TW202006586A - 用以管控與雲端服務系統認證之系統及方法 - Google Patents
用以管控與雲端服務系統認證之系統及方法 Download PDFInfo
- Publication number
- TW202006586A TW202006586A TW107124198A TW107124198A TW202006586A TW 202006586 A TW202006586 A TW 202006586A TW 107124198 A TW107124198 A TW 107124198A TW 107124198 A TW107124198 A TW 107124198A TW 202006586 A TW202006586 A TW 202006586A
- Authority
- TW
- Taiwan
- Prior art keywords
- cloud service
- service system
- data
- authentication
- browser application
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
Abstract
本發明提供一種用以管控與雲端服務系統認證之系統及方法。當使用者操作資料處理裝置執行未防護啟動程序以啟動瀏覽器應用程式對資料儲存單元的未防護區域存取資料且經由瀏覽器應用程式將未包含關於資料儲存單元的防護區域之特徵資料的認證資料傳送至雲端服務系統時,雲端服務系統轉傳認證資料至認證伺服器。認證伺服器判斷認證資料是否包含關於防護區域之特徵資料,並且若判斷結果為否定者,認證伺服器則傳送代表拒絕登錄之警示訊息至雲端服務系統。雲端服務系統轉傳警示訊息至瀏覽器應用程式。
Description
本發明關於一種用以管控與雲端服務系統認證之系統及方法,並且特別地,關於能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間認證的系統及方法。
現今企業、政府機關等單位內對於資料處理裝置使用的管控大多會運用資安人員以及管控軟體做到嚴密的管控。然而,隨著雲端服務的興起,企業、政府機關等單位也興起運用雲端服務資源,例如,雲端儲存、雲端運算、社群通訊等服務。個人運用雲端服務資源也日漸頻繁。
現行資料處理系統至雲端服務系統登錄認證的機制大多僅是憑藉輸入帳號、密碼薄弱的認證。隨著企業、政府機關等單位益加仰賴雲端服務資源,顯見地,亟需更加安全地管控與雲端服務系統認證之系統及方法。
中華民國發明專利第I592824號揭示一種能保護檔案的資料處理系統,其將資料儲存裝置區分為防護區域與未防護區域,因此勒索軟體等惡意攻擊,也無法攻擊儲存於防護區域內的重要檔案。針對使用者本機端架構防護區域,勒索軟體無法讀寫及破壞儲存在防護區域的重要檔案。然而,勒索軟體最常利用資料處理系統聯結至雲端服務系統時,被下載至資料處理系統內。目前,尚缺乏能防堵勒索軟體可能下載至上述先前技術之資料處理系統的技術。
因此,本發明所欲解決的技術問題在於提供一種用以管控與雲端服務系統認證之系統及方法。特別地,本發明之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證。
本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統包含資料處理裝置、安全閘道裝置以及認證伺服器。資料處理裝置係能經由第一網路聯結至雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。至少一處理器係連接至該資料儲存單元。安全閘道裝置係連接至資料處理裝置。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。當使用者操作至少一處理器執行未防護啟動程序以啟動儲存於資料儲存單元的瀏覽器應用程式對資料儲存單元的未防護區域存取資料進而聯結至雲端服務系統時,至少一處理器讓瀏覽器應用程式經由第一網路聯結至雲端服務系統。使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。使用者回應該認證資料要求資訊操作瀏覽器應用程式輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統。雲端服務系統轉傳第二認證資料至認證伺服器。認證伺服器判斷第二認證資料是否包含關於防護區域之特徵資料,並且若判斷結果為否定者,認證伺服器則傳送代表拒絕登錄之警示訊息至雲端服務系統。雲端服務系統轉傳警示訊息至瀏覽器應用程 式。
進一步,當使用者操作至少一處理器執行防護啟動程序以啟動儲存於資料儲存單元內之瀏覽器應用程式對資料儲存單元的防護區域存取資料進而聯結至雲端服務系統時,至少一處理器讓瀏覽器應用程式經由安全閘道裝置與第一網路聯結至雲端服務系統。使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第三認證資料。瀏覽器應用程式從資料儲存單元的防護區域內內擷取關於防護區域之特徵資料,並且將第三認證資料與特徵資料合併成第四認證資料。瀏覽器應用程式將第四認證資料傳送至雲端服務系統。雲端服務系統轉傳第四認證資料至認證伺服器。認證伺服器判斷第四認證資料是否包含關於防護區域之特徵資料,若判斷結果為肯定者,認證伺服器則將第三認證資料與多筆第一認證資料做比對。若比對結果為肯定者,認證伺服器傳送登錄確認訊息至雲端服務系統。雲端服務系統轉傳登錄確認訊息至瀏覽器應用程式。
本發明之第二較佳具體實施例之用以管控與雲端服務系統認證之方法,其實施環境為資料處理裝置係能經由第一網路聯結至該雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。首先,本發明之方法係當使用者操作至少一處理器執行未防護啟動程 序以啟動儲存於資料儲存單元內之瀏覽器應用程式對未防護區域存取資料進而聯結至雲端服務系統時,由至少一處理器讓瀏覽器應用程式經由第一網路聯結至雲端服務系統。接著,本發明之方法係由使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。接著,本發明之方法係由認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。接著,本發明之方法係由使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳第二認證資料至認證伺服器。接著,本發明之方法係由認證伺服器判斷第二認證資料是否包含關於防護區域之特徵資料。接著,若判斷結果為否定者,本發明之方法係由認證伺服器傳送代表拒絕登錄之警示訊息至雲端服務系統。最後,本發明之方法係由雲端服務系統轉傳警示訊息至瀏覽器應用程式。
本發明之第三較佳具體實施例之用以管控與雲端服務系統認證之方法,其實施環境為資料處理裝置係能經由第一網路聯結至該雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。首先,本發明之方法係當使用者操作至少一處理器執行防護啟動程序以啟動儲存於資料儲存單元的防護區域內瀏覽器應用程式對防護區域存取資料進而聯結至雲端服務系統時,由至少一處理器讓瀏覽器應用程式經由安全閘道裝置與第一網路聯結至雲端服務系統。接著,本發明之方法係由使用者操作瀏覽器 應用程式傳送登錄要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。接著,本發明之方法係由認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。接著,本發明之方法係由使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第三認證資料。接著,本發明之方法係由瀏覽器應用程式從資料儲存單元的防護區域內擷取關於防護區域之特徵資料且將第三認證資料與特徵資料合併成第四認證資料,並將第四認證資料傳送至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳第四認證資料至認證伺服器。接著,本發明之方法係由認證伺服器判斷第四認證資料是否包含關於防護區域之特徵資料。接著,若判斷結果為肯定者,本發明之方法係由認證伺服器將第三認證資料與多筆第一認證資料做比對。接著,若比對結果為肯定者,本發明之方法係由認證伺服器傳送登錄確認訊息至雲端服務系統。最後,本發明之方法係由雲端服務系統轉傳登錄確認訊息至瀏覽器應用程式。
於一具體實施例中,警示訊息可以包含要求至防護區域登錄資訊。
於一具體實施例中,每一筆第一認證資料可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
與先前技術相較,根據本發明之用以管控與雲端服務系統認證之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證。
關於本發明之優點與精神可以藉由以下的發明詳述及所附圖式得到進一步的瞭解。
1‧‧‧系統
12‧‧‧資料處理裝置
120‧‧‧處理器
122‧‧‧資料儲存單元
1222‧‧‧未防護區域
1224‧‧‧防護區域
1226‧‧‧特徵資料
124‧‧‧瀏覽器應用程式
14‧‧‧安全閘道裝置
16‧‧‧認證伺服器
160‧‧‧處理器
162‧‧‧資料儲存裝置
1622‧‧‧第一認證資料
2‧‧‧雲端服務系統
3‧‧‧第一網路
4‧‧‧第二網路
5‧‧‧使用者
6‧‧‧方法
S60~S68‧‧‧流程步驟
7‧‧‧方法
S70~S81‧‧‧流程步驟
圖1為實施根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統及其實施架構之示意圖。
圖2為為根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統之功能區塊圖。
圖3為根據本發明之第二較佳具體實施例之用以管控與雲端服務系統認證之方法的流程圖。
圖4為根據本發明之第三較佳具體實施例之用以管控與雲端服務系統認證之方法的流程圖。
請參閱圖1及圖2,根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統1及其實施架構係繪示於圖1中。圖2係根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統1之功能區塊圖。
如圖1及圖2所示,本發明之第一較佳具體實施例之用以管控與雲端服務系統2認證之系統1包含資料處理裝置12、安全閘道裝置14以及認證伺服器16。
資料處理裝置12係能經由第一網路3聯結至該雲端服務系統2。資料處理裝置12包含資料儲存單元122以及至少一處理器120。資料儲存單元122係被區分為未防護區域1222以及防護區域1224。瀏覽器應用程式124係儲存於資料儲存單元122內。關於資料儲存單元122的防護區域1224之特徵資料1226係儲存於資料儲存單元122的防護區域1224內。
於一具體實施例中,第一網路3可以是企業內網路(intranet)、網際網路(internet)、企業外網路(extranet)、區域網路(local area network)、廣域網路(wide area network)、乙太網路(Ethernet)、有線電視線路(cable TV network)、無線電信網路(radio telecommunication network)、公眾交換電話網路(public switched telephone network)、3G網路、4G網路、5G網路、HSPA網路、Wi-Fi網路、WiMAX網路、LTE網路,或其他現行商用的公眾網路。
至少一處理器120係連接至資料儲存單元122。安全閘道裝置14係連接至資料處理裝置12。認證伺服器16係能以第二網路4聯結至雲端服務系統2,並且其內存多筆第一認證資料。認證伺服器16包含至少一處理器160以及資料儲存裝置162。至少一處理器160係連接至資料儲存裝置162。資料儲存裝置162用以儲存多筆第一認證資料1622。
於一具體實施例中,第二網路4可以是企業內網路、網際網路、企業外網路、區域網路視線路、無線電信網路、公眾交換電話網路、3G網路、4G網路、5G網路、HSPA網路、Wi-Fi網路、WiMAX網路、LTE網路,或其他現行商用的公眾網路。於實際應用中,第一網路3與第二網路4可以是同一個網路。
如圖2所示,當使用者5操作至少一處理器120執行未防護啟動程序以啟動儲存於資料儲存單元122的內之瀏覽器應用程式124對資料儲存單元122的未防護區域1222存取資料進而聯結至雲端服務系統2時,至少一處理器120讓瀏覽器應用程式124經由第一網路3聯結至雲端服務系統2。使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。雲端服務系統2轉傳認證 資料要求資訊至瀏覽器應用程式124。使用者5回應該認證資料要求資訊操作瀏覽器應用程式124輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統2。雲端服務系統2轉傳第二認證資料至認證伺服器16。認證伺服器16判斷第二認證資料是否包含關於防護區域1224之特徵資料1226,並且若判斷結果為否定者,認證伺服器16則傳送代表拒絕登錄之警示訊息至雲端服務系統2。雲端服務系統2轉傳警示訊息至瀏覽器應用程式124。
於一具體實施例中,警示訊息可以包含要求至防護區域1224登錄資訊。
進一步,同樣如圖2所示,當使用者5操作至少一處理器120執行防護啟動程序以啟動儲存於資料儲存單元122內之瀏覽器應用程式124對資料儲存單元122的防護區域1224存取資料進而聯結至雲端服務系統2時,至少一處理器120讓瀏覽器應用程式124經由安全閘道裝置14與第一網路3聯結至雲端服務系統2。使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第三認證資料。瀏覽器應用程式124從資料儲存單元122的防護區域1224內擷取關於防護區域1224之特徵資料1226,並且將第三認證資料與特徵資料1226合併成第四認證資料。瀏覽器應用程式124將第四認證資料傳送至雲端服務系統2。雲端服務系統2轉傳第四認證資料至認證伺服器16。認證伺服器16判斷第四認證資料是否包含關於防護區域1224之特徵資料1226,若判斷結果為肯定者,認證伺服器16則將第三認證資料與多筆第一認證資料1622做比對。若比對 結果為肯定者,認證伺服器16傳送登錄確認訊息至雲端服務系統2。雲端服務系統2轉傳登錄確認訊息至瀏覽器應用程式124。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
請參閱圖3,圖3係繪示本發明之第二較佳具體實施例之用以管控與雲端服務系統2認證之方法6的流程圖。本發明之方法6其實施環境請參閱圖1所示的實施架構圖,並且參閱圖2所示用以管控與雲端服務系統認證之系統1之功能區塊圖。資料處理裝置12係能經由第一網路3聯結至該雲端服務系統2。資料處理裝置12包含資料儲存單元122以及至少一處理器120。資料儲存單元122係被區分為未防護區域1222以及防護區域1224。瀏覽器應用程式124係儲存於資料儲存單元122內。關於資料儲存單元122的防護區域1224之特徵資料1226係儲存於資料儲存單元122的防護區域1224內。認證伺服器16係能以第二網路4聯結至雲端服務系統2,並且其內存多筆第一認證資料1622。
首先,本發明之方法6係執行步驟S60,當使用者5操作至少一處理器120執行未防護啟動程序以啟動儲存於資料儲存單元122的內之瀏覽器應用程式124對資料儲存單元122的未防護區域1222存取資料進而聯結至雲端服務系統2時,由至少一處理器120讓瀏覽器應用程式124經由第一網路3聯結至雲端服務系統2。
接著,本發明之方法係執行步驟S61,由使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S62,由雲端服 務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。
接著,本發明之方法係執行步驟S63,由認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S64,由雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。
接著,本發明之方法係執行步驟S65,由使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統2。
接著,本發明之方法係執行步驟S66,由雲端服務系統2轉傳第二認證資料至認證伺服器16。接著,本發明之方法係由認證伺服器16判斷第二認證資料是否包含關於防護區域1224之特徵資料1226。
接著,若步驟S66的判斷結果為否定者,本發明之方法係執行步驟S67,由認證伺服器16傳送代表拒絕登錄之警示訊息至雲端服務系統2。
最後,本發明之方法係執行步驟S68,由雲端服務系統2轉傳警示訊息至瀏覽器應用程式124。
於一具體實施例中,警示訊息可以包含要求至防護區域1224登錄資訊。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
請參閱圖4,圖4係繪示本發明之第三較佳具體實施例之用以管控與雲端服務系統2認證之方法7的流程圖。同樣請參閱圖1及圖2,本發明之方法7其實施環境與本發明 之方法6之實施環境相同,在此不再贅述。
首先,本發明之方法係執行步驟S70,當使用者5操作至少一處理器120執行防護啟動程序以啟動儲存於資料儲存單元122內瀏覽器應用程式124對資料儲存單元122的防護區域1224存取資料進而聯結至雲端服務系統2時,由至少一處理器120讓瀏覽器應用程式124經由安全閘道裝置14與第一網路3聯結至雲端服務系統2。
接著,本發明之方法係執行步驟S71,由使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S72,由雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。
接著,本發明之方法係執行步驟S73,由認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S74,由雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。
接著,本發明之方法係執行步驟S75,由使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第三認證資料。
接著,本發明之方法係執行步驟S76,由瀏覽器應用程式124從資料儲存單元122的防護區域1224內擷取關於防護區域1224之特徵資料1226且將第三認證資料與特徵資料1226合併成第四認證資料,並將第四認證資料傳送至雲端服務系統2。
接著,本發明之方法係執行步驟S77,由雲端服 務系統2轉傳第四認證資料至認證伺服器16。
接著,本發明之方法係執行步驟S78,由認證伺服器16判斷第四認證資料是否包含關於防護區域1224之特徵資料1226。
接著,若步驟S78之判斷結果為肯定者,本發明之方法係執行步驟S79,由認證伺服器16將第三認證資料與多筆第一認證資料1622做比對。
接著,若步驟S79之比對結果為肯定者,本發明之方法係執行步驟S80,由認證伺服器16傳送登錄確認訊息至雲端服務系統2。
最後,本發明之方法係執行步驟S81,由雲端服務系統2轉傳登錄確認訊息至瀏覽器應用程式124。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
藉由以上對本發明之系統及方法的詳細描述,可以清楚地了解根據本發明之用以管控與雲端服務系統認證之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證,可以達成安全地與雲端服務系統認證的目的。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本發明之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本發明之面向加以限制。相反地,其目的是希望能涵蓋各種變更及具相等性的安排於本發明所欲申請之專利範圍的面向內。因此,本發明所申請之專利範圍的面向應該根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的變更以及具相等性的安排。
1‧‧‧系統
12‧‧‧資料處理裝置
120‧‧‧處理器
122‧‧‧資料儲存單元
1222‧‧‧未防護區域
1224‧‧‧防護區域
1226‧‧‧特徵資料
124‧‧‧瀏覽器應用程式
14‧‧‧安全閘道裝置
16‧‧‧認證伺服器
160‧‧‧處理器
162‧‧‧資料儲存裝置
1622‧‧‧第一認證資料
2‧‧‧雲端服務系統
3‧‧‧第一網路
4‧‧‧第二網路
5‧‧‧使用者
Claims (9)
- 一種用以管控與一雲端服務系統認證之系統,包含:一資料處理裝置,係能經由一第一網路聯結至該雲端服務系統,包含:一資料儲存單元,係被區分為一未防護區域以及一防護區域,其中一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內;以及至少一處理器,係連接至該資料儲存單元;一安全閘道裝置,係連接至該資料處理裝置;以及一認證伺服器,係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料;其中當一使用者操作該至少一處理器執行一未防護啟動程序以啟動該瀏覽器應用程式對該未防護區域存取資料進而聯結至該雲端服務系統時,該至少一處理器讓該瀏覽器應用程式經由該第一網路聯結至該雲端服務系統,該使用者操作該瀏覽器應用程式傳送一登錄要求資訊至該雲端服務系統,該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器,該認證伺服器回應該登錄要求資訊傳送一認證資料要求資訊至該雲端服務系統,該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式,該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第二認證資料且將該第二認證資料傳送至該雲端服務系統,該雲端服務系統轉傳該第二認證資料至該認 證伺服器,該認證伺服器判斷該第二認證資料是否包含關於該防護區域之該特徵資料,並且若判斷結果為否定者,該認證伺服器則傳送代表拒絕登錄之一警示訊息至該雲端服務系統,該雲端服務系統轉傳該警示訊息至該瀏覽器應用程式。
- 如請求項1所述之系統,其中該警示訊息包含一要求至該防護區域登錄資訊。
- 如請求項2所述之系統,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
- 如請求項3所述之系統,其中當該使用者操作該至少一處理器執行一防護啟動程序以啟動該瀏覽器應用程式對該防護區域存取資料進而聯結至該雲端服務系統時,該至少一處理器讓該瀏覽器應用程式經由該安全閘道裝置與該第一網路聯結至該雲端服務系統,該使用者操作該瀏覽器應用程式傳送該登錄要求資訊至該雲端服務系統,該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器,該認證伺服器回應該登錄要求資訊傳送該認證資料要求資訊至該雲端服務系統,該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式,該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第三認證資料,該瀏覽器應用程式從該防護區域內擷取關於該防護區域之該特徵資料且將該第三認證資料與該特徵資料合併成一第四認證資料並將該第四認證資料傳送至該雲端 服務系統,該雲端服務系統轉傳該第四認證資料至該認證伺服器,該認證伺服器判斷該第四認證資料是否包含關於該防護區域之該特徵資料,若判斷結果為肯定者,該認證伺服器則將該第三認證資料與該多筆第一認證資料做比對,若比對結果為肯定者,該認證伺服器傳送一登錄確認訊息至該雲端服務系統,該雲端服務系統轉傳該登錄確認訊息至該瀏覽器應用程式。
- 一種用以管控與一雲端服務系統認證之方法,其中一資料處理裝置係能經由一第一網路聯結至該雲端服務系統,該資料處理裝置包含一資料儲存單元以及至少一處理器,該資料儲存單元係被區分為一未防護區域以及一防護區域,一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內,一認證伺服器係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料,該方法包含下列步驟:(a)當一使用者操作該至少一處理器執行一未防護啟動程序以啟動該瀏覽器應用程式對該未防護區域存取資料進而聯結至該雲端服務系統時,由該至少一處理器讓該瀏覽器應用程式經由該第一網路聯結至該雲端服務系統;(b)由該使用者操作該瀏覽器應用程式傳送一登錄要求資訊至該雲端服務系統;(c)由該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器; (d)由該認證伺服器回應該登錄要求資訊傳送一認證資料要求資訊至該雲端服務系統;(e)由該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式;(f)由該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第二認證資料且將該第二認證資料傳送至該雲端服務系統;(g)由該雲端服務系統轉傳該第二認證資料至該認證伺服器;(h)由該認證伺服器判斷該第二認證資料是否包含關於該防護區域之該特徵資料;(i)若步驟(h)之判斷結果為否定者,由該認證伺服器傳送代表拒絕登錄之一警示訊息至該雲端服務系統;以及(j)由該雲端服務系統轉傳該警示訊息至該瀏覽器應用程式。
- 如請求項5所述之方法,其中該警示訊息包含一要求至該防護區域登錄資訊。
- 如請求項6所述之方法,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
- 一種用以管控與一雲端服務系統認證之方法,其中一資料處理裝置係能經由一第一網路聯結至該雲端服務系統,該資料處理裝置包含一資料儲存單元以及至少一處理器,該資料儲存單元係被區分為一未防護區域以及一防護區域, 一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內,一認證伺服器係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料,該方法包含下列步驟:(a)當該使用者操作該至少一處理器執行一防護啟動程序以啟動該瀏覽器應用程式對該防護區域存取資料進而聯結至該雲端服務系統時,由該至少一處理器讓該瀏覽器應用程式經由一安全閘道裝置與該第一網路聯結至該雲端服務系統;(b)由該使用者操作該瀏覽器應用程式傳送該登錄要求資訊至該雲端服務系統;(c)由該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器;(d)由該認證伺服器回應該登錄要求資訊傳送該認證資料要求資訊至該雲端服務系統;(e)由該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式;(f)由該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第三認證資料;(g)由該瀏覽器應用程式從該憑證管理模組內擷取關於該防護區域之該特徵資料且將該第三認證資料與該特徵資料合併成一第四認證資料並將該第四認證資料傳送至該雲端服務系統; (h)由該雲端服務系統轉傳該第四認證資料至該認證伺服器;(i)由該認證伺服器判斷該第四認證資料是否包含關於該防護區域之該特徵資料;(j)若步驟(i)之判斷結果為肯定者,由該認證伺服器將該第三認證資料與該多筆第一認證資料做比對;(k)若步驟(j)之比對結果為肯定者,由該認證伺服器傳送一登錄確認訊息至該雲端服務系統;以及(l)由該雲端服務系統轉傳該登錄確認訊息至該瀏覽器應用程式。
- 如請求項8所述之方法,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107124198A TWI676115B (zh) | 2018-07-13 | 2018-07-13 | 用以管控與雲端服務系統認證之系統及方法 |
US16/510,377 US11258793B2 (en) | 2018-07-13 | 2019-07-12 | Managing system and managing method for managing authentication for cloud service system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107124198A TWI676115B (zh) | 2018-07-13 | 2018-07-13 | 用以管控與雲端服務系統認證之系統及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI676115B TWI676115B (zh) | 2019-11-01 |
TW202006586A true TW202006586A (zh) | 2020-02-01 |
Family
ID=69139297
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107124198A TWI676115B (zh) | 2018-07-13 | 2018-07-13 | 用以管控與雲端服務系統認證之系統及方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11258793B2 (zh) |
TW (1) | TWI676115B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114765558B (zh) * | 2021-01-15 | 2024-04-09 | 台达电子工业股份有限公司 | 工业设备监控方法及工业设备监控系统 |
CN114244548B (zh) * | 2021-04-12 | 2023-10-13 | 无锡江南计算技术研究所 | 一种面向云ide的动态调度和用户认证方法 |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1141678C (zh) * | 2000-08-31 | 2004-03-10 | 优硕资讯科技股份有限公司 | 可防止电子文件盗版的方法及其系统 |
JP4946564B2 (ja) * | 2007-03-27 | 2012-06-06 | 富士通株式会社 | 認証処理方法及びシステム |
US8019995B2 (en) * | 2007-06-27 | 2011-09-13 | Alcatel Lucent | Method and apparatus for preventing internet phishing attacks |
US9594911B1 (en) * | 2012-09-14 | 2017-03-14 | EMC IP Holding Company LLC | Methods and apparatus for multi-factor authentication risk detection using beacon images |
TWM508729U (zh) * | 2015-04-09 | 2015-09-11 | guan-hong Lin | 應用於物聯裝置之網路安全防護模組 |
TWI547823B (zh) * | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
WO2018004600A1 (en) * | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
TWI592824B (zh) | 2016-07-12 | 2017-07-21 | 優碩資訊科技股份有限公司 | 能保護檔案的資料處理系統 |
US10853511B2 (en) * | 2018-03-19 | 2020-12-01 | Salesforce.Com, Inc. | Securely accessing and processing data in a multi-tenant data store |
-
2018
- 2018-07-13 TW TW107124198A patent/TWI676115B/zh active
-
2019
- 2019-07-12 US US16/510,377 patent/US11258793B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11258793B2 (en) | 2022-02-22 |
US20200021587A1 (en) | 2020-01-16 |
TWI676115B (zh) | 2019-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9203815B1 (en) | Systems and methods for secure third-party data storage | |
US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
US9635017B2 (en) | Computer network security management system and method | |
US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
CN109361753A (zh) | 一种物联网系统架构与加密方法 | |
CN111797418B (zh) | 在线服务的控制方法、装置、服务终端、服务器和存储介质 | |
US10873497B2 (en) | Systems and methods for maintaining communication links | |
JP4437043B2 (ja) | コンピュータと通信ネットワークとの間のアクセスを自動的に制御する方法および装置 | |
TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
CN115486030A (zh) | 流氓证书检测 | |
CN112653664A (zh) | 一种网络之间高安全可靠的数据交换系统及方法 | |
TWI676115B (zh) | 用以管控與雲端服務系統認證之系統及方法 | |
CN114244568A (zh) | 基于终端访问行为的安全接入控制方法、装置和设备 | |
CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
CN103685134A (zh) | Wlan网络资源访问控制方法及装置 | |
CN115720171A (zh) | 一种安全智能网关系统、数据传输方法 | |
CN115277237A (zh) | 移动终端接入企业内网的控制方法及装置 | |
CN114254352A (zh) | 一种数据安全传输系统、方法和装置 | |
US10567387B1 (en) | Systems and methods for managing computing device access to local area computer networks | |
KR102664208B1 (ko) | 사용자 네트워크 프로파일 기반 서비스 제공 방법 | |
KR102627397B1 (ko) | 동적 포트를 이용한 역방향 네트워크 접속 시스템 | |
CN116074125B (zh) | 一种端到端的密码中台零信任安全网关系统 | |
KR101314695B1 (ko) | 전산망 보안 관리 시스템, 격실 서버, 및 보안 방법 | |
CN113271285B (zh) | 接入网络的方法和装置 |