TW202326492A - 處理存取控制的裝置、方法及系統 - Google Patents

處理存取控制的裝置、方法及系統 Download PDF

Info

Publication number
TW202326492A
TW202326492A TW110149027A TW110149027A TW202326492A TW 202326492 A TW202326492 A TW 202326492A TW 110149027 A TW110149027 A TW 110149027A TW 110149027 A TW110149027 A TW 110149027A TW 202326492 A TW202326492 A TW 202326492A
Authority
TW
Taiwan
Prior art keywords
administrator
request message
module
remote
access
Prior art date
Application number
TW110149027A
Other languages
English (en)
Other versions
TWI795148B (zh
Inventor
高啟原
劉晉廷
蔡岳庭
Original Assignee
四零四科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 四零四科技股份有限公司 filed Critical 四零四科技股份有限公司
Priority to TW110149027A priority Critical patent/TWI795148B/zh
Priority to US17/680,254 priority patent/US20230208838A1/en
Priority to CN202211206548.2A priority patent/CN116366274A/zh
Priority to EP22206822.3A priority patent/EP4207682A1/en
Application granted granted Critical
Publication of TWI795148B publication Critical patent/TWI795148B/zh
Publication of TW202326492A publication Critical patent/TW202326492A/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2582NAT traversal through control of the NAT server, e.g. using universal plug and play [UPnP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一種管理裝置,包含有一第一認證模組,用來接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定;一授權模組,用來當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定;一通訊模組,用來當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置;以及一整合模組,用來當該第二決定為是時,傳送用來設定一通訊埠轉發的一第三請求訊息到該網路裝置。

Description

處理存取控制的裝置、方法及系統
本發明相關於一種裝置、方法及系統,尤指一種處理存取控制的裝置、方法及系統。
在網路中,當裝置管理員存取遠端裝置時,裝置管理員及遠端裝置皆連結到虛擬私人網路(virtual private network,VPN),以及根據遠端裝置的存取資訊(例如密碼),裝置管理員存取遠端裝置。然而,在遠端裝置的數量日益增加的情況下,遠端裝置的存取資訊的數量也隨之增加,使得存取資訊的管理成本大幅增加。為了節省管理成本,多個遠端裝置可被預先設定有相同或相關的存取資訊。在此情況下,當虛擬私人網路的存取資訊被竊取時,多個遠端裝置的存取資訊容易一併地被獲取而使得多個遠端裝置皆暴露在非法存取的風險中,進而使得網路的安全性大幅降低。因此,如何存取遠端裝置以改善網路的安全性是一亟待解決的問題。
本發明提供了一種裝置、方法及系統,用來處理存取控制,以解決上述問題。
本發明揭露一種管理裝置,用來處理存取控制(access control),包含有:一第一認證(authentication)模組,用來接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定;一授權(authorization)模組,耦接於該第一認證模組,用來當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定;一通訊模組,耦接於該授權模組,用來當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置;以及一整合(integration)模組,耦接於該授權模組,用來當該第二決定為是時,傳送用來設定一通訊埠轉發(port forwarding)的一第三請求訊息到該網路裝置。
本發明另揭露一種處理存取控制的方法,用於一管理裝置,該方法包含有:接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定;當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定;當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置;以及當該第二決定為是時,傳送用來設定一通訊埠轉發的一第三請求訊息到該網路裝置。
本發明另揭露一種處理存取控制的系統,包含有:一管理裝置,包含有一第一認證模組,用來接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定;一授權模組,耦接於該第一認證模組,用來當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定;一通訊模組,耦接於該授權模組,用來當該第二決定為是時以及當決定與一網路裝置建立一第一連結時,傳送用來與該網路裝置建立該第一連結的一第二請求訊息到該遠端裝置;以及一整合模組,耦接於該授權模組,用來當該第二決定為是時,傳送用來設定一通訊埠轉發的一第三請求訊息到該網路裝置;以及一網路裝置,包含有一連線模組,用來從該遠端裝置,接收用來建立一第二連結的一第四請求訊息,以及根據該第四請求訊息,建立與該遠端裝置的該第二連結;一整合模組,耦接於該連線模組,用來從該管理裝置,接收用來設定到該遠端裝置的該通訊埠轉發的該第三請求訊息,以及根據該第三請求訊息,建立該通訊埠轉發,以及傳送一第一路徑到該管理裝置,以回應該第三請求訊息;以及一網路服務模組,耦接於該整合模組,用來從該管理員裝置,接收用來存取該遠端裝置的一第五請求訊息,以及根據該第五請求訊息,執行與該遠端裝置的一應用層級服務。
第1圖為本發明實施例一網路10的示意圖。網路10可包含有一外部網路(internet)100、一防火牆(firewall)110及一內部網路(intranet)120。如第1圖所示,透過防火牆110,網路10可被區隔為外部網路100及內部網路120。詳細來說,外部網路100可為公眾網路(public network),其可包含有一管理員裝置1000、一管理裝置1002及一網路裝置1004。管理員裝置1000可為裝置管理員(administrator)使用的通訊裝置。管理裝置1002可為通訊裝置,其可用來處理存取控制。網路裝置1004可為虛擬私人網路伺服器(virtual private network server,VPN server),其可用來建立虛擬私人網路(virtual private network,VPN),例如延伸內部網路120,以使得外部網路100及內部網路120中的裝置可透過外部網路100來進行資料的傳送及接收。防火牆110可為網路10中的安全裝置,其可用來區隔不同的網路(例如外部網路100及內部網路120)以及可用來管理(例如控制)內部網路120中資料的傳送及接收,以確保內部網路120的安全性。內部網路120可為私有網路,其可包含有一遠端裝置1200。遠端裝置1200可為通訊裝置。
上述通訊裝置可包含有用戶端(user equipment,UE)、低成本裝置(例如機器型態通訊(machine type communication,MTC))、裝置對裝置(device-to-device,D2D)通訊裝置、窄頻物聯網(narrow-band IoT,NB-IoT)裝置、電力裝置、伺服器、行動電話、各種類型的電腦(例如桌上型電腦、筆記型電腦、平板電腦)、電子書及可攜式電腦系統,或上述裝置的組合,但不限於此。
第2圖為本發明實施例一管理裝置20的示意圖,可用於實現第1圖的管理裝置1002,用於處理存取控制。管理裝置20可包含有一第一認證(authentication)模組(module)200、一授權(authorization)模組210、一通訊模組220及一整合(integration)模組230。詳細來說,第一認證模組200可從管理員裝置(例如第1圖的管理員裝置1000)接收第一資訊,以及根據第一資訊,第一認證模組200可執行管理員裝置是否為正確的第一決定。授權模組210可耦接於第一認證模組200,當第一決定為是(即管理員裝置為正確的)時以及當從管理員裝置接收用來存取遠端裝置(例如第1圖的遠端裝置1200)的第一請求訊息時,授權模組210可執行管理員裝置是否包含有遠端裝置的存取資格的第二決定。通訊模組220可耦接於授權模組210,當第二決定為是(即管理員裝置包含有遠端裝置的存取資格)時以及當通訊模組220決定與網路裝置(例如第1圖的網路裝置1004)建立連結時,通訊模組220可傳送用來與網路裝置建立連結的第二請求訊息到遠端裝置。整合模組230可耦接於授權模組210或通訊模組220,當第二決定為是時,整合模組230可傳送用來設定通訊埠轉發(port forwarding)的第三請求訊息到網路裝置。
在一實施例中,第一資訊可包含有(例如為)管理員裝置存取管理裝置20的帳戶名稱及密碼。在一實施例中,透過開啟瀏覽器、在瀏覽器上連結到管理裝置20,以及輸入管理裝置20的帳戶名稱及密碼,管理員裝置可存取管理裝置20。在一實施例中,第一認證模組200可建立管理員裝置的帳戶,以及可在管理員裝置的帳戶中儲存管理員裝置的資訊,例如帳戶名稱、密碼、憑證(certificate)、電子郵件位址或手機號碼,但不限於此。在一實施例中,第一認證模組200可建立網路10中的複數個管理員裝置的複數個帳戶,以及可在複數個帳戶中儲存複數個管理員裝置的資訊。在一實施例中,第一認證模組200可比對第一資訊及其儲存的複數個管理員裝置的資訊,當前者與後者具有相同的帳戶名稱及密碼時,第一認證模組200可執行管理員裝置為正確的第一決定。
在一實施例中,第一認證模組200可包含有一第二認證模組。當第一決定為是時,根據第一認證模組200的配置(configuration),第二認證模組可決定是否對管理員裝置執行多重因素認證(multi factor authentication,MFA)。也就是說,除了透過管理員裝置的帳戶名稱及密碼,第一認證模組200可另透過其它一或多種因素來決定管理員裝置是否為正確的。在一實施例中,透過傳送簡訊到管理員裝置,第二認證模組可對管理員裝置執行多重因素認證。詳細來說,第二認證模組可傳送簡訊(例如包含有驗證碼)到管理員裝置,根據簡訊,管理員裝置可傳送對應的資訊(例如驗證碼)到第二認證模組,以回應簡訊,第二認證模組可比對簡訊及管理員裝置傳送的資訊,當二者相對應(例如驗證碼相同)時,第二認證模組可決定管理員裝置為正確的。在一實施例中,透過簡訊、生物辨識(例如掃描指紋或虹膜等生物特徵)、驗證碼應用程式(例如輸入應用程式中的驗證碼)、其它可認證管理員裝置的方式或上述方式的組合,第二認證模組可對管理員裝置執行多重因素認證。
在一實施例中,從管理員裝置,授權模組210可接收第一請求訊息。在一實施例中,存取資格可包含有存取遠端裝置的存取權限、在允許的時間(例如09:00~18:00)中存取遠端裝置以及在允許的區域(例如國家或城市)中存取遠端裝置中至少一者。在一實施例中,授權模組210可建立管理員裝置的存取資格,以及可在管理員裝置的帳戶中儲存管理員裝置的存取資格。在一實施例中,授權模組210可建立網路10中複數個管理員裝置的存取資格,以及可在複數個帳戶中儲存複數個管理員裝置的存取資格。在一實施例中,授權模組210可根據管理員裝置的資訊,在其儲存的複數個管理員裝置的存取資格中,獲得(例如搜尋到)管理員裝置的存取資格。授權模組210可比對管理員裝置所要存取的遠端裝置、存取遠端裝置的時間及存取遠端裝置的區域與管理員裝置的存取資格,當二者相符合(例如具有所要存取的遠端裝置的存取權限、存取遠端裝置的時間為在允許的時間中、存取遠端裝置的區域為在允許的區域中)時,授權模組210可執行管理員裝置包含有遠端裝置的存取資格的第二決定。
在一實施例中,當第一決定為是時,授權模組210可執行管理員裝置是否包含有遠端裝置的存取權限的第三決定,以及當第三決定為是時,授權模組210可傳送遠端裝置的第二資訊到管理員裝置。第二資訊可包含有遠端裝置的識別(identity)(例如遠端裝置的名稱)。在一實施例中,在管理員裝置的瀏覽器上,遠端裝置的識別可被顯示。
在一實施例中,當與網路裝置未建立(例如不存在有)連結時,通訊模組220可決定與網路裝置建立連結。當與網路裝置已建立(例如存在有)連結時,通訊模組220可決定與網路裝置不建立連結。也就是說,當與網路裝置存在有先前建立的連結時,透過先前建立的連結,通訊模組220可與網路裝置進行資料的傳送及接收,通訊模組220可不須再與網路裝置重新建立連結。在一實施例中,第二請求訊息可包含有網路裝置的網際網路協議位址(Internet Protocol Address,IP Address)。在一實施例中,第二請求訊息可包含有用來與網路裝置建立連結需要的資料。
在一實施例中,透過用於訊息傳輸的通訊協定(例如訊息佇列遙測傳輸(Message Queuing Telemetry Transport ,MQTT)、先進訊息佇列協議(Advanced Message Queuing Protocol,AMQP)或受限應用協議(Constrained Application Protocol,CoAP),但不限於此),通訊模組220可傳送第二請求訊息到遠端裝置,以及通訊模組220可接收遠端裝置傳送的回應訊息。在上述實施例中,通訊模組220可包含有(例如安裝有)訊息佇列遙測傳輸代理人(MQTT broker)應用程式,以及可建立遠端裝置的識別(例如客戶端識別(client ID))以及用來與遠端裝置建立連結需要的資料,例如客戶端機密(client secret)或憑證,但不限於此。此外,遠端裝置可包含有(例如安裝有)訊息佇列遙測傳輸客戶端(MQTT client)應用程式,以及可輸入遠端裝置的識別(例如從通訊模組220接收)以及用來與遠端裝置建立連結需要的資料。通訊模組220與遠端裝置之間的防火牆(例如第1圖的防火牆110)可開啟用於訊息佇列遙測傳輸的通訊埠(例如通訊埠8883)。當啟動訊息佇列遙測傳輸客戶端應用程式時,遠端裝置可連結到通訊模組220的訊息佇列遙測傳輸代理人應用程式,以建立連結。在連結建立完成的情況下,通訊模組220與網路裝置可進行資料的傳送及接收。
在一實施例中,第三請求訊息可包含有管理員裝置的來源(source)網際網路協議位址,並被決定(例如設定)為管理員裝置的外部(external)網際網路協議位址。也就是說,透過管理員裝置的來源網際網路協議位址,管理員裝置可存取網路裝置。在一實施例中,第三請求訊息包含有管理員裝置的目的地(destination)網際網路協議位址,並被決定為遠端裝置的網際網路協議位址。在一實施例中,第三請求訊息包含有管理員裝置的目的地通訊埠,並被決定為遠端裝置的通訊埠(例如安全外殼協定(secure shell,SSH)通訊埠22))。
在一實施例中,整合模組230可傳送用來中斷遠端裝置與網路裝置的連結的第四請求訊息到網路裝置。在一實施例中,整合模組230可傳送用來移除網路裝置的通訊埠轉發的配置(configuration)的第五請求訊息到網路裝置。在一實施例中,整合模組230可傳送用來使網路裝置回傳存取網路裝置的裝置列表及其連結資料的第六請求訊息到網路裝置。在一實施例中,整合模組230可傳送用來回應網路裝置請求驗證(verify)管理員裝置的回應訊息到網路裝置。
在一實施例中,整合模組230可從網路裝置接收第一路徑,以回應第三請求訊息。根據第一路徑及存取權杖(access token),整合模組230可產生第二路徑,以及傳送第二路徑到管理員裝置。在一實施例中,根據網路裝置的憑證,管理裝置20可產生存取權杖。舉例來說,藉由使用網路裝置的憑證,管理裝置20可加密資料以產生存取權杖。在一實施例中,憑證可包含有公鑰(public key)憑證,例如X.509,但不限於此。在一實施例中,第一路徑及第二路徑可包含有統一資源定位符(uniform resource locator,URL),但不限於此。
在一實施例中,透過在瀏覽器上開啟(例如輸入)第二路徑,管理員裝置可連結到網路裝置的網路應用程序服務(Web App service)。在一實施例中,網路裝置可決定管理員裝置是否為正確的。舉例來說,透過網路應用程序服務,網路裝置可傳送用來驗證管理員裝置是否為正確的第七請求訊息到管理裝置(例如請求管理裝置比對管理員裝置的網際網路協議位址是否在允許的清單中)。此外,根據網路裝置的私鑰(private key)及存取權杖,網路裝置可產生資料。舉例來說,藉由使用網路裝置的私鑰,網路裝置解密存取權杖以產生資料。網路裝置可比對資料及第二路徑。在一實施例中,資料可包含有管理裝置的交談識別碼(session ID),網路裝置可比對交談識別碼與第二路徑是否相同。在一實施例中,資料可包含有存取權杖的有效時間,網路裝置可比對存取權杖的有效時間與管理員裝置存取遠端裝置的時間是否相符(例如後者是否在前者的期間),以避免管理員裝置使用有效時間已逾期的路徑來存取遠端裝置。在一實施例中,資料可包含有存取權杖的更新路徑,其可供網路裝置當存取權杖的有效時間到期時,傳送用來申請更新的(例如在有效時間內的)存取權杖的第八請求訊息到管理裝置。當網路裝置完成驗證(例如管理員裝置為正確的)及比對(例如比對的結果為相同或相符)時,網路裝置可決定管理員裝置為正確的。
在一實施例中,當網路裝置決定管理員裝置為正確的時,透過網路應用程序服務,網路裝置可連結到遠端裝置,以及提供應用層級服務(例如安全外殼協定)到遠端裝置。
在上述實施例中,透過用於安全通訊的傳輸協定(例如超文字傳輸安全協定(HyperText Transfer Protocol Secure,HTTPS)或傳輸層安全性協定(Transport Layer Security,TLS)),管理員裝置與管理裝置可進行資料的傳送及接收。
在一實施例中,管理裝置20可包含有一作業稽核模組。作業稽核模組可耦接於整合模組230,以及可用來儲存管理員裝置存取遠端裝置的紀錄(例如在作業稽核日誌中)。在一實施例中,管理員裝置存取遠端裝置的紀錄可包含有上述實施例中的所有運作。
第3圖為本發明實施例一網路裝置30的示意圖,可用於實現第1圖的網路裝置1004,用於處理存取控制,用於處理存取控制。網路裝置30可包含有一連線模組300、一整合模組310及一網路服務模組320。詳細來說,從遠端裝置(例如第1圖的遠端裝置1200),連線模組300可接收用來建立連結的第九請求訊息,以及根據第九請求訊息,連線模組300可建立與遠端裝置的連結。也就是說,連線模組300與遠端裝置的通道(tunnel)可被建立,以及連線模組300與遠端裝置可透過通道進行資料的傳送及接收。整合模組310可耦接於連線模組300,以及從管理裝置(例如第1圖的管理裝置1002),整合模組310可接收用來設定到遠端裝置的通訊埠轉發的第十請求訊息。根據第十請求訊息,整合模組310可建立通訊埠轉發以及可傳送第一路徑到管理裝置,以回應第十請求訊息。網路服務模組320可耦接於整合模組310,以及從管理員裝置(例如第1圖的管理員裝置1000),網路服務模組320可接收用來存取遠端裝置的第十一請求訊息。根據第十一請求訊息,網路服務模組320可執行與遠端裝置的應用層級服務。
在一實施例中,當未從遠端裝置接收用來建立連結的第九請求訊息,連線模組300可等待接收用來建立連結的第九請求訊息。在一實施例中,從管理裝置,連線模組300可接收用來中斷與遠端裝置的連結的第四請求訊息。根據第四請求訊息,連線模組300可中斷與遠端裝置的連結。在一實施例中,從管理裝置,整合模組310可接收用來移除網路裝置的通訊埠轉發的配置的第五請求訊息。根據第五請求訊息,整合模組310可移除網路裝置的通訊埠轉發的配置。在一實施例中,從管理裝置,整合模組310可接收用來使網路裝置回傳存取網路裝置的裝置列表及其連結資料的第六請求訊息。根據第六請求訊息,整合模組310可回傳存取網路裝置的裝置列表及其連結資料到管理裝置。在一實施例中,整合模組310可傳送用來驗證管理員裝置是否為正確的第七請求訊息到管理裝置。
前述管理裝置20的運作可歸納為第4圖的一流程40。流程40可被用來實現管理裝置20,以及包含有以下步驟:
步驟400:開始。
步驟402:接收(例如一管理員裝置的)一第一資訊,以及根據該第一資訊,執行該管理員裝置是否為正確的一第一決定。
步驟404:當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定。
步驟406:當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置。
步驟408:當該第二決定為是時,傳送用來設定一通訊埠轉發的一第三請求訊息到該網路裝置。
步驟410:結束。
流程40可被用來說明管理裝置20的運作。流程40的詳細內容及變化可參考前述,在此不贅述。
前述網路裝置30的運作可歸納為第5圖的一流程50。流程50可被用來實現網路裝置30,以及包含有以下步驟:
步驟500:開始。
步驟502:從一遠端裝置,接收用來建立一連結的一第九請求訊息,以及根據該第九請求訊息,建立與該遠端裝置的該連結。
步驟504:從一管理裝置,接收用來設定到該遠端裝置的一通訊埠轉發的一第十請求訊息,以及根據該第十請求訊息,建立該通訊埠轉發以及傳送一第一路徑到該管理裝置,以回應該第十請求訊息。
步驟506:從該管理員裝置,接收用來存取該遠端裝置的一第十一請求訊息,以及根據該第十一請求訊息,執行與該遠端裝置的一應用層級服務。
步驟508:結束。
流程50可被用來說明網路裝置30的運作。流程50的詳細內容及變化可參考前述,在此不贅述。
上述的第十請求訊息與前述第三請求訊息可為相同的訊息。
上述的用語編號,例如「第一」、「第二」、...、「第十一」僅是用來區別相似的用語,而非用來限制用語的出現順序。
上述的用語「包含有」可被取代為「為」。上述的「決定」的運作可被取代為「運算(compute)」、「計算(calculate)」、「獲得(obtain)」、「產生(generate)」、「輸出(output)」、或「使用(use)」。上述的用語「根據(according to)」可被取代為「藉由使用(by using)」。上述的用語「透過(via)」可被取代為「在...之上(on)」或「在...之中(in)」。
本領域具通常知識者當可依本發明的精神加以結合、修飾及/或變化以上所述的實施例,而不限於此。前述的陳述、模組及/或流程(包含建議步驟)可透過裝置實現,裝置可為硬體、軟體、韌體(為硬體裝置與電腦指令與資料的結合,且電腦指令與資料屬於硬體裝置上的唯讀軟體)、電子系統、或上述裝置的組合。本發明的實現方式可為管理裝置20。管理裝置20(及其中的第一認證模組200、授權模組210、通訊模組220及整合模組230)的實現方式可有很多種。舉例來說,可將上述模組整合為一或多個模組。本發明的實現方式可為網路裝置30。網路裝置30(及其中的連線模組300、整合模組310及網路服務模組320)的實現方式可有很多種。舉例來說,可將上述模組整合為一或多個模組。本發明的實現方式可為管理員裝置1000、管理裝置1002、網路裝置1004、防火牆110及遠端裝置1200中一或多種裝置及其組合。
硬體的實施例可包含有類比電路、數位電路及/或混合電路。舉例來說,硬體可包含有特定應用積體電路(application-specific integrated circuit(s),ASIC(s))、場域可程式化閘陣列(field programmable gate array(s),FPGA(s))、可程式化邏輯裝置(programmable logic device(s))、耦合硬體元件(coupled hardware components)、或上述裝置的組合。在一實施例中,硬體包含有通用處理器(general-purpose processor(s))、微處理器(microprocessor(s))、控制器(controller(s))、數位訊號處理器(digital signal processor(s),DSP(s))、或上述裝置的組合。
軟體的實施例可包含有程式代碼的集合、指令的集合及/或函數的集合,其可被保留(例如存儲)在存儲單元,例如電腦可讀取介質(computer-readable medium)中。電腦可讀取介質可包含有用戶識別模組(Subscriber Identity Module,SIM)、唯讀式記憶體(Read-Only Memory,ROM)、快閃記憶體(flash memory)、隨機存取記憶體(Random-Access Memory,RAM)、CD-ROM/DVD-ROM/BD-ROM、磁帶(magnetic tape)、硬碟(hard disk)、光學資料儲存裝置(optical data storage device)、非揮發性儲存裝置(non-volatile storage device)、或上述裝置的組合。電腦可讀取介質(例如存儲單元)可在內部(例如集成(integrate))或外部(例如分離(separate))耦合到至少一處理器。包含有一個或多個模組的至少一個處理器可(例如被配置為)執行電腦可讀取介質中的軟體。程式代碼的集合、指令的集合及/或函數的集合可使至少一處理器、模組、硬體及/或電子系統執行相關步驟。
綜上所述,本發明提供了一種處理存取控制的裝置及方法。與習知技術相比,本發明的裝置管理員無法僅根據遠端裝置的存取資訊來存取遠端裝置,而須透過管理裝置及網路裝置來存取遠端裝置。如此一來,網路的安全性可被改善。 以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
10:網路 100:外部網路 1000:管理員裝置 1002:管理裝置 1004:網路裝置 110:防火牆 120:內部網路 1200:遠端裝置 20:管理裝置 200:第一認證模組 210:授權模組 220:通訊模組 230:整合模組 30:網路裝置 300:連線模組 310:整合模組 320:網路服務模組 40、50:流程 400、402、404、406、408、410、500、502、504、506、508:步驟
第1圖為本發明實施例一網路的示意圖。 第2圖為本發明實施例一管理裝置的示意圖。 第3圖為本發明實施例一網路裝置的示意圖。 第4圖為本發明實施例一流程的流程圖。 第5圖為本發明實施例一流程的流程圖。
20:管理裝置
200:第一認證模組
210:授權模組
220:通訊模組
230:整合模組

Claims (26)

  1. 一種管理裝置,用來處理存取控制(access control),包含有: 一第一認證(authentication)模組,用來接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定; 一授權(authorization)模組,耦接於該第一認證模組,用來當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定; 一通訊模組,耦接於該授權模組,用來當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置;以及 一整合(integration)模組,耦接於該授權模組,用來當該第二決定為是時,傳送用來設定一通訊埠轉發(port forwarding)的一第三請求訊息到該網路裝置。
  2. 如請求項1所述的管理裝置,其中該第一資訊包含有該管理員裝置存取該管理裝置的一帳戶名稱及一密碼。
  3. 如請求項1所述的管理裝置,其中該第一認證模組包含有: 一第二認證模組,用來當該第一決定為是時,決定是否對該管理員裝置執行一多重因素認證(multi factor authentication,MFA)。
  4. 如請求項1所述的管理裝置,其中該第一請求訊息來自該管理員裝置。
  5. 如請求項1所述的管理裝置,其中該存取資格包含有存取該遠端裝置的一存取權限、在一允許的時間中存取該遠端裝置以及在一允許的區域中存取該遠端裝置中至少一者。
  6. 如請求項1所述的管理裝置,其中該授權模組另用以執行以下運作: 當該第一決定為是時,執行該管理員裝置是否包含有該遠端裝置的一存取權限的一第三決定;以及 當該第三決定為是時,傳送該遠端裝置的一第二資訊到該管理員裝置,其中該第二資訊包含有該遠端裝置的一識別(identity)。
  7. 如請求項1所述的管理裝置,其中該通訊模組另用以執行以下運作: 當與該網路裝置未建立該連結時,決定與該網路裝置建立該連結。
  8. 如請求項1所述的管理裝置,其中該第二請求訊息包含有該網路裝置的一網際網路協議位址(Internet Protocol Address,IP Address)。
  9. 如請求項1所述的管理裝置,其中該第三請求訊息包含有以下資訊中至少一資訊:該管理員裝置的一來源(source)網際網路協議位址、該管理員裝置的一目的地(destination)網際網路協議位址或該管理員裝置的一目的地通訊埠(port),其中該管理員裝置的該來源網際網路協議位址被決定為該管理員裝置的一外部(external)網際網路協議位址、該管理員裝置的該目的地網際網路協議位址被決定為該遠端裝置的一網際網路協議位址,或者該管理員裝置的該目的地通訊埠被決定為該遠端裝置的一通訊埠。
  10. 如請求項1所述的管理裝置,其中該整合模組另用以執行以下運作: 從該網路裝置接收一第一路徑,以回應該第三請求訊息;以及 根據該第一路徑及一存取權杖(access token),產生一第二路徑,以及傳送該第二路徑到該管理員裝置。
  11. 如請求項10所述的管理裝置,其中該存取權杖是根據該網路裝置的一憑證(certificate)所產生。
  12. 如請求項1所述的管理裝置,另包含有: 一作業稽核模組,耦接於該整合模組,用來儲存該管理員裝置存取該遠端裝置的一紀錄。
  13. 如請求項1所述的管理裝置,其中該網路裝置包含有一虛擬私人網路伺服器(virtual private network server,VPN server)。
  14. 一種處理存取控制(access control)的方法,用於一管理裝置,該方法包含有: 接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定; 當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定; 當該第二決定為是時以及當決定與一網路裝置建立一連結時,傳送用來與該網路裝置建立該連結的一第二請求訊息到該遠端裝置;以及 當該第二決定為是時,傳送用來設定一通訊埠轉發(port forwarding)的一第三請求訊息到該網路裝置。
  15. 如請求項14所述的方法,其中該第一資訊包含有該管理員裝置存取該管理裝置的一帳戶名稱及一密碼。
  16. 如請求項14所述的方法,另包含有: 當該第一決定為是時,決定是否對該管理員裝置執行一多重因素認證(multi factor authentication,MFA)。
  17. 如請求項14所述的方法,另包含有: 從該管理員裝置,接收該第一請求訊息。
  18. 如請求項14所述的方法,其中該存取資格包含有存取該遠端裝置的一存取權限、在一允許的時間中存取該遠端裝置以及在一允許的區域中存取該遠端裝置中至少一者。
  19. 如請求項14所述的方法,另包含有: 當該第一決定為是時,執行該管理員裝置是否包含有該遠端裝置的一存取權限的一第三決定;以及 當該第三決定為是時,傳送該遠端裝置的一第二資訊到該管理員裝置,其中該第二資訊包含有該遠端裝置的一識別(identity)。
  20. 如請求項14所述的方法,另包含有: 當與該網路裝置未建立該連結時,決定與該網路裝置建立該連結。
  21. 如請求項14所述的方法,其中該第二請求訊息包含有該網路裝置的一網際網路協議位址(Internet Protocol Address,IP Address)。
  22. 如請求項14所述的方法,其中該第三請求訊息包含有以下資訊中至少一資訊:該管理員裝置的一來源(source)網際網路協議位址、該管理員裝置的一目的地(destination)網際網路協議位址或該管理員裝置的一目的地通訊埠(port),其中該管理員裝置的該來源網際網路協議位址被決定為該管理員裝置的一外部(external)網際網路協議位址、該管理員裝置的該目的地網際網路協議位址被決定為該遠端裝置的一網際網路協議位址,或者該管理員裝置的該目的地通訊埠被決定為該遠端裝置的一通訊埠。
  23. 如請求項14所述的方法,另包含有: 從該網路裝置接收一第一路徑,以回應該第三請求訊息;以及 根據該第一路徑及一存取權杖(access token),產生一第二路徑,以及傳送該第二路徑到該管理員裝置。
  24. 如請求項23所述的方法,另包含有: 根據該網路裝置的一憑證(certificate),產生該存取權杖。
  25. 如請求項14所述的方法,另包含有: 儲存該管理員裝置存取該遠端裝置的一紀錄。
  26. 一種處理存取控制(access control)的系統,包含有: 一管理裝置及一網路裝置,其中該管理裝置包含有: 一第一認證(authentication)模組,用來接收一第一資訊,以及根據該第一資訊,執行一管理員裝置是否為正確的一第一決定; 一授權(authorization)模組,耦接於該第一認證模組,用來當該第一決定為是時以及當接收用來存取一遠端裝置的一第一請求訊息時,執行該管理員裝置是否包含有該遠端裝置的一存取資格的一第二決定; 一通訊模組,耦接於該授權模組,用來當該第二決定為是時以及當決定與該網路裝置建立一第一連結時,傳送用來與該網路裝置建立該第一連結的一第二請求訊息到該遠端裝置;以及 一整合(integration)模組,耦接於該授權模組,用來當該第二決定為是時,傳送用來設定一通訊埠轉發(port forwarding)的一第三請求訊息到該網路裝置;以及 該網路裝置,包含有: 一連線模組,用來從該遠端裝置,接收用來建立一第二連結的一第四請求訊息,以及根據該第四請求訊息,建立與該遠端裝置的該第二連結; 一整合模組,耦接於該連線模組,用來從該管理裝置,接收用來設定到該遠端裝置的該通訊埠轉發的該第三請求訊息,以及根據該第三請求訊息,建立該通訊埠轉發,以及傳送一第一路徑到該管理裝置,以回應該第三請求訊息;以及 一網路服務模組,耦接於該整合模組,用來從該管理員裝置,接收用來存取該遠端裝置的一第五請求訊息,以及根據該第五請求訊息,執行與該遠端裝置的一應用層級服務。
TW110149027A 2021-12-28 2021-12-28 處理存取控制的裝置、方法及系統 TWI795148B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW110149027A TWI795148B (zh) 2021-12-28 2021-12-28 處理存取控制的裝置、方法及系統
US17/680,254 US20230208838A1 (en) 2021-12-28 2022-02-24 Device, Method and System of Handling Access Control
CN202211206548.2A CN116366274A (zh) 2021-12-28 2022-09-30 处理访问控制的装置、方法及系统
EP22206822.3A EP4207682A1 (en) 2021-12-28 2022-11-11 Device, method and system of handling access control

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW110149027A TWI795148B (zh) 2021-12-28 2021-12-28 處理存取控制的裝置、方法及系統

Publications (2)

Publication Number Publication Date
TWI795148B TWI795148B (zh) 2023-03-01
TW202326492A true TW202326492A (zh) 2023-07-01

Family

ID=84331861

Family Applications (1)

Application Number Title Priority Date Filing Date
TW110149027A TWI795148B (zh) 2021-12-28 2021-12-28 處理存取控制的裝置、方法及系統

Country Status (4)

Country Link
US (1) US20230208838A1 (zh)
EP (1) EP4207682A1 (zh)
CN (1) CN116366274A (zh)
TW (1) TWI795148B (zh)

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1643691B1 (en) * 2003-07-04 2007-12-05 Nippon Telegraph and Telephone Corporation Remote access vpn mediation method and mediation device
CN101610155A (zh) * 2009-07-20 2009-12-23 成都市华为赛门铁克科技有限公司 远程授权方法、装置及系统
TWI445388B (zh) * 2009-07-28 2014-07-11 Chunghwa Telecom Co Ltd Remote control system and method for user communication terminal equipment
WO2013020207A1 (en) * 2012-01-30 2013-02-14 Martello Technologies Corporation Method and system for providing secure external client access to device or service on a remote network
US9152388B2 (en) * 2013-03-15 2015-10-06 Sap Se Tailored language sets for business level scripting
TW201509151A (zh) * 2013-08-30 2015-03-01 Ibm 具安全防護連結之遠端診斷的方法與電腦程式產品及實施該方法之資訊設備
US9148408B1 (en) * 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
TWM534941U (zh) * 2016-07-06 2017-01-01 國泰人壽保險股份有限公司 遠端連線管理系統
US10880292B2 (en) * 2018-06-28 2020-12-29 Oracle International Corporation Seamless transition between WEB and API resource access
KR20210038207A (ko) * 2019-09-30 2021-04-07 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. 로그인 기반 장치 데이터 동기화
US11334655B2 (en) * 2019-11-19 2022-05-17 Micron Technology, Inc. Authenticating a device using a remote host
WO2021174264A1 (en) * 2020-02-27 2021-09-02 Vietnam Onyx Joint Stock Company Method for remotely activating a remote lock system using cryptography and the remote lock system for implementing the method
CN113543135B (zh) * 2020-04-13 2023-07-11 华为技术有限公司 授权方法、策略控制功能设备和接入和移动管理功能设备

Also Published As

Publication number Publication date
EP4207682A1 (en) 2023-07-05
US20230208838A1 (en) 2023-06-29
TWI795148B (zh) 2023-03-01
CN116366274A (zh) 2023-06-30

Similar Documents

Publication Publication Date Title
EP3691215B1 (en) Access token management method, terminal and server
US8532620B2 (en) Trusted mobile device based security
US10136315B2 (en) Password-less authentication system, method and device
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
US9130935B2 (en) System and method for providing access credentials
KR101202671B1 (ko) 사용자가 가입자 단말에서 단말 장치에 원격으로 접속할 수있게 하기 위한 원격 접속 시스템 및 방법
CA2689847C (en) Network transaction verification and authentication
RU2542911C2 (ru) Установление однорангового сеанса с малым временем ожидания
US9264420B2 (en) Single sign-on for network applications
US20090319776A1 (en) Techniques for secure network communication
CN106576041A (zh) 客户端与服务器之间相互验证的方法
WO2019062666A1 (zh) 一种实现安全访问内部网络的系统、方法和装置
US10805083B1 (en) Systems and methods for authenticated communication sessions
CN112688773A (zh) 一种令牌的生成和校验方法及装置
WO2009129753A1 (zh) 提高网络身份认证安全性的方法和装置
CN111034118A (zh) 第三方网络中的安全委托凭证
US20060122936A1 (en) System and method for secure publication of online content
US11463429B2 (en) Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow
CN109460647B (zh) 一种多设备安全登录的方法
CN111327634A (zh) 网站访问监管方法、安全套接层代理装置、终端及系统
TWI795148B (zh) 處理存取控制的裝置、方法及系統
US12003512B2 (en) Limiting discovery of a protected resource in a zero trust access model
WO2017024588A1 (zh) 业务处理方法及装置
US20230421583A1 (en) Systems, methods, and storage media for abstracting session information for an application in an identity infrastructure
CN115190483A (zh) 一种访问网络的方法及装置