TWI431983B

TWI431983B - 經由閘道器而安全應用連接政策的策略

Info

Publication number: TWI431983B
Application number: TW097102893A
Authority: TW
Inventors: Meher P Malakapalli; Donghang Guo; Gautam Swaminathan; Ido Ben-Shachar
Original assignee: Microsoft Corp
Priority date: 2007-02-28
Filing date: 2008-01-25
Publication date: 2014-03-21
Also published as: US8201218B2; US20080209538A1; TW200841652A; WO2008106295A1

Description

經由閘道器而安全應用連接政策的策略

本發明關於經由閘道器而安全應用連接政策的策略。

一終端服務(TS，“Terminal service”)系統可允許一TS客戶端與在一遠端TS伺服器上執行的一應用進行互動。與該應用互動的一使用者通常接收相同的使用者經驗，其將在當該應用在TS客戶端本地實施時來提供。在TS伺服器裝置上實施該應用可有一些好處。例如，其將較容易地管理在一中央位置處維護的一應用。

在第一例中，一組織(例如一公司)可包括一TS伺服器，其可存取在該組織內一群組的客戶端。在此方案下，TS客戶端可存取該TS伺服器，而不需要特別的安全防備，因為TS伺服器係假設為受信任的實體。在第二例中，該組織會想要使其TS伺服器可用於位在該組織之外的另一群組的客戶端。例如，該組織會想要允許受僱者由他們的家裏經由網際網路存取其終端伺服器。在此方案下，TS客戶端不能夠在沒有特殊安全防備之下存取TS伺服器。根據一種解決方案，該組織可使用一閘道器，其位在一防火牆之後，藉以管理外部TS客戶端及TS伺服器之間的互動。

但是，在上述型式的架構中有潛在的弱點。考慮裝置重新導向的例子。在一TS系統中，裝置重新導向允許一與一TS伺服器互動的使用者利用相關於該TS伺服器之裝置與相關於該TS客戶端之裝置。例如，與正在TS伺服器上執行的一文字處理程式互動的一使用者可指定該資訊儲存在相對於該使用者的客戶端裝置為本地端的一儲存裝置進行儲存及取得。此可允許一惡意使用者(或其它個體)有可能藉由上載病毒及類似者到TS伺服器而破壞該組織的資料處理基礎設施。

因此有一種示例性的需求為改善利用一閘道器之TS系統(及類似者)之安全性。

一策略係說明安全地應用連接策略在一系統中，其中包括一第一實體，其使用一遠端運作協定經由一閘道器連接至一第二實體。該第一實體可包括一終端服務(TS)客戶端，該第二實體可包含一TS伺服器，而該遠端運作協定可包含遠端桌面協定(RDP,“Remote Desktop Protocl”)。該策略牽涉到該閘道器與TS伺服器之間一第一安全頻道，並由該閘道器傳送政策資訊到TS伺服器。然後該策略牽涉到關閉該第一安全頻道，並設定TS客戶端與TS伺服器之間一第二安全頻道。該策略使用第二安全頻道來由TS客戶端傳送RDP資料到TS伺服器。TS伺服器使用先前傳送的政策資訊以決定是否致能或除能影響TS客戶端的一特徵，例如裝置重新導向。

該策略提供了一些好處。根據一示例性好處，該策略允許一受信任的TS伺服器來執行影響該TS客戶端之政策資訊，而並不依賴TS客戶端(其可能為惡意者)。根據另一好處，該策略的供一種政策的中心管理；對於群組政策，此可實施每個使用者政策管理。根據另一好處，該額外的安全頻道部署於閘道器與TS伺服器之間；因為這些實體較〝靠近〞，其在建構一連接時有少許額外的延遲。

以下將說明額外的示例性實施與伴隨的好處。

本說明書提供一種策略，其用於安全地應用連接策略在一系統中，其中包括一第一實體，其使用一遠端運作協定經由一閘道器連接至一第二實體。該策略在多種系統、裝置、模組、程序、儲存媒體、資料結構及其它型式中明白顯示。

本說明書包括以下的段落。段落A描述一種示例性系統，用於使用一第一範例傳送資料。該第一範例可將該系統暴露於某些安全威脅。段落B描述一種示例性系統，用於使用一第二範例傳送資料。該第二範例提供相較於第一範例有增強的安全性。段落C描述一種示例性處理功能性，其可用於實施在段落A及B中所述之系統的任何態樣。

做為一初步說明，參照圖面所述的任何功能可使用軟體、韌體、硬體(例如固定邏輯電路)、手動處理、或這些實施之組合來實施。此處所使用的術語“邏輯”、“模組”、“組件”、“系統”或“功能性”概略性代表軟體、韌體、硬體或這些元件的組合。例如，如果是軟體實施，術語“邏輯”、“模組”、“組件”、“系統”或”功能性”代表程式碼，其可在於處理裝置(如CPU)上執行的特定工作。該程式碼可儲存在一或多個電腦可讀取記憶體裝置。

更概言之，所例示將邏輯、模組、組件、系統及功能性分隔成不同單元可反應一實際實體群組化及軟體、韌體及/或硬體之設置，或可對應於由一單一軟體程式、韌體程式及/或硬體單元執行之不同工作的觀念性設置。所例示的邏輯、模組、組件、系統及功能性可位在一單一場所(例如由一處理裝置所實施)，或可分散在複數個位置。

術語“機器可讀取媒體”或類似者係指任何種類的媒體，其可以任何型式保持資訊，其包括多種的儲存裝置(磁性、光學、靜態等)。術語機器可讀取媒體亦涵蓋用於代表資訊的短暫型式，包括多種硬體連接及/或無線鏈結來由一點傳送資訊到另一點。

此處所提出的某些技術態樣以流程圖型式來解釋。在這些流程圖中，某些操作係描述成構成以某種順序執行之不同區塊。這些實施為示例性而非限制性。某些區塊可群組在一起，並以單一操作來實施，而某些區塊可用不同於所例示之順序來實施。在流程圖中所示的區塊可由軟體、韌體、手動處理，或這些實施的任何組合來實施。

此處所提出之技術的某些態樣係在使用一遠端操作協定的一終端服務(TS)系統的內容中解釋。例如，在沒有限制之下，該技術可使用遠端桌面協定(RDP)實施。一使用 RDP的TS系統可允許一TS客戶端與在一遠端TS伺服器上維護的一或多項應用進行互動。該使用者接收相同的使用者經驗，其將可在如果該等應用係在TS客戶端上本地執行時所提供。當以下的解釋使用術語“TS客戶端”(而非“第一實體”)、“TS伺服器”(而非“第二實體”)及“RDP”(而非“遠端操作協定”)，其必須注意到此處所述的原理可應用到其它實施。

A.使用第一範例的系統及方法

第1圖所示為使用第一範例在一TS客戶端102及一TS伺服器104之間傳送RDP資料的一TS系統100。如上所述，該第一範例可暴露系統100到TS客戶端102可實施的某些惡意活動。因此，段落A主要做為一種載具，用於更有效地傳送在下一個段落中所述的解決方案。

TS伺服器104係在一受信任的環境106之內所提供。受信任環境106可對應於由任何一種組織所提供的一資料處理基礎設施，例如企業、教育機構、政府機構等。雖然未示出，受信任環境106通常包括伺服器電腦、網路(例如企業內網路)、“內部”客戶端、路由器、資料儲存裝置等等之集合。受信任環境106的信任認知為其預期來自受信任環境106內與TS伺服器104互動的實體基本上可以依賴，藉以不會故意地造成對受信任環境106的損害。

TS客戶端102在受信任環境106之外。例如，TS客戶端102可代表經由網路108與TS伺服器104互動的任何種類的客戶端裝置。例如，客戶端裝置102可包含一個人電腦、一膝上型電腦、一個人數位助理(PDA,“Personal digital assistant”)、一光筆式輸入裝置、一行動電話、一遊戲主機、一相關於電視機的機上盒等等。網路108可包含任何種類的通訊機制，其並不在受信任環境106的控制之下。例如，網路108可包含網際網路。

TS系統100使用一防火牆110及一閘道器112，以允許外部TS客戶端102來存取TS伺服器104。防火牆110可包含一習用機制，用於基於預定的規則限制被傳送到受信任環境106的資料種類。閘道器112做為TS客戶端102及TS伺服器104之間轉送RDP資料的代理伺服器。閘道器112應用多種政策，其控制在當與外部TS客戶端互動時允許及不允許那些動作。

系統102可使用一單一安全頻道114，以在TS客戶端102與TS伺服器104之間傳送RDP資料。在頻道114上傳送的RDP資料有加密，所以其不能夠作用在TS客戶端102與TS伺服器104之間的任何實體中間串流。

TS技術包括在本技術中所稱之裝置重新導向的一特徵。首先，考慮使用在受信任環境106內之客戶的裝置重新導向。當一使用者正與TS伺服器104上執行的一應用進行互動，裝置重新導向允許該使用者存取相關於TS伺服器104之裝置，以及相關於內部TS客戶端之裝置。更特定而言，TS伺服器104可具有與其相關的多種裝置，例如多種儲存裝置(相關於多種驅動器)、多種列印裝置、多種掃描裝置、多種音訊輸入及輸出裝置等等。類似地，內部TS客戶端可具有與其相關的多種裝置，其包括上述的相同種類的裝置。裝置重新導向允許一使用者與在一TS作業之程序中與任何這些裝置互動。例如，考慮當該使用者正在使用一內部TS客戶端來與在TS伺服器104上執行的一文字處理程式互動。該使用者可將文件儲存到視為TS伺服器104本地的儲存位置，並自其取得文件。但該使用者亦可儲存文件到視為該內部客戶端為本地的儲存位置，並自其取得文件。

發生在受信任環境106範圍內的裝置重新導向不會造成顯著的風險。如上所述，此係因為在受信任環境106內的使用者及組件皆被信任而不會蓄意地造成對受信任環境106的損害。但是，在外部TS客戶端102之內容中裝置重新導向會造成一風險。此係因為TS客戶端102位在受信任環境106之外，因此不受信任。

考慮該特定方案，其中TS客戶端102包括本地裝置(116...118)。操作TS客戶端102之一惡意使用者有可能經由使用裝置重新導向引用破壞性碼進入受信任環境106中。例如，考慮以上的範例中，該使用者與在TS伺服器104上的一文字處理程式進行互動，並想要由一TS客戶端為本地之一驅動器取得一文件。如果此文件包含破壞性碼或其它有害內容，其有可能造成TS伺服器104或受信任環境106之其它部份的損害。

在某些狀況下，因此其會需要對於外部TS客戶端102除能裝置重新導向。第1圖所示為用於達到此結果之第一範例。但是，該第一範例具有潛在的缺點。如下所述，有一風險在於一惡意外部TS客戶端可防止第一範例的防備，且仍會對受信任環境106造成損害。

根據第一範例，閘道器112傳送政策資訊120到TS客戶端102。政策資訊120在TS客戶端102與TS伺服器104之間傳遞一TS作業之一或多項特徵的狀態。例如，政策資訊120可指示是否這些特徵為致能或除能。在裝置重新導向的特定內容中，政策資訊120可用於指示裝置重新導向對於外部TS客戶端102已除能。政策資訊120可表示成多種格式，例如一或多個旗標的集合。

第一範例係基於預期TS客戶端102將在開始傳送RDP資料到TS伺服器104時轉送政策資訊120(或由其取得的資訊)到TS伺服器104(RDP資料可反應資料的正常流動，使得TS客戶端102與TS伺服器104互動)。第一範例係基於在接收政策資訊120時進一步預期TS伺服器104將基於在其中包含的狀態資訊採取適當的動作。例如，如果政策資訊120通知TS伺服器104其必須除能裝置重新導向，TS伺服器104將防止外部TS客戶端102使用裝置重新導向。

因為TS客戶端102為受信任環境106之外，其並不需要被信任。因此，TS客戶端102在轉換政策資訊120到TS伺服器104時無法進行其適當的角色。另外，TS客戶端102可傳送有損的政策資訊120到TS伺服器104。例如，TS客戶端102可改變政策資訊102來指示裝置重新導向被致能(事實上當其必須時，即被除能)。此將造成TS伺服器104致能裝置重新導向，其依此提供一種途徑，由此TS客戶端102可上載破壞性碼到TS伺服器104。

第2圖為一種概述TS系統100之上述操作的程序200。

在區塊202中，閘道器112傳送政策資訊120到外部TS客戶端102。

在區塊204中，TS客戶端102經由閘道器112連接至TS伺服器104來進行一TS作業，例如包含RDP資料的交換。

在區塊206中，TS客戶端102被預期在當其開始傳送RDP資料時傳送該政策資訊到TS伺服器104。如上所述，一惡意TS客戶端102以多種方式可破壞此操作。

在區塊208中，TS伺服器104接收政策資訊120及RDP資料。TS伺服器104進行以TS作業為主的政策資訊120。如上所述，政策資訊120可具有致能或除能一TS作業之一或多項特徵的效應，例如裝置重新導向。

請注意到，當閘道器112的角色為執行監督在外部TS客戶端與TS伺服器104之間的互動的角色，閘道器112不能夠獲得對RDP資料之直接存取。此係因為RDP資料在TS客戶端102與TS伺服器104之間的中途進行加密。此可防止使用閘道器112之多種限制，以直接除能裝置重新導向。

B.使用第二範例的系統及方法

第3圖的TS系統300使用一第二範例來由一客戶端302傳送RDP資料到一TS伺服器304。做為參考架構，第1圖之第一TS系統100在感覺上為以客戶端為中心，其係依賴TS客戶端102來除能裝置重新導向。第3圖所提供的解決方案在感覺上為以伺服器為中心，其係單獨依賴TS伺服器304來除能裝置重新導向。因為TS伺服器304係位在一受信任環境306內，第二範例相較於該第一範例可更為可靠地除能裝置重新導向。

在開始時，其必須注意到第3圖之TS系統300係在除能裝置重新導向之特定內容中說明。但是，TS範例可被應用來影響一TS作業之任何態樣的狀態。在一通例中，例如該第二範例可允許TS伺服器304來除能在RDP資料內任何可識別之封包種類。

第3圖之TS系統300包括與第1圖之TS系統類似的內容性設定。意即，TS客戶端302與受信任環境306中的TS伺服器304互動。TS客戶端302可經由網路308(例如網際網路)、防火牆310、及閘道器312存取TS伺服器304。根據一示例性實施，其並沒有限制，第3圖之閘道器312的某些態樣可使用在以下共同申請的美國專利申請案中所述的技術來實施：(1)美國申請編號60/716,297，於2005年9月12日立案，名為「建立應用感知防火牆遍歷解決方式」(“Building Application-Aware Firewall Traversal Solutions”)；及(2)美國申請編號11/067,125，於2005年2月25日立案，名為「經由一防火牆致能終端服務」 (“Enabling Terminal Services through a Firewall”)。此兩申請案藉由參考文獻之方式個別整體併入本文。

TS客戶端302經由一第二安全頻道314與TS伺服器304交換RDP資料(此係稱為一〝第二〞頻道來將其與第一頻道區別，其於第二頻道314之前暫時地建立，其在以下更加詳盡解釋)。根據一示例性實施，為了傳送RDP資料316到TS伺服器304，TS系統300首先包裝RDP資料316在一以RPC為基礎的協定318(其中RPC代表遠端程序呼叫，Remote Procedure Call)。因此，此資訊即可依次疊層在一HTTPS協定320之上(其中HTTPS代表超文件傳輸協定安全性，Hypertext Transfer Protocol Security)。在到達TS伺服器304之前，TS系統300可去掉多層來產生RPC資料318本身。概言之，經由第二頻道314傳送的RDP資料316為安全的。例如，RDP資料可使用SSL(其中SSL代表安全通訊端層，Secure Socket Layer)來保護。

TS客戶端302可與一或多個本地裝置互動，例如裝置(322...324)。這些裝置(322,...324)可包括本地儲存裝置、印表機、音訊輸入及輸出裝置等等。

現在將更為詳細地提出第二範例之特徵。首先注意到TS系統300建立閘道器312與TS伺服器304之間的一第一安全頻道326。此頻道326用於在使用第二頻道314交換RDP資料之前傳送政策資訊328到TS伺服器304。政策資訊328傳遞關於一或多個特徵，其影響在TS客戶端302及TS伺服器304之間RDP資料的交換。在一非限制性案例中，政策資訊328包括一指令到除能TS客戶端302之裝置重新導向。

類似第二頻道314，第一頻道326為安全。例如，TS系統300可加密經由第一頻道326傳送的資訊。在一種實施中，TS系統300對第一頻道326使用SSL。

TS系統300在使用第二頻道314傳送RDP資料之前停用(deactivate)第一頻道326。於經由第二頻道314接收RDP資料時，TS伺服器304根據由政策資訊328傳遞的指令致能或除能某些特徵。請注意到將政策資訊328交換到TS伺服器304並不依賴TS客戶端302之良好信心之動作。因此，第二範例有可能比由第一TS系統100使用的第一範例要更為安全。

每個TS作業由相關的政策資訊所管理。因此，TS系統300可應用第一政策資訊到一第一TS客戶端，及第二政策資訊到一第二TS客戶端等等。再者，該政策資訊可視需要特定於每個連接，使得相同的TS客戶端在當其於時間X連接至TS伺服器304時接收第一政策資訊，並在當其於時間Y連接至TS伺服器304時接收第二政策資訊。

為了處理以上的問題，閘道器312當TS客戶端302請求與TS伺服器304連接時可傳送一符記330到TS客戶端302。符記330的角色係要識別TS客戶端302。當閘道器312轉送政策資訊328到TS伺服器304時，其亦轉送指定到此特殊TS客戶端302之符記330(及此特殊連接)。然後TS伺服器304可使用符記330來應用正確的政策資訊328到TS客戶端302。

第4圖為一種概述TS系統300之上述操作的程序400。

在區塊402中，TS客戶端302請求連接至TS伺服器304，以進行與TS伺服器304進行一RDP作業。

在區塊404中，閘道器312傳送符記330到TS客戶端302。符記330用於識別TS客戶端302。

在區塊406中，閘道器312與TS伺服器304建立第一安全頻道326。經由此頻道326，閘道器312傳送政策資訊328與符記資訊330到TS伺服器304。政策資訊328識別一RDP作業的特徵，其相對於該特殊TS客戶端302與該特殊連接來致能或除能，其由符記330所識別。

在區塊408中，TS系統300關閉第一頻道326及建立第二頻道314。<

在區塊410中，TS客戶端302經由第二頻道314傳送RDP資料與符記330到TS伺服器304。TS伺服器304可根據符記330應用該正確政策資訊328到TS客戶端302。

在區塊412中，TS伺服器基於包含在政策資訊328中的指定監督隨後的交換RDP資料。在一特例中，此可包含除能裝置重新導向。此可降低TS客戶端302經由其本地裝置(322,...324)破壞受信任環境306的可能性。

第5圖及第6圖所示為第3圖及第4圖中所提出之原理的一示例性實施。

第5圖指示閘道器312可包括一協定模組502及一閘道器安全過濾器模組504。這些組件係關於此處所述之 RDP資料的安全傳輸。政策模組502產生政策資訊328及符記330。閘道器安全過濾器模組504由閘道器312的角度建立安全的資訊交換。也就是說，閘道器安全過濾器模組504產生一安全內容，並執行加密及解密。

TS伺服器306可包括一協調模組506與一伺服器安全過濾器模組508。這些組件係關於此處所述之安全的RDP資料傳輸。協調模組506作用在傳送到TS伺服器306之資訊，其方式在以下利用第6圖之內容更加完整揭示。伺服器安全過濾器模組508由TS伺服器304的角度在TS系統300中建立安全的資訊交換(雖然未示出，TS客戶端302包括一客戶端安全過濾器模組，用於由TS客戶端302的角度建立安全的資訊交換)。

第6圖所示為根據一示例性實施中第5圖所提出的組件如何彼此互動。第6圖之操作基於一示例性程序編號，其中可以執行這些操作。這些操作的順序可用多種方式修正。

在操作(1)中，TS客戶端302發出一頻道產生請求到閘道器312。

在操作(2)中，閘道器312產生符記330，並傳送符記330到TS客戶端302。符記330可表示為一唯一GUID。

在操作(3)中，閘道器312啟用閘道器安全濾波器模組504。

在操作(4)中，閘道器安全過濾器模組504傳送一SSL問候到TS伺服器304。

在操作(5)中，伺服器協調模組506認可SSL問候訊息，並啟用伺服器安全過濾器模組508。

在操作(6)中，一SSL交握在閘道器312與TS伺服器306之間發生，以建立第一安全頻道326。Schannel可用於此安全頻道326。

在操作(7)中，閘道器312產生政策資訊328。在此範例中，政策資訊328採取一裝置重新導向資料單元的型式。閘道器312傳送該裝置重新導向資料單元與符記330到TS伺服器304。

在操作(8)中，閘道器312傳送一重置指令到TS伺服器304。

在操作(9)中，TS伺服器304指定伺服器安全過濾器模組508預備好重新開始。

在操作(10)中，TS客戶端302經由閘道器312傳送訊息到TS伺服器304。更特定而言，由TS客戶端302傳送的一第一訊息為一協定協調訊息或一SSL問候。此訊息將通過閘道器安全過濾器模組504與伺服器安全過濾器模組508。此訊息有可能在閘道器/伺服器認證之前到達閘道器312。如果如此，該訊息仍維持等待被管理。

在操作(11)中，閘道器312在傳出上述的訊息(操作10中)之後停用閘道器安全濾波器模組504。

在操作(12)中，TS客戶端302與TS伺服器204執行認證來建立第二頻道314。

在操作(13)中，TS客戶端302傳送第一RDP封包以及所儲存的符記330到TS伺服器304。

在操作(14)中，TS伺服器304基於政策資訊328與符記330致能或除能裝置重新導向。

C.示例性處理功能性

第7圖所示為示例性處理功能性702，其可用於實施在第3圖及第5圖中所示之系統之任何態樣。在一非限制性案例中，例如處理功能性702可代表任何TS客戶端、任何TS伺服器，任何由閘道器使用的電腦等等。

處理功能性702可包括多種揮發性及非揮發性記憶體，例如RAM704及ROM 706，以及一或多個中央處理單元(CPU,Central processing units)708。處理功能性702當CPU 708執行由記憶體所維護的指令(如704,706或其它)時，即執行多種以上識別的操作。處理功能性702亦可視需要包括多種媒體裝置710，例如硬碟模組、光碟模組等等。

處理功能性702亦包括一輸入/輸出模組712，用於接收來自使用者的多種輸入(透過輸入裝置714)，並用於提供多種輸出到該使用者(透過輸出裝置716)。一特定輸出裝置可包括一顯示裝置及一相關的圖形化使用者介面(GUI,Graphical user interface)718。處理功能性702亦可包括一或多個網路介面720，用於經由一或多個通訊渠道(conduit)722與其它裝置交換資料。一或多個通訊匯流排724可通訊式地將上述的組件耦合在一起。

通訊渠道722可用多種方式實施，以適合於不同的技術及商業環境。例如，通訊渠道722可包括任何種類的網路(或網路的組合)，例如一廣域網路(如網際網路)、企業內網路、數位用戶專線(DSL,“Digital Subscriber Line”)網路基礎設施，點對點耦合基礎設施等等。如果使用一或多個數位網路交換資訊，通訊渠道722可包括多種硬體連接及/或無線鏈結、路由器、閘道器、名稱伺服器等等。通訊渠道722可由任何協定或協定的組合來控制。

總結，此處藉由首先識別這些特徵可以處理的示例性問題來說明這些特徵。此種解釋方式並不構成允許其他人依此處所指出的方式來瞭解及/或表達這些問題。對於在相關技術中所存在之問題的瞭解與表達應視為本發明的一部份。

更概言之，雖然本發明已經以特定於結構化特徵及/或方法性步驟的語言來描述，其應瞭解到在下附申請專利範圍中所定義的本發明並不必要地限制於上述之特定特徵或步驟。而是該等特定特徵與步驟係以實施該等申請專利範圍之範例型式來揭示。

100‧‧‧TS系統

102‧‧‧TS客戶端

104‧‧‧TS伺服器

106‧‧‧受信任環境

108‧‧‧網路

110‧‧‧防火牆

112‧‧‧閘道器

114‧‧‧安全頻道

116‧‧‧本地裝置

118‧‧‧本地裝置

120‧‧‧政策資訊

300‧‧‧TS系統

302‧‧‧TS客戶端

304‧‧‧TS伺服器

306‧‧‧受信任環境

308‧‧‧網路

310‧‧‧防火牆

312‧‧‧閘道器

314‧‧‧第二安全頻道

316‧‧‧RDP資料

318‧‧‧以RPC為基礎的協定

320‧‧‧HTTPS協定

322‧‧‧裝置

324‧‧‧裝置

326‧‧‧第一安全頻道

328‧‧‧政策資訊

330‧‧‧符記

502‧‧‧協定模組

504‧‧‧閘道器安全過濾器模組

506‧‧‧協調模組

508‧‧‧伺服器安全過濾器模組

702‧‧‧處理功能性

704‧‧‧RAM

706‧‧‧ROM

708‧‧‧中央處理單元

710‧‧‧媒體裝置

712‧‧‧輸入/輸出模組

714‧‧‧輸入裝置

716‧‧‧輸出裝置

718‧‧‧圖形化使用者介面(GUI)

720‧‧‧網路介面

722‧‧‧通訊渠道

第1圖為一種示例性終端服務(TS)系統，其使用一第一範例由一TS客戶端傳送資料到一TS伺服器；該第一範例可能將TS系統暴露在TS客戶端的惡意活動之下。

第2圖為第1圖之TS系統操作的一示例性方式的流程圖。

第3圖為一種示例性TS系統，其使用一第二範例由一TS客戶端傳送資料到一TS伺服器；該第二範例提供安全護衛對抗TS客戶端的惡意活動。

第4圖為第3圖之TS系統操作的一示例性方式的流程圖。

第5圖及第6圖為第3圖之TS系統的示例性實施。

第7圖為可用於實施第3圖及第5圖之系統的任何態樣之示例性處理功能性。

相同的編號在整份說明書及圖面中用於參照類似的組件及特徵。編號100系列代表原始在第1圖中發現的特徵，編號2oo系列代表原始在第2圖中發現的特徵，編號300系列代表原始在第3圖中發現的特徵，依此類推。