,要求(4字节的比特向量)指示能力中的哪些能力是必需的,并且必须被用于会话。如果任何一侧不支持必需的能力中的任何能力,则会话被终止。以下的表3示出了与要求及其结果相关联的值的一个示例。
表3
在示例中,发送对会话设置消息的响应。在加密是必需的时,对称会话密钥(256字节)可以在设备侧上被生成,并且被发送回会话设置响应中的边缘控制台网关服务。然后这一会话密钥可以被用于加密和解密与会话相关联的数据。在一个示例中,对称加密技术是高级加密标准(AES)256比特加密。包括非对称加密技术的其他类型的加密方案也可以被使用。初始化向量也可以随着消息一起发送,以保护消息不被篡改。
以下的表4示出了会话设置响应消息的示例。
| 密钥 | 类型 | 必需 |
| 代码 | int,表示错误代码 | 真 |
| 消息 | 字符串 | 真 |
表4
在表4中,代码(例如,4字节长度)对应于表示错误代码的整数。消息变量包含假设经由消息交换的握手成功时的会话密钥。在本示例中,为了保护会话密钥不被泄露,设备利用证书公钥来加密该密钥。在边缘控制台网关服务侧,该密钥使用证书私钥被解密。该证书可以在部署期间在设备上传送。在某些示例中,被交换的数据和控制信息被加密为使用HTTP协议的一部分。然而,这种经加密的信息可以由HTTP TLS检查过滤器解密。加密设置经由会话设置消息被实现,使得即使HTTP TLS检查过滤器也可以无法访问作为远程会话的一部分被交换的经加密的数据和控制信息。这种类型的双加密可以使远程会话甚至更加安全,并且更不容易受到窃听或其他试图访问正在传输的数据和控制信息的影响。
返回图5,一旦成功身份验证和密钥交换,设备混合连接提供方536提供对设备唯一的设备专用混合连接端点资源(例如,混合连接端点资源542)。接下来,设备会话和用户会话都被委派给代理中枢组件(例如,终端会话代理中枢552或WAC会话代理中枢554中的一个)。代理中枢组件从此时开始管理连接,直到会话被终止。
除了设备会话和用户会话之外,边缘控制台网关服务也可以允许控制会话的设置。控制会话允许控制命令被发送到建立与服务的远程会话的本地部署设备上的代理服务。控制命令可以实现由远程代理执行的自定义操作。这些操作并不意味着被发送到本地部署设备上的命令解释器(例如,PowerShell)。一个示例涉及这种控制命令的使用,以实现对(多个)终端窗口进行调整大小。在命令解释器运行在公共云侧上的情况下,任何终端窗口可以使用对服务的调用而被调整大小,然后该服务处理命令解释器窗口的调整大小。这个功能是可能的,因为命令解释器运行在与处理调整大小的服务相同的可访问位置上。然而,在适用于在本公开中所描述的解决方案的示例混合连接场景中,命令解释器运行在设备(而不是服务)上。因此,如以上所解释的,使用远程接口(例如,浏览器)实现的用户会话不会直接地具有到本地部署设备的连接性,因为不允许来自支持服务代理的入站连接。为了实现窗口调整大小,绑定来自两端的会话并且实现这种操作的流的边缘控制台网关服务组件(例如,关于图5所述的组件)可以被用于实现这种控制命令。
在一个示例中,控制路径经由以上关于图5所描述的相同会话设置协议被实现。因此,当在用户和设备之间建立连接时,该服务指示会话的目的。如以上所解释的,这种类型的信息可以被包括在设置消息中。作为示例,来自表2的“会话类型”属性可以被用于指定会话是否涉及控制命令或数据。因此,在本示例中,“会话类型”属性的长度是4字节,并且指定了在表5中所示的值中的一个值。
表5
针对控制会话,网关服务设置控制会话标志,并且然后(在本地部署设备上运行的)代理服务将使用关于会话的任何数据作为用于执行的远程命令。在终端窗口的调整大小的情况下,运行在设备上的对应命令解释器也必须被调整大小,否则终端上的字符会出现乱码。在本示例中,每当用户或远程代理对终端窗口进行调整大小时,浏览器都会利用新的窗口尺寸来向网关服务发出API请求。然后服务建立到设备的新的控制会话,如果需要(例如,如果不存在控制会话),则经由控制路径向设备发送调整大小命令。因为在控制路径上的消息由代理服务处理(而不是被转发到命令解释器过程),所以代理服务标识操作并且执行它。在调整大小操作的情况下,代理服务对命令解释器窗口进行调整大小。以下的表6概述了针对关于控制会话的操作的方法/命令标识符。
表6
图7示出了缓冲底层传输流以实现弹性会话700的示例。如以上所解释的,云的边缘上的底层传输流的问题可能导致会话意外终止。作为示例,非弹性会话可能导致就数据和命令的传输而言足够的中断,导致由远程接口经由PowerShell等运行的任何代码(例如,脚本)的终止(例如,立即终止)。如在图7中所示的,与客户相关联的授权用户(例如,用户(本地部署设备)710)和支持服务代理(例如,CSSA 720)之间的会话可以具有不仅由混合连接730和传输740支持,还由缓冲引擎750支持的会话。缓冲引擎750可以充当数据进出传输流的中转地。如果传输流出错,弹性会话将试图在后台中重建新的传输流,同时传入或传出数据使用缓冲引擎750而被缓冲。一旦新的流已经被建立,会话可以继续而不被中断。在一个示例中,弹性会话700由本文所描述的边缘控制台网关服务实现。在一个示例中,弹性会话在服务侧(例如,在混合连接端点资源542和终端会话代理中枢552或WAC会话代理中枢554之一之间)和本地部署侧(例如,在混合连接端点资源542和本地部署设备之间)实现。虽然图7示出了使用组件的某种布置以某种方式实现的弹性会话700,但弹性会话700可能以其他方式实现。
图8示出了代理服务800的示例实现。在一个示例中,代理服务800被用于实现运行在本地部署设备上的代理服务212。在本示例中,代理服务800包括API层810、服务器管理器820、会话管理器830、远程会话提供方840和同意管理器850。API层810可以实现用户界面,用户可以使用该界面来与代理服务800交互。用于实现诸如授予同意和撤销同意的操作的用户界面元素可以流动通过API 810。服务器管理器820可以充当针对代理服务800的实例的前端控制器。服务器管理器820可以接受来自与客户相关联的授权用户的连接,并且可以执行会话设置以建立安全通道。服务器管理器820也可以接收针对代理服务800的控制命令,并且充当针对代理服务800的前端控制器。在本示例中,在会话设置成功之后,服务器管理器820将会话管理卸载到会话管理器830。会话管理器830可以连接用户会话与对应的设备会话。如本文所述,这种连接可以由边缘控制台网关服务促进。会话管理器830可以依赖远程会话提供方840以建立用户会话和设备会话,如本文所述。
继续参考图8,远程会话提供方840可以控制初始化和远程接口命令解释器的发起,以及作为特定会话的一部分交换数据所需的适当流的建立。如以上所解释的,关于图5,远程会话提供方840可以包括用户会话提供方和设备会话提供方。同意管理器850可以与各种组件交互,以实现同意的授予和撤销。此外,同意管理器850可以确保响应于被授予的同意而被授予的访问权限限于可以由远程支持服务代理执行的动作的精选集和/或限于特定时间段。在一个示例中,为了实现这个特征,同意管理器850处理指定的访问级别和访问的持续时间。可以被提供的同意的示例类型在以下表7中所示:
表7
同意的级别也可以包括禁止的操作,诸如可以改变与本地部署设备相关联的用户配置、获取存储在本地部署设备上的机密数据或更改设备的PowerShell JEA配置的操作。代理服务800可以记录与代理服务相关联的本地存储中的同意。在一个示例中,改变同意的访问级别不终止现有的会话。在一个示例中,改变同意的访问级别不终止现有的会话,但已改变的访问级别将对任何未来的会话强制执行。在一个示例中,改变同意的访问级别将终止现有的会话。无论如何,同意的撤销将终止会话(例如,立即终止会话)。虽然图8示出了使用组件的某种布置以某种方式实现的代理服务800,但代理服务800可以以其他方式实现。
图9示出了与服务器管理器(例如,图8的服务器管理器820)相关联的示例实现900。服务器管理器820可以使用消息集接受连接请求并且执行会话设置,如本文所述。一旦接收针对远程支持的同意(圈出的编号1),服务器管理器820可以从其相应的设备RP(例如,设备RP 920)通过检索设备专用混合连接SAS开始。如何检索SAS的具体实现可以由本地部署设备作为混合连接SAS提供方库910的一部分供应。此外,如以上关于图3所述,这个过程可以经由AR1或AR2来完成。在其他示例中,使用了其他类型的身份验证方案。接下来,服务器管理器820可以与会话管理器830合作,以连接到混合连接端点(例如,混合连接端点930)(圈出的编号2),并且开始侦听由需要支持的用户发起的连接。服务器管理器820可以将进一步的处理任务卸载到同意管理器850(圈出的编号3)和会话管理器830(圈出的编号4)。虽然图9示出了使用组件的某种布置的实现900,但也可以使用具有组件的不同布置的其他实现。
图10示出了与会话管理器相关联的示例实现1000(例如,图8的会话管理器830)。会话管理器830可以将用户会话与设备会话绑定或关联。在本示例中,会话管理器830使用远程会话提供方(例如,PowerShell会话提供方1010和WAC会话提供方1020)以基于授予的访问级别提供指定的会话。在本示例中,PowerShell会话提供方1010使用JEA(PowerShell(JEA)1040)特征来限制这种访问。此外,如以上所解释的,在一些实现中,控制会话允许控制命令被发送到建立与服务的远程会话的本地部署设备上的代理。控制命令可以使得自定义操作能够由代理执行。这些自定义操作不会被发送到本地部署设备上的命令解释器(例如,PowerShell)。一个示例涉及用于实现(多个)终端窗口的调整大小的这种控制命令的使用,如以上所讨论的。在本示例中,每当远程支持服务代理对终端窗口进行调整大小,浏览器就会利用新的窗口尺寸来向网关服务发出API请求。然后,网关服务建立到设备的新的控制会话(如果不存在),并且经由这种控制路径向设备发送调整大小的命令。在关于图10所述的示例中,对网关服务的API请求可以由CONHOST 1060处理,然后被用于对本地部署设备上的窗口进行调整大小。
继续参考图10,在一个示例中,会话管理器830可以并行处理到不同端点的多个会话(例如,PowerShell连接和WAC连接可以同时激活,包括其一定数目的实例)。WAC会话提供方1020(例如,实现为WAC网关)可以托管WAC端点(例如,WAC 1050)。每个会话维护针对特定用户会话与特定设备会话之间的会话的一对一映射。虽然图10示出了使用组件的某种布置的实现1000,但也可以使用具有组件的不同布置的其他实现。
图11根据一个示例是用于执行与本公开相关联的方法的计算系统1100的框图。计算系统1100可以是包括位于数据中心中、客户的场所上或任何其他位置的组件的分布式计算系统。作为示例,计算系统1100被用于实现本文所述的组件、服务、终端、数据存储的各个部分。计算系统1100包括处理系统1102、I/O组件1104、存储器1106、呈现组件1108、传感器1110、数据库1112、联网接口1114和I/O端口1116,它们可以经由总线1120互连。处理系统1102可以执行存储在存储器1106中的指令或经由有线或无线连接接收的任何其他指令。处理系统1102可以包括被配置为执行指令的CPU、GPU、应用专用集成电路(ASIC)、现场可编程门阵列(FPGA),或其他类型的逻辑。I/O组件1104可以包括诸如键盘、鼠标、语音识别处理器或触摸屏的组件。存储器1106可以是非易失性存储或易失性存储(例如闪存、DRAM、SRAM或其他类型的存储器)的任意组合。呈现组件1108可以包括显示器、全息设备或其他呈现设备。显示器可以是任何类型的显示器,例如LCD、LED或其他类型的显示器。传感器1110可以包括被配置为检测和/或接收信息(例如,与在数据中心中的各种设备相关联的条件)的遥测或其他类型的传感器。传感器1110可以包括被配置为感知与CPU、存储器或其他存储组件、FPGA、主板、底板管理控制器等相关联的条件的传感器。传感器1110也可以包括被配置为感知与机架、机箱、风扇、电源供应单元(PSU)等相关联的条件的传感器。传感器1110也可以包括被配置为感知与联网接口控制器(NIC)、机架顶部(TOR)交换机、机架中间(MOR)交换机、路由器、电源分配单元(PDU)、机架级别不间断电源供应(UPS)系统等相关联的条件的传感器。
仍然参考图11,数据库1112可以被用于存储针对本文所述的各种方法和系统的性能所需的数据或文件中的任何数据或文件(例如,元数据存储库或其他数据集)。数据库1112可以实现为分布式数据库的集合或实现为单个数据库。联网接口1114可以包括通信接口,例如以太网、蜂窝无线电、蓝牙无线电、UWB无线电或其他类型的无线或有线通信接口。I/O端口1116可以包括以太网端口、光纤端口、无线端口或其他通信端口。
用于实现各种系统、组件、设备、方法、服务和终端的说明可以存储在存储器1106或其他存储器中。这些指令在被处理系统1102或其他处理器执行时,可以提供与在本公开中描述的各种系统、组件、设备、服务、终端和方法相关联的功能。指令可以被编码为对应于处理器或现场可编程门阵列的硬件。也可以使用其他类型的硬件,例如ASIC和GPU。与本文描述的系统、服务、设备、组件、方法和终端相关联的功能可以使用硬件、软件或固件的任何适当组合来实现。虽然图11将计算系统1100显示为包括以某种方式布置和耦合的一定数目的组件,但它可以包括不同地布置和耦合的较少或附加的组件。此外,与计算系统1100相关联的功能可以根据需要分布或组合。
图12根据一个示例示出了用于经由网关服务实现针对本地部署设备的支持的方法的流程图1200。在本示例中,该方法由与以上所述的网关服务相关联的指令和组件执行。与网关服务相关联的指令可以存储在存储器1106或另一存储器中,并且由图11的处理系统1102或另一处理器执行。步骤1210可以包括网关服务,响应于接收到针对远程支持服务代理与本地部署设备之间的连接的请求,创建与本地部署设备的第一会话,其中仅在来自与本地部署设备相关联的授权用户的同意的授予之后,才允许第一会话的创建,并且其中同意的范围被限制,以及仅适用于用于通过网关服务来实现远程支持而被创建的第一会话。
步骤1220可以包括网关服务供应针对第一会话的设备专用混合连接端点。
步骤1230可以包括网关服务将设备专用混合连接端点与第二会话绑定,以形成用于数据传输的设备专用混合连接端点,以及与本地部署设备和远程支持服务代理之间的同意的范围相适应的有限命令集,其中设备专用混合连接被配置为确保在第一会话和第二会话之间的一对一映射,并且不允许针对在远程支持服务代理和本地部署设备之间的整个连接期间的任何其他映射。
图13示出了与审计对在混合云中的本地部署设备的弹性和交互式命令访问相关联的实现1300的示例。如上所述,ECGS1320(类似于图4的ECGS 400)可以被配置为提供交互式支持服务,这样支持服务代理(CSSA)1302可以经由远程接口1310访问本地部署设备1350(例如,类似于经由终端110提供的远程接口112或经由图1的终端120提供的远程接口122)。ECGS1320可以创建表示连接的客户端的用户会话1322和表示连接的设备端设备会话1332,并且将它们绑定,以实现在两端之间的异步通信(如以上所解释的)。以这种方式,ECGS1320可以创建允许在两端之间的消息的交换的管道。在本示例中,实现1300被结构化以在两个级别处提供对本地部署设备的弹性和交互式命令访问的审计。第一级别经由在支持服务代理与本地部署设备及其用户之间的ECGS1320涉及关于交互的活动的审计。第二级别涉及对至少由支持服务代理在本地部署设备上执行的操作的审计。这种多级别审计功能对与远程支持相关联的活动允许更高的透明度。作为示例,与ECGS1320相关联的审计服务1324自动生成审计事项(例如,对ECGS1320的每个API调用)以及唯一的设备标识符(例如,以上关于针对每个API调用的表2所描述的“追踪ID”)、自动创建关于审计事项的记录,并且自动将记录存储在服务审计存储容器1326中。ECGS1320也包括指令或其他功能,以实现在设备转录存储容器1334中的远程会话转录的检索和存储。在一个示例中,设备转录存储容器1334存储对应于由唯一的标识符可标识的本地部署设备(例如,以上关于表2所描述的“追踪ID”)的一个或多个转录。
继续参考图13,会话管理器1352(例如,类似于图8的会话管理器830)可以将用户会话与设备会话绑定或关联。在本示例中,会话管理器1352依赖于以上关于图10中的PowerShell会话提供方1010所描述的PowerShell 1356(例如,PowerShell(JEA)1040),以促成在本地部署设备1350处的远程会话的审计。使用与PowerShell 1356相关联的转录特征,会话管理器1352可以自动存储完整的会话细节,包括在本地部署设备1350处的会话期间执行的任何命令和生成的输出,作为会话转录存储1360的一部分。在备选的实现中,与WAC 1358相关联的转录特征(以上关于图10的WAC会话提供方1020所述)被用于存储完整的会话细节,包括在本地部署设备1350处的会话期间执行的任何命令和生成的输出,作为会话转录存储1360的一部分。会话细节也可以包括诸如对本地部署设备的访问的开始和/或结束时间的信息。
仍然参考图13,在本示例中,作为拆除序列的一部分,会话管理器1352可以从ECGS1320请求针对设备转录存储容器1334的SAS密钥(如上文所描述的),并且然后可以上传会话转录以供存储作为设备转录存储容器1334的一部分。在一个示例中,ECGS1320指定了审计保留期,一旦审计保留期过期,作为审计过程的一部分被存储的任何转录都可能被删除。与本文所描述的二级审计相关联的指令可以使用图11的处理系统1102或其他处理器执行。虽然图13示出了使用组件的某种布置的实现1300,但也可以使用具有组件的不同布置的其他实现。
图14根据一个示例示出了用于经由网关服务实现针对本地部署设备的支持的方法的流程图1400。在本示例中,该方法由与上述网关服务相关联的指令和组件执行。与网关服务相关联的指令可以存储在存储器1106或另一存储器中,并且由图11的处理系统1102或另一处理器执行。步骤1410包括由网关服务(例如,图1的ECGS140)接收针对远程支持服务代理与本地部署设备之间的连接的请求。
步骤1420包括由网关服务接收来自与本地部署设备相关联的授权用户的同意。步骤1430包括由网关服务至少基于同意来创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。第一会话可以对应于以上文所描述的用户会话。
步骤1440包括由网关服务供应针对第一会话的设备专用混合连接端点。步骤1450包括由网关服务通过将设备专用混合连接端点与第二会话绑定来形成安全会话,安全会话基于同意的范围而允许数据和命令集的传输。第二会话可以对应于上文所描述的设备会话。
本公开涉及包括由网关服务接收针对在远程支持服务代理和本地部署设备之间的连接的请求的方法。该方法还包括由网关服务接收来自与本地部署设备相关联的授权用户的同意。该方法还包括由网关服务创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该方法还包括由网关服务供应针对第一会话的设备专用混合连接端点。该方法还包括由网关服务通过将设备专用混合连接端点与第二会话绑定来形成安全会话,该安全会话基于同意的范围允许数据和命令集的传输。
作为该方法的一部分,第一会话包括与本地部署设备相关联的代理服务和设备专用混合连接端点之间的设备会话。第二会话包括与远程支持服务代理相关联的远程接口和设备专用混合连接端点之间被发起的用户会话。
网关服务可以由云服务提供方实现,并且本地部署设备是被耦合到由云服务提供方管理的公共云部分的本地部署云部分的一部分。该方法还包括实现自动生成和转录的存储,以用于:(1)通过网关服务来审计支持服务代理与本地部署设备之间的交互,以及(2)由支持服务代理审计在本地部署设备上执行的操作或命令。
该方法还包括缓冲包括数据和命令集的传输流。该方法还包括执行针对第一会话的会话设置,会话设置包括确定本地部署设备的会话能力以及实现在会话设置消息中被指定的特征。以上总结的步骤中的任何步骤都可以以任何组合和以任何顺序执行,以解决由问题中的任何问题所引起的一个或多个问题,例如:上文所描述的(1)网络相关问题,(2)访问相关问题,或(3)安全相关问题。
在另一方面中,本公开涉及用于实现对本地部署设备的远程访问的网关服务。网关服务可以包括指令,这些指令在被处理系统执行时执行操作,该操作包括接收针对远程支持服务代理与本地部署设备之间的连接的请求,接收来自与本地部署设备相关联的授权用户的同意,以及创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该操作还包括供应针对第一会话的设备专用混合连接端点,以及通过将设备专用混合连接端点与第二会话绑定以及确保第一会话与第二会话之间的一对一映射来形成安全会话,第二会话基于同意的范围而允许数据和命令集的传输。
作为网关服务的一部分,第一会话包括与本地部署设备相关联的代理服务和设备专用混合连接端点之间的设备会话。第二会话包括在与远程支持服务代理相关联的远程接口和设备专用混合连接端点之间被发起的用户会话。
作为网关服务的一部分,操作还包括缓冲包括数据和命令集的传输流。该操作还包括实现数据和命令集的加密,使得数据和命令集的加密版本不作为明文对超文本传输协议层检查过滤器可访问。该操作还包括通过将设备专用混合连接端点与控制会话绑定来实现与在本地部署设备上被显示的窗口相关联的调整大小操作的执行。
这些操作还包括执行针对第一会话的会话设置,会话设置包括确定本地部署设备的会话能力以及实现在会话设置消息中被指定的特征。以上总结的系统组件中的任何系统组件都可以以任何方式组合或分布,以解决由问题中的任何问题所引起的问题中的一个或多个问题,例如:上文所描述的(1)网络相关问题,(2)访问相关问题,或(3)安全相关问题。
又在另一方面中,本公开涉及一种方法,包括由网关服务接收针对远程支持服务代理与本地部署设备之间的连接的请求,其中远程支持服务代理不具有创建到本地部署设备的直接入站连接的权限。该方法还包括由网关服务接收来自与本地部署设备相关联的授权用户的同意,以及由网关服务至少基于同意来创建与本地部署设备的第一会话,其中同意的范围被限制为第一会话。
该方法还包括由网关服务供应针对第一会话的设备专用混合连接端点,以及由网关服务通过将设备专用混合连接端点与第二会话绑定以及确保第一会话与第二会话之间的一对一映射来形成安全会话,安全会话基于同意的范围允许数据和命令集的传输。
作为方法的一部分,第一会话包括与本地部署设备相关联的代理服务和设备专用混合连接端点之间的设备会话。第二会话包括在与远程服务支持代理相关联的远程接口和设备专用混合连接端点之间被发起的用户会话。网关服务由云服务提供方实现,以及其中本地部署设备是被耦合到由云服务提供方管理的公共云部分的本地部署云部分的一部分。
该方法还包括使用由设备专用混合连接端点实现的控制会话来执行与在本地部署设备上被显示的窗口相关联的调整大小操作。该方法还包括缓冲包括数据和命令集的传输流。以上总结的步骤中的任何步骤都可以以任何组合和以任何顺序执行,以解决由问题中的任何问题所引起的问题中的一个或多个问题,例如:上文所描述的(1)网络相关问题,(2)访问相关问题,或(3)安全相关问题。
要理解的是,本文所述的系统、服务、设备、方法、终端和组件只是示例。备选地或此外,本文所述的功能可以至少部分地由一个或多个硬件逻辑组件执行。例如,可以被使用的说明性类型的硬件逻辑组件包括FPGA、ASIC、应用专用标准产品(ASSP)、芯片上系统(SOC)、复杂可编程逻辑设备(CPLD)。在抽象但仍然明确的意义上,以实现相同功能的组件的任何布置都有效地“关联”,这样实现所需的功能。因此,本文组合以实现特定功能的任何两个组件可以被视为彼此“相关联”,这样实现所需的功能,而不管架构或中间组件。同样地,如此相关联的任何两个组件也可以被视为彼此“可操作连接的”或“耦合的”,以实现所需的功能。仅因为可以是装置、结构、设备、系统或功能的任何其他实现的组件在本文描述为与另一组件耦合,并不意味着这些组件一定是独立的组件。作为示例,被描述为与另一组件B耦合的组件A可能是组件B的子组件,组件B可能是组件A的子组件,或者组件A和B可能是另一组件C的组合子组件。
与在本公开中描述的一些示例相关联的功能也可以包括存储在非瞬态介质中的指令。如本文所使用的术语“非瞬态介质”是指存储使机器以特定方式运行的数据和/或指令的任何介质。示例的非瞬态介质包括非易失性介质和/或易失性介质。例如,非易失性介质包括硬盘、固态驱动器、磁盘或磁带、光盘或磁带、闪存、EPROM、NVRAM、PRAM或其他这种介质,或这种介质的网络版本。例如,易失性介质包括动态存储器,例如DRAM、SRAM、高速缓存或其他这种介质。非瞬态介质与传输介质不同,但可以与传输介质结合使用。传输介质被用于向或从机器传送数据和/或指令。示例的传输介质包括同轴电缆、光纤电缆、铜线和无线介质,例如无线电波。
此外,在本领域中的那些技术人员将意识到在以上所述的操作的功能之间的界限仅仅是说明性的。多个操作的功能可以组合成单个操作,和/或单个操作的功能可以分布在附加的操作中。此外,备选的实施例可以包括特定操作的多个实例,并且操作的顺序可以在各种其他实施例中更改。
虽然公开提供了具体的示例,但可以在不偏离如在以下权利要求中所述的公开的范围的情况下做出各种修改和改变。因此,说明书和图要被视为是说明性的而不是限制性意义的,并且所有这种修改都旨在于被包括在本公开的范之内。任何益处、优势,或对本文关于特定示例所述的问题的解决方案不旨在于被解释为任何或所有权利要求的关键的、必要的,或基本的特征或元素。
此外,如本文所使用的术语“一”或“一个”被定义为一个或多于一个。此外,诸如在权利要求中的“至少一个”和“一个或多个”的介绍性短语的使用不应该被理解以暗示由不定冠词“一”或“一个”引入的另一个权利要求元素将包含这种引入的权利要求元素的任何特定权利要求限制为仅包含一个这种元素的发明,即使当相同的权利要求包括介绍性短语“一个或多个”或“至少一个”和诸如“一”或“一个”的不定冠词。针对定冠词的使用也是如此。
除非另有说明,诸如“第一”和“第二”的术语被用于任意区分这种术语描述的元素。因此,这些术语不一定旨在于指示这种元素的时间或其他优先次序。
Claims (15)
1.一种方法,包括:
由网关服务接收针对远程支持服务代理与本地部署设备之间的连接的请求;
由所述网关服务接收来自与所述本地部署设备相关联的授权用户的同意;
由所述网关服务至少基于所述同意来创建与所述本地部署设备的第一会话,其中所述同意的范围被限制为所述第一会话;
由所述网关服务供应针对所述第一会话的设备专用混合连接端点;以及
由所述网关服务通过将所述设备专用混合连接端点与第二会话绑定来形成安全会话,所述安全会话基于所述同意的范围而允许数据和命令集的传输。
2.根据权利要求1所述的方法,其中所述第一会话包括与所述本地部署设备相关联的代理服务和所述设备专用混合连接端点之间的设备会话。
3.根据权利要求2所述的方法,其中所述第二会话包括在与所述远程支持服务代理相关联的远程接口和所述设备专用混合连接端点之间被发起的用户会话。
4.根据权利要求1所述的方法,其中所述网关服务由云服务提供方实现,并且其中所述本地部署设备是被耦合到由所述云服务提供方管理的公共云部分的本地部署云部分的一部分。
5.根据权利要求1所述的方法,还包括实现转录的自动生成和存储以用于:(1)通过所述网关服务来审计所述支持服务代理与所述本地部署设备之间的交互,以及(2)由所述支持服务代理审计在所述本地部署设备上被执行的操作或命令。
6.根据权利要求1所述的方法,还包括:缓冲包括所述数据和所述命令集的传输流。
7.根据权利要求1所述的方法,还包括:执行针对所述第一会话的会话设置,所述会话设置包括确定所述本地部署设备的会话能力以及实现在会话设置消息中被指定的特征。
8.一种用于实现对本地部署设备的远程访问的网关服务,所述网关服务包括指令,所述指令在由处理系统执行时,执行操作,所述操作包括:
接收针对远程支持服务代理与所述本地部署设备之间的连接的请求;
接收来自与所述本地部署设备相关联的授权用户的同意;
创建与所述本地部署设备的第一会话,其中所述同意的范围被限制为所述第一会话;
供应针对所述第一会话的设备专用混合连接端点;以及
通过将所述设备专用混合连接端点与第二会话绑定以及确保所述第一会话与所述第二会话之间的一对一映射来形成安全会话,所述第二会话基于所述同意的所述范围而允许数据和命令集的传输。
9.根据权利要求8所述的网关服务,其中所述第一会话包括与所述本地部署设备相关联的代理服务和所述设备专用混合连接端点之间的设备会话。
10.根据权利要求9所述的网关服务,其中所述第二会话包括与所述远程支持服务代理相关联的远程接口和所述设备专用混合连接端点之间被发起的用户会话。
11.根据权利要求8所述的网关服务,其中所述操作还包括:
缓冲包括所述数据和所述命令集的传输流。
12.根据权利要求8所述的网关服务,其中所述操作还包括:实现所述数据和所述命令集的加密,使得所述数据和所述命令集的加密版本不作为明文对超文本传输协议层检查过滤器可访问。
13.根据权利要求8所述的网关服务,其中所述操作还包括:通过将所述设备专用混合连接端点与控制会话绑定来实现与在所述本地部署设备上被显示的窗口相关联的调整大小操作的执行。
14.根据权利要求8所述的网关服务,其中所述操作还包括:执行针对所述第一会话的会话设置,所述会话设置包括确定所述本地部署设备的会话能力以及实现在会话设置消息中被指定的特征。
15.一种方法,包括:
由网关服务接收针对远程支持服务代理与本地部署设备之间的连接的请求,其中所述远程支持服务代理不具有创建到所述本地部署设备的直接入站连接的权限;
由所述网关服务接收来自与所述本地部署设备相关联的授权用户的同意;
由所述网关服务至少基于所述同意来创建与所述本地部署设备的第一会话,其中所述同意的范围被限制为所述第一会话;
由所述网关服务供应针对所述第一会话的设备专用混合连接端点;以及
由所述网关服务通过将所述设备专用混合连接端点与第二会话绑定以及确保所述第一会话与所述第二会话之间的一对一映射来形成安全会话,所述安全会话基于所述同意的范围允许数据和命令集的传输。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163253854P | 2021-10-08 | 2021-10-08 | |
| US63/253,854 | 2021-10-08 | ||
| US17/566,351 US20230109755A1 (en) | 2021-10-08 | 2021-12-30 | Remote command access in a hybrid cloud to on-premises devices |
| US17/566,351 | 2021-12-30 | ||
| PCT/US2022/038255 WO2023059386A1 (en) | 2021-10-08 | 2022-07-26 | Remote command access in a hybrid cloud to on-premises devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118044157A true CN118044157A (zh) | 2024-05-14 |
Family
ID=85798452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280066749.9A Pending CN118044157A (zh) | 2021-10-08 | 2022-07-26 | 在混合云中对本地部署设备的远程命令访问 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230109755A1 (zh) |
| EP (1) | EP4413691A1 (zh) |
| CN (1) | CN118044157A (zh) |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8180735B2 (en) * | 2006-12-29 | 2012-05-15 | Prodea Systems, Inc. | Managed file backup and restore at remote storage locations through multi-services gateway at user premises |
| SG11201605659SA (en) * | 2014-02-07 | 2016-08-30 | Oracle Int Corp | Mobile cloud service architecture |
| US11012441B2 (en) * | 2017-06-30 | 2021-05-18 | Open Text Corporation | Hybrid authentication systems and methods |
| US11251951B2 (en) * | 2020-01-28 | 2022-02-15 | Microsoft Technology Licensing, Llc | Remote authentication for accessing on-premises network devices |
| US11973749B2 (en) * | 2020-03-31 | 2024-04-30 | Strata Identity Inc. | Systems, methods, and storage media for administration of identity management systems within an identity infrastructure |
| US20210342049A1 (en) * | 2020-04-30 | 2021-11-04 | Citrix Systems, Inc. | Drag and drop functionality in multi-monitor and large monitor environments |
| US11689522B2 (en) * | 2020-07-03 | 2023-06-27 | Vmware, Inc. | Method and apparatus for secure hybrid cloud connectivity |
| US20230103518A1 (en) * | 2021-09-24 | 2023-04-06 | Nvidia Corporation | Secure execution for multiple processor devices using trusted executing environments |
-
2021
- 2021-12-30 US US17/566,351 patent/US20230109755A1/en active Pending
-
2022
- 2022-07-26 EP EP22758061.0A patent/EP4413691A1/en active Pending
- 2022-07-26 CN CN202280066749.9A patent/CN118044157A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230109755A1 (en) | 2023-04-13 |
| EP4413691A1 (en) | 2024-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6987931B2 (ja) | クライアントアプリケーションのためのセキュアなシングルサインオン及び条件付きアクセス | |
| JP6609086B1 (ja) | フェデレーテッド・シングル・サインオン(sso)のための非侵入型セキュリティの実施 | |
| US11509485B2 (en) | Identity authentication method and system, and computing device | |
| CN113347206B (zh) | 一种网络访问方法和装置 | |
| US20180375648A1 (en) | Systems and methods for data encryption for cloud services | |
| US10645172B1 (en) | Socket tunneling connections in a service provider environment | |
| US10659441B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| US9699169B2 (en) | Computer readable storage media for selective proxification of applications and method and systems utilizing same | |
| JP2016532984A (ja) | ネットワーク接続自動化 | |
| US10129074B2 (en) | Techniques for accessing logical networks via a virtualized gateway | |
| US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
| US11032708B2 (en) | Securing public WLAN hotspot network access | |
| CN118044157A (zh) | 在混合云中对本地部署设备的远程命令访问 | |
| AU2012319193B2 (en) | Techniques for accessing logical networks via a programmatic service call | |
| WO2023059386A1 (en) | Remote command access in a hybrid cloud to on-premises devices | |
| CN111970281B (zh) | 基于验证服务器的路由设备远程控制方法、系统及电子设备 | |
| CN117201112B (zh) | 基于全节点零信任网关的数据访问处理方法及系统 | |
| CN111526128B (zh) | 一种加密管理的方法和装置 | |
| US20220029991A1 (en) | Integrated hosted directory | |
| CN115515135A (zh) | 联盟通信方法、系统、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |