TW201417535A - 根據風險係數的網路存取控制 - Google Patents

根據風險係數的網路存取控制 Download PDF

Info

Publication number
TW201417535A
TW201417535A TW101140276A TW101140276A TW201417535A TW 201417535 A TW201417535 A TW 201417535A TW 101140276 A TW101140276 A TW 101140276A TW 101140276 A TW101140276 A TW 101140276A TW 201417535 A TW201417535 A TW 201417535A
Authority
TW
Taiwan
Prior art keywords
network
user terminal
control module
risk factor
virtual private
Prior art date
Application number
TW101140276A
Other languages
English (en)
Inventor
Sridhar Muppidi
John Jun-Yang Hsu
Rick Ming-Feng Wu
Kaifu Kai-Fu Wu
Original Assignee
Ibm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ibm filed Critical Ibm
Priority to TW101140276A priority Critical patent/TW201417535A/zh
Priority to US14/067,759 priority patent/US9413553B2/en
Publication of TW201417535A publication Critical patent/TW201417535A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種網路連結裝置,包含:●一第一通訊介面,耦接一第一區域網路與一第二區域網路;●一第二通訊介面,耦接一網路;●一控制模組,電性連結該第一通訊介面與該第二通訊介面,其中一使用者終端透過該網路與該控制模組進行一網路通訊,該控制模組進一步計算該使用者終端之一風險係數,並根據該風險係數,決定將該使用者終端連接至該第一區域網路或該第二區域網路;●特別地,該第一區域網路與該第二區域網路可分別為虛擬區域網路。

Description

根據風險係數的網路存取控制
本發明係關於一種根據風險係數的網路存取控制,特別是關於網路連結裝置、電腦網路系統、與使用者終端。
一般企業或組織中,為了確保內部資料的安全性,會採取虛擬私人網路(VPN),供使用者從外部連線存取內部的資源。例如可參考申請人之之官方網站上所發表的技術文件WebSphere Everyplace Connection Manager:increasing mobile security,reducing wireless costs。
另一方面,對於在企業或組織的內部資源中,透過虛擬區域網路(Virtual Local Area Network,VLAN)的技術,網管人員可以對不同實體區域網路中的設備進行邏輯上的分群(Grouping),而提供更完整的資訊安全保障。
更多相關資料,可參考由Andrew Jones等人在申請人之官方網站上所發表的技術文件IBM SmartCloud Enterprise tip:Build multiple VPNs and VLANs:VPN and VLAN features and capabilities in IBM SmartCloud Enterprise 2.0以及IBM SmartCloud Enterprise tip:Span virtual local area networks Provision and configure an instance that spans a public and private VLAN。
另外亦可參考同屬申請人之美國專利US8054840。
本發明其中一方面在於提出一種根據風險係數的網路存取控制。
一般使用者在從外部連線存取企業內部的資源時,縱使使用者本身不具有惡意,但往往因為終端自身的設定或操作不當,或是終端所處之外部網路環境(相對於企業內部而言)或連線方式之防護機制不足,造成安全上的漏洞。
對此,本發明實施例即在考量從外部連線存取企業內部時,因使用者終端本身或其所處之外部網路環境所導致的安全漏洞,而估計風險係數,並根據此風險係數,將使用者終端連接至不同的內部資源以進行存取,而使用者終端則被與其他未連接的內部資源為阻絕(isolated),也就是使用者終端無法得知其他未連接的內部資源的位置。
另一方面,也可根據此風險係數,授予該用者終端存取一內部網路資源的權限,例如只允許讀取而無法寫入一內部網路資源而對另一內部網路資源則讀寫都不被允許。
根據本發明一實施例,網路連結裝置包含:●一第一通訊介面,耦接一第一區域網路與一第二區域網路,該第二區域網路與該第一區域網路不同;●一第二通訊介面,耦接一網路,,該網路不同於該第二區域網路與該第一區域網路; ●一控制模組,電性連結該第一通訊介面與該第二通訊介面,其中一使用者終端透過該網路與該控制模組進行一網路通訊,該控制模組進一步根據該使用者終端之一風險係數,決定將該使用者終端連接至該第一區域網路或該第二區域網路。
根據本發明另一變化實施例,虛擬私人網路伺服器包含:●一第一通訊介面,耦接至少一內部網路資源;●一第二通訊介面,耦接一外部網路;●一控制模組,電性連結該第一通訊介面與該第二通訊介面,並提供一虛擬私人網路以存取該內部網路資源,其中一使用者終端透過該外部網路與該控制模組進行一網路通訊,該控制模組根據該使用者終端之一風險係數,指定將該使用者終端進一步透過該虛擬私人網路存取該內部網路資源的權限。
在其他實施例中,亦提出與上述網路連結裝置或虛擬私人網路伺服器相對應的使用者終端與電腦網路系統。
本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,但亦非必要。
參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
本說明書中「一實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此,在本說明書中,「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。
熟此技藝者當知,本發明可實施為電腦系統、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶 體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如藉由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、SMRlltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。
於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成 的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。
這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
其次,請參照圖1至圖3,在圖式中顯示依據本發明各種實施例的系統、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此,流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼,其包含一個或多個可執行指令,以實施指定的邏輯功能。另當注意者,某些其他的實施例中,方塊所述的功能可以不依圖中所示之順序進行。舉例來說,兩個圖示相連接的方塊事實上亦可以皆執行,或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者,每個方塊圖及/或流程圖的方塊,以及方塊圖及/或流程圖中方塊之組合,可藉由基於特 殊目的硬體的系統來實施,或者藉由特殊目的硬體與電腦指令的組合,來執行特定的功能或操作。
<系統架構>
圖1顯示一實施例中之電腦系統100之硬體架構。電腦系統100包含網路連結裝置102,內部網路資源104a-104d。
網路連結裝置102可為交換器、路由器等可控制網路封包流向的裝置。網路連結裝置102包含兩個通訊介面1022與1024,以及控制模組1026。更多細節將描述於後,而網路連結裝置102中與本發明非直接相關的架構可參考例如Cisco公司的交換器產品Cisco Catalyst 3550 Series Switch。
通訊介面1022係用以耦接內部網路資源104a-104d。內部網路資源104a-104d對網路連結裝置102而言為不同的網路資源,例如具有不同的IP位址,因此網路連結裝置102的控制模組1026可加以區分出前往/來自內部網路資源104a-104d任一者的IP封包。內部網路資源104a-104d不限制為特定的網路設備或是伺服器,且內部網路資源104a-104d可各自包含不限數目的網路設備或是伺服器或是其組合。例如內部網路資源104a-104d可各自代表一區域網路(LAN)。
為了說明的目的,在圖1的範例中,內部網路資源104a與104b各自為一虛擬區域網路(VLAN),但實體上內部網路資源104a與104b可具有共享部份的網路設備或是伺服器。舉例來說,內部網路資源104a係具有一網頁伺服器,而內部 網路資源104b則包含一網頁伺服器與一檔案伺服器,但內部網路資源104a的網頁伺服器與內部網路資源104b的網頁伺服器係為實體上相同(phyically the same)的伺服器。另外一般來說,檔案伺服器比網頁伺服器提供更多的存取模式(例如可上傳或刪除檔案),且FTP協定比HTTP協定相較來說也比較不安全,因此檔案伺服器比網頁伺服器需要更嚴格的存取控制。
另一方面,內部網路資源104c與104d則為不同的網路安全設備,設置在檔案伺服器105與網路連結裝置102之間,而於使用者終端200存取檔案伺服器105時,分別提供不同程度的安全性防護,避免例如駭客透過使用者終端200攻擊檔案伺服器105。舉例來說,內部網路資源104c係為防火牆(firewall),而內部網路資源104d則為具有防火牆與入侵預防系統(IPS)的組合,相較於內部網路資源104c可提供要高度的安全性防護。
電腦系統100可更包含一虛擬私人網路伺服器106,係耦接網路連結裝置102的通訊介面1024。虛擬私人網路伺服器106對使用者終端200提供一虛擬私人網路VPN,如圖1所示。換言之,使用者終端200需先登入虛擬私人網路伺服器106,經過認證及授權後,可透過虛擬私人網路VPN連結網路連結裝置102,網路連結裝置102再決定(根據隨後敘述的風險係數)將使用者終端200連結內部網路資源104a-104d其中之一,更多的細節將於後描述。需說明的是,在一些實施例中,虛擬私人網路伺服器106並非必要,也就是說,使用 者終端200不一定要透過虛擬私人網路VPN連結網路連結裝置102與內部網路資源104a-104d。在另一實施例中,使用者終端200係與網路連結裝置102、內部網路資源104a與104b同位於一公司(enteprise)的內部網路中,而不需要使用虛擬私人網路VPN。
<使用者終端>
使用者終端200可利用一般的筆記型電腦或類似的可攜式資訊裝置來實施,例如Apple公司的產品iPhoneTM或是iPadTM。如圖2所示,使用者終端200可具有一觸控螢幕202提供資訊顯示以及輸入的功能,而使用者終端200的處理器204可為ARMTM公司所生產用在可攜式資訊裝置上的中央處理器;記憶體206可為快閃記憶體,用以儲存網路通訊程式AP1與風險係數程式AP2之電腦可執行指令,並供處理器204存取並加以執行。網路通訊程式AP1與風險係數程式AP2的基本實施態樣亦可參考現有iPhoneTM上所執行的應用程式,或是直接整合在使用者終端200的作業系統(未圖示)之中。通訊模組208可實施為Qualcomm公司的MDM6610通訊晶片,或是其他類似通訊晶片以提供有線或無線(包含UMTS、GSM、或Wi-Fi)等網路連線能力,進而透過網路(例如區域網路(LAN)、廣域網路(WAN),或所謂公開的網際網路(Internet))與虛擬私人網路伺服器106(或網路連結裝置102,若無虛擬私人網路伺服器106)連結。
需說明的是,雖未繪示但其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可設置於虛擬私人網路伺服器 106(或網路連結裝置102)與使用者終端200之間的網路中。
網路通訊程式AP1可為TELNET連線程式、HTTP瀏覽器,FTP連線程式、VOIP連線程式等。當使用者終端200與虛擬私人網路伺服器106連結時,網路通訊程式AP1可包含有對應的虛擬私人網路客戶端程式,用以登入虛擬私人網路伺服器106並進行認證並取得授權,之後並可提供在虛擬私人網路VPN上進行資料通訊的加/解密以及選擇性的壓縮/解壓縮服務,對此可參考例如Cisco公司的VPN Client程式,在此不予贅述。
<風險係數>
風險係數程式AP2係至少用以取得使用者終端200之元資料。本實施例中所涵蓋的元資料可包含,但不限於,以下三大類型。
(一)元資料可包含使用者終端200的終端特性。舉例來說,風險係數程式AP2可與使用者終端200的作業系統溝通,可取得使用者終端200裝置的型號,或是作業系統的種類與版本(例如iOSTM 6),且可取得作業系統下所有安裝的應用程式資訊,特別是網路通訊程式AP1的種類與版本,或者是防毒程式或是類似資訊安全防護程式的種類與版本。一般來說,透過使用者終端200的作業系統可取得的終端特性,都可被風險係數程式AP2作為元資料而加以收集。
(二)元資料可包含使用者終端200的連線方式特性。連 線方式特性主要與使用者終端200的通訊模組208所能支持連線方式相關,一般來說也可透過使用者終端200的作業系統來取得。舉例來說,連線方式特性可例如是透過有線網路或是無線網路(包含UMTS、GSM、或Wi-Fi)等、建立連線所要求的認證或是加密方式(例如WPA2、AES、或TKIP)。
(三)元資料可包含使用者終端200的網路特性。在此主要係指使用者終端200至下一個網路節點(node)間的網路特性。一般來說網路特性與使用者終端200無直接相關,而係與使用者終端200當下所處之環境相關,但也可透過使用者終端200的作業系統來取得。舉例來說,網路特性可例如網路服務商(ISP)的名稱、網路所在的位置(國家或城市),使用者終端200係分配到固定IP或是動態IP。
<存取控制>
在取得元資料後,風險係數程式AP2可將元資料透過虛擬私人網路伺服器106傳送給網路連結裝置102,藉此網路連結裝置102的控制模組1026可根據元資料決定出使用者終端200當下的風險係數(例如透過風險係數的查對表TRisk)。在另一實施例中,風險係數程式AP2本身即可根據元資料決定出風險係數,然後將決定出的風險係數透過虛擬私人網路伺服器106傳送給網路連結裝置102。
控制模組1026在取得使用者終端200當下的風險係數後,即可進一步決定將使用者終端200連結內部網路資源104a-104d其中之一(例如透過另一查對表TPolicy)。在此範例 中,若使用者終端200當下的風險係數較高(意謂安全性較低),則控制模組1026可將使用者終端200連結或分配(assign)至僅具有網頁伺服器的內部網路資源104a而非有檔案伺服器的內部網路資源104b,或是將使用者終端200連結至具有較高安全性防護能力的內部網路資源104d(防火牆與入侵預防系統的組合)而非內部網路資源104c(僅具有防火牆)。
需說明的是,在圖1的範例中,查對表TRisk與查對表TPolicy係設置在控制模組1026(例如以韌體的方式),但在其他實施例中,查對表TRisk與查對表TPolicy可設置在網路連結裝置102中的其他記憶體裝置(未圖示),而透過直接連線供控制模組1026存取。在另外的實施例中,查對表TRisk與查對表TPolicy甚至可以設置在網路連結裝置102以外的儲存裝置(未圖示),而透過網路連線供控制模組1026的存取。
特別地,在此實施例中,當使用者終端200被控制模組1026耦接到一內部網路資源(例如內部網路資源104a),則與其他的內部網路資源(即內部網路資源104b-10d)在網路通訊上形成阻絕(isolation)。
需說明的是,為了提供有效的存取控制,當使用者終端200當下的風險係數改變,例如從透過家中有線網路連線改為透過公眾無線網路連線,風險係數程式AP2應當即時反映並通知控制模組1026,視需要而將使用者終端200調整至適當的內部網路資源。以內部網路資源104c與內部網路資源104d為例,控制模組1026即時地且動態地將使用者終端200連結 或分配至內部網路資源104c(僅具有防火牆)或內部網路資源104d(防火牆與入侵預防系統的組合)以存取後面的檔案伺服器105,而不需要中斷與使用者終端200的連線。
<第一變化實施例>
在另外的實施例中,使用者終端200係缺少上述的風險係數程式AP2,而無法提供元資料來決定風險係數。對此網路連結裝置102可根據例如所接收到使用者終端200所發出IP封包中的表頭資訊(例如來源位址)來決定風險係數。另一方面,網路連結裝置102的控制模組1026亦可從網路通訊程式AP1(例如HTTP瀏覽器)所傳遞的訊息判斷出使用者終端200裝置的種類(例如是桌上型電腦或是行動電話)或是作業系統的種類,進一步據此來決定風險係數。上述兩種決定風險係數的方式其具體的效果可能不如使用元資料,但其優點在於使用者終端200不需要安裝上述的風險係數程式AP2。
<第二變化實施例>
圖3係顯示另一實施例的電腦系統300。電腦系統300係與圖1的電腦系統100相似,因此在此不再對類似的細節贅述。
但相較於圖1的電腦系統100中係由網路連結裝置102根據風險係數來提供對於使用者終端200的存取控制,電腦系統300中係由虛擬私人網路伺服器306根據風險係數來指定使用者終端200的對內部網路資源304存取權限。
如同圖1的網路連結裝置102,虛擬私人網路伺服器306,包含兩個通訊介面3062與3064,以及控制模組3066。通訊介面3062係用以耦接內部網路資源304(例如一檔案伺服器),通訊介面3064用以耦接使用者終端200。
使用者終端200需先登入虛擬私人網路伺服器306,經過認證及授權後,可透過虛擬私人網路VPN連結內部網路資源304。特別地,控制模組3066在取得使用者終端200當下的風險係數後(可參考前述控制模組1026的方式,例如透過查對表TRisk),即可進一步指定使用者終端200的對內部網路資源304存取權限(例如透過查對表TPolicy)。
在此範例中,若使用者終端200當下的風險係數較高(意謂安全性較低),則控制模組3066可僅給予使用者終端200『僅讀取(read only)』內部網路資源304的權限,反之若使用者終端200當下的風險係數較低(意謂安全性較高),則可另外給予『寫入』內部網路資源304的權限。
換言之,在本實施例中,即使使用相同的帳號登入虛擬私人網路伺服器306,虛擬私人網路伺服器306所提供使用者終端200的存取權限將會隨著使用者終端200當下的風險係數而定,也就是可能會隨著,例如使用者終端200的終端特性、連線方式特性、或網路特性,而有所不同。
在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解 說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
100‧‧‧電腦系統
102‧‧‧網路連結裝置
1022‧‧‧通訊介面
1024‧‧‧通訊介面
1026‧‧‧控制模組
104a-104d‧‧‧內部網路資源
105‧‧‧檔案伺服器
106‧‧‧VPN伺服器
200‧‧‧使用者終端
202‧‧‧觸控螢幕
204‧‧‧處理器
206‧‧‧記憶體
208‧‧‧通訊模組
300‧‧‧電腦系統
304‧‧‧內部網路資源
306‧‧‧VPN伺服器
3062‧‧‧通訊介面
3064‧‧‧通訊介面
3066‧‧‧控制模組
AP1‧‧‧程式
AP2‧‧‧程式
TRisk‧‧‧查對表
TPolicy‧‧‧查對表
為了立即瞭解本發明的優點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:圖1一種依據本發明一具體實施例之電腦系統;圖2一種依據本發明一具體實施例之方法流程圖;圖3一種依據本發明另一具體實施例之電腦系統。
100‧‧‧電腦系統
102‧‧‧網路連結裝置
1022‧‧‧通訊介面
1024‧‧‧通訊介面
1026‧‧‧控制模組
104a-104d‧‧‧內部網路資源
105‧‧‧檔案伺服器
106‧‧‧VPN伺服器
200‧‧‧使用者終端
TRisk‧‧‧查對表
TPolicy‧‧‧查對表

Claims (14)

  1. 一種網路連結裝置,包含:一第一通訊介面,耦接一第一區域網路與一第二區域網路,該第二區域網路與該第一區域網路不同;一第二通訊介面,耦接一網路,該網路不同於該第二區域網路與該第一區域網路;一控制模組,電性連結該第一通訊介面與該第二通訊介面,其中一使用者終端透過該網路與該控制模組進行一網路通訊,該控制模組根據該使用者終端之一風險係數,決定將該使用者終端連接至該第一區域網路或該第二區域網路。
  2. 如請求項1之網路連結裝置,其中該第一區域網路與該第二區域網路係分別為虛擬區域網路(VLAN)。
  3. 如請求項1之網路連結裝置,其中該控制模組根據該使用者終端之元資料決定該風險係數。
  4. 如請求項3之網路連結裝置,其中該控制模組根據該使用者終端之終端特性(terminal profile)決定該風險係數。
  5. 如請求項3之網路連結裝置,其中該控制模組根據該使用者終端之連線方式特性決定該風險係數。
  6. 如請求項3之網路連結裝置,其中該控制模組根據該網路之網路特性決定該風險係數。
  7. 如請求項1之網路連結裝置,其中該控制模組根據該網路通訊中的IP封包表頭決定該風險係數。
  8. 一種電腦網路系統,包含:如請求項1-7中任一項所述之網路連結裝置;以及一虛擬私人網路伺服器,設置於該網路中並耦接該網路連結裝置,該虛擬私人網路伺服器用以在該網路上提供一虛擬私人網路,供該使用者透過該虛擬私人網路與該控制模組進行該網路通訊。
  9. 一種使用者終端,包含:一記憶體,儲存一網路通訊程式與一風險係數程式;一處理器,存取該記憶體,以執行該網路通訊程式,以與如請求項1所述之網路連結裝置,透過該網路進行該網路通訊,並執行該風險係數程式,以提供該風險係數予該網路連結裝置。
  10. 如請求項9之使用者終端,其中該風險係數程式被執行收集的該使用者終端之元資料,並提供給該控制模組,藉此該控制模組決定該風險係數。
  11. 如請求項9之使用者終端,其中該網路中設置有一虛擬私人網路伺服器並耦接該網路連結裝置,該虛擬私人網路伺服器用以在該網路上提供一虛擬私人網路;其中,該網路通訊程式用以登入該虛擬私人網路伺服器,以進一步透過該虛擬私人網路與該控制模組進行該網路通訊。
  12. 一種虛擬私人網路伺服器,包含:一第一通訊介面,耦接至少一內部網路資源;一第二通訊介面,耦接一外部網路;一控制模組,電性連結該第一通訊介面與該第二通訊介面,並提供一虛擬私人網路以存取該內部網路資源;其中一使用者終端透過該外部網路與該控制模組進行一網路通訊,該控制模組進一步根據該使用者終端之一風險係數,指定將該使用者終端進一步透過該虛擬私人網路存取該內部網路資源的權限。
  13. 一種使用者終端,包含:一記憶體,儲存一網路通訊程式與一風險係數程式;一處理器,存取該記憶體,以執行該網路通訊程式,以透過該網路登入如請求項12所述之虛擬私人網路伺服器,並執行該風險係數程式,以提供該風險係數予該虛擬私人網路伺服器。
  14. 如請求項13之使用者終端,其中該風險係數程式被執行以收集該使用者終端之元資料,並提供給該控制模組,藉此該控制模組決定該風險係數。
TW101140276A 2012-10-31 2012-10-31 根據風險係數的網路存取控制 TW201417535A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW101140276A TW201417535A (zh) 2012-10-31 2012-10-31 根據風險係數的網路存取控制
US14/067,759 US9413553B2 (en) 2012-10-31 2013-10-30 Network access control based on risk factor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101140276A TW201417535A (zh) 2012-10-31 2012-10-31 根據風險係數的網路存取控制

Publications (1)

Publication Number Publication Date
TW201417535A true TW201417535A (zh) 2014-05-01

Family

ID=50548475

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101140276A TW201417535A (zh) 2012-10-31 2012-10-31 根據風險係數的網路存取控制

Country Status (2)

Country Link
US (1) US9413553B2 (zh)
TW (1) TW201417535A (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN202523068U (zh) * 2012-04-11 2012-11-07 珠海赛纳打印科技股份有限公司 具有信息防护功能的成像装置
KR20150089525A (ko) * 2014-01-28 2015-08-05 삼성전자주식회사 통신 메시지 운용 방법 및 이를 지원하는 전자 장치
US9888022B2 (en) 2015-12-01 2018-02-06 International Business Machines Corporation Providing application-specific threat metrics

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6151628A (en) * 1997-07-03 2000-11-21 3Com Corporation Network access methods, including direct wireless to internet access
EP1285317A1 (en) * 2000-05-19 2003-02-26 Netscape Communications Adaptive multi-tier authentication system
GB0109299D0 (en) * 2001-04-12 2001-05-30 British Telecomm Hybrid network
US7546458B1 (en) * 2002-05-04 2009-06-09 Atheros Communications, Inc. Method for organizing virtual networks while optimizing security
US8051210B2 (en) * 2002-10-15 2011-11-01 Hewlett-Packard Development Company, L.P. Server with LAN switch that connects ports based on connection information received from first and second LANs
US7228345B2 (en) * 2002-10-15 2007-06-05 Hewlett-Packard Development Company, L.P. Server with LAN switch that connects ports based on boot progress information
JP4265915B2 (ja) * 2003-01-29 2009-05-20 シャープ株式会社 電子機器ネットワークシステムおよび電子機器ネットワークシステムによるデータ送信先検索方法
JP2005165561A (ja) * 2003-12-01 2005-06-23 Fujitsu Ltd ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置
US7827294B2 (en) * 2004-05-06 2010-11-02 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of computing resources
US20060036869A1 (en) * 2004-08-12 2006-02-16 Bill Faught Methods and systems that provide user access to computer resources with controlled user access rights
US7549162B2 (en) * 2004-12-06 2009-06-16 At&T Intellectual Property I, L.P. Methods of providing security for data distributions in a data network and related devices, networks, and computer program products
US20060294580A1 (en) * 2005-06-28 2006-12-28 Yeh Frank Jr Administration of access to computer resources on a network
US8171538B2 (en) * 2006-03-17 2012-05-01 Microsoft Corporation Authentication and authorization of extranet clients to a secure intranet business application in a perimeter network topology
US20080301801A1 (en) 2007-05-31 2008-12-04 Premkumar Jothimani Policy based virtual private network (VPN) communications
US8054840B2 (en) 2007-06-12 2011-11-08 International Business Machines Corporation Data center virtual local area network system and method
US7930732B2 (en) 2008-02-22 2011-04-19 Novell, Inc. Techniques for secure transparent switching between modes of a virtual private network (VPN)
US20090254967A1 (en) * 2008-04-02 2009-10-08 J Premkumar Virtual private networks (vpn) access based on client workstation security compliance
US8209749B2 (en) 2008-09-17 2012-06-26 Apple Inc. Uninterrupted virtual private network (VPN) connection service with dynamic policy enforcement
WO2010037201A1 (en) 2008-09-30 2010-04-08 Wicksoft Corporation System and method for secure management of mobile user access to enterprise network resources
WO2010067864A1 (ja) * 2008-12-12 2010-06-17 パナソニック電工株式会社 通信ネットワークシステム
US8972515B2 (en) * 2009-03-30 2015-03-03 The Boeing Company Computer architectures using shared storage
US8379652B2 (en) 2009-05-14 2013-02-19 Avaya Inc. Methods, apparatus and computer readable medium for conveying virtual local area network (VLAN) policies from designated to roamed network
CN101714927B (zh) 2010-01-15 2012-04-18 福建伊时代信息科技股份有限公司 内网安全综合管理的网络接入控制方法
US8601569B2 (en) * 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
US10142292B2 (en) 2010-06-30 2018-11-27 Pulse Secure Llc Dual-mode multi-service VPN network client for mobile device
US8127350B2 (en) 2010-06-30 2012-02-28 Juniper Networks, Inc. Multi-service VPN network client for mobile device
WO2012094675A2 (en) 2011-01-07 2012-07-12 Seven Networks, Inc. System and method for reduction of mobile network traffic used for domain name system (dns) queries
US8813172B2 (en) * 2011-12-16 2014-08-19 Microsoft Corporation Protection of data in a mixed use device

Also Published As

Publication number Publication date
US20140122651A1 (en) 2014-05-01
US9413553B2 (en) 2016-08-09

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
JP5714078B2 (ja) 分散セキュアコンテンツ管理システムに対する認証
US11743297B2 (en) Systems and methods for providing network security using a secure digital device
US8918841B2 (en) Hardware interface access control for mobile applications
CA2912608C (en) Selectively performing man in the middle decryption
US20210004453A1 (en) Device-specific authentication credentials
JP5535229B2 (ja) 直接アクセスネットワークのためのネットワーク位置決定
US8893255B1 (en) Device authentication using device-specific proxy addresses
US20160359807A1 (en) Destination domain extraction for secure protocols
US8281363B1 (en) Methods and systems for enforcing network access control in a virtual environment
US10911485B2 (en) Providing cross site request forgery protection at an edge server
WO2015103338A1 (en) Cloud-based network security
WO2020035046A1 (zh) 访问认证方法、装置及认证设备
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
RU2010122351A (ru) Система и способ эффективной реализации улучшенного маршрутизаторного устройства
US9819690B2 (en) Malicious virtual machine alert generator
TW201417535A (zh) 根據風險係數的網路存取控制
US11736516B2 (en) SSL/TLS spoofing using tags
US10009318B2 (en) Connecting to a cloud service for secure access
JP5622088B2 (ja) 認証システム、認証方法
EP3675450B1 (en) System and method of connecting a dns secure resolution protocol
Frahim et al. Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance
Frank Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance
Ussath et al. Enhanced Sinkhole System: Collecting System Details to Support Investigations
KR101259471B1 (ko) 프록시 서버 및 이에 적용되는 컴퓨터로 읽을 수 있는 기록매체